Анализ архитектуры ТСПУ и модель сетевых угроз (DEEP_TECH.md)
Краткое содержание: Технические средства противодействия угрозам (ТСПУ) в России представляют собой распределенную систему DPI-устройств, установленных в сетях операторов связи и на узлах обмена трафиком. Данный комплекс включает в себя анализаторы пакетов (DPI), модули фильтрации по доменным именам (SNI/SAN), TLS-терминаторы, инжекторы пакетов сброса соединения TCP-RST и подсистемы сбора логов. Основными разработчиками программного и аппаратного обеспечения выступают компании Ростелеком (ПО EcoDPI/EcoFilter от РДП.ру), Signaltek, Ядро (ИКС Холдинг), Цитадель, Булат, Визирь, Элекс, Код безопасности, Авангард и другие.
Внедрение ТСПУ закреплено законом о суверенном интернете (2019 год) и является обязательным для всех операторов связи с пропускной способностью более 10 Гбит/с. В результате практически весь интернет-трафик в РФ анализируется по правилам регулятора (РКН). Разрешенный контент проходит дальше, а запрещенный блокируется по умолчанию на уровне пакетов. В последнее время активно тестируется концепция белых списков на базе Национальной системы доменных имен (НСДИ), при которой в случае сбоев или ограничений связи разрешается доступ только к ограниченному набору одобренных ресурсов.
Ограничения производительности
Производительность отдельных DPI-узлов ТСПУ на одну аппаратную единицу измеряется в сотнях гигабит. Согласно маркетинговым данным компании RDP.ru, некоторые модели (например, EcoSGE 5400) обеспечивают до 400 Гбит/с пропускной способности на узел. Однако в масштабах страны ТСПУ оперирует кластерами. Регуляторы планируют довести совокупную мощность всех систем ТСПУ до 954 Тбит/с к 2030 году.
На практике реальная производительность кластеров ограничена вычислительными мощностями DPI-процессоров. При пиковых нагрузках (например, во время массовых ограничений мобильной связи в Москве в марте 2026 года) оборудование ТСПУ, по свидетельствам профильных источников, не справлялось со сложным анализом сигнатур, из-за чего автоматически активировался режим резервного обхода (bypass), и часть заблокированных ресурсов временно становилась доступной напрямую.
Задержка на обработку пакета в штатном режиме добавляет несколько миллисекунд, но при росте нагрузки или усложнении правил фильтрации задержки могут значительно возрастать, вызывая искусственную деградацию качества услуг связи.
1. Архитектура ТСПУ: компоненты и вендоры
Оборудование ТСПУ устанавливается на магистральных узлах операторов, точках обмена трафиком (IXP) и в залах автоматики ЦОД. Физически устройства принадлежат государству (ГРЧЦ), но операторы обязаны бесплатно выделять под них стойки, резервное питание и обеспечивать бесперебойную работу.
flowchart LR
Internet[Глобальный Интернет] --> ISP_Router[Маршрутизатор провайдера]
ISP_Router --> DPI_Box[Узел ТСПУ/DPI]
DPI_Box --> Allowed[Разрешенный трафик]
DPI_Box --> Blocked[Заблокированный трафик]
DPI_Box -. Управление .-> CPO[ЦМУ РКН]
Allowed --> Users[Сеть пользователей]
Ключевые компоненты ТСПУ:
- DPI-модуль (анализатор): Выполняет глубокий анализ пакетов на уровнях L3-L7, выявляет типы приложений и протоколы по сигнатурам и эвристическому поведению. ПО разрабатывается компанией РДП.ру, аппаратные серверы поставляются компаниями Signaltek и Ядро. На крупных узлах развертываются кластерные решения (например, Teracluster от RDP.ru мощностью до 40 Тбит/с на узел).
- TLS/SNI-фильтр и терминатор: Модуль, анализирующий открытые заголовки Server Name Indication в протоколах TLS для идентификации запрашиваемых доменов до завершения шифрования. При обнаружении запрещенного домена модуль инициирует сброс соединения путем отправки пакета TCP-RST.
- Узел резервного обхода (Bypass): Система автоматического переключения трафика мимо DPI при авариях или перегрузках оборудования. Первоначально использовались зарубежные платформы (Silicom), но с 2022 года они заменяются отечественным решением Булат (ПО от RDP.ru и аппаратное обеспечение от Signaltek).
- Балансировщик нагрузки: Отвечает за распределение сетевого трафика между серверами DPI в составе одного кластера. В качестве импортозамещенного решения тестируется отечественный балансировщик Визирь.
- Система хранения логов (СХД): Серверы хранения, фиксирующие логи сессий и обновляемые базы правил фильтрации, управляемые удаленно из Центра мониторинга РКН.
2. Технические характеристики и лимиты DPI
Заявленные вендорами характеристики часто приводятся для идеальных лабораторных условий. Так, модель EcoSGE 5400 от RDP.ru декларирует пропускную способность до 400 Гбит/с при обработке пакетов размером около 480 байт со скоростью до 10 миллионов пакетов в секунду.
В реальных условиях эксплуатации системы сталкиваются со следующими ограничениями:
flowchart LR
ISP1[Провайдер A] -- Трафик --> IXP((Обменный узел))
ISP2[Провайдер B] --> IXP
IXP --> DPI["Узел ТСПУ (DPI)"]
DPI --> WhiteList["Разрешенный трафик (белый список)"]
DPI --> Blocked[Заблокировано]
WhiteList --> Network[Дальнейшая сеть]
Blocked --> Sink[Обрыв]
- Деградация при пиковых нагрузках: Обработка зашифрованных протоколов и анализ сложных сигнатур (свыше 2.5 миллиона правил в базах ТСПУ на 2026 год) требуют огромных вычислительных ресурсов процессоров. При резких всплесках трафика оборудование уходит в буферизацию (что вызывает задержки и потерю пакетов) или автоматически переходит в режим аварийного обхода (bypass), временно отключая фильтрацию для сохранения связности сети.
- Проблемы масштабирования: Вертикальный апгрейд узлов (установка более мощных процессоров, ASIC/FPGA плат) ограничен стоимостью оборудования и дефицитом полупроводников. Горизонтальное масштабирование (добавление новых нод в кластер) требует сложной перенастройки балансировщиков нагрузки и сетевых правил, что периодически приводит к локальным авариям на сетях операторов.
- Уязвимость к DoS-нагрузкам: Поскольку анализ L7-уровня ресурсоемок, генерация сложного нетипичного трафика (атаки типа DPI-flood, фрагментированные пакеты, аномальные HTTP-заголовки) способна перегрузить вычислительные блоки ТСПУ, вынуждая систему отключать фильтрацию.
3. Регулирование и НСДИ: законы и белые списки
Законодательный фундамент суверенизации Рунета развивался в несколько этапов:
- 2019 год: Принятие закона о суверенном интернете (ФЗ-90 от 01.05.2019), обязавшего провайдеров устанавливать ТСПУ. В июле 2019 года приказом РКН №229 было утверждено Положение о Национальной системе доменных имен (НСДИ). НСДИ создана как независимый дубликат корневых серверов DNS, позволяющий управлять маршрутизацией и доменными зонами (например,
.ru) независимо от глобальной инфраструктуры. - Закон от 13 февраля 2026 года: Данные поправки законодательно обязали операторов связи незамедлительно прекращать любые услуги по требованию силовых ведомств (ФСБ) без судебного решения. При этом операторы полностью освобождаются от ответственности за убытки абонентов, вызванные отключением интернета.
- Внедрение “белых списков”: Концепция, озвученная Минцифрой в 2025 году, предполагает работу сети по принципу “запрещено все, что не разрешено” (default deny). При активации этого режима ТСПУ блокирует абсолютно весь внешний трафик, кроме ресурсов из утвержденного реестра (госуслуги, социально важные сайты, государственные СМИ и ограниченный перечень банков). Технология была протестирована на мобильных сетях в нескольких регионах РФ (включая Москву) весной 2026 года. По оценкам экспертов, вероятность полноценного технического развертывания этой системы к 2028 году составляет около 80%.
4. Экономический прогноз и влияние на бизнес
Общие затраты государственного бюджета на проекты кибербезопасности, модернизацию ТСПУ и развитие НСДИ в период с 2022 по 2025 год оцениваются аналитиками в 70-80 миллиардов рублей. До 2030 года на масштабирование системы планируется выделить еще около 60 миллиардов рублей.
Последствия для коммерческих отраслей:
- Логистика и транспорт: Из-за работы ТСПУ и ограничений НСДИ задержки передачи геоданных и латентность сети возрастают. При активации белых списков возникает риск недоступности импортных картографических API, систем телеметрии и датчиков слежения за грузами, что снижает общую доступность логистических сервисов.
- Авиация: Авиакомпании критически зависят от глобального обмена метеоданными и систем онлайн-бронирования билетов (многие из которых используют зарубежную облачную инфраструктуру). Внедрение жестких ограничений и белых списков вынуждает компании нести огромные затраты на экстренный переход на локальные дублирующие ИТ-системы.
- Финансовый сектор: Активация белых списков делает недоступными API зарубежных банков, системы обмена финансовыми сообщениями и иностранные платежные шлюзы. В белом списке гарантированно остаются только государственные банки и национальная карта Мир, что полностью изолирует коммерческий финтех и увеличивает издержки на безопасность.
- Электронная коммерция (E-commerce): Сектор несет наибольшие убытки. Блокировки снижают доступность мобильных приложений, ломают интеграцию внешних аналитических сервисов и шрифтов. Короткие отключения мобильного интернета в марте 2026 года привели к многомиллионным потерям ритейла, а упущенный рост ВВП страны из-за сетевой цензуры оценивается экспертами в пределах от 0.1% до 0.5% ежегодно.
5. Обходные методы: концепция личного VPS/VPN
В условиях жесткого анализа сигнатур стандартные публичные VPN-сервисы блокируются ТСПУ автоматически по протоколам (Shadowsocks, WireGuard, OpenVPN). На сегодняшний день наиболее эффективным методом обхода блокировок эксперты называют настройку собственного VPN на арендованном зарубежном сервере (VPS).
Преимущества и специфика метода:
- Отсутствие в базах блокировок: IP-адрес вашего личного арендованного сервера (в Европе или Азии) не принадлежит крупным VPN-провайдерам, поэтому он не занесен в автоматические черные списки ТСПУ и не вызывает подозрений у алгоритмов фильтрации.
- Маскировка трафика: При установке на VPS современных протоколов (VLESS с надстройкой Reality и маскировкой сетевого отпечатка uTLS под браузер Chrome) ТСПУ видит ваше подключение как обычный сеанс связи с разрешенным зарубежным сайтом.
- Нюансы: Метод требует базовых технических навыков настройки и оплаты аренды сервера за границей. Использование серверов, арендованных у российских хостинг-провайдеров, неэффективно, так как они находятся под юрисдикцией РФ и требованиями РКН.
6. Сравнительные таблицы
Таблица 1. Характеристики программно-аппаратных решений ТСПУ
| Разработчик / Решение | Основные функции | Заявленная пропускная способность | Особенности |
|---|---|---|---|
| RDP.ru EcoDPI | Анализ L3-L7, фильтрация URL и протоколов, сбор логов | От 6 Гбит/с (модель EcoSGE 1010) до 400 Гбит/с (EcoSGE 5400) | ПО совместимо с аппаратными серверами разных производителей |
| Signaltek DPI | Аппаратные серверы фильтрации на базе процессоров Байкал | До сотен Гбит/с (точные данные закрыты) | Поддерживает ГОСТ-шифрование на уровне L7 |
| Ядро (ИКС Холдинг) | Отечественные DPI-серверы на российских процессорах | Спецификации не раскрываются производителем | Полностью локализованная аппаратная база |
| Цитадель | Корпоративные DPI-системы и брандмауэры | Спецификации не публикуются в открытых источниках | Детали разработок закрыты |
| Bulat (Ростелеком) | Узел автоматического резервного обхода (Bypass) | - | Использует софт RDP.ru и аппаратные платы Signaltek |
| Визирь | Балансировщик сетевой нагрузки для кластеров DPI | - | Российское решение для распределения трафика |
Таблица 2. Влияние сетевых ограничений на сферы бизнеса (экспертная оценка)
| Отрасль бизнеса | Влияние на задержку (Latency) | Влияние на доступность (Availability) | Уровень регуляторного риска | Влияние на затраты (Cost Impact) |
|---|---|---|---|---|
| Логистика | Рост задержек из-за дополнительного анализа трафика | Снижение доступности систем слежения и GPS карт | Низкий (прямого регулирования отрасли нет) | Рост расходов на резервные каналы связи |
| Авиация | Рост задержек при обмене данными о полетах | Риск недоступности международных систем бронирования | Средний (высокие требования к безопасности) | Высокие затраты на экстренное импортозамещение ПО |
| Финансы | Задержки при проведении международных транзакций | Блокировка внешних банковских API и SWIFT | Высокий (строгий контроль со стороны Центробанка) | Огромные затраты на локальные клиринговые системы |
| E-commerce | Существенный рост задержек при загрузке внешних скриптов | Риск недоступности сайтов при включении белых списков | Средний (косвенное влияние блокировок) | Прямые потери прибыли и затраты на локализацию серверов |
(Примечание: в таблицах приведены оценочные характеристики на основе открытых презентаций вендоров, публикаций профильных изданий CNews, Хабр и Forbes, а также экспертных заключений ИТ-аналитиков в период 2023-2026 годов).