|
Posuny v pohledu na
bezpečnost datových komunikací - od bariér ke kontrolovaným branám
Nejen teroristické útoky z 11. září přispívají ke stálému zostřování
vnímání bezpečnosti jako klíčového parametru provozu podnikových
informačních systémů. Dalším významným faktorem je zvyšující se míra
propojení dříve "zaplombovaných" systémů do okolí, ať už formou aplikací
pro veřejnost (různé typy veřejných registrů), komunikace s klienty
(internetové bankovnictví), přístupu vlastních pracovníků do interních
systémů (k obchodním datům, vzdálené řízení projektů) nebo
mezipodnikových aplikací (provázání v rámci dodavatelsko-odběratelských
řetězců).
Přidejme k tomu narůstající množinu využívaných multimediálních aplikací
(jako je video, ale také flash apod.), komunikační nástroje (ICQ) či
propojení s non-PC zařízeními (např. PDA) dostáváme výslednou podobu
současné komunikace v podnikových sítí. Ta skutečně velmi málo připomíná
plně predikovatelnou a organizovatelnou situaci, která panovala v
dřívějších letech.
Díky tomu nastává značný bezpečnostní paradox - zatímco nároky na
zajištění míry bezpečnosti a spolehlivosti podnikových informačních
systémů rostou, stejnou rychlostí rostou požadavky uživatelů na komfort
a rozsah používaných aplikací a možnosti přístupu k aplikacím z různých
míst. Není proto divu, že klasická bezpečnostní řešení, jenž dominovala
IT světu v minulé dekádě a která byla postavena na blokování nežádoucí
komunikace pomocí neprostupných zdí, tzv. firewallů a proxy bran, již
nejsou vyhovujícím řešením.
Právě proto je stále více pozornosti věnováno přechodu z pasivní obrany
na aktivní, která spočívá v průběžném monitorování komunikace na
vnitřních sítích a vnějších přístupových uzlech a na základě
nepřetržitého vyhodnocování datové komunikace odhaluje a likviduje
potencionální zdroje útoků. Tyto tzv. IDS systémy (Intrusion Detection
Systems) mohou být postaveny na dvou základních modelech: sledovat dění
a stav cílových serverů, které poskytují určité služby, nebo
vyhodnocovat komunikaci na vstupních bodech do chráněných sítí.
|
 |
Zatímco první metoda umožňuje ve větší míře identifikovat potencionálně
nebezpečné chování, vyžaduje náročnější instalaci než druhý postup,
který však nedává k dispozici informace o stavu chráněných systémů. V
obou případech je způsob ochrany založen na identifikování "podezřelého"
chování systémů přistupujících do chráněné sítě k podnikových serverům.
Toto chování je automaticky (ale i s možností dohledu lidské obsluhy)
vyhodnocováno, a v případě identifikace potencionálního nebezpečí je
spuštěna adekvátní akce od přivolání lidské obsluhy přes ukončení
komunikace s identifikovaným útočníkem až po odpojení chráněného systému
od externí komunikace. Mohou být vyhodnocovány také stavové informace na
chráněných systémech, což dává možnost zachytit i jemnější způsoby
manipulace než pomocí identifikace nebezpečné sekvence požadavků
přicházející vnějších, ale i vnitřních počítačů.
V současnosti se ukazuje, že nejvhodnějším řešením ochrany kritických
systémů je kombinace "pevných" zábran ve formě firewallů, které zamezí
útokům a problémům "nejtvrdší" povahy, s IDS systémy, které dokáží při
zachování otevřené komunikace podnikových systémů a uživatelů, zajistit
dostatečnou míru bezpečnosti. Současně je zřejmé, že stále větší roli
bude hrát kombinace vlastního IDS softwaru s expertními službami
specializovaných společností, které dokáží identifikovat nejen již známá
nebezpečí, před nimiž může být ochrana zajištěna automaticky, ale pružně
reagovat a vyhodnocovat všechny nové impulsy a problémy, které s sebou
otevřený svět nese.
Společnost Corpus Solutions je dlouhodobě etablovaným expertem na poli
bezpečnosti datových komunikací. Dokladem je řada úspěšných referencí v
nejnáročnějších prostředích, mezi které patří např. eBanka, Transgas,
Ministerstvo spravedlnosti ČR a celá řada dalších. |
System
NEWS zasílá redakce edice IT Business
* Vydavatelství CCB s.r.o., Okružní 17, Brno 638 00 *Tel/Fax.:
05/45 22 27 79 System NEWS je vám pravidelně zasílán na základě vaši registrace. Pokud si již dále nepřejete, abychom vám
System NEWS zasílali,
kontaktujte nás prosím.
Náměty a připomínky k obsahu zasílejte na adresu odpovědného redaktora
Pavla Boucníka,
|
