logo
Диплом / 18

1.7.3 Системы сетевой безопасности Cisco 2011

Считаю необходимым, кратко описать самые современные сетевые технологии cisco, а так же данные о сертификации оборудования ФСТЭК, ФСБ и соответствие регламентам СТО БР ИББС.

Cisco ASA — 5585-X -Новая, высокопроизводительная платформа Cisco ASA 5585-X построена на базе специализированных процессоров SSP, которые оптимизированы под решение задач сетевой безопасности и, в частности, функций межсетевого экранирования, построения VPN и предотвращения вторжений. Максимальная производительность межсетевого экрана на базе Cisco ASA 5585-X составляет 40 Гбит/сек; максимальное число соединений — 10 миллионов, а число соединений в секунду — 350 000. Новая версия ПО Cisco ASA — 8.4Новая версия Cisco ASA предлагает функции межсетевого экранирования с учетом контекста. При этом учитывается локальный контекст (с помощью Cisco TrustSec), глобальный контекст (с помощью Cisco Security Intelligence Operations) и мобильные данные (с помощью Cisco AnyConnect). Пользователи, приложения, данные, уровень репутации, тип устройства, текущий уровень соответствия, угрозы, адресаты, источники и местоположения — вот лишь некоторые компоненты многостороннего комплексного контекста, который учитывает Cisco ASA и которые могут быть описаны в политиках новой версии Cisco ASA.

ПО Cisco ASA — 8.4 Новая версия Cisco ASA предлагает функции межсетевого экранирования с учетом контекста. При этом учитывается локальный контекст (с помощью Cisco TrustSec), глобальный контекст (с помощью Cisco Security Intelligence Operations) и мобильные данные (с помощью Cisco AnyConnect). Пользователи, приложения, данные, уровень репутации, тип устройства, текущий уровень соответствия, угрозы, адресаты, источники и местоположения — вот лишь некоторые компоненты многостороннего комплексного контекста, который учитывает Cisco ASA и которые могут быть описаны в политиках новой версии Cisco ASA

Cisco Catalyst 6500 Series ASA Services Modules - Модуль Cisco Catalyst 6500 Series ASA Services Modules — высокопроизводительный интегрированный в коммутаторы Cisco Catalyst 6500 модуль межсетевого экрана, построенный на базе той же архитектуры, что и Cisco ASA 5585-X. Максимальная производительность межсетевого экрана на базе Catalyst 6500 Series ASA Services Modules составляет 20 Гбит/сек; максимальное число соединений — 10 миллионов, число соединений в секунду — 300 000, число виртуальных контекстов — 250, а число поддерживаемых VLAN — 1000.

Модули Cisco ASA IPS SSP - Cisco ASA IPS SSP построены на базе специализированных процессоров, которые оптимизированы под решение задач сетевой безопасности и, в частности, предотвращения вторжений. 4 модуля для Cisco ASA 5585-X обеспечивают производительность системы предотвращения вторжений 2, 3, 5 и 10 Гбит/сек.

Cisco NME-RVPN для ISR G2 - Модуль NME-RVPN в исполнении MCM может использоваться в составе маршрутизаторов Cisco ISR серий 2800/3800 и 2900/3900. В модуле, основанном на передовых технологиях Cisco, используется российское сертифицированное в ФСБ (по классу КС1/КС2) программное обеспечение компании «С-Терра СиЭсПи». Технологический процесс производства модуля NME-RVPN в исполнении МСМ определен документом «Порядок организации производства изделия «Модуль Сетевой Модернизированный (МСМ)» в рамках подконтрольного технологического процесса на территории Российской Федерации» и согласован с регулятором (ФСБ России).

VPN на базе Cisco - UCS Решение CSP VPN Gate на платформе Cisco UCS C-200 представляет собой высокопроизводительный VPN-шлюз (скорость шифрования до 3,2 Гбит/сек), реализующий стандартные механизмы защищенной передачи данных в сетях TCP/IP (IPSec) с применением российской криптографии, сертифицированной в ФСБ по классам защиты КС1/КС2

Система Cisco Virtual Security Gateway (VSG) — это программный межсетевой экран для виртуализированных сред, построенных на базе коммутаторов Cisco Nexus 1000v. VSG позволяет надежно разграничивать доступ между виртуальными машинами, изолировать приложения между несколькими пользователями, а также эффективно разделять полномочия между администраторами виртуальных машин и администраторами безопасности для соблюдения нормативных требований.

Cisco ISR Web Security с Cisco ScanSafe В маршрутизаторы Cisco ISR G2 встроены различные защитные механизмы, сертифицированные по требованиям ФСТЭК, — межсетевой экран, система предотвращения вторжения и т. д. Новая функция Cisco ISR Web Security with Cisco ScanSafe позволяет прозрачно перенаправлять весь Web-трафик в облако Cisco ScanSafe, в котором и будут реализовываться все защитные механизмы, что позволяет существенно снизить издержки на защиту Web-взаимодействия.

Cisco TrustSec 2.0 — это набор технологий и продуктов, обеспечивающих контроль доступа пользователей и устройств в сеть на основе контекста. Данное решение включает в себя аутентификацию и авторизацию пользователей и устройств, оценку соответствия, профилирование устройств, обеспечение гостевого доступа, обеспечение целостности и конфиденциальности передаваемых по проводным и беспроводным сетям данных, централизованное управление, а также мониторинг, генерацию отчетов, отслеживание и устранение проблем и неполадок. Развертываться Cisco TrustSec может как на базе отдельных устройств (Cisco NAC Appliance или Cisco ISE), так и на базе встроенной в сетевое оборудование функциональности 802.1x.Ключевым компонентом новой версии TrustSec 2.0 является новый продукт Cisco ISE. Помимо этого в рамках TrustSec 2.0 реализованы разграничение доступа по ролям пользователей на базе Cisco Catalyst, Cisco ASR и Cisco VDI, а также ряд других нововведений.

Cisco Identity Services Engine (ISE) — решение для централизованного управления политиками в рамках решения Cisco TrustSec. Оно позволяет эффективно определять политики доступа к различным сетевым ресурсам и управлять ими в масштабе всей организации. Cisco ISE:

• решает задачу поддержки «любого устройства» с помощью политики контроля доступа с учетом контекста;

• различает корпоративные и личные пользовательские устройства;

• автоматизирует функции обеспечения информационной безопасности по всей организации с помощью средств контроля доступа и шифрования, реализованных на уровне сети;

• упрощает повседневную работу ИТ-подразделения, позволяя разрабатывать политики, отражающие правила ведения бизнеса с учетом пользователей, устройств, приложений и местоположения;

• интегрируется с системой управления корпоративной ИТ-инфраструктурой Cisco Prime, обеспечивая управление подключением оконечных устройств.

Cisco AnyConnect Secure Mobility Client 3.0 — это унифицированный программный клиент, обеспечивающий сразу несколько важных задач для конечного пользователя: VPN-доступ, персональный межсетевой экран, аутентификацию и авторизацию пользователей и интеграцию с облачной безопасностью Cisco ScanSafe. AnyConnect функционирует не только на платформе Windows (XP 32/64, Vista 32/64, Windows 7 32/64), но также на MacOS, Linux, Windows Mobile и Apple iOS. Новая версия дополнила AnyConnect следующими возможностями:

• VPN-доступ обеспечивается за счет выбора одного из трех протоколов, лучше подходящего под конкретную задачу, — TLS, DTLS и IPSec/IKEv2.

• Автоматическое перенаправление трафика через защищенное облако Cisco ScanSafe с целью снижения нагрузки на пользовательское устройство.

• Встроенный расширенный клиент 802.1X для контроля доступа в проводных и беспроводных сетях.

Программное обеспечение Cisco Secure Desktop 3.6 — это апплет, загружаемый в момент подключения к корпоративной сети по SSL VPN при помощи любого браузера (в т. ч. и с мобильных устройств). Он позволяет обеспечить безопасность всех обрабатываемых в процессе сеанса данных — файлов, web-страниц, паролей, электронной почты и т. п. Это обеспечивается за счет создания защищенного виртуального раздела на диске, а также контроля всех процессов и обращений к реестру или жесткому диску.

К возможностям новой версии относится:

• Поддержка Windows 7.

• Новые возможности по обнаружению перехватчиков ввода с клавиатуры.

• Расширение возможностей по сканированию локального узла на предмет соответствия требованиям политики безопасности и политики ИТ.

Cisco Security Manager 4.1 (CSM) — это система централизованного управления и мониторинга средств защиты Cisco. Она облегчает конфигурирование, мониторинг и выявление проблем в настройках средств корпоративной защиты Cisco —межсетевых экранов Cisco ASA, Cisco IOS Firewall, Cisco FWSM и Cisco ASA SM, систем предотвращения вторжений Cisco IPS, средств построения VPN (включая и S-Terra CSP VPN Gate для Cisco ISR G2 и Cisco UCS), а также функций защиты маршрутизаторов Cisco ISR/ASR и коммутаторов Cisco Catalyst. К новым возможностям программного обеспечения Cisco Security Manager относятся:

• Расширенная система генерации отчетов (включая пользовательские).

• Расширенные возможности по выявлению и отслеживанию неисправностей.

• Помощник по созданию сценариев VPN для бизнес-партнеров (extranet/partner VPN).

• Новые возможности по импорту и экспорту политик в крупных сетях.

• Поддержка Windows 2008 R2 (64-х разрядная)

Сертификация в ФСБ

Центр защиты информации и специальной связи ФСБ России в феврале 2011 года выдал компании «С-Терра СиЭсПи» сертификаты, удостоверяющие, что решение CSP VPN Gate версии 3.1, работающее на модуле NME-RVPN для маршрутизаторов Cisco ISR и серверах Cisco UCS, соответствует требованиям к средствам криптографической защиты информации классов КС1 и КС2 (в зависимости от исполнения). Если раньше модуль NME-RVPN был сертифицирован по классу защиты КС1, то сейчас уровень защиты был повышен до класса КС2, что позволило эффективно применять данное решение в финансовых организациях, которым стандартом Банка России было предписано применение VPN-решение классом не ниже КС2. Теперь и модуль NME-RVPN и VPN-решение компании «С-Терра СиЭсПи» на базе Cisco UCS C-200 сертифицированы по классу КС2.

Новые сертификаты ФСТЭК

За прошедшие полгода были получено свыше 50 новых сертификатов соответствия требованиям по безопасности ФСТЭК на оборудование компании Cisco. К числу новых сертифицированных решений могут быть отнесены Cisco ASA 5550, Cisco 5580, модули предотвращения вторжения AIP-SSM для Cisco ASA, высокопроизводительные сенсоры предотвращения вторжений Cisco IPS 4270, маршрутизаторы Cisco GSR, различные модели маршрутизаторов Cisco ISR и коммутаторов Cisco Catalyst, система управления Cisco Security Manager, система мониторинга Cisco MARS, а также система авторизации и контроля доступа Cisco ACS. Общее число сертифицированных линеек продукции Cisco превысило 95, а общее число выданных на продукцию Cisco сертификатов превысило 500 (из 2500 сертификатов ФСТЭК, выданных за 18 лет существования этого органа исполнительной власти).

Сертифицированное производство ФСТЭК

Серийное производство в контексте сертификации ФСТЭК не означает ни производства комплектующих, ни их сборки на территории Российской Федерации; речь идет только об оценке соответствия массово поставляемого оборудования. Для сертификации средств защиты по схеме единичного образца или партии (именно эти схемы преимущественно используются иностранными производителями средств защиты) требуется от 9 до 12 недель. При сертификации по схеме «серия» время поставки сертифицированного изделия значительно сокращается (до 2 недель); также снижается и стоимость сертификации. По данной схеме сертификация (совместно с ЗАО «АМТ Груп» и ЗАО «Крафтвэй корпорейшн ПЛС») проведена для 20 с лишним линеек оборудования:

• межсетевых экранов серии Cisco PIX 500;

• межсетевых экранов Cisco FWSM;

• программно-аппаратных комплексов серии Cisco ASA 5500;

• маршрутизаторов серии Cisco 1800, 2800, 2900, 3800, 3900, 7200, 7600;

• коммутаторов серии Cisco Catalyst 2960, 3750, 6509;

• устройств обнаружения вторжений Cisco IPS 4200.

Защита персональных данных

Защита персональных данных (ПДн) последние годы была и остается одной из острейших проблем в информационной сфере и взаимоотношениях государства, граждан и бизнеса. Для защиты основных свобод и прав граждан Россия приняла Федеральный Закон РФ от 27 июля 2006 года №152-ФЗ «О персональных данных». В соответствии с данным законом Правительство Российской Федерации выпустило Постановление от 17 ноября 2007 г. № 781, которое определило общие требования по защите персональных данных. Дальнейшая детализация этих требований была дана в нормативных правовых актах и методических документах ФСБ России и ФСТЭК России. Помимо исполнения указанных нормативных актов сегодня наметилась тенденция разработки и применения отраслевых стандартов и рекомендаций в области защиты персональных данных. Такие стандарты есть у Банка России, ЕАУФОР, НАПФ, операторов связи и т. д. Помимо предложения эффективных технических решений по защите персональных данных, входящих в архитектуру SecureX и позволяющих выполнять все перечисленные выше требования, компания Cisco активно участвует и в нормотворческой деятельности по данному вопросу. В частности, сотрудники российского офиса Cisco:

• участвуют в экспертизе и выработке предложений по изменению законопроектов в области персональных данных;

• входят в оргкомитет Общественных слушаний по совершенствованию законодательства в области персональных данных;

• входят в Консультационный центр Ассоциации Российских Банков (АРБ) по вопросам применения отдельных норм Федерального закона №152-ФЗ «О персональных данных»;

• участвовали в работе рабочей группы Банка России и АРБ по разработке 4-й версии Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» в части требований по защите персональных данных;

• участвуют в экспертизе отраслевых стандартов и требований федеральных органов исполнительной власти по защите персональных данных.

Выполнение требований СТО БР ИББС

По данным опроса Межбанковского Финансового Дома и Ассоциации Российских Банков, бизнес-процессы 88% российских финансовых организаций полностью опираются на информационные технологии. Такая зависимость не позволяет эффективно реализовывать бизнес-процессы без решения вопросов безопасности информационной инфраструктуры. Понимая данную проблему и являясь ответственным за банковскую систему страны, Банк России с 1 декабря 2004 года ввел в действие стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», нацеленный на повышение уровня защищенности российских банков и защиту банковской тайны. С 21 июня 2010 года вводится в действие уже 4-я редакция данного стандарта — СТО БР ИББС-1.0-2010, а также иных документов, входящих в Комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Решения Cisco, входящие в архитектуру SecureX, позволяют эффективно выполнить технические требования, заложенные в требованиях Банка России. Помимо этого компания Cisco активно участвует и в нормотворческой деятельности в области безопасности финансовых организаций. В частности, сотрудники российского офиса Cisco входят в состав:

• ПК3 «Защита информации в кредитно-финансовых учреждениях» в ТК362 при Ростехрегулировании;

• Консультационного центра Ассоциации Российских Банков (АРБ) по вопросам применения отдельных норм Федерального закона №152-ФЗ «О персональных данных» и требований СТО БР ИББС;

• рабочей группы Банка России и АРБ по разработке 4-й версии Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Эта работа позволяет компании Cisco не только участвовать в разработке новых требований по информационной безопасности, но и заранее знать о готовящихся нормативных актах в области защиты информации, заблаговременно подготавливая свои решения к новым требованиям.