Доверенная система

В области разработки безопасности в области информатики — доверенная система это система, на которую полагаются в определенной степени для обеспечения соблюдения определенной политики безопасности . Это эквивалентно утверждению, что доверенной системой является система, сбой которой приведет к нарушению политики безопасности (если существует политика, соблюдение которой доверено системе).

Слово «доверие» имеет решающее значение, поскольку оно не несет того значения, которое можно было бы ожидать в повседневном использовании. Доверенная система — это та система, которую пользователь чувствует себя безопасно использовать и которой доверяет выполнение задач без тайного выполнения вредоносных или несанкционированных программ; Доверенные вычисления относятся к тому, могут ли программы доверять платформе в том, что она не будет изменена по сравнению с ожидаемой, и являются ли эти программы невинными или вредоносными , или выполняют ли они задачи, которые нежелательны для пользователя.

Доверенную систему также можно рассматривать как многоуровневую систему безопасности, в которой защита обеспечивается и управляется в соответствии с разными уровнями. Это обычно встречается в вооруженных силах, где информация подразделяется на несекретную (U), конфиденциальную (C), секретную (S), совершенно секретную (TS) и т. д. Они также обеспечивают соблюдение политики запрета чтения и записи.

Доверенные системы в секретной информации

Подмножество доверенных систем («Подразделение B» и «Подразделение A») реализуют метки обязательного контроля доступа (MAC), и поэтому часто предполагается, что они могут использоваться для обработки секретной информации . Однако в целом это неправда. Существует четыре режима, в которых можно использовать многоуровневую защищенную систему: многоуровневый, разделенный, выделенный и высокоуровневый режимы. В «Желтой книге» Национального центра компьютерной безопасности указано, что системы B3 и A1 могут использоваться только для обработки строгого подмножества меток безопасности и только при работе в соответствии с особенно строгой конфигурацией.

Центральным элементом концепции доверенных систем Министерства обороны США является понятие « монитора ссылок », который представляет собой объект, занимающий логическое сердце системы и отвечающий за все решения по контролю доступа. В идеале эталонный монитор

защищенный от несанкционированного доступа
всегда вызывается
достаточно малы, чтобы их можно было подвергнуть независимому тестированию, полнота которого может быть гарантирована.

В соответствии с (TCSEC) или «Оранжевой книгой» Агентства национальной безопасности США 1983 года Критериями оценки доверенных компьютерных систем был определен набор «классов оценки», которые описывали функции и гарантии, которые пользователь мог ожидать от доверенной системы.

Посвящение значительного системного проектирования минимизации сложности (а не размера , как часто упоминается) доверенной вычислительной базы (TCB) является ключом к обеспечению самых высоких уровней гарантий (B3 и A1). Это определяется как сочетание аппаратного, программного и встроенного ПО, которое отвечает за соблюдение политики безопасности системы. В системах с более высоким уровнем надежности может возникнуть внутренний инженерный конфликт, заключающийся в том, что чем меньше TCB, тем больше набор аппаратного, программного и встроенного программного обеспечения, который находится за пределами TCB и, следовательно, не заслуживает доверия. Хотя это может привести к более наивным с технической точки зрения аргументам софистов о природе доверия, этот аргумент путает проблему «правильности» с проблемой «достоверности».

TCSEC имеет четко определенную иерархию из шести классов оценки; самый высокий из них, A1, по своим характеристикам идентичен B3, отличаясь только стандартами документации. Напротив, недавно введенные Общие критерии (CC), которые основаны на сочетании технически зрелых стандартов различных стран НАТО , предоставляют ограниченный спектр из семи «классов оценки», которые смешивают функции и гарантии неиерархическим образом, и не хватает точности и математической строгости TCSEC. В частности, CC допускает очень расплывчатое определение «цели оценки» (TOE) и поддерживает – даже поощряет – смесь требований безопасности, отобранных из множества предопределенных «профилей защиты». Хотя можно утверждать, что даже кажущиеся произвольными компоненты TCSEC вносят свой вклад в «цепочку доказательств» того, что полевая система должным образом обеспечивает соблюдение объявленной политики безопасности, даже самый высокий (E7) уровень CC не может действительно обеспечить аналогичную согласованность. и строгость доказательного обоснования. ^{[ нужна ссылка ]}

Математические представления о доверенных системах защиты секретной информации вытекают из двух независимых, но взаимосвязанных корпусов работ. В 1974 году Дэвид Белл и Леонард ЛаПадула из MITRE под техническим руководством и финансовой поддержкой майора Роджера Шелла, доктора философии, из Командования электронных систем армии США (Форт-Хэнском, Массачусетс), разработали модель Белла-ЛаПадулы . в котором надежная компьютерная система моделируется с точки зрения объектов (пассивных хранилищ или мест назначения для данных, таких как файлы, диски или принтеры) и субъектов (активных объектов, которые вызывают обмен информацией между объектами, например пользователями, или системными процессами или потоками, работающими на от имени пользователей). Всю работу компьютерной системы действительно можно рассматривать как «историю» (в смысле теории сериализуемости) фрагментов информации, перетекающих от объекта к объекту в ответ на запросы субъектов о таких потоках. В то же время Дороти Деннинг из Университета Пердью публиковала свою докторскую диссертацию. диссертация, посвященная «решетчатым информационным потокам» в компьютерных системах. (Математическая «решетка» — это частично упорядоченное множество , характеризуемое как ориентированный ациклический граф , в котором отношения между любыми двумя вершинами либо «доминируют», «доминируют» или ни то, ни другое.) Она определила обобщенное понятие «меток», которые прикреплены к сущностям - соответствующие более или менее соответствует полной маркировке безопасности, которую можно встретить на секретных военных документах, например, СОВЕРШЕННО СЕКРЕТНО WNINTEL TK DUMBO. Белл и ЛаПадула интегрировали концепцию Деннинга в свой знаковый технический отчет MITRE, озаглавленный « Безопасная компьютерная система: унифицированная экспозиция и интерпретация мультиплексов» . Они заявили, что метки, прикрепленные к объектам, отражают конфиденциальность данных, содержащихся в объекте, а метки, прикрепленные к субъектам, отражают надежность пользователя, выполняющего субъект. (Однако может существовать тонкая семантическая разница между чувствительностью данных внутри объекта и чувствительностью самого объекта.)

Эти концепции объединены двумя свойствами: «простым свойством безопасности» (субъект может читать только из объекта, над которым он доминирует [ больше, чем близкая, хотя и математически неточная интерпретация]) и «свойством ограничения» или «свойством ограничения». *-свойство» (субъект может писать только тому объекту, который доминирует над ним). (Эти свойства условно называются «не считывать» и «не записывать» соответственно.) Совместное применение этих свойств гарантирует, что информация не может течь «вниз» в репозиторий, где ее могут обнаружить недостаточно надежные получатели. В более широком смысле, если предположить, что метки, присвоенные субъектам, действительно отражают их надежность, тогда правила запрета чтения и записи, жестко применяемые монитором ссылок, достаточны для ограничения троянских коней , одного из наиболее распространенных классов атак. ( наука , широко известные черви и вирусы являются специализациями концепции троянского коня).

Модель Белла-ЛаПадулы технически обеспечивает только контроль «конфиденциальности» или «секретности», т.е. она решает проблему чувствительности объектов и сопутствующей надежности субъектов, чтобы не допустить их ненадлежащего раскрытия. Двойная проблема «целостности» (т. е. проблема точности или даже происхождения объектов) и сопутствующей надежности субъектов, чтобы они не могли ненадлежащим образом модифицировать или уничтожить их, решаются математически аффинными моделями; самый важный из которых назван в честь его создателя К. Дж. Бибы . Другие модели целостности включают модель Кларка-Уилсона и модель целостности программы Шокли и Шелла, «Модель SeaView». ^[1]

Важной особенностью MAC является то, что они полностью находятся вне контроля любого пользователя. TCB автоматически присваивает метки всем объектам, выполняемым от имени пользователей, и файлам, к которым они обращаются или изменяют. Напротив, дополнительный класс средств контроля, называемый дискреционным контролем доступа (DAC), находится под прямым контролем пользователей системы. Знакомые механизмы защиты, такие как биты разрешений (поддерживаемые UNIX с конца 1960-х годов и – в более гибкой и мощной форме – Multics еще раньше) и списки управления доступом (ACL), являются знакомыми примерами DAC.

Поведение доверенной системы часто характеризуется с помощью математической модели. Это может быть жестким в зависимости от применимых эксплуатационных и административных ограничений. Они принимают форму конечного автомата (FSM) с критериями состояния, ограничениями перехода состояний (набором «операций», которые соответствуют переходам состояний) и описательной спецификацией верхнего уровня , DTLS (включает в себя воспринимаемый пользователем интерфейс , такой как в качестве API — набор системных вызовов в UNIX или системных выходов в мэйнфреймах ). Каждый элемент вышеупомянутого порождает одну или несколько операций модели.

Доверенные системы в доверенных вычислениях

Группа Trusted Computing создает спецификации, предназначенные для удовлетворения конкретных требований доверенных систем, включая аттестацию конфигурации и безопасное хранение конфиденциальной информации.

Доверенные системы в анализе политики

В контексте национальной или внутренней безопасности , правоохранительной деятельности или социального контроля политики доверенные системы обеспечивают условное предсказание поведения людей или объектов до разрешения доступа к системным ресурсам. ^[2] Например, доверенные системы включают использование «оболочек безопасности» в приложениях национальной безопасности и борьбы с терроризмом, инициативы « доверенных вычислений » в обеспечении безопасности технических систем, а также системы оценки кредитоспособности или идентификации в финансовых приложениях и приложениях по борьбе с мошенничеством. В общем, к ним относятся любые системы, в которых

вероятностный анализ угроз или рисков используется для оценки «доверия» для принятия решений перед разрешением доступа или для распределения ресурсов против вероятных угроз (включая их использование при разработке системных ограничений для управления поведением внутри системы); или
анализ отклонений или надзор за системами используются для обеспечения соответствия поведения внутри систем ожидаемым или разрешенным параметрам.

Широкое внедрение этих стратегий безопасности на основе авторизации (где состояние по умолчанию — DEFAULT=DENY) для борьбы с терроризмом, мошенничеством и других целей помогает ускорить продолжающуюся трансформацию современных обществ от воображаемой беккаровской модели уголовного правосудия , основанной на подотчетности. за девиантные действия после того, как они произошли ^[3] к модели Фуко, основанной на авторизации, упреждении и общем социальном подчинении посредством повсеместного превентивного надзора и контроля посредством системных ограничений. ^[4]

В этой новой модели «безопасность» ориентирована не на полицейскую деятельность, а на управление рисками посредством наблюдения, обмена информацией, аудита , коммуникации и классификации . Эти события привели к общей обеспокоенности по поводу частной жизни и гражданских свобод , а также к более широким философским дебатам о соответствующих методологиях социального управления.

Доверенные системы в теории информации

Доверенные системы в контексте теории информации основаны на следующем определении:

«Доверие — это то, что важно для канала связи, но не может быть передано от источника к месту назначения с использованием этого канала»
— Эд Герк ^[5]

В теории информации информация не имеет ничего общего со знанием или значением; это просто то, что передается от источника к месту назначения с использованием канала связи. Если до передачи информация имеется в пункте назначения, то передача равна нулю. Информация, полученная стороной, — это то, чего она не ожидает, что измеряется неопределенностью стороны относительно того, каким будет сообщение.

Точно так же доверие, по определению Герка, не имеет ничего общего с дружбой, знакомствами, отношениями между работником и работодателем, лояльностью, предательством и другими слишком изменчивыми понятиями. Доверие не понимается ни в чисто субъективном смысле, ни как чувство или нечто чисто личное или психологическое — доверие понимается как нечто потенциально передаваемое. Кроме того, это определение доверия является абстрактным, позволяя различным экземплярам и наблюдателям в доверенной системе взаимодействовать на основе общей идеи доверия (в противном случае общение было бы изолировано в доменах), где все обязательно разные субъективные и интерсубъективные реализации доверия в каждой подсистеме. (человек и машина) могут сосуществовать. ^[6]

В модели теории информации «информация — это то, чего вы не ожидаете» и «доверие — это то, что вы знаете». Объединяя обе концепции, доверие рассматривается как «квалифицированное доверие полученной информации». С точки зрения доверенных систем утверждение доверия может основываться не на самой записи, а на информации из других информационных каналов. ^[7] Углубление этих вопросов приводит к сложным концепциям доверия, которые тщательно изучаются в контексте деловых отношений. ^[8] Это также приводит к концепциям информации, в которых «качество» информации объединяет доверие или достоверность в структуре самой информации и информационной системы (систем), в которой она задумана, - более высокое качество с точки зрения конкретных определений точности и прецизионности. означает более высокую надежность. ^[9]

Пример расчета доверия: «Если я соединяю две доверенные системы, будут ли они более или менее доверенными, если взяты вместе?». ^[6]

Федеральная IBM группа программного обеспечения ^[10] предположил, что «точки доверия» ^[5] предоставить наиболее полезное определение доверия для применения в среде информационных технологий, поскольку оно связано с другими концепциями теории информации и обеспечивает основу для измерения доверия. В сетецентрической среде корпоративных услуг такое понятие доверия рассматривается как ^[10] быть необходимым для достижения желаемого видения совместной, сервис-ориентированной архитектуры.

См. также

Ссылки

^ Лант, Тереза и Деннинг, Дороти и Р. Шелл, Роджер и Хекман, Марк и Р. Шокли, Уильям. (1990). Модель безопасности SeaView. IEEE Trans. Программное обеспечение, англ.. 16. 593-607. 10.1109/SECPRI.1988.8114. (Источник)
^ Описанная здесь концепция доверенных систем обсуждается в Тайпале, штат Калифорния (2005). Проблема доверенных систем: конверты безопасности, статистический анализ угроз и презумпция невиновности , Национальная безопасность - тенденции и противоречия, IEEE Intelligent Systems, Vol. 20 № 5, стр. 80–83 (сентябрь/октябрь 2005 г.).
^ Чезаре Беккариа , О преступлениях и наказаниях (1764)
^ Мишель Фуко , Дисциплина и наказание (1975, Алан Шеридан , тр., 1977, 1995)
^ Jump up to: ^а ^б Феги, Дж. и П. Уильямс (1998) Точки доверия , в книге «Цифровые сертификаты: прикладная интернет-безопасность». Аддисон-Уэсли, ISBN 0-201-30980-7 ; На пути к реальным моделям доверия: зависимость от полученной информации
^ Jump up to: ^а ^б Доверие как квалифицированное доверие к информации, Часть I , Отчет COOK об Интернете, Том X, № 10, январь 2002 г., ISSN 1071-6327 .
^ Грегори, Джон Д. (1997). Джон Д. Электронные юридические записи: довольно хорошая аутентификация?
^ Хьюмер, Л. (1998). Доверие в деловых отношениях: экономическая логика или социальное взаимодействие? Умео: Бореа. ISBN 91-89140-02-8 .
^ Иванов, К. (1972). Контроль качества информации: О концепции точности информации в банках данных и информационных системах управления . Стокгольмский университет и Королевский технологический институт.
^ Jump up to: ^а ^б Дэйли, Кристофер. (2004). Структура доверия для среды сетецентрических корпоративных служб Министерства обороны США (NCES), IBM Corp., 2004 г. (Запрос от ISSAA IEEE Computer Society, архивировано 26 июля 2011 г. на Wayback Machine ).

Внешние ссылки

Проект «Глобальное информационное общество» – совместный исследовательский проект.

[1] Лант, Тереза и Деннинг, Дороти и Р. Шелл, Роджер и Хекман, Марк и Р. Шокли, Уильям. (1990). Модель безопасности SeaView. IEEE Trans. Программное обеспечение, англ.. 16. 593-607. 10.1109/SECPRI.1988.8114. (Источник)

[2] Описанная здесь концепция доверенных систем обсуждается в Тайпале, штат Калифорния (2005). Проблема доверенных систем: конверты безопасности, статистический анализ угроз и презумпция невиновности , Национальная безопасность - тенденции и противоречия, IEEE Intelligent Systems, Vol. 20 № 5, стр. 80–83 (сентябрь/октябрь 2005 г.).

[3] Чезаре Беккариа , О преступлениях и наказаниях (1764)

[4] Мишель Фуко , Дисциплина и наказание (1975, Алан Шеридан , тр., 1977, 1995)

[Trust_Points-5] Jump up to: ^а ^б Феги, Дж. и П. Уильямс (1998) Точки доверия , в книге «Цифровые сертификаты: прикладная интернет-безопасность». Аддисон-Уэсли, ISBN 0-201-30980-7 ; На пути к реальным моделям доверия: зависимость от полученной информации

[Trust_as_Qualified_Reliance-6] Jump up to: ^а ^б Доверие как квалифицированное доверие к информации, Часть I , Отчет COOK об Интернете, Том X, № 10, январь 2002 г., ISSN 1071-6327 .

[7] Грегори, Джон Д. (1997). Джон Д. Электронные юридические записи: довольно хорошая аутентификация?

[8] Хьюмер, Л. (1998). Доверие в деловых отношениях: экономическая логика или социальное взаимодействие? Умео: Бореа. ISBN 91-89140-02-8 .

[9] Иванов, К. (1972). Контроль качества информации: О концепции точности информации в банках данных и информационных системах управления . Стокгольмский университет и Королевский технологический институт.

[Daly,_Christopher-10] Jump up to: ^а ^б Дэйли, Кристофер. (2004). Структура доверия для среды сетецентрических корпоративных служб Министерства обороны США (NCES), IBM Corp., 2004 г. (Запрос от ISSAA IEEE Computer Society, архивировано 26 июля 2011 г. на Wayback Machine ).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]