Современный подход к построению мультисервисных сетей конфиденциальной связи государственных концернов

Евгений Шполянский, директор продуктов ЗАО "ТЕЛРОС"

Задачи государственных концернов

До недавнего времени различные услуги передачи информации строились на различных технологиях коммутации, что требовало создания отдельных сетей и предполагало дорогостоящую аренду каналов связи у операторов. При этом для каждой сети использовались свои организационно-технические методы защиты конфиденциальной информации.

Существующий уровень развития информационных технологий позволяет создавать мультисервисные сети конфиденциальной связи, использующие в качестве транспортной среды ресурсы открытых сетей (в частности, Интернет). Основные задачи государственных концернов при создании информационно-телекоммуникационных сетей, как правило, сводятся к следующему:

• организация системы конфиденциальной телефонной связи с региональными и зарубежными филиалами;
• организация системы видео-конференцсвязи между несколькими площадками;
• объединение сегментов корпоративных сетей передачи данных.

Эффективным решением перечисленных задач, обеспечивающим надежность и экономичность, а также соответствие требованиям нормативных документов в области информационной безопасности, являются современные комплексы защиты конфиденциальной информации (КЗКИ).

Рассмотрим типовую архитектуру комплекса

КЗКИ – законченное аппаратно-программное решение. Все оборудование компактно размещается в одном телекоммуникационном шкафу (рис. 1), оснащенном (исходя из требований информационной безопасности) замками и устройствами опечатывания.

Комплекс выступает как основа построения мультисер-висных сетей конфиденциальной связи с поддержкой услуг телефонных переговоров, видеоконференций, обмена данными (рис. 2). При обмене информацией между узлами корпоративных сетей по каналам Интернета должны организовываться специальные VPN-туннели, по которым передаются зашифрованные пакеты данных. Такой подход гарантирует сохранение конфиденциальности информации в случае перехвата пакетов злоумышленниками. Для защиты внутренних ресурсов корпоративной сети от несанкционированного доступа со стороны внешних нарушителей должны быть предусмотрены средства фильтрации пакетов и контроля недекларированных возможностей.

Основными элементами комплекса являются устройства маршрутизации, коммутации и шифрования мультисервисного трафика, а также преобразования телефонной информации традиционных сетей в пакетный вид.

В настоящее время на отечественном рынке представлены интегрированные решения, поддерживающие технологию VPN, которые позволяют решать задачи маршрутизации и шифрования на одной аппаратно-программной платформе.

Такие устройства способны обеспечивать защиту и пакетную фильтрацию проходящего через них конвергентного трафика мультисервисных сетей, а также защиту собственных аппаратно-программных средств от несанкционированного доступа.

Для подключения оборудования традиционных телефонных сетей (телефонные аппараты, учрежденческие АТС) могут быть использованы шлюзы IP-телефонии, сертифицированные ФСТЭК России. Модульная структура представленных на отечественном рынке шлюзов позволяет создавать различные по функциональности комбинации из интерфейсов FXS, FXO, E1 и обеспечивает возможность легкой замены модулей. Разнообразие способов включения во внешнюю сеть позволяет использовать данное оборудование практически при любом типе подключения к Интернету. Для внутренней сети, помимо режима прозрачного моста, могут обеспечиваться функции NAT, Virtual Server и сервера DHCP. Многие решения поддерживают режимы работы как с регистрацией на сервере (гейткипер Н.323 или прокси-сервер SIP), так и "точка-точка", в том числе и с поддержкой возможностей прозрачного выноса абонентских линий (hotline).

Активное оборудование сетей передачи данных (компьютеры, серверы, IP-телефоны, серверы видеоконференцсвя-зи) может подключаться как непосредственно к портам коммутатора ЛВС, установленного в шкафу, так и через внешние коммутаторы.

Помимо основного оборудования, в телекоммуникационном шкафу должен размещаться полный комплект вспомогательного оборудования, обеспечивающего функционирование комплекса и выполнение специальных требований по информационной безопасности. Установка непосредственно в КЗКИ кросса позволит осуществлять подключение абонентов без дополнительных устройств, выделив абонентскую разводку и обеспечив ее защиту организационными мерами.

Привлечение интегратора

В настоящее время типовой подход к организации защиты конфиденциальной информации на предприятиях предполагает привлечение фирмы-интегратора, имеющей лицензию ФСТЭК России, которая проводит проектные работы, производит на свое усмотрение выбор разнотипных устройств, сертифицированных ФСТЭК.

и осуществляет их сборку на месте (попутно решая проблемы с их сопряжением). При этом главному инженеру и заместителю генерального директора по безопасности концерна приходится выполнять большой объем работ административно-организационного характера. После установки, стыковки и настройки оборудования проводится комплексная аттестация оборудования на объекте силами аттестованной ФСТЭК лаборатории. В результате заказчик затрачивает существенные финансовые ресурсы, а узел связи предприятия и сопутствующие службы "лихорадит" в течение месяца.

Аттестация готовых комплексов

Более предпочтительным вариантом по сравнению с описанным выше может являться аттестация готовых комплек- сов на базе испытательной лаборатории, аккредитованной ФСТЭК России. Данный вариант обладает следующими преимуществами:

• отпадает необходимость аттестации отдельных устройств на объектах, достаточно провести организационные мероприятия;
• у заказчика появляется возможность сэкономить, закупив аттестованный комплекс и произведя его установку и настройку своими силами на всех площадках концерна;
• при наращивании возможностей комплекса нет необходимости начинать всю процедуру сначала, заказчик просто оплачивает разницу сумм и устанавливает новый аттестованный комплекс взамен старого;
• заказчик в рамках концерна получает возможность самостоятельно отправить аттестованный комплекс в зарубежный филиал без проблем с вывозом шифротехники;
• существует возможность предоставления услуг конфиденциальных переговоров и видеоконференций для руководителей, находящихся в командировках. Для этого на мобильных телефонах или ноутбуках устанавливается специализированное ПО тонкого VPN-клиента.

Применение описанного в публикации подхода и использование готовых решений на базе аттестованных комплексов позволят отечественным концернам создавать сети конфиденциальной связи с минимизацией финансовых, организационных и временных ресурсов.