Новини освіти і науки:

G+

Тлумачний словник
Авто
Автоматизація
Архітектура
Астрономія
Аудит
Біологія
Будівництво
Бухгалтерія
Винахідництво
Виробництво
Військова справа
Генетика
Географія
Геологія
Господарство
Держава
Дім
Екологія
Економетрика
Економіка
Електроніка
Журналістика та ЗМІ
Зв'язок
Іноземні мови
Інформатика
Історія
Комп'ютери
Креслення
Кулінарія
Культура
Лексикологія
Література
Логіка
Маркетинг
Математика
Машинобудування
Медицина
Менеджмент
Метали і Зварювання
Механіка
Мистецтво
Музика
Населення
Освіта
Охорона безпеки життя
Охорона Праці
Педагогіка
Політика
Право
Програмування
Промисловість
Психологія
Радіо
Регилия
Соціологія
Спорт
Стандартизація
Технології
Торгівля
Туризм
Фізика
Фізіологія
Філософія
Фінанси
Хімія
Юриспунденкция

Група В. Мандатний захист

Аудит

Вимога 3. Ідентифікація й автентифікація.Усі суб'єкти повинні мати унікальні ідентифікатори. Контроль доступу повинен здійснюватися на підставі результатів ідентифікації суб'єкта й об'єкта доступу, підтвердження дійсності їхніх ідентифікаторів (автентифікації) і правил розмежування доступу. Дані, що використовуються для ідентифікації й автентифікації, повинні бути захищені від несанкціонованого доступу, модифікації і знищення і повинні бути асоційовані з всіма активними компонентами комп'ютерної системи, функціонування яких критично з погляду безпеки.

Вимога 4. Реєстрація й облік.Для визначення ступеня відповідальності користувачів за дії в системі всі події, які відбуваються в ній, що мають значення з погляду безпеки, повинні відслідковуватися і реєструватися в захищеному протоколі. Система реєстрації повинна здійснювати аналіз загального потоку подій і виділяти з нього тільки ті події, що впливають на безпеку, для скорочення обсягу протоколу і підвищення ефективності його аналізу. Протокол подій повинен бути надійно захищеним від несанкціонованого доступу, модифікації і знищення.

Коректність

Вимога 5. Контроль коректності функціонування засобів захисту.Засоби захисту повинні містити незалежні апаратні і/чи програмні компоненти, що забезпечують працездатність функцій захисту. Це означає, що всі засоби захисту, що забезпечують політику безпеки, керування атрибутами і мітками безпеки, ідентифікацію й автентифікацію, реєстрацію й облік, повинні знаходитися під контролем засобів, що перевіряють коректність їхнього функціонування. Основний принцип контролю коректності полягає в тому, що засоби контролю повинні бути цілком незалежні від засобів захисту.

Вимога 6. Безперервність захисту.Усі засоби захисту (у т.ч. і ті, що реалізують дану вимогу) повинні бути захищені від несанкціонованого втручання і/чи відключення, причому цей захист повинний бути постійним і безупинним у будь-якому режимі функціонування системи захисту і КС у цілому. Дана вимога поширюється на весь життєвий цикл комп'ютерної системи. Крім того, його виконання є однією з ключових аксіом, що використовуються для формального доказу безпеки системи.

Таксономія критеріїв

Політика безпеки

· Дискреційне керування доступом (Discretionary Access Control)

· Мандатне керування доступом (Mandatory Access Control)

· Повторне використання об'єктів (Object Reuse)

· Інкапсуляція ресурсів (Resource Encapsulation)

· Мітки безпеки (Labels)

· Цілісність міток безпеки (Labels Integrity)

· Експорт міток (Export Human-Readable Labels)

· Експорт позначеної інформації (Export Machine Readable Output)

· Мітки повноважень суб'єктів (Working Label)

· Мітки пристроїв (Labels Frequency)

· Ідентифікація й автентифікація (Identification & Authentication)

· Пряма взаємодія з КСЗ (Trusted Path)

· Реєстрація й облік подій (Audit)

Коректність

· Коректність функціонування

Архітектура системи (System Architecture)

Цілісність системи (System Integrity)

Аналіз прихованих каналів (Covert Channel Analysis)

Керування безпекою (Trusted Facility Management)

Довірене відновлення (Trusted Recovery)

· Коректність розробки

Тестування безпеки (Security Testing)

Розробка і верифікація специфікацій (Design Specification and Verification)

Керування конфігурацією (Configuration Management)

Довірена дистрибуція (Trusted Distribution)

Документація

· Посібник користувача (Users Guide)

· Керівництво адміністратора безпеки (Facility Manual)

· Документування процесу тестування (Test Documentation)

· Документування процесу розробки (Design Documentation)

Класи безпеки комп'ютерних систем

"Жовтогаряча книга" передбачає чотири групи, що відповідають різному ступеню захищеності: від мінімальної (група D)до формально доведеної (група А). Кожна група включає один чи кілька класів. Групи D і А містять по одному класу (класи D1 і А1, відповідно), група С – класи C1, C2, а група В три класи – B1, B2, В3, що характеризуються різними наборами вимог безпеки. Рівень безпеки зростає при русі від групи D до групи А, а всередині групи – зі зростанням номера класу.

Група D. Мінімальний захист

Клас D1. Мінімальний захист. До цього класу відносяться всі системи, що не задовольняють вимогам інших класів.

Група С. Дискреційний захист

Група С характеризується наявністю довільного керування доступом і реєстрацією дій суб'єктів.

Клас С1. Дискреційний захист. Системи цього класу задовольняють вимогам забезпечення розділу користувачів і інформації і включають засоби контролю і керування доступом, які дозволяють задавати обмеження для індивідуальних користувачів, що дає їм можливість захищати свою приватну інформацію від інших користувачів. Клас С1 розрахований на багатокористувацькі системи, у яких здійснюється спільна обробка даних одного рівня конфіденційності.

Клас С2. Керування доступом. Системи цього класу здійснюють більш гнучке керування доступом, чим системи класу С1, за допомогою застосування засобів індивідуального контролю за діями користувачів, реєстрації, обліку подій і виділення ресурсів.

Основні вимоги цієї групи – нормативне (мандатне) керування доступом з використанням міток безпеки, підтримка моделі і політики безпеки, а також наявність специфікацій на функції комплексу засобів захисту (в термінології “Жовтогарячої книги” – довіреної обчислювальної бази, trusted computing base). Для систем цієї групи монітор взаємодій повинний контролювати всі події (потоки) у системі.

Клас В1. Захист із застосуванням міток безпеки. Системи класу В1 повинні відповідати усім вимогам, пропонованим до систем класу С2, і, крім того, повинні підтримувати визначену неформально модель безпеки, маркірування даних і нормативне керування доступом. При експорті із системи інформація повинна піддаватися маркіруванню. Виявлені в процесі тестування недоліки повинні бути усунуті.

Клас В2. Структурований захист. Для відповідності класу В2 КЗЗ КС повинен підтримувати формально визначену і чітко документовану модель безпеки, яка передбачає довільне і нормативне керування доступом, що поширюється в порівнянні із системами класу В1 на всі суб'єкти. Крім того, повинен здійснюватися контроль прихованих каналів витоку інформації. У структурі ядра захисту повинні бути виділені елементи, критичні з погляду безпеки. Інтерфейс КЗЗ повинен бути чітко визначеним, а її архітектура і реалізація повинні бути виконані з урахуванням можливості проведення тестових іспитів. У порівнянні з класом В1повинні бути посилені засоби автентифікації. Керування безпекою здійснюється адміністраторами системи. Повинні бути передбачені засоби керування конфігурацією.

Клас В3.Домени безпеки. Для відповідності цьому класу ядро захисту системи повинне включати монітор взаємодій, що контролює всі типи доступу суб'єктів до об'єктів, що неможливо обійти (тобто потрібно гарантування заданої ПБ). Крім того, ядро захисту повинне бути структуроване з метою виключення з нього підсистем, що не відповідають за реалізацію функцій захисту, і бути досить компактним для ефективного тестування й аналізу. У ході розробки і реалізації ядра захисту повинні застосовуватися методи і засоби, спрямовані на мінімізацію його складності. Засобу аудита повинні включати механізми оповіщення адміністратора при виникненні подій, що мають значення для безпеки системи. Потрібно наявність засобів відновлення працездатності системи.

Група А. Верифікований захист

Дана група характеризується застосуванням формальних методів верифікації коректності роботи механізмів керування доступом (довільного і нормативного). Потрібна додаткова документація, що демонструє, що архітектура і реалізація ядра захисту відповідають вимогам безпеки.

Клас А1.Формальна верифікація. Системи класу А1 функціонально еквівалентні системам класу В3, і до них не пред'являється ніяких додаткових функціональних вимог. На відміну від систем класу В3 у ході розробки повинні застосовуватися формальні методи верифікації, що дозволяє з високою впевненістю одержати коректну реалізацію функцій захисту. Процес доказу адекватності реалізації починається на ранній стадії проектування з побудови формальної моделі політики безпеки. Для забезпечення ефективності застосування методів верифікації системи класу А1 повинні містити більш могутні засоби керування конфігурацією і захищеною процедурою дистрибуції (установки і поширення).

Інтерпретація і розвиток "Жовтогарячої книги"

Опублікування "Жовтогарячої книги" стало важливим етапом як у постановці, так і у вказівці напрямку рішення основних теоретичних проблем комп'ютерної безпеки. Наведені класи безпеки надовго визначили основні концепції безпеки і хід розвитку засобів захисту. Проте в ході застосування її основних положень з'ясувалося, що частина практично важливих питань залишилася за рамками даного стандарту і, крім того, з часом ряд положень застарів і зажадав перегляду.

Коло специфічних питань по забезпеченню безпеки комп'ютерних мереж і систем керування базами даних знайшло відображення в окремих документах, виданих Національним центром комп'ютерної безпеки США у вигляді доповнень до "Жовтогарячої книги" – «Інтерпретація «Жовтогарячої книги» для комп'ютерних мереж» (Trusted Network Interpretation [NCSC-TG-005]) і «Інтерпретація «Жовтогарячої книги» для систем керування базами даних» (Trusted Database Management System Interpretation [NCSC-TG-021]). Ці документи містять трактування основних положень "Жовтогарячої книги" стосовно до відповідних класів систем обробки інформації.

Старіння ряду положень "Жовтогарячої книги" обумовлено насамперед інтенсивним розвитком комп'ютерних технологій і переходом з централізованих обчислювальних комплексів на базі мейнфреймів (в США на той час найпоширенішими були IBM-360/370, в Радянському Союзі – їхні аналоги, результат копіювання, – машини серії ЄС) до робочих станцій, високопродуктивних персональних комп'ютерів і розподіленої обробки інформації. Саме для того, щоб виключити некоректність деяких положень "Жовтогарячої книги", що виникла в зв'язку зі зміною апаратної платформи, адаптувати їх до сучасних умов і зробити адекватними потребам розробників і користувачів програмного забезпечення, і була здійснена значна робота з інтерпретації і розвитку положень цього стандарту. В результаті виник цілий ряд супутніх "Жовтогарячій книзі" документів, багато з яких стали її невід'ємною частиною. До тих, що їх згадують найчастіше, відносяться:

Посібник з дискреційного керування доступом у захищених системах (A guide to understanding discretionary access control in trusted systems [NCSC-TG-003]).

Посібник з керування паролями (Password management guideline [CSC-STD-002-85]).

Посібник із застосування «Критеріїв безпеки комп'ютерних систем» у специфічних середовищах (Guidance for applying the Department of Defence Trusted Computer System Evaluation Criteria in specific environment [CSC-STD-003-85]).

Посібник з аудита в безпечних системах (A Guide to Understanding Audit in Trusted Systems [NCSC-TG-001]).

Посібник з керування конфігурацією в безпечних системах (Guide to understanding configuration management in trusted systems [NCSC-TG-006-88]).

Кількість подібних допоміжних документів, коментарів і інтерпретацій значно перевищило обсяг первісного документа, і в 1995 році Національним центром комп'ютерної безпеки США був опублікований документ за назвою "Інтерпретація критеріїв безпеки комп'ютерних систем" [NCSC-TG-007-95], що поєднує всі доповнення і роз'яснення. При його підготовці склад питань, що підлягають розгляду і тлумаченню, обговорювався на спеціальних конференціях розробників і користувачів захищених систем обробки інформації. У результаті відкритого обговорення була створена база даних, що включала всі спірні питання, що потім у повному обсязі були пророблені спеціально створеною робочою групою. У підсумку з'явився документ, що проінтегрував усі зміни і доповнення до "Жовтогарячої книги", зроблені з моменту її опублікування, що привело до відновлення стандарту і дозволило застосовувати його в сучасних умовах.

Читайте також:

<== попередня сторінка	\|	наступна сторінка ==>
Загальна структура вимог безпеки	\|	Група 3

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.004 сек.