Сетевой журнал: галерея ИТ-проектов

  ПРОЕКТ

Комплексное обеспечение информационной безопасности торговой фирмы с распределенной структурой


ОБИНКО: найти разумный баланс
Компания ОБИНКО- системный интегратор широкого профиля, и защита информации является одним из направлений ее деятельности. Главным в системах информационной безопасности специалисты компании считают правильно найденный баланс между открытостью и защищенностью. Известно, что повышение уровня защищенности обязательно приводит к усложнению определенных бизнес-процессов, так что за всякую меру безопасности приходится платить- и удобством работы, и просто деньгами. Поэтому любое предлагаемое защитное средство необходимо прежде всего оценить с точки зрения целесообразности и применять только в том случае, если оно позволит сэкономить больше, чем будет стоить само.

Начать необходимо, безусловно, с обследования предприятия и разработки политики безопасности. Это обязательные этапы построения любой системы защиты, причем они должны предшествовать всем остальным.

Что касается политики безопасности, то ОБИНКО могла бы разработать ее для торговой фирмы, но далеко не всегда заказчик согласен, чтобы кто-то решал за него принципиальные вопросы, связанные с его коммерческими или иными секретами. Если он предпочитает держать их в своих руках, то должен разрабатывать политику безопасности сам. В этом случае специалисты ОБИНКО готовы консультировать его, снабжать соответствующими методиками и т. д.

Прежде чем приступать к разработке политики безопасности, необходимо провести информационное обследование предприятия и выяснить, какая информация нуждается в защите, как циркулирует и от кого ее нужно защищать (понятно, что методы противодействия, например, хулиганам и промышленным шпионам различны). Это обследование также может провести как ОБИНКО, так и сам заказчик, если он не хочет посвящать посторонних в подробности своего документооборота. Чтобы определить, что и от кого защищать, не нужно особо глубоко разбираться в информационных технологиях, достаточно хорошо представлять себе бизнес-процессы фирмы. Проведя самостоятельное информационное обследование, заказчик представит специалистам ОБИНКО его результаты в обобщенной форме, без деталей, не подлежащих разглашению.

В отличие от многих других интеграторских фирм, ОБИНКО берется как за крупные серьезные проекты, так и за небольшие задачи, не требующие проектных работ. В данном случае специалисты ОБИНКО считают допустимыми оба подхода: можно подготовить для торговой фирмы комплексный проект защиты, но можно рассматривать предложенную задачу и как несколько отдельных. Какой из этих путей выбрать, должен решить заказчик на основании результатов информационного обследования.

По мнению специалистов ОБИНКО, из формулировки задачи не следует, что заказчик заинтересован именно в проекте. Вполне возможно, его больше устроила бы серия консультаций по решению конкретных частных проблем, перечисленных в задаче, поскольку это намного дешевле и быстрее. Конечно, проект надежнее, и весь вопрос в том, что для заказчика в данный момент важнее - оперативность и дешевизна или качество.

О том, как организована в ОБИНКО работа над проектами, рассказывается в выпуске "IT-Галереи" в №10/2001 "Сетевого журнала". Здесь мы обсудим "кирпичики", из которых строятся системы защиты, и то, какие из них и в каких обстоятельствах ОБИНКО порекомендовала бы торговой фирме.

Структура сети

Схема корпоративной сети вызвала у представителей ОБИНКО немалое удивление: если все офисы находятся в пределах одного города, зачем им связываться с центральным офисом через интернет? Это решение - источник серьезнейших проблем с безопасностью. Во-первых, согласно общему принципу сетевой защиты, сети с разным уровнем безопасности должны быть разделены, причем для точки стыка корпоративной сети и интернета это категорическое требование. Сколько же потребуется межсетевых экранов? Во-вторых, через интернет передаются корпоративные данные, а ведь интернет - классический пример недостаточно защищенного канала, т. е. понадобится еще и шифрование.

Специалистам компании уже приходилось сталкиваться с похожими сетями, и их опыт свидетельствует о том, что такая структура часто указывает на проблемы с телефонией - не с защитой телефонной связи, а просто с ее наличием (невозможно дозвониться из подразделения в центральный офис, поэтому арендуется канал интернета и т. д.). В подобных случаях телефонную связь, конечно, необходимо наладить, причем желательно решить этот вопрос в комплексе с вопросом о связи вообще. Вернемся, однако, к структуре сети.

Начнем со складов: зачем им выходить в интернет, вместо того чтобы звонить прямо в центральный офис? (Кстати, это могли бы делать и удаленные пользователи, если только они не находятся в других городах.) Помимо упомянутых выше проблем с безопасностью, доступ по коммутируемой линии никогда не гарантирует QoS (Quality of Service), так что сегодня связь есть, а завтра ее нет, сейчас скорость передачи одна, а через минуту другая и т. д. Вдобавок связь через интернет дороже, поскольку кроме платы за телефон нужно еще платить провайдеру за подключение. Если все дело в том, что в центральный офис трудно дозвониться, то нужно, как уже говорилось, решать проблему с телефонией - ОБИНКО готова помочь в этом торговой фирме.

Следующий вопрос - почему нельзя перенаправить в центральный офис выделенные каналы, которыми подключены к интернету торговые точки 3, 4 и сервисное подразделение? Из-за того что они предоставлены разными провайдерами? Эту проблему тоже наверняка можно решить. В Москве, да и во многих других городах главную сложность представляют "последние мили", связывающие пользователя с точкой присутствия провайдера, а здесь они уже есть. Точки присутствия большинства московских провайдеров располагаются на городских АТС, поэтому с немалой вероятностью торговой фирме удастся найти провайдера, представленного во всех трех точках, к которым подключены ее каналы. Если же какой-то точке "не повезет", можно будет договориться с альтернативным провайдером, который предоставит "последнюю милю" для данной точки, чтобы он передавал данные из этого канала основному провайдеру фирмы. Возможность таких подключений существует между сетями практически всех московских провайдеров.

Провайдер сможет сводить пакеты от всех подразделений в единый структурированный поток и передавать его в центральный офис. Возможно, в этот же поток будет целесообразно включить и ISDN-канал на 64 кбит/с от торговой точки 2 (сейчас он идет непосредственно в центральный офис).

Все подразделения сохранят возможность выхода в интернет, причем скорость останется прежней, а межсетевой экран понадобится только в центральном офисе. В контексте данной задачи защищенность выделенного канала примерно соответствует защищенности интернет-канала при шифровании трафика. А цена если и изменится, то не очень сильно, поскольку каналы останутся в основном теми же, что и раньше. Если же удастся найти одного провайдера для всех точек, с ним уместно будет завести и разговор о скидках - ведь у него арендуется целая сеть каналов. ОБИНКО, используя накопленный опыт, готова помочь клиенту в выборе провайдера.

Конечно, не во всех случаях рационально отказываться от интернета для передачи данных между офисами. Например, если сеть предприятия не ограничена пределами города, переход на выделенные каналы для передачи внутрикорпоративной информации может быть значительно дороже, чем защита существующих интернет-соединений, и тогда лучше остановиться на втором варианте.

Межсетевые экраны

Как уже упоминалось, один из принципов сетевой защиты состоит в том, что сети с разным уровнем безопасности должны разделяться межсетевыми экранами. Так, необходимы экраны между корпоративной сетью и интернетом или сетью самой компании и сетями партнеров. Иногда это нужно и внутри локальной сети - скажем, по каким-то причинам требуется отделить от остального офиса сеть бухгалтерии или сеть руководства (так, чтобы обычный сотрудник вообще не видел соответствующих компьютеров в своем сетевом окружении).

Нашей торговой фирме вряд ли стоит разделять свою локальную сеть с помощью межсетевых экранов. Если внутри сети нет опытных хакеров со злыми намерениями, намного удобнее использовать виртуальные локальные сети (VLAN), грамотно настроив для них политику доступа. Для этого, конечно, потребуется заменить имеющиеся концентраторы коммутаторами. Данная мера весьма желательна, поскольку она повысит не только защищенность, но и производительность сети.

Гибкую настройку маршрутизации и разграничения доступа между различными VLAN и отдельными хостами обеспечивает центральный коммутатор третьего уровня. Следует отметить, что выбрать его значительно труднее, чем коммутатор второго уровня. Аппаратура многих даже известных производителей не обладает нужной функциональностью на третьем уровне и, в частности, недостаточно эффективна для разграничения доступа. Своим клиентам ОБИНКО рекомендует использовать коммутаторы третьего уровня производства Cisco.

Межсетевой экран понадобится рассматриваемой торговой фирме, чтобы обезопасить точку подключения корпоративной сети к интернету, которая в предлагаемом решении всего одна. Из межсетевых экранов ОБИНКО работает с Checkpoint Firewall-1 и Cisco PIX, а также со специализированным программным обеспечением межсетевого экрана Cisco IOS Firewall Feature Set, интегрированным в маршрутизатор Cisco. Выбор конкретной модели зависит от множества факторов, и его необходимо производить на основании разработанной политики безопасности.

На мировом рынке популярностью пользуются еще два межсетевых экрана - Gauntlet компании Network Associates (NAI) и Raptor, права на который недавно приобрела корпорация Symantec, - хотя в России они практически неизвестны и, по мнению ОБИНКО, поддерживаются значительно слабее, чем перечисленные выше. Однако ОБИНКО имеет опыт работы с этими продуктами и при необходимости способна их поставлять и обслуживать.

Шифрование (VPN)

Где именно необходимо шифрование, должно определить информационное обследование, но для корпоративной информации, передаваемой через интернет, оно всегда обязательно. Именно поэтому лучше поменьше пользоваться каналами интернета внутри корпоративной сети.

Итак, для связи центрального офиса с филиалами и удаленными пользователями, осуществляемой по каналам интернета, следует использовать VPN. Нужно ли переводить на VPN связь между фирмой и клиентами или фирмой и партнерами, зависит, разумеется, от того, какой информацией они обмениваются. Если, скажем, ее похищение грозит только моральным ущербом, а финансовым нет, то тратиться на VPN скорее всего не стоит.

Целесообразно ли защищать выделенный канал на тот случай, если к нему сумеет подключиться злоумышленник? Для фирмы, торгующей алмазами или для банка, передающего по сети транзакции на огромные суммы, это, пожалуй, необходимо, для других же компаний риск слишком ничтожен, чтобы его учитывать. В некоторых случаях речь заходит также о шифровании трафика в локальных сетях, поскольку и туда в принципе может проникнуть злоумышленник. Однако нашей торговой фирме, видимо, достаточно будет, как уже говорилось, перевести сеть с концентраторов на коммутаторы. Это значительно снизит риск того, что кто-либо сможет прослушать трафик, ему (его машине) не предназначенный.

В большинстве случаев целесообразно применение VPN производства той же фирмы, что и применяемый межсетевой экран. Применение таких интегрированных решений позволяет значительно облегчить управление безопасностью и снижает общую стоимость решения.

Тем не менее следует отметить, что на рынке VPN, в отличие от рынка межсетевых экранов, отечественные фирмы вполне могут составить конкуренцию западным. В России VPN создаются давно и активно, поскольку они основаны на шифровании, а государственные учреждения имеют право пользоваться только сертифицированными системами шифрования. Многие российские разработчики VPN добились неплохих результатов, и ОБИНКО предлагает клиентам ряд их продуктов.

Удаленному пользователю понадобится VPN-клиент. Это может быть программа IPSec, входящая в состав Windows 2000 и XP, либо VPN-клиент компании CheckPiont или Cisco - оба распространяются бесплатно или за умеренную плату.

Защита на уровне ОС

Вообще защита информационных систем осуществляется на трех уровнях - сетевом, системном и прикладном. До сих пор мы говорили о сетевом уровне. Перейдем теперь к системному.

Первое, что нужно сделать, по мнению специалистов ОБИНКО, - везде заменить Windows 95 на NT (во всяком случае, если на соответствующих машинах происходит работа с какой-то важной информацией). И конечно, Windows NT нужно аккуратно настроить. Еще лучше было бы перейти на Windows 2000 или XP, поскольку в этих новых версиях система безопасности серьезно переработана и усовершенствована.

Если встроенных средств операционной системы недостаточно, можно установить специализированную программу защиты. На рынке существуют как импортные, так и отечественные продукты этого типа, но их очень редко применяют в коммерческих структурах. Программы защиты недешевы, они замедляют работу сети и часто конфликтуют с установленным прикладным ПО, так что обычной торговой фирме эксперты ОБИНКО рекомендовали бы довольствоваться средствами разграничения доступа, заложенными в Windos NT (или 2000/XP, если фирма готова на переход).

В задаче есть пожелание о сохранении рабочего окружения сотрудников вне зависимости от их местонахождения и используемого физического канала связи. По мнению специалистов ОБИНКО, выполнить это требование крайне сложно: конечно, NT поддерживает пользовательские профили, а в Windows 2000/XP работа с ними еще совершеннее, но на низкоскоростных каналах связи пользование этой возможностью весьма проблематично. С другой стороны, данное пожелание не имеет отношения к безопасности, это только вопрос удобства работы, причем не очень серьезный - так ли сложно сотруднику настроить себе рабочее окружение в каждом из тех двух-трех офисов, где он бывает? Если сохранение рабочих окружений категорически необходимо, то, возможно, самым дешевым и удобным выходом будет приобрести по ноутбуку для каждого менеджера, имеющего несколько рабочих мест.

Антивирусная защита

С подключением сети к интернету значительно возрастает опасность проникновения в компьютеры фирмы вредоносных программ, причем эти программы могут не только портить, но и воровать коммерческую информацию. На борьбу с ними и направлено антивирусное программное обеспечение, которое является важным звеном в реализации политики безопасности компании.

Из антивирусных пакетов ОБИНКО работает с Norton Antivirus корпорации Symantec, Mcaffee ViruScan компании NAI и "Антивирусом Касперского". Последний дешевле двух других, но, к сожалению, не обладает такими мощными средствами администрирования и сопровождения, какие есть у западных конкурентов, и чаще западных антивирусов конфликтует с установленным на компьютерах прикладным ПО. Что же касается качества распознавания вирусов, то оно у всех антивирусных программ примерно одинаковое.

Уровень приложений

Среди проблем с безопасностью, присутствующих в торговой фирме, упомянута недостаточная защищенность используемой там программы "1С:Бухгалтерия". В ОБИНКО есть отдел по внедрению прикладных систем, связанных с бизнес-учетом, специалисты которого знакомы со всеми наиболее распространенными прикладными системами, включая, разумеется, и "1С:Бухгалтерию". И если обследование покажет, что для обеспечения защищенности программу достаточно корректно настроить, они помогут IT-отделу торговой фирмы выполнить необходимые операции. К сожалению, проблема может быть в самом ПО, и тогда интегратор не в силах что-либо изменить. Простейший пример: если программа построена по файл-серверной архитектуре, то какая бы мощная защита ни была установлена на сетевом и системном уровнях, мы вынуждены будем настроить эту зашиту так, чтобы предоставить всем пользователям полный доступ к базе данных программы, - иначе она не сможет работать.

В торговой фирме ситуация не столь очевидна, поскольку там установлена клиент-серверная версия "1С:Бухгалтерии" и она по идее должна обеспечивать разграничение доступа. Но если проблема все-таки связана не с настройкой программы, а с ней самой, решить ее способен только разработчик. К нему и следует обратиться: возможно, он укажет версию, в которой этой проблемы нет.

Защита Web-сервера

Вопрос о безопасности Web-сервера очень наглядно иллюстрирует проблему баланса открытости и защищенности, с которой представители ОБИНКО начали разговор. С одной стороны, к Web-серверу должен быть открыт доступ из интернета, с другой - ему необходима защита от атак. Таким образом, Web-сервер имеет с точки зрения безопасности особый статус, отличный от статуса как корпоративной сети, так и интернета, и, следовательно, его нужно отделить от каждой из двух сетей межсетевым экраном. Обычно для этой цели используют брандмауэр с тремя интерфейсами: двумя стандартными - для интернета и для корпоративной сети - и одним для так называемой демилитаризованной зоны (DMZ), где и размещается Web-сервер.

Благодаря DMZ у нас оказываются хорошо защищенны сетевой и системный уровни (системный просто недоступен из интернета), но не прикладной: хотя межсетевой экран и может до некоторой степени контролировать трафик на прикладном уровне, он делает это чересчур грубо. В результате Web-серверы очень уязвимы, и причина их уязвимости - сам протокол HTTP, настолько открытый и функциональный, что позволяет сделать практически все.

Если на сервере работает интернет-магазин, ОБИНКО рекомендует отделить Web-сервер, где будет находиться только "витрина", от SQL-сервера с базой заказов. SQL-сервер нужно будет поместить еще в одну сетевую зону с особым статусом и разрешить обмен между ним и Web-сервером только по протоколу SQL. Тогда, если злоумышленник и сумеет проникнуть на Web-сервер, он все равно не получит доступа на SQL-сервер, если только не подберет пароль администратора SQL-сервера. Администратор, конечно, должен позаботиться о том, чтобы его пароли были достаточно сложными.

Однако полностью надежной защиты нет. Web-серверы многих западных компаний в дополнение к автоматическим средствам контроля безопасности находятся еще и под круглосуточным наблюдением персонала, и тем не менее их регулярно взламывают. Поэтому нужно стремиться не к максимальной надежности защиты, а к минимизации потерь от неизбежных взломов и сокращению времени простоев в случае повреждений - именно такое требование следует, по мнению экспертов ОБИНКО, записать в политике безопасности фирмы. А самым простым средством добиться этого будет грамотная система резервного копирования и восстановления.

О дополнительных средствах защиты

Поскольку средства защиты разнообразны и сложны, разрабатываются системы для их централизованного администрирования, контроля, автоматического мониторинга, анализа уязвимости и т. д. Однако эксперты ОБИНКО призывают учитывать, что все такие программы по существу предназначены не для самой защиты, а для создания удобств персоналу, который за эту защиту отвечает.

Работу, выполняемую системами анализа защищенности, вполне можно делать и вручную. Что же касается средств управления защитой, то эти продукты предназначены для больших информационных систем и стоят не менее $50 тыс. Поэтому ОБИНКО, пожалуй, не рекомендовала бы небольшой торговой фирме приобретать средства анализа защищенности и системы управления защитой.

То же касается и систем обнаружения атак. Они, вообще говоря, полезны, так как позволяют в реальном времени обнаруживать вторжения и оперативно на них реагировать. Однако, учитывая высокую стоимость этих систем, применение их в фирме, которая не занимается критичным бизнесом в интернете, скорее всего нецелесообразно.

Основывать защиту небольшой компании следует прежде всего на грамотной и продуманной политике безопасности, на межсетевых экранах, разделяющих сети с разным уровнем безопасности, на шифровании информации, передаваемой по недостаточно защищенным каналам связи, на антивирусной защите и, самое главное, на квалифицированном и аккуратном администрировании.

сетевой форум
поиск
подписка на журнал
о сетевом