Смекни!
smekni.com

Данное пособие предназначено для специалистов системы Росстата, занимающихся внедрением и эксплуатацией информационных технологий сбора, обработки, хранения и (стр. 35 из 37)

2. Установка (обновление) ПО ViPNet Client версий 3.x, ПО ViPNet Administrator версий 3.x на АРМ Администраторов безопасности в каждом ТОГС - всего восемьдесят два (82) комплекта ПО.

3. Настройка конфигурации восьмидесяти двух (82) ViPNet-сетей в ТОГС Росстата с учётом требований Заказчика.

4. Настройка межсетевого взаимодействия между региональными ViPNet-сетями ТОГС и ViPNet-сетью федерального уровня в соответствии с требованиями Заказчика, всего – 82 (восемьдесят два) межсетевого взаимодействия.

Установка ПО ViPNet Client версий 3.x пользователям защищенной сети регионального уровня производится специалистами ТОГС после прохождения соответствующего обучения.

В рамках развертывания новых логически изолированных ViPNet-сетей АСУКР и АСУФ, проводятся следующие работы:

1. Передача Росстату неисключительных прав пользования на один комплект программного обеспечения ViPNet Administrator 3.х.

2. Настройка программного обеспечения и параметров IP- адресации на восьмидесяти трёх (83) ПАК регионального уровня в ТОГС и ЦА Росстата для сети АСУКР.

3. Настройка программного обеспечения и параметров IP- адресации на восьмидесяти трёх (83) ПАК регионального уровня в ТОГС и ЦА Росстата для сети АСУФ.

4. Установка и подключение в качестве криптошлюзов двух (2) ПАК федерального уровня в ViPNet-сеть АСУКР и АСУФ в ЦА Росстата.

5. Установка и подключение в качестве криптошлюзов восьмидесяти трёх (83) ПАК регионального уровня в ViPNet-сеть АСУКР в ЛВС ТОГС и ЦА для защиты каналов связи, проходящих через КСПД ЗАО "Синтерра".

6. Установка и подключение в качестве криптошлюзов восьмидесяти трёх (83) ПАК регионального уровня в ViPNet-сеть АСУФ в ЛВС ТОГС и ЦА для защиты каналов связи, проходящих через КСПД ЗАО "Синтерра".

7. Установка и настройка ПО ViPNet Administrator версии 3.x в ЦА Росстата.

8. Настройка конфигурации ViPNet-сети АСУКР/АСУФ.

Критерием успешности выполняемых работ является организация работы всех 166 защищенных подключений с помощью ПО ViPNet Custom, ПАК федерального уровня и ПАК регионального уровня, а также организация отказоустойчивой схемы защищённых каналов связи между ТОГС, ГМЦ Росстата, ЦА Росстата.

4.2.2. Программно-аппаратный комплекс федерального уровня

Программно-аппаратный комплекс (далее ПАК) федерального уровня должен удовлетворять требованиям, указанным в таблице ниже:

Таблица 1 Требования к ПАК федерального уровня

Характеристика Требование
Программно-аппаратный комплекс Программно-аппаратный комплекс выполняющий функции криптошлюза и межсетевого экрана
Сертификация Межсетевые экраны должны быть сертифицированы по 4-ому (либо выше) классу защищенности в соответствии с требованиями руководящих документов ФСТЭК России. Поставляемые с программно-аппаратными комплексами СКЗИ должны быть сертифицированы ФСБ России по требованиям к СКЗИ класса не ниже КС3 для криптографической защиты (шифрование IP-трафика, вычисление имитовставки) информации, не содержащей сведений, составляющих государственную тайну.
Источник питания Не более 200W
Размеры 19” Rack 1U (для установки в стойку глубиной от 480 мм и не более 432х43х355 (ШхВхГ)
Число сетевых портов Не менее 3х Ethernet 100/1000 Mbit;
Совместимость с инфраструктурой Росстата C любыми VPN-продуктами из решения ViPNet CUSTOM 3.x (ViPNet Administrator, ViPNet Coordinator, ViPNet Coordinator Failover, ViPNet Client)
Протоколы туннелирования По технологии ViPNet (инкапсуляция любого IP-трафика приложений в IP#241 и UDP)
Шифрование/ Аутентификация Шифрование по ГОСТ 28147-89 (256 бит), Аутентификация для каждого зашифрованного IP-пакета на основе технологии симметричного распределения ключей ViPNet и уникального идентификатора
Производительность шифрования UDP-, TCP-трафик – до 250 Мбит/сек.
Число одновременно поддерживаемых защищенных соединений Без ограничений
Инфраструктура ключей Парные симметричные ключи шифрования, обеспечивающие гарантированно высокую стойкость шифрования. Симметричная ключевая структура не должна требовать дополнительных открытых процедур синхронизации для формирования ключей, что должно повышать помехозащищенность системы, исключать задержки в обработке любых сетевых протоколов, обеспечивать мгновенную (по первому поступившему IP-пакету) организацию любых сетевых подключений других участников VPN. Автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации.
Маршрутизация Статическая маршрутизация; Прозрачность для NAT -устройств (для защищенного трафика); Поддержка DHCP; Помимо основных функций по туннелированию трафика между локальными сетями и с удаленным сетевым оборудованием, должна быть возможность выполнять функции сервера доступа для удаленных VPN - клиентов с ПО ViPNet Client . Автоматическая регулировка параметров MSS в TCP-сессиях для исключения излишней фрагментации трафика, которая может возникать при передаче длинных пакетов; Возможность работы при изменении собственных IP-адресов, IP-адресов NAT - устройств, возможность работы за устройствами с динамическими правилами NAT; Технология назначения виртуальных IP -адресов для любых удаленных узлов; Функция динамического NAT для открытых пакетов (организация доступа рабочих станций или сетевого оборудования в открытую сеть/Интернет).
Фильтрация Пакетная фильтрация по IP -адресу (диапазон IP ) источника и назначения, номерам портов и типа протокола, типам и кодам сообщений ICMP , направлению пакетов, по типу TCP –соединения (клиент или сервер); Контроль фрагментированных пакетов, предотвращение DoS -атак; Поддержка режима открытых инициативных соединений (режим невидимости для внешних хостов); Поддержка раздельной фильтрации для открытого IP -трафика (функция межсетевого экрана) и шифруемого IP -трафика (функция криптошлюза); Антиспуфинг.
Настройка и управление Удаленная/локальная настройка через специализированную консоль ViPNet; Удаленная настройка базовых параметров через ViPNet Administrator; Поддержка SNMP trap для удаленного оповещения о событиях; Удаленный запрос журнала IP -пакетов (через Windows -продукты ViPNet Coordinator и Client ); Мониторинг текущего состояния; Ведение syslog на удаленном компьютере.
Поддержка QoS IP TOS-мапирование поверх зашифрованных IP-пакетов (IP#241 или UDP), при шифровании приоритезация трафика, выполненная какими-либо сетевыми устройствами, сохраняется.
Доступность и надежность Специальная архитектура файловой системы должна предотвращать возможность порчи образа операционной системы и ПО ViPNet при сбоях по питанию. Использование в качестве устройства хранения данных (ОС, ПО ViPNet и настроек) RAID-массива уровня 1. Возможность реализации на базе данного продукта отказоустойчивого решения (failover).
Обновление ПО модуля Централизованное удаленное обновление ПО ViPNet.

4.2.3.Программно-аппаратный комплекс регионального уровня

ПАК регионального уровня должен удовлетворять требованиям, указанным в таблице ниже:

Таблица 2 Требования к ПАК регионального уровня

Характеристика Требование
Программно-аппаратный комплекс Программно-аппаратный комплекс выполняющий функции криптошлюза и межсетевого экрана
Сертификация Межсетевые экраны должны быть сертифицированы по 4-ому (либо выше) классу защищенности в соответствии с требованиями руководящих документов ФСТЭК России. Поставляемые с программно-аппаратными комплексами СКЗИ должны быть сертифицированы ФСБ России по требованиям к СКЗИ класса не ниже КС3 для криптографической защиты (шифрование IP-трафика, вычисление имитовставки) информации, не содержащей сведений, составляющих государственную тайну.
Условия эксплуатации t - 0..+60 °С, влажность 0..90%
Размеры Не более 170х123х56 мм (ШхВхГ)
Операционная система Адаптированная ОС Linux
Число сетевых портов 2 x RJ 45 Ethernet 10/100
Совместимость с инфраструктурой Росстата C любыми VPN-продуктами из решения ViPNet (ViPNet Administrator, ViPNet Coordinator, ViPNet Coordinator Failover, ViPNet Client)
Протоколы туннелирования По технологии ViPNet (инкапсуляция любого IP -трафика приложений в IP #241 и UDP )
Шифрование/ Аутентификация Шифрование по ГОСТ 28147-89 (256 бит), Аутентификация для каждого зашифрованного IP-пакета на основе технологии симметричного распределения ключей ViPNet и уникального идентификатора
Производительность шифрования 20 Мбит/с (TCP)
Инфраструктура ключей Парные симметричные ключи шифрования, обеспечивающие гарантированно высокую стойкость шифрования. Симметричная ключевая структура не должна требовать дополнительных открытых процедур синхронизации для формирования ключей, что должно повышать помехозащищенность системы, исключать задержки в обработке любых сетевых протоколов, обеспечивать мгновенную (по первому поступившему IP-пакету) организацию любых сетевых подключений других участников VPN. Автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в Центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации.
Маршрутизация Статическая маршрутизация; Прозрачность для NAT -устройств (для защищенного трафика); Поддержка DHCP; Помимо основных функций по туннелированию трафика между локальными сетями и с удаленным сетевым оборудованием, должна быть возможность выполнять функции сервера доступа для удаленных VPN - клиентов с ПО ViPNet Client . Автоматическая регулировка параметров MSS в TCP-сессиях для исключения излишней фрагментации трафика, которая может возникать при передаче длинных пакетов; Возможность работы при изменении собственных IP-адресов, IP-адресов NAT - устройств, возможность работы за устройствами с динамическими правилами NAT; Технология назначения виртуальных IP -адресов для любых удаленных узлов; Функция динамического NAT для открытых пакетов (организация доступа рабочих станций или сетевого оборудования в открытую сеть/Интернет).
Фильтрация Пакетная фильтрация по IP -адресу (диапазон IP ) источника и назначения, номерам портов и типа протокола, типам и кодам сообщений ICMP, направлению пакетов, типу TCP -соединении (клиент или сервер)., Контроль фрагментированных пакетов, предотвращение DoS -атак; Поддержка режима открытых инициативных соединений (режим невидимости для внешних хостов); Поддержка раздельной фильтрации для открытого IP -трафика (функция межсетевого экрана) и шифруемого IP -трафика (функция криптошлюза); Антиспуфинг.
Настройка и управление Удаленная/локальная настройка через специализированную консоль ViPNet; Удаленная настройка базовых параметров через ViPNet Administrator; Поддержка SNMP trap для удаленного оповещения о событиях; Удаленный запрос журнала IP -пакетов (через Windows -продукты ViPNet Coordinator и Client ); Мониторинг текущего состояния; Ведение syslog на удаленном компьютере.
Поддержка QoS IP TOS -мапирование поверх зашифрованных IP -пакетов ( IP #241 или UDP ), то есть должна сохраняться классификации трафика для защищенных пакетов, приоритетная обработка трафика голоса и видео.
Доступность и надежность Специальная архитектура файловой системы должна предотвращать возможность порчи образа операционной системы и ПО ViPNet при сбоях по питанию. Использование в качестве устройства хранения данных (ОС, ПО ViPNet и настроек) flash -диска с расширенным температурным диапазоном. Безвентиляторное исполнение с использованием корпуса в качестве пассивного радиатора охлаждения.
Обновление ПО модуля Централизованное удаленное обновление ПО ViPNet.

4.2.3.Сертифицированный электронный ключ

Сертифицированный электронный ключ должен удовлетворять требованиям, указанным в таблице ниже: