Network World, США
Если учесть количество угроз, которым ежедневно подвергаются все виды корпоративных ИТ-активов — персональные компьютеры, серверы среднего класса, мэйнфреймы, сети, системы хранения, системы передачи голоса по IP-каналам и сотовые телефоны, то необходимость в эффективной защите не должна вызывать никакого сомнения. Опасение вызывают возможности перехвата, прерывания, модификации или фальсификации корпоративной информации. Причиной нарушения защиты могут быть как непреднамеренные, так и умышленные действия, стихийные бедствия, техническая ошибка, а также должностное преступление или нарушение.
Некоторые организации разрабатывают архитектуру на базе правил, которая позволяет определить необходимые элементы защиты. Однако в большинстве случаев управление защитой носит фрагментарный характер. Любой компании в первую очередь необходима всеобъемлющая платформа, позволяющая единообразно и согласованно реализовывать все аспекты защиты. Этого можно добиться с помощью хорошо продуманной архитектуры защиты.
Архитектура — это план, показывающий, как оптимально разместить ресурсы, необходимые для поддержки бизнеса, и защита — важнейший компонент этого плана. Несмотря на то что отрасль информационных технологий на протяжении последних пяти лет активно занимается внедрением корпоративной архитектуры, защиту по-прежнему не относят к приоритетным направлениям.
Для эффективного решения задачи обеспечения безопасности требуется наличие адекватной и всеобъемлющей архитектуры и политики защиты. Очевидно, что оборудование и программы должны быть защищены, а персонал — заслуживать доверия.
Назначение корпоративной архитектуры заключается в создании единообразной среды ИТ (стандартизованных аппаратных и программных систем) во всей компании, причем такая среда должна быть тесно связана с бизнесом организации. Необходимо заранее установить, какие сервисы защиты система обязана предоставлять, какие элементы требуются для реализации этих сервисов и что будут делать эти элементы (в том числе это касается и производительности) в случае угрозы среде. Принятая система безопасности должна обеспечивать административную, коммуникационную, компьютерную, радиационную и физическую защиту, а также безопасность сотрудников. Корпоративная архитектура в целом и архитектура защиты в частности определяют направление стандартизации и совершенствования сервисов. Стандартизация приводит к снижению издержек и более быстрому развертыванию функций, вне зависимости от того, автономные они (например, конфигурация межсетевого экрана) или более сложно интегрированные, такие как новое программное приложение.
Поуровневые платформы и модели корпоративной архитектуры доказали свою практичность, потому что разделение по уровням позволяет определить законченные, непересекающиеся компоненты среды. Одной из первых платформ защиты была модель ISO 7498‑2, опубликованная в 1989 году. В ней описывались общие архитектурные элементы, которые можно использовать для отражения атак, и обстоятельства, при которых можно использовать элементы защиты. Однако данная модель статична. Кроме того, она описывает общие принципы, а не детальные решения. Необходимы новые модели для планирования надежной архитектуры защиты, и, к счастью, такие модели уже разрабатываются.