Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Конвергенция безопасности физической и логической

Джеф Форристал

Единая, целостная система контроля доступа — вот ключ к настоящей безопасности. Но смогут ли отделы ИТ и технического обслуживания зданий и сооружений отказаться от “войны за сферы влияния”?

Сотрудники служб физической безопасности помещений и логической безопасности информационных систем предприятия решают одну и ту же задачу защиты корпоративной собственности, но сосуществуют такие отделы обособленно... и не всегда мирно. Наблюдающиеся в последнее время перемены в технологиях, новые бюджетные реалии и правительственные инициативы, направленные на конвергенцию этих служб, заставляют компании задаться вопросом, а пойдет ли конвергенция на пользу их бизнесу?

Тенденция эта пока только зарождается, но таковой она будет недолго. В позапрошлом году компания Forrester Research прогнозировала десятикратный рост расходов в США на объединение систем контроля физического и логического доступа (причем как в государственном, так и в частном секторе) с 691 млн долл. в 2005 г. до более чем 7 млрд долл. в 2008-м.

Это не слишком впечатляющая цифра: в одном только теку-щем году компании потратят 8,3 млрд долл. на CRM-системы, но крупномасштабная программа американского правительства HSPD-12 (Президентская директива о национальной безопасности № 12) сулит наращивание темпов развития этой тенденции.

Ну, а пока финансовые директора компаний, составляя бюджет, все чаще испытывают ощущение дежа вю. Когда главы отделов ИТ и служб эксплуатации помещений дружно требуют выделения средств на новые системы контроля доступа к подотчетным им объектам, персональные аппаратные средства аутентификации и ПО управления идентификацией, приплюсовывая сюда же периодические расходы на обучение конечных пользователей и постоянную замену службой поддержки утраченных жетонов, то, похоже, опять что-то назревает. Эти перекрывающиеся бюджетные требования отражают процесс развития технологий контроля физического доступа: системы контроля все больше зависят от сетей TCP/IP, серверов и цифровых систем хранения, а указанные ресурсы, безусловно, находятся в ведении отделов ИТ. Однако многие профессионалы в вопросах безопасности находят эту тенденцию тревожной, и не без причины.

Процесс

Идентификационная карта сотрудника — вещь практически бесполезная, если никто не проверяет подлинность личности того, кто такую карту запрашивает, что говорит о наличии фундаментальной проблемы конвергенции физической и логической безопасности. Она заключается в выходе за рамки собственно технологии и вторжении в сферу формирования и интегрирования бизнес-процессов, в данном случае — и процедур проверки личности.

Слияние бизнес-процессов с ИТ-функциями — это постоянная борьба, усугубляемая появлением третьей стороны — службы физической безопасности здания, а также отсутствием согласия по вопросу о том, что, собственно, означает понятие “конвергенция систем контроля физического и логического доступа”.

Компании, решившие ответить на интеграционный вызов, в большинстве своем подразделяют конечную цель, т. е. достижение полной конвергенции, на поддающиеся управлению этапы. Из тех проектов, что мы видели, самыми популярными являются:

• Использование единой идентификационной (Identity — ID) карты для физического и логического доступа.

• Одношаговые регистрация учетной записи пользователя/ID-карты и ее аннулирование во всех БД идентификации и контроля доступа.

• Централизованная система управления идентификацией вместо множества разнородных справочников/БД пользователей.

• Унифицированные мониторинг и корреляция событий наподобие SIM (Security Information Management), но еще более привязанные к контексту.

Такого рода системы смогут предупредить вас, если некто по имени Боб зарегистрируется в БЛВС (событие, генерируемое системой контроля логического доступа), но в здание при этом не войдет (событие, поступающее из системы контроля физического доступа), что, по-видимому, можно расценить как попытку несанкционированного доступа к БЛВС по взломанной учетной записи Боба.

Ожидается ряд инициатив в области стандартов, которые сделают проекты конвергенции в сфере корпоративной безопасности значительно более достижимыми, если, конечно, им будут следовать поставщики. К таковым инициативам относятся стандарты oBIX (Open Building Information Exchange) и PHYSBITS (Physical Security Bridge to IT Security).

В стандарте PHYSBITS предлагается неплохая модель для структурирования информации в части управления доступом: описываются взаимоотношения соответствующих процессов по использованию/обновлению ресурсов, включая персонал, считыватели (readers), места, фотоизображения, видео, мандаты, роли, права, политики и события — например, то, какие шаги необходимо предпринять при регистрации/аннулировании учетной записи пользователя, изменении PIN-кода, взломе (“компрометации”) жетона. Со своей стороны, стандартом oBIX определяется протокол Web-сервисов для обмена информацией между система-ми технического обслуживания (включая систему безопасности и отопления, вентиляции и кондиционирования воздуха) и ИТ-системами. В нем даются обобщенные XML-определения и описываются соответствующие Web-сервисы для сенсоров и исполнительных механизмов (актуаторов (actuators)), позволяющие передавать данные между сенсорами/актуаторами и вышестоящей обрабатывающей системой по обычной коммуникационной среде. А это обеспечивает вам независимость от устройств и позволяет подключать к ПК все что угодно, от термостатов до дверных замков.

Итак, в стандарте oBIX решаются задачи поддержки интероперабельности обычных устройств технического обслуживания, тогда как в PHYSBITS содержатся ответы на вопросы управления взаимодействием служб физической и логической безопасности. Информацию и новости на эту тему вы найдете на сайте Open Security Exchange.

Масштабный правительственный эксперимент по конвергенции

Невзирая на прогресс в области стандартов крупномасштабные проекты конвергенции физической и логической безопасности пока носят ограниченный характер. Согласно данным Дэвида Элла, вице-президента по разработке новых продуктов фирмы AMAG Technology, менее 5% клиентов предприняли усилия в этом направлении. И вот теперь правительство США взялось за самый крупномасштабный проект конвергенции в истории.

В августе 2004 г. президент Буш издал директиву HSPD-12, в которой прописывалась, по сути, безопасная и надежная форма идентификации более чем для 5 млн федеральных служащих и подрядчиков. Она была призвана обеспечить контроль над физическим и логическим доступом ко всем федеральным системам и зданиям.

В ответ на HSPD-12 Национальный институт стандартов и технологии США (National Institute of Standards and Technology — NIST), государственная организация, ответственная за перевод вышеуказанной формы идентификации на язык конкретных технологических спецификаций, разработал черновой вариант стандартов, определяющих соответствующие требования на техническом уровне. NIST решил разбить HSPD-12 на несколько разделов, начав как раз с аспекта идентификации, что привело к появлению программы FIPS 201 (Federal Information Processing Standard) для проверки подлинно-сти лица (Personal Identity Verification — PIV).

Стандартами NIST предусматривается использование двухинтерфейсных контактных и бесконтактных смарт-карт для хранения сертификатов X.509 и прочей идентификационной информации в определенных форматах. Смарт-карта является частью трехфакторного процесса аутентификации, который также включает в себя известный пользователю PIN-код и биометрический мандат (credentials), хранящиеся на карте. NIST определяет тип и расположение информации на карте и процесс проверки личности (например, биографических данных (background checks)), который должен быть выполнен перед ее выдачей.

Реализации программы FIPS 201 были поставлены жесткие сроки — до октября 2006 г. К этому времени каждая государственная организация должна была иметь возможность выдавать ID-карты, соответствующие требованиям FIPS 201. Это вовсе не значит, что такие карты уже обязательно должны использоваться — собственно, детали их применения будут прописаны только в будущем стандарте NIST.

На наш взгляд, правительство предприняло смелый и решительный шаг, если учесть тот факт, что необходимая технология по большей части еще не прошла практической проверки в сколько-нибудь крупномасштабной инфраструктуре. Кроме того, FIPS 201 не будет напрямую применяться в негосударственных проектах конвергенции, по крайней мере в ближайшем будущем. Не рассчитывайте на то, что вам удастся за ближайшим углом купить систему, соответствующую требованиям программы FIPS 201, для своего предприятия частного сектора.

Итак, что же происходит? Мы слышали массу противоречивых докладов — и никакой достоверной статистики. Но одно неизменно отмечали все наши собеседники: если бы программа HSPD-12 не была столь амбициозной, то она так и не смогла бы стартовать. Время покажет, взлетит этот проект или рухнет на землю под тяжестью бюрократии. Но мы все-таки отдаем правительству должное за то, как последовательно и упорно оно его продвигает. Более того, мы уверены, что от FIPS 201 будет и много непрямых выгод. Она может послужить каркасом для других PIV-инициатив, предоставляя все необходимое, от компонентов и их структур до унифицированной терминологии. Кроме того, внедрение технологий конвергенции в государственном секторе предоставит “испытательный полигон” для остальных — все риски “болезней развития” возьмет на себя правительство США, а организациям остается только подождать, когда будут устранены ошибки и решения достигнут зрелости.

Но самое важное — то, что FIPS 201 выводит на передний план интероперабельность: интеграция отныне не просто какая-то прихоть, а значит, поставщикам придется отказаться от своих фирменных подходов и играть по правилам, иначе они рискуют оказаться за бортом.

Даже если ваша организация не подпадает под действие программы FIPS 201, вам все же стоит понаблюдать за тем, как развиваются события хотя бы со стороны. Джеффри Росс, вице-президент и генеральный менеджер по вопросам идентификации компании Gemalto, сообщает, что у них наблюдается резкий рост запросов по поводу решений FIPS 201 от предприятий частного сектора. “И главный вопрос звучит так: применима ли FIPS 201 к тому, что нам следует делать? Ответ: решительное “да” для любой организации, рассматривающей перспективу конвергенции”, — заключает он.

Не провалите свой проект

Если вы используете жетоны с одноразовыми паролями (One-Time Password — OTP) для доступа к сети и приложениям, а бесконтактные радиокарточки (proximity cards) — чтобы попасть в помещения предприятия, и при этом думаете, что получите конвергированное решение, если ваш поставщик OTP-оборудования встроит радиочипы в жетоны, то вы ошибаетесь.

Разумеется, у каждого пользователя станет одним жето-ном меньше, но где здесь интеграция оконечных систем контроля доступа, а также процессов и ресурсов, на которых они основываются? А ведь именно в этом заключаются реальные преимущества конвергенции.

Однако многие поставщики и интеграторы, с которыми мы разговаривали, считают, что уменьшение числа мандатов — это хороший стимул к проявлению инициативы в области конвергенции контроля доступа, предоставляющей явные выгоды для всей организации. Персонал получает единое универсальное устройство контроля доступа, уменьшается риск предъявления неверного жетона и снижаются накладные расходы на обучение, при этом обеспечивается прозрачность доступа. ИТ-служба снабжает пользователя аппаратным идентификационным жетоном, способным дополнить или заменить собой традиционно слабую схему аутентификации с одним лишь паролем.

С административной точки зрения единое управление идентификацией сотрудников уменьшает дублирование операций ввода данных и позволяет осуществлять немедленное, в реальном времени, аннулирование авторизации для всех корпоративных ресурсов.

Аудиторские и судебные группы получают центральный репозиторий для проведения проверок и расследований в отношении контроля доступа. Унификация позволяет снизить число контрактов на поставку и поддержку оборудования. И наконец, ваш юрист может продемонстрировать эффективность усилий по совершенствованию контроля доступа для удовлетворения требований регулятивных органов.

Дополнительным плюсом использования системы контроля доступа на базе сертификатов можно назвать возможность применения ID-сертификатов пользователей и для других приложений безопасности, таких, как электронная подпись документов и шифрование данных. Определенные типы жетонов доступа можно задействовать и для функций, не связанных с доступом, — например в качестве “электронного кошелька” для приложений торговли через автоматы.

Собственно говоря, от конвергенции контроля доступа, похоже, выигрывают все, за исключением сотрудников служб физической безопасности. Они зачастую считают, что конвергенция уменьшает их собственное влияние и даже является предпосылкой их увольнения, что заставляет многие отделы физической безопасности ставить препоны на пути проектов по реализации конвергенции физической и логической безопасности.

Хотя между “лагерями” приверженцев физической и логической безопасности должна существовать определенная солидарность, но сейчас нередки стали политические разногласия, особенно ярко проявляющиеся, когда группы физической безопасности начинают бороться за сохранение своего статуса, против поглощения их ИТ-колоссом. Так, Говард Шмидт, исполнявший в 2000 г. функции директора по информационной безопасности в Microsoft, слышал, как начальник группы физической безопасности назвал усилия компании в области конвергенции “враждебным поглощением”, причем главным образом из-за смещения управления безопасностью в сторону ИТ.

Это приводит нас к важному выводу: в конвергенции упор должен быть сделан и на процесс и на технологию, а не на политику или организационную схему. Стив Хант, аналитик из Forrester, считает, что самые успешные проекты конвергенции позволяют отделам физической и ИТ-безопасности сохранить свою автономию.

Но это, разумеется, легче сказать, чем сделать, особенно если учесть то, что у групп физической безопасности есть вполне обоснованные претензии к тому, как осуществляется процесс конвергенции.

Резонные возражения

ИТ-службы привыкли постоянно быть на гребне непредсказуемой волны инноваций, тогда как зрелая индустрия физической безопасности прокладывает свой курс, придерживаясь проверенных практикой методов. Накопленный опыт использования нынешних стандартов проектирования топологии и конфигурации устройств физической безопасности доказал гарантируемый ими высокий уровень готовности и надежности систем. Ясно, что отделам физической безопасности есть что терять.

И вот теперь они оказались лицом к лицу с инициативами, предлагаемыми сторонниками конвергенции, и требованиями, основанными на философии ИТ, каковые могут “прийтись не ко двору” укоренившимся практикам обеспечения физической безопасности.

К примеру, высокая готовность — это важный аспект любой системы контроля физического доступа (Physical Access-Control System — PACS). Перебои в работе PACS, в частности, могут привести к то-му, что сотрудники не сумеют попасть в здание или перемещаться по нему, если у вас реализована модель “закрыть при сбое” (fail-closed), или может возникнуть пауза во всем процессе авторизации и контроля доступа при реализации моде-ли “открыть при сбое” (fail-open). Поэтому такие системы оснащаются контроллерами с очень высоким уровнем готовности — Элл из AMAG говорит, что контроллеры доступа его компании могут проработать пять лет без отключения для перезагрузки.

Новая доктрина передает PACS под управление ИТ, а здесь, как принято считать, преодоление сбоев носит регулярный характер. Но, даже если устройство отключается по вполне “законным” причинам, например для обновления или установки “заплаты”, системы-то в это время не работают. Для сотрудников служб физической безопасности, полагающихся на практически полное отсутствие простоев, периоды прерванного контроля физического доступа являются неприемлемыми. Более того, ИТ-службы живут в онлайновом и взаимосвязанном мире. Благодаря Ethernet-отводам, оптоволоконным кабелям, WAN-каналам и беспроводным сетям все постоянно со всеми общаются, при этом обеспечивается прозрачный доступ. Для нас модель, в которой пункты контроля доступа (физического и логического) работают в сети и в реальном времени запрашивают вышестоящие серверы аутентификации, кажется абсолютно разумной, ведь именно так ИТ-службы работают уже много лет. Но полная взаимосвязанность — недостижимая вещь для служб физической безопасности, ведь им приходится устанавливать замки для контроля доступа в удаленных или изолированных местах, таких, как ворота в заборе или грузовые контейнеры.

Многие инициативы конвергенции ориентируют на повторное использование существующих справочников или БД пользователей с целью создания универсального хранилища информации о пользователях. Вроде бы задача достаточно простая, но ее реализация связана с множеством проблем. В предлагаемых на рынке решениях, как правило, в качестве целевого хранилища информации о пользователях задействуются имеющиеся кадровые БД или справочники пользователей (такие, как Microsoft Active Directory). Однако системам PACS регулярно приходится “иметь дело” с лицами, которым не требуются полная регистрация в БД отдела кадров или сетевой доступ. Это могут быть посетители, подрядчики и технический персонал, в том числе уборщики и ремонтники. Поэтому сотрудники служб физической безопасности, скорее всего, захотят иметь собственную, “расширенную” БД со всеми записями о сотрудниках предприятия, плюс дополнительные записи о лицах, таковыми не являющихся, которые они посчитают необходимым иметь.

Впрочем, далеко не все возражения исходят из “лагеря физической безопасности”. И у ИТ-отделов есть свои сомнения по поводу изменения существующих справочников — скажем, расширения схем Active Directory для хранения специфических для PACS данных. Если вы делите здание с другими организациями, то решение о модернизации или модификации системы его физической безопасности повлияет и на других арендаторов.

Организации, существенно инвестировавшие в идентификационные OTP-жетоны, могут не захотеть отказаться от них в пользу новой системы идентификационных жетонов. Вложения в переоборудование всех настольных систем и в предоставление всем сотрудникам новых жетонов доступа будут значительными, в них войдет не только стоимость самого жетона, но и расходы на его выдачу и предшествующую ей проверку личности, а также на инсталляцию соответствующих считывателей жетонов на все ПК.

Не рассчитывайте, что вам удастся с легкостью выполнить анализ общей стоимости владения (Total Cost of Ownership —TCO). Ни один из поставщиков, с которыми мы беседовали перед написанием статьи “PACS: Don’t Try This at Home” (вы найдете ее на сайте nwcreports.com), не рискнул оценить совокупную стоимость владения в расчете на одну настольную систему невзирая на наши настойчивые просьбы. Причина частично в том, что никто из них (поставщиков) не обеспечивает всех элементов этой головоломки, а частично в том, что конвергенция требует тщательной подгонки под конкретного заказчика.

Кто должен за это браться?

Одни организации лучше подходят для развертывания инициатив в области конвергенции управления доступом, чем другие (см. “Нужно ли вам следовать примеру федеральных властей?”). Крупные предприятия с высокими накладными расходами, связанными с поддержанием данных о пользователях/идентификаторах, получат наибольшую выгоду, причем осуществлять конвергенцию больше всего имеет смысл в сильно регламентированных организациях, в которых правила и требования контроля доступа хорошо определены.

Бенджамин Джун из компании Cryptography Research справедливо считает, что в организациях должны хорошо осознавать, какие данные нужно защищать, иначе инициативы по контролю доступа обернутся простой показухой.

Какой самый убедительный довод в пользу названной инициативы? То, насколько широка пропасть между ныне реализованными технологиями и идеей конвергенции. Возьмем общую технологическую базу последней — это двухинтерфейсные контактные и бесконтактные смарт-карты с подписанными идентификационными данными и сертификаты пользователей, защищенные PIN-кодом и/или биометрикой. Служебные двери должны быть снабжены бесконтактными считывателями, тогда как настольные ПК могут быть оснащены либо контактными, либо бесконтактными считывателями.

Необходима и система управления смарт-картами, а также центр сертификации для подписи и аннулирования сертификатов. И когда вы наконец-то развернете эти два элемента, то у вас будет уже почти все необходимое для создания полной инфраструктуры открытых ключей (Public Key Infrastructure — PKI) — добавление оставшихся элементов PKI позволит имеющимся приложениям использовать новые ID-мандаты пользователей. И наконец, система управления ID может потребоваться для интегрирования или исполнения роли объединителя (интерфей-са (“front end”)), разнородных БД пользователей по всей организации.

Представьте свои обоснования

Директива HSPD-12 и программа FIPS 201 заставили поставщиков компонентов PACS-систем добиваться соответствия своих продуктов стандартам NIST и отказываться от своих фирменных подходов и “закрытых” систем, иначе им грозит потеря контрактов с госучреждениями. Это хорошая новость для корпоративного рынка. Кроме того, инфраструктура, необходимая для крупномасштабного проекта конвергенции, — а это по большей части PKI, — уже достигла зрелости.

Системы PKI появились более десяти лет назад, но за ними закрепилась репутация трудоемких в обслуживании и имеющих скрытые издержки жизненного цикла, что было правдой пару лет назад, нынешние же системы PKI прошли ряд модернизаций и хорошее тестирование. Ну, а если выгоды от традиционной PKI-системы еще не являются для вас достаточным обоснованием, вы можете присовокупить к ним возможности контроля физического доступа, обеспечиваемые новейшей технологией бесконтактных смарт-карт. Продукт Certificate Lifecycle Manager (CLM) компании Microsoft, который вот-вот появится на рынке, также сделает более эффективными первоначальные вложения в PKI (подробнее о CLM см. techweb.com/showPressRelease.jhtml?articleID=X546072).

Следующие год-полтора для технологии конвергенции станут периодом “испытания огнем”, и FIPS 201 либо докажет ее работоспособность, либо споткнется. Организациям, заинтересованным в преимуществах конвергенции, следует на ближайшее время запланировать проведение анализа ее применимости, а пока что взглянуть сквозь призму ее характеристик на необходимость (или необязательность) делать инвестиции в такие технологии, как биометрика, бесконтактные смарт-карты, системы PKI и управления идентификацией. Таким образом, инвестиции могут быть использованы повторно в проекте конвергенции, что снизит общие издержки и обеспечит более быстрый и гладкий переход к целостно-му управлению доступом и идентификацией в масштабе всей организации..





  
6 '2007
СОДЕРЖАНИЕ

инфраструктура

• Отвод тепла в ЦОДе. Анализ проектов. Часть 1

• Блейд-системы в ЦОДах

• Позиции Cisco и Meru

бизнес

• Новые и эффективные способы поощрения операторов call-центров

• Уважение и вознаграждение как фактор успеха работы операторов

информационные системы

• Корпоративный рынок: укрощение Web 2.0

сети связи

• NG Triple Play: выбор архитектуры

кабельные системы

• Оптические кабели для центров обработки данных

• Новые возможности систем громкого оповещения

защита данных

• Спам-фильтры для предприятий

• Остановить сорвавшуюся с лафета заряженную пушку!

• Конвергенция безопасности физической и логической

новые продукты

• Powerware 9395: мощь и встроенное резервирование; Оборудование линейного тракта «Миля-DSL»; ZyXEL начинает поставки межсетевых экранов ZyWALL 2 Plus;


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх