„управление и защита на корпоративни информационни системи


Технологична база на Интранет



Изтегляне 1.15 Mb.
страница3/14
Дата28.10.2018
Размер1.15 Mb.
#103013
ТипПрограма
1   2   3   4   5   6   7   8   9   ...   14

1.1.1. Технологична база на Интранет


  • Използване на протоколния стек TCP/IP и по-специално върху него HTTP (за създаване на приложения WWW);

  • Виртуални локални мрежи, използващи протокола VLAN и LANE, частни мрежи и виртуални частни мрежи (VPN) върху IP;

  • Технологичният клиент/сървър и по-нови компонентни технологии и олекотени клиенти.

1.1.2. Основни черти на Интранет


  • Изпозване на технологията WWW за обмен на информация вътре в корпоративната мрежа (достъп/ преглеждане и публикуване) – HTML/WWW Publishing – XML;

  • Осигуряване на безопасен достъп до ресурсите на мрежата отвън-навътре, преобразуване и транслиране на адресното пространство на корпоративната мрежа – Firewall, Proxy, Cache;

  • Единна система за електронна поща, използваща стандарта MIME, PGR/PEM, X400и обединяваща различни пощенски системи (Ms Exchange, Eudora, Netscape Mail);

  • Единна система на директории за търсене на потребителите на мрежата, организации и подделения – Yellow Page, X.500, Whois

  • Единна навигационна и търсеща система по ресурсите на мрежата =- WAIS, Alta Vista, CWIS;

  • Поддръжка на бизнес приложения чрез Интернет (осигуряване на безопасна търговия през Интернет, създаване на „тунели” за свързване на подделенията на корпурацията чрез Интернет);

  • Средства за поддържане на корпоративна работа на групи потребители (посредством WWW, електронни конференции, видеоконференции, списък с адреси);

  • Мобилност на потребители и приложения – видове мобилност в разпределените системи – Oracle VAP.

1.1.3. Основни задачи решавани в Интранет


  • Единна стандартна технология и технологична база, позволяваща обединяването на множество приложения на основата на технологията клиент/сървър – хоризонтална съвместимост – други варианти и задачи на интеграцията, дори и в условията на различни технологии и бази;

  • Възможност за развиване и усъвършенстване на отделни компоненти на системата и еволюционното и развитие – вертикална съвместимост;

  • Мобилност на приложенията и потребителите;

  • Разделяне и съвместно използване на ресурсите на мрежата;

  • Интеграция на дейностите и ресурсите;

  • Предпоставки за развитие на технологията Интранет и нейни приложения;

  • Технологията Интранет е предоставила ефективни възможности за решаване на корпоративни задачи и е решила проблема с принудителното обединяване. Корпоративните мрежи и отворения Интернет, също така предостави и възможности за комерсиалното му използване – за маркетинга, търговията, интеграцията и търсенето на информация;

  • Развитието на Интернет в глобален мащаб и ръстът и броя на потребителите;

  • Създаването на WWW като универсално съвременно средство за достъп до ресурсите на Интернет, по качество на представяне на информацията и възможности за визуализация сравнимо с тележизията и непосредствена работа;

  • Създаване и развитие на технологията на виртуалните мрежи, АТМ, клиент/сървър, VPM;

  • Решаването на задачата за осигуряване на безопасността за предаването на информация в разпределена (нецентрализирана) инфраструктура, за разлика от преди разработената концепция за безопасност DOT/Internet, използваща централизирана инфрастриктура за осигуряване на безопасност.

1.1.4. Интранет и миграция


  • Интернет технологиите в Интранет се явяват резултат и от продължителната синергия на две концепции за развитие на Интернет;

  • Университетска, предоставяща безплатно некомерсиални ресурси на индивиди за създаване на свободно разпространявани обществено достъпни продукти;

  • Корпоративни или комерсиални, използващи принципа на комерсиализиране на покупни ресурси за създаване на корпоративни продукти, намиращи се в последствие в корпоративна (частна) собственост.

1.2. Политика за сигурност


Проблемът за защитата на класифицираната информация в корпоративната INTRANET е нов. Въпреки широкото му обсъждане в обществото, все още е трудно да се намери отговор на следните въпроси:

  • Как да се създаде организация за защита на информацията в конкретно учреждение или предприятие?

  • Как да се изгради надеждна и сигурна система?

Законът не дава отговор на тези въпроси. Цел на информационната сигурност1 е постигането на: поверителност, цялостност, достъпност и проверка за автентичност.

Защитата на класифицираната информация се изразява в комплекс от мерки в областта на физическата, документалната, персоналната и компютърната сигурност. Не всички мерки са технически. В тези области е възможно да се прилагат различни мерки, които са описани в настоящата работа.


1.2.1. Управленски мерки


Те означават да се разработи политика, програми за сигурност, анализ и управление на риска.

Под политика за сигурност може да се разбира съвкупност от управленски решения по отношение защитата на класифицираната информация и присъединените към нея ресурси. От практическа гледна точка политиката за сигурност може да се раздели на три нива.

Към първото ниво са решенията, които имат отношение към цялата организация. Те се вземат от ръководството на организацията и са с по-общ характер, като например: решение да се проектира или преразгледа комплексна програма за защита на информацията; формулиране на целите, които преследва организацията в областта на защитата на класифицираната информация; осигуряване на база за спазване на законите и наредбите; систематизиране на управленските решения по въпросите за реализация на програмите за защита, които са валидни за цялата организация. Към това ниво на управление се отнасят защитата на ресурсите и координацията при използването на тези ресурси, обособяването на специален персонал за защита на критично важни системи, поддържането на контакти с други организации и пр. Политиката за сигурност от това ниво има връзка с три аспекта: първо, организационната единица2 е длъжна да спазва съществуващите закони; второ, трябва да контролира действията на лицата, които отговарят за изработване на програмите за сигурност; и трето, да се осигури определена степен на отговорност на персонала.

Към средното ниво се включват отделни аспекти на защитата на информацията. Като пример за това е достъпът до интернет (как да се съчетае правото да получаваш информация със защитата от външни заплахи), използването от потребителите на нелицензирани програми и т.н. Политиката за сигурност на това ниво има отношение към следните теми:



  • Описание на аспекта, т.е. описанието на заданието и конкретните изисквания към мрежата - с каква информация ще се работи, с какви ресурси се разполага, на какви изисквания за защита трябва да отговори системата и т.н.

  • Обхват и ниво на сигурността. Например за АИС и/или мрежи на важно държавно учреждение (МВР, МО и т.н.) може би трябва по-висока степен на защита, отколкото на една малка фирма;

  • Сфера на използване, т.е. къде, кога, как, по отношение на кого и какво се приема дадената политика за сигурност;

  • Позиция на организацията по дадения аспект, т.е. целите на организацията по отношение на защитата на класифицираната информация. Най-добрите политики за сигурност на данните използват превантивния подход. Чрез предотвратяване на възможността за неоторизиран достъп данните ще останат защитени;

  • Права и задължения на лицата, отговарящи за провеждането на политиката за сигурност. Тези права и задължения се определят със Закона за защита на класифицирана информация (ЗЗКИ) и Наредбата3, както и с вътрешни нормативни правила. Политиките определят насоките и правилата, които могат да бъдат от полза на администраторите и потребителите при възникване на непредвидени ситуации в мрежата. Например, ако трябва да се проверяват дискети от друг компютър, е необходимо да се опишат процедурите за проверка. Ако не трябва да се използват нелицензирани програми, трябва да се знае кой отговаря за изпълнението на това правило и т.н. Най-общо, групите хора, които имат отношение към сигурността на информацията в една система или мрежа са: ръководителите, системните инженери, системните администратори, системните организатори и потребителите;

  • Законосъобразност. Политиката за сигурност трябва да съдържа общо описание на забранените действия и наказанията за тях. Случаите на нарушения от страна на персонала трябва да се разглеждат от ръководството и да се предприемат наказателни мерки, включително и уволнение;

  • При определяне на политиката за сигурност трябва да се знае всеки служител от кого може да получи разяснение, помощ и допълнителна информация;

Политиката за сигурност на най-ниското ниво се отнася до конкретното програмно осигуряване. За разлика от предишните две нива тя трябва да бъде доста по-детайлна. Въпросите, на които трябва да се отговори при определяне на политиката за сигурност за това ниво, са например:

  • При какви условия могат да се четат и модифицират данните в АИС?

  • Кой има право на достъп до обектите, поддържащи програмното осигуряване?

Формулирането на целите на политиката на най-ниското ниво също се основава на съображенията за поверителност, достъпност и цялостност, но тези цели трябва да бъдат по-конкретни.

От целите произтичат правила за защита на информацията, описващи кой, какво и при какви условия може да върши. Колкото са по-детайлни правилата, толкова по-лесно е да се изпълняват програмно-техническите изисквания. От друга страна, много строгите правила може да пречат на работата на потребителите. Затова ръководството ще трябва да намери разумен компромис, при който за приемлива цена може да се осигури приемливо ниво на защита, без да се ограничават служителите.

След като се определи политиката за сигурност на една система, може да се пристъпи към изготвяне на програма за сигурност4 и към нейното реализиране. Програмата може да се структурира също на отделни нива, съответстващи на структурата на самата организация. В най-честите случаи са достатъчни две нива: централно и изпълнителско.

Програмата на централно ниво се отнася за цялата организация и може да се ръководи от лицето, отговарящо за сигурността на информацията в АИС и/или мрежите, като главните й цели са: оценка на рисковете и заплахите; избор на ефективни средства за защита; координация на дейностите на различни отдели и служители при защитата на информацията; стратегическо планиране; контрол на дейностите в областта на защитата на класифицираната информация.

Целта на програмата на изпълнителско ниво е да осигури надеждна и икономична защита. На това ниво се решава какви механизми на защита могат да се използват, закупуването и установяването на технически средства и т.н. За изпълнението на действията по програмата трябва да отговаря администраторът на мрежата.

Програмата за сигурност не бива да се превръща в набор от технически средства, построени в система, защото така ще загуби своята независимост и авторитет и като следствие висшето ръководство ще забрави за нея.



Каталог: files -> files
files -> Р е п у б л и к а б ъ л г а р и я
files -> Дебелината на армираната изравнителна циментова замазка /позиция 3/ е 4 см
files -> „Европейско законодателство и практики в помощ на добри управленски решения, която се състоя на 24 септември 2009 г в София
files -> В сила oт 16. 03. 2011 Разяснение на нап здравни Вноски при Неплатен Отпуск ззо
files -> В сила oт 23. 05. 2008 Указание нои прилагане на ксо и нпос ксо
files -> 1. По пътя към паметник „1300 години България
files -> Георги Димитров – Kreston BulMar
files -> В сила oт 13. 05. 2005 Писмо мтсп обезщетение Неизползван Отпуск кт

Изтегляне 1.15 Mb.

Сподели с приятели:
1   2   3   4   5   6   7   8   9   ...   14



©obuch.info 2024
отнасят до администрацията
    Начална страница
Автореферат
Анализ
Бизнес-план
Биография
Глава
Диплом
Доклад
Задача
Закон
Занятие
Заседание