Обзор рекомендаций ISO 7498-2

Стандарт ISO 7498-2 посвящен архитектурным вопросам построения открытых информационных сетей на основе модели взаимодействия открытых систем (ВОС). В его состав включены обзор вопросов безопасности, определение услуг и механизмов обеспечения безопасности, а также анализ существующих опасностей (угроз) нарушения работы информационных сетей. Стандарт также приводит рекомендации по контролю или оценке предлагаемых средств обеспечения безопасности для открытых сетей на основе модели ВОС[3] (ISO 7498-1). В частности, предлагается соответствие между используемых механизмов обеспечения безопасности и конкретных услуг безопасности, а также рекомендации, какие услуги безопасности могут быть реализованы конкретными протоколами на каждом из семи уровней модели ВОС.

Архитектурная концепция безопасности ISO включает пять основных компонентов:

· определение услуг безопасности;

· определение механизмов безопасности;

· уровневая модель построения услуг безопасности;

· соотнесение услуг безопасности к уровневой модели;

· соотнесение механизмов безопасности к услугам.

Услуги безопасности представляют собой абстрактные понятия, которые могут быть использованы для характеристики требований безопасности. Услуги отличаются от механизмов безопасности, которые являются конкретными мерами для реализации этих услуг. Важнейшим архитектурным элементом стандарта является определение, какие услуги безопасности должны обеспечиваться на каждом уровне эталонной модели. Основой для такого определения являются следующие принципы построения уровневой модели безопасности.

1. Число альтернативных способов обеспечения безопасности должно быть минимизировано. Стандарт не устанавливает строгие рекомендации следовать этому принципу, однако данная рекомендация направлена на минимизацию стоимости разработки как самих безопасных услуг и протоколов, так и приложений на основе их.
2. Услуги безопасности могут работать более чем на одном уровне при построении безопасной системы, то есть услуги могут появляться на многих уровнях в уровневой модели безопасности. Этот принцип является противоположным первому принципу и в реальной системе должен достигаться обоснованный баланс или компромисс.
3. Функции безопасности по возможности не должны дублировать существующие аналогичные коммуникационные функции, то есть использовать эти функции, где это возможно без нарушения безопасности системы.
4. Рекомендуется не нарушать независимость уровней. Опасность, возникающая в случае несоблюдения этого принципа, состоит в том, что, если разработчик протокола будет предполагать наличие определенного протокола (сервиса) безопасности на соседнем уровне, но потом это предположение окажется ошибочным, то это приведет к нарушению архитектурной (уровневой) целостности системы безопасности. Это не запрещает использовать для обеспечения безопасности механизмы более низкого уровня, однако это должно производиться в рамках хорошо специфицированных межуровневых интерфейсов. Такая проблема особенно явно проявляется в маршрутизаторах и мостах, которые могут анализировать информацию о протоколах более высокого уровня для лучшего контроля трафика и доступа. Эти функции могут быть серьезно нарушены, если используется криптография или изменяются протоколы высшего уровня.
5. Количество неконтролируемых (доверительных, trusted) функций должно быть минимизировано. Следуя этому принципу, необходимо выделять компоненты, которые собственно определяют безопасность системы, т.е. на которых основана безопасность системы. Этот принцип инициирует обеспечение безопасных услуг между конечными точками быстрее, чем с использованием доверительных промежуточных компонентов. Это стимулирует использование средств безопасности на более высоких уровнях. Однако принципы 1 и 3 возражают против исключения безопасных услуг на промежуточных уровнях. Следствием этого является появление элементов обеспечения безопасности для различных приложений на межсетевом и транспортном уровнях, что в дальнейшем приводит к естественной интеграции протоколов обеспечения безопасности в саму операционную систему и порождает свой собственный набор проблем.
6. Если какой-либо защитный механизм одного уровня базируется на использовании услуг более низкого уровня, то не должно существовать никаких промежуточных уровней, запрещающих или не гарантирующих такую связь. Этот принцип апеллирует к принципу 4, так как невозможность установить независимость уровней может легко нарушить межуровневую безопасность. Эта рекомендация определенным образом соотносится с некоторыми другими. Так, минимизация доверительной функциональности (Принцип 5) рекомендует перемещение безопасных услуг на более высокие уровни, но использование механизмов безопасности на одном уровне для обеспечения безопасных услуг на более высоких уровнях позволяет избежать дублирования (Принципы 1 и 3).
7. Безопасные услуги, реализуемые на каждом уровне, должны быть определены таким образом, чтобы допускать модульное дополнение к базовым коммуникационным услугам. Этот принцип ориентирован на очень практичный подход, так как не все реализации уровневых протоколов и сервисов требуют и/или предлагают все безопасные услуги. Таким образом, модульность должна способствовать облегчению разработки конечных приложений. Этот принцип имеет особое значение для Интернет, где уже имеется огромная база установленного оборудования и существующих услуг, в которые необходимо внедрять средства обеспечения безопасности.

Стандарт ISO 7498-2 определяет пять базовых услуг для обеспечения безопасности компьютерных систем и сетей: конфиденциальность (Confidentiality), аутентификация (Authentication), целостность (Integrity), контроль доступа (Access Control), причастность (буквально " неотпирательство", Nonrepudiation). Для всех этих услуг определены также варианты, как например, для коммуникаций с установлением соединения и без установления соединения, или обеспечения безопасности на уровнях коммуникации, пакетов или отдельных полей. Этот набор услуг не является единственно возможным, однако он является общепринятым. Далее описаны услуги и варианты их реализации, а также их соотношение между собой и в контексте модели ВОС.

Конфиденциальность

В стандарте ISO 7498-2 конфиденциальность определена как «свойство, которое гарантирует, что информация не может быть доступна или раскрыта для неавторизованных (неуполномоченных) личностей, объектов или процессов». Вопросам обеспечения конфиденциальности уделяется наибольшее внимание в системах, где раскрытие информации возможно во многих точках по пути передачи.

Для этой услуги определяется четыре версии: для систем с установлением связи; для систем без установления связи; защита отдельных информационных полей; защита от контроля трафика. Первые две версии относятся к соответствующим протоколам с установлением или без установления связи. Конфиденциальность с установлением связи может быть обеспечена на любом уровне, кроме сеансового или представительного. Это согласуется с моделью ВОС, где коммуникационные услуги предлагаются на всех уровнях. Конфиденциальность без установления связи может реализовываться на всех уровнях, кроме физического, сеансового и представительного, причем физический уровень исключен потому, что он по своей природе требует установления связи.

Третья версия конфиденциальных услуг, предназначенных для защиты отдельных информационных полей, используется для обоих типов сетей (с установлением связи и без) и требует, чтобы только отдельные поля в пакетах были защищены. Эта услуга предлагается только для прикладного уровня, где необходимое поле может иметь другой способ кодирования, чем обеспечивает стандартный протокол.

Защита от контроля трафика должна предотвращать возможность анализа и контроля трафика. Это достигается за счет кодирования информации об источнике-назначении, количестве передаваемых данных и частоты передачи. Эти внешние характеристики могут быть доступны для злоумышленника, даже если пользовательские данные будут защищены. Например, легко различить трафик Telnet и FTP в зависимости от размера пакетов, даже если информация о порте сервиса и данных выше уровня IP будут защищены. Наиболее легко данная услуга реализуется на физическом уровне, но отдельные компоненты данной услуги могут предлагаться и на Сетевом и Прикладном уровнях. В этом плане естественную большую защищенность имеет широко внедряющаяся сейчас технология ATM (Asynchronous Transfer Mode), которая обеспечивает фиксированный размер пакетов и стандартную инкапсуляцию пакетов протоколов различного уровня.

Аутентификация

В стандарте ISO 7498-2 определяется два типа услуг аутентификации: достоверность происхождения (источника) данных и достоверность собственно источника соединения или объекта коммуникации (peer-entity).

Достоверность источника данных предполагает подтверждение того, что «источник полученных данных именно тот, который указан или объявлен». Эта услуга существенна для коммуникации без установления связи, при которой каждый пакет является независимым от других, и единственное, что может быть гарантировано с точки зрения аутентификации – это то, что источник пакета именно тот, который указан в заголовке пакета. Эта услуга очень близка к обеспечению целостности данных (смотрите ниже) в сетях без установления связи, когда установление подлинности источника не очень существенно, если нарушена целостность данных.

В системах с установлением связи, аутентификация объекта коммуникаций является необходимой функцией, определенной как «подтверждение того, что объект коммуникации при соединении именно тот который объявлен». Эта форма аутентификации подразумевает установление своевременности или фактора времени за счет включению идентификации объекта коммуникации для конкретного случая соединения, которые недостижимы при помощи простой проверки происхождения данных. Таким образом, атака, использующая воспроизведение данных, связанных с другим сеансом связи, даже между теми же объектами коммуникации, может быть нарушена/предотвращена, благодаря использованию этой услуги.

Обе формы аутентификации определены для сетевого, транспортного и прикладного уровней, на которых реализуются протоколы с установлением связи и без установления связи. Существует расхождение между стандартами IEEE и ISO в вопросах применения аутентификации на уровне данных. Комитет IEEE 802.10 Secure Interoperable LAN Standards (SLIS) по стандартизации вопросов безопасности для локальных вычислительных сетей (ЛВС) определил Безопасный протокол Обмена Данными (БОД, SDE- Secure Data Exchange), который работает между подуровнем управления логическим звеном (УЛЗ, LLC - Logical Link Control) и подуровнем Управления Доступом к Среде (УДС, MAC - Media Access Control) и обеспечивает услугу контроля происхождения данных.

Благодаря тому, что SDE может быть использован с различными протоколами более высокого уровня – OSI, TCP/IP, а также нестандартными, – многие специалисты считают целесообразным применение этой услуги на уровне МАС, так как этот уровень является одинаковым для протоколов IEEE/ISO (802.3, 802.5, 802.6). Это один из случаев, когда стандарты ISO входят в противоречие с существующим опытом и целесообразностью.

Целостность

Согласно стандарту ISO 7498-2 целостность имеет две базовые реализации: для сетей с установлением связи и без установления связи, каждая из которых может применяться для избранных групп информационных полей. Однако услуги защиты целостности в сетях с установлением связи могут дополнительно включать функции восстановления данных в случае, если нарушена их целостность. Таким образом, обеспечение целостности данных в сетях с установлением связи предполагает обнаружение «любой модификации, включения, удаления, или повторной передачи данных в последовательности (пакетов)». Использование услуг обеспечения целостности данных в сетях с установлением связи совместно с идентификацией объекта коммуникаций (peer-entity) позволяет достичь высокой степени защищенности. Эта услуга используется на следующих уровнях: сетевом, транспортном и прикладном, при этом средства восстановления данных возможны только на двух верхних уровнях.

Целостность в сетях без установления связи ориентирована на определение модификаций каждого пакета, без анализа большего объема информации, например, сеанса или цикла передачи. Таким образом, эта услуга не предотвращает умышленное удаление, включение или повторную передачу пакетов и является естественным дополнением аутентификации источника данных. Эта услуга также доступна на уровнях сетевом, транспортном и прикладном. Здесь также возможно применение протокола IEEE802.10 SDE для обеспечения целостности на уровне данных при коммуникации без установления связи.

Контроль доступа

В стандарте ISO 7498-2 контроль доступа определен как «предотвращение неавторизованного использования ресурсов, включая предотвращение использования ресурсов недопустимым способом». То есть данная услуга не только обеспечивает доступ только авторизованных пользователей (и процессов), но и гарантирует только указанные права доступа для авторизованных пользователей. Таким образом, эта услуга предотвращает неавторизованный доступ как «внутренних», так и «внешних» пользователей.

Контроль доступа часто путается с аутентификацией и конфиденциальностью, но на самом деле эта услуга предоставляет более широкие возможности. Услуга контроля доступа используется для установления политики контроля/ограничения доступа. Политика контроля доступа (или авторизации) согласно ISO7498-2 устанавливается в двух измерениях: критерии для принятия решения о доступе и средства, при помощи которых регулируется контроль. Два типа политики доступа в зависимости от используемых критериев принятия решения могут быть основаны на идентичности явлений и объектов (identity-based) или на правилах (последовательности) доступа (rule-based). Первый тип политики контроля доступа основан на использовании услуги аутентификации для проверки идентичности субъекта доступа (пользователя, процесса, промежуточной или конечной системы, или сети) прежде, чем предоставить им доступ к ресурсам. Форма идентичности зависит от различия и типа аутентификации для различных уровней, на которых эта услуга обеспечивается. Так, например, пользователь и процесс является объектом контроля доступа на прикладном уровне, но не на сетевом уровне.

Политика, использующая регламентированные правила доступа, предполагает принятие решения о доступе на основе последовательности правил, которые соотносят аутентификацию с точностью. Например, правила могут быть выражены в терминах времени и даты доступа или «благонадежности», которую имеет данный пользователь.

Два типа политики управления доступом определены в ISO7498-2: определяемые пользователем и определяемые администратором. Большинство операционных систем реализуют первый вариант, но второй вариант часто реализуется в сетях общего пользования, как например, X.25, UUCP и другие.

Услуга контроля доступа может использоваться на следующих уровнях: сетевом, транспортном и прикладном, а также использовать протокол IEEE802.10 SDE на MAC-уровне для обеспечения контроля доступа в динамически устанавливаемых цепях, как в случае коммутируемых линий или соединений.

Причастность

Данная услуга относится только к прикладному уровню и, обычно, широко не обсуждается. В стандарте ISO 7498-2 причастность определяется, как «предотвращение возможности отказа одним из реальных участников коммуникаций от факта его полного или частичного участия в передаче данных». Две формы причастности определены: причастность к посылке сообщения и подтверждение (доказательство) получения сообщения.

Первая форма данной услуги предоставляет получателю доказательства, что сообщение было послано источником и его целостность не нарушена, на случай отказа отправителя от этого факта. Вторая форма причастности предоставляет источнику доказательства того, что данные были получены получателем, в случае попыток последнего отказаться от этого факта. Обе формы являются более мощными по сравнению с аутентификацией происхождения данных. Отличием здесь является то, что получатель или отправитель данных может доказать третьей стороне факт посылки (получения) данных и невмешательства посторонних. Основными объектами реализации данных сервисов являются протоколы обмена данными, как например, Electronic Data Interchange.

Доступность

Доступность может быть определена как дополнительная услуга обеспечения защищенности сетей. Доступность, как одна из услуг обеспечения безопасности, может быть предметом атаки с целью сделать ресурсы или сервисы компьютерной системы недоступными (или сделать их «качество» неудовлетворительным) для пользователя.

Доступность может быть характеристикой качества данного ресурса или услуги, или, частично, определяться услугой контроля доступа. Однако характер атак с целью ограничения доступа пользователя и средства борьбы с ними не относятся к собственно услугам и ресурсам или не обеспечиваются услугами контроля доступа. Поэтому целесообразно выделение отдельно услуги обеспечения доступности, который должен реализовываться специальными механизмами на сетевом уровне (как например, возможность использования альтернативного пути при атаке на доступную полосу основного канала) или прикладном уровне.

Стандарт ISO7498-2 содержит краткое описание механизмов обеспечения безопасности и таблицу возможного соотнесения их к уровням модели ВОС и услугам. При этом не рассматриваются вопросы обеспечения безопасности сетей на физическом уровне, включая средства контроля электромагнитного излучения систем обработки информации, что является важной задачей обеспечения безопасности информации в национальном понимании.

Выделяются специальные механизмы обеспечения безопасности, которые используются для обеспечения специфических услуг и отличаются для различных услуг, и общие, не относящиеся к конкретным услугам. Ниже дано краткое описание специальных механизмов безопасности.

Шифрование

Шифрование (Encipherment, в отличие от традиционного Encryption) предполагает использование криптографии для преобразование данных, чтобы сделать их нечитаемыми или неосмысленными. Шифрование (кодирование) обычно применяется совместно с комплементарной функцией – дешифрованием (декодированием). Используется шифрование с симметричными («закрытыми») ключами (secret key) или несимметричными («открытыми») ключами (public key).

Шифрование обычно используется для обеспечения конфиденциальности, но может также поддерживать другие услуги безопасности. Такая возможность существует потому, что любое изменение закодированного текста (шифрограммы) приводит к непредсказуемым изменениям исходного текста. При использовании шифрования можно также реализовать механизмы обеспечения целостности и аутентификации для того же уровня или для более высоких уровней. Задача генерации, хранения и распространения криптографических ключей является отдельной задачей управления безопасностью систем.

Заполнение трафика

Заполнение трафика применяется для обеспечения конфиденциальности трафика (потока) информации для уровней, выше физического (в частности, на сетевом и прикладном уровнях). Заполнение трафика может включать генерацию случайного трафика, заполнение дополнительной информацией информативных пакетов, передача пакетов через промежуточные станции или в «ненужном» направлении. Оба типа пакетов, как информативный, так и случайный, могут дополняться до постоянной или случайной длины.

Управление маршрутизацией.

Управление маршрутизацией применяется для обеспечения конфиденциальности на сетевом и прикладном уровнях с целью предотвращения контроля пути следования данных от отправителя (источника) до оолучателя (приемника). Выбор пути может производиться конечной системой (source routing – маршрутизация, определяемая источником) или выполняться промежуточной системой, основываясь на использовании меток безопасности, вводимых в пакет конечной системой. Этот механизм требует специальной надежности (доверительности) промежуточных систем и может иметь существенные вариации при использовании различных промежуточных систем. Этот механизм может также использоваться для обеспечения целостности с функциями восстановления для выбора альтернативных путей в случаях возникновения атак, приводящих к прерыванию коммуникаций.

Цифровая подпись

Использование цифровой подписи является достаточно распространенным механизмом обеспечения безопасности. Цифровая подпись обычно использует открытые ключи, генерируется отправителем данных и проверяется получателем. Несимметричная криптография может использоваться для шифрования контрольной суммы подписываемого сообщения при помощи «закрытой» части ключа отправителя и в последующем дешифроваться получателем при помощи «открытой» части ключа отправителя.

Использование открытых ключей для цифровой подписи служит для подтверждения происхождения сообщения, но не контролирует получателя сообщения. Этот механизм используется для обеспечения услуг аутентификации и целостности, для которых субъект верификации подписанных данных заранее неизвестен. При определенном выборе контролируемого параметра цифровая подпись также может применяться для обеспечения услуги причастности.

Механизмы обеспечения контроля доступа

Механизмы обеспечения контроля доступа используются для обеспечения услуг контроля доступа. Большинство этих механизмов пришло из практики безопасности компьютерных систем и часто относятся к вопросам обеспечения политики контроля доступа. Например, для поддержки политики доступа на основе идентификации объекта доступа используется специальная база данных, которая определяет права доступа к ресурсам для отдельных объектов доступа. Другим вариантом данного механизма может быть использование специального маркера «полномочий» для определения текущих прав доступа к имеющимся ресурсам.

Многие механизмы контроля доступа используют механизмы аутентификации для идентификации объекта доступа, или используют «метки безопасности» в случае применения политики доступа на основе правил. Политика доступа на основе правил может использовать также другие данные – время и дату, последовательность (путь) доступа и другие.

Механизмы обеспечения целостности данных

Целостность отдельного пакета может быть обеспечена добавление к нему контрольной величины, которая является функцией содержащихся в пакете данных. Контрольная величина может вычисляться с использованием шифрования или без него. Если контрольная величина вычисляется на уровне, где применяется шифрование, или выше, механизмы этого типа могут быть также использованы как для подтверждения целостности данных в системах без установления связи, так и для аутентификации источника данных. Обычно для этих целей используются симметричные ключи (известные только для отправителя и получателя информации). Применение несимметричных ключей требует большего времени расчетов и поэтому считается неэффективным.

Для обеспечения целостности последовательности пакетов в протоколах с установлением связи одновременно с контрольными величинами отдельных пакетов используются обычные средства протоколов с установлением связи – нумерация пакетов, повторная передача, удаление пакетов, а также дополнительные средства – временные или синхронизирующие метки, обычно используемые для таких применений, как цифровые видео или аудио приложения.

Механизмы аутентификации

Как было сказано выше аутентификация источника (происхождения) данных часто обеспечивается использованием механизма целостности совместно с шифрованием. Для широковещательных применений такие же функции может обеспечить цифровая подпись. Логическая аутентификация пользователя компьютерной системы выполняется на основе пароля.

Аутентификация объекта коммуникации обычно выполняется посредством двойного или тройного подтверждения связи («рукопожатия»), аналогичного механизмам синхронизации нумерации последовательности пакетов в протоколах с установлением связи. Односторонний (однократный) обмен обеспечивает только однократный аутентификацию и не может гарантировать своевременность обмена. Двухсторонний (двукратный) обмен обеспечивает взаимную аутентификацию источника и приемника, но не обеспечивает своевременность обмена без специальных средств синхронизации. Троекратный обмен позволяет достичь полной взаимной аутентификации систем без дополнительной синхронизации. В этом случае аутентификация также использует специальные механизмы управления криптографическими ключами. Вариант одно-, двух- или трехстороннего обмена для аутентификации источника и приемника реализован в стандарте распределенной службы директорий Х.500 (в частности, Х.509). При одно- и двукратном обмене аутентификационными сообщениями обычно используются временные метки, но для распределенных приложений синхронизация системных времен является проблемой.

Нотаризация (заверение)

Механизмы нотаризации (заверения) используют третью сторону, пользующуюся доверием двух общающихся субъектов, для обеспечения подтверждения характеристик передаваемых данных. Наиболее часто механизм нотаризации применяется для обеспечения услуги причастности. В частности, нотаризация может применяться совместно с цифровой подписью на основе открытого ключа для подтверждения причастности отправителя данных. Использование нотаризации позволяет включить параметр времени для обеспечения достоверности механизма.

Нотаризация может также применяться для обеспечения надежной временной метки, обеспечиваемой «временным нотариусом». Такая метка может содержать цифровую подпись «нотариуса», идентификатор (кодированный) сообщения, имя отправителя и получателя, а также зарегистрованные время и дату получения сообщения. При этом «нотариус» не имеет доступа к самому сообщению, соблюдая его конфиденциальность.

Соотношение между рассмотренными механизмами безопасности и реализуемыми услугами безопасности представлено в табл. 1, где символ «+» обозначает обеспечение соответствующим механизмом соответствующей услуги безопасности.

Табл. 1. Связь между услугами безопасности и используемыми механизмами

В стандарте ISO 7498-2 определены следующие общие механизмы обеспечения безопасности: доверительная функциональность, метки безопасности, «аудиторская» проверка. Другие общие механизмы обеспечения безопасности, как например, управление криптографическими ключами относятся к более высоким уровням интеграции систем и их менеджмента.

Доверительная функциональность

Доверительная функциональность является явным общим механизмом обеспечения безопасности. Доверительная функциональность включает множество рекомендаций и способов, которые должны быть реализованы для обеспечения гарантии (уверенности) правильной работы других механизмов безопасности. Для обеспечения надежной (доверительной) работы программного обеспечения, реализующего механизмы безопасности, необходимо соблюдать строгие спецификации и специальную технологию разработки, использование безопасных каналов распространения и многое другое. Аппаратные средства должны разрабатываться и проверяться на основе единой методики. На этом уровне также обеспечиваются все необходимые требования и рекомендация к электромагнитным излучениям и возможностям физического вмешательства.

Метки безопасности

Метки безопасности могут быть ассоциированы с отдельными пакетами или последовательностями явно или косвенно. Метки безопасности обычно используются для реализации политики доступа на основе правил, а также могут использоваться для управления маршрутизацией в сервисах обеспечения конфиденциальности. Возможно также применение меток для контроля целостности. Если метки безопасности применяются явно, то пакеты с такими метками должны быть защищены от нарушения целостности.

Контроль безопасности

Контроль безопасности включает множество механизмов: обнаружение попыток нарушения безопасности, анализ случаев успешного вмешательства и возникших потерь. Но при этом необходимо решение вопросов, какую информацию в системе следует накапливать и как ее потом анализировать. Проблемой при этом является определение того минимума информации, который бы позволил выявить (не пропустить) возможные события по вмешательству в работу компьютерной системы.

Применимость различных услуг безопасности для различных уровней модели ВОС, определенная в стандарте ISO 7498-2, представлена в табл. 2. Ячейки, обозначающие применимость данного типа услуги на определенном уровне модели ВОС, содержат символ «+».

Табл. 2. Применимость сервисов безопасности на различных уровнях модели ВОС

Анализ применимости описанных услуг на различных уровнях модели ВОС приводит к следующим основным выводам по каждому из 7 уровней.

Физический уровень

Услуги безопасности, предлагаемые на физическом уровне, обычно обеспечивают защиту каналов «точка-точка», например, между двумя конечными системами или между конечной и промежуточной системами. Действие этой услуги заканчивается в точке окончания канала перед устройством приема или коммутации пакетов.

Однако средства и устройства, обеспечивающие безопасность на этом уровне, обычно привязаны к конкретной технологии передачи сигналов и интегрированы с физическим интерфейсом, что приводит к необходимости использовать идентичные устройства на обоих концах физического и/или виртуального соединения. Применение средств защиты Физического уровня ограничивается услугами Конфиденциальности для коммуникаций с установлением связи и для защиты от контроля трафика. Другим ограничением использования средств защиты на Физическом уровне является сложность управления ими.

Бит-ориентированный интерфейс физического уровня не позволяет реализовать услуги целостности и аутентификации из-за невозможности выполнять преобразование данных. Однако использование подходящей техники шифрования на этом уровне может создать хорошую базу для использования услуг на более высоких уровнях.

Канальный уровень (уровень данных)

Услуги безопасности канального уровня реализуются для соединений «точка-точка» аналогично физическому уровню. Действие этой услуги заканчивается в точке приема (конечная система) или коммутации пакетов (включая транслирующие и инкапсулирующие мосты) в пределах использования единого интерфейса управления доступом к среде (УДС, МАС-интерфейса). Преимуществом применения услуг безопасности на этом уровне является их независимость от протоколов более высокого уровня. Однако здесь также существует сильная зависимость практической реализации услуги от используемой технологии физического уровня.

Согласно рекомендациям стандарта ISO 7498-2, услуги, предлагаемые на этом уровне, включают конфиденциальность для систем с установлением и без установления связи. Возможность использования этого уровня для обеспечения услуг целостности ограничивается недостаточным размером контрольных полей LLC- пакетов.

Сетевой уровень

Безопасность на сетевом уровне обеспечивается между конечными системами, независимо от промежуточных межсетевых коммутаторов и мостов канального уровня. Если услуги безопасности основываются полностью на протоколах сетевого уровня, это обеспечивает безопасность коммуникаций между конечными системами вдоль разнородных сетей, формирующих интерсеть (Internet). Стандарт ISO 7498-2 рекомендует применение нескольких услуг безопасности на сетевом уровне: конфиденциальность (для систем с установлением и без установления связи, для защиты от контроля трафика), контроль доступа, целостность в системах с установлением связи и без установления, а также аутентификации источника данных и объекта коммуникации.

Согласно рекомендациям ISO 7498-2 услуги безопасности должны быть совместимы с соответствующими коммуникационными услугами на каждом уровне и, по возможности, их использовать, что часто приводит к зависимости реализуемых услуг безопасности от протоколов сетевого уровня или делает невозможным их применение. Такая ситуация, в частности, наблюдается в сетях Х.25, которые имеют свой собственный протокол нумерации последовательностей с установлением связи, но не имеют средств обеспечения целостности отдельных пакетов, что делает невозможным применение стандартных услуг безопасности. В этом случае возможно применение соответствующих услуг на более высоких уровнях, но приводит к зависимости услуг безопасности от соответствующей технологии Сетевого уровня.

Услуги безопасности, полностью использующие протоколы сетевого уровня, т.е. реализуемые «поверх» сетевого уровня, могут обеспечивать защищенность коммуникаций в многопротокольных интерсетях. При этом услуги безопасности могут быть реализованы в межсетевых (или «промежуточных» – intermediate) системах или устройствах. Это дает ряд преимуществ, связанных с тем, что межсетевые устройства часто служат шлюзами или портами между различными локальными или локальными и глобальными сетями. Обеспечение услуг безопасности и защищенности в таких пограничных устройствах эффективно с точки зрения минимальной модернизации существующих систем. Дополнительные средства безопасности могут быть обеспечены между межсетевыми устройствами и конечными системами, используя те же протоколы и услуги.

Независимая реализация услуг безопасности на сетевом уровне позволяет применять эти услуги только в отношении таких объектов, как сети, что является достаточно «грубым» подходом. Для отдельных групп сетевых протоколов существуют возможности обеспечить избирательность таких услуг, основываясь на адресации конкретных конечных систем или при использовании дополнительных средств для адресации протоколов более высокого уровня в протоколах сетевого уровня, как это сделано в протоколах TCP/IP с адресацией вышестоящих протоколов и портов в пакетах сетевого и транспортного уровня. Однако это нарушает принцип уровневости и, в общем случае, неприменимо.

Дополнительная возможность для обеспечения избирательности услуг безопасности на сетевом уровне может быть реализована через параметр «качества услуги» безопасности, определяемый конечной системой и обрабатываемый промежуточными системами. В частности, разрабатываемый стандарт безопасного протокола Сетевого уровня (NLSP – Network Layer Security Protocol) предполагает такую возможность.

Включение услуг безопасности сетевого уровня в состав функций конечной системы, как правило, требует модификации ядра операционной системы, так как большинство сетевых операционных систем включают функции сетевого уровня в ядро в целях достижения большей производительности и безопасности системы. Отсюда следует, что включение услуг безопасности сетевого уровня является задачей поставщиков программных и аппаратных средств конечных и промежуточных систем.

Транспортный уровень.

На транспортном уровне стандарт ISO 7498-2 определяет набор услуг безопасности, очень близкий по составу с сетевым уровнем: конфиденциальность (для систем с установлением и без установления связи), контроль доступа, целостность в системах с установлением связи и без, а также аутентификации источника данных и объекта коммуникации. Отличием является то, что услуги безопасности транспортного уровня обеспечиваются только в конечных системах, в отличие от возможности реализации услуг на базе сетевого уровня в промежуточных системах.

Услуги безопасности транспортного уровня с установлением связи, в общем случае, обеспечивают более высокую защищенность коммуникаций по сравнению с реализацией таких же услуг на более высоких уровнях с использованием протоколов и услуг более низкого уровня. Но при правильном использовании коммуникационных возможностей транспортного уровня такие отличия могут быть несущественными.

Так же как и для сетевого уровня, многие механизмы безопасности транспортного уровня интегрированы в состав сетевых операционных систем и определяется их разработчиками.

Сеансовый и представительский уровень

Стандарт ISO 7498-2 не рекомендует применение услуг безопасности на сеансовом и представительском уровнях. Это вызвано тем, что эти уровни не имеют хорошо определенных коммуникационных услуг и функций. Кажущаяся уместность применения многих услуг на основе шифрования на уровне представления данных нецелесообразна из-за того, что функции этого уровня обычно интегрированы в состав прикладного уровня.

Прикладной уровень

Стандарт ISO 7498-2 разрешает применение всех услуг безопасности на прикладном уровне, а применение услуги причастности рекомендуется только на этом уровне. Однако использование услуг безопасности только на прикладном уровне не позволяет полностью защитить системы коммуникаций от всех возможных атак, поэтому рекомендуется обеспечивать поддержку конкретных услуг также на более низких уровнях совместно с прикладным.

При этом очевидно, что приложения типа обмена сообщениями или службы директорий могут быть реализованы только на прикладном уровне. В частности, обмен сообщениями требует использования услуг безопасности на этом уровне по следующими причинам:

· некоторые услуги обеспечения защиты сообщений разработаны только для прикладного уровня, как например, контроль причастности;

· сообщения обычно могут быть адресованы нескольким адресатам, при этом анализ адресов выполняется только на уровне сообщения (Агентом Передачи Сообщения, MTA – Message Transfer Agent).

Услуги безопасности более низких уровней обеспечиваются в реальном времени при обработке потоков данных «точка-точка» (или между MTA, согласно рекомендациям Х.400), в то время как обработка сообщений на уровне «отправитель–получатель» требует полной функциональности сервисов Х.400.

Полная защищенность услуг директорий согласно Х.500 также не может быть обеспечена только использованием услуг более низких уровней. Например, принятие решения о доступе пользователя к серверу директорий или дальнейшая передача запроса должна выполняться только самим сервером.

Наиболее привлекательной чертой применения услуг безопасности на Прикладном уровне является их независимость от операционной системы и возможность реализовать эти услуги в составе приложений, но при этом используемые механизмы становятся специфическими для конкретного приложения.