Надежная система

В инженерной безопасности узкой специализации в области информатики , доверенная система представляет собой система, которая опиралась на до заданной степени для обеспечения указаных политик безопасности . Это равносильно утверждению, что доверенная система - это система, отказ которой нарушит политику безопасности (если существует политика, которую доверенная система может применять).

Значение слова «доверие» имеет решающее значение, поскольку оно не несет того значения, которого можно было бы ожидать в повседневном использовании. Система, которой доверяет пользователь, - это система, которую пользователь чувствует в безопасности, и доверяет ей выполнять задачи, не выполняя тайно вредоносные или неавторизованные программы; в то время как доверенные вычисления относятся к тому, могут ли программы доверять платформе как неизменной по сравнению с ожидаемой, независимо от того, являются ли эти программы невинными, вредоносными или выполняют задачи, которые нежелательны для пользователя.

Доверенная система также может рассматриваться как базовая система безопасности уровня, где защита обеспечивается и обрабатывается на разных уровнях. Это обычно встречается в вооруженных силах, где информация подразделяется на несекретную (U), конфиденциальную (C), секретную (S), совершенно секретную (TS) и другие. Это также обеспечивает соблюдение политик запрета чтения и записи.

Надежные системы в секретной информации [ править ]

Подмножество доверенных систем («Раздел B» и «Раздел A») реализуют метки обязательного управления доступом (MAC); поэтому часто предполагается, что они могут использоваться для обработки секретной информации . Однако в целом это неправда. Существует четыре режима, в которых можно работать с многоуровневой системой безопасности: многоуровневый режим, режим с разделением, выделенный режим и режим высокого уровня системы. В «Желтой книге» Национального центра компьютерной безопасности указано, что системы B3 и A1 могут использоваться только для обработки строгого подмножества защитных меток и только при эксплуатации в соответствии с особенно строгой конфигурацией.

Центральным элементом концепции «доверенных систем» в стиле Министерства обороны США является понятие « контрольный монитор », который представляет собой объект, который занимает логическое сердце системы и отвечает за все решения по управлению доступом. В идеале контрольный монитор должен быть (а) защищен от несанкционированного доступа, (б) всегда активирован и (в) достаточно мал, чтобы подвергаться независимому тестированию, полнота которого может быть гарантирована. В соответствии с критериями оценки доверенных компьютерных систем (TCSEC), или «Оранжевой книгой» Агентства национальной безопасности США от 1983 года , был определен набор «классов оценки», описывающих функции и гарантии, которые пользователь может ожидать от доверенной системы.

Ключом к обеспечению наивысшего уровня надежности (B3 и A1) является стремление к минимизации сложности (а не размера , как часто упоминается) доверенной вычислительной базы (TCB), определяемой как комбинация аппаратного обеспечения. , программное обеспечение и микропрограммное обеспечение, которые отвечают за обеспечение соблюдения политики безопасности системы.

Внутренний инженерный конфликт, по-видимому, возникает в системах с более высоким уровнем надежности в том смысле, что чем меньше TCB, тем больше набор оборудования, программного обеспечения и микропрограмм, которые находятся за пределами TCB и, следовательно, не являются надежными. Хотя это может привести более технически наивных к аргументам софистов о природе доверия, этот аргумент путает вопрос «правильности» с вопросом «надежности».

В отличие от четко определенной иерархии шести классов оценки, установленной TCSEC (высший из которых, A1, практически идентичен B3, но отличается только стандартами документации), недавно введенные Common Criteria (CC) являются производными от сочетания более или менее менее технически зрелые стандарты различных стран НАТОстраны - предоставляют более тонкий спектр из семи «классов оценки», которые смешивают характеристики и гарантии, возможно, неиерархическим образом, и им не хватает философской точности и математической строгости TCSEC. В частности, CC допускает очень слабую идентификацию «объекта оценки» (TOE) и поддерживает - даже поощряет - сочетание требований безопасности, взятых из множества предопределенных «профилей защиты». Хотя можно привести веские доводы в пользу того, что даже более кажущиеся произвольными компоненты TCSEC вносят свой вклад в «цепочку доказательств» того, что выставленная система должным образом обеспечивает соблюдение своей объявленной политики безопасности, даже самый высокий (E7) уровень CC не может действительно предоставить аналогичная последовательность и строгость доказательной аргументации.^{[ необходима цитата ]}

Математические понятия доверенных систем для защиты секретной информации происходят из двух независимых, но взаимосвязанных корпусов работы. В 1974 году Дэвид Белл и Леонард Лападула из MITER, работая под тесным техническим руководством и экономической поддержкой майора Роджера Шелла, доктора философии, Командования электронных систем армии США (Форт-Хэнском, Массачусетс), разработали то, что известно как модель Белла-ЛаПадула , в которой более или менее заслуживающая доверия компьютерная система моделируется в терминах объектов (пассивных репозиториев или мест назначения для данных, таких как файлы, диски, принтеры) и субъектов(активные сущности - возможно, пользователи, системные процессы или потоки, работающие от имени этих пользователей - которые вызывают обмен информацией между объектами). Все операции компьютерной системы действительно можно рассматривать как «историю» (в теоретико-сериализуемом смысле) фрагментов информации, перетекающих от объекта к объекту в ответ на запросы субъектов о таких потоках.

В то же время Дороти Деннинг из Университета Пердью публиковала свою докторскую диссертацию. диссертация, посвященная "решетчатым информационным потокам" в компьютерных системах. (Математическая «решетка» - это частично упорядоченное множество , характеризуемое как направленный ациклический граф , в котором отношения между любыми двумя вершинами либо «доминируют», «доминируют», либо ни одно из них.) Она определила обобщенное понятие « метки »- соответствующие более или менее полной маркировке безопасности, которую можно встретить на секретных военных документах, например , TOP SECRET WNINTEL TK DUMBO, - которые прикреплены к объектам. Белл и ЛаПадула интегрировали концепцию Деннинга в свой знаменательный технический отчет MITER, озаглавленный:Безопасная компьютерная система: унифицированное представление и множественная интерпретация - метки, прикрепленные к объектам, представляют конфиденциальность данных, содержащихся в объекте (хотя может быть и часто есть тонкая семантическая разница между чувствительностью данных в объекте и чувствительностью самого объекта), в то время как метки, прикрепленные к субъектам, представляли надежность пользователя, выполняющего субъект. Эти концепции объединены двумя свойствами, «простым свойством безопасности» (субъект может читать только из объекта, над которым он доминирует [ больше, чемявляется достаточно близкой - хотя и математически неточной - интерпретацией]) и «свойством ограничения» или «* -свойством» (субъект может писать только тому объекту, который доминирует над ним). (Эти свойства в общих чертах называются «без чтения» и «без записи» соответственно.) Совместно применяемые, эти свойства гарантируют, что информация не может течь «под гору» в репозиторий, откуда недостаточно надежные получатели могут ее обнаружить. . В более широком смысле, если предположить, что метки, присвоенные субъектам, действительно отражают их надежность, тогда правила запрета чтения и записи, жестко соблюдаемые монитором ссылок, доказуемо достаточны для ограничения троянских коней , одного из самых общих классы атаки ( sciz. ,широко известные черви ивирусы являются специализациями концепции троянского коня).

Модель Белла-ЛаПадула технически обеспечивает только контроль «конфиденциальности» или «секретности», то есть они решают проблему чувствительности объектов и сопутствующей надежности субъектов, чтобы не разглашать ее ненадлежащим образом. Двойная проблема «целостности» (т. Е. Проблема точности или даже происхождения объектов) и сопутствующей надежности субъектов не изменять или не уничтожать ее ненадлежащим образом решается с помощью математически аффинных моделей; самая важная из которых названа в честь ее создателя К.Дж. Биба . Другие модели целостности включают модель Кларка-Уилсона и модель целостности программ Шокли и Шелла, «Модель SeaView» ^[1]

Важной особенностью MAC является то, что они полностью неподконтрольны любому пользователю. TCB автоматически прикрепляет ярлыки ко всем темам, выполняемым от имени пользователей, и файлам, к которым они обращаются или изменяют. Напротив, дополнительный класс средств управления, называемый средствами управления дискреционным доступом (DAC), находится под прямым контролем пользователей системы. Знакомые механизмы защиты, такие как биты прав доступа (поддерживаемые UNIX с конца 1960-х годов и - в более гибкой и мощной форме - Multics - еще раньше) и списки управления доступом (ACL) являются знакомыми примерами DAC.

Поведение доверенной системы часто описывается с помощью математической модели, которая может быть более или менее строгой в зависимости от применимых операционных и административных ограничений, которые принимают форму конечного автомата (FSM) с критериями состояния, ограничениями перехода между состояниями , набор «операций», которые соответствуют переходам между состояниями (обычно, но не обязательно, один), и описательная спецификация верхнего уровня (DTLS), которая влечет за собой воспринимаемый пользователем интерфейс (например, API , набор системных вызовов [ на языке UNIX ] или выход из системы [в мэйнфреймежаргон]); каждый элемент которого порождает одну или несколько модельных операций.

Надежные системы в доверенных вычислениях [ править ]

Группа Trusted Computing Group создает спецификации, предназначенные для удовлетворения конкретных требований доверенных систем, включая подтверждение конфигурации и безопасное хранение конфиденциальной информации.

Надежные системы в анализе политики [ править ]

Доверенные системы в контексте национальной или внутренней безопасности , правоприменения или политики социального контроля - это системы, в которых до разрешения доступа к системным ресурсам был сделан некоторый условный прогноз поведения людей или объектов в системе. ^[2]

Например, доверенные системы включают использование «конвертов безопасности» в приложениях национальной безопасности и борьбы с терроризмом, инициативы « доверенных вычислений » в области безопасности технических систем, а также использование кредитных или идентификационных систем оценки в финансовых приложениях и приложениях для борьбы с мошенничеством; в целом, они включают любую систему (i), в которой вероятностный анализ угроз или рисков используется для оценки «доверия» к принятию решений перед авторизацией доступа или для распределения ресурсов против вероятных угроз (включая их использование при разработке системных ограничений для управления поведение внутри системы), или (ii) в котором анализ отклонений или надзор за системойиспользуется для обеспечения того, чтобы поведение в системах соответствовало ожидаемым или разрешенным параметрам.

Широкое распространение этих стратегий безопасности на основе авторизации (где состояние по умолчанию DEFAULT = DENY) для борьбы с терроризмом, противодействием мошенничеству и других целей помогает ускорить текущую трансформацию современных обществ от условной беккарианской модели уголовного правосудия, основанной на подотчетности. о девиантных действиях после того, как они происходят - см. Чезаре Беккариа , О преступлениях и наказании (1764) - к модели Фуко, основанной на разрешении, упреждении и общем социальном соответствии посредством повсеместного превентивного наблюдения и контроля через системные ограничения - см. Мишель Фуко , Дисциплина и наказание (1975, Алан Шеридан , тр., 1977, 1995).

В этой возникающей модели «безопасность» ориентирована не на работу полиции, а на управление рисками посредством наблюдения , обмена информацией, аудита , коммуникации и классификации . Эти события привели к общей озабоченности по поводу частной жизни и гражданской свободы и к более широким философским дебатам о соответствующих формах методологий социального управления .

Надежные системы в теории информации [ править ]

Доверенные системы в контексте теории информации основаны на определении доверия, как «Доверие - это то, что важно для канала связи, но не может быть передано от источника к месту назначения с использованием этого канала» Эда Герка. ^[3]

В теории информации информация не имеет ничего общего со знанием или смыслом. В контексте теории информации информация - это просто то, что передается от источника к месту назначения с использованием канала связи. Если до передачи информация доступна в месте назначения, то передача равна нулю. Информация, полученная стороной, - это та информация, которую сторона не ожидает, поскольку она измеряется неуверенностью стороны в отношении того, каким будет сообщение.

Точно так же доверие, как определено Герком, не имеет ничего общего с дружбой, знакомствами, отношениями между работником и работодателем, лояльностью, предательством и другими чрезмерно изменчивыми понятиями. Доверие не понимается ни в чисто субъективном смысле, ни как чувство или что-то чисто личное или психологическое - доверие понимается как что-то потенциально передаваемое. Кроме того, это определение доверия является абстрактным, что позволяет различным экземплярам и наблюдателям в доверенной системе общаться на основе общей идеи доверия (в противном случае связь будет изолирована в доменах), где все обязательно разные субъективные и интерсубъективные реализации доверия в каждой подсистеме. (человек и машины) могут сосуществовать. ^[4]

Взятые вместе в модели теории информации, «информация - это то, чего вы не ожидаете» и «доверие - это то, что вы знаете». Связывая обе концепции, доверие рассматривается как «квалифицированная уверенность в полученной информации». Что касается доверенных систем, утверждение доверия не может быть основано на самой записи, а на информации из других информационных каналов. ^[5] Углубление этих вопросов приводит к сложным концепциям доверия, которые были тщательно изучены в контексте деловых отношений. ^[6]Это также приводит к концепциям информации, в которых "качество" информации объединяет доверие или надежность в структуре самой информации и информационных систем, в которых она задумана: более высокое качество с точки зрения конкретных определений точности и точности. означает более высокую надежность. ^[7]

Примером исчисления доверия является «Если я соединю две доверенные системы, будут ли они более или менее доверять вместе?». ^[4]

IBM Federal Software Group ^[8] предположил , что ^[3] обеспечивает наиболее полезное определение доверия для применения в информационно - технологической среде, поскольку она связана с другими понятиями теории информации и обеспечивает основу для измерения доверия. В сетевой среде корпоративных сервисов такое понятие доверия считается ^[8] необходимым для достижения желаемого видения совместной сервис-ориентированной архитектуры.

См. Также [ править ]

Тщательность и точность
Компьютерная безопасность
Качество данных
Качество информации
Надежные вычисления

Ссылки [ править ]

^ Лант, Тереза и Деннинг, Дороти и Р. Шелл, Роджер и Хекман, Марк и Р. Шокли, Уильям. (1990). Модель безопасности SeaView .. IEEE Trans. Software Eng .. 16. 593-607. 10.1109 / SECPRI.1988.8114. (Источник)
^ Концепция доверенных систем, описанная здесь, обсуждается в Taipale, KA (2005). Проблема доверенных систем: конверты безопасности, статистический анализ угроз и презумпция невиновности , Национальная безопасность - тенденции и противоречия, IEEE Intelligent Systems, Vol. 20 No. 5, pp. 80-83 (сентябрь / октябрь 2005 г.).
^ a b Фегхи, Дж. и П. Уильямс (1998) Точки доверия , в цифровых сертификатах: прикладная безопасность в Интернете. Аддисон-Уэсли, ISBN 0-201-30980-7 ; К реальным моделям доверия: опора на полученную информацию
^ a b Доверие как квалифицированная уверенность в информации, Часть I , Отчет COOK в Интернете, Том X, № 10, январь 2002 г., ISSN 1071-6327 .
^ Грегори, Джон Д. (1997). Джон Д. Электронные юридические документы: довольно хорошая аутентификация?
^ Хьюмер, Л. (1998). Доверие в деловых отношениях: экономическая логика или социальное взаимодействие? Умео: Boréa. ISBN 91-89140-02-8 .
↑ Иванов, К. (1972). Контроль качества информации: О концепции точности информации в банках данных и в информационных системах управления . Стокгольмский университет и Королевский технологический институт.
^ а б Дейли, Кристофер. (2004). Trust Framework А для DoD Network-Centric Enterprise Services (NCES) Окружающая среда, IBM Corp., 2004. (запрос от IEEE Computer Society в ISSAA Архивированные 2011-07-26 в Wayback Machine ).

Внешние ссылки [ править ]

Global Information Society Project - совместный исследовательский проект

[1] Лант, Тереза и Деннинг, Дороти и Р. Шелл, Роджер и Хекман, Марк и Р. Шокли, Уильям. (1990). Модель безопасности SeaView .. IEEE Trans. Software Eng .. 16. 593-607. 10.1109 / SECPRI.1988.8114. (Источник)

[2] Концепция доверенных систем, описанная здесь, обсуждается в Taipale, KA (2005). Проблема доверенных систем: конверты безопасности, статистический анализ угроз и презумпция невиновности , Национальная безопасность - тенденции и противоречия, IEEE Intelligent Systems, Vol. 20 No. 5, pp. 80-83 (сентябрь / октябрь 2005 г.).

[Trust_Points-3] Фегхи, Дж. и П. Уильямс (1998) Точки доверия , в цифровых сертификатах: прикладная безопасность в Интернете. Аддисон-Уэсли, ISBN 0-201-30980-7 ; К реальным моделям доверия: опора на полученную информацию

[Trust_as_Qualified_Reliance-4] Доверие как квалифицированная уверенность в информации, Часть I , Отчет COOK в Интернете, Том X, № 10, январь 2002 г., ISSN 1071-6327 .

[5] Грегори, Джон Д. (1997). Джон Д. Электронные юридические документы: довольно хорошая аутентификация?

[6] Хьюмер, Л. (1998). Доверие в деловых отношениях: экономическая логика или социальное взаимодействие? Умео: Boréa. ISBN 91-89140-02-8 .

[7] Иванов, К. (1972). Контроль качества информации: О концепции точности информации в банках данных и в информационных системах управления . Стокгольмский университет и Королевский технологический институт.

[Daly,_Christopher-8] а б Дейли, Кристофер. (2004). Trust Framework А для DoD Network-Centric Enterprise Services (NCES) Окружающая среда, IBM Corp., 2004. (запрос от IEEE Computer Society в ISSAA Архивированные 2011-07-26 в Wayback Machine ).

[1]