Метод повышения защищённости от угроз нарушения маршрутизации в общеканальной сигнализации сети связи общего пользования тема диссертации и автореферата по ВАК РФ 05.12.13, кандидат технических наук Даннави Мохамад Насреддин
- Специальность ВАК РФ05.12.13
- Количество страниц 136
Оглавление диссертации кандидат технических наук Даннави Мохамад Насреддин
ОГЛАВЛЕНИЕ
стр.
Используемые сокращения
Таблица терминов
Введение
Глава 1. Анализ архитектуры сетевой безопасности сети ОКС №7
1.1. Структура сети ОКС №7 и ее функциональное описание
1.2. Анализ рекомендаций МСЭ-Т по архитектуре сетевой безопасности
1.2.1. Анализ способов обеспечение ИБ
1.2.2. Уровни безопасности ОКС №7
1.2.3. Плоскости безопасности ОКС№7
1.3. Анализ архитектуры сетевой безопасности ОКС №7
1.4. Анализ существующих способов обеспечение ИБ в ОКС №7
1.5. Выводы к главе 1
Глава 2. Анализ ущербов от реализаций угроз информационной безопасности категории «отказ в обслуживании» в сетях связи общего пользования
2.1. Краткий анализ механизмов контроля доступа
2.2. Иерархический принцип сетей связи общего пользования, построенных на
ОКС
2.2.1. Функции и коды полей сигнальных единиц
2.3. Результаты нелегитимного использования нарушителем функции сетевого уровня ОКС
2.3.1. Последствия реализации угроз при использовании функции МТР вынужденной ремаршрутизации
2.3.2. Последствия реализации угроз при использовании функции МТР управления потоком сигнального трафика
2.3.3. Последствия реализации угроз при использовании функции МТР управ-
58
ляемой маршрутизации
2.3.4. Последствия реализации угроз при использовании функции МТР управ-
59
ляемого переноса
2.3.5. Последствия реализации угроз при использовании функции МТР ограничения переноса
2.3.6. Последствия реализации угроз при использовании функции перезапуска МТР
2.3.7. Последствия реализации угроз при использовании функции МТР перевода трафика на резервное звено сигнализации
2.3.8. Последствия реализации угроз при использовании функции МТР восстановления трафика на исходное звено сигнализации
2.3.9. Последствия реализации угроз при использовании функции БССР (запрет доступа)
2.3.10. Последствия угроз трафика при использовании функции 8ССР подсис-
/"/г
тема перегружена
2.4. Выводы к главе 2
Глава 3. Математическая модель системы контроля доступа к ресурсам сетей связи общего пользования
3.1. Формирование и анализ модели нарушителя
3.1.1. Классификация нарушителей безопасности информации
3.1.2. Анализ модели нарушителя
3.2. Методы обоснования требований к системам защиты информации
3.3. Вероятностная модель системы контроля доступа
3.4. Метод оценки механизма аутентификации ОКС №7 в сети связи общего
87
пользования
3.4.1. Интегральная характеристика обеспечения уровня ИБ механизма аутен-
88
тификации
3.4.2. Интегральная характеристика эффективности механизма аутентификации
ОКС
92
3.5. Выводы к главе 3
Глава 4. Рекомендации по оценке эффективности программных средств системы применения аутентификации
4.1. Вероятностные характеристики работы системы применения аутентифи-
94
кации
4.2. Пример расчета интегральной характеристики механизмов аутентификации в ОКС
4.3. Выводы к главе 4
Заключение
Список использованной литературы Приложения
.110 112
ИСПОЛЬЗУЕМЫЕ СОКРАЩЕНИЯ
АМТС - автоматическая междугородная телефонная станция;
АТС - автоматическая телефонная станция;
ИБ - информационная безопасность;
ИБС - информационно-вычислительная сеть;
УАК - узел автоматической коммутации ;
УК - узлов коммутации;
УИВС - узел исходящих входящих сообщений;
УВС - узел входящего сообщения;
УИС - узел исходящего сообщения;
ТЦК - транзитный центр коммутации;
ТфОП - телефонная сеть общего пользования;
ОКС №7 - общая канальная сигнализация № 7;
КК - коммутация каналов;
КП - коммутация пакетов;
ЛВС - локальная вычислительная сеть;
ЛЦК - локальный центр коммутации;
МЦК - международный центр коммутации;
НСД - несанкционированный доступ;
СКД - система контроля доступа;
ССОП - сеть связи общего пользования;
СПС - сеть подвижной связи;
СОБИ - система обеспечения безопасности информации; СППР - система поддержки принятия решений; ЦСИС - цифровая сеть с интеграцией служб; УК - узел коммутации;
УИВС - узел исходящих и входящих сообщений;
AUC (authentication Center) - центр аутентификации;
BGP (Border Gateway Protocol) - протокол граничного шлюза;
BSS (Base Station System) - подсистема базовых станции;
BSSAP (Base Station Subsystem Application Part) - прикладная подсистема мобильных станций;
BTS (Base Transceiver Station) - базовая станция;
CAMEL (Customizable Application for Mobile network Enhanced Logic) -подсистема приложений для расширенной логики услуг пользователей мобильных сетей;
CBD (Changeback Declaration) - сообщение перевода сигнального трафика на исходное звено сигнализации;
COO (Changeover Order) - сообщение перевода сигнального трафика на резервное звено сигнализации;
DoS (Denial of service) - отказ в обслуживание;
ECO (Emergency Changeover) - сообщение аварийного перевода сигнального трафика на резервное звено сигнализации;
ETSI (European Telecommunications Standards Institute) - Европейский Институт Телекоммуникационных Стандартов;
GMSC (Gateway Mobile Switching Center) - шлюз MSC;
GSM (Global System Mobile) - глобальная система подвижной связи;
GT (Global Title) - глобальный заголовок;
HLR (Home Location Register) - домашний регистр;
IN (Intelligent Network) - интеллектуальная сеть;
INAP (Intelligent Network Application Part) - подсистема пользователя интеллектуальной сети;
ISUP (ISDN User Part) - подсистема пользователя сети ISDN;
ISDN (Integrated Services Digital Network) - цифровая сеть с интеграцией служб;
ITU-T (International Telecommunication Union) - сектор телекоммуникаций международного союза электросвязи;
MAC (Message Authentication Code) - код аутентификации сообщения;
MAP (Mobile Application Part) - подсистема пользователя мобильной связи стандарта GSM;
MS (Mobile Station) - мобильная станция;
MSC (Mobile Switching Center) - коммутационный центр мобильной сети;
МТР (Message Transfer Part) - подсистема передачи сообщении;
ОМАР (Operation, Maintenance and administration Part) - подсистема эксплуатации, технического обслуживания и администрирования;
PRM (Premium Rate) - услуга «приплата»;
QoE (Quality of end-user experience) - показатель обслуживания оконечного пользователя при эксплуатации;
QoS (Quality of Service) - качество обслуживания;
SCCP (Signaling Connection Control Point) - подсистема управления соединением сигнализации;
SCP (Service Control Point) - узел управления услугами;
SEP (Signaling End Point) - оконечный пункт сигнализации;
SLA (Service Level Agreement) - соглашение о качестве обслуживания;
SP (Signaling Point) - промежуточный пункт сигнализации;
SPR (Signaling Relay Point) - пункт сигнализацией с функцией переприема сообщений SCCP;
SSC, SCCP (Subsystem Congested) - подсистема SCCP перегружена;
SSN (Subsystem Number) - номер подсистемы;
SSP (Subsystem Prohibited) - подсистема запрещена;
SSP (Service Switching Point) - узел управления коммутации;
STP (Signaling Transfer Point) - транзитный пункт сигнализации;
TAN (Transaction Number) - пароль одноразового использования;
TCAP (Transaction Capabilities Application Part) - прикладная подсистема возможностей транзакций;
TFA ( Transfer a llowed) - сообщение разрешения переноса сигнального трафика;
TFC (Transfer control) - сообщение управления переноса сигнального трафика;
TFP (Transfer prohibited) - сообщение запрещение переноса сигнального трафика;
TFR (Transfer Restricted) - сообщение ограничения переноса сигнального трафика;
UE/USIM - оборудование пользователя с входящим модулем идентификации услуг;
UMTS (Universal Mobile Telecommunications System) - универсальная система мобильной связи;
UPT (Universal personal Telecommunication) - универсальная персональная связь;
UPU (User part unavailable) - сообщение подсистема пользователя недоступна;
VLR (Visit Location Register) - гостевой регистр;
Pi{t) - вероятность i-ro итогового события на заданном интервале времени t;
pa{t) - вероятность предупреждения НСД при авторизации информационно-вычислительных ресурсов ССОД;
pul(t) - вероятность предупреждения попытки НСД первого типа;
Pu2i(t) - вероятность предупреждения попытки НСД второго типа для класса нарушителя 2.1;
pu31(t) _ вероятность предупреждения попытки НСД третьего типа для класса нарушителя 3.1;
pu41(t) - вероятность предупреждения попытки НСД четвертого типа для классов нарушителя 4.1, 4.4 и 4.6;
pu51(t) - вероятность предупреждения попытки НСД пятого типа для классов нарушителя 5.1 и 5.5;
pu22(t) - вероятность предупреждения попытки НСД второго типа для классов нарушителя 2.2 и 2.3;
pu32(t) _ вероятность предупреждения попытки НСД третьего типа для классов нарушителя 3.2, 3.3 и 3,4;
pu42(t) - вероятность предупреждения попытки НСД четвертого типа для классов нарушителя 4.2, 4.3 и 4,5;
pu52(t) - вероятность предупреждения попытки НСД пятого типа для классов нарушителя 5.2, 5.3, 5.4, 5.6, 5.7 и 5.8;
ра1ф - вероятность обнаружения попытки НСД на уровне аудита информационных потоков при межсетевом взаимодействии;
Рпф - вероятность локализации и ликвидации НСД при выполнении операций над ресурсами при межсетевом взаимодействии;
РагОО - вероятность обнаружения попытки НСД на уровне аудита при выполнении операций над ресурсами без межсетевого взаимодействия;
р12^) - вероятность локализации и ликвидации НСД при выполнении операций над ресурсами при межсетевом взаимодействии.
ТАБЛИЦА ТЕРМИНОВ
Виртуальная сеть
Гетерогенная сеть
Джиттер в системе передачи
Мультисервисное обслуживание
Показатели качества
Полностью оптическая сеть
Работоспособность телекоммуникационных систем
Сеть следующего поколения
Сеть связи, элементы графа которой устанавливаются программным способом в соответствии с возможностями физической топологии Сеть связи, сегменты которой основаны на использовании различных стандартов, например, SDH и Ethernet
Дрожание фазы импульсного цифрового сигнала с частотой свыше 10 Гц; при частоте дрожания ниже 10 Гц искажение именуется вандером Обслуживание с многими телекоммуникационными услугами. Всегда должны быть представлены три базовые услуги: голос, видео и данные, а остальные - по возможности оператора и абонентского устройства
Параметры систем стандартов QoS и GoS, характеризующие качество предоставления услуг (с точки зрения пользователя) и качество обслуживания (с точки зрения оператора) Сеть связи, в которой производится передача сигналов только в оптической форме и преобразование их посредством оптических эффектов без участия электронных и оптоэлектронных устройств
Критериями работоспособности являются помехоустойчивость и надёжность, характеризуемые соответственно вероятностью битовой ошибки, вероятностью безотказной работы и т.д.
Такая сеть, которая должна обеспечивать доставку сообщений до абонента независимо от свойств его терминала и месторасположения
Рекомендованный список диссертаций по специальности «Системы, сети и устройства телекоммуникаций», 05.12.13 шифр ВАК
Методы анализа и расчета сетей сигнализации и мультисервисных сетей с одноадресными и многоадресными соединениями2005 год, доктор технических наук Самуйлов, Константин Евгеньевич
Разработка методики расчета показателей качества для сетей сигнализации и управления2009 год, кандидат технических наук Червяков, Олег Вячеславович
Исследование и разработка метода оценки влияния информационных процессов в канале сигнализации на пропускную способность сети связи2003 год, кандидат технических наук Тимин, Дмитрий Игоревич
Разработка архитектуры программной системы конфиденциального доступа к информационным ресурсам электронно-вычислительных сетей2003 год, кандидат технических наук Хади, Роман Ахмедович
Развитие принципов функционирования систем обнаружения сетевых вторжений на основе модели защищенной распределенной системы2005 год, кандидат технических наук Ушаков, Дмитрий Вячеславович
Введение диссертации (часть автореферата) на тему «Метод повышения защищённости от угроз нарушения маршрутизации в общеканальной сигнализации сети связи общего пользования»
ВВЕДЕНИЕ
Сеть общеканальной сигнализации ОКС №7 является общемировой наложенной сетью передачи данных специального назначения. Она осуществляет установление соединений, предоставление дополнительных услуг и межсетевое взаимодействие в большинстве существующих в настоящее время цифровых сетей связи общего пользования (ССОП): Телефонной сети общего пользования (ТфОП), цифровой сети с интеграцией служб (ЦСИС), сетях подвижной сотовой связи (СПСС), интеллектуальных сетях (ИС). Из-за угроз информационной безопасности, обусловленных атаками на сетевом уровне на пункты сигнализации (ПС), существует высокая вероятность отказа в обслуживании DoS (Denial of Service), обусловленная нарушением маршрутизации в сети ОКС №7.
Вероятность реализации такой угрозы довольно высокая. Для этого злоумышленнику достаточно отправить в пункты сигнализации определенные нелегитимные сообщения сетевого уровня системы ОКС №7, выполняющие
функции обновления маршрутизации.
Важность анализа степени защищенности от угроз информационной безопасности вызвана тем, что последствием их реализации могут быть серьезные нарушения работы ССОП, составляющими которых является ОКС №7. Наибольший риск безопасности может выражаться в выходе из рабочего состояния целых фрагментов указанных сетей.
В настоящие время отсутствуют документы международных организации стандартизации МСЭ-Т, ETSI по спецификации механизмов защиты от атак DoS в системе ОКС №7, приводящих к нарушению маршрутизации в пунктах сигнализации.
Новые технические решения для оценки защищенности от угроз нарушения маршрутизации системы ОКС №7 в ССОП являются развитием математического метода анализа качества отдельных механизмов информационной безопасности.
Разработка методов анализа сетей ОКС №7, а также вопросы защищенности их от атак рассматривались в работах отечественных и зарубежных ученых: Г.П. Захарова, B.C. Гольдштейна, К.Е. Самуйлова, Ю.Г. Горшкова, И.М. Ехри-ель, P.A. Бельфера,, Р.Д. Реле,]. Eloff, S. Muftic, A. Patel, P. Sanders, R. Colon.
Эффективность метода оценки от угроз выражается в доле пользователей ССОП, которые защищены от последствий отказов (из-за атак DoS в ОКС №7)
в предоставлении им возможности установления соединений. Эффективность зависит от конкретной ССОП и в крайнем случае может относиться ко всем пользователям (включая абонентов-роумеров других операторов связи) относительно местных, междугородных и международных соединений. Это может иметь место в тех случаях, когда во всех пунктах сигнализации ОКС №7 отсутствуют механизмы аутентификации сообщений обновления маршрутизации или эти механизмы несовместимы в смежных пунктах сигнализации ОКС №7.
Предлагаемый в работе метод оценки защищенности от угроз нарушения маршрутизации в системе ОКС №7 на ССОП в республике Ливан является математическим развитием разработанного ранее математического аппарата по оценке информационной безопасности отдельных механизмов защиты (криптография, аутентификация, целостность данных, системы контроля доступа и др.).
Объектом исследования: система передачи, основанная на транспортной
сети SDH с системой сигнализации ОКС№7.
Предмет исследования: теоретические, методические и практические вопросы повышения ИБ и эффективности функционирования протоколов системы сигнализации ОКС№7 на основе использования дополнительной системы аутентификации служебных сообщений.
Целью диссертационной работы является исследование теоретических и практических вопросов, связанных с информационной безопасностью (ИБ) системы сигнализации ОКС №7; а также разработка методов повышения ИБ ССОП с использованием системы контроля доступа (механизмов аутентификации)
служебных сообщений сетевого уровня.
Методы исследования. В работе использованы положения теории графов, случайных процессов и теории вероятности. Применены методы экспертных оценок, математического моделирования, в том числе компьютерного. Проведён вычислительный эксперимент с использованием результатов эксплуатации действующей телекоммуникационной системы.
Научная новизна работы заключается в следующем:
1. Разработана классификация и выполнено ранжирование отказов в обслуживании по установлению соединений для пользователей ССОП, отличающаяся тем, что привлечены результаты анализа угроз запуска функций обновления маршрутизации в ОКС №7 из-за нелегитимных сообщений.
2. Предложен алгоритм для определения степени защищенности от угроз нарушения маршрутизации в системе сигнализации ОКС №7 находящихся в
эксплуатации ССОП. Показано, что наиболее чувствительными к последствиям угроз нарушениями маршрутизации являются участки смежных пунктов сигнализации разных уровней иерархии ССОП.
3. Разработан метод количественной оценки механизмов аутентификации сообщений, учитывающий степень снижения ущерба в работе ССОП, отличающийся тем, что оператору предоставляется возможность принимать решения по выбору механизмов аутентификации в целях повышения ИБ в ССОП.
4. Предложена архитектура сетевой безопасности системы сигнализации ОКС №7, основанная на положениях рекомендации Х.805, отличающаяся тем, что учтены команды управления, обеспечивающих связь между оконечными пунктами. На основании этой архитектуры предложен и обоснован выбор модуля (включающего уровень и плоскость безопасности), обеспечивающего аппаратную реализацию механизма аутентификации сообщений.
Основные положения, выносимые на защиту
1. Классификация нарушений ИБ и модель последствий атак (категории Бо8) нелегитимных сообщений для системы сигнализации ОКС №7 на таблицы маршрутизации, основанная на полученных экспертным методом критериях оценки, позволяющие ранжировать чувствительные к отказу в обслуживании участки ССОП.
2. Вероятностный подход к моделированию параметров системы контроля доступа, основанный на использовании метода экспертных оценок, позволяющий повысить ИБ ССОП путём предотвращения несанкционированного доступа на пунктах сигнализации.
3. Метод количественной оценки степени защищенности работы ССОП с использованием механизмов аутентификации в ОКС №7, основанный на применении интегральных параметров степени защищённости, позволяющий повысить ИБ ССОП путём снижения риска отказа в обслуживании по критерию установления/неустановления соединений.
4. Метод повышения ИБ, основанный на использовании свободных октетов в поле БИ7, влияющих на установление соединения, позволяющий контролировать легитимность служебных сообщений ОКС №7.
5. Архитектура сетевой безопасности системы сигнализации ОКС №7, состоящая из уровней безопасности инфраструктуры и приложений, а также плоскости безопасности управления и плоскости безопасности транспортной сети, позволяющая определить типы оборудования и функции в ССОП, для которых необходимо применять мероприятия по защите ИБ.
Личный вклад. Все основные результаты, изложенные в диссертации,
получены автором лично.
Практическая ценность работы состоит в повышении ИБ и эффективности функционирования ССОП на основе применения разработанной системы рекомендаций по проведению анализа степени защищенности ОКС №7 в эксплуатируемых ССОП от атак (категории ОоБ), направленных на нарушение маршрутизации служебных сообщений. Предложен подход к повышению ИБ системы сигнализации ОКС №7, обеспечивающий снижение ущерба от отказов в ССОП, основанный на введении дополнительных механизмов аутентификации служебных сообщений.
Апробация работы. Основные положения диссертационной работы докладывались и обсуждались на ряде отраслевых и международных научно-технических конференциях, проводимых МТУСИ (2007-2008 г.г.), международной научно-технической конференции 1ШБКМАТ1С-2008 (РАН, 2008 г.), на международном конгрессе «Безопасность информационных технологий» (МИФИ, 2009 г.), международной научно-технической конференции «Проблемы техники и технологии телекоммуникаций» (КГТУ, 2011 г.), а также на семинарах кафедр «Мультимедийные сети и услуги связи» МТУСИ и «Телекоммуникационные системы» УГАТУ.
Диссертация состоит из введения, четырёх глав, заключения, библиографии и приложения.
В первой главе выполнен обзор текущего состояния в рассматриваемой
области, обоснована актуальность темы исследования, определены цели и задачи диссертационной работы.
Во второй главе предложен метод анализа последствий атак (категории
ВоБ) в системе сигнализации ОКС №7 ССОП. Анализируются результаты нелегитимного использования нарушителем тех функций подсистем МТР-3 и <5(ХР сетевого уровня в ОКС №7, которые приводят к наиболее характерным
серьезным последствиям нарушения работы ССОП.
Третья глава разработан метод оценки механизма аутентификации в системе сигнализации ОКС №7 в ССОП. При выполнении функций маршрутизации в ОКС №7 механизмы аутентификации не сертифицированы международными организациями стандартизации, а поэтому производителями оборудования ССОП могут быть использованы разные типы таких механизмов. В одном
ПС может быть установлено несколько типов механизмов аутентификации с целью совместимости со смежными ПС тех же или других производителей оборудования. Не исключено, что некоторые производители оборудования вообще не предусматривают механизмов защиты. В связи с этим стоит задача качественной оценки механизмов аутентификации для защиты от нарушения маршрутизации в системе сигнализации для того, чтобы сравнить различные механизмы и провести обоснованный выбор из них.
В четвёртой главе разработаны методики по организации системы проведения работ по оценке степени защищенности находящихся в эксплуатации ССОП от атак нарушения маршрутизации системы ОКС №7.
В заключении изложены основные результаты диссертации.
В приложении представлены документы, подтверждающие применение результатов работы на корпоративной сети передачи данных предприятия НПОУ ИЦ «Техника», г. Уфа, на национальной телефонной сети республики Ливан; и в учебном процессе Уфимского государственного авиационного технического университета при проведении лабораторных и практических работ по направлению «Телекоммуникации», а также материалы, поясняющие методику расчёта анализа ущерба ССОП на междугороднем и местном уровнях.
Похожие диссертационные работы по специальности «Системы, сети и устройства телекоммуникаций», 05.12.13 шифр ВАК
Методы и алгоритмы адаптивного управления информационными ресурсами в распределенных автоматизированных системах1999 год, кандидат технических наук Шабуневич, Елена Валерьевна
Разработка метода управления перегрузками в сетях SIP на основе прогноза сигнального трафика2011 год, кандидат технических наук Кашин, Михаил Михайлович
Исследование и разработка метода оперативного управления потоками телефонного трафика для интегрированных систем2004 год, кандидат технических наук Панов, Алексей Евгеньевич
Исследование и разработка метода защищенного дифференцированного доступа абонентов системы спутниковой связи в условиях воздействия имитационных помех2006 год, кандидат технических наук Грехнева, Ирина Евгеньевна
Разработка метода повышения пропускной способности уровня абонентского доступа2009 год, кандидат технических наук Булатов, Сергей Валерьевич
Заключение диссертации по теме «Системы, сети и устройства телекоммуникаций», Даннави Мохамад Насреддин
4.3. ВЫВОДЫ к главе 4
1. Предлагается метод анализа защищенности от угроз нарушения маршрутизации ОКС №7, учитывающий:
- наиболее чувствительные участки с точки зрения наибольшего ущерба действующей ССОП от воздействия угроз;
- совместимость механизма аутентификации в смежных пунктах сигнализации ОКС №7 или их отсутствие.
2. Предлагается метод выбора механизмов аутентификации в пунктах сигнализации ОКС №7 по результатам тестирования на совместимость механизмов защиты в действующих сетях ССОП в следующих случаях:
- нескольких типов совместимых механизмов аутентификации в смежных пунктах сигнализации ОКС №7;
- несовместимости механизмов аутентификации в смежных пунктах сигнализации и необходимости доработки пунктов сигнализации в части установки совместимых механизмов аутентификации;
- отсутствия механизмов аутентификации в смежных пунктах сигнализации.
3. Результатом оценки защищенности ССОП от угроз нарушения маршрутизации в ОКС №7 является набор интегральных характеристик снижения ущерба механизмами аутентификации, установленными в наиболее чувствительных смежных пунктах сигнализации.
4. Операторы сетей связи общего пользования Ливана совместно с министерством связи этой страны на основании предложенного метода приступили к оценке технико-экономического эффективности механизмов аутентификации в ОКС №7 на международном уровне ССОП.
Заключение
1. Предложена расширенная классификация нарушений ИБ и выполнен анализ модели нарушений, которые в отличие от традиционных средств информационной безопасности предполагают анализ функций обновления маршрутизации в ОКС №7, позволяющие сделать вывод о наиболее опасных активных угрозах технологической безопасности (класс 1.3) и прямых активных угрозах эксплуатационной безопасности (класс 2.1.3), а также наиболее значимых угрозах по степени влияния на функционирование ССОП.
2. Разработана модель последствий атак (категории Бо8) на процесс маршрутизации в ОКС №7, приводящих к выводу из рабочего состояния фрагментов ССОП, основанная на полученных экспертным методом критериях оценки, позволяющая ранжировать чувствительные к отказу в обслуживании участки ССОП и разрабатывать рекомендации по проведению анализа реальной информационной защищённости эксплуатируемых ССОП. Показано, что наибольший ущерб от таких атак производится нелегитимными сообщениями, созданными в пунктах сигнализации смежных уровней иерархии ССОП.
3. Предложен вероятностный подход к моделированию параметров систем контроля доступа, основанный на использовании метода экспертных оценок с привлечением статистических данных как из эксплуатации, так и полученных в результате ускоренных испытаний, позволяющий рассчитать количественные показатели ИБ, связанные с возможностью несанкционированного доступа к ресурсам и средствами контроля ОКС №7, и разработать мероприятия повышения ИБ ССОП на основе определения пути изменения указанных количественных показателей. Предложенный подход позволяет со значительной степенью достоверности (0,97) формализовать процесс функционирования системы контроля доступа ОКС №7 с точки зрения обеспечения ИБ ССОП.
4. Разработан метод количественной оценки степени защищенности работы ССОП, основанный на использовании предложенных механизмов аутентификации в ОКС №7 и интегральных параметров степени защищённости в отношении снижения риска отказа в обслуживании по установлению соединений, позволяющий выполнять оценку интегральной защищённости работы ССОП и на её основе вырабатывать мероприятия по снижению указанного риска отказа, повышая тем самым ИБ сети связи.
5. Предложен метод повышения ИБ, основанный на использовании свободных октетов в поле БП7, влияющих на установление соединения, позволяющий контролировать легитимность служебных сообщений ОКС №7 и тем самым обеспечивает их фильтрацию.
6. Разработана архитектура сетевой безопасности ОКС №7, учитывающая типы оборудования и функции системы сигнализации (уровни и плоскости безопасности), позволяющая определить аппаратные и программные модули ССОП, для которых необходимо применять мероприятия по защите ИБ. На основании данной архитектуры предложен и обоснован выбор модуля, обеспечивающего аппаратную реализацию механизма аутентификации сообщений.
По завершению работы над диссертацией предполагается продолжение работы в данной области. А именно - доработать структуру аутентификацион-ных сообщений, помещаемых в полях 8Ш и полях примечаний, а также адаптировать их к различным конфигурациям ОКС № 7. Кроме этого предполагается разработать методику аутентификации, обладающую техническим средством, оригинальным для каждого случая применения на национальной ССОП.
Список литературы диссертационного исследования кандидат технических наук Даннави Мохамад Насреддин, 2012 год
Список использованной литературы
1. А. В. Росляков Общеканальная система сигнализации №7. - М.: Эко-Трендз, 2002. - 276 с.
2. Гольдштейн Б. С. Сигнализация в сетях связи, М.: Радио и связь, 1997.
3. ITU-T Recommendation Х.805. Security architecture for System providing end-to-end communication, 2003.
4. Москвитин В.Д. От взаимосвязанной сети связи к Единой сети электросвязи России. «Вестник связи», №8, 2003.
5. ITU-T Recommendation Е.408. Telecommunication Network Security Requirement, 2004.
6. ГОСТ P 524.48-2005. Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения, - М.: «Стандартинформ», 2006.
7. Росляков A.B. ОКС №7 архитектура, протоколы, применение. - М: «Эко - Трендз», 2008.
8. Драйберг Ли, Хьюит В. Система сигнализации №7 (SS7/OKC7), протоколы, структуры и применение. - М.: Вильяме, 2007. - 112 с.
9. Заболотный И. МТТ берёт интеллектом // Сети и системы связи, №6,
2008.
Ю.Беккер П. ISDN. Цифровая сеть с интеграцией служб. Понятия, методы, системы. - М.: «Радио и связь», 1991.
11. ITU-T Х.200 Information Technology - Open Systems Interconnection -Basic Reference Model: the Basic Model - Data Networks and Open System Communications Open Systems Interconnection - Model and Notation, 2003.
12.ITU-T Recommendation Q.702. Specifications of signaling system No. 7. Signalling data link. 1988.
13.ITU-T Recommendation Q.703. Specifications of signaling system No. 7 -Message transfer part, 1996.Уинстром M.. Организация защиты сетей Cisco. -M.: Вильяме, 2005. - 76 p.
14.ITU-T Recommendation Q.706: Specifications of Signaling System №7. Message transfer part signaling performance, 1993.
15. Map дер H.C. Электросвязь в Российской Федерации. Уч. пособие - М.:
ИРИАС, 2004.
16.Бельфер P.A. Классификация угроз информационной безопасности сетей связи ВСС России (ISDN, IN, UMTS) и методы их количественной оценки // Электросвязь, - № 7, 2002. - С. 31 - 35.
17.Даннави М. Н., Бельфер Р. А., Горшков Ю. Г. Последствия нарушений маршрутизации общеканальной сигнализации на функционирование сетей связи общего пользования // Вестник МГТУ им. Н.Э. Баумана: научн. журн. Бау-манск. гос. техн. ун-та. Сер. «Приборостроение». 2009, № 3. - С. 95 - 100.
18.Бельфер P.A., Горшков Ю.Г. Анализ угроз информационной безопасности ОКС №7 типа отказ в обслуживании. Тезисы докладов московской отраслевой научно-технической конференции «Технологии информационного
общества», Москва, 2007.
19.Брэгг Р., Роуг-Оусли М., Страсберг К. Безопасность сетей. Полное руководство. -М.: «Эком», 2006.
20. Бельфер P.A., Горшков Ю.Г. Система сигнализации ОКС №7. Требования к QoS и организация программного обеспечения сетевого уровня. Учебное пособие/МТУСИ - М.: ООО Информсвязьиздат, 2007.
21. Даннави М. Н., Бельфер Р. А., Горшков Ю. Г. Оценка последствий угроз нарушения маршрутизации в общеканальной сигнализации сетей связи общего пользования // Вестник МГТУ им. Н.Э. Баумана: научн. журн. Бау-манск. гос. техн. ун-та. Сер. «Приборостроение». 2009, № 4. - С. 75 - 80.
22. Гольдштейн Б.С., Ехриель И.М., Рерле Р.Д. Интеллектуальные сети.
- М.: Радио и связь, 2000.
23. ITU-T Recommendation Q.713. Signaling connection control part formats and codes, 2001.
24. ITU-T Recommendation Q.716. Signaling System No. 7 - Signaling
connection control part (SCCP) performance, 1993.
25. Бельфер P.A., Горшков Ю.Г. Система сигнализации ОКС №7. Требования к QoS и организация программного обеспечения сетевого уровня. Учебное пособие/МТУСИ-М.: ООО «Инсвязьиздат», 2007.
26. Даннави М. Н. Последствия воздействия некоторых несанкционированных сообщений ОКС №7 на сети связи общего пользования // Телекоммуникации и транспорт, - № 1, 2009. - С. 42 - 44.
27. Виноградова И. Л., Даннави М. Н. Требования к системе транспортировки сообщений общей канальной сигнализации по защите информации //
Вестник УГАТУ: научн. журн. Уфимск. гос. авиац. техн. ун-та. 2011, № 5 (Т. 45).-С. 66-72.
28. Мамаев М., Петренко С. Технологии защиты информации в Интернете. Специальный справочник - Спб.: «Питер», 2002.
29. RFC - 2453 Routing Information Protocol (RIP)
30. RFC - 2082 RIP-2 MD5 Authentication
31. RFC - 2385 Protection of BGP Sessions via the TCP MD5 Signature Option
32. Muftic S. and others. Security architecture for open distributed systems.
«John Willey & Sons» Ltd, 1993.
33. ETSI EN 304 002-1 VI.3.1. Services digital Network (ISDN); Security tools (SET) Procedures; Digital Subscriber Signaling System № one (DSS1) Protocol; part 1: Protocol Specification, 2001.
34. ETSI ETS 300 790. Universal Personal Telecommunication (UPT); Security Architecture for UPT Phase 2; Specification, 1997.
35. ETSI ETR 083/ Universal Personal Telecommunication (UPT); General
UPT Security architecture, 1993.
36. Таненбаум Э. Компьютерные сети. Изд.4 - СПб: Питер, 2003.
37. Даннави М. Н., Бельфер Р.А. Принцип согласования SLA между несколькими поставщиками услуг связи // Технологии информационного общества: Сб. докл. Московской отраслевой научн.-техн. конф. -М.: Инсвязьиздат, 2007, -с.40—43.
38. Bannister J., Mather P., Coope S. Convergence Technologies for 36
Networks, John Wiley & Sons, Ltd, 2004.
39. Столингс В. Основы защиты сетей. Приложения и структуры - М.:
«Вильяме», 2002.
40. Даннави М. Н., Бельфер Р. А. Показатели качества обслуживания пользователей // Технологии информационного общества: Сб. докл. Московской отраслевой научн.-техн. конф. - М.: Инсвязьиздат, 2007, - с. 61 - 64.
41. Кааранен X. и др. Сети UMTS. Архитектура, мобильность, сервисы.
-М.: Техносфера, 2007.
42. ETSI ETS 300 841. Telecommunications Security; Integrated Services
Digital Network (ISDN); Encryption Key management and authentication system for audio-visual services, 1998.
43. Даннави М. Н., Бельфер Р. А., Горшков Ю. Г. Виды угроз информационной безопасности в сетях связи общего пользования // Труды МТУ СИ, 2008, Т. II,-С. 101-103.
44. ITU-T Recommendation Н.234. Encryption Key management and authentication system for audio-visual services, 1998.
45. Мамаев M., Петренко С. Технологии защиты информации в Интернете. Специальный справочник. - СПб: Питер, 2002.
46. Бельфер Р.А, Анализ систем связи в аспекте проектирования информационной безопасности. «Электросвязь», №3, 2004.
47. ITU-T Recommendation Х.509. Information technology - Open Systems Interconnection. The Directory: Authentication framework, 1997 (edition - v. 3).
48. Даннави M. H. Информационная безопасность в сетях связи общего пользования // INTERMATIC-2008: Сб. докл. Восьмой международной научн,-техн. конф. - Москва, РАН, 2008, - с. 324 - 327.
49. Даннави М. Н., Бельфер Р. А., Горшков Ю. Г. Алгоритмы аутентификации в сетях связи общего пользования России // Электросвязь, - № 8, 2008. -С. 12-17.
50. Фаерберг О.И., Щварцман В.О. Качество услуг связи. - М.: ИРИАС,
2005.
51. ITU-T Recommendation Q.705. Specification of Signaling System №7.
Signaling Network Structure, 1988.
52. Даннави M. H. Анализ угроз информационной безопасности (DoS) в сетях связи общего пользования // Безопасность информационных технологий: Сб. докл. Восьмой международной научн.-техн. конф. - Москва, МИФИ, 2009, -с. 100- 102.
53. ITU-T Recommendation Q.782. Signaling System №7 test specification
- MTP level 3 test specification, 1993.
54. ITU-T Recommendation Q.786. Signaling System №7 test specification
- SCCP test specification, 1993.
55. Антонян А.Б. Новая редакция генеральной схемы создания и развития федеральной сети подвижной радиотелефонной связи общего пользования
России стандарта GSM, «Электросвязь», №1, 2003.
56. Султанов А.Х., Виноградова И.Л., Даннави М.Н. Задача обоснования требований к системе транспортировке сообщений общей канальной сигна-
лизации ОКС №7 по защите информации // Проблемы техники и технологии телекоммуникаций: Сб. докл. Двеннадцатой международной научн.-техн. конф. - Казань, КГТУ, 2012, - с. 491 - 493.
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.