Na straży dystrybucji energii
- 06.11.2007
Bezpieczeństwo systemu IT w przypadku firm zajmujących się wytwarzaniem lub dystrybucją energii jest zadaniem szczególnie ważnym. Ewentualne zakłócenia i przerwy w dostawach energii mają bowiem wpływ na całą gospodarkę kraju.
Bezpieczeństwo systemu IT w przypadku firm zajmujących się wytwarzaniem lub dystrybucją energii jest zadaniem szczególnie ważnym. Ewentualne zakłócenia i przerwy w dostawach energii mają bowiem wpływ na całą gospodarkę kraju.
Znaczne rozproszenie
System IT w PKP Energetyka składa się z 30 sieci lokalnych połączonych szkieletem wykorzystującym technologię MPLS. Pracuje w niej ok. 1800 komputerów stacjonarnych i 300 mobilnych. Natomiast 100 pracowników z innych lokalizacji spółki stosuje zdalny, bezpieczny dostęp do wydzielonej strefy w trybie IPSec i SSL-VPN. Serwery znajdują się w specjalnie wydzielonej strefie i są zarządzane przy zastosowaniu połączeń za pomocą klienta IPSec FortiClient z uwierzytelnieniem certyfikatami cyfrowymi.
Po analizie systemu, ryzyka, przetestowaniu różnych rozwiązań w laboratoriach producentów, a także zebraniu informacji o wdrożeniach podobnej klasy systemów korporacyjnych, PKP Energetyka zdecydowała się na instalację w centrali firmy dwóch redundantnych urządzeń FortiGate-1000A i 23 mniejszych modeli Fortigate-100A w rozproszonych po Polsce zakładach. FortiGate to zintegrowane urządzenia klasy UTM z funkcjami routera, zapory firewalla, IPS, VPN, ochrony antywirusowej i filtrami treści umożliwiające monitorowanie i kontrolowanie ruchu w sieci oraz automatyczne zapobieganie ewentualnym problemom. System jest zarządzany centralnie przy wykorzystaniu oprogramowania FortiManager-400A oraz modułu do analizy, korelacji zdarzeń i generacji raportów - FortiAnalyzer-800. Wdrożenie systemu powierzono firmie Asseco Business Solutions.
Obecnie na ukończeniu jest projekt integracji sieci APN z siecią lokalną, gdzie terminatorem tunelu GRE i IPSec po stronie PKP Energetyka jest klaster urządzeń FortiGate 1000A. Rozwiązanie to umożliwi dostęp w trybie rzeczywistym do ok. 1200 urządzeń wyposażonych w karty GSM i pracujących w usłudze APN.
Ostrożne,planowe podejście
"Zaprojektowanie i wdrożenie infrastruktury zabezpieczeń nie przysporzyło wielu problemów. Uniknęliśmy tego dzięki postępowaniu według starannie przygotowanych wcześniej procedur i harmonogramu działania" - zapewnia Robert Żelechowski, naczelnik Wydziału Systemów Informatycznych w PKP Energetyka. "Możliwe to było m.in. dlatego, że już we wstępnej fazie planowania przeprowadziliśmy analizę rankingów publikowanych przez Gartner i IDC, opinii publikowanych na listach dyskusyjnych, a także prezentowanych przez zaprzyjaźnionych administratorów innych dużych sieci korporacyjnych" - dodaje.
Przy ostatecznym doborze sprzętu najważniejsze stawiane przed nim wymagania dotyczyły wysokiej wydajności urządzeń, dużej liczby obsługiwanych jednocześnie sesji - zarówno firewall, jak i VPN - dużej liczby interfejsów pozwalających na zbudowanie wielu stref bezpieczeństwa, a także korzystne warunki licencjonowania, które umożliwiają wnoszenie opłat za urządzenie, a nie za liczbę chronionych użytkowników. Uznano również, że korzystna jest implementacja systemu wykorzystującego technologię jednego producenta.
W efekcie PKP Energetyka zdecydowała się na wdrożenie urządzeń typu UTM firmy FortiNet. "Ważnym aspektem była oczywiście ocena jakości wsparcia technicznego, a także kosztów subskrypcji i aktualizacji, które w przypadku zintegrowanych systemów UTM okazały się szczególnie korzystne" - mówi Robert Żelechowski. Przyznaje jednocześnie, że podczas wdrożenia "szczególnie dużo pracy pochłonęło przygotowanie polityk bezpieczeństwa i przekonanie końcowych użytkowników, że wdrażane ograniczenia i procedury nie są wymierzone przeciwko nim, lecz służą bezpieczeństwu IT firmy".