Подрезая крылья

Сергей Исаков из "Аэрофлота" очень серьезно подошел к вопросу о фильтрации трафика. Типы прокси-серверов, установка пользовательских квот и все остальное, о чем ему позволила рассказать пресс-служба.

Небольшие и средние компании, ограничивающие доступ сотрудников в Интернет, могут не использовать специальные системы фильтрации трафика, закрывая вход на самые популярные развлекательные сайты и иногда просматривая отчеты по потраченному трафику. У крупных все несколько сложнее. Сергей Исаков, начальник службы сетевых сервисов "Аэрофлота", рассказал, какие ограничения накладываются на сотрудников и как они устанавливаются.

В основе процессов по учету и ограничению интернет-трафика – proxy-сервера, Active Directory и системы управления идентификационной информацией о пользователях – Microsoft Identity Integration Server (MIIS).

Информация из кадровой системы автоматически вносится в корпоративный каталог, права доступа предоставляются в зависимости от занимаемой должности. Кроме того, эта технология позволила нам осуществить синхронизацию паролей пользователей в большом числе систем, а для ряда систем, в том числе для прокси-серверов - внедрить однократный ввод пароля. Это повышает удобство работы пользователей, освобождая их от запоминания нескольких паролей. Также это улучшает информационную безопасность, так как при наличии нескольких паролей пользователи вынуждены их записывать, и часто делают это в легкодоступных местах.

Мы используем прокси-сервера на основе SQUID, а в настоящее время осуществляем переход на MS ISA. Для обоих типов серверов полностью реализована концепция SSO, а также системы учета и контроля трафика. Размер квот и разрешенной скорости доступа для обоих типов серверов определяется членством пользователей в соответствующих группах безопасности Active Directory (для обоих типов серверов).

Интернет для пользователей корпоративной сети с использованием технологии proxy. Остановить рост расходов на интернет-трафик нам позволила система квотирования объемов, потребляемых пользователями.

Концепция квотирования объемов построена на выделении недельных квот. Блокирование пользователю доступа в Интернет производится автоматически по исчерпанию недельной квоты. Для серверов SQUID объем полученного пользователем трафика сравнивается с квотой ежедневно, а для ISA серверов – в режиме реального времени. Почему выбрана именно недельная квота? Из соображений психологии. Если бы квота была суточной – каждый день было бы много заявок от пользователей. В случае месячной квоты – при ее превышении пользователем в середине месяца ему все равно нужно восстановить доступ для осуществления производственной деятельности. А в случае недельной квоты – если закончилась в четверг, и нет срочных заданий, многие пользователи ждут до понедельника, так как заявка на досрочный сброс квоты ведет к направлению списка посещенных ресурсов руководителю для информации.

Размер квот и выделяемая скорость доступа варьируются в зависимости от должности и рода деятельности пользователя либо назначается по заявке руководителя. Например, квота для обычных пользователей составляет одну величину в неделю, а для привилегированных пользователей увеличена вдвое. В отдельную группу входит руководство.

Утверждены руководящие документы, определяющие, какой процент пользователей подразделения может иметь повышенные квоты и скорость доступа.

У нас достаточно гибкий подход к потребностям сотрудников. Мы понимаем, что в некоторых случаях от квотирования может пострадать производственная деятельность. Вот почему мы организовали свободный, нелимитированный доступ к производственным сайтам, список которых постоянно расширяется. Это касается как ресурсов авиационной тематики, так и специфичных интернет-порталов, которые могут использоваться в работе, к примеру, финансовым блоком или юристами. Он учитывается, но не входит в квоту. Сейчас доля трафика от посещения производственным сайтам составляет около 20 – 25% от общего объема трафика. В то же время мы постоянно отслеживаем объемы трафика. Пользователи, которые постоянно превышают свой недельный лимит, становятся объектом нашего внимания, особенно при заявках на досрочный сброс и увеличение недельного лимита. Производится распечатка 30 посещенных страниц, давших наибольший объем трафика, анализируется и направляется для сведения непосредственному руководителю сотрудника...

Особо следует отметить два аспекта:

1. список страниц в зависимости от объема позволяет исключить конфликты и создает более комфортную обстановку для пользователя, так как случайно просмотренная при поиске страница нецелевого ресурса не попадает в этот список и не заставит пользователя краснеть;
2. решение о целевом использовании ресурсов Интернета принимает его руководитель.

Вместе с тем, несмотря на то, что основное внимание мы уделяем квотированию, мы не отказываемся и от фильтрации трафика. Ранее мы фильтровали только явно нецелевые ресурсы (сайты, содержащие вредоносный код, эротической направленности и т.п.). В настоящее время мы осуществляем полномасштабное тестирование продукта Websense, который позволяет производить более тонкую фильтрацию по различным типам и категориям сайтов.