Послуга безпеки (телекомунікації)

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Послуга безпеки — це послуга, що надається шаром відкритих систем, що комунікують, яка забезпечує належну безпеку систем або передачі даних[1] як визначено у Рекомендаціях ITU-T X.800. X.800 і ISO 7498-2 (Information processing systems – Open systems interconnection – Basic Reference Model – Part 2: Security architecture)[2] технічно узгоджені. Ця модель широко визнана. [3][4]

Більш загальне визначення міститься в Інструкції CNSS № 4009 від 26 квітня 2010 р. Комітету із систем національної безпеки[en] Сполучених Штатів Америки:[5]

Здатність, яка підтримує одну або декілька вимог безпеки (Конфіденційність, Цілісність, Доступність). Прикладами служб безпеки є керування ключами, контроль доступу та аутентифікація».

Інше авторитетне визначення міститься у словнику вебсервісів W3C: [6] adopted by NIST SP 800-95:[7]

Послуга обробки [інформації] або зв'язку, яка надається системою для надання визначеного типу захисту ресурсам, де зазначені ресурси можуть перебувати у згаданій системі або перебувати в інших системах, наприклад, послуга аутентифікації або послуга атрибуції та аутентифікації документу на основі PKI. Послуга безпеки — це додатковий набір служб AAA. Послуги безпеки, як правило, реалізують частини політики безпеки і впроваджуються за допомогою механізмів безпеки.

Основна термінологія безпеки[ред. | ред. код]

Інформаційна безпека і Комп'ютерна безпека — це дисципліни, які займаються вимогами конфіденційності, цілісності, доступності, так званої тріади КЦД, щодо інформаційних активів організації (компанії чи агентства) або інформації під керуванням комп’ютерів відповідно.

Існують загрози, які можуть атакувати ресурси (інформацію або пристрої для керування нею) експлуатуючи одну або кілька вразливостей. Ресурси можуть бути захищені одним або кількома контрзаходами[en] або контролем безпеки[en].[8]

Тому послуги безпеки впроваджують частину контрзаходів, намагаючись досягти вимог безпеки організації.[3][9]

Основна термінологія OSI[ред. | ред. код]

Докладніше: Модель OSI

Для того, щоб різні пристрої (комп’ютери, маршрутизатори, стільникові телефони) могли передавати дані стандартизованим способом, були визначені протокол зв’язку.

Організація ITU-T опублікувала великий набір протоколів. Загальна архітектура цих протоколів визначена в рекомендації X.200.[10] Різні засоби (повітря, кабелі) і способи (протоколи та стек протоколів[en]) зв’язку називаються комунікаційною мережею.

Вимоги безпеки застосовуються до інформації, що надсилається через мережу. Дисципліна, що стосується безпеки в мережі, називається безпека мережі.[11]

Рекомендація X.800:[1]

  1. надає загальний опис послуг безпеки та пов'язаних механізмів, які можуть бути надані моделлю взаємодії; і
  2. визначає позиції в моделі взаємодії, де можуть надаватися послуги та механізми.

Ця Рекомендація розширює сферу застосування Рекомендації X.200, щоб охопити захищений зв’язок[en] між відкритими системами.

Згідно з рекомендацією X.200, у моделі OSI є 7 шарів, кожен з яких у загальному вигляді називається N шаром. Об'єкт N+1 запитує послуги передачі до об'єкта N.[10]

На кожному рівні дві сутності (N-об'єкт) взаємодіють за допомогою (N) протоколу, передаючи блоки даних протоколу[en] (PDU). Блок даних послуги[en] (SDU) — це конкретна одиниця даних, яка була передана з рівня OSI на нижчий рівень і ще не була інкапсульована в PDU нижнім шаром. Це набір даних, які надсилаються користувачем послуг даного рівня і передаються в семантично незмінному вигляді до однорангового користувача сервісу. PDU рівень 'n' на будь-якому даному рівні є SDU нижнього рівня, шару 'n-1'. Фактично SDU є «корисним навантаженням» даного PDU. Тобто процес зміни SDU на PDU складається з процесу інкапсуляції, що виконується нижнім рівнем. Усі дані, що містяться в SDU, стають інкапсульованими в PDU. Рівень n-1 додає заголовки або закінчення, або і те , і інше, до SDU, перетворюючи його в PDU рівня n-1. Додані верхні або нижні закінчення є частиною процесу, який використовується для отримання даних від джерела до місця призначення.[10]

Опис послуг безпеки OSI[ред. | ред. код]

Нижче наведені послуги безпеки, які можуть надаватися за бажанням в рамках еталонної моделі OSI. Послуги аутентифікації вимагають інформації автентифікації, яка містить локально збережену інформацію та дані, які передаються (облікові дані), щоб полегшити автентифікацію:[1][4]

Автентифікація
Ці послуги забезпечують аутентифікацію взаємодійної сторони (сутності) і джерела даних, як описано нижче.
Автентифікація взаємодійної сутності
Ця послуга, яка надається (N)-рівнем, забезпечує підтвердження (N + 1)-сутності, що взаємодійна сторона є заявленою (N + 1)-сутністю.
Автентифікація джерела даних
Ця послуга, яка надається (N)-рівнем, забезпечує підтвердження (N + 1)-сутності, що джерелом даних є заявлена взаємодійна (N + 1)-сутність.
Керування доступом
Ця послуга забезпечує захист від несанкціонованого використання ресурсів, доступних через OSI. Це можуть бути ресурси OSI або не OSI, доступ до яких здійснюється через протоколи OSI. Ця послуга захисту може застосовуватися до різних типів доступу до ресурсу (наприклад, використання комунікаційного ресурсу; читання, запис або видалення інформаційного ресурсу; виконання ресурсу обробки) або до всіх доступів до ресурс.
Конфіденційність даних
Ці послуги забезпечують захист даних від несанкціонованого розкриття, як описано нижче
Конфіденційність з'єднання
Ця послуга забезпечує конфіденційність усіх (N)-користувальних даних у (N)-з'єднанні
Конфіденційність без з'єднання
Ця послуга забезпечує конфіденційність усіх (N)-користувальних даних в одному (N)-SDU без з'єднання
Конфіденційність вибіркових полів
Ця послуга забезпечує конфіденційність вибраних полів у (N)-даних користувача на (N)-з'єднанні або в одному (N)-SDU без з'єднання.
Конфіденційність потоку трафіку
Ця послуга забезпечує захист інформації, яка може бути отримана під час спостереження за потоками трафіку.
Цілісність даних
Ці служби протидіють активним загрозам і можуть приймати одну з форм, описаних нижче.
Цілісність з'єднання з відновленням
Ця послуга забезпечує цілісність усіх (N)-користувальних даних на (N)-з'єднанні та виявляє будь-яку модифікацію, вставку, видалення або повторне відтворення будь-яких даних у всій послідовності SDU (зі спробою відновлення).
Цілісність з'єднання без відновлення
Як і попереднє, але без спроб відновлення.
Цілісність вибраних полів з'єднання
Ця послуга забезпечує цілісність вибраних полів у (N)-користувацьких даних (N)-SDU, переданих через з'єднання, і приймає форму визначення того, чи були вибрані поля змінені, вставлені, видалені або відтворені .
Цілісність без з'єднання
Ця послуга, коли надається (N)-рівнем, забезпечує гарантію цілісності запитувачу (N + 1). Ця послуга забезпечує цілісність одного SDU без з’єднання і може приймати форму визначення того, чи був отриманий SDU змінений. Додатково може бути передбачена обмежена форма виявлення повтору.
Вибіркова цілісність полів без з'єднання
Ця послуга забезпечує цілісність вибраних полів в межах одного SDU без з'єднання і приймає форму визначення того, чи були вибрані поля змінені.
Невідмовність
Ця послуга може мати одну або обидві форми.
Невідмовність із доказом походження
Одержувачу даних надається доказ походження (джерела) даних. Це захистить від будь-яких спроб відправника хибно відмовитись від надісланих даних або їх вмісту.
Невідмовність із підтвердженням доставлення
Відправнику даних надається підтвердження доставлення даних. Це захистить від будь-якої подальшої спроби одержувача хибно відмовитись від отримання даних або їх вмісту.

Специфічні механізми безпеки[ред. | ред. код]

Охоронні послуги можуть надаватися за допомогою охоронного механізму:[1][3][4]

Таблиця 1/X.800 показує зв'язки між службами та механізмами

Ілюстрація відносин між послугами безпеки та механізмами захисту
Послуга Механізм
Шифрування ЕЦП Керування доступом Цілісність даних Автентифікація сутності Заповнення трафіку Керування маршрутизацією Нотаріат
Автентифікація взаємодіючої сутності Так Так · · Так · · ·
Автентифікація джерела даних Так Так · · · · · ·
Послуга керування доступом · · Так · · · · ·
Конфіденційність з'єднання Так . · · · · Так ·
Конфіденційність без з'єднання Так · · · · · Так ·
Конфіденційність вибраних полів Так · · · · · · ·
Конфіденційність потоку трафіку Так · · · · Так Так ·
Цілісність з'єднання з відновленням Так · · Так · · · ·
Цілісність з'єднання без відновлення Так · · Так · · · ·
Цілісність вибраних полів Так · · Так · · · ·
Цілісність без з'єднання Так Так · Так · · · ·
Цілісність вибраних полів без з'єднання Так Так · Так · · · ·
Невідмовність джерела · Так · Так · · · Так
Невідмовність від отримання Так · Так · · · Так

Деякі з них можна застосувати до протоколів, орієнтованих на з'єднання, інші до протоколів без з'єднання або обох видів протоколів.

Таблиця 2/X.800 ілюструє взаємозв’язок послуг безпеки та рівнів:

Ілюстрація відношення послуг безпеки та рівнів
Послуга Рівень
1 2 3 4 5 6 7*
Автентифікація взаємодіючої сутності · · Так Так · · Так
Автентифікація джерела даних · · Так Так · · Так
Послуга керування доступом · · Так Так · · Так
Конфіденційність з'єднання Так Так Так Так · Так Так
Конфіденційність без з'єднання · Так Так Так · Так Так
Конфіденційність вибраних полів · · · · · Так Так
Конфіденційність потоку трафіку Так · Так · · · Так
Цілісність з'єднання з відновленням · · · Так · · Так
Цілісність з'єднання без відновлення · · Так Так · · Так
Цілісність вибраних полів · · · · · · Так
Цілісність без з'єднання · · Так Так · · Так
Цілісність вибраних полів без з'єднання · · · · · · Так
Невідмовність джерела · · · · · · Так
Невідмовність від отримання · · · · · · Так

Інші пов'язані значення[ред. | ред. код]

Керовані послуги безпеки[ред. | ред. код]

Керовані послуги безпеки[en] (MSS) — це послуги із забезпечення безпеки мережі, які передані на аутсорсинг постачальнику послуг.

Див. також[ред. | ред. код]

Примітки[ред. | ред. код]

  1. а б в г X.800 : Security architecture for Open Systems Interconnection for CCITT applications
  2. ISO 7498-2 (Information processing systems – Open systems interconnection – Basic Reference Model – Part 2: Security architecture)
  3. а б в William Stallings Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edition Pearson 2006
  4. а б в Securing information and communications systems: principles, technologies, and applications Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 pages
  5. CNSS Instruction No. 4009 dated 26 April 2010
  6. W3C Web Services Glossary
  7. NIST Special Publication 800-95 Guide to Secure Web Services
  8. Internet Engineering Task Force RFC 2828 Internet Security Glossary
  9. Network security essentials: applications and standards, William Stallings, Prentice Hall, 2007 - 413 pages
  10. а б в X.200 : Information technology - Open Systems Interconnection - Basic Reference Model: The basic model
  11. Simmonds, A; Sandilands, P; van Ekert, L (2004). "An Ontology for Network Security Attacks". Lecture Notes in Computer Science 3285: 317–323

Посилання[ред. | ред. код]