ГОСТ Р ИСО 7498-2-99 Государственный стандарт Российской Федерации Информационная технология взаимосвязь открытых систем базовая эталонная модель

8.1.1 Административное управление защитой ВОС касается тех аспектов административного управления защитой, которые относятся к ВОС и к защите административного управления ВОС. Аспекты административного управления защитой ВОС связаны с теми операциями, которые не относятся к обычным сеансам обмена данными, но которые необходимы для обеспечения и контроля аспектов защиты этих обменов данными.

Примечание— Доступность услуги обмена данными определяется построением сети и/или протоколами административного управления сетью. Для предотвращения отклонения услуги необходим соответствующий выбор последних.

8.1.2 Может существовать несколько стратегий защиты, устанавливаемых администрацией(ями) распределенных открытых систем, и стандарты административного управления защитой ВОС должны обеспечивать такие стратегии. Объекты, которые подчиняются отдельной стратегии защиты, устанавливаемой отдельным полномочным административным органом, иногда объединяются в так называемую «область защиты». Области защиты и их взаимосвязи являются важной сферой для будущего расширения.

8.1.3 Административное управление защитой ВОС относится к административному управлению услугами и механизмами защиты ВОС. Такое управление требует распределения информации административного управления между этими услугами и механизмами, а также сбора информации, относящейся к работе этих услуг и механизмов. Примерами могут служить распределение криптографических ключей, установка административно назначаемых параметров выбора защиты, выдача сообщений как о нормальных, так и об аварийных ситуациях защиты (данные отслеживания защиты), а также активизация и деактивизация услуг. Административное управление защитой не касается прохождения информации, относящейся к защите, в протоколах, которые привлекают специальные услуги защиты (например, в параметрах запросов на соединение).

8.1.4 Информационная база административного управления защитой (ИБАУЗ) является концептуальным хранилищем всей информации, относящейся к защите, необходимой открытым системам. Такой подход не устанавливает какой-либо формы для хранения информации или ее реализации. Однако каждая оконечная система должна содержать необходимую локальную информацию, позволяющую ей приводить в действие соответствующую стратегию защиты. ИБАУЗ является распределенной информационной базой с такой степенью распределения, которая необходима для обеспечения согласованной стратегии защиты в (логической или физической) группировке оконечных систем. На практике области ИБАУЗ могут входить или не входить в состав ИБАУ.

Примечание — Может существовать множество реализации ИБАУЗ, например:

a) таблица данных;

b) файл;

c) данные или правила, содержащиеся в рамках программного или аппаратного обеспечения реальной открытой системы.

8.1.5 Протоколы административного управления, особенно протоколы административного управления защитой, и каналы передачи данных, передающие информацию административного управления, являются потенциально уязвимыми. Поэтому особое внимание следует уделять обеспечению таких протоколов и информации административного управления защитой, чтобы средства защиты, предоставляемые для обычных сеансов обмена данными, не были ослаблены.

8.1.6 Административное управление защитой может потребовать обмена информацией, относящейся к защите, между различными системными администраторами с целью установления или расширения ИБАУЗ. В некоторых случаях информация, относящаяся к защите, будет проходить через маршруты обмена данными, существующие вне ВОС, и локальные системные администраторы будут модифицировать содержимое ИБАУЗ методами, не стандартизованными в рамках ВОС. В других случаях может оказаться целесообразным организовать обмен подобной информацией по маршрутам обмена данными ВОС, когда информация будет передаваться между двумя прикладными системами административного управления защитой, реализованными в рамках реальной открытой системы. Прикладные системы административного управления защитой будет использовать передаваемую по маршрутам обмена данными информацию для модификации ИБАУЗ. Такая модификация ИБАУЗ может потребовать предварительного предоставления полномочий соответствующему администратору защиты.