Код Безопасности: АПКШ Континент

АПКШ «Континент» обладает всеми необходимыми возможностями, чтобы обеспечить:

• Объединение через Интернет территориально распределенных локальных сетей предприятия в единую сеть VPN;
• Возможность удаленного защищенного доступа к информационным ресурсами предприятия для мобильных пользователей, посредством VPN соединения;
• Разделение прав доступа между информационными подсистемами организации на сетевом уровне;
• Сегментирование ЛВС организации;
• Организация защищенного взаимодействия со сторонними организациями;
• Безопасное удаленное управление маршрутизаторами.

Достоинства АПКШ «Континент»:

• Высокая надежность и отказоустойчивость;
• Простота внедрения и обслуживания;
• Удобство управления и поддержки;
• Высокая пропускная способность;
• Высокая масштабируемость;
• Поддержка всех современных протоколов и технологий.

АКПШ «Континент» защищает сети более 2000 организаций России. Среди них:

• Государственная автоматизированная система «Выборы»;
• Центральный Банк РФ;
• Министерство финансов РФ;
• Федеральная таможенная служба России;
• Администрации различных регионов.

Возможности

Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

Эффективная защита корпоративных сетей

Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89:

• В АПКШ «Континент» применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата. Шифрование данных производится в соответствии с ГОСТ 28147–89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147–89 в режиме имитовставки. Управление криптографическими ключами ведется централизованно из ЦУС.

Межсетевое экранирование – защита внутренних сегментов сети от несанкционированного доступа:

• Криптошлюз «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Это позволяет защитить внутренние сегменты сети от проникновения из сетей общего пользования.

Безопасный доступ удаленных пользователей к ресурсам VPN-сети:

• Специальное программное обеспечение «Континент АП», входящее в состав АПКШ «Континент», позволяет организовать защищенный доступ с удаленных компьютеров к корпоративной VPN-сети.

Создание информационных подсистем с разделением доступа на физическом уровне:

• В АПКШ «Континент» можно подключать 1 внешний и 3–9 внутренних интерфейсов на каждом криптошлюзе. Это значительно расширяет возможности пользователя при настройке сети в соответствии с корпоративной политикой безопасности. В частности, наличие нескольких внутренних интерфейсов позволяет разделять на уровне сетевых карт подсети отделов организации и устанавливать необходимую степень взаимодействия между ними.

Основные характеристики и возможности

Поддержка распространенных каналов связи:

• Работа через Dial-Up соединения, оборудование ADSL, подключенное непосредственно к криптошлюзу, а также через спутниковые каналы связи.

«Прозрачность» для любых приложений и сетевых сервисов:

• Криптошлюзы «Континент» «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиа-сервисы, как IP-телефония и видеоконференции.

Работа с высокоприоритетным трафиком:

• Реализованный в АПКШ «Континент» механизм приоритезации трафика позволяет защищать голосовой (VoIP) трафик и видеоконференции без потери качества связи.

Резервирование гарантированной полосы пропускания за определенными сервисами:

• Резервирование гарантированной полосы пропускания за определенными сервисами обеспечивает прохождение трафика электронной почты, систем документооборота и т.д. даже при активном использовании IP-телефонии на низкоскоростных каналах связи.

Поддержка VLAN:

• Поддержка VLAN гарантирует простое встраивание АПКШ в сетевую инфраструктуру, разбитую на виртуальные сегменты.

Скрытие внутренней сети. Поддержка технологий NAT/PAT:

• Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого трафика, а так же организовывать демилитаризованные зоны и сегментировать защищаемые сети.

Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется:

• Методом инкапсуляции передаваемых пакетов (при шифровании трафика);
• При помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами.

Возможность интеграции с системами обнаружения атак:

• На каждом криптошлюзе существует возможность специально выделить один из интерфейсов для проверки трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого необходимо определить такой интерфейс как «SPAN-порт» и подключить к нему компьютер с установленной системой обнаружения атак (например, RealSecure). После этого на данный интерфейс начинают ретранслироваться все пакеты, поступающие на вход пакетного фильтра криптошлюза.

Обслуживание и управление

Удобство и простота обслуживания (необслуживаемый режим 24*7):

• АПКШ «Континент» не требует постоянного локального администрирования и может работать в необслуживаемом режиме 24*7х365. Промышленные компьютеры, используемые в производстве комплекса, в совокупности с возможностью горячего и холодного резервирования гарантируют бесперебойную работу комплекса;

• Комплекс осуществляет оперативное оповещение администраторов о событиях, требующих оперативного вмешательства, в режиме реального времени.

Удаленное обновление ПО криптошлюзов:

• В комплексе решена проблема обновления программного обеспечения КШ в территориально-распределенных системах. Обновление ПО загружается в комплекс централизованно, рассылается на все криптошлюзы, входящие в состав комплекса, и автоматически устанавливается.

Обеспечение отказоустойчивости

Отказоустойчивость Комплекса обеспечивается следующими мерами:

1. Аппаратное резервирование криптографических шлюзов (создание кластера высокого доступа). В случае выхода из строя одного из криптошлюзов переключение на резервный производится автоматически без вмешательства администратора и без разрыва установленных соединений.
2. Автоматическое резервное копирование конфигурационных файлов комплекса. Обеспечивает быстрое восстановление работы сети в случае выхода аппаратуры из строя.

Централизованное управление сетью:

• Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния;
• Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.

Ролевое управление – разделения полномочий на администрирование комплекса:

• Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонент, на аудит действий пользователей (в том числе и других администраторов).

Взаимодействие с системами управления сетью:

• Позволяет контролировать состояние АПКШ «Континент» по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.).

Компоненты АПКШ «Континент»

Центр управления сетью криптографических шлюзов (ЦУС):

• Основной элемент управления осуществляет аутентификацию КШ и АРМ управления/ мониторинг и протоколирование состояния сети КШ/ хранение журналов и конфигурации КШ/ рассылку ключевой и конфигурационной информации/ централизованное управление криптографическими ключами/ взаимодействие с ПУ.

Криптошлюз:

• Это специализированное аппаратно-программное устройство, функционирующее на платформе Intel под управлением сокращенной версии ОС FreeBSD. Устройство осуществляет прием и передачу IP-пакетов по протоколам TCP/IP (статическая маршрутизация)/ шифрование пакетов (ГОСТ 28147–89, режим гаммирования с обратной связью, длина ключа 256 бит)/ защиту передаваемых данных от искажения (ГОСТ 28147–89, режим имитовставки)/ фильтрацию пакетов/ скрытие структуры сети/ регистрацию событий/ оповещение ЦУС о своей активности и о событиях, требующих вмешательства/ контроль целостности ПО КШ.

Программа управления ЦУС (ПУ ЦУС):

• Её основная функция – централизованное управление настройками и оперативный контроль состояния всех КШ, входящих в состав комплекса.

Агент ЦУС:

• Осуществляет установление защищенного соединения и обмен данными с ЦУС и ПУ /получение от ЦУС, хранение и передачу ПУ содержимого журналов/ получение от ЦУС и передачу ПУ информации о работе комплекса.

Абонентский пункт (Континент АП):

• Осуществляет установление VPN-туннеля между удаленным рабочим местом пользователя и внутренней защищаемой сетью организации. При подключении по сетям общего доступа и Интернет выполняет аутентификацию пользователя/ поддержку динамического распределения адресов/ удаленный доступ к ресурсам защищаемой сети по шифрованному каналу/ доступ по выделенным и коммутируемым каналам связи/ возможность доступа к ресурсам сетей общего пользования.

Сервер доступа:

• Осуществляет обеспечение связи между удаленным АП и защищаемой сетью, а также определение уровня доступа пользователя и его аутентификацию.

Программа управления СД (ПУ СД):

• Её основная функция – централизованное управление настройками и оперативный контроль состояния всех СД, входящих в состав комплекса.

Системные требования

Операционная система:

• Windows 7 x86/x64 SP1;
• Windows Vista x86/x64 SP2;
• Windows XP x86 SP3, XP x64 SP2;
• Windows Server 2008 R2 x64 SP1;
• Windows Server 2008 x86/x64 SP2;
• Windows Server 2003 R2 x86/x64 SP2;
• Windows Server 2003 x86/x64 SP2.