Главная Обратная связь

Дисциплины:






Основные элементы политики безопасности.



Согласно Оранжевой книге Политика безопасности должна включать 4 основных элемента:

1)Произвольное управление доступом

2)Безопасность повторного использования объектов

3)Метки безопасности

4)Принудительное управление доступом

1)Произвольное управление доступом

Произвольное управление доступом - это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту. Текущее состояние прав доступа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах - объекты. В клетках, расположенных на пересечении строк и столбцов, записываются способы доступа, допустимые для субъекта по отношению к объекту. Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Главное его достоинство - гибкость, главные недостатки - рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

2)Безопасность повторного использования объектов

Безопасность повторного использования объектов - важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора".

3)Метки безопасности

Для реализации принудительного управления доступом с субъектами и объектами используются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень закрытости содержащейся в нем информации. Согласно "Оранжевой книге", метки безопасности состоят из двух частей: уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так:

совершенно секретно;

секретно;

конфиденциально;

несекретно.

Категории образуют неупорядоченный набор. Их назначение - описать предметную область, к которой относятся данные. Механизм категорий позволяет разделить информацию "по отсекам", что способствует лучшей защищенности. Субъект не может получить доступ к "чужим" категориям, даже если его уровень благонадежности - "совершенно секретно". Главная проблема - это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. Метки безопасности субъектов более подвижны, чем метки объектов. Субъект может сознательно занижать свой уровень благонадежности, чтобы уменьшить вероятность ошибки. Вообще, принцип минимизации привилегий - весьма разумное средство защиты.



4)Принудительное управление доступом

Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Субъект может записывать информацию в объект, если метка безопасности объекта доминируетнад меткой субъекта. В частности, "конфиденциальный" субъект может писать в секретные файлы, но не может - в несекретные. Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД.


2.3. Основные положения «Оранжевой книги», классы безопасности.

С 1983 по 1988 год Министерство обороны США и Национальный комитет компьютерной безопасности разработали систему стандартов в области компьютерной безопасности, основными из которых явились критерии оценки безопасности компьютерных систем", которые по цвету обложки чаще называют "Оранжевой книгой".

В "Оранжевой книге" надежная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".

Надежность систем оценивается по двум основным критериям:

Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.

Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность можно определить тестированием системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность можно считать пассивным компонентом защиты, надзирающим за самими защитниками.

Важным средством обеспечения безопасности является механизм подотчетности (протоколирования). Надежная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.

При оценке степени гарантированности, с которой систему можно считать надежной, центральной является концепция надежной вычислительной базы. Вычислительная база - это совокупность защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит административный персонал (например, это могут быть данные о степени благонадежности пользователей).

Основное назначение надежной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Каждое обращение пользователя к программам или данным проверяется на предмет согласованности со списком действий, допустимых для пользователя.

От монитора обращений требуется выполнение трех свойств:

Изолированность. Монитор должен быть защищен от отслеживания своей работы;

Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов его обхода;

Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.

Классы безопасности

"Критерии оценки безопасности компьютерных систем" Министерства обороны США открыли путь к ранжированию информационных систем по степени надежности. В "Оранжевой книге" определяется четыре уровня надежности (безопасности) - D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными. Данную классификацию можно сформулировать так:

Уровень С – произвольное управление доступом;

Уровень В – принудительное управление доступом;

Уровень А - верефецируемая безопасность

По мере перехода от уровня C к A к надежности систем предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием надежности. Таким образом, всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1.

Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять приводимым ниже требованиям.

2.4. Основные положения «Общих критериев» (изданных 1 декабря 1999 г)

ОКявл-сямегастандартом, опред-щим инструменты оценки безопасности ИС и порядок их использования. ОК не содержит классов безопасности, а имеет в основе набор библиотек, соответ-щихопред-м программам защиты.

ОК содержит 2 осн требования безопасности:

Функциональное, соответ-щее активному спектру защиты; Требование доверия(пассивный спектр); В соответствии с ОК выделяются след-щие этапы построения защиты: Определение назначений, условий применения; Проектирование и разработка; Испытание, сертификация и оценка; Внедрение и эксплуатация

ОКхарактериз-ся существование в определенной среде безопасности с определенными условиями и угорозами.

Угрозы характериз-ся след-ми параметрами:

Источник угрозы; Метод воздействия; Уязвимые места; Ресурсы(активы), которые могут пострадать

Уязвимые места могут возникнуть из-за недостатка к требованиям безопасности и эксплуатации. Слабые места по возможности следует устранить или минимизировать возможный ущерб.

Общие критерии строятся по принципу библиотек и в них введена иерархия:

Класс; Семейство; Компонент; Элемент

Классы определяют наиболее общую предметную группу

Семейство в пределах класса различается по строгости и др параметрам

Компонент - минимальный набор требований

Элемент - неделимое требование

В общих критериях формируется 2 вида нормативных элементов:

Профиль защиты – представляет собой типовой набор требований, которым должны удовлетворять системы определенного класса.

Задания по безопасности – содержит требования к конкретной разработке, выполнение которой обеспечивает безопасность.

В профиле защиты следует выделять:

Функциональный пакет - неоднократно использованная совокупность элементов для обеспечения целей безопасности.

Выделяют: Базовый Произвольный

Функциональные требования, которые сгруппированы на основе выполненной ими роли в системе безопасности.

Всего в общих критериях представлено 11 классов, 60 семейств и 135 компонентов.

Функциональные требования общих критериев:

Идентификация и аутентификация

Защита данных пользователя

Защита функциональной безопасности

Управление безопасностью

Приватность

Использование ресурсов

Криптографическая поддержка по управлению ключами

Связь(аутентификация сторон, учавс-щих в обмене)

Доверенный маршрут, канал для связи

Класс «приватность» содержит 4 семейства функциональных требований:

-анонимность (позволяет выполнять действия без раскрытия аутентификации пользователя другими пользователями)

-псевдонимность (напоминает анонимность, но при использовании псевдонима поддерживается ссылка, необходимая для отчётности)

-невозможность ассоциации

-скрытость (требование скрытности направлено на то, чтобы можно было использовать информационный сервис с сокрытием факта использования)

Задание по безопасности (требование доверия)

Каждый из элементов требования доверия принадлежит к 1 из 3 типов. Действие разработчиков, действие оценщиков и представления и содержания свидетельств . Требование доверия содержит 10 классов, 44 семейства и 93 компонента.

-разработка -поддержка жизненного цикла –тестирование -оценка уязвимости -поставка в эксплуатацию -управление конфигурацией -руководство и документация -поддержка доверия -оценка профиля защиты -оценка по безопасности

В основных критериях введено 7 оценочных уровней доверия:

Уровень 1:Угрозы не рассматриваются как серьёзные

Уровень 2:Включает выборочное тестирование и поиск явных уязвимых мест

Уровень 3:Контроль среды разработки и управления конфигурацией объекта оценки

Уровень 4:Полная спецификация интерфейсов, применение неформальной модели политики безопасности, независимый анализ уязвимых мест. Вероятно, это самый высокий на сегодняшний день уровень, который можно достичь при современных технологиях и приемлемых затратах.

Уровень 5:Применение формальной модели политики безопасности.

Уровень 6:Реализация представлена в структурном виде, и анализ соответствия должен распределяться на нижнем уровне.

Уровень 7:Представляет нормальную верификацию объекта оценки, и применимы к ситуациям с чрезвычайно высоким риском





sdamzavas.net - 2019 год. Все права принадлежат их авторам! В случае нарушение авторского права, обращайтесь по форме обратной связи...