В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Евгений Шполянский, директор продуктов ЗАО "ТЕЛРОС"
До недавнего времени различные услуги передачи информации строились на различных технологиях коммутации, что требовало создания отдельных сетей и предполагало дорогостоящую аренду каналов связи у операторов. При этом для каждой сети использовались свои организационно-технические методы защиты конфиденциальной информации.
Существующий уровень развития информационных технологий позволяет создавать мультисервисные сети конфиденциальной связи, использующие в качестве транспортной среды ресурсы открытых сетей (в частности, Интернет). Основные задачи государственных концернов при создании информационно-телекоммуникационных сетей, как правило, сводятся к следующему:
Эффективным решением перечисленных задач, обеспечивающим надежность и экономичность, а также соответствие требованиям нормативных документов в области информационной безопасности, являются современные комплексы защиты конфиденциальной информации (КЗКИ).
КЗКИ – законченное аппаратно-программное решение. Все оборудование компактно размещается в одном телекоммуникационном шкафу (рис. 1), оснащенном (исходя из требований информационной безопасности) замками и устройствами опечатывания.
Комплекс выступает как основа построения мультисер-висных сетей конфиденциальной связи с поддержкой услуг телефонных переговоров, видеоконференций, обмена данными (рис. 2). При обмене информацией между узлами корпоративных сетей по каналам Интернета должны организовываться специальные VPN-туннели, по которым передаются зашифрованные пакеты данных. Такой подход гарантирует сохранение конфиденциальности информации в случае перехвата пакетов злоумышленниками. Для защиты внутренних ресурсов корпоративной сети от несанкционированного доступа со стороны внешних нарушителей должны быть предусмотрены средства фильтрации пакетов и контроля недекларированных возможностей.
Основными элементами комплекса являются устройства маршрутизации, коммутации и шифрования мультисервисного трафика, а также преобразования телефонной информации традиционных сетей в пакетный вид.
В настоящее время на отечественном рынке представлены интегрированные решения, поддерживающие технологию VPN, которые позволяют решать задачи маршрутизации и шифрования на одной аппаратно-программной платформе.
Такие устройства способны обеспечивать защиту и пакетную фильтрацию проходящего через них конвергентного трафика мультисервисных сетей, а также защиту собственных аппаратно-программных средств от несанкционированного доступа.
Для подключения оборудования традиционных телефонных сетей (телефонные аппараты, учрежденческие АТС) могут быть использованы шлюзы IP-телефонии, сертифицированные ФСТЭК России. Модульная структура представленных на отечественном рынке шлюзов позволяет создавать различные по функциональности комбинации из интерфейсов FXS, FXO, E1 и обеспечивает возможность легкой замены модулей. Разнообразие способов включения во внешнюю сеть позволяет использовать данное оборудование практически при любом типе подключения к Интернету. Для внутренней сети, помимо режима прозрачного моста, могут обеспечиваться функции NAT, Virtual Server и сервера DHCP. Многие решения поддерживают режимы работы как с регистрацией на сервере (гейткипер Н.323 или прокси-сервер SIP), так и "точка-точка", в том числе и с поддержкой возможностей прозрачного выноса абонентских линий (hotline).
Активное оборудование сетей передачи данных (компьютеры, серверы, IP-телефоны, серверы видеоконференцсвя-зи) может подключаться как непосредственно к портам коммутатора ЛВС, установленного в шкафу, так и через внешние коммутаторы.
Помимо основного оборудования, в телекоммуникационном шкафу должен размещаться полный комплект вспомогательного оборудования, обеспечивающего функционирование комплекса и выполнение специальных требований по информационной безопасности. Установка непосредственно в КЗКИ кросса позволит осуществлять подключение абонентов без дополнительных устройств, выделив абонентскую разводку и обеспечив ее защиту организационными мерами.
В настоящее время типовой подход к организации защиты конфиденциальной информации на предприятиях предполагает привлечение фирмы-интегратора, имеющей лицензию ФСТЭК России, которая проводит проектные работы, производит на свое усмотрение выбор разнотипных устройств, сертифицированных ФСТЭК.
и осуществляет их сборку на месте (попутно решая проблемы с их сопряжением). При этом главному инженеру и заместителю генерального директора по безопасности концерна приходится выполнять большой объем работ административно-организационного характера. После установки, стыковки и настройки оборудования проводится комплексная аттестация оборудования на объекте силами аттестованной ФСТЭК лаборатории. В результате заказчик затрачивает существенные финансовые ресурсы, а узел связи предприятия и сопутствующие службы "лихорадит" в течение месяца.
Более предпочтительным вариантом по сравнению с описанным выше может являться аттестация готовых комплек- сов на базе испытательной лаборатории, аккредитованной ФСТЭК России. Данный вариант обладает следующими преимуществами:
Применение описанного в публикации подхода и использование готовых решений на базе аттестованных комплексов позволят отечественным концернам создавать сети конфиденциальной связи с минимизацией финансовых, организационных и временных ресурсов.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2010