10.9.12

Какой была безопасность в России в 90-х годах

И вновь потянуло меня разбирать архивы... И вновь я наткнулся на антикрвариат; погрузился в него; стал вспоминать. Так случилось, что аккурат с 92-го года, как я стал заниматься ИБ, я стал коллекционировать библиотеку литературы по ИБ. И накопилось за это время много всего. И книг штук 200, а уж статей и вовсе не счесть. Первые статьи по нашей теме появились в 91-м году. До этого тема была табу и тайной за семью печатями, доступной только сотрудникам КГБ (а потом ФАПСИ) да ФСТЭК. Даже литература по криптографии считалась шифровальным средством и ее распространение контролировалось очень серьезно. Это сейчас сложно представить, что литература по ИБ была под запретом. А в начале 90-х я многое мог читать только в спецбиблиотеке при ящике, к которому я был приписан. Но 91-й год запомнился не только распадом СССР, но и годом рождения коммерческого рынка ИБ. И в этом же году появились первые статьи по нашей теме.

Одним из рупоров в области ИБ был журнал Компьютер-Пресс, который начал с основ - с рассказа о том, что такое ИБ и как ее строить. Причем уже тогда учитывалась не только техническая, но и организационная сторона вопроса.


И в том же 91-м в Компьютер-Пресс подняли тему анализа рисков, описав что это такое и зачем он нужен.

  

 Кстати, в статьях уже тогда приводилось более менее нормальное определение термина "безопасность".

 

И про оценку эффективности и надежности средств защиты тогда тоже писали. По сути, Компьютер-Пресс за 1-2 года рассказал все основные темы по ИБ, которые продолжают мусолиться, без чего-то действительно нового и инновационного.


Не обошлось без рассказа о том, как строится система защиты в США, с описанием ее нормативных документов и т.д. Других-то тогда не было. Первые РД ФСТЭК появились в 92-м году и были калькой с "Радужной серии". Причем не очень удачной, т.к. в серию входило 1-2 десятка разных книг, из которых мы взяли только одну - по СВТ (средствам вычислительной техники), читай "автономные персоналки". Все остальное переводить по какой-то причине не стали и мы до сих пор так и живем по документам 92-го года.


Криптография тоже пыталась развиваться достаточно активно. Был такой журнал для программеров "Монитор", который в начале 90-х стал публиковать описание различных алгоритмов шифрования (преимущественно зарубежных), погружаясь и в математику и в программирование (причем на Ассемблере). Вот так выглядела, например, 3-я часть статьи про рюкзачные криптоалгоритмы (до этого Монитор рассмотрел симметричные DES и ряд других алгоритмов).


Ну и про асимметричную криптрографию тоже не забывали.


Спустя всего пар лет появились первые серьезные продукты в области сетевой безопасности, а точнее в области VPN. Вот вы можете видеть одну из первых статей по сетевой криптографии на базе международных протоколов. Еще до появления протокола обмена ключами IKE для IPSec в 98-м году весь мир пользовался SKIPом. И его и реализовали Александр Галицкий, Сергей Рябко и другие в компании Элвис+. А ведь это было в своем роде революцией - вся Россия тогда работала на проприетарных протоколах обмена криптографическими ключами, согласуемыми сначала с ФАПСИ, а потом и с ФСБ (а то и получаемых от них). Раньше считалось, что IPSec - это зло, которое разработано американцами, чтобы вывести из строя российскую экономику (та же мотивация была в СовБезе, когда в России не смогли ратифицировать "Общие критерии"). Отечественные криптосредства перешли на IPSec год-два назад и то не все - многие до сих пор работают на закрытых протоколах, что зачастую приводит к проблемам при работе в сетях связи общего пользования.


И уже в тоже время начались активные искания в области правового регулирования вопросов ИБ. И хотя многие сотрудники спецслужб покинули родные пенаты и основали собственные "бизнеса", сама "контора" не желала расставаться с монополией на защиту информации. Вот так выглядела заметка в "Московском комсомольце" о факте выхода пресловутого 334-го Указа Президента Ельцина, вводящего запрет на любую криптографию, которая не была "освящена" ФАПСИ. Именно с тех времен тянется известный конфликт ЛАН Крипто и ФАПСИ, в котором так и оказалось победителей.


Что характерно госмонополия в части криптографии у нас осталась до сих пор. А вот с монополией ФСТЭК и тогда было не все просто. Поэтому стали появляться различные обоснования, что защита информации - это удел избранных, лицензиатов. Да и средства защиты можно применять только сертифицированные. С тех пор ситуация тоже не сильно поменялась.


Вообще, по зрелому размышелнию за кружкой кефира (и это не метафора) понимаешь, что российский рынок ИБ не сильно отличается от того, что было в начале 90-х. Разрабатываются продукты одного класса - СЗИ от НСД, т.е. те, которые можно сертифицировать. Если раньше были "Редуты", "Кометы", "Кобры", "QP DOSы", то сейчас "Щиты", "Брони", "Панцири". Крипта тоже не сильно меняется. Меня поражает ФПСУ-IP, который до сих пор под управление MS DOS работает. Последняя версия 6.22 была выпущена в 94-м году; про версии 7.0 и 7.1 не говорю, т.к. они были частью Windows, а не самостоятельным продуктом (да и они в 2000-м прекратили разрабатываться). Нормативные документы регуляторов не сильно поменялись (небольшие правки я не беру в расчет). Отношение регуляторов к вопросам лицензирования и сертификации... ну не мне рассказывать. Что поменялось? Интерфейс продуктов. Тут изменения налицо - была псевдографика MS DOS, а стала нормальная графика Windows. Дизайн "железячных" продуктов изменился. Ну и рекламные листовки тоже претерпели сильные изменения. Вот только сами продукты такого разительного скачка не сделали.






ЗЫ. Иногда приходит в голову мысль, что зря в ВУЗах не преподают историю российского рынка информационной безопасности. Она многому может научить будущих выпускников.

4 коммент.:

Dmitry Kovalenko комментирует...

"Меня поражает ФПСУ-IP, который до сих пор под управление MS DOS работает."
Тот же ЦУС VipNet до сих пор работает под DOS, хотя вроде как уже разработчики тестируют ЦУС "виндовый"...

Oberst комментирует...

Естественно MS-DOS, не понятно же как др. ОС устроены, а тут вопрос серьезный - криптовопрос!

Oberst комментирует...
Этот комментарий был удален автором.
Евгений комментирует...

А зачем сугубо специализированному устройству, коим несомненно является центр управления криптосетью, нужна универсальная ОС, в которой можно "и текстики набрать, и картинку поредактировать, и кино посмотреть"? Чтобы словить все глюки подсистем ОС, которые вообще не нужны в данном случае, но продолжают работать?