Информационная безопасность

 

Комплекс средств защиты информации (КСЗИ) предназначен для защиты информационных ресурсов и процессов в комплексе технических средств УПАТС «Протон-ССС» серии «Алмаз» в рамках построения системы защиты информации от несанкционированного доступа автоматизированной системы (АС), соответствующей требованиям РД по классу защищенности 1В.

 

Система информационной безопасности коммуникаций также включает:

  • средства и методы криптографической защиты (включая средства организации виртуальных частных сетей в туннельном и транспортном режимах);
  • средства межсетевого экранирования на сетевом, транспортном и прикладном уровнях; антивирусные сканеры; средства мониторинга и фильтрации запросов; системы обнаружения вторжений и сетевых атак.
  • пограничный контроллер сервисов, поддерживающий  функциональные возможности современных коммуникационных систем, установленных в организации (унифицированные коммуникации, видеоконференции, контакт-центры и др.) при обеспечении надежности и защищённости информации с помощью решения «Протон-ССС».
  • межстанционный голосовой экран, обеспечивающий управление телефонным трафиком предприятия.

КОМПЛЕКСНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

Комплекс средств защиты информации от несанкционированного доступа (КСЗИ от НСД) предназначен для защиты информационных ресурсов и процессов в комплексе технических средств УПАТС «Протон-ССС» серии «Алмаз» в рамках построения системы защиты информации от несанкционированного доступа автоматизированной системы (АС), соответствующей требованиям РД по классу защищенности 1В.
КСЗИ от НСД обеспечивает для УПАТС:

  • идентификацию и аутентификацию пользователей при входе в операционную систему по идентификатору и паролю;
  • перехват всех запросов к ресурсам системы и реализацию единого администратора доступа;
  • контроль доступа к ресурсам системы на основе списков управления доступом и меток;
  • контроль потоков информации и очистку памяти (автоматическое затирание защищаемых ресурсов при их удалении);
  • изоляцию модулей и контроль целостности защищаемых ресурсов, программной среды и программных средств защиты информации от несанкционированного доступа;
  • комплексное управление и мониторинг средствами защиты информации от несанкционированного доступа.

    Коммуникационная система «Протон-ССС» включает в себя и другие интегрированные средства защиты информации.
    Для работы в сетях система содержит средства межсетевого экранирования на сетевом, транспортном и прикладном уровнях; антивирусные сканеры; средства мониторинга и фильтрации запросов; системы обнаружения вторжений и сетевых атак.
    Для создания защищенных каналов, объединяющих различные учреждения (филиалы) через  публичные сети или операторов связи, в решениях «Протон-ССС» используются средства и методы криптографической защиты VipNet. Работа этих VPN-компонентов не приводит к изменению временных параметров IP-трафика (частоте следовании пакетов, задержек при передаче пакетов по сети и т. п.), а также существенному увеличению накладных расходов на организацию VPN-соединений, что является важным при организации видеотелефонной связи. Внедрение решений VipNet объединяет в себе выполнение высоких требований к устройствам управления трафиком и организации сетей передачи данных и столь же высоких требований, включая требования регулирующих органов Российской Федерации, к устройствам защиты информации.

В соответствии с общими принципами обеспечения безопасности при применении современного сетевого оборудования для создания распределенных сетей организуется дополнительной уровень защиты на доверенном оборудовании, который включает следующие основные функциональные компоненты:

  • пограничный контроллер VoIP-сессий (контроль сигнального трафика, нормализация и согласование различных версий протоколов, помощь клиентам для преодоления NAT устройств, трансляция протоколов H323, SIP, RTP, ограничение вызовов и т.д.);
  • прокси-сервер системы эксплуатации и технического обслуживания (для исключения несанкционированного управления защищаемой системы).

    Кроме того, в системе «Протон-ССС» могут быть задействованы:

  • межстанционный голосовой экран МСЭ «Протон-ССС» для TDM-каналов (защита от кражи трафика, повторяющихся и представляющих угрозу вызовов, злоупотребления разговорами, вмешательство в работу модемов и т.д.);
  • система оперативно-розыскных мероприятий «Протон-ССС»;
  • SIP-proxy и SIP-registrar server (для резервирования SIP-телефонии при недоступности центрального сервера).

   
Особенностями данного решения является то, что сертифицированный комплекс защиты позволяет создать распределённую защищенную систему аудио- и видеосвязи с использованием проводных, беспроводных каналов, публичных сетей связи без существенных затрат на развертывание компонент комплекса.

 

ПОГРАНИЧНЫЙ КОНТРОЛЛЕР СЕРВИСОВ

Пограничный контроллер сервисов – это решение, которое обеспечивает функциональные возможности современных коммуникационных систем, установленных в организации (унифицированные коммуникации, видеоконференции, контакт-центры и др.) при сохранении надежности и защищённости информации с помощью решения «Протон-ССС». Для этого подключение компонентов систем телекоммуникации к транспортным и прикладным сетям производится через пограничный контроллер сервисов SRBC. В этой варианте только доверенные, прошедшие специальную проверку и адаптированные терминалы могут включаться как полноправные компоненты в общей транспортной сети (минуя прокси-сервера), т.к. их работа будет обеспечиваться в любом подключении (в любой точке) сети. Остальные терминалы с необходимыми функциональными возможностями могут использоваться, но уже за пределами безопасной зоны, т.е. требуя организации специального демилитаризованного сегмента сети.

Пограничный контроллер сервисов решает также проблемы:

  • низкого качества и пропускной способности IP-канала;
  • различного типа протоколов и кодеков на стыке систем IP-телефонии;
  • отличия в реализации протоколов SIP у разных производителей;
  • использования разнородного оборудование IP-телефонии;
  • отсутствия защиты от DoS/DDoS-атак (на уровне приложений) у IP PBX, Call Center, Softswitch на SIP стыках;
  • низкой защиты от перегрузок по регистрации;
  • видимости внутренних IP-адреса для внешних пользователей;
  • устройства в различных частных сетях имеют одинаковые IP-адреса, т.е. используются те же подсети.

В дополнение к функциям контроля сервисов непосредственно для коммуникаций, также специальным образом организуется управление всей интегрированной системой. Система эксплуатации подшефной системы выступает в качестве агента и работает только с системой эксплуатации «Протон-ССС», исключая возможность прямого управления. Все функции по обновлению программного обеспечения, конфигурированию выполняются через комплекс программ «Протон-ССС»  с помощью единого унифицированного графического пользовательского интерфейса.

 

Межстанционный голосовой экран МСЭ “ПРОТОН-ССС”

    Является специализированным модульно-наращиваемым устройством цифровой обработки сигналов на базе оборудования «ПРОТОН-ССС», осуществляющим функции мониторинга содержания, передаваемого по цифровым межстанционным соединительным линиям и его модификацию в соответствии с выбранной политикой безопасности.
    Задачи, решаемые МСЭ:

  • защита служебных портов управления АТС от несанкционированного доступа с целью перехвата управления станцией или ее вывода из строя;
  • контроль телекоммуникационной активности пользователей АТС и запрет видов связи в соответствии с политикой безопасности компании (организации) для различных категорий пользователей;
  • предотвращение передачи по телефонным каналам определенных типов сигналов в соответствии с политикой безопасности компании (организации) как для исходящих, так и входящих вызовов;
  • сбор статистической информации о телекоммуникационной активности пользователей АТС, видах передаваемой пользовательской информации;
  • контроль использования телефонией.

    Возможности межстанционного  экрана:

  • анализ сигнальной информации и запрет исходящих/входящих вызовов, не соответствующих  выбранным политикам безопасности и правам пользователей;
  • контроль и фильтрация сигнальных сообщений, передаваемых в  16 канальном интервале, передача  сигнальных сообщений соответствующих протоколу EDSS1;
  • модификация сегмента user-user в сигнальных сообщениях, передаваемых в 16 КИ потока E1;
  • предотвращение несанкционированного удаленного администрирования  защищаемой АТС через модемное соединение;
  • модификация идентификационной информации (callerID) абонентов АТС при исходящем вызове
  • автоматическая классификация информации, передаваемой в телефонном канале (речь/пауза, cигналы тонального набора номера; сигналы установления модемного соединения; сигналы установления факсимильного соединения; передача данных для установленного факсимильного соединения; передача данных для установленного модемного соединения)
  • запрет передачи данных (тональный донабор, прием-передача факсов, модемная связь) в соответствии с выбранной политикой безопасности и правам пользователей по результатам автоматической классификации пользовательской информации
  • подавление нестандарных сигналов, в том числе и широкополосных с некоторым ограничением функциональности(работа в безопасном режиме, опционально);
  • логгирование (по всей сигнальной информации, передаваемой в 16 КИ; по номерам телефонов, времени начала/окончания соединения; вида соединения (входящий/исходящий вызов); вида передаваемой информации (речь, модемная связь, факсимильная связь, тональный донабор); по диагностике физических параметров межстанционных соединений (синхронизация, разрыв, ошибки передачи)).

    В перспективе предусматривается работа в сетях VoIP, запись  переговоров пользователей АТС, обработка статистической информации о телекоммуникационной активности пользователей АТС и видах передаваемой пользовательской информации.