Nejen teroristické útoky z 11. září přispívají ke stálému zostřování vnímání bezpečnosti jako klíčového parametru provozu podnikových informačních systémů. Dalším významným faktorem je zvyšující se míra propojení dříve "zaplombovaných" systémů do okolí, ať už formou aplikací pro veřejnost (různé typy veřejných registrů), komunikace s klienty (internetové bankovnictví), přístupu vlastních pracovníků do interních systémů (k obchodním datům, vzdálené řízení projektů) nebo mezipodnikových aplikací (provázání v rámci dodavatelsko-odběratelských řetězců). Přidejme k tomu narůstající množinu využívaných multimediálních aplikací (jako je video, ale také flash apod.), komunikační nástroje (ICQ) či propojení s non-PC zařízeními (např. PDA) a dostáváme výslednou podobu současné komunikace v podnikových sítích. Ta skutečně velmi málo připomíná plně predikovatelnou a organizovatelnou situaci, která panovala v dřívějších letech.


Díky tomu nastává značný bezpečnostní paradox - zatímco nároky na zajištění míry bezpečnosti a spolehlivosti podnikových informačních systémů rostou, stejnou rychlostí rostou požadavky uživatelů na komfort a rozsah používaných aplikací a možnosti přístupu k aplikacím z různých míst. Není proto divu, že klasická bezpečnostní řešení, jenž dominovala IT světu v minulé dekádě a která byla postavena na blokování nežádoucí komunikace pomocí neprostupných zdí, tzv. firewallů a proxy bran, již nejsou vyhovujícím řešením.

Právě proto je stále více pozornosti věnováno přechodu z pasivní obrany na aktivní, která spočívá v průběžném monitorování komunikace na vnitřních sítích a vnějších přístupových uzlech a na základě nepřetržitého vyhodnocování datové komunikace odhaluje a likviduje potencionální zdroje útoků. Tyto tzv. IDS systémy (Intrusion Detection Systems) mohou být postaveny na dvou základních modelech: sledovat dění a stav cílových serverů, které poskytují určité služby, nebo vyhodnocovat komunikaci na vstupních bodech chráněných sítí.

Zatímco první metoda umožňuje ve větší míře identifikovat potencionálně nebezpečné chování, vyžaduje náročnější instalaci než druhý postup, který však nedává k dispozici informace o stavu chráněných systémů. V obou případech je způsob ochrany založen na identifikování "podezřelého" chování systémů přistupujících do chráněné sítě k podnikových serverům. Toto chování je automaticky (ale i s možností dohledu lidské obsluhy) vyhodnocováno, a v případě identifikace potencionálního nebezpečí je spuštěna adekvátní akce od přivolání lidské obsluhy přes ukončení komunikace s identifikovaným útočníkem až po odpojení chráněného systému od externí komunikace. Mohou být vyhodnocovány také stavové informace na chráněných systémech, což dává možnost zachytit i jemnější způsoby manipulace než pomocí identifikace nebezpečné sekvence požadavků přicházející vnějších, ale i vnitřních počítačů.

V současnosti se ukazuje, že nejvhodnějším řešením ochrany kritických systémů je kombinace "pevných" zábran ve formě firewallů, které zamezí útokům a problémům "nejtvrdší" povahy, s IDS systémy, které dokáží při zachování otevřené komunikace podnikových systémů a uživatelů, zajistit dostatečnou míru bezpečnosti. Současně je zřejmé, že stále větší roli bude hrát kombinace vlastního IDS softwaru s expertními službami specializovaných společností, které dokáží identifikovat nejen již známá nebezpečí, před nimiž může být ochrana zajištěna automaticky, ale pružně reagovat a vyhodnocovat všechny nové impulsy a problémy, které s sebou otevřený svět nese.

Společnost Corpus Solutions je dlouhodobě etablovaným expertem na poli bezpečnosti datových komunikací, kde se více než 5 let zabývá špičkovými řešeními. Dokladem je celá řada úspěšných referencí v nejnáročnějších prostředích, mezi které patří např. eBanka, Transgas, Ministerstvo spravedlnosti ČR a celá řada dalších.

Pozn. red.: Autor článku, Ing. Martin Pavlica, působí ve společnosti Corpus Solutions, a.s., kde se zabývá problematikou bezpečnosti datových komunikací

www.corpus.cz