Аналитика

Как аэропортам выйти в интернет без угрозы для безопасности

  • 24-10-2025 15:19
  • 2

Критически важные информационные объекты (КИИ) требуют специальных мер защиты в соответствии с законодательными нормами, которые обязывают после регистрации в реестре КИИ перемещать ключевые системы в обособленные (защищённые) сегменты, изолированные от глобальной сети. Тем не менее, современная организация не может полноценно работать без доступа к внешним ресурсам — государственным платформам, системам сдачи отчётности, информационным службам. Следовательно, необходимо найти технологический компромисс, который гарантирует как соблюдение стандартов безопасности, так и полноценную работоспособность корпоративных систем.

Справиться с этой задачей помогут передовые отечественные решения для виртуализации, которые позволяют организовать изолированный сегмент и настроить к нему защищённое подключение. Данные инструменты должны иметь сертификацию ФСТЭК, подтверждающую их соответствие действующим стандартам защиты информации.

Источник изображения: Rocker Sta/unsplash.com

Проанализируем данную проблему и варианты её устранения на примере одного из наиболее уязвимых видов объектов КИИ — аэропортов, где сбои в работе информационных систем способны привести к особенно тяжёлым последствиям.

Изоляция против функциональности

Как и прочие объекты КИИ, аэропорт обязан выполнять жёсткие предписания контролирующих органов в сфере кибербезопасности. Теоретически можно целиком переместить все системы в закрытый, обособленный контур, однако в таком случае без доступа к внешним платформам окажется парализована деятельность ключевых служб предприятия:

  • бухгалтерия лишится возможности направлять обязательную отчётность в налоговые органы через электронный кабинет;
  • отдел снабжения не сможет оформлять заказы на портале государственных закупок;
  • станут недоступны важнейшие обновления для информационных систем;
  • также возникнут сложности с участием в онлайн-совещаниях с внешними контрагентами.

Безусловно, можно организовать выход в интернет через пробивание бреши в защитном периметре, однако это создаёт угрозы для всей инфраструктуры. Именно поэтому для реализации необходимых функций компаниям требуются специализированные инструменты, обеспечивающие защищённое взаимодействие изолированного сегмента с внешними ресурсами без компрометации системы безопасности.

Источник изображений: «Базис»

Источник изображений: «Базис» Интерфейс системы управления средой виртуализации Basis Dynamix Standard

Виртуальные десктопы: связующее звено между изоляцией и возможностями

Современные технологии виртуализации позволяют формировать обособленные программные пространства, способные к безопасному обмену данными с внешними источниками без угрозы для ключевых компонентов инфраструктуры. К примеру, продукт компании «Базис», ведущего игрока на отечественном рынке виртуализации, предусматривает развёртывание виртуальных рабочих столов (VDI) в качестве защищённого канала связи между внутренним контуром и внешней средой

Платформа управления виртуальными рабочими столами Basis Workplace

Её функциональные обязанности включают:

  • консолидированное администрирование виртуальных рабочих мест;
  • гибкую систему разграничения прав доступа согласно ролевой модели;
  • отслеживание пользовательских действий;
  • безопасное соединение из защищённого сегмента сети.

Платформа виртуализации Basis Dynamix Standard

Она обеспечивает формирование защищённой изолированной среды и состоит из:

  • панели управления виртуальной инфраструктурой для администрирования виртуальных машин и сетевых компонентов;
  • модуля безопасности Virtual Security, отвечающего за проверку подлинности и защиту информации;
  • гипервизора vCore, создающего изолированные виртуальные машины для функционирования операционных систем.

Принцип работы: безопасностная архитектура

Концепция решения базируется на организации демилитаризованной зоны (ДМЗ) между внутренним контуром и глобальной сетью. В пределах ДМЗ располагается диспетчер подключений (брокер), выполняющий функции контролируемого шлюза доступа к виртуальным рабочим столам, расположенным во внутреннем контуре за границами ДМЗ, что формирует дополнительный эшелон защиты.

Внешний вид панели управления виртуализационной платформы Basis Dynamix Standard

Из защищённого сегмента сети запускается клиент Basis Workplace, подключающийся к менеджеру сессий в демилитаризованной зоне, которая оборудована сетевыми экранами и открывает доступ к виртуальным десктопам. Это позволяет организовать контролируемый выход в интернет для защищённых рабочих столов через специальный безопасный канал связи.

Ключевая характеристика архитектуры — использование дифференцированных правил безопасности в зависимости от точки входа. При работе из внутренней корпоративной сети пользователям разрешён обмен данными через буфер обмена, подключение внешних устройств и USB-носителей. При авторизации извне (например, из домашней сети) эти функции деактивируются во избежание несанкционированного переноса информации.

Подобная многоуровневая структура формирует надёжную преграду между важными системами и внешней средой. Даже при компрометации виртуального рабочего места злоумышленники не смогут проникнуть в изолированный сегмент, а локальное сохранение информации на пользовательских устройствах полностью исключено.

Источник изображения: Boitumelo/unsplash.com

Какие преимущества получают пользователи?

Виртуальные десктопы дают сотрудникам широкие возможности для веб-работы при одновременном соблюдении корпоративных стандартов защиты.

Управление доступом к интернет-ресурсам происходит либо на уровне гостевой ОС виртуального рабочего стола, либо через шлюзы доступа или прокси-серверы. Это даёт возможность ограничивать сотрудников только необходимыми для задач веб-платформами и запрещать посещение потенциально опасных или непрофильных сайтов.

Сотрудники различных подразделений получают индивидуальный набор инструментов и прав в соответствии со своими функциями:

  • сотрудники финансовой службы — доступ к порталам налоговых органов и банковским платформам;
  • специалисты отдела закупок — к системам государственных закупок и сайтам контрагентов;
  • ИТ-специалисты — права на загрузку обновлений и технических материалов;
  • руководящий состав — возможность проведения видеовстреч с внешними контрагентами.

При этом все операции выполняются в обособленной виртуальной среде, физически изолированной от ключевой инфраструктуры. Загрузка файлов, просмотр интернет-страниц и другие потенциально небезопасные действия не оказывают прямого влияния на системы защищённого сегмента.

Ключевым преимуществом является сохранение полной функциональности привычных веб-обозревателей и интернет-приложений для пользователей. Виртуальная рабочая среда визуально и функционально неотличима от стандартного компьютера с полным пакетом рабочих программ.

Работа с электронной подписью и USB-устройствами

Представим ситуацию, когда бухгалтеру требуется подписать платёжный документ в онлайн-банке с применением токена электронной подписи. Сложность заключается в том, что рабочая станция функционирует в изолированной сети, тогда как процедура подписания требует подключения к интернету.

Платформа «Базис» решает эту задачу благодаря технологии перенаправления USB-устройств. Специалист подсоединяет токен или смарт-карту к терминалу доступа (например, персональному компьютеру) с инсталлированным клиентом Basis Workplace. Терминал доступа может располагаться как внутри защищённого периметра, так и во внешней сети — в зависимости от этого активируются соответствующие политики безопасности. Basis Workplace автоматически обеспечивает доступ к подключённому оборудованию в виртуальной среде, поддерживая следующие устройства:

  • токены Рутокен и JaCarta для создания электронной подписи;
  • смарт-карты ESMART Token ГОСТ для защищённой идентификации;
  • оборудование для взаимодействия с КриптоПро и другими криптографическими системами.

Это позволяет персоналу эффективно работать с системами, требующими усиленной аутентификации — включая государственные порталы, отчётные платформы и системы электронного документооборота — непосредственно из защищённой среды виртуального рабочего стола.

Интеграция с локальными ресурсами

Если критически важные файлы хранятся на рабочей станции в изолированном сегменте, где подключены печатающие устройства и другое периферийное оборудование, доступ к ним организуется через Basis Workplace, который предоставляет два способа:

  1. Перенаправление ресурсов через терминал доступа. Периферийные устройства (принтеры, сканеры, USB-накопители) подключаются к терминалу доступа с запущенным клиентом Basis Workplace, после чего доступ к ним транслируется в виртуальный рабочий стол.
  2. Подключение к физическому ПК через агентское ПО. Через терминал доступа возможен доступ к стационарному компьютеру в офисе с установленным агентом Basis Workplace. Это даёт возможность работать с файлами, приложениями и ресурсами офисного компьютера из любой локации.

Интерфейс платформы виртуализации рабочих мест и терминального доступа Basis Workplace

Кроссплатформенность

Платформа «Базис» совместима с широким спектром операционных систем — как на пользовательских устройствах (Windows, Альт, Astra Linux, РЕД ОС), так и в среде виртуальных рабочих столов. Благодаря этому её можно интегрировать в действующую ИТ-инфраструктуру компании, не прибегая к масштабным преобразованиям.

Интерфейс платформы виртуализации рабочих мест и терминального доступа Basis Workplace

Выгоды для специалистов по информационной безопасности

Предлагаемое «Базисом» решение не только упрощает работу пользователей, но и предоставляет значительные преимущества для сотрудников службы ИБ.

В первую очередь, архитектура с виртуальными рабочими столами формирует надёжную преграду между изолированным контуром и интернетом. Даже при компрометации устройства доступа злоумышленники не смогут проникнуть в ключевые системы защищённого контура. Такой подход обеспечивает принципиально иной уровень безопасности в сравнении с классическими решениями на базе межсетевых экранов и прокси.

Источник изображения: Kevin Horvat/unsplash.com

Особый акцент сделан на аудите и наблюдении. Платforma ведёт детальные журналы активности пользователей, фиксируя, кто, когда и к каким ресурсам обращался. Эти данные становятся ценным инструментом при расследовании происшествий и подготовке отчётности для контролирующих органов. При выявлении подозрительных действий возможна мгновенная реакция, включая завершение сеанса пользователя.

Немаловажно, что Basis Workplace и Basis Dynamix Standard полностью отвечают нормам российского законодательства в области защиты КИИ. Решение «Базиса» гарантирует эффективную защиту от несанкционированного доступа к важным объектам, изоляцию сегментов информационной структуры и контроль действий всех участников. Это существенно облегчает прохождение проверок надзорных органов и минимизирует риски штрафных санкций за нарушение законодательных требований.

Процесс внедрения

Компания «Базис» создала понятную и результативную методику внедрения платформы виртуализации, учитывающую особенности объектов КИИ и персональные пожелания заказчиков.

На первом этапе выполняется всесторонняя диагностика потребностей, анализируется текущая ИТ-среда клиента, организуются встречи с ответственными специалистами и детально прорабатываются варианты применения платформы. В результате формируется перечень условий к будущей системе, охватывающий как технологические нюансы, так и специфику рабочих процессов организации.

При создании архитектурного проекта интегратор разрабатывает модель решения с учётом всех выявленных характеристик и ограничений инфраструктуры заказчика. Компания также открыта к рассмотрению индивидуальных запросов. К примеру, при возникновении потребности возможна интеграция с унаследованными, но стратегически важными системами контроля, применяющими закрытые протоколы — подобные задачи часто встречаются на производственных объектах. Для их реализации инженеры создают специализированные адаптеры, обеспечивающие включение таких систем в единый защищённый контур.

После согласования архитектуры поставщик развёртывает пробный полигон — демонстрационную площадку, где клиент может оценить функционирование платформы «Базис» в условиях, имитирующих реальные. Это помогает заблаговременно обнаружить потенциальные сложности и скорректировать стратегию внедрения.

Источник изображения: Annie Spratt/unsplash.com

Все стандартные процедуры максимально роботизированы для оптимизации сроков развёртывания. От клиента требуется лишь грамотно заполнить «технический паспорт» — документ с описанием целевой ИТ-архитектуры. На его базе генерируется конфигурация системы, подготавливаются серверные мощности, настраиваются операционные среды и проверяется соответствие инфраструктуры предъявляемым критериям.

Фаза конфигурирования и интеграции предполагает адаптацию решения под действующую инфраструктуру, тонкую настройку системных модулей и их совмещение с функционирующими информационными ресурсами компании. Воздействие на текущие операционные процессы минимизировано — внедрение осуществляется постепенно без нарушения работы жизненно важных служб.

Перед вводом в промышленную эксплуатацию проводится всеобъемлющее тестирование и проверка защищённости всех элементов решения. Поставщик верифицирует функциональность, а интегратор — соответствие нормативным требованиям. При выявлении недочётов выполняется дополнительная калибровка защитных механизмов.

По окончании тестовой фазы демонстрируется функционирующая система. «Базис» собирает отзывы пользователей и при необходимости вносит заключительные улучшения.

Финальная стадия — внедрение решения в промышленную среду. По желанию клиента поставщик может либо полностью обучить внутреннюю IT-команду, либо взять на себя круглосуточную техническую поддержку системы.

Универсальное решение для всех объектов КИИ

Несмотря на то, что применение платформы виртуализации «Базис» рассмотрено на примере аэропорта, эта разработка подходит для любых объектов критической информационной инфраструктуры:

  • энергетика — электростанции, подстанции, диспетчерские центры;
  • транспорт — железнодорожные узлы, морские порты, системы управления транспортом;
  • финансы — банки, процессинговые центры, биржевые системы
  • промышленность — оборонные предприятия, химические производства, металлургия;
  • здравоохранение — больницы, диагностические центры, системы медицинских данных.

Разработка компании демонстрирует свою результативность в любых сферах, где необходима максимальная защищённость при сохранении доступа к внешним ресурсам.

Так, банк ВТБ ещё в прошлом году перешёл с платформы Citrix на Basis Workplace, подключив к новой системе большинство сотрудников. Похожие проекты по замене иностранных VDI-решений успешно выполнены и в других крупных российских компаниях, включая объекты КИИ.

Источник изображения: Ivan Shimko/unsplash.com

«Базис» — российский лидер в области виртуализации

Компания «Базис» занимает ведущие позиции на отечественном рынке виртуализации. Её продукты:

  • созданы в России и полностью отвечают политике импортозамещения;
  • имеют сертификаты соответствия стандартам ГОСТЕХ;
  • активно применяются в более чем 120 ИС и ГИС, включая инфраструктуру электронного правительства;
  • занимают лидирующие позиции в сегментах виртуализации рабочих мест и серверных решений.

Заключение: безопасность без изоляции

Функционирование критических систем в закрытом контуре не должно означать цифровую изоляцию. Решение на основе Basis Workplace и Basis Dynamix Standard создаёт защищённый канал связи между изолированным контуром и интернетом, гарантируя высокий уровень безопасности.

Поставщик учитывает особенности функционирования объектов критической информационной инфраструктуры и способствует достижению наилучшего соотношения между защищённостью и работоспособностью корпоративных информационных систем, ведь подлинная безопасность заключается не в отрыве от цифрового пространства, а в грамотном контроле над потенциальными угрозами.

Реклама | ООО "БАЗИС" ИНН 7731316059 erid: F7NfYUJCUneTRxyzg1kG

Информация взята:

Поделиться:
Лучшие IaaS-провайдеры для бизнеса: кто лидирует на рынке
Рейтинг российских СЭД 2024: лидеры рынка электронного документооборота

0 Комментариев

Оставить комментарий

Обязательные поля помечены *
Ваш комментарий *
Категории
Новости Hardware 191 Новости Software 160 Игры 16 Смартфоны и связь 10 Авто и транспорт 2 Гаджеты 0 Носимая электроника 3 Фото и видео 0 ОС и софт 75 Космос 1 Графика и дизайн 0 Аудио и видео 0 Наука 3 Процессоры 4 Безопасность 73 AI и нейросети 5 Открытое ПО 13 Аналитика 82 Мероприятия 4 Пресс-релизы 0 ИКТ-бизнес 72 Телеком 71 Интернет 78 Новости 106
Похожие новости
Card image
Новости Software
Илон Маск судится с OpenAI, чтобы скрыть провалы xAI
Card image
Новости Hardware
Alibaba сократила потребность в видеокартах Nvidia для ИИ на 82%
Card image
Новости Hardware
ИИ-смартфоны оживили рынок: впервые за долгое время зафиксирован рост продаж
Популярные новости
product
MSI RTX 5060 Ti 16 ГБ: Идеальная видеокарта для будущих игр

23/10/2025

product
ИИ-браузер Perplexity Comet теперь бесплатен для всех: ранее подписка стоила $200

23/10/2025

product
Секрет обратной стороны Луны: что скрывали лунные образцы?

24/10/2025

product
Новый флагман от Xiaomi: Snapdragon 8 Elite Gen 5, мощный звук и огромная батарея всего за 560$

23/10/2025

product
Как мы остановили мощные DDoS-атаки с помощью Curator

24/10/2025

product
HUAWEI nova 14 Pro: Обзор, который раскрывает все сильные и слабые стороны

23/10/2025

product
Создатели Qt выпустили новый GUI-фреймворк: интерфейсы «летают» всего на 300 КБ ОЗУ

24/10/2025

product
Megabonk: Новый хит Steam продал миллион копий за 14 дней

24/10/2025

product
Redmi Watch 6: 24 дня работы и огромный экран всего за $84

24/10/2025

product
AMD поставит миллионы ИИ-чипов для новых супермощных дата-центров OpenAI

27/10/2025

Популярные теги
AMD Apple Google Microsoft NVIDIA OpenAI Samsung Steam ИИ Китай МТС МегаФон Россия США ЦОД безопасность дата-центры защита данных импортозамещение инвестиции информационная безопасность искусственный интеллект исследование кибератака кибератаки кибербезопасность мобильная связь мобильный интернет обзор облачные вычисления обновление полупроводники российское ПО связь скорость интернета смартфон телекоммуникации утечка данных фишинг цена
Показать все теги