Развитие электронного бизнеса в России приведет к усилению позиций ФАПСИ
Сейчас это понимают все, только по-разному. Потому что от революционных перемен в технологиях управления бизнесом тоже хотят выиграть все участники процесса — поставщики, потребители и контролирующие органы. Добиться такой гармонии интересов бывает сложно, и каждая из сторон пытается перетянуть на себя вновь скроенное одеяло. Главным образом эти проблемы проявляются в правовом контексте, регулируемом государством. В свою очередь, поскольку государство и контролирующие органы суть одно и то же, известного перекоса в распределении «бонусов» не избежать.
Специалисты в области информационной безопасности, без которой нормальное функционирование электронно-денежных отношений в России, равно как и в любой другой стране, немыслимо, вынуждены констатировать, что развитие электронного бизнеса приведет в первую очередь к усилению позиций ФАПСИ. Выгода других участников процесса — поставщиков и потребителей — будет зависеть от их активности и умения подстраиваться под ситуацию.
Об этом, в частности, шла речь на семинаре по информационной безопасности, проведенном 3 февраля в Москве компанией Jet Infosystems. Эта фирма специализируется на комплексной интеграции информационных систем и является одним из ведущих партнеров корпорации Sun Microsystems в России. Тематика обеспечения информационной безопасности занимает в ее деятельности одно из ключевых мест. Последний семинар был посвящен технологиям организации частных виртуальных сетей (VPN — virtual private network).
Построение защищенных корпоративных сетей на основе выделенных каналов — далеко не самый эффективный путь обеспечения информационной безопасности. Даже если на входе в локальную сеть предприятия установить межсетевой экран, это не гарантирует утечки конфиденциальной информации путем «прослушивания» каналов. Соединенные Штаты, преуспевшие по части технологий информационной безопасности, продемонстрировали миру, что глобальные сети, в том числе Internet, могут являться действенным средством ее обеспечения. Пример тому — операция «Буря в пустыне», в ходе которой Пентагон использовал Internet для оперативного управления войсками, когда его собственная выделенная сеть «пала» под атаками недоброжелателей.
Факторов, традиционно сдерживающих построение VPN в отечественных общедоступных сетях, не перечесть. В первую очередь это общее технологическое отставание в области сетевых коммуникаций. Наряду с этим — жесткая государственная политика лицензирования и сертификации, предельно ограничивающая ввоз зарубежных криптотехнологий. Третье — ориентация потребителей на собственные, доморощенные решения, что ограничивает рынок профессиональных продуктов. Теоретически технологическое отставание легко преодолеть, так как существует огромный зарубежный опыт в этой области. Но отсутствие юридической базы использования средств защиты информации и ориентация на морально устаревшие методы является препятствием объективным и труднопреодолимым.
Несмотря на то что отечественные разработчики активизировались, а западные страны все больше упрощают условия экспорта криптотехнологий, рынок средств информационной защиты еще не сложился. В свободном обращении сейчас находится единственный сертифицированный ФАПСИ продукт для организации VPN под названием «Шип». Он основан также на единственном алгоритме шифрования, одобренном ГОСТом. Однако «Шип», появившийся на рынке довольно давно, имеет существенные недостатки в сравнении с современными решениями VPN. Максимальная производительность системы при использовании механизма шифрования составляет 8 Мбит/c, в то время как в аппаратных решениях Cisco PIX Firewall этот показатель достигает 170 Мбит/c, а в аналогичных программных продуктах SSH IPSec Express — 40 Мбит/c.
Другие минусы, присущие всем отечественным разработкам VPN прошлого поколения, — это механизм «ручной» раздачи ключей (что требует некоторого времени при подключении к защищенной сети нового клиента), отсутствие централизованного мониторинга, интеграции с межсетевыми экранами и синхронизации во времени при работе участников информационного обмена в разных часовых поясах. Специалисты из Jet дали понять, что эти недостатки постепенно устраняются разработчиками в новых версиях продуктов. К тому же время показало, что в споре между сторонниками разных технологий защиты информационных потоков выигрывают те, кто ориентировался на защищенную версию протокола IP — IPSec.
Разумеется, Jet пропагандирует собственную разработку в области VPN — продукт под названием «Тропа». Он базируется на формате пакетов IPSec, имеет собственный модуль, встраивающий используемые в нем библиотеки в стандартный стек TCP/IP. Архитектура «Тропы», по мнению разработчиков, соответствует самым актуальным требованиям заказчика. Имеется одновременная поддержка шифруемых и нешифруемых потоков через криптошлюзы, используется идея контура безопасности сети, состоящего из набора адресов криптошлюзов и отдельных клиентов в глобальной сети, обеспечивается полная интеграция с «фирменным» межсетевым экраном «Застава — Jet». Предположительная стоимость решения VPN «Тропа» в расчете на один защищенный узел составит около 1500 долл.
Вопрос использования этого, вне сомнения, качественного продукта государственными и прочими организациями упирается в «старые грабли» сертификации компетентными органами. Представители Jet заявили, что для них это также первостепенная задача и в данное время она успешно решается. Модульный принцип построения «Тропы» позволяет встраивать в продукт ГОСТовские алгоритмы криптографии, а чтобы полностью соответствовать ГОСТу по применению в госучреждениях, исходную версию продукта необходимо только упростить — изъять центр распределения ключей. Получается «Тропа — Light», в которой дискеты развозятся вручную, но и стоит она значительно дешевле, так как центр распределения ключей работает только на платформе Sun Solaris. Тогда возникает резонный вопрос: зачем включать в продукт различные передовые технологии впрок?
Как было сказано на семинаре, процесс сертификации средства криптозащиты «в завершенном виде» имеет массу нюансов. Госстандарт выдает сертификаты на единый программно-аппаратный комплекс, поэтому, если программное обеспечение переставить на другую платформу, которая его поддерживает, сертифицировать комплекс нужно заново. Впрочем, специалисты Jet успокаивают, что аналогичная практика сертификации принята и на Западе. Может быть и так, однако у нас, как в известной пословице, «видит око, да зуб неймет». Пока ответственность за использование общедоступных за рубежом средств криптозащиты в российских корпоративных сетях целиком лежит на пользователе.
Рынок растет
Объем мирового рынка сетей VPN стремительно увеличивается (млрд. долл.)
1997 | 0,205 |
1999 | 1,37 |
2001 | 11,9* |
* Прогноз
Источник: Infonetic Research