Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Структура теории компьютерной безопасности (Основные четыре уровня защиты информации: защита МНИ, защита средств взаимодействия с МНИ, защита представления информации, защита содержания информации).



При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и за­щищаемой на АС информации, которая поможет систематизировать как воз­можные угрозы, так и меры по их нейтрализации и парированию, т.е. по­может систематизировать и обобщить весь спектр методов обеспечения защиты, относящихся к информационной безопасности. Эти уровни сле­дующие:

• защита носителей информации;

• защита средств взаимодействия с носителем;

• защита представления информации;

• защита содержания информации.

Данные уровни были введены исходя из того, что, во-первых, ин­формация для удобства манипулирования чаще всего фиксируется на некотором материальном носителе (бумага, дискета, жесткий диск и т.д.). Во-вторых, если способ представления ин­формации таков, что она не может быть непосредственно воспринята че­ловеком, возникает необходимость в преобразователях информации в доступный для человека способ представления. Например, для чтения информации с дискеты необходим компьютер, оборудованный дисководом соответствующего типа. В-третьих, как уже было отмечено, информа­ция может быть охарактеризована способом своего представления или тем, что еще называется языком в обиходном смысле. Язык жестов, язык символов и т.п.- все это способы представления информации. В-чет­вертых, человеку должен быть доступен смысл представленной инфор­мации, ее семантика.

Защита носителей информации должна обеспечивать парирование всех возможных угроз, направленных как на сами носители, так и на за­фиксированную на них информацию, представленную в виде изменения состояний отдельных участков, блоков, полей носителя. Применительно к АС защита носителей информации в первую очередь подразумевает защиту машинных носителей. Вместе с тем, необходимо учитывать, что но­сителями информации являются также каналы связи, документальные материалы, получаемые в ходе эксплуатации АС, и т.п.

Защита средств взаимодействия с носителем охватывает спектр методов защиты программно-аппаратных средств, входящих в состав АС, таких как средства вычислительной техники, операционная система, прикладные программы. В основном защита на данном уровне рассматривается как защита от не­санкционированного доступа, обеспечивающая разграничение доступа пользователей к ресурсам системы.

Защита представления информации, т.е. некоторой последовательности символов, обеспечивается средствами криптографической защиты.

Защита содержания информации обеспечи­вается семантической защитой данных.

 

8. Виды политик безопасности и их основные положения, а также методы использования формальных моделей при построении защищенных АС.

Политика безопасности – совокупность норм и правил регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопасности системы.

Формальное выражение политики безопасности называют моделью политики безопасности .

Политика безопасности включает :

· множество возможных операций над объектами;

· для каждой пары " субъект, объект" (Si, Oj) множество paзрешенных операций, являющееся подмножеством всего множества возможных операций.

Существуют следующие типы политики безопасности: дискреционная, ман­датная, политика безопасности информационных потоков, политика ролевого разграничения доступа, политика изолированной программной среды.

1. Основой дискреционной (дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control - DAC), которое определяется двумя свойствами:

• все субъекты и объекты должны быть идентифицированы;

• права доступа субъекта к объекту системы определяются на основа­нии некоторого внешнего по отношению к системе правила.

Основным элементом систем дискреционного разграничения доступа является матрица доступов – матрица размером |S| x |O|, строки которой соответствуют субъектам, а столбцы – объектам. При этом каждый элемент матрицы доступов определяет права доступа субъекта s на объект o, где R – множество прав доступа.

Достоинства: относительно простая реализация соответствующих механизмов за­щиты. Этим обусловлен тот факт, что большинство распространенных в настоящее время АС обеспечивают выполнение положений именно дан­ной политики безопасности.

К недостаткам относится статичность модели. Это означает, что данная политика безопасности не учитывает динамику изменении состояния АС, не накладывает ограничений на состояния системы. В то же время имеются модели АС, реализующих дискреционную политику безопасности, которые предоставляют алгоритмы проверки безопасности.

Основными моделями систем дискреционного разграничения доступа являются модели Харрисона-Руззо-Ульмана (модель ХРУ) и модель Take-Grant.

2. Основу мандатной (полномочной) политики безопасности составляет мандатное управление доступом (Mandatory Access Control - MAC), которое подразумевает, что:

• все субъекты и объекты системы должны быть однозначно идентифицированы;

• задан линейно упорядоченный набор меток секретности;

• каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации - его уровень секретности в АС;

• каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в АС - максимальное значение метки секретности объектов к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.

Основная цель мандатной политики безопасности - предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа, т.е. противодействие возникновению в АС ин формационных каналов сверху вниз.

Чаще всего мандатную политику безопасности описывают в терминах, понятиях и определениях свойств модели Белла - Лапалуда.

Таким образом, каналы утечки в системах данного типа не заложены в нее непосредственно (что мы наблюдаем в положениях предыдущей политики безопасности), а могут появиться только при практической реализации системы вследствие ошибок разработчика. В дополнении к этому правила мандатной политики безопасности более ясны и просты для понимания разработчиками и пользователями АС, что также является фактором, положительно влияющим на уровень безопасности системы. С другой стороны, реализация систем с политикой безопасности данного типа довольно сложна и требует значительных ресурсов вычислительной системы.

3. Политика безопасности информационных потоков основана на разделении всех возможных информационных потоков между объектами системы на два непересекающихся множества: множество благоприятных информационных потоков и множество неблагоприятных информационных потоков. Цель реализации данной политики безопасности состоит в том, чтобы обеспечить невозможность возникновения в компьютерной системе неблагоприятных информационных потоков.

Политика безопасности информационных потоков в большинстве случаев используется в сочетании с политикой другого вида, например с политикой дискреционного или мандатного разграничения доступа. Реализация данной политики безопасности на практике является трудной для решения задачей.

4. Ролевое разграничение доступа является развитием политики дискреционного разграничения доступа; при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.

Задание ролей позволяет определить более четкие и понятные для пользователей компьютерные системы разграничения доступа. Ролевое разграничение доступа позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования системы правила разграничения доступа.

5. Политика изолированной программной среды. Целью реализации данной политики является определение порядка безопасного взаимодействия субъектов системы, обеспечивающего невозможность воздействия на систему защиты и модификации ее параметров или конфигурации, результатом которых могло бы стать изменение реализуемой системой защиты политики разграничения доступа.

Политика изолированной программной среды реализуется путем изоляции субъектов системы друг от друга и путем контроля порождения новых субъектов таким образом, чтобы в системе могли активизироваться только субъекты из предопределенного списка. При этом должна контролироваться целостность объектов системы, влияющих на функциональность активизируемых субъектов.

 

9. Классы защиты по TCSEC, концепция защиты АС и СВТ по руководящим документам Гостехкомиссии РФ, профили защиты по «Единым критериям».

«Критерии безопасности компьютерных систем» (Trusted Computer System Evaluation Criteria»), получившее неформальное, но прочно закрепившееся название «Оранжевая книга», были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечение компьютерных систем и выработки соответствующей методологии анализа политики безопасности, реализуемой в компьютерных системах военного назначения.

В «Оранжевой книге» предложены три категории тре­бований безопасности — политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требо­вания направлены непосредственно на обеспечение безо­пасности информации, а два последних — на качество са­мих средств защиты.

Требование 1. Политика безопасности – система должна поддерживать точно определенную политику безопасности. Возможность осуществления субъектами доступа к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где необходимо, должна использоваться политика нормативного управления доступом, позволяющая эффективно реализовать разграничение доступа к категорированной информации (информации, отмеченной грифом секретности, типа «секретно», «сов. секретно» и т.д. ).

Требование 2. Метки

С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секретности) объекта и/или режимы доступа к этому объекту.

Требование 3. Идентификации и аутентификация

Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения.

Требование 4. Регистрация и учет

Для определения степени ответственности пользователей за действия в системе, все происходящее в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.

Требование 5. Контроль корректности функционирования средств зашиты

Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства зашиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находится под контролем средств проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Требование 6. Непрерывность защиты

Все средства защиты (в т.ч. и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме него, его выполнение является одним из ключевых аспектов формального доказательства безопасности системы.

«Оранжевая книга» предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D1 и А1 соответственно), группа С — классы C1, C2, а группа В — B1, B2, ВЗ, характеризующиеся различными наборами требований безопасности. Уровень безопасности возрастает при движении от группы D к группе А, а внутри группы — с возрастанием номера класса.

Группа D. Минимальная защита

Класс D1. Минимальная защита. К этому классу относятся все системы, которые не удовлетворяют требованиям других классов.

Группа С. Дискреционная защита - характеризуется наличием дискреционного управления доступом и регистрацией действий субъектов.

Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделения пользователей и информации и включают средства контроля и управления доступом, позволяющие задавать ограничения для индивидуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей. Класс С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня секретности.

Класс С2. Управление доступом. Системы этого класса осуществляют более избирательное управление доступом, чем системы класса С1, с помощью применения средств индивидуального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов.

Группа В. Мандатная защита. Основные требования этой группы — мандатное управление доступом с использованием меток безопасности, поддержка модели и политики безопасности, а также наличие спецификаций на функции ТСВ. Для систем этой группы монитор взаимодействий должен контролировать все события в системе.

Класс В1. Защита с применением меток безопасности.

Системы класса B1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформально модель безопасности, маркировку данных и мандатное управление доступом. При экспорте из системы информация должна подвергаться маркировке. Обнаруженные в процессе тестирования недостатки должны быть устранены.

Класс В2. Структурированная защита. Для соответствия классу В2 ТСВ системы должны поддерживать формально определенную и четко документированную модель безопасности, предусматривающую дискреционное и мандатное управление доступом, которое распространяется по сравнению с системами класса В1 на все субъекты. Кроме того, должен осуществляться контроль скрытых каналов утечки информации. В структуре ТСВ должны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ТСВ должен быть четко определен, а его архитектура и реализация должны быть выполнены с учетом возможности проведения тестовых испытаний. По сравнению с классом В1 должны быть усилены средства аутентификации. Управление безопасностью осуществляется администраторами системы. Должны быть предусмотрены средства управления конфигурацией.

Класс ВЗ. Домены безопасности. Для соответствия этому классу ТСВ системы должно поддерживать монитор взаимодействий, который контролирует все типы доступа субъектов к объектам и который невозможно обойти. Кроме того, ТСВ должно быть структурировано с целью исключения из него подсистем, не отвечающих за реализацию функции защиты, и быть достаточно компактно для эффективного тестирования и анализа. В ходе разработки и реализации ТСВ должны применяться методы и средства, направленные на минимизацию его сложности. Средства аудита должны включать механизмы оповещения администратора при возникновении событий, имеющих значение для безопасности системы. Требуется наличие средств восстановления работоспособности системы.

Группа А. Верифицированная защита – характеризуется применением формальных методов верификации, корректная работа механизмов управления доступом (дискреционного и мандатного). Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ТСВ отвечают требованиям безопасности.

Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса ВЗ, и к ним не предъявляется никаких дополнительных функциональных требований. В отличие от систем класса ВЗ в ходе разработки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получить корректную реализацию функций защиты. Процесс доказательства адекватности реализации начинается на ранней стадии разработки с построения формальной модели политики безопасности и спецификаций высокого уровня. Для обеспечения методов верификации системы класса А1 должны содержать более мощные средства управления конфигурацией и защищенную процедуру дистрибуции.


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-04-11; Просмотров: 2233; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.031 с.)
Главная | Случайная страница | Обратная связь