№
|
Талаб
|
ХД1
|
ХД2
|
ХД3
|
ХД1 - Бош банк учун ва ходимларни масофадан уланиши таъминлаш учун хавфсизлик деворлари (2та)
ХД2 - Маълумотлар маркази учун хавфсизлик деворлари (4та)
ХД3 - Банкнинг филиаллари учун хавфсизлик деворлари (43та)
|
1
|
Хавфсизлик деворлари O‘z DSt 2815:2014 «Ахборот технологиялари. Тармоқлараро экран.» стандартида келтирилган талабларнинг камида биринчи ёки иккинчи тоифасига мос бўлиши керак.
|
|
|
|
2
|
OSI моделининг Layer-2 дан Layer-7 гача бўлган қатламларида ишлайдиган аппарат хавфсизлик девори
|
|
|
|
3
|
Сессия ҳолатини бошқара олувчи хавфсизлик девори
|
|
|
|
4
|
Хавфсизлик девори орқали ўтадиган трафик орқали OSI моделининг еттинчи даражасида тармоқ иловаларини таниб олиш ва блокировка қилиш, шу жумладан умумий портдан фойдаланадиган барча иловалар учун, шу жумладан 80 ва 443, ва динамик TCP / UDP портларидан фойдаланиш
|
|
|
|
5
|
OSI моделининг 7-қатламидаги текширилган трафикдаги иловалар, хамда HTTP/2 протоколи орқали узатиладиган иловаларни, хавфсизлик деоворида сақланган имзо(сигнатура)лар билан таниб олиш
|
|
|
|
6
|
HTTP (S), FTP, SMB, SMTP, RPC ва бошқа декодерларидан фойдаланган ҳолда оддий иборалар ёрдамида ўз илова имзоларини яратиш учун ўрнатилган хавфсизлик девори воситаларини тақдим этиш, шунингдек, TCP / UDP пакетлари таркиби учун ниқобдан фойдаланиш
|
|
|
|
7
|
Стандарт ва ностандарт порталарда HTTP(S), FTP(S), SMBv1/2/3, SMTP(S), IMAP(S), POP3(S), HTTP/2 трафигини вирусга карши тахлил қилиш
|
|
|
|
8
|
HTTP(S), FTP(S), SMBv1/2/3, SMTP(S), IMAP(S), POP3(S), HTTP/2 ностандарт порти динамик тарзда, ХД конфигурациясидаги текшириш портини аниқ тарзда кўрсатмасдан, белгиланиши керак
|
|
|
|
9
|
Антивирус ва IPS маълумотлар базаларида мавжуд бўлмаган зарарли файллар ва PowerShell скриптларини, скриптлардан фойдаланмасдан, ХД ОТ қисми сифатида ишлайдиган машинавий ўрганиш алгоритмлари ёрдамида аниқлаш
|
|
|
|
10
|
Хавфсизлик сиёсати тан олинган иловаларга фақат стандарт TCP/UDP портлари йордамида автоматик равишда ишлашга рухсат бериши керак. (Масалан, HTTP учун TCP 80/8080, HTTPS учун TCP 443 ва бошқалар)
|
|
|
|
11
|
Бошқарувнинг мураккаблигини камайтириш учун, хавфсизлик сиёсати ностандарт TCP/UDP портларида иловаларнинг ишлашини аниқлаш ва керак бўлганда блоклаш имконини бериши керак
|
|
|
|
12
|
TLS 1.2, TLS 1.3 ва HTTP/2 шифрланган трафикни шифрини очиш орқали текширишни қўллаб қувватлаш
|
|
|
|
13
|
Ишлаб чиқарувчи томонидан олдиндан ўрнатилган SSL/TLS шифрини очиш истиснолари маълумотлар базаси булиши керак
|
|
|
|
14
|
Туннеларни назорати:
Generic Routing Encapsulation (GRE) (RFC 2784);
Non‐encrypted IPSec traffic [NULL Encryption Algorithm for IPSec (RFC 2410);
Transport mode AH IPSec;
General Packet Radio Service (GPRS) Tunneling Protocol for User Data (GTP‐U)
|
|
|
|
15
|
Бир сеанс давомида фойдаланиладиган турли иловаларнинг изчил аниклаш
|
|
|
|
16
|
Microsoft Active Directory, Microsoft Exchange, Novell eDirectory, LDAP, Citrix каби корпоратив фойдаланувчи аутентификация хизматлари билан интеграция орқали тармоқ иловаларидан фойдаланувчи фойдаланувчиларни аниқдаш; очиқ XML API орқали бошқа аутентификация хизматлари (масалан, симсиз тармоқ контроллерлари) билан интеграция қилиш имконияти; WЕБ саҳифасидан фойдаланган ҳолда фойдаланувчиларнинг мажбурий авторизациясидан фойдаланиш имконияти - "Captive portal"; Kerberos, Tacacs+ ни қўллаб-қувватлаш
|
|
|
|
17
|
Ҳар бир уланишнинг қуйидаги параметрларини квалификатор сифатида ишлатган ҳолда ягона хавфсизлик сиёсатида хавфсизлик девори орқали ўтадиган трафик қоидаларини яратиш:
жўнатувчининг IP-адреси
Қабул қилувчининг IP-адреси
Ишлатилган L4 хизматлари: TCP va UDP протоколлари учун,
фойдаланувчи номлари ёки Active Directory фойдаланувчи,
OSI моделининг 7-даражали иловалари,
URL Туркумлари
|
|
|
|
18
|
Антивирусдан ҳимоя қилиш, жосусларга қарши дастурлардан ҳимоя қилиш, заифликлар ва тармоқ ҳужумларидан ҳимоя қилиш (бузилишларни аниқлаш ва олдини олиш тизими), имзолар билан белгиланган турлар бўйича файлларни узатишни блоклаш функцияси мавжудлиги
|
|
|
|
19
|
Динамик репутация базасидан фойдаланган ҳолда URL-манзилни филтрлаш, бир хил веб-сайтнинг турли бўлимлари учун тоифаларни қўллаб-қувватлаш, шу жумладан рус тилидаги веб-сайтлар тоифаларини қўллаб-қувватлаш функцияси мавжудлиги
|
|
|
|
20
|
URL фильтрлаш таҳдидга жавоб бериш вақтини қисқартириш учун машинани ўрганиш технологиясидан фойдаланган ҳолда амалга оширилиши керак
|
|
|
|
21
|
Антивирус, URL филтрлаш, Application Control, Threat Intelligence ва IPSнинг 100% сигнатураларини ишга тушириш имконияти мавжуд булиши ва бу ускунинанинг ишлаш унимдорлиги пасайишига олиб келмаслиги керак
|
|
|
|
22
|
Тизим тахлил протсессорлариринг 100% юкланишида бошқарилиши керак
|
|
|
|
23
|
Реал вақт режимида ХД ОТ қисми сифатида ишлайдиган машинавий ўрганиш алгоритмларидан фойдаланган холда имзолардан фойдаланмасдан, URL филтрловчи маълумотлар базалари, антивирус ва IPS сигнатуралари мавжуд бўлмаган зарарли JavaScript скриптларида мавжуд бўлмаган фишинг сайтларини аниқлаш
|
|
|
|
24
|
Deep Learning алгоритмлари ёрдамида веб-сайтлар таркибини/кодларини тахлил қилиш орқали зарарли веб-ресурсларни аниқлаш, хамда ботнетлар ва C&C бошқарув серверларининг нол кунлик тахдидлари ва яширин трафигини аниқлаш. Бу вазифа қўшимча ускуна йоки махсулотларсиз ХД ўзида мавжуд бўлиши шарт
|
|
|
|
25
|
Ягона журнал ходисалари томонидан аниқланмаган мураккаб тахдидларни аниқлаш учун бир нечта турли хил трафик/тахдид журнали ходисаларини ўзаро боғлаш, хамда шу функция орқали тармоқдаги вирусли хостларни аниқлаш
|
|
|
|
26
|
AD билан интеграциялашган ҳолда фойдаланувчи номлари ва паролларини ўғирлашдан ҳимоя қилиш, ҳисобларни ишончсиз хавфсизлик зонасига ўтказишни кузатиш, икки факторли аутентификация (MFA) ёрдамида фойдаланувчини мажбурий аутентификация қилиш
|
|
|
|
27
|
Ҳисоботларни тузиш. Хавфсизлик девори турли мавзулар бўйича жадвал бўйича ҳисоботлар ва ҳисоботларни автоматик равишда яратиш функцияларига эга бўлиши керак (аниқланган таҳдидлар, фойдаланувчилар томонидан ажратилган узатилган маълумотлар ҳажми, иловалар ва бошқалар), яратилган ҳисоботларни қўлда созлаш функциялари. Ҳисоботларни тўғридан-тўғри хавфсизлик деворининг веб-га асосланган бошқарув интерфейси (GUI) орқали кўриш ва ҳисоботларни PDF ва CSV форматларига експорт қилиш имконияти бўлиши керак
|
|
|
|
28
|
ташқи қурилмалардан трафикни танлаш ва интернет орқали узатиш учун SSL туннелида шифрлаш учун функсионалликнинг мавжудлиги
|
|
|
|
29
|
IPSec VPN ва Remote Access VPN (IPse) функционалларининг мавжудлиги
|
|
|
|
30
|
Remote Access VPN (SSL) ва клиентсиз VPN (clientless VPN SSL) функционалларининг мавжудлиги
|
|
|
|
31
|
Хост холатини (posturе) tekshiruvi ва уни ХДда тасдиқланишини хавсизлик сиёсатларида квалификация сифатида фойдаланиш имконияти мавжудлиги, мисол учун, маълум бир версиягача янгиланган ва ишлайдиган антивируси, дискни шифрлаш функцияси йоқилган ва бошқа маълум дастурий таъминот фойдаланувчининг иш станциясида мавжуд бўлган холда трафик ўтказишга/уланишга рухсат бериш
|
|
|
|
32
|
SD-WAN технологиясидан фойдаланиш қобилияти:
Кечикиш, джиттер ва пакет йўқолиши нуқтаи назаридан уланишлар ҳолатини текшириш билан муайян иловалар ёки фойдаланувчиларнинг трафигига алоқа каналларини заҳиралаш
VPN уланишларини monitoring қилиш ва мезонларга мос келмаган тақдирда алоқа каналлари ўртасида автоматик алмашиш
Қурилмаларни ZTP жойлаштиришни қўллаб-қувватлаш ва уларни мавжуд SD-WAN схемасига автоматик равишда улаш
Forward Error Correction ва Packet Deduplication функцияларини қўллаб-қувватлашТўғридан-тўғри SaaS дастур серверлари билан алоқа каналини кузатишни қўллаб-қувватлаш
|
|
|
|
33
|
Маҳаллий администраторлар учун ролга асосланган киришни бошқариш:
Кўриш майдонини чеклаш ва умуман қурилма даражасида, шунингдек индивидуал вирутал тизимларни (контекстларни) бошқариш қобилияти;
Таҳрирлаш ёки фақат ўқиш режимида киришни таъминлаш ёки ХД веб-интерфейсининг исталган бўлимига киришни тақиқлаш имконияти;
Таҳрирлаш ёки фақат ўқиш режимида киришни таъминлаш ёки ХД CLI-га киришни тақиқлаш имконияти
|
|
|
|
34
|
Қўллаб-қувватланадиган протоколлар ва хавфсизлик деворининг ишлаш режимларига қўйиладиган талаблар:
Статик маршрутлаш ва BGP, OSPF, RIP v2 динамик маршрутлаш протоколларини қўллаб-қувватлаш;
Уланган коммутация ускунасининг SPANпортларидан "кўзгуланган" трафикни тинглаш режимларида, MAC вa IP манзилларни ўзгартирмасдан шаффоф режимда, трафикни алмаштириш режимида (Layer 2), трафикни маршрутлаш режимида тармоқ интерфейсларининг ишлашини қўллаб-қувватлаш (Layer 3);
Чекловларсиз исталган комбинацияда санаб ўтилган режимларнинг ҳар қандай турли тармоқ интерфейсларининг бир вақтда ишлашини қўллаб-қувватлаш;
Multicast-ни қуллаб-қувватлаш - PIM-SM, PIM-SSM, IGMP v1, v2, v3;
Хавфсизлик деворида ташкил етилган VLAN-лар ўртасида йўналишларни қўллаб-қувватлаш;
|
|
|
|
35
|
Ускуна хавфсизлик деворида қурилма тўлиқ юкланган бўлса ҳам уни муаммосиз бошқариш имконини берувчи махсус аппарат платформаси бўлиши керак. Бошқариладиган трафикни бошқариш учун ва бошқарув вазифалари учун алоҳида ҳисоблаш ресурслари тақдим этилган булиши керак
|
|
|
|
36
|
Хавфсизлик деворларини (веб ва CLI) бошқариш интерфейси марказлаштирилган бошқарув қуйи тизими, журналлар, ҳисоботлар, дастурий таъминотни янгилаш билан бирлаштирилган бўлиши керак.
|
|
|
|
37
|
Ҳар бир алоҳида қурилма HTTPS ва SSH орқали бошқарувчининг иш станциясида қўшимча бошқарув дастурини ўрнатмасдан бошқарилиши керак
|
|
|
|
