Оборонительная доктрина «Юни» | Сети/Network world | Издательство «Открытые системы»

В рамках «Недели информационной безопасности», организованной «Корпорацией Юни» и компанией Check Point Software Technologies состоялась конференция «Безопасность инфокоммуникационных систем: стратегия, внедрение, развитие».

В ходе ее работы ведущие производители средств защиты информации представили участникам форума актуальные решения, ориентированные на применение в корпоративных и телекоммуникационных сетях.

Комплексный подход

Концепция обеспечения ИТ-безопасности, предложенная «Корпорацией Юни» подразумевает комплексную защиту всех типов информационных ресурсов предприятия от максимально широкого спектра потенциальных угроз. В идеале, как считают в «Юни», нужно защищать все ресурсы предприятия — серверы, рабочие станции, маршрутизаторы, коммутаторы, базы данных, Web-сайты, приложения. Защита данных должна быть реализована не только в статичном режиме (например, при хранении их на внешних и встроенных накопителях), но и в динамичном, то есть в процессе эксплуатации приложений и услуг. Меры по обеспечению информационной безопасности необходимо распространить на все режимы работы аппаратуры и программного обеспечения.

Российский системный интегратор — компания «Юни» предлагает решать проблему безопасности коплексно, на базе решений Check Point

Если раньше большинство компаний обходились одним сетевым экраном, который защищал их корпоративную сеть от внешних атак по выделенному каналу связи, то сегодня система безопасности должна включать средства различного типа — межсетевой экран, VPN-шлюз, систему обнаружения вторжений, систему контроля доступа по содержанию и ряд других решений. Кроме того, для масштабных задач, связанных с защитой большого количества ресурсов, необходимо обеспечить резервирование инструментов безопасности.

Поскольку методы атак на информационные и коммуникационные системы совершенствуются теми же темпами, что и средства защиты, система безопасности должна постоянно контролировать весь комплекс ИТ-ресурсов, к которым разрешен доступ многочисленных легальных пользователей. Наконец, администраторам сетей необходима актуальная информация, на основе которой они могут выявлять подозрительные действия и предотвращать реализацию новых методов взлома.

Предложенный «Юни» комплексный подход базируется на решениях Check Point и ее партнеров по программе OPSEC: Sun, IBM, а также компании Nokia Internet Communications (NIC). Данное подразделение Nokia специализируется на создании решений для защиты информации, виртуальных защищенных сетей и управления Internet-трафиком. Не так давно «Юни» заключила с этим вендором дистрибьюторское соглашение, и решения NIC были впервые представлены российской общественности именно на прошедшей конференции.

Разумное решение от NIC

Традиционные решения для обеспечения информационной безопасности состоят из программных продуктов, а также аппаратных платформ, обеспечивающих их работу. Необходимость приобретения нескольких дорогостоящих устройств нередко становится препятствием на пути к внедрению качественных и надежных решений. Одновременно с этим на первый план выходит фактор стоимости развертывания таких систем. «Аппаратные платформы Nokia предлагают разумное решение этой проблемы», — сообщил менеджер по развитию бизнеса восточноевропейского представительства Nokia Internet Communications Павел Марчиньяк.

Компания выпускает компактные устройства, полностью интегрированные с продуктами Check Point, и объединяющие в себе функции, которые прежде обеспечивались только при использовании множества дорогостоящих мультивендорных продуктов. В предложенных Nokia аппаратных платформах предустановлены все необходимые программы и узлы, предназначенные для защиты как небольших корпоративных сетей, так и крупных телекоммуникационных центров. Работоспособность изделий проверяется на стадии производства, поэтому заказчику не придется тратить время на поиск драйверов и установку программ. Достаточно включить устройство и соединить его с сетью. «Таким образом, решение, обеспечивающее надежную защиту критически важных приложений, развертывается в считанные минуты», — утверждает Марчиньяк.

Корпорации, эксплуатирующие распределенную сеть и испытывающие нехватку локальных ресурсов для поддержки требуемого уровня безопасности в филиалах, могут создавать однородную защитную среду (в центральном и удаленных офисах) на базе семейства интегрированных решений Nokia IP30. Они выпускаются в четырех вариантах.

Nokia IP30 Firewall представляет собой межсетевой экран для небольших офисов, которым требуется обеспечить доступ в сеть без использования VPN. Такое решение подходит для предприятий, имеющих до пяти удаленных офисов. Другая модель — межсетевой экран Nokia IP30 Tele поддерживает функции клиента VPN для безопасного подключения к сети предприятия из дома или удаленного филиала. Это решение позволяет развертывать простую и легко управляемую систему, интегрированную в общую систему обеспечения безопасности компании. В результате защищенные соединения с удаленными офисами можно организовать без значительных накладных расходов на приобретение оборудования и обучение персонала.

Nokia IP30 Satellite и Satellite Plus представляют собой шлюзы VPN начального уровня со встроенным межсетевым экраном и поддержкой VPN-соединений по спутниковым каналам связи.

Настройка конфигурации и управление системами Nokia IP30 осуществляется через Web-интерфейс. Кроме того, IP30 поддерживают возможность удаленного управления единой политикой безопасности в масштабе распределенной сети предприятия и могут быть легко интегрированы в существующую ИТ-инфраструктуру. Благодаря встроенному 4-портовому коммутатору, Nokia IP30 становится идеальным решением для небольших офисов. Система поддерживает подключение по каналам T1, E1, а также цифровым линиям xDSL.

Сообщалось, что стоимость продуктов Nokia IP30 на российском рынке не превысит 350—400 долл. Необходимо отметить, что кроме коробочных изделий новый вендор «Юни» предлагает широкий ассортимент решений различного масштаба. Среди старших моделей стоит упомянуть Nokia IP440. Эта гибкая, масштабируемая платформа с поддержкой 16 физических интерфейсов обеспечивает производительность, достаточную для крупных предприятий и операторов связи.

Экономика аутсорсинга

Реализация комплексного подхода к обеспечению безопасности (даже с использованием самых эффективных решений) приводит к значительному усложнению и удорожанию ИТ-системы предприятия. В некоторых случаях, как считает ведущий менеджер «Юни» Павел Бузин, целесообразнее отказаться от строительства собственной «информационной крепости», поручив функции защиты ресурсов специализированной организации. Он привел расчет экономической эффективности модели аутсорсинга информационной безопасности на примере компании, имеющей 100 автоматизированных рабочих мест.

Итак, затраты на приобретение и поддержку самодостаточной системы защиты информационных ресурсов складываются из: стоимости оборудования и программного обеспечения (около 10 тыс. долл.), технической поддержки используемого решения (2 тыс. долл. в год), расходов на подготовку и переподготовку системного администратора (3 тыс. долл.), а также его заработной платы (в среднем — 1750 долл. в месяц). Таким образом, за три года суммарные расходы компании составят 83,5 тыс. долл., из которых 67,5 тыс. будут потрачены на обслуживание системы. При этом среднемесячная стоимость эксплуатации собственной защитной системы составит 2320 долл.

Аналогичный расчет для организации, имеющей 1000 рабочих мест, показывает, что трехлетний жизненный цикл структуры ИТ-безопасности обойдется ей в 211 тыс. долл. (из них 139 тыс. уйдет на содержание персонала и техническую поддержку). А среднемесячная стоимость владения таковой системой составит 5862 долл.

В случае если стоимость услуг провайдера информационной безопасности окажется ниже приведенных значений, компаниям следует подумать о переходе на модель аутсорсинга. Помимо стоимостных показателей, ASP-модель имеет ряд дополнительных преимуществ. Среди них стоит особо выделить беспрерывное обслуживание системы (в режиме 24х7), высокую квалификацию персонала подрядной организации и его нейтральность по отношению к защищаемой информации, а также гарантированное качество услуг и возможность страхования рисков, связанных с ИТ-безопасностью.

От продукта к услуге

Компания «Эквант» рекомендует заказчикам отказаться от содержания собственных дорогостоящих систем и предлагает набор сервисов, в основе которых также используются продукты Check Point.

Интегрированное решение Equant Secure Gateway включает в себя элементы, необходимые для запуска и функционирования системы сетевой безопасности — от инсталляции и конфигурации до технической поддержки и круглосуточного мониторинга. Оборудование для предоставления данной услуги может быть размещено как в офисе заказчика, так и в техническом центре «Эквант». Предусмотрено два варианта конфигурации услуги: защита сетевого пространства клиента одним межсетевым экраном либо двумя резервируемыми межсетевыми экранами (для существенного повышения надежности).

Провайдер гарантирует актуальность применяемых операционных систем и прикладного программного обеспечения. В процессе эксплуатации осуществляется поддержка всех ключевых компонентов, связанных с функционированием межсетевой защиты: от мониторинга состояния канала связи до контроля загрузки процессора и оперативной памяти. Благодаря методике статистического анализа производится распознавание фактов подозрительной деятельности и информирование клиента о произошедших инцидентах в режиме реального времени. Клиент может ознакомиться с аналитическими отчетами о состоянии его сети за любой период. При изменении корпоративных требований клиента к политике сетевой безопасности специалисты «Экванта» внесут необходимые корректировки в конфигурацию межсетевого экрана.

Комплексная система аутентификации пользователей Equant Secure Authentication предназначена для повышения уровня защиты доступа к информационным ресурсам компании-заказчика. В данном случае «Эквант» реализует концепцию единой точки авторизации доступа ко всем ресурсам сети. Услуга обеспечивает удаленное взаимодействие и конфигурирование сервера аутентификации, помощь в создании схемы аутентификации и ее реализации, а также предоставление ежемесячных отчетов по использованию сервиса.

При этом может быть задействован механизм двухфакторной аутентификации пользователей. В соответствии с ним при регистрации в защищенной компьютерной сети пользователю требуется ввести свое имя, четырехзначный личный идентификационный номер (PIN), а также шестиразрядный, динамически меняющийся цифровой пароль, генерируемый специальным устройством (SecurID). Динамическая составляющая пароля доступа действует ограниченное время и не может быть использована повторно.

Заказчик может воспользоваться предложениями «Эквант» как в виде отдельных услуг, так и в качестве элемента комплексного решения по обеспечению сетевой безопасности. Однако ответственность оператора за сохранность защищаемой информации в значительной степени ограничена зоной действия собственных (фиксированных) сетей связи. Между тем, по мере развития мобильных технологий и в особенности - услуг GPRS, обеспечение безопасного доступа бизнес-пользователей к корпоративным ресурсам выходит за рамки компетенции отдельно взятого провайдера услуг ИТ-безопасности. В ходе работы секции для операторов связи компания Check Point представила новейшее решение в области защиты данных, специально разработанное для корпоративных приложений мобильной телефонии.

Защита глобальных перемещений

Специалист по продвижению продуктов Check Point в Восточной Европе Мик Стивенс считает, что поставщики услуг GPRS испытывают те же проблемы, что и провайдеры услуг доступа в Internet. Суть проблемы и главный источник опасности при передаче данных по сетям мобильной связи таится в услуге роуминга абонентов. Им предоставлена возможность, не прерывая соединения, переходить из одной сети в другую, используя широкий набор сервисов. При этом клиенты имеют полноценный доступ к инфраструктуре IP и, в частности, к сети Internet. Таким образом, конфиденциальная информация транслируется через шлюзы нескольких сетей (организуется тракт между сервисными узлами SGSN и сетью шлюзовых узлов GGSN).

В данном случае уровень безопасности сервиса GPRS какого-либо оператора эквивалентен уровню безопасности его наименее защищенного партнера по роумингу. Проблема осложняется тем, что первоначально такая архитектура разрабатывалась на базе протокола GTP. Предназначенный для обеспечения связи, он не гарантирует защиты передаваемой информации и в этом смысле идентичен протоколу IP, который также не имеет встроенных средств безопасности.

Чтобы предотвратить появление брешей в сетях операторов, предоставляющих услуги GPRS, Check Point предлагает решение Firewall-1 GX. Оно позволяет организовать двухуровневую систему информационной безопасности. Первый оборонительный эшелон размещается по периметру сети на уровне узлов связи с внешними сетями пакетной передачи данных GGSN. Второй обеспечивает защиту IP-сети находящейся в зоне собственной магистральной инфраструктуры оператора.

В основе продукта Firewall-1 GX лежит традиционная архитектура решения Firewall-1. Но в отличие от последнего, система GX позволяет проверять не только структуру IP-пакетов, но и элементы GTP, обеспечивая пропуск трафика лишь при условии его соответствия заданным параметрам. Адреса допустимых узлов включаются в список, указанный при настройке системы. При этом могут задаваться различные ограничения в части передачи управления соединениями между различными сетями GSM.

В «Юни» с особым вниманием отнеслись к последней разработке Check Point. Дистрибьютор планирует активно продвигать Firewall-1 GX на сотовом рынке России и других стран СНГ.