$IMAGE1$
Защитакорпоративных сетей никогда не была столь сложной, как ныне, посколькупредприятия зачастую обладают пестрой смесью самых разных устройств,операционных систем и стандартов. Это далеко не случайно и не всегданежелательно, ведь в соответствии с девизом «Никогда не трогайработающую систему» многие администраторы ИТ предпочитают оставлять безизменений те приложения, которые безупречно справляются со своимиповседневными задачами. Дополнительным источником проблемстановятся мобильные устройства: разъездные сотрудники вынужденыполагаться на ноутбуки, при помощи которых они в любой момент могутполучить доступ к центральной базе данных. А высшее руководствопользуется устройствами Blackberry, смартфонами и другим оборудованием,чтобы в пути не быть отрезанным от информационного потока. ТРЕБОВАНИЕ СКВОЗНЫХ ПРАВИЛ Дажев самой неоднородной среде директивы безопасности должны бытьсквозными. Они обязаны обеспечивать надежную защиту вне зависимости отплатформы и при этом отвечать как организационным, так и правовымтребованиям. Мобильные устройства, расположенные «перед» брандмауэром,нуждаются в столь же надежной защите, как и стационарные персональныекомпьютеры «за» брандмауэром. Лишь немногим производителямпрограмм для обеспечения безопасности действительно удается справитьсяс поставленной задачей, так как во многих концепциях не учитываютсяважные факторы. Поэтому приходится тщательно проверять, в полной лимере их предложения отвечают потребностям предприятия. ВСЕ СИСТЕМЫ ПОД ОДНОЙ КРЫШЕЙ Едвали какое-либо предприятие начинает строить свою систему безопасности снуля, и это, без сомнения, главная проблема. В большинстве случаев укомпании уже имеются неоднородные системы, от которых нельзя илиневозможно отказаться. Поэтому новые решения с расширенными функциями иповышенной безопасностью должны интегрироваться в имеющуюсяинфраструктуру по возможности легко и без излишних затрат. К примеру,необходимо, чтобы прозрачное шифрование носителей данных без конфликтоввзаимодействовало с современными вирусными сканерами и инструментамидля дефрагментации, а стандартные функции остались бы без изменений, вчастности приложения обеспечения безопасности с однократнойрегистрацией пароля — Novell Logon или IBM User Verification Manager. Обеспечивающаяполноценную защиту система должна, кроме всего прочего, стабильно инадежно работать на нескольких платформах (см. Рисунок 1). При этомследует учитывать не только различные варианты операционной системыWindows, но и органайзеры всех типов, а также мобильные носителиинформации: накопители USB или карты памяти. Только при условии ихинтеграции в концепцию безопасности можно предотвратить незаметныйвынос данных за пределы предприятия. Какие конечные устройстваразрешается подключать к определенному компьютеру и какие данныесохранять на них, должны определять интеллектуальные правила. $IMAGE2$
Рисунок1. Хорошо структурированная организация безопасности, отображаемаяиспользуемыми инструментами (в данном случае — Safeguard), помогаетизбежать ошибок при формировании директив безопасности. Вотличие от механически блокируемых портов USB или раз и навсегдасформулированных директив безопасности интеллектуальные правилапозволяют добиться беспрепятственной и мотивированной работы. Сравнительнопростая возможность повышения безопасности заключается впоследовательном использовании специальных микросхем, напримермикросхемы TPM. Эта разработка Trusted Computer Group хотя иустановлена на многих клиентах, но используется редко. Между тем онапригодна для защиты соединения между клиентом и серверомадминистрирования или для создания надежных ключей, формируя, такимобразом, базу для шифруемого соединения. В зрелых решениях микросхемаТРМ применяется, в частности для привязки к ней зашифрованных жесткихдисков. Тем самым предотвращается доступ к диску, если он подключен кчужому компьютеру — даже когда неправомочное лицо знает пароль. Длятого чтобы в подобных случаях или при повреждении аппаратногообеспечения пользователь не оставался надолго заблокирован, вфункциональность решения безопасности должны входить соответствующиефункции восстановления. ВЫБОР МЕТОДА ШИФРОВАНИЯ Шифрованиеотносится к базовым технологиям обеспечения безопасности, во всякомслучае в перспективе оно должно стать таковым. Часто недооцениваемымпробелом в системе безопасности является выбор подходящего методашифрования. Максимальная безопасность гарантируется лишь прииспользовании открытых стандартизованных алгоритмов. Во всем мире запервенст-во по надежности защиты и эффективности реализации конкурируютмежду собой исключительно открытые алгоритмы, причем их надежностьпроверяется криптографами. Современным стандартом является алгоритм AESс длиной ключа в 128 или 256 бит. Однако и такие методы, как IDEA-128 и3DES, считаются довольно надежными и вполне подходят для применения напредприятиях, в том числе с точки зрения их производительности. РАЗДЕЛЬНОЕ ХРАНЕНИЕ КЛЮЧЕЙ Необходимо,чтобы ключи не просто хранились вместе с данными, а динамическивычислялись при ав-торизации, к примеру по паролю. Дополнительнаязащита достигается посредством токена, им может быть накопитель USB,который подключается к устройству во время регистрации. Тем самымсотрудник защищается от кражи пароля. Однако и самая лучшаязащита не поможет, если «обойти» токен не составляет труда. В простыхсистемах для манипулирования жестким диском вполне достаточнозагрузиться с внешнего источника данных — с компакт-диска илинакопителя USB. Только решения, где аутентификация предусматриваетсяеще до загрузки, обеспечивают предоставление криптографического ключадля шифрования оставшейся части жесткого диска лишь после введенияпароля. НОУТБУК КАК ЦЕЛЬ ДЛЯ ПОХИТИТЕЛЕЙ ДАННЫХ От атаки хищения данных наименее защищены ноутбуки. Попав в руки постороннего,они оказываются чрезвычайно уязвимы для вторжения, например посредствомзагрузки с внешнего носителя — компакт-диска или накопителя USB — легкодеактивировать операционную систему вместе с контролем доступа. Крометого, эти устройства — отличный плацдарм для проникновения вредоносныхпрограмм в корпоративную инфраструктуру, в результате чего страдаетстабильность всей системы. Самым слабым местом любого ноутбукаявляется «спящий режим», когда его экран закрыт, а Windows запускаетпроцесс Suspend to Disk. Если создаваемый при этом файл не шифруется,хакеру проще простого добраться до недавно вводившихся параметровключей или даже до паролей. Многие компании разрешаютиспользование ноутбуков в личных целях и в этом случае требуюторганизовать два раздела: один — для частных, второй — для деловыхзадач. Интегрированное решение безопасности способно работать и с такимсценарием применения, предоставляя соответствующий менеджер загрузки. КОМФОРТ ВМЕСТО ОПЕКИ Важнейшийкомпонент интегрированной системы обеспечения безопасности —человеческий фактор: программное обеспечение безопасности должно бытьудобным для всех, и тогда оно будет безоговорочно принято. Если решениетрудно в повседневном обращении, у сотрудников возникает ощущениечрезмерной опеки, и они стремятся уклониться от его использования.Поэтому конфигурирование программных продуктов и работа с ними должныбыть как можно более простыми. Так, настройку механизмов обеспечениябезопасности следует осуществлять незаметно для пользователя, чтобы егоне раздражали постоянно появляющиеся диалоговые окна с желаемыминастройками. То же замечание относится и к процессам шифрования идешифрования данных, в частности производительность труда не должнаснижаться. Еще одним важным моментом являются забытые пароли.Даже когда пользователь находится в командировке и служба поддержкидоступна ему лишь по телефону, получение нового пароля не должно бытьпроблемой. В таком случае развитые системы работают с числовыми кодами,которые генерируются клиентом — с их помощью служба поддержкисоставляет новый пароль. Подобный метод конечно же функционирует тольковместе с токенами. При желании этот процесс можно автоматизировать,интегрировав в систему возможность биометрического распознавания голоса. ОБНОВЛЯЕМ БЕЗ ПРОБЕЛОВ Нередкосерьезные недочеты в безопасности появляются при инсталляции обновленийинформационной системы или приложений — по иронии судьбыответственность за это обычно несут обновления системы безопасности отразных производителей. На многих предприятиях обновленияпроизводятся в режиме Wake on LAN, причем новые версии загружаются посети ночью. В это время необходимо проследить за тем, чтобы ни однопостороннее лицо не имело доступа к системе, чтобы автоматическаязагрузка через Wake on LAN не использовалась для отслеживания данных.Профессиональные промышленные шпионы предпочитают тайные визиты вкорпоративные здания попыткам взлома брандмауэра. ПОЛНЫЙ ПАКЕТ БЕЗМЯТЕЖНОСТИ Идеальноерешение, отвечающее всем упомянутым требованиям, состоит из множествамодулей, которые выполняют очень сложные задачи шифрования, защитыдоступа, создания резервных копий, установки обновлений и др. Модулидолжны конфигурироваться посредством единого инструмента управления.При помощи этой контрольной консоли администратор ИТ может сразувыявлять, где имеются слабые места, а какие системы устойчиво работают.Специалисты предпочитают решения, которые интегрируются в архитектуруоперационной системы, к примеру, когда правила определяются инаследуются через Group Policy Objects, а кроме того, когда онииспользуют информацию об инфраструктуре из Active Directory в Windows2003 Server или сертификаты X.509 существующей инфраструктуры открытыхключей.Автор: Ансгар Хайнен