Библиотека Интернет Индустрии I2R.ru

Шаг 1. Создание многоуровневой системы прав пользователей по работе с корпоративной информацией
Шаг 2. Обеспечение мероприятий по регулярному резервированию
Шаг 3. Создание эффективной антивирусной защиты сети компании
Шаг 4. Защита от хищения информации с использованием удаленного доступа
Шаг 5. Обеспечение безопасности серверного помещения и резервных копий информации файл-серверов
Шаг 6. Контроль Интернет-трафика компании
Шаг 7. Контроль почтового трафика компании
Шаг 8. Внедрение системы контроля за местонахождением сотрудников и посетителей в помещениях компании

Безопасность корпоративной информации — постоянный ночной кошмар не только сотрудников служб безопасности, но и руководителей самого разного уровня. Отличительной особенностью компьютерных систем является беспрецедентная легкость хищения информации путем ее копирования. При этом о самом факте хищения становится известно уже post factum. Кроме того, даже доказанный факт хищения информации не позволит определить способ нападения. Как же защититься от злоумышленников, обеспечив достойный уровень безопасности за разумные деньги?

Перед началом строительства системы безопасности следует определить перечень угроз, от которых придется защищаться. Приблизительный перечень шагов, которые необходимо будет осуществить, выглядит следующим образом (в порядке приоритета):

• создание многоуровневой системы прав пользователей по работе с корпоративной информацией;
• обеспечение мероприятий по регулярному резервированию информации корпоративных файл-серверов;
• создание эффективной антивирусной защиты сети компании;
• защита от хищения информации с использованием удаленного доступа;
• обеспечение безопасности серверного помещения и резервных копий информации файл-серверов;
• контроль Интернет-трафика компании;
• контроль почтового трафика компании;
• внедрение системы контроля за местонахождением сотрудников и посетителей в помещениях компании.

Естественно, возможно параллельное выполнение нескольких шагов, однако главным требованием остается обязательная законченность каждого этапа. Последовательно проведем анализ каждого шага с примерной оценкой необходимых кадровых и финансовых вложений, а также сроков его выполнения.

Шаг 1. Создание многоуровневой системы прав пользователей по работе с корпоративной информацией

Рано или поздно любая компания приходит к созданию своей информационной сети. Период отдельных рабочих станций окончательно и бесповоротно ушел в прошлое, уступив место сетевым рабочим местам. При всех своих преимуществах информационная сеть является достаточно сложным образованием, и обеспечение ее устойчивой работы — дело непростое. Начинать создание сети надо с назначения ответственного за ее работу — системного администратора. Именно он должен руководить созданием сети и контролировать этот процесс на каждом этапе. Его должностные обязанности довольно просты: сеть должна работать постоянно, без сбоев и на достаточной для пользовательских приложений скорости.

Кроме того, системный администратор — наилучшая кандидатура на должность руководителя службы технической поддержки. Это обусловлено тем, что системные администраторы прекрасно разбираются как в аппаратном, так и в программном обеспечении и имеют большой опыт оказания помощи пользователям.

У большинства системных администраторов возникает естественное желание создать идеальную сеть. Конечно, это стоит денег, и немалых. Поэтому не удивляйтесь сметной стоимости сети из 10 рабочих станций и 2 серверов — порядка 50 тыс. долл. Это достаточно реальная цена «правильной» сети. Однако нет необходимости покупать все сразу — можно разбить этот процесс на этапы (например, по 5 тыс. долл. раз в полгода), что позволит вашей компании растянуть эти платежи по времени. Минимальная стоимость создания сети рассчитывается по следующей оценочной формуле:

S_{создания сети} = (N_{рабочих станций} + N_{серверов}) × $20 + N_{помещений} × $150

В эту сумму входит цена сетевых карт и минимально необходимого активного оборудования (хабов). Кроме того, нужно закупить кабель информационной сети, количество которого определяется конфигурацией рабочих помещений компании.

Минимальный бюджет службы технической поддержки рассчитывается по простой формуле:

S_{зарплаты} = Nрабочих станций × $25 + + Nсерверов × $50

Таким образом, минимальный фонд заработной платы службы технической поддержки, отвечающей за поддержку 10 рабочих станций и 2 серверов, составляет 350 долл. Приведенная оценка справедлива только в случае использования в компании рабочих станций и серверов известных производителей (brand name), осуществляющих гарантийное обслуживание своей техники. Если в компании практикуется приобретение компьютеров в виде комплектующих, эта сумма должна возрасти на 50%, поскольку количество отказов у собранного «на коленке» оборудования заведомо больше, чем у оборудования именитого производителя. Кроме того, устранение неисправности в этом случае займет больше времени и потребует некоторых финансовых вложений.

После создания информационной сети встанет вопрос о предоставлении сотрудникам доступа к ее ресурсам. Важно сразу провести четкое разделение сотрудников на группы, имеющие разные права доступа к информационной сети. Это делается не столько из соображений безопасности, сколько из соображений удобства работы. Использование групповых прав доступа позволяет защитить информацию отдела А от любопытных сотрудников отдела Б.

В этом случае опознание пользователя и отнесение его к одной из пользовательских групп происходит по имени пользователя и его паролю, указываемому в начале работы с информационной сетью. Важно помнить, что если сотрудник отдела Б узнает имя пользователя и пароль сотрудника отдела А, то он сможет войти в сеть от его имени и произвести любые действия, доступные его истинному хозяину.

Шаг 2. Обеспечение мероприятий по регулярному резервированию

Самая страшная угроза для любой информационной системы — утрата хранящейся в ней информации. Даже проблемы защиты информации от хищения менее важны по сравнению с задачей обеспечения гарантированной сохранности информации в системе. Развитие компьютерной индустрии подтвердило надежность классического решения этой проблемы, заключающегося в использовании технологии ленточных накопителей. Их последние модели позволяют сохранять на один физический носитель до 120 Гбайт информации. При средней стоимости 1500 долл. эти устройства позволяют обеспечить резервное копирование содержимого корпоративной информационной системы.

Однако наличие оборудования резервного копирования не является достаточным условием сохранности информации — необходима еще и отработанная методика проведения операции резервного копирования. Она предполагает задействование в этом процессе двух сотрудников, один из которых производит резервное копирование, а второй проверяет уже записанные ленты на читаемость. Это правило утвердилось после ставшего классическим случая в Калифорнийском технологическом университете, когда из-за халатного отношения к резервному копированию было утеряно большое количество информации. Традиционно операции по резервному копированию возлагаются на инженеров службы технической поддержки. Лицом, осуществляющим контроль их деятельности, как правило, является второй системный администратор.

Шаг 3. Создание эффективной антивирусной защиты сети компании

Компьютерным вирусом мы здесь будем называть программу, способную создавать свои копии и выполнять некоторые действия на компьютере пользователя без его ведома. В настоящее время в мире насчитывается более 50 тыс. различных вирусных программ и их модификаций. Для борьбы с вирусами используются специальные программы (антивирусы), позволяющие обнаружить и удалить их до начала активизации. Для успешной борьбы с вирусами необходимо четко представлять себе пути, по которым к вам может прийти такой «посетитель». Таковыми являются устройства чтения гибких дисков, электронная почта, файловые архивы Интернета и иные пути, через которые в сеть компании поступает информация от других организаций и частных лиц. Представляется оптимальным акцентировать усилия по антивирусной защите на самых опасных направлениях. В настоящее время в России наибольшее распространение получили два программных антивирусных комплекса — AVP (Е.Касперский, Россия) и Norton Antivirus Enterprise Edition (Symantec Co, USA). Оба комплекса позволяют надежно прикрыть все вирусоопасные направления и поддерживают функцию автоматического обновления антивирусной базы. Какой продукт выбрать — должен решать специалист по информационной безопасности вашей компании.

Шаг 4. Защита от хищения информации с использованием удаленного доступа

Несмотря на то что основным источником информации, как правило, являются действующие или недавно уволенные сотрудники компании, пренебрегать защитой от удаленного хищения информации не стоит. Дело тут даже не столько в потенциально большем ущербе, сколько в повышенной «говорливости» занимающихся этим «кул-хакеров». Обычно этим грешат юные дарования, только-только получившие в подарок персональный компьютер с доступом в Интернет и до сих пор находящиеся под впечатлением фильма «Хакеры». Шум, который они поднимают в случае успеха, не идет ни в какое сравнение с достигнутым результатом (который обычно минимален). Однако этот шум вполне может привести к потере части клиентуры. Наибольший ущерб в этом случае понесут компании, занимающиеся продажей товаров и услуг через Интернет с использованием электронных карт (например, Visa). После громкого скандала, пусть даже не связанного с получением информации о клиентах, многие откажутся от услуг фирмы из-за боязни потерять деньги. Поэтому можно порекомендовать уже на начальном этапе создания сети позаботиться хотя бы о минимальной защите от вторжения по сети Интернет (например, поставить прокси-сервер). Однако если ваша организация имеет отношение к финансам, то этой защиты будет определенно недостаточно. В подобном случае затраты на обеспечение безопасности внутренней сети могут исчисляться даже сотнями тысяч долларов в год. Кроме того, чем известнее ваша компания в компьютерных кругах, тем большее количество юных дарований будет стремиться отточить на вас свои навыки по взлому сети.

Что же касается профессиональных взломщиков, то гарантировать абсолютную безопасность от них невозможно. Любая защита по определению может быть взломана, поскольку она создана людьми. Поэтому необходимо периодически производить изменение структуры защиты с целью воспрепятствовать последовательному преодолению ее уровней нарушителем. Кроме того, необходимо постоянно анализировать состояние всех уровней защиты и пресекать попытки несанкционированного доступа на самых отдаленных рубежах. Также необходимо шифровать важные документы с учетом максимального времени их «горячести». Это означает, что длина ключа шифрования должна быть выбрана такой, чтобы время, необходимое на дешифрацию защищаемого документа, многократно превышало время его актуальности. Для почтовой переписки вполне достаточно будет определить время актуальности отправления в 100 лет, поскольку через 100 лет участников переписки не будет в живых и к ответу их привлечь будет весьма проблематично.

Шаг 5. Обеспечение безопасности серверного помещения и резервных копий информации файл-серверов

Элементарный способ хищения информации — хищение резервных копий корпоративного файлового сервера. Действительно, самая важная информация со всей сети компании сконцентрирована на одном (как правило) носителе. При этом похитить и вынести ее довольно просто — достаточно получить доступ в серверное помещение, где хранятся файловые архивы компании. Кроме того, серверное помещение является естественным

«нервным центром» информационной сети компании, и вывод его из строя парализует работу всей компании. Пожар в центральном коммутационном помещении одного из крупных московских издательств, случившийся пару лет назад, на два дня парализовал выход ежедневной газеты, и только самоотверженная работа службы технической поддержки позволила в столь короткие сроки восстановить работоспособность сети. Поэтому пренебрегать защитой нервного центра информационной сети компании нельзя ни в коем случае.

Шаг 6. Контроль Интернет-трафика компании

Самый простой способ проникновения в сеть компании до смешного похож на тот, которым воспользовались древние греки при взятии Трои. Именно поэтому этот метод называют методом «троянского коня». На практике он реализуется достаточно просто: в программу, использующую или очень полезные, или очень забавные функции, встраивается маленький кусок кода, позволяющий собрать информацию о компьютере, где запущена программа, и его сетевом окружении. К тому же эта программа может производить поиск файлов определенного типа и их отправку «налево» (например, по системе электронной почты). Определить автора программы и место назначения украденной информации достаточно сложно. Воспрепятствовать проникновению в сеть компании такого ПО очень трудно, и в большинстве случаев проблема решается по принципу «что не разрешено, то запрещено». Памятуя о главенствующей роли Интернета в распространении ПО, необходимо ограничить доступ сотрудников компании к файловым ресурсам Интернета. Кроме того, на основе анализа Интернет-трафика компании можно определить сервисы, которые стоит развернуть во внутренней сети компании для снижения стоимости пользования каналом Интернет.

Шаг 7. Контроль почтового трафика компании

Введение контроля над системой электронной почты — логичное продолжение установления полного контроля над каналом доступа к сети Интернет. Эта мера является вынужденной, поскольку именно электронная почта позволяет максимально быстро и незаметно для окружающих похитить информацию. При этом за считанные секунды данные могут быть доставлены в любую страну мира. К указанной проблеме необходимо подходить по принципу разумной достаточности, то есть не стоит вводить строгую цензуру всего почтового трафика. В противном случае прохождение почтовых сообщений существенно замедлится, а настроение коллектива ухудшится. Оптимальным будет использование системы фильтров, позволяющей «просеивать» весь почтовый трафик на предмет наличия в нем «криминального» набора слов и выражений. При использовании такого способа работа почтовой системы практически не замедляется. Естественно, в случае появления подозрений система позволяет произвести тотальный перехват всей корреспонденции определенного пользователя и собрать необходимые улики как для увольнения сотрудника, так и для возбуждения против него уголовного дела. Эта система поддерживает работу в режиме «невидимки», что позволяет скрыть сам факт ее наличия в почтовой системе компании.

Шаг 8. Внедрение системы контроля за местонахождением сотрудников и посетителей в помещениях компании

Чтобы взять укрепленную крепость, необходимо иметь максимальное количество информации о системе ее обороны. Этим традиционно занимаются шпионы, собирающие разного рода сведения об объекте изнутри. Если у вас крупная компания, информация о местонахождении сотрудников в конкретный момент времени может оказаться весьма важной, например для определения сотрудника, посетившего коммутационный зал в два часа ночи. Однако главная задача такой системы — отслеживание перемещений по охраняемой территории посетителей, которые являются потенциальными шпионами, ворами и даже диверсантами. В моей практике были неоднократные случаи, когда подобные «гости» уличались в воровстве корпоративной собственности — начиная от туалетных принадлежностей и заканчивая портативными компьютерами. Поэтому введение системы контроля действительно необходимо, особенно если офис расположен в нескольких зданиях. Кроме того, эта система поможет оперативно разыскать «потерявшегося» сотрудника, которого очень ждут на его рабочем месте. О том, что эта система позволит в автоматическом режиме вести учет приходов/уходов и проводить расчет рабочего времени, я даже не говорю. Такая система может также оказать неоценимую помощь в экстремальных условиях (например, при возникновении пожара), когда необходимо точно узнать, сколько людей оказалось в опасной зоне и где они находятся.

Все рассмотренные меры обеспечения безопасности достаточно общие и не претендуют на универсальность. Как правило, при построении системы безопасности лучше пользоваться нестандартными методиками, позволяющими надеяться на эффект неожиданности. Частные случаи реализации каждого этапа могут очень сильно различаться в зависимости от специфики организации и дополнительных требований, предъявляемых к разворачиваемой системе безопасности. Важно отдавать себе отчет в том, что чем более традиционную схему построения безопасности вы используете, тем легче ее взломать. Именно поэтому большинство крупных компаний тратят большие средства на привлечение лучших специалистов для разработки собственной уникальной системы безопасности.