Создание системы защиты корпоративной сети на основе NGFW для территориально распределенной торговой сети

Заказчик: Торговая сеть

Отрасль: Ритейл

Цель проекта

Формирование федеральной системы защиты каналов передачи данных и обеспечение безопасного доступа пользователей корпоративной информационно-вычислительной системы (КИВС) к сервисам сети интернет на уровне макрорегиональных и региональных ИТ-площадок заказчика.

Решение

Специалисты компании ТАЛМЕР осуществили весь комплекс работ от поставки оборудования до создания архитектуры решения, которая разрабатывалась и внедрялась с максимальным учетом существующей организационно-технической структуры заказчика.

Для достижения поставленных целей была разработана система защиты каналов передачи данных (СЗКПД), состоящей из нескольких подсистем:

  • межсетевого экранирования – отвечает за функции анализа входящего и исходящего сетевого трафика на предмет выявления аномалий, подозрительной или несанкционированной сетевой активности
  • защиты каналов связи - обеспечивает безопасность (конфиденциальность и целостность) транзитного трафика, передаваемого между различными узлами КИВС поверх общей недоверенной (или менее доверенной) инфраструктуры передачи данных, посредством организации виртуальной частной вычислительной сети
  • статистики - сбор, обработка и представление статистической информации о характере использования и объемах сетевого трафика
  • подсистема администрирования - защиты каналов передачи данных, предоставляющая инструментарий по настройке и управлению всеми компонентами
  • модуль «песочницы», обеспечивающий распознавание и генерирование сигнатур для блокирования атак «нулевого дня» путем запуска потенциально вредоносных файлов в изолированной виртуальной среде эмуляции

    Реализованная система поддерживает функции консолидации информации и статистики со всех компонентов СЗКПД в рамках общей отчетности, и предоставляет доступ к ней из единой точки централизации с единым центром управления. Архитектура системы является отказоустойчивой и обеспечивает непрерывность сервиса без потерь производительности. Шлюзы безопасности, используемые в качестве компонентов системы, настроены как отказоустойчивые кластеры в режиме active/standby, при котором выход из строя одного из шлюзов не приводит к остановке сервиса пользователям или потере производительности. Процент отказоустойчивости системы составляет более 99%.

    Оборудование размещено во всех региональных ЦОДах заказчика, в головном, территориальных и региональных офисах, а также в каждой точке продаж.

    Результат

    Заказчик получил защищенную корпоративную сеть передачи данных с реализацией передовых методов сетевой защиты. Система не только отвечает за защиту данных, она сама по себе стала сетью передачи данных. Реализованная система является каналообразующей и защищенным ядром сети.