Организация безопасного обмена данными центрального офиса страховой компании с филиалами (1197004), страница 3
Текст из файла (страница 3)
2.2.4 Основные возможности
Надежная криптозащита:
– шифрование трафика по ГОСТ 28147–89 с современной ключевой схемой обеспечивает гарантированную крипто стойкость VPN-сети.
Межсетевое взаимодействие:
– организует защищенное соединение между КШ, принадлежащими разным криптографическим сетям и управляемыми разными ЦУС. Для установления доверительных отношений между ЦУС используется собственная инфраструктура открытых ключей. Генерацию ключевой пары и издание сертификата открытого ключа для своей сети выполняет ЦУС.
Межсетевой экран:
-
высокопроизводительный межсетевой экран на основе технологии SPI с поддержкой технологии NAT/PAT для защиты периметра и сегментации внутренней сети.
Маршрутизация трафика:
– АПКШ «Континент» обеспечивает балансирование нагрузки между каналами связи и маршрутизацию трафика по протоколам динамической/статической маршрутизации.
Управление трафиком:
– АПКШ «Континент» обеспечивает работу критически важных приложений при помощи механизмов управления трафиком QoS и Traffic shaping.
Высокая доступность:
АПКШ «Континент» обеспечивает функционирование отказоустойчивых защищенных сетей с горячим резервированием каналов связи и VPN-устройств.
2.2.5 Вариант использования «Континент 3.7»
На рисунке 2.2.5.1 показано как можно использовать «Континент 3.7»
Рисунок 2.2.5.1 – Вариант использования защиты континент 3.7
Сертификация
Подтверждает соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС3 и возможность применения для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
Действителен до 20.05.2018
2.2.6 Крипто схема «Континент 3.7»
На рисунке 2.2.6.1 изображена крипто схема «Континент 3.7»
Рисунок 2.2.6.1 – Крипто схема «Континент 3.7»
КШ «Континент» - программно-аппаратный комплекс обеспечивающий криптографическую защиту каналов связи, маршрутизацию сетевого трафика.
ЦУС «Континент» - центр управления сетью, управляет инфраструктурой АКПШ «Континент» фиксирует и реагирует на возникновение не санкционируемого доступа.
2.2.6 Расчет стоимости
Рассчитаем стоимость закупки продукта АПКШ «Континент» — IPC-25
Таблица 2.2.6.1 – Расчёт закупки оборудования
| Артикул | Наименование | Примечание | Цена за ед. | Количество | Стоимость |
| HSEC-3.7-IPC25-S115-CM-SP1Y | АПКШ «Континент» 3.7. ЦУС. Платформа IPC-25. Inc. TS Basic lvl | ЦУС Континент 3.7 в корпусе Mini-ITX, лицензия ЦУС для 1 ЦУС + 4 КШ/ДА. Максимальное количество КШ/ДА подключаемых к ЦУС «Континент» платформа IPC-25 не более 10. 4x1000BASE-T, 1xSFP 1000BASE-SX. ФСТЭК МЭ2, НДВ2, СОВ3, ФСБ КС3, МЭ4 + ТП уровня Базовый, срок 1 год + Техническая гарантия, | 111 550 р. | 1 | 111 550 р. |
Продолжение таблицы 2.2.6.1.
| Артикул | Наименование | Примечание | Цена за ед. | Количество | Стоимость | |
| срок 1 год + Ключ M-506A-XP | ||||||
| HSEC-3.7-IPC25-S115-FW-SP1Y | АПКШ «Континент» 3.7. Криптошлюз. Платформа IPC-25. Inc. TS Basic lvl | КШ Континент в корпусе Mini-ITX. 4x1000BASE-T, 1xSFP 1000BASE-SX. ФСТЭК МЭ2, НДВ2, ФСБ КС3, МЭ4 + ТП уровня Базовый, срок 1 год + Техническая гарантия, срок 1 год | 94 300 р. | 2 | 188 600 р | |
| HSEC-3.7-IPC10-FW-SP1Y | АПКШ «Континент» 3.7. Криптошлюз. Платформа IPC-10 (3 порта). Inc. TS Basic lv | КШ Континент вкомпактном исполнении допускающем возможность встраивания. При объеме 1-100 шт. 3x100BASE-T, поддержка 3G модемов. ФСТЭК МЭ2, НДВ2, ФСБ КС3, МЭ4 Включена ТП уровня Базовый, срок 1 год + Техническая гарантия, срок 1 год | 57 730 р | 1 | 57 730 р | |
Окончание таблицы 2.2.6.1
| Артикул | Наименование | Примечание | Цена за ед. | Количество | Стоимость | |
| HSEC-SUPPORT-ST | Ключ активации сервиса прямой технической поддержки уровня "Стандартный" для АПКШ «Континент» | Техническая поддержка оказывается службой технической поддержки ООО "Код Безопасности". | 20% | 1 год | 71 576 р. | |
| Общая стоимость | 429 456р | |||||
2.3 Крипто Про CSP
Крипто Про – программно-аппаратный комплекс, предназначенный для криптографической защиты VPN соединений.
2.3.1 Назначение
Крипто Про:
– авторизует и обеспечивает юридическую значимость электронных документов при обмене ими между пользователями, используя процедуры формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
– обеспечивает конфиденциальность и контроль целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
– обеспечивает аутентичность, конфиденциальность и имитозащиту соединений по протоколу TLS;
– контролирует целостность системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
– управляет ключевыми элементами системы в соответствии с регламентом средств защиты.
В дистрибутив СКЗИ "Крипто ПРО CSP" помимо самого крипто провайдера входят следующие продукты:
– Крипто Про TLS;
– Крипто Про EAP-TLS;
– КриптоПро Winlogon;
– КриптоПро Revocation Provider.
Крипто Про TLS-Модуль поддержки сетевой аутентификации Крипто Про TLS, входящий в состав СКЗИ Крипто Про CSP, реализует протокол Transport Layer Security (TLS v. 1.0, RFC 2246), с использованием российских криптографических стандартов. Протокол TLS предназначен для обеспечения криптографическими средствами аутентификации отправителя (клиента) - адресата (сервера), контроля целостности и шифрования данных информационного обмена. Крипто Про EAP-TLS-Модуль поддержки сетевой аутентификации Крипто Про TLS, входящий в состав СКЗИ Крипто Про CSP, реализует протокол Transport Layer Security (TLS v. 1.0, RFC 2246), с использованием российских криптографических стандартов. Протокол TLS предназначен для обеспечения криптографическими средствами аутентификации отправителя (клиента) - адресата (сервера), контроля целостности и шифрования данных информационного обмена.
КриптоПро Winlogon-КриптоПро Winlogon предназначен для ОС семейства Microsoft Windows и реализует первоначальную аутентификацию пользователя протокола Kerberos V5 (RFC 4120) по сертификату и ключевому носителю (смарт-карта, USB-токен) с использованием сертифицированного СКЗИ "Крипто Про CSP" версии 3.0 и выше.
Крипто Про Revocation Provider.
Основные характеристики "Крипто Про Revocation Provider":
– встраивание проверки статуса сертификатов по протоколу OCSP во все приложения операционной системы, работающие через CryptoAPI;
– не требует модификации приложений, работающих через CryptoAPI, для использования своих возможностей;
– автоматическая проверка статусов сертификатов OCSP-серверов;
– автоматическая проверка, уполномочен ли OCSP-сервер Удостоверяющим центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата;
– настройка через групповые политики;
– даёт возможность настройки доверия к конкретным OCSP-серверам;
– при невозможности установления статуса сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС;
– осуществление соединения по защищённому протоколу TLS (SSL);
– установление с помощью Windows Installer.
2.3.2 Реализуемые алгоритмы
Крипто Про реализует следующие алгоритмы:
– алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012 "Информационная технология. Криптографическая защита информации. Функция хэширования";
– алгоритмы формирования и проверки электронной подписи реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи";
– алгоритм шифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая".
При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012.
При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94 и ГОСТ 28147-89.
2.3.3 Схема работы Крипто Про CSP
Особенностью системы «КриптоПро CSP» как средства ЭЦП является поддержка различных устройств в качестве ключевого носителя. К ним относятся: дискеты, процессорная карта MPCOS-EMV и российская интеллектуальная карта (РИК), таблетки Touch-Memory DS1993-1996, USB-ключ eToken, реестр Windows. Возможно также использование пароля (PIN-кода) для дополнительной защиты ключевой информации. С помощью системы «Крипто Про CSP» пользователь генерирует пару ключей (секретный и открытый ключи), сохраняет их на ключевом носителе, формирует запрос на сертификат в электронном виде и отправляет его в Удостоверяющий Центр.
Программное обеспечение «Удостоверяющего Центра» обеспечивает:
– выполнение процедуры генерации личных секретных и открытых ключей на рабочем месте пользователя;
– формирование запросов на сертификаты открытого ключа на рабочем месте пользователя;
– выполнение процедуры регистрации электронных запросов от пользователей на сертификаты открытых ключей в Центре регистрации Удостоверяющего Центра;
– формирование электронных сертификатов открытых ключей пользователей в соответствии с рекомендациями Х.5095 версии 3 и RFC 2459, позволяющими с помощью криптографических методов (электронно-цифровая подпись, ЭЦП) централизованно заверять соответствие открытого ключа и атрибутов определенному пользователю;
– уникальность открытых ключей пользователей в реестре сертификатов открытых ключей Удостоверяющего Центра;
– вывод электронных сертификатов открытых ключей на бумажный носитель;
– аннулирование (отзыв) сертификатов открытых ключей пользователей;
– формирование и доставку зарегистрированным пользователям списка отозванных сертификатов открытых ключей пользователей. На рисунке 2.3.3.1 более наглядно изображена схема работы «Крипто Про»
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
