Реферат
На
тему:
Стандарты
безопасности компьютерных
систем и ИТ
Москва
2010
Стандарты
безопасности компьютерных
систем и ИТ — стандарт Министерства
обороны США,
устанавливающий основные
условия для оценки
эффективности средств
компьютерной безопасности,
содержащихся в компьютерной
системе. Критерии используются
для определения, классификации
и выбора компьютерных
систем предназначенных
для обработки, хранения
и поиска важной или
секретной информации.
Стандарты
в области информационной
безопасности призваны
выработать четкий набор
критериев, следуя которым,
можно свести к
минимуму возможные
угрозы системе. При
оценке безопасности
информационных систем
следует учитывать мнение трех
групп специалистов:
разработчиков ИС, заказчиков
или пользователей ИС,
специалистов - аналитиков
по информационной безопасности.
ОРАНЖЕВАЯ
КНИГА СТАНДАРТОВ
- Оранжевая
книга («Критерии оценки доверенных
компьютерных систем» - стандарт министерства
обороны США). Стандарт был принят в 1983
году. Для адаптации стандарта изменяющимся
аппаратно-программным условиям в последствие
было принято большое количество сопутствующих
документов, приспосабливающих стандарт
современным условиям. В Оранжевой книге
безопасная компьютерная система - это
система, поддерживающая управление доступом
к обрабатываемой в ней информации так,
что только соответствующим образом авторизованные
пользователи или процессы, действующие
от их имени, получают возможность читать,
писать, создавать и удалять информацию.
В оранжевой книге предложены три критерия
требований безопасности – политика безопасности,
аудит и корректность и сформулированы
шесть базовых требований безопасности:
- Политика
безопасности. Система должна поддерживать
точно определенную политику безопасности.
- Метки.
С объектами должны быть ассоциированы
метки безопасности, используемые в качестве
атрибутов контроля доступа.
- Идентификация
и аутентификация. Все субъекты должны
иметь уникальные идентификаторы.
- Регистрация
и учет. Все события, значимые с точки
зрения безопасности, должны отслеживаться
и регистрироваться в защищенном журнале.
- Контроль
корректности. Средства защиты должны
иметь независимые аппаратные и программные
компоненты, обеспечивающие работоспособность
функций защиты.
- Непрерывность
защиты. Все средства защиты должны
быть защищены от несанкционированного
вмешательства.
- В Оранжевой
книге определяются четыре уровня доверия:
D, C, B и A. Уровень D соответствует системам,
признанным неудовлетворительными с точки
зрения безопасности. По мере продвижения
от уровня C к уровню A к системе предъявляются
все более жесткие требования. Уровни
C и B подразделяются также на классы, с
постепенным возрастанием степени доверия.
Всего имеется шесть таких классов (вместе
с уровнем A): С1, C2, B1, B2, B3, A.
Уровень
С
- Класс C1
- Политика
безопасности и уровень гарантированности
для данного класса должны удовлетворять
следующим важнейшим требованиям:
- 1) доверенная
вычислительная база должна управлять
доступом именованных пользователей к
именованным объектам;
- 2) пользователи
должны идентифицировать себя, причем
аутентификационная информация должна
быть защищена от несанкционированного
доступа;
- 3) доверенная
вычислительная база должна поддерживать
область для собственного выполнения,
защищенную от внешних воздействий;
- 4) должны
быть в наличии аппаратные или программные
средства, позволяющие периодически проверять
корректность функционирования аппаратных
и микропрограммных компонентов доверенной
вычислительной базы;
- 5) защитные
механизмы должны быть протестированы
(нет способов обойти или разрушить средства
защиты доверенной вычислительной базы);
- 6) должны
быть описаны подход к безопасности и
его применение при реализации доверенной
вычислительной базы.
- Класс C2
- (в дополнение
к C1):
- 1) права доступа
должны гранулироваться с точностью до
пользователя. Все объекты должны подвергаться
контролю доступа.
- 2) при выделении
хранимого объекта из пула ресурсов доверенной
вычислительной базы необходимо ликвидировать
все следы его использования.
- 3) каждый
пользователь системы должен уникальным
образом идентифицироваться. Каждое регистрируемое
действие должно ассоциироваться с конкретным
пользователем.
- 4) доверенная
вычислительная база должна создавать,
поддерживать и защищать журнал регистрационной
информации, относящейся к доступу к объектам,
контролируемым базой.
- 5) тестирование
должно подтвердить отсутствие очевидных
недостатков в механизмах изоляции ресурсов
и защиты регистрационной информации.
Список
Литературы:
- Свободная
энциклопедия «Википедия»
- http://ssofta.narod.ru
- http://protect.htmlweb.ru