Комплекс программных средств системы обнаружения компьютерных атак "Аргус" версии 1.6 (КПС СОА "Аргус")
Разработчик - ГК ЦСС
Зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных
(№7115 от 03.11.2020, №12698 от 28.01.2022).
Используемые аппаратные платформы:
- МЦСТ Эльбрус (Эльбрус-8С, Эльбрус-8СВ)
- Intel x86-64[1]
- среды виртуализации, эмулирующие аппаратную платформу Intel x86-64
Используемые операционные системы:
- «РусБИТех-Астра» Astra Linux Special Edition релиз «Смоленск» версия 1.6 (аппаратная платформа Intel x86-64 и/или среды виртуализации, эмулирующие аппаратную платформу Intel x86-64)
- «РусБИТех-Астра» Astra Linux Special Edition релиз «Ленинград» версия 8.1 (аппаратная платформа МЦСТ «Эльбрус» 4 и 5 поколения)[2].
Сертифицирован на соответствие требованиям ФСБ России к средствам обнаружения компьютерных атак по классу ВП:
а) сертификат соответствия СФ/СЗИ-0638, действителен до 30.01.2026
аппаратно-программный комплекс (вариант исполнения «И» - аппаратная платформа Intel x86-64)
б) сертификат соответствия СФ/СЗИ-0639, действителен до 30.01.2026
аппаратно-программный комплекс (вариант исполнения «Э» - аппаратная платформа МЦСТ «Эльбрус» 4 и 5 поколения)
в) сертификат соответствия СФ/СЗИ-0640, действителен до 30.01.2026
программный комплекс на базе операционной системы специального назначения Astra Linux Special Edition релиз «Ленинград» для аппаратной платформы МЦСТ «Эльбрус» 4 и 5 поколения и релиз «Смоленск» (вариант исполнения «И» - аппаратная платформа Intel x86-64)
г) сертификат соответствия СФ/СЗИ-0641, действителен до 30.01.2026
программный комплекс на базе операционной системы специального назначения Astra Linux Special Edition релиз «Ленинград» для аппаратной платформы МЦСТ «Эльбрус» 4 и 5 поколения и релиз «Смоленск» (вариант исполнения «Э» - аппаратная платформа МЦСТ «Эльбрус» 4 и 5 поколения).
Сертифицирован на соответствие требованиям ФСТЭК России к системам обнаружения вторжений уровня сети четветого класса защиты:
а) сертификат соответствия № 4048, действителен до 19.12.2023
аппаратно-программный комплекс (вариант исполнения «И» - аппаратная платформа Intel x86-64).
Функциональные возможности:
(выделены возможности, уникальные среди сертифицированных по требованиям ФСБ России/ФСТЭК России к СОА/СОВ):
- Включение в сеть в Т-режиме и в режиме моста c bypass технологией;
- Применение анализаторов протоколов для детального исследования заданных параметров сетевого трафика;
- Сбор, обработка, представление и анализ статистики трафика. Соответствие Netflow-стандартам версии 5,9, IPFIX;
- Интеграция с HTTP-прокси серверами с целью идентификации обеих сторон обмена информацией (в том числе для решения задачи анализа протокола SSL/TLS);
- Интеграция с ТИ ГосСОПКА (с использованием КПС РАМС ИБ);
- Обнаружение точек отказа сервера приложений (реализация для протокола TCP). С возможностью настройки порогов для объекта защиты;
- Обнаружение сканирования сети/портов различными протоколами и методами, включая метод TRW (Threshold Random Walk);
- Обнаружение неправильного (отклонение от RFC и других стандартов) использования протоколов/форматов/кодировок (HTTP, SSH, TCP, ICMP, IDENT, RLOGIN, RSH, RPC, BASE64, DHCP, DNS, INFLATE, IRC, "Общие проблемы текстовых протоколов, связанные с переводом строк, NUL в строке", FTP, FINGER, POP3, SMTP, IMAP, SMB, SSL, ARP, NTP, UDP, NETBIOS, IP);
- Выявление пакетов в сети с незарегистрированными IP-адресами и/или портами (белые/черные списки);
- Выявление хостов, превышающих порог общения с другими хостами в сети. Возможность задания исключений, к примеру, для серверов. Возможность использовать для оценки IP-адреса, Порты и выполнять группировку по протоколу транспортного и/или прикладного уровня;
- Выявление туннелей. Возможность анализа инкапсулированного протокола;
- Реализация механизмов самодиагностики функций ПАК (подсистемы СОА, подсистемы регистрации);
- Возможность удаленного управления и мониторинга (диагностики), загрузки БДРП на группе ПАК (с использованием служб Системы РАМС ИБ);
- Противодействие техникам обхода СОА;
- Количество одновременно анализируемых сетевых интерфейсов от 2 до 8. В том числе мостовых соединений - 4. Может быть ограничено лицензионным соглашением и зависит от исполнения;
- Обработка MAC-адресов и VLAN-меток (до 3-х уровней тегирования 802.1Q,QinQ - VLAN);
- Запуск и работа ПО СОА Аргус в среде виртуализации;
- Количество одновременно работающих анализаторов ограничено возможностями аппаратной составляющей (но не более 32768);
- Количество одновременно анализируемых сетевых интерфейсов одним анализатором ограничено только лицензионным соглашением;
- Ведение базы данных решающих правил (БРП) пользователей с возможностью активации любого пользовательского набора;
- Агрегационные отчеты как во встроенной отчетной системе, так и в сообщениях, отправляемых по электронной почте;
- Противодействие сетевым КА встроенными средствами управления внешними МЭ. Механизмы управление множествами правил фильтрации межсетевых экранов (в версии 1.6 – МСЭ ССПТ-2 (НПО РТК));
- Запись и экспорт сетевых пакетов, соответствующих зарегистрированным событиям ИБ (вызвавших срабатывание сигнатур КА);
- Функции тонкой настройки производительности (вплоть до возможности управления планировщиком ядра);
- Управление анализом контента на уровне решающих правил: выполнять анализ на уровне группы сетевых пакетов или выполнять анализ на уровне собранной из сетевых пакетов сетевой сессии.
[1] Для анализа сетевого трафика со скоростью 1000 Мбит/с должны обеспечиваться минимальные характеристики аппаратных средств:
- архитектуры Intel x86-64:
- процессоры Intel x86-64, не менее 8 вычислительных ядер, с тактовой частотой не менее 2.1 ГГц - 2 шт.;
- оперативная память - тип памяти не хуже DDR4, частота не ниже 2133 МГц - суммарный объем не менее 64 Гб;
- сетевые интерфейсы - 1000/100/10Base-T, чипсет Intel - не менее 2 интерфейсов (1 байпас пары) и не более 8 интерфейсов (4 байпас пары)
- архитектуры МЦСТ «Эльбрус» версии 4 или 5:
- процессоры «Эльбрус-8С»/«Эльбрус-8СВ» 8 вычислительных ядер, с тактовой частотой не менее 1.3 ГГц - 2 шт.;
- оперативная память - тип памяти DDR3/DDR4, частота не ниже 1600 МГц - суммарный объем не менее 64 Гб;
- сетевые интерфейсы - 1000/100/10Base-T, чипсет Intel - не менее 2 интерфейсов (1 байпас пары) и не более 6 интерфейсов (3 байпас пары)
[2] В настоящее время ГК ЦСС выполняет работы по переносу КПС СОА «Аргус» в среду операционных систем «Базальт СПО» Альт 8 СП (аппаратная платформа Intel x86-64 и/или среды виртуализации, эмулирующие аппаратную платформу Intel x86-64) и «Базальт СПО» Альт 8 СП (аппаратная платформа МЦСТ «Эльбрус» 4 поколения).