Выполнен проект по модернизации системы охранного периметра на базе межсетевого экрана

Гостиничный комплекс

Обеспечить защиту внутренних сетей по всему периметру гостиничного комплекса.

Гостиничный комплекс, особенно, большого размера, требует автоматизации технологических процессов в значительном объеме. Одновременно из-за большой посещаемости, комплекс является зоной повышенного риска. Десятки входящих и исходящих линий, сотни камер видеонаблюдения, проводные и беспроводные подключения к интернету, набор работающих программ для внутреннего использования и внешних сервисов увеличивают риски взлома внутренней сети. Это может привести к краже либо подмене личных данных клиентов, порче оборудования, нарушению неприкосновенности людей (при захвате управления камерами с внешнего хоста). Чтобы избежать подобных инцидентов, необходимо обеспечить защиту внутренних сетей по всему периметру.

Анализ существующей системы защиты периметра

Специалисты нашей компании проанализировали существующий защитный периметр гостиничного комплекса на территории заказчика и пришли к следующим выводам:

  • Защита организована на устаревших компонентах и не поддерживает современные технологии;
  • Некоторые входящие и исходящие каналы связи не включены в общую систему защиты, происходящие в них процессы не подвергаются анализу и мониторингу;
  • Линии связи между серверами и СХД проложены неоптимальным образом, вследствие чего происходит неоправданно долгие задержки в передаче данных и простои на других участках.
  • Система анализа данные в сетевом экране несовершенна и допускает проникновение неавторизированных приложений в защищаемые сеть.

Вывод специалистов был однозначным – необходима модернизация и частичная замена серверного оборудования для полной защиты периметра гостиничного комплекса. Существующие средства защиты информации требовали серьезной модернизации, именно поэтому инженерами нашей компании было предложено начать ее со средств обеспечения периметровой безопасности, а именно – межсетевого экрана . МСЭ позволяет достаточно просто управлять правами доступа пользователей и их групп, включая наложение политик безопасности.  В его составе имеется интеллектуальный антивирус и аналитическая система IPS, распознающая самые изощренные попытки вторжения во внутренние сети и мгновенно их купирующая. Система поддерживается в актуальном состоянии благодаря ежедневным обновлениям сигнатур вирусов и методов проникновения. Для противодействия угрозам нулевого дня в состав межсетевого экрана был включен так называемый sandboxing, или «песочница».

Согласование, подбор оборудования и реализация проекта

В процессе создания и реализации проекта производился подбор сетевого оборудования в соответствии с требованиями заказчика.  На каждом этапе проекта проводилось согласование принятых решений с заказчиком как по стоимости оборудования, так и по необходимым пуско-наладочным работам.  Итоговая версия проекта была утверждена руководством компании и представителем заказчика.

В результате окончательного согласования и в соответствии с представленным техническим заданием, внедренное решение обеспечивает возможность работы на уровне приложений, их контроля. Были разработаны политики в соответствии с корпоративными стандартами заказчика, результатом чего стал полный контроль используемых приложений и невозможность неавторизированного использованиям сотрудниками приложений, не входящих в корпоративный стандарт заказчика. Это позволило практически полностью исключить использование неавторизованных приложений, в т.ч. и потенциально вредоносных.

В аппаратно-программный комплекс встроена защита от известных угроз на уровне межсетевого экрана, данные о которых постоянно обновляются с доверенного источника. Это позволяет автоматически определять и блокировать попытки несанкционированного доступа к сети неустановленным пользователям и приложениям. Вся проверка входящего и исходящего трафика на предмет неизвестных угроз проводится в облачной песочнице (изолированном участке памяти и невозможностью передачи управления в основную память), что гарантирует надежную защиту от направленных атак (APT) на систему.

Сотрудники IT-отдела заказчика прошли соответствующее обучение по обслуживанию установленного комплекса, способны эксплуатировать его без вмешательства нашего инженерного персонала.

Поставленное оборудование:

Palo Alto Networks PA-3020

Тестирование и доводка проекта

После завершения проекта специалисты нашей компании провели полное тестирование системы в режиме обычного функционирования и пиковых нагрузок. Были проведены попытки эталонных атак из-за защищаемого периметра, проанализированы логи системы при отражении различного типа атак. В пиковом режиме замерялась скорость передачи данных и максимальное время задержки отклика системы. В результате тестирования определено, что все параметры защиты периметра полностью отвечают техническому заданию и требованиям заказчика.

В процессе тестирования были выявлены определенные проблемы, которые были связаны с необходимостью настройки оборудования под конкретные требования заказчика. После уточнения необходимых параметров работы инженеры компании провели тонкую настройку программно-аппаратного комплекса. Повторный запуск системы в рабочем режиме не выявил никаких отклонений от проектных показателей.

В результате реализации проекта система защиты периметра была модернизирована и теперь полностью соответствует современным вызовам и ландшафту угроз. В систему включена возможность реализации корпоративных политик безопасности, установлен полный контроль за процессами, происходящим в сети. Модернизация системы привела к увеличению производительности труда, вырос коэффициент использования рабочего времени за счет невозможности использования рабочих терминалов в личных целях.

Необходима консультация?

Оставьте ваш мобильный номер или E-mail для запроса консультации:


Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.