2. Установка (обновление) ПО ViPNet Client версий 3.x, ПО ViPNet Administrator версий 3.x на АРМ Администраторов безопасности в каждом ТОГС - всего восемьдесят два (82) комплекта ПО.
3. Настройка конфигурации восьмидесяти двух (82) ViPNet-сетей в ТОГС Росстата с учётом требований Заказчика.
4. Настройка межсетевого взаимодействия между региональными ViPNet-сетями ТОГС и ViPNet-сетью федерального уровня в соответствии с требованиями Заказчика, всего – 82 (восемьдесят два) межсетевого взаимодействия.
Установка ПО ViPNet Client версий 3.x пользователям защищенной сети регионального уровня производится специалистами ТОГС после прохождения соответствующего обучения.
В рамках развертывания новых логически изолированных ViPNet-сетей АСУКР и АСУФ, проводятся следующие работы:
1. Передача Росстату неисключительных прав пользования на один комплект программного обеспечения ViPNet Administrator 3.х.
2. Настройка программного обеспечения и параметров IP- адресации на восьмидесяти трёх (83) ПАК регионального уровня в ТОГС и ЦА Росстата для сети АСУКР.
3. Настройка программного обеспечения и параметров IP- адресации на восьмидесяти трёх (83) ПАК регионального уровня в ТОГС и ЦА Росстата для сети АСУФ.
4. Установка и подключение в качестве криптошлюзов двух (2) ПАК федерального уровня в ViPNet-сеть АСУКР и АСУФ в ЦА Росстата.
5. Установка и подключение в качестве криптошлюзов восьмидесяти трёх (83) ПАК регионального уровня в ViPNet-сеть АСУКР в ЛВС ТОГС и ЦА для защиты каналов связи, проходящих через КСПД ЗАО "Синтерра".
6. Установка и подключение в качестве криптошлюзов восьмидесяти трёх (83) ПАК регионального уровня в ViPNet-сеть АСУФ в ЛВС ТОГС и ЦА для защиты каналов связи, проходящих через КСПД ЗАО "Синтерра".
7. Установка и настройка ПО ViPNet Administrator версии 3.x в ЦА Росстата.
8. Настройка конфигурации ViPNet-сети АСУКР/АСУФ.
Критерием успешности выполняемых работ является организация работы всех 166 защищенных подключений с помощью ПО ViPNet Custom, ПАК федерального уровня и ПАК регионального уровня, а также организация отказоустойчивой схемы защищённых каналов связи между ТОГС, ГМЦ Росстата, ЦА Росстата.
Программно-аппаратный комплекс (далее ПАК) федерального уровня должен удовлетворять требованиям, указанным в таблице ниже:
Таблица 1 Требования к ПАК федерального уровня
ПАК регионального уровня должен удовлетворять требованиям, указанным в таблице ниже:
Таблица 2 Требования к ПАК регионального уровня
Характеристика | Требование |
Программно-аппаратный комплекс | Программно-аппаратный комплекс выполняющий функции криптошлюза и межсетевого экрана |
Сертификация | Межсетевые экраны должны быть сертифицированы по 4-ому (либо выше) классу защищенности в соответствии с требованиями руководящих документов ФСТЭК России. Поставляемые с программно-аппаратными комплексами СКЗИ должны быть сертифицированы ФСБ России по требованиям к СКЗИ класса не ниже КС3 для криптографической защиты (шифрование IP-трафика, вычисление имитовставки) информации, не содержащей сведений, составляющих государственную тайну. |
Условия эксплуатации | t - 0..+60 °С, влажность 0..90% |
Размеры | Не более 170х123х56 мм (ШхВхГ) |
Операционная система | Адаптированная ОС Linux |
Число сетевых портов | 2 x RJ 45 Ethernet 10/100 |
Совместимость с инфраструктурой Росстата | C любыми VPN-продуктами из решения ViPNet (ViPNet Administrator, ViPNet Coordinator, ViPNet Coordinator Failover, ViPNet Client) |
Протоколы туннелирования | По технологии ViPNet (инкапсуляция любого IP -трафика приложений в IP #241 и UDP ) |
Шифрование/ Аутентификация | Шифрование по ГОСТ 28147-89 (256 бит), Аутентификация для каждого зашифрованного IP-пакета на основе технологии симметричного распределения ключей ViPNet и уникального идентификатора |
Производительность шифрования | 20 Мбит/с (TCP) |
Инфраструктура ключей | Парные симметричные ключи шифрования, обеспечивающие гарантированно высокую стойкость шифрования. Симметричная ключевая структура не должна требовать дополнительных открытых процедур синхронизации для формирования ключей, что должно повышать помехозащищенность системы, исключать задержки в обработке любых сетевых протоколов, обеспечивать мгновенную (по первому поступившему IP-пакету) организацию любых сетевых подключений других участников VPN. Автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в Центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации. |
Маршрутизация | Статическая маршрутизация; Прозрачность для NAT -устройств (для защищенного трафика); Поддержка DHCP; Помимо основных функций по туннелированию трафика между локальными сетями и с удаленным сетевым оборудованием, должна быть возможность выполнять функции сервера доступа для удаленных VPN - клиентов с ПО ViPNet Client . Автоматическая регулировка параметров MSS в TCP-сессиях для исключения излишней фрагментации трафика, которая может возникать при передаче длинных пакетов; Возможность работы при изменении собственных IP-адресов, IP-адресов NAT - устройств, возможность работы за устройствами с динамическими правилами NAT; Технология назначения виртуальных IP -адресов для любых удаленных узлов; Функция динамического NAT для открытых пакетов (организация доступа рабочих станций или сетевого оборудования в открытую сеть/Интернет). |
Фильтрация | Пакетная фильтрация по IP -адресу (диапазон IP ) источника и назначения, номерам портов и типа протокола, типам и кодам сообщений ICMP, направлению пакетов, типу TCP -соединении (клиент или сервер)., Контроль фрагментированных пакетов, предотвращение DoS -атак; Поддержка режима открытых инициативных соединений (режим невидимости для внешних хостов); Поддержка раздельной фильтрации для открытого IP -трафика (функция межсетевого экрана) и шифруемого IP -трафика (функция криптошлюза); Антиспуфинг. |
Настройка и управление | Удаленная/локальная настройка через специализированную консоль ViPNet; Удаленная настройка базовых параметров через ViPNet Administrator; Поддержка SNMP trap для удаленного оповещения о событиях; Удаленный запрос журнала IP -пакетов (через Windows -продукты ViPNet Coordinator и Client ); Мониторинг текущего состояния; Ведение syslog на удаленном компьютере. |
Поддержка QoS | IP TOS -мапирование поверх зашифрованных IP -пакетов ( IP #241 или UDP ), то есть должна сохраняться классификации трафика для защищенных пакетов, приоритетная обработка трафика голоса и видео. |
Доступность и надежность | Специальная архитектура файловой системы должна предотвращать возможность порчи образа операционной системы и ПО ViPNet при сбоях по питанию. Использование в качестве устройства хранения данных (ОС, ПО ViPNet и настроек) flash -диска с расширенным температурным диапазоном. Безвентиляторное исполнение с использованием корпуса в качестве пассивного радиатора охлаждения. |
Обновление ПО модуля | Централизованное удаленное обновление ПО ViPNet. |
Сертифицированный электронный ключ должен удовлетворять требованиям, указанным в таблице ниже: