Архитектура на сигурността

© Христо Тужаров, януари 2010

 

АРХИТЕКТУРА НА СИГУРНОСТ НА КОМПЮТЪРНИ МРЕЖИ

Стандарт ISO 7498-2

 

[Home] [Съдържание] [Асеневци] [Студентите] [Консултации]

АРХИТЕКТУРА НА ИНФОРМАЦИОННАТА СИГУРНОСТ

 

МОДЕЛИ НА АРХИТЕКТУРАТА НА ИНФОРМАЦИОННА СИГУРНОСТ

 

АРХИТЕКТУРА НА СИГУРНОСТ НА КОМПЮТЪРНИ МРЕЖИ

 

УСЛУГИ ЗА ИНФОРМАЦИОННА СИГУРНОСТ И МОДЕЛЪТ OSI

 

ОБЩИ МЕХАНИЗМИ ЗА ОСИГУРЯВАНЕ НА СИГУРНОСТ

 

МЕХАНИЗМИ ЗА ОСИГУРЯВАНЕ НА ИНФОРМАЦИОННА СИГУРНОСТ

 

 

 

Сигурност на компютърните мрежи

За осигуряване на информационната сигурност ISO е разработила допълнение към OSI модела, наречен Security Architecture.

 

Стандартът ISO 7498-2: 1989 е посветен на въпросите на сигурност на компютърни мрежи, създадени на база модела за взаимодействие на открити мрежи (OSI). В стандарта:

  • Са изложени резултатите от анализа на съществуващите заплахи за сигурността;

  • Въвежда се специална терминология за описание на услугите и механизмите за сигурност;

  • Представени са препоръки по контрола и оценката на предлаганите средства за осигуряване сигурността на компютърните мрежи;

  • Предлага се концепция за управление на сигурността на мрежите.

Стандартът е разработен в тясна връзка с модела OSI и съдържа практически препоръки, какви услуги могат да бъдат реализиране с конкретни протоколи на всяко ниво на модела OSI, както и какъв механизъм за сигурност може да бъде бъде използван за реализация на конкретна услуга за сигурност.

 

Жизнен цикъл на разработка на архитектура на сигурност на компютърни мрежи

 

 

  1. Определяне на политика на сигурност, която съдържа абстрактни изисквания към сигурността на системите.

  2. Анализ на изискванията за сигурност, включително анализ на риска, анализ на правителствените, правовите и на стандартите изисквания.

  3. Определяне на услугите за сигурност, необходими за удовлетворяване на изискванията.

  4. Създаване и внедряване на система за сигурност, заедно с механизми за сигурност, осигуряващи конкретните избрани услуги за сигурност.

  5. Непрекъснато управление на сигурността;

Терминология на архитектурата на сигурност

 

           Политика за сигурност – множество документирани правила за осигуряване и внедряване на услуги за сигурност.

 

 

 

 

           Заплаха за сигурността - нещо (действие, бездействие, средство и т.н.), което съдейства за нарушаване на политиката за сигурност (например загуба на цялостност или конфиденциалност)

 

             Услуга за сигурност – осигурява защита от идентифицирана заплаха и представлява абстрактно понятие, което може да бъде използвано за характеризиране на изискванията за сигурност.

 

             Механизъм за сигурност -  средство, чрез което се реализира съответната услуга.

 

   Примери: Конфиденциалността се явява услуга, шифрирането – механизъм, който се използва за осигуряване на конфиденциалността.  Шифрирането може да се използва и за реализация на други услуги, например услугата цялостност.

 

              Домен на сигурността – ограничена група обекти и субекти на сигурността, управлявани от общ администратор и към които се прилага единна политика за сигурност.

 

Многослоен  архитектурен модел на  сигурността на компютърните мрежи

 

Концепцията за архитектурните средства за информационна сигурност, съгласно  ISO  7498-2, включва пет основни компонента:

  • Определяне услугите за осигуряване на сигурността на мрежите;

  • Определяне на механизмите за сигурност на мрежите;

  • Многослоен модел за построяване на услугите за осигуряване на сигурност на  мрежите (X800);

  • Разпределяне на услугите за осигуряване на сигурност на мрежите по нивата на OSI модела;

  • Разпределение на механизмите за осигуряване на сигурност на мрежите и съответстващите им  услуги.

 

Многослоен  архитектурен модел на  сигурността на компютърните мрежи

 

 

                Основни принципи на модела за осигуряване на сигурност на мрежите

  • Количеството алтернативни начина за осигуряване на сигурност трябва да бъде минимизирано.

  • Услугите за осигуряване на сигурност могат да работят на повече от едно ниво от модела;

  • Функциите на средствата за осигуряване на сигурност не трябва да дублират съответните аналогични функции на средствата за комуникация;

  • Препоръчва се да не се нарушава независимостта на нивата;

  • Количеството неконтролирани (доверителни) функции трябва да бъде минимизирано;

  • Ако който и да е защитен механизъм на едно ниво се базира на използване услуги на по-ниско ниво, то не трябва да съществуват никакви промеждутъчни нива, забраняващи или не гарантиращи тази връзка;

  • Услугите осигуряващи сигурността, реализирани на всяко ниво, трябва да бъдат определени по такъв начин, че да допускат модулно допълване на базовото комуникационно оборудване.