Если бы Шекспир сегодня писал свои строки «если у вас есть слезы, готовьтесь пролить их», то у него получилось бы, наверное: «если у вас есть информация, готовьтесь защищать ее». Каждый год во всем мире удваивается число покушений на информационные системы; прогресс повернулся к людям своей темной стороной. И ничего неожиданного в небывалой активности злоумышленников нет: в истории немало примеров, когда новейшие технологии использовались не по назначению. Человек сам создал себе проблемы безопасности и сам же пытается их решать. Однако, устранив человеческие недостатки, придется устранить и людей. Следует формализовать процесс построения защищенной конфигурации и поддержки ее в работоспособном состоянии, оценив адекватность механизмов безопасности существующим рискам и вычислив меру доверия конкретной системе обработки конфиденциальной информации. Имеются ли в текущей конфигурации ошибки, позволяющие потенциальным злоумышленникам обойти механизмы контроля доступа? Содержат ли программы уязвимости, которые могут использоваться для взлома? Ответы на эти и многие другие вопросы можно найти в данном выпуске журнала, посвященном проблемам обеспечения интегральной безопасности ИТ-ландшафта.
Обсуждая решения по интегральной безопасности, неизбежно затрагивающей продукты многих поставщиков, не имеет смысла говорить о чьем бы то ни было лидерстве: в консолидированном решении не должно быть места слабому звену, определяющему, в конечном итоге, надежность всей системы.
Количество обнаруживаемых уязвимых мест год от года растет; администраторам трудно добиваться того, чтобы системы оставались в актуальном состоянии. Постоянно обнаруживаются новые классы дефектов защиты, причем злоумышленникам часто удается выявить эти дефекты прежде, чем производители окажутся в состоянии их скорректировать. В одной из статей приводится краткий обзор тенденций, влияющих на возможность работать в Internet безопасным образом, инструментов организации атак и быстрого обнаружения вторжений, средств оценки проницаемости межсетевых экранов и выявления инфраструктурных атак, затрагивающих основные компоненты Сети.
Какие контрмеры позволят повысить уровень защищенности? На какие критерии оценки следует ориентироваться? Для того чтобы ответить на подобные вопросы, требуется формализованный подход, позволяющий получить точные количественные изменения различных показателей надежности. Одна из статей тематического блока посвящена вопросам анализа защищенности корпоративных систем.
Специалисты все чаще говорят, что для обеспечения надежной безопасности необходимо шире использовать услуги аутсорсинга. Действительно, далеко не каждое предприятие может сегодня полностью загрузить своих специалистов по безопасности и постоянно заботиться о поддержке их высокой квалификации.
Вопросам практического применения конкретных технологий обеспечения безопасности, в частности, электронной цифровой подписи, посвящена статья, разбирающая особенности проведения государственных закупок с использованием современных средств связи. От плановых, жестко регламентированных поставок пришло время переключаться на размещение заказов в среде, открывающей перед покупателем возможность объективного выбора из многочисленных предложений. Однако, возникающие здесь правовые отношения и стандарты защиты информации для государственных структур пока еще не согласованы.
По мере распространения Linux все большее значение приобретает обеспечение безопасности как самой операционной системы, так и хранимых с ее помощью данных. Эта ОС имеет сегодня все необходимые базовые инструменты защиты, однако иногда их не хватает для того, чтобы обезопасить конфиденциальные сведения. Одна из статей разбирает особенности применения защищенных дистрибутивов, позволяющих быстро установить и настроить комплексную систему защиты.
Увы, в системы по-прежнему проникают злоумышленники. Точно так же, как иногда люди забывают закрыть окно в доме, они забывают обновить, например, набор правил на межсетевом экране. Между тем, бизнес стал как никогда информационно уязвим, и в деле его защиты уже нельзя уповать на авось. Гораздо эффективнее выглядят фортификации, построенные на четко формализованной комплексной политике безопасности.
