ITU-T X 805 FRENCH-2003 Security architecture for systems providing end-to-end communications《提供端对端通信的系统安全体系结构 X系列 数据网络和开放系统通信 安全 17号研究组》.pdf

《ITU-T X 805 FRENCH-2003 Security architecture for systems providing end-to-end communications《提供端对端通信的系统安全体系结构 X系列 数据网络和开放系统通信 安全 17号研究组》.pdf》由会员分享，可在线阅读，更多相关《ITU-T X 805 FRENCH-2003 Security architecture for systems providing end-to-end communications《提供端对端通信的系统安全体系结构 X系列 数据网络和开放系统通信 安全 17号研究组》.pdf（28页珍藏版）》请在麦多课文档分享上搜索。

1、 UNION INTERNATIONALE DES TLCOMMUNICATIONS UIT-T X.805SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (10/2003) SRIE X: RSEAUX DE DONNES ET COMMUNICATION ENTRE SYSTMES OUVERTS Scurit Architecture de scurit pour les systmes assurant des communications de bout en bout Recommandation UIT-T X.8

2、05 RECOMMANDATIONS UIT-T DE LA SRIE X RSEAUX DE DONNES ET COMMUNICATION ENTRE SYSTMES OUVERTS RSEAUX PUBLICS DE DONNES Services et fonctionnalits X.1X.19 Interfaces X.20X.49 Transmission, signalisation et commutation X.50X.89 Aspects rseau X.90X.149 Maintenance X.150X.179 Dispositions administrative

3、s X.180X.199 INTERCONNEXION DES SYSTMES OUVERTS Modle et notation X.200X.209 Dfinitions des services X.210X.219 Spcifications des protocoles en mode connexion X.220X.229 Spcifications des protocoles en mode sans connexion X.230X.239 Formulaires PICS X.240X.259 Identification des protocoles X.260X.26

4、9 Protocoles de scurit X.270X.279 Objets grs des couches X.280X.289 Tests de conformit X.290X.299 INTERFONCTIONNEMENT DES RSEAUX Gnralits X.300X.349 Systmes de transmission de donnes par satellite X.350X.369 Rseaux protocole Internet X.370X.399 SYSTMES DE MESSAGERIE X.400X.499 ANNUAIRE X.500X.599 RS

5、EAUTAGE OSI ET ASPECTS SYSTMES Rseautage X.600X.629 Efficacit X.630X.639 Qualit de service X.640X.649 Dnomination, adressage et enregistrement X.650X.679 Notation de syntaxe abstraite numro un (ASN.1) X.680X.699 GESTION OSI Cadre gnral et architecture de la gestion-systmes X.700X.709 Service et prot

6、ocole de communication de gestion X.710X.719 Structure de linformation de gestion X.720X.729 Fonctions de gestion et fonctions ODMA X.730X.799 SCURIT X.800X.849 APPLICATIONS OSI Engagement, concomitance et rtablissement X.850X.859 Traitement transactionnel X.860X.879 Oprations distantes X.880X.899 T

7、RAITEMENT RPARTI OUVERT X.900X.999 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T X.805 (10/2003) i Recommandation UIT-T X.805 Architecture de scurit pour les systmes assurant des communications de bout en bout Rsum Dans la prsente Recommandation sont dfinis les lments

8、architecturaux lis la scurit gnrale, qui, lorsquils sont mis en uvre comme il convient, assurent la scurit du rseau de bout en bout. Source La Recommandation X.805 de lUIT-T a t approuve le 29 octobre 2003 par la Commission dtudes 17 (2001-2004) de lUIT-T selon la procdure dfinie dans la Recommandat

9、ion UIT-T A.8. ii Rec. UIT-T X.805 (10/2003) AVANT-PROPOS LUIT (Union internationale des tlcommunications) est une institution spcialise des Nations Unies dans le domaine des tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent de lUIT. Il est charg de

10、ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalisation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter

11、par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent

12、 la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect

13、 de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines dispositions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le

14、futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives servent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lat

15、tention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient rev

16、endiqus par un Membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dapprobation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandat

17、ion. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux responsables de la mise en uvre de consulter la base de donnes des brevets du TSB. UIT 2004 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd

18、 que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T X.805 (10/2003) iii TABLE DES MATIRES Page 1 Domaine dapplication 1 2 Rfrences normatives 1 3 Termes et dfinitions 1 4 Abrviations et acronymes . 1 5 Architecture de scurit 2 6 Mesures de scurit. 3 6.1 Mesure de scurit concernant le contrl

19、e daccs. 3 6.2 Mesure de scurit concernant lauthentification . 3 6.3 Mesure de scurit concernant la non-rpudiation. 4 6.4 Mesure concernant la confidentialit de donnes. 4 6.5 Mesure de scurit concernant la communication 4 6.6 Mesure de scurit concernant lintgrit des donnes. 4 6.7 Mesure de scurit co

20、ncernant la disponibilit 4 6.8 Mesure de scurit concernant le respect de la vie prive 4 7 Couches de scurit 4 7.1 Couche de scurit relative linfrastructure 5 7.2 Couche de scurit relative aux services 5 7.3 Couche de scurit relative aux applications 6 8 Plans de scurit . 6 8.1 Plan de scurit relatif

21、 la gestion. 7 8.2 Plan de scurit relatif la commande. 7 8.3 Plan de scurit relatif lutilisateur final 7 9 Menaces de la scurit 8 10 Description des objectifs atteints en appliquant des mesures de scurit aux couches de scurit . 9 10.1 Scurisation de la couche infrastructure. 11 10.2 Scurisation de l

22、a couche services . 14 10.3 Scurisation de la couche Application . 17 iv Rec. UIT-T X.805 (10/2003) Introduction Les entreprises du secteur des tlcommunications et de la technologie de linformation recherchent des solutions en matire de scurit, qui soient globales et rentables. Un rseau sr doit tre

23、protg contre les attaques malveillantes et contre celles qui se produisent par inadvertance. En outre, il faut quil soit trs disponible, quil rponde dans les dlais appropris, quil soit fiable, intgre, volutif et fournisse des informations prcises concernant la facturation. Les capacits des produits

24、en matire de scurit sont capitales pour la scurit globale du rseau (y compris les applications et les services). Mais comme le nombre de produits concerns ne fait quaugmenter en vue dapporter des solutions qui soient compltes, leur interfonctionnement ou leur non-interfonctionnement est dterminant p

25、our la russite de la solution. La scurit ne doit donc pas seulement tre une vague proccupation concernant chacun des produits ou des services. Elle doit tre mise en uvre de manire favoriser lintgration dans la solution globale de bout en bout des capacits en matire de scurit. Pour parvenir une telle

26、 solution dans un environnement multivendeur, la scurit dans le rseau doit tre conue autour dune architecture normalise. Rec. UIT-T X.805 (10/2003) 1 Recommandation UIT-T X.805 Architecture de scurit pour les systmes assurant des communications de bout en bout 1 Domaine dapplication La prsente Recom

27、mandation dfinit une architecture de scurit de rseau permettant dassurer la scurit du rseau de bout en bout. Cette architecture peut sappliquer, indpendamment de la technologie sous-jacente du rseau, divers types de rseaux o la scurit de bout en bout est primordiale. La prsente Recommandation dfinit

28、 les lments architecturaux lis la scurit gnrale, qui sont ncessaires pour assurer la scurit de bout en bout. La prsente Recommandation a pour objet dtablir les fondements devant permettre llaboration de Recommandations dtailles relatives la scurit du rseau de bout en bout. 2 Rfrences normatives La p

29、rsente Recommandation se rfre certaines dispositions des Recommandations UIT-T et textes suivants qui, de ce fait, en sont partie intgrante. Les versions indiques taient en vigueur au moment de la publication de la prsente Recommandation. Toute Recommandation ou tout texte tant sujet rvision, les ut

30、ilisateurs de la prsente Recommandation sont invits se reporter, si possible, aux versions les plus rcentes des rfrences normatives suivantes. La liste des Recommandations de lUIT-T en vigueur est rgulirement publie. La rfrence un document figurant dans la prsente Recommandation ne donne pas ce docu

31、ment en tant que tel le statut dune Recommandation. Recommandation UIT-T X.800 (1991), Architecture de scurit pour linterconnexion en systmes ouverts dapplications du CCITT. 3 Termes et dfinitions Dans la prsente Recommandation sont employs les termes suivants dfinis dans la Rec. UIT-T X.800: contrl

32、e daccs; disponibilit; authentification; confidentialit; intgrit des donnes; non-rpudiation; respect de la vie prive. 4 Abrviations et acronymes La prsente Recommandation utilise les abrviations suivantes: AAA authentification, autorisation et comptabilit (authentication, authorization and accountin

33、g) ASP fournisseur de service dapplication (application service provider) 2 Rec. UIT-T X.805 (10/2003) ATM mode de transfert asynchrone (asynchronous transfer mode) DHCP protocole de configuration de serveur dynamique (dynamic host configuration protocol) DNS service de nom de domaine (domain name s

34、ervice) DoS dni de service (denial of service) DS-3 signal numrique de niveau 3 (digital signal level 3) FTP protocole de transfert de fichiers (file transfer protocol) IP protocole Internet (Internet protocol) IPSec protocole de scurit IP (IP security protocol) OAM 2) authentification; 3) non-rpudi

35、ation; 4) confidentialit des donnes; 5) scurit de la communication; 6) intgrit des donnes; 7) disponibilit; 8) respect de la vie prive. Les mesures de scurit conues et appliques comme il convient viennent lappui de la politique de scurit qui est dfinie pour un rseau particulier et facilitent lapplic

36、ation des rgles tablies par la gestion de la scurit. 6.1 Mesure de scurit concernant le contrle daccs La mesure de scurit concernant le contrle daccs protge contre lemploi non autoris des ressources du rseau. Le contrle daccs assure que seuls les personnels ou les dispositifs autoriss peuvent accder

37、 aux lments de rseau, aux flux dinformations, aux services et aux applications. En outre, le contrle daccs en fonction des prrogatives (RBAC, role-based access control) institue diffrents niveaux daccs, afin de garantir que les personnes et les dispositifs ne peuvent avoir accs aux lments de rseau,

38、aux informations emmagasines et aux flux dinformations et ne peuvent les manipuler que sils y ont t autoriss. 6.2 Mesure de scurit concernant lauthentification La mesure de scurit concernant lauthentification sert confirmer les identits des entits qui communiquent. Lauthentification assure la validi

39、t des identits dclares des entits en communication (par exemple, une personne, un dispositif, un service ou une application) et donne 4 Rec. UIT-T X.805 (10/2003) lassurance quune entit ne tente pas dusurper lidentit dune autre entit ou de reprendre sans autorisation une prcdente communication. 6.3

40、Mesure de scurit concernant la non-rpudiation La mesure de scurit concernant la non-rpudiation donne les moyens dempcher une personne ou une entit de nier avoir excut une action particulire lie aux donnes, en fournissant une attestation des diverses actions dans le rseau (telle quune attestation dob

41、ligation, dintention ou dengagement; une attestation de lorigine des donnes, une attestation de proprit ou une attestation de lemploi des ressources). Elle assure la mise disposition de la preuve qui peut tre prsente une entit tierce et tre utilise pour prouver quun certain type dvnement ou daction

42、a eu lieu. 6.4 Mesure concernant la confidentialit de donnes La mesure de scurit concernant la confidentialit des donnes protge les donnes de leur divulgation. La confidentialit des donnes assure que le contenu des donnes ne pourra tre compris par des entits non autorises. Le chiffrement, les listes

43、 de contrle daccs, et les permissions daccs aux fichiers sont des mthodes souvent employes pour assurer la confidentialit des donnes. 6.5 Mesure de scurit concernant la communication La mesure de scurit assure que les informations ne seront achemines quentre les extrmits autorises (les informations

44、ne sont ni dvies ni interceptes au cours de leur acheminement entre ces points). 6.6 Mesure de scurit concernant lintgrit des donnes La mesure de scurit concernant lintgrit des donnes assure lexactitude ou la prcision des donnes. Les donnes sont protges contre toute modification, suppression, cratio

45、n et reproduction. La mesure signale ces activits non autorises. 6.7 Mesure de scurit concernant la disponibilit La mesure de scurit concernant la disponibilit assure quil ny a pas dni de laccs autoris aux lments de rseau, aux informations emmagasines, aux flux dinformations, aux services et aux app

46、lications en raison dvnements ayant une incidence sur le rseau. Des solutions de rcupration en cas de catastrophe sont aussi comprises dans cette catgorie. 6.8 Mesure de scurit concernant le respect de la vie prive Le mesure de scurit concernant le respect de la vie prive assure la protection des in

47、formations qui pourraient tre dduites de lexamen des activits dans le rseau. Des exemples de telles informations sont notamment les sites Web que lutilisateur a visits, le lieu gographique de lutilisateur, ainsi que les adresses Internet (IP, Internet protocol) et les noms des services de noms de domaine (DNS, domain name service) dans un rseau de fournisseur de services. 7 Couches de scurit Afin de disposer dune solution de scurit d