Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.

Презентация:



Advertisements
Похожие презентации
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Advertisements

Криптографический шлюз К -. Основные возможности АПК Континент-К Шифрование и имитозащита данных, передаваемых по открытым каналам связи; Защита внутренних.
Криптографический шлюз К -. ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Технологию объединения локальных сетей и отдельных компьютеров через открытую внешнюю.
Виртуальные частные сети. Истинная частная сеть Центральный офис Филиал Собственный закрытый канал связи.
Технология ViPNet Центр Технологий Безопасности ТУСУР, 2010.
Виртуальные частные сети. Организация VPN через общую сеть Центральный офис Филиал 2 Филиал 1 Internet Мобильный сотрудник Сеть другого предприятия.
ОАО Инфотекс Использование сетевых средств защиты информации при создании АС информирования населения Дмитрий Гусев Заместитель генерального директора.
Слайд 68 ЗАЩИТНЫЕ МЕХАНИЗМЫ И СРЕДСТВА У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Раздел 1 – Тема 3.
Фильтрация пакетов. Маршрутизатор. Борисов В.А. КАСК – филиал ФГБОУ ВПО РАНХ и ГС Красноармейск 2011 г.
система защиты рабочих станций и серверов на платформе Windows XP/2003/2008R2/Vista/7 модуль доверенной загрузки операционной системы Windows 2000/XP/2003/Vista/7/2008.
Типовые решения защиты персональных данных Симонов Павел инженер отдела информационной безопасности ООО «АВИТЕК-СЕРВИС»
Лекция 6 Безопасность сети. Средства обеспечения безопасности сети.
Информационная безопасность электронного города. Угрозы информационной безопасности электронному городу.
Cisco Solution Technology Integrator Сетевая безопасность для вертикальных рынков Решения для банков и кредитно-финансовых организаций СТАНДАРТ СЕТЕВОЙ.
ViPNet Office Firewall Программный межсетевой экран для надежной защиты вашей сети.
Применение СКЗИ в информационных системах органов государственной власти Зам.генерального директора Карпова Е.А. 1/121/121/121/12.
Secret Net 5.0 сетевой вариант Система защиты информации от несанкционированного доступа нового поколения.
Средство криптографической защиты информации (СКЗИ) М-506А 2000.
Защита Информации. эффективность защиты информации в автоматизированных системах достигается применением средств защиты информации (СЗИ). Под средством.
Протокол IPSec (RFC 2401). Назначение IPSec Узел АУзел В IP-пакет Разграничение доступа (фильтрация IP-трафика) Обеспечение целостности передаваемых данных.
Транксрипт:

Криптографический шлюз К -

Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность прослушивания передаваемых данных Возможность прослушивания передаваемых данных Отсутствие контроля за информационными потоками Отсутствие контроля за информационными потоками Открытая сеть Центральный офис Филиалы Удаленный АРМ (мобильный пользователь) ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Назначение КШ «Континент-К» Обеспечение конфиденциальности и целостности информации, передаваемой по открытым каналам связи Обеспечение конфиденциальности и целостности информации, передаваемой по открытым каналам связи Защита от проникновения в корпоративную сеть из открытой сети Защита от проникновения в корпоративную сеть из открытой сети Реализация эффективного управления и мониторинга работы корпоративной сети Реализация эффективного управления и мониторинга работы корпоративной сети ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Схема применения «Континент-К» ( корпоративная VPN ) Открытая сеть ЦУС + Континент-К Континент-К АРМ администратора Консольуправления Центральный офис Филиал Защищенная подсеть Защищенная подсеть Удаленный АРМ (мобильный пользователь) ПО клиента Континент-К Защищенный абонентский пункт ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Функции КШ «Континент-К» Маршрутизация и фильтрация IP-пакетов в соответствии с заданными правилами Маршрутизация и фильтрация IP-пакетов в соответствии с заданными правилами Сжатие, шифрование, имитозащита передаваемых данных и скрытие топологии защищаемых внутренних подсетей (инкапсуляция пакетов) Сжатие, шифрование, имитозащита передаваемых данных и скрытие топологии защищаемых внутренних подсетей (инкапсуляция пакетов) Централизованное управление всеми КШ и оповещение ЦУС о событиях НСД Централизованное управление всеми КШ и оповещение ЦУС о событиях НСД Аутентификация локальных администраторов Аутентификация локальных администраторов Регистрация управляющих событий Регистрация управляющих событий ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Стандартная комплектация КШ «Континент-К» Компьютер (на основе процессора Intel Celeron 500 МГц) Компьютер (на основе процессора Intel Celeron 500 МГц) 2 сетевых адаптера Ethernet 10/100 Mбит 2 сетевых адаптера Ethernet 10/100 Mбит Защищенная операционная среда (на основе FreeBSD) Защищенная операционная среда (на основе FreeBSD) Специальное программное обеспечение Специальное программное обеспечение Электронный замок «Соболь» Электронный замок «Соболь» ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Схема работы «Континент-К» Открытая сеть ЦУС Континент-К Континент-К АРМ администратора Консоль управления Центральный офис Филиал Защищенная подсеть Защищенная подсеть Защищенная подсеть Злоумышленник ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Подсистема фильтрации пакетов Фильтрация: по интерфейсам КШ по интерфейсам КШ по IP-адресам источника и получателя пакета по IP-адресам источника и получателя пакета по протоколам, флагам TCP и опциям IP пакета по протоколам, флагам TCP и опциям IP пакета по портам TCP/UDP по портам TCP/UDP Криптографическая подсистема Шифрование и имитозащита передаваемых данных по ГОСТ Шифрование и имитозащита передаваемых данных по ГОСТ Статически распределенные секретные ключи Статически распределенные секретные ключи Шифрование каждого пакета на уникальном ключе без его передачи по каналу связи Шифрование каждого пакета на уникальном ключе без его передачи по каналу связи ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Подсистема регистрации Подсистема аутентификации Регистрация начала работы комплекса в энергонезависимой памяти электронного замка «Соболь» Регистрация начала работы комплекса в энергонезависимой памяти электронного замка «Соболь» Передача регистрируемых данных и сведений о состоянии системы по каналу связи на ЦУС Передача регистрируемых данных и сведений о состоянии системы по каналу связи на ЦУС Оповещение в реальном масштабе времени о попытках вмешательства в нормальный процесс функционирования Оповещение в реальном масштабе времени о попытках вмешательства в нормальный процесс функционирования Идентификация локального администратора по Touch Memory до загрузки системы Идентификация локального администратора по Touch Memory до загрузки системы Криптографическая аутентификация ЦУС при установлении управляющих соединений Криптографическая аутентификация ЦУС при установлении управляющих соединений ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Схема обработки исходящих IP-пакетов Удовлетворяет правилам фильтрации? НЕТ ДА отбросить пропустить от внутренних абонентов от внутренних абонентов для сторонних абонентов для внешних абонентов IP-пакеты не преобразуются преобразование IP-пакетов Фильтр IP-пакетов Блок криптографической защиты Защищенная сеть Открытая сеть ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Схема обработки входящих IP-пакетов Удовлетворяет правилам фильтрации? НЕТ ДА отбросить пропустить для внутренних абонентов для внутренних абонентов от сторонних абонентов от внешних абонентов IP-пакеты не преобразуются преобразование IP-пакетов Фильтр IP-пакетов Блок криптографической защиты Защищенная сеть Открытая сеть ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Дополнительные меры безопасности Аутентификация администратора при помощи электронного замка «Соболь» Аутентификация администратора при помощи электронного замка «Соболь» Блокирование загрузки с гибкого диска Блокирование загрузки с гибкого диска Контроль целостности операционной среды и программного обеспечения до загрузки системы Контроль целостности операционной среды и программного обеспечения до загрузки системы Регистрация управляющих воздействий Регистрация управляющих воздействий Криптографическая защита управляющих каналов ЦУС-КШ и Консоль управления- ЦУС Криптографическая защита управляющих каналов ЦУС-КШ и Консоль управления- ЦУС ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Централизованное управление ЦУС + Континент-К Континент-К АРМ администратора Консоль управления БАНК Филиал Открытая сеть ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Функции ЦУС «Континент-К» Обеспечение взаимодействия с консолью управления и со всеми КШ корпоративной сети Обеспечение взаимодействия с консолью управления и со всеми КШ корпоративной сети Управление сменой криптографических ключей на удаленных КШ Управление сменой криптографических ключей на удаленных КШ Реализация удаленного управления параметрами фильтрации КШ Реализация удаленного управления параметрами фильтрации КШ Сбор статистических данных и обеспечение постоянного мониторинга работы КШ Сбор статистических данных и обеспечение постоянного мониторинга работы КШ Сбор и хранение журналов регистрации КШ Сбор и хранение журналов регистрации КШ Ведение журнала НСД, обнаруженных КШ Ведение журнала НСД, обнаруженных КШ ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Централизованный мониторинг Открытая сеть ЦУС Континент-К Континент-К АРМ администратора Консоль управления БАНК Филиал Защищенная подсеть Защищенная подсеть Защищенная подсеть Злоумышленник НСД ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Варианты применения «Континент-К» Защита соединения точка-точка Защита соединения точка-точка Защищенная корпоративная сеть (VPN) Защищенная корпоративная сеть (VPN) Защищенный доступ к ресурсам сети с абонентских пунктов Защищенный доступ к ресурсам сети с абонентских пунктов ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Производительность КШ «Континент-К» Маршрутизация и фильтрация Инкапсуляция, имитозащита и шифрование Дополнительное сжатие пакетов (для каналов до 2 Мбит/с) - Без потерь - Без потерь - 28 Мбит/с (сеть 100 Мбит/с) - 28 Мбит/с (сеть 100 Мбит/с) - в 1,5 - 2 раза - в 1,5 - 2 раза Увеличение длины пакетов - не более 36 байт (включая заголовок)

Достоинства «Континент-К» Эффективная защита, не требующая модификации приложений (прозрачность) Эффективная защита, не требующая модификации приложений (прозрачность) Учет Российской специфики: Учет Российской специфики: каналы связиканалы связи требования ФАПСИтребования ФАПСИ Простота настройки и обслуживания Простота настройки и обслуживания Высокие характеристики и приемлемая стоимость Высокие характеристики и приемлемая стоимость Возможность интеграции в технологию «Беркут» Возможность интеграции в технологию «Беркут» ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ