Contenu connexe
Similaire à Российская криптография в решениях Cisco
Similaire à Российская криптография в решениях Cisco (20)
Plus de Cisco Russia (20)
Российская криптография в решениях Cisco
- 2. © 2011 Cisco and/or its affiliates. All rights reserved. 2
- 3. Новый подход к построению сетей
Новая плоскость управления
Хранить Передавать
Программы
Платформа
Обрабатывать
Отделить Конвергировать Политики, как
программы от системы и способ
платформы с сервисы с целью внедрения,
целью быстрого/ использования поддержания и
гибкого включения единой унификации
сервисов и защиты платформы сервисов
инвестиций
© 2011 Cisco and/or its affiliates. All rights reserved. 3/35
- 4. • Иерархическая архитектура
• Cisco ISR G2 2900 или 3900, Catalyst
3750 & 3560, IP-телефоны
• Скорость WAN соединения до 100
Мбит/сек
• Высокая доступность и безопасность
• Проектирование с учетов сетевых
сервисов и масштабируемости
• Соответствие требованиям
регуляторов
Ключевые функции
Подключение – Маршрутизация (EIGRP, OSPF, eBGP), NAT/PAT, QoS
Безопасность – МСЭ, IPS, AAA, Content Security, VPN
Голос – CME, SRST, CUE, Gateway, RSVP, PRI Trunk, FXO
Оптимизация WAN – WAAS
© 2011 Cisco and/or its affiliates. All rights reserved. 4/35
- 5. Cisco ISR G2
Защищенные сетевые решения
Непрерывное Защищенная Защищенная Нормативное
ведение бизнеса голосовая связь мобильность соответствие
Интегрированное управление угрозами
011111101010101
Усовершенствован- Фильтрация Предотвращение Гибкие Контроль Система
ный межсетевой контента вторжений функции доступа 802.1x защиты
экран сравнения к сети основания сети
пакетов (FPM)
Защищенные каналы связи Управление и контроль состояния
Ролевой
GET VPN DMVPN Easy VPN SSL VPN CCP доступ NetFlow IP SLA
© 2011 Cisco and/or its affiliates. All rights reserved. 5/35
- 6. • Защита базовых сетевых сервисов
Network Foundation Protection (NFP)
• МСЭ с зональными политиками
Zone based Firewall
• Интеллект на уровне приложений
Application Intelligence Control
• Система предотвращения вторжений
Intrusion Prevention System
• Система контентной фильтрации
Content Filtering Solution
• Анализ содержимого пакетов
Flexible Packet Matching (FPM)
© 2011 Cisco and/or its affiliates. All rights reserved. 6/35
- 7. • Российские требования в области криптографической защиты
информации
• Учет используемых в организации решений по защите
информации
• Ориентация на продукцию российского производства для
работы в критичных приложениях
• Чего не хватает Cisco (и ISR G2) с этих точек зрения?!
Антивирус
VPN
© 2011 Cisco and/or its affiliates. All rights reserved. 7/35
- 8. • Контроль HTTP и FTP
• Проверка в реальном времени
• Выбор параметров фильтрации
• Проверка архивированных
файлов
• Выявление подозрительных
программ
• Групповые политики фильтрации
• Уведомление пользователей
• Прозрачность для пользователей
© 2011 Cisco and/or its affiliates. All rights reserved. 8/35
- 9. © 2011 Cisco and/or its affiliates. All rights reserved. 9
- 10. • VPN-решения Cisco признаны лучшими во многих странах и
признаны стандартом де-факто многими специалистами
• Использование VPN-решений Cisco в России сопряжено с
рядом трудностей
Порядок ввоза на территорию Таможенного союза шифровальных
средств
Требование использования национальных криптографических алгоритмов
Обязательная сертификация СКЗИ
• На сайте www.slideshare.com/CiscoRu выложена презентация
по регулированию криптографии в России
© 2011 Cisco and/or its affiliates. All rights reserved. 10/35
- 11. Число нормативных актов с требованиями
сертификации по требованиям безопасности
8
7
6
5
4
3
2
1
0
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ
“О национальной платежной системе”, ФЗ “О служебной тайне”, новые приказы
11 ФСТЭК/ФСБ и т.д.)
© 2011 Cisco and/or its affiliates. All rights reserved. 11/35
- 12. • Для обеспечения безопасности персональных данных при их
обработке в информационных системах должны
использоваться сертифицированные в системе сертификации
ФСБ России (имеющие положительное заключение
экспертной организации о соответствии требованиям
нормативных документов по безопасности информации)
криптосредства
• Встраивание криптосредств класса КС1 и КС2
осуществляется без контроля со стороны ФСБ России
Относится только к встраиванию в прикладные системы (АБС, ERP, БД и
т.д.)
© 2011 Cisco and/or its affiliates. All rights reserved. 12/35
- 13. • Можно ли использовать сертифицированное криптоядро в
составе VPN-решений?
Можно
• Будет ли такое использование легитимным?
Нет!!!
© 2011 Cisco and/or its affiliates. All rights reserved. 13/35
- 14. • Встраивание сертифицированных криптобиблиотек должно
проводиться не только в соответствие с позицией ФСБ, но и в
соответствии с документацией к сертифицированной СКЗИ
• Формуляр на КриптоПро CSP
Должна проводиться проверка корректности встраивания СКЗИ
«КриптоПро CSP» версии 3.0 в прикладные системы СКЗИ в
случаях…если информация конфиденциального характера подлежит
защите в соответствии с законодательством Российской Федерации
Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ
России
© 2011 Cisco and/or its affiliates. All rights reserved. 14/35
- 15. © 2011 Cisco and/or its affiliates. All rights reserved. 15
- 16. • Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-
решения, поддерживающие российские криптоалгоритмы на
базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625,
124-1626 от 28 февраля 2011 года
Сертификат по классу КС2 на оба решения
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)
Решение для ЦОД и штаб-квартир
• На базе UCS C-200
© 2011 Cisco and/or its affiliates. All rights reserved. 16/35
- 17. Сертификация производства Cisco
ISR как межсетевого экрана по
требованиям ФСТЭК (3-й класс)
Сертификация производства Cisco ISR
по требованиям безопасности ФСТЭК
Сертификация CSP VPN Gate/модуля
NME-RVPN в ФСБ как СКЗИ класса КС2
Сертификация CSP VPN Gate как
межсетевого экрана по требованиям
безопасности ФСТЭК (3-й класс), на
отсутствие недекларированных
возможностей (3-й уровень), а также на
оценочный уровень доверия ОУД3+
Производство модуля NME-RVPN в
России по согласованному с ФСБ
порядку производства
© 2011 Cisco and/or its affiliates. All rights reserved. 17/35
- 18. • Защита государственных органов (до гостайны)
• Защита критически важных объектов
АСУ ТП в Газпром, Smart Grid в РАО ЕЭС, сети связи и т.п.
• Защита крупных заказчиков
• Предоставление услуг Managed Services
PCI СТО БР
ПДн СТР-К КСИИ
DSS ИББС
На базе одного и того же решения!
© 2011 Cisco and/or its affiliates. All rights reserved. 18/35
- 19. • Защита конфиденциальной информации органов
государственной власти в соответствии
с СТР-К, а также совместным приказом ФСБ и ФСТЭК от 31
августа 2010 года № 416/489
• Защита подключения информационных систем
государственных органов к Интернет в соответствии с Указом
Президента РФ от 17 марта 2008 года № 351,
Постановлением Правительства РФ от 18 мая 2009 года №
424, Приказом ФСО от 7 августа 2009 года
№ 487
• Защита кредитных организаций в соответствии с
требованиями СТО БР ИББС
© 2011 Cisco and/or its affiliates. All rights reserved. 19/35
- 20. • Защита персональных данных в соответствии с
методическими рекомендациями ФСБ по защите
персональных данных, а также в соответствии с отраслевыми
стандартами Банка России, НАУФОР, НАПФ, операторов
связи и др.,
• Защита объектов инфраструктуры в соответствии
нормативными документами ФСТЭК России по защите
ключевых систем информационной инфраструктуры,
• Защита систем управления технологическими процессами
(АСУ ТП),
• Защита крупных территориально-распределенных сетей и
т. п.
© 2011 Cisco and/or its affiliates. All rights reserved. 20/35
- 21. • VPN-решение Cisco и С-Терра могут применяться для
защиты конфиденциальной информации, обрабатываемой в
государственных (исключая гостайну) и коммерческих
организациях
Например, в ИСПДн до 1-го класса включительно или в
автоматизированных системах до класса 1Г включительно
• Данное решение соответствует требованиям,
предъявляемым к VPN-решениям нормативными
документами ФСБ, ФСТЭК, Газпрома, Минкомсвязи, РЖД и
т.д.
© 2011 Cisco and/or its affiliates. All rights reserved. 21/35
- 22. © 2011 Cisco and/or its affiliates. All rights reserved. 22
- 23. • Защита высокоскоростных каналов связи
• VPN-узел доступа центрального офиса
• Концентратор удаленного доступа
• ПК удаленного (мобильного) пользователя
• Защита беспроводных сетей
• Защита унифицированных коммуникаций
• Managed VPN Services
© 2011 Cisco and/or its affiliates. All rights reserved. 23/35
- 24. © 2011 Cisco and/or its affiliates. All rights reserved. 24
- 25. • В России открыто локальное производство
С целью ускорения поставки оборудования, использования оборудования
в критичных сферах, учета возможных требований по локализации
оборудования
• Первый этап – NME-RVPN
• Второй этап – сетевое оборудование
• Продолжается работа по сертификации продукции Cisco
в соответствии с российскими
требованиями по ИБ
© 2011 Cisco and/or its affiliates. All rights reserved. 25/35
- 26. © 2011 Cisco and/or its affiliates. All rights reserved. 26
- 27. …и что предлагают Cisco и S-Terra
• Стандартизация
Полная и протестированная поддержка протоколов и алгоритмов IPSec
(RFC 2401-RFC 2412), IKE (включая расширения – DPD, XAUTH и т.д.),
ГОСТ 28147-89, RFC 2628, RFC 4357, MS CryptoAPI и др.,
обеспечивающая совместимость с решениями третьих фирм
• Совместимость с инфраструктурой Cisco
Протестированная интеграция с маршрутизатором Cisco ISR G1 и G2,
вычислительной платформой Cisco UCS, IP-телефонией Cisco,
решениями Cisco TelePresence и Cisco Tandberg, беспроводными
решениями и т.д. Поддержка GRE, NAT, VLAN 802.1q и т.д.
• Высокая производительность отдельного VPN-шлюза
до 3,1 Гбит/сек на платформе UCS C-200
до 10 Гбит/сек на платформе UCS B
© 2011 Cisco and/or its affiliates. All rights reserved. 27/35
- 28. …и что предлагают Cisco и S-Terra
• Высокая надежность и отказоустойчивость
Отказоустойчивость сети (множество сценариев обеспечения
надежности)
Высокая утилизация вычислительных мощностей (резервные шлюзы не
простаивают)
Малая (регулируемая) деградация производительности кластера
шлюзов при единичном отказе
• Поддержка качества сетевого обслуживания (QoS)
Возможность построения и поддержка качества функционирования
мультисервисных сетей
Защита IP-телефонии, видеоконференцсвязи и TelePresence
Устойчивая работа медийных сервисов в условиях избыточной загрузки
системы трафиком данных
Поддержка спутниковых каналов
© 2011 Cisco and/or its affiliates. All rights reserved. 28/35
- 29. …и что предлагают Cisco и S-Terra
• Удаленное и централизованное управление
Централизованное управление с помощью собственной консоли
управления
Управление с помощью CLI
Единая платформа управления для коммуникационного оборудования
Cisco, средств защиты Cisco и VPN-шлюзов С-Терра СиЭсПи – Cisco
Security Manager
• Интеграция с инфраструктурой открытых ключей
Применение единой ключевой системы для прикладных систем
(например, документооборота) и сетевой защиты
Поддержка PKCS#7,10,12, X.509 v.3 (RSA, DSA, ГОСТ), CRL,LDAP
Протестированная интеграция с MS CA, КриптоПро УЦ, NotaryPRO, Keon
и др.
© 2011 Cisco and/or its affiliates. All rights reserved. 29/35
- 30. …и что предлагают Cisco и S-Terra
• Мониторинг и аудит безопасности сети
Централизация мониторинга и аудита
Поддержка SNMP и Syslog
Применение мощных современных индустриальных платформ
мониторинга и аудита, например, CiscoWorks LMS, HP OpenView, Tivoli и
др.
• Простота эксплуатации, низкая совокупная стоимость
владения
Удобство и простота эксплуатации
Экономия затрат на эксплуатацию
Единство технологического процесса для эксплуатации для средств
защиты информации и коммуникаций
© 2011 Cisco and/or its affiliates. All rights reserved. 30/35
- 31. …и что предлагают Cisco и S-Terra
• Обучение специалистов
Авторизованный учебный курс по сетевой информационной
безопасности в решении Cisco c учебным разделом по продуктам «С-
Терра СиЭсПи»
• Соответствие требованиям регуляторов и отраслевых
стандартов
Сертификат ФСБ – СКЗИ КС1/КС2
Сертификат ФСТЭК – 3-й уровень НДВ, 3-й класс МСЭ, ОУД 3+
Применение в АС класса 1Г и в ИСПДн 1-го класса включительно
© 2011 Cisco and/or its affiliates. All rights reserved. 31/35
- 32. © 2011 Cisco and/or its affiliates. All rights reserved. 32
- 33. • Единственное западное решение,
имеющее сертификат ФСБ
• Единственный западный
разработчик средств защиты,
имеющий лицензию ФСБ
• Производство в России (монтаж и
тестирование печатных плат)
• Порядок производства согласован
с ФСБ
• Планы по получению КС3
© 2011 Cisco and/or its affiliates. All rights reserved. 33/35
- 34. NEW PHOTO
сеть – это платформа для
реализации поставленных
= бизнес-целей защищенным
образом в соответствие с
39% мирового рынка ИБ, требованиями регуляторов
21% российского рынка ИБ
© 2011 Cisco and/or its affiliates. All rights reserved. 34/35