Отечественные средства сетевой защиты. Критерии оценки тактико-технических характеристик и перспективы внедрения

BIS Journal №4(55)2024

15 ноября, 2024

Отечественные средства сетевой защиты. Критерии оценки тактико-технических характеристик и перспективы внедрения

После ухода зарубежных вендоров стало очевидным, что отечественные средства сетевой защиты не идеальны, обладают недостатками и реализуют достаточно ограниченный набор функций безопасности.

В настоящее время для средств сетевой защиты используют различные названия: UTM, NGFW, USG, Enterprise firewall. Сегодня разделение продуктов условное, а их название, как правило, чисто маркетинговый ход. Многие, по крайней мере в России, такие продукты называют NGFW, что не мешает другим вендорам в зависимости от реализуемых функций безопасности давать им другие названия. Например, у Check Point существует четыре готовых набора функций безопасности, каждый из которых зовут по-разному: NGFW, SWG, NGTP, NGDP.

Очевидно, что на практике могут использоваться продукты, все функции безопасности которых или только некоторые из них прошли процедуру сертификации, а также средства, которые на сертификацию не представлялись или только находятся в процессе сертифицирования.

Например, компания ТСС в настоящее время разрабатывает и производит следующие продукты:

  • МКСЗ Diamond VPN/FW — программный, программно-аппаратный многофункциональный комплекс сетевой защиты, представляющий собой UTM-решение, объединяющее в своём составе функционал криптографической защиты информации в каналах связи (СКЗИ), межсетевого экранирования (МЭ) и обнаружения вторжений (СОВ).
  • МКСЗ Diamond NEXT — программный, программно-аппаратный многофункциональный комплекс сетевой защиты, являющийся дальнейшим развитием МКСЗ Diamond VPN/FW. В настоящее время комплекс включает в свой состав функционал СКЗИ, МЭ, СОВ, а также отражения атак (СОА). СКЗИ, вошедшее в состав комплекса, имеет сертификат ФСБ России, остальные средства готовятся для их представления на сертификацию в ФСТЭК России и ФСБ России. В дальнейшем в комплекс будут включаться другие средства и механизмы защиты.
  • МКСЗ Diamond NEXT FW — программно-аппаратный многофункциональный комплекс сетевой защиты, являющийся дальнейшим развитием МКСЗ Diamond VPN/FW. Комплекс включает в свой состав средства и механизмы защиты информации, удовлетворяющие требованиям ФСБ России и ФСТЭК России, включая «Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети».

Функции безопасности, требования к которым не установлены в нормативно-методических документах ФСТЭК России, должны указываться в задании по безопасности и проходить оценку соответствия установленным порядком.

Возникает вопрос: на базе каких критериев осуществлять сравнение и выбор комплексов NGFW? Очевидно, что для одной группы пользователей все критерии являются необязательными, для других обязательные критерии определены в нормативно-правовых и методических документах РФ.

 

Критерии

1. Функционал комплекса и сведения о его сертификации

Должен быть представлен перечень входящих в состав комплекса средств и механизмов защиты информации с указанием сведений о сертификации — по каким требованиям проводилась сертификация.

Должен быть представлен план развития и сертификации комплекса.

Должна быть представлена информация о возможности поставки комплекса за границу.

Выводы о целесообразности применения комплекса пользователь может сделать из соображений соответствия комплекса модели угроз.

 

2. Функциональные характеристики средств и механизмов защиты комплекса

Должны быть представлены функциональные характеристики декларируемых средств и механизмов защиты информации. Например, для МЭ: фильтрация в режиме l2 (в режиме коммутатора), фильтрация в режиме l3 (в режиме маршрутизатора), фильтрация по расписанию, синхронизация правил фильтрации с централизованной платформой управления, группировка сетевых адресов/сетевых портов, логирование правил фильтрации, фильтрация по доменному имени, возможность создания независимых контекстов фильтрации с персональными правилами фильтрации для заданной группы, возможность фильтрации ipv6, экспорт/импорт политик фильтрации в формат xml; для СОВ: работа с трафиком в активном (спв) и пассивном (сов) режимах, еженедельные обновления базы разрешающих правил (более 35 000 активных сигнатур), возможность написания собственных сигнатурных правил, централизованное и локальное обновление сигнатур, интеграция с механизмами межсетевого экранирования, возможность записывать сетевой трафик с атакой в формате pcap. 

 

3. Дополнительные возможности комплекса

Учитывая, что комплекс — сетевое устройство, дополнительные возможности его использования в сети связи являются крайне важной характеристикой комплекса и должны быть представлены в полном объёме с планом развития комплекса, например:

  • поддержка технологий Layer 2: поддержка Vlan (802.1q)/Q-in-Q (802.3ad), поддержка LACP (803.3ad)/XOR, поддержка L2 over L3, поддержка работы сетевых интерфейсов, в режиме bridge, поддержка STP;
  • отказоустойчивость и резервирование: поддержка отказоустойчивого кластера, синхронизация между группами, поддержка нескольких провайдеров, поддержка режима bypass, резервирование питания;
  • поддержка технологий Layer 3: поддержка статической маршрутизации, динамической маршрутизации (OSPFv2, OSPFv3, RIPv2, RIPng, BGPv4, BGPv6, IS-IS, PIM, PIMv6, BFD, LDP), маршрутизация multicast (PIM/IGMP), Policy-based routing/virtual routing and forwarding, маршрутизация по дополнительным критериям (сетевой адрес источника, сетевой интерфейс источника, combo);
  • сопутствующие технологии и протоколы: поддержка DHCP, DHCP Relay, DHCP Client, поддержка NTP, поддержка SNMP, поддержка Rsyslog, поддержка GRE tunnel, поддержка VxLan, поддержка Link aggregation (Round-robin, Active-Backup, Broadcast, XOR), разграничение прав доступа, логирование действия пользователей, поддержка ролевых политик, поддержка балансировки трафика между несколькими провайдерами, планировщик задач, NAT/PAT (Static, dynamic, port-forwarding, twice-nat), Backup настроек, поддержка совместимости с тонким клиентом.

 

4. Тактико-технические характеристики средств и механизмов защиты комплекса

Должны быть представлены основные тактико-технические характеристики средств и механизмов защиты информации комплекса, методики тестирования и программно-аппаратные, программные измерительные средства. К основным характеристикам комплексов относится скорость и вносимые задержки. Должны быть представлены значения данных параметров на пакетах различной длины. Для МЭ дополнительно необходимо указывать, для какого количества правил фильтрации зафиксирована скорость. Должна быть обеспечена возможность демонстрации и проверки декларируемых параметров на стендах. 

 

5. Аппаратные платформы

В зависимости от условий эксплуатации, пропускной способности каналов связи, тактико-технических характеристик комплексов могут использоваться различные по мощности аппаратные платформы (сетевые сервера) или их совокупность. Таким образом, должны быть отдельно представлены как результаты тестирования каждого средства защиты или механизма защиты на каждой из представляемых платформ, так и результаты тестирования комплекса на аппаратной платформе на одном или нескольких серверов в целом. При этом должна быть представлена стоимость как комплекса, так и стоимость владения таким комплексом при его эксплуатации. 

 

6. Адаптация комплекса

Должна быть обеспечена возможность: совместной работы (интеграции) с другими системами безопасности, работы в различных условиях эксплуатации (в сетях связи разного качества и стабильности работы), работы сетях связи разной топологии, в виртуальных средах и т. п.

 

7. Система управления комплекса

Немаловажный фактор — удобство системы управления комплексом. Центр управления должен поддерживать централизованное управление всеми компонентами системы, обеспечивать мониторинг состояния, а также возможность оперативного реагирования на угрозы. Поддержка ролей и разграничения прав доступа также играет важную роль для обеспечения безопасности.

 

Таким образом, выбор отечественного NGFW — это сложный и ответственный процесс, который требует учёта множества факторов, начиная от функциональности и сертификации продукта и заканчивая его техническими характеристиками и возможностями адаптации под нужды конкретного предприятия.

 

Реклама. ООО «ТСС», ИНН: 7719723403, Erid: 2VfnxxE5TUk

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.12.2024
Аналитический Центр «БизнесДром» выступит партнёром XIX премии «Финансовая элита России»
03.12.2024
РСХБ рассказал, на что его клиенты тратят цифровые рубли
03.12.2024
«Яблочники» идут за вашими слепками
03.12.2024
«Также возможно введение квот на импортные печатные платы…»
03.12.2024
Хакеры готовы подарить свой авторский рецепт активации Windows
02.12.2024
Антимонопольщики не против. В России появится ещё один ИБ-вендор
02.12.2024
«Рынок не сделает ничего». Касперская — о госучастии в ИИ-направлении
02.12.2024
Телефонные мошенники напоминают: инвестируйте в себя
02.12.2024
Эксперты ЛК не рекомендуют сразу удалять выявленный сталкерский софт
02.12.2024
Первой голове «Гидры» дали пожизненное

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных