В условиях ускоренного развития современных беспроводных телекоммуникаций важным фактором повышения эффективности работы государственных ведомств и подчиненных им структур, повышения оперативности и результативности их деятельности может стать наличие эффективной сети ведомственной радиосвязи. Ряд государственных ведомств уже в течение многих лет располагает собственными радиосетями. Так, в частности, ФСБ, МВД, МЧС России эксплуатируются ведомственные сети подвижной радиосвязи стандартов TETRA, APCO 25 и DMR.
Целесообразным представляется применение для нужд радиосвязи государственных органов систем радиосвязи на базе современного стандарта подвижной радиосвязи LTE, обеспечивающих передачу мультимедийной информации и доступ к ведомственным базам данных,
Угрозы для сетей радиосвязи государственных органов
Разумеется, сети радиосвязи государственных органов должны быть надежно защищены от возможных угроз. Модель угроз сетей радиосвязи государственных органов включает ряд основных компонентов, применительно к каждому из которых должна быть обеспечена соответствующая защита. При этом необходимо иметь в виду, что инфраструктурное оборудование современных цифровых систем радиосвязи,
Среди таких угроз необходимо, прежде всего, назвать угрозы непосредственного доступа, а именно внедрение в технические средства, в том числе, в базовые станции радиосвязи, диспетчерское и коммутационное оборудование, а также в абонентские радиостанции аппаратных закладок. Наличие таких закладок создает угрозы получения доступа к носителям данных в составе сетевого оборудования, перехвата идентификаторов доступа и паролей на пользовательских и диспетчерских устройствах.
Серьезную опасность для сетей радиосвязи государственных органов представляют и угрозы удаленного доступа. К ним относятся прослушивание переговоров, перехват или подмена управляющей информации на базовых станциях, распространение вредоносного кода.
Нельзя забывать и о так называемых угрозах целостности, связанных, прежде всего с возможным внедрением в оборудование ядра сети вредоносного ПО. Никто не отменял и угроз утечки информации по техническим каналам, актуальных, прежде всего, применительно к диспетчерскому сетевому оборудованию.
Текущие методы противодействия угрозам и существующие проблемы
Разумеется, применительно к каждой из перечисленных угроз имеется соответствующий набор мер противодействия. Угрозам непосредственного доступа должны противодействовать проведение спецпроверок и специсследований базового, коммутационного и абонентского оборудования, надежные процедуры идентификации пользователей, использование в сетевом и абонентском оборудовании программно-аппаратных модулей доверенной загрузки.
Противодействие угрозам удаленного доступа должно осуществляться с помощью средств криптографической защиты каналов радиосвязи, специальных средства обнаружения вторжений в сетевую инфраструктуру ядра сети, постоянно обновляемых средств антивирусной защиты.
Противодействие угрозам целостности осуществляется на основе использования средств антивирусной защиты, устанавливаемых, прежде всего, на оборудование ядра сети, а также таких специализированных программных продуктов, как средства анализа защищенности устройств в сети и средства обнаружения вторжений. В сетях радиосвязи Минобороны, ФСБ и ФСО России, к безопасности которых предъявляются особые требования, указанные меры реализуются на основе соответствующих комплексов технических средств.
Что же касается систем обеспечения безопасности сетей радиосвязи других ведомств, то на сегодняшний день они зачастую имеют фрагментарный характер и не образуют единого комплекса.
Применительно к реализации некоторых компонент безопасности, в частности, защиты от прослушивания переговоров, имеются и очевидные трудности. Вызваны они, прежде всего, тем, что в используемых МВД и МЧС России системах радиосвязи APCO 25 и TETRA применяются зарубежные алгоритмы шифрования, использование которых противоречит действующему законодательству Российской Федерации. В связи с этим оборудование стандарта APCO 25, например, всегда приобреталось МВД России с отключенной функцией шифрования. Интегрировать в оборудование APCO 25 программное обеспечение, поддерживающее отечественные стандарты шифрования, не представляется возможным ввиду отсутствия доступа к исходным кодам программного обеспечения этого оборудования. В результате в сетях APCO 25 МВД России весь радиообмен по сей день ведется в открытом виде и может прослушиваться с помощью сканирующего оборудования, доступного на рынке.
Стандарты радиосвязи TETRA и DMR, в отличие от APCO 25, полностью основаны на открытых кодах, и интеграция отечественного криптографического ПО в абонентские радиостанции этих стандартов в принципе возможна. Однако, поскольку практически все оборудование указанных стандартов производится за рубежом, осуществление сертификации таких радиостанций в качестве средств защищенной передачи информации в соответствии с действующими в Российской Федерации нормативно-правовыми актами, является практически невозможным.
Методы противодействия угрозам в перспективных сетях радиосвязи государственных органов
Разумеется, в системах обеспечения безопасности информационного обмена перспективных сетей радиосвязи государственных органов указанные недостатки должны быть преодолены. Также необходимо, чтобы эти системы учитывали необходимость обеспечения безопасности в сетях LTE, которые со временем станут основой радиосетей государственных органов. Как было указано выше, системы безопасности должны включать подсистемы, обеспечивающие противодействие всем основным имеющимся угрозам.
Подсистема противодействия угрозам непосредственного доступа должна включать аппаратно-программные средства, обеспечивающие:
- идентификацию и аутентификацию пользователей на абонентском и серверном оборудовании;
- управление правами доступа пользователей к информации и ресурсам;
- обеспечение доверенной загрузки операционной системы абонентского и серверного оборудования;
- контроль целостности программной и аппаратной среды абонентского и серверного оборудования.
Важейшим средством борьбы с угрозами непосредственного доступа является импортозамещение. В части импортозамещения аппаратных средств систем радиосвязи ФГУП НИИР имеет опыт создания базовых станций LTE и подвижной радиосвязи на основе серверов, использующих процессор «Эльбрус» разработки МЦСТ «Эльбрус». В настоящее время специалистами ФГУП НИИР прорабатывается вопрос создания указанных базовых станций на базе отечественного процессора «Байкал».
Разумеется, импортозамещение должно быть реализовано и применительно к программному обеспечению. В случае если программное обеспечение сетевого ядра перспективных систем радиосвязи будет написано отечественными специалистами, опасность наличия в нем недекларированных возможностей будет исключена. Такое программное обеспечение может быть, в частности, создано специалистами ФГУП НИИР, ведущими в настоящее время работы по разработке специализированных систем LTE для МВД России.
Подсистема противодействия угрозам удаленного доступа должна включать аппаратно-программные средства, обеспечивающие:
- криптографическую защиту голосовой и мультимедийной информации;
- хранение и защиту ключей шифрования от несанкционированного доступа и управление ключевой информацией;
- защиту оборудования ядра сети, базового и коммутационного оборудования от вредоносного программного воздействия, возникающего от файловых вирусов, макровирусов, вирусов, поражающих исходный код, скриптовых вирусов, шпионского ПО;
- резидентный антивирусный мониторинг операционной системы ядра сети, базового и коммутационного оборудования.
Необходимо отметить, что важным обстоятельством, упрощающим реализацию криптографических решений в рамках такой сети, является то, что система LTE, как и всякая система, базирующаяся на IP протоколе, допускает любые криптографические надстройки,
Подсистема противодействия угрозам целостности должна включать аппаратно-программные средства, обеспечивающие:
- фильтрацию данных, поступающих из внешних сетей передачи данных;
- обнаружение аномалий в сетевом трафике, поступающем из внешних сетей передачи данных;
- обнаружение направленных и распределенных сетевых атак;
- поиск уязвимостей и ошибок сетевой конфигурации, а также несоответствий фактических настроек установленным требованиям;
- контроль изменений на сетевом оборудовании;
- проверка слабости парольной защиты во всех сервисах сети, требующих аутентификации.
Подсистема защиты информации от утечки по техническим каналам должна включать аппаратно-программные средства, обеспечивающие генерацию шумового сигнала в цепях электропитания и заземления и защиту передаваемой информации от утечки за счет побочных электромагнитных излучений и наводок.
Разумеется, создание системы безопасности, включающей все вышеперечисленные компоненты является делом технически и организационно сложным и в финансовом отношении весьма обременительным даже для таких крупных силовых ведомств, как, например, МВД и МЧС.
В настоящее время Правительством РФ по поручению Президента Российской Федерации прорабатывается вопрос о создании единой ведомственной сети профессиональной радиосвязи, предназначенной для обеспечения правопорядка, оказания помощи при бедствиях, выполнения операций в чрезвычайных ситуациях и обеспечения работы экстренных служб. В этой связи целесообразным представляется рассмотрение вопроса о единой системе обеспечения безопасности информационного обмена, которая была бы составной частью этой сети.
Обеспечение безопасности информационного обмена государственных органов Российской Федерации в перспективных сетях подвижной радиосвязи является сложной и амбициозной задачей. Однако имеющиеся у целого ряда отечественных предприятий эффективные наработки в области средств криптографической, межсетевой и антивирусной защиты, уже реализованные в представленных на рынке продуктах, а также аппаратно-программные решения, разрабатываемые в настоящее время, в том числе, специалистами ФГУП НИИР позволяют с уверенностью прогнозировать ее успешное решение.