|
|
|
Малый и средний бизнес начинают защищатьсяЗащищать свою информацию теперь приходится не только крупному бизнесу и государственным структурам. В «гонку вооружений» вынуждены включиться также компании малого и среднего размера. Хотя и средств для построения комплексной системы ИБ у них зачастую нет, но отдельные элементы инфраструктуры им вполне «по зубам». Термин «малый и средний бизнес» (СМБ) многими трактуется по-разному. То что, попадает под это определение в Северной Америке, легко оказывается крупным предприятием на территории России. Действительно, термин «малое и среднее предприятие» включает в себя огромное количество совершенно разноплановых предприятий и организации, отличающихся друг от друга по масштабу, моделям ведения бизнеса и многому другому. Рассмотрим основные принципы обеспечения их защиты от информационных угроз. Что есть типичное предприятие малого и среднего бизнеса в российском понимании? В общем случае оно представляет собой один или несколько маленьких офисов, разбросанных по необъятным просторам нашего государства. Что же будет ключевыми элементами информационных инфраструктуры и безопасности такого предприятия? Остановимся на самых базовых компонентах. Средства сетевой безопасности внутри офиса В первую очередь это - хранилище данных. В его качестве может выступать либо один или несколько серверов для малого бизнеса, либо набор серверов для среднего предприятия. И, прежде чем рассмотреть рекомендуемые методы защиты, необходимо выяснить: а от кого и чего необходимо защищаться? В случае малого предприятия, скорее всего, серверы находятся в том же сетевом сегменте, что и внутренние сотрудники. Это делает их полностью уязвимыми по отношению к любым червям и вирусам, а о простоте внутреннего взлома говорить уже не приходится. И тут базовым и наиболее дешевым средством обеспечения защиты такого сервера может стать антивирус в сочетании с хостовой системой предотвращения вторжений. И даже то, что это будет отрицательно сказываться на производительности серверов, не окажет значительного воздействия на работу предприятия в целом. В том случае, если серверов уже значительное количество, имеет смысл вынести их в отдельный сетевой сегмент, и защитить его уже специализированными сетевыми средствами безопасности, например межсетевыми экранами и системами предотвращения вторжений. В наше время это может быть и одно многофункциональное программно-аппаратное устройство. Сеть малого предприятия То же самое решение пригодно и для средних предприятий, только могут понадобиться более производительные средства защиты. Такой подход, с использованием сетевых средств защиты, имеет и еще один позитивный момент, который надо учитывать. Часто, при использовании разнообразного прикладного программного обеспечения, встает вопрос о его совместимости с защитным ПО, установленным на тот же самый сервер. Именно поэтому некоторые производители софта имеют список протестированного ПО третьих фирм или вводят систему сертификации. В том случае, когда есть сомнения в совместимости и нет желания вступать на тернистый путь самостоятельного разбирательства с подобными вопросами - специализированные аппаратные средства и могут стать палочкой-выручалочкой. Сетевая безопасность при соединении с ЦОДом В результате эволюции защиты ключевых информационных ресурсов, СМБ имеет прекрасный шанс прийти к варианту построения небольшого консолидированного корпоративного центра обработки данных (ЦОД). Наличие такого ЦОДа позволяет проще решать и ряд других задач, таких как обеспечение гарантированной среды функционирования, а именно - стабильного электропитания, температурного и влажностного режимов. Можно вспомнить и про физическую безопасность информационных ресурсов. Следующим этапом развития может оказаться активное использование сети интернет для продвижения услуг предприятия, начиная от рекламы и заканчивая электронным магазином. Тут предприятие обычно оказывается на перепутье - или создавать интернет-ресурс своими силами, или использовать на контрактной основе услуги специализированной компании. Специалисты настоятельно рекомендуют именно второй путь, как наиболее эффективный. Каковы аргументы в его пользу? Так как специализированные компании обычно предоставляют полный спектр услуг - от разработки до размещения сайта на хостинге оператора услуг и его раскрутке, то предприятие может концентрироваться на своем основном бизнесе и снизить свою зависимость от штата высококвалифицированных непрофильных специалистов. Но в любом случае у СМБ сразу появляется новый круг угроз информационной безопасности: атаки типа отказ в обслуживании, взломы, заражение сайта троянцами и т.д. Как показывает практика, небольшому предприятию весьма затруднительно противодействовать подобным атакам и по техническим причинам, и по причине отсутствия соответствующего персонала. У сторонних операторов же часто все это имеется в наличии. Именно поэтому во всем мире активно растет предоставление сервисов безопасности именно операторами связи для своих клиентов. Причем часть из них предоставляется как на платной, так и на бесплатной основе. В России, например, растет количество операторов, задумывающихся о защите своих клиентов хостинга от атак типа отказ в обслуживании без дополнительной оплаты этой услуги. У ряда средних предприятий есть несколько офисов, а то и множество надомных сотрудников, а так же офисов продаж с одним или двумя компьютерами в каждом. Здесь бизнес сталкивается с двумя проблемами. Первая - как экономично построить безопасную сеть в маленьком офисе? Наиболее интересным и перспективным решением является использование беспроводных технологий. Это связано в первую очередь со скоростью развертывания, простотой подключения новых пользователей, а также фактически полным сохранением инвестиций при смене офиса. Надо только не забыть, что средства защиты беспроводных сетей - по-прежнему одна из наиболее спекулятивных тем. Такие важные возможности, как обеспечение строгой аутентификации абонентов и надежная защита от взлома и прослушивания уже давно реализована в оборудовании ведущих производителей как точек беспроводного доступа, так и в современных операционных системах. Печальным же фактом остается только то, что именно настройку этих элементов безопасности часто и забывают сделать. И тут необходимо или самостоятельно уделить вопросам ИБ достаточное внимание или, опять же, использовать услуги внешних организаций, обладающих необходимыми специалистами. Вторая же составляющая построения ИТ- инфраструктуры современного небольшого филиала - это средства подключения к головному офису. Сейчас основной средой для такого подключения является сеть интернет. Что может быть проще? Просто подключился к любому оператору интернета и все. Или не все, или опять решать вопрос того, как защититься теперь уже от несанкционированного доступа к данным или атаки типа отказ в обслуживании (DDoS)? Надо честно сказать, что до состояния, когда атаки DDoS проводятся на индивидуальных пользователей или маленькие офисы, которые при подключении получают динамический адрес IP, мы еще не дожили. Поэтому защиту головного офиса имеет смысл попросить (возможно, за деньги) обеспечить нашего оператора связи. Кстати, если он не пойдет на встречу в этом вопросе, то современная рыночная ситуация позволяет совершенно спокойно порассуждать о быстрой смене такого оператора. Поэтому в первую очередь необходимо сконцентрироваться на обеспечении целостности и конфиденциальности информации. Для решения этой задачи обычно применяется технология VPN. Варианты подключения удаленных пользователей и офисов крайне многообразны. Ряд из них приведен на рисунке ниже. Подключение пользователей малых офисов В нашем случае возможно использование VPN сразу для двух задач - межсетевого взаимодействия офисов и подключения удаленных/мобильных пользователей. Необходимо не забыть о двух ключевых моментах, которые будут определяющими при выборе того или иного решения. Первый из них - масштабируемость - какое количество офисов и пользователей может быть объединено. Второй вопрос является критическим для СМБ, а именно - простота обслуживания. Принимая во внимание обычное отсутствие квалифицированного технического персонала в каждом из офисов, необходимо выбирать такие решения, что бы их обслуживание и настройка могла осуществляться удаленно инженерами головного офиса. Остальные технологические различия между разными решениями будут оказывать существенно меньшее влияние на выбор. В том случае, когда при подключении к сети интернет используются специализированные устройства, то помимо функций построения VPN, они обычно обладают функциональностью межсетевого экрана и сетевой системой обнаружения и предотвращения вторжений. Это выгодно отличает их от исключительно программных решений. Защита малого и среднего бизнеса от инсайдеров Итак, были рассмотрены основные компоненты защищенной сетевой инфраструктуры современного малого предприятия. За одним маленьким исключением, а именно - защита самих рабочих мест пользователей. К сожалению, все массовые проблемы информационной безопасностью последних лет были связаны именно с ними. Поэтому многие крупные предприятия очень внимательно смотрят на такие активно развивающиеся технологии, как контроль сетевого доступа. Но вот для небольшого бизнеса внедрение подобных вещей может оказаться не подъемной ношей. Поэтому надо начать с меньшего, а именно – с централизованно управляемой системы антивирусной защиты в сочетании с системой предотвращения вторжений. Некоторые из подобных систем, например Cisco Security Agent, позволяют описать профиль легитимного поведения пользователей и приложений, причем в завистмости от полномочий данного пользователя и его местонахождения. И тогда сотрудник удаленного офиса будет иметь возможность использовать только те приложения, которые необходимы ему для работы. При этом сами приложения тоже могут быть ограничены, например, по используемым ими сетевым ресурсам. В рамках этой технологии можно даже создать замкнутую рабочую среду сотрудника, что помимо повышения уровня безопасности может приводить к повышению производительности труда данного сотрудника, а также обеспечить защиту информации от утечек. Безусловно, список решений, продуктов и технологий, предназначенных для решения поставленной задачи, существенно шире, чем было сказано выше. Его конкретное содержание будет зависеть от дальнейшего развития информационных технологий на самом предприятии, например использование IP телефонии, видеоконференцсвязи, IPTV и т.п. В любом случае современные средства позволяют весьма эффективно решить все ключевые задачи по обеспечению информационной безопасности малого и среднего предприятия. А активное развитие рынка аутсорсинга услуг безопасности даст возможность сокращения непрофильных затрат в сочетании с повышением качества защиты. Михаил Кадер |