![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Определение зон безопасности на сетях связи и формирование набора требований к обеспечению безопасности ⇐ ПредыдущаяСтр 9 из 9
Зоны безопасности для оператора связи. В основу определения зон безопасности второго сценария положим базовое представление сети согласно рисунку 4. На уровне доступа находится оборудование пользователя и оборудование, отвечающее за доступ к сети. Там образом, на уровне доступа образуется следующие зоны: - небезопасная зона, которая представлена оборудованием и ПО пользователя. Учитывая, что оборудование находится полностью под контролем пользователя, то требования безопасности к данной зоне могут быть заданы исходя из возможности ПО; - условно безопасная зона – это оборудование доступа (точки доступа, базовые станции, коммутаторы LAN), радиоканалы и каналообразующее оборудование. Данное оборудование обеспечивает пользователю возможность получения услуги доступа в сеть, но находится в ведении оператора связи или субпровайдера. Оборудование доступа обычно реализует уровни не выше сетевого, но чаще всего обеспечивает физический и канальный уровни. Оно находится в пределах возможного доступа для физического воздействия (антропогенных и природных явлений, а также злого умысла, в том числе – электромагнитных воздействий). Требования к данной зоне задаются, исходя из возможностей как ПО, так и физической доступности оборудования; - безопасная зона с возможностью уязвимостей включает в себя оборудование уровня агрегации, а также граничное оборудование, находящее в зонах ответственности нескольких операторов. Примерами такого оборудования являются шлюзы, граничные маршрутизаторы, серверы услуг (почта, файл-серверы, веб-серверы), а также коммутаторы и маршрутизаторы сегментов сети, которые находятся на территории клиентов или субпровайдеров (но находятся под контролем оператора связи) и могут частично управляться клиентами (например, хостинг). Требования к безопасности для этой зоны должны учитывать возможность несанкционированного физического доступа к оборудованию, возможность внедрения в систему управления сетевыми элементами, доступ к учетным записям пользователей. - безопасной зоной можно считать оборудование, находящееся в доступности только персонала оператора связи согласно должностной инструкции, находящееся на территории оператора связи, не имеющее соединений с другими сетями. Требования к этой зоне должны включать политику внутренней безопасности оператора, требования к системе управления сетью и требования к подключению к узлам, не входящими в безопасную зону. Отметим отдельно, что серверы услуг не могут входить в данную зону, так как позволяют осуществлять доступ к ним пользователей и других операторов. На рисунке 6 представлено делегирование по зонам безопасности для оператора связи, владеющего инфраструктурой.
Возможные места уязвимости определяются, исходя из зональности. Например, в небезопасной зоне уязвимыми оказываются все сетевые элементы и ПО, прежде всего из-за легкости физического доступа. В безопасной зоне уязвимым является ПО оборудования связи: причиной такой уязвимости может стать сбой ПО, обновление ПО, действия обслуживающего персонала – непреднамеренные или злонамеренные. Дадим классификацию оборудования, относящегося к различным зонам безопасности, типов угроз, возникающих в каждой из зон, и базовых мероприятий, механизмов и средств, необходимых для осуществления указанных мероприятий (Таблица 1). Отметим, что операторы, владеющие инфраструктурой, могут подразделяться на различные типы в соответствии с реестром операторов связи [16], но в таблице 1 такое разделение не предусмотрено. Продолжение таблицы 1
Продолжение таблицы 1
* - Существуют услуги, не подразумевающие обеспечение шифрования, контроля за состоянием логического соединения из конца в конец, качества обслуживания, конфиденциальности. То есть, услуга предоставляется пользователю «как есть» в сквозном соединении без гарантий. В этом случае должно отображаться соответствующее предупреждение
|