Статья только в электронной версии журнала
Деннис Фишер
Учитывая сложности эксплуатации постоянно изменяющихся корпоративных сетей и растущие опасности возникновения брешей из-за некорректных действий персонала организации или ее партнеров, ряд производителей готовит к выпуску новые продукты, защищающие сеть от небрежного обращения или халатности пользователей.
Фирмы Trusted Network Technologies, Symark Software и SecurSoftware рассматривают эту проблему под разными углами зрения, но ставят общую задачу обеспечения стабильного уровня безопасности ядра сети.
TNT предлагает платформу Identity, работающую в среде Microsoft Windows 2000 и нескольких вариантов Linux и состоящую из трех компонентов: ПО I-Host, которое контролирует клиентский ПК, устройства I-Gateway под управлением Linux и центральной консоли управления I-Manager. Если легальный пользователь запрашивает доступ к ресурсам, ПО I-Host создает для него двухфакторный идентификатор. В этом идентификаторе соединяются данные о пользователе и информация, однозначно определяющая клиентское устройство.
Далее I-Host зашифровывает идентифицирующие данные, снабжает их цифровой подписью и вставляет в пакеты, посылаемые при запросе сеанса доступа. Лишние данные в пакете никак не влияют на его рабочие функции, и вся операция производится незаметно для пользователя. После этого запрос поступает на устройство I-Gateway, расположенное перед корпоративным сервером приложений. Устройство дешифрует информацию запроса и, если клиент известен и имеет полномочия на доступ к требуемым ресурсам, пересылает пакет на соответствующий сервер.
Комплект продуктов TNT ориентирован на рядовых пользователей, в то время как новая версия ПО PowerBroker фирмы Symark контролирует администраторов. Решение предназначено для ограничений действия администраторов при делегировании корневых полномочий в Unix- и Linux-системах. Система позволяет администраторам предоставлять сотрудникам ограниченный корневой доступ лишь при необходимости и ведет детальный и полный журнал аудита. PowerBroker также дает возможность задавать ключевые последовательности клавиш, которые служат ограничителями, предотвращающими появление брешей или потерю данных.
По отзывам владельцев крупномасштабных систем на базе Unix и Linux, решение Symark практически продуктивно и вместе с тем повышает безопасность.
"Мы его используем очень интенсивно, даже с базами данных Oracle, - рассказал Алекс Рейез, Unix-администратор из некоммерческой организации здравоохранения Health First. - Мы имеем много сценариев для пересылки информации в службу поддержки, но при замене пароля пользователя root их каждый раз приходилось корректировать. Теперь у нас есть главная корневая учетная запись с несколькими псевдонимами для службы поддержки, и система находится под контролем".
Предложение SecurXT Enterprise Edition фирмы SecurSoftware, представленное на выставке Comdex в Лас-Вегасе, основано, как и у TNT, на двухфакторной схеме аутентификации. Для входа в систему с защищенного ПК необходимо предъявить свой PIN- и USB-идентификатор с пользовательским ключом доступа к ПО. Работая в системе, пользователь может зашифровать файлы, папки и почтовые сообщения, а также полностью стереть данные удаленных файлов. Администраторы могут контролировать действия сотрудников с устройствами и приложениями.