Внедрение многофункционального межсетевого экрана и прокси-сервера «Интернет Контроль Сервер».

Заказчик

ФГБОУ «Всероссийский детский центр «Смена»

Руководитель проекта со стороны заказчика

Анатолий Александрович Осипов

Заместитель начальника отдела ИТ

ИТ-поставщик

Интернет Контроль Сервер

Год завершения проекта

2023

Сроки выполнения проекта

Сентябрь, 2017 - Сентябрь, 2023

Масштаб проекта

400 автоматизированных рабочих мест

Цели

Основными целями, стоящими перед техническим персоналом, были:

- Обеспечение контроля и блокировки доступа к определенным сайтам и контенту. Это особенно актуально для образовательных учреждений, где необходимо предотвращать доступ учащихся к нежелательным материалам или социальным сетям во время занятий.

- Защита сети учреждения от вторжений и атак из внешних источников, препятствие несанкционированной передаче данных, обнаружение и блокировка попыток вторжений, а также контроль сетевого трафика.

- Оптимизация использования интернет-ресурсов: кэширование данных и контента, ускорение доступ к ним и снижение использования интернет-трафика. Это позволяет сократить расходы на интернет-соединение и повысить общую производительность сети.

- Мониторинг активности пользователей: отслеживание активности пользователей в сети образовательного учреждения. Это помогает в контроле и анализе использования интернета, выявлении потенциальных угроз и нежелательного поведения.

- Усиление безопасности: контроль и фильтрация сетевого трафика, блокировка нежелательных соединений и обнаружение аномальной активности. Таким образом, обеспечивается дополнительный уровень безопасности для образовательного учреждения, защищая конфиденциальность персональных и медицинских данных детей и личную информацию.

Результаты

Внедрение ИКС позволило не только оптимизировать контроль и управление сетями, но и обеспечить должный уровень ИБ, в том числе обеспечение сохранности персональных и медицинских данных. В условиях современных угроз и специфики клиентов учреждения (несовершеннолетние), а также изменений в Законодательстве и необходимости использования других специальных систем и сервисов, данный продукт является незаменимым ввиду оптимальных требований к производительности оборудования и возможностям интеграции.

Дружелюбный интерфейс, профессиональная поддержка не требуют привлечения узкоспециализированного персонала и позволяют уделять больше времени на решение насущных задач ИТ-подразделения.

С точки зрения требований к производительности оборудования, данному решению нет конкурентов на рынке. В ВДЦ «Смена» при использовании вышеописанного функционала, наличии:

- более 400 корпоративных пользователей,

- не менее 500 единовременных пользователей единой беспроводной сети,

- более 300 камер видеонаблюдения,

- сопутствующие коммуникационные устройства и серверы,

решение развернуто на виртуальной машине с параметрами:

- Виртуальные процессоры: 32 шт.

- Оперативная память 48 Гб

- Жесткий диск: 256 Гб

- Виртуальные сетевые интерфейсы: 8 шт.

физический сервер имеет конфигурацию:

- процессоры Intel Xeon E5-2640v2@2Ггц: 2 шт.

- оперативная память 128 Гб

- дисков SATA по 2 Тб (RAID5): 6 шт.

- сетевые интерфейсы: 8 шт.

При этом, несмотря на «скромное» по современным меркам аппаратное обеспечение, продукт полностью выполняет свои функции. Таким образом, экономический эффект от внедрения данного проекта в разы превышает подобные варианты других разработчиков как комплексных решений, так и при внедрении ряда отдельных систем и сервисов.

Немаловажным фактом с экономической точки зрения также является адекватная ценовая политика в совокупности со значительными скидками для государственных и образовательных учреждений.

Уникальность проекта

Уникальность проекта заключается сразу в комплексе задач, которые решает ИКС. Внедрение единой системы вместо целого стека программ позволило не только оптимизировать расходы на ИТ, но экономить другие ресурсы: сотрудникам не нужно было изучать и тестировать несколько программ, проверять их совместимость, поддерживать актуальность обновлений. Дружелюбный интерфейс, профессиональная поддержка не требуют привлечения узкоспециализированного персонала и позволяют уделять больше времени на решение насущных задач ИТ-подразделения.

В течение процесса эксплуатации, в рамках контракта проводятся все необходимые процедуры по поддержке, обновлению и совершенствованию продукта. При этом, учитываются все пожелания, требования и специфика ФГБОУ «ВДЦ «Смена».

Проект решает задачи импортозамещения

Да

Использованное ПО

Сегодня Интернет Контроль Сервер используется в ВДЦ «Смена» в качестве основного продукта, решающего задачи контроля, безопасности и управления ИТ-инфраструктурой.

1. Универсальный шлюз

 поддержка нескольких сетей: Internet, Wi-Fi, видеонаблюдения, IP-телефонии, разделенных как физически, так и с помощью VLAN

 работа с несколькими провайдерами

 DHCP, DNS, NAT

2. Контроль доступа

 синхронизация с Active Directory

 авторизация пользователей по имени/паролю, ip, MAC, Xauth

 запрещающие и разрешающие правила

3. Контент-фильтр

 фильтрация по спискам Минюста, Госнаркоконтроля

 готовый набор правил для школ, РБОС

 блокирование по URL, ключевым словам, шаблонам, регулярным выражениям

 блокирование навязчивой рекламы в категориях AdBlock

 дополнительные категории трафика SkyDNS и KWF

 гибкая настройка доступа пользователей

4. Защита сети

 межсетевой экран и IDS/IPS Suricata

 Kaspersky Anti-Virus и Anti-Spam, ClamAV

 прокси-сервер

 веб-фильтр Касперского

 https-фильтрация

5. Удаленный доступ

 безопасное подключение через встроенный VPN

 разные правила доступа

 сбор статистики по действиям пользователей в сети

 защита корпоративной сети при удаленной работе

6. Счетчик трафика

 счетчик трафика по пользователям, группам адресов, интерфейсам, сайтам, файлам, доменам, времени

 отчеты по пользователям, протоколам, mime-типам, назначениям, ip

 системный журнал + конструктор отчетов

 экспорт отчетов

Таким образом, ИКС предоставляет все ключевые сервисы и службы для качественного управления и защиты корпоративной сети, а также предоставления доступа обучающимся.

ИКС развернут на виртуальной машине с параметрами:

- Виртуальные процессоры: 32 шт.
- Оперативная память 48 Гб
- Жесткий диск: 256 Гб
- Виртуальные сетевые интерфейсы: 8 шт.
физический сервер имеет конфигурацию:
- процессоры Intel Xeon E5-2640v2@2Ггц: 2 шт.
- оперативная память 128 Гб
- дисков SATA по 2 Тб (RAID5): 6 шт.
- сетевые интерфейсы: 8 шт.

Сложность реализации

При том, что ИКС обладает мощным функционалом, в силу его универсальности и оптимального интерфейса, не представляет проблем при реализации для персонала среднего уровня квалификации, а благодаря поддержке, максимально сокращаются сроки внедрения и решения текущих вопросов.

Кроме того, решение не является ресурсоемким, что позволяет быстро и эффективно найти подходящее оборудование и, при необходимости, легко нарастить мощности.

Описание проекта

Всероссийский детский центр «Смена» — федеральное государственное бюджетное образовательное учреждение. Учредители: Правительство Российской Федерации и Министерство просвещения Российской Федерации.
«Смена» — главный профориентационный детский центр страны и флагман детского образования и отдыха в России.

Современная «Смена» – это пять детских образовательных лагерей: «Лидер», «Профи», «Арт», «ПрофессиУМ» и «Наставник». Одновременно в них могут находиться 1200 детей, а в течение года — свыше 16 тысяч.

В «Смене» реализуется 80 образовательных программ — авторских, созданных педагогами Центра, и партнерских, реализуемых совместно с федеральными и региональными ведомствами, крупнейшими компаниями, организациями и общественными движениями страны.

С 2017 года действует единственный в стране Всероссийский учебно-тренировочный центр профессионального мастерства и популяризации рабочих профессий, созданный по поручению Президента РФ. В нем обучающиеся осваивают самые современные и востребованные компетенции: инженерия космических систем, фармацевтика, мультимедийная журналистика, промышленная робототехника, инженерный дизайн CAD и три десятка других.

Соответственно, задачи безопасности и сохранности персональных данных в образовательном учреждении требуют особого внимания и ответственного подхода. Процесс реализации проекта включал следующие шаги:

1. После определения требований и анализа Законодательства, были определены конкретные потребности учреждения. Это включало фильтрацию контента, контроль доступа, защиту от вредоносных программ, оптимизацию сетевого трафика и другой функционал.

2. Проведено исследование рынка. Изучены различные варианты межсетевых экранов и прокси серверов, которые соответствовали требованиям. Рассмотрены их возможности, функциональность, цена, возможности поддержки и отзывы пользователей. Рассматривались как отдельные программные продукты, так и комплексные решения.

3. Оценка бюджета. Учитывалась не только стоимость приобретения оборудования или лицензий, но также и операционные расходы, такие как обновление и поддержка.

4. Перед окончательным выбором продукта проведено пилотное тестирование нескольких вариантов. Оценена производительность, функциональность и совместимость с имеющейся ИТ-инфраструктурой. Вовлечено более 100 пользователей для сбора обратной связи.

5. На основе результатов пилотного тестирования принято решение о внедрении, выделены соответствующие финансовые, технические и трудовые ресурсы.

6. Приобретено и введено в эксплуатацию необходимое серверное и сетевое оборудование, заключен лицензионный договор.

7. В процессе внедрения, Разработчиком предоставлен исчерпывающий объем документации, проведено обучение специалистов и администраторов, ответственных за управление межсетевым экраном и прокси сервером. В процессе решались все возможные проблемы и получены советы в процессе эксплуатации.

8. На стадии тестирования и оптимизации, постоянная и всеобъемлющая помощь Разработчика позволила убедиться, что все модули правильно функционируют и соответствуют требованиям. Оперативно внесены необходимые изменения и настройки.

9. На данный момент, проводится регулярное обновление и аудит, как силами сотрудников учреждения, так и с участием Разработчика. Постоянно обновляется ПО, чтобы обеспечить безопасность и соответствие последним стандартам. Регулярно проводится аудит системы для обнаружения уязвимостей и улучшения производительности.

В современных условиях, Интернет Контроль Сервер в своем текущем состоянии – это не только многофункциональное решение, способное закрыть большинство актуальных ИТ-задач, но и позволяет соответствовать всем условиям импортозамещения.

География проекта

- Краснодарский край, город-курорт Анапа
- Город Краснодар (представительство ВДЦ «Смена»)
- Москва (представительство ВДЦ «Смена»)