Pålitligt system
Inom datavetenskapens säkerhetstekniska subspecialitet är ett pålitligt system ett system som man litar på i en viss utsträckning för att upprätthålla en specificerad säkerhetspolicy . Detta motsvarar att säga att ett pålitligt system är ett vars misslyckande skulle bryta en säkerhetspolicy (om det finns en policy som systemet är betrodd att upprätthålla).
Ordet "förtroende" är kritiskt, eftersom det inte har den innebörd som kan förväntas i dagligt bruk. Ett pålitligt system är ett system som användaren känner sig säker att använda och litar på att utföra uppgifter utan att i hemlighet köra skadliga eller obehöriga program; Trusted computing hänvisar till huruvida program kan lita på att plattformen är oförändrad från det förväntade, och huruvida dessa program är oskyldiga eller skadliga eller om de utför uppgifter som är oönskade av användaren.
Ett pålitligt system kan också ses som ett nivåbaserat säkerhetssystem där skydd tillhandahålls och hanteras enligt olika nivåer. Detta är vanligt förekommande inom militären, där information kategoriseras som oklassificerad (U), konfidentiell (C), hemlig (S), topphemlig (TS) och vidare. Dessa upprätthåller också policyn om ingen uppläsning och ingen nedskrivning.
Pålitliga system i sekretessbelagd information
En delmängd av betrodda system ("Division B" och "Division A") implementerar etiketter för obligatorisk åtkomstkontroll (MAC), och som sådan antas det ofta att de kan användas för att behandla hemligstämplad information . Detta är dock i allmänhet osant. Det finns fyra lägen där man kan använda ett flernivås säkert system: multilevel, compartmented, dedicated och system-high modes. National Computer Security Centers "Yellow Book" specificerar att B3- och A1-system endast kan användas för att bearbeta en strikt delmängd av säkerhetsetiketter, och endast när de drivs enligt en särskilt strikt konfiguration.
Centralt för konceptet med tillförlitliga system i US Department of Defense-stil är idén om en " referensmonitor ", som är en enhet som upptar systemets logiska hjärta och är ansvarig för alla beslut om åtkomstkontroll. Helst är referensmonitorn
- manipuleringssäker
- alltid åberopas
- tillräckligt liten för att bli föremål för oberoende tester, vars fullständighet kan garanteras.
Enligt US National Security Agencys 1983 Trusted Computer System Evaluation Criteria (TCSEC), eller "Orange Book", definierades en uppsättning "utvärderingsklasser" som beskrev de funktioner och försäkringar som användaren kan förvänta sig av ett pålitligt system.
Dedikationen av betydande systemteknik för att minimera komplexiteten (inte storleken , som ofta nämnts) hos den betrodda datorbasen (TCB) är nyckeln till tillhandahållandet av de högsta nivåerna av säkerhet (B3 och A1). Detta definieras som den kombination av hårdvara, mjukvara och fast programvara som är ansvarig för att upprätthålla systemets säkerhetspolicy. En inneboende ingenjörskonflikt verkar uppstå i system med högre säkerhet genom att ju mindre TCB är, desto större uppsättning av hårdvara, mjukvara och firmware som ligger utanför TCB och därför är opålitlig. Även om detta kan leda de mer tekniskt naiva till sofisters argument om förtroendes natur, förväxlar argumentet frågan om "riktighet" med frågan om "tillförlitlighet".
TCSEC har en exakt definierad hierarki med sex utvärderingsklasser; den högsta av dessa, A1, är funktionellt identisk med B3 – skiljer sig endast i dokumentationsstandarder. Däremot ger de mer nyligen införda Common Criteria (CC), som härrör från en blandning av tekniskt mogna standarder från olika NATO -länder, ett tunt spektrum av sju "utvärderingsklasser" som blandar egenskaper och försäkringar på ett icke-hierarkiskt sätt, och saknar precisionen och den matematiska strikturen hos TCSEC. I synnerhet tolererar CC mycket lös identifiering av "utvärderingsmålet" (TOE) och stödjer – till och med uppmuntrar – en blandning av säkerhetskrav som hämtats från en mängd fördefinierade "skyddsprofiler". Även om ett fall kan göras att även de till synes godtyckliga komponenterna i TCSEC bidrar till en "beviskedja" för att ett fältsystem korrekt upprätthåller sin utannonserade säkerhetspolicy, kan inte ens den högsta (E7) nivån av CC verkligen ge analog konsistens och stränga bevisresonemang. [ citat behövs ]
De matematiska föreställningarna om tillförlitliga system för skydd av sekretessbelagd information härrör från två oberoende men sammanlänkade arbetskorpora. 1974 utformade David Bell och Leonard LaPadula från MITRE, under teknisk vägledning och ekonomisk sponsring av Maj Roger Schell, Ph.D., från US Army Electronic Systems Command (Fort Hanscom, MA), Bell-LaPadula- modellen , där ett pålitligt datorsystem modelleras i termer av objekt (passiva arkiv eller destinationer för data som filer, diskar eller skrivare) och ämnen (aktiva enheter som får information att flöda mellan objekt, t.ex. användare, eller systemprocesser eller trådar som verkar på på uppdrag av användare). Hela driften av ett datorsystem kan verkligen betraktas som en "historia" (i serialiserbarhetsteoretisk mening) av informationsbitar som flödar från objekt till objekt som svar på försökspersoners önskemål om sådana flöden. Samtidigt publicerade Dorothy Denning vid Purdue University sin Ph.D. avhandling, som behandlade "gitterbaserade informationsflöden" i datasystem. (Ett matematiskt "gitter" är en partiellt ordnad uppsättning , karakteriserad som en riktad acyklisk graf , där förhållandet mellan två hörn antingen "dominerar", "domineras av" eller ingetdera.) Hon definierade en generaliserad uppfattning om "etiketter". " som är knutna till enheter - motsvarande mer eller mindre de fullständiga säkerhetsmärkningar man möter på sekretessbelagda militära dokument, t.ex. TOP SECRET WNINTEL TK DUMBO. Bell och LaPadula integrerade Dennings koncept i deras milstolpe MITER tekniska rapport – med titeln Secure Computer System: Unified Exposition and Multics Interpretation . De angav att etiketter som är fästa på objekt representerar känsligheten hos data som finns i objektet, medan de som är fästa på objekt representerar pålitligheten hos användaren som utför ämnet. (Det kan dock finnas en subtil semantisk skillnad mellan känsligheten för data i objektet och känsligheten för själva objektet.)
Begreppen är förenade med två egenskaper, den "enkla säkerhetsegenskapen" (ett subjekt kan bara läsa från ett objekt som det dominerar [ är större än en närliggande, om än matematiskt oprecis tolkning]) och "inneslutningsegenskapen" eller " *-egenskap" (ett subjekt kan bara skriva till ett objekt som dominerar det). (Dessa egenskaper hänvisas löst till som "ingen uppläsning" respektive "ingen nedskrivning".) Tillsammans genomdrivna säkerställer dessa egenskaper att information inte kan flöda "nedåt" till ett arkiv där otillräckligt pålitliga mottagare kan upptäcka den. I förlängningen, förutsatt att de etiketter som tilldelats försökspersonerna verkligen är representativa för deras tillförlitlighet, är reglerna för ingen uppläsning och inga nedskrivningar som strikt tillämpas av referensmonitorn tillräckliga för att begränsa trojanska hästar, en av de mest allmänna klasserna av attacker ( sciz. , de populärt rapporterade maskar och virus är specialiseringar av trojansk hästkoncept).
Bell-LaPadula-modellen upprätthåller tekniskt sett bara kontroller av "konfidentialitet" eller "sekretess", dvs de tar upp problemet med objektens känslighet och tillhörande tillförlitlighet hos försökspersoner för att inte avslöja det på ett olämpligt sätt. Det dubbla problemet med "integritet" (dvs problemet med noggrannhet, eller till och med härkomst av föremål) och medföljande trovärdighet hos försökspersoner att inte på ett olämpligt sätt modifiera eller förstöra det, åtgärdas av matematiskt besläktade modeller; den viktigaste är uppkallad efter sin skapare, KJ Biba . Andra integritetsmodeller inkluderar Clark-Wilson-modellen och Shockley och Schells programintegritetsmodell, "The SeaView Model"
En viktig egenskap hos MAC är att de är helt bortom någon användares kontroll. TCB:n fäster automatiskt etiketter på alla ämnen som körs på uppdrag av användare och filer som de kommer åt eller ändrar. Däremot står en ytterligare klass av kontroller, benämnda diskretionära åtkomstkontroller (DAC), under direkt kontroll av systemanvändare. Bekanta skyddsmekanismer som tillståndsbitar (stödda av UNIX sedan slutet av 1960-talet och – i en mer flexibel och kraftfull form – av Multics sedan tidigare) och åtkomstkontrolllistor (ACL) är välbekanta exempel på DAC.
Beteendet hos ett pålitligt system karakteriseras ofta i termer av en matematisk modell. Detta kan vara rigoröst beroende på tillämpliga operativa och administrativa begränsningar. Dessa tar formen av en finita tillståndsmaskin (FSM) med tillståndskriterier, tillståndsövergångsbegränsningar ( en uppsättning "operationer" som motsvarar tillståndsövergångar) och en beskrivande toppnivåspecifikation, DTLS (innebär ett användarvänligt gränssnitt som t.ex. som ett API , en uppsättning systemanrop i UNIX eller avslutar systemet i stordatorer ). Varje element i det förutnämnda skapar en eller flera modelloperationer.
Pålitliga system i pålitlig datoranvändning
Trusted Computing Group skapar specifikationer som är avsedda att tillgodose särskilda krav för betrodda system, inklusive bekräftelse av konfiguration och säker lagring av känslig information.
Pålitliga system i policyanalys
Inom ramen för nationell säkerhet eller inrikessäkerhet , brottsbekämpning eller social kontroll , tillhandahåller betrodda system villkorliga förutsägelser om beteendet hos människor eller föremål innan de godkänner åtkomst till systemresurser. Till exempel inkluderar betrodda system användningen av "säkerhetskuvert" i nationell säkerhet och terrorismbekämpningstillämpningar, " trusted computing "-initiativ inom tekniska systemsäkerhet och kredit- eller identitetsvärderingssystem i finansiella och bedrägeribekämpande applikationer. I allmänhet inkluderar de alla system där
- probabilistisk hot- eller riskanalys används för att bedöma "förtroende" för beslutsfattande innan tillträde tillstånd eller för att allokera resurser mot sannolika hot (inklusive deras användning i utformningen av systembegränsningar för att kontrollera beteendet inom systemet); eller
- avvikelseanalys eller systemövervakning används för att säkerställa att beteendet inom systemen överensstämmer med förväntade eller godkända parametrar.
Det utbredda antagandet av dessa auktorisationsbaserade säkerhetsstrategier (där standardtillståndet är DEFAULT=NEJ) för bekämpning av terrorism, bedrägeribekämpning och andra syften hjälper till att påskynda den pågående omvandlingen av moderna samhällen från en tänkt beccariansk modell för straffrättslig rättvisa baserad på ansvarsskyldighet för avvikande handlingar efter att de inträffat till en Foucauldiansk modell baserad på auktorisation, företräde och allmän social efterlevnad genom allestädes närvarande förebyggande övervakning och kontroll genom systembegränsningar.
I denna framväxande modell är "säkerhet" inte inriktad på polisarbete utan på riskhantering genom övervakning, informationsutbyte, revision , kommunikation och klassificering . Denna utveckling har lett till allmänna farhågor om individuell integritet och medborgerlig frihet och till en bredare filosofisk debatt om lämpliga metoder för social styrning.
Pålitliga system i informationsteori
Pålitliga system i samband med informationsteori är baserade på följande definition:
"Förtroende är det som är väsentligt för en kommunikationskanal men som inte kan överföras från en källa till en destination med den kanalen"
— Ed Gerck
Inom informationsteorin har information ingenting med kunskap eller mening att göra; det är helt enkelt det som överförs från källa till destination, med hjälp av en kommunikationskanal. Om informationen är tillgänglig på destinationen före överföringen är överföringen noll. Information som en part tar emot är den som parten inte förväntar sig – mätt som partens osäkerhet om vad budskapet kommer att vara.
På samma sätt har förtroende, enligt definitionen av Gerck, ingenting att göra med vänskap, bekantskaper, relationer mellan anställda och arbetsgivare, lojalitet, svek och andra alltför varierande koncept. Tillit tas inte heller i rent subjektiv mening, inte heller som en känsla eller något rent personligt eller psykologiskt – tillit förstås som något potentiellt kommunicerbart. Vidare är denna definition av tillit abstrakt, vilket tillåter olika instanser och observatörer i ett pålitligt system att kommunicera baserat på en gemensam idé om tillit (annars skulle kommunikation vara isolerad i domäner), där alla nödvändigtvis olika subjektiva och intersubjektiva realiseringar av tillit i varje delsystem (människor och maskiner) kan samexistera.
Sammantaget i modellen för informationsteori, "information är vad du inte förväntar dig" och "tillit är vad du vet". Genom att koppla ihop båda begreppen ses tillit som "kvalificerad tillit till mottagen information". När det gäller betrodda system kan ett påstående om förtroende inte baseras på själva posten, utan på information från andra informationskanaler. Fördjupningen av dessa frågor leder till komplexa uppfattningar om förtroende, som har studerats grundligt i samband med affärsrelationer. Det leder också till uppfattningar om information där informationens "kvalitet" integrerar tillförlitlighet eller trovärdighet i strukturen av själva informationen och informationssystemen i vilka den är tänkt - högre kvalitet när det gäller särskilda definitioner av noggrannhet och precision betyder högre pålitlighet.
Ett exempel på förtroendekalkylen är "Om jag kopplar ihop två betrodda system, är de mer eller mindre betrodda när de tas tillsammans?".
IBM Federal Software Group har föreslagit att "trust points" ger den mest användbara definitionen av tillit för tillämpning i en informationsteknologimiljö, eftersom den är relaterad till andra informationsteoretiska begrepp och ger en grund för att mäta tillit . I en nätverkscentrerad företagstjänstmiljö anses en sådan uppfattning om tillit vara nödvändig för att uppnå den önskade samarbetsorienterade, tjänsteorienterade arkitekturvisionen.
Se även
externa länkar
- Global Information Society Project – ett gemensamt forskningsprojekt