Інформаційна безпека

Стандарти і специфікації в області інформаційної безпеки

План

1 Оцінні стандарти і технічні специфікації. "оранжева книга" як оцінний стандарт

1.1 Основні поняття

1.2 Механізми безпеки

1.3 Класи безпеки

2 Інформаційна безпека розподілених систем. Рекомендації X.800

2.1 Мережні сервіси безпеки

2.2 Мережні механізми безпеки

2.3 Адміністрування засобів безпеки

3 Стандарт ISO/IEC 15408 "Критерії оцінки безпеки інформаційних технологій"

3.1 Основні поняття

3.2 Функціональні вимоги

3.3 Вимоги довір’я безпеці

4 Гармонізовані критерії європейських країн

5 Інтерпретація "Оранжевої книги" для мережних конфігурацій

1 Оцінні стандарти і технічні специфікації. "оранжева книга" як оцінний стандарт

1.1 Основні поняття

Ми приступаємо до огляду стандартів і специфікацій двох різних видів:

• оцінних стандартів, направлених на класифікацію інформаційних систем і засобів захисту по вимогах безпеки;

• технічних специфікацій, що регламентують різні аспекти реалізації засобів захисту.

Важливо відзначити, що між цими видами нормативних документів немає глухої стіни. Оцінні стандарти виділяють найважливіші, з погляду ІБ, аспекти ІС, граючи роль архітектурних специфікацій. Інші технічні специфікації визначають, як будувати ІС архітектури, що наказала.

Історично першим оцінним стандартом, що набув широке поширення і що зробив величезний вплив на базу стандартизації ІБ в багатьох країнах, став стандарт Міністерства оборони США "Критерії оцінки довірених комп’ютерних систем".

Дана праця, звана частіше всього за кольором обкладинки "Оранжевою книгою", була вперше опублікована в серпні 1983 року. Вже одна його назва вимагає коментаря. Йдеться не про безпечні, а про довірені системи, тобто системах, яким можна надати певний ступінь довір’я.

"оранжева книга" пояснює поняття безпечної системи, яка "управляє, за допомогою відповідних засобів, доступом до інформації, так що тільки належним чином авторизовані особи або процеси, діючі від їх імені, одержують право читати, записувати, створювати і видаляти інформацію".

Очевидно, проте, що абсолютно безпечних систем не існує, це абстракція. Є значення оцінювати лише ступінь довір’я, яке можна надати тій або іншій системі.

В "Оранжевій книзі" довірена система визначається як "система, що використовує достатні апаратні і програмні засоби, щоб забезпечити одночасну обробку інформації різного ступеня секретності групою користувачів без порушення прав доступу".

Звернемо увагу, що в даних Критеріях і безпека, і довір’я оцінюються виключно з погляду управління доступом до даних, що є одним із засобів забезпечення конфіденційності і цілісності (статичної). Питання доступності "Оранжева книга" не зачіпає.

Ступінь довір’я оцінюється по двох основних критеріях.

1. Політика безпеки - набір законів, правил і норм поведінки, що визначають, як організація обробляє, захищає і поширює інформацію. Зокрема, правила визначають, в яких випадках користувач може оперувати конкретними наборами даних. Чим вище ступінь довір’я системі, тим строго і многообразнее повинна бути політика безпеки. Залежно від сформульованої політики можна вибирати конкретні механізми забезпечення безпеки. Політика безпеки - це активний аспект захисту, що включає аналіз можливих загроз і вибір заходів протидії.

2. Рівень гарантовоності - міра довір’я, яка може бути надана архітектурі і реалізації ІС. Довір’я безпеці може виникати як з аналізу результатів тестування, так і з перевірки (формальної чи ні) загального задуму і реалізації системи в цілому і окремих її компонентів. Рівень гарантовонності показує, наскільки коректні механізми, що відповідають за реалізацію політики безпеки. Це пасивний аспект захисту.

Важливим засобом забезпечення безпеки є механізм підзвітності (протоколювання). Довірена система повинна фіксувати всі події, що стосуються безпеки. Ведення протоколів повинне доповнюватися аудитом, тобто аналізом реєстраційної інформації.

Концепція довіреної обчислювальної бази є центральному при оцінці ступеню довір’я безпеки. Довірена обчислювальна база - це сукупність захисних механізмів ІС (включаючи апаратне і програмне забезпечення), що відповідають за проведення в життя політики безпеки. Якість обчислювальної бази визначається виключно її реалізацією і коректністю початкових даних, які вводить системний адміністратор.

Взагалі кажучи, компоненти зовні обчислювальної бази можуть не бути довіреними, проте це не повинне впливати на безпеку системи в цілому. В результаті, для оцінки довір’я безпеці ІС достатньо розглянути тільки її обчислювальну базу, яка, якомога сподіватися, достатньо компактна.

Основне призначення довіреної обчислювальної бази - виконувати функції монітора обігу, тобто контролювати допустимість виконання суб’єктами (активними єствами ІС, діючими від імені користувачів) певних операцій над об’єктами (пасивними єствами). Монітор перевіряє кожне звернення користувача до програм або даних на предмет узгодженості з набором дій, допустимих для користувача.

Монітор обігу повинен володіти трьома якостями:

1. Ізольованість. Необхідно попередити можливість відстежування роботи монітора.

2. Повнота. Монітор повинен викликатися при кожному обігу, не повинно бути способів обійти його.

3. Веріфіцируємость. Монітор повинен бути компактним, щоб його можна було проаналізувати і протестувати, будучи упевненим в повноті тестування.

Реалізація монітора обігу називається ядром безпеки. Ядро безпеки - це основа, на якій будуються всі захисні механізми. Крім перерахованих вище властивостей монітора обігу, ядро повинне гарантувати власну незмінність.

Межу довіреної обчислювальної бази називають периметром безпеки. Як вже указувалося, компоненти, що лежать зовні периметра безпеки, взагалі кажучи, можуть не бути довіреними. З розвитком розподілених систем поняттю "периметр безпеки" все частіше додають інше значення, маючи у вигляді межу володінь певної організації. Те, що знаходиться усередині володінь, вважається довіреним, а то, що зовні, - ні.

1.2 Механізми безпеки

Згідно "Оранжевій книзі", політика безпеки повинна обов’язково включати наступні елементи:

• довільне управління доступом;

• безпека повторного використовування об’єктів;

• мітки безпеки;

• примусове управління доступом.

Довільне управління доступом (зване іноді дискреційним) - це метод розмежування доступу до об’єктів, заснований на обліку особи суб’єкта або групи, в яку суб’єкт входить. Довільність управління полягає в тому, що деяка особа (звичайно власник об’єкту) може на свій розсуд надавати іншим суб’єктам або відбирати у них права доступу до об’єкту.

Безпека повторного використовування об’єктів - важливе доповнення засобів управління доступом, оберігаюче від випадкового або навмисного витягання конфіденційної інформації з "сміття". Безпека повторного використовування повинна гарантуватися для областей оперативної пам’яті (зокрема, для буферів з чинами екрану, розшифрованими паролями і т.п.), для дискових блоків і магнітних носіїв в цілому.

Як ми указували раніше, сучасний об’єктно-орієнтований підхід різко звужує область дії даного елемента безпеки, утрудняє його реалізацію. Те ж вірне і для інтелектуальних пристроїв, здатних буферизувати великі об’єми даних.

Для реалізації примусового управління доступом з суб’єктами і об’єктами асоціюються мітки безпеки. Мітка суб’єкта описує його благонадійність, мітка об’єкту - ступінь конфіденційності інформації, що міститься в ньому.

Згідно "Оранжевій книзі", мітки безпеки складаються з двох частин - рівня секретності і списку категорій. Рівні секретності утворюють впорядковану множину, категорії - неврегульоване. Призначення останніх - описати наочну область, до якої відносяться дані.

Примусове (або мандатне) управління доступом засновано на зіставленні міток безпеки суб’єкта і об’єкту.

Суб’єкт може читати інформацію з об’єкту, якщо рівень секретності суб’єкта не нижче, ніж у об’єкту, а всі категорії, перераховані в мітці безпеки об’єкту, присутні в мітці суб’єкта. У такому разі говорять, що мітка суб’єкта домінує над міткою об’єкту. Значення сформульованого правила зрозуміле - читати можна тільки те, що встановлене.

Суб’єкт може записувати інформацію в об’єкт, якщо мітка безпеки об’єкту домінує над міткою суб’єкта. Зокрема, "конфіденційний" суб’єкт може записувати дані в секретні файли, але не може - в несекретні (зрозуміло, повинні також виконуватися обмеження на набір категорій).

Описаний спосіб управління доступом називається примусовим, оскільки він не залежить від волі суб’єктів (навіть системних адміністраторів). Після того, як зафіксовані мітки безпеки суб’єктів і об’єктів, виявляються зафіксованими і права доступу.

Якщо розуміти політику безпеки вузько, тобто як правила розмежування доступу, то механізм підзвітності є доповненням подібної політики. Мета підзвітності - в кожний момент часу знати, хто працює в системі і що робить. Засоби підзвітності діляться на три категорії:

• ідентифікація і аутентифікація;

• надання довіреного шляху;

• аналіз реєстраційної інформації.

Звичайний спосіб ідентифікації - введення імені користувача при вході в систему. Стандартний засіб перевірки автентичності (аутентифікації) користувача - пароль.

Довірений шлях зв’язує користувача безпосередньо з довіреною обчислювальною базою, минувши інші, потенційно небезпечні компоненти ІС. Мета надання довіреного шляху - дати користувачу можливість переконатися в автентичності обслуговуючої його системи.

Аналіз реєстраційної інформації (аудит) має справу з діями (подіями), що так чи інакше зачіпають безпеку системи.

Якщо фіксувати всі події, об’єм реєстраційної інформації, швидше за все, ростиме дуже швидко, а її ефективний аналіз стане неможливим. "оранжева книга" передбачає наявність засобів вибіркового протоколювання, як відносно користувачів (уважно стежити тільки за підозрілими), так і відносно подій.

Переходячи до пасивних аспектів захисту, вкажемо, що в "Оранжевій книзі" розглядається два види гарантованності - операційна і технологічна. Операційна гарантованності відноситься до архітектурних і реалізаційних аспектів системи, тоді як технологічна - до методів побудови і супроводу.

Операційна гарантованність включає перевірку наступних елементів:

• архітектура системи;

• цілісність системи;

• перевірка таємних каналів передачі інформації;

• довірене адміністрування;

• довірене відновлення після збоїв.

Операційна гарантованність - це спосіб переконатися в тому, що архітектура системи і її реалізація дійсно реалізують вибрану політику безпеки.

Технологічна гарантованність охоплює весь життєвий цикл ІС, тобто періоди проектування, реалізації, тестування, продажу і супроводу. Всі перераховані дії повинні виконуватися відповідно до жорстких стандартів, щоб виключити просочування інформації і нелегальні "закладки".