Принудительное управление доступом.

Произвольное управление доступом (называемое иногда дискреционным) - это метод разграничения

доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит.

Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему

усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.

Безопасность повторного использования объектов - важное дополнение средств управления

доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации

из " мусора". Безопасность повторного использования должна гарантироваться для областей оперативной

памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых

блоков и магнитных носителей в целом.

Метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни

секретности образуют упорядоченное множество, категории - неупорядоченное. Назначение последних -

описать предметную область, к которой относятся данные. Для реализации принудительного управления

доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его

благонадежность, метка объекта - степень конфиденциальности содержащейся в нем информации.

Для реализации принудительного управления доступом с субъектами и объектами ассоциируются

метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень

конфиденциальности содержащейся в нем информации.

Принудительное (или мандатное) управление доступом (зависит от воли субъектов) основано на

сопоставлении меток безопасности субъекта и объекта. После того, как зафиксированы метки безопасности

субъектов и объектов, оказываются зафиксированными и права доступа.

Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у

объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В

таком случае говорят, что метка субъекта доминирует над меткой объекта.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над

меткой субъекта. В частности, " конфиденциальный" субъект может записывать данные в секретные файлы,

но не может - в несекретные.

Если понимать политику безопасности как правила разграничения доступа, то механизм подотчетности

является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто

работает в системе и что делает. Средства подотчетности делятся на три категории:

· идентификация и аутентификация;

· предоставление доверенного пути;

· анализ регистрационной информации.

Обычный способ идентификации - ввод имени пользователя при входе в систему. Стандартное средство

проверки подлинности (аутентификации) пользователя - пароль.

---------------------------------дальше текст для более полного ответа(того что сверху хватит)-----------------

предоставление надежного пути (связывает пользователя непосредственно с надежной

вычислительной базой, минуя другие, потенциально опасные компоненты системы. Цель

предоставления надежного пути – дать пользователю возможность убедиться в подлинности

обслуживающей его системы);

Анализ регистрационной информации (Аудит имеет дело с действиями (событиями),

затрагивающими безопасность системы (вход в систему и выход из нее; обращение к удаленной

системе; операции с файлами (открыть, закрыть, переименовать, удалить); смена привилегий или

иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

Протоколирование помогает следить за пользователями и реконструировать прошедшие события.

Реконструкция событий позволяет проанализировать случаи нарушений, понять причину, оценить

размеры ущерба и принять меры по недопущению подобных нарушений. При протоколировании

события записывается следующая информация: дата и время события; уникальный

идентификатор пользователя – инициатора действия; тип события; результат действия (успех или

неудача); источник запроса (например, имя терминала); имена затронутых объектов (например,

открываемых или удаляемых файлов); описание изменений, внесенных в базы данных защиты

(например, новая метка безопасности объекта); метки безопасности субъектов и объектов

события.).

Переходя к пассивным аспектам защиты, укажем, что рассматривается два вида

гарантированности – операционная и технологическая. Операционная гарантированность

относится к архитектурным и реализационным аспектам системы, в то время как технологическая

– к методам построения и сопровождения.

Гарантированность – это мера уверенности, с которой можно утверждать, что для проведения

сформулированной политики безопасности выбран подходящий набор средств, и каждое из этих

средств правильно исполняет отведенную ему роль.

Операционная гарантированность включает в себя проверку следующих элементов:

архитектура системы; целостность системы; анализ тайных каналов передачи информации;

надежное администрирование; надежное восстановление после сбоев. Операционная

гарантированность – это способ убедиться в том, что архитектура системы и ее реализация

действительно проводят в жизнь избранную политику безопасности.

Документация – необходимое условие гарантированной надежности системы и,

одновременно, – инструмент проведения политики безопасности. Без документации люди не

будут знать, какой политике следовать и что для этого нужно делать. В комплект документации

надежной системы должны входить: руководство пользователя по средствам безопасности;

руководство администратора по средствам безопасности; тестовая документация; описание

архитектуры; описание политики безопасности данной организации.

Технологическая гарантированность охватывает весь жизненный цикл системы, то есть

периоды проектирования, реализации, тестирования, продажи и сопровождения. Все

перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы

обезопаситься от утечки информации и нелегальных «закладок».

Понятие класса безопасности. Требования, предъявляемые к различным классам безопасности.

" Критерии" Министерства обороны США открыли путь к ранжированию

информационных систем по степени надежности. В " Оранжевой книге" определяется

четыре уровня безопасности (надежности) - D, C, B и A. Уровень D предназначен для

систем, признанных неудовлетворительными. В настоящее время он пуст и ситуация едва

ли когда-нибудь изменится. По мере перехода от уровня C к A к надежности систем

предъявляются все более жесткие требования. Уровни C и B подразделяются на классы

(C1, C2, B1, B2, B3) с постепенным возрастанием надежности. Таким образом, всего

имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы система в результате

процедуры сертификации могла быть отнесена к некоторому классу, ее политика

безопасности и гарантированность должны удовлетворять приводимым ниже

требованиям. Поскольку при переходе к каждому следующему классу требования только

добавляются, мы будем выписывать лишь то новое, что присуще данному классу,

группируя требования в согласии с предшествующим изложением.

Итак, ниже следуют критерии оценки надежных компьютерных систем.