Межстанционный экран «РУБИКОН»

В настоящее время все более актуальной становится проблема обеспечения информационной безопасности в системах телефонной связи, архитектура которых включает стандартные компьютерные средства и продукты информационных технологий.

Главной угрозой для пользователей УПАТС  является возможность несанкционированного доступа к его программным портам со стороны сетей общего пользования. В этих условиях органы государственной власти, предприятия ОПК, другие организации и учреждения несут серьезные риски, связанные с утечкой статистической, экономической и иной информации.

Решением данной проблемы является оснащение существующего оборудования связи специальными техническими средствами защиты информации.

Учитывая современные тенденции развития рынка, "ТЕЛРОС" ведет активные разработки в области создания технических средств защиты информации. В рамках этих работ был создан  межстанционный экран "РУБИКОН".

Межстанционный экран "РУБИКОН" представляет собой специализированное устройство, предназначенное для защиты оборудования АТС от разрушающих информационных воздействий (РИВ), применяемых в целях внесения изменений в систему управления АТС, блокирования передаваемой и обрабатываемой служебной информации и дезорганизации работы оборудования.

"РУБИКОН" создан в соответствии со специальными требованиями ФСБ РФ.

Межстанционный экран "РУБИКОН" применяется в составе автоматизированной системы управления телефонным трафиком (АСУТТ) предприятия и обеспечивает:

• защиту оборудования учрежденческих, городских и междугородних АТС от несанкционированного доступа к программным портам и использования недекларированных возможностей АТС;
• предотвращение увода и воровства трафика извне;
• предотвращение нарушения политики безопасности предприятия изнутри (создание модели внутреннего нарушителя);
• контроль деятельности персонала (регистрация переговоров, анализ телекоммуникационной активности) и эффективности использования им телекоммуникационных ресурсов (модемы, факсы и пр.).

Принцип действия

"РУБИКОН" включается в разрыв цифровых трактов E1(PRI EDSS-1) между УПАТС и АТС ТфОП и отслеживает все события, происходящие в сигнальном D-канале и пользовательских B-каналах. К каждому входящему или исходящему вызову применяется набор правил, определяющий разрешать этот вызов или блокировать. Система защиты информации способна определять вид передаваемой в разговорных каналах информации (речь, тишина, факс, модем, DTMF). Если для конкретных внешних / внутренних абонентов будет установлен запрет на модемную связь, передачу факсов или цифр DTMF-набора, в случае возникновения нарушений может быть произведено подавление указанных сигналов или полный разрыв текущего соединения.

При определении политики безопасности объекта и последующей настройке  технического средства защиты "РУБИКОН" наибольшее внимание должно быть сосредоточено на выявлении неавторизованного использования модемного оборудования. Подобные действия могут быть опасны не только для самой УПАТС, но и для компьютерной сети предприятия. Через телефонную станцию посредством модемного выхода на один из компьютеров локальной сети может быть легко обойдена самая сложная и эффективная экранная защита, установленная на канале передачи данных, связывающем компьютерную сеть с внешними сетями.

Функциональные возможности

• Контроль и фильтрация трафика сигнальной информации, передаваемой в шестнадцатом КИ (D – канале); передача только сигнальных сообщений соответствующих протоколу EDSS1.
•  Подавление/модификация сегмента user-user в сигнальных сообщениях, передаваемых по D-каналу.
•  Определение вида передаваемой пользовательской информации (речь, тишина, DTMF, факсимильное сообщение, модемное сообщение).
•  Подавление модемных, факсовых и DTMF сигналов.
•  Подавление/модификация номеров абонентов УПАТС при исходящем вызове с возможностью применения политик безопасности по данным номерам.
•  Определение политик безопасности для всех исходящих и входящих вызовов на основе правил "белых" и "черных" списков:

         - по входящим и исходящим номерам УПАТС;
         - по входящим и исходящим номерам ТфОП;
         - по типу трафика (речь, DTMF-сигналы, факс/модем).

•  Задание реакций на попытки соединения с абонентами из "черного" списка:

         - короткие гудки - абонент занят;
         - длинные гудки - абонент не отвечает;
         - голосовое сообщение, задаваемое пользователем "РУБИКОН".

• Ведение канальных журналов:

        - по всей сигнальной информации, передаваемой по D – каналу;
        - по всем соединениям с регистрацией номеров телефонов вызывающего и вызываемого абонентов, времени начала/окончания соединения, вида соединения (входящий/исходящий вызов), вида передаваемой информации (речь, модем, факс, тишина, DTMF), а также причины отказа в установлении соединения или его разрыве;
        - по звуковым записям контролируемых соединений;
        - по диагностике физических параметров межстанционных соединений (синхронизация, разрыв, ошибки передачи).

• Ведение системного журнала, в котором накапливается информация о действиях пользователей по входу в систему управления, попытках несанкционированного доступа, изменению настроек политик безопасности.
• Встроенный электронный автосекретарь с контролем прав доступа к внутренним и внешним номерам на основе установленных политик безопасности.
• Web – интерфейс администратора/офицера безопасности:

        - централизованное управление и мониторинг работоспособности сети изделий;
        - звуковое и визуальное оповещение о нарушении политик безопасности в реальном времени;
        - доступ к журнальным файлам и файлам конфигурации политик безопасности.

• Разграничение прав и полномочий пользователей.
• Двухфакторная аутентификация:

        - аппаратно-программный модуль доверенной загрузки М-526А ("КРИПТОН-ЗАМОК");
        - WEB-интерфейс.

Технические характеристики

• Количество линейных интерфейсов E1 G.703 МККТТ – 2.
• Количество контролируемых трактов E1 G.703 МККТТ – 1.
• Протокол сигнализации - Е-DSS1 ETS 300.102.
• Включение «в разрыв» между ТфОП и защищаемыми ресурсами.
• Импеданс линии - 120 Ом (витая пара).
• Чувствительность приёмников E1 - от 0 до -12дБ.
• Подавление фазового дрожания - в приемном тракте, глубина 128 бит.
• Структура циклов и сверхциклов - в соответствии с G.704.
• Коррекция ухода частоты - управляемая вставка/удаление циклов.
• Обнаружение ошибок - нарушение кодирования, контрольная сумма CRC-CCITT.
• Электропитание - от сети переменного тока частотой 49-51 Гц и напряжением 187-242 В, потребляемая мощность - не более 500 ватт.