Оценка надежности сетевой конфигурации на основе оценки компонентов

В Разд. Критерии оценки надежных компьютерных систем (" Оранжевая книга" Министерства обороны США) Интерпретации излагается подход к оценке надежности сетевой конфигурации как единого целого. В то же время имеет право на существование и другой взгляд, когда сеть составляется из предварительно проверенных компонентов, а общая оценка по определенным правилам выводится из их " рейтинга". Подобная точка зрения является предметом рассмотрения приложений к Интерпретации, где анализируются три главных вопроса:

· Как следует структурировать сеть, чтобы оценка компонентов помогала получить общую оценку?

· Какие критерии следует применять к компонентам?

· Как получать общую оценку?

Предварительным условием надежности сетевой конфигурации является наличие единой политики безопасности, с которой должны быть согласованы поведение каждого компонента и характер связей между ними. В Интерпретации рассматриваются следующие аспекты политики безопасности:

· произвольное управление доступом;

· принудительное управление доступом;

· идентификация и аутентификация;

· протоколирование и аудит.

Одним из важнейших в " Оранжевой книге" является понятие монитора обращений (см. Разд. Основные понятия). Применительно к структурированию сетевой конфигурации можно сформулировать следующее утверждение, дающее достаточное условие корректности фрагментирования монитора обращений.

Утверждение 1. Пусть каждый субъект (то есть процесс, действующий от имени какого-либо пользователя) заключен внутри одного компонента и может осуществлять непосредственный доступ к объектам только в пределах этого компонента. Пусть, далее, каждый компонент содержит свой монитор обращений, отслеживающий все локальные попытки доступа, и все мониторы проводят в жизнь согласованную политику безопасности. Пусть, наконец, коммуникационные каналы, связывающие компоненты, сохраняют конфиденциальность и целостность передаваемой информации. Тогда совокупность всех мониторов образует единый монитор обращений для всей сетевой конфигурации.

Истинность этого утверждения непосредственно следует из определения монитора обращений.

Отметим разумность структурирования на компоненты, содержащие собственные мониторы обращений. Обычно каждый такой компонент предоставляет законченный набор услуг, а, значит, его выделение естественно и целесообразно не только с точки зрения безопасности, но и с функциональной точки зрения.

Таким образом, сетевые конфигурации рекомендуется структурировать на компоненты, предоставляющие определенные виды сервиса и отслеживающие обращения к своим объектам, и на коммуникационные каналы, защищенные надежными сетевыми сервисами (использующими, как правило, криптографические механизмы).

Оценка компонентов производится по обычным критериям " Оранжевой книги" с одной важной оговоркой. Каждый компонент, вообще говоря, не обязан поддерживать все перечисленные выше аспекты политики безопасности. В таком случае к нему нужно применять соответствующее подмножество критериев. Компоненты, поддерживающие лишь часть аспектов политики безопасности, должны обладать программными и/или протокольными интерфейсами, чтобы получить недостающие им сервисы от других компонентов (предоставляющих такую возможность).

При оценке сетевой конфигурации принимается во внимание тип компонентов и присвоенный им класс безопасности. Комбинируя четыре аспекта политики безопасности, каждый из которых может независимо поддерживаться или не поддерживаться, получаем 15 типов компонентов и их комбинаций (случай, когда не поддерживается ни один аспект, не рассматривается). Как правило, условия корректности комбинаций и итоговый класс безопасности очевидным образом следуют из обычных критериев. Так, при объединении двух компонентов, поддерживающих произвольное управление доступом, необходимо, чтобы был определен протокол передачи идентификационной информации, на которой основываются решения о предоставлении запрашиваемого вида доступа. Политика безопасности каждого компонента и их объединения должна быть согласована с общей политикой. Итоговый класс безопасности объединения равен минимальному из классов, присвоенных компонентам.

При объединении компонента с произвольным управлением доступом и компонента, поддерживающего идентификацию и аутентификацию, должны сохраниться возможности обоих компонентов и, кроме того, для классов C2 и выше, необходимо наличие интерфейса к компонентам протоколирования и аудита. Если компонент идентификации отнесен к классу безопасности C2, то итоговый класс объединения совпадает с классом компонента с добровольным управлением доступом.

Мы не будем останавливаться на всех возможных способах построения составных компонентов.

Заключение

Мы завершили обзор основных положений информационной безопасности. Наша цель состояла в том, чтобы ознакомить читателей с важнейшими понятиями данной области знания и снабдить их практическими рекомендациями по формированию и поддержанию режима безопасности. Хочется еще раз подчеркнуть обязательность комплексного, систематического подхода, необходимость сочетания законодательных, организационных и программно-технических мер. Особенно важно, чтобы вопросы безопасности попали в сферу особого внимания руководителей организаций — без их поддержки (точнее, без их напора) сделать что-нибудь существенное невозможно.

Тема информационной безопасности необычайно важная, обширная и сложная. В таких странах, как США, она вынесена на правительственный и законодательный уровень, ей уделяется первостепенное внимание. Различные формы распространения знаний по безопасности охватывают по существу все слои общества; без таких знаний уже не мыслится компьютерная грамотность.

Литература

1. Гостехкомиссия России -- Руководящий документ. Концепция защиты СВТ и АС от НСД к информации -- Москва, 1992

2. Гостехкомиссия России -- Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации -- Москва, 1992

3. Гостехкомиссия России -- Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации -- Москва, 1992

4. Гостехкомиссия России -- Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники -- Москва, 1992

5. Гостехкомиссия России -- Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения -- Москва, 1992

6. Федеральный Закон " Об информации, информационных технологиях и защите информации" -- № 149-ФЗ от 27.07.06

7. Президент Российской Федерации -- Указ от 3 апреля 1995 г. # 334 " О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации", 22 февраля, 1995

8. В Гайкович, А Першин -- Безопасность электронных банковских систем -- Москва, Единая Европа, 1994

9. [9] В.К Левин -- Защита информации в информационно-вычислительных системах и сетях -- Программирование, 5, 1994, с. 5-16

10. Продукты года. — LAN — русское издание, апрель 1995, том 1, номер 1, с. 6-25

11. Department of Defense Trusted Computer System Evaliation Criteria -- DoD 5200.28-STD, 1993

12. National Computer Security Center -- A Guide to Understanding Audit in Trusted Systems -- NCSC-TG-001, 1987

13. National Computer Security Center -- A Guide to Understanding Discretionary Access Control in Trusted Systems -- NCSC-TG-003, 1987

14. National Computer Security Center -- Trusted Network Interpretation -- NCSC-TG-005, 1987

15. Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France — Germany — the Netherlands — the United Kingdom -- Department of Trade and Industry, London, 1991

16. Security Architecture for Open Systems Interconnection for CCITT Applications. Recommendation X.800 -- CCITT, Geneva, 1991