Реферат Информационная безопасность 4
Работа добавлена на сайт bukvasha.net: 2015-10-28Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
от 25%
Подписываем
договор
СОДЕРЖАНИЕ
ВВЕДЕНИЕ. 2
1.Критерии оценки доверенных компьютерных систем. 3
1.1. Основные понятия. 3
1.2. Механизмы безопасности. 5
1.3.Классы безопасности. 7
2.Информационная безопасность распределенных систем. Рекомендации X.800. 12
2.1. Сетевые сервисы безопасности. 12
2.3. Администрирование средств безопасности. 15
3.Общие критерии оценки безопасности информационных технологий. ISO 15408. 17
3.1. Основные понятия. 17
3.2.Особенности ISO 15408. 18
4.Гармонизированные критерии Европейских стран. 19
4.1. Основные понятия. 19
4.2. Особенности гармонизированных критериев Европейских стран. 20
4.3.Функциональность. 20
4.4.Гарантированность эффективности. 23
4.5.Гарантированность корректности. 24
5.Критерии оценки доверенных компьютерных систем для сетевых конфигураций. 26
5.1.Основные понятия. 26
ЗАКЛЮЧЕНИЕ. 29
СПИСОК ЛИТЕРАТУРЫ.. 30
ВВЕДЕНИЕ
На наш взгляд, знание критериев оценки информационной безопасности способно помочь при выборе и комплектовании аппаратно-программной конфигурации. Кроме того, в своей повседневной работе администратор безопасности вынужден хотя бы до некоторой степени повторять действия сертифицирующих органов, поскольку обслуживаемая система, скорее всего, время от времени претерпевает изменения и нужно, во-первых, оценивать целесообразность модификаций и их последствия, а, во-вторых, соответствующим образом корректировать повседневную практику пользования и администрирования. Если знать, на что обращают внимание при сертификации, можно сконцентрироваться на анализе критически важных аспектов, экономя время и силы и повышая качество защиты. В этом и заключается актуальность выбранной темы. Общеизвестно, что стандартизация является основой всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем".
Цель данной работы - знакомство со стандартами ведущих зарубежных стран и международными стандартами в области информационной безопасности, основные из которых приняты в качестве российских стандартов.
Задачи:
- Рассмотреть критерии оценки доверенных компьютерных систем;
- Рассмотреть Информационную безопасность распределенных систем. Рекомендации X.800;
- Рассмотреть Общие критерии оценки безопасности информационных технологий. ISO 15408;
- Рассмотреть гармонизированные критерии Европейских стран;
- Рассмотреть критерии оценки доверенных компьютерных систем для сетевых конфигураций.
1.Критерии оценки доверенных компьютерных систем.
1.1. Основные понятия.
Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем".
Данный труд, называемый чаще всего по цвету обложки "Оранжевой книгой", был впервые опубликован в августе 1983 года.
"Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию".
В "Оранжевой книге" доверенная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".
Обратим внимание, что в рассматриваемых "Критериях оценки доверенных компьютерных систем" и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности "Оранжевая книга" не затрагивает.
Степень доверия оценивается по двум основным критериям:
· Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь может оперировать конкретными наборами данных. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности - это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.
· Уровень гарантированности - мера доверия, которая может быть оказана архитектуре и реализации ИС. Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки (формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты.
Важным средством обеспечения безопасности является механизм подотчетности (протоколирования). Доверенная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.
Концепция доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база - это совокупность защитных механизмов ИС (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Качество вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит системный администратор.
Вообще говоря, компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС достаточно рассмотреть только ее вычислительную базу, которая, как можно надеяться, достаточно компактна.
Основное назначение доверенной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами (активными сущностями ИС, действующими от имени пользователей) определенных операций над объектами (пассивными сущностями). Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя.
Монитор обращений должен обладать тремя качествами:
1. Изолированность. Необходимо предупредить возможность отслеживания работы монитора.
2. Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его.
3. Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.
Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.
Границу доверенной вычислительной базы называют периметром безопасности. Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными. С развитием распределенных систем понятию "периметр безопасности" все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, - нет.
1.2. Механизмы безопасности.
Согласно "Оранжевой книге", политика безопасности должна обязательно включать в себя следующие элементы:
· произвольное управление доступом;
· безопасность повторного использования объектов;
· метки безопасности;
· принудительное управление доступом.
Произвольное управление доступом (называемое иногда дискреционным) - это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.
Безопасность повторного использования объектов - важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.
Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что положено. Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может записывать данные в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий). Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа.
Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень конфиденциальности содержащейся в нем информации. Согласно "Оранжевой книге", метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, категории - неупорядоченное. Назначение последних - описать предметную область, к которой относятся данные.
Если понимать политику безопасности узко, то есть как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что делает. Средства подотчетности делятся на три категории:
· идентификация и аутентификация;
· предоставление доверенного пути;
· анализ регистрационной информации.
Обычный способ идентификации - ввод имени пользователя при входе в систему. Стандартное средство проверки подлинности (аутентификации) пользователя - пароль.
Доверенный путь связывает пользователя непосредственно с доверенной вычислительной базой, минуя другие, потенциально опасные компоненты ИС. Цель предоставления доверенного пути - дать пользователю возможность убедиться в подлинности обслуживающей его системы.
Анализ регистрационной информации (аудит) имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы.
Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. "Оранжевая книга" предусматривает наличие средств выборочного протоколирования, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.
Переходя к пассивным аспектам защиты, укажем, что в "Оранжевой книге" рассматривается два вида гарантированности - операционная и технологическая. Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая - к методам построения и сопровождения.
Операционная гарантированность включает в себя проверку следующих элементов:
· архитектура системы;
· целостность системы;
· проверка тайных каналов передачи информации;
· доверенное администрирование;
· доверенное восстановление после сбоев.
Операционная гарантированность - это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности.
Технологическая гарантированность охватывает весь жизненный цикл ИС, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы исключить утечку информации и нелегальные "закладки".
1.3.Классы безопасности.
"Критерии оценки доверенных компьютерных систем" Министерства обороны США открыли путь к ранжированию информационных систем по степени доверия безопасности.
В "Оранжевой книге" определяется четыре уровня доверия - D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня C к A к системам предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием степени доверия.
Всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы в результате процедуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям.
Класс C1:
· доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;
· пользователи должны идентифицировать себя, прежде чем выполнять какие-либо иные действия, контролируемые доверенной вычислительной базой. Для аутентификации должен использоваться какой-либо защитный механизм, например пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа;
· доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий (в частности, от изменения команд и/или данных) и от попыток слежения за ходом работы;
· должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;
· защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты доверенной вычислительной базы;
· должны быть описаны подход к безопасности, используемый производителем, и применение этого подхода при реализации доверенной вычислительной базы.
Класс C2 (в дополнение к C1):
· права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа;
· при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования;
· каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем;
· доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой;
· тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.
Класс B1 (в дополнение к C2):
· доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом;
· доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам;
· доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств;
· группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию;
· должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой.
Класс B2 (в дополнение к B1):
· снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам;
· к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации;
· должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью;
· доверенная вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули;
· системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала;
· должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения;
· модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие ее интерфейс;
· в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации;
· тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.
Класс B3 (в дополнение к B2):
· для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов;
· должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом;
· доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой;
· процедура анализа должна быть выполнена для временных тайных каналов;
· должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий;
· должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты;
· должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.
Класс A1 (в дополнение к B3):
· тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня;
· помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем;
· механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности;
· должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.
Публикация "Оранжевой книги" стала эпохальным событием в области информационной безопасности. Появился общепризнанный понятийный базис, без которого даже обсуждение проблем ИБ было бы затруднительным. Огромный идейный потенциал "Оранжевой книги" пока во многом остается невостребованным. Прежде всего это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы - от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях, теряется информация о семантике программ.
2.Информационная безопасность распределенных систем. Рекомендации X.800.
2.1. Сетевые сервисы безопасности.
Рекомендации X.800, появились позднее "Оранжевой книги", но весьма полно и глубоко трактующей вопросы информационной безопасности распределенных систем.
Выделяют следующие сервисы безопасности и исполняемые ими роли:
· Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных. Аутентификация партнеров по общению используется при установлении соединения и, быть может, периодически во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).
· Управление доступом. Обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
· Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения информации. Отдельно упомянем конфиденциальность трафика (это защита информации, которую можно получить, анализируя сетевые потоки данных).
· Целостность данных подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры - с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.
· Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки. Побочным продуктом неотказуемости является аутентификация источника данных.
В следующей таблице указаны уровни эталонной семиуровневой модели OSI, на которых могут быть реализованы функции безопасности. Отметим, что прикладные процессы, в принципе, могут взять на себя поддержку всех защитных сервисов.
Таблица1. Функции и механизмы безопасности
| Функции безопасности | Уровень | ||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | |
| 1.Аутентификация | | | + | + | | | + |
| 2.Управление доступом | | | + | + | | | + |
| 3.Конфиденциальность соединения | + | + | + | + | | + | + |
| 4.Конфиденциальность вне соединения | | + | + | + | | + | + |
| 5.Избирательная конфиденциальность | | | | | | + | + |
| 6.Конфиденциальность трафика | + | | + | | | | + |
| 7.Целостность с восстановлением | | | | + | | | + |
| 8.Целостность без восстановления | | | + | + | | | + |
| 9.Избирательная целостность | | | | | | | + |
| 10.Целостность вне соединения | | | + | + | | | + |
| 11.Неотказуемость | | | | | | | + |
"+" данный уровень может предоставить функцию безопасности;
"-" данный уровень не подходит для предоставления функции безопасности.
2.2. Сетевые механизмы безопасности.
Для реализации сервисов (функций) безопасности могут использоваться следующие механизмы и их комбинации:
· шифрование;
· электронная цифровая подпись;
· механизмы управления доступом. Могут располагаться на любой из участвующих в общении сторон или в промежуточной точке;
· механизмы контроля целостности данных. В рекомендациях X.800 различаются два аспекта целостности: целостность отдельного сообщения или поля информации и целостность потока сообщений или полей информации. Для проверки целостности потока сообщений (то есть для защиты от кражи, переупорядочивания, дублирования и вставки сообщений) используются порядковые номера, временные штампы, криптографическое связывание или иные аналогичные приемы;
· механизмы аутентификации. Согласно рекомендациям X.800, аутентификация может достигаться за счет использования паролей, личных карточек или иных устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрических характеристик;
· механизмы дополнения трафика;
· механизмы управления маршрутизацией. Маршруты могут выбираться статически или динамически. Оконечная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными;
· механизмы нотаризации. Служат для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной третьей стороной, обладающей достаточной информацией. Обычно нотаризация опирается на механизм электронной подписи.
В следующей таблице сведены сервисы (функции) и механизмы безопасности. Таблица показывает, какие механизмы (по отдельности или в комбинации с другими) могут использоваться для реализации той или иной функции.
Таблица 2. Взаимосвязь функций и механизмов безопасности
| | Механизмы | |||||||
| Функции безопасности | Шифрова ние | Электронная подпись | Управление доступом | Контроль целост- ности данных | Аутенти фикация | Допол- нение трафика | Управление маршру тизацией | Нота- ризация |
| 1.Аутентификация партнеров | + | + | | | + | | | |
| 2.Аутентификация источника | + | + | | | | | | |
| 3.Управление доступом | | | + | | | | | |
| 4.Конфиденциальность | + | | | | | | + | |
| 5.Избирательная кон фиденциаьность | + | | | | | | | |
| 6.Конфиденциальность трафика | + | | | | | + | + | |
| 7.Целостность соединения | + | | | + | | | | |
| 8.Целостность вне соединения | + | + | | + | | | | |
| 9.Неотказуемость | | + | | + | | | | + |
"+" механизм пригоден для реализации данной функцию безопасности;
"-" механизм не предназначен для реализации данной функции безопасности.
2.3. Администрирование средств безопасности.
Администрирование средств безопасности включает в себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.
Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для реализации избранной политики безопасности.
Согласно рекомендациям X.800, усилия администратора средств безопасности должны распределяться по трем направлениям:
· администрирование информационной системы в целом;
· администрирование сервисов безопасности;
· администрирование механизмов безопасности.
Среди действий, относящихся к ИС в целом, можно отметить обеспечение актуальности политики безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.
Администрирование сервисов безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы.
Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов:
· управление ключами (генерация и распределение);
· управление шифрованием (установка и синхронизация криптографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами, также тяготеет к данному направлению;
· администрирование управления доступом (распределение информации, необходимой для управления - паролей, списков доступа и т.п.);
· управление аутентификацией (распределение информации, необходимой для аутентификации - паролей, ключей и т.п.);
· управление дополнением трафика (выработка и поддержание правил, задающих характеристики дополняющих сообщений - частоту отправки, размер и т.п.);
· управление маршрутизацией (выделение доверенных путей);
· управление нотаризацией (распространение информации о нотариальных службах, администрирование этих служб).
Таким образом администрирование средств безопасности в распределенной ИС имеет много особенностей по сравнению с централизованными системами.
3.Общие критерии оценки безопасности информационных технологий. ISO 15408.
3.1. Основные понятия.
ISO 15408 The Common Criteria for Information Technology Security Evaluation — «Общие критерии оценки безопасности информационных технологий», международный стандарт в области безопасности, в котором подробно рассмотрены общие подходы, методы и функции обеспечения защиты информации в организациях.
Стандарт ISO 15408 — один из наиболее распространенных стандартов в области безопасности. В его создании приняли участие организации из США, Канады, Англии, Франции, Германии, Голландии. В стандарте, получившем название «Общие критерии оценки безопасности информационных технологий» (The Common Criteria for Information Technology Security Evaluation), подробно рассмотрены общие подходы, методы и функции обеспечения защиты информации в организациях.
Функции системы информационной безопасности обеспечивают выполнение требований конфиденциальности, целостности, достоверности и доступности информации. Все функции представлены в виде четырехуровневой иерархической структуры: класс — семейство — компонент — элемент. По аналогии представлены требования качества. Подобная градация позволяет описать любую систему информационной безопасности и сопоставить созданную модель с текущим положением дел. В стандарте выделены 11 классов функций: аудит, идентификация и аутентификация, криптографическая защита, конфиденциальность, передача данных, защита пользовательских данных, управление безопасностью, защита функций безопасности системы, использование ресурсов, доступ к системе, надежность средств.
Оценка информационной безопасности базируется на моделях системы безопасности, состоящих из перечисленных в стандарте функций. В ISO 15408 содержится ряд предопределенных моделей (так называемых профилей), описывающих стандартные модули системы безопасности. С их помощью можно не создавать модели распространенных средств защиты самостоятельно, изобретая велосипед, а пользоваться уже готовыми наборами описаний, целей, функций и требований к этим средствам. Простым примером профилей может служить модель межсетевого экрана или СУБД.
В мире уже создано и сертифицировано большое количество профилей. Каждый из них имеет отличительные черты, в том числе: область применения (например, профили «Контроль доступа» или «Программный межсетевой экран»); уровень надежности; статус сертификации (скажем, «проект», «в стадии разработки» или «сертифицирован»).
Сертифицированный профиль представляет собой полное описание определенной части (или функции) системы безопасности. В нем содержится анализ внутренней и внешней среды объекта, требования к его функциональности и надежности, логическое обоснование его использования, возможности и ограничения развития объекта.
Стандарт ISO 15408 выгодно отличает открытость. Описывающий ту или иную область системы безопасности профиль можно создать самостоятельно с помощью разработанной в ISO 15408 структуры документа. В стандарте определена также последовательность действий для самостоятельного создания профилей.
Отличающийся значительной полнотой, универсализмом и большим потенциалом развития ISO 15408 получил признание во многих странах мира, в том числе и в России.
3.2.Особенности ISO 15408.
Особенности ISO 15408 по сравнению с другими стандартами в области безопасности:
· Стандарт позволяет определить полный перечень требований к средствам безопасности, а также критерии их оценки (показатели защищенности информации);
· Стандарт определяет полный перечень объектов анализа и требований к ним, не заостряя внимания на методах создания, управления и оценки системы безопасности;
· Стандарт позволяет оценить полноту системы информационной безопасности с технической точки зрения, не рассматривая при этом комплекс организационных мер по обеспечению защиты информации.
4.Гармонизированные критерии Европейских стран.
4.1. Основные понятия.
"Европейские Критерии" рассматривают следующие составляющие информационной безопасности:
· конфиденциальность - защита от несанкционированного получения информации;
· целостность - защита от несанкционированного изменения информации;
· доступность - защита от несанкционированного удержания информации и ресурсов.
В "Критериях" дается определение различия между системами и продуктами. Система - это конкретная аппаратно-программная конфигурация, построенная с вполне определенными целями и функционирующая в известном окружении. Продукт - это аппаратно-программный "пакет", который можно купить и по своему усмотрению встроить в ту или иную систему. Таким образом, с точки зрения информационной безопасности, основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое можно определить и изучить сколь угодно детально, а продукт должен быть рассчитан на использование в различных условиях. Угрозы безопасности системы носят вполне конкретный и реальный характер, а относительно угроз продукту можно лишь строить предположения. Разработчик имеет возможность специфицировать условия, пригодные для функционирования продукта; дело покупателя обеспечить выполнение этих условий.
Из практических соображений важно обеспечить единство критериев оценки продуктов и систем - например, чтобы облегчить и удешевить оценку системы, составленной из ранее сертифицированных продуктов. В этой связи для систем и продуктов вводится единый термин - объект оценки. В соответствующих местах делаются оговорки, какие требования относятся исключительно к системам, а какие - только к продуктам.
Каждая система и/или продукт предъявляют свои требования к обеспечению конфиденциальности, целостности и доступности. Чтобы удовлетворить эти требования, необходимо предоставить соответствующий набор функций или сервисов безопасности, таких как идентификация и аутентификация, управление доступом или восстановление после сбоев. Сервисы безопасности реализуются посредством конкретных механизмов. Например, для реализации функции идентификации и аутентификации можно использовать такой механизм, как сервер аутентификации Kerberos.
Чтобы объект оценки можно было признать надежным, необходима определенная степень уверенности в наборе функций и механизмов безопасности. Степень уверенности будем называть гарантированностью, которая может быть большей или меньшей в зависимости от тщательности проведения оценки.
Гарантированность затрагивает два аспекта - эффективность и корректность средств безопасности. При проверке эффективности анализируется соответствие между целями, сформулированными для объекта оценки, и имеющимся набором функций безопасности. Точнее говоря, рассматриваются вопросы адекватности функциональности, взаимной согласованности функций, простоты их использования, а также возможные последствия эксплуатации известных слабых мест защиты. Кроме того, в понятие эффективности входит способность механизмов защиты противостоять прямым атакам (мощность механизма). Определяется три градации мощности - базовая, средняя и высокая.
Под корректностью понимается правильность реализации функций и механизмов безопасности. В "Критериях" определяется семь возможных уровней гарантированности корректности в порядке возрастания - от ЕО до Е6. Уровень ЕО обозначает отсутствие гарантированности - аналог уровня D "Оранжевой книги" [1]. При проверке корректности анализируется весь жизненный цикл объекта оценки - от проектирования до эксплуатации и сопровождения.
4.2. Особенности гармонизированных критериев Европейских стран.
Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности. Теоретически эти два аспекта независимы, хотя на практике нет смысла проверять правильность реализации "по высшему разряду", если механизмы безопасности не обладают даже средней мощностью.
4.3.Функциональность.
В "Европейских Критериях" средства, имеющие отношение к информационной безопасности, рассматриваются на трех уровнях детализации. Наиболее абстрактный уровень соответствует общему взгляду только на цели безопасности. На этом уровне дается ответ на вопрос, зачем нужны функции безопасности. Второй уровень содержит спецификации функций безопасности, из которых можно узнать, какая функциональность на самом деле обеспечивается. Наконец, на третьем уровне содержится информация о механизмах безопасности и где уже видно, как реализуется декларированная функциональность.
Спецификации функций безопасности - важнейшая часть описания объекта оценки. "Критерии" рекомендуют выделить в этих спецификациях разделы со следующими заголовками:
· Идентификация и аутентификация.
· Управление доступом.
· Подотчетность.
· Аудит.
· Повторное использование объектов.
· Точность информации.
· Надежность обслуживания.
· Обмен данными.
Большинство из перечисленных тем были рассмотрены при анализе "Оранжевой книги". Сейчас остановимся лишь на моментах, специфичных для "Европейских Критериев".
Под идентификацией и аутентификацией понимается не только проверка подлинности пользователей в узком смысле, но и функции для регистрации новых пользователей и удаления старых, а также функции для генерации, изменения и проверки аутентификационной информации, в том числе средства контроля целостности. Сюда же относятся функции для ограничения числа повторных попыток аутентификации.
Средства управления доступом также трактуются Европейскими Критериями достаточно широко. В этот раздел помимо прочих попадают функции, обеспечивающие временное ограничение доступа к совместно используемым объектам с целью поддержания целостности этих объектов - мера, типичная для систем управления базами данных. В этом же разделе имеются функции для управления распространением прав доступа и для контроля за получением информации путем логического вывода и агрегирования данных, что также типично для СУБД.
Под точностью в "Критериях" понимается поддержание определенного соответствия между различными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникаций). Точность выступает как один из аспектов целостности информации.
Функции надежности обслуживания должны гарантировать, что действия, критичные по времени, будут выполнены ровно тогда, когда нужно - не раньше и не позже, и что некритичные действия нельзя перевести в разряд критичных. Далее, должна быть гарантия, что авторизованные пользователи за разумное время получат запрашиваемые ресурсы. Сюда же относятся функции обнаружения и нейтрализации ошибок, необходимые для минимизации простоев, а также функции планирования, позволяющие гарантировать время реакции на внешние события.
К области обмена данными относятся функции, обеспечивающие коммуникационную безопасность данных, передаваемых по каналам связи. Здесь "Европейские Критерии" следуют в фарватере рекомендаций Х.800, предлагая следующие подзаголовки:
· Аутентификация.
· Управление доступом.
· Конфиденциальность данных.
· Целостность данных.
· Невозможность отказаться от совершенных действий.
Набор функций безопасности может специфицироваться с использованием ссылок на заранее определенные классы функциональности. В "Европейских Критериях" таких классов десять - пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности "Оранжевой книги".
Класс F-IN предназначается для объектов оценки с высокими потребностями по обеспечению целостности данных и программ, что типично для СУБД. При описании класса F-IN вводится понятие роли и выдвигается требование по предоставлению доступа к определенным объектам только с помощью предопределенных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, переименование (для всех объектов), выполнение, удаление, переименование (для выполняемых объектов), создание и удаление объектов.
Класс F-AV характеризуется повышенными требованиями к доступности. Это существенно, например, для систем управления технологическими процессами. В разделе "Надежность обслуживания" описание этого класса специфицируется следующим образом: объект оценки должен восстанавливаться после отказа отдельного аппаратного компонента таким образом, чтобы все критически важные функции оставались постоянно доступными. То же должно быть верно для вставки отремонтированного компонента, причем после этого объект оценки возвращается в состояние, устойчивое к одиночным отказам. Независимо от уровня загрузки должно гарантироваться время реакции на определенные события и отсутствие тупиков.
Класс F-DI характеризуется повышенными требованиями к целостности передаваемых данных. Перед началом общения стороны должны быть в состоянии проверить подлинность друг друга. При получении данных необходима возможность проверки подлинности источника. При обмене данными должны предоставляться средства контроля ошибок и их исправления. В частности, должны обнаруживаться все повреждения или намеренные искажения адресной и пользовательской информации. Знание алгоритма обнаружения искажений должно исключать возможность производить нелегальную модификацию. Попытки воспроизведения ранее переданных сообщений должны обнаруживаться и трактоваться как ошибки.
Класс F-DC характеризуется повышенными требованиями к конфиденциальности передаваемой информации. Перед поступлением данных в каналы связи должно автоматически выполняться шифрование с использованием сертифицированных средств. На приемном конце также автоматически производится расшифровка, ключи которой должны быть защищены от несанкционированного доступа.
Класс F-DX характеризуется повышенными требованиями и к целостности, и к конфиденциальности информации. Его можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями шифрования, действующими из конца в конец, и с защитой от анализа трафика по определенным каналам. Должен быть ограничен доступ к ранее переданной информации, которая в принципе может способствовать нелегальной расшифровке.
4.4.Гарантированность эффективности.
Для получения гарантий эффективности средств безопасности рассматриваются следующие вопросы:
· Соответствие набора функций безопасности провозглашенным целям, то есть их пригодность для противодействия угрозам, перечисленным в описании объекта оценки;
· Взаимная согласованность различных функций и механизмов безопасности;
· Способность механизмов безопасности противостоять прямым атакам;
· Возможность практического использования слабостей в архитектуре объекта оценки, то есть наличие способов отключения, обхода, повреждения и обмана функций безопасности;
· Возможность небезопасного конфигурирования или использования объекта оценки при условии, что администраторы и/или пользователи имеют основание считать ситуацию безопасной;
· Возможность практического использования слабостей в функционировании объекта оценки.
Важнейшей частью проверки эффективности является анализ слабых мест в защите объекта оценки. Цель анализа - найти все возможности отключения, обхода, повреждения, обмана средств защиты. Оценивается также способность всех критически важных защитных механизмов противостоять прямым атакам - мощность механизмов. Защищенность системы или продукта не может быть выше мощности самого слабого из критически важных механизмов, поэтому в "Критериях" имеется в виду минимальная гарантированная мощность. Для нее определены три уровня: базовый, средний и высокий. Мощность можно считать базовой, если механизм способен противостоять отдельным случайным атакам. Мощность можно считать средней, если механизм способен противостоять злоумышленникам с ограниченными ресурсами и возможностями. Наконец, мощность можно считать высокой, если есть уверенность, что механизм может быть побежден только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за пределы обыденной практичности.
Важной характеристикой является простота использования продукта или системы. Должны существовать средства, информирующие персонал о переходе объекта в небезопасное состояние (что может случиться в результате сбоя, ошибок администратора или пользователя). Ситуации, когда в процессе функционирования объекта оценки появляются слабости, допускающие практическое использование, в то время как администратор об этом не знает, должны быть исключены. Эффективность защиты признается неудовлетворительной, если выявляются такие слабые места, и они не исправляются до окончания процесса оценки. В таком случае объекту присваивается уровень гарантированности Е0.
Обратим внимание на то, что анализ слабых мест производится в контексте целей, декларируемых для объекта оценки. Например, можно примириться с наличием тайных каналов передачи информации, если отсутствуют требования к конфиденциальности. Далее, слабость конкретного защитного механизма может не иметь значения, если она компенсируется другими средствами обеспечения безопасности, то есть если механизм не является критически важным.
4.5.Гарантированность корректности.
При проверке корректности объекта оценки применяются две группы критериев. Первая группа относится к конструированию и разработке системы или продукта, вторая - к эксплуатации. Оцениваются следующие аспекты:
· Процесс разработки: требования к объекту оценки; общая архитектура; детализированная архитектура; реализация.
· Среда разработки: средства конфигурационного управления; используемые языки программирования и компиляторы; безопасность среды разработки (ее физическая защищенность, методы подбора персонала и т.п.).
· Эксплуатационная документация: руководство пользователя; руководство администратора.
· Операционное окружение: доставка и конфигурирование системы или продукта; запуск и эксплуатация.
Уровни корректности от E1 до Е6 выстроены по нарастанию требований к тщательности оценки. Так, на уровне E1 анализируется лишь общая архитектура объекта - вся остальная уверенность может быть следствием функционального тестирования. На уровне ЕЗ к анализу привлекаются исходные тексты программ и схемы аппаратуры. На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также модели политики безопасности. В общем случае распределение требований по уровням гарантированности в "Европейских Критериях" соответствует аналогичному распределению для классов безопасности С1-А1 из "Оранжевой книги".
5.Критерии оценки доверенных компьютерных систем для сетевых конфигураций.
5.1.Основные понятия.
В 1987 году Национальным центром компьютерной безопасности США была опубликована интерпретация “Оранжевой книги” для сетевых конфигураций. Данный документ состоит из двух частей. Первая содержит собственно интерпретацию, во второй рассматриваются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.
В первой части вводится минимум новых понятий. Важнейшее из них - сетевая доверенная вычислительная база, распределенный аналог доверенной вычислительной базы изолированных систем. Сетевая доверенная вычислительная база формируется из всех частей всех компонентов сети, обеспечивающих информационную безопасность.
Доверенная сетевая система должна обеспечивать такое распределение защитных механизмов, чтобы общая политика безопасности реализовывалась, несмотря на уязвимость коммуникационных путей и на параллельную, асинхронную работу компонентов.
Прямой зависимости между вычислительными базами компонентов, рассматриваемых как изолированные системы, и фрагментами сетевой вычислительной базы не существует. Более того, нет прямой зависимости и между уровнями безопасности отдельных компонентов и уровнем безопасности всей сетевой конфигурации. Например, в результате объединения двух систем класса B1, обладающих несовместимыми правилами кодирования меток безопасности, получается сеть, не удовлетворяющая требованию целостности меток. В качестве противоположного примера рассмотрим объединение двух компонентов, один из которых сам не обеспечивает протоколирование действий пользователя, но передает необходимую информацию другому компоненту, который и ведет протокол. В таком случае распределенная система в целом, несмотря на слабость компонента, удовлетворяет требованию подотчетности.
Чтобы понять суть положений, вошедших в первую часть, рассмотрим интерпретацию требований к классу безопасности C2. Первое требование к этому классу - поддержка произвольного управления доступом. Интерпретация предусматривает различные варианты распределения сетевой доверенной вычислительной базы по компонентам и, соответственно, различные варианты распределения механизмов управления доступом. В частности, некоторые компоненты, закрытые для прямого доступа пользователей, могут вообще не содержать подобных механизмов.
Интерпретация отличается от самих “Критериев” учетом динамичности сетевых конфигураций. Предусматривается наличие средств проверки подлинности и корректности функционирования компонентов перед их включением в сеть, наличие протокола взаимной проверки компонентами корректности функционирования друг друга, а также присутствие средств оповещения администратора о неполадках в сети. Сетевая конфигурация должна быть устойчива к отказам отдельных компонентов или коммуникационных путей.
Среди защитных механизмов в сетевых конфигурациях на первом месте стоит криптография, помогающая поддерживать как конфиденциальность, так и целостность. Следствием использования криптографических методов является необходимость реализации механизмов управления ключами.
Систематическое рассмотрение вопросов доступности является новшеством по сравнению не только с “Оранжевой книгой”, но и с рекомендациями X.800. Сетевой сервис перестает быть доступным, когда пропускная способность коммуникационных каналов падает ниже минимально допустимого уровня или сервис не в состоянии обслуживать запросы. Удаленный ресурс может стать недоступным и вследствие нарушения равноправия в обслуживании пользователей. Доверенная система должна иметь возможность обнаруживать ситуации недоступности, уметь возвращаться к нормальной работе и противостоять атакам на доступность.
Для обеспечения непрерывности функционирования могут применяться следующие защитные меры:
· внесение в конфигурацию той или иной формы избыточности (резервное оборудование, запасные каналы связи и т.п.);
· наличие средств реконфигурирования для изоляции и/или замены узлов или коммуникационных каналов, отказавших или подвергшихся атаке на доступность;
· рассредоточенность сетевого управления, отсутствие единой точки отказа;
· наличие средств нейтрализации отказов (обнаружение отказавших компонентов, оценка последствий, восстановление после отказов);
· выделение подсетей и изоляция групп пользователей друг от друга.
Одним из важнейших в “Оранжевой книге” является понятие монитора обращений. Применительно к структурированию сетевой конфигурации можно сформулировать следующее утверждение, обеспечивающее достаточное условие корректности фрагментирования монитора обращений.
Пусть каждый субъект (то есть процесс, действующий от имени какого-либо пользователя) заключен внутри одного компонента и может осуществлять непосредственный доступ к объектам только в пределах этого компонента. Далее, пусть каждый компонент содержит свой монитор обращений, отслеживающий все локальные попытки доступа, и все мониторы реализуют согласованную политику безопасности. Пусть, наконец, коммуникационные каналы, связывающие компоненты, сохраняют конфиденциальность и целостность передаваемой информации. Тогда совокупность всех мониторов образует единый монитор обращений для всей сетевой конфигурации.
Данное утверждение является теоретической основой декомпозиции распределенной ИС в объектно-ориентированном стиле в сочетании с криптографической защитой коммуникаций.
ЗАКЛЮЧЕНИЕ
В данной работе мы рассмотрели основные зарубежные стандарты информационной безопасности, показав при этом их отличительные черты. Можно сказать, что исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем". Современные стандарты, используемые в Российской Федерации, во многом перекликаются с данным документом. Главной задачей стандартов безопасности является создание основы для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор, а производителям — получить объективную оценку возможностей своего продукта. Так, можно сказать, что благодаря использованию стандартов:
· пользователь может сократить свои затраты на сертификацию продуктов;
· сертифицирующие органы могут привлечь дополнительный поток заказов на сертификацию из-за рубежа;
· производители высокотехнологичных продуктов могут получить международные сертификаты, что в свою очередь позволяет им выйти на закрытые ранее рынки.
СПИСОК ЛИТЕРАТУРЫ
- Галатенко В.А. Стандарты информационной безопасности – М.: 2004
- Липаев В.В. Программная инженерия. Методологические основы. – М.: ТЭИС, 2007.
- Информационный бюллетень «Новости международной стандартизации
МЭК и ИСО» № 1, 2008 – 47 стр. – С. 5 .
- Позднеев Б.М. Стандартизация информационно-коммуникационных технологий в образовании / Научно-практический журнал «Открытое образование» № 6, 2007 – 82 стр. – С.5.
- Позднеев Б.М., Марков К.И., Дубровин А.В. – О новых международных стандартах в области электронного обучения // eLearning World – № 2 (22), март – май
- Зегжда Д. П., Ивашко А. М. Основы безопасности информационных систем.– М.: Горячая линия – Телеком,
- http://edu.pgtu.ru
- http://unix1.jinr.ru
- http://www.npo-echelon.ru/
- http://www.infobez.com
