Для защиты данных во время их передачи по незащищенным сетям, таким как Internet, следует принять адекватные меры защиты. В частности, рекомендуется использовать протокол Secure Sockets Layer (SSL), System i Access for Windows и виртуальные частные сети (VPN).
Напомним, что в сценарии компании JKL рассматриваются две основные системы. Одна из них применяется для разработки продуктов, а вторая используется в производственных целях. Обе системы работают с крайне важными данными и программами. Руководство компании принимает решение установить третью систему и подключить ее к внешней сети для обработки сетевых приложений и приложений Internet.
За счет этого компании удастся организовать физическое отделение внутренней сети от Internet, что снижает вероятность причинения какого-либо ущерба со стороны Internet. Благодаря тому, что новая система будет выполнять только функции сервера Internet, компания также сможет упростить управление системами защиты сети.
Поскольку обеспечение безопасности в среде Internet является первостепенной задачей, компания IBM продолжает разработку решений по защите сети, позволяющих обеспечить безопасное выполнение операций электронного бизнеса при работе в Internet. При работе в среде Internet обязательно должна быть обеспечена защита как на уровне системы, так и на уровне приложений. Перемещение конфиденциальной информации по внутренней сети и тем более по Internet требует серьезных мер по организации защиты. В частности, необходимо принять меры по защите данных при их передаче по Internet.
Риски, связанные с передачей данных между незащищенными системами, можно минимизировать с помощью двух специальных продуктов защиты данных операционной системы i5/OS: протокол SSL и VPN.
Протокол SSL - это отраслевой стандарт защиты данных, передаваемых между клиентами и серверами. Первоначально протокол SSL разрабатывался для браузеров, но теперь он поддерживается и многими другими приложениями. В частности, следующими приложениями операционной системы i5/OS:
Некоторые из вышеперечисленных приложений также поддерживают идентификацию клиентов с помощью цифровых сертификатов. В основе протокола SSL лежат цифровые сертификаты, позволяющие идентифицировать клиентов и серверов и создавать защищенное соединение.
Виртуальная частная сеть
Соединение VPN позволяет защитить данные, передаваемые между между двумя конечными точками. Так же, как и в протоколе SSL, предусмотрена возможность шифрования данных и идентификации отправителей. Однако соединения VPN позволяют управлять параметрами защиты для каждого отдельно взятого соединения. Поэтому соединения VPN частично обеспечивают и защиту на уровне сети.
Выбор метода
SSL и VPN обеспечивают конфиденциальность, подлинность и целостность при передаче данных. Выбор зависит от нескольких факторов. Следует учесть, с кем вы устанавливаете соединение, какие приложения применяются для связи, насколько защищенным должно быть соединение и какие издержки в стоимости и производительности вы готовы понести в связи с защитой этого соединения.
Учтите также следующее обстоятельство: протокол SSL может применяться только теми приложениями, которые специально рассчитаны на его применение. Несмотря на то, что многие приложения по-прежнему не поддерживают SSL, многие другие, такие как Telnet и System i Access for Windows, позволяют применять протокол SSL. В отличие от SSL, соединения VPN позволяют защитить весь поток данных между двумя конечными точками соединения.
Например, в вашей среде может применяться протокол SSL для HTTP для обмена данными с деловым партнером в пределах внутренней сети. Если Web-сервер является единственным приложением, поток данных которого должен быть защищен, то вам совершенно не обязательно переходить на VPN. Однако если вам нужно защищать много разнообразных потоков данных, будет целесообразно перейти на VPN. Кроме того, VPN может оказаться оптимальным вариантом в ситуациях, когда вам нужна полная защита данных на каком-либо участке сети, но при этом вы не хотите отдельно настраивать каждый клиент и сервер для применения SSL. В этом случае можно создать соединение VPN между шлюзами, лежащими на этом участке сети. При этом весь поток данных будет защищен, но это никак не отразится на работе серверов и клиентов, лежащих за шлюзами.