Модель архитектуры безопасности современных...

Модель архитектуры безопасности современных

телекоммуникационных систем

20.04.23 1Новиков С.Н. Кафедра

"БиУТ" ГОУ ВПО "СибГУТИ"

20.04.23 Новиков С.Н. 2

ЕАСС У-ЦСИО Ш-ЦСИО МСС

60-е г. 80-е г. 90-е г.

ЦСИО

Настоящее время

NGN

Тенденции развития систем телекоммуникаций

20.04.23 Новиков С.Н. 3

Сеть телевидения

МСсеть

МСсеть

ATMIP v6.0MPLS

ATMIP v6.0MPLS

ΣΣ

Сеть ПД

Телефонная сеть

Локальные ВС

Радио сети

20.04.23 Новиков С.Н. 4

МС сеть

связи

Дистанционное обучение,воспитание, тренаж,

реклама, развлечения

Дистанционное обучение,воспитание, тренаж,

реклама, развлечения

ВидеоконференцияВидеоконференция

Поисковые службы (программных продуктов,документов, новости, видео, БД)

Поисковые службы (программных продуктов,документов, новости, видео, БД)

Электронная коммерцияЭлектронная коммерция

ВидеотелефонияВидеотелефония

ТелерадиовещаниеТелерадиовещание

ПрограммаПрограмма«Электронная Россия»«Электронная Россия»

2000г.2000г.

Открытый доступ к институтамуправления государством

20.04.23 Новиков С.Н. 5

Прикладной (7)

Представления (6)Сеансовый (5)

Транспортный (4)Сетевой (3)

Канальный (2)Физический (1)

У

р

о

в

н

и

ВОС

МС сеть связи

Особенности современных телекоммуникаций

• Интеграция услуг пользователю через единую точку доступа

• Гарантия качества предоставляемых услуг (ВВХ приложений)

• Мобильный доступ пользователя к услугам

• ИБ телекоммуникационных систем

20.04.23 Новиков С.Н. Кафедра "БиУТ" ГОУ ВПО "СибГУТИ" 6

• Требуется полное сквозное решение по обеспечению ИБ ТКС.

• Для достижения такого решения в среде со многими поставщиками сетевая защита должна быть разработана на основе стандартной архитектуры защиты.


• Какая защита необходима и от каких угроз?

• Какие именно типы сетевого оборудования и совокупности средств должны быть защищены?

• Какие именно типы сетевой активности должны быть защищены.


Рекомендация МСЭ-Т Х.805

Архитектура защиты для систем, обеспечивающих связь между

оконечными устройствамиЦель – стать основой для разработки

детальных рекомендаций для сквозной сетевой защиты


• АЗ ориентирована для решения общих вопросов защиты поставщиков услуг, предприятий и потребителей и применяется ко всем ТКС.


• Управление доступом – защищает от неправомочного использования сетевых ресурсов.

• Аутентификация – предназначено для удостоверения личностей поддерживающих связь объектов.

• Сохранность информации – гарантируется наличие данных, которые могут быть предоставлены третьей стороне и которые могут быть использоваться как доказательства того, что некоторое событие или действие имело место.20.04.23 11

• Конфиденциальность данных – защищает данные от неправомочного раскрытия.

• Безопасность связи – гарантирует, что информация передается только между уполномоченными оконечными точками.

• Целостность данных –гарантирует правильность и точность данных.

20.04.23 12

• Доступность – гарантирует отсутствие какого-либо ограничения на санкционированный доступ к элементам сети, хранимой информации, потокам данных, к услугам и приложениям из-за событий, влияющих на сеть.

• Секретность – обеспечивает защиту информации, которая могла бы быть получена, исходя из наблюдения сетевой деятельности.

20.04.23 13

Управление доступом

Аутентификация

Сохранность информации

Конфиденциальность данных

Безопасность связи

Целостность данных

Доступность

Секретность

Параметрызащиты

Новиков С.Н. Кафедра "БиУТ" ГОУ ВПО "СибГУТИ" 14

Прило-жений

Сервисов

Инфра-структуры

Пользователя

Контроля

УправленияПлоскости защиты

Марш

-ры

Ком-ры

Сер-ры, Л.с. т.д.VPN, QoS

Freephone

Доступ в Int. т.д.

«Электронная

Россия»

Пара-метры

защиты

Угроза безопасностиУничтожение информации

Искажение информации

Кража информации

Раскрытие информации

Прерывание обсл-вания

Управлениедоступом

Аутенти-фикация

Сохранностьинформации

Конфиден-циальность

данных

Безопас-ность связи

Целостностьданных

Доступность

Секретность

Соотношение параметров защиты и угроз безопасности (Какая защита необходима и от каких угроз?)

ДА

ДА ДА ДА ДА

ДА ДА

ДА ДА ДА ДА ДА

ДА ДА

ДА ДА

ДА ДА

ДА ДА

Реализации

Эксплуатации ФАЗЫ

Определения и планирования

Программа Защиты

Техн

олог

ии

Стра

теги

и и

проц

едур

ы

Применение архитектуры защиты к программам защиты

Уровеньинфраструктуры

Уровеньуслуг

Уровеньприложений

Плоскостьуправления

Модуль 1 Модуль 4 Модуль 7

Плоскостьконтроля


Плоскостьконечного

пользователя


Архитектура защиты в табличной форме

Управление доступом Безопасность связи

Аутентификация Целостность данных

Сохранность информации Доступность

Конфиденциальность данных Секретность

Независимость модулей




Сервисов


Контроля


Марш

-ры

Ком-ры


Freephone



Россия»



Цель защиты (модуль 1)


Гарантировать, что только уполномоченным «пользователям» разрешено выполнять административные действия или операции управления на СУ или ЛС.


Проверять личность человека или устройства, выполняющего административные действия или операции управления на СУ или ЛС.


Формировать отчет, идентифицирующий человека или устройство, которые выполняют каждое административное действие или операцию управления на сетевом устройстве или ЛС, и действие, которое было выполнено.


данных

Защищать информацию о конфигурации сетевого устройства или ЛС от несанкционированного доступа и просмотра. Защищать информацию об аутентификации от несанкционированного доступа и просмотра.

Безопасностьсвязи

При дистанционном управлении СУ или ЛС гарантировать, что управленческая информация передается только между станциями ДУ и устройствами или ЛС, управление которыми осуществляется.


Защищать информацию о конфигурации СУ и ЛС от несанкционированной модификации, удаления, создания и дублирования. Эта защита применяется к информации о конфигурации, содержащейся СУ или ЛС, также к информации, которая передается транзитом или хранится автономно.

Доступность Гарантировать, что уполномоченному «пользователю» не может быть отказано в способности управлять СУ или ЛС.

Секретность Гарантировать, что информация, которая может использоваться для идентификации СУ или ЛС, не доступна неуполномоченному «пользователю» .




Сервисов


Контроля


Марш

-ры

Ком-ры


Freephone



Россия»


Модуль2




Гарантировать, что только уполномоченным «пользователям» разрешен доступ к информации об управлении доступом, находящейся на СУ.


Проверять личность человека или устройства, читающего или изменяющего информацию об управлении, находящуюся на СУ.


Формировать отчет, идентифицирующий человека или устройство, которые читали или изменяли информацию об управлении в СУ или ЛС.


данных

Защищать информацию об управлении, предназначенную для СУ и находящуюся в СУ, от несанкционированного доступа и просмотра.


Гарантировать, что информация об управлении, передаваемая по сети, передается только от источника информации об управлении до ее желаемого адресата.


Защищать информацию об управлении, находящуюся в СУ и передаваемую по сети или хранимую автономно, от несанкционированной модификации, удаления, создания и дублирования.

Доступность Гарантировать, что СУ всегда доступны для приема информации об управлении из уполномоченных источников.





Сервисов


Контроля


Марш

-ры

Ком-ры


Freephone



Россия»


Модуль3




Гарантировать, что только уполномоченным «пользователям» разрешен доступ к данным конечного пользователя, которые передаются по элементу сети или ЛС либо находятся в автономных устройствах памяти.


Проверять личность человека или устройства, стремящегося получить доступ к данным конечного пользователя, которые передаются по элементу сети или ЛС либо находятся в автономных устройствах памяти.


Формировать отчет, идентифицирующий человека или устройство, которые получают доступ к данным конечного пользователя, передаваемым по элементу сети или ЛС либо находящимся в автономных устройствах памяти.


данных

Защищать данные конечного пользователя, которые передаются по элементу сети или ЛС либо находятся в автономных устройствах памяти, от несанкционированного доступа и просмотра.


Гарантировать, что данные конечного пользователя, которые передаются по элементу сети или ЛС, не изменяют направления и не перехватываются без санкционированного доступа, при передаче между оконечными точками.


Защищать данные конечного пользователя, которые передаются по элементу сети или ЛС либо находятся в автономных устройствах , от несанкционированной модификации, удаления, создания и дублирования.

Доступность Гарантировать, что «пользователям» не могут быть лишены доступныа для приема информации об управлении из уполномоченных источников.


Выводы• Максимальная защищенность ТКС

обеспечивается полной реализацией АЗ.

• Каждый уровень АЗ имеет различные точки уязвимости защиты.

• При проектировании и эксплуатации ТКС необходимо учитывать, чтобы события в одной плоскости и в одном уровне АЗ были полностью изолированы от других плоскостей и уровней (независимость модулей).


Проблема – количественная оценка отдельного модуля, плоскости,

уровня АЗ.

«Если Вы можете измерять и выражать в числах то, о чем говорите, то об этом предмете вы кое-что знаете; если же Вы не можете сделать этого, то Ваши

знания скудны и неудовлетворительны»

(Лорд Кельвин)

Новиков С.Н. Кафедра "БиУТ" ГОУ ВПО "СибГУТИ" 26

Благодарю за внимание!

Модель архитектуры безопасности современных...

Documents