Rambler's Top100
Реклама
 
Статьи ИКС № 9 2010
Михаил ЕЛИН  14 сентября 2010

Архитектура беспроводной сети должна обеспечивать выполнение политики безопасности

Самая большая проблема организации сетевой защиты состоит в том, что в большинстве российских компаний политика безопасности, частью которой является политика безопасности беспроводной сети, либо отсутствует как таковая, либо не учитывает реальные риски.

Михаил ЕЛИН, ведущий системный архитектор Motorola SolutionsЗащита беспроводной сети имеет свои особенности, определяемые тем, что эта сеть, в отличие от кабельной, неизбежно выходит за границы офиса компании – даже при использовании антенн с узкой диаграммой направленности и других ухищрениях. Методы борьбы с угрозами в беспроводных сетях в принципе хорошо развиты: система защиты может прерывать подключения, которые сочтет «вражескими», заполнять канал «неправильными» пакетами данных и т.д. Однако при использовании всех этих методов крайне важна правильная настройка политик противодействия угрозам, иначе в силу отсутствия у беспроводной сети четких границ система защиты может помешать функционированию соседних сетей, работающих на тех же каналах.


Но самая большая проблема организации сетевой защиты состоит в том, что в большинстве российских компаний политика безопасности, частью которой является политика безопасности беспроводной сети, либо отсутствует как таковая, либо не учитывает реальные риски. Поэтому сети либо вовсе не защищают под предлогом того, что «там все равно нет никакой секретной информации», либо, наоборот, стремятся оснастить сертификатами сканеры штрих-кодов на бутылках газировки. Часто в ТЗ можно увидеть требование обеспечить анализ «любого трафика в любой точке сети в реальном времени». Это можно сделать, но стоимость такого решения будет астрономической.


Сначала надо определить реальные бизнес-риски, а потом, исходя из них, сформулировать политику безопасности, которую, в свою очередь, должна обеспечивать архитектура сети. Сеть разумно разбить на области с разными уровнями безопасности: домен, где, например, идет обмен электронной почтой, должен иметь высокий уровень защиты с системой сертификации (и обеспечивать ее работу должен высококвалифицированный персонал), а в домене, обслуживающем склад, такие меры будут излишними. Нужно понимать, какие бизнес-приложения работают в сети и как их изолировать друг от друга для реализации разных уровней безопасности. Технические средства должны соответствовать политике безопасности. К сожалению, такой подход у российских заказчиков пока встречается редко. Реальные меры начинают принимать только после реально понесенных убытков, и Россия в этом смысле не исключение.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!