Локализация производства продукции компании Cisco на территории России. Расширение программы взаимодействия с российскими разработчиками в области информационной безопасности

1. Михаил Кадер, инженер
mkader@cisco.com
security-request@cisco.com
Локализация производства продукции
компании Cisco на территории России.
Расширение программы взаимодействия с
российскими разработчиками в области
информационной безопасности

2. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
О чем будем говорить
Производство оборудования компании Cisco в России
Новый сервисный модуль
Совместные разработки

3. Производство на территории России

4. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
В чем состоят инвестиции?
Деньги
Операционная составляющая
Время
Коммуникация требует времени
Знания
Технологии, разработки, ноу-хау

5. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Что делается?
•Компания адаптируется к локальным требованиям
Процессы
•Западные поставщики
•Российские поставщики
Цепочка поставок
•Cisco, Jabil и др.
Рабочие места

6. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Преимущества для заказчиков и партнеров
Существенное сокращение сроков поставки
Оптимизация затрат
Снижение затрат на логистику
Платформа для углубленной локализации
Платформа для адаптации продуктов
Платформа для расширенной сертификации в области информационной безопасности
6

7. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Локальное производство в процессе
Outdoor Wireless (ODM) Corfu (Crypto/perf. issues FAT)
Q4FY15
May
Jun
Jul
Q4FY14
Q1FY15
Q2FY15
Q3FY15
Feb
Mar
Apr
May
Jun
Jul
Aug
Sept
Oct
Nov
Dec
Jan
RVPN
FCS August 2011 (3 PIDs)
UCS-E120S
(5 PIDs)
Set tops - ISB2K
FCS Oct 2011 and EOL March 2013
2911 and standard security bundle, voice and AX bundles FCS April 2012 (1 PID) and FCS of bundles November 2013 (5 PIDs in total)
Wireless Access Point
(10 PIDs in total)
Wireless Access Point
(4 PIDs in total)
IP Phones (CP-7942 and CP-9971)
(6 PIDs in total)
Планируется …
Планируется …

8. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Локальное производство в цифрах
Четыре линейки продукции (30 позиций)
Беспроводные точки доступа
Комплекты маршрутизатора 2911R
IP Телефоны
Сервисные модули
Более 500,000 устройств произведено и отгружено заказчикам
Объем – более 100 m$
8

9. Новый сервисный модуль UCS-EN120SRU

10. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Up to 2 SATA, SAS or SSD hard drives
Lights Out Configuration and
Management Through CIMC
Intel Dual-core processor
On board Hardware RAID 0/1 with Hot-Swap Capability
One External and Two Internal GE Ports
USB 2.0 Port for External Device Connectivity
4 GB
Maximum 65 W Power Draw 80% Less Than Server
Wire-Free, Plug-and-Play Modularity, Low Shipping Weight (2.5 lb/1.1 kg)
Remote and Schedulable Power Management
iSCSI Initiator Hardware Offload
KVM Console connector
10/100 Ethernet Management Port
Платформа UCS-EN120SRU= Cisco 29xx/39xx/4xxx

11. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Преимущества интеграции
Источник: Security Virtues of a Common Infrastructure, J. Tiller, INS

12. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Поддержка голоса, данных и видео
Интеграция со встроенными в Cisco ISR межсетевым экраном, системой предотвращения атак и другими подсистемами защиты
Простота интеграции новых сервисов
Соответствие требованиям российского законодательства
Служба технической поддержки на русском языке
Локализация документации
Простота размещения
Отсутствия отдельного электропитания
Преимущества решения

13. Взаимодействие с Российскими разработчиками

14. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Причины?
Соответствие требованиям заказчиков и пожеланиям партнёров
Соответствие Российской нормативной базе
Расширение технических возможностей продукции Cisco
Элемент локализации

15. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Создание доверенной вычислительной среды на основе продуктов CISCO и технологии Базовый Доверенный Модуль

16. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
+
Состав решения

17. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Области применения:
•Использование в качестве защищенных серверов в АСУ ТП в соответствие приказу ФСТЭК России №31.
•Использование в качестве защищенных серверов и маршрутизаторов в ГИС в соответствие приказам ФСТЭК России №17 и №21.
•Контроль целостности при использовании виртуализированных сред.
•И др.

18. Что такое БДМ:
Специальное программное обеспечение для построения доверенной вычислительной среды.
Аппаратный корень доверия – TPM.
Аппаратная платформа.

19. БДМ обеспечивает:
Усиленную аутентификацию.
Контроль целостности.
Шифрование.

20. БДМ: усиленная аутентификация
Двухфакторная аутентификация – отчуждаемый носитель + пароль.
Аутентификация до загрузки ОС.
Невозможность расшифровки данных и загрузки в доверенный режим до прохождения успешной аутентификации.

21. БДМ: контроль целостности
Контроль целостности обеспечивается до загрузки ОС (ГОСТ Р 34.11-94 ):
Целостность ПО BIOS материнской платы и устройства.
Собственная проверка.
Файлов ОС.
Веток реестра.
Диапазонов кода BIOS.

22. БДМ: шифрование
Криптографическая защита по алгоритму ГОСТ 28147-89.
Прозрачное, сквозное шифрование раздела жесткого диска под доверенной ОС.
Скорость шифрования до 300 мб/с.
Перешифрование жесткого диска при смене ключевой информации.

23. Важное отличие
В отличие от аналогичных решений технология БДМ позволяет разместить в доверенной среде любые приложения и уже используемые в ИС средства защиты, а также контролировать их целостность.

24. Уровень сертификации
Уровень криптографической защиты обрабатываемых и хранимых данных по классу до КС3, в соответствии с требованиями ФСБ.
Соответствие требованиям 17 и 21 приказов ФСТЭК.

25. Преимущества БДМ
Никаких электронных замков.
Никаких специальных настроек изолированной программной среды.
Единое ПО шифрования и обеспечения целостности.
Высокая скорость шифрования – до 300 мбайт/с.
Интуитивно понятен для пользователя.
Легкость в развертывании, эксплуатации и сопровождении.

26. С-ТЕРРА

27. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
О компании Основана в 2003 году Ведущий российский разработчик и производитель сертифицированных средств сетевой защиты на основе технологии IPsec VPN Лицензиат ФСТЭК России и ФСБ России Первый в России технологический партнер Cisco Серебряный партнер Samsung
27

28. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Продукты С-Терра VPN
Программные средства
Шлюзы безопасности
С-Терра Клиент
для сетевых узлов с ОС Windows
С-Терра Клиент-М для мобильных устройств с ОС Android 4.x
С-Терра Шлюз
для защиты сети с любым количеством туннелей
Модуль МСМ-950
для маршрутизаторов Cisco® 2900/3900 и 4451-Х ISR
CSP VPN Gate E
экспортный вариант шлюза
С-Терра Виртуальный шлюз для защиты трафика в виртуальной среде
Специальные решения
С-Терра L2
для защиты сети на канальном уровне
СПДС «ПОСТ»
среда построения доверенного сеанса
С-Терра КП для централизованного удаленного управления VPN- продуктами
Система управления

29. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
С-Терра Шлюз версии 4.1 Расширенные сценарии обработки сетевого трафика, в т.ч.:
Приоритезация, маркировка трафика
Туннелирование трафика Межсетевой экран IKECFG-сервер Интеграция с Radius-сервером Соответствие требованиям современных ГОСТ
ФСБ России – КС1, КС2, КС3, МЭ4
ФСТЭК России – НДВ3, МЭ3, ОУД4+, АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.

30. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
MCM-950 на базе UCS-EN120SRU=
30 Совместная разработка Cisco и «С-Терра СиЭсПи» Протокол IPsec Российские криптографические алгоритмы Интеграция в маршрутизаторы Cisco серий 2900, 3900 и 4000 Производится под контролем «С-Терра СиЭсПи» Гарантийное обслуживание и техническая поддержка - «С-Терра СиЭсПи»
ФСБ России – КС1, КС2, КС3, МЭ4 ФСТЭК России – НДВ3, МЭ3, ОУД4+, АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.

31. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Целевые решения
31

32. ООО «Фактор-ТС»
Технология «Дионис» ТМ

33. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
ООО «Фактор-ТС» Научное производственное предприятие «Фактор-ТС»
Научно-производственное предприятие «Фактор-ТС» основано в январе 1992 года, объемы производства: до 3 000 единиц оборудования в месяц, инженерно - технических работников - 110 человек
Основными видами деятельности ООО «Фактор-ТС» являются:
Разработка, серийное производство и внедрение средств защиты информации –Криптомаршрутизаторов, Межсетевых экранов
Оказание оперативных услуг по ремонту и обслуживанию производимого оборудования, включая средства программного обеспечения.
Все изделия разрабатываются на базе технологии “Дионис” – собственной, полностью отечественной разработки, не имеющей прямых аналогов ни в России, ни за рубежом, отвечающей всем основным требованиям РД ФСТЭК и требованиям ФСБ России к информационной безопасности.
Средства защиты информации, содержащей сведения, составляющие государственную тайну, на сегодняшний день имеют более 2500 внедрений в государственных ведомствах. В 2013 году это количество существенно увеличится
Средства защиты информации для служебного пользования имеют 6200 внедрений в государственных ведомствах (без учета программных решений)

34. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Совместное решение Cisco и Фактор-тс для государственных органов
Компании Cisco Systems и ООО «Фактор-ТС» представляют совместное решение, объединяющее эффективные сервисные возможности оборудования Cisco и сертифицированные функции защиты ПО Dionis-NX, разработки ООО «Фактор-ТС». Данное решение может применяться в государственных информационных системах, органах власти, министерствах и ведомственных сетях связи для построения мультисервисной инфраструктуры, предоставляющей услуги передачи, хранения, обработки конфиденциальной, служебной и открытой информации в соответствии с требованиями законодательства Российской Федерации. Решение оптимизировано для использования в распределенной организационной структуре с большим количеством региональных узлов и обеспечивает соблюдение ключевых параметров – доступности, масштабируемости, безопасности – на протяжении всего жизненного цикла информационной системы.

35. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Архитектура решения
Основным вариантом реализации совместного решения является применение маршрутизаторов Cisco 29xx/39xx ISR Series совместно с модулем Cisco NME-RVPN первого или второго поколения с установленным ПО Dionis-NX.
Базовые элементы архитектуры включают в себя КСПД с использованием маршрутизаторов Cisco и криптомаршрутизаторов на основе программного обеспечения Dionis-NX разработки ООО «Фактор-ТС», распределенные центры обработки данных (ЦОД) для обработки и хранения данных на серверной платформе Cisco UCS, системы совместной работы для передачи видео-, аудио- информации, а также мгновенных сообщений. Во всех элементах предусмотрено использование интегрированных компонентов управления и безопасности, что позволяет гарантировать сквозное соблюдение этих характеристик.
Полнофункциональное решение включает также: средства оптимизации трафика приложений, что может быть необходимо на спутниковых каналах связи или при передаче больших объемов информации; периметр безопасности при взаимодействии с партнерскими сетями или сетью общего пользования Интернет; возможность организации микрофилиалов на несколько пользователей с использованием программных решений.

36. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Функциональность Dionis-NX
Программное обеспечение «Dionis-NX»
Характеристики
Значения
Криптографическая защита
КС1, КС3 по ГОСТ 28147-89 (Сертификат СФ/124-2275 от 17 декабря 2013 года, действителен до 17 декабря 2016 года)
Класс защиты
2 класс МЭ, 2 НДВ, 1Б (совершенно секретно) и при создании информационных систем персональных данных до класса К1 включительно
Скорость маршрутизации
До 150 Гб/сек, в зависимости от аппаратной платформы и режима функционирования
Скорость в режиме шифрования
До 8 Гб/сек в зависимости от аппаратной платформы
Поддерживаемые интерфейсы
Ethernet 10/100/1000 TX/FX, Ethernet/SFP 10 000 TX/FX,SFP, Е1
Поддерживаемые протоколы
ICMP, Telnet, SNMP, DHCP, DHCP-Relay, DHCP-Proxy, DNS, SNTP, HTTP, HTTP-Proxy, FTP, LLDP
Создание VPN
ГОСТ, GRE, GRE tap, PPTP, L2TP; DiSec, IPSec
Количество одновременно работающих статических туннелей
До 4000
Возможность агрегации каналов, балансировки и шейпинга трафика
есть
Приоритезация трафика
QoS, CoS, Policy-Based Routing (PBR), Shaping, Bandwidth
Поддержка IP-Multicast, в случае организации ВКС
DVMRP, IGMP, Protocol Independent Multicast sparse mode (PIM SM)
Резервирование
VRRP, аппаратный кластер
Возможность удаленного управления
WEB-интерфейс (HTTP), SNMP, SSH, Telnet

37. ИНФОТЕКС

38. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
ОАО ИнфоТеКС образовано в 1991. Сегодня компания является одним из крупнейших разработчиков систем информационной безопасности в России и преимущественно сконцентрирована на разработке VPN и PKI решений, распространяемых на рынке под известной торговой маркой .
О компании ИнфоТеКС
В ОАО Инфотекс и его дочерних компаниях работает более 600 сотрудников
Боле 300 из них работают в Центре Разработки Программного обеспечения. 12 сотрудников - это кандидаты технических и физико-математических наук, а также доктора наук, специализирующиеся на исследованиях в сфере информационных технологий и криптографии.
Решения компании имеют сертификаты ФСБ России и ФСТЭК России, индустриальный сертификат TUV в Германии и сертификат КНБ Казахстана (локализованные изделия).
Инфотекс является секретариатом российского национального Технического Комитета 26, который отвечает за стандартизацию криптографических алгоритмов и протоколов их применения в РФ. Эксперты ТК26 представляют Россию в ISO (WG2 SC27).

39. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
ViPNet Coordinator
Firewall, NAT, antispoofing
VPN-server
Cisco SCCP (skinny), SIP, H.323, SCCP, FTP
DNS, NTP-server, DHCP-server, DHCP-Relay
VLAN, QoS support
Trunk data link encryption
Шифрование по ГОСТ 28147-89 (256 бит)
Peer 2 Peer VPN
Универсальность и масштабируемость
Поддержка SNMP trap для удаленного оповещения

40. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
ViPNet IDS (СОВ)
Обнаружение компьютерных атак на основе динамического анализа сетевого трафика стека протоколов TCP/IP
Установление источников компьютерных инцидентов
Производить эвристический анализ по выявлению аномалий в сетевом трафике и в действиях пользователей ViPNet IDS.
Регистрация компьютерных атак (вторжений) в моменты времени, близкие к реальным, с уведомлением администратора
Автоматически передавать параметры ViPNet IDS в системы управления событиями ИБ в формате syslog или syslog (CEF)

41. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public

42. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Positive Technologies Application Firewall

43. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
HP 2012 Cyber Risk Report
Статистика уязвимостей

44. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
В 2013 г. в 35% случаев взлома вектор атаки был направлен на веб-приложения
Verizon 2014 Data Breach Investigations Report
Статистика взломов

45. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Статистика утечек информации

46. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Статистика тестов на проникновение

47. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
WAF – не IPS

48. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Ключевые преимущества PT AF
Автоматическое обучение
Акцент на основных угрозах
Автономный режим работы
Обнаружение сложных атак на стороне клиента
Устранение угроз без обновления ПО

49. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Акцент на основных угрозах
Агрегация
Классификация и группировка сходных событий
Корреляция
Выявления цепочки развития атаки
Проверка степени угрозы
Встроенный сканер уязвимостей для оценки степени угрозы атак

50. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Режимы
Firewall
Switch
Load Balancer
Web Servers
PT Application
Firewall
Firewall
Switch
Load Balancer
Web Servers
PT Application
Firewall
Span Port
Firewall
Switch
Load Balancer
Web Servers
PT Application
Firewall
Log Files
OFFLINE
Обратный прокси-сервер
Режим мониторинга
Автономный режим

51. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Варианты поставки PT AF
PT AF доступен как:
Физическое устройство (ПАК)
Виртуальное устройство
(виртуальная машина)
SaaS

52. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
ИТАК
PT Application Firewall
Необходимый элемент эшелонированной защиты веб-приложений и процесса безопасной разработки приложений
Высочайший уровень защищенности веб-приложений от практиков анализа защищенности веб
Высокая надежность и скорость работы, проверенная в крупнейших организациях
Минимум трудозатрат на настройку и анализ результатов
Выполнение требований стандарта ЦБ РС БР ИББС-2.6-2014, приказов ФСТЭК № 17 и 21 и стандарта PCI DSS

53. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Positive Technologies MaxPatrol
30,000+
проверок на известные уязвимости
1,000+
анализируемых систем
5,000+
параметров конфигурации
100+
уязвимостей 0-day в год

54. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Ключевые возможности MaxPatrol
Инвентаризация и детализированная проверка
Комплексная оценка защищенности
Ежедневно обновляемая база знаний
Постоянный контроль соответствия
Технические и высокоуровневые отчеты

55. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Аудит парольной политики
Обнаружение
вредоносного ПО
Контроль целостности
Обнаружение критичных данных
Сканирование с низким уровнем прав доступа,
без установки программ-агентов
Контроль безопасности
веб-приложений
Кроме того

56. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
MaxPatrol – комплексное решение

57. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Как это работает?

58. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Результаты сканирования в режиме PenTest

59. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Результаты сканирования в режиме Audit

60. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Результат сканирования в режиме Compliance

61. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
MaxPatrol Cisco SourceFire

62. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public

63. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public

64. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Cisco SourceFire

65. ЗАКЛЮЧЕНИЕ

66. © Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Компания Cisco продолжает активно инвестировать в развитие локального производства в России
Взаимодействие с Российскими разработчиками является одним из приоритетных направлений
Заключение

67. CiscoRu
Cisco
CiscoRussia
#CiscoConnectRu
Спасибо за внимание!
Пожалуйста, используйте код для оценки доклада
5992
Ваше мнение очень важно для нас
25.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.