gigacampus » start page » sipsikkerhet

SIP og sikkerhet

Sikkerhet er noe man hører mye omtalt i forbindelse med VoIP. Når man snakker om telefoni så blir sikkerhet ofte et viktig tema fordi telefoni er en tjeneste som er svært viktig operativt, kan være sensitivt innholdsmessig og fort kan koste penger i tilfelle misbruk. Sikkerhet i telefonien er derfor et tema som bør tas på alvor.

Hva som vektlegges av sikkerhet kan variere stort fra organisasjon til organisasjon og kanskje også innenfor ulike avdelinger og grupper i organisasjonen. Organisasjonens kravspesifikasjon må derfor legges til grunn i sikkerhetsarbeidet. Første steg blir så å utarbeide en sikkerhetspolicy. Med utgangspunkt i disse dokumentene bygger man så en telefoniløsning som tilfredsstiller disse kravene, herunder også retningslinjer for drift/administrasjon og monitorering/overvåkning av tilstander.

Sikkerheten kan deles inn i to hovedkategorier:

  1. Pålitelighet – Tjenestens evne til å fungere når man forventer det. Her må man sette opp alle relevante eventualiteter og spesifisere kravene til hvordan systemet skal fungere i tilfelle den eventualiteten inntreffer. Slike eventualiteter kan være:
    • Strømbrudd
    • Kabelbrudd
    • Utstyrsfeil
    • Utilgjengelig pga. hacking, og liknende
    • Osv.
  2. Informasjonssikkerhet – F.eks. i hvilken grad tjenesten er i stand til å beskytte den informasjonen den formidler og beskytte mot misbruk/uautorisert bruk. Slike eventualiteter kan være:
    • Integritet
    • Konfidensialitet
    • Ansvarlighet
    • Osv.

Felles for begge kategorier er at eventualiteten kan knyttes direkte mot systemet for telefonien, eller i utenforliggende forhold hvorav noen er utenfor ens egen kontroll. F.eks. på grunn av avhengighet til eksterne ressurser. At man ikke kan ringe noen i Danmark fordi alle linjer inn i Danmark har blitt gravd over, er kanskje ikke en relevant eventualitet å sikre seg mot. Svært ofte er sikkerhet også et spørsmål om økonomisk avveining. Klarer man seg f.eks. med en telefonsentral eller må man ha to for redundans? Skal man ha en fibertilknytning til bygningen eller skal man ha en på hver side av bygget? Dersom lokal ruter går ned slik at nettforbindelsen blir brutt, har det praktisk konsekvens for telefonien eller er det ikke noe vits i telefonen heller dersom man ikke har dataverktøyet tilgjengelig? For informasjonssikkerhet kan man f.eks. vurdere faren for avlytning i forhold til hvor beskyttelsesverdig informasjonen er.

Vi har nevnt retningslinjer for drift/administrasjon og monitorering/overvåkning. Dette er viktig for å kunne opprettholde kravene i kravspesifikasjon og sikkerhetspolicy. Gjennom systemets levetid vil det være endring i interne og eksterne forhold som kan gå på bekostning av sikkerheten i systemet. F.eks. kan det være ønskelig med en jevnlig revisjon av sikkerheten, krav til en viss sertifisering eller test av klientene eller ny versjon av programvaren på klienten som skal tas i bruk, o.l. Når man får telefonien tilknyttet et datanett med dens muligheter, får vi også mange muligheter for å drive monitorering og overvåkning av bruken. Her kan man spesifisere krav som varsling ved unormal bruk av telefon, f.eks. dersom en klient plutselig ringer et teletorgnummer i utlandet tre ganger på rad så får administrator en mail og etter ti ganger så sperres brukeren.

 
 
gigacampus/sipsikkerhet.txt · Last modified: 2011/05/08 14:11 by faltin@uninett.no

Viktig melding: openwiki.uninett.no

UNINETT OpenWiki er under utfasing. Wikier som er lite brukt er satt i kun-lese-modus. Ta kontakt med UNINETT for å åpne for skrivetilgang ved behov.

Group memberships: no groups