21 октября, воскресенье 00:47
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Защищенная волоконно-оптическая линия связи

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Защищенная волоконно-оптическая линия связи

    В СТР-К сказано "Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи, а при использовании открытых каналов связи, применять криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы."

    Кто-то может поделиться, что значит защищенные ВОЛС? С точки зрения ФСТЭК? Есть какие-то спецификации?

  • #2
    Во ФСТЭК видимо прочитали одну из новостей, что данные, передаваемые по ВОЛС, можно перехватывать. Вот и родилось такое требование. Учитывая отсутствие таких ВОЛС, на это требование можно забить и использовать сертифицированные СКЗИ.

    Комментарий


    • #3
      Опустим откуда ФСТЭК что прочел. Просто жалко dark fiber шифровать

      Комментарий


      • #4
        Меня интересует как шифровать гигабитные и более каналы? Ведь сертифицированных СКЗИ для таких скоростей просто нет.

        Комментарий


        • #5
          Сообщение от Алексей Лукацкий Посмотреть сообщение
          Меня интересует как шифровать гигабитные и более каналы? Ведь сертифицированных СКЗИ для таких скоростей просто нет.
          Каюсь - сам прорабатывал прототип. На передающей стороне трафик буферизуется, буфер бьется на N блоков, блоки параллельно шифруются независимыми шифраторами. Каждый шифратор дает на выходе поток E1, потоки мультиплексируются. На модели работало, но дальше прототипа не пошло - решение аппаратное, для нормальной цены нужен большой объем продаж, а потребителю, по-хорошему, это на фиг не нужно

          Комментарий


          • #6
            malotavr блоки параллельно шифруются независимыми шифраторами

            А-а-а, такое я тоеж видел, когда трафик GE распределяется между десятков VPN-шлюзов. Но это решение, которое врядли удовлетворит нормального заказчика.

            Комментарий


            • #7
              Насколько я понимаю, предложенное решение действительно позволяет прогнать сколько угодно суммарный поток нескольких соединений. Однако ж оно увеличивает задержки между пакетами одного соединения. А это к сожалению не самый последний параметр, при котором решаются использовать черную оптику.

              Комментарий


              • #8
                Алексей Лукацкий: Меня интересует как шифровать гигабитные и более каналы? Ведь сертифицированных СКЗИ для таких скоростей просто нет.

                Сегодня как раз в свежем IT Спец прочел о таком оборудовании от С-Терры CSP на базе Sun Fire. Обещают шифровать поток по ГОСТу "не менее 200 Мб/c" и расплывчато "более 1000Мб/с".

                Комментарий


                • #9
                  Corvax "не менее 200 Мб/c"

                  Подтверждаю

                  расплывчато "более 1000Мб/с".

                  Тоже верно, но за счет распределения нагрузки между несколькими шлюзами - это уже было протестировано как раз на гигабите.

                  Комментарий


                  • #10
                    Так а тут: http://www.s-terra.com/CSP/RU/news/C...ase_300108.htm
                    вроде как уже сделали гигабит.
                    Только что за криптоядро (и сертифицированное ли) использовали - непонятно.

                    Комментарий


                    • #11
                      Крипто ядро сертифицированное, можно использовать как Signal-Com так и Crypto-Pro. Только это не кластерные решения... что будет если ПО на железке грохнулось?

                      Комментарий


                      • #12
                        Там где явно указаны эти ядра, скорости несколько другие
                        http://www.s-terra.com/CSP/RU/produc...mance_cpro.htm
                        http://www.s-terra.com/CSP/RU/produc..._signalcom.htm
                        может конечно не обновили просто.

                        Комментарий


                        • #13
                          Информацию передаваемую по ВОЛС нет необходимости шифровать. Есть прецеденты аттестации подобных решений.

                          Комментарий


                          • #14
                            Это ж какие оргтехмеры тогда должны быть?

                            Комментарий


                            • #15
                              Сообщение от forkop Посмотреть сообщение
                              Информацию передаваемую по ВОЛС нет необходимости шифровать. Есть прецеденты аттестации подобных решений.
                              Есть какие-то ссылки на РД, где бы было сказано, что шифровать не надо? Какие меры должны быть приняты, чтобы избежать шифрования? Дайте пожалуйста хоть какую-то зацепку...

                              Комментарий


                              • #16
                                Сообщение от versed Посмотреть сообщение
                                Есть какие-то ссылки на РД, где бы было сказано, что шифровать не надо? Какие меры должны быть приняты, чтобы избежать шифрования? Дайте пожалуйста хоть какую-то зацепку...
                                Наложенная сеть MPLS (сугубо имхо, по опыту друзей)

                                Комментарий


                                • #17
                                  Сообщение от ykov Посмотреть сообщение
                                  Наложенная сеть MPLS (сугубо имхо, по опыту друзей)
                                  MPLS изолирует данные, но не защищает их. Если говорить про черную оптику, то там вопрос изоляции данных вообще не стоит.

                                  Комментарий


                                  • #18
                                    Сообщение от versed Посмотреть сообщение
                                    MPLS изолирует данные, но не защищает их. Если говорить про черную оптику, то там вопрос изоляции данных вообще не стоит.
                                    Уважаемые люди, реально работающие с ЦБС по вопросам ИБ, дают именно такую трактовку: при использовании MPLS шифрование является избыточным. От себя могу дать свое понимание. Шифрование на канале фактически является средством изоляции данного потока между А и Б. MPLS обеспечивает ту же изоляцию.
                                    Правда, если учесть, что наконец-то вспомнили про уязвимость маршрутизации потока, то у шифрования есть шанс.

                                    Комментарий


                                    • #19
                                      Сообщение от ykov Посмотреть сообщение
                                      Уважаемые люди, реально работающие с ЦБС по вопросам ИБ, дают именно такую трактовку: при использовании MPLS шифрование является избыточным. От себя могу дать свое понимание. Шифрование на канале фактически является средством изоляции данного потока между А и Б. MPLS обеспечивает ту же изоляцию.
                                      Правда, если учесть, что наконец-то вспомнили про уязвимость маршрутизации потока, то у шифрования есть шанс.
                                      Не может MPLS защитить данные, т.к. в самом фрейме они идут в открытую. Если я получу доступ к оптоволокну, то все данные мои. Не годится.

                                      Комментарий


                                      • #20
                                        ykov Шифрование на канале фактически является средством изоляции данного потока между А и Б. MPLS обеспечивает ту же изоляцию.

                                        Есть существенная разница между закрытием канала и его разделением на основе меток. Никто же не говорит, что VLAN подменяет шифрование. Тут тот же подход. Если я поманипулирую метками, то смогу получить доступ к чужому каналу и все... Я уж не говорю про операторский доступ.

                                        Комментарий


                                        • #21
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          ykov Шифрование на канале фактически является средством изоляции данного потока между А и Б. MPLS обеспечивает ту же изоляцию.

                                          Есть существенная разница между закрытием канала и его разделением на основе меток. Никто же не говорит, что VLAN подменяет шифрование. Тут тот же подход. Если я поманипулирую метками, то смогу получить доступ к чужому каналу и все... Я уж не говорю про операторский доступ.
                                          Я то согласен. Но сам получал по рукам от ... за избыточность. Могу только определить этот вопрос как темный. Та же уважаемая биржа работает по волокну в открытом режиме и ничего.

                                          Комментарий


                                          • #22
                                            Сообщение от ykov Посмотреть сообщение
                                            Я то согласен. Но сам получал по рукам от ... за избыточность. Могу только определить этот вопрос как темный. Та же уважаемая биржа работает по волокну в открытом режиме и ничего.
                                            Т.е. этот "..." взял на себя возможные риски? Прекрасно!

                                            Комментарий


                                            • #23
                                              Сообщение от versed Посмотреть сообщение
                                              Т.е. этот "..." взял на себя возможные риски? Прекрасно!
                                              и да и нет. "брал" в условиях определенной конфигурации сети. в частности, провайдер - лицензиат и был текст договора о построении наложенной сети в "пределах" этого провайдера. я ж говорю - тема мутная. если честно, то сам не все понял в этом случае. но так было, поэтому и вспомнил.

                                              Комментарий

                                              Пользователи, просматривающие эту тему

                                              Свернуть

                                              Присутствует 1. Участников: 0, гостей: 1.

                                              Обработка...
                                              X