Профиль защиты для многоуровневых операционных систем в средах, требующих среднюю робастность


Идентификация и аутентификация (FIA)



страница9/19
Дата05.03.2019
Размер1.38 Mb.
ТипРеферат
1   ...   5   6   7   8   9   10   11   12   ...   19

5.4Идентификация и аутентификация (FIA)

5.4.1Отказы аутентификации (FIA_AFL)


5.4.1.1 Обработка отказов аутентификации (FIA_AFL.1)

FIA_AFL.1.1(1) Уточнение: ФБО должны обнаруживать, когда произойдет определенное уполномоченным администратором число неуспешных попыток аутентификации, относящихся к любому процессу входа пользователя в систему, выполненному при прямом управлении ФБО.



Замечание по применению: Фраза «при прямом управлении ФБО» означает, что процесс выполняется при той же физической защите, под которой находятся и ФБО.

FIA_AFL.1.2(1) При достижении или превышении определенного числа неуспешных попыток аутентификации ФБО должны прекратить подключение (повторно инициализировать процесс входа в систему) для данного сеанса входа в систему, кроме сеансов уполномоченного администратора.

FIA_AFL.1.1(2) Уточнение: ФБО должны обнаруживать, когда произойдет определенное уполномоченным администратором число неуспешных попыток аутентификации, относящихся к любому процессу входа пользователя в систему, выполненному из-за пределов прямого управления ФБО.

FIA_AFL.1.2(2) При достижении или превышении определенного числа неуспешных попыток аутентификации ФБО должны отключить учетную запись входа в систему пользователя до тех пор, когда он будет вновь подключен уполномоченным администратором.


5.4.2Определение атрибутов пользователя (FIA_ATD)


5.4.2.1 Определение атрибутов пользователя (FIA_ATD.1)

FIA_ATD.1.1 ФБО должны поддерживать для каждого пользователя следующий список атрибутов безопасности:



а) уникальный идентификатор пользователя;

б) принадлежность к группе;

в) данные аутентификации;

г) значимые для безопасности роли (см. FMT_MOF.1); и

д) [назначение: любые другие атрибуты безопасности].

Замечания по применению: Принадлежность к группе может быть выражена разными способами: как список пользователей, определяющий, к какой группе пользователь принадлежит; как список групп, определяющий, какие пользователи являются членами той или иной группы; или неявной зависимостью между некоторыми идентификаторами пользователя и некоторыми группами.

ОО может иметь две формы идентификаторов пользователя и группы - это текстовая форма и числовая форма, представление которых уникально. Возможно, что понятие привилегии связано со значимыми для безопасности ролями (пункт г).

5.4.3Спецификация секретов (FIA_SOS)


5.4.3.1 Верификация секретов (FIA_SOS.1)

FIA_SOS.1.1 ФБО должны предоставить механизм для верификации того, что секреты отвечают следующему:



а) для каждой попытки использовать механизм аутентификации вероятность того, что случайная попытка будет успешной, меньше, чем 1: 250,000,000,000,000;

Замечание по применению: Это может быть достигнуто при наличии пароля с длиной, большей восьми символов, предполагая, что в алфавите 60 символов.

б) механизм аутентификации должен обеспечить задержку между попытками осуществить аутентификацию такую, что за минуту могут осуществиться не более десяти попыток; и

в) любая обратная связь при попытках использования механизма аутентификации не должна приводить к превышению уровня вероятности, приведенного в метриках п.п. а, б.

Замечание по применению: ЗБ должно определить метод аутентификации. Там, где аутентификация представлена механизмом, использующим пароль, ЗБ демонстрирует, что ограничения на пароли (длина, алфавит и другие характеристики) приводят к продолжительному времени определения пароля согласно пункту а), а также характеризуют задержку между попытками определить пароль для представления в соответствии с пунктом б). Там, где аутентификация обеспечена механизмом, не использующим пароли, ЗБ демонстрирует метод аутентификации, имеющий низкую вероятность того, что данные аутентификации могут быть подделаны или угаданы.

5.4.4Аутентификация пользователя (FIA_UAU)


5.4.4.1 Выбор момента времени аутентификации (FIA_UAU.1)

FIA_UAU.1.1 ФБО должны позволять доступ на чтение к [назначение: список общедоступных объектов] от имени пользователя прежде, чем пользователь аутентифицирован.

FIA_UAU.1.2 ФБО должны требовать, чтобы каждый пользователь был успешно аутентифицирован до разрешения любого другого действия, выполняемого при посредничестве ФБО от имени этого пользователя.

5.4.4.2 Аутентификация с защищенной обратной связью (FIA_UAU.7)

FIA_UAU.7.1 ФБО должны предоставлять пользователю только в скрытом виде обратную связь во время выполнения аутентификации.

Замечания по применению: Фраза «в скрытом виде обратная связь» подразумевает, что ФБО не отображают на дисплее никаких данных аутентификации, вводимых пользователем (например, на экране не отображается пароль), хотя на экране дисплея может предоставляться маскирующая индикация символов (например, отображение звездочек на экране вместо каждого вводимого символа).

5.4.5Идентификация пользователя (FIA_UID)


5.4.5.1 Выбор момента времени идентификации (FIA_UID.1)

FIA_UID.1.1 ФБО должны позволять доступ на чтение к [назначение: список общедоступных объектов] от имени пользователя прежде, чем он идентифицирован.

FIA_UID.1.2 ФБО должны требовать, чтобы каждый пользователь был успешно идентифицирован до разрешения любого другого действия, выполняемого при посредничестве ФБО от имени этого пользователя.

5.4.6Связывание пользователь-субъект (FIA_USB)


5.4.6.1 Связывание пользователь-субъект (FIA_USB.1)

FIA_USB.1.1 Уточнение: ФБО должны ассоциировать соответствующие атрибуты безопасности пользователя с субъектами, действующими от имени этого пользователя:



а) идентификатор пользователя, ассоциированный с возможными для аудита событиями;

б) идентификатор или идентификаторы пользователя, используемые для осуществления политики дискреционного управления доступом;

в) принадлежность или принадлежности к группе, используемые для осуществления политики дискреционного управления доступом;

г) сертификат, используемый для представления пользователя;

д) ключ, используемый для шифрования данных от имени пользователя;

е) описание для ОО, которые используют псевдо-идентификатор, показывающее, как ФБО поддерживают зависимость между псевдо-идентификатором и пользователем (см. замечания по применению);

ж) [назначение: другие атрибуты безопасности пользователя].

Замечания по применению: Политика дискреционного управления доступом и генерация аудита требуют, чтобы каждый субъект, действующий от имени пользователя, имел идентификатор пользователя, ассоциированный с субъектом. Обычно во время идентификации в системе идентификатор используется в единственном числе, но политика дискреционного управления доступом, осуществляемая ФБО, может предоставлять решения доступа, основанные на различных идентификаторах пользователя, например, «установка ID пользователя (su)», su -команда в UNIX (см. пункт «е»). Команда su позволяет во время сеанса пользователя изменить имя пользователя в системе и, таким образом, изменить уровень предоставляемых пользователю привилегий.

Замечания по применению: Атрибуты, перечисленные в FIA_USB.1, должны быть сопоставимы с теми атрибутами, которые перечислены в FIA_ATD.1.

Каталог: wp-content -> uploads -> 2010
2010 -> Принципы доказательной медицины как основа разработки метода и аппаратуры для
2010 -> Два подземных этажа
2010 -> Методическое пособие по сердечно легочной и церебральной реанимации Утвержденное: Российской академией медицинских наук Учреждением Российской академии медицинских наук
2010 -> Здесь представлена подборка заметок и коротеньких статей Нины Рубштейн, очень интересных и важных, на мой взгляд, для специали
2010 -> Уильям Сирс и Марта Сирс
2010 -> Слабое использование в работе адм
2010 -> Б цилиарное тело
2010 -> Российская федерация федеральный закон


Поделитесь с Вашими друзьями:
1   ...   5   6   7   8   9   10   11   12   ...   19


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница