УДК 004.056.5:061.5
ЗАХИСТ
КОРПОРАТИВНИХ ІНФОРМАЦІЙНИХ СИСТЕМ
Єлізаров
А.Б., Адаменко Д.О.
Діяльність
сучасної компанії неможлива без використання інформаційних технологій.
Ефективне застосування інформаційних технологій є загальновизнаним чинником конкурентоспроможності
компанії. Багато підприємств у світі переходять до використання широких
можливостей Інтернету і електронного бізнесу. Корпоративні інформаційні системи
(КІС) стають сьогодні одним з головних інструментів управління бізнесом і
фактично найважливішим засобом виробництва сучасної компанії. У таких умовах
одним з найбільш цінних ресурсів організації є корпоративна інформація.
Все більше
корпоративних систем, додатків і даних стають доступними з Глобальної мережі,
внаслідок чого компанії стикаються зі зростаючим числом різних загроз для своєї
інформаційної інфраструктури:
несанкціонірованний доступ, вірусна небезпека, атаки типу «відмова в
обслуговуванні» та інші види вторгнень, мішенню для яких стають додатки, ком’ютерні
мережі та інфраструктура КІС.
Тому
застосування інформаційних технологій немислимо без підвищеної уваги до питань
інформаційної безпеки. Однією з найбільш актуальних завдань, яке
стоїть сьогодні перед розробниками і постачальниками інформаційних
технологій, є вирішення проблем інформаційної безпеки, пов'язаних з широким
поширенням Інтернету, інтранету та екстранету.
Використання
Інтернету в якості глобальної публічної мережі означає для засобів безпеки
підприємства не тільки різке збільшення кількості зовнішніх користувачів і різноманітність
типів комунікаційних зв'язків, а й співіснування з новими мережевими і
інформаційними технологіями [1]. Тому інформаційні ресурси та засоби здійснення
електронних мережевих транзакцій (сервери,
маршрутизатори, сервери віддаленого доступу, канали зв'язку, операційні системи, бази
даних та додатки) потрібно захищати особливо надійно і якісно.
Створювана
система інформаційної безпеки підприємства повинна враховувати появу нових
технологій і сервісів, а також задовольняти загальним вимогам, що пред'являються
сьогодні до корпоративної інформаційної системи:
§ застосування відкритих
стандартів;
§ використання
інтегрованих рішень;
§ забезпечення
масштабування в широких межах.
Перехід на
відкриті стандарти становить одну з головних тенденцій розвитку сучасних
засобів інформаційної безпеки. Такі стандарти, як IPSec і PKI, забезпечують
захищеність зовнішніх комунікацій підприємств і сумісність з
відповідними продуктами підприємств-партнерів або віддалених клієнтів.
Цифрові сертифікати X.509 також є на сьогодні стандартною основою для автентифікації
користувачів і пристроїв [2]. Сучасні і перспективні засоби
захисту, безумовно, повинні підтримувати ці стандарти.
Під
інтегрованими рішеннями розуміється як інтеграція засобів
захисту з
іншими елементами мережі (операційними системами, маршрутизаторами, службами каталогів,
серверами QoS політики
і т.п.) так і інтеграція різних технологій безпеки між
собою для забезпечення комплексного захисту інформаційних ресурсів
підприємства, наприклад інтеграція мережевого екрана з VPN-шлюзом і транслятором IP-адрес.
У міру
зростання і розвитку КІС система інформаційної безпеки повинна мати можливість легко масштабуватися
без втрати цілісності і керованості. Масштабованість
засобів захисту дозволяє підбирати оптимальні за вартістю і надійностю
рішення з можливістю поступового нарощування системи захисту.
Масштабування забезпечує ефективну роботу підприємства при наявності у нього
численних філій, десятків підприємств-партнерів, сотень віддалених
співробітників і мільйонів потенційних клієнтів.
Для того щоб
забезпечити надійний захист ресурсів корпоративної інформационной системи, в
системі інформаційної безпеки повинні бути реалізовани найпрогресивніші і перспективні
технології інформаційного захисту. До них відносяться:
§ криптографічний захист
даних для забезпечення конфіденційності, цілісності та
автентичності інформації;
§ підтримка інфраструктури
управління відкритими ключами PKI;
§ технології автентифікації
для перевірки автентичності користувачів і об'єктів мережі шляхом
застосування одноразових паролів, токенів (смарткарт, USB-токенів) та інших
засобів автентифікації;
§ управління доступом на
рівні користувачів і захист від несанкціонованого доступу до інформації;
§ комплексний
багаторівневий підхід до побудови системи інформаційноїної безпеки, що
забезпечує раціональне поєднання технологій і засобів інформаційного
захисту;
§ технології міжмережевих
екранів для захисту корпоративної мережі від позашніх загроз при підключенні до
загальнодоступних мереж зв'язку;
§ технології віртуальних
захищених каналів і мереж VPN для захисту інформації, що передається по
відкритих каналах зв'язку;
§ технології виявлення і
запобігання вторгнень в КІС;
§ технології захисту від
шкідливих програм і спаму з використанням комплексів антивірусного
захисту;
§ забезпечення безпеки
«хмарних» обчислень;
§ централізоване
управління засоби інформаційної безпеки на базі єдиної політики
безпеки підприємства.
Перелік
використаних джерел:
1. Обеспечение
информационной безопасности сетей [Електронний ресурс]. – Режим доступу:
http://ypn.ru/146/securing-networking-information/.
2. Шаньгин В.Ф. Защита
информации в компьютерных системах и сетях / В.Ф. Шаньгин, Москва: ДМК Пресс,
2012. – 592 с.