Защищенная система мониторинга
PDF Печать E-mail

Для повышения безопасности в банковской системе, инкассаторский транспорт оборудуют системами GPS мониторинга. Насколько безопасно использовать подобное оборудование? Какие требования к системе мониторинга надо предъявлять для безопасной эксплуатации? Системы GPS мониторинга, для передачи данных использует публичные каналы связи, в том числе и GSM. Эти данные мониторинга свободно могут перехватить злоумышленники. А главная опасность – это возможность не только перехватить, а исказить или подменить данные.

Как производится перехват трафика в сетях GSM, достаточно много обсуждается в средствах массовой информации и в интернете. Наиболее полную информацию имеют те, кто делает защиту трафика GSM. Трафик это любые данные или голос передающиеся по цифровым каналам. Вот ссылка на большое количество информации по «Техническим и программным средствам перехвата и модификации GSM» http://www.cryptogsm.ru/gsm_interception

Выдержка: «Главная опасность - возможность не только прослушать телефонный разговор, но и исказить речь собеседников. Мы размещаем эти статьи, чтобы еще раз привлечь Ваше внимание к тому, что проблемы искажения голоса, данных и смысла речи при разговоре по телефону чрезвычайно актуальны и несут катастрофические последствия.».

 

Рассмотрим пути прохождения данных системы мониторинга и оценим опасность доступа к этим данным или модификации этих данных.

Структура систем GPS мониторинга мобильных объектов обычно строится линейно, от GPS терминала к серверу и далее к клиенту, проходя большое количество различных каналов и операторов связи.

Protect_systems_001.jpg

Рис 1. Структура потоков данных системы GPS мониторинга.

 

На Рисунке 1 можно увидеть структуру каналов обмена данными и предполагаемую защищенность данных от перехвата или искажения. Устанавливаемый на мобильное средство GPS терминал имеет модуль GSM, который по каналу связи GSM/GPRS обменивается данными. Этот канал декларируется как защищенный, и действительно он защищен от обычного пользователя. На момент разработки системы GSM, это был один из самых защищенных каналов связи, но на современном уровне развития компьютерной техники защищенность GSM канала связи стремиться к 0. Оборудование для перехвата GSM трафика производится практически в каждой стране. Только в Украине имеется несколько фирм производящих подобное оборудование.

Angry_004.jpg

 

 

Выдержка: «Сегодня в Украине только у ленивого нет системы прослушки мобильных разговоров http://www.cryptogsm.ru/gsm_interception/Ukraine/1430

Источник     Газета «Коммерсантъ» № 5 (4305) от 15.01.2010

 

 

 

Данные от GPS терминала, поступив на базовую станцию GSM, попадают на центр коммутации, где происходит их декодирование. Между центрами коммутации и внутри, обмен данными производится по незащищенным каналам связи. По этим каналам связи производится передача большинства телефонных переговоров и передач данных.

GSM_systems_001.jpg

Рис 2. Упрощенная структура сети GSM. http://www.3dnews.ru/guide/gsm_part2/

 

Далее данные отправляются в публичную сеть Интернет. Эти данные проходят множество серверов и операторов связи тоже по незащищенным линиям связи. Так что о встроенной защите данных, проходящих по этому пути, не может быть и речи. Пользователи должны самостоятельно беспокоиться о защищенности своего трафика и для этого надо предпринимать специальные меры, как на мобильном оборудовании GPS терминала, так и на сервере GPS мониторинга.

Для обеспечения надежной защиты данных, передаваемых между компонентами системы GPS-мониторинга по незащищенным каналам передачи данных, необходимо использовать средства криптографической защиты информации. Эти средства должны обеспечивать возможность:

- взаимную строгую аутентификацию компонентов системы (GPS-терминалов и сервера навигационной системы GPS) для защиты от несанкционированного подключения GPS-терминала к серверу GPS;

- контроля целостности передаваемых данных для защиты их от несанкционированного искажения или подмены;

- зашифрования/ расшифрования передаваемых данных для защиты их от несанкционированного перехвата;

- выработку и управление необходимыми ключевыми данными.

С учетом требований законодательства, средства криптографической защиты должны реализовывать алгоритмы, соответствующие действующим в стране стандартам.

 

В состав защищенной системы GPS-мониторинга входят:

- программные средства сервера GPS;

- программные средства прокси-сервера сервера GPS со встроенными средствами криптографической защиты информации;

- GPS-терминалы со встроенными средствами криптографической защиты информации;

- средства управления ключевыми данными.

 

В качестве средств криптографической защиты информации, встроенных в программные средства прокси-сервера навигационной системы, используется библиотека процедур криптографической защиты информации "Тайфун-PKI PKCS#11" ТУ У 72.2-21541987-001:2009, которая содержит процедуры, предназначенные для обеспечения защиты целостности и конфиденциальности информации, выполнения аутентификации отправителей сообщений (авторов документов) с использованием механизмов криптографической защиты (электронная цифровая подпись, шифрование, выработка имитовставок и хеш-функций) путем встраивания в конкретные прикладные системы.

Библиотека "Тайфун-PKI PKCS#11" реализована в виде динамической библиотеки в соответствии с требованиями стандарта PKCS#11 и поддерживает спецификации интерфейса прикладного программирования (API), установленные версией 2.20 указанного стандарта (RSA Laboratories. PKCS#11 v2.20: Cryptographic Token Interface Standard).

Согласно экспертному заключению № 5/1-2072 от 9.04.2009 г., выданному Государственной службой специальной связи и защиты информации Украины, библиотека процедур криптографической защиты информации "Тайфун-PKI PKCS#11" может использоваться для криптографической защиты открытой информации, конфиденциальной информации и конфиденциальной информации, являющейся собственностью государства.

Средства криптографической защиты информации, встроенных в программное обеспечение GPS-терминалов (Amur GPS терминала и ND GPS терминала), полностью функционально совместимы с библиотекой "Тайфун-PKI PKCS#11".

В качестве средств управления ключевыми данными используются:

- автоматизированное рабочее место центра сертификации ключей комплекса "Тайфун-PKI" ТУ У 72.2-21541987-002:2009;

- автоматизированное рабочее место центра регистрации комплекса "Тайфун-PKI" ТУ У 72.2-21541987-002:2009;

- программные средства загрузки ключевых данных в GPS-терминал, обе.

Комплекс "Тайфун-PKI" предназначен для обеспечения защиты информации, обрабатываемой в системах обмена сообщениями (системах электронной почты, электронного документооборота, автоматизированных банковских системах и т.п.), от угроз нарушения ее целостности и конфиденциальности, обеспечения аутентификации отправителей сообщений (авторов документов) путем использования механизмов криптографической защиты информации (электронная цифровая подпись, шифрование, аутентификация), а также реализации необходимых для этого функций генерации ключей, выработки и управления сертификатами открытых ключей.

Согласно экспертному заключению № 5/1-4854 от 31.07.2009 г., выданному Государственной службой специальной связи и защиты информации Украины, компоненты комплекса "Тайфун-PKI" могут использоваться при построении центров сертификации ключей, аккредитованных или зарегистрированных согласно требованиям законодательства.

Программные средства загрузки ключевых данных в GPS-терминал обеспечивают запись ключевых данных, выработанных средствами комплекса "Тайфун-PKI", на соответствующие носители GPS-терминалов.

Архитектура защищенной системы GPS-мониторинга приведена на Рисунке 2.

Protect_systems_002.jpg

Общая структурная схема навигационной системы показывает взаимодействие элементов системы при обеспечении передачи навигационных данных от GPS терминала к серверу и передачи команд управления от сервера к GPS терминалу по шифрованному каналу. Защищенный обмен данными обеспечивают средства криптозащиты, реализованные в виде криптобиблиотек и встроенные в базовое программное обеспечение GPS терминала и в программное обеспечение навигационного сервера. В процессе эксплуатации периодически производится генерация ключевой информации при помощи станции генерации ключей. Ключевая информация сохраняется на навигационном сервере и используется для обеспечения шифрованной связи. Для генерации личных и открытых ключей используется ПО АРМ центра регистрации, для выработки сертификатов открытых ключей – ПО АРМ центра сертификации. Выработанный личный ключ GPS терминала, а также сертификаты открытого ключа навигационного сервера и открытого ключа GPS терминала записываются SD Flash. Все сертификаты открытых ключей также сохраняются в базе АРМ центра регистрации, которую использует навигационные сервер с шифрованным каналом связи. Система использует доверительный канал пешей связи, который позволяет перенести ключевую информацию, находящуюся на SD Flash, из защищенного места, где находится навигационный сервер, на GPS терминал, установленный на автотранспорте. Встроенные в базовое ПО GPS терминала средства криптозащиты с использованием полученных ключевых данных обеспечивает защищенный обмен данными с шифрованием всей передаваемой и принимаемой информации. Организационно, должен быть минимум один человек, обеспечивающий регулярную процедуру переноса ключевых данных.

Таким образом обеспечивается полная защита навигационных данных проходящих по публичным сетям.
 
Rambler's Top100 INTEREXPO: легковые автомобили продажа Navitron–международная система GPS мониторинга транспортных средств нового поколения
@freeboard.com.ua Classifields.ru - твоя доска объявлений!, - кран балки, www.Navitron.mobi –международная система GPS мониторинга транспортных средств нового поколения
Доски объявлений. 1000000 объявлений - найди нужное!