гають конфіденційності при посилці даних один одному. Щоб реалізувати план безпеки для юридичного відділу, адміністратор може виконати наступні кроки:
1. Створити політику безпеки з ім'ям Legal і прив'язати її до заданої за замовчуванням політиці домену (Default Domain Policy). Оскільки кожен комп'ютер входить до домен компанії, агент політики комп'ютера вибере політику безпеки Legal у каталозі Active Directory. Політика безпеки Legal могла б мати описані нижче політику переговорів і IP-фільтри, пов'язані з нею.
2. Створити дві політики переговорів і пов'язати їх з політикою безпеки Legal:
В· першу політику переговорів, Legal NP 1, налаштовану на служби і забезпечує конфіденційність для взаємодії користувачів юридичного відділу з користувачами інших відділів ("передані дані будуть конфіденційні, справжні і не модифіковані "- парадигма протоколу безпеки ESP);
В· другу політику переговорів, Legal NP 2, налаштовану на служби і забезпечує тільки встановлення автентичності та захист від змін, коли користувачі юридичної відділу спілкуються одне з одним ("передані дані будуть справжні і не модифіковані "- парадигма протоколу безпеки АН). p> 3. Створити дві IP-фільтра і пов'язати кожен з політикою переговорів. Користувачі в юридичному відділі знаходяться в мережі 157.55.0.0 з маскою підмережі 255.255.0.0. Користувачі інших відділів знаходяться в мережі 147.20.0.0 з маскою підмережі 255.255.0.0. Перший IP-фільтр, Legal IP Filter 1, призначено користувачів в юридичному відділі, які зв'язуються з користувачами інших відділів. Він буде пов'язаний з політикою переговорів Legal NP 1. Адміністратор встановлює властивості фільтра у відповідності з наступними значеннями:
В· заданий IP-адреса для джерела - 157.55.0.0. Ця адреса буде відповідати будь-якому адресою IP в мережі юридичного відділу, т. к. він є IP-адресою підмережі;
В· заданий IP-адреса для одержувача - 147.20.0.0;
В· оскільки план безпеки компанії обумовлює безпеку всіх даних, посланих при допомоги протоколу IP, тип протоколу - будь-який (Any). p> Користувачі юридичного відділу, що підтримують зв'язок з іншими користувачами всередині відділу, використовують другий IP-фільтр, Legal IP Filter 2. Він пов'язаний з політикою переговорів, Legal NP 2, а параметри фільтру встановлені у відповідності зі такими значеннями:
В· заданий IP-адреса для джерела - 157.55.0.0;
В· заданий IP-адресу для одержувача - 157.55.0.0;
В· тип протоколу - будь-який (Any). p> Коли користувач в юридичному відділі посилає інформацію будь-якого іншого користувачеві, адреси джерела і одержувача IP-пакетів звіряються з IP-фільтрами політики безпеки Legal. Якщо адреси відповідають одному з фільтрів, пов'язана політика переговорів визначає рівень IP-безпеки для підтримання взаємодії. Наприклад, якщо користувач в юридичному відділі з адресою IP 157.55.2.1 посилає дані користувачеві з адресою 147.20.4.5, це відповідає Legal IP Filter 1. Це означає, що зв'язок буде організована на рівні безпеки, визначеному політикою переговорів Legal NP 1, яка забезпечує встановлення автентичності, захист від змін і конфіденційність зв'язку. <В
Адміністрування безпеки IP
Управління безпекою IP у Windows Server 2003 дозволяє адміністраторам створювати персоналізовану політику безпеки з унікальною політикою переговорів і IP-фільтрами. Чи не потрібні ніякі зміни прикладних програм. Також не потрібно навчати кінцевих користувачів, оскільки адміністратори конфігурують всю політику безпеки в службі Active Directory, а дії шифрування прозорі на рівні кінцевого користувача.
В
Малюнок 6. Управління політиками IP Security у вікні оснащення Default Domain Policy
Можна конфігурувати безпеку IP, використовуючи оснащення Local Security Settings (Локальні параметри безпеки) (на локальному комп'ютері) або Default Domain Policy (рис. 6) (для домену). Також можна підключити до консолі ММС ізольовану оснастку IP Security Policy Management (Управління політикою безпеки IP) і налаштувати її для комп'ютера або домену. br/>
Шифруюча файлова система EFS
На персональному комп'ютері операційну систему можна завантажити не з жорсткого, а з гнучкого диска. Це дозволяє обійти проблеми, пов'язані з відмовою жорсткого диска і руйнуванням завантажувальних розділів. Однак, оскільки за допомогою гнучкого диска можна завантажувати різні операційні системи, будь-який користувач, який отримав фізичний доступ до комп'ютера, може обійти вбудовану систему управління доступом файлової системи NTFS і за допомогою певних інструментів прочитати інформацію жорсткого диска. Єдино надійний спосіб захисту інформації - це шифрующая файлова система. На ринку програмного забезпечення існує цілий набір продуктів, що забезпечують шифрування даних за допомогою утвореного від пароля ключа на рівні додатків. Однак ...
