Безопасности ГСПД
Механизмы защиты и способы обеспечения информационной
Технология ЗАО «РНТ» защиты процесса передачи данных в ГСПД
Наиболее приемлемой отечественной технологией обеспечения защиты процесса передачи данных в условиях возможных воздействий нарушителя на информационную сферу ГСПД, с точки зрения эффективности ее использования при создании СОИБ ГСПД в соответствии с рассмотренными выше подходами, является технология ЗАО «РНТ», направленная на:
• обеспечение защиты информационной сферы объектов ГСПД от возможных удаленных атак нарушителя по каналам доступа пользователей к ГСПД;
• обеспечение защиты ГСПД от несанкционированного доступа (по каналам связи) к предоставляемым ГСПД услугам связи;
• обеспечение контроля верности передаваемых в ГСПД пакетов данных (по отношению к преднамеренно осуществляемой нарушителем (внутри сети) модификации передаваемых пакетов данных);
• локализацию места (участка сети) воздействия нарушителя;
• своевременное выявление (определение) на основе собираемой информации о модификации передаваемых данных состояния блокирования процесса передачи данных с принятием соответствующих мер по восстановлению нарушенного процесса передачи данных.
Нижепредставленная технология обеспечения ИБ ГСПД предназначена для использования в ГСПД, оснащенных зарубежными средствами связи, не позволяющими использовать их программное обеспечение для решения дополнительных задач защиты.
В соответствии с указанной технологией защиты задача создания СОИБ ГСПД, использующей технологию передачи данных TCP/IP, состоит в разработке и создании базового сетевого процессора безопасности (СПБ), включающего структуру агента безопасности и реализующего на сетевом уровне эталонной модели ВОС протокол защиты (шифрования/расшифрования, выработки имитационной вставки и ее верификации) пакетов данных с использованием алгоритма криптографического преобразования пакетов данных в соответствии с ГОСТ 28147-89, и средств централизованного управления и ЦУБ, обеспечивающих для определенных взаимодействующих пользователей ГСПД за счет формирования и распределения ключей шифрования и соответствующей настройки СПБ возможность реализации функций отдельных видов СПБ: абонентского СПБ (СПБ-А), сетевого (СПБ-С) и магистрального СПБ (СПБ-М).
Наряду с решаемой СПБ на сетевом уровне ЭМВОС задачей контроля целостности и подлинности передаваемых пакетов данных в любой точке установленного маршрута прохождения пакетов данных между двумя пользователями ГСПД, с помощью этих же средств могут быть реализованы такие задачи, как защита от несанкционированного доступа пользователей в ГСПД, защита информационной сферы ГСПД от воздействий нарушителя информационным оружием по каналам связи, в том числе и по каналам связи пользователей, взаимодействующих через ГСПД с другими сетями связи, например с сетью Internet, контроль времени прохождения пакета данных, контроль целостности пакетов данных, содержащих информацию управления, при их передаче из центра управления сетью к сетевым элементам ГСПД и обратно, и др. (рис. 16.1).
Рисунок 16.1, а – Архитектура СОИБ ГСПД на базе СПБ
Основным методом, обеспечивающим возможность администратору безопасности СОИБ ГСПД измерять и отслеживать характеристики безопасности процесса передачи данных пользователя по установленным соединениям ГСПД в условиях возможных ВН является постоянный мониторинг этих соединений с помощью специальных механизмов обнаружения ВН, механизмов обнаружения последствий ВН, механизмов тестирования и др., встраиваемых в СОИБ ГСПД.
Рисунок 16.1, б – Схема организации СОИБ в ГСПД
На основе данных, полученных в результате мониторинга процесса передачи данных, администратор безопасности СОИБ ГСПД выявляет характер ВН (объект воздействия, периодичность ВН, характер последствия ВН, возможное развитие событий и др.) и вырабатывает решение о локализации места ВН и о проведении совместно с оператором ГСПД мероприятий по ликвидации последствий ВН и поддержанию качественных характеристик работы ГСПД, базируясь как на технологии транспортного сервиса, присущей используемой в ГСПД технологии процесса передачи данных, так и на специально введенной в ГСПД технологии, обеспечивающей определенное качество обслуживания в условиях преднамеренных ВН (например, технологии, базирующейся на использовании секретных резервных каналов связи и сегментов сети).