Опишите службы безопасности информационно-вычислительных сетей

Службы безопасности ИВС на концептуальном уровне специфицируют направления нейтрализации перечисленных или каких-либо иных угроз. В свою очередь, указанные направления реализуются механизмами безопасности.

В соответствии с указанными протоколами принято делить сети на виртуальные и дейтаграммные. В первых - передача информации между абонентами организуется по так называемому виртуальному каналу и происходит в три этапа (фазы): создание (установление) виртуального канала, собственно передача и уничтожение виртуального канала (разъединение). При этом сообщения разбиваются на блоки (пакеты), которые передаются в порядке их следования в сообщении. В дейтаграммных сетях блоки сообщения в составе так называемых дейтаграмм передаются от отправителя к получателю независимо друг от друга, и в общем случае, по различным маршрутам, в связи с чем порядок доставки блоков может не соответствовать порядку их следования в сообщении. Как видно, виртуальная сеть в концептуальном плане наследует принцип организации телефонной связи, тогда как дейтаграммная - почтовой. Указанные два подхода к реализации информационного обмена ИВС определяют некоторые различия в составе и особенностях служб безопасности. В настоящее время документами МОС определены следующие службы безопасности:

аутентификация (подтверждение подлинности);

обеспечение целостности;

засекречивание данных;

контроль доступа;

защита от отказов.

Последние две службы едины (инвариантны) по отношению к дейтаграммным и виртуальным сетям, тогда как первые три характеризуются упоминавшимися выше различиями.

Служба аутентификации применительно к виртуальным сетям называется службой аутентификации одноуровневого объекта. На этапе установления соединения она обеспечивает подтверждение (опровержение) того, что объект, который предлагает себя в качестве отправителя информации по виртуальному каналу, является именно тем, за кого он себя выдает. На этапе передачи сообщений данная служба обеспечивает подтверждение (опровержение) того, что поступивший блок отправлен именно тем объектом, с которым установлено соединение.

Применительно к дейтаграммным сетям рассматриваемая служба называется службой аутентификации источника данных и обеспечивает подтверждение (опровержение) того, что поступившая дейтаграмма отправлена именно тем объектом, который указан в дейтаграмме в качестве ее отправителя.

Службы целостности можно классифицировать как по виду сетей, в которых они применяются (виртуальные, дейтаграммные) и действиям, выполняемым при обнаружении аномальных ситуаций (с восстановлением данных или без него); так и по степени охвата передаваемых данных (блоки в целом либо их элементы, называемые выборочными полями).

Служба целостности соединения с восстановлением используется в виртуальных сетях и обеспечивает выявление искажений, вставок, повторов и уничтожения данных, передаваемых по соединению, а также их последующее восстановление. Служба целостности соединения без восстановления обеспечивает выполнение всех перечисленных функций, кроме последней. Служба целостности выборочных полей соединения отличается от предыдущей тем, что обеспечивает выполнение указанных функций по отношению к отдельным элементам (фрагментам) передаваемых блоков. Служба целостности без соединения обеспечивает выявление искажений в дейтаграммах, а в ограниченном числе случаев - кроме того, вставок и повторов.

Служба целостности выборочных полей без соединения обеспечивает выявление искажений в отдельных элементах дейтаграмм. Наличие процедур восстановления в службах целостности дейтаграммных сетей документами МОС не предусматривается. Службы засекречивания данных, как и службы целостности, можно классифицировать по виду сетей, где они используются, и степени охвата передаваемых данных. Служба засекречивания соединения обеспечивает секретность всех данных, пересылаемых по виртуальному каналу образовавшими его объектами. Служба засекречивания без соединения обеспечивает секретность данных, содержащихся в каждой отдельной дейтаграмме.

Служба засекречивания выборочных полей выполняет функции двух предшествующих служб применительно к элементам дейтаграмм или блоков, пересылаемых по виртуальному соединению. Кроме того, документами МОС определена служба засекречивания потока данных (трафика), нейтрализующая возможность получения сведений об абонентах ИВС и характере использования сети посредством наблюдения за наличием (отсутствием) передачи данных по каналам ИВС, длиной передаваемых сообщений, отправителями и получателями последних, а также интенсивностью информационного обмена. Как уже отмечалось, службы контроля доступа и защиты от отказов идентичны для виртуальных и дейтаграммных сетей. Служба контроля доступа направлена на нейтрализацию попыток несанкционированного использования ресурсов ИВС. Контроль доступа в общем случае может быть избирательным, то есть распространяться только на некоторые виды доступа к ресурсу (например, на обновление информации в базе данных), либо полным, то есть относиться к ресурсу в целом независимо от характера его использования. Службы защиты от отказов направлены на нейтрализацию угрозы отказа от информации со стороны ее отправителя и /или получателя. Служба защиты от отказов с подтверждением источника обеспечивает получателя информации доказательствами (в виде данных), которые исключает попытки отправителя отрицать факт передачи указанной информации или ее содержание. Аналогично, служба защиты от отказов с подтверждением доставки обеспечивает отправителя информации доказательствами, исключающими попытки получателя отрицать факт ее получения или ее содержание.