Copyright © Siemens Enterprise Communications GmbH & Co KG All rights reserved. Безопасность Систем Связи в современных Ведомственных сетях Асриян Илья Технический Консультант Roman Ehrl Technical Sales Support 04 Июня 2009
Page 2 Июнь 2009 Коммуникационные платформы от Siemens Enterprise Communication M M L L S S Pure IP TDM Convergent HiPath 4000 HiPath 3000 OpenScape Voice OpenScape Voice HiPath OpenOffice
Page 3 Июнь 2009 Вызовы современных технологий Голосовая связь, как один из сервисов Ведомственной IP сети - Голос и Данные используют одну и ту же сеть и общий стек протоколов - Коммуникационные системы реального времени приходится защищать от угроз, обычно ассоциируемых с прикладным или серверным программным обеспечением Глобальные сети и открытые стандарты - Открытые стандарты завоевывают рынки, обеспечивая эффективное совместное использование различных ресурсов и источников информации - однако открытые протоколы и распределенная архитектура делает информационную систему уязвимой к внешним и внутренним атакам Мобильность - «Коммуникации где угодно и когда угодно», которые используются для домашних офисов, удаленных рабочих мест и внештатных специалистов требуют серьезной защиты во всех сетях и подсистемах. Внештатные специалисты и Аутсорсинг - Если предприятие стремиться сохранить свою специализацию, не раздувая штат IT департамента, возникает все большая потребность в квалифицированной помощи сторонних специалистов и технической поддержке. Время - деньги - Круглосуточная работа требует высокой надежности - Задержки, вызванные нарушением защиты недопустимы
Page 4 Июнь 2009 Основные угрозы Несанкционированный доступ к системе - местный или удаленный (большинство атак происходят изнутри сети!) Перехват данных/ Прослушивание - нарушитель располагается между двумя оконечными устройствами, стремясь записать или перенаправить информационный поток. «Зайцы» - совершают личные звонки, не оплачивая услуги связи Denial of Service, Spam - мешают системе предоставлять установленный уровень обслуживания - могут блокировать ресурсы и снижать качество обслуживания Манипуляции - обычно, связаны с действиями программ-вирусов Атака через протокол -с использованием уязвимостей стека протоколов VoIP
Page 5 Июнь 2009 Примитивный подход не допустим Обеспечение точечного контроля доступа не приносит большой пользы. Средства обеспечения безопасности не должны быть опцией, они должны быть неотъемлемой частью архитектуры решения.
Page 6 Июнь 2009 «Кольца» защиты OpenScape Voice Уровень ядра СРВ Уровень приложений Уровень ресурсов Уровень защиты и управления доступом Уровень периметра Уровень пользователей и партнеров
Page 7 Июнь 2009 Наши главные принципы Главные направления: - Поддержание непрерывной доступности Системы Связи - Контроль целостности и конфиденциальности информационной среды - Предотвращение недобросовестного использования Системы Связи Всестороннее обеспечение безопасности - Политики безопасности - Персональные Требования Безопасности для Каждого Пользователя - Процессы Наблюдения и Обновления - Контроль Распространения Информации о Безопасности - Встроенные Функции Защиты на Основе Открытых Стандартов - Имплементация общепринятых стандартов - Многоуровневая защита - Стратегия безопасности должна быть динамичной и проактивной Сервисы безопасности - Для каждого заказчика создается индивидуальная политика безопасности
Page 8 Июнь 2009 Комплексный подход к информационной безопасности Безопасность Работа с кадрами Индивидуальные Сервисы защиты информационных активов Сетевая безопасность Защита сетевой инфраструктуры Безопасность VoIP Решений Защита компонентов голосовой сети -Разработка, поддержка и обязательное использование Политик Безопасности -Управление Учетными Записями пользователей -Обеспечение и поддержка Систем Безопасности -Отслеживание Нарушений -И т.д. -Разделение трафика VLANs, VPNs, и т.п. -ACL списки, контроль взаимодействия компонентов -Использование Firewalls, SBCs, IDS, IPS, и т.д. - Укрепление сервера -Идентификация авторизация и пользователей -Интерфейсы (криптография) -Лог событий -И т.д. Индивидуально разработанные системы безопасности -Ограничение доступа в технические помещения, серверные, и т.д. -Расположение розеток, точек доступа, и т.д. -Видеонаблюдение -Сигнализация -И т.д. Сервисы Управления Безопасностью Lifecycle сервисы Профессиональные сервисы: Анализ безопасности, Консалтинг,.. Физический доступ Физический доступ к активному и пассивному оборудованию Зона ответствен- ности интегратора Системы Связи
Page 9 Июнь 2009 OpenScape Voice Home User Session Border Controller OpenScape Voice Assistant SNMP FTP Billing Server FTP CLI Mass Provisio ning Utility DMZ Internet SSH / HTTPS IPSec Защита оконечных устройств Поддержка 802.1x Поддержка 802.1x Digest Authentication Transport Layer Security (TLS) SRTP Защита управления Secure FTP (SFTP) Security Shell (SSH) IPSec Контроль доступа (ACL) Контроль доступа (ACL) Профили пользователей Защита сервера Инновационные технологии доступа Разделение/фильтрация трафика Защита от DoS атак Защита от DoS атак Антивирусная защита Сетевая безопасность Использование Session Border Controller Использование Session Border Controller Применение NAT/PAT (B2BUA) Применение NAT/PAT (B2BUA) Протоколы и функции защиты TLS / SRTP
Copyright © Siemens Enterprise Communications GmbH & Co KG All rights reserved. Спасибо за внимание! Ваши вопросы?