 |
Юридически признаваемое подтверждение ответственности частного лица или корпорации, оформленное в электронной форме.
|
|
|
|
Информационная безопасность: предложения в России
"Каждая компания независимо от ее размера и географического положения непременно сталкивается с этим...". Подобные фразы в последнее время непременно сопровождают всякое рассуждение о создании или модификации корпоративной системы, и речь идет об информационной безопасности (ИБ).
Минимальный набор опасностей часто представляется так: компьютерные вирусы, действия хакеров, удаленный доступ, работа в Интернете, утечка конфиденциальной информации или данных, кража или повреждение данных, проекты электронной коммерции, мошенничество во Всемирной сети.
Проведенное недавно исследование консультационной компании KPMG показало, что 22% опрошенных пользователей считают наиболее существенной опасностью вирусы, 21% - действия хакеров, 17% - нарушения прав удаленного доступа, 10% опасаются работы в Интернете как таковой, а вот кражи и повреждения данных боятся только 4%.
Департаменты рисков крупных мировых консалтинговых компаний ("большой пятерки") все чаще и чаще изучают этот вопрос, представляя результаты своих исследований в том числе и в России (KPMG - на основе анализа мирового рынка, a Ernst & Young - по российскому рынку). Упомянем также недавно подписанное соглашение о сотрудничестве в области информационной безопасности между этой компанией и "Лабораторией Касперского". Все это свидетельствует о том, что рынок средств безопасности в мире растет и та его небольшая доля, что приходится на Россию и СНГ, тоже не уменьшается. Во всяком случае, западную продукцию в данной области мы потребляем, производим кое-что свое и в последнее время пытаемся представить такого рода продукты на мировом рынке. И здесь в нашей стране действительно есть немалый задел, ибо уж что-что, а защищаться, скрывать и обеспечивать безопасность мы старались всегда.
|
|
|
Отечественные компании тоже уделяют все больше внимания исследованиям рынка ИБ. Можно отметить, в частности, отчеты ассоциации "РусКрипто", работы специалистов компании "Информ-защита", "Открытые технологии" и ряда других.
Можно предположить, что, планируя структуру информационной системы корпорации, руководство и специалисты ставят перед собой вопросы: нужны ли вообще затраты на обеспечение ИБ и насколько они будут велики, какую стратегию в данной области следует избрать, какие средства - отечественные или мировых производителей - лучше использовать, будут ли эти средства соответствовать определенным стандартам, как в дальнейшем управлять этими средствами, какие изменения ожидают их системы в будущем и насколько будет совершенствоваться и расти данный сегмент рынка.
Рынок в лицах
Как показали исследования, особенно беспокоятся о безопасности компании, работающие в финансовом, телекоммуникационном, нефтегазовом секторах, на транспорте, государственные структуры, представительства крупных мировых компаний.
Известно, что многие российские коммерческие компании для обеспечения ИБ используют оборудование и ПО от Cisco Systems, Checkpoint, Symantec. Эти компании предлагают решения, позволяющие обнаружить попытки несанкционированного проникновения в корпоративную сеть, оценить уязвимость сети и включающие средства управления политикой безопасности, межсетевые экраны и защиту от вирусов.
Ведущие российские компании, предлагающие решения для сетевой безопасности, это "Инфосистемы Джет", ЭЛВИС+, "Информзащита", "Инфотекс". Ряд компаний специализируется в области криптографической защиты: "Анкад", "Инфотекс", "ЛАН Крипто", "Крипто ПРО".
|
|
|
Компании ЭЛВИС+ и "Инфосистемы Джет" работают в основном с частными заказчиками, "Информзащита" и "Инфотекс" - с государственными. Рынок, с точки зрения ряда отечественных аналитиков, невелик (хотя каждая отдельная поставка может быть значительной по объему), провести его сегментацию по количеству продаж весьма сложно. На основании опроса потребителей таких решений можно сделать вывод о примерно одинаковом положении компаний на рынке.
В этом плане небезынтересно мнение эксперта небольшой компании, работающей в "информационно-коммуникационной области": "Полноценного, развитого рынка нет, а существует некое лобби, распространяющее свое влияние на ряд крупных государственных, нефтегазодобывающих и банковских структур. При этом каждая компания работает в своей нише. А поскольку ниши часто не соприкасаются и даже не граничат, то всем достаточно вольготно".
Игроки этого рынка характеризуют его следующим образом. Генеральный директор компании "Аладдин", поставщика средств защиты и идентификации, Сергей Груздев полагает, что "...рынок существует, но в зачаточном состоянии, освоено 2-3%". Нынешнее состояние рынка ИБ он сравнивает с рынком бухгалтерского ПО семилетней давности: процессы на них схожи, но развиваться рынок ИБ будет, возможно, более бурно. Называются и такие оценки рынка в 2001 году, как 30-35 млн долл. или 20 млн долл. с прогнозом роста на 20-30% в ближайшие год-два. Генеральный директор компании ЭЛВИС+ Александр Соколов полагает, что по результатам исследований различных организаций общий объем российского рынка ИБ в 2001 году можно оценить на уровне 40-80 млн долл., а на 2002 год в соответствии с данными о величине ВВП, заложенными в проект государственного бюджета, оценка составит 60-120 млн долл. Для сравнения г-н Соколов приводит такие цифры: в соответствии с последними исследованиями IDC объем только европейского рынка средств защиты (программных и аппаратных) возрастет с 1,8 млрд долл. в прошлом году до 6,2 млрд долл. в 2005 году.
Что касается соотношения отечественных и зарубежных средств ИБ в России, некоторые специалисты оценивают его как 50:50, другие - как 30:70. Заместитель генерального директора компании "Информзащита" Владимир Гайкович рассуждает так:
|
|
|
"Все зависит от формы собственности компании. В коммерческих банках доля российских средств может составлять до 15%, в нефтяной и газовой отрасли - до 40%, в министерствах - до 70%, а на режимных предприятиях - до 90% (10% оставляем на зарубежные ОС)".
Продукты
Остановимся сначала на отечественных межсетевых экранах (firewall) и средствах построения виртуальных частных сетей - VPN (это могут быть программные, программно-аппаратные или аппаратные решения). В первом случае предполагается защита сетевого графика, фильтрация пакетов, защита от сетевых атак, во втором - защита передаваемой по сетям информации, контроль доступа в защищаемый периметр сети, идентификация, аутентификация пользователей и сетевых объектов. Возможны и иные функции, к примеру, скрытые топологии сети, централизованное управление.
В "Инфотекс" разработаны средства создания виртуальной частной сети VipNet Office, VipNet Tunnel и VipNet Corporate, стоимость которых в зависимости от количества рабочих станций в сети колеблется от 700 до 30 тыс. долл. (в расчете на 500 рабочих станций). ЭЛВИС+ предлагает межсетевой экран "Застава" (7000 долл. за неограниченную лицензию), а также продукт "Застава VPN" (Центр управления - 3000 долл., сервер - 1200 долл., клиент- 75 долл. и ниже). "Информзащита" создала в свое время программно-аппаратное решение "Континент К" - это средство создания VPN и межсетевой экран (от 1275 до 2900 долл. за один экземпляр, включая стоимость "железа"). У "Инфосистемы Лжет" можно приобрести межсетевой экран "Застава Лжет" (от 600 до 1500 долл.), а также средство VPN "Тропа" (от 70 до 200 долл.)
В последнее время в систему защиты включают и антивирусные средства, называя это "комплексной системой ИБ". В нашей стране и за рубежом известны средства "Лаборатории Касперского" (http://www.kaspersky.ru). Это комплекс решений: Business Optimal для Windows для защиты рабочих станций (40 долл. и ниже); Business Optimal для серверов (под управлением Microsoft Windows, Novell NetWare, Linux, UNIX), осуществляющие защиту файловых серверов (423 долл. и ниже);
|
|
|
Business Optimal для Microsoft Exchange - защита почтовых систем (50 долл. и ниже). Business Optimal для Lotus Notes, Business Optimal для Send Mail/Qmail/Postfix (100 долл. и ниже). Помимо этого предлагается и Kaspersky Personal Firewall. В компании "Диалог-Наука" разработаны Doctor Web для защиты рабочих станций (79 долл. и ниже), Adinf- средство контроля целостности данных (40 долл. и ниже).
Российские компании активно работают и в таком сегменте рынка, как защита электронного документооборота. Структура внутреннего рынка таких систем, составленная ассоциацией "РусКрипто" на основе опроса поставщиков систем автоматизации документооборота, показана на рисунке.
"Анкад" предлагает семейство плат "Криптон" (программно-аппаратное решение), включающее шифрование данных, подпись данных, контроль доступа к компьютерам (350 долл. и выше); Secret Disk 2000 - создание защищенных разделов диска (от 120 долл.); Crypton Word 2000 - шифрование и подпись (встраивается в Microsoft Word, 20 долл.), Crypton Excel 2000 - шифрование и подпись (встраивается в Microsoft Excel, 20 долл.).
"ЛАН Крипто" разработала систему "Нотариус" - подпись данных (от 60 до 100 долл.), систему "Веста" - шифрование данных (от 30 до 70 долл.), "КриптоБанк" - подпись и шифрование данных (от 80 до 170 долл.), Crypto Office Pro - подпись и шифрование данных, документов Microsoft Office, почтовых сообщений (около 150 долл.), CryptoTrust2000 - центр сертификации (500 долл.). Совместная разработка "ЛАН Крипто" и "ЭлиПС", аппаратное решение "Грим диск", обеспечивает аппаратное шифрование содержимого жесткого диска (350 долл. и выше).
Продукты компании "Сигнал-КОМ" включают Mail-PRO - шифрование и подпись для Microsoft Outlook, Inter-PRO - шифрование и подпись данных при соединении с Web-сервером (1000 долл. - для сервера и 100 для клиента), Notary-PRO - центр сертификации (1065 долл. - для сервера сертификации и от 15 до 35 долл. за один сертификат).
"Информзащита" предлагает программно-аппаратное решение SecretNet для защиты серверов и рабочих станций в локальных сетях (от 1000 до 4500 долл. за сервер и от 140 до 210 долл. за рабочую станцию).
Достаточно интересны отечественные разработки в области систем мониторинга действий персонала. Такие средства применяются в крупных компаниях для отслеживания действий сотрудников, могущих нанести ущерб. Компания "Инфосистемы Лжет" предлагает систему мониторинга и архивирования почтовых сообщений "Дозор-Джет". Система обеспечивает контроль содержимого входящей и исходящей электронной почты, анализ прикрепленных файлов, автоматический поиск по ключевым словам, контроль адресов отправителя и получателя, архивирование сообщений, протоколирование событий в системе электронной почты. Система активного аудита "Эстет" от "ЛАН Крипто" обеспечивает скрытую установку через локальную сеть, Интернет или почтовое сообщение, скрытую работу и получение списка запущенных задач, сбор входящей и исходящей почты, контроль связи с Web-серверами, передачу собранной информации на рабочее место администратора безопасности в шифрованном виде.
|
|
|
На рынке средств контроля доступа наиболее заметны компании ОКБ САПР, "Конфидент", "Информзащита", предлагающие программно-аппаратные комплексы (причем аппаратная составляющая выполнена в основном из импортных комплектующих). Это системы семейства "Аккорд" от ОКБ САПР (240 долл. и выше), Dallas Lock (от 270 долл.) и Internet Log (220 долл. и выше) от "Конфидент". "Информзащита" предлагает ПО "Соболь" (185 долл. и выше).
В отношении аппаратных средств защиты можно сказать немного; тем не менее стоит упомянуть, скажем, зеленоградский завод "Ангстрем", производящий, в частности, системы ИБ. Некоторые из отечественных производителей используют мощности "Ангстрема". Современной линией по выпуску интеллектуальных карт располагает НТЦ "Атлас" - фактически структурное подразделение ФАПСИ, но предлагающее ряд аппаратных средств для коммерческого применения. Имеется технологическая линия по производству 8-разрядных интеллектуальных карт (оборудование Muhlbauer, Blurkle, Kurz, Cim). Таким образом, российские производители предлагают на рынке платы для контроля и ограничения доступа к компьютерам, платы с аппаратной
реализацией алгоритмов шифрования, стационарные телефоны с цифровым шифрованием информации, жесткие диски со встроенной функцией шифрования.
Были и попытки создания систем защиты телефонных каналов. Тонкость здесь в том, что 90% потребителей этих систем - это государственные организации, не афиширующие использование таких средств. Из стационарных телефонов с функцией шифрования наибольший интерес представляло изделие компании "Сигнал-КОМ" - шифрующий телефон Voice Coder 2400 (стоимость 1500 долл., импортных аналогов - от 300 до 600 долл.). Но работы над ним были прекращены. Кроме того, на рынке представлен ряд изделий, использующих шифрование информации, но обеспечивающих только временную защиту от взлома: устройства серии ОРЕХ от "Анкад", устройства серии ГРОТ компании МАСКОМ, "Референт" фирмы "Нелк". Телефоны с возможностью шифрования голосовой и факсимильной информации предлагало и ФАПСИ, однако они не пользуются спросом из-за высокой стоимости и неудобства эксплуатации.
Существует еще одно направление - системы шифрования для мобильных телефонов. Активные работы в этом направлении вело ФАПСИ, создав устройство CryptoGrapher, но распространения оно не получило из-за высокой стоимости - порядка 17 тыс. долл. за экземпляр. Устройство было представлено на 3-й Международной выставке наземной, воздушной техники и вооружений Сухопутных войск и конверсионной продукции "ВТТВ-Омск-99". А компания РНТ и НТЦ "Атлас" (ФАПСИ) представили на одной из выставок мобильный телефон стандарта GSM со встроенными функциями шифрования (ориентировочная стоимость - 2500 долл.).
Ненавязчивый сервис
Пожалуй, нет другого такого ПО и оборудования, за которым постоянно тянулся бы некий шлейф недосказанности и тайны. Специалисты называют это коротко: "регулирование использования технологий ИБ и криптографии в России".
Занимаются этим ФАПСИ, Гостехкомиссия при Президенте РФ, ФСБ, Министерство обороны РФ, Служба внешней разведки. ФАПСИ обеспечивает защиту информации в высших органах государственной власти, выдает лицензии на экспорт и импорт шифровальных средств, деятельность по разработке, распространению и обслуживанию шифровальных средств. Гостехкомиссия призвана обеспечивать защиту информации на государственных предприятиях с помощью технических средств, лицензирование деятельности по разработке схем и средств защиты информации. К компетенции ФСБ и МО относится лицензирование деятельности по проведению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну.
Лицензия ФАПСИ необходима компании в двух случаях: если она сама расценивает свою продукцию как "шифровальное средство" либо поставляет свои решения в высшие органы государственной власти или организации, которые по закону обязаны работать только с лицензиатами ФАПСИ. Лицензия Гостехкомиссии требуется всем компаниям, занимающимся разработкой систем и средств защиты информации. Практически все фирмы, специализирующиеся на технологиях ИБ и криптографии, имеют лицензию Гостехкомиссии; у некоторой их части есть лицензия ФАПСИ. Лицензии СВР, ФСБ и МО РФ имеет лишь ограниченный круг компаний.
Ограничения на работу со средствами ИБ, скорее всего, вполне правомерны, но беда в том, что эти ограничения намертво "прошиты" в сознании многих наших специалистов и во многом затрудняют деятельность как разработчиков, так и пользователей средств ИБ.
Здесь весьма любопытно рассуждение руководителя отдела по услугам в области информационных технологий и ИТ-рисков компании Ernst & Young Мишель Мур. Она замечает, что у сотрудников российских предприятий очень часто слово "безопасность" ассоциируется с такими организациями, как ФАПСИ или Гостехкомиссия; тем не менее, полагает г-жа Мур, "ИБ - вовсе не проблема этих организаций, это проблема бизнеса. Россия будет играть значительно большую роль на международном рынке, если специалисты ее компаний будут иметь мировые сертификаты в области ИБ". Аудит же в области ИБ для компаний, ищущих выход на мировой рынок, - это некое "медицинское обследование", face control, необходимый для пропуска на званый обед в высшее общество.
Достаточно ли рациональна позиция наших государственных органов в отношении сертификации и лицензирования продукции ИБ? Специалисты утверждают, что документы Гостехкомиссии "первой серии" базировались на западных разработках, сейчас идет работа по внедрению в России стандарта ISO 15408 (Common Criteria). Проблема кроется скорее в неизбежном отставании нормативной базы от развития ИТ, но и здесь оценка ситуации вполне оптимистична, поскольку процесс формирования стандартов идет интенсивно, с привлечением широкого круга отечественных специалистов. Но есть и противоположные мнения. Так, Сергей Груздев из компании "Аладдин" считает, что позиция госорганов устарела, часто не существует адекватных документов для лицензирования (например, VPN лицензируются как "межсетевые экраны"). В связи с этим разработки "притягивают за уши" к существующим определениям, ценность сертификации нивелируется. К тому же нередко случается, что сертификация фиктивна, сертификаты выдаются на неготовые, откровенно сырые продукты, настоящего тестирования не проводится, а "тестируется" фактически документация. Выдача сертификата на ПО зависит от того, насколько интенсивно его лоббируют. По мнению г-на Груздева, госорганы, с одной стороны, сами во многом дискредитируют систему сертификации, с другой - подходят к этому вопросу слишком жестко, а кроме того, отстают от жизни.
Вообще говоря, Гостехкомиссия вовсе не принуждает тестировать системы безопасности. В результате на рынке присутствуют как сертифицированные, так и несертифицированные разработки. Понятно, что сертифицированные средства обходятся производителям дороже.
А как обстоят дела со "святая святых ИБ" - криптосредствами? Большинство специалистов утверждают, что компетентные органы "настоятельно советуют" применять только свое, проверенное. По мнению некоторых игроков рынка, отечественные разработки достаточно успешно закрывают эту нишу; проблемы скорее в расширении набора программных платформ, где они могут применяться. С их точки зрения, куда выгоднее добиться разумного сочетания зарубежного опыта в части разработок и законодательства с нашим: ведь не секрет, что большинство коммерческих организаций использует DES или 3DES.
Почему же российский заказчик не доверяет отечественным разработкам? В первую очередь потому, что нет уверенности в качестве. Сказывается отсутствие реального опыта тестирования, нет уверенности в том, что ПО не будет давать сбои в сложной неоднородной среде. Сергей Груздев считает, что в позиции ФАПСИ по этому вопросу долгое время не было ясности; ему представляется, что было бы разумным разделить криптосредства на государственные и гражданские. Те средства, которые используются в государственном секторе, должны быть лицензированы, сертифицированы, соответствовать ГОСТу. Что же касается коммерческого рынка, ему не требуется неусыпный контроль ФАПСИ, клиенты должны иметь возможность выбора, в том числе и возможность пользоваться импортными продуктами (например, если постоянным партнером компании выступает крупная западная фирма, почему бы и российской стороне не пользоваться теми же криптографическими средствами).
Сами же разработчики полагают, что законодательная база по регулированию технологий ИБ и криптографии в России несовершенна: нет единого нормативного документа, определяющего подход к регулированию. С точки зрения фирм, специализирующихся на средствах защиты для частных компаний и индивидуальных пользователей, а также ведущих научные разработки, наиболее важны документ "О лицензировании отдельных видов деятельности" и Указ Президента РФ "О внесении изменений и дополнений в список товаров и технологий двойного назначения". Как при экспорте, так и при импорте Государственный таможенный комитет требует, чтобы товар прошел экспертизу в ФАПСИ на предмет отнесения его к "шифровальным средствам". Экспертиза ФАПСИ признает шифровальным средством даже банкоматы, использующие алгоритм DES не для шифрования, а для аутентификации. Такой подход, по словам ряда специалистов, позволяет ФАПСИ получать плату за выдачу лицензий на экспорт/импорт и частично контролировать производителей.
Отметим, что в мире существует тенденция к ослаблению контроля со стороны государственных организаций за разработкой, продажей и использованием технологий ИБ и криптографии. Существуют и нерегулируемые виды деятельности: разработка алгоритмов шифрования и управления ключами, анализ надежности, создание средств для разработки систем ИБ. На этом и предлагают остановиться некоторые компании.
Весьма своеобразно и отношение специалистов к новой редакции закона о лицензировании отдельных видов деятельности. При общей тенденции к уменьшению лицензируемых видов деятельности в сфере ИБ по новому закону число их значительно увеличилось, что осложнит работу компаний. Закон же об электронной цифровой подписи (ЭЦП) просто поверг специалистов в недоумение. В частности, Елена Волчинская, консультант Комитета Государственной Думы по безопасности, заявляет, что она испытывает горечь по поводу принятия этого закона, который не соответствует, по ее мнению, ни международным актам, ни накопленному в других странах опыту. Кроме того, многие положения закона воспринимаются неоднозначно, что затруднит их правоприменение. Г-жа Волчинская полагает, что огромные усилия для продвижения закона приложило ФАПСИ, но в конечном счете недостатки закона обернутся и против этого ведомства. По ее оценке, закон об ЭЦП отнюдь не будет способствовать развитию открытой криптографии в России, тем самым затрудняя нашим специалистам выход на международные рынки.
Заметим также, что в соответствии с принятым законом владельцем ЭЦП должно быть физическое лицо. По международным же нормам (а на них построены взаимоотношения и в некоторых российских организациях) владельцем подписи может быть и лицо юридическое. Это крайне важно для правоотношений между юридическими лицами, предполагающих ответственность именно юридического лица.
Меню на завтра
В последнее время во всем мире возрос спрос на продукты для защиты информации, особенно в Интернет-приложениях, выросло число исследований по криптографии в частных компаниях, ранее не связанных напрямую с ИБ (Xerox, Sony, Mitsubishi, Siemens, NEC и т. д.). Что немаловажно, очень заметно возрос интерес к технологиям ИБ и криптографии в странах Юго-Восточной Азии и Тихоокеанского региона, что весьма ярко проявилось на встрече российских предпринимателей с представителями ИТ-компаний стран АСЕАН (в этой части мира стараются дистанцироваться от разработок американских компаний).
Проанализировав развитие технологий ИБ и криптографии в России, можно прийти к выводу, что направления исследований соответствуют мировым, причем наиболее интересные работы ведутся в частных компаниях и в учебных заведениях. Это создание алгоритмов и протоколов шифрования, средств для разработчиков (криптобиблиотеки), защита интеллектуальной собственности с использованием криптографии. Правда, уровень активности российских частных компаний в исследованиях по криптографии и технологиям ИБ невысок из-за недостатка квалифицированных кадров, готовых вести открытые исследования по криптографии и ИБ, и финансовых трудностей. Реальные теоретические исследования ведут в России только частная компания "ЛАН Крипто" и государственная организация ГУП СЦПС "Спектр".
Надеяться на улучшение ситуации вполне можно, поскольку в России достаточно высок уровень подготовки специалистов по технологиям ИБ и криптографии (правда, для государственных структур) и многие учебные заведения готовят специалистов по этой тематике. Это ИКСИ при Академии ФСБ РФ, МИФИ, МГТУ им. Н. Э. Баумана, МИРЭА, МТУСИ, МФТИ, НГТУ. В этих учебных заведениях читают такие курсы, как "Криптоанализ", "Радиоразведка", "Компьютерная безопасность", "Представительская связь", "Сети специальной связи", "Компьютерная безопасность. Комплексное обеспечение".
Есть и курсы в коммерческих учебных центрах и при различных ИТ-компаниях. Трехдневный курс одного из мировых лидеров в области обучения ИБ MIS Training Institute в учебном центре "Микроинформ" (по такой, скажем, теме, как "Разработка и документирование политик информационной защиты") стоит от 700 до 1000 долл. В "Информзащите" можно прослушать курс "Безопасность банковских информационных технологий", "Электронная коммерция и платежные системы. Проблемы безопасности" (стоимость около 100 долл. за учебный день), в "Центре информационных технологий МГУ" - "Защита данных в IP-сетях" (в курсе "Новые технологии IP-сетей", 120 долл. в день), "Безопасность в сетях TCP/IP" (в курсе "Сети TCP/IP", 120 долл. в день). "ЛАН Крипто" совместно с "Мультисофт" предлагает курсы "Современные технологии защиты информации", "Правовое регулирование", "Обзор рынка средств защиты информации" (бесплатно). Семинар "РусКрипто" "Введение в криптографию" также бесплатный. Проводится и семинар "РусКрипто" в МИФИ.
Исследования в области ИБ и криптографии ведутся в Лаборатории МГУ по математическим проблемам криптографии, в Учебно-научном центре МИЭМ, в Математическом институте им. В. А. Стеклова РАН (практически все исследования носят закрытый характер, практические результаты неизвестны). В Академии криптографии РФ при ФАПСИ ведутся фундаментальные исследования по математическим основам, накоплен большой практический опыт, но, к сожалению, и здесь те же недостатки - большой средний возраст сотрудников и "закрытый характер".
Как отмечают многие специалисты, немалый вред наносит тот факт, что российские исследователи практически не выезжают на международные конференции. Президент "ЛАН Крипто" Анатолий Лебедев рассказал, что его компания принимала участие в одном из международных конкурсов по разработке криптографических алгоритмов и протоколов для Европейского Союза. Чтобы участвовать в конкурсе, специалистам компании пришлось преодолеть немалые препятствия (во многом из-за претензий к качеству перевода материалов), но все же им удалось сделать небольшой доклад. Сейчас отечественные разработчики задумываются об участии в конкурсе на создание блока криптографических стандартов Японии. Участие в подобных конкурсах поможет фирмам лучше ориентироваться на мировых рынках.
В целом же мы вполне можем надеяться, что новое поколение специалистов по ИБ найдет свое место в мировом процессе, что положительно скажется на их разработках для корпоративных заказчиков.
Приложение: Глоссарий
| Активное содержимое | WWW-страницы, которые содержат ссылки на программы, которые загружаются и выполняются автоматически WWW-браузерами |
| ActiveX | Программные компоненты, которые могут быть автоматически загружены вместе с WWW -страницей и выполнения браузером Microsoft, Inc. - Internet Explorer. |
| Апплеты | Небольшие приложения, написанные на различных языках программирования, которые автоматически загружаются и выполняются WWW-браузерами, поддерживающими апплеты |
| Браузер | Клиентская программа для работы в WWW |
| Брандмауэр | Метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами. |
| FTP | Протокол передачи файлов. Используется для передачи файлов по сети. |
| Gopher | Протокол, разработанный для того, чтобы позволить пользователю передавать текстовые и двоичные файлы между компьютерами в сети. |
| HTML | Язык гипертекстовой разметки документов. Используется для создания Web-страниц. |
| HTTP | Протокол передачи гипертекста. Базовый протокол WWW, использующийся для передачи гипертекстовых документов. |
| Java | Новый язык программирования, разработанный Sun Microsystems, Inc. Он может использоваться как обычный язык программирования для разработки сетевых приложений. Кроме того, н используется для написания небольших приложений, называемых апплетами. Среда для выполнения Java-апплетов должна быть безопасной, то есть апплет не должен иметь возможности модифицировать что-либо вне WWW-браузера. |
| Пакеты-убийцы | Метод вывода из строя системы путем посылки ей Ethernet- или IP-пакетов, которые используют ошибки в сетевых программах для аварийного завершения работы системы. |
| Почтовые бомбы | Блокирование сайта путем вывода из строя почтового сервера посылкой огромного числа писем. Используется для предотвращения получения сайтом писем в ходе атаки или для мести. |
| Новости(news) | Протокол передачи сетевых новостей(NNTP) для распространения новостей в Usenet. Usenet - это система асинхронного обсуждения текстов по различным тематикам, называемым группами новостей (newsgroups). |
| Плагин(Plug-in) | Набор динамически подключаемых библиотек, используемых для увеличения функциональных возможностей основной программы, такой как WWW-браузер. Они обычно используются для того, чтобы позволить WWW-браузеру отображать и обрабатывать данные в различных форматах, или чтобы добавить новые возможности отображения стандартных форматов. |
| Подглядывание из-за плеча | Кража паролей или PIN-кодов путем наблюдения за их набором на клавиатуре. |
| Социальная инженерия | Обход системы безопасности информационной системы с помощью нетехнических мер (обмана и т.д.). |
| Спамминг (spamming) | Посылка большого числа одинаковых сообщений в различные группы UNENET. Часто используется для организации дешевой рекламной компании, пирамид или просто для надоедания людям. |
| Фальсификация(spoofing) | Использование различных технологий для обхода систем управления доступом на основе IP- адресов с помощью маскирования под другую систему, используя ее IP -адрес. |
| SSL | Протокол безопасной передачи данных, разработанный Netscape Communications, Inc. Этот протокол использует межконцевое шифрование трафика на прикладном уровне. |
| SYN-переполнение | Метод вывода системы из строя путем посылки ей такого числа SYN -пакетов, которое не может обработать сетевой драйвер. Смотрите пакеты-убийцы. |
| Telnet | Протокол, используемый для терминального(возможно удаленного) подключения к хосту. |
| USENET | Система обсуждения новостей на основе электронной почты, вначале разработанная для коммутируемых соединений, а сейчас использующая TCP/IP. |
| Вирус | Небольшая программа, которая вставляет саму себя в другие программы при выполнении. |
| Червь | Программа, которая копирует себя с одной системы на другую по сети. |
|
|
|
