Верхнее

ФПСУ-IP/Клиент

Сертификат ФСТЭК №1281 от 03.11.06 (до 03.11.15)

Персональный МЭ «ФПСУ-IP/Клиент» — по 5 классу защищенности для МЭ, 4 уровню контроля РД НДВ, и может использоваться при создании АС до класса защищенности 1Г включительно и для защиты информации в ИСПДн до 1 класса включительно (с ограничениями)

Схема сертификации: серия, испытательная лаборатория (орган по аттестации): ОАО БИТК, заявитель: ООО АМИКОН.

Артикул: ФПСУ-IP/Клиент Категория: Метки: , , , ,

Описание

Для обеспечения удаленного доступа от абонентского пункта (отдельной ПЭВМ) к ресурсам информационной системы (ИС) по открытым каналам связи, ООО «АМИКОН» предлагает использовать высокоэкономичную технологию VPN, реализуемую при взаимодействии комплексов ФПСУ-IP и ФПСУ-IP/Клиент.Персональный межсетевой экран «ФПСУ-IP/Клиент» имеет сертификат ФСТЭК № 1281 по 5 классу защищенности в соответствии с РД на межсетевые экраны, а при осуществлении сеанса связи с базовым межсетевым экраном «ФПСУ-IP» (сертификат ФСТЭК № 1091 от 31.10.2011г.) — по 3 классу защищенности. В качестве криптоядра используется сертифицированное ФСБ (сертификат № СФ/124-1906 от «13» августа 2012г., по уровню КС1) средство криптографической защиты информации «Туннель 2.0».

Данная программно-аппаратная система обеспечивает безопасный информационный обмен между удаленным абонентским пунктом (рабочей станцией) и защищенной комплексом «ФПСУ-IP» сетью через открытые сети передачи данных. Комплекс ФПСУ-IP/Клиент устанавливается на рабочей станции удаленного пользователя и выполняет функции межсетевого экрана и VPN построителя для информационных взаимодействий «рабочие станции – защищенные сервера». Тем самым обеспечивается аутентифицированный и безопасный доступ к серверам, защищаемым комплексом «ФПСУ-IP», за счет создания VPN-соединения между рабочей станцией и центральным комплексом «ФПСУ-IP». Административное управление, контроль и аудит всех VPN-соединений осуществляется централизовано с использованием АРМ «Удаленного управления», при этом может одновременно использоваться до 4-х АРМ, наделенных соответствующими полномочиями, что предопределяет высокую устойчивость и надежность управления с возможностью осуществления перекрестного аудита управления.
МЭ «ФПСУ-IP/Клиент» состоит из программного обеспечения пользователя,а также из активного USB-устройства «VPN-key», хранящего уникальный идентификатор клиента, ключевую и служебную информацию и являющегося, по существу, виртуальной микро-ЭВМ с соответствующей архитектурой.

Принцип работы «ФПСУ-IP/Клиент»

«ФПСУ-IP/Клиент» функционирует под управлением операционных систем семейства Windows XP/Vista/7/Server 2003/Server 2008, Linux, MacOS. Для осуществления защищенного взаимодействия на рабочей станции (РС) необходимо предварительно инсталлировать ПО пользователя «ФПСУ-IP/Клиент», вставить «VPN-key» в USB-порт РС и по «всплывающему» приглашению (после подключения «VPN-key») осуществить ввод соответствующего PIN-кода.

После этого комплексы «ФПСУ-IP/Клиент» и «ФПСУ-IP» (содержащий соответствующую подсистему обслуживания комплексов ФПСУ-IP/Клиент) устанавливают защищенное соединение и выполняют аутентификацию и авторизацию пользователя. Аутентификация происходит при создании VPN-туннеля между «ФПСУ-IP/Клиент» и комплексом «ФПСУ-IP». После аутентификации комплексом «ФПСУ-IP» выполняется авторизация клиента. Кроме того, обеспечивается трансляция реального IP-адреса клиента в IP-адрес защищаемой сети.

На втором этапе комплексами «ФПСУ-IP/Клиент» и «ФПСУ-IP» выполняется фильтрация и передача данных в зашифрованном виде по VPN-каналу от клиента до комплекса ФПСУ-IP. Дополнительно можно осуществлять проходное сжатие передаваемых данных, что существенно уменьшает объем передаваемой информации и повышает скорость взаимодействия.

Разрыв соединения происходит либо по запросу пользователя, либо при удалении «VPN–key» из USB-порта.

Особенностью технологии ФПСУ-IP/Клиент является возможность работы пользователя из произвольного места размещения РС в сети, т.е. не требуется привязка к определенному IP адресу и при этом обеспечивается строгая двухсторонняя аутентификация всех взаимодействий РС и ФПСУ-IP. Идентификация пользователя осуществляется по четырехзначному цифровому PIN-коду пользователя, количество попыток ввода которого ограничено (с дальнейшим переходом на необходимость использования 10-ти значного PUK-кода). Авторизация и аутентификация пользователей обеспечивается средствами комплекса ФПСУ-IP.

Система удаленного администрирования и мониторинга комплексов ФПСУ-IP и ФПСУ-IP/Клиент обеспечивает полное управление и наблюдение за защищаемой сетью. Возможности системы аудита позволяют выполнять раздельный подсчет объемов передаваемых данных между конкретными РС и комплексами ФПСУ-IP, что позволяет организовать четкий контроль за работой абонентов.

Комплекс ФПСУ-IP/Клиент абсолютно прозрачен для всех стандартных Интернет протоколов и может использоваться совместно с любым программным обеспечением, обеспечивающим доступ к ресурсам ИС.

Для обеспечения большей защищенности имеется возможность административно (удаленно или локально) ограничивать доступ пользователям ФПСУ-IP/Клиент к открытым сегментам сети при работе с защищаемыми ресурсами, вплоть до полного запрета.

За счет аппаратной реализации комплекса и интуитивно понятного интерфейса его управления использование системы ФПСУ-IP/Клиент весьма удобно для пользователя и не требует значительных дополнительных накладных расходов на обучение.

Возможности системы «ФПСУ-IP»-«ФПСУ-IP/Клиент»

«ФПСУ-IP/Клиент» совместно с «ФПСУ-IP» обеспечивает:

  • безопасный доступ по открытым сетям удаленных клиентов к серверам расположенным в защищенной сети;
  • двухстороннюю аутентификацию клиентов и серверов;
  • авторизацию клиентов;
  • назначения прав доступа клиентов к защищаемой сети по совокупности критериев (по имени пользователя, по IP адресу, по разрешенным протоколам, по времени работы и т.д.);
  • сокрытие реальных адресов, сервисов и протоколов при доступе к защищаемым серверам;
  • сжатие трафика;
  • защиту от подмены, просмотра и навязывания ложной информации;
  • фильтрацию трафика;
  • мониторинг и аудит.
  • централизованное управление политикой безопасности.
  • централизованная поддержка модернизации ПО комплексов (режим дистанционного update ПО).МЭ ФПСУ-IP/Клиент совместно с комплексами ФПСУ-IP обеспечивают надежную и устойчивую защиту информационных ресурсов системы, выполняя функции межсетевого экрана и VPN построителя. Надежность и бесперебойность функционирования комплексов ФПСУ-IP обеспечивается за счет горячего резервирования. Доступность и непрерывность функционирования обеспечивает за счет возможности кластеризации комплексов и работы ФПСУ-IP/Клиента с основным или резервным ФПСУ-IP. Количество клиентов, обслуживаемых одним комплексом ФПСУ-IP – до 128000. Максимальная пропускная способность комплексов ФПСУ-IP/Клиента на современной аппаратной платформе (Intel Core i7) – не менее 200 Мбит/с.

    При работе с клиентской стороны допускаются следующие типы сетевых подключений: LAN, DialUP, прямое подключение/выделенная линия, IR-порт и др. Взаимодействие с внешней сетью может осуществляться как непосредственно (маршрутизатор, модем и др.), так и через прокси-сервер или межсетевой экран.

    На настоящий момент комплексы эксплуатируются в крупных защищенных ИС Банка России, ОАО «Сбербанк России», ОАО «ЛУКОЙЛ», ОАО «Альфа-Банк» и в ряде других организаций, общее количество внедрений – более 400 000 комплексов ФПСУ-IP/Клиент.

Краткая спецификация ПАК «ФПСУ-IP/Клиент»
ПроизводительООО «АМИКОН»
Тип комплексаПрограммно-аппаратный
Состав комплексаАппаратное устройство хранения и выработки ключей шифрования «VPN-key». Программное обеспечение с интерфейсным модулем и системными драйверами.
СертификатыСертификаты ФСТЭК, Сертификаты ФСБ России на применяемое СКЗИ «Туннель 2.0″/СКЗИ «Туннель-Клиент»
Соответствие требованиям федерального закона №152-ФЗ «О персональных данных»Может применяться в ИСПДн класса К1
Поддерживаемые ОС:
WindowsДля устройств VPN-key с программным интерфейсом USB CCID: Windows XP(32 бита), Windows Vista(32/64 бита), Windows 7(32/64 бита), Windows 8(32/64 бита). Для устройств VPN-key с собственным программным интерфейсом «VPN-key»: Windows XP(32 бита), Windows Vista(32 бита), Windows 7(32 бита), Windows 8(32 бита).
LinuxПоддерживаются только устройства VPN-key с программным интерфейсом USB CCID.
MacOSПоддерживаются только устройства VPN-key с программным интерфейсом USB CCID.
Поддерживаемые сетевые интерфейсы и протоколыEthernet-адаптеры, WAN-адаптеры (в том числе 2G/3G/4G-модемы). Протоколы: Ethernet, PPP, PPPoE, L2TP, PPtP, TCP/IP.
Алгоритм шифрованияГОСТ 28147-89
VPN-протокол / избыточностьСобственный (на базе UDP-протокола) / не более 30 байт на пакет
Ключевая система / распределение ключейСимметричная / централизованное
Обрабатываемые уровни ЭМВОССетевой, транспортный. Выборочно – сеансовый и прикладной
Персональный межсетевой экранДа, по 5-му классу МЭ.
Управление и мониторингЦентрализованное получение локальной политике безопасности с ПАК «ФПСУ-IP»
Дополнительные сетевые функцииСжатие данных. Работа через socks-proxy (v.5).
Производительность ПАК «ФПСУ-IP/Клиент»До 250 Мбит/сек
Число поддерживаемых в одной криптосети ПАК «ФПСУ-IP/Клиент»65534

Источник: http://www.amicon.ru/page.php?link=ip-client