Базовые сервисы для обеспечения безопасности компьютерных систем
Определены пять базовых услуг для обеспечения безопасности компьютерных систем и сетей.
1. Конфиденциальность.
2. Аутентификация.
3. Целостность.
4. Контроль доступа.
5. Причастность (“неотпирательство”).
Этот набор услуг не является единственно возможным, однако он общепринят.
Конфиденциальность
Конфиденциальность свойство, которое гарантирует, что информация не может быть доступна или раскрыта для неавтори-зованных (неуполномоченных) личностей, объектов или процессов. Для этой услуги определяется четыре версии:
системы с установлением связи;
системы без установления связи;
защита отдельных информационных полей;
защита от контроля трафика.
Первые две версии относятся к соответствующим протоколам с установлением или без установления связи. Третья версия конфиден-циальных услуг, предназначенных для защиты отдельных информа-ционных полей, используется для обоих типов сетей (с установлением связи и без) и требует, чтобы только отдельные поля в пакетах были защищены. Защита от контроля трафика должна предотвращать возможность анализа и контроля трафика. Это достигается путем кодирования информации об источнике-назначении, количестве передаваемых данных и частоты передачи.
Аутентификация
Рассматриваются два типа услуг аутентификации:
достоверность происхождения (источника) данных;
достоверность объекта коммуникации.
Достоверность источника данных предполагает подтверждение того, что источник полученных данных именно тот, который указан или объявлен. Эта услуга существенна для коммуникации без установления связи, при которой каждый пакет является независимым от других, и единственное, что может быть гарантировано с точки зрения аутентификации, — это то, что источник пакета именно тот, который указан в заголовке пакета.
В системах с установлением связи аутентификация объекта коммуникаций является необходимой функцией, определенной как подтверждение того, что объект коммуникации при соединении именно тот, который объявлен.
Обе формы аутентификации определены для Сетевого, Транспорт-ного и Прикладного уровней, на которых реализуются протоколы с установлением и без установления связи.
Целостность
Целостность – состояние данных или компьютерной системы,
в которой данные или программы используются установленным образом, обеспечивающим устойчивую работу системы.
Целостность имеет две базовые реализации:
для сетей с установлением связи;
для сетей без установления связи.
Услуги защиты целостности в сетях с установлением связи могут дополнительно включать функции восстановления данных в случае, когда нарушена их целостность. Таким образом, обеспечение целостности данных в сетях с установлением связи предполагает обнаружение любой модификации, включения, удаления, или повторной передачи данных в последовательности (пакетов). Эта услуга используется на уровнях Сетевом, Транспортном и Прикладном.
Целостность в сетях без установления связи ориентирована на определение модификаций каждого пакета без анализа большего объема информации, например, сеанса или цикла передачи. Таким образом, эта услуга не предотвращает умышленное удаление, включение или повторную передачу пакетов и является естественным дополнением аутентификации источника данных. Эта услуга также доступна на Сетевом, Транспортном и Прикладном уровнях.
Контроль доступа
Контроль доступа предотвращение неавторизованного исполь-зования ресурсов, включая предотвращение использования ресурсов недопустимым способом. Данная услуга не только обеспечивает доступ лишь авторизованных пользователей (и процессов), но и гарантирует только указанные права доступа для авторизованных пользователей. Таким образом, эта услуга предотвращает неавторизованный доступ как внутренних, так и внешних пользователей.
Контроль доступа часто смешивают с аутентификацией и конфиден-циальностью, но в действительности эта услуга предоставляет более широкие возможности. Услуга контроля доступа используется для установления политики контроля/ограничения доступа.
Политика контроля доступа (или авторизации) устанавливается в двух измерениях:
критерии для принятия решения о доступе;
средства, при помощи которых регулируется контроль.
Два типа политики доступа в зависимости от используемых критериев принятия решения могут быть основаны на идентичности явлений и объектов или на правилах доступа:
определяемые пользователем;
определяемые администратором.
Большинство операционных систем реализуют первый вариант, но второй часто реализуется в сетях общего пользования, например Х.25, UUCP и др.
Услугу контроля доступа можно использовать на Сетевом, Транспортном и Прикладном уровнях.
Причастность
Причастность предотвращение возможности отказа одним из реальных участников коммуникаций от факта его полного или частичного участия в передаче данных.
Определены две формы причастности:
причастность к посылке сообщения;
подтверждение (доказательство) получения сообщения.
Первая форма данной услуги предоставляет получателю доказа-тельства, что сообщение было послано источником и его целостность не нарушена, на случай отказа отправителя от этого факта.
Вторая форма причастности предоставляет источнику доказа-тельства того, что данные были получены получателем, в случае попыток последнего отказаться от этого факта.
Обе формы являются более мощными по сравнению с аутентифи-кацией происхождения данных. Отличием является то, что получатель или отправитель данных может доказать третьей стороне факт посылки (получения) данных и невмешательства посторонних.
Доступность
Доступность – гарантия того, что авторизованные пользователи всегда получат доступ к данным.
Доступность может быть определена как дополнительная услуга обеспечения защищенности сетей. Доступность как одна из услуг обеспечения безопасности может быть предметом атаки с целью сделать ресурсы или сервисы компьютерной системы недоступными (или сделать их качество неудовлетворительным) для пользователя.
Доступность может быть характеристикой качества данного ресурса либо услуги или, частично, определяться услугой контроля доступа. Однако характер атак с целью ограничения доступа пользователя и средства борьбы с ними не относятся к собственно услугам и ресурсам или не обеспечиваются услугами контроля доступа. Поэтому целесообразно выделение услуги обеспечения доступности, которая должна реализовываться специальными механизмами на Сетевом или Прикладном уровне.