
Реализация защитных мер в области сетевой безопасности
- Заказчик:Федеральная таможенная служба
- Проект:Разработка и внедрение единого защищенного шлюза для организации удаленного доступа пользователей и администраторов к ресурсам информационных систем ФТС
Федеральная таможенная служба (ФТС) России является органом исполнительной власти, осуществляющим функции по контролю и надзору в области таможенного дела, функции по проведению контроля в пунктах пропуска через государственную границу, функции по выявлению, предупреждению и пресечению преступлений и административных таможенных правонарушений, а также смежные функции валютного, санитарного и иного вида контроля. Функциональные подразделения и подведомственные органы ФТС России расположены на всей территории РФ.
Основной информационной системой ведомства, в рамках которой выполняется все множество функциональных задач как в центральном аппарате ФТС, так и в территориальных органах, является Единая автоматизированная информационная система ФТС России (ЕАИС). Специфика работы ряда структур ведомства, управляющего аппарата и смежных служб потребовали обеспечения внешнего доступа уполномоченных пользователей и администраторов к ресурсам прикладных и инфраструктурных систем ЕАИС ТО с выполнением всех необходимых требований по обеспечению мер информационной безопасности (ИБ) и требований по защите информации в ГИС.
С целью реализации данного функционала ФТС России провела конкурс на разработку и внедрение решения, обеспечивающего как функциональность предоставления доступа к целевым ресурсам уполномоченным пользователям, так и гарантирующего высокую степень защищенности ИС при его предоставлении. По результатам конкурса исполнителем проекта была выбрана «АСТ» на основании сравнения конкурентных предложений. Компания предложила наилучшие технико-экономические условия выполнения контракта, имея, кроме этого, существенный опыт разработки и внедрения различных подсистем и служб ИБ для ЕАИС ФТС России.
Основными функциональными требованиями, предъявляемыми к внедрению, явились:
- Возможность использования уполномоченными должностными лицами единой точки удаленного доступа к прикладным и инфраструктурным системам ЕАИС.
- Обеспечение доступа как со стационарных рабочих мест, так и для мобильных пользователей, с единым уровнем обеспечения защиты и осуществления контроля за подключениями.
- Реализация принципов персональной ответственности уполномоченных лиц за счет применения механизмов гарантированной идентификации и аутентификации с осуществлением видеорегистрации сессий удаленных сеансов работы с инфраструктурными системами.
- Повышение уровня ИБ и ответственности пользователей за счет централизации, упорядочивания и обеспечение прозрачности процедур предоставления удаленного доступа к информационным ресурсам ЕАИС.
- Необходимость применения российских разработок в области ИБ, в т.ч. алгоритмов криптографической защиты, для обеспечения гарантий безопасности и импортонезависимости.
Для реализации проекта был выбран путь построения интегрированного решения в виде единого защищенного шлюза доступа с элементами системы управления привилегированными учетными записями (PIM) и реализацией защитных мер в области сетевой безопасности. В проекте применены флагманские продукты ведущих разработчиков в области ИБ , а также выполнена разработка собственного ПО для мобильных устройств, позволяющая использовать интернет-браузеры и почтовые клиенты под управлением операционных систем iOS и Android для доступа к ресурсам ЕАИС через единый защищенный шлюз.
Результатом внедрения стало обеспечение заинтересованных пользователей полноценным доступом ко всем необходимым ресурсам ЕАИС с гарантированно высокой степенью защищенности информации и контролем осуществления доступа, включая следующий функционал и возможности:
- Возможность предоставления административного доступа к элементам инфраструктуры ЕАИС без установки на них какого-либо агентского программного обеспечения.
- Поддержку отечественных криптографических алгоритмов для защиты каналов связи.
- Гарантированную идентификацию и аутентификацию пользователей и администраторов шлюза.
- «Бесшовную» интеграцию с используемой в настоящий момент службой каталогов.
- Осуществление контроля всех действий администраторов с записью информации о них в текстовом виде.
- Осуществление видео-захвата экрана администратора при работе с управляемым сервером.
- Осуществление автоматической смены логинов и паролей на управляемых серверах и приложениях с изменяемым промежутком времени.
- Предоставление настраиваемой отчетности по доступу к элементам инфраструктуры ЕАИС.
«Выполнение функциональных задач органов ФТС России часто требует предоставления внешнего доступа к ЕАИС для осуществления рабочих действий не только на местах, но и в выездном формате, информационного обеспечения на нестационарных рабочих объектах, в рамках межведомственного взаимодействия и т.д. Это легло в проектные требования и поставило перед нами сразу несколько задач – создание действительно эффективной среды доступа к существующей ИС заказчика, всесторонняя надежная защита содержащихся в ИС данных от внешних угроз и обеспечение контроля авторизованного доступа. Как нам кажется, мы нашли идеальное интегрированное решение в виде PIM-системы, обеспечивающей требуемый функционал защиты от внутренних угроз, классических средств обеспечения сетевой безопасности, шифрования данных в канале и, написав, платформу для реализации функционала удаленного доступа. Тестирование и реальная эксплуатация решения позволили убедиться в правильности сделанного выбора и успешности внедрения».
Цели проекта:
- Обеспечение внешнего доступа уполномоченных пользователей и администраторов к ресурсам прикладных и инфраструктурных систем ЕАИС ТО с выполнением всех необходимых требований по обеспечению мер информационной безопасности (ИБ) и требований по защите информации в ГИС.
- Повышение уровня информационной безопасности и ответственности пользователей за счет централизации, упорядочивания и обеспечения прозрачности процедур предоставления удаленного доступа к информационным ресурсам ЕАИС ТО.
Достигнутые результаты:
- Построено интегрированное решение в виде единого защищенного шлюза доступа с элементами системы управления привилегированными учетными записями (PIM) и реализацией защитных мер в области сетевой безопасности.
- Разработано ПО для мобильных устройств, позволяющая использовать интернет-браузеры и почтовые клиенты под управлением операционных систем iOS и Android для доступа к ресурсам ЕАИС через единый защищенный шлюз.
- Заинтересованные пользователи обеспечены полноценным доступом ко всем необходимым ресурсам ЕАИС с гарантированно высокой степенью защищенности информации и контролем осуществления доступа.
Для реализации данного проекта компанией «АСТ» были оказаны следующие услуги: