5.4Требования к системе защиты каналов связи 5.4.1Назначение СЗКС Для организации защиты каналов связи между объектами автоматизации Исполнителем должно быть установлено и настроено оборудование СЗКС. 5.4.2Требования к структуре и составу СЗКС СЗКС должна состоять из:
центра управления, реализующего функции управления защищённой сетью;
криптографических шлюзов;
средств защиты каналов связи для мобильных терминалов.
Спецификация необходимого оборудования и программного обеспечения СЗКС приведена в Приложении Б. 5.4.3Общие требования к СЗКС Оборудование и программное обеспечение СЗКС должно быть совместимо с оборудованием защиты каналов связи, поставленным в рамках Государственных контрактов №0148200003912000340-0186732-02 и № 0148200003911000370-0186732-02, заключенных между Министерством здравоохранения Московской области и ОАО «Ростелеком». В качестве центра управления, реализующего функции управления защищённой сетью, должен использоваться центр управления, который был введен в эксплуатацию в рамках Государственного контракта № 0148200003911000370-0186732-02 от 16 июля 2012 г., заключенного между Министерством здравоохранения Московской области и ОАО «Ростелеком». Оборудование и программное обеспечение СЗКС должно быть полностью совместимо с вводимым в эксплуатацию центром управления. В случае если в предлагаемом участником размещения заказа техническом решении по реализации компонента СЗКС для его функционирования будет требоваться использование программных продуктов (программного обеспечения), то Исполнителем должны быть предоставлены Заказчику все необходимые права на использование данных программных продуктов (без нарушения прав третьих лиц). Условия и порядок предоставления прав определяются в государственном контракте, заключаемом по итогам проведения соответствующей процедуры размещения заказа. При этом право на использование ПО, в отношении которого должна быть предоставлена простая (неисключительная) лицензия, должно быть ограничено пределами, предусмотренными лицензионными условиями для конечного пользователя, а именно ограниченное правом инсталляции, копирования и запуска ПО в соответствии с лицензионным соглашением для конечного пользователя, находящегося на территории России. Заказчику должно быть предоставлено право предоставить (передать) полученное от Исполнителя право на использование ПО в установленных выше пределах конечному пользователю, находящемуся на территории России.
5.4.4Топология Схема взаимодействия ЦОД ТИ ЦС ЕДС ССМП МО и станций СМП представлена на рисунке .
Рисунок - Схема взаимодействия ЦОД ТИ ЦС ЕДС ССМП МО и станций СМП
В рамках работ должна быть решена задача подключения объектов информатизации к опорной сети Заказчика. На логическом уровне сеть в пределах СЗКС должна быть организована с топологией «звезда», центром которой должен быть ЦОД ТИ ЦС ЕДС ССМП МО. 5.4.5Маршрутизация Для обеспечения единства телекоммуникационной сети Исполнитель должен определить и согласовать с Заказчиком единый для всех станций СМП адресный план IP VPN. Кроме того, в целях обеспечения дальнейшего масштабирования телекоммуникационной сети Исполнитель должен предусмотреть в адресном плане IP VPN выделение не менее 70-ти дополнительных свободных адресов для иных объектов, которые будут включаться в сеть на последующих этапах. Адресация сетевых устройств, размещенных на объектах автоматизации, должна выбираться из пространства частных адресов (согласно RFC1918) и должна соответствовать единому IP-адресному плану, разработанному Исполнителем и согласованному с Заказчиком. Для обеспечения маршрутизации трафика в СЗКС должна использоваться статическая маршрутизация между пограничным оборудованием и оборудованием опорной сети Заказчика. 5.4.6Требования к техническому обеспечению СЗКС На каждой станции должно быть установлено два криптографических шлюза. Должна быть обеспечена отказоустойчивость и сохранение работоспособности СЗКС при выходе из строя одного из шлюзов путём автоматического переключения нагрузки на функционирующий шлюз. Требования к криптографическим шлюзам Криптографические шлюзы должны отвечать следующим требованиям:
программно-аппаратный комплекс должен иметь встроенную операционную систему GNU/Linux (или эквивалент);
число сетевых портов должно составлять не менее 4 Ethernet 100/1000 Мбит;
в составе должно быть программное обеспечение, соответствующее требованиям ФСТЭК России к межсетевым экранам по 3 классу, отсутствию не декларируемых возможностей по 3 уровню, иметь ОУД не ниже «4+» и возможностью использования в АС до класса 1В включительно;
иметь сертификат ФСБ России на соответствие требованиям СКЗИ по классу КС3;
иметь сертификат ФСБ России на соответствие требованиям к межсетевым экранам по 4 классу;
программно-аппаратный комплекс должен иметь встроенный жёсткий диск;
обеспечивать шифрование IP-трафика на сетевом уровне по ГОСТ 28147-89 производительностью не менее 20 Мбит/с;
поддерживать раздельную фильтрацию для открытого IP-трафика (функция межсетевого экрана) и шифруемого IP-трафика (функция криптошлюза);
иметь встроенный межсетевой экран, соответствующий классу 3 по требованиям ФСТЭК России;
иметь встроенные DHCP, NTP, DNS-серверы;
осуществлять функции прокси-сервера защищенных соединений;
предоставлять функции туннелирующего сервера не менее чем на 10 (десять) устройств;
предоставлять функции сервера IP-адресов;
криптошлюз должен использовать IP-адресацию для организации защищённых каналов связи с другими криптошлюзами и криптографическими клиентами, основанную на шестнадцатеричных идентификаторах;
программно-аппаратный комплекс, реализующий функции криптографического шлюза, должен шифровать каждый IP-пакет на уникальном ключе, основанном на паре симметричных ключей связи с другими криптографическими шлюзами и клиентами, выработанных в программном обеспечении, реализующем функции управления защищённой сетью.
Требования к средствам защиты каналов связи мобильных терминалов Средства защиты каналов связи мобильных терминалов должны представлять собой программное обеспечение, устанавливаемое на мобильные терминалы. Средства защиты каналов связи мобильных терминалов должны обеспечивать:
блокирование взаимодействия мобильного терминала с сетью Интернет за исключением шифрованного канала связи до ТИ ЦС ЕДС ССМП МО;
обеспечивать шифрование трафика до ТИ ЦС ЕДС ССМП МО в соответствии с алгоритмом шифрования ГОСТ 28147-89.
5.4.7Требования к работам по СЗКС
В рамках работ по организации СЗКС должны быть выполнены следующие работы:
оснащение объектов автоматизации оборудованием СЗКС;
установка средств защиты каналов связи на мобильные терминалы;
настройка защищённых соединений ССМП и мобильных терминалов с ТИ ЦС ЕДС ССМП МО.
|
