 Если не видно разницы - то зачем платить больше? А если она все-таки есть? Как, на мой взгляд, очень точно сформулировал Брюс Шнайер (Bruce Schneier), безопасность это не продукт, безопасность это процесс. Это высказывание очень точно подходит к описанию ситуации в области обеспечения информационной безопасности у нас в России, где, к сожалению, многие вещи происходят в обратном порядке: сначала организация создает сегменты корпоративной сети, затем создает и внедряет корпоративные информационные системы и … начинает создавать системы защиты от проникновения в эти системы и компрометации обрабатываемой информации. В результате корпоративные сети и базирующиеся на них информационные системы становятся громоздкими, сложно администрируемыми, начинают конфликтовать друг с другом. Вследствие хаотического планирования корпоративной сети становится сложной задачей анализ уязвимостей. Не говоря уже просто о том, что стоимость таких решений выше чем была бы, если бы задачи обеспечения безопасности были поставлены изначально. Но хватит рассуждений. Реалии, с которыми приходится сталкиваться в жизни, далеки от совершенства. Начнем защищатьсяИтак, на очередном этапе развития корпоративной сети, вы решили для себя, что информация, циркулирующая в ней, должна быть скрыта от посторонних глаз.
Первое что приходит в голову - передавать ее между офисами по выделенным каналам связи. Но разум тут же отвергает такую идею. Во-первых, аренда таких каналов дело дорогое. К тому же корпоративная сеть скорее всего уже использует Internet, и хотелось бы как-нибудь использовать его возможности. Во-вторых даже при таком варианте данные придется защищать дополнительно - иначе они становятся доступны любому, нелегально подключившемуся к вашему выделенному каналу, а о том, что они всегда доступны провайдеру - и говорить не приходится. Значит, информацию придется шифровать. Передавать ее целесообразней через Internet, если на защищаемую сеть не накладывается дополнительных ограничений и требований. Но тут начинаются проблемы с тем, что сегменты корпоративной сети придется защищать от проникновения извне - потребуется межсетевой экран. Наверно стоит прервать перечисление вырастающих, казалось бы ниоткуда, проблем и начать подробно в них разбираться. Аспекты шифрованияСначала разберемся с шифрованием. Если речь идет о государственных структурах, то вопрос решается однозначно - выбор следует делать только в пользу сертифицированных ФАПСИ продуктов. В противном случае собственник информации сам вправе принимать решение о степени их защиты. Однако тогда придется помнить, что правильность реализации пусть даже самых известных и распространенных криптоалгоритмов в несертифицированных продуктах вам никто не гарантирует. Свой выбор придется делать лишь на уверениях производителя, его "громком" имени и вашем личном ему доверии. Сразу, кстати, стоит поинтересоваться, поддерживает ли приобретаемый продукт "выборочное" шифрование. Если нет - то ваша корпоративная сеть станет замкнута "на себя" и вы потеряете связь с внешними ресурсами. Если ваша компания придерживается строгой политики безопасности, то это, может, и не недостаток, однако кто способен предугадать, какие задачи вы будете решать в будущем? С межсетевым экраном (МЭ) вопрос обстоит проще: многие из представленных на российском рынке продуктов, в том числе именитых, сертифицированы Гостехкомиссией. Уже на данном этапе подбора средств защиты, возникают первые сложности, заключающиеся в следующем: как лучше их расположить относительно друг-друга? Попытка спрятать VPN устройство внутри защищаемой МЭ области сети приведет к тому, что МЭ не сможет анализировать шифрованный трафик, что, в частности, ослабит защиту от внутренних атак. Установка VPN модуля перед МЭ оставляет его один на один со всей внешней агрессивной сетью. К тому же и стоимость такого решения "кусается". Решить данную проблему поможет объединение двух таких полезных функций в одном продукте. Программно или аппаратно? К счастью, на рынке представлено много систем, объединяющих функции МЭ и VPN. Но какую реализацию предпочесть - программную или аппаратно - программную? Тут все зависит от финансовых возможностей вашей организации. Легко ли будет убедить руководителя и главного бухгалтера в необходимости приобретения помимо средства защиты еще и необходимого количества (между прочим, достаточно производительных, а потому дорогих) компьютеров? Или есть возможность выделить под данную задачу необходимое количество компьютеров из числа имеющихся? А удобно ли иметь отдельные независимые гарантии разных организаций на комплектующие и программное обеспечение? А приятно ли будет узнать, что установка программного обеспечения невозможна или продукт работает неустойчиво, например, из-за некорректной поддержки именно вашего сетевого адаптера? Чтобы ответить на первый вопрос, необходимо ответить на все последующие. Такой параметр, как число поддерживаемых сетевых интерфейсов, позволит сразу оценить гибкость приобретаемого решения: возможно ли будет одним VPN модулем обеспечить защиту нескольких сегментов корпоративной сети. Между прочим, некоторые VPN продукты предоставляют возможность разделять доступ между внутренними сегментами сети, что позволяет максимально адаптировать продукт к принятой корпоративной политике безопасности.
|