Tiêu chuẩn quốc gia TCVN 9696-2:2013 về Công nghệ thông tin - Mô hình tham chiếu cơ sở

Ghi chú: Y (Yes): Cơ chế được cho là phù hợp với cơ chế của nó hoặc kết hợp với các cơ chế khác.

• Cơ chế được cho là không phù hợp

b) Có thể chấp nhận xây dựng các hệ thống an toàn bằng cách cung cấp các dịch vụ an ninh trong nhiều tầng;

c) Chức năng bổ sung yêu cầu cho an ninh không nhất thiết sao chép các chức năng OSI hiện có;

d) Nên tránh xâm phạm đến sự độc lập của tầng;

e) Nên giảm thiểu số lượng chức năng đáng tin cậy;

f) Bất cứ nơi nào mà một thực thể phụ thuộc vào cơ chế an ninh cung cấp bởi một thực thể trong tầng thấp hơn, các tầng tức thời nên được cấu trúc theo một cách mà không thể thực hiện được việc xâm phạm an ninh;

g) Bất cứ khi nào có thể, các chức năng an ninh bổ sung của tầng nên được xác định theo cách mà việc thực hiện đóng vai trò như (các) mô đun độc lập không được ngăn ngừa; và

h) Tiêu chuẩn này được cho là áp dụng các hệ thống mở bao gồm các hệ thống cuối bao gồm cả bảy tầng và phát lại các hệ thống.

...

...

...

6.2. Mô hình dẫn chứng, quản lý và sử dụng dịch vụ được bảo vệ - tầng (N)

Điều này nên được trình bày cùng với Điều 8, trong đó bao gồm thảo luận chung về các vấn đề quản lý an ninh. Các dịch vụ và cơ chế an ninh có thể được kích hoạt bởi thực thể quản lý thông qua giao diện quản lý và/hoặc dẫn chứng dịch vụ.

6.2.1. Xác định các tính năng bảo vệ cho thể hiện truyền thông

6.2.1.1. Khái quát

Điều này mô tả dẫn chứng bảo vệ các thể hiện chế độ truyền kết nối và không-kết nối. Trong trường hợp truyền thông hướng kết nối, các dịch vụ bảo vệ thường được yêu cầu tại thời điểm thiết lập kết nối. Trong trường hợp về dẫn chứng dịch vụ không kết nối, việc bảo vệ được yêu cầu cho mỗi trường hợp của yêu cầu UNITDATA.

Để đơn giản hóa mô tả sau đây, thuật ngữ "yêu cầu của dịch vụ" được sử dụng cho việc thiết lập kết nối hoặc một yêu cầu UNITDATA. Dẫn chứng bảo vệ dữ liệu đã chọn có thể đạt được bằng cách yêu cầu bảo vệ trường lựa chọn. Ví dụ, điều này có thể được thực hiện bằng cách thiết lập một vài kết nối, mỗi kết nối với kiểu hoặc mức bảo vệ khác nhau.

Kiến trúc an ninh này cung cấp nhiều chính sách an ninh khác nhau bao gồm các chính sách dựa trên quy tắc, các chính sách dựa trên định danh và các chính sách là sự kết hợp của cả hai. Kiến trúc an ninh còn cung cấp cách bảo vệ được áp đặt về mặt hành chính, cách bảo vệ được lựa chọn động và sự kết hợp của cả hai.

6.2.1.2. Các yêu cầu của dịch vụ

Đối với mỗi yêu cầu của dịch vụ-tầng (N), thực thể-tầng (N+1) có thể yêu cầu việc bảo vệ an ninh mục tiêu cần thiết. Yêu cầu của dịch vụ-tầng (N) sẽ quy định các dịch vụ an ninh cùng với các thông số và mọi thông tin bổ sung liên quan (như là các thông tin nhạy cảm và/hoặc các nhãn an ninh) nhằm bảo vệ an ninh mục tiêu.

...

...

...

Việc cung cấp các tính năng an ninh trong trường hợp chế độ truyền kết nối có thể yêu cầu thương thảo các dịch vụ an ninh. Các thủ tục yêu cầu cho việc thương thảo các cơ chế và thông số có thể được thực hiện như một thủ tục riêng biệt hoặc như một phần không thể thiếu được của thủ tục thiết lập kết nối thông thường.

Khi việc thương thảo được thực hiện như một thủ tục riêng biệt thì các kết quả thỏa thuận (nghĩa là các cơ chế và thông số an ninh cần cung cấp cho các dịch vụ an ninh này) được đưa ra trong Cơ sở thông tin quản lý an ninh (xem điều 8.1).

Khi việc thương thảo được thực hiện như một phần không thể thiếu của thủ tục thiết lập kết nối thường, các kết quả của việc thương thảo giữa thực thể-tầng (N) được lưu trữ tạm thời trong SMIB. Trước khi thương thảo, mỗi thực thể-tầng (N) sẽ truy cập SMIB đối với thông tin yêu cầu cho việc thương thảo.

Tầng (N) chối bỏ yêu cầu dịch vụ nếu nó vi phạm các yêu cầu về mặt hành chính được đăng ký trong SMIB đối với thực thể-tầng (N+1).

Tầng (N) cũng bổ sung cho dịch vụ bảo vệ các dịch vụ an ninh được xác định trong SMIB với tư cách bắt buộc nhằm bảo vệ an ninh mục tiêu.

Nếu thực thể-tầng (N+1) không quy định việc bảo vệ an ninh mục tiêu thì tầng (N) sẽ theo chính sách an ninh phù hợp với SMIB. Có thể bắt đầu truyền bằng cách sử dụng một cách bảo vệ an ninh mặc định trong dãy xác định thực thể-tầng (N+1) trong SMIB.

6.2.2. Điều khoản về các dịch vụ bảo vệ

Sau khi việc kết hợp các yêu cầu về mặt hành chính và các yêu cầu an ninh lựa chọn động được xác định như đã mô tả trong điều 6.2.1, tầng (N) sẽ cố gắng đạt được cách bảo vệ mục tiêu ở mức tối thiểu. Điều này có được bởi một trong hai hoặc cả hai phương pháp sau đây:

a) Gọi trực tiếp các cơ chế an ninh trong tầng (N); và/hoặc

...

...

...

CHÚ THÍCH - Không nhất thiết rằng tất cả chức năng trong tầng (N) phải đáng tin cậy.

Do đó, tầng (N) xác định nếu nó có thể bảo vệ mục tiêu đã yêu cầu. Nếu không việc truyền sẽ không xảy ra.

6.2.2.1. Thiết lập kết nối được bảo vệ-tầng (N)

Thảo luận sau đây đề cập đến việc cung cấp các dịch vụ trong tầng (N), (phản đối việc dựa vào dịch vụ-tầng (N-1)).

Trong các giao thức nhất định, để bảo vệ tốt mục tiêu thì chuỗi các thao tác là thành phần chủ chốt.

a) Điều khiển truy cập ngoài

Tầng (N) có thể áp đặt các bộ điều khiển truy cập mở, tức là nó có thể xác định (từ SMIB) xem liệu việc thiết lập (Kết nối-tầng (N) được bảo vệ có thể được thông qua hoặc ngăn cấm hay không.

b) Xác thực thực thể ngang hàng

Nếu việc bảo vệ mục tiêu bao gồm xác thực thực thể ngang hàng hoặc nếu được biết rằng thực thể-tầng (N) đích yêu cầu xác thực thực thể ngang hàng thì sẽ diễn ra một trao đổi xác thực. Điều này sử dụng các thỏa hiệp hai hoặc ba chiều để cung cấp xác thực đơn phương hoặc song phương khi yêu cầu.

...

...

...

c) Dịch vụ điều khiển truy cập

Thực thể-tầng (N) đến hoặc các thực thể trung gian có thể áp đặt các giới hạn điều khiển truy cập. Nếu thông tin cụ thể được yêu cầu bởi cơ chế điều khiển truy cập từ xa thì thực thể khởi tạo-tầng (N) cung cấp thông tin này trong giao thức-tầng (N) hoặc qua các kênh quản lý.

d) Tính mật

Nếu toàn bộ hoặc một dịch vụ tin cẩn được lựa chọn thì (Kết nối-tầng (N) phải được thiết lập. Điều này bao gồm việc thiết lập (các) khóa thực hành và thương thảo các thông số mật mã đối với kết nối. Điều này có thể được thực hiện bằng cách sắp xếp trước trong trao đổi xác thực hoặc bởi giao thức riêng rẽ.

e) Tính toàn vẹn của dữ liệu

Nếu tính toàn vẹn của tất cả dữ liệu người sử dụng-tầng (N) có hoặc không có sự hồi phục, hay tính toàn vẹn của các trường phải được lựa chọn thì (Kết nối-tầng (N) phải được thiết lập. Điều này có thể có cùng kết nối với kết nối thiết lập để cung cấp dịch vụ đáng tin cậy và có thể cung cấp việc xác thực. Các xem xét giống nhau áp dụng cho các dịch vụ đáng tin cậy đối với kết nối được bảo vệ-tầng (N).

f) Các dịch vụ thừa nhận

Nếu việc thừa nhận với chứng cứ về nguồn gốc được lựa chọn thì các thông số mật mã chính xác phải được thiết lập hoặc việc liên kết với thực thể chứng nhận phải được thiết lập.

Nếu việc thừa nhận với chứng cứ về việc gửi được lựa chọn thì các thông số chính xác (khác với các thông số yêu cầu cho việc thừa nhận về nguồn gốc) phải được thiết lập hoặc việc liên kết với thực thể chứng nhận phải được thiết lập.

...

...

...

6.2.3. Thao tác của Kết nối được bảo vệ-tầng (N)

6.2.3.1. Trong suốt giai đoạn truyền kết nối-tầng (N), các dịch vụ bảo vệ phải được cung cấp.

Các điều sau đây luôn có mặt tại ranh giới dịch vụ-tầng (N):

a) Xác thực thực thể ngang hàng (thỉnh thoảng);

b) Bảo vệ các trường lựa chọn, và

c) Báo cáo tác động tích cực (ví dụ, khi thao tác dữ liệu xảy ra và dịch vụ đang được cung cấp là "tính toàn vẹn của kết nối không được khôi phục") - xem điều 5.2.4.2).

Ngoài ra, các điều sau đây có thể được yêu cầu:

a) Bản ghi theo dõi kiểm định an ninh; và

b) Phát hiện và quản lý sự việc;

...

...

...

a) Tính mật;

b) Tính toàn vẹn của dữ liệu; và

c) Chống chối bỏ (bởi người nhận hoặc người gửi).

CHÚ THÍCH

1. Hai kỹ thuật được để xuất đánh dấu các mục dữ liệu đã lựa chọn cho ứng dụng dịch vụ. Kỹ thuật đầu tiên bao gồm sự định kiểu mạnh. Cần biết trước rằng tầng trình diễn được áp dụng sẽ công nhận các kiểu mà yêu cầu các dịch vụ bảo vệ. Kỹ thuật thứ hai bao gồm một vài dạng ra cờ hiệu các mục dữ liệu riêng lẻ mà áp dụng các dịch vụ bảo vệ đã quy định.

2. Cần đảm bảo rằng một lý do cung cấp ứng dụng lựa chọn của các dịch vụ thừa nhận có thể phát sinh từ các kịch bản sau đây. Một số dạng đàm thoại thương lượng xuất hiện qua một liên kết, trước khi cả hai thực thể-tầng (N) thỏa thuận rằng phiên bản cuối cùng của mục dữ liệu có thể chấp nhận lẫn nhau. Tại thời điểm đó, người nhận mong đợi có thể yêu cầu người gửi áp dụng các dịch vụ thừa nhận (của cả điểm gốc và điểm gửi đi) cho phiên bản được thỏa thuận của mục dữ liệu. Người gửi yêu cầu các dịch vụ này, truyền dẫn mục dữ liệu, sau đó nhận thông báo rằng mục dữ liệu đã được nhận. Các dịch vụ thừa nhận đảm bảo rằng nơi phát và nơi nhận mục dữ liệu đều được truyền thành công.

3. Cả hai dịch vụ thừa nhận (nghĩa là điểm gốc và điểm gửi đi) được khởi gọi từ nơi phát.

6.2.4. Điều khoản về truyền dữ liệu chế độ không-kết nối được bảo vệ

Không phải tất cả các dịch vụ an ninh đều có sẵn trong các giao thức của chế độ kết nối và các giao thức của chế độ không-kết nối. Nhất là bảo vệ khỏi việc xóa, chèn và phát lại. Khi được yêu cầu thì các dịch vụ an ninh phải được cung cấp tại các tầng cao hơn. Bảo vệ khỏi sự phát lại có thể được cung cấp bởi cơ chế tem thời gian. Ngoài ra, số lượng các dịch vụ an ninh khác không thể cung cấp cùng một mức độ chấp hành an ninh mà có thể thu được bởi các giao thức kết nối.

...

...

...

a) Xác thực thực thể ngang hàng (xem điều 5.2.1.1);

b) Xác thực nguồn gốc của dữ liệu (xem điều 5.2.1.2);

c) Dịch vụ điều khiển truy cập (xem điều 5.2.2);

d) Tính mật của chế độ không - kết nối (xem 5.2.3.2);

e) Tính mật của trường lựa chọn (xem 5.2.3.3);

f) Tính toàn vẹn của chế độ không-kết nối (xem 5.2.4.4);

g) Tính toàn vẹn của chế độ không-kết nối trường lựa chọn (xem 5.2.4.5); và

h) Chống chối bỏ, nguồn gốc (xem điều 5.2.5.1).

Các dịch vụ được cung cấp bởi các cơ chế mã hóa, chữ ký, các cơ chế điều khiển truy cập, các cơ chế định tuyến, các cơ chế về tính toàn vẹn của dữ liệu và/hoặc các cơ chế chứng thực (xem điều 5.3).

...

...

...

7. Xếp đặt các dịch vụ và cơ chế an ninh

Điều này xác định các dịch vụ an ninh được cung cấp trong khung tổng quát của mô hình tham chiếu cơ sở OSI và phác họa cách mà chúng đạt được. Việc cung cấp dịch vụ an ninh là tùy chọn, phụ thuộc vào các yêu cầu.

Dịch vụ an ninh cụ thể được định danh trong điều này được cung cấp một cách tùy chọn bởi tầng riêng biệt, nếu không được quy định thì dịch vụ an ninh sẽ được cung cấp bởi các cơ chế an ninh vận hành trong tầng đó. Như đã mô tả trong Điều 6, nhiều tầng yêu cầu cung cấp các dịch vụ an ninh riêng biệt. Các tầng này không thể tự cung cấp các dịch vụ an ninh, nhưng có thể sử dụng các dịch vụ an ninh thích hợp đang được cung cấp trong các tầng thấp nhất. Thậm chí khi không có dịch vụ an ninh nào được cung cấp trong một tầng thì các định nghĩa dịch vụ của tầng đó có thể yêu cầu sửa đổi nhằm cho phép các yêu cầu về các dịch vụ an ninh được truyền qua tầng thấp hơn.

CHÚ THÍCH

1. Các cơ chế an ninh thâm nhập khắp (xem điều 5.4) không được thảo luận trong điều này.

2. Lựa chọn vị trí của các cơ chế mã hóa đối với các ứng dụng được thảo luận trong Phụ lục C.

7.1. Tầng vật lý

7.1.1. Các dịch vụ

Chỉ các dịch vụ an ninh được cung cấp tại tầng vật lý một cách đơn lẻ hoặc kết hợp:

...

...

...

b) Tính mật của luồng lưu lượng.

Dịch vụ về tính mật của luồng lưu lượng chia làm hai dạng:

1) Tính mật của luồng lưu lượng đầy đủ chỉ có thể được cung cấp trong các trường hợp nhất định, ví dụ: truyền dẫn đồng thời hai chiều, đồng bộ, điểm-điểm; và

2) Tính mật của luồng lưu lượng giới hạn có thể được cung cấp các kiểu truyền dẫn khác nhau, ví dụ: truyền dẫn không đồng bộ.

Các dịch vụ an ninh này được giới hạn cho các mối đe dọa bị động và có thể được áp dụng cho truyền thông điểm nối điểm và truyền thông đa điểm.

7.1.2. Các cơ chế

Toàn bộ mã hóa dòng dữ liệu là cơ chế an ninh chủ yếu tại tầng vật lý.

Dạng mã hóa cụ thể chỉ có thể áp dụng tại tầng vật lý là an ninh truyền dẫn (nghĩa là: an ninh phổ trải rộng).

Bảo vệ tầng vật lý được cung cấp bởi thiết bị mã hóa. Mục tiêu của việc bảo vệ tầng vật lý là bảo vệ toàn bộ dòng bit dữ liệu của dịch vụ vật lý và cung cấp tính mật của luồng lưu lượng.

...

...

...

7.2.1. Các dịch vụ

Các dịch vụ an ninh cung cấp tại tầng liên kết dữ liệu là:

a) Tính mật của chế độ kết nối; và

b) Tính mật của chế độ không-kết nối.

7.2.2. Các cơ chế

Cơ chế mã hóa được sử dụng để cung cấp các dịch vụ an ninh trong tầng liên kết dữ liệu (xem Phụ lục C).

Chức năng bảo vệ an ninh bổ sung của tầng liên kết được thực hiện trước các chức năng truyền của tầng thông thường và sau các chức năng nhận, tức là các cơ chế an ninh xây dựng và sử dụng tất cả các chức năng của tầng thông thường.

Các cơ chế mã hóa tại tầng liên kết dữ liệu bị ảnh hưởng mạnh bởi giao thức của tầng liên kết dữ liệu.

7.3. Tầng mạng

...

...

...

a) Truy cập mạng con;

b) Hội tụ phụ thuộc mạng con;

c) Hội tụ không phụ thuộc mạng con; và

d) Chuyển tiếp và định tuyến.

(xem điều 2.4)

7.3.1. Các dịch vụ

Các dịch vụ an ninh được cung cấp bởi giao thức thực hiện các chức năng truy cập mạng con kết hợp với việc cung cấp dịch vụ mạng OSI như sau:

a) Xác thực thực thể ngang hàng;

b) Xác thực nguồn gốc dữ liệu;

...

...

...

d) Tính mật của chế độ kết nối;

e) Tính mật của chế độ không-kết nối;

f) Tính mật của luồng lưu lượng;

g) Tính toàn vẹn của chế độ kết nối không hồi phục; và

h) Tính toàn vẹn của chế độ không-kết nối.

Các dịch vụ an ninh này có thể được cung cấp đơn lẻ hoặc kết hợp. Các dịch vụ an ninh có thể được cung cấp bởi giao thức thực hiện các thao tác chuyển tiếp và định tuyến kết hợp với việc cung cấp dịch vụ mạng OSI từ hệ thống đầu đến hệ thống cuối, giống với các dịch vụ được cung cấp bởi giao thức thực hiện các thao tác truy cập mạng con.

7.3.2. Các cơ chế

7.3.2.1. Các cơ chế an ninh đồng nhất được sử dụng bởi (các) giao thức thực hiện thao tác truy cập mạng con, thao tác chuyển tiếp và định tuyến kết hợp với việc cung cấp dịch vụ mạng OSI từ hệ thống đầu đến hệ thống cuối. Việc định tuyến được thực hiện trong tầng này, do đó điều khiển định tuyến được định vị trong tầng này. Các dịch vụ an ninh đã định danh được cung cấp như sau:

a) Dịch vụ xác thực thực thể an ninh ngang hàng được cung cấp bởi liên kết thích hợp của các trao đổi dẫn xuất mật mã hoặc các trao đổi xác thực được bảo vệ, các cơ chế trao đổi mật khẩu được bảo vệ và các cơ chế chữ ký;

...

...

...

c) Dịch vụ điều khiển truy cập được cung cấp thông qua việc sử dụng các cơ chế điều khiển truy cập cụ thể thích hợp;

d) Dịch vụ về tính mật của chế độ kết nối được cung cấp bởi cơ chế mã hóa và/hoặc điều khiển định tuyến;

e) Dịch vụ về tính mật của chế độ không - kết nối được cung cấp bởi cơ chế mã hóa và/hoặc điều khiển định tuyến;

f) Dịch vụ về tính mật của luồng lưu lượng đạt được bởi cơ chế đệm lưu lượng, cùng với dịch vụ tin cẩn tại hoặc dưới tầng mạng và/hoặc điều khiển định tuyến;

g) Dịch vụ về tính toàn vẹn của chế độ kết nối mà không có sự khôi phục được cung cấp bằng cách sử dụng cơ chế về tính toàn vẹn của dữ liệu, đôi khi liên kết với cơ chế mã hóa; và

h) Dịch vụ về tính toàn vẹn của chế độ không-kết nối được cung cấp bằng cách sử dụng cơ chế về tính toàn vẹn của dữ liệu, đôi khi liên kết với cơ chế mã hóa.

7.3.2.2. Các cơ chế trong giao thức thực hiện các thao tác truy cập mạng con kết hợp với việc cung cấp dịch vụ mạng OSI từ hệ thống đầu đến hệ thống cuối, đưa ra các dịch vụ qua mạng con đơn.

Bảo vệ mạng con bằng cách quản lý mạng con sẽ được áp dụng khi các giao thức truy cập mạng con ra lệnh nhưng thường được áp dụng trước các chức năng truyền dẫn mạng con thông thường và sau các chức năng nhận mạng con thông thường.

7.3.2.3. Các cơ chế cung cấp bởi giao thức thực hiện các thao tác chuyển tiếp và định tuyến kết hợp với việc cung cấp dịch vụ mạng OSI từ hệ thống đầu đến hệ thống cuối, đưa ra các dịch vụ qua một hoặc nhiều mạng liên kết nối.

...

...

...

7.3.2.4. Điều khiển truy cập trong Tầng mạng có thể đáp ứng nhiều mục đích. Ví dụ, cho phép một hệ thống cuối điều khiển việc thiết lập của các kết nối mạng và chối bỏ các cuộc gọi không mong muốn. Nó cũng cho phép một hoặc nhiều mạng con điều khiển việc sử dụng các tài nguyên của tầng mạng. Trong một số trường hợp, mục đích sau liên quan đến việc tính giá sử dụng mạng.

CHÚ THÍCH - Việc thiết lập kết nối mạng có thể dẫn đến các cách tính giá bởi ban quản trị mạng con. Sự tối thiểu hóa giá cả có thể được thực hiện bằng cách điều khiển truy cập và bằng cách lựa chọn cách tính giá ngược hoặc các thông số cụ thể về mạng.

7.3.2.5. Yêu cầu của mạng con riêng rẽ có thể áp đặt các cơ chế điều khiển truy cập trên giao thức thực hiện các thao tác truy cập mạng con kết hợp với việc cung cấp dịch vụ mạng OSI từ hệ thống đầu đến hệ thống cuối. Khi các cơ chế điều khiển truy cập được cung cấp bởi giao thức thực hiện các thao tác chuyển tiếp và định tuyến kết hợp với việc cung cấp dịch vụ mạng OSI từ hệ thống đầu đến hệ thống cuối, chúng có thể được sử dụng cả hai để điều khiển truy cập các mạng con bởi các thực thể chuyển tiếp và để điều khiển truy cập các hệ thống cuối. Rõ ràng, việc mở rộng việc cách ly điều khiển truy cập là không thực hiện được, chỉ phân biệt giữa các thực thể tầng mạng.

7.3.2.6. Nếu việc đệm lưu lượng được sử dụng cùng với cơ chế chế mã hóa trong tầng mạng (hoặc dịch vụ tin cẩn từ tầng vật lý) thì mức tin cẩn của luồng lưu lượng có thể đạt được.

7.4. Tầng giao vận

7.4.1. Các dịch vụ

Các dịch vụ an ninh có thể được cung cấp đơn lẻ hoặc kết hợp trong tầng giao vận là:

a) Xác thực thực thể ngang hàng;

b) Xác thực nguồn gốc của dữ liệu;

...

...

...

d) Tính mật của chế độ kết nối;

e) Tính mật của chế độ không-kết nối;

f) Tính toàn vẹn của chế độ kết nối có khôi phục;

g) Tính toàn vẹn của chế độ kết nối không khôi phục, và

h) Tính toàn vẹn của chế độ không-kết nối

7.4.2. Các cơ chế

Các dịch vụ an ninh được cung cấp như sau:

a) Dịch vụ xác thực thực thể an ninh ngang hàng được cung cấp bởi liên kết thích hợp của các trao đổi dẫn xuất mật mã hoặc các trao đổi xác thực được bảo vệ, các cơ chế trao đổi mật khẩu được bảo vệ và các cơ chế chữ ký;

b) Dịch vụ xác thực nguồn gốc của dữ liệu được cung cấp bởi các cơ chế mã hóa hoặc chữ ký;

...

...

...

d) Dịch vụ về tính mật của chế độ kết nối được cung cấp bởi cơ chế mã hóa và/hoặc điều khiển định tuyến;

e) Dịch vụ về tính mật của chế độ không-kết nối được cung cấp bởi cơ chế mã hóa và/hoặc điều khiển định tuyến;

f) Dịch vụ về tính toàn vẹn của chế độ kết nối có khôi phục được cung cấp bằng cách sử dụng cơ chế về tính toàn vẹn của dữ liệu, đôi khi kết hợp với cơ chế mã hóa;

g) Dịch vụ về tính toàn vẹn của chế độ kết nối không khôi phục được cung cấp bằng cách sử dụng cơ chế về tính toàn vẹn của dữ liệu, đôi khi kết hợp với cơ chế mã hóa;

h) Dịch vụ về tính toàn vẹn của chế độ không-kết nối được cung cấp bằng cách sử dụng cơ chế về tính toàn vẹn của dữ liệu, đôi khi liên kết với cơ chế mã hóa.

Các cơ chế bảo vệ sẽ vận hành theo cách mà các dịch vụ an ninh có thể được gọi ra cho kết nối giao vận riêng lẻ. Việc bảo vệ theo cách mà các kết nối giao vận riêng lẻ có thể bị cô lập khỏi toàn bộ các kết nối giao vận khác.

7.5. Tầng phiên

7.5.1. Các dịch vụ

Không có dịch vụ an ninh nào được cung cấp trong tầng phiên.

...

...

...

7.6.1. Các dịch vụ

Các tiện ích được cung cấp bởi tầng phiên nhằm hỗ trợ việc cung cấp các dịch vụ an ninh sau đây bởi tầng ứng dụng của quy trình ứng dụng:

a) Tính mật của chế độ kết nối;

b) Tính mật của chế độ không - kết nối; và

c) Tính mật của trường lựa chọn.

Các tiện ích trong tầng trình diễn cũng có thể hỗ trợ việc cung cấp các dịch vụ sau đây bởi tầng ứng dụng của quy trình ứng dụng:

d) Tính mật của luồng lưu lượng;

e) Xác thực thực thể ngang hàng;

f) Xác thực nguồn gốc của dữ liệu;

...

...

...

h) Tính toàn vẹn của chế độ kết nối không khôi phục;

j) Tính toàn vẹn của chế độ kết nối trường lựa chọn;

k) Tính toàn vẹn của chế độ không-kết nối;

m) Tính toàn vẹn của chế độ không-kết nối trường lựa chọn;

n) Chống chối bỏ bằng chứng xuất xứ; và

p) Chống chối bỏ bằng chứng việc gửi.

CHÚ THÍCH - Các tiện ích được cung cấp bởi tầng trình diễn sẽ là các tiện ích mà phụ thuộc vào cơ chế chỉ có thể điều hành trên cú pháp truyền mã hóa dữ liệu và bao gồm các tiện ích dựa trên kỹ thuật mật mã.

7.6.2. Các cơ chế

Đối với các cơ chế an ninh sau đây, các cơ chế hỗ trợ có thể được định vị trong tầng trình diễn, nếu như vậy, nó có thể được sử dụng cùng với các cơ chế an ninh tầng ứng dụng để cung cấp các dịch vụ an ninh tầng ứng dụng:

...

...

...

b) Dịch vụ xác thực nguồn gốc dữ liệu có thể được hỗ trợ bởi cơ chế mã hóa hoặc cơ chế chữ ký;

c) Dịch vụ về tính mật của chế độ kết nối có thể được hỗ trợ bởi cơ chế mã hóa;

d) Dịch vụ về tính mật của chế độ không-kết nối có thể được hỗ trợ bởi cơ chế mã hóa;

e) Dịch vụ về tính mật của trường lựa chọn có thể được hỗ trợ bởi cơ chế mã hóa;

f) Dịch vụ về tính mật của luồng lưu lượng có thể được hỗ trợ bởi cơ chế mã hóa;

g) Dịch vụ về tính mật của chế độ kết nối có khôi phục có thể được hỗ trợ bởi cơ chế về tính toàn vẹn của dữ liệu, đôi khi kết hợp với cơ chế mã hóa;

h) Dịch vụ về tính mật của chế độ kết nối không khôi phục có thể được hỗ trợ bởi cơ chế về tính toàn vẹn của dữ liệu, đôi khi kết hợp với cơ chế mã hóa;

j) Dịch vụ về tính toàn vẹn của chế độ kết nối trường lựa chọn có thể được hỗ trợ bởi cơ chế về tính toàn vẹn của dữ liệu, đôi khi kết hợp với cơ chế mã hóa;

k) Dịch vụ về tính toàn vẹn của chế độ không-kết nối có thể được hỗ trợ bởi cơ chế về tính toàn vẹn của dữ liệu, đôi khi kết hợp với cơ chế mã hóa;

...

...

...

n) Dịch vụ thừa nhận bằng chứng xuất xứ có thể được hỗ trợ bởi sự kết hợp của cơ chế về tính toàn vẹn của dữ liệu, cơ chế chữ ký và cơ chế chứng thực; và

p) Dịch vụ thừa nhận bằng chứng việc gửi có thể được hỗ trợ bởi sự kết hợp của cơ chế về tính toàn vẹn của dữ liệu, cơ chế chữ ký và cơ chế chứng thực.

Các cơ chế mã hóa áp dụng cho việc truyền dữ liệu, khi được định vị trong các tầng cao hơn thì phải có trong tầng trình diễn.

Một số dịch vụ trong danh mục ở trên có thể được cung cấp bởi các cơ chế an ninh chứa trong tầng ứng dụng.

Chỉ có các dịch vụ an ninh tin cẩn mới có thể được cung cấp bởi các cơ chế an ninh chứa trong tầng trình diễn.

Các cơ chế an ninh trong tầng trình diễn vận hành như một giai đoạn biến đổi cuối cùng cú pháp truyền trên đường truyền dẫn và như giai đoạn biến đổi quy trình nhận ban đầu.

7.7. Tầng ứng dụng

7.7.1. Các dịch vụ

Tầng ứng dụng có thể cung cấp một hoặc nhiều dịch vụ an ninh cơ sở một cách đơn lẻ hoặc kết hợp sau đây:

...

...

...

b) Xác thực nguồn gốc của dữ liệu;

c) Dịch vụ điều khiển truy cập;

d) Tính mật của chế độ kết nối;

e) Tính mật của chế độ không-kết nối;

f) Tính mật của trường lựa chọn;

g) Tính mật của luồng lưu lượng;

h) Tính toàn vẹn của chế độ kết nối có khôi phục;

j) Tính toàn vẹn của chế độ kết nối không khôi phục;

k) Tính toàn vẹn của chế độ kết nối trường lựa chọn;

...

...

...

n) Tính toàn vẹn của chế độ không-kết nối trường lựa chọn;

p) Chống chối bỏ bằng chứng xuất xứ; và

q) Chống chối bỏ bằng chứng việc gửi.

Xác thực các đối tác truyền thông cung cấp việc hỗ trợ các bộ điều khiển truy cập cho cả tài nguyên OSI và tài nguyên không theo OSI (ví dụ: các tệp tin, phần mềm, thiết bị đầu cuối, máy in) trong các hệ thống mở thực.

Xác định các yêu cầu an ninh cụ thể trong trường hợp truyền thông bao gồm tính mật, tính toàn vẹn và xác thực dữ liệu do Quản lý tầng ứng dụng hoặc quản lý an ninh OSI tạo ra trên cơ sở thông tin trong SMIB cộng thêm các yêu cầu tạo bởi quy trình ứng dụng.

7.7.2. Các cơ chế

Các dịch vụ an ninh trong tầng ứng dụng được cung cấp bởi các cơ chế sau đây:

a) Dịch vụ xác thực thực thể ngang hàng có thể được cung cấp bằng cách sử dụng thông tin xác thực truyền giữa các thực thể ứng dụng, bảo vệ bởi các cơ chế mã hóa tầng trình diễn hoặc tầng tầng thấp hơn;

b) Dịch vụ xác thực nguồn gốc dữ liệu có thể được hỗ trợ bằng cách sử dụng các cơ chế chữ ký hoặc các cơ chế mã hóa tầng thấp hơn;

...

...

...

d) Dịch vụ về tính mật của chế độ kết nối có thể được hỗ trợ bằng cách sử dụng cơ chế mã hóa tầng thấp hơn;

e) Dịch vụ về tính mật của chế độ không-kết nối có thể được hỗ trợ bằng cách sử dụng cơ chế mã hóa tầng thấp hơn;

f) Dịch vụ về tính mật của trường lựa chọn có thể được cung cấp bằng cách sử dụng cơ chế mã hóa tại tầng trình diễn;

g) Dịch vụ về tính mật của luồng lưu lượng giới hạn có thể được hỗ trợ bằng cách sử dụng cơ chế đệm lưu lượng tại tầng ứng dụng kết hợp với dịch vụ tin cẩn tại tầng thấp hơn;

h) Dịch vụ về tính toàn vẹn của chế độ kết nối có khôi phục có thể được hỗ trợ bằng cách sử dụng cơ chế về tính toàn vẹn của dữ liệu tầng thấp hơn (đôi khi kết hợp với cơ chế mã hóa);

j) Dịch vụ về tính toàn vẹn của chế độ kết nối không khôi phục có thể được hỗ trợ bằng cách sử dụng cơ chế về tính toàn vẹn của dữ liệu tầng thấp hơn (đôi khi kết hợp với cơ chế mã hóa);

k) Dịch vụ về tính toàn vẹn của chế độ kết nối trường lựa chọn có thể được hỗ trợ bằng cách sử dụng cơ chế về tính toàn vẹn của dữ liệu (đôi khi kết hợp với cơ chế mã hóa) tại tầng trình diễn;

m) Dịch vụ về tính toàn vẹn của chế độ không-kết nối có thể được hỗ trợ bằng cách sử dụng cơ chế về tính toàn vẹn của dữ liệu tầng thấp hơn (đôi khi kết hợp với cơ chế mã hóa);

n) Dịch vụ về tính toàn vẹn của chế độ không-kết nối trường lựa chọn có thể được hỗ trợ bằng cách sử dụng cơ chế về tính toàn vẹn của dữ liệu (đôi khi kết hợp với cơ chế mã hóa) tại tầng trình diễn;

...

...

...

q) Dịch vụ thừa nhận bằng chứng việc gửi có thể được hỗ trợ bởi sự kết hợp của cơ chế chữ ký và cơ chế về tính toàn vẹn của dữ liệu tầng thấp hơn cùng với bên thứ ba.

Nếu cơ chế chứng thực được sử dụng để cung cấp dịch vụ thừa nhận thì nó sẽ đóng vai trò là bên thứ ba tin cậy. nó có thể có bản ghi các đơn vị dữ liệu chuyển tiếp theo dạng được truyền (tức là cú pháp truyền) nhằm giải quyết các khúc mắc. Có thể sử dụng các dịch vụ bảo vệ từ các tầng thấp hơn.

7.7.3. Các dịch vụ an ninh không theo OSI

Bản thân các quy trình ứng dụng có thể cung cấp tất cả các dịch vụ và sử dụng cùng loại cơ chế được mô tả trong tiêu chuẩn này khi được đặt thích hợp trong các tầng khác nhau của kiến trúc. Kiến trúc này nằm ngoài phạm vi của tiêu chuẩn và không nhất quán với dịch vụ, các định nghĩa giao thức OSI và kiến trúc OSI.

7.8. Minh họa mối quan hệ của dịch vụ và tầng an ninh

Bảng 2 minh họa các tầng của mô hình tham chiếu mà các dịch vụ an ninh riêng biệt có thể được cung cấp. Các định nghĩa dịch vụ an ninh có trong điều 5.2. Các minh chứng về sự xếp đặt dịch vụ tại tầng riêng biệt được đưa ra trong Phụ lục B.

Bảng 2

Tầng

...

...

...

1

2

3

4

5

6

7*

Xác thực thực thể ngang hàng

•

...

...

...

Y

Y

•

•

Y

Xác thực nguồn gốc của dữ liệu

•

•

Y

...

...

...

•

•

Y

Dịch vụ điều khiển truy cập

•

•

Y

Y

•

...

...

...

Y

Tính mật của chế độ kết nối

Y

Y

Y

Y

•

•

Y

...

...

...

•

Y

Y

Y

•

•

Y

Tính mật của trường lựa chọn

•

...

...

...

•

•

•

•

Y

Tính mật của luồng lưu lượng

•

...

...

...

•

•

Y

Tính toàn vẹn của chế độ kết nối có khôi phục

•

•

•

Y

•

...

...

...

Y

Tính toàn vẹn của chế độ kết nối không khôi phục

•

•

Y

Y

•

•

Y

...

...

...

•

•

•

•

•

•

Y

Tính toàn vẹn của chế độ không-kết nối

•

...

...

...

Y

Y

•

•

Y

Tính toàn vẹn của chế độ không-kết nối trường lựa chọn

•

•

•

...

...

...

•

•

Y

Chống chối bỏ bằng chứng xuất xứ

•

•

•

•

•

...

...

...

Y

Chống chối bỏ bằng chứng việc gửi

•

•

•

•

•

•

Y

...

...

...

• Không được cung cấp.

• Nên được chú thích đối với tầng 7 rằng quy trình ứng dụng có thể cung cấp các dịch vụ an ninh.

CHÚ THÍCH

1. Bảng 2 không chỉ ra rằng các mục có tầm quan trọng như nhau, trái lại có một sự thay đổi về phạm vi trong các mục của bảng.

2. Việc xếp đặt các dịch vụ an ninh trong Tầng Mạng được mô tả trong điều 7.3.2. Vị trí của các dịch vụ an ninh trong tầng mạng không ảnh hưởng đến bản chất và phạm vi áp dụng của các dịch vụ sẽ được cung cấp.

3. Tầng trình diễn chứa số lượng tiện ích an ninh hỗ trợ việc cung cấp các dịch vụ an ninh bởi tầng ứng dụng.

8. Quản lý an ninh

8.1. Khái quát

8.1.1. Quản lý an ninh OSI đề cập tới các khía cạnh quản lý an ninh liên quan đến OSI và đến an ninh của quản lý OSI. Các khía cạnh quản lý an ninh OSI đề cập đến các thao tác nằm ngoài các thể hiện truyền thông nhưng yêu cầu hỗ trợ và điều khiển các khía cạnh an ninh của truyền thông.

...

...

...

8.1.2. Có thể có nhiều chính sách an ninh được áp đặt bởi việc quản trị các hệ thống mở phân tán và các tiêu chuẩn quản lý an ninh OSI nên hỗ trợ các chính sách này. Các thực thể tuân theo chính sách an ninh đơn do thẩm quyền đơn quản lý, đôi khi được tập hợp trong "vùng an ninh". Các vùng an ninh và các tương tác của chúng là khu vực quan trọng cho việc mở rộng trong tương lai.

8.1.3. Quản lý an ninh OSI đề cập đến việc quản lý các dịch vụ và cơ chế an ninh OSI. Việc quản lý này yêu cầu phân tán thông tin quản lý cho các dịch vụ và cơ chế này cũng như việc tập hợp thông tin liên quan đến thao tác của các dịch vụ và cơ chế này. Các ví dụ là sự phân tán các khóa mật mã, thiết lập các thông số lựa chọn an ninh quản trị, báo cáo các sự việc an ninh thông thường và bất thường (các biên bản kiểm định) và việc kích hoạt và không kích hoạt dịch vụ. Quản lý an ninh không đề cập đến việc truyền thông tin trong các giao thức gọi các dịch vụ an ninh cụ thể (ví dụ: trong các thông số tại yêu cầu kết nối).

8.1.4. Cơ sở thông tin quản lý an ninh (SMIB) là kho khái niệm về tất cả thông tin liên quan đến an ninh được yêu cầu bởi các hệ thống mở. Khái niệm này không đề xuất bất kỳ dạng lưu trữ thông tin nào hoặc việc thực hiện của nó. Tuy nhiên, mỗi hệ thống cuối phải chứa thông tin cục bộ cần thiết giúp cho chính sách an ninh thích hợp có hiệu lực. SMIB là cơ sở thông tin phân tán cho việc mở rộng, cần giúp cho chính sách an ninh trong nhóm các hệ thống cuối có hiệu lực. Thực tế, các phần của SMIB có thể hoặc không thể hợp nhất với MIB.

CHÚ THÍCH - Có thể có nhiều phép thể hiện của SMIB, ví dụ:

a) Bảng dữ liệu;

b) Tệp tin;

c) Dữ liệu hoặc quy tắc gắn trong phần mềm hoặc phần cứng của hệ thống mở thực.

8.1.5. Các giao thức quản lý, nhất là các giao thức quản lý an ninh và các kênh truyền truyền thông mang thông tin quản lý có khả năng bị tấn công. Do đó cần đảm bảo rằng các giao thức và thông tin quản lý được bảo vệ sao cho bảo vệ an ninh được cung cấp cho các thể hiện truyền thông không bị suy yếu.

8.1.6. Quản lý an ninh có thể yêu cầu trao đổi thông tin liên quan đến an ninh giữa các quản trị hệ thống khác nhau theo trình tự mà SMIB có thể được thiết lập hoặc mở rộng. Trong một số trường hợp, thông tin liên quan đến an ninh sẽ được chuyển qua các đường truyền thông không theo OSI và các nhà quản trị hệ thống cục bộ sẽ cập nhật SMIB qua các phương pháp không được tiêu chuẩn hóa. Trong các trường hợp khác, có thể trao đổi thông tin này qua đường truyền thông OSI trong trường hợp thông tin được chuyển giữa hai ứng dụng quản lý an ninh đang chạy trong các hệ thống mở thực. Ứng dụng quản lý an ninh sử dụng thông tin giao tiếp để cập nhật SMIB. Việc cập nhật SMIB này có thể yêu cầu quyền ưu tiên của nhà quản trị an ninh thích hợp.

...

...

...

8.2. Các hạng mục quản lý an ninh OSI

Có ba hạng mục của quản lý an ninh OSI:

a) Quản lý an ninh hệ thống;

b) Quản lý dịch vụ an ninh; và

c) Quản lý cơ chế an ninh.

Ngoài ra, phải cân nhắc an ninh quản lý OSI (xem điều 8.2.4). Các chức năng thực hiện bởi các hạng mục quản lý an ninh này được tóm tắt dưới đây.

8.2.1. Quản lý an ninh hệ thống

Quản lý an ninh hệ thống đề cập đến việc quản lý các khía cạnh an ninh của toàn bộ môi trường OSI. Danh mục sau đây tiêu biểu cho các hoạt động trong hạng mục quản lý an ninh:

a) Quản lý toàn bộ chính sách an ninh, bao gồm các cập nhật và duy trì tính nhất quán;

...

...

...

c) Tương tác với quản lý dịch vụ an ninh và quản lý cơ chế an ninh;

d) Quản lý việc điều khiển sự việc (xem điều 8.3.1);

e) Quản lý kiểm định an ninh (xem điều 8.3.2); và

f) Quản lý việc khôi phục an ninh (xem điều 8.3.3).

8.2.2. Quản lý dịch vụ an ninh

Quản lý dịch vụ an ninh đề cập đến việc quản lý các dịch vụ an ninh riêng biệt. Danh mục sau đây tiêu biểu cho các hoạt động có thể được thực hiện trong việc quản lý dịch vụ an ninh riêng biệt:

a) Xác định và ấn định việc bảo vệ an ninh mục tiêu cho dịch vụ;

b) Ấn định và duy trì các quy tắc về việc lựa chọn cơ chế an ninh cụ thể được sử dụng để cung cấp dịch vụ an ninh được yêu cầu;

c) Thương thảo (cục bộ và từ xa) các cơ chế an ninh sẵn có yêu cầu thỏa thuận quản lý ưu tiên;

...

...

...

e) Tương tác với các chức năng quản lý dịch vụ an ninh khác và các chức năng quản lý cơ chế an ninh.

8.2.3. Quản lý cơ chế an ninh

Quản lý cơ chế an ninh đề cập đến việc quản lý các cơ chế an ninh riêng biệt. Danh mục các chức năng quản lý cơ chế an ninh sau đây là tiêu biểu nhưng không bao gồm mọi khía cạnh:

a) Quản lý khóa;

b) Quản lý mã hóa;

c) Quản lý chữ ký số;

d) Quản lý điều khiển truy cập;

e) Quản lý tính toàn vẹn của dữ liệu;

f) Quản lý việc xác thực;

...

...

...

h) Quản lý điều khiển định tuyến; và

i) Quản lý việc chứng thực.

Mỗi chức năng quản lý cơ chế an ninh đã liệt kê được thảo luận chi tiết hơn trong điều 8.4.

8.2.4. An ninh quản lý OSI

An ninh của tất cả các chức năng quản lý OSI và của truyền thông tin quản lý OSI là các thành phần quan trọng của an ninh OSI. Hạng mục này sẽ gọi ra các lựa chọn dịch vụ và cơ chế an ninh OSI đã liệt kê để đảm bảo rằng các giao thức và thông tin quản lý OSI được bảo vệ triệt để (xem điều 8.1.5). Ví dụ, truyền thông giữa các thực thể quản lý bao gồm Cơ sở thông tin quản lý yêu cầu một số dạng bảo vệ.

8.3. Các hoạt động quản lý an ninh hệ thống cụ thể

8.3.1. Quản lý điều khiển sự việc

Các khía cạnh quản lý điều khiển sự việc trong OSI là báo cáo từ xa các thử nghiệm vi phạm an ninh hệ thống và sửa đổi các ngưỡng sử dụng để khởi động báo cáo sự việc.

8.3.2. Quản lý kiểm định an ninh

...

...

...

a) Lựa chọn các sự kiện được ghi lại và/hoặc tập hợp từ xa;

b) Kích hoạt và không kích hoạt bản ghi theo dõi kiểm định các sự kiện được lựa chọn;

c) Tập hợp từ xa các bản kiểm định được lựa chọn; và

d) Chuẩn bị các báo cáo kiểm định an ninh.

8.3.3. Quản lý khôi phục an ninh

Quản lý khôi phục an ninh có thể bao gồm:

a) Duy trì các quy tắc được sử dụng để phản ứng lại các vi phạm an ninh thực hoặc đáng nghi;

b) Báo cáo từ xa các vi phạm an ninh hệ thống;

c) Các tương tác của nhà quản trị an ninh.

...

...

...

8.4.1. Quản lý khóa

Quản lý khóa có thể bao gồm:

a) Tạo ra các khóa phù hợp xứng với mức an ninh yêu cầu;

b) Xác định theo đúng các yêu cầu về điều khiển truy cập, ở đó các thực thể nhận bản sao của mỗi khóa, và

c) Tạo sẵn hoặc phân tán các khóa theo cách an toàn cho các trường hợp thực thể trong các hệ thống mở thực.

Một số chức năng quản lý khóa sẽ được thực hiện bên ngoài môi trường OSI. Các chức năng này bao gồm việc phân tán các khóa bằng các phương tiện đáng tin cậy.

Việc trao đổi các khóa hoạt động sử dụng trong một liên kết là chức năng giao thức tầng thông thường. Lựa chọn các khóa hoạt động cũng có thể được hoàn thành bằng cách truy cập tới trung tâm phân tán khóa hoặc phân tán trước qua các giao thức quản lý.

8.4.2. Quản lý mã hóa

Quản lý mã hóa có thể bao gồm:

...

...

...

b) Thiết lập các thông số mật mã;

c) Đồng bộ hóa mật mã.

Sự tồn tại của cơ chế mã hóa bao hàm việc sử dụng quản lý khóa và các cách thông thường nhằm tham chiếu các thuật toán mật mã.

Mức độ phân biệt việc bảo vệ do mã hóa tạo ra được xác định bởi các thực thể trong môi trường OSI được khóa một cách độc lập. Nhìn chung, mức độ này được xác định bởi kiến trúc an ninh và cơ chế quản lý khóa.

Tham chiếu thông thường đối với các thuật toán mật mã có thể đạt được bằng cách sử dụng một bộ đăng ký về các thuật toán mật mã hoặc bằng các thỏa thuận ưu tiên giữa các thực thể.

8.4.3. Quản lý chữ ký số

Quản lý chữ ký số có thể bao gồm:

a) Tương tác với quản lý khóa;

b) Thiết lập các thông số và thuật toán mật mã; và

...

...

...

CHÚ THÍCH - Nhìn chung, có sự tồn tại các tương đồng giữa quản lý chữ ký số và quản lý mã hóa.

8.4.4. Quản lý điều khiển truy cập

Quản lý điều khiển truy cập có thể bao gồm việc phân tán các thuộc tính hoặc cập nhật an ninh (bao gồm các mật khẩu) nhằm truy cập các danh mục điều khiển hoặc danh mục các khả năng. Nó cũng có thể bao gồm việc sử dụng một giao thức giữa các thực thể truyền thông và các thực thể khác cung cấp các dịch vụ điều khiển truy cập.

8.4.5. Quản lý tính toàn vẹn của dữ liệu

Quản lý tính toàn vẹn của dữ liệu có thể bao gồm:

a) Tương tác với quản lý khóa;

b) Thiết lập các thông số và thuật toán mật mã; và

c) Sử dụng giao thức giữa các thực thể truyền giao tiếp.

CHÚ THÍCH - Khi sử dụng các kỹ thuật mật mã về tính toàn vẹn của dữ liệu, có sự tồn tại các tương đồng giữa quản lý tính toàn vẹn của dữ liệu và quản lý mã hóa.

...

...

...

Quản lý xác thực có thể bao gồm việc phân tán thông tin mô tả, mật khẩu hoặc khóa (sử dụng quản lý khóa) cho các thực thể được yêu cầu nhằm thực hiện việc xác thực. Cũng bao gồm việc sử dụng giao thức giữa các thực thể giao tiếp và các thực thể khác cung cấp các dịch vụ xác thực.

8.4.7. Quản lý đệm lưu lượng

Quản lý đệm lưu lượng có thể bao gồm việc duy trì các quy tắc được sử dụng cho việc đệm lưu lượng. Ví dụ, điều này bao gồm:

a) Tỉ lệ dữ liệu được quy định trước;

b) Tỉ lệ dữ liệu ngẫu nhiên;

c) Các đặc điểm thông điệp như độ dài; và

d) Sự khác nhau của đặc tả, theo đúng với thời gian trong ngày và/hoặc lịch.

8.4.8. Quản lý điều khiển định tuyến

Quản lý điều khiển định tuyến có thể bao gồm việc xác định các liên kết hoặc các mạng con được xem xét là an toàn hoặc tin tường theo tiêu chí riêng.

...

...

...

Quản lý chứng thực có thể bao gồm:

a) Phân tán thông tin về các công chứng viên;

b) Sử dụng giao thức giữa công chứng viên và các thực thể giao tiếp; và

c) Tương tác với các công chứng viên.

PHỤ LỤC A

(Tham khảo)

THÔNG TIN CƠ BẢN VỀ AN NINH TRONG OSI

A.1. Bối cảnh

...

...

...

a) Thông tin về an ninh OSI nhằm đưa ra một số quan điểm của tiêu chuẩn này; và

b) Bối cảnh về các vấn đề liên quan đến kiến trúc của các tính năng và yêu cầu an ninh.

An ninh trong môi trường OSI chỉ là một khía cạnh của an ninh xử lý dữ liệu/an ninh truyền thông dữ liệu. Nếu chúng hiệu quả thì các biện pháp bảo vệ sử dụng trong môi trường OSI sẽ yêu cầu các biện pháp hỗ trợ nằm ngoài OSI. Ví dụ, luồng thông tin giữa các hệ thống có thể được mã hóa nhưng nếu không có các hạn chế về an ninh đặt trên truy cập các hệ thống thì việc mã hóa có thể không có kết quả. Cũng như vậy, OSI chỉ đề cập đến kết nối các hệ thống. Các biện pháp an ninh OSI hiệu quả khi chúng được sử dụng cùng với các biện pháp nằm ngoài phạm vi của OSI.

A.2. Yêu cầu đối với an ninh

A.2.1. Được định nghĩa như thế nào bởi an ninh?

Thuật ngữ "An ninh" được sử dụng theo nghĩa giảm thiểu các điểm yếu của tài sản và tài nguyên. Tài sản gồm mọi thứ có giá trị. Điểm yếu là tình trạng yếu kém mà có thể được lợi dụng để xâm nhập hệ thống hoặc thông tin. Mối đe dọa là tiềm năng vi phạm an ninh.

A.2.2. Thúc đẩy an ninh trong các hệ thống mở

ISO định danh yêu cầu cho chuỗi các tiêu chuẩn nhằm mở rộng an ninh giữa kiến trúc liên kết hệ thống mở. Điều này xuất phát từ:

a) Tăng sự phụ thuộc của xã hội vào máy tính mà được truy cập hoặc kết nối bằng truyền thông dữ liệu và yêu cầu bảo vệ chống lại các mối đe dọa khác nhau;

...

...

...

c) Sự mong muốn của các tổ chức là được sử dụng các tiêu chuẩn OSI, mở rộng khi được yêu cầu đối với các hệ thống an ninh hiện có và trong tương lai.

A.2.3. Cái gì được bảo vệ?

Nhìn chung, các vấn đề sau đây yêu cầu sự bảo vệ:

a) Thông tin và dữ liệu (bao gồm phần mềm và dữ liệu tiêu cực liên quan đến các biện pháp an ninh như là các mật khẩu);

b) Các dịch vụ truyền thông và xử lý dữ liệu; và

c) Trang thiết bị và các phương tiện.

A.2.4. Các mối đe dọa

Các mối đe dọa đến hệ thống truyền thông dữ liệu bao gồm:

a) Phá hủy thông tin và/hoặc các tài nguyên khác;

...

...

...

c) Lấy cắp, di chuyển hoặc mất mát thông tin và/hoặc các tài nguyên khác;

d) Làm lộ thông tin; và

e) Ngắt các dịch vụ.

Các mối đe dọa có thể được phân loại một cách ngẫu nhiên hoặc cố ý và có thể là tiêu cực hoặc tích cực.

A.2.4.1. Các mối đe dọa ngẫu nhiên

Các mối đe họa ngẫu nhiên là các mối đe dọa tồn tại mà không có dự định trước. Các ví dụ về mối đe dọa ngẫu nhiên bao gồm: sự cố về hệ thống; sai thao tác và lỗi phần mềm.

A.2.4.2. Các mối đe dọa cố ý

Các mối đe dọa cố ý có thể đi từ việc kiểm tra đột xuất sử dụng các công cụ sẵn có đến các tác động phức tạp vận dụng hiểu biết về hệ thống. Mối đe dọa cố ý nếu được thực hiện ra có thể được xem là một "tác động".

A.2.4.3. Các mối đe dọa tiêu cực

...

...

...

A.2.4.4. Các mối đe dọa tích cực

Các mối đe dọa tích cực đến hệ thống liên quan đến sự biến đổi thông tin chứa trong hệ thống hoặc các thay đổi đến trạng thái hoặc thao tác của hệ thống. Một thay đổi có hại cho các bảng định tuyến của hệ thống bởi việc sử dụng trái phép là ví dụ về mối đe dọa tích cực.

A.2.5. Một vài kiểu tác động cụ thể

Các nhận xét ngắn gọn về một số tác động cụ thể liên quan đến môi trường xử lý dữ liệu/truyền thông dữ liệu. Trong các phần sau đây, xuất hiện các thuật ngữ cho phép và trái phép. "Quyền hạn" có nghĩa là sự ban quyền. Hai thuật ngữ này được bao hàm bởi định nghĩa này là: các quyền thực hiện một số hoạt động (như là truy cập dữ liệu); và chúng được cấp cho một số thực thể, tác nhân con người, hoặc quy trình. Trạng thái cho phép là việc thực hiện các hoạt động với các quyền được cấp cho (và không được thu hồi). Để biết nhiều hơn về khái niệm quyền hạn, xem điều A.2.3.1.

A.2.5.1. Sự giả mạo

Sự giả mạo là nơi mà một thực thể đóng giả một thực thể khác. Sự giả mạo thường được sử dụng với một số dạng tác động tích cực khác, nhất là phát lại và sửa đổi thông điệp. Ví dụ, các chuỗi xác thực có thể được thu thập và phát lại sau khi chuỗi xác thực hợp lệ được thực hiện. Thực thể cho phép với một ít đặc quyền có thể sử dụng sự giả mạo để đạt được thêm các đặc quyền bằng cách đóng giả một thực thể có các đặc quyền đó.

A.2.5.2. Sự phát lại

Sự phát lại xảy ra khi một thông điệp hoặc một phần thông điệp được nhắc lại nhằm tạo ra tác dụng cho phép. Ví dụ, một thông điệp hợp lệ chứa thông tin xác thực có thể được phát lại bởi thực thể khác để tự xác thực.

A.2.5.3. Sửa đổi thông điệp

...

...

...

A.2.5.4. Chối bỏ dịch vụ

Chối bỏ dịch vụ xảy ra khi một thực thể thực hiện chức năng và hoạt động của nó nhằm ngăn ngừa các thực thể khác thực hiện các chức năng riêng của chúng. Sự tác động có thể là chung chung khi một thực thể chặn tất cả các thông điệp hoặc có thể có mục tiêu cụ thể khi một thực thể chặn tất cả các thông điệp hướng tới điểm đến riêng biệt như là dịch vụ kiểm định an ninh. Sự tác động có thể liên quan việc chặn lưu lượng như đã mô tả trong ví dụ này hoặc nó có thể tạo ra các thông điệp nhằm mục đích làm đứt đoạn thao tác mạng, nhất là nếu mạng có các thực thể chuyển tiếp quyết định việc định tuyến dựa trên các báo cáo trạng thái nhận từ các thực thể chuyển tiếp khác.

A.2.5.5. Tác động bên trong

Tác động bên trong xảy ra khi người sử dụng hệ thống theo các cách ngẫu nhiên hoặc trái phép. Hầu hết tội phạm máy tính được biết đến liên quan đến các tác động bên trong bao gồm an ninh hệ thống. Các phương pháp bảo vệ có thể được sử dụng để chống lại các tác động bên trong bao gồm:

a) Xem xét chặt chẽ lý lịch, trình độ chuyên môn của nhân viên;

b) Xem xét kỹ lưỡng phần cứng, phần mềm, chính sách an ninh và các cấu hình của hệ thống sao cho có một mức độ bảo đảm rằng chúng sẽ vận hành đúng (gọi là chức năng tin tưởng); và

c) Các biên bản kiểm định nhằm tăng khả năng phát hiện các tác động.

A.2.5.6. Các tác động bên ngoài

Các tác động bên ngoài có thể sử dụng các kỹ thuật như là:

...

...

...

b) Hủy bỏ việc chặn thiết bị nghe trộm;

c) Giả mạo là người sử dụng hệ thống hoặc là các thành phần của hệ thống; và

d) Theo các cơ chế điều khiển truy cập hoặc xác thực.

A.2.5.7. Cửa bẫy

Khi một thực thể của hệ thống được biến đổi cho phép kẻ tấn công tạo ra tác dụng trái phép lên lệnh hoặc tại sự việc xác định trước hoặc chuỗi các sự việc, kết quả được gọi là cửa bẫy. Ví dụ, việc xác định tính hợp lệ của mật khẩu có thể được sửa đổi thêm vào tác dụng thông thường của nó sao cho nó cũng xác định tính hợp lệ của mật khẩu của kẻ tấn công.

A.2.5.8. Trojan horse

Khi giới thiệu hệ thống, thì trojan horse có chức năng trái phép thêm vào chức năng cho phép của nó. Việc chuyển tiếp sao chép các thông điệp cho kênh trái phép gọi là một trojan horse.

A.2.6. Đánh giá mối đe dọa, rủi ro và các biện pháp đếm

Các tính năng về an ninh thường làm tăng giá cả của hệ thống và có thể khiến cho việc sử dụng khó hơn. Trước khi thiết kế một hệ thống an toàn thì cần định danh các mối đe dọa cụ thể và yêu cầu việc bảo vệ để chống lại chúng. Điều này được hiểu là đánh giá mối đe dọa. Hệ thống có thể bị làm hại theo nhiều cách nhưng chỉ một số là có thể khai thác được bởi vì kẻ tấn công không có nhiều cơ hội hoặc bởi vì kết quả không chứng minh được tác động và rủi ro của việc phát hiện. Mặc dù các vấn đề chi tiết về đánh giá mối đe dọa không nằm trong phạm vi của Phụ lục này nhưng trong bản thảo mở rộng chúng bao gồm:

...

...

...

b) Phân tích các mối đe dọa nhằm khai thác các điểm yếu này;

c) Ước lượng giá của mỗi tấn công;

d) Tính giá các biện pháp đếm tiềm năng; và

e) Lựa chọn các cơ chế an ninh (có thể bằng cách sử dụng các phân tích giá thành).

Các biện pháp phi kỹ thuật như là phạm vi bảo hiểm có thể là các phương pháp thay thế có hiệu quả đối với các biện pháp an ninh kỹ thuật. An ninh kỹ thuật hoàn hảo giống với an ninh vật lý hoàn hảo là không thể xảy ra. Do đó, mục tiêu là để tạo cho chi phí của một tác động đủ cao để giảm các mức độ rủi ro.

A.3. Chính sách an ninh

Điều này thảo luận về chính sách an ninh: yêu cầu cho một chính sách an ninh đã xác định một cách phù hợp; vai trò của nó; các phương pháp tiếp cận chính sách đang sử dụng và các phương pháp tinh vi để áp dụng các tình huống cụ thể. Do đó, các khái niệm được áp dụng cho các hệ thống truyền thông.

A.3.1. Yêu cầu và mục đích của chính sách an ninh

Toàn bộ trường an ninh đều phức tạp và có thể áp dụng rộng rãi. Mọi phân tích hoàn thiện sẽ tạo ra các chi tiết khác nhau. Chính sách an ninh phù hợp tập trung vào các khía cạnh tình huống mà mức cao nhất của quyền hạn nên nhận được sự chú ý. Về cơ bản, chính sách an ninh cho biết, trong các thuật ngữ chung, thuật ngữ được và không được phép trong trường an ninh trong quy trình đề cập đến thao tác của hệ thống. Chính sách thường không cụ thể, nó gợi ý cái gì là tầm quan trọng tối cao mà không cho biết chính xác kết quả đạt được như thế nào. Chính sách thiết lập mức cao nhất của một đặc tả an ninh.

...

...

...

Bởi vì các chính sách là quá chung nên tại lúc bắt đầu không dễ dàng để chỉ ra cách mà chính sách có thể được kết hợp với ứng dụng cho trước. Thông thường, cách tốt nhất để thực hiện điều này là đưa ra chính sách cho quy trình lọc kế tiếp bổ sung thêm chi tiết từ ứng dụng tại mỗi giai đoạn. Để biết các chi tiết nào cần nghiên cứu vùng ứng dụng chi tiết trong chính sách chung. Việc kiểm tra này xác định các vấn đề nảy sinh từ cố gắng áp đặt các điều kiện của chính sách trên ứng dụng. Quy trình lọc sinh ra chính sách chung trình bày lại trong các thuật ngữ được trực tiếp đưa ra từ ứng dụng. Chính sách này giúp xác định chi tiết thực hiện dễ dàng hơn.

A.3.3. Các thành phần chính sách an ninh

Có hai khía cạnh của chính sách an ninh hiện có. Cả hai phụ thuộc vào khái niệm về cách xử lý cho phép.

A.3.3.1. Quyền hạn

Các mối đe dọa đã thảo luận liên quan đến khái niệm về cách xử lý cho phép và trái phép. Phát biểu về quyền hạn được bao gồm trong chính sách an ninh. Chính sách an ninh chung cho biết "thông tin  không thể được đưa ra, được truy cập hoặc được phép suy luận hoặc không thể là tài nguyên được sử dụng, chúng đều không được phép". Bản chất của quyền hạn là phân biệt các chính sách khác nhau. Các chính sách có thể được chia thành hai thành phần riêng rẽ, dựa trên bản chất của quyền hạn liên quan, là các chính sách dựa trên quy tắc hoặc các chính sách dựa trên định danh. Việc sử dụng các quy tắc dựa trên số lượng nhỏ các thuộc tính hoặc các lớp chung bắt buộc. Chính sách thứ hai liên quan đến tiêu chí quyền hạn dựa trên các thuộc tính riêng lẻ, cụ thể. Một số thuộc tính giả thiết được kết hợp với thực thể mà chúng áp dụng; các thuộc tính khác có thể là các quyền sở hữu (ví dụ như các khả năng) mà có thể được phát đến các thực thể khác. Một là cũng có thể phân biệt giữa dịch vụ quyền hành chính và dịch vụ quyền hạn lựa chọn động. Chính sách an ninh xác định các phần tử của an ninh hệ thống trong đó luôn luôn được áp dụng và có hiệu lực (ví dụ: các thành phần chính sách an ninh dựa trên định danh và dựa trên quy tắc, nếu có) và các phần tử mà người sử dụng có thể lựa chọn khi họ thấy phù hợp.

A.3.3.2. Chính sách an ninh dựa trên định danh

Khía cạnh của các chính sách an ninh dựa trên thực thể tương ứng với khái niệm an ninh được hiểu là 'điều cần biết'. Mục đích là lọc truy cập dữ liệu hoặc tài nguyên. Có hai cách cơ bản về việc thực hiện các chính sách dựa trên định danh, phụ thuộc vào việc liệu thông tin về quyền truy cập có được thực hiện bởi người truy cập hoặc là một phần của dữ liệu được truy cập hay không. Cách đầu tiên được minh họa bởi các ý tưởng về các đặc quyền và khả năng cung cấp cho người sử dụng và được sử dụng bởi các quy trình đóng vai trò thay thế. Các danh mục điều khiển truy cập (ACLs) là các ví dụ về cách thứ hai. Trong cả hai trường hợp trên, kích cỡ của mục dữ liệu (từ tệp tin đầy đủ đến phần tử dữ liệu) có thể được đặt tên theo khả năng hoặc mang ACL của chính nó có thể thay đổi cao.

A.3.3.3. Chính sách an ninh dựa trên quy tắc

Quyền hạn trong chính sách an ninh dựa trên quy tắc thường dựa vào độ nhạy. Trong hệ thống an toàn, dữ liệu và/tài nguyên nên được đánh dấu với các nhãn an ninh. Các quy trình đóng vai trò thay mặt cho người sử dụng có thể thu được nhãn an ninh phù hợp với người phát dữ liệu.

...

...

...

Khái niệm ghi nhãn là quan trọng trong môi trường truyền thông. Nhãn mang các thuộc tính đóng các vai trò khác nhau. Có các mục dữ liệu di chuyển trong quy trình truyền thông; có các quy trình và thực thể khởi tạo việc truyền thông; và đáp lại; có các kênh và các tài nguyên khác của bản thân hệ thống được sử dụng trong quy trình truyền thông. Tất cả đều được ghi nhãn theo một cách hoặc cách khác với các thuộc tính của chúng. Các chính sách an ninh chỉ ra cách mà các thuộc tính có thể được sử dụng để cung cấp chính sách an ninh cần thiết. Việc thương thảo nhằm thiết lập tầm quan trọng của các thuộc tính an ninh riêng. Khi các nhãn an ninh được gắn với các quy trình đang truy cập và dữ liệu đã truy cập, thông tin bổ sung cần áp dụng bộ điều khiển truy cập dựa trên thực thể nên là các nhãn liên quan. Khi một chính sách an ninh được dựa trên định danh người sử dụng truy cập dữ liệu trực tiếp hoặc qua một quy trình thì các nhãn an ninh bao gồm thông tin về định danh của người sử dụng. Các quy tắc về các nhãn riêng nên được trình bày theo chính sách an ninh trong Cơ sở thông tin quản lý an ninh (SMIB) và/hoặc được thương thảo với hệ thống cuối khi có yêu cầu. Nhãn có thể được thêm hậu tố bởi các thuộc tính, các thuộc tính này làm giảm bớt độ nhạy của nhãn, quy định việc sử dụng và các nơi phân tán, quy định sự tính toán thời gian, cách sắp xếp và giải thích rõ ràng các yêu cầu đặc trưng cho hệ thống cuối.

A.3.4.1. Các nhãn quy trình

Trong quy trình xác thực, việc định danh đầy đủ các quy trình hoặc thực thể đó khởi tạo và đáp lại trường hợp truyền thông, cùng với tất cả các thuộc tính đều có tầm quan trọng cơ bản. Do đó, SMIBs sẽ chứa thông tin đầy đủ về các thuộc tính đó, các thuộc tính này có tầm quan trọng đối với mọi chính sách an ninh quản trị.

A.3.4.2. Các nhãn mục dữ liệu

Khi các mục dữ liệu di chuyển trong thời gian thực hiện việc, mỗi mục dữ liệu sẽ được gắn với nhãn của nó. (Việc gắn này là quan trọng, trong một số trường hợp của chính sách dựa trên quy tắc, cần yêu cầu rằng nhãn được tạo ra là một phần đặc biệt của mục dữ liệu trước khi nó thực hiện ứng dụng). Các kỹ thuật nhằm bảo vệ tính toàn vẹn của mục dữ liệu cũng duy trì tính chính xác và sự kết hợp của nhãn. Các thuộc tính này có thể được sử dụng bởi các chức năng điều khiển định tuyến trong tầng liên kết dữ liệu của mô hình tham chiếu OSI.

A.4. Các cơ chế an ninh

Chính sách an ninh có thể được thực hiện bằng cách sử dụng các cơ chế khác nhau một cách đơn lẻ hoặc kết hợp, phụ thuộc vào các mục tiêu của chính sách và các cơ chế sử dụng. Nhìn chung, cơ chế sẽ phụ thuộc vào một trong ba lớp sau:

a) Ngăn chặn;

b) Phát hiện; và

...

...

...

Các cơ chế an ninh phù hợp với môi trường truyền dữ liệu được thảo luận dưới đây.

A.4.1. Các kỹ thuật mật mã và mã hóa

Mật mã làm cơ sở cho nhiều dịch vụ và cơ chế an ninh. Các chức năng mật mã có thể được sử dụng như một phần của mã hóa, giải mã, tính toàn vẹn của dữ liệu, trao đổi xác thực, kiểm tra và lưu trữ mật khẩu, v.v. nhằm đạt được tính mật, tính toàn vẹn và/hoặc tính xác thực. Mã hóa biến đổi dữ liệu nhạy cảm (tức là dữ liệu được bảo vệ) thành các dạng ít nhạy cảm hơn. Khi được sử dụng cho tính toàn vẹn và xác thực, các kỹ thuật mật mã được sử dụng để ước tính các chức năng đáng nhớ.

Mã hóa được thực hiện đầu tiên trên bản rõ nhằm tạo ra văn bản viết bằng mật mã. Kết quả của việc giải mã là bản rõ hoặc văn bản viết bằng mật mã dưới một số lớp bảo vệ. Việc sử dụng bản rõ nhằm mục đích xử lý là khả thi; nội dung ngữ nghĩa của nó có thể truy cập được. Ngoại trừ trong các cách đã quy định, (giải mã đầu tiên hoặc sự phù hợp). Sẽ không khả thi khi xử lý văn bản viết bằng mật mã khi nội dung ngữ nghĩa của nó bị giấu kín. Việc mã hóa đôi khi là phi thuận nghịch (ví dụ: bằng cách cắt bớt hoặc mất mát dữ liệu) khi việc mã hóa không muốn dẫn xuất bản rõ gốc như là các mật khẩu.

Các chức năng mật mã sử dụng các biến mật mã và điều hành qua các trường, đơn vị dữ liệu, và/hoặc các nhánh của đơn vị dữ liệu. Hai biến mật mã là khóa định hướng các phép biến đổi cụ thể và biến khởi tạo được yêu cầu trong các giao thức mật mã nhất định nhằm bảo vệ tính ngẫu nhiên của văn bản viết bằng mật mã. Khóa phải luôn đáng tin, chức năng mật mã và biến khởi tạo có thể tăng sự tiêu thụ băng thông. Điều này làm phức tạp việc bổ sung mật mã "rõ ràng" hoặc "treo" cho các hệ thống hiện có.

Các biến mật mã có thể là đối xứng hoặc phi đối xứng thông qua việc mã hóa và giải mã. Các khóa sử dụng trong các thuật toán phi đối xứng có liên quan toán học với nhau; một khóa có thể được tính toán từ khóa khác. Các thuật toán này đôi khi được gọi là các thuật toán "khóa công khai" bởi vì một khóa có thể tạo công khai trong khi khóa khác giữ bí mật.

Văn bản viết bằng mật mã có thể được giải mã khi nó có thể khôi phục bản rõ mà không biết về khóa. Điều này có thể xảy ra nếu chức năng mật mã yếu được sử dụng. Các trạng thái bị chặn và phân tích lưu lượng có thể dẫn đến các tác động lên hệ thống mật mã bao gồm việc chèn, xóa và thay đổi thông điệp/trường, sự phát lại văn bản viết bằng mật mã hợp lệ và sự giả mạo. Do đó, các giao thức mật mã được thiết kế để chống lại các tác động và các phân tích lưu lượng. Biện pháp đếm các phân tích lưu lượng cụ thể, "tính mật của luồng lưu lượng" nhằm che đậy sự có mặt hoặc vắng mặt của dữ liệu và các đặc điểm của nó. Nếu văn bản viết bằng mật mã được chuyển tiếp thì địa chỉ phải rõ ràng tại các điểm chuyển tiếp và các cổng. Nếu dữ liệu được mã hóa trên mỗi liên kết và được giải mã trong chuyển tiếp hoặc trong cổng thì kiến trúc được cho biết là sử dụng "mã hóa từng liên kết". Nếu chỉ địa chỉ (và dữ liệu kiểm soát tương tự) là rõ ràng tại điểm chuyển tiếp và cổng thì kiến trúc được cho biết là sử dụng "mã hóa toàn trình". Mã hóa toàn trình được mong đợi hơn từ quan điểm an ninh nhưng phức tạp hơn về mặt kiến trúc, nhất là nếu phân tán khóa điện tử trong dải (quản lý chức năng khóa) được bao gồm. Mã hóa từng liên kết và mã hóa toàn trình có thể được kết hợp với nhau để đạt được nhiều mục tiêu an ninh. Tính toàn vẹn của dữ liệu thường đạt được bằng cách tính toán các giá trị kiểm tra mật mã. Giá trị kiểm tra có thể được dẫn xuất trong một hoặc nhiều bước và là chức năng toán học của các biến mật mã và dữ liệu. Các giá trị kiểm tra này liên kết với dữ liệu được bảo vệ. Các giá trị kiểm tra mật mã đôi khi được gọi là các mã phát hiện thao tác.

Các kỹ thuật mật mã có thể cung cấp việc bảo vệ chống lại:

a) Quan sát và/hoặc sửa đổi chuỗi thông điệp;

...

...

...

c) Sự chối bỏ;

d) Sự giả mạo;

e) Kết nối trái phép; và

f) Sửa đổi thông điệp.

A.4.2. Các khía cạnh của quản lý khóa

Quản lý khóa được bao hàm bởi việc sử dụng các thuật toán mật mã. Quản lý khóa bao gồm việc tạo, phân phát và kiểm soát các khóa mật mã. Việc lựa chọn phương pháp quản lý khóa được dựa trên đánh giá về môi trường của người tham gia mà sử dụng phương pháp đó. Các xem xét về môi trường này bao gồm việc bảo vệ khỏi các mối đe dọa (cả bên trong và bên ngoài tổ chức), các công nghệ được sử dụng, cấu trúc kiến trúc và vị trí các dịch vụ mật mã được cung cấp, cấu trúc vật lý và vị trí của các nhà cung cấp dịch vụ mật mã.

Các điểm xem xét liên quan đến quản lý khóa bao gồm:

a) Việc sử dụng một "lifetime" (vòng đời) dựa trên thời gian, việc sử dụng hoặc các tiêu chí khác với mối khóa được xác định một cách rõ ràng và triệt để;

b) Định danh chính xác các khóa theo chức năng của nó sao cho việc sử dụng có thể được dành riêng cho chức năng của chúng, ví dụ: các khóa được sử dụng cho dịch vụ đáng tin cậy không nên được sử dụng cho dịch vụ toàn vẹn và ngược lại; và

...

...

...

Các điểm xem xét liên quan đến quản lý khóa đối với các thuật toán khóa đối xứng bao gồm:

a) Việc sử dụng dịch vụ đáng tin cậy trong giao thức quản lý khóa nhằm truyền tải các khóa;

b) Việc sử dụng hệ phân cấp khóa. Các tình huống khác nhau được cho phép như:

1) Các hệ phân cấp khóa "flat" chỉ sử dụng các khóa mã hóa dữ liệu, được lựa chọn một cách rõ ràng và triệt để từ một tập bởi định danh khóa hoặc chỉ mục;

2) Các hệ phân cấp khóa nhiều tầng; và

3) Các khóa mã hóa khóa không bao giờ được sử dụng để bảo vệ dữ liệu và các khóa mã hóa dữ liệu không bao giờ được sử dụng để bảo vệ các khóa mã hóa khóa.

c) Việc phân chia trách nhiệm để cho không người nào có quyền sao chép khóa quan trọng.

Các điểm xem xét liên quan đến quản lý khóa đối với các thuật toán khóa phi đối xứng bao gồm:

a) Việc sử dụng dịch vụ đáng tin cậy trong giao thức quản lý khóa nhằm truyền tải các khóa bí mật; và

...

...

...

A.4.3. Các cơ chế chữ ký số

Thuật ngữ chữ ký số được sử dụng để chỉ ra một kỹ thuật riêng được sử dụng để cung cấp các dịch vụ an ninh ví dụ như chống chối bỏ và xác thực. Các cơ chế chữ ký số yêu cầu việc sử dụng các thuật toán mật mã phi đối xứng. Đặc điểm chủ yếu của cơ chế chữ ký số là đơn vị dữ liệu có dấu không thể được tạo ra mà không sử dụng khóa riêng tư. Điều này có nghĩa là:

a) Đơn vị dữ liệu có dấu không thể được tạo ra bởi cá nhân ngoại trừ người giữ khóa riêng tư; và

b) Người nhận không thể tạo ra đơn vị dữ liệu có dấu.

Do đó, chỉ sử dụng thông tin sẵn có một cách công khai, có khả năng định danh người đánh dấu đơn vị dữ liệu như một người sở hữu khóa riêng tư. Trong trường hợp xung đột sau đó giữa hai người tham gia, có thể chứng minh việc định danh người đánh dấu đơn vị dữ liệu cho bên thứ ba tin cậy, người này sẽ đánh giá tính xác thực của đơn vị dữ liệu có dấu. Kiểu chữ ký số này được gọi là chữ ký trực tiếp (xem Hình 1). Trong các trường hợp khác, (các) đặc tính bổ sung có thể được yêu cầu:

c) Người gửi không thể chối bỏ việc gửi đơn vị dữ liệu có dấu.

Bên thứ ba tin cậy chứng minh cho người nhận nguồn thông tin và tính toàn vẹn của thông tin. Kiểu chữ ký số này đôi khi được phán đoán bằng lược đồ chữ ký số (xem Hình 2).

CHÚ THÍCH - Người gửi có thể yêu cầu rằng người nhận không thể chối bỏ việc nhận đơn vị dữ liệu có dấu sau đó. Điều này có thể được hoàn thành với dịch vụ thừa nhận bằng chứng xuất xứ bằng sự kết hợp của các cơ chế chữ ký số, tính toàn vẹn của dữ liệu và chứng thực.

A.4.4. Các cơ chế điều khiển truy cập

...

...

...

Hình 1 - Lược đồ chữ ký trực tiếp

Hình 2 - Lược đồ chữ ký có phân xử

A.4.5. Các cơ chế về tính toàn vẹn của dữ liệu

Các cơ chế về tính toàn vẹn của dữ liệu gồm 2 kiểu: chúng sử dụng để bảo vệ tính toàn vẹn của đơn vị dữ liệu đơn và sử dụng để bảo vệ tính toàn vẹn của các đơn vị dữ liệu đơn và trình tự toàn bộ dòng đơn vị dữ liệu trên một kết nối.

A.4.5.1. Phát hiện việc sửa đổi dòng thông điệp

Các kỹ thuật phát hiện sự sai lạc thường được kết hợp với việc phát hiện các lỗi bit, các lỗi khối, các lỗi sắp chuỗi do các mạng và các liên kết truyền thông đưa ra, cũng có thể được sử dụng để phát hiện việc sửa đổi dòng thông điệp. Tuy nhiên, phần đầu và phần cuối giao thức không được bảo vệ bởi các cơ chế toàn vẹn, một người xâm nhập am hiểu có thể bỏ qua các cản trở này. Việc phát hiện thành công việc sửa đổi dòng thông điệp chỉ có thể đạt được bằng cách sử dụng các công nghệ phát hiện sai lạc cùng với thông tin chuỗi. Điều này tuy không ngăn ngừa việc sửa đổi dòng thông điệp nhưng sẽ cung cấp một thông báo về các tác động.

A.4.6. Các cơ chế trao đổi xác thực

...

...

...

Có nhiều lựa chọn và sự kết hợp của các cơ chế trao đổi xác thực phù hợp với các trường hợp khác nhau. Ví dụ:

a) Khi các thực thể ngang hàng và phương tiện truyền thông đều đáng tin cậy thì việc định danh thực thể ngang hàng có thể được xác nhận bằng mật khẩu. Mật khẩu bảo vệ khỏi lỗi, nó không phải bằng chứng chống lại các tác động xấu, (nhất là không chống lại việc phát lại). Xác thực lẫn nhau có thể được thực hiện bằng cách sử dụng mật khẩu khác biệt ở mỗi hướng.

b) Khi mỗi thực thể tin tưởng các thực thể ngang hàng mà không tin tưởng phương tiện truyền thông thì việc bảo vệ khỏi các tác động tích cực có thể được cung cấp bởi sự kết hợp của mật khẩu và mã hóa hoặc bởi phương tiện mật mã. Bảo vệ khỏi các tác động của việc phát lại yêu cầu thỏa thuận hai chiều (với các thông số bảo vệ) hoặc tem thời gian (với các sơ đồ đồng bộ hóa tin cậy). Xác thực lẫn nhau với việc bảo vệ khỏi sự phát lại có thể đạt được bằng cách sử dụng thỏa thuận ba chiều;

c) Khi các thực thể không tin tưởng các thực thể ngang hàng hoặc phương tiện truyền thông thì các dịch vụ thừa nhận có thể được sử dụng. Dịch vụ thừa nhận có thể đạt được bằng cách sử dụng các cơ chế chữ ký số và/hoặc các cơ chế chứng thực. Các cơ chế này có thể được sử dụng với các cơ chế mô tả ở mục (b).

A.4.7. Các cơ chế đệm lưu lượng

Việc tạo lưu lượng giả mạo và các đơn vị dữ liệu giao thức đệm cho một độ dài không đổi có thể cung cấp việc bảo vệ giới hạn khỏi các phân tích lưu lượng. Để thành công, mức lưu lượng giả mạo phải xấp xỉ với mức cao nhất của lưu lượng thực. Ngoài ra, các nội dung của các đơn vị dữ liệu giao thức phải được mã hóa hoặc được cải trang để lưu lượng giả mạo không thể được định danh và phân biệt từ lưu lượng thực.

A.4.8. Cơ chế điều khiển định tuyến

Đặc tả các cảnh báo định tuyến đối với việc truyền dữ liệu (bao gồm việc đặc tả toàn bộ tuyến) có thể được sử dụng nhằm đảm bảo rằng dữ liệu chỉ được truyền tải qua các tuyến an toàn về mặt vật lý hoặc để đảm bảo rằng thông tin nhạy cảm chỉ được đưa qua các tuyến với mức bảo vệ thích hợp.

A.4.9. Cơ chế chứng thực

...

...

...

A.4.10. An ninh vật lý và an ninh nhân sự

Các biện pháp an ninh vật lý luôn cần thiết để đảm bảo việc bảo vệ hoàn toàn. An ninh vật lý thường tốn nhiều tiền của, các nỗ lực nhằm giảm thiểu yêu cầu bằng cách sử dụng các kỹ thuật khác (rẻ hơn). Các xem xét về an ninh vật lý và an ninh nhân sự nằm ngoài phạm vi của OSI, mặc dù tất cả các hệ thống dựa trên một số dạng an ninh vật lý và dựa trên tính đáng tin cậy của người điều hành hệ thống. Các thủ tục điều hành nên được xác định để đảm bảo thao tác chính xác và để vạch ra các trách nhiệm của người thực hiện.

A.4.11. Phần cứng/phần mềm đáng tin cậy

Các phương pháp sử dụng để có được độ tin cậy trong hoạt động của một thực thể bao gồm các phương pháp chứng minh chính thức, sự xác nhận và kiểm tra tính hợp lệ, sự phát hiện và ghi lại các tác động đã biết và việc xây dựng thực thể bởi một cá nhân đáng tin cậy trong môi trường an toàn. Các cảnh báo cũng được yêu cầu để đảm bảo rằng thực thể không bị sửa đổi một cách ngẫu nhiên hay cố ý bao gồm an ninh trong suốt thời gian vận hành của nó, ví dụ trong lúc duy trì hay cập nhật. Một số thực thể trong hệ thống cũng phải được tin tưởng để thực hiện chức năng chính xác nếu an ninh được duy trì. Các phương pháp sử dụng để thiết lập độ tin cậy không nằm trong phạm vi của OSI.

PHỤ LỤC B

(Tham khảo)

GIẢI THÍCH DỊCH VỤ VÀ CÁC CƠ CHẾ AN NINH TRONG ĐIỀU 7

B.1. Khái quát

...

...

...

Nếu có hiệu quả thì dịch vụ an ninh riêng rẽ được cung cấp bởi nhiều tầng của an ninh truyền thông chung có thể được xem là khác nhau (ví dụ: tính mật của kết nối ở tầng 1 và 4). Việc xem xét các chức năng truyền thông dữ liệu OSI hiện có (ví dụ: các thủ tục đa liên kết, chức năng ghép kênh, các cách khác nhau nhằm nâng cao dịch vụ không kết nối đến dịch vụ kết nối) và cho phép điều hành các cơ chế truyền dẫn này, cần cho phép dịch vụ riêng rẽ được cung cấp ở tầng khác mặc dù hiệu quả an ninh không được cho là khác nhau.

B.2. Xác thực thực thể ngang hàng

Tầng 1 và 2: Không, xác thực thực thể ngang hàng không được xem là có ích trong các tầng này.

Tầng 3: Có, qua các mạng con riêng lẻ và đối với việc định tuyến và/hoặc qua mạng quốc tế.

Tầng 4: Có, xác thực hệ thống cuối đến hệ thống cuối trong tầng 4 có thể xác thực hai hay nhiều thực thể phiên, trước khi khởi đầu một kết nối và đối với thời lượng của kết nối đó.

Tầng 5: Không, không có lợi ích nào khi cung cấp dịch vụ này ở các tầng 4 và/hoặc các tầng cao hơn.

Tầng 6: Không, các cơ chế mã hóa có thể hỗ trợ dịch vụ này trong Tầng Ứng dụng.

Tầng 7: Có, xác thực thực thể ngang hàng nên được cung cấp bởi tầng ứng dụng.

B.3. Xác thực nguồn gốc dữ liệu

...

...

...

Các tầng 3 và 4: xác thực nguồn gốc dữ liệu có thể được cung cấp giữa hai đầu mút trong vai trò chuyển tiếp và định tuyến của tầng 3 và/hoặc tầng 4 như sau:

a) Cung cấp sự xác thực thực thể ngang hàng thời gian thiết lập kết nối cùng với xác thực liên tục dựa trên mã hóa trong suốt thời gian một kết nối cung cấp dịch vụ xác thực nguồn gốc dữ liệu; và

b) Khi không được cung cấp thì việc xác thực nguồn gốc dữ liệu có thể được cung cấp với lượng bổ sung cho các cơ chế về tính toàn vẹn của dữ liệu đặt trong các tầng này.

Tầng 5: Không, không có các lợi ích nào khi cung cấp điều này ở tầng 4 hoặc tầng 7.

Tầng 6: Không, các cơ chế mã hóa có thể hỗ trợ dịch vụ này trong tầng ứng dụng.

Tầng 7: Có, có thể kết hợp với các cơ chế trong tầng trình diễn.

Các tầng 1 và 2: các cơ chế điều khiển truy cập không thể được cung cấp tại các tầng 1 hoặc 2 trong hệ thống phù hợp với các giao thức OSI đầy đủ, bởi không có các tiện ích sẵn có cho cơ chế như vậy.

Tầng 3: Các cơ chế điều khiển truy cập có thể được áp đặt lên vai trò truy cập mạng con bởi các yêu cầu về mạng con riêng rẽ. Khi được thực hiện bởi vai trò chuyển tiếp và định tuyến, các cơ chế truy cập trong tầng mạng có thể được sử dụng để điều khiển các truy cập mạng con bởi các thực thể chuyển tiếp và để điều khiển truy cập đến các hệ thống cuối. Rõ ràng, độ chi tiết của kết nối chỉ phân biệt giữa các thực thể tầng mạng.

Việc thiết lập kết nối mạng có thể dẫn đến các cách tính giá bởi quản trị mạng con. Sự giảm thiểu giá cả có thể được thực hiện bằng cách điều khiển truy cập và lựa chọn cách tính giá ngược hoặc các thông số cụ thể của mạng con hay mạng khác.

...

...

...

Tầng 5: Không, không có lợi ích nào khi cung cấp dịch vụ này ở tầng 4 và/hoặc tầng 7.

Tầng 6: Không, không phù hợp ở tầng 6.

Tầng 7: Có, các giao thức ứng dụng và/hoặc các quy trình ứng dụng có thể cung cấp các tiện ích điều khiển truy cập ứng dụng.

B.5. Tính mật của tất cả dữ liệu người sử dụng-tầng (N) trên kết nối-tầng (N)

Tầng 1: Có, nên được cung ấp bởi việc chèn các cặp thiết bị biến đổi điện có thể tin cậy hoàn toàn trên kết nối vật lý.

Tầng 2: Có, nó không cung cấp các lợi ích an ninh bổ sung qua tính mật ở tầng 1 hoặc tầng 3.

Tầng 3: Có, đối với vai trò truy cập mạng con qua các mạng con riêng lẻ và đối với các vai trò chuyển tiếp và định tuyến qua mạng quốc tế.

Tầng 4: Có, vì kết nối giao vận riêng lẻ đưa ra cơ chế giao vận giữa hai đầu mút và có thể cung cấp việc cách ly các kết nối phiên.

Tầng 5: Không, vì nó không cung cấp lợi ích bổ sung thông qua tính mật ở các tầng 3,4 và 7. Nó không thích hợp để cung cấp dịch vụ này ở tầng 5.

...

...

...

Tầng 7: Có, cùng với các cơ chế tại các tầng thấp hơn.

B.6. Tính mật của tất cả dữ liệu người sử dụng-tầng (N) trong SDU không kết nối đơn-tầng (N)

Đối với tính mật của tất cả dữ liệu người sử dụng - tầng (N) ngoại trừ tầng 1 nơi không có dịch vụ không kết nối.

B.7. Tính mật của trường lựa chọn trong dữ liệu người sử dụng SDU-tầng (N)

Dịch vụ tin cẩn này được cung cấp bởi việc mã hóa trong tầng trình diễn và được gọi ra bởi các cơ chế trong tầng ứng dụng theo các ngữ nghĩa của dữ liệu.

B.8. Tính mật của luồng lưu lượng

Tính mật của luồng lưu lượng đầy đủ chỉ có thể thực hiện được ở tầng 1. Điều này đạt được bằng cách chèn một cặp thiết bị mã hóa vào trong đường truyền dẫn vật lý. Giả thiết rằng đường truyền dẫn là hai chiều đồng thời và đồng bộ hóa sao cho việc chèn thiết bị sẽ hoàn lại các đường truyền dẫn trên các phương tiện vật lý không nhận dạng được.

Trên tầng vật lý, không xuất hiện an ninh luồng lưu lượng. Một số hiệu quả được tạo ra bằng cách sử dụng dịch vụ tin cẩn của SDU ở một tầng và chối bỏ lưu lượng giả mạo ở tầng cao hơn. Cơ chế này có giá cao và tiêu thụ số lượng lớn vật mang và dung lượng chuyển mạch.

Nếu tính mật của luồng lưu lượng được cung cấp ở tầng 3 thì bộ điều khiển đệm lưu lượng và/hoặc định tuyến sẽ được sử dụng. Điều khiển định tuyến có thể cung cấp tính mật của luồng lưu lượng giới hạn bằng cách định tuyến các thông điệp xung quanh các kết nối và mạng con không an toàn. Tuy nhiên, sự hợp nhất của việc đệm lưu lượng trong tầng 3 giúp cho việc sử dụng mạng tốt hơn, ví dụ: bằng cách tránh sự quá tải mạng và việc làm đệm không cần thiết.

...

...

...

B.9. Tính toàn vẹn của tất cả dữ liệu người sử dụng - tầng (N) trên (kết nối - tầng (N) (có sự khôi phục lỗi)

Các tầng 1 và 2: các tầng 1 và 2 không thể cung cấp dịch vụ này. Tầng 1 không có các cơ chế phát hiện hoặc khôi phục và tầng 2 chỉ điều hành trên cơ sở điểm-điểm, do đó không được xem là thích hợp để cung cấp dịch vụ này.

Tầng 3: Không, vì sự khôi phục lỗi không có sẵn.

Tầng 4: Có, vì dịch vụ này cung cấp kết nối giao vận giữa hai đầu mút.

Tầng 5: Không, vì sự khôi phục lỗi không phải là chức năng của tầng 5.

Tầng 6: Không, nhưng các dịch vụ mã hóa có thể hỗ trợ dịch vụ này trong tầng ứng dụng.

Tầng 7: Có, cùng với các cơ chế trong Tầng trình diễn.

B.10. Tính toàn vẹn của tất cả dữ liệu người sử dụng-tầng (N) trên kết nối-tầng (N) (không có sự khôi phục lỗi)

Các tầng 1 và 2: Các tầng 1 và 2 không thể cung cấp dịch vụ này. Tầng 1 không có các cơ chế phát hiện hoặc khôi phục và tầng 2 chỉ vận hành trên cơ sở điểm-điểm, do đó không được xem là thích hợp để cung cấp dịch vụ này.

...

...

...

Tầng 4: Có, đối với các trường hợp sử dụng ở đó nó được thừa nhận để kết thúc việc truyền thông sau khi phát hiện một tác động tích cực.

Tầng 5: Không, vì nó không cung cấp lợi ích bổ sung qua tính toàn vẹn của dữ liệu ở các tầng 3, 4 và 7.

Tầng 6: Không, nhưng các cơ chế mã hóa có thể hỗ trợ dịch vụ này trong tầng ứng dụng.

Tầng 7: Có, cùng với các cơ chế trong tầng trình diễn.

B.11. Tính toàn vẹn của các trường lựa chọn trong dữ liệu người sử dụng-tầng (N) của SDU-tầng (N) truyền qua kết nối-tầng (N) (không có sự khôi phục)

Tính toàn vẹn của các trường lựa chọn có thể được cung cấp bởi các cơ chế mã hóa trong tầng trình diễn cùng với các cơ chế gọi ra và kiểm tra trong tầng ứng dụng.

B.12. Tính toàn vẹn của tất cả dữ liệu người sử dụng-tầng (N) trong SDU không kết nối đơn-tầng (N)

Để giảm thiểu sự nhân đôi các chức năng, tính toàn vẹn của việc truyền không kết nối được cung cấp ở các tầng giống nhau đối với tính toàn vẹn không có sự khôi phục, ví dụ các tầng giao vận và ứng dụng. Các cơ chế toàn vẹn này có tính hiệu quả giới hạn và phải được thừa nhận.

B.13. Tính toàn vẹn của các trường lựa chọn trong SDU-tầng (N) không kết nối đơn

...

...

...

B.14. Chống chối bỏ

Các dịch vụ thừa nhận nguồn gốc và sự gửi đi có thể được cung cấp bởi cơ chế chứng nhận liên quan đến sự chuyển tiếp ở tầng 7.

Sử dụng cơ chế chữ ký số đối với chống chối bỏ yêu cầu sự hợp tác khép kín giữa các tầng 6 và 7.

PHỤ LỤC C

(Tham khảo)

LỰA CHỌN VỊ TRÍ MÃ HÓA CHO CÁC ỨNG DỤNG

C.1. Hầu hết các ứng dụng không yêu cầu mã hóa được sử dụng ở nhiều tầng. Việc lựa chọn tầng phụ thuộc vào các vấn đề chủ chốt được mô tả dưới đây:

1. Nếu tính mật của luồng lưu lượng được yêu cầu thì mã hóa tầng vật lý hoặc an ninh truyền dẫn (ví dụ: các kỹ thuật trải phổ thích hợp) sẽ được lựa chọn. An ninh vật lý tương xứng, định tuyến đáng tin cậy và chức năng tương tự tại các chuyển tiếp có thể thỏa mãn tất cả các yêu cầu về tính mật.

...

...

...

3. Nếu việc bảo vệ hàng hóa đơn giản của các phương tiện truyền thông hệ thống cuối đến hệ thống cuối và/hoặc thiết bị mã hóa bên ngoài được yêu cầu (ví dụ: để đưa ra cách bảo vệ thuật toán và các khóa hoặc bảo vệ khỏi phần mềm hỏng hóc) thì mã hóa tầng mạng sẽ được lựa chọn.

CHÚ THÍCH - Mặc dù việc khôi phục không được cung cấp trong tầng mạng nhưng các cơ chế khôi phục thông thường của tầng giao vận có thể được sử dụng để khôi phục khỏi các tác động do tầng mạng phát hiện ra.

4. Nếu tính toàn vẹn có sự khôi phục được yêu cầu cùng với tính chi tiết của việc bảo vệ cao thì mã hóa tầng giao vận sẽ được lựa chọn. Điều này có thể cung cấp tính mật và tính toàn vẹn có hoặc không có sự phục hồi.

5. Mã hóa ở tầng liên kết dữ liệu không được khuyến cáo cho các thực thi trong tương lai.

C.2. Khi có sự quan tâm đến hai hay nhiều vấn đề về khóa thì việc mã hóa sẽ được cung cấp trong nhiều tầng.

MỤC LỤC

Lời nói đầu

Lời giới thiệu

1. Phạm vi áp dụng

...

...

...

3. Định nghĩa và từ viết tắt

4. Ký hiệu

5. Mô tả chung các dịch vụ và cơ chế an ninh

6. Mối quan hệ của các dịch vụ, các cơ chế và các tầng

7. Xếp đặt các dịch vụ và cơ chế an ninh

8. Quản lý an ninh

Phụ lục A (Tham khảo) Thông tin cơ bản về an ninh trong OSI

Phụ lục B (Tham khảo) Giải thích ví dụ và các cơ chế an ninh trong Điều 7

Phụ lục C (Tham khảo) Lựa chọn vị trí mã hóa cho các ứng dụng