среда, 27 января 2010 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Часть 7

В этой части рассмотрены следующие вопросы:
  • Режимы безопасности функционирования
  • Специальный режим безопасности
  • Режим повышенной безопасности системы
  • Раздельный режим безопасности
  • Многоуровневый режим безопасности
  • Охранники
  • Доверие и гарантии

Обновлено: 03.05.2010

Система может работать в различных режимах в зависимости от критичности обрабатываемых данных, уровня допуска пользователей и того, на выполнение каких действий пользователи авторизованы. Режим функционирования описывает условия безопасности, в которых система реально функционирует.

Эти режимы используются в системах MAC, в которых хранятся данные одного или нескольких уровней классификации. Несколько вещей играют роль при определении режима функционирования, в котором должна работать операционная система:
  • Типы пользователей, которые напрямую или не напрямую подключаются к системе
  • Типы данных (уровни классификации, разделы и категории), которые обрабатываются в системе
  • Уровни допуска, категории «должен знать», формальные разрешения доступа, которые имеют пользователи
Следующие разделы описывают различные режимы безопасности функционирования, для работы в которых может быть разработана и настроена операционная система.


Система функционирует в специальном режиме безопасности (dedicated security mode), если все пользователи имеют допуск и категории «должен знать» для всех данных, обрабатываемых в системе. Все пользователи имеют формальные разрешения доступа ко всей информации в системе, с ними заключено соглашение о неразглашении конфиденциальной информации (NDA - Nondisclosure agreement) в отношении этой информации. Система может работать только с одним уровнем классификации информации.

Многие военные системы разработаны для работы только с одним уровнем безопасности, они работают в специальном режиме безопасности. Это требует, чтобы все, кто использует систему, имели максимальный уровень допуска, достаточный для доступа к любым данным в системе. Если система содержит совершенно секретные данные, только пользователи с допуском к совершенно секретной информации могут иметь доступ к ней. Другие военные системы работают с несколькими уровнями безопасности, что реализуется посредством разделения данных. Такие виды систем могут поддерживать работу пользователей с высоким и низким уровнем допуска одновременно.


Система функционирует в режиме повышенной безопасности (system high-security mode), когда все пользователи имеют допуск к информации, но не ко всей обрабатываемой в системе информации они имеют разрешенную категорию «должен знать». Т.е. в режиме повышенной безопасности пользователи имеют категории «должен знать» только для некоторых данных.

Эта режим также требует, чтобы все пользователи имели наивысший уровень допуска ко всем данным в системе. Однако при этом пользователи могут быть ограничены в доступе к отдельным объектам, если они не имеют соответствующую категорию «должен знать».


Система функционирует в раздельном режиме безопасности (compartment security mode), когда все пользователи имеют допуск ко всей информации, обрабатываемой в системе с конфигурацией повышенной безопасности, но могут не иметь отдельных категорий «должен знать» и формальных разрешений доступа. Это означает, что если система хранит секретные и совершенно секретные данные, все пользователи должны иметь допуск не ниже совершенно секретного, чтобы получить доступ к системе. В этом заключается различие раздельного и многоуровневого режимов безопасности. Оба режима требуют, чтобы пользователь имел правильные категории "должен знать", NDA и формальное разрешение, но в раздельном режиме безопасности требуется, чтобы пользователь имел доминирующий (больший или равный) уровень допуска над любыми данными в системе, тогда как в многоуровневом режиме безопасности просто требуется, чтобы пользователь имел допуск к данным, с которыми он собирается работать.

В раздельном режиме безопасности пользователи имеют ограничения в доступе к некоторой информации, т.к. она не нужна им для выполнения своих обязанностей и они не имеют формального разрешения доступа к ней. Это обеспечивается наличием у всех объектов меток безопасности, отражающих уровень их критичности (уровень классификации, категория классификации, процедуры обработки) информации. В этом режиме пользователи могут получить доступ к разделам данных только посредством мандатного управления доступом.

Целью является гарантия того, что минимально возможное число людей знают информацию на каждом уровне. Разделы являются категориями данных с ограниченным числом субъектов, допущенных к данным на каждом уровне. Рабочие станции раздельного режима (CMW – compartment mode workstation) позволяют пользователям обрабатывать различные разделы данных одновременно, если они имеют необходимый допуск.


Система функционирует в многоуровневом режиме безопасности (multilevel security mode), если разрешена одновременная обработка информации двух или более уровней классификации, когда не у всех пользователей есть допуск или формальное разрешение на доступ ко всей информации, обрабатываемой в системе. Поэтому все пользователи должны иметь формальное разрешение, NDA, категорию "должен знать" и необходимый уровень допуска для доступа к данным, которые нужны имдля выполнения своих должностных обязанностей. В этом режиме пользователь не может получить доступ ко всем данным в системе только на основе своего допуска.

Модель Bell-LaPadula является примером многоуровневой модели безопасности, поскольку она одновременно обрабатывает информацию с различной классификацией, на различных уровнях безопасности в рамках одной системы.

Охранники

Программные и аппаратные охранники (guard) позволяют обмениваться данными между доверенными (с высоким уровнем гарантий) и менее доверенными (с низким уровнем гарантий) системами и средами. Скажем, вы работаете в системе МАС (работающей в специальном режиме безопасности с секретными данными) и вам нужно взаимодействовать с базой данных MAC (работающей в режиме многоуровневой безопасности, классификация данных в которой доходит до уровня совершенно секретно). Эти две системы обеспечивают различные уровни защиты. Как было сказано ранее, если система с меньшими гарантиями может напрямую взаимодействовать с системой с высокими гарантиями, это может привести к появлению уязвимостей и нарушению безопасности. Чтобы избежать этого, можно внедрить программного охранника, который в действительности является просто интерфейсным продуктом, позволяющим осуществлять взаимодействие между системами, работающими на разных уровнях безопасности. (Существуют различные типы охранников, которые могут выполнять фильтрацию, обработку запросов, блокировку и антивирусную обработку данных). Либо может быть внедрен аппаратный охранник, который является системой с двумя сетевыми картами, каждая из которых подключена к одной из систем, которым нужно взаимодействовать друг с другом. Охранник - это дополнительный компонент, который обеспечивает строгое управление доступом при взаимодействии между различными системами.

Охранник принимает запросы от системы с низким уровнем гарантий, просматривает их, чтобы убедиться в их допустимости, и направляет эти запросы в более гарантированную систему. Целью является обеспечение того, чтобы информация не переходила с высокого уровня безопасности на низкий уровень безопасности несанкционированным способом.

Охранники могут использоваться для подключения различных систем MAC, работающих в разных режимах безопасности, и для соединения различных сетей, работающих на разных уровнях безопасности. Во многих случаях, менее доверенная система может отправить сообщения более доверенной системе, но при этом она может получить в ответ только подтверждение о получении. Это обычная практика, когда нужно отправить сообщение с менее доверенной системы на более доверенную, классифицированную систему.

Обобщение информации по режимам безопасности. Значительно проще понять эти различные режимы, когда они описаны в простой и понятной форме. Обратите внимание на слова, выделенные курсивом, поскольку они отражают различия между различными режимами.

Специальный режим безопасности. Все пользователи должны иметь:

  • Надлежащий допуск ко всей информации в системе
  • Формальное разрешение на доступ ко всей информации в системе
  • Подписанное NDA для всей информации в системе
  • Правильные категории "должен знать" для всей информации в системе
  • Все пользователи имеют доступ ко всем данным
Режим повышенной безопасности системы. Все пользователи должны иметь:
  • Надлежащий допуск ко всей информации в системе
  • Формальное разрешение на доступ ко всей информации в системе
  • Подписанное NDA для всей информации в системе
  • Правильные категории "должен знать" для некоторой информации в системе
  • Пользователи могут получить доступ к некоторым данным на основе своих категорий "должен знать"
Раздельный режим безопасности. Все пользователи должны иметь:
  • Надлежащий допуск к наивысшему классу информации, среди содержащихся в системе
  • Формальное разрешение доступа ко всей информации в системе, которую они будут использовать
  • Подписанное NDA для всей информации в системе, которую они будут использовать
  • Правильные категории "должен знать" для некоторой информации в системе
  • Все пользователи имеют доступ к некоторым данным на основе их категорий "должен знать" и формальных разрешений доступа
Многоуровневый режим безопасности. Все пользователи должны иметь:
  • Надлежащий допуск к необходимому ему классу информации
  • Формальное разрешение доступа ко всей информации в системе, которую они будут использовать
  • Подписанное NDA для всей информации в системе, которую они будут использовать
  • Правильные категории "должен знать" для некоторой информации в системе
  • Все пользователи могут использовать некоторые данные на основе своих категорий "должен знать", уровней допуска и формальных разрешений доступа
Ссылки по теме:

Как уже говорилось ранее в разделе «Доверенная компьютерная база», в действительности не существует полностью защищенных систем и при наличии достаточных ресурсов у злоумышленника он может так или иначе скомпрометировать практически любую систему, однако системы могут предоставлять уровень доверия. Уровень доверия говорит покупателю, насколько надежную защиту он может ожидать от этой системы, и насколько он может быть уверен в том, что система будет функционировать правильным и предсказуемым образом в любой ситуации.

TCB включает в себя все механизмы защиты системы (аппаратное обеспечение, программное обеспечение и прошивки). Все эти механизмы должны работать согласованно для реализации всех требований политики безопасности. В процессе оценки эти механизмы тестируются, их структура анализируется, просматривается и оценивается документация по их сопровождению. При оценке уровня доверия к системе учитывается все - как система была разработана, как она поддерживалась, и даже как она была доставлена клиенту. Каждый компонент проходит процедуру оценки и каждому выставляется соответствующий рейтинг гарантий, представляющий собой степень доверия и гарантий, которые вызвал продукт у команды тестировщиков. В дальнейшем заказчики используют этот рейтинг для определения того, насколько эта система подойдет их требованиям безопасности.

Доверие (trust) и гарантии (assurance) похожи, но немного отличаются в отношении рейтингов продуктов. В доверенной системе все защитные механизмы работают совместно для обеспечения защиты критичных данных при их обработке различными способами и обеспечения необходимого уровня защиты в соответствии с уровнем классификации. Гарантия смотрит на те же самые вопросы, но более глубоко и детально. Системы, обеспечивающие высокий уровень гарантий, детально протестированы, их структура глубоко проанализирована, рассмотрены этапы их разработки, оценены их технические спецификации и планы тестирования. Вы можете купить машину и доверять ей, но вы будете иметь значительно более глубокое чувство уверенности, если вы будете знать, как эта машина была создана, кто ее изготовил, какие тесты она прошла и как она ведет себя в различных ситуациях.

В стандарте TCSEC (Trusted Computer System Evaluation Criteria), также известном как «Оранжевая книга», для систем, претендующих на низкий рейтинг гарантий, для присвоения рейтинга анализируются механизмы безопасности и результаты тестирования, а для систем, претендующих на высокий уровень гарантий, рассматривают также структуру системы, спецификации, процедуры разработки, документацию по сопровождению и результаты тестирования. Механизмы защиты в системах с высоким уровнем гарантий могут не иметь существенных отличий от механизмов защиты в системах с более низким уровнем гарантий, однако для них они должны быть спроектированы и построены гораздо более внимательно. Эта более тщательная проверка дает возможность присвоить системе более высокий уровень гарантий.

Комментариев нет: