Криптографический шлюз К -
Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность прослушивания передаваемых данных Возможность прослушивания передаваемых данных Отсутствие контроля за информационными потоками Отсутствие контроля за информационными потоками Открытая сеть Центральный офис Филиалы Удаленный АРМ (мобильный пользователь) ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Назначение КШ «Континент-К» Обеспечение конфиденциальности и целостности информации, передаваемой по открытым каналам связи Обеспечение конфиденциальности и целостности информации, передаваемой по открытым каналам связи Защита от проникновения в корпоративную сеть из открытой сети Защита от проникновения в корпоративную сеть из открытой сети Реализация эффективного управления и мониторинга работы корпоративной сети Реализация эффективного управления и мониторинга работы корпоративной сети ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Схема применения «Континент-К» ( корпоративная VPN ) Открытая сеть ЦУС + Континент-К Континент-К АРМ администратора Консольуправления Центральный офис Филиал Защищенная подсеть Защищенная подсеть Удаленный АРМ (мобильный пользователь) ПО клиента Континент-К Защищенный абонентский пункт ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Функции КШ «Континент-К» Маршрутизация и фильтрация IP-пакетов в соответствии с заданными правилами Маршрутизация и фильтрация IP-пакетов в соответствии с заданными правилами Сжатие, шифрование, имитозащита передаваемых данных и скрытие топологии защищаемых внутренних подсетей (инкапсуляция пакетов) Сжатие, шифрование, имитозащита передаваемых данных и скрытие топологии защищаемых внутренних подсетей (инкапсуляция пакетов) Централизованное управление всеми КШ и оповещение ЦУС о событиях НСД Централизованное управление всеми КШ и оповещение ЦУС о событиях НСД Аутентификация локальных администраторов Аутентификация локальных администраторов Регистрация управляющих событий Регистрация управляющих событий ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Стандартная комплектация КШ «Континент-К» Компьютер (на основе процессора Intel Celeron 500 МГц) Компьютер (на основе процессора Intel Celeron 500 МГц) 2 сетевых адаптера Ethernet 10/100 Mбит 2 сетевых адаптера Ethernet 10/100 Mбит Защищенная операционная среда (на основе FreeBSD) Защищенная операционная среда (на основе FreeBSD) Специальное программное обеспечение Специальное программное обеспечение Электронный замок «Соболь» Электронный замок «Соболь» ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Схема работы «Континент-К» Открытая сеть ЦУС Континент-К Континент-К АРМ администратора Консоль управления Центральный офис Филиал Защищенная подсеть Защищенная подсеть Защищенная подсеть Злоумышленник ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Подсистема фильтрации пакетов Фильтрация: по интерфейсам КШ по интерфейсам КШ по IP-адресам источника и получателя пакета по IP-адресам источника и получателя пакета по протоколам, флагам TCP и опциям IP пакета по протоколам, флагам TCP и опциям IP пакета по портам TCP/UDP по портам TCP/UDP Криптографическая подсистема Шифрование и имитозащита передаваемых данных по ГОСТ Шифрование и имитозащита передаваемых данных по ГОСТ Статически распределенные секретные ключи Статически распределенные секретные ключи Шифрование каждого пакета на уникальном ключе без его передачи по каналу связи Шифрование каждого пакета на уникальном ключе без его передачи по каналу связи ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Подсистема регистрации Подсистема аутентификации Регистрация начала работы комплекса в энергонезависимой памяти электронного замка «Соболь» Регистрация начала работы комплекса в энергонезависимой памяти электронного замка «Соболь» Передача регистрируемых данных и сведений о состоянии системы по каналу связи на ЦУС Передача регистрируемых данных и сведений о состоянии системы по каналу связи на ЦУС Оповещение в реальном масштабе времени о попытках вмешательства в нормальный процесс функционирования Оповещение в реальном масштабе времени о попытках вмешательства в нормальный процесс функционирования Идентификация локального администратора по Touch Memory до загрузки системы Идентификация локального администратора по Touch Memory до загрузки системы Криптографическая аутентификация ЦУС при установлении управляющих соединений Криптографическая аутентификация ЦУС при установлении управляющих соединений ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Схема обработки исходящих IP-пакетов Удовлетворяет правилам фильтрации? НЕТ ДА отбросить пропустить от внутренних абонентов от внутренних абонентов для сторонних абонентов для внешних абонентов IP-пакеты не преобразуются преобразование IP-пакетов Фильтр IP-пакетов Блок криптографической защиты Защищенная сеть Открытая сеть ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Схема обработки входящих IP-пакетов Удовлетворяет правилам фильтрации? НЕТ ДА отбросить пропустить для внутренних абонентов для внутренних абонентов от сторонних абонентов от внешних абонентов IP-пакеты не преобразуются преобразование IP-пакетов Фильтр IP-пакетов Блок криптографической защиты Защищенная сеть Открытая сеть ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Дополнительные меры безопасности Аутентификация администратора при помощи электронного замка «Соболь» Аутентификация администратора при помощи электронного замка «Соболь» Блокирование загрузки с гибкого диска Блокирование загрузки с гибкого диска Контроль целостности операционной среды и программного обеспечения до загрузки системы Контроль целостности операционной среды и программного обеспечения до загрузки системы Регистрация управляющих воздействий Регистрация управляющих воздействий Криптографическая защита управляющих каналов ЦУС-КШ и Консоль управления- ЦУС Криптографическая защита управляющих каналов ЦУС-КШ и Консоль управления- ЦУС ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Централизованное управление ЦУС + Континент-К Континент-К АРМ администратора Консоль управления БАНК Филиал Открытая сеть ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Функции ЦУС «Континент-К» Обеспечение взаимодействия с консолью управления и со всеми КШ корпоративной сети Обеспечение взаимодействия с консолью управления и со всеми КШ корпоративной сети Управление сменой криптографических ключей на удаленных КШ Управление сменой криптографических ключей на удаленных КШ Реализация удаленного управления параметрами фильтрации КШ Реализация удаленного управления параметрами фильтрации КШ Сбор статистических данных и обеспечение постоянного мониторинга работы КШ Сбор статистических данных и обеспечение постоянного мониторинга работы КШ Сбор и хранение журналов регистрации КШ Сбор и хранение журналов регистрации КШ Ведение журнала НСД, обнаруженных КШ Ведение журнала НСД, обнаруженных КШ ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Централизованный мониторинг Открытая сеть ЦУС Континент-К Континент-К АРМ администратора Консоль управления БАНК Филиал Защищенная подсеть Защищенная подсеть Защищенная подсеть Злоумышленник НСД ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Варианты применения «Континент-К» Защита соединения точка-точка Защита соединения точка-точка Защищенная корпоративная сеть (VPN) Защищенная корпоративная сеть (VPN) Защищенный доступ к ресурсам сети с абонентских пунктов Защищенный доступ к ресурсам сети с абонентских пунктов ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Производительность КШ «Континент-К» Маршрутизация и фильтрация Инкапсуляция, имитозащита и шифрование Дополнительное сжатие пакетов (для каналов до 2 Мбит/с) - Без потерь - Без потерь - 28 Мбит/с (сеть 100 Мбит/с) - 28 Мбит/с (сеть 100 Мбит/с) - в 1,5 - 2 раза - в 1,5 - 2 раза Увеличение длины пакетов - не более 36 байт (включая заголовок)
Достоинства «Континент-К» Эффективная защита, не требующая модификации приложений (прозрачность) Эффективная защита, не требующая модификации приложений (прозрачность) Учет Российской специфики: Учет Российской специфики: каналы связиканалы связи требования ФАПСИтребования ФАПСИ Простота настройки и обслуживания Простота настройки и обслуживания Высокие характеристики и приемлемая стоимость Высокие характеристики и приемлемая стоимость Возможность интеграции в технологию «Беркут» Возможность интеграции в технологию «Беркут» ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ