Основные концепции применения методов и средств защиты информации на уровне базовой эталонной модели изложены в международном стандарте ISO 7498-2:1989, посвященном архитектуре безопасности для взаимосвязи открытых систем (Information processing systems–Open Systems Interconnection– Basic Reference Model–Part 2: Security Architecture) и выпущенном международной организацией по стандартизации в 1989 г. Двумя годами позже, в 1991-м, на его основе была разработана рекомендация международного союза по электросвязи ITU-T X.800 Security architecture for open systems interconnection for CCITT applications. Она послужила каркасом для разработки и развития новых и существующих рекомендаций ITU-T для взаимодействия открытых систем. Рекомендации Х.800 определяют функции (сервисы) безопасности, характерные для распределенных систем, уровни эталонной семиуровневой модели OSI, на которых могут быть реализованы функции безопасности, используемые механизмы безопасности, а также администрирование средств безопасности.
На каждом уровне эталонной модели OSI могут быть реализованы разные функции безопасности (см. приложение 3) [4].
Для реализации функций безопасности могут использоваться различные механизмы и их комбинации (см. приложение 4).
Функции (сервисы) безопасности включают [1]:
• аутентификацию (партнеров по общению и источника данных):
1) аутентификация партнеров (удостоверение подлинности удаленного абонента-получателя) — обеспечивается во время установления их соединения или во время нормального обмена данными для гарантии того, что равноправный логический объект, с которым осуществляется взаимодействие, является тем, за кого себя выдает. Для аутентификации равнозначного логического объекта требуется, чтобы лежащий ниже уровень обеспечивал услуги с установлением соединения;
|
2) аутентификация источника данных — подтверждение подлинности источника (абонента-отправителя) сообщения. Эта услуга не ориентирована на соединение и не обеспечивает защиту от дублирования («проигрывания» ранее перехваченного и записанного нарушителем) блока данных;
• управление доступом (разграничение доступа) — обеспечивает защиту от несанкционированного доступа к ресурсам, потенциально доступным посредством взаимодействующих открытых систем. Доступ может быть ограничен полностью или частично. Например, для информационного ресурса может быть ограничен доступ по чтению, записи, уничтожению информации;
• конфиденциальность данных. В Х.800 под этим названием объединены существенно разные вещи – от защиты отдельной порции данных до конфиденциальности трафика:
1) конфиденциальность соединения — обеспечивает конфиденциальность всех сообщений, передаваемых пользователями в рамках данного соединения. Данная услуга направлена на предотвращение возможности ознакомления с содержанием сообщений со стороны любых лиц, не являющихся легальными пользователями соединения. При этом в некоторых случаях нет необходимости в защите срочных данных, а также данных в запросе на установление соединения;
2) конфиденциальность вне соединения — обеспечивает конфиденциальность всех данных пользователя в сообщении (единственном сервисном блоке данных), передаваемом в режиме без установления соединения;
3) избирательная конфиденциальность — обеспечивает конфиденциальность отдельных полей данных пользователя на всем соединении или в отдельном сервисном блоке данных;
|
4) конфиденциальность трафика — препятствует возможности извлечения информации из наблюдаемого графика;
• целостность данных. Данный сервис подразделяется на подвиды в зависимости от того, что контролируется – целостность сообщений или потока данных, обеспечивается ли восстановление в случае нарушения целостности:
1) целостность с восстановлением — позволяет обнаружить попытки вставки, удаления, модификации или переадресации в последовательности сервисных блоков данных. При нарушении целостности предпринимается попытка ее восстановления;
2) целостность без восстановления — обеспечивает те же возможности, что и предыдущая услуга, но без попытки восстановления целостности;
3) избирательная целостность — обеспечивает целостность отдельного поля данных пользователя во всем потоке сервисных блоков данных, и обнаруживает вставку, удаление, модификацию или переадресацию этого поля;
4) целостность вне соединения — позволяет обнаружить модификацию в сервисном блоке данных, передаваемом в режиме без установления соединения;
• неотказуемость. Данных сервис относится к прикладному уровню, то есть имеется в виду невозможность отказаться от содержательных действий таких, например, как отправка или прочтение письма. Этот сервис позволяет обнаружить логические объекты, которые не выполняют требуемых действий после приема/отправки информации, предоставляет отправителю/получателю информацию о факте получения/отправления данных адресатом/отправителем.
|
Используемые механизмы для реализации функций безопасности [4]:
Шифрование.
Шифрование подразделяется на симметричное (с секретным ключом, когда знание ключа шифрования влечет знание ключа расшифровки) и асимметричное (с открытым ключом, когда знание ключа шифрования не позволяет узнать ключ расшифровки).
Различают также обратимое и необратимое шифрование. Последнее может использоваться для вычисления криптографических контрольных сумм.
Электронная (цифровая) подпись.
Механизм электронной подписи включает в себя две процедуры:
1) выработку подписи;
2) проверку подписанной порции данных.
Процедура выработки подписи использует информацию, известную только лицу, подписывающему порцию данных. Процедура проверки подписи является общедоступной, она не должна позволять найти секретный ключ подписывающего.
Механизмы управления доступом.
При управлении доступом могут использоваться следующие виды и источники информации:
1. Базы данных управления доступом. В такой базе, поддерживаемой централизованно или на оконечных системах, могут храниться списки управления доступом или структуры аналогичного назначения.
2. Пароли или иная аутентификационная информация.
3. Токены, билеты или иные удостоверения, предъявление которых свидетельствует о наличии прав доступа.
4. Метки безопасности, ассоциированные с субъектами и объектами доступа.
5. Время запрашиваемого доступа.
6. Маршрут запрашиваемого доступа.
7. Длительность запрашиваемого доступа.
Механизмы контроля целостности данных.
Различают два аспекта целостности: целостность отдельного сообщения или поля информации и целостность потока сообщений или полей информации.
Процедура контроля целостности отдельного сообщения (поля) базируется на использовании контрольных сумм. Данный механизм не защищает от дублирования сообщений.
Для проверки целостности потока сообщений (то есть для защиты от хищения, переупорядочивания, дублирования и вставки сообщений) используются порядковые номера, временные штампы, криптографическое связывание (когда результат шифрования очередного сообщения зависит от предыдущего) или иные аналогичные приемы.
При общении в режиме без установления соединения использование временных штампов может обеспечить ограниченную форму защиты от дублирования сообщений.
Механизмы аутентификации.
Аутентификация может достигаться за счет использования паролей, личных карточек или иных устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрических характеристик.
Механизмы дополнения трафика.
Механизмы дополнения трафика эффективны только в сочетании со средствами обеспечения конфиденциальности, поскольку в противном случае злоумышленнику будет очевиден фиктивный характер дополнительных сообщений.
Механизмы управления маршрутизацией.
Маршруты могут выбираться статически или динамически. Оконечная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными.
Механизмы нотаризации.
Механизм нотаризации служит для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателя. Заверение обеспечивается надежной третьей стороной, которая обладает достаточной информацией, чтобы ее заверениям можно было доверять. Обычно нотаризация опирается на механизм электронной подписи.
Расширение и разъяснение положений рекомендации X.800 было получено в рекомендациях X.810-X.816, которые раскрыли и на более глубоком уровне описали услуги безопасности из X.800.
Собрав воедино опыт и замечания, полученные после выхода X.800, международный союз по электросвязи выпустил новую рекомендацию — X.805. Она основана на рекомендациях X.800 и X.810-X.816. В частности, базовые услуги обеспечения безопасности из Х.800 (контроль доступа, аутентификация, конфиденциальность данных, целостность данных и неотказуемость) согласуются с соответствующими аспектами защиты, предусмотренными в Х.805 (security dimension). Кроме того, в X.805 введены три новых услуги (аспекта) —безопасность связи, доступность и обеспечение неприкосновенности частной жизни.
ЗАКЛЮЧЕНИЕ
Цель курсового исследования достигнута путем реализации поставленных задач, т.е. изучена общая структура семиуровневой модели OSI, выявлены функциональные особенности каждого уровня и принципы их взаимодействия друг с другом, определены общие возможные угрозы, сформированы задачи по защите информации для каждого уровня модели и рассмотрены функции и механизмы безопасности в рамках стандарта Х.800.
В результате проведенного исследования по теме «Семиуровневая модель OSI» можно сделать ряд выводов:
- Сетевая модель OSI не зря считается эталонной моделью, т.к. решает такую важную проблему, как совместимость разных технологий оборудования.
- Подразделение сети на семь уровней обеспечивает следующие преимущества:
1) процесс сетевой коммуникации подразделяется на меньшие и более простые этапы, что облегчает его изучение;
2) подразделение процесса обмена данными на уровни позволяет осуществлять связь между различными типами аппаратного и программного обеспечения;
3) изменения на одном уровне не влияют на функционирование других уровней, что позволяет быстрее разрабатывать новые программные и аппаратные продукты;
- Четкое понимание деления на уровни дает полное представление об организации работы компьютерных сетей.
Таким образом, несмотря на то, что существуют другие модели сетевого взаимодействия, все технологии, все стандарты сети проецируются именно на модель OSI. Если хорошо понять семиуровневую модель OSI и научиться "узнавать" ее уровни в уже известных технологиях, то можно без труда двигаться в любом направлении изучения сетевой отрасли. Модель OSI – это тот фундамент, на который можно класть любое новое знание о сетях.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1.Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: ФОРУМ – ИНФА – М, 2007.
2. Прохоров А. Интернет: как это работает. - КомпьютерПресс №8,2002.
3. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей. – М.: ИД «Форум» - ИНФА-М, 2008.
4.https://dehack.ru/mezhdunarodnye_standarty_po_otsenke_bezopasnosti_informatsio/rekomendatsii_x_800_dlja_raspredelennyx_sistem/?all
Рекомендации Х.800 для распределенных систем
5. https://www.nestor.minsk.by/sr/2000/11/01104.html Модель ISO/OSI - это должен знать каждый.
6.https://www.samoychka.org/forum/viewthread.php?forum_id=39&thread_id=158 Что такое эталонная модель OSI?
7.https://ru.wikipedia.org/wiki/%D1%E5%F2%E5%E2%E0%FF_%EC%EE%E4%E5%EB%FC_OSI Сетевая модель OSI.
8. https://wiki.auditory.ru/Лекция_6._Модель_OSI
ПРИЛОЖЕНИЯ
Приложение 1. Передача данных с уровня на уровень
Приложение 2. Функции уровней модели OSI
Тип данных | Наименование уровня | Функции |
Данные | Прикладной | Предоставление услуг на уровне конечного пользователя |
Представительный | Интерпретация и сжатие данных | |
Сеансовый | Аутентификация и проверка полномочий | |
Блоки | Транспортный | Прямая связь между конечными пунктами |
Пакеты | Сетевой | Маршрутизация и ведение учета |
Кадры | Канальный | Передача и прием пакетов, определение аппаратных адресов |
Биты | физический | Работа со средой передачи, сигналами и двоичными данными |
Приложение 3. Рекомендации Х.800. Функции безопасности
Функции безопас-ности | Уровни модели OSI | ||||||
Физи- ческий | Канальный | Сете- вой | Транс- портный | Сеансовый | представительный | Приклад-ной | |
1.Аутентификация | + | + | + | ||||
2.Управление доступом | + | + | + | ||||
3.Конфиденциальность соединения | + | + | + | + | + | + | |
4.Конфиденциальность вне соединения | + | + | + | + | + | ||
5.Избирательная конфиденциальность | + | + | |||||
6.Конфиденциальность трафика | + | + | + | ||||
7.Целостность с восстановлением | + | + | |||||
8.Целостность без восстановления | + | + | + | ||||
9.Избирательная целостность | + | ||||||
10.Целостность вне соединения | + | + | + | ||||
11.Неотказуемость | + |
Приложение 4. Рекомендации Х.800. Механизмы безопасности
Функции безопасности | Механизмы | |||||||
Шифрование | Электрон ная подпись | Управление доступом | Контроль целостности данных | Аутентификация | Дополнение трафика | Управление маршрутизацией | Нотаризация | |
1.Аутентификация партнеров | + | + | + | |||||
2.Аутентификация источника | + | + | ||||||
3.Управление доступом | + | |||||||
4.Конфиденциальность | + | + | ||||||
5.Избирательная кон фиденциаьность | + | |||||||
6.Конфиденциальность трафика | + | + | + | |||||
7.Целостность соединения | + | + | ||||||
8.Целостность вне соединения | + | + | + | |||||
9.Неотказуемость | + | + | + |