К ВОПРОСУ О ПОСТРОЕНИИ ЗАЩИЩЕННОЙ СИСТЕМЫ МОБИЛЬНОГО ШИРОКОПОЛОСНОГО ДОСТУПА, КОТОРАЯ ФУНКЦИОНИРУЕТ КАК ВИРТУАЛЬНАЯ ЧАСТНАЯ СЕТЬ Текст научной статьи по специальности «Компьютерные и информационные науки»

Н. С. Хохлов, доктор технических наук, профессор С. В. Канавин, кандидат технических наук И. В. Гилев

К ВОПРОСУ О ПОСТРОЕНИИ ЗАЩИЩЕННОЙ СИСТЕМЫ МОБИЛЬНОГО ШИРОКОПОЛОСНОГО ДОСТУПА, КОТОРАЯ ФУНКЦИОНИРУЕТ КАК ВИРТУАЛЬНАЯ ЧАСТНАЯ СЕТЬ

ON THE QUESTION OF CONSTRUCTION OF A SECURE SYSTEM

OF MOBILE BROADBAND WIRELESS ACCESS WHICH SHOULD FUNCTION AS A VIRTUAL PRIVATE NETWORK

В статье рассмотрены вопросы построения защищенной системы мобильного широкополосного беспроводного доступа, которая должна функционировать как виртуальная частная сеть (VPN) по отношению к сетям связи общего пользования. В качестве транспортной сети предложено рассмотреть каналы связи и инфраструктуру операторов мобильного широкополосного беспроводного доступа, предоставляемые на условиях аренды. Встраиваемая криптографическая подсистема позволит обеспечить безопасность информационного взаимодействия разнородных сетей, организованного на действующей инфраструктуре сотовых операторов и интернет-провайдеров. На основе анализа предложены решения по реализации системы связи на базе технологии VPN.

The article deals with the issues of building a secure mobile broadband wireless access system, which should function as a virtual private network (VPN) in relation to public communication networks. As a transport network, it is proposed to consider communication channels and infrastructure of mobile broadband wireless access operators provided on a lease basis. The embedded cryptographic subsystem will ensure the security of information interaction of heterogeneous networks organized on the existing infrastructure of cellular operators and Internet providers. Based on the analysis, solutions for the implementation of a communication system based on VPN technology are proposed.

Введение. Концепция виртуальной частной сети (Virtual Private Network — VPN) появилась как альтернатива защищенной коммуникационной сети, функционирующей поверх сети связи общего пользования, и стала технологией, ориентированной на обеспечение целостности, конфиденциальности и доступности передаваемой информации. Безопасность информационного взаимодействия локальных сетей и отдельных элементов сети типа Internet требует качественного решения не только для задачи защиты локальных сетей и отдельных элементов со стороны внешней среды, но и для задачи защиты информации в процессе передачи по открытым каналам связи [1]. Для решения второй из указанных задач наряду с описанными ранее мерами и средствами защиты сегодня применяются виртуальные частные сети. VPN, как любая распределенная система, являются комплексом взаимодополняющих средств и систем защиты [10, 11].

Технологии VPN обеспечивают гарантированный уровень транспортного обслуживания (качества сервиса) для корпоративного трафика, направляемого через пуб-

личные сети. VPN — любая сеть, построенная на основе публично предоставляемой сетевой инфраструктуры, логически разделенная для использования отдельными клиентами, данные по которой передаются безопасным способом [4, 5, 6, 8]. Защита информации в VPN в процессе ее передачи основана на построении защищенных виртуальных каналов связи, называемых криптозащищенными VPN тунелями. Для защиты от повтора, удаления и задержек пакетов сообщений используются встроенные возможности стека протоколов TCP/IP. Пример классификации частных виртуальных сетей приведен на рисунке 1.

Рис. 1. Классификация частных виртуальных сетей

В зависимости от шифрования технологии VPN можно реализовать на следующих видах протоколов: PPTP — туннелирование по TCP/IP сетям, SKIP, IPSec, TLS, SOCKS, SSL, GRE, L2F — туннелирование по X.25, ATM, Frame Relay, L2TP — туннелирование в разных сетях и других. Одним из основных требований, предъявляемых к аппаратным и программным платформам реализации VPN, является наличие действующих сертификатов соответствия ФСБ России и ФСТЭК России. Сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам выдается только в том случае, если оборудование реализовано с использованием отечественных алгоритмов шифрования по ГОСТ 28147-89, а также соответствует Положению о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005). Криптографическим шлюзом принято считать аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP при установлении соединения, соответствующий требованиям к средствам криптографической защиты информации и обеспечивающий базовую функциональность современного VPN устройства [14]. В России основными потребителями криптошлюзов являются государственные учреждения, а также организации, являющиеся операторами персональных данных.

Зарубежные производители крайне редко поддерживают шифрование по ГОСТ и получают такие сертификаты соответствия на свои решения, чем активно пользуются

российские компании-вендоры средств криптографической защиты информации. Отдельно необходимо отметить тренд, связанный с кибербезопасностью автоматизированных систем управления технологическими процессами (АСУ ТП). Сегодня некоторые производители СКЗИ предлагают рынку криптошлюзы в защищенном исполнении, отвечающие требованиям по пылевлагозащищенности и специальным температурным диапазонам. Появились и нормативные акты, формирующие требования к защите информации в подобных системах: Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды» [3].

Проблемы безопасности инфокоммуникационных систем затрагивают множество составляющих — от защиты локальных сетей, в том числе беспроводных, до внедрения методов и средств защиты мобильных устройств.

Транспортная сеть защищенной ведомственной системы мобильного широкополосного беспроводного радиодоступа, которая должна функционировать как виртуальная частная сеть (VPN). Основой построения транспортных сетей являются первичные сети. Первичной сетью называется совокупность типовых физических цепей, типовых каналов передачи и сетевых трактов системы электросвязи, образованная на базе сетевых узлов, сетевых станций, оконечных устройств первичной сети и соединяющих их линий передачи системы электросвязи [1].

Предоставление услуги виртуальной частной сети в представлении исполнителя (оператора связи) — возможность абонента объединить локальные сети удаленных офисов в единую корпоративную сеть на основе технологии VPN с применением шифрования. VPN может выступать как один из элементов комплекса средств противодействия угрозам информационной безопасности в сетях связи специального назначения [12]. Стоит отметить, что шифрование может влиять на скорость соединения. Выбор технологии VPN и методов шифрования должен производиться в каждом конкретном случае в зависимости от того, какие данные будут передаваться [9]. Процесс внедрения криптошлюзов может быть непростым, и это требует от организации наличия в штате квалифицированных специалистов. По данным статистического портала Statista.com, устройства для построения VPN станут год от года всё более востребованными [3].

В соответствии со статьей 13 Федерального закона от 07.07.2003 № 126 -ФЗ (ред. от 30.04.2021) «О связи», сеть связи общего пользования предназначена для возмездного оказания услуг электросвязи любому пользователю услугами связи на территории Российской Федерации и включает в себя сети электросвязи, определяемые географически в пределах обслуживаемой территории и ресурса нумерации и не определяемые географически в пределах территории Российской Федерации и ресурса нумерации, а также сети связи, определяемые по технологии реализации оказания услуг связи. Она представляет собой комплекс взаимодействующих сетей электросвязи, в том числе сети связи для трансляции телеканалов и (или) радиоканалов.

Транспортная сеть (transport network) — часть сети связи, охватывающая магистральные узлы, междугородние станции, а также соединяющие их каналы и узлы (национальные, междугородные). В таблице показаны структуры моделей транспортных сетей, имеющих функциональные уровни: физических трактов и каналов [3].

Главным требованием, предъявляемым к транспортным сетям, является выполнение сетью ее целевой функции — обеспечения пользователям возможности доступа ко всем разделяемым ресурсам сети.

Для построения виртуальных частных сетей оператор может использовать разные технологии: выделенные каналы, протокол ретрансляции кадров Frame Relay, шифрование туннелей в сети Интернет, многопротокольную коммутацию по меткам (MPLS), беспроводные технологии и другие.

По топологии виртуальной частной сети она может быть построена по типу «каждый с каждым», «звезда», «без полной связности». Качество услуги «Предоставление виртуальной частной сети» и показатели качества регламентирует ГОСТ Р 53729-2009.

Структуры многоуровневых моделей транспортных сетей

SDH ATM Оптическая сеть

Уровень Цифровые Уровни Виртуальные Уровень каналов

каналов каналы Е1, Е3, Е4 АТМ каналы

Уровни Тракты Виртуальные Уровни Другие Тракты

трактов виртуальных контейнеров VC-12 тракты трактов электрические тракты SDH

Тракты Физиче- Цифровая Оптические

виртуальных ский уро- секция транспортные

контейнеров VC-3, VC-4 вень (тракт) системы

Физиче- Секции Секции мульти- Уровни Секции оптического

скии уро- мультиплексирова- плексирования и оптиче- мультеплексирования

вень ния и регенерации регенерации ской сети

Физическая среда Физическая среда Оптическая ретрансляция Оптоволоконная линия

В качестве транспортной среды могут выступать:

- сеть радиосвязи;

- локальная сеть Ethernet;

- сеть связи сотовых операторов 3G/4G.

В качестве транспортной инфраструктуры также может быть использована инфраструктура радиорелейных и спутниковых каналов связи.

Интерфейс канала может быть как проводной (витая пара, оптоволокно), так и беспроводной (GPRS, HSPA, LTE, Wi-Fi, WiMAX).

Оператор связи обязан обеспечить предоставление доступа к сети VPN, а также возможности передачи данных различных видов — голос, видео и другие. Показателями качества функционирования виртуальной частной сети для протокола IP будут выступать: процент потерянных пакетов, средние сетевые задержки пакетов, средние колебания сетевых задержек пакетов. Для протокола FR показателями качества функционирования виртуальной частной сети будут выступать: время переноса кадра, коэффициент потери кадров [3].

Необходимо учитывать, что транспортная среда может быть как реализована на собственной телекоммуникационной инфраструктуре организации, так и арендована у оператора телекоммуникационных услуг.

Обеспечение информационной безопасности мобильных устройств. Под категорию мобильных устройств подпадает любое переносное/носимое вычислительное устройство: ноутбук, нетбук, планшетный компьютер, интернет-планшет, карманный персональный компьютер, смартфон, устройства цифровой радиосвязи и мобильного широкополосного беспроводного доступа (МШБД) независимо от производителей оборудования радиосетей и применяемых стандартов цифровой радиосвязи. Мобильные устройства постоянно совершенствуются и изменяются, их характеристики разнообразны, а количество операционных систем для них с каждым днем становится все больше и больше. Исходя из вышесказанного, под термином «мобильные устройства» будет пониматься лишь часть устройств, которые обладают специализированной мобильной операционной системой (ОС) и системой управления. В настоящее время количество мобильных ОС достаточно велико и также велико количество версий каждой ОС. Все они имеют много уязвимостей и зачастую разных. Отечественная сертифицированная мобильная операционная система «Аврора» и программное обеспечение отечественной разработки в условиях импортозамещения позволит минимизировать существующие угрозы информационной безопасности.

Реализация виртуальных частных сетей на SIM-картах с российским шифрованием. SIM-карты могут быть оснащены российской криптографией. В этом случае оператор связи может использовать на своей сети аппаратный модуль безопасности, позволяющий внедрить отечественную криптографию в телекоммуникационное оборудование. При этом виртуальный мобильный оператор компании будет соответствовать необходимому классу безопасности [2].

Разработчик сервисов идентификации IDX отвечает за разработку сервисов на базе доверенных SIM-карт. В базовый комплект входят квалифицированная электронная подпись, автозаполнение, которое хранится в защищенной области, генерация одноразовых паролей, возможность использовать SIM-карту как токен для платежных приложений по аналогии с ApplePay. Последняя опция предназначена для российских платежных приложений типа SberPay, TinkoffPay и других [2]. SIM-карты и модули безопасности с российским шифрованием разработал Институт точной механики и вычислительной техники им. С. А. Лебедева РАН.

С декабря 2019 года вступили в силу требования Минцифры по аутентификации и идентификации абонентов с использованием криптографии, одобренной ФСБ. Поставщики телекоммуникационного оборудования для сетей сотовой связи должны либо сертифицировать некоторые элементы собственной инфраструктуры как средство криптографической защиты информации, либо устанавливать внешние модули безопасности [2]. Эксперты называют минусами таких SIM-карт то, что их нельзя будет свободно продавать в салонах связи, вывозить за рубеж, а криптографические ключи необходимо перевыпускать каждые 15 месяцев.

Возможность защищенной передачи речи и данных на базе VPN. Оптимальной является сертификация микросхем по требованиям безопасности, например по уровню «конфиденциально». При этом доверенная среда на базе микросхемы является отчуждаемым элементом, а средства связи сертифицируются только на корректность встраивания. В эксплуатируемых и разрабатываемых устройствах в настоящее время используются алгоритмы шифрования, реализованные на американских сигнальных процессорах и, соответственно, средствами защиты не являющиеся и требованиям безопасности не отвечающие (являются маскираторами).

Маскираторы также широко используются в составе средств связи и представляют собой узлы, выполненные на компонентной элементной базе иностранного производства общего назначения, в конечном счете также не являющиеся средством защиты информации.

В первом и во втором случае маскираторы уступают по массо-габаритным характеристикам, потребляемой мощности, надежности, устойчивости серийных поставок сертифицированным средствам защиты информации в микроэлектронном исполнении. В настоящее время разработаны и находятся в серийном освоении специальные БГМ-карты и специализированные изделия в форм-факторах SD-карт серийного производства. Эти микросхемы могут эффективно заменить маскираторы, применяемые в средствах УКВ радиосвязи, а также могут быть встроены в сотовые телефоны для создания защищенной служебной сотовой связи (рис. 2.) [4, 5, 6, 13].

Рис. 2. Принцип встраивания криптографической подсистемы

в мобильное устройство

Рассмотрим дополнительные функции, которые могут быть реализованы по отношению к функциям SIM-карт операторов сотовой связи, которые в настоящее время используются в служебной сотовой связи:

- защищенное от несанкционированного доступа хранение, а также запись/чтение ключевой криптографической и служебной информации во встроенной 1^^памяти;

- защищенное хранение и запуск специального программного обеспечения, выполняющего в среде базового устройства (смартфон, планшет и т.п.) специальные функции;

- аутентификация пользователя и авторизация его полномочий только в случае успешного результата авторизации;

- выполнение с аппаратной поддержкой в доверенной изолированной среде БГМ-карты функций криптографической защиты информации на основе российских криптографических алгоритмов: шифрования, имитозащиты, вычисления хэш-функции, цифровой подписи.

При этом существенным является тот факт, что ключи и прочая служебная информация, необходимая для работы криптографических алгоритмов, никогда не будет выводиться за пределы доверенной и защищенной среды SIM-карты и, следовательно, не может быть явно скомпрометирована.

Требования к защищенной ведомственной системе мобильного широкополосного беспроводного радиодоступа, которая должна функционировать как виртуальная частная сеть (VPN) по отношению к сетям связи общего пользования. С учетом указанных выше положений можно сделать вывод, что защищенная система мобильного широкополосного беспроводного доступа, которая должна функционировать как виртуальная частная сеть (VPN) по отношению к сетям связи общего пользования, может быть использована в качестве транспортной инфраструктуры для организации цифровой защищенной интегрированной радиосвязи (ЦЗИР). Пример организации ЦЗИР приведен на рисунке 3.

Рис. 3. Цифровая защищенная интегрированная радиосвязь (ЦЗИР)

В состав цифровой защищенной интегрированной радиосвязи входят:

АС — абонентская УКВ-станция;

БС — базовая УКВ-станция;

МС — модуль (устройство) сопряжения;

ВСО — вспомогательное сетевое оборудование (обеспечивает возможность подключения к сети Интернет беспроводным способом через сети 3G/4G или Wi-Fi) (маршрутизатор);

МК — мобильная компонента;

ТК — транспортная компонента;

МУ — мобильное устройство (смартфон или планшет).

В качестве оборудования криптографической защиты информации может быть использовано изделие М-687А, разработанное Акционерным обществом «Пензенский

81

научно-исследовательский электротехнический институт» [6, 8]. Внешний вид оборудования криптографической защиты изделия М-687А показан на рисунке 4.

Данный модуль предназначен для работы в мультисервисных сетях. Изделие обеспечивает:

- криптографическую защиту IP-пакетов методом полной инкапсуляции; прозрачное автоматическое шифрование/расшифрование информации с заданной стойкостью по алгоритму шифрования — ГОСТ 28147-89;

- контроль целостности пакетов данных — имитозащиту по ГОСТ 28147-89;

- аутентификацию источника данных;

- поддержку фрагментации пакетов;

- пропускную способность 94 Мбит/с при длине передаваемых пакетов 1400 байт;

- гибкую полнофункциональную настройку изделия (с ПЭВМ);

- межсетевое экранирование информационных потоков с выполнением следующих требований: возможность дистанционного мониторинга и управления ключевой информации от аппаратуры децентрализованного изготовления ключа (М-684), защиту от НСД при вскрытии корпуса, круглосуточную необслуживаемую работу.

Изделие подключается к локальной сети (или отдельной станции), а также к оборудованию транспортной сети по интерфейсам Ethernet (10BASE-T, 100BASE-TX, RJ-45 на скоростях 10 и 100 Мбит/с) и поддерживает протокол Ethernet 802.3 на портах, не внося ограничений в работу протоколов верхних уровней [8].

ЦЗИР предназначена для организации системы территориально-распределенной цифровой радиосвязи (стандарт APCO-25, DMR, LTE), функционирующей как виртуальная частная сеть (VPN) по отношению к сетям общего пользования [13].

ЦЗИР должен обеспечивать:

- защиту информационного взаимодействия всех существующих сетей цифровой радиосвязи, переводимых на новую технологическую платформу, перспективных (вновь создаваемых) сетей цифровой радиосвязи и системы мобильного широкополосного беспроводного радиодоступа (МШПД) независимо от производителей оборудования радиосетей и применяемых стандартов цифровой радиосвязи;

- защищенное информационное взаимодействие существующих и перспективных цифровых радиосетей, а также перспективной МШПД с специализированными ведомственными сервисами;

- комплексное применение средств и сетей различных видов связи в правоохранительной деятельности;

- создание ведомственной системы МШПД, которая должна функционировать как виртуальная частная сеть по отношению к сетям общего пользования;

Рис. 4. Внешний вид оборудования криптографической защиты изделия М-687А

- взаимодействие ЦЗИР с АТС и защищенное информационное взаимодействие абонентов цифровых радиосетей через сети общего пользования;

- криптографическую защиту информации, циркулирующей в перспективных цифровых радиосетях и в сетях МШПД на базе портативных сертифицированных отечественных средств криптографической защиты.

ЦЗИР должна функционировать как виртуальная частная сеть по отношению к сетям общего пользования на основе протоколов TCP IP.

Станция генерации ключей и управления безопасностью

Модуль криптографической защиты

Дата центр управления

IX«

Рабочее место аналитика

Модуль криптографической

защиты

Модуль криптографической защиты

УКВ радиосвязь

i L

Коммутатор Точка доступа Виртуальная АТС

J IP (3G/4G)

IP(3G/4G) Аппаратный модуль <-> криптографической

Защищенные смартфоны/планшеты

Модуль криптографической защиты

Коммутатор точка доступа Wi - Fi

Модуль криптографической защиты

Сеть связи общего пользования

Рис. 5. Структурная схема фрагмента криптографически защищенной среды

информационного взаимодействия разнородных сетей, организованной на действующей инфраструктуре сотовых операторов и интернет-провайдеров

ЦЗИР должна быть организована на базе перспективных телекоммуникационных технологий, в том числе на основе сервис-ориентированной архитектуры, и должна представлять собой интегрированную среду информационного взаимодействия различных разнородных комплексов и систем связи.

ЦЗИР должна иметь собственную ведомственную серверную компоненту (ВСК), к которой предъявляются следующие требования:

- на основе ВСК должны осуществляться плановое и оперативное конфигурирование (реконфигурирование) системы, а также контроль ее функционирования;

- на основе ВСК должна быть организована система служб и сервисов информационного обмена и управления ЦЗИР. Требования к ВСК, включая требования к составу системных служб и сервисов, уточняются в ТТЗ на ОКР;

ВСК должна быть организована таким образом, чтобы была обеспечена ее полная функциональная достаточность и автономность работы, чтобы была исключена зависимость от каких-либо сторонних контролирующих и управляющих ресурсов.

ЦЗИР должна иметь транспортную компоненту (ТК), к которой предъявляются следующие требования:

ТК должна функционировать как виртуальная частная сеть по отношению к стационарным и беспроводным мобильным сетям общего пользования на основе протоколов TCP IP.

ТК должна обеспечивать интеграцию и информационное взаимодействие:

- существующих цифровых радиосетей (ТК для существующих цифровых радиосетей должна служить новой технологической платформой);

- перспективных (вновь создаваемых) цифровых радиосетей;

- сетей МШПД;

- мобильной компоненты ЦЗИР;

- единой мультисервисной системы;

- локальных вычислительных сетей и отдельных рабочих мест.

ТК должна обеспечивать возможность комплексного применения средств и сетей различных видов связи на одном информационном направлении комбинированных линий и каналов связи.

ТК должна обеспечивать взаимодействие абонентов разнородных цифровых радиосетей и расширение радиопокрытия систем цифровой радиосвязи вне зависимости от физической удаленности между абонентами и отдельными радиосетями на всей территории Российской Федерации.

В составе ТК должно быть использовано шлюзовое оборудование, обеспечивающее подключение к ЦЗИР разнородных цифровых радиосетей различных поколений вне зависимости от производителей оборудования и используемых стандартов цифровой радиосвязи.

Подсистема криптографической защиты ТК должна быть организована на основе шифровальной аппаратуры, предназначенной для обработки конфиденциальной информации, не содержащей сведений государственной тайны с классом защиты не ниже КА согласно требованиям ФСБ Росси и модели нарушителя.

ЦЗИР должна иметь мобильную компоненту (МК), к которой предъявляются следующие требования:

МК должна функционировать как виртуальная частная сеть по отношению к беспроводным (мобильным) сетям общего пользования на основе протоколов TCP IP.

Сопряжение МК и ТК должно осуществляться по широкополосным каналам беспроводного доступа 3G, 4G, (LTE), Wi-Fi.

Абонентское оборудование широкополосного доступа МК должно быть создано на основе:

- отечественных смартфонов, функционирующих под управлением отечественной сертифицированной мобильной операционной системы «Аврора» и программного обеспечения отечественной разработки;

- отечественных планшетных компьютеров, функционирующих под управлением отечественной сертифицированной мобильной операционной системы «Аврора» и программного обеспечения отечественной разработки.

Смартфоны и планшетные компьютеры в составе ВМК должны обеспечивать функции комбинированных широкополосных устройств, обеспечивающих:

- доступ во все радиосети, сопрягаемые с ТК, инвариантно по отношению к их оборудованию и применяемым стандартам цифровой радиосвязи;

- доступ к службам и сервисам ВСК ЦЗИР;

- доступ к сервисам единой мультисервисной системы.

В абонентском оборудовании перспективных (вновь создаваемых) цифровых радиосетей и МК в составе ЦЗИР должны быть использованы единые (однотипные) отечественные высокотехнологичные портативные средства криптографической защиты информации (СКЗИ).

СКЗИ в составе абонентского оборудования МК (цифровых радиосетей и МШПД) должны представлять собой автономные, легко отчуждаемые (легко заменяемые) устройства, сертифицируемые по классу защиты КС2 (КС3) согласно требованиям ФСБ России и модели нарушителя и выполненные в стандартном форм-факторе micro SD-карт.

ЦЗИР должна обеспечивать возможность масштабирования как по вертикали, так и по горизонтали (по субъектам Российской Федерации, вплоть до отдельных удаленных рабочих мест и подвижных абонентов).

Выводы. В статье рассмотрены вопросы построения защищенной системы мобильного широкополосного беспроводного доступа, которая должна функционировать как виртуальная частная сеть (VPN) по отношению к сетям связи общего пользования. В качестве транспортной сети предложено рассмотреть каналы связи и инфраструктуру операторов мобильного широкополосного беспроводного доступа, предоставляемые на условиях аренды. Встраиваемая криптографическая подсистема позволит обеспечить безопасность информационного взаимодействия разнородных сетей, организованного на действующей инфраструктуре сотовых операторов и интернет-провайдеров. На основе анализа предложены решения по реализации системы связи на базе технологии VPN.

ЛИТЕРАТУРА

1. Запечников С. В., Милославская Н. Г., Толстой А. И. Основы построения виртуальных частных сетей : учебное пособие для вузов. — М. : Горячая линия. — Телеком, 2012. — 248 с.

2. «Воентелеком» тестирует SIM карты с российским шифрованием. — URL: https://habr.com/ru/news/t/560122/.

3. Обзор криптографических шлюзов российских и зарубежных производителей. — URL: https://www.antimalware.ru/analytics/Market_Analysis/cryptographic-gateways-russian-and-foreign-manufacturers-2017 (дата обращения: 24.02.2021).

4. Кондрущенков О. М., Лекарь Л. А. Актуальные решения по созданию защищенной ведомственной системы сотовой связи // Охрана, безопасность, связь. — 2018.

— Воронеж : Воронежский институт МВД России, 2019. — Т. 1. — № 4. — С. 175—180.

5. Кондрущенков О. М., Лекарь Л. А. Построение защищенного ведомственного портала // Информационная безопасность социотехнических систем. — 2017. — № 3 (1).

— С. 32—37.

6. Кондрущенков О. М., Лекарь Л. А. Защищенная территориально распределенная мультисервисная система связи для обеспечения управления в реальном масштабе времени // Информационная безопасность социотехнических систем. — 2017. — № 1 (1).

— С. 53—58.

7. Дурук Е. В., Левко И. В. Основы организации и управления VPN — сетями современных информационных систем специального назначения // T-Comm. — 2019.

— Т. 13. — № 6. — С. 19—29.

8. М-687А, М-687В. — URL: http://пниэи.рф/activity/production/m-687.htm (дата обращения: 24.02.2021).

9. Канавин С. В. Построение защищенной ведомственной системы связи на базе технологии VPN // Общественная безопасность, законность и правопорядок в III тысячелетии. — Воронеж : Воронежский институт МВД России, 2021. — № 7—2. — С. 240—242.

10. Канавин С. В. К вопросу выбора стратегии защиты системы связи специального назначения при угрозах информационной безопасности // Моделирование, оптимизация и информационные технологии. — Воронеж : Воронежский институт высоких технологий. — 2021. — Т. 9. — № 3 (34). — С. 21—22.

11. Бокова О. И., ^навин С. В., Хохлов Н. С. Оценка возможного ущерба и времени реакции комплекса средств противодействия на реализацию угроз информационной безопасности сети связи специального назначения // Моделирование, оптимизация и информационные технологии. — Воронеж : Воронежский институт высоких технологий. — 2020. — Т. 8. — № 4. — С. 33—34.

12. Модель комплекса средств противодействия угрозам информационной безопасности в сетях связи специального назначения / О. И. Бокова, Д. А. Жайворонок, С. В. ^на-вин, Н. С. Хохлов // Моделирование, оптимизация и информационные технологии. — Воронеж : Воронежский институт высоких технологий, 2020. — Т. 8. — № 2 (29). — С. 41—42.

13. Разработка требований к защищенной ведомственной системе мобильного широкополосного беспроводного радиодоступа, которая должна функционировать как VPN (виртуальная частная сеть) на системе связи общего пользования : отчет о НИР. — Воронеж : Воронежский институт МВД России, 2021. — № госрегистрации 07217594. — 74 с.

14. ^иптошлюз. — URL: https://ru.wikipedia.org/wiki/Kриптошлюз (дата обращения: 24.02.2021).

REFERENCES

1. Zapechnikov S. V., Miloslavskaya N. G., Tolstoj A. I. Osnovy postroeniya virtual'nyh chastnyh setej : uchebnoe posobie dlya vuzov. — M. : Goryachaya liniya. — Telekom, 2012. — 248 s.

2. «Voentelekom» testiruet SIM karty s rossijskim shifrovaniem. — URL: https://habr. com/ru/news/t/560122/.

3. Obzor kriptograficheskih shlyuzov rossijskih i zarubezhnyh proizvoditelej. — URL: https://www.antimalware.ru/analytics/Market_Analysis/cryptographic-gateways-russian-and-foreign-manufacturers-2017 (data obrashcheniya: 24.02.2021).

4. Kondrushchenkov O. M., Lekar' L. A. Aktual'nye resheniya po sozdaniyu zashchi-shchennoj vedomstvennoj sistemy sotovoj svyazi // Ohrana, bezopasnost', svyaz'. — 2018. — Voronezh : Voronezhskij institut MVD Rossii, 2019. — T. 1. — # 4. — S. 175—180.

5. Kondrushchenkov O. M., Lekar' L. A. Postroenie zashchishchennogo vedomstven-nogo portala // Informacionnaya bezopasnost' sociotekhnicheskih sistem. — 2017. — # 3 (1).

— S. 32—37.

6. Kondrushchenkov O. M., Lekar' L. A. Zashchishchennaya territorial'no raspredelen-naya mul'tiservisnaya sistema svyazi dlya obespecheniya upravleniya v real'nom masshtabe vremeni // Informacionnaya bezopasnost' sociotekhnicheskih sistem. — 2017. — # 1 (1). — S. 53—58.

7. Duruk E. V., Levko I. V. Osnovy organizacii i upravleniya VPN — setyami sovremen-nyh informacionnyh sistem special'nogo naznacheniya // T-Comm. — 2019. — T. 13. — # 6. — S. 19—29.

8. M-687A, M-687V. — URL: http://pniei.rf/activity/production/m-687.htm (data obrashcheniya: 24.02.2021).

9. Kanavin S. V. Postroenie zashchishchennoj vedomstvennoj sistemy svyazi na baze tekhnologii VPN // Obshchestvennaya bezopasnost', zakonnost' i pravoporyadok v III tysya-cheletii. — Voronezh : Voronezhskij institut MVD Rossii, 2021. — # 7—2. — S. 240—242.

10. Kanavin S. V. K voprosu vybora strategii zashchity sistemy svyazi special'nogo naznacheniya pri ugrozah informacionnoj bezopasnosti // Modelirovanie, optimizaciya i in-formacionnye tekhnologii. — Voronezh : Voronezhskij institut vysokih tekhnologij. — 2021.

— T. 9. — # 3 (34). — S. 21—22.

11. Bokova O. I., Kanavin S. V., Hohlov N. S. Ocenka vozmozhnogo ushcherba i vremeni reakcii kompleksa sredstv protivodejstviya na realizaciyu ugroz informacionnoj be-

zopasnosti seti svyazi special'nogo naznacheniya // Modelirovanie, optimizaciya i infor-macionnye tekhnologii. — Voronezh : Voronezhskij institut vysokih tekhnologij. — 2020. — T. 8. — # 4. — S. 33—34.

12. Model' kompleksa sredstv protivodejstviya ugrozam informacionnoj bezopasnosti v setyah svyazi special'nogo naznacheniya / O. I. Bokova, D. A. Zhajvoronok, S. V. Kanavin, N. S. Hohlov // Modelirovanie, optimizaciya i informacionnye tekhnologii. — Voronezh : Voronezhskij institut vysokih tekhnologij, 2020. — T. 8. — # 2 (29). — S. 41—42.

13. Razrabotka trebovanij k zashchishchennoj vedomstvennoj sisteme mobil'nogo shi-rokopolosnogo besprovodnogo radiodostupa, kotoraya dolzhna funkcionirovat' kak VPN (vir-tual'naya chastnaya set') na sisteme svyazi obshchego pol'zovaniya : otchet o NIR. — Voronezh : Voronezhskij institut MVD Rossii, 2021. — # gosregistracii 07217594. — 74 s.

14. Kriptoshlyuz. — URL: https://ru.wikipedia.org/wiki/Kriptoshlyuz (data obra-shcheniya: 24.02.2021).

СВЕДЕНИЯ ОБ АВТОРАХ

Хохлов Николай Степанович. Профессор кафедры инфокоммуникационных систем и технологий. Доктор технических наук, профессор.

Воронежский институт МВД России.

E-mail: nikolayhohlov@rambler.ru

Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. +7 (473) 200-52-25.

Канавин Сергей Владимирович. Доцент кафедры инфокоммуникационных систем и технологий. Кандидат технических наук.

Воронежский институт МВД России.

E-mail: sergejj-kanavin@rambler.ru

Россия, 3940б5, Воронеж, проспект Патриотов, 53. Тел. +7 (473) 200-52-29.

Гилев Игорь Владимирович. Преподаватель кафедры инфокоммуникационных систем и технологий.

Воронежский институт МВД России.

E-mail: gileviv@bk.ru

Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. +7 (473) 200-52-28.

Hokhlov Nikolay Stepanovich. Professor of the chair of Infocommunication Systems and Technologies. Doctor of Technical Sciences, Professor.

Voronezh Institute of the Ministry of the Interior of Russia.

E-mail: nikolayhohlov@rambler.ru

Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. +7 (473) 200-52-25.

Kanavin Sergey Vladimirovich. Associate Professor of the chair of Infocommunication Systems and Technologies. Candidate of Technical Sciences.

Voronezh Institute of the Ministry of the Interior of Russia.

E-mail: sergejj-kanavin@rambler.ru

Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. +7 (473) 200-52-29.

Gilev Igor Vladimirovich. Lecturer of the chair of Infocommunication Systems and Technologies.

Voronezh Institute of the Ministry of the Interior of Russia.

E-mail: gileviv@bk.ru

Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. +7 (473) 200-52-28.

Ключевые слова: информационная безопасность; виртуальная частная сеть; мультисервисная сеть связи; система мобильного широкополосного беспроводного радиодоступа; транспортная сеть; безопасность мобильных устройств.

Key words: information security; virtual private network; multiservice communication network; mobile broadband wireless radio access system; transport network; mobile device security.

УДК 004.732