- •1.1. Введение. Понятие политики безопасности
- •Рис. 1. Основные каналы утечки информации при ее обработке на отдельной ПЭВМ
- •1.2. Модель компьютерной системы. Понятие доступа и монитора безопасности
- •Рис. 2. Порождения субъекта и понятие потока
- •Рис. 3. Примеры потоков в КС
- •1.3. Описание типовых политик безопасности
- •1.3.1. Модели на основе дискретных компонент
- •1.3.1.1. Модель АДЕПТ-50
- •1.3.1.2. Пятимерное пространство безопасности Хартстона
- •1.3.1.3. Резюме по моделям Адепт и Хартстона
- •1.3.2. Модели на основе анализа угроз системе
- •1.3.2.1. Игровая модель
- •1.3.2.2. Модель системы безопасности с полным перекрытием
- •1.3.2.3. Резюме по моделям анализа угроз
- •1.3.3. Модели конечных состояний.
- •1.3.3.1. Модель Белла-ЛаПадула.
- •1.3.3.2. Модель low-water-mark (LWM)
- •Таблица 1. Операции в модели LWM
- •1.3.3.3. Модель Лендвера
- •Определение 10
- •1.3.3.4. Резюме по моделям состояний
- •1.4. Обеспечение гарантий выполнения политики безопасности
- •Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).
- •Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).
- •Утверждение 3 (базовая теорема ИПС)
- •Рис. 5. Классическая модель ядра безопасности
- •Рис. 6. Ядро безопасности с учетом контроля порождения субъектов
- •1.5. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности
- •Таблица 2. Иерархия уровней при загрузке ОС
- •Утверждение 4 (условие одинакового состояния КС).
- •Утверждение 5 (достаточное условие ИПС при ступенчатой загрузке).
- •Утверждение 6 (требования к субъектному наполнению изолированной программной среды).
- •Утверждение 7 (достаточное условие чтения реальных данных).
- •1.6. Реализация гарантий выполнения заданной политики безопасности
- •Утверждение 8 (условия генерации ИПС при реализации метода доверенной загрузки).
- •1.7. Опосредованный несанкционированный доступ в компьютерной системе. Модель опосредованного НСД
- •Таблица 3. Полная группа событий в системе «ПП-РПВ»
- •Утверждение 9 (условия невозможности опосредованного НСД в ИПС).
- •Литература к первой части
- •Часть 2. Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов
- •2.1. Введение
- •2.1. Процедура идентификации и аутентификации
- •Таблица 1. Объект-эталон для схемы 1
- •Таблица 2. Объект-эталон для схемы 2
- •Утверждение 1 (о подмене эталона).
- •2.2. Формализация задачи сопряжения. Методы сопряжения
- •Утверждение 2. (необходимое условие корректного взаимодействия сопрягаемых субъектов)
- •Утверждение 3. (о свойствах модуля сопряжения)
- •Рис. 1. Методы эмуляции органов управления и замены аутентифицирующего субъекта
- •2.3. Типизация данных, необходимых для обеспечения работы средств сопряжения
- •Таблица 3. Структура объекта вторичной аутентификации
- •Утверждение 4 (о свойствах объекта первичной аутентификации).
- •Утверждение 5 (об изменении информации пользователя в АНП).
- •2.4. Использование внешних субъектов при реализации и гарантировании политики безопасности
- •2.5. Понятие внешнего разделяемого сервиса безопасности. Постановка задачи
- •Рис. 2. Схема взаимодействия МРЗФ с МБО И МБС
- •2.6. Понятие и свойства модуля реализации защитных функций
- •Утверждение 6 (о потенциальной возможности некорректного возврата результата из МРЗФ)
- •Утверждение 7 (о потенциально возможном некорректном вызове МРЗФ)
- •2.7. Проектирование модуля реализации защитных функций в среде гарантирования политики безопасности
- •Утверждение 8 (достаточные условия корректного использования МРЗФ)
- •2.8. Передача параметров при составном потоке
- •Таблица 4. (Свойства составного потока при использовании МРЗФ)
- •2.9. Методика проверки попарной корректности субъектов при проектировании механизмов обеспечения безопасности с учетом передачи параметров
- •Заключение
- •Литература ко второй части
- •Часть 3. Управление безопасностью в компьютерной системе
- •3.1. Введение
- •3.2. Модель управления безопасностью. Термины
- •Утверждение 1 (о корректном управлении в ИПС).
- •Утверждение 2 (условия нарушения корректности управления).
- •Рис. 1. Локализация субъекта и объектов управления в распределенной КС
- •Таблица 1. (локализация управляющего субъекта и объекта управления)
- •3.3. Система удаленного управления безопасностью в отсутствии локального объекта управления
- •Утверждение 3 (необходимое условие 1 для создания системы корректного управления)
- •Утверждение 4 (необходимое условие 2 для создания системы корректного управления)
- •Утверждение 5
- •3.5. Метод “мягкого администрирования”. Автоматизированное формирование списков разрешенных задач и правил разграничения доступа
- •Утверждение 6 (лемма для обоснования метода мягкого администрирования)
- •3.6. Системы управления безопасностью при распределенном объекте управления
- •Утверждение 7 (условия корректности управления при мягком администрировании).
- •Заключение
- •Литература к третьей части
- •Часть 4. Модели сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе
- •4.1. Введение
- •4.2.Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы
- •Рис. 1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС
- •4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
- •Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).
- •Утверждение 2 (о доступе в системе с проецированием прав)
- •Таблица 1. Групповые правила разграничения доступа в ЛС КС
- •Таблица 2. Правила разграничения доступа при запрете транспортировки вовне избранных объектов
- •4.4. Метод межсетевого экранирования. Свойства экранирующего субъекта
- •Утверждение 3 (о существовании декомпозиции на подобъекты).
- •Утверждение 4 (Основная теорема о корректном экранировании).
- •Утверждение 6 (о тождестве фильтра сервисов и изолированной программной среды в рамках локального сегмента КС)
- •4.5. Модель политики безопасности в распределенной системе
- •4.6. Архитектура фильтрующего субъекта и требования к нему
- •Таблица 3. Показатели и классы защищенности межсетевого экрана
- •Заключение
- •Литература к четвертой части
- •Часть 5. Нормативные документы для решения задач компьютерной безопасности
- •Введение к пятой части
- •5.1.2. Структура требований безопасности
- •5.1.3. Показатели защищенности средств вычислительной техники от несанкционированного доступа
- •Таблица 1. Требования к защите от НСД СВТ
- •5.1.5. Классы защищенности автоматизированных систем
- •Таблица 2. Требования к защите от НСД АС
- •5.1.6. Выводы
- •5.2. Критерии безопасности компьютерных систем Министерства обороны США (“Оранжевая книга”)
- •5.2.1. Цель разработки
- •5.2.2. Общая структура требований «Оранжевой книги»
- •5.2.3. Классы безопасности компьютерных систем
- •Таблица 3. Требования «Оранжевой книги»
- •5.2.4. Интерпретация и развитие “Оранжевой книги”
- •5.2.5. Выводы
- •5.3. Европейские критерии безопасности информационных технологий
- •5.3.1. Основные понятия
- •5.3.2. Функциональные критерии
- •5.3.3. Критерии адекватности
- •5.3.4. Выводы
- •5.4. Федеральные критерии безопасности информационных технологий
- •5.4.1. Цель разработки
- •5.4.2. Основные положения
- •5.4.3. Профиль защиты
- •Назначение и структура Профиля защиты
- •Этапы разработки Профиля защиты
- •5.4.4. Функциональные требования к продукту информационных технологий
- •Таблица 4. Применение критериев ранжирования
- •5.4.5. Требования к процессу разработки продукта информационных технологий
- •5.4.6. Требования к процессу сертификации продукта информационных технологий
- •5.4.7. Выводы
- •Литература к пятой части
- •Заключение. Процесс построения защищенной компьютерной системы
- •Рис. 1. Взаимосвязь методов проектирования защищенной КС.
- •Список сокращений
Московский государственный институт электроники и математики (технический университет)
И.В.Прокофьев, И.Г.Шрамков, А.Ю.Щербаков
Введение в теоретические основы компьютерной безопасности
(учебное пособие)
Москва 1998
- 2 -
Учебное пособие посвящено введению в теоретические основы компьютерной безопасности. Оно затрагивает важнейшие теоретические вопросы проектирования, разработки и эксплуатации защищенных компьютерных систем. Пособие содержит изложение предмета и основных понятий компьютерной безопасности, описание моделей компьютерных систем и моделей безопасности, методов гарантирования заданной политики безопасности (первая часть). Вторая часть пособия посвящается рассмотрению алгоритмов идентификации и аутентификации, сопряжению механизмов безопасности и методам исследования программного обеспечения. В третьей части рассмотрены проблемы управления безопасностью в защищенной системе. Вопросам защиты распределенных систем посвящена четвертая часть пособия. В пятой части рассмотрены основные нормативные документы для разработки и сертификации защищенных систем. Пособие носит обобщающий характер и предназначено для студентов и аспирантов, обучающихся по проблемам информационной безопасности.
Каждая часть имеет самостоятельную нумерацию определений, утверждений, таблиц и рисунков, а также независимый список литературы для углубленного изучения.
Авторы выражают благодарность мастеру компьютерной графики А.Домашеву, выполнившему рисунки к данному пособию.
- 3 -
Содержание
ЧАСТЬ 1. ВВЕДЕНИЕ В ПРЕДМЕТ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ. ПОНЯТИЕ ПОЛИТИКИ |
|
БЕЗОПАСНОСТИ. РЕАЛИЗАЦИЯ И ГАРАНТИРОВАНИЕ ПОЛИТИК БЕЗОПАСНОСТИ ...................... |
5 |
1.1. ВВЕДЕНИЕ. ПОНЯТИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ.................................................................................................. |
5 |
1.2. МОДЕЛЬ КОМПЬЮТЕРНОЙ СИСТЕМЫ. ПОНЯТИЕ ДОСТУПА И МОНИТОРА БЕЗОПАСНОСТИ ..................................... |
9 |
1.3. ОПИСАНИЕ ТИПОВЫХ ПОЛИТИК БЕЗОПАСНОСТИ.................................................................................................. |
16 |
1.3.1. МОДЕЛИ НА ОСНОВЕ ДИСКРЕТНЫХ КОМПОНЕНТ ............................................................................................... |
16 |
1.3.1.1. МОДЕЛЬ АДЕПТ-50........................................................................................................................................ |
16 |
1.3.1.2. ПЯТИМЕРНОЕ ПРОСТРАНСТВО БЕЗОПАСНОСТИ ХАРТСТОНА........................................................................... |
17 |
1.3.1.3. РЕЗЮМЕ ПО МОДЕЛЯМ АДЕПТ И ХАРТСТОНА.................................................................................................. |
19 |
1.3.2. МОДЕЛИ НА ОСНОВЕ АНАЛИЗА УГРОЗ СИСТЕМЕ ................................................................................................ |
19 |
1.3.2.1. ИГРОВАЯ МОДЕЛЬ............................................................................................................................................ |
19 |
1.3.2.2. МОДЕЛЬ СИСТЕМЫ БЕЗОПАСНОСТИ С ПОЛНЫМ ПЕРЕКРЫТИЕМ...................................................................... |
20 |
1.3.2.3. РЕЗЮМЕ ПО МОДЕЛЯМ АНАЛИЗА УГРОЗ........................................................................................................... |
20 |
1.3.3. МОДЕЛИ КОНЕЧНЫХ СОСТОЯНИЙ....................................................................................................................... |
21 |
1.3.3.1. МОДЕЛЬ БЕЛЛА-ЛАПАДУЛА............................................................................................................................ |
21 |
1.3.3.2. МОДЕЛЬ LOW-WATER-MARK (LWM)............................................................................................................... |
22 |
1.3.3.3. МОДЕЛЬ ЛЕНДВЕРА ......................................................................................................................................... |
24 |
1.3.3.4. РЕЗЮМЕ ПО МОДЕЛЯМ СОСТОЯНИЙ................................................................................................................. |
26 |
1.4. ОБЕСПЕЧЕНИЕ ГАРАНТИЙ ВЫПОЛНЕНИЯ ПОЛИТИКИ БЕЗОПАСНОСТИ .................................................................. |
27 |
1.5. МЕТОД ГЕНЕРАЦИИ ИЗОЛИРОВАННОЙ ПРОГРАММНОЙ СРЕДЫ ПРИ ПРОЕКТИРОВАНИИ МЕХАНИЗМОВ |
32 |
ГАРАНТИРОВАННОГО ПОДДЕРЖАНИЯ ПОЛИТИКИ БЕЗОПАСНОСТИ .............................................................................. |
|
1.6. РЕАЛИЗАЦИЯ ГАРАНТИЙ ВЫПОЛНЕНИЯ ЗАДАННОЙ ПОЛИТИКИ БЕЗОПАСНОСТИ.................................................. |
42 |
1.7. ОПОСРЕДОВАННЫЙ НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП В КОМПЬЮТЕРНОЙ СИСТЕМЕ. МОДЕЛЬ |
|
ОПОСРЕДОВАННОГО НСД............................................................................................................................................. |
47 |
ЛИТЕРАТУРА К ПЕРВОЙ ЧАСТИ..................................................................................................................................... |
50 |
ЧАСТЬ 2. МОДЕЛИ БЕЗОПАСНОГО СУБЪЕКТНОГО ВЗАИМОДЕЙСТВИЯ В КОМПЬЮТЕРНОЙ СИСТЕМЕ. АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. СОПРЯЖЕНИЕ ЗАЩИТНЫХ МЕХАНИЗМОВ52
2.1. ВВЕДЕНИЕ.............................................................................................................................................................. |
52 |
2.1. ПРОЦЕДУРА ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ........................................................................................... |
53 |
2.2. ФОРМАЛИЗАЦИЯ ЗАДАЧИ СОПРЯЖЕНИЯ. МЕТОДЫ СОПРЯЖЕНИЯ......................................................................... |
57 |
2.3. ТИПИЗАЦИЯ ДАННЫХ, НЕОБХОДИМЫХ ДЛЯ ОБЕСПЕЧЕНИЯ РАБОТЫ СРЕДСТВ СОПРЯЖЕНИЯ ............................... |
59 |
2.4. ИСПОЛЬЗОВАНИЕ ВНЕШНИХ СУБЪЕКТОВ ПРИ РЕАЛИЗАЦИИ И ГАРАНТИРОВАНИИ ПОЛИТИКИ БЕЗОПАСНОСТИ... |
62 |
2.5. ПОНЯТИЕ ВНЕШНЕГО РАЗДЕЛЯЕМОГО СЕРВИСА БЕЗОПАСНОСТИ. ПОСТАНОВКА ЗАДАЧИ.................................... |
64 |
2.6. ПОНЯТИЕ И СВОЙСТВА МОДУЛЯ РЕАЛИЗАЦИИ ЗАЩИТНЫХ ФУНКЦИЙ.................................................................. |
66 |
2.7. ПРОЕКТИРОВАНИЕ МОДУЛЯ РЕАЛИЗАЦИИ ЗАЩИТНЫХ ФУНКЦИЙ В СРЕДЕ ГАРАНТИРОВАНИЯ ПОЛИТИКИ |
|
БЕЗОПАСНОСТИ............................................................................................................................................................. |
69 |
2.8. ПЕРЕДАЧА ПАРАМЕТРОВ ПРИ СОСТАВНОМ ПОТОКЕ.............................................................................................. |
70 |
2.9. МЕТОДИКА ПРОВЕРКИ ПОПАРНОЙ КОРРЕКТНОСТИ СУБЪЕКТОВ ПРИ ПРОЕКТИРОВАНИИ МЕХАНИЗМОВ |
|
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ С УЧЕТОМ ПЕРЕДАЧИ ПАРАМЕТРОВ ............................................................................ |
73 |
ЗАКЛЮЧЕНИЕ................................................................................................................................................................ |
77 |
ЛИТЕРАТУРА КО ВТОРОЙ ЧАСТИ................................................................................................................................... |
78 |
ЧАСТЬ 3. УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ В КОМПЬЮТЕРНОЙ СИСТЕМЕ .................................... |
79 |
3.1. ВВЕДЕНИЕ.............................................................................................................................................................. |
79 |
3.2. МОДЕЛЬ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ. ТЕРМИНЫ ............................................................................................ |
80 |
3.3.СИСТЕМА УДАЛЕННОГО УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ В ОТСУТСТВИИ ЛОКАЛЬНОГО ОБЪЕКТА УПРАВЛЕНИЯ. 87
3.4.СИСТЕМА УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ ПРИ ЛОКАЛЬНОМ ОБЪЕКТЕ УПРАВЛЕНИЯ И ПРИ УДАЛЕННОМ
УПРАВЛЯЮЩЕМ СУБЪЕКТЕ........................................................................................................................................... |
90 |
3.5. МЕТОД “МЯГКОГО АДМИНИСТРИРОВАНИЯ”. АВТОМАТИЗИРОВАННОЕ ФОРМИРОВАНИЕ СПИСКОВ РАЗРЕШЕННЫХ |
|
ЗАДАЧ И ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА ............................................................................................................... |
91 |
3.6. СИСТЕМЫ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ ПРИ РАСПРЕДЕЛЕННОМ ОБЪЕКТЕ УПРАВЛЕНИЯ................................. |
94 |
ЗАКЛЮЧЕНИЕ................................................................................................................................................................ |
97 |
ЛИТЕРАТУРА К ТРЕТЬЕЙ ЧАСТИ .................................................................................................................................... |
97 |
ЧАСТЬ 4. МОДЕЛИ СЕТЕВЫХ СРЕД. СОЗДАНИЕ МЕХАНИЗМОВ БЕЗОПАСНОСТИ В |
|
РАСПРЕДЕЛЕННОЙ КОМПЬЮТЕРНОЙ СИСТЕМЕ....................................................................................... |
98 |
4.1. ВВЕДЕНИЕ.............................................................................................................................................................. |
98 |
4.2.МОДЕЛИ ВОЗДЕЙСТВИЯ ВНЕШНЕГО ЗЛОУМЫШЛЕННИКА НА ЛОКАЛЬНЫЙ СЕГМЕНТ КОМПЬЮТЕРНОЙ СИСТЕМЫ100 |
|
-4 -
4.3.МЕХАНИЗМЫ РЕАЛИЗАЦИИ ПОЛИТИКИ БЕЗОПАСНОСТИ В ЛОКАЛЬНОМ СЕГМЕНТЕ КОМПЬЮТЕРНОЙ СИСТЕМЫ104
4.4. МЕТОД МЕЖСЕТЕВОГО ЭКРАНИРОВАНИЯ. СВОЙСТВА ЭКРАНИРУЮЩЕГО СУБЪЕКТА......................................... |
110 |
4.5. МОДЕЛЬ ПОЛИТИКИ БЕЗОПАСНОСТИ В РАСПРЕДЕЛЕННОЙ СИСТЕМЕ.................................................................. |
115 |
4.6. АРХИТЕКТУРА ФИЛЬТРУЮЩЕГО СУБЪЕКТА И ТРЕБОВАНИЯ К НЕМУ................................................................... |
120 |
ЗАКЛЮЧЕНИЕ.............................................................................................................................................................. |
130 |
ЛИТЕРАТУРА К ЧЕТВЕРТОЙ ЧАСТИ.............................................................................................................................. |
130 |
ЧАСТЬ 5. НОРМАТИВНЫЕ ДОКУМЕНТЫ ДЛЯ РЕШЕНИЯ ЗАДАЧ КОМПЬЮТЕРНОЙ |
|
БЕЗОПАСНОСТИ...................................................................................................................................................... |
131 |
ВВЕДЕНИЕ К ПЯТОЙ ЧАСТИ......................................................................................................................................... |
131 |
5.1. ДОКУМЕНТЫ ГОСУДАРСТВЕННОЙ ТЕХНИЧЕСКОЙ КОМИССИИ РОССИИ.............................................................. |
131 |
5.1.1. ВВЕДЕНИЕ......................................................................................................................................................... |
131 |
5.1.2. СТРУКТУРА ТРЕБОВАНИЙ БЕЗОПАСНОСТИ........................................................................................................ |
132 |
5.1.3. ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ ОТ НЕСАНКЦИОНИРОВАННОГО |
|
ДОСТУПА..................................................................................................................................................................... |
132 |
5.1.5. КЛАССЫ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ......................................................................... |
133 |
5.1.6. ВЫВОДЫ............................................................................................................................................................ |
136 |
5.2. КРИТЕРИИ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ МИНИСТЕРСТВА ОБОРОНЫ США(“ОРАНЖЕВАЯ КНИГА”)136 |
|
5.2.1. ЦЕЛЬ РАЗРАБОТКИ............................................................................................................................................. |
136 |
5.2.2. ОБЩАЯ СТРУКТУРА ТРЕБОВАНИЙ «ОРАНЖЕВОЙ КНИГИ»................................................................................ |
137 |
5.2.3. КЛАССЫ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ........................................................................................ |
138 |
5.2.4. ИНТЕРПРЕТАЦИЯ И РАЗВИТИЕ “ОРАНЖЕВОЙ КНИГИ”...................................................................................... |
141 |
5.2.5. ВЫВОДЫ............................................................................................................................................................ |
142 |
5.3. ЕВРОПЕЙСКИЕ КРИТЕРИИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ................................................... |
143 |
5.3.1. ОСНОВНЫЕ ПОНЯТИЯ ....................................................................................................................................... |
143 |
5.3.2. ФУНКЦИОНАЛЬНЫЕ КРИТЕРИИ......................................................................................................................... |
143 |
5.3.3. КРИТЕРИИ АДЕКВАТНОСТИ............................................................................................................................... |
145 |
5.3.4. ВЫВОДЫ............................................................................................................................................................ |
146 |
5.4. ФЕДЕРАЛЬНЫЕ КРИТЕРИИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ.................................................. |
146 |
5.4.1. ЦЕЛЬ РАЗРАБОТКИ............................................................................................................................................. |
146 |
5.4.2. ОСНОВНЫЕ ПОЛОЖЕНИЯ .................................................................................................................................. |
146 |
5.4.3. ПРОФИЛЬ ЗАЩИТЫ............................................................................................................................................ |
148 |
5.4.4. ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ К ПРОДУКТУ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ........................................ |
150 |
5.4.5. ТРЕБОВАНИЯ К ПРОЦЕССУ РАЗРАБОТКИ ПРОДУКТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ.................................. |
156 |
5.4.6. ТРЕБОВАНИЯ К ПРОЦЕССУ СЕРТИФИКАЦИИ ПРОДУКТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ............................ |
157 |
5.4.7. ВЫВОДЫ............................................................................................................................................................ |
157 |
ЛИТЕРАТУРА К ПЯТОЙ ЧАСТИ..................................................................................................................................... |
158 |
ЗАКЛЮЧЕНИЕ. ПРОЦЕСС ПОСТРОЕНИЯ ЗАЩИЩЕННОЙ КОМПЬЮТЕРНОЙ СИСТЕМЫ......... |
160 |
СПИСОК СОКРАЩЕНИЙ............................................................................................................................................... |
163 |
- 5 -
Часть 1. Введение в предмет компьютерной безопасности. Понятие политики безопасности. Реализация и гарантирование политик безопасности
1.1. Введение. Понятие политики безопасности
Рассматривая вопросы безопасности информации в компьютерных системах (будем далее использовать термин «компьютерная система» для обозначения объекта исследования, поскольку термин «автоматизированные системы», принятый в нормативных документах и научных работах по компьютерной безопасности, на сегодняшний день практически всегда описывает системы, содержащие компьютерную технику), можно говорить о наличии некоторых «желательных» состояний данных систем. Эти желательные состояния (описанные в терминах модели собственно компьютерной системы, например, в терминах субъектно-объектной модели - см. ниже) описывают «защищенность» системы. Понятие «защищенности» принципиально не отличается от любых других свойств технической системы, например, «надежной работы» и является для системы внешним, априорно заданным. Особенностью понятия «защищенность» является его тесная связь с понятиями «злоумышленник» (как обозначение внешней причины для вывода системы из состояния «защищенности») или «угроза» (понятие, обезличивающее причину вывода системы из защищенного состояния действий злоумышленника).
При рассмотрении понятия «злоумышленник» практически всегда выделяется объект его воздействия - часть системы, связанная с теми или иными действиями злоумышленника («объект атаки»). Следовательно, можно выделить три компоненты, связанные с нарушением безопасности системы: «злоумышленник» - внешний по отношению к системе источник нарушения свойства «безопасность», «объект атаки» - часть, принадлежащая системе, на которую злоумышленник производит воздействие, «канал воздействия» - среда переноса злоумышленного воздействия.
Интегральной характеристикой, описывающей свойства защищаемой системы, является политика безопасности - качественное (или качественноколичественное описание) свойств защищенности, выраженное в терминах, описывающих систему. Описание политики безопасности может включать или учитывать свойства злоумышленника и объекта атаки.
Приведем пример описания политики безопасности. Наиболее часто рассматриваются политики безопасности, связанные с понятием «доступ». Доступ - категория субъектно-объектной модели (субъекты - активная компонента системы (активность понимается как возможность выполнять операции над объектами - пассивной компонентой), описывающая процесс выполнения операций субъектов над объектами.
Описание политики безопасности включает:
1. множество возможных операций над объектами,
-6 -
2.для каждой пары «субъект, объект» (Si,Oj) назначение множества разрешенных операций, являющееся подмножеством всего множества возможных операций. Операции связаны обычно с целевой функций защищаемой системы (т.е. с категорией, описывающей назначение системы и решаемые задачи), например, операции «создание объекта», «удаление объекта», «перенос информации от произвольного объекта к предопределенному - чтение» и т.д.
Можно сформулировать две аксиомы защищенных компьютерных систем
(КС):
Аксиома 1. В защищенной КС всегда присутствует активная компонента (субъект), выполняющая контроль операций субъектов над объектами.
Данная компонента фактически отвечает за реализацию некоторой
политики безопасности.
Аксиома 2. Для выполнения в защищенной КС операций над объектами необходима дополнительная информация (и наличие содержащего ее объекта) о разрешенных и запрещенных операциях субъектов с объектами.
В данном случае мы оперируем качественными понятиями «контроль», «разрешенная и запрещенная операция», данные понятия будут раскрыты и проиллюстрированы ниже.
В [3] сформулирована дополнительная аксиома. Аксиома 3.
Все вопросы безопасности информации описываются доступами субъектов
кобъектам.
Важно заметить, что политика безопасности описывает в общем случае нестационарное состояние защищенности. Защищаемая система может изменяться, дополняться новыми компонентами (субъектами, объектами, операциями субъектов над объектами). Очевидно, что политика безопасности должна быть поддержана во времени, следовательно, в процесс изучения свойства защищаемой системы должны быть дополнены процедуры
управления безопасностью.
С другой стороны, нестационарность защищаемой КС, а также вопросы реализации политики безопасности в конкретных конструкциях защищаемой системы (например, программирование контролирующего субъекта в командах конкретного процессора ПЭВМ) предопределяет необходимость рассмотрения задачи гарантирования заданной политики безопасности.
Итак, резюмируя, можно сказать, что компьютерная безопасность решает четыре класса взаимосвязанных задач:
1.Формулирование и изучение политик безопасности.
2.Реализация политик безопасности.
3.Гарантирование заданной политики безопасности.
4.Управление безопасностью.
Типовой жизненный цикл КС состоит из следующих стадий: 1. Проектирование КС и проектирование политики безопасности.
-7 -
2.Моделирование ПБ и анализ корректности ПБ, включающий установление адекватности политики безопасности и целевой функции КС.
3.Реализация ПБ и механизмов ее гарантирования, а также процедур и механизмов управления безопасностью.
4.Эксплуатация защищенной системы.
Безопасность КС достаточно часто описывается в категориях «достоверность», «конфиденциальность», «целостность» и «доступность».
Свойство достоверности понимается как сохранение информацией своих семантических свойств в любой момент времени от момента ввода в систему. Свойство доступности понимается как возможность пользования некоторым ресурсом КС и информацией в произвольный момент времени. Свойство целостности (связанное со свойством достоверности) подразумевает неизменность свойств информации и ресурсов в любой момент времени от момента их порождения или ввода в систему. Свойство конфиденциальности понимается как недоступность информации или сервисов для пользователей, которым априорно не задана возможность использования указанных сервисов или информации (данных). Иногда выделяют также свойство актуальности информации, связанное со свойством доступности.
Рассмотрим также качественное описание и классификацию различных угроз в компьютерной системе.
По цели реализации угрозы - нарушение конфиденциальности, целостности, доступности.
По принципу и типу воздействия - с использованием физического доступа (локально) или удаленно - пассивно (с использованием каналов утечки) и активно (с использованием каналов удаленного воздействия).
Канал утечки информации - совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя.
Канал утечки связан с пассивным воздействием злоумышленника на объект атаки, т.е. вектор переноса информации направлен от объекта атаки к объекту злоумышленника, расположенному вовне или внутри системы. Через канал утечки реализуется угроза конфиденциальности информации в КС.
Выделяют следующие каналы утечки:
1.Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в технических средствах КС. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки). Электромагнитный канал
всвою очередь делится на следующие каналы:
1.1.Радиоканал (высокочастотное излучение).
1.2.Низкочастотный канал.
1.3.Сетевой канал (наводки на сеть электропитания).
1.4.Канал заземления (наводки на провода заземления).
1.5.Линейный канал (наводки на линии связи между ПЭВМ).
-8 -
2.Акустический (виброакустический) канал. Связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации КС.
Более общим понятием по сравнению с каналом утечки является канал воздействия на КС. Он может включать изменение компонент КС - активное воздействие - угроза свойству целостности. Несанкционированный доступ в КС может иметь как пассивный, так и активный характер, поэтому его корректнее отнести к воздействию на КС.
По причине реализации угрозы:
- несоответствие (неадекватность) политики безопасности реальным условиям жизненного цикла КС,
- ошибки управления системой безопасности, - ошибки проектирования системы гарантий, - ошибки программной реализации,
- недостоверная работа вычислительной базы (ошибки и сбои).
По используемым средствам атаки на КС - с использованием штатных средств КС и с использованием дополнительных средств.
Защита информации в КС - комплекс организационных, организационнотехнических и технических мер, предотвращающих или снижающих возможность образования каналов утечки информации и/или каналов воздействия на КС.
Организационные меры защиты - меры общего характера, затрудняющие доступ к ценной информации злоумышленников вне зависимости от особенностей способа обработки информации и каналов утечки (каналов воздействия).
Организационно-технические меры защиты - меры, связанные со спецификой канала утечки (канала воздействия) и метода обработки информации, но не требующие для своей реализации нестандартных приемов, оборудования или программных средств.
Технические (программно-технические) меры защиты - меры, жестко связанные с особенностями канала утечки (воздействия) и требующие для своей реализации специальных приемов, оборудования или программных средств.