Главная страница
Навигация по странице:

  • Управление доступом

  • шифрование ; электронная цифровая подпись

  • Администрирование средств безопасности

  • управление ключами (генерация и распределение) ; Администрирование средств безопасности управление шифрованием

  • Компонент

  • защита данных пользователя ; защита функций безопасности

  • доступ к объекту оценки ; приватность

  • Невозможность ассоциации

  • Оценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт


    Скачать 0.63 Mb.
    НазваниеОценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт
    Дата20.03.2022
    Размер0.63 Mb.
    Формат файлаppt
    Имя файла1248610.ppt
    ТипКнига
    #406271
    страница2 из 3
    1   2   3
    Аутентификация партнеров по общению используется при установлении соединения и, быть может, периодически во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).





    Сетевые сервисы безопасности


    Управление доступом. Обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
    Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения информации. Отдельно упомянем конфиденциальность трафика (это защита информации, которую можно получить, анализируя сетевые потоки данных).
    Целостность данных подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры - с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.





    Сетевые сервисы безопасности


    Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки. Побочным продуктом неотказуемости является аутентификация источника данных.
    В следующей таблице указаны уровни эталонной семиуровневой модели OSI, на которых могут быть реализованы функции безопасности. Отметим, что прикладные процессы, в принципе, могут взять на себя поддержку всех защитных сервисов.





    Сетевые сервисы безопасности





    Сетевые механизмы безопасности


    Для реализации сервисов (функций) безопасности могут использоваться следующие механизмы и их комбинации:
    шифрование;
    электронная цифровая подпись;
    механизмы управления доступом. Могут располагаться на любой из участвующих в общении сторон или в промежуточной точке;
    механизмы аутентификации. Согласно рекомендациям X.800, аутентификация может достигаться за счет использования паролей, личных карточек или иных устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрических характеристик;





    Сетевые механизмы безопасности


    механизмы контроля целостности данных. В рекомендациях X.800 различаются два аспекта целостности: целостность отдельного сообщения или поля информации и целостность потока сообщений или полей информации. Для проверки целостности потока сообщений (то есть для защиты от кражи, переупорядочивания, дублирования и вставки сообщений) используются порядковые номера, временные штампы, криптографическое связывание или иные аналогичные приемы;
    механизмы дополнения трафика;





    Сетевые механизмы безопасности


    механизмы управления маршрутизацией. Маршруты могут выбираться статически или динамически. Оконечная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными;
    механизмы нотаризации. Служат для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной третьей стороной, обладающей достаточной информацией. Обычно нотаризация опирается на механизм электронной подписи.





    Сетевые механизмы безопасности


    В следующей таблице сведены сервисы (функции) и механизмы безопасности. Таблица показывает, какие механизмы (по отдельности или в комбинации с другими) могут использоваться для реализации той или иной функции.





    Сетевые механизмы безопасности





    Администрирование средств безопасности


    Администрирование средств безопасности включает в себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.
    Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для реализации избранной политики безопасности.





    Администрирование средств безопасности


    Согласно рекомендациям X.800, усилия администратора средств безопасности должны распределяться по трем направлениям:
    администрирование информационной системы в целом;
    администрирование сервисов безопасности;
    администрирование механизмов безопасности.
    Среди действий, относящихся к ИС в целом, отметим обеспечение актуальности политики безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.





    Администрирование средств безопасности


    Администрирование сервисов безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы.
    Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список таков:
    управление ключами (генерация и распределение);





    Администрирование средств безопасности


    управление шифрованием (установка и синхронизация криптографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами, также тяготеет к данному направлению;
    администрирование управления доступом (распределение информации, необходимой для управления - паролей, списков доступа и т.п.);
    управление аутентификацией (распределение информации, необходимой для аутентификации - паролей, ключей и т.п.);





    Администрирование средств безопасности


    управление дополнением трафика (выработка и поддержание правил, задающих характеристики дополняющих сообщений - частоту отправки, размер и т.п.);
    управление маршрутизацией (выделение доверенных путей);
    управление нотаризацией (распространение информации о нотариальных службах, администрирование этих служб).
    Мы видим, что администрирование средств безопасности в распределенной ИС имеет много особенностей по сравнению с централизованными системами.





    Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий"





    Основные понятия


    Мы возвращаемся к теме оценочных стандартов, приступая к рассмотрению самого полного и современного среди них - "Критериев оценки безопасности информационных технологий" (издан 1 декабря 1999 года). Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран, он вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба.
    По историческим причинам данный стандарт часто называют "Общими критериями" (или даже ОК). Мы также будем использовать это сокращение.





    Основные понятия


    "Общие критерии" на самом деле являются метастандартом, определяющим инструменты оценки безопасности ИС и порядок их использования. В отличие от "Оранжевой книги", ОК не содержат предопределенных "классов безопасности". Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы.





    Основные понятия


    С программистской точки зрения ОК можно считать набором библиотек, помогающих писать содержательные "программы" - задания по безопасности, типовые профили защиты и т.п. Программисты знают, насколько хорошая библиотека упрощает разработку программ, повышает их качество. Без библиотек, "с нуля", программы не пишут уже очень давно; оценка безопасности тоже вышла на сопоставимый уровень сложности, и "Общие критерии" предоставили соответствующий инструментарий.





    Основные понятия


    Важно отметить, что требования могут быть параметризованы, как и полагается библиотечным функциям.
    Как и "Оранжевая книга", ОК содержат два основных вида требований безопасности:
    функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;
    требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.





    Основные понятия


    Требования безопасности предъявляются, а их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или информационной системы.
    Очень важно, что безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы:
    определение назначения, условий применения, целей и требований безопасности;
    проектирование и разработка;
    испытания, оценка и сертификация;
    внедрение и эксплуатация.





    Основные понятия


    В ОК объект оценки рассматривается в контексте среды безопасности, которая характеризуется определенными условиями и угрозами.
    В свою очередь, угрозы характеризуются следующими параметрами:
    источник угрозы;
    метод воздействия;
    уязвимые места, которые могут быть использованы;
    ресурсы (активы), которые могут пострадать.





    Основные понятия


    Уязвимые места могут возникать из-за недостатка в:
    требованиях безопасности;
    проектировании;
    эксплуатации.
    Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации.





    Основные понятия


    С точки зрения технологии программирования в ОК использован устаревший библиотечный (не объектный) подход. Чтобы, тем не менее, структурировать пространство требований, в "Общих критериях" введена иерархия класс-семейство-компонент-элемент.
    Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности).
    Семейства в пределах класса различаются по строгости и другим нюансам требований.
    Компонент - минимальный набор требований, фигурирующий как целое.
    Элемент - неделимое требование.





    Основные понятия


    Как и между библиотечными функциями, между компонентами ОК могут существовать зависимости. Они возникают, когда компонент сам по себе недостаточен для достижения цели безопасности. Вообще говоря, не все комбинации компонентов имеют смысл, и понятие зависимости в какой-то степени компенсирует недостаточную выразительность библиотечной организации, хотя и не заменяет объединение функций в содержательные объектные интерфейсы.





    Основные понятия


    Как указывалось выше, с помощью библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности.
    Профиль защиты (ПЗ) представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях).
    Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.





    Основные понятия


    Выше мы отмечали, что в ОК нет готовых классов защиты. Сформировать классификацию в терминах "Общих критериев" - значит определить несколько иерархически упорядоченных (содержащих усиливающиеся требования) профилей защиты, в максимально возможной степени использующих стандартные функциональные требования и требования доверия безопасности.





    Основные понятия


    Выделение некоторого подмножества из всего множества профилей защиты во многом носит субъективный характер. По целому ряду соображений (одним из которых является желание придерживаться объектно-ориентированного подхода) целесообразно, на наш взгляд, сформировать сначала отправную точку классификации, выделив базовый (минимальный) ПЗ, а дополнительные требования компоновать в функциональные пакеты.





    Основные понятия


    Функциональный пакет - это неоднократно используемая совокупность компонентов, объединенных для достижения определенных целей безопасности. "Общие критерии" не регламентируют структуру пакетов, процедуры верификации, регистрации и т.п., отводя им роль технологического средства формирования ПЗ.
    Базовый профиль защиты должен включать требования к основным (обязательным в любом случае) возможностям. Производные профили получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно-ориентированных языках программирования.





    Функциональные требования


    Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности. Всего в "Общих критериях" представлено 11 функциональных классов, 66 семейств, 135 компонентов. Это, конечно, значительно больше, чем число аналогичных сущностей в "Оранжевой книге".
    Перечислим классы функциональных требований ОК:
    идентификация и аутентификация;
    защита данных пользователя;
    защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов);





    Функциональные требования


    управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности);
    аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности);
    доступ к объекту оценки;
    приватность (защита пользователя от раскрытия и несанкционированного использования его идентификационных данных);
    использование ресурсов (требования к доступности информации);





    Функциональные требования


    криптографическая поддержка (управление ключами);
    связь (аутентификация сторон, участвующих в обмене данными);
    доверенный маршрут/канал (для связи с сервисами безопасности).
    Опишем подробнее два класса, демонстрирующие особенности современного подхода к ИБ.
    Класс "Приватность" содержит 4 семейства функциональных требований.





    Функциональные требования


    Анонимность. Позволяет выполнять действия без раскрытия идентификатора пользователя другим пользователям, субъектам и/или объектам. Анонимность может быть полной или выборочной. В последнем случае она может относиться не ко всем операциям и/или не ко всем пользователям (например, у уполномоченного пользователя может оставаться возможность выяснения идентификаторов пользователей).
    Псевдонимность. Напоминает анонимность, но при применении псевдонима поддерживается ссылка на идентификатор пользователя для обеспечения подотчетности или для других целей.





    Функциональные требования


    Невозможность ассоциации. Семейство обеспечивает возможность неоднократного использования информационных сервисов, но не позволяет ассоциировать случаи использования между собой и приписать их одному лицу. Невозможность ассоциации защищает от построения профилей поведения пользователей (и, следовательно, от получения информации на основе подобных профилей).





    Функциональные требования


    Скрытность. Требования данного семейства направлены на то, чтобы можно было использовать информационный сервис с сокрытием факта использования. Для реализации скрытности может применяться, например, широковещательное распространение информации, без указания конкретного адресата. Годятся для реализации скрытности и методы стеганографии, когда скрывается не только содержание сообщения (как в криптографии), но и сам факт его отправки.
    Еще один показательный (с нашей точки зрения) класс функциональных требований - "Использование ресурсов", содержащий требования доступности. Он включает три семейства.





    Функциональные требования


    1   2   3


    написать администратору сайта