- •1.2 Механізми безпеки
- •1.3 Класи безпеки
- •2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •2.1 Мережні сервіси безпеки
- •2.2 Мережні механізми безпеки
- •2.3 Адміністрування засобів безпеки
- •3 Стандарт iso/iec 15408 "Критерії оцінки безпеки інформаційних технологій"
- •3.1 Основні поняття
- •3.2 Функціональні вимоги
- •3.3 Вимоги довір’я безпеці
- •4 Гармонізовані критерії європейських країн
- •5 Інтерпретація "Оранжевої книги" для мережних конфігурацій
- •Список літератури
2.2 Мережні механізми безпеки
Для реалізації сервісів (функцій) безпеки можуть використовуватися наступні механізми і їх комбінації:
-
шифрування;
-
електронний цифровий підпис;
-
механізми управління доступом. Можуть розташовуватися на будь-якій із сторін, що беруть участь в спілкуванні, або в проміжній крапці;
-
механізми контролю цілісності даних. В рекомендаціях X.800 розрізняються два аспекти цілісності: цілісність окремого повідомлення або поля інформації і цілісність потоку повідомлень або полів інформації. Для перевірки цілісності потоку повідомлень (тобто для захисту від крадіжки, переупорядковування, дублювання і вставки повідомлень) використовуються порядкові номери, тимчасові штампи, криптографічне скріплення або інші аналогічні прийоми;
-
механізми аутентифікації. Згідно рекомендаціям X.800, аутентифікація може досягатися за рахунок використовування паролів, особистих карток або інших пристроїв аналогічного призначення, криптографічних методів, пристроїв вимірювання і аналізу біометричних характеристик;
-
механізми доповнення трафіку;
-
механізми управління маршрутизацією. Маршрути можуть вибиратися статично або динамічно. Крайова система, зафіксувавши неодноразові атаки на певному маршруті, може відмовитися від його використовування. На вибір маршруту здатна вплинути мітка безпеки, асоційована з передаваними даними;
-
механізми нотаризации. Служать для завірення таких комунікаційних характеристик, як цілісність, час, осіб відправника і одержувачів. Завірення забезпечується надійною третьою стороною, володіючою достатньою інформацією. Звичайно нотаризация спирається на механізм електронного підпису.
В наступній таблиці зведені сервіси (функції) і механізми безпеки. Таблиця показує, які механізми (по окремості або в комбінації з іншими) можуть використовуватися для реалізації тієї або іншої функції.
|
Таблиця 5.2. Взаємозв’язок функцій і механізмів безпеки |
|
||||||||
|
Функції |
Механізми |
|
|||||||
|
Шифрування |
Електронний підпис |
Керування доступом |
Цілісність |
Аутентифіккація |
Доповнення трафіку |
Керування маршрутизацією |
Нотаризація |
|
|
|
Аутентифікація партнерів |
+ |
+ |
- |
- |
+ |
- |
- |
- |
|
|
Аутентифікація джерела |
+ |
+ |
- |
- |
- |
- |
- |
- |
|
|
Керування доступом |
- |
- |
+ |
- |
- |
- |
- |
- |
|
|
Конфіденційність |
+ |
- |
+ |
- |
- |
- |
+ |
- |
|
|
Виборча конфіденційність |
+ |
- |
- |
- |
- |
- |
- |
- |
|
|
Конфіденційність трафіку |
+ |
- |
- |
- |
- |
+ |
+ |
- |
|
|
Цілісність з’єднання |
+ |
- |
- |
+ |
- |
- |
- |
- |
|
|
Цілісність зовні з’єднання |
+ |
+ |
- |
+ |
- |
- |
- |
- |
|
|
Невідмовність |
- |
+ |
- |
+ |
- |
- |
- |
+ |
|
"+" механізм придатний для реалізації даної функції безпеки;
"-" механізм не призначений для реалізації даної функції безпеки.