Upload
cisco-russia
View
1.264
Download
3
Embed Size (px)
DESCRIPTION
Citation preview
1 © 2011 Cisco and/or its affiliates. All rights reserved.
Российская криптография в решениях Cisco Алексей Лукацкий, бизнес-консультант по безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 3/35
Новый подход к построению сетей
Новая плоскость управления
Отделить программы от платформы с целью быстрого/ гибкого включения сервисов и защиты инвестиций
Конвергировать системы и сервисы с целью использования единой платформы
Политики, как способ внедрения, поддержания и унификации сервисов
Программы
Платформа
Хранить Передавать
Обрабатывать
© 2011 Cisco and/or its affiliates. All rights reserved. 4/35
• Иерархическая архитектура
• Cisco ISR G2 2900 или 3900, Catalyst 3750 & 3560, IP-телефоны
• Скорость WAN соединения до 100 Мбит/сек
• Высокая доступность и безопасность
• Проектирование с учетов сетевых сервисов и масштабируемости
• Соответствие требованиям регуляторов
Ключевые функции
Подключение – Маршрутизация (EIGRP, OSPF, eBGP), NAT/PAT, QoS
Безопасность – МСЭ, IPS, AAA, Content Security, VPN
Голос – CME, SRST, CUE, Gateway, RSVP, PRI Trunk, FXO
Оптимизация WAN – WAAS
© 2011 Cisco and/or its affiliates. All rights reserved. 5/35
CCP NetFlow IP SLA Ролевой доступ
Управление и контроль состояния
Защищенные сетевые решения
Защищенная голосовая связь
Нормативное соответствие
Защищенная мобильность
Непрерывное ведение бизнеса
Контроль доступа к сети
Предотвращение вторжений
Интегрированное управление угрозами
Фильтрация контента 802.1x
Система защиты
основания сети
Гибкие функции
сравнения пакетов (FPM)
011111101010101011111101010101
Защищенные каналы связи
GET VPN DMVPN Easy VPN SSL VPN
Усовершенствован-ный межсетевой
экран
Cisco ISR G2
© 2011 Cisco and/or its affiliates. All rights reserved. 6/35
• Защита базовых сетевых сервисов Network Foundation Protection (NFP)
• МСЭ с зональными политиками Zone based Firewall
• Интеллект на уровне приложений Application Intelligence Control
• Система предотвращения вторжений Intrusion Prevention System
• Система контентной фильтрации Content Filtering Solution
• Анализ содержимого пакетов Flexible Packet Matching (FPM)
© 2011 Cisco and/or its affiliates. All rights reserved. 7/35
• Российские требования в области криптографической защиты информации
• Учет используемых в организации решений по защите информации
• Ориентация на продукцию российского производства для работы в критичных приложениях
• Чего не хватает Cisco (и ISR G2) с этих точек зрения?!
Антивирус
VPN
© 2011 Cisco and/or its affiliates. All rights reserved. 8/35
• Контроль HTTP и FTP
• Проверка в реальном времени
• Выбор параметров фильтрации
• Проверка архивированных файлов
• Выявление подозрительных программ
• Групповые политики фильтрации
• Уведомление пользователей
• Прозрачность для пользователей
© 2011 Cisco and/or its affiliates. All rights reserved. 10/35
• VPN-решения Cisco признаны лучшими во многих странах и признаны стандартом де-факто многими специалистами
• Использование VPN-решений Cisco в России сопряжено с рядом трудностей
Порядок ввоза на территорию Таможенного союза шифровальных средств
Требование использования национальных криптографических алгоритмов
Обязательная сертификация СКЗИ
• На сайте www.slideshare.com/CiscoRu выложена презентация по регулированию криптографии в России
© 2011 Cisco and/or its affiliates. All rights reserved. 11/35 11
0
1
2
3
4
5
6
7
8
Число нормативных актов с требованиями сертификации по требованиям безопасности
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ
“О национальной платежной системе”, ФЗ “О служебной тайне”, новые приказы
ФСТЭК/ФСБ и т.д.)
© 2011 Cisco and/or its affiliates. All rights reserved. 12/35
• Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства
• Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России
Относится только к встраиванию в прикладные системы (АБС, ERP, БД и т.д.)
© 2011 Cisco and/or its affiliates. All rights reserved. 13/35
• Можно ли использовать сертифицированное криптоядро в составе VPN-решений?
Можно
• Будет ли такое использование легитимным?
Нет!!!
© 2011 Cisco and/or its affiliates. All rights reserved. 14/35
• Встраивание сертифицированных криптобиблиотек должно проводиться не только в соответствие с позицией ФСБ, но и в соответствии с документацией к сертифицированной СКЗИ
• Формуляр на КриптоПро CSP
Должна проводиться проверка корректности встраивания СКЗИ «КриптоПро CSP» версии 3.0 в прикладные системы СКЗИ в случаях…если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации
Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ России
© 2011 Cisco and/or its affiliates. All rights reserved. 16/35
• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года
Сертификат по классу КС2 на оба решения
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)
Решение для ЦОД и штаб-квартир
• На базе UCS C-200
© 2011 Cisco and/or its affiliates. All rights reserved. 17/35
Сертификация производства Cisco ISR как межсетевого экрана по требованиям ФСТЭК (3-й класс)
Сертификация производства Cisco ISR по требованиям безопасности ФСТЭК
Сертификация CSP VPN Gate/модуля NME-RVPN в ФСБ как СКЗИ класса КС2
Сертификация CSP VPN Gate как межсетевого экрана по требованиям безопасности ФСТЭК (3-й класс), на отсутствие недекларированных возможностей (3-й уровень), а также на оценочный уровень доверия ОУД3+
Производство модуля NME-RVPN в России по согласованному с ФСБ порядку производства
© 2011 Cisco and/or its affiliates. All rights reserved. 18/35
• Защита государственных органов (до гостайны)
• Защита критически важных объектов
АСУ ТП в Газпром, Smart Grid в РАО ЕЭС, сети связи и т.п.
• Защита крупных заказчиков
• Предоставление услуг Managed Services
ПДн СТР-К КСИИ PCI DSS
СТО БР ИББС
На базе одного и того же решения!
© 2011 Cisco and/or its affiliates. All rights reserved. 19/35
• Защита конфиденциальной информации органов государственной власти в соответствии с СТР-К, а также совместным приказом ФСБ и ФСТЭК от 31 августа 2010 года № 416/489
• Защита подключения информационных систем государственных органов к Интернет в соответствии с Указом Президента РФ от 17 марта 2008 года № 351, Постановлением Правительства РФ от 18 мая 2009 года № 424, Приказом ФСО от 7 августа 2009 года № 487
• Защита кредитных организаций в соответствии с требованиями СТО БР ИББС
© 2011 Cisco and/or its affiliates. All rights reserved. 20/35
• Защита персональных данных в соответствии с методическими рекомендациями ФСБ по защите персональных данных, а также в соответствии с отраслевыми стандартами Банка России, НАУФОР, НАПФ, операторов связи и др.,
• Защита объектов инфраструктуры в соответствии нормативными документами ФСТЭК России по защите ключевых систем информационной инфраструктуры,
• Защита систем управления технологическими процессами (АСУ ТП),
• Защита крупных территориально-распределенных сетей и т. п.
© 2011 Cisco and/or its affiliates. All rights reserved. 21/35
• VPN-решение Cisco и С-Терра могут применяться для защиты конфиденциальной информации, обрабатываемой в государственных (исключая гостайну) и коммерческих организациях
Например, в ИСПДн до 1-го класса включительно или в автоматизированных системах до класса 1Г включительно
• Данное решение соответствует требованиям, предъявляемым к VPN-решениям нормативными документами ФСБ, ФСТЭК, Газпрома, Минкомсвязи, РЖД и т.д.
© 2011 Cisco and/or its affiliates. All rights reserved. 23/35
• Защита высокоскоростных каналов связи
• VPN-узел доступа центрального офиса
• Концентратор удаленного доступа
• ПК удаленного (мобильного) пользователя
• Защита беспроводных сетей
• Защита унифицированных коммуникаций
• Managed VPN Services
© 2011 Cisco and/or its affiliates. All rights reserved. 25/35
• В России открыто локальное производство
С целью ускорения поставки оборудования, использования оборудования в критичных сферах, учета возможных требований по локализации оборудования
• Первый этап – NME-RVPN
• Второй этап – сетевое оборудование
• Продолжается работа по сертификации продукции Cisco в соответствии с российскими требованиями по ИБ
© 2011 Cisco and/or its affiliates. All rights reserved. 27/35
…и что предлагают Cisco и S-Terra
• Стандартизация
Полная и протестированная поддержка протоколов и алгоритмов IPSec (RFC 2401-RFC 2412), IKE (включая расширения – DPD, XAUTH и т.д.), ГОСТ 28147-89, RFC 2628, RFC 4357, MS CryptoAPI и др., обеспечивающая совместимость с решениями третьих фирм
• Совместимость с инфраструктурой Cisco
Протестированная интеграция с маршрутизатором Cisco ISR G1 и G2, вычислительной платформой Cisco UCS, IP-телефонией Cisco, решениями Cisco TelePresence и Cisco Tandberg, беспроводными решениями и т.д. Поддержка GRE, NAT, VLAN 802.1q и т.д.
• Высокая производительность отдельного VPN-шлюза
до 3,1 Гбит/сек на платформе UCS C-200
до 10 Гбит/сек на платформе UCS B
© 2011 Cisco and/or its affiliates. All rights reserved. 28/35
…и что предлагают Cisco и S-Terra
• Высокая надежность и отказоустойчивость Отказоустойчивость сети (множество сценариев обеспечения надежности)
Высокая утилизация вычислительных мощностей (резервные шлюзы не простаивают)
Малая (регулируемая) деградация производительности кластера шлюзов при единичном отказе
• Поддержка качества сетевого обслуживания (QoS) Возможность построения и поддержка качества функционирования мультисервисных сетей
Защита IP-телефонии, видеоконференцсвязи и TelePresence
Устойчивая работа медийных сервисов в условиях избыточной загрузки системы трафиком данных
Поддержка спутниковых каналов
© 2011 Cisco and/or its affiliates. All rights reserved. 29/35
…и что предлагают Cisco и S-Terra
• Удаленное и централизованное управление
Централизованное управление с помощью собственной консоли управления
Управление с помощью CLI
Единая платформа управления для коммуникационного оборудования Cisco, средств защиты Cisco и VPN-шлюзов С-Терра СиЭсПи – Cisco Security Manager
• Интеграция с инфраструктурой открытых ключей
Применение единой ключевой системы для прикладных систем (например, документооборота) и сетевой защиты
Поддержка PKCS#7,10,12, X.509 v.3 (RSA, DSA, ГОСТ), CRL,LDAP
Протестированная интеграция с MS CA, КриптоПро УЦ, NotaryPRO, Keon и др.
© 2011 Cisco and/or its affiliates. All rights reserved. 30/35
…и что предлагают Cisco и S-Terra
• Мониторинг и аудит безопасности сети
Централизация мониторинга и аудита
Поддержка SNMP и Syslog
Применение мощных современных индустриальных платформ мониторинга и аудита, например, CiscoWorks LMS, HP OpenView, Tivoli и др.
• Простота эксплуатации, низкая совокупная стоимость владения
Удобство и простота эксплуатации
Экономия затрат на эксплуатацию
Единство технологического процесса для эксплуатации для средств защиты информации и коммуникаций
© 2011 Cisco and/or its affiliates. All rights reserved. 31/35
…и что предлагают Cisco и S-Terra
• Обучение специалистов
Авторизованный учебный курс по сетевой информационной безопасности в решении Cisco c учебным разделом по продуктам «С-Терра СиЭсПи»
• Соответствие требованиям регуляторов и отраслевых стандартов
Сертификат ФСБ – СКЗИ КС1/КС2
Сертификат ФСТЭК – 3-й уровень НДВ, 3-й класс МСЭ, ОУД 3+
Применение в АС класса 1Г и в ИСПДн 1-го класса включительно
© 2011 Cisco and/or its affiliates. All rights reserved. 33/35
• Единственное западное решение, имеющее сертификат ФСБ
• Единственный западный разработчик средств защиты, имеющий лицензию ФСБ
• Производство в России (монтаж и тестирование печатных плат)
• Порядок производства согласован с ФСБ
• Планы по получению КС3
© 2011 Cisco and/or its affiliates. All rights reserved. 34/35
сеть – это платформа для реализации поставленных бизнес-целей защищенным образом в соответствие с требованиями регуляторов
=
NEW PHOTO
39% мирового рынка ИБ,
21% российского рынка ИБ