H.323– Стандарт мультимедийных приложений H.323

INAP – (англ. Intelligent Network Application Part) — Прикладная Часть Интеллектуальной сети, часть Общеканальной Системы Сигнализации № 7. Она обычно базируется на ресурсах подсистемы средств транзакций (TCAP) и предназначена для передачи сообщений интеллектуальной сети (IN).

Сетевые функции IN могут быть реализованы в различных элементах сети:

§ Функции коммутации услуг (SSF) - сосредоточены в узле коммутации услуг (SSP)

§ Функции управления услугами (SCF) - в узле управления услугами (SCP)

§ Функции данных для услуг (SDF) - в узле данных для услуг (SDP)

Так как все функции IN могут быть разделены между собой как логически, так и физически, их взаимодействие осуществляется по специальному протоколу системы ОКС-7 - INAP.

Шлюз-VoIP –

 

SCP

ISUP – ISUP (англ. ISDN User Part) — Прикладная Часть ISDN, часть Общеканальной системы сигнализации № 7, которая используется для установления телефонных соединений в Телефонной сети общего пользования. Она была описана в ITU-T, в рекомендациях серии Q.76x[1].

SSP/IP – 1.2.3 АТС с функциями SSP/IP может использоваться для организации пунктов коммутации услугами на местном уровне.

 

ТфОП/IN –

Традиционные операторы ТФОП начинают воспринимать телефонные станции (особенно это относится к УПАТС), не столько как средства, ориентированные на традиционные потребности телефонии, сколько в качестве комплексных мультисервисных систем. Не последнюю роль в этом процессе играет постепенное упрощение архитектуры АТС, а также совершенствование их функциональных возможностей.

Конвергенция сетей и услуг связи, внедрение в уже функционирующие в составе ТфОП коммутационные узлы и станции новых телекоммуникационных технологий и услуг, создание на базе узлов ТфОП виртуальных частных сетей (VPN), доступ через эти узлы ТфОП в глобальную сеть Интернет – все эти элементы в телекоммуникациях имеют и оборотную сторону. Такой оборотной стороной является увеличение угроз информационной безопасности сетей связи.

Анализ многочисленных уязвимостей коммутационных узлов и станций позволяет сделать вывод, что если нарушитель сознательно намерен причинить вред объекту атаки, то современная телефонная инфраструктура является для этого весьма подходящим инструментом.

Это объясняется и тем, что:

1. Телефонные комплексы находятся в эксплуатации длительное время (десятки лет) и поэтому не всегда базируются на самых последних технологических достижениях в области защиты информации. В силу традиционности архитектуры АТС и того обстоятельства, что само телефонное оборудование выпускают ограниченное число производителей, изучив подробно несколько типовых решений, можно успешно атаковать большинство существующих систем.
2. Новые версии ПО АТС часто загружаются удаленно. Управление этим процессом можно перехватить и установить в систему «закладку». Наконец, многочисленные ДВО (дополнительные виды обслуживания) и их комбинации могут использоваться нарушителями «своеобразно», совсем не так как это предусматривалось разработчиком, что также может привести всю систему к полной блокировке. Списки аналогичных уязвимостей телефонных систем можно продолжить.

Необходимость принятия для ВСС новых подходов и технологий по защите информации определяется рядом причин к которым можно отнести:

• ВСС первоначально развивалась в соответствии с требованиями функциональности, а не обеспечения безопасности. Использование новых технологий, появление на сети конвергированных служб, использование мощных узлов коммутации, в которых на первое место выдвигались технологические и маркетинговые задачи, а не безопасность.

• Использование последних достижений компьютерных технологий снижает квалификацию рядового пользователя ВСС и эта тенденция облегчает задачу потенциального нарушителя, поскольку "персонализация" средств информатизации приводит к тому, что пользователи сети сами начинают осуществлять администрирование своих систем.

• Для новых технологий обработки информации сами устройства обработки обладают интеллектуальными функциями, поскольку не только обрабатывают данные, но и интерпретируют интегрированные в них функции специальных языков программирования, являясь, таким образом, ЭВМ со стандартной архитектурой, для которой можно создавать средства нападения, вирусы и т. п. Это затрудняет защиту данных и расширяет возможности нарушителя.

• Документы Гостехкомиссии Украины, представляющие собой устаревшие положения "Оранжевой книги" больше не могут отвечать современным технологиям безопасности. Эти документы были ориентированы, в основном, на системы военного применения, в них отсутствуют требования к защите от угроз работоспособности, а политика безопасности трактуется исключительно как поддержание режима секретности и отсутствие в системе НСД.

Взаимоувязанная сеть связи является частью телекоммуникационного комплекса страны и, как элемент обеспечения национальной безопасности, требует регламентации нормативными и правовыми решениями на государственном уровне.

Для эффективного обеспечения информационной безопасности (ИБ) защитные мероприятия должны быть рассредоточены по разным объектам. В первую очередь, информация должна быть защищена там, где она создается, накапливается, перерабатывается, хранится, и, прежде всего, теми организациями, которым может быть нанесен урон при несанкционированном доступе к данным.

С ростом угроз, как всегда происходило в истории техники, начала развиваться и индустрия средств защиты телекоммуникационных систем. Это развитие можно условно разделить на два направления: внутристанционные средства информационной безопасности и межстанционные(сетевые) средства защиты. Если внутристанционные средства защиты представлены на российском рынке довольно широко, имеющиеся сетевые средства защиты ориентированы в основном на сети передачи данных, в то время как практически отсутствуют подобные решения, ориентированные на инфраструктуру ТфОП. Полезным исключением из этого правила является концепция построения системы тестирования и контроля соединительных линий (СТИКС), фактически реализующая принципы FireWall для телефонной сети и повышающая общий уровень безопасности, дающая более высокую гарантию как отдельной АТС, так и ТфОП в целом. Реализация данного интегрального подхода для телефонных сетей ВСС осуществлена, в частности, на базе интеллектуальной платформы ПРОТЕЙ. В упрощенном виде эта система известна под именем ПРОТЕЙ-TFW(Telephone Firewall) и более подробно рассмотрена в.WWW.protei.ru.

Факторы определяющие надежную защиту системы отрасли «Связь» от информационного воздействия нарушителя возможна на основе:

a) Разработки отечественных закрытых технологий и реализующих их компонентов защиты информации(ЗИ). Использование технических средств, производимых иностранными фирмами, может защитить информацию на уровне отдельных элементов, не связываемых в систему (что противоречит требованиям нормативных документов). Можно построить систему ЗИ, используя компоненты, произведенные одной иностранной фирмой, но обеспечить при этом надежную и полную конфиденциальность информации очень сложно (не говоря уже о том, что необходимы гарантии отсутствия в используемых продуктах «закладок» и «дыр»);

b) С течением времени средства защиты морально устаревают, расширяется список уязвимых мест и путей атак. Поэтому необходимо периодически пересматривать действующие организационно-распорядительные документы и обновлять средства защиты.

Таким образом, разработка и внедрение в ТФОП отечественных средств коммутационной техники снимает массу проблем, связанных с безопасностью. При этом, покупка и ввод в эксплуатацию современных АТС зарубежного производства могут породить ряд проблем с точки зрения информационной безопасности.

К таким проблемам относятся:

a) интерфейсы, специализированные для не телефонных функций четвертого уровня (ТСАР, ОМАР и др.) системы ОКС-7 могут быть использованы для скрытого ввода команды, реализующей несанкционированные воздействия на АТС. В указанных подсистемах системы ОКС-7 организуется доступ к сетевым базам данных и, как следствие этого, возникает опасность их преднамеренного искажения, что может повлечь за собой нарушение работы всей сети;

b) при разработке ПО отечественных комплексов соблюдаются определенные правила обеспечения безопасности, как-то:

• разработка процедуры модификаций кода, предусматривающая обязательное адекватное тестирование каждой версии ПО;
• сопровождение исходного кода на сервере и пересылка только объектного кода; идентификация резервных копий и др.;

c) большая доля уверенности, что в отечественном ПО отсутствуют преднамеренно внесенные "закладки" и, следовательно, нет необходимости разработки специальных стратегий защиты при активации таких "закладок" особенно на междугородной и международной сети.

Определение обоснованных требований по защите современных телекоммуникационных комплексов от несанкционированного доступа к информации и анализ степени защищенности представляется достаточно сложной задачей.

Во многом такое положение объясняется отсутствием соответствующих нормативных документов. При проведении сертификационных испытаний АТС по требованиям безопасности информации, как правило, производится проверка на соответствие требованиям РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

Следует иметь в виду, что на основании вышеуказанного Руководящего документа можно оценивать безопасность не всей АТС, а только ее управляющей подсистемы (АСУ).

Особенности телефонной станции как объекта защиты от несанкционированного доступа - сложность программного обеспечения (ПО). При разработке ПО не исключены случайные и умышленные ошибки, внесенные в ПОпри проектировании. Эти ошибки можно рассматривать как один из видов угроз. Холстед Н.Х. первым ввел понятие типовой нормы внесения ошибки проектирования на единицу сложности ПО. В связи с этим вносят понятие надежности ПО, - свойство объекта сохранять во времени значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, ремонта, хранения и транспортировки. При этом действия угроз иного вида (умышленные угрозы) можно рассматривать по аналогии с неумышленными ошибками (погрешности проектирования), проявляющимися нормированно на единицу сложности, но с иными количественными параметрами, определенными темпами и вероятностью действия угроз.

Комплексная защита информации (ЗИ) в системах и средствах связи должна включать в себя реализацию требований к защите от:

•перехвата информации в каналах связи;

•несанкционированного доступа (НСД) к информации;

•утечки информации по побочным каналам;

•возможного внедрения в средства связи специальных технических устройств перехвата информации;

•программно-технических воздействий и программ-вирусов.

Таким образом:

1. Надежная защита отрасли «Связь» от информационного воздействия нарушителя возможна только на основе разработки отечественных решений. Использование технических средств, производимых иностранными фирмами, может защитить информацию на уровне отдельных элементов, не связанных в систему (что противоречит требованиям нормативных документов).

2. Применительно к сетям связи – это угрозы НСД к услугам связи, угрозы хищения информации, передаваемой по сети, и угрозы физического уничтожения или нарушения работоспособности объектов и линий связи, приводящего к отказу в обслуживании.

3. Правильный выбор средств защиты зависит от статуса организации связи (государственное предприятие, АО и пр.), решаемых ею задач, наличия финансовых и человеческих ресурсов и т.п. Все эти вопросы излагаются обычно в документах, относящихся к политике безопасности, на основании которой и осуществляется выбор, приобретение готовых или разработка дополнительных средств защиты.

4. Для ТфОП, основными техническими возможностями обнаружения и пресечения попыток НСД является оборудование и ПО, позволяющее анализировать права связи абонентов. Наиболее вероятными местами атак являются коммутационные станции и узлы иностранного производства, т.к. в их составе могут присутствовать программно - аппаратные «закладки», выполняющие недокументированные функции и позволяющие получить НСД как к передаваемой информации, так и к программному обеспечению коммутационного оборудования. Для защиты от таких атак на стыках с междугородной (международной) телефонной сетью необходимо применять шлюзовые устройства, позволяющие выявлять и блокировать любые нарушения в протоколах обмена сигналами. Кроме того, необходимо также вести наблюдение за трафиком и проверять наличие вызываемого номера в БД. Соответствующие устройства должны разрабатываться и изготавливаться только специалистами государственных предприятий и институтов.

5. В корпоративных сетях основные меры предотвращения хищения информации должны обеспечиваться биллинговыми системами и надежной аутентификацией пользователейприудаленном доступе. Основными объектами атак с целью хищения информации будут аналоговые участки сети и центры коммутации. Так как большинство аналоговых участков сосредоточено в офисе абонента, защита этого сегмента должна быть направлена на поиск чужих технических средств съема информации и на контроль побочных электромагнитных излучений.

6. Средства защиты в виртуальных частных сетях VPN должна предусматривать высокостойкое засекречивание информации, передаваемой по коммутируемому каналу, который проходит через сеть общего пользования.

7. При создании надежных средств ЗИ в отрасли "Связь" первоочередной задачей является разработка нормативно-методических и правовых документов, которые будут регулировать все вопросы, связанные с ИБ в ВСС Украины. Из имеющихся стандартов не могут быть взяты за основу документы Гостехкомиссии 1996 года, так как они ориентированы, в основном, на системы военного применения и не содержат требований к защите работоспособности, а политику безопасности трактуют только как поддержание режима секретности и отсутствие НСД. Кроме того, согласно этим документам средства защиты ориентированы на противостояние исключительно внешним угрозам.

8. Необходимо разработать типовую программу и методику комплексного тестирования системы ИБ сертифицированных телекоммуникационных комплексов.

9. Для предотвращения НСД с рабочих мест операторов коммутационных комплексов необходимо использовать сертифицированные средства защиты (например: "Аккорд", "Dallas Lock", "Secret Net"). В зависимости от архитектуры управляющей подсистемы должен быть выбран автономный или сетевой вариант комплекса защиты.

10. При невозможности реализации защиты в полном объеме с помощью СЗИ АРМ должны быть разработаны дополнительные программно-аппаратные средства. Необходимость и состав дополнительных средств защиты определяются по результатам анализа уязвимости коммутационных комплексов узлов.

11. После разработки и внедрения комплекса средств защиты информации должны быть проведены его сертификационные испытания в системе сертификации с оформлением сертификата по требованиям безопасности информации.

Контрольные вопросы: