Анлим-ИТ. Илья Куриленко "Импортозамещение в...
Post on 14-Apr-2017
421 Views
Preview:
TRANSCRIPT
Импортозамещение в области информационной безопасностиКуриленко Илья, директор по информационной безопасности il.kurilenko@unlim-it.ru, 8(912)3995053
2
Средства ИБ
IAM
User Provisioning
PKI / токены
SSO
Защита сети
МСЭ
UTM
СОВ
VPN
Защита рабочих мест
Antimalware
Электронные замки
СЗИ от НСД
СКЗИ
Веб
Фильтрация URL
Antimalware
Фильтрация контента
WAF
SVM
SIEM
Управление инцидентами
Контроль соответствия
Сканеры безопасности
Другие
SAST/DAST
ИБ СУБД
Защищенные ОС
DLP
ИБ виртуализация
DDoS
3
IAM (Identity & Authentication Management)
User Provisionin
gАванпост
IDM
КУБ Trustverse
PKI / токеныАванпост
PKI
Аладдин
КриптоПРО
Indeed-ID
SSO
Аванпост SSO
Indeed-ID
4
JaCarta PKI
Новая линейка PKI-токенов для строгой двух- и трёхфакторной аутентификации пользователей в корпоративных системах, безопасного хранения ключевых контейнеров программных СКЗИ и цифровых сертификатов.JaCarta ГОСТ
Первое и пока единственное персональное средство усиленной квалифицированной электронной подписи с неизвлекаемым ключом ЭП, полностью соответствующее всем требованиям 63-ФЗ и Приказа ФСБ России 796 к средствам ЭП.
MicroUSB-токены JaCarta
• Для пользователей мобильных/носимых устройств под управлением ОС Android, Windows и Linux (телефоны, смартфоны, планшеты, терминальное оборудование и др.), которым необходима строгая аутентификация при доступе к информационным ресурсам, квалифицированная электронная подпись и хранение ключевых контейнеров для программных СКЗИ.
• Стильный и компактный.• 80 КБ защищённой памяти даёт возможность хранения ещё
большего количества сертификатов, ключевых контейнеров для программных СКЗИ, профилей и паролей.
• MicroUSB-токен JaCarta соответствует более высокому уровню защиты – Common Criteria EAL 5+.
JaCarta
5
Аутентификация
JaCarta SecurLogon
Простой и быстрый переход от обычных паролей к двухфакторной аутентификации при входе в ОС Windows, в домен и доступе к сетевым ресурсам по токену JaCarta. Для работы не требуется разворачивать Active Directory, создавать собственный Удостоверяющий центр для выпуска сертификатов пользователей (внедрять PKI-инфраструктуру).
• Организация двухфакторной аутентификации без Active Directory и/или Microsoft CA. Использование JaCarta SecurLogon не требует настройки Active Directory, развёртывания PKI-инфраструктуры и закупки дорогостоящего серверного оборудования и ПО.
• Невозможность подбора пароля. Программное решение позволяет генерировать и записывать на токен случайные длинные, сложные и устойчивые ко взлому и перебору пароли для доступа в компьютер или сеть. На подбор сложного пароля в 30-63 символов у злоумышленника уйдут годы.
• Настоящий сложный пароль не известен и не виден пользователю. JaCarta SecurLogon позволяет генерировать пароли заданной длины, сохранять их в памяти смарт-карты или USB-токена и подставлять в хранилище учётных данных таким образом, что пользователь даже не знает своего пароля, а потому не может записать его и компрометировать. Пользователю лишь остаётся запомнить свой простой и короткий PIN-код.
• Удобство в использовании для конечного пользователя — пользователь применяет простой PIN-код или входит по отпечатку пальца.
JaCarta Management System
JaCarta Management System (JMS) - корпоративная система управления, полноценно поддерживающая новое поколение средств аутентификации и электронной подписи JaCarta, а также eToken.
• Поддержка всех моделей JaCarta, а также eToken (в т.ч. ГОСТ)• Сокращение затрат на поддержание инфраструктуры
аутентификации и ЭП• Централизованное управление доступом к корпоративным
системам• Аудит действий сотрудников и администраторов в отношении
средств аутентификации и ЭП• Обеспечение соответствия требованиям законодательства и
регуляторов (ФСТЭК России, ФСБ России)• Сертифицированная версия
JaCarta
6
Защита сети
МСЭViPNet
Континент
С-ТерраСиЭсПи
UserGate
Элвис+
Эшелон
ALTELL
Другие…
UTMUserGate
ALTELL
СОВViPNet IDS
Детектор атак «Континент»
UserGate
TAD InfoWatch
Эшелон
Другие…
VPNКонтинент
ViPNet
С-Терра СиЭсПи
7
Криптографическая защита
Использование протокола TLS c шифрованием по ГОСТ 28147–89
обеспечивает надежную защиту HTTP-трафика на транспортном уровне.
Работа с внешнимиудостоверяющими центрами (УЦ)
Для создания сертификатов x.509 «Континент TLS VPN» использует
внешний УЦ «КриптоПро».
Регистрация попыток доступа
Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого
хранятся в специальной энергонезависимой памяти.
Прозрачное проксированиеHTTP-трафика
Для защищенного входа на веб-сервис пользователю достаточно указать ip-адрес или доменное имя в адресное
строке браузера.
Идентификация и аутентификацияПользователей
Идентификация и аутентификация пользователей по сертификатам открытых ключей стандарта x.509. Передача аутентификационных данных
пользователя на веб-сервер.
Масштабируемость и отказоустойчивость
Поддержка режима работы в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение
отказоустойчивости достигается добавлением в кластер избыточной ноды.
Континент TLS VPN
8
ViPNet CUSTOM — это более 10-ти лет развития уникальных технологий защиты информации в корпоративных сетях крупных государственных и коммерческих организаций России, проводимого в соответствии с национальными стандартами по информационной безопасности.
ViPNet Administrator (Администратор) — комплекс для настройки и управления защищенной сетью, включающий в себя:• ViPNet NCC (Центр управления сетью, ЦУС);• ViPNet KC & CA (Удостоверяющий и ключевой центр, УКЦ).
ViPNet Policy Manager осуществляет централизованное управление политиками безопасности сетевых узлов защищенной сети ViPNet.
ViPNet Coordinator HW 4
Программно-аппаратный комплекс (ПАК) ViPNet Coordinator является универсальным шлюзом безопасности и предоставляет возможность создать в любой телекоммуникационной инфраструктуре, включая сети связи общего пользования, распределенную виртуальную сеть (VPN), защищенную от сетевых атак и несанкционированного доступа к информации. ПАК ViPNet Coordinator легко инсталлируется в существующую инфраструктуру и соответствует самым жестким требованиям по функциональности, удобству эксплуатации, надежности и отказоустойчивости.
ViPNet CUSTOM
ViPNet Connect
Преимущества программного продукта ViPNet Connect:• все передаваемые данные зашифрованы по требованиям ФСБ
России;• поддерживается межсетевое взаимодействие партнерских
сетей;• трафик между пользователями идет без обработки на сервере;• настройка ViPNet Connect осуществляется из единого ЦУС;• адресная книга ViPNet Connect формируется централизованно
и не может быть самостоятельно изменена пользователем.
9
Основные функции
• Межсетевой экран• Встроенная антивирусная защита• Усиленные механизмы
аутентификации• Расширенный драйвер NAT• VPN-сервер с криптографией• Система обнаружения вторжений• Организация доступа в интернет• Фильтрация веб-сайтов• Ограничение трафика• Регулирование скорости доступа• Учет трафика• Модуль веб-статистики
• Биллинговая система• Поддержка различных протоколов• Управление шириной канала• Кэширование трафика• Поддержка IP-телефонии• Маршрутизация• DHCP-сервер• Публикация ресурсов• Аудит и подробная статистика
действий пользователей и администраторов
• Защищенный доступ в интернет• Контроль приложений
Сертификат ФСТЭК России:
• «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» по ОУДЗ (усиленный);
• «Требованиям к СОВ» - по 4 классу защиты;
• «СВТ. МЭ. Защита от НСД к информации» - по 3 классу защищенности;
• «Защита от НСД к информации. Часть 1. ПО СЗИ. Классификация по уровню контроля отсутствия НДВ» - по 4-му уровню контроля.
10
Единое решение по интернет-безопасности для компании любого размера
Межсетевой экранОбнаружение и
предотвращение вторжений
Контроль приложений (уровень L7)
Защита от современных угроз
Шлюзовой антивирус Контент-фильтрация
VPN-сервер
Единое решение по интернет-безопасности для компании любого размера
Контроль доступа пользователей к сайтам различных категорий, Web 2.0 контенту, закачкам, потоковому видео
Управление допустимой шириной канала и контроль приложений Дешифрация SSL-трафика
Контроль мобильных устройств, поддержка концепции BYOD
Поддержка Transient (временных) пользователей
Поддержка агента авторизации для пользователей терминальных служб,
агента авторизации для платформ Windows
Поддержка механизмов авторизации – LDAP, Kerberos, Radius, Captive Portal
11
UserGate UTM C UserGate UTM D UserGate UTM E UserGate UTM F
Порты 4 х 1 GbE LAN 6 x 1 GbE LAN 6 * 1 GbE LAN 6 * 10 GbE LAN
Источник питания 1 * 40 Вт 1 * 300 Вт 2 * 300 Вт 2 * 720 Вт
Форм-фактор,размеры
Tabletop208 x 181 x 44 мм
1U Rackmount430 x 500 x 44 мм
1U Rackmount430 x 500 x 44 мм
2U Rackmount430 x 558 x 88 мм
Поддерживаемая скорость, Мбит/c
МЭ - 200 Мб/сСОВ - 100 Мб/сКонтент-фильтрация - 30 Мб/сКонтроль приложений - 25 Мб/с
МЭ - 800 Мб/сСОВ - 300 Мб/сКонтент-фильтрация - 100 Мб/сКонтроль приложений - 80 Мб/с
МЭ - 2,5 Гб/сСОВ - 1 Гб/сКонтент-фильтрация - 300 Мб/сКонтроль приложений - 250 Мб/с
МЭ - 10 Гб/сСОВ - 6 Гб/сКонтент-фильтрация - 4 Гб/сКонтроль приложений - 3 Гб/с
Поддерживаемая скорость, Мбит/c
до 50 до 300 до 1000 до 10000
12
Защита рабочих мест
Antimalware
ЛК
Dr. Web
Электронные замки
КБ Соболь
ОКБ САПР Аккорд-АМДЗ
МДЗ-ЭШЕЛОН
СЗИ от НСД
КБ Secret Net
Конфидент Dallas Lock
InfoWatch Endpoint Security Insight
Edition
СКЗИ
КБ Secret Net Studio
ЛК
InfoWatch Endpoint Security Insight
Edition
Аладдин Secret Disk
13
Веб
Antimalware
ЛК
Dr. Web
Фильтрация URL
ЛК
UserGate
Фильтрация контента
UserGate
ЛК
WAF
PT Application
Firewall
Wallarm
Tempesta
14
• Соответствие требованиям ФЗ-139 и ФЗ-436.• Поддержка списков Роскомнадзора.• Фильтрация экстремистских материалов из
списка Министерства Юстиции РФ.• Анализ русскоязычных Интернет-ресурсов.
Блокировка баннеров и всплывающих окон.UserGate Web Filter может блокировать баннеры и всплывающие окна. В ряде случаев на сайтах отображается контент из баннерных сетей, не имеющий отношения к владельцам сайтов. Как следствие, эти баннеры часто содержать нежелательные образы и могут ссылаться на опасные ресурсы. «Вырезание» таких баннеров является эффективной мерой защиты и значительно повышает безопасность использования интернета.
Блокировка категорий сайтов
UserGate Web Filter использует в работе базу электронных ресурсов, разделенных для удобства на категории. Набор сайтов насчитывает более 500 миллионов адресов. База ежечасно пополняется адресами новых зараженных или скомпрометированных сайтов. Особая работа национальных .ru, .su, .рф, .kz, .ua, .by и в других общих и национальных доменах.
Антивирусная проверка загружаемого контентаВстроенные антивирусные модули от компаний Avira и Лаборатории Касперского осуществляют проверку всего загружаемого через интернет контента, включая файлы (exe, doc, mp3, avi, и тд.).
15
PT Application Firewall
16
SVM (Security & Vulnerability Management)
SIEM
PT MaxPatrol SIEM
Эшелон
Джет
Управление инцидентам
и
R-Vision
Контроль соответстви
я
PT MaxPatrol
R-Vision
RedCheck
Сканеры безопасност
и
PT XSpider
Эшелон
ЦБИ
RedCheck
17
MaxPatrol
18
MaxPatrol SIEM
19
RedCheck
20
Другие
SAST/DAST
InfoWatch Appercut
PT Application InspectorЭшелон
AppChecker
ИБ СУБД
МФИ СофтГарда БД
Защищенные ОС
ОС Роса
Эльбрус
ALT Linux
21
PT Application Inspector
22
Гарда БД
Контроль нескольких баз данных из единого центра
управления Oracle, Microsoft SQL, Sybase ASE
Автоматическое обнаружение и
классификация баз данных в сети предприятия
Независимый архив операций с базами данных
Диагностика состояния СУБД Высокая производительность Контроль интернет-обращений к БД через веб-
приложения
23
ОС РОСА "ХРОМ"РОСА "ХРОМ" операционная система сертифицированная ФСТЭК России в настольном и серверном вариантах, используется госструктурами и промышленными предприятиями, работающими с органами государственной власти. Рекомендуется для работы с государственной тайной. Может использоваться в автоматизированных системах уровня не выше 1В.
ОC РОСА "КОБАЛЬТ"Операционная система РОСА “КОБАЛЬТ” сертифицирована ФСТЭК России в настольном и серверном вариантах, используется коммерческими структурами, промышленными предприятиями и органами государственной власти, работающими с конфиденциальной информацией, включая персональные данные. Может использоваться в автоматизированных системах уровня не выше 1Г.
ROSA Enterprise Linux ServerRELS основан на комбинации исходных текстов Enterprise Linux, современных открытых технологий из оригинальных проектов (upstream) и собственных разработок компании “РОСА”.
ОС РОСА
24
Другие
DLP
Инфовотч
SearchInform
FalconGaze
Джет
ИБ виртуализаци
яКод
безопасности
ОКБ САПР
ALTELL
DDoS
QRator
ЛК
25
Ещё другие
Анализ соц. медиа
Крибрум
Лавина Пульс
26
Что такое InfoWatch KRIBRUM?
Система мониторинга социальных медиа - облачный сервис мониторинга обсуждений брендов, компаний или персон в Интернете.
Дает полную структурированную картину восприятия онлайн-аудиторией компании и ее деятельности в режиме реального времени
Предоставляет необходимые инструменты для управления репутацией и противодействия распространению негатива «в сети»
Управление корпоративной репутацией и информационная безопасность.
• Отслеживание неправомерного распространения корпоративной информации.
• Детектирование и отработка негатива, информационных войн и «черного PR».
• Обнаружение фактов ненадлежащего поведения сотрудников в Интернете.
Повышение эффективности маркетинга
• Выявление рыночных тенденций, особенностей региональных рынков
• Создание востребованных продуктов и услуг с учетом отзывов потребителей
• Мониторинг имиджа брендов и инфосреды, выявление активных сообществ и лидеров мнений
Работа с аудиторией, управление лояльностью
• Поддержка клиентов в Интернете – ответы на вопросы и жалобы онлайн
• Развитие отношений с клиентами, прямое общение с аудиторией
Компания как работодатель - мониторинг и анализ социальных медиа
• Анализ образа компании как работодателя.• Сбор информации о кандидатах.
INFOWATCH KRIBRUM
27
Лавина Пульс
Вопросы?
Куриленко Илья, директор по информационной безопасности il.kurilenko@unlim-it.ru, 8(912)3995053
top related