Обратная ситуация, когда к средствам информационной безопасности применяют меры физической защиты, является вполне типичной – например, технические устройства (СКУД, сигнализация, решетки на окна) контролируемой зоны, в которой размещаются средства криптографической защиты информации (СКЗИ). Другой пример – это датчик физического вскрытия в программно-аппаратном СКЗИ, при срабатывании которого устройство удаляет (блокирует) криптографически опасную информацию, имеющуюся "на борту". То есть системы физической защиты позволяют обеспечить качественное функционирование средств защиты информации. По этой же логике целесообразно повысить общий уровень защищенности путем обеспечения информационной безопасности системы видеонаблюдения. Такой подход, нацеленный на максимальную комплексную защиту, может быть востребован, например, на критически важных объектах.
Стоит также учитывать геополитическую ситуацию, а именно курс на импортозамещение. Видеокамер реально российского производства пока на рынке практически нет. Большинство "российских" изделий создаются полностью на иностранной элементной базе. В текущих реалиях мы еще долго будем вынуждены использовать иностранные камеры за неимением российских аналогов, но при этом необходимо как минимум обезопасить передаваемые данные отечественными средствами защиты, которые на российском рынке как раз присутствуют, и в достаточном количестве. Абстрагируясь от страны производства IP-камер, в любом случае следует использовать средства защиты информации, соответствующие требованиям российского законодательства и национальным стандартам в области ИБ.
Какие угрозы? Как бороться?
IP-видеонаблюдение победило аналоговое. Кратко перечислим основные угрозы информационной безопасности, методы защиты, а также востребованную функциональность решений по защите информации систем IP-видеонаблюдения.
Угрозы
Методы защиты
Функциональность решений
Что предлагают поставщики VPN-решений?
Остановимся немного подробнее именно на криптографической защите IP-трафика как единственной технологии, гарантирующей определенный уровень безопасности. Хорошая новость состоит в том, что эта технология не новая, давно изученная и широко распространенная. Речь идет о VPN (Virtual Private Network) – построении защищенной, с использованием криптографических механизмов логической сети поверх открытой недоверенной физической. При этом криптографические функции шифрования, имитозащиты и аутентификации обеспечивают конфиденциальность, целостность и подлинность информации соответственно.
На текущий момент в мире насчитывается более 30 производителей VPN-решений корпоративного класса. Самые заметные из них на российском рынке – это Cisco, Check Point, Juniper Networks, WatchGuard. Отечественных производителей несколько меньше, а именно около 10. Наиболее крупные игроки – это "С-Терра СиЭсПи", "Код Безопасности", "ФАКТОР-ТС", "ИнфоТеКС" и др.
Однако есть и плохая новость. Несмотря на обилие производителей, готовых комплексных решений по защите трафика IP-видеонаблюдения на российском рынке практически нет.
В чем недостатки?
Предлагаемые западные системы имеют существенные недостатки.
1. Использование в протоколах "слабой" криптографии (например, иностранных криптоалгоритмов с уменьшенным в соответствии с экспортными ограничениями размером ключа и, следовательно, уменьшенной стойкостью).
2. Отсутствие сертификатов российских регуляторов.
3. Применение протокола IPSec и отсюда – риски блокировки пакетов провайдерами, отсутствие возможности установить защищенное соединение Peer-to-Peer, сложности в работе за NAT-устройствами, несовместимость реализаций протокола у разных производителей. Решения российских компаний лишены первых двух, однако в основном также базируются на протоколе IPSec со всеми его минусами.
Где выход?
Выходом может стать переход на перспективный российский протокол IPlir, обеспечивающий защиту данных при их передаче в гетерогенной среде IPv4/IPv6 и имеющий ряд преимуществ перед IPSec, а именно:
Работа по стандартизации протокола IPlir активно ведется в профильном Техническом комитете "Криптографическая защита информации" (TK 26), однако прогнозы по срокам выхода соответствующих нормативных документов пока делать рано.
Чего хотят клиенты? Какова реальность?
Кроме описанных выше проблем и сложностей, есть определенное расхождение в ожиданиях потребителей и текущих решениях, предлагаемых производителями. Зачастую клиенты хотят получить криптографическую защиту трафика видеонаблюдения на уже существующей инфраструктуре, включая закупленные ранее IP-камеры. То есть они ожидают от поставщиков некий софт, который можно встроить в программно-аппаратную платформу камер и получить реализацию криптографических механизмов на имеющихся устройствах, к слову сказать, совершенно для этого не предназначенных. Реализация такого подхода крайне затруднительна, если не сказать – невозможна, как минимум по двум причинам.
1. Ограничения платформы
Несмотря на применение в современных IP-камерах все более высокопроизводительных процессоров и постоянное увеличение объема памяти, эти платформы все же не предназначены для решения побочных задач и не имеют ощутимого запаса производительности. Таким образом, реализация ресурсоемких криптографических преобразований "на борту" IP-камеры видится проблематичной.
2. Нормативные сложности
Потребители хотят получить программную организацию криптографической защиты на многочисленных платформах различных IP-камер, но, как правило, не представляют себе, что такое разработка и сертификация СКЗИ в российских реалиях и какие требования предъявляются регулятором к среде функционирования СКЗИ, механизмам очистки памяти и т.д. Со стороны производителей перспективы создания и особенно сертификации программных СКЗИ под обширный "зоопарк" IP-камер иностранного производства выглядят сомнительно.
Что рекомендуется делать?
Российские поставщики предлагают модульное и относительно универсальное решение, которое представляет собой последовательное соединение "стандартной" IP-камеры и программного СКЗИ на отдельном контроллере. Иногда такие интеграционные системы "переупаковывают" в новый корпус для создания видимости законченного единого устройства. Захваченное камерой изображение в обработанном и сжатом виде передается по шине Ethernet не сразу в канал связи, а на контроллер СКЗИ, где формируется VPN-тоннель до криптомаршрутизатора в центре управления. Криптомаршрутизатор расшифровывает трафик от всех подключенных камер и передает в исходном виде на видеосервер. Подобный подход вполне понятен, он имеет свои плюсы и минусы, но по факту пока такие решения не находят широкого применения в реальных проектах.
Есть и другие сложности при внедрении технологии шифрования трафика IP-видеонаблюдения. Например, это пропускная способность ЛВС. При шифровании нам не избежать так называемого Overhead, то есть добавления некой служебной информации "поверх" каждого защищаемого пакета полезных данных. Для уже упоминаемого выше протокола IPSec Overhead на каждый пакет может составлять от 50 до 100 байт. Таким образом, вполне вероятны ситуации, когда шифрование трафика может перегрузить существующую ЛВС, уже функционирующую на пределе своей пропускной способности. Решением является создание выделенной ЛВС исключительно под IP-видеонаблюдение или под всю систему физической безопасности, при проектировании которой можно заложить необходимую пропускную способность и подобрать подходящие средства межсетевого экранирования, обнаружения и предотвращения вторжений и т.д. Но эти вопросы уже за пределами темы данной статьи.
Мы рассмотрели только некоторые аспекты криптографической защиты информации при передаче от IP-камер к серверам, то есть In Motion. Отдельного освещения заслуживают вопросы защиты трафика видеонаблюдения при его обработке и хранении (In Use и At Rest).