Комплекс криптографической защиты информации "КЛАН"
Комплекс криптографической защиты (ККЗ) «Клан» предназначен для создания защищенной виртуальной корпоративной сети с механизмами обеспечения безопасности на сетевом уровне на базе незащищенных каналов связи. Областью применения ККЗ являются распределенные ведомственные (корпоративные) сети, поддерживающие протокол IP, и использующие скоростные каналы связи (Ethernet, FastEthernet, ATM).
Комплекс криптографической защиты информации "КЛАН", в зависимости от модификации, обеспечивает криптографическую защиту сетей, как обрабатывающих информацию содержащую гос.тайну (до грифа Совершенно Секретно включительно), так и обрабатывающих информацию ограниченного доступа, не содержащую гос.тайну.
Для обеспечения безопасности информации, передаваемой за пределы защищенных сегментов, ККЗ предоставляет следующие услуги:
1. Конфиденциальность группа услуг, гарантирующих недоступность информации (открытого текста) для неуполномоченных субъектов при передаче через незащищенные сети. Данная группа включает в себя:
• конфиденциальность данных (конфиденциальность содержимого пакетов) услуга, гарантирующая недоступность информации, содержащейся в поле данных передаваемого пакета;
• конфиденциальность внутренней структуры сети услуга, гарантирующая недоступность информации о внутренней топологии и конфигурации сегментов ВКС;
2. Целостность группа услуг, гарантирующих обнаружение любой модификации, включения, удаления или повторной передачи данных.
Данная группа включает в себя:
• целостность данных (целостность содержимого пакетов) услуга, гарантирующая обнаружение модификации информации, содержащейся в поле данных передаваемого пакета;
• целостность служебной информации пакетов - услуга, гарантирующая обнаружение модификации служебных полей пакетов
• достоверность информации услуга, гарантирующая обнаружение навязывания ложной информации (сфальсифицированных пакетов);
• целостность потока данных услуга, гарантирующая обнаружение ранее перехваченных и повторно переданных пакетов.
3. Аутентификация услуга, гарантирующая подтверждение подлинности источника пакета данных. Она заключается в подтверждении подлинности каждого принятого пакета.
4. Управление доступом услуга, обеспечивающая разграничение доступа к ресурсам ВКС. Она заключается в дискреционном управлении доступом к ресурсам ВКС посредством задания правил доступа, основанных на идентификационной информации.
5. Доступность услуга, обеспечивающая защиту от атак, приводящих к несанкционированному занятию информационных ресурсов ВКС.
Состав комплекса криптографической защиты информации "КЛАН":
Аппаратно-программные устройства криптографической защиты (УКЗ) в двух вариантах исполнения:
- Проходной шифратор шлюз сетевого уровня со скоростью шифрования 100 Мбит/с (У КЗ-Ш)
- Защищенная сетевая плата со скоростью шифрования 10 Мбит/с (УКЗ-К)
Аппаратно-программный центр управления ключевой системой (ЦУКС)
Центр сбора и анализа информации аудита
Все аппаратно-программные устройства выпускаются в двух модификациях : для защиты информации, содержащей гос.тайну и для защиты информации ограниченного доступа, не содержащую гос.тайну.
УКЗ являются пограничными устройствами, включаемыми между защищаемыми сегментами сети и незащищенными каналами связи. На каждый канал связи, выходящий за пределы защищенной сети, устанавливаются УКЗ (в случае отдельно стоящей ПЭВМ устанавливается УКЗ-К). УКЗ взаимодействуют между собой через незащищенные каналы связи, причем УКЗ не накладывает никаких ограничений к топологии используемой сети (Единственное требование поддержка Ethernet-каналов и протоколов семейства TCP/IP).
Со стороны защищенного сегмента УКЗ выглядит как шлюз по умолчанию (default gateway) для доступа за пределы сегмента. Со стороны незащищенной сети УКЗ выглядит как обычный хост (отдельный узел сети). Таким образом, УКЗ обеспечивает прозрачное взаимодействие сегментов, входящих в состав ВКС по протоколу IP.
Средства управления позволяют следить за состоянием всех УКЗ с сети и управлять параметрами их работы как локально, так и удаленно. Для централизованного управления ключевой системой применяется ЦУКС. В случае небольшого количества УКЗ в сети возможно управление ключевой системой в ручном режиме.
Технические характеристики.
Исполнение
УКЗШ выполнено в виде блока, устанавливаемого в стойку 19". Допускается установка УКЗ-Ш и вне стойки при использовании набора монтажных частей. Электропитание УКЗ-Ш осуществляется от стандартной электросети 220В, 50 Гц.
УКЗ-К выполнено в виде платы формата PCI и устанавливается в свободный PCI-слот ПЭВМ. Электропитание УКЗ-К осуществляется от блока питания ПЭВМ, в которую он установлен.
Интерфейсы.
Для подключения к каналам защищенной и незащищенной сетей УКЗ-Ш использует интерфейс 100BASE-FX, УКЗ-К использует интерфейс 10BASE-FX. При минимальной доработке УКЗ может использовать любой стандартный интерфейс для доступа к сетевому оборудованию (ATM, FDDI, 100BASE-FX, ит.п.)
Для подключения консоли управления УКЗ использует асинхронный последовательный интерфейс типа RS232C.
Поддерживаемые протоколы.
В качестве протокола сетевого уровня ККЗ использует протокол IP. Для обеспечения устойчивого функционирования в произвольной сетевой конфигурации ККЗ использует протоколы ARP и ICMP.
Для обеспечения удаленного управления используются протоколы Telnet, SNMP и RMON. Кроме того, для управления ключевой системой используются протоколы собственной разработки, функционирующие поверх протокола IP.
Для обеспечения сбора информации аудита используются протоколы Syslog, SNMP и RMON.
Для обеспечения передачи зашифрованных данных используется протокол IP SEC (ESP).
Производительность
Скорость шифрования в полнодуплексном режиме для УКЗ-Ш составляет 100Мбит/с, для УКЗ-К ЮМбит/с
Описание актуально на: 28.03.2008.
Для уточнения технических характеристик «Комплекс криптографической защиты информации "КЛАН"», а также для получения информации по наличию и условиям поставки Вы можете заполнить форму запроса ниже.
Внимание! Поставка оборудования осуществляется только юридическим лицами и только по безналичному расчёту.