UserGate X1 относится к линейке продукции, созданной для обеспечения нужд сетевой инфраструктуры промышленных, инфраструктурных объектов, государственных организаций. Это профессиональное корпоративное решение для аппаратной и программной защиты, предназначенное для различных по масштабу сетей. UserGate Х1 сочетает аппаратную и программную части комплекса, предназначенного для обеспечения защиты от взлома, хакерских атак, действия вредоносного кода. Система сертифицирована и обладает всеми необходимыми инструментами для управления сетями, а также для их мониторинга.
В комплексе реализована поддержка АСУ ТП, что позволяет одновременно контролировать технологические процессы, обеспечивать их информационную безопасность и осуществлять управление как автоматизированное, так и прямое, с возможностью непосредственного участия человека. Системные инженеры могут вмешиваться в процессы обмена данными как непосредственно, так и задав комплекс правил обеспечивающих обнаружение, блокирование, а также фиксацию действий, происходящих в подконтрольной сети.
Задав правила, с помощью межсетевого экрана совсем нетрудно контролировать трафик. Возможна работа со следующими типами протоколов АСУ ТП:
- ГОСТ Р МЭК 60870-5-104;
- Modbus;
- DNP3;
Чтобы настроить UserGate, используется графический интерфейс, доступный системным инженерам по HTTPS. Доступ к программе, вшитой в аппаратуру, обеспечивается с помощью логина, пароля. Активация устройства осуществляется после введения PIN-кода. Интерфейс позволяет настроить следующие значения:
- Зоны, а также диапазон IP-адресов;
- Способ доступа в интернет;
- Параметры DNS-серверов;
- Действия NAT;
- Параметры межсетевого экрана.
В комплексе UserGate зоной считается логическая совокупность интерфейсов сети. При настройке комплекса безопасности в качестве её ключевых элементов берутся не сами интерфейсы, а именно зоны интерфейсов. Подобный подход делает настройку системы более гибкой, облегчает создание, контроль и управление отказоустойчивостью. Системные инженеры могут самостоятельно варьировать настройки зон, заданных в системе изначально, либо создавать новые дополнительные области.
Компонент | Назначение |
F1 | Разъём (порт DB9) для подсоединения консоли RS-232 |
F2 | Разъём LAN (RJ-45) для обмена данными, подключения к ЛВС |
F3 | VGA, 15-ти контактный разъём видеоинтерфейса для подключения монитора |
F4 | Светодиоды, предназначенные для индикации режимов работы, загруженности портов, HDD, электропитания |
F5 | Два разъёма USB 2.0 (A) |
F6 | Место подключения адаптера питания постоянного тока |
Производитель устанавливает ряд требований, касающихся места установки оборудования. При определении зоны расположения техники следует учитывать такие характеристики помещения, как:
- Температура окружающей среды в зоне, где находится эксплуатируемая техника, должна оставаться в пределах, определяемых спецификацией на оборудование.
- Следует заранее позаботиться о том, чтобы в комнате оставалось достаточно пространства для свободной циркуляции воздуха.
- Необходимо ограничивать величину механической нагрузки на корпус. Она не должна влиять на работу техники или повреждать элементы оборудования.
- Предотвращение перегрузки по электропитанию. Контуры подачи электроэнергии должны оснащаться защитой, предотвращающей перегрузку сети.
Корпус техники, размещаемой в телекоммуникационном шкафу, необходимо хорошо заземлить. Дополнительно, требуется обратить внимание на моменты, когда нет непосредственного подсоединения кабеля к контуру заземления.
Наличие сертификата ФСТЭК
Программно-аппаратный комплекс UserGate X1 по набору функций и характеристикам информационной безопасности целиком удовлетворяет требованиям законодательства РФ применительно к критически важной инфраструктуре, производственным и инфраструктурным организациям. Используемые и проектируемые решения в сфере АСУ ТП удовлетворяют Приказу № 31 ФСТЭК. Кроме того, комплекс способен в нужной степени контролировать блоки ASDU согласно правилам, установленным МЭК 60870-5-104.
UserGate X1 получил сертификат соответствия от ФСТЭК по следующим позициям:
- По условиям, предъявляемым к межсетевым экранам, присвоен 4-й класс — А и Б;
- По условиям предъявляемым к системам обнаружения вторжений присвоен 4-й класс;
- По уровню доверия — присвоен самый высокий 4-й.
Наличие данного сертификата позволяет применять программно-аппаратный комплекс в таких системах, как:
- Автоматизированных, класса защищенности 1Г;
- В первой категории объектов КИИ;
- В комплексах персональных данных с защищённостью первого уровня;
- В ГИС с защитой первого класса;
- В АСУ ТП с защитой 1 класса;
- В системах данных, предназначенных для общего пользования второго класса.
Функции и возможности
Межсетевой экран нового поколения обладает следующим функционалом:
- Встроенная система обнаружения вторжений.
- Возможность задания автоматического реагирования на угрозы.
- Обратный прокси.
- Контролируется интернет-доступ.
- Контролируются приложения L7.
- Осуществляется дешифровка SSL.
- Возможность настройки гостевого портала.
- Обеспечение безопасного размещения локальных ресурсов.
- Антивирус.
- Инструменты безопасности — ATP.
- Защита почты.
- Система распознавания клиентов сети.
- Поддержка подключения пользовательских устройств — BYOD.
- Поддержка VPN.
- Удаленный доступ к функциям администрирования.
- Работа с АСУ ТП (SCADA).
- Обеспечение высокой отказоустойчивости.
- Поддержка кластеризации.
В сравнении с предыдущими версиями в UserGate X1 появились следующие обновления:
- Внутренние ресурсы доступны с использованием SSL VPN Portal. Способствует повышению уровня безопасности за счёт усиления контроля доступа и улучшения защиты от хакерских атак.
- Использование технологии сбор и аналитика данных о происшествиях в сфере безопасности — SIEM.
- Система оперативного вмешательства в случае нарушения безопасности — SOAR.
Спецификация
Эксплуатационные параметры | |
Межсетевой экран — пропускная способность, UDP, Мбит/с | 300 |
Трафик EMIX, для межсетевого экрана, Мбит/с | 70 |
Трафик EMIX, для межсетевого экрана c опцией вычисления приложений L7, Мбит/с | 60 |
TCP-сессии, одновременно открытые | 2 000 000 |
Поддержка новых сессий, число за секунду | 5 000 |
Трафик EMIX, нахождение вторжений, Мбит/с | 50 |
Трафик EMIX, фильтрация контента, Мбит/с | 30 |
Трафик EMIX, инспектирование SSL, Мбит/с | 10 |
Трафик EMIX, фильтрация контента и антивирус, Мбит/с | 20 |
Трафик EMIX, для межсетевого экрана c опцией вычисления приложений L7, СОВ, и фильтрацией контента, Мбит/с | 15 |
Характеристики оборудования |
|
Количество портов 10/100/1000 Base-T | 2 |
Число ядер процессора | 2 |
Оперативная память, Гбайт | 8 |
HDD, Гбайт | 1х500 |
Параметры электропитания |
|
Напряжение питания, Вольт | 12-36 |
Максимальная мощность потребляемая оборудованием, Ватт | 10.27 |
Физические параметры оборудования |
|
Размеры, мм | 57,5x130x127 |
Масса, кг | 1 |
Преимущества
К интернету подключают всё большее число разнообразных устройств, к ним, в том числе, относятся элементы управления транспортной, уличной инфраструктуры, оборудование промышленных объектов. Защита доступа к ним имеет большое значение для сохранения стабильности в повседневной жизни людей. Одна из сложностей обеспечения безопасности — экстремальные условия эксплуатации — устройства могут находиться на открытом воздухе, а значит управляющее оборудование должно оставаться работоспособным в широком диапазоне температур, выдерживать изменение влажности, надёжно работать в запылённом пространстве.
Работа в экстремальных условиях
Для UserGate X1 температурный диапазон составляет от -40 °С до 70 °С, при влажности до 95%. Устройство отличается небольшими размерами, малым весом, его удобно крепить как непосредственно ан стену, так и к DIN-рейке. Допускается устанавливать на открытом воздухе.
Комплексная безопасность
UserGate X1 работает на тех же принципах, что и решениях UserGate для безопасности корпоративных сетей. Собственная ОС UGOS обеспечивает стабильность системы и высокую скорость восстановления в случае сбоев. Также систему проще доработать под конкретное бизнес-решение. Работает с технологиями NGFW, IDPS, блокирует опасные скрипты, оснащена защитой от вирусов и прочими опциями безопасности. Модель отличается высокой скоростью обработки трафика.
Безопасность промышленного интернета вещей (IIoT)
UserGate X1 разработан для решения задач безопасности промышленных организаций в условиях использования технологии IIoT. Широкое применение на производстве различного рода интеллектуальных устройств заставляет комплексно заботиться и об их безопасности.
Безопасное подключение по VPN
UserGate X1 способен поддерживать VPN для обеспечения безопасного обмена информацией между подразделениями одной организации. Туннели продуцируются с помощью протокола L2TP, безопасность данных – протокол IPSec.
Поддержка АСУ ТП (SCADA)
Обновленная ОС UGOS, установленная на UserGate X1, даёт возможность активации, настройки и управления АСУ ТП (SCADA). С её помощью можно автоматизировать технологические процессы, при этом, на любой стадии сохраняя возможность вмешательства человека.
Вопрос-ответ
В аппаратно-программном комплексе реализована фильтрация по категориям:
- Морфологический анализ,
- Защищённый поиск,
- Наличие белых и черных списков,
- Блокирование контекстной рекламы,
- Настраиваемый запрет на загрузку,
- Контроль трафика антивирусом.
Список сайтов обновляется каждый день. В системе реализована повторная проверка вписанных ресурсов. Они дополнительно тестируются по следующим параметрам: проверяется изменение наполнения и актуальность данных о категории.
Аппаратно-программный комплекс может применяться следующим образом:
- Для защиты сервисов и приложений, которые доступны для пользователей снаружи. Такие системы всегда требуют дополнительной защиты. Пример типового сервиса такого вида — ЦОД.
- В целях обеспечения безопасности периметра сети. UserGate X1 используется как основа защитного контура организации.
- Для обнаружения, удаления, а также блокировки доступа к нежелательному контенту.
- Защита систем данных, в которых содержатся сведения, требующие использования сертифицированных средств.
- В целях обеспечения безопасности систем, попадающих под действие 187 федерального закона. Для их защиты необходимо применять только сертифицированные средства.
- В целях осуществления контроля и фиксации всех событий происходящих в обслуживаемом кластере. С последующей аналитикой.