Создание системы защиты информации в корпоративной сети ИС порождает целый комплекс проблем. В комплексе корпоративная система защиты информации должна решать следующие задачи:
1) обеспечение конфиденциальности информации;
2) Защита от искажения;
3) сегментирование (разделение на части) и обеспечение индивидуальности политики безопасности для различных сегментов системы;
4) аутентификация пользователей - процесс ДОСТОl3ерной идентификации отождествления пользователя, процесса или устройства, логических и физических объектов сети для различных уровней сете1301'0 управления;
5) протоколирование событий, дистанционный аудит, защита регистрационных протоколов и др.
Построение системы информационной безопасности сети основывается на семиуровневой модели декомпозиции системного управления 051/150. Согласно стандартам Международной организации по стандартизации (50), разрабатывающей стандарты взаимодействия открытых систем (051), выделяют семь уровней сетевой архитектуры, которая обеспечивает передачу и обработку информации. в сети. Такая семиуровневая модель обеспечивает полный набор функций, реализуемый открытой по стандартам 150 архитектурой сети. Семь уровней сетевого управления включают: физический, канальный, сетевой, транспортный, сеансовый, представительский, прикладной уровни.
На физическом уровне, представляющем среду распространения данных (кабель, оптоволокно, радиоканал, каналообразующее оборудование), применяют обычно средства шифрования или сокрытия сигнала. Они малоприменимы в коммерческих открытых сетях, так как есть более надежное шифрование.
На канальном уровне, ответственном за организацию взаимодействия двух смежных узлов (двухточечные звенья), могут быть использованы средства шифрования и достоверной идентификации пользователя. Однако использование и тех и других средств на этом уровне может оказаться избыточным. Необязательно производить (пере-) шифрование на каждом двухточечном звене между двумя узлами.
Сетевой уровень решает задачи распространения и маршрутизации пакетов информации по сети в целом. Этот уровень критичен в отношении реализации средств криптозащиты. Понятие пакета существует на этом уровне. На более высоких уровнях есть понятие сообщения.
Сообщение может содержать контекст или формироваться на прикладном уровне, защита которого затруднена с точки зрения управления сетью. Сетевой уровень может быть базовым для реализации средств защиты этого и нижележащих уровней управления. к ним относятся: транспортный (управляет передачей информации), сеансовый (обеспечивает синхронизацию диалога), уровень представлений (определяет единый способ представления информации, понятный пользователям и компьютерам), прикладной (обеспечивает разные формы взаимодействия прикладных процессов).
Однако защита на сетевом уровне недостаточна, так как неизвестно, что за информация упакована в пакеты, не видно пользователей и процессов, порождающих эту информацию. Ряд задач защиты информации лежит выше сетевого уровня: шифрование и обеспечение достоверности опознавания (аутентификация) сообщений (а не пакетов), обработка протокола с обеспечением его защиты, контроль доступа и соблюдения полномочий, протоколирование событий. Управление уровнями выше сетевого сложное и разнообразное и поэтому рассмотреть возможные стратегии защиты информации для них трудно. Решение может быть найдено на пути поиска единой технологической базы, обладающей максимальной общностью и распространенностью, для защиты информации и сетевой интеграции распределенных пользовательских приложений. В качестве средств защиты информации транспортного, сеансового и уровня представлений (все три перечисленных уровня называют middleware) используется программное обеспечение, например, Teknekron lnformation Bus (TIВ). Средства защиты прикладного уровня в данной главе не рассматриваются. Использование единой, универсальной технологии защиты информации в сетях обеспечивается программной средой интеграции приложений - Teknekron lnformation Bus (ТIB). Эта среда обеспечивает развитое протоколирование событий, отслеживание перемещения сообщений по сети, разделение полномочий пользователей, поддержку средств шифрования и цифровой подписи и многое другое. Программно-технические решения в области платформ и протоколов защиты информации в сетях могут быть:
· для технологии «клиент-сервер» наиболее распространенным является вариант Unix (сервер) и Windows (клиент);
· операционная система Unix содержит встроенную поддержку протоколов ТСРЛР (Transport Control Protocol j lnternet Protocol - транспортный протокол с контролем). Это один из важных факторов технологичности интеграции систем на основе этого протокола и этой операционной системы.
· протокол ТСРЛР обладает высокой совместимостью как с различными по физической природе, скоростным характеристикам каналами, так и с широким кругом аппаратных платформ. В пользу протокола ТСРjIР говорит наличие наиболее развитых технологий криптозащиты на сетевом уровне. 3а;щча обеспечения безопасности в TCPjlP-сетях решается с любым необходимым уровнем надежности.
Таким образом, архитектурную концепцию системы защиты информации в сетях можно представить в виде трех слоев: средства защиты сетевого уровни, middlеwаге-системы и средства защиты, предлагаемые прикладными системами.