2.2. Az X.800 áttekintése
Az OSI biztonságtechnikai architektúrájában
biztonsági szolgálatokat és az ezen szolgálatokat
megvalósító mechanizmusokat különböztet
meg. A következôkben leírt biztonsági
szolgálatok a biztonsági alapszolgálatok. A gyakorlatban
ezeket a megfelelô rétegekben és megfelelô
kombinációkban valósítják meg, rendszerint
nem OSI-szolgálatokkal és mechanizmusokkal együtt, a
biztonsági politika és/vagy a használói
követelmények teljesítése
céljából. Bizonyos biztonsági mechanizmusok
alkalmazhatók a biztonsági alapszolgálatok
kombinációinak megvalósítására. A
biztonsági rendszerek gyakorlati megoldásai a biztonsági
alapszolgálatok bizonyos kombinációit közvetlen
lehívás céljára is
megvalósíthatják.
2.2.1 Biztonsági szolgálatok
A következôket tekintjük azoknak a biztonsági
szolgálatoknak, amelyek az OSI-referenciamodell keretein belül
nyújthatók.
2.2.1.1. Hitelesítés
A hitelesítési szolgálatok helyileg tárolt
információt és adatokat tartalmazó
hitelesítési információt igényelnek, amelyet
azután a hitelesítés
elôsegítésére továbbítanak.
Ezek a szolgálatok a kommunikáló társentitás
és az adatforrás hitelesítésére
szolgálnak a következôk szerint.
- Társentitás hitelesítése
Amikor
az n-edik réteg látja el ezt a szolgálatot, akkor
megerôsíti az (n+1)-edik rétegbeli entitást abban,
hogy a társentitás a kívánt (n+1)-edik
rétegbeli entitás.
Ez a szolgálat az összeköttetés
felépítésekor és esetenként az
adatátvitel fázisának ideje alatt arra szolgál,
hogy megerôsítse egy vagy több másik entitással
összekapcsolt egy vagy több entitás azonosságát.
Ez a szolgálat kizárólag alkalmazása
(mûködtetése) idejére biztosítja azt, hogy
valamelyik entitás ne kísérelhessen meg
megszemélyesítést vagy egy elôzô
összeköttetés jogosulatlan
visszajátszását. Egyoldalú és
kölcsönös társentitás-hitelesítési
sémák lehetségesek a kommunikáció
valóságos lefolyásának
ellenôrzésével vagy anélkül, és ezek
változó fokú biztonságot tudnak nyújtani.
- Az adat származásának hitelesítése
Amikor
az n-edik réteg látja el ezt a szolgálatot, akkor
megerôsíti az (n+1)-edik rétegbeli entitást abban,
hogy az adatforrás a kívánt (n+1)-edik rétegbeli
entitás.
Az adatszármazást hitelesítô szolgálat az
adatelem forrásának megerôsítésére
szolgál. A szolgálat nem nyújt védelmet adatelemek
kettôzése vagy módosítása ellen.
2.2.1.2. Hozzáférés ellenôrzése
Ez a szolgálat látja el az OSI-n át elérhetô
erôforrások jogosulatlan használata elleni védelmet.
Ez lehet OSI és nem-OSI erôforrás, amelyet OSI protokollal
lehet elérni. Ez a védelmi szolgálat alkamazható az
erôforráshoz való valamennyi
hozzáférés vagy különféle
hozzáférések ellenôrzésére
(kommunikációs erôforrás használata,
információs erôforrás olvasása,
írása vagy törlése, adatfeldolgozó
erôforrás mûködtetése).
A hozzáférés ellenôrzése legyen
összhangban a különféle biztonsági
politikákkal.
2.2.1.3. Adattitkosság
Ezek a szolgálatok látják el az adatok jogosulatlan
nyilvánosságra hozatal elleni védelmét a
következôk szerint:
- Az összeköttetés alapú titkosság
Ez
a szolgálat biztosítja az n-edik rétegbeli
öszeköttetésen valamennyi n-edik rétegbeli adatelem
titkosságát.
Megjegyzés:
A használattól és a rétegtôl
függôen ez a szolgálat nem mindig alkalmas valamennyi adat,
pl. gyorsított adat vagy
összeköttetés-kérésben szereplô adat
védelmére.
- Összeköttetés-mentes titkosság
Ez
a szolgálat biztosítja egyetlen
összeköttetés-mentes n-edik rétegbeli szolgálati
adatelemben szereplô n-edik rétegbeli használói adat
titkosságát.
- A szelektív mezôtitkosság
Ez
a szolgálat gondoskodik az n-edik rétegbeli
összeköttetésen vagy egyetlen
összeköttetés-mentes n-edik rétegbeli szolgálati
SDU adatelemben szereplô n-edik rétegbeli használói
adatok kiválasztott mezôinek titkosságáról.
- A forgalmi folyam titkossága
Ez
a szolgálat látja el a forgalmi folyamatok
megfigyelésébôl levezethetô információ
védelmét.
2.2.1.4. Adatsértetlenség
Ezek a szolgálatok az aktív fenyegetéseket
hárítják el és a következô formák
egyikét vehetik fel.
Megjegyzés:
Egy összeköttetésen a
társentitás-hitelesítô szolgálat
alkalmazása az összeköttetés kezdetén és
az adatsértetlenség szolgálat az
összeköttetés folyamán együttesen látja el
az összeköttetésen át a továbbított
adatelemek forrásának megerôsítését
és ezen adatelemek sértetlenségét,
továbbá adatelem-kettôzés
észlelésére is szolgálnak pl.
sorszámozás alkalmazásával.
- Összeköttetés-sértetlenség visszatéréssel
Ez
a szolgálat biztosítja az n-edik rétegbeli
összeköttetésen valamennyi n-edik rétegbeli
használói adat sértetlenségét és
észleli (valamint megkíséreli
helyreállítani) a teljes SDU-szolgálati adatelem-sorozaton
belüli bármely adatmódosítást,
beiktatást, törlést vagy visszajátszást.
- Összeköttetés-sértetlenség visszatérés nélkül
Megegyezik
az elôzôvel, de visszatérési kísérlet
nélkül.
- Szelektív mezôkre vonatkozó összeköttetés alapú sértetlenség
Ez
a szolgálat biztosítja az összeköttetésen
át továbbított n-edik rétegbeli szolgálati
SDU-adatelem n-edik rétegbeli használói adatában
szereplô kiválasztott mezôk
sértetlenségét és alakilag azt
állapítja meg, hogy a kiválasztott mezôket
módosították-e, beiktatták-e,
törölték-e vagy visszajátszották-e.
- Összeköttetés-mentes sértetlenség
Ez
a szolgálat, ha az n-edik réteg nyújtja, a
sértetlenséget biztosítja az azt kérô
(n+1)-edik rétegbeli entitás számára.
Ez a szolgálat biztosítja egyetlen
összeköttetés-mentes szolgálati adatelem
sértetlenségét és alakilag azt
állapítja meg, hogy a vett szolgálati adatelem
módosult-e. Ezenkívül korlátozott
mértékben visszajátszás-észlelést is
elláthat.
- Szelektív mezôkre vonatkozó öszeköttetés-mentes sértetlenség
Ez
a szolgálat biztosítja egyetlen
összeköttetés-mentes szolgálati SDU adatelemben a
kiválasztott mezôk sértetlenségét és
alakilag azt állapítja meg, hogy a kiválasztott
mezôk módosultak-e.
2.2.1.5. Letagadhatatlanság
Ez a szolgálat az alábbi két forma
bármelyikét vagy mindkettôt veheti fel.
- Letagadhatatlanság származás bizonyítvánnyal
Az
adat vevôjét ellátja az adat
származásáról szóló
bizonyítvánnyal. Ez az ellen véd, hogy az adó
hamisan megkísérelje az adat vagy tartalma adásának
letagadását.
- Letagadhatatlanság kézbesítésbizonyítvánnyal
Az
adat adóját ellátja az adat
kézbesítésérôl szóló
bizonyítvánnyal. Ez az ellen véd, hogy a vevô
megkísérelje az adat vagy tartalma vételének
letagadását.
2.2.2. Biztonsági mechanizmusok
A következô mechanizmusok a megfelelô n-edik rétegbe
építhetôk be az 2.2. szakaszban leírt
néhány szolgálat ellátása
érdekében.
2.2.2.1. Rejtjelezés
- A rejtjelezés biztosítja vagy az adatra, vagy a forgalmi
folyamatra vonatkozó információ titkosságát
és szerepet játszhat több más biztonsági
mechanizmusban, illetve kiegészítheti azokat.
(Részletesebb ismertetô az IBMK 3. sz. mellékletében
található.)
- A rejtjelzô algoritmus lehet visszafordítható vagy
visszafordíthatatlan. A visszafordítható rejtjelezô
algoritmusoknak két általános osztálya van:
- a) a szimmetrikus (azaz titkos kulcsú) rejtjelezés, amelyben
az elrejtô (rejtjelezô) kulcs ismerete magában foglalja a
rejtjelezést megfejtô kulcs ismeretét is és viszont,
- b) az aszimmetrikus (azaz nyilvános kulcsú)
rejtjelezés, amelyben az elrejtô kulcs ismerete nem foglalja
magában a megfejtô kulcs ismeretét és viszont. Ilyen
rendszerekben a két kulcsot "nyilvános kulcsnak" és
"magánkulcsnak" is nevezik.
A visszafordíthatatlan rejtjelezési algoritmusok
mûködtethetôk kulccsal vagy anélkül. Amikor
kulcsot alkalmaznak, akkor ez a kulcs lehet nyilvános vagy titkos is.
- A rejtjelezô algoritmus megléte magában foglalja egy
kulcskezelô mechanizmus alkalmazását is, kivéve
néhány visszafordíthatatlan rejtjelezô algoritmus
esetét.
2.2.2.2. Digitális aláírási mechanizmusok
Ezek a mechanizmusok két eljárást határoznak meg:
- a) az adatelem aláírását és
- b) az aláírt adatelem igazolását.
Az elsô folyamat olyan információt használ,
amely az aláíróra nézve magánjellegû
(tehát saját és titkos). A második folyamat olyan
eljárásokat és információt használ,
amelyek nyilvánosan rendelkezésre állnak, azonban
amelybôl az aláíró magáncélú
információja nem származtatható le.
- Az aláírás folyamata vagy az adatelem
rejtjelezését, vagy pedig az adatelem titkosírási
ellenôrzô értékének az
elôállítását tartalmazza,
magánkulcsként felhasználva az aláíró
magáninformációját.
- Az igazolás folyamata a nyilvános eljárásoknak
és információknak a felhasználását
tartalmazza annak megállapítására, hogy az
aláírás az aláíró
magáninformációjának alkalmazásával
készült-e.
- Az aláírási mechanizmus lényeges
jellemzôje az, hogy az aláírás csak az
aláíró magáncélú
információjának felhasználásával
állítható elô. Így, amikor az
aláírást igazolják, akkor ezt követôen
bármikor bebizonyosodik harmadik személy (pl. döntô
bíró) számára is az, hogy csak a
magáncélú információ birtokosa
állíthatta elô az aláírást.
2.2.2.3. Hozzáférést ellenôrzô mechanizmusok
- Ezek a mechanizmusok használhatják az entitás
hitelesített azonosságát, vagy az entitásra
vontatkozó információt (pl. egy ismert
entitáskészletben való tagságát), vagy az
entitás képességeit az entitás
hozzáférési jogainak megállapítása
és érvényesítése
céljából. Ha az entitás megkísérel
olyan erôforrást használni, amelyre nincs jogosítva,
vagy nem megfelelô típusú
hozzáféréssel fordul a számára jogosult
erôforráshoz, akkor a hozzáférést
ellenôrzô funkció elutasítja ezt a
kísérletet és még jelentést is adhat az
eseményrôl riasztás és/vagy biztonsági
átvilágítási naplóba
történô feljegyzés készítése
céljából. Az összeköttetés-mentes
adatátvitel esetén az adó csak akkor kap
értesítést a szolgáltatás
visszautasításáról, ha azt a
kezdeményezô ponton futó
hozzáférés-ellenôrzés jelzi.
- A hozzáférést ellenôrzô mechanizmus a
következô egy vagy több eszköz
felhasználásával mûködhet:
- a) A hozzáférést ellenôrzô
információbázis, amelyben a társentitások
hozzáférési jogait tartják nyilván. Ezt az
információt vagy a feljogosító központok, vagy
az az entitás tarthatja fenn, amelyhez hozzá
kívánnak férni, és képezhet hierarchikus
vagy osztott szerkezetû
hozzáférés-ellenôrzési listát vagy
mátrixot. Ez azt feltételezi, hogy a
társentitás-hitelesítés meg van oldva.
- b) Hitelesítô információ, pl. jelszó,
amelynek birtoklása és ezt követô felmutatása a
bizonyíték a hozzáférési entitás
feljogosítottságára.
- c) Olyan képességek, amelyek birtoklása és ezt
követô felmutatása, a képesség által
meghatározott entitáshoz vagy erôforráshoz
való hozzáférés jogát
bizonyítja.
Megjegyzés:
A képesség legyen
feltörhetetlen és legyen megbízható módon
szállítva.
- d) Biztonsági címkék, amelyek, ha entitáshoz
vannak rendelve, akkor alkalmazhatók a hozzáférés
megadására vagy megtagadására, rendszerint egy
biztonsági politika alapján.
- e) A hozzáférési kísérlet
idôpontja.
- f) A megkísérelt hozzáférés
útvonala.
- g) A hozzáférés idôtartama.
- A hozzáférést ellenôrzô mechanizmusok
alkalmazhatók a kommunikációs
társítás bármelyik végpontján
és/vagy közbensô pontján.
A kezdeményezô ponton vagy bármely közbensô
ponton a hozzáférés ellenôrzését annak
meghatározására alkalmazzuk, hogy az adó jogosult-e
a vevôvel kommunikálni és/vagy a kívánt
kommunikációs erôforrásokat használni.
A társszintû hozzáférést
ellenôrzô mechanizmusok összeköttetés-mentes
adatátvitel rendeltetési pontján érvényes
követelményeit már elôre ismerni kell a
kezdeményezô ponton, és fel kell jegyezni azt a
biztonságot menedzselô információbázisban.
2.2.2.4. Adatsértetlenségi mechanizmusok
- Az adatsértetlenségnek a következô két
szempontja van: egyetlen adatelem vagy mezô sértetlensége,
illetve adatelem- vagy mezôsorozat sértetlensége.
Általában ennek a kétféle
sértetlenségi szolgálatnak az
ellátására különbözô mechanizmusokat
alkalmazunk, bár a második szolgálat
ellátása az elsô nélkül nem
célszerû.
- Az adatelem-sértetlenség meghatározása
két folyamatot foglal magában, egyet az adó
entitásban és egyet a vevô entitásban. Az adó
entitás olyan mennyiséget rendel az adatelemhez, amely
magának az adatnak a függvénye. Ez a mennyiség lehet
kiegészítô információ, mint pl. egy
blokkellenôrzô kód, vagy egy titkosírásbeli
ellenôrzési érték és lehet maga is
rejtjelezve. A vevô entitás is elôállítja az
ennek megfelelô mennyiséget és összeveti azt a vett
mennyiséggel annak meghatározására, hogy az adatot
a továbbítás során
módosították-e. Önmagában ez a mechanizmus nem
véd egyetlen adatelem visszajátszása ellen. Az
architektúra megfelelô rétegeiben a
közbeavatkozás észlelése visszatérési
tevékenységet válthat ki (pl. ismétléssel
vagy hibajavítással) az adott rétegben, vagy valamelyik
felsôbb rétegben.
- Összeköttetés alapú
adattovábításban az adatelemsorozat
sértetlenségének védelme (pl. sorrend
megzavarása, adatvesztés, visszajátszás és
adatbeiktatás illetve módosítás elleni
védelem) valamilyen további explicit sorrendképzést
igényel, pl. sorszámozást,
idôbélyegzést, vagy titkosírásbeli
láncolást.
- Összeköttetés-mentes
adattovábbításban az idôpecsét
alkalmazható egyes adatelemek visszajátszás elleni
védelmének korlátozott formájaként.
2.2.2.5. Hitelességcsere mechanizmus
- A hitelesítés kölcsönös
cseréjéhez alkamazható egyes módszerek a
következôk:
- a) olyan hitelesítési információ
alkalmazása, pl. jelszóé, amelyet egy adó
entitás szolgáltat és a vevô entitás
ellenôriz,
- b) titkosírási eljárások,
- c) az entitás jellemzôinek és/vagy
birtoklásának használata.
- Társentitás hitelesítésének
ellátására mechanizmusokat lehet beépíteni
az n-edik rétegbe. Ha e mechanizmusoknak nem sikerül
hitelesíteniük az entitást, akkor ez az
összeköttetés elutasításához vagy
lezárásához vezet, esetleg biztonsági
átvilágítási naplót kezdeményez
és/vagy a biztonságot menedzselô központba
küldött jelentést eredményezhet.
- Amikor titkosírási módszereket alkalmazunk, akkor
azok kombinálhatók "kézfogás" protokollokkal a
visszajátszás elleni védelemhez, például a
kommunikáció "élôben léte"
ellenôrzéséhez.
- A hitelesítéscsere módszerének
megválasztása azoktól a
körülményektôl függ, amelyekben azokat
alkalmazzák. A következôk alkalmazhatók:
- a) idôpecsét és szinkronozott órák,
- b) kétutas és háromutas kézfogás
(egyoldalú, illetve kölcsönös
hitelesítéshez) és
- c) a digitális aláírás és/vagy a
közjegyzôi hitelesítés módszerével
elérhetô letagadhatatlansági szolgálatok.
2.2.2.6. Hamis forgalom mechanizmusa
A hamis forgalmat a forgalomelemzéssel szembeni
különbözô szintû védelmek
megvalósítására alkalmazzuk. Ez a mechanizmus csak
akkor hatékony, ha a hamis forgalmat titkossági
szolgálattal védik.
2.2.2.7. Forgalomirányítást vezérlô mechanizmus
- Az útirányok dinamikusan, vagy elôre elrendezve is
kiválaszthatók olymódon, hogy azok csak fizikailag
biztonságos részhálózatokat,
ismétlôket vagy szakaszokat tartalmazzanak.
- Tartós közbeavatkozási támadás
észlelésekor a végrendszer utasíthatja a
hálózati szolgálatot, hogy egy másik, az
eddigitôl eltérô, úton át
építsen fel egy másik összeköttetést.
- A biztonsági politika megtilthatja bizonyos biztonsági
címkét viselô adatoknak azt, hogy bizonyos
részhálózatokon, ismétlôkön vagy
szakaszokon áthaladjanak. Egy öszeköttetés
kezdeményezôje (vagy az összeköttetésmentes
adatelem adója) elôírhat olyan
forgalomirányítási utasításokat, amelyek azt
igényelhetik, hogy az adatok bizonyos alhálózatokat,
szakaszokat vagy ismétlôket elkerüljenek.
2.2.2.8. Közjegyzôi hitelesítési mechanizmus
Két vagy több entitás között cserélt adat
tulajdonságai, mint pl. sértetlensége,
származása, keletkezési idôpontja és
rendeltetési helye közjegyzôi hitelesítési
mechanizmussal biztosíthatók. Ezt a biztosítást a
harmadik félként szereplô közjegyzô látja
el, amelyben a kommunikáló entitások megbíznak,
és amely megtartja a szükséges infomációt,
hogy a szükséges bebiztosítást
tanusítható módon lássa el. A
kommunikáció minden egyes esete használhat
digitális aláírást, rejtjelezési és
sértetlenségi mechanizmusokat a közjegyzô által
nyújtott szolgálatnak megfelelôen. Amikor ilyen
közjegyzôi hitelesítési mechanizmust lehívunk,
akkor a két kommunikáló entitás között a
védett kommunikáción és közjegyzôi
hitelesítésen keresztül kerül sor az
adatcserére.
2.2.3. Átfogó összbiztonságtechnikai mechanizmusok
Ez a szakasz több olyan mechanizmust ismertet, amely nem csak egy adott
szolgálatra jellemzô, hanem a szervezet egészére,
ezért összbiztonságot erôsítô
mechanizmusoknak nevezhetjük (ennek részletes kifejtése
és más szempontok szerinti megközelítése az
IBMK 1.sz. mellékletében található). Egyes ilyen
átfogó összbiztonsági mechanizmusok az
adatvédelmi menedzselés szempontjaiként kezelhetôk.
Ezeknek a mechanizmusoknak a fontossága általában
közvetlenül a biztonság kívánt szintjével
függ össze.
2.2.3.1. Bizalmi funkciók
- Bizalmi funkciókat lehet használni más mechanizmusok
hatáskörének kiterjesztése, vagy
hatékonyságának javítása
céljából. Bármelyik
funkciókészletnek, amelyik közvetlenül ellátja
vagy hozzáférést nyújt biztonsági
mechanizmushoz, megbízhatónak kell lennie.
- A bizalom hardverekbe és szoftverekbe fektetésének
eljárásai e szabvány tárgykörén
kívül vannak és minden esetben a veszélyességi
szinttôl és a védendô információ
értékétôl függôen változnak.
- Ezek az eljárások általában
költségesek és nehezen megvalósíthatók.
A nehézségek csökkenthetôk olyan architektúra
választásával, amely lehetôvé teszi a
biztonsági funkciók megvalósítását
olyan modulokban, amelyek más, nem-biztonsági
funkcióktól elkülöníthetôk, de
ilyenekbôl elláthatók.
- Azon réteg felett, amelyre a védelmet
érvényesítjük, a társítások
védelmét más eszközökkel, például
megfelelô bizalmi funkciókkal kell ellátni.
2.2.3.2. Biztonsági címkék
Adategységeket is beleértve az erôforrásoknak
hozzájuk rendelt biztonsági címkéjük is lehet,
pl. érzékenységi szintjük
megjelölésére. Gyakran szükség lehet arra, hogy
az adattal együtt a biztonsági címkét is
továbbítsuk. A biztonsági címke lehet a
továbbított adaton kívüli
kiegészítô adat, vagy lehet implicit, pl. benne lehet az
adat rejtjelezéséhez használt sajátos kulcsban,
vagy az adat tartalmában, mint annak forrása vagy
útvonala. Az explicit biztonsági címkének
világosan azonosíthatónak kell lennie annak
érdekében, hogy megfelelôen ellenôrizhetô
legyen. Ezenkívül biztonságosan legyen ahhoz az adathoz
rögzítve, amelyhez hozzárendelték.
2.2.3.3. Esemény észlelése
- A biztonsággal kapcsolatos esemény észlelése a
biztonság látható megsértéseinek
észlelését foglalja magában és
tartalmazhatja rendes események észlelését is pl.
egy sikeres hozzáférését. A biztonsággal
kapcsolatos eseményeket OSI-n belüli entitások
észlelhetik, a biztonsági mechanizmusokat is beleértve.
Annak a meghatározását, hogy mi képez
eseményt, az eseménykezelô menedzselés tartja
karban. A különféle biztonsággal kapcsolatos
események észlelése például egy vagy
több tevékenységet eredményezhet a
következôk közül:
- az eseményrôl helyi jelentés készül,
- az eseményrôl távoli jelentés
készül,
- az eseményt naplózzák,
- visszatérési tevékenységet végeznek.
- Példa biztonsággal kapcsolatos eseményre:
- a biztonság sajátos megsértése,
- kiválasztott esemény és
- túlcsordulás az elôfordulások
számának számlálásában.
- E terület szabványosítása figyelembe veszi majd
az érvényes információ
továbbítását az eseményrôl
szóló jelentésben és naplóban, valamint az
ezek átviteléhez használandó szintaktikai és
szemantikai meghatározást.
2.2.3.4. Biztonsági átvilágítási napló
- A biztonsági átvilágítási napló
értékes biztonsági mechanizmust jelent, mert
lehetôvé teszi a biztonság
megsértésének észlelését és
kivizsgálását azzal, hogy megengedi az eseteket
követô biztonsági átvilágítást. A
biztonsági átvilágítás a
rendszerfeljegyzések és tevékenységek
független áttekintése és vizsgálata annak
érdekében, hogy megállapítsa a
rendszerszabályozások megfelelôségét, hogy a
felállított politika és az üzemviteli
eljárás megfelelôségét szavatolja, hogy
segítse a kárbecslést és
változtatásokat javasoljon az ellenôrzésben, a
politikában és az eljárásokban. A biztonsági
átvilágítás azt igényli, hogy a
biztonsággal kapcsolatos információkat biztonsági
átvilágítási naplóban
rögzítsék és hogy elemzés és
jelentés készüljön az
átvilágítási napló
felhasználásával. A naplózást és a
regisztrálást biztonsági mechanizmusokként
kezeljük és ebben a fejezetben adjuk meg, míg az
elemzés és a jelentés
elôállítását biztonsági
menedzselési funkciónak tekintjük.
- A biztonsági átvilágítási napló
információinak gyûjtése oly módon
illeszthetô a különféle követelményekhez,
hogy elôírjuk a regisztrálandó és a
biztonsággal kapcsolatos események típusait (pl. a
biztonság látható megsértése, sikeres
mûveletek befejezése).
A biztonsági átvilágítási napló
ismert megléte elriaszthatja a biztonsági támadások
egyes lehetséges forrásait.
- Az OSI biztonsági átvilágítási
napló szempontjai figyelembe veszik azt, hogy esetenként milyen
információt kell naplózni, milyen
körülmények között naplózzuk ezt az
információt, és az adatvédelmi
átvilágítási napló
információinak kicserélésére milyen
szintaktikai és szemantikai meghatározást alkalmazunk.
2.2.3.5. Biztonsági visszatérés
- A biztonsági visszatérés olyan
mechanizmusoktól érkezô kérésekkel
foglalkozik, mint pl. az eseménykezelési és
menedzselési funkciók és bizonyos szabályok
alkalmazásának eredményeképpen
visszatérési tevékenységeket hajt végre.
Ezek a visszatérési tevékenységek
háromfélék lehetnek:
- azonnaliak,
- idôlegesek és
- tartósak.
Példa:
Az azonnali tevékenységek a mûvelet azonnali
félbeszakítását (például
szétkapcsolást) okozhatják. Az idôleges
tevékenységek az entitás idôleges
érvénytelenítését eredményezhetik.
Tartós tevékenység eredményeként valamelyik
entitás feketelistára kerülhet, vagy valamelyik kulcs
megváltozhat.
- A szabványosítás területeit képezik a
visszatérési tevékenységekhez és a
biztonsági visszatérés menedzseléséhez
alkalmazandó protokollok.