Защита мобильных данных без снижения производительности

К основным видам угроз в корпоративной информационной сети относятся следующие.

• • Вирусные атаки.
• • Рассылка спама.
• • Атака типа «отказ в обслуживании», DoS-атака (denial-of-service attack) и более опасная разновидность угроз этого типа — DDoS-распределенная атака «отказ в обслуживании» (distributed denial-of-service attack). Угрозы этого вида реализуют попытки сделать компьютер или сетевой ресурс недоступным для его санкционированных пользователей путем одновременного обращения по Интернету к этому ресурсу множества несанкционированных пользователей.
• • Атаки с использованием уязвимостей программного обеспечения открытых информационных сервисов, ошибок программирования и настройки.

Традиционные средства и методы борьбы с такими угрозами основаны па использовании разнообразных «информационных барьеров» — брандмауэров и сетевых фильтров, систем обнаружения вторжения, активного аудита, сканеров безопасности, а также различных обманных систем.

Управление безопасностью с помощью MDM-систем

К специальным относятся такие средства защиты, которые основаны на системах управления мобильными данными — MDM-системах (Mobile Device Manageinen). На рис. 11.2 представлена принципиальная схема защиты данных мобильных сотрудников на основе MDM-системы или с помощью системы Microsoft Exchange. Система управляется сотрудником ИТ-отдела предприятия с сервера MDM или с сервера Microsoft Exchange.

С помощью этой системы осуществляются: — защита данных пользователя от вредоносного ПО, а также при потере устройства. Данные могут храниться во внешней и встроенной памяти мобильного устройства;

— 256-битное шифрование по стандарту AES с аппаратным ускорением.

Рис. 11.2. Принципиальная схема защиты на основе MDM/ Exchange.

Для устройств Samsung Galaxy SU поддерживается аппаратное шифрование.

Корпоративная виртуальная информационная сеть

Виртуальная высокопроизводительная, хорошо защищенная информационная частная сеть VPN (Virtual Private Network) действует в незащищенной среде, например в Интернете. Она предназначена для информационного взаимодействия между собой нескольких территориально разнесенных подразделений компании в масштабах города или для взаимодействия мобильных сотрудников с ИТ-инфраструктурой предприятия. Сети VPN могут базироваться:

• — на криптографических методах шифрования и аутентификации данных, например, они реализованы в протоколе IPSec;
• — на разделении каналов второго уровня (Frame Relay, ATM, Ethernet VLAN). Используемая для создания сети технология L2 VPN или VPLS (Virtual Private LAN Service) позволяет создавать высокоскоростную безопасную сеть масштаба города;
• — на разделении таблиц коммутации и маршрутизации — MPLS (Multiprotocol Label Switching многопротокольная коммутация с использованием меток) VPN. Технология позволяет создавать высокоскоростную многопротокольную безопасную информационную сеть масштаба города. Ее развитием является L3 VPN.

Для построения VPN-сети второго уровня сервис-провайдер должен обладать собственной Е2-сетью, что связано с расходами на построение и поддержание такой сети. Это могут позволить себе только очень крупные операторы (провайдеры первого уровня).

А вот при создании сети MPLS VPN сервис-провайдеру не надо создавать выделенную L2-сеть. Технологии позволяют прокладывать каналы второго уровня через разделяемую незащищенную среду, например через Интернет. По своей функциональности технология MPLS L2 VPN заменяет традиционные выделенные каналы связи, такие как Frame Relay или ATM. При этом уровень защищенности данных не ниже, чем у выделенных каналов связи.

Развитием технологии MPLS VPN является 1−3 VPN иди SMARTNET. Сети третьего уровня, MPLS L3 VPN, строятся па основе разделения таблиц маршрутизации. Сетевые префиксы, принадлежащие определенной сети VPN, выносятся в отдельную таблицу маршрутизации. При использовании такой технологии осуществляется построение виртуальной частной сети с помощью IP/MPLS, в результате чего сеть передачи данных оператора для клиента становится прозрачной средой. Благодаря этому пользователь может сам управлять политикой маршрутизации и в случае необходимости устанавливать дополнительные сервисы сетевой защиты, шифрование, аутентификацию, например IPSec-туннель.

Сеть VPN уровня 3 (VPN/L3), более простая в реализации, осуществляет взаимодействие на уровне IP-подсетей. На рис. 11.3 показан доступ мобильных сотрудников к ИТ-ресурсам предприятия, защищенный путем организации виртуальной частной сети предприятия (VPN-сети). При создании виртуальной частной сети предприятия могут использоваться различные стандарты и технологии, а именно: SSL Cisco AnyConnect, SSL VPN, PPTP VPN, L2TP VPN, IPSec over L2TP VPN, IPSec VPN. Но не все аппаратные устройства поддерживают эти протоколы.

Информационная безопасность предприятий, использующих мобильные технологии, складывается из безопасности устройств, данных, коммуникаций, информационных платформ, мобильной инфраструктуры.

Далее приведено описание этих составляющих.

Рис. 11.3. Схема VPN-сети предприятия.