- •Иногда знание общих законов способно
- •Введение
- •Глава 1
- •1.1. Основные понятия и определения
- •1.3. Структуризация методов обеспечения информационной безопасности
- •1.4. Основные методы реализации угроз информационной безопасности
- •1.5. Основные принципы обеспечения
- •Список литературы к главе 1
- •Глава 2
- •2.1. Построение систем защиты от угрозы нарушения конфиденциальности информации. Организационно-режимные меры защиты носителей информации в ас.
- •Парольные системы для защиты от несанкционированного доступа к информации
- •Общие подходы к построению парольных систем
- •Передача пароля по сети
- •Криптографические методы защиты
- •Утечки информации по техническим каналам:
- •Требования к скзи.
- •Способы и особенности реализации криптографических подсистем
- •Криптографическая защита транспортного уровня ас
- •Особенности сертификации и стандартизации криптографических средств.
- •Защита от угрозы нарушения конфиденциальности на уровне содержания информации.
- •2.2. Построение систем защиты от угрозы нарушения целостности информации
- •Целостность данных в ас
- •Модель контроля целостности Кларка-Вилсона
- •Защита памяти
- •Барьерные адреса
- •Динамические области памяти
- •Адресные регистры
- •Страницы и сегменты памяти
- •Цифровая подпись
- •Защита от угрозы нарушения целостности информации на уровне содержания
- •2.3. Построение систем защиты от угрозы отказа доступа к информации
- •Защита от сбоев программно-аппаратной среды
- •Обеспечение отказоустойчивости по ас
- •Предотвращение неисправностей в по ас.
- •2.4. Построение систем защиты от угрозы раскрытия параметров информационной системы
- •2.5. Методология построения защищенных ас
- •Иерархический метод разработки по ас
- •Исследование корректности реализации и верификация ас
- •Теория безопасных систем (тсв)
- •Глава 3 политика безопасности
- •3.1. Понятие политики безопасности
- •3.2. Понятия доступа и монитора безопасности
- •3.3. Основные типы политики безопасности
- •3.4. Разработка и реализация политики безопасности
- •3.5. Домены безопасности
- •Глава 4
- •4.1. Модель матрицы доступов hru
- •4.2. Модель распространения прав доступа take-grant
- •Санкционированное получение прав доступа.
- •Возможность похищения прав доступа
- •Расширенная модель Take-Grant
- •4.3. Модель системы безопасности белла-лападула Основные положения модели
- •Пример некорректного определения безопасности в модели бл
- •Подход Read-Write (rw)
- •Подход Transaction (т)
- •Проблемы использования модели бл
- •Модель Low-Water-Mark
- •4.4. Модель безопасности информационных потоков
- •Пример автоматной модели системы защиты gm
- •Глава 5 основные критерии защищенности ас. Классификация систем защиты ас.
- •5.1. Руководящие документы государственной технической комиссии россии
- •Основные положения концепции защиты свт и ас от нсд к информации.
- •Показатели защищенности средств вычислительной техники от нсд.
- •5.2. Критерии оценки безопасности компьютерных систем министерства обороны сша ("оранжевая книга")
- •Общая структура требований tcsec
- •5.3. Европейские критерии безопасности информационных технологий
- •5.4. Федеральные критерии безопасности информационных технологий
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •Требования к процессу сертификации продукта информационных технологий
- •Заключение
Функциональные требования к продукту информационных технологий
"Федеральные критерии" предлагают набор функциональных требований, реализация которых позволяет противостоять наиболее распространенным угрозам безопасности, воздействующим на широкий спектр ПИТ. Данные требования разработаны с учетом возможности расширения и адаптации к конкретным условиям эксплуатации ПИТ, и допускают совершенствование параллельно процессу развития информационных технологий. Требования, изложенные в "Федеральных критериях", разработаны на основе обобщения существовавших на момент их создания стандартов информационной безопасности - "Оранжевой книги" и "Европейских критериев" (см. выше §§ 5.1 и 5.2).
Функциональные требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Она объединяет все компоненты ПИТ (аппаратные, программные и специальные средства), реализующие функции защиты. Таким образом, функциональные требования, направленные на обеспечение безопасности, относятся либо к внутренним элементам ТСВ, либо к ее внешним функциям, доступным через специальные интерфейсы. Для того чтобы расширить спектр потенциального применения профиля защиты в "Федеральных критериях", при описании функциональных требований предполагается, что ТСВ является единственной частью ПИТ, которая нуждается в защите и обладает такой характеристикой, как уровень защищенности. По этой причине предполагается достаточным установить множество требований, касающихся только безопасности ТСВ. Функциональные требования профиля защиты задаются в виде общих положений и косвенным образом определяют множество угроз, которым может успешно противостоять удовлетворяющий этим положениям ПИТ.
Структура функциональных требований
Функционапьные требования "Федеральных критериев" разделены на восемь классов и определяют все аспекты функционирования компьютерных систем. Реализация политики безопасности должна быть поддержана средствами, обеспечивающими надежность функционирования как самой ТСВ, так и механизмов осуществления политики безопасности. Эти средства также входят в состав ТСВ, хотя с точки зрения противодействия угрозам, вносят только косвенный вклад в общую защиту ПИТ.
Поскольку "Федеральные критерии" по сравнению с "Оранжевой книгой" являются стандартом нового поколения и, кроме того, никогда не рассматривались в отечественных публикациях, остановимся на функциональных требованиях более подробно.
1. Требования к реализации политики безопасности. Описывают функции компьютерной системы, реализующие политику безопасности, и состоят из четырех групп требований: к политике аудита, политике управления доступом, политике обеспечения работоспособности и управлению безопасностью. Эти требования носят весьма общий характер, что позволяет рассматривать их в качестве прототипа, обеспечивающего поддержку широкого спектра политик и моделей безопасности.
Политика аудита включает разделы, относящиеся к идентификации и аутентификации, регистрации пользователя в системе, обеспечению прямого взаимодействия с компьютерной системой, а также к регистрации и учету событий. Основная задача политики управления аудитом - обеспечить однозначную идентификацию субъекта, ответственного за те или иные действия в системе.
Идентификация и аутентификация позволяют установить однозначное соответствие между пользователями и представляющими их в компьютерной системе субъектами (т.е. субъектами, инициированными от имени конкретного пользователя), а также подтвердить подлинность этого соответствия.
Регистрация пользователя в системе означает создание субъекта взаимодействия, с идентификатором которого будут ассоциироваться все последующие действия пользователя. К процедуре регистрации также относится учет места, времени и других параметров подключения к системе и ее блокирование во время отсутствия пользователя.
Обеспечение прямого взаимодействия с компьютерной системой гарантирует, что пользователь взаимодействует с компонентами системы напрямую, т.е. информация, которая передается в нее и обратно, не подвергается перехвату или искажению. Поддержка прямого взаимодействия с компьютерной системой особенно важна для управления безопасностью (например, при администрировании прав доступа и полномочий пользователей).
Регистрация и учет событий в системе позволяют распознавать потенциально опасные ситуации и сигнализировать о случаях нарушения безопасности. Регистрация событий включает распознавание, учет и анализ действий пользователя, представляющих интерес с точки зрения безопасности.
Политика управления доступом содержит следующие разделы: произвольное управление доступом (дискреционное), нормативное управление доступом и контроль скрытых каналов утечки информации. Политика управления доступом является основным механизмом защиты, так как непосредственно обеспечивает конфиденциальность и целостность обрабатываемой информации.
Произвольное управление доступом позволяет осуществлять назначение прав доступа с точностью до идентифицируемых субъектов и объектов, а также поддерживаемых типов доступа и. кроме того, обеспечивает контроль за распространением прав доступа среди субъектов.
Нормативное управление доступом, в отличие от произвольного, основано на контроле информационных потоков между субъектами и объектами и их атрибутах безопасности, что позволяет регламентировать порядок использования информации в системе.
Контроль скрытых каналов утечки информации включает технические и административные меры, направленные на ликвидацию таких каналов посредством минимизации объема совместно используемых ресурсов и введения активных "шумовых помех".
Политика обеспечении работоспособности системы включает контроль над распределением ресурсов и обеспечение отказоустойчивости. Обеспечение работоспособности позволяет гарантировать доступность ресурсов и сервиса системы, а также корректное восстановление системы после сбоев.
Контроль над распределением ресурсов осуществляется посредством введения ограничений (квот) на их потребление или приоритетной системы распределения ресурсов.
Обеспечение отказоустойчивости входит в сферу безопасности наравне с другими требованиями, так как противостоит угрозам работоспособности.
Управление безопасностью регламентирует следующие аспекты функционирования системы:
компоновка, установка, конфигурация и поддержка компьютерной системы;
администрирование атрибутов безопасности пользователей (идентификаторов, полномочий, доступных ресурсов и т.д.);
администрирование политики управления доступом;
управление потреблением ресурсов системы;
аудит действий пользователей.
2. Мониторинг взаимодействий. Требования этого раздела регламентируют порядок взаимодействия между компонентами системы и прохождения информационных потоков через компьютерную систему. Реализация политики безопасности будет эффективна только в том случае, если все без исключения взаимодействия в системе, т.е. доступ к объектам, ресурсам и сервису, осуществляются при обязательном посредничестве ТСВ (следовательно, требуется, чтобы ядро защиты представляло собой МБО - см. гл.З).
3. Логическая защита ТСВ. Требования данной группы устанавливают порядок доступа к внутренним компонентам ТСВ (данным и программам). ТСВ должна быть защищена от внешних воздействий со стороны непривилегированных пользователей, в противном случае искажение программ и данных, находящихся в ТСВ, может привести к полному подавлению функций защиты (данное требование включает требование корректности внешних субъектов относительно субъектов ядра защиты и требование к интерфейсам взаимодействия - см. гл.З).
Необходимо подчеркнуть, что политика безопасности, мониторинг взаимодействий и логическая защита ТСВ являются обязательными компонентами всех профилей защиты вне зависимости от назначения и среды применения ПИТ.
4. Физическая защита ТСВ. Требования этой группы задают ограничения на физический доступ к компонентам ТСВ, а также допустимые физические параметры среды функционирования компьютерной системы
5. Самоконтроль ТСВ. Требования, касающиеся самоконтроля компьютерной системы, определяют возможности обеспечения контроля корректности выполнения функций системы и целостности программ и данных, входящих в систему. Выполнение этих требований позволяет вовремя обнаруживать нарушения целостности компонентов ТСВ, произошедшие в результате либо целенаправленного воздействия, либо сбоя в работе аппаратных или программных средств, и осуществлять восстановление целостности ТСВ.
6. Инициализация и восстановление ТСВ. Требования данной группы устанавливают возможности компьютерной системы по контролю за процессом собственной инициализации и способности к самовосстановлению после сбоев. Процесс восстановления после сбоя должен происходить без нарушений функционирования, даже временного, средств защиты. Восстановленное состояние ТСВ должно соответствовать требованиям политики безопасности, мониторинга взаимодействий и самоконтроля целостности.
7. Ограничение привилегий при работе с ТСВ. Требования этой группы устанавливают порядок назначения полномочий для работы с компьютерной системой. Основным принципом назначения таких полномочий является принцип минимальной достаточности. Это обеспечивается посредством постоянного контроля и при необходимости автоматического понижения привилегий пользователей при обращении к компонентам или сервису ТСВ. Соблюдение этого принципа позволяет минимизировать нарушения целостности в случае возникновения сбоев или нарушений безопасности.
8. Простота использования ТСВ. Выполнение этих требований обеспечивает удобство пользования возможностями ТСВ как для высококвалифицированных администраторов, ответственных за функционирование и безопасность системы, так и для рядовых пользователей, а также для разработчиков прикладных программ, взаимодействующих с системой. К этому классу требований относятся: порядок реагирования ТСВ на ошибки в действиях пользователей и попытки нарушения безопасности, устанавливаемые по умолчанию полномочия, интерфейс пользователей и администратора.
Объем и глубина реализации функциональных требований зависит от того, какую степень защищенности должно обеспечивать ядро защиты конкретного ПИТ, а также от того, какие угрозы безопасности возможны в среде его эксплуатации. Степень обеспечения требуемого уровня защищенности зависит от реализованной политики безопасности, от квалификации ответственного за безопасность персонала, от правильности администрирования системы и соблюдения рядовыми пользователями правил политики безопасности.