ПРЕДЛОЖЕНИЯ по защите информации, передаваемой в ИАС КНД по каналам связи, в архитектуре с централизованной базой данных 1. Состав и назначение средств защиты информации Защиту информации, передаваемой в ИАС КНД, предлагается осуществлять с использованием сертифицированных Оперативноаналитическим центром при Президенте Республики Беларусь продуктов «Шлюз безопасности Bel VPN Gate 3.0» (BY.PTHK.00001-03) и «Клиент безопасности Bel VPN Client 3.0» (BY.PTHK.00002-03). Предлагаемые средства обеспечивают защиту информации на канальном уровне по протоколу IPSec и позволяют обеспечить прозрачное функционирование разнотипных сетевых сервисов, необходимых в ИАС КНД. Программный комплекс «Шлюз безопасности Bel VPN Gate 3.0» предназначен для организации защищенной связи между подсетями или подсетью и удаленными хостами по протоколу IPSec и обеспечивает : криптографическую защиту транзитного трафика и собственного трафика по стандартам ГОСТ 28147, СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007, РД РБ 07040.1202-2003; пакетную фильтрацию трафика. Программный продукт «Клиент безопасности Bel VPN Client 3.0» предназначен для организации защищенной связи между хостом и удаленной подсетью и обеспечивает: криптографическую защиту собственного трафика по стандартам ГОСТ 28147, СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007, РД РБ 07040.1202-2003; пакетную фильтрацию трафика. 2. Структура защищенной сети обмена информацией ИАС КНД Архитектура ИАС КНД с централизованной базой данных и средствами защищенного обмена информацией приведена в приложении 1 к письму. На стороне центральных серверов ИАС КНД используется программный комплекс «Шлюз безопасности Bel VPN Gate 3.0», располагающийся на отдельной аппаратной платформе. Для повышения надежности системы и её отказоустойчивости рекомендуется использование дублирующего «Шлюз безопасности Bel VPN Gate 3.0» на отдельной аппаратной платформе, не уступающей основной по характеристикам. На стороне пользователей ИАС КНД могут быть использованы два способа организации защиты каналов связи: как на основе программного продукта «Клиент безопасности Bel VPN Client 3.0», так и на основе программного комплекса «Шлюз безопасности Bel VPN Gate 3.0». При организации защищенного взаимодействия с серверами ИАС КНД отдельных пользователей или групп корпоративных пользователей в количестве менее 20, территориально расположенных в пределах одной корпоративной сети, целесообразно использовать продукт «Клиент 2 безопасности Bel VPN Client 3.0», устанавливаемый на каждую ПЭВМ пользователей. При организации защищенного взаимодействия с серверами ИАС КНД групп корпоративных пользователей в количестве более 20, территориально расположенных в пределах одной корпоративной сети, или серверов ИП КД целесообразно использовать программный комплекс «Шлюз безопасности Bel VPN Gate 3.0», устанавливаемый на отдельной аппаратной платформе. Данный комплекс позволяет одновременно осуществлять защищенное соединение с серверами ИАС КНД и открытое соединение с другими удаленными узлами, выступая в роли обычного сетевого шлюза и не нарушая работу корпоративной сети. 3. Организация функционирования сети защищенного обмена информацией Для функционирования сети защищенного обмена информацией необходимо обеспечить выполнение следующей последовательности действий: заключить договора между каждым из участников ИАС КНД и организацией-владельцем удостоверяющего центра (далее «УЦ») для получения сертификатов открытого ключа (далее «сертификатов»). сгенерировать открытый и секретный ключи пользователей (далее «криптоконтейнер»), и отправить запрос на издание сертификатов в УЦ Mailgov. Генерация криптоконтейнеров и запросов на издание сертификатов пользователей выполняется средствами программного продукта «Клиент безопасности Bel VPN Client 3.0» или программного комплекса «Шлюз безопасности Bel VPN Gate 3.0» специальной утилитой, входящей в комплект поставки. провести конфигурирование средств защиты информации пользователей и серверов ИАС КНД с использованием криптоконтейнеров и изданных УЦ сертификатов. Конфигурирование средств защиты пользователей и серверов выполняется администраторами безопасности средствами программного продукта «Клиент безопасности Bel VPN Client 3.0» или программного комплекса «Шлюз безопасности Bel VPN Gate 3.0» с помощью специальной утилиты конфигурации, входящей в комплект поставки. инсталлировать средства защиты информации пользователей и серверов ИАС КНД на аппаратно-программную платформу. Инсталляция «Клиент безопасности Bel VPN Client 3.0» на ПЭВМ пользователя выполняется ответственными сотрудниками организации пользователя согласно документации по эксплуатации средств защиты информации, предоставляемой поставщиком средств защиты информации. Инсталляция «Шлюз безопасности Bel VPN Gate 3.0» на аппаратную платформу выполняется поставщиком средств защиты информации. 3 4. Спецификация затрат на приобретение средств защиты. Цены на программное и аппаратное обеспечение, услуги УЦ, сервисное обслуживание определяются договором с поставщиком. Таблица 1 – Спецификация затрат на приобретение средств защиты для центрального шлюза Наименование Программный комплекс «Шлюз безопасности Bel VPN Gate 3.0» (BY.PTHK.00001-03). Лицензия на неограниченное количество туннелей шифрования. Услуги по установке «Шлюз безопасности Bel VPN Gate 3.0», лицензия на неограниченное количество туннелей шифрования. Годовая подписка на техническое сопровождение «Шлюз безопасности Bel VPN Gate 3.0», лицензия на неограниченное количество туннелей шифрования. Подключение к УЦ Mailgov Ежемесячная абонентская плата УЦ Mailgov Аппаратная платформа HP ProLiant DL360 G6 2xQC Intel Xeon X5550 2.66GHz, 12GB RAM, 2x redundant SAS HDD, 2x redundant PSU, 4хLAN 1Gb, Rack mount 1U. Примечание Годовая подписка включает в себя бесплатные обновления «Шлюз безопасности Bel VPN Gate 3.0». Предоставляется бесплатно в течение первого года Оплата за первый месяц пользования вносится при подключении Аппаратная платформа обеспечивает пропускную способность не менее 1 Гб/с Таблица 2 – Спецификация затрат на приобретение средств защиты для одного отдельного пользователя Наименование Программный продукт «Клиент безопасности Bel VPN Client 3.0» (BY.PTHK.00002-03). Годовая подписка на техническое сопровождение «Клиент безопасности Bel VPN Client 3.0» Подключение к УЦ Mailgov Ежемесячная абонентская Mailgov плата Примечание ПЭВМ пользователя должна работать под управлением ОС Windows XP SP2/SP3, Windows Vista (32-bit) Годовая подписка включает в себя бесплатные обновления «Клиент безопасности Bel VPN Client 3.0». Предоставляется бесплатно в течение первого года УЦ Оплата за первый месяц пользования вносится при подключении 4 Таблица 3 – Спецификация затрат на приобретение средств защиты для группы корпоративных пользователей (до 1000 пользователей) Наименование Программный комплекс «Шлюз безопасности Bel VPN Gate 3.0» (BY.PTHK.00001-03). Лицензия на 1000 туннелей. Аппаратная платформа Belsoft-01, Intel Atom D510 1.66GHz, 1GB RAM, SATA HDD, 2xLAN 10/100/1000, ОС Solaris Услуги по установке «Шлюз безопасности Bel VPN Gate 3.0». Лицензия на 1000 туннелей. Годовая подписка на техническое сопровождение «Шлюз безопасности Bel VPN Gate 3.0» . Лицензия на 1000 туннелей. Подключение к УЦ Mailgov Ежемесячная абонентская Mailgov плата УЦ Примечание Аппаратная платформа обеспечивает пропускную способность не менее 100 Мб/с Годовая подписка включает в себя бесплатные обновления «Шлюз безопасности Bel VPN Gate 3.0». Предоставляется бесплатно в течение первого года