Page 1

www.bizneshelper.ru


Сегмент: ритейл (дискаунтеры, гипермаркеты, супермаркеты) – 2008 г.

Задача:  Мониторинг электронной почты (SMTP + POP3 + HTTP): 1500 рабочих станций. Функция поиска по доменным пользователям необязательна, но должны обрабатываться почтовые адреса;  Мониторинг сообщений, отправленных в блоги, форумы и прочие веб-сервисы (HTTP POST): 1500 рабочих станций;  Мониторинг документов, отправленных на съемные носители: 500 рабочих станций;  Выборочный мониторинг рабочих станций: 100 машин. Особенности инфраструктуры:  В центральном офисе занято более 2000 работников;  Разветвленная локальная сеть в центральном офисе с несколькими подсетями;  Пропускная способность сетей – 1Гб/с;  Пользовательский доступ в интернет через прокси-сервер.


Наше решение:

       

Два сервера перехвата NetworkSniffer (SMTP + POP3, HTTP + HTTP POST); Сервер DeviceSniffer + DeviceLock; Сервер индексации рабочих станций; Отдельный сервер баз данных (Microsoft SQL Server 2005); Отдельный сервер индексации ; АРМ аудитора (AlertCenter + клиенты) и АРМ администратора (удаленный доступ) Конфигурация серверов: Core2Quad-Q8300\4 gb DDR-2\1 tb; Раз в месяц в виду большого объема трафика создается новый индекс.


Сегмент: Энергетическая компания (2010 г.)

Задача:  Контроль Интернет трафика (ICQ, HTTP почта, HTTP посты, Skype).  Перехваченная информация должна храниться в БД в головном офисе – контроль осуществляется в головном офисе. Особенности инфраструктуры:  4 тысяч пользователей в головном офисе;  10 000 в региональных офисах;  Несколько доменов;  Сложная сеть с кластером SQUID и ISA-серверами;  Самостоятельный выход в интернет в региональных офисах;  Весь почтовый трафик ходит через почтовый сервер головного офиса;  Между офисами настроен VPN канал.


Особенности решения: мониторинг трафика HTTP и ICQ Трафик НТТР и ICQ идет через локальные интернет-шлюзы. Поэтому перехват HTTP и ICQ осуществляется локально в каждом офисе. Трафик зеркалируется на установленные локально серверы NetworkSniffer. Были созданы доверительные отношения между доменами - сервер NetworkSniffer получает имена пользователей всех доменов. Трафик, перехваченный в региональном офисе, передается по VPNканалу в SQL-базу головного офиса.


Особенности решения: мониторинг Skype Трафик Skype перехватывается агентами, установленными на рабочие станции пользователей. Агенты передают перехваченные чаты, звонки, файлы и SMSсообщения на серверы SkypeSniffer, установленные и в головном, и в региональном офисах компании. Имена доменных пользователей перехватываются на рабочих станциях пользователей. В дальнейшем, региональный сервер Skype-Sniffer передает перехваченный трафик по VPN-каналу в SQLбазу головного офиса.


Прочее: общее решение Для решения поставленных задач, модули были разнесены на 5 серверов:  3 в головном офисе – серверы NetworkSniffer, SkypeSniffer, MS SQL + индексация.  2 в региональном офисе – серверы NetworkSniffer и SkypeSniffer. Весь перехваченный трафик записывается в базу и индексируется в головном офисе. AlertCenter и поисковые клиенты тоже установлены в головном офисе – весь контроль осуществляется только в головном офисе. Конфигурация серверов:  СPU: Intel i7-860 @ 2.8ГГц ОЗУ: 8 ГБ DDR3  Жесткий диск: 2 ТБ  Windows Server 2008  MS SQL 2005


Сегмент: Федеральное государственное предприятие (2010 г.)

Задача:  Контроль почтового трафика;  Контроль данных, записанных на USB-устройства и CD/DVDматрицы;  Перехваченная информация храниться локально в каждом офисе – контроль осуществляется в каждом офисе и централизованно в головном офисе. Особенности инфраструктуры:  250 пользователей в головном офисе;  9 региональных офисов, 50 – 90 пользователей в каждом;  Самостоятельный выход в интернет во всех региональных офисах;  Весь почтовый трафик ходит через региональные почтовые серверы;  Между головным офисом и региональными настроены VPN каналы.


Особенности решения: мониторинг почты и USB, CD/DVD

Для перехвата данных, в каждом офисе установлен сервер NetworkSniffer + DeviceSniffer, на который зеркалируется почтовый трафик и передаются данные с агентов DeviceSniffer, установленных на рабочих станциях. Число контролируемых рабочих мест:          

Москва, 250 Казань, 55 Екатеринбург, 65 Красноярск, 70 Омск, 65 Ростов-на-Дону, 80 Санкт-Петербург, 85 Саратов, 70 Хабаровск, 55 Ханты-Мансийск, 55


Прочее: общее решение Для решения поставленных задач, в головном офисе разворачиваем 2 сервера:  NetworkSniffer + DeviceSniffer;  MS SQL + индексация + AlertCenter; Региональные офисы работают независимо от головного – устанавливаем по отдельному серверу со всеми модулями – информация перехватывается, индексируется и анализируется в каждом офисе. В головном офисе установлено АРМ аудитора с клиентами MailSniffer, DeviceSniffer и AlertCenter. При срабатывании AlertCenter в региональных офисах, аудитор головного офиса получает уведомление по RDPсоединению, аудитор подключается к региональному офису и проводит расследование по факту инцидента. Всего 11 серверов. Конфигурация:  Xeon E5504 2.00 GHz  4 GB ОЗУ  HDD 500…1000 ГБ  Windows Server 2003


Сегмент: Нефте-газовая компания (2009 г.)

Задача:  Мониторинг активности пользователей Skype.  Система должна обеспечивать устойчивую работу при развертывании агентов на 5000 рабочих станций. Особенности инфраструктуры:  Территориально распределенная инфраструктура сети.  Пропускная способность линий связи между сегментами от 10 Мб/с до 10 ГБ/с. Есть и ВОЛС и VPN.


Общее: решение

 Учитывая большое число агентов, создаем отдельный сегмент в составе: сервер управления (серверный модуль SkypeSniffer), сервер баз данных (MS SQL Server 2005), сервер индексации (сервер SearchInform).  Создаем два рабочих места – АРМ аудитора (AlertCenter + клиентский модуль SkypeSniffer), АРМ администратора (удаленный доступ к компонентам) и включаем в один из пользовательских сегментов.  Создаем в GPO политики принудительной установки агентов.  Сетевой трафик около 1 Мб/с на 100 агентов. Т.к. медленная сеть в направлении одного пользовательского сегмента – 10 Мб/с, ограничиваем число агентов в данном сегменте – на 100 рабочих станций.


Функциональное решение: упрощенная структурная схема


Предлагаемое решение успешно внедряется с 1995 года как в России, так и в Беларуси, Украине, Казахстане, странах Балтии. Данный продукт используется компаниями из самых разных отраслей - от банковского сектора до машиностроения. Среди крупнейших клиентов: ЗАО "ВТБ24", Финансовая Корпорация "Открытие", ООО "Газпромнефть-Хантос", ООО "Лукойл-Информ", ОАО "МТТ", Промсвязьбанк, ФАУ "Главгосэкспертиза России" и многие другие организации.


Контур информационной безопасности: практика внедрения  
Контур информационной безопасности: практика внедрения  

Передовое комплексное решение в области информационной безопасности предприятия.

Advertisement