Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Обучение от Mail.Ru Group.
Онлайн-университет
для программистов с
гарантией трудоустройства.
Набор открыт!

Проблемы управления средствами ITSEC в больших компаниях

Страницы: 1 :: 2 :: 3 :: 4 :: следующая

Оглавление

Задачи управления средствами ITSEC в больших системах
Требуемые свойства инфраструктуры управления
Свойства системы управления средствами ITSEC в больших системах
Заключение

Компания "Инфосистемы Джет" уже более 10 лет проводит работы по информационной безопасности (ИБ). За это время успешно реализовано более 300 проектов по защите информации в федеральных и муниципальных структурах, банках и финансовых учреждениях, крупных торговых и промышленных предприятиях. Основываясь на многолетнем опыте внедрения систем безопасности, в том числе и собственных продуктов по ИБ, специалисты компании "Инфосистемы Джет" разработали идеологию управления средствами ITSEC в больших системах, которой и руководствуются в повседневной деятельности.

Под большими системами в данном случае подразумеваются крупные информационные сети как по размерам и территориальной распределенности, так и по масштабам решаемых с их помощью задач. Такие системы, как правило, охватывают значительные человеческие ресурсы, объединяют различные организации, включают массу разнообразных систем и оборудования. Необходимо иметь в виду, что построение этих систем происходило не за один день, а входящие в них компоненты создавались на различных этапах развития ИТ-индустрии, а значит, изначально могли иметь фундаментальные структурные различия.

Цель данной статьи — обобщить и сгруппировать все проблемы, связанные с управлением средствами ITSEC в больших информационных системах, и наметить пути их решения.

Задачи управления средствами ITSEC в больших системах

Для того чтобы иметь возможность решать сложные задачи по построению интегрированных систем безопасности, необходимо провести тщательную классификацию проблем, возникающих при их построении. Такая классификация поможет определить, какие же задачи управления средствами ITSEC являются актуальными в настоящий момент в больших и распределенных информационных системах.

Как это ни покажется странным на первый взгляд, основной проблемой больших сетей является их размер. Сложные сетевые конфигурации, требования к безопасности и надежности — в больших системах все эти проблемы принимают глобальные масштабы.

Сложные сетевые конфигурации

Инженерам центра информационной безопасности компании "Инфосистемы Джет" в своей практике часто приходится сталкиваться с построением сложных сетевых конфигураций. На основании нашего опыта можно говорить о нескольких основных проблемах.

Рассмотрим некоторые из них.

Структура сети

Одной из часто возникающих задач является преодоление проблем, связанных с сетевой трансляцией адресов. Пример: если надо обеспечить соединение из центра к управляемому объекту в локальной сети, подключенной через NAT, то потребуется искать обходные пути либо дорабатывать конфигурацию NAT, так как в простом варианте соединение будет блокировано. Приходится усложнять схему настройки, править политики доступа. Система управления должна нормально работать в таких условиях, так как они крайне распространены. Вариантом решения может быть инициация запроса с клиентской стороны.

Сходной проблемой является отсутствие карты сети с указанием существующих сегментов, а также планов развития сетевой инфраструктуры. При подготовке любых работ на сети необходимо большое количество информации по различным аспектам — адресация, маршрутизация, физические соединения, информационные потоки, статистика по загрузке и другие показатели.

Как правило, не составляет трудностей получение подобной информации по какому-либо конкретному объекту системы. Составление же общей картины, хотя бы в виде ответов на конкретные вопросы, может оказаться более сложной задачей. Часто для внедрения систем безопасности требуются выделение подсетей стыка, модификация маршрутизации, а подобные изменения требуют серьезной подготовки и вмешательства в ряд элементов системы. Выделение адресного пространства, как правило, требует времени и объединенных усилий многих специалистов.

Различные скорости связи

Серьезные проблемы при построении интегрированных систем безопасности возникают в связи с различием скоростей передачи данных на разных участках информационных систем. Например, информационная система компании состоит их двух локальных вычислительных сетей, объединенных в одну инфраструктуру и связанных между собой определенным каналом связи. Каждая из этих сетей создана таким образом, чтобы обеспечивать быстрый и качественный обмен данными. Однако образованный между ними канал не способен обеспечить быструю связь. Происходить это может потому, например, что между локальными сетями лежит старый E1 или спутниковый канал, который, может быть, и не очень медленный, но вносит свои особенности из-за свойственных данному виду связи задержек.

Очень узким местом являются используемые до настоящего времени dial-up каналы. В некоторых случаях используются мобильная связь и wi-fi, которые в настоящее время не обладают достаточной скоростью передачи данных. Широко распространенные сейчас в некоторых регионах ADSL каналы могут принести проблемы из-за разницы ширины канала в разных направлениях. Применение для авторизации различных вариантов туннелирования вызывает проблемы с совместимостью устройств.

Наличие узких каналов связи порой приводит к ухудшению качества работы системы в целом. Так, система управления может использовать определенную полосу для своих нужд — пересылки разного рода сообщений, журнальных записей, служебных соединений. Система, рассчитанная на стабильную работу в сетях 100мбит/с, иногда плохо работает на более узких каналах либо создает загрузку, мешающую бизнес-процессам.

Совместимость и способность к миграции

Сейчас программное обеспечение разрабатывается с очень коротким циклом выпуска, а современные угрозы требуют постоянного ответа на уязвимости. Быстрое обновление поколений продуктов в сочетании с размерами сетей и требованиями по производительности и надежности приводят к необходимости последовательного обновления программного и аппаратного обеспечения. Учитывая, что в большой сети не всегда можно произвести полномасштабное обновление за короткий период времени, определяются требования к совместимости продуктов между собой. Обеспечение таких возможностей требует значительных усилий по моделированию ситуаций, отработке надежных сценариев миграции и высокой квалификации специалистов. В продуктах собственной разработки наша компания закладывает возможности по миграции и совместимости отдельной задачей.

Серьезной задачей является также поддержание ПО на должном уровне — наложение патчей, обновления баз и т.д. В больших корпоративных сетях эти возможности крайне востребованы и необходимы для нормального управления подсистемой безопасности.

Диалектика развития больших сетей

Все сети когда-то были маленькими. Большими они стали не за час, не за год, а за десятилетия. Современные информационные системы продолжают опираться на достаточно развитую инфраструктуру — электрические, кабельные, телефонные сети, спутниковые сегменты, которые также продолжают развиваться. За прошедшие годы несколько раз менялись поколения техники и технологий связи.

Развитие информационных сетей продолжается, причем достаточно интенсивно, и есть все основания считать, что этот процесс в России будет таким и в ближайшем будущем.

Широкий парк оборудования

Характерной особенностью больших сетей является наличие огромного количества аппаратно-технических средств. Они различаются не только по производителю и характеристикам, но и по платформам и технологиям. Объясняется это несколькими причинами: аппаратура приобреталась в разное время; закупки и внедрение могли производиться разными специалистами, которые не только имеют свои предпочтения, но и по-разному видят построение информационной сети. В результате последовательного роста сетей из малых в большие в них образовались своеобразные "годовые кольца", определенные наслоения. Разумеется, все это внесло неразбериху и создало серьезные проблемы для внедрения систем информационной безопасности.

Гетерогенные системы

Объединение разных систем в одно целое выявляет специфические проблемы совместимости, исходящие от разных платформ, версий ОС, версий прикладного программного обеспечения.

С практической точки зрения это означает, что необходимо держать библиотеку отработанных решений по интеграции этих технологий. Инженеры нашей компании подобный опыт имеют, и это позволяет нам успешно работать, например, с почтовыми системами, включающими в себя одновременно MS Exchange, Lotus Notes, sendmail, LDAP и целый набор антивирусного обеспечения, обрабатывающие протоколы SMTP, MAPI, и другие, менее распространенные. Достигается это планомерной работой в области развития нашего собственного ПО, доработкой свободного ПО силами наших специалистов, а также серьезными усилиями по документированию подобных решений.

Недостаток контроля

При запуске оборудования или ПО от них в первую очередь требуется выполнение основной функции. Все остальные функции могут быть оставлены на потом или не использованы вообще. Системы журналирования, оповещения, удаленного управления и, как ни странно, безопасности, как правило, страдают от такого отношения к делу.

Кроме того, из-за растянутости во времени процесса развития сети с привлечением разных специалистов могут возникать ситуации, когда у владельца сети теряется или радикально меняется понимание логики организации отдельных ее элементов. Возникают "медвежьи углы", о которых никто из актуальных сотрудников не имеет представления.

В результате процесс внедрения любой системы приводит к необходимости всестороннего исследования инфраструктуры и информационных потоков, не гарантируя стопроцентного отсутствия проблем. Так, например, после установки МЭ в большой сети с написанием развернутой политики безопасности и запуска всего этого в работу, может оказаться, что в той же сети уже год работает VoIP-сервис, широко используемый одним из клиентов владельца сети. Это требует значительных изменений в работах, оборудовании и ПО для продолжения нормального функционирования сети. При этом, следует отметить, никто из сетевых инженеров заказчика не знал о подобной ситуации, при проектировании политики МЭ данный сервис учтен не был и оказался недоступен в течение нескольких часов.

Полностью застраховаться от подобных ситуаций невозможно. Владелец сети по определению знает о ней больше, чем приглашенный консультант, по крайней мере, до проведения исследования. Как-либо минимизировать данную проблему позволяет исключительно планирование и документирование сетевой инфраструктуры, в чем у нашей компании накоплен значительный опыт. Наличие подробного плана сети с документально закрепленными зонами ответственности, явно документированной и согласованной стратегией развития является редкостью. Без такой подготовки практически любое серьезное вмешательство в инфраструктуру (а внедрение любого вида средств безопасности в работающую сеть является достаточно болезненным мероприятием) приведет к большому количеству проблем.

Размывание зон ответственности

Описанное выше "многообразие" больших и распределенных информационных сетей приводит к размыванию зон ответственности. Во-первых, разные части сети находятся в разном административном подчинении и могут развиваться без учета "общей картины мира". Во-вторых, в больших сетях каждый администратор, как правило, знает только свою часть сети, в то время как пограничные участки, лежащие на стыках, могут быть им неизвестны. Это приводит к возникновению "белых пятен на карте" информационной сети, а значит, к серьезным уязвимостям в информационной безопасности.

Банальным примером является объединение двух сетей с пересекающимся диапазоном IP-адресов. С этим регулярно приходится сталкиваться специалистам компании "Инфосистемы Джет" у своих заказчиков.

Отсутствие "общей картины мира"

Другим важным моментом является то, что получить "общую картину мира" из одного источника практически никогда не удается. Разные зоны ответственности, отсутствие сформулированной в документах и руководствах идеологии построения и развития системы приводят к тому, что нет общего понимания происходящего.

При попытке работать на стыке нескольких зон ответственности, как обычно бывает со средствами безопасности, возникают характерные проблемы, основной из которых является неопределенность последствий. Из-за непонимания происходящих в сети событий невозможно предсказать результат изменений. К сожалению, надо быть готовым приостановить внедрение из-за вскрытия новых обстоятельств, исследовать все подробнее и выработать новую последовательность действий. В нашей работе приходится порой откладывать в сторону текущую задачу, чтобы разобраться в ситуации. В противном случае в будущем можно столкнуться с еще большими проблемами.

Географическая распределенность

Большинство современных больших систем являются географически распределенными сетями. Они находятся уже не только в разных городах, но и странах, и даже на различных континентах. Для взаимодействия и обмена данными в таких системах применяются каналы от Интернета до собственных каналов радиорелейной и спутниковой связи.

Это приводит к необходимости держать большой штат инженеров для реагирования на проблемы, требует изрядных ресурсов на внедрение, усложняет задачи снабжения оборудованием и комплектующими. Кроме того, из-за этого увеличивается время устранения проблемы, что отрицательно влияет на отношения с заказчиком и вредит компании.

Распределенность по временным зонам

Географическая удаленность различных объектов инфраструктуры больших сетей автоматически тянет за собой проблему распределения по часовым поясам. Разница во времени приводит к сложностям в координации усилий. Становится проблематичным согласованное переключение оборудования, трудно использовать телефонные переговоры. Отсутствие специалистов на любой из двух сторон может создавать проблемы.

Например, во Владивостоке в момент подготовки презентации в 12 часов местного времени возникает проблема, в Москве это 19 часов, и уже может не быть на месте специалиста, способного помочь. Если у вас есть журналы с двух устройств, расположенных в разных временнных зонах, насколько свободно вы сможете сказать, что событие А в одном журнале соответствует событию Б в другом журнале?

Неполное функционирование системы в каждый конкретный момент

Из-за большого количества аппаратно-технических средств, распределенных географически в разных часовых зонах, проистекает также вероятность того, что часть оборудования, в том числе системы безопасности, не будет полностью функционировать в определенный момент времени. К примеру, при загрузке политики на устройства централизованно из единого центра управления существует необходимость в установлении устойчивой связи со всеми удаленными площадками и объектами. Если хоть один из каналов связи будет блокирован, данная операция может привести к разного рода проблемам.

Возможность возникновения подобных ситуаций необходимо учитывать. Соответственно, система управления средствами и системами защиты должна уметь определить такую ситуацию, исправить ее или иным образом обеспечить выполнение поставленной задачи.

Кроме того, масштаб проводимых работ и различие по подчинению практически исключают одновременность событий. В таких системах возможно развитие только через серию последовательных изменений.

Страницы: 1 :: 2 :: 3 :: 4 :: следующая

Информационный бюллетень JET INFO

Ваш комментарий

Имя:

Текст комментария (HTML-теги не допускаются):

Новости мира IT:

Архив новостей

Последние комментарии:

Loading

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 985 1945361
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2015 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...