Файловый архив студентов. Файловый архив студентов.
1306 вузов, 5172 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Донецкий техникум промышленной автоматики
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Безпека.docx
Скачиваний:
164
Добавлен:
31.08.2019
Размер:
6.2 Mб
Скачать
►Содержание►

8.2.2. Критерії захищеності інформації в комп'ютерних системах від несанкціонованого доступу

Нормативний документ НД ТЗІ 2.5-004-99 містить специфікації вимог до реалі­зації послуг безпеки. Вони утворюють систему критеріїв із п'яти груп. Це критерії:

♦ конфіденційності;

  • цілісності;

доступності;

  • спостережності;

  • гарантій.

Критерії з перших чотирьох груп — це функціональні критерії, що визначають, які послуги безпеки здатна надавати оцінювана система. До надання кожної з послуг безпеки висувають низку вимог, за якими визначається рівень надання цієї послуги. Множина рівнів послуг безпеки, які надає система, складає функціональний профіль.

Остання група — критерії гарантій — визначає рівень адекватності та корект пості реалізації послуг безпеки, тобто фактично визначає рівень довіри до реалізації цих функцій.

Як бачимо, вимоги до послуг безпеки згруповано за ознакою кінцевої мети їх

реалізації, тобто захисту окремої властивості інформації або системи. Така систематизація зручна для кінцевого споживача захищеної системи, оскільки спрямована саме на задоволення його потреб у захисті інформації. З іншого боку, для розробників систем, а також для експертів, які ці системи оцінюють, така систематизація не є оптимальною і створює деякі незручності. Альтернативна структура вимог до функціональних послуг використовується, наприклад, у сучасному міжнародному стандарті ISO 15408, відомому також як «Загальні критерії» (цей стандарт буде розглянуто в розділі 9).

Об'єктом оцінювання, згідно з НД ТЗІ 2.5-004-99 [12], є комп'ютерна система, тобто сукупність апаратних і програмних засобів, поданих для оцінювання захищеності інформації, яку вони обробляють. Фактично вимоги цього НД ТЗІ застосовують не лише для оцінювання окремих програмних і програмно-апаратних комплексів, а й для оцінювання КСЗІ в автоматизованих системах. Але у кожному випадку критерії застосовують лише до комплексу засобів захисту (КЗЗ), тобто програмних і апаратних засобів, що здійснюють захист інформації.

Критерії конфіденційності

Ці критерії дають змогу оцінити здатність КЗЗ надавати послуги із захисту об'єктів від несанкціонованого ознайомлення з їх змістом (компрометації). До складу послуг безпеки, що забезпечують конфіденційність, входять: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність під час обміну.

  • Довірча конфіденційність і адміністративна конфіденційність. Система керування доступом надає дві послуги, які безпосередньо забезпечують реалізацію розмежування доступу активних об'єктів (користувачів, процесів) до пасивних об'єктів. Перша послуга дає можливість користувачу скеровувані потоки інформації від захищених об'єктів, що належать його домену, до інших користувачів. За допомогою другої адміністратор або спеціально авторизований користувач може скеровувати потоки інформації від захищених об'єктів до користувачів. Рівні цих послуг ранжируються на підставі повноти захисту і вибірковості керування. Довірчу конфіденційність поділяють на чотири рівні: мінімальна (КД-1), базова (КД-2), повна (КД-3) і абсолютна (КД-4). Адміністративну — так само на чотири: мінімальна (КА-1), базова (КА-2), повна

(КА-3) і абсолютна (КА-4). Мінімальний і базовий рівні послуг передбачають, що дія послуги поширюється на певну множину об'єктів системи, а повний і абсолютний рівні — на всі об'єкти доступу в системі. Мінімальний рівень ви­магає контролю атрибутів доступу процесу стосовно захищеного об'єкта, ба­зовий і повний рівні — атрибутів доступу користувача, абсолютний — атри­бутів доступу як користувача, так і процесу.

  • Повторне використання об'єктів. Послуга (яка має позначення КО-1) забез­печує коректність повторного використання об'єктів, які по черзі використову­ють різні користувачі та (або) процеси. Приклади об'єктів, через які може здій­снюватися витік інформації — ділянки оперативної пам'яті та блоки (сектори) на жорсткому диску. Послуга гарантує, що об'єкт, який використовують кілька користувачів, після його надання новому користувачу чи процесу, не міститиме інформації від попереднього користувача чи процесу.

  • Аналіз прихованих каналів. Послуга забезпечує Виявлення й усунення наяв­них потоків інформації, які не контролюють інші послуги. Рівні цієї послуги ранжируються відповідно до того, що виконується: лише виявлення (КК-1) і контроль (КК-2) або ще й перекривання (КК-3) прихованих каналів.

  • Конфіденційність під час обміну. Послуга забезпечує захист об'єктів від не­санкціонованого доступу до інформації, яку вони містять, під час їх переда­вання через незахищене середовище. Послугу реалізують здебільшого із за­стосуванням криптографічних механізмів. Рівні цієї послуги ранжируються на підставі повноти захисту і вибірковості керування: мінімальна (КВ-1), ба­зова (КВ-2), повна (КВ-3) і абсолютна конфіденційність під час обміну (КВ-4).

Критерії цілісності

Критерії цілісності дають змогу оцінити КЗЗ щодо його здатності надавати по­слуги із захисту оброблюваної інформації від несанкціонованої модифікації. До складу послуг безпеки, що забезпечують цілісність, належать: довірча цілісність, адміністративна цілісність, відкіт, цілісність під час обміну.

  • Довірча цілісність і адміністративна цілісність. Ці послуги забезпечує підсис­тема керування доступом; за структурою вимог вони дуже подібні до відпо­відних послуг конфіденційності. Перша послуга дає змогу користувачу керу­вати потоками інформації від інших користувачів до захищених об'єктів, що належать його домену. За допомогою другої адміністратор або спеціально ав­торизований користувач може керувати потоками інформації від користува­чів до захищених об'єктів. Рівні цих послуг ранжируються на підставі повно­ти захисту і вибірковості керування: мінімальна (ЦД-1), базова (ЦД-2), повна (ЦД-3) і абсолютна (ЦД-4) довірча цілісність і відповідно мінімальна (ЦА-1), базова (ЦА-2), повна (ЦА-3) й абсолютна (ЦА-4) адміністративна цілісність. Хоча вимоги до послуг довірчої та адміністративної цілісності схожі на вимо­ги до відповідних послуг конфіденційності, є й деякі відмінності. Зокрема, мінімальний рівень зазначених послуг цілісності потребує контролю атри-

бутів доступу користувача до захищеного об'єкта, а базовий і повний рівень. атрибутів доступу процесу.

♦ Відкіт. Послуга надає можливість скасовувати операцію або послідовність операцій і повертати (відкочувати) захищений об'єкт до попереднього стану. Рівні цієї послуги ранжируються на підставі множини операцій, для яких забезпечується відкіт: обмежений відкіт (рівень ЦО-1) забезпечує скасування визначеної множини операцій, здійснених за певний проміжок часу, новішій відкіт (рівень ЦО-2) забезпечує скасування всіх здійснених операцій.

Цілісність під час обміну. Послуга забезпечує захист об'єктів від несанкціонованої модифікації інформації, яку вони містять, під час їх передавання через незахищене середовище. Рівні цієї послуги ранжируються на підставі повноти захисту і вибірковості керування: мінімальна (ЦВ-1), базова (ЦВ-2) і повна (ЦВ-3) цілісність під час обміну інформацією.

Критерії доступності

Критерії доступності дають змогу оцінити здатність КЗЗ надавати послуги із забезпечення можливості використання КС у цілому, окремих її функцій або оброблюваної інформації у певний проміжок часу і гарантувати спроможність КС

функціонувати після відмови її компонентів. До послуг доступності належать: використання ресурсів, стійкість до відмов, «гаряча» заміна компонентів і відновлення після збоїв.

  • Використання ресурсів. Послуга забезпечує керування використанням послуг і ресурсів. Рівні цієї послуги ранжируються на підставі повноти захисту і вибірковості керування доступністю послуг КС: квоти (ДР-1), унеможливлення захоплення ресурсів (ДР-2), пріоритетність використання ресурсів (ДР-3).

  • Стійкість до відмов. Послуга гарантує доступність КС (інформації, окремих функцій або КС у цілому) після відмови її компонента. Рівні цієї послуги ран­жируються на підставі спроможності КЗЗ забезпечити можливість функціо­нування КС залежно від кількості відмов, а також від кількості послуг, дос­тупних після відмови: стійкість при обмежених відмовах (ДС-1), стійкість із погіршенням характеристик обслуговування (ДС-2), стійкість без погіршення характеристик обслуговування (ДС-3).

  • «Гаряча» заміна. Послуга забезпечує доступність КС (інформації, окремих функцій або КС у цілому) під час заміни окремих компонентів. Рівні послуги ранжируються на підставі повноти реалізації: модернізація (ДЗ-1), обмежена «гаряча» заміна (ДЗ-2), «гаряча» заміна будь-якого компонента (ДЗ-З).

  • Відновлення після збоїв. Послуга забезпечує повернення КС у відомий захищений стан після відмови або переривання обслуговування. Рівні цієї послуги ранжируються на підставі міри автоматизації процесу відновлення: ручне відновлення (ДВ-1), автоматизоване відновлення (ДВ-2), вибіркове відновлення (ДВ-3).

Зауважимо, що всі послуги доступності передбачають наявність у системі ад­міністратора або спеціально вповноваженого користувача; а це потребує обов'яз­кового надання деяких послуг спостережності, які буде розглянуто далі.

Критерії спостережності

Критерії спостережності дають змогу оцінити КЗЗ щодо його здатності надавати послуги, які змушують користувача КС відповідати за власні дії та забезпечують контроль за спроможністю КЗЗ виконувати свої функції. До складу послуг спо­стережності входять: реєстрація (аудит), ідентифікація й автентифікація, досто­вірний канал, розподіл обов'язків, цілісність КЗЗ, самотестування, ідентифікація й автентифікація під час обміну, автентифікація відправника, автентифікація одержувача.

Реєстрація. Послуга забезпечує контроль за небезпечними для КС діями шля­хом реєстрації та аналізу подій, що впливають на безпеку. Рівні цієї послуги ранжируються залежно від повноти і вибірковості контролю, складності засо­бів аналізу даних із журналів реєстрації та спроможності виявляти потенційні порушення: зовнішній аналіз (НР-1), захищений журнал (НР-2), сповіщення про небезпеку (НР-3), детальна реєстрація (НР-4), аналіз у режимі реального часу (НР-5).

Ідентифікація й автентифікація. Послуга надає КЗЗ можливість визначати і перевіряти особистість користувача, що намагається одержати доступ до КС. Рівні цієї послуги ранжируються залежно від механізмів автентифікації (вбу­довані вони чи зовнішні) та від кількості задіяних механізмів. Отже, розріз­няють ідентифікацію й автентифікацію зовнішню (НИ-1), одиночну (НИ-2) і множинну (НИ-3).

Достовірний канал. Послуга забезпечує користувачу можливість безпосеред­ньої взаємодії з КЗЗ. Рівні цієї послуги ранжируються залежно від того, як гнучко реалізовано можливість КЗЗ або користувача ініціювати захищений обмін. Виходячи з цього, достовірний канал може бути одно-направленим (НК-1) або дво-направленим (НК-2).

Розподіл обов'язків. Послуга дає змогу зменшити потенційні збитки, спричи­нені навмисними або помилковими діями користувача, й обмежити автори­тарність керування. Рівні цієї послуги ранжируються на підставі вибірковості керування можливостями користувачів і адміністраторів: призначення адмі­ністратора (НО-1), розподіл обов'язків адміністраторів (НО-2) і розподіл обо­в'язків на підставі привілеїв (НО-3).

Цілісність комплексу засобів захисту. Завдяки цій послузі визначається міра здатності КЗЗ захищати себе і гарантувати свою спроможність керувати захи­щеними об'єктами. Послуга має рівні: КЗЗ із контролем цілісності (НЦ-1), КЗЗ із гарантованою цілісністю (НЦ-2) та КЗЗ із функціями диспетчера дос­тупу (НЦ-3).

Самотестування. Послуга дає змогу КЗЗ перевірити і на підставі цього гаран­тувати правильність функціонування і цілісність певної множини функцій

КС. Рівні цієї послуги ранжируються на підставі можливості виконання тестів у процесі запуску або штатної роботи: самотестування за запитом (НT-1),

під час старту (НТ-2) і в реальному часі (НТ-3).

  • Ідентифікація й автентифікація під час обміну. Послуга надає комплексам засобів захисту систем можливість ідентифікувати одне одного (встановлюиа ти та перевіряти ідентичність), перш ніж почати взаємодію. Рівні цієї послуги ранжируються на підставі повноти реалізації: автентифікація вузла (НВ-1), автентифікація джерела даних (НВ-2) і автентифікація з підтвердженням (НВ-3).

Автентифікація відправника. Послуга дає змогу унеможливити відмову від авторства та однозначно встановити належність певного об'єкта певному користувачу, тобто той факт, що об'єкт створив або відправив саме цей користу­вач. Рівні цієї послуги ранжируються на підставі можливості підтвердження результатів перевірки незалежною стороною: базова автентифікація відправника (НА-1) і автентифікація відправника з підтвердженням (НА-2).

Автентифікація одержувача. Послуга забезпечує унеможливлення відмови від отримання об'єкта і дає змогу однозначно встановити факт отримання певного об'єкта певним користувачем. Рівні цієї послуги ранжируються на підставі можливості підтвердження результатів перевірки незалежною стороною: базова автентифікація одержувача (НП-1), автентифікація одержувача з підтвердженням (НП-2).

Критерії гарантій

У критеріях гарантій введено сім рівнів гарантій (Г-1-Г-7), які є ієрархічними.

Найнижчий рівень — 1, найвищий — 7. КС із певним рівнем гарантій має від

повідати всім вимогам, визначеним для цього рівня. Вимоги викладено в окремих

розділах.

  • Вимоги до архітектури — за умови їх виконання КЗЗ буде спроможним пов­ністю реалізувати політику безпеки.

♦ Вимоги до середовища розроблення — надають гарантії того, що процеси розроблення і супроводження оцінюваної КС є повністю керованими з боку роз­робника. Цей розділ містить підрозділи: вимоги до процесу розроблення і ви­моги до керування конфігурацією.

♦ Вимоги до процесу проектування (послідовності розроблення) — за умови виконання цих вимог буде надано гарантії, що на кожному етапі розроблення (проектування) існуватиме точний опис КС і що реалізація КС відповідатиме вихідним вимогам (політиці безпеки). Цей розділ містить підрозділи: вимоги до функціональних специфікацій (політика безпеки), вимоги до функціональ­них специфікацій (модель політики безпеки), вимоги до проекту архітектури, вимоги до детального проекту, вимоги до реалізації.

♦ Вимоги до середовища функціонування — гарантують, що КС постачається замовнику без несанкціонованих модифікацій і що вона буде інстальована та ініційована замовником так, як це було передбачено розробником.

♦ Вимоги до документації — забезпечують наявність та інформаційне наповнен­ня розділів документації, де описано послуги безпеки, які реалізує КЗЗ, а та­кож настанови адміністратору та користувачу щодо послуг безпеки.

♦ Вимоги до випробувань КЗЗ — регламентують дії розробника щодо надання програм, методик і результатів власних випробувань для перевірки незалеж­ними експертами, а також демонструють, що виявлені під час випробувань ва­ди захисту (слабкі місця) повністю усунено (це підтверджено додатковими випробуваннями).

Взаємозалежність послуг безпеки

Для реалізації деяких послуг безпеки необхідною умовою є реалізація інших по­слуг. Наприклад, без послуги безпеки НІД (цілісність КЗЗ) не зможе коректно функціонувати жодна КС. Комп'ютерну систему, в якій не реалізовано послугу НЦ-1, не можна вважати захищеною, і профіль захищеності для такої системи взагалі не розглядають. Взаємозалежність послуг безпеки показано на рис. 8.1. Стрілки на рисунку, проведені від послуги XX до послуги YY, означають, що ви­конання послуги XX (або певних її рівнів, якщо стрілку проведено від внут­рішнього прямокутника, в якому зазначені окремі рівні послуги) вимагає обо­в'язкового виконання послуги YY. При цьому майже завжди достатньо виконати вимоги першого, найнижчого, рівня послуги, а вимоги вищих рівнів виконувати не обов'язково. Винятком є вимоги рівня Г-3 для послуг КВ-4 і КК-1-КК-3. З ри­сунка видно, що крім послуги НЦ-1, є ще кілька послуг, вимоги яких обов'язково мають виконувати всі захищені системи.

Рис. 8.1. Взаємозалежність функціональних послуг безпеки за критеріями НД ТЗІ 2.5-004-99

Обов'язковими є такі послуги.

Ідентифікація й автентифікація (НИ-1). Без цієї послуги неможливо

реалізувати систему розмежування доступу.

  • Достовірний канал (НК-1). Ця послуга необхідна для системи, в якій під система

ідентифікації й автентифікації є внутрішньою (послуги НИ-2, НИ-3)

  • Розподіл обов'язків (НО-1). Без цієї послуги неможливо реалізувати функції, що

вимагають призначення адміністратора системи, зокрема адміністративного

розмежування доступу, а також послуги доступності та деякі послуги

спостережності;

Реєстрація (НР-1). Без цієї послуги неможливо реалізувати послугу цілісності

КЗЗ, яка є обов'язковою.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности