Бондарев Физическая засчита ядерных обектов 2008
.pdfветствующего качеству реализованного комплекса средств и мер защиты ресурсов от НСД.
Необходимыми исходными данными для классификации СТРС являются:
•уровень защищенности от НСД ресурсов СТРС (базовых станций, транкинговых контроллеров, терминалов технического обслуживания, диспетчерских пультов, мобильных радиостанций – радиотелефонов) и циркулирующей в системе информации (речевой, цифровых информационных и управляющих данных);
•уровень защищенности СТРС от отказа или прерывания обслуживания абонентов;
•режим функционирования (автономный, комплексный – с выходом на другие системы связи, включая телефонную сеть общего пользования);
•средства и методы администрирования СТРС.
Выбор класса СТРС производится заказчиком и/или разработчиком с привлечением квалифицированных специалистов (компетентных организаций) по защите информации.
Подтверждение соответствия СТРС определенному классу защищенности производится при сертификации СТРС по требованиям безопасности информации. Сертификация производится аккредитованными установленным порядком сертификационными центрами и испытательными лабораториями.
Устанавливаются три класса защищенности СТРС, различающихся условиями их эксплуатации и уровнем защиты. Низший класс защищенности третий, высший – первый.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите. СТРС, к которым не предъявляется требований по защите информации, а также СТРС, не удовлетворяющие требованиям третьего класса защищенности, не классифицируются по требованиям безопасности информации. Все
541
классы защищенности СТРС предполагают использование подключений к другим (внешним) коммуникационным системам, включая ТфОП.
Третий класс характеризуется требованиями по санкционированности использования абонентского оборудования СТРС и авторизованному администрированию с соответствующей регистрацией в системе событий, способных повлиять на безопасность информации в СТРС и надежность функционирования СТРС.
Применение СТРС третьего класса защищенности рекомендуется, если кратковременное нарушение непрерывности связи не является критичным (например, при наличии дублирующих каналов связи), в условиях, не требующих обязательной защиты передаваемой речевой информации и надежной аутентификации абонентов.
Такие условия характерны для систем охраны удаленных объектов, их внутренних технологических и коммуникационных систем, для организации оперативной связи обслуживающих подразделений.
Второй класс дополнительно допускает хранение в СВТ базовых станций (транкинговых контроллерах, локальных терминалах технического обслуживания) учетной и регистрационной информации с грифом не выше «секретно». Второй класс СТРС содержит два подкласса: 2Б и 2А. СТРС второго класса защищенности должны обеспечивать возможность фильтрации управляющих сообщений (команд) как на уровне управляющих устройств базовых станций – транкинговых контроллеров (подкласс 2Б), так и на уровне СВТ абонентских мобильных радиостанций (радиотелефонов) СТРС (подкласс 2А). К механизмам идентификации, аутентификации, регистрации и надежности функционирования оборудования для систем второго класса предъявляются более жесткие требования, в частности, дополнительно требуется наличие в системе воз-
542
можности активной аутентификации пользователя при инициировании сеанса связи.
Область использования СТРС второго класса – оперативная связь подразделений обеспечения и охраны при транспортировке ядерных материалов и другие подобные условия применения, в которых важна надежная аутентификация абонентов (в том числе по инициативе базовой станции) с целью исключения возможности несанкционированного использования абонентского оборудования для навязывания ложных сообщений.
СТРС второго класса рекомендуется использовать в тех случаях, когда критичны аспекты защищенности каналов связи на относительно короткие промежутки времени и важна санкционированная доступность (непрерывность функционирования) средств связи.
В СТРС первого класса допускается возможность хранения учетной и регистрационной информации на управляющих устройствах СТРС (транкинговых контроллерах, локальных терминалах технического обслуживания) и передачи по эфиру зашифрованной информации с грифом «секретно» для подкласса 1Б и «совершенно секретно» для подкласса 1А с использованием средств криптографической защиты передаваемой информации (СКЗИ), сертифицированных для соответствующего грифа секретности информации. Использование СКЗИ должно проводиться в соответствии с установленными правилами эксплуатации СКЗИ. Для оборудования базовых станций (транкинговых контроллеров, коммутаторов, интерфейсов) должно быть предусмотрено аппаратное резервирование средств, выполняющих основные функции коммутации и управления; в состав СТРС должны входить средства преобразования передаваемой информации к виду, исключающему возможность прослушивания передаваемых по эфиру сообщений, а для подклассов 1Б и 1А – гарантированной стойкости; аутентификация
пользователей в СТРС является обязательной; должна быть преду543
смотрена возможность реализации обратного вызова при инициализации сеанса связи. Подклассы 1В, 1Б, 1А различаются по средствам аутентификации и преобразования информации.
СТРС первого класса, обеспечивающие высокую достоверность идентификации и аутентификации абонентов и гарантированную стойкость защиты радиоканалов, целесообразно использовать в системах принятия решений и управления верхнего уровня и, в случае необходимости, в системах оперативного управления при ликвидации последствий и угрозы возникновения аварийных ситуаций.
Комплекс программно-технических средств и мер по защите СТРС от НСД реализуется в рамках единой системы защиты информации от НСД (СЗИ НСД), функционально подразделяемой на следующие подсистемы:
•управления доступом;
•администрирования;
•регистрации и учета;
•преобразования информации;
•обеспечения целостности.
В зависимости от класса защищенности СТРС в рамках этих подсистем реализуются определенные требования, которые представлены в табл. 12.2 со следующими обозначениями:
«- » – нет требований к данному классу;
«+ » – есть требования к данному классу.
«= » – требования совпадают с требованиями предшествующего класса.
Рассмотрим требования по информационной безопасности СТРС отдельно по классам:
544
Требования к третьему классу
Подсистема управления доступом. Все мобильные радио-
станции должны иметь уникальные идентификаторы (номера, адреса). Базовой станцией (транкинговым контроллером – ТК) СТРС должна проводиться автоматическая аутентификация мобильных радиостанций по идентификатору (номеру, адресу) при инициализации сеанса связи.
При этом должен проводиться контроль:
•доступа мобильных радиостанций абонентов к базовой станции по спискам доступа;
•доступа мобильных радиостанций абонентов СТРС к режиму экстренных сообщений по спискам доступа (при наличии в СТРС такого режима);
•доступа мобильных радиостанций абонентов СТРС к сервису «групповой вызов» по спискам доступа (при наличии в СТРС такого режима);
•вызова мобильными радиостанциями абонентов СТРС абонентов телефонной сети общего пользования (ТфОП), а также доступа к СТРС со стороны абонентов ТфОП по спискам доступа.
545
Таблица 12.2. Классификация СТРС
№ |
Подсистемы и требования |
Классы защищенности СТРС |
|||||
п/п |
|
|
|
|
|
|
|
|
|
3 |
2Б |
2А |
1В |
1Б |
1А |
|
1. Подсистема управления |
|
|
|
|
|
|
|
доступом |
|
|
|
|
|
|
|
Проверка подлинности |
|
|
|
|
|
|
|
(аутентификация) |
|
|
|
|
|
|
1.1 |
Проверка подлинности |
+ |
= |
= |
+ |
= |
+ |
|
мобильной радиостанции, |
|
|
|
|
|
|
|
телефона (радиотелефона) |
|
|
|
|
|
|
1.2 |
Проверка подлинности |
- |
+ |
+ |
+ |
= |
+ |
|
абонента со стороны базовой |
|
|
|
|
|
|
|
станции |
|
|
|
|
|
|
1.3 |
Проверка подлинности |
- |
- |
- |
+ |
= |
+ |
|
вызывающего абонента со |
|
|
|
|
|
|
|
стороны вызываемого |
|
|
|
|
|
|
1.4 |
Проверка подлинности базовой |
- |
- |
+ |
= |
+ |
= |
|
станции со стороны абонента |
|
|
|
|
|
|
|
Управление доступом |
|
|
|
|
|
|
|
субъектов: |
|
|
|
|
|
|
1.5 |
К мобильной радиостанции |
- |
- |
+ |
= |
= |
+ |
1.6 |
Абонентов к базовой станции |
+ |
= |
= |
+ |
= |
= |
1.7 |
К выходу на другие системы |
+ |
= |
= |
+ |
= |
+ |
|
связи (АТС) и входу из них |
|
|
|
|
|
|
1.8 |
К режиму экстренных |
+ |
= |
= |
= |
+ |
= |
|
сообщений |
|
|
|
|
|
|
1.9 |
К групповому вызову |
+ |
= |
= |
= |
+ |
= |
|
Фильтрация управляющих |
|
|
|
|
|
|
|
данных |
|
|
|
|
|
|
1.10. |
Фильтрация управляющих |
- |
+ |
= |
+ |
= |
= |
|
данных, принимаемых базовой |
|
|
|
|
|
|
|
станцией |
|
|
|
|
|
|
1.11 |
Фильтрация управляющих |
- |
- |
+ |
= |
+ |
= |
|
данных, принимаемых |
|
|
|
|
|
|
|
мобильной радиостанцией |
|
|
|
|
|
|
|
2. Подсистема |
|
|
|
|
|
|
|
администрирования |
|
|
|
|
|
|
|
Аутентификация |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.1 |
Проверка подлинности |
+ |
+ |
= |
+ |
= |
+ |
|
администратора (оператора) |
|
|
|
|
|
|
|
базовой станции |
|
|
|
|
|
|
2.2 |
Проверка подлинности канала |
- |
+ |
+ |
= |
= |
= |
|
(устройства) доступа к |
|
|
|
|
|
|
|
функциям администрирования |
|
|
|
|
|
|
|
базовой станции |
|
|
|
|
|
|
546
Окончание табл. 12.2
№ |
Подсистемы и требования |
Классы защищенности СТРС |
|||||
п/п |
|
|
|
|
|
|
|
|
|
3 |
2Б |
2А |
1В |
1Б |
1А |
|
Управление доступом: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.3 |
Администратора к базовой |
+ |
+ |
= |
= |
= |
= |
|
станции |
||||||
2.4 |
К функциям управления |
+ |
= |
= |
+ |
= |
= |
|
базовой станции |
||||||
2.5 |
К регистрационной |
- |
+ |
= |
= |
= |
= |
|
информации |
||||||
|
3. Подсистема регистрации и |
|
|
|
|
|
|
|
учета |
|
|
|
|
|
|
3.1 |
Включения/отключения |
+ |
= |
= |
= |
= |
= |
|
базовой станции |
||||||
3.2 |
Начала/завершения сеанса |
+ |
= |
= |
= |
= |
= |
|
связи |
||||||
3.3 |
Результатов проверки |
+ |
= |
= |
+ |
= |
= |
|
подлинности абонентов |
||||||
|
(радиостанций) |
|
|
|
|
|
|
3.4 |
Доступа к внешним системам |
+ |
= |
= |
= |
= |
= |
|
связи (АТС) |
||||||
3.5 |
Доступа администратора к |
+ |
= |
= |
= |
= |
= |
|
базовой станции |
||||||
3.6 |
Изменения параметров |
- |
+ |
= |
+ |
= |
= |
|
настройки (конфигурации) |
||||||
|
базовой станции и полномочий |
|
|
|
|
|
|
|
абонентов |
|
|
|
|
|
|
3.7 |
Доступа к регистрационной |
- |
+ |
= |
= |
= |
= |
|
информации |
||||||
3.8 |
Сигнализация попыток |
- |
- |
- |
- |
+ |
= |
|
нарушения защиты |
||||||
3.9 |
Блокирования управляющих |
- |
+ |
+ |
= |
= |
= |
|
данных при их фильтрации |
||||||
|
4. Подсистема преобразования |
|
|
|
|
|
|
|
информации |
|
|
|
|
|
|
4.1 |
Преобразование передаваемой |
- |
+ |
= |
+ |
+ |
+ |
|
информации |
||||||
|
5. Подсистема обеспечения |
|
|
|
|
|
|
|
целостности |
|
|
|
|
|
|
5.1 |
Обеспечение целостности |
+ |
+ |
+ |
+ |
= |
+ |
|
программно-аппаратных |
||||||
|
средств и управляющей |
|
|
|
|
|
|
|
информации |
|
|
|
|
|
|
5.2 |
Восстановление и |
+ |
+ |
+ |
+ |
+ |
+ |
|
тестирование |
||||||
5.3 |
Документация |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
||||||
547
Подсистема администрирования. Для систем данного класса должны:
•проводиться проверка подлинности администратора при доступе к базовой станции (терминалу технического обслуживания, ТК) по идентификатору и паролю временного действия;
•проводиться контроль доступа администраторов к базовой станции (ТК, терминалу технического обслуживания) по спискам доступа к функциям управления;
•быть предусмотрены средства, либо предприняты меры, исключающие возможность удаленного администрирования СТРС абонентами внешних сетей связи, включая ТфОП.
Подсистема регистрации и учета. Для систем данного класса:
1.Должна проводиться регистрация загрузки, инициализации управляющего устройства СТРС (ТК, терминала технического обслуживания) и его останова. В параметрах регистрации указываются дата, время включения/выключения ТК (терминала технического обслуживания).
Регистрация даты, времени выключения управляющего устройства СТРС не производится при аварийном отключении базовой станции.
2.Должна проводиться регистрация результатов проверки подлинности мобильных радиостанций при их подключении к базовой станции (регистрации). В параметрах регистрации указываются:
•дата и время попытки подключения;
•идентификатор (номер, адрес) мобильной радиостанции (радиотелефона);
•результат проверки подлинности мобильной радиостанции (радиотелефона): успешная, неуспешная – несанкционированная (посторонняя) радиостанция.
548
3.Должна проводиться регистрация соединений абонентов. В параметрах регистрации указываются:
•дата и время попытки установления соединения;
•идентификаторы вызывающего и вызываемого абонента (номер, адрес устройства);
•результат попытки установления соединения: успешная, неуспешная;
•причина неуспешной и/или несанкционированной попытки установления соединения: несанкционированный номер, абонент отсутствует, занят и т.д.;
•длительность соединения;
•тип вызова (индивидуальный, групповой, экстренный и тому подобное);
•приоритет вызова.
4.Должна осуществляться регистрация доступа администратора к базовой станции (ТК, терминалу технического обслуживания). В параметрах регистрации указываются:
•дата и время попытки доступа к средствам управления базовой станцией;
•идентификатор, предъявленный при попытке доступа;
•вид доступа (локальный, удаленный);
•идентификатор (номер, адрес, порт) оборудования, используемого при доступе;
•результат попытки: успешный, неуспешный – несанкционированный.
5.Должна проводиться регистрация доступа мобильных радиостанций абонентов СТРС к внешним системам связи (ТфОП) и абонентов ТфОП к базовой станции. В параметрах регистрации указываются:
549
•дата и время попытки доступа;
•идентификатор (номер) вызывающего абонента;
•идентификатор (номер) вызываемого абонента;
•результат попытки доступа: успешная, неуспешная – несанкционированная.
Подсистема обеспечения целостности. Устройства управле-
ния базовой станции (ТК, терминал технического обслуживания) должны содержать средства контроля за целостностью своей программной и информационной части.
Для базовой станции должна быть предусмотрена процедура восстановления после сбоев и отказов оборудования, обеспечивающая восстановление эксплуатационных свойств технических средств СТРС.
Вбазовой станции должны быть предусмотрены средства восстановления программной и информационной (управляющей) части, доступные администратору.
Вбазовой станции должна обеспечиваться возможность регламентного тестирования:
•процесса проверки подлинности мобильных радиостанций и администраторов;
•процесса регистрации доступа к базовой станции и внешним системам связи;
•реализации правил разграничения доступа мобильных радиостанций абонентов к разрешенным видам сервиса;
•процесса контроля за целостностью программной и информационной части управляющих устройств базовой станции;
•процедуры восстановления программно-технической и информационной части базовой станции (транкингового контроллера, терминала технического обслуживания).
550