Файл: Безопасность сетевой инфраструктуры предприятия и рекомендации по ее повышению.pdf

Таким образом, главными задачами любой системы информационной безопасности являются: обеспечение доступности данных для авторизированных пользователей — возможности оперативного получения информационных услуг; гарантия целостности информации — ее актуальности и защищенности от несанкционированного изменения или уничтожения; обеспечение конфиденциальности сведений.

2.2 Безопасность сетевой инфраструктуры предприятия и рекомендации по ее повышению

В наше время, когда информационные технологии уже крепко связаны с бизнес-процессами большинства компаний, а способы и методы сетевых атак постоянно совершенствуются и развиваются, все еще бытует мнение что установка обычного сетевого экрана на границе сети достаточно для защиты внутренних корпоративных ресурсов. Это, к сожалению, не совсем так, а, вернее, совсем не так.

Как пример малой эффективности обычного межсетевого экрана, пользователь системы может самостоятельно нажать на ссылочку, полученную от хорошо знакомого друга в социальной сети либо по почте, скачать и запустить вирус, который, используя известный эксплоит не обновлённой операционной системы или программы, получит права администратора и будет выполнять злонамеренную задачу изнутри корпоративной сети^[8].

При этом копии вируса будут активно рассылаться по контакт листу пораженной системы.

В Интернете доступны онлайн системы для тестирования подозрительных файлов разными антивирусными программами, но ими в первую очередь пользуются те же злоумышленники для написания новых «незаметных» вирусов.

В связи с этим в наше время существует такое огромное количество бот-нет сетей, достаточно просто купить номера ворованных кредитных карточек и все больше взлом компьютеров стает обычным методом зарабатывания денег.

Поэтому задача обеспечения безопасности требует комплексного подхода на всех уровнях сетевой инфраструктуры и компьютерных ресурсов.

Общие подходы и технологии для построения безопасной сети

---

Процесс построения безопасной сетевой инфраструктуры начинается с планирования.

На этом этапе перечисляются сервисы, которые будут использоваться в сети, связанные с ними риски, определяются необходимые шаги и механизмы для снижения этих рисков.

На основании данных, полученных на этапе планирования, разрабатывается соответствующий дизайн сетевой инфраструктуры и создается набор политик безопасности. После этого идет этап непосредственного внедрения.

Поскольку безопасность это не конечный результат, а процесс, внедрением и первоначальной настройкой какой-либо системы защиты ничего не заканчивается.

Решения безопасности требуют постоянного «внимания»: отслеживания событий безопасности, их анализа и оптимизации соответствующих политик.

От написания эффективных политик безопасности и их строгого соблюдения очень зависит работа всего комплекса защиты. Правильные политики должны быть зафиксированы документально, не иметь большого количества  исключений.

На все оборудование должны регулярно устанавливаться обновления. Также большую угрозу для безопасности составляют простые пользовательские пароли, ошибки в конфигурации устройств, использование настроек по умолчанию, незащищенных протоколов и технологий.

Для обеспечения полной безопасности всей IT инфраструктуры необходимо внедрять механизмы защиты на всех уровнях сети от границы до коммутаторов доступа.

На уровне доступа крайне рекомендуется:

1. использовать управляемые коммутаторы с поддержкой функционала защиты протоколов ARP, DHCP, STP;
2. авторизовать пользователей при подключении с помощью технологии 802.1x;
3. подключать сотрудников в разные VLAN в зависимости от их функциональных обязанностей и задавать правила взаимодействия и доступа к разным ресурсам на уровне распределения.

При подключении к сети WAN и Интернет важно помимо межсетевого экрана иметь возможность сканировать трафик на уровне приложений, проверять наличие угроз с помощью IPS систем.

Пограничное оборудование должно быть стойким к DoS и DDoS атакам.

Крайне рекомендуется для выхода пользователей в Интернет  использовать прокси сервера с дополнительной проверкой на вирусы, нежелательное, вредоносное и шпионские ПО^[9].

На прокси дополнительно можно организовать веб и контент фильтрацию.

Также важно наличие решения для проверки почты на предмет спама и вирусов.

Все корпоративные ресурсы, к которым нужно обеспечить доступ извне в целях безопасности должны быть вынесены в отдельную демилитаризированную зону DMZ.

---

Для удаленного доступа использовать технологию VPN с шифрованием передаваемых данных.

Для управления всем сетевым оборудованием должны использоваться защищенные протоколы SSH, HTTPS, SNMPv3. Для возможности анализа логов время на устройствах должно быть синхронизировано. Для понимания, какой трафик ходит в сети, насколько загружено оборудование, какие события на нем происходят, использовать протоколы Syslog, RMON, sFlow, NetFlow.

Очень важно вести учет, кто, когда и какие изменения вносит в конфигурацию оборудования.

Наличие в оборудовании достаточного количества проводных и беспроводных интерфейсов, поддержка удаленного доступа к корпоративным ресурсам,  интеграция с различными службами каталогов делает эти устройства идеальным решениям для небольшого офиса. Для подключения проводных пользователей в решение рекомендуем добавить управляемый коммутатор второго уровня с настроенной защитой от атак из локальной сети.

Для средних офисов рекомендуется модульная организация сети, где каждое устройство отвечает за определенный круг задач. На таких предприятиях локальную сеть необходимо строить с обязательным разделением уровней ядра и доступа пользователей.

При большом количестве серверов отдельно выносить коммутаторы агрегации дата центра. Рекомендуется разграничить функции пограничного маршрутизатора и межсетевого экрана, разделив их на два разных устройства.

Резервирование модуля подключения к Интернет можно достичь путем дублирования всего оборудования и настройки на них соответствующих протоколов отказоустойчивости^[10].

При наличии в компании филиалов, надомных и мобильных сотрудником, подключения к корпоративным ресурсам необходимо обеспечить по технологии VPN.

Также одним из важных составляющих решения безопасности есть программное обеспечение для мониторинга сети, наличие которого существенно облегчит работу сетевых администраторов и позволит вовремя реагировать на угрозы, обеспечивая этим непрерывность работы всех сетевых сервисов.

Сетевая безопасность в большой распределенной сети предприятия.

Сеть большого распределенного предприятия по принципу реализации подобна к среднему и отличается большим распределением функций между устройствами, высшим требованием к отказоустойчивости, наличием выделенной WAN сети для передачи данных между филиалами. Модуль подключения к WAN в целях безопасности реализуется отдельно от модуля подключения к Интернету.

---

Для построения такой сети используется оборудование тех же производителей, которые были перечислены для среднего предприятия.

Таким образом, во многих организациях управление обновлениями представляет собой большую проблему. Отслеживание обновлений для снижения уровня уязвимости систем, а также тестирование этих обновлений перед установкой на функционирующие системы занимает очень много времени, но эти задачи очень важны для любой организации.

Заключение

На сегодняшний день компьютеризация на рабочих местах не является чем-то необычным. Наличие компьютеров в офисе с большим потоком информации и объем работы с документами замедляет работу сотрудников, создает неудобства.

Успех практически любого предприятия, организации связан или зависит от наличия и настройки информационных систем, которые сейчас часто называют корпоративными сетями.

Съемные носители данных больше не нужны для обмена данными, нет необходимости печатать на бумажных документах, которые необходимо предоставить нескольким пользователям.

Сетевой принтер, модем, сканер можно установить в сети, а сетевой сервер используется в качестве сервера приложений.

Кроме того, такие сети являются закрытыми сетями, доступ к ним разрешен только определенному числу пользователей, что вызывает защиту информации.

Все эти функции не могут быть реализованы с использованием только операционных систем и прикладных программ. Поэтому большинство современных предприятий используют ЛВС.

Сеть передачи данных, открытые широкие возможности для бизнеса. Трудно представить современную организацию, которая не использует ее системы, электронную почту, телефонию для организации своей деятельности.

Локальные и глобальные сети часто являются основой, без которой невозможно работать с внутренними и внешними услугами, деятельностью отдельных сотрудников, отделов или даже всей компании в целом.

Поэтому обеспечение бесперебойной работы сети является одной из важнейших задач этого сервиса.

Использование систем мониторинга сетевой инфраструктуры значительно улучшит доступность сети, предотвратит возникновение аварий и сократит время, необходимое для восстановления после сбоев.

Выбор конкретной реализации зависит от конфигурации сети, которая будет использовать систему мониторинга, функциональные требования системы, возможности развертывания и возможности поддержки.

---

Список использованной литературы

1. Айвенс К. Внедрение, управление и поддержка сетевой инфраструктуры MS Windows Server 2003 / К. Айвенс. — М. : Интернет-Университет Информационных Технологий (ИНТУИТ), 2016. — 914 c. 
2. Алексеев В.А. Маршрутизация и защита сетевого трафика в сетях TCP/IP: методические указания к проведению лабораторных работ по курсу «Сетевые технологии» / В.А. Алексеев. — Липецк: Липецкий государственный технический университет, ЭБС АСВ, 2013. — 35 c. 
3. Андрончик А.Н. Сетевая защита на базе технологий фирмы Cisco Systems. Практический курс: учебное пособие / А.Н. Андрончик [и др.]. — Екатеринбург: Уральский федеральный университет, 2014. — 180 c. 
4. Астахова А.В. Информационные системы в экономике и защита информации на предприятиях — участниках ВЭД: учебное пособие / А.В. Астахова. — СПб. : Троицкий мост, 2014. — 216 c. 
5. Башлы П.Н. Информационная безопасность и защита информации: учебное пособие / П.Н. Башлы, А.В. Бабаш, Е.К. Баранова. — М. : Евразийский открытый институт, 2012. — 311 c. 
6. Бурняшов Б.А. Меры защиты информации на уровне пользователя информационно-технологическими средствами: методические указания к самостоятельной работе студентов / Б.А. Бурняшов. — Саратов: Вузовское образование, 2014. — 55 c. 
7. Жидко Е.А. Логико-вероятностно-информационный подход к моделированию информационной безопасности объектов защиты: монография / Е.А. Жидко. — Воронеж: Воронежский государственный архитектурно-строительный университет, ЭБС АСВ, 2016. — 121 c. 
8. Иванов А.Л. Информационная безопасность и защита информации: учебно-методический комплекс / А.Л. Иванов. — Алматы: Нур-Принт, 2012. — 98 c. 
9. Ложников П.С. Обеспечение безопасности сетевой инфраструктуры на основеоперационных систем Microsoft: практикум / П.С. Ложников, Е.М. Михайлов. — Москва, Саратов: Интернет-Университет Информационных Технологий (ИНТУИТ), Вузовское образование, 2017. — 264 c. 
10. Мифтахова Л.Х. Программно-аппаратные средства защиты информации: учебное пособие для студентов вузов по направлению подготовки «Информационная безопасность» / Л.Х. Мифтахова [и др.]. — СПб. : Интермедия, 2018. — 408 c. 
11. Новиков Д.А. Сетевые структуры и организационные системы: монография / Д.А. Новиков. — М. : ИПУ РАН, 2013. — 102 c. 
12. Пакин А.И. Информационная безопасность информационных систем управления предприятием: учебное пособие по части курса / А.И. Пакин. — М. : Московская государственная академия водного транспорта, 2014. — 41 c. 
13. Прохорова О.В. Информационная безопасность и защита информации: учебник / О.В. Прохорова. — Самара: Самарский государственный архитектурно-строительный университет, ЭБС АСВ, 2014. — 113 c. 
14. Рогозин В.Ю. Основы информационной безопасности: учебник для студентов вузов, обучающихся по направлению подготовки «Правовое обеспечение национальной безопасности» / В.Ю. Рогозин [и др.]. — М. : ЮНИТИ-ДАНА, 2017. — 287 c. 
15. Шаньгин В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. — Саратов: Профобразование, 2017. — 702 c. 

---