Возврат
ТелекомВести

5 марта 2001 г.Следующая новость



KPMG: опыт построения систем защиты информации


2 марта ("Телеком-Форум")

На конференции "Обеспечение информационной безопасности в корпоративных сетях", проведенной совместными усилиями компаний ЮНИ и Check Point, начальник отдела по информационной безопасности консалтинговой компании KPMG Сергей Татарченко поделился опытом выбора и эксплуатации средств защиты от несанкционированного доступа.

Выбор системы защиты информации зависит в первую очередь от сложности сетевой топологии. Немаловажную роль играет количество пользователей в сети, а также наличие в штате компании специалиста, поддерживающего функционирование системы защиты. Кроме того, выбор в пользу того или иного продукта зависит от рода деятельности компании, в частности, от предоставления пользователям каких-либо услуг. Любое используемое средство защиты должно быть обеспечено сервисной поддержкой производителей или их партнеров. Естественно, одним из наиболее актуальных критериев является обновление и развитие продукта, а также стоимость его приобретения и поддержки. В любом случае, перед покупкой дорогостоящей системы защиты руководителям компании необходимо определить смысл ее использования, так как в некоторых случаях внутреннее содержание не представляет собой большой конфиденциальной ценности.

В своей сети специалисты KPMG используют комбинированное решение: Check Point FireWall-1 в центральном офисе и Cisco IOS Firewall в удаленном филиале. Межсетевой экран компании Cisco представляет собой ПО, которое инсталлируется на маршрутизирующее устройство. Таким образом, функции защиты от несанкционированного доступа возложены на маршрутизатор. По словам Сергея Татарченкова, в процессе эксплуатации решение Cisco "весьма неплохо" зарекомендовало себя, при этом большим преимуществом этой системы является то, что нет необходимости приобретать какое-либо дополнительное ПО. Продукты Check Point FireWall- и Cisco IOS Firewall имеют много общего: функцию динамического инспектирования потока данных (Stateful Inspection и CBAC соответственно), встроенную систему обнаружения атак (Intrusion Detection System), поддерживают качество обслуживания (QoS). Кроме того, принцип работы двух систем практически одинаков.

По словам Сергея Татарченкова, Check Point FireWall-1 не имеет себе равных в сложных (не обязательно больших) и гетерогенных сетях, использующих различные протоколы и каналы связи, арендуемые у нескольких операторов. Эта система хорошо управляема, поэтому специалисты KPMG рекомендуют ее применение в сетях с несколькими межсетевыми экранами.

ПО Cisco IOS Firewall эффективно в простых сетях, даже если они довольно большие. К центральному офису KPMG с помощью маршрутизатора Cisco 1720 (можно отметить, что в продуктовой линейке американского производителя это одно из самых недорогих устройств) был подключен удаленный филиал (число рабочих станций - 500 машин). По данным Сергея Татарченкова, система работала надежно, отрабатывала все функции при максимальной загрузке процессора всего на 15-20%. Еще одним достоинством Cisco IOS Firewall является простота поддержки обновления, поэтому, если в небольшом филиале крупной компании нет высококвалифицированного специалиста, ставить ПО Check Point туда не целесообразно.

В компании KPMG межсетевой экран Check Point установлен на сервере под управлением ОС Windows NT. Сергей Татарченко отметил, что Check Point лучше эксплуатировать на платформе Windows NT Server или Workstation с выключенными некритичными сервисами (например, Microsoft Networks). Кроме того, рекомендуется отключить все "лишние" устройства (например, неиспользуемые сетевые карты). Другими словами, должно быть установлено только все необходимое для работы Check Point, т.к. каждый включенный модуль может привести к бреши в системе защиты. Таким образом, получается ОС "заточенная" под межсетевой экран и не способная выполнять другие функции. По словам г-на Татарченкова, сконфигурированный таким образом сервер с ПО Check Point работал в KPMG без перезагрузки около года (перезагрузка была произведена лишь при проведении ремонтных работ электрической сети здания).

KPMG

e-mail: statarchenko@kpmg.ru

http://www.kpmg.ru

ЮНИ

Тел.: (095) 234-9555

e-mail: uniinc@uni.ru

http://www.uni.ru

Check Point

http://www.checkpoint.com

Дополнительная информация

Безопасность в корпоративных сетях (2 марта 2001 г.)

Совместная конференция Check Point и Корпорации ЮНИ (13 февраля 2001 г.)

Новый статус корпорации ЮНИ (9 февраля 2001 г.)

Безопасность превыше всего (22 декабря 2000 г.)

Бесплатное обновление межсетевых экранов (1 декабря 2000 г.)

Системе защиты FireWall-1/VPN-1 присвоен 3 класс (9 октября 2000 г.)

Говорим Check Point, подразумеваем VPN (30 августа 2000 г.)

Безопасность и совместимость (12 июля 2000 г.)