КОНФЕРЕНЦИИ
Символом конференции “Управление информационными ресурсами и их защита в корпоративных сетях”, которая в начале июня была организована компанией Jet Infosystems на Сицилии, стала известнейшая шахматная позиция в границах острова, ненавязчиво поясняющая (тем, кто еще сомневается), что предлагаемые Jet решения столь же надежны, как сицилианская защита.
Выбор темы конференции не был случаен: сегодня для большинства корпоративных систем уже наступил этап “интеллектуальности”, когда и у систем управления (СУ), и у систем безопасности (СБ) появился новый общий “предмет интереса”, а объектом их внимания стали не только элементы инфраструктуры, но и бизнес-приложения и даже бизнес-параметры информационной системы. Комплексный подход к защите информационных ресурсов отражали выступления партнеров Jet - представителей Sun Microsystems, Symantec, “Алладина”, “Лаборатории Касперского”, Internet Security Systems (ISS), RSA Security и BMC Software, причем каждая из этих компаний раскрывала свое видение заявленной проблемы с позиций выпускаемого продукта, позволяющего тем или иным способом упрочить “круговую оборону”. А правильность выбора темы и ее актуальность подтвердились на заседании круглого стола, когда в оживленные дискуссии были вовлечены практически все участники, в том числе более 60 сотрудников разных организаций - клиентов инициатора мероприятия (РАО ЕЭС, Газпром, МПС, ЦБ РФ, ГИБДД Москвы и др.).
Конференция
Открывая первое заседание, генеральный директор Jet Infosystems Владимир Елисеев подчеркнул, что наступило время, когда у российских предприятий не остается иного выхода, как перейти (и многие уже сделали этот шаг) на качественно иной уровень организации управления ИС и их защиты. Он отметил, что за последний год произошло существенное смещение акцентов “значимости” в списке предоставляемых этими системами возможностей. Кроме отдельных компьютеров теперь особенно важно защищать прикладные системы и контролировать не только обращения к ним, но и параметры бизнес-процессов (скорости отклика, производительности и др.).
Илья Трифаленков: “Ключевой аспект, позволяющий связать две системы -
управления и безопасности, - это необходимость для обеих анализировать логику
работы приложений и взаимодействие на уровне пользователь - приложение”
Весомые аргументы, подкрепляющие близость двух типов служебных систем, были представлены в выступлениях начальника центра информационной безопасности Jet Infosystems Ильи Трифаленкова и начальника отдела систем управления фирмы Сергея Довганя. Обе подсистемы обслуживают ИС предприятия, не используя дополнительные сервисы, непосредственно связанные с бизнес-процессами, “исповедуют” общий концептуальный принцип - сочетание организационных и технических мер и, что наиболее существеннно для их интеграции, имеют практически одинаковую архитектуру, базирующуюся на технологии “менеджер - агент”. Работа обеих систем происходит на одном и том же уровне инфраструктуры, а получаемая каждой из них информация имеет множество взаимных пересечений, т. е. значительная часть одних и тех же данных используется и для управления, и для защиты информации.
Другое важнейшее общее свойство - сходство внедрения данных подсистем, что в первую очередь касается их интеграции в “исторически сложившуюся” сеть предприятия (часто весьма неоднородную по используемым платформам), а также необходимости формализации и полного документирования всех рабочих процессов. Обе системы так или иначе “завязаны” на такой важный параметр ИС, как производительность прикладных программ, поскольку сегодня они в той или иной мере отслеживают логику работы приложений и осуществляют аудит, используя для этого программы-агенты. Следует отметить, что почти всегда их интеграция с прикладным ПО требует применения специальных решений, хотя при этом и сужается список программ, допустимых к использованию в ИС. Привязка механизмов безопасности к логике приложений - одна из наиболее сложных задач при интеграции сервисов защиты и прикладного ПО. Анализу возникающих при этом проблем и способам их преодоления было посвящено несколько выступлений, а специалист Jet Артур Сафуанов привел и конкретные примеры решений, позволяющих унифицировать связи “приложение - СБ” и сократить расходы на внедрение и сопровождение.
К сожалению, и это отмечали все выступавшие, нормативная база СУ не столь развита, как у СБ, где формализация процедур и поддержка как функциональных, так и технологических стандартов серии ISO обусловлена более “старым” рынком средств защиты.
Сегодня, по мнению выступавших, объединение СУ и СБ может быть реализовано двумя способами. Первый - классическая интеграция с последующей оптимизацией используемых параметров и процедур - более приемлем для крупных и сложных ИС. Второй, менее затратный - использование модулей обеспечения безопасности, интегрированных в СУ (например, Tivoli). Критерием выбора одного из этих способов служит не только масштаб ИС, но и ценность информации, поскольку очевидно, что наиболее полная функциональность средств защиты обеспечивается при интеграции двух систем. Однако в любом случае интеграция позволит оптимизировать внедрение и достичь большего экономического эффекта, чем при “автономной” установке каждой из них.
Централизация управления в СУ, в частности создание единого центра идентификации и авторизации пользователей, - это первый шаг на пути к повышению безопасности ИС. Платформу для построения такого центра - Sun One Identity Server - представлял Павел Анни, менеджер по продуктам компании Sun. Этот, как сейчас принято говорить, портал идентификации предназначен для управления защищенным доступом к ресурсам и имеет единую систему идентификации пользователей и объектов с общим хранилищем. Администратор в таком случае избавляется от необходимости заносить разные данные во множество каталогов, синхронизировать и обновлять их, а пользователям не приходится записывать и запоминать многочисленные пароли доступа к прикладным системам. При этом обеспечивается управление службами и политиками безопасности в рамках согласованной модели.
Другим важным фактором обеспечения безопасности ИС является их правильная эксплуатация. Оценивать эту правильность, по мнению начальника сервисного центра Jet Максима Папина, следует по качеству сервиса при минимальных отказах в обслуживании. И хотя сложность корпоративных систем усугубляется с их ростом, основной критерий работы службы эксплуатации неизменен и вычисляется как стоимость простоя, оцениваемая по потерям в бизнесе. Такой показатель определяет не только эффективность организации сервисной службы, но и реальные показатели надежности и безопасности системы.
И уж, конечно, ни одна ИС в наши дни не может обойтись без антивирусного ПО, которое на конференции представляли две известные всем компании - Symantec и “Лаборатория Касперского”. Здесь хотелось бы отметить только нетрадиционные для этих фирм решения.
Для Symantec это продукты информационного сервиса Treat Management и Alert Services. База данных системы предупреждения атак Treat Management содержит более 12 тыс. атак и 7,4 млн. их источников. Alert Services предоставляет пользователям информацию об уязвимостях в ПО (база данных более чем о 3400 продуктах 1600 производителей) и вредоносных кодах. Такие службы Symantec рассылают оповещения вместе с анализом потенциальной угрозы и рекомендациями по ее предупреждению.
Новинка от “Лаборатории Касперского” - пакет Informer, который представляет собой средство отслеживания действий пользователя при работе с документами. Программы-сенсоры, устанавливаемые на ПК, срабатывают при инициализации системных команд и операций (print, print screen, save и др. - тип настраивается администратором) и передают эту информацию программе-менеджеру, размещаемой на сервере безопасности или управления. Informer способен обеспечить полный контроль действий любого пользователя и предотвратить похищение информации.
Круглый стол
Для дискуссии организаторы предложили два основных вопроса: как эффективно использовать нормативную базу в СБ и какие функции СУ можно применить для защиты информации? По мнению автора данной статьи (как стороннего наблюдателя), наиболее жаркий обмен мнениями вызвал первый вопрос и на этом фоне обсуждение реальных функций безопасности в СУ проходило довольно вяло.
Тон дискуссии о нормативной базе и сертификации задал Геннадий Емельянов, председатель совета межрегионального общественного объединения “Ассоциация защиты информации”. Он справедливо заметил, что в существующей нормативной базе СБ есть немало противоречий и до ее эффективного использования еще далеко. Пока же задача создания такой системы регулирования, при которой и интересы государства не пострадают, и оперативное внедрение новых технологий будет обеспечено, к сожалению, не решена. Сертификацией средств защиты в нашей стране занимаются пять ведомств, и для внедрения СБ порой необходимо получить разрешительные документы от каждого из них. Границы “подведомственности” постоянно перемещаются, и остается надеяться, что закон “О техническом регулировании” хоть в какой-то мере их стабилизирует. Геннадий Емельянов также сообщил, что образовавшаяся год назад ассоциация, насчитывающая 27 членов, сегодня свои усилия сосредоточила на разработке концепции систем безопасности и ее проект уже находится на рассмотрении в комиссии по информатизации.
Немало нареканий было высказано участниками-пользователями по поводу необходимости сертифицировать продукт в различных организациях, длительных сроков выдачи итогового документа, а также неоднозначной легитимности использования обновлений, поставляемых производителями ПО, при наличии сертификата на определенную конфигурацию. Представители фирм-заказчиков выражали и другие претензии к сертификационным органам. Так, специалист компании “Лукойл-информ” посетовал, что наличие сертификата, увы, не всегда означает, что продукт досконально исследован, а сертификационный орган не несет за него никакой ответственности. Поэтому сертификация из полезной для производства процедуры часто превращается в некое ритуальное действо. Тем не менее необходимость сертификации как средства подтверждения функциональных возможностей продукта и его безопасности с точки зрения отсутствия “закладок” сомнений у присутствующих не вызывала.
Порадовал участников дискуссии представитель Sun, сообщивший, что компания передала на сертификацию полные коды ОС Solaris 8 и ряда других своих продуктов и скоро будет получен сертификат.
Дальнейшая дискуссия, перешедшая к функциям безопасности в рамках СУ, была уже не столь бурной. По единодушному мнению эти возможности СУ позволяют обеспечить лишь отдельные защитные функции, а для того чтобы отслеживать работу с приложениями, практически всегда приходится создавать дополнительное ПО. Несоответствие функций СУ и СБ при использовании одних и тех же данных связано с тем, что цели мониторинга объектов ИС у этих типов подсистем различны и для адекватного применения функций защиты в них необходим соответствующий задаче анализ получаемой информации. Однако путь для сближения позиций СУ и СБ очевиден. По образному выражению одного из участников, “...вопрос уже не в том, дружить или нет, вопрос в том, как лучше организовать совместную работу”.
***
Итог конференции подвел Илья Трифаленков: “Сегодня техническая интеграция двух служебных систем корпоративной сети предприятия кажется terra incognita, хотя теоретическая основа их объединения абсолютно ясна. Однако главный очевидный факт - понимание специалистами СУ и СБ объективной необходимости сопряжения этих подсистем - позволяет рассматривать эту техническую проблему как временную трудность в развитии ИС”.