Технические аспекты защиты информации в АТСЦ-90.

Технические аспекты защиты информации в АТСЦ-90.

Технические аспекты защиты информации в АТСЦ-90

Первое поколение телефонных станций с программным управлением началось с введения в 1965 году станции ESS#1 компании AT&T (как и почти все остальное в телефонии). Применение программного управления позволило относительно простыми средствами увеличить число услуг для абонентов сети и повысить качество их обслуживания.

В то же время специфика использования программного обеспечения такова, что даже случайное, а тем более умышленное, злонамеренное искажение информации может привести к тяжелым последствиям. Обеспечение конфиденциальности информации и предоставление доступа к ней только тем, кто имеет на это право, являются вопросами первостепенной важности.

Внедрение на современных телефонных станциях новых функций, абонентских и сетевых интерфейсов с использованием для этой цели стандартных средств компьютерной техники и информационных технологий увеличивает количество угроз информационной безопасности (ИБ).

Системы становятся уязвимыми, когда при наличии одной или более угроз отсутствуют меры обеспечения безопасности или имеются недостатки в системе таких мер. При этом угроза несанкционированного доступа (НСД) напрямую ассоциируется с неадекватностью контроля за доступом, а угроза потери важных функций системы — с неэффективным планированием нештатных ситуаций и т.п.

В АТСЦ-90 уровней L4 и L5 с функциями ISDN используется широкий набор терминального оборудования, абонентских и сетевых интерфейсов, типов сигнализации и видов обслуживания, предоставляемых пользователю.

Сетевая структура на базе оборудования АТСЦ-90 (рис. 1) обеспечивает соединение с абонентами других телефонных станций, а также установление нетелефонных соединений с абонентами сетей передачи данных, функционирующих во Взаимоувязанной сети связи (ВСС).

Рис. 1. Архитектура сети ВСС

Основными аспектами информационной безопасности такой системы являются:

1) надежность аппаратного и программного обеспечения;

2) идентификация и опознание пользователя;

3) регистрация и подотчетность.

Аппаратный или программный сбой (требование 1) может нарушить конфиденциальность в устройстве управления доступом с последующим понижением уровня защиты для восстановления работоспособности. Иногда даже незначительный сбой одной из микросхем памяти, например во время копирования, может привести к потере информации.

Для четырех типов применяемых в США АТС смена версии программного обеспечения (ПО) является прямой угрозой безопасности информации, что подтверждается данными Федеральной комиссии по связям США. В контексте этой статьи приводимые ниже кривые рассматриваются как частный случай, поэтому названия АТС и компании-производители не указываются.

Требование 2 предполагает:

• авторизацию терминала и/или персонала с точным определением наборов команд и процессов, доступных тому или иному пользователю, причем идентификаторы присваиваются оператором сети;

• определение пользовательского профиля для предотвращения неразрешенных действий;

• защиту файлов с помощью паролей длиной до 40 знаков. Пароль при наборе не отображается, а секретная часть протокола сеанса подавляется.

Наконец, требование 3 предполагает регистрацию всех сеансов связи. Должна существовать возможность регистрации неразрешенных данному пользователю MML команд или попыток доступа к закрытым для него данным. Информация о таких попытках должна направляться в ЦТО или специальный центр.

Концепция ИБ АТСЦ-90 должна базироваться на удовлетворении требований к компонентам сети и протоколам передачи, в том числе — гарантии достоверности и целостности данных.

Обеспечение ИБ АТСЦ-90/L5 должно достигаться с помощью системы комплексной защиты информации (КЗИ), регламентируемой Гостехкомиссией при Президенте РФ.

КЗИ в системах и средствах информатизации и связи включает реализацию требований по защите от:

• перехвата информации в каналах связи;

• несанкционированного доступа к информации;

• утечки информации по побочным каналам;

• внедрения специальных технических устройств перехвата информации;

• программно-технических воздействий и программ-вирусов.

Соответствие технических средств требованиям защиты информации устанавливается и контролируется в «Системе сертификации средств защиты информации по требованиям безопасности». РОСС RU.0001. БИОО Гостехкомиссии России.

Наличие в составе ПО возможных программных закладок (ПЗ) и их активация может дезорганизовать работу как отдельной станции, так и всей сети. Возможны различные варианты использования сигналов управления для активации ПЗ, например:

• спецрежим типа «дополнительная услуга», не указываемая в технической документации;

• специальный абонентский номер или специальные манипуляции с абонентской трубкой для обхода системы СОРМ;

• подсистема ТСАР в составе ОКС7 и организуемые на ее базе прикладные подсистемы, такие как MAP, INAP, ОМАР и др.

На основе результатов анализа типовой структуры АТС и имеющихся в настоящий момент документов Гостехкомиссии России рассмотрим концепцию ИБ АТСЦ-90/Ь5 по защите от НСД.

С учетом подхода, изложенного в руководящем документе Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», АТСЦ90/L5 состоит из двух подсистем — коммутационной и управляющей.

Рис. 2. Время полной остановки по типам коммутационных систем в год

Основные компоненты коммутационной подсистемы (рис. 3):

• цифровое коммутационное поле (ЦКП);

• модули сопряжения с абонентскими линиями (МА);

• модули сопряжения с соединительными линиями к другим АТС (МАСЛ, МСЛ);

• модули сопряжения с соединительными линиями к центру технической эксплуатации — ЦТЭ (МТЭ).

Основными компонентами управляющей подсистемы являются:

•управляющие устройства (УУ), состоящие из технических (ТС) и программных (ПС) средств;

• автоматизированные рабочие места операторов станции (АРМ).

Через внутристанционный интерфейс УУ взаимодействует с каждым функциональным блоком коммутационной системы (КС).

Набор оборудования и станционных интерфейсов ATCL[-90/L5 обеспечивает эффективную работу не только в составе ЦСИО, но и в аналогово-цифровой сети. Предусматривается также сопряжение с аналоговыми абонентскими линиями и реализация на соединительных линиях к другим АТС (кроме ОКС №7) протоколов линейной сигнализации типа 2ВСК и 1ВСК с использованием стыка ИКМ со скоростями 2,048 и 1,024 Мбит/с.

Рис. 3. Структурно-функциональная схема организации интерфейсов на ATCU-90/L5 и каналы НСД (1—7)

Состав и характеристика станционных интерфейсов (см. рис. 3):

1. Интерфейсы «пользовательсеть»:

• интерфейс Z (интерфейс аналоговой абонентской линии);

•интерфейсы VI, V3, предоставляющие возможность организации одного базового (VI) и одного первичного доступа (V3);

•интерфейсы V5.1 и V5.2, позволяющие использовать одну цифровую линию (V5.1) и до 16 цифровых линий (V5.2) со скоростью передачи символов 2048 кбит/с.

2. Интерфейс «сеть—сеть»:

• интерфейсы А, В и С со скоростью передачи символов 2048 (А), 8448 (В) кбит/с и 2- и 4-проводного аналогового стыка для приема аналогового соединения (С);

• интерфейс Q3 — для стыка с ЦТЭ.

3. Внутристанционные интерфейсы:

• интерфейс F между АТСЦ-90 и АРМ;

• интерфейс G (интерфейс «человек— машина») для функций технической эксплуатации, реализуемой в соответствии с рекомендациями ITU-T серии Z.300.

В такой структуре при определении потенциального нарушителя и составлении его модели необходимо исходить из того, что нарушитель обладает опытом эксплуатации и знаниями по техническим и программным средствам АТС, имеет физический доступ к штатным средствам АТСЦ-90 и возможность определенное время работать с этими средствами без постороннего контроля.

Рис. 4. Возможные модели НСД кАТСЦ-90

Нарушитель может воспользоваться следующими основными способами НСД к информации (рис. 4):

• непосредственное обращение к объектам доступа;

• создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;

• модификация средств защиты, позволяющая осуществить НСД;

• внедрение в технические средства АТСЦ программных и технических механизмов, нарушающих предполагаемую структуру и функции АТС и позволяющих осуществить НСД;

• проявление неисправностей оборудования АТС, приводящих к НСД. В соответствии с рекомендациями Гостехкомиссии России классификация нарушителей НСД производится в зависимости от уровня возможностей, предоставляемых им штатными средствами АТС.

Первый уровень возможностей — запуск из фиксированного набора задач (программ), реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень связан с участием в управлении функционированием системы, то есть воздействием на ее базовое программное обеспечение, состав и конфигурацию оборудования.

Четвертый, самый высокий уровень в системе, определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию, эксплуатацию и ремонт технических средств, вплоть до включения в состав оборудования собственных технических средств с новыми функциями по обработке информации.

Потенциальными нарушителями правил разграничения доступа к информации АТСЦ-90 являются:

• программисты, участвующие в разработке и изготовлении АТСЦ-90/ L5 (уровень 4);

• операторы АТС (уровень 3);

• операторы ЦТЭ (уровень 3);

• инженеры-электронщики* (уровень 4).

Если классификация нарушителей НСД проводится по уровню возможностей, то действия потенциального нарушителя можно разделить на две группы в зависимости от следующих ситуаций:

• отсутствие в АТСЦ-90 программных и аппаратных закладок;

• наличие указанных закладок.

Для первой группы предусмотрена следующая стратегия организации системы защиты от угроз:

• использование на АРМ программного или программно-аппаратного комплекса защиты, имеющего сертификат Гостехкомиссии России, например, «Аккорд», Dallas Lock, Secret Net. Дополнительно должны быть разработаны специальные программно-аппаратные средства защиты на основе анализа уязвимости АТС;

• применение на КС средств дублирования, резервирования и реагирования, которые должны обеспечить требуемую надежность и снижение вероятности наступления «опасных событий» до допустимых пределов;

• разработка систем сигнализации при вскрытии оборудования для контроля физического доступа к узлам КС и информационным магистралям;

• проведение сертификационных испытаний в системе сертификации Гостехкомиссии России РОСС RU.0001.01 БИОО.

Организация защиты АТСЦ-90 по второй группе потенциальных нарушителей базируется на следующем подходе:

• Обнаружение в составе ПО станции и блокировка внедренных ПЗ невозможны.

• Обнаружение и блокировка в реальном масштабе времени информации об активации ПЗ невозможны.

• Необходимо реализовать на АТСЦ-90 ряд эксплуатационных правил, при которых персоналом периодически выполняется команда копирования на специально выделенный внешний носитель (ВНН) рабочих областей оперативного запоминающего устройства (ОЗУ), станционных управляющих устройств, а также областей ОЗУ, хранящих программы, текущие переменные и постоянные данные о ресурсах станции и системы. После завершения операции копирования ВНН должен физически отключаться от системы.

• При обнаружении персоналом станции признаков активации ПЗ должен быть организован полный перезапуск станции в режиме ручного управления начальным стартом с диска ВНН.

• Для операторов АРМ небходимо разработать и внедрить технические средства познакового документирования всей вводимой с пультов информации с жестким непрерывным административным контролем регламента пультового времени.

• Необходима договоренность между администрацией связи и администрацией международной сети об исключении передачи по О КС №7 от международного центра коммутации к станциям АМТС и УАК ВСС России сообщений с нетелефонными функциями (для предотвращения активации ПЗ, форматов ТСАР и ОМАР), а также разработка на международном участке специальных тестирующих устройств, обеспечивающих обнаружение и фиксацию всех случаев передачи нетелефонных сообщений четвертого уровня.

На основании анализа структурнофункциональной схемы современной АТС с функциями ISDN (на примере АТСЦ-90) можно определить объекты и элементы защиты.

На основе анализа субъектов доступа и их потенциальных возможностей по осуществлению НСД можно разработать технически наиболее вероятный сценарий воздействия на программное обеспечение станций с функциями ЦСИО при наличии ПЗ и дать функционально-целевые характеристики модели функционирования программы НСД.