Может ли система DPI выступать одновременно и СОРМ?

Определения СОРМ и DPI

СОРМ – система оперативно-розыскных мероприятий, позволяющая сотрудникам правоохранительных органов осуществлять выборочное слежение за гражданами РФ (телефонная связь и интернет) для обеспечения безопасности государства и его жителей. Такое слежение осуществляется только в рамках действующего законодательства и направлено на выявление потенциальных угроз.

СОРМ представляет собой устройство (чаще всего это стандартный x86-сервер с выделенной системой хранения), на которое предустановлено специальное программное обеспечение, позволяющее фильтровать трафик оператора связи на предмет наличия в нем отслеживаемой информации, передавать ее сотруднику ФСБ с помощью пульта управления и записывать в базу данных для долгосрочного хранения.

DPI – система глубокого анализа трафика, которая осуществляет мониторинг сетевого трафика в режиме реального времени, определяет протоколы и приложения, предотвращает попытки незаконного проникновения и распространение вредоносного программного обеспечения, используя технологию глубокого анализа пакетов.

DPI способна анализировать весь трафик вплоть до 7-го уровня модели OSI, а не только по стандартным номерам портов. Это позволяет не просто знать, откуда пришел пакет данных и куда направляется, а заглянуть внутрь него, понять, какую информацию он содержит.

Из определений становится понятно, что целью обеих систем является мониторинг и фильтрация трафика, отличаются лишь задачи, для которых осуществляется этот процесс. Система DPI – это в первую очередь информационная система оператора, такая же как биллинг, NAT или Radius, она не может стать частью СОРМ, она может лишь взаимодействовать с ней. В свою очередь СОРМ содержит некоторое подобие DPI – съемник трафика, который отвечает за его разбор.

Продавцы СОРМ утверждают, что их съемник – неотъемлемая часть системы, которую невозможно заменить, навязывая ее покупку. Однако сейчас ситуация изменилась и операторские системы DPI научились выступать в роли съемного устройства для СОРМ.

Использование DPI для реализации СОРМ

Платформа DPI в сети оператора связи способна реализовывать функцию съемного устройства для СОРМ-2, 3, так как оно обеспечивает классификацию, контроль и управление трафиком:

• на уровне приложений (L7),
• по ТCP/UDP/ICMP портам (L4),
• по префиксам IPv4/IPv6 и битам QoS (L3),
• по URL.

В готовой системе СОРМ переплата за встроенное съемное устройство достигает третьей части от общей стоимости системы, что составляет значительную сумму. А имея в сети платформу DPI достаточно лишь передавать с нее информацию в определенном формате в базу данных и на сервер бизнес-логики СОРМ для дальнейшей ее обработки сотрудниками ФСБ. Также появляется возможность экономить дорогостоящие высокоскоростные порты на сетевом оборудовании.

В настоящее время крупные операторы связи уже используют сторонние ИС для передачи с них данных в традиционные решения СОРМ, например ИС ПАО «ВымпелКом» АСР Amdocs, Comverse One информацию о платежах, статистику по звонкам и услугам CRD выгружает в ИС СОРМ-3.

Если посмотреть открытые требования, предъявляемые к комплексу технических средств, обеспечивающему функции СОРМ в рамках реализации Постановления Правительства РФ от 27 августа 2005 г. № 538, становится очевидной доступность этих данных с системы DPI:

1. Информацию о соединениях абонентов при предоставлении услуг телефонной связи.
2. Информацию о подключении/отключении абонента к сети передачи данных (ААА).
3. Общую информацию для всех записей об использовании абонентами услуг связи и ресурсов сети передачи данных (за исключением соединений подключения/отключения к сети связи).
4. Информацию о HTTP-соединениях с информационными ресурсами сети передачи данных (посещение интернет-страниц).
5. Информацию о соединениях передачи почтовых e-mail-сообщений.
6. Информацию о соединениях передачи электронных сообщений между пользователями (служебных сообщениях, мгновенных сообщениях, коротких сообщениях, мультимедийных сообщениях, в т. ч. с использованием сервисов социальных сетей, отправленных посредством сети передачи данных – Instant Messaging, в т. ч.: ICQ, MailRu Agent, Jabber, QIP, Yahoo Messenger, Google Talk, AirWay Chat, IRC), включающей в т. ч. статистику сообщений, отправляемых через сервисы социальных сетей «ВКонтакте», «Одноклассники», «Мой Мир».
7. Информацию о соединениях терминального доступа к оборудованию для удаленного управления.
8. Информацию о трансляции сетевых адресов пользователей.

Законодательно система DPI не может выступать в роли самой ИС СОРМ, она может лишь заменить ее часть, отвечающую за съем трафика с сети оператора, осуществляющим разбор протоколов передачи данных и передачу в хранилище информации о статистике использования соединения.

Доступ к собираемой информации с пультового комплекса территориального органа безопасности осуществляется в соответствии со второй редакцией ЧТТ538 к ИС СОРМ (TCP/IP ASN.1 протокол 2011 г.) с использованием специально разработанного адаптера взаимодействия. ИС СОРМ и ПУ взаимно однозначно аутентифицируют друг друга по протоколу SSL, после чего устанавливается прикладная сессия по ASN.1 интерфейсу ПУ-ИС СОРМ.

Заменить СОРМ система DPI все еще не может, но ее наличие в сети оператора связи может значительно упростить реализацию СОРМ-2 (приказ Минкомсвязи России № 83 от 16 апреля 2014 года) и СОРМ-3 (Постановление Правительства РФ № 538 от 27 августа 2005 года) в части съема информации, а также сократить расходы.

В настоящий момент на российском рынке только система DPI СКАТ от компании «ВАС Экспертс» может выступать в роли съемника трафика и работать напрямую с СОРМ-2 и СОРМ-3 других производителей, а также с собственной разработкой ИС СОРМ-3.