Мельников Д. А. - Информационная безопасность открытых систем - 2013
.pdfТаблица 1.4 (окончание)
Уровень архитектуры |
|
|
|
|
|
^ ' " \ ^ с е т и Интернет |
1 |
2 |
3 |
4 |
5 |
|
|||||
Услуга |
|
|
|
|
|
Целостность виртуального |
|
|
|
|
/ |
соединения |
|
|
|
|
|
Целостность информацион |
|
|
|
|
|
ного обмена без установления |
|
|
|
|
|
соединения |
|
|
|
|
|
Целостность отдельных полей |
|
|
|
|
|
при организации информаци |
|
|
|
|
|
онного обмена |
|
|
|
|
|
Защита от ложного отказа ис |
|
|
|
|
•/ |
точника |
|
|
|
|
|
Защита от ложного отказа по лучателя
1.5. Принципы архитектуры безопасности сети Интернет
На сегодняшний день архитектура безопасности сети Интер нет до конца не определена и тем более не стандартизирована. Существует ряд моделей безопасности в ИТС. Однако модель безопасности ЭМВОС не приемлема для Интернет-сетей (R F C - 791, RFC-1122, RFC-1123, RFC-1349, RFC-1958), так как их архитектуры отличаются количеством уровней (ЭМВОС — 7, а Интернет — 5), тем не менее услуги и способы обеспечения безопасности, определенные для ЭМВОС, аналогичны тем, ко торые используются в Интернет-архитектуре. Поэтому для сети Интернет наиболее приемлемыми моделями безопасности яв ляются модели МОС, министерства обороны США и собствен но рабочей группы по безопасности IETF (IRTF) Интернет.
В табл. 1.4 показано распределение услуг по обеспечению безопасности по уровням Интернет-архитектуры в соответствии с идеологией сетевой безопасности в сети Интернет.
52
Глава 2 _____________________________
КОНЦЕПЦИИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Большинство открытых (прикладных) ИТС, архитектура ко торых соответствует ЭМВОС или Интернет-архитектуре, предъ являют жесткие требования по обеспечению ИБ с целью защиты от угроз, возникающих при информационном взаимодействии как внутри самих систем, так и между собой. Под термином от крытые системы понимаются БД, распределенные прикладные системы, системы с открытой распределенной обработкой и собственно взаимодействие самих ИТС. Концептуальные осно вы обеспечения И Б связаны со способами и средствами защиты подсистем и объектов, расположенных внутри таких систем, а также с взаимодействием систем между собой. Однако основы
ИБ не затрагивают методологию проектирования самих систем
испособов.
Обеспечение ИБ охватывает элементы данных (информацион ные элементы) и последовательности процедур (но не прото кольные элементы данных), которые используются при предо ставлении определенных услуг по обеспечению ИБ. Услуги по обеспечению ИБ могут предоставляться соответствующими службами обеспечения безопасности (СЛБ) при информацион ном взаимодействии объектов/субъектов ИТС, а также при об мене данными между ИТС и при управлении самими ИТС.
Концептуальные основы обеспечения ИБ могут использо ваться в качестве основы для стандартизации, применения еди ной терминологии и описания общих абстрактных служебных интерфейсов при выполнении определенных требований к обе спечению ИБ.
Одна СЛБ очень часто зависит от других СЛБ, что затруд няет самостоятельное функционирование одного направления обеспечения ИБ от других. Основы обеспечения ИБ включают рассмотрение соответствующих СЛБ, описывают совокупность
53
способов, которые могут использоваться при предоставлении услуг по обеспечению ИБ, и определяют взаимозависимость услуг и способов обеспечения ИБ (СПБ). Следствием деталь ного описания этих способов может стать доверие к различным СЛБ, а также доверие одной СЛБ к другой.
Вданной главе рассматриваются:
•концепции (концептуальные компоненты, понятия и
определения) обеспечения ИБ, которые используются в большинстве СЛБ;
•взаимозависимость СЛБ и СПБ.
Службы обеспечения информационной безопасности
|
Слу*ба |
|
Служба упра^ения |
аутентиФикации |
Служба обеспечения |
доступам, |
|
к0нфиденциапьн0сти | |
|
Служба обеспечения| |
|
|
|
|
Служба обеспечения |
нвптказуем0?™ |
|
|
Служба обеспечения) |
|
г постное™ |
Служ63 |
ключами |
|
|
|
|
аудита безопасности! |
|
Рис. 2.1. Службы обеспечения ИБ
Концептуальные основы обеспечения ИБ включают несколь ко частей, каждая из которых представляет собой отдельную
главу данной книги, посвященную конкретной СЛБ а именно (рис. 2.1):
служба аутентификации (СЛАУ); служба управления доступом (СЛУД);
служба обеспечения неотказуемости (СЛНТ); служба обеспечения конфиденциальности (СЛКН);
54
•служба обеспечения целостности (СЛЦЛ);
•служба аудита безопасности и оповещения об опасности (СЛАО);
•служба обеспечения ключами (СЛКЛ).
2.1. Общие концепции обеспечения ИБ
Большинство концептуальных понятий и определений обе спечения И Б необходимы для описания самих СЛБ и раскрыва ют функции (функциональность) этих служб. На рис. 2.2 пред ставлены основные концептуальные компоненты, понятия и определения обеспечения ИБ.
Рис. 2.2. Концепции обеспечения информационной безопасности
2 .1 .1 . И н ф о р м ац и я, н еобход и м ая для об есп еч ен и я И Б
Информация, необходимая для обеспечения ИБ, представ ляет собой вспомогательную информацию (ВИ), которая вос требована СЛБ и используется ею. К ВИ относятся:
•правила политики обеспечения безопасности (ПЛБ);
•информация, необходимая для функционирования опре деленных СЛБ, например ВИ для процедуры аутентифи-
55
кации (аутентификационная информация, authentication information) и ВИ для процедуры управления доступом (access control information);
•информация, необходимая для реализации СПБ, напри мер метки безопасности (security labels), криптографи ческие проверочные суммы (КПС), сертификаты безо пасности (СЕРТ|ИБ) и маркеры безопасности (security tokens).
2 .1 .2 . Сетевой с е гм е н т б езо п асн о сти
Сетевой сегмент безопасности (ССБ) представляет собой совокупность информационных (информационно-техноло гических) элементов, определяемых ПЛБ и находящихся под управлением единого центра безопасности (ЦБ), который осу ществляет целенаправленную деятельность по обеспечению И Б. Функциональная деятельность ССБ основана на привлечении одного или нескольких элементов из самого ССБ и, возможно, элементов других ССБ.
Примерами такой деятельности являются:
•обеспечение доступа к элементам;
•установление или использование соединений JV-ro уров ня ЭМВОС или Интернет-архитектуры;
•процедуры, относящиеся к специфическим функциям обеспечения и управления;
•процедуры обеспечения неотказуемости (ПРНТ) с при влечением нотариуса.
Любой процесс может быть связан с обеспечением ИБ даже тогда, когда он на текущий момент времени не является объек том тех СПБ, которые могли бы его «заставить» выполнять тре бования любой ПЛБ, хоть как-то касающейся их применения. Соответственно, процессы, выполнение которых может быть прервано (или вообще прекращено) из-за любых перестановок групп элементов, могут сами зависеть от процедур обеспечения ИБ (ПРБ), а в дальнейшем могут стать контролируемыми объ ектами со стороны СПБ.
56
В открытых системах элементами ССБ являются логические или физические элементы, например существующие открытые системы, прикладные процессы, объекты N -то уровня ЭМВОС или Интернет-архитектуры, элементы протокольных данных Лг-го уровня ЭМВОС или Интернет-архитектуры, ретран сляторы и пользователи существующих открытых систем. Очень часто возникает необходимость отделения пользователей от других элементов в ССБ. В таких случаях для обозначения всех элементов, не относящих к пользователям, используется термин
объекты (элементы) данных (data objects).
2.1.2.1. ПЛБ и правила ПЛБ
ПЛБ отражает требования к обеспечению ИБ в ССБ в целом. Например, ПЛБ может определять требования, которые уста навливаются, либо для всех участников ССБ при функциони ровании в определенных условиях, либо для всей информации, циркулирующей в ССБ. В итоге ПЛБ будет применяться (реа лизовываться) СЛБ, которые в свою очередь будут определены в соответствие с требованиями ПЛБ, а СПБ будут выбираться ис ходя из применяемых СЛБ. Решение относительно применения того или иного СПБ будет приниматься исходя из последствий реализации возможных угроз и объема ресурсов, необходимых для парирования таких угроз.
ПЛБ формально представляется как совокупность наиболее общих принципов, зафиксированных на естественном (чита бельном) языке. Эти принципы отражают требования по обеспе чению ИБ соответствующей организации или участников ССБ. Перед тем как эти требования могут быть отражены в реальных открытых системах, ПЛБ должна быть скорректирована, при чем так, чтобы из нее можно было выделить набор правил ПЛБ. Представление таких требований в форме правил ПЛБ является чисто технической задачей. ПЛБ накладывает ограничения на деятельность элементов, являющихся ее объектами, либо путем требования точного выполнения определенного действия, либо путем наложения запрета на выполнение определенных дей ствий. Кроме того, ПЛБ может предоставлять элементам право
57
на выполнение (осуществление) некоторой части определенных действий.
Правила ПЛБ для ССБ бывают двух типов: 1) затрагиваю щие вопросы функционирования в рамках одного ССБ; 2) за трагивающие вопросы функционального взаимодействия двух и более ССБ. Правила ПЛБ второго типа называются
правилами безопасного взаимодействия (ПБВ). ПЛБ, кроме того, может устанавливать правила взаимодействия между всеми ССБ, а также правила взаимодействия определенной группы ССБ.
Правила ПЛБ для ССБ должны всегда быть актуальными, так как изменяется сама система, могут изменяться ее функцио нальные аспекты и соответственно ПЛБ ССБ тоже может кор ректироваться.
2.1.2.2. Центр ССБ
Центр ССБ представляет собой исполнительный орган ССБ, который несет ответственность за внедрение и выполнение ПЛБ в ССБ.
Центр ССБ:
•может быть составным объектом. Такой объект должен быть идентифицируемым;
•может, в зависимости от применяемой ПЛБ, субъектом которой может быть сам этот центр ССБ, делегировать ответственность за внедрение и выполнение ПЛБ одному или нескольким объектам;
•иметь центр ССБ над всеми элементами ССБ.
ПРИМ ЕЧАНИЕ. ПЛБ может отсутствовать, если центр ССБ
решил не вводить каких-либо ограничений.
Два ССБ считаются связанными, если их функционирова ние ограничивается только согласованием собственных ПЛБ.
2.1.2.3. Взаимосвязи между ССБ
Концептуальное понятие ССБ считается основополагающим по двум причинам:
58
•оно может использоваться для описания процедур обе спечения и администрирования ИБ;
•оно может использоваться как «строительный блок» при моделировании основных направлений деятельности по обеспечению И Б, которые затрагивают элементы, нахо дящиеся под управлением различных ЦБ.
ССБ могут быть связаны между собой различными спосо бами. Взаимосвязи между ССБ должны быть зафиксированы в ПЛБ ССБ и предварительно согласованы их ЦБ. Эти взаи мосвязи описываются с использованием терминов1 «элементы и основные направления деятельности ССБ» и отображаются в ПБВ каждого взаимодействующего ССБ.
Говорят, что два ССБ являются изолированными друг от друга, если они не имеют ни общих элементов данных, ни общих направ лений деятельности и, более того, не могут взаимодействовать.
Говорят, что два ССБ являются независимыми друг от друга если:
•они не имеют общих элементов данных;
•основные направления деятельности в рамках каждого ССБ основаны только на его собственных ПЛБ (и соот ветствующих группах правил ПЛБ);
•центры ССБ не осуществляют координацию своих ПЛБ.
Два и более независимых ССБ могут заключить между собой соглашение о скоординированном обмене информацией между ними.
Говорят, что ССБ А является сетевым субсегментом безопас ности другого ССБ В тогда и только тогда, когда:
•множество элементов А является подмножеством множе ства элементов В или совпадает с ними;
•совокупность основных направлений деятельности А яв ляется частью совокупности основных направлений дея тельности В или совпадает с ними;
1Использование рассматриваемых в этой главе терминов не является строго обязательным.
59
•юрисдикция над А делегирована центром безопасности В центру безопасности А;
•ПЛБ А не противоречит ПЛБ В. При необходимости,
Аможет вводить дополнительную ПЛБ, если это допу скается ПЛБ В.
Говорят, что ССБ А является сетевым суперсегментом безо пасности по отношению к другому ССБ В тогда и только тогда, когда В является сетевым субсегментом безопасности по отно шению к А.
2.1.2.4. Формирование ПБВ
Информационное взаимодействие между ССБ должно быть отражено в ПБВ. Они составляют определенную часть общих правил ПЛБ каждого ССБ. ПБВ устанавливают общие:
•СЛБ и СПБ, которые могут варьироваться при каждом информационном взаимодействии, как правило, путем согласования;
• элементы ВИ в каждом ССБ, взаимодействующего по принципу «каждый с каждым», как правило, путем взаимно-однозначного отображения.
Для обеспечения возможного обмена правилами ПЛБ меж ду ССБ необходима ВИ. ПБВ могут определяться различными способами в зависимости от реального взаимодействия между ССБ.
Для обеспечения безопасного взаимодействия между неза висимыми ССБ, ПБВ должны быть согласованы центрами бе зопасности взаимодействующих ССБ.
Для обеспечения безопасного взаимодействия между сете выми субсегментами безопасности ПБВ могут формироваться ЦБ сетевого суперсегмента безопасности. Если это допускает ПЛБ сетевого суперсегмента безопасности, то сетевые суб сегменты безопасности могут формировать свои собственные ПБВ.
60
2.1.2.5. Доставка ВИ между ССБ
ПБВ могут сами содержать ВИ, и может возникнуть необхо димость в доставке такой ВИ между ССБ. В этой связи возмож ны следующие случаи:
•семантика и формат представления ВИ в каждом ССБ идентичны. Это означает, что отображение не требуется;
•семантика представления ВИ в каждом ССБ идентична, но форматы ее представления отличаются. Это означает, что методы описания ВИ различны, и, следовательно, не обходимо отображение синтаксиса;
•семантика и формат представления ВИ в каждом ССБ различны. Это означает, что ПБВ должны определять способ отображения ВИ одного ССБ в ВИ другого ССБ. Кроме этого, может понадобиться отображение синтак сиса.
2 .1 .3 . П р ед п о л о ж ен и я относительно П Л Б для опред ел енны х СЛБ
Способы УД (СПУД) могут использоваться в некоторых реальных СЛЦЛ или СЛКН. В таких случаях правила ПЛБ, определяющие функционирование СЛЦЛ или СЛКН, долж ны устанавливать порядок использования СПУД. Способы УД рассматриваются в терминах «инициатор» и «целевой объект».
Правила ПЛБ определяют как объекты/субъекты, информа ция и элементы данных в политиках обеспечения целостности (ПЛЦЛ) и конфиденциальности (ПЛКН) связаны с инициато рами и целевыми объектами, указанными в способах УД.
ПЛКН устанавливают, что объекты/субъекты могут контро лировать информационные элементы. Существуют два способа, в соответствии с которыми процедура, осуществляемая ини циатором по отношению к целевому объекту, может раскрыть информацию о взаимодействующей стороне. Во-первых, в ре зультате проведенной инициатором процедуры ему может стать известна некоторая информация о целевом объекте. Во-вторых, запрос процедуры, направленный целевым объектом, может обе
61