Пример внедрения технологии CryptoCard при организации удаленного доступа в структуре крупного предприятия

Как правило, вопросы недостаточной идентификации поднимаются не на пустом месте, а в рамках и во взаимодействии с уже существующими компонентами системы обеспечения сетевой безопасности, которыми располагают любые предприятия, хоть немного беспокоящихся о конфиденциальности своих данных.

Далее следует описание информационной системы, в контексте которой была успешно внедрена усовершенствованная система идентификации.

Предприятие располагает локальной сетью FastEthernet, объединяющей около 450 рабочих мест сотрудников, расположенных в нескольких корпусах. В компании имеется два типа удаленных филиалов, располагающихся в Москве (тип 1) и в других городах России (тип 2). Московские филиалы объединены с основной сетью (Moscow LAN) c помощью выделенных оптических каналов, арендованных у одной из телекоммуникационных компаний.

Второй тип филиалов (немосковские офисы) имеет доступ к внутренней сети через региональные системы единого провайдера услуг интернет, который обеспечивает транспорт потоков через публичные каналы до шлюза частной транспортной сети предприятия, используя технологию VPDN. При этом управление пользователями региональных филиалов производится через RADIUS сервер предприятия. Структурная схема построения информационной системы представлена на рисунке ниже.

(Нажмите на рисунок, чтобы посмотреть подробнее)

В московском регионе также присутствует некоторое количество мобильных пользователей, которые пользуются dial-up входом, активизированном непосредственно на центральном маршрутизаторе (описание см. ниже) с помощью 5 модемов USR Courier. Эти пользователи могут иметь доступ как к интернет так и во внутреннюю сеть предприятия.

Центральным звеном системы являются межсетевой экран (Firewall) и центральный маршрутизатор CISCO 3640.

Межсетевой экран (МЭ) - программно-аппартный комплекс, построенный на базе сервера COMPAQ ML370T. Функционирует под управлением операционной системы ОС SUN Solaris 5.7. Программное обеспечение межсетевого экрана - Check Point Firewall - 1 / VPN. МЭ имеет два интерфейса внутренний, подключенный к локальной сети и внешний, непосредственно соединенный с ethernet портом маршрутизатора, между которыми осуществляет фильтрацию пакетов в соответствии с правилами, определенными политикой безопасности предприятия.

Внедрение системы усовершенствованной идентификации преследовало цель исключить риск несанкционированного доступа к корпоративной информации в результате утери пароля доступа пользователями, которые пользуются сетевыми ресурсами внутренней сети компании извне (региональные филиалы и мобильные пользователи).

В существующую структуру системы были добавлены следующие компоненты: