Концепция безопасности модели OSI
Базовая модель взаимодействия открытых систем (ВОС) содержит семь уровней.
1. Физический — битовые протоколы передачи информации.
2. Канальный, или уровень данных, — формирование пакетов данных, управление доступом к среде.
3. Сетевой — маршрутизация и управление потоками данных.
4. Транспортный — обеспечение взаимодействия удаленных процессов.
5. Сеансовый — поддержка диалога между удаленными процес-сами.
6. Уровень представления данных — преобразование форматов данных.
7. Прикладной — прикладные задачи, пользовательское управле-ние данными.
Физический уровень обеспечивает интерфейс между компьютером (или станцией), участвующим во взаимодействии, и средой передачи (дискретных) сигналов, управляет потоком данных; определяются электрические, механические, функциональные и процедурные параметры для физической связи в системах. Для этого уровня определяются различные типы физических интерфейсов (коммуника-ционные - RS-232, X.21, ISDN; локальных сетей — Ethernet/IEEE802.3, IЕЕЕ802.5, FDDI) для различных типов физических сред (коаксиальный кабель, витая пара, оптоволокно, радиоканал).
Канальный уровень (уровень данных) формирует из данных, передаваемых физическим уровнем, пакеты. Осуществляется управление доступом к передающей среде, используемой несколькими компьютерами, синхронизация, обнаружение и исправление ошибок.
Сетевой уровень устанавливает связь в вычислительной сети между двумя абонентами. Соединение происходит благодаря функции маршрутизации, которая требует наличия сетевого адреса. Кроме того, этот уровень должен обеспечивать обработку ошибок, мультиплекси-рование и управление потоками данных. Наиболее известен стандарт Х.25 для сетей общего пользования с коммутацией пакетов. Для локальных вычислительных сетей (ЛВС) на данном уровне определяются межсетевые протоколы, как правило, различные для различных сетевых ОС.
Транспортный уровень обеспечивает надежную передачу данных между двумя взаимодействующими пользовательскими процессами, а также сквозное управление движением пакетов между этими процессами. Транспортный уровень поддерживает сегментацию и последующую сборку длинных сообщений и имеет специальные средства нумерации пакетов – упорядочения и удаления. Транспортный уровень может обеспечивать передачу данных с установлением и без установления связи.
Сеансовый уровень координирует прием, передачу и установление одного сеанса связи; обеспечивает необходимый контроль рабочих параметров, управление потоками данных промежуточных накопителей, диалоговый контроль, гарантирующий передачу данных. Кроме этого, он может иметь функции:
- управление паролями;
- подсчет платы за пользование ресурсами;
- управление диалогом с пользователем;
- синхронизация и отмена сеанса в случае сбоя при передаче данных вследствие ошибок в нижестоящих уровнях.
Уровень представления данных предназначен для интерпретации данных и подготовки их для пользовательского прикладного уровня. На данном уровне анализируется представление символов, формат страниц и графическое кодирование вместе с различными правилами шифрования, происходит преобразование из кадра в экранный формат.
Прикладной уровень определен в наименьшей степени, поскольку реализует все функции, которые не могут быть приписаны нижним уровням. К таким функциям относятся обслуживание сети, управление заданиями и протоколы обмена данными определенного типа. Данный уровень обеспечивает поддержку прикладных процессов конечного пользователя и эмуляцию терминалов.
Архитектурная концепция безопасности ISO включает пять основных компонентов:
1) определение услуг безопасности;
2) определение механизмов безопасности;
3) уровневая модель построения услуг безопасности;
4) соотнесение услуг безопасности к уровневой модели;
5) соотнесение механизмов безопасности к услугам.
Услуги безопасности - абстрактные понятия, которые могут быть использованы для характеристики требований безопасности. Механиз-мы безопасности конкретные меры для реализации услуг безопасности. Важнейшим архитектурным элементом стандарта является определение, какие услуги безопасности должны обеспечиваться на каждом уровне эталонной модели.
Основой для такого определения являются следующие принципы построения уровневой модели безопасности:
Число альтернативных способов обеспечения безопасности должно быть минимизировано.
Услуги безопасности могут появляться на многих уровнях модели безопасности.
Функции безопасности не должны дублировать коммуникационные функции, а использовать последние по возможности без нарушения безопасности системы.
Рекомендуется не нарушать независимость уровней.
Количество неконтролируемых (доверительных, trusted) функций должно быть минимизировано.
Если какой-либо защитный механизм одного уровня базируется на использовании услуг более низкого уровня, то не должно существовать никаких промежуточных уровней, запрещающих или не гарантирующих такую связь.
Безопасные услуги, реализуемые на каждом уровне, должны быть определены таким образом, чтобы допускать модульное дополнение к базовым коммуникационным услугам.