ТОВ «Захищені автоматизовані системи»
DESCRIPTION
ТОВ «Захищені автоматизовані системи». Опис рішення на базі програмного комплексу криптографічного захисту інформації « Cisco UVPN-ZAS » та обладнання компанії Cisco Systems, Inc. Загальні відомості. Рішення є спільною розробкою: ТОВ «Системи криптографічного захисту «Криптософт»; - PowerPoint PPT PresentationTRANSCRIPT
ТОВ«Захищені автоматизовані системи»
Опис рішення на базі програмного комплексу криптографічного захисту
інформації «Cisco UVPN-ZAS» та обладнання компанії Cisco Systems, Inc
Загальні відомості Рішення є спільною розробкою:
– ТОВ «Системи криптографічного захисту «Криптософт»;
– ЗАТ «С-Терра СіЕсПі».– Корпорації Cisco Systems, Inc.
У складі рішення використовується обладнання корпорації Cisco Systems, Inc та програмний комплекс криптографічного захисту інформації Cisco UVPN-ZAS.
Комплекс пройшов державну експертизу в галузі криптографічного захисту інформації та має дійсні позитивні експертні висновки Держспецзв’язку.
Призначення
Рішення призначене для забезпечення конфіденційності та цілісності інформації, яка передається незахищеними каналами зв’язку. Іншими словами Рішення забезпечує захист даних, які передаються загальнодоступними (наприклад Інтернет) або відкритими (наприклад орендовані канали, MPLS) каналами, шляхом шифрування даних із використанням вітчизняних алгоритмів шифрування.
Захисту повинна підлягати інформація, яка має максимальний гриф обмеження доступу – конфіденційно.
Необхідність захисту
Вимоги чинної нормативної бази України Необхідність захисту критичної для
функціонування Організації інформації, яка циркулює в автоматизованій системі Організації та передається відкритими / загальнодоступними каналами
Рішення дозволяє
Практично ізолювати мережу Організації шляхом використання технології VPN (IKE/Ipsec):– мережа налаштовується виключно для роботи з
шифрованим трафіком;– доступ до мережі одержує лише власник криптоключа.
Забезпечити масштабованість; Забезпечити відмовостійкість.
Склад рішення Шлюз: програмно-апаратне рішення, яке забезпечує
шифрування / дешифрування даних та їх маршрутизацію у внутрішню мережу організації (ЦОД, офіс центрального або регіонального рівню);
Клієнт: програмне рішення, яке забезпечує захист трафіку між ПЕОМ, на якому встановлено Клієнт, та шлюзом;
Центр генерації ключів; Система керування: забезпечує централізоване
керування та моніторинг функціонування компонентів Рішення.
Склад рішення Шлюз:• Модуль шифрування «Cisco UVPN-ZAS» (шлюз для Cisco
UCS С-Series, UCS B-Series та Cisco UCS-E) + обладнання;• Модуль шифрування «Cisco UVPN-ZAS» (шлюз для модулів
Cisco NME в маршрутизатори Cisco) + обладнання;• Модуль шифрування «Cisco UVPN-ZAS» (шлюз для модулів
Cisco SRE в маршрутизатори Cisco) + обладнання; Клієнт: • Модуль шифрування «Cisco UVPN-ZAS» (клієнт для ОС
Windows 7, XP /х32, х64) + ПЕОМ; Центр генерації ключів:• Центр генерації ключів «Криптосервер»; Система керування:• Система керування «Cisco UVPN-ZAS».
Переваги використання Рішення Забезпечення конфіденційності та цілісності даних,
що передаються; Централізоване керування, реєстрація подій та
моніторинг функціонування; Використання вітчизняної криптографії та наявність
відповідних сертифікатів; Підтримка резервування каналів передачі даних –
незалежність від провайдерів; Підтримка резервування мережевої інфраструктури
центрального рівню (робота в мережі з резервуванням Шлюзів доступу, автоматична обробка відказів Шлюзів доступу);
Забезпечення захисту високошвидкісних каналів передачі даних.
Базовий сценарій використання
Показники пропускної здатності
№ Обладнання, на якому встановлено Шлюз
Параметри тестування Результат тестування (пропускна
здатність в режимі шифрування)
тип пакеті
в
розмір пакету (к/байт)
пропускна
здатність каналу зв’язку
1 сервер - UCS C210 M2,процесор - 2.40GHz Xeon E5620 80W CPU/12MB cache/DDR3 1066MHz,мережева карта - Broadcom 5709 Dual-Port Ethernet PCIe Adapter
UDP 1400 1000M 950-970 Mbit/sec2 UDP 512 1000M 600-620 Mbit/sec3 UDP 64 1000M 72-74 Mbit/sec4 ТСР - 1000M 670-690 Mbit/sec5 сервер - UCS C200 M2,
процесор - 2.40GHz Xeon E5620 80W CPU/12MB cache/DDR3 1066MHz,мережева карта - Broadcom 5709 Dual-Port Ethernet PCIe Adapter
UDP 1400 1000M 780-820 Mbit/sec6 UDP 512 1000M 500-550 Mbit/sec7 UDP 64 1000M 34-39 Mbit/sec8 ТСР - 1000M 500-550 Mbit/sec
Під час дослідних випробувань одержані наступні результати для Шлюзу UCS:
Показники пропускної здатності
№ Обладнання, на якому встановлено Шлюз
Параметри тестування Результат тестування (пропускна
здатність в режимі шифрування)
тип пакетів
розмір пакету (к/байт)
пропускна здатність каналу зв’язку
1Модуль SRE в маршрутизаторі Cisco 2911
UDP 1400 1000M 100-120 Mbit/sec
2ТСР - 1000M 85 - 100 Mbit/sec
Під час дослідних випробувань одержані наступні результати для Шлюзу SRE:
Під час дослідних випробувань одержані наступні результати для Клієнта:
№ Обладнання, на якому встановлено Шлюз
Параметри тестуванняРезультат
тестування (пропускна
здатність в режимі шифрування)
тип пакетів
розмір пакету (к/байт)
пропускна здатність каналу зв’язку
1Модуль SRE в маршрутизаторі Cisco 2911
UDP 1400 1000M 60 Mbit/sec
2ТСР - 1000M 50 Mbit/sec
Схема реалізації резервування
Не потребує механізмів детектування відмови з боку віддаленого шлюзу;
Автоматичне переключення на резервний шлюз /та на основний/;
Повторна побудова тунелів (5 мінут для 1000 тунелів).
Схема реалізації захисту високошвидкісних каналів
Шлюзи, попарно, налаштовуються для роботи в режимі захисту каналу зв'язку (site-to-site).
Кожна пара шлюзів захищає один GRE тунель. Маршрутизація на пристроях R1, R2 налаштована таким чином, що захищаються мережі доступні за трьома різними маршрутами з однаковими метриками (три GRE тунелю).
Балансування здійснюється за допомогою протоколу динамічної маршрутизації EIGRP або OSPF
Схема стенду
