Page History

...

Measures to ensure IS are determined not only by the Infinet devices family, but also by the scenario of their use (Figure 1a-d). Let's look at several scenarios in which wireless devices connect network segments belonging to different responsibility areas, each area is characterized by a certain set of threats:

• joinig of internal network segments connection;
• joinig of internal and external network segments connection;
• internal network segments connection with Internet.

Используемые меры защиты должны соответствовать существующим рискам, архитектура решений по обеспечению ИБ не должна быть избыточной. Например, фильтрация внешних подключений должна выполняться на стыке со сторонним оператором связи, а не на всей цепочке промежуточных узлов.

Требования по обеспечению физической безопасности и безопасности в радиоканале одинаковы для всех рассматриваемых сценариев и подробно представлены в соответствующих разделах. Для конфигурации устройств можно сформулировать следующие общие требования ИБ:

• управление устройством извне должно быть ограничено с помощью "белых" списков;
• работа служебных сетевых протоколов должна быть ограничена внутренним сегментом сети;
• на стыке зон ответственности должен быть организован эшелон безопасности для защиты внутреннего сегмента от вредоносного трафика.

Объединение внутренних сегментов сети

Сценарий объединения двух сегментов сети, находящихся в одной зоне ответственности, является простейшим (рис. 1а). Устройства играют роль моста, следовательно, являются простым соединителем в структуре LAN. поэтому основные средства обеспечения защиты информации размещаются на границах левого и правого сегментов.

...

Image Removed

...

The security measures should correspond to existing risks, the IS architecture should not be redundant. For example, filtering of external connections should be performed at the interface on border with a third-party telecom operator, not on all intermediate nodes in networks.

The requirements for physical safety and security in the radio link are the same for all the scenarios beyond and are detaily described in the relevant sections. To configure devices, let's specify the following general requirements for information security:

• external device management should be limited by whitelists;
• service network protocols should not leave internal network segment;
• at the border of responsibility areas, an internal segment should be protected from malicious traffic.

Joining of internal network segments

The simplest scenario is joining two network segments located in the same responsibility zone (Figure 1a). Devices are used as a bridge, a simple connector in the LAN structure, therefore, the main information security tools are located at the boundaries of the left and right segments.

Anchor
lan_wan_scenario lan_wan_scenario

...

Joinig of internal and external network segments

In the scenario of joining two networks located in different responsibility areas, information security tools are realized on a radio device located at the border of two segments. A special example of the external network segment is the customer’s network, which is provided with a data service. In such scenarios, both inbound and outbound traffic should be filtered.

Объединение внутреннего сегмента сети и сети интернет

...

Internal network segments connection with Internet

The scenario where a wireless device is located at the border of the internal segment and the Internet is a special case of the previous scenario. The difference is in a low security on the device from the side of the Internet connection, that cause large number of risks.

Таблица применимости средств обеспечения ИБ в различных сценариях

Обеспечение ИБ достигается выполнением мероприятий, описанных в разделах и подразделах ИБ:

Figure 1d - Radio link joining internal network segments and Internet

Information security tools in various scenarios table

IS realization is achieved by the implementation of measures described in sections and subsections of IS:

Anchor
physical_security physical_security

...

Физический уровень является фундаментом информационной безопасности, поэтому обеспечение физической безопасности устройств является приоритетной задачей при реализации технической политики предприятия. Обеспечение физической безопасности подразумевает комплексный подход и включает несколько компонентов:

• выбор площадки для установки оборудования;
• организация вспомогательной инфраструктуры объекта;
• монтаж оборудования;
• эксплуатация объекта.

Объект связи, включающий в себя беспроводные устройства, состоит из трёх основных элементов (рис. 2):

...

Physical security

The physical layer is the foundation of information security, so the devices physical security has a priority over company technical policy. Physical security should be comprehensive and include several components:

• site selection for equipment installation;
• organization of additional facility infrastructure;
• equipment installation;
• facility operation.

The connection node (including wireless devices) consists of three main elements (Figure 2):

• High-rise part: the location of wireless devices, for example, the roof of a building, a mast, a telecommunication tower.
• Cable route: cables connecting the high-rise part and the equipment located indoor.
• Building: equipment located indoor and points of connection to the infrastructure. Infrastructure may include data links, power, climate systems, etc. Equipment should be placed in a rack or telecommunication enclosure, which can be placed in a dedicated room or be combined with the high-rise part of the object.

...