Ворог не пройде!! Захист комп'ютерної мережі підприємства

Наша взаимовыгодная связь https://banwar.org/

Наталя Ларіонова, компанія "Айдеко Софтвер"

Ми з вами живемо в століття інформаційного суспільства. І саме тому інформація є найбільш цінним об'єктом. Будь-яке державне та комерційне підприємство зацікавлене в збереженні інформації, яка може йому нашкодити, якщо потрапить в руки зловмисників або буде знищена. Для державних установ така інформація носить гриф "Таємно", для комерційних підприємств - "Комерційна таємниця" або "Цінна інформація".

Задамося питанням: яка саме інформація потребує захисту і може становити інтерес для зловмисника? Це, як правило, важливі договори, списки клієнтів, бази даних бухгалтерських програм, паролі і ключі системи "клієнт-банк", канали зв'язку з підрозділами і т. П.

Все частіше в ЗМІ повідомляють про крадіжку інформації і грошових коштів через інтернет, при цьому хакера знаходять дуже рідко. А більшість підприємств приховують випадки злому своїх мереж і крадіжки даних, щоб зберегти ділову репутацію.

Щоб не стати жертвою хакера, необхідно захищати комп'ютери і всю мережу організації від інтернет-загроз. І не варто тішити себе тим, що, мовляв, саме ваше підприємство не зацікавить зловмисника: адже спеціальні програми - сканери вразливостей обнишпорюють весь інтернет без розбору.

Коли виникає необхідність забезпечити інформаційну безпеку компанії, керівництво, як правило, звертається до системних інтеграторів. Вони проводять комплексний аналіз і розробляють проект із захисту інформації. В остаточному підсумку все це обертається придбанням дорогих програмних і апаратних засобів, таких як Cisco PIX, Checkpoint, Microsoft ISA. Такі великі комплексні проекти коштують більше 15 тис. Дол., Вимагають постійного супроводу і доцільні тільки для великих підприємств.

Для малих і багатьох середніх підприємств весь проект із захисту можна звести до двох пунктів:

• захист персональних комп'ютерів;
• комплекс з інтернет-шлюзу і Фаєрвол, що відгороджує мережу підприємства від Всесвітньої мережі і захищає комп'ютери користувачів від проникнення ззовні.

Ця тема досить добре освітлена в пресі: справді, захистити персональні комп'ютери на підприємстві не так вже й складно.

Найголовніше - не використовувати на комп'ютері реальний IP-адресу інтернету, і тоді зловмисник не зможе підключитися до вашого комп'ютера. Пояснимо попутно, що IP-адреса (Internet Protocol Address - адреса інтернет-протоколу) - це унікальний ідентифікатор пристрою (комп'ютера), підключеного до локальної мережі або інтернету, за яким його визначають зовнішні пристрої з метою прийому від нього інформації або передачі її.

Друге. Не можна без попередньої перевірки спеціальними програмами відкривати файли з невідомими вам розширеннями (або з відомими розширеннями виконуваних файлів - * .com, * .exe, * .bat), викачані через інтернет або отримані по електронній пошті. Якщо ви отримали поштою файли від ваших знайомих, то попередньо запитаєте по телефону, висилали вони їх вам чи ні. Це дозволить уникнути засмічення комп'ютера програмами-шпигунами і "троянськими кіньми".

Третє - захист локальних файлів. Встановлюйте паролі довжиною не менше 12 букв і ніколи не повідомляйте свій пароль нікому, навіть системного адміністратора (у нього повинен бути свій пароль). Попросіть системного адміністратора обмежити доступ до ваших файлів, крім тих співробітників, кому це необхідно за посадовими інструкціями, і максимально обмежити доступ до файлів через мережу. Зберігайте найважливіші файли на флеш-карті USB, користуватися нею не складніше, ніж дискетою. Міняйте пароль якомога частіше: виберіть для себе алгоритм зміни пароля, наприклад, 1-го числа кожного місяця. Не варто покладатися на те, що ваші колеги - добропорядні громадяни, адже в приміщення можуть потрапити і сторонні і почнуть перебирати відомі паролі: "1", "11" "12345", "пароль", "2006", "lena2006" і т . д. Обов'язково блокуйте комп'ютер або вимикайте його, якщо виходите з офісу. Попросіть вашого адміністратора встановити пароль в BIOS на включення комп'ютера і опломбує комп'ютер наклейкою з печаткою.

Будьте уважні до приходять фахівцям - це один з основних каналів витоку даних; записуйте їх паспортні дані та беріть розписку про нерозголошення інформації. Ніколи не залишайте на тривалий час ключову дискету системи "клієнт-банк" в комп'ютері і не створюйте її копії на комп'ютері.

Для захисту інформації персонального комп'ютера використовують як мінімум чотири види програм.

1. Антивіруси, такі як Kaspersky Antivirus, DrWeb, Norton Antivirus, Panda, NOD32.

2. Персональний міжмережевий екран (інші назви - брандмауер або фаєрвол). Такі програми захищають від проникнення в ваш комп'ютер через мережу і блокують вірусні епідемії. Можна використовувати вбудований в Windows брандмауер, хоча рекомендуються більш потужні - Agnitum Outpost, Symantec Personal Firewall.

3. Програми для виявлення програм-шпигунів і троянських програм. Про таких утиліти часто забувають системні адміністратори, з безкоштовних можна рекомендувати Ad-aware компанії Lavasoft.

4. Програми резервного копіювання. Тут вибір дуже широкий, краще проконсультуватися з системним адміністратором, щоб вся важлива інформація з усіх комп'ютерів дублювалася на резервний носій. Ви можете і самостійно створювати резервні копії своїх файлів на флеш-карту USB або перезаписуваний CD (CD-RW). Бережіть свою працю і створювати резервні копії якомога частіше, адже відновлювати втрачену бухгалтерію або важливі файли вам доведеться вручну.

Інтернет-шлюз + фаєрвол як основа безпеки мережі підприємства

Якщо все персональні комп'ютери захищені, виникає питання: а навіщо ще додатково захищати мережу за допомогою шлюзу? Проблема полягає в тому, що всі локальні комп'ютери знаходяться в довіреної мережі і вразливим місцем стає саме шлюз, який встановлюється на кордоні довіреної мережі та мережі інтернет. Захопивши шлюз через інтернет, зловмисник потрапляє в довірену мережу підприємства і може захопити інші комп'ютери локальної мережі і отримати доступ до важливої ​​інформації. Тому вимоги до сучасного шлюзу пред'являються дуже високі.

Інтернет-шлюз стоїть в одному ряду з іншими готовими рішеннями (рис. 1) і повинен відповідати таким основним критеріям:

• універсальність (підходить для більшості підприємств);
• функціональність (володіє всіма необхідними можливостями для вирішення завдань);
• надійність (безвідмовність роботи в будь-яких умовах);
• низька вартість володіння (мінімальні витрати на впровадження і супровід, простота у використанні і управлінні).

Однак найбільш поширені на сьогоднішній день інтернет-шлюзи в повному обсязі задовольняють сучасним вимогам. На рис. 2 показані поширені види інтернет-шлюзів і їх переваги та недоліки.

Останнім часом на світовому ринку з'явилися нові спеціалізовані рішення для підприємств, які при невеликій ціні мають високу безпеку, надійність і низьку вартість володіння. Є подібні системи і на російському ринку.

Навіщо потрібен інтернет-шлюз

Розглянемо завдання, які вирішуються сучасним інтернет-шлюзом, на прикладі універсального інтернет-шлюзу Ideco Internet Control Server, в якому поєднані висока безпека і зручність використання. Всі ці завдання можна розділити на три групи: захист користувачів і мережі підприємства; облік трафіку, планування і обмеження витрат; фільтрація трафіку відповідно до політики підприємства.

Захист користувачів і мережі підприємства

Сучасний інтернет-шлюз в першу чергу повинен забезпечити захист користувачів і мережі підприємства від атак з мережі інтернет. Для вирішення цього завдання в Ideco ICS використовується технологія NAT (Network Address Translation - перетворення мережних адрес). Ця технологія приховує користувачів від зовнішніх зловмисників, роблячи невидимими з мережі інтернет. Іншою важливою функцією NAT є надання якісного доступу в інтернет, причому всі призначені для користувача програми працюють без додаткових налаштувань, що вигідно відрізняє NAT від технології Proxy.

Але, крім небезпек, які підстерігають вас безпосередньо в мережі інтернет, існують також загрози всередині самого підприємства. Наприклад, інформація може бути перехоплена або передана в інтернет від імені іншого користувача. Для запобігання подібних загроз спільно з NAT використовується технологія VPN (Virtual Private Network - віртуальна приватна мережа). За VPN кожному користувачеві адміністратор призначає особистий захищений IP-адреса, який закріплений за ним постійно. Сам комп'ютер підприємства за замовчуванням не має доступу в інтернет, і тільки після введення логіна і пароля співробітник підприємства отримує персональний захищений вихід у Всесвітню мережу. Крім цього технологія VPN дозволяє підключати по захищеному каналу філії і мобільних співробітників, які працюють з дому або перебувають у відрядженні.

Інтернет-шлюз Ideco ICS забезпечує і антивірусний захист. Вся відправляється і приймається пошта перевіряється вбудованим антивірусом. Таким чином, при отриманні і відправці пошти можна бути впевненим, що вона не містить вірусів і вірусні епідемії і не вразив цей вашу локальну мережу через електронну поштову систему.

Облік трафіку, планування і обмеження витрат

Але що робити, якщо безпеку вже була порушена? В цьому випадку дуже до речі виявиться деталізована статистика. Вона дозволяє з'ясовувати обставини справи вже після того, як безпека була порушена недобросовісними співробітниками. За допомогою статистики завжди можна точно визначити, хто, коли і куди передав дані. Крім іншого це допомагає економити грошові ресурси підприємства. Отримавши звіт про відвідування інтернету в мегабайтах і в рублях, легко в подальшому спланувати витрати на інтернет для користувачів і відділів та встановити відповідні обмеження. Часто програми без відома користувача скачують дуже великі обсяги даних, тому ліміт необхідно встановлювати і для сумлінних користувачів, і для організації в цілому, це дозволить уникнути великих витрат.

Сучасний інтернет-шлюз дозволяє контролювати витрати в реальному часі, попереджати про перевитрату і блокувати доступ в інтернет при перевищенні встановленого ліміту.

Фільтрація трафіку відповідно до політики підприємства

Важливим пунктом в забезпеченні інформаційної безпеки є фаєрвол, що працює на шлюзі. Фаєрвол шлюзу дозволяє заборонити непотрібні протоколи або обмежити доступ до певних сайтів, а також заборонити роботу певних програм, наприклад програми підтримки файлообмінних мереж.

Небезпеку можуть також представляти будь-які надані для скачування в інтернеті файли. Такі файли часто заражені вірусами і програмами-шпигунами. Фаєрвол дозволяє заборонити скачування файлів певного типу, наприклад з розширеннями * .exe або * .avi.

Фаєрвол в Ideco ICS має одну цікаву особливість: він забезпечує інтелектуальну обробку трафіку з метою виділення пріоритетів, що дозволяє важливих додатків якісно працювати при стовідсотковому завантаженні інтернет-каналу.

Зрозуміло, шлюз і сам повинен бути максимально захищений. При його виборі варто приділити увагу тому, на базі якої операційної системи він працює, адже при зломі інтернет-шлюзу інша захист просто втрачає сенс. Однією з найбільш захищених операційних систем на сьогодні є Linux. Раніше використовувати Linux могли тільки підприємства, в штаті яких є висококваліфіковані системні адміністратори зі спеціальними знаннями. Сьогодні з'являється все більше готових продуктів, заснованих на Linux. Так, шлюз Ideco ICS працює на ОС Linux, але управляється через простий графічний інтерфейс, зрозумілий звичайному користувачеві (рис. 3).

***

Як ми з вами переконалися, забезпечення інформаційної безпеки компанії - це рішення цілком конкретних і відомих задач. З використанням сучасного програмного забезпечення захиститися від інтернет-загроз під силу будь-якому підприємству.