Рынок ИТ-безопасности условно разделяется на три основных сегмента: рынок услуг управления ИТ-безопасностью (Security Services Market), рынок программных средств ИТ-безопасности (Security Software Market) и рынок аппаратных систем ИТ-безопасности (Security Hardware Market). Перекрытие последних двух рынков достаточно широко, так как зачастую однозначно отнести ту или иную систему либо технологию к чисто программным или чисто аппаратным средствам довольно сложно.
Рис. 11.5. Структура рынка ПО для обеспечения ИТ-безопасности
Программные системы 3A (Security 3A)
Программные системы Security 3A объединяют решения для аутентификации, авторизации и администрирования и широко используются для обеспечения безопасности в компьютерных системах.
Аутентификационное ПО используется для верификации пользователей и, как правило, предполагает ввод имени пользователя и пароля для предоставления ему входа в систему.
Авторизационное ПО отвечает за определение уровня привилегий, предоставленных администратором пользователю в соответствии с корпоративной политикой безопасности, и регулирует уровень доступа к системным ресурсам. Обычно авторизация осуществляется последовательно с аутентификацией.
ПО администрирования включает решения для управления безопасностью, обеспечивающие контроль доступа к информации пользователей в соответствии с политиками безопасности и снижение потенциальной уязвимости системы со стороны как внутренних, так и внешних пользователей и фокусирующиеся на увеличении производительности пользователей, снижении ошибок администрирования и обеспечении управления различными службами безопасности из одной точки контроля.
Программные системы Security 3A обеспечивают управление правами доступа централизованно (то есть при появлении нового пользователя, изменении его состояния или в случае его ухода корректируются данные во всех системах одновременно) и с применением высокоуровневых политик, что необходимо для упрощения работы по контролю прав доступа. При этом создание, модификация и удаление учетных записей во всех приложениях информационной системы полностью автоматизированы.
Наиболее известными разработчиками программных продуктов на этом рынке являются компании Computer Associates, Netegrity, RSA Security и IBM (ранее представляемые ею продукты предлагались компанией Tivoli). Рассмотрим некоторые решения RSA Security: RSA Access Manager, RSA Digital Certificate Management Solutions и RSA SecurID.
Продукт RSA Access Manager, ранее известный как RSA ClearTrust, предназначен для идентификации пользователей и управления доступом в сеть и обеспечивает защищенный доступ к web-приложениям во внутренних сетях организаций, внешних сетях, порталах и инфраструктурах обмена данными. Решение базируется на основе применения корпоративных политик доступа - в нем предусмотрено централизованное внедрение и управление политиками, причем для работы со всеми информационными ресурсами расширенных корпоративных и федеративных сред достаточно однократной регистрации SSO (Single Sign-On). RSA Access Manager предоставляет расширенные возможности поиска и сортировки данных, а благодаря поддержке функции иерархического делегирования администраторских полномочий позволяет более эффективно распределять права и задачи в организациях со сложной организационной структурой (включая схему parent - child).
Пакет RSA Digital Certificate Management Solutions, ранее известный как RSA Keon, представляет собой систему обеспечения информационной безопасности предприятия, предназначенную для предотвращения неавторизованного доступа к конфиденциальным данным, приложениям и ресурсам и позволяющую вести безопасный электронный бизнес с помощью создания, управления и использования цифровых сертификатов или подписей. Аутентификация основана на базе технологии применения открытых ключей (Public Key Infrastructure), вводимых посредством использования смарт-карт. Для формирования инфраструктуры ключей в системе имеется инструментарий, позволяющий создавать сертификаты открытых ключей пользователей, отзывать их, хранить и публиковать (рис. 11.6). Для повышения уровня безопасности RSA Certificate Manager позволяет (после подключения дополнительного модуля для реализации криптографических функций - криптопровайдера) дополнительно применять криптографические средства.
Рис. 11.6. Схема создания сертификата открытого ключа в RSA Digital Certificate Management Solutions
Продукт RSA SecurID является средством аутентификации, предназначенным для предотвращения неавторизованного доступа к конфиденциальным данным, приложениям и ресурсам как в локальной сети предприятия, так и в открытых сетях. Решение обеспечивает двойную защиту, поскольку для доступа пользователь должен знать персональный пароль и обладать аутентификатором SecurID (электронным токеном), каждые 60 секунд генерирующим шестизначный цифровой код, который также придется вводить в систему. RSA Security предлагает широкий выбор типов аутентификаторов - от электронных жетонов и смарт-карт RSA SecurID до электронных сертификатов. Идентификацию пользователя проводит сервер аутентификации ACE/Server, который используется для обработки аутентификационных запросов и администрирования политики безопасности. Аутентификаторы SecurID поддерживаются практически на всех аппаратно-программных платформах и во многих приложениях, а ACE/Server может расширяться до масштаба крупных предприятий и взаимодействовать с большим числом сетевых, интернет - и прикладных решений.
Программные брандмауэры и VPN (Firewall/VPN SW)
Рынок Firewall/VPN SW состоит из ПО, которое идентифицирует и блокирует доступ к определенным приложениям и данным. Кроме того, данные решения могут дополнительно обеспечивать VPN-шифрование. Программные брандмауэры обычно подразделяются на корпоративные, персональные и distributed-брандмауэры. Последние обладают функциональностью персональных десктоп-брандмауэров и одновременно с этим включают дополнительный управленческий инструментарий, что позволяет централизованно управлять политиками компании, VPN-шифрованием и апгрейдом ПО.
Брандмауэры позволяют разделить каждую сеть на две (или более) части и определить различные условия для прохождения пакетов внутри полученных частей сети. Как правило, подобная граница проводится между корпоративной (локальной) сетью предприятия и Интернетом, хотя ее можно провести и внутри корпоративной сети предприятия. При необходимости всю сеть можно разбить на сегменты с разными уровнями секретности и так настроить политики пользователей, чтобы возможности доступа у них были ограничены определенными сетевыми сегментами. Например, можно выделить в отдельный сегмент все внутренние серверы компании и изолировать в итоге потоки информации между пользователями, имеющими различные уровни доступа. Конфиденциальность и целостность передаваемой между разными сегментами сети информации при этом должна обеспечиваться при помощи средств шифрования, использования цифровых подписей и т.п.
Однако брандмауэры не лишены недостатков (и весьма существенных) и не в состоянии решить все проблемы безопасности корпоративной сети. Самым главным их недостатком является то, что брандмауэр может блокировать ряд применяемых пользователями сервисов: Telnet, FTP и др. Что же касается проблем безопасности корпоративной сети, то брандмауэры обычно не обеспечивают защиты от внутренних угроз.
В качестве наиболее известных и хорошо зарекомендовавших себя программных брандмауэров можно назвать такие решения, как FireWall-1/VPN-1 от компании Check Point Software Technologies, Symantec Enterprise Firewall VPN от компании Symantec и eTrust Firewall от компании Computer Associates. Для примера приведем краткую характеристику программного пакета от компании Symantec.
Межсетевой экран Symantec Enterprise Firewall предназначен для активной защиты информационных ресурсов предприятия на сетевом и прикладном уровнях, причем не только от уже известных, но и от новых атак, включая сложные комбинированные угрозы и атаки типа «отказ в обслуживании». А с помощью основанных на стандартах и интегрированных в программное решение средств VPN можно устанавливать экономичное высокоскоростное подключение между филиалами, а также между центральным офисом предприятия и мобильными пользователями. В итоге обеспечивается полный контроль данных, входящих в сеть предприятия и исходящих из нее, в то же время партнерам и клиентам предоставляется защищенный бесперебойный доступ к корпоративным ресурсам. Кроме того, в Symantec Enterprise Firewall поддерживается алгоритм наилучшего совпадения, позволяющий сопоставлять правила доступа и попытки подключения к сети (это помогает избежать случайного создания брешей в системе безопасности), а также возможность фильтрации web-ресурсов по URL-адресам.
Решения для управления безопасностью контента (Secure Content Management, SCM)
Рынок ПО для управления безопасностью контента включает решения, которые обеспечивают управление контентом на базе проводимых в корпорации определенных политик и ограничивают потоки информации, передаваемые и получаемые компанией из Сети. Основными сегментами SCM-рынка являются:
· антивирусное ПО (Antivirus Software, AV) — обеспечивает контроль за проникновением вирусов и предотвращает скачивание нежелательных приложений;
· решения для осуществления фильтрации web-контента (Web Filtering) — позволяет предотвращать проникновение нелегального web-контента в корпоративную сеть;
· сканирование сообщений электронной почты (Email Scanning) — обеспечивает контроль утечки конфиденциальной информации из корпоративной сети и фильтрацию спама.
Иногда к SCM-рынку относят и ряд других направлений, например решения Employee Internet Management (EIM), предназначенные для контроля доступа сотрудников к ресурсам Интернета и др.
Что касается решений, позиционирующихся на SCM-рынке, то он огромен - мы остановимся лишь на некоторых из них.
Ведущими тремя продавцами антивирусных решений на мировом рынке по-прежнему остаются Symantec, McAfee и Trend Micro, на долю которых, согласно Gartner, приходится более 80% объемов продаж. Объемы продаж антивирусных решений компаний Kaspersky, Panda Software и Eset Nod32 гораздо ниже, однако на некоторых региональных рынках их доли высоки. Например, программные продукты от Panda Software очень активно продаются в Европе, где на их долю приходится более 20% рынка, а антивирусы от Kaspersky лидируют по продажам в России.
В числе известных решений для фильтрации интернет-трафика можно назвать, например, такие продукты, как SuperScout от компании SurfControl и Websense Enterprise от компании WebSense. Они представляют собой что-то вроде межсетевых экранов для информационного наполнения Всемирной сети, открывающих/закрывающих доступ к различным ее ресурсам для пользователей в соответствии с настройками системы корпоративных политик безопасности. Это позволяет защитить компанию от проблем, связанных с нежелательным контентом, и сделать работу сотрудников более эффективной, а также усилить систему безопасности.
Очень интересны решения компании Elron Software — Message Inspector и Web Inspector, которые подойдут не только для web-сканирования и блокирования запрещенных web-узлов, но и позволят фильтровать электронную почту, группы новостей и FTP-сообщения в соответствии с собственным перечнем запретных слов или фраз.
А пакет eSafe компании Aladdin представляет собой целую систему комплексного обеспечения проактивной безопасности информации в корпоративной сети на уровне интернет-шлюзов и почтовых серверов. Данная система предоставляет средства антивирусной защиты (как от известных, так и пока неизвестных вирусов), защиты от интернет-червей, adware/spyware, атак, использующих уязвимости в ПО, web-фильтрации и защиты от спама. С не меньшим успехом eSafe может использоваться для предотвращения утечки конфиденциальных сведений, регулирования времени пребывания пользователей в Интернете и блокирования их доступа к неразрешенным ресурсам. Помимо этого пакет eSafe способен обнаруживать не разрешенные к использованию приложения, надежно блокировать деятельность программ-шпионов, осуществлять потоковую фильтрацию и очистку почтового и интернет-трафиков.
ПО для оценки уязвимостей и выявления вторжений (Intrusion detection software/Vulnerability Assesment, IDS VA)
Данные программные продукты разрабатываются для постоянного мониторинга устройства или сети в плане обнаружения вторжения (ID), предотвращения атак на сети (Intrusion Prevention) и оценки уязвимости системы (VA). Они используются для обеспечения более надежной работы сетей, сетевых устройств и приложений на базе обнаружения вредоносной активности или путем выдачи предупреждения о наличии потенциальной уязвимости.
В качестве примера ключевых решений в данном секторе можно привести программные продуты от компании IBM - IBM Tivoli Security Compliance Manager и IBM Tivoli Risk Manager.
IBM Tivoli Security Compliance Manager - это система обнаружения нарушений политики безопасности и потенциальных уязвимостей, помогающая идентифицировать нарушения политики защиты и выявить потенциальные системные уязвимости задолго до появления реальной угрозы. Данная система позволяет осуществлять контроль политик информационной безопасности в распределенных системах различного уровня, проводить анализ состояния безопасности, отслеживать тенденции и проводить необходимые изменения без привлечения большого штата квалифицированных администраторов, предоставляя тем самым быстрый и действенный способ сбора и обработки информации о состоянии защиты корпоративных систем. Решение содержит шаблоны проверенных практикой лучших политик безопасности, которые могут быть настроены в соответствии с корпоративными требованиями (рис.11.7), и базируется на концепции автоматизации по требованию, что обеспечивает автоматизированное защитное сканирование серверов и настольных систем на предмет надежности их защиты.
Рис. 11.7. Процесс управления и контроля за соответствием политик безопасности с применением системы Tivoli Security Compliance Manager
IBM Tivoli Risk Manager - это система для обнаружения вторжений и отражения более 200 различных типов атак, которая позволяет централизованно управлять внешними и внутренними угрозами и реагировать на попытки несанкционированного проникновения в информационную систему. Данное решение позволяет отслеживать, просматривать и управлять событиями защиты, классифицировать события защиты по категориям (это обеспечивает быструю идентификацию и обработку наиболее опасных событий) и выполнять заранее определенные наборы действий для отражения атак типа «отказ в обслуживании», обезвреживания вирусов и пресечения несанкционированного доступа. Кроме того, с его помощью можно просматривать и анализировать шаблоны вторжений, загруженности систем и сети, а также сообщений от средств защиты.
Вопросы для самоконтроля:
1. Какие существуют способы нарушения информационной безопасности?
2. Назовите наиболее серьезные последствия утечки конфиденциальной информации.
3. Нарисуйте схему структуры рынка ПО для обеспечения ИТ-безопасности.
4. Для чего нужны программные системы Security 3A?
5. Для чего предназначен межсетевой экран Symantec Enterprise Firewall?
6. Для чего служит система IBM Tivoli Risk Manager?
7. Назовите несколько известных решений для фильтрации интернет-трафика.
Список литературы:
1. Мельников, В.П. Информационная безопасность и защита информации [Текст] / В.П. Мельников. - М.: Издательский центр «Академия», 2008. – 336 с.
2. Романец, Ю.В. Защита информации в компьютерных системах и сетях [Текст] / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин. - М.: радио и связь, 2001. – 149 с.
3. Степанов, Е.А. Информационная безопасность и защита информации [Текст] / Е.А. Степанов, И.К. Корнеев. – М.: ИНФРА-М, 2005. -177с.
4. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: учеб. пособие[Текст] / В.Ф. Шаньгин. - М.: ИД ФОРУМ: ИНФРА-М, 2008. – 416 с.
