Евгений Соколов: "Мне нужны хорошие средства управления системой"
Несколько лет назад в одной популярной в то время рекламе утверждалось: "Безопасности не бывает слишком много". Сейчас этот тезис большинство наверняка воспримет с усмешкой. В самом деле, что проку от систем безопасности, если они мешают продуктивно работать, а их стоимость превышает суммарную стоимость возможных убытков? К счастью, сейчас эта почти очевидная истина понятна и тем, кто занимается безопасностью информационных систем. И все-таки, как оптимальным образом обеспечить безопасность, скажем, банковских информационных систем, построенных на базе NetWare? Эта проблема стала главной темой прошедшего 8-9 июля семинара для банковских специалистов, организованного компанией Novell при участии Научно-технического центра Ассоциации российских банков.

Подробно рассказал об основных путях защиты информационных систем от несанкционированного доступа научный консультант ФАПСИ Андрей Щербаков. Его выступление напоминало инструкцию для администраторов локальных сетей, ответственных за обеспечение их безопасности. В частности, по мнению Щербакова, при построении систем безопасности следует помнить, что в большинстве случаев злоумышленниками оказываются сами сотрудники банка, пытающиеся получить доступ к конфиденциальным данным.

Во избежание злоупотреблений следует сильно ограничить круг людей, имеющих возможность менять правила доступа в систему. Оптимальный способ обеспечить такой уровень доступа - это создать для каждого пользователя собственную программную среду, которая была бы одинаковой независимо от того, на какой рабочей станции работает человек. Этого можно добиться путем определения клиентских профилей - хранимых на сервере наборов параметров, определяющих для данного пользователя конфигурацию ОС и приложений.

Чтобы предотвратить несанкционированный перехват трафика внутри локальной сети, следует использовать алгоритмы шифрования. Эти же технологии применяются для предотвращения доступа к файлам данных с терминалов, не оборудованных средствами поддержки индивидуальной программной среды пользователя. Чтобы усложнить жизнь злоумышленникам, лучше отделить администрирование служб шифрования от администрирования средствами защиты от несанкционированного доступа.

Для создания максимально удобной для пользователей и в то же время безопасной сетевой среды Щербаков рекомендует применять "мягкое" администрирование: сначала понаблюдать, какие сетевые ресурсы и файлы реально требуются, затем систематизировать наблюдения и на их основе определить правила разграничения доступа. В любом случае для успешной работы с системой информационной безопасности требуется инструментарий для централизованного управления как программными, так и аппаратными средствами защиты.

Аутентификация пользователей может производиться различными способами - обычно это делается с помощью пароля или магнитной карточки. О довольно необычном способе аутентификации - биометрическом - поведал управляющий директор компании Mission Data Systems Джон Дэллоуэй. Эта компания уже создала средства интеграции дактилоскопических датчиков в Novell NDS и сейчас работает над системами, позволяющими хранить в NDS данные об особенностях радужной оболочки глаза. Как правило, дактилоскопические системы управляют доступом не только к компьютерам, но и к дверям различных помещений. Один ПК способен обслуживать четыре двери, охраняемые обычными биометрическими системами. Более совершенные датчики имеют память, которая управляется с помощью SNMP-агентов и способна хранить до тысячи отпечатков. Помимо разграничения доступа в помещения дактилоскопические системы уже используются в больницах для идентификации пациентов при выдаче им лекарств, а также в государственных службах занятости. Рассказ об этих системах вызвал большой интерес у слушателей. Тем сильнее было их разочарование, когда они узнали о том, что компания еще не имеет в России ни представительства, ни партнеров.

Возникает вопрос: а не является ли надуманной проблема обеспечения информационной безопасности? Оказывается, совсем нет. Михаил Левашов, менеджер подразделения по обеспечению безопасности Сбербанка РФ, привел данные отечественных экспертов, согласно которым в прошлом году официально зарегистрировано 20 хищений финансовых средств путем проникновения в информационные системы банков (реальное число наверняка на порядок выше, так как многие банки стараются не афишировать подобные инциденты). Максимальный ущерб от одного хищения составил 64 млрд. неденоминированных рублей в виде акций РАО "Газпром". Что примечательно, в большинстве случаев не удалось определить ни имен преступников, ни даже узнать, с какого терминала или рабочей станции они действовали. Впрочем, любая система защиты бесполезна, если сотрудники предприятия не соблюдают элементарных мер безопасности: используют очевидные пароли, а неочевидные записывают на бумажки и приклеивают записочки с паролями себе на дисплей.

У Евгения Соколова, ведущего специалиста отдела защиты информации Национального резервного банка, свой взгляд на проблему. По его мнению, главное в обеспечении безопасности информационной системы - это защита не информации ("Информация - это собственность. Защищать информацию - это все равно, что защищать чемодан. А чего его защищать? Стоит себе чемодан и стоит", - поясняет он), а защита системы управления собственностью - в данном случае локальной сети, обеспечивающей доступ к информации. В его банке применяется множество операционных систем, но основной стала все-таки NetWare. В этой ОС неплохие средства управления, однако они недостаточны для проведения детального структурного анализа и мониторинга информационной системы.

Тем не менее компания Novell стремится укрепить доверие клиентов к своим системам. Готовится сертификация InternetWare в Гостехкомиссии РФ. Сейчас согласовывается возможность передачи исходных текстов отдельных исполняемых модулей на исследование, которое проводит одна из лабораторий Гостехкомиссии - компания "Безопасные информационные технологии" ("Бинтех"). Примечательно, что та же лаборатория проводит испытания и конкурирующей системы - Microsoft Windows NT 3.51. По словам представителя "Бинтех" Павла Судравского, компания заключила контракт с центральным офисом Microsoft. Поскольку документы, содержащие требования к ОС, еще не выработаны, InternetWare пройдет испытания на соответствие ТУ. Основное, на что обратят внимание отечественные специалисты, - это наличие в системе преднамеренно заложенных лазеек, а также ошибок программирования.

Поделитесь материалом с коллегами и друзьями