Вопросы построения защищенных гетерогенных корпоративных ЛВС

Вопросы построения защищенных гетерогенных корпоративных ЛВС

Д.А. Ляшко,
технический директор ОАО «ICL-КПО ВС»

В настоящее время задача построения защищенных ЛВС является весьма актуальной. Для нормального функционирования приложений, порождающих неоднородный трафик, необходима высокая производительность сети, доступность сетевых служб. Повышенные требования к безопасности данных в первую очередь вызваны увеличением числа критических задач, выполнение которых зависит от работы сети. Централизованное управление сетевыми службами также рассматривается как обязательная подсистема, позволяющая по мере необходимости динамически распределять ресурсы сети.

Требуется индивидуальный подход

Гетерогенные ЛВС масштаба предприятия характеризуются:

• большим количеством разнообразного оборудования, функционирующего на различных уровнях ЛВС (обычно различных производителей);
• большим разнообразием системных и прикладных сервисов, представленных в ЛВС.

При этом иногда приходится решать далеко не тривиальные вопросы, связанные с взаимной совместимостью программных и аппаратных средств. Оборудование от различных производителей, имеющее различную архитектуру, требует в каждом случае индивидуального подхода при настройке и в процессе эксплуатации. Эти сложности служат реальной основой возникновения угроз безопасности корпоративной ЛВС как единой системы. Наличие сертифицированных программных и аппаратных средств для построения сети, администрирования и защиты информации само по себе не является панацеей. Из них необходимо создавать единый взаимосогласованный комплекс, призванный обеспечить надежное функционирование сети.

Опыт разработки и эксплуатации крупных гетерогенных ЛВС позволил сформулировать несколько правил, которых желательно придерживаться при построении подобных сетей.

Следует в первую очередь:

• применять оборудование одного производителя или оборудование, проверенное на взаимную совместимость;
• использовать программное обеспечение, разработанное и поддерживаемое в соответствии с национальными и международными критериями качества и стандартами;
• брать на вооружение сертифицированные программно-технические решения.

На уровне!

Для построения сетевых решений любого масштаба ICL-КПО ВС предлагает комплекс программно-аппаратных средств.

В его состав входят:

• линейка коммутаторов КЕ (КЕ2002, КЕ2004 и КЕ2008);
• программное обеспечение для управления коммутаторами и администрирования коммутаторов;
• программное обеспечение для управления средствами защиты в ЛВС.

ПО для коммутаторов и администрирования безопасности в ЛВС разработано совместно с ФГУП НИИАА по заказу Министерства обороны РФ.

Коммутаторы КЕ соответствуют основным международным стандартам и рекомендациям (RFC). Они позволяют реализовать коммутацию IP-пакетов в ЛВС на втором, третьем, четвертом и пятом уровнях сетевой модели OSI ISO, работу со списками управлением доступа (ACL) и управление уровнями качества обслуживания в ЛВС (QoS). Аппаратная часть коммутаторов КЕ имеет модульную архитектуру - в результате удается добиться максимальной гибкости при выборе конфигурации и оптимизировать затраты времени, а также ресурсов при эксплуатации и модернизации устройства. В сочетании с поддержкой "горячей" замены модулей это помогает повысить отказоустойчивость сети.

Программное обеспечение коммутаторов КЕ осуществляет:

1. управление интерфейсными модулями, функциями маршрутизации и защиты информации;
2. централизованное защищенное управление всей совокупностью коммутаторов в ЛВС с АРМ администратора;
3. взаимодействие с программным комплексом системы удаленного администрирования средствами защиты информации (ПКСУДАД-ЗИ).

ПО КЕ2002 сертифицировано на соответствие 3-му классу защищенности от НСД (РД Гостехкомиссии РФ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»). ПО КЕ2004 и КЕ2008 сертифицировано на соответствие классу защищенности 3А от НСД (РД Гостехкомиссии РФ «Концепция защиты средств вычислительной техники от несанкционированного доступа к информации»).

Накопленный специалистами ICL-КПО ВС опыт показывает, что только грамотно организованное взаимодействие программных и аппаратных средств позволяет создать сбалансированную и безопасную среду для информационных систем.