Пример использования криптографического метода защиты
Для криптографической защиты следует выбрать средства, которые не вносят существенных временных задержек при криптографическом преобразовании передаваемой/принимаемой информации и обеспечивают шифрование/расшифровку для всего диапазона скоростей передачи данных, характерного для каналов SONET/SDH [2].
В качестве таких средств были выбраны устройства SafeEnterprise SONET Encryptor компании SafeNet. Они осуществляют шифрование всего трафика SDH на канальном уровне на скорости от ОС-3 (155,5 Мбит/с) до ОС-48 (2,4 Гбит/с). Их применение прозрачно для протоколов вышележащих уровней и, следовательно, не должно вносить существенной задержки в сигнал. Это предположение было решено проверить серией тестов.
Для проведения новой серии испытаний был собран стенд, имитирующий нагрузку на магистраль передачи данных между основным ЦОД и резервным. Оборудование шифрования трафика SafeEnterprise SONET Encryptor OC3/OC12 подключалось к магистрали SDH и обеспечивало прозрачное для конечных устройств шифрование трафика. Для тестирования использовались встроенные средства OS Sun Solaris, которые создавали нагрузку на дисковую подсистему и измеряли ее параметры. Параметры нагрузки варьировались как по видам нагрузки, так и размерам блока передаваемых данных (8 Kбайт и 1 Mбайт). Измерения последовательно проводились для двух конфигураций испытательного стенда: канал 100 Мбит/c с шифрованием и канал с той же пропускной способностью без шифрования.
Сравнение результатов тестов позволило сделать такой вывод: использование аппаратуры шифрования уменьшает пропускную способность канала на 2,46–4,32% при операциях чтения данных с диска и не более чем на 6,15% при операциях записи данных на диск. Таким образом, применение устройств канального шифрования SafeEnterprise SONET Encryptor OC3/OC12 незначительно уменьшает пропускную способность канала SDH (снижение производительности при шифровании по протоколу IPSec составляет, по разным оценкам, от 7 до 30%). Устройства шифрования компании SafeNet позволяют осуществлять криптографическую защиту передаваемых данных без изменения схемы IP-адресации и маршрутизации.
Все перечисленные выше методы защиты и их комбинации могут обеспечивать безопасность информации лишь в рамках известных моделей НД.
При этом эффективность систем защиты определяется как открытием новых, так и совершенствованием технологий НСИ, использующих уже известные физические явления.
С течением времени противник может освоить новые методы перехвата, потребуется дополнять защиту, что не свойственно криптографическим методам защиты, которые рассчитываются на достаточно длительный срок.
В заключение следует отметить, что необходимость практического внедрения и эффективного использования защищенных ВОЛС в сетях связи является задачей сегодняшнего дня.
3. Манько А., Каток В., Задорожний М.. Защита информации на волоконно-оптических линиях связи от несанкционированного доступа.
http://bezpeka.com/files/lib_ru/217_zaschinfvolopt.zip