Комплекс средств защиты информации (КСЗИ) предназначен для защиты информационных ресурсов и процессов в комплексе технических средств УПАТС «Протон-ССС» серии «Алмаз» в рамках построения системы защиты информации от несанкционированного доступа автоматизированной системы (АС), соответствующей требованиям РД по классу защищенности 1В.

 Система информационной безопасности коммуникаций также включает:

  • Средства и методы криптографической защиты (включая средства организации виртуальных частных сетей в туннельном и транспортном режимах);
  • Средства межсетевого экранирования на сетевом, транспортном и прикладном уровнях; антивирусные сканеры; средства мониторинга и фильтрации запросов; системы обнаружения вторжений и сетевых атак;
  • Пограничный контроллер сервисов, поддерживающий функциональные возможности современных коммуникационных систем, установленных в организации (унифицированные коммуникации, видеоконференции, контакт-центры и др.) при обеспечении надежности и защищённости информации с помощью решения «Протон-ССС»;
  • Межстанционный голосовой экран, обеспечивающий управление телефонным трафиком предприятия.

Комплексные средства защиты информации

Комплекс средств защиты информации от несанкционированного доступа (КСЗИ от НСД) предназначен для защиты информационных ресурсов и процессов в комплексе технических средств УПАТС «Протон-ССС» серии «Алмаз» в рамках построения системы защиты информации от несанкционированного доступа автоматизированной системы (АС), соответствующей требованиям РД по классу защищенности 1В.

КСЗИ от НСД обеспечивает для УПАТС:

  • Идентификацию и аутентификацию пользователей при входе в операционную систему по идентификатору и паролю;
  • Перехват всех запросов к ресурсам системы и реализацию единого администратора доступа;
  • Контроль доступа к ресурсам системы на основе списков управления доступом и меток;
  • Контроль потоков информации и очистку памяти (автоматическое затирание защищаемых ресурсов при их удалении);
  • Изоляцию модулей и контроль целостности защищаемых ресурсов, программной среды и программных средств защиты информации от несанкционированного доступа;
  • Комплексное управление и мониторинг средствами защиты информации от несанкционированного доступа.

 Коммуникационная система «Протон-ССС» включает в себя и другие интегрированные средства защиты информации.
Для работы в сетях система содержит средства межсетевого экранирования на сетевом, транспортном и прикладном уровнях; антивирусные сканеры; средства мониторинга и фильтрации запросов; системы обнаружения вторжений и сетевых атак.
 Для создания защищенных каналов, объединяющих различные учреждения (филиалы) через публичные сети или операторов связи, в решениях «Протон-ССС» используются средства и методы криптографической защиты VipNet. Работа этих VPN-компонентов не приводит к изменению временных параметров IP-трафика (частоте следовании пакетов, задержек при передаче пакетов по сети и т. п.), а также существенному увеличению накладных расходов на организацию VPN-соединений, что является важным при организации видеотелефонной связи. Внедрение решений VipNet объединяет в себе выполнение высоких требований к устройствам управления трафиком и организации сетей передачи данных и столь же высоких требований, включая требования регулирующих органов Российской Федерации, к устройствам защиты информации.
 В соответствии с общими принципами обеспечения безопасности при применении современного сетевого оборудования для создания распределенных сетей организуется дополнительной уровень защиты на доверенном оборудовании, который включает следующие основные функциональные компоненты:

  • Пограничный контроллер VoIP-сессий (контроль сигнального трафика, нормализация и согласование различных версий протоколов, помощь клиентам для преодоления NAT устройств, трансляция протоколов H323, SIP, RTP, ограничение вызовов и т.д.);
  • Прокси-сервер системы эксплуатации и технического обслуживания (для исключения несанкционированного управления защищаемой системы).

 Кроме того, в системе «Протон-ССС» могут быть задействованы:

  • Межстанционный голосовой экран МСЭ «Протон-ССС» для TDM-каналов (защита от кражи трафика, повторяющихся и представляющих угрозу вызовов, злоупотребления разговорами, вмешательство в работу модемов и т.д.);
  • Система оперативно-розыскных мероприятий «Протон-ССС»;
  • SIP-proxy и SIP-registrar server (для резервирования SIP-телефонии при недоступности центрального сервера).

 Особенностями данного решения является то, что сертифицированный комплекс защиты позволяет создать распределённую защищенную систему аудио- и видеосвязи с использованием проводных, беспроводных каналов, публичных сетей связи без существенных затрат на развертывание компонент комплекса.


Пограничный контроллер сервисов


 Пограничный контроллер сервисов – это решение, которое обеспечивает функциональные возможности современных коммуникационных систем, установленных в организации (унифицированные коммуникации, видеоконференции, контакт-центры и др.) при сохранении надежности и защищённости информации с помощью решения «Протон-ССС». Для этого подключение компонентов систем телекоммуникации к транспортным и прикладным сетям производится через пограничный контроллер сервисов SRBC. В этой варианте только доверенные, прошедшие специальную проверку и адаптированные терминалы могут включаться как полноправные компоненты в общей транспортной сети (минуя прокси-сервера), т.к. их работа будет обеспечиваться в любом подключении (в любой точке) сети. Остальные терминалы с необходимыми функциональными возможностями могут использоваться, но уже за пределами безопасной зоны, т.е. требуя организации специального демилитаризованного сегмента сети.

 Пограничный контроллер сервисов решает также проблемы:

  • Низкого качества и пропускной способности IP-канала;
  • Различного типа протоколов и кодеков на стыке систем IP-телефонии;
  • Отличия в реализации протоколов SIP у разных производителей;
  • Использования разнородного оборудование IP-телефонии;
  • Отсутствия защиты от DoS/DDoS-атак (на уровне приложений) у IP PBX, Call Center, Softswitch на SIP стыках;
  • Низкой защиты от перегрузок по регистрации;
  • Видимости внутренних IP-адреса для внешних пользователей;
  • Устройства в различных частных сетях имеют одинаковые IP-адреса, т.е. используются те же подсети.
  • В дополнение к функциям контроля сервисов непосредственно для коммуникаций, также специальным образом организуется управление всей интегрированной системой. Система эксплуатации подшефной системы выступает в качестве агента и работает только с системой эксплуатации «Протон-ССС», исключая возможность прямого управления. Все функции по обновлению программного обеспечения, конфигурированию выполняются через комплекс программ «Протон-ССС» с помощью единого унифицированного графического пользовательского интерфейса.

Межстанционный голосовой экран МСЭ “ПРОТОН-ССС”

 Является специализированным модульно-наращиваемым устройством цифровой обработки сигналов на базе оборудования «ПРОТОН-ССС», осуществляющим функции мониторинга содержания, передаваемого по цифровым межстанционным соединительным линиям и его модификацию в соответствии с выбранной политикой безопасности.

 Задачи, решаемые МСЭ:

  • Защита служебных портов управления АТС от несанкционированного доступа с целью перехвата управления станцией или ее вывода из строя;
  • Контроль телекоммуникационной активности пользователей АТС и запрет видов связи в соответствии с политикой безопасности компании (организации) для различных категорий пользователей;
  • Предотвращение передачи по телефонным каналам определенных типов сигналов в соответствии с политикой безопасности компании (организации) как для исходящих, так и входящих вызовов;
  • Сбор статистической информации о телекоммуникационной активности пользователей АТС, видах передаваемой пользовательской информации;
  • Контроль использования телефонией.

 Возможности межстанционного экрана:

  • Анализ сигнальной информации и запрет исходящих/входящих вызовов, не соответствующих выбранным политикам безопасности и правам пользователей;
  • Контроль и фильтрация сигнальных сообщений, передаваемых в 16 канальном интервале, передача сигнальных сообщений соответствующих протоколу EDSS1;
  • Модификация сегмента user-user в сигнальных сообщениях, передаваемых в 16 КИ потока E1;
  • Предотвращение несанкционированного удаленного администрирования защищаемой АТС через модемное соединение;
  • Модификация идентификационной информации (callerID) абонентов АТС при исходящем вызове
  • Автоматическая классификация информации, передаваемой в телефонном канале (речь/пауза, cигналы тонального набора номера; сигналы установления модемного соединения; сигналы установления факсимильного соединения; передача данных для установленного факсимильного соединения; передача данных для установленного модемного соединения)
  • Запрет передачи данных (тональный донабор, прием-передача факсов, модемная связь) в соответствии с выбранной политикой безопасности и правам пользователей по результатам автоматической классификации пользовательской информации
  • Подавление нестандарных сигналов, в том числе и широкополосных с некоторым ограничением функциональности (работа в безопасном режиме, опционально);
  • Логгирование (по всей сигнальной информации, передаваемой в 16 КИ; по номерам телефонов, времени начала/окончания соединения; вида соединения (входящий/исходящий вызов); вида передаваемой информации (речь, модемная связь, факсимильная связь, тональный донабор); по диагностике физических параметров межстанционных соединений (синхронизация, разрыв, ошибки передачи)).

 В перспективе предусматривается работа в сетях VoIP, запись переговоров пользователей АТС, обработка статистической информации о телекоммуникационной активности пользователей АТС и видах передаваемой пользовательской информации.