Для Белорусской железной дороги очень важное значение приобретает обеспечение информационной безопасности, в том числе при использовании сотрудниками коммуникационно-информационных возможностей Интернета
Развитие интернет-сервисов повлекло за собой появление и широкое распространение новых видов угроз. Чтобы обеспечить необходимый уровень защиты своих компьютерных ресурсов, компания «Белорусская железная дорога» модернизировала систему информационной безопасности.
«Значительно вырос объем спама, к тому же на различных сайтах появились фрагменты вредоносного кода, внедренного туда хакерами. Используемые средства антивирусной защиты могли на лету перехватывать сообщения электронной почты, но этого было недостаточно. Требовалось решение, которое могло бы целиком фильтровать входной и выходной трафик пользователей», — рассказывает Юрий Поберий, главный специалист отдела информационной безопасности управления государственного объединения «Белорусская железная дорога» (БелЖД). Кроме того, необходимо было анализировать активность пользователей и выявлять неестественное их поведение. Наконец, новое решение должно было уметь бороться с новыми интернет-угрозами.
Прежняя защита в компании осуществлялась персональными антивирусными средствами, установленными на рабочих местах сотрудников. Работа в Интернете велась через прокси-сервер. Доступ к web-ресурсам контролировался при помощи URL-фильтрации. База URL регулярно пополнялась администраторами безопасности на основе анализа журналов прокси-сервера.
В числе основных проблем в сфере ИБ, которые предстояло решить, были недостаточная эффективность персональных антивирусных средств против вредоносного кода, «встроенного» в легитимные web-страницы; трудоемкость процесса наполнения базы запрещенных URL, в силу чего не обеспечивался необходимый уровень эффективности блокирования доступа к посторонним интернет-ресурсам; невозможность блокирования коммуникаций «шпионских» приложений и программ «навязанной рекламы» с компьютеров пользователей, а также программ удаленного управления ПК; отсутствие механизма адресного блокирования современных интернет-приложений, таких как P2P, IM, потоковые видео/аудио и др.; отсутствие инструментов гибкого управления политиками информационной безопасности в части использования интернет-ресурсов в масштабе всех подразделений; отсутствие эффективных средств подготовки отчетов о работе системы обеспечения безопасности и об использовании ресурсов Интернета сотрудниками предприятия.
Решение поставленных задач
Задача по обеспечению безопасного использования интернет-ресурсов сотрудниками БелЖД была возложена на компанию «Авест» — партнера БелЖД в области информационной безопасности. Был выбран продукт eSafe Web Security Gateway компании Aladdin в полной комплектации, включая eSafe Reporter для получения аналитических отчетов о событиях, связанных с безопасностью и интернет-активностью сотрудников предприятия.
Первоначально у специалистов БелЖД были опасения, связанные с загрузкой корпоративного канала передачи данных. «Мы отдавали себе отчет в том, что для таких операций, как, например, воспроизведение интернет-ресурса, требуется определенное время. Выполнить эту операцию на лету и не «посадить» канал — непростая задача. Кроме того, мы широко используем Интернет для взаимодействия с приграничными железнодорожными администрациями, и никакое нововведение не должно приостановить этот обмен информацией, — поясняет Поберий. — Стендовые испытания позволили сделать вывод, что на полосе пропускания нашего интернет-канала (30 Мбит/с) eSafe справляется со своими задачами и не влияет на те или иные протоколы или скоростные характеристики канала. Наши опасения развеялись, когда мы активировали ряд настроек, которые декларируются разработчиком в качестве функционала. В результате мы пришли к выводу, что данное программно-аппаратное решение можем применять на всем нашем функционале».
За время опытной эксплуатации в главном управлении БелЖД, занявшей около 12 месяцев, необходимо было освоить сопровождение и поддержку решения, чтобы и дальше вести интеграционные работы в филиалах собственными силами. За этот период группа специалистов по информационной безопасности главного расчетного информационного центра БелЖД прошла обучение в компании Aladdin на специальных курсах по самостоятельному развертыванию, администрированию, настройке и поддержке eSafe Web Security Gateway. «В результате для работы с eSafe и анализа информации, которая скапливается в базе данных этой системы, не потребовалось привлекать дополнительных специалистов, — вспоминает Поберий. — Апробированные технологии было решено тиражировать на все подразделения Белорусской железной дороги».
Перспективы проекта
У Белорусской железной дороги имеется шесть отделений. «С точки зрения ИТ это, по сути, узлы обработки данных, которые имеют доступ в Интернет в рамках корпоративной сети, некоторые отделения дороги имеют также свой канал доступа в Интернет. В точках подключения к Интернету и были развернуты решения eSafe. Таким образом, была обеспечена защита корпоративного периметра от интернет-угроз», — рассказывает Поберий.
Пока не удалось еще реализовать централизованное обновление баз данных eSafe до актуального состояния — каждое отделение получает эти обновления самостоятельно. Кроме того, в БелЖД считают, что eSafe — это продукт, с которым надо быть очень осторожным. Специалисты компании опасаются, что активация дополнительного функционала может привести к серьезному росту нагрузки на ИТ-ресурсы компании, способному вызвать сбои в доступе через Интернет, поэтому использовать такой инструмент нужно очень грамотно с методологической точки зрения, гибко используя политику ИБ.
«БелЖД активно взаимодействует со сторонними организациями, различными производственными структурами, грузоотправителями, таможенными органами и пр. Многим из них необходима работа с нашими ресурсами посредством Интернета. Следовательно, нужно тонко решать вопрос защиты периметра. Пока мы решаем эти задачи путем централизации межсетевых экранов, — отмечает Поберий. — Так как мы собираемся активно использовать технологии мобильной связи 3G и 4G, то на стыках связи с другими операторами GSM и сторонними организациями нам понадобятся апробированные решения для защиты уязвимостей. Выберем ли мы eSafe, будет зависеть от результатов промышленной эксплуатации». По прогнозам специалистов БелЖД, ввести eSafe в промышленную эксплуатацию по всем шести зонам планируется в ближайшее полугодие.