Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Золотая середина в контроле над ПК

Джонатан Фельдман

За последние 10 лет прогресс в понимании важности защиты корпоративной информационной среды способствовал наделению ИТ-подразделений гораздо большими полномочиями по ограничению возможностей пользователей ПК, чем когда бы то ни было. Законодательство США узаконивает такие меры обеспечения безопасности, как контроль сетевого доступа, и способствует внедрению таких необходимых функций, как реализованный в ОС Vista принцип минимальных полномочий доступа к ресурсам (least pri-vilege). Но продвинутых пользователей бизнес-технологий не устраивает, что ИТ-подразделения в одностороннем порядке решают, что пользователи могут делать на своих ПК, и чего им делать нельзя.

Конечно же, никто не оспаривает право пользователя владеть ПК. Но понятно также, что организации обязаны защищать свои сети и находящиеся в них данные. Таким образом и здесь возникает кардинальный вопрос нашего времени: возможно ли найти золотую середину между безопасностью и свободой, в данном случае для пользовательских ПК?

Эта тема очень волнует наших читателей. Всего за пару дней в нашем Интернет-опросе приняли участие 1185 читателей. Полученные данные и мнение некоторых сотрудников бизнес-подразделений организаций и ИТ-профессионалов, позволяют сделать интересные заключения. В чем же квинтэссенция нашего небольшого исследования? В том, что необходимо различать упорядоченный контроль и произвольно вводимые ограничения.

Как считает часть бизнес-менеджеров, у сотрудников производственных отделов есть причины не любить свои ИТ-службы. Было бы лучше, если бы последние стали более доступными. Тогда у пользователей не было бы ощущения, что им все приходится делать самим, и они не считали бы, что ИТ-отдел больше мешает, чем помогает.

Наш первый совет: объясните пользователям, что ИТ-отдел должен осуществлять функцию управления. Ведь не хотят же они остаться без «дорожной полиции» и стоять в «пробках», мешающих нормальному ходу бизнес-процессов?

Старые добрые времена зеленых экранов

Раньше ИТ-профессионалам жилось легче. Может быть, и тогда пользователи были непрочь поиграть в «Космические войны» на своих терминалах с зелеными экранами, но централизованный режим пользования большой ЭВМ не позволял делать это. Конечно, эти ЭВМ ограничивали эффективность работы каждого пользователя в отдельности, что, возможно, и стимулировало появление ПК. В результате пользователи стали тратить рабочее время на игры, ставя ИТ-отделы в затруднительное положение, поскольку те не знали, как этому явлению эффективно противостоять. Поэтому они с распростертыми объятиями встретили средства администрирования настольных ПК с правилами групповой политики и вздохнули с облегчением, когда появились средства блокировки или ограничения функциональных возможностей ПК (lock down).

Но вкусившие «компьютерную» свободу пользователи, а первыми такими пользователями, давайте это признаем, были выходцы из вычислительных центров, от этих нововведений в восторг не пришли. Они протестовали, утверждая, что свободное пользование ПК — это ключевой фактор для успеха бизнеса. В ответ на это ИТ-службы начали внедрять концепцию так называемых «тонких» клиентов, которая позволяет пользователям регистрироваться в заведомо безопасных системах со своих неадминистрируемых узлов. Но «тонкие» клиенты привязывали пользователя к определенному рабочему месту, и тогда борьба с пользовательской вольницей переместилась на поле мобильных платформ.

Различия в позициях

Больше 80% респондентов нашего опроса сообщили, что в их организациях принимаются некоторые меры по осуществлению контроля над ПК, и почти 90% сказали, что они являются сторонниками взвешенного контроля, а не тотальных ограничений или полного невмешательства. Эти данные характеризуют уровень зрелости информационных технологий или, возможно, положительный эффект законодательных инициатив.

Несомненно, ИТ-отделы будут более полезны для своих организаций, если разнообразию и постоянным изменениям в настольных системах пользователей они противопоставят упорядоченные и повторяющиеся процедуры контроля. Практика показывает, что даже организации, которые не подпадают под законодательное регулирование, от этого только выигрывают.

Польза от принудительного контроля над пользовательскими ПК в деле защиты от вирусов и других угроз безопасности не требует доказательств — этот фактор часто упоминался нашими респондентами. Один аналитик из крупной промышленной компании придерживается мнения, что контроль должен проводиться «железной рукой». Он рассказал нам, как в их сеть попал «червь», нанесший компании большой вред. Причиной этого стала порочная практика, в соответствии с которой сотрудники, когда им предоставлялся выбор в виде автоматизированного меню, уклонялись от установки централизованно распространяемых программных «заплат» и обновленных версий ПО.

Только треть опрошенных ИТ-профессионалов полагают, что ИТ-отделы должны считаться с пожеланиями бизнес-подразделений в отношении контроля, осуществляемого над их ПК. Сравните это с почти двумя третями работников бизнес-подразделений, которые заявили о своем желании участвовать в обсуждении этого вопроса, и вы увидите, что общение между ними находится не на должном уровне. Пришло время начинать договариваться. А если точнее, пришло время ИТ-службам и бизнесу начинать обсуждать между собой ожидания друг друга.

Как считает один из наших собеседников, ИТ-отделы должны полнее учитывать производственные реалии, и в сердцах добавляет, что больше так не может продолжаться, когда им требуется неделя, чтобы произвести небольшую настройку, которую пользователь мог бы сам сделать за пять минут. Сейчас эта проблема особенно актуальна, поскольку на рабочие места начинают приходить пользователи, имеющие совсем иной компьютерный багаж. Им придется нелегко, поскольку они еще менее, чем нынешнее поколение персонала, способны терпеть такое положение.

Похоже на то, что нужно увеличивать количество обслуживающего ИТ-персонала или, по крайней мере, садиться за стол переговоров и обсуждать с бизнес-отделами, какие ресурсы будут полностью отданы в ведение ИТ-отдела при условии, что он обеспечит обслуживание, отвечающее ожиданиям пользователей.

И действительно, эта концепция хорошо соответствует передовой практике организации ИТ-обслуживания, описанной в методологии ITIL. В ней излагаются руководящие указания по содержанию соглашений об уровне обслуживания, которые заключаются между бизнес-подразделениями и ИТ-службами. Целых 80% бизнес-менеджеров говорят, что ИТ-отдел — это критически важное звено в обеспечении эффективности их деятельности. Так почему бы не пригласить бизнес-менеджеров за стол переговоров и не начать с ними сотрудничать в целях учреждения адекватного контроля на уровне пользовательских ПК?

Локализуйте ограничения

Чтобы не раздражать пользователей, а, наоборот, лишний раз подчеркнуть пользу от своей деятельности, необходимо начать локализовать продиктованные требованиями безопасности ограничения, чтобы они соответствовали потребностям тех, кому вы служите. Безопасность системы невозможна без сотрудничества с пользователями и бизнес-подразделениями, и лучший способ наладить сотрудничество — начать договариваться.

Например, в ИТ-лагере бытует широко распространенное мнение, что программы-клиенты мгновенного обмена сообщениями (IM) в бизнес-процессах применения не имеют. В то же время один из менеджеров по продажам в крупной ИТ-компании рассказал нам, что некоторые торговые агенты их предприятия очень активно используют IM-приложения для продаж продуктов IP-телефонии. Чтобы заставить бизнес-подразделения подчиняться вашим требованиям, надо суметь убедить их в том, что ИТ-отдел заинтересован помогать им в работе, а не мешать. Слишком большое количество ограничений заставляют пользователей думать, что ИТ-отдел пренебрегает их потребностями и только мешает им выполнять свою работу.

Работайте с бизнес-подразделениями, чтобы выявить те конкретные риски, от которых вы их будете защищать. Проделайте следующее: организуйте опрос и определите пять основных рисков, которые воспринимаются как таковые и ИТ-отделом и бизнес-подразделениями вашей организации. Мы гарантируем, что здесь вас ожидают несколько сюрпризов. Пять лет назад ИТ-отдел не назвал бы хищение интеллектуальной собственности существенным ИТ-риском. Но людей, работающих в мире интеллектуальной собственности, этот вопрос волновал уже тогда. Если вы ввели на ПК ограничения, не позволяющие устанавливать неразрешенное ПО, это, конечно, хорошо для ИТ-службы, для которой любая новая программа есть явная и актуальная угроза. Но если потеря интеллектуальной собственности существенна для вашего бизнес-подразделения, а вы не приняли должных мер против хищения данных через USB-устройства, то это равносильно тому, что вы закрыли парадную дверь для непрошенных гостей, но оставили открытым черный ход для собственных «несунов».

Конечно, полная блокировка USB-портов была бы деструктивным мероприятием для торговых представителей, которым необходимо быстро обмениваться файлами на «флэшках» между своими ноутбуками во время коммерческих презентаций. Вот здесь-то и проявляется ценность здравого компромисса — главного преимущества сбалансированной и работающей политики безопасности.

Американский учебный центр SANS и другие подобные организации иногда публикуют типовые правила политики информационной безопасности. Вот минимальный перечень опций, которые вы должны продумать:

• Контроль ПО и конфигураций. Вам нужно решить, какие действия пользователь может произвести на своем ПК, в результате которых может быть поставлена под угрозу ваша корпоративная сеть?

• Время реагирования на запрос о поддержке. Если вы запретили пользователям самостоятельно устанавливать какое-то ПО, то как быстро ИТ-служба сможет протестировать и установить его для них?

• Собственные устройства служащих. Вам потребуется решить, разрешается ли использовать в сети личные ПК? каков будет уровень контроля за этими машинами со стороны ИТ-службы? какой уровень поддержки будет обеспечивать ИТ-служба для личных устройств? Мы ожидаем, что в ближайшем будущем эти вопросы станут важными и в отношении личных смартфонов.

• Физическое обращение с компьютерным оборудованием. В рамках этой проблемы вам нужно обдумать вопросы: в каких случаях можно разрешить вынос ПК за пределы предприятия? когда сотрудники будут иметь право использовать внешние жесткие диски? куда пользователи смогут брать портативные компьютеры и смартфоны? как они должны будут обеспечивать их защиту? По оценкам аналитического агентства Gartner, к 2010 г. ноутбук станет основным ПК-устройством для половины корпоративных пользователей, поэтому актуальность этих вопросов будет только расти.

• Протоколирование. Нужно уведомлять пользователей о том, какие их действия на ПК будут протоколироваться и почему это необходимо. Такое уведомление убережет вас от судебных исков по поводу нарушения права на неприкосновенность частной жизни.

Помните, что для разных категорий служащих характерны разные подходы к использованию ПК. Как отметили многие из наших респондентов, работа пользователя-продавца розничной торговой сети с кассовым терминалом сильно отличается от работы инженера со своей настольной системой. И вот вам хорошее практическое правило: сотрудник, у которого уже есть физический доступ к корпоративным ресурсам (ключи от помещения или кодовая карточка), автоматически попадает в список доверенных лиц в отношении информационных систем. Но опять-таки работа с бизнес-менеджерами и выявление их ожиданий остаются самым главным.

Автоматизация контроля

Если говорить о средствах контроля, то с точки зрения затрат наилучшим решением почти всегда будут утилиты, встраиваемые в операционные системы пользователей. Эффективными являются и такие современные предложения, как средства реализации групповой политики и сервисы обновления серверного ПО Windows (Windows Server Update Services).

Имейте в виду, что иногда термин «workstation lockdown» не имеет ничего общего с реальным ограничением функциональных возможностей системы. В некоторых бизнес-подразделениях, которые мы опросили, под этим термином понимали всего лишь уведомления об установке конечным пользователем какого-то нового ПО. Это нельзя считать ограничением возможностей, а скорее всего, нужно отнести к функции аудита и протоколирования.

Хотя универсальные программные комплексы, такие, как Altiris, могут быть выгодными по критерию цена/качество, однако не стоит очень рассчитывать на их хорошую интеграцию в вашу систему. Многие из предлагаемых комплексов для управления пользовательскими ПК появились в результате слияний и поглощений компаний, поэтому качество этих комплексов сильно различается.

Виртуализация пользовательских ПК уже почти дозрела до той стадии, когда она сможет обеспечивать безопасность корпоративных приложений и при этом оставлять пользователям некоторую свободу действий. Например, компания Kidaro предлагает обеспечивающую шифрование виртуальную машину, которая может работать автономно от корпоративной сети (в отличие от «тонкого» клиента), обеспечивает безопасность набора на клавиатуре (на случай проникновения в ПК программы-перехватчика данных, вводимых с клавиатуры) и имеет технологию, которая позволяет хранить конфигурационные данные системы отдельно от пользовательских. Это позволяет виртуальной машине возвращаться в заведомо нормальное состояние даже в случае проникновения в ПК вредоносного ПО.

И наконец, не забывайте, что хорошая всесторонняя защита системы (веб-фильтрация, защищающая от вредоносного ПО, инструменты для предотвращения хищения корпоративных данных, средства защиты в самих ПК, такие, как антивирус, и контроль сетевого доступа, блокирующий доступ в вашу сеть зараженных ПК) может защитить вашу организацию на более глубоких уровнях и позволит вам оставлять пользователям большую свободу действий..

  
8 '2008
СОДЕРЖАНИЕ

бизнес

• К инновационным ИТ-инфраструктурам — разными путями

• 3M ставит на оптику

• Как добиться успеха на рынке СПД

инфраструктура

• Отвод тепла в ЦОДе: плотность или площадь?

• Перелом на рынке средств 10-Gigabit Ethernet

• ЦОД следующего поколения

информационные системы

• Соковыжималка в апельсиновой роще, или eTOM и все-все-все

• Золотая середина в контроле над ПК

• Мыслить в стереотипах SOA

кабельные системы

• СКС: развитие рынка и высокоскоростные решения

• Монтажные шкафы и охлаждение оборудования

сети связи

• Операторам нужно измениться

защита данных

• Настало ли время безопасности для DNS?

• Блюсти ИТ-порядок

новые продукты

• PCI-плата ATEN IP8000; OmniSwitch для жестких условий; Новый анализатор от EXFO


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх