Трансформация корпоративной сети передачи данных

Заказчик
Гринатом
Руководитель проекта со стороны заказчика
ИТ-поставщик
Ростелеком
Год завершения проекта
2023
Сроки выполнения проекта
Декабрь, 2022 - Ноябрь, 2023
Масштаб проекта
50000 человеко-часов
Цели

Стратегическими целями создания КСПД нового поколения является обеспечение непрерывности доступа организаций атомной отрасли к корпоративным информационным ресурсам Госкорпорации «Росатом», а также обеспечение требований по импортозамещению в значимых объектах критической инфраструктуры Российской Федерации.

Переход на КСПД нового поколения также производится в целях:

·  расширения спектра оказываемых организациям отрасли услуг с на узлах КСПД за счет применения сервисной подсистемы на основе технологии виртуализации сетевых функций (VNF);

·  повышение управляемости сетью передачи данных и эффективности использования каналов связи за счет применения технологии SD-WAN;

·  сокращение времени запуска новых сервисов на инфраструктуре КСПД;
возможность подключения организаций за пределами РФ;

·  сокращения эксплуатационных расходов за счет стандартизации и типизации состава оборудования узлов КСПД;

·   обеспечение требуемого уровня доступности для корпоративных информационных систем;

·   сокращения времени восстановления сервиса КСПД.

Результаты

·  Спроектирована и введена в эксплуатацию полностью импортозамещенная сеть передачи данных Госкорпорации «Росатом», постоянная на основе технологии SD-WAN;

·  В рамках подсистемы информационной безопасности внедрены сервисы криптографической защиты каналов связи, межсетевого экранирования, а также обнаружения и предотвращения вторжений;

·  Обеспечен тираж разработанных технологических решений на более чем 160 предприятий отрасли. В рамках тиража обеспечена миграция узлов КСПД без деградации сервиса и с сохранением текущего уровня доступности;

·  Внедренная сервисная подсистема позволяет запускать различные сервисы на узлах КСПД для предприятий отрасли. В качестве сервисов пропилотированы решения: ВКС IVA, вынос сервера мессенджера Express, виртуальная АТС РТУ. Созданы виртуальные ядра сетевой инфраструктуры для 5 организаций;

·  На сети КСПД внедрен сервис доставки медиа контента (CDN), позволяющий передавать видеоконтент высокого качества на все предприятия без деградации из-за перегрузки каналов связи;

·  Обеспечена возможность балансировки сервисов на уровне L7 по разным каналам связи в зависимости от SLA сервиса и параметров QoS каналов.

Уникальность проекта

Построение корпоративной сети передачи данных на основе технологии программно-определяемых сетей (SD-WAN) для более чем 160 предприятий атомной отрасли на всей территории РФ, а также за ее пределами.

Уникальная технология SD-WAN впервые в России внедрена на распределенной сети передачи данных, категорированной как Значимый объект критической информационной инфраструктуры (ЗОКИИ) Российской Федерации.

В рамках проекта был проработан возможный переход на резервную схему замещения в случае возникновения рисков препятствующих дальнейшей эксплуатации запроектированной сети. В следствие санкционного ограничения со стороны иностранных производителей, а также в связи с требованиями Указа Президента РФ №166 в кротчайшие сроки произведено перепроектирование на основе отечественного ПО и программно-аппаратных комплексов.

Отсутствие как российского, так и мирового опыта запуска и эксплуатации сетей связи подобного масштаба на столь значимых информационных ресурсах.

В периметр проекта входило не только разработка технического решения на КСПД, но и проработка всей организационной обвязки, включая регуляторную, процессную и сервисную модели оказания услуги.
Проект решает задачи импортозамещения
Да
Использованное ПО

·  SD-WAN Kaspersky
·  Сервера/СРЕ «Булат»
·  МСЭ Usergate
·  Коммутаторы T-KOM
·  СКЗИ S-Terra
·  CDN PlatformCraft

Сложность реализации

Переход с традиционных телекоммуникационных технологий на программно-определяемый стек. Отсутствие опыта внедрения технологии SD-WAN в корпоративных сетях передачи данных на территории РФ.

Санкционное ограничение со стороны вендоров, начавшееся на момент внедрения уже запроектированного иностранного решения, которое привело к невозможности поставки оборудования и ПО и, как следствие, полному изменению проектируемого стека в сжатые сроки.

Отсутствие зрелых продуктов класса SD-WAN на российском рынке на момент принятия решения о выборе. Не полное соответствие требуемому функционалу и последующая его доработка со стороны вендора параллельно с проектированием ивнедрением.

Отсутствие программно-апаратных решений. На момент начала проектирования вендор поставлял только софт. Для реализации оконечного оборудования узлов КСПД (CPE), на котором должно быть запущено ПО SD-WAN требовался подбор соответствующего производительного вычислительного аппаратного комплекса. В рамках проекта были сформированы ПАКи SD-WAN под каждый тип узла.
Описание проекта

Проект был инициирован в 2019 году в целях реновации существующей КСПД Госкорпорации «Росатом». В 2020 году была проведена конкурсная процедура по выбору подрядчика на проектирование и внедрение, которым по итогам стал ПАО «Ростелеком». В рамках договора подрядчик должен был реализовать проект в 8 этапов. 

В рамках первого этапа была разработана концепция КСПД периметра РФ, произведен выбор и стендирование вариантов технологий и решений разных вендоров по всем подсистемам КСПД.

В рамках этапа проектирования КСПД периметра РФ были разработаны общее техническое задание на создание КСПД, ЧТЗ на подсистему информационной безопасности КСПД и ПЗ к техническому проекту.

В рамках третьего этапа была разработана РД на КСПД периметра РФ, включая шаблоны для типовых узлов, комплекты ОРД, ЭД и ПМИ, план мероприятий по вводу в ПЭ.

На четвертом этапе пилотного внедрения КСПД периметра РФ был проведен монтаж, ПНР и ввод в эксплуатацию узлов КСПД в составе пилотного объема.

На этапе проектирования услуг связи, оказываемых с использованием КСПД, были проведены работы по анализу вариантов оказания услуг связи на основе КСПД, разработаны подходы к оказанию услуг, а также правовые аспекты деятельности в области связи. Был разработан процесс оказания и контрактации услуг, тарифные модели. Собраны и поданы документы на получение необходимых лицензий на оказание услуг связи.

На этапе разработки решения для международного периметра КСПД были проработаны вопросы подключения объектов, расположенных за пределами РФ, варианты подходов к оказанию услуг и правовые аспекты деятельности в каждой обозначенной стране, а также выполнения требований к трансграничному обмену информацией. Проведено проектирование и стендирование решения.

На этапе создания резервной схемы замещения КСПД был произведен анализ рисков возможности возникновения неблагоприятных факторов, влияющих на функционирование КСПД или значимую деградацию сервисов, включая описание перехода с запроектированного решения на варианты резервного замещения с указанием возможных ограничений и их экономическую оценку. В итоге, в следствии реализации запроектированных рисков (санкционное давление и запрет поставки решения Nokia Nuage), в рамках данного этапа было проведено перепроектирование на отечественном технологическом стеке, отличном от основного проектного решения.

На восьмом этапе проектирования сервисных функций КСПД была разработана сервисная подсистема, созданная на основе оборудования в составе узла КСПД и платформы виртуализации. Данная сервисная подсистема обеспечивает запуск сервисных функций в составе:

·   Доставки медиа контента (CDN);
·   Унифицированных коммуникации;
·   Виртуальной сетевой инфраструктуры заказчика;
·   Базовых инфраструктурных сервисов;
·   Виртуальной телефонной станции;
·   Мониторинга и аналитики;
·   Оптимизации трафика;
·   Контролируемого доступа в Интернет;
·   Безопасного удаленного доступа к локальным ресурсам предприятия.

География проекта

Более 160 предприятий атомной отрасли на всей территории РФ, а также за ее пределами.

Дополнительные презентации:
Rosatom_КСПД.pdf
Коментарии: 2

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Сергей Афанасьев
    Рейтинг: 1086
    ГК Риквэст
    Начальник службы ИТ
    28.11.2023 17:02

    Здравствуйте!
    Хотелось бы узнать поподробнее, почему в качестве МСЭ был выбран именно Usergate? Рассматривались ли другие продукты этого класса, и в частности Ideco UTM, который также сертифицирован ФСТЭК России?

  • Владимир Золотов
    Рейтинг: 227
    Гринатом
    И.о. Директора ИТ
    30.11.2023 12:51

    Для реализации модулей МСЭ и СОВ подсистемы информационной безопасности в рамках проекта было произведено функциональное сравнение нескольких российских решений по межсетевому экранированию - UserGate, Фактор-ТС, ViPNet и Континент.
    Ключевыми функциями МСЭ, на момент выбора являлись:
    - поддержка виртуальных контекстов или VRF;
    - поддержка прозрачного режима работы межсетевого экрана на уровне L2;
    - наличие встроенного модуля системы обнаружения вторжений (СОВ);
    - поддержка статических списков URL;
    - поддержка функций QoS (Quality of Services);
    - поддержка протокола динамической маршрутизации BGP;
    - поддержка multicast маршрутизации;
    - наличие встроенного VPN;
    - поддержка удаленных баз данных для аутентификации администраторов.
    - Сертификат ФСТЭК.

    На основе проведенного сравнения был выбран Usergate. Ключевыми конкурентными преимуществами для нас на тот момент были поддержка реализации виртуальных контекстов для разделения нескольких предприятий на одном узле КСПД, возмржность функционирования в прозрачном режиме на L2, поддержка BGP для интеграции в единую сеть, а также наличие встроенного СОВ.

Год
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.