Вопросы информационной безопасности стали актуальными и для российских сетей. Рынок отреагировал на появление новой ниши неудовлетворенного спроса российских сетевых администраторов, объявив о заключении целого ряда соглашений с зарубежными поставщиками средств обеспечения безопасности сетей. Например, не так давно к деятельности в России приступила корпорация NSC (Network System Corporation), поставляющая аппаратные средства защиты сетей, а также фирма Checkpoint Software, чей программно-реализованный брандмауэр FireWall II собирает в последнее время урожай наград на международных сетевых выставках. Участники выставки Internet/intranet также представили продукты своих новых зарубежных партнеров, специализирующихся в области информационной безопасности Internet и intranet-сетей.
Больше брандмауэров, хороших и разных
Фирма “Релком” (Москва), точнее ее подразделение, занимающееся продуктами сетевой безопасности, продемонстрировало специализированный комплекс для защиты локальных сетей, включающий компьютерную систему на базе 180 МГц процессора R5000 фирмы Silicon Graphics модели O2 c установленным на ней брандмауэром Gauntlet 3.1 фирмы Trusted Information Systems. По словам Сергея Линде, начальника отдела фирмы “Релком”, ПО Gauntlet 3.1 поддерживает все Unix-платформы, однако для стандартной поставки выбрана аппаратура и ОС фирмы Silicon Graphics как обеспечивающие оптимальное соотношение возможностей и стоимости. Не последнюю роль в этом выборе сыграло и то, что в стандартной конфигурации поставки комплекс защиты может применяться на уровне и мощной рабочей станции, и серверной системы. О2 - промышленно-выпускаемый компьютер на базе архитектуры унифицированного доступа к памяти (UMA - Unified Memory Architecture), обеспечивающей поддержку RISC-процессора и 64-разрядной ОС.
Функциональные возможности брандмауэра Gauntlet 3.1 расширяют возможности безопасности, заложенные в самой ОС, благодаря наличию набора серверов-представителей (proxy) практически для всех используемых в Internet типов услуг, а также сервера общего назначения, в функции которого входит перенаправление запросов, и сервера аутентификации. Gauntlet 3.1 применяет схему генерируемых одноразовых паролей и слежения за всеми попытками входа в систему.
Главное - политика безопасности
Фирма NetState Communications (Москва) демонстрировала на выставке Internet/intranet еще одну новинку: комплекс продуктов обеспечения безопасности сети фирмы ISS (Internet Security Systems), штаб-квартира которой расположена в Атланте (шт. Джорджия). Основной продукт комплекса, Internet Scanner SAFEsuite, предназначен для проверки системы информационной безопасности существующей ЛВС. Можно сказать, что этот продукт проверяет надежность политики информационной безопасности, принятой в конкретной организации и описанной в виде правил. (подробнее о важности политики безопасности см. PC Week, № 39/96, с. 40) Он способен осуществлять детальную проверку Web-, NT-, Unix-сервера, брандмауэров и других компонентов TCP/IP-сети, в частности, машин, работающих под управлением Windows 95. SAFEsuite включает постоянно обновляемую базу данных об имеющихся “дырках” в системах безопасности, построенных с помощью брандмауэров различных типов. По словам Сергея Лысова, технического директора NetState Communications, сейчас SAFEsuite содержит информацию приблизительно о 20 типах брандмауэров и о 140 “дырках” в них. Причем сетевой администратор имеет возможность самому пополнить эту БД, если отыщет неупомянутую в документации “дырку” или напишет собственный брандмауэр. ПО SAFEsuite можно использовать один раз для оценки безопасности ЛВС (в этом случае его даже не обязательно покупать, достаточно заказать обследование сети), можно настроить его на режим непрерывного автоматического слежения за состоянием сетевой безопасности (тогда продукт придется купить, и обойдется он недешево).
В состав SAFEsuite входят четыре средства, применяемые автономно.
- Intranet Scanner - исследует системы защиты от несанкционированного доступа к корпоративной информации внутри самой организации.
- Web Security Scanner - ищет “дырки” в настройках Web-серверов и файловой системы, сценарии CGI с известными “дырками”, а также выявляет “подозрительные” CGI-сценарии.
- Firewall Scanner - тестирует сам брандмауэр, взаимодействие его с ОС и приложения, открытые для доступа через брандмауэр.
- System Security Scanner - следит за состоянием систем защиты персональных машин, анализируя параметры настройки ОС, права доступа к файлам, ищет программы типа “троянских коней”.
Тотальная безопасность
О своем подходе к проблеме информационной безопасности рассказали на выставке представители компании Hewlett-Packard, продемонстрировав технологию создания защищенных intranet-сетей. Примером реализации этой технологии, приобретенной недавно вместе с фирмой SecureWare из Атланты (шт. Джорджия), послужил рассказ специалистов HP о виртуальном банке SFNB (Security First Network Bank), который производит реальные банковские операции в онлайновом режиме, причем открыт круглосуточно. Он реализован в клиент-серверной архитектуре и размещен на двух серверах: HP 9000 модели 715, который выполняет функции главного сервера банка, на нем запущено также клиентское банковское ПО, и HP 9000 модели К200 (однопроцессорный вариант с 10 Тб дисковым RAID-массивом), на котором размещена база данных и ПО обработки запроса к платежной системе. Отказоустойчивость банковской системы обусловлена тем, что ядро SFNB размещено на обоих компьютерах, что обеспечивает необходимую аппаратную избыточность. Безопасность SFNB достигается за счет применения: разработанного фирмой SecureWare ПО Trusted OS, запускаемого под управлением ОС HP-UX 10.0; многоуровневой защиты - от сетевого уровня до браузера; средств шифрования.
По словам Артема Литко, консультанта московского офиса HP, опыт разработки отказоустойчивых защищенных систем компания HP приобрела за годы сотрудничества с военно-промышленным комплексом США. Поэтому он считает, что технология, воплощенная в проекте SFNB, ориентирована не только на банковские приложения. Она представляет собой общую методологию создания безопасной intranet-сети.
Телефоны фирм: “Релком” - (095) 943-4735, NetState Communications -
(095) 292-7317, московский офис HP - (095) 916-9811.
Елена Покатаева
