セキュリティの証明の芸術を失った。 パート1/2
この記事の最初の部分では、安全な自動システムを構築するための証拠に基づいたアプローチの可能性について説明します。
証拠に基づくアプローチの基礎は、セキュリティポリシー、セキュリティモデル、およびセキュリティの証拠の概念です。 安全な政策の概念には特別な注意が払われます。 セキュリティプロパティは定量的とは解釈されませんが、定性的と解釈されます-特定のモデルに関しては、ポリシーは安全であるかどうかのいずれかです。
直感的なレベルでは、推論のロジックは次のとおりです。モデルの正式なポリシーが安全であれば、実際の自動処理の条件における適切な実際のポリシーも安全になります。
エビデンスに基づくアプローチを適用する場合のアクションのシーケンスは次のとおりです。
-貴重な情報を処理するための既知のアルゴリズムを備えたサブジェクトエリアの場合、所有者の観点から情報値を処理する「正しい」順序を決定する自然言語のステートメントがいくつか作成されます。 言い換えると、実装されている場合は安全なセキュリティポリシーが策定されています(情報価値の所有者を害することなく)。
-前の段階で取得されたポリシーは、よく研究されたセキュリティモデルの1つに関して形式化されています。
-セキュリティポリシーステートメントの実行可能性の正式な証明が実行されます。 この場合、ポリシーの実装に必要かつ十分な条件は、使用されるセキュリティポリシーの観点から特定されます。 証拠の結果として、貴重な情報を処理するための条件が特定され、その下でセキュリティポリシーの要件が実行可能になります。
-ポリシーの実装に関するこれらの条件は、実際の自動化されたシステムに対して解釈され、組み込みのメカニズムとセキュリティツールの設定の形で実装されます。
したがって、エビデンスに基づくアプローチを適用する場合、解釈は2回実行されます。最初に、保護の正式なモデルに関してセキュリティポリシーが表現され、次に自動化システムのメカニズムとサービスに関してセキュリティの証明中に取得されたポリシーのセキュリティ条件が記述されます。
5.仮定とセキュリティ条件の解釈
最新の自動システムの機能的な目的は、ワークステーションから大量の情報(データベース)へのマルチユーザーアクセスです。 原則として、このようなASのコンポーネント間の相互作用は、クライアント/サーバーアーキテクチャの原則に従って実行されます。 次の論理構造は、クライアントサーバーASの一般的なものです。
1)ASのユーザーが働くワークステーションのOS。
2)ワークステーションで実行され、DBMSのサーバー部分と対話するDBMSクライアントアプリケーション。
3)OSサーバーOS。データベースおよび(または)共有ファイルが保存されます。
4)DBMSのサーバー部分。サーバー上で実行されているアプリケーションです。 ワークステーションからの要求に応じて集中データベース処理を実行します。
5)DBMSのクライアント部分とサーバー部分の間で情報を転送する通信コンポーネント。 次に、3つの部分で構成されます。ワークステーションとデータベースサーバーの間で情報を転送する通信ネットワーク。 ワークステーションOSの通信ドライバー。 データベースサーバー通信ドライバー。
同時に、このタイプのスピーカーでは次のハードウェアコンポーネントを区別できます。
1)ワークステーションであるパソコンのグループ。
2)データベースサーバーおよび(または)ファイルサーバーであるコンピューターのグループ。
3)次のタイプの機器で構成されるサーバーとワークステーションを接続する通信ネットワーク:通信チャネル、非管理ネットワーク機器、管理ネットワーク機器。
4)情報媒体の保管:データベースおよびソフトウェアのバックアップコピー。 情報保護ツール(以下SIS)の参照コピー、データベース管理システム(以下DBMS)、サーバーOS、ワークステーションOS、およびそれらを使用して計算された整合性とチェックサムをチェックするためのユーティリティが含まれている必要があります。 また、SZIの登録のログも保存する必要があります。
前提条件と安全条件の解釈には、前の段落で行われた前提条件1〜5および条件1〜3の組織的対策、機器、およびソフトウェアの助けを借りた実際の強化が含まれます。 ただし、機器をインストールしてソフトウェアを設定する前に、モデルパラメータが自動処理システムの機能にどのように関連するかを理解する必要があります。
前提条件1.各エンティティに親が1つしかないという前提条件は、ほとんどのオペレーティングシステムでプロセス生成メカニズムの形式で実装されています。 この場合、OSはプロセスとしてサブジェクトの概念をサポートする必要があります。
仮定2.システムのアクティブ化されたサブジェクトのシステムのオブジェクトへのアクセスのシーケンスによってシステムの機能をシミュレートできるという仮定は、オペレーティングシステムが特定のレベルのインターフェイスから開始して、オブジェクト、サブジェクト、およびアクセスの概念をサポートすることを意味します。 これらのインターフェイスはOSのブートプロセス中に発生し、保護メカニズムが起動される前の初期ブート中に実際のシステムで発生するプロセスは考慮されないことは明らかです。
前提条件3.単一の管理者が存在し、他のユーザーに権利を譲渡することを拒否するという前提は、管理者の義務に含まれる必要がある組織的措置に変換できます。
仮定4.共有施設を介した貴重な情報の漏洩チャネルが存在しない。 この仮定は、管理者の管理下にあるオペレーティングシステムによって実装できます。
仮定5.ユーザーに代わってアクティブ化されたサブジェクトをシステムオブジェクトに接続しようとしたときのシステムの動作に関する仮定は、いわゆるリンクモニターを使用して、プロセッサ機器とオペレーティングシステムのセキュリティカーネルによって実装できます。
そのため、仮定が正しく、セキュリティポリシーが守られている場合、不正アクセスは不可能です。 セキュリティポリシーに従うことができる条件を検討してください。 次の条件に従って実行できることがわかります。
■条件1-識別と認証。
■条件2 —サブシステムを許可します。
■条件3 —回避策はありません。
クライアントサーバーアーキテクチャの原則に基づいて構築された自動化システムに適用されるように、シミュレーション中に取得したセキュリティ要件を解釈します。
1.ユーザーの識別と認証。 ASサーバーおよびワークステーションのオペレーティングシステムは、少なくとも6文字の一意のユーザー識別子によってユーザーIDを提供する必要があります。 ユーザーの認証には、条件付きで永続的なアクションのパスワードを少なくとも6文字の長さで使用する必要があります。 パスワードは、ASサーバーの管理者が簡単に推測できないように設定する必要があります。
ワークステーションOSとのユーザーセッションを確立する場合、ユーザーIDとパスワードを要求する必要があります。 ASサーバーとのユーザーセッションを確立する場合、ユーザーIDとパスワードを要求する必要があります。 データベースサーバーとのユーザーセッションを確立する場合、ユーザーIDとパスワードを要求する必要があります。 ユーザーのパスワードをワークステーション上のファイルに保存しないでください。 ネットワークを介して送信する場合、開示から保護する必要があります。
2.許可サブシステム。 システムのサーバー、ネットワーク機器、およびワークステーションには、情報へのアクセスを有効にするアクセス制御システムが必要です。このユーザーがアクセス権を持っていない情報へのアクセスをNSDに許可せず、ユーザーがアクセスする必要がある情報へのアクセスを許可します。
3.回避策の欠如。 情報へのすべてのアクセスは、ライセンスサブシステムを介して行う必要があります。 この条件への準拠を確実にするために、監査証跡の使用とシステムコンポーネントの整合性の定期的な監視が推奨されます。 ASサーバーOSは、サーバー管理者のみがアクセスできるファイルでOSのユーザーセッションの確立と終了を登録する必要があります(この目的のためにシステム監査員を任命することをお勧めします。管理者は監査ログへのアクセスを許可しないでください)。 ワークステーションのオペレーティングシステムは、ワークステーションとのユーザーセッションの確立と終了を登録する必要があります。
ACサーバーのオペレーティングシステムは、ACサーバーとのユーザーセッションの確立と終了を登録する必要があります。 DBMSのサーバー部分は、サーバー管理者のみがアクセスできるファイルのデータベースにユーザーセッションの確立と終了を登録する必要があります。 登録パラメーターは次のことを示します。システムへのアクセス(システムから)またはシステムのシャットダウンのロードの対象の出入りの日時。 ログイン試行の結果:成功または失敗-不正; アクセスの試行中に提示されたサブジェクトの識別子(コードまたは姓)。
すべての保護されたメディアは、ラベルを使用して説明する必要があります。 保護されたメディアのアカウンティングは、発行/受信の登録とともにジャーナル(カードインデックス)で実行する必要があります。 システムには、システムコンポーネントのプログラムコードを変更する手段への通常のユーザーアクセスを取得する機能がありません。 システムの資金がある施設へのアクセスの差別化を実行する必要があります。
6. OS情報保護によるセキュリティポリシーの実装
ただし、セキュリティポリシーの実装に役立つ条件を実装するOSメカニズムの存在は、これらのメカニズムが管理者によって正しく構成されることを保証しません。 したがって、重要な問題は、アクセス制御のための特定のポリシーとルールの解釈の実際的な実装です。 すべての構成手順を完了して初めて、安全な自動システムを構築するための主な計画が実現されます。 したがって、組織が確立したアクセス制御規則のもう1つの解釈は、OSに組み込まれたセキュリティツールによって実行されます。
7.結論
最近、安全な実行で自動化システムを構築する問題に多くの注意が払われています。 これらの問題を解決するための概念的なアプローチがいくつかあります。 1つ目は、貴重なデータの処理に関するリスク分析に基づくアプローチでした。 その後、開発は情報セキュリティシステムを構築するための規範的なアプローチを受けました。 証拠に基づくアプローチは、リスクに基づくアプローチと規範的なアプローチの中間です。
この記事では、安全な自動システムを作成するためのエビデンスに基づいたアプローチの機能を示しました。 エビデンスに基づくアプローチの欠点は、組織が採用する特定のASおよび情報セキュリティポリシーをモデル化する必要があることです。 ただし、モデルの特性は、上記よりもオペレーティングシステムのより詳細なシミュレーションでは、さまざまな組織のセキュリティポリシーが満たされるための条件は同じであることがわかります。
言い換えれば、セキュリティポリシー(対応するポリシーを含む)のサポートを証明する定理の条件は、標準の形で証明なしで定式化できます。 このアプローチは、1983年にアメリカ人によって最初に使用され、ESOD(オレンジブック)で情報セキュリティ標準の草案を公開しました。 その後、1987年にこの方法を使用して、同じポリシーをサポートする保証された安全な分散ネットワークを説明し、1991年に保証された安全なデータベースの要件を説明しました。 この方法に基づいて、情報保護システムの構築に対する規範的なアプローチが作成されました。
この記事で紹介されているモデルは教育的な性質のものであり、最新の情報保護システムを構築する機能を説明するために使用できます。
継続する。 CISSP / CISM / CISA / Security +のトレーニングと認証に関する質問をPashkovK@muk.com.uaでお待ちしています
記事の著者が実施した情報セキュリティに関するトレーニングコース(TC MUK-Kiev)
CC MUK (キエフ)で最も近い情報セキュリティコース
2016年1月18〜22日MUK-S0101 SecurityPlus
2016年2月1〜5日、MUK-S0102 CISA
2016年2月22〜26日MUK-S0105 CISSP / CISM 2015
