таблицу критериев - Удостоверяющий Центр Кредо-С

Критерии выбора VPN
№ п/п
1.
Критерий
Описание
Сертификация
- сертификация криптоядра;
- легитимность ввоза оборудования, содержащего
функции шифрования, на территорию России;
- сертификация средства защиты (изделия целиком,
а не его отдельных компонент).
Перспектива получения более высокого уровня
сертификации ФСТЭК России и ФСБ России. Отсутствие
необходимости получения разрешения ФСБ на ввоз и
соответствующей лицензии МЭРТ.
Реализация
(к заполнению)
АПКШ «Континент» имеет сертификаты




Сертификат соответствия ФСТЭК № 1168 от 17.04.2006 подтверждает
соответствие АПКШ «Континент» (версия 3.0) требованиям
руководящих документов Гостехкомиссии России по 4-му классу
защищенности для межсетевых экранов и по 3-му уровню контроля на
отсутствие недекларированных возможностей.
Сертификат соответствия ФСБ СФ/525-0949 от 1 июня 2006 года
удостоверяет соответствие АПКШ «Континент» (версия 3.0)
требованиям ФСБ к устройствам типа МЭ по 4-му классу защищённости
и может использоваться для защиты информации от
несанкционированного доступа в информационнотелекоммуникационных системах органов государственной власти
Российской Федерации.
Сертификат соответствия ФСТЭК № 808 от 14.11.2003 года
подтверждает соответствие АПКШ "Континент" требованиям
руководящих документов Гостехкомиссии России по 4-му классу
защищенности для межсетевых экранов и по 3-му уровню контроля на
отсутствие недекларированных возможностей.
Сертификаты соответствия ФСБ СФ/124-0907, СФ/114-0905 и СФ/1240906 от 6 августа 2003 года удостоверяют, что АПКШ "Континент" и
абонентский пункт СКЗИ "Континент-АП" удовлетворяют требованиям
к стойкости СКЗИ классов КС1 и КС2 и могут быть использованы для
криптографической защиты конфиденциальной информации.
Сертификаты выданы на продукт в целом, в том числе и на ПО VPN
клиента, а не на криптобиблиотеку или компонент.
2.
Стандартизация /
совместимость
Стандартизированные
VPN
упрощают
проблему
совместимости. Однако в некоторых случаях выгоднее
использовать частные решения (например, для
минимизации «накладных расходов» на реализацию
VPN, в случаях подключения мобильного клиента,
В настоящее время ведется сертификация комплекса «Континент» по
требованиям класса защиты КВ2
Кроме того, в настоящее время в СКЗИ «Континент-АП» встроен межсетевой
экран, который так же сертифицируется во ФСТЭК по 4-му классу защиты.
АПКШ «Континент» разрабатывается исходя из принципов максимальной
совместимости с окружающей сетевой инфраструктурой.
В продукте реализован такой функционал, как
 Протоколы динамической маршрутизации OSPF
 Поддержка технологии VLAN
например через NAT или прокси-сервер).
Совместимость
с
инфраструктурой
телекоммуникационного оборудования:
- с телекоммуникационным оборудованием;
- с Microsoft приложениями;
- с системами управления сетью.
3.
4.
5.
Производительность /
надежность
Система диагностики
Приоритезация
трафика
Немаловажным аспектом при выборе VPN является
производительность продукта. Иногда в рекламе
указывается производительность, полученная на самой
мощной из предлагаемых аппаратных конфигураций, а
цены указываются для более скромной платформы из
предлагаемой линейки вариантов. Следует также
обратить
внимание
на
условия,
в
которых
производилось тестирование. Скорость, полученная в
"лабораторных" условиях специальной утилитой, может
существенно отличаться от скорости в реальной сети
при обработке прикладных протоколов.
Возможность резервирования.
В любой сложной системе априори присутствуют
ошибки.
Чаще
всего
это
ошибки,
вызванные
неправильным конфигурированием, хотя не исключены
и ошибки разработчика. Для их поиска и устранения
необходима удобная система диагностики.
Обеспечение не только для защиты передачи данных, но
и для мультимедийных сервисов, реализованных на той
же инфраструктуре (IP-телефония, видеоконференции).


Поддержка механизмов приоритизации трафика
Поддержка оповещений различных систем управления сетями о
событиях, происходящих на устройстве по технологии SNMP
АПКШ «Континент» прекрасно интегрируется с технологиями PKI от любых
производителей, поддерживающих российские стандарты шифрования и
выработки ЭЦП, в том числе и Microsoft.
АПКШ «Континент» и VPN-Клиент «Континент-АП» абсолютно прозрачны для
работы любых системных и прикладных служб и приложений.
АПКШ «Континент» поставляется в 2-х стандартных вариантах:
- мини – производительность в режиме шифрования - 30 Мбит/с
- стандарт – производительность в режиме шифрования - 100 Мбит/с
Кроме того, в силу сертифицированности производства комплекса, по желанию
клиента он может быть поставлен в вариантах с производительностью от 250
Мбит/с до 812 Мбит/с.
Комплекс предусматривает две схемы резервирования компонент:

Холодное (за счет унификации типовых вариантов аппаратной
платформы)

Горячее (вариант работы устройств в кластере, с автоматическим
переключением)
Через программу управления комплексом континент можно оперативно
получать отчеты о комплексах, которые по каким либо причинам стали
недоступны, о проблемных кластерах горячей замены и т.п.
Через реализованное оповещение о событиях, происходящих на отдельных
устройствах по технологии SNMP, локальный администратор или ответственный
сотрудник может получать оповещения о работе комплекса на своем рабочем
месте.
В ближайших версиях на комплексе будет реализована локальная консоль с
командами типа ping, tracert и т.п., позволяющими диагностировать сетевые
проблемы
В комплексе реализована возможность приоритетной обработки различного
рода трафика, как уже промаркированного как приоритетный, так и задавая
приоритеты через правила фильтрации.
Шифрованный трафик сохраняет флаги-признаки приоритизации в пакете, что
позволяет его корректно обрабатывать следующими за комплексом сетевыми
устройствами.
6.
Возможность работы с
частью
информационных
потоков без
шифрования
7.
Масштабируемость
8.
Работа с
криптографическими
ключами / поддержка
центра сертификаций
(Certificate Authority)
9.
10.
Суммарная стоимость
Техническая
поддержка
В предположении, что часть информационных потоков
направлять во внешнее информационное пространство
(без шифрования).
Иначе придется организовывать доступ к этим ресурсам
в обход средств защиты, что само по себе создает
дополнительные угрозы информационным ресурсам.
Удобство и безопасность работы с криптографическими
ключами также является одним из важных критериев
при выборе. В идеале система должна позволять
управлять ключами в ручном, автоматическом и
полуавтоматическом режиме и быть PKI-ready, то есть
интегрироваться в инфраструктуру открытых ключей,
желательно произвольную.
В
случае
первоначального
развертывания
инфраструктуры
открытых
ключей
(PKI),
воспользоваться ею при организации VPN было бы очень
разумно.
Сравнивая цены на VPN-решения, необходимо учитывать
все возможные затраты, то есть вести сравнение по
суммарной стоимости владения. Кроме стоимости
непосредственно VPN-устройств следует учитывать
стоимость системы управления. В одних решениях
функцию координатора системы берет на себя одно из
устройств, в других для этого существует специальный
центр управления сетью, в третьих решениях для этой
цели могут использоваться продукты сторонних фирм.
Итоговая стоимость решения для организации VPN
между головным и двумя подчиненными предприятиями
Немаловажную роль играет техническая поддержка и
гарантийное обслуживание. Следует учитывать не
только их стоимость (если она уже не включена в цену
продукта), но и заявленные сроки реагирования (24х7,
8х5 и т.п.) и ремонтопригодность, особенно при
использовании
специализированных
аппаратных
Комплекс имеет возможность гибко работать с трафиком в плане шифрования.
Шифровать или не шифровать трафик определяется по IP-адресам
отправителя и получателя конкретного пакета.
Комплекс позволяет одновременно работать из защищаемых сетей как с
защищенными, так и с незащищенными ресурсами.
Границы масштабирования комплекса:
 В защищаемой сети может быть установлено до 5000 устройств
 На один сервер доступа (при использовании СД как центра
сертификации) может подключаться до 500 абонентов (при
использовании внешнего центра сертификации – ограниченно только
пропускной способностью канала и объемом оперативной памяти
криптошлюза)
Комплекс является сертифицированным изделием, поэтому он поддерживает
работу с любыми PKI структурами, использующими отечественные алгоритмы
шифрования (в звене VPN клиент Континента - Континент).
Управление криптографическими ключами в самом комплексе реализовано в
соответствии с требованиями сертификаторов, но достаточно гибко.
Комплекс позволяет иметь на местах резервные комплекты ключевых
документов на случай компрометации основных и на другие непредстказуемые
случаи.
Стоимость системы управления водит в стоимость комплекса (одного их
обязательно приобретаемых компонент).
Техническая поддержка осуществляется в режиме 24х7 на русском языке.
Ремонт неисправного оборудования производится в течении 2-х месяцев (в
зависимости от сложности ремонта).
Доступны программы временной замены вышедшего из строя КШ.
решений.
Также интересным аспектом предложения этих
продуктов
является
тот
факт,
что
западные
производители в отличие от подавляющего большинства
российских практикуют непрямые продажи своей
продукции. Такая схема продаж более масштабируема,
однако она накладывает на производителя ряд
специальных требований. Исключительное значение
приобретают размер, состав и качество партнерской
сети, через которую осуществляется сбыт продукции и
механизмы
поддержки
продаж,
внедрения
и
эксплуатации:
По территории России более 125 компаний – партнеров ГК «Информзащита »
способны поддержать комплекс настройкой, диагностикой и поддержкой.
- методическое обеспечение, наличие руководств по
применению на русском языке, типовых сценариев и
т.п.;
- круглосуточная техническая поддержка;
- наличие персонала, обученного работе с продуктами, и
авторизованных центров по его переподготовке и
повышению квалификации;
11.
Локализация
- в силу того, что продукция импортируется доступность продуктов, заявленных в прайс-листах, их
постоянное наличие на складах партнеров по всей
стране.
Русификация ПО;
русификация документации.
Все ПО и документация поставляется на русском языке.