ЗАЩИТА ДАННЫХ

Семьдесят процентов угроз безопасности исходят изнутри сети: не от внешних взломщиков, а от собственных пользователей, неумышленно заносящих в сети червей и вирусы со своих ноутбуков. Актуальность проблемы безопасности на границах сетей обусловлена тем, что многие оконечные устройства эксплуатируются в неконтролируемых системах. Ноутбуки и КПК мобильных сотрудников, консультантов, региональных партнеров, подрядчиков, а также домашние офисы и удаленные компьютеры представляют собой потенциальную опасность при подключении к ресурсам корпоративной сети. Средства обеспечения безопасности, установленные на этих оконечных устройствах (антивирусы, персональные программные брандмауэры, ОС и обновления к ним), могут не соответствовать корпоративным стандартам безопасности.

Система Trusted End-System (TES), только что выпущенная компанией Enterasys Networks (www.enterasys.com), пытается справиться с этой проблемой за счет интеграции программных средств защиты настольных ПК со средствами управления общекорпоративными системными правилами. TES, вошедшая в семейство решений Secure Networks, позволяет контролировать подключения к сети уязвимых или инфицированных компьютеров и расширяет сферу применения действующих систем обеспечения безопасности непосредственно до конечных устройств. Она помогает следить за правилами безопасности, установленными на рабочих станциях, и корректировать их.

Методика Enterasys объединяет функции оценки уязвимости и сканирования оконечных систем с возможностями инфраструктуры Secure Networks в части динамического применения системных правил. TES оценивает уровень безопасности каждого конкретного оконечного устройства, пытающегося подключиться к сети, и применяет заранее заданные правила к небезопасным и уязвимым машинам. Эти правила действуют на пользовательском уровне до тех пор, пока не будут устранены нарушения.

В государственных, медицинских и прочих специальных заведениях TES помогает обеспечить соответствие требованиям законодательных актов, предусматривающих строгий контроль за конфиденциальной информацией и недопущение несанкционированного доступа.

Концепция TES

Система TES создана в соответствии с открытыми стандартами для работы на оборудовании разных производителей. В ее основе лежат технологии управления системными правилами на уровне отдельных портов и пользователей, а не разграничение полномочий по группам пользователей VLAN. Реализация конфигураций VLAN накладывает дополнительное бремя на перегруженные ресурсы ИС. Средства информационной защиты большинства поставщиков относятся только к маршрутизаторам, что снижает эффективность мер по обеспечению безопасности оконечных устройств, так как пользователи обычно подключаются к корпоративным сетям через коммутаторы и беспроводные точки доступа.

Решение на основе системных правил позволяет установить соответствие конечных устройств заданным требованиям еще до предоставления доступа, а также реализовать аутентификацию оконечных устройств и выдачу им полномочий. Это решение гарантирует, что подключиться к корпоративной сети смогут только те оконечные устройства, которые имеют соответствующие полномочия.

Система TES реализует две взаимодополняющие методики обеспечения безопасности, которые могут использоваться как совместно, так и по отдельности. Решение, поддерживающее программы-агенты, предоставляет взаимную совместимость с распространенными системами защиты для оконечных устройств. Сетевое решение (готовится к выпуску) оптимизировано для работы в распределенных сетях, подобных университетским и кампусным, где управление распределенными оконечными устройствами затруднено, а применение программ-агентов затруднено или слишком дорого. Для некоторых организаций работа с программами-агентами - не всегда оптимальный вариант, и возможность точной настройки системных правил повысит уровень доверия в их сетях. Обе методики основаны на открытых отраслевых стандартах.

Интеграция TES с решениями Sygate и Zone Labs

Многие компании немало инвестировали в ПО защиты настольных ПК. Система TES поддерживает ряд распространенных стандартных решений, в частности программные средства компаний Sygate (www.sygate.com) и Zone Labs (подразделение Check Point). Sygate предлагает системы обеспечения безопасности для оконечных устройств крупных корпоративных сетей, а Zone Labs работает в области Интернет-безопасности.

Эти компании стали первыми сертифицированными партнерами Enterasys из числа поставщиков решений защиты оконечных устройств в рамках программы Secure Networks Certified Partner. (Enterasys сертифицировала продукты Sygate SMS Proxy Server 4.0, Enforcer 4.0 v Security Agency, а также Zone Labs Integrity Server 5.0 и Integrity Agent 5.0 на второй уровень Secure Networks.) Компания Sygate выпустила персональный программный брандмауэр для установки на клиентские ПК. Ее продукты постоянно проверяют защищенность машины, выступая в качестве клиентской части системы безопасности. Это ПО совместимо с 802.1x и использует расширенные функции аутентификации и работы с системными правилами. Решение TES объединило функции оценки уязвимости инструментов от Sygate с возможностями Secure Networks в части динамического применения системных правил. Решения Sygate взаимодействуют с системами Secure Networks и дополняют их, а корпоративные заказчики получают новые средства оценки уязвимости.

Сочетание системы Integrity от Zone Labs и систем Enterasys представляет собой программно-аппаратное решение, позволяющее подключать к сети все оконечные ПК и ноутбуки только при выполнении ими соответствующих правил безопасности. Комплексное решение Integrity/TES, основанное на отраслевом стандарте IEEE 802.1x, представляет собой систему доступа с возможностью применения правил безопасности и не является закрытой фирменной разработкой.

В рамках системы Zone Labs Integrity обеспечивается как защита каждого оконечного элемента сети, так и централизованные средства управления безопасностью. Это позволяет реализовать стандартизированную поддержку применения общекорпоративных правил в корпоративных ИС. Технология Cooperative Enforcement, встроенная в систему Integrity и поддерживаемая ведущими поставщиками сетевых систем и средств дистанционного доступа, позволяет администраторам оперативно и единообразно реагировать в масштабе всего предприятия на обнаружение новых уязвимостей или угроз, а также на изменение требований к средствам обеспечения безопасности. Кроме того, в Integrity имеются более совершенные и гибкие средства управления информационной защитой и ее быстрого развертывания. Благодаря этому достигается защищенность корпоративных ПК от хакерских взломов. Поддержка протоколов 802.1x и Extensible Authentication Protocol позволяет системе Integrity работать более чем с 200 сетевыми устройствами доступа, в том числе со многими моделями коммутаторов и точек беспроводного доступа 22 поставщиков, заявивших о поддержке EAP.

Услуги по внедрению решений TES предоставляются как самой компанией Enterasys, так и ее сертифицированными партнерами.