1、 Unin Internacional de TelecomunicacionesUIT-T M.3016.2SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (04/2005) SERIE M: GESTIN DE LAS TELECOMUNICACIONES, INCLUIDA LA RGT Y EL MANTENIMIENTO DE REDES Red de gestin de las telecomunicaciones Seguridad en el plano de gestin: Servicios de seg
2、uridad Recomendacin UIT-T M.3016.2 RECOMENDACIONES UIT-T DE LA SERIE M GESTIN DE LAS TELECOMUNICACIONES, INCLUIDA LA RGT Y EL MANTENIMIENTO DE REDES Introduccin y principios generales de mantenimiento y organizacin del mantenimiento M.10M.299 Sistemas internacionales de transmisin M.300M.559 Circuit
3、os telefnicos internacionales M.560M.759 Sistemas de sealizacin por canal comn M.760M.799 Circuitos internacionales utilizados para transmisiones de telegrafa y de telefotografa M.800M.899 Enlaces internacionales arrendados en grupo primario y secundario M.900M.999 Circuitos internacionales arrendad
4、os M.1000M.1099 Sistemas y servicios de telecomunicaciones mviles M.1100M.1199 Red telefnica pblica internacional M.1200M.1299 Sistemas internacionales de transmisin de datos M.1300M.1399 Designaciones e intercambio de informacin M.1400M.1999 Red de transporte internacional M.2000M.2999 Red de gesti
5、n de las telecomunicaciones M.3000M.3599 Redes digitales de servicios integrados M.3600M.3999 Sistemas de sealizacin por canal comn M.4000M.4999 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T M.3016.2 (04/2005) i Recomendacin UIT-T M.3016.2 Seguridad en el plano de gestin
6、: Servicios de seguridad Resumen Esta Recomendacin, en la que se determinan los servicios de seguridad en el plano de gestin de las telecomunicaciones, se refiere especficamente al aspecto de seguridad en el plano de gestin de los elementos de red (NE) y los sistemas de gestin (MS), que forman parte
7、 de la infraestructura de telecomunicaciones. Orgenes La Recomendacin UIT-T M.3016.2 fue aprobada el 13 de abril de 2005 por la Comisin de Estudio 4 (2005-2008) del UIT-T por el procedimiento de la Recomendacin UIT-T A.8. ii Rec. UIT-T M.3016.2 (04/2005) PREFACIO La UIT (Unin Internacional de Teleco
8、municaciones) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendacio
9、nes sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen R
10、ecomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas ne
11、cesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Recomendacin es volu
12、ntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obligatoriedad de un ele
13、mento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las partes.
14、PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos de p
15、ropiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesaria pa
16、ra aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB. UIT 2005 Reservados todos los derechos. Ninguna par
17、te de esta publicacin puede reproducirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T M.3016.2 (04/2005) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 1 3 Definiciones 2 4 Abreviaturas, siglas o acrnimos 2 5 Convenios . 2 6 Servicios de seguridad 2 6.1 Auten
18、ticacin 4 6.2 Control de acceso . 5 6.3 Confidencialidad de los datos. 6 6.4 Integridad de los datos 6 6.5 No repudio 7 6.6 Registro de auditora. 7 6.7 Informe de alarmas. 8 6.8 Inspeccin de paquetes. 8 iv Rec. UIT-T M.3016.2 (04/2005) Introduccin La infraestructura de las telecomunicaciones es cruc
19、ial para las comunicaciones y la economa mundiales. En consecuencia, resulta esencial disponer de una seguridad apropiada para las funciones de gestin que permita controlar esa infraestructura. Ya existen muchas normas sobre seguridad aplicadas a la gestin de la red de telecomunicaciones. No obstant
20、e, se considera que la conformidad es reducida y que las aplicaciones de los diversos equipos de telecomunicaciones y componentes de soporte lgico son incompatibles. Esta Recomendacin define los servicios de seguridad mediante los cuales los fabricantes, organismos y proveedores de servicio podrn im
21、plementar una infraestructura segura de gestin de las telecomunicaciones. Aunque el conjunto de servicios y mecanismos de seguridad que se propone en esta Recomendacin representa la mejor interpretacin de los ltimos adelantos, las tecnologas seguirn avanzando y las condiciones cambiarn. Para obtener
22、 los resultados previstos, esta Recomendacin deber evolucionar si las condiciones lo justifican. El objetivo de esta Recomendacin ser sentar las bases correspondientes en la materia. Los proveedores de servicio podrn incluir otros servicios y mecanismos de seguridad para responder a sus necesidades
23、concretas, aparte de los ya indicados en la presente Recomendacin. Esta Recomendacin forma parte de las Recomendaciones UIT-T de la serie M.3016.x que tiene por objeto formular directrices y recomendaciones para la seguridad en el plano de gestin de las redes en evolucin: Rec. UIT-T M.3016.0 Segurid
24、ad en el plano de gestin: Visin general. Rec. UIT-T M.3016.1 Seguridad en el plano de gestin: Requisitos de seguridad. Rec. UIT-T M.3016.2 Seguridad en el plano de gestin: Servicios de seguridad. Rec. UIT-T M.3016.3 Seguridad en el plano de gestin: Mecanismo de seguridad. Rec. UIT-T M.3016.4 Segurid
25、ad en el plano de gestin: Formulario de los perfiles. Rec. UIT-T M.3016.2 (04/2005) 1 Recomendacin UIT-T M.3016.2 Seguridad en el plano de gestin: Servicios de seguridad 1 Alcance En las Recs. UIT-T M.3016.1, M.3016.2 y M.3016.3 se especifica un conjunto de requisitos, servicios y mecanismos para lo
26、grar la seguridad que exigen las funciones de gestin necesarias para soportar la infraestructura de telecomunicaciones. En las Recs. UIT-T M.3016.1-M.3016.3 no se seala si un determinado requisito/servicio/mecanismo es obligatorio o facultativo ya que las distintas administraciones y organizaciones
27、requieren niveles diferentes de soporte de seguridad. Esta Recomendacin permite identificar los requisitos de los servicios de seguridad en el plano de gestin de las telecomunicaciones, centrndose especficamente en el aspecto de seguridad en el plano de gestin de los elementos de red (NE, network el
28、ements) y de los sistemas de gestin (MS, management systems), que forman parte de la infraestructura de telecomunicaciones. Esta Recomendacin es de carcter genrico y por lo tanto no determina ni hace alusin a los requisitos de una interfaz especfica de la red de gestin de las telecomunicaciones (RGT
29、). En la presente Recomendacin no se definen los requisitos de seguridad ni los mecanismos de seguridad necesarios para soportar los requisitos de los servicios de seguridad. Esta Recomendacin forma parte de las Recomendaciones de la serie M.3016.x. En otras Recomendaciones de la misma serie se espe
30、cifican los requisitos y mecanismos de seguridad, as como los formularios de las caractersticas de seguridad. El formulario definido en la Rec. UIT-T M.3016.4 est previsto para ayudar a las organizaciones, administraciones y otros organismos nacionales e internacionales a especificar el soporte obli
31、gatorio y facultativo de los requisitos, as como las gamas de valores, valores, etc., necesarios para aplicar sus polticas de seguridad. 2 Referencias Las siguientes Recomendaciones del UIT-T y otras referencias contienen disposiciones que, mediante su referencia en este texto, constituyen disposici
32、ones de la presente Recomendacin. Al efectuar esta publicacin, estaban en vigor las ediciones indicadas. Todas las Recomendaciones y otras referencias son objeto de revisiones por lo que se preconiza que los usuarios de esta Recomendacin investiguen la posibilidad de aplicar las ediciones ms recient
33、es de las Recomendaciones y otras referencias citadas a continuacin. Se publica peridicamente una lista de las Recomendaciones UIT-T actualmente vigentes. En esta Recomendacin, la referencia a un documento, en tanto que autnomo, no le otorga el rango de una Recomendacin. Recomendacin UIT-T E.408 (20
34、04), Requisitos de seguridad para las redes de telecomunicaciones. Recomendacin UIT-T X.800 (1991), Arquitectura de seguridad de la interconexin de sistemas abiertos para aplicaciones del CCITT. Recomendacin UIT-T X.805 (2003), Arquitectura de seguridad para sistemas de comunicaciones extremo a extr
35、emo. 2 Rec. UIT-T M.3016.2 (04/2005) 3 Definiciones La presente Recomendacin utiliza los siguientes trminos de la Rec. UIT-T X.800: control de acceso; autenticacin; confidencialidad; integridad de los datos; no repudio. 4 Abreviaturas, siglas o acrnimos En esta Recomendacin se utilizan las siguiente
36、s abreviaturas, siglas o acrnimos. MS Sistema de gestin (management system) NE Elemento de red (network element) OAM SER para indicar servicio; MEC para indicar mecanismo. 6 Servicios de seguridad En la figura 1 se representan las relaciones entre los objetivos de seguridad, amenazas, riesgos, requi
37、sitos de seguridad y servicios. Se describe el proceso para deducir “los requisitos de seguridad“ a partir de “las amenazas“ y de “los objetivos de seguridad“, los que a su vez sern tenidos en cuenta en un conjunto de servicios de seguridad. Estos “servicios“, que contrarrestan a las amenazas, utili
38、zarn los “mecanismos“ los cuales harn a su vez uso de los “algoritmos de seguridad“. Figura 1/M.3016.2 Marco de seguridad Rec. UIT-T M.3016.2 (04/2005) 3 El cuadro 1, a continuacin, se extrae de la Rec. UIT-T M.3016.0 (cuadro 4 de dicha Recomendacin). El cuadro, en el que se presenta una visin gener
39、al de la relacin entre los requisitos y los servicios de seguridad, se utiliza como base para organizar las dems Recomendaciones de la serie. Por ejemplo, en la Rec. UIT-T M.3016.1 se tratan los requisitos funcionales de seguridad, en la presente Recomendacin (Rec. UIT-T M.3016.2) se tratan los serv
40、icios de seguridad y en la Rec. UIT-T M.3016.3 se tratan los mecanismos de seguridad especficos relacionados con los servicios de seguridad. En la presente clusula se definen nicamente los servicios de seguridad que se tienen en cuenta en las soluciones estndar; se omiten otros servicios posibles (p
41、or ejemplo, la deteccin de negacin de servicio). Cuadro 1/M.3016.2 Correspondencia entre los requisitos de seguridad y los servicios de seguridad Requisito funcional de seguridad Servicio de seguridad Verificacin de identidades Autenticacin del usuario Autenticacin de la entidad par Autenticacin del
42、 origen de los datos Acceso controlado y autorizacin Control de acceso Proteccin de la confidencialidad datos almacenados Control de acceso Confidencialidad Proteccin de la confidencialidad datos transferidos Confidencialidad Proteccin de la integridad de los datos datos almacenados Control de acces
43、o Proteccin de la integridad de los datos datos transferidos Integridad Imputabilidad No repudio Registro de actividades Registro de auditora Notificacin de alarma de seguridad Alarma de seguridad Auditora de seguridad Registro de auditora Proteccin de la DCN Inspeccin de paquetes En el cuadro 2, se
44、 esboza la disposicin de esta clusula: Cuadro 2/M.3016.2 Organizacin de la clusula 6 Clusula Contenido 6.1 Trata los servicios de seguridad, incluidas la autenticacin del usuario, la autenticacin de la entidad par y la autenticacin del origen de los datos. 6.2 Trata el servicio de control de acceso.
45、 6.3 Trata el servicio de confidencialidad de los datos. 6.4 Trata el servicio de integridad de los datos. 6.5 Trata el servicio de no repudio. 6.6 Trata el servicio de registro de auditora 6.7 Trata el servicio de alarma de seguridad 4 Rec. UIT-T M.3016.2 (04/2005) 6.1 Autenticacin Una RGT debe ofr
46、ecer las capacidades necesarias para establecer y verificar la identidad pretendida por cualquiera de los actores de la RGT. Los actores pueden ser usuarios humanos o entidades que forman parte de la RGT. Una vez verificadas, las identidades constituyen la base para la imputabilidad y son fundamenta
47、les para el cumplimiento de la mayora de los requisitos de seguridad que se indican en la presente clusula. El servicio de seguridad que da soporte a este requisito se denomina autenticacin. Mediante el servicio de autenticacin se comprueba que la identidad de un objeto o sujeto es en realidad la id
48、entidad que ste reclama tener. Dependiendo del tipo de actor y del propsito de la identificacin, se podran exigir los siguientes tipos de autenticacin: autenticacin del usuario, que comprueba la identidad del usuario humano o del proceso de aplicacin; autenticacin de la entidad par, que comprueba la
49、 identidad de la entidad par durante una relacin de comunicacin; autenticacin del origen de los datos, que comprueba la identidad del responsable de una unidad especfica de datos. El servicio de autenticacin que se utilice, hace la comprobacin para un ejemplar particular de tiempo. Para garantizar una comprobacin co
