Концепции за защита на информационни системи


Категория на документа: Информатика


ТЕМА 1 Компютърна сигурност. Общи положения.
Защитата на компютрите, периферията, сградата, терминалите, кабелите, дисковете и т.н. е всичко, което можем да включим в предметното полето на компютърната сигурност. КС има три важни аспекта: ТАЙНА - гарантира, че потребителите имат достъп само до информацията, която им е позволена от системата за защита.Тя е от първостепенна важност за комуникационните и информационни системи за сигурност и отбрана. ЦЯЛОСНОСТ - Не допуска неоторизирана или случайна подмяна /изменение, актуализация на инф./, т.е. модифициране. НАЛИЧНОСТ - една защитена комп. с-ма трябва да осигурява наличност на информацията за своите потребители.
Ключови думи: УЯЗВИМИСТ - точката /мястото/ на уязвимост на дадена система. Хардуерни, софтуерни, човешки и др. ЗАПЛАХИ - заплахите попадат в три главни категории - природни, случайни, преднамерени. ПРОТИВОДЕЙСТВИЕ - мерки за защита.

ТЕМА 2 Цветната серия. Исторически бележки.
1967г. под покровителството на Комитета за отбранителна наука се създава голямата задача насочена към защитните средства за комп.сигурност, които ще защитават класифицираната инф-я в комп.с-ми с отдалечен достъп и споделени ресурси. 1970г. се публикува отчета на задачата "Контроли за сигурност за комп.с-ми". Правят се препоръки за политиките и техн-те аспекти. DoD 5200.28/ DoD 5200.28-М побликувани съответно 1972/1973г. установяват единна политика на Мин.на отбраната за инф.сиг. 1981г. National Security Agency, NSA на САЩ дефинира правата и отговорностите на комп.сиг. на Мин.на отбраната на САЩ и се създава CSC /Computer Security Center/ в NSA. 1985г. от всички етапи до тук се стига до побликуване на Trusted Computer System Evaluation Criteria (TCSEC), известни като "Оранжева книга", преиздадена DoD 5200.28-STD за Мин.на отбраната.
SS бизнес CSC преминава в NCSC

Наука
Цветната книга дефинира ясни правила към бизнеса, потребители и науката. Книгите изглеждат по един и същ начин, но са цветни.

ТЕМА 3 Фундаментални изисквания за комп.сиг.
6 са фундаменталните изисквания , който са в основата на комп.сиг. и са разделени в три групи: ПОЛИТИКА: *Политика за сигурност *Маркиране - всяка една инф. носи ниво за сигурност; ОТЧЕТНОСТ: *Идентификация и автентификация - първото казва кой си ти, а второто потвърждава, че си ти *Отчетност - всяко едно действие може да бъде наблюдавано и контролирано; УВЕРЕНОСТ ИЛИ ГАРАНТИРАНОСТ: *Гарантираност *Непрекъсната защита - че мерките работят във всеки 1 момент.
Защитена изчислителна база /Trusted Computing Base, ТСВ/ е всяка онази част от системата имаща отношение към сигурността. ТСВ е сърцето /ядрото на сиг./ на защитената компютърна система отговаря за: *подържането на политиката за сигурност и *обектите за сигурност. Границите на ТСВ се отъждествяват с "периметър за сигурност". Т.е. *Ясно очертаване на границите *Изолираност *Ясна дефиниция на функционирането.

ТЕМА 4 Категории на критериите за оценка на сигурността
ЦЕЛ НА КРИТЕРИИТЕ: *Да достави на потребителите инструментариум за използване на степента на сигурност *Да се осигури на производителите да изпълняват изискванията за сиг. *Единна основа за спесификация за сигурност. ТИПОВЕ ИЗИСКВАНИЯ: * Специфични изисквания за сигурност *Изисквания за гарантираност
Trusted Computer System Evaluation Criteria (TCSEC), известни като "Оранжева книга", издадена през август 1983 г. от Националният център за компютърна сигурност (National Computer Securuty Center-NCSC), част от Националната агенция за сигурност (National Security Agency-NSA), дефинират основните класове, понятия и критерии за оценка на сигурността на компютърните системи.
*А-доказана сигурност. *В-мандатна (временна) сиг.; *C-разумна сигурност; *D-минимална сиг.;
Всеки клас може да съдържа един или повече номерирани подкласове.
Всеки подклас е дефиниран посредством множество от критерии. D - D1-нама никакви средства за защита; С - необходимост да се знае и възможност за наблюдение и контрол - С1-предоставена защита; С2-защита с контролиран достъп; В - запазва цялостта на маркираните етикети - В1-етикирана защита; В2- класифицирана; В3-защитени области; А - защитата е потвърдена и всички контроли работят по правилния начин - А1-формални методи за верифициране на инф.

ТЕМА 5 /5.1./ Политика за сигурност
Критериите са групирани в четири обобщени категории: *Политика на сигурност; *Отчетност; *Гарантираност; *Документираност.
Политика за сигурност - Това е множество от правила и практики, които определят как една организация управлява, защитава и разпределя чувствителната информация,т.е. рамката, в която една система осигурява защитата.
Описва се в термините на обекти и субекти. Обектите могат да бъдат файлове, директории и т.н., а субектите - потребители, процеси и програми.
При дадени идентифицирани обекти и субекти трябва да има едно множество от правила, което да се използва от системата да определи кога даден субект може да получи достъп до специфициран обект.
Цялата работа по гарантиране на сигурността на информацията на коя да е фирма или ведомство започва с подготовката на документ, наречен "Политика на сигурност".

Изискванията за политиката на сигурност е първото от множеството изисквания и те са групирани в следните категории:
* Разумен контрол на достъп-да е ясно кой, как и кога може да има достъп
* Повторно използване на обектите (ресурсите)-изисква защита на инф.
* Етикети-етикира степента на секретност /конфиденциалност/
* Мандатен /задължителен/контрол на достъп-решава дали се дава или не достъп.

ТЕМА 6 /5.2./ Отчетност
Критериите са групирани в четири обобщени категории: *Политика на сигурност; *Отчетност; *Гарантираност; *Документираност.
Отчетност - Отчетността трябва да реализира идеята, че системата знае кой сте вие и какво правите. Системата трябва да притежава възможност да извършва: *идентифицира автентифицира /I&A/-идентифициране в системата и потвърждение, че е той *Защитен път-средата,в която съществуват тези неща *Наблюдение-включвазаписване, проверка и преглед на дейностите свързани с безопасността на една защитена система, наречени събития и в тях се вкл.: влизане,излизане,отваряне,затваряне,преименуване на файлове и т.н. и за всяко събитие се наблюдава: дата и време на събитието; уникалния ID на потребителя, инициирал събитието; тип на събитието; успешно или неуспешно и т.н.

ТЕМА 7 /5.3./ Гарантираност
Критериите са групирани в четири обобщени категории: *Политика на сигурност; *Отчетност; * Гарантираност; *Документираност.
Гарантираност - Увереността е една гаранция, че политиката на сигурност на една защитена система е приложена правилно и че системните възможности коректно изпълняват политиката на сигурност. Разглеждат се два типа гарантираност: *Системна-Системната гарантираност разглежда въпросите за архитектурата и възможностите на системата и обхваща: Системна архитектура; Системна цялостност; Анализ на скритите канали (черни врати); Лесно защитено управление; Защитено възстановяване. *Гарантираност на жизнения цикъл-разглежда въпросите за контролите и стандартите при разработването и експлоатацията на системата и обхваща: *Тестване за сигурност; *Планиране на спецификацията и верификацията; *Управление на конфигурацията; *Защитено разпределение (разпространение).

ТЕМА 8 /5.4./ Документираност
Критериите са групирани в четири обобщени категории: *Политика на сигурност; *Отчетност; * Гарантираност; *Документираност.
Документираността включва следните книги: *Ръководство за потребителя на възможностите за сигурност-Предназначено е за обикновените потребители и включва: Влизането в защитената система - ID и парола, смяна на паролата, съобщения и използването им; Защита на файлове и друга информация; Входни и изходни файлове - как да се четат нови данни в защитената система и как да се пишат в други системи без заплахи за сигурността; Справяне със системните ограничения. *Учебник по защита-Предназначен е за системния администратор и/или администратора по сигурността.; *Документация с тестове-тази документация съдържа план на тестването, допусканията за средата (обкръжението) на тестване, очакваните резултати и действителните резултати.; *План-Планът документира вътрешностите на системния хардуер, фърмуер и софтуер.
Преследва две важни цели: Да докаже на оценяващите, че системата удовлетворява напълно критериите за оценка; Да помогне на разработчиците посредством дефиниране на системната политика за сигурност и как тази политика да се реализира.

ТЕМА 9 Оценка за защитени TCSEC - цветната серия
Области:
- Субекти



Сподели линка с приятел:





Яндекс.Метрика
Концепции за защита на информационни системи 9 out of 10 based on 2 ratings. 2 user reviews.