Информационная безопасность ОКС№7
Во многих работах по информационной безопасности общеканальной сигнализации ОКС№7 [72,73] отмечается ее уязвимость по отношению к атакам нарушения маршрутизации, приводящим к нарушению работы сетей связи общего пользования (ССОП). Специалисты фирмы Cisco отмечают, что в их оборудовании ОКС№7 не предусмотрены механизмы аутентификации для защиты от атак типа "отказ в обслуживании" DoS [72].
Настоящий раздел посвящен описанию ущерба от таких атак, наносимого работе ССОП РФ (ТфОП/ISDN, GSM и интеллектуальных сетей связи IN).
Архитектура сетевой безопасности ОКС№7
В приложении А приведены общие положения по архитектуре сетевой безопасности в соответствии с рекомендацией ITU-T Х.805, которые могут быть применимы к конкретной технологии сети связи. В настоящем разделе приводится архитектура сетевой безопасности для одной из таких технологий - системы сигнализации ОКС№7 [74,75].
Уровни безопасности ОКС№7
Приведенные в Х.805 способы обеспечения ИБ относятся и к группе оборудования ОКС№7, которое в соответствии с общими положениями по архитектуре сетевой безопасности распределены по уровням безопасности (Security Layers).
Учитывая особенности ОКС№7, способы обеспечения ИБ рассматриваются относительно двух уровней безопасности: уровень безопасности инфраструктуры (Infrastructure Security) и уровень безопасности приложений (Application Security). Взаимосвязь уровней безопасности основана на иерархическом принципе. Уровень безопасности инфраструктуры обеспечивает уровень безопасности приложений.
Уровень безопасности инфраструктуры относится к устройствам ОКС№7: оконечным, промежуточным и транзитным пунктам сигнализации. Все приведенные способы обеспечения ИБ в Х.805 могут применяться ко всем уровням эталонной модели OSI уровня безопасности инфраструктуры ОКС№7.
Способы обеспечения ИБ ОКС№7 на уровне безопасности инфраструктуры предназначены для того, чтобы уменьшить уязвимость к атакам, соответствующим угрозам ИБ. Способы обеспечения ИБ ОКС№7 на уровне безопасности инфраструктуры позволяют защитить уязвимость на всех уровнях ОКС№7. Оборудование трех уровней ОКС№7 всех типов пунктов сигнализации (оконечный, промежуточный, транзитный) подвержены атакам соответствующих угроз ИБ.
К ним относятся:
· физический, канальный и сетевой уровни подсистемы передачи сообщений MTP;
· сетевой уровень подсистемы управления соединением сигнализации SCCP.
Последствия воздействия угроз ИБ на четвёртом (прикладном) уровне одного пункта сигнализации ОКС№7 уровня безопасности инфраструктуры отражаются на работе только этого пункта сигнализации. В общем виде можно выделить две группы пользовательского уровня ОКС№7. К первой из них относятся пользователи, для которых большинство функции связи определено выбором информационного канала в сети ТфОП/ISDN или в сети GSM (на участке от мобильной станции коммуникации и шлюзом к ТфОП). Такая подсистема ISUP или TUP используется для межстанционной сетевой сигнализации. К другой группе относится пользователи, для которых функции не определены выбором информационного канала. К подсистемам таких пользователей на сети связи ОП относятся:
· подсистема пользователей мобильной связи стандарта GSM (MAP);
· подсистема пользователей интеллектуальной сети (INAP).
К уровню безопасности инфраструктуры относится и оборудование ССОП (ТфОП/ISDN, GSM, IN), составной частью которой является оборудование ОКС№7. В ТфОП/ISDN оборудование ОКС№7 входит в коммуникационные станции местной сети связи, междугородной и международной сети. В GSM оборудование ОКС№7 входит в центр коммутации мобильной сети связи, домашний и гостевой, транзитный и локальный центр коммутации. В IN оборудование ОКС№7 входит в узел коммутации услуг и в узел управления услугами. Программно-аппаратная неисправность одного из пунктов сигнализации ОКС№7 является маловероятной.