Студопедия


Авиадвигателестроения Административное право Административное право Беларусии Алгебра Архитектура Безопасность жизнедеятельности Введение в профессию «психолог» Введение в экономику культуры Высшая математика Геология Геоморфология Гидрология и гидрометрии Гидросистемы и гидромашины История Украины Культурология Культурология Логика Маркетинг Машиностроение Медицинская психология Менеджмент Металлы и сварка Методы и средства измерений электрических величин Мировая экономика Начертательная геометрия Основы экономической теории Охрана труда Пожарная тактика Процессы и структуры мышления Профессиональная психология Психология Психология менеджмента Современные фундаментальные и прикладные исследования в приборостроении Социальная психология Социально-философская проблематика Социология Статистика Теоретические основы информатики Теория автоматического регулирования Теория вероятности Транспортное право Туроператор Уголовное право Уголовный процесс Управление современным производством Физика Физические явления Философия Холодильные установки Экология Экономика История экономики Основы экономики Экономика предприятия Экономическая история Экономическая теория Экономический анализ Развитие экономики ЕС Чрезвычайные ситуации ВКонтакте Одноклассники Мой Мир Фейсбук LiveJournal Instagram

I. Концепция безопасности системы защиты




Концепция безопасности разрабатываемой системы - «это на­бор законов, правил и норм поведения, определяющих, как орга­низация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформулированной концепции можно выбирать конкретные механизмы, обеспечи­вающие безопасность системы. Концепция безопасности - это активный компонент защиты, включающий в себя анализ возмож­ных угроз и выбор мер противодействия» [12].

Концепция безопасности разрабатываемой системы соглас­но «Оранжевой книге» должна включать в себя следующие эле­менты:

• произвольное управление доступом;

• безопасность повторного использования объектов;

• метки безопасности;

• принудительное управление доступом.
Рассмотрим содержание перечисленных элементов.

1.1. Произвольное управление доступом - это метод ограниче­ния доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управ­ления состоит в том, что некоторое лицо (обычно владелец объек­та) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

С концептуальной точки зрения текущее состояние прав дос­тупа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах - объекты. В клетках, расположенных на пересечении строк и столбцов, за­писываются способы доступа, допустимые для субъекта по отно­шению к объекту (например, чтение, запись, выполнение, возмож­ность передачи прав другим субъектам и т.п.).

Очевидно, прямолинейное представление подобной матрицы невозможно, поскольку она очень велика и разрежена (т.е. боль­шинство клеток в ней пусты). В операционных системах более компактное представление матрицы доступа основывается или на структурировании совокупности субъектов (например, владе­лец/группа/прочие), или на механизме списков управления дос­тупом, т.е. на представлении матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа. За счет использования метасимволов можно компактно описывать группы субъектов, удерживая тем самым размеры спис­ков управления доступом в разумных рамках.

Большинство операционных систем и систем управления ба­зами данных реализуют именно произвольное управление досту­пом. Главное его достоинство - гибкость, главные недостатки -рассредоточенность управления и сложность централизованно­го контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.




1.2. Безопасность повторного использования объектов - важ­ное на практике дополнение средств управления доступом, пре­дохраняющее от случайного или преднамеренного извлечения
секретной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оператив­ной памяти (в частности, для буферов с образами экрана, рас­шифрованными паролями и т.п.), для дисковых блоков и магнит­ных носителей в целом.

1.3. Метки безопасности ассоциируются с субъектами и объек­тами для реализации принудительного управления доступом. Метка субъекта описывает его благонадежность, метка объекта - степень закрытости содержащейся в нем информации.

Согласно «Оранжевой книге» метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядочен­ное множество, которое может выглядеть, например, так:

• совершенно секретно;

• секретно;

• конфиденциально;

• несекретно.

Главная проблема, которую необходимо решать в связи с метками, - это обеспечение их целостности.

Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной бе­зопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правиль­ными.

Одним из средств обеспечения целостности меток безопасно­сти является разделение устройств на многоуровневые и одно­уровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в оп­ределенном диапазоне уровней). Одноуровневое устройство мож­но рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уро­вень устройства, система может решить, допустимо ли записы­вать на него информацию с определенной меткой. Например, попытка напечатать совершенно секретную информацию на прин­тере общего пользования с уровнем «несекретно» потерпит не­удачу.



1.4. Принудительное управление доступом основано на сопос­тавлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта до­минирует над меткой объекта. Смысл сформулированного пра­вила понятен: читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В част­ности, конфиденциальный субъект может писать в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий).

После того как зафиксированы метки безопасности субъек­тов и объектов, оказываются зафиксированными и права досту­па. В терминах принудительного управления нельзя выразить предложение «разрешить доступ к объекту X еще и для пользова­теля У». Конечно, можно изменить метку безопасности пользо­вателя Y, но тогда он, скорее всего, получит доступ ко многим дополнительным объектам, а не только к X.

Принудительное управление доступом реализовано во мно­гих вариантах операционных систем и СУБД, отличающихся по­вышенными мерами безопасности. Независимо от практическо­го использования принципы принудительного управления явля­ются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удоб­нее проектировать в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа. На прак­тике произвольное и принудительное управление доступом соче­тается в рамках одной системы, что позволяет использовать силь­ные стороны обоих подходов.

Если понимать систему безопасности узко, т.е. как правила разграничения доступа, то механизм подотчетности является до­полнением подобной системы. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории:

• идентификация и аутентификация;

• предоставление надежного пути;

• анализ регистрационной информации.
Рассмотрим эти категории подробнее.
Идентификация и аутентификация. Прежде чем получить

право совершать какие-либо действия в системе, каждый пользо­ватель должен идентифицировать себя. Обычный способ иден­тификации - ввод имени пользователя при входе в систему. В свою очередь, система должна проверить подлинность личности пользо­вателя, т.е. что он является именно тем, за кого себя выдает. Стан­дартное средство проверки подлинности (аутентификации) - па­роль, хотя в принципе могут использоваться также разного рода личные карточки, биометрические устройства (сканирование ро­говицы или отпечатков пальцев) или их комбинация.

Предоставление надежного пути. Надежный путь связывает пользователя непосредственно с надежной вычислительной ба­зой, минуя другие, потенциально опасные компоненты системы. Цель предоставления надежного пути - дать пользователю воз­можность убедиться в подлинности обслуживающей его системы. Задача обеспечения надежного пути становится чрезвычайно сложной, если пользователь общается с интеллектуальным тер­миналом, персональным компьютером или рабочей станцией, поскольку трудно гарантировать, что пользователь общается с подлинной программой login, а не с «троянским конем».

Анализ регистрационной информации - аудит имеет дело с дей­ствиями (событиями), затрагивающими безопасность системы. К таким событиям относятся:

• вход в систему (успешный или нет);

• выход из системы;

• обращение к удаленной системе;

• операции с файлами (открыть, закрыть, переименовать, уда­
лить);

• смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

Полный перечень событий, потенциально подлежащих реги­страции, зависит от избранной системы безопасности и от специ­фики ЭИС. Протоколирование помогает следить за пользователем и сконструировать прошедшие события. Реконструкция событий позволяет проанализировать случаи нарушений, понять, почему они стали возможны, оценить размеры ущерба и принять меры по недопущению подобных нарушений в будущем. При протоколировании события записывается следующая инфор­мация:

• дата и время события;

• уникальный идентификатор пользователя - инициатора дей­ствия;

• тип события;

• результат действия (успех или неудача);

• источник запроса (например, имя терминала);

• имена затронутых объектов (например, открываемых или уда­ляемых файлов);

• описание изменений, внесенных в базы данных защиты (на­пример, новая метка безопасности объекта);

• метки безопасности субъектов и объектов события.

Необходимо подчеркнуть важность не только сбора инфор­мации, но и ее регулярного и целенаправленного анализа. В пла­не анализа выгодное положение занимают средства аудита СУБД,
поскольку к регистрационной информации могут естественным образом применяться произвольные SQL-запросы. Следователь­но, появляется возможность для выявления подозрительных дей­ствий применять сложные эвристики.

2. Гарантированность системы защиты

Гарантированность - «мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может проистекать как из тестирования, так и из проверки (фор­мальной или нет) общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь выб­ранной концепции безопасности. Гарантированность можно счи­тать пассивным компонентом защиты, надзирающим за самими защитниками» [12].

Гарантированность - это мера уверенности, с которой мож­но утверждать, что для проведения в жизнь сформулированной концепции безопасности выбран подходящий набор средств, и что каждое из этих средств правильно исполняет отведенную ему роль. В «Оранжевой книге» рассматриваются два вида гаранти­рованности - операционная и технологическая. Операционная Гарантированность относится к архитектурным и реализацион­ным аспектам системы, в то время как технологическая - к мето­дам построения и сопровождения.

2.1. Операционная гарантированность - это способ убедиться в том, что архитектура системы и ее реализация действительно проводят в жизнь избранную концепцию безопасности и вклю­чают в себя проверку следующих элементов:

• архитектуры системы;

• целостности системы;

• анализа тайных каналов передачи информации;

• надежного администрирования;

• надежного восстановления после сбоев.

Архитектура системы должна способствовать реализации мер безопасности или прямо поддерживать их. Примеры подоб­ных архитектурных решений в рамках аппаратуры и операцион­ной системы - разделение команд по уровням привилегирован­ности, защита различных процессов от взаимного влияния за счет выделения каждому своего виртуального пространства, особая защита ядра ОС. В принципе меры безопасности не обязательно должны быть заранее встроены в систему - достаточно принци­пиальной возможности дополнительной установки защитных продуктов надежности компонентов.

Целостность системы в данном контексте означает, что ап­паратные и программные компоненты надежной вычислитель­ной базы работают должным образом и что имеется аппаратное и программное обеспечение для периодической проверки цело­стности.

Анализ тайных каналов передачи информации - тема, специфич­ная для режимных систем, когда главное - обеспечить конфиден­циальность информации. Тайным называется канал передачи информации, не предназначенный для обычного использования. Обычно тайные каналы используются не столько для передачи информации от одного злоумышленника к другому, сколько для получения злоумышленником сведений от внедренного в систе­му «троянского коня».

Надежное администрирование в трактовке «Оранжевой кни­ги» означает, что должны быть логически выделены три роли - системного администратора, системного оператора и админист­ратора безопасности. Физически эти обязанности может выпол­нять один человек, но в соответствии с принципом миними­зации привилегий в каждый момент времени он должен выпол­нять только одну из трех ролей. Конкретный набор обязаннос­тей администраторов и оператора зависит от специфики орга­низации.

Надежное восстановление после сбоев - метод обеспечения гарантированности, при котором должна быть сохранена це­лостность информации, в частности целостность меток безопас­ности. Надежное восстановление включает в себя два вида дея­тельности - подготовку к сбою (отказу) и собственно восста­новление. Подготовка к сбою - это и регулярное выполнение резервного копирования, и выработка планов действий в экст­ренных случаях, и поддержание запаса резервных компонентов. Восстановление, вероятно, связано с перезагрузкой системы и выполнением ремонтных и/или административных процедур.

2.2. Технологическая гарантированность охватывает весь жиз­ненный цикл системы, т.е. этапы проектирования, реализации, тестирования, внедрения и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стан­дартами, чтобы обезопаситься от утечки информации и нелегаль­ных «закладок».

Критерии, изложенные в «Оранжевой книге», позволили спе­циалистам ранжировать информационные системы защиты инфор­мации по степени надежности. В этом документе определяются четыре уровня безопасности (надежности) - D, С, В и А. Уровень D предназначен для систем, признанных неудовлетворительными. В настоящее время он содержит две подсистемы управления дос­тупом. По мере перехода от уровня С к А к надежности систем предъявляются все более жесткие требования. Уровни С и В под­разделяются на классы (Cl, C2, Bl, B2, ВЗ) с постепенным возрас­танием надежности. Таким образом, всего имеется шесть классов безопасности - С1, С2, В1, В2, ВЗ, А1. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому клас­су, ее концепция безопасности и Гарантированность должны удов­летворять разработанной системе требований, соответствующей этому классу.

Гармонизированные критерии Европейских стран (ITSEC)

Следуя по пути интеграции, Европейские страны приняли со­гласованные (гармонизированные) критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC), опубликованные в июне 1991 г. от имени соответствующих органов четырех стран - Фран­ции, Германии, Нидерландов и Великобритании.

Принципиально важной чертой европейских критериев явля­ется отсутствие априорных требований к условиям, в которых должна работать информационная система. Организация, запра­шивающая сертификационные услуги, формулирует цель оцен­ки, т.е. описывает условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ею защит­ные функции. Задача органа сертификации - оценить, насколько полно достигаются поставленные цели разработанными функци­ями, т.е. насколько корректны и эффективны архитектура и реа­лизация механизмов безопасности в описанных разработчиком условиях.

Таким образом, в терминологии «Оранжевой книги» европей­ские критерии относятся к оценке степени гарантированности безопасной работы спроектированной системы.

Европейские критерии рассматривают следующие основные понятия, составляющие базу информационной безопасности:

• конфиденциальность, т.е. защиту от несанкционированного получения информации;

• целостность, т.е. защиту от несанкционированного изменения информации;

• доступность, т.е. защиту от несанкционированного удержа­ния информации и ресурсов.

В европейских критериях средства, имеющие отношение к информационной безопасности, предлагается рассматривать на трех уровнях детализации. Наиболее абстрактный взгляд каса­ется лишь целей безопасности. На этом уровне получают ответ на вопрос: зачем нужны функции безопасности? Второй уровень содержит спецификации функций безопасности, т. е. здесь вы­является, какая функциональность на самом деле обеспечи­вается. На третьем уровне содержится информация о механиз­мах безопасности, показывающих, как реализуется указанная функция.

Критерии рекомендуют выделить в спецификациях реализуе­мых функций обеспечения безопаснос-ти более расширенный по сравнению с «Оранжевой книгой» состав разделов или классов функций.

- Идентификация и аутентификация.

- Управление доступом.

- Подотчетность.

- Аудит.

- Повторное использование объектов.

- Точность информации.

- Надежность обслуживания.

- Обмен данными.

Чтобы облегчить формулировку цели оценки, европейские критерии содержат в качестве приложения описание десяти при­мерных классов функциональности, типичных для правитель­ственных и коммерческих систем. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности «Оранжевой книги».

Кроме того, в критериях определены три уровня мощности механизмов защиты - базовый, средний и высокий. Согласно кри­териям мощность можно считать базовой, если механизм спосо­бен противостоять отдельным случайным атакам. Мощность можно считать средней, если механизм способен противостоять злоумышленникам с ограниченными ресурсами и возможностя­ми. Наконец, мощность можно считать высокой, если есть уве­ренность, что механизм может быть побежден только злоумыш­ленником с высокой квалификацией, набор возможностей и ре­сурсов которого выходит за пределы практичности.

Важной характеристикой является простота использования продукта или системы. Должны существовать средства, инфор­мирующие персонал о переходе объекта в небезопасное состоя­ние (что может случиться в результате сбоя, ошибок админист­ратора или пользователя).

Эффективность защиты признается неудовлетворительной, если выявляются слабые места, они не исправляются до оконча­ния процесса оценки. В таком случае объекту оценки присваива­ется уровень гарантированности Е0.

При проверке корректности объекта оценки - разработан­ной системы защиты применяются две группы критериев. Пер­вая группа относится к конструированию и разработке системы или продукта, вторая - к эксплуатации разработанной системы.





Дата добавления: 2014-02-02; просмотров: 2900; Опубликованный материал нарушает авторские права? | Защита персональных данных | ЗАКАЗАТЬ РАБОТУ


Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Для студентов недели бывают четные, нечетные и зачетные. 9147 - | 7330 - или читать все...

Читайте также:

 

35.171.183.163 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.


Генерация страницы за: 0.006 сек.