Распределение функций безопасности по уровням модели osi/iso

Модель взаимодействия открытых систем (Open System Interconnection, OSI) определяет различные уров­ни взаимодействия систем в сетях с коммутацией паке­тов, дает им стандартные имена и указывает, какие функции должен выполнять каждый уровень.

Модель OSI была разработана на основании большо­го опыта, полученного при создании компьютерных се­тей, в основном глобальных, в 70-е годы.

В модели 0SI средства взаимодействия делятся на семь уровней: прикладной, представительный, сеансо­вый, транспортный, сетевой, канальный и физический. Каждый уровень имеет дело с определенным аспектом взаимодействия сетевых устройств.

Физический уровень имеет дело с передачей битов по физическим каналам связи, таким, как коаксиаль­ный кабель, витая пара, оптоволоконный кабель или цифровой территориальный канал. К этому уровню имеют отношение характеристики физических сред пе­редачи данных, такие как полоса пропускания, помехо­защищенность, волновое сопротивление и другие.

Одной из задач канального уровня является провер­ка доступности среды передачи. Другая задача каналь­ного уровня — реализация механизмов обнаружения и коррекции ошибок. Для этого на канальном уровне биты группируются в наборы, называемые кадрами (frames). Канальный уровень обеспечивает корректность переда­чи каждого кадра.

Сетевой уровень служит для образования единой транспортной системы, объединяющей несколько сетей, причем эти сети могут использовать различные прин­ципы передачи сообщений между конечными узлами и обладать произвольной структурой связей. Внутри од­ной сети доставка данных обеспечивается канальным уровнем, а вот доставкой данных между различными сетями занимается сетевой уровень, который и поддер­живает возможность правильного выбора маршрута передачи сообщения даже в том случае, когда структу­ра связей между составляющими сетями имеет харак­тер, отличный от принятого в протоколах канального уровня.

Сети соединяются между собой специальными уст­ройствами, называемыми маршрутизаторами. Маршру­тизатор — это устройство, которое собирает информа­цию о топологии межсетевых соединений и пересылает пакеты сетевого уровня в сеть назначения. Чтобы пере­дать сообщение от отправителя, находящегося в одной сети, получателю, находящемуся в другой сети, нужно совершить некоторое количество транзитных передач между сетями.

Транспортный уровень обеспечивает приложениям или верхним уровням стека — прикладному и сеансо­вому — передачу данных с той степенью надежности, которая им требуется. Модель OSI определяет пять клас­сов сервиса, предоставляемых транспортным уровнем.

Эти виды сервиса отличаются качеством предоставляе­мых услуг: срочностью, возможностью восстановления прерванной связи, наличием средств мультиплексиро­вания нескольких соединений между различными при­кладными протоколами через общий транспортный про­токол, а главное — способностью к обнаружению и ис­правлению ошибок передачи, таких как искажение, потеря и дублирование пакетов.

Сеансовый уровень обеспечивает управление диало­гом: фиксирует, какая из сторон является активной в настоящий момент, предоставляет средства синхрони­зации. Последние позволяют вставлять контрольные точки в длинные передачи, чтобы в случае отказа мож­но было вернуться назад к последней контрольной точ­ке, а не начинать все сначала. На практике немногие приложения используют сеансовый уровень, и он редко реализуется в виде отдельных протоколов, хотя функ­ции этого уровня часто объединяют с функциями при­кладного уровня и реализуют в одном протоколе.

Представительный уровень имеет дело с формой представления передаваемой по сети информации, не меняя при этом ее содержания. За счет уровня пред­ставления информация, передаваемая прикладным уров­нем одной системы, всегда понятна прикладному уров­ню другой системы. С помощью средств данного уровня протоколы прикладных уровней могут преодолеть син­таксические различия в представлении данных или же различия в кодах символов, например, в кодах ASCII и EBCDIC. На этом уровне может выполняться шифрова­ние и дешифрование данных, благодаря которому сек­ретность обмена данными обеспечивается сразу для всех прикладных служб. Примером такого протокола явля­ется протокол Secure Socket Layer (SSL), который обес­печивает секретный обмен сообщениями для протоко­лов прикладного уровня стека TCP/IP.

Прикладной уровень — это набор разнообразных протоколов, с помощью которых пользователи сети по­лучают доступ к разделяемым ресурсам, таким как фай­лы, принтеры или гипертекстовые Web-страницы, а также организуют совместную работу, например, с по­мощью протокола электронной почты. Единица данных, которой оперирует прикладной уровень, обычно назы­вается сообщением.

Функции всех уровней модели OSI могут быть отне­сены к одной из двух групп: либо к функциям, завися­щим от конкретной технической реализации сети, либо к функциям, ориентированным на работу с приложе­ниями.

Три нижних уровня — физический, канальный и сетевой — являются сетезависимыми, то есть протоко­лы этих уровней тесно связаны с технической реализа­цией сети и используемым коммуникационным обору­дованием.

Три верхних уровня — прикладной, представитель­ный и сеансовый — ориентированы на приложения и мало зависят от технических особенностей построения сети. На протоколы этих уровней не влияют какие бы то ни было изменения в топологии сети, замена обору­дования или переход на другую сетевую технологию.

Транспортный уровень является промежуточным, он скрывает все детали функционирования нижних уров­ней от верхних. Это позволяет разрабатывать приложе­ния, не зависящие от технических средств непосред­ственной транспортировки сообщений.

Столь подробное рассмотрение модели OSI/ISO свя­зано с тем, что при разработке стандартов и специфика­ции по сетевой безопасности специалисты ориентиру­ются на эту перспективную модель. Так, в «Общих кри­териях» приводится распределение функций безопасно­сти по уровням эталонной семиуровневой модели OSI, как показано в таблице 3.

Таблица 3

Распределение функций безопасности по уровням OSI/ISO

 

Функции безопасности	Уровень OSI
Аутентификация	-	-	+	+	-	-	+
Управление доступом	-	-	+	+	-	-	+
Конфиденциальность соединения	+	+	+	+	-	+	+
Конфиденциальность вне соединения	-	+	+	+	-	+	+
Избирательная конфиденциальность	-	-	-	-	-	+	+
Конфиденциальность трафика	+	-	+	-	-	-	+
Целостность с восстановлением	-	-	-	+	-	-	+
Целостность без восстановления	-	-	+	+	-	-	+
Избирательная целостность	-	-	-	-	-	-	+
'Целостность вне соединения	-	-	+	+	-	-	+
Неотказуемость	-	-	-	-	-	-	+

«+» данный уровень может предоставить функцию безопас­ности;

«—» данный уровень не подходит для предоставления функ­ции безопасности.