mpeople

Февраль 2005

Человек месяца

Уважаемые читатели!

В этом году выпуск за выпуском журнала я хотел бы познакомить Вас с Центрами компетенции технологий Oracle в России, число которых уже перевалило за десяток. И все они плодотворно работают. "По итогам года каждый из центров компетенции выполнил не менее двух успешных проектов по технологическому управлению” - так заявил генеральный директор Oracle СНГ, вице-президент корпорации Oracle Б.И.Щербаков на ежегодной (2004) Конференции партнеров Oracle СНГ.

Начнем мы со знакомства с Центром компетенции по информационной безопасности, который является структурным подразделением компании “ФОРС – Центр Разработки”, и его руководителем Ростиславом Михайловичем Рыжковым.

А.Бачин. Уважаемый Ростислав Михайлович, во-первых расскажите, как в современных информационных технологиях понимается информационная безопасность баз данных и других программых продуктов и систем. (Естественно, нас в первую очередь интересуют продукты и системы Oracle.)

Р.Рыжков. Информационная безопасность баз данных и информационных систем. Сегодня можно услышать сочетания “экологическая безопасность”, “транспортная безопасность”, и даже “продовольственная безопасность”. В этом же терминологическом ряду помещается и “информационная безопасность”. На тематических конференциях приходится слышать доклады, посвященные защите граждан от ненужной, назойливой информации, информационного мусора – рекламы по радио и телеканалам, информационных листочков и бессмысленных газет в почтовых ящиках, угрожающих нашему с вами психическому благополучию. Эта проблематика иногда подается как один из аспектов информационной безопасности.

Однако с точки зрения информационных технологий, этот термин трактуется иначе. Под “информационной безопасностью” понимается круг вопросов, касающихся защиты данных, обрабатываемых и хранимых в информационных системах. Сюда относится защита от несанкционированного доступа, защита от утечки по техническим каналам, защита от съема информации за счет электромагнитного излучения. Для солидности добавим также меры противодействия разведкам конкурентов и, возможно, иностранных государств, если речь идет о государственной тайне.

Обеспечить информационную безопасность можно организационными и техническими мерами. Среди организационных мер, таких, например, как охрана помещений, где осуществляется доступ к защищаемой информации, – знакомые всем замки, турникеты, вахтеры, наконец. Но нам интереснее технические меры.

Они весьма разнообразны, но, как специалисты по Oracle, мы, в первую очередь, обращаем внимание на использование механизмов и технологий информационной безопасности, встроенных в эту СУБД. Умелое их применение позволяет построить весьма стойкую систему информационной безопасности. Преимущество такого подхода – в цене решения задачи. Если уж вы потратились на Oracle – экономьте на инструментах для защиты информации! Их набор вы купили уже вместе с Oracle! Сложность - в квалифицированном подборе необходимых компонентов, оценки их соответствия формальным и содержательным требованиям к защищенности системы.

Возможно, применения только механизмов Oracle будет недостаточно, и придется использовать дополнительные средства защиты. Какие?

Ответы на вопросы такого рода можно получить в одном из Центров компетенции Oracle по направлению “Информационная безопасность”. Такой Центр действует и на базе компании ФОРС.

А.Бачин. Что такое Центр компетенции? И, главным образом, как работает Центр "Информационная безопасность" на базе компании ФОРС?

Р.Рыжков. Центры компетенции: Что это? Для чего? Сколько? За последние годы в России возникли, пожалуй, десятки всевозможных Центров компетенции (ЦК) и подобных им структур. Создаются они преимущественно в сфере информационных технологий или на стыке IT и обслуживаемой предметной области. Дружное участие в создании Центров компетенции приняли такие гиганты IT – индустрии, как Intel, IBM, Microsoft, Oracle, SUN и другие. Видимо, такая деятельность кажется им перспективной. Так что же такое эти ЦК, кто и для чего их создает, и какой от них толк бизнесмену или специалисту? Оглянемся немного назад.

История. Проблема 2000. Помните, когда впервые появилось словосочетание “Центр компетенции”? В начале 1999 года несколько отечественных компаний были признаны Центрами компетенции по “Проблеме 2000”. Работа по аттестации таких Центров велась Государственным комитетом РФ по связи и информатизации в рамках общегосударственных мероприятий по предотвращению негативных последствий в работе информационно-вычислительных систем в связи с наступлением 2000 года, о чем даже имелось распоряжение Правительства Российской Федерации.

Центры компетенции проводили (по крайней мере, должны были проводить) оценку рисков “Проблемы 2000” и ресурсов, необходимых для предотвращения вероятных последствий. По счастью, “Проблема-2000”, если помните, даже в мировом масштабе сработала вяло. Однако слова “Центр компетенции” были сказаны, а подготовка к 2000 году придала их звучанию оттенок почтительности. Центр компетенции – это место, где обладают неким ЗНАНИЕМ, и даже готовы им поделиться.

Центры компетенции – “поколение NEXT”. Возникновение современных ЦК не регламентировалось Постановлением правительства. Создавали их, как упоминалось, лидеры рынка информационных технологий, такие как Intel, Hewlett-Packard, Oracle и другие, на базе сильнейших отечественных IT-компаний. Осенью 2002 года прошла масштабная акцию по открытию сразу нескольких Центров компетенции по технологиям Oracle. Центры были созданы по 6 перспективным направлениям: "Интеграция корпоративных прикладных систем на основе сервера приложений Oracle9iAS", "Создание информационного портала организации на основе Oracle9iAS", "Предоставление услуг мобильным пользователям (Oracle9iAS Wireless)", "Создание аналитических систем и хранилищ данных (Oracle Data Warehousing)", "Системы высокой готовности (Oracle9i RAC)", и наконец, по направлению "Информационная безопасность", который работает на базе компании ФОРС.

Oracle рассматривал сеть своих создающихся Центров компетенции как шаг в развитии существующих партнерских программ. Центры призваны обеспечивать технологическое и маркетинговое продвижение решений и технологий. Новое программное обеспечение, новые механизмы обеспечения информационной безопасности Oracle в первые месяцы использования требует от обслуживающих специалистов значительно более высокой квалификации, чем через год-два присутствия на рынке. Именно в такой ситуации и должен помочь Центр компетенции, который предоставит пользователю:

Компетентеность. В ЦК имеются квалифицированные специалисты, имеющие профильное образование и необходимый опыт.
Оргструктуру. Хороший Центр Компетенции представляет собой подразделение в структуре базовой компании. В нашем случае, сотрудники ЦК “Информационная безопасность” компании ФОРС, получают зарплату именно за работы по исследованию продуктов и технологий безопасности Oracle.
Финансирование. Проекты, осуществляемые Центрами, как и любые другие, требуют затрат не только на зарплату сотрудников. Финансируются они из средств учредителей и базовой компании. Ни те, ни другие, как правило, не требуют от Центров самоокупаемости. По этой причине реализация сложного проекта Заказчика на базе Центра Компетенции должна оказаться дешевле, чем собственными силами.
Дорогостоящие ресурсы. Купить новый, дорогой сервер, и убедиться, что на нем некорректно работает ваше ПО, или у ваших специалистов не хватает квалификации, или… Мало кто на это пойдет. Прежде, чем приобретать дорогостоящее решение, можно проверить его работоспособность на площадке ЦК.

Центр компетенции Oracle по направлению “Информационная безопасность”, действующий в компании ФОРС. Центр компетенции Oracle по направлению “Информационная безопасность”, действующий в компании ФОРС, является частью научно-исследовательского подразделения “Лаборатория решений ФОРС”. Центру доступно все оборудование испытательно-технологического комплекса (ИТК), функционирующего в Лаборатории решений. Комплекс предназначен для демонстрации и тестирования продуктов Oracle, прикладных решений на базе технологий Oracle, проведения экспертной оценки прикладных систем.

ИТК оснащен высокопроизводительными серверами, стационарными и мобильными клиентскими рабочими местами Главный сервер баз данных на основе кластера из двух компьютеров Compaq ProLiant DL580 укомплектованных дисковым массивом Disk System MSA-1000 14x36Gb UWSCSI-3. Сервер работает под управлением операционной системы Linux Suse, кластеризацию обеспечивает Oracle RDBMS Real Application Cluster 9.2.0.3. В разное время в составе комплекса работали такие малораспространенные компьютеры, как INTEL ITANIUM RX2600 Server, созданый на базе 64-разрядных процессоров Intel Itanium-2, мобильные компьютеры, построенные на технологии Intel Centrino, и "тонкие клиенты" Favourite TC Thin Client, работающие под управлением РОС NNZLinux.

Основная задача нашего Центра компетенции – доведение до конечного пользователя новейших продуктов и технологий Oracle, обеспечивающих безопасность информации. Эта область развивается стремительно, и часто ни заказчики, ни разработчики информационных систем просто не осведомлены, какие широкие возможности защиты данных предоставляет Oracle. Наш Центр осваивает новинки, реализует их на базе ИТК в рамках информационных систем, которые разрабатывает ФОРС, и демонстрирует потенциальным заказчикам. Мы считаем, что это наиболее эффективный способ внедрения новых технологий.

Другая сторона деятельности Центра – освоение продуктов и технологий информационной безопасности, которые могут быть использованы в системах на базе Oracle. За время работы Центра мы подготовили ряд решений, где в качестве дополнительных средств защиты информации были использованы продукты компаний Элвис-Плюс, Инфотекс, НИП Информзащита, КриптоПро, Rainbow и Аладдин.

Очень интересным оказался опыт сотрудничества с последней компанией. Предложенная Аладдином технология аутентификации в Oracle на базе имеющейся в Oracle возможности идентификации на основе сертификата цифрового ключа и LDAP-каталогов, а в качестве хранилища сертификатов использующая USB- ключ eToken компании Аладдин, была успешно использована в нескольких решениях ФОРС и привлекла активное внимание наших заказчиков

Отметим, что среди функций Центра компетенции присутствует и “информационно-просветительская”: семинары для программистов и системных инженеров корпоративных заказчиков, семинары для руководства, демонстрация комплексных решений. Естественно дополняет сферу деятельности ЦК подготовка и проведение курсов по информационной безопасности совместно с Учебным Центром ФОРС.

А.Бачин. Как на практике, в жизни реализуется знаменитый лозунг “Unbreakable Oracle”?

Что означают изредка обнаруживаемые уязвимости? (я читаю о них предупреждения в SecurityLab.ru и часто отмечаю устанавливаемый самими исследователями их статус “Средний”, “Низкий”,…)

Р.Рыжков. Для начала несколько слов собственно о лозунге “Unbreakable Oracle”. Прежде всего, надо отдавать себе отчет, что это именно ЛОЗУНГ, иначе говоря, заявление, декларирующее цель Oracle в вопросе защиты информации. “Unbreakable Oracle”! Мы хотим, чтобы базы Oracle нельзя было ни взломать, ни сломать, и делаем для этого все! Свобода, равенство и братство – кто скажет, что эти идеалы полностью достигнуты хоть где-то? И все же трудно переоценить значение этих слов в развитии цивилизации.

Однако некоторые считают, что “Unbreakable Oracle” – это утверждение, что уже сегодня никто и никоим образом не найдет в продукте ни одной уязвимости. Такой подход мне кажется чрезмерно упрощенным. Конечно, существуют проблемы с обеспечением безопасности продуктов Oracle, периодически обнаруживаются “дыры”, которые имеют разную степень критичности – от высокой до низкой, от переполнении буфера и динамически распределяемой области до неэффективной защиты паролей. Но, во - первых, уязвимости достаточно оперативно устраняются. Во-вторых, среди них совсем немного тех, что имеют высокий статус критичности, то – есть, представляют заметную угрозу безопасности информации. И в-третьих. Разве Oracle защищен хуже, чем аналогичные продукты других “китов” ИТ-рынка? Даже если кто-то будет утверждать такое, вряд ли сможет это обоснованно доказать. Однако, именно Oracle взял на себя смелость громко заявить “Unbreakable Oracle”!, тем самым вызвав на себя огонь критики и значительно повысив свою ответственность за то, чтобы приблизиться к объявленной цели.

А.Бачин. В нашем журнале мы достаточно регулярно переводим и печатаем статьи Пита Финнигана, хорошо известного исследователя информационной безопасности баз данных, в частности, Oracle, в которых он, как правило, предупреждает, что самая большая опасность – это “человеческий фактор”. Что Вы скажете о его статьях и других публикациях по информационной безопасности?

Р.Рыжков. Пит Финниган делает то, на что у многих и многих не хватает сил, времени, да и опыта пожалуй. Редко ведь встретишь специалиста по Oracle, в том числе и по безопасности Oracle, “в чистом виде”. Подавляющее их большинство решает некие практические задачи – разрабатывает или эксплуатирует информационные системы, и на это расходуют свое рабочее время. Всегда не хватает ресурсов на исследования, анализ возможностей системы. Вот тут-то неоценимую помощь оказывают статьи Финнигана. Он методично исследует особенности использования различных механизмов безопасности Oracle, и результаты подробно излагает в своих статьях. Это прекрасный материал для повышения квалификации специалистов. Повторив данные Питом инструкции, которые включают даже последовательности SQL- операторов, практически любой специалист, знакомый с Oracle, может на практике испытать те или иные возможности СУБД.

О других публикациях. Это очень широкая тема, важная и актуальная. Меня, как специалиста по информационной безопасности, радует, что в последние два-три года активно растет количество работ на эту тему. Есть публикации общего характера, полезные тем, кто только погружается в проблематику, технические, посвященные особенностям конкретных продуктов и технологий, аналитические… Сегодня любой специалист по информационной безопасности может найти публикации по интересующей его тематике.

А.Бачин. Лозунгом современности является “Снижение сложности”. Снижается ли сложность и/или объем работы современного администратора, офицера по ИТ-безопасности?

Р.Рыжков. Снижение сложности и/или объема работы современного АБД или офицера по ИТ-безопасности, как Вы сказали, конечно же, имели бы место, если можно было заниматься одним и тем же из года в год. Вы совершенно справедливо поставили рядом администратора и офицера по ИТ-безопасности, и тем самым фактически подсказали ответ “нет”. Не снижается. Когда-то вопросами управления информационной системой, сетью, пользователями и информационной безопасностью занимался один человек – системный администратор. Потом администраторов стало больше, обыденными стали словосочетания “администратор сети”, “администратор базы данных”, “администратор прикладной системы”, и наконец “администратор безопасности” - так кое-где называют офицера по ИТ-безопасности. Согласитесь, что их круг обязанностей, используемый инструментарий и подготовка весьма различны. Так что говорить о снижении сложности и объемов работ в области администрирования и обеспечения информационной безопасности вряд ли приходится. Появляются новые задачи, новые угрозы, растет коммерческая ценность информации и ее привлекательность для злоумышленников, и это не облегчает жизнь.

Однако, лозунг “Снижение сложности” все же возник не на пустом месте. Если взглянуть на традиционные задачи, например, задачи управления пользователями, их правами и привилегиями, то можно смело утверждать, что сегодня они решаются эффективнее и легче, чем несколько лет назад. Такого рода успехи незаметны, поскольку то, что не вызывает проблем, не привлекает и внимания, порождая обманчивое чувство, что простота естественна и существовала всегда.

А.Бачин. Где (и есть ли такое место) учат на администратора по ИТ-безопасности? Что бы Вы могли посоветовать молодым специалистам по ИТ-безопасности на отечественных предприятиях? Что бы Вы им посоветовали почитать, с кем при случае стоило бы проконсультироваться?

Р.Рыжков. Подготовка специалистов в области информационной безопасности в первую очередь ведется в системе высшего образования. В России десятки ВУЗов, имеющих факультеты или кафедры, после окончания которых можно получить диплом по специальности “Информационная безопасность” Это, к примеру, МГТУ им. Баумана, МАИ, МИФИ и ряд других ВУЗов Москвы, институты и технические университеты Волгограда, Томска, Казани, Воронежа, Санкт-Петербурга и многих других городов страны.

Если вы уже дипломированный специалист, но не имеете образования в области информационной безопасности, к вашим услугам есть ряд учебных центров и центров повышения квалификации, срок обучения в которых колеблется от недели до нескольких месяцев. Преподавание в них может вестись по авторизованным курсам, подготовленным серьезными вендорами, и читаемым во множестве учебных центров по всему миру, либо по собственным программам, имеющим уклон в ту или иную специфику.

Учебный центр ФОРС, например, можно отнести к первому типу, где среди других авторизованных курсов по продуктам и технологиям корпорации Oracle регулярно читается курс 9iDBS Oracle9i Database: Security. Он предназначен для администраторов Oracle и посвящен вопросам конфиденциальности, целостности и доступности данных в базе. Прослушав такой курс и сдав экзамены, выпускник получает сертификат, признаваемый во всем мире.

Программы других учебных центров освещают общие вопросы и понятия информационной безопасности, законодательную базу этой сферы. В них рассматриваются методологические подходы к проблеме, конкретные продукты и технологии для решения задач защиты информации. Некоторые учебные центры авторизованы Гостехкомиссией России, программы прошли соответствующее утверждение, и после обучения специалист получает сертификат, который признается той же Гостехкомиссией при лицензировании деятельности предприятий в области защиты информации.

Надо сказать, что в вопросе обучения специалистов информационной безопасности довольно много тонкостей, к выбору курса обучения и учебного центра следует подходить, взвесив множество параметров. Квалифицированную консультацию по этому вопросу можно получить, например, в Центре компетенции Oracle, работающем на базе компании ФОРС.

Некоторую дополнительную информацию по обучению специалистов по защите информации можно получить по ссылке http://www.infobez.ru/article.asp?ob_no=1233

А.Бачин. Большое спасибо за беседу.

E-mail this page