Информационная эра привела к всеобъемлющим изменениям в способе выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Пользователь имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел. Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организаций. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальным объемам самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным.
Все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономики. Из этого следует, что информация - это ресурс, который надо защищать.
"Когда перед нами встает выбор, добавить функциональности или решить проблемы безопасности, нам следует выбирать безопасность. Наши продукты должны проявлять свою безопасность прямо из коробки", - писал Билл Гейтс в электронном письме, в котором объявляется о необходимости изменения стратегии Microsoft. Главенствующей философией должен стать "Надёжный компьютинг" ("Trustworthy Computing''). По мнению Билла Гейтса, акцент с функциональности продуктов следует перенести на их безопасность и защиту личной информации [1].
Из великого множества информационных ресурсов и сервисов, доступных через Интернет, наибольший вес имеют гипертекстовые и мультимедийные ресурсы, организованные в виде Web-страниц, доступные с Web-серверов. В связи с этим особенное значение имеют меры информационной безопасности, направленные на обеспечение целостности содержания и корректного доступа к Web-серверам.
Рассмотрим более подробно семейство продуктов HP Praesidium, обеспечивающих безопасность информации, содержащих решения для защиты различных уровней автоматизированной системы предприятия.
Authorization Server является масштабируемым сервером проверки доступа к различным клиент-серверным приложениям. Он обеспечивает централизованную авторизацию пользователей по ролевому принципу. В рамках определенных бизнес-ролей и присвоенных им бизнес-правил, которыми можно описать практически любой процесс, обеспечивается не только централизованная проверка полномочий на запрашиваемый пользователем ресурс, но и проверка действий (передача данных), которые пользователь пытается произвести.
Проверка производится через специальный авторизационный программный модуль, который интегрируется в приложения. Имеется API для встраивания данных модулей в пользовательские приложения, которые в результате смогут использовать данную схему авторизации. Сервер имеет единую интуитивно понятную систему администрирования, которая позволяет очень быстро регулировать доступ большого числа пользователей к множественным информационным ресурсам.
DomainGuard — это программное обеспечение для управления защитой портала сети Экстранет. DomainGuard гарантирует, что пользователям будет предоставляться доступ только к той информации, которая им необходима для работы и которую им разрешено просматривать. Введя пароль всего один раз при входе в систему, пользователи смогут без проблем работать со многими приложениями.
Платформа для web-серверов VirtualVault.
VirtualVault — это платформа для web-серверов, которая позволяет защитить критически важные Интернет-приложения за счет значительного сокращения количества уязвимостей, которыми могут воспользоваться злоумышленники (рис.1) [6].
VirtualVault включает высоконадежную операционную систему, web-сервер (например, Netscape NES, Apache), а также разделенную на зоны рабочую среду, защищающую операционную систему, web-сервер, web- страницы и тексты интерфейсных программ, работающих на платформе web-серверов.
VirtualVault также осуществляет мониторинг и создает отчеты обо всех попытках изменения системных файлов или файлов приложений.
Рис.1. Типичная рабочая web-среда, разделенная на зоны
Эта операционная система предоставляет только те сервисы, которые требуются для конкретного приложения, при этом отсутствует обладающий неограниченными полномочиями привилегированный пользователь или администратор, а выполнение каждого процесса разрешается только при наличии необходимого минимального набора прав доступа (и только на то короткое время, когда это действительно требуется для выполнения операций). Все взаимодействия между web-сервером, операционной системой и интерфейсными приложениями происходят на уровне процессов и контролируются специальным механизмом, который создает раздельные виртуальные рабочие среды для повышения безопасности и надежности работы системы.
Аналогичным образом ограничивается доступ к web-страницам, системным файлам и файлам приложений.
Технология сегментирования данных в ОС VirtualVault.
ОС VirtualVault разграничивает доступ между этими категориями. Чтобы программа из одной области получила доступ в другую область, она должна обладать соответствующими привилегиями. Все коммуникации между внутренней и внешней областями контролируются с помощью технологии защищенных шлюзов VirtualVault. Такой шлюз защищает приложения, отнесенные к категории ВНУТРЕННИХ, от злонамеренных атак или ошибок.
Все системные приложения хранятся в системной области с целью сохранения их целостности. Такое разделение защищает web-страницы от проникновения злоумышленников, выискивающих слабые места в защите или конфигурации. Защищенные web-страницы не могут быть переписаны или подвержены атаке с целью размещения непристойных и пропагандистских материалов.
Управление пиковыми нагрузками.
Программа HP Web QoS добавляет к основной функциональности VirtualVault весьма важную функцию управления пиковыми нагрузками. Эта функция, непосредственно влияющая на качество услуг, предотвращает перегрузку сервера, минимизируя влияние неожиданных всплесков числа запросов и максимизируя объем завершенных транзакций. Управление пиковыми нагрузками гарантирует, что каждый находящийся в системе клиент будет обслужен. Новые пользователи не получают доступа к web-сайту, если они не смогут завершить свои транзакции соответствующим образом.
Виртуальный шлюз Vault Proxy позволяет установить любое работающее по протоколу HTTP приложение во внутренней зоне системы Virtual Vault (рис.2,3) [6].
В этом случае пользователям не придется обращаться к незащищенным web-приложениям напрямую; вместо этого доступ к ним будет осуществляться через шлюз VirtualVault, который используется в качестве агента для передачи запроса внутренним web-приложениям.
Рис.2. Реализация виртуального шлюза Vault Proxy
Рис.3. Структура ПО виртуального шлюза Vault Proxy
Платформонезависимая защита приложений с помощью модуля Praesidium Web Proxy.
Модуль Web Proxy придает платформе VirtualVault дополнительную гибкость, высокую доступность, масштабируемость и легкость использования. Это промежуточное ПО связывает пользовательский интерфейс VirtualVault с серверными приложениями, работающими под AIX, HP-UX, NT и Solaris, или с любым другим сервером, работающим на основе Web.
Платформа для web-серверов Web Enforcer
Система WebEnforcer для NT, входящая в портфель HP Praesidium, предназначена для защиты среды web-серверов, работающих под Windows NT, осуществления непрерывного мониторинга и обеспечения безопасности работы Интернет-приложений. HP Praesidium WebEnforcer призван защищать самые важные компоненты NT-платформы web-серверов и обладает возможностями по автоматическому устранению известных уязвимых мест в системах защиты и внедрению более эффективных методов контроля за согласованностью настроек в системе защиты.
WebEnforcer решает известные проблемы уязвимости, установленной в режиме по умолчанию ОС Windows NT, которые могут выражаться в потере важных данных, несанкционированном доступе к информации, злонамеренном изменении содержимого web-сайта и отказе от обслуживания зарегистрированных клиентов.
WebEnforcer автоматически распознает уязвимые точки, устраняет их, а также осуществляет непрерывный мониторинг, расширяющий и усиливающий стандартные функции защиты. WebEnforcer деактивирует системные службы и подсистемы, потенциально являющиеся слабым звеном системы защиты, контролирует полномочия модели DCOM и удаленный доступ к системному реестру. Кроме того, он фиксирует значения параметров настройки системного реестра, распределяет пользовательские полномочия, а также защищает файлы и папки данных.
Администратор может задавать периодичность сканирования системы с целью поиска и устранения новых уязвимых мест в защите, возникших в результате изменения конфигурационных настроек ПО или несанкционированных проникновений.
Обновление версии HP SecurityUpdate гарантирует, что WebEnforcer будет включать все новые обнаруженные уязвимые места для взлома системы.
В ПО WebEnforcer включен целый ряд различных функций и инструментов, направленных на упрощение процесса конфигурирования и обслуживания системы защиты платформы web-серверов. HP Praesidium WebEnforcer благодаря автоматизации процесса настройки системы защиты позволяет профессионалам в сфере ИТ сэкономить время на конфигурирование системы защиты вручную.
Инфраструктура PKI основывается на цифровых идентификаторах, называемых "цифровыми сертификатами", которые действуют подобно электронным паспортам, связывающим индивидуальный секретный ключ пользователя с его открытым ключом.
PKI предоставляет инфраструктуру безопасности: проверяет подлинность сторон, поддерживает целостность данных, обеспечивает конфиденциальность и достоверность передачи информации. Таким образом, PKI обеспечивает такой уровень безопасности, который необходим незнакомым друг с другом пользователям для обмена информацией и безопасного выполнения транзакций через Web. PKI защищает web-приложения, электронную почту, передачу файлов, сообщения и другие средства коммуникации и ведения интерактивного бизнеса.
Решение Public Key Infrastructure (инфраструктура открытых ключей), базируется на системе UniCERT компании Baltimore. Компания Baltimore Technologies является ведущим в мире разработчиком инфраструктуры открытых ключей и технологий электронной безопасности. Центральной идеей в концепции электронной безопасности является система управления сертификатами UniCERT. UniCERT — это система управления сертификатами на основе определенных политик. Функция редактирования политик безопасности Secure Policy Editor в сочетании с централизованным управлением позволяет компании определять политики доступа в рамках инфраструктуры открытых ключей (PKI). Редактор Secure Policy Editor и централизованное управление обеспечивают гибкость, направленную на удовлетворение постоянно изменяющихся потребностей компании.