В области инженерии безопасности, субспециализации компьютерных наук , доверенная система — это система, на которую в определенной степени полагаются для обеспечения соблюдения определенной политики безопасности . Это эквивалентно утверждению, что доверенная система — это система, отказ которой нарушит политику безопасности (если существует политика, которую системе доверяют для обеспечения соблюдения).
Слово «доверие» имеет решающее значение, поскольку оно не несет в себе того значения, которое можно было бы ожидать в повседневном использовании. Доверенная система — это система, которую пользователь чувствует в безопасности при использовании и доверяет выполнению задач без тайного выполнения вредоносных или несанкционированных программ; доверенные вычисления относятся к тому, могут ли программы доверять платформе, чтобы она не изменялась по сравнению с ожидаемой, и являются ли эти программы невиновными или вредоносными или выполняют ли они задачи, нежелательные для пользователя.
Доверенную систему также можно рассматривать как многоуровневую систему безопасности, где защита обеспечивается и обрабатывается в соответствии с различными уровнями. Это обычно встречается в армии, где информация классифицируется как несекретная (U), конфиденциальная (C), секретная (S), совершенно секретная (TS) и далее. Они также обеспечивают соблюдение политик «не считывать» и «не записывать».
Подмножество доверенных систем («Division B» и «Division A») реализует метки обязательного контроля доступа (MAC), и поэтому часто предполагается, что они могут использоваться для обработки секретной информации . Однако это, как правило, неверно. Существует четыре режима, в которых можно эксплуатировать многоуровневую защищенную систему: многоуровневый, секционный, выделенный и системный режимы. «Желтая книга» Национального центра компьютерной безопасности указывает, что системы B3 и A1 могут использоваться только для обработки строгого подмножества меток безопасности и только при эксплуатации в соответствии с особенно строгой конфигурацией.
Центральным элементом концепции доверенных систем в стиле Министерства обороны США является понятие « контрольного монитора », который является сущностью, занимающей логическое ядро системы и отвечающей за все решения по контролю доступа. В идеале контрольный монитор — это
Согласно Критериям оценки доверенных компьютерных систем (TCSEC) или «Оранжевой книге» Агентства национальной безопасности США от 1983 года , был определен набор «классов оценки», описывающих функции и гарантии, которые пользователь может ожидать от доверенной системы.
Посвящение значительной системной инженерии минимизации сложности (а не размера , как часто упоминается) доверенной вычислительной базы (TCB) является ключом к обеспечению наивысших уровней уверенности (B3 и A1). Это определяется как комбинация оборудования, программного обеспечения и прошивки, которая отвечает за обеспечение политики безопасности системы. В системах с более высокой уверенностью, по-видимому, возникает внутренний инженерный конфликт, заключающийся в том, что чем меньше TCB, тем больше набор оборудования, программного обеспечения и прошивки, который находится за пределами TCB и, следовательно, не является доверенным. Хотя это может привести к более технически наивным аргументам софистов о природе доверия, аргумент путает вопрос «правильности» с вопросом «доверия».
TCSEC имеет точно определенную иерархию из шести классов оценки; самый высокий из них, A1, по своим характеристикам идентичен B3, отличаясь только стандартами документации. Напротив, недавно введенные Общие критерии (CC), которые вытекают из смеси технически зрелых стандартов из разных стран НАТО , предоставляют разреженный спектр из семи «классов оценки», которые смешивают характеристики и гарантии неиерархическим образом и не имеют точности и математической строгости TCSEC. В частности, CC допускают очень свободную идентификацию «цели оценки» (TOE) и поддерживают — даже поощряют — смешанные требования безопасности, отобранные из множества предопределенных «профилей защиты». Хотя можно утверждать, что даже кажущиеся произвольными компоненты TCSEC вносят вклад в «цепочку доказательств» того, что развернутая система должным образом обеспечивает свою объявленную политику безопасности, даже самый высокий (E7) уровень CC не может по-настоящему обеспечить аналогичную последовательность и строгость доказательного обоснования. [ требуется цитата ]
Математические понятия доверенных систем для защиты секретной информации вытекают из двух независимых, но взаимосвязанных корпусов работ. В 1974 году Дэвид Белл и Леонард ЛаПадула из MITRE под техническим руководством и финансовой поддержкой майора Роджера Шелла, доктора философии, из Командования электронных систем армии США (Форт-Хэнском, Массачусетс), разработали модель Белла–ЛаПадулы , в которой доверенная компьютерная система моделируется в терминах объектов (пассивных репозиториев или мест назначения для данных, таких как файлы, диски или принтеры) и субъектов (активных сущностей, которые вызывают поток информации между объектами, например, пользователи или системные процессы или потоки, работающие от имени пользователей). Вся работа компьютерной системы действительно может рассматриваться как «история» (в смысле теории сериализуемости) фрагментов информации, текущих от объекта к объекту в ответ на запросы субъектов на такие потоки. В то же время Дороти Деннинг из Университета Пердью публиковала свою докторскую диссертацию. диссертация, которая касалась «информационных потоков на основе решеток» в компьютерных системах. (Математическая «решетка» — это частично упорядоченное множество , характеризуемое как направленный ациклический граф , в котором связь между любыми двумя вершинами либо «доминирует», либо «доминируется», либо ни то, ни другое.) Она определила обобщенное понятие «меток», которые прикрепляются к сущностям, — соответствующих более или менее полной маркировке безопасности, с которой можно столкнуться на секретных военных документах, например, TOP SECRET WNINTEL TK DUMBO. Белл и ЛаПадула интегрировали концепцию Деннинга в свой знаменательный технический отчет MITRE, озаглавленный « Безопасная компьютерная система: унифицированное изложение и интерпретация Multics» . Они заявили, что метки, прикрепленные к объектам, представляют собой конфиденциальность данных, содержащихся в объекте, в то время как метки, прикрепленные к субъектам, представляют собой надежность пользователя, выполняющего субъект. (Однако может быть тонкое семантическое различие между конфиденциальностью данных внутри объекта и конфиденциальностью самого объекта.)
Концепции объединены двумя свойствами: «простым свойством безопасности» (субъект может читать только из объекта, над которым он доминирует [ больше, чем — близкая, хотя и математически неточная, интерпретация]) и «свойством ограничения» или «*-свойством» (субъект может писать только в объект, над которым он доминирует). (Эти свойства в общих чертах называются «не считывать» и «не записывать» соответственно.) Совместно применяемые, эти свойства гарантируют, что информация не может «перетекать вниз» в репозиторий, где ее могут обнаружить недостаточно надежные получатели. В более широком смысле, предполагая, что метки, назначенные субъектам, действительно отражают их надежность, тогда правила «не считывать» и «не записывать», жестко применяемые монитором ссылок, достаточны для ограничения «троянских коней» , одного из наиболее общих классов атак ( научно , широко известные черви и вирусы являются специализациями концепции «троянского коня»).
Модель Белла–ЛаПадулы технически обеспечивает только контроль «конфиденциальности» или «секретности», т. е. решает проблему чувствительности объектов и сопутствующей надежности субъектов, чтобы не разглашать ее ненадлежащим образом. Двойственная проблема «целостности» (т. е. проблема точности или даже происхождения объектов) и сопутствующей надежности субъектов, чтобы не изменять или не уничтожать ее ненадлежащим образом, решается математически аффинными моделями; самая важная из которых названа в честь ее создателя, К. Дж. Бибы . Другие модели целостности включают модель Кларка-Уилсона и модель целостности программы Шокли и Шелла, «Модель SeaView» [1]
Важной особенностью MAC является то, что они полностью находятся вне контроля любого пользователя. TCB автоматически прикрепляет метки к любым субъектам, выполняемым от имени пользователей, и файлам, к которым они получают доступ или которые они изменяют. Напротив, дополнительный класс элементов управления, называемый дискреционным контролем доступа (DAC), находится под прямым контролем пользователей системы. Знакомые механизмы защиты, такие как биты разрешений (поддерживаемые UNIX с конца 1960-х годов и — в более гибкой и мощной форме — Multics еще раньше) и списки контроля доступа (ACL) являются знакомыми примерами DAC.
Поведение доверенной системы часто характеризуется в терминах математической модели. Она может быть строгой в зависимости от применимых операционных и административных ограничений. Они принимают форму конечного автомата (FSM) с критериями состояния, ограничениями перехода состояний (набором «операций», которые соответствуют переходам состояний), и описательной спецификацией верхнего уровня , DTLS (включает в себя воспринимаемый пользователем интерфейс , такой как API , набор системных вызовов в UNIX или выходы системы в мэйнфреймах ). Каждый элемент вышеупомянутого порождает одну или несколько операций модели.
Trusted Computing Group создает спецификации, призванные удовлетворить конкретные требования к доверенным системам, включая подтверждение конфигурации и безопасное хранение конфиденциальной информации.
В контексте национальной или внутренней безопасности , правоохранительных органов или политики социального контроля доверенные системы обеспечивают условный прогноз поведения людей или объектов до авторизации доступа к системным ресурсам. [2] Например, доверенные системы включают использование «конвертов безопасности» в приложениях национальной безопасности и борьбы с терроризмом, инициативы « доверенных вычислений » в системах безопасности технических систем, а также системы оценки кредитоспособности или личности в финансовых приложениях и приложениях по борьбе с мошенничеством. В общем, они включают любую систему, в которой
Широкое внедрение этих стратегий безопасности, основанных на авторизации (где состояние по умолчанию — DEFAULT=DENY) для борьбы с терроризмом, мошенничеством и других целей помогает ускорить текущую трансформацию современных обществ от условной модели уголовного правосудия Бекка , основанной на ответственности за девиантные действия после их совершения [3], к модели Фуко, основанной на авторизации, упреждении и общем социальном согласии посредством повсеместного превентивного наблюдения и контроля посредством системных ограничений. [4]
В этой возникающей модели «безопасность» не направлена на полицейскую деятельность, а на управление рисками посредством наблюдения, обмена информацией, аудита , коммуникации и классификации . Эти разработки привели к общей обеспокоенности относительно личной конфиденциальности и гражданских свобод , а также к более широкой философской дискуссии о соответствующих методологиях социального управления.
Доверенные системы в контексте теории информации основываются на следующем определении:
«Доверие — это то, что необходимо для канала связи, но не может быть передано от источника к получателю с использованием этого канала»
— Эд Герк [5]
В теории информации информация не имеет ничего общего со знанием или значением; это просто то, что передается от источника к месту назначения с использованием канала связи. Если перед передачей информация доступна в месте назначения, то передача равна нулю. Информация, полученная стороной, — это то, чего сторона не ожидает — измеряемая неопределенностью стороны относительно того, каким будет сообщение.
Точно так же доверие, как его определяет Герк, не имеет ничего общего с дружбой, знакомствами, отношениями между работниками и работодателями, лояльностью, предательством и другими чрезмерно изменчивыми концепциями. Доверие не понимается в чисто субъективном смысле, как чувство или что-то чисто личное или психологическое — доверие понимается как нечто потенциально передаваемое. Кроме того, это определение доверия является абстрактным, позволяя различным инстанциям и наблюдателям в доверенной системе общаться на основе общей идеи доверия (в противном случае общение было бы изолировано в доменах), где все обязательно различные субъективные и межсубъективные реализации доверия в каждой подсистеме (человек и машины) могут сосуществовать. [6]
Взятые вместе в модели теории информации, «информация — это то, чего вы не ожидаете» и «доверие — это то, что вы знаете». Связывая обе концепции, доверие рассматривается как «квалифицированная зависимость от полученной информации». С точки зрения доверенных систем утверждение доверия не может быть основано на самой записи, а на информации из других информационных каналов. [7] Углубление этих вопросов приводит к сложным концепциям доверия, которые были тщательно изучены в контексте деловых отношений. [8] Это также приводит к концепциям информации, где «качество» информации интегрирует доверие или надежность в структуру самой информации и информационной системы(систем), в которой она задумана — более высокое качество с точки зрения конкретных определений точности и правильности означает более высокую надежность. [9]
Примером расчета доверия является «Если я соединю две доверенные системы, будут ли они более или менее доверенными, когда взяты вместе?». [6]
IBM Federal Software Group [10] предположила, что «точки доверия» [ 5] дают наиболее полезное определение доверия для приложений в среде информационных технологий, поскольку оно связано с другими концепциями теории информации и обеспечивает основу для измерения доверия. В среде корпоративных услуг, ориентированных на сеть, такое понятие доверия считается [10] необходимым для достижения желаемого совместного, сервисно-ориентированного видения архитектуры.