Содержание:
Утверждены требования по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации
Приказ Министерства информационных технологий и связи РФ от 9 января 2008 г. № 1 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации»
Утвержденные требования по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации распространяются на сети электросвязи, входящие в состав сети связи общего пользования, за исключением сетей связи для распространения программ телевизионного вещания и радиовещания.
Согласно приказу узлы связи сетей связи подразделяются на узлы связи I, II, III категории защищенности. Приведено категорирование узлов связи по защищенности.
Для защиты от несанкционированного доступа к средствам связи и линиям связи сетей связи и передаваемой посредством их информации применяются следующие меры:
- оснащение сооружений связи, в которых размещаются узлы связи, техническими средствами защиты, включая охранную сигнализацию;
- установление ограждений, исключающих случайный проход физических лиц и въезд транспорта на охраняемую территорию для узлов связи I и II категории защищенности;
- организация контрольно-пропускного режима;
- оснащение сооружений связи средствами контроля доступа и др.
Согласно Приказу Министерства информационных технологий и связи РФ от 9 января 2008 г. № 1 защита от несанкционированного доступа к абонентским линиям связи при применении радиоэлектронных средств обеспечивается кодированием информации в радиоканале.
Все случаи несанкционированного доступа к сетям связи и передаваемой посредством их информации подлежат обязательной регистрации и анализу.
Информационные решения системы ГАРАНТ, в которых Вы найдете этот документ:
Сетях доступа требования
При организации и эксплуатации сети важными требованиями при работе являются следующие [1]:
— надежность и безопасность;
— расширяемость и масштабируемость;
— поддержка разных видов трафика;
5.1. Производительность
Производительность – это характеристика сети, позволяющая оценить, насколько быстро информация передающей рабочей станции достигнет до приемной рабочей станции.
На производительность сети влияют следующие характеристики сети:
— скорость передачи данных;
— метод доступа к каналу;
Если производительность сети перестает отвечать предъявляемым к ней требованиям, то администратор сети может прибегнуть к различным приемам:
— изменить конфигурацию сети таким образом, чтобы структура сети более соответствовала структуре информационных потоков;
— перейти к другой модели построения распределенных приложений, которая позволила бы уменьшить сетевой трафик;
— заменить мосты более скоростными коммутаторами.
Но самым радикальным решением в такой ситуации является переход на более скоростную технологию. Если в сети используются традиционные технологии Ethernet или Token Ring, то переход на Fast Ethernet, FDDI или 100VG-AnyLAN позволит сразу в 10 раз увеличить пропускную способность каналов.
С ростом масштаба сетей возникла необходимость в повышении их производительности. Одним из способов достижения этого стала их микросегментация. Она позволяет уменьшить число пользователей на один сегмент и снизить объем широковещательного трафика, а значит, повысить производительность сети.
Первоначально для микросегментации использовались маршрутизаторы, которые, вообще говоря, не очень приспособлены для этой цели. Решения на их основе были достаточно дорогостоящими и отличались большой временной задержкой и невысокой пропускной способностью. Более подходящими устройствами для микросегментации сетей стали коммутаторы. Благодаря относительно низкой стоимости, высокой производительности и простоте в использовании они быстро завоевали популярность.
Таким образом, сети стали строить на базе коммутаторов и маршрутизаторов. Первые обеспечивают высокоскоростную пересылку трафика между сегментами, входящими в одну подсеть, а вторые передают данные между подсетями, ограничивали распространение широковещательного трафика, решали задачи безопасности и т. д.
Виртуальные ЛВС (VLAN) обеспечивают возможность создания логических групп пользователей в масштабе корпоративной сети. Виртуальные сети позволяют организовать работу в сети более эффективно.
Требования, предъявляемые к современным вычислительным сетям
Вычислительная сеть создается для обеспечения потенциального доступа к любому ресурсу сети для любого пользователя сети. Качество доступа к ресурсу как глобальная характеристика функционирования сети может быть описана многими показателями, выбор которых зависит от задач, стоящих перед вычислительной сетью. Среди основных показателей можно выделить следующие:
- производительность;
- надежность;
- управляемость;
- расширяемость;
- прозрачность.
Производительность
Производительность вычислительной сети может быть оценена с разных позиций. С точки зрения пользователя, важным числовым показателем производительности сети является время реакции системы, особенно в той части, которая относится к работе сети. Время реакции — это время между моментом возникновения запроса и моментом получения ответа. Время реакции зависит от многих факторов, таких как используемая служба сети, степень загруженности сети или отдельных сегментов и др. Поэтому при оценке производительности работы сети определяется среднее время реакции.
Пропускная способность сети определяется количеством информации, переданной через сеть или ее сегмент в единицу времени. Пропускная способность сети характеризует, насколько быстро сеть может выполнить свою основную задачу передачи информации. Пропускная способность определяется в битах в секунду. [бод]
Надежность работы вычислительной сети определяется надежностью работы всех ее компонентов. Для повышения надежности работы аппаратных компонентов обычно используют дублирование, когда при отказе одного из элементов функционирование сети обеспечат другие.
При работе вычислительной сети должна обеспечиваться сохранность информации и защита ее от искажений. Как правило, информация в сети хранится в нескольких экземплярах (для повышения надежности). В этом случае необходимо обеспечить согласованность данных (например, идентичность копий при изменении информации).
Одной из функций вычислительной сети является передача информации (передача осуществляется порциями, которые называются пакетами), во время которой возможны ее потери и искажения. Для оценки надежности исполнения этой функции используются показатели вероятности потери пакета при его передаче, либо вероятности доставки пакета.
В современных вычислительных сетях важное значение имеет другая сторона надежности — безопасность. Это способность сети обеспечить защиту информации от несанкционированного доступа. Задачи обеспечения безопасности решаются применением как специального программного обеспечения, так и соответствующих аппаратных средств.
При работе вычислительной сети, которая в идеале объединяет отдельные компьютеры в единое целое, необходимы средства не только для наблюдения за работой сети, сбора разнообразной информации о функционировании сети, но и средства управления сетью. В общем случае система управления сетью должна предоставлять возможность воздействовать на работу любого элемента сети. Должна быть обеспечена возможность осуществлять мероприятия по управлению с любого элемента сети. Управлением сетью занимается администратор сети или пользователь, которому поручены эти функции. Обычный пользователь, как правило, не имеет административных прав.
Другими характеристиками управляемости являются возможность определения проблем в работе вычислительной сети или отдельных ее сегментов, выработка управленческих действий для решения выявленных проблем и возможность автоматизации этих процессов при решении похожих проблем в будущем.
Любая вычислительная сеть является развивающимся объектом, и не только в плане модернизации ее элементов, но и в плане ее физического расширения, добавления новых элементов сети (пользователей, компьютеров, служб). Существование таких возможностей, трудоемкость их осуществления входят в понятие расширяемости. Другой похожей характеристикой является масштабируемость сети, которая определяет возможность расширения сети без существенного снижения ее производительности. Обычно одноранговые сети обладают хорошей расширяемостью, но плохой масштабируемостью. В таких сетях легко добавить новый компьютер, используя дополнительный кабель и сетевой адаптер, но существуют ограничения на количество подключаемых компьютеров в связи с существенным падением производительности сети. В многосегментных сетях используются специальные коммуникационные устройства, которые позволяют подключать к сети значительное количество дополнительных компьютеров без снижения общей производительности сети.
Прозрачность вычислительной сети является ее характеристикой с точки зрения пользователя. Эта важная характеристика должна оцениваться с разных сторон. Прозрачность сети предполагает скрытие (невидимость) особенностей сети от конечного пользователя. Пользователь обращается к ресурсам сети как к обычным локальным ресурсам компьютера, на котором он работает.
Вычислительная сеть объединяет компьютеры разных типов с разными операционными системами. Пользователю, у которого установлена, например, Windows, прозрачная сеть должна обеспечивать доступ к необходимым ему при работе ресурсам компьютеров, на которых установлена, например, UNIX. Другой важной стороной прозрачности сети является возможность распараллеливания работы, между разными элементами сети. Вопросы назначения отдельных параллельных заданий отдельным устройствам сети также должны быть скрытыми от пользователя и решаться в автоматическом режиме.
Интегрируемость
Интегрируемость означает возможность подключения к вычислительной сети разнообразного и разнотипного оборудования, программного обеспечения от разных производителей. Если такая неоднородная вычислительная сеть успешно выполняет свои функции, то можно говорить о том, что она обладает хорошей интегрируемостью.
Современная вычислительная сеть имеет дело с разнообразной информацией, процесс передачи которой сильно зависит от типа информации. Передача традиционных компьютерных данных характеризуется неравномерной интенсивностью. При этом нет жестких требований к синхронности передачи. При передаче мультимедийных данных качество передаваемой информации в существенной степени зависит от синхронизации передачи. Сосуществование двух типов данных с противоположными требованиями к процессу передачи является сложной задачей, решение которой является необходимым условием вычислительной сети с хорошей интегрируемостью.
Основным направлением развития интегрируемости вычислительных сетей является стандартизация сетей, их элементов и компонентов. Все стандарты можно разделить на следующие виды:
- стандарты отдельных фирм;
- стандарты специальных комитетов и объединений, создаваемых несколькими фирмами;
- стандарты национальных организаций по стандартизации;
- международные стандарты.
Работы по стандартизации вычислительных сетей ведутся большим количеством организаций. Среди них необходимо выделить те, которые давно и успешно работают в области стандартизации вычислительных сетей.
Международная организация по стандартизации (International Organization for Standardization — ISO). Эта организация известна разработкой модели взаимодействия открытых систем, которая в настоящее время является основной, своего рода «эталонной» моделью вычислительной сети. Эта модель является основой стандартизации в области вычислительных сетей.
Международный союз электросвязи (International Telecommunication Union, ITU) — организация при Организации Объединенных Наций, в которой существует телекоммуникационный сектор (ITU-T). ITU-T отвечает за разработку стандартов в области телекоммуникационного оборудования и услуг (телефонии, электронной почты, факсимильной связи, телетекста, телекса, передачи данных, аудио- и видеосигналов).
Институт инженеров по электротехнике и радиоэлектронике — Institute of Electrical and Electronic Engineers, IEEE — национальная организация США, определяющая стандарты электронных коммуникаций. Самыми известными его стандартами являются стандарты, разработанные группой 802 (802.1, 802.2, 802.3 и 802.5), которые описывают общие понятия, используемые в области локальных сетей.
Европейская ассоциация производителей компьютеров (ЕСМА) — некоммерческая организация, активно сотрудничающая с ITU-T и ISO. Она занимается разработкой стандартов и технических обзоров, относящихся к компьютерной и коммуникационной технологиям.
Американский национальный институт стандартов — American National Standarts Institute, ANSI. ANSI представляет США в международной организации ISO. Стандарт технологии FDDI является разработкой этого института.
7.1. Назначение сетей доступа и их место в структуре современных инфокоммуникационных сетей
В настоящее время традиционная технологическая база сети абонентского доступа активно изменяется. Эти изменения вызваны:
- внедрением беспроводного абонентского доступа (WLL);
- снижением цен на оптоволоконные кабели;
- спросом на новые услуги связи, которые не могут быть обеспечены существующими сетями доступа;
- ростом удельной терминальной нагрузки и изменением статистических свойств этой нагрузки (большая величина коэффициента пачечности);
- необходимостью постепенного перехода к пакетным транспортным технологиям;
- усложнением в связи с этим систем мультиплексирования, шлюзования (сопряжения сетей) и передачи информации между терминалом пользователя и узлом магистральной сети;
- требованием снижения эксплуатационных расходов в сети доступа за счет внедрения автоматизированных средств управления сетью и протоколов для поддержки функций TMN (Telecommunication Management Network).
Терминология, используемая в рекомендациях и других материалах Международного Союза Электросвязи (МСЭ) об абонентском доступе, существенно отличается от системы понятий, принятых в отечественной литературе [44]:
- Access network (AN) – сеть доступа (СД), средства (например, кабельные системы, системы передачи, мультиплексоры, коммутаторы и др.), которые обеспечивают транспортировку информации и поддержку инфокоммуникационных услуг между интерфейсом узла служб (SNI) и интерфейсом пользователь-сеть (UNI). Сеть доступа можно конфигурировать и управлять через интерфейс сетевого управления Q3. В принципе нет ограничения в типах и числе UNIs и SNIs, которые могут быть реализованы в сети доступа;
- Service node interface (SNI): интерфейс узла служб;
- Service node (SN): узел служб;
- User-network interface (UNI): интерфейс “пользователь-сеть”.
Протокольная модель сети доступа
Протокольная модель сети доступа приведена на рисунке 7.1.
Рисунок 7.1 Протокольная модель сети доступа
Уровень среды передачи (Transmission Media Layer, ТМ) поддерживает транспортировку и защиту потоков данных в физической среде (медном или оптическом кабеле, радио- или оптическом канале) в виде сигналов цифровых систем передачи (PDH, SDH, ATM) и модемной передачи. Этот уровень может быть представлен секциями (участками) мультиплексирования и регенерации сигналов.
Уровень пути (Path Layer, ТР) обеспечивает создание и обслуживание маршрутов передачи данных для пользователей с различными терминалами и запросами на услуги связи.
Уровень канала (Circuit Layer, CL) определяет виды каналов сети доступа (физические каналы, виртуальные каналы).
Уровень поддержки доступа (Access bearer handling function, AF) чаще всего ассоциируется с сигнальными системами, например, для доступа к телефонной сети, к N-ISDN, B-ISDN и т.д.
На уровень управления (Layer Management, LM) возложены задачи поддержки в исправном состоянии объектов всех уровней путем постоянного контроля их функций с помощью систем поддержки операций (OSS).
Плоскость системного управления (System Management, SM) обеспечивает сбор и обработку информации для решения задач планирования ресурсов и управления реконфигурацей сети доступа.
Программное обеспечение уровня реализации возможностей доступа (Access bearer capability requirements) предназначено для реализации требований пользователя по передаче информации, сигнализации и управления.
Протокольная модель сети доступа позволяет более точно определить функции объектов сети доступа, пользовательских интерфейсов, транспортных функции, сервисных портов (интерфейсов) коммутации, встроенных функции, функций системы управления.
7.2. Функциональный состав сетей доступа
На рисунке 7.2 приведен функциональный состав мультисервисной сети доступа. Функции сети доступа разделены на части:
функции системы управления;
функции порта пользователя;
функции порта узла служб.
Рисунок 7.2. Функциональный состав мультисервисной сети доступа
Назначение системы управления функциями сети доступа (AN System management function):
техническая эксплуатация (ТЭ) и техническое обслуживание (ТО);
конфигурирование и управление сетью;
координация взаимодействия всех частей сети;
обнаружение и индикация неисправностей;
сбор и обработка статистических данных;
- ITU-T (International Telecommunications Union) — Международный телекоммуникационный союз;
- ETSI (European Telecommunications Standards Institute) — Европейский институт телекоммуникационных стандартов;
- ANSI (American National Standards Institute) -Американский национальный институт стандартов;
- Альянс Home PNA (Home Phone line Networking Alliance);
- Форум – EFM (Ethernet in the First Mile).
- предназначена для возмездного оказания услуг электросвязи любому пользователю услугами связи на территории Российской Федерации;
- включает в себя сети электросвязи, определяемые географически в пределах обслуживаемой территории и ресурса нумерации и не определяемые географически в пределах территории Российской Федерации и ресурса нумерации, а также сети связи, определяемые по технологии реализации оказания услуг связи.
- типа сети (- Сети фиксированной телефонной связи, — Сети подвижной радиосвязи, сети подвижной радиотелефонной связи, сети подвижной спутниковой радиосвязи, — Сети передачи данных, — Сети телеграфной связи).
- типа узла (- узлы связи сетей междугородной и международной телефонной связи, сетей зоновой телефонной связи, узлы связи сетей местной телефонной связи)
- емкости узла (- с количеством портов более 10000, — от 1024 до 10000, — до 1024, — емкостью свыше 500 Гбит в секунду, — свыше 100 Гбит и менее 500 Гбит в секунду, — менее 100 Гбит в секунду).
преобразование сигнальной информации;
активация/деактивация (для экономии электроэнергии в объектах интерфейса);
контроль и мониторинг.
Функции Ядра (Core Function) таковы:
обработка информации пользователя;
адаптация протоколов (преобразование протокольных блоков данных (Protocol Data Unit, PDU) терминалов пользователя в PDU транспортной сети);
эмуляция канала (в коммутаторах АТМ и MPLS транспортной сети);
мультиплексирование информации пользователя в пакеты;
управление и контроль;
сигнализация (обработка PDU 3-го уровня и выше).
Функция транспорта (Transport Function) обеспечивает:
выбор ресурсов (путей) для передачи информации между UPF и SPF;
управление средой передачи на физическом уровне;
управление (ТЭ и ТО).
Функция порта узла служб (Service port Function, SPF) обеспечивает:
преобразование требований со стороны SN в основные функции ядра;
преобразование PDU для конкретного интерфейса узла служб (SNI);
управление и мониторинг;
7.3. Архитектура сети доступа
На рисунке 7.3 приведена архитектура сети доступа.
Рисунок 7.3. Архитектура мультисервисной сети доступа
Назначение функциональных блоков мультисервисной сети доступа:
AF (Access Function) – функции обработки в доступе;
CL (Channel Layer) – уровень канала (физического, логического);
TP (Transmitting Path) – уровень путей (трактов);
TM (Transmitting Media) – уровень среды передачи;
SMF (System Management Function) – уровень системного управления (сбора и обработки информации для ТО и ТЭ).
Международные организации стандартизации сетей доступа
Стандартизацией в области сетей доступа занимается ряд международных организаций:
Классификация сетей доступа
по используемой среде передачи:
— кабели с медными парами (ТПП (телефонный, полиэтиленовая изоляция, пластмассовая оболочка), неэкранированная витая пара — UTP, экранированная витая пара — STP);
— радио среды в различных диапазонах волн.
по используемым технологиям;
по используемой топологии
по методам разделения среды:
— TDMA (time-division multiple access) — множественный доступ с временным разделением каналов;
— CDMA (Code Division Multiple Access) множественный (многостанционный) доступ с кодовым разделением каналов;
— FDMA (frequency division multiple access) — множественный доступ с частотным разделением;
— WDM (wavelength-division multiplexing) — спектральное разделение по длинам волн;
— CSMA/CD (Carrier Sense Multiple Access with Collision Detection) — множественный доступ с контролем несущей и обнаружением конфликтов.
Классификация услуг, предоставляемых сетями доступа
Классификация услуг может быть проведена по нескольким признакам:
по назначению передаваемой информации;
по уровням в соответствии с уровневой моделью.
Классификация услуг по назначению передаваемой информации:
U (User) — пользовательская информация (данные, видео, речевая информация…);
C (Control) — сигнальная информация (для поддержания процедур установления и разъединения соединения);
M (Management) — информация управления (для сбора аварийных сигналов, тестирования, администрирования… ).
7.4. Классификация сетей доступа
Классификация по уровням в соответствии с уровневой моделью:
физический уровень интерфейса UNI предоставляет услуги тактовой синхронизации, поддержки уровней передачи, мультиплексирования на физическом уровне и др.;
уровень звена данных предоставляет услуги помехоустойчивой передачи в доступе, для чего используются помехоустойчивое кодирование информации;
сетевой уровень предоставляет услуги маршрутизации, например, в случае использования в магистральной сети технологии IP/MPLS на сетевом уровне в доступе выбирается сквозной маршрут через магистральную сеть (в так называемом пограничном маршрутизаторе (LER).
С точки зрения вышележащих уровней в доступе реализуются только услуги сигнализации (С) и управления (М). Для их поддержки устройства доступа могут содержать функциональные узлы для реализации всего стека протоколов в плоскостях С или М.
Услуги верхних уровней в плоскости U реализуются, как правило, за пределами сети доступа, а именно – в оконечных терминалах пользователей (TE, CPE) и сетевых серверах (узлах служб – SN). В плоскости U сеть доступа выполняет только функции транспортировки информации пользователя (транзит) между интерфейсами UNI и SNI (т.е. предоставляет услуги протоколов нижних уровней).
Классификация сетей доступа по используемой топологии
Конфигурация связей между сетевыми узлами называется топологией сети. Термин топология заимствован из геометрии и используется для описания формы объекта.
Сетевая топология — это геометрическая форма (или связность) сети.
Различают физическую топологию, образуемую геометрической конфигурацией физических линий связи и сетевых узлов, и логические сетевые топологии, организуемые путем создания логических связей на различных уровнях ЭМВОС (в том числе и на физическом уровне).
Физическая топология первичной сети (например, при использовании оптических кабелей и ЦСП типа SDH) может иметь конфигурацию типа “кольцо”, однако логические каналы (связи или СЛ во вторичной сети) в этой кольцевой топологии на физическом уровне (уровне ЦСП и узла коммутации каналов) могут быть организованы, как по топологии “звезда” (радиальные внутризоновые ССОП), так и по более сложным топологическим схемам (“каждый с каждым”, “районировано-узловые”, “ячеистые”).
На рисунке 7.4 приведены примеры сетевых топологий.
Иерархическая топология (рис. 7.4, а) является привлекательной с точки зрения простоты управления, однако, она несет в себе потенциально трудно разрешимые проблемы (например, проблемы готовности сети). В некоторых случаях самый верхний сетевой узел (например, Softswitch) управляет распределением всех потоков информации в сети. При централизованном управлении могут возникать перегрузки (при накоплении ошибок в процессе управления ресурсами) и понижаться готовность сети из-за запаздывания реакции системы управления. В случае отказа верхнего уровня функции сети нарушаются полностью, если не предусмотрен резервный узел.
Горизонтальная топология (шина) широко используется в локальных сетях. Такая топология (рис. 7.4, б) является относительно простой для управления трафиком, поскольку при использовании шины допускается прием сообщения всеми станциями (компьютерами). Это означает, что единственная станция работает в широковещательном режиме, посылая кадры группе станций.
Главный недостаток горизонтальной топологии связан с тем, что для обслуживания всех устройств в сети обычно имеется только один канал передачи данных. Следовательно, в случае отказа канала выходит из строя вся сеть.
Топология типа “звезда” (рис. 7.4, в) является одной из наиболее широко распространенных сетевых структур. В ССОП звездообразная топология оправдана на магистральных (например, внутризоновых) сетях.
Весь трафик проходит через центральный узел А звезды. Узел А представляет собой центральный маршрутизатор (Router). Следовательно, его функции аналогичны функциям верхнего уровня иерархической топологии, за исключением того, что топология “звезда” имеет ограниченные возможности распределенной обработки.
Рисунок 7.4. Примеры сетевых топологий
Кольцевая топология привлекательна тем, что перегрузки, которые могут возникать в сетях с иерархической или звездообразной топологией, здесь весьма редки. Более того, логическая организация кольцевой сети является относительно простой. Каждый узел способен выполнять простую задачу приема данных и трансляции их к следующему промежуточному узлу.
Благодаря множественности путей между узлами сети с ячеистой топологией, потоки информации могут быть направлены в обход отказавших или занятых узлов. Несмотря на то, что топология сети характеризуется сложностью и высокой стоимостью, некоторые операторы предпочитают ячеистые сети сетям других типов вследствие их высокой надежности. Это особенно важен для современных магистральных мультисервисных сетей, агрегирующих и транспортирующих потоки мультимедийной информации.
7.5. Использование разных топологий доступа
С развитием цифровизации (появление технологии ISDN) началось использование в доступе комбинированных топологий – точка-точка (интерфейс U)/шина (интерфейс S).
В настоящее время операторы сетей постепенно переходят к кольцевой топологии в доступе ССОП/ISDN.
Доступ к мобильным сетям имеет топологию шины с разделением среды путем множественного случайного доступа типа ALOHA (предложен Н. Абрамсоном из Гавайского универс. США), или приоритетного доступа.
В доступе к ресурсам мультисервисных сетей используется широкий набор топологий, зависящих от требований абонента (“точка-точка”, “шина”, кольцевая и ячеистая). Например, в основу технологии доступа пассивных оптических сетей (Passive Optical Network, PON) положена топология «точка – множество точек» (к одному порту центрального узла подключается целый волоконно-оптический сегмент древовидной (иерархической) архитектуры, охватывающий десятки терминалов).
Структура доступа к мультисервисной сети на базе Ethernet может иметь достаточно сложную и разветвленную древовидную архитектуру. Однако в каждом узле дерева обязательно должно находиться активное устройство (коммутатор, маршрутизатор), порты активных устройств могут быть связаны только попарно по топологии «точка-точка».
Классификация сетей доступа по методам разделения среды
Существует несколько способов совместной работы нескольких терминалов, использующих общую среду передачи (разделение среды передачи):
Статическое мультиплексирование (разделение ресурса)
кодовое CDMA (Code Division Multiple Access),
по длине волны (WDM, Wavelength-Division Multiplexing);
Динамическое (статистическое) мультиплексирование (концентрация)
случайный доступ ALOHA (CSMA/CD),
Метод мультиплекcирования по частоте (Frequency Division Multiplexing, FDM) является старейшим и наиболее часто используемым. Соседние частотные каналы должны отстоять на достаточном расстоянии друг от друга, чтобы обеспечить необходимую полосу пропускания каждому терминалу и в тоже время достаточно близко – чтобы можно было разместить большее число каналов в отведенном частотном диапазоне.
Аналоговый вариант FDMA долго использовался в многоканальных системах уплотнения типа К-60, но со временем был вытеснен более совершенным методом цифрового уплотнения по времени (TDMA).
Цифровой вариант FDMA широко используется сейчас в радио доступе и в доступе по медным парам.
Ранее в ССОП неоднократно предпринимались попытки уплотнения абонентских линий (с помощью так называемых ЦАВУ) с использованием метода мультиплексирования “многостанционный доступ с временным разделением каналов (TDMA)”. Использование этого метода позволяло довести количество обслуживаемых абонентов по одной медной паре до 4 — 10, при лучшем качестве канала. Однако у такого доступа есть существенный недостаток – скорость передачи в одном временном канале – от 32 до 8 Кбит/c, что для голоса достаточно, но недостаточно для передачи данных.
Метод CDMA (Code Division Multiple Access) не требует синхронизации и является полностью децентрализованным. Каждый терминал занимает всю полосу пропускания канала, а разделение среды происходит на основе корреляционного анализа сложных шумоподобных сигналов с псевдослучайным кодированием (т.е. по кодовому расстоянию сигналов от разных терминалов). Несомненным достоинством этого метода является повышенная скрытность обмена информацией и защищенность от несанкционированного доступа.
Как и другие, метод CDMA не лишен недостатков. Во-первых, требуемая емкость среды передачи (например, частотный диапазон в радио доступе) существенно зависит от отношения сигнал-шум и при отсутствии координации между терминалами обычно ниже, чем в случае TDMA/FDMA. Во-вторых, быстродействие и стоимость оборудования, в котором используется метод CDMA, высоки.
Сетях доступа требования
Приказ Министерства информационных технологий и связи Российской Федерации от 09.01.2008 № 1 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации»
Приказ Министерства информационных технологий и связи Российской Федерации от 09.01.2008 № 1 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации»
В соответствии со статьей 12 и статьей 26 Федерального закона от 7 июля 2003 г. N 126-ФЗ (Собрание законодательства Российской Федерации, 2003, N 28, ст. 2895; N 52 (часть I), ст. 5038; 2004, N 35, ст. 3607; N 45, ст. 4377; 2005, N 19, ст. 1752; 2006, N 6, ст. 636; N 10, ст. 1069; N 31 (часть I), ст. 3431, ст. 3452; 2007, N 1, ст. 8; N 7, ст. 835) приказываю:
1. Утвердить прилагаемые требования по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации.
2. Направить настоящий Приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
3. Контроль за исполнением настоящего Приказа возложить на заместителя Министра информационных технологий и связи Российской Федерации Б.Д. Антонюка.
Требования по защите сетей связи от несанкционированного доступа и передаваемой по ним информации 7
Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации принят приказ, утверждающий требования по защите сетей связи от несанкционированного доступа и передаваемой по ним информации [1].
Проект приказа был внесен Минкомсвязи РФ 27 декабря 2017 г для оценки регулирующего воздействия. По результатам обсуждений и экспертизы проект приказа с учетом доработок получил положительное заключение об оценке регулирующего воздействия (Заключение Минэкономразвития об ОРВ № 15354-СШ/Д26и от 05.06.2018). Минэкономразвитием России сделан вывод об отсутствии в проекте акта положений, вводящих избыточные обязанности, запреты и ограничения для физических и юридических лиц в сфере предпринимательской и иной экономической деятельности или способствующих их введению, а также положений, приводящих к возникновению необоснованных расходов физических и юридических лиц в сфере предпринимательской и иной экономической деятельности, а также бюджетов всех уровней бюджетной системы Российской Федерации.
Приказ принят в рамках требования Федерального закона «О связи» [2], по которому Минкомсвязи необходимо установить требования по защите сетей связи от несанкционированного доступа к ним и передаваемой по ним информации, порядку ввода сетей связи в эксплуатацию.
Принятый приказ признает не подлежащим применению, действующий с 2008 года аналогичный приказ Министерства информационных технологий и связи Российской Федерации с требованиями по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации [3].
Принятые Требования распространяются на сети электросвязи, входящие в состав сети связи общего пользования, за исключением сетей связи для трансляции телеканалов и (или) радиоканалов. Напомним, что сеть связи общего пользования:
Новым приказом предусмотрены следующие требования:
Операторы связи должны принимать меры в целях защиты от несанкционированного доступа к сетям связи и передаваемой по ним информации. К таким мерам Требованиями отнесены организационные и технические меры. Принимаемые меры должны быть направлены на предотвращение доступа к линиям связи, сооружениям связи, средствам связи, находящимся как внутри, так и вне сооружений связи, и передаваемой по сетям связи информации, осуществляемого с нарушением установленного этими операторами связи порядка доступа. Порядок доступа устанавливается и утверждается операторами связи.
Категорирование узлов связи по защищенности
Требованиями установлено, что узлы связи сетей связи должны подразделяться на узлы связи I, II, III категории защищенности. Категорирование узлов связи по защищенности проводится исходя из следующих параметров:
Требования по защите
Требования по защите установлены в зависимости от средств, подлежащих защите:
а) Для защиты узлов связи сетей фиксированной телефонной связи, сетей подвижной радиосвязи, сетей подвижной радиотелефонной связи, сетей подвижной спутниковой радиосвязи, сетей передачи данных, сетей телеграфной связи.
б) Для защиты от несанкционированного доступа к программным средствам узлов связи сетей фиксированной телефонной связи, сетей подвижной радиосвязи, сетей подвижной радиотелефонной связи, сетей подвижной спутниковой радиосвязи, сетей передачи данных, сетей телеграфной связи.
в) Для защиты от несанкционированного доступа к средствам связи, не входящим в состав узлов связи сетей фиксированной телефонной связи, сетей подвижной радиосвязи, сетей подвижной радиотелефонной связи, сетей подвижной спутниковой радиосвязи, сетей передачи данных, сетей телеграфной связи.
г) Для защиты от несанкционированного доступа к линиям связи, соединяющим узлы связи сетей фиксированной телефонной связи, сетей подвижной радиосвязи, сетей подвижной радиотелефонной связи, сетей подвижной спутниковой радиосвязи, сетей передачи данных, сетей телеграфной связи.
д) Для защиты от несанкционированного доступа к абонентским линиям связи сетей фиксированной телефонной связи, сетей телеграфной связи, сетей передачи данных.
е) Для повышения защищенности сетей связи от несанкционированного доступа к программным средствам и программно-аппаратным комплексам средств связи, осуществляемого дистанционно.
ж) Для защиты от несанкционированного доступа к информации, передаваемой посредством сетей подвижной радиосвязи, сетей подвижной радиотелефонной связи, сетей подвижной спутниковой радиосвязи.
Для защиты от несанкционированного доступа к информации, передаваемой посредством сетей подвижной радиосвязи, сетей подвижной радиотелефонной связи, сетей подвижной спутниковой радиосвязи, установлено, что операторы связи должны обеспечивать реализацию процедур аутентификации и идентификации абонентов с использованием средств криптографической защиты информации, удостоверенных сертификатами соответствия требованиям федерального органа исполнительной власти в области обеспечения безопасности к шифровальным (криптографическим) средствам класса КА для оборудования коммутации узлов связи и класса КС3 для модуля идентификации абонентов USIM (R-UIM) в составе абонентского оборудования.
Так же, в случае обнаружения признаков компьютерной атаки на средства связи оператора связи, а также средства связи иных операторов связи при пропуске трафика, Оператор связи должен предпринимать меры по защите сетей и средств связи в соответствии с порядком, установленным оператором связи и действующими нормативными актами.
Факт обнаружения признаков компьютерной атаки должен регистрироваться оператором связи в электронном или ином виде, пригодном для последующей обработки и анализа.
События, связанные с несанкционированным доступом к сетям связи и передаваемой по ним информации должны регистрироваться в электронном или ином виде, пригодном для последующей обработки и анализа.
Исполнение вводимых Требований проверяется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами при проведении плановых проверок при осуществлении федерального государственного надзора в области связи. При проведении проверок проверяется, обеспечивается ли оператором связи при построении и эксплуатации сетей связи защита средств и сооружений связи от несанкционированного доступа к ним и передаваемой посредством их информации.
В результате проводимых Управлениями Роскомнадзора плановых выездных проверок устанавливается, что оператор не выполняет требования по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации: не осуществляется осмотр линий связи в соответствии с порядком, установленным оператором связи, не ведется журнал осмотра, не обеспечивается размещение линий связи в специальных коробах и распределительных коробках, оснащенных запирающими устройствами. Это является нарушением установленных требований и наказывается административным производством по ч. 3 ст. 14.1 КоАП РФ.
По состоянию на 15 августа Приказ [1] возвращен без государственной регистрации Минюстом России (Письмо Минюста РФ от 31.07.2018 N 01/101160-ДН). Текст приказа официально не опубликован.
Согласно ст. 8 и 10 Указа Президента РФ от 23.05.96 № 763 нормативные правовые акты федеральных органов исполнительной власти, которые должны пройти процедуру государственной регистрации в Минюсте России, подлежат обязательному официальному опубликованию. Нормативные правовые акты федеральных органов исполнительной власти, не прошедшие государственную регистрацию, не влекут правовых последствий как не вступившие в силу и не служат основанием для регулирования соответствующих правоотношений. Постановление Правительства РФ от 13.08.97 № 1009 детально регулирует порядок подготовки нормативных правовых актов федеральными органами исполнительной власти, условия, при которых они подлежат государственной регистрации в Минюсте России, порядок их опубликования и вступления в силу. Так, нормативные правовые акты, подлежащие государственной регистрации, исполняются только после их регистрации и официального опубликования (п. 19 Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации).
[1] — Приказ Минкомсвязи России от 25.06.2018 N 318 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой по ним информации».
[2] — Федеральный закон «О связи» от 07.07.2003 N 126-ФЗ.
[3] — приказ Министерства информационных технологий и связи Российской Федерации от 09.01.2008 № 1 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации».