Сложность и многогранность проблемы информационной безопасности хостинга диктуют особый подход к ее разрешению — надо одновременно быть готовым «воевать» на несколько фронтов и думать о неочевидн
— Очевидно, для того, чтобы no's хитить коммерческие сведения, достаточно подкупить уборщицу или подобрать отмычку к двери. Это дешевле, чем прослушивать, подключаясь к локальным сетям или использовать другие хитроумные способы взлома через Интернет, однако, выстраивая политику информационной безопасности, важно определить, что можно решить организационно, а для чего обязательно покупать оборудование с соответствующим набором функций.
Естественно, чем больше зависит компания от информации, тем внимательнее она будет относиться к выбору технических средств для хранения и передачи данных. Отнюдь не размер организации определяет уровень сетевых решений, а чувствительность к сбоям программных систем. Возьмем, к примеру, фирму с десятком сотрудников, которая занимается Интернет-торговлей и весь ее бизнес зависит от устойчивости 1Т-решений, от их готовности выдержать постороннее вмешательство. Ей постоянно требуется принимать заказы, отслеживать оплату, в то же время быть в состоянии отражать несанкционированные действия извне, что нельзя реализовать без использования надежных технологий, не оставляющих без внимания вопросы безопасности. Такие решения дешевыми не бывают.
Технологии уверенности
Алексей Бабушкин, руководитель отдела сетевой интеграции:
— Выбор оборудования и технологий для вычислительных сетей во многом зависит от потребностей предприятия и существующей информационной инфраструктуры. Если предприятие небольшое, сотрудников, активно использу-
ющих компьютеры, не больше десятка и выхода в Интернет нет, то в этом случае для сохранности информации бывает достаточно организационно-административных мер.
Основное сетевое устройство — коммутатор — на своем уровне решает вопросы безопасности только в том случае, если относится к категории управляемых. Одно из основных его свойств — разграничение доступа, для чего используется технология виртуальных локальных сетей, когда вся система обмена данными делится на несколько независимых сегментов, каждая из которых наделяется определенными правами — к примеру, работники склада не смогут зайти в бухгалтерскую подсистему. Пользователь с незарегистрированного компьютера просто не сможет воспользоваться корпоративными данными. Не все устройства на это способны, но оборудование 3Com и Cisco Systems, которые не первый год специализируются в этой отрасли, требованиям соответствует. Управляемый коммутатор настроен так, что передает сигнал администратору, если пользователь без права доступа пытается подключиться к сети, после чего устройство блокирует передачу информации через место предполагаемого взлома.
Дорогой коммутатор будет просто необходим тем предприятиям и организациям, чья деятельность сильно зависит от информации. К таковым относятся, например, банки и фирмы-владельцы Интернет-магазинов. Тенденции же явно свидетельствуют о том, что к торговле через Интернет в ближайшее время придет большинство предприятий.
Чем глобальнее, тем уязвимее
Дыры в системе защиты появляются, когда по требованию бизнеса нельзя изолировать локальную сеть полностью — нужна взаимосвязь с удаленными пользователями или подключение к Интернету. Любая корпоративная информационная система при этом сразу становится потенциально уязвимой, и создать абсолютную систему защиты, на 100 % гарантирующую целостность корпоративных данных, нельзя — всегда будет оставаться вероятность взлома. Поэтому технические решения актуальнее в глобальных сетях, которые отличаются от локальных — сетей офиса, подразделения, компании или завода, — охватом практически всех континентов и технологиями передачи информации.
Одним из уровней защиты может стать обычное активное оборудование сети — маршрутизаторы, в функции которых входит регулирование обмена данными между пользователями на предприятии и определение прав доступа в Интернет групп сотрудников или конкретного человека. Мощность этого устройства должна соответствовать количеству активных пользователей, но с запасом для выполнения функций обеспечения безопасности — они требуют дополнительных ресурсов маршрутизатора на шифрование, по сравнению с простой передачей пакетов.
В арсенале любителей поживиться за чужой счет появляются все новые средства. Сейчас возможно копировать уже не отдельные пакеты, а поток данных в режиме реального времени. Поэтому в некоторых ситуациях стандартные устройства бессильны, на что производители отвечают выпуском более мощных (и дорогих) моделей.
Что вам дороже
С точки зрения безопасности дешевые устройства хуже — они не решают проблемы безопасности на должном уровне.
Фирма, желающая получить хоть какую-то защиту, должна заплатить $ 1000-1200 за средний маршрутизатор и дешевых устройств избегать. Чтобы нельзя было проанализировать поток данных, должно быть шифрование. Однако даже устройства высокого класса по умолчанию не позволяют это делать — необходимо специальное ПО. За функцию шифрования надо быть готовым отдать от $ 1000.
Продукция Cisco Systems, которую компания «Нова-ком» поставляет с 1999 г., хороша тем, что выпускаемые ей программные продукты могут решать несколько задач, в том числе и шифрование. Дорогое оборудование — это прежде всего дополнительный уровень сервиса. Если же не хватает самых современных маршрутизаторов, специалисты рекомендуют межсетевые экраны, или брандмауры. Они специально созданы с целью анализа трафика и предотвращения внешних воздействий.
Аппаратная версия межсетевого экрана, например Cisco PIX, надежнее, мощнее, быстрее по сравнению с программной и лучше справляется с задачами, если речь идет о больших объемах трафика. Такое решение подходит для крупного предприятия, где число активных пользователей превышает сотню.
Хороший межсетевой экран распознает и отражает все известные способы атаки — будь то попытка остановить сервер, загрузив его данными сверх меры, или сканирование внутренней сети по внешним выходам с целью уловить пароль и проникнуть в корпоративную сеть. Cisco PIX выгодно отличается тем, что функциональность велика даже у моделей с низкой пропускной способностью.
Очень важно грамотно настроить брандмауэр — если он некорректно установлен или неудовлетворительно обслуживается, в системе наверняка останутся лазейки. Лучше эту операцию доверить сертифицированным специалистам фирмы-поставщика.
Когда появляются новые способы взлома, владельцы дорогого оборудования оказываются в более выгодном положении, чем те, кто экономил. На маршрутизаторах высокого класса межсетевой экран можно дополнять новыми функциями, дешевое же оборудование навсегда обеспечивает только начально установленные функции.
Нельзя однозначно сказать, что чем больше функций в оборудовании заложено, чем дороже оно, тем идеальнее подойдет всем и каждому. Устройства с небольшой мощностью тоже востребованы, когда бизнес конкретен — например, подойдут для филиала компании, где известно на несколько лет вперед количество рабочих мест и примерный трафик.
По радиоволнам
В некоторых случаях радиодоступ просто незаменим, например, на горнодобывающих или металлургических предприятиях, протяженных на километры. Там построение кабельной системы может оказаться экономически нецелесообразным.
С точки зрения безопасности трансляция данных с помощью радиоволн защищена больше, чем передача по проводам. Теоретически такой трафик перехватить можно, однако реализовать на практике это сложно. Некоторые модели оборудования для радиопередачи включают функцию предварительного шифрования данных, к примеру, Cisco AiroNet. Можно просто передавать предварительно зашифрованные данные с помощью радиооборудования.
Не всегда рвется там, где тонко
Дмитрий Ершов, ведущий специалист отдела монтажа кабельных систем:
— Безопасность не только в том, что информацию украдут, — ее владельцы должны получать доступ к ней в любой момент, застраховать себя от потерь в случае сбоев в электропитании или из-за неполадок в кабельной Щ системе. В политику информационной Н безопасности надо обязательно вклю— ™ чать грамотный подход к созданию структурированных кабельных систем и качество монтажа.
Качественно спроектированная и смонтированная кабельная система предполагает наличие механической защиты каналов связи от любых, злонамеренных или случайных, внешних воздействий. Кабельные трассы должны проходить в местах с ограниченным доступом, а сами провода укладываются в специальные защитные конструктивы. Богатый выбор последних позволяет органично вписаться в самые изысканные современные интерьеры.
Другой аспект — безопасность от утечки информации наружу. Наша компания наряду с другими средствами предлагает такие каналы передачи данных, которые будут препятствовать сканированию информации. Речь идет об оптическом кабеле. Его использование полностью исключает возможность считывания информации посредством улавливания электромагнитного излучения. Кроме того, практически нельзя незаметно вклиниться в оптическую линию путем врезки.
Эти качества оптических кабелей действуют и в случае злонамеренного посягательства на работоспособность сети. Когда злоумышленник пожелает повредить работе, установив мощный источник электромагнитного излучения, то он ничего не добьется, если предприятие использует оптоволокно.
В последнее время оптоволоконная технология стремительно развивается в сторону удешевления компонентов и облегчения монтажа. Оптические сети покидают нишу решений только «для избранных» и становятся общедоступными.
Следует отметить и то, что медные кабели практически исчерпывает свои пропускные способности — это обусловлено исключительно физическими свойствами проводника. Оптический кабель изначально имеет огромный запас пропускной способности, поэтому мощность сети можно постоянно наращивать, меняя только активное оборудование. С точки зрения безопасности в некоторых случаях оптика — единственно возможное решение. Это характерно для сетей промышленных предприятий с высоким уровнем электромагнитной зашумленности.
Обобщая, скажем, что при комплексном подходе к обеспечению информационной безопасности нельзя не думать о необходимости грамотно смонтированной и качественной структурированной кабельной системы.
Серверовка высшей категории
Олег Попков, руководитель отдела серверного оборудования
— Самыми элементарными и одновременно надежными мерами предотвращения потери информации с оборудования, установленного в компании, остается запрет физического доступа к нему. Шкафы с оборудованием, сами серверы, выпускаемые сегодня производителями, снабжаются замками и датчиками, регистрирующими их вскрытие. Чтобы серверы не смогли унести, его приковывают цепочкой к недвижимому предмету.
К тому же классу относительно недорогих средств относятся датчики контроля доступа в комнату. Отмечая проникновение, одни сообщают администратору сети об этом либо в режиме реального времени, передавая сигнал тревоги на пейджер, либо электронной почтой, другие просто регистрируют происходящее.
Избежать множества проблем может выбор решения от специализированных компаний с мировым именем. Серверное оборудование известных фирм устойчивее к сбоям, как правило, в нем есть дополнительные блоки питания, установлено программное обеспечение, позволяющее восстанавливать информацию после аварийных остановок.
Крупные предприятия к своим информационным системам предъявляют высокие требования: кроме защиты оборудования и данных надо обеспечивать к ним постоянный и непрерывный доступ. В большинстве современных производственных процессов (банки, связь, торговля, производство) простои ИС не только приносят большие финансовые убытки, но и порой просто недопустимы. Поэтому фирменное серверное оборудование отличает высокая надежность, тщательная разработка и тестирование всех компонентов. В них предусмотрено резервирование и возможность «горячей» замены наиболее важных узлов. Так, например, если установлен резервный блок питания, то при поломке основного сервер не останавливается, а продолжает работать, переключаясь на резервный блок. Одновременно сигнал о неисправности получает системный администратор, который, не выключая сервер, отдает неисправный блок питания в ремонт.
Подальше положишь — поближе возьмешь
В целом, проблема хранения информации становится актуальнее — бизнес растет, требуется держать большие объемы данных несколько лет. Предусмотрительные и грамотные компании давно перешли на автоматическое архивирование. Пока не все готовы выделять дополнительные деньги, но постепенно понимают, что на этом лучше не экономить. Мы такие решения поставляем не первый год и в дальнейшем планируем развивать направление очень активно.
Интересным и перспективным выглядит удаленное архивирование, при котором компьютер с данными находится в одной комнате, а по оптическому каналу данные передаются на расстояние от 200-300 м и дальше в другое помещение.
Можно архивировать информацию, пересылая ее на другой компьютер с помощью особого протокола. Тогда файла на вашем компьютере не останется — с помощью Интернет-технологий он уйдет на хранение, и совсем не обязательно будет находиться близко: его можно отправить в любую часть света, куда дотянулась Всемирная сеть. Если, не дай Бог, похитят системный блок, то свежих данных на нем просто не найдут. Потом по требованию пользователя необходимая часть данных подгрузится из архива.
Питание без опасности
Если компания работает с информацией, то она обязана предпринять меры для обеспечения себя автономным электропитанием.
Принимать во внимание множество деталей, создавая сеть, надо в любом случае. Разность потенциалов в зданиях может повредить сетевому оборудованию. Сильный грозовой разряд в состоянии уничтожить ценные коммуникационные устройства. Нашему отделу уже приходилось делать такие вычислительные сети, где компьютерная система не зависит от напряжения в стандартной электрической сети. Всем известно, как скачет напряжение в российских силовых сетях, что не всегда хорошо переносит чувствительное оборудование. Источники бесперебойного питамния (ИБП) по идее должны не только фильтровать энергию и давать возможность пользователям завершить работу корректно, но и гарантировать доступ к информации при полной потере электричества. Решения компании «Новаком» на основе современных ИБП, в том числе и сверхмощных, и дизель-генераторов помогут создать полнофункциональную систему защиты коммерческой информации.
Дмитрий Яковлев:
— Не распыляя силы и ресурсы компании, мы уже несколько лет работаем с заказчиками только в области создания производительных и отказоустойчивых вычислительных сетей. Наш бизнес — высокоинтеллектуальные услуги сотрудников, прошедших специализированное обучение. Их знания — наш важнейший ресурс. Их готовность предугадывать развитие рынка, способности прогнозировать потребности заказчика и помогать при выборе решения позволили нам приобрести весомое конкурентное преимущество: мы накопили солидный опыт.
Наши партнеры, производители и поставщики компьютерного оборудования готовы помогать сверх нормы, поскольку знают нашу специализацию. Мы раньше узнаем о новинках, одними из первых опробуем новейшее оборудование и в результате предлагаем сбалансированные решения с большим сроком службы.
Новаком™
СЕТИ ПЕРЕДАЧИ ДАННЫХ
620028, г. Екатеринбург, ВИЗ-Бульвар, 13, 4 эт. Тел. (3432) 56-84-66 (5 линий). E-mail: info@novacom.ru Internet: www.novacom.ru