РЕКЛАМА
ИНФОРМАЦИЯ
ПОЛЕЗНЫЕ ССЫЛКИ
Конференция Microsoft "Платформа 2004"

Rambler's Top100 Рейтинг@Mail.ru

БИЗНЕС

Построение защищённых информационных систем
Краткое содержание статьи: Многие пользователи недоумевают, почему сегодня в продуктах Microsoft находят столь много брешей безопасности. Именно проблемам безопасности был посвящён доклад Владимира Мамыкина на конференции "Платформа 2004". Давайте посмотрим, в чём Microsoft видит причины столь незавидной ситуации с вирусами и заплатками, а также какие меры предпринимаются для её преодоления.

Построение защищённых информационных систем


Редакция THG,  1 декабря 2003
Страница: Назад  1 Далее


Microsoft учится на ошибках

Многие пользователи недоумевают, почему сегодня в продуктах Microsoft находят столь много брешей безопасности. Именно проблемам безопасности был посвящён доклад Владимира Мамыкина на конференции "Платформа 2004". Давайте посмотрим, в чём Microsoft видит причины столь незавидной ситуации с вирусами и заплатками, а также какие меры предпринимаются для её преодоления.

Исторически Microsoft разрабатывала программы для небольших компаний. Когда Microsoft вышла на уровень больших компаний, оказалось, что информация является критическим звеном для любой компании и государственного органа. Информация - краеугольный камень, без которого нельзя обойтись.

Microsoft учится на ошибках

Владимир Мамыкин информирует слушателей о текущих проблемах в построении защищённых информационных систем.

Microsoft учится на ошибках. И в этом заключается определённый драйв: нельзя бояться сказать: "Мы этого не знали, мы этого не умели". Ведь, в конечном итоге, есть факторы, которые заставляют выбирать продукты Microsoft, а не других компаний. Любое государство желает знать, кто является страхователем на тот случай, если что-то будет работать не так. При этом рассматривается история развития: смогла ли компания преодолеть какие-либо проблемы в своей истории. Здесь можно привести русскую пословицу "за одного битого двух небитых дают". Ведь если мы вспомним первые операционные системы Microsoft, то они проигрывали по графическому интерфейсу системам Apple. Но потом отставание было преодолено. Вспомним электронные таблицы Excel, которые, впервые появившись, безуспешно конкурировали с Lotus 1-2-3. Но где теперь Lotus? Microsoft училась на своих ошибках и делала систему лучше.

Актуальность проблем безопасности

Насколько же актуальны сегодня проблемы безопасность? Для оценки актуальности достаточно рассмотреть выборку ФБР по компьютерным преступлениям. Из опрошенных 530 компаний все они озабочены проблемой безопасности. И самые большие потери здесь связаны не с вирусами, а с хищениями информации. Причём информация - это не ноутбук. Жертвы часто слишком поздно обнаруживают, что информация была похищена. И здесь мы имеем дело не только с внешними атаками, но и с атаками внутренними. К тому же не следует забывать и конкурентов, со стороны которых производится 40% атак.

Актуальность проблем безопасности

Актуальность проблемы.

Каковы же основные источники угроз? Это природа, техника и люди. Причём основной источник - последний. Это не только обиженные и плохие сотрудники, но и развитие технологий. Да, именно развитие технологий приводит к появлению многих проблем с безопасностью. Люди спрашивают: "Почему система безопасности у Windows NT такая неустойчивая, ведь алгоритм шифрования DES не отличается высокой криптостойкостью." Но не будем забывать, что на момент выхода Windows NT алгоритм DES был стандартом правительства США. С тех пор люди стали умнее, а технологии - лучше. Ещё пять лет назад атаки на серверы производились по иному принципу, нежели сейчас. Сегодня атаки становятся изощрёнными, при этом в них вкладывается немало интеллектуального труда. Даже вирус - это продукт интеллекта.

Что интересно, по информации CERT, 95% проникновений связаны с неправильной конфигурацией. У людей просто нет знаний, как делать конфигурацию правильно, им даже лень читать документацию.

Что делать?

Что же делать? Какие пути повышения безопасности информационных систем видит Microsoft? Здесь хотелось бы отметить четыре направления деятельности.

Безопасность в архитектуре. Люди привыкли к тому, что Windows - "лёгкая" система. То есть она работает сразу же после установки. А теперь представьте администратора, который поставил Unix и оставил её "как есть" - вряд ли руководство одобрит его действия. Лёгкость систем Windows сегодня многими людьми воспринимается как должное. Microsoft считала, что каждый администратор будет выбирать и конфигурировать настройки сервера после его установки, но этого не происходит. В рамках этого направления Microsoft собирается улучшать защищённость архитектуры, разрабатывать новые функции безопасности и снижать количество уязвимостей в новом и существующем коде.

Безопасность по умолчанию. Поскольку люди ленятся проводить конфигурацию и читать документацию, то Microsoft пришлось по умолчанию отключить многие функции. Конечно, это снизит функциональность сервера по умолчанию, зато заставит людей читать документацию, чтобы включить дополнительные функции. К тому же, ещё один ключевой момент заключается в использовании необходимого минимума привилегий - если программа может работать под правами пользователя, то не нужно предоставлять ей права администратора или системы.

Безопасность в работе. Необходимо учить пользователей делать правильные настройки, своевременно обнаруживать проникновения и атаки. Организовывать мероприятия по защите систем.

Сотрудничество. Как отметил Владимир, без совместных действий с партнёрами Microsoft многого бы не достигла. Сюда можно отнести и обучение.

Что достигнуто?

Выработка направлений действия - это хорошо, но чего Microsoft смогла достигнуть?

Безопасность в архитектуре. Все программисты Microsoft прошли тренинги по написанию защищённого кода (а это 18 тысяч программистов). Построена эффективная модель угроз.

Безопасность по умолчанию. В Windows XP Internet Information Server отключён по умолчанию. А в Windows Server 2003 по умолчанию отключёно 19 новых сервисов.

Безопасность в работе. Microsoft обратилась к софтверной компании, занимающейся проблемами безопасности, которая написала специальный продукт по проверке множества параметров безопасности - Baseline Security Analyzer. Этот продукт можно скачать бесплатно. Также Microsoft предлагает бесплатный Security Toolkit. Упомянем и выход новых книг по безопасности. Об одной из них, "Защищённый код", мы писали в прошлом репортаже.

Сотрудничество. Одна из главных достигнутых функций заключается в возможности отправки отчётов об ошибках. Партнёры компании делают не всегда качественные продукты, у которых иногда возникают проблемы совместимости. Программа выдаёт ошибку, и система предлагает отправить отчёт в Microsoft. Отчёты накапливаются и дают разработчикам бесценную базу информации, которая позволяет исправить в будущем эти продукты.

Microsoft всегда считала, что в её кодах могут разбираться только специалисты. Действительно так, ведь вряд ли каждый пользователь "полезет" в телевизор, если что-то в нём перестанет работать. Отсюда, какой смысл предоставлять исходный код всем пользователям? Ресурсы по обработке кода есть у университетов, крупных компаний и государства. Маленькая компания и один человек не в силах разобраться с тем, что сделали 10.000 людей. Одному человек в 50 миллионах строчек разобраться нереально. У Microsoft давно существуют программы предоставления кода крупным корпорациям (кстати, в России таких корпораций нет). В мире насчитывается около 70 университетов, имеющих доступ к исходному коду Microsoft. К сожалению, в России таких университетов нет по причине проблем с интеллектуальным правом, но определённые продвижения в этом вопросе идут.

Сегодня бизнес стал общемировым, и роль Америки уже не является доминирующей. Microsoft приходится быть открытой со всеми правительствами, компаниями и т.д. Ведь их тоже беспокоит, нет ли в коде закладок или чего-то ещё. Что касается России, то Microsoft было достигнуто соглашение о предоставлении открытого кода ФАПСИ и компании "Атлас" (которая была управляема и подотчётна ФАПСИ). На базе "Атласа" были организованы рабочие места, и началась работа по исследованию кодов. Но сегодня ФАПСИ распущена, и соглашение приостановлено - пока никто не взял на себя обязательства того, что коды не "утекут" (по контракту за это предусмотрена жёсткая ответственность). Как надеется Microsoft, с начала февраля работы будут возобновлены.

Концепция Trustworthy Computing

Концепция Trustworthy Computing работает на всех этапах создания продукта, начиная с его дизайна и заканчивая выходом пакетов обновлений. Уже на уровне дизайна производится анализ безопасности для каждого компонента. Разработка продукта идёт с тестированием каждого модуля. Используется специальный инструментарий, определяющий правильность написания кода. Происходит отслеживание и блокировка новой техники атак.

В рамках концепции производится полный аудит безопасности, при этом подключаются третьи компании. То есть Microsoft уже сама пытается взламывать свои продукты и проверять их. В результате программисты компании начали выявлять уязвимости на уровне внутреннего тестирования.

Концепция Trustworthy Computing

Результаты внедрения Trustworthy Computing

Каковы результаты внедрения Trustworthy Computing? Следует отметить, что концепция Trustworthy Computing сегодня внедрена и для старых продуктов и является обязательной для всех новых продуктов Microsoft. Хорошим примером можно считать число выпущенных бюллетеней. Скажем, Server 2003 (без TWC) через 150 дней имел 150 брешей, а в Server 2003 через 150 дней их было обнаружено всего 9.

В целом, будем надеяться, что новые концепции безопасности Microsoft принесут свои плоды, и мы увидим улучшения в этом направлении.

Мы сделали рассмотрение основных идей доклада достаточно кратким, чтобы побудить вас ознакомиться с содержанием сайта Microsoft, посвящённого безопасности, где вы сможете найти подробные ответы на многие вопросы.


СОДЕРЖАНИЕ

Обсуждение в Клубе Экспертов THG Обсуждение в Клубе Экспертов THG


РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Реклама от YouDo
Дизайн-проект интерьера квартиры 68 кв.м. на YouDo.com.