Тема 1.7 Подходы к построению защищённых компьютерных систем

Требования к реализации политики безопасности описывают функции ТСВ, реализующие политику безопасности, и состоят из четырех групп требований: к политике аудита, к политике управления доступом, к поли­тике обеспечения работоспособности и к управлению безопасностью. Эти требования носят весьма общий характер, что позволяет рассматривать их в качестве прототипа, обеспечивающего поддержку широкого спектра. политик и моделей безопасности.

Политика аудита включают разделы, относящиеся к идентификации и аутентификации, процедуре регистрации пользователя в системе, обеспечению прямого взаимодействия с ТСВ, а также регистрацию и учет событий. Основная задача политики управления аудитом — обеспечить возможность однозначной идентификации субъекта, ответственного за те или иные действия в системе.

Идентификация и аутентификация позволяют установить однозначное соответствие между пользователями и представляющими их в ВС субъектами, а также подтвердить подлинность этого соответствия.

Регистрация пользователя в системе означает создание с убъекта взаимодействия, с идентификатором которого будут ассоциироваться все последующие действия пользователя. К процедуре регистрации также относится учет места, времени и других параметров подключения к системе и ее блокирование во время отсутствия пользователя.

Обеспечение прямого взаимодействия с ТСВ гарантирует, что пользователь взаимодействует с компонентами ТСВ напрямую, т.e. информация, которая передается в ТСВ и обратно, не подвергается перехвату или искажению.

Поддержка прямого взаимодействия с ТСВ особенно важна для управления безопасностью (например: при администрировании прав доступа и полномочий пользователей).

Регистрация и учет событий в системе позволяет распознавать потенциально опасные ситуации и сигнализировать о случаях нарушения безопасности.

Регистрация событий включает распознаван ие, учет и анализ действий пользователя, представляющих интерес с точки зрения безопасности.

Политики управления доступом содержит следующие разделы: произвольное управление доступом, нормативное управление доступом и контроль скрытых каналов утечки информации. Политика управления доступом является основным механизмом защиты так как непосредственно обеспечивает конфиденциальность и целостность обрабатываемой информации.

Произвольное управление доступом позволяет осуществлять назначение прав доступа с точностью до идентифицируемых субъектов и объектов, а также поддерживаемых типов доступа и, кроме того, обеспечивает контроль за распространением прав доступа среди субъектов.

Нормативное управление доступом, в отличие от произвольного, основано на контроле информационных потоков между субъектами и объектами и их атрибутах безопасности, что позволяет регламентировать порядок использования информации в системе и противостоять атакам типа «троянского коня».

Контроль скрытых каналов утечки информации включает технические и административные меры, направленные на ликвидацию таких каналов посредством минимизации объема совместно используемых ресурсов и введения активных «шумовых помех».

Политика обеспечения работоспособности системы включает контроль за распределением ресурсов и обеспечение отказоустойчивости. Обеспечение работоспособности позволяет гарантировать доступность ресурсов и сервиса системы, а также корректное восстановление системы после сбоев.

Контроль за распределением ресурсов осуществляется посредством введения ограничений (квот) на их Потребление или приоритетной системы распределения ресурсов.

Обеспечение отказоустойчивости входит в сферу безопасности наравне с другими требованиями, так как противостоит угрозам работоспособности.

Управление безопасностью регламентирует следующие аспекты функционирования системы:

- компоновка, установка, конфигурация и поддержка ТСВ;

- администрирование атрибутов безопасности пользователей (идентификаторов, полномочий, доступных ресурсов и т.д.);

- администрирование политики управления доступом;

· управление потреблением ресурсов системы;

- аудит действий пользователей.

Мониторинг взаимодействии. Требования этого раздела регламентируют порядок взаимодействия между компонентами системы и прохождения информационных потоков через ТСВ. Реализация политики безопасности будет эффективна только в том случае, если все без исключения взаимодействия в системе, т. е. доступ к объектам, ресурсам и сервису, осуществляются при обязательном посредничестве ТСВ.

Логическая защита ТСВ. Требования данной группы устанавливают порядок доступа к внутренним компонентам ТСВ (данным и программам). ТСВ должна быть защищена от внешних воздействий со стороны непривилегированных пользователей, в противном случае иска­жение программ и данных, находящихся в ТСВ. Может привести к полному подавлению функций защиты.

Необходимо подчеркнуть, что политика безопасности, мониторинг взаимодействий и логическая защита ТСВ являются обязательными компонентами всех профилей защиты вне зависимости от назначения и среды применения ИТ-продукта.

Физическая защита ТСВ. Требования этой группы задают ограничения на физический доступ к компонентам ТСВ, а также допустимые физические параметры среды функционирования ВС.

Самоконтроль ТСВ. Требования, касающиеся самоконтроля ТСВ, определяют возможности обеспечения контроля корректности выполнения функций ТСВ и целостности программ и данных, входящих в ТСВ. Выпол­нение этих требований позволяет вовремя обнаруживать нарушения целостности компонентов ТСВ, произошедшие либо в результате целенаправленного воздействия, либо в следствии сбоя в работе аппаратных или программных средств, и осуществлять восстановление целостности ТСВ.

Инициализация и восстановление ТСВ. Требования данной группы устанавливают возможности ТСВ по контролю за процессом собственной инициализации и способности к самовосстановлению после сбоев. Процесс восстановления после сбоя должен происходить без нарушений, даже временных, функционирования средств защиты. Восстановленное состояние ТСВ должно соответствовать требованиям политики безопасности, мониторинга взаимодействий и самоконтроля целостности.

Ограничение привилегий при работе с ТСВ. Требования этой группы устанавливают порядок назначения полномочий для работы с ТСВ. Основным принципом назначения таких полномочий является принцип минимальной достаточности. Это обеспечивается посредством постоянного контроля и, при необходимости, автоматического понижения привилегий пользователей при обращении к компонентам или сервису ТСВ. Соблюде­ние этого принципа позволяет минимизировать нарушения целостности в случае возникновения сбоев или нарушений безопасности.

Простота использования ТСВ. Эти требования обеспечивают удобство пользования возможностями ТСВ как для высококвалифицированных администраторов, ответственных за функционирование и безопасность системы, так и для рядовых пользователей, а также для разработчиков прикладных программ, взаимодействующих с ТСВ. К этому классу требований относятся: порядок реагирования ТСВ на ошибки в действиях пользователей и попытки нарушения безопасности, устанавливаемые по умолчанию полномочия, интерфейс пользователей и администратора.

Объем и глубина реализации функциональных требований зависят от того, какую степень защищенности должна обеспечивать ТСВ конкретного ИТ-продукта, а также от того, какие угрозы безопасности возможны в среде его эксплуатации. Степень обеспечения требуемого уровня защищенности зависит от реализованной политики безопасности, от квалификации ответственного за безопасность персонала, от правильности администри­рования ТСВ и соблюдения рядовыми пользователями пр авил политики безопасности.