Документ взят из кэша поисковой машины. Адрес оригинального документа : http://iisi.msu.ru/UserFiles/File/bayern2009/ivanov.doc Дата изменения: Mon Apr 2 16:24:12 2012 Дата индексирования: Fri Feb 28 20:26:43 2014 Кодировка: koi8-r Поисковые слова: п п п п п п п т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т т

Средства противодействия терроризму и киберпреступности в
телекоммуникационных сетях.

Иванов А. А., Д. т. н., профессор

Материалы доклада на 3-м Международном форуме «Партнерство государства,
бизнеса и гражданского общества при обеспечении информационной безопасности
и противодействии терроризму» 18-25 апреля 2009 г. Гармиш-Патенкирхен,
Германия

Доклад зачитан в секции «Противодействие использованию сети Интернет в
террористическихцелях» 21 апреля 2009 г.



Задача противодействия использованию сети интернет в преступных целях
наряду с идеологическим имеет важный технический аспект. Для эффективной
борьбы с киберпреступностью необходимо применение комплекса специальных
технических средств. Описанию опыта создания таких систем в компании МФИ
Софт, их назначения и возможностей посвящен данный материал.

МФИ Софт является 100% российской компанией, основным видом
деятельности которой является разработка программного обеспечения для
телекоммуникационной отрасли. Опыт работы в данной тематике составляет
более 20 лет, из которых на протяжении более чем 8 лет компания занимается
вопросами информационной безопасности в современных сетях связи и
интенсивно развивает направление разработки средств контроля сети Интернет
в целях СОРМ, легального перехвата в мультисервисных сетях и обеспечения
информационной безопасности. Накопленным в этой связи опытом хотелось бы
поделиться автору статьи.

Мир терроризма и мир Интернет имеют две плоскости соприкосновения. Во-
первых, интернет как универсальная коммуникационная система, является очень
удобным средством связи террористам вполне традиционным, которые совершают
свои преступления в реальном мире. Основная задача государства в этой связи
- оперативно отследить информацию, которой обмениваются преступники,
вычленив ее из общего потока, чтобы предотвратить их действия. Это
невозможно без специальных технических средств, способных быстро и в
полном объеме извлечь и проанализировать данные.

Вторая область соприкосновения преступности и Интернет - собственно
киберпреступность, когда мишенью и ареной преступности становится сама сеть
и содержащиеся в ней ресурсы. Важнейшей задачей государства и операторов
связи является предотвращение киберпреступлений, что требует применения
совершенно иных чем в первом случае инструментов, а также комплексного
подхода.

Для работы по осуществлению легального контроля в том числе используются
системы, разработанные нашей компанией. Основными решениями МФИ Софт
являются:

- Аппаратно-программный комплекс СОРМович, предназначенный для законного
перехвата, просмотра и прослушивания информации с целью осуществления ОРД
на сетях Интернет любого типа, включая сети сотовых операторов,
предоставляющих услуги «Мобильный Интернет»;

- Комплекс СОРМович ВОИП, применяемый для оперативного наблюдения за
голосовыми соединениями пользователей сети Интернет с ПУ СОРМ-1. Фактически
система является универсальным решением СОРМ для большинства VoIP-
операторов, использующих оборудование любых производителей;

- Иформационная система ЯНВАРЬ, которая предназначена для сбора,
долгосрочного хранения и обработки информации об абонентах оператора и
оказанных им услугах связи, а также предоставления пользователям СОРМ
оперативного доступа к собранным данным.

Все системы разрабатываются в тесном сотрудничестве со специалистами
ФСБ и МВД. С 2003 года системы находятся в практической эксплуатации, что
позволяет накапливать большой опыт и постоянно совершенствовать наиболее
важные функциональности, добавлять новые возможности. В системе СОРМОВИЧ,
например, недавно были добавлены следующие усовершенствования:

. Удалось создать высокоскоростные съемники, которые позволяют
пользователям работать с информацией в режиме реального времени;

. Была усилена система полного декодирования информации на основе
глубокого анализа трафика. Это позволяет оператору увидеть
интересующий сеанс коммуникации целиком в связном виде, независимо от
того, каким образом шифровались и передавались отдельные отрывки;

. Усовершенствована система отбор информации по сложносоставным
критериям без потери производительности;

. Достигнута высокая масштабируемость и создана возможность
неограниченного наращивания производительности системы.



Также хотелось бы упомянуть некоторые возможности комплекса аппаратно-
программных средств ЯНВАРЬ, последней разработки компании МФИ Софт. Данная
система осуществляет не только сбор и централизованное хранение всей
информации со всех систем оператора, то есть десятков терабайт, но и
позволяет быстро осуществлять поиск во всем массиве данных. В качестве
примера можно привести следующие цифры: одновременно система позволяет
осуществлять до 100 поисковых запросов, при этом время поиска на глубину до
1 месяца составит не более 2 секунд. Время обновления данных в системе при
нагрузке 70 млн. вызовов в сутки составляет не более 5 минут. Комплекс
Январь в настоящее время установлен в 81 территориальном отделении ФСБ.

Рис. 1. Работа ИС ЯНВАРЬ в сети оператора связи

[pic]



Теперь хотелось бы вернуться к описанию средств решения второй
обозначенной задачи , предотвращения киберпреступлений на сетях связи. Как
уже было обозначено, для этой цели необходима иная система, способная к
комплексному интеллектуальному анализу сетевой активности и выявлению всех
аномалий трафика, а также их блокировке и очистке. Такая система в
настоящее время разрабатывается нами в сотрудничестве с компанией Синтерра,
МГУ им. Ломоносова и привлечением ряда других специалистов в рамках проекта
«Аномалия», старт которого был официально объявлен в сентябре 2008 года.

Создаваемая система в равной степени решает задачи всех участников
инфокоммуникационного процесса, обеспечивая полное соответствие требованиям
соответствующих компетентных ведомств, а также защиту операторского бизнеса
от угроз и рисков, связанных с развитием интернета. При этом должны быть
удовлетворены также постоянно возрастающие требования и ожидания
специальных потребителей услуг связи, крупных корпоративных заказчиков.
Система противодействия киберпреступности осуществляет следующие действия:

- Производит непрерывный многоуровневый контроль состояния сети и
обнаружение всех видов атак и аномалий трафика;

- Собирает и анализирует информации о сетевом взаимодействии, осуществляет
фильтрацию и очистку трафика, предотвращение атак.

Алгоритмы, заложенные в системе, позволяют эффективно бороться со
всеми известными видами угроз и вредоносных воздействий. Среди наиболее
известных можно упомянуть следующие:

. DOS\DDOS атаки;

. Так называемый Botnet - явление, при котором армия зараженных вирусом
компьютеров, рассеянных по всему миру, в определенный момент начинает
осуществлять некие целенаправленные действия;

. Парольные атаки и фишинг - получение конфиденциальной информации о
данных платежных карт, паролях и т. п.;

. ZERO-day атаки, которые в последнее время трансформировались в ZERO-
hours, что означает практически мгновенное распространение
вредоносных воздействий по всему миру. Вследствие этого информация о
конкретной уязвимости, полученная несколько часов спустя после ее
обнаружения, становится неактуальной, «опоздавшей».

Необходимо бы подчеркнуть тот факт, что без специальной системы защиты
оборудование, из которого построены сети современных операторов связи,
противостоять кибератакам попросту не в состоянии. По этой причине мы
считаем проект «Аномалия» для себя чрезвычайно приоритетным.

Также хотелось бы сказать несколько слов другом важном аспекте
сетевой безопасности. Это аспект защиты сетей, построенных на основе
сигнализации SS7. Протоколы семейства SS7 в настоящее время широко
распространены в межоператорском взаимодействии по всему миру и являются
основой современных мультисервисных сетей.

Однако наряду с удобством и универсальностью сети SS7 обладают также
высокой уязвимостью, большей, чем IP сети: в настоящее время единственным
препятствием для несанкционированных действий, передачи или получения
информации по сети с сигнализацией SS7 является вопрос подключения, то есть
административный, организационный барьер. Единожды преодолев его,
киберпреступник может получить доступ к практически любому удаленному
сегменту сети.

Компания МФИ Софт занимается данной проблемой в рамках одного из
собственных исследовательских проектов. В настоящее время найдено
технологическое решение в виде специализированного экрана, который
позволяет обнаружить и блокировать вторжения в сети c сигнализацией SS7 и
идет проработка технологии и выбор оптимальных параметров работы экрана.



Рис. 2. Функционирование защитного экрана в сети SS7

[pic]



В заключение хочу сказать несколько слов о проблеме защиты сети в
целом. Для реализации комплексного подхода к созданию безопасных
коммуникаций принципиально важным моментом является строительство сети на
базе защищенного отечественного NGN-оборудования. В этой связи хочу
обратить Ваше внимание на продукты компании МФИ Софт.

МФИ Софт является первым российским производителем NGN-оборудования,
полностью защищенного от сетевых угроз, со встроенной системой СОРМ,
сертифицированного в соответствии с нормами российского законодательства.
Комплекс РТУ нашей разработки является инновационным решением, позволяет
строить сети нового поколения , плавно и с минимальными затратами
модернизировать существующую инфраструктуру оператора и предоставлять
дополнительные современные услуги клиентам. Комплекс РТУ в настоящее время
успешно эксплуатируется, внедряется рядом российских операторов связи.



Рис. 3. Построение современной сети связи на базе РТУ

[pic]

В качестве вывода из всего вышесказанного хочу отметить, что успешное
решение вопросов информационной безопасности во многом определяется
правильным выбором технических средств и платформ как для контроля, так и
собственно для построения современных инфокоммуникаций. Использование
оборудования отечественного производства в данном вопросе является
ключевым. Уровень наших производителей вполне позволяет строить
современные надежные и безопасные мультисервисные сети связи.