IEG-tietoturvaratkaisut salaisten ja rajoitettujen domainien välillä
Raittinen, Teemu (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025081923997
https://urn.fi/URN:NBN:fi:amk-2025081923997
Tiivistelmä
Tässä opinnäytetyössä tutkittiin erilaisia vaihtoehtoja ja ratkaisuja, joilla voidaan liittää kaksi eri turvaluokan verkkoa toisiinsa. Työssä käsiteltiin myös yleisellä tasolla hyviä tietoturvakäytänteitä, silloin kun liitytään tuntemattomaan verkkoon ja/tai arkaluontoista materiaalia sisältävällä laitteella.
Tutkimuksen tavoitteena oli muodostaa erilaisia malleja siitä, miten liittäminen voidaan toteuttaa tietoturvallisesti, sekä asiaa ohjaavien määräysten ja ohjeiden mukaisesti. Tavoitteena oli myös tuottaa helposti ymmärrettäviä ratkaisuja.
Tutkitun kaltaiset ratkaisut voivat tulla kyseeseen esimerkiksi silloin, kun yritys tai yhteisö toteuttaa jonkinlaista laite- tai sovellustestausta ja keskeneräistä tuotetta halutaan suojata muilta verkossa olevilta tahoilta. Tutkittuja ratkaisuja voidaan käyttää myös pysyvästi, silloin kun halutaan tuoda tai viedä tietoa sellaisesta verkosta, joka on turvaluokitukseltaan korkeampi. Tällöin on verkkojen väliin toteutettava ratkaisu, joka kykenee sillä hetkellä vallitsevien määräyksien ja vaatimuksien mukaisesti rajoittamaan ja/tai jopa suodattamaan liikennettä.
Työskentelen Puolustusvoimissa tämänkaltaisten ratkaisujen parissa ja olen huomannut, että yhdyskäytäväratkaisun voi toteuttaa monella eri tavalla ja eri tahoilla on erilaisia tapoja sekä ratkaisuja lähes saman lopputuleman saavuttamiseksi.
Opinnäytetyön toimeksiantaja on Puolustusvoimat. Opinnäytetyötä ei tehdä suoraan Puolustusvoimien tarpeeseen, eikä sen lopputuloksia tai tutkimustuloksia käytetä suoraan hyödyksi Puolustusvoimissa. Aiheen arkaluontoisuuden takia opinnäytetyössä käsitellään vain julkisesti saatavilla olevaa tietoa. Opinnäytetyön rajaukseksi on päätetty Suomen sisällä vaikuttavat ohjeet ja määräykset, sekä mahdollisesti NATO:n julkisesti saatavilla olevat yhteistoimintaa koskevat asiakirjat.
Opinnäytetyö on tyypiltään tutkimuksellinen ja sen tietopohja koostuu julkisesti saatavilla olevista, kansallista tietoturvaa koskevista määräyksistä ja lähteistä. Tutkimusainestoa kerättiin internetistä, julkisia lähteitä käyttäen. Opinnäytetyössä ei toteutettu haastatteluja.
Tutkimuksessa havaittiin, että vaatimuksien täyttämiselle on useita eri tapoja. Työssä kuvattiin kaksi ratkaisua, joilla tiedonsiirto voitaisiin toteuttaa. Toteutuksien vertailussa kustakin löydettiin heikkouksia sekä vahvuuksia, mutta merkittävimmäksi tekijäksi ratkaisun valinnassa muodostunee kustannukset, sekä tiedonsiirron tiheys. This thesis studies different options and solutions, that allow the connection of two networks of different classification levels. The thesis also goes over good cybersecurity practices on a general level, when connecting to an unknown network and/or when using a device containing confidential material.
The goal of the study was to create different models for establishing the connection securely and also abiding to the guidance provided by different parties. The goal was also to provide easily understandable solutions.
These types of solutions can be used for example when a company or community executes some sort of device or software testing, and they want to protect a unfinished product from other parties in the network. The solutions can also be used when transferring information between networks of different classification level. In this case there has to be a CDS or an IEG-solution between the networks, that is capable to restrict and possibly to filter the network traffic.
I work in the Finnish defence forces (FDF) and I have observed that these types of solutions can be executed in many ways, and different parties have different ways to achieve almost the same outcome.
The client of this thesis is FDF. The thesis is not made to serve FDF directly, and the outcomes of the thesis will not be directly used in FDF. The subject of the thesis can be sensitive, and for that reason, only publicly available material will be used. The thesis is restricted to only cover the guidance that are in effect nationally and possibly in NATO interoperability documents.
The type of the thesis is considered investigative. The information-basis is made up from publicly available documents and sources. Research is made from documents and sources available from the internet. No interviews were conducted.
During the investigation it was apparent, that there are many ways to solve this problem. In this thesis there were two possible solutions presented. When comparing the solutions, both of them have strenghts and weaknesses, the most likely deciding factor will be the cost and the frequency of the data transfers.
Tutkimuksen tavoitteena oli muodostaa erilaisia malleja siitä, miten liittäminen voidaan toteuttaa tietoturvallisesti, sekä asiaa ohjaavien määräysten ja ohjeiden mukaisesti. Tavoitteena oli myös tuottaa helposti ymmärrettäviä ratkaisuja.
Tutkitun kaltaiset ratkaisut voivat tulla kyseeseen esimerkiksi silloin, kun yritys tai yhteisö toteuttaa jonkinlaista laite- tai sovellustestausta ja keskeneräistä tuotetta halutaan suojata muilta verkossa olevilta tahoilta. Tutkittuja ratkaisuja voidaan käyttää myös pysyvästi, silloin kun halutaan tuoda tai viedä tietoa sellaisesta verkosta, joka on turvaluokitukseltaan korkeampi. Tällöin on verkkojen väliin toteutettava ratkaisu, joka kykenee sillä hetkellä vallitsevien määräyksien ja vaatimuksien mukaisesti rajoittamaan ja/tai jopa suodattamaan liikennettä.
Työskentelen Puolustusvoimissa tämänkaltaisten ratkaisujen parissa ja olen huomannut, että yhdyskäytäväratkaisun voi toteuttaa monella eri tavalla ja eri tahoilla on erilaisia tapoja sekä ratkaisuja lähes saman lopputuleman saavuttamiseksi.
Opinnäytetyön toimeksiantaja on Puolustusvoimat. Opinnäytetyötä ei tehdä suoraan Puolustusvoimien tarpeeseen, eikä sen lopputuloksia tai tutkimustuloksia käytetä suoraan hyödyksi Puolustusvoimissa. Aiheen arkaluontoisuuden takia opinnäytetyössä käsitellään vain julkisesti saatavilla olevaa tietoa. Opinnäytetyön rajaukseksi on päätetty Suomen sisällä vaikuttavat ohjeet ja määräykset, sekä mahdollisesti NATO:n julkisesti saatavilla olevat yhteistoimintaa koskevat asiakirjat.
Opinnäytetyö on tyypiltään tutkimuksellinen ja sen tietopohja koostuu julkisesti saatavilla olevista, kansallista tietoturvaa koskevista määräyksistä ja lähteistä. Tutkimusainestoa kerättiin internetistä, julkisia lähteitä käyttäen. Opinnäytetyössä ei toteutettu haastatteluja.
Tutkimuksessa havaittiin, että vaatimuksien täyttämiselle on useita eri tapoja. Työssä kuvattiin kaksi ratkaisua, joilla tiedonsiirto voitaisiin toteuttaa. Toteutuksien vertailussa kustakin löydettiin heikkouksia sekä vahvuuksia, mutta merkittävimmäksi tekijäksi ratkaisun valinnassa muodostunee kustannukset, sekä tiedonsiirron tiheys.
The goal of the study was to create different models for establishing the connection securely and also abiding to the guidance provided by different parties. The goal was also to provide easily understandable solutions.
These types of solutions can be used for example when a company or community executes some sort of device or software testing, and they want to protect a unfinished product from other parties in the network. The solutions can also be used when transferring information between networks of different classification level. In this case there has to be a CDS or an IEG-solution between the networks, that is capable to restrict and possibly to filter the network traffic.
I work in the Finnish defence forces (FDF) and I have observed that these types of solutions can be executed in many ways, and different parties have different ways to achieve almost the same outcome.
The client of this thesis is FDF. The thesis is not made to serve FDF directly, and the outcomes of the thesis will not be directly used in FDF. The subject of the thesis can be sensitive, and for that reason, only publicly available material will be used. The thesis is restricted to only cover the guidance that are in effect nationally and possibly in NATO interoperability documents.
The type of the thesis is considered investigative. The information-basis is made up from publicly available documents and sources. Research is made from documents and sources available from the internet. No interviews were conducted.
During the investigation it was apparent, that there are many ways to solve this problem. In this thesis there were two possible solutions presented. When comparing the solutions, both of them have strenghts and weaknesses, the most likely deciding factor will be the cost and the frequency of the data transfers.