"Экспресс-информация. Передача информации", Э7, 1991. Defence data network security architecture. R.W.Shirey. "Comput. Commun. Rev.", 1990, v.20, Э2, pp.66-71. В настоящее время сеть передачи данных МО США DDN (Defence Data Network) состоит из 4 основных подсетей. Первая подсеть (MILNET - Military Network) обеспечивает передачу неклассифицированных данных, а три остальные подсети (DSNET - Defence Secure Network) позволяют передавать данные различных степеней секретности. В частности, DSNET1 предназначена для передачи секретных данных, DSNET2 - совершенно секретных данных, а DSNET3 - данных особой категории [2]. Управление связи МО США рассматривает DDN как часть единой системы связи МО. В 1989 г. МО США приступило к работам по объединению тргх подсетей DSNET в единую подсеть (DISNET - Defence Integrated Secure Network), в которой предполагаетсЯ использовать новую систему абонентского шифрования BLACKER, поддерживаемую АНБ. Создание DISNET является частью общего плана развития сети DDN, утверждгнного в феврале 1987. Взаимодействие DDN с др. сетями, не принадлежащими МО США, осуществляется только через MILNET. Совокупность объедингнных сетей образует сеть Internet, которая в свою очередь подключается к ARPANET. План развития сети DDN включает 5 основных направлений, которые определяются следующими требованиями: - архитектура безопасности должна содержать множество хорошо специфицированных услуг, предоставляемых пользователям; - пользователи не должны ощущать каких-либо неудобств из-за функционирования службы обеспечения безопасности; - архитектура безопасности должна охватывать как элементы сети DDN, так и подключенные к сети системы пользователей; - пользователи должны разделять ответственность за обеспечение безопасности; - развитие DDN должно осуществляться по этапам, минимизирующим неудобства для пользователей. Первые 2 направления обеспечивают передачу классифицированных и неклассифицированных данных в подсетях с различным уровнем предоставляемых услуг по защите данных. Категории сервиса соответствуют архитектуре ВОС [8,9]. Служба конфиденциальности предназначена для защиты данных от н/с раскрытия. При этом защита данных основывается на формальном описании условий безопасности данных, идентификаторах абонентов и механизмах шифрования, обеспечивающих защиту потоков данных в каналах связи. Служба обеспечения целостности данных предотвращает какие-либо н/с изменения передаваемых сообщений. Служба обеспечения доступности ресурсов сети гарантирует абоненту возможность получения требуемых услуг по передаче информации. Служба идентификации предназначена для унификации имгн системных объектов и ресурсов сети DDN. Службы аутентификации и контроля доступа обеспечивают регламентацию использования ресурсов сети и подтверждение подлинности абонентов и сетевых объектов. Третье и четвгртое направления предназначены для определения политики безопасности ЭВМ пользователей, работающих в сети. Необходимость проведения таких исследований обусловлена тем, что пользовательские системы могут влиять на безопасность всей сети в целом. Существующая в настоящее время структура сети DDN показана на рисунке: 1 - общий центр управления; 2 - ЭВМ центра управления; 3 - пользовательская ЭВМ или шлюз; 4 - устройства абонентского шифрования данных; 5 - центр управления подсетью DISNET; 6 - центр управления конфигурацией сети; 7 - сервер имгн; 8 - терминальный контроллер доступа с системой управления доступом; 9 - ЭВМ, реализующая функции системы управления доступом к контроллерам; 10 - центр управления доступом подсистемы шифрования; 11 - ЦРК; 12 - мост; 13 - центр управления подсетью MILNET. | зд дд дд дд дд д | зд д д д зддд 1 зддд | зддд13 Trmцддддддддддддд 8 цд | Trm юддды юдбды | юддды зддд зддд | зддд 2 цд 4 цдддедд | 2 юддды юддды | юддды дд дд дд дд дд ы | ю д д д ды | зддд зддд | 3 цд 4 цддд | юддды юддды зддд | зддд зддд зддд DISNET 4 цддддд 12ц MILNET зддд 8 цд 4 цддд юддды | юддды 3 юддды юддды | юддды | з дд дд дд д | зддд зддд 5 | 8 2 цдддддд | юддды юддды здад здад здад здад | юдд дд дд ды 4 4 4 4 | юдбды юдбды юдбды юдбды | зддд здад здад здад здад | здад здад здад 6 7 9 10 11 | 7 9 12ц ARPANET юддды юддды юддды юддды юддды | юддды юддды юддды Система абонентского шифрования данных сети DDN построена с использованием интерфейса защищгнных линий связи, протокола 1822 АНБ [13] и устройств, реализующих DES [14,15]. При этом механизмы распределения ключей основаны на методах с открытым ключом. Данная система шифрования соответствует классу А1 TCSEC [20]. Взаимодействие подсетей DISNET и MILNET осуществляется через мост, соответствующий категории B2 TCSEC. Функционирование моста основано на реализации стартстопной передачи сообщений с промежуточным хранением. Управление потоком данных в обоих направлениях осуществляется самим мостом, причгм из DISNET могут передаваться только неклассифицированные сообщения. Для защиты элементов сети DDN рассматриваются средства обеспечения физической, персональной и процедурной безопасности. Каждый элемент хар-ся категорией защиты и включается в один из классов, определяющих необходимый уровень защиты. Литература: 1. Quarterman J.S., Hoskins J.C. Notable Computer Networks//CACM, v.29, Э29, Oct 1986, pp.932-971. 2. DOD Dir. 5200.1, DOD Inf. Security Program, 7.6.1982. * 3. Defence Message System Implementation Group (Dec 1988), The Defence Message System (DMS) Target Architecture and Implementation Strategy (TAIS). ** 4. Bolt Beranek and Newman, Inc. A History of the ARPANET: The First Decade//BBN Report Э4799, 1.4.1981. 5. Special Section on the Internet Worm//CACM, v.32, Э6, June 1989, pp.677-710. 6. Bellovin S.M. Security Problems in the TCP/IP Protocol Suite// Computer Communications Review, v.19, Э2, Apr 1989, pp.32-48. 7. Kent S. Comments on "Security Problems in the TCP/IP Protocol Suite"//Computer Communications Review, v.19, Э3, July 1989, pp.10-19. 8. ISO 7498:1984. Системы обработки данных - Эталонная модель ВОС. 9. ISO 7498-2:1988. Системы обработки данных - Эталонная модель ВОС. Часть 2: архитектура безопасности. 10. Рекомендации МККТТ Х.25. 11. DOD, Military Standard TELNET Protocol, MIL-STD-1782, 10 May 1984 (в [2] cм. источник). 12. BLACKER Interface Control Document, 21 March 1989. *** 13. Bolt Beranek and Newman, Inc. Interfacing a Host to a Private Line Interface//Appendix H of Specifications for the Interconnections of a Host and an IPM, BBN Report Э1822, Dec 1981. 14. NBS. DES. FIPS PUB 46, 15.1.1977. *** 15. NBS. DES Modes of Operations. FIPS PUB 81, 2.12.1980. *** 16. DOD, Military Standard Internet Protocol, MIL-STD-1777, 1983 Aug 12. 17. Linn J. Privacy Enhancement for Internet Electronic Mail: Part I - Message Encipherment and Authentication Procedures, RFC 1113, Aug 1989. *** 18. Kent J., Linn J. Privacy Enhancement for Internet Electronic Mail: Part II - Certificate-Based Key Management, RFC 1114, Aug 1989. *** 19. Linn J. Privacy Enhancement for Internet Electronic Mail: Part III - Algorithms, Modes and Identifiers, RFC 1115, Aug 1989. *** 20. DOD. TCSEC. DOD Standard 5200.28-STD, Dec 1985. * 21. DOD. Security Requirements for Automated Inf. Systems (AISs). DOD Directive 5200.28-STD, 21 March 1988. * 22. DOD Computer Security Center. Computer Security RequirementsGuidance for Applying the DOD TCSEC in Specific Environments, CSC-STD-003-85. **** 23. DOD Computer Security Center. Trusted Network Interpretation of the TCSEC, NCSC-TG-005, Version 1, 31 July 1987. **** 24. DOD Computer Security Center. DOD Password Management Guidline, CSC-STD-002-85, 15 Aug 1983. **** * - Naval Publications and Forms Center, 5801 Tabor Avenue, Philadelphia, PA 19120 ** - Defense Communications Agency, Code DDM, DMS, Washington, DC 20305-2000 *** - DDN Network Information Center, SRI International, Room EJ811, 333 Ravenswood Avenue, Menlo Park, CA 94025 **** - Government Printing Office, Washington, DC 20402