I. Koncepce systému bezpečnostní ochrany




Bezpečnostní koncepce vyvíjeného systému je „soubor zákonů, pravidel a norem chování, které určují, jak organizace zpracovává, chrání a šíří informace. Zejména pravidla určují, ve kterých případech má uživatel právo provozovat určité soubory dat. Čím spolehlivější je systém, tím přísnější a rozmanitější by měl být pojem bezpečnosti. V závislosti na formulovaném konceptu si můžete vybrat specifické mechanismy, které zajistí bezpečnost systému. Pojem bezpečnost je aktivní složkou ochrany, která zahrnuje analýzu možných hrozeb a výběr protiopatření [12].

Bezpečnostní koncepce systému, který je vyvíjen podle Oranžové knihy, by měla obsahovat tyto prvky:

• libovolné řízení přístupu;

• bezpečnost opětovného použití objektů;

• bezpečnostní štítky;

• nucené řízení přístupu.
Zvažte obsah uvedených prvků.

1.1. Řízení libovolného přístupu je metoda omezování přístupu k objektům na základě identity subjektu nebo skupiny, do které subjekt patří. Svědomost vedení spočívá v tom, že určitá osoba (obvykle vlastník objektu) může podle svého uvážení poskytnout jiným subjektům nebo zvolit svá práva na přístup k objektu.

Z koncepčního hlediska je současný stav přístupových práv pro libovolné řízení popsán maticí, jejíž řádky obsahují seznam objektů a sloupce obsahují objekty. V buňkách umístěných v průsečíku řádků a sloupců se zaznamenávají přístupové metody platné pro subjekt ve vztahu k objektu (například čtení, zápis, provádění, schopnost přenášet práva na jiné subjekty atd.).

Je zřejmé, že přímé zobrazení takové matrice je nemožné, protože je velmi velké a řídké (to znamená, že většina buněk v ní je prázdná). V operačních systémech je kompaktnější znázornění přístupové matice založeno buď na strukturování souboru subjektů (například vlastník / skupina / jiný), nebo na mechanismu seznamů řízení přístupu, tj. v maticovém pohledu podle sloupců, kdy jsou pro každý objekt uvedeny objekty spolu s jejich přístupovými právy. Prostřednictvím použití metaznaků je možné kompaktně popsat skupiny subjektů, čímž se udržují velikosti seznamů řízení přístupu v rozumných mezích.

Většina operačních systémů a systémů pro správu databází implementuje libovolné řízení přístupu. Jeho hlavní výhodou je flexibilita, hlavními nevýhodami jsou distribuce kontroly a komplexnost centralizovaného řízení, jakož i izolace přístupových práv z dat, což umožňuje kopírování tajných informací do veřejně přístupných souborů.


border=0


1.2. Zabezpečení opakovaného použití objektů je důležitým doplňkem kontroly přístupu v praxi, který chrání před náhodným nebo záměrným vyhledáním.
tajné informace z "odpadků". Zabezpečení opětovného použití musí být zaručeno pro oblasti paměti RAM (zejména pro vyrovnávací paměti s obrazovkami, dekódovaná hesla atd.), Pro diskové bloky a magnetická média obecně.

1.3. Štítky zabezpečení jsou přidruženy k objektům a objektům k implementaci vynuceného řízení přístupu. Štítek předmětu popisuje jeho spolehlivost, označení předmětu - stupeň blízkosti informací v něm obsažených.

Podle „Oranžové knihy“ se bezpečnostní štítky skládají ze dvou částí - úrovně utajení a seznamu kategorií. Úroveň utajení, kterou systém udržuje, tvoří uspořádanou množinu, která může vypadat například takto:

• přísně tajné;

• tajemství;

• důvěrné;

• nezařazeno.

Hlavním problémem, který je třeba řešit ve spojení se značkami, je zajištění jejich integrity.

Za prvé by neměly být žádné neznačené předměty a objekty, jinak by se v bezpečnostní značce objevily snadno používané mezery. Za druhé, pro všechny operace s datovými štítky musí zůstat správné.

Jedním z prostředků pro zajištění integrity bezpečnostních štítků je oddělení zařízení na víceúrovňové a jednoúrovňové. Víceúrovňová zařízení mohou ukládat informace různých úrovní utajení (přesněji řečeno, leží v určitém rozsahu úrovní). Jednoúrovňové zařízení lze považovat za degenerovaný případ víceúrovňového zařízení, když přípustný rozsah sestává z jedné úrovně. Pokud znáte úroveň zařízení, systém může rozhodnout, zda je možné zaznamenávat informace o něm se specifickým štítkem. Pokus o tisk informací o tajných informacích na sdílené tiskárně s tajnou úrovní se nezdaří.



1.4. Řízení vynuceného přístupu je založeno na přizpůsobení bezpečnostních štítků subjektu a objektu. Tato metoda řízení přístupu se nazývá vynucená, protože nezávisí na vůli subjektů (i systémových administrátorů). Subjekt může číst informace z objektu, pokud úroveň utajení objektu není nižší než úroveň objektu a všechny kategorie uvedené v popisku zabezpečení objektu jsou přítomny v označení objektu. V tomto případě je řečeno, že návěští objektu dominuje na štítku objektu. Význam formulovaného pravidla je jasný: můžete číst jen to, co je nezbytné.

Subjekt může do objektu zapisovat informace, pokud na štítku objektu dominuje bezpečnostní štítek objektu. Zejména důvěrný subjekt může psát do tajných souborů, ale nemůže - v neklasifikovaných případech (samozřejmě, že omezení množiny kategorií by měla být také splněna).

Poté, co jsou pevné štítky objektů a objektů opraveny, jsou také opravena přístupová práva. Pokud jde o nucené řízení, není možné vyjádřit větu „umožnit přístup k objektu X také pro uživatele Y“. Samozřejmě můžete změnit bezpečnostní štítek uživatele Y, ale pak s největší pravděpodobností získá přístup k mnoha dalším objektům, nejen X.

Nucená kontrola přístupu je implementována v mnoha variantách operačních systémů a DBMS, charakterizovaných zvýšenými bezpečnostními opatřeními. Bez ohledu na praktické využití jsou zásady nucené kontroly vhodnou metodickou základnou pro počáteční klasifikaci informací a distribuci přístupových práv. Je výhodnější navrhovat, pokud jde o úroveň a kategorie soukromí, než vyplnit nestrukturovanou přístupovou matici. V praxi je libovolné a vynucené řízení přístupu kombinováno v rámci jediného systému, který umožňuje využití silných stránek obou přístupů.

Pokud bezpečnostní systém chápete úzce, tj. jako pravidla kontroly přístupu je mechanismus odpovědnosti doplňkem tohoto systému. Účelem odpovědnosti je v každém okamžiku vědět, kdo pracuje v systému a co dělá. Způsoby odpovědnosti jsou rozděleny do tří kategorií:

• identifikace a autentizace;

• poskytování spolehlivé cesty;

• analýza registračních informací.
Zvažte tyto kategorie podrobněji.
Identifikace a autentizace. Než se dostanete

právo provádět jakékoli akce v systému, každý uživatel se musí identifikovat. Obvyklou metodou autentizace je zadání uživatelského jména při přihlášení. Systém musí následně ověřit pravost identity uživatele, tj. že je přesně tím, kým tvrdí, že je. Standardním prostředkem autentizace (autentizace) je heslo, i když v zásadě mohou být použity i různé osobní karty, biometrická zařízení (rohovka nebo skenování otisků prstů) nebo jejich kombinace.

Poskytování spolehlivé cesty. Spolehlivá cesta spojuje uživatele přímo se spolehlivou výpočetní základnou, obchází ostatní potenciálně nebezpečné komponenty systému. Účelem poskytnutí spolehlivé cesty je poskytnout uživateli možnost ověřit si pravost systému, který mu slouží. Úkol poskytovat spolehlivou cestu je nesmírně obtížný, pokud uživatel komunikuje s inteligentním terminálem, osobním počítačem nebo pracovní stanicí, protože je obtížné zajistit, aby uživatel komunikoval se skutečným programem přihlášení, a nikoli s trojským koněm.

Analýza registračních informací - audit se zabývá akcemi (událostmi) ovlivňujícími bezpečnost systému. Tyto události zahrnují:

• přihlášení (úspěšné nebo ne);

• odhlášení;

• přístup ke vzdálenému systému;

• operace se soubory (otevření, zavření, přejmenování, odstranění
nalít);

• změna oprávnění nebo jiných bezpečnostních atributů (režim přístupu, úroveň důvěryhodnosti uživatele atd.).

Úplný seznam událostí, které mohou být předmětem registrace, závisí na zvoleném bezpečnostním systému a na specifikách EIS. Protokolování pomáhá sledovat uživatele a navrhovat minulé události. Rekonstrukce akcí umožňuje analyzovat případy porušení, pochopit, proč je to možné, posoudit rozsah škod a přijmout opatření k zabránění podobným porušením v budoucnu. Při protokolování události jsou zaznamenány následující informace:

• datum a čas konání akce;

• jedinečný identifikátor uživatele, který akci inicioval;

• typ události;

• výsledek akce (úspěch nebo neúspěch);

• zdroj požadavku (například název terminálu);

• názvy dotčených objektů (například otevírané nebo odstraněné soubory);

• Popis změn provedených v databázích zabezpečení (například nový bezpečnostní štítek objektu);

• bezpečnostní štítky subjektů a objektů události.

Je třeba zdůraznit důležitost nejen shromažďování informací, ale i pravidelné a cílené analýzy. Z hlediska analýzy je příznivé postavení obsazeno auditem DBMS,
vzhledem k tomu, že na registrační informace lze přirozeně použít libovolné dotazy SQL. V důsledku toho je možné pro detekci podezřelých akcí použít komplexní heuristiku.

2. Systém ochrany záruky

Záruka - „míra důvěry, kterou lze poskytnout architektuře a implementaci systému. Záruka může vzniknout jak při testování, tak při ověřování (formálním či nikoli) celkového návrhu a provedení systému jako celku a jeho součástí. Záruka ukazuje, jak správné jsou mechanismy zodpovědné za realizaci zvoleného konceptu bezpečnosti. Záruku lze považovat za pasivní součást ochrany, která dohlíží na samotné obránce “[12].

Záruka je mírou důvěry, s níž lze argumentovat, že pro implementaci formulovaného bezpečnostního konceptu byl zvolen vhodný soubor nástrojů a že každý z těchto nástrojů správně hraje svou přiřazenou úlohu. Oranžová kniha pojednává o dvou typech záruk - provozních a technologických. Provozní záruka se vztahuje na architektonické a implementační aspekty systému, a to technologicky - na metody výstavby a údržby.

2.1. Provozní záruka je způsob, jak zajistit, aby architektura systému a jeho implementace skutečně prosazovaly zvolený koncept zabezpečení a zahrnovaly ověření následujících prvků:

• architektura systému;

• integrita systému;

• analýza tajných přenosových kanálů informací;

• spolehlivá správa;

• spolehlivé zotavení po havárii.

Architektura systému by měla usnadnit provádění bezpečnostních opatření nebo je přímo podporovat. Příklady takových architektonických řešení v rámci hardwaru a operačního systému jsou oddělení příkazů podle úrovní oprávnění, ochrana různých procesů od vzájemného ovlivňování tím, že se každému virtuálnímu prostoru přidělí každá z nich a speciální ochrana jádra OS. Bezpečnostní opatření v zásadě nemusí být předem zabudována do systému - základní možnost dodatečné instalace ochranných produktů spolehlivosti komponentů je dostatečná.

Integrita systému v této souvislosti znamená, že hardwarové a softwarové komponenty spolehlivé výpočetní základny fungují správně a že existuje hardware a software pro pravidelné kontroly integrity.

Analýza tajných kanálů pro přenos informací je tématem specifickým pro režimové systémy, kdy hlavní je zajistit důvěrnost informací. Tajemství je kanál přenosu informací, který není určen pro běžné použití. Obvykle se tajné kanály nepoužívají tolik k přenosu informací od jednoho útočníka k jinému, ale spíše k tomu, aby útočník získal informace z trojského koně vloženého do systému.

Spolehlivá správa při interpretaci „Oranžové knihy“ znamená, že musí být logicky rozlišeny tři role - správce systému, provozovatel systému a správce zabezpečení. Fyzicky mohou tyto povinnosti vykonávat jedna osoba, ale v souladu se zásadou minimalizace privilegií v každém časovém bodě musí plnit pouze jednu ze tří rolí. Konkrétní soubor povinností pro administrátory a operátory závisí na specifikách organizace.

Spolehlivá obnova po selhání je metoda zaručující záruku, že by měla být zachována integrita informací, zejména integrita bezpečnostních štítků. Spolehlivé využití zahrnuje dva typy činností - přípravu na havárii (selhání) a obnovu. Příprava na havárii je pravidelné provádění záloh a vytváření akčních plánů v případě nouze a udržování rezerv záložních komponent. Obnovení je pravděpodobně způsobeno restartem systému a opravami a / nebo administrativními postupy.

2.2. Technologická záruka pokrývá celý životní cyklus systému, tzn. etap navrhování, provádění, testování, provádění a údržby. Všechny uvedené akce by měly být prováděny v souladu s přísnými normami, aby byly chráněny před únikem informací a nezákonnými „záložkami“.

Kritéria stanovená v „Oranžové knize“ umožnila odborníkům řadit informační systémy pro ochranu informací podle stupně spolehlivosti. Tento dokument identifikuje čtyři úrovně bezpečnosti (spolehlivost) - D, C, B a A. Úroveň D je určena pro systémy, které jsou považovány za neuspokojivé. V současné době obsahuje dva podsystémy řízení přístupu. Jako přechod z úrovně C na A na spolehlivost systémů jsou stanoveny přísnější požadavky. Úrovně C a B jsou rozděleny do tříd (Cl, C2, Bl, B2, OT) s postupným zvyšováním spolehlivosti. Celkem tedy existuje šest bezpečnostních tříd - C1, C2, B1, B2, VZ, A1. Aby systém byl v důsledku certifikačního postupu přiřazen určité třídě, musí jeho bezpečnostní koncepce a záruka splňovat vyvinutý systém požadavků odpovídající této třídě.

Harmonizovaná kritéria evropských zemí (ITSEC) \ t

V návaznosti na cestu integrace přijaly evropské země dohodnutá (harmonizovaná) kritéria pro hodnocení bezpečnosti informačních technologií ( Kritéria hodnocení bezpečnosti informačních technologií, ITSEC), publikovaná v červnu 1991 jménem příslušných orgánů ve čtyřech zemích - Francii, Německu, Nizozemsku a Spojeném království.

Zásadně důležitým rysem evropských kritérií je absence a priori požadavků na podmínky, za kterých by informační systém měl fungovat. Organizace, která žádá o certifikační služby, formuluje účel posouzení, tj. popisuje podmínky, za kterých by měl systém fungovat, možné hrozby pro jeho bezpečnost a ochranné funkce, které poskytuje. Úkolem certifikačního orgánu je posoudit, jak jsou cíle naplňovány vyvinutými funkcemi, tzn. jak správná a efektivní je architektura a implementace bezpečnostních mechanismů za podmínek popsaných vývojářem.

V terminologii Oranžové knihy se tedy evropská kritéria týkají posouzení míry zajištění bezpečného provozu navrženého systému.

Evropská kritéria berou v úvahu následující základní pojmy, které tvoří základ bezpečnosti informací:

• důvěrnost, tj. ochrana proti neoprávněnému přijímání informací;

• integrita, tj. ochrana před neoprávněnými změnami informací;

• dostupnost, tj. ochranu před neoprávněným uchováváním informací a zdrojů.

V evropských kritériích se navrhuje, aby nástroje týkající se bezpečnosti informací byly posuzovány ve třech úrovních podrobnosti. Nejvíce abstraktní pohled se týká pouze bezpečnostních cílů. Na této úrovni je odpověď na otázku: proč potřebujeme bezpečnostní prvky? Druhá úroveň obsahuje specifikace bezpečnostních funkcí, tj. Odhaluje, jaký typ funkce je skutečně poskytován. Třetí úroveň obsahuje informace o bezpečnostních mechanismech, které ukazují, jak je tato funkce implementována.