Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южный Федеральный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Part_4.doc
Скачиваний:
23
Добавлен:
24.11.2019
Размер:
3.12 Mб
Скачать
►Содержание►

5.2.8.Фаза 1: проста загальна політика

Якщо робочі станції та сервери оснащені IPSec, то політика захисту диктує, як ця система повинна комунікуватися з іншими системами в LAN, які системи потребують захищеної комунікації, зашифрованої за допомогою IPSec, і для яких систем передбачена відкрита комунікація. На початку найпростіший шлях полягає у впровадженні однієї загальної політики захисту для кожної системи, оснащеної IPSec. До речі, оснащення IPSec може бути додане до робочих станцій і серверів додатково. Системам, які містять інформацію власника або здійснюють чутливі транзакції, повинен бути наданий пріоритет у розгортанні. Коли IPSec доданий до певної системи, але не до інших, то слід виявити увагу, щоб запобігти припиненню послуг. Найпростіше це здійснити, зробивши IPSec опційним під час фази його запуску.

Ступеневе впровадження захищених LAN можна розпочати з однією загальною політикою захисту. Система із цією політикою може здійснювати обмін захищеними зашифрованими транзакціями з будь-якою іншою системою, оснащеною IPSec, як свій привілегований режим роботи. Однак ця політика дозволяє вживання захисту на власний розсуд користувача. Якщо асоціація захисту з іншою системою не встановлена, то то система, оснащена IPSec повертається до пересилання відкритого тексту. Ця політика уможливлює поступове розгортання, забезпечуючи підтримку як незахищених, так і захищених транзакцій для тих самих робочих станцій чи серверів. Тому не потрібно синхронізувати розгортання – системи можуть бути модифіковані незалежно і не потрібно ствоювати і обслуговувати складні політики захисту.

Рис. Фаза 1 – проста загальна політика захисту.

Розглянемо приклад на рис. . Робочі станції виконавців і сервер фінансів отримали пріоритет прирозгортанні захищеної LAN і є першими модифікованими для підтримки IPSec. Після модифікації, якщо головний адміністратор (Chief Executive Officer – CEO) і головний фінансовий адміністратор (Chief Financial Officer – CFO) комунікуються один з одним, то вони завжди використовують асоціацію захисту, зашифровану IPSec. CFO також комунікується захищеним чином із фінансовим сервером. Однак якщо CFO потребує комунікуватися із робочою станцією або сервером, які не модифіковані, то CFO може прийняти сполучення відкритим текстом, якщо воно зініційоване кимось іншим. CFO також може повернутися до комунікації відкритим текстом, якщо він з’єднується з публічним сервером (наприклад, з поштовим сервером організації). Ця можливість ініціювати IPSec і повертатися до відкритого тексту може бути застосована у будь-яких робочій станції або сервері, бо всі вони спільно використовують ту саму загальну політику захисту.

Протягом цієї початкової фази реалізуються багато переваг захищеної LAN: трафік з найвищим ризиком захищений від модифікацій та розкриття. У наведеному прикладі між CEO, CFO і фінансовим сервером не може бути підглянена іншими абонентами LAN. Однак всі системи, які використовують спільні мандати простої політики захисту, розглядаються як партнери. Управління доступом обмежене до використання паролів операційної системи. Оскільки сервер може бути доступний для будь-кго із LAN, то необхідне використання традиційного захисту файлової системи для обмеження доступу до файлів тільки до авторизованого персоналу.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности