О
важности безопасности информационных систем говорить уже не приходится. Давно
канули в Лету времена, когда любой вопрос на эту тему переадресовывался группе
крепких парней, для которых объектом работы были люди и материальные объекты,
а понятие информационная система было полной абстракцией.Самая большая проблема нынешнего этапа развития информационной безопасности отсутствие комплексного подхода к этому вопросу. Проблемы в области безопасности информационных технологий появились одновременно с развитием различных компонентов информационных систем. Предпринимались попытки их решения, однако они имели частный характер. В результате сложилась ситуация, при которой в информационной системе предприятия отсутствует единая система безопасности. Точнее, она представляет собой набор подсистем, входящих во все основные компоненты информационной системы.
Основная тяжесть борьбы за безопасность информации на этом этапе легла на плечи сетевых администраторов и инженеров: ведь именно широкое развитие сетевых технологий привело к резкому обострению проблем с информационной безопасностью.
Безусловно, вопросы безопасности находили отражение в справочных и учебных материалах, но, опять же, по принципу есть подсистема есть механизмы, обеспечивающие безопасность информации, с которой работает эта подсистема.
Сегодня системный подход для решения вопросов безопасности жизненно необходим. На каждом этапе жизненного цикла информационной системы предприятия, начиная с ее разработки на базе стандартных компонентов (а здесь в области безопасности сделано очень и очень много), необходимо полностью представлять ситуацию во всей системе целиком.
Единственное, что следует отметить вопросы создания программ, обеспечивающих необходимый уровень безопасности программных кодов, не входят в компетенцию даже инженеров в области безопасности, но Microsoft уделил этому очень большое внимание при подготовке разработчиков программного обеспечения.
Были подготовлены соответствующие сертификации, так как в таком ответственном вопросе иначе убедиться в квалификации специалиста невозможно.
Microsoft сформировал два уровня сертификации в области безопасности: администратор и инженер. При этом используется довольно четкий критерий разделения функциональных обязанностей:
•задача инженера проектировать систему информационной безопасности именно как систему и обеспечивать ее жизнеспособность, то есть способность решать задачи, связанные с развитием информационной системы предприятия (система, которая не развивается, умирает довольно быстро) и устранением возникающих в процессе развития проблем, затрагивающих концептуальные вопросы;
•задача администратора поддерживать систему в рабочем состоянии на этапе эксплуатации, грамотно выполнять административные задачи и решать технические проблемы.
Следовательно, обе квалификации подразумевают знание состояния дел во вверенной области (администратор в конкретной системе, инженер в области безопасности информационных систем), знание применяемых механизмов обеспечения безопасности, умение управлять всеми компонентами системы.
Следует отметить интересный факт: в качестве одного из тестов, учитываемых на данные сертификации, может фигурировать тест по вопросам безопасности от компании Comptia. Это говорит о том, что Microsoft в своем подходе к вопросам безопасности ориентируется не только на свои внутренние соображения.
Еще один момент. На сегодня существуют две линейки сертификации на базе платформ Windows 2000 и Windows 2003. Выбирать вам, но что рекомендует Microsoft достаточно очевидно.
Компания Microsoft разработала цикл курсов, позволяющих подготовить специалиста в области безопасности необходимой квалификации.
Обязательное требование квалификации знание среды, в которой требуется обеспечить информационную безопасность. Следовательно, обязательна квалификация администратора или инженера по соответствующей платформе (отсюда 3 обязательных экзамена администраторского и 5 инженерского треков).
Курсы, посвященные решению задач безопасности, можно разделить на три группы:
•первая группа курсов обеспечивает общий, системный подход к решению проблемы безопасности информационной системы;
•вторая группа знакомит слушателей с конкретными технологиями обеспечения безопасности, применяемыми в операционной системе;
•третью группу составляют курсы, посвященные конкретным технологиям или продуктам.
К первой группе относится курс 2830 (3 дня) Designing Security for Microsoft Networks. Именно этот курс дает возможность понять, что безопасность информационной системы это нечто гораздо большее, чем просто программные средства защиты файлов при их хранении и передаче по сети. Основное содержание научиться формировать список ресурсов, подлежащих защите (физические ресурсы, компьютеры, учетные записи, аутентификация, данные, сетевой трафик, демилитаризованная зона), определять требования к их защите и выполнять задачи проектирования служб защиты выбранных ресурсов.
Курс второй группы 2810 (4 дня) Fundamentals of Network Security. Этот курс содержит самый полный обзор всех технологий, применяемых в области защиты информации в системах на основе Windows 2003. Здесь рассматриваются в основном концептуальные вопросы типы атак и способы защиты, аутентификация, применение криптографии, применение цифровых сертификатов, защита Web-серверов, почтовых служб и служб каталогов, защита сетевого трафика, организационные вопросы.
К этой же группе можно отнести и курс 2150 (5 дней) Designing Security for a Microsoft Windows 2000 Network (пусть вас не смущает его название). Этот курс был первой ласточкой в этом направлении и неплохо показывает инструментарий безопасности сети на основе Windows 2000. Тест, соответствующий этому курсу, может быть использован при получении сертификации инженера в области безопасности на платформе Windows 2000, что уже не столь актуально сегодня, но сам курс, безусловно, очень интересен.
К последней группе можно отнести два курса 2159 Deploying and Managing Microsoft Internet Security and Acceleration Server 2000 и 2821 Designing and Maintaining a Windows Public Key Infrastructure.
Курс 2159 (3 дня) посвящен одному продукту Internet Security and Acceleration Server 2000. Это ключевой продукт, без которого невозможно создать информационную систему предприятия, активно взаимодействующую с внешним миром. Курс дает всю необходимую информацию для разворачивания, настройки и последующей эксплуатации ISA Server 2000.
Курс 2821 (4 дня) посвящен одной технологи PKI, хотя отдельные моменты использования этой технологии затрагиваются в других курсах (2810, 2150 и в ряде базовых курсов по сетевым технологиям). Изучение именно этого курса дает полное понимание того, как одна из самых на сегодняшний день распространенных технологий криптографии применяется для защиты разных компонентов информационной системы: файловой системы, сообщений, передаваемых по электронной почте, Web-серверов и т. д. Курс рассказывает о иерархии сертификатов, работе с шаблонами сертификатов, управлении ключами, использовании смарт-карт, защите Web- и почтового трафика с помощью SSL.
В заключение хочется напомнить, что жизнь не стоит на месте, появляются новые эффективные технологии, которые не отражены в текущей подготовке специалистов по сертификации. Самый яркий пример технология IRM (Information Rights Management), позволяющая управлять доступом к информации, путешествующей по предприятию в самой разнообразной форме.
Но это и есть одно из обязательных правил специалиста по безопасности быть в курсе всех новейших достижений в этой области. Этому, как и многому другому, вы можете научиться, прослушав официальные курсы Microsoft, посвященные вопросам информационной безопасности.
КОМПЬЮТЕР-ИНФОРМ