В рубрику "Решения операторского класса" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Безопасность магистральных сетей на службе России

Виталий Слизень
Генеральный директор национального оператора связи "Синтерра"

Евгений Светличный
Директор дирекции развития систем информационной безопасности компании ТТК

Сети передачи данных в России имеют определенную национальную специфику. Это относится и к магистральным сетям. Существует большое разнообразие мнений о том, какие технологии займут лидирующее положение. Также интересным представляется вопрос о том, как обеспечивается безопасность магистральных сетей, в том числе и физическая, как могут быть оптимизированы затраты на ее обеспечение в сложившейся экономической ситуации. Редакция журнала "Технологии и средства связи" обратилась к представителям крупнейших операторских компаний с несколькими вопросами.

- Каково на сегодняшний день состояние магистральных сетей в России? Каковы перспективы развития магистральных сетей в нашей стране?

Виталий Слизень: Сегодня в стране собственные магистральные сети национального масштаба есть у трех операторов связи - "Ростелеком" (150 тыс. км), "Синтерра" (70 тыс. км), ТТК (55 тыс. км).

Остальные операторы либо присутствуют точечно в приоритетных для них регионах, либо арендуют магистральные ресурсы у трех вышеназванных игроков.

В связи с текущей экономической ситуацией инвестиции большинства операторов в создание собственных магистральных линий урезаны либо полностью приостановлены, так как средний срок возврата инвестиций по окупаемости строительства ВОЛС составляет порядка 4-5 лет.

- Какая технология станет ключевой в развитии магистральных сетей? За какими технологиями магистрального транспорта трафика, на Ваш взгляд, будущее?

Виталий Слизень: Если говорить о сетях второго уровня, то, бесспорно, это технология спектрального уплотнения DWDM, которая приходит на смену SDH. В сетях передачи данных лидирующее положение занимают IP/MPLS-сети. Так, в начале 2008 г. "Синтерра" на базе своей магистральной сети построила собственную сеть передачи данных. Ее уникальность состоит в том, что при ее создании было использовано оборудование одного производителя - Juniper Networks, что позволило нам выступить перед заказчиком в новой роли, централизованно управляя и услугами, и качеством их предоставления.

Очевидно, что, несмотря на кризис, потребление услуг доступа в Интернет будет стабильно расти. Помимо роста сервисов широкополосного доступа как в частном, так и корпоративном сегментах у бизнес-структур все более востребованной становится услуга по созданию и эксплуатации VPN-сетей. Все большее количество территориально распределенных предприятий предпочитает аренде каналов организацию VPN. Благодаря этому компании сокращают затраты на внутрикорпоративное взаимодействие (экономия на междугородных и внутренних звонках, видеоконференцсвязь вместо командировок и пр.), легко масштабируя сеть и изменяя требования к качеству передачи и характеру трафика.

- Как обеспечить безопасность магистральных сетей? И какие технологии здесь станут доминирующими?

Виталий Слизень: Безопасность магистральных сетей имеет несколько аспектов: физическая, информационная, юридическая. На мой взгляд, в ближайшие год-два произойдет смещение акцентов в сторону информационной безопасности. Магистральные операторы станут активными участниками единой системы обеспечения информационной безопасности сетей связи общего пользования, наладят функционирование средств очистки трафика от информационного мусора, атак, направленных на отказ в обслуживании оборудования и информационных ресурсов, обеспечат наравне с другими участниками рынка информационного обмена увеличение доступности информационных сервисов потребителям услуг.

Евгений Светличный: Рассмотрим ответ на этот вопрос на примере компании ТТК. Наша компания обладает несколькими магистральными сетями (МЦСС, IP-сеть, DWDM, ММТС). Все они построены на разном оборудовании и используют различные телекоммуникационные технологии. Создавать для каждой сети свою систему безопасности было бы очень дорого, да и неэффективно. Поэтому при решении задачи обеспечения безопасности таких сетей мы подходили комплексно, с учетом максимизации использования одного и того же функционала для различных сетей, а также разделения функций информационной, физической безопасности и управления ими. В целом мы имеем в настоящее время следующие интегральные функциональные составляющие системы безопасности:

• система обеспечения информационной безопасности (СОИБ). Используемые в СОИБ технологии решают задачи по управлению доступом к информационным ресурсам и защите от НСД систем управления сетями, регистрации и учету действий допущенного к управлению технического персонала, обеспечению целостности программного обеспечения систем управления сетями;
• система физической безопасности (СФБ). Используемые в СФБ технологии решают задачи по ограничению и контролю доступа на объекты связи и к телекоммуникационному оборудованию, круглосуточному мониторингу аварийных ситуаций на сетевых узлах связи;
• система контроля и управления безопасностью, в задачи которой входит управление СОИБ и СФБ как на региональном (зоновом), так и центральном уровнях.

В основу систем безопасности были положены следующие основные принципы:

• сеть системы управления (включая серверы биллинга, аутентификации и авторизации, журналирования, интерфейсы управления средствами связи и пр.) изолировалась от прочих сетей;
• доступ в сеть системы управления осуществляется централизованно;
• оборудование, входящее в систему управления, в обязательном порядке поддерживает внешние централизованные системы аутентификации и авторизации пользователей;
• пароли к учетным записям хранятся в системе аутентификации в зашифрованном виде;
• в системе управления поддерживается ролевой принцип управления, предусматривается несколько групп пользователей с разными правами;
• обмен информацией между интерфейсами управления средствами связи и серверами управления и рабочими станциями эксплуатирующего персонала, производимый через территорию других государств, защищается средствами криптогра фической защиты;
• удаленный доступ производителей средств связи и программного обеспечения, используемого в системе управления, осуществляется через межсетевой экран и специально организованный сервер, на котором все их действия протоколируются;
• программное обеспечение системы управления и средства связи имеют возможность передавать во внешние системы информацию о событиях информационной безопасности.

- Как может быть обеспечена физическая безопасность линий связи?

Евгений Светличный: В ТТК изначально основной упор делался на обеспечение физической безопасности применительно к первичной сети (SDH), а именно на решении задач по ограничению и контролю доступа на объекты связи и к телекоммуникационному оборудованию, круглосуточному мониторингу аварийных ситуаций на сетевых узлах связи. Для обеспечения физической безопасности оборудования других сетей используется в основном тот же функционал, что и для первичной сети. Это позволяет существенно экономить наши затраты.

Что касается физической безопасности линий связи ТТК, протяженность которых составляет свыше 50 тыс. км, то обеспечение их защиты достигается за счет:

• применения различных методов резервирования направлений связи, в том числе за счет разнесения по разным географически маршрутам, непрерывного круглосуточного мониторинга сети, быстрого (50 мс) переключения основного направления связи (в случае его повреждения) на резервное;
• осмотра линий связи, проводимого в соответствии с установленным порядком;
• применения мер организационного и технического характера по обнаружению несанкционированного подключения к проводным линиям связи и устранению нарушений в кратчайшие сроки (не более 4 часов);
• размещения линий связи, исключающего возможность доступа к ним без использования каких-либо инструментов или механизмов.

- В чем заключаются конкурентные преимущества сети вашей компании?

Виталий Слизень: Обеспечение физической безопасности достигается одним способом - обязательным резервированием. В этом вопросе сеть "Синтерры" является уникальной для отечественного рынка - на данный момент средняя степень резервирования нашей сети достигает коэффициента 3,2, а в Центральном, Приволжском и Уральском федеральных округах значение коэффициента связанности достигло 4. Кроме безопасности 4-кратное резервирование дает минимизацию эксплуатационных издержек.

Так, например, для начала функционирования любого дата-центра нашей распределенной сети ЦОД обязательным условием является подведение к зданию 4 каналов по 10 Гбит/с. Кроме того, в 13 регионах страны у "Синтерры" введены в эксплуатацию более 40 узлов доступа магистральных линий спутниковой связи. Помимо этого в удаленных и труднодоступных регионах дочерняя компания "Синтерры" - "Глобал-Телепорт" оказывает услуги связи с использованием технологии VSAT. Таким образом, "Синтерра" - единственный оператор связи, обладающий полным набором инфраструктуры и технологий, необходимых для реализации проектов национального масштаба любой сложности. Эти возможности нашли свое отражение в реализации таких проектов, как обеспечение доступом к Интернету более 52 тыс. образовательных учреждений РФ, создание телекоммуникационной инфраструктуры для государственной системы паспортно-визовых документов нового поколения, "Почты России", "Роснедвижимости", "Федеральной сетевой компании ЕЭС" и пр.

Евгений Светличный: Если говорить о наших конкурентных преимуществах, то в компании ТТК их много. Это и наши современные сети, использующие передовые телекоммуникационные технологии, это и их масштабность, позволяющая оказывать услуги с высоким качеством на всей территории РФ, это и высокоэффективная служба эксплуатации сетей связи, это в конечном итоге высококвалифицированный персонал компании. Но не менее важным нашим преимуществом является реализованные на сетях связи механизмы безопасности.

Механизмы безопасности встроены в сети, на которых предоставляются услуги связи нашим клиентам. В комплексе их использование позволяет реализовать высокие характеристики сетей по показателям доступности, целостности и обеспечения конфиденциальности передаваемой информации. При этом характеристики безопасности наших сетей и существующая система их эксплуатации отвечает требованиям нормативных документов, а магистральная IP-сеть имеет сертификат соответствия по безопасности. ТТК предоставляет защищенные услуги, построенные полностью на сертифицированном оборудовании и сетевом ресурсе. При этом немаловажно, что эксплуатацию систем безопасности осуществляют высококвалифицированные специалисты, имеющие необходимые сертификаты. Для эффективного взаимодействия с клиентами существует круглосуточная служба эксплуатации.

Мнение эксперта

Все шансы на успех

Александр Горнак
Технический директор компании "Новые Системы Телеком"

Основная функция магистральных сетей - транспортная, и с этой точки зрения следует рассматривать все аспекты их работы. В том числе и безопасность.

Магистральные сети гарантируют доставку агрегированных потоков трафика как многих групп пользователей, так и многих служб. В настоящее время эти службы передаются на основе TDM и пакетных технологий, поэтому современная магистральная сеть имеет несколько уровней и подсистем передач.

Нижний уровень - уровень WDM, обеспечивающий оптическую транспортную среду для вышележащих уровней SDH и пакетного транспорта. В силу большого объема традиционных голосовых служб на основе TDM (коммутации каналов) доля SDH весьма велика и еще долго будет значимой. Тем не менее она неуклонно снижается за счет увеличения объема услуг на основе пакетов (в основном это службы передачи данных и мультимедийные услуги по-верх IP).

Еще несколько лет назад потребности операторов в надежной передаче IP-трафика по своим магистральным сетям и с гарантированным качеством могли быть полностью покрыты за счет применения технологии Ethernet поверх SDH. На определенном этапе эта технология не только успешно решала задачи безопасной доставки пакетов, но и сохраняла вложенные в SDH-сети инвестиции. Однако дальнейший рост объемов IP-данных быстро вышел за рамки возможностей построенных сетей SDH. Создавать новые SDH-сети исключительно для транспортировки IP - не самый эффективный путь.

Отрасль стала развиваться в сторону построения пакетных транспортных сетей непосредственно поверх WDM. NG SDH оказалась промежуточной технологией между исключительно лишь TDM-транспортом и пакетным транспортом. В настоящее время происходит становление, развитие и стандартизация пакетных транспортных технологий для магистральных сетей. Даже такая популярная у операторов технология, как IP/MPLS, не удовлетворяет в полной мере всем требованиям пакетного транспорта, в том числе и требованиям безопасности.

Каковы же они для магистральных сетей? Имеются в виду требования не организационно-административного характера, а технологические.

Основными из них следует считать:

• конфиденциальность передаваемых данных - они должны быть изолированы, не могут несанкционированно просматриваться и их необходимо доставлять только по месту назначения;
• целостность передаваемых данных -гарантия, что данные не изменялись в процессе передачи;
• аутентификация источника данных;
• устойчивость по отношению к различного рода внешним атакам.

Как видим, SDH соответствует этим критериям: четкая дифференциация и изоляция данных в проложенных маршрутах, двусторонние соединения "точка - точка" со сквозным мониторингом вдоль всего маршрута обеспечивают конфиденциальность, целостность и аутентификацию данных, полную независимость от вышележащих уровней (например, IP), а следовательно, и устойчивость к проблемам, возникающим на этих уровнях.

В случае IP/MPLS мы имеем:

• отсутствие сквозного надежного управления каналами и их мониторинга;
• ориентацию на однонаправленные соединения (а не на двухстороннюю связь "точка - точка", лежащую в основе транспортных сетей);
• автоматическое установление и реконфигурирование соединений через сигнальные протоколы IP-маршрутизации.
• Все это говорит о уязвимости данной технологии с точки зрения безопасности.

Что же предлагается операторам в качестве альтернатив? Среди наиболее обсуждаемых - технологии PBB-TE и MPLS-TP. При этом следует отметить важную деталь: в обоих технологиях пакетный транспорт (предназначенный, в первую очередь, для доставки IP-служб) независим от IP-уровня. И если в случае PBB-TE это понятно (там IP-уровень изначально отсутствовал), то MPLS-TP - модификация MPLS. Из нее убрали сигнальный уровень, реализованный на основе IP-протоколов, а функции построения маршрутов и регулирования (инжиниринга) трафика передаются внешней системе управления (совсем как в SDH). Обе технологии обеспечивают услуги пакетного транспорта второго уровня для оборудования, работающего на уровне IP и выше. Что касается прогнозов технологического развития магистральных сетей, то здесь опять уместно обратиться к феномену SDH. Почему эта технология так понравилась операторам? В первую очередь, благодаря простоте, надежности, управляемости и, как следствие, низким эксплуатационным расходам. Технология транспорта на основе пакетов, которая сможет наследовать эти "фамильные черты" SDH, имеет все шансы на успех у операторов.

Опубликовано: Журнал "Технологии и средства связи" #2, 2009
Посещений: 7328

Статьи по теме

• Новый взгляд на имеющийся потенциал
• All-over-IP Expo 2013: на 45% больше значимых инноваций, экспонентов, звездных персон и подготовленных встреч с покупателями
• All-over-IP Expo 2013: выставка для IT-специалистов
• IT-инфраструктура для SMB: роман с телекомом
• Мобильный Интернет – помощь ритейлу

Автор Виталий Слизень Генеральный директор компании "Синтерра" Всего статей:  5

Автор Евгений Светличный Директор дирекции развития систем информационной безопасности компании ТТК Всего статей:  1

В рубрику "Решения операторского класса" | К списку рубрик  |  К списку авторов  |  К списку публикаций