Сетевой журнал: галерея ИТ-проектов

  ПРОЕКТ

Комплексное обеспечение информационной безопасности торговой фирмы с распределенной структурой


"Инфотел": давайте говорить предметно
Компания "Инфотел" - оператор связи, работает на рынке телекоммуникационных услуг с 1992 года. Входит в состав международной телекоммуникационной группы Aurora Communications, объединяющей операторов связи России, Европы и США. Владеет международной мультипротокольной сетью передачи данных и голосовой информации. Специализируется на предоставлении услуг IP-телефонии (VoIP), организации территориально-распределенных корпоративных сетей (VPN), интернет-сервисах и сервисах на основе возможностей сетей Х.25, защите информации и системной интеграции. Право на предоставление услуг на всей территории РФ подтверждено соответствующими лицензиями Министерства связи РФ и ФАПСИ.

С задачами защиты информации в распределенных сетях специалисты компании "Инфотел" сталкиваются достаточно часто, и их опыт показывает, что готовых надежных решений здесь практически не бывает. Если заказчик заинтересован в получении реальной отдачи от средств, вложенных в безопасность, нужен индивидуальный подход.

Заботясь о защите сети от несанкционированного доступа, ни в коем случае нельзя упускать из виду другие опасности, которым подвергаются данные, включая их потерю, искажение, а также похищение "некомпьютерными" путями. Так, согласно американской статистике, самую серьезную угрозу для корпоративных данных представляют случайные ошибки персонала - они приносят от 50 до 80% всех убытков, связанных с неправильной обработкой информации. На втором месте - умышленные действия нечестных сотрудников (15-30%), на третьем - аварии и стихийные бедствия (10-15%), и лишь 5% общего ущерба приходится на вторжения через сеть.

В России картина несколько иная, хотя вряд ли отличается принципиально, а на каждом предприятии она, разумеется, своя. И если максимальный ущерб фирме причиняют потери данных из-за сбоев в информационной системе, то ей следует в первую очередь вкладывать средства в повышение надежности аппаратуры и/или ПО, а если потери из-за ошибок сотрудников, то в повышение квалификации персонала. Поэтому первым делом нужно провести комплексный анализ положения с информационной безопасностью.

С чего начать?

В большинстве компаний задача анализа информационной безопасности возлагается на IT-менеджеров. Следует подчеркнуть, что они обязательно должны работать в тесном контакте с другими подразделениями, имеющими отношение к вопросам защиты, - юристами, отделом кадров, службой безопасности. Специалистам этих подразделений по роду своей деятельности легче понять общую ситуацию и выработать рекомендации по направлениям, не связанным прямо с компьютерами и сетью, в то время как IT-отделу целесообразно сосредоточиться на защите данных от несанкционированного доступа, на методах обеспечения их целостности и восстановления в случае потери.

В зависимости от обстоятельств анализ выполняется собственными силами заказчика или с привлечением консультантов - в этой роли могут выступать и технические эксперты компании "Инфотел". В подобных случаях они всегда работают в тесном контакте с менеджерами IT-отделов фирм-заказчиков и тщательно анализируют предоставленные данные, чтобы оценить существующий уровень безопасности и выработать оптимальную стратегию реализации проекта.

Рассмотрим теперь подробнее этапы анализа. Первый шаг - это составление перечня рисков и определение их структуры; здесь выявляются пути утечки информации и ситуации, приводящие к ее потере или искажению, с учетом как заведомо имеющихся проблем, так и потенциальных угроз. Структура рисков обычно представляется в виде дерева.

Затем нужно единообразно оценить риски. Для этой цели служит экономический показатель ALE (Annual Loss Expectancy - математическое ожидание потерь за год); он вычисляется по стандартной методике в зависимости от вероятности того или иного события и предполагаемого ущерба от него. Рассчитав ALE для всех рисков, можно уже рационально определить, какие из них требуется снизить в первую очередь, какие разумнее переложить на кого-то еще (застраховаться), а с какими придется примириться, признав, что мероприятия по их снижению не будут экономически целесообразными. После этого настает момент, когда заказчик должен принять ответственное решение о размере инвестиций, выделяемых на обеспечение безопасности сети.

Результаты проведенных исследований систематизируются и становятся основой проектного задания.

Перестройка распределенной сети

Условие задачи, конечно, дает лишь очень приблизительное представление о положении с информационной безопасностью в торговой фирме, и чтобы подготовить проектное задание, потребовался бы более тщательный анализ, о котором говорилось выше. Но все же имеющееся описание позволило специалистам компании "Инфотел" сделать выводы о наиболее значительных опасностях, угрожающих корпоративным данным фирмы, и порекомендовать несколько простых мер по устранению этих опасностей.

Как показывает опыт специалистов компании, методы решения задач сетевой безопасности существенно зависят от основного вида деятельности исполнителя. Например, фирмы, специализирующиеся в области ПО, часто строят решения на основе программных методов, а занимающиеся поставками и монтажом вычислительной техники предпочитают использовать специализированное оборудование. "Инфотел" как оператор связи может применять достаточно гибкий подход, и в данном случае специалисты компании предлагают начать проект с усовершенствования структуры распределенной сети.

На схеме сети видно, что три подразделения компании-заказчика связаны с остальными через центральный офис, а еще пять - через публичную сеть (интернет). Точки сопряжения с интернетом являются зонами повышенной уязвимости, и их качественная защита будет стоить достаточно дорого, так как для обеспечения гарантированного ее уровня в каждой из этих точек необходимо будет установить специализированный программно-аппаратный комплекс.

Надежнее и рациональнее свести все каналы связи между подразделениями в одну точку и уже к ней подключить защищенное интернет-соединение. В результате заказчик получит замкнутую распределенную корпоративную сеть с единственным выходом в интернет. Чтобы построить такую сеть, потребуются достаточно мощный маршрутизатор, аппаратный или программный брандмауэр (межсетевой экран) и сервер доступа для обработки коммутируемых звонков.

Выбор брандмауэра и маршрутизатора зависит от динамики сети фирмы и планов ее дальнейшего развития. Как наиболее рациональное решение специалисты компании "Инфотел" рекомендуют (и чаще всего используют в реальных проектах) аппаратный брандмауэр Cisco Secure PIX Firewall 515 стоимостью около $5000. Число пользователей сети для этой модели не ограничено. Есть ограничение на число одновременных сессий (одновременных соединений) с интернетом - их может быть не более 128 тыс., - но эту цифру фирма вряд ли превысит в обозримом будущем. Возможны и более дешевые решения на основе "младших" моделей PIX Firewall (в диапазоне $2000-2500). Модель PIX Firewall 501 заказчику, видимо, не подойдет, поскольку она допускает максимум 50 пользователей. Неплохим выбором будет PIX Firewall 506, у которой нет подобных ограничений, но лишь при условии, что в ближайшее время не произойдет значительного увеличения сетевой нагрузки. В качестве центрального маршрутизатора стоит использовать Cisco серии 26xx стоимостью около $5000, в который можно установить модемную плату для приема звонков по коммутируемым телефонным линиям. В подразделениях можно оставить имеющиеся маршрутизаторы Cisco 1050.

В рекомендованной схеме сеть фирмы отделена от интернета, что позволяет использовать внутри нее не глобальные, а частные IP-адреса. Эта мера затруднит проникновение в сеть извне, сохраняя при этом "прозрачность" соединения с интернетом для пользователя сети. Трансляция (преобразование) адресов осуществляется по технологии NAT (Network Address Translation) и может происходить на маршрутизаторе или на брандмауэре.

Чтобы избежать утечек информации в тех случаях, когда ее все-таки необходимо передавать через интернет (например, при связи с филиалами или удаленными пользователями в других городах), специалисты компании "Инфотел" рекомендуют применять потоковое шифрование данных: модули для его поддержки имеются в современных брандмауэрах, таких, как Cisco PIX или CheckPoint Firewall-1.

Так как центральный узел целиком принадлежит фирме, то она полностью контролирует маршрутизатор, сервер доступа и брандмауэр, причем в силу выбранной схемы организации сети управление заведомо является централизованным. Традиционно управление защитой осуществляют менеджеры IT-отделов или системные администраторы фирм. Если сотрудники IT-отдела условной фирмы не обладают достаточной квалификацией для того, чтобы делать это самостоятельно, "Инфотел" готов предложить удаленное администрирование систем защиты силами своих сотрудников, но это скорее теоретическая возможность - как правило, компании стараются не отдавать управление политикой безопасности в чужие руки.

Варианты размещения центра

Где же расположить единый центр сети торговой фирмы? Специалисты компании "Инфотел" считают, что здесь в зависимости от обстоятельств возможны два варианта: первый - разместить оборудование в центральном офисе, с которым уже связаны три подразделения, второй - разместить его в серверном зале интернет-провайдера, предоставляющего услугу размещения оборудования в стойках - collocation.

Выбор варианта размещения определяется тем, насколько сложно собрать в центральном офисе "последние мили" выделенных каналов, которыми пользуются подразделения фирмы. Если все каналы предоставлены одним канальным провайдером, это не составит труда. В других случаях может потребоваться прокладка кабеля; стоимость ее будет зависеть от местонахождения подразделений (чем дальше здание от кабельной магистрали провайдера, тем дороже кабельные работы). Что же касается серверного зала интернет-провайдера, то там обычно уже установлено оборудование для сопряжения с коммуникациями канальных провайдеров, а значит, есть возможность без дополнительных затрат подключить все подразделения фирмы независимо от владельцев имеющихся там каналов. Для подразделений, пользующихся доступом по коммутируемой телефонной линии, физическое расположение центра сети несущественно.

"Инфотел" успешно реализовал несколько проектов размещения единого центра корпоративной сети в своем серверном зале. Помимо простоты объединения выделенных каналов до подразделений клиента существует и еще одна причина, по которой этот вариант может оказаться привлекательным. Серверный зал соответствует всем техническим требованиям, оборудован резервированными системами климат-контроля и гарантированного электропитания, оснащен современными системами пожарно-охранной сигнализации и средствами пожаротушения. К интернету он подключен двумя магистральными каналами - основным и резервным. Все установленное в зале оборудование находится под круглосуточным наблюдением службы технической поддержки компании "Инфотел", а вход в помещения - под контролем сотрудников службы безопасности компании. Для создания подобных условий в своем центральном офисе нашей торговой фирме, вероятно, потребовались бы значительные дополнительные инвестиции.

Что касается стоимости размещения оборудования в серверном зале компании "Инфотел", то клиент оплачивает аренду места в стойке из расчета $40 в месяц за первый "юнит", т.е. модуль стандартной толщины (1U = 1,75 дюйма, или 4,5 см), и $25 в месяц за каждый последующий. (Можно арендовать и стойку целиком, но это выгодно лишь в случае более крупных проектов.) Устройства, необходимые в данном случае, займут в стойке три "юнита", следовательно, ежемесячная плата за них составит $90.

Современное сетевое оборудование, с которым работает компания "Инфотел", включая и рекомендуемое для торговой фирмы, позволяет осуществлять удаленный мониторинг и управление. Поэтому, чтобы внести изменения в настройки маршрутизатора или брандмауэра, IT-специалисты фирмы не должны будут ездить в офис компании "Инфотел", а смогут проделать все необходимое из собственного офиса. Если же им потребуется физический доступ к оборудованию, они получат его в любое удобное время.

Внутренняя безопасность

Центральный узел и брандмауэр представляют собой первый уровень защиты. Следует предусмотреть и второй уровень - внутрисетевой. Защита на нем реализуется программными средствами - в данном случае средствами Windows, поскольку наша торговая фирма использует главным образом операционные системы Microsoft.

Из условия видно, что на основных серверах фирмы установлена ОС Windows NT 4.0. Ее возможностей вполне достаточно, но при наличии средств специалисты компании "Инфотел" рекомендовали бы установить Windows 2000 с ее более надежной и современной системой защиты, которая позволяет намного элегантнее и удобнее определять политики безопасности сети. Тем не менее задачи разграничения доступа внутри компании и в распределенной сети средствами Windows NT вполне разрешимы, хотя и потребуют несколько больших трудозатрат со стороны IT-отдела. Система пользовательских профилей, обеспечивающая требуемое по условию сохранение рабочего окружения сотрудников, в NT также поддерживается. Защита NT 4.0 основана на системе доменов, между которыми при необходимости устанавливаются "доверительные" отношения. Сеть может иметь центральную машину, на которой регистрируются все пользователи, но может быть и распределенной - NT допускает оба варианта.

Если фирма располагает средствами на модернизацию локальной сети, желательно заменить используемые сейчас концентраторы коммутаторами. Это стоит сделать по многим причинам, а с точки зрения безопасности полезно тем, что локализует трафик и исключает широковещательную рассылку запросов, которыми обмениваются серверы и рабочие станции.

Политику смены и установки паролей, естественно, определяет IT-менеджер. Общее правило состоит в том, что пароли нужно менять не реже чем раз в три месяца, а в зависимости от требований компании может быть назначен и более короткий срок. Но так ли обязательны пароли? Если компания работает на рынке с острой конкуренцией и готова платить за то, чтобы снизить риск утечки информации, специалисты компании "Инфотел" советуют рассмотреть вопрос о замене парольной идентификации биометрической. Компактные сканеры, проверяющие отпечатки пальцев, применяются достаточно широко, их стоимость постоянно снижается. ПО многих сканеров интегрировано в систему защиты ОС, так что при регистрации вы вводите свое имя, а вместо пароля прикладываете палец к сканеру, установленному рядом с компьютером. Недавно на рынке появились и привычные компьютерные мыши со встроенным сканером отпечатков, стоимость подобных устройств - около $150.

Нельзя упускать из виду также защиту от вирусов и "троянских коней", в первую очередь от распространяющихся по электронной почте. Эта проблема решается с помощью антивирусного ПО, которое широко представлено на рынке и вполне доступно по цене. Существуют программы как для рабочих станций, так и для серверов, в том числе почтовых.

Web-сервер и защита защиты

В качестве платформы для Web-сервера в задаче указана ОС Windows 98, поэтому маловероятно, что на этой платформе размещен сложный сайт. А если так, то наиболее разумно, по мнению специалистов компании "Инфотел", разместить Web-сервер на виртуальном хостинге.

Как правило, серверы провайдеров, на которых размещаются сайты клиентов, оборудованы мощными средствами защиты Web-серверов, эффективными, как это требуется по условию задачи, против DoS-атак, внедрения "троянских коней", подбора паролей и т. п. Устанавливать подобные продукты у себя в данном случае нецелесообразно. Во-первых, многие из них довольно дороги, в то время как хостинг - нет. В компании "Инфотел" размещение на виртуальном хостинге сайта размером до 10 Мбайт стоит около $10 в месяц, т. е. если фирма решит, к примеру, приобрести систему защиты за $1200, она потратит сумму, сравнимую со стоимостью хостинга за 10 лет. Во-вторых, работа со средствами защиты сайтов требует высокой квалификации, которой у IT-персонала нашей торговой фирмы вполне может и не быть, в то время как специалисты провайдера обладают не только нужной квалификацией, но и богатым опытом эксплуатации этих средств.

"Инфотел" размещает сайты клиентов на Unix-системах, однако специалисты компании уверены, что перенести сайт, созданный изначально для платформы Windows, будет несложно. Как показывает их опыт, решение с минимальными трудозатратами можно найти всегда, даже если для корректной работы сайта потребуется переписать некоторые скрипты или программы.

Среди задач проекта есть требование защиты самих средств защиты. Здесь, точно так же, как и в случае с защитой Web-сервера, специалисты компании "Инфотел" не рекомендуют торговой фирме покупку и установку профессиональной системы. Пакеты мониторинга типа Real Secure или HP OpenView стоят тысячи долларов, и для компании, насчитывающей около сотни сотрудников, это слишком дорого. Как правило, российские компании такого масштаба не идут на подобные затраты. При наличии квалифицированного персонала применяются специализированные скрипты или иные упрощенные средства контроля систем безопасности. Как показывает практика, при правильной организации защиты этих мер оказывается вполне достаточно.

Очевидно, выполнение изложенных выше рекомендаций позволит существенно повысить сохранность информации торговой фирмы, причем с очень небольшими финансовыми затратами. Специалисты компании "Инфотел" считают, что даже самые сложные задачи (и не только из области защиты информации) часто удается успешно решить без привлечения значительных средств, если внимательно изучить потребности клиента и четко проработать стратегию реализации проекта. r

сетевой форум
поиск
подписка на журнал
о сетевом