Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Блюсти ИТ-порядок

Дэвид Гринфилд

Простого решения проблемы защиты данных не существует. Наилучшим продолжает оставаться подход, при котором организуется эшелонированная оборона.

Оградить ИТ-службы предприятий от сегодняшних реалий в отношении угроз их безопасности не способны ни межсетевые экраны, ни частные детективы. Давно канули в прошлое времена, когда ИТ-специалисты думали, что единственным путем проникновения в их системы скучающих хакеров, взломщиков-дилетантов и других киберхулиганов является Интернет. Сейчас угрозы возникают внутри самих организаций. Следует принимать во внимание возможность компрометации настольных ПК и «инфицирования» приложений. В сложившейся ситуации ИТ-службам необходимо находить способы защиты данных предприятия.

Если эта проблема вас волнует, знайте: вы не одиноки. Представители компании Deloitte сообщили, что в 2006 г. подавляющее большинство (83%) технологических, медийных и телекоммуникационных компаний выразили озабоченность «неправильным поведением служащих при работе с информационными системами».

Есть и хорошие новости: всесторонний план решения проблемы уже разработан. Реализация его гарантирует защиту от потенциальных угроз и сети и настольных ПК. Большая часть технологий, необходимых для реализации этой стратегии, уже существует, другие только-только появляются на рынке. В совокупности эти технологии предоставляют ИТ-службам возможность отбиваться даже от самых изощренных врагов, как внутренних, так и внешних.

Новый ландшафт поля битвы за безопасность

Аутсорсинг и появление армии мобильных служащих делают проблему безопасности сети все более острой. Практически для всех учреждений характерен факт наличия у пользователей доступа к информационным ресурсам своей организации, даже если они территориально находятся за ее пределами. По мере увеличения численности таких пользователей и роста их информационных потребностей наши допущения относительно их намерений, подготовленно-сти и той угрозы, которую они могут представлять для информационной безопасности, должны меняться.

Злоумышленники получают доступ в Интернет из безобидных на первый взгляд Wi-Fi-сетей сторонних организаций, тем самым превращая когда-то «дружеские» домены в новые плацдармы для развертывания атак. Сегодня мы уже не можем считать, что сам факт обращения пользователя к корпоративному ресурсу из домена, принадлежащего компании-партнеру, или даже из филиального офиса самой компании служит гарантией того, что этот пользователь не имеет враждебных намерений. По этой причине, а также учитывая то, что одной из серьезнейших угроз все чаще становятся недовольные своим положением в компании сотрудники, даже самые что ни на есть проверенные рабочие места с ПК требуют пристального контроля.

Архитектор системы информационной безопасности должен выстроить такую инфраструктуру, которая сводила бы к минимуму возможности использования данных предприятия в преступных целях. Это особенно актуально сегодня, когда регулирующие органы требуют, чтобы компании демонстрировали, насколько добросовестно они контролируют информацию и ограничивают пользование ею.

И в центре всей этой инфраструктуры — средства обеспечения безопасности данных. При этом их основной функцией продолжает оставаться защита информации посредством управления доступом к приложениям. Более сложной является функция ограничения манипуляций с данными для тех пользователей, которым необходимо предоставить возможность просматривать или модифицировать информацию. Например, даже тех пользователей, которым разрешается изменять содержание документов, можно лишить права копировать или пересылать документы либо менять их по истечении установленного срока.

Ключевым моментом здесь является ввод подобных ограничений в нужное время и должным образом. Допустим, сегодня данные можно редактировать, а завтра — только просматривать. Или: информация продолжает оставаться редактируемой, но с какого-то момента времени вносимые изменения начинают отслеживаться.

До известной степени такое администрирование прав уже внедрено в ряд приложений. Так, компания Adobe Systems возможности подобного рода предоставляет в своем продукте Acrobat. Чего не хватает, так это наделения администратора возможностью распространять такие политики на разные платформы и приложения. Реализация этой возможности требует полнофункциональной поддержки управления цифровыми правами, а если говорить конкретнее — применения микроконтроллера Trusted Platform Module (TPM), который имеется в большинстве ПК корпоративного назначения и активно задействуется рядом приложений, — в частности, приложением BitLocker, входящим в ОС Vista.

Контроль допуска

Политика доступа к данным (рис. 2) лежит в основе «интеллектуальной» платформы регулирования обращения пользователей к сети и локальным приложениям. Большинство ИТ-служб разворачивают средства контроля допуска в сеть, разрешающие его только проверенным устройствам, помещая в карантин устройства, которые не соответствуют политике информационной безопасности предприятия.

Некоторые ИТ-службы прибегают к другим способам решения названных выше проблем — например, путем автоматизации процесса «латания» ПО. Технология контроля доступа к сети (Network Access Control — NAC) решает несуществующую проблему, считают они, отмечая, что о NAC сегодня по большей части говорят как о средстве защиты сетей от проникновения вирусов. Представители этих ИТ-служб утверждают, что с такой проблемой они не сталкивались уже давно.

Настоящей же проблемой, по мнению названных представителей, продолжает оставаться защита сети предприятия посредством регистрации и мониторинга действий пользователей. Этим ИТ-службам необходимы «интеллектуальные» средства контроля доступа к сети, причем настолько, чтобы можно было ограничивать доступ к сетевым ресурсам исходя из личности пользователя, а не только из конфигурации его рабочей станции.

Доступ к приложениям

В области ограничения доступа к приложениям большие надежды возлагаются сразу на две технологии. Первая базируется на том факте, что в ИТ-службе знают, какие приложения разрешается исполнять на том или ином рабочем месте компании. Служба создает «белый список» разрешенных программ и во избежание попыток внесения в эти программы каких-либо изменений присваивает им хеш-индексы. Приложения, не значащиеся в списке или включенные в него, но имеющие несовпадающие хеш-индексы, запрещаются к исполнению на настольном ПК.

Будучи эффективным средством предотвращения пользования нелегальными приложениями, метод «белых списков» может оказаться «недееспособным» в ситуации, когда меняются тенденции в отношении управления настольными системами. ИТ-службы прошли долгий путь борьбы за управление настольными ПК, которые бизнес-подразделения компаний и их служащие считают своей собственностью. Это противоречие усугубляется с падением цен на ПК и с расширением функциональных возможностей смартфонов.

Данную проблему можно решить, задействовав вторую технологию — виртуализации настольных систем. В этом случае тщательно выверенная корпоративная виртуальная машина становится средством, на котором пользователи исполняют все приложения компании, и в то же время средством доступа в корпоративную сеть. Продукты данного направления предлагают компании Citrix Systems, Microsoft, VMware и др.

Защитите хост

Следующая задача ИТ-службы состоит в обеспечении двусторонней защиты хоста от таящихся в сети угроз. Здесь наблюдается тенденция к консолидации оконечных приложений обеспечения информационной безопасности в комплексы, обеспечивающие реализацию функций МЭ, антивирусной защиты, противошпионского ПО и фильтрации спама, а также функций систем предотвращения вторжений уровня хоста. Мы ожидаем, что данная тенденция продолжится, причем индивидуальные программы — агенты обеспечения безопасно-сти и администрирования будут заменяться единым агентом.

Ограничение сетевого доступа после прохождения пользователями общей проверки на право работать в сети является заключительным этапом реализации программы обеспечения безопасности. А начинается она с развертывания в сети так называемых точек принудительного соблюдения политики (Policy Enforcement Point — PEP). Эти устройства принудительно реализуют наборы правил корпоративной политики безопасности, сформированные в соответствии с законодательными, регулятивными и контрактными требованиями. Пос-ле получения общей санкции на допуск в сеть пользователи при попытке обращения к ресурсам или при выполнении действий, противоречащих установленной политике, могут получить отказ.

По существу, это означает более активное использование физических и виртуальных МЭ с целью не допустить обращения пользователей к системам с чувствительными к раскрытию данными. PEP осуществляют контроль за пользователями после получения последними допуска в сеть, выполняя одну из функций системы предотвращения вторжений с целью гарантировать подчинение пользователей установленной в компании политике.

Устройства PEP администрируются с помощью общей консоли и запрашивают имеющийся в ней центр принятия решений (Policy Decision Point — PDP) относительно действующих в данный момент политик. Таким образом в администрировании PEP (как и любом ином инфраструктурном администрировании) проявляется целостность подхода к корпоративной системе управления ИТ, сводящей воедино информацию, идентифицирующую пользователей, а также информацию о сервисах, приложениях и сетевой инфраструктуре..

  
8 '2008
СОДЕРЖАНИЕ

бизнес

• К инновационным ИТ-инфраструктурам — разными путями

• 3M ставит на оптику

• Как добиться успеха на рынке СПД

инфраструктура

• Отвод тепла в ЦОДе: плотность или площадь?

• Перелом на рынке средств 10-Gigabit Ethernet

• ЦОД следующего поколения

информационные системы

• Соковыжималка в апельсиновой роще, или eTOM и все-все-все

• Золотая середина в контроле над ПК

• Мыслить в стереотипах SOA

кабельные системы

• СКС: развитие рынка и высокоскоростные решения

• Монтажные шкафы и охлаждение оборудования

сети связи

• Операторам нужно измениться

защита данных

• Настало ли время безопасности для DNS?

• Блюсти ИТ-порядок

новые продукты

• PCI-плата ATEN IP8000; OmniSwitch для жестких условий; Новый анализатор от EXFO


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх