НАЗАД

Построение системы информационной безопасности

Данная статья (ряд статей) носит оценочный и демонстрационный характер.
В данной статье приведены решения, которые позволяют реализовать построение системы информационной безопасности.
В качестве примера используется модель банка, для которой создается система информационной безопасности.
Настоящая статья подготовлена на основании общедоступных маркетинговых и технических материалов, находящихся в открытом доступе.
Все рисунки и cтатьи могут распространяться свободно и безвозмездно.


Часть 4. Система защиты каналов передачи данных.

Для построения единой КИС, объединяющий все филиалы и головной офис банка необходимо использовать такую систему, которая позволит используя сеть общего доступа «интернет», объединить в единую сеть все филиала банка. Такая система будет построена на основе создания VPN туннелей.
Для построения единой КИС объединяющей филиалы банка, головной офис, удаленных пользователей и банкоматы предлагается использовать оборудование компании «Код безопасности» АПКШ (аппаратно-программный крипто шлюз) «Континент».
На рисунке ниже показана общая схема построения VPN сети, объединяющей головной офис, филиалы и банкоматы.


АПКШ «Континент» состоит:


Построение VPN сети в моделируемом банке для филиалов и банкоматов

Построение VPN сетей осуществляется по топологии звезда. Весь трафик между филиалами всегда проходит через головной офис. Доступ в интернет и почтовая система организована также по топологии звезда. Банкоматы подключены по VPN каналам либо к головному офису, либо через филиалы (банкоматы, расположенные в регионах).
Для построения VPN сети используется аппаратно-программный комплекс шифрования «Континент» 3.5. Данный комплекс сертифицирован ФСБ и ФСТЭК России.
Канал между головным офисом и филиалами 50 Мбит/сек, соответственно необходимо подключение к провайдеру с каналом 1 Гбит/сек для построения VPN сети для филиалов.
Канал между головным офисом и банкоматами 10 Мбит/сек. Региональные банкоматы подключены к филиалам.
Всего 30 банкоматов, соответственно необходимо 300 Мбит/сек.
Итого, для построения VPN каналов в 20 региональных офисов и к 30 банкоматам, необходим канал 1.3 Гбит/сек. Трафик от банкоматов подключенных в региональных отделениях банка включен в общую ширину канала от филиала.
На рисунке ниже показано, к банкоматам расположенным рядом с головным офисом, построен прямой VPN канал. Региональные банкоматы подключены к головному офису через филиалы.



Пунктирной линией на рисунке показаны построенные защищенные каналы.
В результате, 50 VPN каналов с суммарной толщиной канала 1.3 Гбит/сек.
Исходя из вышеуказанных расчетов, в головной офис размещается АПКШ «Континент» IPC-100 две единицы (для отказоустойчивости) и АПКШ «Континент» IPC-1000F две единицы (для отказоустойчивости).
В региональных офисах устанавливается оборудование АПКШ «Континент» IPC-100. По две единицы на каждый офис для отказоустойчивости.
Для подключения банкоматов устанавливается оборудование АПКШ «Континет» IPC-25 в количестве одна единица.
Итого:


Построение VPN сети для подключения удаленных пользователей.

Для подключения удаленных пользователей к ЛВС организации, а также для подключения клиентов по защищенным каналам, используется оборудование построения VPN сетей:


Оборудование Stonegate FW/VPN

StoneGate Firewall/VPN – это линейка программных и программно-аппаратных межсетевых экранов производимых компанией McAfee (ранее компанией Stonegate), с возможностью построения отказоустойчивых VPN.
StoneGate Firewall/VPN имеют сертификаты ГОСТ Р, Минсвязи, сертификат ФСТЭК по 2-му классу защищенности для межсетевых экранов, по 4-му уровню контроля отсутствия недекларированных возможностей и могут использоваться для защиты информации в информационных системах персональных данных до 1-го класса включительно и при создании автоматизированных систем до класса 1Г.
Ключевые возможности StoneGate Firewall/VPN:

Для построения VPN каналов используется две единицы оборудования Stonegate FW/VPN – 1030/1030P в отказоустойчивом режиме.

Оборудование Амикон ФПСУ-IP

Семейство комплексов «ФПСУ-IP» целиком базируется на отечественных разработках и стандартах. Обеспечивает межсетевое экранирование и разграничение доступа в Intranet/Extranet на сетевом и транспортном уровнях, построение частных сетей..
Комплекс имеет сертификат ФСТЭК (сертификат № 1091 от 31.10.2005г., по 3 классу защищенности в соответствии с РД на межсетевые экраны). В качестве криптоядра комплексов используется сертифицированное ФСБ (сертификат № СФ/124-0888 от "01" июня 2006г., по уровню КС1) средство криптографической защиты информации (СКЗИ «Туннель/Клиент»).
«ФПСУ-IP/Клиент» совместно с «ФПСУ-IP» обеспечивает:

МЭ ФПСУ-IP/Клиент совместно с комплексами ФПСУ-IP защиту информационных ресурсов системы, выполняя функции межсетевого экрана и VPN построителя. Надежность и бесперебойность функционирования комплексов ФПСУ-IP обеспечивается за счет горячего резервирования. Доступность и непрерывность функционирования обеспечивает за счет возможности кластеризации комплексов и работы ФПСУ-IP/Клиента с основным или резервным ФПСУ-IP. Пропускная способность комплексов на текущей аппаратной платформе – не менее 80Мбит/с.
При работе с клиентской стороны допускаются следующие типы сетевых подключений: LAN, DialUP, прямое подключение/выделенная линия, IR-порт и др. Взаимодействие с внешней сетью может осуществляться как непосредственно (маршрутизатор, модем и др.), так и через прокси-сервер или межсетевой экран.
На рисунке ниже приведена физическая схема подключений оборудования, реализующего построение VPN каналов для нужд банка (головного офиса).

На рисунке ниже приведена физическая схема подключения оборудования, реализующего построение VPN каналов для нужд банка (филиалы).

Итого оборудования:



Николай Ткаченко, 2015 г.