Архитектура безопасности Взаимосвязи открытых систем
Большинство современных сложных информационных структур, лежащих в качестве основы существующих АС проектируются с учетом идеологии Эталонной модели (ЭМ) Взаимосвязи открытых систем (ВОС), которая позволяет оконечному пользователю сети (или его прикладным процессам) получить доступ к информационно-вычислительным ресурсам значительно легче, чем это было раньше. Вместе с тем концепция открытости систем создает ряд трудностей в организации защиты информации в системах и сетях. Требование защиты ресурсов сети от НСД является обязательным при проектировании и реализации большинства современных информационно-вычислительных сетей, соответствующих ЭМ ВОС.
В 1986 г. рядом международных организаций была принята Архитектура безопасности ВОС (АБ ВОС). В архитектуре ВОС выделяют семь уровней иерархии: физический, канальный, сетевой, транспортный, сеансовый, представительный и прикладной. Однако в АБ ВОС предусмотрена реализация механизмов защиты в основном на пяти уровнях. Для защиты информации на физическом и канальном уровне обычно вводится такой механизм защиты, как линейное шифрование. Канальное шифрование обеспечивает закрытие физических каналов связи с помощью специальных шифраторов. Однако применение только канального шифрования не обеспечивает полного закрытия информации при ее передаче по сети, так как на узлах коммутации пакетов информация будет находиться в открытом виде. Поэтому НСД нарушителя к аппаратуре одного узла ведет к раскрытию всего потока сообщений, проходящих через этот узел. В том случае, когда устанавливается виртуальное соединение между двумя абонентами сети и коммуникации, в данном случае, проходят по незащищенным элементам сети, необходимо сквозное шифрование, когда закрывается информационная часть сообщения, а заголовки сообщений не шифруются. Это позволяет свободно управлять потоками зашифрованных сообщений. Сквозное шифрование организуется на сетевом и/или транспортном уровнях согласно ЭМ ВОС. На прикладном уровне реализуется большинство механизмов защиты, необходимых для полного решения проблем обеспечения безопасности данных в ИВС.
Большинство современных сложных информационных структур, лежащих в качестве основы существующих АС проектируются с учетом идеологии Эталонной модели (ЭМ) Взаимосвязи открытых систем (ВОС), которая позволяет оконечному пользователю сети (или его прикладным процессам) получить доступ к информационно-вычислительным ресурсам значительно легче, чем это было раньше. Вместе с тем концепция открытости систем создает ряд трудностей в организации защиты информации в системах и сетях. Требование защиты ресурсов сети от НСД является обязательным при проектировании и реализации большинства современных информационно-вычислительных сетей, соответствующих ЭМ ВОС.
В 1986 г. рядом международных организаций была принята Архитектура безопасности ВОС (АБ ВОС). В архитектуре ВОС выделяют семь уровней иерархии: физический, канальный, сетевой, транспортный, сеансовый, представительный и прикладной. Однако в АБ ВОС предусмотрена реализация механизмов защиты в основном на пяти уровнях. Для защиты информации на физическом и канальном уровне обычно вводится такой механизм защиты, как линейное шифрование. Канальное шифрование обеспечивает закрытие физических каналов связи с помощью специальных шифраторов. Однако применение только канального шифрования не обеспечивает полного закрытия информации при ее передаче по сети, так как на узлах коммутации пакетов информация будет находиться в открытом виде. Поэтому НСД нарушителя к аппаратуре одного узла ведет к раскрытию всего потока сообщений, проходящих через этот узел. В том случае, когда устанавливается виртуальное соединение между двумя абонентами сети и коммуникации, в данном случае, проходят по незащищенным элементам сети, необходимо сквозное шифрование, когда закрывается информационная часть сообщения, а заголовки сообщений не шифруются. Это позволяет свободно управлять потоками зашифрованных сообщений. Сквозное шифрование организуется на сетевом и/или транспортном уровнях согласно ЭМ ВОС. На прикладном уровне реализуется большинство механизмов защиты, необходимых для полного решения проблем обеспечения безопасности данных в ИВС.
АБ ВОС устанавливает следующие службы безопасности (см. табл.15.1).
· обеспечения целостности данных (с установлением соединения, без установления соединения и для выборочных полей сообщений);
· обеспечения конфиденциальности данных (с установлением соединения, без установления соединения и для выборочных полей сообщений);
Таблица 15.1
|
Назначение службы |
Номер службы |
Процедура защиты |
Номер уровня |
|
Аутентификация: Одноуровневых объектов источника данных |
1 2 |
Шифрование, цифровая подпись Обеспечение аутентификации Шифрование Цифровая подпись |
3,4 3,4,7 3,4 3,4,7 |
|
Контроль доступа |
3 |
Управление доступом |
3,4,7 |
|
Засекречивание: соединения в режиме без соединения выборочных полей потока данных |
4 5 6 7 |
Шифрование Управление трафиком Шифрование Управление трафиком Шифрование Шифрование Заполнение потока Управление трафиком |
1-4,6,7 3 2-4,6,7 3 6,7 1,6 3,7 3 |
|
Обеспечение целостности: соединения с восстановлением соединения без восстановления выборочных полей без установления соединения выборочных полей без соединения |
8 9 10 11 12 |
Шифрование, обеспечение целостности данных Шифрование, обеспечение целостности данных Шифрование, обеспечение целостности данных Шифрование Цифровая подпись Обеспечение целостности данных Шифрование Цифровая подпись Обеспечение целостности данных |
4,7 3,4,7 7 3,4,7 4 3,4,7 7 4,7 7 |
|
Обеспечение невозможности отказа от факта: отправки доставки |
13 14 |
Цифровая подпись, обеспечение целостности данных, подтверждение характеристик данных Цифровая подпись, обеспечение целостности данных, подтверждение характеристик данных |
7 7 |
· аутентификации (одноуровневых объектов и источника данных);
· обеспечения конфиденциальности трафика;
· обеспечения невозможности отказа от факта отправки сообщения абонентом - передатчиком и приема сообщения абонентом - приемником.
АБ ВОС устанавливает следующие службы безопасности (см. табл.15.1).
· обеспечения целостности данных (с установлением соединения, без установления соединения и для выборочных полей сообщений);
· обеспечения конфиденциальности данных (с установлением соединения, без установления соединения и для выборочных полей сообщений);
Таблица 15.1
|
Назначение службы |
Номер службы |
Процедура защиты |
Номер уровня |
|
Аутентификация: Одноуровневых объектов источника данных |
1 2 |
Шифрование, цифровая подпись Обеспечение аутентификации Шифрование Цифровая подпись |
3,4 3,4,7 3,4 3,4,7 |
|
Контроль доступа |
3 |
Управление доступом |
3,4,7 |
|
Засекречивание: соединения в режиме без соединения выборочных полей потока данных |
4 5 6 7 |
Шифрование Управление трафиком Шифрование Управление трафиком Шифрование Шифрование Заполнение потока Управление трафиком |
1-4,6,7 3 2-4,6,7 3 6,7 1,6 3,7 3 |
|
Обеспечение целостности: соединения с восстановлением соединения без восстановления выборочных полей без установления соединения выборочных полей без соединения |
8 9 10 11 12 |
Шифрование, обеспечение целостности данных Шифрование, обеспечение целостности данных Шифрование, обеспечение целостности данных Шифрование Цифровая подпись Обеспечение целостности данных Шифрование Цифровая подпись Обеспечение целостности данных |
4,7 3,4,7 7 3,4,7 4 3,4,7 7 4,7 7 |
|
Обеспечение невозможности отказа от факта: отправки доставки |
13 14 |
Цифровая подпись, обеспечение целостности данных, подтверждение характеристик данных Цифровая подпись, обеспечение целостности данных, подтверждение характеристик данных |
7 7 |
· аутентификации (одноуровневых объектов и источника данных);
· обеспечения конфиденциальности трафика;
· обеспечения невозможности отказа от факта отправки сообщения абонентом - передатчиком и приема сообщения абонентом - приемником.
