Теория и практика защиты программ

Архитектура безопасности Взаимосвязи открытых систем


Большинство современных сложных информационных структур, лежащих в качестве основы существующих АС проектируются с учетом идеологии Эталонной модели (ЭМ) Взаимосвязи открытых систем (ВОС), которая позволяет оконечному пользователю сети (или его прикладным процессам) получить доступ к информационно-вычислительным ресурсам значительно легче, чем это было раньше. Вместе с тем концепция открытости систем создает ряд трудностей в организации защиты информации в системах и сетях. Требование защиты ресурсов сети от НСД является обязательным при проектировании и реализации большинства современных информационно-вычислительных сетей, соответствующих ЭМ ВОС.

В 1986 г. рядом международных организаций была принята Архитектура безопасности ВОС (АБ ВОС). В архитектуре ВОС выделяют семь уровней иерархии: физический, канальный, сетевой, транспортный, сеансовый, представительный и прикладной. Однако в АБ ВОС предусмотрена реализация механизмов защиты в основном на пяти уровнях. Для защиты информации на физическом и канальном уровне обычно вводится такой механизм защиты, как линейное шифрование. Канальное шифрование обеспечивает закрытие физических каналов связи с помощью специальных шифраторов. Однако применение только канального шифрования не обеспечивает полного закрытия информации при ее передаче по сети, так как на узлах коммутации пакетов информация будет находиться в открытом виде. Поэтому НСД нарушителя к аппаратуре одного узла ведет к раскрытию всего потока сообщений, проходящих через этот узел. В том случае, когда устанавливается виртуальное соединение между двумя абонентами сети и коммуникации, в данном случае, проходят по незащищенным элементам сети, необходимо сквозное шифрование, когда закрывается информационная часть сообщения, а заголовки сообщений не шифруются. Это позволяет свободно управлять потоками зашифрованных сообщений. Сквозное шифрование организуется на сетевом и/или транспортном уровнях согласно ЭМ ВОС. На прикладном уровне реализуется большинство механизмов защиты, необходимых для полного решения проблем обеспечения безопасности данных в ИВС.


Большинство современных сложных информационных структур, лежащих в качестве основы существующих АС проектируются с учетом идеологии Эталонной модели (ЭМ) Взаимосвязи открытых систем (ВОС), которая позволяет оконечному пользователю сети (или его прикладным процессам) получить доступ к информационно-вычислительным ресурсам значительно легче, чем это было раньше. Вместе с тем концепция открытости систем создает ряд трудностей в организации защиты информации в системах и сетях. Требование защиты ресурсов сети от НСД является обязательным при проектировании и реализации большинства современных информационно-вычислительных сетей, соответствующих ЭМ ВОС.

В 1986 г. рядом международных организаций была принята Архитектура безопасности ВОС (АБ ВОС). В архитектуре ВОС выделяют семь уровней иерархии: физический, канальный, сетевой, транспортный, сеансовый, представительный и прикладной. Однако в АБ ВОС предусмотрена реализация механизмов защиты в основном на пяти уровнях. Для защиты информации на физическом и канальном уровне обычно вводится такой механизм защиты, как линейное шифрование. Канальное шифрование обеспечивает закрытие физических каналов связи с помощью специальных шифраторов. Однако применение только канального шифрования не обеспечивает полного закрытия информации при ее передаче по сети, так как на узлах коммутации пакетов информация будет находиться в открытом виде. Поэтому НСД нарушителя к аппаратуре одного узла ведет к раскрытию всего потока сообщений, проходящих через этот узел. В том случае, когда устанавливается виртуальное соединение между двумя абонентами сети и коммуникации, в данном случае, проходят по незащищенным элементам сети, необходимо сквозное шифрование, когда закрывается информационная часть сообщения, а заголовки сообщений не шифруются. Это позволяет свободно управлять потоками зашифрованных сообщений. Сквозное шифрование организуется на сетевом и/или транспортном уровнях согласно ЭМ ВОС. На прикладном уровне реализуется большинство механизмов защиты, необходимых для полного решения проблем обеспечения безопасности данных в ИВС.




АБ ВОС устанавливает следующие службы безопасности (см. табл.15.1).

·        обеспечения целостности данных (с установлением соединения, без установления соединения и для выборочных полей сообщений);

·        обеспечения конфиденциальности данных (с установлением соединения, без установления соединения и для выборочных полей сообщений);

Таблица 15.1



Назначение службы

Номер службы

Процедура защиты

Номер

уровня

Аутентификация:

Одноуровневых

объектов

источника данных

1

2

Шифрование, цифровая подпись

Обеспечение аутентификации

Шифрование

Цифровая подпись

3,4

3,4,7

3,4

3,4,7

Контроль доступа

3

Управление доступом

3,4,7

Засекречивание:

соединения

в режиме без соединения

выборочных полей

потока данных

4

5

6

7

Шифрование

Управление трафиком

Шифрование

Управление трафиком

Шифрование

Шифрование

Заполнение потока

Управление трафиком

1-4,6,7

3

2-4,6,7

3

6,7

1,6

3,7

3

Обеспечение целостности:

соединения с восстановлением

соединения без восстановления

выборочных полей

без установления соединения

выборочных полей без соединения

8

9

10

11

12

Шифрование, обеспечение

целостности данных

Шифрование, обеспечение

целостности данных

Шифрование, обеспечение

целостности данных

Шифрование

Цифровая подпись

Обеспечение целостности

данных

Шифрование

Цифровая подпись

Обеспечение целостности

 данных

4,7

3,4,7

7

3,4,7

4

3,4,7

7

4,7

7

Обеспечение невозможности отказа от факта:

отправки

доставки

13

14

Цифровая подпись, обеспечение целостности данных,

подтверждение характеристик

данных

Цифровая подпись, обеспечение целостности данных,

подтверждение характеристик

данных

7

7

·        контроля доступа;

·        аутентификации (одноуровневых объектов и источника данных);

·        обеспечения конфиденциальности трафика;

·        обеспечения невозможности отказа от факта отправки сообщения абонентом - передатчиком и приема сообщения абонентом - приемником.



АБ ВОС устанавливает следующие службы безопасности (см. табл.15.1).

·        обеспечения целостности данных (с установлением соединения, без установления соединения и для выборочных полей сообщений);

·        обеспечения конфиденциальности данных (с установлением соединения, без установления соединения и для выборочных полей сообщений);

Таблица 15.1

Назначение службы

Номер службы

Процедура защиты

Номер

уровня

Аутентификация:

Одноуровневых

объектов

источника данных

1

2

Шифрование, цифровая подпись

Обеспечение аутентификации

Шифрование

Цифровая подпись

3,4

3,4,7

3,4

3,4,7

Контроль доступа

3

Управление доступом

3,4,7

Засекречивание:

соединения

в режиме без соединения

выборочных полей

потока данных

4

5

6

7

Шифрование

Управление трафиком

Шифрование

Управление трафиком

Шифрование

Шифрование

Заполнение потока

Управление трафиком

1-4,6,7

3

2-4,6,7

3

6,7

1,6

3,7

3

Обеспечение целостности:

соединения с восстановлением

соединения без восстановления

выборочных полей

без установления соединения

выборочных полей без соединения

8

9

10

11

12

Шифрование, обеспечение

целостности данных

Шифрование, обеспечение

целостности данных

Шифрование, обеспечение

целостности данных

Шифрование

Цифровая подпись

Обеспечение целостности

данных

Шифрование

Цифровая подпись

Обеспечение целостности

 данных

4,7

3,4,7

7

3,4,7

4

3,4,7

7

4,7

7

Обеспечение невозможности отказа от факта:

отправки

доставки

13

14

Цифровая подпись, обеспечение целостности данных,

подтверждение характеристик

данных

Цифровая подпись, обеспечение целостности данных,

подтверждение характеристик

данных

7

7

·        контроля доступа;

·        аутентификации (одноуровневых объектов и источника данных);

·        обеспечения конфиденциальности трафика;

·        обеспечения невозможности отказа от факта отправки сообщения абонентом - передатчиком и приема сообщения абонентом - приемником.


Содержание раздела