Уникальная игровая плата помогает сетевым администраторам найти оптимальный способ обеспечения безопасности

Система безопасности сети - это не игрушка. Однако чтобы на практике эффективно решать вопросы защиты информации и адекватно отвечать на вызов хакеров, желательно все же обладать чувством юмора. Компания SGP решила взглянуть на эту сложную задачу под другим углом и выпустила игровую плату The Network Security Game, позволяющую оператору найти все потенциальные бреши в системе безопасности.

Детективный сюжет сочетается здесь с полезной информацией, а основная цель игры заключается в приобретении базовых знаний и навыков, а вовсе не в том, чтобы непременно одолеть хитрого и коварного соперника. "В сражении могут участвовать сразу несколько групп, представляющих различные подразделения компании, - отметил один из руководителей SGP Фред Коэн. - В одной комнате находятся пять-шесть команд, причем каждая них высказывает свою точку зрения, с которой соглашаются или не соглашаются другие".

Как это работает

С целью генерации соответствующих сценариев SGP сначала обрабатывает текущие клиентские файлы, содержащие информацию о политике безопасности, а затем создает полузаказной игровой комплект с платами для каждой команды или со специальной универсальной платой.

Примеры сценариев
Ответы на данные вопросы определяют корпоративную политику информационной безопасности.
  • Что вы предпримете, если контрагент начнет загружать ПО без проведения антивирусной проверки?
  • Каковы ваши действия в случае обнаружения бреши в системе безопасности Internet?
  • Имеют ли служащие компании право использовать средства электронной почты и WWW в личных целях?
Покупателями игры, как правило, становятся крупные Internet-провайдеры и известные фирмы-производители электроники. В игре одновременно могут принимать участие до 60 человек, стоимость ее составляет 5000 долл.

Перед началом состязаний каждая команда получает плату и несколько сценариев для обсуждения. От правильности ответов на поставленные вопросы зависит количество набранных очков и скорость прохождения сценария. За некоторые действия (например, выход в Internet, минуя "Брандмауэр") в качестве премии выдается карта "Риска". В подобных случаях риск приветствуется, хотя в большинстве случаев лучше все же обойтись без него.

В одном из сценариев игрокам задается вопрос, как они поступят, если клиент, обладающий соответствующими правами, проигнорирует все правила безопасности и попробует загрузить программное обеспечение с Web-узла своей компании, не проверив его предварительно на наличие вирусов. Допустимо ли это? Может быть, это возможно лишь в том случае, когда программные средства загружаются с Web-узла клиента; если же они поступают из любого другого источника, операция должна быть блокирована? Или же подобные действия необходимо закрепить?

Такие вопросы, несмотря на их кажущуюся простоту, заставляют всерьез задуматься. "Очень важно быстро загружать ответственные приложения", - высказывает свою точку зрения один из игроков. "Я доверяю своему партнеру и не буду чинить ему препятствий", - добавляет другой. "На антивирусную проверку уходит очень много времени, поэтому часто эта процедура просто игнорируется", - жалуется конечный пользователь. "Проверка на наличие вирусов абсолютно необходима и в обязательном порядке должна проводиться каждый раз при загрузке новых программ", - настаивает опытный специалист в области безопасности. Вскоре вся группа уже анализирует нюансы сложной ситуации, рассматривая различные варианты и делая нужные выводы. После окончания обсуждения команды собираются вместе, и независимые эксперты оценивают их ответы и доводы. Именно в этот момент происходит наиболее интенсивный обмен мнениями.

Фред Виллелла, президент компании New Dimensions International, оказывающей клиентам консультационные услуги в области информационной безопасности, высоко отозвался о концепции игры The Network Security Game. "Она способствует подготовке грамотных специалистов, умеющих делать правильные выводы, - подчеркнул Виллелла. - Люди начинают понимать друг друга с полуслова и быстрее постигают суть дела".

Игра как средство обучения

Осторожно, компьютерные преступления!
Опрос 1998 CSI/FBI Computer Crime and Survey показал, что число компьютерных преступлений продолжает увеличиваться
Доля компаний, пострадавших от несанкционированного доступа к компьютерным системам:
1996 42%
1997 50%
1998 64%
Доля компаний, в которых несанкционированный доступ произошел через Internet-соединение:
1996 38%
1997 47%
1998 54%
По результатам опроса 512 человек

"Конечно, и кофейные чашки с рекламными лозунгами, и традиционные тренировки играют определенную роль в обеспечении безопасности, однако обучение в игровой форме можно считать наиболее эффективным, - считает директор Computer Security Institute (CSI) Ричард Пауэр. - Любые ассоциации, возникающие в момент поступления информации, способствуют ее лучшему усвоению. Игра помогает закрепить ранее полученные знания и навыки.

The Network Security Game, которая в 1997 году была представлена компанией CSI на специальной конференции, посвященной безопасности, получила восторженные отзывы участников. Мы всегда использовали игры для отработки атакующих и контратакующих действий. Теперь пришел черед оценить риск. Вы пытаетесь смоделировать все неприятные ситуации, представляющие угрозу для безопасности сети и циркулирующих в ней данных, и предпринимаете необходимые ответные действия в зависимости от конкретных условий".

При планировании путей выхода из того или иного положения мнения участников часто расходятся. "Это всего лишь игра, а потому каждый имеет право открыто высказывать свою точку зрения, - отметил Коэн. - Практически каждый раз команды попадают в непредсказуемые ситуации".

"В отличие от имитационных игр с участием одного игрока, здесь решение принимается всей командой, - заметил эксперт в области компьютерной безопасности, профессор Калифорнийского университета Мэтт Бишоп. - И поиск этого решения - лучший способ закрепить полученные знания".

Ситуативные игры

Компания SGP и конкурирующие фирмы выпускают и другие настольные игры, моделирующие различные жизненные ситуации, связанные с корпоративной этикой. Служащие компании должны уважать требования закона и общественной морали. Однако эти разработки не имеют отношения к безопасности сети, а с этим, как известно, постоянно творится что-нибудь неладное. Здесь есть с чем бороться, начиная от довольно частых ложных сигналов тревоги, посылаемых системой безопасности, и заканчивая неисправностями офисной АТС.

"Некоторые клиенты используют The Network Security Game для выработки основных принципов обеспечения безопасности или желая пересмотреть свою политику, - подчеркнул Коэн. - Изучение сценариев и поиск ответов на поставленные вопросы дают простор для коллективного творчества, таким образом в поисках "истины" принимают участие сразу 20-30 человек.

По ходу тренировочных сеансов системная политика, естественно, меняется. Один из клиентов во время обеденного перерыва использовал средства Сети для покупки подержанного автомобиля. В некоторых случаях в свободное от работы время служащим позволяется решать с помощью компьютеров компании свои личные проблемы. Политика фирмы зависит от внутренних и внешних условий и должна быть достаточно гибкой".

С более подробной информацией об игре The Network Security Game можно ознакомиться на Web-узле компании SGP (http://all.net/games). Свои замечания присылайте по адресу fc@all.net.

Митци Вальтц - независимый автор. Адрес ее электронной почты - infobahn@teleport.com.