Основные критерии защищенности АС » Рефераты: скачать бесплатно рефераты на любую тему.

Основные критерии защищенности АС

Основные критерии защищенности АС.

1. Классификация систем защиты АС.

1.1. Руководящие документы государственной технической комиссии России

В 1992 г. Гостехкомиссия (ГТК) при Президенте Российской Федерации разработала и опубликовала пять руководящих документов, посвященных вопросам защиты информации в автоматизированных системах ее обработки. Основой этих документов является концепция защиты средств вычислительной техники (СВТ) и АС от несанкционированного доступа к информации, содержащая систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютерных систем. С точки зрения разработчиков данных документов, основная задача средств безопасности - это обеспечение защиты от несанкционированного доступа к информации. Определенный уклон в сторону поддержания секретности информации объясняется тем, что данные документы были разработаны в расчете на применение в информационных системах силовых структур РФ.

1.1.1 Структура требований безопасности

Руководящие документы ГТК состоят из пяти частей:

1. Защита от несанкционированного доступа к информации. Термины и определения.

2. Концепция защиты СВТ и АС от несанкционированного доступа (НСД) к информации.

3. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

4. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации.

5. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники.

Наибольший интерес представляют вторая, третья и четвертая части. Во второй части излагается система взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от НСД. Руководящие документы ГТК предлагают две группы требований к безопасности - показатели защищенности СВТ от НСД и критерии защищенности АС обработки данных. Первая группа позволяет оценить степень защищенности отдельно поставляемых потребителю компонентов АС и рассматривается в четвертой части, а вторая рассчитана на более сложные комплексы, включающие несколько единиц СВТ, и представлена в третьей части руководящих документов.

1.1.2. Основные положения концепции защиты СВТ и АС от НСД к информации

Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, используемых для обработки, хранения и передачи требующей защиты информации. Она является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач:

• выработка требований по защите СВТ и АС от НСД к информации;

• создание защищенных СВТ и АС, т.е. защищенных от НСД к информации;

• сертификация защищенных СВТ и АС.

Как уже было сказано выше, концепция предусматривает существование двух относительно самостоятельных направлений в проблеме защиты информации от НСД: направления, связанного с СВТ, и направления, связанного с АС. Различие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. В случае СВТ можно говорить лишь о защищенности (защите) СВТ от НСД к информации, для обработки, хранения и передачи которой СВТ предназначено. Примером СВТ можно считать специализированную плату расширения с соответствующим аппаратным и программным интерфейсом, реализующую функции аутентификации пользователя по его биометрическим характеристикам. Или к СВТ можно отнести программу прозрачного шифрования данных, сохраняемых на жестком диске.

При создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации. Типичным примером АС является многопользовательская, многозадачная ОС.

Для определения принципов защиты информации в руководящих документах ГТК дается понятие НСД к информации: НСД – доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС. В данном определении под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.

Понятие НСД является чрезвычайно важным, так как оно определяет, от чего сертифицированные по руководящим документам ГТК системы защиты АС и СВТ должны защищать информацию. Например, к НСД не отнесены разрушительные последствия стихийных бедствий, хотя они и представляют угрозу информации, в частности ее целостности и доступности.

К основным способам НСД относятся:

непосредственное обращение к объектам доступа (например, через получение программой, управляемой пользователем, доступа на чтение или запись, в файл);

создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты (например, используя люки, оставленные разработчиками системы защиты);

модификация средств защиты, позволяющая осуществить НСД (например, путем внедрения в систему защиты программных закладок или модулей, выполняющих функции "троянского коня");

внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД (например, путем загрузки на компьютер в обход штатной ОС иной ОС, не имеющей функций защиты).

Далее в руководящих документах ГТК представлены семь принципов защиты информации:

защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации;

защита СВТ обеспечивается комплексом программно-технических средств;

защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер;.

защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ;

программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС);

неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты;

защита АС должна предусматривать контроль эффективности средств защиты от НСД, который либо может быть периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами.

Несмотря на то, что угрозы информации могут реализовываться широким спектром способов, так или иначе изначальным источником всех угроз является человек или нарушитель. В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ и являющийся специалистом высшей квалификации, знающим все о АС и, в частности, о системе и средствах ее защиты.

В руководящих документах ГТК дается классификация нарушителя по уровню возможностей, предоставляемых ему штатными средствами АС и СВТ Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего. Выделяется четыре уровня этих возможностей.

Первый уровень определяет самый низкий уровень возможностей ведения диалога в AC - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации (в качестве примера АС, предоставляющей нарушителю описанный круг возможностей, можно привести систему обработки формализованных почтовых сообщений).

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации (например, в данном случае предполагается, что нарушитель может выступать в роли "обычного" пользователя ОС).

Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования (например, к данному классу относится нарушитель, внедривший в систему безопасности АС программную закладку).

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации (например, известны случаи, когда в АС внедрялись "временные бомбы", выводящие систему из строя по истечении срока гарантийного ремонта).

Кроме перечисленных выше понятий во второй части руководящих документов ГТК рассматриваются:

основные направления обеспечения защиты от НСД, в частности основные функции средств разграничения доступа (СРД) и обеспечивающих СРД средств;

основные характеристики технических средств защиты от НСД;

порядок организации работ по защите.

1.1.3. Показатели защищенности средств вычислительной техники от НСД

В ч.2 руководящих документов ГТК устанавливается классификация СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Показатели защищенности содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры компьютера). Конкретные перечни показателей определяют классы защищенности СВТ и описываются совокупностью требований. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).

По аналогии с критерием TCSEC, который будет рассмотрен далее. установлено семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый. Показатели защищенности и требования к классам приведены в табл.1.

Таблица 1

Показатель защищенности

Класс защищенности

Дискреционный принцип контроля доступа

Мандатный принцип контроля доступа

Очистка памяти

Изоляция модулей

Маркировка документов

Защита ввода и вывода на отчужденный физический носитель информации

Сопоставление пользователя с устройством

Идентификация и аутентификация

Гарантии проектирования

Регистрация

Взаимодействие пользователя с КСЗ

Надежное восстановление

Целостность КСЗ

Контроль модификации

Контроль дистрибуции

Гарантии архитектуры

Тестирование

Руководство пользователя

Руководство по КСЗ

Текстовая документация

Конструкторская (проектная) документация

Примечания. "-" – нет требований к данному классу; "+" – новые или дополнительные требования; "=" – требования совпадают с требованиями к СВТ предыдущего класса.

Важно отметить, что требования являются классическим примером применения необходимых условий оценки качества защиты, т.е. если какой-либо механизм присутствует, то это является основанием для отнесения СВТ к некоторому классу.

Интересно, что защищенные СВТ содержат разделение только по двум классам политик безопасности: дискреционной и мандатной.

Невлияние субъектов друг на друга описывается требованием "изоляция модулей" (требуется с 4-го класса). Гарантии выполнения политики безопасности коррелированны с требованием "целостность КСЗ" (требуется с 5-го класса) и "гарантии проектирования" (требуется также с 5-го класса).

1.1.4. Классы защищенности АС

В ч.З руководящих документов ГТК дается классификация АС и требований по защите информации в АС различных классов. При этом определяются:

1. Основные этапы классификации АС:

разработка и анализ исходных данных;

выявление основных признаков АС, необходимых для классификации;

сравнение выявленных признаков АС с классифицируемыми;

присвоение АС соответствующего класса защиты информации от НСД.

2. Необходимые исходные данные для классификации конкретной АС:

перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;

перечень лиц, имеющих доступ к штатным средствам АС с указанием их уровня полномочий;

матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;

режим обработки данных в АС.

3. Признаки, по которым производится группировка АС в различные классы:

наличие в АС информации различного уровня конфиденциальности;

уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации,

режим обработки данных в АС: коллективный или индивидуальный.

Документы ГТК устанавливают девять классов защищенности АС от НСД, распределенных по трем группам. Каждый класс характеризуется определенной совокупностью требований к средствам защиты. В пределах каждой группы соблюдается иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом NА, где N - номер группы (от 1 до 3). Следующий класс обозначается NB и т.д.

Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - ЗБ и ЗА.

Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и хранимой в АС на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права доступа. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.

В табл. 2 приведены требования к подсистемам защиты для каждого класса защищенности.

Таблица 2

Подсистемы защиты и требования к ним

Классы защищенности

ЗБ

ЗА

2Б

2А

1Д

1Г

1В

1Б

1А

1. Подсистема управления

доступом

1.1. Идентификация. Проверка подлинности и контроль доступа субъектов:

в систему

к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ

к программам

к томам, каталогам, файлам, записям, полям записей

1.2. Управление потоками информации

2. Подсистема регистрации и учета

2.1. Регистрация и учет:

входа/выхода субъектов доступа в/из системы (узла сети)

Подсистемы защиты и требования к ним

Классы защищенности

ЗБ

ЗА

2Б

2А

1Д

1Г

1В

1Б

1А

выдачи печатных (графических) выходных документов

запуска/завершения программ и процессов (заданий, задач)

доступа программ субъектов к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи

доступа программ субъектов, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, каталогам, файлам, записям, полям записей

изменения полномочий субъектов доступа

создаваемых защищаемых объектов доступа

2.2. Учет носителей информации

2.3. Очистка (обнуление, обезличивание) освобождаемых областей, оперативной памяти ЭВМ и внешних накопителей

2.4. Сигнализация попыток нарушения защиты

3. Криптографическая подсистема

3.1. Шифрование конфиденциальной информации

3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах

3.3. Использование аттестованных (сертифицированных) криптографических средств

4. Подсистема обеспечения целостности

4.1. Обеспечение целостности программных средств и обрабатываемой информации

4.2. Физическая охрана средств вычислительной техники и носителей информации

4.3. Наличие администратора (службы) защиты информации в АС

4.4. Периодическое тестирование СЗИ НСД

4.5. Наличие средств восстановления СЗИ НСД

4.6. Использование сертифицированных средств защиты

Примечания: "+" – требование к данному классу присутствует, в остальных случаях данное требование необязательно.

Рассмотренные выше документы ГТК необходимо воспринимать как первую стадию формирования отечественных стандартов в области информационной безопасности. На разработку этих документов наибольшее влияние оказал критерий TCSEC ("Оранжевая книга"), который будет рассмотрен ниже, однако это влияние в основном отражается в ориентированности этих документов на защищенные системы силовых структур и в использовании единой универсальной шкалы оценки степени защищенности.

К недостаткам руководящих документов ГТК относятся: ориентация на противодействие НСД и отсутствие требований к адекватности реализации политики безопасности. Понятие "политика безопасности" трактуется исключительно как поддержание режима секретности и отсутствие НСД. Из-за этого средства защиты ориентируются только на противодействие внешним угрозам, а к структуре самой системы и ее функционированию не предъявляется четких требований. Ранжирование требований по классам защищенности по сравнению с остальными стандартами информационной безопасности максимально упрощено и сведено до определения наличия или отсутствия заданного набора механизмов защиты, что существенно снижает гибкость требований и возможность их практического применения.

1.2. Критерии оценки безопасности компьютерных систем Министерства обороны США ("Оранжевая книга")

"Критерии оценки безопасности компьютерных систем" (Trusted Computer System Evaluation Criteria-TCSEC), получившие неформальное, но прочно закрепившееся название "Оранжевая книга", были разработаны и опубликованы Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному программному и информационному обеспечению компьютерных систем, и выработки методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах в основном военного назначения.

В данном документе были впервые формально (хотя и не вполне строго) определены такие понятия, как "политика безопасности", "корректность" и др. Согласно "Оранжевой книге" безопасная компьютерная система – это система, поддерживающая управление доступом к обрабатываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы (субъекты), действующие от их имени, получают возможность читать, записывать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.

1.2.1. Общая структура требований TCSEC

В "Оранжевой книге" предложены три категории требований безопасности: политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних на качество средств защиты.

Политика безопасности

Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где это необходимо, должна использоваться политика мандатного управления доступом, позволяющая эффективно реализовать разграничение доступа к информации различного уровня конфиденциальности.

Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа. Для реализации мандатного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секретности) объекта и режимы доступа к этому объекту.

Подотчетность

Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.

Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе (т. е. должен существовать объект компьютерной системы, потоки от которого и к которому доступны только субъекту администрирования). Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.

Гарантии (корректность)

Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одной из ключевых аксиом, используемых для формального доказательства безопасности системы.

1.2.2. Классы защищенности компьютерных систем по TCSEC

"Оранжевая книга" предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D и А соответственно), группа С – классы С1, С2, а группа В три класса – В1, В2, ВЗ, характеризующиеся различными наборами требований защищенности. Уровень защищенности возрастает от группы D к группе А, а внутри группы - с увеличением номера класса. Усиление требований осуществляется с постепенным смещением акцентов от положений, определяющих наличие в системе каких-то определенных механизмов защиты, к положениям обеспечивающих высокий уровень гарантий того, что система функционирует в соответствии требованиям политики безопасности (табл. 3). Например, по реализованным механизмам защиты классы ВЗ и А1 идентичны.

Таблица 3

Базовые требования "Оранжевой книги"

Классы защищенности

С1

С2

В1

В2

ВЗ

А1

Политика безопасности

Дискреционная политика безопасности

Мандатная политика безопасности

Метки секретности

Целостность меток

Рабочие метки

Повторение меток

Освобождение ресурсов при повторном использовании объектов

Изолирование модулей

Пометка устройств ввода/вывода

10.

Пометка читаемого вывода

Подотчетность

11.

Идентификация и аутентификация

12.

Аудит

13.

Защищенный канал (доверенный путь)

Гарантии

14.

Проектная спецификация и верификация

15.

Системная архитектура

16.

Целостность системы

17.

Тестирование системы безопасности

18.

Доверенное восстановление после сбоев

19.

Управление конфигурацией системы

20.

Доверенное дооснащение системы

21.

Доверенное распространение

22.

Анализ скрытых каналов

Документация

Руководство пользователя

Руководство по конфигурированию системы защиты

Документация по тестированию

Проектная документация

Примечания. "-" – нет требований к данному классу; "+" – новые или дополнительные требования; "=" – требования совпадают с требованиями к СВТ предыдущего класса

Рассмотрим основные требования классов защищенности по указанным выше четырем категориям:

• политика безопасности;

• подотчетность;

• гарантии;

• документация.

Центральным объектом исследования и оценки по TCSEC является доверительная база вычислений (ТСВ).

Группа D. Минимальная защита

Класс D. Минимальная защита. Класс D зарезервирован для тех систем, которые были представлены на сертификацию (оценку), но по какой-либо причине ее не прошли.

Группа С. Дискреционная защита

Группа С характеризуется наличием дискреционного управления доступом и аудитом действий субъектов.

Класс С1. Системы на основе дискреционного разграничения доступа. ТСВ систем, соответствующих этому классу защиты, удовлетворяет неким минимальным требованиям безопасного разделения пользователей и данных. Она определяет некоторые формы разграничения доступа на индивидуальной основе, т.е. пользователь должен иметь возможность защитить свою информацию от ее случайного чтения или уничтожения. Пользователи могут обрабатывать данные как по отдельности, так и от имени группы пользователей.

Политика безопасности. ТСВ должна определять и управлять доступом между поименованными объектами и субъектами (пользователями или их группами) в компьютерной системе (например, при помощи матрицы доступа). Механизм защиты должен позволять пользователям определять и контролировать распределение доступа к объектам по поименованным пользователям, их группам или по тем и другим.

Подотчетность. Пользователи должны идентифицировать себя перед ТСВ в случае выполнения ими любых действий, ею контролируемых, при этом должен быть использован хотя бы один из механизмов аутентификации (например, пароль). Данные аутентификации должны быть защищены от доступа неавторизованного пользователя.

Гарантии. ТСВ обеспечивает ее собственную работу и защиту от вне

Вернуться