Компьютерная безопасность

     Содержание

     1.Вступление…………………………………………………2

     2.Компоненты компьютерной безопасности………………2

     3.Критерии  компьютерной безопасности………………….3

           а) Основные сведения……………………………………4

           б) Основные цели и средства……………………………4

           в) Основные понятия…………………………………….6

           г) Механизмы реализации безопасности………………8

     4.Разделы  и классы………………………………………….10

          а) Классы безопасности…………………………………12

               б) Краткая классификация………………………………15

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     В настоящее время очень широко используется термин "компьютерная безопасность". В действительности компьютер подвержен только нескольким рискам, если он по сети не подключен  к другим компьютерам. За последнее  время процент использования  компьютерных сетей (особенно Интернета) значительно вырос, поэтому сегодня  термин "компьютерная безопасность" используется для описания проблем, связанных с сетевым использованием компьютеров и их ресурсов.  

    Основными техническими составляющими компьютерной безопасности являются:  
- конфиденциальность;  
- целостность;  
- аутентификация; 
- доступность.

     Для понимания сущности компьютерной безопасности необходимо дать определение всем вышеперечисленным  её компонентам: 
       - Конфиденциальность, также известная как секретность, означает, что у неавторизированных пользователей не будет доступа к вашей информации. Последствия, которые могут быть вызваны пробелами в конфиденциальности, могут варьироваться от незначительных до разрушительных. 
      - Целостность означает, что ваша информация защищена от неавторизированных изменений, что не относится к авторизированным пользователям. Угрозу целостности баз данных и ресурсов, как правило, представляет хакерство. 
     - Аутентификация - это сервис контроля доступа, осуществляющий проверку регистрационной информации пользователя. Другими словами это означает, что пользователь - это есть на самом деле тот, за кого он себя выдаёт. 
    - Доступность означает то, что ресурсы доступны авторизированным пользователям. 
 
       Другими важными компонентами, которым большое внимание уделяется профессионалами в области компьютерной безопасности, являются контроль над доступом и строгое выполнение обязательств. Контроль над доступом подразумевает не только факт, что пользователь имеет доступ только к имеющимся ресурсам и услугам, но и тот факт, что у него есть право доступа к ресурсам, которые он законно ожидает. Что касается строгого выполнения обязательств, то это подразумевает невозможность отказа пользователям того, что он отправил сообщение и наоборот.  
 
     Концепция компьютерной безопасности очень большая, поэтому к данным техническим аспектам есть и другие дополнения. Корни компьютерной безопасности заложены в дисциплине. Основными вопросами, связанными с данным термином, являются компьютерное преступление (попытки предотвратить, обнаружить атаки) и конфиденциальность/анонимность в киберпространстве. 
 
       Хотя конфиденциальность, целостность, аутентификация являются важными компонентами компьютерной безопасности, для пользователей Интернета наиболее важной составляющей является конфиденциальность, потому что большинство пользователей думают, что им нечего скрывать или информация, которую они предоставляют при регистрации на сайте, не является секретной.  
 
       Но помните, что в Интернете информация очень легко распространяется среди компаний и понемногу собранная информация с разных источников может многое сказать о человеке. Поэтому возможность контроля информации, для чего она собирается, кто и как может ею воспользоваться является очень серьёзным и важным вопросом в контексте компьютерной безопасности.

     Критерии  определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. Критерии используются для определения, классификации и выбора компьютерных систем предназначенных для обработки, хранения и поиска важной или секретной информации.

     Критерии, часто упоминающиеся как Оранжевая книга, занимают центральное место среди публикаций «Радужной серии» Министерства обороны США. Изначально выпущенные Центром национальной компьютерной безопасности США в качестве орудия для Агентства национальной безопасности в 1983 году и потом обновлённые в 1985.

     Аналогом Оранжевой книги является международный стандарт ISO/IEC 15408, опубликованный в 2005 году. Это более универсальный и совершенный стандарт, но вопреки распространенному заблуждению, он не заменял собой Оранжевую книгу в силу разной юрисдикции документов - Оранжевая книга используется исключительно Министерством Обороны США, в то время как ISO/IEC 15408 ратифицировали множество стран, включая Россию. 

Основные  сведения

     Критерии  оценки доверенных компьютерных систем — стандарт Министерства обороны США (англ. Department of Defense Trusted Computer System Evaluation Criteria, TCSEC, DoD 5200.28-STD, December 26, 1985), более известный под именем «Оранжевая книга» (англ. "Orange Book") из-за цвета обложки.

     Данный  стандарт, получил международное  признание и оказал исключительно  сильное влияние на последующие  разработки в области информационной безопасности (ИБ).

     Данный  стандарт относится к оценочным  стандартам (классификация информационных систем и средств защиты) и речь в нём идет не о безопасных, а о доверенных системах.

     Каких-либо абсолютных систем (в том числе  и безопасных) в нашей жизни  не существует. Поэтому и было предложено оценивать лишь степень доверия, которое можно оказать той  или иной системе.

     В стандарте заложен понятийный базис  ИБ (безопасная система, доверенная система, политика безопасности, уровень гарантированности, подотчетность, доверенная вычислительная база, монитор обращений, ядро безопасности, периметр безопасности).

     Безопасность  и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.

     Вслед за «Оранжевой книгой» появилась  целая «Радужная серия». Наиболее значимой в ней явилась интерпретация «Оранжевой книги» для сетевых конфигураций (англ. National Computer Security Center. Trusted Network Interpretation, NCSC-TG-005, 1987), где в первой части интерпретируется «Оранжевая книга», а во второй части описываются сервисы безопасности, специфичные для сетевых конфигураций.

Основные цели и средства

Политики

   Политики  безопасности должны быть подробными, четко определёнными и обязательными  для компьютерной системы. Есть две  основных политики безопасности:

• Мандатная политика безопасности — обязательные правила управления доступом напрямую основанные на индивидуальном разрешении, разрешении на доступ к информации и уровне конфиденциальности запрашиваемой информации. Другие косвенные факторы являются существенными и окружающими. Эта политика также должна точно соответствовать закону, главной политике и прочим важным руководствам, в которых устанавливаются правила.
• Маркирование — системы предназначенные для обязательной мандатной политики безопасности должны предоставлять и сохранять целостность меток управления доступом и хранить метки, если объект перемещён.
• Дискреционная политика безопасности — предоставляет непротиворечивый набор правил для управления и ограничения доступа, основанный на идентификации тех пользователей, которые намерены получить только необходимую им информацию.

Ответственность

   Индивидуальная  ответственность в независимости  от политики должна быть обязательной. Есть три требования по условиям ответственности:

• Аутентификация — процесс используемый для распознавания индивидуального пользователя.
• Авторизация — проверка разрешения индивидуальному пользователю на получение информации определённого рода.
• Аудит — контролируемая информация должна избирательно храниться и защищаться в мере, достаточной для отслеживания действий аутентифицированного пользователя, затрагивающих безопасность.

Гарантии

   Компьютерная  система должна содержать аппаратные и/или программные механизмы, которые  могут независимо определять обеспечивается ли достаточная уверенность в  том, что система исполняет указанные  выше требования. В добавок, уверенность  должна включать гарантию того, что  безопасная часть системы работает только так, как запланировано. Для  достижения этих целей необходимо два  типа гарантий и соответствующих  им элементов:

• Механизмы гарантий
• Операционная гарантия — уверенность в том, что реализация спроектированной системы обеспечивает осуществление принятой стратегии защиты системы. Сюда относятся системная архитектура, целостность системы, анализ скрытых каналов, безопасное управление возможностями и безопасное восстановление.
• Гарантия жизненного цикла — уверенность в том, что система разработана и поддерживается в соответствии с формализованными и жестко контролируемыми критериями функционирования. Сюда относятся тестирование безопасности, задание на проектирование и его проверка, управление настройками и соответствие параметров системы заявленным.
• Гарантии непрерывной защиты — надёжные механизмы, обеспечивающие непрерывную защиту основных средств от преступных и/или несанкционированных изменений.

Документирование

   В каждом классе есть дополнительный набор документов, который адресован разработчикам, пользователям и администраторам  системы в соответствии с их полномочиями. Эта документация содержит:

• Руководство пользователя по особенностям безопасности.
• Руководство по безопасным средствам работы.
• Документация о тестировании.
• Проектная документация

Основные понятия

Безопасная  система

     Это система, которая обеспечивает управление доступом к информации, таким образом, что только авторизованные лица или  процессы, действующие от их имени, получают право работы с информацией.

Доверенная  система

     Под доверенной системой в стандарте  понимается система, использующая аппаратные и программные средства для обеспечения  одновременной обработки информации разной категории секретности группой  пользователей без нарушения  прав доступа.

Политика  безопасности

     Это набор законов, правил, процедур и  норм поведения, определяющих, как организация  обрабатывает, защищает и распространяет информацию. Причем, политика безопасности относится к активным методам  защиты, поскольку учитывает анализ возможных угроз и выбор адекватных мер противодействия.

Уровень гарантированности

     Подразумевает меру доверия, которая может быть оказана архитектуре и реализации информационной системы, и показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности (пассивный аспект защиты).

Подотчетность

     В группе «Подотчетность»  должны быть следующие  требования: 1) Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности. 2) Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе (то есть должен существовать объект компьютерной системы, потоки от которого и к которому доступны только субъекту администрирования). Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.