Стоимость "обучения" |
Архитектура интернета
Интернет представляет огромные потенциальные возможности по развертыванию бизнеса, снижению затрат на обеспечение объема продаж, а также способствует повышению уровня обслуживания клиентов. Вместе с тем, интернет представляет собой повышенную опасность для информации и систем организации. При использовании правильной сетевой архитектуры интернет может стать настоящим помощником, и при этом вы сможете контролировать угрозы, представляемые для информации и систем.
Какие службы следует предоставлять
Первым вопросом, связанным с архитектурой интернета, на который необходимо дать ответ, является, какие службы будет предоставлять организация через интернет. От состава этих служб и от того, кто будет осуществлять к ним доступ, сильно зависит общая архитектура и даже место размещения служб.
Почта
Если доступна служба электронной почты, то она, как правило, предоставляется внутренним сотрудникам для отправки и получения сообщений. Эта служба требует, чтобы хотя бы один сервер был настроен на прием входящей почты. Если требуется больший уровень доступности, то необходимо использовать, по крайней мере, два почтовых сервера. Исходящая почта может передаваться через тот же самый сервер, либо в организации может быть разрешена отправка почты с рабочих станций непосредственно на системы назначения.
Примечание
Не рекомендуется разрешать рабочим станциям прямую отправку почты на системы назначения. Однако если почтовые системы расположены в интернете, каждая рабочая станция будет отправлять и получать почту с системы, находящейся в интернете. В данном случае разумно ограничить соединения исходящей почты на рабочих станциях, разрешив соединения только с почтовым сервером в интернете.
В организации также может действовать коммутация публичных сообщений, например, для реализации групп обсуждения, основанных на электронной почте. Такие системы, как правило, называются серверами списков. Они позволяют внешним пользователям отправлять почту в систему, а система пересылает сообщение подписчикам списка. Серверы списков могут располагаться на тех же серверах, что и основные почтовые системы организации, однако здесь необходимо учитывать повышенные требования к пропускной способности канала в общей архитектуре соединений интернета.
Шифрованная электронная почта
Как правило, электронная почта не содержит секретной информации. Тем не менее, широкое использование интернета привело к тому, что секретную информацию стали пересылать и по электронной почте для экономии времени и вследствие низкой стоимости передачи данных по сравнению с обычными службами доставки. В данном случае рекомендуется шифровать содержимое электронной почты, чтобы защитить информацию.
Примечание
В некоторых отраслях бизнеса (особенно в финансовых и здравоохранительных организациях) необходимо осуществлять шифрование секретных данных, связанных с клиентами и пациентами.
Осуществлять шифрование электронной почты можно посредством использования нескольких типов систем. Эти системы варьируются от программных средств рабочего стола (таких как PGP) до сетевых конструкций, располагаемых в почтовом потоке (например, Tovaris). Выбор системы зависит от того, сколько зашифрованной электронной почты требуется отправлять и получать, а также от ряда других требований организации, таких как восстановление и управление ключами (для получения более подробной информации по этой тематике обратитесь к "Шифрование" ).
Интернет
Если в организации осуществляется публикация данных для клиентов или партнеров через интернет, необходимо создать веб-сервер и разместить на нем содержимое для публичного просмотра. Этот веб-сервер может располагаться в другом месте либо находиться внутри сети.
Веб-серверы предоставляют пользователям простое статическое содержимое либо подключаются к системам электронной коммерции (см. "Электронная коммерция: требования к безопасности" ), обеспечивающую отображение динамического содержимого и позволяющую осуществлять прием заказов. Доступ к веб-сайту может быть общим либо ограниченным посредством использования некоторого механизма аутентификации (как правило, это идентификатор пользователя или пароль). Если содержимое сайта предусматривает ограниченный доступ или является секретным, следует использовать HTTPS (применяющий протокол защищенных сокетов SSL). HTTPS работает через порт 443 вместо порта 80, что нормально для веб-трафика. HTTPS - это шифрующая версия протокола HTTP, используемого для веб-трафика, и она, как правило, применяется для веб-страниц, содержащих секретную информацию или требующих аутентификацию. Выбор метода реализации веб-сайта влияет на ожидаемый объем трафика и важность самого веб-сервера.
Организация может предоставлять сервер FTP в качестве составной части веб-сервера. FTP-сервер позволяет внешним лицам получать или отправлять файлы. Доступ к этой службе осуществляется через веб-браузер или клиент FTP. Доступ может быть анонимным либо требующим указания входного идентификатора и пароля.
Внутренний доступ в интернет
Способ доступа сотрудников в интернет должен регламентироваться политикой организации (см. "Политика" ). В некоторых организациях сотрудникам разрешается осуществлять доступ в интернет с использованием любой нужной службы, включая мгновенный обмен сообщениями, чат и потоковое видео или аудио. В других компаниях доступ в интернет разрешается только отдельным сотрудникам и только к определенным сайтам. Здесь выбранный метод предоставления доступа влияет на потенциальный объем трафика и на работу сотрудников.
В таблице ниже приведен общий набор служб, разрешенных для использования сотрудниками.
Примечание
Даже если в организации принято решение запретить потоковое видео и аудио, многие сайты в настоящее время предоставляют эти возможности через HTTP; следовательно, этот трафик не будет отличаться от обычного веб-трафика. Аналогично, в интернете могут использоваться службы, предусматривающие равноправное соединение двух узлов (peer-to-peer), которое можно настроить на работу через порт 80. Такие службы несут угрозу несанкционированного доступа лиц к внутренним системам.