Samara Portal Technology, Computers

Самарский портал "Технологии, компьютеры"

Одно из главных событий второго форума Cisco Expo Learning Club, посвященного последним решениям Cisco в области сетевых технологий – презентация семейства новейших решений CSP VPN Gate 3.1 на платформе Cisco C200. Решения разработаны компанией «С-Терра» совместно с компанией Cisco для обеспечения защиты сетевых взаимодействий.

Александр Палладин, глава пресс-службы ООО «Сиско Системс». Презентация семейства новейших решений CSP VPN Gate 3.1 на платформе Cisco C200. Второй ежегодный форум участников Cisco Expo Learning Club. Москва. 24 июня 2010 г. Фото: Владислав Бояров.

Открыл пресс-конференцию по CSP VPN Gate 3.1 на платформе Cisco UCS C200 глава пресс-службы ООО «Сиско Системс» Александр Палладин. В первую очередь он отметил уникальность мероприятия Cisco Expo Learning Club, сказал, что его организация была своеобразным ответом компании Cisco на ту тягу к знаниям, которую проявляют российские специалисты. И на сегодняшний день этот форум является самым крупным мероприятием по повышению квалификации ИКТ-специалистов на постсоветском пространстве. Г-н Палладин напомнил присутствующим о том, что несколько часов назад состоялась историческая встреча президента РФ Дмитрия Медведева и президента Cisco Джона Чемберса (John Chambers) и сказал, что за те 16 лет, которые ему довелось проработать в ИКТ-индустрии, это первый визит главы нашего государства в ведущую ИКТ-компанию. Г-н Палладин выразил уверенность в том, что во главе нашего государства стоит очень современный руководитель, который хорошо понимает, что без принятия срочных мер по внедрению современных информационных технологий Россия так и будет скатываться всё ниже и ниже относительно других стран по уровню экономического развития и качеству жизни. Был упомянут и сколковский проект, в число участников которого вошли Крейг Барретт и Джон Чемберс.

В пресс-конференции от компании «С-Терра» приняли участие генеральный директор Сергей Рябко и директор специальных проектов Алексей Афанасьев, а от компании Cisco ведущий специалист по вопросам информационной безопасности Алексей Лукацкий, приглашённый недавно в качестве эксперта на общественные слушания по совершенствованию законодательства в области персональных данных.

Название компании «С-Терра СиЭсПи» (Cisco Security Partner, CSP) говорит само за себя. На официальном сайте указано, что компания специализируется в разработке VPN-продуктов, комплeментарных к решениям мирового лидера в области сетевых технологий – компании Cisco Systems. Такое позиционирование и явилось необходимым (но, разумеется, не достаточным) условием для решения, казалось бы, нерешаемой проблемы использования продуктов Cisco для высокоскоростной сертифицированной защиты сети. Очевидно, что если бы компания Cisco просто приняла этих людей к себе на работу, никакой сертификации продукт бы не получил.

Сергей Рябко, генеральный директор  компании «С-Терра». Презентация семейства новейших решений CSP VPN Gate 3.1 на платформе Cisco C200. Второй ежегодный форум участников Cisco Expo Learning Club. Москва. 24 июня 2010 г. Фото: Владислав Бояров.

«Компания Cisco – признанный мировой лидер в области сетевой индустрии, поэтому наш статус технологического партнёра накладывает на нас обязательство как минимум «держать марку», – заявил президент группы компаний «С-Терра» Сергей Рябко. – С гордостью могу сказать, что мы представляем решение действительно уникальное: оно работает на основе международных стандартов безопасности (протокол IPSec) и при этом защищает трафик с помощью российской криптографии. Обладая всеми необходимыми сертификатами для работы в государственных органах или с персональными данными, в то же время оно базируется на платформе Cisco Systems, глубоко интегрировано в общую сетевую архитектуру Cisco и использует все связанные с этим преимущества».

Решения сертифицированы ФСБ России как СКЗИ по классу КС1 или КС2 в зависимости от комплектации, а сертификат ФСТЭК России подтверждает для них оценочный уровень доверия ОУД 3+, соответствие 3 уровню контроля отсутствия недекларированных возможностей и возможность использования при создании автоматизированных систем до класса защищенности 1Г включительно и информационных систем персональных данных (ИСПДн) до 1 класса включительно. Таким образом, продукты применимы при работе с персональными данными и могут использоваться как в корпоративном, так и в государственном секторе.

Что мы имели до появления этого продукта? С одной стороны – высокопроизводительные и надёжные решения лидеров мирового рынка, не сертифицированные ФСБ и, следовательно, не допущенные к применению в тех секторах, которые в этих решениях нуждались. С другой стороны, сертифицированные ФСБ отечественные средства, имеющие крайне ограниченный функционал. И выхода из этой ситуации, казалось, не было, поскольку с одной стороны, ФСБ никогда не сертифицирует для применения в госсекторе РФ криптографическую продукцию компании со штаб-квартирой в США, а с другой стороны, в России нет и в обозримом будущем не ожидается компании, способной встать в один ряд с лидерами мирового ИКТ-рынка.

Это вовсе не означает, что в России нет специалистов мирового уровня, и успешная работа наших инженеров в самых лучших компаниях мира – тому подтверждение. Но вот фирмы, как самостоятельные структуры, у нас в стране смогли появляться только с начала 90-х годов, отсюда и драматическое организационное отставание, на преодоление которого нужно и время и политическая воля.

Алексей Лукацкий, менеджер по развитию бизнеса Cisco. Презентация семейства новейших решений CSP VPN Gate 3.1 на платформе Cisco C200. Второй ежегодный форум участников Cisco Expo Learning Club. Москва. 24 июня 2010 г. Фото: Владислав Бояров.

Продолжая тему, Алексей Лукацкий отметил, что CSP VPN Gate 3.1 – это уникальное решение, поскольку вендоры никогда не выпускают локальных продуктов, а лишь занимаются локализацией имеющихся. Компании Cisco и «С-Терра», пошли значительно дальше и выпустили специальное решение, удовлетворяющее требованиям российского законодательства в области криптографии. Криптография в нашей стране традиционно жёстко регулировалась сначала Комитетом Государственной Безопасности, затем выделившимся из него ФАПСИ, сейчас это ФСБ, поэтому у заказчиков всегда возникал вопрос: как использовать решения Cisco, не нарушая требований законодательства в области шифрования. С начала 2010 года ужесточились правила ввоза средств шифрования на территорию РФ, это касается не только корпоративных сетей, но также и телевизионных приставок и сотовых телефонов. Компания Cisco начала взаимодействовать с ФСБ больше двух лет назад и добилась определённых результатов. Сегодня существуют только два пути ввоза оборудования, содержащего средства шифрования, на территорию России: получение лицензии Минпромторга и ввоз по нотификациям. В настоящее время Cisco является единственной компанией, которая идёт по обоим этим путям. Cisco ведёт работу по исключению из своих продуктов встроенных средств криптографии и делает это опциональной функцией. Однако важно не только обеспечить требования российского законодательства, но и удовлетворить потребности заказчика. И презентуемое совместное решение обеспечивает повышение скорости шифрования видеотрафика со 100 Мбит/сек до 4 Гб/сек, что позволяет защитить даже Cisco Telepresence. Разумеется, шифровать на этой скорости можно любой вид тарфика, это актуально для центров обработки данных, особенно с учётом продвигаемого решения Cisco UCS.

Алексей Афанасьев, директор специальных проектов компании «С-Терра». Презентация семейства новейших решений CSP VPN Gate 3.1 на платформе Cisco C200. Второй ежегодный форум участников Cisco Expo Learning Club. Москва. 24 июня 2010 г. Фото: Владислав Бояров.

Алексей Афанасьев рассказал о непростом пути, который пришлось пройти обеим кампаниям: кроме работ по технической и организационной интеграции были ещё многочисленные согласования, как в американских, так и в российских государственных органах. В отличие от большинства российских компаний, которые предлагают простые шифраторы, совместная разработка компаний Cisco и «С-Терра» является полноценным VPN-решением. Первоначально планировалось сертифицировать его не целиком, а только модули, отвечающие непосредственно за шифрование данных. Казалось, что это должно облегчить получение сертификатов, а при разработке новых конечных продуктов встраивать туда предварительно сертифицированные модули, что значительно повышало скорость разработки и степень удовлетворённости заказчика за счёт более точного следования его пожеланиям. Однако позиция ФСБ заставила пересмотреть такое решение, и пришлось сертифицировать всё решение целиком. Голографические наклейки, присутствующие на модулях, говорят об их производстве на территории России.

Презентация семейства новейших решений CSP VPN Gate 3.1 на платформе Cisco C200. Второй ежегодный форум участников Cisco Expo Learning Club. Москва. 24 июня 2010 г. Фото: Владислав Бояров.

Был задан вопрос о том, можно ли поставить модуль компании «С-Терра» на серверы других производителей, также работающие на платформе Intel. Отвечал Сергей Рябко: В принципе поставить можно, и модуль будет работать. Но для заказчика важны и вопросы эксплуатации системы, и когда заказчик приобретёт законченный продукт, он получит консолидацию закупок и скидки, единую сервисную поддержку. Алексей Лукацкий добавил, что презентуемый законченный продукт имеет сертификат ФСБ, а модуль, сервер с модулем шифрования, установленным в него самим заказчиком (конечным) пользователем, такого сертификата иметь не будет. То есть, с точки зрения техники разницы нет, а с точки зрения законодательства разница весьма существенная. При этом конфигурация сервера Cisco в сертификате не задано жёстко: заказчик может выбрать любой сервер Cisco, и он будет сертифицирован.

Меня интересовал вопрос открытости алгоритма шифрования. Дело в том, что согласно общепринятым практикам безопасности самыми надёжными являются открытые решения: их может попытаться сломать любой, а не только специально допущенные к этому люди. И если уж никому не удалось этого сделать, значит, есть надежда, что не удастся и в будущем. Сергей Рябко ответил на этот вопрос так: сам алгоритм шифрования формально открыт. Однако для реализации системы шифрования кроме алгоритма требуются блоки подстановок, которые формирует ФСБ России, и они не находятся в открытом доступе. То есть формально корпорация Cisco не могла реализовать требования российского законодательства к системе шифрования. Кроме этого, для сертификации кода шифрования компания должна была получить лицензию ФСБ на право разработки этого кода, которую для американской компании получить было также нереально (хотя формального запрета не существует). Г-н Рябко пояснил, что в силу сложности задач криптографии доказать теорему о реальной стойкости алгоритма очень сложно или невозможно. Поэтому все ныне действующие алгоритмы шифрования существуют в состоянии «мы не знаем эффективного способа взлома данного алгоритма». Но это ещё не означает, что такого способа не существует или что он не будет когда-нибудь найден. Как следствие, также весьма сложна задача поиска в алгоритме или в реальном коде неизвестной уязвимости, особенно – злоумышленно внесенной туда разработчиком. Поэтому государство, подстраховываясь, доверяет создание систем шифрования исключительно подконтрольным исполнителям, то есть своим гражданам, работающим в отечественных фирмах. Эти фирмы, в свою очередь, имеют лицензию ФСБ России на право разработки критических технологий. То есть формально сотрудник Cisco Алексей Лукацкий может быть допущен к разработке системы шифрования только после того, как оформится на работу в фирму, подобную «С-Терра».

Также я задал вопрос, который возник у меня во время подготовки материала по станциям переливания крови: поскольку те имели дело с биометрическими данными, то выход в интернет для них закрыт, и установка обновлений систем была сопряжена с большими трудностями. Решит ли вопрос эта разработка и во что обойдётся ей внедрение заказчику? Отвечать г-н Рябко стал издалека и привёл цифры, показывающие, что в 2009 году, то есть, во время повсеместного строительства систем защиты персональных данных, рынок средств защиты информации в России упал более чем на 40%, а рынок услуг безопасности, напротив, вырос на 5%. Это означает, что защита персональных данных была обеспечена не столько путём наращивания технической стойкости систем безопасности, сколько путём оформления документов. То есть вместо реального усиления защиты владельцы персональных данных потратились на бумаги, подтверждающие, что их защита данных соответствует требованиям регулятора. Что касается конкретно станций переливания крови, то решить поставленную проблему защиты критических данных при их передаче по открытым сетям можно, затратив на шлюз около $500. Алексей Лукацкий сказал по этому поводу следующее: «Как член экспертного совета Государственной думы по изменению законодательства я могу защитить станцию переливания крови вообще без денег, и она будет соответствовать требованиям закона. Здесь проблема не техническая, а юридическая. Как и у большинства заказчиков госорганов малого и среднего размера просто нет юристов, которые вообще читали этот закон. В рамках законодательства можно сделать почти всё, что угодно. Требования технического плана являются вторичными не только потому, что они чрезмерно сложны, но и потому, что зачастую в этом направлении просто ничего не надо делать. Такая работа была проведена нами для банков: в рамках существующей технической базы мы составили документы, согласовали с ФСБ, ФСТЭК и Роскомнадзором, после чего у них не было никаких претензий к этому подходу. То есть не всегда нужно придумывать что-то особенное, часто можно существующими техническими средствами решить задачу. Главное – юридическая проработка».

Пришли мы на пресс-конференцию послушать о новом техническом решении, а вышли с мыслью о том, что сегодня информационные технологии нельзя рассматривать отдельно от юриспруденции, политики и множества других областей общественных отношений. То есть отдельно от самой нашей жизни.

Softline предлагает готовые к употреблению вычислительные ресурсы из розетки. Часть 1.

Softline предлагает готовые к употреблению вычислительные ресурсы из розетки. Часть 2.