Служба безопасности (телекоммуникации)

Служба безопасности — это услуга, предоставляемая уровнем взаимодействия открытых систем, которая обеспечивает адекватную безопасность систем или передачи данных. ^[1] как определено Рекомендацией ITU-T X.800.
X.800 и ISO 7498-2 (Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура безопасности). ^[2] технически согласованы. Эта модель получила широкое признание ^[3]^[4]

Более общее определение содержится в Инструкции CNSS № 4009 от 26 апреля 2010 г. Комитета по системам национальной безопасности Соединенных Штатов Америки : ^[5]

Возможность, которая поддерживает одно или несколько требований безопасности (конфиденциальность, целостность, доступность). Примерами служб безопасности являются управление ключами, контроль доступа и аутентификация.

Другое авторитетное определение содержится в W3C. веб-сервисов Глоссарии ^[6] принят NIST SP 800-95: ^[7]

Служба обработки или связи, предоставляемая системой для обеспечения определенного вида защиты ресурсов, при этом указанные ресурсы могут находиться в указанной системе или в других системах, например служба аутентификации или атрибуция и аутентификация документов на основе PKI. услуга. Служба безопасности — это расширенный набор служб AAA. Службы безопасности обычно реализуют части политик безопасности и реализуются через механизмы безопасности.

Базовая терминология безопасности [ править ]

Информационная безопасность и компьютерная безопасность — это дисциплины, которые рассматривают требования конфиденциальности , целостности , доступности , так называемой триады ЦРУ, информационных активов организации (компании или агентства) или информации, управляемой компьютерами соответственно.

Существуют угрозы , которые могут атаковать ресурсы (информацию или устройства для управления ею), используя одну или несколько уязвимостей . Ресурсы могут быть защищены одной или несколькими контрмерами или мерами безопасности . ^[8]

Поэтому службы безопасности реализуют часть контрмер, пытаясь достичь требований безопасности организации. ^[3]^[9]

Основная терминология OSI [ править ]

Чтобы позволить различным устройствам (компьютерам, маршрутизаторам, сотовым телефонам) передавать данные стандартизированным способом, протоколы связи были определены .

Организация ITU-T опубликовала большой набор протоколов. Общая архитектура этих протоколов определена в рекомендации X.200. ^[10]

Различные средства (по воздуху, кабелям) и способы (протоколы и стеки протоколов ) связи называются сетью связи .

Требования безопасности применимы к информации, передаваемой по сети. Дисциплина, занимающаяся безопасностью в сети, называется сетевой безопасностью . ^[11]

Рекомендация X.800: ^[1]

предоставляет общее описание служб безопасности и связанных с ними механизмов, которые могут быть предоставлены эталонной моделью ; и
определяет позиции в эталонной модели, где могут предоставляться услуги и механизмы.

Эта Рекомендация расширяет область применения Рекомендации X.200, охватывая защищенную связь между открытыми системами .

Согласно Рекомендации X.200, в так называемой эталонной модели OSI имеется 7 уровней , каждый из которых обычно называется N-уровнем. Объект N+1 запрашивает услуги передачи объекту N. ^[10]

На каждом уровне два объекта (N-объект) взаимодействуют посредством (N) протокола путем передачи блоков данных протокола (PDU). Единица служебных данных (SDU) — это конкретная единица данных, которая была передана с уровня OSI на нижний уровень и еще не инкапсулирована в PDU на нижнем уровне. Это набор данных, который отправляется пользователем сервисов данного уровня и передается в семантически неизмененном виде пользователю однорангового сервиса.PDU на любом данном уровне, уровне «n», является SDU нижнего уровня, уровня «n-1». По сути, SDU является «полезной нагрузкой» данного PDU. То есть процесс изменения SDU на PDU состоит из процесса инкапсуляции, выполняемого нижним уровнем. Все данные, содержащиеся в SDU, инкапсулируются внутри PDU. Уровень n-1 добавляет к SDU верхние или нижние колонтитулы, или и то, и другое, преобразуя его в PDU уровня n-1. Добавленные верхние или нижние колонтитулы являются частью процесса, позволяющего доставить данные из источника в пункт назначения. ^[10]

Описание служб безопасности OSI [ править ]

Следующие услуги считаются услугами безопасности, которые могут быть факультативно предоставлены в рамках эталонной модели OSI. Службам аутентификации требуется информация аутентификации, включающая локально хранимую информацию и данные, которые передаются (учетные данные), чтобы облегчить аутентификацию: ^[1]^[4]

Аутентификация

Эти услуги обеспечивают аутентификацию взаимодействующего однорангового объекта и источника данных, как описано ниже.

Аутентификация однорангового объекта: Эта услуга, предоставляемая (N)-уровнем, обеспечивает подтверждение (N + 1)-объекту того, что равноправный объект является заявленным (N + 1)-логическим объектом.
Аутентификация источника данных: Эта услуга, предоставляемая (N)-уровнем, обеспечивает подтверждение (N + 1)-объекту того, что источником данных является заявленный одноранговый (N + 1)-объект.

Контроль доступа

Этот сервис обеспечивает защиту от несанкционированного использования ресурсов, доступных через OSI. Это могут быть ресурсы OSI или не-OSI, доступ к которым осуществляется через протоколы OSI. Эта служба защиты может применяться к различным типам доступа к ресурсу (например, использованию ресурса связи; чтению, записи или удалению информационного ресурса; выполнению ресурса обработки) или ко всем доступам к ресурс.

Конфиденциальность данных

Эти услуги обеспечивают защиту данных от несанкционированного раскрытия, как описано ниже.

Конфиденциальность подключения: Эта услуга обеспечивает конфиденциальность всех (N)-пользовательских данных в (N)-соединении.
Конфиденциальность без подключения: Эта услуга обеспечивает конфиденциальность всех (N)-пользовательских данных в одном (N)-SDU без установления соединения.
Выборочная конфиденциальность полей: Эта услуга обеспечивает конфиденциальность выбранных полей в (N)-пользовательских данных при (N)-соединении или в одном (N)-SDU без установления соединения.
Конфиденциальность транспортных потоков: Эта услуга обеспечивает защиту информации, которая может быть получена в результате наблюдения за транспортными потоками.

Целостность данных

Эти службы противодействуют активным угрозам и могут принимать одну из форм, описанных ниже.

Целостность соединения с восстановлением: Эта служба обеспечивает целостность всех (N)-пользовательских данных в (N)-соединении и обнаруживает любую модификацию, вставку, удаление или воспроизведение любых данных во всей последовательности SDU (с попыткой восстановления).
Целостность соединения без восстановления: Как и предыдущий, но без попыток восстановления.
Целостность выборочного полевого соединения: Эта услуга обеспечивает целостность выбранных полей в (N)-пользовательских данных (N)-SDU, передаваемых через соединение, и принимает форму определения того, были ли выбранные поля изменены, вставлены, удалены или воспроизведены.
Целостность без установления соединения: Эта услуга, предоставляемая (N)-уровнем, обеспечивает гарантию целостности запрашивающему (N + 1)-объекту. Эта услуга обеспечивает целостность одного SDU без установления соединения и может принимать форму определения того, был ли полученный SDU изменен. Кроме того, может быть предусмотрена ограниченная форма обнаружения повтора.
Выборочная целостность полей без установления соединения: Эта услуга обеспечивает целостность выбранных полей в одном SDU без установления соединения и принимает форму определения того, были ли изменены выбранные поля.

Неотказ от ответственности

Эта услуга может принимать одну или обе формы.

Неотказуемость с подтверждением происхождения: Получателю данных предоставляется подтверждение происхождения данных. Это защитит от любых попыток отправителя ложно отрицать отправку данных или их содержимого.
Неотказуемость с подтверждением доставки: Отправителю данных предоставляется подтверждение доставки данных. Это защитит от любых последующих попыток получателя ложно отрицать получение данных или их содержимого.

Конкретные механизмы безопасности [ править ]

Услуги безопасности могут предоставляться посредством механизма безопасности: ^[1]^[3]^[4]

В таблице 1/X.800 показаны взаимосвязи между службами и механизмами.

**Иллюстрация взаимоотношений служб и механизмов безопасности**
Услуга	Механизм
	Шифрование	Цифровая подпись	Контроль доступа	Целостность данных	Аутентификационный обмен	Заполнение трафика	Управление маршрутизацией	Нотариальное заверение
Аутентификация однорангового объекта	И	И	·	·	И	·	·	·
Аутентификация источника данных	И	И	·	·	·	·	·	·
Служба контроля доступа	·	·	И	·	·	·	·	·
Конфиденциальность подключения	И	.	·	·	·	·	И	·
Конфиденциальность без подключения	И	·	·	·	·	·	И	·
Выборочная конфиденциальность полей	И	·	·	·	·	·	·	·
Конфиденциальность транспортных потоков	И	·	·	·	·	И	И	·
Целостность соединения с восстановлением	И	·	·	И	·	·	·	·
Целостность соединения без восстановления	И	·	·	И	·	·	·	·
Целостность выборочного полевого соединения	И	·	·	И	·	·	·	·
Целостность без установления соединения	И	И	·	И	·	·	·	·
Выборочная целостность полей без установления соединения	И	И	·	И	·	·	·	·
Неотречение. Источник	·	И	·	И	·	·	·	И
Неотречение. Доставка		И	·	И	·	·	·	И

Некоторые из них могут применяться к протоколам, ориентированным на установление соединения, другие — к протоколам без установления соединения, или к тому и другому.

Таблица 2/X.800 иллюстрирует взаимосвязь служб безопасности и уровней: ^[4]

**Иллюстрация взаимоотношений служб безопасности и уровней**
Услуга	Слой
	1	2	3	4	5	6	7*
Аутентификация однорангового объекта	·	·	И	И	·	·	И
Аутентификация источника данных	·	·	И	И	·	·	И
Служба контроля доступа	·	·	И	И	·	·	И
Конфиденциальность подключения	И	И	И	И	·	И	И
Конфиденциальность без подключения	·	И	И	И	·	И	И
Выборочная конфиденциальность полей	·	·	·	·	·	И	И
Конфиденциальность транспортных потоков	И	·	И	·	·	·	И
Целостность соединения с восстановлением	·	·	·	И	·	·	И
Целостность соединения без восстановления	·	·	И	И	·	·	И
Целостность выборочного полевого соединения	·	·	·	·	·	·	И
Целостность без установления соединения	·	·	И	И	·	·	И
Выборочная целостность полей без установления соединения	·	·	·	·	·	·	И
Неотказуемость Происхождение	·	·	·	·	·	·	И
Неотречение. Доставка	·	·	·	·	·	·	И

Другие связанные значения [ править ]

Управляемая служба безопасности [ править ]

Служба управляемой безопасности (MSS) — это сетевой безопасности служба , переданная на аутсорсинг поставщику услуг.

См. также [ править ]

Ссылки [ править ]

^ Jump up to: Перейти обратно: ^а ^б ^с ^д X.800: Архитектура безопасности для взаимодействия открытых систем для приложений CCITT.
^ ISO 7498-2 (Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2: Архитектура безопасности)
^ Jump up to: Перейти обратно: ^а ^б ^с Уильям СтоллингсКриптография и сетевая безопасностьВторое издание ISBN 88-386-6377-7 Итальянский перевод Луки Сальгарелликриптографии и сетевой безопасности, 4-е изданиеПирсон2006 г.
^ Jump up to: Перейти обратно: ^а ^б ^с ^д Защита информационных и коммуникационных систем: принципы, технологии и приложения.Стивен Фернелл, Сократис Кацикас, Хавьер Лопес, Artech House, 2008 г. - 362 страницы.
↑ Инструкция ЦНСС № 4009 от 26 апреля 2010 г.
^ Глоссарий веб-служб W3C
^ Специальная публикация NIST 800-95 «Руководство по обеспечению безопасности веб-служб».
^ Целевая группа по интернет-инжинирингу RFC 2828 Глоссарий по интернет-безопасности
^ Основы сетевой безопасности: приложения и стандарты, Уильям Столлингс, Прентис Холл, 2007 г. - 413 страниц.
^ Jump up to: Перейти обратно: ^а ^б ^с X.200: Информационные технологии. Взаимосвязь открытых систем. Базовая эталонная модель. Базовая модель.
^ Симмондс, А; Сандилендс, П; ван Экерт, Л. (2004). «Онтология для атак на сетевую безопасность». Конспекты лекций по информатике 3285: 317–323.

Внешние ссылки [ править ]

[x800-1] Jump up to: Перейти обратно: ^а ^б ^с ^д X.800: Архитектура безопасности для взаимодействия открытых систем для приложений CCITT.

[2] ISO 7498-2 (Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2: Архитектура безопасности)

[Stal-3] Jump up to: Перейти обратно: ^а ^б ^с Уильям СтоллингсКриптография и сетевая безопасностьВторое издание ISBN 88-386-6377-7 Итальянский перевод Луки Сальгарелликриптографии и сетевой безопасности, 4-е изданиеПирсон2006 г.

[FURNELL-4] Jump up to: Перейти обратно: ^а ^б ^с ^д Защита информационных и коммуникационных систем: принципы, технологии и приложения.Стивен Фернелл, Сократис Кацикас, Хавьер Лопес, Artech House, 2008 г. - 362 страницы.

[CNSSI4009-5] Инструкция ЦНСС № 4009 от 26 апреля 2010 г.

[6] Глоссарий веб-служб W3C

[7] Специальная публикация NIST 800-95 «Руководство по обеспечению безопасности веб-служб».

[8] Целевая группа по интернет-инжинирингу RFC 2828 Глоссарий по интернет-безопасности

[9] Основы сетевой безопасности: приложения и стандарты, Уильям Столлингс, Прентис Холл, 2007 г. - 413 страниц.

[x200-10] Jump up to: Перейти обратно: ^а ^б ^с X.200: Информационные технологии. Взаимосвязь открытых систем. Базовая эталонная модель. Базовая модель.

[11] Симмондс, А; Сандилендс, П; ван Экерт, Л. (2004). «Онтология для атак на сетевую безопасность». Конспекты лекций по информатике 3285: 317–323.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]