ru

Терминология ICANN в сфере безопасности

8 июля 2013
Автор Patrick JonesPatrick Jones

Безопасность – это основа всей деятельности ICANN, направленной на обеспечение технической координации систем уникальных идентификаторов Интернета в глобальном масштабе. В данной публикации предпринимается попытка прояснить смысл и контекст используемых в ICANN терминов, относящихся к сфере безопасности. Понимание этой базовой терминологии поможет повысить эффективность дискуссий между сообществом и структурами ICANN, а также заинтересованными сторонами в рамках всемирной экосистемы Интернета.

В мае Маркус Куммер (Markus Kummer) опубликовал в блоге Общества Интернета запись, посвященную истории английского термина multistakeholder, который означает «с участием многих заинтересованных сторон» 1 . Чтение этой публикации навело нас на мысль о необходимости написания статьи, в которой терминология ICANN в области безопасности рассматривалась бы в историческом контексте, что помогло бы составить базовое представление об использовании нами этих терминов и о том, как такое использование может отличаться от использования другими участниками экосистемы Интернета. Если вас интересует этот вопрос в исторической перспективе, см. врезку в конце данной статьи [нажмите здесь].

В данной публикации рассмотрены следующие термины.

  • Безопасностьобеспечение способности защищать уникальные идентификаторы Интернета и предотвращать их неправомерное использование
  • Стабильностьспособность обеспечивать ожидаемое функционирование системы и доверие к ней со стороны пользователей уникальных идентификаторов
  • Отказоустойчивостьспособность системы уникальных идентификаторов эффективно выдерживать/переносить атаки злоумышленников и прочие деструктивные события без нарушения или приостановки обслуживания

Image of how ICANN Security works

Безопасность

Упомянутое «обеспечение способности защищать» является крайне важной функцией отдела безопасности ICANN. Мы предоставляем экспертную поддержку и ресурсы для помощи, обучения и подготовки других специалистов в экосистеме Интернета, чтобы обеспечить защиту уникальных идентификаторов и повсеместное применение практических методик по предотвращению их неправомерного использования. Эта деятельность осуществляется в рамках выполнения функции технического взаимодействия отдела безопасности.

Один из ключевых аспектов роли отдела безопасности ICANN относится к обеспечению операционной целостности и противодействия угрозам. ICANN несет ответственность за поддержание безопасности («безопасную работу») корневого сервера «L», функции ключей подписей DNSSEC, работу IANA, операции с новыми рДВУ, управление базой данных часовых поясов и такие организационные функции, как финансы, кадры, управление объектами и проведение мероприятий. Роль в части обеспечения безопасности заключается в упреждающем, профилактическом снижении возможных рисков для данных функций организации, в том числе в обнаружении и противодействии угрозам в этой и других областях, в которых система идентификаторов может подвергаться опасности.

Стабильность

С понятием безопасности тесно связано другое понятие — обеспечение оснований для уверенности. Это один из компонентов нашего понимания стабильности. Стабильность – это постоянство и согласованность, с технической точки зрения, в том, что касается серверов и данных, делегирования доменов и соответствующих зон в пространстве имен. Поддержание стабильности всегда было и остается одной из важных составляющих миссии ICANN.

Отказоустойчивость

Определение отказоустойчивости в контексте работы ICANN относится к исходным целям разработки протоколов Интернета, которые должны обладать способностью адаптироваться к изменениям и устойчивостью к отказам систем.

Понятие отказоустойчивости относится к экосистеме в целом и «способности экосистемы сохранять свою структуру и работоспособность на протяжении времени при воздействии на нее внешних факторов». Это понятие заимствовано из такой дисциплины, как экологическая экономика. Стокгольмский центр отказоустойчивости предлагает ознакомиться с полезным документом, описывающим концепцию отказоустойчивости 2. Система DNS и система уникальных идентификаторов считаются отказоустойчивыми, если они помогают поддерживать здоровую и устойчивую экосистему Интернета.

Среди примеров программ, направленных в поддержку обеспечения отказоустойчивости системы уникальных идентификаторов Интернета, следует отметить программы депонирования данных регистраторов и резервных операторов реестра для экстренных ситуаций. К отказоустойчивости относится также обеспечение непрерывности работы и проведение проверок и учебных симуляций непредвиденных ситуаций.

ICANN в числе прочих участников подписала Принципы отказоустойчивости киберсистем Всемирного экономического форума 3 (pdf). В принципах Всемирного экономического форума признается, что для обеспечения отказоустойчивости киберсистем необходимы доверие, диалог и сотрудничество между различными участниками экосистемы Интернета.

Координация и сотрудничество

Функции ICANN в области координации и сотрудничества относятся к основным функциям корпорации и касаются обеспечения операционной совместимости, а также поддержания безопасности, стабильности и отказоустойчивости системы уникальных идентификаторов Интернета. ICANN выполняет координирующую роль для заинтересованных сторон в Интернете, в том числе правительств стран и представителей частного сектора, однако сохраняет при этом собственную структуру независимого управления. Эта функция не является регулированием и в этом смысле отличается от функций, возложенных на правительства и правоохранительные органы.

Координация — это основа процессов выделения ресурсов для системы уникальных идентификаторов Интернета, технического взаимодействия и разработки политик в отношении уникальных идентификаторов Интернета. Координация усилий различных участников сообщества и различных функций помогает обеспечить принятие решений, касающихся выполнения технических функций, с учетом общественных интересов, с соблюдением четкой, справедливой и прозрачной процедуры с соблюдением принципов подотчетности.

Примером этого могут служить рекомендации по координированному раскрытию информации, опубликованные в марте 2013 г. В этих рекомендациях определена роль ICANN в обстоятельствах обнаружения уязвимостей и разъясняется порядок раскрытия сторонами информации в отношении той или иной уязвимости, обнаруженной в системах или сетях ICANN.

Сотрудничество тесно связано с координацией, однако представляет собой отдельное понятие. Зачастую под сотрудничеством понимают совместную работу, в особенности в литературе, искусстве и науке 4. В исходном тексте меморандума о взаимопонимании с Министерством торговли США термином «сотрудничество» называлась совместная работа ICANN и Министерства торговли США над обеспечением функций и процедур, необходимых для передачи ICANN функций координации работы уникальных идентификаторов Интернета. За прошедшие 15 лет эта функция координации разрослась и теперь затрагивает широкий спектр различных заинтересованных сторон в экосистеме Интернета.

Сотрудничество относится также и к тому, что и как ICANN делает в рамках своего участия наряду с другими в экосистеме Интернета. К примеру, сотрудники отдела безопасности ICANN регулярно принимают участие в таких мероприятиях, как Форум управления Интернетом и региональные собрания этого форума, ежегодный форум по вопросам безопасности IISI в немецком городе Гармиш-Партенкирхен, Конференция Интерпола по теневой экономике, Форум групп реагирования на непредвиденные ситуации и нарушения безопасности и другие подобные мероприятия. Это также проявилось в участии ICANN в усилиях по противодействию червю Conficker 5 и другим атакам злоумышленников на систему DNS.

Мы надеемся, что помогли читателям составить представление об использовании этих терминов в контексте безопасности ICANN и надеемся на продолжение диалога с сообществом Интернета в поддержку этих функций.

История использования

Многие термины, используемые в данной публикации, появились задолго до создания ICANN, на самых первых этапах развития сетевых вычислительных систем. При создании сети ARPANET обеспечение компьютерной и информационной безопасности было определено в числе вопросов, вызывающих опасение. Еще в конце 1960-х годов под безопасностью понималась защита информации в системах, основанных на совместном использовании ресурсов многими пользователями6.

Необходимость координации возникла в контексте задачи присвоения уникальных идентификаторов (см. возникновение концепции доменных имен 7 и ее дальнейшее развитие в последующих документах RFC).

В ходе эволюции от первой сети ARPANET и сетей академических учреждений к набору функций, которые Джон Постел сформировал и определил как задачу Агентства по распределению номеров Интернета, сообщество технических специалистов начала эпохи Интернета признало необходимость создания организации, на которую возлагалась бы ответственность за сбор и регистрацию информации о сетях, которым присваиваются идентификаторы, и за предоставление Интернета в общее пользование в глобальном масштабе8.

Стабильность и координация стали ключевыми принципами, легшими в основу Заявления Министерства торговли США о политике управления именами и адресами Интернета от 1998 г. (т. н. Белая книга), в котором признается, что глобальная коммерческая значимость Интернета делает необходимым «обеспечение безопасной, стабильной и надежной работы DNS и системы уполномоченных корневых серверов» 9.

В Белой книге координация описывается также как набор функций, которые должны выполняться для обеспечения бесперебойной работы Интернета. Координация рассматривалась как механизм поддержания стабильности Интернета, а также как гибкий процесс обеспечения соответствия меняющимся требованиям Интернета и его пользователей во всем мире.

Принцип стабильности описывался в связи с координацией усилий в частном секторе «без нарушения работы DNS» 10.

Безопасность, стабильность и координация отражены в Уставе ICANN как составляющие миссии и основных ценностей корпорации, эти принципы включены также в документ «Подтверждение обязательств».

В RFC 1591, опубликованный Джоном Постелом в марте 1994 г. для описания структуры системы доменных имен и делегирования доменов верхнего уровня, термин «отказоустойчивость» использован для описания обязанностей управляющего ДВУ. К ним относится «предоставление своевременных ответов на запросы и ведение базы данных с обеспечением точности, надежности и отказоустойчивости»11.

В период с 1999 г. по 2008 г. отказоустойчивость упоминалась ограниченное количество раз. В ноябре 2001 г. Брюс Шнайер (Bruce Schneier) представил на конференции ICANN докладную записку, посвященную безопасности и стабильности распределения имен и адресов Интернета, в которой особое внимание уделялось «безопасности при сохранении отказоустойчивости». В 2003 г. отказоустойчивость упоминается в 8-м отчете о состоянии, представленном Министерству торговли США в связи с проведением ККБС «оценки избыточности и отказоустойчивости основных серверов доменных имен с точки зрения противостояния распределенным атакам типа «отказ в обслуживании» 12.

В 2008 г. был сформирован отдел безопасности ICANN, а термин «отказоустойчивость» стал одним из ключевых терминов ICANN в контексте обеспечения безопасности и стабильности. Более подробная информация содержится в документах отдела безопасности ICANN в архиве документов по безопасности 13.


1 http://www.internetsociety.org/blog/2013/05/multistakeholder-cooperation-reflections-emergence-new-phraseology-international

2 http://www.stockholmresilience.org/21/research/what-is-resilience.html

3 Принципы отказоустойчивости киберсистем Всемирного экономического форума, http://www3.weforum.org/docs/WEF_IT_PathwaysToGlobalCyberResilience_Report_2012.pdf [PDF, 2,09 Мб]

4https://en.wikipedia.org/wiki/Collaboration

5 http://www.icann.org/en/about/staff/security/conficker-summary-review-07may10-en.pdf [PDF, 386 Кб]

6 Меры безопасности компьютерных систем, отчет корпорации RAND R-609, 1970 г., http://www.rand.org/pubs/reports/R609-1/index2.html

7 RFC 1034, http://www.ietf.org/rfc/rfc1034.txt, в реализации RFC 1035, http://www.ietf.org/rfc/rfc1035.txt

8 RFC 1174, http://tools.ietf.org/html/rfc1174

9 1998 г., Министерство торговли США, заявление о политике управления именами и адресами Интернета, 63 фед. рег. 31741 (т. н. Белая книга Министерства торговли США, см. http://www.icann.org/en/about/agreements/white-paper)

10 Меморандум о взаимопонимании с Министерством торговли США, http://www.icann.org/en/about/agreements/mou-jpa/icann-mou-25nov98-en.htm)

11 RFC 1591, http://www.ietf.org/rfc/rfc1591.txt

12 http://www.icann.org/en/about/agreements/mou-jpa/status-report-01aug03-en.htm

13 http://www.icann.org/en/about/staff/security/archive

Authors

Patrick Jones

Patrick Jones

Senior Director, Global Stakeholder Engagement
Read biographyRead biography