Огляд безпеки

Важливим засобом забезпечення безпеки є механізм підзвітності (протоколювання). Довірена система повинна фіксувати всі події, що стосуються безпеки. Ведення протоколів повинно доповнюватися аудитом, тобто аналізом реєстраційної інформації.

Концепція довіреної обчислювальної бази є центральною при оцінці ступеня довіри безпеки. Довірена обчислювальна база - це сукупність захисних механізмів ІС (включаючи апаратне і програмне забезпечення), що відповідають за проведення в життя політики безпеки. Якість обчислювальної бази визначається виключно її реалізацією і коректністю вихідних даних, які вводить системний адміністратор.

Взагалі кажучи, компоненти поза обчислювальної бази можуть не бути довіреними, однак це не повинно впливати на безпеку системи в цілому. В результаті, для оцінки довіри безпеки ІС досить розглянути тільки її обчислювальну базу, яка, як можна сподіватися, достатньо компактна.

Основне призначення довіреної обчислювальної бази - виконувати функції монітора звернень, тобто контролювати допустимість виконання суб'єктами (активними сутностями ІС, які діють від імені користувачів) певних операцій над об'єктами (пасивними сутностями). Монітор перевіряє кожне звернення користувача до програм або даних на предмет узгодженості з набором дій, допустимих для користувача.

Монітор звернень повинен володіти трьома якостями:

1. Ізольованість. Необхідно попередити можливість відстеження роботи монітора.

2. Повнота. Монітор повинен викликатися при кожному зверненні, не повинно бути способів обійти його.

3. Верифікованість. Монітор повинен бути компактним, щоб його можна було проаналізувати і протестувати, будучи впевненим в повноті тестування.

Реалізація монітора звернень називається ядром безпеки. Ядро безпеки - це основа, на якій будуються всі захисні механізми. Крім перерахованих вище властивостей монітора звернень, ядро ​​повинно гарантувати власну незмінність.

Кордон довіреної обчислювальної бази називають периметром безпеки. Як вже вказувалося, компоненти, лежачі поза периметром безпеки, взагалі кажучи, можуть не бути довіреними. З розвитком розподілених систем поняттю "периметр безпеки" все частіше надають інший сенс, маючи на увазі кордон володінь певної організації. Те, що знаходиться всередині володінь, вважається довіреною, а те, що поза, - немає.

Механізми безпеки згідно "Помаранчевої книги", політика безпеки повинна обов'язково включати в себе наступні елементи:

• довільне керування доступом;

• безпеку повторного використання об'єктів;

• мітки безпеки;• примусове управління доступом.

Довільне керування доступом (зване іноді дискреційним) - це метод розмежування доступу до об'єктів, заснований на обліку особистості суб'єкта або групи, в яку суб'єкт входить. Довільність управління полягає в тому, що деякий особа (зазвичай власник об'єкта) може на власний розсуд надавати іншим суб'єктам або відбирати у них права доступу до об'єкта.

Безпека повторного використання об'єктів - важливе доповнення коштів управління доступом, що охороняє від випадкового або навмисного вилучення конфіденційної інформації з "сміття". Безпека повторного використання повинна гарантуватися для областей оперативної пам'яті (зокрема, для буферів з образами екрану, розшифрованими паролями і т.п.), для дискових блоків і магнітних носіїв в цілому.

Для реалізації примусового управління доступом з суб'єктами і об'єктами асоціюються мітки безпеки. Мітка суб'єкта описує його благонадійність, мітка об'єкта - ступінь конфіденційності міститься в ньому інформації.

Згідно "Помаранчевої книги", мітки безпеки складаються із двох частин - рівня таємності і списку категорій. Рівні секретності утворюють впорядковану безліч, категорії - невпорядковане. Призначення останніх - описати предметну область, до якої відносяться дані.

Примусове (або мандатне) управління доступом засноване на зіставленні міток безпеки суб'єкта й об'єкта.

Суб'єкт може читати інформацію з об'єкта, якщо рівень секретності суб'єкта не нижче, ніж в об'єкта, а всі категорії, перераховані в мітці безпеки об'єкта, присутні в мітці суб'єкта. У такому випадку говорять, що мітка суб'єкта домінує над міткою об'єкта. Сенс сформульованого правила зрозумілий - читати можна тільки те, що належить.

Суб'єкт може записувати інформацію в об'єкт, якщо мітка безпеки об'єкта домінує над міткою суб'єкта. Зокрема, "конфіденційний" суб'єкт може записувати дані в секретні файли, але не може - в несекретні (зрозуміло, повинні також виконуватися обмеження на набір категорій).Описаний спосіб управління доступом називається примусовим, оскільки він не залежить від волі суб'єктів (навіть системних адміністраторів). Після того, як зафіксовані мітки безпеки суб'єктів і об'єктів, виявляються зафіксованими і права доступу.

Якщо розуміти політику безпеки вузько, тобто як правила розмежування доступу, то механізм підзвітності є доповненням подібної політики. Мета підзвітності - в кожен момент часу знати, хто працює в системі і що робить. Засоби підзвітності діляться на три категорії:

• ідентифікація і автентифікація;

• надання довіреної шляху;

• аналіз реєстраційної інформації.

Звичайний спосіб ідентифікації - введення імені користувача при вході в систему. Стандартний засіб перевірки автентичності (аутентифікації) користувача - пароль.

Довірений шлях пов'язує користувача безпосередньо з довіреної обчислювальної базою, минаючи інші, потенційно небезпечні компоненти ІС. Мета надання довіреної шляху - дати користувачеві можливість переконатися в достовірності обслуговуючої його системи.

Аналіз реєстраційної інформації (аудит) має справу з діями (подіями), так чи інакше зачіпають безпеку системи.

Якщо фіксувати всі події, обсяг реєстраційної інформації, швидше за все, буде рости занадто швидко, а її ефективний аналіз стане неможливим. "Помаранчева книга" передбачає наявність засобів вибіркового протоколювання, як щодо користувачів (уважно стежити тільки за підозрілими), так і у відношенні подій.

Переходячи до пасивних аспектам захисту, зазначимо, що в "Помаранчевій книзі" розглядається два види гарантованості - операційна і технологічна. Операційна гарантованість відноситься до архітектурних і реалізаційними аспектам системи, в той час як технологічна - до методів побудови і супроводу.

Операційна гарантованість включає в себе перевірку наступних елементів:

• архітектура системи;

• цілісність системи;

• перевірка таємних каналів передачі інформації;

• довірена адміністрування;

• довірена відновлення після збоїв.

Операційна гарантованість - це спосіб переконатися в тому, що архітектура системи та її реалізація дійсно реалізують обрану політику безпеки.

Технологічна гарантованість охоплює весь життєвий цикл ІС, тобто періоди проектування, реалізації, тестування, продажу та супроводу. Всі перераховані дії повинні виконуватися відповідно до жорсткими стандартами, щоб виключити витік інформації і нелегальні "закладки".

Безпечна інформаційна система - це система, яка, по-перше, захищає дані від несанкціонованого доступу, по-друге, завжди готова надати їх своїм користувачам, по-третє, надійно зберігає інформацію і гарантує незмінність даних. Таким чином, безпечна система по визначенню має властивості конфіденційності, доступності та цілісності.

Конфіденційність - гарантія того, що секретні дані будуть доступні тільки тим користувачам, яким цей доступ дозволений (такі користувачі називаються авторизованого).Доступність - гарантія того, що авторизовані користувачі завжди одержать доступ до даних.

Цілісність - гарантія збереження даними правильних значень, яка забезпечується забороною для неавторизованих користувачів будь-яким чином змінювати, модифікувати, руйнувати або створювати дані.

Вимоги безпеки можуть змінюватися в залежності від призначення системи, характер використовуваних даних і типу можливих загроз. Важко уявити систему, для якої були б не важливі властивості цілісності і доступності, але властивість конфіденційності не завжди є обов'язковим.

Поняття конфіденційності, доступності та цілісності можуть бути визначені не тільки по відношенню до інформації, але й до інших ресурсів обчислювальної мережі, напри-мер зовнішніх пристроїв чи додатків. Існує безліч системних ресурсів, можливість «незаконного» використання яких може призвести до порушення безпеки системи. Доступ до пристрою мають ті і тільки ті користувачі, яким цей доступ дозволений, при-ніж вони можуть виконувати лише ті операції з пристроєм, які для них визначені. Властивість доступності пристрою означає його готовність до використання всякий раз, коли в цьому виникає необхідність, а властивість цілісності може бути визначене як властивість незмінності параметрів налаштування даного пристрою.

Важливим для розуміння подальших визначень є такі поняття, як об'єкт, суб'єкт, доступ.

Об'єкт - пасивний компонент системи, який зберігає, приймає або передає інформацію.

Суб'єкт - активний компонент системи, зазвичай представлений у вигляді користувача, процесу або пристрою, якому може знадобитися звернення до об'єкту або системи.

Доступ - взаємодія між суб'єктом і об'єктом, що забезпечує передачу інформації між ними, або зміна стану системи.

Доступ до інформації - забезпечення суб'єкту можливості ознайомлення з інформацією та її обробки, зокрема, копіювання, модифікації або знищення інформації.

Ідентифікація - привласнення суб'єктам і об'єктам доступу унікального ідентифікатор у вигляді номера, шифру, коду і т.п. з метою отримання доступу до інформації.

Аутентифікація - перевірка достовірності суб'єкта по пред'явленому їм ідентифікатор для прийняття рішення про надання йому доступу до ресурсів системи.

Загроза - будь-яка дія, спрямоване на порушення конфіденційності, цілісності та / або доступності інформації, а також на нелегальне використання інших ресурсів інформаційної системи (ІС).Уразливість інформації - можливість виникнення на якомусь етапі життєвого циклу автоматизованої системи такого її стану, при якому створюються умови для реалізації загроз безпеці інформації.

Атака - реалізована загроза.

Ризик - це імовірнісна оцінка величини можливого збитку, який може понести власник інформаційного ресурсу в результаті успішно проведеної атаки. Значення ризику тим вище, чим більш вразливою є існуюча система безпеки і чим вище ймовірність реалізації атаки.

Спочатку захищена інформаційна технологія - інформаційна технологія, яка спочатку містить всі необхідні механізми для забезпечення необхідного рівня захисту інформації.

Якість інформації - сукупність властивостей, що обумовлюють придатність інформації задовольняти певні потреби відповідно до її призначення.