Сетевые сервисы (функции) безопасностиТехническая спецификация X.800 рассматривает вопросы информационной безопасности распределенных систем.
Выделяют следующие сервисы безопасностии исполняемые ими роли:
Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных.Аутентификация партнеров по общениюиспользуется при установлении соединения и, быть может, периодически во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).
Управление доступом. Обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения информации. Конфиденциальность трафика-это защита информации, которую можно получить, анализируя сетевые потоки данных.
Целостность данныхподразделяется на подвиды в зависимости от того, какой тип общения используют партнеры -с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.
Неотказуемость(невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки. Побочным продуктом неотказуемости является аутентификация источника данных.
Сетевые механизмы безопасностиДля реализации сервисов (функций) безопасности могут использоваться следующие механизмы и их комбинации:
-шифрование;
-электронная цифровая подпись;
-механизмы управления доступом. Могут располагаться на любой из участвующих в общении сторон или в промежуточной точке;
-механизмы контроля целостности данных. В рекомендациях X.800 различаются два аспекта целостности: целостность отдельного сообщения или поля информации и целостность потока сообщений или полей информации.
-механизмы аутентификации. Согласно рекомендациям X.800, аутентификация может достигаться за счет использования паролей, личных карточек или иных устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрических характеристик;
-механизмы дополнения трафика;
-механизмы управления маршрутизацией. Маршруты могут выбираться статически или динамически. Оконечная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными;
-механизмы нотаризации. Служат для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной третьей стороной, обладающей достаточной информацией.
Обычно нотаризация опирается на механизм электронной подписи. Администрирование средств безопасностиАдминистрирование средств безопасностивключает в себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании (распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.).
Обязанности администратора средств безопасности:
-администрирование информационной системы в целом(взаимодействие с другими административными службами, реагированиена происходящие события, аудити безопасное восстановление);
-администрирование сервисов безопасности(определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы);
-администрирование механизмов безопасности.
Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список таков:
управление ключами(генерация и распределение);
управление шифрованием(установка и синхронизация криптографических параметров). Администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами.
администрирование управления доступом(распределение информации, необходимой для управления -паролей, списков доступа и т.п.);
управление аутентификацией(распределение информации, необходимой дляаутентификации -паролей, ключей и т.п.);
управление дополнением трафика(выработка и поддержание правил, задающих характеристики дополняющих сообщений -частоту отправки, размер и т.п.);
управление маршрутизацией(выделение доверенных путей);
управление нотаризацией(распространение информации о нотариальных службах, администрирование этих служб).
