Обеспечение безопасности в компьютерах и корпоративных сетях

/>КАЗАНСКИЙГОСУДАРСТВЕННЫЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ
Кафедра экономической теории и правовой статистки математики иинформатики
Контрольная работа
по Информатике
на тему: Обеспечение безопасности в компьютерах и корпоративныхсетях
Работувыполнил: Сидоров А.К.
Научныйруководитель:
КорчагинГ.Е.
КАЗАНЬ 2007

СОДЕРЖАНИЕ
Введение… 3
1. Общие сведения о компьютерных сетях… 5
2. Обеспечение безопасности в компьютерных сетях… 8
3. Общие сведения о корпоративных сетях… 17
4. Обеспечение безопасности в корпоративных сетях… 20
Заключение… 25
Список использованной литературы… 26

Введение
Актуальность этой темы заключается в том, что изменения,происходящие в экономической жизни России — создание финансово-кредитной системы,предприятий различных форм собственности и т.п. — оказывают существенноевлияние на вопросы защиты информации. Долгое время в нашей стране существовалатолько одна собственность — государственная, поэтому информация и секреты былитоже только государственные, которые охранялись мощными спецслужбами. Проблемыинформационной безопасности постоянно усугубляются процессами проникновенияпрактически во все сферы деятельности общества технических средств обработки ипередачи данных и, прежде всего вычислительных систем. Объектами посягательствмогут быть сами технические средства (компьютеры и периферия) как материальныеобъекты, программное обеспечение и базы данных, для которых техническиесредства являются окружением. Каждый сбой работы компьютерной сети это нетолько «моральный» ущерб для работников предприятия и сетевыхадминистраторов. По мере развития технологий платежей электронных,«безбумажного» документооборота и других, серьезный сбой локальныхсетей может просто парализовать работу целых корпораций и банков, что приводитк ощутимым материальным потерям. Не случайно, что защита данных в компьютерныхсетях становится одной из самых острых проблем в современной информатике. Насегодняшний день сформулировано два базовых принципа информационной безопасности,которая должна обеспечивать: — целостность данных — защиту от сбоев, ведущих кпотере информации, а также неавторизованного создания или уничтожения данных. — конфиденциальность информации и, одновременно, ее доступность для всехавторизованных пользователей. Следует также отметить, что отдельные сферыдеятельности (банковские и финансовые институты, информационные сети, системыгосударственного управления, оборонные и специальные структуры) требуютспециальных мер безопасности данных и предъявляют повышенные требования кнадежности функционирования информационных систем, в соответствии с характероми важностью решаемых ими задач.
Целью написания контрольной работы является: для началаизучение и уяснения базовых понятий, далее, на основе этих понятий комплексноеизучение способов и методов защиты информации в компьютерных сетях, а на основекомпьютерных, в корпоративных сетях. Вышепоставленная цель предопределиларешение следующих задач, в которых следует рассмотреть:
·    Общие сведения о компьютерных сетях.
·    Обеспечение безопасности в компьютерных сетях.
·    Общие сведения о корпоративных сетях.
·    Обеспечение безопасности в корпоративных сетях.
Работа написана на основе сравнительно-сопоставительногометода учебной и специальной литературы. В эту работу вошли труды профессораН.А. Андриашина, С.Я. Казанцева (учебник написанный под их редакцией послужилосновой, опираясь на которую написана эта работа), а также труды О.Э. Згадзая,С.Я. Казанцева, Л.А. Казанцевой (для уточнения некоторых моментов которыевозникли в следствии расхождения точек зрений), Косарева Е.Д., Ерёмина А.В.Комиссарова А.Ю., Подлесного А. В Феоктисова Г.Г., Д. Ведеева и других.

1. Общие сведения о компьютерных сетях
В настоящее время большинство компьютеров используется неизолированно от других компьютеров, а постоянно или время от времениподключаются к локальным или глобальным компьютерным сетям для получения тойили иной информации, посылки и получения сообщений и т.д. В этой главе мырасскажем о локальных сетях, а также о общемировой сети Internet.
Компьютерная сеть — это совокупность компьютеров,объединенных каналами связи[1].
Исходя из приведенного выше определения, можно сказать, чтокомпьютерные сети используются для организации коллективной работы, доступа кобщим информационным ресурсам и организации общения между пользователями сети.
Что насчет каналов связи, то они различаются как по типупроводящей среды (проводная и беспроводная), так и по физической реализации(коаксиальный кабель, оптическое волокно, спутниковый канал, радиосвязь,лазерный или инфракрасный сигнал и др.) [2].Характеристики каналов связи определяют возможности канала связисоответствовать определенным требованиям, которые предъявляются пользователемданного канала связи. Помимо основных характеристик канала, учитываются такжестоимость, надежность и достоверность передачи информации, и другиехарактеристики.
Существует несколько вариантов классификации компьютерныхсетей.
По территориальному признаку различают сети:
— Локальные (Local Area Network),которые ограничиваются размерами помещения, здания либо группы рядом стоящихзданий.
— Региональные (Metropolitan Area Network), которые являются объединением локальных сетей впределах территории, или корпоративные для крупной организации, имеющейудаленные друг от друга офисы. Частным случаем региональной сети являетсягородская публичная сеть крупного мегаполиса.
— Глобальные сети (Wide Area Network) строятся на основе региональных сетей[3].
Другой вариант классификации сетей — учет их различия вгеометрической схеме (топологии) соединения узлов сети. На локальном уровневыделяют три варианта топологии: общая шина, кольцо, звезда. Общая шинапредполагает подключение компьютеров к общему кабелю, на концах которого — терминальные конвекторы. В топологии «звезда» имеется центральноекоммутационное устройство, к которому подключен каждый компьютер. В«кольце» компьютеры замкнуты в цепочку, сигнал передается от однойстанции к другой[4].
В дополнении вышеприведенной классификации приводитсядополнительная классификация описанная в работах Комиссарова А.Ю., ПодлесногоА.В.: каждая из перечисленных сетей может быть: Односерверной – сетьобслуживается одним файл-сервером (ФС); Многосерверной – сеть обслуживаетсянесколькими ФС; Распределенной — две или более локальных сетей, соединенныхвнутренним или внешним мостами (мост или межсетевое соединение управляетпроцессом обмена пакетами данных из одной кабельной системы в другую).Пользователи распределенной сети могут использовать резервы (такие как: файлы,принтеры или дисковые драйвы) всех соединенных локальных сетей; Многосервернойлокальной – когда локальная сеть обслуживается более чем одним файл-сервером;Многосерверной распределенной. Также ЛВС могут быть одноранговыми (всекомпьютеры в сети равноправны, т.е. нет ФС, Любая рабочая станция можетполучить доступ к любой другой рабочей станции) и с централизованнымуправлением (выделенным сервером). [5]
Локальная сеть — это группа компьютеров, которые могутсвязываться друг с другом, совместно использовать периферийное оборудование (например,жесткие диски, принтеры и т.д.) и обращаться к удаленным центральным ЭВМ илидругим локальным сетям. Локальная сеть может состоять из одного или болеефайл-серверов, рабочих станций и периферийных устройств. Пользователи сетимогут совместно использовать одни и те же файлы (как файлы данных, так и файлыпрограмм), посылать сообщения непосредственно между рабочими станциями изащищать файлы с помощью мощной системы защиты[6].
Объединение компьютеров в сети позволило значительноповысить производительность труда. Компьютеры используются как дляпроизводственных (или офисных) нужд, так и для обучения.
В настоящее время локальные вычислительные (ЛВС) получилиочень широкое распространение. Это вызвано несколькими причинами: объединениекомпьютеров в сеть позволяет значительно экономить денежные средства за счетуменьшения затрат на содержание компьютеров (достаточно иметь определенноедисковое пространство на файл-сервере (главном компьютере сети) сустановленными на нем программными продуктами, используемыми несколькимирабочими станциями); локальные сети позволяют использовать почтовый ящик дляпередачи сообщений на другие компьютеры, что позволяет в наиболее короткий срокпередавать документы с одного компьютера на другой; локальные сети, при наличииспециального программного обеспечения (ПО), служат для организации совместногоиспользования файлов (к примеру, бухгалтеры на нескольких машинах могутобрабатывать проводки одной и той же бухгалтерской книги).
Кроме всего прочего, в некоторых сферах деятельности простоневозможно обойтись без ЛВС. К таким сферам относятся: банковское дело,складские операции крупных компаний, электронные архивы библиотек и др. В этихсферах каждая отдельно взятая рабочая станция в принципе не может хранить всейинформации (в основном, по причине слишком большого ее объема). Сеть позволяетизбранным (зарегистрированным на файл-сервере) пользователям получать доступ ктой информации, к которой их допускает оператор сети.
2. Обеспечение безопасности в компьютерныхсетях
При рассмотрении проблем защиты данных в компьютерной сети,прежде всего, возникает вопрос о классификации сбоев и нарушений, прав доступа,которые могут привести к уничтожению или нежелательной модификации данных.Среди таких потенциальных «угроз» можно выделить:
1. Сбои оборудования: — сбои кабельной системы; — перебоиэлектропитания; — сбои дисковых систем; — сбои систем архивации данных; — сбоиработы серверов, рабочих станций, сетевых карт и т.д.
2. Потери информации из-за некорректной работы персональногооборудования (ПО): — потеря или изменение данных при ошибках ПО; — потери призаражении системы компьютерными вирусами.
3. Потери, связанные с несанкционированным доступом: — несанкционированное копирование, уничтожение или подделка информации; — ознакомление с конфиденциальной информацией, составляющей тайну, постороннихлиц;
4. Потери информации, связанные с неправильным хранениемархивных данных.
5. Ошибки обслуживающего персонала и пользователей: — случайное уничтожение или изменение данных; — некорректное использованиепрограммного и аппаратного обеспечения, ведущее к уничтожению или изменениюданных[7].
В зависимости от возможных видов нарушений работы сетимногочисленные виды защиты информации объединяются в три основных класса:
— средства физической защиты, включающие средства защитыкабельной системы, систем электропитания, средства архивации, дисковые массивыи т.д.
— программные средства защиты, в том числе: антивирусныепрограммы, системы разграничения полномочий, программные средства контролядоступа.
— административные меры защиты, включающие контроль доступав помещениях, разработку стратегии безопасности фирмы, планов действий вчрезвычайных ситуациях и т.д. [8]. Следуетотметить, что подобное деление достаточно условно, поскольку современныетехнологии развиваются в направлении сочетания программных и аппаратных средствзащиты. Наибольшее распространение такие программно-аппаратные средстваполучили, в частности, в области контроля доступа, защиты от вирусов и т.д.
Как уже говорилось выше, защита кабельной системы являетсяразновидностью средств физической защиты информации в компьютерных сетях.кабельная система остается главной “ахиллесовой пятой” большинства локальныхвычислительных сетей: по данным различных исследований, именно кабельнаясистема является причиной более чем половины всех отказов сети. Подробноеописание защиты кабельной системы приводится в трудах Д. Ведеева[9]:в связи с этим кабельной системе должно уделяться особое внимание с самогомомента проектирования сети. Наилучшим образом избавить себя от “головной боли”по поводу неправильной прокладки кабеля является использование получившихширокое распространение в последнее время так называемых структурированныхкабельных систем, использующих одинаковые кабели для передачи данных влокальной вычислительной сети, локальной телефонной сети, передачивидеоинформации или сигналов от датчиков пожарной безопасности или охранныхсистем. К структурированным кабельным системам относятся, например, SYSTIMAXSCS фирмы AT&T, OPEN DECconnect компании Digital, кабельная системакорпорации IBM. Понятие “структурированность” означает, что кабельную системуздания можно разделить на несколько уровней в зависимости от назначения иместорасположения компонентов кабельной системы. Например, кабельная системаSYSTIMAX SCS состоит из: — Внешней подсистемы (campus subsystem) — Аппаратных(equipment room) — Административной подсистемы (administrative subsystem) — Магистрали (backbone cabling) — Горизонтальной подсистемы (horizontalsubsystem) — Рабочих мест (work location subsystem) Внешняя подсистема состоитиз медного оптоволоконного кабеля, устройств электрической защиты и заземленияи связывает коммуникационную и обрабатывающую аппаратуру в здании (иликомплексе зданий). Кроме того, в эту подсистему входят устройства сопряжениявнешних кабельных линий и внутренних. Аппаратные служат для размещенияразличного коммуникационного оборудования, предназначенного для обеспеченияработы административной подсистемы. Административная подсистема предназначенадля быстрого и легкого управления кабельной системы SYSTIMAX SCS при изменениипланов размещения персонала и отделов. В ее состав входят кабельная система(неэкранированная витая пара и оптоволокно), устройства коммутации и сопряжениямагистрали и горизонтальной подсистемы, соединительные шнуры, маркировочныесредства и т.д. Магистраль состоит из медного кабеля или комбинации медного и оптоволоконногокабеля и вспомогательного оборудования. Она связывает между собой этажи зданияили большие площади одного и того же этажа. Горизонтальная система на базевитого медного кабеля расширяет основную магистраль от входных точекадминистративной системы этажа к розеткам на рабочем месте. И, наконец,оборудование рабочих мест включает в себя соединительные шнуры, адаптеры,устройства сопряжения и обеспечивает механическое и электрическое соединениемежду оборудованием рабочего места и горизонтальной кабельной подсистемы.Наилучшим способом защиты кабеля от физических (а иногда и температурных ихимических воздействий, например, в производственных цехах) является прокладкакабелей с использованием в различной степени защищенных коробов. При прокладке сетевогокабеля вблизи источников электромагнитного излучения необходимо выполнятьследующие требования: а) неэкранированная витая пара должна отстоять минимум на15-30 см от электрического кабеля, розеток, трансформаторов и т.д. б)требования к коаксиальному кабелю менее жесткие — расстояние до электрическойлинии или электроприборов должно быть не менее 10-15 см. Другая важная проблемаправильной инсталляции и безотказной работы кабельной системы — соответствиевсех ее компонентов требованиям международных стандартов. Наибольшеераспространение в настоящее время получили следующие стандарты кабельныхсистем: Спецификации корпорации IBM, которые предусматривают девять различныхтипов кабелей. Наиболее распространенным среди них является кабель IBM type 1 — - экранированная витая пара (STP) для сетей Token Ring. Система категорийUnderwriters Labs (UL) представлена этой лабораторией совместно с корпорациейAnixter. Система включает пять уровней кабелей. В настоящее время система ULприведена в соответствие с системой категорий EIA/TIA. Стандарт EIA/TIA 568 былразработан совместными усилиями UL, American National Standarts Institute(ANSI) и Electronic Industry Association/Telecommunications IndustryAssociation, подгруппой TR41.8.1 для кабельных систем на витой паре (UTP). В дополнениек стандарту EIA/TIA 568 существует документ DIS 11801, разработанный InternationalStandard Organization (ISO) и InternationalElectrotechnical Commission (IEC). Данный стандарт использует термин“категория” для отдельных кабелей и термин “класс” для кабельных систем.Необходимо также отметить, что требования стандарта EIA/TIA 568 относятсятолько к сетевому кабелю. Но реальные системы, помимо кабеля, включают такжесоединительные разъемы, розетки, распределительные панели и другие элементы.Использования только кабеля категории 5 не гарантирует создание кабельнойсистемы этой категории. В связи с этим все выше перечисленное оборудованиедолжно быть также сертифицировано на соответствие данной категории кабельнойсистемы.
Наиболее надежным средством предотвращения потерь информациипри кратковременном отключении электроэнергии в настоящее время являетсяустановка источников бесперебойного питания – такой способ обеспечениябезопасности предлагается в работе М. Рааба. [10]Различные по своим техническим и потребительским характеристикам, подобныеустройства могут обеспечить питание всей локальной сети или отдельнойкомпьютера в течение промежутка времени, достаточного для восстановления подачинапряжения или для сохранения информации на магнитные носители. Большинствоисточников бесперебойного питания одновременно выполняет функции истабилизатора напряжения, что является дополнительной защитой от скачковнапряжения в сети. Многие современные сетевые устройства — серверы,концентраторы, мосты и т.д. — оснащены собственными дублированными системамиэлектропитания.
За рубежом корпорации имеют собственные аварийныеэлектрогенераторы или резервные линии электропитания. Эти линии подключены кразным подстанциям, и при выходе из строя одной них электроснабжениеосуществляется с резервной подстанции[11].
Организация надежной и эффективной системы архивации данныхявляется одной из важнейших задач по обеспечению сохранности информации в сети.В небольших сетях, где установлены один-два сервера, чаще всего применяетсяустановка системы архивации непосредственно в свободные слоты серверов. Вкрупных корпоративных сетях наиболее предпочтительно организовать выделенныйспециализированный архивационный сервер. Хранение архивной информации,представляющей особую ценность, должно быть организовано в специальномохраняемом помещении. Специалисты рекомендуют хранить дубликаты архивовнаиболее ценных данных в другом здании, на случай пожара или стихийногобедствия.
Разновидностью программных средств обеспечения безопасностикомпьютерных сетей является защита от компьютерных вирусов. Вряд ли найдетсяхотя бы один пользователь или администратор сети, который бы ни разу несталкивался с компьютерными вирусами. На сегодняшний день дополнительно ктысячам уже известных вирусов появляется 100-150 новых ежемесячно[12].Наиболее распространенными методами защиты от вирусов по сей день остаютсяразличные антивирусные программы. Однако в качестве перспективного подхода кзащите от компьютерных вирусов в последние годы все чаще применяется сочетаниепрограммных и аппаратных методов защиты. Среди аппаратных устройств такогоплана можно отметить специальные антивирусные платы, которые вставляются встандартные слоты расширения компьютера.
Проблема защиты информации от несанкционированного доступаособо обострилась с широким распространением локальных и, особенно, глобальныхкомпьютерных сетей. Необходимо также отметить, что зачастую ущерб наносится неиз-за “злого умысла”, а из-за элементарных ошибок пользователей, которыеслучайно портят или удаляют жизненно важные данные. В связи с этим, помимоконтроля доступа, необходимым элементом защиты информации в компьютерных сетяхявляется разграничение полномочий пользователей.
В компьютерных сетях при организации контроля доступа иразграничения полномочий пользователей чаще всего используются встроенныесредства сетевых операционных систем. Так, крупнейший производитель сетевых ОС- корпорация Novell — в своем последнем продукте NetWare 4.1. предусмотрелпомимо стандартных средств ограничения доступа, таких, как система паролей иразграничения полномочий, ряд новых возможностей, обеспечивающих первый классзащиты данных[13].Новая версия NetWare предусматривает, в частности, возможность кодированияданных по принципу “открытого ключа” (алгоритм RSA) с формированием электроннойподписи для передаваемых по сети пакетов.
В то же время в такой системе организации защиты все равноостается слабое место: уровень доступа и возможность входа в системуопределяются паролем. Не секрет, что пароль можно подсмотреть или подобрать.Для исключения возможности неавторизованного входа в компьютерную сеть впоследнее время используется комбинированный подход — пароль + идентификацияпользователя по персональному “ключу”. В качестве “ключа” может использоватьсяпластиковая карта (магнитная или со встроенной микросхемой — smart-card) илиразличные устройства для идентификации личности по биометрической информации — по радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и так далее[14].
Оснастив сервер или сетевые рабочие станции, например,устройством чтения смарт-карточек и специальным программным обеспечением, можнозначительно повысить степень защиты от несанкционированного доступа. В этомслучае для доступа к компьютеру пользователь должен вставить смарт-карту вустройство чтения и ввести свой персональный код. Программное обеспечениепозволяет установить несколько уровней безопасности, которые управляютсясистемным администратором. Возможен и комбинированный подход с вводомдополнительного пароля, при этом приняты специальные меры против “перехвата”пароля с клавиатуры. Этот подход значительно надежнее применения паролей,поскольку, если пароль подглядели, пользователь об этом может не знать, если жепропала карточка, можно принять меры немедленно.
Смарт-карты управления доступом позволяют реализовать, вчастности, такие функции, как контроль входа, доступ к устройствамперсонального компьютера, доступ к программам, файлам и командам. Кроме того,возможно также осуществление контрольных функций, в частности, регистрацияпопыток нарушения доступа к ресурсам, использования запрещенных утилит,программ, команд DOS.
Напоследок, хотелось бы детализовать приведенную вышеклассификацию способов обеспечения безопасности компьютерных сетей и вследствии этого упомянуть о таком способе защиты компьютерных сетей отнесанкционируемого доступа, как использования определенных служб безопасности,которые указывают направления нейтрализации возможных угроз безопасности. Существуютследующие службы безопасности:
·    аутентификация;
·    обеспечение целостности;
·    засекречивание данных;
·    контроль доступа;
·    защита от отказов.
Сервисные службы безопасности являются ответственными заобеспечение основных требований пользователей, предъявляемых ктелекоммуникационным системам (с точки зрения ее надежности). Причем данныеслужбы должны функционировать во всех трех плоскостях: менеджмента, управленияи пользовательской.
Количество соединений защиты должно быть равно количествуустановленных служб защиты. То есть, если для данного виртуального соединенияодновременно требуется аутентификация, конфиденциальность и достоверностьданных, то устанавливается три самостоятельных соединения защиты.
Совокупность сервисных служб защиты информации,обеспечивающих требования пользователей, образуют профиль защиты.
За установку и прекращение действия той или иной службыотвечают агенты защиты. Согласование служб защиты между агентами происходитчерез соединения защиты. По этим соединениям производится обмен информациейзащиты.
Самый простой вариант организации соединения защиты этокогда агенты защиты размещены в пределах конечных систем пользователей. Вданном случае конечные системы и агенты защиты взаимодействуют с сетью черезинтерфейс “пользователь – сеть + защита”.
Агенты защиты для виртуального соединения (канала либотракта), который установлен между конечными системами пользователей,последовательно выполняют следующие действия:
·    определяют вид сервисных служб защиты, которые должны бытьприменены к данному виртуальному соединению;
·    согласовывают службы защиты между собой;
·    применяют требуемые службы защиты к данному виртуальномусоединению[15].
3. Общие сведения о корпоративных сетях
Информационные системы, в которых средства передачи данныхпринадлежат одной компания, используются только для нужд этой компании, принятоназывать сеть масштаба предприятия корпоративная компьютерная сеть (КС). КС-этовнутренняя частная сеть организации, объединяющая вычислительные,коммуникационные и информационные ресурсы этой организации и предназначеннаядля передачи электронных данных, в качестве которых может выступать любаяинформация[16]Тем самым основываясь на вышесказанное можно сказать, что внутри КС определенаспециальная политика, описывающая используемые аппаратные и программныесредства, правила получения пользователей к сетевым ресурсам, правилауправления сетью, контроль использования ресурсов и дальнейшее развитие сети.Корпоративная сеть представляет собой сеть отдельной организации.
Несколько схожее определение можно сформулировать исходя изконцепции корпоративной сети приведенной в труде Олифера В.Г. и Олифера Н.Д.“Компьютерные сети: принципы, технологии, протоколы”: любая организация — этосовокупность взаимодействующих элементов (подразделений), каждый из которыхможет иметь свою структуру. Элементы связаны между собой функционально, т.е.они выполняют отдельные виды работ в рамках единого бизнес процесса, а такжеинформационно, обмениваясь документами, факсами, письменными и устнымираспоряжениями и т.д. Кроме того, эти элементы взаимодействуют с внешнимисистемами, причем их взаимодействие также может быть как информационным, так ифункциональным. И эта ситуация справедлива практически для всех организаций,каким бы видом деятельности они не занимались — для правительственногоучреждения, банка, промышленного предприятия, коммерческой фирмы и т.д.
Такой общий взгляд на организацию позволяет сформулироватьнекоторые общие принципы построения корпоративных информационных систем, т.е.информационных систем в масштабе всей организации[17].
Корпоративная сеть — система, обеспечивающая передачуинформации между различными приложениями, используемыми в системе корпорации.Корпоративной сетью считается любая сеть, работающая по протоколу TCP/IP ииспользующая коммуникационные стандарты Интернета, а также сервисныеприложения, обеспечивающие доставку данных пользователям сети. Например,предприятие может создать сервер Web для публикации объявлений,производственных графиков и других служебных документов. Служащие осуществляютдоступ к необходимым документам с помощью средств просмотра Web.
Серверы Web корпоративной сети могут обеспечитьпользователям услуги, аналогичные услугам Интернета, например работу сгипертекстовыми страницами (содержащими текст, гиперссылки, графическиеизображения и звукозаписи), предоставление необходимых ресурсов по запросамклиентов Web, а также осуществление доступа к базам данных. В этом руководствевсе службы публикации называются “службами Интернета” независимо от того, гдеони используются (в Интернете или корпоративной сети).
Корпоративная сеть, как правило, является территориальнораспределенной, т.е. объединяющей офисы, подразделения и другие структуры,находящиеся на значительном удалении друг от друга. Принципы, по которымстроится корпоративная сеть, достаточно сильно отличаются от тех, чтоиспользуются при создании локальной сети. Это ограничение является принципиальным,и при проектировании корпоративной сети следует предпринимать все меры дляминимизации объемов передаваемых данных. В остальном же корпоративная сеть недолжна вносить ограничений на то, какие именно приложения и каким образомобрабатывают переносимую по ней информацию. Характерной особенностью такой сетиявляется то, что в ней функционируют оборудование самых разных производителей ипоколений, а также неоднородное программное обеспечение, не ориентированноеизначально на совместную обработку данных. [18]
Для подключения удаленных пользователей к корпоративной сетисамым простым и доступным вариантом является использование телефонной связи.Там, где это, возможно, могут использоваться сети ISDN. Для объединения узловсети в большинстве случаев используются глобальные сети передачи данных. Дажетам, где возможна прокладка выделенных линий (например, в пределах одногогорода) использование технологий пакетной коммутации позволяет уменьшитьколичество необходимых каналов связи и — что немаловажно — обеспечитьсовместимость системы с существующими глобальными сетями.
Подключение корпоративной сети к Internet оправдано, есливам нужен доступ к соответствующим услугам. Во многих работах бытует мнение поповоду подключения к Internet-у: Использовать Internet как среду передачиданных стоит только тогда, когда другие способы недоступны и финансовыесоображения перевешивают требования надежности и безопасности. Если вы будетеиспользовать Internet только в качестве источника информации, лучшепользоваться технологией «соединение по запросу» (dial-on-demand),т.е. таким способом подключения, когда соединение с узлом Internet устанавливаетсятолько по вашей инициативе и на нужное вам время[19].Это резко снижает риск несанкционированного проникновения в вашу сеть извне.
Для передачи данных внутри корпоративной сети также стоитиспользовать виртуальные каналы сетей пакетной коммутации. Основные достоинстватакого подхода — универсальность, гибкость, безопасность
4. Обеспечение безопасности в корпоративныхсетях
В результате изучения структуры информационных сетей (ИС) итехнологии обработки данных разрабатывается концепция информационнойбезопасности ИС предложенная в работе профессора Х.А. Андриашина, и профессораС.Я. Казанцева, на основе которой проводятся все работы по защите информации вИС[20].В концепции находят отражение следующие основные моменты:
·    организация сети организации
·    существующие угрозы безопасности информации, возможности ихреализации и предполагаемый ущерб от этой реализации;
·    организация хранения информации в ИС;
·    организация обработки информации;
·    регламентация допуска персонала к той или иной информации;
·    ответственность персонала за обеспечение безопасности[21].
Развивая эту тему, в этой работе, на основе концепцииинформационной безопасности ИС, приведенной выше, предлагается схемабезопасности, структура которой должна удовлетворять следующие условия:
Защита от несанкционированного проникновения в корпоративнуюсеть и возможности утечки информации по каналам связи.
Разграничение потоков информации между сегментами сети.
Защита критичных ресурсов сети.
Криптографическая защита информационных ресурсов[22].
Для подробного рассмотрения вышеприведенных условийбезопасности целесообразно привести мнение, изложенное в работе С.Н. Новикова:для защиты от несанкционированного проникновения и утечки информациипредлагается использование межсетевых экранов или брандмауэров. Фактическибрандмауэр – это шлюз, который выполняет функции защиты сети отнесанкционированного доступа из вне (например, из другой сети) [23].
Различают три типа брандмауэров:
Шлюз уровня приложений Шлюз уровня приложений часто называютпрокси – сервером (proxy server) — выполняет функции ретранслятора данных дляограниченного числа приложений пользователя. То есть, если в шлюзе неорганизована поддержка того или иного приложения, то соответствующий сервис непредоставляется, и данные соответствующего типа не могут пройти черезбрандмауэр.
Фильтрирующий маршрутизатор. Фильтрующий маршрутизатор.Точнее это маршрутизатор, в дополнительные функции которого входит фильтрованиепакетов (packet-filtering router). Используется на сетях скоммутацией пакетов в режиме дейтаграмм. То есть, в тех технологиях передачиинформации на сетях связи, в которых плоскость сигнализации (предварительногоустановления соединения между УИ и УП) отсутствует (например, IP V 4). В данномслучае принятие решения о передаче по сети поступившего пакета данныхосновывается на значениях его полей заголовка транспортного уровня. Поэтомубрандмауэры такого типа обычно реализуются в виде списка правил, применяемых кзначениям полей заголовка транспортного уровня.
Шлюз уровня коммутации. Шлюз уровня коммутации – защитареализуется в плоскости управления (на уровне сигнализации) путем разрешенияили запрета тех или иных соединений[24].
В работе С.Н. Новикова[25],а также в работе профессора Х.А. Андриашина, и профессора С.Я. Казанцева[26]особое место отводится криптографической защите информационных ресурсов вкорпоративных сетях. Так как шифрование является одним из самых надежныхспособов защиты данных от несанкционированного ознакомления. Особенностьюприменения криптографических средств в России является жесткая законодательнаярегламентация. В настоящее время в корпоративных сетях они устанавливаютсятолько на тех рабочих местах, где хранится информация, имеющая очень высокуюстепень важности.
Так согласно классификации средств криптографической защитыинформационных ресурсов в корпоративных сетях приведенной С.Н. Новиковым ониделятся на:
Криптосистемы с одним ключом, их часто называюттрадиционной, симметричной или с одним ключом. Пользователь создает открытоесообщение, элементами которого являются символы конечного алфавита. Дляшифрования открытого сообщения генерируется ключ шифрования. С помощьюалгоритма шифрования формируется шифрованное сообщение
Приведенная модель предусматривает, что ключ шифрованиягенерируется там же, где само сообщение. Однако, возможно и другое решениесоздания ключа – ключ шифрования создается третьей стороной (центромраспределения ключей), которой доверяют оба пользователя. В данном случае задоставку ключа обоим пользователям ответственность несет третья сторона. Вообщеговоря, данное решение противоречит самой сущности криптографии – обеспечениесекретности передаваемой информации пользователей.
Криптосистемы с одним ключом используют принципы подстановки(замены), перестановки (транспозиции) и композиции. При подстановке отдельныесимволы открытого сообщения заменяются другими символами. Шифрование сприменением принципа перестановки подразумевает изменение порядка следованиясимволов в открытом сообщении. С целью повышения надежности шифрованияшифрованное сообщение, полученное применением некоторого шифра, может быть ещераз зашифровано с помощью другого шифра. Говорят, что в данном случае примененкомпозиционный подход. Следовательно, симметричные криптосистемы (с однимключом) можно классифицировать на системы, которые используют шифрыподстановки, перестановки и композиции.
Криптосистема с открытым ключом. Она имеет место только ееслипользователи при шифровании и дешифровании используют разные ключи KО и KЗ. Эту криптосистему называютасимметричной, с двумя ключами или с открытым ключом.
Получатель сообщения (пользователь 2) генерирует связаннуюпару ключей:
KО – открытый ключ, который публичнодоступен и, таким образом, оказывается доступным отправителю сообщения(пользователь 1);
KС – секретный, личный ключ, которыйостается известным только получателю сообщения (пользователь 1).
Пользователь 1, имея ключ шифрования KО,с помощью определенного алгоритма шифрования формирует шифрованный текст.
Пользователь 2, владея секретным ключом Kс,имеет возможность выполнить обратное действие.
В этом случае пользователь 1 готовит сообщение пользователю2 и перед отправлением шифрует это сообщение с помощью личного ключа KС. Пользователь 2 может дешифрировать это сообщение,используя открытый ключ KО. Так как, сообщение былозашифровано личным ключом отправителя, то оно может выступать в качествецифровой подписи. Кроме того, в данном случае невозможно изменить сообщение бездоступа к личному ключу пользователя 1, поэтому сообщение решает так же задачиидентификации отправителя и целостности данных[27].
Напоследок хотелось бы сказать, что посредством установкикриптографических средств защиты можно достаточно надежно защитить рабочееместо сотрудника организации, который непосредственно работает с информацией,имеющей особое значение для существования этой организации, отнесанкционированного доступа.

Заключение
Подводя итоги, хотелось бы отметить, что проблемамкомпьютерной безопасности в компьютерных и корпоративных сетях в должнопридаваться особое значение. Правильно иерархически построенная система доступак данным, современное оборудование, штат квалифицированных работников,отвечающих за компьютерную безопасность — это гарант безопасностигосударственной информации, а вместе с тем и государства. В этом нельзясомневаться. Как-то один мудрец сказал: «Чем больше вы даёте, тем больше квам возвращается». И правда, — чем больше будет уделено внимания проблемамкомпьютерной безопасности, тем больше будет уверенности в том, что данныеособой важности не будут потеряны при малейшем сбое в работе оборудования илипри несанкционированном доступе. Так же хотелось бы подчеркнуть, что никакиеаппаратные, программные и любые другие средства, и организаторские работыразличных видов не смогут гарантировать абсолютную надежность и безопасностьданных, но в то же время свести риск потерь к минимуму возможно лишь приосознанном, комплексном подходе к вопросам компьютерной безопасности.

Список использованнойлитературы.
1.        Информатика и математика для юристов. Под. ред.Х.А. Андриашина, С.Я. Казанцева.М.: ЮНИТИ-ДАНА, Закон и право, 2001г.
2.        Ведеев Защита данных в компьютерных сетях.М.:Открытые системы, № 3. 2001г.
3.        О.Э. Згадзай, С.Я. Казанцев, Л.А. Казанцева.М.:ИНФОРМАТИКА ДЛЯ ЮРИСТОВ 2001г.
4.        Комиссаров А.Ю., Подлесный А.В. Идентификацияпользователя ЭВМ и автора программного продукта.М.: ЭКЦ МВД России, 1996г.
5.        И.Б. Львов, Г.Г. Казеева, И.А. Морев. ИНФОРМАТИКА.ВЛАДИВОСТОК. 1999-2001гг.
6.        С.Н. Новиков. Защита информации в сетях связи сгарантированным качеством обслуживания. Новосибирск. 2003г.
7.        Олифер В.Г., Олифер Н.Д. Компьютерные сети:принципы, технологии, протоколы. Питер, 1999г.
8.        М. Рааб. Защита сетей наконец-то в центре внимания.М.:Компьютеруорлд. № 29. 1999г.
9.        С.В. Сухова. Система безопасности NetWare. № 4.М.:Сети. 2000г.
10.     Феоктисов Г.Г. Информационная безопасностьобщества, личность и средства массовой информации.М.: Информатика ивычислительная техника, №1-2.5. 1996г.