تستخدم البيانات لرصد شبكة الاتصالات والتحكم فيها. وغالباً ما تُرسل حركة الإدارة على شبكة منفصلة لا تحمل سوى حركة إدارة الشبكة وليس حركة المستعملين. ويشار غالباً إلى هذه الشبكة باسم شبكة إدارة الاتصالات (TMN) الوارد وصفها في توصية قطاع تقييس الاتصالات M.3010 بشأن المبادئ المتعلقة بشبكة إدارة الاتصالات. ولا بد من تأمين هذه الحركة. وتقسم حركة الإدارة عادة إلى فئات على أساس المعلومات المطلوبة لوظائف التعامل مع الأعطال والتشكيل والأداء والمحاسبة وإدارة الأمن. وتتولى إدارة أمن الشبكة إقامة شبكة إدارة آمنة وكذلك إدارة أمن المعلومات المتصلة بالمستويات الثلاثة لمعمارية الأمن X.805.
يجب الاضطلاع دوماً بنشاط الإدارة المتصل بعناصر البنية التحتية لشبكة على نحو آمن. فعلى سبيل المثال، يجب ألا يقوم بأنشطة الشبكة إلا مستعمل مصرح له. ولتقديم حل من طرف إلى طرف، ينبغي تطبيق تدابير أمنية (من قبيل التحكم في النفاذ والاستيقان) على كل نمط من أنشطة الشبكة في البنية التحتية للشبكة وخدمات الشبكة وتطبيقات الشبكة. وهناك عدد من توصيات قطاع تقييس الاتصالات تركز تحديداً على الجانب الأمني من مستوي الإدارة لعناصر الشبكة وأنظمة الإدارة التي تشكل جزءاً من البنية التحتية للشبكة.
وتشمل تطبيقات إدارة الشبكة الأخرى تلك المتصلة بالبيئات حيث يحتاج مقدمو الخدمة المختلفون للتفاعل فيما بينهم كي يعرضوا خدمات من طرف إلى طرف. ومن الأمثلة على ذلك، المرافق المقدمة إلى المؤسسات التنظيمية أو الحكومية دعماً للتعافي من الكوارث، والحالات التي تقدم فيها الخطوط المؤجرة إلى الزبائن عبر الحدود الجغرافية.
شبكة إدارة الاتصالات
وتكون شبكة إدارة الاتصالات منفصلة ومعزولة عن البنية التحتية للشبكة العمومية بحيث لا يصل إليها أي عطل نتيجة تهديد أمني في مستوى المستعمل النهائي في الشبكة العمومية. ونتيجة لهذا الانفصال، من السهل نسبياً تأمين حركة شبكة الإدارة لأن النفاذ إلى هذا المستوى مقصور على مديري الشبكة المرخص لهم بذلك، ومن ثم تقتصر الحركة على أنشطة الإدارة الصحيحة. ولكن في إطار شبكات الجيل التالي، قد يتم أحياناً الجمع بين تطبيق حركة مستعمل نهائي وتطبيق حركة الإدارة. ولئن كان هذا النهج يساعد على تقليل التكاليف إلى أدنى حد، لأنه لا يتطلب سوى بنية تحتية لشبكة متكاملة وحيدة، فإنه يؤدي أيضاً إلى ظهور كثير من تحديات الأمن الجديدة. إذ تصبح التهديدات في مستوى المستعمل النهائي تهديدات على مستويات الإدارة والتحكم. وإذ يصبح مستوى الإدارة مفتوحاً لنفاذ العديد من المستعملين النهائيين، يصبح من الممكن حدوث أنواع كثيرة من الأنشطة المؤذية.
معمارية إدارة الشبكة
يرد في توصية قطاع تقييس الاتصالات M.3010 تعريف معمارية تحديد إدارة الشبكة في شبكة اتصالات ما.
وتشتمل توصية قطاع تقييس الاتصالات M.3016.0 على لمحة عامة وهيكل يحدد محاذير الأمن التي تتهدد شبكة إدارة الاتصالات (TMN). وفي إطار سلسلة التوصيات M.3016 تحدد توصية قطاع تقييس الاتصالات M.3016.1 المتطلبات المفصلة وتوصية قطاع تقييس الاتصالات M.3016.2 خدمات الأمن وتوصية قطاع تقييس الاتصالات M.3016.3 الآليات التي يمكن بها مواجهة التهديدات ضمن سياق المعمارية الوظيفية لشبكة TMN، كما هي محددة في توصية قطاع تقييس الاتصالات M.3010. وبما أن مختلف المنظمات لا تحتاج إلى أن تضع جميع المتطلبات فإن توصية قطاع تقييس الاتصالات M.3016.4 توفر قالباً لاستحداث مواصفات على أساس متطلبات الأمن والخدمات والآليات. يمكن استخدام هذا من أجل الامتثال لسياسة الأمن التي تنفرد بها منظمة ما.
وهنالك وجهان يؤخذان في الاعتبار عند مناقشة إدارة أمن الشبكة. يتعلق أحدهما بمستوي الإدارة لنشاط مستعمل من طرف إلى طرف (مثل خدمات نقل الصوت بواسطة بروتوكول الإنترنت). ولا بد من القيام بإدارة المستعملين بطريقة آمنة. وهذا ما يشار إليه بعبارة تبادل أمن معلومات الإدارة عبر الشبكة لدعم تطبيق من طرف إلى طرف. والوجه الآخر هو إدارة معلومات الأمن التي تُطبق بغض النظر عن التطبيق. فمثلاً، يجب القيام بنشاط الإبلاغ عن عطل بين جهتين من مقدمي الخدمة بشكل آمن. وقد يستلزم ذلك تجفير التبادلات، وفي هذه الحالة يجب أن يُحسب حساب إدارة مفاتيح التجفير.
وتتوفر عدة توصيات تتناول وظائف إدارة الأمن لمعمارية التوصية X.805 بالنسبة إلى طبقات مستوي الإدارة الثلاث. وبالإضافة إلى ذلك، ووفق البحث الوارد في الأقسام الفرعية أدناه، هنالك توصيات أخرى تتضمن تعريف الخدمات النوعية أو المشتركة مثل إطلاق الإنذارات عند حدوث انتهاك للأمن، ووظائف التدقيق، ونماذج معلومات تعرّف سويات الحماية لأهداف مختلفة.
تأمين عناصر البنية التحتية لشبكة
يمكن النظر في توصيلية من طرف إلى طرف على أساس شبكة (أو شبكات) نفاذ وشبكة (أو شبكات) أساسية. ويمكن استخدام تكنولوجيات مختلفة في هذه الشبكات. وقد تم وضع توصيات تتناول كلاً من شبكات النفاذ والشبكات الأساسية. وتُستعمل الشبكة البصرية المنفعلة عريضة النطاق كمثال هنا. وتتضمن توصية قطاع تقييس الاتصالات Q.834.3 إدارة امتيازات مستعمل شبكة نفاذ باستخدام منهجية وضع النماذج الموحدة، بينما تتضمن توصية قطاع تقييس الاتصالات Q.834.4 تعريف تبادل الإدارة باستخدام معمارية وسيط مشترك لطلب غرض (CORBA). ويطبق السطح البيني الموصوف في هذه التوصيات بين نظام إدارة العناصر ونظام إدارة الشبكات. ويستخدم الأول لإدارة عناصر الشبكة الفردية، وبالتالي يدرك التفاصيل الداخلية لمعماريات عتاد وبرمجيات العناصر الواردة من طرف واحد أو أكثر، بينما يقوم الثاني بالأنشطة على مستوى الشبكة من طرف إلى طرف ويشمل أنظمة إدارة العديد من الموردين. وتحتوي قائمة تصاريح المستعملين على قائمة بأنشطة الإدارة المسموح بها لكل مستعمل مرخص له بذلك. ويتحقق مدير التحكم في النفاذ من هوية المستعمل ومن كلمة المرور الخاصة به لنشاط الإدارة ويمنحه حق النفاذ وفقاً للعناصر الوظيفية المسموح بها والمدرجة في قائمة التصاريح.
تأمين أنشطة المراقبة والتحكم
هناك جانبان للأمن على صلة بالتقاطع بين مستوي الإدارة وطبقة الخدمات. إذ يضمن أحدهما توفير تدابير الأمن الملائمة للخدمات المقدمة في الشبكة. ومن أمثلة ذلك، ضمان أن أداء العمليات المرتبطة بتوفير الخدمة يقتصر على المستعملين المخولين، بينما يتناول الجانب الثاني تعريف ما هي التبادلات الإدارية وتبادلات الإدارة الصحيحة، بغية المساعدة في اكتشاف انتهاكات الأمن.
فتوصية قطاع تقييس الاتصالات M.3208.2، بشأن إدارة التوصيل لتوصيلات وصلة الخدمة الموفرة مسبقاً لإنشاء خدمة دارة مؤجرة، تتناول الجانب الأول وهو نشاط إدارة خدمة ما. وتسمح خدمة إدارة التوصيل هذه للمشترك بإنشاء/تفعيل، أو تعديل أو إلغاء الدارات المؤجرة في نطاق حدود الموارد الموفرة مسبقاً. ولأن المستعمل هو الذي يوفر التوصيلية من طرف إلى طرف، فمن الضروري ضمان أن المستعملين المخولين فقط هم الذين يسمح لهم بأداء هذه العمليات. وأبعاد الأمن X.805 المرتبطة بهذه الخدمة هي الاستيقان من كيان نظير، والتحكم في سلامة البيانات (لمنع التعديل غير المرخص به للبيانات أثناء العبور)، والتحكم في النفاذ (لضمان عدم نفاذ مشترك ما إلى بيانات مشترك آخر قصد الإيذاء أو بشكل عرضي).
وتوصية قطاع تقييس الاتصالات M.3210.1، بشأن خدمات إدارة شبكة إدارة الاتصالات (TMN) لإدارة أمن الاتصالات المتنقلة الدولية 2000، تحدد الأنشطة الإدارية المرتبطة بمستوي الإدارة للخدمات اللاسلكية، وتقدم مثالاً عن معيار يتناول الجانب الثاني. وفي الشبكة اللاسلكية، عندما يتحول المستعملون من الشبكة الأصل إلى الشبكة المزارة قد يعبرون ميادين إدارية مختلفة. وتصف الخدمات المعرّفة في توصية قطاع تقييس الاتصالات M.3210.1 كيف أن ميدان إدارة حالات الاحتيال في الموقع الأصل يقوم بجمع المعلومات الملائمة عن مشترك ما مسجل على الشبكة المزارة. ويوضح كل من السيناريو أ) والسيناريو ب).
تأمين التطبيقات القائمة على الشبكة
يقابل تقاطع مستوي الإدارة وطبقة التطبيق في توصية قطاع تقييس الاتصالات X.805، تأمين تطبيقات المستعمل النهائي القائمة على الشبكة. ويتضمن ذلك تطبيقات مثل إرسال الرسائل وتنظيم الدليل. والنوع الآخر من التطبيقات التي يجري فيها تأمين أنشطة الإدارة هو نوع تطبيقات الإدارة نفسها. ومن الأفضل شرح ذلك باستخدام الأمثلة. فالمستعملون النهائيون لهذه التطبيقات هم موظفو (عمليات) الإدارة لدى مقدم الخدمة. ولننظر في حالة مقدم خدمات يستخدم خدمات توصيل يوفرها مقدم خدمات آخر من أجل توفير خدمة التوصيل من طرف إلى طرف. وتبعاً للبيئة التنظيمية أو بيئة السوق، قد يوفر بعض مقدمي الخدمات خدمات نفاذ، بينما يوفر مقدمو خدمات آخرون، يشار إليهم باسم الشركات الناقلة فيما بين البدالات، توصيلية مسافات بعيدة. وتستأجر هذه الشركات خدمات نفاذ من مقدم خدمات محلي للحصول على توصيلية من طرف إلى طرف عبر مواقع موزعة جغرافياً. وعندما تتعطل خدمة ما، يستخدم تطبيق يسمى إدارة تقرير الأعطال للتبليغ عن المشكلة. ويتطلب مستعمل هذه الأنظمة وكذلك التطبيق نفسه تخويلاً للإبلاغ عن المشاكل. وينبغي للأنظمة المخول لها والمستعملين المخول لهم اتخاذ الإجراءات اللازمة لتدارك المشكلة أو المشاكل المبلغ عنها.
وتتضمن توصية قطاع تقييس الاتصالات X.790، بشأن وظيفة إدارة الإشكالات في تطبيقات قطاع تقييس الاتصالات، تعريف تطبيق الإدارة هذا وتستخدم آليات مثل قوائم التحكم في النفاذ والاستيقان المتبادل لتأمين الأنشطة.
الخدمات المشتركة في إدارة الأمن
تتعدد الخدمات المشتركة التي تُعتبر من أنشطة مستوي الإدارة X.805. وتطبق هذه الخدمات على وجه الخصوص لدى استخدام بروتوكول معلومات الإدارة المشتركة (CMIP) (توصية قطاع تقييس الاتصالات X.711). وفيما يلي أدناه وصف موجز للخدمات الواردة في هاتين التوصيتين.
وظيفة الإبلاغ عن إنذار أمن
الإبلاغ عن إنذار عموماً وظيفة أساسية في السطوح البينية للإدارة. وعندما يُكشف عطل ناتج من إشكالات تشغيلية (عطل في رزمة الدارة) أو من انتهاك لسياسة الأمن يبلّغ عن إنذار إلى النظام القائم بالإدارة. ويحتوي بلاغ الإنذار على عدد من المعلمات بحيث يتمكن النظام القائم بالإدارة من معرفة سبب العطل واتخاذ تدابير تصحيحية. وتشمل معلمات أي حدث حقلاً إلزامياً يدعى نمط الحدث ومجموعة من الحقول الأخرى تشمل معلومات الحدث. وتتألف هذه المجموعة من معلومات تتناول مثلاً حدة الإنذار والأسباب المحتملة للإنذار وكاشف انتهاك الأمن. وأسباب الإنذار مرتبطة بأنماط الأحداث كما هو مبين في الجدول 6.
أسباب إنذار الأمن
نمط الحدث | أسباب إنذار الأمن |
انتهاك السلامة | معلومات مزدوجة معلومات ناقصة كشف عن تعديل معلومات معلومات في غير ترتيبها معلومات غير متوقعة |
انتهاك التشغيل | رفض الخدمة تعطل الخدمة خطأ إجرائي سبب غير محدد |
انتهاك مادي | تلاعب في الكبل كشف دخيل سبب غير محدد |
انتهاك خدمة أمن أو آلية أمن | فشل الاستيقان انتهاك السرية فشل عدم التنصل محاولة نفاذ غير مرخص به سبب غير محدد |
انتهاك ميدان زمني | معلومات متأخرة مفتاح انتهت صلاحيته نشاط خارج الساعات المحددة |
وأسباب الإنذار هذه موضحة بشكل أوفى في توصية قطاع تقييس الاتصالات X.736 بشأن وظيفة الإبلاغ عن إنذار أمن.
وظيفة تعقب التدقيق الأمني
يُستعمل تعقب التدقيق الأمني لتسجيل الأحداث المتعلقة بالأمن، ولا سيما منها انتهاكات الأمن. ويمكن لهذه الأحداث أن تشمل عمليات الوصل والقطع واستعمالات آليات الأمن وعمليات الإدارة ومحاسبة الاستعمال. وتحدد توصية قطاع تقييس الاتصالات X.740 وظيفة تعقب التدقيق الأمني.
التحكم في النفاذ للكيانات الخاضعة للإدارة
تتضمن توصية قطاع تقييس الاتصالات X.741 بشأن أشياء ونعوت التحكم في النفاذ وصفاً مفصلاً للنموذج المرتبط بتخصيص التحكم في النفاذ لمختلف الكيانات التي تخضع للإدارة. ومن المتطلبات التي تلبيها هذه التوصية حماية معلومات الإدارة من استحداث أو حذف أو تعديل غير مرخص به، ضامنةً اتساق العمليات مع حقوق النفاذ التي يتمتع بها مستهلو العمليات، ومانعةً إرسال معلومات الإدارة إلى جهات غير مرخص لها بذلك. وثمة سويات مختلفة من التحكم في النفاذ معرّفة من أجل الوفاء بهذه المتطلبات. وبالنسبة إلى عمليات الإدارة، يمكن تطبيق قيود النفاذ في سويات متعددة. ويمكن أن تستند سياسة التحكم في النفاذ إلى واحد أو أكثر من المخططات المحددة (مثل قوائم التحكم في النفاذ؛ والتحكم في النفاذ على أساس المقدرة أو الوسم أو السياق). وفي نموذج توصية قطاع تقييس الاتصالات X.741، يستند قرار السماح بالنفاذ أو منعه إلى السياسة ومعلومات التحكم في النفاذ (ACI) التي تشمل مثلاً القواعد وهوية الجهة التي تستهل العملية وهويات الجهات المقصودة المطلوب النفاذ إليها والمعلومات المتصلة بالاستيقان من الجهة مستهلة العملية.
خدمات الأمن القائمة على أساس معمارية وسيط مشترك لطلب غرض (CORBA)
لئن افترضت توصيات عديدة من السلسلة X.700 استخدام بروتوكول معلومات الإدارة المشتركة (CMIP) بوصفه بروتوكول السطح البيني للإدارة فإن هناك الآن اتجاهات أخرى تنعكس في هذه التوصيات. وهي تشمل استخدام بروتوكول يقوم على أساس معمارية وسيط مشترك لطلب غرض وما يتصل بها من خدمات ونماذج أغراض للسطوح البينية للإدارة. وجدير بالذكر من بين توصيات قطاع تقييس الاتصالات هذه، التوصية X.780 بعنوان: المبادئ التوجيهية لشبكة إدارة الاتصالات في تعريف الأغراض التي تديرها معمارية CORBA؛ والتوصية X.780.1 بعنوان: المبادئ التوجيهية لشبكة إدارة الاتصالات في تعريف الأغراض ذات التفاصيل العامة التي تديرها معمارية CORBA؛ والتوصية X.780.2 بعنوان: المبادئ التوجيهية لشبكة إدارة الاتصالات في تعريف الأغراض ذات التوجه الخدمي التي تديرها معمارية CORBA وفي تعريف أغراض الواجهة؛ والتوصية X.781 بعنوان: المتطلبات والمبادئ التوجيهية لقوالب بيانات مطابقة التنفيذ المرتبطة بالأنظمة القائمة على معمارية CORBA. وذلك إضافة إلى توصية قطاع تقييس الاتصالات Q.816التي تحدد إطاراً لاستعمال هذه الخدمات في سياق السطوح البينية للإدارة. وللقيام بمتطلبات الأمن لهذه السطوح البينية فإن هذه التوصية تشير إلى المواصفة التي وضعها فريق إدارة الأغراض (OMG) للخدمات المشتركة من أجل الأمن.