Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите демоверсию и консультацию

+7(495) 221-24-31
или

Узнайте стоимость


Вернуться к списку

Информационная безопасность: чем больше сетей и сервисов - тем больше нужна их защита

ПРАЙМ-ТАСС, 3 октября 2005 г. Автор статьи - менеджер по развитию бизнеса Cisco Systems в России - рассматривает перспективы и тенденции развития систем информационной безопасности.

На будущее защиты информации можно смотреть с разных точек зрения, и с каждой из них мы увидим те или иные пути развития или тенденции, которые будут главенствовать в информационной безопасности в ближайшие годы. Разумеется, в одной статье трудно рассмотреть все возможные направления, но я постараюсь охватить самое главное из того, что нас ждет в ближайшие несколько лет.

А для начала давайте уточним возможные плоскости, в которых можно рассматривать информационную безопасность. В первую очередь, это, конечно же, информационные технологии, наиболее тесно связанные с защитой. Другая, не менее тесная, взаимосвязь существует с угрозами, для отражения которых и разрабатываются те или иные оборонительные средства. Не менее важны новые модели бизнеса и законодательные аспекты, также серьезно влияющие на безопасность. Попробуем более внимательно посмотреть на защиту с этих точек зрения.

1. Мобильный офис.
Концепция мобильного офиса все чаще заявляет о себе. Это не только модно, но и на редкость удобно, а потому многие компании начинают всерьез задумываться о внедрении ее у себя. И действительно, возможность быть на связи везде, где бы вы ни находились, выглядит очень привлекательно. По своему опыту могу сказать, что это действительно очень и очень удобно. Я всегда могу подключиться к корпоративной сети из дома, аэропорта, Интернет-кафе, гостиницы и т.п. Более того, со мной "путешествует" и мой московский телефонный номер /при помощи технологий IP-телефонии/. Так что определить, где я нахожусь – в Москве, Лондоне, Сан-Франциско или Твери практически невозможно. Но такая мобильность автоматически влечет за собой и возрастание роли безопасности, в первую очередь, технологий защиты передаваемых данных /с помощью механизма построения виртуальных частных сетей, VPN/. При этом нельзя забывать и о других механизмах защиты, которые также становятся очень важными в эпоху мобильных офисов – аутентификации подключающихся к сети пользователей и устройств, защите мобильных рабочих мест от различных угроз, в первую очередь, от вирусов, червей, атак "отказ в обслуживании" /Denial of Service, DoS/ и т.д.

2. Открытые сети – размытый периметр
Однако еще до мобильного офиса стала активно пропагандироваться открытость сетей. Возможность подключения к корпоративным ресурсам партнеров, поставщиков и клиентов существенно ускоряет бизнес-процессы в компании. Повышается эффективность логистических цепочек, уменьшается время на заказ, сборку, доставку заказанных клиентами решений, что, в свою очередь, позволяет увеличить объемы продаж и повысить рейтинг удовлетворенности клиента. Но за открытостью следует серьезная прореха в безопасности – ходи "кто хочешь" и "куда хочешь". Поэтому создание "открытого" периметра сети требует очень серьезной проработки вопросов разграничения доступа к ресурсам. При этом мы должны не только отсечь чужих от своих, но и среди своих проводить селекцию – кто и куда может иметь доступ. Поэтому как никогда актуальны будут технологии аутентификации и авторизации /так называемые технологии 2A или 3A, если учесть регистрацию событий - accounting/. Причем для аутентификации уже не будут использоваться морально устаревшие пароли – будущее за аппаратными ключами /например, eToken, SecureID/ и биометрической аутентификацией /радужная оболочка глаза, геометрия лица и ушных раковин, голос и т.п./. Активно будут внедряться и инфраструктура открытых ключей /Public Key Infrastructure, PKI/, которая позволит осуществить единую систему аутентификации и авторизации для различных категорий пользователей.

3. Беспроводные сети.
Когда речь заходит о создании сетей, то, как правило, в голове сразу всплывают кабели, которые прокладываются по всему зданию или между ними и по которым и передается вся информация. Однако постепенно проводные технологии перестают доминировать на рынке – их сменяют беспроводные методы передачи данных. Не вдаваясь в их детали /Wi-Fi, WiMAX, 3G Mobile, Bluetooth и т.п./ перейдем сразу к их защищенности, уровень которой по умолчанию ниже, чем у их проводных собратьев. И это понятно. Информация передается "по воздуху" и ее может перехватить практически любой желающий. Поэтому при внедрении беспроводной сети на своем предприятии ни в коем случае нельзя забывать про криптографические механизмы, обеспечивающие конфиденциальность и целостность передаваемой информации.

4. Портативные и мобильные устройства.
Следующая тенденция, о которой надо сказать, – защита мобильных и портативных устройств – мобильных телефонов, лэптопов, iPod, КПК, "флешек", USB-драйвов и т.п. Эти удобные в работе и повседневной жизни предметы, без которых немыслимо себя представить современного человека /ну скажите, у кого сейчас нет мобильного телефона?/, являются серьезной угрозой безопасности любой компании. Ведь именно через них может утечь вся важная информация предприятия, а также в его сеть может опасть какая-нибудь компьютерная "зараза" - вирус, червь, троянец и др. Столь серьезная опасность породила новое направление в информационной безопасности, которое, правда, начнет активно развиваться не раньше чем через пару лет /а в России и того позже/. И хотя уже сейчас на рынке можно встретить решения различных компаний, предлагающих те или иные средства защиты мобильных и портативных устройств, до их повсеместного внедрения еще очень и очень далеко.

5. Усиление роли государства.
Согласно результатам опроса, проведенного в мае этого года компанией Gartner, основными двигателями развития информационной безопасности в компаниях являются:

  • Вопросы регулирования на уровне государства/отрасли – 34 проц опрошенных
  • Рост числа угроз – 27 проц опрошенных
  • Страх перед злоумышленниками – 17 проц опрошенных.

Первая строчка занята госрегулированием неслучайно – в последнее время и в мире, и в России принято и планируется принять большое количество различных государственных и отраслевых стандартов в области информационной безопасности. А параллельно с этим, актуализируются и кодексы уголовных и административных правонарушений, наказывающих за несоблюдение новых законодательных требований. Поэтому очень многие компании начинают внедрять у себя системы защиты в соответствие с требованиями ISO 17799, Базель II, SOX, стандарта Банка России, СТР-К и т.п.

6. Возрастание угроз.
Второй причиной роста интереса к безопасности, согласно Gartner, является рост числа угроз. И это действительно очень серьезно. Новые вирусы, черви, троянцы, уязвимости появляются каждый день; растет число успешных взломов различных компаний и организаций /от никому неизвестных фирмочек по продаже туристических путевок до военных лабораторий, занимающихся проблематикой атомного оружия/, появляются новые виды атак /например, шпионское ПО, фишинг и т.д./. А, следовательно, нельзя довольствоваться тем, что было куплено 2-3 года назад. Технологии безопасности развиваются вместе с угрозами и должны регулярно актуализироваться. Пятерка главных угроз согласно опросу Gartner это:

  • Вредоносные программы /черви, вирусы, троянцы/
  • Внешний взлом сети компании
  • Утечка информации и фишинг /phishing/
  • Шпионское ПО /spyware/
  • Отказ в обслуживании.

Если раньше до 95 проц всех проблем с безопасностью было связано с уже известными "дырами" в ПО, то в будущем ситуация изменится – число инцидентов из-за известных уязвимостей сократится примерно до 65 проц. А значит, сильно возрастет роль средств обнаружения и устранения уязвимостей /vulnerability management/. Не последнюю роль станут играть технологии контроля поведения и обнаружения аномалий, которые позволят идентифицировать многие новые и даже еще неизвестные атаки. К другим защитным технологиям, к которым проявляют интерес многие, можно отнести:

  • Межсетевые экраны /firewall/
  • Системы предотвращения вторжений /Intrusion Prevention System, IPS/
  • Антивирусы
  • Технологии локализации и карантина несоответствующих политике безопасности узлов /например, индустриальная инициатива Network Admission Control/
  • Управление патчами /patch management/.

7. Утечка информации и интеллектуальной собственности.
Очень интересна технология управления правами, неотчуждаемыми от защищаемой информации /Digital Rights Management/. Активно продвигаемая компанией Microsoft, эта технология стала известна широкому кругу потребителей совсем недавно, но потребность в ней назрела давным-давно. Внутри сети или на собственном компьютере мы еще можем разграничить права доступа к какому-либо файлу или документу. Но что делать, когда документ покидает пределы охраняемой территории? На него перестают распространяться правила внутренней системы защиты. Поэтому вполне логично внедрить в документ и права на ознакомление с ним различными пользователями. В этом случае, куда бы документ "не ушел" /даже случайно/, с ним смогут ознакомиться только авторизованные пользователи. Активно востребованная звукозаписывающими компаниями, эта технология оказалась востребованной и на корпоративном рынке, где также велика опасность утечки интеллектуальной собственности.

8. Рост контент-услуг.
Рынок контент-услуг развивается семимильными шагами. На днях число пользователей мобильной связи в мире перевалило за 2 миллиарда! Это треть населения Земли, и каждый из них является потенциальным потребителем контент-услуг. И это уже не банальные SMSки, загрузка мелодий или игр – это практически любая привычная пользователю услуга, организуемая, например, через мобильный телефон – управление банковским счетом, выполнение роли "кошелька" и т.п. И тут тоже нельзя обойтись без безопасности, причем с двух сторон. Провайдер услуг не хочет терять деньги из-за краж контента, а пользователь не готов делиться тем, за что он заплатил из своего кармана. Налицо две потребности, которые не могут быть удовлетворены без внедрения технологий безопасности, к которым можно отнести шифрование, аутентификацию, управление неотчуждаемыми правами и т.п.

9. Интернет в каждый дом.
Компания "МТУ-Интел" наглядно продемонстрировала возможность реализации наполеоновских планов "Интерент в каждую квартиру", внедрив общедоступную услугу "Стрим" подключения к широкополосному каналу доступа. А значит, помимо возможностей, которые получили многие пользователи "Стрима", существенно возросло число потенциальных мишеней для злоумышленников. Но если компания еще способна потратиться на свою защиту /хотя ситуация на корпоративном рынке далека от идеальной/, то частное лицо остается беззащитным перед лицом компьютерной угрозы. Ведь частник не в состоянии ни купить средство защиты /даже 40 долл для многих дорого/, ни настроить его, т.к. не обладает нужной квалификацией. Выходом из сложившейся ситуации является выпуск ИТ-решений с уже предустановленными модулями защиты, а также предоставление услуг по аутсорсингу безопасности.

10. Переход на сервисную модель.
Появление концепций ASP /Application Service Provider/, SONA /Service-Oriented Network Architecture/ и аналогичных позволяет сделать вывод о том, что скоро настанет время, когда мы уже не будем покупать программное обеспечение и самостоятельно заниматься его эксплуатацией. Гораздо проще будет получить все необходимые сервисы в аренду. И здесь, как и в случае с открытыми сетями и мобильным офисом, станут востребованными методы аутентификации и разграничения доступа к сервисам, а также решения по защите сервисных центров от различных несанкционированных воздействий /вирусов, червей, атак "отказ в обслуживании" и т.п./.

11. Защита приложений.
Однако сервисной модели стоит ждать еще не скоро, гораздо быстрее /и это видно уже сейчас/ настанет день, когда все внимание будет переключено с инфраструктуры на более высокий уровень – на приложения. Web, XML, SOAP, биллинговые системы, базы данных - все это примеры приложений, которые востребованы сейчас на рынке, и безопасность которых также является очень важной. Поэтому постепенно безопасность также будет премещаться с уровня сети /межсетевые экраны, антивирусы, VPN и др/ на уровень приложений – механизмы защиты, встроенные в СУБД, биллинг, Web, защита IP-телефонии, систем хранения данных /Storage/ и т.д.

12. Риски.
Руководители компаний не хотят бестолково тратить деньги на какую-то безопасность, которую-то и потрогать нельзя. В этом, кстати, один из парадоксов информационной безопасности. Чем лучше она работает, тем менее заметна она рядовым пользователям, не говоря уже о руководстве. А про то, что мы не видим и не можем "пощупать", мы скоро забываем или устанавливаем для него самый низкий приоритет. Именно поэтому многие руководители не готовы просто так взять и потратить деньги на построение эшелонированной системы обороны своих информационных рисков. Как и любой руководитель высокого звена, они должны взвесить все "за" и "против", оценить инвестиции и их возврат, риски и т.п. Именно поэтому сейчас стала очень "модной" технология управления рисками /Risk Management/, и в ближайшие годы изменения ситуации не прогнозируется. Правда, надо признать, что пока мало кто четко понимает, как считать риски в области информационной безопасности, какие модели /качественные или количественные/ применять и т.п. Но есть надежда, что со временем "умные головы" найдут не только адекватные, но и понятные методы измерения информационных рисков для любой компании, невзирая на ее размер, принадлежность к государству или к той или иной отрасли. Тем более, что на Западе, согласно уже не раз упомянутому опросу Gartner, уже 27 проц компаний доказывают необходимость инвестиций в безопасность, используя концепцию управления рисками /еще 25 проц применяют формулы расчета возврата инвестиций/.

13. Заключение
Ситуация на рынке меняется. Информационная безопасность постепенно выходит из тени, и ее роль в современном мире все больше и больше возрастает. В частности, растут затраты на различные решения по защите информации. Такой рост за прошедший год зафиксирован в 62 проц компаний, еще в 26 проц они остались неизменными. Только в 7 проц предприятий инвестиции в безопасность информации снизились.
Распределение затрат на информационную безопасность таково:

  • 21 проц компаний тратят на нее менее 2 проц своего ИТ-бюджета
  • 20 проц - от 2 проц до 4 проц
  • 18 проц – от 4 проц до 7 проц
  • 5 проц - от 7 проц до 10 проц
  • 22 проц – от 10 проц до 50 проц
  • 8 проц - свыше 50 проц ИТ-бюджета.

В результате безопаснее, чем в прошлом году, себя чувствуют 71 проц компаний, у 23 проц - чувство защищенности не изменилось и только 6 проц чувствуют себя слабее, чем в прошлом году.

Помимо роста инвестиций, растет понимание важности защиты своего бизнеса и у руководителей компаний. В одном из опросов Gartner самой приоритетной технологией, которой будут заниматься абсолютное большинство ИТ-директоров компканий в текущем году, была названа именно информационная безопасность. А самой главной инициативой в этот же период было названо снижение ИТ-рисков. И если в 2002 г нарушения бизнеса по причине взломов и других инцидентов не входили в десятку основных проблем руководителей компаний, то в 2003 г эта проблема вышла на 2-е место, а в 2004-м г – на первое, потеснив управление бюджетом и операционными расходами, занимавшее верхнюю строчку рейтинга на протяжении последних лет. Аналогичная судьба уготована и проблеме защиты данных от утечки. В 2003 г она занимала 10-е место по степени внимания руководителей, а в прошлом переместилась уже на 3-е. И эта тенденция, пожалуй, самая главная. Именно она позволяет надеяться, что ситуация с информационной безопасностью постепенно изменится в лучшую сторону.


03.10.2005 14:01
Алексей Лукацкий, Cisco Systems, специально для ПРАЙМ-ТАСС БИТ


Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

26октября

Важнейшее IT-событие октября - конференция «Осенний документооборот»

Узнать больше

09октября

ЭОС - участник Всероссийского форума «ПРОФ ИТ»

Узнать больше

04октября

ЭОС и «Медиалюкс» на конференции «СЭД глазами пользователя – о чем молчат вендоры»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ