«ОГНЕННАЯ СТЕНА» - НА СМЕНУ «ЖЕЛЕЗНОМУ ЗАНАВЕСУ»
«Там нет места беспорядку, шуму
и неожиданностям»
Шарль Бодлер,
«Приглашение к
путешествию»
Информация, информация, реки, моря, океаны информации. Проблемой ее сохранения человечество озаботилось уже несколько тысячелетий назад. Для этого пользовались глиной, высекали письмена на скалах, заполняли иероглифами папирусы, писали на бересте. Затем была изобретена бумага. Мегатонны исписанной бумаги хранятся по всему миру. До недавнего времени редкий посетитель – ученый или писатель нарушал тишину заветных хранилищ. Сегодня дело иное. Современные технологии предоставили человечеству не только способы компактного хранения информации, но и быстрого ее поиска и простого доступа. Интернет по вашему запросу доставит на ваш рабочий стол документы из тысячи хранилищ со всего света.
Развитие информационных технологий, в числе прочего, способствовало реализации и распространению идей открытости. Многие фирмы начали производить оборудование по открытым стандартам, программистские коллективы – создавать универсальные компьютерные программы. Начали рушиться барьеры и стены, исчезать железные занавесы. Но торжество братства и единения никоим образом не перечеркивает законное право каждого государства и каждого человека на свою тайну. Деятельность любой корпорации, имея открытую часть, обязательно имеет и часть скрытую, предназначенную лишь для внутреннего использования. Потеря таких секретов может не только нанести компании заметный материальный ущерб, но и, при самом плохом раскладе, поставить под вопрос само ее существование.
Сейчас повсеместно используются компьютерные сети. Это позволило многочисленным корпорациям поднять собственный бизнес на качественно более высокий уровень. Оперативность взаимодействия сотрудников внутри фирмы в совокупности с быстротой и легкостью общения со своими партнерами стало уже повседневной необходимостью в работе практически любой компании, будь то транснациональная корпорация с сотней филиалов, разбросанных по всему миру, или небольшая фирма, в которой работает всего 20 человек.
Однако, не секрет, что компьютеры и компьютерные сети являются удобным каналом для похищения секретной информации. Так, в начале этого года правительство Китая двум хакерам Хао Джин Лону и его брату Хао Джиу Вену вынесло смертный приговор. Братьям удалось взломать компьютерную сеть Китайского коммерческого банка, после чего по фальшивым депозитам они перевели на свои счета около 32 тысяч долларов.
Но это вовсе не означает, что запертый в сейфе документ, спрятан более надежно. Да и от технического прогресса просто так не отмахнешься. Поэтому одним из направлений развития информационных технологий сегодня является совершенствование аппаратно-программных средств, обеспечивающих безопасность данных в корпоративных сетях, а также защиту от несанкционированного доступа.
Для обеспечения безопасности необходимо применить комплекс мер. В современных учреждениях, как правило, управление корпоративной сетью происходит из одного центра. Всем управляет сетевой администратор (группа администраторов), который, наряду с поддержанием сети в работоспособном состоянии, отслеживает движение информационных потоков. Общеизвестен факт, что часть краж (увы!) производится самими сотрудниками компании. Кстати, один из взломщиков сети, упомянутого выше, Китайского коммерческого банка Хао Джин Лон работал бухгалтером в одном из его филиалов. Отчасти, поэтому первым требованием безопасности является ограниченный доступ в помещение, где расположено оборудование, управляющее сетью, а также серверы, на которых хранится секретная информация компании. Это обязательная, и, возможно, самая простая составляющая обеспечения безопасности данных.
Для того, чтобы никто не смог унести информацию на дискете, корпорации все чаще переходят от обычных персоналок к использованию сетевых компьютеров. Эти компактные устройства работают с ресурсами, расположенными на сервере компании, вовсе не имея при этом дисководов для «мягких» дисков. Кстати, руководство компании, таким образом, помимо перекрытия одного из возможных каналов утечки информации, добивается еще и того, чтобы сотрудники в рабочее время не играли в компьютерные игры. Отсутствие дискет также препятствует заражению компьютеров обычными вирусами. Для защиты баз данных корпорации применяются программные средства, анализирующие состояние сети.
Далее – это система паролей: в
корпоративную сеть можно войти, только
набрав на клавиатуре компьютера
определенный пароль. Кроме этого, каждый
сотрудник имеет доступ только к той части
информации, которая ему нужна для работы. То
есть, с
помощью паролей производится также и
разграничение прав доступа. Некоторые
банки внедряют весьма необычные системы
распознавания. Так, третий по размеру банк
Германии, Dresdner Bank, для своих клиентов решил
внедрить систему, анализирующую радужную
оболочку глаза. Вся процедура занимает
несколько секунд. Сейчас она проходит этап
тестирования.
Все эти приемы обеспечивают безопасность
информации внутри корпоративной сети. Но
любая корпоративная сеть сегодня
практически всегда имеет выход вовне, в том
числе, в мировую глобальную сеть Интернет. А
по Интернет, как известно, гуляет кто угодно
и что угодно. За последние годы рост числа
выявленных инцидентов, связанных с
нарушением безопасности в Интернет
превысил темпы роста самой глобальной сети.
Поэтому сейчас внимание к проблемам защиты
информации и ресурсов особенно велико. Для
этой цели созданы соответствующие
аппаратно-программные средства. Это
брандмауэры, которые еще называют
межсетевыми экранами или firewalls («огненная
стена»).
Брандмауэр обычно устанавливается на границе соединения внутренней корпоративной сети с внешними сетями. Основное его назначение - ограничение доступа. Весь поток данных (трафик) – как входящий, так и исходящий – проходит проверку в брандмауэре на соответствие тем или иным правилам защиты. Проверяются имена пользователей, идентификаторы приложений и другие характеристики. На основе заложенных алгоритмов, принимается решение: пропустить данную информацию или отказать в ее пересылке.
Лучшие из современных продуктов этого
рода предлагают сложные настраиваемые
схемы управления доступом, позволяющие
очень подробно расписать, кому разрешен
доступ в корпоративную сеть, и при каких
условиях. Многие из них оснащены
графическим пользовательским интерфейсом,
делающим управление многочисленными
параметрами более удобным. Благодаря этому
сокращается вероятность возникновения
ошибок, любая из которых может впоследствии
очень дорого обойтись.
В начале своего возникновения брандмауэры,
в зависимости от применяемого метода
управления доступом делили на четыре
большие категории: фильтры пакетов, шлюзы
уровня приложения, шлюзы низкого уровня и
серверы-посредники (proxy).
Фильтрация пакетов (данных) – это их детальная проверка при прохождении через брандмауэр на соответствие адресов отправления/назначения и еще ряда параметров тем или иным условиям. Этот метод самый простой в администрировании, но такую защиту легче всего преодолеть. Дело в том, что здесь необходимо перечислить все типы данных, пропуск которых разрешается. Здесь проще всего допустить ошибку. А каждая ошибка – это брешь в защите вашей корпоративной сети. К тому же, фильтры не перекрывают прямого физического доступа в корпоративную сеть или из нее. Опытные хакеры, давно знакомые с этим методом защиты, находят способы, его обойти. Например, с помощью фальшивых IP-адресов (сетевых адресов в Интернет), которые «обманывают» правила фильтрации данных и «протаскивают» их в сеть.
Шлюзы уровня приложения – это
специализированные программы,
ограничивающие прохождение по сети тех или
иных прикладных программ. Они вызывают
меньше хлопот у администратора сети, потому
что ему приходится в этом случае учитывать
значительно меньшее количество вариантов.
Вместе с тем, каждое обслуживаемое
приложение требует особого подхода, к тому
же их число постоянно увеличивается.
Шлюзы низкого уровня еще называют
интеллектуальными фильтрами, хотя они лишь
определяют допустимость сеансов связи с
внешними сетями, к примеру, для того, чтобы
распечатать на сетевом принтере, данные,
ожидаемые с внешнего сервера по
конкретному запросу.
Серверы-посредники обычно являются хранилищами данных, одновременно выполняющими, в случае надобности, функции брандмауэра. На такой сервер помещают информацию, предназначенную для широкого использования. А конфиденциальную информацию прячут в другое место корпоративной сети, подальше от точки соединения с внешними сетями.
Такая классификация сегодня достаточно условна, так как современные брандмауэры, обычно сочетают в себе несколько методов защиты. Такие «гибриды» позволяют более гибко задавать ограничения доступа.
Истинная ценность брандмауэра определяется тем, насколько успешно он пресекает попытки несанкционированного доступа. Лучшие продукты позволяют администратору осуществить достаточно полный контроль. Но поскольку хакеры и прочие злоумышленники не дремлют и постоянно совершенствуют свои методы, организации, занимающиеся защитой Интернет, и производители брандмауэров вынуждены создавать все новые технологии. Так, помимо перечисленных, существует технология контроля отклонений, Stateful Inspection, и другие.
Полнота защиты информации зависит еще и от того, какая операционная система является базовой для брандмауэра. Долгое время сохранялась ситуация, когда более надежной считалась защита, разработанная под UNIX. Им проигрывали брандмауэры, функционирующие поверх Windows NT. Однако в настоящее время, положение постепенно стало выравниваться.
При выборе брандмауэра необходимо
учитывать наличие у компании филиалов,
особенно, географически удаленных от
головного офиса. В этом случае будет нужна
система с возможностью шифрования
информации, так как это существенный
элемент безопасности. Типы шифрования
могут быть различными и зависят от
поставщика.
Кроме того, бывают ситуации, когда часть
персонала организации должна выезжать в
командировки, и в процессе работы им
требуется доступ к некоторым ресурсам
внутренней компьютерной сети организации.
Система безопасности должна уметь надежно
распознавать таких пользователей и
предоставлять им необходимый доступ к
информации. Современные брандмауэры в
состоянии предоставить и такой вид сервиса.
Еще одна, не менее важная составляющая надежного брандмауэра, это защита от вирусов. Кстати, не так давно в средствах массовой информации прошло сообщение о появлении нового макровируса Caligula. Он похищает ключи системы шифрования PGP (Pretty Good Privacy), являющейся сегодня фактическим стандартом Интернет, и считавшейся практически неуязвимой. Вирус Caligula принадлежит к новейшему классу, который некоторые специалисты называют вирусами-шпионами, так как они создаются с целью похищения информации. Эксперт по компьютерной безопасности Сандийской национальной лаборатории Фред Коэн (Fred Cohen) считает, что «если им (хакерм) удастся набрать достаточно много ключей, они смогут подделывать цифровые подписи, получать доступ к различным системам, и читать защищенные документы». Caligula попадает на компьютер пользователя вместе с зараженным документов в формате Microsoft Word. К счастью, антивирусологи уже могут предложить сегодня соответствующее лечащее средство.
Резюмируя, отметим, что, будучи открытой
для доступа из Интернет, корпоративная сеть
подвергается множеству опасностей. Если
для одних компаний попытка организованной
и продуманной атаки на их сети пока
маловероятна, то для других – это вполне
реальная угроза. Даже если ваша сеть еще не
стала мишенью для хакеров, она уже
привлекла к себе внимание просто
любопытных. Интернет – это дикое место, не
заслуживающее доверия. Но брандмауэр,
являясь необходимым средством защиты, и
важнейшей частью системы обеспечения
безопасности, никогда, тем не менее, не
сможет выполнить тщательный анализ
состояния сети или предпринять какие-то
специальные меры. Поэтому каждой компании
необходима детальная разработка комплекса
мер по обеспечению безопасности информации,
дабы исключить досадные случайности,
приводящие к возникновению серьезных
проблем.