- •Московский государственный университет приборостроения и информатики
- •Утверждаю
- •Раздел 2: Методология построения систем защищённых ас.
- •Дать основные понятия и раскрыть содержание нормативных документов в области создания автоматизированных систем в защищённом исполнении).
- •План лекции:
- •Текст лекции.
- •Введение
- •Методология построения защищенных ас
- •1 Учебный вопрос
- •Иерархический метод разработки по ас
- •Исследование корректности реализации и верификация ас _______мин.
- •Рекомендуемая стандартом ieee 830 структура srs (требования к программной спецификации)
- •Теория безопасных систем (тсв) ______мин.
- •Основные нормативные документы, определяющие общие требования и порядок создания автоматизированных систем в защищённом исполнении ______мин.
- •Гост р 51624—2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.
- •Гост р 51583—2000 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.
- •Типовое содержание работ по защите информации на стадиях создания автоматизированных систем в защищенном исполнении
-
Теория безопасных систем (тсв) ______мин.
Понятие "доверенная вычислительная среда" (trusted computing base-ТСВ) появилось в зарубежной практике обеспечения информационной безопасности достаточно давно. Смысл характеристики "доверенная" можно пояснить следующим образом. (СЛАЙД _15_)
Дискретная природа характеристики "безопасный" (в том смысле, что либо нечто является безопасным, полностью удовлетворяя ряду предъявляемых требований, либо не является, если одно или несколько требований не выполнены) в сочетании с утверждением "ничто не бывает безопасным на сто процентов" подталкивают к тому, чтобы вести более гибкий термин, позволяющий оценивать то, в какой степени разработанная защищенная АС соответствует ожиданиям заказчиков.
В этом отношении характеристика "доверенный" более адекватно отражает ситуацию, где оценка, выраженная этой характеристикой (безопасный или доверенный), основана не на мнении разработчиков, а на совокупности факторов, включая мнение независимой экспертизы, опыт предыдущего сотрудничества с разработчиками, и в конечном итоге, является прерогативой заказчика, а не разработчика.
Доверенная вычислительная среда (ТСВ) включает все компоненты и механизмы защищенной автоматизированной системы, отвечающие за реализацию политики безопасности. Все остальные части АС, а также ее заказчик полагаются на то, что ТСВ корректно реализует заданную политику безопасности даже в том случае, если отдельные модули или подсистемы АС разработаны высококвалифицированными злоумышленниками с тем, чтобы вмешаться в функционирование ТСВ и нарушить поддерживаемую ею политику безопасности.
Минимальный набор компонентов, составляющий доверенную вычислительную среду, обеспечивает следующие функциональные возможности:
• взаимодействие с аппаратным обеспечением АС;
• защиту памяти;
• функции файлового ввода-вывода;
• управление процессами.
Некоторые из перечисленных компонентов были рассмотрены в данном разделе.
Дополнение и модернизация существующих компонентов АС с учетом требований безопасности могут привести к усложнению процессов сопровождения и документирования. С другой стороны, реализация всех перечисленных функциональных возможностей в рамках централизованной доверенной вычислительной среды в полном объеме может вызвать разрастание размеров ТСВ и, как следствие, усложнение доказательства корректности реализации политики безопасности. Так, операции с файлами могут быть реализованы в ТСВ в некотором ограниченном объеме, достаточном для поддержания политики безопасности, а расширенный ввод-вывод в таком случае реализуется в той части АС, которая находится за пределами ТСВ. Кроме того, необходимость внедрения связанных с безопасностью функций во многие компоненты АС, реализуемые в различных модулях АС, приводит к тому, что защитные функции распределяются по всей АС, вызывая аналогичную проблему.
(СЛАЙД _16_)
Представляется оправданной реализация доверенной вычислительной среды в виде небольшого и эффективного (в терминах исполняемого кода) ядра безопасности, где сосредоточены все механизмы обеспечения безопасности. В связи с перечисленными выше соображениями, а также с учетом определенной аналогии между данными понятиями такой подход предполагает изначальное проектирование АС с учетом требований безопасности. При этом в рамках излагаемой теории определены следующие этапы разработки защищенной АС:
• определение политики безопасности;
• проектирование модели АС;
• разработка кода АС;
• обеспечение гарантий соответствия реализации заданной политике безопасности.
(СЛАЙД _17_)
4 - учебный вопрос –