View
21
Download
0
Category
Preview:
Citation preview
Организация защиты каналов связи, централизованного сбора и анализа событий безопасности для объектов КИИ Таранов Александр ОАО ИнфоТеКС
©2019, ОАО «ИнфоТеКС».
ПФР
Росфинмониторинг ФСГС
ФССП
ФСО
ФСС ФОМС
Портал
Госуслуги Росфиннадзор
Минобразования
Росруд
Наши Заказчики
©2019, ОАО «ИнфоТеКС».
В ОАО Инфотекс и его дочерних компаниях работает более 700 сотрудников
Более 400 из них работают в Центре Разработки Программного обеспечения. 12
сотрудников - это кандидаты технических и физико-математических наук, а также доктора
наук, специализирующиеся на исследованиях в сфере информационных технологий и
криптографии.
Решения компании имеют сертификаты ФСБ России и ФСТЭК России, индустриальный
сертификат TUV в Германии и сертификат по требованиям безопасности Республики
Казахстан (локализованные изделия).
Инфотекс является секретариатом российского национального Технического Комитета 26,
который отвечает за стандартизацию криптографических алгоритмов и протоколов их
применения в РФ. Эксперты ТК26 представляют Россию в ISO (WG2 SC27).
ОАО ИнфоТеКС образовано в 1991. Сегодня компания является одним из
крупнейших разработчиков систем информационной безопасности в России
и преимущественно сконцентрирована на разработке VPN и PKI решений,
распространяемых на рынке под известной торговой маркой .
Более 25 лет опыта в разработке средств защиты информации!
©2019, ОАО «ИнфоТеКС».
Особенности технологии
1 Симметричная
криптография:
Честный P2P VPN 2
Не сессионный VPN:
Работа на плохих и
нестабильных каналах
Работа через NAT:
Соединение устройств
за различными NAT
Централизованное
обновление:
Ключи шифрования,
справочники, ПО
3 4
©2019, ОАО «ИнфоТеКС».
Шлюзы безопасности
FW/VPN
Coordinator for Win/Lin
ux
HW 4 поколе
ния IG/SIES
FW/ PKI
ViPNet TLS
(+PT WAF)
FW/ DPI
ViPNet xFirewal
l
IDS
ViPNet IDS NS
Threat Intellige
nce
ViPNet
TIAS
Хостовые решения
IDS
ViPNet IDS HS
FW/VPN
ViPNet Client
Что можем предложить?
©2019, ОАО «ИнфоТеКС».
Шлюзы безопасности ViPNet Coordinator
ViPNet Coordinator
Software
Windows
Coordinator
(Win)
Linux
Coordinator
(Lin)
Appliance
- HW 50
- HW 100
- HW 1000
- HW 2000
- HW 5000
Virtual
appliance
HW-VA
©2019, ОАО «ИнфоТеКС».
Firewall
Stateful Packet
Inspection
NAT, Antispoofing
Application Layer
Gateway
Proxy-server
VPN Gateway
ViPNet Gate
L2VPN (L2OverIP)
Traversal NAT
Network services
DNS,
NTP-server,
DHCP-server,
DHCP-Relay
VLAN, QoS
support
Transport server
Failover
Coordinator HW
©2019, ОАО «ИнфоТеКС».
ViPNet Coordinator HW 4
55
Мбит/сек
100
Мбит/сек
1 Гбит/сек
2,7
Гбит/сек
5,5
Гбит/сек HW100
HW1000
HW2000
HW50
HW5000
©2019, ОАО «ИнфоТеКС».
Что такое ViPNet Client • VPN-клиент для работы в защищенных сетях ViPNet
• Персональный сетевой экран
• Прозрачность для приложений пользователя и
сервисов операционных систем
• Независимость от физических каналов связи
• Поддержка ОС Windows, MacOS, iOS, Android, Tizen,
Linux
• Наличие сертификатов ФСБ России на СКЗИ по
классам от КС1 до КС3
ViPNet
Client for
Windows
ViPNet
Client for
Linux
ViPNet
Client for
iOS
ViPNet
Client for
Android
ViPNet
Client for
MacOS
ViPNet
Client for
Tizen
©2019, ОАО «ИнфоТеКС».
ViPNet Client for Android Версия 1.х
• ViPNet VPN;
• Firewall;
• Поддержка Android 4.x и 5.x;
• Поддержка 2G, 3G, 4G, Wi-Fi;
• Поддержка АРМ и х86;
• Официальная поддержка
большинства современных
устройств;
• Встроенный производителями
инсталлятор ivipnet в
YotaPhone2, Symbol TC75;
• Сертификат ФСБ по классу КС1.
©2019, ОАО «ИнфоТеКС».
ViPNet Client for Android Версия 2.х
• ViPNet VPN;
• Используется Google VPN API;
• Поддержка Android 4.x, 5.x, 6.х;
• Поддержка 2G, 3G, 4G, Wi-Fi;
• Поддержка АРМ и х86;
• Не требует прав
суперпользователя;
• Сертификат ФСБ по классу КС1.
©2019, ОАО «ИнфоТеКС».
ViPNet Client for iOS версия 1.х
• ViPNet VPN;
• Firewall;
• Поддержка iOS 6.x, 7.x, 8.x;
• Поддержка 2G, 3G, 4G, Wi-Fi;
• Требует Jailbreak;
• Сертификат ФСБ по классу КС1;
• Разработка завершена, продукт
на поддержке.
©2019, ОАО «ИнфоТеКС».
ViPNet Client for iOS версия 2.х
• ViPNet VPN;
• Поддержка iOS 9.x;
• Используется Apple
VPN API;
• Поддержка 2G, 3G,
4G, Wi-Fi;
• Не требует Jailbreak;
• Сертификат ФСБ по
классу КС1.
©2019, ОАО «ИнфоТеКС».
ViPNet Client for Tizen
• ViPNet VPN;
• Используется Tizen VPN API;
• Поддержка Tizen 2.x;
• Поддержка 2G, 3G, 4G, Wi-Fi;
• Поддержка АРМ;
• Не требует прав
суперпользователя;
• Продукт на сертификации, ТЗ
согласовано.
©2019, ОАО «ИнфоТеКС».
ViPNet Connect.
©2019, ОАО «ИнфоТеКС».
ViPNet Connect
Передача файлов Конференция
Голос Чат
©2019, ОАО «ИнфоТеКС». 18 2019©, ОАО «ИнфоТеКС»
Что такое ViPNet xFirewall
Сетевая
платформа в
составе:
Межсетевой
экран
Сетевой экран
приложений -
DPI
Система
предотвращения
вторжений
Шлюзовой
антивирус
Интеграция с
Active Directory
©2019, ОАО «ИнфоТеКС». 19 2019©, ОАО «ИнфоТеКС»
550 Мбит/сек
2 Гбит/сек
12,7 Гбит/сек
xF100
xF5000
ViPNet xFirewall. Платформы
xF1000 C/D
©2019, ОАО «ИнфоТеКС». 20 2019©, ОАО «ИнфоТеКС»
Исполнение xF100 xF1000 C/D xF5000
Firewall, 1518 byte UDP (Mbps)
550 2 000 12700
Firewall
Throughput
(Packets Per Second)
71 000 960 000 1 000 000
Firewall, TCP
Multistream (Mbps)
550 2 000 9300
NGFW
Througput (Mbps)
140 1 500 2 500
Connections per Second
2 500 19 500 17 500
Concurrent Connections
149 900 990 000 9 900 000
Производительность
©2019, ОАО «ИнфоТеКС».
Сертификация
ФСТЭК на соответствие
требованиям к МЭ типа А 4 класса –
ожидаем 1 кв. 2019
©2019, ОАО «ИнфоТеКС». 22 2019©, ОАО «ИнфоТеКС»
В чем польза от ViPNet xFirewall
Комплексная защита
Снижение объема Интернет трафика за счет блокирования ресурсов
развлекательного характера
МЭ типа А 4 класса по новым требованиям
ФСТЭК
Сравним по возможностям с
западными аналогами
©2019, ОАО «ИнфоТеКС».
Система обнаружения атак
ViPNet IDS
Details
Intrusion detection system
Signature and
Heuristic
analysis
Events
notification
Collection
intrusion
information
SIEM
Integration
Appliance
IDS 100
IDS 1000
IDS 2000
Virtual
appliance
IDS VA
©2019, ОАО «ИнфоТеКС».
Программно-
аппаратный
комплекс
IDS 1000
IDS 2000 IDS 100
Форм-фактор 1U 1U MiniPC
Ethernet interfaces 4x10/100/1000
Мбит/c
4x10/100/1000
Мбит/c
4x10/100/1000
Мбит/c
Other interfaces - 2x10 Гбит/c (SFP+) _
Производительност
ь
До 1 Гбит/сек До 6 Гбит/сек До 100 Мбит/сек
Варианты исполнения ViPNet IDS
©2019, ОАО «ИнфоТеКС».
Обнаружение атак: сетевой уровень
©2019, ОАО «ИнфоТеКС».
• Агент - собирает необходимую информацию о
функционировании хостов и выполняет первичный анализ
данных
• Сервер — получает, хранит и анализирует информацию от
Агентов, хранит правила, команды и параметры, и передаёт их
на Агенты.
• Консоль управления — предоставляет графический
интерфейс для управления Агентами и мониторинга их
состояния
Обнаружение атак: уровень хоста
©2019, ОАО «ИнфоТеКС».
Обнаружение атак: Реальность
• Установка СОВ (СОА) для формального соответствия требованиям НПА
по ЗИ
• Отсутствие квалифицированных кадров для работы с инцидентами ИБ
• Малый накопленный опыт по расследованию инцидентов
• Отсутствие регламентов по реагированию на инциденты и их
расследованию
• Сокрытие информации об атаках перед операторами информационных
систем
©2019, ОАО «ИнфоТеКС».
ViPNet TIAS (Threats Intelligence analytical system – система анализа и выявления угроз)
• Обработка поступающих событий
• Выявление критичных событий
События информационной системы 10 000 000
События сенсоров ИБ
Важные ИБ-события
200 000
1 000
Критичные события ИБ 150
<<5 Инциденты ИБ
ViPNet TIAS
• Настройка ViPNet IDS
• Аналитическая работа
ЗАО «Перспективный мониторинг»
Месячная статистика для организации ~500 АРМ, 10 Серверов
©2019, ОАО «ИнфоТеКС».
TIAS и SIEM
функции выявления и предотвращения
компьютерных атак
функции мониторинга инцидентов
информационной безопасности
функции сбора и обработки событий информационной
безопасности
функции, визуализации и
отчетности
ViPNet IDS (сетевой уровень)
Threat Intelligence ViPNet TIAS
ViPNet IDS HS (прикладной
уровень)
SIEM
JSON
ГосСОПКА
(ГЦМ,РЦМ)
Ведомственные Корпоративные центры
Центр мониторинга (Администратор ИБ)
Заказчика
ЦМ ЗАО "Перспективный Мониторинг"
ЦМ ЗАО "Перспективный
Мониторинг"
©2019, ОАО «ИнфоТеКС».
ITDP - готовность подключения к системе ГосСОПКА
ITDP (Intrusion Threats Detection & Prevention)
Система централизованного управления – ПАК ViPNet IDS Management Center (MC).
Сетевые сенсоры – ПАК ViPNet IDS Network Sensor (NS).
Хостовые сенсоры – ПК ViPNet IDS Host-based Sensor (HS).
Система интеллектуального выявления угроз - ПАК ViPNet TIAS.
©2019, ОАО «ИнфоТеКС».
ViPNet HSM: функциональные возможности
Поддержка криптоалгоритмов: ГОСТ 28147-89, ГОСТ Р 34.10-2001/2012, ГОСТ Р 34.11-94/2012
Криптографический интерфейс PKCS#11 для использования в прикладных сервисах
Создание ЭП
Проверка
ЭП
Генерация
ключей
Шифрова-
ние,имито-
защита
Надежное
хранение
ключей
©2019, ОАО «ИнфоТеКС».
ViPNet HSM: повышенные меры безопасности
Имеет встроенный физический датчик случайных чисел (ФДСЧ), реализованный по требованиям для СКЗИ класса КВ
Имеет встроенный модуль обнаружения вскрытия и контроля основных параметров работы платформы, хранения и гарантированного уничтожения мастер-ключей
Разделение «секрета», сбор кворума для выполнения критических операций
Развитая ролевая модель
©2019, ОАО «ИнфоТеКС».
ViPNet HSM
©2019, ОАО «ИнфоТеКС».
API - PKCS#11
SDK для разработки сервисов и
взаимодействия с HSM
Подключение сервисов под защитой TLS на ГОСТ
Допускается встраивание прикладных сервисов
ViPNet HSM –
криптографическая
платформа для сервисов
ViPNet HSM: подключение прикладных сервисов
©2019, ОАО «ИнфоТеКС».
ViPNet HSM: сценарии применения
Криптомодули для удостоверяющих центров и
серверов систем юридически значимого
документооборота (в рамках 63-ФЗ)
Построение TLS-шлюзов
Системы сдачи отчетности и любые
другие системы электронных сервисов
Банковские системы электронных
платежей
©2019, ОАО «ИнфоТеКС».
ViPNet HSM PS: сервис для банковских электронных систем платежных карт
• Дополнительно реализованы
криптоалгоритмы DES, TripleDES, AES, RSA,
SHA-1, SHA-256
• Раздельное лицензирование
функциональности:
o Процессинг
o Режим Удостоверяющего центра
o Поддержка 3D-Secure
o Печать ПИН-конвертов
o Предперсонализация карт
o Персонализация карт
• В режиме проверки PIN PVV/CVV - 40 000
транзакций в секунду
• Дополнительная WEB-консоль для
управления платежными сервисами
• Получено заключение от компании
OpenWay, подтверждающее совместимость с
модулем авторизации WAY4
©2019, ОАО «ИнфоТеКС».
Решения ViPNet для индустриального сектора
Линейка
PKI
Линейка
Network Security
Индустриальная
безопасность
FW, Coordinator,
Client
SIES
©2019, ОАО «ИнфоТеКС».
Решения ViPNet для индустриального сектора
ERP, MES
Системы управления
предприятием
Системы планирования
производства
ViPNet Network Security
Верхний уровень АСУ ТП
SCADA
АРМ оператора
Центры управления и
мониторинга
ViPNet Network Security
ViPNet Mobile Security
ViPNet Coordinator IDS
ViPNet Coordinator IG
ViPNet SIES
Полевой уровень
PLC, PAC
Исполнительная среда
ViPNet Coordinator IG
ViPNet SIES
©2019, ОАО «ИнфоТеКС».
ViPNet PKI Client
Объединение востребованного функционала в одном продукте – ViPNet PKI Client.
Гибкая система лицензирования.
Сертификация по требованиям ФСБ России.
Работа с
файлами
Подпись
в браузере
Менеджер
сертифика-
тов TLS Client
Обновление
CRL и кросс
©2019, ОАО «ИнфоТеКС».
ViPNet TLS Gateway
ViPNet
TLS
Gateway
ViPNet TLS
Gateway
Использование
сертификатов ключей
проверки ЭП
Управление доступом к
защищаемым ресурсам
Аутентификация
пользователей
Адаптивность
продукта
©2019, ОАО «ИнфоТеКС».
ViPNet TLS Gateway:
функциональные возможности
Защищенный удаленный HTTPS-доступ
к ресурсам (обратный прокси-сервер)
Аутентификация по сертификатам
ключей проверки ЭП
Поддержка работы с пользователями,
обладающими сертификатами ключей
проверки ЭП, изданными различными
удостоверяющими центрами
Поддержка режимов односторонней и
двусторонней аутентификации
©2019, ОАО «ИнфоТеКС».
ViPNet TLS Gateway:
функциональные возможности
Поддержка политик разграничения
доступа
Автоматическое поддержание
актуальности списков аннулированных
сертификатов (CRL)
Поддержка кластера с балансировкой
нагрузки за счет внешнего
балансировщика
Клиентская компонента: ViPNet CSP,
ViPNet PKI Client
Внешний вид ViPNet TLS Gateway в виде ПАК
(TLS 500/1000)
©2019, ОАО «ИнфоТеКС».
ViPNet TLS Gateway:
модельный ряд Название исполнения* TLS 500 TLS 1000 TLS 5000
Пропускная способность в режиме HTTPS-прокси (Мбит/с)
до 250 до 750 до 1000
Количество одновременных соединений
до 4000 до 7000 до 25000
Максимальное число пользователей**
до 3000 до 5000 до 20000
©2019, ОАО «ИнфоТеКС».
ViPNet TLS Gateway
Зарегистрирован в Роспатенте
Зарегистрирован в Реестре российского ПО
Сертификат на соответствие классам защищенности:
КС1 для исполнения TLS VA;
KC3 для исполнений TLS 500/TLS 1000/TLS 5000.
Интеграция c PT AF.
©2019, ОАО «ИнфоТеКС».
Информация о партнере
ООО «КриптоСвязь»
www.infotrust.ru
+7(3412)918-100
crypto@infotrust.ru
Спасибо за внимание! Таранов Александр ОАО ИнфоТеКС
Recommended