рекламодателям фирмы/add расшифровка штрих-кодов links/add
http://kiev-security.org.ua
Содержание
Архитектура защиты данных в локальных сетях.Defence data network security architecture
"Экспресс-информация. Передача информации", Э7, 1991. Defence
data network security architecture. R.W.Shirey. "Comput. Commun.
Rev.", 1990, v.20, Э2, pp.66-71.
В
настоящее время сеть передачи данных МО США DDN (Defence Data
Network) состоит из 4 основных подсетей. Первая подсеть (MILNET -
Military Network) обеспечивает передачу неклассифицированных
данных, а три остальные подсети (DSNET - Defence Secure Network)
позволяют передавать данные различных степеней секретности. В
частности, DSNET1 предназначена для передачи секретных данных,
DSNET2 - совершенно секретных данных, а DSNET3 - данных особой
категории [2]. Управление связи МО США рассматривает DDN как
часть единой системы связи МО. В 1989 г. МО США приступило к
работам по объединению тргх подсетей DSNET в единую подсеть
(DISNET - Defence Integrated Secure Network), в которой
предполагаетсЯ использовать новую систему абонентского шифрования
BLACKER, поддерживаемую АНБ. Создание DISNET является частью
общего плана развития сети DDN, утверждгнного в феврале 1987.
Взаимодействие DDN с др. сетями, не принадлежащими МО США,
осуществляется только через MILNET. Совокупность объедингнных
сетей образует сеть Internet, которая в свою очередь подключается
к ARPANET. План развития сети DDN включает 5 основных
направлений, которые определяются следующими требованиями: -
архитектура безопасности должна содержать множество хорошо
специфицированных услуг, предоставляемых пользователям; -
пользователи не должны ощущать каких-либо неудобств из-за
функционирования службы обеспечения безопасности; - архитектура
безопасности должна охватывать как элементы сети DDN, так и
подключенные к сети системы пользователей; - пользователи должны
разделять ответственность за обеспечение безопасности; - развитие
DDN должно осуществляться по этапам, минимизирующим неудобства
для пользователей. Первые 2 направления обеспечивают передачу
классифицированных и неклассифицированных данных в подсетях с
различным уровнем предоставляемых услуг по защите данных.
Категории сервиса соответствуют архитектуре ВОС [8,9]. Служба
конфиденциальности предназначена для защиты данных от н/с
раскрытия. При этом защита данных основывается на формальном
описании условий безопасности данных, идентификаторах абонентов и
механизмах шифрования, обеспечивающих защиту потоков данных в
каналах связи. Служба обеспечения целостности данных
предотвращает какие-либо н/с изменения передаваемых сообщений.
Служба обеспечения доступности ресурсов сети гарантирует абоненту
возможность получения требуемых услуг по передаче информации.
Служба идентификации предназначена для унификации имгн системных
объектов и ресурсов сети DDN. Службы аутентификации и контроля
доступа обеспечивают регламентацию использования ресурсов сети и
подтверждение подлинности абонентов и сетевых объектов. Третье и
четвгртое направления предназначены для определения политики
безопасности ЭВМ пользователей, работающих в сети. Необходимость
проведения таких исследований обусловлена тем, что
пользовательские системы могут влиять на безопасность всей сети в
целом. Существующая в настоящее время структура сети DDN показана
на рисунке: 1 - общий центр управления; 2 - ЭВМ центра
управления; 3 - пользовательская ЭВМ или шлюз; 4 - устройства
абонентского шифрования данных; 5 - центр управления подсетью
DISNET; 6 - центр управления конфигурацией сети; 7 - сервер имгн;
8 - терминальный контроллер доступа с системой управления
доступом; 9 - ЭВМ, реализующая функции системы управления
доступом к контроллерам; 10 - центр управления доступом
подсистемы шифрования; 11 - ЦРК; 12 - мост; 13 - центр управления
подсетью MILNET. | зд дд дд дд дд дј | зд д д д ј здддј 1 ° здддј
| здддј13° ° °Trmцддддддддддддд ѓ 8 цд | ° ѓTrm° юддды ° юдбды |
юддды ° ° здддј здддј ° | ° здддј ° 2 цдѓ 4 цдддедд | ѓ 2 ° ° °
юддды юддды | ° юддды дд дд дд дд дд ы | ю д д д ды | здддј здддј
| ° 3 цдѓ 4 цддд | юддды юддды здддј | здддј здддј здддј DISNET ѓ
4 цдддддѓ 12ц MILNET здддј ° 8 цдѓ 4 цддд юддды | юддды ѓ 3 °
юддды юддды | юддды | з дд дд дд дј | здддј здддј 5 ° | ѓ 8 ° ° °
2 цдддддд | юддды юддды ° здадј здадј здадј здадј | юдд дд дд ды
° 4 ° ° 4 ° ° 4 ° ° 4 ° | юдбды юдбды юдбды юдбды | здддј здадј
здадј здадј здадј | здадј здадј здадј ° 6 ° ° 7 ° ° 9 ° ° 10° °
11° | ° 7 ° ° 9 ° ° 12ц ARPANET юддды юддды юддды юддды юддды |
юддды юддды юддды Система абонентского шифрования данных сети DDN
построена с использованием интерфейса защищгнных линий связи,
протокола 1822 АНБ [13] и устройств, реализующих DES [14,15]. При
этом механизмы распределения ключей основаны на методах с
открытым ключом. Данная система шифрования соответствует классу
А1 TCSEC [20]. Взаимодействие подсетей DISNET и MILNET
осуществляется через мост, соответствующий категории B2 TCSEC.
Функционирование моста основано на реализации стартстопной
передачи сообщений с промежуточным хранением. Управление потоком
данных в обоих направлениях осуществляется самим мостом, причгм
из DISNET могут передаваться только неклассифицированные
сообщения. Для защиты элементов сети DDN рассматриваются средства
обеспечения физической, персональной и процедурной безопасности.
Каждый элемент хар-ся категорией защиты и включается в один из
классов, определяющих необходимый уровень защиты. Литература: 1.
Quarterman J.S., Hoskins J.C. Notable Computer Networks//CACM,
v.29, Э29, Oct 1986, pp.932-971. 2. DOD Dir. 5200.1, DOD Inf.
Security Program, 7.6.1982. * 3. Defence Message System
Implementation Group (Dec 1988), The Defence Message System (DMS)
Target Architecture and Implementation Strategy (TAIS). ** 4.
Bolt Beranek and Newman, Inc. A History of the ARPANET: The First
Decade//BBN Report Э4799, 1.4.1981. 5. Special Section on the
Internet Worm//CACM, v.32, Э6, June 1989, pp.677-710. 6. Bellovin
S.M. Security Problems in the TCP/IP Protocol Suite// Computer
Communications Review, v.19, Э2, Apr 1989, pp.32-48. 7. Kent S.
Comments on "Security Problems in the TCP/IP Protocol
Suite"//Computer Communications Review, v.19, Э3, July 1989,
pp.10-19. 8. ISO 7498:1984. Системы обработки данных - Эталонная
модель ВОС. 9. ISO 7498-2:1988. Системы обработки данных -
Эталонная модель ВОС. Часть 2: архитектура безопасности. 10.
Рекомендации МККТТ Х.25. 11. DOD, Military Standard TELNET
Protocol, MIL-STD-1782, 10 May 1984 (в [2] cм. источник). 12.
BLACKER Interface Control Document, 21 March 1989. *** 13. Bolt
Beranek and Newman, Inc. Interfacing a Host to a Private Line
Interface//Appendix H of Specifications for the Interconnections
of a Host and an IPM, BBN Report Э1822, Dec 1981. 14. NBS. DES.
FIPS PUB 46, 15.1.1977. *** 15. NBS. DES Modes of Operations.
FIPS PUB 81, 2.12.1980. *** 16. DOD, Military Standard Internet
Protocol, MIL-STD-1777, 1983 Aug 12. 17. Linn J. Privacy
Enhancement for Internet Electronic Mail: Part I - Message
Encipherment and Authentication Procedures, RFC 1113, Aug 1989.
*** 18. Kent J., Linn J. Privacy Enhancement for Internet
Electronic Mail: Part II - Certificate-Based Key Management, RFC
1114, Aug 1989. *** 19. Linn J. Privacy Enhancement for Internet
Electronic Mail: Part III - Algorithms, Modes and Identifiers,
RFC 1115, Aug 1989. *** 20. DOD. TCSEC. DOD Standard 5200.28-STD,
Dec 1985. * 21. DOD. Security Requirements for Automated Inf.
Systems (AISs). DOD Directive 5200.28-STD, 21 March 1988. * 22.
DOD Computer Security Center. Computer Security
RequirementsGuidance for Applying the DOD TCSEC in Specific
Environments, CSC-STD-003-85. **** 23. DOD Computer Security
Center. Trusted Network Interpretation of the TCSEC, NCSC-TG-005,
Version 1, 31 July 1987. **** 24. DOD Computer Security Center.
DOD Password Management Guidline, CSC-STD-002-85, 15 Aug 1983.
**** * - Naval Publications and Forms Center, 5801 Tabor Avenue,
Philadelphia, PA 19120 ** - Defense Communications Agency, Code
DDM, DMS, Washington, DC 20305-2000 *** - DDN Network Information
Center, SRI International, Room EJ811, 333 Ravenswood Avenue,
Menlo Park, CA 94025 **** - Government Printing Office,
Washington, DC 20402
Содержание
HOME
Если у вас есть сайт или домашняя страничка - поддержите пожайлуста наш ресурс, поставьте себе кнопочку, скопировав этот код:
| <a href="http://kiev-security.org.ua" title="Самый большой объем в сети онлайн инф-ции по безопасности на rus" target="_blank"><img src="http://kiev-security.org.ua/88x31.gif" width="88" height="31" border="0" alt="security,безопасность,библиотека"></a> |
Идея проекта(C)Anton Morozov, Kiev, Ukraine, 1999-2022,