Файл: Опорный конспект.doc

1.2 Механізми безпеки

Згідно "Оранжевій книзі", політика безпеки повинна обов’язково включати наступні елементи:

• довільне управління доступом;

• безпека повторного використовування об’єктів;

• мітки безпеки;

• примусове управління доступом.

Довільне управління доступом (зване іноді дискреційним) - це метод розмежування доступу до об’єктів, заснований на обліку особи суб’єкта або групи, в яку суб’єкт входить. Довільність управління полягає в тому, що деяка особа (звичайно власник об’єкту) може на свій розсуд надавати іншим суб’єктам або відбирати у них права доступу до об’єкту.

Безпека повторного використовування об’єктів - важливе доповнення засобів управління доступом, оберігаюче від випадкового або навмисного витягання конфіденційної інформації з "сміття". Безпека повторного використовування повинна гарантуватися для областей оперативної пам’яті (зокрема, для буферів з чинами екрану, розшифрованими паролями і т.п.), для дискових блоків і магнітних носіїв в цілому.

Як ми указували раніше, сучасний об’єктно-орієнтований підхід різко звужує область дії даного елемента безпеки, утрудняє його реалізацію. Те ж вірне і для інтелектуальних пристроїв, здатних буферизувати великі об’єми даних.

Для реалізації примусового управління доступом з суб’єктами і об’єктами асоціюються мітки безпеки. Мітка суб’єкта описує його благонадійність, мітка об’єкту - ступінь конфіденційності інформації, що міститься в ньому.

Згідно "Оранжевій книзі", мітки безпеки складаються з двох частин - рівня секретності і списку категорій. Рівні секретності утворюють впорядковану множину, категорії - неврегульоване. Призначення останніх - описати наочну область, до якої відносяться дані.

Примусове (або мандатне) управління доступом засновано на зіставленні міток безпеки суб’єкта і об’єкту.

Суб’єкт може читати інформацію з об’єкту, якщо рівень секретності суб’єкта не нижче, ніж у об’єкту, а всі категорії, перераховані в мітці безпеки об’єкту, присутні в мітці суб’єкта. У такому разі говорять, що мітка суб’єкта домінує над міткою об’єкту. Значення сформульованого правила зрозуміле - читати можна тільки те, що встановлене.

Суб’єкт може записувати інформацію в об’єкт, якщо мітка безпеки об’єкту домінує над міткою суб’єкта. Зокрема, "конфіденційний" суб’єкт може записувати дані в секретні файли, але не може - в несекретні (зрозуміло, повинні також виконуватися обмеження на набір категорій).

Описаний спосіб управління доступом називається примусовим, оскільки він не залежить від волі суб’єктів (навіть системних адміністраторів). Після того, як зафіксовані мітки безпеки суб’єктів і об’єктів, виявляються зафіксованими і права доступу.

Якщо розуміти політику безпеки вузько, тобто як правила розмежування доступу, то механізм підзвітності є доповненням подібної політики. Мета підзвітності - в кожний момент часу знати, хто працює в системі і що робить. Засоби підзвітності діляться на три категорії:

• ідентифікація і аутентифікація;

• надання довіреного шляху;

• аналіз реєстраційної інформації.

Звичайний спосіб ідентифікації - введення імені користувача при вході в систему. Стандартний засіб перевірки автентичності (аутентифікації) користувача - пароль.

Довірений шлях зв’язує користувача безпосередньо з довіреною обчислювальною базою, минувши інші, потенційно небезпечні компоненти ІС. Мета надання довіреного шляху - дати користувачу можливість переконатися в автентичності обслуговуючої його системи.

Аналіз реєстраційної інформації (аудит) має справу з діями (подіями), що так чи інакше зачіпають безпеку системи.

Якщо фіксувати всі події, об’єм реєстраційної інформації, швидше за все, ростиме дуже швидко, а її ефективний аналіз стане неможливим. "оранжева книга" передбачає наявність засобів вибіркового протоколювання, як відносно користувачів (уважно стежити тільки за підозрілими), так і відносно подій.

Переходячи до пасивних аспектів захисту, вкажемо, що в "Оранжевій книзі" розглядається два види гарантованності - операційна і технологічна. Операційна гарантованності відноситься до архітектурних і реалізаційних аспектів системи, тоді як технологічна - до методів побудови і супроводу.

Операційна гарантованність включає перевірку наступних елементів:

• архітектура системи;

• цілісність системи;

• перевірка таємних каналів передачі інформації;

• довірене адміністрування;

• довірене відновлення після збоїв.

Операційна гарантованність - це спосіб переконатися в тому, що архітектура системи і її реалізація дійсно реалізують вибрану політику безпеки.

Технологічна гарантованність охоплює весь життєвий цикл ІС, тобто періоди проектування, реалізації, тестування, продажу і супроводу. Всі перераховані дії повинні виконуватися відповідно до жорстких стандартів, щоб виключити просочування інформації і нелегальні "закладки".

1.3 Класи безпеки

"критерії ..." Міністерства оборони США відкрили шлях до ранжирування інформаційних систем по ступеню довір’я безпеки.

В "Оранжевій книзі" визначається чотири рівні довір’я - D, З, B і А. Рівень D призначений для систем, визнаних незадовільними. У міру переходу від рівня З до А до систем пред’являються все більш жорсткі вимоги. Рівні З і B підрозділяються на класи (C1, C2, B1, B2, B3) з поступовим зростанням ступеня довір’я.

Всього є шість класів безпеки - C1, C2, B1, B2, B3, A1. Щоб в результаті процедури сертифікації систему можна було віднести до деякого класу, її політика безпеки і рівень гарантованності повинні задовольняти заданим вимогам, з яких ми згадаємо лише найважливіші.

Клас C1:

• довірена обчислювальна база повинна управляти доступом іменованих користувачів до іменованих об’єктів;

• користувачі повинні ідентифікувати себе, перш ніж виконувати які-небудь інші дії, контрольовані довіреною обчислювальною базою. Для аутентифікації повинен використовуватися який-небудь захисний механізм, наприклад паролі. Аутентифікаційна інформація повинна бути захищена від несанкціонованого доступу;

• довірена обчислювальна база повинна підтримувати область для власного виконання, захищену від зовнішніх дій (зокрема, від зміни команд і/або даних) і від спроб стеження за ходом роботи;

• повинні бути в наявності апаратні і/або програмні засоби, що дозволяють періодично перевіряти коректність функціонування апаратних і мікропрограмних компонентів довіреної обчислювальної бази;

• захисні механізми повинні бути протестовані на предмет відповідності їх поведінки системної документації. Тестування повинне підтвердити, що у неавторизованого користувача немає очевидних способів обійти або поруйнувати засоби захисту довіреної обчислювальної бази;

• повинні бути описані підхід до безпеки, що використовується виробником, і вживання цього підходу при реалізації довіреної обчислювальної бази.

Клас C2 (на додаток до C1):

• права доступу повинні гранулюватися з точністю до користувача. Всі об’єкти повинні піддаватися контролю доступу;

• при виділенні береженого об’єкту з пулу ресурсів довіреної обчислювальної бази необхідно ліквідовувати всі сліди його використовування;

• кожний користувач системи винен унікальним чином ідентифікуватися. Кожна реєстрована дія повинна асоціюватися з конкретним користувачем;

• довірена обчислювальна база повинна створювати, підтримувати і захищати журнал реєстраційної інформації, що відноситься до доступу до об’єктів, контрольованих базою;

• тестування повинне підтвердити відсутність очевидних недоліків в механізмах ізоляції ресурсів і захисту реєстраційної інформації.