Захист інформації в операційних системах, мережах і системах керування базами даних

Захист інформації в операційних системах, мережах і системах керування базами даних

Конспект лекцій

Лекція 1

Основні питання

NДля чого ми захищаємо інформацію?

NДе ми захищаємо інформацію?

NЯк ми захищаємо інформацію?

Обґрунтування необхідності захисту інформації

NІнформаційні ресурси держави, суспільства в цілому, окремих організацій і фізичних осіб являють визначену цінність, мають відповідне матеріальне вираження і вимагають захисту від різних впливів, що можуть призвести до зниження їхньої цінності

Політика безпеки [інформації]

Nсукупність

¨ законів,

¨ правил,

¨ обмежень,

¨ рекомендацій,

¨ інструкцій і т.д.,

Nщо регламентують порядок обробки інформації

Властивості інформації

NКонфіденційність

¨лише уповноважені користувачі можуть ознайомитись з інформацією

NЦілісність

¨лише уповноважені користувачі можуть модифікувати інформацію

NДоступність

¨уповноважені користувачі можуть отримати доступ до інформації, не очікуючи довше за заданий (малий) час

Безпека інформації

NСтан інформації, в якому забезпечується збереження властивостей інформації, визначених політикою безпеки

Мета захисту

NКінцева мета: дотримання встановленої технології обробки інформації

¨Для цього:

NЗахист визначених властивостей інформації (конфіденційність, цілісність, доступність)

NЗахист апаратних і програмних засобів від пошкодження

¨Задачі захисту:

NПротидія визначеній множині загроз

NВиконання заданої політики безпеки

Автоматизована система (АС)

nАС - це організаційно-технічна система, що реалізує інформаційну технологію і поєднує:

¨обчислювальну систему (ОС);

¨фізичне середовище;

¨персонал;

¨Інформацію, що обробляється

nОС* - сукупність програмно-апаратних засобів, що призначені для обробки інформації

n

¨* не плутати з операційною системою (абревіатури співпадають)

Автоматизована система

Інформаційно-телекомунікаційна система (ІТС)

nДо інформаційно-телекомунікаційних систем відносять будь-яку систему, яка відповідає одному з трьох видів автоматизованих систем:

¨інформаційна система – організаційно-технічна система, що реалізує технологію оброблення інформації за допомогою засобів обчислювальної техніки і програмного забезпечення;

¨телекомунікаційна система – організаційно-технічна система, що реалізує технологію інформаційного обміну за допомогою технічних і програмних засобів шляхом передавання й приймання інформації у вигляді сигналів, знаків, звуків, зображень або іншим способом;

¨інтегрована система – сукупність двох або кількох взаємопов'язаних інформаційних і (або) телекомунікаційних систем, в якій функціонування однієї (або кількох) з них залежить від результатів функціонування іншої (інших) таким чином, що цю сукупність у процесі взаємодії можна розглядати як єдину систему.

Загроза, атака

nНесприятливий вплив:

¨вплив, що призводить до зниження цінності інформаційних ресурсів

nЗагроза:

¨будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації та (або) нанесення збитків АС

nАтака:

¨спроба реалізації загрози

Вразливість, захищеність

nВразливість системи:

¨нездатність системи протистояти реалізації певної загрози або сукупності загроз

nЗахищена АС:

¨АС, що здатна забезпечувати захист інформації, що обробляється, від певних загроз

Захист інформації в АС

Nдіяльність, спрямована на забезпечення безпеки інформації, що обробляють в АС, і АС в цілому, яка дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенціального збитку в результаті реалізації загроз

Комплексна система захисту інформації

NЗахист інформації в АС полягає у створенні й підтриманні у працездатному стані системи заходів як технічних (інженерних, програмно-апаратних), так і нетехнічних (правових, організаційних), що дозволяють запобігти або ускладнити можливість реалізації загроз, а також знизити потенційний збиток

NТаку систему заходів називають комплексною системою захисту інформації (КСЗІ)

Моделі

nМодель [політики] безпеки:

¨Абстрактний формалізований або неформалізований опис політики безпеки

nМодель загроз:

¨Абстрактний формалізований або неформалізований опис методів і засобів здійснення загроз

nМодель порушника:

¨Абстрактний формалізований або неформалізований опис порушника

Лекція 2

Етапи побудови засобу захисту

NФормування вимог

NРозроблення політики безпеки, моделі безпеки

NПроектування

NРеалізація і впровадження

NСупроводження

Модель загроз для операційної системи

NСканування файлової системи

NВикрадення ключової інформації

NПідбирання паролів

NЗбирання сміття

NПеревищення повноважень

NПрограмні закладки

NЖадібні програми

Сканування файлової системи

NВ подальшому ми взагалі не будемо розглядати ті ОС, які не здійснюють контроль доступу до файлів, але й ті, що такий контроль (керування, аудит) здійснюють, можуть бути атакованими.

Викрадення ключової інформації

Nдостатньо всього кілька тижнів тренувань для того, щоби фіксувати пароль за рухами рук користувача по клавіатурі

¨підглядання пароля на екрані

Підбирання паролів

NПідбирання паролів передбачає використання засобів автентифікації для знаходження того пароля, який буде прийнятий як правильний. В результаті порушник отримує несанкціонований доступ до певного ресурсу, якщо пароль використовується для обмеження доступу до ресурсу, або можливість працювати в системі від імені іншого користувача, якщо пароль використовується для автентифікації.

NБудь-яка система передбачає можливість того, що користувач під час введення пароля зробив помилку. Тому введення пароля можна повторити. В минулі часи кількість таких повторів не обмежувалась, а швидкість їх введення визначалась лише можливостями користувача. Це надавало можливість порушникам методично перебирати ймовірні паролі. Ще більшу небезпеку несла в собі можливість застосування спеціальних програмних засобів, які здійснюють спроби автентифікації. Найчастіше такі програмні засоби застосовуються при доступі до віддаленого ресурсу через мережу, але застосування таких програм можливе і локально у тих багатокористувальницьких ОС, які дозволяють переходити з одного облікового запису до іншого. Програмні засоби не лише здатні тривалий час без утоми повторювати спроби автентифікації, вони ще можуть робити такі спроби із значно більшою швидкістю, ніж користувач-людина, а також вони можуть використовувати словники, відсортовані з урахуванням частоти використання тих чи інших паролів.

nНебезпечність реалізації підбирання паролів призвела до того, що в усіх сучасних системах автентифікації вживаються заходи, які достатньо ефективно нейтралізують цю загрозу. Основні такі заходи – це обмеження швидкості введення паролів шляхом введення штучних затримок в процедуру їх перевірки, обмеження кількості спроб введення паролів (як правило до 3...5), після чого система автентифікації на певний час блокує подальші спроби введення паролів з тієї консолі, реєстрація спроб автентифікації, негайне повідомлення адміністратора про повторні невдалі спроби автентифікації, тощо.

NВ сучасних умовах крадіжка ключової інформації та підбирання паролів дуже часто реалізуються у комплексі. Як правило, паролі зберігаються у закодованому вигляді. Найкращий спосіб такого кодування – це обчислення хеш-функції. Якщо порушник викраде файл, що містить хеш-функції паролів, це не дасть йому змоги безпосередньо використати отриману інформацію для проходження автентифікації. Якщо хеш-функція є стійкою, то єдине, що порушник зможе зробити – це спробувати підібрати пароль, хеш-функція якого співпаде з відомою йому хеш-функцією. Таке підбирання, на відміну від безпосередніх спроб входу в систему, можна робити без обмежень на кількість спроб і на швидкість, використовуючи будь-яку наявну у порушника обчислювальну техніку.

Збирання сміття

NУ більшості файлових систем файли після їх видалення не знищуються фізично, а лише помічаються як знищені. Сектори диску, які були відведені для цього файлу, вважаються вільними, і на них можуть бути записані частини інших файлів. Але до нового запису вони продовжують містити дані, які знаходились у видаленому файлі. Здійснюючи прямий доступ до секторів диску, можна прочитати цю інформацію. Саме такий принцип використовують програми відновлення помилково видалених файлів. Підкреслимо, що таке відновлення вкрай малоймовірне для серверних файлових систем, і тому серверні ОС не мають утиліт відновлення помилково видалених файлів. Але це не унеможливлює збирання сміття. Наприклад, у багатозадачній серверній ОС може бути запущений окремий процес, який постійно переглядає вміст секторів диску, що звільняються.

NЩе простішим є інший спосіб – копіювання і вивчення тимчасових файлів. Практично усі програми для роботи створюють тимчасові файли, які видаляються по завершенні роботи програми або після закриття робочого файлу. Але досить часто з різних причин ці файли не видаляються (наприклад, усім відомо, як розростаються каталоги “Temp” у системі Windows). Такі файли можуть бути дуже корисними для порушників. Також велику цінність має вміст “файлу підкачки”, який створюється для реалізації механізму віртуальної пам’яті. Деякі дуже інформативні для порушників файли можуть виникати під час збоїв, наприклад, дамп ядра системи (записаний на диск у вигляді файлу вміст системних областей оперативної пам’яті). Не можна також забувати, що у багатьох системах для мінімізації наслідків помилкових видалень файлів, файли, які видаляються, копіюються у спеціальне сховище – корзину, звідки їх можна повністю відновити.

NСтосовно оперативної пам’яті комп’ютера можна сказати, що звичайні ОС не утрудняють собі життя її очищенням. Коли прикладна програма запитує додаткову пам’ять, їй виділяють ділянки пам’яті, що продовжують зберігати дані попередніх програм, які ці ділянки використовували. Можна (і неважко) написати програму, яка буде захоплювати пам’ять і копіювати із щойно захопленої пам’яті цікаві дані (наприклад, здійснюючи пошук за ключовими словами).

Перевищення повноважень

NЦя загроза полягає у тому, що порушник якимось чином отримує повноваження, що перевищують ті, які йому надані згідно політики безпеки. Перевищення повноважень можливе або через помилки в розробці й реалізації політики безпеки (наприклад, невірні настроювання системи розмежування доступу), або шляхом використання наявних вразливостей в програмному забезпеченні, яке входить до складу ОС.

nРозглянемо, наприклад, категорії користувачів в Unix-подібних ОС. Головних категорій 4:

¨ Адміністратор. У більшості класичних Unix-подібних ОС він має властивості суперкористувача, тобто повні і необмежені права в системі.

¨ Спеціальний користувач. Це “фіктивні” користувачі, від імені яких виконуються деякі системні процеси. Такі користувачі можуть мати значні повноваження стосовно окремих захищених об’єктів системи, а повноваження стосовно інших об’єктів – навпаки, менші за звичайних користувачів. Як правило, облікові записи спеціальних користувачів не можуть використовуватись для здійснення інтерактивного входу в систему.

¨Звичайний користувач.

¨ Псевдокористувач. До цієї категорії належать користувачі, які не реєструються в системі, але виконують в ній певні дії шляхом взаємодії з системними процесами – демонами (англ. – daemon), як правило, через мережу. Самі демони працюють в системі з великими повноваженнями, і безпека взаємодії з псевдокористувачами цілком залежить від коректності їхнього програмного коду.

nОтже, перевищення повноважень реалізується при будь-якому несанкціонованому переході користувача з нижчої категорії до вищої. Типовими загрозами є перехід з категорії 3 до 1 (звичайний користувач отримав права адміністратора), з 4 до 3 (псевдокористувач отримав можливість інтерактивно працювати в системі з правами користувача) і з 4 до 1 (те ж саме, але з правами адміністратора). Детальніше про це – в розділі про безпеку системи Unix.

Програмні закладки

NДо програмних закладок відносять програми або окремі модулі програм, які протягом тривалого часу функціонують в комп’ютерній системі, здійснюючи заходи щодо приховування свого існування від користувача

Nзлі жарти і містифікації.

Жадібні програми

NЖадібні програми – це шкідливі програми, які захоплюють значну частину ресурсів комп’ютера, внаслідок чого робота інших користувачів та/або процесів помітно утруднюється або взагалі стає неможливою. Часто жадібні програми можуть призводити до краху ОС

nЗдебільшого, жадібні програми належать до класу “троянських коней”

Лекція 3

NПринцип інтегрованості

NПринцип інваріантності

NПринцип уніфікації

NПринцип адекватності

NПринцип коректності

Принцип інтегрованості

Принцип інваріантності

Принцип уніфікації

NПри розробленні ОС слідування цьому принципу приводить до необхідності створення універсального інтерфейсу доступу, що об’єднує всі способи взаємодій між суб’єктами й об’єктами, всі функції якого однозначним чином відображаються на множину операцій, що описуються моделлю безпеки

Принцип адекватності

Принцип коректності

Основні підсистеми КЗЗ ОС

NРозмежування доступу

¨Кожному користувачеві надається доступ лише до тих захищених об’єктів, доступ до яких дозволений йому політикою безпеки

¨Ця підсистема безпосередньо реалізовує політику безпеки

NАудит

¨В захищеній ОС здійснюється реєстрація всіх подій, що є потенційно небезпечними

¨Підсистема аудиту здійснює захист журналів, в яких відбувається реєстрація, від НСД

¨Також ця підсистема може надавати засоби для аналізу журналів і відстеження джерел тих чи інших подій

NКриптографічні функції

¨Криптографічні функції застосовуються для захисту конфіденційності і цілісності інформації, для автентифікації і забезпечення неможливості відмовлення від авторства

¨Криптографічні функції можуть використовуватись в якості самостійних засобів захисту, або в якості допоміжних механізмів в інших засобах

NЗабезпечення цілісності

¨Будь-яка сучасна ОС надає додаткові засоби для захисту цілісності даних не лише від НСД, але й від випадкових помилок, а також від аварій і збоїв системи

NАнтивірусний захист

¨Як правило, під підсистемою антивірусного захисту розуміють сукупність програм, які надають можливість виявляти і знешкоджувати відомі шкідливі програми, які відносяться як до вірусів (у широкому розумінні – включаючи троянських коней, мережевих хробаків, шпигунські програми), так і до засобів здійснення атак

¨Без антивірусного захисту в наш час неможливо підтримувати ОС у безпечному стані, особливо якщо вона встановлена на комп’ютері, що підключений до мережі

¨Як правило, антивірусні засоби не входять до складу ОС, а постачаються окремо

NАпаратні засоби

¨КЗЗ ОС спирається на функції захисту, реалізовані в апаратних засобах – процесорі і системній платі

NНавчання користувачів

NСтворення резервних копій

Адекватна політика безпеки

NЧим жорсткіша політика, що регламентує правила автентифікації, тим менше ймовірність, що неуповноважений користувач отримає доступ до системи. Але тим більше зусиль необхідно затратити і уповноваженому користувачу, щоби підтвердити свої повноваження.

NСистема розмежування доступу обмежує можливості користувачів по створенню файлів у певних каталогах. Але переважна більшість сучасних програм під час своєї роботи створює тимчасові файли. Часто одночасно створюється кілька різних файлів у різних каталогах. Якщо програма намагається створити тимчасовий файл у каталозі, в якому поточному користувачеві створювати файли заборонено, то така операція буде неуспішною.

NЧим складніші функції виконує система захисту, чим ретельніші перевірки вона здійснює, тим більшу частину ресурсів займає система захисту. Дія системи захисту може помітно уповільнити роботу ОС, а особливо суттєво уповільнити виконання деяких функцій, швидкість виконання яких складає уявлення користувачів щодо швидкодії системи.

NСистема захисту вимагає від адміністраторів системи додаткових знань, умінь і значних витрат часу на підтримання адекватної політики безпеки. Чим більше функцій захисту, тим більше часу повинні додатково витрачати адміністратори. Крім того, помилки адміністрування стають ймовірнішими і більш критичними.

NНаприклад, одна й та сама серверна ОС може забезпечувати функціонування і Web-сервера, і сервера баз даних, і сервера електронного документообігу, а одна й та сама клієнтська ОС – і домашнього комп’ютера, і робочої станції у корпоративному середовищі.

¨Також адекватна політика безпеки може залежати від версії застосованої ОС, її конфігурації, встановленого прикладного ПЗ.

NАналіз загроз

¨Вивчають можливі загрози безпеці конкретного екземпляру ОС

¨Будують модель загроз

¨Оцінюють ризики

¨Визначають пріоритети у захисті від конкретних загроз

NВтілення політики безпеки

¨Виконують настроювання ОС і додаткових програм, які реалізують функції захисту, у точній відповідності до формалізованої політики безпеки

NНаприклад, встановлення нового програмного продукту може вимагати корекції політики безпеки, по-перше, для забезпечення нормального функціонування цього програмного продукту (розширення повноважень), а по-друге, для виключення шляхів несанкціонованого доступу, які можуть в результаті з’явитись (додаткові обмеження).

Лекція 4

TCSEC (“Оранжева книга”)

Безпечні системи за TCSEC

TCSEC: перелік вимог

NПолітика безпеки

¨Дискреційне керування доступом

¨Повторне використання об’єктів

¨Мітки безпеки

NЦілісність міток безпеки

NМітки пристроїв

¨Мандатне керування доступом

NАудит

¨Ідентифікація і автентифікація

NПрямае взаємодія з КЗЗ

¨Реєстрація і облік подій

NКоректність

¨Коректність функціонування

NАрхітектура системи

NЦілісність системи

NАналіз прихованих каналів

NКерування безпекою

NВідновлення

¨Коректність розробки

NТестування безпеки

NКерування конфігурацією

NДистрибуція

NДокументація

¨Настанова з безпеки користувача

¨Настанова адміністратора безпеки

¨Документування процесу тестування

¨Документування процесу розроблення

TCSEC: класифікація систем

Висновки по TCSEC

ITSEC – класи безпеки

n F-C1, F-C2, F-B1, F-B2, F-B3 – відповідають TCSEC

n F-IN – підвищені вимоги до забезпечення цілісності (СКБД)

n F-AV – підвищені вимоги до забезпечення працездатності (системи реального часу)

n F-DI – розподілені системи з підвищеними вимогами до цілісності

n F-DC – розподілені системи з підвищеними вимогами до конфіденційності

n F-DX – розподілені системи з підвищеними вимогами до конфіденційності, цілісності і неможливості відмови від авторства

ITSEC – критерії гарантій

NКритерії ефективності

¨Відповідність набору засобів захисту заданим цілям

¨Взаємна узгодженість різних засобів і механізмів захисту

¨Здатність засобів захисту протистояти атакам

¨Можливість практичного використання недоліків архітектури засобів захисту

¨Простота використання засобів захисту

¨Можливість практичного використання функціональних недоліків засобів захисту

NКритерії коректності

¨Процес розроблення

NСпецифікація вимог безпеки

NРозроблення архітектури

NСтворення робочого проекту

NРеалізація

¨Середовище розроблення

NНастанова користувача

NНастанова адміністратора

¨Середовище експлуатації

NДоставка і встановлення

NЗапуск и експлуатація

Висновки по ITSEC

NОпис

¨Класифікаційна інформація, що необхідна для ідентифікації профілю у спеціальній картотеці

NОбґрунтування

¨Опис середовища експлуатації, загроз безпеці, що передбачаються, і методів використання продукту ІТ

NРеєстрація в системі

NРеєстрація і облік подій

¨Політика керування доступом

NМоніторинг взаємодій

NЛогічний захист КЗЗ

NФізичний захист КЗЗ

NСамоконтроль КСЗ

NПростота використання КЗЗ

NПроцес розроблення

¨Визначення множини функцій КЗЗ у відповідності до функціональних вимог

¨Реалізація КЗЗ

NВизначення інтерфейсу КЗЗ

NТестування функцій КЗЗ

NАналіз прихованих каналів

NСередовище розробки

¨Інструментальні засоби

¨Засоби керування процесом розроблення

¨Процедура дистрибуції

NДокументування

¨Документування функцій КЗЗ

¨Повна документація на продукт ІТ (інтерфейси, компоненти, модулі, структура КЗЗ, методика проектування, вихідні тексти і специфікація апаратних засобів)

¨Документування тестування і аналізу продукту ІТ

NСупроводження

¨Документація користувача

¨Настанова з адміністрування системи безпеки

¨Процедура оновлення версій і виправлення помилок

¨Процедура інсталяції

NАналіз

¨Аналіз архітектури

¨Аналіз реалізації

NКонтроль

¨Контроль середовища розроблення

¨Контроль процесу супроводження продукту ІТ

NТестування

¨Тестування функцій КЗЗ виробником

¨Незалежне тестування функцій КЗЗ

FCITS – Висновки

NТехнічний захист інформації. Комп'ютерні системи. Порядок створення, впровадження, супроводження і модернізації засобів технічного захисту інформації від несанкціонованого доступу. (НД ТЗІ 3.6-001-2000)

nВимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2
(НД ТЗІ 2.5-008-02)

NДовірче керування доступом

¨користувачам дозволено керувати доступом до об’єктів свого домену (наприклад, на підставі права володіння об’єктами)

NКритерії конфіденційності

NКритерії цілісності

NКритерії доступності

NКритерії спостережності

NКритерії гарантій

NПослуга (сервіс) безпеки

¨Сукупність функцій, що забезпечують захист від певної загрози або від множини загроз

¨Для кожної послуги запропонована окрема шкала оцінок, яка визначає рівень реалізації цієї послуги

NФункціональний профіль

¨Перелік рівнів функціональних послуг, які реалізуються комп’ютерною системою

¨Функціональний профіль оформлюється певним чином

Критерії конфіденційності

nДовірча конфіденційність (КД-1…4)

¨дозволяє користувачу керувати потоками інформації від захищених об'єктів, що належать його домену, до інших користувачів

nАдміністративна конфіденційність (КА-1…4)

¨дозволяє адміністратору або спеціально авторизованому користувачу керувати потоками інформації від захищених об'єктів до користувачів

Критерії цілісності

nДовірча цілісність (ЦД-1…4)

¨дозволяє користувачу керувати потоками інформації від інших користувачів до захищених об'єктів, що належать його домену

nАдміністративна цілісність (ЦА-1…4)

¨дозволяє адміністратору або спеціально авторизованому користувачу керувати потоками інформації від користувачів до захищених об'єктів

nВідкат (ЦО-1...2)

¨забезпечує можливість відмінити операцію або послідовність операцій і повернути (відкотити) захищений об'єкт до попереднього стану

nЦілісність при обміні (ЦВ-1…3)

¨забезпечує захист об'єктів від несанкціонованої модифікації інформації, яку вони містять, під час їх передавання через незахищене середовище

Критерії доступності

nВикористання ресурсів (ДР-1…3)

¨забезпечує керування використанням користувачами послуг і ресурсів

nСтійкість до відмов (ДС-1…3)

¨гарантує доступність КС (можливість використання інформації, окремих функцій або КС в цілому) після відмови її компонента

nГаряча заміна (ДЗ-1…3)

¨дозволяє гарантувати доступність КС (можливість використання інформації, окремих функцій або КС в цілому) в процесі заміни окремих компонентів

nВідновлення після збоїв (ДВ-1…3)

¨забезпечує повернення КС у відомий захищений стан після відмови або переривання обслуговування

Критерії спостережності

nРеєстрація (НР-1…5)

¨дозволяє контролювати небезпечні для КС дії шляхом реєстрації і аналізу подій, що мають відношення до безпеки

nІдентифікація й автентифікація (НИ-1…3)

¨дозволяє КЗЗ визначити і перевірити особистість користувача, що намагається одержати доступ до КС

nДостовірний канал (НК-1…2)

¨дозволяє гарантувати користувачу можливість безпосередньої взаємодії з КЗЗ

nРозподіл обов'язків (НО-1…3)

¨дозволяє зменшити потенційні збитки від навмисних або помилкових дій користувача і обмежити авторитарність керування

nЦілісність комплексу засобів захисту (НЦ-1…3)

¨визначає міру здатності КЗЗ захищати себе і гарантувати свою спроможність керувати захищеними об'єктами

nСамотестування (НТ-1…3)

¨дозволяє КЗЗ перевірити і на підставі цього гарантувати правильність функціонування і цілісність певної множини функцій КС

nІдентифікація й автентифікація при обміні (НВ-1…3)

¨дозволяє одному КЗЗ ідентифікувати інший КЗЗ (встановити і перевірити його ідентичність) і забезпечити іншому КЗЗ можливість ідентифікувати перший, перш ніж почати взаємодію

nАвтентифікація відправника (НА-1…2)

¨дозволяє забезпечити захист від відмови від авторства і однозначно встановити належність певного об'єкта певному користувачу, тобто той факт, що об'єкт був створений або відправлений даним користувачем

nАвтентифікація одержувача (НП-1…2)

¨дозволяє забезпечити захист від відмови від одержання і дозволяє однозначно встановити факт одержання певного об'єкта певним користувачем

Критерії гарантій

NАрхітектура

nСередовище розроблення:

¨процес розроблення

¨керування конфігурацією

nПослідовність розроблення:

¨функціональні специфікації (політика безпеки)

¨функціональні специфікації (модель політики безпеки)

¨проект архітектури

¨детальний проект

¨реалізація

NСередовище функціонування

NДокументація

Вимоги до послуги безпеки (на прикладі КД)

КД-1. Мінімальна довірча конфіденційність	КД-2. Базова довірча конфіденційність	КД-3. Повна довірча конфіденційність	КД-4. Абсолютна довірча конфіденційність
Політика довірчої конфіденційності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься	Політика довірчої конфіденційності, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС
КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу
процесу і захищеного об'єкта	користувача і захищеного об'єкта	користувача, процесу і захищеного об'єкта
Запити на зміну прав доступу до об'єкта повинні оброблятися КЗЗ на підставі атрибутів доступу користувача, що ініціює запит, і об'єкта
КЗЗ повинен надавати користувачу можливість для кожного захищеного об'єкта, що належить його домену, визначити
конкретні процеси і/або групи процесів, які мають право одержувати інформацію від об'єкта	конкретних користувачів і/або групи користувачів, які мають право одержувати інформацію від об'єкта	конкретних користувачів (і групи користувачів), які мають, а також тих, які не мають права одержувати інформацію від об'єкта	конкретних користувачів і процеси (і групи користувачів і процесів), які мають, а також тих, які не мають права одержувати інформацію від об'єкта
—	КЗЗ повинен надавати користувачу можливість для кожного процесу, що належить його домену, визначити
конкретних користувачів і/або групи користувачів, які мають право ініціювати процес	конкретних користувачів (і групи користувачів), які мають, а також тих, що не мають права ініціювати процес
Права доступу до кожного захищеного об'єкта повинні встановлюватись в момент його створення або ініціалізації. Як частина політики довірчої конфіденційності повинні бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту та імпорту
НЕОБХІДНІ УМОВИ: НИ-1	НЕОБХІДНІ УМОВИ: КО-1, НИ-1

 

Семантика профілю

nОпис профілю складається з трьох частин:

¨буквено-числового ідентифікатора

¨знака рівності

¨переліку рівнів послуг, взятого в фігурні дужки

nІдентифікатор у свою чергу включає:

¨позначення класу АС (1, 2 або 3)

¨буквену частину, що характеризує види загроз, від яких забезпечується захист (К, і/або Ц, і/або Д)

¨номер профілю і необов’язкове буквене позначення версії

N ЦА-2, ЦО-1,

n НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }

n2.КЦ.2 = { КД-2, КО-1,

N ЦД-1, ЦО-1,

n НР-2, НИ-2, НК-1, НО-1, НЦ-2, НТ-1 }

n2.КЦД.2 = { КД-2, КА-2, КО-1,

N ЦД-1, ЦА-2, ЦО-1,

N ДР-1, ДВ-1,

n НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 }

n3.КЦД.2 = { КД-2, КА-2, КО-1, КВ-2,

N ЦД-1, ЦА-2, ЦО-1, ЦВ-2,

N ДР-1, ДВ-1,

n НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2, НВ-1 }

НД ТЗІ 2.5-008-02

NМета документа – надання нормативно-методологічної бази під час розроблення комплексів засобів захисту від НСД до конфіденційної інформації, яка обробляється в АС класу 2, створення КСЗІ, проведення аналізу та оцінки захищеності інформації від несанкціонованого доступу в системах такого класу, а також рекомендацій для визначення необхідного функціонального профілю захищеності інформації в конкретній АС

nВ документі наведені:

¨загальні вимоги до захисту конфіденційної інформації, які випливають з вимог чинного законодавства

¨характеристики типових умов функціонування АС класу 2. Розглянуті обчислювальна система, фізичне середовище, в якому вона знаходиться і функціонує, користувачі АС та оброблювана інформація, у тому числі й технологія її оброблення.

¨детальні вимоги щодо захисту інформації в АС класу 2

¨докладно розібрана політика реалізації послуг безпеки інформації в АС класу 2

НД ТЗІ 2.5-010-03

Nдані про мережні адреси,

Оцінювання за критеріями

nПередбачено дві процедури:

¨Сертифікація засобів захисту

Лекція 13

Мережні або віддалені атаки

nРозподіл ресурсів та інформації у просторі робить можливим специфічний вид атак — так звані мережні, або віддалені атаки (network attacks, remote attacks).

¨Під віддаленою атакою розуміють атаку на розподілену обчислювальну систему, що здійснюється програмними засобами по каналах зв’язку

¨Така атака може здійснюватись як на протоколи і мережні служби, так і на операційні системи і прикладні програми вузлів мережі

nАтаки на протоколи:

¨Інформаційний обмін у мережі здійснюється за допомогою механізму повідомлень