Опубликован: 02.02.2018 | Доступ: свободный | Студентов: 3037 / 1235 | Длительность: 17:50:00
Тема: Безопасность
Лекция 3:
Объекты защиты информации
3.3. Классификация СВТ
Гостехкомиссия России в 1990-х годах разделила понятия АС и средств вычислительной техники (СВТ). Выделение СВТ в отдельную категорию обусловлено тем, что СВТ представляют собой компоненты при построении АС, то есть если СВТ не интегрированы в АС и не решают какой-то прикладной задачи, они не содержат пользовательской информации. Помимо этого, АС является более широким понятием, включающим в себя персонал, помещения, технологии обработки информации, полномочия пользователей системы.
Пример: ПЭВМ с установленной на ней операционной системой формально является СВТ. Но если ее поставить в конкретную комнату, закрепить за ней пользователя, выполняющего какую-то работу, она становится автоматизированной системой.
СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем[25].
СВТ классифицируются в соответствии с Руководящим документом Гостехкомиссии России "СВТ. Защита от НСД к информации. Показатели защищенности от НСД"
Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищённости от НСД к информации на базе перечня показателей защищённости и совокупности описывающих их требований.
Устанавливаются 7 классов защищённости СВТ от НСД к информации, при этом самый низкий класс - седьмой, самый высокий - первый. Каждый класс разбит на 4 группы:
| I. 7 класс - СВТ, которые были представлены к оценке, однако не удовлетворяют требованиям более высоких классов. |
| II. 6 и 5 классы - дискреционная защита. |
| III. 4, 3 и 2 классы - мандатная защита. |
| IV. 1 класс - верифицированная защита. |
Требования ужесточаются с уменьшением номера класса.
Классы являются иерархически упорядоченными: каждый последующий класс содержит требования всех предыдущих. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.
В общем случае требования предъявляются к следующим показателям защищённости:
- Дискреционный принцип контроля доступа.
- Мандатный принцип контроля доступа.
- Очистка памяти.
- Изоляция модулей.
- Маркировка документов.
Перечень показателей по классам защищенности СВТ приведен в таблице 3.4. Принятые обозначения:
| "-" | - | нет требований к данному классу; |
| "+" | - | новые или дополнительные требования, |
| "=" | - | требования совпадают с требованиями к СВТ предыдущего класса. |
| Наименование показателя | Класс защищенности | |||||
|---|---|---|---|---|---|---|
| 6 | 5 | 4 | 3 | 2 | 1 | |
| Дискреционный принцип контроля доступа | + | + | + | = | + | = |
| Мандатный принцип контроля доступа | - | - | + | = | = | = |
| Очистка памяти | - | + | + | + | = | = |
| Изоляция модулей | - | - | + | = | + | = |
| Маркировка документов | - | - | + | = | = | = |
| Защита ввода и вывода на отчуждаемый физический носитель информации | - | - | + | = | = | = |
| Сопоставление пользователя с устройством | - | - | + | = | = | = |
| Идентификация и аутентификация | + | = | + | = | = | = |
| Гарантии проектирования | - | + | + | + | + | + |
| Регистрация | - | + | + | + | = | = |
| Взаимодействие пользователя с КСЗ | - | - | - | + | = | = |
| Надежное восстановление | - | - | - | + | = | = |
| Целостность КСЗ | - | + | + | + | = | = |
| Контроль модификации | - | - | - | - | + | = |
| Контроль дистрибуции | - | - | - | - | + | = |
| Гарантии архитектуры | - | - | - | - | - | + |
| Тестирование | + | + | + | + | + | = |
| Руководство для пользователя | + | = | = | = | = | = |
| Руководство по КСЗ | + | + | = | + | + | = |
| Тестовая документация | + | + | + | + | + | = |
| Конструкторская (проектная) документация | + | + | + | + | + | + |
Оценка класса защищенности СВТ проводится в соответствии с "Положением о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации", "Временным положением по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники" и другими документами.
Для всех классов СВТ необходима реализация дискреционного контроля доступа.
Дискреционный принцип разграничения доступа предполагает назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретных пользователей или групп. Эта модель отличается простотой реализации, но ее недостатком является отсутствие механизмов слежения за безопасностью потоков информации. Это означает, что права на доступ к объекту проверяются только при первом обращении к объекту. При этом возникает опасность переноса информации из защищенного объекта в общедоступный. Более того, субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект--объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны, по меньшей мере, два подхода к построению дискреционного управления доступом:
- каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;
- система имеет одного выделенного субъекта - суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.
Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем (UNIX или Windows семейства NT).
Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации.
Мандатный принцип разграничения доступа (англ. Mandatory access control или MAC) предполагает назначение объекту грифа секретности, а субъекту - уровня допуска. Доступ субъектов к объектам в мандатной модели определяется на основании правил "не читать выше" и "не записывать ниже". Такая система запрещает пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня. Тем самым обеспечивается изоляция пользователей и процессов, как известных, так и неизвестных системе (неизвестная программа должна быть максимально лишена доверия, и её доступ к устройствам и файлам должен ограничиваться сильнее). Это означает, что пользователь не может прочитать информацию из объекта, гриф секретности которого выше, чем его уровень допуска. Также пользователь не может перенести информацию из объекта с большим грифом секретности в объект с меньшим грифом секретности. Использование мандатной модели предотвращает утечку конфиденциальной информации, но снижает производительность компьютерной системы.
В наиболее распространенных сегодня ОС Windows и UNIX используется дискреционное разграничение доступа. Это означает, что им присуща описанная выше проблема возможной утечки конфиденциальной информации. Пользователь, имеющий право работать с защищенным объектом может перенести содержащуюся в нем информацию в другой общедоступный объект. Причем это может произойти как преднамеренно, если это делает сам пользователь, так и непреднамеренно, например, через вредоносное или шпионское ПО, запущенное от его имени.
Важно отметить, что приведенные требования для каждого класса СВТ являются минимально необходимыми.
