Рис.7. Построение комплекса защиты в системе "Интернет-Клиент"
Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как некая "информационная мембрана". В этом смысле экран можно представить как набор фильтров, анализирующих проходящую через них информацию и, на основе заложенных в них алгоритмов, принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа. В частности, фиксировать все "незаконные" попытки доступа к информации и сигнализировать о ситуациях, требующих немедленной реакции, т.е. поднимать тревогу.
Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия "внутри" и "снаружи", и задача экрана состоит в защите внутренней сети от "потенциально враждебного" окружения. Важнейшим примером потенциально враждебной внешней сети является Интернет.
Firewall может строиться разными путями, используя различные механизмы:
· Фильтры, установленные на маршрутизаторах (router-based filters);
· Межсетевые шлюзы на хостах, или крепости-бастионы (host computer gateways);
· Разделение изоляционными сетями (a separate, isolation network).
Наиболее типичным решением проблемы обеспечения защиты от НСД со стороны внешней сети является устанавка Proxy-сервера и межсетевого экрана (Firewall). Помещение межсетевого экрана после прокси-сервера обеспечивает необходимый уровень защиты с сохранением возможности доступа клиента к web-серверу банка с любого компьютера из любой точки мира. Данное решение является одним из возможных и может базироваться на использовании специализированных продуктов Check Point Firewall-1 компании Check Point Software Technologies, TIS Firewall Toolkit компании Trusted Information Systems и т.п.
При использовании системы "ДБО BS-Client" возможно как задействовать уже существующую в банке систему защиты от несанкционированного доступа извне, так и получить консультации и помощь специалистов Компании в разработке системы безопасности "с нуля". При этом возможен как выбор одного из предлагаемых Компанией "типовых" решений для организации защиты сети банка от НСД со стороны Интернет, так разработка специалистами Компании индивидуального решения.
В систему "Интернет-Клиент" введен ряд технологических решений, обеспечивающих корректную работу в случае сбоев и\или обрывов связи:
· Механизм сессий - каждое окно браузера, запущенное определенным клиентом, получает уникальный номер сессии, и вся работа происходит в рамках этой сессии (вплоть до закрытия сессии по окончании работы или после того, как истечет таймаут, устанавливаемый в настройках серверной части системы);
· Сквозная нумерация запросов в рамках сессии - каждый запрос в рамках определенной сессии имеет уникальный идентификатор. Обрабатываются запросы с номером больше или равным предыдущему;
· Хранение на сервере данных, необходимых для формирования текущего запроса только до момента поступления запроса со следующим номером.
