Сетевой журнал: галерея ИТ-проектов
главная страница weekly monthly галерея IT: стратегии proqurement guide психология управления

Спасите! Защитите!

Очередной выпуск нашей "Галереи IT-проектов" посвящен защите информации. Свои решения предложенной редакцией "Сетевого журнала" задачи обеспечения информационной безопасности предлагают четыре фирмы: "АйТи", "Инфотел", ОБИНКО и ЭЛВИС+. Сама же задача такова

РЕШЕНИЯ

Решение "АйТи"

Решение "Инфотел"

Решение "ОБИНКО"

Решение "Елвис+"

Торговая фирма с распределенной структурой - четыре магазина, два склада и др. (см. схему) - испытывает серьезные проблемы с безопасностью данных.

Плохо защищены данные и транзакции, передаваемые между отделениями, электронная почта (имелись случаи несанкционированного чтения корреспонденции), информация, хранящаяся в базах клиентов, договоров и в базах, используемых программой "1С: Бухгалтерия" (здесь также зарегистрированы случаи несанкционированного доступа, в том числе и приводившие к нарушению целостности баз).

Контроль доступа и обнаружение вторжений в корпоративную сеть извне практически отсутствуют, при этом персонал, ответственный за информационную безопасность, не обладает достаточной квалификацией, чтобы идентифицировать вторжения.Особо отмечается высокая уязвимость Web-сервера.

Кроме проблем, есть пожелания: обеспечить удаленный защищенный доступ к ресурсам сети для мобильного персонала (менеджеров по закупкам и продажам, экспедиторов), а также сохранение единого рабочего окружения и настроек для сотрудников, имеющих по несколько рабочих мест в разных отделениях фирмы.Задачи проекта представляются заказчику следующими:
1. Проанализировать компьютерную сеть фирмы на предмет уязвимых мест.
2. Определить политику безопасности фирмы в отношении информационной системы и выработать рекомендации по административным мерам и другим средствам, не связанным с информационными технологиями.
3. Обеспечить защиту корпоративной сети от вторжений извне.
4. Обеспечить внутреннее разграничение доступа к конфиденциальной информации (финансовые данные, базы клиентов, договоров) и контроль безопасности наиболее важных узлов внутренней сети.
5. Организовать защиту информации, передаваемой через интернет в филиалы.
6. Организовать защиту интернет-сервера компании, желательно с возможностью отражения DoS-атак, а также вторжений с помощью "троянских коней", подбора паролей и др.
7. Обеспечить сохранение рабочих окружений сотрудников вне зависимости от их физического местонахождения и используемого канала связи.
8. Упростить и частично автоматизировать плановое администрирование системы защиты информации. Обеспечить централизованное управление устройствами системы безопасности. Обеспечить конфиденциальность системных паролей при настройке и управлении серверами и сетевыми устройствами. 9. Обеспечить надежность и отказоустойчивость систем безопасности, а также защиту самих средств защиты.

Построенная система защиты должна удовлетворять требованиям масштабируемости в несколько раз от имеющегося числа рабочих мест, интеграциис существующими программными платформами и минимизации необходимых затрат, особенно связанных с обслуживанием.

Структура распределенной сети торговой фирмы показана на схеме (см. внизу статьи), там же перечислено основное оборудование и ПО, установленное в каждом из подразделений. Фирма работает с учетной системой "1С:Бухгалтерия" 7.5 (версия "клиент-сервер") и ведет также базы клиентов и договоров с помощью СУБД MS SQL Server 7.0 (клиент - MS Access 97). Операционные системы - Windows NT 4.0, на некоторых рабочих станциях также Windows 95; Netware 3.0 для файл-серверов, Linux для интернет-сервисов (кроме Web-сервера, который работает под управлением Windows 98).

Локальная сеть центрального офиса сегментирована с помощью коммутатора 3Com SuperStack II Switch 1100, а сегменты подключены к концентраторам 3Com OfficeConnect Ethernet Hubs; кабель - витая пара 5 категории. Сети всех торговых точек, сервисного подразделения и склада N1 реализованы на базе простых концентраторов и витой пары 3 категории, склада N2 - на базе тонкого коаксиального кабеля.

Подробности можно узнать на нашем сайте, но они не очень существенны. Во всех предложенных решениях прослеживается мысль о том, что выбор средств защиты определяется в первую очередь не имеющимся оборудованием или ПО и даже не структурой сети, а характером информации, которая в этой сети циркулирует. При этом, может быть, даже в большей степени, чем объективные параметры информации, важно субъективное отношение к ней владельца: чем выше он ценит хранящиеся и передаваемые данные, тем более серьезную защиту просит установить.

С другой стороны, авторы всех решений считают необходимым определенный минимальный набор защитных средств. Это антивирусное ПО (в задаче оно не упоминалось - видимо, антивирусная защита в фирме есть, и руководство считает ее достаточной, - но все же роль антивирусов подчеркивается во всех решениях), межсетевые экраны в местах подключения к интернету, шифрование данных, передаваемых по открытым каналам, разграничение доступа между пользователями корпоративной сети. Общей была также рекомендация по возможности модернизировать локальные сети, заменив концентраторы коммутаторами, и основную операционную систему, поскольку средства защиты в Windows 2000/XP значительно усовершенствованы по сравнению с NT.

И последнее, на что хотелось бы обратить внимание, - это в разных формах представленное в решениях соображение о том, что работа над системами безопасности требует большей активности со стороны заказчика, чем обычные проекты. Одни обязательные этапы интегратор при всем желании не смог бы взять на себя, другие клиенты сами обычно не готовы кому бы то ни было передоверить. Сказанное относится и к обслуживанию средств защиты - ряд операций с ними нельзя поручить никому постороннему. И здесь возникает проблема недостаточно квалифицированного персонала. Предложения по ее поводу различаются - кто-то рекомендует отказаться от слишком сложных средств защиты, кому-то представляется более правильным найти или подготовить нужных специалистов. Решить это, конечно, тоже должен сам заказчик.

Рис. Схема распределённой сети торговой фирмы

сетевой форум
поиск
подписка на журнал
о сетевом


Rambler's Top100