Политика безопасности должна включать следующие элементы
1. Произвольное управление доступом
Это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую этот субъект входит.
Произвольность управления состоит в том, что некое лицо (владелец объекта) может по своему усмотрению давать или забирать другим субъектам права доступа к объекту.
Текущее состояние прав доступа при произвольном управлении описывается матрицей. Строка, в которой перечислены субъекты, а в столбцах – объекты. В клетках на пересечении – способы доступа, допустимые для субъекта по отношению к объекту (чтение, запись, воспроизведение…). Большинство ОС и СУБД реализуют именно произвольное управление доступом. Главное достоинство – гибкость, недостатки – рассредоточенность управления и сложность централизованного контроля, оторванность прав доступа от данных, что позволяет копировать секредоступную информацию в общедоступном файле.
2. Безопасность повторного использования объектов
Это дополнение средств урпавления доступом предназнач для случайного или преднамеренного извлечения информации из «мусора». Должна гарантироваться для областей оперативной памяти, для дисковых блоков, магнитных носителей. Пользователя покидающего организацию, необходимо лишить не только прав доступа к системе, но и лишить доступа ко всем объектам.
3. Метки безопасности
Для организации принудительного управления доступом субъектам и объектам используются метки безопасности. Метка субъекта описывает его благонадежность. Метка объекта – степень секретности сокрытой в ней информации.
В оранжевой книге метки безопасности состоят из 2х частей:
- Уровень секретности
Уровни секретности, поддерживаемые системой, образую упорядоченное множество, которое может выглядеть например так: Совершенно секретно, Секретно, Конфиденциально, Не секретно.
- Список категорий
Категории образую неупорядоченный набор. Их назначение – описать предметную область, к которой относятся данные. Механизм категорий позволяет разделить информацию «по отсекам», что способствует лучшей защищенности. Субъект не может получить доступ к «чужим» категориям, даже если имеет высший уровень благонадежности Совершенно секретно.
4. Принудительное управление доступом
Лекция 3
Главная проблема, которую необходимо решать с метками - обеспечение их целостности:
1. Не достаточно неотмеченных объектов и субъектов
2. При любых операциях с данными метки должны оставаться неизменными
Принцип минимизации привилегий – самое разумное средство защиты.
Г – сопоставление меток объектов и субъектов
Субъект (пользователь) – может читать информацию из объекта. Если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта присутствуют в метке субъекта. Метка субъекта доминирует над меткой объекта. Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой объекта. В частности конфиденциальный субъект может писать в секретные, но не может в несекретные.
Данный способ управления доступом является принудительным, так как не зависит от воли субъекта. Г реализовано во многих вариантах ОС и СУБД, отличающихся повышенными мерами безопасности.
Классы безопасности:
------>
D C B A
Уровень D – для систем, признанных неудовлетворительными. В данный момент он пуст.
По мере перехода от C к A уровень надежности возрастает. (К надежности систем предъявляются более высокие требования). Уровни С и В подразделяются на классы (С1, С2….В1, В2) с постепенным увеличением степени надежности.
Коротко классификацию в оранжевой книге определяют:
С – произвольное управление доступом
В – принудительное управление доступом
А – верифицируемая безопасность
Критерии оценки безопасности – общие критерии (ОК) – критерии 1991 года.
ОК являются метостандартом, определяющим инструменты оценки безопасности ИС и порядок их использования.
В отличие от оранжевой книги ОК не содержит предопределенных классов безопасности. Такие классы можно строить исходя из требований безопасности, существующих для конкретной организации.
С программной точки зрения ОК можно считать набором библиотек для написания “содержательных программ” (типовые профили защиты и так далее). Как и оранжевая книга ОК содержит 2 основных требования безопасности:
- функциональное (активный аспект защиты) предъявляемый к функциям безопасности и реализующим их механизмам
- требования доверия (пассивный аспект) предъявляемой к процессу разработки и к процессу эксплуатации
Безопасность в общих критериях рассматривается не статично, а с точки зрения жизни ИС.
Этапы жизненного цикла:
1. Определение назначения узлов применения, целей и требований безопасности
2. Проектирование и разработка
3. Испытание, оценка, сертификация.
4. Внедрение, эксплуатация
В ОК объект оценки рассматривается в контексте среды безопасности, характеризующийся определенными условиями и угрозами.
Угрозы характеризуются:
- источник угрозы
- метод воздействия
- уязвимые места
- ресурсы (активы), которые могут пострадать.
Уязвимые места могут возникнуть из-за недостатков требований к безопасности, проектировании, эксплуатации
Следующие места по возможности надо устранить, минимизированть ущерб от из преднамеренного использования и случайной активации.
В ОК введена иерархия:
Класс – семейство – компонент – элемент.
Классы определяют наиболее “общую” предметную группировку требований.
Семейство в пределах класса различаются по строгости и другим нюансам.
Компонент – минимальный набор требований, фигурирующий как целое.