Подсистема защиты информации от несанкционированного доступа, обеспечивающая безопасное взаимодействие между всеми филиалами и ЦОДами РСХБ
получить КонсультациюПоставленные задачи
ИТ-задача
- Использование оборудования и ПО только из реестров Минцифры и Минпромторга.
- Единое централизованное управление всем парком устройств (более 1,5 тыс.).
- Поддержка динамического построения крипто-туннелей.
- Поддержка протоколов статической и динамической маршрутизации.
- Поддержка отечественных алгоритмов шифрования и наличие сертификата соответствия ФСБ России
- Обеспечение требуемой производительности для разных типов объектов информатизации.
Ограничения проекта
Решение
Исходя из требований заказчика было выбрано решение от компании ООО «С-Терра СиЭсПи», которое базируется на технологии DMVPN (Dynamic Multipoint Virtual Private Network — динамическая многоточечная виртуальная частная сеть) — технология для создания виртуальных частных сетей с построением динамических туннелей между узлами взаимодействия и основывается на совместной работе протоколов разрешения шлюза NHRP (Next Hop Resolution Protocol), протокола туннелирования mGRE (multipoint Generic Routing Encapsulation), шифрования IPSec (сокращение от IP Security — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP) и протоколов динамической маршрутизации: OSPF, BGP и других.
Для обеспечения безопасности и выработки ключевых материалов решение строится с использованием инфраструктуры открытых ключей (ИОК, англ. PKI — public key infrastructure).
IPSec туннелирование и шифрование строится с использованием алгоритма ГОСТ Р 34.12-2015 «Кузнечик». За распространение маршрутной информации между узлами инфраструктуры отвечает протокол BGP (Border Gateway Protocol).
Применяемые решения
DMVPN
технология, предназначенная для создания виртуальных частных сетей с построением динамических туннелей между узлами взаимодействия.Результаты проекта
- Полностью импортозамещенное решение.
- Соответствие инфраструктуры Банка требованиям регуляторов
- Шифрование отечественным алгоритмом шифрования «Кузнечик»
- Уменьшение времени приема-передачи между источником и получателем сервиса
- Простота настройки и масштабирования
- Сокращение точек отказа при информационном взаимодействии