- KHÔNG ĐƯỢC (MUST NOT)
4.3.2.2 Miền an ninh
Việc áp dụng khuyến nghị X.805 có thể thực hiện cho từng phần tử mạng một cách riêng biệt tuy nhiên điều này nảy sinh 2 vấn đề.
Một là mức độ bảo vệ sẽ không cao, điều này thể hiện ở chỗ: vì các phần tử chức năng ngoài việc thực hiện chức năng an ninh còn phải thực hiện chức năng chính khác của nó trong mạng do đó không thể năng lực xử lý chức năng an ninh của các phần tử sẽ không thể lớn.
Hai là có sự lặp trong việc phải xử lý cùng chức năng an ninh đối với các phần tử. Một giải pháp được nghĩ ra đề giải quyết vấn đề này đó là sử dụng biện pháp phân miền an ninh, nhờ việc gom các phần tử lại thành một miền như khái niệm sẽ được làm rõ trong phần dưới đây.
Bản thân miền an ninh là một khái niệm không được nêu ra trong khuyến nghị X.805, nó không là một thành phần an ninh trong kiến trúc an ninh mà khuyến nghị X.805 đưa ra, mà
chỉ được đề cập gần đây trong các kiến trúc an ninh của 3GPP hay của TISPAN. Học viên lựa chọn đưa khái niệm này vào trình bày trong phần này đó là bởi vì các giải pháp an ninh thực tế đều dựa trên khái niệm này, và theo ý kiến chủ quan của học viên thì việc thực hiện kỹ thuật phân miền an ninh sẽ làm cho việc phân tích các vấn đề an ninh trở nên bớt phức tạp đi rất nhiều so với áp kiến trúc an ninh đầy đủ đến từng thực thể chức năng trong mạng, đồng thời cũng làm cho giải pháp an ninh được đơn giản hơn như chúng ta sẽ thấy về sau. Khái niệm miền an ninh có thể được hiểu là một tập các phần tử cần có độ an toàn tương đương, được quản trị bởi một nhà quản lý duy nhất. Một mạng sẽ được phân chia thành nhiều miền an ninh, mỗi miền bao gồm một vài phần tử, các miền được phân cách nhau bởi một phần tử biên, có nghĩa là lưu lượng liên miền đều phải đi qua phần tử biên đặt giữa 2 miền đó. Phần tử biên này sẽ thực hiện một số biện pháp an ninh chung cho cả những phần tử bên trong nó.
Khi chúng ta thực hiện cơ chế phân miền an ninh và sử dụng các phần tử biên như vậy sẽ khắc phục được 2 vấn đề gặp phải như đã nói ở trên khi áp dụng đối với từng phần tử riêng biệt. Đó là do chỉ tập trung vào thực hiện chức năng an ninh cho nên có thể yêu cầu phần tử biên này có năng lực xử lý chức năng an ninh khá lớn, chúng ta sẽ có thể tăng cường áp dụng biện pháp an ninh cho toàn miền nhờ việc thực hiện chức năng an ninh trên phần tử này. Mặt khác cũng tránh được sự chồng lặp về việc phải xử lý các biện pháp an ninh nhờ việc đẩy các biện pháp an ninh chung cần áp dụng cho các phần tử ra phần tử biên.
Vì vậy trong những phân tích và đề xuất về giải pháp an ninh của học viên về sau học viên sử dụng khái niệm miền an ninh như là một thành phần trong kiến trúc an ninh đồng thời thực hiện phân miền an ninh trong qui trình áp dụng X.805.
