75. Апаратно-програмний комплекс шифрування "Континент".

Сьогодні неможливо представити серйозну компанію, що не використовує при веденні бізнесу сучасних інформаційних технологій, і що не приділяє при цьому уваги питанням забезпечення інформаційної безпеки.

Нині, інформаційна система компанії рідко обмежується межами одного офісу, та і саме поняття "Корпоративної інформаційної системи" - досить розмите. Окрім сегментів локальних мереж центрального офісу і підрозділів організації, до цього поняття можна сміливо відносити робочі місця співробітників і керівників організації, працюючих з ресурсами мережі з будинку або знаходячись у відрядженні. Доступ до внутрішніх ресурсів корпоративної мережі або виділених її ресурсів іноді треба надавати партнерам і клієнтам організації.

Об'єкти корпоративних мереж пов'язані між собою або через мережу Інтернет, або по відомчих мережах зв'язку. Гарантувати, що циркулююча по ці каналам інформація не потрапить в чужі руки, особливо у разі використання мережі Інтернет неможливо.

Не можна забувати і про безпеку самих мереж. Ніхто не застрахований і від несанкціонованого доступу і зловмисної дії(атак) на устаткування і програмне забезпечення, використовуване у внутрішніх мережах організацій як з боку мережі передачі даних, так і з боку внутрішніх користувачів, що намагаються, скажімо, з видаленої філії отримати доступ до централізованої бази даних.

Рішення

Узабезпечити мережу від вторгнення з боку мережі передачі даних і несанкціонованого доступу до ресурсів з боку видалених сегментів, а так само забезпечити конфіденційність при передачі інформації по відкритих каналах зв'язку можна за допомогою технології побудови віртуальних приватних мереж(Virtual Private Network - VPN).

За цією технологією побудований апаратно-програмний комплекс шифрування(АПКШ) " Континент", розроблений компанією " Информзащита". Представляючи з себе конгломерат шифратора, міжмережевого екрану і маршрутизатора, комплекс дозволяє забезпечити:

- Захист внутрішніх сегментів мережі від несанкціонованого доступу з боку мереж передачі даних;

- Криптографічний захист даних, що передаються по каналах зв'язку мереж загального користування між складовими частинами VPN;

- Безпечний доступ користувачів VPN до ресурсів мереж загального користування;

- Приховання внутрішньої структури сегментів мережі, що захищаються.

В якості складових частин VPN можуть виступати локальні обчислювальні мережі організації, їх сегменти і окремі комп'ютери(у тому числі переносні або домашні комп'ютери керівників і співробітників).

Технічні характеристики

Алгоритм шифрування \u0009ГОСТ 28147-89 режим гаммирования із зворотним зв'язком

Довжина ключа, біт \u0009256

Захист передаваних даних від спотворення \u0009ГОСТ 28147-89

режим имитовставки

Гранична здатність КШ(шифрування, имитовставка, туннелирование) \u0009До 80 Мбіт/с

Збільшення розміру пакету з урахуванням додаткового IP- заголовка, байт, не більше \u000926-36 байт

Кількість КШ в мережі з одним ЦУС \u0009до 5000

Максимальна кількість мережевих інтерфейсів у одного КШ \u00096

Максимальна кількість КШ в кластері " гарячого" резервування \u00092

Режим роботи \u0009Цілодобовий, такий, що не обслуговується

Передбачається два варіанти комплектації криптографічного шлюзу :

На базі стандартного IBM- сумісного комп'ютера; \u0009

На базі промислового комп'ютера Iwill 1U(процесор - Pentium IV). \u0009

Сертифікати

АПКШ " Континент" має повний набір необхідних сертифікатів, що дозволяють використати його і його компоненти для побудови віртуальних приватних мереж на основі глобальних мереж загального користування, що використовують протоколи сімейства TCP/IP(у тому числі Інтернет).

Сертифікати відповідності ФСБ СФ/124-0648, СФ/114-0649 і СФ/124-0650 від 6 серпня 2003 року засвідчують, що АПКШ " Континент" і абонентський пункт СКЗИ "КОНТИНЕНТ-АП" задовольняють вимогам до стійкості СКЗИ класу КНВ-2.99 і можуть бути використані для криптографічного захисту конфіденційної інформації. \u0009

\u0009Сертифікат Гостехкомиссии Росії № 808 від 14.11.2003 року підтверджує відповідність АПКШ " Континент" вимогам керівних документів Гостехкомиссии Росії по 4-у класу захищеності для міжмережевих екранів і по 3-у рівню контролю на відсутність можливостей, що не декларують.

    Аппаратно-программный комплекс шифрования «Континент», сертификаты соответствия:    - ФСТЭК России №1905 от 10.09.2009г., является программно-техническим средством защиты от несанкционированного доступа к информации, предназначен для построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP и соответствует требованиям руководящих документов «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации.  Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1997) - по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 3 уровню контроля, и может использоваться для создания автоматизированных систем до класса защищенности 1В включительно и при создании информационных систем персональных данных до 1 класса включительно при условии выполнения ограничений, указанных в технических условиях;    - ФСБ России № СФ/525-1352 от 21.07.2009г., соответствует требованиям ФСБ России к устройствам типа межсетевые экраны 4 класса защищенности и может использоваться для защиты информации от несанкционированного доступа в информационно-телекоммуникационных систем органов государственной власти Российской Федерации;    - ФСБ России № СФ/124-1474 от 09.05.2010г., соответствует требованиям ФСБ России к средствам криптографической защиты информации класса КС2 и может использоваться для криптографической защиты (генерация ключевой информации, управление ключевой информацией, шифрование и имитозащита данных, передаваемых в IP пакетах по общим сетям передачи данных) информации, не содержащей сведений, составляющих государственную тайну.

        АПКШ «Континент» обладает всеми необходимыми возможностями, чтобы обеспечить:    - объединение через Интернет локальных сетей предприятия в единую сеть VPN;    - подключение удаленных и мобильных пользователей к VPN по защищенному каналу;    - разделение доступа между информационными подсистемами организации;    - организация защищенного взаимодействия со сторонними организациями;    - безопасное удаленное управление маршрутизаторами.

Возможности         Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.         Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.         Для защиты от проникновения со стороны сетей общего пользования, комплекс «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

Ключевые возможности и характеристики АПКШ «Континент» Эффективная защита корпоративных сетей:    - безопасный доступ пользователей VPN к ресурсам сетей общего пользования;    - криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89;    - межсетевое экранирование – защита внутренних сегментов сети от несанкционированного доступа;    - безопасный доступ удаленных пользователей к ресурсам VPN-сети;    - создание информационных подсистем с разделением доступа на физическом уровне.

Основные характеристики и возможности:    - поддержка распространенных каналов связи;    - «прозрачность» для любых приложений и сетевых сервисов;    - работа с высокоприоритетным трафиком;    - резервирование гарантированной полосы пропускания за определенными сервисами;    - поддержка VLAN;    - скрытие внутренней сети. Поддержка технологий NAT/PAT;    - возможность интеграции с системами обнаружения атак.

Обслуживание и управление:    - удобство и простота обслуживания (необслуживаемый режим 24*7);    - удаленное обновление ПО криптошлюзов;    - горячее и холодное резервирование криптошлюзов;    - централизованное управление сетью;    - ролевое управление – разделения полномочий на администрирование комплекса;    - взаимодействие с системами управления сетью.