От чего и как следует защищать свой бизнес
О, если б мог от взоров недостойных
Я скрыть подвал!
О, если б из могилы
Прийти я мог, сторожевою тенью
Сидеть на сундуке и от живых
Сокровища мои хранить, как ныне!
А.С.Пушкин. «Скупой рыцарь»
Каким образом и какая от этого польза
Разговор о хакерах в этой статье идти не будет — несмотря на то, что речь пойдет о применении средств защиты информации индивидуальными пользователями в среднем и мелком бизнесе. Так от кого же защищаться, если не от хакеров? И при чем тут индивидуальные пользователи? Защищаться надо банкам, Интернет-магазинам, Пентагону в конце концов. Вот о том, что и как защищать, как извлечь из средств защиты максимальную пользу, экономя деньги на их применении, и пойдет разговор в этой статье.
От кого
Итак, почему не от хакера? Хотя бы потому, что в последнее время фигура хакера превратилась в страшилку из детского мультика — пугают, но совсем не страшно. А не страшно потому, что проникновение хакера в локальную сеть небольшой или средней фирмы — явление в высшей степени маловероятное. Работа настоящего хакера сопряжена с большими расходами (с арендой квартир, с покупкой специального оборудования и программного обеспечения, с оплатой команды «поддержки»). Очевидно, что доходы от подобной деятельности должны быть тоже велики, покрывая не только расходы, но и риск. Поэтому атакам хакеров в первую очередь подвергаются банки и крупные торговые фирмы. Хакеры-любители работают не ради денег. Главное для них — самоутвердиться и прославиться. Что толку залезать в сеть соседней торговой фирмы? Другое дело — Пентагон или НАСА. Правда, большой риск попасться с поличным... Зато слава — на весь мир.
Так стоит ли вообще простому российскому предпринимателю или рядовому пользователю домашнего компьютера, имеющего выход в Интернет, тратить средства на защиту информации? Давайте немного порассуждаем. Конкуренты и недоброжелатели есть у каждого. А для того чтобы нанести фирме ощутимый урон, квалифицированный хакер не нужен. Это может сделать даже студент, увлеченный компьютерами и решивший немного подзаработать на своем хобби. Любой способный школьник, купивший CD-ROM типа «Хакер-99» и пожелавший проверить на практике опубликованные там программы взлома паролей или конструирования вирусов, может потренироваться на случайно подвернувшемся интернетовском адресе или на оставленном без присмотра компьютере.
Но чаще всего злоумышленником оказывается тот, кто работает или еще вчера работал рядом. Исследования показывают, что основная часть угроз (58%) исходит именно от персонала компаний. Как правило, это сотрудники, чувствующие себя незаслуженно обиженными. Впрочем, не исключен и прямой шантаж. Внешние проникновения составляют всего 24% случаев, и, по мнению экспертов, их роль преувеличена стараниями прессы и телевидения.
Стремясь защитить конфиденциальную информацию, многие предприниматели вообще отказываются от подключения к Интернету или организуют подключение только одного, выделенного из сети компьютера. А жесткий диск, на котором хранится самая деликатная информация о фирме, запирают на ночь в сейф или уносят с собой. Стоит ли говорить, что подобный «пещерный» способ защиты информации сводит на нет все достоинства компьютерных технологий. Более того, он вообще не гарантирует безопасности, поскольку ключи от сейфа при желании можно украсть. А можно и попросить хозяина открыть сейф добровольно, подкрепив просьбу такими аргументами, что отказ будет невозможен. Речь идет не только о бандитах. К сожалению, иногда и сотрудники органов, призванных способствовать развитию предпринимательства, используют свое служебное положение предпринимателю во вред. Конечно, компетентные органы при желании докопаются до всего. Но это органы в целом, а не их отдельные недобросовестные и, разумеется, нетипичные представители.
Как
Не будем отвлекаться на рассуждения о том, почему защите информации в нашей стране уделяется явно недостаточное внимание (они в виде лирического отступления вынесены во врезку). Важнее подчеркнуть, что существуют недорогие, простые в обращении и достаточно надежные средства защиты, правильное применение которых позволяет не только сохранять заработанные деньги, но и экономить их, а в ряде случаев и приумножать.
О программе CryptoMania, предназначенной для защиты файлов на дисках, КомпьютерПресс уже писал в приложении CD-ROM к №3’99. Теперь речь пойдет о более сложной и универсальной программе «Сервис безопасности», разработанной ОАО «ИнфоТеКС» (демо-версия на сервере www.infotecs.ru). Универсальность программы заключается в том, что в зависимости от конкретного наполнения и настройки она может выполнять целый ряд функций, удовлетворяя запросы широкого круга потребителей, — от индивидуальных пользователей до корпоративных клиентов.
Выполняя функции средства защиты информации индивидуального пользователя из области малого и среднего бизнеса, «Сервис безопасности» обладает следующими характеристиками:
- представляет собой чисто программное решение, не требующее дорогих и сложных в применении аппаратных средств;
- отличается невысокой ценой, зависящей от числа функциональных компонентов и доступной для широкого круга потребителей;
- обладает удобным интерфейсом и простотой настройки, что позволяет использовать программу лицам, имеющим минимальные навыки работы на компьютере;
- после однажды произведенной настройки работает без участия пользователя, если настройка не требует изменения;
- может быть установлен на стандартных компьютерах с операционной системой Windows 95/98/NT, занимая 7,5 Мбайт на жестком диске;
- обеспечивает высокую стойкость защиты, удостоверенную сертификатом Государственной технической комиссии при президенте РФ и достаточную для любых коммерческих применений.
При этом «Сервис безопасности» выполняет функции:
- персонального брандмауэра;
- средства организации частной виртуальной сети;
- средства установления защищенной голосовой связи между удаленными пользователями на каналах Интернета;
- защищенной деловой почты.
Посвятив вторую врезку лирическому отступлению о принципах функционирования «Сервиса безопасности», которое может показаться скучноватым для неспециалистов, остановимся на том, какую пользу можно извлечь из перечисленных выше функций.
Каким образом и какая от этого польза
Персональный брандмауэр (FireWall). Так образно, имея в виду искусственно созданную стену огня на пути распространяющегося пожара, называют за рубежом программные или программно-аппаратные средства, осуществляющие контроль за информацией, которая поступает в локальную сеть из внешней сети, и наоборот. Наиболее близкий, хотя и не являющийся абсолютным синонимом термин в русском языке, — межсетевой экран. FireWall пропускает или блокирует информацию на основе ее анализа по некоторому набору правил, устанавливаемых администратором сети. При этом адреса всех прошедших или заблокированных информационных пакетов фиксируются в специальных журналах. Таким образом, экран, установленный на границе локальной и глобальной сетей, позволяет обеспечить контроль над входящей и исходящей информацией, отсечь ее нежелательную часть, пресечь попытки несанкционированного доступа к ресурсам локальной сети и выяснить адреса злоумышленников, совершающих подобные попытки.
Особенность Firewall’а, входящего в состав «Сервиса безопасности», состоит в том, что это, во-первых, исключительно программное средство, реализуемое на основе драйвера защиты и фильтрации сетевого трафика IP-LIR. Отсюда следует его невысокая стоимость по сравнению с любым из программно-аппаратных межсетевых экранов (разница — в десятки раз) и возможность установки на каждом из персональных компьютеров локальной сети, имеющих или даже не имеющих выход в Интернет. Поэтому IP-LIR реализует именно персональный Firewall, защищающий не только от внешних атак, но и от угроз, исходящих из самой сети (вспомним, что именно внутренние угрозы наиболее опасны). Драйверы, установленные на компьютерах и функционирующие под общим управлением, реализуют технологию распределенного межсетевого экрана, поскольку защита локальной сети осуществляется именно совокупностью драйверов, взаимодействующих между собой по определенному, установленному администратором закону.
Но драйвер IP-LIR — это персональный FireWall и еще по одной причине. Он может инсталлироваться и на подключенном к Интернету персональном компьютере индивидуального пользователя, защищая хранимую на нем информацию от атак из глобальной сети. В зависимости от настройки драйвер может блокировать все соединения, не входящие в предварительно составленный список, или допускать подобные соединения по специальному разрешению. Особенно привлекателен для пользователей, постоянно работающих с открытыми источниками в Интернете, реализованный в драйвере режим «бумеранг», который автоматически разрешает только инициативное соединение с выбранным источником информации, одновременно блокируя любые другие возможные соединения с компьютером пользователя (окно «Режимы», из которого производится настройка, представлено на рис. 1). Отметим также встроенный в программу аудит, который позволяет не только оперативно зафиксировать попытки проникновения из Интернета на компьютер пользователя, но и определить IP- адрес злоумышленника (окно «Журнала регистрации» и контекстное меню, появляющееся после щелчка мыши на определенной строке, представлены на рис. 2). Так что любые попытки взлома не останутся безнаказанными.
Частная виртуальная сеть. Интернет предоставляет любой фирме, организации, предприятию не только неисчерпаемый источник информации, но и дешевую, доступную любому пользователю коммуникационную среду. Через Интернет легко осуществлять связь между удаленными филиалами, сотрудниками, находящимися в командировках или работающими на дому. Последняя форма работы все шире применяется западными фирмами, позволяя экономить как время сотрудников, затрачиваемое на дорогу, так и собственные расходы на аренду помещений и коммунальные услуги. Но открытость и доступность Интернета порождают проблемы с безопасностью передаваемой по открытым каналам информации. «Сервис безопасности», используя целый комплекс специальных мер (см. подробнее врезку 2), позволяет установить несколько степеней защиты на информацию, передаваемую по TCP/IP-сетям (а именно к их числу и принадлежит Интернет) между заданной группой пользователей. Таким образом, на открытые каналы глобальной сети как бы накладывается новая защищенная сеть. Такие сети называют частными (из-за их защищенности от посторонних) виртуальными (из-за отсутствия собственных каналов связи) сетями, в западной терминологии — virtual private network, или сокращенно VPN. В настоящее время они получают все большее распространение из-за дешевизны по сравнению с сетями, построенными на выделенных каналах связи. В публикации Infoart News Agency от 11.02.99 на сервере www.infoart.ru приводится оценка, согласно которой вложения в VPN окупаются в среднем всего за 1,5 месяца. Даже по наиболее консервативным оценкам, величина отдачи на произведенные вложения составляет от 35 до 40%. А по прогнозу исследовательской фирмы International Data, к 2001 году в мире будет насчитываться 133 млн. пользователей VPN. В той же публикации приведена история, рассказанная менеджером фирмы Compaq, о том, как основанная на VPN система автоматизации работы отдела снабжения фирмы позволила сократить цикл закупки с восьми дней до трех, а затраты на обработку одного заказа — со 144 до 15 долл. Почти десятикратное сокращение расходов!
«Сервис безопасности» обладает двумя очень удобными для руководителя службами: конференций и циркулярного обмена сообщениями (окно настройки службы конференции представлено на рис. 3). Первая позволяет организатору конференции и всем ее участникам обмениваться между собой в режиме online сообщениями, подтвержденными квитанциями о доставке и прочтении. Причем все участники конференции видят сообщения друг друга, а организатор может оперативно отключать или подключать ее участников.
Вторая служба позволяет только организатору циркулярного обмена видеть подтвержденные квитанциями о доставке и прочтении сообщения, поступающие от участников обмена. Всем другим участникам эти сообщения недоступны. Напомним также, что в обоих случаях сообщения недоступны всем пользователям Интернета, не включенным в список участников.
Защищенная голосовая связь на каналах Интернета. Расходы фирм на телефонную связь всегда достаточно ощутимы, особенно когда речь идет о международной связи. Поэтому голосовая связь через Интернет, которая обходится примерно на порядок дешевле, чем обычная телефонная, становится все более привлекательной с коммерческой точки зрения. Ее качество в последние годы быстро улучшается и сейчас достигло вполне удовлетворительного уровня. Да и для рядового пользователя голосовая связь через Интернет — это возможность почти бесплатно поболтать с другом, проживающим за границей.
Недостаток голосовой связи через Интернет тот же, что и связи вообще, — полная незащищенность разговоров, которые могут быть подслушаны кем угодно. Если с подобной ситуацией можно мириться при дружеском трепе, то для коммерческих переговоров она совершенно неприемлема. Оберегая свою конфиденциальную информацию, фирмы зачастую предпочитают пользоваться дорогими защищенными выделенными каналами.
Высокое быстродействие драйвера, входящего в состав «Сервиса безопасности» (около 5 Мбит/с на Pentium-166), позволяет использовать его совместно с известными стандартными программами типа NetMeeting и IP-Phone без применения какого-либо специального оборудования, обеспечивая пользователей дешевой и надежно защищенной телефонной связью через Интернет. При этом для установления связи можно использовать настольные, переносные и карманные компьютеры с операционной системой Windows 95/98/NT и мультимедийными дополнениями (микрофоном и динамиками) или с телефонной трубкой. Причем в процессе голосовой связи можно одновременно осуществлять высокоскоростную защищенную передачу файлов.
Защищенная деловая почта. На этой функции «Сервиса безопасности» вряд ли стоит останавливаться подробно. Мы и обычной почте с ее гарантированной тайной переписки не очень-то доверяем, не то что электронной. Надежность защиты сообщений, передаваемых с помощью деловой почты «Сервиса безопасности», гарантируется тем, что сообщение зашифровано всегда — до отправки, в процессе передачи и при хранении, а полностью удалить следы отправленного или полученного документа невозможно. Выполненный в привычном отечественному пользователю стиле Outlook Express (рис. 4) данный сервис позволяет автоматически производить электронную подпись и шифрование при отправке сообщений, осуществлять многоадресную рассылку корреспонденции, обработку квитанций о доставке и прочтении почты, предоставлять полную информацию об отправителе и получателе сообщения на приемной и передающей стороне, регистрировать входящую и исходящую корреспонденцию.
Заметим также, что «Сервис безопасности» при его использовании совместно с управляющими программами «Центр управления сетью», «Ключевой центр» и «Универсальный сервер» превращается в мощное средство для построения организованных на стандартных телекоммуникациях централизованно управляемых корпоративных сетей с развитыми средствами межсетевого взаимодействия между различными сетями.
Несколько слов в заключение. Уходя из дома, мы привыкли запирать квартиру. Тратим немалые деньги на системы сигнализации для своей автомашины. Привычно употребляем фразу: «Это не телефонный разговор». Но при этом мы ошеломляюще безразличны к сохранности информации на компьютере или в сети. Мы так пока и не осознали, что с развитием рыночной экономики информация превращается в товар, который во все времена и во всех странах было принято запирать на ключ. И если автору удалось хоть немного поколебать нашу традиционную беспечность, заставить сомневаться в том, что расходы на средства защиты информации — не пустая трата денег, показать, что с помощью грамотного применения этих средств можно не только сохранить, но и преумножить капитал, значит, его старания не пропали даром.
С автором можно связаться по e-mail: kalfa@infotecs.ru или по телефону: (095) 913-21-35.
КомпьютерПресс 8'1999