Смоляр В.А., Флоров С.В.
Национальный горный университет, г. Днепропетровск
Критерии выбора межсетевого экрана
для корпоративной интрасети, имеющей удаленные филиалы
Обеспечение
безопасности информационного пространства в организации – является одним из условий
успешной и прибыльной деятельности организации. Политика информационной
безопасности (в дальнейшем ПИБ) – необходимая основа
для создания безопасного информационного пространства в организации.
На основе
ПИБ строится управление, защита и распределение критичной информации в системе.
Она должна охватывать все особенности процесса обработки информации, определяя
поведение информационной системы в различных
ситуациях.
Для каждой
конкретной информационной системы
политика безопасности должна быть индивидуальной. Она зависит от
технологии и способов обработки информации, используемых программных и
технических средств, архитектуры интрасети, структуры организации и вида ее
деятельности, а также других факторов.
При
разработке и проведении ее в жизнь целесообразно руководствоваться следующими
принципами:
1. Невозможность миновать
защитные средства.
2. Усиление самого слабого
звена
3. Недопустимость перехода
в открытое состояние;
4. Минимизация привилегий.
5. Разделение обязанностей.
6. Многоуровневая защита.
7. Разнообразие защитных
средств.
8. Простота и управляемость
информационной системы.
9. Обеспечение всеобщей
поддержки мер безопасности.
Одной из
ключевых подсистем, реализующей приведенные выше принципы являются межсетевые экраны - комплекс аппаратных или
программных средств, осуществляющий контроль и фильтрацию проходящих через него
сетевых пакетов в соответствии с заданными правилами, операционных систем и архитектурой интрасетей головного офиса и филиалов.
При
использовании ОС типа MS Windows
2003 Server или MS Windows
2008 ServerR2 с развернутым сервером каталогов Active
Direcrory и, согласно рекомендациям производителя ОС,
следует применять зонирование интрасетей. На рисунке 1 представлена архитектура
интрасети головного офиса предприятия,
имеющего удаленные филиалы.
Рис.
1 Архитектура интрасети головного офиса
предприятия, имеющей
удаленные
филиалы
Требования, предъявляемые к политике безопасности предприятия,
диктуемой спецификой ее деятельности, позволили
сформулировать следующие
критерии выбора межсетевого экрана для интрасети:
1. Многоуровневая проверка;
2. Динамическая интеллектуальная фильтрация на уровне приложений (расширяемые фильтры);
3. Безопасная публикация серверов;
4. Встроенная поддержка виртуальных частных сетей (VPN);
5. Конфигурация с поддержкой нескольких сетей;
6. Интегрированная с Active Directory модель политик безопасности для каждой сети;
7. Защита от вредоносных интернет-программ;
8. Фильтрация URL-адресов;
9. Проверка электронной почты на наличие вирусов, вредоносных программ, нежелательной почты и специфического содержимого;
10. Система проверки сети (NIS);
11. Расширенная поддержка протокола VoIP;
12. Пользовательские фильтры;
13.
Динамическое кэширование контента;
14. Поддержка протоколов IP уровня и потока данных IPSec;
15. Преобразование внутренних гиперссылок (Link Transaction);
16. Декодирование протокола SSL (Secure Sockets Layer);
17. Единый централизованный графический интерфейс управления межсетевыми экранами и VPN.
18. Публикации ферм web серверов технологии SharePoint 2010;
19. Возможность единой точки входа;
20. Совокупная стоимость владения.
В соответствии с этими критериями сравнивались следующие программные и аппаратные реализации межсетевых экранов имеющих примерно одинаковую совокупную стоимость владения:
· MS Forefront TMG 2010
·
Cisco Systems LL-PIX-520-SW-128 PIX
·
Advantech FWA-3140-C
Результаты сравнения приведены в таблице 2.1.
Таблица 2.1
|
Критерий |
MS Forefront TMG
2010 |
Cisco Systems
LL-PIX-520-SW-128 PIX |
Advantech FWA-3140-C |
|
Преобразование внутренних гиперссылок (Link Transaction) |
Да |
Нет |
Нет |
|
Многоуровневая
проверка |
Да |
Да |
Да |
|
Динамическая
интеллектуальная фильтрация на уровне приложений (расширяемые фильтры) |
Да |
Да |
Нет |
|
Безопасная публикация серверов |
Да |
Да |
Да |
|
Встроенная поддержка виртуальных
частных сетей (VPN) |
Да |
Да |
Да |
|
Конфигурация с поддержкой
нескольких сетей |
Да |
Да |
Нет |
|
Пользовательские фильтры |
Да |
Да |
Нет |
|
Динамическое кэширование
контента |
Да |
Нет |
Да |
|
Поддержка протоколов IP
уровня и потока данных IPSec |
Да |
Да |
Да |
|
Единый централизованный
графический интерфейс |
Да |
Да |
Нет |
|
Декодирование протокола SSL
(Secure Sockets Layer) |
Да |
Нет |
Нет |
|
Защита от вредоносных
интернет-программ |
Да |
Да |
Нет |
|
Фильтрация URL-адресов |
Да |
Нет |
Нет |
|
Проверка электронной почты на наличие вирусов,
вредоносных программ, нежелательной почты и специфического содержимого |
Да |
Да |
Нет |
|
Система проверки сети (NIS) |
Да |
Нет |
Нет |
|
Расширенная поддержка протокола
VoIP |
Да |
Да |
Нет |
|
Публикации ферм web серверов
технологии SharePoint 2010 |
Да |
Нет |
Нет |
|
Возможность единой точки входа |
Да |
Нет |
Нет |
|
Совокупная стоимость владения |
59004696 грн. |
4595 грн. |
5900 грн. |
Анализ представленных в таблице результатов позволяет сделать вывод, что межсетевой экран MS Forefront TMG 2010 полностью удовлетворяет критериям безопасности для данной корпоративной сети. Особо следует подчеркнуть интеграцию продукта в Active Directory, что привело к минимальной совокупной стоимости владения, несмотря на самую высокую стоимость дистрибутива.
Литература:
1.
Домарев В.В.
Безопасность ИТ. Методология создания систем защиты. – М. – СПб. – Киев,
2002. – 688 с.
2.
НД ТЗІ
3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту
інформації в інформаційно-телекомунікаційній системі» (Электрон. ресурс)/Способ доступа: URL: http://www.dstszi.gov.ua/dstszi
3.
ISO/IEC 27005:2005 «Інформаційні технологій.
Методи захисту. Система управління інформаційною безпекою. Вимоги» (Электрон. Ресурс)/Способ доступа: URL: http://www.dstszi.gov.ua/dstszi/control
4.
Закон
України «Про науково-технічну інформацію» (Электрон. Ресурс)/Способ доступа: URL: http://zakon.rada.gov.ua/cgi-bin/laws/main