А.2.5. Способы обеспечения иб в модулях безопасности
Сочетание каждого уровня безопасности с каждой плоскостью безопасности представляет область (модуль) безопасности, в которой способы обеспечения ИБ применяются для противодействия угрозам. В таблице А.2 приведены составы всех девяти модулей архитектуры сетевой безопасности.
Таблица А.2. Состав модулей архитектуры сетевой безопасности
|
Инфраструктуры |
Услуги |
Приложений |
Управления сетью |
Модуль 1 |
Модуль 4 |
Модуль 7 |
Транспортной сети |
Модуль 2 |
Модуль 5 |
Модуль 8 |
Оконечного пользователя |
Модуль 3 |
Модуль 6 |
Модуль 9 |
Поясним таблицу на примерах, приведенных в рекомендации ITU-T E.408 [111]. Под модулем 1 понимается архитектура сетевой безопасности, включающая плоскость безопасности управления сетью и уровень безопасности инфраструктуры. Под модулем 5 понимается архитектура, включающая плоскость безопасности транспортной сети и уровень безопасности услуги. Под модулем 9 понимается архитектура, включающая плоскость безопасности оконечного пользователя и уровень безопасности приложений. Ниже приведём в качестве примера (для модулей 1, 5 и 9) описание способов обеспечения ИБ, соответствующих этим модулям. В таблице А.3 приведён пример, иллюстрирующий применение способов обеспечения ИБ в случае архитектуры сетевой безопасности, соответствующей модулю 1.
Таблица А.3. Способы обеспечения ИБ модуля 1 архитектуры сетевой безопасности (пример)
Способы обеспечения безопасности |
Задачи безопасности |
Управление доступом |
Гарантия того, что только санкционированному персоналу и устройствам сети (например, устройствам, управляемым в IP-сети протоколом SNMP) позволены административные и эксплутационные функции на устройствах сети или линиях связи. |
Аутентификация |
Проверка идентификатора, личности или устройства, исполняющего административные и эксплутационные функции с устройствами сети и линиями связи. |
Неотказуемость авторства |
Зарегистрировать индивидуума или устройство, которые принимали участие в административных и эксплуатационных операциях. Эта запись может быть использована для доказательства источника этих действий. |
Конфиденциальность данных |
Защита аутентификационных данных администратора от несанкционированного доступа или перехвата (например, административные идентификаторы и пароли). |
Безопасность связи |
В случае удалённого управления сетевыми устройствами и линиями связи гарантируется, что управляющей информацией является только та, которая передаётся между ними (т.е. эта информация доставляется правильному адресату). |
Целостность данных |
Защита содержания информации сетевых устройств и линий связи от несанкционированной модификации, уничтожения, искажения и повтора. |
Готовность (доступность) |
Гарантируется готовность управлять сетевыми устройствами или линиями связи санкционированным персоналом, а также то, что устройства не находятся в состоянии отказа. При этом предусматривается защита от отказов в обслуживании DoS (Denial of Service), а также от уничтожения или модификации административной информации аутентификации (например, административные идентификатор и пароли) |
Приватность |
Гарантируется, что информация, которая может быть использована для идентификации устройств сети и линий связи отсутствует у несанкционированного персонала или в устройствах. Примером такой информации может быть, например, IP-адрес сетевого устройства. |
В таблице А.4 приведён пример, иллюстрирующий применение способов обеспечения ИБ в случае архитектуры сетевой безопасности, соответствующей модулю 5 (плоскость безопасности транспортной сети, уровень безопасности услуг).
Таблица А.4. Способы обеспечения ИБ модуля архитектуры сетевой безопасности
Способы обеспечения безопасности |
Задачи безопасности |
Управление доступом |
Гарантия того, что информация управления, полученная устройством сети для сетевой услуги, исходит от санкционированного источника. |
Аутентификация |
Проверка идентификатора источника информации управления сетевой услугой, отправленного в устройстве сети, участвующего в сетевой услуге. |
Неотказуемость авторства |
Зарегистрировать индивидуума и устройство, от которых было отправлено сообщения управления сетевой услугой и принято сетевым устройством по обработке сетевой услуги. Зарегистрировать операции, которые при этом были исполнены. Эта запись может быть использована для доказательства источника этих действий. |
Конфиденциальность данных |
Защита информации управления сетевой услугой, которая находится в устройстве сети (например, базы данных протокола IPSec Интернета), передаётся по сети или содержится изолированно от несанкционированного доступа и анализа содержания. При этом может быть использована техника контроля доступа.
|
Безопасность связи |
Гарантия того, что информация управления сетевой услугой передаётся по сети (например, сообщения согласования ключей протокола IPSec Интернета) только между источником этого сообщения и правильным пунктом назначения. |
Целостность данных |
Защита информации управления сетевой услугой (находящейся в устройстве сети, во время передачи её по сети или содержащейся автономно) от несанкционированной модификации, уничтожения, искажения и повтора. |
Готовность (доступность) |
Гарантия того, что устройство сети, которое выполняет функцию сетевой услуги, готово всегда получить информацию управления от санкционированных источников. Эта гарантия включает защиту от отказов в обслуживании DoS. |
Приватность |
Гарантия того, что информация, которая может быть использована для идентификации устройств сети и линии связи и выполняет функцию сетевой услуги, не имеется у несанкционированного персонала или в несанкционированных устройствах. Примером такой информации может быть, например, IP-адрес сетевого устройства. |
В таблице А.5 приведён пример, иллюстрирующий применение способов обеспечения ИБ в случае архитектуры сетевой безопасности, соответствующей модулю 9 (плоскость безопасности оконечного пользователя, уровень безопасности приложений).
Таблица А.5. Способы обеспечения ИБ модуля 9 архитектуры сетевой безопасности
Способы обеспечения безопасности |
Задачи безопасности |
Управление доступом |
Гарантия того, что только санкционированным пользователям и устройствам позволен допуск и использование сетевых приложений. |
Аутентификация |
Проверка идентификатора пользователя или устройства, пытающихся получить допуск и использовать сетевые приложения. Техника аутентификации может быть затребована, как часть контроля доступа. |
Неотказуемость авторства |
Зарегистрировать пользователя или устройство при попытке их получить доступ и использовать сетевые приложения. Эта запись может быть использована для доказательства доступа и использования приложения оконечным пользователем или устройством. |
Конфиденциальность данных |
Защита данных оконечного пользователя (например, номера кредитной карты пользователя), которые транспортируются, обрабатываются и сохраняются сетевым приложением от несанкционированного доступа или обзора. Эти же положения относятся к данным оконечного пользователя, когда они поступают от пользователя к сетевому приложению. Техника, используемая при контроле доступа, может также способствовать обеспечению данных оконечного пользователя. |
Безопасность связи |
Гарантия того, что данные оконечного пользователя, которые транспортируются, обрабатываются, хранятся сетевым приложением, не отводятся и не перехватываются без санкционированного доступа. Эти же положения относятся к данным оконечного пункта, когда они поступают от пользователя к сетевому приложению. |
Целостность данных |
Защита данных оконечного пользователя (которые транспортируются, обрабатываются, хранятся в сетевом приложении) от несанкционированной модификации, уничтожения, искажения и повтора. |
Готовность (доступность) |
Гарантия того, что сетевому приложению, санкционированному оконечному пользователю или устройству не может быть дан отказ в доступе. Предусматривается защита от отказов в обслуживании DoS, а также от уничтожения или модификации аутентификационной информации (например, идентификаторы пользователей и пароли). |
Приватность |
Гарантия того, что сетевые приложения не предоставляют несанкционированным личностям и устройствам информацию, принадлежащую для использования оконечным пользователем. |