Телефон
e-mail
Адрес
Россия, 125124, Москва, ул. Правды, д. 24, стр. 7, этаж 1, помещение X, комната 12
Криптографический шлюз (криптошлюз, криптомаршрутизатор) – программно-аппаратный комплекс криптографической защиты информации, поддерживающий протоколы шифрования трафика (например IPsec), и в большинстве случаев, обладающие функционалом VPN-устройства. Далее по тексту эти устройства будем называть криптошлюзами.
Криптошлюз перенаправляет весь сетевой трафик через себя, при этом осуществляя его шифрование с применением выбранного криптографического алгоритма шифрования. В настоящее время существует два основных архитектурных способа применения криптошлюзов на сети, а именно, архитектуры «клиент-сервер» и «клиент-клиент» (точка-точка). В первом случае, криптошлюз устанавливается на сервере хранения и обработки данных, а клиентское устройство получает доступ к серверу с использованием специализированного программного обеспечения или веб-интерфейса. Второй случай более распространен и подразумевает собой установку криптошлюзов на каждом устройстве в локальной сети.
Основные функции криптошлюзов:
Самая главная задача криптошлюза на сети передачи данных – шифрование данных, передаваемых по сети. Криптошлюз выполняет специальные криптографические преобразования с информацией с использованием конфиденциального ключа, недоступного злоумышленнику. Это позволяет избежать компрометации передаваемой информации, даже если она попадет в руки к злоумышленнику.
Следующая немаловажная задача криптошлюза, это создание сетей VPN. Виртуальная частная сеть (VPN) – это механизм создания безопасного соединения между вычислительным устройством и компьютерной сетью или между двумя сетями с использованием небезопасного средства связи, такого как общедоступный Интернет. VPN может предоставлять доступ к частной сети (той, которая запрещает или ограничивает публичный доступ) пользователям, у которых нет прямого доступа к ней, например, офисной сети, обеспечивающей безопасный доступ извне через Интернет. Преимущества VPN включают безопасность, снижение затрат на выделенные линии связи и большую гибкость для сотрудников, находящихся на удаленности. VPN создается путем установления виртуального соединения «точка-точка» с использованием туннельных протоколов по существующим сетям.
Обеспечение конфиденциальности и целостности информации между компонентами сети достигается созданием VPN на сетевом уровне посредством модифицированного протокола IPSec.
Блок криптографической защиты входящий в состав криптошлююза обеспечивает сжатие IP-пакетов их шифрование и имитозащиту. Применение сжатия IP-пакетов позволяет увеличить скорость передачи IP-пакетов по низкоскоростным каналам связи и обеспечивает дополнительную защиту при попытке их несанкционированного перехвата во время передачи по открытым каналам связи.
Сжатые IP-пакеты шифруются и инкапсулируются в новый IP-пакет, в котором в качестве IP-адреса источника выступает внешний IP-адрес криптошлюза-отправителя, а в качестве IP-адреса приемника – внешний IP-адрес криптошлюза-получателя. Список адресов, для которых осуществляется шифрование пакетов, определяется списком связанных криптошлюзов и их защищаемых сетей.
Криптошлюз обладает функциями межсетевого экрана – инспектора состояния (stateful inspection firewall).
Правила фильтрации позволяют разграничить доступ по различным параметрам:
Таким образом в общем виде криптошлюз можно представить как устройство, которое, в топологии сети расположено сразу же после узла и перед выходом в открытые сети передачи данных.
К криптографическим шлюзам существует ряд требований со стороны регуляторов и федерального законодательства. Существует целый ряд нормативно-правовых актов, в том или ином виде регламентирующих применение криптошлюзов для защиты конфиденциальных данных. Ниже приведены основные:
Если сделать выжимку из данных нормативно-правовых документов, то основные вехи, которые касаются криптошлюзов следующие:
По требованиям регуляторов криптошлюзы необходимо использовать на сертифицированых объектах, содержащих в себе информационные системы персональных данных (ИСПДн), информационные системы общего пользования (ИСОП), государственных информационных системах (ГИС) и на объектах критической информационной инфраструктуры Российской Федерации (КИИ).
Для обеспечения информационной безопасности передачи данных в указанных выше объектах критошлюз используется не только для шифрования передаваемого трафика между узлами, но и для выполнения функций межсетевого экрана, анализатора трафика, обеспечения имитозащиты. Криптошлюзы интегрируются в систему обеспечения информационной безопасности, которая состоит из различного рода программно-аппаратных средств защиты информации.
В соответствии с Указом Президента Российской Федерации от 30.03.2022 № 166, с 31 марта 2022 года, заказчики не могут осуществлять закупки оборудования иностранного производства для использования на объектах КИИ. Для отечественных решений предусмотрен специальный реестр Минпромторга России, в которых включается доверенное оборудование российского производства.
На текущий момент все больше и больше становятся популярны одноплатные решения (мини-компьютеры), которые могут выполнять несколько ролей в информационной инфраструктуре организации. В промышленных организациях одноплатные мини-компьютеры используются в том числе как контроллеры АСУТП. С использованием такого рода устройств существует возможность построения защищенной сети, построения VPN-туннелей, анализа трафика и пр.
В настоящее время в Российской Федерации создан ряд устройств подобного рода, например, мини-компьютеры – АТБ-АТОМ-1 и АТБ-АТОМ-2, российского производителя «АТБ-электроника». Данные решения отечественного вендора имеют заключения Минпромторга о внесении в два основных реестра продукции Минпромторга России:
АТБ-АТОМ-1 и АТБ-АТОМ-2, могут использоваться в качестве криптошлюза, межсетевого экрана, маршрутизатора, сетевого контроллера и пр. Устройства совместимы с отечественными программными средствами защиты информации. В режиме криптошлюза АТБ-АТОМ-1 и АТБ-АТОМ-2 совмещают в себе шифратор трафика, межсетевой экран и маршрутизатор, кроме этого позволяет выполнить трансляцию (преобразование) IP-адресов (NAT) внутренней сети и портов (PAT) с целью сокрытия от злоумышленников их истинных значений.
АТБ-АТОМ-1 и АТБ-АТОМ-2 обеспечивают:
В качестве криптошлюза АТБ-АТОМ-1 и АТБ-АТОМ-2 целесообразно использовать во всех сфера деятельности, где существует необходимость защиты передаваемых данных. Сетевые интерфейсы и компоненты АТБ-АТОМ-1 и АТБ-АТОМ-2 гальванически развязаны между собой, что обеспечивает максимальную защиту передаваемых данных. Мини-компьютеры АТБ-АТОМ-1 и АТБ-АТОМ-2 полностью совместимы с отечественными операционными системами REDOS, ASTRA Linux и ALT Linux.
Операционная система специального назначения ASTRA Linux отечественного вендора «РусБИТех-Астра» сертифицирована ФСБ России как средство защиты информации для сведений составляющих государственную тайну. Таким образом, эффективность применения мини-компьютеров АТБ-АТОМ-1 и АТБ-АТОМ-2 в связке с операционной системой ASTRA Linux является мощным решением в области информационной безопасности.
При взаимодействии АТБ-АТОМ-1 и АТБ-АТОМ-2 и ASTRA Linux, пользователь получает возможность осуществления следующих процедур обеспечения информационной безопасности:
Таким образом, решения компании АТБ-Электроника АТБ-АТОМ-1 и АТБ-АТОМ-2 позволяют выстроить полноценную эшелонированную систему защиты информации с использованием криптографических методов.
Все новости
Отправьте заявку
Специалист компании свяжется с Вами в течение дня