1. 22.5.1.1. Уровни безопасности окс№7

Приведенные в Х.805 способы обеспечения ИБ относятся и к группе оборудования ОКС№7, которое в соответствии с общими положениями по архитектуре сетевой безопасности распределены по уровням безопасности (Security Layers). Учитывая особенности ОКС№7, способы обеспечения ИБ рассматриваются относительно двух уровней безопасности: уровень безопасности инфраструктуры (Infrastructure Security) и уровень безопасности приложений (Application Security). Взаимосвязь уровней безопасности основана на иерархическом принципе. Уровень безопасности инфраструктуры обеспечивает уровень безопасности приложений.

Уровень безопасности инфраструктуры относится к устройствам ОКС№7: оконечным, промежуточным и транзитным пунктам сигнализации. Все приведенные способы обеспечения ИБ в Х.805 могут применяться ко всем уровням эталонной модели OSI уровня безопасности инфраструктуры ОКС№7.

Способы обеспечения ИБ ОКС№7 на уровне безопасности инфраструктуры предназначены для того, чтобы уменьшить уязвимость к атакам, соответствующим угрозам ИБ. Способы обеспечения ИБ ОКС№7 на уровне безопасности инфраструктуры позволяют защитить уязвимость на всех уровнях ОКС№7. Оборудование трех уровней ОКС№7 всех типов пунктов сигнализации (оконечный, промежуточный, транзитный) подвержены атакам соответствующих угроз ИБ. К ним относятся:

• физический, канальный и сетевой уровни подсистемы передачи сообщений MTP;

• сетевой уровень подсистемы управления соединением сигнализации SCCP.

Последствия воздействия угроз ИБ на четвёртом (прикладном) уровне одного пункта сигнализации ОКС№7 уровня безопасности инфраструктуры отражаются на работе только этого пункта сигнализации. В общем виде можно выделить две группы пользовательского уровня ОКС№7. К первой из них относятся пользователи, для которых большинство функции связи определено выбором информационного канала в сети ТфОП/ISDN или в сети GSM (на участке от мобильной станции коммуникации и шлюзом к ТфОП). Такая подсистема ISUP или TUP используется для межстанционной сетевой сигнализации. К другой группе относится пользователи, для которых функции не определены выбором информационного канала. К подсистемам таких пользователей на сети связи ОП относятся:

6. подсистема пользователей мобильной связи стандарта GSM (MAP);

7. подсистема пользователей интеллектуальной сети (INAP).

К уровню безопасности инфраструктуры относится и оборудование ССОП (ТфОП/ISDN, GSM, IN), составной частью которой является оборудование ОКС№7. В ТфОП/ISDN оборудование ОКС№7 входит в коммуникационные станции местной сети связи, междугородной и международной сети. В GSM оборудование ОКС№7 входит в центр коммутации мобильной сети связи, домашний и гостевой, транзитный и локальный центр коммутации. В IN оборудование ОКС№7 входит в узел коммутации услуг и в узел управления услугами. Программно-аппаратная неисправность одного из пунктов сигнализации ОКС№7 является маловероятной.

2. 22.5.1.2. Плоскости безопасности окс№7

Способы обеспечения ИБ относятся к функциям ОКС№7, которые в соответствии с общими положениями по архитектуре сетевой безопасности в рекомендации Х.805 называются плоскостями безопасности (Security Plane). Плоскости безопасности ОКС№7 делятся на плоскость безопасности управления и плоскость безопасности транспортной сети. Плоскость безопасности управления относится к защите функций эксплуатации и технического обслуживания ОАМ. Примером таких функций в ОКС№7 является управление звеньями сигнализации, которое может быть разделено на процесс активизации и деактивизации звена сигнализации (канала). Активизация является процессом создания канала для передачи сообщений сетевого уровня МТР. Обслуживающий персонал выполняет этот процесс путём вызова команд из интерфейса ОАМ, чтобы осуществить запрос об активизации канала. Когда канал отрегулирован на канальном уровне МТР и прошел тестирование он объявляется доступным для переноса сигнального трафика. Дезактивизация выводит канал из рабочего состояния, делая его недоступным для переноса сигнального трафика. Подобно активизации, этот процесс инициализируется обслуживающим персоналом путём вызова команд из интерфейса ОАМ. Нарушение ИБ ОКС№7 может быть осуществлено злоумышленником путём ложной активизации или дезактивизации канала. При этом ущерб работе ССОП не будет высоким. Плоскость безопасности транспортной сети относится к защите всех четырёх уровней ОКС№7 при воздействии намеренных угроз нелегитимного использования основных функций. Ниже приводятся краткое описание этих функций ОКС№7, а также общие положения по наибольшему ущербу в сетях связи ОП при реализации этих угроз. Подсистема пользователя ISUP совместно с подсистемой передачи сообщений МТР обеспечивает соединение со стационарными абонентами ССОП. Нарушение ИБ ОКС№7 при нелегитимном воздействии на функцию ISUP может приводить к отказу в установлении соединений, проходящих через конкретный пункт сигнализации, которому принадлежит эта подсистема пользователя. Нарушение ИБ ОКС№7 при нелегитимном воздействии на функцию ISUP приводит к отказу в установлении соединений мобильным станциям, приписанных только к этому оборудованию. Подсистема пользователя MAP выполняет функцию отслеживания местоположения абонента, роуминга, доставки коротких текстовых сообщений SMS и др. Нарушение ИБ ОКС№7 при нелегитимном воздействии на эти функции GSM может привести к отказу в установлении соединений с абонентами-роумерами, передаче SMS, приписанных к одному центру коммутации GSM .

Подсиcтема INAP выполняет функцию предоставления услуги пользователю путем обмена сообщениями между двумя узлами интеллектуальной сети SCP и SSP. Приведем принцип выполнения этой функции на упрощенном примере предоставления услуги «Приплата» (PRM, Premium Rate). Все сообщения между SCP и SSP можно разделить на две группы:

• пересчет кода и номера услуги в адрес абонента услуги (юрист, врач и др.);

• определение размера оплаты и распределение оплаты между оператором связи, поставщиком услуги и пользователем услуги.

Нарушение ИБ ОКС№7 при нелегитимном воздействии на эти функции может привести к отказу в предоставлении услуги IN, неправильном распределении оплаты за услугу только абонентов, пользующихся этой интеллектуальной платформой. Уровни МТР с первого по третий включают в себя функции передачи информации от одного пункта сигнализации к другому. Функционирование каналов передачи сообщений обеспечивается комбинацией подсистем первого уровня (МТР1) и второго уровня (МТР2). Нарушение ИБ ОКС№7 при нелегитимном воздействии на эти функции может привести к отказу только одного звена сигнализации. Подсистема сетевого уровня МТР3 по выполнению функций обработки сообщений сигнализации. Эта функция производит маршрутизацию сообщений для соответствующих сетевых адресатов. Если принимающий узел не является пунктом назначения, то МТР3 выполняет функцию маршрутизации (т.е. узел является транзитным STP). Если принимающий узел является пунктом назначения, то используется функция доставки принятых сообщений соответствующей подсистеме пользователя или функциям управления сетью сигнализации. Использование нарушителем функций маршрутизации для нарушения таблицы маршрутизации является маловероятным, хотя реализация такой угрозы могло бы привести к отказу в предоставлении соединений и/или услуг одновременно для большого числа абонентов ССОП, обслуживаемых данным пунктом сигнализации. Подсистема сетевого уровня МТР3 по выполнению функций управления сетью сигнализации. Эти функции с помощью набора специальных сообщений и процедур производят обработку отказов в сети таким образом, чтобы информационные сообщения могли достигать своих адресатов, если это возможно. Эти процедуры координируют ресурсы ОКС№7, которые становятся доступными или недоступными. Отказ звена сигнализации одного пункта сигнализации или отказ пункта сигнализации может повлечь недоступность проходящих через него маршрутов сигнализации к пункту сигнализации назначения, что в свою очередь может вызвать изменение таблицы маршрутизации и в других пунктах сигнализации ОКС№7. Последствием такой атаки может быть вывод из рабочего состояния части сети связи общего пользования страны.