На очередном семинаре 29 мая представители компании обсуждали эту животрепещущую тему.
В сущности информационная безопасность в Internet имеет три основных аспекта: законодательный, организационный и технический. Первый из них вызывает трудности не только в нашей стране. Организационные вопросы обеспечения информационной безопасности решать уже более-менее научились (большинство руководителей сообразили, что серверы нужно прятать в отдельные комнаты, а вход в систему защищать паролем).
Семинар же был посвящен последнему аспекту безопасности - техническому. Начался он с представления технических инструментов обеспечения безопасности сети. По утверждению Александра Галицкого из "Элвис+", существует три основных направления защиты IP-сетей. Первое - разработка стандартов, которые позволят организовать внутреннюю защиту Сети в рамках IP-протокола. Второе направление - межсетевые экраны, позволяющие администраторам регулировать информационные потоки через границы сетей.
И третье, самое молодое направление - организация виртуальных частных сетей (VPN - Virtual Private Network). Следует отметить, что комплексная защита предприятия, видимо, должна использовать элементы всех трех перечисленных направлений.
О реализации первого направления рассказал Александр Орлов из компании "Сигнал-КОМ". Он представил российский вариант реализации Web-протокола SSL, используемого для защиты передачи данных по Сети. Естественно, что в российской редакции SSL - "Интер-Pro" - отсутствует ограничение по длине ключа, но работает этот продукт только под Windows NT и Windows 95. О межсетевых же экранах рассказали два докладчика: Леонид Новомлинский из TopS описал возможности экрана FireWall-1, а Михаил Ганев из АО "Релком-Альфа" рассказал о сертифицированном ГТК продукте "Пандора".
На обсуждение законодательного аспекта были приглашены представители пяти ведомств - комиссии Гора-Черномырдина, аппарата Совета Безопасности, ФАПСИ, Гостехкомиссии и МРАЦ. Правда, пришли только трое. Марат Гуриев из комиссии Гора-Черномырдина призвал к борьбе против "энергии взлома" с помощью кодексов чести (например для студентов), а представитель СБ рассказал о планах перевода документооборота госструктур в электронный вид. Ему же пришлось признать, что "правовая база (в России) существует, но еще недостаточная".
После официальной части свое мнение мог высказать любой присутствующий. Одно из самых интересных предложений, прозвучавших во время коротких импровизированных выступлений, - организовать русский аналог CERT, который проводил бы анализ защищенности программных продуктов и давал рекомендации по их защите. Естественно, сразу же возникло предложение использовать РОЦИТ в качестве базы для такой организации.