Профиль защиты ОС Линукс

Автор: Пользователь скрыл имя, 22 Декабря 2010 в 15:27, курсовая работа

Описание работы

Целью данной работы является разработка профиля защиты информационного продукта на примере операционной системы Linux.
Задачи данной работы:
* раскрытие объекта оценки на примере операционной системы Linux;
* приведение соответствующего профиля защиты, разработанного с помощью стандарта ГОСТ Р ИСО/ МЭК 15408-2002 («Общие критерии»).

Содержание

Введение…………………………………………………………………………...6
1 Операционная система Linux…………………………………………………..7
1.1Понятие и характеристики операционной системы Linux ……………7
1.2 Безопасность Linux ……………………………………………………...9
2 Профиль защиты операционной системы Linux…………………………….11
2.1 Описание объекта оценки……………………………………………...11
2.2 Среда безопасности ОО……………………………………………….13
2.2.1 Угрозы…………………………………………………………...13
2.2.2 Политики безопасности………………………………………..14
2.2.3 Предположения безопасности…………………………………16
2.3 Цели безопасности…………………….……………………………….17
2.4 Функциональные требования безопасности………………………….20
2.5 Требования доверия к безопасности……………………………….....23
2.6 Обоснование………………………………………………………........25
2.6.1 Цели безопасности, вытекающие из угроз……………………25
2.6.2 Цели, вытекающие из политик безопасности………………....31
2.6.3 Обоснование требований……………………………………….34
Заключение…………………………………………………………………….....42
Список использованных источников…………………………………………...43
Приложение 1………………………………………………………………….....44

Работа содержит 1 файл

Курсовая работа Разработка профиля защиты ОС Linux.doc

— 456.00 Кб (Скачать)

    2.6.2 Цели, вытекающие из политик безопасности

      Каждой  определенной политике безопасности соответствует совокупность целей безопасности. В таблице 1.2 отображается соответствие между политиками, описанными в таблице 2.2.2.1, и целями. Далее, для каждой политики приводится объяснение данному соответствию.

      P.ACCESS_BANNER. Эта политика приводит к необходимости цели отображать консультативные предупреждения (O.DISPLAY_BANNER).

      P.ACCOUNT. Осуществление этой политики требует, чтобы пользователи были идентифицированы (O.USER_IDENTIFICATION), чтобы их действия были под постоянным контролем (O.AUDIT_GENERATION) и чтобы результирующие записи их действий были доступны для обзора (O.AUDIT_REVIEW).

      P.AUTHORIZATION. Эта политика требует, чтобы пользователи в каждой из различных ролей (см. P.ROLES) обладали совокупностью возможностей, определенных ролью, которая ограничивает доступ к ресурсам (O.ACCESS). Так, доступ к данным ФБО реализуется администраторами (O.SELF_PROTECTION), а доступ к данным пользователя реализуется пользователями (O.PROTECT). Осуществление этой политики требует, чтобы пользователь был идентифицирован (O.USER_IDENTIFICATION).

      P.AUTHORIZED_USERS. Для осуществления этой политики необходимо знать, кто является пользователем (O.USER_IDENTIFICATION), и необходима проверка подлинности заявленного идентификатора (O.USER _AUTHENTICATION).

      P.CLEARANCE. Осуществление этой политики требует, чтобы данные были «помечены» (O.MARKINGS) и каждому пользователю назначены уровни разрешений (O.USER_IDENTIFICATION). Уровни разрешений используются при осуществлении политик безопасности, основанных на метках (O.MANDATORY_ACCESS, O.MANDATORY_INTEGRITY, O.ACCESS).

      P.I_AND_A. Эта политика требует, чтобы пользователи заявляли свой идентификатор, и он был верифицирован (O.USER_AUTHENTICATION).

      P.LABELED_OUTPUT. Начало и конец любого читаемого, просматриваемого вывода на твердую копию должны быть отмечены метками чувствительности, которые должным образом представляют чувствительность вывода. Осуществление этой политики требует, чтобы данные были «помечены» (O.MARKINGS).

      P.NEED_TO_KNOW. Осуществление этой политики требует защиты ресурсов (O.PROTECT) согласно правилам политики дискреционного управления доступом (O.DISCRETIONARY _ACCESS), которая управляет доступом (O.ACCESS), основанным на идентификаторах пользователей (O.USER_IDENTIFICATION), установленных владельцем объекта (O.DIS-CRETIONARY_USER _CONTROL).

      P.REMOTE_ADMIN_ACCESS. Чтобы управлять системой (O.MANAGE) дистанционно, у администраторов должен быть защищенный коммуникационный маршрут (O.ENCRYPTED_CHANNEL). Возможность использовать этот маршрут (O.ENCRYPTION_SERVICES) предоставлена только уполномоченным (O.USER_AUTHENTICATION) администраторам (O.USER _IDENTIFICA-TION) как определено в руководстве администратора (O.TRAINED_ADMIN). Администраторам также необходимы средства определения того, что они действительно взаимодействуют с ФБО (O.TRUSTED_PATH). При дистанционном доступе администратора необходима защита данных ФБО, переданных к и от ОО (O.TSF_CRYPTOGRA-PHIC_INTEGRITY).

      P.RESOURCE_LABELS. Любой ресурс должен быть ассоциирован со своей меткой, определяющей уровень чувствительности данных, содержащихся в нем.

      P.ROLES. Эта политика требует, чтобы существовали отдельные роли, как представлено в  руководстве пользователя (O.TRAINED_USERS) и в руководстве администратора (O.MANAGE, O.TRAINED_ADMIN).

      P.SYSTEM_INTEGRITY.Данная политика требует, чтобы ОО восстанавливался (O.RECOVERY) или периодически самостоятельно, или с помощью администраторов, (O.TRAINED_ADMIN) для того  чтобы поддерживать свою безопасность (O.TRUSTED_SYSTEM_OPERATION). Это обеспечивает защищенность ФБО  (O.SELF_PROTECTION). Такая проверка правильности также осуществляется на криптографическом модуле (O.TSF_CRYP-TOGRAPHIC _INTEGRITY).

      P.INDEPENDENT_TESTING. Эта политика требует, чтобы независимое тестирование (O.TESTING) было выполнено вместе с анализом уязвимостей (O.VULNERABILITY _ANALYSIS), для того чтобы демонстрировать адекватность проекта системы (O.PENETRATION_TEST).

      P.TRACE. Должна быть возможность анализа сгенерированных событий аудита (O.AUDIT_REVIEW).

      P.TRUSTED_RECOVERY. Эта политика требует, чтобы ОО был способен восстановить свое безопасное состояние (O.RECOVERY).

      P.USER_LABELS. Эта политика требует, чтобы каждый пользователь (O.USER_IDENTIFICATION) был ассоциирован с меткой (O.MARKINGS).

      P.VULNERABILITY_SEARCH. Система должна подвергаться анализу на уязвимости. Эта политика требует, чтобы производился анализ на уязвимости (O.VULNERABILITY_ANALYSIS).

 

    2.6.3 Обоснование требований

      Каждая  из целей безопасности, указанных  в разделах 2.6.1 и 2.6.2, удовлетворяется совокупностью требований безопасности. В таблице 1.3 представлена взаимосвязь между целями, описанными в таблице 2.3.1, и требованиями.

      O.ACCESS. Система позволяет получить доступ к себе и к своим ресурсам только [FPT_RVM.1] в соответствии с политиками управления доступом и целостностью [FDP_ACC.2, FDP_ACF.1, FDP_IFC.2, FDP_IFF.2, FDP_IFF.3]. При осуществлении этих политик происходит сравнение атрибутов пользователей [FIA_UAU.1, FIA_UID.1] и объектов [FDP_ETC.2]. Должны быть предупреждения по умолчанию перед предоставлением доступа к системе [FTA_TAB.1], а также повторная аутентификация пользователя [FTA_SSL.2,  FTA_SSL.1]. Только администраторы [FIA_AFL.1] могут получать доступ к административным ресурсам и данным[FMT_MOF.1, FMT_MSA.1, FMT_MTD.1]. Доступ длится до тех пор, пока его не отменили [FMT_REV.1] или пока атрибуты, используемые для определения доступа, не изменяются [FMT_SAE.1].

      O.ACCESS_HISTORY. Информация о предыдущих сеансах отображается для пользователя.

      O.AUDIT_GENERATION.  Значимые для безопасности действия должны быть определены, возможны для аудита [FAU_GEN.1] и способны ассоциироваться с индивидуальными пользователями [FIA_USB.1]. Записи аудита должны быть сгенерированы в соответствии с атрибутами [FAU_SEL.1], выбранными администратором [FMT_MOF.1]. Ассоциированная метка времени должна быть надежной [FPT_STM.1]. Система аудита должна обнаруживать возможные нарушения безопасности [FAU_SAA.1] и предупреждать администратора[FAU_ARP.1]. Должна генерироваться запись аудита при каждом изменении состояния устройств экспорта данных [FDP_ETC.2]. Механизм аудита описан в терминах его предназначения [ADV_FSP.2] c его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Также определена политика аудита [ADV_SPM.1].

      O. AUDIT_PROTECTION. Журнал аудита должен быть защищен так, чтобы только уполномоченные пользователи могли получать к нему доступ [FAU_SAR.2]. Для этого должны быть доступны административные функции [FMT_MOF.1, FMT_MTD.1]. Журнал аудита должен быть совершенным [FAU_STG.1]. Политика аудита [ADV_SPM.1] включает описание защиты данных аудита.

      O. AUDIT_REVIEW. Уполномоченный администратор должен быть способен просматривать содержимое [FAU_SAR.1] записей аудита и предупреждения о нарушениях [FAU_ARP.1]. При генерации записи должны сортироваться [FPT_STM.1] таким образом, чтобы по записям могли быть воссозданы события. Политика аудита [ADV_SPM.1] включает описание доступных средств [ADV_HLD.2], необходимых для того, чтобы делать обзор данных аудита [ADV_FSP.2].

      O.CONFIG_MGMT. Версии ОО должны отслеживаться [ACM_SCP.2], для того чтобы предотвратить некорректные изменения в их представлении в процессе разработки. Автоматизированная система [ACM_AUT.1] должна сопровождать ОО и ассоциированную с ним документацию [ACM_CAP.4] и отслеживать любые недостатки в безопасности, которые обнаружены в процессе разработки. ОО разрабатывается в соответствии с моделью жизненного цикла [ALC_LCD.1]. Меры безопасности, используемые в процессе разработки и сопровождения ОО [ALC_DVS.1], будут документированы наряду с инструментальными средствами, используемыми в процессе разработки [ALC_TAT.1], и процедурами для коррекции недостатков, обнаруженных в процессе сопровождения [ALC_FLR.2].

      O.DISCRETIONARY_ACCESS. Дискреционное управление доступом должно иметь определенную область применения [FDP_ACC.2]. Правила политики DAC должны быть определены [FDP_ACF.1]. Атрибуты безопасности объектов [FMT_MTD.1] и субъектов [FIA_USB.1], используемые для осуществления политики DAC [FPT_RVM.1], должны быть определены. Это управление доступом применяется для объектов, экспортируемых в ОДФ [FDP_ETC.2] и импортированных из-за пределов ОДФ [EXT-FDP_ITC.1, FDP_ITC.2] или к и от удаленных ОО [FDP_ITT.1]. Уполномоченные пользователи могут управлять доступом тех лиц, которые имеют доступ к объектам [FMT_MSA.1], и возможность отменять этот доступ [FMT_REV.1]. Защита указанных объектов должна быть непрерывна, начиная с момента создания объекта [FMT_MSA.3]. Механизм дискреционного управления доступом описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Определена также политика дискреционного управления доступом [ADV_SPM.1].

      O.DISCRETIONARY_USER_CONTROL. Владельцы объектов и администраторы могут изменять атрибуты объекта, используемые для осуществления дискреционной политики управления доступом [FDP_ACF.1].

      O.DISPLAY_BANNERS. Прежде чем пользователи будут идентифицированы [FIA_UID.1] и аутентифицированы [FIA_UAU.1] в системе, для них предоставляется сообщение, описывающее правильное использование системы [FTA_TAB.1]. Это сообщение может также отображаться в других случаях, когда пользователи аутентифицируются [FTA_SSL.1, FTA_SSL.2].

      O.ENCRYPTED_CHANNEL. Операции шифрования [FCS_COP.1] поддерживают безопасную передачу данных ФБО между физически раздельными частями ОО [FPT_ITT.1]. Такой же вид канала может использоваться для реализации коммуникационного маршрута между пользователями и ОО [FTP_TRP.1].

      O.ENCRYPTION_SERVICES. Криптографические операции [FCS _COP.1, EXT-FCS_COP.2] и сервисы управления ключами [FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4, EXT-FCS_CKM.5] используются для того, чтобы обеспечить сервисы шифрования. Ключи ассоциированы с пользователями [FIA_USB.1] и управляются администратором по криптографии [FMT_MTD.1]. Криптографический модуль, поддерживающий эти сервисы, периодически тестируется [EXT-FPT_CTST.1], для того чтобы убедиться, что он работает правильно. Данные ФБО должны быть защищены в транзите [FPT_ITT.1, FPT_ITT.3]. Криптографический модуль описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Описание архитектуры [ADV_IMP.2] включает, кроме представления различных модулей, представление криптографического модуля, который должен быть разработан так, чтобы его функционирование осуществлялось в домене, отделенном от других модулей [ADV_INT.1]. Любая политика шифрования должна быть описана [ADV_SPM.1].

      O.INSTALL. Процедуры безопасной поставки [ADO_DEL.2] и инсталляции [ADO_IGS.1] ОО должны быть документированы.

      O.MANDATORY_INTEGRITY. Политика мандатного управления целостностью [FDP_IFC.2] реализует правила [FPT_RVM.1], основанные на атрибутах пользователей [FIA_USB.1] и объектов, управляемых ОО, как определено правилами [FDP_IFF.2], установленными администратором [FMT_MSA.1]. Эта политика также охватывает объекты, экспортируемые [FDP_ETC.2] и импортируемые [EXT-FDP_ITC.1, FDP_ITC.2] от/к ОО, а также объекты, которыми обмениваются между собой отдельные части ОО [FDP_ITT.1]. Доступ отменяется при изменении атрибутов для удаленного доступа [FMT_REV.1]. Метка данных пользователя рассматривается как данные ФБО и, следовательно, должна быть защищена, когда передаются ассоциированные с ней данные пользователя [FPT_ITT.3]. Механизм мандатного управления целостностью описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Определена также политика мандатного управления целостностью [ADV_SPM.1].

      O.MANAGE. Процедуры администратора для безопасной поставки [ADO_DEL.2], установки [ADO_IGS.1] и администрирования [AGD_ADM.1] ОО должны быть документированы. Должны быть возможности осуществления аудита значимых для безопасности событий [FAU_GEN.1, FAU_GEN.2], средства для обзора всех записей аудита [FAU_SAR.1] или выборочных записей [FAU_SAR.3] и средства управления заполнением журнала аудита [FAU_STG.4]. Должны быть в наличии средства для предупреждения администраторов о возможных нарушениях безопасности [FAU_ARP.1] и способ установления правил для определения того, что составляет нарушение безопасности [FAU_SAA.1]. Должны быть средства самотестирования ОО [FPT_TST.1] и криптографического модуля [EXT-FPT_CTST.1]. Должны быть средства управления криптографическими сервисами [FCS_COP.1, EXT-FCS_COP.2] и управления ключами [FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, EXT-FCS_CKM.5]. Должны быть средства, связанные с управлением данных, импортируемых в ОО [FDP_ITC.2] или экспортируемых из ОО [FDP_ETC.2]. Должны быть средства управления функциями безопасности [FMT_MOF.1], данными ФБО [FMT_MTD.1] и атрибутами безопасности [FMT_MSA.1, FMT_MSA.2, FMT_MSA.3], а также средства, связанные с истечением срока действия атрибутов безопасности [FMT_SAE.1].

      O.MANDATORY_ACCESS.  Политика мандатного управления доступом [FDP_IFC.2] реализует правила [FPT_RVM.1], основанные на атрибутах пользователей [FIA_USB.1] и объектов, управляемых ОО, как это определено правилами [FDP_IFF.2, FDP_IFF.3], установленными администратором [FMT_MSA.1]. Эта политика также охватывает объекты, экспортируемые [FDP_ETC.2] и импортируемые [EXT-FDP_ITC.1, FDP_ITC.2] из/в ОО, а также объекты, которыми обмениваются между собой отдельные части ОО [FDP_ITT.1]. Доступ отменяется, когда атрибуты изменяются при удаленном доступе [FMT_REV.1]. Механизм мандатного управления доступом описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Определена также политика мандатного управления доступом [ADV_SPM.1].

      O.MARKINGS.  Метки используются политиками мандатного управления доступом и мандатного управления целостностью [FDP_IFF.2] в пределах ОО, а также для объектов, экспортируемых [FDP_ETC.2] и импортируемых [EXT-FDP_ITC.1, FDP_ITC.2] из/в ОО. Метки ассоциированы [FIA_USB.1] с пользователями [FIA_ATD.1] и управляются [FMT_MTD.1] администраторами [FMT_MSA.1, FMT_MSA.2]. Также должна быть непротиворечивая интерпретация маркировки, ассоциированная с данными ФБО, совместно используемыми различными ОО [FPT_TDC.1]. Изменения в ассоциированных маркировках могут приводить к отмене доступа к объекту [FMT_REV.1].

      O.PENETRATION_TEST. ОО должен подвергнуться независимому тестированию [ATE_IND.2], основанному на анализе уязвимостей. Этот анализ обеспечивает поиск скрытых каналов в криптографическом модуле [EXT-AVA_CCA.1] и любых уязвимостей, которые могли бы быть вызваны неясной документацией [AVA_MSU.1]. Данный анализ уязвимостей должен быть систематическим и показывать, что ОО является стойким к нарушителям с умеренным потенциалом нападения [AVA_VLA.3]. Тестирование должно также подтверждать каждое утверждение стойкости функций [AVA_SOF.1].

Информация о работе Профиль защиты ОС Линукс