Служба безопасности (телекоммуникации) - Security service (telecommunication)

Сервис безопасности это услуга, предоставляемая уровнем взаимодействующих открытых систем, который обеспечивает адекватную безопасность систем или передачи данных.[1] как определено ITU-T Рекомендация X.800.
X.800 и ISO 7498-2 (Системы обработки информации - Взаимосвязь открытых систем - Базовая эталонная модель - Часть 2: Архитектура безопасности)[2] технически согласованы. Эта модель широко известна [3][4]

Более общее определение содержится в Инструкции CNSS № 4009 от 26 апреля 2010 г. Комитет по системам национальной безопасности из Соединенные Штаты Америки:[5]

Возможность, которая поддерживает одно или несколько требований безопасности (конфиденциальность, целостность, доступность). Примерами служб безопасности являются управление ключами, контроль доступа и аутентификация.

Другое авторитетное определение находится в W3C веб-сервис Глоссарий [6] усыновленный NIST СП 800-95:[7]

Служба обработки или связи, которая предоставляется системой для предоставления определенного вида защиты ресурсов, где указанные ресурсы могут находиться в указанной системе или находиться в других системах, например, служба аутентификации или атрибуция и аутентификация документов на основе PKI. служба. Служба безопасности - это надмножество служб AAA. Сервисы безопасности обычно реализуют части политик безопасности и реализуются через механизмы безопасности.

Базовая терминология безопасности

Информационная безопасность и Компьютерная безопасность дисциплины, отвечающие требованиям Конфиденциальность, Честность, Доступность, так называемая Триада ЦРУ, - информационный актив организации (компании или агентства) или информация, управляемая компьютерами соответственно.

Есть угрозы это может атака ресурсы (информация или устройства для управления) эксплуатирующий один или больше уязвимости. Ресурсы могут быть защищены одним или несколькими контрмеры или же меры безопасности.[8]

Таким образом, службы безопасности реализуют часть контрмер, пытаясь выполнить требования безопасности организации.[3][9]

Базовая терминология OSI

Чтобы различные устройства (компьютеры, маршрутизаторы, сотовые телефоны) могли передавать данные стандартизированным способом, протоколы связи были определены.

В ITU-T Организация опубликовала большой набор протоколов. Общая архитектура этих протоколов определена в рекомендации X.200.[10]

Различные средства (воздух, кабели) и способы (протоколы и стеки протоколов ) для общения называются сеть связи.

Требования безопасности применимы к информации, передаваемой по сети. Дисциплина, связанная с безопасностью в сети, называется Сетевая безопасность.[11]

Рекомендация X.800:[1]

  1. предоставляет общее описание служб безопасности и связанных механизмов, которые могут быть предоставлены Эталонная модель; и
  2. определяет позиции в эталонной модели, где могут быть предоставлены услуги и механизмы.

Настоящая Рекомендация расширяет сферу применения Рекомендации X.200, чтобы охватить безопасная связь между открытые системы.

Согласно Рекомендации X.200, в так называемых Эталонная модель OSI есть 7 слои, каждый из них обычно называется N слоем. Объект N + 1 запрашивает услуги передачи у объекта N.[10]

На каждом уровне два объекта (N-объект) взаимодействуют посредством протокола (N), передавая Единицы данных протокола (PDU).Блок служебных данных (SDU) - это конкретная единица данных, которая была передана с уровня OSI на более низкий уровень и еще не была инкапсулированный в PDU нижним уровнем. Это набор данных, который отправляется пользователем служб данного уровня и передается семантически неизменным пользователю одноранговой службы. PDU на любом заданном уровне, уровне 'n', является SDU уровня ниже , слой «n-1». Фактически SDU является «полезной нагрузкой» данного PDU. То есть процесс изменения SDU на PDU состоит из процесса инкапсуляции, выполняемого нижним уровнем. Все данные, содержащиеся в SDU, инкапсулируются в PDU. Уровень n-1 добавляет к SDU верхние или нижние колонтитулы, или и то, и другое, преобразовывая его в PDU уровня n-1. Добавленные верхние или нижние колонтитулы являются частью процесса, используемого для получения данных из источника в место назначения.[10]

Описание служб безопасности OSI

Следующие услуги считаются услугами безопасности, которые могут быть предоставлены дополнительно в рамках эталонной модели OSI. Службы аутентификации требуют аутентификационной информации, содержащей локально сохраненную информацию и данные, которые передаются (учетные данные) для облегчения аутентификации:[1][4]

Аутентификация
Эти услуги обеспечивают аутентификацию взаимодействующего однорангового объекта и источника данных, как описано ниже.
Аутентификация однорангового объекта
Эта услуга, когда она предоставляется (N) -уровнем, обеспечивает подтверждение (N + 1) -логическому объекту того, что равноправный объект является заявленным (N + 1) -логическим объектом.
Аутентификация источника данных
Эта услуга, когда она предоставляется (N) -уровнем, обеспечивает подтверждение (N + 1) -логическому объекту того, что источником данных является заявленный одноранговый (N + 1) -логический объект.
Контроль доступа
Этот сервис обеспечивает защиту от несанкционированного использования ресурсов, доступных через OSI. Это могут быть ресурсы OSI или не-OSI, к которым осуществляется доступ через протоколы OSI. Эта услуга защиты может применяться к различным типам доступа к ресурсу (например, использование ресурса связи; чтение, запись или удаление информационного ресурса; выполнение ресурса обработки) или ко всем доступам к ресурс.
Конфиденциальность данных
Эти услуги обеспечивают защиту данных от несанкционированного раскрытия, как описано ниже.
Конфиденциальность подключения
Эта услуга обеспечивает конфиденциальность всех (N) -данных о (N) -соединении.
Конфиденциальность без установления соединения
Эта услуга обеспечивает конфиденциальность всех (N) -данных в одном (N) -SDU без установления соединения.
Выборочная конфиденциальность полей
Эта услуга обеспечивает конфиденциальность выбранных полей в (N) -данных пользователя при (N) -соединении или в одном (N) -SDU без установления соединения.
Конфиденциальность транспортного потока
Эта услуга обеспечивает защиту информации, которая может быть получена в результате наблюдения за потоками трафика.
Целостность данных
Эти сервисы противодействуют активным угрозы и может принимать одну из форм, описанных ниже.
Целостность соединения с восстановлением
Эта услуга обеспечивает целостность всех (N) -данных пользователя по (N) -соединению и обнаруживает любые изменения, вставки, удаления или повторного воспроизведения любых данных во всей последовательности SDU (с попыткой восстановления).
Целостность соединения без восстановления
То же, что и предыдущий, но без попытки восстановления.
Избирательная целостность полевого соединения
Эта услуга обеспечивает целостность выбранных полей в данных (N) -пользователя (N) -SDU, передаваемого по соединению, и принимает форму определения того, были ли выбранные поля изменены, вставлены, удалены или воспроизведены.
Целостность без установления соединения
Эта услуга, когда она предоставляется (N) -уровнем, обеспечивает гарантию целостности запрашивающего (N + 1) -логического объекта. Эта услуга обеспечивает целостность отдельного SDU без установления соединения и может принимать форму определения того, был ли изменен принятый SDU. Кроме того, может быть предоставлена ​​ограниченная форма обнаружения воспроизведения.
Избирательная целостность поля без установления соединения
Эта услуга обеспечивает целостность выбранных полей в одном SDU без установления соединения и принимает форму определения того, были ли изменены выбранные поля.
Безотказность
Эта услуга может иметь одну или обе формы.
Сохранение авторства с подтверждением происхождения
Получателю данных предоставляется подтверждение происхождения данных. Это защитит от любой попытки отправителя ложно отрицать отправку данных или их содержимого.
Безотказность с подтверждением доставки
Отправителю данных предоставляется подтверждение доставки данных. Это защитит от любой последующей попытки получателя ложно отрицать получение данных или их содержимого.

Особые механизмы безопасности

Услуги безопасности могут быть предоставлены с помощью механизма безопасности:[1][3][4]

Таблица1 / X.800 показывает отношения между сервисами и механизмами.

Иллюстрация взаимосвязи служб безопасности и механизмов
СлужбаМеханизм
ШифрованиеЦифровой подписиКонтроль доступаЦелостность данныхОбмен аутентификациейПрокладка трафикаКонтроль маршрутизацииНотариальное заверение
Аутентификация однорангового объектаYY··Y···
Аутентификация источника данныхYY······
Служба контроля доступа··Y·····
Конфиденциальность подключенияY.····Y·
Конфиденциальность без установления соединенияY·····Y·
Выборочная конфиденциальность полейY·······
Конфиденциальность транспортного потокаY····YY·
Целостность подключения с восстановлениемY··Y····
Целостность соединения без восстановленияY··Y····
Избирательная целостность полевого соединенияY··Y····
Целостность без установления соединенияYY·Y····
Избирательная целостность поля без установления соединенияYY·Y····
Безотказность. Источник·Y·Y···Y
Безотказность. ДоставкаY·Y···Y

Некоторые из них могут быть применены к протоколам с установлением соединения, другие к протоколам без установления соединения или к обоим.

Таблица 2 / X.800 иллюстрирует взаимосвязь служб безопасности и уровней:[4]

Иллюстрация взаимосвязи служб безопасности и слоев
СлужбаСлой
1234567*
Аутентификация однорангового объекта··YY··Y
Аутентификация источника данных··YY··Y
Служба контроля доступа··YY··Y
Конфиденциальность подключенияYYYY·YY
Конфиденциальность без установления соединения·YYY·YY
Выборочная конфиденциальность полей·····YY
Конфиденциальность транспортного потокаY·Y···Y
Целостность подключения с восстановлением···Y··Y
Целостность соединения без восстановления··YY··Y
Избирательная целостность полевого соединения······Y
Целостность без установления соединения··YY··Y
Избирательная целостность поля без установления соединения······Y
Безотказное происхождение······Y
Безотказность. Доставка······Y

Другие связанные значения

Управляемая служба безопасности

Управляемая служба безопасности (MSS) являются сетевая безопасность услуги, которые были аутсорсинг поставщику услуг.

Смотрите также

Рекомендации

  1. ^ а б c d X.800: Архитектура безопасности для взаимодействия открытых систем для приложений CCITT
  2. ^ ISO 7498-2 (Системы обработки информации - Взаимосвязь открытых систем - Базовая эталонная модель - Часть 2: Архитектура безопасности)
  3. ^ а б c Уильям Столлингс, Crittografia e sicurezza delle reti, Seconda edizioneISBN  88-386-6377-7Итальянский перевод Луки Салгареллиди Криптография и сетевая безопасность, 4-е издание, Pearson2006.
  4. ^ а б c d Защита информационных и коммуникационных систем: принципы, технологии и приложения Стивен Фурнелл, Сократис Кацикас, Хавьер Лопес, Artech House, 2008 - 362 страницы
  5. ^ Инструкция CNSS № 4009 от 26 апреля 2010 г.
  6. ^ Глоссарий веб-служб W3C
  7. ^ Специальная публикация NIST 800-95, Руководство по безопасным веб-службам
  8. ^ Инженерная группа Интернета RFC 2828 Глоссарий по интернет-безопасности
  9. ^ Основы сетевой безопасности: приложения и стандарты, Уильям Столлингс, Prentice Hall, 2007 г. - 413 страниц.
  10. ^ а б c X.200: Информационные технологии - Взаимодействие открытых систем - Базовая эталонная модель: базовая модель
  11. ^ Симмондс, А; Sandilands, P; ван Экерт, Л. (2004). «Онтология атак сетевой безопасности». Конспект лекций по информатике 3285: 317–323

внешняя ссылка