Телекомукаційний вузол

Потрібно обраховувати необхідні ресурси для забезпечення захисту інформації з обмеженим доступом:

- створення структури (служби безпеки) для забезпечення захисту інформації з обмеженим доступом, підготовку та підвищення кваліфікації працівників безпеки;

- організацію фізичної охорони, пропускного режиму й охорони приміщень та зберігання матеріальних носіїв інформації з обмеженим доступом;

- розробку внутрішніх документів (інструкцій, правил і положень), які регламентують процес роботи з конфіденційною інформацією;

- забезпечення необхідним обладнаннням інженерів підприємства для виконання задач з захисту інформації.

6. Планування заходів захисту інформації на вузлі комутації

Заходи щодо безпеки інформаційних ресурсів вузла телефонної комутації мають свої особливості порівнянно з інформаційною безпекою інших систем. Система захисту інформації на вузлі комутації розглядає інформацію, технології її оброблення, користувачів, які використовують ці технології, та визначає інформаційні ресурси, які потребують захисту та вимоги до системи захисту.

Комплексна система захисту інформації (КСЗІ) у застосуванні до захисту вузла комутації складається з двох основних складових:

- використання апаратних і програмних засобів і механізмів штатної системи захисту системи комутації 5ESS;

- запровадження організаційно - технічних заходів, які забезпечують нормальне функціонування комплексу фізичного захисту і механізмів захисту вузла комутації.

КСЗІ вузла комутації на базі станції 5ESS повинна підтримувати множину правил і розмежувань, що регламентують порядок забезпечення захищеності інформаційних ресурсів вузла комутації за допомогою організаційних й інженерно - технічних заходів захисту інформації.

В основу безпеки інформаційних ресурсів вузла комутації покладено адміністративний принцип розмежування доступу з використанням технічних і програмних засобів розмежування доступу згідно з принципом мінімуму повноважень. Для втілення принципу мінімуму повноважень розроблено відповідні нормативно приписуючі інструкції, які регламентують діяльність інженерів вузла комутації.

Дані заходи можуть бути реалізовані шляхом створення КСЗІ на основі штатної системи захисту комутаційної системи 5ESS, на яку отримана експертна оцінка (сертифікат) у Департаменті спеціальних телекомунікаційних систем і захисту інформації (ДСТСЗІ) Служби безпеки України від 23.01.2003 р. №37.

Структура вузла комутації з точки зору захисту інформації складається з двох підсистем:

- підсистема управління станцією;

- підсистема комутації абонентних і з'єднувальних ліній зв'язку.

Підсистема управління станцією містить у собі:

- пеціалізовані пристрої управління (CU/AM), які реалізують принцип програмного управління, і складаються з процесорів, внутрішньої та зовнішньої пам'яті, периферійних пристроїв, спеціалізованих модулів управління сигналізацією, оброблення викликів, надання послуг і деяких інших програмно - апаратних компонентів, які є характерними для комп'ютерної техніки;

- термінали обслуговування (tty) приєднані до пристроїв управління через канали технологічного обслуговування (com port) та до підсистеми комутації через канали інформаційного обслуговування абонентів (channel).

Підсистема комутації містить у собі пристрої, які реалізують процеси комутації (TM-switch), мультиплексування та концентрації абонентських і з'єднувальних ліній (TSI), а також компоненти обладнання абонентських ліній зв'язку - абонентські прикінцеві пристрої (terminal), фізичні лінії зв'язку (trunks), пристрої абонентських ліній (AIU), станційні абонентські комплекти (LP) і тому подібне.

На виходах підсистеми управління утворюються в реальному часі потоки технологічних сигналів (команди та звіти), за допомогою яких здійснюється управління підсистемою комутації. З іншого боку, абонентські прикінцеві пристрої обмінюються управляючою інформацією з підсистемою управління станцією через канали управління з'єднанням (signaling).

Потенційні види загроз інформаційним ресурсам у вузлі комутації мають свої особливості, крім загальновідомих порушень конфіденційності, цілісності, порушення доступності (відмова в обслуговуванні), спостережності (керованості) станції, необхідні заходи захисту від несанкціонованого користування інформаційними ресурсами станції (зокрема, несанкціоноване користування послугами, які надаються тощо).

Реалізація загроз для інформаційних ресурсів вузла комутації на базі системи 5ESS може здійснюватися:

- шляхом НСД до інформаційних ресурсів вузла комутації, коли порушуються встановлені правила розмежування доступу з метою реалізації будь - яких з видів загроз через канал спеціального (неприпустимого регламентом) впливу за допомогою штатних засобів доступу;

- через канал спеціального (неприпустимого регламентом) впливу із застосуванням штатних основних програмних і технічних засобів станції (але не штатних засобів доступу) на обладнання, програми, дані і процеси з метою реалізації будь - яких з видів загроз для інформації вузла;

- через канал спеціального (неприпустимого регламентом) впливу на параметри середовища функціонування вузла з метою порушень доступності до інформації на вузлі комутації;

- через канал спеціального впливу на компоненти 5ESS за допомогою апаратних або програмних закладень, запроваджених в процесі її експлуатації з метою реалізації будь - яких із видів загроз;

- через канал спеціального впливу позаштатними програмними або технічними засобами на елементи обладнання, програми, дані і процеси вузла комутації, встановленими в процесі її експлуатації з метою реалізації будь - яких із видів загроз інформації вузла;

- через кількісну або якісну недостатність компонентів вузла комутації з метою реалізації будь - яких із видів загроз для інформації;

- за рахунок використання випадкових збоїв і відмов у роботі обладнання вузла комутації з метою реалізації будь - яких із видів загроз для інформаційних ресурсів;

- за рахунок використовування помилок і некоректних (зокрема, зловмисних) дій відповідальних осіб при зберіганні критичної інформації на фізичних носіях з метою реалізації будь - яких із видів загроз для інформаційних ресурсів на ЦКС.

Потенційні загрози інформаційним ресурсам вузла комутації, що специфічні для комутаційної системи 5ESS:

- НСД до операційної системи (програмного забезпечення підсистеми управління);

- НСД до системного термінала (tty), якій приєднано або може бути приєднано до підсистеми управління;

- НСД до модемної лінії доступу до модуля технічної експлуатації;

- перевантаження через лавиноподібне зростання числа телефонних викликів;

- НСД до фізичних носіїв інформації (жорсткі диски, магнітні стрічки) з програмним забезпеченням;

- НСД до станційного кроса;

- активізація нештатних додаткових видів обслуговування.

Об'єктами захисту інформаційних ресурсів вузла комутації на базі системи комутації 5ESS є:

- апаратні засоби, спеціальні впливи, на які через технічні канали і шляхом НСД, можуть привести до створення та реалізації загроз для інформаційних ресурсів:

- програмно -інформаційні компоненти, на яких знаходиться технологічна інформація, що підлягає захисту.

Елементи (модулі і блоки) вузла комутації 5ESS, які можуть бути об'єктами реалізації загроз, - це:

1. Адміністративний модуль (AM).

2. Комутаційний модуль (CM).

3. Комутаційні модулі (SM).

4. Станційний крос (DDF).

5. Обладнання електроживлення.

До специфічної інформації, яка підлягає захисту у вузлі комутації, відноситься:

1. Інформація про абонентів, яка обробляється і зберігається на станції.;

2. Технологічна інформація в підсистемі управління, зокрема інформація підсистеми захисту інформації.

3. Технологічна інформація в каналах сигналізації (signaling link).

Інформація про абонентів, яка є інформацією приватних осіб, та інформація, яка є власністю держави, у визначенні Закону України'Про інформацію» може належати до статистичної, правової, соціологічної інформації або інформації, що використовується для забезпечення діяльності державних органів (органів місцевого самоврядування). Згідно з постановою Кабінету Міністрів від 29.03.2006 №373 під час оброблення у вузлі комутації така інформація повинна зберігати цілісність та доступність. Ця вимога досягається шляхом створення КСЗІ, яка забезпечує захист від несанкціонованих дій, які можуть привести до її випадкової або навмисної модифікації або знищення

Технологічна інформація є власністю підприємства - власника вузла комутації і є конфіденційною. До неї висуваються вимоги конфіденційності, цілісності, доступності та спостережності.

Докладніший список конфіденційної інформації вузла комутації мобільного оператора такий.

Характеристика інформаційного середовища.

На ЦКС 5ESS циркулює інформація, яка підлягає захисту. До неї відносяться:

1) абонентна інформація;

2) технологічна інформація в підсистемі управління вузлом;

3) дані про базові станції мобільного зв'язку;

4) дані про канали (з'єднувальні лінії) з іншими вузлами комутації;

5) дані про абонентські послуги;

6) дані щодо оплати послуг зв'язку;

7) дані про абонентний трафік;

8) файли з програмним забезпеченням станції 5ESS (завантажувальні магнітні стрічки);

9) дані про конфігурацію обладнання вузла комутації;

10) дані підсистеми захисту інформації;

11) файли з протоколами роботи обслуговуючого персоналу (лог - файли команд інженерів);

12) файли з протоколами роботи технічних засобів вузла комутації;

13) технологічна інформація в каналах міжстанційної сигналізації.

Розмежування доступу різних категорій користувачів (інженерів вузла комутації) до типів ресурсів станції 5ESS встановлюється в межах задач кожного користувача, виходячи з таких правил:

- керівник або адміністратор безпеки вузла комутації має доступ до: інформаційних об'єктів, які містять загальнодоступну інформацію; службової інформації КСЗІ; засобів захисту інформаційних ресурсів, операційних систем і прикладного ПО; технічних засобів, які задіяні в технологічному процесі управління КСЗІ; інших об'єктів з правами доступу іншого адміністратора (для резервування цих функцій);

- технічний обслуговуючий персонал (користувач) вузла комутації має доступ до: інформаційних об'єктів, які містять загальнодоступну інформацію; інформаційних об'єктів, які містять технічну, проектну, експлуатаційну документацію; відповідних технічних засобів вузла для проведення робіт зо обслуговування й експлуатації

Надання обслуговуючому персоналу (інженерам станції 5ESS) певного профілю атрибутів доступу, до певного ресурсу та його прав доступу здійснюється лише у випадках виконання таких умов:

- категорія користувача (інженера) відповідає рівню доступу до об'єкта захисту, як це визначено загальними правилами розмежування доступу;

- доступ до даного об'єкта захисту безумовно службовими обов'язками користувача (інженера);

- вид взаємодії користувача (інженера) з об'єктом захисту (перелік дій над об'єктом) встановлено як дозволений;

- вид взаємодії користувача (інженера) з об'єктом захисту визначено службовими обов'язками

Заходи з забезпечення безпеки фізичного середовища вузла комутації мобільного оператора повинні відповідати вимогам категорії А, ДБН 78.11.001-98'Укріплення об'єктів, які охороняються за допомогою пультів централізованого нагляду Державної служби охорони. Загальні технічні вимоги».

Правила пожежної безпеки повинні відповідати вимогам НАПБ В.01.001-98/5.2.00'Правила пожежної безпеки в галузі зв'язку».

Віддалене обладнання розміщено в шафах, які встановлюються в спеціально виділених фізично захищених приміщеннях.

Резервні носії інформації вузла комутації на магнітних стрічках або лазерних компакт - дисках повинні зберігатися в призначених для цього місцях у металевих шафах, приєднаних до системи заземлення. Не допускається зберігати такі носії на відкритих місцях, ящиках столів або в незакритих металевих шафах.

Висновок

5ESS є єдиною на сьогоднішній день станцією, що дозволяє використовувати будь-який фізичний носій. На одній платформі може бути розгорнута будь-яка комбінація служб, включаючи провідну та бездротовий зв'язок, передачу голосу і даних. З установкою 7R / E Packet Driver (5Е-ХС) станція 5ESS підтримує мережі IP / АТМ і комутацію каналів. На одній платформі реалізуються послуги міжнародного, міжміського і платній зв'язку, операторські служби, транзитна передача, комплексні послуги передачі даних і відео.

Одна з унікальних характеристик 5ESS полягає в застосуванні розподіленої архітектури, що дозволяє нарощувати ємність простим додаванням модулів, які можуть бути виділені для окремих послуг (наприклад, міжміський зв'язок або передача даних). Модулі віддаленої комутації можуть розташовуватися на відстані до 1000 км. oi головного комутатора, що полегшує телефонізацію нових регіонів. Станція підтримує будь-яку стратегію розширення, не обмежуючи оператора у виборі нових послуг.

Більш ніж в 50 країнах встановлено чотири тисячі станцій, які обслуговують понад 108 млн. Абонентських і 48 млн. З'єднувальних ліній. Комутатор 5Е8Б в повній конфігурації обслуговує до 250 тисяч абонентських і більше 100000 з'єднувальних ліній. В лінію 5Е88 входять різні комутаційні станції, призначені для використання в різноманітних додатках.

Список літератури

1) НД ТЗІ 1.1-001-99. Технічний захист інформації на програмно - керованих АТС загального користування. Основні положення. - Режим доступу: http://www.dsszzi.gov.ua/dstszi/control/uk/publish/article? art_id= 40371&cat_id=38835.

2) НД ТЗІ 2.5-001-99. Технічний захист інформації на програмно - керованих АТС загального користування. Специфікації функціональних послуг захисту.

3) НД ТЗІ 2.5-002-99. Технічний захист інформації на програмно - керованих АТС загального користування. Специфікації гарантій захисту.

4) НД ТЗІ 2.5-003-99. Технічний захист інформації на програмно - керованих АТС загального користування. Специфікації довірчих оцінок коректності реалізації захисту.

5) НД ТЗІ 2.7-001-99. Технічний захист інформації на програмно - керованих АТС загального користування. Порядок виконання робіт. - Режим доступу: http://www.dsszzi.gov.ua/dstszi/control/uk/publish/ article art_id=40339&cat_id=38835.

6) НД ТЗІ 3.7-002-99. Технічний захист інформації на програмно - керованих АТС загального користування. Методика оцінювання захищеності інформації (базова).

7) НД ТЗІ 2.1-001-2001. Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення.

8) КНД 45-164-2001. Типова модель загроз для формування ресурсів цифрових АТС, що використовуються в мережах електрозв'язку загального користування України. - Режим доступу: http://www.stc.gov.ua.

Размещено на Allbest.ru