ГОСТ ISO/TS 22600-3—2013
Сетевая система обнаружения вторжений выполняет мониторинг сетевого трафика и подает тревожный сиг
нал при обнаружении последоеатепьности пакетов, которая может свидетельствовать о попытке сканирования,
атаке отказа в обслуживании или иной атаки.
Сетевые системы обнаружения вторжений должны размещаться в сетевых узлах, выполняющих функции
безопасности, например, в шлюзах. Серверные системы обнаружения вторжений устанавливаются на защищае
мых серверах. В архитектурном отношении различают транзитные и конечные системы.
А.9.3 Средства заявителя
Возможные подходы к управлению привилегиями пользователей в сервис ориентированной архитектуре
инфраструктуры управления привилегиями включат в себя:
- хранение привилегий в удостоверениях, заверенных электронной подписью;
- централизованное хранение привилегий (например, с помощью сервиса, использующего каталог LDAP);
- объявления в форме сертификатов атрибута.
Хранениепривилегий в удостоверениях, заверенных электронной подписью, может осуществпяться вформе
сертификата открытого ключа, сертификата атрибута или удостоверения, записанного на языке XACML. Преиму
щества каждого из этих подходов описаны в стандарте ISO/IEC 9594-8. В сертификатах открытого ключа привиле гии
могут храниться как некритичные расширения в соответствии со стандартом ASTM Е2212. При подобном
использовании сертификатов идентификации возникает тесная связь между аутентификацией и авторизацией,
что. как утверждается, повышает устойчивость к сетевым отказам. Однако у этого подхода есть несколько
недостатков.
Отмена или изменение любой привилегии владельца сертификата потребует отзыва и перевыпуска серти
фиката. При отзыве сертификата его номер обычно помещается в список отозванных сертификатов (СОС). В
результате владелец идентичности не сможет использовать свою смарт-карту (или другой токен), пока на нее не будет
записан обновленный сертификат. Поскольку сертификаты идентификации обычно находятся уих владель ца.
процессобновления оказывается затруднительным. Учтите, что хранение привилегий в сертификатах идентич ности
не обеспечивает устойчивости к сетевым сбоям, поскопьку при проверке сертификата надо иметь доступ к СОС. В
связис этим сертификаты идентичности более пригодны для медленноменяющихся «структурных» ролей, нежели
динамичных «функциональных» ролей.
Одна из альтернатив состоит в использовании отдельного подписанного сертификата, а именно, сертифи
ката атрибута, рассчитанного на хранение привилегий пользователя. Для выпуска таких типов сертификатов и
управления ими необходима дополнительная инфраструктура.
Однако у этого подхода есть несколько преимуществ. Сертификат атрибута выпускается и подписывается
ОА. отдепьным от ЦС, управпяюшего сертификатами идентичности. Однако при этом сохраняется тесная связь
между авторизацией и аутентификацией за счет помещения серийного номера сертификата идентификации
пользователя в поле владельца сертификата атрибута. Отзыв атрибута может осуществляться с помощью списка
отзыва сертификатов атрибута. Однако пользователь вовсе не обязан физически обладать сертификатом атрибу
та. Сертификаты атрибутов могут храниться с помощью сервиса, использующего каталог LDAP. В этом случае при
отзыве и перевыпуске сертификата атрибута прежний сертификат заменяется в каталоге на текущий. Это устраня ет
сложности частой замены привилегий, которые присущи хранению привилегий в сертификатах идентичности.
В использовании дополнительной инфраструктуры, обеспечивающей применение сертификатов атрибута,
есть определенное преимущество [23]. ЦС. выпускающие сертификаты идентичности, обычно управляются дове
ренной стороной, не являющейся структурной единицей предприятия. Дополнитепьная инфраструктура, создан
ная внутри предприятия для выпуска сертификатов атрибута, позволяет скрыть чувствительную информацию о
привилегиях от чужих глаз. Сертификаты атрибута обычно нужны только контролерупривилегий, поэтому владель
цу привилегий нет необходимости предъявлять их за пределами предприятия.
А.9.4 выборка роли из каталога LDAP
Выборка роли может обеспечиваться с помощью хранения информации о роли в структуре LDAP. При таком
хранении обеспечиваются быстрая функциональность поиска ичтения, необходимаядля сбора информации о при
вилегиях. назначенных пользователю. Применение каталога LDAP для выборки роли обычно обеспечивается с
помощью серверов веб-приложений. К каталогу LDAP можно также обращаться из приложений, которые выполня
ются независимо от серверов веб-лриложений. Предпочтительный подход состоит в использование точки приня
тия решений о политике, которая выполняет выборку роли в ответ на запрос контроля доступа. В каждом случае
использование выборки роли из каталога LDAP имеет то преимущество, что информация о роли отделена от кода
приложения, запрашивающего информацию.
Информация о роли может быть предоставлена в форме удостоверения (например, в формате SAML). что
снижает потребность в выборке роли из каталога LDAP.
А.9.5 Сертификаты
А.9.5.1 Общие сведения
37