`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Как организована защита данных в ГП «Украинский государственный центр радиочастот»

+33
голоса

Практические примеры построения эффективной системы защиты данных и приложений всегда вызывают интерес. В данной публикации представлено, как используются решения Fortinet в Государствоенном предприятии «Украинский государственный центр радиочастот» (УГЦР).

УГЦР осуществляет целый ряд функций по управлению радиочастотным ресурсом Украины, которые, в частности, включают присвоение радиочастот, ведение реестра радиочастот, радиочастотный мониторинг, осуществление мер по обеспечению радиочастотной совместимости радиоэлектронных устройств.

Но что же УГЦР защищает? Корпоративная сеть организации объединяет все территориально удаленные сети региональных филиалов посредством выделенных каналов связи телекоммуникационных провайдеров, при этом для организации VPN-туннелей используется протокол IPsec. Централизованное управление учетными записями реализовано на базе технологий Microsoft Active Directory. Автоматизированные рабочие места корпоративного сегмента объединены в домен ucrf.gov.ua. Роль контроллера домена исполняют два сервера ОС Windows 2008 R2 SPI в головном офисе и 21 сервер Read-Only Domain Controllers — по одному в каждом из региональных офисов. Один из основных контроллеров домена головного офиса УГЦР также исполняет роль серверов DNS и DHCP. Информационная инфраструктура предприятия централизована, и к ней организован доступ со всех региональных филиалов и их подразделений в областных центрах. Большинство информационных систем (ИС) развернуто на виртуальных серверах, размещенных в ЦОД головного офиса. Из бизнес-приложений используются система управления радиочастотным спектром, автоматизированная система радиочастотного мониторинга, геоинформационная система, Портал услуг, система электронного документооборота, система автоматизации финансово-хозяйственной деятельности и другие. Конечные точки защищены ESET Endpoint Security. Корпоративная сеть насчитывает более 900 пользователей.

До внедрения проекта Fortinet защита ресурсов осуществлялась посредством физического отделения корпоративной компьютерной сети от Интернета, ее сегментации и разделения на VLAN, а также с помощью списков контроля доступа. Использовались также брандмауэры Cisco ASA. При обмене данными между головным офисом, региональными филиалами и их областными подразделениями трафик защищался посредством IPsec. Выполнялось резервное копирование. Использовался еще ряд методов, таких как разграничение доступа к ресурсам производственных систем и использование терминального доступа.

Доступ к ресурсам сети Интернет реализовывался с использованием физически отделенной сети.

Для организации защищенного подключения корпоративной сети к Интернету было принято решение построить защищенный информационно-телекоммуникационный узел (ЗИТУ) с комплексной системой защиты информации.

Выбор производителя осуществлялся согласно критерию эффективности решений и удобству администрирования по мнению международных тестовых организаций и экспертов, по информации, полученной в результате участия в семинарах и конференциях, проводимых производителями оборудования, а также по наличию безусловной процедуры открытых торгов. Немаловажную роль играл показатель цена/качество. В результате выбор пал на продукцию Fortinet.

В состав ЗИТУ были включены современные брандмауэры нового поколения (NGFW), а также устройства унифицированного управления угрозами, защиты почты и веб-приложений на веб-серверах (WAF), IPS, защита от DDoS-атак и т.п. Для этого используются, в частности, следующие решения Fortinet:

  • кластер сетевых экранов FortiGate 1000D;

  • устройство защиты от DDoS-атак FortiDDoS 200B;

  • сетевой экран для защиты веб-приложений FortiWeb 1000D;

  • балансировщики нагрузки FortiADC 200E;

  • почтовый шлюз FortiMail 200E;

  • песочница для обнаружения APT-угроз FortiSandbox 1000D;

  • консолидированная система управления и отчетности FortiManager.

Дополнительно для повышения защищенности были внедрены политики информационной безопасности в отношении изменения паролей, их длины, ручного режима контроля предоставления прав привилегированного доступа. Составлен в ручном режиме перечень ПО, которое разрешается использовать, пользователи лишены административных прав по инсталляции ПО. При создании ЗИТУ были использованы лучшие отраслевые практики, современные системы и методы обеспечения безопасности. В основу решения был положен принцип эшелонированной защиты на основе оборудования разных производителей и имеющейся функциональностью от общих к более специфическим типам проверок и фильтрации. Это дало возможность обеспечить безопасную работу таких сервисов, как веб-доступ к ресурсам Интернета, электронной почты, удаленного доступа пользователей к ресурсам предприятия, публичного доступа к корпоративному порталу сервисов и ряда других, для работы которых необходим доступ к Интернету.

Немаловажным при выборе поставщика являлось и поддержка решений производителем. Предприятие ежегодно продлевает сервисную поддержку от производителя в режиме 24 часа/7 дней функциональности модулей защиты оборудования Fortinet, установленного в ЗИТУ, обновление системы и версий установленного ПО.

В результате реализации на базе продуктов Fortinet появилась возможность полного контроля трафика на периметре сети, осуществлять защиту от современных угроз и атак, иметь систему отчетов и оповещений.

Ближайшей задачей предприятия предусмотрена установка устройств комплексной безопасности FortiGate 100/200 в региональных филиалах для решения вопросов защиты активов предприятия от угроз в трафике территориально-распределенной корпоративной сети.

Комментарий представителя заказчика (Андрей Кузмич, ИТ-директор)

Обеспечение защиты активов не тривиальная задача в условиях прогрессирующего количества угроз и киберинцидентов, необходимости развития информационных систем предприятия, внедрения новых информационно-коммуникационных технологий связанных с процессами сбора, хранения, обработки, передачи информации и доступа к ней.

На наш взгляд, наряду с четко сформулированными политиками информационной безопасности, применение Best Practices в сфере информационной безопасности и использование в ИТ-архитектуре многовендорных решений является оптимальным подходом. Решения Fortinet — одни из передовых в области сетевой безопасности, поэтому они активно нами используются.

Комментарий представителя производителя (Александр Чемерис, менеджер по работе с ключевыми заказчиками)

Наше успешное сотрудничество с УГЦР продолжается уже более трех лет. Хочется отметить рациональный и продуманный подход, который использует предприятие при проектировании и выборе решений, проведении пилотного тестирования и обеспечения интеграции с уже используемым оборудованием. Fortinet ценит сотрудничество с УГЦР, также как и с другими заказчиками, и продолжит оказывать максимальную поддержку в эксплуатации оборудования, а также в продвижении новых решений по обеспечению безопасности из широкого портфолио продуктов компании.

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT