E-Book Overview
Двадцать первая лекция из курса: Организация и обеспечение безопасности информационно-технологических сетей и систем (в форме презентации). Вопросы: Принципы архитектуры безопасности ISO. Принципы архитектуры безопасности DOD. Принципы архитектуры безопасности Internet (IETF). Рекомендации IETF по использованию способов и средств обеспечения ИБ в Internet-сети (содержание архитектуры безопасности Internet).
E-Book Content
КУРС ЛЕКЦИЙ
ОРГАНИЗАЦИЯ И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИОННО-ТЕХНОЛОГИЧЕСКИХ СЕТЕЙ И СИСТЕМ Раздел III: АРХИТЕКТУРА БЕЗОПАСНОСТИ ИТС Лекция №21: Принципы архитектуры безопасности в Internet
МЕЛЬНИКОВ Дмитрий Анатольевич кандидат технических наук, доцент
Лекция №21: Принципы архитектуры безопасности в Internet
На сегодняшний день архитектура безопасности Internet до конца не определена и тем более не стандартизирована. Существует ряд моделей безопасности в ИТС. Однако модель безопасности ЭМВОС не приемлема для Internetсетей (RFC-791, RFC-1349, RFC-1958), так как их архитектуры отличаются числом уровней (ЭМВОС — 7, а Internet — 5,), тем не менее, услуги и способы обеспечения безопасности, определённые в архитектуре безопасности ЭМВОС, аналогичны тем, которые используются в различных вариантах архитектуры безопасности Internet.
Лекция №21: Принципы архитектуры безопасности в Internet
Поэтому для Internet наиболее приемлемыми моделями безопасности являются модели Международной организации по стандартизации (ISO), министерства обороны США (DOD) и собственно рабочей группы по безопасности IETF (IRTF) Internet. В соответствии с идеологией сетевой безопасности Internet услуги по обеспечению безопасности распределены следующим образом (рис.21.1).
Лекция №21: Принципы архитектуры безопасности в Internet
Второй Второй
Третий Третий
Четвёртый Четвёртый
Пятый Пятый
Рис.21.1. Распределение услуг безопасности по уровням Internet-архитектуры (архитектура безопасности в Internet)
Защита от от ложного ложного отказа отказа Защита получателя получателя Защита от от ложного ложного отказа отказа Защита источника источника Целостность отдельных отдельных полей полей Целостность при организации при организации информационного обмена обмена информационного Целостность информационного информационного Целостность обмена без установления обмена без установления виртуального соединения соединения виртуального Целостность виртуального виртуального Целостность соединения соединения Конфиденциальность потока потока Конфиденциальность трафика трафика Конфиденциальность Конфиденциальность отдельных полей полей отдельных Конфиденциальность Конфиденциальность информационного обмена обмена без без информационного установления соединения соединения установления Конфиденциальность Конфиденциальность виртуального соединения соединения виртуального Управление Управление доступом доступом Аутентификация источника источника Аутентификация данных данных Аутентификация и авторизация Аутентификация и авторизация взаимодействующего субъекта субъекта взаимодействующего
Первый Первый
Лекция №21: Принципы архитектуры безопасности в Internet
21.1. Принципы архитектуры безопасности ISO
В международном стандарте ISO 7498-2 предложены следующие семь принципов архитектуры безопасности: n тот или иной способ обеспечения безопасности
должен использоваться только на одном из уровней архитектуры сети (повторное его применение не желательно); o допускается использование того или иного способа обеспечения безопасности на двух или более уровнях архитектуры сети. Очевидно, что данное утверждение входит в противоречие с первым принципом;
Лекция №21: Принципы архитектуры безопасности в Internet
p способы обеспечения безопасности не
должны дублировать способы информационного обмена, пре