Информационная безопасность банков
+7 (495) 545 54 08
_

Невероятные возможности защиты данных в компактном корпусе

SafeNet HSM_

Hardware Security Module

Thales HSM_

Hardware Security Module

SafeNet ProtectV_

Защита виртуализации

Управление уязвимостями_

— это просто!

SafeNet StorageSecure_

Шифрование данных в хранилище

Континент_

Аппаратно-программный комплекс шифрования «Континент»

StoneGate IPS_

Система обнаружения и предотвращения вторжений StoneGate IPS

Управление уязвимостями_

это просто!

  • 52-ФЗ О персональных данных
  • СТО БР ИББС-1.0
  • 161-ФЗ О национальной платежной системе
  • Аудит информационной безопасности

S-terra

«С-Терра СиЭсПи» – российский разработчик и производитель средств сетевой информационной безопасности. Решения компании для построения виртуальных частных сетей (VPN) обеспечивают защиту межсетевых взаимодействий, беспроводных и мультисервисных сетей, безопасность работы удаленных и мобильных пользователей.

Цель компании – обеспечить российский рынок современными решениями для построения VPN. При создании продуктов компания опирается на следующие принципы:

  • использовать международные технические стандарты (в частности, IP Security Architecture);
  • приблизить решения по идеологии к индустриальным стандартам де-факто;
  • обеспечить возможность работы на российских криптографических алгоритмах и сертификацию в российских органах технического регулирования (ФСБ России; ФСТЭК России).

Основанная в 2003 г. компания за короткий срок заняла прочные позиции на российском рынке информационной безопасности. Команда «С-Терра СиЭсПи» обладает уникальным многолетним опытом разработки VPN-технологий: сотрудники компании были в числе создателей первых продуктов в архитектуре IPSec.

Мы предлагаем российским заказчикам технически совершенные, органически входящие в сетевую инфраструктуру решения, базирующиеся на трех китах: функциональность, производительность, масштабируемость.

Семейство продуктов сетевой защиты CSP VPN реализует любые сценарии построения виртуальных частных сетей (site-to-site, client-to-site). Гибкость обеспечивается применением множества сценариев защиты информации (от периметрических сценариев до защиты трафика отдельных приложений из конца в конец), подбором индивидуальной политики защиты (при необходимости это возможно для каждого отдельно взятого сетевого соединения.) Решения компании характеризуются высокой масштабируемостью, что, наряду с корректным техническим балансом надежности и производительности, обеспечивает высокую экономическую эффективность для конечного заказчика.

Продукты семейства CSP VPN сертифицированы в соответствии с требованиями национального технического регулирования, в том числе как средства защиты криптографической информации (СКЗИ) по классу защиты КС1, КС2, КС3 что подтверждено сертификатами ФСБ и ФСТЭК России.

Продукты компании с легкостью могут интегрироваться в архитектурные решения мирового лидера сетевой индустрии – Cisco Systems. «С-Терра СиЭсПи» первой в России получила статус технологического партнера Cisco (Cisco Solution Technology Integrator).В результате сотрудничества был разработан ряд продуктов, интегрирующихся в сетевую инфраструктуру Cisco, в частности, сетевой модуль NME-RVPN (МСМ), использующий в качестве платформы маршрутизаторы Cisco ISR серий 2800/3800 или 2900/3900. Модуль может использоваться как средство криптографической информации по классу защиты КС1, КС2, КС3.

Продуктная линия:

Полный комплект средств сетевой защиты CSP VPN обеспечивает:

  • защиту индивидуальных пользователей;
  • защиту серверов;
  • защиту отдельных сетей;
  • защиту специализированных устройств.

 

Продуктная линия CSP VPN включает программные средства:

  • CSP VPN Client. Программный комплекс для защиты индивидуальных пользователей.

Подробнее о CSP VPN Client:

Программный комплекс «Клиент безопасности CSP VPN Client» обеспечивает защиту и пакетную фильтрацию трафика сетевых узлов, на которые он установлен.

CSP VPN Client предварительно настраивается для массового развертывания с помощью технологии установки одним нажатием кнопки (One-Click-Installation). Создание политики клиента может быть осуществлено с помощью графического интерфейса административного пакета или с помощью системы управления «С-Терра КП». При необходимости более тонкой настройки предоставляется возможность создания политики клиента в терминах локальной политики безопасности (LSP), являющейся внутренним представлением конфигурации CSP VPN агентов.

Программный комплекс CSP VPN Client представляет собой Агента Безопасности под управлением операционных систем :

  • MS Windows XP Professional (SP3)
  • MS Windows Vista (SP2)
  • MS Windows 7
  • Microsoft Windows Server 2003/2008 (поддерживается в версии 3.11)

Управление клиентом безопасности CSP VPN Client  осуществляется централизованно удаленно с использованием системы управления «С-Терра КП».

CSP VPN Client совместим со следующими продуктами компаний Cisco и S-Terra CSP:

  • Cisco Routers. IOS version 12.4 и выше
  • Cisco PIX Security Appliance. Software version 6.3 и выше
  • CSP VPN Server
  • CSP VPN Gate – 100B/100/1000/3000/7000
  • NME-RVPN (МСМ)
  • Система управления «С-Терра КП»

 

Сертификаты

 

Версия 3.1 Версия 3.11
Сертификат ФСБ России (КС1)
Сертификат ФСТЭК (ОУД 3+, НДВ-3, ИСПДн 1 класс, класс 1Г  )
Сертификат ФСТЭК (МЭ-3, ИСПДн 1 класс )
Завершается сертификация:

Сертификат ФСБ России (КС1)
Сертификат ФСБ России (КС2)
Сертификат ФСТЭК (НДВ-3, МЭ-3, ИСПДн 1 класс, ОУД 4+, класс 1В)

Характеристики:

 

  • Обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP. В версии 3.11 для защиты трафика может применяться комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом “Методические рекомендации по использованию комбинированного алгоритма шифрования вложений IPsec на основе ГОСТ 28147-89”
  • Совместимость с токенами MS_KEY K производства компании MultiSoft, eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken NG-OTP, eToken PRO (Java) производства компании Aladdin (в версии 3.11)
  • Поддержка One-Click-Installation (OCI) пакета с использованием Windows Installer (MSI)
  • Подготовка OCI пакета с помощью графического пакета администратора
  • Интеллектуальное отслеживание доступности партнёров обмена (DPD)
  • Аутентификация пользователя и загрузка политики безопасности CSP VPN Client при старте операционной системы
  • Интегрированный сетевой экран
  • Возможность работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG клиент)
  • Поддержка транспортного и туннельного режимов работы в рамках протоколов IPsec
  • Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней
  • Возможность получения сертификатов открытых ключей по протоколу LDAP
  • Управляемое событийное протоколирование (syslog)
  • Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks. Monitoring Center for Performance 2.0.2, входящего в состав CiscoWorks VMS 2.3
  • Прозрачность для работы сервиса QoS
  • Поддержка инкапсуляции пакета ESP в UDP (NAT traversal)
  • Совместимость с PKI и LDAP службами зарубежных и российских производителей

 

Спецификация продукта:

 

Описание Спецификация
Операционные системы MS Windows XP Professional (SP3), MS Windows Vista Business (SP2), MS Windows 7, Microsoft Windows Server 2003/2008 (поддерживается в версии 3.11)
Протоколы IKE/IPsec Стандарты RFC 2401 — 2412
Алгоритмы шифрования NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89
Алгоритмы электронно-цифровой подписи DSA, RSA, ГОСТ Р 34.10-2001
Алгоритмы вычисления хэш сумм MD5, SHA1, ГОСТ Р 34.11-94
Подключение внешних криптографических модулей Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:

  • тестовый модуль для подключения западных криптоалгоритмов;
  • модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP 3.6 (версия 3.1/3.11), 3.6R2 (3.1/3.11), 3.6R3 (3.11)» (производитель – компания «Крипто-Про»), реализующей российские криптографические алгоритмы и функции
  • модуль для подключения криптобиблиотеки СКЗИ Крипто-Ком 3.2» (производитель – компания «Сигнал-КОМ»), реализующей российские криптографические алгоритмы и функции. Данное СКЗИ используется в версии 3.1
Информационные обмены протокола IKE Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001
Режимы аутентификации в протоколе IKE Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34. 10-2001
Обеспечение надежности (пересинхронизации) защищенных соединений Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ). В версии 3.11 учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация внешним PKI сервисом с доставкой через PKSC#12
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способ получения CRL – протокол LDAP v.3
Работа через NAT Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

 

  • CSP VPN Server. Программный комплекс для сетевой защиты серверов.

Подробнее о CSP VPN Server:

Программный комплекс CSP VPN Server обеспечивает защиту и пакетную фильтрацию трафика сетевых узлов, на которых он установлен. CSP VPN Server предварительно настраивается для массового развертывания с помощью технологии установки одним нажатием кнопки (One-Click-Installation).

Создание политики сервера может быть осуществлено с помощью графического интерфейса административного пакета или или с помощью системы управления «С-Терра КП». При необходимости более тонкой настройки предоставляется возможность управления политикой сетевой безопасности в терминах локальной политики безопасности (LSP), являющейся внутренним представлением конфигурации CSP VPN агентов.

Программный комплекс CSP VPN Server представляет собой Агента Безопасности используемого в качестве Агента Безопасности автономного сервера под управлением операционных систем:

  • MS Windows XP Professional (SP3)
  • MS Windows Vista (SP2)
  • Microsoft Windows Server 2003/2008 (поддерживается в версии 3.11)

Управление сервером безопасности CSP VPN Server осуществляется централизованно удаленно с использованием системы управления «С-Терра КП».

Программный комплекс CSP VPN Server B используется в качестве Агента Безопасности специализированных устройств в составе платежных систем: банкоматов, расчетных терминалов, кассовых аппаратов (POS-терминалов) и датчиков автоматизированных систем управления технологическими процессами.

CSP VPN Server совместим со следующими продуктами компаний Cisco и S-Terra CSP:

  • Cisco Routers. IOS version 12.4 и выше
  • Cisco PIX Security Appliance. Software version 6.3 и выше
  • CSP VPN Client
  • CSP VPN Gate — 100B/100/1000/3000/7000
  • NME-RVPN (МСМ)
  • Система управления «С-Терра КП»

 

Сертификаты

 

Версия 3.1 Версия 3.11
Сертификат ФСТЭК (МЭ-3, НДВ-3, ИСПДн 1 класс )
Сертификат ФСТЭК (ОУД 3+, ИСПДн 1 класс, класс 1Г )
Завершается сертификация:

Сертификат ФСБ России (КС1)
Сертификат ФСБ России (КС2)
Сертификат ФСТЭК (НДВ-3, МЭ-3, ИСПДн 1 класс, ОУД 4+, класс 1В)

Характеристики:

 

  • Обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP. В версии 3.11 для защиты трафика может применяться комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом “Методические рекомендации по использованию комбинированного алгоритма шифрования вложений IPsec на основе ГОСТ 28147-89”
  • Совместимость с токенами MS_KEY K производства компании MultiSoft, eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken NG-OTP, eToken PRO (Java) производства компании Aladdin (в версии 3.11)
  • Интеллектуальное отслеживание доступности партнёров обмена (DPD)
  • Интегрированный сетевой экран
  • Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней
  • Возможность получения сертификатов открытых ключей по протоколу LDAP
  • Поддержка маскировки реального IP адреса (туннелирование трафика)
  • Управляемое событийное протоколирование (syslog)
  • Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks Monitoring Center for Performance 2.0.2, входящий в состав CiscoWorks VMS 2.3
  • Прозрачность для работы сервиса QoS
  • Поддержка инкапсуляции пакета ESP в UDP (NAT traversal)
  • Совместимость с PKI и LDAP службами зарубежных и российских производителей

Спецификация

 

Описание Спецификация
Операционные системы MS Windows XP Professional SP3 Russian Edition, MS Windows Vista (32-bit) Business SP2 Russian Edition, Microsoft Windows Server 2003/2008 (поддерживается в версии 3.11)
Протоколы IKE/IPsec Стандарты RFC 2401 – 2412
Алгоритмы шифрования NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89
Алгоритмы электронно-цифровой подписи DSA, RSA, ГОСТ Р 34.10-2001
Алгоритмы вычисления хэш сумм MD5, SHA1, ГОСТ Р 34.11-94
Подключение внешних криптографических модулей Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:

  • тестовый модуль для подключения западных криптоалгоритмов;
  • модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP 3.6 (версия 3.1/3.11), 3.6R2 (3.1/3.11), 3.6R3 (3.11)» (производитель – компания «Крипто-Про»), реализующей российские криптографические алгоритмы и функции
  • модуль для подключения криптобиблиотеки СКЗИ «Крипто-Ком 3.2» (производитель – компания «Сигнал КОМ»), реализующей российские криптографические алгоритмы и функции. Данное СКЗИ используется в версии 3.1
Информационные обмены протокола IKE Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001
Режимы аутентификации в протоколе IKE Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34. 10-2001
Обеспечение надежности (пересинхронизации) защищенных соединений Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ). В версии 3.11 учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация внешним PKI сервисом с доставкой через PKSC#12
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3;
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64).
Работа через NAT Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

 

Линия шлюзов безопасности CSP VPN сетевого уровня масштабирована по шкале скоростей каналов передачи информации:

  • CSP VPN Gate 100B. Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту специализированных устройств (банкоматов и/или платежных терминалов).
  • CSP VPN Gate 100 (100V). Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту малых офисов до 10 компьютеров (до 200 компьютеров) и для каналов с пропускной способностью до 2 Мбит/c.
  • CSP VPN Gate 1000 (1000V). Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту малых офисов до 50 компьютеров (до 500 компьютеров) и для каналов с пропускной способностью до 10 Мбит/c.
  • CSP VPN Gate 3000. Программно-аппаратный комплекс – шлюз безопасности,ориентированный на защиту средних офисов (до 250 компьютеров) и для каналов с пропускной способностью не менее 200 Мбит/c, 300 Мбит/c, 400 Мбит/c.
  • CSP VPN Gate 7000. Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту крупных офисов (свыше 250 компьютеров) и для каналов с пропускной способностью не менее 500 Мбит/c,1 Гбит/c.

Общее описание линейки CSP VPN Gate:

Продукты CSP VPN Gate представляют собой программный комплекс – шлюз безопасности, функционирующий на аппаратной платформе под управлением ОС Red Hat Enterprise Linux 5, ОС CentOS 5,

Предназначается для обеспечения информационной безопасности одного или нескольких автономных терминальных устройств (банкоматов и/или платежных терминалов) в системах автоматизированных платежей, в которых предъявляются повышенные требования к габаритным размерам. Одновременно может устанавливаться до 5 туннелей.

Аппаратно — программный комплекс CSP VPN Gate обеспечивает защиту и пакетную фильтрацию как трафика банкоматов, проходящего через него, так и защиту трафика самого шлюза безопасности.

Управление шлюзом безопасности CSP VPN Gate осуществляется:

  • централизованно удаленно посредством графического интерфейса Cisco Security Manager 3.2 (CSM) и Cisco Security Manager 4.3 (совместимо с версией 3.11) , который входит в состав Cisco Security Management Suite
  • централизованно удаленно с использованием системы управления «С-Терра КП»
  • локально или удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки используется подмножество команд Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems
  • удаленно с использованием Web-based интерфейса управления

CSP VPN Gate совместим со следующими продуктами компаний Cisco и «С-Терра СиЭсПи»:

  • Cisco Routers. IOS version 12.4 (13a) и выше
  • Cisco PIX Security Appliance. Software version 6.3 и выше
  • CSP VPN Client
  • CSP VPN Server
  • CSP VPN Gate 100B/100/1000/3000/7000
  • NME-RVPN (МСМ)
  • Система управления «С-Терра КП»

Решения CSP VPN обеспечивают построение виртуальных защищенных сетей (VPN) предприятия:

  • Шифрование (конфиденциальность), электронно-цифровая подпись (целостность, аутентификация) IP пакетов:
    • гибкость в реализации политики сетевой защиты (множественность алгоритмов шифрования, включая ГОСТ; сложные конфигурации туннелей)
    • высокая стойкость защиты информации
  • Аутентификация узлов сети
  • Аутентификация пользователей
  • Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений
  • Формирование защищенных соединений между
    • подсетями
    • компьютерами (клиент-сервер, одноранговые клиенты)
  • Защита для сложных сетевых инфраструктур

 

Сертификаты

 

Версия 3.1 Версия 3.11
Сертификат ФСБ России (КС1)
Сертификат ФСТЭК (МЭ-3, ИСПДн 1 класс )
Сертификат ФСТЭК (ОУД 3+, НДВ-3, ИСПДн 1 класс, класс 1Г )
Завершается сертификация:

Сертификат ФСБ России (КС1)
Сертификат ФСТЭК (НДВ-3, МЭ-3, ИСПДн 1 класс, ОУД 4+, класс 1В)

Характеристики:

 

  • Обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP. В версии 3.11 для защиты трафика может применяться комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом“Методические рекомендации по использованию комбинированного алгоритма шифрования вложений IPsec на основе ГОСТ 28147-89”
  • Возможность работы шлюза безопасности CSP VPN Gate версии 3.11 в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG клиент)
  • Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней
  • Различные наборы правил обработки трафика на различных интерфейсах
  • Интеллектуальное отслеживание доступности партнёров обмена (DPD)
  • Интегрированный межсетевой экран
  • Поддержка работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG сервер)
  • Возможность получения сертификатов открытых ключей по протоколу LDAP
  • Поддержка маскировки реального IP-адреса (туннелирование трафика)
  • Управляемое событийное протоколирование (syslog)
  • Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks VPN Monitor.
  • Прозрачность для работы сервиса QoS
  • Поддержка инкапсуляции пакета ESP в UDP (NAT traversal)
  • Совместимость с PKI и LDAP службами зарубежных и российских производителей

 

Спецификация платформы

 

CSP VPN Gate выпускается на базе аппаратных платформ: Kraftway,HP Proliant,Cisco UCS

Описание Спецификация
Количество одновременно поддерживаемых VPN туннелей от 5 до Не ограничено
Количество сетевых интерфейсов от 3 (10/100 Mbps) до 4 (10/100/1000 Mbps)
Объем оперативной памяти от 512MB до 4GB
Количество и тип процессоров от 1 x VIA EDEN 500 MHz до 2 x Intel Xeon
Количество, объем и тип интерфейса жестких дисков 1 x IDE DoM 1GB / 1 SAS для модификации Standard /2 SAS (RAID) для модификации High Performance
Габариты, мм 235х180х48 / 1U/ 2U в зависимости от платформы
Операционная система Red Hat Enterprise Linux 5, CentOS 5, Sun Solaris 10 x86
Протоколы IKE/IPsec Стандарты RFC 2401 – 2412
Алгоритмы шифрования NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89
Алгоритмы электронно-цифровой подписи DSA, RSA, ГОСТ Р 34.10-2001
Алгоритмы вычисления хэш сумм MD5, SHA1, ГОСТ Р 34.11-94
Подключение внешних криптографических модулей Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:

  • тестовый модуль для подключения западных криптоалгоритмов;
  • модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP 3.6 (версия 3.1/3.11), 3.6R2 (3.1/3.11), 3.6R3 (3.11)» (производитель – компания «Крипто-Про»), реализующей российские криптографические алгоритмы и функции
  • модуль для подключения криптобиблиотеки СКЗИ Крипто-Ком 3.2» (производитель – компания «Сигнал-КОМ»), реализующей российские криптографические алгоритмы и функции. Данное СКЗИ используется в версии 3.1
Информационные обмены протокола IKE Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001
Режимы аутентификации в протоколе IKE Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-2001
Дополнительные возможности IKE Режим IKECFG для объединения различных сетевых объектов в виртуальную локальную сеть
Обеспечение надежности (пересинхронизации) защищенных соединений Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ). В версии 3.11 учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов Протоколы IKE, LDAP v.3.
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER.
Генерация внешним PKI сервисом с доставкой через PKSC#12.
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2. Способы получения CRL:

  • протокол LDAP v.3
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Работа через NAT Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

 

  • Модуль NME-RVPN (МСМ). Программно-аппаратный комплекс – шлюз безопасности, предназначенный для использования в составе маршрутизаторов серии Cisco® 2800/3800 и 2900/3900 Integrated Services Routers.

Подробнее о NME-RVPN:

Модуль NME-RVPN (МСМ) в составе маршрутизаторов серии Cisco® 2800/3800 и 2900/3900 Integrated Services Routers предлагает российским потребителям уникальное устройство, позволяющее обеспечить как эффективную маршрутизацию, так и защиту трафика данных, голоса, видео. При этом устройство управляется как единое целое, используя интерфейс Cisco для формирования правил маршрутизации и защиты сетевых взаимодействий. Подобная глубокая интеграция позволяет существенно уменьшить сложность сети, не предъявлять дополнительных требований к квалификации персонала и, как результат, снизить затраты на развертывание и поддержку, а также сроки развертывания подсистемы информационной безопасности.

Централизованное удаленное управление продуктами:

  • С-Терра КП. Программный продукт для централизованного управления продуктами линейки CSP VPN Client/ CSP VPN Server/ CSP VPN Gate/NME-RVPN (МСМ)/СПДС «ПОСТ» версий 3.1, 3.11.

Среда построения доверенного сеанса (СПДС):

    • СПДС «ПОСТ». Технология СПДС для удалённого доступа обеспечивает доверенную загрузку целостной информационной среды и изолированное сетевое соединение с сервером приложений.

Сертификаты ФСБ РФ и ФСТЭК РФ позволяют использовать CSP VPN Client, CSP VPN Server и CSP VPN Gate:

    • как средство криптографической защиты класса КС1/КС2/КС3 информации (СКЗИ), не содержащей сведений, составляющих государственную тайну;
    • как средство защиты информации (СЗИ) от несанкционированного доступа (НСД) с оценочным уровнем доверия ОУД 4+ (усиленный);
    • как межсетевой экран 3 класса.

Продукты имеют 3 уровень контроля на отсутствие недекларированных возможностей (НДВ) и применяются для:

    • защиты конфиденциальной информации, за исключением государственной тайны, в автоматизированных системах до класса 1В включительно;
    • защиты информационных систем персональных данных до 1 класса включительно.