Файл: Опорный конспект.doc

довірена обчислювальна база повинна управляти мітками безпеки, асоційованими з кожним суб’єктом і береженим об’єктом;
довірена обчислювальна база повинна забезпечити реалізацію примусового управління доступом всіх суб’єктів до всіх бережених об’єктів;
довірена обчислювальна база повинна забезпечувати взаємну ізоляцію процесів шляхом розділення їх адресних просторів;
група фахівців, що повністю розуміють реалізацію довіреної обчислювальної бази, повинна піддати опис архітектури, початкові і об’єктні коди ретельному аналізу і тестуванню;
повинна існувати неформальна або формальна модель політики безпеки, підтримуваною довіреною обчислювальною базою.

Клас B2 (на додаток до B1):

забезпечуватися мітками повинні всі ресурси системи (наприклад, ПЗП), прямо або побічно доступні суб’єктам;
до довіреної обчислювальної бази повинен підтримуватися довірений комунікаційний шлях для користувача, що виконує операції початкової ідентифікації і аутентифікації;
повинна бути передбачена можливість реєстрації подій, пов’язаних з організацією таємних каналів обміну з пам’яттю;
довірена обчислювальна база повинна бути внутрішньо структурована на добре певні, відносно незалежні модулі;
системний архітектор повинен ретельно проаналізувати можливості організації таємних каналів обміну з пам’яттю і оцінити максимальну пропускну спроможність кожного виявленого каналу;
повинна бути продемонстрована відносна стійкість довіреної обчислювальної бази до спроб проникнення;
модель політики безпеки повинна бути формальною. Для довіреної обчислювальної бази повинні існувати описові специфікації верхнього рівня, точно і повно визначаючі її інтерфейс;
в процесі розробки і супроводу довіреної обчислювальної бази повинна використовуватися система конфігураційного управління, що забезпечує контроль змін в описових специфікаціях верхнього рівня, інших архітектурних даних, реалізаційній документації, початкових текстах, працюючій версії об’єктного коду, тестових даних і документації;
тести повинні підтверджувати дієвість заходів по зменшенню пропускної спроможності таємних каналів передачі інформації.

Клас B3 (на додаток до B2):

для довільного управління доступом повинні обов’язково використовуватися списки управління доступом з вказівкою дозволених режимів;
повинна бути передбачена можливість реєстрації появи або накопичення подій, несучих загрозу політиці безпеки системи. Адміністратор безпеки повинен негайно сповіщатися про спроби порушення політики безпеки, а система, у разі продовження спроб, повинна присікати їх якнайменше хворобливим способом;
довірена обчислювальна база повинна бути спроектована і структурована так, щоб використовувати повний і концептуально простий захисний механізм з точно певною семантикою;
процедура аналізу повинна бути виконана для тимчасових таємних каналів;
повинна бути специфікована роль адміністратора безпеки. Одержати права адміністратора безпеки можна тільки після виконання явних, протокольованих дій;
повинні існувати процедури и/или механізми, що дозволяють провести відновлення після збою або іншого порушення роботи без ослаблення захисту;
повинна бути продемонстрована стійкість довіреної обчислювальної бази до спроб проникнення.

Клас A1 (на додаток до B3):

тестування повинне продемонструвати, що реалізація довіреної обчислювальної бази відповідає формальним специфікаціям верхнього рівня;
крім описових, повинні бути представлені формальні специфікації верхнього рівня. Необхідно використовувати сучасні методи формальної специфікації і верифікації систем;
механізм конфігураційного управління повинен розповсюджуватися на весь життєвий цикл і всі компоненти системи, що мають відношення до забезпечення безпеки;
повинно бути описано відповідність між формальними специфікаціями верхнього рівня і початковими текстами.

Така класифікація, введена в "Оранжевій книзі". Коротко її можна сформулювати так:

рівень З - довільне управління доступом;
рівень B - примусове управління доступом;
рівень А - верифицируемая безпека.

Звичайно, на адресу "Критеріїв ..." можна виказати цілий ряд серйозних зауважень (таких, наприклад, як повне ігнорування проблем, що виникають в розподілених системах). Проте, слід підкреслити, що публікація "Оранжевої книги" без жодного перебільшення стала епохальною подією в області інформаційної безпеки. З’явився загальновизнаний понятійний базис, без якого навіть обговорення проблем ІБ було б скрутним.

Відзначимо, що величезний ідейний потенціал "Оранжевої книги" поки багато в чому залишається незатребуваним. Перш за все це торкається концепції технологічної гарантованності, що охоплює весь життєвий цикл системи - від вироблення специфікацій до фази експлуатації. При сучасній технології програмування результуюча система не містить інформації, присутньої в початкових специфікаціях, втрачається інформація про семантику програм. Важливість даної обставини ми плануємо продемонструвати далі, в лекції про управління доступом.

2 Інформаційна безпека розподілених систем. Рекомендації X.800

2.1 Мережні сервіси безпеки

Слідуючи швидше історичною, ніж наочній логіці, ми переходимо до розгляду технічної специфікації X.800, що з’явилася небагато чим пізніше за "Оранжеву книгу", але вельми повно і глибоко тією, що потрактувала питання інформаційної безпеки розподілених систем.

Рекомендації X.800 - документ досить обширний. Ми зупинимося на специфічних мережних функціях (сервісах) безпеки, а також на необхідних для їх реалізації захисних механізмах.

Виділяють наступні сервіси безпеки і виконувані ними ролі:

Аутентифікація. Даний сервіс забезпечує перевірку автентичності партнерів по спілкуванню і перевірку автентичності джерела даних. Аутентифікація партнерів по спілкуванню використовується при встановленні з’єднання і, мабуть, періодично під час сеансу. Вона служить для запобігання таких загроз, як маскарад і повтор попереднього сеансу зв’язку. Аутентифікація буває односторонньою (звичайно клієнт доводить свою автентичність серверу) і двосторонньою (взаємної).

Управління доступом. Забезпечує захист від несанкціонованого використовування ресурсів, доступних по мережі.

Конфіденційність даних. Забезпечує захист від несанкціонованого отримання інформації. Окремо згадаємо конфіденційність трафіку (це захист інформації, яку можна одержати, аналізуючи мережні потоки даних).

Цілісність даних підрозділяється на підвиди залежно від того, який тип спілкування використовують партнери - зі встановленням з’єднання або без нього, чи захищаються всі дані або тільки окремі поля, чи забезпечується відновлення у разі порушення цілісності.

Неотказуємость (неможливість відмовитися від досконалих дій) забезпечує два види послуг: неотказуемость з підтвердженням автентичності джерела даних і неотказуемость з підтвердженням доставки. Побічним продуктом неотказуемости є аутентифікація джерела даних.

В наступній таблиці вказані рівні еталонної семирівневої моделі OSI, на яких можуть бути реалізовані функції безпеки. Відзначимо, що прикладні процеси, у принципі, можуть узяти на себе підтримку всіх захисних сервісів.

Таблиця 5.1. Розподіл функцій безпеки по рівнях еталонної семирівневої моделі OSI
Функції безпеки	Рівень
Функції безпеки	1	2	3	4	5	6	7
Аутентифікація	-	-	+	+	-	-	+
Керування доступом	-	-	+	+	-	-	+
Конфіденційність з’єднання	+	+	+	+	-	+	+
Конфіденційність зовні з’єднання	-	+	+	+	-	+	+
Виборча конфіденційність	-	-	-	-	-	+	+
Конфіденційність трафіку	+	-	+	-	-	-	+
Цілісність з відновленням	-	-	-	+	-	-	+
Цілісність без відновленн	-	-	+	+	-	-	+
Виборча цілісність	-	-	-	-	-	-	+
Цілісність зовні з’єднання	-	-	+	+	-	-	+
Невідмовність	-	-	-	-	-	-	+