Real Estates and Engineering
Společnost SOLUTEX s.r.o. byla založena v roce 2002 a mimo jiných
aktivit vycházejících z předešlého profesního působení zakladatele,
realizuje projekty v oblasti REAL ESTATE & ENGINEERING.
Orientace na dodávku přidané hodnoty v tomto oboru jenom logicky navázala
na začátky pouhého zprostředkování nákupu a prodeje pozemků a nemovitostí.
Z výše uvedeného vyplývá, že hlavní směr působení společnosti je v poskytnutí komplexního servisu, tzn. od výběru vhodného pozemku, budovy apod., posouzení
a zhodnocení aktuálního stavu, návrhu budoucího využití dle představ investora,
až po realizaci nezbytných opatření, které svým výsledkem uspokojí potřeby klienta.
Přehled hlavních oblastí, které můžeme nabídnout:
. Výběr vhodného pozemku, budovy apod. v lokalitě určené klientem
. Posouzení stávajícího stavu a návrh budoucího využití s ohledem na potřeby
klienta
. Zajištění procedur nezbytných pro nákup dané nemovitosti vč. znaleckého
posudku od soudního znalce v oboru nemovitostí
. V případě potřeby zajištění souhrnu činností nezbytných pro změnu, nebo úpravu
Ip telefony Ip telefonie Ip telephony
IP telefonie se během posledních pěti let vyvinula z prvních prototypů v technologii, která překonává v mnoha ohledech klasický přenos hlasu a má funkce, které běžná telefonní ústředna ani nedokáže nabídnout. Cílem informací presentovaných níže je popis základních technických parametrů paketového přenosu hlasu a shrnutí důvodů, proč IP telefonie nabízí lepší funkčnost a spolehlivost než klasický přenos hlasu. Hlavní přínos IP Telefonie spočívá v komplexním pohledu na AVVID (Architecture for Voice Videoand Integrated Data), kam patří nejen IP telefonie, ale i ostatní formy multimediálních přenosů, jako jsou videokonference nebo distribuce videosignálu, infrastruktura a také rozšiřující aplikace.
SOLUTEX s.r.o. dodává jak dílčí, tak především komplexní řešení IP telefonie nejvýznamnějších světových výrobců těchto technologií - CISCO a AVAYA. Implementace zahrnuje analýzu stávající infrastruktury klienta, definování jeho představ a reálných požadavků na IP telefonii, návrh HW a SW komponent, rozšiřujících aplikací, vybudování nové, případně úpravy stávající komunikační infrastruktury, dodávku a instalaci všech součástí systému, jejich nastavení, zprovoznění, předání a následné poskytnutí technické podpory dle stanovených SLA.
Avaya IP Telefonie
Avaya IP Telefonie - úvod
Avaya Communication ManagerT
Avaya Media Servery
Avaya Media Gatewaye
Avaya koncová zařízení
Závěr
Avaya IP Office
Avaya IP Office - Úvod
Konvergované prostředí
Popis Avaya IP Office
Komunikační servery
Funkce telefonní ústředny
Expanzní moduly pro IP412 IP406 IP403
Systémy DECT
Wi-Fi bezdrátové telefony
Aplikace pro IP Telefonii
TTS (text to speech)
Aplikace pro managing systému
Funkce kontaktního centra
Avaya Profil Společnosti CZ
Avaya IP Office Ve Zkratce CZ
Avaya IP Office Pro Malé a Střední Firmy CZ
Avaya IP Office Convergent Services CZ
Avaya IP Office Messaging System CZ
Avaya IP Office Contact Center CZ
Avaya IP Office Conference Calling CZ
Avaya IP Office DECT CZ
Avaya Communication Manager CZ
Avaya Unified Access CZ
Avaya Media Servers and Gateways CZ
Avaya Call Center CZ
Avaya Hotelový Systém CZ
Avaya Segment Automotive CZ
3
a higher plane
of communication
R o z s á h l é m o ž n o s t i p r o z v ý š e n í
e f e k t i v i y c a l l c e n t r a
Aplikace Call centra Avaya usandňují správu
kontatků se zákazníky, integraci s informačním
systémem, administraci call centra, sledování
záznamů o zpracování hovorů a školení agentů.
Tyto nástroje rovněž umožňují směrovat hovory
na základě definovaných podmínek, které
umožňují kombinovat dostupnost zdrojů call
centra s libovolnými dalšími parametry (směr,
odkud volání přichází, den v týdnu, pracovní/
mimo pracovní dobu, idnetifikaci volajícího, ...).
Kromě toho u systémů rozmístěných v několika
lokalitách funkce virtuálního směrování umožňuje
maximálně využít zdrojů bez ohledu na jejich
fyzické umístění.
Call centra Avaya umožňují aplikovat strategie
směrování podle firemní politiky, a maximálně
využívají údaje o zákaznících z informačního
systému, aby každý kontakt se zákazníkem
probíhal co nejefektivněji. Systém je také vysoce
flexibilní, a uplatní se ve všech komunikačních
infrastrukturách - tradičních i IP sítích.
Vlastnosti
Kromě výše uvedených vlastností nabízejí
kontaktní centra Avaya řadu vlastností mezi něž
patří následující:
. Větší kapacita
- V rámci jednoho systému lze definovat
výrazně vyšší počet skupin operátorů
a dovedností jednoho operátora, což
umožňuje budování rozsáhlých
a distribuovaných call center, jakož i přesnější
implementaci firemní politiky péče
o zákazníky.
. Call Management System - koplexní sada nástrojů
pro tvorbu reportů a analýzu provozu call centra
- Avaya Call Management System (CMS)
je důležitá součást Call center Avaya, která
umožňuje zvýšit efektivitu provozu call centra.
Nabízí integrovanou analýzu a tvorbu reportů,
které vám umožní sledovat doslova veškeré
Call centrum Avaya nabízí
zásadní výhody v několika
oblastech:
Umožňuje poskytování
konsistentních
a personalizovaných služeb
díky následujícím funkcím:
. Lepší využití operátorů
v souladu s potřebami
firmy.
. Zajištění maximální
pružnosti v nastavování
směrování.
Redukuje náklady při
zvýšené účinnosti a efektivitě
pomocí těchto funkcí:
. Podpora specializace
operátorů.
. Podpora konsolidace.
Zvyšuje hodnotu každé
interakce se zákazníkem:
. Zajištěním
konzistentnosti služeb
odrážejících specifika
jednotlivých zákazníků.
. Dosažením úrovně
požadovaných služeb
pro každého zákazníka.
aktivity, které v call centru probíhají, ať už jde
o vyhodnocení výkonnosti operátora, skupiny
operátorů, samostatného kontaktního centra
nebo kontaktního centra rozmístěného na
několika lokalitách. CMS poskytuje robustní
nástroj pro sledování provozu call centra jak
v reálném čase, tak i v minulosti (historické
reporty). Využití těchto funkcí vám pomůže
získat si věrnost zákazníků nadstandardními
službami a podporou.
. Maximalizace úrovně služeb (Service Level
Maximizer) - tato funkce umožňuje lépe využít
operátory call centra v souladu s firemními
potřebami provozovatele call centra. Úroveň
kvality služeb se stanovuje jako požadavek
na přijetí určitého procenta hovorů do
specifikovaného časového intervalu. Funkce
pomůže zajistit maximální kvalitu služby
v kritických situacích, a zároveň zjednoduší
provoz call centra.
. Proměnné veličiny vektorového směrování
(Variables in Vectors) - tato funkce poskytuje
ještě vyšší flexibilitu směrování hovorů.
Vektorové směrování umožňuje měnit
zpracování volání na základě proměnných
hodnot přidělovaných jednotlivým
zákazníkům, což redukuje objem průběžných
administrativních prací, a usnadňuje
centralizované řízení.
. Lokální zpětná vazba pro frontu volání přicházející
po ISDN i IP - funkce podporuje řazení volání
do front na vzdáleném pracovišti, a zároveň
lokálně zajišťuje automatická oznámení
a hudební pozadí pro čekající hovory.
Umožňuje snížit nároky na propustnost sítě,
a tím redukovat náklady na její provoz. Tato
vlastnost je důležitá obzvláště u společností,
jejichž operátoři jsou rozmístěni v různých
lokalitách.
. Maximální vytíženost - tato funkce umožňuje
nastavit vytížení operátorů na hodnotu nižší
než 100 procent, aby se předešlo vzniku
syndromu "vyhoření". Parametr se nastavuje
jednotně pro celý systém.
Office - Úvod
Komunikační systém pro střední a malé podniky. Avaya IP Office je výsledkem neustálých technologických inovací, jejichž cílem je vytvořit takový systém, který dokáže zajistit jak hlasové, tak datové komunikace, aniž by bylo nutno slevit z rozsahu nabídky uživatelských funkcí, kvality hlasového přenosu nebo spolehlivosti. Tento produkt dokazuje, že těchto cílů umí dosáhnout, což je hlavní důvod, proč byl v roce 2002 vyhodnocen časopisem Communication Convergence jako "výrobek roku v oboru konvergence".
Konvergované prostředí
Čtyři základní důvody:
1. Zákazníci
Internet, nabídka na webových stránkách, bezdrátová komunikace a celá řada dalších novinek poskytuje zákazníkům více informací, větší přehled, kontrolu a schopnost snadno měnit své dodavatele. Pokud využijete konvergovaný systém Avaya IP Office, budete moci využívat výhod široké škály funkcí a možností, od konsolidace lokální nebo rozsáhlé sítě po sofistikované komunikační aplikace, jako je jednotný systém správy a multimediální kontaktní centra.
2. Rozhodující faktory
Široká nabídka aplikací pro komunikace a pro službu zákazníkům, kterou obsahuje portfolio produktu Avaya IP Office, vám může poskytnout mnoho ekonomických a funkčních výhod: nižší náklady na provoz a správu sítě, komfortní management, nižší cestovní náklady, vyšší věrnost zákazníků a mnoho dalšího. Firmy, které se dnes otevřou moderním konvergovaným komunikacím, získají náskok před konkurencí.
3. IP telefonie
Pokrok v kvalitě nabízený současnými technologiemi datových prvků vybízí firmy ke snaze konvergovat své lokální a rozsáhlé sítě, tj. používat je nejen pro přenos dat, i kdyby mělo jít pouze o interní komunikaci.
4. Virtuální firma
Současné obchodní organizace mají spíše virtuální charakter, ve větším rozsahu spolupracují a hojněji využívají partnerské, dodavatelské a zaměstnanecké sítě rozšířené do vzdálených míst. Avaya IP Office podporuje aplikace vzdáleného přístupu a zprostředkuje síťové funkce a dálkový přístup, které podnikům umožňují rychlou a kvalitní spolupráci a komunikaci v dynamickém síťovém prostředí.
Popis Avaya IP Office
Avaya IP Office je komunikačním serverem, integrovaným řešením níže uvedených funkcí:
Pobočková telefonní ústředna pro plně konvergovaný provoz klasické (non-IP) a IP telefonie
IP telefonie: Integrovaný H.323 Gatekeeper a Gateway, podpora QoS (Quality Of Services)
Call Centrum
Hlasová pošta na externím PC nebo vestavěná u modelu IP401
Bezpečnost - Firewall a nebo NAT (Network Address Translation)
Podpora klienta LDAP
DHCP server
VV dnešním náročném a v y s o c e konkurenčním p o d n i k a t e l s k é m p r o s t ř e d í j e s c h o p n o s t r y c h l e
r e a g o v a t a z á r o v e ň s e s p r á v n ě r o z h o d o v a t n a p o d k l a d ě d o s t a t e č n ý c h i n f o r m a c í j e d n í m
z f a k t o r ů d ů l e ž i t ý c h p r o ú s p ě c h . K l í č e m k t o m u t o ú s p ě c h u j e p o h o t o v á a e f e k t i v n í komunikace.
A v a y a I P O f f i c e
I n t e g r o v a n ý D E C T s y s t é m
Ř e š e n í I P O f f i c e
IP Office DECT je lokální bezdrátové komunikační řešení, které
zákazníkům a dodavatelům umožňuje udržovat kontakt
s důležitými zaměstnanci. IP Office DECT podporuje rychlé
a přesné rozhodování, umožňuje vyhnout se ztraceným hovorům
a nekonečnému čekání na telefonu, a tím vám umožní
poskytnout každému ve správnou dobu správnou reakci.
Spojení mezi IP Office a telefonem 20DT DECT zajišťuje řídicí
jednotka Compact DECT Control Unit. Každá řídicí jednotka
DECT může podporovat až 8 telefonních aparátů DECT.
Telefonní aparáty DECT je možno rychle a snadno rozmístit bez
potřeby plánování buněk, je však nutno provést průzkum
lokality, aby bylo možno stanovit počet potřebných základních
stanic. Kompaktní řídicí jednotka DECT má dosah až 600 metrů,
v rámci struktury kancelářské budovy je to obvykle 50 metrů.
Dosah je možno zvýšit použitím základní stanice s vysílačem.
Tyto základní stanice nemusí být spojeny s kompaktní řídcí
jednotkou DECT a mohou zajistit pokrytí signálem v prostoru,
kde by se jen obtížně realizovaly kabelové rozvody.
M o b i l i t a
IP Office DECT je modulární mobilní řešení, které umožňuje
využití bezdrátových komunikačních zařízení buď ve zvolené
oblasti, nebo v rámci celé firmy. Uživatelé aparátů DECT se
mohou volně pohybovat v prostorách firmy, a přitom zůstávat
v trvalém spojení. Jsou dokonale mobilní, a zároveň zůstávají
součástí systému IP Office.
IP Office DECT podporuje moderní pracovní postupy v prostoru
firmy jako například poskytování služeb horké linky
a poskytování služeb prostřednictvím telefonu. Odpadá nutnost
instalovat kabelové rozvody a vaši pracovníci mohou jednoduše
začít používat bezdrátový telefonní přístroj. S ním se pak mohou
volně pohybovat po celém pracovišti. Podobně operátoři
v kanceláři si jednoduše mohou vzít telefonní aparát a najít
volnou pracovní buňku.
IP Telephony Contact Centers Unified Communication Services
avaya.co.uk
C 2003 Avaya Inc.
Veškerá práva jsou vyhrazena. Avaya a logo Avaya jsou obchodní značky společnosti Avaya Inc. a v určitých oblastech mohou být
registrovány. Veškeré obchodní značky označené R, SM nebo T jsou registrované obchodní značky, servisní značky nebo obchodní značky.
Veškeré ostatní obchodní značky jsou majetkem příslušných vlastníků. 06/03 . AV-IX15UK02P-01
Údaje o výkonech a data citovaná v tomto dokumentu představují typické hodnoty. Jejich platnost v konkrétním prostředí je nutno ověřit písemně u společnosti Avaya, než budou
brány jako platné pro jakýkoli konkrétní kontrakt nebo objednávku. Společnost Avaya si vyhrazuje právo provádět změny nebo dodatky konkrétních parametrů dle vlastního
uvážení. Uveřejněním údajů v tomto dokumentu se společnost Avaya nezříká patentových práv ani žádných jiných ochranných práv. Veškeré ochranné známky jsou respektovány.
O společnosti Avaya
Společnost Avaya umožňuje firmám dosáhnout
lepších výsledků tím, že navrhuje, staví a řídí jejich
komunikační sítě. Více než milion firem v celém
světě, včetně 90 procent nejbohatších firem ze
seznamu FORTUNE 500, využívá řešení a služby
Avaya, aby tak přidaly hodnotu svým službám,
zvýšily produktivitu a získaly konkurenční výhodu.
Společnost Avaya se zaměřila na velké i malé
podniky a stala se předním dodavatelem
bezpečných a spolehlivých IP telefonních systémů,
softwarových aplikací pro komunikace a celoživotní
servis. Společnost Avaya je hnacím motorem
konvergence hlasových a datových komunikací,
vyniká mezi konkurencí nabídkou vyčerpávajících
služeb po celém světě a pomáhá zákazníkům využít
stávajících i nových sítí k podpoře výkonnosti firmy
a zvýšení přidané hodnoty.
Compact DECT
Repeater(s)
Max of six
Compact DECT
Base Station
LAN IP Office
Up to 8 Handsets
with max. of 6
simultaneous calls
Twisted Pair Cable
Plug top
Power Supply
PC Cable
Compact DECT integration to IP Office
Tuto koncepci je možno dále rozšířit o pronajaté bezdrátové
aparáty nebo pronajaté služby pro návštěvníky společnosti.
Pokud podnikáte v pohostinství a zdravotnictví, mohou
takové služby znamenat značný příliv financí.
E f e k t i v i t a a z i s k
Není pochyb o tom, že lepší interní i externí komunikace
vedou k lepší a efektivnější organizaci, kvalitnějším
vztahům se zákazníky a tudíž k vyšším ziskům. IP Office
DECT zajišťuje okamžitou dostupnost. Společnosti, jejichž
prostory jsou rozmístěné v několika lokalitách, často
zaměstnávají pracovníky, kteří se pohybují na různých
pracovištích, ale přesto musí být k zastižení na telefonu.
Tito uživatelé buď mohou mít na každém místě stůl
s telefonem, nebo použijí standardní mobilní telefon.
Nicméně tato řešení jsou finančně značně náročná. Avaya
nabízí své řešení. V aplikaci IP Office DECT je možno
aktivovat roaming pro více stanovišť, díky němuž mohou
být tito pracovníci v trvalém kontaktu. Firma nemusí
kupovat další aparáty DECT pro každé stanoviště, kde se
tito zaměstnanci vyskytují, čímž sníží náklady a zvýší
efektivitu firmy.
Ř e š e n í I P O f f i c e D E C T
IP Office DECT je pro zákazníky možností investovat do
integrovaného mobilního systému, který spojuje přístup
k mnoha známým funkcím prostředí IP Office se zvýšenou
pohyblivostí a možností realizovat a přijímat telefonické
hovory v kterémkoli místě komplexu firmy.
Mezi cílové tržní sektory patří výrobní sektor,
zdravotnictví, maloobchod, bankovní služby, IT a logistika.
Dá se říci, že v jakémkoli oboru, kde je první kontakt
s mobilním pracovníkem důležitý pro zkrácení doby reakce
a zvýšení produktivity, vede tento produkt ke snížení
nákladů a zvýšení zisků.
D a l š í i n f o r m a c e
Další informace o tom, jak mohou řešení Avaya IP Office
zvýšit produktivitu a zefektivnit předávání informací ve vaší
firmě, můžete získat od autorizovaného obchodního
partnera společnosti Avaya, případně navštivte naše webové
stránky na adrese avaya.co.uk.
reach
a higher plane
of communication
IP Telephony Contact Centers Unified Communication Services
A v a y a I P O f f i c e
M e s s a g i n g s y s t é m
( s y s t é m p r o d i s t r i b u c i z p r á v )
a z p r a c o v á n í v o l á n í
V y š š í p r o d u k t i v i t a a v ý k o n
Ř e š e n í p r o M e s s a g i n g s y s t é m y a z p r a c o v á n í v o l á n í , k t e r é
p o d p o r u j í s p o l u p r á c i , p r o d u k t i v i t u a ž i v o t n ě d ů l e ž i t é f u n k c e
IP Telephony Contact Centres Unified Communication Services
a higher plane
of communication
1
Automatický
operátor
Přijměte každé příchozí volání směrované do vaší firmy rychle
a správně. Avaya IP Office obsahuje funkce automatického
operátora, které usnadní práci vašim volajícím zákazníkům,
obzvláště v době mimo pracovní dobu nebo v době přestávky na
oběd. Toto řešení je zároveň nenákladné pro vaši firmu.
Systém řízení
zpráv
Získejte kontrolu nad svou hlasovou poštou, elektronickou poštou
a dalšími funkcemi. Avaya IP Office nabízí řešení pro období
přetížení vysokým počtem zpráv. S jeho pomocí můžete přijímat
hlasovou poštu na počítači. Veškerou hlasovou poštu a zprávy
elektronické pošty můžete ukládat v jedné poštovní schránce.
eConsole pro
kontaktní
kancelář
Jsou vaši pracovníci, kteří zajišťují styk se zákazníkem, dostatečně
využiti? Jsou součástí vaší strategie v oblasti služby zákazníkům?
Avaya IP Office může vašim operátorům poskytnout nástroje,
které potřebují pro řízení volání a pro poskytování
personalizovaných služeb.
PhoneManager Vaše telefony mohou poskytovat víc než jen základní funkce
hlasového volání. S aplikací Avaya IP Office může každý
zaměstnanec využívat přehledné nástroje pro správu svých
komunikací. Tyto nástroje si každý může individuálně nastavit
a výrazně přispět k lepšímu využití času stráveného
telefonováním.
II n s t a l u j t e s y s t é m Av a y a I P O f f i c e a v y u ž i j t e j e h o a p l i k a c í p r o M e s s a g i n g s l u ž b y a z p r a c o v á n í
h o v o r ů k e z j e d n o d u š e n í t o k u i n f o r m a c í a k e z v ý š e n í p r o d u k t i v i t y v š e c h č l e n ů v a š í o r g a n i z a c e .
Ty t o v ý k o n n é a p l i k a c e m ů ž e t e i m p l e m e n t o v a t k d y k o l i a z v ý š i t t a k h o d n o t u v a š i c h f i r e m n í c h
p r o c e s ů .
1
a higher plane
of communication
3
P h o n e M a n a g e r
P o k r o č i l é z p r a c o v á n í v o l á n í p r o k a ž d é h o z a m ě s t n a n c e
S aplikací Avaya IP Office je snadné vybavit každého zaměstnance pokročilými funkcemi pro
zpracování volání. Avaya IP Office PhoneManager dává uživatelům kontrolu nad jejich
telefonickou komunikací z prostředí počítače. Údaje jako identifikace volajícího, číslo vytočené
volajícím, historie předchozích kontaktů a sledování fronty hovorů může být k dispozici
každému zaměstnanci.
Avaya IP Office nabízí PhoneManager ve třech verzích pro různé potřeby firem:
PhoneManager Lite - ten pravý komunikační nástroj pro každého zaměstnance vaší firmy.
Informace na grafickém uživatelském rozhraní jsou prezentovány jasně a přehledně a systém
je možno nastavit tak, aby je v případě potřeby zobrazoval automaticky. Funkce Busy Lamp
Field (BLF) (kontrolka obsazené linky) umožňuje okamžitě zhodnotit, kdo z týmu právě
komunikuje a kdo ne a komu je tudíž možno přesměrovat volání.
PhoneManager Pro - obsahuje veškeré funkce verze Lite plus integraci s programovým
vybavením pro management kontaktů (například MicrosoftR Outlook). Díky tomuto
propojení se mohou informace o zákaznících zobrazovat v automaticky otvíraných oknech.
Zaměstnanci mohou spravovat vlastní hlasové schránky a zaznamenávat údaje pro statistiky
managementu času včetně délky a ceny hovorů. S využitím PhoneManager Pro mohou
dokonce ovládat vstupní dveře kanceláře.
PhoneManager Pro - verze aplikace PhoneManager Pro pro IP softwarový telefon, který
umožňuje používat veškeré nástroje na zvýšení produktivity v prostředí multimediálního
počítače. K provozu není nezbytný pevný telefonní přístroj.
Z j e d n o d u š t e t o k i n f o r m a c í
v r á m c i v a š í f i r m y
V dnešním podnikání je každé volání příležitostí
i výzvou. Může jít o nového potencionálního
zákazníka, který vás kontaktuje poprvé, nebo
o stávajícího zákazníka, který potřebuje, abyste mu
vyřešili nějaký problém. Každé volání, bez ohledu
na téma, je nutno zvládnout zcela profesionálně
a s osobním přístupem.
Jak se provádí směrování příchozích volání? Jak
řešíte situace návalů ve špičce? Může volající
snadno vytočit potřebnou osobu přímo? Jsou vaši
pracovníci vybaveni mobilními telefony, takže
mohou v prostorách firmy přijímat volání kdekoli?
Pamatujte, že nepřijaté, pozdě přijaté nebo
neprofesionálně zpracované hovory vás mohou
připravit o obchodní příležitosti. Správné
směrování hovorů a dobře nakonfigurovaný
Messaging systém mohou přinést podstatnou
změnu.
S m ě r o v á n í v o l á n í p ř e s
a u t o m a t i c k é h o o p e r á t o r a
Mnohé firmy by dnes bez automatického operátora
nemohly existovat. Je to neúnavný "operátor", který
pozdraví volajícího, poskytne mu informace
prostřednictvím nahraných zpráv jako například
"pro prodej stiskněte tlačítko 1, pro servis stiskněte
tlačítko 2, chcete-li hovořit s operátorem, stiskněte
tlačítko 3, případně zadejte číslo linky".
Automatický operátor může sloužit pro standardní
příjem příchozích hovorů nebo jako primární záloha
v případě přetížení živých operátorů v době špičky.
Při použití systému Avaya IP Office můžete využít
plně vybaveného automatického operátora, kterého
je možno snadno přizpůsobit konkrétním potřebám
vaší organizace. Aplikace umožňuje různá
nastavení pro různá časová období. Další předností
je možnost spojení s telefonním seznamem, který
volajícím umožní vytočení příslušné linky podle
jména volaného.
a higher plane
D v a v y n i k a j í c í p r o d u k t y
p r o s y s t é m o r g a n i z a c e
z p r á v
Aplikace Avaya IP Office pro organizaci
zpráv od základu zjednoduší a zefektivní
vaše každodenní úkoly a připraví
podmínky pro zvýšení zisku.
VoiceMail Lite - aplikace pro management
zpráv dodávaná jako standardní součást
Avaya IP Office nabízí širokou řadu funkcí
pro malé firmy. Může vaši firmu učinit
dostupnou pro vaše investory a zákazníky
kdykoli, bez ohledu na provozní dobu.
VoiceMail Pro je pokročilejší řešení pro
hlasovou poštu, které obsahuje veškeré
funkce nabízené ve verzi VoiceMail Lite.
Mezi rozšíření oproti Lite verzi patří
podpora více uživatelů a větší možnosti
vlastního nastavení. Rostoucí firmy
s výhodou využijí rozšířených schopností,
pružnosti a efektivity verze VoiceMail Pro.
VoiceMail Lite VoiceMail Pro
Zahrnuté funkce: Volitelné funkce:
Určen typicky pro maximálně 40 zaměstnanců. Určen až pro 500 zaměstnanců.
Zvládne simultánně až 4 volání. Simultánně zpracuje až 30 volání.
Zajistí příjem hovorů a organizaci zpráv. Poskytuje pokročilé zpracování hlasové komunikace pro kontaktní centra, zajišťuje
management zpráv pro vzdálená pracoviště v síťovém prostředí.
Nahrané osobní pozdravy. Široké možnosti nastavení, až 16 jazyků.
Dálkový přístup ke zprávám. Bohatá nabídka funkcí pro dálkové ovládání aplikace.
Zpětné volání na interní číslo. Zpětné volání na interní nebo externí linku.
Jednoduché řazení hovorů do front. Vyspělé funkce pro hlášení čekajícím ve frontě hovorů (pozice ve frontě
a předpokládaná čekací doba).
Nástroje pro zvýšení produktivity: Nástroje pro zvýšení produktivity:
. Základní nástroje call centra . Nástroje pro zvýšení produktivity podobnější těm, které se používají v call centrech
. Upozornění na hlasovou zprávu v elektronické poště . Integrované zprávy hlasové a elektronické pošty
. Dálkové upozornění na hlasovou zprávu . Grafické uživatelské rozhraní
. Služby hlasové pošty pro skupinu čísel . Funkce pro individuální nastavení toku volání (v závislosti na čase)
. Víceúrovňový automatický operátor
Označení zprávy datem a časem. Volající může vystoupit z hlasové schránky a spojit se přímo s živým operátorem.
Kopie zpráv jiným účastníkům. Pomoc při přepojování
Spolupracuje s Campaign ManagerT
Podporuje Integrated Messaging Pro
Těsná integrace s IP Office Manager
Nahrávání hovorů
Údaj o délce hovoru
Tiché oznámení
Pokud je automatický operátor propojen
s kontaktním centrem, využijte výhod funkce hlášení
délky fronty, která informuje volající o tom, jak
dlouhé čekání ve frontě hovorů mohou očekávat,
a zároveň je upozorní na jiné možnosti vyřízení jejich
požadavku.
S aplikací Avaya IP Office je automatický operátor
více než jen prostý způsob automatického příjmu
hovorů. Je to možnost, jak s nízkými náklady
poskytovat zákazníkům individualizované služby.
P r o h l í ž e j t e h l a s o v o u
a e l e k t r o n i c k o u p o š t u s p o l e č n ě
Každý, kdo se věnuje podnikání, tráví bezpočet hodin
organizováním hlasové a elektronické pošty.
S pomocí produktu Avaya IP Office teď můžete
ušetřit čas strávený načítáním zpráv a věnovat ho
produktivnímu vyřizování zpráv. Avaya IP Office
pomáhá zjednodušit organizaci zpráv pomocí
jednotného systému organizace zpráv, kdy máte
společný přístup k hlasovým zprávám i zprávám
elektronické pošty. Všechny zprávy si můžete
prohlédnout najednou v jednom prostředí. Hlasové
zprávy můžete připojit ke zprávám elektronické pošty
a poslechnout si je ze vzdáleného počítače, aniž byste
museli vytáčet číslo z vašeho telefonního systému.
Hlasové zprávy můžete archivovat a posílat stejným
způsobem, jako zprávy elektronické pošty.
Díky integraci se systémem elektronické pošty serveru
MicrosoftR Exchange může Avaya IP Office
doručovat hlasové zprávy na stávající server
elektronické pošty v kompatibilním formátu.
V aplikaci MicrosoftR Outlook se zprávy hlasové
pošty objeví spolu se zprávami elektronické pošty
s hlasovým záznamem připojeným jako zvukový
soubor ve formátu WAV. V záhlaví budou uvedeny
údaje o volajícím, tedy jeho číslo, jméno nebo číslo
linky.
Díky schopnosti přijímat hlasové zprávy v rámci
elektronické pošty má uživatel možnost jak přehrát
hlasovou zprávu přes reproduktory počítače, tak ji
vyslechnout v telefonním systému. I při poslechu
hlasových zpráv přes telefon je však možno
provozovat jejich správu v rámci systému elektronické
pošty.
S o f i s t i k o v a n é
z p r a c o v á n í h o v o r ů ,
k t e r é z v ý š í p r o d u k t i v i t u
v š e c h z ú č a s t n ě n ý c h
Avaya IP Office může být vybaven
desítkami funkcí pro správu volání,
které zjednoduší řízení stovek
příchozích volání, jež musí vaše firma
každý den zpracovat.
Kontrolované přepojení. Aby
nedocházelo ke ztraceným voláním
(a nespokojenosti volajících), sleduje
tato funkce přepojené volání
a v případě, že hovor není přijat, jej
vrátí zpět odesílajícímu pracovníkovi
nebo do Messaging systému.
Office Assistant. Avaya IP Office může
pomoci s automatizací běžných
kancelářských činností. Systém je
například možno nastavit pro
spouštění určitých úkonů. Uživatel tedy může
například zapnout v kanceláři topení nebo
odemknout dveře prostřednictvím mobilního telefonu
na cestě do práce.
Dálkový přístup. Díky "osobnímu číslu" mohou být
zaměstnanci vždy ve spojení s kanceláří, i když jsou
mimo firmu. Tato funkce zajistí přepojení hovorů na
vzdálený telefon úplně stejně, jako na pobočkovou
linku. Díky této funkci můžete vždy řídit svou
dostupnost. Dále můžete dálkově zapínat a vypínat
hlasovou schránku, nastavit přesměrování
elektronické pošty na danou adresu nebo editovat
přesměrování hovorů a skupinu sledovacích čísel pro
přesměrování nových příchozích volání nebo zpráv
na kterékoli místo (například na mobilní telefon nebo
domů). Systém lze rovněž naprogramovat tak, že po
přijetí nové zprávy automaticky vytočí interní nebo
externí číslo uživatele.
Tiché oznámení. Když někdo nechce být rušen a volá
někdo důležitý, funkce Whisper Announce vám
umožní snadno se rozhodnout, zda hovor přijmete či
nikoli. Tato funkce požádá volajícího o jeho jméno
a pošle informaci volanému účastníkovi. Dotyčný se
potom může rozhodnout, zda volání přijme či nikoli.
M e s s a g i n g s y s t é m
Systém řízení zpráv kdysi znamenal pouze příjem
hovorů v době, kdy nikdo nebyl přítomen.
V současnosti je kvalitní Messaging systém kritický
pro zjednodušení podnikání. Musí zajistit, aby vám
zaměstnanci, zákazníci a spolupracovníci mohli
zasílat a od vás přijímat důležité údaje
z kteréhokoli místa v kteroukoli denní nebo noční
dobu.
Avaya IP Office zajišťuje klíčové funkce
zprávového systému, které mohou manažeři
a jednotliví zaměstnanci využívat tak, jak jim to
nejlépe vyhovuje. Například zaměstnanci
a manažeři mohou systém použít k odesílání zpráv
do jedné nebo více hlasových schránek, adresovat
zprávy podle jména nebo čísla linky či použít
zabudovaný telefonní seznam.. Systém můžete také
nastavit tak, aby vás automaticky "našel"
a informoval vás o nové zprávě.
C e n t r á l n í M e s s a g i n g s y s t é m
p r o v í c e k a n c e l á ř í
Avaya IP Office je ideální řešení pro mnoho
pobočkových kanceláří díky schopnosti
propojovat více systémů IP Office do sítě. Takto
lze do sítě spojit až 16 systémů s celkovým
počtem až 500 uživatelů. Telefonní seznamy je
možno synchronizovat pro automatickou
aktualizaci a celou síť Messaging systému je
možno řídit z jednoho místa. To zjednoduší tok
informací a sníží náklady na provoz.
Vyšší efektivita
konferenčních
hovorů
Jelikož stále více lidí pracuje z domova
nebo z jiných míst než je centrální
kancelář, umožňují pravidelné
konferenční hovory kvalitní kontakt
a efektivní spolupráci. Místo
nákladných služeb konferenčních
hovorů od jiných dodavatelů využijte
tuto funkci produktu Avaya IP Office
jako privátní "konferenční most".
Funkce je ideální pro schůze týmů,
konference s klienty, zjednodušení
kontaktu se zákazníky a mnohé další.
Pokud ve vaší firmě v současnosti
často využíváte konferenční hovory
zprostředkované jiným
poskytovatelem, mohou se vám
investice do konferenčního systému
Avaya IP Office velmi rychle vrátit.
C 2003 Avaya Inc.
Veškerá práva jsou vyhrazena. Avaya a logo Avaya jsou obchodní značky společnosti Avaya Inc. a v určitých oblastech mohou
být registrovány.
Veškeré obchodní značky označené R, SM nebo T jsou registrované obchodní značky, servisní značky nebo obchodní značky.
Veškeré ostatní obchodní značky jsou majetkem příslušných vlastníků.
06/03 . BP2131
O společnosti Avaya
Společnost Avaya umožňuje firmám dosáhnout
lepších výsledků tím, že navrhuje, staví a řídí jejich
komunikační sítě. Více než milion firem v celém
světě, včetně 90 procent nejbohatších firem ze
seznamu FORTUNE 500, využívá řešení a služby
Avaya, aby tak přidaly hodnotu svým službám,
zvýšily produktivitu a získaly konkurenční výhodu.
Společnost Avaya se zaměřila na velké i malé
podniky a stala se předním dodavatelem
bezpečných a spolehlivých IP telefonních systémů,
softwarových aplikací pro komunikace a celoživotní
servis. Společnost Avaya je hnacím motorem
konvergence hlasových a datových komunikací,
vyniká mezi konkurencí nabídkou vyčerpávajících
služeb po celém světě a pomáhá zákazníkům využít
stávajících i nových sítí k podpoře výkonnosti firmy
a zvýšení přidané hodnoty.
P r o m ě ň t e o p e r á t o r y n a z d r o j
s l u ž b y z á k a z n í k ů m
Operátoři, recepční a jiní podobní pracovníci jsou
často první, kdo přijímají důležité hovory. S aplikací
Avaya IP Office eConsole se mohou stát nedílnou
součástí vaší strategie v oblasti služby zákazníkům
a poskytovat osobní služby mimo vaše kontaktní
centrum.
Jednoduché grafické rozhraní je možno
naprogramovat pomocí skriptů pro správné
zodpovídání obecných otázek a pro nastavení priorit
příchozích volání. Díky důvěrně známému prostředí
konzole ovládané myší nebo z klávesnice se jak
nováčci, tak zkušení pracovníci naučí ovládat toto
zařízení velmi rychle. Grafické rozhraní nabízí
funkce pro zpracování volání, rychlé vytáčení čísel
a sledování statusu jednotlivých linek. Operátoři tak
snadno zjistí, kdo je dostupný.
avaya.co.uk
V y u ž i j t e i n t e g r o v a n é ř e š e n í
p r o s l u ž b u v a š í f i r m ě
Správný komunikační systém vám může pomoci
dosáhnout takové úrovně produktivity a služby
zákazníkům, kterou v současném konkurenčním
prostředí potřebujete. Společnost Avaya má
připravenou širokou škálu řešení určených pro
moderní podniky.
S řešením společnosti Avaya můžete začít v malém
a postupně systém rozšiřovat podle potřeb rostoucí
firmy. Produkty Avaya jsou modulární a jsou
navrženy tak, aby zajišťovaly trvale nízké pořizovací
náklady. Další výhodou řešení Avaya, včetně aplikací
pro kontaktní centra Avaya IP Office, je jejich
schopnost integrovat se do stávajících
komunikačních řešení, což vám umožní využít
stávajících investic a chránit nové investice při
současném zajištění stabilních zkušeností zákazníků.
Mnohé konkurenční nabídky nedokáží tuto úroveň
integrace zajistit.
D a l š í i n f o r m a c e
Pro podrobnější informace o tom, jak vám produkty
Avaya IP Office mohou pomoci zlepšit služby
zákazníkům, kontaktujte autorizovaného
obchodního partnera společnosti Avaya. Více se
dozvíte na adrese avaya.com.
reach
a higher plane
of communication
IP Telephony Contact Centers Unified Communication Services
Komunikační servery
Podstatný rozdíl mezi jednotlivými modely komunikačních serverů Avaya IP Office je v kapacitě portů. Všechny 4 modely jsou plně konvergovaná řešení pro hlasové a datové služby, kde i nejmenší systém typu IP401 nabízí komfortní funkcionalitu jako největší typ IP412. Každý typ, kromě nejmenšího IP401, nabízí možnost zvyšování kapacity portů přidáváním expanzních modulů.
Avaya IP401
Produkt určený pro malé firmy, včetně domácích kanceláří. Typ IP401 Compact Office se dodává ve dvou modelech. Model IP401 DT4 může mít až osm přípojek (4 analogové a 4 digitální) a nabízí volitelnou podporu pro maximálně 4 IP telefony. Dále nabízí 2 ISDN BRI a 8 LAN portů 10/100 BaseT Ethernet. Model IP401 DT2 má poloviční kapacitu portů, lze ho však volitelným komponentem IP401 Expansion Kit povýšit na model IP401 DT4. K dalším volitelným službám patří interní nebo externí hlasová pošta, hlasová komunikace přes IP a vysokorychlostní připojení (2 Mb/s) do sítě WAN.
Avaya IP403
Tento model je určen pro malé firmy. Jeho telefonní část podporuje až deset vnitřních non-IP linek (2 analogové, 8 systémových digitálních) a až 34 vnějších non-IP linek. Po rozšíření o 3 expanzní moduly se kapacita zvýší na 100 vnitřních linek a 82 vnějších linek. Připojit můžete zařízení jako například terminály ISDN BRI (porty S0) a můžete využívat integrovanou hlasovou poštu. Řídící modul má 2 sloty pro kombinaci vnějších linek ISDN PRI / 1x E1 a analog trunk nebo 4x ISDN BRI a analog trunk.
Avaya IP406
Tento model je určen pro malé a střední firmy, které očekávají růst. Ve srovnání s typem IP403 nabízí typ IP406 dvojnásobnou kapacitu: 6 expanzních modulů může zvýšit kapacitu až na 180 vnitřních linek a 156 vnějších linek. Řídící modul má 2 sloty pro jakoukoliv kombinaci vnějších linek ISDN PRI / E1, 4x ISDN BRI nebo analog trunk.
Avaya IP412
Tento model je určen pro střední firmy s vyššími nároky na provoz a počet portů. Ve srovnání s typem IP406 nabízí typ IP412 dvojnásobnou kapacitu: 12 expanzních modulů může zvýšit kapacitu až na 256 vnitřních linek a 312 vnějších linek. Dále poskytuje dva spínané porty (Switch) pro 10/100 BaseT Ethernet (místo 8 HUB portů u modelů IP401, IP403 a IP406). Řídící modul má 2 sloty pro jakoukoliv kombinaci vnějších linek ISDN PRI / 1x E1 nebo 2x E1, 4x ISDN BRI nebo analog trunk.
Avaya IP Office vám nabízí tyto funkce:
Hudba pro čekající ve frontě (interní i externí, u modelu IP401 pouze externí zdroj hudby).
Správa zařízení kanceláře - dva reléové kontakty pro dálkové ovládání např. dveřního systému, topení a klimatizace, kávovaru atd.
Dva přídavné sloty pro volitelné karty vnějších linek (trunky)
pro 1x ISDN PRI / E1 (pro model IP412 navíc deska s 2x E1).
pro 4x ISDN BRI (2B+D).
pro 4x analogovou linku typu loop-start.
Služby pro lokální síť - standardně vestavěné LAN porty 10/100 BaseT Ethernet HUB (typ IP412 má switch) s integrovaným firewallem.
Služby pro WAN sítě - Připojení k digitální lince prostřednictvím protokolů X.21, V.24 nebo V.35 o rychlostech do 2 Mb/s. Podpora protokolu PPP nebo Frame Relay. (Volitelné u modelu IP401).
Konferenční hovory - standardně vestavěný konferenční most pro jednu nebo více konferencí s maximálně 64 účastníky jedné konference, u typu IP401 je maximální kapacita tři účastníci konference.
Hlasové služby přes protokol IP - volitelný modul pro kompresi hlasu podporuje 5, 10 nebo 20 simultánních hlasových spojení v protokolu IP, což dává až 40 spojení u modelu IP412. Používá se pro spojení více lokálních sítí přes rozsáhlou síť nebo pro podporu IP telefonních přístrojů a nebo softwarových telefonů na PC.
Podpora volání přes volitelný modem V.90. Není k dispozici u modelu IP401.
Síťování, propojení více serverů IP Office po příčkových linkách ISDN nebo IP trunk. Jednotné číslování pro síť až 16x IP Office s 500 vnitřními linkami. Q-Sig pro propojení s ústřednami jiných výrobců.
Funkce telefonní ústředny
5 typů modelů a jejich kapacita:
IP412: do 360 poboček a 192 trunků.
IP406: do 180 poboček a 96 trunků.
IP403: do 100 poboček a 48 trunků.
IP401: do 8 poboček a 6 trunků.
Small Office: 24 poboček a 16 trunků.
Expanzní moduly pro IP412, IP406 a IP403
Analog Phones pro 8, 16 nebo 30 analogových terminálů (telefon, fax, modem, atd.) s parametry pro provoz v České a Slovenské republice.
Digital Station pro 16 nebo 30 digitálních systémových terminálů řady 4400, 6400, 2400.
Digital Terminal pro 16 nebo 30 digitálních systémových terminálů řady 2000.
ISDN So pro 8 terminálů Euro-ISDN 2B+D.
Analog Trunk loop-start pro 16 analogových 2-drátových trunků.
WAN se 3 porty X.35, V.21 nebo V.24.
Systémy DECT
Větší systém DECT Control Unit: Max. 128 mobilních stanic, max. 32 základen a 32 repeaterů.
Menší systém Compact DECT: Max. 8 mobilních stanic, 1 základna + max. 6 repeaterů.
Wi-Fi bezdrátové telefony
Existují dva typy telefonů - 3616 a 3626. Telefony se připojují k Access Pointu. Šifrování WEP (Wired Equivalent Privacy).
Aplikace pro IP Telefonii
Phone Manager Lite je součástí standardní výbavy.
Phone Manager Pro má navíc box pro voice mail, režim agenta CC, monitor 2 front čekajících hovorů, box ovládání externích spínačů (např. pro dveře), odlišné vyzvánění příchozích hovorů zvolených účastníků.
iPhone Manager Pro má stejnou funkcionalitu jako Phone Manager Pro, navíc však umožňuje přenos hlasu prostřednictvím zvukové karty (není třeba fyzický IP telefon).
Softconsole je pracoviště spojovatelky s rozšířenou funkcionalitou a ovládacími prvky.
TTS (text to speech)
Síťování - propojení po příčkových linkách - ISDN PRI nebo IP trunk.
Jednotný číslovací plán: Pro sítě do 16 serverů IP Office a 500 stanic.
Funkce síťování: LCR (Least Cost Routing), přepojení, přesměrování, zprávy v nepřítomnosti.
Funkce Q-Signalizace.
Aplikace pro managing systému
IP Office Manager: Programovací SW pro více uživatelů s nastavitelnými úrovněmi oprávnění.
Call Status: Sledování údajů o aktivních hovorech.
Monitor: Stedování stavu datových portů.
Call Loger: Záznam o hovorech (SMDR, CDR).
Funkce kontaktního centra
Compact Business Center (CBC):
Určen pro kontaktní centra do 15 operátorů.
Uchovává data 30 dnů.
Nejsou dostupné informace o jednotlivých operátorech, pouze souhrnná data.
Compact Contact Center (CCC):
Určen pro 5 až 75 operátorů v jedné lokalitě.
Monitoring v reálném čase.
Historické reporty.
PC Wallboardy.
Pevné Wallboardy.
Jsou dostupné informace o jednotlivých operátorech.
VoiceMail Pro:
Automatická spojovatelka.
Služba nahrávání hovorů.
Manažer kampaní.
Manažer zpracování příchozích volání.
Multi-Media Integration:
Integruje několik typů interakcí s hlasovými hovory:
- E-mailová fronta
- Web Chat fronta
- Žádost o zavolání zpět přes Web
Reporting v reálném čase i historické reporty o multimediálních interakcích.
CTI Link Lite - v základní ceně - TAPI třetí strany:
Screen-popping.
Obvolávání klientů.
Integrace s prodejními aplikacemi.
Kalkulace ceny hovorů.
CTI Link Pro - volitelná placená funkce - TAPI třetí strany:
Obvolávací kampaně.
Sofistikované směrování příchozích hovorů.
CRM integrace.
Cisco CallManager je softwarovou komponentou pro zpracování hovorů v rámci řešení firemní telefonie dodávaného společností Cisco.
Hlavní funkce a výhody:
Cisco CallManager verze 3.2 je přizpůsobitelné, rozložitelné a snadno dostupné řešení podnikové IP telefonie pro zpracování hovorů. Servery Cisco CallManager jsou sdruženy do clusteru a řízeny jako jeden celek. Sdružování do clusterů pomocí Cisco CallManager umožňuje přizpůsobení velikosti skupiny až na 10 000 uživatelů na jeden cluster. Vzájemným propojením clusterů může být kapacita systému zvýšena až na milion uživatelů v systému 100 pracovišť. Vytváření clusterů spojuje sílu více rozmístěných systémů CallManager a umožňuje rozšířit velikost a přístupnost serverů pro telefony, brány a aplikace. Trojnásobná redundance hovory zpracovávajících serverů zlepšuje celkovou dostupnost systému. Výhodou této rozmístěné architektury je zlepšená dostupnost systému a možnost nastavení jeho velikosti. Řízení příjmu hovorů zajišťuje zachování hlasové kvality služby (QoS) v zúžených spojeních WAN a automaticky přesměruje hovory do alternativních cest veřejné komutované telefonní sítě (PSTN), když není k dispozici šířka pásma WAN. Rozhraní ke konfigurační databázi, které je přístupné z internetového prohlížeče, umožňuje dálkovou konfiguraci zařízení a systému. Uživatelům a administrátorům je k dispozici on-line nápověda na bázi HTML.
Specifikace:
Platformy
? Media Convergence Server (MCS)
? Integrated Communications Server (ICS-7750)
? vybrané servery třetích stran
Software ve výbavě
? Cisco CallManager version 3.2 (aplikace pro zpracování a řízení hovorů)
? konfigurační databáze Cisco CallManager version 3.2 (obsahuje informace o konfiguraci systému a zařízení včetně plánu vytáčení (dial plan))
? software Cisco CallManager Administration
? Cisco Conference Bridge
? Cisco WebAttendant
? Bulk Administration Tool (BAT)
? CDR Analysis and Reporting (CAR) Tool
? Admin Serviceability Tool (AST)
Shrnutí uživatelských funkcí
? odblokování odpověď/odpověď
? automatická odpověď/intercom
? spojení hovoru
? pokrytí hovoru
? předání hovoru - všem (off-net/on-net)
? předání hovoru - obsazeno
? předání hovoru - bez odpovědi
? podržení hovoru/obnovení
? podržení/obnovení hovoru
? odložení/přijmutí hovoru
? přijmutí hovoru univerzální skupinou
? statut volání na jednotlivou linku (stav, trvání, číslo)
? identifikace volající linky (CLID)
? identifikace jména volajícího (CNID)
? přímé vnitřní vytáčení (DID)
? přímé vnější vytáčení (DOD) Cisco CallManager verze 3.2
? vytáčení z adresáře - firemního, osobního
? adresáře - seznam zmeškaných, přesunutých a přijatých hovorů uložených na vybraných IP telefonech
? různá vyzvánění na každý telefon
? ukončení poslední konference (ad-hoc konference)
? podpora rozšíření mobility
? hands-free, plně duplexní reproduktor/mikrofon
? přístup k HTML nápovědě přes telefon
? vytočení posledního volaného čísla
? konferenční hovory pro větší počet účastníků - s doplňkem ad-hoc
? více linek na telefon
? hudba při čekání na spojení
? možnost umlčet mikrofon telefonu i náhlavní soustavu
? vytáčení se zavěšeným sluchátkem
? průvodce operátor - rozhraní pro surfování po webu, notifikace
? nastavení smyčky, připojení/odpojení, obsazeno/volno, přístup z levé/pravé ruky, přístup z náhlavní soupravy, obsazovací žárovka, přímý výběr stanice, přenos hovoru, stav hovoru (stav, doba a číslo) soukromí
? QoS statistika v reálném čase prostřednictvím http prohlížeče
? seznam posledních volání - volání na telefon, volání z telefonu, automatické vytáčení a editace vytáčení
? jedno adresářové číslo, více telefonů - pospojované linky
? rychlé vytáčení - více rychlých vytáčení na jeden telefon
? ovládání hlasitosti stanice (audio, vyzvánění)
? přenos - s podržením na konzultaci
? uživatelem definované rychlé vytáčení a předávání hovoru přes přístup k webu
? přístup k webovým službám přes telefon
? podpora codec pro širokopásmové audio - vlastní 16bitové rozlišení, 16kHz samplovací rychlost
Shrnutí administrativních funkcí
? nalezení aplikace a registrace u SNMP manažera
? záznamy o detailech volání (CDR)
? doručení kódu při předání hovoru
? centralizovaná a replikovaná konfigurační databáze, distribuce spravujících uživatelů prostřednictvím webu
? konfigurovatelné a výchozí vyzváněcí soubory formátu WAV pro individuální telefony
? konfigurační databáze API
? notifikace o automatizované změně databáze
? možnost nakonfigurovat zobrazení času/data na jednotlivé telefony
? informace pro odstranění závad použitelná ve sdíleném souboru syslog
? přidávání zařízení prostřednictvím průvodce
? možnost stahování upgrade funkcí pro jednotlivá zařízení - telefony, zdroj pro hardwarové transkodéry, zdroj pro konferenční mosty, zdroje pro bránu VoIP
? skupiny a větší skupiny zařízení pro správu velkých systémů
? funkce IP bloku protokolu Dynamic Host Configuration
? (DHCP) - telefony a brány
? překládací tabulka vytáčených čísel (vnitřní/vnější překlad)
? služba identifikace vytáčeného čísla (DNIS)
? vylepšená služba 911
? rozhraní kompatibilní s H.323 pro H.323 klienty, brána gatekeepery
? rozhraní JTAPI 1.2 pro počítačové telefonování
? adresářové rozhraní LDAP verze 3 pro LDAP adresáře
- vybraných prodejců
- aktivní adresář
- Netscape Directory Server
? signalizace a kontrola MGCP pro vybrané brány VoIP
? podpora vlastních doplňkových zařízení pro brány Cisco H.323
? bezpapírový telefonní DNIS - displejové popisky kláves na telefonech
? SNMP statistika monitorování výkonu od aplikací po SNMP manažera či monitor výkonu operačního systému
? zaznamenaná statistika QoS na hovor
? přesměrování DNIS (RDNIS), vnitřní, vnější (na zařízení H.323)
? zvolení určitého telefonu, který má vyzvánět
? jeden CDR na cluster
? jedno ukazovací zařízení/konfigurace zařízení
? možnost utřídit seznam inventáře podle zařízení, uživatele nebo linky
? zprávy o systémových událostech - na sdílený syslog nebo dohlížitele na události v operačním systému
? rozhraní TAPI 2.1 pro počítačové telefonování
? možnost konfigurace časové zóny podle telefonu
? automatické přesuny telefonu bez nákladů
? možnost přidávat telefony bez nákladů
Základy IP telefonie
TCP/IP není jediným transportním protokolem, který lze využít pro multimediální přenosy. Podobnou službu poskytne Frame Relay nebo ATM. Na rozdíl od TCP/IP ale pracují na druhé (linkové vrstvě) OSI modelu, takže přenos multimédií vyžaduje jednotnou síť založenou pouze na Frame Relay nebo ATM. Běžné datové sítě jsou ale heterogenní, založené na různých linkových technologiích tak, aby byl optimalizován jejich výkon a pořizovací a provozní náklady. Proto se např. nikdy nerozšířily technologie přímého připojení stanic na ATM a používají se levnější technologie Ethernet. IP pracuje na třetí (síťové vrstvě), je proto nezávislý na linkovém protokolu a nabízí pro multimédia větší pružnost. Největší překážkou pro jeho multimediální využití byla kvalita služeb IP sítí, obecně podpora přenosů v reálném čase.
Standardizaze přenosu hlasu přes IP dospěla v současné době do stavu, kdy je k dispozici transportní protokol (RTP), řada kompresních algoritmů (např. G.729, G.723) a několik signalizačních protokolů (H.323, SIP, MGCP). SIPu je přisuzována asi největší budoucnost, protože má řadu vlastností, které H.323 chybí. Cílem H.323 je podobně jako v telefonním světě navázání spojení mezi dvěma telefonními čísly bez ohledu na to, kdo u daných stanic zrovna je. SIP se snaží o navázání komunikace mezi dvěma účastníky bez ohledu na to, u kterého telefonního terminálu zrovna jsou. U H.323 je tedy hlavním identifikátorem číslo, u SIP ekvivalent e-mailové adresy (ve které ale může být číslo zakomponováno). MGCP (nebo nově vyvíjený Megaco) se od obou předchozích liší v tom, že je ideální pro centrální řízení hjednoduchých koncových přístojů, kdy řídící servery mezi sebou dále komunikují prostřednictvím H.323 nebo SIP. Pro doplňování řídících serverů o nové funkce šité na míru zákazníka jsou nutná otevřená aplikační rozhraní jako je JTAPI nebo TAPI.
Aby byl tedy obrázek IP telefonie úplný je třeba na něm vidět jednak samotnou síťovou inrastrukturu s podporou kvality služeb, telefonní terminály a řídící servery s maximální podporou otevřených standardů a rozšiřující aplikace, které jsou díky integraci datové a hlasové sítě schopny přinést větší funkčnost při vynaložení menšího úsilí a investičních nebo provozních nákladů.
Požadavky na síť - kvalita služeb
Tradiční telefonní sítě využívají pro sdílení pásma časového multiplexu (TDM - time division multiplex) - každému přenosu je tak přidělena pevná šířka pásma a záleží na aplikaci, jak ji dokáže využít. Pásmo je garantováno pouze pro daný přenos, více lze získat pouze novou alokací pásma (tj. vytvořením dalšího přenosového kanálu). Pokud ale aplikace pásmo nevyužije, nemůže ho dočasně "půjčit" jiné aplikaci. Tento způsob práce s pásmem se hodí pro aplikace s konstantními nároky na pásmo a garanci zpoždění přenosu. Takovou aplikací je částečně hlas - požaduje nulové nebo alespoň maximální garantované zpoždění (pro běžnou telefonii se doporučuje maximálně 150 ms) a lze u něj určit maximální požadovanou šířku pásma, která je dána způsobem jeho digitalizace (např. běžně používaná PCM má vzorkování na 8 bitů frekvencí 8 kHz, takže celkové pásmo pro jeden hovor je 64 kb/s). Naproti tomu datové aplikace mají velice proměnlivé nároky na pásmo - např. www prohlížeč se po kliknutí na odkaz snaží co nejrychleji natáhnout stránku a pak nevyvíjí žádnou aktivitu, dokud si uživatel stránku nepřečte a neklikne na další odkaz. Datům proto lépe vyhovuje pružné sdílení pásma, jaké nabízí paketový přenos. Ten pracuje na principu statistického multiplexu - přenosovou jednotkou je paket s proměnnou nebo pevnou délkou a pakety jednotlivých přenosů jsou za sebou posílány přes společnou linku. Efektivnější je využití proměnné délky paketů, protože u paketů s pevnou délkou (jaké využívá ATM) se plýtvá pásmem na doplňování na odpovídající délku v případě, že je přenášený datový blok menší (běžně se tak ztrácí až 30% pásma). U paketů s pevnou délkou lze ale lépe garantovat zpoždění, protože nehrozí, že delší paket zpozdí průchod krátého paketu s vysokou prioritou. Zajištění kvality služby proto spočívá v dosažení kompromisu mezi efektivitou přenosu (tj. pružné využití pásma s minimální plýtváním na doplňující informace) a garancí požadovaných parametrů (minimální šířka pásma, minimální a maximální zpoždění, ztráty paketů).
Datové sítě byly původně navrženy pro tzv. "best effort" službu - mají nejlepší snahu přenést data nejkratší cestou od zdroje k cíli v nejkratší době a využít pro přenos maximum dostupného pásma. Protože ale nelze předvídat nároky ostatních aplikací, může docházet dlouhodobě i krátkodobě k přetížení sdílených linek. Na síťových prvcích typu směrovač je k dispozici klasifikace paketů a jejich prioritizace ve výstupních frontách. V případě TCP/IP lze pakety rozlišovat podle protokolu, zdrojové a cílové adresy, zdrojového a cílového portu a DSCP (dříve IP precedence). Lze tak dosáhnout velice podrobného rozlišení. Pro zpracování výstupních front byly vyvinuty technologie jako CBWFQ (Class-based Weighted Fair Queuing) nebo LLQ (Low Latency Queuing), které dávají možnost garantovat dané třídě provozu minimální pásmo nebo zpoždění při průchodu směrovačem. Pro snížení proměnného zpoždění vlivem různé délky paketů je k dispozici fragmentace a zpětné složení paketů na úrovni linkové vrstvy - na Frame Relay podle specifikace FRF.12, na sériových linkách MLPPP (Multilink PPP). Obě přinášejí podobný efekt jako ATM, protože zkracují maximální délku přenosové jednotky (rámce), takže dlouhé pakety nebrzdí krátké s vyšší prioritou (jsou rozděleny na menší díly a pakety s vyšší prioritou jsou prokládány mezi ně), ale na rozdíl od ATM mají minimální režii, protože rámce mohou mít proměnnou délku, takže odpadá doplňování na konstantní délku.
Pro LAN přepínače byly vyvinuty technologie pro označování a prioritizaci rámců, 802.1p. Celkově lze tedy dnes zajistit i na heterogenních sítích s kombinací různých rychlostí i linkových protokolů jak minimální šířku pásma, tak maximální zpoždění. Stále je přitom zachována větší efektivita a výkon paketových sítí. Moderní síťové prvky tedy poskytují podstatný základ pro realizaci multimediálních sítí.
Rozšiřující aplikace
Klasické nebo IP telefonní systémy se starají především o správu očíslovacího plánu, ovládání a konfigurace klientských terminálů a další funkce, které souvisí se základním provozem, tj. navázáním a ukončením hovoru, případně jeho přesměrováním nebo obsluhou konference. Pro ostatní funkce nabízejí více či méně otevřená rozhraní, přes která lze doplnit např. hlasovou poštu nebo ovládání telefonního terminálu z počítače. Na klasických ústřednách jsou tyto funkce realizovány pomocí rozšiřujících serverů, které jsou připojeny telefonním rozhraním. V případě IP telefonie je situace jednodušší, protože serveru stačí jeho běžné síťové rozhraní a dostupnost jeho služby je dána rozlohou celé sítě ne jen přípojkou na jednu ústřednu. Jaké rozšiřující služby lze tedy nabídnout?
integraci datové a hlasové pošty, tzv. unified messaging. Jedná se o to, že server hlasové pošty funguje jako brána mezi telefonním systémem a datovou poštou. Uživatel tak má jednu schránku, do které dostává textové i hlasové zprávy. K nim má přístup jak z počítače, tak přes telefon. Tyto systémy běžně zvládají i hlasovou syntézu, takže mu jsou schopny do telefonu přečíst i jeho textové zprávy (např. když nemá přístup k počítači). Naopak na multimediálních počítačích lze přehrát hlasové zprávy. V případě, že uživatel multimediální počítač nemá, lze použít jako přehrávací zařízení telefon a současně mít komfort ovládání e-mailové aplikace.
současnou komunikaci přes více médií. Sdílení aplikací nebo webových stránek a současnou hlasovou komunikaci. Lze tak realizovat např. interaktivní výuku nebo spolupráci na projektech na dálku.
interaktivní hlasové systémy (tzv. IVR - Interactive Voice Reponse). Systémy, které zajišťují generování automatických odpovědí volajícímu. Obvykle se používají v kontaktních centrech pro identifikaci volajícího a předběžné zjištění problému, který chce řešit. S rozvojem hlasové analýzy a syntézy a standarů jako je Voice XML (VXML) se lze ale dostat od tradičních předem nahraných zpráv s relativně malým rozsahem k plně interaktivním systémům ovládaných nejen z klávesnice telefonu, ale i lidským hlasem.
IP telefonie firmy Cisco Systems
Cisco se především pokusilo specifikovat celkový obrázek, kam patří nejen IP telefonie, ale i ostatní multimediální přenosy, jako jsou videokonference nebo distribuce videsignálu. Dále pak infrastruktura i rozšiřující aplikace. Celkově je koncept nazýván AVVID (Architecture for Voice Video and Integrated Data). Cisco se snaží ho svými řešeními (ať už se jedná o produkty nebo celkový návrh jejich konfigurace) vyplnit jako celek a jako důkaz otevřenosti a rozšiřitelnosti pracuje i na vytvoření ekosystému partnerů, kteří nabízejí různé hardwarové a hlavně softwarové doplňky nebo spolupráci na celkovém řešení.
Infrastuktura
Široká škála LAN přepínačů podporuje kvalitu služby podle IEEE 802.1p, k dispozici jsou i praktická rozšíření jako je in-line napájení telefonních terminálů pře Ethernet přípojku nebo automatická konfigurace VLAN na přípojce telefonního terminálu, takže je možné z důvodu bezpečnosti umístit telefonní i datovou síť nad společnou infrastrukturou do dvou virtuálních sítí s regulovanou vzájemnou komunikací. Podpora kvality služby ve směrovačích je především softwarovou záležitostí. Cisco IOS dnes nabízí úplnou škálu nástrojů pro klasifikaci a prioritizaci, fragmentaci na úrovni linkového protokolu (FRF.12 nebo MLPPP) a optimální práci s různými typy linkových protokolů.
Signalizační server
Základem Cisco IP telefonie je CallManager, aplikace běžící na PC serveru s Windows 2000. Jeden server dokáže obsloužit až 2500 IP telefonů, které můžou být umístěny v libovolném místě sítě. Celá síť je tak jednou virtuální telefonní ústřednou. CallManager funguje pouze jako signalizační server, samotný hovor je po síti spojen vždy nejkratší cestou přímo mezi koncovými systémy (dvěma telefony nebo telefonem a hlasovou branou). Lze tak centrálně řídit i mnoho malých lokalit propojených WAN sítí s malou kapacitou. Servery lze sdružit do clusteru, který pak slouží pro rozložení záteže a zálohování výpadku (telefony se automaticky přeregistrují na záložní server). Jeden cluster dokáže obsloužit až 10000 IP telefonů. CallManger je ovládán přes WWW rozhraní a stará se především o následující funkce:
konfigurace a správa IP telefonů - IP telefony jsou jednoduchá bezúdržbová zařízení, která veškeré konfigurační parametry získávají z CallManageru. Telefon lze z CallManageru ovládat až na úroveň výměny firmware nebo resetu přístroje.
správa očíslovacího plánu - pro tzv. least-cost routing je nutné mít systém pravidel, podle kterých je automaticky vybrána nejvhodnější brána do veřejné telefonní sítě případně odpovídající operátor. Kromě správy směrovacích pravidel jsou k dispozici i pravidla překladová, která umožňují manipulaci s číslem volajícího i volaného.
správa uživatelů - CallManager lze integrovat s LDAP adresářovými službami, takže není nutné vést dvě databáze uživatelů (jednu na telefonní ústředně a druhou na datové síti). Správa uživatelů pak spočívá především v definici oprávnění pro daný přístroj nebo přístroje a přidělení profilu pro extension mobility (login k telefonnímu terminálu).
účtování hovorů - konfigurační parametry i účtování je vedeno v SQL databázi, takže ho lze propojit s externími účtovacími systémy.
Integrace stávající a veřejné telefonní sítě
Pro nasazení IP telefonie je důležitá postupná migrace ze stávajícího telefonního systému, protože málokdy se nasazuje v novém prostředí bez telefonní ústředny. Podobným problémem je připojení na veřejnou telefonní síť. Pro obě funkce slouží hlasové brány, které jsou k dispozici buď ve formě samostatných zařízení nebo modulů do směrovačů. Stávající síťové prvky Cisco tak lze použít i pro hlasové služby. V síti s centrálním CallManagerem lze umístit více bran po různých lokalitách a každou využít pro volání do příslušné oblasti pro všechny telefonní účastníky v síti. Rozhraní jsou jak analogová (brány lze použít i např. pro připojení faxů), tak digitální(BRI i PRI). Podporovány jsou běžné signalizační protokoly (EuroISDN, R2 CAS, Q.sig).
IP telefony
Jedná se vlastně o jednoúčelové počítače se vzhledem telefonu. Součásti je integrovaný Ethernet přepínač, takže lze telefon zapojt do stávající sítě mezi počítač a LAN přepínač. Podporuje VLAN podle 802.1q, takže počítačová a telefonní síť mohou být od sebe z bezpečnostních důvodů částečně odděleny. Uživatel tak má jedinou přípojku a není nutné zvyšovat kapacitu LAN. Telefon lze přes Ethernet napájet centrálně např. ze záložního zdroje. Telefony s grafickým displayem mají v sobě XML prohlížeč. Ten lze využít pro zobrazování krátkých dokumentů nebo jednoduché grafiky, hlavně ale pro doplňující funkce, které tradiční telefony nenabízejí. Jedná se např. o:
extension mobility - možnost přihlášení se k přístroji a získání odpovídající linky, oprávnění k volání a dalších parametrů. Linka tak může cestovat po síti s uživatelem do jakékoli lokality bez nutnosti centrální změny parametrů přístroje.
telefonní seznam - nejen interní seznam firmy, ale i externí seznamy, které jsou k dispozici na Internetu. V ČR tak mohou mít uživatelé k dispozici kompletní telefonní seznam osob a organizací, který nabízí Český Telecom prostřednictvím stránek IOL.
integrace s intranet aplikacemi - pokud jsou založeny na www službách, IP telefon je pouze speciálním typem www prohlížeče.
Rozšiřující aplikace
Aplikační doplňky jsou součástí, která dává Cisco IP telefonii řadu unikátních funkcí. Jedná se o:
Unity - unified messaging systém integrovatelný s MS Exchange nebo Lotus Notes.
CRA (Customer Response Applications) - IVR systém podporující kromě hlasové komunikace i XML, WWW a e-mail. Kromě IVR služeb se tak hodí i do situací, kdy je nutné prezentovat informace s centrální aplikace různými kanály ale pokud možno jednotným způsobem.
Personal Assistant - systém umožňující uživatelům definovat si vlastní pravidla pro zpracování příchozích hovorů. Rozhodujícími kritérii jsou čas, identifikace volajícího a aktuální stav kalendáře volaného (v MS Outlooku). Výsledkem pak může být přesměrování na jiné číslo nebo do hlasové schránky.
Conference Connection - systém umožňující přes WWW rozhraní plánovat konferenční hovory. Uživatel pak volá kvůli konferenci vždy pouze na jedno číslo, navíc potřebuje její identifikátor. K dispozici je integrace s XML rozhraním na telefonu, takže se uživatel např. může podívat, kdy má které konference plánovány a stisknutím jednoho tlačítka se do vybrané přihlásit.
IPCC - sada aplikací pro vytváření kontaktních center.
Architektura a redundance
Zastánci tradiční telefonie vyčítají často IP telefonii nižší robustnost a spolehlivost, podíváme se proto blíže, jak ji lze zajistit na úrovni odpovídající nebo i překonávající tradiční telefonní ústředny. Síťové prvky jsou konstruovány pro nepřetržitý provoz, stejně je na tom kvalitní PC hardware. Spolehlivost proto spočívá především v architektuře řešení. CallManager lze zapojit do clusteru až o pěti serverech, které jsou schopny se vzájemně zálohovat. V případě výpadku kteréhokoli z nich přecházejí telefony, které obluhoval automaticky na další server v clusteru, existující hovory nejsou přerušeny, protože jsou vedeny přímo mezi IP telefony. Odpovídá to konfiguraci ústředny s pěti procesorovými moduly. Samotnou síť lze vybudovat se zdvojenými (nebo zvícenásobenými) prvky, což se vyplatí zejména u LAN. Technologie dnešních sítí zajišťují přechod na záložní infrastrukturu v jednotkách sekund, takže se to na existujících hovorech projeví jen málo znatelným výpadkem. Podobně jsou na tom WAN sítě, ačkoli tam se obvykle nevyplatí budovat záložní infrastrukturu. Rozhodně je ale ekonomičtější vybudovat jednu zálohovanou síť sdílenou pro data i telefony než stavět dvě oddělené sítě. CallManager je pro telefony signalizačním serverem, ztráta spojení s ním proto znamená, že nelze navázat nový hovor. Pro řešení s centrálním CallManagerem je proto jako doplněk do IOSu směrovačů vlastnost SRST (Survivable Remote Site Telephony). V případě výpadku WAN přebírá směrovač funkci CallManageru a jestliže funguje i jako hlasová brána, uživatelé mohou telefonovat bez toho, že by si všimli, že došlo k výpadku.
IP telefonie je dnes prověřenou technologií, která nabízí srovnatelnou a často i lepší funkčnost a spolehlivost než tradiční telefonní systémy. Cisco AVVID nabízí otevřenou architekturu, která řeší problematiku přenosu hlasu od infrastruktury po aplikace a díky otevřeným rozhraním a protokolům dává možnost integrace s aplikacemi dalších výrobců nebo úpravy funkcí podle potřeb zákazníků.
Rozšiřující aplikace pro IP Telefonii
Samotné telefonní systémy (ať už tradiční nebo IP) se starají především o správu číselného plánu, ovládání a konfigurace klientských terminálů a o další funkce, které souvisí se základním provozem, tj. navázáním a ukončením hovoru, případně jeho přesměrováním nebo obsluhou konference. Pro ostatní funkce nabízejí více či méně otevřená rozhraní, přes která lze doplnit např. hlasovou poštu nebo ovládání telefonního terminálu z počítače. Na klasických ústřednách jsou tyto funkce realizovány pomocí rozšiřujících serverů, které jsou připojeny telefonním rozhraním. V případě IP telefonie je situace jednodušší, protože serveru stačí jeho běžné síťové rozhraní a dostupnost jeho služby je dána rozlohou celé sítě, a ne jen přípojkou na jednu ústřednu. Jaké rozšiřující služby lze tedy nabídnout?
XML aplikace pro telefony
IP telefon je v podstatě jednoúčelový počítač a na rozdíl od telefonu tradičního nabízí funkce, na které jsme dnes zvyklí u počítače připojeného na Internet. Součástí operačního systému telefonu je web browser, který dokáže zobrazit dokumenty ve formátu XML. Uživatel tak má možnost vyhledávat a přímo vytáčet čísla z telefonního seznamu, který je dostupný na firemním Intranetu nebo kdekoli na Internetu, přihlásit se ke kterémukoli telefonu, takže je stále dosažitelný na stejném čísle, pracovat se svým kalendářem a e-mailem apod. Vytváření XML aplikací je stejné, jako u běžného webu a hlavními výhodami tak jsou jednoduchost a možnost sdílení přes Internet.
Integraci datové a hlasové pošty, tzv. unified messaging
Jedná se o to, že server hlasové pošty funguje jako brána mezi telefonním systémem a datovou poštou. Uživatel tak má jednu schránku, do které dostává textové i hlasové zprávy. K nim má přístup jak z počítače, tak přes telefon. Tyto systémy běžně zvládají i hlasovou syntézu, takže mu jsou schopny do telefonu přečíst i jeho textové zprávy (např. když nemá přístup k počítači). Naopak na multimediálních počítačích lze přehrát hlasové zprávy. V případě, že uživatel multimediální počítač nemá, lze použít jako přehrávací zařízení telefon a současně mít komfort ovládání e-mailové aplikace.
Interaktivní hlasové systémy (IVR - Interactive Voice Reponse)
Systémy, které zajišťují generování automatických odpovědí volajícímu. Obvykle se používají v kontaktních centrech pro identifikaci volajícího a předběžné zjištění problému, který chce řešit. S rozvojem hlasové analýzy, syntézy a standardů jako je Voice XML (VXML) se lze ale dostat od tradičních předem nahraných zpráv s relativně malým rozsahem k plně interaktivním systémům ovládaných nejen z klávesnice telefonu, ale i lidským hlasem.
Kontaktní centra
Snadná možnost vytvořit jak klasické call-centrum, tj. telefonní systém s inteligentní distribucí příchozích nebo odchozích hovorů na operátory, tak ho i rozšířit a virtualizovat, tj. propojit více lokalit do jednoho systému nebo nad jedním takovým systémem vytvořit více samostatných call-center pro různé zákazníky (např. pro krátkodobé kampaně nebo pro sdílení operátorů mezi zákazníky). Kromě toho nabízí call-centrum v pojetí IP telefonie současnou komunikaci přes více médií, tj. sdílení aplikací nebo webových stránek a současnou hlasovou komunikaci. Lze tak realizovat např. interaktivní výuku nebo spolupráci na projektech na dálku. Pro takový systém se již nehodí název "call centrum", ale multimediální "kontaktní centrum".
Network infrastructure
Aby bylo možné na vysoké úrovni poskytovat služby a implementace v IT prostředí, klade naše společnost velký důraz na globální přístup k zákaznickým systémům. Z tohoto důvodu se profiluje na trhu informačních technologiií i jako inženýrsko-dodavatelská a montážní firma, která má k dispozici pracovníky s mnohaletými a bohatými zkušenostmi s řízením náročných projektů. Budujeme technické infrastruktury s profesionálním dohledem a uplatněním nejmodernějších a zároveň osvědčených technologií.
Jedná se především o:
Strukturované kabelážní systémy - metalické i optické, bezdrátové komunikace, aktivní prvky LAN, WAN a MAN, prvky WDM a DWDM, multiplexory, konvertory médií, rychlostí apod. Dodáváme také slaboproudé technologie STA, EZS, EPS, BIS KV, CCTV, IP EZS, revize EPS, rozvody nn 230/400V - standardní elektromontážní práce včetně revizí.
Produkty RSA - EMC pomáhají organizacím chránit privátní informace a spravovat identitu lidí, zařízení nebo aplikací při přistupu k těmto informacím nebo při jejich vzájemné výměně..
RSA - EMC
. RSA - EMC je expertem v ochraně online identit a digitálního vlastnictví. Je tvůrcem
hlavních bezpečnostních technologií pro Internet, průkopníkem v oblasti silné
autentizace a šifrování, a přináší bezpečnostní záruky milionům uživatelských
identit a transakcím, které provádějí. Silná reputace RSA Security je založená na
dvacetileté historii inovativnosti, vedoucím postavení na trhu a osvědčených technologiích.
RSA Security dodává svá řešení přibližně 21 000 zákazníků po
celém světě a spolupracuje s více než tisícovkou technologických partnerů a
integrátorů.
RSA SecurID Authentication
RSA SecurID dvoufaktorová autentizace je založena na něčem, co znáte
(heslo nebo PIN) a něčem, co máte (autentizační předmět) - což poskytuje
mnohem spolehlivější úroveň uživatelské autentizace než pouhá hesla.
RSAR SecurID Appliance
Integrované zařízení pro dvoufaktorovou autentizaci
Zařízení RSA SecurID Appliance v kombinaci s autentizátory RSA SecurID provádí tzv. dvoufaktorové
ověřování identity uživatelů: než je uživateli povolen přístup k cenným síťovým zdrojům, musí
předložit PIN (něco, co ví) a kód z autentizátoru (něco, co má). Každému uživateli je přidělen jedinečný
autentizátor RSA SecurID (tzv. token), který generuje každých 60 vteřin nový nepředvídatelný
kód. Zařízení RSA SecurID Appliance ověří PIN a kód z autentizačního tokenu, potvrdí identitu
uživatele a tím zásadně omezí zranitelnost systému spojenou se snadno zneužitelnými hesly.
Základem zařízení RSA SecurID Appliance je operační systém Microsoft Windows R 2003 upravený
zvlášť pro tento účel, který omezuje zranitelnost vstupních bodů pomocí řady vestavěných funkcí
jako je firewall, blokování nepotřebných komponent a služeb, posílený TCP stack a omezené volby
pro sdílení skupin/uživatelů.
B E Z P E Č N O S T
Zařízení RSA SecurID Appliance je navrženo tak, aby jej zákazník byl schopen uvést do plného
provozu během pouhých 15 minut. Prvotní nastavení se provádí přes webové grafické uživatelské
rozhraní, kde administrátor v rámci série pokynů nastaví datum a čas, heslo administrátora,
nakonfiguruje hostitelské jméno a IP adresu zařízení, nainstaluje licenci, naimportuje záznamy
tokenů, přidělí token administrátora a otestuje a aktivuje autentizaci.
S N A D N Á I N S TA L A C E A Ú D R Ž B A
Přední světová technologie pro dvoufaktorovou autentizaci RSA SecurIDR je nyní dostupná
ve formě integrovaného zařízení, které obsahuje veškerý potřebný hardware i software
a lze jej umístit do racku. Technologii RSA SecurID využívají tisíce společností a miliony
uživatelů při ochraně přístupu do sítí VPN na bázi IPSec nebo SSL, do bezdrátových sítí, operačních
prostředí Microsoft WindowsR a UNIX, webových serverů, firemních a jiných
aplikací. Produkt RSA SecurID Appliance je určený pro malé a střední podniky: součástí dodávky
zařízení jsou autentizační tokeny a licence pro 10, 25, 50, 100, 150 nebo 250 uživatelů.
Na zařízení je předinstalován autentizační software RSA R Authentication Manager,
který získal řadu prestižních ocenění.
Přehled přínosů
. Špičková bezpečnost
v kompaktním
dostupném provedení.
. Nižší celkové náklady
na vlastnictví (TCO)
- snadná instalace,
snadná údržba.
. Flexibilita - schopnost
spolupracovat
s produkty předních
výrobců síťových
technologií jako je Cisco,
Juniper, Microsoft, Citrix
a další.
. Výkonné řešení, které
podporuje soulad se
zákonnými normami
v oblasti ochrany dat.
Součástí produktu je i webové správní rozhraní určené pro vykonávání
běžných administračních funkcí jako je přidávání nebo
odstraňování uživatelů. K dalším běžným úlohám, které lze
provádět přes webové rozhraní, patří přiřazování tokenů, instalování
a konfigurace agentů, prohlížení monitoru aktivit,
zobrazení informací o systému nebo zadávání umístění záložních
souborů.
Rozhraní pro nastavení konfigurace a webovou správu pomáhá
redukovat náklady na uvedení zařízení do provozu i jeho
průběžnou správu a přispívá k výraznému snížení celkových
nákladů na vlastnictví systému (TCO).
F L E X I B I L I TA - N AV R Ž E N O A O T E S T O VÁNO
P R O S P O L U P R Á C I S V Í C E N E Ž 3 0 0
P R O D U K T Y J I N Ý C H D O D AVAT E L Ů
Zařízení RSA SecurID je schopno spolupracovat s většinou
významných produktů síťové infrastruktury a operačních
systémů na trhu - včetně více než 300 produktů od více než
200 výrobců - což poskytuje organizacím maximální flexibilitu
a ochranu jejich investic.
Prostřednictvím programu pro strategické partnery RSA
SecuredR a certifikace RSA SecurID ReadyC integrují přední
světoví dodavatelé v oblasti vzdáleného přístupu, sítí VPN na
bázi IPSec a SSL, bezdrátových sítí, webových serverů a firemních
aplikací do svých produktů kompatibilitu s technologií
RSA SecurID. Takto již byly otestovány a certifikovány produkty
od předních společností na trhu síťových produktů jako je
Cisco, Juniper, Microsoft, Citrix a další, takže řešení může fungovat
prakticky v jakémkoliv prostředí. Pro zvláštní případy je
k dispozici speciální rozhraní API, pomocí kterého mohou administrátoři
vytvořit vlastní autentizační agenty.
V Ý K O N N É Ř E Š E N Í P R O Z A J I Š T Ě N Í S O U L A D U
S L E G I S L AT I V O U
Zařízení RSA SecurID Appliance protokoluje veškeré administrátorské
zásahy i autentizační aktivity uživatelů a poskytuje
rozsáhlé vykazovací funkce, které pomáhají organizacím při
zajištění souladu se zákonnými normami v oblasti ochrany
dat. Obsahuje šablony výkazů, které lze snadno přizpůsobit
administračním potřebám, např. přehledy aktivit, výjimek, incidentů
nebo použití.
K O M P O N E N T Y Ř E Š E N Í
Produkt RSA SecurID Appliance lze objednávat
v konfiguraci pro 10, 25, 50, 100, 150 nebo
250 uživatelů, přičemž součástí dodávky
je:
. Vlastní zařízení RSA SecurID Appliance se
zabudovaným jednoúčelovým softwarem
Microsoft WindowsR Server 2003
a autentizačním softwarem RSAR
Authentication Manager Base Edition.
. Autentizační tokeny RSA SecurID SID700
(10, 25, 50, 100, 150 nebo 250 kusů).
. Licence softwaru RSA Authentication
Manager Base Edition.
. Jednoletá smlouva na údržbu softwaru
a hardwaru, včetně výměny produktu
v případě poruchy (AHR).
RSAR Authentication Deployment Manager
Webové řešení pro rychlou implementaci
systému RSA SecurIDR
Systém RSA Authentication Deployment Manager urychluje distribuci hardwarových a softwarových
tokenů mezi koncové uživatele. Pokud tento systém není k dispozici, musí úkoly jako je identifikace
oprávněných uživatelů, přidělování ověřovacích prostředků každému uživateli a zadávání
uživatelských údajů do autentizační databáze produktu RSA Authentication Manager provádět
centrálně bezpečnostní administrátoři, to vše před vlastní distribucí ověřovacích prostředků. Řešení
RSA Authentication Deployment Manager bylo vytvořeno s cílem automatizovat administrativní
úkony související s vydáváním hardwarových a softwarových tokenů RSA SecurID - a tím umožnit
rychlou a nákladově efektivní implementaci řešení RSA SecurID.
RY C H L Á I M P L E M E N TA C E R S A S E C U R I D
Ať z důvodu podnikové bezpečnostní politiky nebo důsledkem obyčejné zapomnětlivosti - uživatelé
občas potřebují změnit svůj PIN. Funkce pro samoobslužnou změnu PIN umožňuje uživatelům
zvolit si nový PIN bez toho, že by museli podávat žádost na příslušný helpdesk. Pokud si uživatel svůj
PIN pamatuje, pak stačí, když se přihlásí do produktu RSA Authentication Deployment Manager pomocí
svého přístupového kódu RSA SecurID (passcode) a pak zadá nový PIN. Pokud uživatel svůj PIN
zapomněl, může si také zvolit nový PIN, ale nejdříve musí prokázat produktu RSA Authentication
Manager svoji identitu zodpovězením série otázek, které definuje administrátor. Jakmile se takto
uživatel autentizuje, může svůj PIN změnit. Celý proces změny PIN tak probíhá bez zásahu ze strany
administrátorů, což jednak významně snižuje náklady na provoz helpdesku a také to zlepšuje
produktivitu a spokojenost koncových uživatelů.
S A M O O B S L U Ž N Á Z M Ě N A P I N U Ž I VAT E L Ů
RSA Authentication Deployment Manager také usnadňuje výměnu prošlých hardwarových tokenů.
Jakmile uživatel zjistí, že u jeho tokenu brzy vyprší platnost, autentizuje se pomocí tokenu
do produktu RSA Authentication Deployment Manager a zažádá si o náhradu tokenu. Pak se již
použije existující procedura v RSA Authentication Deployment Manager pro schválení žádosti
a distribuci nového tokenu.
N Á H R A D Y P R O Š LÝ C H H A R D WA R O V Ý C H T O K E N Ů
Pomocí produktu RSAR Authentication Deployment Manager lze snížit náklady na implementaci
a průběžnou administraci řešení RSA SecurIDR, neboť koncovým uživatelům poskytuje
samoobslužnou platformu, kde mohou podávat žádosti, iniciovat přidělení a aktivovat
ověřovací prostředky RSA SecurIDR. Systém automatizuje celý proces implementace
ověřovacích prostředků - žádosti uživatelů o ověřovací prostředky, jejich schvalování,
zadávání uživatelských dat do řídícího produktu RSAR Authentication manager a konečně
přidělování hardwarových nebo softwarových tokenů uživatelům a jejich aktivaci. Produkt
RSA Authentication Deployment Manager je flexibilní a škálovatelný, takže se výborně hodí
jak do prostředí velkých organizací, tak pro implementace elektronického podnikání.
Přínosy řešení
. Systém pro rychlou
a levnou implementaci
hardwarových
a softwarových tokenů
RSA SecurID.
. Uživatelský
samoobslužný systém
snižuje průběžné
administrativní náklady.
. Flexibilita
- implementaci
a uživatelské
samoobslužné služby
lze přizpůsobit podle
obchodních potřeb.
. Robustnost
a škálovatelnost -
systém vyhovuje
potřebám malých
i velkých zákaznických
implementací.
F L E X I B I L N Í , K O M PAT I B I L N Í
A P Ř I Z P Ů S O B I T E L N Ý
Produkt RSA Authentication Deployment Manager lze přizpůsobit
tak, aby vyhovoval bezpečnostním a obchodním požadavkům
podniku. Obrazovky uživatelského rozhraní jsou
založeny na HTML a lze do nich doplnit specifickou firemní
grafiku či terminologii.
K dispozici je také výkonná sada vestavěných programovacích
rozhraní API, pomocí kterých lze provést integraci s existujícími
daty a procesy. API v produktu RSA Authentication
Deployment Manager umožňují verifikaci uživatelských dat;
např. předtím, než se schválí koncový uživatel nebo než se
uživatel autentizuje při změně PIN, lze heslo uživatele zkontrolovat
proti externímu adresáři LDAP. Požadovaná data,
např. informace o adrese uživatele, pak lze naimportovat
do pracovních procesů v produktu RSA Authentication
Deployment Manager. Tato API můžete také použít pro plnou
automatizaci funkcí správy a distribuce, aby se dále zefektivnil
proces implementace tokenů.
VYDÁVÁ N Í O V Ě Ř O VA C Í C H P R O S T Ř E D K Ů
R S A S E C U R I D K D Y K O L I V A K D E K O L I V
Software RSA Authentication Deployment Manager je škálovatelný
a je dostupný nepřetržitě, takže zlepšuje produktivitu
koncových uživatelů a současně zásadně redukuje dobu
implementace, náklady na implementaci i administrativní
zátěž. Přitom není nutno dělat žádné ústupky v oblasti
bezpečnosti při schvalování ověřovacích prostředků nebo
v systému jejich distribuce.
Produkt RSA Authentication Deployment Manager je k dispozici
buď zdarma jako doplněk licence RSA Authentication
Manager Enterprise Edition, nebo lze zakoupit jako samostatný
produkt pro použití s licencí RSA Authentication Manager
Base Edition.
RSA, RSA Security, Confidence Inspired a SecurID jsou registrované ochranné známky nebo obchodní značky společnosti RSA Security Inc. ve Spojených státech
a/nebo jiných zemích. Všechny ostatní ochranné známky zde uvedené jsou majetkem svých příslušných vlastníků.
C 2004 RSA Security Inc. Všechna práva vyhrazena.
RSA Security Inc.
www.rsasecurity.com
Autorizovaný distributor produktů
RSA Security
1 Koncový uživatel podává
žádost o token.
2 Manažer schvaluje žádost.
3a Uživatelské informace jsou
přidány do záznamů
softwaru RSA
Authentication Manager.
3b Distributorovi je zasláno
oznámení.
4a Distributor zasílá uživateli
schvalovací kód.
4b Vydání tokenu.
5 Koncový uživatel posílá
sériové číslo tokenu se
schvalovacím kódem.
6 Aktivace tokenu.
7 První autentizace (nový PIN)
Průvodce bezpečnostními technologiemi
Základy pro IT profesionály
ÚVOD
Bezpečnost informací se stala jedním z nejdůležitějších segmentů počítačového průmyslu.
Organizace po celém světě se přizpůsobují novým přístupům založeným na Internetu, aby posílily
možnosti své komunikace, zvýšily spokojenost zákazníků a zredukovaly náklady.
Bezpečnost je důležitý prvek, který umožňuje nové postupy v komerčním využití. Technologie
jako firewally, spojení VPN, enkrypce spojení, digitální certifikáty a další se stávají významnými
potřebami v počítačovém prostředí. Každá z nich nabízí svými vlastními prostředky důležité
stavební kameny pro společnosti, které mají zájem o rozvinutí elektronického obchodování.
Vzhledem k tomu, že neexistuje jednoduchý a přímočarý způsob k dosažení bezpečnosti, neexistuje
ani jedinečné řešení, které by vyřešilo veškeré bezpečností problémy. Kromě toho
technologie a protokoly, které jsou základem bezpečnostních přístupů, mohou být abstraktní,
komplikované a obtížné na pochopení. A vypadá to, že každý den se objeví nový protokol,
technologie nebo strategická aliance, která usiluje o snížení komplikovanosti bezpečnostního
řešení.
Z toho vyplývá, že síťoví manažeři a profesionálové IT se musí sami rozhodnout, který z bezpečnostních
mechanismů znamená nejnižší reálné riziko pro jejich organizace. Tento
"Průvodce bezpečnostními technologiemi" byl napsán jako učebnice pro začátečníky tak, aby
se složité pojmy z této oblasti staly lépe srozumitelnými a tudíž i snadněji aplikovatelnými při
obchodních aktivitách.
Tento průvodce poskytuje informace o:
1) hlavních hrozbách bezpečnosti informací
2) klíčových konceptech, které tvoří základ bezpečnosti informací
3) předních implementacích bezpečnostních technologií
4) příslušných průmyslových standardech
Tyto informace by měly bezpečnostním manažerům a profesionálům IT usnadnit rozhodování
mezi možnostmi bezpečnostních řešení a rovněž by měly umožnit lepší orientaci v neustále
se vyvíjející oblasti bezpečnostních technologií.
BEZPEČNOST INFORMACÍ: ZHODNOCENÍ RIZIK
Význam otázky bezpečnosti informací v posledních letech vzrostl zejména v souvislosti s rozšířením
komerčního využití Internetu. V této kapitole se zabýváme fenoménem hackingu
a počítačové kriminality: Do jaké míry jsou rozšířeny? Jaké faktory jsou za jejich růstem? Co
a jak vlastně hackeři provádějí? A jaké jsou reálné hrozby pro organizace a jejich počítačové
systémy?
Statistiky informační kriminality
Počínaje rokem 1996 FBI (Federal Bureau of Investigation) a CSI (Computer Security Institute)
ročně společně konzultují trendy počítačové kriminality s bezpečnostními manažery mnoha
korporací, státních agentur, finančních institucí a univerzit. Některé z klíčových poznatků z tohoto
přehledu z roku 1999 obsahují následující informace:
> Většina dotázaných organizací byla vystavena počítačové kriminalitě. 62% respondentů
připustilo, že se staly obětí bezpečnostního průlomu v uplynulých 12-ti měsících.
Vzhledem k tomu, že mnoho (ne-li většina) nežádoucích průniků zůstala nedetekována,
je zřejmé, že otázka bezpečnostních průniků by měla být předmětem pozornosti
každé organizace.
> Škody počítačové kriminality jsou značné. Ne všechny organizace postižené bezpečnostním
průlomem byly schopny kvantifikovat své ztráty. Nicméně škody, které byly vyčísleny,
přesáhly $100 000 000. Evidentně výsledkem krádeže soukromých informací jsou
finanční ztráty.
> Vnitřní i vnější útoky mají vzrůstající tendenci. Neautorizované přístupy způsobené neukázněnými,
resp. zlomyslnými zaměstnanci zůstávají jednou z hlavních hrozeb. V přehledu
z roku 1999 byly zaznamenány 55-ti procenty respondentů. Penetrace do sytému
z vnějšího prostředí rovněž vzrůstá a byla zaznamenána 30% respondentů.
The 1999 CSI/FBI Computer Crime and Security Survey
Ale problém informační bezpečnosti není omezena na Spojené státy. Vlastně řada případů byla
označena průzkumem CSI/FBI mimo Spojené státy. Rychlý přehled tiskových zpráv ukazuje,
že bezpečnost informací je problémem pro organizace na celém světě - v Japonsku, Číně,
Indii, v Rusku, Evropě a Latinské Americe. Jednoduše řečeno: s nárůstem využití počítačů
ve společnosti narůstá i riziko informační kriminality.
Důvody nárůstu počítačové a informační kriminality
Všechny strany zúčastněné v otázkách bezpečnosti informací souhlasí s tím, že hrozba počítačové
kriminality narostla do rozměrů větších než kdykoliv dříve. Vyplývá to z některých
trendů vývoje technologie, které tuto skutečnost bezprostředně podporují. Vzhledem k tomu,
že tyto trendy v blízké budoucnosti budou organizace velmi pravděpodobně následovat,
bude logicky i narůstat nebezpečí hrozeb bezpečnosti. Trendy podporující nárůst počítačové
kriminality jsou:
> Distribuovaná architektura. Migrace počítačů z centrálních data-center minulosti do
dnešních distribuovaných sítí desktopových systémů významně komplikuje otázku bezpečnosti.
Metaforicky řečeno: je snadnější střežit budovu banky než ohlídat každý dům
ve městě.
> Mobilní počítače. Přístupy z domova a ze služebních cest se stávají stále běžnějšími. To
znamená mnohonásobně častější otevření sítí než kdykoliv dříve, takže další příležitost
pro hackery.
> Využití Internetu k obchodní komunikaci. Zatímco před několika lety byl přístup
k Internetu pouze pro úzkou elitu lidí, je dnes stále významnějším médiem využívaným
v počítačové komunikaci. S vývojem této komunikace hledáme nové formy - od jednosměrné
výměny k transakcím. Bezpečnostních problémů, které souvisí s Internetem,
je mnoho:
Jednotné spojovací médium - svým způsobem Internet spojuje všechny připojené počítače do
jedné sítě. Tato obrovská výhoda všech hackerů umožňuje "vstupní rampu" přes Internet
prakticky do jakékoliv sítě nebo společnosti.
Veřejný prostor - druhou kritickou skutečností Internetového života je, že je to inherentně
veřejná síť - konglomerace stovek tisíců serverových spojení, řízených desítkami tisíc jedinců
nebo organizací, které používají desítky milionů lidí na celém světě. Dosud fungují bez inherentního
bezpečnostního protokolu. Proto jsou tak důležité technologie jako enkrypce založená
na browseru a VPN, které mají ochránit soukromí dat pohybujících se přes toto nechráněné
prostředí.
Světový klub - každý má dnes možnost přístupu na tisíce hackerských stránek a k řadě
hackerských novinek, trikům, tipům a nástrojům. Možnost anonymity umožňuje tyto interakce
také zvědavým adolescentům z pohodlí jejich obývacích pokojů. Internet srazil všechny
bariéry vstupu novým členům do této komunity. Přestože by bylo chybné označit Internet
jako primární příčinu informační kriminality, je zřejmé, že dramaticky zvýšil problémy, které
musí řešit bezpečnostní manažeři.
> Lepší hackerské nástroje. Skutečnost, že Internet je účinný nástroj na doručení informací,
je pouze část problému. Hackerské softwarové nástroje se neustále zdokonalují.
Už rychlé nahlédnutí na hackerské stránky nám ukazují mnohé verze 3,4 a vyšší - často
revidované, aby byly rychlejší a jednodušší, překonávají známé výhody bezpečnostních
parametrů. Stránky často nabízejí datasheety, FAQ a uživatelské profily. V důsledku toho
v dnešní době může někdo, kdo má daleko menší technické znalosti a menší motivaci,
udělat více škody než dříve.
> Rozšířená počítačová vzdělanost. Dokud byly mainframy jediné dostupné počítače, existovala
pouze úzká skupina lidí, která mohla ohrozit bezpečnost informací. Dnešní situace
je úplně odlišná, protože použití počítačů a počítačových zařízení se stalo samozřejmou
součástí každodenního života. Dnes má každý možnost získat zkušenosti
postačující k realizaci bezpečnostní hrozby.
Hackerské nástroje a triky: S čím se potýkáme
V podstatě mají hackeři 4 druhy motivace: Výzvu, touhu ukázat, že "na to mám", podobně
jako u puzzle - vyzrát na nějaký bezpečnostní systém; Profesní záliba - touha obejít chyby
a nedostatky softwarového systému; Zlomyslnost, touhu způsobit určitý druh problémů určité
osobě nebo organizaci, a konečně; Krádež - odcizení fondů nebo informací. Poslední dvě
motivace provázejí skutečný elektronický terorismus. Zatímco motivací může být několik,
technik a způsobů hackerů je bezpočet:
> Sociální inženýrství: Slušný název "umění obalamutit". Jsou to triky, pomocí kterých získáte
hesla nebo jiné privátní informace. Typický způsob je, že někdo telefonuje zaměstnanci
a představí se jako systémový administrátor nebo kolega, který urgentně potřebuje
informace od zaměstnance, aby mohl vyřešit nějaký problém v systému.
Zaměstnanci jsou zvyklí sdílet některé takové soukromé informace, které jsou považovány
za důvěrné, s některými kolegy nebo například novými zaměstnanci, aby se
urychlila komunikace a spolupráce. Toto je nejjednodušší a nejběžnější technika
k získání hesel a přístupů do sítě.
> Cracknutí hesla. Prolomení ochrany hesla je jednodušší, než si většina lidí myslí. Většina
lidí vůbec heslo nepoužívá, další velká většina používá slovo "tajemství" anebo slovo
"heslo" samotné. Rovněž běžná jsou jména dětí, sportovních týmů a datumy jako jsou
narozeniny a výročí. Protože by bylo velmi namáhavé zkoušet všechny zmíněné možnosti
manuálně, existují softwarové nástroje, které vyzkoušejí všechny tyto alfanumerické
možnosti velkou rychlostí. Tento přístup se označuje jako "brutání síla" - často obsahuje
slovník běžně používaných hesel. Hacker, kterému se podaří zjistit enkryptované
heslo na bezpečnostním serveru, má samozřejmě k dispozici i další softwarové nástroje
na rozšifrování souborů.
> Monitorování sítě. Je známé pod jménem "sniffing" (čmuchání) a je to promyšlený
útok, jehož součástí je umístění kódu v síti, který monitoruje veškerý provoz vyhledávající
hesla a další specifické informace. Často je síťový provoz dopravován "čistý" (nekryptovaný),
což usnadňuje detekci specifických lokálních informací, které se mohou zobrazit
přímo na desktopu hackera.
> Zneužití nástrojů administrace. Software určený pro zjednodušení managementu a sítě
může být rovněž zneužit. Například program známý jako SATAN - akronym pro System
Administrator's Tool for Analyzing Networks - byl rychle adaptován hackery jako prostředek
pro rozkrytí síťových slabých bodů.
> Muž uprostřed. Tento druh útoků se objevuje, když se neautorizovaná strana úspěšně
umístí do komunikace mezi dvěma stranami, které provádějí soukromou komunikaci
nebo transakce - a to buď v LAN nebo na nezabezpečené Internetové seanci. Třetí strana
přeruší komunikaci, přemístí komponenty komunikace, požaduje heslo, eventuálně
přebírá aktivitu za jednu komunikující stranu. Hacker obyčejně použije útok "odmítnutí
služeb" - viz níže - k zamrznutí jednoho z komunikujících členů.
> Odmítnutí služeb (Denial of service). Tento útok vyřadí organizaci z funkce po dobu zamrznutí
systémů. Znamená to přesycení Web serveru nebo jiného důležitého serveru
neužitečnými požadavky, což způsobí vypadnutí legitimního provozu. Důležité služby
tím pádem nejsou na síti dostupné.
> Trojský kůň. Hackeři vyvinuli programy, které na první pohled vypadají jako užitečné utility,
ale které ve skutečnosti způsobují škody. Některé otevírají díry v síťovém bezpečnostním
systému.
> Virus. Stejně jako Trojský kůň je virus softwarový "hack" , který funguje bez vašeho povolení.
Na rozdíl od Trojského koně začne fungovat na vašem počítači bez vašeho vědomí,
běžně se k vám dostane e-mailem. Na viru je nebezpečné to, že je samo-replikovací,
často projektován tak, aby se šířil k ostatním osobám automaticky. Virus typu
"červ" systematicky "žere" a ničí další a další soubory.
> IP a Web spoofing. Některé bezpečnostní systémy používají Internetovou adresu (IP) přichozí
seance jako prostředek k ověření přístupu. IP spoofing znamená získání neoprávněného
přístupu předstíráním platné IP adresy. Další "hack" známý jako Web spoofing
funguje opačným směrem: hacker přesměruje dopravu určenou pro platnou Web nebo
IP adresu do jeho vlastní falešné Web stránky, která vypadá jako pravá. Tak mohou být
získány i informace o kreditních kartách apod.
Náklady pro podniky
Jednoduše řečeno, existuje nekonečně mnoho problémů a výdajů, které musíme řešit kvůli
špinavým trikům a chování. Tyto náklady jsou:
> Finanční ztráty. Kromě přímých nákladů, jako jsou peníze ukradené pomocí neoprávněného
přístupu, je tady ještě řada nepřímých nákladů, které postihnou oběti informační
kriminality. Čas, po který systém správně nefunguje, je významnou ztrátou.
Kromě toho řadu souborů, které byly napadeny, už nelze obnovit. Další ztráty tvoří náklady
na průzkum a zmapování následků průniku, administrativní náklady na projekt
a posílení bezpečnostních politik, systémů a zařízení - a další.
> Konkurenční kompromis. Ztráty způsobené organizaci informační kriminalitou mohou
být nedozírné zejména z hlediska efektivity a konkurenceschopnosti firmy. V krajním
případě mohou být ukradeny i obchodní tajemství a projekty. Ale i menší krádeže mohou
významně poškodit společnost a vyžádat si takové neočekávané náklady, které způsobí,
že firma nadále není konkurenceschopná.
> Ztráta prodeje. Hacking může ovlivnit obchodní výsledky organizace různými způsoby.
Kromě přímého přerušení obchodního procesu pomocí "floodingu", "spoofingu" anebo
jinou metodou, používají hackeří někdy sofistikovanější metody. Úspěšné firmy často
používají unikátní způsob, kterým propagují své jméno na trhu. Informační kriminalita
umí zničit jméno společnosti zpochybněním kreditu banky, znevážením chytré technologie
anebo znevážením nadějného produktu.
> Legislativní problémy. Mnoho oborů, jako je bankovnictví nebo zdravotnictví, pracuje
s citlivými informacemi svých klientů, jejichž privátnost je třeba dobře střežit.
Organizace, které v této ochraně selžou, jsou vystaveny nejen nedůvěře a tudíž i ztrátě
klientů, ale rovněž pokutám a dalším postihům.
Bezpečnost informací je tedy oboustranný meč. Na jedné straně visí nad organizacemi, aby
poskytly bezpečnost informací pro sebe a své zákazníky. Na straně druhé, solidní bezpečnost
informací umožňuje organizacím využít plně výhody nových přístupů, jako je e-commerce,
a využívat jejich výhody.
ZÁKLADY BEZPEČNOSTNÍHO KONCEPTU
Jednoduše řečeno: existuje velká řada aspektů v oblasti bezpečnosti informací, které jsou
nepředvídatelné. K přirozeným vlastnostem počítačové kriminality patří, že se neustále vyvíjí
v souvislosti s novými technikami a přístupy v návaznosti na nově vyvinuté systémy a bezpečnostní
technologie, vždy s cílem obejít možnost detekce útoku. Bezpečnostní manažeři tak
mohou bojovat s neviditelným útočníkem, který může být neviditelný dokonce až do momentu,
kdy dojde ke skutečným škodám na systému.
Přesto není pravdou, že by bezpečnostní manažeři byli bezmocní. V této kapitole zmíníme
principy, které podporují bezpečnost informačních systémů, v další kapitole zmíníme principy
aplikované v bezpečnostních technologiích.
Bezpečnostní politika a pokračující riziko
Důležitým axiomem informační bezpečnosti je, že nemůžete mít obojí: přístup k informacím
a neprodyšnou bezpečnost současně. Stejně jako normální život je vystaven určité míře rizika,
také organizace, které poskytují a zlepšují své služby a podporu zákazníků a partnerů, musejí
podstoupit určitou úroveň rizika. "Někdy" a "někde" se určitě vyskytnou "nějaké" bezpečnostní
díry, dokonce i tehdy, když bezpečnost počítačového systému budeme považovat
za neprodyšnou. Stále zůstanou takové rizikové faktory, jako "lidský faktor", jako jsou podvádějící
zaměstnanci anebo "náhodní hackeří" hledající soukromé informace.
Požadavky na spolehlivost a nezpomalení informačních toků, složité informační systémy,
nebezpečí vyplývající z partnerských aliancí a rozsáhlé používání počítačové komunikace
v současné společnosti - to jsou skutečnosti, se kterými souvisí následující faktory:
> Není už dále reálné a vhodné definovat informační bezpečnost jednoduchými pojmy
jako "Vnitřní sít - bezpečná; Vnější síť - ne-bezpečná", jak tomu bylo dříve.
> Existuje relace mezi absolutní informační bezpečností a účinným datovým tokem
> Řízení lidských zdrojů informační bezpečnosti - jak uživatele tak i administrátora
- je důležitou součástí implementací fyzických a softwarových systémů.
> Bezpečnostní rozhodnutí bývají ovlivněna obchodními manažery, kteří zohledňují vliv
bezpečnosti na obchodní výsledky.
Téma bezpečnostní politiky tedy nabývá na významu. I když neprodyšná informační bezpečnost
je nedosažitelná a někdy může být i v rozporu se záměry organizace, potřebují bezpečnostní
manažeři definovat priority rizik a umístit nejsilnější bezpečnostní nástroje proti nejpravděpodobnějším
hrozbám. Tento přístup v podstatě optimalizuje rozhodnutí o informační
bezpečnosti organizace. Balancuje náklady na bezpečnostní výbavu proti reálným hrozbám
a pravděpodobnosti ztrát způsobených bezpečnostními dírami.
Definice obvodu sítě
Koncept "síťového obvodu" je běžně používán v oblasti informační bezpečnosti. Vymezuje
hranici mezi přístupnými a nepřístupnými místy, implementaci důvěrných vztahů definovaných
bezpečnostními politikami. Historicky byl obvod sítě jednoduše definován hardwarem
(tj. modemy a porty RAS). Uvnitř obvodu byl bezpečný prostor, kde byly dostupné informace
i zdroje, vše vně obvodu bylo považováno za nedůvěryhodné až do prověření.
Poslední dobou ovšem nebezpečí rozsáhlé konektivity a Internetu změnily tento fyzický popis
síťového obvodu. Obchodní partneři mají přístup k soukromým informacím organizace
přes extranet, zákazníci přistupují na své účty a vystavují objednávky přes bezpečný Web. Ve
skutečnosti každý může vstupovat do sítě firmy přes počítač firmy přes veřejný Web. Zatímco
dříve jsme předpokládali, že každý, kdo se úspěšně zalogoval do sítě, byl autorizovaným subjektem,
dnes už většinou s tímto tvrzením souhlasit nebudeme. Bezpečnostní technologie odráží
tuto změnu a posunují otázku bezpečnosti z perspektivy celé sítě na pohled aplikačně
orientované bezpečnosti, kde každý citlivý zdroj nebo aplikace může posílit bezpečnostní
politiku. Je to podobné, jako bychom v muzeu postavili stráž ke každému exponátu nejen
ke vchodu do muzea, protože si uvědomujeme, že přístupové cesty jsou dnes daleko propustnější
než kdykoliv dříve.
Koncepční stavební bloky bezpečnostního systému
Pro oblast podnikových sítí může být řešení bezpečnosti redukováno do čtyř základních problémů:
> Prověření autenticity uživatele
> Zavedení prostředků k identifikaci uživatele za účelem kontroly přístupu
> Ochrana soukromí a integrity informace na síti
> Zabránit popření transakce nebo výměny dat prověřených stran
Autentizace uživatele
Jedním z nejzákladnějších kroků v informační bezpečnosti je rozpoznání, kterým subjektům
by mělo být důvěřováno, a nastavení systému, který by opravňoval k přístupu pouze důvěryhodné
osoby. Proces, který prověří přistupujícího uživatele, se nazývá autentizace. Jak uživatel
prokáže svou autenticitu v kontextu počítačové interakce? V podstatě známe tři odlišné
přístupy:
První je pomocí informace, kterou zdánlivě může poskytnout (znát) pouze příslušný uživatel.
Příkladem takové formy autentizace může být heslo; je to dnes asi nejběžnější způsob omezení
přístupu. Některé příklady této formy autentizace jsou například použití rodného jména
matky, datum poslední transakce apod.
Druhý přístup je požadovat prokázání totožnosti pomocí něčeho unikátního, co může mít jedině
příslušný uživatel. Tento přístup používají banky při dotazování na citlivé informace. Pro
opakovaný přístup do počítačové sítě je běžné používat tzv. "token", který může mít různé
formy. Mohou to být dedikované autentizátory, které generují přístupové kódy, "smart karty"
obecného využití, speciální autentizační software pro použití na PC nebo PDA, nebo konečně
- digitální certifikáty - obtížně falšovatelné - vydané důvěryhodnou stranou, která
atestuje oprávněnost příslušné osoby, jako je například cestovní pas.
Třetí autentizační přístup využívá něčeho, co uživatele reprezentuje fyzicky. Je znám jako
biometrický. Tyto formy atutentizace využívají otisky prstu, záznam hlasu, scan duhovky nebo
další jedinečné fyzické vlastnosti.
Každý z těchto tří přístupů má své výhody i nevýhody. Nejjednoduší na implementaci je heslo,
které se těší velkému využití. Je ovšem napadnutelný mnoha způsoby od hádání po zachycení
různými formami - například krádeží nebo sociálním inženýrstvím, využívajícím různé
triky za účelem "vyloudění" hesla. Proto autentizace pomocí hesla neposkytuje vhodnou
úroveň ochrany pro citlivá data a aplikace.
Kombinace těchto přístupů - heslo plus token nebo biometrika plus heslo - poskytuje mnohem
vyšší míru bezpečnosti. Nazývá se dvoufaktorová autentizace a dnes už jej využívají miliony
uživatelů na celém světě.
Something you have
(token or smart card)
Something you are
(biometric)
Something you know
(PIN)
Identifikace uživatele
Otázká úzce spjatá s autentizací je identifikace uživatele. Ta se v informační bezpečnosti vztahuje
k vydání verifikace příslušných přístupových práv autentizované osobě. Je to něco jako
procedura vydání řidičského průkazu; člověk nejprve musí prokázat svou totožnost oprávněnému
úřadu. Jakmile udělá tento krok, vydaná licence sama se stává veřejným průkazem
identity příslušné osoby, stejně jako důkaz jeho/jejích řidičských oprávnění (tj. pro osobní automobil,
nákladní automobil, autobus apod.). Stejně i v informační bezpečnosti, jakmile je
osoba autentizována, elektronické osobní doklady umožňují přístup k příslušným zdrojům
na síti. Osobní doklady ale zaručí přístup jen k těm souborům, pro které má příslušná osoba
oprávnění, nikoliv k ostatním.
Známe několik různých přístupů kontroly přístupu v síťovém a Internetovém prostředí. Avšak
s tím, jak se organizace posunují směrem k bezpečnosti na úrovni aplikací, je stále větší důraz
kladen na opakovanou autentizaci uživatelů, protože uživatelé vstupují do systému mnohonásobně
chráněného. Pojem "jednoho vstupu" nebo "redukovaného vstupu" ("Single signon")
označuje technologii, která zjednodušuje (redukuje) autorizovaný přístup ke chráněným
souborům a aplikacím na jeden přístup, bez opakovaného požadavku na autentizaci.
Soukromí a integrita dat
Když řádně autorizovaný jedinec začíná pracovat, je důležité, aby chráněné obsahy byly
ochráněny před odposlechem nebo nekalým zasahováním. Je to obzvláště důležité, pokud
jsou data dopravována přes veřejný prostor Internetu, který skýtá mnoho příležitostí zásahu
a změn.
Nejběžnější metoda ochrany informací je enkrypce: přeměna dat do zdánlivě náhodné sestavy
bitů, které mohou být dešifrovány jen příslušným dekryptovacím přijímačem. Kryptografie
může být aplikována rovněž pro řešení dalších problémů informační bezpečnosti, například
digitální podpis používá enkrypci k zajištění integrity dat - důkaz, že původní soubor nebyl
změněn od momentu jeho přenosu - i k jejich přijetí (ne-odmítnutí).
Ne-odmítnutí
Když se dvě strany účastní transakce - když obchodují anebo komunikují s citlivými informacemi
- je v zájmu obou stran, aby žádná ze stran později nemohla popřít transakci, která proběhla.
Systémy, umožňující službu "ne-odmítnutí" zajišťují důkaz o odeslání příslušné komunikace
správnou osobu (nikoliv jedincem, který by předstíral identitu) stejně jako o potvrzení
o jejím přijetí příslušným požadovaným adresátem.
Tato témata - autentizace, identifikace, soukromí dat, integrace dat a ne-odmítnutí - tvoří pilíře
dnešních bezpečnostních technologií. V následující kapitole vysvětlíme více do detailů různé
implementace těchto konceptů v bezpečnostních technologiích.
Zhodnocení, řízení a monitorování bezpečnosti
Kromě vytvoření bezpečnostní politiky a implementace bezpečnostních systémů je třeba bezpečnostní
systém administrovat. Tato role zahrnuje tři úkoly:
> Zhodnocení bezpečnosti a odhalení slabin běžných metod ochrany. Existují softwarové
systémy, které jsou schopny to zajistit. Mnoho firem si nechává udělat externí bezpečnostní
audit. Cílem je zjistit rozdíl mezi plánovanou bezpečnostní politikou a současným
nastavením systému.
> Řízení uživatele a systému, které znamená zachování souborů autorizovaných uživatelů
a příslušných práv, zdrojů systému, aplikací a dat v jejich aktualizované podobě.
> Monitorování vzorků podezřelých aktivit v reálném čase, aby byly detekovány pokusy
neautorizovaných přístupů a vytvoření registrů pro audit umožňujících akci proti útoku
zvenčí nebo zevnitř (od zaměstnance).
V praxi mohou být řídící a monitorovací služby vybudované v bezpečnostním systému důležitými
určujícími aspekty při výběru optimálního řešení z různých možností.
PŘEHLED BEZPEČNOSTNÍCH TECHNOLOGIÍ
Podrobná diskuse o běžných a nových bezpečnostních technologiích je nad rámec tohoto průvodce.
Naším cílem je poukázat na hlavní principy, které provází dnešní komerční bezpečnostní
řešení, která jsou založena na problémech autentizace uživatele, identifikace, soukromí
dat, integrity dat a ne-odmítnutí, jak to bylo popsáno v předchozí kapitole. Kromě toho
zde zmíníme i bezpečnostní management, zhodnocení bezpečnosti a detekci průniku.
Autentizace uživatele
Základním úkolem informační bezpečnosti je autentizace uživatele - zajištění, aby měl uživatel
platná práva k přístupu ke zdrojům systému. Poskytování autentizace spolehlivým způsobem
je snad nejdůležitějším krokem k minimalizaci rizik vyplývajících z počítačové kriminality.
Systémy hesel. K nejznámějším technikám umožňujícím prokázání totožnosti jsou hesla.
Na první pohled se zdají být ideálním řešením, protože rozsah možných hesel je virtuálně
neomezený; co může být lepším prokázáním autenticity než jedinečné slovo nebo kombinace
náhodných znaků speciálně vytvořená příslušným jedincem?
Realita ochrany heslem ale už není taková. Existují různé přístupy na rozbití ochrany heslem,
například "hádající programy", nástroje na monitorování sítě a triky "sociálního inženýrství".
Z uvedených důvodů "poréznosti" ochrany heslem je nejvhodnější používat ji k ochraně
informací a systémů, které nemají vysoký stupeň citlivosti.
> Populární autentizační technologie zahrnují:
Systém hesel, autentikační zařízení
(tokeny, softwarové tokeny a smart karty)
Biometriky a digitální certifikáty
> Každý přístup má své silné i slabé stránky,
neexistuje ideální řešení pro všechny účely.
Kombinovaný dvou-faktorový
přístup zajistí vyšší stupeň ochrany
než jednofaktorové přístupy.
Nejpopulárnější protokoly pro autentizaci heslem jsou TACAS+ (Terminal Access Controller
Access Control System), vyvinuté společností Cisco Systems, a RADIUS (Remote Authentication
Dial-In User Service), dnes standard IETF (Internet Engineering Task Force). Oba tyto protokoly
jsou vytvořeny tak, aby fungovaly za jednoduše procesovaným spojením přes heslo, poskytují
služby "AAA": autentizaci, autorizaci, accounting. RADIUS je velmi dobře využíván firmami,
které poskytují Internetové služby. Oba mohou být použity ve spojení se silnými autentizačními
systémy.
RADIUS a TACACS+ používají mechanismy PPP a PAP (Password Authentication Protocol)
a CHAP (Challenge Authentication Protocol) ke konečnému procesu autentizačních požadavků.
PAP je jednoduchý password-lookup s možností enkrypce hesla při přenosu za účelem ochrany
před odposlechem. Silnější CHAP vydává náhodně generovaný "Challenge code" pro
uživatele při přihlášení; tento kód je kombinován s uživatelským heslem a pak enkryptován
do změněného kódu, který je vrácen serveru pro verifikaci. Tímto způsobem CHAP chrání proti
odcizení hesla. TACACS i RADIUS se pokusí nejprve o autentizaci CHAP, pak autentizaci PAP
dříve, než by odmítly uživatele jako neplatného.
Alternativní přístup k posílení heslové bezpečnosti je heslo na jedno použití. V tomto případě,
když nastavujeme účet, klient i server souhlasí se sérií platných hesel; pokaždé, když se uživatel
spojuje, používá další heslo ze série. Účelem je ochrana proti přehrání hesla.
Jednorázové použití hesla ale nemá široké komerční využití.
Autentizace založena na tokenu. Častější přístup při řešení autentizace uživatele zahrnuje zařízení,
které je distribuováno jednotlivým uživatelům, které se nazývá "token". Toto zařízení
generuje kód, kterým se uživatel loguje. Tento "token" může být hardwarové zařízení anebo
softwarová utilita. Důležité je, že "token" musí velmi jednoduše komunikovat nezměněné číslo
účtu, které by mohlo být použito znovu v případě přerušení přenosu dat. Místo toho autentizační
zařízení používají množství technologií, aby přelstily hackery pomocí konstantně se
měnících přístupových kódů; sdílená tajemství, jednorázové heslo, časová synchronizace kódů
v čase mezi klientem a serverem a také - výzva/odpověď. Často jsou také kombinovány různé
přístupy - společně s enkrypcí nebo změněným algoritmem.
Protože tokenové systémy používají také čísla PIN, aby se omezil přístup k zařízení nebo softwaru
generujícímu kód, jsou známé jako "dvou-faktorové autentizace" - dva faktory jsou PIN
(který uživatel zná) a token (který se uživatel dozví z tokenu). Je to analogie sytému ATM karet
a PIN, které používají banky. Protože ukradení obou částí - tokenu i PINu by bylo nepravděpodobně
náročné, poskytuje tento typ ochrany mnoho vyšší úroveň autentizace než
hesla; navíc umožňuje tuto silnou bezpečnost s menší složitostí a větší škálovatelností než biometrický
systém.
Nejpopulárnější silné autentizátory, které se dnes používají, jsou malá kapesní zařízení, které
generují nový kód každou minutu. Pokud chceme vstoupit do systému, jednoduše zadáme
tento kód společně s PINem nebo heslem. Tento měnící se autentizační kód je založen na tajné
"hodnotě semínka", která je známa jen autentizačnímu zařízení a bezpečnostnímu serveru,
které jej generují. Kombinací tajné hodnoty s reálným časem vznikne hodnota, která po
zakódování vytvoří algoritmus. Výsledný autentizační kód chrání nejen tuto hodnotu, ale poskytuje
její aktuální podobu, která je platná jen v konkrétním čase jejího vydání. Bezpečnostní
server autentizuje uživatele tak, že generuje vlastní verzi kódu platného v čase, založeného
na tajných hodnotách ve svých registrech, jejich porovnáním s kódem dodaným uživatelem.
Platný kód dodaný od správného uživatele a PIN dodaný ve stejnou dobu připojení jsou dohromady
považovány za průkaz přítomnosti obou faktorů - osoby a fyzického tokenu - takže
uživatel je považován za autentického.
Alternativou dvoufaktorového systému je podobné zařízení, které využívá přístupu "výzvaodpověď",
aby se vyhnul přenosu hesla. Při zalogování server vydá vyzývací kód, který uživatel
zadá do svého autentizátoru. Pomocí algoritmu je vygenerován zařízením kód, který je
poslán zpět autentizačnímu serveru pro ověření. Skutečnost, že tajný algoritmus generující
odpověď je zapouzdřen v autentizačním zařízení, je průkazem fyzické přítomnosti tokenu.
Tento systém je uživateli považován za neohrabaný vzhledem k více krokům, které vyžaduje.
Dvoufaktorová autentizace založená na tokenu znamená pro hackery nesmírně náročnou
bariéru, když usilují o neautorizovaný přístup. Milióny uživatelů na celém světě jsou běžně
chráněny dvoufaktorovým autentizačním systémem. Jedinou stinnou stránkou je náklad
spojený s poskytnutím autentizátorů autorizovaným uživatelům; to je ovšem stále menším
problémem, protože technologie se stále vyvíjí a výrobní náklady se snižují. Další možností
dvoufaktorové autentikace jsou smart karty, které se stále více rozmáhají.
Smart karty. Téměř miliarda smart karet se používá po celém světě. I když jsou nové
ve Spojených státech, běžně jsou už zavedené v Evropě a Asii pro bankovnictví a platby
(např. telefony, veřejná doprava, pay-TV apod.), pro skladování osobních informací jako
např. lékařské registry. Stále více se využívají pro účely autentizace.
Smart karty můžeme vnímat jako posílení známých kreditních karet nebo bankovních karet
ATM. Na rozdíl od kreditních karet, které mají jednoduchý magnetický proužek, který nese
několik statických informací jako číslo účtu, smart karta má dynamickou paměť a vestavěný
chip, který umožňuje procesovat a aktualizovat umístěné informace - odtud termín "smart".
Zatímco magnetická páska na kreditní kartě je externí a určená pro čtení, procesor smart karty
má chráněný přístup k informacím, které obsahuje. Takže například, uživatel smart karty
může provádět přenos peněz elektronickou transakcí. Peněžní částka je uložena přímo na
kartě a uživatel nemusí mít obavu, že by peníze ztratil nebo by mu byly ukradeny, protože jedině
on/ona má přístup na smart kartu prostřednictvím PINu.
Smart karty jsou dostupné s dvoufaktorovým autentizačním tokenem; některé mají schopnost
interakce se systémy veřejného klíče a poskytují širokou škálu informační bezpečnosti popsané
dále v této kapitole. Pokud se používá smart karta k autentizaci, uživatel aktivuje token
smart karty aplikací, která generuje kód pomocí PINu. Protože číslo PIN není nikdy komunikováno
mimo kartu, je tento způsob považován za velmi bezpečný.
Smart karty mohou také obsahovat fotografii ID a magnetické pásky s právy fyzického přístupu,
dále paměťový prostor pro data bankovního kreditu. Tím se stává smart karta žádoucí
pro svou vícefunkčnost. Stinnou stránkou smart karet jsou náklady spojené se čtečkami smart
karet všem chráněným uživatelům PC a skutečnost, že ještě neexistuje jednotný standard pro
smart karty.
Biometriky. Systémy, které pro autentizaci používají jedinečné fyziognomické vlastnosti jedinců
jako jsou otisky prstu, scan oční duhovky, rozpoznání hlasu - jejich popularita je založena
na domněnce, že poskytují vysokou míru autentizace. Ve skutečnosti je to pravda, i když
některé faktory mluví proti širokému rozšíření biometriky v přístupu k síťovým aplikacím -
jsou to zejména vysoké náklady a možnost vetřelce.
Množství logických problémů musí být ovšem vyřešeno dříve, než přistoupíme k biometrice
jako k metodě autentizace. Například, řekněme, že firma používá otisk palce pro rozpoznání
jako formu autentizace. Pokaždé, když se uživatelé dotýkají skla, dveří nebo klávesnice, zanechávají
své otisky na veřejně dostupném místě. Pro provedení verifikace musí biometrický
systém nějakým spolehlivým způsobem prokázat, že se jedná o uživatele momentálně snímaného
biometrickým čtením; jak lze tohoto docílit, pokud se jedná o vzdálený přístup? Hesla,
token kódy a digitální certifikáty jsou snadno změnitelné, ale otisk prstu nebo tón hlasu nelze
změnit.
Přestože je tento systém autentizace vhodný pro některá řešení a určitě je zajímavý pro budoucnost,
dnešní bimoetrické systémy nejsou zatím považovány za vhodnou ochranu pro široké
využití informačních zdrojů, které vyžadují různé formy přístupových médií v typické
síti Enterprise.
Digitální certifikáty. Pro některé aplikace uživatelské autentizace mohou k prokázání identity
sloužit digitální certifikáty. Digitální certifikát je zvláštní soubor, vydaný systémem veřejného
klíče, který přiděluje jednotlivcům klíč enkrypce; cokoliv soukromé povahy, co je míněno
jako individuální, by mělo být enkryptováno s použitím "veřejného" klíče enkrypce, který
je držen v absolutní tajnosti - pro všechny ostatní zájemce (včetně hackerů) bude tato informace
nečitelná.
A Digital Certificate Issued by the RSA Keon Certificate Server
Implementace silné autentizace.
Autentizace uživatele může být implementována několika různými způsoby. Většina lidí je
obeznámena s autentizací v průběhu přihlašování se do sítě nebo využívání síťových služeb
z fyzicky vzdálené lokality - například, když se logujeme k service providerovi nebo vytáčíme
vzdálený server sítě naší společnosti z hotelového pokoje. Ale v závislosti na potřebách
organizace může být autentizace uživatele implementována různými dalšími způsoby:
> Ověření všech přístupů do lokální sítě, poskytující možnost přístupů k účtům a chránící
proti vnitřní informační kriminalitě.
> Ochránit fyzický přístup individuálních desktopů systémů a síťových hostitelů, které ubezpečí,
že jedině povolení uživatelé mohou získat přístup k souborům nebo síťovým
službám, a eliminovat odhalení systému nepovolaným osobám pomocí ukradených laptopů.
> Posílit služby třetích stran service providerů, jako je VPN service.
> Posílit silnou autentizaci do firewallových systémů před povolením jakéhokoliv externího
přístupu do chráněné IP sítě.
> Kontrolovat přístup k individuálním Webovským stránkám nebo aplikacím založených
na Webu nebo k seznamům na intranetovém/extranetovém serveru.
Firewallové systémy a autentizace
Firewall je název hardwarového nebo softwarového systému, který kontroluje přístup mezi
dvěma sítěmi. Typicky se firewall chová jako bariéra mezi Internetem a privátní sítí. Umožňuje
přístup pouze autorizovaným stranám. Dnes patří firewally k nejpopulárnějším alternativám
pro posílení kontroly přístupu a mohou podporovat i autentizaci heslem i dvoufaktorovou
autentizaci, obecně používá protokoly TACACS+ nebo RADIUS pro centralizovaný management
nebo autentizaci, autorizaci a accounting.
Firewally jsou typicky implementovány na routeru - hardwarovém zařízení, které slouží jako
spojení mezi dvěmi sítěmi - a primárně implementuje dvě strategie pro kontrolu přístupu.
Packet filtering, který operuje na síťové úrovni, je využíván na blokování "ilegálního" provozu
podle definice bezpečnostní politiky; například povoluje přístup pouze známým důvěryhodným
stranám na základě zdroje IP adres. Alternativní přístup používaný jinými firewally
je proxy server (také je znám jako aplikační gateway), který nepovolí spojení přímo mezi
Internet a soukromou sítí s výjímkou služeb, které může sám zprostředkovat. Často se použí-
Digitální certifikáty mohou poskytovat
důležitou hodnotu pro autentizaci uživatele
a jsou často používány ve spojení se smart kartami.
Systémy veřejného klíče popsané v další
kapitole umožňují širokou škálu dalších služeb informační
bezpečnosti, takže jsou jednou z nejvýznamnějších
bezpečnostních technologií.
vá k zamaskování adres zdrojů na privátní síti, proxy server si je více vědom obsahu transakcí,
které procesuje, než packet filtering firewall (proto je pomalejší než packet filtering firewall).
Ale aplikační brány (application gateways) nabízejí více příležitostí ke kontrole přístupu,
autentizaci a logování podezřelých incidentů. Aby výrobci získali nejlepší vlastnosti všech
těchto typů firewallů, často používají hybridní firewally se "stateful inspection" - nabízející
jak možnost filtrovat hlavičky informací, tak i prohlížet packety podle potřeby.
I když firewally poskytují významné bezpečnostní služby pro podnikové služby, mají určité
známé nedostatky. Protože jsou implementovány s cílem zvýšit bezpečnostní politiku - cizí
pojem pro mnohé organizace - jsou často implementovány neefektivně, takže umožňují
určitou "ochranu", která je bez záruky. Hackerské techniky známé jako "IP spoofing" - předstírání
nepravého uživatele za falešnou IP adresou - může být použito k obejití packet filteringu
firewallů; tomuto hacku se lze ubránit silnými autentizačními službami. Firewall obyčejně
kontroluje přístup, nikoliv obsah, takže nechrání uživatele před přijetím zavirovaných
souborů, nejběžnějšího problému informační bezpečnosti.
Identifikace uživatele: Poskytnutí přístupových pověřovacích listin
Dříve jsme použili analogii vydání řidičského průkazu, abychom ilustrovali rozdíl mezi autentizací
a probíhající identifikací uživatele. V rámci informační bezpečnosti se uživatel ideálně
autentizuje jednou, poté mu systém zpřístupňuje informační zdroje, ke kterým má přisouzena
přístupová práva.
Požadavek na posílení osobních bezpečnostních práv narůstá s erozí obvodu síťového obvodu
a potřebou poskytovat bezpečnost na aplikačním základě. Postupný přístup pomocí několikaúrovňových
hesel může být velmi komplikovaný pro uživatele, kteří mají konstantně
natavena autentizační práva. Proto se používá tzv. "přístup jednoho podpisu" (single signon),
jehož nastavení ale vůbec není triviální. Jedním ze základních úkolů tohoto zadání je připojení
běžných bezpečnostních vlastností různým síťovým zdrojům, které nejsou vůbec "dotčeny"
bezpečnostním nastavením.
Existuje několik druhů technologií, které řídí přistup k citlivým souborům a aplikacím na síti.
Jeden z prvních systémů byl Kerberos, vyvinut v MIT v pozdních sedmdesátých letech, který
nese jméno tříhlavého hlídacího psa z řecké mytologie. V této metodě používá centrální bezpečnostní
server symetrickou kryptografii k vydání enktryptovaného "lístku" pro uživatele jako
přístupu, který je ověřen chráněnou aplikací a zdroji na síti, na které uživatel chce přistoupit.
Kerberos dosáhl značného úspěchu a je stále používán i dnes, i když tato metoda trpí
složitostí implementace mezi organizacemi. Dnešní tendence je používat zejména asymetrickou
kryptografii - lépe známou pod názvem kryptografie "veřejného klíče"- jako lépe
škálovatelného bezpečnostního řešení.
Existuje mnoho implementací kryptografie veřejného klíče, které poskytují identifikaci uživatele
a kontrolu přístupu, od komplexních síťových přístupových systémů na jedná straně, až
po skromné implementace vztahující se k jednotlivé aplikaci. Relativně známým případem je
online makléřský systém používající enkrypci SSL. Zatímco hlavní účel SSL je ochrana soukromí
příslušné komunikace, může být implementována také kontrola přístupu. V tomto případě
bude klient generovat klíč enkrypce během spojení, aby ochránil klíč i ostatní data v utajení;
tento klíč je komunikován "soukromě" se serverem pomocí veřejného klíče serveru.
Jakmile byl klient autentizován, server vydá "cookie" browseru klienta, který může obsahovat
příslušná přístupová práva a definici délky jejich trvání. Každý požadavek od uživatele na
informace nebo zdroje ze serveru s chráněnou doménou bude vynucovat ověření platného
cookie dříve, než odpoví; tyto přístupové certifikáty jsou chráněny enkrypčním schématem
schváleným při inicializaci bezpečného spojení SSL. Když se uživatel odloguje, "cookie" se přemístí,
aby chránilo před "únosem spojení", kde by se mohla třetí strana pokusit o pokračování
využití pověřovacích listin (certifikátu) platného uživatele.
I když na první pohled jsou tyto dva přístupy velmi podobné - jeden využívá "lístky", druhý
používá "cookies" - je mezi nimi významný rozdíl v pozadí: ke cti veřejného klíče svědčí, že
pozdější implementace nabízí škálovatelné interoperativní řešení i s dalšími bezpečnostními
službami jako soukromí dat, integrita a ne-odmítnutí. Abychom plně ocenili rozdíl, musíme
porozumět principům kryptografie veřejného klíče.
Kryptografie veřejného klíče: Princip Yin a Yang
Zatímco symetrická enkrypce používá stejný klíč k enkrypci i dekrypci dat, asymetrická
enkrypce používá jeden klíč k enkrypci dat a úplně jiný, ale matematicky příbuzný, klíč pro jejich
dekrypci. Oba klíče lze použít pro enkrypci souboru; avšak jedině doplňkový klíč může
dekryptovat soubor.
Tento vztah klíčových párů yin-yang tvoří mocný nástroj pro počítačovou bezpečnost.
Vzhledem k tomu, že jeden klíč je držen v soukromí (příslušného uživatele) a druhý - veřejný
- distribuován mezi všechny příslušné uživatele, každý je schopen enkryptovat důvěrné zprávy
pro osoby, které vlastní "soukromý" klíč. A obráceně: cokoliv bylo správně dekryptováno
individuálním veřejným klíčem, bylo enkryptováno soukromým klíčem. V kryptografii veřejného
klíče je kritickým problémem atest pravosti páru klíčů. Například, když je zpráva
dekryptována za použití veřejného klíče prezidenta společnosti, jak si mohu být jist tím, že je
to skutečně veřejný klíč prezidenta?
Using a Key Pair to Encrypt and Decrypt Data
Prostředkem, který nám toto zajistí, je digitální certifikát - prostředek , který sváže individuální
identitu s veřejným klíčem. Je to enkryptovaný soubor, který atestuje autenticitu svého
nositele, vytvoření důvěryhodnou třetí stranou, známou jako certifikační autorita. Průkaz autenticity
certifikátu je, že dekryptuje správně za použití "veřejného klíče" certifikační autority
(CA). CA může být bezpečný server na síti (známý jako "jednoúčelový důvěryhodný model")
nebo externí organizace uznávaná veřejně ("mnohoúčelový důvěryhodný model").
Verisign, GTE a Netscape - řídí veřejné CA.
Vyspělé systémy kontroly přístupu
I když autenticita uživatele je primárním zadáním informační bezpečnosti, příbuzným požadavkem
zůstávají také přístupová práva - známá jako identifikace uživatele - pro oprávněné
strany. Zatímco příklad bezpečnosti makléřského systému zmíněného výše je jednoduchým
konceptem, používajícím technologii veřejného klíče a posílení kontroly přístupu založeném
na identitě uživatele, bude užitečné porozumět komplexnějšímu systému na ochranu sítě enterprise.
Softwarové "agenty", podobně jako bezpečnostní strážci, jsou umístěny ve strategických
bodech sítě, zapouzdřených v síťových zařízeních, vestavěných v operačních systémech
tak, abych chránily citlivé aplikace a soubory, jak aplikace ERP nebo privátní Webové
stránky. Dokonce aplikace, které původně nepodporují bezpečnostní nastavení, mohou být
"zabaleny" softwarovým agentem a ochráněny tak před nežádoucím přístupem.
Technologie veřejného klíče může být snadno využívána uvnitř
příslušné organizace, ale poskytne i bezpečnou komunikaci mezi
organizacemi. Jakákoliv jiná strana může být okamžitě uznána jako bezpečná
systémem veřejného klíče, disponuje-li příslušným certifikátem
vydaným certifikační autoritou.
Infrastruktura veřejného klíče (PKI - Public Key Infrastructure) sestává
z protokolů, služeb a standardů podporujících spolupracující
aplikace kryptografie veřejného klíče. Výrobci pracují
na vytvoření průmyslově standardní implementace technologie
veřejného klíče, která bude standardizovat nejen typy certifikátů, ale
také principy užití pro rozpoznání a řízení certifikační autority -
důvěryhodné strany, která vydává certifikáty známým stranám.
Další kritická místa ve standardizaci systémů PKI jsou použití
seznamu služeb pro lokalizaci certifikátů specifických individuí,
a komunikace a zrušení certifikátů.
Kdykoliv se uživatel připojuje do sítě, agent umístěný v bodu prvního kontaktu - síťovém serveru,
RAS nebo routeru - iniciuje autentizaci uživatele. Když byl uživatel autentizován, příští
krok je zajistit přístupová práva uživatele. Typicky jsou takto práva definována v centrálním
seznamu kontroly přístupu (ACL - Access Control List) platných uživatelů. ACL definuje přístupová
práva na základě rolí, divizí a dalších faktorů. Bezpečnostní server vydává pro uživatele
různé digitální certifikáty, které umožní přístup přes síť: "certifikát identifikace", standardní
digitální certifikát X.509, atestující identitu uživatele anebo jeho/její veřejný klíč
a "certifikát atributu", který je bezpečným souborem se seznamem přístupových práv uživatelů.
Protože síťový server vydává "certifikát atributu", uživatel je schopen se zalogovat
ze vzdáleného nebo sdíleného počítače bez ztráty přístupu a pověřovacích listin (osobních
dokladů).
Autentizovaný jedinec má pak volný přístup k síťovým službám. Pokaždé, když někdo přistupuje
k chráněnému místu v síti, verifikuje agent - strážce - osobní doklady (pověřovací listiny)
uživatele, a to oba certifikáty - identity i atributu, způsobem, který je transparentní pro
uživatele. Různé znaky, jako např. délka platnosti certifikátů nebo počet neaktivních anebo
odmítnutých přístupů, mohou být nastaveny administrátorem. Rovněž systémy postavené
na autentizaci smart kartou mohou požadovat, aby byl přístup umožněn pouze v případě,
kdy smart karta bude umístěna ve čtecím zařízení, aby se zamezilo přístupu v momentě, kdy
uživatel odejde třeba i na chvíli ze svého pracoviště.
Soukromí dat
Jakmile bylo spojení s bezpečnými zdroji uskutečněno, dalším krokem je ochrana soukromí informací,
ke kterým přistupujeme. Primárně používaná technologie je enkrypce - převádějící
informaci do nečitelného kódu, který je ukládán, ale rekonstituován do čitelného stavu
v případě potřeby. Jak jsme zmínili dříve, existují dva typy enkrypce - symetrická, kde je stejný
klíč použit k zašifrování i rozšifrování souboru - a asymetrická, kde je jeden klíč použit
k enkrypci a partnerský klíč k dekrypci (a obráceně).
Všechny funkce enkrypce v podstatě házejí jehlu do kupky sena a poskytují zamýšlenému
příjemci (a to pouze jemu) magnet k jejímu nalezení. Konkrétněji: relativně jednoduchá
kalkulace postačí ke konvertování informace do šifry, zatímco k jejímu rozklíčování je třeba
miliardy kalkulací. Termín "modul" odkazuje na "kořen" klíče enkrypce nebo délky klíče;
delší modul (40-bit, 56-bit, 128-bit atd.) zvyšuje množství možných odpovědí na test exponenciálně;
tím se stává obtížnějším odemknout šifru bez platného klíče. S dostupností stále
výkonnějších CPU se zrychluje i dekrypce, enkrypce tedy může využívat delší moduly.
Symetrická enkrypce. Standard datové enkrypce (DES - Data Encryption Standard) je nejrozšířenější
standard symetrické enkrypce. Je běžně používán pro enkrypci dlouhých komunikací
a má výhodu rychlé dekrypce. Aby se překonal fakt, že DES je relativně starý systém
s poněkud krátkými moduly, vznikl přístup nazývaný "triple DES", stejná data jsou enkryptována
třikrát v DES za použití dvou nebo tří odlišných klíčů. To zvyšuje efekt enkrypce
exponenciálně.
Bezpečnost symetrické enkrypce závisí na předpokladu, že tvůrce i příjemce sdílejí kryptografický
klíč (nebo klíče v případě Triple DES). Proto se klíče často předávají pod ochranou nějakých
před-definovaných master klíčů sdílených oběma stranami, nebo pomocí veřejného klíče
jedné ze stran. Pokud není jedna z těchto metod možná, použije se sofistikovaný matematický
systém jako Diffie-Hellman Key Agreement nebo Department of Defense's Key
Exchange Agreement (KEA), které poskytují protokol, který umožní oběma stranám vyměňovat
neenkryptované zprávy, které ovšem mohou být čitelné pomocí jejich tajného klíče.
Kryptografie veřejného klíče. Zmínili jsme se o použití digitálního certifikátu pro ověření
identity uživatele, systémy veřejného klíče také umožňují ochranu soukromých dat prostřednictvím
enkrypce. Například - enkrypce SSL (Secure Sockets Layer) popsaná dříve - vynucuje
enkrypci pro ochranu provozu Internetu před odposlechem. Podobně uživatelé mohou bezpečně
zakódovat e-mailovou komunikaci s použitím veřejných klíčů příjemců. Vzhledem
k rychlosti dekrypce je běžné enkryptovat delší dokumenty DES a připojit DES klíč, který
může být dekryptován veřejným klíčem příjemce.
Integrita dat
Dokonce i když používáme kryptografii k ochraně privátní komunikace před zachycením nežádoucí
stranou, často potřebujeme další úroveň důkazu, že příslušná zpráva nebo transakce
nebyla zasažena. Obzvláště v případě, kdy citlivé soubory jsou dlouhodobě uloženy na hard
disku, což zvyšuje nebezpečí jejich napadení.
Symetrické kryptografické systémy nepodporují posílené důkazy integrity dat. V systémech
veřejného klíče je používán digitální podpis k ujištění, že citlivý dokument vznikl, byl reprezentován
a v průběhu své existence nebyl napaden. Před odesláním příslušné komunikace vydá
původce dokumentu jedinečný "otisk prstu" dokumentu na jeho originální formě, která
je enkryptována a zahrnuta v přenosu.
Tento "otisk prstu" je produkt algoritmu zvaného "one-way hash function" - speciální druh
enkrypce, která nemá být dekoryptována. Tato funkce má zašifrovat dokument do řady písmen
určité délky do formy, která se nazývá "digest"; dokonce změna jednoho písmenech
v původním dokumentu způsobí odlišný "digest". Když obdržíme soubor, který obsahuje
digitální podpis, příjemce rozběhne stejnou funkci "hash" a obdrží soubor; pouze nezměněná
verze je schopna duplikovat digest.
Digitální podpisy nabízejí silný důkaz, že soubor zůstal
neporušen a je shodný s originální formou. Díky této kvalitě hrají
digitální podpisy významnou roli v poskytování
služeb ne-odmítnutí.
Ne-odmítnutí
S tím, jak firmy stále více využívají komunikace přes Internet ke komerčním účelům, nevyhnutelně
narůstají specifické požadavky na dokumenty používané v normálním (neelektronickém)
světě, jako jsou poštovní známky, doporučený dopis, notářský záznam - všechny tyto
a další dokumenty vyžadující prokázání skutečnosti, že jsou v transakci prokazatelně zapojeny
příslušné strany - mají své ekvivalenty v kybernetickém světě. Jádro tohoto zadání se nazývá
"ne-odmítnutí"; je to naše schopnost důkazu proti argumentu oponenta o odmítnutí
dokumentu.
Existují různé pohledy na ne-odmítnutí; ačkoliv tři hlavní jsou nejdůležitější:
> Ne-odmítnutí původu - prokázání příjemci, že odesílatel je pravý, ne falešný. Například
výrobce má jistotu, že elektronická objednávka je od pravého zákazníka.
> Ne-odmítnutí odeslání - analogie k razítku, které prokazuje, že odesílatel není jen
tvůrce dokumentu, ale že je rovněž odeslal v příslušný čas.
> Ne-odmítnutí příjmu - prokázání skutečnosti, že příslušná strana obdržela odeslanou
komunikaci. Další méně běžné vlastnosti této služby ne-odmítnutí prokazují čas a místo
elektronické komunikace.
V nejjednodušší úrovni běžné e-mailové programy nabízejí určitou pomoc. Při odesílání zprávy
můžeme získat určitý důkaz přijetí tím, že vyžadujeme od e-mailového serveru potvrzení
o doručení. Tento nástroj sice bude mít nějakou váhu v diskusi, ale nepostačí pro právní spor.
Vyšší úroveň ujištění je prostřednictvím třetí strany, která potvrdí původ zprávy, její odeslání
i přijetí. Certifikační autorita (CA) veřejného klíče může poskytnou tento druh nekompromisního
průkazu aplikací digitálních podpisů; tento proces má různé formy podle toho, kterou
formu důkazů požadujeme.
Například, držitel veřejného klíč, který se hodí k digitálnímu certifikátu, může požadovat
digitální podpis CA na vytvořenou komunikaci. Digitální podpis je enkryptován s privátním
klíčem CA, atestuje autenticitu dokumentu i jeho tvůrce, čímž poskytuje silnější důkaz původu
než jednoduchá kopie e-mailu.
Důkaz o přijetí je podobný proces, fungující obráceně: příjemce tvoří digitálně podepsaný
dokument přes svou CA, která konstatuje, že zpráva byla přijata. Důkaz o odeslání je
v podstatě to samé jako důkaz o obdržení, e-mail systém certifikuje, že zprávu obdržel pro
transport.
Technologie pro řízení bezpečnosti
Úkol řízení bezpečnostní politiky obsahuje identifikaci rizika informační bezpečnosti v oblasti
enterprise. Přesto je stále velmi běžné u organizací, že nemají schopnost detekovat pokusy
o přístup anebo podezřelé aktivity od neoprávněných stran. Takže ani nemají žádný dokument
informující zaměstnance, anebo mechanismus na ochranu před kriminálním chováním
způsobujícím škody.
Jako první krok se doporučuje posouzení síťové bezpečnosti. Mnoho firem nabízí "tygří
team" nebo "samurajské" služby, kde se bezpečnostní experti pokoušejí doslova penetrovat
do korporátní sítě. Některé také používají techniky sociálního inženýrství, aby zhodnotily
i slabá místa lidského faktoru.
Existují rovněž programy na posouzení počítačové bezpečnosti. Tyto nástroje umožňují množství
systémových kontrol, jako například:
> Cracknutí hesla a kontrola účinnosti hesla, identifikace zranitelnosti hesel;
> Revize kontroly přístupu, identifikace účtů uživatele a přestoupení přístupových práv;
> Restrikce účtu uživatele, odkrytí pozastavených účtů uživatele, které mohou být přenastaveny
hackery;
> Kontrola důvěrnosti dat, prokázání efektivity strážců soukromí;
> Kontrola virů, zhodnocení zranitelnosti síťových souborů a jejich ztrát kvůli virové
infekci
Kromě periodického bezpečnostního auditu poskytuje software monitorující napadení aktivní
24-hodinový přehled a logování podezřelých aktivit. Některé z nich poskytují i výstražné
signály systémovým manažerům prostřednictvím slyšitelné výstrahy, pageru, e-mailu nebo jiné
interaktivní technologie. Systémoví manažeři definují podmínky alarmu, které mohou zahrnovat
opakované pokusy o zalogování, browsování zvědavých uživatelů, situace odmítnutí
služeb, zneužití administrativního ID a další. Nicméně slabým místem monitorovacího systému
je, že je v podstatě reaktivní - zaměřený na detekci průniků dříve, než způsobí škody -
než na prevenci jako takovou. Monitorovací nástroje by měly být použity ve spojení
s pro-aktivními auditorskými nástroji.
STANDARDY BEZPEČNOSTNÍCH TECHNOLOGIÍ
Pokud síťový manažer podcení otázku bezpečnostních technologií, dojde brzy ke zjištění,
že je to otázka až nepříjemně složitá. Různé navzájem konkurenční technologie, které
"oplývají" akronymy a dokonce jsou i relativně jednoduché bezpečnostní koncepty - jsou často
popisovány obskurními a těžko pochopitelnými způsoby. Ke složitosti ještě přidá, že je
mnoho společností, pracovních seskupení a úřadů, které jsou zodpovědné za tvorbu základů
dnešních bezpečnostních technologií.
S Internetem jakožto samozřejmou součástí počítačového světa, se ale do značné míry zklidnila
bouře různých přístupů. Dnes je přístup daleko čitelnější, výrobci bezpečnostních mechanismů,
kteří chtějí být bráni v potaz, musí akceptovat pravidla Internetu, který se řídí pravidly
definovanými organizací Internet Engineering Task Force (IETF) , pracovní skupinou zodpovědnou
za návrhy oficiálních standardů a protokolů používaných Internetem. V následujících
řádcích stručně popíšeme základní účely standardů informačních technologií, které by manažeři
měli znát, aby mohli zvážit různé alternativy technologií.
SSL: bezpečné obchodování online
Secure Socket Layer (SSL) "handshake" protokol byl vytvořen firmou Netscape
Communications, aby umožnil bezpečnost a ochranu soukromí Internetovým transakcím. SSL
je "vrstva" ve smyslu, že je nezávislá na aplikaci: jakmile je zahájeno spojení SSL, další protokoly
jako HTTP a FTP mohou být na ní transparentně vrstveny. Jedná se o přístup klient-server,
který používá i veřejný klíč i symetrickou enkrypci k ochraně před odposlechem informací
mezi systémy.
SSL "handshake" autentizuje server, i když je možná i autenizace volitelného klienta. Když klient
požaduje bezpečné spojení, server odpovídá posíláním digitálního certifikátu, který obsahuje
svůj veřejný klíč. Klient pak generuje hlavní (master) symetrický enkryptovací klíč, který
je enkryptován s veřejným klíčem serveru a poslán zpět. Obě strany teď privátně odsouhlasily
sdílenou symetrickou enkrypční metodu. Pro další bezpečnost je ustanovena druhá fáze
autentizace klienta: server pošle výzvu klientovi, který se pak musí autentizovat sám pomocí
svého digitálního podpisu.
SSL se rychle rozšířil jako jeden z nejpopulárnějších bezpečnostních protokolů a je široce využíván
a implementován v řadě oblastí vzhledem ke svému výkonu a jednoduchosti implementace.
Více informací o SSL najdete na adres http://www.ietf.org/html.charters/tls-charter.
html.
IPSec:bezpečnost při spojení přes Internet
Zatímco SSL je komerční řešení určené k implementaci bezpečnosti Webu, nezávislá organizace
IETF stanovila své vlastní specifikace implementace kryptografických autentizací, služeb
integrity a důvěrnosti ve vrstvě IP datagram. Práce skupiny IPSec definuje základy pro interoperativní,
bezpečné spojení host-to-host a client-to-host, známé jako VPN. Zatímco SSL dovoluje
dvěma systémům komunikovat bezpečně přes ne-bezpečné spojení, s IPSec je vytvořeno
bezpečné spojení mezi dvěma systémy.
Protože IPSec je vestavěný do síťové vrstvy, jakýkoliv protokol fungující ve vyšších vrstvách
může transparentně využívat služby enkrypce. Formát protokolu IPSec obsahuje autentizační
hlavičku (AH) a IP Encapsulating Payload (ESP), které jsou nezávislé na specifickém kryptografickém
algoritmu; protokol umožňuje encrypci ESP nebo obou složek - AH i ESP. IPSec používá
rámec Internet Key Exchange (IKE) pro management klíče (dříve nazývaný
ISAKKMP/Oakley, který také podporuje násobné algoritmy. Více informací o IPSec lze získat
na adrese http://www.ietf.org/html.charters/ipsec-charter.html.
S/MIME: Secure messaging
Internetová specifikace MIME (Multipurpose Internet Mail Extensions) umožňuje přidávat
k jednoduchým e-mailovým zprávám přílohy jako obrázky, audio nebo aplikační soubory.
S/MIME přidává bezpečnostní vlastnosti jako digitální podpis a služby enkrypce ke specifikaci
MIME, takže umožňuje uživatelům chránit soukromí e-mailové komunikace a příloh. Syntaxe
S/MIME byla odvozena z Kryptografických standardů veřejného klíče - konkrétně PKCS #7 -
který definuje chování systémů veřejného klíče. Více informací o S/MIME lze najít na adrese
http://www.ietf.org/html.charters/smime-charter.html. .
PKIX: IETF definuje mezioperační infrastrukturu veřejného klíče
Technologie veřejného klíče, jak bylo zmíněno v této brožuře, poskytuje důležité služby pro
identifikaci a autentizaci, soukromí, integritu a ne-odmítnutí. I když systémy veřejného klíče
mohou být implementovány v organizaci, výhodnější je ale jeho využití mezi organizacemi.
Proto byly firmou RSA Data Security, Inc. (původce technologie veřejného klíče) ve spolupráci
s konsorciem Apple, Digital Equipment, Lotus, Microsoft, MIT a Sun vytvořeny standardy
PKCS na podporu využívání mezioperační technologie veřejného klíče. Později byl IETF (skupinou
PKIX) převzat úkol definice standardu - mezioperačního přístupu PKI.
Skupina PKIX, jejímž cílem je posílit využívání bezpečnostních služeb veřejného klíče přes
Internet, zohlednila mnoho aspektů PKI, postaveného na standardu X.509, který definuje
služby seznamu (directory services) a certifikátů. Takže kromě specifikace základních mechanismů
enkrypce a popisu struktury veřejných a privátních klíčů, certifikátů a digitálních podpisů,
PKIX také definoval řízení certifikátů, protokolů pro hostitelské servery, fungování certifikační
autority a otázky politiky a administrace. Více informací lze najít na adrese
http://www.ietf.org/html.charters/pkix-charter.html.
Další standardy informační bezpečnosti
Výše uvedené standardy tvoří základy většiny bezpečnostních systémů, ale existují ještě další,
které potřebujeme znát:
CAPI - pojem CAPI (Cryptographic Application Programm Interface), rozhraní pro knihovnu
funkcí, které vývojoví inženýři mohou použít pro implementaci bezpečnostních a kryptografických
služeb ve svých softwarových aplikacích. Existuje několik CAPI, včetně RSA Cryptoki,
SNA Fortezza, GSS-API a další.
Od určité doby byl pojem CAPI používán pro Crypto API od Microsoftu. Byl ale vytvořen jako
alternativa standardu PKCS #11, který definuje přístup ke kryptografickým osobním údajům
(pověřovacím listinám) a k osobním údajům smart karet. Z důvodu požadavků na export vyžaduje
tento CAPI kryptografické produkty třetí strany, aby mohl být schválen Microsoftem,
proto nikdy nebyl široce využíván.
CDSA - Common Data Security Architecture - běžná architektura bezpečnosti dat - je alternativou
k CAPI, původně vytvořenému Intelem a IBM pro prostředí UNIX, nyní je vlastněn
Open Group. Tato bezpečnostní technologie se začíná poměrně rozšiřovat.
GSS-API - Open Group adoptoval Generic Security Service (Zákaldní bezpečnostní službu) specifikace
API jako prostředku pro implementaci bezpečnosti v distribuovaném počítačovém
prostředí. I když Verze 2 GSS-API byla zahrnuta ve standardech navržených pro Internet RFC
2078, podporuje jej jen několik výrobců.
Kerberos - přístup Kerberos k identifikaci uživatele a řízení přístupu je bezpečnostní standard,
protože to byl jeden z prvních systémů kontroly přístupu pro otevřené sítě a je ještě stále
široce využíván. Jeho výhody i nevýhody byly zmíněny v předešlé kapitole; skutečnost, že
PKI má širší škálu bezpečnostních služeb vede k tomu, že stále více zájemců využívá právě PKI
jako přístup vhodnější pro budoucí implementace.
RADIUS - Livingstone Enterprises (nedávno koupeni firmou Lucent Technologies) vytvořili
RADIUS (Remote Authentication Dial-In User Service), který umožňuje autentizaci, autorizaci
a služby accounting pro vzdálený přístup. Protokol RADIUS je nyní definován specifikacemi
IETF 2138 a 2139 RFC. Protokol funguje na modelu klient/server, s Network Access Severem
(NAS) funguje jako klient serveru RADIUS; NAS komunikuje s uživateli a posílá informace
o uživateli příslušnému serveru RADIUS, který provádí autentizaci uživatele a pak vrací informaci
o konfiguraci nutnou k zajištění služeb uživateli. Jedna ze silných stránek RADIUSu je,
že umožňuje centrální řízení hesel uživatelů a informace o účtech.
RSA SecurID - RSA SecurID a RSA ACE/Server společně tvoří známý dvoufaktorový autentizační
systém a nabízí nejširší kompatibilitu se síťovým zařízením. Kromě autentizačního přístupu
přes vzdálený log-in může být tento systém použit také na ochranu lokálního přístupu LAN,
bezpečná řešení extranetu, ochranu administrativních konzol a pro silnou autentizaci řešení
PKI.
SET - Visa a Mastercard společně vytvořily protokol Secure Electronic Transsaction (SET) jako
metodu pro bezpečné a levné používání bankovních karet přes otevřené sítě. SET obsahuje
protokoly pro nákup zboží a služeb elektronicky, mimo jiné požadují autorizace plateb a osobní
identifikační údaje. SET je podporován, aby se stal otevřeným pro průmyslové využití k
vývoji aplikací; zatím nedosáhl velkého rozšíření.
TACACS+ - Akronym pro Terminal Access Controller Access Control System, TACACS a posílený
TACACS+ byly vytvořeny firmou Cisco Systems jako prostředek centrálního prověření uživatelů
usilujících o přístup k serveru přes směrovač. Protokol poskytuje detailní informace o
účtech a pružnou administrativní kontrolu autentizačních a autorizačních
procesů.
SOUHRN
Obchodování přes Internet je asi nejsilnějším faktorem, který v posledních letech snad nejvíce
ovlivnil vývoj bezpečnostních technologií. Vzhledem k tomu, že stále více organizací má
zájem automatizovat svoje transakce se zákazníky, dodavateli a partnery bude tento trend
pokračovat.
Základní zadání informační bezpečnosti ale zůstává nezměněno: poskytnou autentizaci,
identifikaci uživatele, ochránit soukromí dat, integritu dat a poskytnou služby ne-odmítnutí.
Věříme, že výhody bezpečnostní technologie umožní elektronickému obchodování rozkvět
a poskytování takových služeb, které budou rychlejší a pohodlnější pro uživatele a současně
dobře implementovatelné pro organizace.
Přáli bychom si, aby tento Průvodce pomohl uživatelům porozumět základům technologií informační
bezpečnosti.
O FIRMĚ RSA SECURITY INC.
Společnost RSA Security inc., nejdůvěryhodnější jméno v oblasti e-security, je zaměřena na silnou
autentizaci, enkrypci a systémy řízení veřejného klíče, které pomáhají organizacím řídit
e-business. RSA Security má vynikající technologickou zkušenost a vedoucí postavení při řešení
vyvíjejících se požadavků na bezpečnost pro e-business a podporuje tak důvěryhodnost
současnému on-line obchodování. Dnes využívá autentizační systémy RSA SecurID více než
5 milionů uživatelů, více než 450 milionů technologií enkrypce RSA BSAFE je po celém světě.
Rodina produktů Keon od firmy RSA je mezioperační, založena na standardech PKI a pomáhá
organizacím řídit digitální certifikáty, aby byla zajištěna jejich autentizace, důvěrnost
a legálnost elektronických komunikací a transakcí.
SLOVNÍK
3DES
viz Triple-DES
ACL (Access Control List)
Centrální seznam bezpečnostních práv pro každého zaměstnance u příslušné organizace.
Algorith - Algoritmus
Složitá matematická funkce použitá pro enkrypci (zašifrování) a dekrypci (dešifrování) privátních
informací.
ANSI (American National Standards Institute)
Organizace, která vytváří standardy DES.
API
Applicaton Programming Interface - sada programovacích pravidel použitých k vytvoření nebo
modifikaci aplikačního kódu.
Applet
Malý program napsaný v jazyku Java Sun Microsystems; může fungovat jako virus Trojský kůn.
Application-level firewall
Firewallový systém fungující na aplikační vrstvě, používaný k re-adresaci výstupního
Internetového provozu jako štít privátních IP adres.
Application security - Aplikační bezpečnost
Bezpečnost posílená individuálními softwarovými aplikacemi; raději než globální síťovou
úrovní.
Asymetrická enkrypce
Kryptografický přístup, který používá jeden klíč pro enkrypci a jiný klíč pro dekrypci stejné
zprávy - základ tzv. "Public Key Infrastructure". Porovnej se symetrickou enkrypcí.
Attack - Útok
Pokus vstoupit nebo zničit soukromé informace, komunikace nebo zdroje neautorizovanou
stranou, aktuální hrozba.
Audit
Proces zhodnocení bezpečnosti IT organizace nebo systému.
Authentication - Autentizace
Proces ověření identity konkrétního systému.
Autentikační server
Server, který síti poskytuje autentikační služby.
Authentication token - Autentikační token
Zařízení, které autorizovaným osobám generuje kódy za účelem prokázání jejich indentity
ve dvou-faktorovém autentizačním systému. Existuje hardwarový nebo softwarový token,
který se také nazývá "autentizátor".
Authorization - Autorizace
Umožnění vhodných přístupových práv autentizovanému uživateli.
Availability - Dostupnost
Funkčnost počítačového systému; cílem některých hackerských útoků je eliminovat dostupnost
klíčového systému.
Backdoor - "Zadní vrátka"
Nedokumentovaný nebo protiprávní vstupní bod do chráněného systému, často vytvořený
systémovým programátorem nebo instalovaný úspěšný hackerem.
Bastion host - Ochranná bašta
Bezpečnostní systém, například firewall, který je umístěn mezi dvěmi sítěmi, servery jako
první linie obrany.
Belt and suspenders - Pás a suspendory
Využití redundantních bezpečnostních systémů, jako Bastion host k posílení bezpečnosti
informací.
Biometrics - Biometrika
Autentizace uživatelů založená na jedinečných fyzických charakteristikách jako jsou otisky
prstů, scan duhovky, hlasový otisk, geometrie ruky a dalších.
Block cipher - Bloková šifra
Enkrypce podobná DES, která láme informace do bloků příslušné velikosti; srovnej s proudovou
šifrou.
Boot control
Ochrana přístupu na PC správným heslem (nebo bezpečnostní metodou).
Breach - Průlom
Úspěšný útok proti chráněným informacím nebo zdrojům.
Broadcast revocation list - Seznam odvolaného vysílání
Metoda pro komunikování odvolaných certifikátů v systému veřejného klíče.
Boroadcast storm firewall - Firewall vysílací bouře
Firewallový systém k zastavení vysílání bouří útoků, při kterých násobné vysílání packetů
přeplní síť.
Browser - Prohlížeč
Software jako Netscape Navigator nebo Microsfot Internet Explorer, užívany k prohlížení
webových stránek na Internetu nebo firemního Intranetu.
Brute force - Brute force
Hackerská technika, která používá pouhé opakování spíše než logické překonávání ochrany;
užívá se k testování alternativ hesla nebo k lokalizaci aktivních modemových linek.
CA
Viz Certificate authority
Callback - Zpětné volání
Bezpečnostní přístup při kterém spojení vzdáleného přístupu do soukromé sítě může být
umožněno jen v případě, když interní server aktivně "zavolá" na předem ověřené telefoní číslo.
CAPI (Cryptographic Application Programming Interface)
Standardizovaný způsob programování bezpečnostních vlastností do systémů.
CDSA
CAPI vytvořený Intelem a IBM, dnes vlastněný Open Group; bezpečnostní programovací
standard.
Cert
Digitální cerifikát.
Certificat - Certifikát
Struktura dat používaných v systému veřejného klíče k přidělení příslušného, autentikovaného
uživatele a příslušnému veřejnému klíči.
Certificate authority - Certifikační autorita (CA)
V systému veřejného klíče důvěryhodná strana, která ověřuje autenticitu individuální nebo
systému, a vydává certifikáty nebo digitální podpisy.
Certificate revocation list (CRL) - Seznam odvolaných certifikátů
Seznam odvolaných (neplatných) certifikátů od certifikační autority. Odvolání může být z důvodu
časového zpoždění, změny zaměstnanců, krádeže soukromého klíče nebo z jiných důvodů.
CHAP Challenge - Výzva CHAP
Autentikační protokol "potřesení rukama"; přihlašovací protokol pro spojení dial-up, které
obsahuje možnosti Výzva / odpověď.
Challenge/Response - Výzva/odpověď
Autentizační přístup, kde autentizační server poskytuje zprávu (výzvu), kterou musí uživatel
řádně procesovat a odpovědět k prokázání identity.
Cipher (or ciphertext) - Šifra (nebo šifrovaný text)
Informace, který byla enkryptována do nesrozumitelné formy.
Clear - Čistý
Komunikace, které nejsou enkryptovány.
Clear text - Čistý text
Zpráva, která nebyla enktryptována.
Confidentiality - Důvěrnost
Omezení komunikace se soukromým obsahem jen ke známým, autorizovaným stranám.
Crack
Překonání ochrany heslem nebo enkrypce. Crack je rovněž název populární utility na obejití
hesla.
Cracker
Hackerský termín pro "principiálního hackera"; srovnej s hackerem.
CRL
Viz Certificate revocation list.
Cryptography - Kryptografie
Obor zabývající se překladem informací do nešifrovatelných kódů, dostupných pouze autorizovaným
stranám.
Datagram
Při přenosu IP, tělo zprávy, která následuje za hlavičkou.
Data integrity - Integrita dat
Důkaz, že soubor nebo komunikace byla nezměněna od svého vzniku.
DCE (Distributed Computing Environment - Distribuované počítačové prostředí)
Mezisíťové aplikačníi prostředí definované nadací Open Software (dnes nazývané Open
Group).
Decryption - Dekrypce
Uvedení šifrovaného textu do jeho původní čitelné podoby.
Denial of service - Odmítnutí služby
Hackerský útok s cílem shodit nebo zahltit kritický systém, jako je autentizační server
nebo Web server.
DES (Data Encryption Standard) - Stadard datové enkrypce
Nejběžnější symetrická metody enkrypce. Poskytuje rychlý průběh, a jako taková je často
používána společně s metodou asymetrické enkrypce k enkrypci dlouhých textů.
Dial-up
Spojení vzdáleného přístupu do sítě organizace přes telefonní linku a modem.
Diffie-Hellman key agreement - Smlouva o klíči Diffie a Hellman
Přístup, kde dvě strany mohou komunikovat v "cleartextu" pomocí symetrické enkrypce,
bez kompromisu na utajení klíče samotného.
Digest - Výtah, zhuštění
Část dat smíchaných příslušnou jednosměrnou funkcí - slouží jako unikátní otisk prstu
původního dokumentu, používaného v digitálním podpisu k poskytnutí ujištění o integritě dat.
Digital certificate - Digitální certifikát
Struktura dat využívána v systému veřejného klíče pro přidělení příslušného, autentizovaného
uživatele k příslušnému veřejnému klíči.
Digital signature - Digitální podpis
Technika k prokázání, že zpráva nebyla změněna, s využitím kryptografie veřejného klíče.
Příklad: Změněný Digest zprávy je vytvořen, enkryptován osobním klíčem odesílatele a obsahuje
zprávu samotnou (v příloze je tajný otisk prstu originálního souboru). Adresát používá
veřejný klíč odesílatele k dekrypci Digestu, který je pak srovnán se změněným Digest aktuální
obdržené zprávy.
Directory - Seznam
V kryptografii veřejného klíče - tabulka jmen uživatelů a veřejných klíčů založená na standardech
jako jsou X.509 nebo SPKI.
Distinguished name - Jedinečné jméno
V kryptografii veřejného klíče - koncept, podle kterého každý jednotlivec musí mít unikátní
jméno v seznamu.
DSA (Digital Signature Algorithm) - Algoritmus digitálního podpisu
Altgoritmus pro použití v digitálních podpisech, jak jej definoval NIST ve svých Standardech
digitálního podpisu (DSDS - Digital Signature Standard).
DSS (Digital Signature Standard) - Standardy digitálního podpisu
Standard pro digitální podpisy definován organizací NIST.
Dumpster diving - Potápění v odpadu
Metoda získávání soukromých informací vyhledáváním v trashi (odpadkový koš informací).
Dynamic authentication server - Server dynamicke autentikace
Autentizační server, který podporuje hesla na jedno použití.
Elliptic curve algorithm - Algoritmus eliptické křivky
Alternativa k algoritmu RSA a DSA pro generování digitálních podpisů; elipsa je složitější
matematický problém k řešení, umožňuje silnější kryptografický výsledek s kratším klíčem.
Encryption - Enkrypce
Překlad informace do šifrovaného textu, čitelného pouze autorizovanými stranami.
Encryption algorithm - Enkryptovací algoritmus
Matematická formule užívaná k enkrypci informace.
ESP (Encapsulation Security Payload) - Enkapsulace bezpečnostní zátěže
Enkrypce IP datagramu. Viz také IPsec.
Event detection - Detekce události
Přístup k bezpečnosti informací, který se zaměřuje na detekci pokusů o průnik jako prostředku
posílení měřítek a politiky bezpečnosti.
Extranet
Zpřístupnění informací soukromé sítě autorizovaným stranám vně organizace za použití
technologie Internetu.
Firewall
Systém pro izolaci a ochranu sítě typicky používaný k ochraně uživatelů Internetu před
průlomy do privátní sítě.
Flooding - Přetečení
Přetížení systému příchozími zprávami s cílem učinit jej nedostupným.
GSSAPI (Generic Security Services API) - Generické bezpečnostní služby API
Standard pro implementování bezpečnostních služeb softwarem, který umožňuje aplikacím
poskytovat pověřovací listiny uživatelů navzájem bez vynucování re-autentizace.
Hacker
Osoba, která se snaží napadnout počítačový bezpečnostní systém.
Hand geometry - Geometrie ruky
Biometrický autentizační přístup, založený na rozpoznání jedinečných charakteristik ruky
jedinců, méně ohrozitelný než scan duhovky nebo jiné biometrické techniky.
Hardware token - Hardwarový token
Zařízení, většinou velikosti kreditní karty, generující kód, který autorizovaný uživatel používá
k autentizaci při přihlášení do bezpečné sítě nebo aplikace.
Hash code - Kód Hash
Krátký šifrovaný text vytvořený jednocestným hash algoritmem, poskytuje jedinečný "otisk
prstu" všech symbolů příslušného dokumentu bez potřeby dekrypce.
Hash Funcion - Funkce Hash
Také jednocestný hash algoritmus; matematická formule, která transformuje blok textu
do unikátního bloku šifrovaného textu pevné délky.
Hijack - Únos
Přerušení existující komunikace a převzetí kontroly nad ní, aniž by to jedna ze stran rozpoznala.
Rovněž se nazývá "únos spojení".
HTTPS
Enkrypce Secure Sockets Layer (SSL) používaná u Webového prohlížeče.
IAB (Internet Activities Board - Výbor pro Internetové aktivity)
Organizace zodpovědná za koordinaci vývoje, designu a řízení Internetu. Její dvě hlavní
části jsou IRTF (zodpovědná za dlouhodobý výzkum a projektování) a IETF (zodpovědná
za krátkodobé vývojové záležitosti).
IDEA (Internation Data Encryption Algorithm - Mezinárodní algoritmus datové enkrypce)
Standard symetrické enkrypce populární v Evropě.
Identification - Identifikace
Rozpoznání konkrétní osoby počítačem pomocí uživatelského jména, certifikátu anebo
jiného faktoru.
Identity-based policy - Politika založená na identitě
Bezpečnostní politika založená na definování bezpečnostních práv všem příslušným osobám
v organizaci; srovnej s politikou založenou na rolích (role-based policy).
IESG (Internet Engineering Steering Group - Řidící skupina vývoje Internetu)
Vůdčí organizace IETF, která doporučuje standardy pro Internet.
IETF (Internet Engineering Task Force - Skupina projektování vývoje Internetu)
Organizace rozhodující o krátkodobých vývojových aspektech Internetu. Srovnej s IRTF a IESG.
IKE
Část protokolu IPSec; specifikuje, zda a jak zařízení sdílejí veřejný klíč při vytvoření enkryptovaného
tunelu. Dříve nazýván ISAKMP/Oakley.
Information security - Bezpečnost informací
Přístup k síťové bezpečnosti, který zdůrazňuje bezpečnosti individuálních informací a aplikací
před síťovým spojením serverů a routerů.
Infrastructure - infrastruktura
Hardwarová, Softwarová a firmwarová zařízení používaná pro síťové služby.
Insider - Vnitřní hráč
Pro účely bezpečnosti informací - hrozba vznikající uvnitř organizace.
Integrity (Data integrity) - Integrita data
Odkazuje na duplikovanou nebo přenesenou verzi, která potvrzuje věrnost originálu různými
způsoby.
Integrity check-value - Kontrolní hodnota integrity
Hodnota kalkulovaná z obsahů zpráv, použitá v systému symetrického klíče k ověření,
že původní zpráva nebyla napadena; srovnej s digitálním podpisem.
Internet
Globální veřejná počítačová síť postavená na IP protokolu.
Intranet
Použití Internetové technologie (obzvláště prohlížeče) v privátní síti.
IP (Internet Protocol)
Protokol používaný na Internetu k definici spojení mezi počítači.
IPRA (Internet Policy Registration Authority - Úřad strategie registrace na Internetu)
Nejvyšší certifikační autorita v systému Privacy Enhanced Mail (PEM).
IPsec
Sada protokolů vyvinutých organizací IETF za účelem posílení bezpečnostních vlastností IP
vrstvy; používá se pro implementace bezpečných spojení jako jsou VPN. Viz také IKE, "transport
mode" a "tunnel mode".
IP spoofing - Napodobení IP adresy
Hackerský trik, při kterém se používá falešná IP adresa k získání přístupu ke chráněným zdrojům;
UNIXové systémy často používají příchozí IP adresy jako formu autentizace.
IRTF (Internet Research Task Force) - Jednotka výzkumu Internetu
Organizace, která navrhuje dlouhodobé technologické alternativy vývoje Internetu.
ISO (International Organization for Standardization) - Mezinárodní organizace standardů
Organizace, která definuje standardy, definovala sedmivrstvý referenční model OSI (Open
Systems Interconnect) pro sítě.
ISP (Internet Service Provider - Poskytovatel Internetových služeb)
Společnost, která poskytuje přístup k Internetu nebo dalším síťovým službám jedincům
i organizacím.
Issuing authority (IA)
Synonymum pro certifikační autoritu.
ITU (International Telecommunication Union) - Mezinárodní telekomunikační unie
Agentura Spojených národů známá vytvořením standardu seznamu X.500. Její výbor CCITT byl
zodpovědný za doporučení mnoha telekomunikačních standardů.
KEA (Key Exchange Algorithm - Algoritmus výměny klíče)
Veřejný prostředek odsouhlasení klíče symetrické enkrypce, aniž by byl odtajněn. Vláda USA.
klasifikovala implementaci Klíče Diffie-Hellman, používaného ve vojenství.
Kerberos
Autentizace a autorizace klient-server vyvinutá organizací MIT v sedmdesátých letech;
používá symetrickou enkrypci.
Key - Klíč
Tajemství použité pro enkrypci a dekrypci šifrovaného textu; bezpečnost enkrypce závisí
na utajení klíče.
Key pair - Pár klíčů
Dva klíče generované v asymetrické enkrypci; cokoliv jeden klíč enkryptuje, druhý dekryptuje.
Často použito jako veřejný a privátní klíč v PKI.
L2F (Layer 2 Forwarding) - Forwardování druhé vrstvy
Posílení PPP firmou Cisco Systems, vytvořené proto, aby bylo možné realizovat VPN. Spojením
s PPTP vznikne L2TP.
L2TP (Layer 2 Tunneling Protocol) - Tunelling protokol druhé vrstvy
Posílení PPP, vytvořeného kombinací PPTP od Microsoftu a L2F od Cisco Systems, které umožní
bezpečné spojení (nebo tunely) mezi body v Internetu.
LDAP (Lighteweight Directory Access Protocol)
Zjednodušená implementace standardů X.500, které jsou kompatibilní s TCP/IP sítěmi.
MAC (Message Authentication Code) - Autentizační kód zprávy
Funkce, která transformuje vstupy různých délek za použití tajného klíče k vytvoření unikátního
výstupu pevné délky, který slouží jako druh "otisku prstu" původního souboru. MAC může
být funkce "hash", řada šifer nebo blok šifer.
Man in the middle - Muž uprostřed
Hackerský útok, při kterém se hacker umístí mezi dvě nic netušící komunikující strany.
Masquerade - Maškara
Hackerský útok, při kterém hacker podvodně používá identitu jiné osoby.
Message digest - Digest zprávy
Šifrovaný text citlivé zprávy generovaný funkcí hash, použitý k ověření integrity komunikace.
MD5
Funkce hash vyvinutá laboratořemi RSA.
MIME (Multipurpose Internet mail Extension) - Mnohafunkční rozšíření funkce mailu
Standardy pro připojení dalších souborů nebo informací k e-mailovým zprávám.
Modulus
Celé číslo použité v kryptosystémech jako základ kryptografických transformací.
Non-repudiation - Ne-odmítnutí
Neschopnost popřít akce. Ne-odmítnutí příjmu chrání před zapřením přijetí zprávy.
Ne-odmítnutí původu chrání před popřením původce zprávy; ne-odmítnutí odeslání poskytuje
důkaz o tom, že zpráva byla odeslána v příslušný čas a datum.
One-time password - Jednorázové heslo
Systém, ve kterém je možné jedno heslo použít pouze pro jeden přístup, schéma změny
hesla je známa jen autorizovanému jedinci a bezpečnostnímu serveru.
One-way function - Jednocestná funkce
Kryptografická funkce k transformaci zdrojových dat do evidentně nesrozumitelných dat;
výsledný šifrovaný text je jedinečný a nemá být dekryptován.
Open Group
Průmyslová asociace, která řídí otevřené standardy v prostředí UNIX. Dříve se nazývala Open
Software Foundation.
OSI
Průmyslová asociace, která formalizovala sedmivrstvý model používaný v TCP/IP.
OTP (One-Time Password) - Jednorázové heslo
Speciální implementace schématu jednorázového hesla pro použití v nezabezpečených sítích,
kde aktuální heslo nemůže projít sítí.
PAC (Privilege Attribute Certificate) - Atribuční certifikát práv
V systému "Single Sing-On" založeném na PKI - digitální certifikát, který obsahuje práva
uživatele. Doprovází certifikát X.509, který prokazuje identitu.
Packet
V telekomunikaci rozpoznatelný "balík" informací, který prochází telefonními linkami nebo
sítí.
Packet filtering - Filtrování paketů
Přístup používaný některými Firewally k ochraně před nelegálními přístupy. Je založen
na atributech přenášených paketů.
Packet switching
Technologie pro řízení provozu v síti, kde jsou zprávy rozděleny do malých paketů; zajišťuje,
aby individuální komunikace nezabírala šířku pásma.
Passive attack - Pasivní útok
Hackerský útok, který nevyžaduje žádnou aktivitu ze strany hackera, například "sniffing".
Password cracking - Cracknutí hesla
Hádání dekrypce platných hesel
PAP (Password Authentication Protocol) - Protokol autentizace hesla
Populární protokol na posílení ochrany hesla.
Perimeter - Obvod
Fyzická hranice privátní sítě, definovaná routery a porty RAS.
PGP (Pretty Good Privacy )
Systém enkrypce podporovaný Network Associates.
PIN (Personal Identification Number)
Osobní identifikační číslo.
PKCS (Public Key Cryptography Standards) - Kryptografické standardy veřejného klíče
Sada standardů veřejného klíče vytvořená laboratořemi RSA a konsorciem technologických
společností pro propagaci adopce technologie veřejného klíče.
PKI (Public Key infrastructure) - Infrastruktura veřejného klíče
Systém, který používá asymetrickou enkrypci pro důkaz indentity, ochranu soukromí dat,
ne-odmítnutí a integritu dat. Digitální certifikáty a digitální podpisy jsou součástí PKI.
PKIX
Skupina IETF, která artikuluje standardy veřejného klíče pro používání na Internetu.
Plaintext
Ne-enkryptovaná zpráva nebo data.
Policy - Politika
Obchodní pravidla použitá k řízení chování zaměstnanců v oblasti bezpečnosti sítě; bezpečnostní
politika určuje výběr bezpečnostní technologie.
Port
Fyzický nebo logický bod spojení; jeden směrovač může podporovat velký počet logických
portů současně.
PPTP (Point to Point Tunneling Protocol)
Protokol spojení vyvinutý Microsoftem a forem PPTP, který umožňuje enkrypci spojení VPN.
Spojením s L2F (Layer 2 Forwarding) od firmy Cisco Systems tvoří Tunelling protocol 2. vrstvy
(L2TP).
Private Key - Soukromý klíč
V asymetrické enkrypci nebo PKI, důvěrný klíč enkrypce, kterým disponuje výhradně příslušný
uživatel. Soukromý klíč může být použit k enkrypci zprávy, která poskytuje důkaz autenticity
vytvoření zprávy při dekrypci korespondujícím veřejným klíčem; protože privátní klíč může
být také použit k dekrypci zprávy, chrání důvěrnost také příchozí komunikace před ostatními,
kteří používají veřejný klíč k enkrypci zpráv.
Private network - Soukromá síť
Počítačová síť vlastněna příslušnou organizací a postavena na médiích datového přenosu;
srovnej s Internetem.
Profile - Profil
Bezpečnostní administrátorská data příslušného uživatele, obsahují jméno, místa a přístupová
práva.
Protocol - Protokol
Odsouhlašená sestava akcí, která strukturuje nastavení mezi počítači/servery.
Proxy
Počítač/sever, který nahrazuje jiný; použitý například příslušnými firewallovými systémy
k izolaci vnitřních počítačů/serverů od externích.
Public key - Veřejný klíč
Asymetrická enkrypce nebo PKI, klíč enkrypce určený pro bezpečnou komunikaci s držitelem
privátního klíče. Veřejný klíč může být používán k dekrypci zpráv tvořených uživatelem privátního
klíče, který umožňuje důkaz autenticity vytvořených zpráv; veřejný klíč uživatele může
být použit k enkrypci soukromých zpráv určených pro příslušného adresáta.
Public network - Veřejná síť
Počítačová síť jako Internet, která není vlastněna nebo řízena soukromým vlastníkem nebo
organizací.
RADIUS
Software služby "Remote Authentication Dial-In User Service", pocházející od Livingston
Technologies pro centrální řízení uživatelů a hesel.
RAS (Remote Access Server) - Server pro vzdálený přístup
Zařízení pro dial-up přípojení k síti.
RC2, RC4, RC5
Šifry vytvořené Ronem Rivetem z RSA Security.
Realm
Pododdíl sítě enterprise pro administrativní účely.
Relative distinguished name - Rozlišení jmen
Ve službách seznamu X.500 koncept definování jednotlivců tak, aby každý, dokonce
i v případě shody jmen, měl jedinečný přístup.
Remote Access - Vzdálený přístup
Schopnost připojení se (dial-in) k soukromé síti přes modem nebo telefonní linku.
Replay
Hackerský trik získání enkryptovaného hesla a jeho použití k ustanovení neoprávněného spojení;
začlenění časového razítka do hesla eliminuje toto riziko.
Repudiation - Odmítnutí
Popření důležitých faktů. Srovnej s pojmem Ne-odmítnutí (Non-repudiaton).
Retinal scan - Scan duhovky
Biometrická autentizace, která měří znaky duhovky oka jedince.
Reversible cryptosystem - Reverzní kryptosystém
Kryptografická technika používaná k enkrypci i dekrypci informace; srovnej s jednocestnou
funkcí hash.
RFC (Request For Comments) - Požadavek komentářů)
Dokument IETF, který stanoví odsouhlašené standardy.
Rogue - Darebák
Osoba nebo systém, jehož chování vybočuje z jeho práv.
Role-based policy - Politiky založená na roli
Přístup, který definuje přístupová práva na základě příslušných rolí nebo tříd zaměstnanců;
srovej s "identity-based policy".
Root-level authorization - Nejvyšší autorizace
Rozsáhlá přístupová práva, příslušející výhradně systémovým administrátorům.
Router - Směrovač
Zařízení umožňující provoz mezi sítěmi.
RSA
První kryptosystém veřejného klíče, patentovaný v roce 1983.
Samurai - Samuraj
Skrytý expert testující systémy ochrany sítě.
Sandbox
Java applet, který se chová nežádoucím způsobem (nazývá se "outside the sandbox") nebo se
vydává za virus nebo Trojského koně.
SATAN (Security Administrator's Tool for Analyzing Networks) - Bezpečnostní administrátorský
nástroj pro analýzu sítě
Software pro scanování sítě s cílem odhalení bezpečnostních slabin.
Scan
Technika bezpečnostního auditu, která obsahuje automatické testování všech systémů a typických
slabin.
Screening router - Monitorovací směrovač
Směrovač, který monitoruje provoz na základě obsahu paketů.
SDSI (Simple Distributed Security Infrastructure - Jednoduchá infrastruktura distribuované
bezpečnosti)
Návrh vytvořený Ronem Rivestem a Butlerem Lampsonem v roce 1996 na vytvoření jednoduché
alternativy k X.509
Secure - Bezpečný
Chráněný před možností porušení.
Security domain - Bezpečnostní doména
Rozsah síťové infrastruktury, kterou spravuje příslušný administrátor nebo bezpečnostní server.
SESAME
Systém "sign-on" hodně rozšířený v Evropě.
Session encryption - Enkrypce spojení
Enkrypce, která je používána v průběhu spojení, jako například bezpečné spojení k
Webovskému serveru pomocí SSL.
Session hijacking - Únos spojení
Hackerský přístup využívající "Maškaru" předstírající jednu z komunikujících stran v rámci
probíhajícího spojení.
SET (Secure Electronic Transaction) - Bezpečná elektronická transakce
Bezpečnostní přístup vyvinutý Visa a MasterCard na ochranu transakcí s kreditními kartami.
Shared secret - Sdílené tajemství
Klíč používaný v symetrické kryptografii.
S-HTTP
Bezpečnostní rozšíření HTTP určené pro autentizaci, integritu a služby důvěrnosti.
Signature scanning - Scanování podpisu
Metoda detekce viru, která scanuje příchozí soubory a hledá segmenty kódů charakteristické
pro známé viry.
S/KEY
Systém hesla na jedno použití vyvinuty Bellcore; zahrnutý v OTP.
SKIP (Simple Key management for IP) - Řízení klíče pro IP
Bezpečnostní přístup implementovaný na IP úrovni. Organizace IETF vybrala místo něj konkurenční
protokol IKE pro zahrnutí IPsec.
SKIPJACK
Blok šifer používaný v chipu Clipper projektovaným organizací NSA.
Smart card
Zařízení podobné kreditní kartě s pamětí a vestavěným CPU. Používá se k uložení osobních údajů
nebo dalších informací; může být použito pro účely autentizace.
S/MIME (Secure MIME)
Specifikace IETF, která definuje rámec pro enkrypci a/nebo digitální podpis elektronické zprávy,
nebo části zprávy.
Sniffing - "Čmuchání"
Použití monitorovacího software za účelem získání privátních informací ze sítě zvenku.
SPKI (Simple Public Key Infrastructure) - Infrastruktura jednoduchého veřejného klíče
Úsilí organizace IETF k vytvoření zjednodušené formy protokolů PKI.
SNMP (Simple Network Monitoring Protocol) - Jednoduchý protokol monitorování sítě
Protokol, kterým síťová zařízení komunikují s monitorujícím agentem.
Snooping - Nepovolené prohlížení
Hackerský útok, který používá logování do privátní sítě nebo serveru a jejich prohlížení.
SSL (Secure Sockets Layer)
Technika vyvinutá firmou Netscape pro tvoru a enkrypci spojení mezi dvěma aplikacemi za
použití technologie veřejného kklíče.
Social engineering - Sociální inženýrství
Hackerský pojem pro získání přístupových osobních údajů nebo dalších tajných informací
klamným jednáním s lidmi.
Soft token - Softwarový token
Softwarový token; softwarová utilita, která generuje vstupní kódy pro dvoufaktorový autentizační
systém.
SSO, SSSO (Singe Sign-On and Secure Single Sign-On)
Systematický přístup na poskytnutí přístupového práva, které chrání uživatele před redundantními
logy.
Stream cipher - Proudová šifra
Symetrická enkrypční technika, která operuje najednou s jedním bitem dat; srovnej s "block
sipher".
Symteric encryption - Symetrická enkrypce
Přístup, který používá k enkrypci i dekrypci stejný algoritmus nebo klíč; srovnej s "asymetrickou
enkrypcí".
Threat - Hrozba
Rozpoznané bezpečnostní riziko, srovnej s útokem.
Ticket - Lístek
V systému Kerberos - chráněný údaj, kterým se prokáže autentizovaný uživatel, aby mohl uplatnit
svá přístupová práva k cílovým serverům; srovnatelné s PCA (privilege attribute certificate)
v systému veřejného klíče.
Tokencode
Numerický kód generovaný každou minutu hardwarovým nebo softwarovým tokenem za účelem
silné dvoufaktorové autentizace.
Transform
Matematická metoda k aplikaci složité funkce nebo algoritmu na startovní hodnotu; výsledek
se nazývá "transform".
Transport mode
Modus enkrypce IPsec, kde obsah je enkryptován, hlavička zůstává nezměněna; srovnej s tunnel
modem.
Trapdoor
Tajná informace, která může být použita pro snadnou dekrypci.
Triple-DES
Technika, pomocí která se umocní efekt enkrypce DES; daná zpráva je enkryptována třikrát
násobným použitím klíčů DES.
Trojan horse - Trojský kůň
Hackerský útok, při kterém je ničící nebo škodlivý mechanismus (virus nebo zpětná vrátka)
ukrytý v nevinně vypadajícím souboru.
Trust - Důvěra
V bezpečnostní terminologii tento pojem definuje vztah mezi dvěma stranami nebo počítači,
kde jistá práva jsou garantována důvěryhodným stranám.
Trusted third-party - Důvěryhodná třetí strana
Spolehnutí se na třetí stranu, jako například certifikační autoritu, s cílem zaručit identitu jednoho
nebo obou členů transakce.
Tunnel - Tunel
Spojení mezi počítači, které umožní utajení komunikace; používá se pro vytvoření VPN.
Tunnel mode - Modus tunelu
Modus enkrypce IPsec, kde celá zpráva, včetně hlavičky i obsahu, je enkryptovaná; je to bezpečnější
než transport mode.
Two-factor authentication - Dvoufaktorová autentizace
Účinnější než autentizace heslem, je založena na přítomnosti dvou faktorů; jeden faktor uživatel
zná (například PIN) a druhý vlastní.
VeriSign
Výrobce systému PKI a certifikační autorita.
Virus
Program k utajenému napadení počítačového systému.
Virtual Private Network
Použití enkryptovaného tunelu ve veřejné síti s cílem poskytnout utajení důvěrné komunikace.
VPN
Virtual Private Network
Web Spoofing
Předstírání platné webovské stránky s cílem poškodit návštěvníky.
Worm - Červ
Počítačový virus, který se po aktivaci replikuje sám do mnoha souborů a systémů.
X.3.92
Specifikace ANSI z roku 1980, která standardizuje DES.
X.400
Standrd ISO/ITU, který definuje e-mailové adresy.
X.500
Standardy ANSI, které definují služby seznamu (directory services), včetně digitálních certifikátů.
X.509
Standard, který definuje digitální certifikát.
Zero-knowledge technique - Technika neznalosti informace
Kryptografický systém, kde důkaz autenticity se prokáže tím, že jedinec vlastní příslušnou informaci,
aniž by odhalil obsah této informace.
Aby bylo možné na vysoké úrovni poskytovat služby a implementace v IT prostředí,
klade SOLUTEX s.r.o. velký důraz na globální přístup k zákaznickým systémům.
Z tohoto důvodu se profiluje na trhu informačních technologiií i jako inženýrsko-dodavatelská a montážní firma, která má k dispozici pracovníky s mnohaletými a bohatými zkušenostmi s řízením náročných projektů. Budujeme technické infrastruktury s profesionálním dohledem a uplatněním nejmodernějších a zároveň osvědčených technologií. Hlavním dodavatelem síťových aktivních prvků je společnost CISCO.
Network infrastructure
. Strukturované kabelážní systémy - metalické i optické, bezdrátové komunikace,
aktivní prvky LAN, WAN a MAN, prvky WDM a DWDM, multiplexory, konvertory médií,
rychlostí apod. Dodáváme také slaboproudé technologie STA, EZS, EPS, BIS KV,
CCTV, IP EZS, revize EPS, rozvody nn 230/400V - standardní elektromontážní
práce včetně revizí.
Power backup (záložní zařízení)
. Zdroje ups
RSA, bezpečnostní divize společnosti EMC dokončila integraci řešení enVision s platformou Cisco Mobility Services Engine. Tato integrace pomůže organizacím zlepšit provoz IT, vynucovat bezpečnostní politiky a urychlit reakci na bezpečnostní hrozby, protože v reálném čase poskytuje IT specialistům užitečné informace o událostech, mezi něž patří i fyzická poloha uživatelů, systémů a zařízení připojených k bezdrátovým sítím.
Platforma RSA enVision načítá data ze systému Cisco Mobility Services Engine a zprostředkovává zákazníkům data o fyzické poloze statických i mobilních uživatelů a o využití výpočetních a síťových prostředků na pracovišti i mimo ně. IT specialisté tedy mohou formulovat takové politiky bezdrátové sítě, které přesně odpovídají podnikatelským potřebám, a naopak nemusí implementovat omezení, která by překážela legitimnímu firemnímu provozu.
Po integraci s řešením Cisco Mobility Services Engine umožňuje platforma RSA enVision zákazníkům zkrátit čas potřebný k prošetření bezpečnostních incidentů, neboť současně s bezpečnostní výstrahou poskytuje informace o fyzické poloze uživatelů a systémů. Díky tomu může tým specialistů na zabezpečení IT rozpoznat hrozby a reagovat na ně rychleji s využitím přesnějších informací, mezi něž patří i fyzická poloha.
Vzhledem k tomu, že údaje o každém bezpečnostním incidentu obsahují fyzickou polohu, není nutné ručně porovnávat seznamy IT aktiv s daty o hrozbě. Je tedy možné rychle stanovit priority různých událostí a vztahů mezi nimi v jediném zobrazení, což snižuje celkové náklady a zkvalitňuje provozní zabezpečení.
Platforma RSA enVision je navržena tak, aby shromažďovala tisíce až miliony událostí nebo položek auditovacího protokolu ze stovek až tisíců síťových, bezpečnostních, hostitelských, aplikačních nebo úložných zařízení a rychle tato data prezentovala jako užitečné informace, pomocí kterých mohou IT specialisté na zabezpečení odhalit potenciální problémy a činit kvalifikovaná rozhodnutí směřující ke snížení celkového bezpečnostního rizika. Z pohledu provozního zabezpečení lze pomocí takovýchto informací vytvořit proces pro zpracování incidentů v uzavřené smyčce, který začíná v reálném čase výstrahou zabezpečení nebo porušením některé ze zásad.
Integrace produktů RSA enVision a Cisco Mobility Services Engine je již dostupná v rámci platformy RSA enVision.
RSA uvádí nová zařízení enVision
RSA, bezpečnostní divize společnosti EMC, představila vylepšení své platformy RSA enVision, uceleného a integrovaného řešení "3 v 1" v oblasti SIEM (Security Information and Event Management). Platforma RSA enVision 4.0 je navržena tak, že usnadňuje dodržování zákonných požadavků, vylepšuje efektivitu a zabezpečení provozu, omezuje rizika a dále optimalizuje provoz IT a sítí. To vše je zajištěno díky automatizovanému sběru dat z celého IS, jejich analýze a korelaci, notifikacím, auditu, tvorbě sestav a bezpečného ukládání těchto dat.
Nejnovější verze platformy RSA enVision obsahuje nové funkce, které zákazníkům dovolují ohodnotit konkrétní hrozby patřičnou úrovní rizikovosti a umožňují tak IT organizacím přesně vyladit efektivitu bezpečnostních politik, pravidel, procesů a ostatních prostředků. Tyto nové funkce jsou navrženy tak, aby zákazníkům pomohly zkrátit dobu odezvy při bezpečnostním či jiném incidentu a zlepšit efektivitu a produktivitu bezpečnostních specialistů.
Mezi hlavní nové funkce patří:
Schopnost poskytovat bezpečnostním analytikům podstatné informace v reálném čase
Integrace s jinými produkty pro správu konfigurací a vyhodnocení slabých míst spojená s poskytováním pravidelných informací o hrozbách a slabých místech.
Vylepšené notifikace, které upozorní analytiky v případě výskytu vysoce rizikových slabých míst nebo útoku na taková místa.
Vylepšená korelační pravidla, která lze snadno přizpůsobit prostředí zákazníka a pomoci tak rozpoznat hrozby s nejvyšší prioritou.
Zefektivnění reakcí na útoky
Rozhraní přímo navržené pro analýzu bezpečnostních incidentů, ve kterém mohou analytici snadno vyhodnotit události předcházející danému útoku a monitorovat vývoj incidentu v reálném čase.
Zpřístupnění podrobnějších informací o aktivech a slabých místech pro bezpečnostní analytiky, kteří tak mají při analýze útoku k dispozici širší kontext.
Integrace se systémy typu "help desk", která dovoluje automaticky přesunout informace o útocích do těchto systémů a po jejich uzavření odeslat stav zpět platformě RSA enVision (tzv. uzavřená smyčka). Tato integrace umožňuje lépe přizpůsobit procesy zabezpečení provozu podniku, jako je například řízení úrovně služeb (SLA).
Zlepšený přehled o účinnosti bezpečnostních opatření
Více informací o tom, jak dochází k útokům, jak jsou předávány a jak na ně probíhá odezva. Díky těmto informacím mohou bezpečnostní manažeři rozpoznat slabá místa v procesu reakce na útoky.
Více informací o slabých místech pomáhá manažerům a bezpečnostním analytikům určit priority činností, a to díky vyhodnocení, který z hostitelských systémů je nejslabší nebo mu hrozí nejvyšší riziko napadení.
Zlepšení přístupu k informacím o hrozbách a nových trendech v útocích, což pomáhá manažerům a bezpečnostním analytikům získávat přehled o tom, které z bezpečnostních prvků fungují, a na které oblasti je naopak potřeba soustředit pozornost.
Společnost RSA posiluje svou nabídku na trhu systémů SIEM a představuje dva nové modely z řady zařízení na platformě RSA enVision. Modely ES-1260 a ES-3060 jsou speciálně navrženy pro zákazníky z řad středních podniků, kterým umožní monitorovat velký počet zařízení, jež vytvářejí malý objem provozu událostí. Patří k nim například maloobchodní prodejci, kteří musejí vyhovět požadavkům poskytovatelů platebních karet. Model ES-1260 aktuálně podporuje až 600 zařízení a objem událostí v hodnotě až 1 200 událostí za sekundu. Model ES-3060 aktuálně podporuje až 1 200 zařízení a až 3 000 událostí za sekundu. Oba modely přitom zákazníkům nabízejí tytéž výkonné funkce jako všechna ostatní zařízení na platformě RSA enVision.
Funkční části
Funkce RSA enVision lze rozdělit do 3
logických částí:
. Collector sbírá informace o událostech
z nejrůznějších systémů a připravuje je pro
uložení.
. Database řídí ukládání událostí
a zpřístupňuje informace pro použití
analytickými nástroji.
. Application část slouží k administraci řešení
a přináší analytické a reportovací nástroje.
"Single Appliance" nasazení
enVision řešení je možné postavit na jedné
"standalone" appliance, kdy všechny funkce
zajišťuje jedno zařízení ES Series. Pro provoz
nejsou nutné žádné další komponenty.
V případě potřeby je variantně možné zvýšit
diskovou kapacitu připojením externího
storage (DAS / NAS). Single Appliance řešení
je vhodné všude tam, kde není potřeba
topologicky distribuované řešení a počet
sledovaných zařízení nepřekračuje 1250 (nebo
7500 eps - events per second).
"Multiple Appliance" nasazení
V Mupliple Appliance konfiguraci, určené pro
distribuované nasazení, jsou jednotlivé funkce
distribuovány mezi 3 nebo více zařízení LS
Series. V nejjednodušším případě je použito
jedno zařízení pro každou funkci (Collector /
LC, Database / D-SRV, Application / A-SRV).
Pro návrh distribuovaného řešení platí tato
pravidla:
. A-SRV (Application): max 3 na 1 D-SRV
. D-SRV (Database): 1 v rámci autonomního
systému
. LC (Local Collector): max 3 na 1 D-SRV
. RC (Remote Collector): max 16 na 1 D-SRV
(Remote Collector je určen pro sběr dat
v lokalitách jejichž konektivita s D-SRV je
problematická a je výhodnější data ukládat
přímo na této odloučené lokalitě na RC.
Na D-SRV jsou z RC propagovány alerty,
index a summary data, tak aby na vyžádání
bylo možné data poskytnou pro zpracování
na A-SRV).
(Zařízení LS Series nemají vlastní vnitřní
diskovou kapacitu. Řešení využívá DAS / NAS
společností EMC nebo NetApp.)
Sdružování do větších celků -
domains
Zařízení sdružená podle výše uvedených
pravidel tvoří tzv. "site" (site musí vždy
zahrnovat funkce sběru a ukládání dat, tedy
L-SRV+D-SRV nebo Remote Collector).
Několik "sites" je možné sdružit do tzv. "NIC
domain" tak, aby bylo možné centrálně (z tzv.
Master Site) provádět analytické zpracování
dat, která jsou distribuovaně uložená
na jednotlivých sites.
Vysoká dostupnost
Spolehlivost řešení povyšují interní disky
v RAID-5 (u LS Series) a spolehlivá externí
úložistě Direct-Attached Storage (DAS) nebo
Network-Attached Storage (NAS) s RAID.
S využitím technologie Microsoft Cluster
Service lze Local Collector provozovat jako
tzv. Cluster Appliance. Cluster Appliance pak
pracuje v hot standby modu. Pokud dojde
k výpadku Local Collectoru, automaticky
převezme jeho roli standby appliance. Ostatní
komponenty (D-SRV a A-SRV) umožňují mít
cold-standby zařízení sdílející DAS/NAS
s primárním zařízením.
Nahlédnutí "pod kapotu"
Security Information and
Event Management (SIEM)
systému RSA enVision.
RSA enVision
- architektura řešení
Tok dat
Sběr
Sběr dat je zajišťován na straně Collectoru
agenty pro standardní protokoly jako je Syslog,
SNMP, FTP, ODBC, XML files via http nebo
agenty využívajícími specifická log-API
jednotlivých výrobců (např. Check Point LEA).
Na straně sledovaných zařízení nejsou
potřeba žádní agenti. Pokud to umožňuje
použitý protokol, je datové spojení
autentizováno a šifrováno (jako v případě
Windows logging API nebo Check Point LEA).
Data jsou zkomprimována a předávána
k uložení do specializované databáze IPDB.
Vzhledem k tomu, že v této fázi nedochází
k žádnému parsingu dat, je ukládání velmi
rychlé.
Paralelně jsou data zpracovávána pro potřeby
alertingu včetně zpracování korelačními
obvody. Zde dochází k parsingu dat, aby byla
pro systém "srozumitelná". Out of the box je
podporováno velké množství (cca 150 druhů)
zařízení, pro ta, která do této skupiny nepatří
je potřeba použít tzv. UDS (Universal Device
Support) - vytvořit XML definiční soubor. Díky
tomu je možné zpracovávat data z libovolných
zařízení, ze kterých jsme schopni provést sběr
těchto dat.
Správa dat
Informace o událostech (logy) jsou ukládány
do specializované databáze IPDB. Jsou
uloženy v nezměněné podobě, přesně tak, jak
vznikly na sledovaných systémech. Jsou
opatřeny časovou značkou, nicméně pokud
obsahuje značku samotný logový záznam, je
na našem rozhodnutí, kterou časovou značku
budeme při analýze dat používat. K datům
jsou vytvořeny indexy a summary (meta) data,
jež umožňují nástrojům Application vrstvy
rychlý přístup k požadovaným datům. Data
jsou opatřena kontrolními součty a jednoduše
zašifrována prostředky operačního systému
(EFS). Díky kompresi se objem dat (se
započítáním objemu indexů a metadat)
zmenší přibližně na 35 %. V IPDB jsou rovněž
ukládány konfigurační informace.
Analýza
Application část je zodpovědná za poskytování
uživatelského web-based rozhraní pro
konfiguraci systému, konfiguraci, plánování
a zpracování pravidelných nebo jednorázových
analytických operací nad uloženými daty. Dále
za replikaci indexových dat na Master Site.
Pro potřeby analýz využívá relační databázový
systém Sybase (který je součástí produktu
enVision).
Na závěr
Na závěr neobchodně a neprocesně laděného
článku z něj vypíchněme v tomtéž duchu
několik významných vlastností umožněných
popsanou architekturou:
. Snadná integrace do stávajícího prostředí
(bez agentů na sledovaných systémech)
. Podpora systémů bez omezení (Universal
Device Support)
. Vysoká rychlost (bez filtrování, normalizace,
redukce) a efektivita (díky kompresi)
ukládání informací
. Snadná škálovatelnost (Multi Aplliace,
Domain)