лекция №21: принципы архитектуры безопасности в Internet

КУРС ЛЕКЦИЙ ОРГАНИЗАЦИЯ И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИОННО-ТЕХНОЛОГИЧЕСКИХ СЕТЕЙ И СИСТЕМ Раздел III: АРХИТЕКТУРА БЕЗОПАСНОСТИ ИТС Лекция №21: Принципы архитектуры безопасности в Internet МЕЛЬНИКОВ Дмитрий Анатольевич кандидат технических наук, доцент Лекция №21: Принципы архитектуры безопасности в Internet На сегодняшний день архитектура безопасности Internet до конца не определена и тем более не стандартизирована. Существует ряд моделей безопасности в ИТС. Однако модель безопасности ЭМВОС не приемлема для Internetсетей (RFC-791, RFC-1349, RFC-1958), так как их архитектуры отличаются числом уровней (ЭМВОС — 7, а Internet — 5,), тем не менее, услуги и способы обеспечения безопасности, определённые в архитектуре безопасности ЭМВОС, аналогичны тем, которые используются в различных вариантах архитектуры безопасности Internet. Лекция №21: Принципы архитектуры безопасности в Internet Поэтому для Internet наиболее приемлемыми моделями безопасности являются модели Международной организации по стандартизации (ISO), министерства обороны США (DOD) и собственно рабочей группы по безопасности IETF (IRTF) Internet. В соответствии с идеологией сетевой безопасности Internet услуги по обеспечению безопасности распределены следующим образом (рис.21.1). Лекция №21: Принципы архитектуры безопасности в Internet Второй Второй Третий Третий Четвёртый Четвёртый Пятый Пятый Рис.21.1. Распределение услуг безопасности по уровням Internet-архитектуры (архитектура безопасности в Internet) Защита от от ложного ложного отказа отказа Защита получателя получателя Защита от от ложного ложного отказа отказа Защита источника источника Целостность отдельных отдельных полей полей Целостность при организации при организации информационного обмена обмена информационного Целостность информационного информационного Целостность обмена без установления обмена без установления виртуального соединения соединения виртуального Целостность виртуального виртуального Целостность соединения соединения Конфиденциальность потока потока Конфиденциальность трафика трафика Конфиденциальность Конфиденциальность отдельных полей полей отдельных Конфиденциальность Конфиденциальность информационного обмена обмена без без информационного установления соединения соединения установления Конфиденциальность Конфиденциальность виртуального соединения соединения виртуального Управление Управление доступом доступом Аутентификация источника источника Аутентификация данных данных Аутентификация и авторизация Аутентификация и авторизация взаимодействующего субъекта субъекта взаимодействующего Первый Первый Лекция №21: Принципы архитектуры безопасности в Internet 21.1. Принципы архитектуры безопасности ISO В международном стандарте ISO 7498-2 предложены следующие семь принципов архитектуры безопасности: n тот или иной способ обеспечения безопасности должен использоваться только на одном из уровней архитектуры сети (повторное его применение не желательно); o допускается использование того или иного способа обеспечения безопасности на двух или более уровнях архитектуры сети. Очевидно, что данное утверждение входит в противоречие с первым принципом; Лекция №21: Принципы архитектуры безопасности в Internet p способы обеспечения безопасности не должны дублировать способы информационного обмена, пре