Løsningen er bygget med fokus på lagdelt sikkerhet og prinsippet om minste privilegium. Nettverket segmenteres i VLAN for å skille ulike tjenester og brukergrupper fra hverandre.
Trafikk mellom nettverkssonene kontrolleres og begrenses gjennom en Netgate-brannmur med strenge regler. Dette bidrar til bedre kontroll over kommunikasjon mellom DMZ, AD, servernett og klientnett.
Nettverket er delt inn i ulike VLAN for å redusere risiko og begrense konsekvensene dersom én del av nettverket blir kompromittert.
Netgate-brannmuren brukes til å kontrollere trafikk mellom nettverkssonene. Interne tjenester eksponeres kontrollert gjennom NAT og port forwarding til DMZ.
Det etableres også sikker fjernaksess via VPN, slik at autoriserte brukere kan koble seg til nettverket på en kontrollert og sikker måte.
Tilgangsstyring håndteres via Active Directory med rollebaserte rettigheter. Brukere og administratorer får kun tilgang til de ressursene de trenger.
Administrasjon følger en tier-modell, der kritiske systemer, servere og klienter skilles mellom ulike administratornivåer.
Systemet sikres videre med backup og overvåkning ved hjelp av Veeam. Dette gir bedre mulighet for gjenoppretting ved feil, tap av data eller angrep.
Det gjennomføres også ROS-analyse for å identifisere risikoer og vurdere tiltak som kan redusere sannsynlighet og konsekvens.
Antivirus og antimalware benyttes for å beskytte klienter og servere mot skadevare, uønsket programvare og kjente trusler.
Det er gjennomført en risiko- og sårbarhetsanalyse (ROS) av det leverte IKT-driftsmiljøet. Analysen er utført av prosjektgruppen D02N på vegne av Guard Automation.
Formålet med analysen er å identifisere uønskede hendelser, vurdere sannsynlighet og konsekvens, samt foreslå tiltak for å redusere risiko.
Av hensyn til sikkerhet presenteres analysen på et overordnet nivå på nettsiden. Fullstendig ROS-analyse er dokumentert i prosjektrapporten.
| Nr. | Risiko | Sannsynlighet | Konsekvens | Risikonivå | Tiltak |
|---|---|---|---|---|---|
| 1 | Brudd på nettlinje | Moderat | Høy | Moderat | SLA og anbefalt redundant linje |
| 2 | Uautorisert logisk tilgang | Moderat | Svært høy | Høy | Brannmur, VLAN og videre segmentering |
| 3 | Manglende redundans på AD | Høy | Høy | Høy | Backup og anbefaling om ekstra AD/DNS |
| 4 | Udatert programvare | Høy | Høy | Høy | Patchrutiner og sentral oppdatering |
| 5 | Strømbrudd | Moderat | Moderat | Lav | UPS og vurdering av aggregat |
| 6 | Defekt maskinvare | Moderat | Svært høy | Høy | Backup og redundant lagring |
| 7 | Uautorisert fysisk tilgang | Lav | Svært høy | Lav | Adgangskontroll og overvåkning |
| 8 | Brann / naturkatastrofer | Lav | Svært høy | Høy | Brannalarm og ekstern backup |