Автор: Пользователь скрыл имя, 01 Апреля 2012 в 00:37, реферат
Критерії є методологічною базою для визначення вимог з захисту інформації в комп'ютерних системах від несанкціонованого доступу; створення захищених комп'ютерних систем і засобів захисту від несанкціонованого доступу; оцінки захищеності інформації в комп'ютерних системах і їх придатності для обробки критичної інформації (інформації, що вимагає захисту).
Ця послуга дозволяє адміністратору або спеціально авторизованому користувачу керувати потоками інформації від користувачів до захищених об'єктів. Рівні даної послуги ран жируються на підставі повноти захисту і вибірковості керування.
ЦА-1. Мінімальна адміністративна цілісність | ЦА-2. Базова адміністративна цілісність | ЦА-3. Повна адміністративна цілісність | ЦА-4. Абсолютна адміністративна цілісність |
Політика адміністративної цілісності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься | Політика адміністративної цілісності, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС | ||
КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу | |||
користувача і захищеного об'єкта | процесу і захищеного об'єкта | процесу, користувача і захищеного об'єкта | |
Запити на зміну прав доступу повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів або від користувачів, яким надані відповідні повноваження | |||
КЗЗ повинен надавати можливість адміністратору або користувачу, який має відповідні повноваження, для кожного захищеного об'єкта шляхом керування належністю користувачів, процесів і об'єктів до відповідних доменів визначити | |||
конкретних користувачів і/або групи користувачів, які мають право модифікувати об'єкт | конкретні процеси і/або групи процесів, які мають право модифікувати об'єкт | конкретні процеси (і групи процесів), які мають, а також тих, які не мають права модифікувати об'єкт | конкретних користувачів і процеси (і групи користувачів і процесів), які мають, а також тих, які не мають права модифікувати об'єкт |
| КЗЗ повинен надавати можливість адміністратору або користувачу, який має відповідні повноваження, для кожного процесу шляхом керування належністю користувачів і процесів до відповідних доменів визначити | ||
— | конкретних користувачів і/або групи користувачів, які мають право ініціювати процес | конкретних користувачів (і групи користувачів), які мають, а також тих, які не мають права ініціювати процес | |
Права доступу до кожного захищеного об'єкта повинні встановлюватися в момент його створення або ініціалізації. Як частина політики адміністративної цілісності мають бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту і імпорту | |||
Для того, щоб КС могла бути оцінена на відповідність критеріям доступності, КЗЗ оцінюваної КС повинен надавати послуги щодо забезпечення можливості використання КС в цілому, окремих функцій або оброблюваної інформації на певному проміжку часу і гарантувати спроможність КС функціонувати у випадку відмови її компонентів. Доступність може забезпечуватися в КС такими послугами: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.
Ця послуга дозволяє користувачам керувати використанням послуг і ресурсів. Рівні даної послуги ран жируються на підставі повноти захисту і вибірковості керування доступністю послуг КС.
ДР-1. Квоти | ДР-2. Недопущення захоплення ресурсів | ДР-3. Пріоритетність використання ресурсів |
Політика використання ресурсів, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься | Політика використання ресурсів, що реалізується КЗЗ, повинна відноситися до всіх об'єктів КС | |
Політика використання ресурсів повинна визначати обмеження, які можна накладати, на кількість даних об'єктів (обсяг ресурсів), що виділяються | ||
окремому користувачу | окремому користувачу і довільним групам користувачів | |
Запити на зміну встановлених обмежень повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів або від користувачів, яким надані відповідні повноваження | ||
— | Повинна існувати можливість встановлювати обмеження таким чином, щоб КЗЗ мав можливість запобігти діям, які можуть призвести до неможливості доступу інших користувачів до функцій КЗЗ або захищених об'єктів. КЗЗ повинен контролювати такі дії, здійснювані з боку | |
| окремого користувача | окремого користувача і довільних груп користувачів |
Стійкість до відмов гарантує доступність КС (можливість використання інформації, окремих функцій або КС в цілому) після відмови її компонента. Рівні даної послуги ран жируються на підставі спроможності КЗЗ забезпечити можливість функціонування КС в залежності від кількості відмов і послуг, доступних після відмови.
ДС-1. Стійкість при обмежених відмовах | ДС-2. Стійкість з погіршенням характеристик обслуговування | ДС-3. Стійкість без погіршення характеристик обслуговування |
Розробник повинен провести аналіз відмов компонентів КС | ||
Політика стійкості до відмов, що реалізується КЗЗ, повинна визначати множину компонентів КС, до яких вона відноситься, і типи їх відмов, після яких КС в змозі продовжувати функціонування | Політика стійкості до відмов, що реалізується КЗЗ, повинна відноситися до всіх компонентів КС | |
Повинні бути чітко вказані рівні відмов, при перевищенні яких відмови призводять до зниження характеристик обслуговування або недоступності послуги | ||
Відмова одного захищеного компонента не повинна призводити до недоступності всіх послуг, а має в гіршому випадку проявлятися в зниженні характеристик обслуговування | Відмова одного захищеного компонента не повинна призводити до недоступності всіх послуг або до зниження характеристик обслуговування | |
КЗЗ повинен бути спроможний повідомити адміністратора про відмову будь-якого захищеного компонента | ||
В будь-якій КС інформація може переміщуватись в одному з двох напрямів: від користувача до об'єкта або від об'єкта до користувача. Шляхи переміщування, як і пристрої введення-виведення, можуть бути різноманітними. Конфіденційність забезпечується через додержання вимог політики безпеки щодо переміщення інформації від об'єкта до користувача або процесу. Правильне (допустиме) переміщення визначається як переміщення інформації до авторизованого користувача, можливо, через авторизований процес.
В цьому розділі Критеріїв зібрані послуги, реалізація яких дозволяє забезпечити захист інформації від несанкціонованого ознайомлення з нею (компрометації). Конфіденційність забезпечується такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні. Принципи, що лежать в основі реалізації послуг, визначаються політикою конфіденційності.
Послуги довірча конфіденційність і адміністративна конфіденційність, довірча цілісність і адміністративна цілісність, а також деякою мірою — використання ресурсів, є класичними послугами, що безпосередньо реалізують ту частину політики безпеки, яка складає ПРД.
Основні особливості і відмінність довірчого і адміністративного керування доступом розглянуті в НД ТЗІ 1.1-004-99 “Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу". Система, яка реалізує адміністративне керування доступом, повинна гарантувати, що потоки інформації всередині системи встановлюються адміністратором і не можуть бути змінені звичайним користувачем. З іншого боку, система, яка реалізує довірче керування доступом, дозволяє звичайному користувачеві модифікувати, в т. ч. створювати нові потоки інформації всередині системи.
Послуга довірча конфіденційність дозволяє користувачеві керувати потоками інформації від захищених об'єктів, що належать його домену, до інших користувачів. Як правило, під об'єктами, що належать домену користувача, маються на увазі об'єкти, власником яких є користувач (створені користувачем).
Для відображення функціональності КС у простір, в якому не розглядаються права власності, використовується концепція матриці доступу. Матриця доступу являє собою таблицю, уздовж кожного виміру якої відкладені ідентифікатори об'єктів КС, а як елементи матриці виступають дозволені або заборонені режими доступу. Матриця доступу може бути двовимірною (наприклад, користувачі/пасивні об'єкти) або тривимірною (користувачі/процеси/пасивні об'єкти). Матриця доступу може бути повною, тобто містити вздовж кожної з осей ідентифікатори всіх існуючих в даний час об’єктів КС даного типу, або частковою. Повна тривимірна матриця доступу дозволяє точно описати хто (ідентифікатор користувача), через що (ідентифікатор процесу), до чого (ідентифікатор пасивного об'єкта) та який вид доступу може отримати.
Рівні послуги довірча конфіденційність ранжируются на підставі повноти захисту і вибірковості керування.
Мінімальна довірча конфіденційність (КД-1). Найбільш слабкою мірою гарантії захисту від несанкціонованого ознайомлення є накладення обмеження на одержання інформації процесами. На цьому рівні дозволені потоки інформації від об'єкта тільки до певних процесів. Хоч і не існує обмеження на те, хто може активізувати процес, тобто, хто може одержувати інформацію, КЗЗ обмежує потоки інформації фіксованому списку процесів, грунтуючись на атрибутах доступу об'єктів і процесів. Користувач, домену якого належить об’єкт, може змінювати список процесів, які можуть одержувати інформацію від об'єкта. Для такої системи можна побудувати часткову або повну матрицю доступу процесів до захищених об'єктів.
Базова довірча конфіденційність (КД-2). В системі, яка реалізує послугу довірча конфіденційність на рівні КД-2, атрибути доступу об'єктів і користувачів повинні містити інформацію, що використовується КЗЗ для розмежування доступу до об'єктів з боку конкретного користувача. Додатково повинна існувати можливість встановлювати, які користувачі можуть активізувати конкретний процес, що дозволяє одержати можливість обмеженого керування потоками інформації. Керування правами доступу на даному рівні має невисоку вибірковість. Користувач, домену якого належить об'єкт (процес) може вказати, які групи користувачів і, можливо, які конкретні користувачі мають право одержувати інформацію від об'єкта (ініціювати процес). Для такої системи можна побудувати часткову матрицю доступу користувачів до захищених об'єктів і процесів. Прикладом реалізації даного рівня послуги є реалізоване в UNIX керування доступом на підставі тріад власник / група / всі інші.
Повна довірча конфіденційність (КД-3). Основна відміна від попереднього рівня це те, що КЗЗ повинен забезпечувати більш високу вибірковість керування тим, які користувачі можуть одержати інформацію від об'єкта або ініціювати процес. Користувач, домену якого належить об'єкт, може вказати права доступу для кожного конкретного користувача і групи користувачів. Є можливим включати або вилучати користувачів із списку доступу. Для такої системи можна побудувати повну матрицю доступу користувачів до захищених об'єктів і процесів. Така вибірковість керування може бути одержана, наприклад, за рахунок використання списків доступу.
Абсолютна довірча конфіденційність (КД-4). Даний рівень забезпечує повне керування потоками інформації в КС. Атрибути доступу користувача, процесу і об'єкта повинні містити інформацію, що використовується КЗЗ для визначення користувачів, процесів і пар процес/користувач, які можуть отримати інформацію від об'єкта. Таким чином гарантується, що інформація надсилається об’єктом потрібному користувачеві через авторизований процес. Вимоги до вибірковості керування залишаються такими ж самими, як і для попереднього рівня. Для такої системи можна побудувати повну матрицю доступу користувачів, процесів і пар користувач/процес до захищених об'єктів і процесів.