Загальні відомості

Назва засобу: шлюз мережний “Бар’єр-1ЦСК”.

Призначення засобу

Мережний шлюз призначений для:

• попередження витоку інформації, що обробляється у закритому сегменті інформаційно-комунікаційної системи (мережі), у підключений до нього відкритий сегмент відкритих зовнішніх мереж, в яких розміщені центри сертифікації ключів (ЦСК), в т.ч. ЦЗО та ЗЦ;
• захисту пристрою від несанкціонованого доступу (НСД);
• моніторингу роботи пристрою.

Функціональні характеристики засобу

У закритому сегменті (закритих внутрішніх мережах) може оброблятися відкрита інформація та службова інформація. Це можуть бути локальні обчислювальні мережі (ЛОМ) з серверами та робочими станціями (РС) користувачів ЦСК.

Шлюз підтримує роботу з усіма сумісними ЦСК (надавачами ЕДП) у зовнішніх (відкритих мережах).

Структурна схема застосування шлюзу наведена на рисунку.


Попередження можливості витоку інформації забезпечується шляхом:

• приймання OCSP-запитів (запитів на пошук та перевірку статусу сертифікатів) через інтерфейс закритого сегмента та відправка переформованих запитів до ЦСК через інтерфейс відкритого сегмента;
• приймання через інтерфейс відкритого сегмента та передача через інтерфейс закритого сегмента OCSP-відповідей;
• приймання TSP-запитів (запитів на формування позначок часу) через інтерфейс закритого сегмента та відправка переформованих запитів до ЦСК через інтерфейс відкритого сегмента;
• приймання через інтерфейс відкритого сегмента та передача через інтерфейс закритого сегмента TSP-відповідей із позначками часу;
• приймання CMP-запитів (запитів на отримання сертифікатів) через інтерфейс закритого сегмента та відправка переформованого запиту до ЦСК через інтерфейс відкритого сегмента;
• приймання через інтерфейс відкритого сегмента та передача через інтерфейс закритого сегмента CMP-відповідей, які містять ланцюжок сертифікатів;
• приймання HTTP-запитів на завантаження списків відкликаних сертифікатів (СВС) через інтерфейс закритого сегмента та завантаження їх з ЦСК через інтерфейс відкритого сегмента;
• приймання через інтерфейс відкритого сегмента та передача через інтерфейс закритого сегмента завантажених СВС;
• приймання через інтерфейс закритого сегменту даних віддаленого управління з попередньою автентифікацією адміністратора та шифрування управляючої інформації;
• ведення журналу аудиту.

Пристрій підтримує синхронізацію часу за протоколом NTP та може працювати в режимі NTP-клієнта (синхронізація часу від NTP-сервера у зовнішній мережі (відкритому сегменті)) та NTP-сервера (для синхронізації часу на засобах користувачів у закритих внутрішніх мережах (закритому сегменті)). Також може бути одночасно і NTP-клієнтом, і сервером.

Управління шлюзом здійснюється віддалено з робочої станції адміністратора через мережу після виконання протоколу автентифікації за паролем та з подальшим шифруванням управляючої інформації при передачі.

Функціональна схема роботи шлюзу наведена на рисунку.



Шлюз може функціонувати в режимі підміни (підстановки) DNS-імен ЦСК (ЦЗО та ЗЦ) у IP-адресу внутрішнього інтерфейсу пристрою або у режимі proxy-сервера (HTTP).

Пристрій підтримує можливість управління шляхом локального (прямого) підключення робочої станції чи портативного комп’ютера адміністратора без автентифікації.

Шлюз підтримує передачу події реєстрації за протоколом syslog та видачу інформації про стан функціонування та статистику роботи за протоколом SNMP для підключення його до систем (серверів) моніторингу.

З метою резервування роботи два шлюзи можуть бути об'єднані у двохвузловий кластер. При цьому один з них функціонує у основному режимі, а інший - у режимі гарячого резерву. У випадку виходу з ладу основного пристрою - резервний переходить у режим основного.

Структурна схема двохвузлового кластера шлюзів наведена на рисунку.



У випадку використання кластеру із двох шлюзів, для обміну інформацією про роботоспроможність (обміну heartbeat-пакетами) між двома вузлами кластера, використовуються обидва мережні інтерфейси кожного зі шлюзів (вузлів).

Конструкція та технічні характеристики засобу

Пристрій виконаний у вигляді окремого мережного вузла.

Конструктивно мережний шлюз являє собою системну платформу у металевому корпусі висотою 1U та призначену для встановлення в 19-ти дюймову стійку. Пристрій має 2 мережних інтерфейси Ethernet 10/100/1000. Опціонально можуть встановлюватися 2 додаткових мережних інтерфейси Ethernet 10000 з SFP-модулями, які агрегують основні мережні порти.

Пристрій виконаний у кліматичному виконанні групи 2 згідно з ГОСТ 21552-90. Відповідно до цього мережний шлюз відноситься до групи 1 технічних засобів призначених для експлуатації в наземних стаціонарних приміщеннях і спорудах.

Електроживлення пристрою здійснюється від загальної мережі електроживлення із напругою 220 В.

Один мережний інтерфейс пристрою призначений для підключення до відкритого сегменту мережі (зовнішніх відкритих мереж), в якому розміщені ЦСК (в т.ч. і ЦЗО та ЗЦ), а другий - для підключення до закритого сегменту мережі (внутрішніх відкритих мереж), в якому знаходяться користувачі ЦСК.

Захист пристрою від НСД забезпечується шляхом:

• безперервного контролю цілісності корпусу;
• блокування передачі інформації та знищення внутрішнього ПЗ у разі виявлення спроби НСД;
• ведення журналів аудиту подій управління і стану функціонування пристрою (проходження інформації тощо);
• автентифікації адміністратора при доступі до функцій налаштування роботи пристрою (управління) та шифрування управляючої інформації під час віддаленої передачі.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:

• формати сертифікатів та списків відкликаних сертифікатів – згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280;
• формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно технічних рекомендацій RFC 2560;
• формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161.

Швидкість передачі OCSP-, TSP та CMP-запитів – не менше 350 Мбіт/c (до 7 Гбіт/с) із кількістю одночасних підключень – не менше 2 500 (до 40 000).