O tom, že internet otevírá nové možnosti pro zlepšení vnitřní komunikace ve firmě, není pochyb. Společnosti díky němu lépe sdílejí informace, které mohou lépe analyzovat a používat jako podporu v rozhodování. Typickými aplikacemi realizovanými jako intranet bývá sledování docházky, vykazování odpracovaných hodin na úkolech, správa a uchovávání dokumentů, adresář zaměstnanců, rezervace zasedacích místností nebo služebních automobilů, elektronizace vnitřních procesů, jako je vyúčtování služebních cest apod. Jak je z výčtu viditelné, použití je velmi mnohostranné a přináší zjednodušení v řadě rutinních procesů. Protože každá firma je jiná a vnitřní procesy v ní nelze zobecnit, bývají intranetová řešení velmi často vytvářena na zakázku. Výhodou tohoto řešení je, že intranet tak může přesně odpovídat požadavkům zákazníka a přesně kopírovat jeho potřeby.

Bezpečnostní potřeby intranetu
Z pohledu provozu a bezpečnosti intranetu je nejvýznamnější vlastností centralizace všech klíčových komponent. Technické řešení lze rozdělit do tří základní oblastí:

. Klientská pracoviště - zde obvykle požadujeme pouze konektivitu se serverem, správnou verzi prohlížeče.

. Interní DMZ (interní demilitarizovaná zóna) - obsahuje www server zahrnující uživatelský interface.

. Zóna s vysokým zabezpečením - obsahuje aplikační logiku, interní a externí datové zdroje a podpůrné systémy.

Rozdělení řešení do těchto tří základních zón je z pohledu bezpečnosti velmi výhodné, odděluje citlivé informace od ostatních. Tento koncept tak nutí tvůrce dobře dokumentovat jednotlivé informační toky mezi sebou. Další výhodou tohoto konceptu je také zjednodušení ostatních back-end procesů - jako je zálohování a archivace, protože všechna citlivá a dynamicky vyvíjená data jsou soustředěna na jednom místě.

Bezpečnostní technologie aplikované v intranetech

Serverové certifikáty
Nejznámější bezpečnostní technologií používanou ve spojení s intranety je použití certifikátu pro server - pro jméno domény, kde je server provozován. Tuto technologii lze využívat pro šifrování přenášených dat a pro ověřování autenticity serveru - tj. klient si může být jistý, že se dívá na ten daný intranet a ne na jeho hackerskou napodobeninu.

Podepisování kódu
Další technologií používanou ve spojení s intranetem je podepisování kódu. Intranetová řešení mohou potřebovat využívat aplikace, které je třeba z různých důvodů spouštět přímo na straně klienta - tzv. applety. Tento typ kódu však může být pro cílovou stanici potencionálně nebezpečný - teoreticky lze napsat takový applet, který mimo svůj účel bude vykonávat ještě další nechtěné činnosti - například se bude chovat jako počítačový virus. Aby se tomuto zabránilo, je možné si nechat daný applet podepsat certifikační autoritou. Tím se alespoň zamezí jeho modifikaci na serveru nebo během transportu ke klientovi či například "doprogramování" nežádoucího chování kódu útočníkem.

Autentizace klienta
Výše jmenované technologie řešily problematiku autentizace intranetového serveru vůči klientovi (tj. klient důvěřuje obsahu serveru). Nezabývali jsme se však řešením autentizace klienta vůči intranetu (tj. intranet potřebuje vědět, kdo je klient). Abychom toho byli schopni, je třeba vystavit certifikáty všem oprávněným uživatelům intranetu. Model potom vypadá tak, že pokud uživatel má tento certifikát platný a požaduje informaci z chráněné části intranetu, tak server interně vyzve klienta k zaslání textu podepsaného digitálním podpisem. Server ověří platnost certifikátu a platnost podpisu a pokud je vše v pořádku, předá server jméno klienta z certifikátu. Intranetový server pak podle práv uživatele rozhodne o tom, zda je klientovi zaslána požadovaná informace. Pro uživatele je důležité, že celý tento proces probíhá zcela automaticky, takže na uživatele nejsou kladeny žádné další požadavky. Pro uchování soukromé části klíče může být uživateli vydána čipová karta, která se stane nástrojem pro autentizaci a pro elektronický podpis.

Podepisování dat
Další zajímavou bezpečnostní technologií využívanou v intranetových aplikacích je použití digitálního podpisu k zajištění autenticity uživatelských dat. V praxi to vypadá tak, že uživatel vyplní formulář ve svém prohlížeči a při jeho odesílání je vyzván k zadání PINu k jeho čipové kartě a je upozorněn na to, že odesílaná data budou opatřena jeho digitálním podpisem. Z technického hlediska je při odeslání spuštěn applet, který obsah formuláře sumarizuje a opatří elektronickým podpisem vytvořeným pomocí klíče na kartě. Pokud je použita struktura intranetu popsaná na výše uvedeném schématu, data opatřená podpisem jsou šifrovaným spojením odeslána na WWW server, kde jsou postoupena dalšímu serveru s aplikační logiku. Zde je podpis ověřen a transakce je zpracována podle práv příslušného žadatele.

Bezpečnostní hlediska komponent intranetového řešení

Provoz WWW serveru
Zde platí jednoduché pravidlo známé každému správci jakéhokoli WWW serveru, a to zní "záplatovat, záplatovat, záplatovat". S postupem doby se snad ve všech verzích nejprovozovanějších WWW serverů objevila nějaká více či méně závažná chyba, a proto je nutné dbát na to, abychom systém měli vždy aktuální.

Další důležitou zásadou je oddělit uživatelské rozhraní serveru od samotných dat. Zatímco stránky i server lze v případě problému mechanicky obnovit z aktuální zálohy, datové zdroje nikoli. Z hlediska ochrany dat navíc tyto stránky nejsou nositeli chráněných informací, ale pouze rozhraním mezi jejich reprezentací.

Uložiště dat, aplikační logika
Pro uložení dat se tedy obvykle používají pokročilé databázové systémy, jako je Oracle, MS SQL, INFORMIX apod. Pro bezpečnost celého řešení je důležitá otázka nastavení těchto databázových nástrojů. Obecně by měla platit zásada maximálního začlenění aplikační logiky do datového modelu. V praxi to obvykle znamená použití uživatelských práv přesně ohraničujících možnosti jednotlivých uživatelů také na úrovni uživatelských účtů, a zejména použití "stored procedures" kopírujících aplikační logiku. Tímto způsobem lze výrazně posílit bezpečnost výsledného řešení.

Ostatní datové zdroje
Intranety však často nebývají systémy ohraničené pouze vlastními zdroji dat. Obvykle bývá vyžadována interakce s dalšími externími entitami, jako jsou již zmíněné LDAP servery, PKI systémy, či technická zařízení, například různé dveřní systémy apod. Zde je důležitá definice těchto komunikačních toků a jejich zabezpečení.

Závěr
Bezpečnost intranetových řešení je často mimo hlavní zájmy společností, protože panuje obecný názor, že intranet, který je provozován uvnitř společnosti - tj. uvnitř našeho bezpečného prostředí - není tolik ohrožen jako extranety a B2B řešení. Pravdou ale je, že narozdíl od vnějších aplikací intranet obsahuje podstatně cennější informace. Skutečností také zůstává, že uživateli intranetu jsou interní zaměstnanci organizace a ač to není na první pohled zřejmé, interní zaměstnanci jsou nejčastějšími útočníky na informační systém společnosti.