 |
Корректность субъектов. Основная теорема безопасности
|
|
|
|
Классификация АС и СВТ на уровень защищенности от НСД согласно РД
НСД – доступ к информации, нарушающий правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники или АС.
РД СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации.
РД устанавливает классификацию СВТ, по уровню защищенности от НСД, на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
- первая группа содержит только один седьмой класс;
- вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
- третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
- четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Наименование показателя
Дискреционный принцип контроля доступа
Мандатный принцип контроля доступа
Очистка памяти
Изоляция модулей
Маркировка документов
Защита ввода и вывода на отчуждаемый физический носитель информации
Сопоставление пользователя с устройством
Идентификация и аутентификация
Гарантии проектирования
Регистрация
Взаимодействие пользователя с КСЗ (комплекс средств защиты)
Надежное восстановление
Целостность к КСЗ
Контроль модификации
Контроль дистрибуции
Гарантии архитектуры
Тестирование
Руководство пользователя
Руководство по КСЗ
Тестовая документация
Конструкторская (проектная) документация
|
|
|
Субъектно ориентированная модель КС
Правила разграничения доступа субъектов к объектам есть формально описанные потоки, принадлежащие подмножеству L.
В предлагаемой субъектно-ориентированной модели не производится уточнений известных моделей политик безопасности (политика безопасности описывает только критерии разбиения на множества L и N), но формулируются условия корректного существования элементов КС, обеспечивающих реализацию той или иной политики безопасности. Поскольку критерий разбиения на множества L и N не связан со следующими далее утверждениями (постулируется лишь наличие субъекта, реализующего фильтрацию потоков), то можно говорить об инвариантности субъектно-ориентированной модели относительно любой принятой в КС политики безопасности (не противоречащей условиям утверждений).
Стандарт TCSEC
В стандарте заложен понятийный базис ИБ (безопасная система, доверенная система, политика безопасности, уровень гарантированности, подотчетность, доверенная вычислительная база, монитор обращений, ядро безопасности, периметр безопасности).Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности. Политики безопасности должны быть подробными, четко определёнными и обязательными для компьютерной системы. Есть две основных политики безопасности:
Мандатная политика безопасности — обязательные правила управления доступом напрямую основанные на индивидуальном разрешении, разрешении на доступ к информации и уровне конфиденциальности запрашиваемой информации. Другие косвенные факторы являются существенными и окружающими. Эта политика также должна точно соответствовать закону, главной политике и прочим важным руководствам, в которых устанавливаются правила.
|
|
|
Дискреционная политика безопасности — предоставляет непротиворечивый набор правил для управления и ограничения доступа, основанный на идентификации тех пользователей, которые намерены получить только необходимую им информацию.
Индивидуальная ответственность в независимости от политики должна быть обязательной. Требования:
Аутентификация — процесс используемый для распознавания индивидуального пользователя.
Авторизация — проверка разрешения индивидуальному пользователю на получение информации определённого рода.
Аудит — контролируемая информация должна избирательно храниться и защищаться в мере, достаточной для отслеживания действий аутентифицированного пользователя, затрагивающих безопасность.
Гармонизированные критерии ITSEC
Европейские критерии рассматривают следующие составляющие информационной безопасности:
1 конфиденциальность, т.е. защиту от несанкционированного получения информации;
2 целостность, т.е. защиту от несанкционированного изменения информации;
3 доступность, т.е. защиту от несанкционированного отказа в информации и ресурсов.
В Европейских Критериях средства, имеющие отношение к ИБ, рассматриваются на трех уровнях детализации. Наиболее абстрактный – первый уровень касается лишь целей безопасности, второй – спецификации функций безопасности, на третьем – содержится информация о механизмах безопасности, т.е. обеспечение декларированной функциональности.
Критерии рекомендуют выделить в этих спецификациях разделы со следующими заголовками: идентификация и аутентификация; управление доступом; подотчетность; аудит; повторное использование объектов; точность информации; надежность обслуживания; обмен данными.
Классы безопасности. Набор функций безопасности может специфицироваться с использованием ссылок на определенные классы функциональности. В Европейских Критериях таких классов десять. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности «Оранжевой книги».
Класс F-IN предназначается для объектов оценки с высокими потребностями по обеспечению целостности данных и программ, что типично для систем управления базами данных.
|
|
|
Класс F-AV характеризуется повышенными требованиями к доступности.
Класс F-DI характеризуется повышенными требованиями к целостности передаваемых данных.
Класс F-DC определяет повышенные требования к конфиденциальности передаваемой информации.
Класс F-DX характеризуется повышенными требованиями и к целостности, и к конфиденциальности информации (можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями).
Модель OSI/ISO
В модели OSI/ISO сетевые функции распределены между семью уровнями.
*Физический уровень определяет способ физического соединения компьютеров в сети. Функциями средств, относящихся к данному уровню, являются побитовое преобразование цифровых данных в сигналы, передаваемые по физической среде (например, по кабелю), а также собственно передача сигналов.
*Канальный уровень отвечает за организацию передачи данных между абонентами через физический уровень.
*Сетевой уровень обеспечивает доставку данных между компьютерами сети, представляющей собой объединение различных физических сетей.
*Транспортный уровень реализует передачу данных между двумя программами, функционирующими на разных компьютерах, обеспечивая при этом отсутствие потерь и дублирования информации, которые могут возникать в результате ошибок передачи нижних уровней.
*Сессионный (или сеансовый) уровень позволяет двум программам поддерживать продолжительное взаимодействие по сети, называемое сессией (session) или сеансом.
*Уровень представления осуществляет промежуточное преобразование данных исходящего сообщения в общий формат, который предусмотрен средствами нижних уровней, а также обратное преобразование входящих данных из общего формата в формат, понятный получающей программе.
*Прикладной уровень предоставляет высокоуровневые функции сетевого взаимодействия, такие, как передача файлов, отправка сообщений по электронной почте и т.п.
8. Структура и содержание "Общих критерий". Функциональные требования.
Структурно ОК версия 1.0 представлены как совокупность самостоятельных, но взаимосвязанных частей:
|
|
|
Часть 1. "Представление и общая модель".
Часть 2. "Требования к функциям безопасности".
Часть 3. "Требования гарантии безопасности".
Часть 4. "Предопределенные профили защиты".
Часть 5 (планируется). "Процедуры регистрации".
Классы и семейства функциональных требований сгруппированы на основе определенной функции или цели безопасности.
Класс FAU (аудит безопасности) состоит из 12 семейств, содержащих требования к распознаванию, регистрации, хранению и анализу информации, связанной с действиями, затрагивающими безопасность объекта оценки.
Класс FCO (связь) включает 2 семейства, связанных с аутентификацией сторон, участвующих в обмене данными.
Класс FDP (защита данных пользователя) подразделяется на пять групп семейств, которые относятся к защите данных пользователя в пределах объекта оценки в процессе ввода, вывода и хранения информации.
Класс FIA (идентификация и аутентификация) включает 9 семейств. Эффективность выполнения требований других классов зависит от правильной идентификации и аутентификации пользователей.
Класс FPR (секретность) включает 4 семейства и содержит требования к секретности, обеспечивающие защиту пользователя от раскрытия и несанкционированного использования его идентификаторов другими пользователями.
Класс FPT (защита функций безопасности) включает 22 семейства функциональных требований, которые касаются целостности и контроля данных ФБ и механизмов, обеспечивающих ФБ.
Класс FRU (использование ресурса) включает 3 семейства, которые определяют готовность требуемых ресурсов к обработке и/или хранению информации.
Класс FTA (доступ к ОО) включает 7 семейств, которые определяют функциональные требования, сверх требований идентификации и аутентификации, для управления сеансами работы пользователя.
Класс FTP (надежный маршрут/канал) включает 2 семейства, которые содержат требования к обеспечению надежного маршрута связи между пользователями и ФБ и надежного канала связи между ФБ.
9. Понятие "защищенности" компьютерной системы.
МО – это субъект, активизирующийся при возникновении потока от любого субъекта к любому объекту. Он может быть индикаторный и содержательный.
МБО – это МО, который разрешает поток, принадлежащий только множеству легального доступа L. Таким образом, МБО выступает субъектом реализации политики безопасности.
Представляется очевидным, что при изменении функционально ассоциированных с МБО объектов могут измениться и свойства самого МБО, заключающиеся в фильтрации потоков. Как следствие могут возникнуть потоки, принадлежащие множеству потоков нелегального доступа N.
|
|
|
Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).
Монитор безопасности объектов разрешает порождение потоков только из множества легального доступа L, если все существующие в системе субъекты абсолютно корректны относительно него и друг друга.
Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).
Если в абсолютно изолированной КС существует МБО, и порождаемые субъекты абсолютно корректны относительно МБО, а также МБС абсолютно корректен относительно МБО, то в такой КС реализуется только доступ, описанный в правилах разграничения доступа.
Утверждение 3 (базовая теорема ИПС)
Если в момент времени to в изолированной КС действует только порождение субъектов с контролем неизменности объекта и существуют потоки от любого субъекта к любому объекту, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момент времени t>to КС также остается изолированной (абсолютно изолированной).
Исходя из выше приведенного, можно сформулировать методологию проектирования гарантированно защищенных КС. Сущность данной методологии состоит в том, что при проектировании защитных механизмов КС необходимо опираться на совокупность приведенных выше (утверждения 1-3) достаточных условий, которые должны быть реализованы для субъектов, что гарантирует защитные свойства, определенные при реализации МБО в КС (т. е. гарантированное выполнение заданной МБО политики безопасности).
Рассмотренная концепция изолированной программной среды является расширением зарубежных подходов к реализации ядра безопасности.
Корректность субъектов. Основная теорема безопасности
Пара субъектов Si и Sj называется не влияющими друг на друга (или корректными относительно друг друга), если в любой момент времени отсутствует поток (изменяющий состояние объекта) между ассоциированным объектом субъекта Sj(Osi) и Sj(Osj), причем Osj не является ассоциированным объектом Si, a Osi не является ассоциированным объектом Sj.
Пара субъектов Si и Sj называется абсолютно не влияющими друг на друга (или абсолютно корректными относительно друг друга), если в условиях определения 1 множества ассоциированных объектов указанных субъектов не имеют пересечения
Множество субъектов КС называется изолированным (абсолютно изолированным), если в ней действует МБС и субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС.
Базовая теорема ИПС (изолированная программная сред)
Если в момент времени to в изолированной КС действует только порождение субъектов с контролем неизменности объекта и существуют потоки от любого субъекта к любому объекту, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момент времени t>to КС также остается изолированной (абсолютно изолированной).
По утверждению основной теоремы безопасности система с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния
|
|
|
