Similar presentations:
Стандарты защищенности ОС. (Лекция 14)
1.
Лекция 14.Стандарты защищенности
ОС
2.
Профиль защиты состоит из следующих пятиразделов:
•описание,
•обоснование,
•функциональные требования,
•требования к технологии разработки,
требования к процессу квалификационного
анализа.
3.
Описание профиля содержит классификационнуюинформацию, необходимую для его идентификации в
специальной картотеке. Федеральные критерии предлагают
поддерживать такую картотеку на общегосударственном
уровне, что позволит любой организации воспользоваться
созданными ранее профилями защиты непосредственно или
использовать их в качестве прототипов для разработки новых.
Обоснование содержит описание среды эксплуатации,
предполагаемых угроз безопасности и методов использования
продукта. Этот раздел ориентирован на службы безопасности
организаций, которые принимают решение о возможности
использования данного продукта.
4.
Раздел функциональных требований содержит описаниевозможностей средств защиты и определяет условия, в
которых обеспечивается безопасность в виде перечня угроз,
которым данные средства защиты успешно противостоят.
Раздел требований к технологии разработки продукта
охватывает все этапы его создания и содержит требования не
только к процессу разработки, но и к условиям, в которых она
проводится, к используемым технологическим средствам, а
также к документированию.
Раздел требований к процессу квалификационного анализа
регламентирует порядок его проведения в виде методики исследований
и тестирования продукта. Федеральные критерии не содержат единой
шкалы классов безопасности. Разработчики могут выбирать набор
требований для каждого конкретного продукта информационных
технологий с учетом среды его эксплуатации.
5.
Стандарты защищенности ОСДля оценки защищенности ОС существуют стандарты для компьютерных систем.
•В 1992 году Государственная техническая комиссия при президенте РФ опубликовала
документы, посвященные защите информационных систем «Средства вычислительной
техники.
•В данном документе рассматриваются требования к обеспечению защищенности
программно-аппаратных компонентов компьютерных систем и средств вычислительной
техники .
•Установлено семь классов защищенности средств вычислительной техники, седьмой
самый низший.
•Документ «Автоматизированные системы.
•В данном документе все автоматизированные системы делятся на три группы, в
каждой из которых вводится своя иерархия классов защиты.
•I группа – Многопользовательские системы, в которых пользователи имеют различные
полномочия доступа к информации.
•II группа – Многопользовательские системы, в которых пользователи имеют
одинаковые полномочия доступа к информации.
•III группа – однопользовательские системы
•Самым известным документом – стандартом безопасности компьютерных систем
является «Критерии безопасности компьютерных систем», выпущенный в 1983 году,
носит название «Оранжевая книга». Он описывает семь классов защищенности
компьютерных систем.
6.
Классы безопасности компьютерных системКласс D.
Минимальный уровень безопасности. В этот класс попадают системы, которые были
заявлены на сертификацию, но ее не прошли.
Класс С1.
Избирательная защита доступа. Среда класса С1 предназначена для пользователей,
обрабатывающих данные одного уровня секретности. Предусматривает наличие
достоверной вычислительной базы (TCB), выполнение требований к избирательной
безопасности.
ТСВ должна содержать домен, который обеспечивает ее собственную работу и защиту от
внешних воздействий.
Целостность системы обеспечивается периодическими проверками на правильность и
корректность функционирования аппаратных и микропрограммных элементов ТСВ.
Тестирование функций безопасности. Механизм защиты должен соответствовать
описанию, содержащемуся в документах:
– руководство пользователя;
– руководство администратора системы на средства защиты;
– документация по тестам (разработчики системы должны предусмотреть документ, в
котором дается описание плана и процедур тестирования);
– документация по проекту - описание основополагающих принципов защиты и их
реализации в системе.
7.
Класс C2.Управляемая защита доступа. Системы данного класса
способны осуществлять более четко выделенный контроль в
плане избирательной защиты доступа. Действия пользователя
связываются с процедурами идентификации/аутентификации.
Защита, основанная на управляемом доступе. К требованиям
класса С1 добавляются требования уникальной идентификации
субъекта доступа (любой пользователь должен иметь уникальное
имя), защиты по умолчанию ("запрещено все, что не разрешено")
и регистрации событий. В системах этого класса обязательно
ведение системного журнала, где отмечаются события, связанные
с безопасностью системы. Данные журнала должны быть
защищены от доступа любых пользователей, за исключением
администратора системы.
8.
Класс B1.Класс В. Помимо вышеприведенных требований, системы
класса В характеризуются полномочной моделью управления
доступом.
В дополнение к требованиям класса C2 необходимо
неформальное описание модели политики безопасности,
маркировки данных, а также принудительного управления
доступом к поименованным субъектам и объектам.
Меточная защита. Метки безопасности должны быть
присвоены всем субъектам и объектам системы, которые могут
содержать или получать конфиденциальную информацию. При
этом должно контролироваться соответствие меток.
9.
Класс B2.Структурированная защита. В этом классе систем TCB
должна опираться на четко определенную и
документированную формальную модель политики
безопасности. Действие избирательного и принудительного
управления доступом распространяется на все субъекты и
объекты в системе. Выявляются тайные каналы.
Структурированная защита. Дополнительно предъявляется
требование наличия хорошо определенной и
документированной формальной модели "политики
безопасности". Помимо этого, требуется анализ возможности
побочных каналов утечки информации. Система должна быть
четко разделена на критичные и некритичные к защите
элементы. Интерфейс с ТСВ должен быть хорошо
документирован.
10.
Класс B3.Домены безопасности. TCB должна удовлетворять требованиям
эталонного механизма мониторинга, который контролирует абсолютно весь
доступ субъектов к объектам и при этом быть достаточно компактным,
чтобы его можно было проанализировать и оттестировать.
Домены безопасности. В системах этого класса в оборудовании должна
быть реализована концепция монитора обращений, который должен:
– контролировать все взаимодействия субъектов с объектами;
– быть гарантированно защищен от несанкционированных изменений, порчи
и подделки;
– быть простым для анализа и тестирования на предмет правильности
выполнения обработки обращений (полнота тестов должна быть доказана).
Из системы защиты должен быть исключен код, который не требуется для
обеспечения поддержки политики безопасности. Обязательным также
является наличие процедур, обеспечивающих восстановление
работоспособности системы.
11.
Класс A1.Верифицированное проектирование. Данный класс
систем функционально эквивалентен классу B3 в том
смысле, что не требуется добавления дополнительных
архитектурных особенностей или предъявления иных
требований к политике безопасности. В данном классе
не зарегистрировано ни одной ОС.
12.
Политика безопасности - набор правил, используемыхсистемой для того, чтобы определить, можно ли разрешить
указанному субъекту доступ к конкретному объекту.
Маркировка - возможность маркировать каждый объект
меткой, которая надежно идентифицирует степень его ценности
(например, секретности) и/или режимы допуска к нему.
Идентификация - в процессе каждого доступа к информации
должно быть установлено: кто запрашивает информацию и на
какие ее классы распространяется его статус.
Подотчетность - система должна регистрировать появление
событий, имеющих отношение к ее безопасности, в аудиторском
файле, надежно защищенном от модификации и
несанкционированного уничтожения.
13.
Гарантии - корректно определенный и объединенныйв единое целое набор программных и аппаратных
средств управления, реализующий рассмотренные
выше требования.
Постоянная защита - механизмы, реализующие
указанные базовые требования от "взламывания" и/или
несанкционированного внесения изменений.
14.
ОТЕЧЕСТВЕННЫЕ СТАНДАРТЫРуководящие документы Гостехкомиссии России включают:
1) Концепцию защиты средств вычислительной техники и автоматизированных систем
от несанкционированного доступа (НСД) к информации: определение НСД, основные
способы его осуществления, модель нарушителя, главные направления и принципы
защиты информации от НСД.
2) Термины и определения в области защиты от НСД к информации.
3) Показатели защищенности СВТ от НСД к информации: классификация СВТ по
уровню защищенности от НСД к информации на базе перечня показателей
защищенности и совокупности описывающих их требований.
4) Классификацию автоматизированных систем и требования по защите информации в
автоматизированных системах (АС) различных классов.
5) Временное положение о государственном лицензировании деятельности в области
защиты информации: основные принципы, организационная структура системы
лицензирования деятельности предприятий, оказывающих услуги в области защиты
информации, а также правила осуществления лицензирования и надзора за их
деятельностью.
15.
Документ "Средства вычислительной техники. Защита отнесанкционированного доступа к информации. Показатели
защищенности" вводит семь классов защищенности. Самый низкий седьмой, самый высокий - первый.
В зависимости от реализованных моделей защиты и надежности их
проверки классы подразделяются на четыре группы.
Первая группа включает только один седьмой класс (минимальная
защищенность).
Вторая группа характеризуется избирательной защитой и включает
шестой и пятый классы.
Третья группа характеризуется полномочной защитой и
включает четвертый, третий и второй классы.
Четвертый класс характеризуется верифицированной защитой и
содержит только первый класс. Для присвоения класса защищенности
система должна содержать руководство администратора по системе,
руководство пользователя, тестовую и конструкторскую (проектную)
документацию.
16.
Классы подразделяются на три группы, отличающиеся особенностямиобработки информации в системе.
Третья группа классифицирует системы, в которых работает один
пользователь, допущенный ко всей информации системы, размещенной на
носителях одного уровня конфиденциальности. Группа содержит два
класса - 3Б и 3А .
Вторая группа классифицирует системы, в которых пользователи имеют
одинаковые права доступа ко всей информации, обрабатываемой и (или)
хранимой на носителях различного уровня конфиденциальности. Группа
содержит два класса - 2Б и 2А.
Первая группа классифицирует многопользовательские
автоматизированные системы, в которых одновременно обрабатывается и
(или) хранится информация разных уровней конфиденциальности и не все
пользователи имеют к ней право доступа. Группа содержит пять классов 1Д, 1Г, 1В, 1Б и 1А.