Концепция безопасности

Концепция безопасности (КБ)разрабатываемой системы — набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. КБ включает в себя анализ возможных угроз и выбор мер противодействия. Система защиты должна реализовывать КБ. В зависимости от сформулированной концепции выбираются конкретные механизмы, обеспечивающие безопасность системы.

Согласно «Оранжевой книге» КБ надежной системы должна включать в себя следующие механизмы обеспечения безопасности:

· произвольное управление доступом;

· безопасность повторного использования объектов;

· метки безопасности;

· принудительное управление доступом.

1. Произвольное управление доступом состоит в том, что некоторое лицо, имеющее требуемые полномочия, может по своему усмотрению давать другому субъекту (или группе субъектов) или отбирать у него права доступа к объекту. Произвольное управление доступом реализовано в большинстве операционных систем и СУБД. Главное достоинство механизма — гибкость. Недостатки — рассредоточенность управления, сложность централизованного контроля, «оторванность» прав доступа от собственно данных, в результате чего можно копировать секретную информацию в несекретные файлы.

2. Безопасность повторного использования объектов — обеспечение удаление защищаемой информации из объектов после прекращения их использования. Это условие должно в первую очередь выполняться для блоков памяти, как оперативной, так и постоянной.

3. Метки безопасности — метаинформация, ассоциируемая с субъектами и объектами системы для реализации механизма принудительного управления доступом и авторизации вообще. Метка субъекта описывает его благонадежность, метка объекта — степень закрытости содержащейся в нем информации. Метки состоят из двух частей: уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, которое может выглядеть так:

· совершенно секретно;

· секретно;

· конфиденциально;

· несекретно.

Список категорий содержит перечень ролей субъекта или перечень функциональных принадлежностей объекта. Например, для корпоративной ИС все объекты и субъекты могут быть проклассифицированы в зависимости от принадлежности к подсистемам, обеспечивающим работу некоторого подразделения. Тогда метка объекта может иметь вид: «Уровень секретности = Конфиденциально. Категория = Отдел продаж».

4. Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Если метки удовлетворяют определенным правилам, то доступ разрешается. Основные правила проверки:

· список категорий субъекта и объекта должен совпадать (или, по крайней мере, пересечение списка категорий субъекта и объекта не должно быть пустым множеством);

· субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта;

· субъект может записывать информацию в объект, если уровень секретности субъекта не выше, чем у объекта; например, конфиденциальный субъект может печатать на секретном принтере, но может печатать на несекретном.

Фиксация меток безопасности определяет и права доступа. При использовании принудительного управления нельзя разрешать доступ на уровне конкретного объекта X и субъекта Y. Например, соответствующее изменение метки безопасности субъекта Y скорее всего обеспечит доступ не только к X, но и другим объектам. Главная проблема поддержки принудительного управления — обеспечение целостности меток. Не должно быть непомеченных объектов и субъектов. В результате любых операций метки должны получать корректные значения.

Помимо рассмотренных механизмов, КБ должна предусматривать организацию:

1. идентификации и аутентификации;

2. предоставления надежного пути;

3. анализа журналов событий системы.

Предоставление надежного пути состоит в предоставлении пользователю средства проверки, что он обслуживается подлинной системой, а не «троянским конем». Надежный путь связывает пользователя с надежным ядром системы, минуя другие, потенциально опасные компоненты.

В «Оранжевой книге подчеркивается важность не только сбора информации, но и ее регулярного и целенаправленного анализа.