Обзор возможностей VipNet Client

VipNet Client — многофункциональный программный комплекс для защиты локальных и удалённых рабочих мест сотрудников, сертифицированный ФСБ России. Решение разработано отечественной компанией «ИнфоТеКС» на базе технологии ViPNet. На сегодняшний день это одна из самых масштабируемых технологий построения защищённых сетей на отечественном рынке. Программный комплекс «ВипНет Клиент» выпускается в модификациях для трёх операционных систем: Microsoft Windows, Linux и OS X. Версия ViPNet Client 4 for Linux включена в Единый реестр российского программного обеспечения и полностью соответствует требованиям государственной программы импортозамещения.

Назначение программного комплекса

«ВипНет Клиент» обеспечивает защиту корпоративных рабочих станций от внешних и внутрисетевых угроз путём фильтрации трафика. В дополнение к этому программный комплекс обеспечивает безопасную работу удалённых сотрудников в корпоративных системах и сервисах. Защищённый мобильный и веб-доступ к ресурсам компании организуется с помощью зашифрованного канала связи. Возможностей обычной виртуальной частной сети (VPN) в подобных ситуациях недостаточно, поскольку в технологии VPN не предусмотрены функции обнаружения и блокировки атак. ViPNet же отлично справляется с задачей обеспечения информационной безопасности при обмене данными между географически распределёнными сетями.

Сертификат соответствия требованиям Федеральной службы безопасности России подтверждает, что «ВипНет Клиент» может использоваться для криптографической защиты конфиденциальной информации, за исключением данных, составляющих гостайну. Приведённый в сертификате обзор возможностей ViPNet Client включает:

• создание и управление ключевой информацией;
• шифрование файлов и данных в оперативной памяти;
• шифрование IP-трафика;
• вычисление значения хэш-функции для файлов и данных в оперативной памяти;
• защита TLS-соединений;
• реализация функционала электронной подписи в соответствии с Федеральным законом от 06.04.2011 №63-ФЗ «Об электронной подписи».

Сценарии применения «ВипНет Клиента»

Программный комплекс может использоваться в различных назначениях.

1. В качестве VPN-клиента с функциями шифрования трафика и имитозащиты IP-пакетов. Решение обеспечивает безопасность конфиденциальных данных, обмен которыми осуществляется через каналы связи общего пользования внутри корпоративной VPN-сети.
2. В роли персонального сетевого экрана (данный сценарий применения актуален только для версий ПК для Windows и Linux). Путём фильтрации трафика программный комплекс надёжно защищает компьютеры локальной сети от всех типов внешних угроз.
3. Как инструмент контроля сетевой активности приложений и компонентов ОС (данный сценарий применения актуален исключительно для версии ПК для Windows). ViPNet Client снимет со штатного специалиста по информационной безопасности значительную часть рутинной нагрузки, позволит всегда быть в курсе текущих сетевых активностей и оперативно реагировать на выявленные аномальные процессы.
4. Для защиты сети от внутренних угроз. Соединение пользователей между собой, связь с корпоративными системами и сервисами осуществляется через защищённые каналы по схеме «точка – точка». Такой подход позволяет оградить информацию от постороннего доступа внутри локальной сети компании.
5. Для защиты коммуникации пользователей. «ВипНет Клиент» легко интегрируется со всеми решениями линейки ViPNet Network Security. Его совместное использование с приложениями «ВипНет Коннект» и «ВипНет Деловая почта» позволяет создать всестороннюю и надёжную защиту для общения пользователей. Предусмотрена возможность интеграции программного комплекса с корпоративными системами IP-телефонии и видеоконференцсвязи.
6. Для защиты виртуальных машин. «ВипНет Клиент» подходит для запуска на виртуальных серверах. Предусмотрена возможность использования средств защиты ViPNet в VDI-средах.
7. Для организации повсеместного стабильного доступа. Программный комплекс обеспечивает одинаково качественный доступ к корпоративным системам и сервисам с мобильных и десктопных устройств, независимо от местоположения пользователей (при использовании решения ViPNet Network Security).

Завершая обзор ViPNet Client, следует отметить, что использование данного средства защиты информации не влияет на работу сторонних приложений на ПК пользователей.

Наше предложение

Купить программный комплекс «ВипНет Клиент», заказать его установку и настройку можно в ООО «Интелком». Мы являемся официальным партнёром компании-разработчика сертифицированных средств защиты информации «ИнфоТеКС». «Интелком» более 10 лет занимается обеспечением комплексной информационной безопасности на предприятиях государственного, промышленного и коммерческого секторов. Наша деятельность сертифицирована ФСТЭК и ФСБ России. Нам доверяют правительства Московской и Тульской областей, МФЦ 20 городов России, ведущие оборонные предприятия и крупнейшие вузы страны. Наши проекты отмечены благодарственными отзывами Госдумы, УФМС, МВД, ФСБ и МЧС РФ, госкорпораций «РОСТЕХ» и «Высокоточные комплексы». Обращаясь в ООО «Интелком», вы можете быть уверены в надёжной защите ваших информационных систем. На все работы предоставляются долгосрочные гарантии.

Опыт внедрения криптошлюзов ViPNet в ЕРИС

Привет, Хабр! В этой статье мы расскажем о внедрении криптошлюзов ViPNet для защиты каналов связи в рамках проекта защиты персональных данных в информационной системе ЕРИС. Нам посчастливилось стать частью такого важного для медицины Москвы проекта, который поднимает лучевую диагностику на новый уровень.

Коротко о ЕРИС

ЕРИС (Единый Радиологический Информационный Сервис) представляет собой информационную систему, объединяющую высокотехнологичную медицинскую технику, рабочие места рентгенологов и единый архив диагностических изображений. В настоящее время ЕРИС объединяет магнитно-резонансные, цифровые аппараты классического рентгена, аппараты для проведения флюорографии и компьютерные томографы в 64 поликлиниках города Москвы, включая амбулаторные учреждения Зеленограда.

Основные задачи ЕРИС — повысить эффективность лучевой диагностики в Москве, создать единую сеть, объединяющую диагностическую аппаратуру, обеспечить современную и надежную систему хранения получаемых в результате исследований изображений, описаний и заключений.

Необходимость применения криптошлюзов

Так как в информационной системе ЕРИС обрабатываются персональные данные пациентов, то необходимо выполнять требования ФЗ-152 «О персональных данных» и подзаконных актов, связанных с этим законом. Одним из требований по защите персональных данных является организация защищенных каналов связи с помощью средств криптографической защиты информации (СКЗИ). В соответствии с этим требованием мы приступили к проектированию системы защиты персональных данных в целом и СКЗИ в частности.

Критерии выбора, схема тестирования, пилот, финальный выбор

Нашей компании Элефус Заказчик в лице компании Лаваль выдвинул ряд требований, которым должны были соответствовать СКЗИ, среди них основные:

• задержки в канале (это был самый важный критерий, потому что медицинский персонал с помощью клиентского приложения на рабочем месте подключается к серверной части в ЦОДе, и задержки в канале сильно влияют на производительность системы и скорость работы с пациентом);
• наличие сертификата ФСБ России на криптосредства (требование нормативных документов, касающихся защиты персональных данных (Приказ ФСБ №378 от 10 июля 2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»));
• масштабируемость решения (предполагается расширение системы на дополнительные объекты, поэтому мы изначально должны были заложить оборудование с запасом и возможность масштабирования как горизонтального, так и вертикального);
• отказоустойчивость (если вы были в московских поликлиниках, то прекрасно знаете, что очередь в радиологические кабинеты всегда присутствует, поэтому немаловажным фактором было обеспечение отказоустойчивости решения);
• достаточная производительность (в радиологические кабинеты необходимо было установить оборудование небольшой производительности, но достаточное, чтобы обеспечить хороший канал связи до ЦОД, нашим ориентиром была полоса пропускания в 20 мб/с);
• мониторинг (так как инфраструктура распределена по всей Москве, необходимо обеспечить постоянный мониторинг оборудования и отслеживать нагрузки на сеть);
• простота обслуживания (выезд на объекты осуществляют инженеры широкого профиля, которые, не обладая глубокими познаниями в ViPNet (потому что это не является их основной задачей), должны решить проблему на месте по инструкции).

• ViPNet Coordinator;
• АПКШ «Континент»;
• КриптоПро IPsec;
• МагПро КриптоПакет исполнение «OpenVPN-ГОСТ»

Схема тестирования была следующая:

Рисунок 1 — Схема тестирования

В ходе тестирования передавались снимки трех типов: КТ, ММГ, ПЭТКТ (они отличаются размерами файлов, частотой взаимодействия клиент-сервер), различные варианты снимков позволили смоделировать различные типы нагрузок на криптошлюзы. Замеры задержек и скорость в канале производились программами WinMTR и iperf3.

По результатам тестирования Континент и ViPNet оказались в лидерах, их результаты были сопоставимы, КриптоПро отставал незначительно, а МагПро сильно влиял как на скорость, так и на задержки в канале.

Дальше после взаимодействия с вендорами Заказчиком было принято финальное решение в пользу ViPNet. Оставим финальный выбор за скобками данной статьи, с технической точки зрения Континент и ViPNet практически одинаковые.

ИнфоТеКС (производитель ViPNet) предоставил для пилотного тестирования следующее оборудование:

• HW50 – 2 шт. для радиологических кабинетов
• HW1000 – 1 шт. для ЦОД

Как внедряли? Схема, сложности, преднастройка

К внедрению нам необходимо было подойти с особой тщательностью. Как я говорил выше, медицинские работники радиологических кабинетов постоянно загружены, поэтому на внедрение СКЗИ на объекте нам отводилось 15 минут. Внедрение мы проводили совместно с инженерами Лаваль, которые хорошо знали местное оборудование.

Внедрение состояло из следующих этапов:

• Преднастройка (оборудование было преднастроено нашими инженерами (выпуск и установка dst-на ПАК, настройка сетевых интерфейсов, настройка snmp-агента, заведение ПАК в ViPNet Administrator);
• Установка криптошлюзов в ЦОД (настройка альтернативного канала для того, чтобы не прерывать работы ЕРИС);
• Установка криптошлюзов в поликлиники (в 15минутный интервал инженеру необходимо было переткнуть оборудование и убедиться, что туннель в ЦОД поднят. Естественно, в идеальных случаях все происходило за минуты, но всегда есть какое-то время на то, чтобы скорректировать возникающие проблемы. В целом, 15-ти минут хватает на то, чтобы выполнить работы);
• Подключение криптошлюзов к системе мониторинга (на этом этапе выявили баг системы, о котором сообщили вендору, периодически snmp агент самопроизвольно отваливался, его приходится перезапускать. Так как мы знаем, что ViPNet работает на базе ОС Linux (Debian), мы написали скрипт, который автоматически перезапускал процесс. В новой версии ИнфоТеКС исправил этот момент).

Мониторинг. Нагрузка на процессор, оперативную память, сеть

Дальше мы покажем скриншоты из системы мониторинга, где можно посмотреть нагрузки на оборудование отдельно за полгода и отдельно за один рабочий день (ЦП, ОЗУ, сеть). Названия сетевых устройств скрыты, с точки зрения смысловой нагрузки это ни на что не влияет.

Нагрузка на ЦП

Рисунок 2 — Загрузка ЦП за полгода HW1000

Рисунок 3 — Загрузка ЦП за 1 день HW1000

Рисунок 4 — Загрузка ЦП за полгода HW50

Рисунок 5 — Загрузка ЦП за 1 день HW50

Нагрузка на оперативную память

Рисунок 6 — Загрузка ОЗУ за полгода HW1000

Рисунок 7 — Загрузка ОЗУ за 1 день HW1000

Рисунок 8 — Загрузка ОЗУ за полгода HW50

Рисунок 9 — Загрузка ОЗУ за 1день HW50

Нагрузки на сеть

Рисунок 10 — Загрузка сеть за полгода HW1000

Рисунок 11 — Загрузка сеть за 1 день HW1000

Рисунок 12 — Загрузка сеть за полгода HW50

Рисунок 13 — Загрузка сеть за 1 день HW50

Вывод

Прошел примерно год с реализации проекта, все СКЗИ работают в штатном режиме, ни один криптошлюз не вышел из строя. ЕРИС работает в штатном режиме с установленными средствами защиты информации, обеспечивая необходимый уровень информационной безопасности персональных данных пациентов московских поликлиник.

• информационная безопасность
• криптография
• средства защиты информации

• Информационная безопасность
• Криптография

ViPNet Client 4

Программный комплекс ViPNet Client предназначен для защиты рабочих мест корпоративных пользователей. ViPNet Client надежно защищает от внешних и внутренних сетевых атак за счет фильтрации трафика. Кроме того, ПК ViPNet Client обеспечивает защищенную работу с корпоративными данными через зашифрованный канал, в том числе для удаленных пользователей.

ViPNet Client поддерживает работу на компьютерных устройствах под управлением ОС Microsoft Windows.

Интерфейс ViPNet Client for Windows: список узлов защищенной сети ViPNet
Интерфейс ViPNet Client for Windows: настройка сетевых фильтров
Преимущества

Высокая производительность шифрования и фильтрации трафика позволяет в реальном времени осуществлять защиту трафика служб голосовой и видеосвязи в сетях TCP/IP, а также обеспечивать одновременную работу с ресурсами разных сегментов корпоративной сети

Равный доступ к ресурсам корпоративных информационных систем независимо от места и способа подключения пользователя к телекоммуникационной сети (при использовании решения ViPNet Network Security)

Защита канала не влияет на работу сторонних приложений на компьютере пользователя

Ключи шифрования, политики безопасности и обновления ПО ViPNet доставляются на компьютер через надежный защищенный канал

Сценарии использования

Работа в корпоративной сети, защищенной от внутреннего нарушителя

Соединение с ресурсами, сервисами, а также другими пользователями осуществляется через каналы, функционирующие по принципу «точка-точка». Это позволяет надежно защитить информацию от других пользователей, в том числе внутри корпоративной сети.

Безопасная работа удаленного пользователя с корпоративными ресурсами и сервисами через защищенные каналы

Шифрование трафика защитит работу с внутренними ресурсами и сервисами вашей организации при передаче данных через Интернет.

Защищенное общение пользователей

Обеспечить защиту корпоративных пользователей также позволит совместное использование ПК ViPNet Client с приложениями ViPNet Connect и ViPNet Деловая почта (данная возможность поддерживается определенными модификациями ViPNet Client).

Кроме того, ViPNet Client поддерживает защищенные каналы для корпоративных коммуникаций на основе сторонних решений, в том числе IP-телефонии, видео-конференц-связи и так далее.

Защита виртуальной машины

ViPNet Client поддерживает работу на виртуальных машинах и позволяет использовать средства защиты ViPNet в VDI-средах.

Варианты поставки

Программный комплекс ViPNet Client 4 поставляется в трех вариантах исполнения, соответствующих классам защищенности от КС1 до КС3.

• Поставка ПК ViPNet Client 4 в варианте исполнения 1 в соответствии с формуляром ФРКЕ.00116-03 30 01 ФО обеспечивает класс защищенности КС1.
• Поставка ПК ViPNet Client 4 в варианте исполнения 2 в соответствии с формуляром ФРКЕ.00116-03 30 01 ФО обеспечивает класс защищенности КС2 при совместном использовании с сертифицированным аппаратно-программным модулем доверенной загрузки (АПМДЗ).
• Поставка ПК ViPNet Client 4 в варианте исполнения 3 в соответствии с формуляром ФРКЕ.00116-03 30 01 ФО обеспечивает класс защищенности КС3 при совместном использовании с сертифицированным АПМДЗ и специализированным ПО ViPNet SysLocker (входящим в комплект поставки) для создания и контроля замкнутой программной среды.

ViPNet Client 4 внесен в «Единый реестр нотификаций о характеристиках шифровальных (криптографических) средств и товаров, их содержащих» под номером RU0000052703 от 30 апреля 2021 г., сроком действия до 28.02.2026 г. Данный документ позволяет перемещать продукт ViPNet Client 4 через границу Таможенного союза любому юридическому или физическому лицу без оформления дополнительных разрешающих документов.

ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств

При подготовке материала использовались источники:
https://www.rosintelcom.ru/company/articles/obzor-vozmozhnostey-vipnet-client/
https://habr.com/ru/articles/416109/
https://infotecs.ru/products/vipnet-client-/