Создание удобного и безопасного доступа в Интернет

Газпромбанк активно использует современные информационные технологии, в том числе, и глобальную сеть Интернет как эффективный инструмент ведения бизнеса. Интернет необходим сотрудникам Банка для доступа к различным информационным ресурсам компаний-партнеров. В то же время, неконтролируемое использование сети Интернет влечет за собой существенные риски для безопасности информационной системы. Существует серьезная опасность проникновения вредоносного кода в локальную вычислительную сеть (ЛВС), а также опасность утечки конфиденциальной информации.

Задачи

организовать удобный доступ пользователя в Интернет с привычным интерфейсом на его рабочей станции
обеспечить безопасность работы в Интернете — защитить ЛВС Банка от внешних угроз
исключить возможность несанкционированной передачи данных из сети Банка в Интернет
осуществить выполнение рекомендаций стандарта Центрального Банка РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» — СТО БР ИББС-1.0-2006 в части обеспечения безопасности информации при использовании ресурсов сети Интернет

Решение

Специалистами ICL было предложено решение по построению программно-аппаратного комплекса доступа в Интернет (ПАК ДВИ) на основе технологии терминального доступа.

Программно-аппаратный комплекс доступа в Интернет был построен таким образом, что все необходимые процессы для доступа в Интернет происходят на серверах терминального доступа.

На рабочую станцию пользователя передаются только снимки экрана, а на терминальный сервер передаются сигналы мыши и клавиатуры, что обеспечивает полную имитацию «прямого» доступа в Интернет с сохранением привычного интерфейса Internet Explorer.

Использование демилитаризованной зоны позволяет избежать попадания вредоносного кода на рабочую станцию пользователя при работе с ресурсами сети Интернет. Кроме того, исключение возможности заражения рабочей станции пользователя обеспечивается антивирусным средством входящих информационных потоков, а также системой антивирусной защиты серверов ПАК ДВИ.

Загруженные в процессе работы в сети Интернет данные хранятся централизованно в выделенной папке пользователя на файловом сервере. Пользователь может только забрать данные с файлового сервера, но не имеет возможности передачи данных с рабочей станции в личную папку. Таким образом, исключается возможность передачи конфиденциальной информации в сеть Интернет.

Средства мониторинга позволяют контролировать загрузку фермы серверов терминального доступа и оповещать администратора о достижении критического уровня загрузки ресурсов. Также средства мониторинга предоставляют администратору информацию об использовании ресурсов Интернета.

Внедрение ПАК ДВИ было осуществлено в два этапа:

1. Пилотное внедрение. На данном этапе специалистами ICL был развернут ПАК ДВИ в головном офисе Газпромбанка. Далее, в качестве тестовой эксплуатации решения, был реализован доступ в Интернет по новой схеме для ограниченной группы пользователей Банка. В ходе этапа было собрано около 100 пожеланий, большинство из которых реализовано для обеспечения максимального удобства работы пользователей.

2. Промышленное внедрение. Затем доступ к сети Интернет по новой схеме был предоставлен для всех пользователей головного офиса Газпромбанка, имеющих разрешение для работы с Интернетом. Ввод в промышленную эксплуатацию удалось осуществить максимально гибко и в кратчайшие сроки.

Результаты

Итогом проекта стала организация удобного и безопасного доступа в Интернет для пользователей головного офиса Газпромбанка, Удалось существенно снизить риск возникновения вирусных эпидемий, а также исключить возможность передачи в Интернет конфиденциальной информации.

Внедрение данного решения позволяет Банку на сегодняшний день пользоваться целым рядом преимуществ.

Для пользователей: отказоустойчивый доступ и удобный пользовательский интерфейс при работе в сети Интернет.

Для службы поддержки: удобный механизм контроля и управления доступом пользователей в Интернет и эффективный мониторинг использования ресурсов.

Для руководства:повышение уровня информационной безопасности и обеспечение рекомендаций стандарта Центрального Банк РФ СТО БР ИББС-1.0-2006 в части обеспечения безопасности информации при использовании ресурсов сети Интернет.

Отзыв

Настоящим сообщаем, что ICL выполнены работы по созданию и внедрению программно-аппаратного комплекса защищенного доступа в Интернет для АБ «Газпромбанк» (ЗАО).

Хотим отметить отличную организацию, оперативность, высокое качество выполнения работ и профессионализм специалистов ICL, принимавших участие в проектах.

М. И. Забежайло
Первый Вице-Президент

Продукты и технологии

В качестве программного обеспечения для организации терминального доступа был выбран продукт компании Citrix Systems — Citrix Systems Presentation Server. Сами серверы терминального доступа было предложено вынести в демилитаризованную зону, ограниченную межсетевым экраном, с целью защиты от вторжения в ЛВС Банка.

Данная схема позволила достичь максимального уровня защищенности локальной сети Банка от внешнего вторжения, а также исключить возможность передачи конфиденциальной информации в Интернет. При этом удалось сохранить для пользователей привычный режим работы с Интернетом.