Комплекс программных средств системы обнаружения компьютерных атак "Аргус" версии 1.6 (КПС СОА "Аргус")

Разработчик - ГК ЦСС

Зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных
(№7115 от 03.11.2020№12698 от 28.01.2022).

Используемые аппаратные платформы:
- МЦСТ Эльбрус (Эльбрус-8С, Эльбрус-8СВ)
- Intel x86-64[1]
- среды виртуализации, эмулирующие аппаратную платформу Intel x86-64

Используемые операционные системы:
- «РусБИТех-Астра» Astra Linux Special Edition релиз «Смоленск» версия 1.6 (аппаратная платформа Intel x86-64 и/или среды виртуализации, эмулирующие аппаратную платформу Intel x86-64)
- «РусБИТех-Астра» Astra Linux Special Edition  релиз «Ленинград» версия 8.1 (аппаратная платформа МЦСТ «Эльбрус» 4 и 5 поколения)[2].

Сертифицирован на соответствие требованиям ФСБ России к средствам обнаружения компьютерных атак по классу ВП:
а) сертификат соответствия СФ/СЗИ-0638, действителен до 30.01.2026
аппаратно-программный комплекс (вариант исполнения «И» - аппаратная платформа Intel x86-64)
б) сертификат соответствия СФ/СЗИ-0639, действителен до 30.01.2026 
аппаратно-программный комплекс (вариант исполнения «Э» - аппаратная платформа МЦСТ «Эльбрус» 4 и 5 поколения)
в) сертификат соответствия СФ/СЗИ-0640, действителен до 30.01.2026
программный комплекс на базе операционной системы специального назначения Astra Linux Special Edition релиз «Ленинград» для аппаратной платформы МЦСТ «Эльбрус» 4 и 5 поколения и релиз «Смоленск» (вариант исполнения «И» - аппаратная платформа Intel x86-64)
г) сертификат соответствия СФ/СЗИ-0641, действителен до 30.01.2026
программный комплекс на базе операционной системы специального назначения Astra Linux Special Edition релиз «Ленинград» для аппаратной платформы МЦСТ «Эльбрус» 4 и 5 поколения и релиз «Смоленск» (вариант исполнения «Э» - аппаратная платформа МЦСТ «Эльбрус» 4 и 5 поколения).

Сертифицирован на соответствие требованиям ФСТЭК России к системам обнаружения вторжений уровня сети четветого класса защиты: 
а) сертификат соответствия № 4048, действителен до 19.12.2023 
аппаратно-программный комплекс (вариант исполнения «И» - аппаратная платформа Intel x86-64).

Функциональные возможности:
(выделены возможности, уникальные среди сертифицированных по требованиям ФСБ России/ФСТЭК России к СОА/СОВ):

  1. Включение в сеть в Т-режиме и в режиме моста c bypass технологией;
  2. Применение анализаторов протоколов для детального исследования заданных параметров сетевого трафика;
  3. Сбор, обработка, представление и анализ статистики трафика. Соответствие Netflow-стандартам версии 5,9, IPFIX;
  4. Интеграция с HTTP-прокси серверами с целью идентификации обеих сторон обмена информацией (в том числе для решения задачи анализа протокола SSL/TLS);
  5. Интеграция с ТИ ГосСОПКА (с использованием КПС РАМС ИБ);
  6. Обнаружение точек отказа сервера приложений (реализация для протокола TCP). С возможностью настройки порогов для объекта защиты;
  7. Обнаружение сканирования сети/портов различными протоколами и методами, включая метод TRW (Threshold Random Walk);
  8. Обнаружение неправильного (отклонение от RFC и других стандартов) использования протоколов/форматов/кодировок (HTTP, SSH, TCP, ICMP, IDENT, RLOGIN, RSH, RPC, BASE64, DHCP, DNS, INFLATE, IRC, "Общие проблемы текстовых протоколов, связанные с переводом строк, NUL в строке", FTP, FINGER, POP3, SMTP, IMAP, SMB, SSL, ARP, NTP, UDP, NETBIOS, IP);
  9. Выявление пакетов в сети с незарегистрированными IP-адресами и/или портами (белые/черные списки);
  10. Выявление хостов, превышающих порог общения с другими хостами в сети. Возможность задания исключений, к примеру, для серверов. Возможность использовать для оценки IP-адреса, Порты и выполнять группировку по протоколу транспортного и/или прикладного уровня;
  11. Выявление туннелей. Возможность анализа инкапсулированного протокола;
  12. Реализация механизмов самодиагностики функций ПАК (подсистемы СОА, подсистемы регистрации);
  13. Возможность удаленного управления и мониторинга (диагностики), загрузки БДРП на группе ПАК (с использованием служб Системы РАМС ИБ);
  14. Противодействие техникам обхода СОА;
  15. Количество одновременно анализируемых сетевых интерфейсов от 2 до 8. В том числе мостовых соединений - 4. Может быть ограничено лицензионным соглашением и зависит от исполнения;
  16. Обработка MAC-адресов и VLAN-меток (до 3-х уровней тегирования 802.1Q,QinQ - VLAN);
  17. Запуск и работа ПО СОА Аргус в среде виртуализации;
  18. Количество одновременно работающих анализаторов ограничено возможностями аппаратной составляющей (но не более 32768);
  19. Количество одновременно анализируемых сетевых интерфейсов одним анализатором ограничено только лицензионным соглашением;
  20. Ведение базы данных решающих правил (БРП) пользователей с возможностью активации любого пользовательского набора;
  21. Агрегационные отчеты как во встроенной отчетной системе, так и в сообщениях, отправляемых по электронной почте;
  22. Противодействие сетевым КА встроенными средствами управления внешними МЭ. Механизмы управление множествами правил фильтрации межсетевых экранов (в версии 1.6 – МСЭ ССПТ-2 (НПО РТК));
  23. Запись и экспорт сетевых пакетов, соответствующих зарегистрированным событиям ИБ (вызвавших срабатывание сигнатур КА);
  24. Функции тонкой настройки производительности (вплоть до возможности управления планировщиком ядра);
  25. Управление анализом контента на уровне решающих правил: выполнять анализ на уровне группы сетевых пакетов или выполнять анализ на уровне собранной из сетевых пакетов сетевой сессии.

 



[1] Для анализа сетевого трафика со скоростью 1000 Мбит/с должны обеспечиваться минимальные характеристики аппаратных средств:

- архитектуры Intel x86-64:

  • процессоры Intel x86-64, не менее 8 вычислительных ядер, с тактовой частотой не менее 2.1 ГГц - 2 шт.;
  • оперативная память - тип памяти не хуже DDR4, частота не ниже 2133 МГц - суммарный объем не менее 64 Гб;
  • сетевые интерфейсы - 1000/100/10Base-T, чипсет Intel - не менее 2 интерфейсов (1 байпас пары) и не более 8 интерфейсов (4 байпас пары)

- архитектуры МЦСТ «Эльбрус» версии 4 или 5:

  • процессоры «Эльбрус-8С»/«Эльбрус-8СВ» 8 вычислительных ядер, с тактовой частотой не менее 1.3 ГГц - 2 шт.;
  • оперативная память - тип памяти DDR3/DDR4, частота не ниже 1600 МГц - суммарный объем не менее 64 Гб;
  • сетевые интерфейсы - 1000/100/10Base-T, чипсет Intel - не менее 2 интерфейсов (1 байпас пары) и не более 6 интерфейсов (3 байпас пары)

 

[2] В настоящее время ГК ЦСС выполняет работы по переносу КПС СОА «Аргус» в среду операционных систем «Базальт СПО» Альт 8 СП (аппаратная платформа Intel x86-64 и/или среды виртуализации, эмулирующие аппаратную платформу Intel x86-64) и «Базальт СПО» Альт 8 СП (аппаратная платформа МЦСТ «Эльбрус» 4 поколения).

 

© 2002 - 2024 Центр Специальной Системотехники |