Базовые сервисы для обеспечения безопасности компьютерных систем

Определены пять базовых услуг для обеспечения безо­пасности компьютерных систем и сетей.

1. Конфиденциальность.

2. Аутентификация.

3. Целостность.

4. Контроль доступа.

5. Причастность (“неотпирательство”).

Этот набор услуг не является единственно возможным, од­нако он общепринят.

Конфиденциальность

Конфиденциальность  свойство, кото­рое гарантирует, что информация не может быть дос­тупна или раскрыта для неавтори-зованных (неуполно­моченных) личностей, объектов или процессов. Для этой услуги определяется четыре версии:

 системы с установлением связи;

 системы без установления связи;

 защита отдельных информационных полей;

 защита от контроля трафика.

Первые две версии относятся к соответствующим протоколам с установлением или без установления свя­зи. Третья версия конфиден-циальных услуг, предназ­наченных для защиты отдельных информа-ционных полей, используется для обоих типов сетей (с установ­лением связи и без) и требует, чтобы только отдельные поля в пакетах были защищены. Защита от контроля трафика должна предотвращать возможность анализа и контроля трафика. Это достигается путем кодирования информации об источнике-назначении, количестве передаваемых данных и частоты передачи.

Аутентификация

Рассматриваются два типа услуг аутентификации:

 достоверность происхождения (источника) данных;

 достоверность объекта коммуникации.

Достоверность источника данных предполагает подтверждение того, что источник полученных данных именно тот, который указан или объявлен. Эта услуга существенна для коммуникации без установления свя­зи, при которой каждый пакет является независимым от других, и единственное, что может быть гарантиро­вано с точки зрения аутентификации, — это то, что ис­точник пакета именно тот, который указан в заголов­ке пакета.

В системах с установлением связи аутентифика­ция объекта коммуникаций является необходимой фун­кцией, определенной как подтверждение того, что объект коммуникации при соединении именно тот, который объявлен.

Обе формы аутентификации определены для Сете­вого, Транспорт-ного и Прикладного уровней, на ко­торых реализуются протоколы с установлением и без установления связи.

Целостность

Целостность – состояние данных или компьютерной системы,
в которой данные или программы используются установленным образом, обеспечивающим устойчивую работу системы.

Целостность имеет две базовые реализации:

 для сетей с установлением связи;

 для сетей без установления связи.

Услуги защиты целостности в сетях с установле­нием связи могут дополнительно включать функции восстановления данных в случае, когда нарушена их целостность. Таким образом, обеспечение целостнос­ти данных в сетях с установлением связи предполагает обнаружение любой модификации, включения, удале­ния, или повторной передачи данных в последователь­ности (пакетов). Эта услуга используется на уровнях Сетевом, Транспортном и Прикладном.

Целостность в сетях без установления связи ори­ентирована на определение модификаций каждого па­кета без анализа большего объема информации, напри­мер, сеанса или цикла передачи. Таким образом, эта услуга не предотвращает умышленное удаление, вклю­чение или повторную передачу пакетов и является ес­тественным дополнением аутентификации источника данных. Эта услуга также доступна на Сете­вом, Транспортном и Прикладном уровнях.

Контроль доступа

Контроль доступа  предотвращение не­авторизованного исполь-зования ресурсов, включая предотвращение использования ресурсов недопусти­мым способом. Данная услуга не только обеспечи­вает доступ лишь авторизованных пользователей (и процессов), но и гарантирует только указанные права доступа для авторизованных пользователей. Таким об­разом, эта услуга предотвращает неавторизованный доступ как внутренних, так и внешних пользователей.

Контроль доступа часто смешивают с аутентифика­цией и конфиден-циальностью, но в действительности эта услуга предоставляет более широкие возможности. Услуга контроля доступа используется для установле­ния политики контроля/ограничения доступа.

Политика контроля доступа (или авторизации) ус­танавливается в двух измерениях:

 критерии для принятия решения о доступе;

 средства, при помощи которых регулируется конт­роль.

Два типа политики доступа в зависимости от ис­пользуемых критериев принятия решения могут быть основаны на идентичности явлений и объектов или на правилах доступа:

 определяемые пользователем;

 определяемые администратором.

Большинство операционных систем реализуют пер­вый вариант, но второй часто реализуется в сетях общего пользования, например Х.25, UUCP и др.

Услугу контроля доступа можно использовать на Сетевом, Транспортном и Прикладном уровнях.

Причастность

Причастность  предотвращение воз­можности отказа одним из реальных участников ком­муникаций от факта его полного или частичного учас­тия в передаче данных.

Определены две формы причастности:

 причастность к посылке сообщения;

 подтверждение (доказательство) получения сообще­ния.

Первая форма данной услуги предоставляет полу­чателю доказа-тельства, что сообщение было послано источником и его целостность не нарушена, на случай отказа отправителя от этого факта.

Вторая форма причастности предоставляет источни­ку доказа-тельства того, что данные были получены получателем, в случае попыток последнего отказаться от этого факта.

Обе формы являются более мощными по сравнению с аутентифи-кацией происхождения данных. Отличием является то, что получатель или отправитель данных может доказать третьей стороне факт посылки (полу­чения) данных и невмешательства посторонних.

Доступность

Доступность – гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Доступность может быть определена как дополнитель­ная услуга обеспечения защищенности сетей. Доступ­ность как одна из услуг обеспечения безопасности может быть предметом атаки с целью сделать ресурсы или сервисы компьютерной системы недоступными (или сделать их качество неудовлетворительным) для пользователя.

Доступность может быть характеристикой качества данного ресурса либо услуги или, частично, определять­ся услугой контроля доступа. Однако характер атак с целью ограничения доступа пользователя и средства борьбы с ними не относятся к собственно услугам и ресурсам или не обеспечиваются услугами контроля доступа. Поэтому целесообразно выделение услуги обеспечения доступности, которая должна реализовываться специальными механизмами на Сетевом или Прикладном уровне.

Наши рекомендации