Компания Cisco Systems уже не первый год является лидером на российском рынке средств информационной безопасности. Нынешний год стал особенно богат на различные мероприятия, которые Cisco провела в российских городах совместно со своими партнерами.

Так, при поддержке компаний Aladdin и S-Terra CSP была запущена серия уникальных семинаров-демонстраций «VPN-решения: организация защищенного корпоративного взаимодействия с резервированием каналов». На всех семинарах был представлен уникальный стенд, на котором был реализован сценарий защищенного соединения между двумя офисами с резервированием каналов передачи данных. Демонстрируемое решение построено на основе сертифицированных продуктов с использованием российских криптографических алгоритмов. В основе этого проекта – сетевые модули NME-RVPN, установленные в маршрутизаторы Cisco ISR 2800 и 3800, и продукт компании S-Terra CSP – CSP VPN Gate. Кроме того, стенд демонстрирует процесс непосредственного использования сертифицированных USB-ключей eToken в бизнес-приложениях и двухфакторную аутентификацию при удаленном входе в корпоративную сеть. В Екатеринбурге и Челябинске Cisco провела семинары совместно с партнерами - Уральским Центром Систем Безопасности (г. Екатеринбург) и Научно-техническим центром ЛОГИС (г. Челябинск).

Сегодня в гостях у редакции журнала «Pro Digital» Алексей Афанасьев, менеджер по продуктам безопасности компании Cisco Systems.

- Подобные семинары полезны в первую очередь представителям финансовых, страховых компаний и компаний банковского сектора. Представленные решения разработаны для предприятий среднего и крупного бизнеса, а также для некоторых компаний государственного сектора.

VPN-решения предназначены для бизнеса с разветвленной структурой, например, такого как головной офис и филиалы. С одной стороны требуется связь между этими площадками, с другой стороны – телефонное взаимодействие и взаимодействие сотрудников офиса с сотрудниками, которые работают вне офиса, в командировках (назовем их «мобильными» сотрудниками). Под площадкой можно понимать как офис, так и, например, какую-либо торговую площадку и несколько отдельных магазинов в городе. В нашем случае нет четкого понимания офиса. Связь между этими площадками нужно, во-первых, обеспечить защитой, включая мобильных пользователей, во-вторых, защищая, использовать сертифицированные программно-аппаратные средства. Если раньше мы могли использовать только решения, построенные с использованием западной криптографии (это и сейчас никто не запрещает делать), то сегодня мы представляем решения с использованием российской криптографии. В этом вся изюминка представляемых нами комплекса решений.

Традиционно в большинстве случаев все решения, построенные на российской криптографии, выглядели как взаимодействие «точка-точка» и были предназначены для защищенной передачи только данных. Сегодня при организации взаимодействия между удаленными офисами нужно учитывать не только передачу данных, а передачу различного трафика, включая IP-телефонию, голосовую связь, видеоконференцсвязь. Мобильного пользователя нужно обеспечить тем же самым уровнем сервиса, уровнем доступности, как если бы он находился в офисе – его рабочее место не должно отличаться от офисного и он должен также себя комфортно чувствовать и быть надежно защищен.

Все вопросы организации бизнес-процессов между площадками компании нужно решать в контексте наших сегодняшних реалий, а реалии таковы: начали стройку – порвали кабель или какие-то другие проблемы появились, при этом связи нет. Помню, когда производители источников бесперебойного питания выходили со своими продуктами на рынок, суть их рекламного слогана была такой: ваша техника надежно работает, но дать сбой может электричество. Так и у нас. К сожалению, сегодня во многих уголках России качество услуг интернет-провайдеров иногда оставляет желать лучшего. Кроме того, у нас в России пока нет такого понятия, как возмещение ущерба за неоказание услуги, нет возможности страховать услуги и качество их предоставления. Провайдеры не хотят задумываться над тем, что если в течение двух часов нет связи между офисами их клиентов, то это наносит предприятию убытки и, возможно, не малые. Взаимодействие между площадками должно быть постоянным, чтобы работали несколько офисов и не замечали проблем, нам надо организовать связь не по одному «проводу», а использовать какие-то другие решения. Более того, нам нужно следить за состоянием этих «проводов» и иметь возможность быстро переключится с одного такого «провода» на другой. С точки зрения затрат предложения должны быть оптимальными. Можно подстраховаться лишь с помощью аппаратных средств, но это тогда будет очень дорого. Мы предлагаем решения, которые работают минимум с двумя каналами, и имеют возможность переключения между ними, например, с учетом тарифной нагрузки. С одной стороны все эти решения связаны не столько с шифрованием, сколько с технологией сервиса вокруг этих защищенных соединений. С другой - с построением так называемых отказоустойчивых систем, с возможностью балансировки нагрузки и многих других моментов. Есть подобные решения и у других производителей сетевого оборудования, но эти решения не сертифицированы, т.к. построены на западной криптографии. Более того, для ряда задач использование несертифицированных решений уже сегодня выглядит сомнительно. Возникает вопрос: что делать? Бывает так: производители рекламируют тот или иной продукт и обещают в ближайшее время выполнить его сертификацию, а на деле оказывается, что купить сегодня нельзя – продукта реально нет. Те решения, о которых мы рассказываем на наших семинарах, уже продаются более года. Кроме того, есть немало реальных примеров их удачного использования крупными банками, интернет-провайдерами. Это очень гибкие решения, которые можно использовать как на качественных, так и не очень качественных каналах связи.

- К какому ценовому сегменту можно отнести представленные решения?

- В среднем затраты на клиентское место составляют 100-200 долларов. С точки зрения офиса накладные расходы – от 1000 до 1500 долларов. Вообще вопросы, связанные с ценообразованием, иногда, мягко говоря, вызывают у меня удивление. Недавно я был в Новосибирске. Мы разговаривали о системе моментальных платежей с человеком, представляющим предприятие банковского сектора. По его мнению, средства защиты тех же терминалов стоят неоправданно дорого – до 700 долларов на один аппарат, тогда как средний чек не превышает и ста рублей. Получается, что нужно иметь достаточно большие обороты, чтобы за относительно короткий срок окупить вложения в безопасность, что вполне логично. Тогда я задаю вопрос, как много денег проходит через такой аппарат. Выясняется, что несколько десятков тысяч рублей в неделю. Становится очевидно, что если учесть хотя бы год работы такого аппарата, то менее 10 процентов от суммы оборота требуется, чтобы установить такую «дорогую» защиту. Поэтому, на мой взгляд, при таких оборотах сумма в 700 долларов не выглядит уже столь большой. Систему защиты устанавливать придется, и ее цена зависит от многих вещей. У всех производителей существует определенный ценовой порог для создания того или иного продукта. Да, дешевые средства безопасности можно построить, но ведь их еще нужно сертифицировать, сопровождать, обслуживать. Решения от Cisco Systems достаточно минимальны с точки зрения затрат. Один модуль и небольшой маршрутизатор в филиале, у мобильного пользователя USB-ключ –больше ничего нет. Все делается с помощью софта, понятно, что это намного дешевле, чем решать такую задачу аппаратными средствами. Это очень стандартизировано с точки зрения внедрения решения. Большинству наших заказчиков, все, что нужно купить, – модуль. При этом наши решения позволяют строить сертифицированные защищенные каналы, построенные с использованием российских криптоалгоритмов. Минимальные вложения - максимальная отдача.

- Cisco активно продвигает концепцию «самозащищающейся» сети. В чем ее суть?

- Сегодня системы безопасности Cisco Systems - это набор взаимосвязанных решений и продуктов. Если говорить техническим языком, то у нас есть система мониторинга, система контроля и предотвращения вторжений, система защиты конечных узлов (рабочих станций) – все они очень тесно взаимодействуют между собой. Рабочие станции (сервера) готовы через своего агента рассказать о тех неприятностях, проблемах, которые возникают в сети. Системы предотвращения вторжения совместно с этими агентами выстраивают корелляцию, «вырисовывают» определенную картину того, что происходит. Система мониторинга не просто фиксирует проблемы, а предлагает определенные консольные команды, которые можно применить в автоматическом или полуавтоматическом режиме на активном оборудовании, и тем самым предотвратить негативное развитие событий.

Вот таким образом администратор и технический специалист просто наблюдает за действиями системы. Хочется отметить, что, например, для того чтобы использовать ту же систему для предотвращения вторжений, нет необходимости покупать отдельное оборудование, ее можно настроить и запустить в виде «программных» компонентов на наших маршрутизаторах. Предлагаемые нами современные маршрутизаторы – это не просто устройство, которое качественно передает пакеты информации, это устройство, которое может являться и межсетевым экраном, и системой предотвращения вторжений, и устройством построения защищенных соединений, включая российскую криптографию. Кроме того, он выполняет все те рабочие функции, которые необходимы офису: функции телефонной станции, при подключении дополнительного модуля – функции голосовой почты. Таким образом, мы получаем универсальное устройство, и стоит отметить, что все эти компоненты очень плотно взаимосвязаны и начинены множеством функций защиты.

Постепенно наши клиенты начинают понимать, что нужно обращать внимание не столько на стоимость внедрения или стоимость покупки такого маршрутизатора, сколько на стоимость его обслуживания и возможностей дальнейшего использования, с учетом постоянного усиления требований к защите.

- Это третья версия «самозащищающейся» сети?

- Да, она вышла в ноябре. Как я уже говорил, альтернативой на рынке выступают отдельные точечные решения. Они очень затратные. В большинстве случаев многие системы защиты сегодня готовы сделать проверку только лишь по определенным критериям, на основе отдельных внедренных компонентов, но не готовы оценить ситуацию в сети на уровне приложений, и тем более, на уровне бизнес-логики работы этих приложений.

Наши решения выполняют контроль, в том числе и на уровне контента. А что это значит с точки зрения обычного пользователя? Это значит, что если тот или иной пользователь вводил информацию в окне на web-сайте и, например, попытался совершить атаку в виде некорректной строки ввода, то такая проверка контента обеспечит защиту приложения сайта. Нужно заметить, что современные хакеры атакуют те сети, где есть деньги. Преимущественно это торговые и финансовые площадки, банковский сектор. Атака может быть произведена через удаленного пользователя или через канал связи. Атака происходит на уровне приложений. Иногда возместить убытки не представляется возможным. Допустим, недоброжелатели исказили прайс-лист в Интернет-магазине. Скажете, мелочь? А теперь представим, что затем были сделаны покупки на достаточно большие суммы. Удаленный от центрального офиса магазин подал и сразу же отгрузил товар по заниженной, искаженной цене. Сколько еще неприятностей и убытков может принести подобная мелочь?

Или взять в качестве примера ту же нежелательную рассылку электронных писем, появление которых можно предотвратить только в том случае, если сеть реально понимает, что внутри этого сетевого протокола часть писем – откровенный спам. Вот такую интеллектуальную сеть мы и представляем, и она уже готова работать. Сетевая инфраструктура понимает, какие взаимодействия между приложениями происходят, и кроме того, все ее элементы «видят» и «понимают» друг друга. Если говорить о системе инспектирования трафика, то это не просто анализ по техническим параметрам, это интеллектуальная оценка проходящих данных благодаря корреляционным алгоритмам, благодаря глубокому анализу на уровне приложений.

Стоит отметить, что для нас важно то, что через наших партнеров мы предлагаем на рынке готовую архитектуру для тех или иных площадок, законченные варианты решений и сервис к этим решениям. У нас есть специально созданные проектные варианты архитектуры для банковского сектора, для сервис-провайдеров, для энергетических и многих других компаний. Сегодня в большинстве случаев заказчики думают, что вендор продает лишь набор или отдельные решения. Из-за этого случаются перекосы: системные интеграторы часто хотят привнести какие-то новые вещи в проект, какие-то технические новшества, но если они плохо увязаны между собой, то решение, соответственно, тоже может иметь перекосы. Это как автомобиль с дорогими шинами, отличной тормозной системой, но с плохой подвеской, который в конечном итоге все равно будет плохо ездить. У нас такого нет. Во-первых, мы можем проверить спецификацию предложенную по тем или иным проектам, во-вторых, наши типовые варианты проектов построения сетей переведены на русский язык и заказчику легко ознакомится с ними, да еще в любой момент можно проконсультироваться с нашим партнером. Хочу отметить, что все это хорошо проверенные на практике вещи.

- Какие основные тенденции в сфере информационной безопасности вы бы отметили?

- Основная тенденция – построение высокоинтеллектуальных систем. Cisco в этой области чувствует себя комфортно. Второй момент связан с тем, что с каждым днем информационные «атаки» увеличивают скорость своего распространения. Если раньше атака происходила в течение дня, то сегодня ее можно выполнить за несколько минут или даже секунд(!). Скорость ответной реакции должна быть такой же, и зависеть она должна не столько от квалификации специалиста, сколько от внедренной заранее системы безопасности и ее настроек в целом. Третье направление – спрос на сертифицированные решения. На Западе этот пункт давно является актуальным, а для россиян несколько новым в плане развития. Сейчас присуствует тенденция упорядочение контроля и регулирования в области защиты информации. Это стало заметно с выходом таких федеральных законов, как «О персональных данных», «Об информации, ИТ и защите информации» и других. Практически все западные компании стараются соблюдать стандарты безопасности, у нас это - в новинку. Многие рассуждают так: «Мы еще подумаем, выполнять эти требования или нет, может быть, нам это не нужно, или для нас это слишком дорого»… и все в таком духе. Тем не менее, упорядочение вопросов законодательной базы говорит о том, что требования выполнять придется. Для производителей систем безопасности это знак к тому, что нужно строить системы, которые будут базироваться на сертифицированных решениях и соответствовать требованиям безопасности, в которых нуждается сегодня бизнес. Cisco Systems – одна из первых компаний по количеству полученных лицензий и сертификатов – более 25% от всех сертификатов ФСТЭК на средства защиты информации в России, т.е. больше любого российского или зарубежного производителя. Более того, у нас есть не просто сертификация оборудования или отдельных экземпляров – сегодня у нас есть сертифицированное производство нашего оборудования, включая устройства защиты, например, межсетевых экранов. У нас есть решения, которые вообще не имеют аналогов на рынке, – это модуль NME-RVPN использующий российскую криптографию.

- В свое время у Cisco было несколько вариантов для решения вопросов с российскими законодательными органами. Первое, получить разрешение на импорт и эксплуатацию шифровальных средств Cisco. Второе, интегрировать решения Cisco в решения российских производителей VPN. Был выбран третий путь развития: включить российскую криптографию в решения Cisco.

- Да, идея именно такая. На сегодняшний день нам никто не запрещает для ряда применений использовать западные криптоалгоритмы – они часто сегодня используются, но эти решения никогда не будут сертифицированы нашими органами. Их можно использовать на свой страх и риск. Давайте зададимся вопросом, что будет, если подобное, несертифицированное решение «подведет» и данные будут потеряны, раскрыты или искажены? Сегодня сложно однозначно ответить на этот вопрос, учитывая и то, что у нас нет хороших судебных или страховых примеров и примеров разрешения вопросов при страховании рисков, связанных с защитой данных. Именно поэтому в большинстве случаев люди не задумываются об использовании сертифицированных средств и тем более не страхуют свои информационные риски.

Для ряда случаев сертифицированные решения являются не рекомендуемыми, а обязательными , допустим, при защите персональных данных. А сегодня их объем очень большой, возникает вопрос в однозначном построении решения только лишь с использованием российских криптоалгоритмов.

Мы понимали, что при современных тенденциях надо решать вопрос оперативно: у нас не было возможности придумать какую-то специальную программу по «локализации криптографии» для нашего оборудования. Мы решили пойти другим путем: включить российскую криптографию в наши решения. Аппаратный модуль – наш, а программное обеспечение, которое на нем используется, написано нашими российскими партнерами-разработчиками. На сегодняшний день уже два российских производителя VPN могут предложить свой продукт на этом модуле – компания С-Терра СиЭсПи и компания Инфотекс. Сегодня фактически все западные вендоры не имеют в своей линейке VPN-решений сертифицированных продуктов с российской криптографией. Cisco в этом плане - монополист, хотя, может, это не так и хорошо.

- Насколько регулирующие законы, скажем так, дееспособны?

- Мы можем долго обсуждать закон, но другого не дано. Мне думается, что сегодня нужно не обсуждать, а вести бизнес согласно различным стандартам и требованиям, включая требования государства. Как только в России появятся судебные прецеденты, бизнесу ничего не останется делать, как реально жить и работать в этом правовом поле. Конечно жаль, что здесь все еще действует пословица: пока гром не грянет…

- Насколько решения от Cisco в сфере ИБ доступны малому бизнесу?

- Абсолютно доступны. У нас есть отдельные продукты и решения в различных линейках. Например, есть многофункциональное устройство защиты ASA 5505 стоимостью от 600 долларов. Я считаю, что для малого бизнеса решения такого ценового уровня вполне приемлемы, а что касается функционала, то он практически ничем, кроме производительности, не отличается от старших продуктов внутри этой линейки.

- В чем специфика решений ИБ для предприятий Госсектора?

- Предприятия государственного сектора очень не любят поспешных внедрений, они используют только проверенные сертифицированные решения. В наших линейках существует много сертифицированных решений, соответствующих необходимым требованиям, готовых для использования в информационной инфраструктуре органов власти. Хочется отметить, что очень выверенный подход также у банков и других организаций финансового сектора.

- Появились ли у Cisco в 2007 году новые продукты?

- Да, конечно. Например, у нас появилась система контроля и защиты e-mail - IronPort E-mail Security Appliance. Но помимо отдельных новых продуктов, которые ярко видны, у нас есть обновления и пополнения внутри практически каждой линейки. Поэтому большинство продуктов за год изменились, но эти изменения носят глубокий технический характер и не столь часто видны конечным пользователям.

- В 2006 году было заявлено, что Cisco Systems на исследования и разработки в сфере информационной безопасности ежегодно расходует примерно 10% своего бюджета. Что вы можете сказать о новых архитектурных подходах ИБ?

- Да, Cisco постоянное инвестирует в продукты и решения по ИБ, но это еще не все, мы разрабатываем не только комплекты решений, но и в целом занимаемся архитектурой сети. Сегодня Cisco выводит на рынок новую архитектуру сетевой безопасности Cisco Trusted Security (TrustSec), которая интегрирует функции идентификации и учета должностных обязанностей сотрудников в масштабе всей корпоративной сети. Архитектура Cisco TrustSec, внедренная в масштабе предприятия, удовлетворяет нормативные требования к безопасности глобальных и мобильных рабочих групп и повышает гибкость и безопасность сетевой инфраструктуры в целом.

Cisco TrustSec создает «доверенную сеть предприятия», которая включает в себя коммутаторы Cisco, маршрутизаторы Cisco и контроллеры унифицированной беспроводной сети, выполняющие функции аутентификации пользователей, распределения ролей, выполнения правил доступа и защиты конфиденциальности сетевого трафика. Полная функциональность Cisco TrustSec будет реализована на всех платформах коммутации Cisco в течение 18 месяцев с начала первого квартала 2008 года.

СПРАВКА

ЗАО НТЦ «ЛОГИС»
Главным направлением деятельности компании «ЛОГИС» является системная интеграция.
Компания ориентируется на решение сложных технических задач в области построения корпоративных информационных систем. Начиная от создания инфраструктуры центра обработки данных и всего предприятия, заканчивая тонкой настройкой базового программного обеспечения и решения прикладных задач.
«ЛОГИС» является авторизованным партнером компаний - всемирно известных производителей вычислительной техники и программного обеспечения, сетевого оборудования и инфраструктурных решений, таких как Intel, Hewlett Packard, Microsoft, IBM, Sun Microsystems, EMC, Cisco, 3Com, APC, Citrix, AMP Netconnect и многих других.
Сопровождениеклиентов на всех этапах реализации проектов: от написания технического задания до полной реализации и последующего техсопровождения систем заказчика.
 
Тел.: +7 (351) 727 77 55, 247 25 57
Тел./факс: +7 (351) 727 77 51, 727 77 52
г.Челябинск, Кирова, 19, 3-й этаж.

---

Уральский Центр Систем Безопасности

Уральский Центр Систем Безопасности предлагает услуги в области построения комплексных систем информационной безопасности для предприятий промышленного сектора, банковских структур, телекоммуникационных компаний. Является партнером Cisco, С-Терра СиЭсПи, Avaya, Symantec, Microsoft.

Екатеринбург, ул.Красноармейская 78Б, оф. 902
Тел.: (343) 379-98-34
Факс: (343) 264-19-53