 |
Механизмы безопасности
|
|
|
|
Согласно оранжевой книге политика безопасности обязана включать следующие элементы.
1. Произвольное управление доступом – метод разграничения доступа к объектам основанный на учете личности субъекта или группы в которую субъект входит. Произвольность управления состоит в том что некоторое лицо может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объектам
2. Безопасность повторного использования объектов – это важное дополнение средств управления доступа предохраняющая от случайного или намеренного извлечении информации из «мусора». Она должна гарантироваться для областей оперативной памяти. Для дисковых блоков и магнитных носителей в целом. Для реализации доступа субъектов к объектам с убъектами и объектами используються метки безопасности метки себъекта описывают его надежность а метка объекта степень важности того что в нем находиться. Метка безопасности состоит из 2х частей уровень секретности и уровни категорий. Уровень секретности образуют упорядоченное множество а категории не упорядоченное. Назначение категорий это описать предметныю область к которой относятся данные. Принудительное управление доступом основано на сопоставлении меток субъекта и объекта. Субъект может читать информацию из объекта если уровень секретности субъекта не ниже чем у объекта а все категории присутствуют в метки субъекта. Субъект может записывать информацию в объект если метка безопасности объекта доминирует над метко субъекта.
3. Метки безопасности
4. Принудительное управление доступом
Цель подотчетности знать кто работает и как работает. Средства под отчетности деляться на 3 категории:
|
|
|
1. Аутитентификация – ввод пароля
2. Идентификация - обычный способ идентификации ввод имени пользователя
3. Предоставление доверенного пути – доверенный путь связывает пользователь с доверительной вычеслительной базой. Цель предоставления доверенного пути дать пользователю возможность убедиться в подлинности обсуживаемой его системы. Анализ информации меет дело с действиями затрагивающими безопасность системы
В ораньжевой книге есть 2 вида гарантированности:
1. Операционная – относится в архитектурным и реализационным аспектам. Включает в себя проверку следующих элементов:
a. Архитектура системы
b. Целостность системы
c. Проверка тайных каналов передачи информации
d. Доверенное администрирование
e. Доверенное восстановление после сбоев
2. Технологическая – относится к методам построения и мопровождения
Классы безопасности
Класс С1 – доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам. Пользователи должны идентифицировать себя прежде чем выполнять какие либо действия для аутиттификации должен использоваться защитный механизм.
Доверенная вычеслительна база должна поддерживать область для собственного выполнения защещенную от внешних воздействий и от попытки взлома
Должны быть в наличии апаратныеи и программные средства позволяющие проверять корректность функционирования компонентов доверительной вычеслительной базы
Защитные механизмы должны быть протестированы на предмет соответствия их проведения документации. Тестирование должно подтвертить что у не авторизованного пользователя не способа обойти или разрушить доверительной вычеслительной базы
Должны быть описаны подходы безопасности использованные производителем и применение при реализации ДВБ
Класс С2 в добавление С1:
1. Права доступа должны гранулироваться до пользователя
|
|
|
2. При выделении хранимого объекта из пула(интервала) ресурсов ДВБ необходимо ликведировать все следы его использования
3. Каждый пользователь системы долен уникальным способом идентифицироваться чтобы каждое регистрируемое действие могло идентифицироваться с пользователем
4. ДВБ должна создать поддерживать журнал регистрационной информации относыйщейся к доступу к объектам контролируемой базы.
5. Тестирование должно подтвердить отсутствие очевидных недоставках механизмах изоляции ресурсов и защиты регистрационной информации.
Класс В1 в дополнение С2:
1. ДВБ должна правлять метками безопасности ассоциируемые с каждым субъектом и хранимым объектом
2. ДВБ должна обеспечить реализацию принудительного управления доступом всех субъктов ко всем объектам
3. ДВБ должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств
4. Группы специалистов которые полностью понимают реализацию ДВБ должны описать орхитектуру исходные и объектные коды
5. Должна существовать неформальная и формальгая модель политики безопасности
Класс В2 в дополнение В1:
1. Снабжаться метками должны все ресурсы системы
2. ДВБ должен поддерживаться доверенный камуникациный путь для пользователя выполняющий операции начальной идентификации
3. Должна быть предусмотрена возможность регистрации событий связанных с организацие тайных каналов обменов с памятью
4. ДВБ должна быть структурирована на хорошо определенные независимые модули
5. Системный архитектор должен правильно проанализировать возможности реализации тайных каналов с памятью и оценить максимальную пропускную способность каждого канала
6. Должна быть продемонстрирована устойчивость ДВБ к попытка проникновения
7. Модель политики безопасности должна быть формальной. Для ДВБ должны существовать описательные спецификации верхнего уровня определяющую ее интерфейс.
8. В процессе разработки и сопровождения ДВБ должна использоваться система конфигурационного управления обеспечивующая контроль изменения в описательной спецификации верхнего уровня и иных архитектурных данных, реализационные коммуникации исходных текстов.
|
|
|
9. Тесты должны подтверждать действенность мер по пропускной способности дальних каналов передачи информации.
Класс В3 в дополнение В2:
1. Для произвольного управления доступом должны обязательно использоваться списки управления доступом с указаниями разрешенных режимов
2. Должна быть предусмотрена возможность регистрация появления или накопления событий несущих угрозу политики безопасности системы. Администратор безопасности должен немедленно извещать о попытках нарушения безопасности а система должна присекать их наименее болезненным способом
3. ДВБ должна быть спроектирована и структурирована таким образом чтобы использовать полный и концептуально простой механизм с точно определенной симантикой
4. Процедура анализа должна быть выполнена для временных тайных каналов.
5. Должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности после выполнения явных протоколируемых действий
6. Должны существовать процедуры или механизмы позволяющие произвести восстановление после сбоя без ослабления защиты.
7. Должна быть продемонстрирована устойчивость ДВБ к попыткам проникновения.
Класс А1 в дополнение к В3:
1. Тестирование должно продеманстрировать что реализация ДВБ соответствует формальным спецификациям верхнего уровня
2. По мимо описатьельных должны быть представлены формальные спецификации верхнего уровня
3. Необходимо использовать современные методы формальной спецификации и верификации систем
4. Механизм верификационного управления должен распространяться на весь жизненный цикл и все компоненты системы имеющие отношение к обеспечению безопасности
5. Должно быть описано соответствие между формальными спецификациями верхнего уровня и исходного текста
Уровень С – уровень произвольного управления
В- принудительное управление доступом
А – верифицируемая безопасность
|
|
|
