Войти
В инженерии безопасности специальность информатика, доверенная система - это система, на которую в определенной степени полагаются для обеспечения соблюдения указанной политики безопасности. Это равносильно утверждению, что доверенная система - это система, отказ которой нарушит политику безопасности (если существует политика, которую доверенная система может применять).
Значение слова «доверие» имеет решающее значение, поскольку оно не несет того значения, которого можно было бы ожидать в повседневном использовании. Система, которой доверяет пользователь, - это система, которую пользователь чувствует в безопасности при использовании, и доверяет ей выполнять задачи, не выполняя тайно вредоносные или неавторизованные программы; в то время как доверенные вычисления относятся к тому, могут ли программы доверять платформе как неизменной по сравнению с ожидаемой, независимо от того, являются ли эти программы невиновными, вредоносными или выполняют задачи, нежелательные для пользователя.
Надежная система также может рассматриваться как система безопасности базового уровня, где защита обеспечивается и обрабатывается на разных уровнях. Это обычно встречается в вооруженных силах, где информация подразделяется на несекретную (U), конфиденциальную (C), секретную (S), совершенно секретную (TS) и другие. Они также обеспечивают соблюдение политик запрета чтения и записи.
Подмножество доверенных систем («Раздел B» и «Раздел A») реализуют обязательный контроль доступа (MAC) этикетки; поэтому часто предполагается, что они могут использоваться для обработки секретной информации. Однако в целом это неправда. Существует четыре режима, в которых можно использовать многоуровневую систему безопасности: многоуровневый режим, режим с разделением, выделенный режим и режим высокого уровня системы. В «Желтой книге» Национального центра компьютерной безопасности указано, что системы B3 и A1 могут использоваться только для обработки строгого подмножества защитных меток и только при эксплуатации в соответствии с особенно строгой конфигурацией.
Центральное место в концепции США. «Доверенные системы» в стиле Министерства обороны - это понятие «контрольный монитор », который представляет собой объект, который занимает логическое сердце системы и отвечает за все решения по управлению доступом. В идеале контрольный монитор должен быть (а) защищен от несанкционированного доступа, (б) всегда активирован и (в) достаточно мал для проведения независимого тестирования, полнота которого может быть гарантирована. Согласно критериям оценки доверенных компьютерных систем (TCSEC) (TCSEC), или «Оранжевой книге» Агентства национальной безопасности США 1983 года, был определен набор «классов оценки», которые описывали функции и гарантии, которые пользователь мог ожидать от доверенной системы.
Ключом к обеспечению наивысшего уровня гарантии (B3 и A1) является стремление к минимизации сложности (а не размера, как часто упоминается) доверенной вычислительной базы (TCB), определяемая как комбинация аппаратного, программного и микропрограммного обеспечения, которая отвечает за обеспечение выполнения политики безопасности системы.
Внутренний инженерный конфликт, по-видимому, возникает в системах с более высоким уровнем надежности в том смысле, что чем меньше TCB, тем больше набор оборудования, программного обеспечения и микропрограмм, находящихся вне TCB и, следовательно, не пользующийся доверием. Хотя это может привести более технически наивных к аргументам софистов о природе доверия, этот аргумент путает вопрос «правильности» с вопросом «надежности».
В отличие от четко определенной иерархии шести классов оценки, установленной TCSEC, высший из которых, A1, практически идентичен B3, отличается только стандартами документации, - недавно введенный Common Criteria (CC) - которые происходят из смеси более или менее технически зрелых стандартов из различных стран НАТО - обеспечивают более тонкий спектр семи «классов оценки», которые смешивают характеристики и гарантии, возможно, неиерархическим образом и не хватает философской точности и математической строгости TCSEC. В частности, CC допускает очень слабую идентификацию «объекта оценки» (TOE) и поддерживает - даже поощряет - сочетание требований безопасности, взятых из множества предопределенных «профилей защиты». Хотя можно привести веские доводы в пользу того, что даже более кажущиеся произвольными компоненты TCSEC вносят свой вклад в «цепочку доказательств» того, что выставленная система должным образом обеспечивает соблюдение объявленной политики безопасности, даже самый высокий (E7) уровень CC не может действительно предоставить аналогичная последовательность и строгость доказательной аргументации.
Математические понятия доверенных систем для защиты секретной информации вытекают из двух независимых, но взаимосвязанных трудовых коллективов. В 1974 году Дэвид Белл и Леонард Лападула из MITER, работая под тесным техническим руководством и экономической поддержкой майора Роджера Шелла, доктора философии, Командования электронных систем армии США (Форт-Хэнском, Массачусетс), разработали то, что известно как модель Bell-LaPadula, в которой более или менее надежная компьютерная система моделируется с помощью объектов (пассивных репозиториев или мест назначения для данных, таких как файлы, диски, принтеры) и субъекты (активные сущности - возможно, пользователи, системные процессы или потоки, работающие от имени этих пользователей - которые вызывают передачу информации между объектами). Действительно, всю работу компьютерной системы можно рассматривать как «историю» (в теоретическом смысле сериализуемости) частей информации, перетекающих от объекта к объекту в ответ на запросы субъектов о таких потоках.
В то же время Дороти Деннинг из Университета Пердью публиковала свою докторскую диссертацию. диссертация, посвященная «решетчатым информационным потокам» в компьютерных системах. (Математическая «решетка» - это частично упорядоченное множество, характеризуемое как направленный ациклический граф, в котором отношения между любыми двумя вершинами либо «доминируют», «доминируют», «или ни то, ни другое.» Она определила обобщенное понятие «ярлыков» - более или менее соответствующих полному обозначению защиты, которое можно встретить на секретных военных документах, например, TOP SECRET WNINTEL TK DUMBO, - которые прикреплены к объектам. Белл и ЛаПадула интегрировали концепцию Деннинга в свой знаменательный технический отчет MITER под названием Secure Computer System: Unified Exposition and Multics Interpretation, в котором метки, прикрепленные к объектам, отражают конфиденциальность данных, содержащихся в объекте (хотя может быть, и часто бывает, тонкая семантическая разница между чувствительностью данных в объекте и чувствительностью самого объекта), в то время как метки, прикрепленные к субъектам, представляют надежность пользователя, выполняющего субъект. Эти концепции объединены двумя свойствами: «простым свойством безопасности» (субъект может читать только от объекта, над которым он доминирует [больше, чем достаточно близкая, хотя и математически неточная интерпретация]) и «свойство удержания» или «* -свойство» (субъект может писать только объекту, который доминирует над ним). (Эти свойства в общих чертах называются «без чтения» и «без записи» соответственно.) Совместно применяемые, эти свойства гарантируют, что информация не может течь «под гору» в репозиторий, откуда недостаточно надежные получатели могут ее обнаружить.. В более широком смысле, если предположить, что метки, присвоенные субъектам, действительно отражают их надежность, тогда правила запрета чтения и записи, жестко соблюдаемые монитором ссылок, очевидно, достаточны для ограничения троянских коней, один из самых общих классов атак (sciz., широко известные черви и вирусы являются частями концепции троянского коня).
Модель Белла-ЛаПадула технически обеспечивает только «конфиденциальность» или «секретность», т.е. они решают проблему чувствительности объектов и сопутствующей надежности субъектов, чтобы не разглашать ее ненадлежащим образом. Двойная проблема «целостности» (то есть проблема точности или даже происхождения объектов) и сопутствующей надежности субъектов не изменять или разрушать ее ненадлежащим образом решается с помощью математически аффинных моделей; самый главный из которых назван в честь его создателя К. Дж. Биба. Другие модели целостности включают модель Кларка-Уилсона и модель целостности программ Шокли и Шелла, «Модель SeaView»
. Важной особенностью MAC является то, что они полностью неподконтрольны никому. пользователь. TCB автоматически прикрепляет ярлыки ко всем темам, выполняемым от имени пользователей, и к файлам, к которым они обращаются или изменяют. Напротив, дополнительный класс средств управления, называемый дискреционный контроль доступа (DAC),, находится под прямым контролем пользователей системы. Знакомые механизмы защиты, такие как биты разрешений (поддерживаются UNIX с конца 1960-х годов и - в более гибкой и мощной форме - Multics еще раньше) и списки управления доступом (ACL) знакомые примеры ЦАП.
Поведение доверенной системы часто описывается с помощью математической модели, которая может быть более или менее строгой в зависимости от применимых операционных и административных ограничений, которая принимает форму конечного автомата (FSM) с критериями состояния, ограничениями перехода состояния , набором «операций», которые соответствуют переходам между состояниями (обычно, но не обязательно, один), и описательной спецификацией верхнего уровня (DTLS), что влечет за собой воспринимаемый пользователем интерфейс (например, API, набор системных вызовов [в UNIX язык] или выход из системы [на мэйнфрейме язык]); каждый элемент которого порождает одну или несколько модельных операций.
Trusted Computing Group создает спецификации, предназначенные для удовлетворения конкретных требований доверенных систем, включая подтверждение конфигурации и безопасное хранение конфиденциальной информации.
Доверенные системы в контексте национальной или национальной безопасности, правоохранительных органов или политика социального контроля - это системы, в которых некоторые условные прогнозы о поведении людей или объектов в системе были определены до разрешения доступа к системным ресурсам.
Для Например, доверенные системы включают использование «защитных конвертов» в приложениях национальной безопасности и борьбы с терроризмом, инициативы «доверенных вычислений » в области безопасности технических систем, а также использование систем в финансовых приложениях и приложениях для борьбы с мошенничеством; как правило, они включают любую систему (i), в которой вероятностная угроза или анализ риска используется для оценки «доверия» к принятию решений перед авторизацией доступа или для распределения ресурсов против вероятных угроз (включая их использование в разработка систем ограничений для управления поведением в системе), или (ii) в которых или системы наблюдение используются для обеспечения того, чтобы поведение в системах соответствовало ожидаемым или разрешенным параметрам.
Широкое распространение этих стратегий безопасности на основе авторизации (где состояние по умолчанию DEFAULT = DENY) для борьбы с терроризмом, противодействием мошенничеству и других целей помогает ускорить текущую трансформацию современных обществ от условной модели Бекари. уголовного правосудия, основанного на ответственности за девиантные действия после их совершения - см. Чезаре Беккариа, О преступлениях и наказании (1764) - до модели Фуко, основанной на разрешении, упреждении и общих социальных соблюдение требований посредством повсеместного превентивного наблюдения и контроля через системные ограничения - см. Мишель Фуко, Дисциплина и наказание (1975, Алан Шеридан, тр., 1977, 1995).
В этой возникающей модели «безопасность» ориентирована не на контроль, а на управление рисками через наблюдение, обмен информацией, аудит, коммуникация и классификация. Эти события привели к общей озабоченности по поводу частной жизни и гражданской свободы и к более широким философским дебатам о подходящих формах социального управления методологии.
Доверенные системы в контексте теории информации основаны на определении доверия как «Доверие - это то, что необходимо для канал связи, но не может быть передан от источника к месту назначения с использованием этого канала »Эд Герка.
В теории информации информация не имеет ничего общего со знанием или смыслом. В контексте теории информации информация - это просто то, что передается от источника к месту назначения с использованием канала связи. Если до передачи информация доступна в месте назначения, то передача равна нулю. Информация, полученная стороной, - это та информация, которой она не ожидает, поскольку измеряется неуверенностью стороны в отношении того, каким будет сообщение.
Точно так же доверие, как определено Герком, не имеет ничего общего с дружбой, знакомствами, отношениями между работником и работодателем, лояльностью, предательством и другими чрезмерно изменчивыми понятиями. Доверие не понимается ни в чисто субъективном смысле, ни как чувство или что-то чисто личное или психологическое - доверие понимается как нечто потенциально передаваемое. Кроме того, это определение доверия является абстрактным, что позволяет различным экземплярам и наблюдателям в доверенной системе общаться на основе общей идеи доверия (в противном случае связь будет изолирована в доменах), где все обязательно различные субъективные и интерсубъективные реализации доверия в каждой подсистеме. (человек и машины) могут сосуществовать.
Взятые вместе в модели теории информации, информация - это то, чего вы не ожидаете, а доверие - это то, что вы знаете . Связывая обе концепции, доверие рассматривается как квалифицированная уверенность в полученной информации . Что касается доверенных систем, утверждение доверия не может основываться на самой записи, а на информации из других информационных каналов. Углубление этих вопросов приводит к сложным концепциям доверия, которые были тщательно изучены в контексте деловых отношений. Это также приводит к концепциям информации, в которых «качество» информации объединяет доверие или надежность в структуре самой информации и информационных систем, в которых она задумана: более высокое качество с точки зрения конкретных определений точности и точности означает более высокую надежность.
Введение в расчет доверия (Пример: «Если я соединю две доверенные системы, будут ли они более или менее доверять вместе?»).
IBM Federal Software Group предложила, что дает наиболее полезное определение доверия для приложений в среде информационных технологий, поскольку оно связано с другими концепциями теории информации и обеспечивает основу для измерения доверия. В среде корпоративных услуг, ориентированной на сеть, такое понятие доверия считается необходимым для достижения желаемого видения совместной, ориентированной на службы архитектуры.
См. Также Проект надежных систем, часть проекта глобального информационного общества (GISP ), совместного исследовательского проекта Института мировой политики (WPI ) и Центр перспективных исследований в науке. Тех. Политика (CAS ).
