Введение в информационную безопасность

Восстановление бизнеса после  бедствия

Выбор надежного оборудования и ПО позволяет до определенной степени  предотвратить сбой информационной системы. Однако встречаются и неподвластные  системному администратору ситуации, влекущие за собой уничтожение информационной системы или какой-либо ее части. В условиях сложных деловых связей "падение" одной компании, к сожалению, ставит под удар функционирование многих ее партнеров. Некоторые из подобных ситуаций могут быть отнесены к разряду форс-мажорных, и потому связанное с ними невыполнение обязательств перед партнерами не повлечет за собой штрафных санкций. Некоторые, но далеко не все. Поэтому задача руководства компании - заранее определить ряд мероприятий, составляющих план восстановления бизнеса после бедствия (или Business Disaster Recovery, BDR), которые позволяют свести к минимуму потери информации и время простоя системы.

На Западе наличие  такого плана стало обязательным для банков; изготовители оборудования требуют его от своих поставщиков. Достаточно заглянуть в хронику происшествий газет "Коммерсант" или "МК", чтобы понять, что многим компаниям на собственном опыте пришлось осознать необходимость подобного плана. В качестве примера можно вспомнить пожар в доме 4/17 по Покровскому бульвару, от которого пострадали офисы Hewlett-Packard, Московского народного банка, Union Bank of Switzerland и др.

По существу, восстановление бизнеса после бедствий представляет собой форму страховки, и потому возможно тесное взаимодействие фирм, предоставляющих услуги в этой области, со страховыми компаниями и фискальными структурами. Основу мероприятий, повышающих стойкость системы к подобного рода несчастьям, составляют различные формы резервирования и мультиплексирования оборудования и коммуникаций, принадлежащих к информационной системе.

Резервное копирование

Одним из ключевых моментов, обеспечивающих восстановление системы  при аварии, является резервное копирование  рабочих программ и данных. Несмотря на очевидность этой процедуры и  ее относительную несложность, в некоторых организациях она производится недостаточно часто или игнорируется вообще. Опыт показывает: если содержимое системы копируется еженедельно в пятницу вечером, то все неприятности случаются в пятницу же, но в районе обеда. Резервное копирование должно сопровождаться целым рядом не менее очевидных организационных мероприятий. Носители - ленты или магнито-оптические диски - должны храниться за пределами серверной комнаты. Поскольку носитель используется многократно, нужно знать стандарты на число допустимых перезаписей и тесты, позволяющие определить степень его изношенности. Широкий выбор устройств для копирования также может сыграть злую шутку с пользователями: о совместимости этих устройств следует позаботиться до того, как одно из них выйдет из строя.

Резервирование каналов связи

Лишенный связи с  внешним миром и своими подразделениями, офис оказывается парализованным, и  потому большое значение имеет резервирование внешних и внутренних каналов  связи. Рекомендуется сочетать разные виды связи - кабельные линии и радиоканалы, воздушную и подземную прокладку коммуникаций и т.д.

По мере того как компании все больше и больше обращаются к Internet, их бизнес оказывается в серьезной  зависимости от функционирования Internet-провайдера. У поставщиков доступа к Сети иногда случаются достаточно серьезные аварии. Скажем, в США в июне 1996 г. 12 часов не работала служба Netcom Online Communications Services, в августе на 19 часов отключилась America Online, в октябре встал на сутки один из почтовых серверов BBN, а в ноябре четверо суток не получали электронную почту пользователи WorldNet. В конце 1995 г. произошло вторжение в офис локального провайдера Internet в Атланте: бандиты "содрали" с компьютеров микросхемы памяти. Очевидно, что ущерб был причинен не только ограбленной компании. Сведения об авариях у отечественных провайдеров отсутствуют, однако они, скорее всего, не менее уязвимы, чем американские.

Какие меры может предпринять  пользователь? Хранить все важные приложения во внутренней сети компании, поддерживать отношения с несколькими местными провайдерами, заранее изыскать путь оповещения стратегических клиентов об изменении электронного адреса и требовать от провайдера проведения мероприятий, обеспечивающих его оперативное восстановление после несчастного случая.

Дублирование, мультиплексирование  и резервные офисы

Помимо резервного копирования, которое производится при возникновении  внештатной ситуации либо по заранее  составленному расписанию, для большей  сохранности данных на жестких дисках применяют специальные технологии - "зеркалирование" дисков (запись осуществляется параллельно на два диска) и создание RAID-массивов. Последние представляют собой объединение нескольких жестких дисков. При записи информация поровну распределяется между ними - кроме одного, на который записываются так называемые "контрольные суммы". При выходе из строя одного из дисков находящиеся на нем данные могут быть восстановлены по содержимому остальных.

Симметричные многопроцессорные  модели серверов, получающие все большее распространение, позволяют не только увеличить производительность машины за счет разделения задачи между несколькими процессорами, но и обеспечить ее самовосстановление при выходе из строя одного из процессоров. Hewlett-Packard производит машины, имеющие до 12 процессоров, DEC - до 14. Представители компании "ЛВС" называют фирму Sequent лидером в этой области: число процессоров в некоторых ее серверах достигает 30.

Технология кластеризации  предполагает, что несколько компьютеров  функционируют как единое целое. Кластеризуют, как правило, серверы. Один из серверов кластера может функционировать в режиме "горячего" резерва (не совершая транзакций), в полной готовности перенять эстафету от основной машины в случае ее выхода из строя. Возможна и параллельная обработка информации несколькими серверами. Кластерные технологии дороги, и потому наибольшее распространение в настоящее время получили кластеры из двух машин. Продолжением технологии кластеризации стала географическая, или распределенная, кластеризация, при которой через глобальную сеть объединяются несколько кластерных серверов, разнесенных на большое расстояние. Конечно, процесс обработки в данном случае не распараллеливается, однако на каждом сервере распределенного кластера отображаются все изменения базы данных.

Распределенные кластеры примыкают к понятию резервных  офисов, ориентированных на обеспечение  жизнедеятельности предприятия  при уничтожении его центрального помещения. Условно их можно разделить  на "холодные" (в которых проведена  коммуникационная разводка, но отсутствует какое-либо оборудование) и "горячие" (ими могут быть дублирующий вычислительный центр, получающий всю информацию из центрального офиса, филиал, офис на колесах и др.).

Несанкционированный доступ к системе

Фирмы вынуждены защищать свои информационные системы не только от стихийных бедствий и сбоев аппаратуры, но и от доступа к ним посторонних лиц. Взаимоотношения систем защиты со средствами взлома подобны вечному соревнованию брони и снаряда: любая система безопасности, в принципе, может быть вскрыта. Эффективной можно считать такую защиту, стоимость взлома которой соизмерима с ценностью добываемой при этом информации. По степени сложности применяемых технических средств можно выделить три уровня несанкционированного доступа - низкий (вход в систему и получение в ней прав привилегированного пользователя), средний (прослушивание каналов передачи данных) и высокий (сканирование излучения).

Некоторую защиту от несанкционированного доступа предоставляют штатные  средства прикладного и системного программного обеспечения. Для реализации более высокого уровня защиты необходимо использовать специальные средства шифрования и защиты информации. Особенностью рынка подобных средств является обязательная государственная лицензия на их создание, установку и эксплуатацию. Несмотря на многочисленные критические замечания в адрес государственного контроля над информационными системами независимых компаний, подобная практика находится в полном соответствии с действующим законодательством: правоохранительные органы по решению суда имеют право доступа к любым данным, содержащимся в информационных системах. Для того чтобы реально обеспечить подобный доступ, государство вынуждено ограничивать распространение систем защиты и иметь в своем распоряжении ключи для дешифровки.

Разработка, производство, эксплуатация или реализация шифровальных средств, предоставление услуг в  области криптографии запрещены  компаниям, не имеющим лицензий Федерального агентства правительственной связи  и информации (ФАПСИ). Выдача лицензий на создание средств защиты данных находится в ведении Государственной технической комиссии (ГТК) и ФАПСИ. Также не разрешается ввозить в Россию без соответствующей лицензии криптографические средства иностранного производства. Таким образом государство ограничивает доступ зарубежных компаний на рынок средств обеспечения безопасности информации, который становится широким полем деятельности для российских разработчиков.

Защита от злоумышленника

Западная статистика показывает, что, как правило, проникновению злоумышленника в информационную систему компании способствуют либо некорректные действия администратора сети, либо умышленная или неумышленная помощь со стороны сотрудников. Причем в качестве предателя интересов компании в подавляющем большинстве случаев выступает ни кто иной, как представитель высшего эшелона власти. Последнее вполне объяснимо: топ-менеджер имеет широкий доступ к информации, понимает ее ценность и обладает достаточным кругом общения, для того чтобы ее продать. Подтверждается старинная русская пословица "От своего вора не убережешься". Противодействовать утечке информации через такие каналы позволяют, в первую очередь, организационно-режимные мероприятия (в том числе ограничение доступа к информации), о которых будет сказано ниже.

Что же касается устойчивости к нападениям извне, то, согласно "Оранжевой книге" Министерства обороны США, программное обеспечение может относиться к одному из следующих классов:

класс D - защита отсутствует, пользователь имеет неограниченный доступ ко всем ресурсам. К этому классу относятся операционные системы типа MS-DOS; класс C, наиболее популярный подкласс - C2. Доступ с паролем и именем. При работе с базой данных класса С пользователь, получив доступ к той или иной таблице базы, получает и доступ ко всем имеющимся в ней данным. К этому классу относится большинство сетевых операционных систем; класс B, наиболее употребительный подкласс - B1. Базы данных класса В позволяют дифференцировать доступ к данным для разных пользователей даже внутри одной таблицы. Улучшенные с точки зрения безопасности реализации стандартных операционных систем производят многие фирмы (DEC, Hewlett-Packard, Santa Cruz Operations, Sun); класс А - наиболее защищенные операционные системы, которые российские системные интеграторы рекомендуют использовать только при построении сетевой защиты от внешнего мира (создании брандмауэра).

Надо заметить, что  вероятность несанкционированного входа в систему возрастает при  ее перегрузках, которые возникают, например, при массовом подключении  к ней пользователей (в начале рабочего дня). Хакеры иногда создают сходную ситуацию, направляя в систему поток сообщений, которые она не в состоянии корректно обработать. В результате создается открытый канал, через который возможен несанкционированный доступ. Таким образом, наличие брандмауэра как средства, предоставляющего более высокую степень защиты, оказывается вполне оправданным. На фоне массового подключения к Internet брандмауэры начали устанавливать и российские компании. По оценкам специалистов компании "ЛВС", в России пользуются спросом сравнительно недорогие машины (стоимостью около 5 тыс. дол.) с операционной системой UNIX, сертифицированной по классу С2.

СУБД также предоставляют  определенный уровень защиты, позволяя разграничить доступ к данным для  разных категорий пользователей. Во-первых, информацию, доступную разным классам пользователей, можно хранить в разных таблицах. Во-вторых, содержащуюся в таблице информацию пользователь может получать через некоторое промежуточное представление, или вид, охватывающий лишь определенную часть таблицы (скажем, три колонки из пяти). В-третьих, можно ограничить права на выполнение отдельных модулей, время использования центрального процессора, число физических считываний с диска за определенный промежуток времени. Таким образом, возможны ситуации, когда любой запрос пользователя обрабатывается, но очень медленно.

Серверы обладают различными встроенными средствами защиты - защитой  от выключения питания; двухуровневой  системой паролей (для пользователя и системного администратора), реализованной средствами BIOS; паролями на съемные компоненты (диски); блокировкой клавиатуры; гашением монитора.

Однако сами по себе оборудование и ПО не в состоянии обеспечить защиту данных. Система безопасности должна быть грамотно настроена, что обуславливает особые требования к квалификации системного администратора. Конфигурирование операционной системы класса С2 представляет собой сложную задачу. Кроме того, технические меры необходимо дополнять рядом организационно-режимных мероприятий: ограничением доступа на предприятие и в различные его подразделения; выделением специальных устройств для работы с секретной информацией (человек, имеющий доступ к закрытой информации, не сможет выводить свои данные на сетевой принтер); регулярной сменой паролей и наложением административных санкций за их разглашение или уход с рабочего места без выхода из системы; запретом на использование в качестве паролей имен, фамилий и других легко угадываемых слов.