РОЗДІЛ 2
ОРГАНІЗАЦІЙНІ СКЛАДОВІ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
ТЕЛЕКОМУНІКАЦІЙНИХ МЕРЕЖ ЗАГАЛЬНОГО КОРИСТУВАННЯ
2.1. Особливості побудови архітектури телекомунікаційних мереж відповідно до вимог інформаційної безпеки
Архітектура інформаційної безпеки визначає план та набір принципів, які описують структуру системи захисту інформаційної безпеки (СЗІБ) передавання інформації телекомунікаційною системою. Архітектура безпеки базується на концепціях, які розроблені в Рекомендаціях ITU-T Х.200 та Х.800 [189, 190] для ієрархічної семирівневої еталонної моделі архітектури Взаємодії Відкритих Систем (ВВС). Інформаційна безпека будується на принципах ієрархічної безпеки. Безпека забезпечується на кожному з рівнів моделі ВВС і функціональні послуги безпеки розподілено за цими рівнями. У моделі ВВС виокремлюються сім рівнів опрацювання інформації: 1 - фізичний; 2 - канальний; 3 - мережний; 4 - транспортний; 5 - сеансовий; 6 - представний; 7 - прикладний. Кожен рівень виконує певні завдання і функції та забезпечує умови функціонування суміжних рівнів. У моделі ВВС на кожному рівні існують окремі об'єкти, сервіс та послуги. Взаємодія об'єктів здійснюється через інтерфейси та протоколи. У моделі ВВС організовуються служби, які надають послуги. ITU-T стандартизує телеслужби, служби передавання, служби безпеки.
Служби безпеки забезпечують безпеку системи. Під терміном "безпека системи" розуміють такий стан системи, за якого мінімізовані уразливості ресурсів, що наявні у системі. Уразливість - це будь-яка слабкість, що її може бути використано для порушування структури системи чи інформації. Загроза ж - це потенційне порушування безпеки.
Інформаційна безпека телекомунікаційних мереж повинна забезпечуватись в умовах інтеграції інформаційних та телекомунікаційних технологій, конвергенції мереж і застосовуватись до радіо, оптичних і металевих голосових ліній зв'язку та передачі даних, а також в умовах дії на мережах операторів різних форм власності. Архітектура інформаційної безпеки забезпечує всебічну, зверху-вниз та з кінця в кінець комплексну безпеку мереж та може застосовуватись до елементів, служб і застосувань для виявлення, прогнозування і коригування уразливості безпеки. Захисту підлягають усі складові елементи телекомунікаційних мереж: лінії, канали, системи передавання, обладнання, програмне забезпечення, інформація та персонал. Слід зазначити, що необхідно узгоджувати методи забезпечення інформаційної безпеки різних компонентів телекомунікаційних мереж, включаючи інформаційні ресурси, застосування, телекомунікаційні протоколи. Комплексний підхід означає необхідність створення мережної інфраструктури забезпечення інформаційної безпеки, оскільки уразливість будь-якої ланки мережі може створити проблеми для усіх її учасників - провайдерів, операторів і споживачів послуг. Кінцевою метою управлінської діяльності є вибір ефективних засобів протидії загрозам при реалізації системи інформаційної безпеки, вартість витрат на яку не перевищує вартість втрат, очікуваних від реалізації загроз.
Архітектура інформаційної безпеки логічно поділяє складний комплекс мережі між її кінцевими пунктами на окремі архітектурні компоненти інформаційної безпеки. Такий поділ враховує систематичний комплексний підхід до інформаційної безпеки з'єднання з кінця в кінець, який може використовуватись для планування засобів безпеки, а також для оцінки безпеки існуючих мереж.
Архітектура інформаційної безпеки будується з урахуванням загроз, проти яких необхідний захист, особливостей типів обладнання мереж, властивості групового обладнання та типів функцій мереж, які необхідно захищати. Архітектура інформаційної безпеки розглядається у трьох архітектурних компонентах: механізмах безпеки, рівнях забезпечення безпеки та площинах забезпечення безпеки. Принципи, що описані архітектурою інформаційної безпеки, можуть бути застосовані до широкого різноманіття телекомунікаційних мереж незалежно від застосованої технології або розміщення в протокольному стеку.
Рекомендація ITU Х.800 поділяє загрози на навмисні й випадкові й описує наступні загрози інформаційним ресурсам телекомунікаційних мереж [190]:
- знищення інформації і/або інших ресурсів;
- спотворення (псування) або модифікація інформації;
- розкрадання, видалення або втрата інформації і/або інших ресурсів;
- розкриття (компрометація) інформації;
- переривання послуг.
ITU прийняв модель мережної безпеки, розроблену в лабораторіях Белла, за основу нового стандарту забезпечення безпеки комп'ютерних та телекомунікаційних мереж, які передають інформацію за принципом "з кінця в кінець" [191].
У рекомендації ITU-805 [191] наведена архітектура інформаційної безпеки у телекомунікаційних мережах загального користування (рис. 2.1) яка є концепцією захисту мережі механізмами захисту в кожній площині інформаційної безпеки з кожним рівнем забезпечення інформаційної безпеки для того щоб протидіяти визначеним загрозам безпеки і зменшити уразливості, які існують на кожному рівні та площині і, таким чином, послабити атаки на безпеку.
Рис. 2.1. Архітектура інформаційної безпеки телекомунікаційної мережі
Рекомендація ITU Х.805 [191] є функціональною багаторівневою наскрізною рамочною структурою. Основними її компонентами є:
- механізми захисту, які відносяться до конкретних аспектів забезпечення мережної безпеки, такі як автентифікація, або цілісність даних, що охоплюють ресурси, застосування мережі та інформацію користувачів;
- рівні захисту, які включають такі рівні, як інфраструктурний, послуг та застосувань, які розрізняються з точки зору уразливостей, що повинні блокуватись у відповідності з вимогами конкретного рівня;
- площини захисту, які охоплюють процеси менеджменту, мережного управління (сигналізації, контролю) з використанням різноманітних протоколів, наприклад, організацію віртуальних приватних мереж.