Шеняк Олександр Валерійович

Шеняк Олександр Валерійович

Державний ВУЗ "Національний гірничий університет", Україна

МЕТОДИКА ФОРМУВАННЯ ВИМОГ ЩОДО ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ МЕРЕЖІ IP-ТЕЛЕФОНІЇ

ВСТУП

Відсутність вимог щодо забезпечення інформаційної безпеки корпоративних мереж IP-телефонії є актуальною проблемою.

В даний час у великих організаціях здійснюється планомірний перехід до мереж ІРтелефонии [1]. Це обумовлено економічною ефективністю використання мереж IP-телефонії, оцінка якої проведена в роботі [2], зростанням числа комплексних рішень з побудови уніфікованих комунікацій, що реалізують технологію IP-телефонії, за даними аналітичних досліджень Gartner, Inc [3], вирішенням питання, пов'язаного з підвищенням ефективності передачі мовної інформації, поліпшенням якості зв'язку в корпоративних IP-мережах в рамках проведених наукових досліджень [4-6].

Підхід до вирішення завдання

Перелік вимог щодо забезпечення інформаційної безпеки мережі IP-телефонії в Україні може бути сформований шляхом виділення типових сценаріїв реалізації загроз. Формування типових сценаріїв реалізації загроз дозволить згрупувати можливі атаки на мережу IP-телефонії, виявити експлуатуються під час атаки уразливості і визначити необхідні і достатні вимоги щодо захисту. Сценарії реалізації загроз в першу чергу визначаються джерелом загроз інформаційної безпеки, зокрема, – моделлю порушника.

Класифікація порушників, пропонована в рамках даної роботи, проводиться в залежності від можливостей порушника.

Одним з типів виділяються порушників є середньостатистичний «хакер». Аналіз досліджень показує, що середньостатистичний «хакер» для реалізації атаки використовує методи, опис яких представлено в мережах зв'язку загального користування, безкоштовне або вільно поширюване програмне забезпечення. До цього типу можна віднести зловмисників, які здійснюють свою діяльність з мереж зв'язку загального користування або мережі передачі даних організації. Мотиви, якими керуються порушники даного типу, грошова вигода і самоствердження. Неформальна модель середньостатистичного «хакера» дозволяє зробити висновок, що сценарії реалізації загроз, характерні для даного типу порушника, можна сформувати, проводячи аналіз описів атак в мережах зв'язку загального користування.

Пошук варіантів реалізації атак проводився через найбільш популярні в Україні пошукові системи, за результатами досліджень comScore, Inc і Dilibrium, Inc: Яндекс, Google. При зборі даних використовувалися запити (кількість слів у запиті варіювалася від 3 до 5), аналізувалися перші десять результатів пошуку, а також посилання, отримані при аналізі вмісту сторінок, знайдених за запитом. Для отримання повної картини можливих атак були сформовані основні категорії загроз для даного типу порушників, міжнародних стандартів і рекомендацій:

− перехоплення трафіку;

− модифікація трафіку;

− відмова в обслуговуванні;

− несанкціонований доступ до засобів зв'язку;

− шахрайство;

− соціальна інженерія.

При зборі даних формувалося однакову кількість запитів (10) по кожному класу загроз.

ВИСНОВОК

Обґрунтовано актуальність та необхідність формування вимог щодо забезпечення інформаційної безпеки мережі IP-телефонії, визначено підхід до формування та градації вимог, у тому числі математичний апарат, який використовується у рамках даного підходу.

Запропоновано метод класифікації порушників інформаційної безпеки мережі IP - телефонії, наведено неформальне опис одного з типів порушників – среднестатистиче-ського «хакера». Описано підхід до формування типових сценаріїв загроз, які може здійснити середньостатистичний «хакер», а також результати, отримані при застосуванні даного підходу.

Перелік літератури:

1. Петров А.А. Методы определения эффективности применения технологии IP-телефонии в

информационных структурах железнодорожного транспорта: дис. … канд. техн. наук. – М., 2006. –193 c.

2. Gartner Magic Quadrant for Unified Communications 2011 [Электронный ресурс]. – Режим доступа: http://msunified.net/2011/08/25/gartner-magic-quadrant-for-unified-communications-2011/, свободный (дата обращения: 02.04.2012).