Состоялась конференция Open Group по Корпоративной Архитектуре

Аллен Браун, президент и исполнительный директор The Open Group, открывая конференцию, затронул вопросы истории безопасности, начиная с 1980-х годов. В частности, Браун подчеркнул успешность работы Security Forum компании The Open Group, который уделял внимание вопросам безопасности в течение нескольких лет, поддерживая The Open Group в Boundaryless Information Flow™.

Одним из основных докладчиков был Стефан Т.Уитлок, главный специалист по безопасности архитектуры отдела информационной безопасности компании Боинг. Уитлок также был одним из лидеров Security Forum со времени его основания в середине 1990-х. В своем докладе «Подрывая основы» он раскрыл новые подходы в безопасности инфраструктур. В особенности, он акцентировал внимание на нескольких ключевых проблемах современных предприятий, а именно: изменение ценностей, сотрудники и сторонние лица, у которых есть доступ к системам предприятия, назначение руководителей, общее распространение правил, и, среди прочего, непосредственно проблемы с технологиями. Затем он представил краткий обзор направлений работы компании Боинг в вопросах безопасности, обозревая сервисы безопасности будущей инфраструктуры и информационно-ориентированный подход к контролю доступа. Он также рассказал об оценочной карте для отраслевых технологий безопасности, разрушенной сервисами защиты информации, инфраструктурах привилегированного управления и сервисах защиты инфраструктуры.
Он также поделился «Законами доступа Уитлока», а именно, законами доступа, которые подчиняются правилам, автоматизированы, стандартизированы и интегрированы.

Андрес Сакал, ведущий инженер Software Group компании IBM, вел речь о необходимости развития архитектурных возможностей для разработки безопасных систем в стремительно меняющемся мире. Замечания касались проблем ИТ, движущих элементов рынка, глобальных проблем безопасности и осведомленности, и, среди прочего, об оперативных проблемах безопасности. А также он говорил о том факте, что уверенность в продуктах ИТ напрямую связана с уверенностью в поставках, а без надежной цепочки поставок репутация компании может пострадать. Проблемы безопасности в цепочках поставок могут также обострить беспокойство клиентов и уменьшить потенциальные доходы. Сакал обосновал свою позицию, приведя недавние примеры отзыва из продажи игрушек Mattel, неправильное представление о том, что компания Lenovo дает менее безопасные продукты, чем их предшественник и защиту компанией Starbucks своих цепочек поставок от наркоторговли. Он также заявил, что возможности хакерства выросли и способны успешно атаковать как отдельных людей, так и государство. Он говорил о повышении защиты, о специальной лексике и о различных направлениях атак.

Затем The Open Group объявила о создании франчайзинга во Франции, который возглавит Эрик Боулей, генеральный директор компании Arismore. Аллен Браун представил Боулей, который рассказал о возможностях познакомить французскую общественность с Boundaryless Information Flow™, принадлежащий The Open Group. Для получения более подробной информации о франчайзинге, пожалуйста, посетите сайт The Open Group. В тот же день несколько позже The Open Group официально поприветствовала и представила Криса Вудса из компании HSBC, третьего по размерам банка в мире и объявила о новом платиновом членстве в The Open Group.

Вслед за этим Стефан Фаррелл, исследователь и лектор Ирландского Коллежда Тринити в Дублине провел обучение для слушателей по границам и уровням безопасности, уделив особенное внимание обходным путям, виртуализации, безопасности хост-системы, включая одно общее предположение, что, если проводятся работы по обеспечению безопасности сети, то и конечные системы, и обновления ПО, и прочее, что работает на конкретной аппаратуре, также защищены. Фаррелл прокомментировал это, сказав, что даже с превосходными, полностью контролируемыми обновлениями ПО, все равно есть побочные эффекты. В качестве примера он привел случай со Skype. Также он говорил о границах безопасности при работе с промежуточным аппаратным обеспечением и особенностях протоколов, включая UDP-Lite и DTN (сети, устойчивые к разрушениям и задержкам), цель которых - гарантировать передачу данных, даже если нет сквозного соединения. Фаррелл напомнил слушателям, что DTN работает, даже когда не работает протокол управления передачей. Он также затронул тему более широкого использования границ безопасности в среде Web 2.0 или организации и обсудил ряд проблем безопасности Web 2.0, включая распространение вирусов через узкие места на серверах, слабые места JavaScript, и защиту машапов (программное приложение, использующее данные из нескольких источников).

Аллен Браун и Фил Страускас, ведущий инженер и руководитель обучения специалистов в ИТ по всему миру компании IBM, представили слушателям обзор недавно озвученной программы по сертификации специалистов в ИТ (ITSC). Страускас также представил на обсуждение важность взаимодействия для специалистов в ИТ, особенно, когда дело касается внедрений. Он озвучил, как данная программа по сертификации сможет гарантировать то, что прошедшие сертификацию смогут не только писать код программы, но и обладать требуемыми профессиональными навыками, например, коммуникативными.

Во второй половине дня заседание началось с выступлений Мерике Каео, консультанта компании Double Shot Security, и участницы форума IPv6. Каео детально рассказала о новой сетевой парадигме для архитектуры 6-ой версии Интернет Протокола (IPv6). Она выделила основные проблемы, включая понимание термина «защита сетей», разработку безопасности в сетях IPv6, которые не будут просто слепо копировать архитектуру IPv4 (текущая система распределения IP адресов), приведение в порядок политики безопасности и понимание того, что политика безопасности будет диктовать уровень безопасности для внедрения. Она также привела пример архитектуры IPv6 и рассказала о предположениях для архитектуры, таких как адресация/названия, маршрутизация против тоннелей, управление и безопасность. Каео также исследовала вопрос протокола SeND, и как он защищает от ложных сообщений, неудачное определение ближайшего отсутствия доступа, выявление задвоенных адресов и атак на DoS, запрос и оповещение маршрутизатора, повторный запуск и ближайшее обнаружение DoS.

Начальник управления информационной безопасностью и ведущий архитектор Eli Lilly Адриан Секкомбе говорил об эволюции: от ответной до интегрированной информационной безопасности. Сфокусировав внимание на трех ключевых вопросах, Секкомбе поднял вопрос о том, что представляет себой движение традиционной информационной безопасности к более интегрированной системе управления качеством информации. Он также определил ряд причин движения, такие как обострение и напряжение в изменениях. Секкомбе также выделил некоторые указатели с использованием исторических примеров, таких как Великая стена в Китае, а также примеры ведущих индикаторов, найденных в банковской сфере, фармацевтике и бензиновой отраслях. Ответы на эти вопросы включают обсуждение стандартов и архитектуры, команды и желаемое состояние качества информации в будущем.

Гай Банкер, руководитель научной деятельностью компании Symantec, обсуждал постоянно-растущую роль разработчика архитектуры безопасности, но, сначала, он выделил развитие безопасности, показав пример распространения систем и риски, с ними связанные, такие как: факсы, копиры, и списанные процессоры. При обсуждении рисков, связанных с данными, особенно сейчас, когда они децентрализованы, не структурированы и не сосредоточены в одном месте, Банкер продолжил, приведя статистику, связанную с данными повышенного риска. Например, почти 6 миллионов ноутбуков в год выкидывается, а шанс мобильного устройства быть выкинутым почти в 22 раза больше. Банкер также подчеркнул, что информация – это бизнес, и крайне важно эту информацию защищать. Он подвел итог своей презентации, обрисовав в общих чертах новые навыки, которые требуются для разработки архитектуры защиты, включая знание бизнеса, бизнес-функций, законодательства, финансовых вопросов, последствия принятых решений, последствия непринятия решений и влияние новых технологий. Вопреки распространенному мнению, о мире защиты информации нельзя сказать «меньше знаешь – лучше спишь».

Разработчик архитектуры для Microsoft Windows, Карл Эллисон представил недостатки протоколов безопасности: «Дизайн и аналитики церемонии». Определение церемонии было охарактеризовано с помощью нескольких примеров того, как основные ключи могут отфильтровать, используя модель диаграммы церемонии в качестве примера. Он также развенчал электронную почту, и показал, как просто хакеру послать письмо, имитируя другого человека. Затем поднял вопрос, создания безопасного дизайна пользовательского интерфейса. Показывая обычный процесс разработки пользовательского интерфейса, Эллисон напомнил слушателям, что обычные дизайнеры уделяют самое большое внимание внешнему виду и эффектам, а разработчики протоколов, системные программисты, и особенно криптографы, очень слабо владеют дизайном. Для церемоний, однако, пользовательский интерфейс должен быть частью дизайна и аналитики. В результате, для пользовательского интерфейса нужна команда из разных областей. Он также исследовал признаки церемоний, потребность в осмысленных идентификаторах и рекомендации по улучшению дизайна церемоний.

Крис Форд, вице-президент по технологиям интеграции компании American Express, а также председатель The Open Group Architecture Forum вынес на обсуждение последнюю работу Architecture Forum. Форд также привел пример преимуществ членства и участия в Форуме. В частности, с определением American Express лучших практик, которые были использованы другими компаниями-членами The Open Group и пользу, которую извлекла его компания. Затем он бегло познакомил участников конференции с работой Architecture Forum по обновлению текущей спецификации по архитектуре и обзор их целей на 2008 год. Он также призвал членов The Open Group к внедрению безопасной архитектуры. Комментарии Форда также повторили важный вопрос о том, что безопасность - это неотъемлемая часть процесса построения архитектуры и ее нельзя оставлять «на потом», напротив, ей должен отдаваться первый приоритет.

Закрывала Конференцию Специалистов по Архитектуре, проведенную Open Group, Лорен Стейтс, вице-президента компании IBM по работе с клиентами. Стейтс рассказала о том, сколько компаний уделяют внимание растущим потребностям бизнеса и о критичности потребности в сертификации для дальнейшего развития разносторонних личностей, а также о том, что это неотъемлемый компонент достижения целей компании. Люди – это часть ценностного предложения в изменениях бизнеса, несмотря на вид деятельности, бизнес нуждается в безопасной архитектуре.

ERPNEWS©

© Издание 12NEWS (ИП Маринин А.Л.), 2007