Во многих отраслях, включая оборону, финансовую сферу, здравоохранение и авиастроение, требования по безопасности данных определяются внешними органами и могут даже носить законодательный характер. Их выполнение чрезвычайно важно и для проектов в сфере ИТ. Для того, чтобы оградить ценную информацию от угроз – как внутренних, так и внешних – ресурсы ИТ защищаются брандмауэрами. Для строгого соблюдения требований по безопасности системы и сети подразделяются на области, каждой из которых свойственен свой уровень безопасности, в зависимости от конфиденциальности информации.

В некоторых случаях ограничения накладываются на каналы, протоколы и полномочия, необходимые для работы с информацией. Как правило, информация свободно распространяется от нижестоящих уровней безопасности в более защищенные верхние уровни. И напротив, перемещение информации с более высокого уровня в менее защищенные области с точки зрения безопасности вообще должно быть запрещено.

Несмотря на то, что перемещение в этом направлении иногда все же необходимо, оно может привести к существенному усложнению бизнес-процесса по соображениям безопасности. Информация с более высокого уровня безопасности часто является более важной для бизнес-процесса, чем данные, относящиеся к нижестоящим уровням. Например, в банковской сфере сведения о клиенте – это один из самых важных и конфиденциальных типов информации. Они необходимы для поиска данных клиентских счетов, транзакций и договоров, которые относятся к области с высоким уровнем защиты. Доступ к такой информации со стороны неуполномоченного физического или юридического лица может привести к серьезным последствиям как для клиента, так и для банка. С другой стороны, для ежедневной работы банка необходимо определенное количество сотрудников, имеющих доступ к части этой важной и конфиденциальной информации. Решение состоит в четком определении прав доступа к уязвимым данным. Обычно такие данные хранятся в области с высокой степенью защиты, но могут обрабатываться на более низких уровнях безопасности.

На Рис. 1 показана типичная ситуация перемещения данных из одной области в другую. Слева располагается область с высокой степенью защиты. Системы этой области включают в себя важнейшие бизнес-данные. Доступ к данным в этой области имеют только несколько пользователей, работающих непосредственно с этими системами. В сфере обороны область с высокой степенью защиты может использоваться для хранения данных, связанных со стратегическими или тактическими решениями. В финансовых кругах здесь могут содержаться уязвимые коммерческие данные. Справа располагается область с низкой степенью защиты, в которой работает большинство пользователей и которая в основном и используется при выполнении ежедневных бизнес-операций. Доступ к таким данным может осуществляться из удаленных филиалов, через Интернет или обоими способами. Задача заключается в организации передачи информации между областями с разной степенью защиты. Эта задача может рассматриваться с разных точек зрения. Данная статья предназначена для разработчиков систем защиты и интеграции, администраторов решений по обеспечению безопасности и систем SAP NetWeaver, технических консультантов по SAP NetWeaver Process Integration (PI)¹, руководителей проектов и даже начальников служб безопасности. Каждый из вышеперечисленных преследует свои цели.

¹ Ранее SAP NetWeaver Exchange Infrastructure (XI).

Рис. 1 Пример областей с различной степенью защиты