В России появился военный интернет

20.10.16 11:02 | Goblin | 135 комментариев

Разное

С мест сообщают:
Вооруженные силы России завершили развертывание военного интернета — коммуникационной системы под официальным названием «Закрытый сегмент передачи данных» (ЗСПД). Военная сеть не соединена с глобальным интернетом, а все компьютеры, подключенные к ней, защищены от подключений несертифицированных флешек и внешних жестких дисков. Внутри сети военные развернули свой электронный почтовый сервис, по которому разрешена передача секретной информации, включая документы с грифом «Особой важности».

Как рассказал «Известиям» представитель российского военного ведомства, знакомый с ситуацией, частично инфраструктура военного интернета развернута на арендованной инфраструктуре «Ростелекома», а местами на собственной распределенной инфраструктуре Минобороны, которая не подключена к интернету. В каждой военной части стоят серверы, которые шифруют информацию, разбивают по нескольким пакетам и передают дальше. Доступ в серверные помещения строго ограничен.
В России появился военный интернет

Вконтакте
Одноклассники
Telegram

Вступай в нашу группу ВКонтакте

Комментарии
Goblin рекомендует заказать лендинг в megagroup.ru


cтраницы: 1 | 2 всего: 135

Бухтяр
отправлено 21.10.16 05:21 # 101


Кому: Kemb5440, #10

> Причём если речь идёт именно о МойОфис, то продукт действительно сплошь отечественный, без всяких там "опенсорсов" и "допилов бесплатных аналогов". Не безглючен пока, но достаточно серьезен.
>

Да ладно, "серьёзен", "давайте-сделаем-офис-как-у-мс-15-лет-назад" только ещё и кривой. С постоянной отмазкой "а людям больше и не надо".


Kavasan
отправлено 21.10.16 09:15 # 102


Ждем русскую операционку и офисные программы.


cppmm
отправлено 21.10.16 09:19 # 103


Кому: Kavasan, #102

У вояк вроде бы как используются МСВС(модифицированный RedHat Enterprise Linux 5) и Astra Linux.


cppmm
отправлено 21.10.16 09:34 # 104


Кому: Strycker, #96

Я бы не стал ссылаться на такую помойку, как хабр. Там очень мало специалистов и 99% статей - сферические эксперименты в вакууме. Может быть там какой-то ноутбук они и посмотрели, но то, что этот ноут не соответствует требованиям по разработке - не факт. Вполне возможно, что по ТЗ там и не надо было ничего менять, а может и вовсе это обычный коммерческий продукт.

У нас много где халтурят(как и везде - вспомните историю с процами для американской военщины, которые были массово закуплены в Китае и оказались с закладкой или про феерические ошибки в коде ssl, которым пользуется весь мир для шифрования трафика, и который оказался дырявым), но это не значит, что по умолчанию любая технология - отстой. Конкретно в данном случае главное - инфраструктура. Если действительно проложили/арендовали каналы, связали всё это в единую сеть, настроили маршрутизацию и прочее - это отлично. И я пока не вижу причин сомневаться в том, что этого не сделали.


One_man
отправлено 21.10.16 09:45 # 105


Кому: Strycker, #96

> Одна про промышленный ноутбук, в котором даже заставку в биосе поленились поменять, что уж говорить про обновления ПО. И на поверку оказалось, что ноутбук поставили в армию со всеми положенными дырками, которые перечисленны на сайте производителя и единственное, что его спасало так это то, что он используется исключительно в закрытом сегменте сети.

А вот тут надо драть закупщиков. Ибо таки да, у нас есть вполне адеватные (в плане защищенности и опций) производители (таки да, из импортных комплектующих) ноутбуков, которые аттестуются по любым требованиям.

Кому: cppmm, #103

> У вояк вроде бы как используются МСВС(модифицированный RedHat Enterprise Linux 5) и Astra Linux.

ROSA ещё. MСВС - да, RHEL, Astra - Debian, ROSA - Mandriva. Астру регулярно трогаю руками, но там где можно - предпочитаю Debian или CentOS. Уж больно Астра кастрированная в плане ПО.

А вообще в тему импортозамещения - http://www.rbc.ru/economics/21/10/2016/58097a549a79475d3f3bf6b9?from=main

Кто в курсе - тот поймет.


cppmm
отправлено 21.10.16 10:05 # 106


Кому: One_man, #105

Про Мандриву я забыл. Она же сейчас полностью наша вроде бы как. Но разве она по защищённости сертифицирована?


One_man
отправлено 21.10.16 11:09 # 107


Кому: cppmm, #106

> Про Мандриву я забыл.

Повторяю : не Мандрива. ROSA:

>ROSA Fresh - Операционная система для дома. ROSA Media Player, Steam, Skype и другие приложения. >Загрузите ее прямо сейчас бесплатно и без регистрации. [Поддерживается сообществом].

>POCA «Cobalt» Вам нужна [защита персональных данных или конфиденциальной информации]? Cистема РОСА >«Кобальт» для серверов и рабочих станций. [Наличие сертификата ФСТЭК].


>POCA «XPOM» Работаете [с государственной тайной]? Операционная система РОСА «ХРОМ». Редакция для >серверов и рабочих станций. [Наличие сертификата ФСТЭК].

https://www.rosalinux.ru/


Dimetryi
отправлено 21.10.16 14:56 # 108


Не думал, что такое возможно в такое время. Молодцы!


cppmm
отправлено 21.10.16 14:58 # 109


Кому: One_man, #107

Простите, синдром утёнка сработал. Изначально я вообще мандрейк написать хотел. :) Первый мой дистр на десктопе.

А про то, что есть сертификаты - не знал. Итого у нас получается три адаптированных под наши нужды ОС. Уже неплохо. А ещё вроде бы альт шевелится.


Kemb5440
отправлено 21.10.16 15:00 # 110


Кому: Mixazoid, #100

> На слуху из наших есть только Эльбрусы от МЦСТ, может и еще какие есть, кто подскажет?

Ну почитай про НИИ «Масштаб», у них вроде как есть "честный" отечественный маршрутизатор и "честная" отечественная IP-АТС

Ну или в целом поищи информацию по "Объединенной приборостроительной корпорации"


alibek
отправлено 21.10.16 15:01 # 111


Кому: vas0, #93

> аренда у рткома не означает аренду того же кабеля "по которому все гоняют данные". С весьма высокой вероятностью это физически отдельные линии

У меня мнение прямо противоположное.
Отдельные физические линии могут быть только если РТ их построит для заказчика.
И называть это тогда нужно не "аренда", а "подряд" с тех.обслуживанием.
У самого РТ нет ни одной причины, чтобы по своей инициативе для транспортных каналов строить отдельные физические линии, вместо того чтобы загнать их в свою мультисервисную сеть. Которая конечно резервируется, но не рассчитана на диверсии и военные действия.


One_man
отправлено 21.10.16 15:46 # 112


Кому: cppmm, #109

> Простите, синдром утёнка сработал. Изначально я вообще мандрейк написать хотел. :) Первый мой дистр на десктопе.

У меня первой была фряха.

> Итого у нас получается три адаптированных под наши нужды ОС. Уже неплохо.

Там с адаптацией всё, скажем так, свое[о]бразно. Местами до опупения. Не сказать, что все совсем ужасно, но людям переолзать на них бывает тяжко.

Кому: Kemb5440, #110

> у них вроде как есть "честный" отечественный маршрутизатор и "честная" отечественная IP-АТС

Да-да. Тот самый х86 сервер, собранный из понятно чего с линухом на борту. Или тот же самый х86 сервер с линухом на борту и "an open source framework for building communications applications turns an ordinary computer into a communications server"(с) (кто знает, тот поймет).


vas0
отправлено 21.10.16 17:12 # 113


Кому: alibek, #111

Ок. Обменялись мнениями. Предположения делать нет смысла, нужно знакомится с ведомственными приказами. Мой опыт показывает, что всё, что можно физически отделить от "гражданки" - отделяют. Там же даже в новости прямым текстом на это намек. Мол, слить что-то можно только через подключение внешних носителей. А насчет РТ - он у нас один из магистральных операторов связи. С самой крупной сетью. Большая часть акций принадлежит государству. Председатель совета директоров - Иванов (тот самый, с которым интервью недавно было). РТ - главный (если так можно выразиться) подрядчик государства на выполнение всякого разного (ГАС Выборы и пр.). Не допускаешь мысли, что такой гигант может и отдельные физические линии проложить (ВОЛС вон по центральному региону в каждый дом тащат). Если они уже не проложены заранее были.


Сапёр-старпёр
отправлено 21.10.16 17:12 # 114


Прямо уже вижу объявы на каком-нибудь Ебае или Амазоне типа: "Продам ключи и пароли к военному интернету, скину инвайт после оплаты на карту"...


sukhanoff77
отправлено 21.10.16 17:25 # 115


Кому: One_man, #112

> Там с адаптацией всё, скажем так, свое[о]бразно. Местами до опупения. Не сказать, что все совсем ужасно, но людям переолзать на них бывает тяжко.

Ну помниться в МСВС13 всё было, мягко говоря, не очень. Особенно с поддержкой железа.

> Да-да. Тот самый х86 сервер, собранный из понятно чего с линухом на борту. Или тот же самый х86 сервер с линухом на борту и "an open source framework for building communications applications turns an ordinary computer into a communications server"(с) (кто знает, тот поймет).

FreeSwitch или Астерикс?
Интересно уровни секретности и метки безопасности в ip пакетах они поддерживают.


sukhanoff77
отправлено 21.10.16 17:56 # 116


Кому: vas0, #93

> аренда у рткома не означает аренду того же кабеля "по которому все гоняют данные". С весьма высокой вероятностью это физически отдельные линии

нет нужды отдельно. В любом случае на концах стоят сплитовые крипто-маршрутизаторы. Одна часть работает с открытой сетью и каналами, вторая с закрытой. Между ними отдельный физический интерфейс, с закрытым протоколом. Даже если сломать открытую часть, в закрытую войти не получиться. Этого достаточно для физического разделения сетей. Лет 5 назад, такой занимал половину 19 дюймовой стойки. Держал 10Мбит канал. Гос. тайны тут нет если что :)


УниверСол
отправлено 21.10.16 18:04 # 117


Кому: One_man, #112

Камрад, а вот такой вопрос:

- именно TCP/IP?

И с козырей:

- именно OSI?

А то от этих хитрожопых русских не знаешь, чего и ждать!


One_man
отправлено 21.10.16 19:42 # 118


Кому: sukhanoff77, #115

> Ну помниться в МСВС13 всё было, мягко говоря, не очень. Особенно с поддержкой железа.

Ну как бы это попроще объяснить... Я, например, просто отказываюсь понимать логику некоторых решений. Типа, [ядро] линукс использовать можно, а вот GNOME или KDE - ни на полшишечки. Вместо них мы напишем свой уёбищный мега wm, издали смахивающий на интерфейс Win98 и скажем всем, что это очень круто. Или в Common Edition (предназначенном для [дома] и [офиса]) мы сделаем свой репозиторий пакетов, а количество их ограничим. И если тебе не дай ТНБ для чего-то потребуется какая-нить хитрая херня, тебе придется либо собирать её со всеми зависимостями из исходников, либо цеплять дебиановские репозитарии (такие пЭрсонажЫ тоже бывают, да), что в высшей мере не корректно, потому, что Астра, собственно Астрой быть перестаёт.

> FreeSwitch или Астерикс?

Второе. Только он Астери[СК].

>Интересно уровни секретности и метки безопасности в ip пакетах они поддерживают

Честно сказать, не в курсе, ибо пока миновала меня чаша сия [прыгает в окоп].

Кому: УниверСол, #117

> Камрад, а вот такой вопрос:
> - именно TCP/IP?
> И с козырей:
> - именно OSI?

Тут ты сам найдешь ответы на все интересующие тебя вопросы : http://mashtab.org/images/produkcia/3_-_marshrutizator_mul_tiprotokol_nyj_special_nogo_naznacheniya_... включая сертификацию.

http://mashtab.org/images/produkcia/10-mesn_mezhsetevoj_ekran_special_nogo_naznacheniya.pdf

http://mashtab.org/images/produkcia/9-mmon_marshrutizator_mul_tiprotokol_nyj_obwego_naznacheniya.pdf


УниверСол
отправлено 21.10.16 19:52 # 119


Кому: One_man, #118

Во, спасибо!


sukhanoff77
отправлено 21.10.16 20:26 # 120


Кому: One_man, #118

Помню у нас долго мудохались с МСВС13, что бы заставить драйвера для видяхи нормально работать, с аппаратным ускорением. Мы тогда voip-видеофон и IP ATC писали для МО.

> Честно сказать, не в курсе, ибо пока миновала меня чаша сия [прыгает в окоп].

В целом там ничего сложно нет. Просто опция в ip пакете. Ну и правила в ОС на уровне файловой подсистемы, ip стека и атрибутов процесса. Как я помню это. Давно дело было.


vas0
отправлено 21.10.16 20:26 # 121


Кому: sukhanoff77, #116

О, спасибо. Значит таки воплотили на практике. Нам про такое только на курсах повышения квалификации рассказывали. Но это сравнительно давно было. Тогда говорили, что казахи первыми что-то подобное у себя внедрят. А получилось, что таки обогнали.


sergvladb40
отправлено 21.10.16 20:57 # 122


Если кому интересно: у нас в Твери есть НИИ "Центрпрограммсистем. В советское время там занимались разработкой ПО для различных организаций ( мой тесть, например, возглавлял отдел программ для бухучета и кадрового учета на предприятиях. И, находясь на пенсии, продолжает осуществлять сопровождение своих программных продуктов).
Сейчас в основном это НИИ обслуживает нужды Минобороны ( в основном ВМФ).
http://cps.tver.ru/


sukhanoff77
отправлено 21.10.16 21:27 # 123


Кому: vas0, #121

> О, спасибо. Значит таки воплотили на практике.

Уже лет 10 как сделано. В том числе и в военной почте. Но ты не радуйся :) Там маленько через одно место реализовано. Если копаться в нюансах. Ну и по факту это не обеспечивает разделение уровне безопасности даже внутри доверенной зоны. Там многое на откуп конечным приложениям отдано. Типа хочешь так, хочешь так. ОС не всё контролирует. Может сейчас стало лучше. Я лет 6 в руках это "чудо" не держал.


N_S_V
отправлено 22.10.16 00:03 # 124


Камрады, чего копья то ломаем?

Учитывая, что военный "интернет" в СССР существовал уже в 60-х годах (естественно не в том виде как сейчас, ну так и Internet как таковой стал функционировать только в 90-х). Сделано это было для централизованного управления войсками. Существовали военные вычислительные центры, которые были связаны друг с другом. Да, по нынешним понятиям это была большая сетка - от ДВО и ТОФ до ЗГВ. Но на тот момент у американцев было на том же уровне. Поэтому в первом приближении это было сказано потому, что:

1. Заявление про военный интернет произошло сразу после угроз со стороны США провести хакерскую атаку на критически важные объекты Российской Федерации. Никто этого не заметил?
2. Не раскрою большого секрета, тем более, что про это уже сказано в данной заметке - военный интернет не имеет выходов в Internet. От слова совсем. Насколько я понимаю, компы с военным интернетом и с Internet-ом даже в одной комнате не ставят. Отсюда следует, что опасны только закладки различного рода излучателей - передатчиков и исключение возможности самопроизвольного включения Wi-Fi. Во всех остальных случаях достаточно исключить возможность совать какие ни попадя флешки (CD - DVD) в "военные" компы и "военные" флешки (CD - DVD) в компы имеющие выход в интернет.
3. Зайдите на сайт госзакупок и поищите тендеры по прокладке "оптики" для военных за последние года 3-4. Узнаете много интересного, как минимум то, что у военных свои каналы.
4. Слово "Воентелеком" никому ничего не говорит?

Отсюда следует, что данное заявление сделано как напоминание нашим "партнерам", в предвыборном угаре несущих бред сивой кобылы.


N_S_V
отправлено 22.10.16 00:04 # 125


Кому: sukhanoff77, #123



> Там многое на откуп конечным приложениям отдано. Типа хочешь так, хочешь так. ОС не всё контролирует.


Хм, ну так во все времена самое слабое звено, это человек. То он пароль снимет, то запишет его на мониторе, а то настройки приложений поменяет, что бы флешку с игрой втихаря воткнуть.

Как там у Мерфи - Можно сделать защиту от дурака, но только от неизобретательного.


Strycker
отправлено 22.10.16 00:05 # 126


Кому: cppmm, #104

Я привёл статьи с хабра лишь с целью обозначить, что явление носит массовый характер, вместе с этим отметив, что в ТЗ и акты приёмо-сдаточных испытаний в глаза не видел, поэтому утверждать что всё оно так и было не могу.
К слову про ТЗ: ну мы то с вами знаем, как и кто их пишет. Поэтому тут тоже возможны вопросы.

В целом я про то, что на мой весьма скромный взгляд, системный подход в этих вопросах хоть и декларируется, но по факту вызывает большие сомнения. Уровень входного контроля недостаточен.


Strycker
отправлено 22.10.16 00:05 # 127


Кому: One_man, #105

Согласен. Работа с поставщиками требует серьёзного подхода, но, как я указал выше, мне кажется что он безсистемный: где-то действительно добросовестные производители, а где-то... Нам выдали сертификат по итогам проверки, но, судя по отчёту, внимательно там никто ничего не изучал. К слову, сертифицировали мы решение на базе ARMLinux.

По поводу OEM: 90% решений в области импортозамещения, что я встречал в ходе работы, были OEM. Хотя это только мой опыт и возможно в действительности процент другой.

В целом, без возрождения полноценного производства элементной базы, массового создания вычислительной техники и без собственной ОС (не локализованной со необходимыми драйверами, а своей) или скорее даже экосистемы (ОС + IDE + SDK + сообщество) говорить о полноценном импортозамещении не приходится. Эх мечты...


One_man
отправлено 22.10.16 07:20 # 128


Кому: sukhanoff77, #120

> Помню у нас долго мудохались с МСВС13, что бы заставить драйвера для видяхи нормально работать, с аппаратным ускорением. Мы тогда voip-видеофон и IP ATC писали для МО.

На Астре ровно такая же херня, причем с интеловской набортной видяхой, например.

> В целом там ничего сложно нет. Просто опция в ip пакете. Ну и правила в ОС на уровне файловой подсистемы, ip стека и атрибутов процесса. Как я помню это. Давно дело было.

Я не сложности, я о том, что с темы внедрения данного решения удалось пока соскочить :-)

Кому: Strycker, #127

> Согласен. Работа с поставщиками требует серьёзного подхода, но, как я указал выше, мне кажется что он безсистемный: где-то действительно добросовестные производители, а где-то...

Зачастую, люди занимающиеся закупками просто не понимают, что они покупают. Им просто похер. Им что сервера, что коммутаторы, что криптошлюзы - все едино.

Из смешного - на одном из конкурсов, проверяющая организация требует:
- не пишите "коммутатор", это не правильно
- а как правильно ?
- "устройство коммутации пакетов информации" (с).

> По поводу OEM: 90% решений в области импортозамещения, что я встречал в ходе работы, были OEM. Хотя это только мой опыт и возможно в действительности процент другой.

По моему опыту примерно так же.

> В целом, без возрождения полноценного производства элементной базы, массового создания вычислительной техники и без собственной ОС (не локализованной со необходимыми драйверами, а своей) или скорее даже экосистемы (ОС + IDE + SDK + сообщество) говорить о полноценном импортозамещении не приходится. Эх мечты...

Именно так.


sukhanoff77
отправлено 22.10.16 10:57 # 129


Кому: N_S_V, #125

> Хм, ну так во все времена самое слабое звено, это человек.

Не, камрад, ты ослышался. Не конечным пользователям в касках. А приложениям. Что не верно. Правила в таких вопросах должны быть регламентированы жёстко. А так каждый из разработчиков начинает гнуть как ему удобнее, часто забывая или забивая на безопасность. И это ни кому не видно. Системы уходят с дырами. Я помню как ФСБшники как то, при очередной проверке, военную почту заломали за минуту. Причём самым тупым способом.


vas0
отправлено 22.10.16 16:53 # 130


Кому: sukhanoff77, #123

Ну а я 10 лет как "ушел". Поэтому даже в руках не держал.


Бухтяр
отправлено 23.10.16 09:45 # 131


Кому: One_man, #107

> Повторяю : не Мандрива. ROSA:

Слушай, а ты меня убедил попробовать поставить её.


Бухтяр
отправлено 23.10.16 09:45 # 132


Кому: sukhanoff77, #129

> Причём самым тупым способом.

Пароль был, как обычно, 12345?


N_S_V
отправлено 23.10.16 12:11 # 133


Кому: sukhanoff77, #129

???
А военная приемка чем в это время занимается? Это раз, а во вторых, что заказчик говорит на войсковых испытаниях?
Это все люди, а не приложения. Если они подписывают Акты не разбираясь с проблемой, то и ПО и СПО будет косячное - на отъя... (на шару). Так что кадры решают все. А кадры, это те самые люди, которые или в первую очередь будут спрашивать - а какие есть игры, какие пойдут и будет ли работать Word и Excel (раньше спрашивали про Лексикон). Или давить исполнителя, до состояния выжатого лимона, пока тот не сделает так, как надо.
Как то так я вижу эту проблему.

Если заказчик компетентный и знает, что на этой математике ему работать, то фиг Вы ему туфту всунете. Особенно, если он знает, что результаты работы с этим ПО (СПО) или СУБД с него спросят сразу после приемки (а не через месяц, после его замены или перевода к другому месту службы), то он из исполнителя душу вынет. А ещё потребует нормальную ЭТД.
Никогда с этим не сталкивались? Если нет, то Вам крупно повезло.


Mixazoid
отправлено 24.10.16 02:27 # 134


Кому: Kemb5440, #110

Спасибо за информацию, почитаем


ZebraTLP
отправлено 24.10.16 22:57 # 135


Кому: pz4, #43

> Разверни про мух, плиз.

Интернет-киоск не подключенный к сети - это когда для него просто отдельный физический канал заводят, который физически не связан с сетью банка.

В статье речь идёт о построении сети, защищённой от внешнего воздействия шифрованием на магистралях и ЭЦП на узлах.
Сравнить можно разве что с закрытыми сетями платёжных систем, по которым деньги ходят. Но там защита терминала находится на совести оператора.



cтраницы: 1 | 2 всего: 135



Goblin EnterTorMent © | заслать письмо | цурюк