1、UNIN INTERNACIONAL DE TELECOMUNICACIONESUIT-T M.3016SECTOR DE NORMALIZACINDE LAS TELECOMUNICACIONESDE LA UIT(06/98)SERIE M: RGT Y MANTENIMIENTO DE REDES:SISTEMAS DE TRANSMISIN, CIRCUITOSTELEFNICOS, TELEGRAFA, FACSMIL Y CIRCUITOSARRENDADOS INTERNACIONALESRed de gestin de las telecomunicacionesVisin g
2、eneral de la seguridad en la red degestin de las telecomunicacionesRecomendacin UIT-T M.3016(Anteriormente Recomendacin del CCITT)RECOMENDACIONES DE LA SERIE M DEL UIT-TRGT Y MANTENIMIENTO DE REDES: SISTEMAS DE TRANSMISIN, CIRCUITOS TELEFNICOS,TELEGRAFA, FACSMIL Y CIRCUITOS ARRENDADOS INTERNACIONALE
3、SPara ms informacin, vase la Lista de Recomendaciones del UIT-T.Introduccin y principios generales de mantenimiento y organizacin del mantenimiento M.10M.299Sistemas internacionales de transmisin M.300M.559Circuitos telefnicos internacionales M.560M.759Sistemas de sealizacin por canal comn M.760M.79
4、9Circuitos internacionales utilizados para transmisiones de telegrafa y de telefotografa M.800M.899Enlaces internacionales arrendados en grupo primario y secundario M.900M.999Circuitos internacionales arrendados M.1000M.1099Sistemas y servicios de telecomunicaciones mviles M.1100M.1199Red telefnica
5、pblica internacional M.1200M.1299Sistemas internacionales de transmisin de datos M.1300M.1399Designaciones e intercambio de informacin M.1400M.1999Red de transporte internacional M.2000M.2999Red de gestin de las telecomunicaciones M.3000M.3599Redes digitales de servicios integrados M.3600M.3999Siste
6、mas de sealizacin por canal comn M.4000M.4999Recomendacin M.3016 (06/98) iRECOMENDACIN UIT-T M.3016VISIN GENERAL DE LA SEGURIDAD EN LA RED DE GESTIN DE LASTELECOMUNICACIONESResumenEn la presente Recomendacin se expone una visin general y el marco de la seguridad en la red de gestin de lastelecomunic
7、aciones (RGT), en virtud de los cuales se identifican las amenazas a la seguridad de esta red, y se describe lamanera de aplicar los servicios de seguridad disponibles en el contexto de la arquitectura funcional de la RGT.OrgenesLa Recomendacin UIT-T M.3016 ha sido preparada por la Comisin de Estudi
8、o 4 (1997-2000) del UIT-T y fueaprobada por el procedimiento de la Resolucin N. 1 de la CMNT el 26 de junio de 1998.ii Recomendacin M.3016 (06/98)PREFACIOLa UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campode las telecomunicaciones. El UI
9、T-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rganopermanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendacionessobre los mismos, con miras a la normalizacin de las telecomunicaciones en el plano mundial.La Conferencia Mu
10、ndial de Normalizacin de las Telecomunicaciones (CMNT), que se celebra cada cuatro aos,establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendacionessobre dichos temas.La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del proc
11、edimiento establecido en laResolucin N. 1 de la CMNT.En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, sepreparan las normas necesarias en colaboracin con la ISO y la CEI.NOTAEn esta Recomendacin, la expresin “Administracin“ se utiliza para d
12、esignar, en forma abreviada, tanto unaadministracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones.PROPIEDAD INTELECTUALLa UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga elempleo de un derecho de propi
13、edad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a lademostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros dela UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones.En la fecha de aprobacin de la
14、 presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual,protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a losusuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se l
15、es instaencarecidamente a consultar la base de datos sobre patentes de la TSB. UIT 1998Es propiedad. Ninguna parte de esta publicacin puede reproducirse o utilizarse, de ninguna forma o por ningn medio,sea ste electrnico o mecnico, de fotocopia o de microfilm, sin previa autorizacin escrita por part
16、e de la UIT.Recomendacin M.3016 (06/98) iiiNDICEPgina1 Introduccin 11.1 Alcance . 11.2 Referencias 11.3 Definiciones 21.4 Fundamento. 22 Descripcin del sistema 22.1 Agentes y roles 32.2 Dominios de seguridad 43 Objetivos de seguridad genricos de la RGT . 44 Cuestiones de legislacin . 55 Amenazas y r
17、iesgos 56 Requisitos y servicios de seguridad 66.1 Requisitos de seguridad y servicios correspondientes 76.1.1 Correspondencia de los requisitos funcionales, amenazas y objetivos de seguridad 76.1.2 Descripcin de los requisitos funcionales y los servicios correspondientes . 76.2 Requisitos de la ges
18、tin de la seguridad . 116.3 Requisitos arquitecturales . 116.4 Servicios de seguridad y capas OSI 126.4.1 Autenticacin del usuario126.4.2 Autenticacin (de entidad par y del origen de los datos) 126.4.3 Control de acceso 126.4.4 Alarma de seguridad, registro de auditora y recuperacin . 126.4.5 Integr
19、idad 126.4.6 Confidencialidad . 136.4.7 No repudio. 136.5 Gestin de la seguridad. 14Apndice I Cuestiones relativas a la legislacin. 14I.1 Introduccin 14I.2 mbitos de legislacin aplicables. 14I.3 Fuentes de legislacin . 15I.4 Posibles consecuencias para la normalizacin de la seguridad en la RGT . 15A
20、pndice II Clases funcionales y subperfiles de seguridad 16II.1 Agrupacin de medidas de seguridad . 16II.1.1 Utilizacin de las clases funcionales entre dominios 16II.1.2 Utilizacin de clases funcionales dentro de un dominio . 16II.2 Clases funcionales. 16II.3 Perfiles de seguridad . 18Recomendacin M.
21、3016 (06/98) 1Recomendacin M.3016Recomendacin M.3016 (06/98)VISIN GENERAL DE LA SEGURIDAD EN LA RED DE GESTIN DE LASTELECOMUNICACIONES(Ginebra, 1998)1 Introduccin1.1 AlcanceEn la presente Recomendacin se expone una visin general y el marco de la seguridad de la red de gestin de lastelecomunicaciones
22、 (RGT), en virtud de los cuales se identifican las amenazas a la seguridad de esta red, y se describe lamanera de aplicar los servicios de seguridad disponibles en el contexto de la arquitectura funcional de la RGT, segnfigura en la Recomendacin M.3010.Esta Recomendacin es de carcter genrico y en el
23、la no se precisan ni se analizan los requisitos de una interfaz dela RGT especfica.No se pretende en la misma definir nuevos servicios de seguridad, sino que se hace referencia a los ya existentesdefinidos en otras Recomendaciones UIT-T y Normas de la ISO.Se prev que la presente Recomendacin, junto
24、con la Recomendacin M.3400, sirva de base a una futura normalizacinde los servicios de seguridad de la RGT en el UIT-T.1.2 ReferenciasLas siguientes Recomendaciones del UIT-T y otras referencias contienen disposiciones que, mediante su referencia eneste texto, constituyen disposiciones de la present
25、e Recomendacin. Al efectuar esta publicacin estaban en vigor lasediciones indicadas. Todas las Recomendaciones y otras referencias son objeto de revisiones por lo que se preconiza quelos usuarios de esta Recomendacin investiguen la posibilidad de aplicar las ediciones ms recientes de lasRecomendacio
26、nes y otras referencias citadas a continuacin. Se publica peridicamente una lista de las Recomenda-ciones UIT-T actualmente vigentes. Recomendacin UIT-T M.3010 (1996), Principios para una red de gestin de las telecomunicaciones. Recomendacin UIT-T M.3400 (1997), Funciones de gestin de la red de gest
27、in de las telecomunicaciones. Recomendacin UIT-T X.509 (1997), Tecnologa de la informacin Interconexin de sistemas abiertos Eldirectorio Marco de autenticacin. Recomendacin UIT-T X.741 (1995), Tecnologa de la informacin Interconexin de sistemas abiertos Gestinde sistemas: Objetos y atributos para el
28、 control de acceso. Recomendacin X.800 del CCITT (1991), Arquitectura de seguridad de interconexin de sistemas abiertos paraaplicaciones del CCITT. Recomendacin UIT-T X.802 (1995), Tecnologa de la informacin Modelo de seguridad de capas ms bajas. Recomendacin UIT-T X.803 (1994), Tecnologa de la info
29、rmacin Interconexin de sistemas abiertos Modelode seguridad de capas superiores. Recomendacin UIT-T X.810 (1995), Tecnologa de la informacin Interconexin de sitemas abiertos Marcosde seguridad para sistemas abiertos: Visin general. Recomendacin UIT-T X.812 (1995), Tecnologa de la informacin Intercon
30、exin de sistemas abiertos Marcosde seguridad para sistemas abiertos: Marco de control de acceso. Recomendacin UIT-T X.813 (1996), Tecnologa de la informacin Interconexin de sistemas abiertos Marcosde seguridad en sistemas abiertos: Marco de no rechazo. Recomendacin UIT-T X.814 (1995), Tecnologa de l
31、a informacin Interconexin de sistemas abiertos Marcosde seguridad para sistemas abiertos: Marco de confidencialidad. Recomendacin UIT-T X.815 (1995), Tecnologa de la informacin Interconexin de sistemas abiertos Marcosde seguridad para sistemas abiertos: Marco de integridad.2 Recomendacin M.3016 (06/
32、98) Recomendacin UIT-T X.816 (1995), Tecnologa de la informacin Interconexin de sistemas abiertos Marcosde seguridad para sistemas abiertos: Marco de auditora y alarmas de seguridad. ISO/CEI 9979:1991, Data cryptographic techniques Procedures for the registration of cryptographic algorithms.1.3 Defi
33、niciones1.4 FundamentoEl requisito de seguridad en la RGT tiene su origen en diferentes fuentes:Los clientes/abonados, que necesitan poder confiar en la red y en los servicios ofrecidos incluida una facturacincorrecta. La comunidad/las autoridades pblicas, que exigen piden seguridad mediante directr
34、ices y leyes, para garantizarla disponibilidad de servicios, la competencia leal y la proteccin de la privacidad. Los propios operadores de red/proveedores de servicio, que necesitan seguridad para proteger sus actividades eintereses comerciales, y para cumplir sus obligaciones con los clientes y el
35、 pblico.La finalidad de la RGT es gestionar la red de telecomunicaciones subyacente, y por consiguiente la seguridad de la RGTes esencial para el buen funcionamiento de la red de telecomunicaciones. Adems, la red de telecomunicaciones puedetener caractersticas de seguridad que han de ser gestionadas
36、 por la RGT. La Recomendacin M.3400 contiene larelacin de las funciones correspondientes de gestin de la seguridad.De preferencia, las normas de seguridad de la RGT deberan basarse en las normas de seguridad acordadas a nivelinternacional, ya que as basta con utilizar normas existentes en vez de ten
37、er que crear normas nuevas. El suministro y lautilizacin de servicios y mecanismos de seguridad puede resultar muy costoso en relacin con el valor de lastransacciones que se protegen. Por ello, es importante tener la capacidad de adaptar a las necesidades del cliente laseguridad de las transacciones
38、 RGT que se protegen. Los servicios y mecanismos de seguridad necesarios para asegurarlas transacciones RGT debern proporcionarse de un modo que permita esa adaptacin a los requisitos del cliente.Habida cuenta del gran nmero de combinaciones posibles de las caractersticas de seguridad, conviene disp
39、oner deperfiles de seguridad (vase el apndice II) que abarquen una amplia gama de aplicaciones de seguridad RGT.La normalizacin facilitar la reutilizacin de soluciones y productos, gracias a lo cual la seguridad se podr introducirms rpidamente y a un menor coste.Entre los importantes beneficios que
40、aportan las soluciones normalizadas, tanto para los vendedores como para losusuarios de los sistemas, figuran las economas de escala en la fabricacin del producto y la interoperabilidad de loscomponentes dentro de un sistema RGT.Es necesario proporcionar servicios y mecanismos de seguridad para prot
41、eger las transacciones entre entidades RGT(definidas en la Recomendacin M.3010) contra agresiones ilcitas tales como las escuchas clandestinas, la simulacin,la manipulacin de mensajes (modificacin, retardo, supresin, insercin, reproduccin, reencaminamiento,encaminamiento errneo o reordenacin de mens
42、ajes), el repudio o la falsificacin. La proteccin incluye la prevenciny deteccin de las agresiones, la recuperacin despus de las mismas, y la gestin de la informacin relacionada con laseguridad. Las normas debern abarcar las interfaces dentro del dominio (Q3 y F) y entre dominios (X).2 Descripcin de
43、l sistemaEl objetivo de esta Recomendacin es efectuar una abstraccin que permita evitar los numerosos detalles de lasrealizaciones prcticas y llegar a un consenso respecto a los resultados que podran ser de utilidad cuando posteriormentese establezca su correspondencia con las aplicaciones especfica
44、s.La descripcin de la RGT se hace en base a una arquitectura funcional, una arquitectura de informacin y unaarquitectura fsica (Recomendacin M.3010).En la Recomendacin M.3010 se admite la posibilidad de que los bloques de construccin de la RGT admitan otrasinterfaces, adems de las Q, X y F. De maner
45、a similar, el equipo fsico puede tener otras funcionalidades, adems de lasasociadas a la informacin recibida por las interfaces Q, X y F. Estas interfaces adicionales y las funcionalidadesconexas no son de la incumbencia de la RGT y, por tanto, quedan fuera del mbito de normalizacin de la seguridad
46、enla RGT.Recomendacin M.3016 (06/98) 3T0409060-98/d01q3qxWSFQAF NEFMFOSFfqxgfq3q3q3 xqxmFigura 1/M.3016 Arquitectura funcional de la RGTFigura 1 Arquitectura funcional de la RGT2.1 Agentes y rolesA los efectos de la normalizacin de la seguridad en la RGT slo se considerar la seguridad tcnica, lo que
47、 significa quelos actores que se han de tener en cuenta son los usuarios de la RGT. Un usuario de la RGT es una persona o un procesoque aplica los servicios de gestin de la RGT para realizar operaciones de gestin. Los usuarios de la RGT se puedenclasificar, adems, en funcin de su pertenencia o no a
48、la organizacin responsable del funcionamiento de la RGT(usuarios internos) o su acceso a la RGT como usuarios externos.Cada vez que un usuario de la RGT accede a un servicio de gestin, el usuario de la RGT asume un rol. En ciertos casoshabr una relacin unvoca entre el usuario de la RGT y el rol, es decir que el usuario de la RGT seguir siempredesempeando el mismo cometido. En otros casos existir una relacin polivalente entre determinado usuario RGT y losposibles cometidos que ste puede desempear.La siguiente es una clasifi
