08. Основні вимоги до розробки комплексу засобів захисту

Для того, щоб розроблений КЗЗ отримав сертифікат відповідності він повинен відповідати вимогам НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в КС від НСД», тобто забезпечити:

- безперервний захист;
- «модульність» КЗЗ;
- атрибути доступу;
- керування доступом.

Крім того, КЗЗ від НСД повинен реалізувати:
- концепцію диспетчера доступу;
- реєстрацію дій користувачів;
- послуги безпеки (функції захищеності);
- гарантії реалізації послуг безпеки.

1. Безперервний захист

КЗЗ повинен забезпечити захист інформації в ІТС протягом всього періоду її існування. З моменту створення об'єкта ІТС (або його імпорту) до його знищення (або експорту) всі запити на доступ до нього (або від нього) повинен контролювати КЗЗ. Головним аспектом є те, що не повинно існувати можливості одержати доступ до об'єкта (або від об'єкта) в обхід КЗЗ. Для безперервного захисту об'єктів КЗЗ повинен забезпечувати свою цілісність і керованість. Другим аспектом є те, що особливе значення набуває визначення діючих за умовчанням правил, які визначають початкові умови, за яких починається існування об'єкта всередині ІТС.

2. «Модульність» КЗЗ

КЗЗ повинен мати модульну структуру. На рівні розгляду архітектури ІТС «модульність» означає, що КЗЗ має бути реалізований як набір відносно незалежних частин. Кожна з цих частин повинна взаємодіяти з іншими тільки через добре визначені iнтерфейси.

На рівні розгляду архітектури КЗЗ «модульність» означає, що КЗЗ має функціонувати як сукупність логічних груп програмного та апаратного забезпечення так, щоб кожна група вирішувала певні завдання. Для ПЗ, наприклад, в простішому випадку під цим слід розуміти, що подібні функції мають бути зосереджені в певних вихідних файлах.

Під більш жорсткими вимогами слід розуміти використання приховання даних та інших механізмів, що дозволяють мати впевненість, що кожний модуль вирішує єдине завдання. Будь-яка взаємодія між компонентами повинна здійснюватись тільки через відомі і описані канали (iнтерфейси).

3. Атрибути доступу

Для реалізації політики безпеки КЗЗ повинен забезпечити ізоляцію об'єктів всередині сфери управління та гарантувати розмежування запитів доступу і керування потоками інформації між об'єктами. Для цього всі об'єкти ІТС повинні мати атрибути доступу.  Атрибути доступу об'єкта - це інформація, яка дозволяє КЗЗ iдентифікувати об'єкт і перевіряти легальність запитів доступу до нього.

Кожний об'єкт ІТС повинен мати певний набір атрибутів доступу, який включає унікальний iдентифікатор та іншу інформацію, що визначає його права доступу і/або права доступу до нього. Атрибут доступу - термін, що використовується для опису будь-якої інформації, яка використовується при керуванні доступом і зв'язана з користувачами, процесами або пасивними об'єктами. Відповідність атрибутів доступу і об'єкта може бути як явною, так і неявною. Атрибути доступу об'єкта є частиною його подання в ІТС.

Коли користувачі або процеси намагаються одержати доступ до пасивних об'єктів, механізми, що реалізують керування доступом, на підставі політики безпеки і перевірки атрибутів доступу можуть «прийняти рішення» про легальність запиту. Використовуючи набір атрибутів доступу відповідно до прийнятої політики безпеки, можна реалізувати довірче або адміністративне керування доступом, контроль за цілісністю та інші види керування доступом.

Для відображення функціональностi ІТС у простір, в якому не розглядаються права власності, використовується концепція матриці доступу. Проста матриця доступу - це таблиця, яка містить iдентифікатори користувачів, об'єктів та видів доступу до них.

Матриця доступу може бути:
- двомірною (наприклад, користувачі/об'єкти або процеси/об'єкти);
- тримірною (користувачі/процеси/об'єкти);
- повною, тобто містити вздовж кожної з осей всі існуючі iдентифікатори ІТС.

Повна матриця доступу дозволяє точно описати, хто (iдентифікатор користувача), через що (iдентифікатор процесу), до чого (iдентифікатор об'єкта), який вид доступу може одержати (iдентифікатор доступу).

4. Керування доступом

Є два види або принципи керування доступом в ІТС: довірче та адміністративне.

Довірче керуванням доступом - це таке керування, при якому КЗЗ дозволяє звичайним користувачам управляти потоками інформації в системі між іншими користувачами і об'єктами свого домену (наприклад, на підставі права володіння об'єктами). Тобто визначення повноважень користувачів не вимагає адміністративного втручання.

Адміністративне керуванням доступом - це таке керування, при якому КЗЗ дозволяє тільки спеціально уповноваженим користувачам (адміністраторам) управляти потоками інформації в системі між користувачами і об'єктами.

Прикладом реалізації адміністративного керування доступом може служити механізм, коли у вигляді атрибутів доступу використовуються мітки, що відображають міру конфіденційності інформації (об'єкта) і рівень допуску користувача. Таким чином, КЗЗ на підставі порівняння міток об'єкта і користувача визначає, чи можна виконати запит користувача.

Система, що реалізує адміністративне керування, повинна гарантувати, що потоки інформації всередині системи установлюються адміністратором і не можуть бути змінені звичайним користувачем. З іншого боку, система, що реалізує довірче керування доступом, дозволяє звичайному користувачу модифікувати, в т. ч. створювати нові потоки інформації всередині системи.

Створення додаткових потоків інформації може бути зумовлене:
- модифікацією атрибутів доступу користувача, процесу або пасивного об'єкта;
- створенням нових об'єктів (включаючи копіювання існуючих);
- експортом або імпортом об'єктів.

Сталість атрибутів доступу

При адміністративному керуванні доступом звичайний користувач не може змінювати атрибути доступу об'єкта. Таким чином, якщо політика потоків інформації, створена адміністратором, визначає, що два користувача не можуть спільно використовувати інформацію, то жоден з них не спроможний передати іншому користувачу свої повноваження щодо доступу до існуючого об'єкта.

І навпаки, при довірчому керуванні доступом звичайний користувач може змінювати атрибути доступу об'єкта, що належить йому.

Створення нових об'єктів

Якщо при адміністративному керуванні доступом політика потоків інформації, створена адміністратором, визначає, що два користувачі не можуть спільно використовувати інформацію, то жоден з них не може створити об'єкт, доступний іншому. Додатково повинні існувати правила для визначення атрибутів доступу, що мають присвоюватись об'єкту, одержаному копіюванням існуючого.

І навпаки, при довірчому керуванні доступом звичайний користувач може створювати атрибути доступу для знову створеного об'єкту. Наприклад, система може дозволяти творцю об'єкта визначати користувачів, що можуть мати права доступу до об'єкта.

Експорт і імпорт об'єктів

При адміністративному керуванні атрибути доступу об'єкта мають зберігатись під час його експорту на зовнішній носiй. Додатково повинні існувати правила для присвоєння атрибутів доступу імпортованому об'єкту.

І навпаки, при довірчому керуванні доступом об'єкт може бути експортований без збереження атрибутів доступу. Додатково може існувати можливість імпорту звичайним користувачем об'єкта з наступним присвоєнням йому атрибутів доступу на розсуд користувача.

Проте, навіть відповідно до політики довірчого керування доступом, атрибути доступу об'єкта під час виконання деяких операцій, наприклад, під час його резервного копіювання, мають зберігатися. Якщо об'єкт буде коли-небудь відновлено з резервної копії, то його атрибути доступу також мають бути відновлені.

5. Концепція диспетчера доступу

При реалізації КЗЗ використовується концепція диспетчера доступу, що повинна забезпечити:
- безперервний і повний захист;
- захищеність від модифікації;
- невеликі розміри.

Це означає, що диспетчер доступу має бути завжди активним і повинен контролювати всі запити на доступ до будь-якого захищеного об'єкта, який піддається впливу. Диспетчер доступу має бути захищений від модифікацiї, що для програмної реалізації звичайно вважається ізоляцією домену КЗЗ від доменів інших процесів.

Диспетчер доступу не повинен складати весь КЗЗ, а повинен включати мінімально необхідний набір механізмів, що безпосередньо реалізують перевірку легальностi запитів на доступ і, можливо, реєстрацію цих запитів.

Головна мета диспетчера доступу - забезпечення єдиної точки проходження всіх запитів всередині ІТС. Це гарантія того, що потоки інформації між користувачами, процесами і об'єктами відповідають вимогам політики безпеки.

Класичний погляд на диспетчер доступу полягає в тому, що він служить бар'єром між користувачем і об'єктом, до якого він хоче одержати доступ. Диспетчер доступу дозволяє або забороняє доступ відповідно до того, чи є запит авторизованим. Рішення приймається на підставі перевірки атрибутів доступу користувача, процесу і об'єкта.

Узагальненням концепції диспетчера доступу є ідея герметизації, коли кожний об'єкт як би герметизовано диспетчером доступу, що утворює навкруги нього непрониклу оболонку. Кількість захищених (що знаходяться всередині оболонки) об'єктів може змінюватись від одного об'єкта до всіх об'єктів системи.

Диспетчер доступу повинен забезпечити неможливість доступу до об'єкта в обхід механізмів захисту, перевірку наявності у користувача і/або процесу прав доступу до об'єкта і реєстрації подій, що відбуваються.

6. Реєстрація дій користувачів

Коли користувач працює з ІТС, то система розглядає його не як фізичну особу, а як об'єкт, якому притаманні певні атрибути і поводження. КЗЗ повинен забезпечувати реєстрацію дій користувачів щодо використання ресурсів системи, а також інших дій і подій, які так або інакше  можуть вплинути на дотримання реалізованої ІТС політики безпеки.

Система повинна надавати користувачам, що мають адміністративні повноваження, можливість проглядати та аналізувати дані реєстрації, що представляються у вигляді журналів реєстрації, виявляти небезпечні з точки зору політики безпеки події, встановлювати їх причини і користувачів, відповідальних за порушення політики безпеки.

7. Послуги безпеки (функції захищеності)

З точки зору забезпечення безпеки інформації ІТС або КЗЗ можна розглядати як набір функціональних послуг безпеки. Кожна послуга безпеки являє собою набір функцій, що дозволяють протистояти деякій множині загроз.

Існує певний перелік послуг, які на підставі практичного досвіду визнані «корисними» для забезпечення безпеки інформації. Вимоги до реалізації даних послуг наведені в НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в КС від НСД».

Кожна послуга безпеки може включати декілька рівнів. Чим вище рівень послуги, тим більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, проте не обов'язково являють собою точну підмножину один одного. Рівні починаються з першого (1) і зростають до значення n, де n - унікальне для кожного виду послуг.

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика