КБ (ответы). 1. Содержательная постановка задачи создание эвм, функционирующей в условиях разрушения программноаппаратной среды

Название	1. Содержательная постановка задачи создание эвм, функционирующей в условиях разрушения программноаппаратной среды
Анкор	КБ (ответы).doc
Дата	24.12.2017
Размер	1.48 Mb.
Формат файла
Имя файла	КБ (ответы).doc
Тип	Документы #12792
страница	7 из 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10 40. Классификация систем защиты. Доказательный подход к системам защиты Пусть задана политика безопасности Р. Тогда система защиты - хорошая, если она надежно поддерживает Р, и - плохая, если она ненадежно поддерживает Р. Однако надежность поддержки тоже надо точно определить. Здесь снова обратимся к иерархической схеме. Пусть политика Р выражена на языке Я₁, формулы которого определяются через услуги U₁,..., U_k. Пример 1. Все субъекты S системы разбиты на два множества S₁ и S₂, S₁S₂=S, S₁S₂=. Все объекты, к которым может быть осуществлен доступ, разделены на два класса О₁ и О₂ O₁O₂= О, O₁O₂=. Политика безопасности Р -тривиальная: субъект S может иметь доступ R к объекту О тогда и только тогда, когда SS_i, О_i, i = 1, 2. Для каждого обращения субъекта S на доступ к объекту О система защиты вычисляет функции принадлежности для субъекта и объекта: I_s( S₁), I_s( S₂), I₀( O₁), I₀( O₂). Затем вычисляется логическое выражение: (I_s( S₁) I₀( O₁)) (I_s( S₂) I₀( O₂)). Если полученное значение - 1 (истинно), то доступ разрешен. Если - 0 (ложно), то – не разрешен. Ясно, что язык Я₁, на котором мы выразили политику безопасности Р, опирается на услуги: вычисление функций принадлежности I_x(А); вычисление логического выражения; вычисление оператора "если x=l, то S ->0, если x=0, то S -+>О". Для поддержки услуг языку Я₁, требуется свой язык Я₂, на котором мы определим основные выражения для предоставления услуг языку верхнего уровня. Возможно, что функции Я₂необходимо реализовать опираясь на язык Я₃более низкого уровня и т.д. Пусть услуги, описанные на языке Я₂мы умеем гарантировать. Тогда надежность выполнения политики Р определяется полнотой ее описания в терминах услуг U₁,...,U_k. Если модель Р - формальная, то есть язык Я₁, формально определяет правила политики Р, то можно доказать или опровергнуть утверждение, что множество предоставленных услуг полностью и однозначно определяет политику Р. Гарантии выполнения этих услуг равносильны гарантиям соблюдения политики. Тогда более сложная задача сводится к более простым и к доказательству того факта, что этих услуг достаточно для выполнения политики. Все это обеспечивает доказанность защиты с точки зрения математики, или гарантированность с точки зрения уверенности в поддержке политики со стороны более простых функций. Одновременно, изложенный подход представляет метод анализа систем защиты, позволяющий выявлять слабости в проектируемых или уже существующих системах. При этом иерархия языков может быть неоднозначной, главное - удобство представления и анализа.
	41. Классификация систем защиты. Системы гарантированной защиты. Пусть задана политика безопасности Р. Тогда система защиты - хорошая, если она надежно поддерживает Р, и - плохая, если она ненадежно поддерживает Р. Однако надежность поддержки тоже надо точно определить. Здесь снова обратимся к иерархической схеме. Пусть политика Р выражена на языке Я1, формулы которого определяются через услуги U1,..., Uk. Для поддержки услуг языку Я1, требуется свой язык Я2, на котором мы определим основные выражения для предоставления услуг языку верхнего уровня. Возможно, что функции Я2 необходимо реализовать опираясь на язык Я3 более низкого уровня и т.д. Пусть услуги, описанные на языке Я2 мы умеем гарантировать. Тогда надежность выполнения политики Р определяется полнотой ее описания в терминах услуг U1,...,Uk. Если модель Р - формальная, то есть язык Я1, формально определяет правила политики Р, то можно доказать или опровергнуть утверждение, что множество предоставленных услуг полностью и однозначно определяет политику Р. Гарантии выполнения этих услуг равносильны гарантиям соблюдения политики. Тогда более сложная задача сводится к более простым и к доказательству того факта, что этих услуг достаточно для выполнения политики. Все это обеспечивает доказанность защиты с точки зрения математики, или гарантированность с точки зрения.
	42. Классификация систем защиты. Пример гарантированно защищенной системы обработки информации. Система гарантированно защищена, если выполняются следующие условия: Идентификация и аутентификация Разрешительная подсистема Отсутствие обходных путей политики безопасности Политика безопасности - это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации в данной организации. Идентификация - это распознавание имени объекта. Идентифицируемый объект есть однозначно распознаваемый. Аутентификация - это подтверждение того, что предъявленное имя соответствует объекту. Условия 1 и 2 поддерживают: * обеспечение работы только одного пользователя (охрана); * отключение питания при смене пользователей; * стойкость шифратора К и сохранность в тайне ключей каждого пользователя; * недопустимость физического проникновения в аппаратную часть или подслушивание (охрана). Что касается условия 3, то невозможность получить доступ минуя разрешительную систему определяется разнесенностью работы пользователей, отсутствием подслушивания, необходимостью расшифровывать информацию для получения доступа к ней.
	43. Классификация систем защиты. Классификация систем защиты изложена в Оранжевой Книге, принятой стандартом в 1985 г. Министерством обороны США. Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ. Класс (D): Минимальная защита Данный уровень предназначен для систем, признанных неудовлетворительными - «заваливших экзамен». Уровень C. Иначе - произвольное управление доступом. Класс (C1): Защита, основанная на разграничении доступа (DAC) Политика безопасности и уровень гарантированности для данного класса должны удовлетворять следующим важнейшим требованиям: 1. доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам; 2. пользователи должны идентифицировать себя, причем аутентификационная информация должна быть защищена от несанкционированного доступа; 3. доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий; 4. должны быть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы; 5. защитные механизмы должны быть протестированы (нет способов обойти или разрушить средства защиты доверенной вычислительной базы); 6. должны быть описаны подход к безопасности и его применение при реализации доверенной вычислительной базы. Класс (С2): Защита, основанная на управляемом контроле доступом (в дополнение к C1): 1. права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа. 2. при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования. 3. каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем. 4. доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой. 5. тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации. Уровень B. Также именуется - принудительное управление доступом. Класс B1 Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ (в дополнение к C2): 1. доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом. 2. доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам. 3. доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств. 4. группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию. 5. должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой. Класс (B2): Структурированная защита (в дополнение к B1): 1. снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам. 2. к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации. 3. должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью. 4. доверенная вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули. 5. системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала. 6. должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения. 7. модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие ее интерфейс. 8. в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации. 9. тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации. Класс (ВЗ): Домены безопасности (в дополнение к B2): 1. для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов. 2. должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом. 3. доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой. 4. процедура анализа должна быть выполнена для временных тайных каналов. 5. должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий. 6. должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты. 7. должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения. Уровень A. Носит название - верифицируемая безопасность. Класс (A1): Верифицированный проект (в дополнение к B3): 1. тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня. 2. помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем. 3. механизм конфигурационного управления должен распространяться на весь жизненный цикл(Life Cycle) и все компоненты системы, имеющие отношение к обеспечению безопасности. 4. должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами..
	44. Два типа оценки: без учета среды, в которой работает техника, в конкретной среде (эта процедура называется аттестованием). Аттестование - процедура оценки качеств среды, определение соответствия некоторым эталонным характеристикам.
	45. Политика.Требование 1. Требование 2 – маркировка. Политика безопасности - это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации в данной организации. Требование 1 - Политика обеспечения безопасности - Необходимо иметь явную и хорошо определенную политику обеспечения безопасности Требование 2 - Маркировка - Метки, управляющие доступом, должны быть установлены и связаны с объектами.
	46. Подотчетность. Требование 3 – идентификация. Требование 4 - подотчетность Аудит или отслеживание, подотчетность - это регистрация событий, позволяющая восстановить и доказать факт происшествия этих событий. Идентификация - это распознавание имени объекта. Идентифицируемый объект есть однозначно распознаваемый. Требование 3 - Идентификация - Субъекты индивидуально должны быть идентифицированы Требование 4 - Подотчетность - Аудиторская информация должна селективно храниться и защищаться так, чтобы со стороны ответственной за это группы имелась возможность отслеживать действия, влияющие на безопасность.
	47. Гарантии. Требование 5 – гарантии. Требование 6 - постоянная защита Требование 5 - Гарантии - Вычислительная система в своем составе обязана иметь аппаратно-программные механизмы, допускающие независимую оценку для получения достаточного уровня гарантий того, что система обеспечивает выполнение изложенных выше требований с первого по четвертое Требование 6 - Постоянная защита - Гарантированно защищенные механизмы, реализующие указанные базовые требования, должны быть постоянно защищены от "взламывания" и/или несанкционированного внесения изменений.
	48. Итоговая информация по классам критериев оценки; идентификация и аутентификация гарантии на правильную работу системы Классы систем представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ. Класс (D): Минимальная защита. Этот класс зарезервирован для тех систем, которые были подвергнуты оцениванию, но в которых не удалось достигнуть выполнения требований более высоких классов оценок. Класс (C1): Защита, основанная на разграничении доступа (DAC). Гарантированно защищающая вычислительная база (ТСВ) систем класса (С1) обеспечивает разделение пользователей и данных. Она включает средства управления, способные реализовать ограничения по доступу, чтобы защитить проект или частную информацию и не дать другим пользователям случайно считывать или разрушать их данные. ТСВ должна требовать от пользователей, чтобы те идентифицировали себя перед тем, как начинать выполнять какие-либо действия, в которых ТСВ предполагается быть посредником. Более того, ТСВ обязательно должна использовать один из механизмов защиты (например, пароли) для того, чтобы проверять подлинность идентификации пользователей (аутентификация). ТСВ должна защищать аутентификационные данные таким образом, чтобы доступ к ним со стороны пользователя, не имеющего на это полномочий, был невозможен.
	49. Архитектура системы; целостность системы гарантии на жизненный цикл тестирование функции безопасности. Документация. Выбор класса защиты. ТСВ должна содержать домен, который должен обеспечивать ее собственную работу и защищать ее от внешнего воздействия или от внесения в нее несанкционированных изменений (например, от модификаций ее кодов или структур данных). Ресурсы, контролируемые ТСВ, могут составлять подмножество объектов ЭСОД. Должны быть предусмотрены аппаратные и/или программные средства, предназначенные для периодической проверки на правильность и корректность функционирования аппаратных и микропрограммных элементов ТСВ. Механизм защиты должен соответствовать тем нормам, которые отражены в документации. 1. Руководство пользователя по использованию средств обеспечения безопасности. 2. Руководство администратору системы на гарантированные средства защиты. 3.Документация по теста 4.Дкументация по проекту Класс (С2): Защита, основанная на управляемом контроле доступом. Класс(BI): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ.