ПРЕДЛОЖЕНИЯ - АГАТ-системы управления

реклама
ПРЕДЛОЖЕНИЯ
по защите информации, передаваемой в ИАС КНД по каналам связи,
в архитектуре с централизованной базой данных
1.
Состав и назначение средств защиты информации
Защиту информации, передаваемой в ИАС КНД, предлагается
осуществлять
с
использованием
сертифицированных
Оперативноаналитическим центром при Президенте Республики Беларусь продуктов
«Шлюз безопасности Bel VPN Gate 3.0» (BY.PTHK.00001-03) и «Клиент
безопасности Bel VPN Client 3.0» (BY.PTHK.00002-03).
Предлагаемые средства обеспечивают защиту информации на канальном
уровне по протоколу IPSec и позволяют обеспечить прозрачное
функционирование разнотипных сетевых сервисов, необходимых в ИАС КНД.
Программный комплекс «Шлюз безопасности Bel VPN Gate 3.0»
предназначен для организации защищенной связи между подсетями или
подсетью и удаленными хостами по протоколу IPSec и обеспечивает :
криптографическую защиту транзитного трафика и собственного трафика
по
стандартам
ГОСТ
28147,
СТБ
1176.1-99,
СТБ
1176.2-99,
СТБ П 34.101.31-2007, РД РБ 07040.1202-2003;
пакетную фильтрацию трафика.
Программный продукт «Клиент безопасности Bel VPN Client 3.0»
предназначен для организации защищенной связи между хостом и удаленной
подсетью и обеспечивает:
криптографическую защиту собственного трафика по стандартам
ГОСТ 28147, СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007,
РД РБ 07040.1202-2003;
пакетную фильтрацию трафика.
2.
Структура защищенной сети обмена информацией ИАС КНД
Архитектура ИАС КНД с централизованной базой данных и средствами
защищенного обмена информацией приведена в приложении 1 к письму.
На стороне центральных серверов ИАС КНД используется программный
комплекс «Шлюз безопасности Bel VPN Gate 3.0», располагающийся на
отдельной аппаратной платформе. Для повышения надежности системы и её
отказоустойчивости рекомендуется использование дублирующего «Шлюз
безопасности Bel VPN Gate 3.0» на отдельной аппаратной платформе, не
уступающей основной по характеристикам.
На стороне пользователей ИАС КНД могут быть использованы два
способа организации защиты каналов связи: как на основе программного
продукта «Клиент безопасности Bel VPN Client 3.0», так и на основе
программного комплекса «Шлюз безопасности Bel VPN Gate 3.0».
При организации защищенного взаимодействия с серверами ИАС КНД
отдельных пользователей или групп корпоративных пользователей в
количестве менее 20, территориально расположенных в пределах одной
корпоративной сети, целесообразно использовать продукт «Клиент
2
безопасности Bel VPN Client 3.0», устанавливаемый на каждую ПЭВМ
пользователей.
При организации защищенного взаимодействия с серверами ИАС КНД
групп корпоративных пользователей в количестве более 20, территориально
расположенных в пределах одной корпоративной сети, или серверов ИП КД
целесообразно использовать программный комплекс «Шлюз безопасности Bel
VPN Gate 3.0», устанавливаемый на отдельной аппаратной платформе. Данный
комплекс позволяет одновременно осуществлять защищенное соединение с
серверами ИАС КНД и открытое соединение с другими удаленными узлами,
выступая в роли обычного сетевого шлюза и не нарушая работу корпоративной
сети.
3.
Организация функционирования сети защищенного обмена
информацией
Для функционирования сети защищенного обмена информацией
необходимо обеспечить выполнение следующей последовательности действий:
заключить договора между каждым из участников ИАС КНД и
организацией-владельцем удостоверяющего центра (далее «УЦ») для
получения сертификатов открытого ключа (далее «сертификатов»).
сгенерировать открытый и секретный ключи пользователей (далее
«криптоконтейнер»), и отправить запрос на издание сертификатов в УЦ
Mailgov. Генерация криптоконтейнеров и запросов на издание сертификатов
пользователей выполняется средствами программного продукта «Клиент
безопасности Bel VPN Client 3.0» или программного комплекса «Шлюз
безопасности Bel VPN Gate 3.0» специальной утилитой, входящей в комплект
поставки.
провести конфигурирование средств защиты информации пользователей и
серверов ИАС КНД с использованием криптоконтейнеров и изданных УЦ
сертификатов. Конфигурирование средств защиты пользователей и серверов
выполняется администраторами безопасности средствами программного
продукта «Клиент безопасности Bel VPN Client 3.0» или программного
комплекса «Шлюз безопасности Bel VPN Gate 3.0» с помощью специальной
утилиты конфигурации, входящей в комплект поставки.
инсталлировать средства защиты информации пользователей и серверов
ИАС КНД на аппаратно-программную платформу.
Инсталляция «Клиент безопасности Bel VPN Client 3.0» на ПЭВМ
пользователя выполняется ответственными сотрудниками организации
пользователя согласно документации по эксплуатации средств защиты
информации, предоставляемой поставщиком средств защиты информации.
Инсталляция «Шлюз безопасности Bel VPN Gate 3.0» на аппаратную
платформу выполняется поставщиком средств защиты информации.
3
4. Спецификация затрат на приобретение средств защиты.
Цены на программное и аппаратное обеспечение, услуги УЦ, сервисное
обслуживание определяются договором с поставщиком.
Таблица 1 – Спецификация затрат на приобретение средств защиты для
центрального шлюза
Наименование
Программный
комплекс
«Шлюз
безопасности Bel VPN Gate 3.0»
(BY.PTHK.00001-03).
Лицензия
на
неограниченное
количество
туннелей
шифрования.
Услуги по установке «Шлюз безопасности
Bel VPN Gate 3.0», лицензия на
неограниченное
количество
туннелей
шифрования.
Годовая
подписка
на
техническое
сопровождение «Шлюз безопасности Bel
VPN
Gate
3.0»,
лицензия
на
неограниченное
количество
туннелей
шифрования.
Подключение к УЦ Mailgov
Ежемесячная абонентская плата УЦ
Mailgov
Аппаратная платформа HP ProLiant DL360
G6 2xQC Intel Xeon X5550 2.66GHz, 12GB
RAM, 2x redundant SAS HDD, 2x redundant
PSU, 4хLAN 1Gb, Rack mount 1U.
Примечание
Годовая подписка включает в себя
бесплатные
обновления
«Шлюз
безопасности Bel VPN Gate 3.0».
Предоставляется бесплатно в течение
первого года
Оплата за первый месяц пользования
вносится при подключении
Аппаратная платформа обеспечивает
пропускную способность не менее 1
Гб/с
Таблица 2 – Спецификация затрат на приобретение средств защиты для одного
отдельного пользователя
Наименование
Программный
продукт
«Клиент
безопасности Bel VPN Client 3.0»
(BY.PTHK.00002-03).
Годовая
подписка
на
техническое
сопровождение «Клиент безопасности Bel
VPN Client 3.0»
Подключение к УЦ Mailgov
Ежемесячная абонентская
Mailgov
плата
Примечание
ПЭВМ пользователя должна работать
под управлением ОС Windows XP
SP2/SP3, Windows Vista (32-bit)
Годовая подписка включает в себя
бесплатные
обновления
«Клиент
безопасности Bel VPN Client 3.0».
Предоставляется бесплатно в течение
первого года
УЦ Оплата за первый месяц пользования
вносится при подключении
4
Таблица 3 – Спецификация затрат на приобретение средств защиты для группы
корпоративных пользователей (до 1000 пользователей)
Наименование
Программный
комплекс
«Шлюз
безопасности Bel VPN Gate 3.0»
(BY.PTHK.00001-03). Лицензия на 1000
туннелей.
Аппаратная платформа Belsoft-01, Intel
Atom D510 1.66GHz, 1GB RAM, SATA
HDD, 2xLAN 10/100/1000, ОС Solaris
Услуги по установке «Шлюз безопасности
Bel VPN Gate 3.0». Лицензия на 1000
туннелей.
Годовая
подписка
на
техническое
сопровождение «Шлюз безопасности Bel
VPN Gate 3.0» . Лицензия на 1000
туннелей.
Подключение к УЦ Mailgov
Ежемесячная абонентская
Mailgov
плата
УЦ
Примечание
Аппаратная платформа обеспечивает
пропускную способность не менее 100
Мб/с
Годовая подписка включает в себя
бесплатные
обновления
«Шлюз
безопасности Bel VPN Gate 3.0».
Предоставляется бесплатно в течение
первого года
Скачать