Защищенные телекомунікації

Защищенные телекомунікації

Вопрос про можливість застосування сучасних телекомунікаційних рішень на бизнес-процессе — це у першу чергу питання захисту конфіденційної інформації. Саме він найчастіше є каменем спотикання шляху до впровадженням нових технологій. Як це були У у Радянському Союзі питаннями секретної зв’язку відало 8-ме Головне управління КДБ СРСР, користувачами ж секретної зв’язку були або державних установ, або високопоставлені партійні чиновники.

Поскольку в СРСР лише держава мало декларація про секрети, то питання розробці, виробництві й експлуатації секретних ліній зв’язку й відповідного устаткування, природно, знаходився під повним державним контролем. Для використання різними службами існувала безліч розрізнених мереж зв’язку: телефонні мережі «Искра-1 », «Искра-2 », оперативна зв’язок (ОС) спецслужб, горезвісна «вертушка », військова радіозв'язок, космічна зв’язок й багато іншого. Перша особливість мереж секретної зв’язку СРСР була така: їх захищеність гарантувалася насамперед не технічними рішеннями, а організаційними заходами, в частковості, тим, що експлуатацією даних мереж займався спеціальний персонал. Сама мережу секретної зв’язку, починаючи з кабелю і закінчуючи абонентським устаткуванням, належала власне власнику секретів — державі. Другий особливістю секретної зв’язку Радянського Союзу була принципова несумісність технічних прийняття рішень та апаратних коштів, що використовуються у різних мережах зв’язку. Дане положення речей задовольняло споживача хоча б оскільки інші рішення були відсутні.

В силу відомих обставин передові телекомунікаційні технології у СРСР не розвивалися, і весь зв’язок фактично полягала в голосової телефонії, радіотелефонії і телеграфними каналами. Порятунок потопаючого… У час розпаду СРСР з’явилися великі групи потенційних споживачів послуг секретної зв’язку: незалежними державами — колишні республіки СРСР, недержавні компанії та приватні особи. У цьому природним їх бажанням є контролю над зв’язком із боку будь-яких третіх осіб. Економічні перетворення, що в часу з розкладом Радянського Союзу, призвели до появи незалежних компаній-операторів, здійснюють поставку телекомунікаційних послуг. У умовах став формуватися ринок систем захисту.

Поскольку серед телекомунікаційних операторів сьогодні немає жорстка конкуренція, то начебто природним просування ринку нових послуг, у цьому числі послуг із забезпечення конфіденційного зв’язку. Але це наштовхнулося на дві серйозні перепони. Перша — теоретично досяжна — полягає у цьому, що, як згадувалося вище, користувач хоче сам забезпечувати таємність зв’язку, йому треба надання такий послуги від оператора. Технологічно цю проблему можна залагодити, коли всі функції захисту переносяться на абонентський комплект, яким розпоряджається безпосередньо користувач. Друга перепона — юридична — виявилася більш серйозної. Не занурюючись у хащі законодавства, зауважу, що сьогодні діє ряд законів і підзаконних актів, що регламентують застосування так званої ЗЗРЗ (системи оперативно-розшукових заходів), з вимог якої доступ співробітників спецслужб до інформації повинен " …забезпечуватися незалежно від цього, які засоби захисту інформації використовуються… ". Отже, компанія-оператор у принципі неспроможна надати користувачеві надійних коштів на передачі конфіденційної комп’ютерної інформації. Зокрема, таке стан справ із ЗЗРЗ (з документами по ЗЗРЗ можна було познайомитися на сторінці internet остаточно поховало мертвонароджений проект «Ділова мережу Росії «, свого часу активно продвигавшийся ФАПСИ. Основним відмінності даної мережі з інших ФАПСИ рекламувало «абсолютну конфіденційність «повідомлень.

Профессионалам ступінь «конфіденційності «була зрозумілою спочатку, документи ж по ЗЗРЗ прояснили її іншим. Отже, користувачам пропонується самим подбати про захист конфіденційної комп’ютерної інформації. Як вирішують цієї проблеми приватні та корпоративні користувачі, розглянемо нижче. Для прикладу наведемо найчастіше використовувані телекомунікаційні технології — фіксовану і мобільний (зокрема супутникову) голосовий телефонію, і навіть передачу комп’ютерних даних. Голосовий стаціонарна телефонія Найбільш доступна для споживача телефонний мережу загального користування є одночасно найменш захищеної системою телекомунікацій. Причин безліч, те й вільний доступом до кабельним комунікацій, і застаріле обладнання, яка потребує ремонту, отже, і доступу щодо нього, багатий вибір подслушивающей апаратури тощо. буд.

Частный користувач може забезпечити захист телефонній лінії в голосовому режимі лише одною способом — установкою спеціального телефонного апарату собі і вони абонентам, із якими планує обмінюватися секретної інформацією. Сьогодні над ринком є кілька варіантів апаратів, які забезпечують захист переговорів. Найвідоміші два: «Горіх «і Voice Coder 2000. Перший — орієнтовною ціною 500 дол. за апарат, другий — 2500 дол. за комплект з цих двох апаратів. Телефон «Горіх «забезпечує захист переговорів від непрофесійних і напівпрофесійних спроб прослуховування. Voice Coder 2000 забезпечує гарантовану захист телефонних переговорів. Обидва апарату прості у зверненні й зручні для користувача. ФАПСИ пропонує для потенційних замовників телефонну апаратуру «Гама 2 «по орієнтовною ціні 20 000 дол. за апаратів. Як сформована ця ціна — особисто мені загадка, ще, для придбання цього апарату необхідно мати ліцензію ФАПСИ на право використовувати таку апаратуру.

По думці експертів і з моєї думки також, дана апаратура немає перспектив над ринком засобів захисту інформації. Понад те, судячи з ціни, вона також має шансу просунутися й у державні організації, що зараз також вважає гроші. Як відомо автора статті, розробники цього вироби спробували повторити успіх апаратури американського виробництва STU III, яка широко використовувалася США різними рівнях відповідальності, до Президента США. Цю апаратуру слід сказати також із тій причині, що у ній вперше застосована нова технологія вироблення ключа для шифрування промови, і навіть зроблено спробу стандартизувати кошти, використовувані до створення мереж секретної зв’язку. Завдяки цьому удалося створити небачену до того часу в масштабах мережу секретної зв’язку, через яку Президент США може зв’язатися з командирами військових підрозділів до роти. До речі, придбати цю апаратуру до й Канаді можна без особливих труднощів. Корпоративний користувач, вирішуючи питань захисту телефонних каналів, додатково вищесказаного може використовувати підключення до телефонної мережі загального користувача через провайдера, забезпечує підведення оптоволоконного кабелю безпосередньо до офісу та під'єднання через офісні АТС.

Использование оптоволокна і сучасного устаткування фізично утрудняє можливість несанкціонованого підключення до лінії цим ускладнює зловмиснику його завдання. З іншого боку, корпоративний користувач може використовувати технічні засоби контролю над каналами зв’язку, выявляющие деякі типи прослуховуючих пристроїв. Голосовий мобільний (супутникова) телефонія Потреба системах захисту у абонентів мереж рухомого зв’язку найвища. По-перше, власники цих апаратів — це, найбільш цікаві з погляду прослуховування їх розмов як з боку конкурентів у бізнесі, і зі боку правоохоронних органів, по-друге, встановити факт прослуховування мобільного телефону практично неможливо. На жаль, сьогодні порадити щось радикальне користувачеві практично неможливо. У Росії зараз немає вітчизняних абонентських комплектів мобільного в зв’язку зі функціями захисту, а ввезти імпортні постачальникам практично неможливо. Залишається порекомендувати використовувати спеціальні накладки на трубки виробництва швейцарської компанії Crypto AG, що забезпечують захист інформації, але купити їх можна лише Швейцарії. Теоретично усе популярні стільникові стандарти GSM, (D)AMPS, NMT підтримують режим шифрування даних на ділянці трубка — базова станція, проте лише у вітчизняної мережі цю функцію не підтримується, оскільки існують жорсткі обмеження із ввезення такого устаткування базових станцій. Через це все стільникові переговори залишаються незахищеними.

Следует віддавати усвідомлювали у цьому, що коли б функція захисту була присутня, то вашу розмову було б захищений лише від стороннього прослуховування, але ще немає від оператора й, звісно, немає від спецслужб. Така сама сама ситуація й у супутникових систем зв’язку, у яких оператори змушені виконувати вимоги ЗЗРЗ. Не можна вважати ЗЗРЗ суто російським винаходом, так званий поліцейський режим закладений у апаратуру усіх головних виробників, просто Росії склалося трепетне ставлення до людини в погонах, і він зможе прослуховувати нас вами без будь-якої те що санкції.

Для тих, хто все-таки хоче чи хоч якось убезпечити себе від прослуховування переговорів через мобільні телефони, зауважу, що прослухати аналогові стандарти NMT і AMPS набагато легше, ніж GSM, DCS і DAMPS. З іншого боку, прослухати мобільний телефон у стандарті CDMA для непрофесіонала практично неможливо, як від професіонала знадобляться величезні фінансових витратах, і буде устаткування для прослуховування має дублювати устаткування базової станції, що зовсім не всім. Передача даних Сьогодні сміливо вважати, що якщо йдеться про передачу даних, те є у вигляді передача даних в комп’ютерних мережах чи торгівлі між локальними комп’ютерами. Тут у ролі абонентського комплекту виступатиме комп’ютер, який якимось чином (безпосередньо через комп’ютерну мережу, через модем і стаціонарну телефонну мережу чи через мобільного телефона) підключено до іншому комп’ютера (у разі широкомовних повідомлень — решти комп’ютерів). Разом завдання безпосереднього забезпечення захисту вмісту повідомлення від несанкціонованого доступу під час передачі даних виникає завдання підтвердження дійсності переданого повідомлення. Як для індивідуального, так корпоративного користувача найбільш прийнятні звані технології цифрового конверта та цифрового підписи на програмної реалізації.

Суть технології цифрового конверта наступного. Виробляється унікальне числоключ. Приміщення документа у цифровій конверт здійснюється шляхом обробки його спеціальної програмою, на вхід якої подаються як сам документ, і число-ключ. Вилучення документа з конверта можливе лише за знанні числа-ключа. Надалі технологія використання цифрового конверта визначається технологією управління даними числами-ключами. Найпопулярніші способи управління ключами пропонує у рішеннях фірма «ЛАН-Крипто «— це спосіб многоключевого доступу і загальнодосяжний спосіб відкритого розподілу ключів. Перший спосіб застосовується при доступі до баз даних, і у тому, що документи у цифрові конверти спочатку поміщає адміністратор системи, він також генерує числа-ключи. Далі з урахуванням проміжних чисел-ключей, створених користувачами системи, і чисел-ключей до конвертам формуються числа-ключи доступу кожному за користувача. У цьому з допомогою свого числа-ключа доступу користувач може отримати з цифрового конверта ті й ті документи, що йому спочатку дозволив видобувати адміністратор. Під час створення нових документів користувач може сам вирішувати чи обмежувати до них доступ інших користувачів. У результаті експлуатації системи може здійснюватися повне її адміністрування — зміна повноважень користувачів, зміна паролів, додавання і видалення користувачів тощо. буд., при цьому повної перенастройки системи непотрібен.

Открытое розподіл ключів нині — це найперспективніший засіб керування числами-ключами, використовуваний практично переважають у всіх системах захисту у світі. Він у тому, що дві користувача незалежно генерують особисті числа-ключи, з їхньої основі виробляють звані відкриті ключі, якими обмінюються. Далі кожен з абонентів мережі з урахуванням свого особистого числа-ключа і відкритого ключа партнера виробляє число-ключ, з допомогою якого поміщає підготовлений до відправки документ у цифровій конверт. Одержувач з урахуванням сьогодні вже свого особистого числа-ключа і відкритого ключа відправника виготовляє число-ключ, з допомогою якого витягує зі цифрового конверта документ.

Таким чином, на каналі зв’язку документ відбувається на конверті та її вміст недоступно стороннім. Отже, технологія цифрового конверта разом із технологіями управління числами-ключами забезпечує повний захист інформації у її передачі. «Цифрова підпис «краще відома користувачам, ніж «цифровий конверт », проте слід нагадати основу цій технології. Суть електронного підпису залежить від використанні спеціального алгоритму генерації підпис перевірки підписи. Користувач генерує особисте число-ключ, зване ключем підписи, і кількість, з ним пов’язане і зване ключем перевірки. Особисте число-ключ користувач зберігає у секреті, а ключ перевірки надсилає всім своїм кореспондентам. Для проставления підписи служить спеціальна дитяча програма, а її основі поданого на вхід документа і ключа підписи формує ще одне число, зване підписом.

Специальная програма, звана програмою перевірки, на вхід якої подаються ключ перевірки, власне документ і число-подпись, визначає, була підпис для даного документа сформована з допомогою ключа підписи, відповідного ключу перевірки. Тим самим було з’ясовується, чи є власник ключа підписи автором даного документа. Ці дві технології легко реалізуються на будь-який програмно-апаратної платформі й у сукупності забезпечують надійний захист даних за її передачі мережами зв’язку. Проте У цих технологій існує потенційний недолік: їх слід вбудовувати в вже існуючі системи, ще, як і раніше, що вони універсальні і працюють у режимі он-лайн, вони більшою мірою орієнтовані попереднє опрацювання інформації. Для підтримки систем передачі, де програмна обробка повідомлень неприйнятна (наприклад, через обмежені можливості абонентського чи комутаційного устаткування), використовуються програмно-апаратні чи апаратні системи захисту. До таким слід віднести модеми у реалізації технології цифрового конверта і відкритого розподілу ключів, спеціальні плати за захистом інформації та формування цифрового електронного підпису.

Данные вироби хоча й широко, але представлені на ринку вітчизняних засобів захисту інформації. Історично першої розробкою є плата «Криптон », реалізує алгоритм ГОСТ 28 147–89, проте нині все плати сімейства «Криптон «віднесено до шифрувальним засобам та їх застосування регламентується ФАПСИ. З доступних ж широкому користувачеві виробів слід сказати серію розробок «Грим », здійснюють апаратну захист інформації, поставлених фірмою «ЛАН-Крипто ». Спеціальне пропозицію… До цього історичного моменту ми говорили виключно про абонентських засобах захисту, не торкаючись того, як і організувати обробку конфіденційних повідомлень у самій телекомунікаційної мережі. Навіщо це потрібно.

Дело у цьому, що оператор послуг зв’язку неспроможна надати замовнику послуг за захисту інформації, але споживач послуг може бути, даруйте каламбур, «сам собі оператором «і здійснювати передачу зі своєї внутрішньокорпоративної мережі конфіденційної комп’ютерної інформації тому що йому це захочеться. Першим правилом з погляду безпеки під час створення корпоративної мережі є що — необхідно максимально позбавити можливості несанкціонованого доступу до коммутационному устаткуванню як фізично, і каналами телефонного зв’язку. Це дозволить захистити вашу мережу як частково спроб її зламування, і від фізичного псування. Далі необхідно визначити, якому рівні і які кошти безпеки ви маєте намір впроваджувати. Відповідно до ухваленого ISO семиуровневой моделі протоколів взаємодії відкритих систем (так званий стік ISO/OSI) виділяють такі рівні в побудові телекомунікаційних мереж:

физический;

канальный;

сетевой;

транспортный;

сеансовый;

представительный;

o прикладної. Кожен з цих рівнів можна зіставити певні засоби захисту, які потрібно використовувати при побудові мережі передачі конфіденційної інформації. Проте слід розуміти, що нижча рівень, у якому впроваджуватиметься засіб захисту інформації, тим вона дорожча і складніше в експлуатації. Про прикладному рівні, якому відповідав би абонентське устаткування чи прикладна програма користувача, ми сказали вже. На сеансовом і представницькому рівні (як на кожному рівні стека OSI) може функціонувати шлюз (gateway), здійснює трансляцію протоколів, що з корпоративної мережі означає зазвичай зв’язку з мережами загального користування. Разом із шлюзом варто використовувати засоби захисту інформації типу межсетевых екранів, які перешкоджають проходу із електромережі загального користування у корпоративну мережу.

Следует відзначити, що представницький і сеансовый рівні може бути неявним чином інтегровані у програмне забезпечення, що ні має зашкодити засобах захисту. На транспортному рівні функціонують маршрутизатори, які працюють із адресами пристроїв у мережі. У цьому рівні можна використовувати захист інформації під час передачі від однієї маршрутизатора до іншого за технологією цифрового конверта в поєднані із відкритим розподілом ключів чи іншого схемою вироблення загального ключа. Маршрутизатори популярних моделей практично завжди підтримують можливість шифрування даних. На мережному і лише частково на канальном рівнях функціонують комутатори та його більш проста різновид — мости, які працюють не з мережними адресами і з МАСадресами пристроїв. Впровадити тут засоби захисту складніший і найреальніше використовувати додаткові апаратні засоби захисту. Більш реальною видається необхідність обмеження доступу до списку МАС-адресов.

На фізичному рівні працюють мережні адаптери, повторювачі тощо устрою. З погляду захисту тут використовувати практично нічого, виключаючи технічні засоби контролю цілісності лінії виявлення несанкціонованих підключень. Використання комплексного підходи до створенню захищеної мережі як дозволить передавати за нею конфіденційні повідомлення, але й дозволить її власнику проводити гнучку політику безпеки, дозволяючи доступом до даним, яка циркулює у мережі суворо у відповідність до заздалегідь сформульованими вимогами.

Перспективы

В відповідність з тенденціями розвитку сучасних телекомунікаційних технологій можна очікувати поділу систем і коштів захисту на дві групи. Перша варта глобальних комп’ютерних мереж, і насамперед для Інтернету. Оскільки пришестя IP-телефонії стає дедалі реальним, причому у ролі абонентського устаткування можна використовувати з комп’ютером, а майбутньому, можливо, до Інтернету буде підключатися так і безпосередньо телефон, то цій групі домінуватимуть програмні засоби захисту інформації, функціонуючі на прикладному рівні. Природно, вони істотно більш розвинені і підтримувати мережевий сервіс, як, наприклад, одне з останніх розробок фірми «ЛАН-Крипто «— «Мережний центр сертифікації ключів », що дозволяє організовувати на мережі загального користування корпоративну накладену мережу у реалізації систем «цифровий конверт «і «цифрова підпис «без будь-яких додаткових доробок.

Очевидным чином знадобиться стандартизація подібних рішень, й у останнім часом ці запитання широко обговорюються. Друга ж група варта захисту інформацією системах мобільного зв’язку (стільниковим і супутниковим). Тут, як на мене, годі було очікувати радикальних зрушень основними засобів захисту видаються додаткові апаратні приставки до телефонів, випущені спеціалізованими фірмами. З погляду передачі конфіденційної комп’ютерної інформації мобільного телефона представлятиме інтерес як доступу до телефонної мережі передачі захищених даних із персонального компьютера.

Список литературы

Для підготовки даної роботи було використані матеріали із російського сайту internet.