Профиль защиты для многоуровневых операционных систем в средах, требующих среднюю робастность



страница17/19
Дата05.03.2019
Размер1.38 Mb.
ТипРеферат
1   ...   11   12   13   14   15   16   17   18   19

7Обоснование


Раздел содержит обоснование выбора, формирования и использования целей безопасности и требований.

7.1Цели безопасности, вытекающие из угроз


Каждой идентифицированной угрозе безопасности соответствует цель (цели) безопасности, а также угроза может быть учтена в предположении безопасности. В таблице, представленной ниже, приведено покрытие угроз целями безопасности и далее приведены объяснения того, почему данная угроза покрывается данными целями.

Угрозы безопасности

Предположения/Цели безопасности

T.ADMIN_ERROR

A.ADMIN

O.MANAGE


O.TRAINED_ADMIN

T.AUDIT_CORRUPT

A.PHYSICAL

O.ACCESS


O.AUDIT_PROTECTION

O.MANAGE


O.SELF_PROTECTION

O.TRAINED_ADMIN



T.CONFIG_CORRUPT

A.PHYSICAL

O.ACCESS


O.MANAGE

O.SELF_PROTECTION

O.TRAINED_ADMIN


T.DOS

O.RESOURCE_SHARING

T.EAVESDROP

O.ENCRYPTED_CHANNEL

O.ENCRIPTION_SERVICES

O.PROTECT

O.SELF_PROTECTION



T.INSECURE_START

A.ADMIN

O.MANAGE


O.RECOVERY

O.TRAINED_ADMIN

O.TRUSTED_SYSTEM_OPERATION


T.IMPROPER_INSTALLATION

O.INSTALL

O.MANAGE


O.TRAINED_ADMIN

T.MASQUERADE

O.ENCRYPTED_CHANNEL

O.TRAINED_USERS

O.TRUSTED_PATH

O.TSF_CRYPTOGRAPHIC_INTEGRITY

O.USER_AUTHENTICATION

O.USER_IDENTIFICATION



T.OBJECTS_NOT_CLEAN

O.ACCESS

O.RESIDUAL_INFORMANION



T.POOR_DESIGN

O.CONFIG_MGMT

O.SOUND_DESIGN

O.VULNERABILITY_ANALYSIS


T.POOR_IMPLEMENTATION

O.PENETRATION_TEST

O.SOUND_IMPLEMENTATION

O.TESTING

O.VULNERABILITY_ANALYSIS



T.POOR_TEST

O.PENETRATION_TEST

O.TRUSTED_SYSTEM_OPERATION

O.TESTING


T.REPLAY

O.ACCESS

O.ACCESS_HISTORY

O.ENCRYPTED_CHANNEL

O.ENCRYPTION_SERVICES

O.TSF_CRIPTOGRAPHIC_INTEGRITY


T.SPOOFING

O.ENCRYPTED_CHANNEL

O.ENCRYPTION_SERVICES

O.TSF_CRIPTOGRAPHIC_INTEGRITY

O.TRUSTED_PATH



T.SYSACC

A.PHYSICAL

O.ACCESS


O.ACCESS_HISTORY

O.MANAGE


O.TRAINED_ADMIN

O.USER_AUTHENTICATION

O.USER_IDENTIFICATION


T.UNATTENDED_SESSION

O.ACCESS

O.PROTECT

O.RESIDUAL_INFORMATION

O.TRAINED_USERS

O.USER_AUTHENTICATION


T.UNAUTH_ACCESS

A.PHYSICAL

O.ACCESS


O.DISCRETIONARY_ACCESS

O.PROTECT

O.SELF_PROTECTION


T.UNAUTH_MODIFICATION

A.PHYSICAL

O.ACCESS


O.DISCRETIONARY_ACCESS

O.SELF_PROTECTION



T.UNDECTED_ACTIONS

O.PHYSICAL

O.AUDIT_GENERATION

O.ACCESS_HISTORY

O.AUDIT_PROTECTION



T.UNIDENTIFIED_ACTIONS

O.AUDIT_REVIEW

O.MANAGE


O.TRAINED_ADMIN

T.UNKNOWN_STATE

O.RECOVERY

T.USER_CORRUPT

O.ACCESS

O.DISCRETIONARY_ACCESS

O.DISCRETIONARY_USER_CONTROL

O.PROTECT



T.ADMIN_ERROR. Неправильное администрирование может привести к нарушению характерных свойств безопасности.

Неправильное администрирование может происходить в результате некомпетентности администратора, плохой его осведомленности или его ненадежности, в предположении A.ADMIN рассматриваются эти возможности. Если ОО обеспечивает необходимую поддержку администратору (O.MANAGE) и администратор должным образом обучен (O.TRAINED_ADMIN), то эта угроза должна быть устранена.



T.AUDIT_CORRUPT. Данные аудита могут быть испорчены или потеряны.

Повреждение или уничтожение данных аудита физическими средствами рассмотрено в предположении A.PHYSICAL. При разрушении или искажении данных аудита другим способом требуется наличие такой цели безопасности, которая бы требовала, чтобы система ИТ управляла доступом к своим ресурсам (O.ACCESS). Поскольку считается, что данные аудита являются данными ФБО, то для ФБО определена цель, которая требует защиты ФБО (O.SELF_PROTECTION) и их данных (O.AUDIT_PROTECTION). Администраторы могут потерять или разрушить данные аудита, если они не обучены (O.TRAINED_ADMIN) использовать средства администрирования, доступные им (O.MANAGE).



T.CONFIG_CORRUPT. Данные конфигурации или другие доверенные данные могут быть испорчены или потеряны.

Повреждение или уничтожение данных аудита физическими средствами рассмотрено в предположении A.PHYSICAL. При разрушении или искажении данных аудита другим способом требуется наличие такой цели безопасности, которая бы требовала, чтобы система ИТ управляла доступом к своим ресурсам (O.ACCESS). Поскольку считается, что данные аудита являются данными ФБО, то для ФБО определена цель, которая требует защиты ФБО (O.SELF_PROTECTION) и их данных. Администраторы могут потерять или разрушить данные аудита, если они не обучены (O.TRAINED_ADMIN) использовать средства администрирования, доступные им (O.MANAGE).



T.DOS. Могут происходить атаки, приводящие к отказу в обслуживании.

Наличие этой угрозы приводит к цели, обеспечивающей, чтобы никакой пользователь не мог блокировать доступ других к своим ресурсам (O.RESOURCE_SHARING).



T.EAVESDROP. Может происходить несанкционированный доступ либо не постороннего, либо постороннего лица к данным в транзите, передаваемым или получаемым операционной системой.

Наличие этой угрозы приводит к необходимости наличия цели шифрования в линии связи (O.ENCRYPTED_CHANNEL) для защиты любых данных ФБО (O.SELF_PROTECTION) или данных пользователя (O.PROTECT) от просмотра их неуполномоченными пользователями (O.ENCRYPTION_SERVICES).



T.IMPROPER_INSTALLATION. Операционная система может быть поставлена или инсталлирована таким способом, который может привести к нарушению безопасности.

Доверенный персонал может запустить систему так, что она не будет обеспечена достаточной защитой (O.INSTALL), если персонал не обучен (O.TRAINED_ADMIN) использовать доступные средства администрирования (O.MANAGE).



T.INSECURE_START. Перезагрузка может привести к опасному состоянию операционной системы.

Наличие этой угрозы приводит к необходимости определения цели доведения системы до безопасного состояния (O.RECOVERY) и, таким образом, к определению цели поддержания безопасности (O.TRUSTED_SYSTEM_OPERATION). Администраторы могут запустить систему так, что она не будет обеспечена достаточной защитой, если они не обучены (O.TRAINED_ADMIN) использовать доступные средства администрирования (O.MANAGE). Если есть возможность для администраторов преднамеренно запускать систему так, что она не будет обеспечена достаточной защитой, то необходимо пользоваться предположением (A.ADMIN), что они не будут делать так.



T.MASQUERADE. Сущность, оперирующая на одной машине в сети, может подменить свое представление в этой сети сущностью, оперирующей на другой машине.

Наличие угрозы злонамеренного процесса маскировки под действия ФБО приводит к необходимости определения цели предоставления пользователям средств, обеспечивающих им уверенность в том, что они действительно поддерживают связь с ФБО (O.TRUSTED_PATH) и необходимых знаний для того, чтобы пользоваться этими средствами (O.TRAINED_USERS). При наличии угрозы маскировки пользователя под другого пользователя приводит к необходимости цели идентификации пользователей (O.USER_IDENTIFICATION) и к необходимости делать это надежно (O.USER_AUTHENTICATION). Угроза маскировки при помощи установления несанкционированного сеанса приводит к необходимости цели защиты канала коммуникаций против раскрытия (O.ENCRYPTED_CHANNEL) и модификации (O.TSF_CRYPTOGRAPHIC_INTEGRITY).



T.OBJECTS_NOT_CLEAN. Системы не могут адекватно перемещать данные из объектов, совместно используемых различными пользователями, при освобождении и последующем использовании ресурсов.

Наличие этой угрозы приводит к необходимости запрета пользователям иметь доступ к данным, которые были сохранены в системных ресурсах, предварительно распределенных другим пользователям (O.RESIDUAL_INFORMATION). Таким образом, система ИТ может управлять доступом к ресурсам, этого требует цель (O.ACCESS).



T.POOR_DESIGN. Могут возникать случайные или преднамеренные ошибки в спецификациях требований, в проекте или при разработке операционной системы.

Количество ошибок в проекте ОО может быть уменьшено путем устранения ошибок в логике проекта (O.SOUND_DESIGN) и с помощью тщательного отслеживания произведенных изменений (O.CONFIG_MGMT). Внесение ошибок в проект может быть устранено путем поиска возможно внесенных уязвимостей (O.VULNERABILITY_ANALYSIS). Проекты низкого качества, которые были правильно реализованы, могут быть выявлены при тестировании (O.TESTING и O.PENETRATION_TEST).



T.POOR_IMPLEMENTATION. Могут возникать случайные или преднамеренные ошибки в реализации проекта операционной системы.

Количество ошибок в реализации ОО может быть уменьшено путем проверки (O.TESTING) того, что реализация является правильным отражением проекта (O.SOUND_IMPLEMENTATION). Дополнительное количество ошибок в реализации может быть уменьшено путем поиска возможно внесенных уязвимостей (O.VULNERABILITY_ANALYSIS) и с помощью тестирования для выявления существования уязвимостей (O.PENETRATION_TEST). Внесение ошибок может также быть уменьшено с помощью отслеживания изменений (O.CONFIG_MGMT).



T.POOR_TEST. Неправильное поведение системы может быть результатом неспособности обнаружить, что все функции и взаимодействия операционной системы правильны.

Эта угроза основана на неспособности определить, являются ли тесты (O.TESTING) достаточными для того, чтобы показать, что ОО поддерживает свою безопасность (O.TRUSTED_SYSTEM_OPERATION). Наличие этой угрозы покажет адекватное тестирование (O.PENETRATION_TEST).



T.REPLAY. Нарушитель может получать доступ, повторяя информацию аутентификации.

Повторное осуществление аутентификации предоставило бы возможность нарушителю получить доступ к ресурсам, защищаемым ОО (O.ACCESS). Пользователи могут быть осведомлены о факте, что кто-то повторно осуществлял аутентификацию, если ОО будет сообщать им при каждом входе в систему о предыдущем входе в систему (O.ACCESS_HISTORY). Использование некоторых типов шифрования (O.ENCRYPTED_CHANNEL, O.ENCRYPTION_SERVICES), например, использование различных ключей во время сеанса, может уменьшать возможность повторных нападений. Доступы по меткам времени могут быть осуществлены повторно, если нет средства, чтобы защитить целостность меток времени (O.TSF_CRYPTOGRAPHIC_INTEGRITY).



T.SPOOFING. Уполномоченные пользователи могут неправильно полагать, что они поддерживают связь с операционной системой, тогда как они фактически поддерживают связь с враждебной сущностью, выдающей себя за операционную систему.

Наличие этой угрозы приводит к необходимости цели предоставления пользователям средств обеспечения их реальной связью с ФБО (O.TRUSTED_PATH). Подмену можно также избежать, используя средства цифровой подписи (O.ENCRYPTION_SERVICES, O.TSF_CRYPTOGRAPHIC_INTEGRITY). Подмена, целью которой является получения данных для криптоанализа, может быть предотвращена путем закрытия содержания сообщения (O.ENCRYPTED_CHANNEL).



T.SYSACC. Нарушитель может получить неправомочный доступ к учетной записи администратора или к учетной записи другого лица из доверенного персонала.

Угроза со стороны нарушителя, получающего доступ к учетной записи администратора (O.ACCESS), может осуществляться физическими средствами (A.PHYSICAL), например, в случаях, когда консоль администратора находится за блокированной дверью. В других случаях доступ к учетной записи администратора может быть получен после идентификации (O.USER_IDENTIFICATION) и аутентификации (O.USER_AUTHENTICATION). Администраторы могут быть информированы о факте доступа к их учетной записи с использованием правильных данных аутентификации, если ОО сообщает им при каждом входе в систему о предыдущем входе в систему (O.ACCESS_HISTORY). Администратор должен знать об этом (O.TRAINED_ ADMIN), чтобы проверять данную информацию (O.MANAGE) при каждом входе в систему.



T.UNATTENDED_SESSION. К оставленному без надзора сеансу может быть получен несанкционированный доступ.

Оставленные без надзора сеансы должны быть защищены (O.PROTECT) от несанкционированного доступа (O.ACCESS). Это может быть выполнено просто путем информирования пользователей, что они не должны оставлять сеансы без сопровождения (O.TRAINED_USERS), или требуя от пользователей повторно проводить аутентификацию (O.USER_AUTHENTICATION) после возвращения к несопровождаемому сеансу. Если экран не очищается (O.RESIDUAL_INFORMATION) и могут быть видны данные, то в этом случае должна быть предусмотрена другая защита данных.



T.UNAUTH_ACCESS. К данным системы ИТ может осуществляться несанкционированный доступ не посторонним или посторонним лицом.

Предположение A.PHYSICAL адресовано угрозе несанкционированного физического доступа. Наличие угрозы другого типа несанкционированного доступа приводит к необходимости целей защиты данных пользователя (O.PROTECT) или данных ФБО, или ресурсов (O.SELF_PROTECTION) от несанкционированного доступа (O.ACCESS). Доступ к данным пользователя может быть дискреционным (O.DISCRETIONARY_ACCESS).



T.UNAUTH_MODIFICATION. Может осуществляться несанкционированное изменение или использование атрибутов операционной системы и ресурсов ИТ.

Предположение A.PHYSICAL адресовано угрозе несанкционированной модификации системных атрибутов или ресурсов, основанной на физическом доступе. Наличие другой угрозы несанкционированной модификации приводит к необходимости целей защиты данных ФБО или ресурсов (O.SELF_PROTECTION) от несанкционированной модификации (O.ACCESS). Доступ к данным пользователя может быть дискреционным (O.DISCRETIONARY_ACCESS).



T.UNDETECTED_ACTIONS. Может произойти сбой операционной системы при обнаружении и регистрации несанкционированных действий.

Основное предположение о физической защите (A.PHYSICAL) адресовано угрозе необнаруженной физической манипуляции с ОО. Другие действия также должны быть обнаружены и зарегистрированы (O.AUDIT_GENERATION). Для того, чтобы предотвратить удаление, записи аудита должны быть защищены (O.AUDIT_PROTECTION). Для обнаружения другого пользователя, компрометировавшего учетную запись путем повторного выполнения аутентификации, должна быть информация о предыдущем входе в систему (O.ACCESS_HISTORY).



T.UNIDENTIFIED_ACTIONS. Может произойти отказ системы при попытках администратора идентифицировать несанкционированные действия и повлиять на них.

Угроза отказа администратору, желающему получить информацию о событиях аудита, приводит к необходимости цели иметь для администратора средства (O.MANAGE), предоставляющие обзор записей аудита (O.AUDIT_REVIEW), и знания, как работать с этими средствами (O.TRAINED_ ADMIN).



T.UNKNOWN_STATE. После сбоя операционной системы состояние безопасности операционной системы может быть неизвестно.

Наличие этой угрозы приводит к необходимости цели восстановления безопасного состояния системы (O.RECOVERY).



T.USER_CORRUPT. Данные пользователя могут быть утрачены или испорчены другими пользователями.

Наличие этой угрозы требует защиты данных пользователя (O.PROTECT) от несанкционированного доступа (O.ACCESS). Санкционированный доступ может быть получен в соответствии с политикой дискреционного управления доступом (O.DISCRETIONARY_ACCESS). Осуществление политики дискреционного управления доступом основано на атрибутах, установленных владельцами объектов (O.DISCRETIONARY_USER_CONTROL).




Поделитесь с Вашими друзьями:
1   ...   11   12   13   14   15   16   17   18   19


База данных защищена авторским правом ©vossta.ru 2017
обратиться к администрации

    Главная страница