Физическая защита ИТ-систем предприятия
Анна Калитина,
компания AMS,
http://www.ams.ru
Сегодня нет сомнений в том, что защите ИТ-системы предприятия нужно уделять как можно больше внимания. Количество факторов риска увеличивается пропорционально достижениям прогресса. И абсолютно ясно, что система защиты от пожара, которая должна быть установлена на каждом предприятии согласно нормам противопожарной безопасности, отнюдь не обеспечивает защиту от десятка других потенциальных угроз, таких, как наводнение, электромагнитное излучение, землетрясения, террористические акты и т. п. Последствия — которые в случае потери информационной базы или высокотехнологического и дорогостоящего оборудования могут оказаться катастрофическими, — заставляют ИТ-директоров все чаще всерьез задумываться о целом комплексе мер по обеспечению безопасности ИТ-структуры компании.
Однако нередко можно видеть, что оборудование, отвечающее за функционирование, например, сервера информационной системы или целой АТС, находится в самом обычном помещении, не защищенном даже от проникания воды. Иногда здесь же находятся рабочие места, тогда как в соответствии с европейскими нормами ИТ-оборудование должно располагаться в отдельном помещении. Но выполнить это объективное требование бывает зачастую невозможно по причине, например, того, что в здании нет свободной площади. Порой дорогостоящее оборудование находится в помещениях, абсолютно не защищенных от взлома и не обладающих системами контроля доступа.
Телекоммуникационное оборудование не защищено от воды в случае разрыва систем водоснабжения.
|
|
В помещение могут легко проникнуть злоумышленники.
|
В Европе система норм безопасности достаточно четко проработана — существуют стандарты, соблюдение которых должно обеспечивать высокую защиту данных и ИТ-оборудования. Существуют нормы по следующим направлениям, потенциально угрожающим информационной системе компании:
- противопожарная защита;
- защита отверстий для кондиционирования, силовых и сетевых линий;
- запрет на использование материалов, содержащих ПВХ;
- защита от дыма;
- защита от жидкостей для пожаротушения;
- защита от нелегального доступа и кражи со взломом;
- защита от электромагнитных импульсов.
В России, как было сказано выше, существуют четкие требования лишь к обеспечению защиты от пожара. Наличие на предприятии всех остальных превентивных систем безопасности целиком и полностью зависит только от стремления руководства компании защитить свои данные от конкурентов и свое ИТ-оборудование — от других потенциально опасных факторов. Например, последствия пожара способны нанести не меньший ущерб, чем сам огонь, поскольку жидкость для тушения пожара может привести в негодность большую часть оборудования, не испорченную огнем. Серьезный вред наносит технике и противопожарный порошок, вызывающий коррозию металла и разложение пластика.
Тем не менее сегодня российский рынок предлагает довольно много систем безопасности, которые в комплексе достаточно хорошо решают проблемы потенциальных угроз ИТ-системе предприятия.
Системы безопасности
Системы видеонаблюдения
Среди имеющихся систем видеонаблюдения можно особо отметить оборудование под
маркой Philips Communication, Security & Imaging (http://www.philipscsi.com).
Эти системы наиболее адекватны, легко интегрируются и обладают хорошими потребительскими
характеристиками. Так, среди новинок, разработанных этой компанией — мировым
лидером по производству охранных систем наблюдения, есть высоконадежные скоростные
поворотные камеры, у которых время установки на любую заранее заданную позицию
составляет несколько секунд, новейшие системы цифровой записи и передачи изображения
(E-dome, NETCAM, DVR, DMX). Целый спектр видеокамер, обладающих детекторами
движения и способностью сохранять видеоизображение в цифровом формате, позволяет
комплектовать систему видеонаблюдения, максимально соответствующую задачам предприятия.
Системы управления доступом
По мнению специалистов, хорошо зарекомендовала себя американская марка Apollo.
Контроллеры, предлагаемые одноименной компанией (http://www.apollo-security.com),
подходят не только для систем Apollo, но и для оборудования многих других производителей
комплектных систем, таких, как Diebold, Thorn. Считается, что оборудование Apollo
очень надежно, вся аппаратура проходит выходной контроль, включающий 72-часовой
"горячий" (при 70°C) прогон в рабочих условиях.
Охранные сигнализации
В этих системах довольно широко используются датчики обнаружения вторжения
и системы контроля канадской фирмы Paradox Security (http://www.paradox.ca).
Цифровая обработка сигнала в датчиках и сложные четырехплощадочные сенсоры позволяют
добиться исключительно высокой чувствительности при одновременной защищенности
от ложных тревог. Заслуженной славой надежного оборудования, простого в эксплуатации
и использовании, пользуется продукция компании Motorola (http://www.motorola.com).
Системы пожаротушения
Прежде всего нужно отметить, что существуют системы пожаротушения, основанные на разных принципах действия и с разными действующими веществами, а именно:
- газовые (СО2, аргон, азот, фреоны);
- водяные (спринклерные, дренчерные);
- пенные и водо-пенные (вода с различными пенообразователями);
- порошковые (порошки специального химического состава);
- аэрозольные (подобны порошкам, но частицы на порядок меньше по размерам);
- системы тонкодисперсной воды.
По степени вредного воздействия на материальные ценности при срабатывании системы автоматического пожаротушения в порядке убывания вредности можно выстроить в следующий ряд: аэрозольные и порошковые; пенные и водо-пенные; водяные; системы тонкодисперсной воды; газовые.
Аэрозольные и порошковые системы пожаротушения обладают такими преимуществами, как дешевизна, удобство и простота установки. Однако безопасность порошков и аэрозолей сомнительна. Действие порошковых и аэрозольных систем пожаротушения основано на том, что частицы порошка (аэрозоля) несут на своей поверхности большое количество химически активных центров, которые при попадании в зону реакции инактивируют первичные продукты горения и таким образом замедляют реакцию. Попадая на материал, находящийся вне зоны горения, активные частицы порошка (аэрозоля) неизбежно будут реагировать с активными центрами, находящимися на поверхности любого материала. В случае металла этот процесс приведет к коррозии, в случае неметаллического материала (бумага, резина, пластик и т. д.) — к тем или иным видам деструкции. Попадание этих частиц на кожу или в дыхательные пути человека может вызвать очень серьезные заболевания.
Газовое пожаротушение, наиболее безопасное для человека и для материальных ценностей, основано на снижении концентрации кислорода за счет поступления в зону реакции негорючего газа. В случае сжиженных газов их выпуск из баллона сопровождается снижением температуры, следовательно, температура в зоне реакции также снижается.
Системы газового пожаротушения обычно сборные, их элементы производятся в разных странах. Например, газовые баллоны выпускаются в Испании; клапаны направления — во Франции; электрооборудование и арматура изготавливаются в России.
Системы бесперебойного электропитания
Сегодня наиболее распространены три типа систем бесперебойного электропитания — децентрализованные, централизованные и комбинированные. Первые предполагают установку достаточно большого количества маломощных офисных источников бесперебойного электропитания (ИБП) практически для каждого защищаемого устройства. Во втором случае предполагается установка одного (либо нескольких, работающих параллельно или находящихся в горячем резерве) ИБП. Структура третьего типа обычно содержит центральный ИБП, запитывающий всю нагрузку, и на особо ответственные участки сети (критичные серверы и рабочие места) устанавливаются дополнительные ИБП малой мощности.
В индустрии сложился ряд типовых схем построения (топологий) ИБП. У ИБП, построенных по резервной схеме, в нормальном режиме работы питание нагрузки осуществляется от входного сетевого напряжения, а питание от аккумулятора активизируется только при возникновении аварии в сети. В ИБП линейно-интерактивной топологии инвертор всегда подсоединен к выходу ИБП и представляет собой узел, на который возлагается задача стабилизации и фильтрации сетевого напряжения, слежения за его уровнем, а часто — контроля заряда батареи при нормальном напряжении сети и перехода на батарейное питание при падении сетевого напряжения до аварийного уровня.
В ИБП с двойным преобразованием инвертор работает непрерывно, и при аварии в электросети переключений режима его работы не происходит. В нормальном режиме входное переменное напряжение преобразуется сначала в постоянное (с помощью выпрямителя), а затем снова в переменное (с помощью инвертора). При возникновении аварии питание преобразователя осуществляется от аккумуляторной батареи, подключенной постоянно к его входу. ИБП с дельта-преобразованием работают как схема с двойным преобразованием, но при этом трансформируется не вся электроэнергия, а только ее зашумленная и нестабильная часть, которая и приводит к снижению качества питания.
Феррорезонансная схема базируется на специальном трехобмоточном феррорезонансном трансформаторе. Феррорезонансное преобразование позволяет гарантировать высокий уровень гальванической развязки, практически синусоидальную форму выходного напряжения, а также исключить большинство проблем с электропитанием. Трансформатор в данной схеме работает как феррорезонансный стабилизатор напряжения, обеспечивая в ограниченных пределах стабилизацию сетевого напряжения и его сглаживание.
Вопросы безопасности ИТ-систем
В целях безопасности ИТ-помещения обычно оборудуются системами сигнализации, сейфами, средствами инженерной защиты со встроенными металлодетекторами. Нужно заметить, что установка большинства из перечисленных систем безопасности актуальна не только для ИТ-комнат, но и для всего предприятия. Однако даже при наличии всех этих систем остаются открытыми несколько принципиальных вопросов об уровне безопасности ИТ-систем компании.
Во-первых, это проблема работоспособности оборудования в условиях пожара, бушующего за стенами ИТ-комнаты. Исследования показали, что бетонные стены в условиях пожара нагреваются до 100°C в течение 40 мин. При этом влажность в помещении достигает 100% уже через несколько минут высокой температуры за стеной. Разумеется, в таких условиях — при температуре 100°C и 100%-ной влажности — оборудование перестает функционировать и претерпевает необратимые изменения (при этом зачастую уничтожаются и данные).
Во-вторых, это проблема проникания воды и дыма, а также защита от различных разрушений, например, во время землетрясения или взрыва.
В-третьих, это защита от электромагнитных излучений и электромагнитных ударов, которые могут без лишнего "шума и пыли" вывести всю информационную систему предприятия из строя. К тому же побочные электромагнитные излучения позволяют достаточно просто считать информацию с магнитных носителей компании.
Современный рынок до последнего времени не предлагал внятного решения данных
проблем — до тех пор, пока не появились комнаты безопасности ИТ-систем от Lampertz
(http://www.lampertz.com).
Комнаты ИТ-безопасности
Европейские компании давно сделали свой выбор в пользу именно такого комплексного решения. Российскому же рынку подобное предложение практически незнакомо, несмотря на очевидные преимущества и простоту установки. Но сегодня российские компании всерьез задумываются о безопасности своего бизнеса и прежде всего информационных систем своих организаций. Так, по мнению специалистов компании AMS, потенциальный спрос на установку комплексных систем безопасности в России с использованием в качестве основы модульной комнаты Lampertz постоянно растет.
Центр ИТ-систем Lampertz служит защитным помещением для головных компьютеров, серверов, систем телекоммуникаций, компьютерной сети, систем резервного копирования, вычислительных центров, таких, как ASPISP.
Так выглядит комната безопасности Lampertz.
|
Комнаты защиты ИТ-систем предприятия обеспечивают высокий уровень соответствия нормам безопасности, по многим параметрам даже превосходя их. Подобные решения имеют и еще ряд преимуществ, которые мы обсудим подробнее.
Комната ИТ-безопасности имеет модульную конструкцию, устанавливаемую по принципу "дом в доме" и состоящую из элементов пола, потолка и стен любых размеров. Модули обладают отличными теплоизолирующими свойствами благодаря полой конструкции, заполненной специальным порошком, который изменяет свои физические свойства при нагревании. Спекаясь, порошок поглощает огромное количество энергии в виде тепла. Это позволяет в течение продолжительного времени (в ходе испытаний — до 90 мин) поддерживать разницу температур на внешней и внутренней сторонах модуля до 1000 градусов.
Комнаты отличаются легкостью монтажа, простотой подводки информационных и энергетических кабелей. Их можно изменять и расширять до необходимых размеров. Помещение ИТ-безопасности может иметь размеры от 5,5 до 1000 м2 и более. К примеру, установка комнаты полезной площадью 10 м2 занимает около 10 дней. Комнаты ИТ-безопасности не зависят от архитектурных особенностей здания, собираются свободно. При необходимости конструкцию легко демонтировать и вновь собрать в другом месте. Простой монтаж при помощи специальной сборочной техники возможен при работающем вычислительном центре.
На комнаты ИТ-безопасности предоставляется документальная гарантия противопожарной защиты конструкции типа "ИТ-помещение" согласно DIN 1402 F 90, согласно евронорме 1047-2. В них обеспечивается защита от противопожарной воды, от дыма и пыли. Кроме того, модульная комната ИТ-безопасности, созданная по принципу клетки Фарадея, обеспечивает защиту от электромагнитного излучения и радиоволн, пагубно влияющих на работу оборудования.
Для защиты от доступа посторонних лиц модульная комната Lampertz может быть оборудована системой, обеспечивающей доступ строго определенных лиц по выбранным параметрам — коды, карточки, отпечатки пальцев. В сочетании с возможностью дистанционного управления оборудованием, которое находится внутри комнаты безопасности, подобная защита дает максимальную гарантию защиты от несанкционированного доступа.
Стандартная комплектация модульной комнаты безопасности включает в себя устройство оповещения о поступлении воды, стационарное огнетушительное устройство, противопожарную систему раннего оповещения, компьютерную систему дистанционного наблюдения, систему бесперебойного энергоснабжения, контроль доступа. Комната обладает дверными системами, испытанными на огнестойкость, водо- и газонепроницаемость, такими же качествами обладает ввод для прокладки кабелей. Размеры ввода можно изменять и подгонять в любое время. Канал обладает противопожарными и водонепроницаемыми свойствами, а также устойчив к воздействию высокого давления. Через систему пожаробезопасности здания в комнате ИТ-безопасности включается сигнал тревоги, сопровождающийся звуковой и световой сигнализацией.
Поле сигнала тревоги все люди, работающие в комнате, имеют достаточно времени, чтобы благополучно ее покинуть. Через определенное время различные системы начинают обеспечивать целостность комнаты ИТ-безопасности. Все открытые двери автоматически закрываются; закрываются и все заслонки вентиляции. И то и другое — механический процесс, не зависящий от блока питания.
Система кондиционирования воздуха также находится под наблюдением, надежные сенсоры постоянно контролируют состояние воздуха.
Комната снабжена системой электронного управления с минимальными эксплуатационными требованиями. Эта система может выдавать различную информацию о состоянии комнаты, например, статус двери, или состояние воздуха, или состояние системы раннего обнаружения огня.
Необходимо также сказать, что модульные комнаты безопасности могут быть укомплектованы оборудованием различных производителей. Специалисты оценят угрозы и предложат оптимальный для каждой ситуации набор защитных систем.
Установка помещений безопасности
Чтобы начать установку комнаты Lampertz, в помещении необходимо иметь трехфазное питание и заземление, фальш-полы с нагрузкой до 300 кг на м2. Потребуется также точный план помещения. При установке следует учитывать тепловыделение оборудования и его массу.
Процесс установки модульных комнат ИТ-безопасности проходит в несколько этапов: установка элементов стены, затем установка полной структуры комнаты, блока управления, секций потолка; скрепление панелей, предварительная отделка стен и потолка, монтаж кабельных каналов, укладка кабелей в каналы, установка освещения и систем раннего пожаротушения, окончательная отделка, проверка подключений и систем.
Монтаж помещения безопасности практически завершен.
|
Остается добавить, что мелкие и средние предприятия, не обладающие большой информационной системой, но заботящиеся о сохранности своих данных и оборудования, могут обратить внимание на так называемые модульные сейфы. Элементы конструкции аналогичны тем модулям, что используются при монтаже комнат безопасности, и монтируются вокруг сервера таким образом, что даже не прерывают его работы. Все вышесказанное полностью относится и к модульным сейфам: они также оборудованы противопожарным оборудованием, пожарной сигнализацией, системами бесперебойного питания и вентиляционным оборудованием.
Функции модульных комнат безопасности не ограничиваются защитой ИТ-оборудования. Их можно использовать как комнаты для хранения данных, переговорные комнаты, архив. Многие европейские компании, будь то банки, медицинские, телекоммуникационные компании, издательства, государственные учреждения, не представляют себе полноценной системы защиты предприятия без использования модульных комнат безопасности.