Rambler's Top100
Статьи ИКС № 11 2007
Константин НИКАШОВ   10 декабря 2007

СОРМ для IP-коммуникаций: требуется новая концепция

Переход от сетей с коммутацией каналов к пакетным сетям привел к принципиальному изменению условий, в которых осуществляются мероприятия СОРМ.

Традиционный подход

Особенность СОРМ, которые применялись (и еще применяются) в традиционной телефонии, построенной на коммутации каналов, заключается в том, что наблюдаемый объект фиксирован в нескольких смыслах. Во-первых, фактически имеется единственный вид коммуникации - телефонная связь. Во-вторых, объект идентифицируется абонентским окончанием. Наконец, технологически возможна лишь одна траектория коммуникации (скоммутированное соединение), определяемая топологией сети. При этом сеть с коммутацией каналов обеспечивает «естественный» способ организации СОРМ: съемники подключаются к телефонным коммутаторам.

Для осуществления СОРМ на сетях передачи данных в настоящее время используются технические средства, которые концептуально повторяют СОРМ для традиционной телефонии. Сегодняшние решения СОРМ для сетей передачи данных понимают ограниченный набор популярных коммуникационных протоколов (ftp, http, SMTP, некоторые IM-протоколы), а также обладают способностью собирать «сырые» данные (raw data) тех коммуникационных сессий, протоколы которых им неизвестны, на основании IP-адресов и номеров TCP- и UDP-портов. Важно, что СОРМ для телефонии и СОРМ для сетей передачи данных между собой никак не связаны и не имеют интерфейса для взаимодействия.

Особенности IP-среды...

С практически повсеместным переходом к пакетным сетям условия осуществления СОРМ кардинально изменились. Прежде всего в результате появления Интернета возникла всемирная IP-связанность объектов. Во-вторых, резко выросло количество видов персональных IPкоммуникаций - телефонная связь (фиксированная или мобильная, глобальная смесь TDM и VoIP), SMS, MMS, e-mail, ICQ, MSN и другие интернет-пейджеры, чаты, блоги, веб-форумы, Skype и т.д. В-третьих, в одноранговых IP-сетях, в отличие от традиционных телефонных сетей, нет жесткой топологической иерархии, поэтому «траектория» обмена IP-пакетами не фиксирована и может меняться динамически прямо во время коммуникации. В связи с этим отсутствуют очевидные точки подключения съемников. Кроме того, объект наблюдения больше не привязан к абонентскому окончанию: один и тот же персонаж может подключаться к IP-сети из самых разных мест и любыми способами.

...и порождаемые ими проблемы

Реализация СОРМ для сетей IP-телефонии сильно затруднена из-за независимости потоков сигнализации и пользовательского трафика в таких сетях. Операторам требуется внедрять пограничные контроллеры сессий (SBC) и принудительно проксировать на них весь голосовой трафик. Для закрытых сетей (Skype) и интернетслужб такой подход вообще не может быть реализован.

Еще одна проблема - рост количества съемников, в которых концентрируется трафик объекта наблюдения (если точка съема трафика данного объекта одна). При наблюдении с разных съемников возникает вопрос «собирания» трафика интересующего объекта. Также приходится решать проблему «собирания» единой коммуникации, состоящей из цепочек разных видов коммуникаций (телефонный разговор - электронная почта - SMS - разговор через Skype и т.д.).

Требуется разработать и новые методы идентификации объекта наблюдения, поскольку способов и точек подключения к сети много.

Ситуация осложняется тем, что объем данных коммуникационного обмена растет и их хранение в полном объеме (даже кратковременное для последующего анализа) уже сегодня крайне затруднительно.

Сама IP-сеть постоянно развивается и усложняется, появляются новые сервисы. Вместе с этим возрастает и системная сложность СОРМ, что приводит к удорожанию системы. Обостряется вопрос финансирования создания решений СОРМ.

Наконец, нельзя забывать, что СОРМ выполняет государственные задачи, поэтому разработчикам системы предстоит решать вопросы организации работы СОРМ в глобальной сети, такие как взаимодействие с аналогичными службами других стран, с зарубежными провайдерами услуг и решений.

Таким образом, одно из главных направлений изменения концепции СОРМ заключается в ее существенном расширении: от объекта наблюдения - к наблюдению за сетевой активностью, ее анализу и предотвращению проблем. Очевидно, что СОРМ сегодня становится частью комплекса вопросов сетевой безопасности и информационной защиты и поэтому начинает представлять интерес для операторов связи, которые до сих пор схожие проблемы решали самостоятельно. В будущем СОРМ должна стать частью систем OSS/BSS, единообразно решая задачи и самого оператора, и государственной безопасности.



Система технических средств по обеспечению содействия оперативно-розыскным мероприятиям (СОРМ) предназначена для ведения выборочного скрытого наблюдения в ТфОП за персональными коммуникациями объектов путем подключения к узлам коммутации специальных устройств (съемников). Решения СОРМ используются в целях обеспечения государственной безопасности и противодействия внешним угрозам в области защиты информации.

В IP-сетях «траектория» обмена IP-пакетами может меняться динамически, а объект наблюдения не привязан к абонентскому окончанию

Принципы решения проблем СОРМ в IP-среде

  • Изменение типа угроз в современном мире должно повлечь за собой изменение методов их обнаружения - не от объекта наблюдения, а от выявления некоторой сетевой активности, ее анализа и выхода на объект наблюдения.
  • Организация сети (наложенной или выделенной), контроля за сетевой активностью, максимально полное накопление данных и их (временное, выборочное) хранение должны осуществляться с целью реконструкции некоторой цепочки событий, поиска их причин и участников.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: