Служба безопасности (телекоммуникации)
Служба безопасности — это служба, предоставляемая уровнем взаимодействующих открытых систем, которая обеспечивает адекватную безопасность систем или передачи данных [1], как определено в Рекомендации ITU-T
X.800.
X.800 и ISO 7498-2 (Системы обработки информации — Взаимосвязь открытых систем — Базовая эталонная модель — Часть 2: Архитектура безопасности) [2] технически согласованы. Эта модель широко признана [3] [4]
Более общее определение дано в Инструкции CNSS № 4009 от 26 апреля 2010 года Комитета по системам национальной безопасности Соединенных Штатов Америки : [5]
- Возможность, которая поддерживает одно или несколько требований безопасности (Конфиденциальность, Целостность, Доступность). Примерами служб безопасности являются управление ключами, контроль доступа и аутентификация.
Другое авторитетное определение содержится в глоссарии веб-сервисов W3C [6], принятом NIST SP 800-95: [7]
- Служба обработки или связи, предоставляемая системой для предоставления определенного вида защиты ресурсам, где указанные ресурсы могут находиться в указанной системе или в других системах, например, служба аутентификации или служба атрибуции и аутентификации документов на основе PKI. Служба безопасности является надмножеством служб AAA. Службы безопасности обычно реализуют части политик безопасности и реализуются с помощью механизмов безопасности.
Базовая терминология безопасности
Информационная безопасность и компьютерная безопасность — это дисциплины, которые имеют дело с требованиями конфиденциальности , целостности и доступности (так называемой триады ЦРУ) информационных активов организации (компании или агентства) или информации, управляемой компьютерами соответственно.
Существуют угрозы , которые могут атаковать ресурсы (информацию или устройства для управления ею), используя одну или несколько уязвимостей . Ресурсы могут быть защищены одной или несколькими контрмерами или элементами управления безопасностью . [8]
Таким образом, службы безопасности реализуют часть контрмер, пытаясь достичь требований безопасности организации. [3] [9]
Основная терминология OSI
Для того чтобы различные устройства (компьютеры, маршрутизаторы, сотовые телефоны) могли обмениваться данными стандартизированным образом, были определены протоколы связи .
Организация ITU-T опубликовала большой набор протоколов. Общая архитектура этих протоколов определена в рекомендации X.200. [10]
Различные средства (воздух, кабели) и способы (протоколы и стеки протоколов ) связи называются сетью связи .
Требования безопасности применяются к информации, передаваемой по сети. Дисциплина, занимающаяся безопасностью в сети, называется сетевой безопасностью . [11]
Рекомендация X.800: [1]
- дает общее описание служб безопасности и связанных с ними механизмов, которые могут быть предоставлены Эталонной моделью ; и
- определяет позиции в рамках Референтной модели, где могут предоставляться услуги и механизмы.
Данная Рекомендация расширяет область применения Рекомендации X.200, охватывая защищенную связь между открытыми системами .
Согласно Рекомендации X.200, в так называемой Справочной модели OSI существует 7 уровней , каждый из которых в общем называется уровнем N. Сущность N+1 запрашивает услуги передачи к сущности N. [10]
На каждом уровне два объекта (N-объект) взаимодействуют посредством (N) протокола, передавая протокольные блоки данных (PDU). Блок данных службы (SDU) — это определенный блок данных, который был передан с уровня OSI на более низкий уровень и еще не был инкапсулирован в PDU нижним уровнем. Это набор данных, который отправляется пользователем услуг данного уровня и передается семантически неизменным пользователю одноранговой службы. PDU на любом данном уровне, уровне 'n', является SDU уровня ниже, уровня 'n-1'. По сути, SDU — это 'полезная нагрузка' данного PDU. То есть процесс изменения SDU в PDU состоит из процесса инкапсуляции, выполняемого нижним уровнем. Все данные, содержащиеся в SDU, инкапсулируются в PDU. Слой n-1 добавляет заголовки или нижние колонтитулы, или и то, и другое, к SDU, преобразуя его в PDU слоя n-1. Добавленные заголовки или нижние колонтитулы являются частью процесса, используемого для того, чтобы сделать возможным получение данных из источника в пункт назначения. [10]
Описание служб безопасности OSI
Ниже перечислены службы безопасности, которые могут быть предоставлены опционально в рамках эталонной модели OSI. Службы аутентификации требуют информации аутентификации, включающей локально хранимую информацию и данные, которые передаются (учетные данные) для облегчения аутентификации: [1] [4]
- Аутентификация
- Эти сервисы обеспечивают аутентификацию взаимодействующего однорангового объекта и источника данных, как описано ниже.
- Аутентификация одноранговых сущностей
- Эта услуга, предоставляемая (N)-слоем, подтверждает (N + 1)-сущности, что одноранговая сущность является заявленной (N + 1)-сущностью.
- Аутентификация источника данных
- Эта услуга, предоставляемая (N)-слоем, подтверждает (N + 1)-субъекту, что источником данных является заявленный одноранговый (N + 1)-субъект.
- Контроль доступа
- Эта служба обеспечивает защиту от несанкционированного использования ресурсов, доступных через OSI. Это могут быть ресурсы OSI или не-OSI, доступные через протоколы OSI. Эта служба защиты может применяться к различным типам доступа к ресурсу (например, использование ресурса связи; чтение, запись или удаление информационного ресурса; выполнение ресурса обработки) или ко всем доступам к ресурсу.
- Конфиденциальность данных
- Эти услуги обеспечивают защиту данных от несанкционированного раскрытия, как описано ниже.
- Конфиденциальность соединения
- Эта услуга обеспечивает конфиденциальность всех (N)-данных пользователя в (N)-подключении.
- Конфиденциальность без установления соединения
- Эта услуга обеспечивает конфиденциальность всех (N)-данных пользователя в едином (N)-SDU без установления соединения.
- Избирательная полевая конфиденциальность
- Эта услуга обеспечивает конфиденциальность выбранных полей в (N)-данных пользователя в (N)-соединении или в одном (N)-SDU без установления соединения.
- Конфиденциальность транспортного потока
- Данная услуга обеспечивает защиту информации, которая может быть получена в результате наблюдения за транспортными потоками.
- Целостность данных
- Эти услуги противодействуют активным угрозам и могут принимать одну из описанных ниже форм.
- Целостность соединения с восстановлением
- Эта служба обеспечивает целостность всех (N)-пользовательских данных в (N)-подключении и обнаруживает любые изменения, вставки, удаления или повторные воспроизведения любых данных в пределах всей последовательности SDU (с попыткой восстановления).
- Целостность соединения без восстановления
- То же, что и в предыдущем случае, но без попыток восстановления.
- Целостность селективного полевого соединения
- Эта услуга обеспечивает целостность выбранных полей в данных (N)-пользователя (N)-SDU, передаваемых по соединению, и принимает форму определения того, были ли выбранные поля изменены, вставлены, удалены или воспроизведены.
- Целостность без установления соединения
- Эта услуга, предоставляемая (N)-слоем, обеспечивает гарантию целостности запрашивающему (N + 1)-субъекту. Эта услуга обеспечивает целостность одного SDU без установления соединения и может принимать форму определения того, был ли изменен полученный SDU. Кроме того, может быть предоставлена ограниченная форма обнаружения повтора.
- Избирательная полевая целостность без установления соединения
- Эта услуга обеспечивает целостность выбранных полей в рамках одного SDU без установления соединения и принимает форму определения того, были ли изменены выбранные поля.
- Неотказуемость
- Эта услуга может оказываться в одной или обеих формах.
- Неотказуемость с доказательством происхождения
- Получателю данных предоставляется доказательство происхождения данных. Это защитит от любой попытки отправителя ложно отрицать отправку данных или их содержимого.
- Неотказуемость с подтверждением доставки
- Отправителю данных предоставляется доказательство доставки данных. Это защитит от любой последующей попытки получателя ложно отрицать получение данных или их содержимого.
Конкретные механизмы безопасности
Услуги безопасности могут быть предоставлены с помощью механизма безопасности: [1] [3] [4]
- Шифрование
- Цифровая подпись
- Контроль доступа
- Целостность данных
- Обмен аутентификацией
- Подкладка трафика
- Управление маршрутизацией
- Нотариальное заверение
Таблица 1/X.800 показывает взаимосвязи между службами и механизмами.
| Услуга | Механизм | |||||||
| Шифрование | Цифровая подпись | Контроль доступа | Целостность данных | Обмен аутентификацией | Подкладка трафика | Управление маршрутизацией | Нотариальное заверение | |
| Аутентификация одноранговых сущностей | И | И | · | · | И | · | · | · |
| Аутентификация источника данных | И | И | · | · | · | · | · | · |
| Служба контроля доступа | · | · | И | · | · | · | · | · |
| Конфиденциальность соединения | И | . | · | · | · | · | И | · |
| Конфиденциальность без установления соединения | И | · | · | · | · | · | И | · |
| Избирательная полевая конфиденциальность | И | · | · | · | · | · | · | · |
| Конфиденциальность транспортного потока | И | · | · | · | · | И | И | · |
| Целостность соединения с восстановлением | И | · | · | И | · | · | · | · |
| Целостность соединениябез восстановления | И | · | · | И | · | · | · | · |
| Целостность селективного полевого соединения | И | · | · | И | · | · | · | · |
| Целостность без установления соединения | И | И | · | И | · | · | · | · |
| Избирательная полевая целостность без установления соединения | И | И | · | И | · | · | · | · |
| Неотказуемость. Происхождение | · | И | · | И | · | · | · | И |
| Неотказуемость. Доставка | И | · | И | · | · | · | И | |
Некоторые из них могут применяться к протоколам, ориентированным на соединение, другие — к протоколам без установления соединения, или к тем и другим.
Таблица 2/X.800 иллюстрирует взаимосвязь служб безопасности и уровней: [4]
| Услуга | Слой | ||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7* | |
| Аутентификация одноранговых сущностей | · | · | И | И | · | · | И |
| Аутентификация источника данных | · | · | И | И | · | · | И |
| Служба контроля доступа | · | · | И | И | · | · | И |
| Конфиденциальность соединения | И | И | И | И | · | И | И |
| Конфиденциальность без установления соединения | · | И | И | И | · | И | И |
| Избирательная полевая конфиденциальность | · | · | · | · | · | И | И |
| Конфиденциальность транспортного потока | И | · | И | · | · | · | И |
| Целостность соединения с восстановлением | · | · | · | И | · | · | И |
| Целостность соединения без восстановления | · | · | И | И | · | · | И |
| Целостность селективного полевого соединения | · | · | · | · | · | · | И |
| Целостность без установления соединения | · | · | И | И | · | · | И |
| Избирательная полевая целостность без установления соединения | · | · | · | · | · | · | И |
| Неотказуемость Происхождение | · | · | · | · | · | · | И |
| Неотказуемость. Доставка | · | · | · | · | · | · | И |
Другие связанные значения
Управляемая служба безопасности
Управляемые услуги безопасности (MSS) — это услуги сетевой безопасности , переданные на аутсорсинг поставщику услуг.
Смотрите также
- Контроль доступа
- Доступность
- Сеть связи
- Протокол связи
- Конфиденциальность
- контрмера
- Целостность данных
- Цифровая подпись
- Эксплойт (компьютерная безопасность)
- Информационная безопасность
- Честность
- МСЭ-Т
- Управляемая служба безопасности
- Сетевая безопасность
- модель OSI
- Протокол (вычисления)
- Блок протокольных данных
- Стек протоколов
- Контроль безопасности
- Анализ требований безопасности
- Блок данных обслуживания
- Угроза (компьютер)
- Уязвимость (вычисления)
Ссылки
- ^ abcd X.800: Архитектура безопасности для взаимодействия открытых систем для приложений CCITT
- ^ ISO 7498-2 (Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура безопасности)
- ^ abc Уильям Столлингс Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network Security, 4 издание Pearson, 2006 г.
- ^ abcd Защита информации и коммуникационных систем: принципы, технологии и приложения Стивен Фернелл, Сократис Кацикас, Хавьер Лопес, Artech House, 2008 - 362 страницы
- ↑ Инструкция CNSS № 4009 от 26 апреля 2010 г.
- ^ Глоссарий веб-сервисов W3C
- ^ Специальная публикация NIST 800-95 Руководство по безопасным веб-сервисам
- ^ Целевая группа по инжинирингу Интернета RFC 2828 Глоссарий по безопасности Интернета
- ^ Основы сетевой безопасности: приложения и стандарты, Уильям Столлингс, Prentice Hall, 2007 - 413 страниц
- ^ abc X.200: Информационные технологии - Взаимосвязь открытых систем - Базовая эталонная модель: Базовая модель
- ^ Симмондс, А.; Сэндилэндс, П.; ван Экерт, Л. (2004). «Онтология атак на сетевую безопасность». Lecture Notes in Computer Science 3285: 317–323
Внешние ссылки
- Термин в FISMApedia
- Список мероприятий и публикаций МСЭ-Т по безопасности
