- Надёжную, защищённую среду взаимодействия территориально
разделённых подразделений Связьинформ через сеть Интернет;
- Безопасную публикацию информационных ресурсов в сети
Интернет и контроль доступа к ним;
- Централизованную систему управления и мониторинга
оборудования обеспечения безопасности.
Создаваемая система безопасности
корпоративной сети Связь должна соответствовать санитарно-эпидемиологическим,
экологическим, пожарным, строительным нормам и правилам и государственным
стандартам.
Разрабатываемая система
предусматривает комплекс мер безопасности организационно-технического
характера. Обеспечение защиты объектов сети реализуется организацией:
- безопасности периметра;
- безопасности активного сетевого оборудования узлов ТУЭС;
- дополнительных мер безопасности серверов, рабочих станций,
системы управления.
Требования к
технологическому процессу эксплуатации.
- Должен обеспечиваться централизованный процесс управления
системой защиты информации сети.
- Управление системой должно быть
иерархически-распределённым. Подсистемы, входящие в состав сети, должны
иметь собственные центры управления, которые должны координировать
управление с одноуровневыми и выше стоящими системами.
- Процесс управления системой безопасности должен исключать
несанкционированные изменения политики безопасности компонент системы
конечным пользователем.
Выбор решения и
оборудования.
Безопасный доступ в сеть Интернет
из корпоративной сети Связьинформ организуется для доступа сотрудников к
информационным ресурсам сети Интернет.
Исходи из мировой практики и рекомендаций
ведущих производителей оборудования и поставщиков решений, доступ большинства
корпоративных сетей в сеть Интернет строится по следующим принципам:
- Для исключения несанкционированного доступа (НСД) во
внутреннюю сеть производится разделение сетей с помощью межсетевого экрана
(МЭ);
- Для защиты информационных серверов также используются МЭ;
- При необходимости доступа к серверам как из сеть Интернет,
так и из внутренней сети организуются Демилитаризованные зоны (DMZ).
Оборудование МЭ может быть как
компьютером со специализированным программным обеспечением (ПО), так и
специализированным аппаратным устройством.
МЭ обеспечивают высокий уровень безопасности
межсетевого экранирования имеют удобный интерфейс для настройки и мониторинга.
Однако МЭ на основе копьютера со специализированным ПО имеют свойственные
архитектуре решения недостатки. Такими являются:
- Уязвимости серверной операционной системы (ОС) снижают
уровень безопасноси МЭ
- Серверные компоненты подвержены износу (HDD)
- Обновление ПО трудоёмко и занимает достаточно
продолжительное время
- Ощибки при обновлении или настройке ПО могут привести к сбою
системы МЭ и необходимости переустановки системы с «нуля».
- Переустановка системы трудоёмко и занимает достаточно
продолжительное время
Исходя из выше
перечисленного, целесообразным представляется использование аппаратной
реализации МЭ, удовлетворяющего следующим требованиям:
