Автор: y********@mail.ru, 27 Ноября 2011 в 19:16, курсовая работа
Критерії оцінки безпеки комп'ютерних систем" (Trusted Computer System Evaluation Criteria -TCSEC), що отримали неформальну, але міцно таку, що закріпилося назву "Помаранчева книга", були розроблені і опубліковані Міністерством оборони США в 1983 р. з метою визначення вимог безпеки, комп'ютерних систем, що пред'являються до апаратного, програмного і спеціального програмного і інформаційного забезпечення, і вироблення методології і технології аналізу міри підтримки політики безпеки в комп'ютерних системах в основному військового призначення.
План
1. Критерії оцінки безпеки комп'ютерих систем Міністерства Оборони США «Поморанчева книга»
1.1. Загальна структура вимог TCSEC
1.2. Класи захищеності комп'ютерних систем по TCSEC
1.2.1. Вимоги до політики безпеки
1.2.2. Вимоги до підзвітності
1.2.3. Вимоги до гарантованості
1.2.4. Вимоги до документації
1.2. Інтерпретація і розвиток TCSEC
2. НД ТЗІ 2.5-004-99
2.1. Галузь використання
2.2. Побудова і структура критеріїв захищеності інформації
2.3. Функціональні послуги
Список використаної літератури
Курсова робота
з дисципліни “ Системи технічного захисту інформації ”
на тему: “Основі критерії захищеності АС.Основні компоненти безпеки TCSEC.
Функціональні
послуги безпеки за НД ТЗІ 2.5-004-99”
Київ 2010
План
1. Критерії
оцінки безпеки комп'ютерих систем
Міністерства Оборони США «
1.1. Загальна структура вимог TCSEC
1.2. Класи захищеності комп'
1.2.1. Вимоги до політики безпеки
1.2.2. Вимоги до підзвітності
1.2.3. Вимоги до гарантованості
1.2.4. Вимоги до документації
1.2. Інтерпретація і розвиток TCSEC
2. НД ТЗІ 2.5-004-99
2.1. Галузь використання
2.2. Побудова і структура
2.3. Функціональні послуги
Список використаної
літератури
1. КРИТЕРІЇ ОЦІНКИ
БЕЗПЕКИ КОМП'ЮТЕРНИХ СИСТЕМ
Критерії оцінки
безпеки комп'ютерних систем"
(Trusted Computer System Evaluation Criteria -TCSEC), що отримали
неформальну, але міцно таку, що закріпилося
назву "Помаранчева книга", були
розроблені і опубліковані Міністерством
оборони США в 1983 р. з метою
визначення вимог безпеки, комп'ютерних
систем, що пред'являються до апаратного,
програмного і спеціального програмного
і інформаційного забезпечення, і
вироблення методології і технології
аналізу міри підтримки політики
безпеки в комп'ютерних
У даному документі
були вперше формально (хоча і не цілком
строго) визначені такі поняття, як
"політика безпеки", "коректність"
і ін. Згідно "Помаранчевій книзі"
безпечна комп'ютерна система - це система,
що підтримує управління доступом до
оброблюваної в ній інформації так,
що лише відповідним чином авторизовані
користувачі або процеси (суб'єкти),
що діють від їх імені, дістають можливість
читати, записувати, створювати і видаляти
інформацію. Запропоновані в цьому
документі концепції захисту
і набір функціональних вимог
послужили основою для
1.1. Загальна структура вимог TCSEC
У "Помаранчевій книзі" запропоновано три категорії вимог безпеки: політика безпеки, аудит і коректність, в рамках яких сформульовано шість базових вимог безпеки. Перші чотири вимоги направлено безпосередньо на забезпечення безпеки інформації, а два останніх-на якість засобів захисту. Розглянемо ці вимоги детальніше.
Політика безпеки
Вимога 1. Політика безпеки. Система повинна підтримувати точно певну політику безпеки. Можливість доступу суб'єктів до об'єктів повинна визначатися на підставі їх ідентифікації і набору правил управління доступом. Там, де це необхідно, повинна використовуватися політика мандатного управління доступом, що дозволяє ефективно реалізувати розмежування доступу до інформації різного рівня конфіденційності.
Вимога 2. Мітки. З об'єктами мають бути асоційовані мітки безпеки, використовувані як вихідна інформація для процедур контролю доступу. Для реалізації мандатного управління доступом система повинна забезпечувати можливість привласнювати кожному об'єкту мітку або набір атрибутів, що визначають міру конфіденційності (гриф секретності) об'єкту і режими доступу до цього об'єкту.
Згідно "Помаранчевій книзі", політика безпеки повинна включати принаймні наступні елементи:
* довільне управління доступом;
* безпека
повторного використання об'
* мітки безпеки;
* примусове управління доступом.
Розглянемо перераховані елементи детальніше.
Довільне управління доступом
Довільне управління доступом - це метод обмеження доступу до об'єктів, заснований на обліку особи суб'єкта або групи, в яку суб'єкт входить. Довільність управління полягає в тому, що деяка особа (зазвичай власник об'єкту) може на свій розсуд давати іншим суб'єктам або відбирати у них права доступу до об'єкту.
Поточний стан прав доступу при довільному управлінні описується матрицею, в рядках якої перераховані суб'єкти, а в стовпцях - об'єкти. У клітках, розташованих на пересіченні рядків і стовпців, записуються способи доступу, допустимі для суб'єкта по відношенню до об'єкту, наприклад: читання, запис, виконання, можливість передачі прав іншим суб'єктам і тому подібне
Вочевидь, прямолінійне
представлення подібної матриці
неможливе (оскільки вона дуже велика),
та і не потрібно (оскільки вона розріджена,
тобто більшість кліток в ній
порожні). У операційних системах
компактніше представлення
Більшість операційних систем і систем управління базами даних реалізують саме довільне управління доступом. Головне його достоїнство - гнучкість, головні недоліки - розосередженість управління і складність централізованого контролю, а також відірваність прав доступу від даних, що дозволяє копіювати секретну інформацію в загальнодоступні файли.
Безпека повторного використання об'єктів
Безпека повторного використання об'єктів - важливе на практиці доповнення засобів управління доступом, що оберігає від випадкового або навмисного витягання секретної інформації з "сміття". Безпека повторного використання повинна гарантуватися для областей оперативної пам'яті, зокрема для буферів з образами екрану, розшифрованими паролями і тому подібне, для дискових блоків і магнітних носіїв в цілому.
Поважно звернути увагу на наступний момент. Оскільки інформація про суб'єктів також є об'єктом, необхідно поклопотатися про безпеку "повторного використання суб'єктів". Коли користувач покидає організацію, слід не лише позбавити його можливості входу в систему, але і заборонити доступ до всіх об'єктів. Інакше новий співробітник може отримати ідентифікатор, що раніше використався, а з ним і всі права свого попередника.
Сучасні інтелектуальні периферійні пристрої ускладнюють забезпечення безпеки повторного використання об'єктів. Дійсно, принтер може буферизувати декілька сторінок документа, які залишаться в пам'яті навіть після закінчення друку. Необхідно зробити спеціальні заходи, аби "виштовхнути" їх звідти.
Втім, інколи організації захищаються від повторного використання дуже ревно - шляхом знищення магнітних носіїв. На практиці свідомо досить триразового запису випадкових послідовностей біт.
Мітки безпеки
Для реалізації примусового управління доступом з суб'єктами і об'єктами використовуються мітки безпеки. Мітка суб'єкта описує його благонадійність, мітка об'єкту - міра закритості інформації, що міститься в нім.
Згідно "Помаранчевій книзі", мітки безпеки складаються з двох частин: рівня секретності і списку категорій. Рівні секретності, підтримувані системою, утворюють впорядковану безліч, яка може виглядати, наприклад, так:
* цілком таємний;
* таємно;
* конфіденційно;
* нетаємно.
Категорії утворюють неврегульований набір. Їх призначення - описати наочну область, до якої відносяться дані. У військової області кожна категорія може відповідати, наприклад, певному вигляду озброєнь. Механізм категорій дозволяє розділити інформацію "по відсіках", що сприяє кращій захищеності. Суб'єкт не може дістати доступ до "чужих" категорій, навіть якщо його рівень благонадійності - "цілком таємний". Фахівець з танків не взнає тактико-технічні дані літаків.
Головна проблема, яку необхідно вирішувати у зв'язку з мітками, - це забезпечення їх цілісності. По-перше, не повинно бути непомічених суб'єктів і об'єктів, інакше в меточной безпеці з'являться легко використовувані проломи. По-друге, при будь-яких операціях з даними мітки повинні залишатися правильними. Особливо це відноситься до експорту і імпорту даних. Наприклад, друкарський документ повинен відкриватися заголовком, що містить текстове і графічне представлення мітки безпеці. Аналогічно, при передачі файлу по каналу зв'язку повинна передаватися і асоційована з ним мітка, причому у такому вигляді, аби видалена система могла її протрактовать, не дивлячись на можливі відмінності в рівнях секретності і наборі категорій.
Мітки безпеки суб'єктів рухливіші, ніж мітки об'єктів. Суб'єкт може протягом сеансу роботи з системою змінювати свою мітку, природно, не виходячи за зумовлені для нього рамки. Іншими словами, він може свідомо занижувати свій рівень благонадійності, аби зменшити вірогідність неумисної помилки. Взагалі, принцип мінімізації привілеїв - вельми розумний засіб захисту.
Примусове управління доступом
Примусове управління доступом засноване на зіставленні міток безпеки суб'єкта і об'єкту.
Суб'єкт може читати інформацію з об'єкту, якщо рівень секретності суб'єкта не нижчий, ніж в об'єкту, а всі категорії, перераховані в мітці безпеки об'єкту, присутні в мітці суб'єкта. В такому разі говорять, що мітка суб'єкта домінує над міткою об'єкту. Сенс сформульованого правила зрозумілий - читати можна лише те, що покладене.
Суб'єкт може записувати інформацію в об'єкт, якщо мітка безпеки об'єкту домінує над міткою суб'єкта. Зокрема, "конфіденційний" суб'єкт може писати в секретні файли, але не може - в несекретних (зрозуміло, повинні також виконуватися обмеження на набір категорій). На перший погляд, подібне обмеження може здатися дивним, проте воно сповна розумне. Ні при яких операціях рівень секретності інформації не повинен знижуватися, хоча зворотний процес сповна можливий. Стороння людина може випадково взнати секретні відомості і повідомити їх куди слід, проте особа, допущена до роботи з секретними документами, не має права розкривати їх вміст простому смертному.
Описаний спосіб
управління доступом називається примусовим,
оскільки він не залежить від волі
суб'єктів (навіть системних адміністраторів).
Після того, як зафіксовані мітки
безпеки суб'єктів і об'єктів,
виявляються зафіксованими і
права доступу. В термінах примусового
управління не можна виразити пропозицію
"вирішити доступ до об'єкту X ще і
для користувача Y". Звичайно, можна
змінити мітку безпеки
Примусове управління
доступом реалізоване в багатьох
варіантах операційних систем і
СУБД, що відрізняються підвищеними
заходами безпеки. Зокрема, такі варіанти
існують для SUNOS і СУБД Ingres. Незалежно
від практичного використання принципи
примусового управління є зручним
методологічним базисом для початкової
класифікації інформації і розподілу
прав доступу. Зручніше мислити в
термінах рівнів секретності і категорій,
чим заповнювати
Підзвітність
Вимога 3. Ідентифікація
і аутентифікація. Всі суб'єкти повинні
мати унікальні ідентифікатори. Контроль
доступу повинен здійснюватися
на підставі результатів ідентифікації
суб'єкта і об'єкту доступу, підтвердження
достовірності їх ідентифікаторів
(аутентифікації) і правил розмежування
доступу. Дані, використовувані для
ідентифікації і
Вимога 4. Реєстрація
і облік. Для визначення міри відповідальності
користувачів за дії в системі, всі
події, що відбуваються в ній, мають
значення з точки зору безпеки, повинні
відстежуватися і реєструватися
в захищеному протоколі (тобто повинен
існувати об'єкт комп'ютерної системи,
потоки від якого і до якого
доступні лише суб'єктові адміністрування).
Система реєстрації повинна здійснювати
аналіз загального потоку подій і
виділяти з нього лише ті події, які
роблять вплив на безпеку для
скорочення об'єму протоколу і
підвищення ефективності його аналізу.
Протокол подій має бути надійно
захищений від
Гарантії (коректність)
Вимога 5. Контроль
коректності функціонування засобів
захисту. Засоби захисту повинні
містити незалежні апаратні і
програмні компоненты, що забезпечують
працездатність функцій захисту. Це
означає, що всі засоби захисту, що забезпечують
політику безпеки, управління атрибутами
і мітками безпеки, ідентифікацію
і аутентифікацію, реєстрацію і облік,
повинні знаходитися під