|
|
|
Дмитрий Шепелявый: Продукты ИБ становятся частью инфраструктурных и прикладных решенийНа вопросы CNews о перспективах развития мирового рынка информационной безопасности и планах работы корпорации в этом сегменте на ближайшие годы ответил Дмитрий Шепелявый, руководитель технологического направления по продуктам безопасности Oracle СНГ. CNews: Какие тенденции определяют сегодня «лицо» мирового рынка информационных технологий? Дмитрий Шепелявый: Наиболее очевидная тенденция — это консолидация рынка. Причем она характерна для всех стран мира. Если брать Россию — это слияние Borlas c IBS и т. д. Компании, которые работают только в сегменте информационной безопасности, рискуют стать нишевыми игроками. А серьезные проекты при этом будут доставаться крупным интеграторам. Последним таким событием стал выход Microsoft на рынок антивирусов. В результате начались активные интеграционные и диверсификационные процессы в антивирусном сегменте, считавшимся до последнего времени наиболее независимым. Это, например, борьба со спамом, утечками и аудит. Яркий пример в России — компания InfoWatch, входящей в группу «Лаборатория Касперского» в секторе leakage prevention (борьба с инсайдерами, как принято говорить в России). Наконец, необходимо упомянуть о все большей связанности рынка информационной безопасности с вопросами управления бизнес-рисками и соответствия нормативным актам (например, SOX, Basel II, Стандарт по ИБ Центрального Банка РФ). Это уже не управление межсетевыми экранами, а управление процессами и бизнес-рисками. На наш взгляд, это может придать новое дыхание рынку ИБ, поскольку разговоры о необходимости тесной связки бизнеса и информационной безопасности переросли в этап создания конкретных продуктов. Если говорить об Oracle, то компания выступила с глобальной инициативой Governance Risk Compliance в рамках которой были разработаны решения по комплексному управлению всеми видами рисков, в том числе и операционными. CNews: Как вообще Oracle пришел на рынок информационной безопасности? Дмитрий Шепелявый: Oracle и не приходил к безопасности — он всегда был на этом рынке. Начиная с первых версий баз данных, заканчивая последними их релизами — опциям ИБ традиционно уделялось много внимания. То есть эта тема для Oracle не новая и никогда не была посторонней. Чему сейчас корпорация уделяет большое внимание — так это обеспечения безопасности инфраструктуры предприятия в целом (Identity and Access management). Для быстрого выхода на этот рынок были приобретены хорошо зарекомендовавшие себя в этой области компании (в частности, специализировавшиеся на управлении учетными записями, правами доступа в гетерогенных системах, а также на разработке решений для создания виртуальных каталогов). Сейчас эти решения полностью интегрированы в продуктовую линейку компании и являются гармоничной частью стека Oracle Fusion Middleware (решения промежуточного слоя). Они объединены в комплексные продукты, которые уже достаточно давно предлагаются заказчикам. Например, это пакет Identity and Access Management Suite, включающий в себя средства для управления учетными записями, контролем доступа, установления доверенных отношений между независимыми системами, а так же для создания виртуального каталога. Дополнительной особенностью пакета является то, что управление им может быть объединено с общей консолью управления Oracle Enterprise Manager. Она большинству администраторов баз данных давно знакома и предназначена для управления всеми приложениями Oracle. Enterprise Manager теперь может управлять и отслеживать уровень сервиса и решений по безопасности. Сервисы безопасности (нагрузка на сервер аутентификации, количество аутентификаций и прочие параметры, которые важны для конечного пользователя) могут быть контролируемы с помощью SLA на Enterprise Manager. Таким образом, для Oracle безопасность — это один сервисов, предоставляемый бизнес — пользователям. CNews: Каковы тренды в сегменте продуктов, связанных с консолидацией и анализом данных аудита в процессе обеспечения информационной безопасности? Дмитрий Шепелявый: Не секрет, что Oracle со своим продуктом Audit Vault не первым вышел на этот рынок — консолидации данных и аудита. Там уже работали netForensics, Cisco и другие компании. Но в решении Oracle были учтены существующие мировые тенденции — например, та, что данные надо уметь не только собрать и проанализировать, но и уметь хранить, причем долго и много. Здесь очень пригодился опыт Oracle в области построения хранилищ данных для того, чтобы не только суметь собрать данные аудита ИБ, но еще и обеспечить хранение и управление их жизненным циклом при помощи своих же собственных технологий data warehouse. Вторая тенденция, которую увидели и использовали специалисты Oracle в этом сегменте — бурная потребность и развитие систем интеллектуального анализа собранных данных (BI). В итоге Oracle в результате эффекта синергии от сложения собственных средств, предназначенных для хранения и анализа данных, а также некоторых приобретенных технологий, удалось быстро создать и вывести на рынок новый продукт — Audit Vault. CNews: Во всем мире все большую популярность приобретает сервис — ориентированная архитектура (SOA). Насколько она безопасна, на ваш взгляд? Дмитрий Шепелявый: Архитектура SOA, на взгляд Oracle, безопасна по определению — начиная с ее дизайна. На уровне стандартов туда заложены положения различных спецификаций по безопасности, например, консорциумов Liberty Alliance, OASIS, которые на уровне дизайна web-сервисов закладывают механизм аутентификации, авторизации, аудита, электронной подписи, шифрования транзакций и так далее. Вместе с опубликованием какого-нибудь сервиса в каталоге публикуется ссылка на политику безопасности этого сервиса с помощью открытых утвержденных стандартов. А там уже прописано, как к этому сервису получать доступ, откуда брать учетные записи, как проводить аутентификацию и обеспечивать криптографическую защиту транзакций. То есть в SOA заложена полноценная инфраструктура безопасности, и этим надо пользоваться. Конечно, процессы по уточнению стандартов при решении сложных ситуаций — например, при установлении доверенных отношений, идут постоянно, но общая концепция неизменна. В чем здесь может быть российская специфика? Например, существует необходимость встраивать средства шифрования и электронной подписи по российским стандартам. Но, опять-таки, архитектура позволяет встраивать средства третьих фирм с помощью штатных вызовов той же Java. Как и в любом конструкторе, есть и минусы — им надо уметь пользоваться. Так, если ты разработчик программного обеспечения web-сервисов, то должен четко понимать, как использовать SOA! Поскольку для большинства разработчиков (и российских, и западных) эта архитектура нова, им придется поучиться. CNews: Почему именно сейчас приобрела актуальность проблема защиты удаленного доступа — как для многофилиальных организаций, так и структур, использующих интернет-сервисы? Дмитрий Шепелявый: Безопасность доступа к web–порталам, серверам приложений и т.д. становится, действительно, актуальным вопросом. Связано это с транснациональным характером современного бизнеса и просто удобством использования этого механизма. Что касается Oracle, то у нас есть приложение Oracle Access Manager, которое кроме собственно единой политики безопасности в рамках Web-ресурсов предприятия, при использовании SSL обеспечивает и защиту самого web–доступа. Что касается использования отечественных криптоалгоритмов для защиты удаленного доступа, надо сказать о принципиальной позиции Oracle в вопросе криптографической защиты информации — только тесное партнерство с компетентными партнерами по этому направлению. Иными словами, есть решения Oracle, есть определенные наработки партнеров. Все это в комплексе и формирует решение по защите информации, использующее криптографические алгоритмы. Таким образом, Oracle сам не будет разрабатывать СКЗИ в России, и говорить о конкуренции в области криптографии с российскими разработчиками нет смысла. CNews: Каких итогов достигла корпорация в развитии своей инициативы Unbreakable Linux Initiative, направленной на повышение производительности, надежности и безопасности ОС Linux? Дмитрий Шепелявый: Unbreakable Linux — это предложение по технической поддержке. Т.е. силами Oracle многие функции Red Hat Linux взяты на сопровождение Enterprise-уровня: патчирование, обновление, управление и так далее. Плюс Oracle участвует в доработке ядра этого Linux. В том числе, и в вопросах безопасности — от чего собственно и название «Unbreakable». Необходимо подчеркнуть, что Oracle и раньше это делал, поскольку почти десять тысяч серверов внутри корпорации работают на Linux. Таким образом, это не что-то, привнесенное извне, а органичное перерастание собственной практики в сервисный продукт для внешних пользователей, которым Oracle пользуется и сам. Сейчас работы по этой инициативе можно определить как абсолютно рабочий процесс на стадии зрелости. CNews: Корпорация начала активно продвигать концепцию "Защищенное предприятие". Как бы вы охарактеризовали ее ключевые особенности? Дмитрий Шепелявый: Эта концепция состоит из четырех основных частей. Во-первых, защита должна осуществляться как можно ближе к самим данным. То есть не только на уровне их передачи, а там, где она сосредоточена и обрабатывается. Как встроенные в СУБД, так дополнительные средства Oracle ориентированы на защиту непосредственно самой информации в хранилище при ее обработке и хранении. Под словом «ближе» понимаются не географические характеристики, а функциональные параметры. Кроме того, в функциях безопасности СУБД полностью используются штатные механизмы Oracle, что исключает возникновение рисков по производительности и совместимости. Второе — это управление инфраструктурой безопасности, не только (и даже не столько) «оракловой», как то управление учетными записями, доступом, single-sign-on на уровне всего предприятия. Третья часть служит для обеспечения соответствия законодательству, в частности, в вопросе о сертификации ПО. В России сейчас полным ходом идет программа сертификации расширенного спектра приложений Oracle — серверов приложений, OEBS и решений по управлению инфраструктурой. И, наконец, это обеспечение отказоустойчивости и надежности. С помощью этой концепции можно эффективно решать одну из главных проблем заказчика — обеспечить баланс между требованиями бизнеса и необходимостью эффективно управлять рисками информационной безопасности. CNews: В чем заключается российская специфика обеспечения защиты данных, хранимых и обрабатываемых в бизнес-приложениях Oracle? Дмитрий Шепелявый: С точки зрения бизнес-процессов большой разницы между российской спецификой и мировой практикой нет. Но российские организации, по нашему опыту, уделяют повышенное внимание использованию электронной цифровой подписи в транзакциях. К примеру, если на Западе доказательством транзакции может быть и запись в журналах аудита, то у нас заказчики для обеспечения безопасности транзакции обычно опираются на технологию ЭЦП. Это, на наш взгляд, и есть основная местная специфика. Но это, я думаю это не «паранойя» заказчика, а особенность российского законодательства, опирающегося в первую очередь на ЭЦП, как на механизм обеспечения юридической значимости документа. CNews: На какие потребительские ниши ориентированы новые продукты Oracle? Дмитрий Шепелявый: Цель корпорации сейчас заключается в том, чтобы показать, что решения по информационной безопасности могут работать и великолепно работают даже там, где нет ни одного приложения Oracle. Это достигается за счет того, что количество поддерживаемых систем сторонних производителей велико и продолжает расти. Это все ведущие операционные системы, web–серверы, ERP, базы данных, банковские приложения и так далее. Если все же найдется не поддерживаемое приложение, то можно разработать с помощью открытого инструментария специальный коннектор. Обычно этим занимаются наши партнеры — интеграторы в рамках своих проектов. Oracle со своей стороны обеспечивает консультационную поддержку и помощь. В частности, в подобном режиме был разработан коннектор к системе 1С. В России сейчас есть два центра компетенции Oracle, которые могут также помочь в трудных моментах. Это центр на базе компании РНТ, специализирующийся на безопасности баз данных, а так же Borlas, специализирующийся на технологиях Identity and Access Management. Следует отметить, что список центров компетенции не закрыт, и мы готовы совместно с партнерами работать (и уже работаем) над созданием аналогичных центров компетенции. CNews: Спасибо. |