Написан план перехода 5G на российскую криптографию с отечественными «железом» и

48 0 0 0

Защиту информации в российских сетях 5G предлагается обеспечить с помощью отечественных криптоалгоритмов. В том числе речь идет о стандартизации российских технологий на международном уровне, разработке российских средств виртуализации и переводу сетевых функций 5G на отечественные сервера с доверенной ЭКБ.

Модель нарушителя для сетей 5G

В распоряжении CNews оказался проект Концепции строительства в России сетей пятого поколения сотовой связи (5G), подготовленный госпредприятием «Научно-исследовательский институт радио» (НИИР) по заказу Минкомсвязи. После уточнений со стороны заказчика в документ была добавлена глава об обеспечении защиты информации в будущих сетях 5G.

Сети 5G будут состоять из трех компонентов: абонентское оборудование с USIM-карты; сети радиодоступа (RAN), включая сеть backhaul (распределительная сеть, связывающая базовые станции с функциональными элементами опорной сети) и fronthaul (объединяющая пулы радоимодулей gNB-RU и распределенные модули gNB-DU); ядро сети (5GC).

Для сетей 5G уже составлена модель нарушителя, включающая в себя перечень основных угроз информационной безопасности и основные аппаратно-программные объекты защиты, влияющие на конфиденциальность, целостность и доступность информации, обрабатываемой в этих сетях. Речь идет об оборудовании центра изготовлении ключей, оборудовании изготовления и программирования USIM-карт, USIM-карт (eSIM), средств аутентификации абонентов, центрах обработки данных (ЦОД) различного уровня с серверным оборудованием и оркестраторами, SDN-контроллерах, коммутаторах, базовых станциях с модулями (CU, DU, RU) и абонентских устройства (UE).

Принципы защиты информации в сетях 5G

Обеспечение информационной безопасности в сетях 5G основано на следующих принципах: применение протоколов аутентификации и согласования ключей для взаимной аутентификации абонентского оборудования с сетью 5G (протоколы 5G-AKA и EAP-AKA); обеспечение абонентским устройством (UE) и базовой станцией (gNB) обязательной поддержки шифрования и контроля целостности абонентского и сигнального RRC трафика от UE до gNB и обязательной поддержки шифрования и контроля целостности сигнального NAS-трафика от UE до функции управления доступом и мобильностью (AMF); шифрование и контроль целостности осуществляется применением базовых алгоритмов SNOW 3G, AES, ZUC; использование крытого идентификатора абонента SUCI и глобального временного уникального идентификатора абонента 5G-GUTI для обеспечения конфиденциальности личности абонента; применение защиты интерфейсов базовых станций и формирование сетевого домена безопасности.

Также должны учитываться следующие принципы: реализация обеспечения информационной безопасности в общей архитектуре сети, на основе криптографических механизмов, заложенных в сетевых функциях AUSF, SEAF, ARPF, SCMF, SPCE, SIDF; применение архитектуры «Network slicing», обеспечивающей изоляцию различных слоев сети с определением для каждого из них собственного уровня безопасности; обеспечение возможности реализации криптографической защиты конечными сервисами (V2X, IoT, IMS и др), функционирующими поверх сетей 5G; поддержке протокола TLS для взаимного защищенного обмена информацией между функциями ядра сети 5G; применение защиты сигнального и пользовательского трафика между базовой станцией eNb сети 4G-LTE и базовой станцией gNB сети 5G.

Планомерное увеличение доли доверенного ПО и ЭКБ в сетях 5G

Как считают в НИИР, механизмы обеспечения информационной безопасности в сетях 5G должны работать на отечественных криптографических алгоритмах, также должно гарантироваться применением доверенного программного обеспечения (ПО) и доверенной электронной компонентной базы (ЭКБ). С учетом сложности внедрения российских криптоалгоритмов в спецификации международных стандартов, на ранних этапах развития сети 5G в России авторам отчета видится необходимым применение отечественных криптографических решений в ключевых элементах сети: SIM-картах, оборудовании изготовления ключей и оборудовании аутентификации абонентов.

Дальнейшее повышение уровня информационной безопасности должно вестись путем планомерной работы по увеличению доли доверенного ПО и ЭКБ, а также внедрения российских криптоалгоритмов в спецификации международных стандартов, говорится в документе.

Для обеспечения безопасности в сетях 5G также должны быть реализованы: защита от несанкционированного доступа к ключевой и критически важной инфраструктуре; обеспечение устойчивости функционирования, включая противодействие недокументированной функциональности в ПО, недекларированным возможностям ЭКБ, использование доверенного времени и т.д.; разграничение сегментов сети с применением межсетевых экранов; защита от компьютерных атак, в том числе DDoS-атак, с применением средств обнаружения и предупреждения компьютерных атак; защита от проникновения вредоносного ПО, включая средства антивирусной защиты; обеспечение технической готовности к защищенному обмену с субъектами ГосСОПКА (система защита от кибератак от ФСБ); средства отладки и разработки программно-технических комплексов, обеспечивающие безопасность информации при использовании информационной инфраструктуры 5G; выполнение требований ГОСТ 56939-2016 «Защита информации. Разработка безопасного ПО. Общие требования»; обеспечение целостности ПО, настроек и конфигураций; обеспечение защиты каналов управления.

Для обеспечения защиты информации в сетях 5G потребуется еще и корректировка нормативной базы, отмечают в НИИР. В частности, нужно будет разработать следующие документы: типовой комплекс организационных мер защиты сетей связи; политика обеспечения безопасности сетей связи; методика проведения аудита информационной безопасности; методика обработки и анализа инцидентов; рекомендации по обеспечению управления персоналом; рекомендации по обеспечению безопасной эксплуатации; требования по обеспечению непрерывности функционирования сетей связи; типовые требования по обеспечению физической безопасности; типовые политики конфиденциальности и типового порядка архивного хранения документированной информации.

Классы защиты для СКЗИ в сетях 5G

Другое направление работы – создание в сетях 5G линейки средств криптографической защиты информации (СКЗИ) и межсетевых экранов (МЭ) соответствующих классов защиты. В НИИР считают, что отечественные USIM-карты, средство защиты для базовых станций, средство защиты для транзитного оборудования и абонентские устройства должны относиться к классу КСЗ.

К другому классу защиты – КА – должны относиться: оборудование центра изготовления ключей, оборудование для изготовления отечественных USIM-карт, оборудование для программирования и ввода ключевой информации в отечественные USIM-карты и их персонализации, средство криптографической защиты аутентификации абонента, средство защиты центра коммутации, средство защиты шлюзового оборудования.

Речь идет о классах защиты, разработанных в Федеральной службе безопасности (ФСБ) для СКЗИ. Всего существует шесть классов защиты. КС3 - третий по сложности классы защиты, КА – самый сложный класс защиты. Классы защиты отличаются друг от друга степенью опасности атак, которые они могут отражать.

При атаках, которые должен отражать КС3, злоумышленник имеет доступ к средствам вычислительной техники, на которых реализованы СКЗИ и среда функционирования. То есть речь идет о внутренних нарушителях, которые являются пользователи СКЗИ. Атаки, от которых защищает КА1, злоумышленник имеет возможность располагать всеми аппаратными компонентам СКЗИ и среды функционирования. Такими атакующими могут быть государственные спецслужбы.

Стандартизация отечественных криптоалгоритмов на международном уровне

Внедрение отечественной криптографии в сетях 5G в НИИР разделили на несколько этапов. На первом этапе произойдет разработка и внедрение отечественных криптоалгоритмов в алгоритмы выработка ключевой информации и протоколы аутентификации.

Также будет осуществлена разработка и внедрение центра изготовления ключей, доверенной USIM карты и SIM-чипа, оборудования для их изготовления, персонализации и преперсонализации, а также средств аутентификации абонента в сети. Кроме того, запланировано создание доверенного ПО сетевых функций обработки и хранения аутентификационных данных абонентов (UDM, ARPF, AUSF, SDIF, UDR).

На втором этапе будет осуществлена стандартизация отечественных криптоалгоритмов в функциях шифрования и контроля целостности абонентских данных и сигнальных сообщений в документах международных организаций и партнерств (IETF- 3GPP). Это обеспечит возможность их взаимоувязанной реализации всеми производителями сетевых узлов и абонентских устройств. «Успешное массовое внедрение поддержки новых криптографических алгоритмов в наиболее актуальных сегментах сети 5G невозможно без включения таких алгоритмов в профильные спецификации ассоциации 3GPP», - подчеркивают в НИИР.

Отечественные средства виртуализации и сервера на доверенном ЭКБ

На третьем этапе будут созданы: доверенное ПО сетевой функции передачи данных пользователя (UD); доверенное ПО сетевых функций блоков обработки сигнальных сообщений (AMF, SEAF, SMF, PCF, SEPP и другие); доверенное ПО сетевых функций в части мониторинга и управления (функции MMS, NRF, NSSF, NWDAF и другие); отечественное ПО всех основных сетевых функций ядра сети с целью снижения рисков реализации недекларированных возможностей ПО.

И на втором, и на третьем этапах должны быть проведена разработка отечественных программных и программно-аппаратных решений. Их внедрение позволит по мере доступности отечественной ЭКБ реализовать критически важные функции обеспечения безопасности компонентов аутентификации и данных пользователя, считают в НИИР.

На пятом этапе будет проведено создание отечественных реализаций платформ виртуализации и управления инфраструктурой сети (функции блоков MANO и SDN). «Наличие отечественной платформы виртуализации и управления инфраструктурой позволит гарантировать отсутствие недекларированных возможностей, как на программном, так и на аппаратном уровне», - говорится в отчете.

На этом этапе будут разработаны доверенные абонентские устройства и создано доверенное ПО центрального модуля базовой станции (gNB-CU). Будет проведена миграция компонент сети 5G с импортных серверов общего пользования на сервера общего пользования российской разработки на базе доверенной ЭКБ.


  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход