Критерии выбора VPN № п/п 1. Критерий Описание Сертификация - сертификация криптоядра; - легитимность ввоза оборудования, содержащего функции шифрования, на территорию России; - сертификация средства защиты (изделия целиком, а не его отдельных компонент). Перспектива получения более высокого уровня сертификации ФСТЭК России и ФСБ России. Отсутствие необходимости получения разрешения ФСБ на ввоз и соответствующей лицензии МЭРТ. Реализация (к заполнению) АПКШ «Континент» имеет сертификаты Сертификат соответствия ФСТЭК № 1168 от 17.04.2006 подтверждает соответствие АПКШ «Континент» (версия 3.0) требованиям руководящих документов Гостехкомиссии России по 4-му классу защищенности для межсетевых экранов и по 3-му уровню контроля на отсутствие недекларированных возможностей. Сертификат соответствия ФСБ СФ/525-0949 от 1 июня 2006 года удостоверяет соответствие АПКШ «Континент» (версия 3.0) требованиям ФСБ к устройствам типа МЭ по 4-му классу защищённости и может использоваться для защиты информации от несанкционированного доступа в информационнотелекоммуникационных системах органов государственной власти Российской Федерации. Сертификат соответствия ФСТЭК № 808 от 14.11.2003 года подтверждает соответствие АПКШ "Континент" требованиям руководящих документов Гостехкомиссии России по 4-му классу защищенности для межсетевых экранов и по 3-му уровню контроля на отсутствие недекларированных возможностей. Сертификаты соответствия ФСБ СФ/124-0907, СФ/114-0905 и СФ/1240906 от 6 августа 2003 года удостоверяют, что АПКШ "Континент" и абонентский пункт СКЗИ "Континент-АП" удовлетворяют требованиям к стойкости СКЗИ классов КС1 и КС2 и могут быть использованы для криптографической защиты конфиденциальной информации. Сертификаты выданы на продукт в целом, в том числе и на ПО VPN клиента, а не на криптобиблиотеку или компонент. 2. Стандартизация / совместимость Стандартизированные VPN упрощают проблему совместимости. Однако в некоторых случаях выгоднее использовать частные решения (например, для минимизации «накладных расходов» на реализацию VPN, в случаях подключения мобильного клиента, В настоящее время ведется сертификация комплекса «Континент» по требованиям класса защиты КВ2 Кроме того, в настоящее время в СКЗИ «Континент-АП» встроен межсетевой экран, который так же сертифицируется во ФСТЭК по 4-му классу защиты. АПКШ «Континент» разрабатывается исходя из принципов максимальной совместимости с окружающей сетевой инфраструктурой. В продукте реализован такой функционал, как Протоколы динамической маршрутизации OSPF Поддержка технологии VLAN например через NAT или прокси-сервер). Совместимость с инфраструктурой телекоммуникационного оборудования: - с телекоммуникационным оборудованием; - с Microsoft приложениями; - с системами управления сетью. 3. 4. 5. Производительность / надежность Система диагностики Приоритезация трафика Немаловажным аспектом при выборе VPN является производительность продукта. Иногда в рекламе указывается производительность, полученная на самой мощной из предлагаемых аппаратных конфигураций, а цены указываются для более скромной платформы из предлагаемой линейки вариантов. Следует также обратить внимание на условия, в которых производилось тестирование. Скорость, полученная в "лабораторных" условиях специальной утилитой, может существенно отличаться от скорости в реальной сети при обработке прикладных протоколов. Возможность резервирования. В любой сложной системе априори присутствуют ошибки. Чаще всего это ошибки, вызванные неправильным конфигурированием, хотя не исключены и ошибки разработчика. Для их поиска и устранения необходима удобная система диагностики. Обеспечение не только для защиты передачи данных, но и для мультимедийных сервисов, реализованных на той же инфраструктуре (IP-телефония, видеоконференции). Поддержка механизмов приоритизации трафика Поддержка оповещений различных систем управления сетями о событиях, происходящих на устройстве по технологии SNMP АПКШ «Континент» прекрасно интегрируется с технологиями PKI от любых производителей, поддерживающих российские стандарты шифрования и выработки ЭЦП, в том числе и Microsoft. АПКШ «Континент» и VPN-Клиент «Континент-АП» абсолютно прозрачны для работы любых системных и прикладных служб и приложений. АПКШ «Континент» поставляется в 2-х стандартных вариантах: - мини – производительность в режиме шифрования - 30 Мбит/с - стандарт – производительность в режиме шифрования - 100 Мбит/с Кроме того, в силу сертифицированности производства комплекса, по желанию клиента он может быть поставлен в вариантах с производительностью от 250 Мбит/с до 812 Мбит/с. Комплекс предусматривает две схемы резервирования компонент: Холодное (за счет унификации типовых вариантов аппаратной платформы) Горячее (вариант работы устройств в кластере, с автоматическим переключением) Через программу управления комплексом континент можно оперативно получать отчеты о комплексах, которые по каким либо причинам стали недоступны, о проблемных кластерах горячей замены и т.п. Через реализованное оповещение о событиях, происходящих на отдельных устройствах по технологии SNMP, локальный администратор или ответственный сотрудник может получать оповещения о работе комплекса на своем рабочем месте. В ближайших версиях на комплексе будет реализована локальная консоль с командами типа ping, tracert и т.п., позволяющими диагностировать сетевые проблемы В комплексе реализована возможность приоритетной обработки различного рода трафика, как уже промаркированного как приоритетный, так и задавая приоритеты через правила фильтрации. Шифрованный трафик сохраняет флаги-признаки приоритизации в пакете, что позволяет его корректно обрабатывать следующими за комплексом сетевыми устройствами. 6. Возможность работы с частью информационных потоков без шифрования 7. Масштабируемость 8. Работа с криптографическими ключами / поддержка центра сертификаций (Certificate Authority) 9. 10. Суммарная стоимость Техническая поддержка В предположении, что часть информационных потоков направлять во внешнее информационное пространство (без шифрования). Иначе придется организовывать доступ к этим ресурсам в обход средств защиты, что само по себе создает дополнительные угрозы информационным ресурсам. Удобство и безопасность работы с криптографическими ключами также является одним из важных критериев при выборе. В идеале система должна позволять управлять ключами в ручном, автоматическом и полуавтоматическом режиме и быть PKI-ready, то есть интегрироваться в инфраструктуру открытых ключей, желательно произвольную. В случае первоначального развертывания инфраструктуры открытых ключей (PKI), воспользоваться ею при организации VPN было бы очень разумно. Сравнивая цены на VPN-решения, необходимо учитывать все возможные затраты, то есть вести сравнение по суммарной стоимости владения. Кроме стоимости непосредственно VPN-устройств следует учитывать стоимость системы управления. В одних решениях функцию координатора системы берет на себя одно из устройств, в других для этого существует специальный центр управления сетью, в третьих решениях для этой цели могут использоваться продукты сторонних фирм. Итоговая стоимость решения для организации VPN между головным и двумя подчиненными предприятиями Немаловажную роль играет техническая поддержка и гарантийное обслуживание. Следует учитывать не только их стоимость (если она уже не включена в цену продукта), но и заявленные сроки реагирования (24х7, 8х5 и т.п.) и ремонтопригодность, особенно при использовании специализированных аппаратных Комплекс имеет возможность гибко работать с трафиком в плане шифрования. Шифровать или не шифровать трафик определяется по IP-адресам отправителя и получателя конкретного пакета. Комплекс позволяет одновременно работать из защищаемых сетей как с защищенными, так и с незащищенными ресурсами. Границы масштабирования комплекса: В защищаемой сети может быть установлено до 5000 устройств На один сервер доступа (при использовании СД как центра сертификации) может подключаться до 500 абонентов (при использовании внешнего центра сертификации – ограниченно только пропускной способностью канала и объемом оперативной памяти криптошлюза) Комплекс является сертифицированным изделием, поэтому он поддерживает работу с любыми PKI структурами, использующими отечественные алгоритмы шифрования (в звене VPN клиент Континента - Континент). Управление криптографическими ключами в самом комплексе реализовано в соответствии с требованиями сертификаторов, но достаточно гибко. Комплекс позволяет иметь на местах резервные комплекты ключевых документов на случай компрометации основных и на другие непредстказуемые случаи. Стоимость системы управления водит в стоимость комплекса (одного их обязательно приобретаемых компонент). Техническая поддержка осуществляется в режиме 24х7 на русском языке. Ремонт неисправного оборудования производится в течении 2-х месяцев (в зависимости от сложности ремонта). Доступны программы временной замены вышедшего из строя КШ. решений. Также интересным аспектом предложения этих продуктов является тот факт, что западные производители в отличие от подавляющего большинства российских практикуют непрямые продажи своей продукции. Такая схема продаж более масштабируема, однако она накладывает на производителя ряд специальных требований. Исключительное значение приобретают размер, состав и качество партнерской сети, через которую осуществляется сбыт продукции и механизмы поддержки продаж, внедрения и эксплуатации: По территории России более 125 компаний – партнеров ГК «Информзащита » способны поддержать комплекс настройкой, диагностикой и поддержкой. - методическое обеспечение, наличие руководств по применению на русском языке, типовых сценариев и т.п.; - круглосуточная техническая поддержка; - наличие персонала, обученного работе с продуктами, и авторизованных центров по его переподготовке и повышению квалификации; 11. Локализация - в силу того, что продукция импортируется доступность продуктов, заявленных в прайс-листах, их постоянное наличие на складах партнеров по всей стране. Русификация ПО; русификация документации. Все ПО и документация поставляется на русском языке.