 |
Подробно рассказал об основных путях защиты информационных систем от несанкционированного доступа научный консультант ФАПСИ Андрей Щербаков. Его выступление напоминало инструкцию для администраторов локальных сетей, ответственных за обеспечение их безопасности. В частности, по мнению Щербакова, при построении систем безопасности следует помнить, что в большинстве случаев злоумышленниками оказываются сами сотрудники банка, пытающиеся получить доступ к конфиденциальным данным.
Во избежание злоупотреблений следует сильно ограничить круг людей, имеющих возможность менять правила доступа в систему. Оптимальный способ обеспечить такой уровень доступа - это создать для каждого пользователя собственную программную среду, которая была бы одинаковой независимо от того, на какой рабочей станции работает человек. Этого можно добиться путем определения клиентских профилей - хранимых на сервере наборов параметров, определяющих для данного пользователя конфигурацию ОС и приложений.
Чтобы предотвратить несанкционированный перехват трафика внутри локальной сети, следует использовать алгоритмы шифрования. Эти же технологии применяются для предотвращения доступа к файлам данных с терминалов, не оборудованных средствами поддержки индивидуальной программной среды пользователя. Чтобы усложнить жизнь злоумышленникам, лучше отделить администрирование служб шифрования от администрирования средствами защиты от несанкционированного доступа.
Для создания максимально удобной для пользователей и в то же время безопасной сетевой среды Щербаков рекомендует применять "мягкое" администрирование: сначала понаблюдать, какие сетевые ресурсы и файлы реально требуются, затем систематизировать наблюдения и на их основе определить правила разграничения доступа. В любом случае для успешной работы с системой информационной безопасности требуется инструментарий для централизованного управления как программными, так и аппаратными средствами защиты.
Аутентификация пользователей может производиться различными способами - обычно это делается с помощью пароля или магнитной карточки. О довольно необычном способе аутентификации - биометрическом - поведал управляющий директор компании Mission Data Systems Джон Дэллоуэй. Эта компания уже создала средства интеграции дактилоскопических датчиков в Novell NDS и сейчас работает над системами, позволяющими хранить в NDS данные об особенностях радужной оболочки глаза. Как правило, дактилоскопические системы управляют доступом не только к компьютерам, но и к дверям различных помещений. Один ПК способен обслуживать четыре двери, охраняемые обычными биометрическими системами. Более совершенные датчики имеют память, которая управляется с помощью SNMP-агентов и способна хранить до тысячи отпечатков. Помимо разграничения доступа в помещения дактилоскопические системы уже используются в больницах для идентификации пациентов при выдаче им лекарств, а также в государственных службах занятости. Рассказ об этих системах вызвал большой интерес у слушателей. Тем сильнее было их разочарование, когда они узнали о том, что компания еще не имеет в России ни представительства, ни партнеров.
Возникает вопрос: а не является ли надуманной проблема обеспечения информационной безопасности? Оказывается, совсем нет. Михаил Левашов, менеджер подразделения по обеспечению безопасности Сбербанка РФ, привел данные отечественных экспертов, согласно которым в прошлом году официально зарегистрировано 20 хищений финансовых средств путем проникновения в информационные системы банков (реальное число наверняка на порядок выше, так как многие банки стараются не афишировать подобные инциденты). Максимальный ущерб от одного хищения составил 64 млрд. неденоминированных рублей в виде акций РАО "Газпром". Что примечательно, в большинстве случаев не удалось определить ни имен преступников, ни даже узнать, с какого терминала или рабочей станции они действовали. Впрочем, любая система защиты бесполезна, если сотрудники предприятия не соблюдают элементарных мер безопасности: используют очевидные пароли, а неочевидные записывают на бумажки и приклеивают записочки с паролями себе на дисплей.
У Евгения Соколова, ведущего специалиста отдела защиты информации Национального резервного банка, свой взгляд на проблему. По его мнению, главное в обеспечении безопасности информационной системы - это защита не информации ("Информация - это собственность. Защищать информацию - это все равно, что защищать чемодан. А чего его защищать? Стоит себе чемодан и стоит", - поясняет он), а защита системы управления собственностью - в данном случае локальной сети, обеспечивающей доступ к информации. В его банке применяется множество операционных систем, но основной стала все-таки NetWare. В этой ОС неплохие средства управления, однако они недостаточны для проведения детального структурного анализа и мониторинга информационной системы.
Тем не менее компания Novell стремится укрепить доверие клиентов к своим системам. Готовится сертификация InternetWare в Гостехкомиссии РФ. Сейчас согласовывается возможность передачи исходных текстов отдельных исполняемых модулей на исследование, которое проводит одна из лабораторий Гостехкомиссии - компания "Безопасные информационные технологии" ("Бинтех"). Примечательно, что та же лаборатория проводит испытания и конкурирующей системы - Microsoft Windows NT 3.51. По словам представителя "Бинтех" Павла Судравского, компания заключила контракт с центральным офисом Microsoft. Поскольку документы, содержащие требования к ОС, еще не выработаны, InternetWare пройдет испытания на соответствие ТУ. Основное, на что обратят внимание отечественные специалисты, - это наличие в системе преднамеренно заложенных лазеек, а также ошибок программирования.