Как-нибудь зайдите в операционный зал Bank of Boston (Бостон) и вы услышите отчетливое щелканье около сотни клавиатур при получении доступа и сохранении критичных по времени и, главное, важных для клиентов финансовых данных. Брокеры заботятся о валютном обмене, дериватах и фиксированном доходе, не подозревая о новой системе защиты данных на сетевом уровне в глубинах банка, которая обеспечивает аутентификацию и шифрование, благодаря чему и возможны эти транзакции.
Защита данных может проходить незаметно для них, но она всегда была постоянным предметом забот группы информационных технологий (ИТ) в Bank of Boston. Сотрудники группы ИТ быстро осознали, что уровень защиты и гибкости, требуемый для торговых приложений, значительно превосходит их собственные ресурсы и знания, что привело их к продукту BoKS 4.1фирмы Securix (Берлингем, шт. Калифорния).
Эти мучения при установке защиты были не напрасны. Стюарт Лебо, старший системный менеджер банка, сообщил, что теперь впервые требуется регистрироваться при входе в систему и выходе из нее и Bank of Boston достиг своей цели, обеспечив единый вход для торговцев. Более того, благодаря этой информации улучшилось управление. Раньше “если [в системе из-за хакеров] была брешь, то ее невозможно было отследить, - объясняет Лебо. - Теперь, с вводом аутентификации и путей доступа, каждый человек может зарегистрироваться только на определенной машине”.
В то время как Bank of Boston в отношении защиты данных “взял быка за рога”, на удивление много компаний (особенно в финансовом секторе) еще не сделали этого (согласно исследованию Ernst & Young LLP. в 1995 г., см. врезку), несмотря на то что они постоянно имеют дело с нуждающейся в защите информацией.
Дэниел Уайт, партнер и национальный директор Information Security Effectiveness при фирме Ernst & Young (Чикаго), считает, что склонность воспринимать защиту данных как второстепенный момент, когда речь идет о клиент-серверных системах, обусловлена либо тем, что информационные системы не поспевают за развитием технологии, либо тем, что средства защиты не настолько надежны, как в мире мэйнфреймов. Кроме того, Уайт добавил, что существует предположение - особенно в мире MVS, - что о защите позаботится операционная система. Но на уровне Unix большинство систем постоянно развиваются, так что недостаточно полагаться на сети.
Здесь защита стала одним из нескольких неизбежных зол, на которые при разработке надо заблаговременно обращать внимание.
“До выпуска новой технологии не проводилось соответствующей работы по разработке защиты ... честно говоря, мы понимаем это, когда факт уже налицо и поздно что-либо исправлять, - поделился с нами Фред Джонс, директор по защите информации в корпорации-интеграторе систем Electronic Data Systems (Плано, шт. Техас). - В результате этого мы теряем контроль над нашими активами”.
Поддержание централизованной проверки защиты привело к тому, что в прошлом году The Editable (Нью-Йорк) решила использовать другой подход к защите. Эта страховая компания выбрала Unicenter - систему управления предприятием, разработанную фирмой Computer Associates International, одним из компонентов которой является обеспечение защиты. “Нашей целью является управление из центрального узла, а Unicenter позволяет нам создать счет для любого, кто стандартным способом перейдет на другую платформу”, - сказал Билл Льюис, вице-президент клиент-серверных операций для The Editable.
Джонс из Electronic Data Systems подчеркивает, что как бы вы ни решали проблемы защиты, одна только технология даст лишь частичное решение. Он видит несколько препятствий для защиты информации: люди, соглашения, сети и программные продукты для защиты данных. Рекомендация Джонса: чтобы менеджеры по информатизации или другие менеджеры составили представление о системе по предприятию в целом так, чтобы готовые соглашения существовали до начала конструирования. “До сих пор между клиент-серверными системами и мэйнфреймами сохраняется разделение в плане защиты данных, - говорит он. - Это приводит к хаосу и очень дорого обходится”.
Эстер Шейн
ЧУВСТВУЕТЕ СЕБЯ НЕЗАЩИЩЕННЫМИ?
Согласно Третьему ежегодному обозрению по защите информации, Trends, Concerns & Practices, главы информационных систем и менеджеры по информатизации 1300 крупных компаний обеспокоены состоянием защиты приложений клиент-сервер:
ЛВС
83% опрошенных выполняют клиент-серверные приложения для критически важных задач в ЛВС, хотя 63% из них сообщают о своей неудовлетворенности защитой ЛВС.
UNIX
Аналогично, 59% опрошенных выполняют приложения для критически важных задач на Unix-системах. Из них 61% недовольны защитой, обеспечиваемой этой платформой.
Источник: Ernst & Young LLP.