Семинар «Общества инженеров-нефтяников»
провела специальный семинар по информационной безопасности в корпоративных сетях для системных администраторов предприятий нефтяной отрасли. Соорганизатором в проведении краткого ознакомительного курса по технологиям безопасности выступило «Общество инженеров-нефтяников. Информационные технологии» — своего рода профессиональная гильдия, у членов которой схожи производственные и бизнес-процессы и архитектура информационных сетей.
Взаимодействие с подобными профессиональными объединениями представляет собой эффективный механизм вывода на отраслевой рынок новых продуктов. В конечном счете к мнению администратора сети должны будут прислушиваться руководители предприятия, решающие вопросы финансирования, иначе специалисты-безопасники не могут гарантировать надежность сетевых решений. Между тем область сетевой информационной безопасности в России довольно молода, и пока ощущается явный недостаток объективной информации о технологиях в целом и готовых решениях в частности.
О политике безопасности
Немаловажно, что отраслевые рынки, подобные нефтяному комплексу страны, потенциально очень емки и платежеспособны. К примеру, в информационной сети предприятия «Сургутнефтегаз» насчитывается около 5 тыс. рабочих мест, оснащенных ПК. О сложности бизнес-процессов, а значит, и структуры информационного обмена говорить вообще излишне. Пожалуй, в таких предприятиях представлены все известные прикладные уровни — от АСУ ТП до автоматизированных бухгалтерских систем. Плюс территориальный разнос отдельных офисов и производственных подразделений, интеграция различных сред передачи голоса и данных в одной корпоративной сети, постоянная мобильность сотрудников топ-менеджмента и их потребность в удаленном доступе к информационным ресурсам предприятия.
В такой ситуации необходимость комплексной защиты информационных ресурсов не должна вызывать сомнений. Проблема объективно существует, и вопрос в том, опираясь на какую концепцию следует ее решать. Выработка концепции комплексной информационной безопасности, проще говоря, политики безопасности — это задача, предшествующая планированию проекта, включающая предпроектный анализ действующих систем и разработку общих рекомендаций, являющихся основой для обоснования различных внедренческих работ.
Одним из примеров взаимодействия заказчика, внедренческой технологической компании и некоей консалтинговой фирмы-эксперта может служить недавнее утверждение Концепции безопасности информационно-вычислительных систем РАО «ЕЭС России». «Элвис Плюс» выступал здесь именно в роли технологического эксперта, обладая соответствующими лицензиями Гостехкомиссии и ФСБ.
Замкнутый контур
Помимо участия в выработке политики информационной безопасности «Элвис Плюс» предлагает свои услуги как поставщик готовых прикладных решений. Недавно ее голландская «инкарнация» — компания TrustWorks выступила с инициативой изменить представление о том, что такое защищенная сеть. Вместо использования аббревиатуры VPN (виртуальная частная сеть) было предложено перейти к модели GPN (глобальная защищенная сеть) и выработать общие стандарты для обеспечения совместимости различных элементов защищенной сети, предлагаемых разными производителями.
Комплексный подход к сетевой безопасности в видении специалистов из «Элвис Плюс» и Aladdin состоит в создании полностью замкнутых защитных контуров, включающих как каналы связи, так и отдельные узлы корпоративной сети — серверы данных и приложений, шлюзы в глобальную сеть и рабочие места пользователей. Повсеместный переход на IP-технологии породил для предприятий главный источник внешней угрозы — неуправляемую и непредсказуемую глобальную сеть Internet. Именно оттуда следует ожидать действий злоумышленников, таких как сканирование, копирование и изменение передаваемых по Сети конфиденциальных данных, взломы Web-серверов и баз данных, похищение критически важной финансовой информации, вирусные атаки на корпоративную сеть и атаки типа «отказ в обслуживании».
VPN, или Как сделать Internet безопасным
Все вышеперечисленные потенциальные бреши в корпоративной сети призваны устранить такие защитные элементы, как технология виртуальной защищенной сети VPN и межсетевой экран. По соглашению о партнерском взаимодействии решение проблем безопасности берет на себя «Элвис Плюс», которая продвигает на рынок семейство VPN-продуктов «Застава» и межсетевой экран «Застава+». В ходе семинара сотрудники «Элвис Плюс» показали, как, комбинируя эти продукты, можно обеспечивать безопасность удаленного доступа к почтовому серверу или базе данных, связи офиса с несколькими филиалами, а также строить отдельные защищенные контуры (виртуальные подсети), соответствующие необходимым информационным запросам подразделений или отдельных сотрудников. «Застава» дает возможность либо создавать защитную «оплетку» всего соединения «из конца в конец», либо выборочно шифровать трафик некоторых приложений. Данная функция, по мнению менеджера по маркетингу Елены Турской, должна привлечь внимание тех заказчиков, которым нужно защитить работу в сети критически важных приложений, пока комплексная система только развертывается.
В ближайшее время компания собирается начать продажи коробочной версии своего VPN-продукта «Застава — персональный клиент». Он предназначен прежде всего пользователям ноутбуков, которым приходится много ездить по миру и поддерживать через Internet связь с офисом. В предлагаемом исполнении продукт будет иметь упрощенные параметры настройки, доступные пониманию рядового пользователя. Ориентировочная стоимость коробочной версии «Заставы — персонального клиента» — около 300 долл.
Разумеется, угрозы из внешних сетей — далеко не полный перечень опасностей для информационной системы предприятия. Аналитики западного рынка утверждают, что как минимум 50% всех успешных атак происходит со стороны внутренней сети. Можно предположить, что в России, где электронная коммерция и иже с нею находятся в зачаточном состоянии, этот показатель еще выше.
Частично угрозы со стороны внутренней сети устраняются за счет внедрения VPN-технологий на уровень отдельных узлов (например, продукты «Застава — сервер» или «Застава — корпоративный клиент»). Но, как известно, самым слабым звеном в любой высоконадежной системе является человек, то есть пользователь информационных ресурсов предприятия. Поэтому контур безопасности вокруг жизненно важных систем предприятия можно считать полностью замкнутым, лишь когда нейтрализуются все точки возможного вхождения в сеть. Этот круг задач перекрывается системами контроля и разграничения доступа и механизмами кодирования информации на ее носителях — жестких дисках, дискетах, носимых идентификаторах. Одним из известных поставщиков подобных решений является Aladdin.
От незваного гостя
Менеджер по работе с дилерами компании Aladdin Владимир Ляшенко очень выразительно доказывал аудитории, почему решения по защите конфиденциальных данных так важны персональному пользователю. Олицетворением внешней угрозы в его примере явился некий собирательный образ «матроса Железняка», вламывающегося к вам в дом или офис с весьма конкретными недружественными намерениями. Чтобы уберечь конфиденциальную информацию на компьютере от непрошеных гостей, Aladdin предлагает продукты семейства Secret Disk.
В основу функциональности продуктов Secret Disc заложена логика «чемоданчика с двойным дном». В случае срабатывания сигнала тревоги «дно» захлопывается, и защищаемые данные не только невозможно прочитать, но и вообще обнаружить на диске. Доступ к конфиденциальным данным, хранящимся на отдельном логическом диске, обеспечивается с помощью механизма двухфакторной аутентификации — подключением к компьютеру носимого идентификатора (смарт-карты, брелка USB или PCMCIA-ключа) и введением пароля. При несрабатывании системы идентификации пользователя загрузка компьютера осуществляется в обычном режиме, то есть с закрытым «вторым дном».
Технический директор «Элвис Плюс» Игорь Кадощук уверен, что «Застава» скоро станет коробочным продуктом |
Сигнал тревоги в работающую систему может быть подан как самим пользователем («красная кнопка» с клавиатуры), так и охранной системой сигнализации или кодовым замком в защищаемой зоне. В любом из этих случаев система автоматически переходит в режим работы «под принуждением». Например, компьютер начинает периодически перегружаться или генерировать множество стандартных ошибок Windows.
Это же решение гарантирует сохранность конфиденциальных данных при пропаже носителей, например ноутбуков или дискет. Прочитать украденные данные возможно лишь в случае успешной инициализации пользователя.