Вопрос №2. Угрозы безопасности компьютерных систем и роль стандартов информационной безопасности

Вопрос №2. Опасности безопасности компьютерных систем и роль эталонов информационной безопасности


Под опасностью безопасности вычислительной системе понимаются воздействия на систему, которые прямо либо косвенно могут нанести вред ее безопасности. Разработчики требований безопасности и средств защиты выделяют три вида угроз: опасности нарушения конфиденциальности обрабатываемой инфы, опасности нарушения целостности обрабаты­ваемой инфы и опасности нарушения работоспособности системы (от­каза в обслуживании).

Опасности конфиденциальности ориентированы на разглашение секрет­ной инфы, т. е. информация становится известной лицу, которое не обязано иметь к ней доступ. Время от времени для обозначения этого явления ис­пользуется понятие "несанкционированный доступ" (НСД), в особенности по­пулярное у российских профессионалов. Обычно противоборству угрозам этого типа уделялось наибольшее внимание и, практически, по­давляющее большая часть исследовательских работ и разработок в области компью­терной безопасности было сосредоточено конкретно в этой области, т. к. она конкретно относится к задачке охраны муниципальных и военных секретов.



Опасности целостности представляют собой хоть какое искажение либо из­менение неавторизованным на это действие лицом лежащей в вычисли­тельной системе либо передаваемой инфы. Целостность информа­ции может быть нарушена как злоумышленником, так и итоге объек­тивных воздействий со стороны среды эксплуатации системы. Более животрепещуща эта угроза для систем передачи инфы — компьютерных сетей и систем телекоммуникаций,

Опасности нарушения работоспособности (отказ в обслуживании) на­правлены на создание ситуаций, когда в итоге намеренных дей­ствий ресурсы вычислительной системы становятся труднодоступными, либо понижается ее работоспособность.

Цель защиты систем обработки инфы — противодействие Угрозам безопасности. Как следует, неопасная либо защищенная система — это система, владеющая средствами защиты которые удачно и отлично противостоят угрозам безопасности.

Основная задачка эталонов информационной безопасности — соз­дать базу для взаимодействия меж производителями, потребителями и профессионалами по квалификации товаров информационных технологий. Любая из этих групп имеет свои интересы и свои взоры на делему информационной безопасности.

Потребители, во-1-х, заинтересованы в методике, позволяющей обоснованно избрать продукт, отвечающий их нуждам и решающий их задачи, зачем им нужна шкала оценки безопасности и, во-2-х, нуждаются в инструменте, при помощи которого они могли бы формулировать свои требования производителям. При всем этом потребителей (что полностью естественно) заинтересовывают только свойства и характеристики конечного продукта, а не способы и средства их заслуги. С этой точки зрения безупречная шкала оценки безопасности должна была бы смотреться приблизительно последующим образом:

Уровень 1. Система для обработки инфы с грифом не выше "для

служебного использования";

Уровень 2. Система для обработки инфы с грифом не выше

"секретно"; и т. д.

Соответственно и требования потребители желали бы формулиро­вать приблизительно в таковой форме: "Мы желаем, чтоб у нас все было защище­но для обработки совсем скрытой инфы". Этот, хотя и не очень конструктивный, подход сам по для себя не так страшен, еще ужаснее другое — многие потребители не понимают, что за все нужно платить (и не только лишь средствами) и что требования безопасности непременно противоре­чат многофункциональным требованиям (удобству работы, быстродействию и т. д.), накладывают ограничения на сопоставимость и, обычно, вынуж­дают отрешиться от очень обширно всераспространенных и потому незащи­щенных прикладных программных средств.

Производители также нуждаются в эталонах, как средстве срав­нения способностей собственных товаров, и в применении процедуры серти­фикации как механизме беспристрастной оценки их параметров, также в стан­дартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика определенного продукта и вынудить его выбирать требования из этого набора. Исходя из убеждений производителя тре­бования должны быть очень определенными и регламентировать необходимость внедрения тех либо других средств, устройств, алгоритмов и т.д. Не считая того, требования не должны противоречить имеющимся парадигмам обработки инфы, архитектуре вычислительных систем и технологиям сотворения информационных товаров. Этот подход также не может быть признан в качестве доминирующего, т. к. не учитывает нужд юзеров (а ведь это основная задачка разработчика) и пробует подогнать требования защиты под имеющиеся системы и технологии, а это далековато не всегда может быть выполнить без вреда для безопасности.


Загрузка...

Специалисты по квалификации и спецы по сертификации рас­сматривают эталоны как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор. Производители в итоге квалификации уровня безопасности получают от беспристрастную оценку способностей собственного продукта. Специалисты по квалификации находятся в двояком положении: с одной стороны они как и производители заинтересованы в точных и обычных аспектах, над которыми не нужно разламывать голову как их применить к определенному продук­ту (проще всего в виде анкеты с ответами типа да/нет), а с другой сторо­ны, они должны дать обоснованный ответ юзерам — удовлетворяет продукт их нужды, либо нет, ведь к конечном счете конкретно они принимают на себя ответственность за безопасность продукта, получившего квалификацию уровня безопасности и прошедшего сертификацию.

Таким макаром, перед эталонами информационной безопасности стоит сложная задачка — примирить эти три точки зрения И сделать эф­фективный механизм взаимодействия всех сторон. При этом "ущемление" потребностей хотя бы какой-то из них приведет к невозможности взаимопо­нимания и взаимодействия и, как следует, не позволит решить общую задачку — создание защищенной системы обработки инфы. Необ­ходимость в схожих эталонах была осознана уже довольно издавна (по меркам развития информационных технологий), и в этом направлении Достигнут значимый прогресс, закрепленный в новеньком поколении до­кументов разработки 90-годов. Более важными эталонами инфор­мационной безопасности являются (в хронологическом порядке): "Аспекты безопасности компьютерных систем министерства обороны США", Руководящие документы Гостехкомиссии Рф (только для нашей страны), "Европейские аспекты безопасности инфор­мационных технологий", "Федеральные аспекты безопасности информационных технологий США", "Канадские аспекты безопасности компьютерных систем" и "Единые аспекты безопасности информационных технологий".


Вопрос № 3. Аспекты безопасности компьютерных систем министерства обороны США ("Оранжевая книжка")

3.1. Цель разработки

"Аспекты безопасности компьютерных систем" (Trusted Computer System Evaluation Criteria), получившие неформальное, но крепко за­крепившееся заглавие "Оранжевая книжка", были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответственной методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного предназначения.

В данном документе были в первый раз нормативно определены такие понятия, как "политика безопасности", ТСВ и т. д. Согласно "Оранжевой книжке" неопасная it система — это система, поддерживающая управление доступом к обрабатываемой в ней инфы, таким макаром, что только подходящим образом авторизованные пользова­тели либо процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и набор многофункциональных требований послужили основой для формирования всех показавшихся потом эталонов безопасности.

3.2 Таксономия требований и критериев "Оранжевой книжки"

В "Оранжевой книжке" предложены три категории требований безо­пасности — политика безопасности, аудит и правильность, в рамках которых сформулированы 6 базисных требований безопасности. 1-ые четыре требования ориентированы конкретно на обеспечение безопасности инфы, а два последних — на качество самих средств защиты. Разглядим эти требования подробнее.

3.2.1 Политика безопасности

Требование 1. Политика безопасности. Система должна поддер­живать точно определенную политику безопасности. Возможность осуще­ствления субъектами доступа к объектам должна определяться на основа­нии их идентификации и набора правил управления доступом. Там, где нужно, должна употребляться политика нормативного управления доступом, позволяющая отлично воплотить разграничение доступа к категорированной инфы (инфы, отмеченной грифом секрет­ности — типа "секретно", "сов. секретно" и т.д.).

Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, применяемые в качестве атрибутов контроля досту­па. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку либо набор атрибутов, определяющих степень конфиденциальности (гриф секретно­сти) объекта и/либо режимы доступа к этому объекту.

3.2.2 Аудит

Требование 3. Идентификация и аутентификация. Все субъекты обязан иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объ­екта доступа, доказательства подлинности их идентификаторов (аутенти­фикации) и правил разграничения доступа. Данные, применяемые для идентификации и аутентификации, должны быть защищены от несанк­ционированного доступа, модификации и ликвидирования и должны быть ассоциированы со всеми активными компонентами компьютерной систе­мы, функционирование которых критично исходя из убеждений безопасности.

Требование 4. Регистрация и учет. Для определения степени от­ветственности юзеров за деяния в системе, все происходящие в ней действия, имеющие значение исходя из убеждений безопасности, должны отслеживаться и региться в защищенном протоколе. Система регистрации должна производить анализ общего потока событий и выде­лять из него только те действия, которые влияют на безопас­ность для сокращения объема протокола и увеличения эффективность его анализа. Протокол событий должен быть накрепко защищен от несанкцио­нированного доступа, модификации и поражения.

3.2.3 Правильность

Требование 5. Контроль правильности функционирования средств защиты. Средства защиты должны содержать независящие аппаратные и/либо программные составляющие, обеспечивающие работоспособностьфункций защиты. Это значит, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих правильность их функциониро­вания. Основной принцип контроля правильности заключается в том, что сред­ства контроля должны быть вполне независимы от средств защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в т.ч. и реализующие данное требование) должны быть защищены от несанк­ционированного вмешательства и/либо отключения, при этом эта защита должна быть неизменной и непрерывной в любом режиме функциониро­вания системы защиты и компьютерной системы в целом. Данное требо­вание распространяется на весь актуальный цикл компьютерной системы. Не считая того, его выполнение является одним из главных качеств фор­мального подтверждения безопасности системы.

Рассматриваемые дальше аспекты безопасности компьютерных систем представляют собой конкретизацию данных обобщенных требований.

3.2.4. Таксономия критериев безопасности

Приведенные выше базисные требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, определяющую семь классов безопасности.

Ввиду широкой доступности самой "Оранжевой книжки" и ее много­численных обзоров и интерпретаций приведем только схему, отражающую таксономию предложенных в ней многофункциональных требований безопасности (рис. 1).

3.3. Классы безопасности компьютерных систем

Так как "Оранжевая книжка" довольно тщательно освещалась в российских исследовательских работах, ограничимся только коротким обзором классов безопасности.

"Оранжевая книжка" предугадывает четыре группы критериев, ко­торые соответствуют различной степени защищенности: от малой , (группа D) до формально доказанной (группа А). Любая группа включает один либо несколько классов. Группы D и А содержат по одному классу (классы D и А соответственно), группа С — классы CI, C2, а группа В — Bl, B2, ВЗ, характеризующиеся разными наборами требований безопасности. Уровень безопасности растет при движении от группы D к группе А, а снутри группы — с возрастанием номера класса.

Группа D. Малая защита.

Класс D. Малая защита. К этому классу относятся все сис­темы, которые не удовлетворяют требованиям других классов.

Группа С. Дискреционная защита.

Группа С характеризуется наличием случайного управления доступом и регистрацией действий субъектов.




Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделения юзеров и инфы и включают средства контроля и управления доступом, дозволяющие задавать ограничения для личных юзеров, что дает им возможность защищать свою приватную информацию от других пользова­телей. Класс С1 рассчитан на многопользовательские системы, в каких осуществляется совместная обработка данных 1-го уровня секретности.

Класс С2. Управление доступом. Системы этого класса производят более избирательное управление доступом, чем системы класса С1, при помощи внедрения средств личного контроля за действиями юзеров, регистрацией, учетом событий и выделением ресурсов.

Группа В. Мандатная защита.

Главные требования этой группы — нормативное управление дос­тупом с внедрением меток безопасности, поддержка модели и поли­тики безопасности, также наличие спецификаций на функции ТСВ. Для систем этой группы монитор взаимодействий должен держать под контролем все действия в системе.

Класс В1. Защита с применением меток безопасности. Системы класса В1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, не считая того, должны поддерживать определенную неформально модель безопасности, маркировку данных и нормативное управление доступом. При экспорте из системы информация должна под­вергаться маркировке. Обнаруженные в процессе тестирования недостат­ки, должны быть устранены.

Класс В2. Структурированная защита. Для соответствия классу В2 ТСВ системы должна поддерживать формально определенную и верно документированную модель безопасности, предусматривающую произ­вольное и нормативное управление доступом, которое распространяется по сопоставлению с системами класса В1 на все субъекты. Не считая того, должен осуществляться контроль укрытых каналов утечки инфы. В структуре ТСВ должны быть выделены элементы, критические исходя из убеждений безопасности. Интерфейс ТСВ должен быть верно определен, а ее архи­тектура и реализация должны быть выполнены с учетом способности проведения испытаний. По сопоставлению с классом В1 должны быть усилены средства аутентификации. Управление безопасностью осуществляется админами системы. Должны быть предусмотрены средства регулирования конфигурацией.

Класс ВЗ. Домены безопасности. Для соответствия этому классу ТСВ системы должна поддерживать монитор взаимодействий, который держит под контролем все типы доступа субъектов к объектам, который нереально обойти. Не считая того, ТСВ должна быть структурирована с целью исключения из нее подсистем, не отвечающих за реализацию функций защиты, и быть довольно малогабаритной для действенного тестирования и анализа. В процессе разработки и реализации ТСВ должны применяться способы и средства, направленные на минимизацию ее трудности. Средства аудита должны включать механизмы оповещения админа при появлении событий, имеющих значение для безопасности системы. Требуется наличие средств восстановления работоспособности системы.

Группа А. Верифицированная защита.

Данная группа характеризуется применением формальных способов верификации правильности работы устройств управления доступом (случайного и нормативного). Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ТСВ отвечают требованиям безопасности.

Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса ВЗ, и к ним не предъявляется никаких дополнительных многофункциональных требований. В отличие от систем класса ВЗ в процессе разработки должны применяться формальные способы верификации, что позволяет с высочайшей уверенностью получить корректную реализацию функций защиты. Процесс подтверждения адекватности реализации начинается на ранешней стадии разработки с построения формальной модели политики безопасности и спецификаций высочайшего уровня. Для обеспечения способов верификации системы класса А1 должны содержать более массивные средства регулирования конфигурацией и защищенную функцию дистрибуции.

Приведенные классы безопасности навечно обусловили главные концепции безопасности и ход развития средств защиты.

3.4. Интерпретация и развитие "Оранжевой книжки"

Опубликование "Оранжевой книжки" стало принципиальным шагом и сыгра­ло значительною роль в развитии технологий обеспечения безопасности компьютерных систем. Все же, в процессе внедрения ее положений выяснилось, что часть фактически принципиальных вопросов осталась за рамками Данного эталона, и, не считая того, со временем (с момента опубликования прошло пятнадцать лет) ряд положений устарел и востребовал пересмотра.

Круг специфичных вопросов по обеспечению безопасности ком­пьютерных сетей и систем управления базами данных отыскал отражение в отдельных документах, изданных Государственным центром компьютерной безопасности США в виде дополнений к "Оранжевой книжке" — "Интерпретация "Оранжевой книжки" для компьютерных сетей" (Trusted Network Interpretation ) "Интерпретация "Оранжевой книжки" для систем управления базами данных" (Trusted Database Management System Interpretation). Эти документы содержат трактовку главных положений "Оранжевой книжки" применительно к подходящим классам систем обработки инфы.

Устаревание ряда положений "Оранжевой книжки" обосновано сначала насыщенным развитием компьютерных технологий и переходом с мэйнфреймов (типа вычислительных комплексов IBM-360, 370, русский аналог — машины серии ЕС) к рабочим станциям, высокопроизводительным индивидуальным компьютерам и сетевой модели вычисл­ний. Конкретно для того, чтоб исключить возникшую в связи с конфигурацией аппаратной платформы некорректность неких положений "Оранжевой книжки", адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и юзеров программного обеспечения, и была проделана большущая работа по интерпретации и развитию положений этого эталона. В итоге появился целый ряд сопутствующих "Оранжевой книжке" документов, многие их которых стали ее неотъемлемой частью. К более нередко упоминаемым относятся:

1. Управление по произвольному управлению доступом в неопасных системах (A guide to understanding discretionary access control in trusted systems) .

2. Управление по управлению паролями (Password management guide-line).

3. Управление по применению Критериев безопасности компьютерных систем в специфичных средах (Guidance for applying the Department of Defence Trusted Computer System Evaluation Criteria in specific envi-ronment).

4. Управление по аудиту в неопасных системах (A Guide to Understand­ing Audit in Trusted Systems).

Управление по управлению конфигурацией в неопасных системах (Guide to understanding configuration management in trusted systems).

Количество схожих вспомогательных документов, комментариев и интерпретаций существенно превысило объем начального документа, и в 1995 году Государственным центром компьютерной безопасности США был размещен документ под заглавием «Интерпретация критериев безопасности компьютерных систем», объединяющий все дополнения и объяснения. При его подготовке состав подлежащих рассмотрению и истолкованию вопросов дискуссировался на особых конференциях разработчиков и юзеров защищенных систем обработки инфы. В итоге открытого обсуждения была сотворена база данных, включающая все спорные вопросы, которые потом в полном объеме были проработаны специально сделанной рабочей группой. В конечном итоге появился документ, проинтегрировавший все конфигурации и дополнения к "Оранжевой книжке", изготовленные с момента ее опубликования, что привело к обновлению эталона и позволило использовать его в современных критериях.

"Аспекты безопасности компьютерных систем" министерства обороны США представляют собой первую попытку сделать единый эталон безопасности, рассчитанный на разработчиков, потребителей и профессионалов по сертификации компьютерных систем. В свое время этот документ явился реальным прорывом в области безопасности информационных технологий и послужил отправной четкой для бессчетных исследовательских работ и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного внедрения, при этом в главном на операционные системы. Это предназначило преобладание требований, направленных на обеспечение секретности обрабатываемой инфы и исключение способностей ее разглашения. Огромное внимание уделено меткам (грифам секретности) и правилам экспорта скрытой инфы.

Аспекты адекватности реализации средств защиты и политики безопасности отражены слабо, соответственный раздел по существу ограничивается требованиями контроля целостности средств защиты и поддержания их работоспособности, чего очевидно недостаточно.

Высший класс безопасности, требующий воплощения верификации средств защиты, построен на подтверждении соответствия программного обеспечения его спецификациям при помощи особых методик, но это подтверждение (очень дорогостоящее, трудоемкое и фактически невозможное для реальных операционных систем) не подтверждает правильность и адекватность реализации политики безопасности.

"Оранжевая книжка" послужила основой для разработчиков всех ос­тальных эталонов информационной безопасности и до сего времени употребляется в США в качестве руководящего документа при сертификации компьютерных систем обработки инфы.




Возможно Вам будут интересны работы похожие на: Вопрос №2. Угрозы безопасности компьютерных систем и роль стандартов информационной безопасности:


Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Cпециально для Вас подготовлен образовательный документ: Вопрос №2. Угрозы безопасности компьютерных систем и роль стандартов информационной безопасности