- •1.2 Механізми безпеки
- •1.3 Класи безпеки
- •2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •2.1 Мережні сервіси безпеки
- •2.2 Мережні механізми безпеки
- •2.3 Адміністрування засобів безпеки
- •3 Стандарт iso/iec 15408 "Критерії оцінки безпеки інформаційних технологій"
- •3.1 Основні поняття
- •3.2 Функціональні вимоги
- •3.3 Вимоги довір’я безпеці
- •4 Гармонізовані критерії європейських країн
- •5 Інтерпретація "Оранжевої книги" для мережних конфігурацій
- •Список літератури
2 Інформаційна безпека розподілених систем. Рекомендації X.800
2.1 Мережні сервіси безпеки
Слідуючи швидше історичною, ніж наочній логіці, ми переходимо до розгляду технічної специфікації X.800, що з’явилася небагато чим пізніше за "Оранжеву книгу", але вельми повно і глибоко тією, що потрактувала питання інформаційної безпеки розподілених систем.
Рекомендації X.800 - документ досить обширний. Ми зупинимося на специфічних мережних функціях (сервісах) безпеки, а також на необхідних для їх реалізації захисних механізмах.
Виділяють наступні сервіси безпеки і виконувані ними ролі:
Аутентифікація. Даний сервіс забезпечує перевірку автентичності партнерів по спілкуванню і перевірку автентичності джерела даних. Аутентифікація партнерів по спілкуванню використовується при встановленні з’єднання і, мабуть, періодично під час сеансу. Вона служить для запобігання таких загроз, як маскарад і повтор попереднього сеансу зв’язку. Аутентифікація буває односторонньою (звичайно клієнт доводить свою автентичність серверу) і двосторонньою (взаємної).
Управління доступом. Забезпечує захист від несанкціонованого використовування ресурсів, доступних по мережі.
Конфіденційність даних. Забезпечує захист від несанкціонованого отримання інформації. Окремо згадаємо конфіденційність трафіку (це захист інформації, яку можна одержати, аналізуючи мережні потоки даних).
Цілісність даних підрозділяється на підвиди залежно від того, який тип спілкування використовують партнери - зі встановленням з’єднання або без нього, чи захищаються всі дані або тільки окремі поля, чи забезпечується відновлення у разі порушення цілісності.
Неотказуємость (неможливість відмовитися від досконалих дій) забезпечує два види послуг: неотказуемость з підтвердженням автентичності джерела даних і неотказуемость з підтвердженням доставки. Побічним продуктом неотказуемости є аутентифікація джерела даних.
В наступній таблиці вказані рівні еталонної семирівневої моделі OSI, на яких можуть бути реалізовані функції безпеки. Відзначимо, що прикладні процеси, у принципі, можуть узяти на себе підтримку всіх захисних сервісів.
-
Таблиця 5.1. Розподіл функцій безпеки по рівнях еталонної семирівневої моделі OSI
Функції безпеки
Рівень
1
2
3
4
5
6
7
Аутентифікація
-
-
+
+
-
-
+
Керування доступом
-
-
+
+
-
-
+
Конфіденційність з’єднання
+
+
+
+
-
+
+
Конфіденційність зовні з’єднання
-
+
+
+
-
+
+
Виборча конфіденційність
-
-
-
-
-
+
+
Конфіденційність трафіку
+
-
+
-
-
-
+
Цілісність з відновленням
-
-
-
+
-
-
+
Цілісність без відновленн
-
-
+
+
-
-
+
Виборча цілісність
-
-
-
-
-
-
+
Цілісність зовні з’єднання
-
-
+
+
-
-
+
Невідмовність
-
-
-
-
-
-
+
"+" даний рівень може надати функцію безпеці;
"-" даний рівень не підходить для надання функцію безпеки.