ЛИНС-М CiscoExpo 2008 Москва 15 октября 2008г. Практический опыт обеспечения защищенного взаимодействия мобильных пользователей с информационными ресурсами в крупной финансовой организации Андриченко Дмитрий Главный инженер проектов Компания ЛИНС-М +7 (905)

2 Программа выступления О компании ЛИНС-МО компании ЛИНС-М Проблема мобильных пользователейПроблема мобильных пользователей Архитектура, компоненты и задачи решенияАрхитектура, компоненты и задачи решения Достигнутые преимуществаДостигнутые преимущества Вопросы и ответыВопросы и ответы

О компании

4 Компания ЛИНС-М ООО «ЛИНС М» - системный интегратор в области консалтинговых, проектных, экспертных и аналитических услуг для построения комплексной защиты корпоративных информационных систем

5 Клиенты компании ЛИНС-М Центральный Банк Российской ФедерацииЦентральный Банк Российской Федерации ВнешэкономбанкВнешэкономбанк Банк ВТББанк ВТБ Cisco SystemsCisco Systems OracleOracle ТранстелекомТранстелеком Многие другиеМногие другие

6 Партнеры ЛИНС-М ЛИНС-М является сертифицированным партнером Cisco Systems со специализацией Advanced Security Партнеры

Проблема мобильных пользователей

8 Любая крупная, территориально распределенная, организация имеет ряд информационных ресурсов, находящихся в ЛВС Головной Организации (ГО)Любая крупная, территориально распределенная, организация имеет ряд информационных ресурсов, находящихся в ЛВС Головной Организации (ГО) При организации удаленной работы, мобильные пользователи получают доступ к данным ресурсамПри организации удаленной работы, мобильные пользователи получают доступ к данным ресурсам Эти же пользователи имеют доступ в сеть Интернет, где их ЭВМ подвержены большому количеству угроз безопасности:Эти же пользователи имеют доступ в сеть Интернет, где их ЭВМ подвержены большому количеству угроз безопасности: –Вредоносное ПО –Сетевые атаки –… При подключении мобильного пользователя к информационным ресурсам ЛВС ГО, с «зараженного» ЭВМ может произойти распространение вредоносного ПОПри подключении мобильного пользователя к информационным ресурсам ЛВС ГО, с «зараженного» ЭВМ может произойти распространение вредоносного ПО Интернет Мобильный пользователь ГО VPN Проблема мобильных пользователей

9 Банк ВТБ - крупная организация с территориально распределенной вычислительной сетью и большим количеством мобильных пользователейБанк ВТБ - крупная организация с территориально распределенной вычислительной сетью и большим количеством мобильных пользователей Прерывание бизнес-процессов Банка носит критический характер и приводит к сотням тысяч долларов убытка в деньПрерывание бизнес-процессов Банка носит критический характер и приводит к сотням тысяч долларов убытка в день С учетом специфики деятельности, а так же масштабов Банка, проблема мобильных пользователей является серьезной угрозой безопасностиС учетом специфики деятельности, а так же масштабов Банка, проблема мобильных пользователей является серьезной угрозой безопасности Банк ВТБ

10 Для решения данной проблемы, в Банке ВТБ требовалось решить следующий комплекс задач: –Обеспечить целостность программной среды ЭВМ пользователя –Реализовать строгую аутентификацию при доступе в сеть –Обеспечить конфиденциальность и целостность передаваемых данных –Обеспечить актуальность средств защиты информации и антивирусных средств Комплекс задач

11 В Банке ВТБ данные задачи решаются путем использования комплекса продуктов компании Cisco Systems: –Cisco NAC Appliances –Cisco Adaptive Security Appliance –Cisco Security Agent –Cisco Security Agent Management Center –Cisco VPN Client –CiscoWorks Network Compliance Manager Решение проблемы

Архитектура, компоненты и задачи решения

13 Архитектура решения

14 Сервер NAC, служит для контроля доступа ЭВМ пользователей к информационным ресурсам ОАО Банк «ВТБ»Сервер NAC, служит для контроля доступа ЭВМ пользователей к информационным ресурсам ОАО Банк «ВТБ» (Clean Access Server, CAS) Центр управления NAC, служит для управления серверами CASЦентр управления NAC, служит для управления серверами CAS (Clean Access Manager, CAM) Межсетевой экран, служит для терминации VPN туннелей с ЭВМ мобильных пользователейМежсетевой экран, служит для терминации VPN туннелей с ЭВМ мобильных пользователей (Cisco Adaptive Security Appliance) Аппаратные компоненты

15 Клиент VPN, служит для обеспечения конфиденциальности и целостности передаваемых данныхКлиент VPN, служит для обеспечения конфиденциальности и целостности передаваемых данных Агент NAC, служит для проверки ЭВМ мобильного пользователя на соответствие требованиям безопасностиАгент NAC, служит для проверки ЭВМ мобильного пользователя на соответствие требованиям безопасности (Clean Access Agent) Агент CSA, служит для контроля запускаемого ПО и сетевой активности на ЭВМ мобильного пользователяАгент CSA, служит для контроля запускаемого ПО и сетевой активности на ЭВМ мобильного пользователя (Cisco Security Agent) Программные компоненты

16 CWNCM сервер, служит для контроля соответствия конфигураций сетевого оборудования требованиям безопасностиCWNCM сервер, служит для контроля соответствия конфигураций сетевого оборудования требованиям безопасности (CiscoWorks Network Compliance Manager) CSA MC сервер, служит для централизованного управления CSA агентами на ЭВМ мобильных пользователейCSA MC сервер, служит для централизованного управления CSA агентами на ЭВМ мобильных пользователей (Cisco Security Agent Management Center) AD и IAS серверы, служит для централизованного хранения учетных записей пользователейAD и IAS серверы, служит для централизованного хранения учетных записей пользователей (Active Directory и Internet Authentication Service) Дополнительные компоненты

17 Процесс функционирования 1. Установление VPN туннеля 2. Аутентификация и авторизация пользователя 3. Проверка ЭВМ пользователя 4. Работа с ресурсами ГО

Достигнутые преимущества

19 ПреимуществаРешение / Продукт Защита сетевого взаимодействия между ЭВМ мобильных пользователей и ЛВС ГО, путем обеспечения: Конфиденциальности передаваемых данных Целостности передаваемых данных Cisco Adaptive Security Appliance Cisco VPN Client Контроль конфигураций сетевого оборудования на соответствие требованиям безопасности и уведомление администрирующего персонала в случае обнаружения несоответствий CiscoWorks Network Compliance Manager Защита программной среды ЭВМ мобильного пользователя от вредоносного ПО и сетевых атак Cisco Security Agent Management Center Cisco Security Agent Контроль состояния программной среды ЭВМ мобильного пользователя на соответствие требованиям безопасности Cisco NAC Appliances По результатам использования системы в режиме опытной эксплуатации были достигнуты следующие преимущества: Достигнутые преимущества

20 Достигнутые преимущества Комплексная защита реализуется путем тесной интеграции продуктов друг с другом, а так же сторонними службами и сервисами:Комплексная защита реализуется путем тесной интеграции продуктов друг с другом, а так же сторонними службами и сервисами: –Microsoft Active Directory –Microsoft Internet Authentication Service –Microsoft Network Access Protection –… Внедренная система обладает возможностями по обеспечению отказоустойчивости и позволяет непрерывно решать весь спектр поставленных задачВнедренная система обладает возможностями по обеспечению отказоустойчивости и позволяет непрерывно решать весь спектр поставленных задач

21Контакты Адрес компании ЛИНС-М в сети Интернет: компании ЛИНС-М в сети Интернет: Андриченко Дмитрий, главный инженер проектов ЛИНС-М:Андриченко Дмитрий, главный инженер проектов ЛИНС-М: –Телефон: +7 (905) –

22 Спасибо за внимание! Вопросы и ответы Андриченко Дмитрий Главный инженер проектов Компания ЛИНС-М +7 (905)