Разделы

Безопасность Госрегулирование Стратегия безопасности Телеком Инфраструктура Мобильная связь Маркет

Написан план перехода 5G на российскую криптографию с отечественными «железом» и алгоритмами

Защиту информации в российских сетях 5G предлагается обеспечить с помощью отечественных криптоалгоритмов. В том числе речь идет о стандартизации российских технологий на международном уровне, разработке российских средств виртуализации и переводу сетевых функций 5G на отечественные сервера с доверенной ЭКБ.

Модель нарушителя для сетей 5G

В распоряжении CNews оказался проект Концепции строительства в России сетей пятого поколения сотовой связи (5G), подготовленный госпредприятием «Научно-исследовательский институт радио» (НИИР) по заказу Минкомсвязи. После уточнений со стороны заказчика в документ была добавлена глава об обеспечении защиты информации в будущих сетях 5G.

Сети 5G будут состоять из трех компонентов: абонентское оборудование с USIM-карты; сети радиодоступа (RAN), включая сеть backhaul (распределительная сеть, связывающая базовые станции с функциональными элементами опорной сети) и fronthaul (объединяющая пулы радоимодулей gNB-RU и распределенные модули gNB-DU); ядро сети (5GC).

Для сетей 5G уже составлена модель нарушителя, включающая в себя перечень основных угроз информационной безопасности и основные аппаратно-программные объекты защиты, влияющие на конфиденциальность, целостность и доступность информации, обрабатываемой в этих сетях. Речь идет об оборудовании центра изготовлении ключей, оборудовании изготовления и программирования USIM-карт, USIM-карт (eSIM), средств аутентификации абонентов, центрах обработки данных (ЦОД) различного уровня с серверным оборудованием и оркестраторами, SDN-контроллерах, коммутаторах, базовых станциях с модулями (CU, DU, RU) и абонентских устройства (UE).

Принципы защиты информации в сетях 5G

Обеспечение информационной безопасности в сетях 5G основано на следующих принципах: применение протоколов аутентификации и согласования ключей для взаимной аутентификации абонентского оборудования с сетью 5G (протоколы 5G-AKA и EAP-AKA); обеспечение абонентским устройством (UE) и базовой станцией (gNB) обязательной поддержки шифрования и контроля целостности абонентского и сигнального RRC трафика от UE до gNB и обязательной поддержки шифрования и контроля целостности сигнального NAS-трафика от UE до функции управления доступом и мобильностью (AMF); шифрование и контроль целостности осуществляется применением базовых алгоритмов SNOW 3G, AES, ZUC; использование крытого идентификатора абонента SUCI и глобального временного уникального идентификатора абонента 5G-GUTI для обеспечения конфиденциальности личности абонента; применение защиты интерфейсов базовых станций и формирование сетевого домена безопасности.

crypto1600.jpg
Защита информации в российских сетях 5G будет обеспечиваться с помощью отечественных криптоалгоритмов

Также должны учитываться следующие принципы: реализация обеспечения информационной безопасности в общей архитектуре сети, на основе криптографических механизмов, заложенных в сетевых функциях AUSF, SEAF, ARPF, SCMF, SPCE, SIDF; применение архитектуры «Network slicing», обеспечивающей изоляцию различных слоев сети с определением для каждого из них собственного уровня безопасности; обеспечение возможности реализации криптографической защиты конечными сервисами (V2X, IoT, IMS и др), функционирующими поверх сетей 5G; поддержке протокола TLS для взаимного защищенного обмена информацией между функциями ядра сети 5G; применение защиты сигнального и пользовательского трафика между базовой станцией eNb сети 4G-LTE и базовой станцией gNB сети 5G.

Планомерное увеличение доли доверенного ПО и ЭКБ в сетях 5G

Как считают в НИИР, механизмы обеспечения информационной безопасности в сетях 5G должны работать на отечественных криптографических алгоритмах, также должно гарантироваться применением доверенного программного обеспечения (ПО) и доверенной электронной компонентной базы (ЭКБ). С учетом сложности внедрения российских криптоалгоритмов в спецификации международных стандартов, на ранних этапах развития сети 5G в России авторам отчета видится необходимым применение отечественных криптографических решений в ключевых элементах сети: SIM-картах, оборудовании изготовления ключей и оборудовании аутентификации абонентов.

Дальнейшее повышение уровня информационной безопасности должно вестись путем планомерной работы по увеличению доли доверенного ПО и ЭКБ, а также внедрения российских криптоалгоритмов в спецификации международных стандартов, говорится в документе.

Для обеспечения безопасности в сетях 5G также должны быть реализованы: защита от несанкционированного доступа к ключевой и критически важной инфраструктуре; обеспечение устойчивости функционирования, включая противодействие недокументированной функциональности в ПО, недекларированным возможностям ЭКБ, использование доверенного времени и т.д.; разграничение сегментов сети с применением межсетевых экранов; защита от компьютерных атак, в том числе DDoS-атак, с применением средств обнаружения и предупреждения компьютерных атак; защита от проникновения вредоносного ПО, включая средства антивирусной защиты; обеспечение технической готовности к защищенному обмену с субъектами ГосСОПКА (система защита от кибератак от ФСБ); средства отладки и разработки программно-технических комплексов, обеспечивающие безопасность информации при использовании информационной инфраструктуры 5G; выполнение требований ГОСТ 56939-2016 «Защита информации. Разработка безопасного ПО. Общие требования»; обеспечение целостности ПО, настроек и конфигураций; обеспечение защиты каналов управления.

Для обеспечения защиты информации в сетях 5G потребуется еще и корректировка нормативной базы, отмечают в НИИР. В частности, нужно будет разработать следующие документы: типовой комплекс организационных мер защиты сетей связи; политика обеспечения безопасности сетей связи; методика проведения аудита информационной безопасности; методика обработки и анализа инцидентов; рекомендации по обеспечению управления персоналом; рекомендации по обеспечению безопасной эксплуатации; требования по обеспечению непрерывности функционирования сетей связи; типовые требования по обеспечению физической безопасности; типовые политики конфиденциальности и типового порядка архивного хранения документированной информации.

Классы защиты для СКЗИ в сетях 5G

Другое направление работы – создание в сетях 5G линейки средств криптографической защиты информации (СКЗИ) и межсетевых экранов (МЭ) соответствующих классов защиты. В НИИР считают, что отечественные USIM-карты, средство защиты для базовых станций, средство защиты для транзитного оборудования и абонентские устройства должны относиться к классу КСЗ.

К другому классу защиты – КА – должны относиться: оборудование центра изготовления ключей, оборудование для изготовления отечественных USIM-карт, оборудование для программирования и ввода ключевой информации в отечественные USIM-карты и их персонализации, средство криптографической защиты аутентификации абонента, средство защиты центра коммутации, средство защиты шлюзового оборудования.

Речь идет о классах защиты, разработанных в Федеральной службе безопасности (ФСБ) для СКЗИ. Всего существует шесть классов защиты. КС3 - третий по сложности классы защиты, КА – самый сложный класс защиты. Классы защиты отличаются друг от друга степенью опасности атак, которые они могут отражать.

При атаках, которые должен отражать КС3, злоумышленник имеет доступ к средствам вычислительной техники, на которых реализованы СКЗИ и среда функционирования. То есть речь идет о внутренних нарушителях, которые являются пользователи СКЗИ. Атаки, от которых защищает КА1, злоумышленник имеет возможность располагать всеми аппаратными компонентам СКЗИ и среды функционирования. Такими атакующими могут быть государственные спецслужбы.

Стандартизация отечественных криптоалгоритмов на международном уровне

Внедрение отечественной криптографии в сетях 5G в НИИР разделили на несколько этапов. На первом этапе произойдет разработка и внедрение отечественных криптоалгоритмов в алгоритмы выработка ключевой информации и протоколы аутентификации.

Также будет осуществлена разработка и внедрение центра изготовления ключей, доверенной USIM карты и SIM-чипа, оборудования для их изготовления, персонализации и преперсонализации, а также средств аутентификации абонента в сети. Кроме того, запланировано создание доверенного ПО сетевых функций обработки и хранения аутентификационных данных абонентов (UDM, ARPF, AUSF, SDIF, UDR).

На втором этапе будет осуществлена стандартизация отечественных криптоалгоритмов в функциях шифрования и контроля целостности абонентских данных и сигнальных сообщений в документах международных организаций и партнерств (IETF- 3GPP). Это обеспечит возможность их взаимоувязанной реализации всеми производителями сетевых узлов и абонентских устройств. «Успешное массовое внедрение поддержки новых криптографических алгоритмов в наиболее актуальных сегментах сети 5G невозможно без включения таких алгоритмов в профильные спецификации ассоциации 3GPP», - подчеркивают в НИИР.

Отечественные средства виртуализации и сервера на доверенном ЭКБ

На третьем этапе будут созданы: доверенное ПО сетевой функции передачи данных пользователя (UD); доверенное ПО сетевых функций блоков обработки сигнальных сообщений (AMF, SEAF, SMF, PCF, SEPP и другие); доверенное ПО сетевых функций в части мониторинга и управления (функции MMS, NRF, NSSF, NWDAF и другие); отечественное ПО всех основных сетевых функций ядра сети с целью снижения рисков реализации недекларированных возможностей ПО.

И на втором, и на третьем этапах должны быть проведена разработка отечественных программных и программно-аппаратных решений. Их внедрение позволит по мере доступности отечественной ЭКБ реализовать критически важные функции обеспечения безопасности компонентов аутентификации и данных пользователя, считают в НИИР.

На пятом этапе будет проведено создание отечественных реализаций платформ виртуализации и управления инфраструктурой сети (функции блоков MANO и SDN). «Наличие отечественной платформы виртуализации и управления инфраструктурой позволит гарантировать отсутствие недекларированных возможностей, как на программном, так и на аппаратном уровне», - говорится в отчете.

На этом этапе будут разработаны доверенные абонентские устройства и создано доверенное ПО центрального модуля базовой станции (gNB-CU). Будет проведена миграция компонент сети 5G с импортных серверов общего пользования на сервера общего пользования российской разработки на базе доверенной ЭКБ.

Игорь Королев