Решаемые задачи
Обеспечение защищенного взаимодействия между сегментами информационной системы с использованием сертифицированного средства криптографической защиты информации (СКЗИ).
Обеспечение удаленного защищенного доступа к информационной системе (ИС) или ее сегменту с использованием сертифицированного СКЗИ.
Контроль информационных потоков взаимодействия ИС или ее сегмента с внешними сетями или сегментами ИС с использованием сертифицированного средства защиты информации (СрЗИ).
Регистрация процессов информационного обмена с использованием сертифицированного СрЗИ.
Обнаружение компьютерных атак с использованием сертифицированного СрЗИ.
Предупреждение компьютерных атак с использованием сертифицированного СрЗИ.
Обеспечение аутентификации, авторизации и регистрации действий администраторов СКЗИ и СрЗИ, входящих в состав шлюза безопасности.
Ограничение доступа внешних (по отношению к ИС или ее сегменту) пользователей к внутренним ресурсам ИС или ее сегмента.
Разграничение доступа пользователей ИС или ее сегмента к информационным ресурсам через сеть общего пользования.
Доверенная загрузка СКЗИ и СрЗИ.
Состав продукта
Средство криптографической защиты информации С-Терра Шлюз
Межсетевой экран и система обнаружения вторжений FortiGate
ПТК «Модуль системы защиты управления»
Функции
Функции МЭ
Фильтрация сетевого трафика на основе сетевого адреса узла, интерфейса, сетевого протокола, транспортного протокола, порты источника и получателя.
Проверка каждого пакета по таблице состояний.
Фильтрация при импорте (перехвате) информации сетевого трафика из-за пределов МЭ.
Переназначение сетевых адресов отправителя и (или) получателя (трансляция адресов и посредничество в передаче).
Маскирование наличия МЭ различными способами.
Ведение журнала аудита.
Ролевая модель доступа.
Ведение таблицы состояний.
Удобный Web интерфейс и CLI интерфейс.
Функции СОВ
Анализ трафика в реальном времени.
Анализ с использованием сигнатурного и эвристических методов.
Анализ служебной информации протоколов сетевого уровня.
Блокирование вторжений и нарушений безопасности, в том числе путем выдачи управляющих сигналов межсетевому экрану.
Обновление БРП.
Маскирование наличия датчика СОВ.
Ролевая модель доступа.
Удобный Web интерфейс и CLI интерфейс.
Функции СКЗИ
Шифрование конфиденциальной информации по алгоритмам ГОСТ 28147-89, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015.
Имитозащита трафика при помощи протоколов IPsec AH и/или IPsec ESP по алгоритмам ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015.
Двухсторонняя криптографическая аутентификация абонентов при установлении соединения по алгоритмам ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012.
Выполняемые требования ФСТЭК
Согласно приказу ФСТЭК №17 от 11.02.2013:
| ИАФ.2 | ИАФ.3 | ИАФ.5 | ИАФ.6 | УПД.1 | УПД.2 | УПД.3 | УПД.4 |
| УПД.5 | УПД.6 | УПД.13 | УПД.16 | УПД.17 | РСБ.1 | РСБ.2 | РСБ.3 |
| РСБ.4 | РСБ.5 | РСБ.6 | РСБ.7 | РСБ.8 | СОВ.1 | СОВ.2 | ОЦЛ.1 |
| ОЦЛ.3 | ОЦЛ.5 | ОДТ.1 | ОДТ.2 | ОДТ.3 | ОДТ.6 | ЗИС.1 | ЗИС.2 |
| ЗИС.3 | ЗИС.4 | ЗИС.7 | ЗИС.11 | ЗИС.17 | ЗИС.23 | ЗИС.24 | ЗИС.28 |
Согласно приказу ФСТЭК №21 от 18.02.2013:
| ИАФ.2 | ИАФ.3 | ИАФ.5 | ИАФ.6 | УПД.1 | УПД.2 | УПД.3 | УПД.4 |
| УПД.5 | УПД.6 | УПД.13 | УПД.16 | УПД.17 | РСБ.1 | РСБ.2 | РСБ.3 |
| РСБ.4 | РСБ.5 | РСБ.6 | РСБ.7 | СОВ.1 | СОВ.2 | ОЦЛ.1 | ОЦЛ.3 |
| ОЦЛ.5 | ОДТ.1 | ОДТ.2 | ОДТ.3 | ЗИС.1 | ЗИС.2 | ЗИС.3 | ЗИС.4 |
| ЗИС.7 | ЗИС.11 | ЗИС.17 | ИНЦ.2 | ИНЦ.3 |
Характеристики
| ПАК ГРАНИЦА-30 | ПАК ГРАНИЦА-60 | |
| Пропускная способность межсетевого экрана (1518 / 512 / 64 byte UDP) | 0.95 Гбит/с | 3 Гбит/с |
| Количество конкурентных сессий | 900 000 | 1,3 млн |
| Количество новых сессий /c | 15 000 | 30 000 |
| Пропускная способность в режиме контроля приложений | 400 Мбит/с | 650 Мбит/с |
| Пропускная способность в режиме межсетевого экрана следующего поколения | 200 Мбит/с | 250 Мбит/с |
| Пропускная способность системы обнаружения вторжений (HTTP / Enterprise Mix) | 600 / 300 Мбит/с | 1400 / 400 Мбит/с |
| Пропускная способность VPN ГОСТ (UDP1400 / IMIX) | 400 / 270 Мбит/с | 400 / 270 Мбит/с |
| Максимальное количество ГОСТ туннелей | 500 | 500 |
| Размер | 482x44x430 | 482x44x430 |
| Вес | 4,1 кг | 4,1 кг |
Для кого
Обладателям информации, заказчикам и операторам государственных информационных систем до 1 класса защищенности. К ним относятся информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:
здравоохранения
науки
транспорта
связи
энергетики
банковской и иных сферах финансового рынка
топливно-энергетического комплекса
атомной энергии
оборонной и ракетно-космической промышленности
горнодобывающей, металлургической и химической промышленности
Как использовать
| Задача | Решение |
| Защищенный доступ в интернет | При использовании одного компьютера несколькими пользователями с различными правами возможна идентификация пользователя с помощью ПО С-терра клиент и ему дается доступ в сеть Internet |
| Защищенный удаленный доступ к корпоративным ресурсам | Удаленный пользователь подключается с помощью ПО С-терра клиент подключается к ШБ «ГРАНИЦА» и он получает доступ ко внутренним ресурсам компании, проходя проверки системы обнаружения вторжений и правил фильтрации |
| Проверка трафика удаленного клиента | Для удаленного пользователя настраивается доступ в сеть Internet через ШБ «ГРАНИЦА», что дает возможность проверять трафик в системе обнаружения вторжений и обеспечивает фильтрацию всего трафика к удаленному пользователю. |
| Межсетевое экранирование и обнаружение вторжений | Фильтрация сетевого трафика и проверка системой обнаружения вторжений. |
| Объединение локальных сетей в VPN-сеть с шифрование по ГОСТ | Объединение нескольких офисов в единую сеть, при этом наличие администратора безопасности в удаленном офисе требуется только на этапе установки и первичной настройки ШБ «ГРАНИЦА». Безопасную настройку и управление обеспечивает модуль доверенной загрузки, разработанный компанией НИЦ. |
Схемы применения
Защищённый доступ к сети Интернет
Защищённый удалённый доступ к корпоративным ресурсам
Проверка трафика клиента при удаленном подключении
Межсетевое экранирование и система обнаружения вторжений
Объединение локальных сетей в VPN-сеть с шифрованием по ГОСТ
Техническая поддержка
Центр технической поддержки (TAC) предназначен для технической поддержки решений собственной разработки АО “НИЦ”, а так же поддержки решений, сертифицированных ФСТЭК России, заявителем сертификации или разработчиком которых является АО “НИЦ” (Fortinet, IBM, SafePhone, SafeRoute). Основные инструменты: Call-центр, автоматизированная система приёма, регистрации и обработки заявок, отправка обращений с сайта, “звонок с сайта” и пр.
Для получения доступа к поддержке потребуется регистрация на сайте АО “НИЦ”.