"Экспресс-информация.  Передача  информации",  Э7,  1991. Defence
data  network security architecture. R.W.Shirey. "Comput. Commun.
Rev.",          1990,         v.20,         Э2,         pp.66-71.
В
настоящее  время  сеть  передачи  данных МО США DDN (Defence Data
Network) состоит из 4 основных подсетей. Первая подсеть (MILNET -
Military   Network)  обеспечивает  передачу  неклассифицированных
данных,  а три остальные подсети (DSNET - Defence Secure Network)
позволяют  передавать  данные  различных  степеней секретности. В
частности,  DSNET1  предназначена  для передачи секретных данных,
DSNET2  -  совершенно  секретных данных, а DSNET3 - данных особой
категории  [2].  Управление  связи  МО  США рассматривает DDN как
часть  единой  системы  связи  МО.  В 1989 г. МО США приступило к
работам  по  объединению  тргх  подсетей  DSNET  в единую подсеть
(DISNET   -   Defence   Integrated  Secure  Network),  в  которой
предполагаетсЯ использовать новую систему абонентского шифрования
BLACKER,  поддерживаемую  АНБ.  Создание  DISNET  является частью
общего  плана  развития  сети  DDN, утверждгнного в феврале 1987.
Взаимодействие  DDN  с  др.  сетями,  не  принадлежащими  МО США,
осуществляется  только  через  MILNET.  Совокупность объедингнных
сетей образует сеть Internet, которая в свою очередь подключается
к   ARPANET.   План   развития   сети  DDN  включает  5  основных
направлений,  которые  определяются  следующими  требованиями:  -
архитектура   безопасности   должна  содержать  множество  хорошо
специфицированных   услуг,   предоставляемых   пользователям;   -
пользователи   не   должны  ощущать  каких-либо  неудобств  из-за
функционирования  службы  обеспечения безопасности; - архитектура
безопасности  должна  охватывать  как  элементы  сети  DDN, так и
подключенные  к сети системы пользователей; - пользователи должны
разделять ответственность за обеспечение безопасности; - развитие
DDN  должно  осуществляться  по этапам, минимизирующим неудобства
для  пользователей.  Первые  2  направления обеспечивают передачу
классифицированных  и  неклассифицированных  данных  в подсетях с
различным   уровнем   предоставляемых  услуг  по  защите  данных.
Категории  сервиса  соответствуют  архитектуре  ВОС [8,9]. Служба
конфиденциальности   предназначена   для  защиты  данных  от  н/с
раскрытия.  При  этом  защита  данных  основывается на формальном
описании условий безопасности данных, идентификаторах абонентов и
механизмах  шифрования,  обеспечивающих  защиту  потоков данных в
каналах    связи.    Служба    обеспечения   целостности   данных
предотвращает  какие-либо  н/с  изменения передаваемых сообщений.
Служба обеспечения доступности ресурсов сети гарантирует абоненту
возможность  получения  требуемых  услуг  по передаче информации.
Служба  идентификации предназначена для унификации имгн системных
объектов  и  ресурсов  сети DDN. Службы аутентификации и контроля
доступа  обеспечивают регламентацию использования ресурсов сети и
подтверждение  подлинности абонентов и сетевых объектов. Третье и
четвгртое  направления  предназначены  для  определения  политики
безопасности  ЭВМ пользователей, работающих в сети. Необходимость
проведения    таких    исследований    обусловлена    тем,    что
пользовательские системы могут влиять на безопасность всей сети в
целом. Существующая в настоящее время структура сети DDN показана
на   рисунке:  1  -  общий  центр  управления;  2  -  ЭВМ  центра
управления;  3  -  пользовательская  ЭВМ или шлюз; 4 - устройства
абонентского  шифрования  данных;  5  - центр управления подсетью
DISNET; 6 - центр управления конфигурацией сети; 7 - сервер имгн;
8   -  терминальный  контроллер  доступа  с  системой  управления
доступом;   9  -  ЭВМ,  реализующая  функции  системы  управления
доступом   к   контроллерам;   10  -  центр  управления  доступом
подсистемы шифрования; 11 - ЦРК; 12 - мост; 13 - центр управления
подсетью MILNET. | зд дд дд дд дд д | зд д д д  зддд 1  зддд
|  зддд13  Trmцддддддддддддд  8 цд |  Trm юддды  юдбды |
юддды     зддд зддд  |  зддд  2 цд 4 цдддедд |  2   
юддды юддды |  юддды дд дд дд дд дд ы | ю д д д ды | зддд зддд
|  3 цд 4 цддд | юддды юддды зддд | зддд зддд зддд DISNET 
4  цддддд  12ц  MILNET  зддд  8 цд 4 цддд юддды | юддды  3 
юддды юддды | юддды | з дд дд дд д | зддд зддд 5  |  8   
2  цдддддд | юддды юддды  здад здад здад здад | юдд дд дд ды
  4    4   4   4  | юдбды юдбды юдбды юдбды | зддд здад
здад  здад  здад | здад здад здад  6   7   9   10 
11  |   7   9   12ц ARPANET юддды юддды юддды юддды юддды |
юддды юддды юддды Система абонентского шифрования данных сети DDN
построена  с  использованием  интерфейса  защищгнных линий связи,
протокола 1822 АНБ [13] и устройств, реализующих DES [14,15]. При
этом   механизмы  распределения  ключей  основаны  на  методах  с
открытым  ключом.  Данная система шифрования соответствует классу
А1   TCSEC   [20].   Взаимодействие   подсетей  DISNET  и  MILNET
осуществляется  через  мост,  соответствующий категории B2 TCSEC.
Функционирование   моста   основано  на  реализации  стартстопной
передачи  сообщений с промежуточным хранением. Управление потоком
данных  в  обоих направлениях осуществляется самим мостом, причгм
из   DISNET   могут   передаваться   только  неклассифицированные
сообщения. Для защиты элементов сети DDN рассматриваются средства
обеспечения  физической, персональной и процедурной безопасности.
Каждый  элемент  хар-ся  категорией защиты и включается в один из
классов,  определяющих необходимый уровень защиты. Литература: 1.
Quarterman  J.S.,  Hoskins  J.C. Notable Computer Networks//CACM,
v.29,  Э29,  Oct  1986,  pp.932-971. 2. DOD Dir. 5200.1, DOD Inf.
Security   Program,   7.6.1982.   *  3.  Defence  Message  System
Implementation Group (Dec 1988), The Defence Message System (DMS)
Target  Architecture  and  Implementation  Strategy (TAIS). ** 4.
Bolt Beranek and Newman, Inc. A History of the ARPANET: The First
Decade//BBN  Report  Э4799,  1.4.1981.  5. Special Section on the
Internet Worm//CACM, v.32, Э6, June 1989, pp.677-710. 6. Bellovin
S.M.  Security  Problems  in the TCP/IP Protocol Suite// Computer
Communications  Review,  v.19, Э2, Apr 1989, pp.32-48. 7. Kent S.
Comments   on   "Security   Problems   in   the  TCP/IP  Protocol
Suite"//Computer  Communications  Review,  v.19,  Э3,  July 1989,
pp.10-19.  8. ISO 7498:1984. Системы обработки данных - Эталонная
модель  ВОС.  9.  ISO  7498-2:1988.  Системы  обработки  данных -
Эталонная  модель  ВОС.  Часть  2:  архитектура безопасности. 10.
Рекомендации  МККТТ  Х.25.  11.  DOD,  Military  Standard  TELNET
Protocol,  MIL-STD-1782,  10  May  1984 (в [2] cм. источник). 12.
BLACKER  Interface  Control Document, 21 March 1989. *** 13. Bolt
Beranek  and  Newman,  Inc.  Interfacing a Host to a Private Line
Interface//Appendix  H of Specifications for the Interconnections
of  a  Host and an IPM, BBN Report Э1822, Dec 1981. 14. NBS. DES.
FIPS  PUB  46,  15.1.1977.  *** 15. NBS. DES Modes of Operations.
FIPS  PUB  81, 2.12.1980. *** 16. DOD, Military Standard Internet
Protocol,   MIL-STD-1777,  1983  Aug  12.  17.  Linn  J.  Privacy
Enhancement  for  Internet  Electronic  Mail:  Part  I  - Message
Encipherment  and  Authentication Procedures, RFC 1113, Aug 1989.
***  18.  Kent  J.,  Linn  J.  Privacy  Enhancement  for Internet
Electronic  Mail: Part II - Certificate-Based Key Management, RFC
1114,  Aug 1989. *** 19. Linn J. Privacy Enhancement for Internet
Electronic  Mail:  Part  III - Algorithms, Modes and Identifiers,
RFC 1115, Aug 1989. *** 20. DOD. TCSEC. DOD Standard 5200.28-STD,
Dec  1985.  *  21.  DOD. Security Requirements for Automated Inf.
Systems  (AISs).  DOD Directive 5200.28-STD, 21 March 1988. * 22.
DOD     Computer     Security     Center.    Computer    Security
RequirementsGuidance  for  Applying  the  DOD  TCSEC  in Specific
Environments,  CSC-STD-003-85.  ****  23.  DOD  Computer Security
Center. Trusted Network Interpretation of the TCSEC, NCSC-TG-005,
Version  1,  31 July 1987. **** 24. DOD Computer Security Center.
DOD  Password  Management  Guidline, CSC-STD-002-85, 15 Aug 1983.
****  * - Naval Publications and Forms Center, 5801 Tabor Avenue,
Philadelphia,  PA  19120 ** - Defense Communications Agency, Code
DDM, DMS, Washington, DC 20305-2000 *** - DDN Network Information
Center,  SRI  International,  Room  EJ811, 333 Ravenswood Avenue,
Menlo   Park,   CA  94025  ****  -  Government  Printing  Office,
Washington, DC 20402
 

Оставит комментарий