Актуальность и мода — это понятия взаимосвязанные, но все же разные. Один из важных аспектов этой взаимосвязи заключается в том, что мода позволяет специалистам привлечь внимание широкой общественности к техническим вопросам, решить которые без заинтересованного участия этой самой общественности, сугубо узкопрофессиональными средствами, нельзя — или по крайней мере очень сложно. Но тут возникает другая проблема: зачастую собственно тема "замыливается", сильно упрощается, на передний план выходят не те вопросы, которые действительно актуальны, а те, которые сильнее продвигаются и рекламируются. К тому же мода в какой-то момент проходит, а проблемы остаются…

Теме информационной безопасности такое забвение, похоже, не грозит, при том что сегодня вряд ли можно назвать более "модную" ИТ-проблему, которая обсуждается и ИТ-специалистами, и политиками, и домохозяйками. И это вполне понятно: актуальность вопросов безопасности неизменно возрастает по мере роста значимости ИТ для общества и одновременной глобализации ИТ-систем. Решать эти задачи можно только совместными усилиями, причем при участии не только поставщиков, но и потребителей ИТ. Надо сказать, что в условиях глобализации ИТ-рынка режим "конкуренция-сотрудничество" (coopetition) уже давно стал естественным состоянием, но как раз информационная безопасность — это та сфера, где тенденция к диалогу преобладает даже применительно к самым ярым соперникам.

Все это хорошо было видно на прошедшем в начале февраля в Сан-Франциско ежегодном крупнейшем мировом форуме по информационной безопасности — RSA Conference 2007, собравшем практически всех ведущих поставщиков платформенного ПО: Microsoft, Symantec, Oracle, CA, IBM, EMC, Sun. Общественную значимость события подчеркивает тот факт, что закрывал конференцию бывший государственный секретарь США генерал Колин Пауэлл.

[Фото 1]

Как обычно для современных ИТ-мероприятий, открытие RSA Conference 2007 проходило в виде арт-шоу.

Что есть информационная безопасность?

Вот как определяет термин "информационная безопасность" Интернет-энциклопедия WiKi (http://en.wikipedia.org/wiki/It_security): "Информационная безопасность (ИБ) — это процесс защиты данных от неавторизованного доступа, использования, обнаружения, разрушения, модификации и уничтожения". Говоря об ИБ как о более общем понятии, в него часто включают такие вопросы, как компьютерная безопасность и управление информационными рисками. Обратим также внимание на использование слова "процесс" в определении — речь идет не о разовых действиях, а о постоянной работе в данном направлении.

Считается, что современный этап развития теории и практики ИБ начался примерно 20 лет назад. Именно тогда были сформулированы три ключевых принципа ИБ, известные как CIA-триада: конфиденциальность (confidentiality), целостность (integrity) и доступность (availability). Однако в последние годы круг задач, связанных с ИБ, существенно расширился, и потому сегодня в рамках проблематики ИБ рассматривают шесть базовых элементов: конфиденциальность, целостность, доступность, управляемость (possession or control), подлинность (authenticity) и полезность (utility).

Как все начиналось

Собственно, RSA — это название криптографического алгоритма, который считается одним из краеугольных камней современной электронной безопасности. Он был создан тремя сотрудниками Массачусетского технологического института — Роном Ривестом (Ron Rivest), Ади Шамиром (Adi Shamir) и Леном Адлеманом (Len Adleman) и получил название по первым буквам их фамилий. Официально алгоритм был опубликован в 1977 г. в рамках представленной тогда системы шифрования и аутентификации на основе открытых ключей RSA Public Key Cryptosystem. Спустя некоторое время изобретатели решили реализовать свои научные достижения в коммерческой сфере и в 1986 г. создали собственную компанию под названием RSA Security, которая быстро стала одним из лидеров формирующегося рынка ИТ-безопасности.

За 20 лет RSA Security превратилась в компанию с оборотом более 300 млн долл. и числом сотрудников свыше 1100 человек. Летом 2006 г. она была приобретена за 2,1 млрд долл. корпорацией EMC, в которую с тех пор входит в качестве отдельного подразделения — RSA, The Security Division of EMC (http://www.rsa.com).

В 1992 г. RSA Security провела свою первую RSA Conference, которая тогда представляла собой специализированную конференцию по проблемам криптографии. Со временем она превратилась в крупнейший форум мировой ИТ-индустрии по информационной безопасности, точнее, в серию ежегодных последовательных конференций, проходящих в США, Европе и Японии. Американское событие традиционно открывает годовой цикл и бывает наиболее представительным. RSA Security по-прежнему остается официальным организатором конференции, но при деятельном участии ведущих ИТ-компаний.

[Фото 2]

Панельная дискуссия об эволюции технологий шифрования: отцы-основатели современной криптографии (слева направо) — Уитфилд Диффи, Рон Ривест и Ади Шамир.

RSA Conference 2007: ключевые выступления

В программу конференции, как обычно, входили пленарные доклады и общие панельные дискуссии, доклады и презентации по секциям, лабораторные работы, курсы обучения и специализированные семинары, впечатляющая по размерам выставка. Всего активными участниками форума (презентации, обучающие курсы, выставочные стенды) стали более 400 компаний и исследовательских организаций. Огромный объем работы пришелся на узкопрофессиональные доклады, панельные дискуссии и просто личные встречи сотрудников компаний. Но в центре внимания конференции были пленарные выступления представителей лидирующих ИТ-компаний, в которых они изложили свое видение ситуации на рынке ИТ-безопасности и перспектив ее развития, а также стратегию действий своих компаний.

На открытии конференции состоялось совместное выступление председателя Microsoft (http://www.microsoft.com) Билла Гейтса и директора корпорации по исследованиям и стратегии Крейга Манди (Craig Mundie). В форме непринужденной беседы они представили свое видение возможностей построения безопасного ИТ-мира. В общих чертах ключевая идея Microsoft сводится к тому, чтобы создать систему безопасного, гранулированного доступа к данным в сочетании с процедурой сертифицированной аутентификации в среде компьютерных сетей или с помощью протокола IPv6. Другие составляющие этой концепции — управление цифровыми правами для защиты документов и информации и широкое применение смарт-карт при работе с любыми ресурсами из любой точки. В практическом плане все это должно базироваться на эволюции технологий в трех областях: компьютерных сетей, защиты данных и идентификации пользователей и программных компонентов.

[Фото 3]

Крейг Манди и Билл Гейтс обсуждают возможности использования безопасных технологий в рамках Интернет-взаимодействия.

Помимо общего видения безопасного ИТ-мира руководители Microsoft представили конкретные продукты и технологии корпорации, в которых реализуются эти идеи. Подробности этих предложений позже были детализированы в ряде секционных выступлений специалистов Microsoft (см. врезку).

Президент и CEO корпорации EMC (http://www.emc.com) Джо Туччи (Joe Tucci) в своем докладе сделал акцент на бизнес-стратегии развития компании: "Мы сделали за последние годы множество приобретений, и сделка с RSA Security была не только одной из крупнейших, но и одной из наиболее беспроблемных в плане интеграции с нашим технологиями и моделью бизнеса". Он заверил, что EMC намерена и дальше расширять свое присутствие на рынке ИТ-безопасности: на конференции было объявлено о покупке индийской компании Valyd Software Private, известной своими инновационными решениями в области криптозащиты файловых систем и баз данных.

С технологическими объявлениями EMC выступил руководитель подразделения RSA Serurity Арт Ковиелло (Art Coviello), который говорил о намерении двигаться по пути развития технологий Identity & Access Management (IAM) и о продолжении интеграции аппаратных систем EMC и программных продуктов RSA. В качестве примера он объявил о возможности использования корпоративной платформы хранения данных Symmetrix DMX-3 совместно с решением двухфакторной аутентификации RSA SecurID.

CEO Symantec (http://www.symantec.com) Джон Томпсон (John Thompson) рассказывал большей частью не о технологиях, а о новом статусе его компании, которая теперь может по праву считаться поставщиком платформенных решений. Завершение покупки компании Altiris должно еще больше усилить эти позиции за счет того, что в распоряжении Symantec появляются средства управления вычислительными системами и контроля сетевого доступа. Что касается продуктов корпорации, то на конференции был представлен модернизированный вариант ПО Symantec Network Access Control 4.5, новые функции которого улучшают управляемость сетевого доступа через самые разные точки входа в систему.

Генеральный менеджер подразделения Internet Security Systems (ISS) корпорации IBM (http://www.ibm.com) Томас Нунан (Thomas Noonan) призвал своих коллег по рынку способствовать приближению «эпохи возрождения» в области информационной безопасности. В своей программной речи, озаглавленной в традиционном для этой компании стиле Security-on-Demand: From Promise to Reality («Безопасность по требованию: от обещаний к реальности») он предложил компаниям присоединиться к IBM, чтобы преобразовать информационную безопасность из «тяжкого бремени», лежащего на клиентах, в ценный актив бизнеса. Согласно этой концепции IBM, функции безопасности будут проектироваться для взаимодействия на одной комплексной интегрированной платформе, связанной с модулем интеллектуального анализа, который функционирует в режиме реального времени, и совместимой с сервисными службами «по требованию». Эта платформа будет обладать расширяемостью, адаптируемостью и возможностью установки приоритетов выполнения функций обеспечения безопасности, а также будет способствовать упрощению инфраструктуры системы информационной защиты.

[Фото 4]

В огромном подземном зале конгресс-центра Moscone разместилось более 340 выставочных стендов.

Одним из наиболее ожидаемых событий на RSA Conference 2007 должно было стать пленарное выступление CEO Oracle Ларри Эллисона. Ведь именно в 2006 г. Oracle (http://www.oracle.com) резко активизировала свою деятельность в сфере безопасности, представив обновленный вариант семейства своих IAM-продуктов и сделав целый ряд приобретений в той же области. Предполагалось, что глава компании не только сделает объявления о выпуске новых решений в сфере безопасности, но и представит общую стратегию деятельности Oracle в этом направлении.

В последний момент выяснилось, что Ларри Эллисон заболел. Вместо него доклад о текущем состоянии и перспективах развития IAM-платформы Oracle сделал вице-президент корпорации по продуктам управления идентификацией и обеспечения безопасности Хасан Ризви (Hasan Rizvi). Непосредственно на конференции был анонсирован выпуск пакета the Oracle Management Pack for Identity Management, представляющего собой единое унифицированное решение для управления продуктами Oracle Identity Management, которое расширяет возможности уже имеющегося на рынке Oracle Enterprise Manager 10g.

Стратегии Microsoft в области ИТ-безопасности

По мнению Microsoft, представленному на RSA Confrence 2007, реализация безопасного и простого "доступа отовсюду" (anywhere access) сегодня связана с эволюцией технологий в трех основных направлениях: организации сетей, защиты информации и идентификации.

Эволюция сетей. Потребители и поставщики ИТ постоянно движутся в направлении не просто расширения, а переопределения самого понятия "границ" вычислительных сетей. В этой связи исчезает традиционное представление о физической топологии сетей, соответственно в значительной мере утрачивается смысл подхода "защита периметра сети". На смену ему приходят методы защиты на основе гибких политик при управлении доступом. Цель этого в том, чтобы пользователь при работе не чувствовал (с точки зрения простоты и скорости доступа), каким образом он подключается к корпоративной системе: через локальную сеть или Интернет.

Эволюция защиты. Вопросы безопасности сегодня уже не ограничиваются защитой локальных информационных ресурсов (рабочих станций, серверов). Пользователь в процессе работы имеет дело с распределенными системами, включающими различные приложения, сервисы, коммуникации, которые имеют собственные средства защиты. Соответственно задача состоит в том, чтобы обеспечить интеграцию всех этих средств (в том числе для единого управления ими) с учетом уже существующей и будущей ИТ-инфраструктуры. Пользователь также должен иметь возможность выбрать средства безопасности, наилучшим образом подходящие для решения его задач. Кроме того, нужно учитывать, что повышение уровня защиты все же связано не только с процессом передачи данных, но и с процедурами создания и хранения информации, причем не только на стационарных компьютерах, но и на мобильных устройствах.

Эволюция идентификации. Сегодня и деловые, и частные пользователи работают с целым рядом цифровых идентификаторов. Как показывает опыт применения в быту различных пластиковых карточек, заменить их одним универсальным идентификатором не удается. Поэтому возникает задача снизить уровень сложности и рисков применения набора таких "частных" идентификаторов. Ее решение лежит в плоскости создания (совместными усилиями ИТ-отрасли) единой идентификационной метасистемы, которая обеспечивала бы применение различных средств идентификации на базе стандартных протоколов в гетерогенной ИТ-инфраструктуре, в среде как вычислительных сетей, так и Web.

В рамках реализации концепции Identity Metasystem корпорация Microsoft представила на RSA Conference 2007 предварительную версию Identity Lifecycle Manager (ILM) 2007, который в окончательном варианте будет доступен в мае. ILM 2007 представляет собой единое решение на базе технологий метакаталогов Microsoft, в котором реализована поддержка управления надежными удостоверяющими мандатами, такими, как сертификаты и смарт-карты. ILM позиционируется как средство управления идентификационной информацией пользователей на протяжении всего ее жизненного цикла. Компания намерена расширять возможности этого продукта — выпуск следующего его варианта запланирован на 2008 г. В настоящее время заказчики уже могут на практике применять технологию идентификации Windows CardSpace, представленную в Windows Vista и Internet Explorer (IE) 7. Ее взаимодействие с решениями других поставщиков организовано на базе спецификаций OpenID 2.0 и протоколов WS-Trust.

Решение задач защиты от внешних угроз и вредоносного ПО возлагается на семейство Microsoft Forefront, которое, в свою очередь, включает три группы продуктов: Client Security (защита клиентских и серверных ОС), Server Security (защита серверных приложений) и Network Edge (защита периметра сети).

Говоря о защите ОС, нужно подчеркнуть, что встроенные средства безопасности, включенные в недавно выпущенную Windows Vista, реализуют лишь некоторый "джентльменский" набор технологий (см. "Обеспечение безопасности в Windows Vista", «BYTE/Россия» № 3'2007). Для создания более эффективной системы защиты Microsoft предлагает механизм Server & Domain Isolation на основе протокола IPsec и служб Active Directory, который позволяет динамически сегментировать среду Windows с целью создания защищенных, изолированных логических сетей, а также полнофункциональное решение Forefront Client Securiry (на этапе бета-тестирования оно называлось Microsoft Client Protection) для защиты от широкого спектра вредоносного ПО. На прошедшей конференции было объявлено о поддержке в IE 7 технологии Extended Validation (EV) SSL Certificates, что повысит безопасность работы с сертифицированными сайтами, а также о возможности подключения дополнительных провайдеров для службы Microsoft Phishing Filter в составе Windows Vista и IE 7.

Направление Forefront Server Security базируется на развитии семейства продуктов Antigen (компании Sybari, приобретенной Microsoft еще два года назад). В прошлом году Microsoft начала обновление этой линейки, выпуская решения под торговой маркой Forefront для новых версий своих серверов — Exchange и SharePoint. А на RSA Conference 2007 компания представила первую публичную версию Forefront Server Security Management Console, которая заменит текущий вариант Antigen Enterprise Manager. Новая консоль должна обеспечить централизованное управление всеми продуктами данного семейства, в том числе и теми, которые появятся в будущем.

Задача сетевой защиты в общем семействе ПО Microsoft традиционно возлагалась на Internet Security and Acceleration Server (ISA Server), представленный сейчас версией 2006. Однако теперь возможности этого инструмента существенно расширены: корпорация объявила о выпуске решения Intelligent Application Gateway (IAG) 2007, которое объединяет в себе ISA Server 2006 и Secure Sockets Layer Virtual Private Network (SSL VPN) — продукт, полученный в результате приобретения летом прошлого года компании Whale Communications. Основные новшества IAG связаны с обеспечением безопасного удаленного доступа к прикладным программам, в том числе к критически важным бизнес-приложениям, с помощью набора специальных модулей Intelligent Application Optimizers.

Очевидно, что решение проблем безопасности требует совместных усилий ИТ-отрасли, и потому Microsoft расширяет взаимодействие с отраслевым сообществом. На прошлогодней RSA Conference 2006 по инициативе корпорации был создан SecureIT Alliance, в который сейчас входят уже более 100 фирм, преимущественно независимых разработчиков ПО. Эта структура работает в плотном контакте с глобальной индустриальной группой Interop Vendor Alliance, образованной в ноябре 2006 г. с целью объединить действия поставщиков ПО и аппаратных средств в продвижении стандартов Web Services для поддержки интероперабельности систем и решений.

Кроме того, Microsoft активно продвигает партнерскую программу Network Access Protection (NAP), направленную на обеспечение взаимодействия различных платформ, устройств и сетей. Правда, в рамках NAP, говоря об интероперабельности решений, компания подразумевает, что они должны работать под управлением Windows Vista или Windows Server Longhorn. Тем не менее участников NAP также насчитывается свыше сотни, и почти половина из них (в том числе Cisco, Nortel, Extreme Networks и Foundry Networks) представили свои NAP-решения на выставке RSA Conference 2007.

Общие впечатления и соображения

Учитывая обилие выступлений и обсуждений, сделать какие-то однозначные обобщения процессов в данной сфере достаточно сложно (к сожалению, на конференции не было сообщений аналитиков — таких знатоков ИТ-рынка, как IDC или Gartner, которые намного упрощают журналистам задачу доведения до читателей обзорной информации). Но все же попробуем сформулировать свое восприятие этой темы, в том числе с учетом мнений других аналитиков и комментаторов.

Главный вывод состоит в том, что проблема ИТ-безопасности уже давно стала глобальной, весьма многогранной и комплексной. В этом плане весьма показателен состав участников RSA Conference — от ИТ-гигантов с оборотом в десятки миллиардов долларов до небольших фирм, поставляющих частные решения. Прямым следствием этого стал переход лидирующих позиций в сфере ИТ-безопасности от специализированных компаний к глобальным поставщикам платформенного ПО. Собственно, многие бывшие ведущие security-фирмы просто исчезли как самостоятельные игроки, будучи поглощены крупнейшими корпорациями. В результате тот факт, что сегодня ведущие позиции в области ИТ-безопасности принадлежат IBM, Microsoft и Oracle, представляется само собой разумеющимся.

Разумеется, софт без аппаратных средств не имеет никакого смысла (как и наоборот), но все же именно программные технологии играют в вопросах безопасности определяющую роль — это опять-таки хорошо видно по составу участников RSA Conference. В данном плане довольно показателен пример EMC: хотя корпорация уже много лет остается одним из лидеров рынка аппаратных средств хранения данных (а эти задачи многие заказчики и сегодня считают чуть ли не единственной проблемой безопасности), но чтобы попасть в число security-лидеров, ей пришлось приобрести компанию RSA Security (а вместе с ней и официальный титул организатора конференции).

Еще более интересен — как исключение, подтверждающее правило, — пример Symantec, которая смогла в результате активной маркетинговой и технической политики, в том числе путем многочисленных приобретений и интеграции различных технологий, превратиться из разработчика антивирусных решений в поставщика комплексной платформы ИТ-безопасности.

Тут же нужно отметить четко выраженную тенденцию к слиянию концепций и технологий ИТ-безопасности и управления ИТ-ресурсами. Это вполне понятно: современные информационные системы превратились из статичных (сделали один раз — эксплуатируете в неизменном виде) в динамические, постоянно изменяемые конструкции. Данная тенденция наблюдается у всех поставщиков, но самый яркий и свежий пример — приобретение той же Symantec одного из ведущих поставщиков средств управления системами, компании Altiris. Впрочем, в стане ИТ-управления тоже идут процессы глобализации — Altiris было бы очень сложно выжить в одиночку, особенно учитывая активизацию Microsoft в этом направлении.

Если же говорить об изменении характера угроз безопасности ИТ-пользователей и, соответственно, о развитии соответствующих технологий защиты, то они связаны с процессом глобализации, распределенности самих информационных систем. Несколько упрощая, можно сказать, что до недавнего времени даже корпоративные системы имели локальный характер и достаточно четко обозначенный внешний контур. В этих условиях вполне реально было создать, если так можно выразиться, комплекс стационарных укреплений в виде защиты периметра сети, серверов и рабочих станций. Однако теперь пользователь уже не может отсидеться в подобных "укрепрайонах" — ему нужно постоянно выходить на оперативные просторы, где его поджидают новые неприятности.

Конечно, актуальность таких традиционных угроз, как вирусы, шпионские программы, спам и т. д., отнюдь не уменьшается. Но все же в последнее время акценты в сфере безопасности заметно смещаются в сторону применения новых технологий — в первую очередь это мобильные устройства, беспроводная связь и т. п. Прямым следствием глобализации информационных систем стало то, что на передний план выходят вопросы управления идентификацией и доступом (Identity & Access Management, IAM): в 2006 г. практически все ведущие ИТ-поставщики — СА, IBM, Microsoft, Oracle, Sun — представили свои новые или обновленные IAM-платформы (см. "Инфраструктурные решения для управления идентификацией и правами доступа", «BYTE/Россия» №2’2007).

Важно также отметить растущее понимание того, что одна из угроз информационной безопасности таится в самом ПО информационных систем. Ведь надежность работы программ — это ключ к обеспечению не только работоспособности системы, но и ее защиты от проникновения злоумышленников. В этом плане весьма показательно, что, говоря о системе безопасности Windows Vista, Microsoft в качестве базового принципа выделяет использование "безопасного" цикла разработки, нацеленного на минимизацию числа ошибок, связанных с безопасностью, в исходном коде системы.

[Фото 5]

ИТ-угрозы подстерегают нас сегодня и на улице (не волнуйтесь — это лишь выставочный стенд).