Jump to content

Безопасность на основе модели

Add links

Безопасность на основе моделей (MDS) означает применение подходов на основе моделей (и особенно концепций, лежащих в основе разработки программного обеспечения на основе моделей ). [1] безопасности .

Разработка концепции

[ редактировать ]

Общая концепция безопасности на основе моделей в ее самых ранних формах существует с конца 1990-х годов (в основном в университетских исследованиях). [2] [3] [4] [5] [6] [7] [8] [9] [10] ), и впервые был коммерциализирован примерно в 2002 году. [11] Существует также ряд более поздних научных исследований в этой области. [12] [13] [14] [15] [16] [17] что продолжается и по сей день.

Более конкретное определение безопасности на основе модели конкретно применяет подходы на основе модели для автоматического создания технических реализаций безопасности на основе моделей требований безопасности. В частности, «Безопасность на основе модели (MDS) — это поддерживаемый инструментом процесс моделирования требований безопасности на высоком уровне абстракции и использования других источников информации, доступных о системе (созданных другими заинтересованными сторонами). Эти входные данные, которые выражены в предметной области, Конкретные языки (DSL) затем преобразуются в реализуемые правила безопасности с минимальным вмешательством человека. MDS явно включает в себя также управление безопасностью во время выполнения (например, права/авторизации), то есть применение политики во время выполнения в защищенных ИТ. системы, динамические обновления политик и мониторинг нарушений политик». [18]

Безопасность на основе моделей также хорошо подходит для автоматического аудита, отчетности, документирования и анализа (например, для обеспечения соответствия и аккредитации), поскольку связи между моделями и техническими реализациями безопасности четко определяются посредством преобразований моделей. [19]

Мнения отраслевых аналитиков

[ редактировать ]

Несколько источников отраслевых аналитиков [20] [21] [22] заявляют, что MDS «окажет значительное влияние, поскольку инфраструктура информационной безопасности должна становиться все более интерактивной, автоматизированной и адаптивной к изменениям в организации и ее среде». Сегодня многие архитектуры информационных технологий созданы для поддержки адаптивных изменений (например, сервис-ориентированные архитектуры (SOA) и так называемые «платформы как услуги» в облачных вычислениях). [23] ), а инфраструктура информационной безопасности должна будет поддерживать эту адаптивность («гибкость»). Термин DevOpsSec (см. DevOps ) используется некоторыми аналитиками. [24] эквивалент безопасности на основе модели.

Эффекты МДС

[ редактировать ]

Поскольку MDS автоматизирует создание и повторное создание технических мер безопасности на основе общих моделей, он: [25] [18]

  • обеспечивает SOA гибкость
  • снижает сложность (и сложность безопасности SOA)
  • повышает гибкость политики
  • поддерживает расширенные политики безопасности приложений
  • поддерживает контекстно-зависимые политики безопасности рабочего процесса
  • может автоматически генерировать политики безопасности инфраструктуры SOA
  • поддерживает повторное использование между заинтересованными сторонами SOA
  • минимизирует человеческие ошибки
  • может автоматически генерировать политики безопасности границ домена
  • помогает обеспечить аккредитацию обеспечения безопасности SOA (описано в электронной книге MDSA компании ObjectSecurity).

Реализации MDS

[ редактировать ]

Помимо академических экспериментальных разработок, единственные коммерчески доступные полные реализации безопасности на основе моделей (для автоматизации политики управления авторизацией) включают ObjectSecurity OpenPMF, [11] который был включен в отчет Gartner «Cool Vendor» в 2008 году. [26] и поддерживается рядом организаций (например, ВМС США). [27] ) как средство упрощения и автоматизации управления политиками авторизации.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ "Дом" . омг.орг .
  2. ^ Лоддерштедт Т., SecureUML: язык моделирования на основе UML для безопасности на основе моделей. В UML 2002 — унифицированный язык моделирования. Моделирование, языки, концепции и инструменты. 5-я Международная конференция, Дрезден, Германия, сентябрь/октябрь 2002 г., Труды, том 2460, LNCS, с. 426–441, Спрингер, 2002 г.
  3. ^ Лоддерстедт Т. и др., Модельно-ориентированная безопасность для процессно-ориентированных систем, SACMAT 2003, 8-й симпозиум ACM по моделям и технологиям контроля доступа, 2003 г., июнь 2003 г., Комо, Италия, 2003 г.
  4. ^ Юрьенс Дж., UMLsec : Расширение UML для разработки безопасных систем, В UML 2002 - Унифицированный язык моделирования. Моделирование, языки, концепции и инструменты. 5-я Международная конференция, Дрезден, Германия, сентябрь/октябрь 2002 г., Труды, том 2460 LNCS, стр. 412–425, Springer, 2002 г.
  5. ^ Эпштейн П., Сандху Р.С. К подходу к ролевой инженерии, основанному на UML. В материалах 4-го семинара ACM по управлению доступом на основе ролей, октябрь 1999 г., Арлингтон, Вирджиния, США, стр. 145-152, 1999 г.
  6. ^ Ланг, У.: Политики доступа для промежуточного программного обеспечения. доктор философии Диссертация, Кембриджский университет, 2003 г.
  7. ^ Ланг, У. Безопасность на основе модели (структура управления политиками - PMF): защита ресурсов в сложной распределенной системе. Семинар DOCSec 2003, апрель 2003 г. (документ: Ланг, У., Шрайнер, Р.: Гибкая, управляемая моделями структура безопасности для распределенных систем: структура управления политиками (PMF) на Международной конференции IASTED по коммуникационной, сетевой и информационной безопасности (CNIS 2003) в Нью-Йорке, США, 10–12 декабря 2003 г.)
  8. ^ Берт, Кэрол С., Барретт Р. Брайант, Раджив Р. Радже, Эндрю Олсон, Михаил Огастон, «Безопасность, основанная на модели: унификация моделей авторизации для детального контроля доступа», edoc, стр. 159, Седьмая Международная конференция по корпоративным распределенным объектным вычислениям (EDOC'03), 2003 г.
  9. ^ Ланг У., Голлманн Д. и Шрайнер Р. Проверяемые идентификаторы в безопасности промежуточного программного обеспечения. Материалы 17-й ежегодной конференции по приложениям компьютерной безопасности (ACSAC), стр. 450–459, IEEE Press, декабрь 2001 г.
  10. ^ Ланг, Ульрих и Рудольф Шрайнер, Разработка безопасных распределенных систем с помощью CORBA, 288 страниц, опубликовано в феврале 2002 г., Artech House Publishers, ISBN   1-58053-295-0
  11. ^ Jump up to: а б "Дом" . objectsecurity.com .
  12. ^ Фёльтер, Шаблоны для решения сквозных проблем при разработке программного обеспечения на основе моделей, версия 2.3, 26 декабря 2005 г.
  13. ^ Надалин. Архитектура безопасности на основе модели, Саммит программного обеспечения в Колорадо, 10 октября 2005 г. и IBM Systems JOURNAL, ТОМ 44, № 4, 2005 г.: Безопасность приложений на основе бизнеса: от моделирования к управлению безопасными приложениями
  14. ^ Алам, ММ; Бреу, Р.; Бреу, М., Модельно-ориентированная безопасность для веб-сервисов (MDS4WS), Многотемная конференция, 2004 г. Труды INMIC 2004. 8-й международный том, выпуск, 24-26 декабря 2004 г. Страницы: 498 – 505
  15. ^ Алам М., Бреу Р., Хафнер М., февраль 2007 г. Моделирование безопасности для доверительного управления в SECTET, Журнал программного обеспечения, 02/2007
  16. ^ Вольтер, Кристиан, Андреас Шаад и Кристоф Мейнель, SAP Research, Выведение политик XACML из моделей бизнес-процессов, WISE 2007
  17. ^ Веб-сайт Токийской исследовательской лаборатории IBM, Основная исследовательская компетенция, Разработка программного обеспечения, 09/2007
  18. ^ Jump up to: а б "Дом" . modeldrivensecurity.org .
  19. ^ Ланг, У. и Шрайнер, Р. Аккредитация безопасности на основе модели (MDSA) для гибких, взаимосвязанных ИТ-ландшафтов на 1-м семинаре ACM по управлению информационной безопасностью, 13 ноября 2009 г., Hyatt Regency Chicago, Чикаго, США
  20. ^ Gartner: «Цикл ажиотажа в области технологий управления идентификацией и доступом, 2013 г.» (G00247866), «Цикл ажиотажа в области безопасности приложений, 2013 г.» (G00252739), «Крутые поставщики в области безопасности и аутентификации приложений, 2008 г.» (G00156005), 4 апреля 2008 г., «Уничтожение хранилищ авторизации приложений с помощью решений по управлению авторизацией» (G00147801) 31 мая 200 г., «Безопасность на основе моделей: создание адаптивной инфраструктуры безопасности в реальном времени» (G00151498) 21 сентября 2007 г., «Цикл ажиотажа в области информационной безопасности, 2007 г.» (G00150728) 4 сентября 2007 г., «Цикл ажиотажа в области технологий управления идентификацией и доступом, 2008 г.» (G00158499) 30 июня 2008 г., «Цикл ажиотажа в области контекстно-зависимых вычислений, 2008 г.» (G00158162) 1 июля 2008 г., «Cisco покупает Securent для политики Управление и актуальность» (G00153181), 5 ноября 2007 г.
  21. ^ Группа 451: «Отчет о влиянии службы Market Insight» (54313) и в отчете «Управление политикой идентификации — замыкание цикла между управлением идентификацией, безопасностью и управлением ИТ?».
  22. ^ Отчет Burton Group «Управление правами» за 2008 год.
  23. ^ Ланг, У. Авторизация как услуга для облачных и SOA-приложений на Международном семинаре по облачной конфиденциальности, безопасности, рискам и доверию (CPSRT 2010), проведенном совместно со 2-й Международной конференцией IEEE по технологиям и науке облачных вычислений (Cloudcom) CPSRT 2010, Индианаполис, Индиана, США, декабрь 2010 г.
  24. ^ Gartner: Цикл ажиотажа в области безопасности приложений, 2012 г. (G00229119)
  25. ^ Ланг, У. Управление безопасностью на основе модели: обеспечение управляемости управления безопасностью в сложных распределенных системах на MODSEC 2008 (семинар по моделированию безопасности), Материалы семинара CEUR, Тулуза, Франция, 28 сентября 2008 г.
  26. ^ Gartner: «Крутые поставщики в области безопасности и аутентификации приложений, 2008 г.» (G00156005), 4 апреля 2008 г.
  27. ^ Пресс-релиз - ObjectSecurity и Promia реализуют функции безопасности XML для технологий военной безопасности США следующего поколения, апрель 2010 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Model-driven_security&oldid=1199230571"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 75feeaeb647df9123112e985114d47fb__1706268840
URL1:https://arc.ask3.ru/arc/aa/75/fb/75feeaeb647df9123112e985114d47fb.html
Заголовок, (Title) документа по адресу, URL1:
Model-driven security - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)