NORME ISO INTERNATIONALE 7498-2

Premikre édition 1989-02-l 5

Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Modèle de référence de base

Partie 2 : Architecture de sécurité

Information processing systems - Open Systems lnterconnection - Basic Reference Mode1 Part 2 : Sec Nurit y Architecture

Numéro r6férence ISO 7498-2 : 1989 (F)

ISO

749

8-2:

1989

- Pr

evie

w o

nly

Cop

y vi

a IL

NA

S e-

Shop

ISO 7498-Z : 1989 (F)

Avant-propos

LIS0 (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux de normalisation (comités membres de I’ISO). L’élabora- tion des Normes internationales est en général confiée aux comités techniques de I’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales, gouverne- mentales et non gouvernementales, en liaison avec I’ISO participent également aux travaux. L’ISO collabore étroitement avec la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.

Les projets de Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour approbation, avant leur acceptation comme Normes internationales par le Conseil de I’ISO. Les Normes internationales sont approuvées conformément aux procédures de I’ISO qui requièrent l’approbation de 75 % au moins des comités membres votants.

La Norme internationale ISO 7498-2 a été élaborée par le comité technique ISO/TC 97, Systèmes de traitement de l’information.

L’attention des utilisateurs est attirée sur le fait que toutes les Normes internationales sont de temps en temps soumises à révision et que toute référence faite à une autre norme internationale dans le présent document implique qu’il s’agit, sauf indication contraire, de la dernière édition.

0 ISO 1989 Droits de reproduction réservés. Aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de l’éditeur.

Organisation internationale de normalisation Case postale 56 l CH-121 1 Genéve 20 l Suisse Version francaise tirée en 1990

Imprimé en Suisse

ii

ISO

749

8-2:

1989

- Pr

evie

w o

nly

Cop

y vi

a IL

NA

S e-

Shop

ISO 7498-2 : 1989 (F)

Sommaire Page

0 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

1 Objet et domaine d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

2 Réferences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ,.................................................*............... 1

3 Définitions et abréviations . . . . . . . . ..‘.......................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

4 Notation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

5 Description générale des services et des mécanismes de sécurité ................................................ 4

5.1 Aperçu général ............................................................................................. 4 5.2 Services de securité ........................................................................................ 4 5.3 Mécanismes de sécurité spécifiques ........................................................................ 5 5.4 Mécanismes de securité communs ......................................................................... 7 5.5 Illustration de la relation entre services et mécanismes de securité ........................................ 8

6 Relations entre services, mécanismes et couche ................................................................. 8

6.1 Principes de la répartition des services et mécanismes de sécurité dans les couches ...................... 8 6.2 Mod&e d’invocation, de gestion et d’utilisation des services (N) protégés .................................. 9

7 Placement des services et mecanismes de sécurité ................... ...........................................

7.1 Couche Physique ........................................................................................... 12 7.2 Couche Liaison de Données ................................................................................ 12 7.3 Couche Reseau ............................................................................................. 12 7.4 Couche Transport ........................................................................................... 14 7.5 Couche Session ............................................................................................. 14 7.6 Couche Présentation ........................................................................................ 14 7.7 Couche Application ......................................................................................... 15 7.8 Illustration de la relation entre les services de sécurite et les couches ..................................... 16

12

8 Gestion de sécurité ............................................................................................... 17

8.1 Généralités ............................................................ ..................................... 17 8.2 Catégories de gestion de sécurité OSI ...................................................................... 17 8.3 Activités spécifiques de gestion de sécurite-système ....................................................... 18 8.4 Fonctions de gestion de mécanismes de sécurité ................................................ ........... 18

Annexes

A Informations de base sur la sécurité dans I’OSI ................................................................... 21 B Justifications du placement des services et mécanismes de securite spécifié à l’article 7 ........................ 29 C Choix du placement du mecanisme de chiffrement pour les applications. ..... ................................... 32

. . . III

ISO

749

8-2:

1989

- Pr

evie

w o

nly

Cop

y vi

a IL

NA

S e-

Shop

Page blanche

ISO

749

8-2:

1989

- Pr

evie

w o

nly

Cop

y vi

a IL

NA

S e-

Shop

NORME INTERNATIONALE 60 7498-2 : 1989 (F)

Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Modèle de référence de base -

Partie 2 : Architecture de sécurité

0 Introduction

L’ISO 7498 décrit le Modèle de référence de base pour I’in- terconnexion de systémes ouverts (OSI). L’ISO 7498 établit un cadre permettant de coordonner le développement des normes existantes et à venir pour l’interconnexion des systèmes.

L’objectif de I’OSI est de permettre l’interconnexion de sys- tèmes hétérogènes d’ordinateurs de façon à réaliser des communications utiles entre des processus d’application. À différents moments, des contrôles de sécurité doivent être établis pour protéger les informations échangées entre les processus d’application. Ces contrôles devraient rendre le coût d’obtention ou de modification des données plus impor- tant que la valeur potentielle de cette action ou allonger tellement la durée requise pour obtenir les données que la valeur des données serait perdue.

La présente partie de I’ISO 7498 définit les éléments géné- raux d’architecture ayant trait à la sécurité, que l’on peut appliquer de façon appropriée dans les cas où une protection de la communication entre systèmes ouverts est requise. Dans le cadre du modèle de référence, elle établit des prin- cipes directeurs et des contraintes permettant d’améliorer les normes existantes ou d’élaborer de nouvelles normes dans le contexte de I’OSI pour permettre des communica- tions sûres et donner ainsi une approche cohérente de la sécurité dans I’OSI.

Des connaissances de base en matiére de sécurité aideront à ’ comprendre la présente Norme internationale. II est conseillé

au lecteur n’ayant pas ces connaissances de lire en premier l’annexe A.

La présente partie de I’ISO 7498 est une extension du Modèle de référence de base destinée à couvrir les aspects de sécurité qui sont des éléments généraux d’architecture des protocoles de communication, mais qui ne sont pas traités dans le Modèle de référence de base.

1 Objet et domaine d’application La présente partie de I’ISO 7498 :

a) donne une description générale des services de sécu- rité et des mécanismes associés qui peuvent être fournis par le Modèle de référence ; et

b) définit où, dans l’architecture OSI, les services et mécanismes peuvent être fournis.

La présente partie de I’ISO 7498 élargit le champ d’applica- tion de I’ISO 7498 afin de couvrir les communications sûres entre systèmes ouverts.

Des services et des mécanismes de sécurité de base et leur placement approprié ont été identifiés pour toutes les couches du Modèle de référence de base. En outre, les rela- tions architecturales entre les services et mécanismes de sécurité et le Modèle de référence de base ont été identi- fiées. Des mesures supplementaires de sécurité peuvent être nécessaires dans des systèmes extrémité, installations et organisations. Ces mesures s’appliquent dans différents contextes d’application. La définition des services de sécu- rité nécessaires à la prise en charge de ces mesures supplé- mentaires de sécurité est en dehors du champ d’application de la présente Norme internationale.

Les fonctions de sécurité OSI ne concernent que les aspects visibles d’une voie de communication permettant aux sys- tèmes extrémité de réaliser entre eux un transfert sûr d’in- formations. La sécurité OSI ne concerne pas des mesures de sécurité nécessaires dans les systèmes extrémité, installa- tions et organisations, sauf lorsque ces mesures ont des effets sur le choix et le placement de services de sécurité visibles dans I’OSI. Ces derniers aspects de la sécurité peu- vent être normalises, mais pas le cadre des normes OSI.

La présente partie de I’ISO 7498 complète les concepts et principes définis dans I’ISO 7498 ; elle ne les modifie pas. Elle ne constitue ni une spécification de réalisation de sys- tèmes, ni une base d’évaluation de la conformité de réalisa- tions de systèmes.

2 R6fhences

ISO 7498, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Modèle de référence de base.

ISO

749

8-2:

1989

- Pr

evie

w o

nly

Cop

y vi

a IL

NA

S e-

Shop

ISO 7498-2 : 1989 (F)

ISO 7498-4, Systèmes de traitement de l’information 3.3.1 contrôle d’accès : Précaution prise contre l’utilisa- - Interconnexion de systèmes ouverts tion non autorisée d’une ressource ; ceci comprend les pré- - Modèle de référence de base. cautions prises contre l’utilisation d’une ressource de façon - Partie 4 : Cadre général de gestion. non autorisée.

ISO 7498/Add.I, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Modèle de référence de base. - Additif 1 : Transmission en mode sans connexion.

3.3.2 liste de contrôle d’accès : Liste des entités autori- sées à accéder à une ressource ; cette liste inclut les droits d’accès liés aux entités.

/SO 8648, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Organisation interne de la Couche Réseau.

3.3.3 imputabilité : Propriété qui garantit que les actions d’une entité ne peuvent être imputées qu’à cette entité.

3 Définitions et abréviations

3.1 La présente partie de I’ISO 7498 se fonde sur les concepts élaborés dans I’ISO 7498 et utilise les termes sui- vants qui y sont définis :

a) connexion (N) ; b) transmission de données (N) ; c) entité (N) ; d) facilité (N) ; e) couche (N) ; f) système ouvert ; g) entités homologues ; h) protocole (N) ; j) unité de données de protocole (N k) relais (N) ; 1) routage ; m) maintien en séquence ; n) service (N) ; p) unité de données de service (N) ; q) données utilisateur (N) ; r) sous-réseau ; s) ressource OSI ; et t) syntaxe de transfert.

3.2 La présente partie de I’ISO 7498 utilise les termes suivants définis dans les Normes internationales citées en référence.

Transmission en mode sans connexion (ISO 7498/Add. 1) Système extrémité (ISO 7498) Fonction de relais et de routage (ISO 8648) UNITDATA (ISO 7498) Base d’informations de gestion (MIB) (ISO 7498-4)

En outre, les abréviations suivantes sont utilisées :

OSI interconnexion de systèmes ouverts ; (Open Systems Interconnection)

SDU unité de données de service ; (Service Data Unit)

SMIB base d’informations de gestion de sécurité ; et (Security Management Information Base)

MIB base d’informations de gestion. (Management Information Base)

3.3 Pour les besoins de la présente partie de I’ISO 7498,1es définitions suivantes sont applicables :

3.3.4 menace active : Menace de modifification non auto- risée et délibérée de l’état du système.

NOTE - La modification et le fait de rejouer des messages, I’inser- tion de faux messages, le déguisement d’une entité autorisée et le déni de service sont des exemples de menaces actives.

3.3.5 audit : voir «audit de sécurité» (3.3.47).

3.3.6 enregistrement d’audit : voir <<journal d’audit de sécurité» (3.3.48).

3.3.7 authentification : voir <<authentification de I’ori- gine l’origine des données>> et <<authentification de l’entité homologue>> (3.3.22 et 3.3.40).

NOTE - Dans la présente partie de I’ISO 7498, le termectauthentifi- catiotw n’est pas associé à l’intégrité des données ; le terme Anté- grité des données>> est utilisé à la place.

3.3.8 information d’authentification : Information utili- sée pour établir la validité d’une identité déclarée.

3.3.9 échange d’authentification : Mécanisme destiné à garantir l’identité d’une entité par échange d’informations.

3.3.10 autorisation : Attribution de droits, comprenant la permission d’accès sur la base de droits d’accès.

3.3.11 disponibilité : Propriété d’être accessible et utili- sable sur demande par une entité autorisée.

3.3.12 capacité : Jeton utilisé comme identificateur d’une ressource de telle sorte que la possession du jeton confère les droits d’accès à cette ressource.

3.3.13 voie : Chemin de transfert de l’information.

3.3.14 cryptogramme : Données obtenues par I’utilisa- tion du chiffrement. Le contenu sémantique des données résultantes n’est pas compréhensible.

NOTE - Le cryptogramme peut lui-même être réinjecté dans un nouveau chiffrement pour produire un cryptogramme sur-chiffré.

3.3.15 texte en clair : Données intelligibles dont la sémantique est compréhensible.

3.3.16 confidentialité : Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés.

2

ISO

749

8-2:

1989

- Pr

evie

w o

nly

Cop

y vi

a IL

NA

S e-

Shop