Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Не упускать из виду

В. В. Гуров

Когда не понимаешь того, как «живет» информация в твоей компании, невозможно защитить ее полностью. Безопасность информации нужно обеспечивать на протяжении всего ее жизненного цикла. Вынос «за скобки» какой-либо его фазы может привести к утечке. Что, например, происходит с конфиденциальной информацией, переданной контрагенту? Она удаляется, хранится, и если да, то каков уровень секретности этих процессов? Или, допустим, обсуждаемая руководством компании тема остается закрытой в течение двух-трех недель, после чего информация по ней становится доступной всему персоналу и даже для тех, кто находится за пределами компании. Необходимо уметь принимать в расчет такую динамику, учитывать ее при построении систем информационной безопасности (ИБ).

С одной стороны, имеющиеся в компании средства защиты информации в какой-то момент могут стать весьма «тяжелыми» и «неповоротливыми», т. е. неадекватными задачам бизнеса, а с другой — недостаток таких средств может привести бизнес к полному краху. Как, например, отследить процессы печатания документа и его последующей отправки по факсу? вынос информации на USB-носителях? Человеческий фактор в вопросах информационной безопасности играет огромную роль. Есть вопрос, на который невозможно получить однозначный ответ: на кого в данный момент работает тот или иной сотрудник компании? Как следствие, в своей работе менеджмент вынужден балансировать от полного недоверия к персоналу к доверию с предупредительными мерами.

Утечка информации может «вызревать» в течение продолжительного времени. Сначала она копится, затем начинает «уходить» малыми порциями. Так, материалы презентации для совета директоров должны существовать в единственном экземпляре, но доступ к ним могут иметь многие и многие могут копировать их. Поэтому необходимо уметь анализировать косвенные признаки готовящейся утечки.

Не только защита периметра

Для решения вышеупомянутых задач компания Perimetrix (в составе Группы компаний «КомпьюЛинк») разработала систему реализации режима секретности конфиденциальности данных. Впервые данная система была представлена на прошедшей в начале октября с. г. в Москве выставке Infosecurity Russia 2008. В основу системы положено так называемое многомерное описание жизненного цикла информации, позволяющее «привязывать» те или иные требования безопасности, например, к определенному направлению бизнеса, организационной структуре и т. д. Таким образом обеспечивается избирательный подход к защите информации. На рабочих местах пользователей создается аудируемая информационная сре-да, в которой между двумя предельными состояниями — конфиденциальное и публичное — система учится различать промежуточные уровни секретности. Многомерная классификация документов и применение криптоконтейнеров позволяет системе обеспечивать требуемую степень защиты и предотвращает инциденты. Накопленные же «истории активности» каждого пользователя и файла становятся ценным материалом для проведения внутреннего аудита и расследования инцидентов.

Система состоит из двух базовых компонентов. Первым из них является аудируемая среда perimetrix safeUse, которая поддерживает распределенное хранение и обработку конфиденциальных данных в соответствии с политиками безопасности компании. Средства мониторинга осуществляют контроль за работой персонала и за предоставлением ему доступа к различным классам данных с целью предотвращения нарушения режима секретности. Назначение другого компонента — perimetrix safeedge — контроль сетевого периметра с целью блокирования попыток умышленной или неосторожной передачи конфиденциальных данных по каналам коммуникаций с помощью электронной почты, сетевых сервисов (веб-почта, веб-форумы, веб-пейджеры). Некоторые особенности данного продукта — применение вероятностных методов распознавания конфиденциальных данных, их морфологический анализ и снятие цифровых отпечатков (Digital Fingerprints). Все это, по утверждению разработчиков, существенно повышает эффективность защиты.

Железная безопасность

Публикуемые различными институтами списки уязвимостей ПО, как правило, включают хорошо известные «дыры», к которым уже имеются «заплаты», но эти списки не содержат так называемых уязвимостей «нулевого дня», в огромном количестве продаваемых в виде программ-эксплойтов в Интернете. Сеть и сама по себе является небезопасной средой, поэтому передачу секретной информации в ней следует осуществлять по защищенным каналам.

Высокопроизводительные VPN-решения, представленные на выставке Infosecurity Russia 2008 компанией «ИнфоТекс», включали в себя два сервера под управлением ОС SuSE Linux 10 и два сервера под управлением ОС Windows 2003 Server. На Windows-системе было инсталлировано ПО ViPNet-Координатор, которое осуществляло инкапсуляцию открытого трафика в зашифрованный канал. Согласно показаниям утилиты-монитора, реальная скорость на выходе из зашифрованного канала (от открытой точки-отправителя до откры-той точки-адресата) достигала 840–850 Мбит/с. На оконечных же Linux-серверах были запущены, с одной стороны, генератор трафика, а с другой — сервер-ловушка трафика, считающая пакеты. Такая система известна под названием iperf — с ее помощью имитировалась передача зашифрованных данных с максимально возможной скоростью. Так наглядно демонстрировалась возможность передачи данных по защищенным соединениям со скоростью в VPN-канале до 1 Гбит/с. В аналогичных системах сторонних фирм, по утверждению представителей компании «ИнфоТекс», данный показатель вдвое меньше. На основе таких каналов специалисты компании создают системы защищенной видео-конференц-связи.

Другая новинка «ИнфоТекса» — VPN-шлюз HW-100. Будучи полноценным компьютером, он не имеет в своем составе ни жесткого диска, ни вентилятора, что обусловливает его устойчивость к ударам. Функционально же этот продукт является криптошлюзом на основе облегченной ОС Linux, дополненной криптоядром, что позволяет, например, вести защищенное видеонаблюдение. Его аппаратную основу составляет компактный промышленный компьютер на базе процессора VIA Eden Esther 1,2 ГГц, питающийся от адаптера переменного тока напряжением 220 В или источника постоянного тока 5В/6А. При перерывах в питании ПО вновь загружается с флэш-карты, и шлюз возобновляет свою работу. С помощью ViPNet-Координатора можно инкапсулировать любой трафик, но благодаря своим миниатюрным размерам и возможности удаленного управления HW-100 чаще всего используется в системах удаленного видеонаблюдения за филиалами и информационными киосками. В настоящее время продукт проходит сертификацию. К сертификации также готовится описанный выше комплекс, состоящий из восьмиядерных серверов от партнера — компании «Аквариус». Оба решения аналогичны, пожалуй, за исключением пропускной способности HW-100 — она составляет всего 20 Мбит/с.

Нужен страховой полис?

Страхование рисков в информационных системах уже имеет свою историю за рубежом — первопроходцами на «ниве киберстрахования» в свое время выступили компании Lloyd's и Tripwire. Учтя собственный опыт первых попыток реализации подобной программы в начале 2000-х годов, в компании «Ингосстрах» в этот раз, как сообщили ее представители на выставке Infosecurity Russia 2008, начали с приглашения двух эксклюзивных партнеров — «Регистратора доменных имен РЕГ.РУ» (по статистике каждый третий домен в России регистрируется этой компанией) и компанию «ИнфоОборона», разработчика программно-технических комплексов защиты информации.

Компания «Регистратор доменных имен РЕГ.РУ» стала партнером «Ингосстраха» в части заключения договоров страхования рисков с клиентами «Регистратора» и при разработке новых перспективных страховых продуктов в области ИТ. На сегодня по итогам проведенного аудита страховая компания «Ингосстрах» определила статус надежности компании РЕГ.РУ как наивысший. По результатам аудита заключен «Договор о страховании профессиональной ответственно-сти» на общую сумму 1 млн долл. Предметом страхования стали домены второго уровня в зонах .ru, .su, .com, .net, .org, .biz, .info, .name, .mobi, .asia, .tv, .me, .eu, .us., находящиеся на обслуживании из «Регистратора». К страховым же случаям отнесены следующие: ошибки при определении сроков освобождения доменов (удаления из БД); ошибки при принятии распоряжений от владельцев доменов об их отчуждении; сбой автоматизированной системы при выполнении технических функций, повлекший нарушение срока делегирования и (или) освобождения домена; ошибка в сроках снятия делегирования доменов.

В свою очередь, сотрудники компании «ИнфоОборона» станут выполнять функции предстраховых сюрвееров (экспертов) при страховании «Ингосстрахом» информационных рисков клиента. После того как объект будет застрахован, они же в случае необходимости выступят в роли аварийных комиссаров. Таким образом на них ложится бремя расследования страхового случая.

Страхование от прерывания коммерческой деятельности (business interruption) в Интернете партнеры планируют внедрить уже в 2009 г. Как это будет выглядеть на практике? Представьте себе, что Интернет-магазин с достаточно высоким оборотом, приносящий владельцу хорошую прибыль, вдруг блокируется злоумышленниками посредством распределенной DoS- или вирусной атаки. Ожидается что со временем появится возможность полного возмещения таким компаниям недополученной прибыли, если по результатам расследования окажется, что наступил страховой случай в соответствии с условиями заключенного договора. Ценовая политика в отношении страховой премии, как ожидается, будет сформулирована до вывода на рынок данного страхового продукта и после проведения его экспертизы на соответствие законодательству.

Компании «ИнфоОборона» и «Ингосстрах» с самого начала совместно разрабатывали данную программу. Первая разработала систему мониторинга возможных утечек и анализа поведения сети предприятия в целом. Если система безопасности, уже имеющаяся у заказчика, не отслеживает возникновение атаки или попросту отсутствует, то «ИнфоОборона» установит заказчику все необходимое агентское и серверное ПО. Это будет способствовать выявлению аномалий в сети и позволит отслеживать наступление страховых случаев. Предусмотрена централизованная система журналирования событий без возможности внесения в журнал исправлений или подмены журнала с целью заметания следов. Все журна-лы хранятся на выделенном сервере в зашифрованном ви-де. Все агентское, клиентское и серверное ПО написано программистами «ИнфоОбороны». В качестве серверной ОС служат OpenBSD и FreeBSD со специфическими настройками. Это сделано с целью избежать навязывания заказчику большого комплекса лицензируемого ПО, стоимость которого может достигать десятков тысяч долларов. Как уже говорилось, у заказчика вообще можно ничего не размещать, если его система соответствует определенным требованиям в отношении однозначности результатов мониторинга событий.

Последнее возможно, например, при страховании непрерывности бизнеса хостинг-провайдера или сетей платежных терминалов. На последние очень часто предпринимаются DoS-атаки, и их владельцы теряют при этом большие деньги. При обследовании одной из таких компаний поддерживаемых ею журналов оказалось достаточно, и необходимость внедрять специальное ПО не возникла. При этом события, регистрируемые системами физической безопасности, не принимаются во внимание, так как «ИнфоОборона» не относится к правоохранительным органам и не занимается расследованием инцидентов — это очень тонкий нюанс в понимании бизнеса страховщика информационных рисков..

  
12 '2008
СОДЕРЖАНИЕ

бизнес

• В фокусе BBWF — видео и реклама

• Четыре основных тренда развития рынка телекоммуникаций России

инфраструктура

• Ввод в эксплуатацию и диагностика сетей VoIP

• FTTx: выбор технологии

• Универсальная сеть. Какой она будет?

• ЦОДы нового поколения

• Консорциум Green Grid и повышение энергетической эффективности ЦОДов

информационные системы

• Большая бизнес-аналитика от «большой четверки»

сети связи

• На пути к IP-трансформации

• До свидания, фиксированный WiMAX, — здравствуй, мобильный?

кабельные системы

• Кабельная проводка для систем IP-видеонаблюдения

защита данных

• Не упускать из виду

• Безопасности много не бывает

новые продукты

• «Магические» лотки OBO Bettermann: GR- и RKS-Magic; Новое решение для конференц-связи по IP; Новая система беспроводной оптической связи от MRV


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх