В любой организации, использующей в работе Интернет, будь то коммерческая или государственная, часто возникают следующие проблемы:
- Сотрудники проводят много времени в социальных сетях, на сайтах знакомств, а также в мессенджерах, что отвлекает их от выполнения должностных обязанностей.
- Сотрудники заходят на потенциально опасные ресурсы, что грозит потерей данных не только на компьютере пользователя, но и во всей локальной сети.
- Сотрудники пользуются приложениями (например, торрентами) или сайтами (например, YouTube), которые резко увеличивают трафик, что снижает скорость работы Интернета на других компьютерах и повышает расходы организации на Интернет.
- Компьютеры, подключенные к Интернету, постоянно находятся под угрозой взлома извне: хакеры могут проникнуть в них, обнаружить важные данные, зашифровать и запросить за них выкуп.
Эти проблемы решает так называемый межсетевой экран — «фильтр» между компьютерной сетью организации и Всемирной паутиной.
Если организация коммерческая, она может позволить себе установку любого решения, в том числе иностранного, а вот программное обеспечение для учреждения государственного обязано быть российским, входить в Единый реестр российских программ и соответствовать требованиям ФСТЭК. В этом контексте показателен пример Тюменского государственного медицинского университета, который применил межсетевой экран нового поколения.
Как решили проблему в ТюмГМУ
Руководством высшего учебного заведения была поставлена задача обеспечить локальную сеть (500 компьютеров) единой точкой выхода в Интернет, которая бы обеспечивала безопасное соединение и возможность блокировки доступа к сайтам.
Руководитель учреждения является ответственным за выполнение закона о защите персональных данных, поэтому используемый продукт обязательно должен быть сертифицирован.
Traffic Inspector Next Generation наилучшим образом подошел под требования заказчика, поскольку обладает сертификатом ФСТЭК согласно новым требованиям к межсетевым экранам, который к ноябрю 2017 года успели получить лишь несколько отечественных разработчиков. Это требование регулятора распространяется на вновь сертифицируемые межсетевые экраны, в том числе нового поколения.
Межсетевые экраны нового поколения способны блокировать определенные разделы сайта или даже отдельные страницы.
Другими словами, они полезны там, где есть задача закрыть доступ «ВКонтакте», но разрешить просматривать его ленту или закрыть отдельные страницы «Википедии». Они также способны блокировать программы, установленные как на компьютер, так и в браузере, вроде «Телеграма» или торрентов.
Ходырев Сергей, технический специалист, участвовавший в развертывании решения: «Главные задачи, поставленные заказчиком — обеспечение доступа в Интернет и фильтрация сайтов/приложений».
В настоящий момент системой управляет инженер отдела ИБ, но при этом доступ к управлению блокировками и статистике может получить любой уполномоченный сотрудник, поскольку система не привязана к конкретному рабочему месту — все делается через браузер.
Примеры возможностей программы.
Отключение отдельных пользователей:
Можно отключать от Интернета отдельных пользователей или целые группы. Например, Интернет в школе актуально «вырубать» на переменах, чтобы дети не сидели за компьютерами.
Можно установить квоты исходящего и входящего трафика, почасовое расписание (в нерабочее время Интернета не будет) и ограничение скорости (в случае когда на одном из компьютеров заходят скачать большой файл, это не повлияет на скорость Интернета у других пользователей).
Если заблокировать соцсети, то при попытке захода по адресу www.facebook.com веб-фильтр выдаст следующую картинку:
По каждому пользователю доступна развернутая статистика: посещенные сайты, объем трафика, даты активности и т.п.
С помощью Traffic Inspector Next Generation можно запрещать не отдельные ресурсы, а целые категории: заблокировать социальные сети, видеохостинги, почтовые серверы (чтобы люди не пользовались личной электронкой на работе). Наиболее популярные сайты уже распределены в системе по тематикам, но администратор может добавить или убрать сайты из категорий.
Франчук Тарас, инженер отдела ИБ университета:
«Решение Traffic Inspector Next Generation оказалось не только наиболее подходящим, но и самым выгодным: у конкурентов цена под нужное количество компьютеров оказалась выше в два — три раза!»
Руководство ТюмГМУ отметило также следующие моменты:
- можно поднять историю посещения сайтов любым пользователем за любой период времени;
- можно закрыть доступ сразу всем пользователям на все ресурсы и разрешать выборочно — кому и что можно посещать;
- можно быстро определить тех, кто посещал запрещенные сайты.
Для кого полезны межсетевые экраны
- Школы. Обеспечить безопасный Интернет для детей — большая проблема для руководителей учебных заведений. Во-первых, школьники могут сталкиваться во Всемирной паутине с неподобающим контентом. Во-вторых, в школу может нагрянуть помощник прокурора и проверить, как обеспечена защита детей от Интернета. Поэтому современное программное обеспечение для школ обязательно должно включать в себя межсетевой экран.
- Институты и университеты. Высшее учебное заведение без Интернета сегодня немыслимо, но тем острее встает проблема контроля доступа. Кстати, заодно администратор может заблокировать сайты, на которых выложены готовые курсовые и дипломные работы. Или отследить нерадивых студентов, которые активно пользуются онлайн-шпаргалками, и сообщить об этом в учебную часть.
- Государственные организации. Попавший извне в локальную сеть вирус с ненадежного сайта может надолго лишить работоспособности отдельных сотрудников и даже целые отделы. Как показывает практика, выгоднее заранее купировать проблему, чем разбираться с ее последствиями.
- Малый и средний бизнес. Вообще, межсетевые экраны — обязательный атрибут любой современной организации, но особенно полезен Traffic Inspector Next Generation именно для SMB-сегмента. Небольшие компании не могут себе позволить дорогие решения, зачастую в их штате нет даже ИТ-специалиста. Как при этом руководителю, не разбирающемуся в программировании, закрыть доступ в «Одноклассники», заблокировать YouTube или Facebook? Особенно полезны межсетевые экраны в компаниях с текучкой кадров и где руководитель не может доверять всем и каждому: небольшие колл-центры, конторы бухгалтерского аутсорсинга и т.п. Если новоиспеченный сотрудник первым делом открывает сайт поиска работы, настроен ли он на продуктивный труд? Вряд ли.
На что обратить внимание при выборе межсетевого экрана
- Является ли решение межсетевым экраном нового поколения? Имейте в виду — возможности предыдущего поколения сильно ограничены.
- Для государственных организаций выбор сужается до отечественных разработчиков, имеющих на свой продукт сертификат ФСТЭК.
- Насколько система производительна? Не тормозит ли она Интернет в локальной сети?
- Цена.
Именно эти аргументы позволили руководству Тюменского государственного медицинского университета остановиться на решении Traffic Inspector Next Generation.
[…] возможность опробовать решение на реальном кейсе: мы обеспечили локальную сеть ТюмГМУ единой точкой выхода в Интернет. Специалисты ИБ […]
[…] Институты и университеты (пример внедрения в Тюменском медуниверситете) […]