确保线路安全第4部分- COS计划/审计

服务等级(COS)并不是一个新的术语或概念。COS也被称为电信业的“有效许可”，在安全分析中经常被忽视。事实上，服务类的基本思想和实现已经发生了变化很少从80年代PBX的“繁荣”到今天。通常，COS被分配给用户组(或终端)，以确定谁可以做什么、什么时候做以及如何做。例如，COS规则的存在可能是为了限制国际拨号、功能使用(如离线呼叫转发)，甚至是为了消息功能(如邮箱功能和消息长度)等。即使对于非ip交换机，缺乏COS策略或适当的分配也会造成严重的安全漏洞。简单地说，这些漏洞的存在通常是因为用户或终端有过多的权力。我们都听说过“电话窃听”的例子，它可以利用COS执行中的错误获得外部资源的访问。那么，如何分析和重新组织服务类权限呢?首先，进行COS审计，以确定交换机上可用的COS级别。重要的是要认识到电信环境的COS“界限”，并从字面上确定如何有很大的控制余地。其次,与您的用户一起工作确定使用环境提供的特性或服务的目的、方式和原因。使用最小权限原则，将用户组或部门限制为他们的特性或权限绝对要求。对于“高级用户”，实现一种方法来通知他们监视和报告潜在安全问题的责任。COS和许可重新分配需要时间!特别是在大型组织中，审计和分析过程需要花费数月或数年的时间。然而，COS在安全难题中是一个非常重要的部分，而这一点经常被忽视。