Защита корпоративных сетей никогда не была столь сложной, как ныне, поскольку предприятия зачастую обладают пестрой смесью самых разных устройств, операционных систем и стандартов. Это далеко не случайно и не всегда нежелательно, ведь в соответствии с девизом «Никогда не трогай работающую систему» многие администраторы ИТ предпочитают оставлять без изменений те приложения, которые безупречно справляются со своими повседневными задачами.
Дополнительным источником проблем становятся мобильные устройства: разъездные сотрудники вынуждены полагаться на ноутбуки, при помощи которых они в любой момент могут получить доступ к центральной базе данных. А высшее руководство пользуется устройствами Blackberry, смартфонами и другим оборудованием, чтобы в пути не быть отрезанным от информационного потока.
ТРЕБОВАНИЕ СКВОЗНЫХ ПРАВИЛ
Даже в самой неоднородной среде директивы безопасности должны быть сквозными. Они обязаны обеспечивать надежную защиту вне зависимости от платформы и при этом отвечать как организационным, так и правовым требованиям. Мобильные устройства, расположенные «перед» брандмауэром, нуждаются в столь же надежной защите, как и стационарные персональные компьютеры «за» брандмауэром.
Лишь немногим производителям программ для обеспечения безопасности действительно удается справиться с поставленной задачей, так как во многих концепциях не учитываются важные факторы. Поэтому приходится тщательно проверять, в полной ли мере их предложения отвечают потребностям предприятия.
ВСЕ СИСТЕМЫ ПОД ОДНОЙ КРЫШЕЙ
Едва ли какое-либо предприятие начинает строить свою систему безопасности с нуля, и это, без сомнения, главная проблема. В большинстве случаев у компании уже имеются неоднородные системы, от которых нельзя или невозможно отказаться. Поэтому новые решения с расширенными функциями и повышенной безопасностью должны интегрироваться в имеющуюся инфраструктуру по возможности легко и без излишних затрат. К примеру, необходимо, чтобы прозрачное шифрование носителей данных без конфликтов взаимодействовало с современными вирусными сканерами и инструментами для дефрагментации, а стандартные функции остались бы без изменений, в частности приложения обеспечения безопасности с однократной регистрацией пароля — Novell Logon или IBM User Verification Manager.
Обеспечивающая полноценную защиту система должна, кроме всего прочего, стабильно и надежно работать на нескольких платформах (см. Рисунок 1). При этом следует учитывать не только различные варианты операционной системы Windows, но и органайзеры всех типов, а также мобильные носители информации: накопители USB или карты памяти. Только при условии их интеграции в концепцию безопасности можно предотвратить незаметный вынос данных за пределы предприятия. Какие конечные устройства разрешается подключать к определенному компьютеру и какие данные сохранять на них, должны определять интеллектуальные правила.
Рисунок 1. Хорошо структурированная организация безопасности, отображаемая используемыми инструментами (в данном случае — Safeguard), помогает избежать ошибок при формировании директив безопасности.
В отличие от механически блокируемых портов USB или раз и навсегда сформулированных директив безопасности интеллектуальные правила позволяют добиться беспрепятственной и мотивированной работы.
Сравнительно простая возможность повышения безопасности заключается в последовательном использовании специальных микросхем, например микросхемы TPM. Эта разработка Trusted Computer Group хотя и установлена на многих клиентах, но используется редко. Между тем она пригодна для защиты соединения между клиентом и сервером администрирования или для создания надежных ключей, формируя, таким образом, базу для шифруемого соединения. В зрелых решениях микросхема ТРМ применяется, в частности для привязки к ней зашифрованных жестких дисков. Тем самым предотвращается доступ к диску, если он подключен к чужому компьютеру — даже когда неправомочное лицо знает пароль.
Для того чтобы в подобных случаях или при повреждении аппаратного обеспечения пользователь не оставался надолго заблокирован, в функциональность решения безопасности должны входить соответствующие функции восстановления.
ВЫБОР МЕТОДА ШИФРОВАНИЯ
Шифрование относится к базовым технологиям обеспечения безопасности, во всяком случае в перспективе оно должно стать таковым. Часто недооцениваемым пробелом в системе безопасности является выбор подходящего метода шифрования. Максимальная безопасность гарантируется лишь при использовании открытых стандартизованных алгоритмов. Во всем мире за первенст-во по надежности защиты и эффективности реализации конкурируют между собой исключительно открытые алгоритмы, причем их надежность проверяется криптографами. Современным стандартом является алгоритм AES с длиной ключа в 128 или 256 бит. Однако и такие методы, как IDEA-128 и 3DES, считаются довольно надежными и вполне подходят для применения на предприятиях, в том числе с точки зрения их производительности.
РАЗДЕЛЬНОЕ ХРАНЕНИЕ КЛЮЧЕЙ
Необходимо, чтобы ключи не просто хранились вместе с данными, а динамически вычислялись при ав-торизации, к примеру по паролю. Дополнительная защита достигается посредством токена, им может быть накопитель USB, который подключается к устройству во время регистрации. Тем самым сотрудник защищается от кражи пароля.
Однако и самая лучшая защита не поможет, если «обойти» токен не составляет труда. В простых системах для манипулирования жестким диском вполне достаточно загрузиться с внешнего источника данных — с компакт-диска или накопителя USB. Только решения, где аутентификация предусматривается еще до загрузки, обеспечивают предоставление криптографического ключа для шифрования оставшейся части жесткого диска лишь после введения пароля.
НОУТБУК КАК ЦЕЛЬ ДЛЯ ПОХИТИТЕЛЕЙ ДАННЫХ
От атак и хищения данных наименее защищены ноутбуки. Попав в руки постороннего, они оказываются чрезвычайно уязвимы для вторжения, например посредством загрузки с внешнего носителя — компакт-диска или накопителя USB — легко деактивировать операционную систему вместе с контролем доступа. Кроме того, эти устройства — отличный плацдарм для проникновения вредоносных программ в корпоративную инфраструктуру, в результате чего страдает стабильность всей системы.
Самым слабым местом любого ноутбука является «спящий режим», когда его экран закрыт, а Windows запускает процесс Suspend to Disk. Если создаваемый при этом файл не шифруется, хакеру проще простого добраться до недавно вводившихся параметров ключей или даже до паролей.
Многие компании разрешают использование ноутбуков в личных целях и в этом случае требуют организовать два раздела: один — для частных, второй — для деловых задач. Интегрированное решение безопасности способно работать и с таким сценарием применения, предоставляя соответствующий менеджер загрузки.
КОМФОРТ ВМЕСТО ОПЕКИ
Важнейший компонент интегрированной системы обеспечения безопасности — человеческий фактор: программное обеспечение безопасности должно быть удобным для всех, и тогда оно будет безоговорочно принято. Если решение трудно в повседневном обращении, у сотрудников возникает ощущение чрезмерной опеки, и они стремятся уклониться от его использования. Поэтому конфигурирование программных продуктов и работа с ними должны быть как можно более простыми. Так, настройку механизмов обеспечения безопасности следует осуществлять незаметно для пользователя, чтобы его не раздражали постоянно появляющиеся диалоговые окна с желаемыми настройками. То же замечание относится и к процессам шифрования и дешифрования данных, в частности производительность труда не должна снижаться.
Еще одним важным моментом являются забытые пароли. Даже когда пользователь находится в командировке и служба поддержки доступна ему лишь по телефону, получение нового пароля не должно быть проблемой. В таком случае развитые системы работают с числовыми кодами, которые генерируются клиентом — с их помощью служба поддержки составляет новый пароль. Подобный метод конечно же функционирует только вместе с токенами. При желании этот процесс можно автоматизировать, интегрировав в систему возможность биометрического распознавания голоса.
ОБНОВЛЯЕМ БЕЗ ПРОБЕЛОВ
Нередко серьезные недочеты в безопасности появляются при инсталляции обновлений информационной системы или приложений — по иронии судьбы ответственность за это обычно несут обновления системы безопасности от разных производителей.
На многих предприятиях обновления производятся в режиме Wake on LAN, причем новые версии загружаются по сети ночью. В это время необходимо проследить за тем, чтобы ни одно постороннее лицо не имело доступа к системе, чтобы автоматическая загрузка через Wake on LAN не использовалась для отслеживания данных. Профессиональные промышленные шпионы предпочитают тайные визиты в корпоративные здания попыткам взлома брандмауэра.
ПОЛНЫЙ ПАКЕТ БЕЗМЯТЕЖНОСТИ
Идеальное решение, отвечающее всем упомянутым требованиям, состоит из множества модулей, которые выполняют очень сложные задачи шифрования, защиты доступа, создания резервных копий, установки обновлений и др. Модули должны конфигурироваться посредством единого инструмента управления. При помощи этой контрольной консоли администратор ИТ может сразу выявлять, где имеются слабые места, а какие системы устойчиво работают. Специалисты предпочитают решения, которые интегрируются в архитектуру операционной системы, к примеру, когда правила определяются и наследуются через Group Policy Objects, а кроме того, когда они используют информацию об инфраструктуре из Active Directory в Windows 2003 Server или сертификаты X.509 существующей инфраструктуры открытых ключей.
Ансгар Хайнен — эксперт по безопасности данных из компании Utimaco. Источник: osp.ru