Опубликован: 01.04.2003 | Уровень: для всех | Доступ: платный
Лекция 5:

Стандарты и спецификации в области информационной безопасности

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >
Аннотация: Дается обзор международных и национальных стандартов и спецификаций в области ИБ - от "Оранжевой книги" до ISO 15408. Демонстрируются как сильные, так и слабые стороны этих документов.
Ключевые слова: реализация, доверенная система, степень доверия, оранжевая книга, безопасная система, политика безопасности, уровень гарантированности, тестирование, подотчетность, аудит, доверенная вычислительная база, монитор обращений, изолированность, полнота, верифицируемость, ядро безопасности, периметр безопасности, произвольное (дискреционное) управление доступом, безопасность повторного использования объектов, метки безопасности, принудительное (мандатное) управление доступом, владелец объекта, идентификация, аутентификация, предоставление доверенного пути, регистрационная информация, выборочное протоколирование, операционная гарантированность, технологическая гарантированность, сопровождение, целостная система, тайный канал передачи информации, восстановление после сбоя, жизненный цикл ИС, проектирование, продажа, ранжирование, класс безопасности, системная документация, изоляция процессов, разделение адресных пространств, формальная модель, конфигурационное управление, списки управления доступом, администратор безопасности, формальные спецификации верхнего уровня, формальная спецификация, верификация, сервис безопасности, маскарад, нарушение целостности, эталонная семиуровневая модель, избирательная конфиденциальность, конфиденциальность трафика, целостность с восстановлением, управление безопасностью, криптографические средства, распределение информации, дополнение трафика, управление маршрутизацией, нотаризация, ПО, общие критерии, оценка безопасности, инструментарий, требования безопасности, профиль защиты, задание по безопасности, межсетевой экран, множества, класс защиты, функциональные требования, очередь, требования доверия, цель оценки, архитектура, конфигурация, оценка продукта, объект, управление доступом, базовая, жизненный цикл, интерпретация, минимум, безопасность, уязвимость, прямой, сеть, объединение, протоколирование, C2, поддержка, устойчивость к отказам, конфиденциальность, целостность, сетевой сервис, пропускная способность, запрос удаления, ресурс, доступ, компонент, защита коммуникаций, деятельность, АС, класс, иерархия, группа, пользователь, права, информация, право доступа, субъект доступа, отношение, пункт

Оценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт

Основные понятия

Мы приступаем к обзору стандартов и спецификаций двух разных видов:

  • оценочных стандартов, направленных на классификацию информационных систем и средств защиты по требованиям безопасности;
  • технических спецификаций, регламентирующих различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.

Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем ".

Данный труд, называемый чаще всего по цвету обложки "Оранжевой книгой", был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах, то есть системах, которым можно оказать определенную степень доверия.

"Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, с помощью соответствующих средств, доступом к информации так, что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию".

Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

В "Оранжевой книге" доверенная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".

Обратим внимание, что в рассматриваемых Критериях и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности "Оранжевая книга" не затрагивает.

Степень доверия оценивается по двум основным критериям.

  1. Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь может оперировать конкретными наборами данных. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности - это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.
  2. Уровень гарантированности - мера доверия, которая может быть оказана архитектуре и реализации ИС. Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки (формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты.

Важным средством обеспечения безопасности является механизм подотчетности (протоколирования). Доверенная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.

Концепция доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база - это совокупность защитных механизмов ИС (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Качество вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит системный администратор.

Вообще говоря, компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС достаточно рассмотреть только ее вычислительную базу, которая, как можно надеяться, достаточно компактна.

Основное назначение доверенной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами (активными сущностями ИС, действующими от имени пользователей) определенных операций над объектами (пассивными сущностями). Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя.

Монитор обращений должен обладать тремя качествами:

  1. Изолированность. Необходимо предупредить возможность отслеживания работы монитора.
  2. Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его.
  3. Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.

Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.

Границу доверенной вычислительной базы называют периметром безопасности. Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными. С развитием распределенных систем понятию "периметр безопасности" все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, - нет.

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >
Александр Солошенко
Александр Солошенко

В курсе "Основы информационной безопасности" в лекции 3 "Наиболее распространенные угрозы", разделе "Вредоносное программное обеспечение" мне непонятно значение термина "интерпретируемые компоненты документа" в следующем контексте:

"Как уже говорилось, пассивные объекты отходят в прошлое; так называемое активное содержимое становится нормой. Файлы, которые по всем признакам должны были бы относиться к данным (например, документы в форматах MS-Word или Postscript, тексты почтовых сообщений), способны содержать интерпретируемые компоненты, которые могут запускаться неявным образом при открытии файла. Как и всякое в целом прогрессивное явление, такое "повышение активности данных" имеет свою оборотную сторону (в рассматриваемом случае - отставание в разработке механизмов безопасности и ошибки в их реализации). Обычные пользователи еще не скоро научатся применять интерпретируемые компоненты "в мирных целях" (или хотя бы узнают об их существовании), а перед злоумышленниками открылось по существу неограниченное поле деятельности. Как ни банально это звучит, но если для стрельбы по воробьям выкатывается пушка, то пострадает в основном стреляющий."

Что такое интерпретируемые компоненты по своей сути? Какие есть примеры?

Галина Касимова
Галина Касимова
Роман Ижванов
Роман Ижванов
Россия, Университет природы, общества и человека «Дубна»
Анастасия Шмакова
Анастасия Шмакова
Россия, Тольятти, ПВГУС, 2013