Устройство криптографической защиты БАС

Комплекс программно-аппаратный криптографической защиты информации «БАС», СЮИК.465634.001

ТУ BY 100037461.010-2015

Предназначен для защиты объектов, обрабатывающих информацию ограниченного распространения путем реализации протокола IPsec.

 

Устройство защиты клиента:

12

Сервер защиты:

3.png4

 

Параметры:

Устройство защиты клиента обеспечивает:

– защиту информации, передаваемой по каналам связи со скоростью до 5 Мбит/с;

– подключение к 10/100 Мбит/с Ethernet IEEE 802.3 порту IP-сети;

– подключение к 10/100 Мбит/с Ethernet IEEE 802.3 порту IP-телефона;

– наличие порта управления, отличного от портов обмена защищаемыми данными.

Сервер защиты обеспечивает:

– защиту информации, передаваемой по каналам связи со скоростью от 300 Мбит/с;

– подключение к 100/1000 Мбит/с Ethernet IEEE 802.3 порту IP-сети;

– подключение к 100/1000 Мбит/с Ethernet IEEE 802.3 порту SIP-сервера.

Сервер защиты и устройство защиты клиента обеспечивают:

– шифрование трафика в соответствии с СТБ 34.101.31-2011 и ГОСТ 28147-89;

– контроль целостности трафика в соответствии с СТБ 34.101.31-2011, СТБ 34.101.47-2017 и ГОСТ 28147-89;

– генерацию ключей в соответствии с СТБ 34.101.45-2013 с использованием физического датчика случайной цифровой последовательности;

– согласование ключей симметричного шифрования в соответствии с СТБ 34.101.66-2014.

 

Расширенные параметры:

Описание Спецификация
Количество одновременно поддерживаемых VPN туннелей неограниченное количество.
Производительность

От 300 Мб/с для Сервера защиты (определяется договором на поставку);

До 5 Мб/с для Устройства защиты клиента.

Количество сетевых интерфейсов Не менее 2.
Алгоритмы шифрования

СТБ 34.101.31-2011 (п. 6.3, 6.4, 6.5);

ГОСТ 28147-89 (п.3, 4).

Алгоритмы контроля целостности (имитозащита)

СТБ 34.101.31-2011 (п. 6.6);

СТБ 34.101.47-2017 (п. 6.1);

ГОСТ 28147-89 (п. 5).

Генерация ключевой пары СТБ 34.101.45-2013 с использованием физического датчика случайных чисел.
Алгоритмы электронной цифровой подписи СТБ 34.101.45-2013.
Алгоритмы вычисления хэш сумм СТБ 34.101.31-2011 (п. 6.9).
Взаимная аутентификация устройств и выработка общего ключа СТБ 34.101.66-2014 (п.7.5).
Генерация случайных чисел Аппаратный физический датчик.
Генерация псевдослучайных чисел СТБ 34.101.47-2017 (п. 6.2, 6.3).
Стандарты IKE/IPsec RFC 4301-4308.
Защита трафика

Протоколы IPsec:

– IPsec Encapsulating Security Payload (ESP) – инкапсуляция пакетов данных;

– IPsec Authentication Header (AH) – защищенный заголовок.

Управление ключами Протокол IKEv2.
Работа через NAT Протокол NAT Traversal IPsec.
Обеспечение надежности защищенных соединений Протокол Dead Peer Detection (DPD).
Управление

Локально;

удаленно по протоколу SSH.

Событийное протоколирование Средствами syslog.
Формат сертификатов открытых ключей СТБ 34.101.19-2012.
Поддерживаемые системы сертификатов открытого ключа ГосСУОК, Mailgov, УЦ БУТБ, УЦ «АСБ Беларусбанк».
Формат запроса на выпуск сертификата открытого ключа СТБ 34.101.17-2012.
Поддержка списка отозванных сертификатов СТБ 34.101.19-2012.
Защита от несанкционированного доступа Датчик вскрытия корпуса.
Самотестирование

При запуске устройства и по запросу администратора:

– контроль работоспособности аппаратных компонентов устройства;

– контроль целостности встроенного ПО;

– контроль работоспособности криптографических алгоритмов.

Электропитание

Сеть электропитания общего пользования 220-230 В с частотой 49-51 Гц для Сервера защиты.

От защищаемой сети по протоколу PoE (IEEE 802.3at) или 5 B (USB) для Устройства защиты клиента.

Потребляемая мощность

До 50 Вт для Сервера защиты.

До 5 Вт для Устройства защиты клиента.

Фильтрация трафика средствами iptables.
Маршрутизация 

статическая маршрутизация;динамическая маршрутизация:

– Routing Information Protocol (RIP);

– Open Shortest Path First (OSPF);

– Border Gateway Protocol (BGP). 

Механизмы обеспечения отказоустойчивости

Virtual Router Redundancy Protocol (VRRP);

Common Address Redundancy Protocol (CARP);

Reverse Route Injection (RRI).