Программно-аппаратный комплекс (ПАК) "ФПСУ-TLS" является программно-техническим средством защиты от несанкционированного доступа к информации, в котором реализован необходимый набор телекоммуникационных функций сервера в соответствии с требованиями протокола TLS (The Transport Layer Security Protocol, RFC 5246). Комплекс выполняет функцию защиты данных, передаваемых в соответствии с протоколом HTTP в глобальных и локальных вычислительных сетях.
В составе комплекса "ФПСУ-TLS" используется средство криптографической защиты информации СКЗИ "ФПСУ-TLS", что позволяет осуществлять шифрование передаваемой информации в соответствии с ГОСТ 28147-89.
ПАК "ФПСУ-TLS" предназначен для применения в вычислительных сетях, использующих среду передачи данных Ethernet, тип кадра Ethernet_II, и стек протоколов TCP/IP. Основным назначением ПАК "ФПСУ-TLS" является обеспечение защиты от несанкционированного доступа (НСД) к информации, передаваемой между HTTP-серверами локальной вычислительной сети и удаленными абонентскими пунктами через сети передачи данных общего пользования.
Комплекс является основным компонентом (сервером) распределенной системы защиты передаваемых данных от НСД. В качестве абонентских пунктов системы (клиентов) может выступать программное или программно-аппаратное решение, взаимодействующее с ПАК "ФПСУ-TLS" в роли клиента в соответствии с протоколом TLS (далее TLS-клиент).
Комплекс "ФПСУ-TLS" обеспечивает формирование защищенных межсетевых HTTPS туннелей в соответствии с протоколом TLS v.1.1 и v.1.2.
• обязательная двухсторонняя аутентификация взаимодействующих "ФПСУ-TLS" и TLS-клиента при установлении TLS-соединения;
• шифрование HTTP-трафика с использованием встроенного СКЗИ "ФПСУ-TLS", обеспечивающее сокрытие и целостность передаваемых данных.
"ФПСУ-TLS" представляет собой специализированное программно-аппаратное устройство, функционирующее на аппаратной платформе под управлением ОС Linux. Ключевая система защиты передаваемой информации построена на основе сертификатов X.509.
Аутентификация и идентификация между "ФПСУ-TLS" и TLS-клиентами осуществляется на базе инфраструктуры открытых ключей (Public Key Infrastructure - PKI) в соответствии с протоколом TLS. Для удаленного управления "ФПСУ-TLS" используется программный комплекс «Удаленный администратор «ФПСУ-IP», которое предназначено для организации автоматизированного рабочего места централизованного управления и мониторинга состояния "ФПСУ-TLS". Программное обеспечение комплекса функционирует в собственной изолированной и функционально замкнутой операционной среде, создаваемой подсистемой ACCESS-TM SHELL. Подсистема осуществляет разграничение доступа к обслуживаемому компьютеру, защиту программных и информационных модулей на жестком диске компьютера, а также реализует диалоговую среду для управления работой комплекса "ФПСУ-TLS". "ФПСУ-TLS" содержит удобные диалоговые средства для управления своей работой (настройки сетевых параметров, установления правил идентификации и аутентификации доступа к комплексу, просмотра регистрационной информации, настройка сертификатов), а также для установки некоторых параметров работы самого компьютера (даты и времени).
Разграничение доступа администраторов и контроль их полномочий при запуске комплекса "ФПСУ-TLS" и управлении его работой осуществляется подсистемой ACCESS-TM SHELL по предъявляемым администраторами электронным идентификаторам "touch-memory".
Программно-аппаратный комплекс "ФПСУ-TLS" разработан ООО "АМИКОН" (лицензии ФСБ РФ № 8264 П от 13 января 2010 г., ФСТЭК России № 0307 от 21 ноября 2006 г.).
Для реализации функций шифрования протокола TLS в состав комплекса входит средство криптографической защиты информации (СКЗИ) "Туннель-TLS".
| Производитель | ООО АМИКОН |
| ОС / стек протоколов | LINUX 32/64 бита / TCP/IP |
| Аппаратная конфигурация | Форм-фактор 1U, 2 процессора Xeon E5, 12 GB ОЗУ, SSD, 2 блока питания в режиме резервирования. |
| Количество интерфейсов и тип | 2; 10/100/1000 Ethernet(UTP), оптические интерфейсы -опционально. |
| Алгоритм шифрования | ГОСТ 28147-89 |
| VPN-протокол | TLS v.1.1-1.2 |
| Ключевая система / распределение ключей | Асимметричная, на базе сертификатов x.509. Обеспечение возможности генерации секретных ключей непосредственно пользователем |
| Управление и мониторинг | Локальное конфигурирование. Защищенное удаленное управление через WEB-интерфейс по протоколу TLS. Передача сообщений по протоколу Syslog. SNMP-мониторинг. |
| Собственная безопасность | Аудит событий и действий персонала |
| Отказоустойчивость и масштабирование | Отказоустойчивость реализуется с использованием протокола VRRP. Масштабируемость реализуется путем кластеризации комплексов c помощью механизма IPVS |
| Механизм защиты от DDoS | Временная блокировка IP-адресов подозрительных пользователей, определяемых по характеру сетевой активности |
| Проверка на отзыв сертификатов | Проверка сертификатов в CRL, в том числе в нескольких, выпущенных разными издателями |
| Дополнительные возможности | Защита нескольких www-систем. NAT-трансляция для внутренних соединений |
| Удаленный клиент | Семейство VPN-key-TLS и другие SSL/TLS клиенты, поддерживающие протокол TLS 1.1-1.2 с шифрованием по ГОСТ 28147-89 (КриптоПро и др.) |
| Производительность "ФПСУ-TLS" | Шифрование до 1 Гб/сек. |
| Максимальная скорость установления TLS-сессий, в сек | Без трафика - 1050 соединений в сек. MIX-режим с трафиком пользователей 350 Мб/сек - 550 соединений в сек. |
| Максимальное число одновременно работающих TLS-сессий | До 15000 на одном устройстве |
