Магазин и офис под охраной

Магазин и офис под охраной

М.Ю. Кадер
эксперт

У ТОРГОВЫХ ПРЕДПРИЯТИЙ, работающих в сегменте рынка цифровой техники, есть свои особенности. Чем же интересен этот рынок?

Начнем с того, что он наиболее тесно связан с нашей повседневной жизнью, которую мы уже не представляем без мобильных телефонов, цифровых фотоаппаратов и тому подобных нужных и приятных мелочей.

Как с точки зрения территориального покрытия, так и с точки зрения ценообразования сам по себе рынок цифровых устройств весьма конкурентный.

Предприятие, торгующее цифровой техникой, представляет собой огромное число маленьких офисов. Чтобы дотянуться до кармана каждого платежеспособного жителя, они разбросаны по просторам и весям нашего государства.

Все ти факторы приводят к тому, что торговые сети цифровой техники обязаны быть очень мобильными. то касается не только открытия/закрытия/перемещения офисов, но и управления складскими запасами, а также гибкого реагирования на изменение ценовой конъюнктуры.

Один из ключевых элементов, обслуживающих процесс продаж, - электронный магазин. Его система информационной безопасности должна учитывать все упомянутые особенности. Остановимся на технических аспектах ее обеспечения.

Первый из них - обеспечение защиты центра обработки данных предприятия. Ведь именно он, наряду с решением вопросов, касающихся цен, складских запасов, должен обеспечить поддержку портала электронного магазина. Такая консолидация информации позволяет обеспечить высокий уровень защиты этих данных, критичных для жизнедеятельности предприятия. Это включает в себя функции физической защиты, контроль доступа, обеспечение гарантированной среды функционирования (электропитание, температурный и влажностный режимы и т.п.).

В качестве следующего шага можно обсуждать внедрение функций катастрофоустойчивости, т.е. наличие территориально разнесенных центров обработки данных. В идеале переключение между ними должно осуществляться прозрачно для пользователей и с минимальными потерями времени и информации.

Обычно центры обработки данных имеют многоуровневую структуру, которая начинается от уровня предоставления данных пользователям (как внутренним, так и внешним).Этот уровень часто бывает выполнен в виде Web-портала, и его примером как раз и является электронный магазин. Второй уровень (может состоять из нескольких подуровней) - непосредственно приложения управления бизнесом данного предприятия. Последний уровень обычно включает в себя серверы управления базами данных. Пример такой структуры представлен на рис. 1. Если предприятие небольшое и объем информации невелик, уровни могут "сливаться" между собой.

Офис обслуживания клиентов

Следующий ключевой элемент предприятия - непосредственно офисы обслуживания клиентов. Часто то небольшие арендованные помещения, а не собственность предприятия. Финансовые затраты на организацию офиса розничных продаж должны быть минимальны, однако его сотрудники должны иметь постоянный доступ к централизованным информационным системам. Что же делать в данном случае?

Первое - то построение внутренней сети такого офиса. Здесь помогут современные беспроводные локальные сети (WLAN). Стоимость оборудования для них невелика, процесс развертывания занимает минуты, а производительность вряд ли будет узким местом. Выбирая оборудование для построения беспроводной сети, надо обратить внимание на заложенные в него функции обеспечения безопасности. Они должны быть реализованы как в самой беспроводной точке доступа, так и в клиентском оборудовании. В худшем случае оборудование должно поддерживать как минимум стандарт 802.11i.

На связи главный офис

Что следует делать для взаимодействия с главным офисом и/или центром обработки данных? Выберем наиболее дешевый и доступный канал передачи данных - Интернет и... зададим себе стандартные вопросы об обеспечении целостности и конфиденциальности передаваемой через Интернет информации. Ответ на него стандартный - VPN (по-русски ВЧС, хотя тот термин нравится далеко не всем). Общая схема взаимодействия приведена на рис. 2.

Опустив многочисленные технические детали (хотя они имеют немаловажное значение), упомяну лишь об двух определяющих аспектах при выборе того или иного решения. Первый из них - масштабируемость, а именно: какое количество офисов может быть объединено. Второй - простота обслуживания - вопрос критический. Невозможно иметь квалифицированный технический персонал в каждом из офисов, потому необходимо выбирать такие решения, обслуживание и настройка которых может осуществляться удаленно техническими специалистами головного офиса. Остальные технологические различия между решениями будут оказывать существенно меньшее влияние на выбор.

Спасение от взломщика

Еще один интересный аспект. Заключается он в том, что мы не можем доверять системе контроля доступа, защищающей офисы продаж, расположенные в арендованных помещениях, в небольших киосках, установленных на улице или в торговых центрах. Опасение вызывает то, что злоумышленник под покровом ночи может добраться до нашего устройства ВЧС, предназначенного для связи с центральным офисом и, например, взломать его, получив пароль, используемый для установления соединения, или просто подключить к тому устройству свой компьютер и войти в нашу сеть.

Для борьбы с этими угрозами есть несколько методов. Итак, злоумышленник хочет узнать, как ему подключиться к нашей сети, т.е. информацию, используемую для аутентификации удаленных пользователей ВЧС или удаленных шлюзов. Примером такой информации могут быть пароли (хотя сейчас им уже никто не верит) или цифровые сертификаты стандарта X.509 версии 3. Здесь спасением может стать многофакторная аутентификация, а именно: хранение идентификационной информации на внешних носителях, например ключах USB или смарт-картах. В том случае последний из сотрудников, уходящих из офиса, просто забирает с собой тот носитель и ни само устройство ВЧС или отдельный компьютер не может подключиться к сети предприятия.

Если злоумышленник попробует несанкционированно проникнуть в само устройство ВЧС для изменения его настроек, полезно вести централизованный контроль и учет административного доступа. Или просто, если оборудование поддерживает такой режим, настроить полное стирание настроек устройства при попытке несанкционированного доступа. Можно считать, что на том основные функции по построению защищенной инфраструктуры будут реализованы.

Замкнутая среда

Необходимо подумать и об обеспечении защищенного доступа сотрудников к ресурсам Интернета, и о возможном контроле за тем, как и в каком объеме они этими ресурсами пользуются. Известно, что наиболее уязвимый элемент любой системы безопасности - люди. Каждая компания должна реализовывать соответствующий набор организационных мер для обеспечения сохранности и целостности своей информации.

Вернемся, однако, к техническим средствам, позволяющим обеспечить защиту от несанкционированного доступа со стороны легитимных сотрудников предприятия. Речь пойдет о системах контроля поведения сотрудников и приложений, а также о функционирующих компьютерах предприятия. Что можно сделать с помощью таких систем? К примеру, описать профиль легитимного поведения сотрудников и приложений. Сотрудник удаленного офиса будет иметь возможность использовать на рабочем компьютере лишь приложения, необходимые для обеспечения бизнес-процессов, эти приложения смогут обращаться только к ограниченному набору ресурсов центра обработки данных, необходимых для их функционирования. Сотрудник удаленного офиса сможет печатать необходимые ему отчеты, счета, квитанции и прочее, но при том будет лишен возможности скопировать данные на внешние носители информации. Таким образом, мы обеспечим сотруднику замкнутую рабочую среду, обеспечивающую выполнение им только служебных функций, но не допускающую несанкционированное использование приложений и информации предприятия. тот подход позволяет повысить производительность труда за счет эффективного использования вычислительных и сетевых ресурсов. Ведь на компьютере невозможно запустить не требующееся для работы ПО (игры, просмотр ресурсов Интернета и тому подобное). Пример систем, контролирующих поведение сотрудников и приложений, - компьютерные системы предотвращения вторжений (рис. 3).

Основные элементы безопасности

В заключение перечислим основные элементы обеспечения информационной безопасности современного распределенного предприятия розничной торговли, такого как сеть магазинов цифровой техники. К ним относятся:

• защищенный центр обработки данных, предоставляющий унифицированный доступ к информации для разных категорий пользователей, включая покупателей электронного магазина;
• беспроводная локальная сеть, обеспечивающая быстрое развертывание защищенной сетевой инфраструктуры для розничных магазинов;
• сочетание Интернета, как универсальной среды передачи данных, совместно с технологиями построения виртуальных частных сетей;
• средства защиты данных от несанкционированного доступа, контролирующие функционирование приложений и сотрудников непосредственно на их рабочих местах.

Остальные элементы - защищенный доступ в Интернет, IP-телефония и многое другое - могут быть добавлены "по вкусу",то есть тогда,когда их использование приведет к повышению эффективности работы предприятия.