Использование специализированных протоколов для защиты информационных систем при взаимодействии с сетью Интернет.

ВВЕДЕНИЕ 7
ГЛАВА 1. АНАЛИЗ ОБЪЕКТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 9
1.1 Характеристика и организационно-структурная схема предприятия 9
1.2 Техническое и программное обеспечение на предприятии 16
1.3 Анализ рисков информационной безопасности 26
ГЛАВА 2. ОЦЕНКА УЯЗВИМОСТИ ИНФОРМАЦИОННОЙ СИИТЕМЫ КОМПАНИИ «ТЕХНОПОЛИС» 30
2.1 Статистика уязвимостей корпоративных информационных систем 30
2.2 Анализ угроз информационной безопасности ИС 35
2.3. Анализ рисков информационной безопасности 39
2.4 Выводы по главе 55
3. РАЗРАБОТКА МЕТОДОВ ЗАЩИТЫ ИС КОМПАНИИ 56
3.1 Анализ методов защиты информации в ИС 56
3.2 Методы защиты информации в ЛВС 57
3.3 Постановка задачи защиты электронного документооборота 61
3.4 Методика аутентификации удаленных пользователей в информационных системах 63
3.5 Протоколы безопасности 69
3.6 Использования IPsec в VPN решениях 74
ЗАКЛЮЧЕНИЕ 79
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 80

В настоящее время в системах защиты компьютеров от НСД широко используются аппаратные СИА (Средство идентификации и аутентификации).В состав СИА входят идентификатор, считывающее устройство (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъемы материнской платы и др.) и соответствующее программное обеспечение. Идентификатор предназначен для хранения уникальных идентификационных признаков. Кроме того, он может хранить и обрабатывать разнообразные конфиденциальные данные. Считывающее устройство обеспечивает обмен данными между идентификатором и защищаемым компьютером.По виду используемых идентификационных признаков СИА могут быть электронными, биометрическими и комбинированными.Например, отпечатки пальцев, форма кисти руки, узор радужной оболочки глаза, рисунок сетчатки глаза, черты лица, параметры голоса и др. В комбинированных сИа для идентификации применяются одновременно несколько идентификационных признаков.В современных системах защиты информации наиболее широко используются электронные СИА в силу их высокой надежности, удобства считывания идентификационных признаков и относительно низкой стоимости.Пользователей ИС можно разделить на 3 группы по ограничениям в манипуляциях с информацией - работники (лица, которым разрешается производить все виды манипуляций с некоторой строго определенной информацией в ИС), клиенты (лица, которым разрешено производить чтение части также строго определенной информации и запрещено производить модификацию информации) и сторонние лица (им запрещено манипулировать со всякой информацией). Под манипуляцией с объектом ИС подразумевается манипуляция с информацией, входящей в этот объект.ИС предназначается для сбора информации (по договорам, по коммерческому учету товаров и т.п.) и последующего анализа для принятия решений, способствующих эффективному управлению организацией. Организация может состоять из подразделений, расположенных на больших расстояниях друг от друга и имеющих свои ИС. Эти ИС и образуют КИС.Рассматриваемые здесь КИС должны удовлетворять следующим условиям:связь между ИС, входящими в КИС, осуществляется по сети Internet;обмен информацией между ИС осуществляется в режимах On-Line (рабочий режим), Off-Line (резервный режим);доступ клиентов к КИС осуществляется средствами Internet;разграничение прав между работниками ИС на возможность манипулирования с тем или иным объектом ИС;целостность ИС обеспечивается на уровне объектов ИС;масштабируемость КИС.В связи с этими условиями, наложенными на КИС, возникает ряд проблем, связанных с обеспечением целостности и защищенности КИС, выходящих за стандартные механизмы, заложенные в СУБД, а именно:ИС обмениваются информацией (по крайне мере, в рабочем режиме) через Internet, и возникает проблема защиты КИС от различных атак со стороны пользователей Internet для перехвата, подмены, повторного использования информации (проблема защиты);пользователи могут осуществлять доступ кКИС средствами Internet, и должен существовать механизм аутентификации пользователя (проблема аутентификации);при обеспечении целостности ИС требуется механизм определения, какие объекты необходимо привести в информационное соответствие и в каких таблицах этих объектов были произведены модификации информации (проблема синхронизации).Остановимся на рассмотрении проблем аутентификации пользователей и защиты обмениваемой информацией между удаленными пользователями КИС и самой КИС, т.е. затрагиваются первая и вторая проблемы. Проблема синхронизации расcмoтрена в [17].Проблемы аутентификации и защиты обмениваемой информацииОбеспечение защиты информации при обмене ею между пользователем и КИС может быть двух типов. Первый - защита обеспечивается только для информации, исходящей со стороны пользователя, второй - защита обеспечивается как пользователю, так и КИС. Первый тип возникает, когда пользователь передает конфиденциальную информацию для КИС (личный пароль, номер кредитной карточки), а со стороны КИС передается информация, не являющаяся конфиденциальной (чек, отчет,). Разделение на типы происходит вследствие того, что для решения задач защиты и аутентификации используются криптографические протоколы с открытым ключом. Для таких протоколов необходимы механизмы генерации, распределения и обслуживания открытых и закрытых ключей, поэтому в первом типе эти проблемы ложатся на КИС, а во втором - на обе стороны. Для решения проблем защиты и аутентификации необходимо рассматривать тот или иной тип, а также оценить следующие факторы:важность передаваемой информации и время, в течение которого информация является конфиденциальной;возможность применения дополнительных средств защиты, не заложенных в стандартные средства операционных систем (ОС) и программных продуктов (ММ).Первый фактор отвечает за уровень защиты информации, т.е. выбор криптосистемы, размерности ключей, возможности и гибкости манипулирования с параметрами криптосистемы; второй - за то, что есть в распоряжении из криптосредств для достижения поставленной задачи.Рассмотрим, что имеется из криптогафичиских средств в ОС фирмы Microsoft и программных продуктах, предназначенных для доступа в Internet. Существует множество технологий, но наиболее стандартизованными и известными на данный момент являются две технологии: SecureSocketsLayer (SSL) и SecureHypertextTransportProtocol (S-HTTP) [2,3]. SSL технология разработана Netscape Communications Corporation совместно с RSA DataSecurityInc и предназначена больше для решения задач первого типа. Вторая разработана Enterprise Integration Technologies (EIT) и может быть применена для задач обоих типов.SSL технология использует криптографические протоколы RC2, RC4, DES и 3-DES с длиной ключа 128 бит для RC2 и RC4, 56 - для DES и 192 - для 3-DES. S-HTTP технология использует RC2 и DES протоколы с длинами ключей 128 и 56 бит соответственно.Технология SSL построена на уровне TCP/IP, а S- HTTP - на уровне HTTP, поэтому S-HTTP более гибок в выборе алгоритма и его параметров. Стоит отметить также, что для обеспечения работы с использованием SSL технологии достаточно, чтобы только КИС имела сертификат, а для S-HTTP необходимо, чтобы сертификаты были и у КИС и у пользователя. Под сертификатом понимается совокупность данных, включающая: открытий ключ владельца сертификата, персональную информацию о владельце (имя, адрес,...), цифровую подпись центра сертификации (центра доверия), информацию об ограничении сертификата. Стоит отметить, что в настоящее время размерности ключей криптографических протоколов, используемых в этих технологиях, являются малыми для применения в ряде задач защиты и аутентификации, а перечень самих криптографических протоколов и невозможность их замены является дополнительным ограничением на использование предложенных технологий. Выходом из такого положения может быть создание собственной библиотеки криптографических функций и построение собственной технологии аутентификации и защиты обмениваемой информации.Структура обеспечения аутентификации и защиты КИССледующая структура доступа удаленных пользователей к КИС (см. Рисунок3.5).Рисунок 3.5 – Протокол взаимодействия пользователя и КИСДоступ пользователей к КИС осуществляется через сеть Internet при обращении к соответствующему www серверу. Между КИС и пользователями находится аутентификатор КИС, который служит для решения задачи аутентификации пользователей в КИС и ограничения прав пользователей на манипуляции с информацией в КИС. Решение задачи защиты обмениваемой информации при использовании технологии SSL и S-HTTP ложится на плечи www сервера, а при использовании собственных разработок может быть возложена на аутентификатор КИС.Протокол взаимодействия пользователя и КИС:Пользователь заходит на www сервер компании.Пользователь открывает страницу аутентификации.Включается протокол защиты (SSL, S-HTTP и т.д.) в зависимости от выбора, т.е.:а)сервер отправляет пользователю сертификат и, если используется защита второго типа, то запрашивает сертификат от пользователя;б)стороны, получившие сертификат, проверяют его на пригодность и доверие;в)если проверка проходит успешно, устанавливается защищенное соединение, иначе выдается сообщение об отказе в доступе на страницу аутентификации.Пользователь вводит аутентификационные данные (имя, пароль, номер карточки, ...).Аутентификатор КИС получает аутентификационные данные и проверяет их в базе пользователей КИС.Если аутентификация прошла успешно, то пользователь может работать с КИС, иначе происходит отказ.Организация механизмов ввода аутентификационных данных пользователями на страницу www сервера изложена в [24].При решении задач аутентификации и защиты обмениваемой информации следует использовать рабочие сертификаты, т.е. сертификаты, которым КИС доверяет. 3.5Протоколы безопасностиВ сквозном сценарии информация должна быть защищена при передаче от клиента серверу и обратно. Снизить риск нарушения целостности данных позволяют защищенные протоколы, которые шифруют информацию при передаче через промежуточные серверы и маршрутизаторы. Риск нарушения целостности данных сокращают криптографические хэш-функции, позволяющие выявить изменение информации. Обычно данные, пересылаемые от клиента серверу, защищены, так как связь осуществляется по защищенному каналу. Иногда применяемые в таких каналах криптографические ключи регулярно изменяются, что дополнительно повышает безопасность пересылки данных.Главная угроза, с которой сталкиваются все пользователи ИС — возможность несанкционированного доступа к их личной информации. Ваши тайны может раскрыть злоумышленник, перехватывающий данные, пересылаемые от обозревателя к Web-серверу. Например, по умолчанию коммуникационный канал, соединяющий Web-обозреватель и сервер, не шифруется, что позволяет хакерам «прослушивать» его и получать доступ к сведениям о кредитных картах, паролях и прочим конфиденциальным данным, пересылаемым через Интернет. Простейший способ защиты от этой угрозы — защита канала средствами протокола SecureSocketsLayer/TransportLayerSecurity (SSL/TLS). Ответственность за поддержку этого протокола возлагается на Web-сервер, а не на клиента, так как именно сервер определяет, шифровать ли информацию, передаваемую клиенту.Протокол SSL (SecureSocketsLayer) используется для создания защищённого канала связи между компьютерами на базе TCP. Создателем протокола является фирма Netscape.  SSL использует при создании сеанса связи и передачи ключей асимметричное шифрование, но припередачи данных используется симметричное шифрование. Этот протокол использует метод диалога (рукопожатия) при создании сеанса связи (на сеансовом уровне). При этом стороны получают уверенность в том, с кем имеют дело, и в том, что на линии связи не произошла подмена партнёра. На основании диалога стороны вырабатывают общий симметричный ключ для быстрой передачи данных. [23]Если в ходе диалога возникают проблемы с авторизацией (с сертификатами), то соответсвующее веб-приложение сообщает об этом и предупреждает об опасности. Если авторизация прошла успешно, то клиент подгатавливает данные для создания симметричного ключа и пересылает их, используя открытый ключ сервера. Если необходима авторизация клиента, то последний высылает свои подписанные сертификаты. Сервер подгатавливает конечный пакет данных, который используется при изготавлении симметричного ключа. Протокол защиты транспортного уровня (TLS - TransportLayerSecurity) есть протокол, который получил своё начало от SSL протокола и в будущем может его заменить. Протокол защитной оболочки (SSH - SecureShellprotocol) использует открытый ключ для создания соединения и проведения авторизации. Используется для безопасного удалённого доступа к компьютеру, а также для передачи данных при помощи SFTP (SecureFileTransferProtocol) протокола. Интернет-протокол защиты данных (IPSec - IP Security) есть сборник протоколов, чтобы обезопасить движение данных по сети шифрованием. Он позволяет двустороннюю авторизацию и шифрование через Интернет. Двумя основными составляющими протоколами являются IP заголовок (AH - AuthenticationHeader), при помощи которого можно пакеты данных снабжать цифровой подписью (ESP - EncapsulatedSecurityPayload) и шифровать пакеты данных AES или 3DES алгоритмами. Виртуальная приватная сеть (VPN - VirtualPrivateNetwork)  даёт возможность пересылать данные от одного компьютера другому через зашифрованный канал. Между клиентом и сервером устанавливают зашифрованный канал, используя протокол точка-точка (PPP - PointtoPointProtocol). При создании PPP соединения снабжают данные заголовком, в котором содержится информация о маршруте для передачи данных по сети. В VPN соединении использовано стандартное решение, чтобы получить безопасный доступ в локальную сеть из глобальной сети (Интернета). Применяются различные протоколы: L2TP (Layer 2 TunnelingProtocol) использует PPP авторизацию и IPsec шифрование, требует авторизацию компьютера клиента с сертификатами. PPP пакеты инкапсулированы при помощи L2TP, чтобы передавать информацию через глобальную сеть. IPsec ESP шифрует L2TP движение. Поддерживается AES шифрование до 256 бит. Рисунок 3.6 – L2TP пакет данных вместе с заголовкомPPTP (PointtoPointTunnelingProtocol) протокол используется в течение длительного времени и хорошо совместим с различными системами. Не требует авторизации сертификатов.  При создании соединения диалог (рукопожатие) проводится в незашифрованном виде, что является наибольшей слабостью протокола PPTP. Протокол использует PPP для авторизации пользователя и MPPE (MicrosoftPointtoPointEncryption) шифрование данных 40-битным, 56-битным или 128-битным ключом. SSTP (Secure Socket Tunneling Protocol) использует PPP через SSL протокол.SSTP не требует авторизации клиента по умолчанию, но сервер должен предоставить сертификаты, которые клиент проверяет прежде, чем установить соединение. Рассмотрим протоколы безопасности, которые мы будем использовать в ИС компании «технополис» подробноПротокол Secure Sockets Layer/Transport Layer SecurityПротокол SSL, также известный под утвержденным Инженерной группой IETF названием TLS — защищенный протокол, обеспечивающим аутентификацию и защиту от «прослушивания»(нарушениеконфиденциальности) и искажения данных (нарушенияцелостности). Для аутентификации служат сертификаты Х.509 и проверки на основе связанных с ними закрытых ключей. Конфиденциальность обеспечивает шифрование данных, целостность — хэш-функции и коды аутентичности сообщения (Message Authenticity Code, MAC). SSL/TLS противостоит таким угрозам, как:подмена идентификатора клиента или сервера (с помощью надежной аутентификации);раскрытие информации (с помощью шифрования канала связи);искажение данных (с помощью кодов целостности сообщений).Стандартный порт для HTTP-трафика по протоколу SSL/TLS (HTTPS) — 443. Однако SSL/TLS не ограничен защитой только данных HTTP. Его можно применять и к другим Интернет-протоколам. Защищенные версии основных протоколов и соответствующие номера портов представлены ниже (табл. 3.1).Если сервер не поддерживает SSL/TLS, соединение установить не удастся.Таблица 3.1 – Распространенные протоколы, поддерживающие SSL/TLS.ПротоколПортОписаниеHTTPS443HTTP no SSL/TLSSMTPS465SMTP (электронная почта) по SSL/TLSNNTPS563NNTP (новости) по SSL/TLSLDAPS636LDAP (доступ к каталогам) по SSL/TLSPOP3S995POP (электронная почта) по SSmLSIRCS994IRC (чат) по SSL/TLSIMAPS993ШАР (электронная почта) по SSL/TLSFTPS990FTP (передача файлов) по SSL/TLSОсновная проблема SSL/TLS — снижение производительности при соединении. Эта процедура требует больших расходов процессорного времени на выполнение сложных криптографических операций с длинными ключами. Однако после установления соединения накладные расходы на шифрование сокращаются. Чтобы повысить производительность Web- узла, следуетследовать этим правилам:Необходимо свести SSL/TLS-часть вашегоWeb-узла к минимуму.Использовать SSL/TLS только для пересылки конфиденциальных данных — все остальные части Web-узла могут обойтись без защищенного соединения.Выполнять SSL/TLS-страницы простыми.Повторно используйте кэшируемые SSL/TLS-соединения.Так как, происходит шифрование всего содержимого страниц, передаваемых по SSL/TLS-соединению, в том числе и изображения. Поэтому число изображений на этих страницах должно быть минимальным, а сами они — простыми. Установка нового SSL/TLS-соединения занимает приблизительно впятеро больше времени, чем восстановление соединения, помещенного в кэш. Стандартный тайм-аут для такого соединения увеличен с 2 до 5 минут. Время жизни соединения в кэше можно увеличить, присвоив подразделу реестра ServerCacheTime значение, приведенное ниже. Это значение измеряется в миллисекундах (например, 300 000 — это 5 минут).3.6 Использования IPsec в VPNрешенияхДля обеспечения безопасной передачи данных между офисами компании необходимо использование защищенного протокола. В данном случае SSL будет обладать низкой производительностью в сравнение с IPsecВ последние несколько лет аналитики и эксперты рынка ИБ (как отечественные, так и зарубежные) отмечают рост количества и разнообразиякиберугроз. В этой связи ускоренными темпами развиваются и инструменты противодействия этим угрозам. Одним из таких инструментов являются межсетевые экраны и VPN/FW-решения.Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.Однако это определение относится к межсетевым экранам в классическом их понимании. Все современные решения (и российские, и зарубежные) помимо задач межсетевого экранирования выполняют и функции построения VPN-сетей.Задачи, решаемые современнымVPN/FW-продуктом:Организация доверенных и защищённых каналов связи в рамках единой, территориально распределённой информационной системы.Сегментирование информационных систем.Защита корпоративной информационной системы от внешних угроз.Организация защищённого доступа удалённых (мобильных) пользователей к корпоративным ресурсам.Обеспечение надёжности и отказоустойчивости защищаемой информационной системы.IPsec — это набор протоколов (protocolsuite), созданный TheInternetEngineeringTaskForce (IETF) для обеспечения безопасности в IPv4 и IPv6. IPsec стал стандартом реализации VPN- решений во всём мире, и его используют ведущие зарубежные и отечественные разработчики, работающие на российском рынке обеспечения информационной безопасности.[19]IPsec имеет три протокола (англ. «subprotocols»):AuthenticationHeader (Аутентификационный заголовок). Обеспечивает аутентификацию источника и контроль целостности пакета.Encapsulating Security Payload (Шифрованиеданных). Обеспечивает конфиденциальность и, опционально, аутентификацию источника и контроль целостности пакета.InternetKeyExchangeProtocol (Протокол согласования ключей).Рисунок 3.6 – Структура протокола IPsecОбеспечивает аутентифицированное согласование ключей.AH и ESP — протоколы непосредственной защиты данных. Роль IKE совсем другая — он не занимается непосредственно защитой данных пользователя, но обеспечивает AH и ESP аутентифицированными ключами. Именно поэтому на схеме они выделены разными цветами.На сегодня единственной официальной версией протокола согласования ключей является IKEv2. Предыдущая версия (IKEv1) была принята ещё в конце 1998 года. К сожалению, многие недостатки в первой версии протокола были обусловлены спешкой, в которой он разрабатывался. IKEv1 создавался группой разработчиков, в которой различались персональные взгляды на проблему и столкнулись политические амбиции компаний- работодателей этих разработчиков.Поэтому протокол получился компромиссным: необходимо было учесть различные интересы этих групп. Для России у IKEv1 оказался ещё один серьёзный недостаток — в нём были чётко определены режимы шифрования, что создавало проблемы с использованием отечественного криптоалгоритма ГОСТ-28147-89 и сертификацией VPN/FW-решений на его основе. Эти факторы привели к тому, что протокол стал слишком сложным для практического применения (проблема usability). Но поскольку альтернативы на тот момент не было, вендоры были вынуждены реализовывать IKEv1 в своих продуктах. Однако необходимость изменений в протоколе согласования ключей была очевидна всем разработчикам VPN-решений, поэтому работы в этом направлении не прекращались и, как результат, вторая версия увидела свет в конце 2005 года.[14]IKEv2 стал более зрелым и структурированным решением, по сравнению с IKEv1. Появилось более чёткое разделение элементов протокола, отвечающих за различные функции.Преимущества IKEv2Допускается более гибкое использование криптографических алгоритмов.Это значительно расширяет возможности практического применения IKEv2. Разработчик (или интегратор) VPN/FW-решений может предложить заказчику использование того криптоалгоритма, который ему подходит.Лучшая защита от DoS-атак.Перед тем как однозначно аутентифицировать стороны VPN-соединения, VPN-агенты должны осуществить достаточно большое количество сетевых взаимодействий и вычислительных операций (в т. ч. и вычисление ключа по алгоритму Диффи-Хеллмана (англ. Diffie-Hellman, DH)). При увеличении числа VPN-соединений, количество таких взаимодействий растёт экспоненциально, если используется IKEv1, и линейно, если используется IKEv2. Таким образом, IKEv1 существенно хуже защищён от DoS-атак, чем IKEv2. В настоящее время в связи с ростом числа и размеров ботнетов и снижением стоимости проведения DoS-атак это преимущество является ключевым.Повышение эффективности использования ресурсов.Повышение эффективности использования вычислительных ресурсов VPN-агентов достигается также и за счет использования т.н. «криптографических cookies», которые позволяют проверить легитимность VPN-агента со значительно меньшими вычислительными затратами.Уменьшение количества необходимых сетевых взаимодействий снижает нагрузку на каналы передачи данных и всю сетевую инфраструктуру в целом. Исправлены замеченные криптографические ошибки.Протокол стал более защищённым с точки зрения криптографии.Рисунок 3.7 – Повышение эффективности протокола IKEv2Существенно повышена надёжность работы протокола в условиях, когда велика вероятность потери сетевых пакетов.Все операции теперь требуют подтверждения от другой стороны VPN-соединения.Вторая версия протокола предусматривает возможность подключения к ядру IKEv2 расширений, реализующих различный дополнительный функционал. Крупнейшие зарубежные разработчики VPN/FW-решений поддерживают семейство протоколов IPsec. Из представленных на российском рынке продуктов можно выделить решения CiscoSystems, CheckPointSoftwareTechnologies, StoneSoft, Huawei. Предприятия малого и среднего бизнеса успешно используют продукты D-Link и ZyXEL.Однако у продуктов зарубежной разработки есть достаточно серьёзные проблемы с их сертификацией в ФСБ России, которая является регулятором в сфере разработки и производства средств криптографической защиты информации. Поэтому практически весь рынок сертифицированных СКЗИ принадлежит VPN/FW-решениям отечественных разработчиков.Использование общепринятых стандартов и протоколов в разработке VPN/FW-решений — это шаг навстречу конечному пользователю, который будет эксплуатировать информационную систему. Такой подход снижает издержки заказчика на поддержку и администрирование своей информационной системы.3.7 Вывод по 3 главе.В сквозном сценарии информация должна быть защищена при передаче от клиента серверу и обратно. Снизить риск нарушения целостности данных позволяют защищенные протоколы, которые шифруют информацию при передаче через промежуточные серверы и маршрутизаторы. Протокол SSL (SecureSocketsLayer) используется для создания защищённого канала связи между компьютерами на базе TCP.  SSL использует при создании сеанса связи и передачи ключей асимметричное шифрование, но припередачи данных используется симметричное шифрование. Протокол защиты транспортного уровня (TLS - TransportLayerSecurity) есть протокол, который получил своё начало от SSL протокола и в будущем может его заменить. Основная проблема SSL/TLS — снижение производительности при соединении. Эта процедура требует больших расходов процессорного времени на выполнение сложных криптографических операций с длинными ключами. Однако после установления соединения накладные расходы на шифрование сокращаются. Чтобы повысить производительность Web- узла, следует следовать этим правилам:Необходимо свести SSL/TLS-часть вашегоWeb-узла к минимуму.Использовать SSL/TLS только для пересылки конфиденциальных данных — все остальные части Web-узла могут обойтись без защищенного соединения.Выполнять SSL/TLS-страницы простыми. Повторно используйте кэшируемые SSL/TLS-соединения.Для обеспечения безопасной передачи данных между офисами компании необходимо использование защищенного протокола. В данном случае SSL будет обладать низкой производительностью в сравнение с IPsec. В этой связи ускоренными темпами развиваются и инструменты противодействия этим угрозам. Одним из таких инструментов являются межсетевые экраны и VPN/FW-решения.IPsec стал стандартом реализации VPN- решений во всём мире, и его используют ведущие зарубежные и отечественные разработчики, работающие на российском рынке обеспечения информационной безопасности.[19] Таким образом, использование данных протоколов защиты передаваемых данных позволит значительно повысить информационную безопасность ИС компании ООО «Технополис».ЗАКЛЮЧЕНИЕВ выпускной квалификационной работе использованы углубленные знания из теории и практики построения и использование информационных систем на корпоративных предприятиях и изучения архитектуры современных систем электронного документооборота. Проведенный полный анализ информационной структуры компании ООО «Технополис», а также весь перечень угроз и уязвимостей, характерный для данной вычислительной сети организации.В организации был проведенный анализ применяемых средств защиты программного обеспечения по результатам которого были введены протоколы безопасности для передачи по открытым каналам связи конфиденциальной информации.Для обеспечения безопасной передачи данных между офисами компании необходимо использование защищенного протокола. В данном случае SSL будет обладать низкой производительностью в сравнение с IPsecОсновная проблема SSL/TLS — снижение производительности при соединении. Эта процедура требует больших расходов процессорного времени на выполнение сложных криптографических операций с длинными ключами. Однако после установления соединения накладные расходы на шифрование сокращаются. Протокол защиты транспортного уровня (TLS - TransportLayerSecurity) есть протокол, который получил своё начало от SSL протокола и в будущем может его заменить. Нововведения обеспечат защиту электронного данных в вычислительной сети, а также стабильную защищенную работу с информацией.СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВНациональный стандарт Российской Федерации ГОСТ Р 50922-2006 “Защита информации. Основные термины и определения” (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 26 декабря 2006г. № 373-ст.)Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-1-2008 “Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель” (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008г. № 519-ст.) Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2008 “Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности” (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008г. № 520-ст.)Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2008 “Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности” (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008г. № 521-ст.)Савицкая Г.В. Анализ хозяйственной деятельности предприятия: Учебник. – 3-е изд., перераб. И доп. – М.: ИНФРА-М, 2012. – 425 с.Гайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: : Издательство Урал, 2008. – 257 с.Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2011. - 288 с.: ил. Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 сСтатистика уязвимостей корпоративных информационных систем.Positivetechnologies. Режим доступа www. www.ptsecurity.ruСабанов А. А. Некоторые аспекты защиты электронного документооборота // Мир связи. - 2010. - № 7. - С. 62-64.Досмухамедов Б.Р. Анализ угроз информации систем электронного документооборота // Компьютерное обеспечение и вычислительная техника. - 2009. - № 6. - С. 140-143.Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. - М.: Наука и техника, 2013. - 384 с.Информационные технологии в обеспечении нового качества высшего образования : сб. науч. статей / Всероссийская научно-практическая конференция «Информационные технологии в обеспечении нового качества высшего образования». - М. :МИСиС, 2010. - 312 с.Каменева Е. ЭЦП и электронное согласование проектов документов с использованием ИС / Екатерина Каменева // Делопр-во и документооборот на предприятии. - 2011. - № 9. - C. 48-56.Малофеев С.О применении электронной цифровой подписи в электронном документообороте / С. Малофеев // Секретарское дело. - 2009. - № 7. - C. 24-28.Матвиенко А. Основы организации электронного документооборота: Учебное пособие. / А. Матвиенко, М. Цывин. К.: Центр учебной литературы, 2008. - С. 112.Титоренко, Г.А. Информационные системы в экономике : учебник для студентов вузов / Г.А. Титоренко. - М. : ЮНИТИ-ДАНА, 2008. - 463 с.Ищейнов, М.В. Мецатунян. Учебное пособие. М. : ФОРУМ, 2012. 256 с.Мельников П. П. Защита информации в автоматизированных системах финансовых и коммерческих организаций, М.: ФА, 2011. –76с.Нормативно-справочные материалы по проблемам компьютерной и информационной безопасности. (извлечения). Институт переподготовки и повышения квалификации сотрудников ФСБ РФ, г. Екатеринбург, 2010 г.Безопасность и управление доступом в информационных системах. А.В. Васильков, И.А. Васильков. Учебное пособие. М. : ФОРУМ, 2010. 368 с.Комплексная система защиты информации на предприятии, Н.В. Гришина. Учебное пособие. М. : ФОРУМ, 2011. - 240 с.Баймакова И.А., Новиков А.В., Рогачев А.И. Обеспечение защиты персональных данных. Методическое пособие / И.А. Баймакова. – М.: 1С-Паблишинг, 2010. – 214 с.Денисов Д.В Методические указания по дипломному проектированию для специальности «Информационные системы и технологии», «Безопасность информационных систем» Денисов Д.В., Дик В.В., Емельянов А.А., Жильцов А.И.,М. МПФУ 2013 г.Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб.пособие для вузов / А.А. Малюк. – М.: Горячая линия-Телеком, 2004. – 280 с.Чипига, А.Ф. Информационная безопасность автоматизированных систем: учеб.пособие для студентов вузов, обучающихся по специальностям в обл. информ. безопасности [Текст]/ А.Ф. Чипига. – М.: Гелиос АРМ, 2010. – 336 с.Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2013. - 161 с. Безопасность и управление доступом в информационных системах. А.В. Васильков, И.А. Васильков. Учебное пособие. М. : ФОРУМ, 2010. 368 с.Комплексная система защиты информации на предприятии, Н.В. Гришина. Учебное пособие. М. : ФОРУМ, 2011. - 240 с.