ю і передбачати особливі випадки екстреного внесення змін до програмно-апаратні засоби захищається ІС.
У залежності від масштабу компанії можна виділити три основні класи мереж: IECO (International Enterprise Central Office) - центральна мережу міжнародної розподіленої компанії, яка може нараховувати сотні і тисячі вузлів; ROBO (Regional Office/Branch Office) - мережа регіональної філії, що налічує кілька десятків або сотень вузлів; SOHO (Small Office/Home Office), - мережі невеликих філій або домашні (мобільні) комп'ютери, що підключаються до центральної мережі. Можна також виділити три основні сценарії забезпечення інформаційної безпеки для цих класів мереж, що розрізняються різними вимогами щодо забезпечення захисту інформації.
Після першого сценарії мінімальний рівень захищеності забезпечується за рахунок можливостей, вбудованих в мережеве обладнання, яке встановлено на периметрі мережі (наприклад, в маршрутизаторах). Залежно від масштабів мережі, що захищається ці можливості (захист від підміни адрес, мінімальна фільтрація трафіку, доступ до устаткування по паролю і т. Д.) Реалізуються в магістральних маршрутизаторах - наприклад, Cisco 7500 або Nortel BCN, маршрут?? заторах регіональних підрозділів - наприклад, Cisco 2500 або Nortel ASN, і маршрутизаторах віддаленого доступу - наприклад, Cisco 1600 або 3ComOfficeConnect. Великих додаткових фінансових витрат цей сценарій не вимагає.
Другий сценарій, що забезпечує середній рівень захищеності, реалізується вже за допомогою додатково придбаних засобів захисту, до яких можуть бути віднесені нескладні міжмережеві екрани, системи виявлення атак і т. п. У центральній мережі може бути встановлений міжмережевий екран (наприклад, CheckPoint Firewall - 1), на маршрутизаторах можуть бути налаштовані найпростіші захисні функції, що забезпечують першу лінію оборони (списки контролю доступу і виявлення деяких атак), весь вхідний трафік перевіряється на наявність вірусів і т. д. Регіональні офіси можуть захищатися більш простими моделями міжмережевих екранів. При відсутності в регіонах кваліфікованих фахівців рекомендується встановлювати програмно-апаратні комплекси, керовані централізовано і не потребують складної процедури введення в експлуатацію (наприклад, CheckPoint VPN - 1 Appliance на базі Nokia IP330).
Третій сценарій, що дозволяє досягти максимального рівня захищеності, призначений для серверів e-Commerce, Internet-банків і т. д. У цьому сценарії застосовуються високоефективні і багатофункціональні міжмережеві екрани, сервери аутентифікації, системи виявлення атак і системи аналізу захищеності. Для захисту центрального офісу можуть бути застосовані кластерні комплекси міжмережевих екранів, що забезпечують відмовостійкість і високу доступність мережевих ресурсів (наприклад, CheckPoint VPN - 1 Appliance на базі Nokia IP650 або CheckPoint VPN - 1 з High Availability Module). Також вкластер можуть бути встановлені системи виявлення атак (наприклад, RealSecure Appliance).
Для виявлення вразливих місць, які можуть бути використані для реалізації атак, можуть бути застосовані системи аналізу захищеності (наприклад, сімейство SAFE - suite компанії Internet Security Systems). Аутентифікація зовнішніх і внутрішніх користувачів здійснюється за допомогою серверів аутентифікації (наприклад, CiscoSecure ACS). Ну і, нарешті, доступ домашніх (мобільних) користувачів до ресурсів центральної та регіональних мереж забезпечується по захищеному VPN-з'єднання. Віртуальні приватні мережі (Virtual Private Network - VPN) також використовуються для забезпечення захищеного взаємодії центрального та регіональних офісів. Функції VPN можуть бути реалізовані як за допомогою міжмережевих екранів (наприклад, CheckPoint VPN - 1), так і за допомогою спеціальних засобів побудови VPN. Авторизоване навчання та підтримка допоможуть швидко ввести систему захисту в експлуатацію і налаштувати її на технологію обробки інформації, прийняту в організації. Орієнтовна вартість оновлення складає близько 15-20% вартості програмного забезпечення. Вартість річної підтримки з боку виробника, яка, як правило, вже включає в себе оновлення ПЗ, становить близько 20-30% вартості системи захисту. Таким чином, щороку потрібно витрачати не менше 20-30% вартості ПЗ на продовження технічної підтримки засобів захисту інформації. Стандартний набір засобів комплексного захисту інформації у складі сучасної ІС зазвичай містить наступні компоненти:
· засоби забезпечення надійного зберігання інформації з використанням технології захисту на файловому рівні (FileEncryption System - FES);
· кошти авторизації і розмежування доступу до інформаційних ресурсів, а також захист від несанкціонованого доступу до інформації з використанням систем біометричної авторизації і технології токенов (смарт-карти, touch-memory, ключі для USB-пор...
