ITU-T X 1205 FRENCH-2008 Overview of cybersecurity《网络安全综述 17号研究组》.pdf

1、 Union internationale des tlcommunicationsUIT-T X.1205SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (04/2008) SRIE X: RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT Scurit du cyberespace Cyberscurit Prsentation gnrale de la cyberscurit Recommandation UIT-T X.1205 RECOMMAN

2、DATIONS UIT-T DE LA SRIE X RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT RSEAUX PUBLICS DE DONNES X.1X.199 INTERCONNEXION DES SYSTMES OUVERTS X.200X.299 INTERFONCTIONNEMENT DES RSEAUX X.300X.399 SYSTMES DE MESSAGERIE X.400X.499 ANNUAIRE X.500X.599 RSEAUTAGE OSI ET ASPECTS SYSTMES X

3、600X.699 GESTION OSI X.700X.799 SCURIT X.800X.849 APPLICATIONS OSI X.850X.899 TRAITEMENT RPARTI OUVERT X.900X.999 SCURIT DE LINFORMATION ET DES RSEAUX Aspects gnraux de la scurit X.1000X.1029 Scurit des rseaux X.1030X.1049 Gestion de la scurit X.1050X.1069 Tlbiomtrie X.1080X.1099 APPLICATIONS ET SE

4、RVICES SCURISS Scurit en multidiffusion X.1100X.1109 Scurit des rseaux domestiques X.1110X.1119 Scurit des tlcommunications mobiles X.1120X.1139 Scurit de la toile X.1140X.1149 Protocoles de scurit X.1150X.1159 Scurit dhomologue homologue X.1160X.1169 Scurit des identificateurs en rseau X.1170X.1179

5、 Scurit de la tlvision par rseau IP X.1180X.1199 SCURIT DU CYBERESPACE Cyberscurit X.1200X.1229 Lutte contre le pollupostage X.1230X.1249 Gestion des identits X.1250X.1279 APPLICATIONS ET SERVICES SCURISS Communications durgence X.1300X.1309 Scurit des rseaux de capteurs ubiquitaires X.1310X.1339 Po

6、ur plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T X.1205 (04/2008) i Recommandation UIT-T X.1205 Prsentation gnrale de la cyberscurit Rsum La Recommandation UIT-T X.1205 contient une dfinition de la cyberscurit. Elle dcrit les diffrentes menaces contre la scurit du point de

7、vue dune organisation et prsente les menaces et vulnrabilits relatives la cyberscurit ainsi que les outils habituellement utiliss par les pirates. Les menaces sont examines dans diverses couches de rseau. Ce document expose diverses technologies de cyberscurit disponibles pour remdier aux menaces: r

8、outeurs, pare-feu, protection antivirus, systmes de dtection des intrusions, systmes de protection contre les intrusions, informatique scurise, audit et surveillance, etc. Il aborde les principes de protection des rseaux, par exemple la dfense en profondeur et la gestion daccs applique la cyberscuri

9、t. Il traite des stratgies et techniques de gestion des risques, y compris de limportance de la formation et de la sensibilisation la protection du rseau. Enfin, des exemples sont fournis concernant la scurisation de divers rseaux compte tenu des technologies prsentes. Source La Recommandation UIT-T

10、 X.1205 a t approuve le 18 avril 2008 par la Commission dtudes 17 (2005-2008) de lUIT-T selon la procdure dfinie dans la Rsolution 1 de lAMNT. ii Rec. UIT-T X.1205 (04/2008) AVANT-PROPOS LUnion internationale des tlcommunications (UIT) est une institution spcialise des Nations Unies dans le domaine

11、des tlcommunications et des technologies de linformation et de la communication (ICT). Le Secteur de la normalisation des tlcommunications (UIT-T) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en

12、 vue de la normalisation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. L

13、approbation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI

14、 NOTE Dans la prsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne

15、 certaines dispositions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leur

16、s formes ngatives servent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner

17、 lieu lutilisation dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandatio

18、ns. A la date dapprobation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recomm

19、and aux dveloppeurs de consulter la base de donnes des brevets du TSB sous http:/www.itu.int/ITU-T/ipr/. UIT 2009 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T X.1205 (04/2008) iii TABLE DE

20、S MATIRES Page 1 Domaine dapplication 1 2 Rfrences. 1 3 Dfinitions 2 3.1 Termes dfinis ailleurs . 2 3.2 Termes dfinis dans la prsente Recommandation 2 4 Abrviations 3 5 Conventions 6 6 Introduction 6 7 Cyberscurit 7 7.1 Quest-ce que la cyberscurit? 7 7.2 Nature de lenvironnement de cyberscurit dans

21、les entreprises 7 7.3 Menaces contre la cyberscurit et mthode suivre pour y remdier 9 7.4 Scurit des communications de bout en bout . 10 8 Stratgies possibles de protection des rseaux . 12 8.1 Gestion de politique en boucle ferme . 12 8.2 Gestion daccs uniforme 13 8.3 Communications scurises 15 8.4

22、Scurit profondeur variable 16 8.5 Scurisation de la gestion . 17 8.6 Scurit par couches: application, rseau et gestion de rseau 19 8.7 Capacit de survie du rseau mme en cas dattaque . 20 Appendice I Techniques dattaque 21 I.1 Description des menaces contre la scurit 21 I.2 Menaces contre la scurit 2

23、4 Appendice II Palette des technologies de cyberscurit . 28 II.1 Cryptographie. 29 II.2 Techniques de contrle daccs 30 II.3 Antivirus et intgrit du systme 36 II.4 Audit et surveillance. 36 II.5 Gestion 37 Appendice III Exemples de scurit dans les rseaux 41 III.1 Scurisation de laccs distance . 41 II

24、I.2 Scurisation de la tlphonie IP . 43 III.3 Scurisation des bureaux distants. 48 III.4 Scurisation des WLAN. 49 Bibliographie 58 Rec. UIT-T X.1205 (04/2008) 1 Recommandation UIT-T X.1205 Prsentation gnrale de la cyberscurit 1 Domaine dapplication La prsente Recommandation contient une dfinition de

25、la cyberscurit au 3. Elle dcrit les diffrentes menaces contre la scurit du point de vue dune organisation. NOTE Lutilisation du terme “identit“ dans la prsente Recommandation ne lui confre pas une valeur absolue, et ne constitue pas en particulier une validation positive. Le 7 traite de la nature de

26、 lenvironnement de cyberscurit dans les entreprises, des risques lis la cyberscurit et de la scurit des communications de bout en bout. Le 8 aborde les stratgies possibles de protection des rseaux, notamment la gestion de politique en boucle ferme et la gestion daccs uniforme. Il porte aussi sur les

27、 techniques de scurisation des communications, la scurit profondeur variable, la scurisation du plan de gestion, la scurit par couches et la capacit de survie du rseau mme aprs une attaque. LAppendice I dcrit les diffrentes menaces contre la scurit et prsente les outils habituellement utiliss par le

28、s pirates. LAppendice II passe en revue la palette des technologies de cyberscurit: cryptographie, techniques de contrle daccs, techniques de protection primtrique, antivirus et intgrit du systme, audit et surveillance, et gestion. LAppendice III donne des exemples de scurit dans les rseaux. Il prse

29、nte notamment des exemples de scurisation de laccs distance, de la tlphonie IP, des clients VoIP, des bureaux distants et des rseaux WLAN. 2 Rfrences Les Recommandations UIT-T et autres rfrences suivantes contiennent des dispositions qui, par suite de la rfrence qui y est faite, constituent des disp

30、ositions de la prsente Recommandation. Au moment de la publication, les ditions indiques taient en vigueur. Les Recommandations et autres rfrences tant sujettes rvision, les utilisateurs de la prsente Recommandation sont invits rechercher la possibilit dappliquer les ditions les plus rcentes des Rec

31、ommandations et autres rfrences numres ci-dessous. Une liste des Recommandations UIT-T en vigueur est publie priodiquement. La rfrence un document figurant dans la prsente Recommandation ne donne pas ce document en tant que tel le statut de Recommandation. UIT-T X.800 Recommandation UIT-T X.800 (199

32、1), Architecture de scurit pour linterconnexion en systmes ouverts dapplications du CCITT. UIT-T X.805 Recommandation UIT-T X.805 (2003), Architecture de scurit pour les systmes assurant des communications de bout en bout. UIT-T X.811 Recommandation UIT-T X.811 (1995) | ISO/CEI 10181-2:1996, Technol

33、ogies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts: cadre dauthentification. UIT-T X.812 Recommandation UIT-T X.812 (1995) | ISO/CEI 10181-3:1996, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts

34、 cadre de contrle daccs. IETF RFC 1918 IETF RFC 1918 (1996), Address Allocation for Private Internets . 2 Rec. UIT-T X.1205 (04/2008) IETF RFC 2396 IETF RFC 2396 (1998), Uniform Resource Identifiers (URI): Generic Syntax . 3 Dfinitions 3.1 Termes dfinis ailleurs La prsente Recommandation utilise le

35、s termes suivants dfinis ailleurs: 3.1.1 La prsente Recommandation utilise les termes suivants dfinis dans le document UIT-T X.800: a) autorisation; b) architecture de scurit; c) politique de scurit; d) utilisateur. 3.1.2 La prsente Recommandation utilise les termes suivants dfinis dans le document

36、UIT-T X.805: a) dimension de scurit; b) service de scurit. 3.1.3 La prsente Recommandation utilise les termes suivants dfinis dans le document UIT-T X.811: a) authentification; b) principe. 3.1.4 La prsente Recommandation utilise les termes suivants dfinis dans le document UIT-T X.812: a) informatio

37、ns de contrle daccs; b) accs; c) contrle daccs; d) utilisateur. 3.1.5 La prsente Recommandation utilise les termes suivants dfinis dans le document IETF RFC 2396: a) identificateur universel de ressource (URI). b) rfrence dURI. 3.2 Termes dfinis dans la prsente Recommandation Les termes suivants son

38、t dfinis dans la prsente Recommandation: 3.2.1 point daccs: pivot sans fil IEEE 802.11, type particulier de station (STA) fonctionnant comme un point daccs. 3.2.2 ensemble de services de base (BSS, basic service set): zone de couverture desservie par un seul point daccs (AP, access point). 3.2.3 alg

39、orithme cryptographique: procd de chiffrement permettant de modifier les donnes pour les camoufler. 3.2.4 cyberenvironnement: ensemble des utilisateurs, rseaux, dispositifs, logiciels, processus, informations en mmoire ou en cours de transmission, applications, services et systmes qui peuvent tre ra

40、ccords directement ou indirectement des rseaux. Rec. UIT-T X.1205 (04/2008) 3 3.2.5 cyberscurit: ensemble des outils, politiques, concepts de scurit, mcanismes de scurit, lignes directrices, mthodes de gestion des risques, actions, formations, bonnes pratiques, garanties et technologies qui peuvent

41、tre utiliss pour protger le cyberenvironnement et les actifs des organisations et des utilisateurs. Les actifs des organisations et des utilisateurs comprennent les dispositifs informatiques connects, le personnel, linfrastructure, les applications, les services, les systmes de tlcommunication, et l

42、a totalit des informations transmises et/ou stockes dans le cyberenvironnement. La cyberscurit cherche garantir que les proprits de scurit des actifs des organisations et des utilisateurs sont assures et maintenues par rapport aux risques affectant la scurit dans le cyberenvironnement. Les objectifs

43、 gnraux en matire de scurit sont les suivants: Disponibilit Intgrit, qui peut englober lauthenticit et la non-rpudiation Confidentialit. 3.2.6 systme rparti: support non normalis pour linterconnexion densembles BSS dans un ensemble ESS. 3.2.7 protocole dauthentification extensible: extension PPP pre

44、nant en charge des mthodes dauthentification supplmentaires, dfinie dans la spcification b-IEEE 802.1X. 3.2.8 ensemble de services tendus (ESS, extended service set): rseau local sans fil unique avec des ensembles BSS dans un seul sous-rseau IP. 3.2.9 pare-feu: systme ou combinaison de systmes tabli

45、ssant une frontire entre deux rseaux ou plus. Il sagit dune passerelle qui limite laccs entre rseaux conformment une politique de scurit locale. 3.2.10 agent tranger: routeur du rseau visit/hte qui dessert le nud mobile lorsque celui-ci est en visite dans le rseau hte. Lagent tranger gre la tunnelli

46、sation et lacheminement entre le nud mobile et les autres nuds ainsi quentre le rseau de rattachement du mobile et le rseau hte. 3.2.11 pot de miel, leurre informatique: programme logiciel qui mule un rseau afin dattirer (et ventuellement de dmasquer) les intrus et de suivre leurs actions. Les rsult

47、ats obtenus par ce type de systmes peuvent servir dterminer les intentions de lintrus et rassembler des preuves. 3.2.12 agent rsidentiel: routeur qui dessert le nud mobile lorsque celui-ci est en visite dans dautres rseaux. Lagent rsidentiel tient jour les informations sur lemplacement actuel de ce nud mobile. 3.2.13 point daccs public: endroit public o les utilisateurs IEEE 802.11 mobiles peuvent se raccorder lInternet. 3.2.14 mobi