Точный
Статус документа
Статус документа

ГОСТ Р 58546-2019 (IEC/PAS 62264-6:2016) Интеграция систем управления предприятием. Часть 6. Модель службы обмена сообщениями

     5.7 Безопасность

5.7.1 Обмен сообщениями безопасности

Безопасность при обмене сообщениями определяется как аутентифицированный доступ к сервисам MSM-канала.

Примечание - Обеспечение безопасности MSM-сервисов - дело первостепенной важности. В модели сервиса MSM-приложения "ничего не знают" о своих партнерах по связи. Они не знают количества возможных партнеров: 1) отсутствие партнеров (публикаторы работают без подписки), 2) один партнер, 3) несколько партнеров. Безопасность не может определяться как связь с доверенными партнерами. Безопасность подразумевает взаимодействие по безопасным каналам.

5.7.2 Маркеры безопасности каналов

Безопасность доступа по каналу обеспечивается маркерами безопасности.

Каждому каналу назначается свой уникальный маркер безопасности.

Маркеры безопасности могут быть добавлены в канал по желанию пользователя MSM-сервиса.

Примечание - Если провайдер сервиса MSM обязан обеспечить безопасность, то конечный пользователь MSM-сервиса может принять решение не назначать маркер безопасности одному или нескольким каналам. В данном случае канал становится доступным для всех без какого-либо аутентифицированного контроля.

Маркер безопасности используется приложением при открытии канала, при подписке в канале. Если маркер безопасности приложения не соответствует маркеру безопасности канала, то информация из канала не поступает.

Маркерами безопасности обмениваются на внеполосных каналах связи (например, в ручном режиме, в электронном режиме на безопасных каналах типа "точка-точка").  


Рисунок 9 - Безопасность каналов

5.7.3 Формат маркера безопасности

Формат маркера безопасности определяется в спецификации практической реализации MSM-сервиса. Варианты практической реализации MSM-сервиса могут основываться на различных методах представления и форматах маркеров безопасности.

5.7.4 Рекомендации для провайдеров MSM-сервисов

1) Все провайдеры MSM-сервисов должны использовать маркеры безопасности.

2) Для обеспечения безопасности провайдеры MSM-сервисов могут ограничить использование сервисов управления MSM-каналами в отношении приложений, серверов, доменов и т.д.

3) В рамках конкретной практической реализации провайдеры и потребители должны договориться между собой об уровне безопасности канала, если таковой имеется. Если конкретный сервис должен обеспечивать безопасность, то требование, что конкретная практическая реализация должна использовать конкретный сервис, отсутствует.

Пример 1 - Системы совместно пользуются информацией компаний с помощью открытых Интернет-каналов. В данном случае, практическая реализация провайдера MSM-сервисов обеспечивает надежную систему маркеров безопасности с помощью открытого ключевого механизма со специальным маркером безопасности, назначенным особыми коммуникационными службами.

Пример 2 - Система находится полностью внутри безопасной среды, защищенной корпоративным (функциональным) межсетевым экраном. В данном случае, пользователь может принять решение не назначать маркеры безопасности для каналов и принять другие меры обеспечения безопасности.