Техническая спецификация X.800

Сетевые сервисы (функции) безопасностиТехническая спецификация X.800 рассматривает вопросы информационной безопасности распределенных систем.

Выделяют следующие сервисы безопасностии исполняемые ими роли:

Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных.Аутентификация партнеров по общениюиспользуется при установлении соединения и, быть может, периодически во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).

Управление доступом. Обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.

Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения информации. Конфиденциальность трафика-это защита информации, которую можно получить, анализируя сетевые потоки данных.

Целостность данныхподразделяется на подвиды в зависимости от того, какой тип общения используют партнеры -с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.

Неотказуемость(невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки. Побочным продуктом неотказуемости является аутентификация источника данных.

Сетевые механизмы безопасностиДля реализации сервисов (функций) безопасности могут использоваться следующие механизмы и их комбинации:

-шифрование;

-электронная цифровая подпись;

-механизмы управления доступом. Могут располагаться на любой из участвующих в общении сторон или в промежуточной точке;

-механизмы контроля целостности данных. В рекомендациях X.800 различаются два аспекта целостности: целостность отдельного сообщения или поля информации и целостность потока сообщений или полей информации.

-механизмы аутентификации. Согласно рекомендациям X.800, аутентификация может достигаться за счет использования паролей, личных карточек или иных устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрических характеристик;

-механизмы дополнения трафика;

-механизмы управления маршрутизацией. Маршруты могут выбираться статически или динамически. Оконечная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными;

-механизмы нотаризации. Служат для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной третьей стороной, обладающей достаточной информацией.

Обычно нотаризация опирается на механизм электронной подписи. Администрирование средств безопасностиАдминистрирование средств безопасностивключает в себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании (распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.).

Обязанности администратора средств безопасности:

-администрирование информационной системы в целом(взаимодействие с другими административными службами, реагированиена происходящие события, аудити безопасное восстановление);

-администрирование сервисов безопасности(определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы);

-администрирование механизмов безопасности.

Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список таков:

управление ключами(генерация и распределение);

управление шифрованием(установка и синхронизация криптографических параметров). Администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами.

администрирование управления доступом(распределение информации, необходимой для управления -паролей, списков доступа и т.п.);

управление аутентификацией(распределение информации, необходимой дляаутентификации -паролей, ключей и т.п.);

управление дополнением трафика(выработка и поддержание правил, задающих характеристики дополняющих сообщений -частоту отправки, размер и т.п.);

управление маршрутизацией(выделение доверенных путей);

управление нотаризацией(распространение информации о нотариальных службах, администрирование этих служб).