Сегодня локальные сети крупных и средних компаний в большинстве своем имеют достаточно сложную гетерогенную структуру — это связано с тем, что для обработки различных задач необходимо работать с несколькими платформами. К сожалению, анализ рынка средств безопасности показывает, что при огромном выборе продуктов этого класса не существует единых или интегрированных решений для гетерогенных локальных сетей, которые были бы способны обеспечить их полноценную защиту одновременно по всем или большинству направлений информационной безопасности. Более того, каждая группа средств безопасности выпускается определенными производителями, специализирующимися именно в данной области защиты информации. С одной стороны, подобная узкая специализация хороша, поскольку каждый продукт ориентирован на конкретную задачу, но, с другой стороны, для комплексной защиты приходится применять несколько различных продуктов, что требует не только дополнительных ресурсов, но и сильно усложняет построение единой системы обеспечения безопасности сети.
Исходные данные
Если под безопасностью сети понимать обеспечение целостности, доступности и конфиденциальности информации, а также защищенность поддерживающей сеть инфраструктуры, то можно выделить классический набор задач, обычно называемых базовым уровнем защиты, решение которых дает определенную уверенность в защищенности локальной сети компании.
Прежде всего это защита периметра сети, включающая межсетевое экранирование, систему обнаружения атак извне, систему аудита и мониторинга безопасности сети. Вторая задача — идентификация и аутентификация пользователей и ресурсов сети, в том числе и эффективное разграничение доступа к информации для предотвращения несанкционированного доступа. Следующая — антивирусная защита серверов и рабочих станций. Четвертая задача — обеспечение безопасности информации, передаваемой по незащищенным каналам связи, возможно с применением средств криптографической защиты. И, наконец, последняя задача — резервное копирование.
Для каждой задачи на рынке есть свои, весьма эффективные решения, но интегрированной системы, которая справилась хотя бы с перечисленными пятью, — нет. Следовательно, пользователю потребуется не менее пяти разных средств, чтобы защитить свою сеть. При этом проблема не только в том, что каждое из «слагаемых» требует собственных вычислительных ресурсов. Устанавливаемый продукт не должен мешать выполнению основных задач информационной системы компании, а также работе других средств безопасности.
Стремление учесть все эти требования приводит к тому, что топология сети становится все более и более сложной, количество серверов сети за счет элементов системы безопасности увеличивается, а общая управляемость такой ИС, как правило, снижается. Рассмотрим это на простейшем примере.
Даже в относительно небольшой корпоративной сети в стандартный набор серверного оборудования, как правило, входит не менее шести серверов: контроллер домена, DNS-сервер, почтовый сервер, файл-сервер, сервер приложений и сервер баз данных. Для обеспечения базового уровня защиты к этому перечню добавится еще несколько серверов, необходимых для системы безопасности сети: межсетевой экран, прокси-сервер, сервер системы обнаружения вторжений, сервер системы аудита (мониторинга) сети, сервер системы идентификации, аутентификации и разграничения доступа, сервер антивирусной защиты, криптографический сервер и сервер резервного копирования. Правда, некоторые серверы, например, обнаружения вторжений и мониторинга сети, можно совмещать, но далеко не все и не всегда. На практике выделенный сервер необходим там, где объем вычислений достаточно велик. А это, как правило, связано с проведением мониторинга, сбором данных о состоянии безопасности с серверов и рабочих станций сети, обработкой запросов.
И здесь пользователь сталкивается с весьма сложными проблемами. Предлагаемых на рынке средств защиты — великое множество, но выбрать нужные для данной конкретной сети не так уж просто. Ведь кроме выполнения функций защиты продукт должен быть «гладко» интегрирован не только в создаваемую систему защиты, но и в корпоративную сеть, в том числе и в плане отсутствия конфликтов средств безопасности с оборудованием и ПО, которое служит для выполнения основных бизнес-задач. Кроме того, необходимо организовать эффективное управление системой безопасности, желательно с единого рабочего места администратора безопасности, а также обеспечить сбор и консолидацию сведений о состоянии этой системы.
К сожалению, при сегодняшнем состоянии рынка и особенностях работы на нем основных игроков действительно качественное решение всех проблем (да, впрочем, и каждой из них) представляется весьма проблематичным. Так, попытки обеспечить взаимокорректную работу системы антивирусной защиты и системы предотвращения несанкционированного доступа наталкиваются на необходимость достаточно глубоких настроек соответствующих систем управления, а последствия неверных действий или невольных ошибок неочевидны и обнаруживаются далеко не сразу. Программы активного аудита воспринимаются другими защитными системами (тем же антивирусом с высокой степенью эвристики) как недопустимая сетевая активность и блокируются. Примеры можно продолжать, но дело не столько в наличии таких конфликтов, а в неготовности производителей соответствующих продуктов и системных интеграторов разрешать эти конфликты аппаратно-программных и/или программных средств.
Причины и следствия
Вы скажете, что это не так, что во многих крупных компаниях существуют очень надежные системы безопасности. Но, смею утверждать, это скорее исключение, подтверждающее правило.
Дело в том, что основные компании, работающие на рынке средств защиты, продают либо свои собственные решения, либо решения своих партнеров. Получить же в любой из них объективную информацию о продукте конкурентов и рекомендации о целесообразности приобретения того или иного продукта практически невозможно. Кроме того, абсолютное большинство этих компаний, строго говоря, не являются системными интеграторами. В то же время крупнейшие системные интеграторы российского рынка пока еще не считают задачу обеспечения информационной безопасности «основным видом деятельности», а потому не имеют соответствующего опыта, специалистов и наработок в области информационной безопасности. В лучшем случае они привлекают «на подряд» одну из фирм, специализирующихся на средствах безопасности.
Есть у этой проблемы и еще одна сторона. По данным исследования ИТ-рынка России, проведенного в 2001 году компанией Ernst&Young (http://www.ey.com), 68% российских компаний для реализации своих ИТ-систем пользуются услугами независимых подрядчиков, но лишь 25% привлекают таковых к решению вопросов защиты информации, а 19% — к проведению внутренних проверок. Однако в том же исследовании отмечается, что наиболее быстрорастущий сектор ИТ-рынка — именно тот, который связан с безопасностью информационных систем.
Эти же выводы подтверждают и аналитики компании IDC (http://www.idc.com). Согласно их данным, среднегодовой прирост объема услуг управления безопасностью составляет 28%. Объем американского рынка в этом секторе в 2000 году составил 720 млн долл., а в 2005 году должен увеличиться до 2,4 млрд долл. Но при этом 73% компаний, использующих услуги независимых подрядчиков для создания систем защиты, по той или иной причине недовольны ими, причем в качестве главных причин такого недовольства называется как недостаточное внимание к потребностям клиента, так и несоответствие ценовым ожиданиям.
Другая проблема систем безопасности — кадры. Эффективное использование средств защиты требует достаточно высокой квалификации персонала, обеспечивающего функционирование и защиту корпоративной сети. В то же время каждое из этих средств достаточно сложно и не всегда снабжено понятной и подробной документацией. Это создает дополнительные проблемы для компании-пользователя. Ведь численность подразделений информационной безопасности (по сути своей, не производственных, а обслуживающих) весьма ограниченна, и иметь в них сотрудников с узкой специализацией — непозволительная роскошь. И кадровая проблема характерна не только для систем безопасности корпоративных сетей. По данным уже упоминавшегося исследования Ernst&Young, главными препятствиями к расширению электронного бизнеса становятся опасения по поводу безопасности, а также недостаток ресурсов, квалификации и опыта. Только половина компаний России и стран СНГ имеет штатных сотрудников для обеспечения информационной безопасности и/или официальные правила и процедуры по использованию компьютерной техники.
Выход из лабиринта?
Сегодня общемировая тенденция такова, что компании не желают тратить значительные усилия на деятельность, которая напрямую не связана с их основным бизнесом. В полной мере это относится и к установке и обслуживанию систем защиты информации, тем более что современные системы безопасности весьма недешевы, сложны в настройке и эксплуатации, требуют многочисленного и высококвалифицированного обслуживающего персонала, который, кстати, надо еще найти и подготовить. А это, как показывает практика, тоже совсем не просто.
Поэтому на рынке систем безопасности уже предлагаются такие виды услуг, как консалтинг, аутсорсинг и интеграция средств безопасности. И если консультационные услуги можно отнести к традиционным, то две последние — явная новинка рынка.
Аутсорсинг систем безопасности по сути есть передача в ведение независимых внешних организаций всех вопросов администрирования, текущей эксплуатации и контроля систем безопасности. В самом деле, найдется, наверное, не так много компаний, которые своими силами устанавливают и обслуживают системы контроля управления доступом, видеонаблюдения или сигнализации. А вот системы информационной безопасности, которые обычно гораздо сложнее, практически все российские компании пытаются и построить, и эксплуатировать самостоятельно.
Хотелось бы заметить, что за рубежом аутсорсинг систем безопасности стал повседневной реальностью. Даже такая сверхсекретная организация, как Агентство национальной безопасности США, в 2001 году передала компании Computer Sciences решение вопросов совершенствования инфраструктуры агентства, создания систем сбора, перехвата и защиты компьютерных и телекоммуникационных данных.
По оценке специалистов консалтинговой компании «Коминфо Консалтинг» (http://www.telecominfo.ru), привлечение аутсорсера для решения вопросов информационной безопасности может дать следующие выгоды. Прежде всего это позволит компании сфокусировать свои силы на основном бизнесе, не вкладывая значительные средства и ресурсы в очень важные, но не основные службы. Кроме того, существует реальная возможность снизить себестоимость передаваемых функций за счет узкой специализации аутсорсера, поскольку он продает свои услуги по оптовой цене. При этом компания-клиент может получить доступ к дополнительным ресурсам, а также использовать опыт аутсорсера, его наработки и подходы в этой области. Благодаря аутсорсингу она получает возможность внедрять новейшие технологии, так как ориентация на конкретный вид деятельности позволяет аутсорсеру вкладывать средства именно в современные технологии. Не всякая фирма, не специализирующаяся в области средств защиты, может себе это позволить. И, наконец, наличие опыта у аутсорсера гарантирует надежность системы безопасности компании.
В то же время при передаче вопросов безопасности внешним исполнителям на первый план выдвигается вопрос конфиденциальности. По нашей оценке, наиболее эффективный способ решения данной проблемы — заключение специальных договоров о режиме конфиденциальности или включение соответствующих разделов в основной договор о предоставлении услуг. Указанный договор или раздел должны обязательно предусматривать ответственность сторон за обеспечение конфиденциальности взаимно передаваемой информации, невозможность передачи какой бы то ни было информации третьей стороне без согласия собственника, а также процедуру разрешения конфликтных ситуаций (обычно это арбитражный суд по месту нахождения заказчика).
Однако сегодня в России услуги аутсорсинга в области информационной безопасности если и используются, то незначительно. Пока наиболее востребованным видом этого сервиса остается аудит, или информационное обследование сети заказчика на предмет состояния системы безопасности и общего уровня защищенности.
Опыт выполнения подобных работ в компаниях холдинга «Связьинвест» (http://www.svyazinvest.ru) показывает, что вопрос этот совсем не простой и требует постоянной и довольно сложной работы сотрудников заказчика, причем как на подготовительном этапе, так и в ходе аудита.
Для исполнителей характерна общая тенденция — попытаться реализовать в ходе аудита типовое решение, причем как при определении методики проведения аудита и используемых средств, так и при разработке необходимой организационно-распорядительной документации. Хотя очевидно, что телекоммуникационная сеть оператора связи и, скажем, банка совершенно различны, а значит, и методики, и способы проведения аудита тоже должны отличаться. На мой взгляд, подобные проблемы часто становятся причиной того, что заказчик оказывается неудовлетворен работой подрядчика. Кстати, этот факт подтверждает и упоминавшееся выше исследование Ernst&Young.
К сожалению, чтобы получить достоверный результат, российскому заказчику необходимо самому активно и тщательно работать над техническим заданием на проведение обследования сети, определять направления и конкретные объекты исследования, их объем и продолжительность. Но в этих вопросах даже самых «продвинутых» специалистов ИТ-отделов корпоративных сетей нельзя считать достаточно компетентными, и именно поэтому для аудита привлекается сторонняя организация.
Качественный анализ уровня защищенности сети требует от специалистов компании-аудитора высочайшей квалификации, знания тонкостей и особенностей разноплатформенных ИТ-решений (как общего назначения, так и сугубо специфических, связанных с безопасностью), желания и умения вникнуть именно в специфические проблемы заказчика.
Мне кажется, что российские пользователи вполне готовы к получению всех этих новинок сервисов безопасности, такого рода услуги востребованы, почва для их применения подготовлена. Вопрос в другом: смогут ли компании, причисляющие себя к рынку средств защиты и/или сетевой интеграции, предложить качественные услуги и когда?
Михаил Емельянников — начальник отдела Департамента безопасности ОАО "Связьинвест". |