Главная страница
Навигация по странице:

  • Оранжевая книга (ОК)

  • Контролируемая защита.

  • Мандатная защита.

  • Структурированная защита.

  • Доменная защита.

  • Верифицируемая защита. Функциональные

  • Основные элементы политики безопасности

  • Подотчетность

  • Гарантированность

  • Документация

    		•

    Оранжевая книга. лекции. Предоставления гарантий корректности реализации механизмов в соответствии с заданными техническими спецификациями


    Скачать 36.56 Kb.
    НазваниеПредоставления гарантий корректности реализации механизмов в соответствии с заданными техническими спецификациями
    АнкорОранжевая книга
    Дата25.02.2021
    Размер36.56 Kb.
    Формат файлаdocx
    Имя файлалекции.docx
    ТипДокументы
    #179247

    Первоочередной вопрос применения ИТ состоит в оценке их защищенности с учетом уровня секретности и критичности информации в системах, создаваемых на основе данных ИТ. Оценка защищенности любой системы или ее отдельных компонентов производится исходя из:

    • наличия в них механизмов защиты, в совокупности реализующих базовую модель защиты;

    • предоставления гарантий корректности реализации механизмов в соответ­ствии с заданными техническими спецификациями;

    • предоставления гарантий отсутствия ЫДВ, преднамеренно введенных, в

    • систему разработчиком.

    Как уже говорилось, в целях упрощения принятия решения по выбору тех или иных продуктов на рынке ИТ-потребителям желательно иметь общую метрику для оценки уровня защищенности этих продуктов и предусмотреть процедуру их сертификации: по соответствию указанной метрике уполномоченными правительственными организациями.

    С учетом возрастающей сложности систем и многообразия решаемых задач процедура сертификации ИТ продукции по требованиям безопасности должна быть хорошо стандартизована и прозрачна для всех участников рынка ИТ, в том числе потребителей, разработчиков и аккредитованных сертификационных лабораторий.

    В настоящем разделе рассмотрим и произведем сравнительный анализ нормативной базы, регламентирующей процедуры оценки соответствия систем и компонентов требованиям защиты информации от НСД в различных странах, в том числе:

    требования правительственных организаций США (в их основе лежит ди­ректива BoD 5200.28 и Оранжевая книга);

    • европейские критерии (ЕК) оценки защищенности (ITSEC), основанные на так называемых общих критериях (Common Criteria), и федеральные критерии (ФК) США;

    • нормативно-методические документы Гостехкомиссии при Президенте РФ, определяющие требования к СВТ и АС в защищенном исполнении;

    • в требования к реализации криптографических устройств (технологий) раз­личного уровня гарантий защиты информации;

    • в требования к алгоритмам и средствам генерации криптографических ключей и секретных кодов пользователей СЗИ.

    Главной задачей стандартов безопасности является создание основы для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий.

    Политика безопасности (Security Policy) — совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности.

    Модель безопасности (Security Model) — формальное представление политики безопасности.

    Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их потребностям. Для этого им необходима шкала оценки безопасности. К тому же потребители нуждаются в инструменте, с помощью которого они могли бы формулировать свои требования производителям. При этом потребителей интересуют лишь характеристики и свойства конечного продукта, а не методы его получения.

    Производителям стандарты необходимы в качестве средства сравнения возможностей их продуктов. Кроме того, стандарта необходимы для процедуры сертификации, которая является механизмом объективной оценки свойств продуктов. С этой точки зрения требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т.д. Кроме того, требования не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания информационных продуктов.

    Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор, а производителям — получить объективную оценку возможностей своего продукта.

    Наиболее значимыми стандартами информационной безопасности являются: «Критерии безопасности компьютерных систем министерства обороны США», руководящие документы Гостехкомиссии России, «Европейские критерии безопасности информационных технологий», «Федеральные критерии безопасности информационных технологий США», «Канадские критерии безопасности компьютерных систем» и «Единые критерии безопасности информационных технологий».

    Оранжевая книга (ОК)

    С 1970 по 1984 год министерство обороны США (DoD) совместно с национальным бюро стандартов (NIST) реализовали ряд программ оценки и контроля уровня защищенности систем, эксплуатирующийся в интересах правительственных организаций США. Эти работы завершились публикацией в 1984 году Оранжевой книги — основного документа, устанавливающего критерии и правила оценки защищенности компьютерных систем. Оранжевая книга впоследствии была дополнена другими документами, расширяющими требования ОК для распределенных систем и информационно­-вычислительных сетей. Эти и ряд последующих, менее известных, документов явились началом работ по созданию национальных критериев защиты информации от НСД в других странах (Великобритания, Канада, Россия и т. д.).

    Задачи Оранжевой книги, впервые опубликованной в 1984 году и частично пересмотренной в 1985 году, состояли:

    • в предоставлении единого стандарта разработки систем в защищенном ис­полнении, а также встраивания в уже существующие системы дополнительных средств защиты информации;

    • в описании компонентов и механизмов защиты во взаимосвязи с критериями оценки уровня защищенности информации.

    Требования Оранжевой книги отражают основное содержание политики бе­зопасности правительственных организаций США и включают в себя:

    1. Правила управления доступом: в системе должны быть точно определены правила, регулирующие доступ пользователей к конфиденциальной информации.

    2. Политика учета: в системе должны быть определены правила, позволяющие накапливать и защищать от разрушения регистрационную информацию, отражающую фактический доступ пользователей к защищаемым ресурсам.

    3. Маркировка объектов: маркировка уровня конфиденциальности

    информационных объектов должна связываться с порождающими ее объектами. Маркировка создаваемых вновь объектов должна формироваться с учетом маркировки объектов, из которых порождается новый объект.

    1. Идентификация и проверка подлинности: пользователи системы должны быть однозначно идентифицированы и подвергнуты проверке подлинности (аутентифицированы) в процессе доступа в систему.

    2. Гарантии архитектуры и проектирования: СЗИ должна строиться на базе компонентов и механизмов, относительно которых с определенным уровнем достоверности может быть гарантирована корректность функционирования.

    3. Гарантии непрерывности: СЗИ должна включать средства и механизмы, исключающие несанкционированный доступ к ресурсам при переходе системы в нештатный, режим функционирования.

    Оранжевая книга состоит из двух частей. В первой части приводится описание классов систем и указываются общие требования к механизмам защиты информации.

    Диспетчер доступа (Reference Monitor) — основной элемент подсистемы защиты, имеющий прямое отношение к большинству функциональных требований Оранжевой книги. ДД представляет абстрактную модель, которая формирует архитектуру безопасности системы.

    ДД физически встраивается в систему и выполняет посреднические функции при обращении пользователей к ресурсам. С точки зрения реализации в системе ДД должен удовлетворять трем основным требованиям:

    • контролировать все теоретически возможные взаимодействия между поль­зователями и объектами, которые учитываются в модели защиты системы;

    • быть пригодным для верификации и полного функционального тестирования (в пределах определенного класса систем);

    • реализовать правила разграничения доступа в соответствии с формальной моделью защиты, установленной для данного класса систем.

    Вторая часть Оранжевой книги формулирует основные цели защиты и политику безопасности правительственных организаций США. Она также содержит рекомендации разработчикам по вопросам анализа скрытых каналов (СК), тестирования механизмов безопасности и многоуровневого режима обработки информации.

    Основное концептуальное понятие второй группы требований Оранжевой книги связано с выбором набора компонентов системы, именуемых доверенной вычислительной базой (Trusted Computer Base — ТСВ). Под ТСВ понимаются любые компоненты системы, которые:

    • выполняют критичные функции системы, отвечающие за ее безопасность;

    • обладают высоким уровнем гарантий, позволяющим вынести их за пределы модели защиты (в результате некоторые или даже все защитные функции для таких компонентов не применяются).

    В соответствии с Оранжевой книгой системы подразделяются на четыре группы — А, В, С и D. Группа А обеспечивает максимальный, а группа D — минимальный уровень защищенности.

    В пределах каждой группы системы подразделяются на классы защищенности. При этом группы А и D включают по одному классу (А и D), группа В — три класса (В 1, В2, ВЗ), группа С — два класса (С 1, С2). В пределах каждой из групп системы с большим классом являются более защищенными.

    Системы, удовлетворяющие требованиям различных классов, отличаются по составу механизмов защиты и по составу требований к процессу моделирования, проектирования, разработки и тестирования.

    Ниже представлена, общая классификация систем с указанием основных классообразующих признаков. Перечислим некоторые рекомендации по выбору классов защиты.

    Для обработки информации одного уровня доступа в интересах решения близких производственных или иных задач группой должностных лиц на территории одной контролируемой зоны могут использоваться средства с классом защищенности С1.

    Если при обработке в системе критической информации одного уровня доступа нужно обеспечить гарантированные свидетельства доступа пользователей к программам и данным, требования к компонентам системы, которые реализуют политику доступа, должны быть повышены до уровня С2.

    Контролируемая зона — территория размещения средств вычислительной техники, подконтрольная одной организации, в пределах которой действуют единые правила режима безопасности и исключается присутствие посторонних лиц.


    Класс
    Классообразующие признаки

    D
    Системы, представленные для выполнения сертификации, не удовлетворяющие требованиям других классов

    С1
    Дискреционная защита. К системам класса С1 предъявляются следующие требования:

    • дискреционная модель управления доступом (ВАС) к объектам и ресурсам (файлы, устройства и т. д.). Собственники (создатели) объекта наделяются правами предоставления доступа к принадлежащим им объектам другим пользователям;

    • идентификация и проверка подлинности пользователей на основе персональных паролей;

    • регистрация доступа пользователей в систему и выхода из системы

    С2
    Контролируемая защита. К системам класса С2 дополнительно предъявляются следующие требования:

    • Регистрация (аудит) всех событий, связанных с доступом к ресурсам или изменением режимов доступа в объеме, необходимом для распознавания атак и учета использования ресурсов

    • изоляция объектов и субъектов доступа в процессе использования общих ресурсов памяти. Должно обес­печиваться освобождение оперативной и внешней памяти, исключающее НСД посредством повторного их использования

    B1
    Мандатная защита. К системам класса В1 дополнительно предъявляются следующие требования:

    мандатная модель управления доступом (MAC) для идентифицированных на уровне пользовательского ин­терфейса объектов и ресурсов;

    физическая или логическая изоляции процессов, то есть выполнение их в отдельных адресных пространствах;

    проектирование ДД с использованием неформальной модели ПБ и обоснование ее соответствия аксиомам ПБ;

    импорт и экспорта данных производится через одноуровневые каналы и устройства. Метка безопасности j каждого импортируемого или экспортируемого объекта определяется в соответствии с идентификатором канала (устройства)

    B2
    Структурированная защита. К системам класса В2 дополнительно предъявляются следующие требования:

    • мандатная политика доступа должна контролировать все неименованные объекты, то есть объекты, доступные на интерфейсах прикладного программирования (API);

    • определены и надлежащим образом локализованы СК накапливающего типа (то есть каналы, образованные модуляцией наблюдаемыми состояниями ресурсов). Для СК должны быть экспериментально или тео­ретически установлены их максимальные пропускные способности;

    • модель защиты строится на формализованной основе и предусматривает возможность описательной вери­фикации высокоуровневой спецификацией ДД;

    • формирование высокоуровневой спецификации ТСВ в терминах ошибок, исключений и т. д., а также пред­ставление спецификации всех интерфейсов безопасности;

    • поддержка доверенных путей, под которыми понимаются служебные каналы взаимодействия пользователя и ТСВ, исключающие возможность вмешательства в их работу нарушителя;

    • импорт и экспорт данных с использованием многоуровневых каналов и устройств

    B3
    Доменная защита. К системам класса ВЗ дополнительно предъявляются следующие требования:

    • списки управления доступа (ACL) для запрещенных и разрешенных режимов доступа как расширение ВАС. Соответствие одного списка другому должно контролироваться системой при внесении изменений в кон­фигурацию ВАС;

    • идентификация всех типов СК. Для каждого из них должны быть предложены механизмы ограничения про­пускной способности;

    • средства выявления и регистрации (аудита) скрытых каналов в процессе инициализации в реальном масш­табе времени;

    • оперативная сигнализация о критических событиях и автоматическое блокирование доступа при обнаружении таких событий;

    • средства восстановления функционирования после сбоев, при которых система переходит в нештатный режим функционирования;

    • обоснование реализации ТСВ в соответствии с высокоуровневой спецификацией ТСВ

    А
    Верифицируемая защита. Функциональные требования и требования по силе механизмов защиты анало­гичны классу ВЗ. В части гарантий проектирования должны быть предоставлены:

    • строгие доказательства того, что формальная модель защиты внутренне непротиворечива и соответствует множеству исходных аксиом ПБ;

    • формальная спецификация функций и интерфейсов ТСВ, позволяющая гарантировать изоляцию модулей ТСВ от других модулей системы, не входящих в ТСВ;

    • формальное обоснование соответствия высокоуровневой спецификации ТСВ формальной модели защиты;

    • верификация соответствия реализации ТСВ формальной спецификации ТСВ и модели защиты;

    • средства анализа всех типов СК

    Для обработки информации различного уровня доступа, грифа и (или) категории секретности при использовании доверенных компонентов, а также при функционировании системы в режиме замкнутой функциональной среды необходимы мандатные механизмы безопасности. Для таких систем требования к компонентам должны 6ыть повышены до уровня В1.

    Для обработки данных различного уровня доступа, относящихся к различным грифам и категориям секретности, при функционировании системы в режиме открытой функциональной среды должны использоваться компоненты, обладающие классом В2 и выше.

    Выбор класса защиты определяется разницей максимального уровня секретности обрабатываемой информации и минимального уровня допуска пользователей в систему (разность между указанными показателями принято называть индексом риска).

    Оранжевая книга используется как базисный документ для выполнения программ и проектов, контролируемых национальным центром компьютерной безопасности США (NCSC). Данная организация является основным сертификационным центром США, выполняющим оценку класса защиты коммерческих продуктов по требованиям ОК и публикующим их рейтинг в EPL (Evaluation Product List). EPL используется правительственными организациями и агентствами для приобретения ИТ-продуктов для обработки классифицированной информации.

    Некоторые коммерческие потребители также обращаются к EPL, однако их интересуют в первую очередь системы класса С2, пригодные для обработки несекретной, но критичной (служебной) информации, имеющей значения для конкретной организации.

    Основные элементы политики безопасности

    Согласно "Оранжевой книге", политика безопасности должна включать в себя по крайней мере следующие элементы:

    • Произвольное управление доступом;

    • Безопасность повторного использования объектов;

    • Метки безопасности;

    • Принудительное управление доступом.

    Произвольное управление доступом

    Произвольное управление доступом — это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

    С концептуальной точки зрения текущее состояние прав доступа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах — объекты. В клетках, расположенных на пересечении строк и столбцов, записываются способы доступа, допустимые для субъекта по отношению к объекту — например, чтение, запись, выполнение, возможность передачи прав другим субъектам и т.п.

    Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Главное его достоинство — гибкость, главные недостатки — рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

    Безопасность повторного использования объектов Безопасность повторного использования объектов — важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом. Информация о субъектах представляет собой объект, необходимо позаботиться о безопасности "повторного использования субъектов". Когда пользователь покидает организацию, следует не только лишить его возможности входа в систему, но и запретить доступ ко всем объектам. В противном случае, новый сотрудник может получить ранее использовавшийся идентификатор, а с ним и все права своего предшественника.

    Метки безопасности

    Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта — степень закрытости, содержащейся в нем информации.

    Согласно "Оранжевой книге", метки безопасности состоят из двух частей — уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так:

    • совершенно секретно;

    • секретно;

    • конфиденциально;

    • несекретно.

    Впрочем, для разных систем набор уровней секретности может различаться.

    Категории образуют неупорядоченный набор. Их назначение — описать предметную область, к которой относятся данные. Механизм категорий позволяет разделить информацию по отсекам, что способствует лучшей защищенности.

    Главная проблема, которую необходимо решать в связи с метками, это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. В особенности это относится к экспорту и импорту данных.

    Одним из средств обеспечения целостности меток безопасности является разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случаи многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система может решить, допустимо ли записывать на неге информацию с определенной меткой. Например, попытка напечатать совершенно секретную информацию на принтере общего пользования с уровнем "несекретно" потерпит неудачу.

    Метки безопасности, ассоциируемые с субъектами, более подвижны, чем метки объектов. Субъект может в течение сеанса работы с системой изменять свою метку, естественно, не выходя за предопределенные для него рамки. Иными словами, он может сознательно занижать свой уровень благонадежности, чтобы уменьшить вероятность непреднамеренной ошибки. Вообще, принцип минимизации привилегий - весьма разумное средство защиты.

    Принудительное управление доступом

    Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта

    Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен — читать можно только то, что положено.

    Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. Ни при каких операциях уровень секретности информации не должен понижаться, хотя обратный процесс вполне возможен. Посторонний человек может случайно узнать секретные сведения и сообщить их куда следует, однако лицо, допущенное к работе с секретными документами, не имеет права раскрывать их содержание простому смертному.

    Независимо от практического использования, принципы принудительного управления являются удобным методологическим базисом для начальной классификации информации и распределения прав доступа.

    Подотчетность

    Если понимать политику безопасности узко, то есть как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности — в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории:

    • Идентификация и аутентификация;

    • Предоставление надежного пути;

    • Анализ регистрационной информации.

    Идентификация и аутентификация

    Каждый пользователь, прежде чем получить право совершать какие-либо действия в системе, должен идентифицировать себя. Обычный способ идентификации — ввод имени пользователя при входе в систему. В свою очередь, система должна проверить подлинность личности пользователя, то есть что он является именно тем, за кого себя выдает. Стандартное средство проверки подлинности (аутентификации) — пароль, хотя в принципе могут использоваться также разного рода личные карточки, биометрические устройства (сканирование роговицы или отпечатков пальцев) или их комбинация.

    Предоставление надежного пути

    Надежный путь связывает пользователя непосредственно с надежной вычислительной базой, минуя другие, потенциально опасные компоненты системы. Цель предоставления надежного пути — дать пользователю возможность убедиться в подлинности обслуживающей его системы.

    Анализ регистрационной информации

    Аудит имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы. К числу таких событий относятся:

    • Вход в систему (успешный или нет);

    • Выход из системы;

    • Обращение к удаленной системе;

    • Операции с файлами (открыть, закрыть, переименовать, удалить);

    • Смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

    Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным.

    Протоколирование помогает следить за пользователями и реконструировать прошедшие события.

    При протоколировании события записывается по крайней мере следующая информация:

    • Дата и время события;

    • Уникальный идентификатор пользователя — инициатора действия;

    • Тип события;

    • Результат действия (успех или неудача);

    • Источник запроса (например, имя терминала);

    • Имена затронутых объектов (например, открываемых или удаляемых файлов);

    • Описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта);

    • Метки безопасности субъектов и объектов события.

    Гарантированность

    Гарантированность – это мера уверенности, с которой можно утверждать, что для проведения в жизнь сформулированной политики безопасности выбран подходящий набор средств, и что каждое из этих средств правильно исполняет отведенную ему роль.

    Операционная гарантированность

    Операционная гарантированность включает в себя проверку следующих элементов:

    • Архитектура системы.

    • Целостность системы.

    • Анализ тайных каналов передачи информации.

    • Надежное администрирование.

    • Надежное восстановление после сбоев.

    Операционная гарантированность — это способ убедиться в том, что архитектура системы и ее реализация действительно проводят в жизнь избранную политику безопасности.

    Среди архитектурных решений, предусматриваемых "Оранжевой книгой", упомянем следующие:

    • Деление аппаратных и системных функций по уровням привилегированности и контроль обмена информацией между уровнями.

    • Защита различных процессов от взаимного влияния за счет механизма виртуальной памяти.

    • Наличие средств управления доступом.

    • Структурированность системы, явное выделение надежной вычислительной базы, обеспечение компактности этой базы.

    • Следование принципу минимизации привилегий — каждому компоненту дается ровно столько привилегий, сколько необходимо для выполнения им своих функций.

    • Сегментация (в частности, сегментация адресного пространства процессов) как средство повышения надежности компонентов.

    Целостность системы в данном контексте означает, что аппаратные и программные компоненты надежной вычислительной базы работают должным образом и что имеется аппаратное и программное обеспечение для периодической проверки целостности.

    Анализ тайных каналов передачи информации — тема, специфичная для режимных систем, когда главное — обеспечить конфиденциальность информации. Тайным называется канал передачи информации, не предназначенный для обычного использования. Шпионская аналогия — горшок с геранью в окне как сигнал опасности.

    Различают тайные каналы с памятью и временные (ударение на "ы"). Тайные каналы с памятью используют изменения хранимых объектов. Тайным знаком может быть размер файла, имя файла (составленное, например, из входного имени и пароля атакуемого субъекта), число пробелов между словами и т.д. Временные каналы передают информацию за счет изменения временных характеристик процессов — времени обработки запроса, например.

    Технологическая гарантированность

    Технологическая гарантированность охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы обезопаситься от утечки информации и нелегальных "закладок".

    Первое, на что обычно обращают внимание, это тестирование. Тесты должны показать, что защитные механизмы функционируют в соответствии со своим описанием и что не существует очевидных способов обхода или разрушения защиты. Тесты должны продемонстрировать действенность средств управления доступом, защищенность регистрационной и аутентификационной информации.

    Верификация описания архитектуры — это выполненное автоматически формальное доказательство того, что архитектура системы соответствует сформулированной политике безопасности.

    Средства конфигурационного управления защищают надежную систему в процессе проектирования, реализации и сопровождения. Конфигурационное управление включает в себя идентификацию, протоколирование и анализ всех изменений, вносимых в надежную вычислительную базу (независимо от того, идет ли речь об аппаратуре или программах), а также (что прямо следует из названия) управление процессом внесения изменений.

    Надежное распределение защищает систему в процессе ее передачи от поставщика клиенту. Оно включает в себя два комплекса мер — по защите и по проверке. Защитная часть работает на пути от поставщика к клиенту. Она позволяет поставщику утверждать, что клиент получил именно то, поставщик отгрузил, что передана нужная версия, все последние изменения, и что по дороге система не была вскрыта и в нее не были внесены изменения. Среди защитных механизмов — надежная упаковка, предохраняющая от вредного воздействия окружающей среды, надежная транспортировка и, наконец, надежная инсталляция аппаратуры и программ.

    Проверочные меры применяются клиентом, чтобы убедиться, что он получил именно то, что заказал, и что система не подверглась нелегальным изменениям. Клиент должен убедиться, что полученный им продукт —- точная копия эталонного варианта, имеющегося у поставщика. Для этого существует целый спектр методов, начиная от проверок серийных номеров аппаратных компонентов и кончая верификацией контрольных сумм программ и данных.

    Документация

    Документация — необходимое условие гарантированной надежности системы и, одновременно, — инструмент проведения политики безопасности. Без документации люди не будут знать, какой политике следовать и что для этого нужно делать.

    Согласно "Оранжевой книге", в комплект документации надежной системы должны входить следующие тома:

    • Руководство пользователя по средствам безопасности.

    • Руководство администратора по средствам безопасности.

    • Тестовая документация.

    • Описание архитектуры.

    Разумеется, на практике требуется еще по крайней мере одна книга — письменное изложение политики безопасности данной организации.

    Руководство пользователя по средствам безопасности предназначено для обычных, непривилегированных людей. Оно должно содержать сведения о механизмах безопасности и способах их использования. Руководство должно давать ответы по крайней мере на следующие вопросы:

    . Как входить в систему? Как вводить имя и пароль? Как менять пароль? Как часто это нужно делать? Как выбирать новый пароль?

    • Как защищать файлы и другую информацию? Как задавать права доступа к файлам? Из каких соображений это нужно делать?

    • Как импортировать и экспортировать информацию, не нарушая правил безопасности?

    • Как уживаться с системными ограничениями? Почему эти ограничения необходимы? Какой стиль работы сделает ограничения необременительными?

    Руководство администратора по средствам безопасности предназначено и для системного администратора, и для администратора безопасности. В Руководстве освещаются вопросы начального конфигурирования системы, перечисляются текущие обязанности администратора, анализируется соотношения между безопасностью и эффективностью функционирования.

    Типичное оглавление Руководства администратора включает в себя следующие пункты:

    • Каковы основные защитные механизмы?

    • Как администрировать средства идентификации и аутентификации? В частности, как заводить новых пользователей и удалять старых?

    • Как администрировать средства произвольного управления доступом?

    Как защищать системную информацию? Как обнаруживать слабые места?

    • Как администрировать средства протоколирования и аудита? Как выбирать регистрируемые события? Как анализировать результаты?

    • Как администрировать средства принудительного управления доступом? Какие уровни секретности и категории выбрать? Как назначать и менять метки безопасности?

    • Как генерировать новую, переконфигурированную надежную вычислительную базу?

    • Как безопасно запускать систему и восстанавливать ее после сбоев и отказов? Как организовать резервное копирование?

    • Как разделить обязанности системного администратора и оператора?

    Тестовая документация содержит описания тестов и их результаты. По идее она проста, но зачастую весьма пространна. Кроме того, (вернее, перед тем), тестовая документация должна содержать план тестирования и условия, налагаемые на тестовое окружение.

    Описание архитектуры в данном контексте должно включать в себя по крайней мере сведения о внутреннем устройстве надежной вычислительной базы. Вообще говоря, это описание должно быть формальным, допускающим автоматическое сопоставление с политикой безопасности на предмет соответствия требованиям последней. Объем описания архитектуры может оказаться сопоставимым с объемом исходных текстов программной реализации системы.

    написать администратору сайта