ЛИНС-МЛИНС-М

CiscoExpo 2008CiscoExpo 2008 МоскваМосква15 октября 2008г.

Практический опыт обеспечения защищенного Практический опыт обеспечения защищенного взаимодействия мобильных пользователейвзаимодействия мобильных пользователейс информационными ресурсами в крупнойс информационными ресурсами в крупной

финансовой организациифинансовой организации

Андриченко ДмитрийАндриченко ДмитрийГлавный инженер проектовГлавный инженер проектовКомпания ЛИНС-МКомпания ЛИНС-М+7 (905) 706 77 98+7 (905) 706 77 98da@lins-m.ru

2

ПрограммаПрограмма выступлениявыступления

• О компании ЛИНС-МО компании ЛИНС-М• Проблема мобильных Проблема мобильных

пользователейпользователей• Архитектура, компоненты и задачи Архитектура, компоненты и задачи

решениярешения• Достигнутые преимуществаДостигнутые преимущества• Вопросы и ответыВопросы и ответы

О компанииО компании

4

Компания ЛИНС-МКомпания ЛИНС-М

ООО «ЛИНС‑М»ООО «ЛИНС‑М» - системный интегратор - системный интеграторв области консалтинговых, проектных, в области консалтинговых, проектных, экспертных и аналитических услуг для экспертных и аналитических услуг для построения комплексной защиты построения комплексной защиты корпоративных информационных системкорпоративных информационных систем

5

Клиенты компании ЛИНС-МКлиенты компании ЛИНС-М• Центральный Банк Российской Центральный Банк Российской

ФедерацииФедерации• ВнешэкономбанкВнешэкономбанк• Банк ВТББанк ВТБ• Cisco SystemsCisco Systems• OracleOracle• ТранстелекомТранстелеком• Многие другиеМногие другие

6

Партнеры ЛИНС-МПартнеры ЛИНС-М

ЛИНС-М является ЛИНС-М является сертифицированным сертифицированным партнером Cisco партнером Cisco Systems Systems со со специализацией специализацией Advanced SecurityAdvanced Security

Партнеры

Проблема мобильных Проблема мобильных пользователейпользователей

8

• Любая крупная, территориально распределенная, Любая крупная, территориально распределенная, организация имеет ряд информационных ресурсов, организация имеет ряд информационных ресурсов, находящихся в ЛВС Головной Организациинаходящихся в ЛВС Головной Организации ( (ГОГО))

• При организации удаленной работы, мобильные При организации удаленной работы, мобильные пользователи получают доступ к данным ресурсампользователи получают доступ к данным ресурсам

• Эти же пользователи имеют доступ в сеть Интернет, Эти же пользователи имеют доступ в сеть Интернет, где их ЭВМ подвержены большому количеству угроз где их ЭВМ подвержены большому количеству угроз безопасности:безопасности:– Вредоносное ПОВредоносное ПО– Сетевые атакиСетевые атаки– ……

• При подключении мобильного пользователя к При подключении мобильного пользователя к информационным ресурсам ЛВС ГО, с «зараженного» информационным ресурсам ЛВС ГО, с «зараженного» ЭВМ может произойти распространение вредоносного ЭВМ может произойти распространение вредоносного ПОПО

Интернет

Мобильныйпользователь

ГО

VPN

Проблема мобильных пользователейПроблема мобильных пользователей

9

• Банк ВТБ - крупная организация с Банк ВТБ - крупная организация с территориально распределенной территориально распределенной вычислительной сетью и большим вычислительной сетью и большим количеством мобильных пользователейколичеством мобильных пользователей

• Прерывание бизнес-процессов Банка носит Прерывание бизнес-процессов Банка носит критический характер и приводит к сотням критический характер и приводит к сотням тысяч долларов убытка в деньтысяч долларов убытка в день

• С учетом специфики деятельности, а так же С учетом специфики деятельности, а так же масштабов Банка, проблема мобильных масштабов Банка, проблема мобильных пользователей является серьезной угрозой пользователей является серьезной угрозой безопасностибезопасности

Банк ВТББанк ВТБ

10

Для решения данной проблемы, в Для решения данной проблемы, в Банке ВТБ требовалось решить Банке ВТБ требовалось решить следующий комплекс задач:следующий комплекс задач:– Обеспечить целостность программной Обеспечить целостность программной

среды ЭВМ пользователясреды ЭВМ пользователя– Реализовать строгую аутентификацию Реализовать строгую аутентификацию

при доступе в сетьпри доступе в сеть– Обеспечить конфиденциальность и Обеспечить конфиденциальность и

целостность передаваемых данныхцелостность передаваемых данных– Обеспечить актуальность средств защиты Обеспечить актуальность средств защиты

информации и антивирусных средствинформации и антивирусных средств

Комплекс задачКомплекс задач

11

В Банке ВТБ данные задачи решаются В Банке ВТБ данные задачи решаются путем использования комплекса путем использования комплекса продуктов компаниипродуктов компанииCisco Systems:Cisco Systems:– Cisco NAC AppliancesCisco NAC Appliances– Cisco Adaptive Security ApplianceCisco Adaptive Security Appliance– Cisco Security AgentCisco Security Agent– Cisco Security AgentCisco Security Agent Management CenterManagement Center– Cisco VPN ClientCisco VPN Client– CiscoWorks Network Compliance ManagerCiscoWorks Network Compliance Manager

Решение проблемыРешение проблемы

Архитектура, компоненты и Архитектура, компоненты и задачи решениязадачи решения

13

Архитектура решенияАрхитектура решения

14

• Сервер NACСервер NAC, служит для контроля доступа ЭВМ , служит для контроля доступа ЭВМ пользователей к информационным ресурсам ОАО пользователей к информационным ресурсам ОАО Банк «ВТБ»Банк «ВТБ»

(Clean Access Server(Clean Access Server, CAS, CAS))

• Центр управления NACЦентр управления NAC, служит для управления , служит для управления серверами серверами CASCAS

(Clean Access Manager(Clean Access Manager, CAM, CAM))

• Межсетевой экранМежсетевой экран, служит для терминации , служит для терминации VPN VPN туннелей с ЭВМ мобильных пользователейтуннелей с ЭВМ мобильных пользователей

((Cisco Adaptive Security ApplianceCisco Adaptive Security Appliance))

Аппаратные компонентыАппаратные компоненты

15

• КлиентКлиент VPN VPN, служит для обеспечения , служит для обеспечения конфиденциальности и целостности передаваемых конфиденциальности и целостности передаваемых данныхданных

• Агент NACАгент NAC, служит для проверки ЭВМ мобильного , служит для проверки ЭВМ мобильного пользователя на соответствие требованиям пользователя на соответствие требованиям безопасностибезопасности

(Clean Access Agent)(Clean Access Agent)

• Агент Агент CSACSA, служит для контроля запускаемого ПО и , служит для контроля запускаемого ПО и сетевой активности на ЭВМ мобильного пользователясетевой активности на ЭВМ мобильного пользователя

((Cisco Security AgentCisco Security Agent))

Программные компонентыПрограммные компоненты

16

• CWNCM CWNCM серверсервер, служит для контроля соответствия , служит для контроля соответствия конфигураций сетевого оборудования требованиям конфигураций сетевого оборудования требованиям безопасностибезопасности

((CiscoWorks Network Compliance ManagerCiscoWorks Network Compliance Manager))

• CSA MC CSA MC серверсервер, служит для централизованного , служит для централизованного управления управления CSA CSA агентами на ЭВМ мобильных агентами на ЭВМ мобильных пользователейпользователей

((Cisco Security AgentCisco Security Agent Management CenterManagement Center))

• AD AD и и IAS IAS серверысерверы, служит для централизованного , служит для централизованного хранения учетных записей пользователей хранения учетных записей пользователей

((Active Directory Active Directory и Internet Authentication Service)и Internet Authentication Service)

Дополнительные компонентыДополнительные компоненты

17

Процесс функционированияПроцесс функционирования

1. Установление1. УстановлениеVPN VPN туннелятуннеля

2. Аутентификация 2. Аутентификация и авторизация и авторизация пользователяпользователя

3. Проверка ЭВМ 3. Проверка ЭВМ пользователяпользователя

4. Работа с 4. Работа с ресурсами ГОресурсами ГО

Достигнутые преимуществаДостигнутые преимущества

19

Преимущества Решение / ПродуктЗащита сетевого взаимодействия между ЭВМ мобильных

пользователей и ЛВС ГО, путем обеспечения:• Конфиденциальности передаваемых данных• Целостности передаваемых данных

Cisco Adaptive Security Appliance

Cisco VPN Client

Контроль конфигураций сетевого оборудования на соответствие требованиям безопасности и уведомление администрирующего персонала в случае обнаружения несоответствий

CiscoWorks Network Compliance Manager

Защита программной среды ЭВМ мобильного пользователя от вредоносного ПО и сетевых атак

Cisco Security AgentManagement Center

Cisco Security Agent

Контроль состояния программной среды ЭВМ мобильного пользователя на соответствие требованиям безопасности Cisco NAC Appliances

По результатам использования системы в режиме опытной эксплуатации были достигнуты следующие преимущества:

Достигнутые преимуществаДостигнутые преимущества

20

Достигнутые преимуществаДостигнутые преимущества

• Комплексная защита реализуется путем тесной Комплексная защита реализуется путем тесной интеграции продуктов друг с другом, а так же интеграции продуктов друг с другом, а так же сторонними службами и сервисамисторонними службами и сервисами::– Microsoft Active DirectoryMicrosoft Active Directory– Microsoft Microsoft Internet Authentication ServiceInternet Authentication Service– Microsoft Microsoft Network Access ProtectionNetwork Access Protection– ……

• Внедренная система обладаетВнедренная система обладает возможностями по возможностями по обеспечению отказоустойчивости и позволяет обеспечению отказоустойчивости и позволяет непрерывно решать весь спектр поставленных задачнепрерывно решать весь спектр поставленных задач

21

КонтактыКонтакты

• Адрес компании ЛИНС-М в сети Интернет: Адрес компании ЛИНС-М в сети Интернет: http://www.lins-m.ru/http://www.lins-m.ru/

• E-mail: info@lins-m.ru E-mail: info@lins-m.ru

• Андриченко Дмитрий, главный инженер проектов ЛИНС-М:Андриченко Дмитрий, главный инженер проектов ЛИНС-М:– Телефон: +7 (905) 706 77 98Телефон: +7 (905) 706 77 98– E-mailE-mail: : da@lins-m.ruda@lins-m.ru

22

Спасибо за внимание!Спасибо за внимание!

Вопросы и ответыВопросы и ответы

Андриченко ДмитрийАндриченко ДмитрийГлавный инженер проектовГлавный инженер проектовКомпания ЛИНС-МКомпания ЛИНС-М+7 (905) 706 77 98+7 (905) 706 77 98dandrichenko@lins-m.ruda@lins-m.ru