Среди технических спецификаций на первое место, безусловно, следует поставить документ Х.800 «Архитектура безопасности для взаимодействия открытых систем». Здесь выделены важнейшие сетевые сервисы безопасности:
• аутентификация;
• управление доступом;
• обеспечение конфиденциальности и/или целостности данных;
• невозможность отказаться от совершенных действий.
Для реализации сервисов предусмотрены следующие сетевые механизмы безопасности и их комбинации:
• шифрование;
• электронная цифровая подпись (ЭЦП);
• управление доступом;
• контроль целостности данных;
• аутентификация;
• дополнение трафика;
• управление маршрутизацией;
• нотаризация.
Выбраны уровни эталонной семиуровневой модели, на которых могут быть реализованы сервисы и механизмы безопасности. Наконец, детально рассмотрены вопросы администрирования средств безопасности для распределенных конфигураций.
Спецификация Internet-сообщества RFC 1510 «Сетевой сервис аутентификации Kerberos (V5)» относится к более частной, но весьма важной и актуальной проблеме - аутентификации в разнородной распределенной среде с поддержкой концепции единого входа в сеть. Сервер аутентификации Kerberos представляет собой доверенную третью сторону, владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности. О весомости данной спецификации свидетельствует тот факт, что клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.
|
|
Спецификация «Обобщенный прикладной программный интерфейс службы безопасности» (Generic Security Service Application Program Interface, GSS-API) описывает интерфейс безопасности, предназначенный для защиты коммуникаций между компонентами программных систем, построенных в архитектуре клиент/сервер. Он создает условия для взаимной аутентификации общающихся партнеров, контролирует целост-
ность пересылаемых сообщений и служит гарантией их конфиденциальности. Пользователями интерфейса безопасности GSS-API являются коммуникационные протоколы (обычно прикладного уровня) или другие программные системы, самостоятельно выполняющие пересылку данных.
Таблица 4
Российские стандарты, регулирующие ИБ
№ п/п | Стандарт | Наименование |
ГОСТ Р ИСО/МЭК 15408-1-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России | |
ГОСТ Р ИСО/МЭК 15408-2-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России | |
ГОСТ Р ИСО/МЭК 15408-3-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России | |
ГОСТ Р 50739-95 | Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России | |
ГОСТ Р 50922-96 | Защита информации. Основные термины и определения. Госстандарт России | |
ГОСТ Р 51188-98 | Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России | |
ГОСТ Р 51275-99 | Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России | |
ГОСТ Р ИСО 7498-1-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России | |
ГОСТ Р ИСО 7498-2-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России |
Технические спецификации IPsec [IPsecJ имеют, без преувеличения, фундаментальное значение, описывая полный набор средств обеспечения конфиденциальности и целостности на сетевом уровне. Для доминирующего в настоящее время протокола IP версии 4 они носят факультативный характер; в версии IPv6 их реализация обязательна. На основе IPsec строятся защитные механизмы протоколов более высокого уровня, вплоть до прикладного, а также законченные средства безопасности, в том числе виртуальные частные сети. Разумеется, IPsec существенным образом опирается на криптографические механизмы и ключевую инфраструктуру.
|
|
Точно так же характеризуются и средства безопасности транспортного уровня (Transport Layer Security, TLS). Спецификация TLS развивает и уточняет популярный протокол Secure Socket Layer (SSL), используемый в большом числе программных продуктов самого разного назначения.
Также важны рекомендации Х.500 «Служба каталогов: обзор концепций, моделей и сервисов» (The Directory: Overview of concepts, models and services) и Х.509 «Служба каталогов: каркасы сертификатов открытых ключей и атрибутов» (The Directory: Public-key and attribute certificate frameworks). В рекомендациях Х.509 описан формат сертификатов открытых ключей и атрибутов - базовых элементов инфраструктур открытых ключей и управления привилегиями.
Как известно, обеспечение информационной безопасности - проблема комплексная, требующая согласованного принятия мер на законодательном, административном, процедурном и программно-техническом уровнях. При разработке и реализации базового документа административного уровня - политики безопасности организации - отличным подспорьем может стать рекомендация Internet-сообщества «Руководство по информационной безопасности предприятия» (Site Security Handbook). В нем освещаются практические аспекты формирования политики и процедур безопасности, поясняются основные понятия административного и процедурного уровней, содержится мотивировка рекомендуемых действий, затрагиваются темы анализа рисков, реакции на нарушения ИБ и действий после ликвидации нарушения. Более подробно последние вопросы рассмотрены в рекомендации «Как реагировать на нарушения информационной безопасности» (Expectations for Computer Security Incident Response). В этом документе можно найти и ссылки на полезные информационные ресурсы, и практические советы процедурного уровня.
При развитии и реорганизации корпоративных информационных систем, несомненно, окажется полезной рекомендация «Как выбирать поставщика Internet-услуг» (Site Security Handbook Addendum for ISPs). В первую очередь ее положений необходимо придерживаться в ходе формирования организационной и архитектурной безопасности, на которой базируются прочие меры процедурного и программно-технического уровней.
|
|