Ochrana firemní sítě před hrozbami z internetu

Hned na začátku k sobě buďme upřímní a přiznejme si, že jsme na informačních a komunikačních technologiích do značné míry závislí. Dvojnásob to platí pro podniky a organizace, které svým informačním systémům veškeré strategické know-how. Informační technologie a zejména jejich bezpečnost dnes tedy často rozhoduje o úspěchu či neúspěchu firmy. A nejde už jenom o „běžné“ hrozby, jako jsou počítačové viry, poruchy hardwaru a jiné ne-zaviněné havárie. V ostrém konkurenčním boji se nezřídka dostávají ke slovu zbraně daleko těžšího kalibru, jako jsou cílené průniky do cizích sítí, krádeže dat, odposlechy e-mailové komunikace, útoky pomocí metod sociálního inženýrství atd. Výsledkem těchto aktivit nemusí být jen „pouhá“ havárie spojená s přerušením klíčových firemních procesů, ale také prozrazení a zneužití citlivých dat.

Proto se bezpečnosti informační infrastruktury věnuje stále větší pozornost. Systémy řízení informační bezpečnosti (ISMS) jsou dnes již běžnou součástí firemního managementu podobně jako systémy řízení jakosti (ISO 9001:2000). Pomiňme ale prozatím organizační stránku věci (té se budeme věnovat až v příštím dílu seriálu) a podívejme se na základní prvky, které se dnes uplatňují v systémech ochrany vnitřní firemní sítě. Je to zejména:

• antivirová ochrana na úrovni pracovních stanic;
• antivirová ochrana souborových serverů a skupinových (groupware) prostředí;
• antivirová ochrana komunikace na úrovni internetové brány;
• antispamová ochrana elektronické pošty;
• systémy detekce a prevence průniku (IDS/IPS).

S antivirovou ochranou jednotlivých počítačů jsme se již seznámili ve třetím pokračování tohoto seriálu. Tato linie ochrany je nezbytným základem každého systému antivirové ochrany. Pokud selžou všechny vyšší úrovně ochrany, zareaguje tato poslední linie a případnou infekci zastaví.

Pokud vybíráme antivirové řešení pro pracovní stanice do firemního prostředí musíme brát ohled především na možnosti centrální správy. Tu je výhodné implementovat už od několika desítek počítačů v síti. Výrazně totiž redukuje čas administrátora potřebný k instalaci a údržbě antivirových programů na stanicích a serverech. Na trhu najdete různé systémy centrální správy vhodné do menších sítí, ale také řešení, která dokáží bez problémů obsloužit desítky až stovky tisíc stanic.

U antivirové ochrany souborových serverů není primárním cílem chránit samotnou infrastrukturu serveru, ale především uložená data. Centrální datová úložiště jsou ve firemním informačním systému zpravidla velmi „rušným“ komunikačním uzlem. Případná infekce tedy představuje značné riziko z hlediska dalšího rozšíření ve zbytku sítě.

Podobně je tomu i v případě dalších speciálních skupinových prostředí. Při výběru těchto antivirových řešení je třeba především vědět, jaké systémy chceme vlastně chránit. Pokud se jedná o běžné servery na platformách Windows, zpravidla neuděláme chybu, protože zde používané antivirové programy se prakticky neliší od běžných stanicových řešení. Problémy ale mohou nastat u různých řešení, jako je třeba MS SharePoint Server, IIS Server, Citrix MetaFrame, Novell NetWare apod. Zde je, vzhledem ke specifickým potřebám systémů, vždy lepší koupit antivirový program optimalizovaný přímo pro konkrétní řešení.

Ochrana datové komunikace na úrovni vstupní brány do firemní sítě patří již několik let k nejvíce se prosazujícím trendům. Původně preferovaná řešení nasazovaná přímo na podnikové firewally postupně přestávají vyhovovat a jsou nahrazována antivirovými produkty na bázi „antivirového proxy“. Veškerá potenciálně nebezpečná data, která by v sobě mohla skrývat škodlivé kódy, jsou při průchodu tímto proxy kontrolována dříve, než se dostanou k uživatelům. Tímto způsobem se dnes běžně chrání e-mailová (SMTP) a webová (HTTP) komunikace firmy, případně některé další síťové protokoly (FTP, FTPoverHTTP, LDAP, POP3, IMAP atd.).

Pokud chceme chránit pouze elektronickou poštu, vystačíme si zpravidla s řešením určeným pro konkrétní typ poštovního serveru. Implementace je jednodušší než u antivirového proxy, ale zbavujeme se možnosti ochrany dalších komunikačních kanálů. Na trhu jsou k dispozici antivirové programy jak pro poštovní servery MS Exchange, tak i pro linuxová řešení.

Aktuálním trendem v oblasti systémů antivirové ochrany na úrovni internetových bran a poštovních serverů je integrace s prostředky pro filtrování spamu – tj. obtěžující nevyžádané elektronické pošty. Spam dnes způsobuje podobné škody, jako třeba počítačové viry. Jeho negativní vliv se projevuje zejména neefektivním zatížením firemní infrastruktury a ztraceným časem, který uživatelé tráví jeho identifikací a mazáním. Proto se antispamové ochraně věnuje minimálně stejná pozornost, jako té antivirové.

Dalším prvkem bezpečnostního systému firmy, který se v praxi objevuje stále častěji, jsou systémy detekce a prevence průniku – tzv. IDS/IPS. Jedná se o poměrně sofistikované bezpečnostní nástroje, které dokáží odhalit (IDS) probíhající útok a podniknout kroky k jeho eliminaci (IPS). Implementace těchto systémů je zpravidla poněkud zdlouhavější a náročnější, což administrátory od jejich důsledného využívání často odrazuje.

Ceny bezpečnostních produktů určených k ochraně síťového prostředí se nejčastěji odvíjí od počtu chráněných koncových bodů (uživatelů, počítačů, serverů atd.). Řešení pro poštovní servery se zpravidla licencují dle počtu chráněných mailboxů. Ceny jsou různé, stejně jako je různá kvalita nabízených produktů. Pokud uvažujete o koupi takového řešení, věnujte pozornost nejen ceně samotného hardwaru a softwaru, ale zaměřte se také na úroveň souvisejících služeb (technická podpora). Pokud projevíte zájem o konkrétní řešení, většina prodejců vám ho na určitou dobu zdarma zapůjčí k otestování přímo ve vaší síti

 
V dalším dílu seriálu s názvem Systematický přístup k informační bezpečnosti se budeme věnovat problematice vybudování fungujícího systému informační bezpečnosti.

Seriál připravili specialisté z firmy AEC Data Security Company. Více informací o bezpečnosti se dozvíte na těchto stránkách.

Pro čtenáře Finance.cz jsme připravili speciální akci. Na této stránce se můžete zaregistrovat a získáte zdarma na jeden rok licenci na užívání softwaru TrustPort Workstation. V roletce Promo akce vyberte Finance.cz a zadejte heslo FIN1145PHOENIX0203WS.