Национальная Ассоциация Компьютерной Безопасности (NCSA) поставила перед собой благородную задачу - навести порядок на рынке средств защиты сетевых данных.

На конференции, организованной NCSA в Карлайле (шт. Пенсильвания), была анонсирована программу тестирования продукции 21 компании, входящих в Консорциум производителей сетевых брандмауэров. NCSA намерена утвердить базовый набор возможностей, которыми должна обладать система защиты, основанная на фильтрации трафика между корпоративными и общедоступными сетями (брандмауэр), а также сертифицировать компании, чьи программы удовлетворяют этим требованиям.

В настоящее время брандмауэры создаются, исходя из правил, определяемых пользователями. Эти средства быстро приобрели популярность благодаря увеличению числа компаний, подсоединившихся к Internet и опасающихся вторжения хакеров.

Всего пару лет назад брандмауэры представляли собой обычные программы (число их было весьма невелико), написанные несколькими опытными пользователями. Теперь же, как сообщила Тэмми Маннарино, инженер по защите компьютерных данных Агентства Национальной Безопасности, более 40 производителей предлагают коммерческое ПО этого типа, причем большинство из них выпускает новые версии каждые полгода.

Она утверждает, что "пользователей приводит в полную растерянность обилие поставщиков и разнотипных продуктов".

Как заявили представители NCSA, агентство будет сотрудничать с производителями в разработке стандартной терминологии.

Ассоциация также планирует выпуск бюллетеней с целью помочь пользователям разобраться в вопросах, возникающих при выборе подходящей системы защиты.

Президент NCSA Петер Типпетт объяснил, что тест производительности для получения сертификата представляет собой набор способов взлома защиты, причем при оценке программы будут учитываться три момента: вероятность проникновения хакеров, простота взлома и размер ущерба, нанесенного удавшимся вторжением. Идея заключается в создании набора критериев, исключающих риск по крайней мере на 90%. Этот набор будет обновляться по мере появления новых хакерских программ.

Уильям Мюррей, консультант по безопасности систем в компании Deloitte & Touche, считает, что процедура сертификации может оказаться неполной, поскольку во внимание принимаются основные, уже известные способы проникновения.

"Трудно заранее предположить, как система защиты отреагирует на еще не придуманный способ взлома", - заявил он, добавив, что системы отличает различная способность отражать атаки неизвестного им типа.

"Хорошо, что производители пытаются найти общий язык, ведь никто толком не знает, что может система защиты", - отмечает Дженифер Лоутон, главный исполнительный директор компании Net Daemons Associates, предлагающей консультации по сетевым вопросам.

Тем не менее Лоутон призналась, что скептически относится к попыткам разработчиков прийти к соглашению, поскольку существует слишком много различных подходов к построению систем защиты, требования которых противоречат друг другу.


О пользе систем защиты при работе в Internet

Эксперт по вопросам безопасности Уильям Мюррей заметил, что системы защиты могут использоваться при реализации любой из стратегий работы с Internet.

  • "Параноидальная" - вообще не подключаться к Internet.
  • "Осторожная" - блокируется любое соединение, не разрешенное явным образом.
  • "Допускающая" - блокируются только соединения, запрещенные явным образом.
  • "Открытая" - разрешается абсолютно все.

    Мюррей рекомендует придерживаться "параноидальной" или "осторожной" стратегий, а также использовать полное шифрование (с момента отправления до момента получения) для всех коммерческих программ на Internet, а также одноразовые пароли для всех сетевых приложений.

    Стивен Брэниган, главный системный инженер Bellcore, советует пользователям сетей соблюдать следующие меры безопасности.

  • Подходить к вопросу работы с Internet с максимальной осторожностью.
  • Использовать брандмауэр для защиты внутренних сетей.
  • Проверить все пути доступа в корпоративную сеть, а не только основной шлюз Internet.
  • Ограничить доступ внутренних пользователей к корпоративным данным.
  • При необходимости применять кодирование данных.
    - Гэри Антес