Российская криптография в решениях Cisco

1,822 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,822
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
38
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Российская криптография в решениях Cisco

  1. 1. Российская криптографияв решениях CiscoАлексей Лукацкий,бизнес-консультант по безопасности© 2011 Cisco and/or its affiliates. All rights reserved. 1
  2. 2. © 2011 Cisco and/or its affiliates. All rights reserved. 2
  3. 3. Новый подход к построению сетей Новая плоскость управления Хранить Передавать Программы Платформа Обрабатывать Отделить Конвергировать Политики, как программы от системы и способ платформы с сервисы с целью внедрения, целью быстрого/ использования поддержания и гибкого включения единой унификации сервисов и защиты платформы сервисов инвестиций© 2011 Cisco and/or its affiliates. All rights reserved. 3/35
  4. 4. • Иерархическая архитектура • Cisco ISR G2 2900 или 3900, Catalyst 3750 & 3560, IP-телефоны • Скорость WAN соединения до 100 Мбит/сек • Высокая доступность и безопасность • Проектирование с учетов сетевых сервисов и масштабируемости • Соответствие требованиям регуляторов Ключевые функции Подключение – Маршрутизация (EIGRP, OSPF, eBGP), NAT/PAT, QoS Безопасность – МСЭ, IPS, AAA, Content Security, VPN Голос – CME, SRST, CUE, Gateway, RSVP, PRI Trunk, FXO Оптимизация WAN – WAAS© 2011 Cisco and/or its affiliates. All rights reserved. 4/35
  5. 5. Cisco ISR G2 Защищенные сетевые решения Непрерывное Защищенная Защищенная Нормативное ведение бизнеса голосовая связь мобильность соответствие Интегрированное управление угрозами 011111101010101 Усовершенствован- Фильтрация Предотвращение Гибкие Контроль Система ный межсетевой контента вторжений функции доступа 802.1x защиты экран сравнения к сети основания сети пакетов (FPM) Защищенные каналы связи Управление и контроль состояния Ролевой GET VPN DMVPN Easy VPN SSL VPN CCP доступ NetFlow IP SLA© 2011 Cisco and/or its affiliates. All rights reserved. 5/35
  6. 6. • Защита базовых сетевых сервисов Network Foundation Protection (NFP)• МСЭ с зональными политиками Zone based Firewall• Интеллект на уровне приложений Application Intelligence Control• Система предотвращения вторжений Intrusion Prevention System• Система контентной фильтрации Content Filtering Solution• Анализ содержимого пакетов Flexible Packet Matching (FPM)© 2011 Cisco and/or its affiliates. All rights reserved. 6/35
  7. 7. • Российские требования в области криптографической защиты информации• Учет используемых в организации решений по защите информации• Ориентация на продукцию российского производства для работы в критичных приложениях• Чего не хватает Cisco (и ISR G2) с этих точек зрения?! Антивирус VPN© 2011 Cisco and/or its affiliates. All rights reserved. 7/35
  8. 8. • Контроль HTTP и FTP• Проверка в реальном времени• Выбор параметров фильтрации• Проверка архивированных файлов• Выявление подозрительных программ• Групповые политики фильтрации• Уведомление пользователей• Прозрачность для пользователей© 2011 Cisco and/or its affiliates. All rights reserved. 8/35
  9. 9. © 2011 Cisco and/or its affiliates. All rights reserved. 9
  10. 10. • VPN-решения Cisco признаны лучшими во многих странах и признаны стандартом де-факто многими специалистами• Использование VPN-решений Cisco в России сопряжено с рядом трудностей Порядок ввоза на территорию Таможенного союза шифровальных средств Требование использования национальных криптографических алгоритмов Обязательная сертификация СКЗИ• На сайте www.slideshare.com/CiscoRu выложена презентация по регулированию криптографии в России© 2011 Cisco and/or its affiliates. All rights reserved. 10/35
  11. 11. Число нормативных актов с требованиями сертификации по требованиям безопасности 8 7 6 5 4 3 2 1 0 * - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной платежной системе”, ФЗ “О служебной тайне”, новые приказы 11 ФСТЭК/ФСБ и т.д.)© 2011 Cisco and/or its affiliates. All rights reserved. 11/35
  12. 12. • Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства• Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России Относится только к встраиванию в прикладные системы (АБС, ERP, БД и т.д.)© 2011 Cisco and/or its affiliates. All rights reserved. 12/35
  13. 13. • Можно ли использовать сертифицированное криптоядро в составе VPN-решений? Можно• Будет ли такое использование легитимным? Нет!!!© 2011 Cisco and/or its affiliates. All rights reserved. 13/35
  14. 14. • Встраивание сертифицированных криптобиблиотек должно проводиться не только в соответствие с позицией ФСБ, но и в соответствии с документацией к сертифицированной СКЗИ• Формуляр на КриптоПро CSP Должна проводиться проверка корректности встраивания СКЗИ «КриптоПро CSP» версии 3.0 в прикладные системы СКЗИ в случаях…если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ России© 2011 Cisco and/or its affiliates. All rights reserved. 14/35
  15. 15. © 2011 Cisco and/or its affiliates. All rights reserved. 15
  16. 16. • Компаниями Cisco и С-Терра СиЭсПи разработаны VPN- решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года Сертификат по классу КС2 на оба решения Решение для удаленных офисов • На базе модуля для ISR G1 и G2 (2800/2900/3800/3900) Решение для ЦОД и штаб-квартир • На базе UCS C-200© 2011 Cisco and/or its affiliates. All rights reserved. 16/35
  17. 17. Сертификация производства Cisco ISR как межсетевого экрана по требованиям ФСТЭК (3-й класс) Сертификация производства Cisco ISR по требованиям безопасности ФСТЭК Сертификация CSP VPN Gate/модуля NME-RVPN в ФСБ как СКЗИ класса КС2 Сертификация CSP VPN Gate как межсетевого экрана по требованиям безопасности ФСТЭК (3-й класс), на отсутствие недекларированных возможностей (3-й уровень), а также на оценочный уровень доверия ОУД3+ Производство модуля NME-RVPN в России по согласованному с ФСБ порядку производства© 2011 Cisco and/or its affiliates. All rights reserved. 17/35
  18. 18. • Защита государственных органов (до гостайны)• Защита критически важных объектов АСУ ТП в Газпром, Smart Grid в РАО ЕЭС, сети связи и т.п.• Защита крупных заказчиков• Предоставление услуг Managed Services PCI СТО БР ПДн СТР-К КСИИ DSS ИББС На базе одного и того же решения!© 2011 Cisco and/or its affiliates. All rights reserved. 18/35
  19. 19. • Защита конфиденциальной информации органов государственной власти в соответствии с СТР-К, а также совместным приказом ФСБ и ФСТЭК от 31 августа 2010 года № 416/489• Защита подключения информационных систем государственных органов к Интернет в соответствии с Указом Президента РФ от 17 марта 2008 года № 351, Постановлением Правительства РФ от 18 мая 2009 года № 424, Приказом ФСО от 7 августа 2009 года № 487• Защита кредитных организаций в соответствии с требованиями СТО БР ИББС© 2011 Cisco and/or its affiliates. All rights reserved. 19/35
  20. 20. • Защита персональных данных в соответствии с методическими рекомендациями ФСБ по защите персональных данных, а также в соответствии с отраслевыми стандартами Банка России, НАУФОР, НАПФ, операторов связи и др.,• Защита объектов инфраструктуры в соответствии нормативными документами ФСТЭК России по защите ключевых систем информационной инфраструктуры,• Защита систем управления технологическими процессами (АСУ ТП),• Защита крупных территориально-распределенных сетей и т. п.© 2011 Cisco and/or its affiliates. All rights reserved. 20/35
  21. 21. • VPN-решение Cisco и С-Терра могут применяться для защиты конфиденциальной информации, обрабатываемой в государственных (исключая гостайну) и коммерческих организациях Например, в ИСПДн до 1-го класса включительно или в автоматизированных системах до класса 1Г включительно• Данное решение соответствует требованиям, предъявляемым к VPN-решениям нормативными документами ФСБ, ФСТЭК, Газпрома, Минкомсвязи, РЖД и т.д.© 2011 Cisco and/or its affiliates. All rights reserved. 21/35
  22. 22. © 2011 Cisco and/or its affiliates. All rights reserved. 22
  23. 23. • Защита высокоскоростных каналов связи• VPN-узел доступа центрального офиса• Концентратор удаленного доступа• ПК удаленного (мобильного) пользователя• Защита беспроводных сетей• Защита унифицированных коммуникаций• Managed VPN Services© 2011 Cisco and/or its affiliates. All rights reserved. 23/35
  24. 24. © 2011 Cisco and/or its affiliates. All rights reserved. 24
  25. 25. • В России открыто локальное производство С целью ускорения поставки оборудования, использования оборудования в критичных сферах, учета возможных требований по локализации оборудования• Первый этап – NME-RVPN• Второй этап – сетевое оборудование• Продолжается работа по сертификации продукции Cisco в соответствии с российскими требованиями по ИБ© 2011 Cisco and/or its affiliates. All rights reserved. 25/35
  26. 26. © 2011 Cisco and/or its affiliates. All rights reserved. 26
  27. 27. …и что предлагают Cisco и S-Terra• Стандартизация Полная и протестированная поддержка протоколов и алгоритмов IPSec (RFC 2401-RFC 2412), IKE (включая расширения – DPD, XAUTH и т.д.), ГОСТ 28147-89, RFC 2628, RFC 4357, MS CryptoAPI и др., обеспечивающая совместимость с решениями третьих фирм• Совместимость с инфраструктурой Cisco Протестированная интеграция с маршрутизатором Cisco ISR G1 и G2, вычислительной платформой Cisco UCS, IP-телефонией Cisco, решениями Cisco TelePresence и Cisco Tandberg, беспроводными решениями и т.д. Поддержка GRE, NAT, VLAN 802.1q и т.д.• Высокая производительность отдельного VPN-шлюза до 3,1 Гбит/сек на платформе UCS C-200 до 10 Гбит/сек на платформе UCS B© 2011 Cisco and/or its affiliates. All rights reserved. 27/35
  28. 28. …и что предлагают Cisco и S-Terra• Высокая надежность и отказоустойчивость Отказоустойчивость сети (множество сценариев обеспечения надежности) Высокая утилизация вычислительных мощностей (резервные шлюзы не простаивают) Малая (регулируемая) деградация производительности кластера шлюзов при единичном отказе• Поддержка качества сетевого обслуживания (QoS) Возможность построения и поддержка качества функционирования мультисервисных сетей Защита IP-телефонии, видеоконференцсвязи и TelePresence Устойчивая работа медийных сервисов в условиях избыточной загрузки системы трафиком данных Поддержка спутниковых каналов© 2011 Cisco and/or its affiliates. All rights reserved. 28/35
  29. 29. …и что предлагают Cisco и S-Terra• Удаленное и централизованное управление Централизованное управление с помощью собственной консоли управления Управление с помощью CLI Единая платформа управления для коммуникационного оборудования Cisco, средств защиты Cisco и VPN-шлюзов С-Терра СиЭсПи – Cisco Security Manager• Интеграция с инфраструктурой открытых ключей Применение единой ключевой системы для прикладных систем (например, документооборота) и сетевой защиты Поддержка PKCS#7,10,12, X.509 v.3 (RSA, DSA, ГОСТ), CRL,LDAP Протестированная интеграция с MS CA, КриптоПро УЦ, NotaryPRO, Keon и др.© 2011 Cisco and/or its affiliates. All rights reserved. 29/35
  30. 30. …и что предлагают Cisco и S-Terra• Мониторинг и аудит безопасности сети Централизация мониторинга и аудита Поддержка SNMP и Syslog Применение мощных современных индустриальных платформ мониторинга и аудита, например, CiscoWorks LMS, HP OpenView, Tivoli и др.• Простота эксплуатации, низкая совокупная стоимость владения Удобство и простота эксплуатации Экономия затрат на эксплуатацию Единство технологического процесса для эксплуатации для средств защиты информации и коммуникаций© 2011 Cisco and/or its affiliates. All rights reserved. 30/35
  31. 31. …и что предлагают Cisco и S-Terra• Обучение специалистов Авторизованный учебный курс по сетевой информационной безопасности в решении Cisco c учебным разделом по продуктам «С- Терра СиЭсПи»• Соответствие требованиям регуляторов и отраслевых стандартов Сертификат ФСБ – СКЗИ КС1/КС2 Сертификат ФСТЭК – 3-й уровень НДВ, 3-й класс МСЭ, ОУД 3+ Применение в АС класса 1Г и в ИСПДн 1-го класса включительно© 2011 Cisco and/or its affiliates. All rights reserved. 31/35
  32. 32. © 2011 Cisco and/or its affiliates. All rights reserved. 32
  33. 33. • Единственное западное решение, имеющее сертификат ФСБ• Единственный западный разработчик средств защиты, имеющий лицензию ФСБ• Производство в России (монтаж и тестирование печатных плат)• Порядок производства согласован с ФСБ• Планы по получению КС3© 2011 Cisco and/or its affiliates. All rights reserved. 33/35
  34. 34. NEW PHOTO сеть – это платформа для реализации поставленных = бизнес-целей защищенным образом в соответствие с 39% мирового рынка ИБ, требованиями регуляторов 21% российского рынка ИБ© 2011 Cisco and/or its affiliates. All rights reserved. 34/35
  35. 35. Спасибоза внимание! security-request@cisco.com

×