Prohoster > Blog > quản lý > Việc chặn quyền truy cập vào các trang phân phối nội dung bị cấm hoạt động như thế nào (hiện tại RKN cũng kiểm tra các công cụ tìm kiếm)

Việc chặn quyền truy cập vào các trang phân phối nội dung bị cấm hoạt động như thế nào (hiện tại RKN cũng kiểm tra các công cụ tìm kiếm)

Việc chặn quyền truy cập vào các trang phân phối nội dung bị cấm hoạt động như thế nào (hiện tại RKN cũng kiểm tra các công cụ tìm kiếm)

Прежде чем перейти к описанию системы, которая отвечает за фильтрацию доступа операторами связи, отметим, что теперь Роскомнадзор займется и контролем над работой поисковых систем.

В начале года утвержден порядок контроля и перечень мероприятий по соблюдению операторами поисковых систем требований прекратить выдачу сведений об интернет-ресурсах, доступ к которым ограничен на территории Российской Федерации.

Соответствующий приказ Роскомнадзора от 7 ноября 2017 года № 229 зарегистрирован в Министерстве юстиции России.

Приказ принят в рамках реализации положений статьи 15.8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая определяет обязанности для владельцев VPN-сервисов, «анонимайзеров» и операторов поисковых систем по ограничению доступа к информации, распространение которой в России запрещено.

Мероприятия по контролю проводятся по месту нахождения органа по контролю без взаимодействия с операторами поисковых систем.

Việc chặn quyền truy cập vào các trang phân phối nội dung bị cấm hoạt động như thế nào (hiện tại RKN cũng kiểm tra các công cụ tìm kiếm)
Под информационной системой понимается ФГИС информационных ресурсов информационно-телекоммуникационных сетей, доступ к которым ограничен.

По итогам мероприятия составляется акт, в котором указывается, в частности, информация о ПО, используемом для установления этих фактов, а также сведения, подтверждающие, что конкретная страница (страницы) сайта на момент контроля находилась в информационной системе более суток.

Акт направляется оператору поисковых систем посредством информационной системы. В случае несогласия с актом оператор в течение трёх рабочих дней вправе представить свои возражения в Роскомнадзор, который рассматривает возражения также в течение трёх рабочих дней. По результатам рассмотрения возражений оператора руководитель органа по контролю или его заместитель принимают решение о возбуждении дела об административном правонарушении.

Как сейчас устроена система фильтрации доступа для операторов связи

В России действует ряд законов, обязующих операторов связи фильтровать доступ к страницам распространяющим запрещенный контент:

  • ФЗ 126 «О связи», поправка в ст. 46 — об обязанности оператора ограничивать доступ к информации (ФСЭМ).
  • «Единый реестр» — постановление Правительства РФ от 26 октября 2012 г. N 1101 «О единой автоматизированной информационной системе «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено»»
  • ФЗ 436 «О защите детей…», категоризация доступной информации.
  • ФЗ №3 «О полиции», статья 13, п. 12 — об устранении причин и условий, способствующих реализации угроз безопасности граждан и общественной безопасности.
  • ФЗ №187 «О внесении изменений в отдельные законодательные акты РФ по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях» («антипиратский закон»).
  • Выполнение решений судебных инстанций и предписаний органов прокуратуры.
  • Федеральный закон от 28.07.2012 N 139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации».
  • Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Запросы от Роскомнадзора на блокировку несут в себе обновляемый перечень требований к провайдеру, каждая запись из такого запроса содержит:

  • тип реестра, в соответствии с которым производится ограничение;
  • момент времени, с которого возникает необходимость ограничения доступа;
  • тип срочности реагирования (обычная срочность – в течение суток, высокая срочность –незамедлительное реагирование);
  • тип блокировки реестровой записи (по URL или по доменному имени);
  • хэш-код реестровой записи (изменяется при любом изменении содержимого записи);
  • реквизиты решения о необходимости ограничения доступа;
  • один или несколько указателей страниц сайтов, доступ к которым должен быть ограничен (не обязательно);
  • одно или несколько доменных имен (не обязательно);
  • один или несколько сетевых адресов (не обязательно);
  • одна или несколько ip-подсетей (не обязательно).

Для эффективного доведения сведений до операторов была создана «Информационная система взаимодействия Роскомнадзора с операторами связи». Расположена она вместе с нормативными актами, инструкциями и памятками для операторов на специализированном портале:

vigruzki.rkn.gov.ru

Со своей же стороны, для проверки операторов связи Роскомнадзор стал выдавать клиента АС «Ревизор». Ниже немного о функционале агента.

Алгоритм осуществления проверки доступности каждого URL Агентом. При проверке Агент должен:

  • определить IP-адреса, в которые преобразуется сетевое имя проверяемого сайта (домен) или использовать IP адреса, предоставленные в выгрузке;
  • для каждого IP-адреса, полученного от DNS-серверов, произвести HTTP-запрос проверяемого URL. В случае получения от проверяемого сайта HTTP перенаправление, Агент должен проверить URL, на который осуществляется перенаправление. Поддерживается не менее 5 последовательных HTTP перенаправлений;
  • в случае невозможности осуществить HTTP-запрос (не происходит установки TCP-соединения) Агент должен делать вывод о наличии блокировки IP-адреса целиком;
  • в случае успешного HTTP-запроса Агент должен проверить полученный ответ проверяемого сайта по коду HTTP-ответа, по HTTP-заголовкам, по HTTP-содержанию (первые полученные данные размером до 10 кб). В случае совпадения полученного ответа с созданными в ЦУ шаблонами страниц-заглушек должен быть сделан вывод о наличии блокировки проверяемого URL;
  • при проведении проверки URL, Агент должен осуществить проверку установки шифрованного соединения и промаркировать ресурс;
  • в случае отсутствия совпадения полученных Агентом данных с шаблонами страниц-заглушек или доверенных страниц переадресации, информирующих о блокировке ресурса, Агент должен делать вывод об отсутствии блокировки URL на СПД оператора связи. В этом случае информация о данных (HTTP-ответе), полученная Агентом, записывается в отчёт (файл журнала проверки). Администратор системы имеет возможность сформировать из данной записи шаблон новой страницы-заглушки, для предотвращения последующих ложных выводов об отсутствии блокировки.

Список того, что должен обеспечивать Агент

  • связь с ЦУ для получения полного списка URL и режимов блокировки, которые необходимо протестировать;
  • связь с ЦУ для получения данных о режимах проверки. Поддерживаемые режимы: полная однократная проверка, полная периодическая с заданным интервалом, выборочная однократная с заданным пользователем списком URL, периодическая с заданным интервалом проверка списка URL (определённого типа записей ЕР);
  • продолжение выполнения заданных процедур проверки по имеющемуся URL списку, в случае невозможности получения списка URL с ЦУ, и хранения полученных результатов проверок с последующей передачей на ЦУ;
  • полное выполнение заданных процедур проверки по имеющимся URL спискам, в случае невозможности получения информации о режимах проверки с ЦУ, и хранения полученных результатов проверки с последующей передачей на ЦУ;
  • осуществление проверки результатов блокировки в соответствии с установленным режимом;
  • отправку на ЦУ отчёта о проведённой проверке (файл журнала проверки);
  • возможность проверки работоспособности СПД оператора связи, т.е. проверку доступности списка заведомо доступных сайтов;
  • возможность осуществлять проверку результатов блокировки с использованием прокси-сервера;
  • возможность удалённого обновления ПО;
  • возможность проведения диагностических процедур на СПД (время отклика, путь прохождения пакетов, скорость скачивания файлов с внешнего ресурса, определение IP-адресов для доменных имен, значение скорости получения информации в обратном канале связи в проводных сетях доступа, коэффициент потерь пакетов, среднее время задержки передачи пакетов);
  • производительность проверки не менее 10 URL в секунду при условии достаточности полосы канала связи;
  • возможность многократного обращения агента к ресурсу (до 20 раз), с изменяемой периодичностью от 1 раза в секунду, до 1 раза в минуту;
  • возможность создания случайного порядка записей списка, передаваемого для тестирования и задание приоритета по конкретной странице сайта в сети «Интернет».

В общем виде структура выглядит так:

Việc chặn quyền truy cập vào các trang phân phối nội dung bị cấm hoạt động như thế nào (hiện tại RKN cũng kiểm tra các công cụ tìm kiếm)
Программные и программно-аппаратные решения для фильтрации интернет-трафика (DPI-решения) позволяют операторам блокировать трафик от пользователей к сайтам из списка РКН. Блокируют их или нет, это проверяет клиент АС Ревизор. Он по списку от РКН в автоматическом режиме проверяет доступность сайта.

Пример протокола мониторинга доступен по ссылке.

В прошлом году Роскомнадзор начал тестировать решения для блокировки, который может применять оператор для реализации данной схемы оператором. Приведу цитату по результатам такого тестирования:

«Положительные заключения Роскомнадзора получили специализированные программные решения «UBIC», «EcoFilter», «СКАТ DPI», «Тиксен-Блокировка», «SkyDNS Zapret ISP» и «Carbon Reductor DPI».

Также получено заключение Роскомнадзора, подтверждающее возможность использования операторами связи программного обеспечения «ZapretService» в качестве средства ограничения доступа к запрещенным ресурсам в интернете. Результаты тестирования показали, что при установке по рекомендованной производителем схеме подключения «в разрыв» и правильной настройке сети оператора связи, количество выявленных нарушений по Единому реестру запрещенной информации не превышает 0,02%.

Таким образом, операторам связи предоставлена возможность выбора наиболее подходящего для них решения по ограничению доступа к запрещенным ресурсам, в том числе из перечня программных продуктов, получивших положительное заключение Роскомнадзора.

Вместе с тем в ходе тестирования программного продукта IdecoSelecta ISP из-за длительной процедуры его развертывания и настройки некоторые операторы не смогли приступить к тестам в установленные сроки. У более чем половины операторов связи, участвующих в тестировании, срок тестовой эксплуатации Ideco Selecta ISP не превышал недели. Учитывая малый объем полученных статистических данных и небольшое число участников тестирования, Роскомнадзор в официальном заключении указал на невозможность получения однозначных выводов об эффективности продукта «Ideco Selecta ISP» как средства ограничения доступа к запрещенным ресурсам в интернете.»

Дополню, что в тестировании каждого программного продукта принимали участие до 27 операторов связи с различной численностью абонентов из разных федеральных округов Российской Федерации.

С официальными заключениями по результатам тестирования можно ознакомиться đây. В этих заключениях практически ноль технической информации. Про продукт «Ideco Selecta ISP» можно почитать, чтобы знать, как не нужно делать.

В этом году тестирование продолжится и на данный момент, судя по новостям Роскомнадзора, взят уже один продукт и еще 2 в ближайших планах.

Что если блокировка произошла по ошибке?

В завершение, хотелось бы напомнить, что Роскомнадзор «не ошибается», что подтверждает Конституционный суд.

Постановление, фактически снимающее ответственность с Роскомнадзора за ошибочную блокировку сайтов, было принято в рамках рассмотрения жалобы в КС директора ассоциации интернет-издателей Владимира Харитонова. В ней говорилось, что в декабре 2012 года Роскомнадзор по ошибке заблокировал его интернет-библиотеку digital-books.ru. Как пояснял господин Харитонов, его ресурс располагался на том же IP-адресе, что и портал rastamantales(.)ru (сейчас rastamantales(.)com), который и был изначальным объектом блокировки. Владимир Харитонов попробовал в судебном порядке опротестовать решение Роскомнадзора, однако в июне 2013 года Таганский райсуд признал блокировку законной, а в сентябре 2013-го это решение оставил в силе Мосгорсуд.

Từ đó:

В Роскомнадзоре «Ъ» заявили, что решением КС удовлетворены. «Конституционный суд подтвердил, что Роскомнадзор исполняет закон. Если у оператора нет технической возможности для ограничения доступа к отдельной странице сайта, а не к его сетевому адресу, то это ответственность оператора»,— сказал «Ъ» пресс-секретарь ведомства.

Этот вопрос актуален также для облачных провайдеров и хостинг-компаний, так как подобные инциденты случались и с ними. В июне 2016 года в России был заблокирован облачный сервис Amazon S3, хотя в реестр по требованию Федеральной налоговой службы была внесена лишь расположенная на его платформе страница покер-рума 888poker. Блокировка всего ресурса была связана как раз с тем, что Amazon S3 использует защищенный протокол https, который не позволяет заблокировать отдельные страницы. Только после того как сам Amazon удалил страницу, к которой возникли претензии у российских властей, ресурс был исключен из реестра.

Nguồn: www.habr.com

Thêm một lời nhận xét