ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции

     6.1 Вводная информация

Пример сетевой среды, которую в настоящее время можно видеть во многих организациях, представлен на рисунке 3 (рисунок 3 приведен в настоящем разделе в качестве примера).

     
Рисунок 3 - Пример сетевой среды

Интранет является внутренней сетью, используемой и поддерживаемой организацией. Обычно только работающие в организации лица имеют прямой физический доступ к этой сети, а поскольку сеть располагается в пределах помещений, являющихся собственностью организации, можно легко обеспечить определенный уровень физической защиты. В большинстве случаев сеть Интранет является неоднородной в отношении использованных технологий и требований безопасности; она может включать в себя инфраструктуры, нуждающиеся в более высоком уровне защиты, чем предоставляемый сетью Интранет.

Управление такими инфраструктурами, например, важнейшими частями среды PKI (инфраструктуры открытых ключей), может осуществляться в выделенном сегменте сети Интранет. С другой стороны, определенные технологии [например, инфраструктуры WLAN (беспроводной локальной вычислительной сети)] могут потребовать некоторого изолирования и аутентификации, так как они вносят дополнительные риски. Во всех ситуациях для реализации такого сегментирования могут использоваться внутренние шлюзы безопасности.

Потребности основной деятельности большинства организаций делают необходимыми связь и обмен данными с внешними партнерами и другими организациями. Часто связь с большинством важнейших деловых партнеров осуществляется способом, непосредственно расширяющим Интранет в сторону сети организации-партнера; для таких расширений обычно используется термин "Экстранет". Поскольку доверие к подключенным организациям-партнерам в большинстве случаев ниже, чем к сотрудникам самой организации, для устранения рисков, вносимых этими соединениями, используются шлюзы безопасности Экстранет.

Кроме того, общедоступные сети, наиболее распространенным примером которых является Интернет, используются сегодня для предоставления экономически оправданных средств связи и обмена данными с партнерами, клиентами и широкой публикой и обеспечения различных форм расширения сети Интранет. Из-за низкого уровня доверия в общедоступных сетях, особенно в Интернете, для содействия менеджменту соответствующих рисков необходимы усовершенствованные шлюзы безопасности. Эти шлюзы безопасности включают в себя специфические компоненты для учета требований различных форм расширения сети Интранет, а также связи с партнерами и клиентами.

Удаленные пользователи могут быть подсоединены посредством технологии виртуальных частных сетей. Кроме того, они могут использовать беспроводные средства связи, такие, например, как общедоступные точки доступа к WLAN, для получения доступа к Интернету. В качестве альтернативы для установления прямых коммутируемых соединений по телефонной линии с сервером удаленного доступа, который часто размещается в ДМЗ межсетевого экрана Интернет, удаленные пользователи могут задействовать телефонную сеть.

Если организация решает использовать технологии передачи речи по IP (VoIP) для реализации внутренней телефонной сети, то, как правило, используются соответствующие шлюзы безопасности для телефонной сети.

Благоприятные возможности для основной деятельности организации, предлагаемые новыми видами сетевой среды, должны сопоставляться с рисками, которые привносят новые технологии. Например, Интернет имеет ряд технических свойств, которые могут вызывать беспокойство с точки зрения безопасности, так как он первоначально проектировался в расчете на установление соединения, а не исходя из соображений безопасности - и многие из его обычно используемых основных протоколов не являются безопасными по своей природе. В глобальной сетевой среде насчитывается большое число людей, обладающих способностями, знаниями и склонностью к получению доступа к лежащим в ее основе механизмам и протоколам и созданию инцидентов безопасности от несанкционированного доступа до крупномасштабного отказа в обслуживании.