Карманные устройства помогают сотрудникам выполнять их обязанности, однако при подключении к сети они могут оказаться менее полезными.

Где начинается работа и заканчивается личная жизнь? Такую черту часто невозможно провести, благодаря заполонившим все сотовым телефонам и портативным компьютерам. Работа следует за сотрудниками по пятам, она занимает все время, которое ей готовы уделить. C другой стороны, офисы становятся менее официозными. Хотя кризис торговли через Internet и разорение многих компаний может лишить «белых воротничков» автоматов с бесплатным кофе и гамбургерами, тем не менее привычка к серфингу в Сети и более свободный стиль деловой одежды стирают границу между работой и развлечением.

Впрочем, как такое слияние отражается на поддержке сетей — вопрос для отдельной дискуссии. Если сервер имеет обыкновение «падать» именно тогда, когда вы с баночкой пива удобно расположились дома перед телевизором, то, пожалуй, ряды противников неконтролируемого проникновения работы в частную жизнь скоро пополнятся... И если корпоративный канал Internet окажется забитым трафиком mp3, то вы, возможно, решите обратиться к производителям систем-шпионов, которые сулят в два счета остановить сотрудников, не делающих различий между корпоративной сетью и бесплатным Internet-кафе. Так или иначе, несомненно одно — чем более зыбкой становится граница между частным и профессиональным в сети, тем сложнее оказывается управлять такой сетью.

К традиционной сети, состоящей из кабелей, серверов и настольных компьютеров, предприятия добавляют портативные компьютеры, стыковочные станции и виртуальные частные сети (VPN). И это только то, что подключается в официальном порядке — пользователи сейчас входят в сеть со своих собственных устройств, так что сеть выходит за свои традиционные границы. Простейший пример — устройства PDA, которые нередко используются для синхронизации данных между офисными и домашними компьютерами. Некоторые сотрудники просто подключаются по телефонной линии к корпоративному серверу удаленного доступа из дома, другие приносят собственные портативные компьютеры на службу. Кроме того, число подключаемых к компьютерам «приспособлений», таких, как mp3-плейеры или цифровые фотоаппара-ты, растет с каждым днем, причем каждый из них может быть временно подключен к сети.

Сложившаяся ситуация уже доставляет немало хлопот администраторам сетей и открывает лазейки в корпоративной системе безопасности, а в будущем ситуация обещает еще более усложниться. Многочисленные производители сулят разработать сетевые интерфейсы буквально для всех электронных устройств: от холодильника до телевизора — и нет никаких сомнений, что их владельцы не преминут воспользоваться такой возможностью и подключатся — пусть даже опосредованно — к офисной сети. Наиболее очевидную опасность представляют беспроводные системы, поскольку некоторые из них автоматически производят соединения практически ко всему, что находится в радиусе их действия, хотя этими устройствами дело не ограничивается. Когда сотрудник имеет возможность загрузить конфиденциальные бизнес-планы на свой электронный органайзер и унести его домой, нет никакой гарантии, что из домашней сети эти данные не попадут на компьютеры тех, кому они вовсе не предназначались.

В компаниях, где служащие без ума от PDA, есть несколько вариантов борьбы с этой напастью. Некоторые ИТ-службы просто отказываются предоставлять техническую поддержку для подобных устройств. Это, конечно, упрощает жизнь сотрудникам служб поддержки, но отнюдь не служит убедительным аргументом в пользу того, чтобы отказаться от таких удобных помощников. Запрет на использование устройств, не получивших соответствующего одобрения, соблюдается далеко не всегда, а это часто приводит к конфликтам с другими подразделениями или с руководством. Дальновидные руководители стандартизуют одну или несколько платформ PDA для использования в своей организации, но такой шаг требует усилий и расходов как со стороны служб сетевого администрирования, так и со стороны пользователей. Каково бы ни было решение, вы должны точно знать, какими устройствами пользуются ваши подчиненные. Корпоративная сеть потребует адаптации и дополнительной работы для обеспечения безопасности, и это не должно негативно сказаться на производительности или свободе действий ваших подчиненных.

ОРГАНАЙЗЕРНАЯ ПРЕСТУПНОСТЬ

Подобно ICQ, PDA проникают в организации незаметно. Большая их часть была первоначально ориентирована на обыкновенных потребителей, но основная масса таких покупателей — сотрудники тех или иных предприятий. Удобство хранения в этих приспособлениях личной и корпоративной информации было просто очевидным, поэтому их стали приносить на работу и даже покупать специально для служебных целей. В то время, как решения о приобретении персональных компьютеров или программного обеспечения принимают, как правило, специалисты ИТ-служб, PDA нередко покупают сами служащие, и, разумеется, происходит это бессистемно.

Это совсем не означает, что они платят за устройства из своего кармана и являются их собственниками. Цена таких устройств не превышает суточных командировочных или представительского завтрака для нескольких клиентов, поэтому подписать заявку на них в бухгалтерии не составляет особого труда. Случается так, что целым отделам выдаются на руки устройства Palm, и никому не приходит в голову проконсультироваться со службой сетевого администрирования до тех пор, пока у сотрудников этих отделов не возникнут проблемы. Купленные таким образом устройства представляют гораздо б'ольшую неприятность для сетевых администраторов, чем собственные PDA сотрудников, поскольку нельзя отказать в сопровождении техники, в которую вложено несколько тысяч корпоративных долларов.

Новые устройства порождают новые проблемы с безопасностью, и далеко не все из них очевидны. Две трети читателей Network Magazine, принимавших участие в интерактивном опросе, выразили опасение, что устройства PDA создают лазейку для вирусов. И действительно, независимым лабораториям производителей систем защиты для PDA уже пришлось пострадать от вирусов и троянских коней, но незначительная мощность процессоров и средства связи большинства современных карманных компьютеров не позволят им стать разносчиками серьезных эпидемий.

«Какой бы шум не сопутствовал вирусам для PDA, эта проблема отнюдь не столь остра», — заявил Стефен Хоуп, консультант по сетевым вопросам британской компании Energis — поставщика электроэнергии. По его мнению, гораздо большего внимания требует техническая поддержка, кроме того, есть опасность использования пиратского программного обеспечения, следовательно, компания может стать объектом судебного разбирательства. Он прав — многие сотрудники не прочь скопировать для домашнего использования программное обеспечение, с которым они работают в офисе. Кстати, еще совсем недавно это считалось вполне законным и даже оговаривалось в некоторых лицензиях.

Теоретически пользователи получали лицензию на использование программного обеспечения дополнительно только на одной машине в конкретный момент времени. При этом допускалось хранение копии ПО дома, поскольку пока никому не удавалось находиться сразу в двух местах. Теперь многие производители изъяли этот пункт из своих лицензионных соглашений, так как рынок домашних систем стал более привлекательным. Кроме того, они перестали предоставлять CD с программным обеспечением с каждым продаваемым компьютером, хотя файлы с копиями дистрибутивов по-прежнему находятся на жестком диске. PDA — это идеальное средство переноса таких файлов и уступает в этом только прямому сетевому соединению.

И все же, наибольшую обеспокоенность вызывает открываемая PDA возможность выносить важные данные из офиса. Впрочем, такая возможность существовала всегда — полностью запретить копирование данных на посторонние устройства не удавалось никогда, как никогда нельзя было проследить, чтобы сотрудники не делали копий конфиденциальных документов. С точки зрения безопасности самым опасным устройством был и остается сотовый телефон, хотя связанный с ним риск вряд ли имеет отношение к высоким технологиям — разговоры, ведущиеся где угодно, проще подслушать. Разница в том, что объем информации, перехваченной из разговора или даже почерпнутый из встроенной записной книжки телефона, не идет ни в какое сравнение с тем, что можно извлечь из PDA, где может храниться целая база данных. Эти устройства открывают весьма широкий простор для промышленного шпионажа, которым могут заниматься как уволенные работники, так и заурядные воры. Даже если полностью доверять каждому сотруднику, PDA — заманчивая цель для самых обычных воров и мошенников. По сообщениям лондонской полиции, кражи мобильных телефонов составляют треть всех уличных краж города.

РАЗДЕЛЯЕМЫЙ ЭФИР

Впрочем, кража устройства ради хранящихся в нем данных — акт явно избыточный, так как сети, используемые карманными компьютерами, — просто находка для хакеров. Многие новые PDA уже выпускаются с теми или иными сетевыми интерфейсами, и производители обещают скоро встроить специализированные интерфейсы во все эти изделия. К такому шагу подталкивает шумиха, поднятая вокруг двух технологий — Bluetooth и мобильной связи третьего поколения (3G). Bluetooth объединяет электронные устройства различного типа в небольшие «пикосети», центром которых чаще всего являются PDA. Большинство мобильных терминалов третьего поколения — это скорее PDA, нежели сотовые телефоны, поскольку благодаря более высокой пропускной способности они больше подходят для услуг передачи данных.

Повсеместное внедрение Bluetooth или технологии третьего поколения можно ожидать не ранее будущего года, однако прецедент создан. Некоторые существующие беспроводные технологии уже зарекомендовали себя с отрицательной стороны. Хотя системы сотовой связи отличаются б'ольшим уровнем безопасности, чем Internet или обычная телефонная сеть, то в отношении беспроводных систем доступа с малым радиусом действия этого сказать нельзя. Инфракрасные приемопередатчики, при помощи которых осуществляется синхронизация PDA с персональными компьютерами, — это легкая мишень для хакерской атаки, а беспроводные локальные сети (WLAN) часто настолько открыты, что получить доступ к ним не сложнее, чем просто включить компьютер.

«Большинство пользователей оказываются настолько захвачены «легкостью» и удобством беспроводных локальных сетей, что начисто забывают о необходимости настройки систем безопасности», — напоминает Аллан Скотт, менеджер по устройствам беспроводного доступа серии Orinoco производства компании Agere Systems. (Эта компания выделилась из состава Lucent Technologies.) Впрочем, есть и другая причина — технология шифрования Wired Equivalent Privacy (WEP), включенная в стандарт IEEE 802.11b, исключительно трудна для реализации. Она предусматривает наличие единого физически распределенного ключа, совместно используемого всеми сотрудниками. Очевидно, что, если вы хотите действительно защитить свои данные от любого, кто приближается к вашему офису менее, чем на 100 м, необходимо использовать другую стратегию.

Можно, в частности, принять к сведению, что 802.11b не является безопасным и действовать соответственно: разместить все точки доступа за пределами защищенной сетевым экраном области, при этом заставить пользователей беспроводной сети получать доступ к защищенной части сети посредством виртуальных локальных сетей, Secure Sockets Layer (SSL) или другой высокоуровневой технологии защиты. Тем не менее некоторые производители со своей стороны предлагают расширения 802.11b для повышения уровня защиты. Так, например, WLAN Guard компании Ericsson действует как сервер ключей, предоставляя каждому пользователю независимое шифрованное соединение через PKI. В семействе Aironet 350 компании Cisco Systems применяется похожая схема, называемая Extensible Authentication Protocol (EAP), которую она предложила совместно с Microsoft в качестве стандарта. Рабочая группа IEEE по разработке стандарта 802.1х в настоящее время проводит соответствующий анализ. В случае положительного решения новый протокол будет применяться ко всем типам сетей Ethernet и, возможно, повысит и безопасность кабельных сетей.

Консультационное агентство @stake, специализирующееся на вопросах безопасности, выявило слабое место у инфракрасных соединений, свойственное и некоторым другим системам, — ассимметричность аутентификации. Сеть, как правило, предлагает пользователям «представиться», однако последние редко обращаются с тем же к сети. Подобное обращение чаще всего лишено смысла, если в сеть входит человек, поскольку большинство из нас знают, когда мы пытаемся получить доступ в сеть (хотя клиентам банков уже пришлось пострадать от фальшивых «банкоматов»).

Однако необходимость аутентификации сети приобретает очень большое значение, если в качестве пользователя выступает обычный Palm, запрограммированный на синхронизацию данных с ПК. Этот ПК может оказаться под контролем хакера, который таким образом не только раскроет пароль владельца Palm, но и скопирует все его данные. Так как многие пользуются одним и тем же паролем для входа во все системы, в которых они работают, злоумышленники получают возможность попасть и в более ответственные системы.

ПОМОГИТЕ «ПОМОЩНИКУ»

Как бы ни было важны гарантии безопасности для PDA, все же первоочередной задачей остается базовое администрирование. В настоящее время применяется множество подобных устройств (см. врезку «Большое разнообразие»), каждое со своими ни на что не похожими свойствами. Хотя прародителем большинства этих продуктов является PalmPilot, пополняются ряды систем, основанных на других платформах, таких, как Windows CE компании Microsoft, или интегрированных с сотовыми телефонами. Ни один системный администратор не в состоянии уследить за всеми этими новинками, но пользователи пребывают в твердом убеждении, что системные администраторы знают все.

К тому же число приложений для карманных компьютеров постоянно растет, так что из достаточно примитивного электронного дневника или телефонной книжки PDA превращаются в миниатюрные компьютеры. Настольные системы способны справиться с большинством задач, которые возникают при работе в офисе, но закон Мура остается по-прежнему справедлив, пусть даже в несколько измененной форме, вместо более быстрых процессоров и емких жестких дисков производители уменьшают размеры ПК и энергопотребление. По мнению большинства аналитиков, это может означать, что устройства PDA вытеснят и настольные системы, и даже портативные компьютеры. Службам системного администрирования придется относиться к ним с той же серьезностью, что и к «солидному» компьютерному оборудованию.

В компании Fujitsu Group этот подход уже принят на вооружение. Торговые агенты здесь получают в свое распоряжение устройства Palm, уже подключенные к основной сети. «Мы опираемся в своей работе на Palm, так как сотрудники сначала покупали их себе сами», — рассказал Марк Фостер, директор по развитию Internet-канала. Сейчас же карманные компьютеры покупаются централизованно и конфигурируются подчиненными Фостера.

Устройства Palm агентов по продажам подсоединены к сети компании Fujitsu при помощи пакета iMobile, предлагаемого Synchrologic. Это серверное приложение выполняется на специальном компьютере, сортирует входящие сообщения корпоративной системы электронной почты, производит отбор сообщений в соответствии с заранее заданными критериями и направляет их пользователям. Сходные системы предлагают и другие компании, в том числе AvantGo и производители PDA. Фостер остановил свой выбор на Synchrologic, поскольку система этой компании отличается исключительной простотой. «Я хотел избавить пользователей от необходимости инсталлировать систему, — пояснил он. — В нашем случае инсталляция производится один раз, после этого требуется только «горячая» синхронизация».

Для компаний, которые еще не вложили средства в Palm или устройства на базе Windows CE, хорошим выбором будут двунаправленные пейджеры Blackberry компании Rim. Взаимодействие с корпоративной почтой на базе Lotus Notes или Microsoft Exchange обеспечивает специальная серверная программа, перенаправляя зашифрованные сообщения пользователям беспроводных устройств. Первоначально они были разработаны для сети DataTac компании Motient (известной прежде как Ardis), сейчас же работают с сетью Mobitex, предлагаемой Cin-gular wireless. Обе сети покрывают территорию Соединенных Штатов, но Rim, кроме того, обнародовала свои планы по развертыванию службы Blackberry в Европе на базе сети General Packet Radio Service (GPRS). Эта сеть сейчас разворачивается мобильным подразделением корпорации British Telecom.

Впрочем, даже централизованное предоставление сотрудникам устройств PDA таит в себе опасности. Не говоря уже о дополнительной работе по их развертыванию, сотрудники могут хранить на них свои персональные данные, подвергая опасности конфиденциальность личной информации и создавая для компании угрозу стать объектом судебных разбирательств в случае ее нарушения. При этом нельзя просто запретить служащим хранить подобные данные на карманных компьютерах, которые постоянно находятся при них. Никому не захочется носить с собой два практически одинаковых устройства — один для работы, другой для личных надобностей.

Для решения этой проблемы производители сотовых телефонов предлагают модели с поддержкой двух «линий»: для каждой ведутся независимые счета, каждая имеет свой собственный телефонный номер и систему голосовой почты. Аналогичной стратегии следует придерживаться и в отношении PDA. В устройство должна быть встроена система, определяющая, какие файлы необходимо синхронизировать в зависимости от того, подключился пользователь к домашней сети или к корпоративной.

Пока этого не будет, администраторы корпоративной сети будут вынуждены обеспечивать поддержку не только бизнес-информации, но и личных данных сотрудников. «В идеале, информационные службы должны полностью оградить сети предприятий от персональных устройств служащих, — сказал Макр Нильсен, ведущий специалист по обработке сообщений и поддержке сетей маркетинговой компании Advo. — К сожалению, темпы современного бизнеса не позволяют сделать это». Устройства PDA так полезны, что мало найдется компаний, где захотели бы просто запретить ими пользоваться. А уж если нельзя полностью избежать опасности, лучшее, что можно сделать, — управлять этими устройствами.

Энди Дорнан — зам. главного редактора Network Magazine, а также автор книги: «The Essential Guide to Wireless Communications Application», опубликованной Prentice Hall. С ним можно связаться по электронной почте по адресу: adornan@cmp.com.


Большое разнообразие

Корпорация Microsoft является монополистом в области ОС для ПК, но рынок устройства PDA значительно более разнообразен. За контроль над карманными устройствами борются как минимум пять операционных систем, и лидер в этой борьбе пока не определился. Дело усугубляется тем, что многие производители предлагают дополнительные приложения и собственное аппаратное обеспечение, в результате два устройства на базе одной и той же операционной системы могут иметь весьма непохожие характеристики.

Для пользователей подобное разнообразие означает еще большую свободу выбора — можно найти устройства, отвечающие практически любым требованиям и вкусам. Но сетевые администраторы — дело другое. Тем, кто привык только к Windows, Mac и NetWare, теперь надо срочно обучаться работе с карманными компьютерами. Независимо от того, будет ли принято решение остановиться на одной платформе или поддерживать все, — знать о них будет не лишним.

Palm OS была наиболее популярной платформой PDA с 1997 г., когда компания U.S. Robotics представила первый PalmPilot. Статистические данные, предлагаемые различными маркетинговыми компаниями, свидетельствуют о том, что эта ОС установлена более чем на трети новых PDA, выпускаемых в США. Впрочем, другие страны в этом отношении отстают незначительно. Система встроена в восемь различных моделей Palm и лицензирована несколькими производителями, в том числе Qualcomm, которая интегрировала ее в сотовый телефон, называемый pdQ.

Главное преимущество Palm OS — простота синхронизации со многими настольными приложениями, планирование рабочего времени или управления контактами. Эта ОС была разработана для небольших планшетных органайзеров и вместо клавиатуры использует простую систему распознавания рукописных символов, называемую Grafitti. Устройства Palm могут извлекать информацию из Internet при помощи Wireless Application Protocol (WAP) или собственной системы, называемой Web Clipping.

Windows CE предоставляет пользовательский интерфейс, аналогичный Windows 95 и системам более ранних версий, в результате чего она воспринимается как нечто надоевшее, либо хорошо знакомое — это уж как вам больше нравится. Microsoft подразделяет PDA на базе CE на две категории: ручные Handheld PC с клавиатурой, как у миниатюрного портативного компьютера, и карманные Pocket PC без клавиатуры — наподобие Palm. Им требуется более мощное, а следовательно, и более дорогое аппаратное обеспечение, чем Palm OS, зато они имеют дополнительные приспособления, такие, как mp3-плейеры и урезанные версии приложений Microsoft Office, например Word. Их браузер Web, Pocket Explorer, может считывать как информацию на базе протокола WAP, так и традиционные файлы HTML. Иногда он — без остальной операционной системы — лицензируется для сотовых телефонов.

EPOC 32 создана специально для сетей и ориентирована на следующее поколение интегрированных телефонов и PDA. Она разработана компанией Symbian, консорциумом трех ведущих производителей сотовых телефонов, и Psion, которая лидировала на рынке устройств PDA, пока ее не вытеснила Palm. Все устройства EPOC сейчас выпускаются в складных корпусах, как у портативных компьютеров, но в конце 2001 г. ожидается поставка планшетных моделей «мультимедийных» телефонов. Система EPOC обеспечивает простую синхронизацию данных с помощью языка использования SyncML — нового стандарта разделения данных между устройствами. Кроме того, это единственная платформа PDA с непосредственной поддержкой Bluetooth, весьма широко разрекламированной беспроводной технологией малого радиуса действия.

Linux выходит на рынок мобильных устройств как весьма грозный противник, поскольку эта открытая операционная система может быть настроена так, чтобы как можно точнее удовлетворять требования любых устройств. Новая компания Agenda и G-Mate, подразделение корпорации Samsung, уже поставили первые PDA на базе этих операционных систем с открытым исходным кодом. Соответствующие планы анонсировали и другие компании, в том числе гигант электронной промышленности Sharp. Хотя большинство пользователей Linux составляют специалисты по программированию, для владельцев PDA эти знания вовсе необязательны — код встраивается в аппаратное обеспечение устройства, и вся работа по конфигурированию происходит еще до того, как оно покидает завод.

BeIA — новая операционная система компании Be для Internet-приставок. Большинство этих систем действительно установлено на таких устройствах, как Internet-приставки к телевизорам, но некоторые компании рассматривают возможность использовать их и в устройствах PDA. Как утверждают представители компании Be, эта система быстрее своих конкурентов и допускает удаленное управление провайдерами доступа в Internet.

Ориентированные на аппаратное обеспечение операционные системы пока являются нормой для большинства беспроводных терминалов, в том числе всех интеллектуальных телефонов и устройств электронной почты Blackberry. Тем не менее на некоторых из них работают сложные приложения, благодаря кросс-платформенным языкам программирования. Большая часть сотовых телефонов уже поддерживает WAP, в который входит также несложный язык-интерпретатор. Более развитые возможности программирования предоставляет одна из технологий Java — так называемое микроиздание (J2ME) компании Sun Microsystems, которая скоро будет встраиваться во многие устройства, в том числе и в новую версию Blackberry.

назад