Система управления информационной безопасностью

Подсистема защиты периметра включает:

  • средства межсетевого экранирования;
  • шлюзы безопасности;
  • средства организации виртуальных частных сетей;
  • средства обнаружения и предотвращения вторжений (IDS/IPS).

Защита периметра корпоративной сети является первичной задачей обеспечения информационной безопасности. Внутри периметра обычно функционируют наиболее критичные для компании системы – серверы с программными приложениями и базами данных, рабочие места пользователей, активное сетевое оборудование и др. Извне сеть компании должна быть абсолютно непрозрачной, иметь регламентированные интерфейсы и протоколы взаимодействия с «внешним миром».

При решении этой задачи необходимо оградить компанию от сетей с низкой степенью доверия и при этом обеспечить удаленный доступ легитимным пользователям к внутренним ИТ-ресурсам компании.

Территориально распределенные офисы компании должны взаимодействовать через защищенные (доверенные) каналы связи, которые защищены от внешних угроз физически или средствами криптографии. Практикой доказано, что экономически выгодным и эффективным является использование технологии виртуальных частных сетей (VPN).  VPN позволяют скрывать структуру и передаваемый в защищенном канале трафик, поэтому их можно включать в защищенный периметр сети.

Создание непрозрачной сферы, ограждающей сеть компании, реализуется средствами межсетевого экранирования, которые обеспечивают:

  • защиту от атак;
  • защищенное соединение между офисами;
  • защищенный удаленный доступ сотрудников к корпоративным ИТ-ресурсам.

Шлюзы безопасности позволяют поддерживать большое число защищенных каналов связи.

Компания TopS BI предлагает услуги по внедрению, сервисному обслуживанию и технической поддержке продуктов, формирующих подсистему защиты периметра.

Одним из лидирующих на рынке продуктов по обеспечению безопасности периметра является решение Check Point FireWall-1 (FW-1). FW-1 - один из пионеров рынка межсетевых экранов, решение разработано на основе запатентованной технологии Check Point Stateful Inspection и Application Intelligence. Средой развертывания (платформой) для FW-1 может служить как сервер, так и специальная аппаратная платформа. Масштабирование межсетевого экрана достигается использованием более производительной платформы или решения по распределению нагрузки (load balancing).

Межсетевой экран FW-1/VPN-1 NGX может поддерживать работу более 150 предопределенных приложений, служб и протоколов, включая системы обмена сообщениями (instant messaging) и одноранговые системы (peer-to-peer), системы IP телефонии, базы данных, средства Microsoft NetMeeting. Обеспечивается динамическая маршрутизация внутри VPN туннеля.

Для малого офиса, филиала компании или удаленной группы пользователей, не имеющих выделенных сотрудников для управления межсетевым экраном, требуется надежное и недорогое решение, реализующее технологии шлюза безопасности, балансировку трафика, поддержку резервирования провайдера и автоматическую кластеризацию. В качестве такого решения можно использвоать продукты Check Point Safe Office. Чуть более широкие возможности предоставляет решение   Check Point VPN-1 Edge, обеспечивающее аналогичные Safe Office функции, но обладающее более гибкими настройками и возможностями управления, в том числе централизованного.

Для компаний или филиалов среднего масштаба, имеющих более полусотни пользователей и несколько межсетевых экранов, необходимы решения другого класса, предоставляющие возможности удобного, оперативного и централизованного управления всеми шлюзами безопасности периметра. Также желательно, чтобы в состав защищаемой сети включались VPN-клиенты мобильных пользователей. Решения для средних компаний должно поддерживать отказоустойчивые конфигурации для обеспечения высокой доступности, балансировки нагрузки и трафика по требованиям к качеству обслуживания (QoS). Примером такого решения является Check Point Express и его инновационная версия, объединяющая шлюз безопасности с шлюзовыми антивирусными средствами, - Check Point Express CI. Это решение необходимо в случае, если компания используюет антивирусы разных производителей (например, по рекомендации стандарта ЦБ РФ).

Крупным компаниямнужны решения, обеспечивающие максимальную гибкость и производительность, централизованное управление всеми подсистемами ИБ. Примером такого решения может служить Check Point Enterprise.

Кроме того, существует специализированное решение для крупных компаний, имеющих потребность в применении и централизованном администрировании нескольких десятков шлюзов безопасности. Виртуальный шлюз безопасности представляет собой распределенную структуру, которую можно масштабировать и наращивать, обеспечивая требуемую производительность и гибкость. Таким «hi-end» решением является Check Point VPN-1 VSX. Специализированные шлюзы безопасности существуют и для компаний-провайдеров и операторов цифровой связи (Check Point FireWall-1 GX).

Полезными возможностями шлюзов безопасности являются балансировка нагрузки на внутренних серверах сети, а также использование аппаратных ускорителей криптографических операций.

Еще один класс продуктов - средства обнаружения/предотвращения вторжений (IDS/IPS). Эти инструменты являются обязательной составляющей любой системы ИБ и получили в последнее время широкое распространение. Лучшие решения этого класса позволяют проводить глубокий анализ активности в сети на всех уровнях OSI модели, обновлять в реальном времени базы признаков вторжений, оперативно оповещать администраторов о новых видах вторжений. Кроме того, предоставляются руководства, шаблоны конфигураций и инструменты противодействия вторжениям. Примером таких решений служит Check Point SmartDefense, позволяющее  контролировать все точки сети. SmartDefense работает не только с сигнатурами атак, но и использует адаптивные технологии проверки, обеспечивая защиту уязвимостей, к которым еще не появилась эксплойта.