2.3 Защита соединения спутниковых и наземных каналов связи

Спутниковые каналы VSAT широко применяются при построении распределенных корпоративных сетей. Как уже отмечалось, для таких каналов предусматривается достаточно высокий уровень шифрования и защиты данных.

Обычно центральный офис компаний имеет высокоскоростной доступ в Internet по наземным линиям связи или выделенную линию до центра коммутации (до площадки MMTC-9). Задача сопряжения сетей решается путем создания защищенного туннеля VPN между ЦУС спутникового оператора и центральным офисом клиента. Для этого можно использовать любой из протоколов туннелирования VPN: MPLS, IPSес, PPTP, L2F и прочие. Реализованная в соответствии с такими принципами схема связи будет удовлетворять заказчика как по степени информационной безопасности, так и по скорости доступа. Схема соединения каналов представлена на рис. 5.

Рис.5. Соединение каналов

В качестве примера построения защищенной корпоративной сети  связи с использованием спутниковых и наземного каналов связи можно привести канал VPN, созданный для подмосковного сегмента сети автозаправочных станций компании «Сибур-Петрокон». Одним из основных требований к сети связи было наличие высокоскоростных защищенных каналов доступа через Internet, поскольку на удаленных АЗС планировалось подключение POS-терминалов для оплаты услуг посредством пластиковых банковских карт. Туннель VPN надежно защитил данные, поступающие от АЗС в процессинговый центр банка [4].

2.4 Система криптографической защиты информации в сетях связи "м-484 форт"

Назначение: построение сетей связи для передачи информации, составляющей Государственную тайну (гриф "секретно" и "совершенно секретно"), а также построение корпоративных сетей защищенного электронного документооборота, не составляющего государственную тайну (гриф "конфиденциально"). По принципу построения относится к системам наложенной защиты. В отличие от систем встроенной защиты, в которых компоненты защиты встраиваются в программно-аппаратные средства и являются их неотъемлемой частью, системы наложенной защиты предполагают сопряжение с программно-аппаратными средствами и сетями, создававшимися без учета возможности дополнения средствами криптографической защиты информации. Указанное обстоятельство выгодно отличает СКЗИ "ФОРТ" от аналогичных. Это позволяет гибко строить наложенные сетевые решения для организации защиты конфиденциальной информации в системах типа "Банк-Клиент", а также создавать систему цифровой подписи (ЦП) в сетях электронной торговли, автоматизированной бухгалтерии и др.

Перечень действий нарушителя, парируемых СКЗИ:

• попытка получения несанкционированного доступа (НСД) к информации, операции;

• попытка модификации программного обеспечения терминалов АРМ системы, наносящих ущерб клиенту или системе;

• попытка корректировки (искажения) информации, хранящейся в файлах терминала или передаваемой по каналам связи;

• попытка выдачи себя за другого клиента путем похищения и использования его карты с целью использования его ресурса;

• попытка выдачи себя за другого оператора для снятия с себя ответственности или использования чужих, превосходящих полномочий. Попытка изменения своих полномочий или других операторов, в том числе попытка внесения "незаконных" операторов;

• повторная передача ранее сформированного штатным образом текста, приводящая к ущербу для клиента или системы (попытка навязывания);

• попытка отказа от факта передачи или получения информации, которая на самом деле была получена, ложные сведения о времени её получения. Ложное утверждение о передаче информации, которая на самом деле не передавалась;

• попытка подделки SMART-card с целью одновременного доступа в систему нескольких клиентов и незаконного получения ресурсов (дублёрами законного клиента);

• попытка несанкционированного получения конфиденциальных или служебных данных (криптографических ключей или паролей) методами анализа паразитных электромагнитных излучений;

• попытка несанкционированного получения конфиденциальных или служебных данных путем установки специальных программно-аппаратных устройств в средства системы.

Предполагается, что возможный нарушитель является специалистом высшей квалификации, т.е. знает все об информационной системе, о системе и средствах защиты и обладает всем объемом возможностей лиц, осуществляющих проектирование, эксплуатацию и ремонт технических средств, вплоть до включения в состав вычислительных средств собственных программных технических средств с новыми функциями по обработке информации.

Санкт-Петербургским Региональным Центром Защиты информации (СПбРЦЗИ), специализирующимся на создании систем криптографической защиты информации, в феврале 2003 года были проведены комплексные испытания приборов М-484 (сертификат ФАПСИ регистрационный номер СФ\020-0321 от 06.03.2000, по проверке возможности их применения для криптографической защиты информации при ее передаче по спутниковым каналам связи с использованием оборудования, предоставленного «ГлобалТел».

Особенностью построения приборов М-484 является их независимость работы от выбранных заказчиком средств передачи данных, что требовалось подтвердить для космических каналов, образуемых оборудованием «ГлобалТел». Приборы М-484 подключаются по стандартному асинхронному интерфейсу RS-232c в разрыв между компьютером (или другими средствами обработки информации) и HAYES-модемом, обеспечивая криптографическую защиту информации на скоростях до 115 Кбит\с. При использовании данных приборов в каналах связи может передаваться информация с грифом секретности «конфиденциально», «секретно», «сов. секретно» [5].