190 likes | 332 Views
Biztonságtechnikai modellek és szabványok. Biztonságtechnikai modellek. Formális keret a biztonsági funkciók tervezéséhez Eszközök a formális ellenőrzéshez Szabványosítás alapjául szolgálhat Modellezett aspektusok titkosság (confidentiality) katonai eredet információ érzékenység
E N D
Biztonságtechnikai modellek Formális keret a biztonsági funkciók tervezéséhez Eszközök a formális ellenőrzéshez Szabványosítás alapjául szolgálhat Modellezett aspektusok titkosság (confidentiality) katonai eredet információ érzékenység érzékenységi kategóriák “need-to-know” elv adatintegritás rendelkezésre állás titoktartás (privacy) Bell La Padula modell (titkosság), Biba modell (adatintegritás)
Titkosság: Bell - La Padula modell David Elliott Bell, Len La Padula, 1973 (1976) Szereplők : aktív személyek (subjects) : passzív objektumok (objects) : objektumhierarchia (fák, erdő) : hozzáférési módok : sem írás, sem olvasás (execute) : csak olvasás (read only) : csak hozzáírás (append) : írás és olvasás (read-write)
Bell - La Padula modell 2. Fogalmak Hozzáférés (access) hármas : pillanatnyi hozzáférések halmaza Biztonsági besorolás (security classification) páros : biztonsági kategória (érzékenység) : környezeti kategória halmaz (Nuclear, NATO, Crypto, ...) Dominancia akkor és csak akkor, ha Hozzáférési mátrix : engedélyezett hozzáférés és között
Bell - La Padula modell 3. Fogalmak (folyt) Besorolási függvény : maximális biztonsági besorolása : biztonsági besorolása : aktuális biztonsági besorolása követelmény : Állapot négyes Rendszer kérelem döntés következő állapot kiinduló állapot
Bell - La Padula modell 4. Tulajdonságok Egyszerű biztonsági tulajdonság (no-read-up) vagy csak akkor engedélyezett, ha -tulajdonság (no-write-down) és egyszerre csak akkor lehetséges,ha néha túl szigorú, megbízható személyek esetében gyengíthető Biztonságbetartási tulajdonság minden eleme -beli (a pillanatnyi hozzáférések engedélyezettek) Biztonságos állapot: mindhárom tulajdonság teljesül -re Biztonságos döntés: a döntés által engedélyezett hozzáférések biztonságos állapotba vezetnek Biztonságos rendszer: minden állapota és döntése biztonságos (Trankvilitás: változhat, nem)
Bell - La Padula modell 5. Biztonsági műveletek get_access() új hármas -be (új aktuális hozzáférés) release_access() hármas törlése -ből get_permission() hozzáadás -hez rescind_permission() törlés -ből change_object_level() módosítása change_current_level() módosítása create_object() új levél -ban delete_object_group() részfa törlése -ból Problémák csak a titkosságra koncentrál adatintegritás nem biztosított (adatok törlése, megbízható személyek) önmagában nem elég
Adatintegritás: Biba modell Kenneth J. Biba, 1977 Bell - La Padula modell duálisa, integritás modell “no write up, no read down" Biztonsági helyett megbízhatósági besorolás Egyszerű megbízhatósági tulajdonság csak ha -tulajdonság és csak ha
Biztonsági szabványok Előírt biztonsági funkciók és követelmények Ellenőrzési és kiértékelési eljárások Nemzeti és nemzetközi szabványok TCSEC (Trusted Comp. Syst. Evaluation Criteria, “Orange Book”) ITSEC (Information Technology Security Evaluation Criteria) Common Criteria
TCSEC Orange Book USA (DoD), 1985 Általános követelmény lista Biztonsági osztályok D, C1, C2, B1, B2, B3, A osztály hierarchikus besorolás ellenőrzési eljárás Trusted Computer Base (TCB)
TCSEC Orange Book 2. D osztály: minimális biztonság ellenőrzött, de nem felel meg egyetlen követelménynek sem inkább csak ideiglenes jelleggel C1 osztály: alapfokú (korlátozott) hozzáférés védelem TCB csak névleges biztonságot szolgáltat felhasználók és adatok szétválasztása egyéni hozzáférés korlátozás együttműködő felhasználók azonos biztonsági szinten jól dokumentált
TCSEC Orange Book 3. C2 osztály: ellenőrzött (nem szabályozott) hozzáférés többszintű biztonság, központi hozzáférés védelem erőforrások elkülönítése, felhasználó azonosítás hozzáférés naplózás (auditing), belépési parancsfájl B1 osztály: címkézett hozzáférés védelem (informális) biztonságpolitikai modell adatobjektumok címkézése (nevesített objektumok, szubjektumok) kötelező érvényű hozzáférés szabályozás nevesített entitások között a tesztelés során felderített hibák kötelező eltávolítása
TCSEC Orange Book 4. B2 osztály: strukturált biztonság dokumentált formális biztonságpolitikai modell jól definiált TCB struktúra (kritikus és nem kritikus elemek hozzáférés szabályozás minden szubjektumra és objektumra kiterjesztve TCB csatlakozási felület teszteléshez megerősített azonosítás, tesztelés, konfigurálás (B1 és B2 között nagy ugrás)
TCSEC Orange Book 5. B3 osztály: biztonsági tartományok egyszerű, könnyen ellenőrizhető, moduláris TCB csak biztonságkritikus kód a TCB-ben rongálásvédett (tamperproof) TCB rendszer helyreállítási funkciók biztonsági rendszergazda funkció legyen bővített ellenőrzési lehetőségek
TCSEC Orange Book 6. A1 osztály: igazolt (bizonyított) biztonság formális verifikáció a tervezéstől az implementációig (teljes körű analízis) bizonyított biztonsági algoritmusok különálló rendszerbiztonság menedzsment GEMSOS™ Security Kernel (Aesec Corporation) Nem szerkezeti vagy politikai bővítések, hanema hivatalos tervezési és ellenőrzési módszerek kötelező használata
ITSEC Európai Unió, 1991 előtte UK, Franciaország, Hollandia, Németország használta Nemzeti szabályozások harmonizációja Titkosság mellett adatintegritás, rendelkezésre állás, titoktartás 8 alapfunkció: azonosítás hitelesítés jogosultság kiosztás jogosultság ellenőrzés bizonyíték biztosítás újraindítási képesség hibaáthidalás átviteli biztonság
ITSEC 2. Új koncepciók: Target of Evaluation fogalma funkcionalitási követelmények: hatékonyság, korrektség funkcionalitási osztályok biztonsági értékelési szintek F-C1, F-C2, F-B1, F-B2, F-B3, F-IN, F-AV, F-DI, F-DC, F-DX(speciális szintek adatbázis kezelés gyártási folyamatok adat integritás, adatátvitel, azonosítás-hitelesítés-átvitelbiztonság-bizonyítás biztonság értékelésére)
Common Criteria TCSEC, ITSEC egyfajta szintézise, a közös nyelv + INFOSEC (NATO), CTCPEC, X-Open stb.-é nemzetközi projekt (http://csrc.nist.gov/cc/) 1.0 verzió: 1996, 2.0 verzió: 1998 (ISO 15408, 1999) Alapfogalmak Target of Evaluation a vizsgált rendszer és környezetének egyes elemei Protection Profile egy adott funkcionalitásra kialakított termékfüggetlen követelmény Security Target egy Protection Profile konkrét implementációja egy adott termékben
Common Criteria 2. Követelmények funkcionálisak (Functional Requirements), garanciálisak (Assurance Requirements) Ellenőrzés erőssége garancia szintek (Evaluation Assurance Levels) A kiértékelés eredménye: dokumentum a rendszer egy adott védelmi profilnak megfelel a rendszer egy adott biztonsági cél követelményeinek megfelel a definiált 7 biztonsági osztály valamelyikének megfelel EAL1: Funkcionálisan tesztelt EAL2: Strukturálisan tesztelt, EAL3: Módszertanilag tesztelt és ellenőrzött, EAL4: Módszertanilag tervezett, tesztelt, auditált, EAL5: Félformális módszerrel tervezett és tesztelt, EAL6: Félformális módon ellenőrzött tervezés és tesztelés, EAL7: Formálisan ellenőrzött tervezés és tesztelés