СОБСТВЕННЫЕ И СТОРОННИЕ ИСПОЛНИТЕЛИ
Я уже писал, что использование высокоскоростных услуг Интернет-доступа для работы из дома рискованно с точки зрения безопасности корпоративных вычислительных систем. Читатели живо откликнулись на публикацию, и их мнения оказались далеко не однозначны. Если одни полностью отвергли возможность использования таких служб, то другие высказали полезные советы по работе с ними.
Майкл Кейтон
Понять позицию “отказников” помогает один общий мотив, присутствующий во всех их письмах. Как известно любому, кто связан со сферой ИТ, дефицит кадров уменьшает возможности поддержки даже тех ПК и ПО, что находятся в офисе, не говоря уже об установленных на дому у сотрудников. Один ИТ-специалист пишет: “Должен признать, что в нашей сфере деятельности доступ даже к элементарной технической поддержке крайне ограничен. Мне самому при установке ПО удаленного доступа всякий раз приходилось решать все проблемы самостоятельно. К сожалению, и средний пользователь вынужден довольствоваться такой же "поддержкой"”.
Не вызывает удивления и то, что практически во всех письмах важное место занимает идея централизованного обеспечения безопасности.
Многие читатели заинтересованы в рекомендациях по выбору персональных брандмауэров. К сожалению, выбирать особенно не из чего, и ни один из доступных продуктов не подходит для корпоративного применения. Все, что приходит на ум, - это пакеты AtGuard фирмы WRQ и eSafe Protect фирмы Knowledge Systems. Ни тот ни другой не настолько просты в дистанционном конфигурировании, чтобы эту задачу со спокойной душой можно было возложить на корпоративную службу информационного обеспечения.
Для установки персональных брандмауэров на домашних машинах сотрудников необходима по крайней мере поддержка дистанционного конфигурирования этих продуктов в используемой системе администрирования вычислительной среды предприятия.
Один из наших читателей предлагает корпорациям делать недорогие персональные брандмауэры на базе устаревших ПК и ОС Linux. Возможно, эта идея и окажется работоспособной, но только если удастся убедить пользователя выделить на домашнем рабочем столе пространство еще для одного большого ящика.
Многие читатели обращают свои взоры к Windows NT (и далее, к Windows 2000) как к средству обеспечения безопасности удаленного доступа в корпоративные сети. Крупное преимущество этой ОС - возможность защиты конфигурационных параметров от модификации посторонними, например детьми.
В то же время поддержание безопасности в среде NT - немалый труд, поскольку приходится то и дело устанавливать в ходе текущей модернизации “заплатки” на регулярно обнаруживаемые дыры. Дистанционная установка ПО на пользовательские ПК всегда спотыкалась на часто встречающемся требовании перезагрузить ОС по окончании процедуры. Комплекты для текущей модернизации NT - не исключение из общего правила, и это делает подобную их установку большим неудобством для пользователя, который пытается в этот момент работать.
Еще один читатель предложил весьма, на мой взгляд, здравые рекомендации по обеспечению безопасности при работе на домашнем ПК.
Прежде всего машина должна быть защищена от таких хакерских инструментов, как Back Orifice, для чего в дополнение к брандмауэру следует установить на ней антивирусное ПО.
Затем на удаленных системах необходимо отключить сервер удаленного доступа. Имея на руках список служащих компании, хакеру очень нетрудно отыскать по “белым страницам” Internet номера их телефонов и попытаться проникнуть в домашнюю систему через модем.
Тому же самому читателю принадлежит и одно из лучших, на мой взгляд, предложений по обеспечению безопасности - применение для организации удаленного доступа технологий Windows Terminal и MetaFrame. Такой подход обеспечивает защиту и от возможных хакерских проделок самих работников компании.
И, наконец, к тем, кого все вышеперечисленное не убеждает в рискованности удаленного доступа в корпоративные сети с домашних ПК сотрудников, обращено последнее письмо, которое я собираюсь процитировать. “Я использую для связи с офисом виртуальную частную сеть, - пишет один из наших читателей. - Пока поддерживается соединение, все идет хорошо, но едва отключившись, я оказываюсь совершенно ни от чего не защищен, и атаки происходят практически ежедневно”.
А какие меры обеспечения безопасности персональных вычислительных систем используете вы? Пишите мне по адресу: michael_caton@zd.com.
К сожалению, выбор персональных брандмауэров невелик и ни один из доступных продуктов не подходит для корпоративного применения