Comments 27
Я правильно понял, что речь идет о большой локальной сети без интернета?
Забавно…
В украинском законодательстве (полагаю, что в российском аналогичко) сеть, в которой циркулирует информация уровня ДСП и выше, должна быть «гальванически» отделена от сетей общего пользования. Т.е. в теории даже общих розеток быть не должно.
Если же делается распределенная сеть, то, единственные возможные подключения к общей сети — сертифицированные шифраторы отечественного производства, которые в принципе возволяют передавать информацию только между такими же шифраторами в другие сегменты закрытой сети и архитектурно не позволяют выпускать информацию в незашифрованном виде.
Т.е. «закрытые» сети закрываются максимум на третьем уровне. И из закрытой сети «уровня Г2» ты в принципе в Инет не попадешь. И это реально делают вплоть до двух непересекающихся сетей в здании и 2-х компов на рабочем столе и/или KVM переключателей. В отдельных случаях «закрытую» сеть делают на оптике с заводом оптики в кабинеты. Сам такую видел в министерстве среднего уровня.
Сколько гемора это требование создает и насколько это удорожает проекты — разговор отдельный. Зная уровень компетенции ИТ специалистов в гос органах, возможно это реально единственный способ исключить создания «проходного двора».
Смущает другое.
Неужто штатовцы только до этого додумались?
В украинском законодательстве (полагаю, что в российском аналогичко) сеть, в которой циркулирует информация уровня ДСП и выше, должна быть «гальванически» отделена от сетей общего пользования. Т.е. в теории даже общих розеток быть не должно.
Если же делается распределенная сеть, то, единственные возможные подключения к общей сети — сертифицированные шифраторы отечественного производства, которые в принципе возволяют передавать информацию только между такими же шифраторами в другие сегменты закрытой сети и архитектурно не позволяют выпускать информацию в незашифрованном виде.
Т.е. «закрытые» сети закрываются максимум на третьем уровне. И из закрытой сети «уровня Г2» ты в принципе в Инет не попадешь. И это реально делают вплоть до двух непересекающихся сетей в здании и 2-х компов на рабочем столе и/или KVM переключателей. В отдельных случаях «закрытую» сеть делают на оптике с заводом оптики в кабинеты. Сам такую видел в министерстве среднего уровня.
Сколько гемора это требование создает и насколько это удорожает проекты — разговор отдельный. Зная уровень компетенции ИТ специалистов в гос органах, возможно это реально единственный способ исключить создания «проходного двора».
Смущает другое.
Неужто штатовцы только до этого додумались?
Стоит учитывать что штатовцы начали использовать сети еще тогда, когда злых хакеров даже в фантастике не было.
Гальванический значит. То есть через Wi-Fi можно, ок :)
а не могли бы подробней раскрыть вопрос уровней закрытости?
>сети «уровня Г2»
Заставило задуматься о том что значит «Г» :)
>сети «уровня Г2»
Заставило задуматься о том что значит «Г» :)
К сожалению (а в целом к счастью, конечно) я не безопасник, а сетевик. Т.е. с задачами защиты информации сталкиваюсь в пределах своих проектов и краем уха цепляю информацию от разработчиков (компания давно и много разрабатіввает для гос сектора). Да и сам углублялся в тему крайний раз лет пять назад. Стараемся же, чтобы классификация информации в наших проектах позволяла обходиться без построения КСЗИ (Комплексная Система Защиты Информации).
Потому могу дать весьма поверхностный ответ, выделив только пару наиболее интересных моментов. Надеюсь что те, кто в тебе разбираются лучше, меня поправят.
«Г» в данном контексте сокращение от «гарантии». Есть целый набор критериев и уровни выполнения требований. Для каждого уровня гарантий есть минимальные уровни соответствия требованиям. К примеру, одним из принципиальных требований к системам, которые обрабатывают информацию, является предоставление исходных кодов.
К системам шифрования это требование тоже относится, что заметно сужает диапазон возможных разработчиков. Ну и там масса достаточно жестких требований по работе с ключами и сертификами, которые несравнимы с обычными системами построения VPN в коммерческом секторе. И, как я уже говорил, шифратор, сертифицированный для передачи ДСК информации, в принципе не пропускает информацию без шифрования, т.е. разделить в настройках «сюда — в туннель ходи, а сюда — в Инет» нельзя архитектурно.
По идее актуальный документ по уровням гарантий (на украинском, естественно), лежит тут. Но раскурить такой документ может только человек, которому реально надо. Обычному человеку достаточно открыть, пролистать и понять что «данунах» :).
Потому могу дать весьма поверхностный ответ, выделив только пару наиболее интересных моментов. Надеюсь что те, кто в тебе разбираются лучше, меня поправят.
«Г» в данном контексте сокращение от «гарантии». Есть целый набор критериев и уровни выполнения требований. Для каждого уровня гарантий есть минимальные уровни соответствия требованиям. К примеру, одним из принципиальных требований к системам, которые обрабатывают информацию, является предоставление исходных кодов.
К системам шифрования это требование тоже относится, что заметно сужает диапазон возможных разработчиков. Ну и там масса достаточно жестких требований по работе с ключами и сертификами, которые несравнимы с обычными системами построения VPN в коммерческом секторе. И, как я уже говорил, шифратор, сертифицированный для передачи ДСК информации, в принципе не пропускает информацию без шифрования, т.е. разделить в настройках «сюда — в туннель ходи, а сюда — в Инет» нельзя архитектурно.
По идее актуальный документ по уровням гарантий (на украинском, естественно), лежит тут. Но раскурить такой документ может только человек, которому реально надо. Обычному человеку достаточно открыть, пролистать и понять что «данунах» :).
Задумка ясна и понятна — они создадут защищенную сеть от хакеров для хакеров ;)
Они не пробовали отключать эти «важные элементы» от интернета?..
UFO just landed and posted this here
Они не пробовали отключать эти «важные элементы» от интернета?..
Просто они считали интернет своим, и не видели необходимости отключать себя от себя :-).
«генерал считает, что хакеры пока не особо вредят обороноспособности страны»
видимо он уже забыл про угнаные китайцами 2тб инфы по их секретным разработкам…
видимо он уже забыл про угнаные китайцами 2тб инфы по их секретным разработкам…
Что-то подсказывает мне, что такой продход неправилен. Со временем пользователи этой сети расслабятся (как же, мы же защищены там, что сеть физически отключена от хакеров интернета) и начнут использовать пароли типа '123456' и 'god'. Тут то их и накроет какой нибудь шпион, пробравшийся на территорию наименее охраняемого ведомства со своим ноутбуком и подключившийся к секретной розетке.
ничего не понял, VPN что ли создают большую?
UFO just landed and posted this here
Sign up to leave a comment.
США собирается создать защищенную от хакеров виртуальную зону