ГОСТ Р ИСО/МЭК 27033-1—2011
- использовании строгой аутентификации на всех каналах управления (это может означать использование
дополнительного оборудования сторонних организаций);
- невозможности осуществления мошенничества, связанного с несанкционированными междугородними
звонками, либо путем использования несанкционированной маршрутизации, либо посредством взаимосвязанных
систем передачи речевых сообщений;
- наличии устройств антиспама;
- установке системы анализа вызовов и регулярной проверке затрат, связанных с вызовами;
- регулярном проведении проверок соответствия услуг требованиям и тестирования с принятием необходи
мых мер по их результатам.
Следует отметить, что «традиционные» телефонные системы учрежденческих АТС с исходящей и входящей
связью устаревают и их либо частично переводят на системы передачи речи по IP — VoIP, либо заменяют этими
системами (см. А.9").
А.9 1Р-конвергенция
А.9.1 Вводная информация
По мере завоевания популярности IP-конвергенцией (данные, речь и видео), появилась необходимость в вы
явлении и рассмотрении связанных с ней проблем безопасности. Хотя текущие реализации телефонии нуждаются в
мерах и средствах контроля и управления безопасностью для предотвращения мошенничества, связанного с
международными разговорами, и других инцидентов безопасности, эти системы не интегрированы в корпоратив ную
сеть данных и не подвержены тем же рискам, что сети данных IP. При конвергенции речи и данных для сниже ния риска
атак необходима реализация мер и средств контроля и управления безопасностью.
Приложение VoIP обычно состоит из специализированного программного обеспечения, размещенного на от
крытых или коммерчески доступных аппаратных средствах и операционных системах. Число серверов зависит от
поставщика, а также от фактического их размещения. Эти компоненты сообщаются посредством IP по сети Интер
нет и соединены через коммутаторы и маршрутизаторы.
А.9.2 Риски безопасности
Основные сферы рисков безопасности могут быть связаны с IP-атаками, основанными на характерных уязви
мостях программного средства, и аппаратными средствами или платформой операционной системы, на которых
размещено приложение VoIP. Риски безопасности, имеющие отношение к компонентам приложения VoIP, включа ют
а себя риски, связанные с атаками на сетевые устройства и приложения, и им могут содействовать уязвимости в
проектировании или реализации решения, связанного с VoIP. Основные риски безопасности, имеющие отношение к
IP-конвергенции, включают в себя риски, связанные с:
- качеством обслуживания — без общего обеспечения качества обслуживания возможны потеря качества
или прерывание вызовов из-за потери пакета и задержки распространения сигнала в сети;
- недоступностью услуг из-за атак отказа в обслуживании или изменений в таблицах маршрутизации;
- влиянием на целостность и доступность вредоносных программ (включая вирусы), которая(ые) может(гут)
проникнуть в сеть через незащищенные системы VoIP и ухудшить функционирование или даже вызвать потерю сер
виса. а также распространиться на серверы в сети, что приведет к повреждению «памяти» для хранения данных:
- спамом через IP-телефонию (SPIT).
- программофонами, установленными на клиентских ПК. создающими существенный риск, так как они могут
являться точками проникновения вредоносной программы (включая вирусы) и вторжения:
- подверженностью риску серверов VoIP и систем управления VoIP, если они не защищены межсетевыми эк
ранами;
- возможностью ухудшения безопасности сети передачи данных из-за многочисленных портов, открытых на
межсетевых экранах для поддержки VoIP. Сеанс VoIP использует множественные протоколы и связанные с ними
номера портов. Н.323 использует многочисленные протоколы для передачи сигналов, а Н.323 и SIP используют
протоколы RTP. В результате сеанс Н.323 может использовать до 11 различных портов;
- мошенничеством, являющимся ключевой проблемой телефонии, и возможностью увеличения рисков при
отсутствии внимания к проблемам безопасности при использовании VoIP. Хакеры могут получить несанкциониро
ванный доступ к услуге VoIP посредством атак имитации соединения, воспроизведения или нападения на соедине ния.
Мошенничество, связанное с международными разговорами или несанкционированными вызовами с оплатой по
повышенному тарифу, может привести к существенным убыткам.
- нарушениями конфиденциальности, которые могут возникнуть вследствие перехвата информации, напри
мер. в результате атаки «атакующий посередине» — проведенной в сети сотрудниками и другим персоналом, име
ющим доступ к сети;
- прослушиванием речевых вызовов:
- потребностями IP-телефонов в питании для их работы, так как телефонная сеть не может функционировать
в случае нарушений энергоснабжения.
- наличием более существенной вероятности сбоя сервисов, связанных с передачей речи и данных из-за ис
пользования общих компонентов, например ЛВС.
** По тексту ИСО/МЭК 27033-1:2009 даны ссылки на подраздел 11.10. что является опечаткой.
46