Основы построения и эксплуатации защищенных телекоммуникационных систем

Табл. 2. Применимость сервисов безопасности на различных уровнях модели ВОС

Анализ применимости описанных  услуг на различных уровнях модели ВОС приводит к следующим основным выводам по каждому из 7 уровней.

Физический уровень

Услуги безопасности, предлагаемые на физическом уровне, обычно обеспечивают защиту каналов «точка-точка», например, между двумя конечными системами или между конечной и промежуточной системами. Действие этой услуги заканчивается в точке окончания канала перед устройством приема или коммутации пакетов.

Однако средства и устройства, обеспечивающие безопасность на этом уровне, обычно привязаны к конкретной технологии передачи сигналов и интегрированы с физическим интерфейсом, что приводит к необходимости использовать идентичные устройства на обоих концах физического и/или виртуального соединения. Применение средств защиты Физического уровня ограничивается услугами Конфиденциальности для коммуникаций с установлением связи и для защиты от контроля трафика. Другим ограничением использования средств защиты на Физическом уровне является сложность управления ими.

Бит-ориентированный интерфейс  физического уровня не позволяет  реализовать услуги целостности  и аутентификации из-за невозможности  выполнять преобразование данных. Однако использование подходящей техники шифрования на этом уровне может создать хорошую базу для использования услуг на более высоких уровнях.

Канальный уровень (уровень данных)

Услуги безопасности канального уровня реализуются для соединений «точка-точка» аналогично физическому уровню. Действие этой услуги заканчивается в точке приема (конечная система) или коммутации пакетов (включая транслирующие и инкапсулирующие мосты) в пределах использования единого интерфейса управления доступом к среде (УДС, МАС-интерфейса). Преимуществом применения услуг безопасности на этом уровне является их независимость от протоколов более высокого уровня. Однако здесь также существует сильная зависимость практической реализации услуги от используемой технологии физического уровня.

Согласно рекомендациям стандарта ISO 7498-2, услуги, предлагаемые на этом уровне, включают конфиденциальность для систем с установлением и без установления связи. Возможность использования этого уровня для обеспечения услуг целостности ограничивается недостаточным размером контрольных полей LLC- пакетов.

Сетевой уровень

Безопасность на сетевом уровне обеспечивается между конечными  системами, независимо от промежуточных межсетевых коммутаторов и мостов канального уровня. Если услуги безопасности основываются полностью на протоколах сетевого уровня, это обеспечивает безопасность коммуникаций между конечными системами вдоль разнородных сетей, формирующих интерсеть (Internet). Стандарт ISO 7498-2 рекомендует применение нескольких услуг безопасности на сетевом уровне: конфиденциальность (для систем с установлением и без установления связи, для защиты от контроля трафика), контроль доступа, целостность в системах с установлением связи и без установления, а также аутентификации источника данных и объекта коммуникации.

Согласно рекомендациям ISO 7498-2 услуги безопасности должны быть совместимы с соответствующими коммуникационными услугами на каждом уровне и, по возможности, их использовать, что часто приводит к зависимости реализуемых услуг безопасности от протоколов сетевого уровня или делает невозможным их применение. Такая ситуация, в частности, наблюдается в сетях Х.25, которые имеют свой собственный протокол нумерации последовательностей с установлением связи, но не имеют средств обеспечения целостности отдельных пакетов, что делает невозможным применение стандартных услуг безопасности. В этом случае возможно применение соответствующих услуг на более высоких уровнях, но приводит к зависимости услуг безопасности от соответствующей технологии Сетевого уровня.

Услуги безопасности, полностью  использующие протоколы сетевого уровня, т.е. реализуемые «поверх» сетевого уровня, могут обеспечивать защищенность коммуникаций в многопротокольных интерсетях. При этом услуги безопасности могут быть реализованы в межсетевых (или «промежуточных» – intermediate) системах или устройствах. Это дает ряд преимуществ, связанных с тем, что межсетевые устройства часто служат шлюзами или портами между различными локальными или локальными и глобальными сетями. Обеспечение услуг безопасности и защищенности в таких пограничных устройствах эффективно с точки зрения минимальной модернизации существующих систем. Дополнительные средства безопасности могут быть обеспечены между межсетевыми устройствами и конечными системами, используя те же протоколы и услуги.

Независимая реализация услуг безопасности на сетевом уровне позволяет применять эти услуги только в отношении таких объектов, как сети, что является достаточно «грубым» подходом. Для отдельных групп сетевых протоколов существуют возможности обеспечить избирательность таких услуг, основываясь на адресации конкретных конечных систем или при использовании дополнительных средств для адресации протоколов более высокого уровня в протоколах сетевого уровня, как это сделано в протоколах TCP/IP с адресацией вышестоящих протоколов и портов в пакетах сетевого и транспортного уровня. Однако это нарушает принцип уровневости и, в общем случае, неприменимо.

Дополнительная возможность для  обеспечения избирательности услуг  безопасности на сетевом уровне может  быть реализована через параметр «качества услуги» безопасности, определяемый конечной системой и обрабатываемый промежуточными системами. В частности, разрабатываемый стандарт безопасного протокола Сетевого уровня (NLSP – Network Layer Security Protocol) предполагает такую возможность.

Включение услуг безопасности сетевого уровня в состав функций конечной системы, как правило, требует модификации ядра операционной системы, так как большинство сетевых операционных систем включают функции сетевого уровня в ядро в целях достижения большей производительности и безопасности системы. Отсюда следует, что включение услуг безопасности сетевого уровня является задачей поставщиков программных и аппаратных средств конечных и промежуточных систем.

Транспортный уровень.

На транспортном уровне стандарт ISO 7498-2 определяет набор услуг безопасности, очень близкий по составу с сетевым уровнем: конфиденциальность (для систем с установлением и без установления связи), контроль доступа, целостность в системах с установлением связи и без, а также аутентификации источника данных и объекта коммуникации. Отличием является то, что услуги безопасности транспортного уровня обеспечиваются только в конечных системах, в отличие от возможности реализации услуг на базе сетевого уровня в промежуточных системах.

Услуги безопасности транспортного  уровня с установлением связи, в общем случае, обеспечивают более высокую защищенность коммуникаций по сравнению с реализацией таких же услуг на более высоких уровнях с использованием протоколов и услуг более низкого уровня. Но при правильном использовании коммуникационных возможностей транспортного уровня такие отличия могут быть несущественными.

Так же как и для сетевого уровня, многие механизмы безопасности транспортного  уровня интегрированы в состав сетевых  операционных систем и определяется их разработчиками.

Сеансовый и представительский  уровень

Стандарт ISO 7498-2 не рекомендует применение услуг безопасности на сеансовом  и представительском уровнях. Это  вызвано тем, что эти уровни не имеют хорошо определенных коммуникационных услуг и функций. Кажущаяся уместность применения многих услуг на основе шифрования на уровне представления данных нецелесообразна из-за того, что функции этого уровня обычно интегрированы в состав прикладного уровня.

Прикладной уровень

Стандарт ISO 7498-2 разрешает применение всех услуг безопасности на прикладном уровне, а применение услуги причастности рекомендуется только на этом уровне. Однако использование услуг безопасности только на прикладном уровне не позволяет полностью защитить системы коммуникаций от всех возможных атак, поэтому рекомендуется обеспечивать поддержку конкретных услуг также на более низких уровнях совместно с прикладным.

При этом очевидно, что приложения типа обмена сообщениями или службы директорий могут быть реализованы только на прикладном уровне. В частности, обмен сообщениями требует использования услуг безопасности на этом уровне по следующими причинам:

• некоторые услуги обеспечения защиты сообщений разработаны только для прикладного уровня, как например, контроль причастности;
• сообщения обычно могут быть адресованы нескольким адресатам, при этом анализ адресов выполняется только на уровне сообщения (Агентом Передачи Сообщения, MTA – Message Transfer Agent).

Услуги безопасности более низких уровней обеспечиваются в реальном времени при обработке потоков данных «точка-точка» (или между MTA, согласно рекомендациям Х.400), в то время как обработка сообщений на уровне «отправитель–получатель» требует полной функциональности сервисов Х.400.

Полная защищенность услуг директорий согласно Х.500 также не может быть обеспечена только использованием услуг более низких уровней. Например, принятие решения о доступе пользователя к серверу директорий или дальнейшая передача запроса должна выполняться только самим сервером.

Наиболее привлекательной чертой применения услуг безопасности на Прикладном уровне является их независимость от операционной системы и возможность реализовать эти услуги в составе приложений, но при этом используемые механизмы становятся специфическими для конкретного приложения.

1.5. Обзор  требований Руководящих документов ГТК РФ

Руководящие документы Гостехкомиссии при Президенте Российской федерации (РД ГТК РФ) содержат систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютерных систем. В силу выраженной ориентированности на компьютерные системы, а также относительной «несовременности»⁴, целесообразно ограничиться лишь кратким обзором Руководящих документов.

С точки зрения разработчиков РД ГТК основная (и едва ли не единственная) задача средств безопасности – защита от несанкционированного доступа⁵ (НСД) к информации. При этом некоторое внимание также уделяется средствам контроля и обеспечения целостности, однако вопросы поддержки работоспособности систем обработки информации (как мера защиты от угроз работоспособности) вообще не рассматриваются. Впрочем, определенный уклон в сторону поддержания секретности объясняется тем, что РД были разработаны в расчете на применение в информационных системах министерства обороны и спецслужб РФ, а также недостаточно высоким уровнем информационных технологий этих систем по сравнению с современным.

Руководящие документы предлагают 2 группы критериев безопасности: показатели защищенности средств вычислительной техники (СВТ) от НСД и критерии защищенности автоматизированных систем (АС) обработки данных. Первая группа позволяет оценить степень защищенности от НСД отдельно поставляемых потребителю компонентов вычислительной системы, а вторая рассчитана на полнофункциональные системы обработки данных. При этом основное отличие СВТ от АС заключается в том, что СВТ не содержат защищаемых пользовательских данных, то есть защищенность СВТ есть, по сути, потенциальная защищенность.

Руководящие документы устанавливают  классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Установлено 7 классов защищенности СВТ от НСД (табл. 3).