Общие сведения |
Программно-аппаратный комплекс «ФПСУ-IP» (сокращенное название от «Фильтр пакетов сетевого уровня IP протокола») является программно-техническим средством защиты от несанкционированного доступа к информации. ФПСУ-IP реализует функции межсетевого экранирования и функции построения VPN-туннелей. ФПСУ-IP позволяет выделять в открытой сети защищенные области с ограниченным доступом, а также обеспечивать защищенную передачу данных между защищенными областями. Программное обеспечение ФПСУ-IP является средством криптографической защиты информации «Программно-аппаратный комплекс шифрования «ФПСУ‑IP», изделие Криптомаршрутизатор, сертифицированным ФСБ России. ФПСУ-IP позволяет осуществить шифрование передаваемой информации в соответствии с ГОСТ 28147-89, ГОСТ 34.12–2015 (блочный шифр «Магма»), ГОСТ Р 1323565.1.026-2019 (МГМ). ФПСУ-IP работает по протоколу IP и использует формат фрейма Ethernet II. ФПСУ-IP физически подключается в разрыв цепи между защищаемой локальной подсетью и остальными абонентами таким образом, чтобы все входящие и исходящие из подсети межсетевые потоки данных проходили через ФПСУ-IP. Основными функциями ФПСУ-IP являются фильтрация IP-пакетов, заключающаяся в анализе их по совокупности критериев и принятии решения о возможности их дальнейшей передаче (с регистрацией результатов фильтрации), и установка VPN-туннелей с аналогичными ФПСУ-IP для организации защищенных режимов передачи данных. Между прозрачно взаимодействующими через стандартное сетевое оборудование (коммутаторы, модемы, маршрутизаторы) ФПСУ-IP, защищающими IP-подсети, могут быть созданы VPN-туннели. VPN-туннели позволяют ФПСУ-IP скрывать внутреннюю структуру защищаемых сетей. В VPN-туннеле возможно обеспечение средствами ФПСУ‑IP сжатия и шифрования передаваемых данных. При создании VPN-туннеля обеспечиваются взаимные идентификация и аутентификация (как стартовая, так и сеансовая) взаимодействующих комплексов ФПСУ-IP. При включенном режиме шифрования в VPN-туннеле обеспечиваются контроль целостности данных, защита их от просмотра, искажения и подмены. Для формирования межсетевых туннелей на ФПСУ-IP должны быть установлены ключи парно-выборочной связи, выработанные с помощью специального программно-аппаратного комплекса «Центр выработки ключей» (ЦВК). VPN-туннели могут быть также образованы между ФПСУ-IP и пользователями комплексов «ФПСУ-IP/Клиент», защищающих межсетевое взаимодействие удаленных пользователей. Для формирования туннелей на ФПСУ-IP должны быть установлены общесистемные ключи доступа пользователей комплексов «ФПСУ-IP/Клиент», выработанные с помощью специальной программы «Центр генерации ключей клиентов» (ЦГКК). В качестве критериев фильтрации пакетов передаваемых данных ФПСУ-IP позволяет задавать: •IP-адреса отправителя и получателя; •идентификационные данные клиентов; •используемые протоколы транспортного и сетевого уровня; •тип передаваемых данных, мобильный код, протоколы приложений; •разрешенные режимы работы абонентов; •разрешенные связи абонентов и маршрутизаторов по конкретным протоколам управления; •разрешенные информационные взаимодействия абонентов (по пересекающейся совокупности параметров: протоколам, TCP/UDP-портам, интервалам времени дней недели и т.п.), приписанных к соответствующим правилам передачи трафика. Помимо основных функций, в ФПСУ-IP реализован ряд дополнительных возможностей, в частности: •возможность безопасного дистанционного контроля и управления работой из любого фрагмента IP-сетей, которая может быть предоставлена нескольким (максимально тридцати двум) зарегистрированным на ФПСУ-IP удаленным администраторам; •использование технологии DPI (Deep Packet Inspection) для анализа содержимого передаваемых данных; •встроенный HTTP- и SOCKS-proxy; •возможность по заданным администратором критериям разделения общего потока посылаемых через VPN-туннель данных. Данные разделяются на несколько (от 1 до 128) различных потоков с целью поддержки соответствующих функций пограничных маршрутизаторов (например, функция установки приоритетов определенным типам IP трафика). Для повышения надежности и обеспечения бесперебойной работы локальной сети в условиях возможных отказов аппаратуры, два ФПСУ-IP могут работать в режиме горячего резервирования. В режиме горячего резервирования оба ФПСУ-IP подключаются к локальной сети параллельно, с использованием концентраторов (hub) или коммутаторов (switch) и соединяются между собой отдельной линией передачи данных, при этом обмен информации между ними происходит в защищенном режиме. На каждый момент времени один ФПСУ-IP является активным, выполняя все функциональные операции, а второй находится в резерве в режиме ожидания, периодически проверяя работоспособность первого. В случае отсутствия ответа от активного ФПСУ-IP, или при возникновении аппаратных неполадок на активном, резервный ФПСУ-IP в течение 3 секунд автоматически берет управление на себя. Передача функций резервному ФПСУ-IP может также осуществляться вручную, по команде оператора или удаленного администратора. Для автоматического возобновления работы после сбоев электропитания (в отсутствие оператора), ФПСУ-IP укомплектован подсистемой автозапуска режима фильтрации. Программное обеспечение ФПСУ-IP функционирует в собственной изолированной и функционально замкнутой операционной среде, ACCESS-TM SHELL. Среда осуществляет разграничение доступа к операционной системе ФПСУ-IP, защиту программных и информационных модулей на ПЗУ комплекса. ФПСУ-IP предлагает диалоговые средства для управления своей работой (настройки драйверов сетевого оборудования, задания правил фильтрации, установления правил идентификации и аутентификации доступа к операционной системе ФПСУ-IP, просмотра регистрационной информации и т.д.), а также для установки параметров работы. Разграничение доступа допущенных лиц и контроль их полномочий при запуске ФПСУ-IP и управлении его работой осуществляется подсистемой ACCESS-TM SHELL по предъявляемым допущенными лицами электронным идентификаторам «touch-memory» (в качестве которых могут выступать устройства iButton DS1993 – DS1996, или микроэлектронные USB-устройства «TM-Key» производства ООО «АМИКОН») в соответствии с логическим разделением лиц ФПСУ-IP на две роли и пять условных классов, представленных в нижеследующей таблице: Таблица. Роли и классы пользователей ФПСУ-IP
Программное обеспечение ФПСУ-IP разработано ООО «АМИКОН» (Лицензия Федеральной службы безопасности Российской Федерации ЛСЗ № 0000055 рег. № 12253 Н от 08 июня 2012 года на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем. Лицензии Федеральной службы по техническому и экспортному контролю №0307 от 21 ноября 2006 г., №0536 от 21 ноября 2006 г: на деятельность по разработке и(или) производству средств защиты конфиденциальной информации; на деятельность по технической защите конфиденциальной информации). ФПСУ-IP является средством криптографической защиты информации «Программно-аппаратный комплекс шифрования «ФПСУ-IP» (изделие Криптомаршрутизатор), поставляемым в соответствии с формуляром на изделие «Средство криптографической защиты информации «Программно-аппаратный комплекс шифрования «ФПСУ‑IP». ФПСУ-IP следует использовать в соответствии с документом «Правила пользования» изделия «Средство криптографической защиты информации «Программно-аппаратный комплекс шифрования «ФПСУ-IP». |