Рис. 3.2 Сопоставление таксономии причин нарушения безопасности и классификации источников появления ИЗ.

Рис. 3.3 Сопоставление таксономии причин нарушения безопасности и классификации ИЗ по этапу внесения.

Поскольку большинство причин нарушения безопасности определяет появление ИЗ практически в любом компоненте ВС, сопоставление причин нарушения i безо­пасности с классификацией ИЗ по размещению в системе проводить нецелесообразно.

Перекрестный анализ таксономии причин наруше­ний безопасности и классификаций ИЗ по источнику по­явления и этапу внесения показывает, что наиболее зна­чимые причины (неправильное внедрение модели безо­пасности и ошибки программной реализации) действуют в ходе процесса разработки и реализации. Следователь­но, именно на этих этапах должны быть сосредоточены основные усилия при создании защищенных систем.

Приведенное сопоставление показывает, что пред­ложенные причины нарушения безопасности полностью охватывают как все аспекты появления, так и этапы вне­сения ИЗ. Таким образом, предложенная таксономия причин нарушения безопасности полностью подтвер­ждается существующими исследованиями ИЗ, однако носит более принципиальный характер и, следовательно, обладает более высокой степенью общности.

3.5 Заключение

Представленная таксономия причин нарушения безопасности позволяет определить значимость каждой из причин и выявить этапы разработки ВС, на которых они могут быть устранены. Как следует из проведенных исследований, наибольшее значение имеют принципы организации защиты и управление доступом, т. е. те со­ставляющие безопасности ВС, которые закладываются на ранних стадиях определения требований, выбора модели безопасности и архитектуры средств защиты. Все эти действия можно объединить в один этап — выбор технологии защиты ВС.

Кроме того, данная таксономия имеет и самостоя­тельное значение — ее можно использовать как основу для анализа и экспериментального тестирования систем защиты, так как она позволяет выбрать направления и способы проведения тестовых атак на наиболее уязви­мые компоненты систем защиты. На основании данного подхода в Центре защиты информации Санкт-Петер­бургского Технического Университета были проведены исследования безопасности распространенных ОС и компьютерных сетей, основные результаты которых приведены в работах [20, 21]. Эти результаты на практи­ке подтверждают правильность предложенной таксоно­мии и доказывают адекватность рассмотренных причин нарушения безопасности механизмам действия реальных средств нарушения безопасности.

Разработанная авторами таксономия причин нару­шения безопасности является первым и необходимым этапом для решения задач построения защищенных сис­тем обработки информации, поставленных в первой гла­ве, и может служить отправной точкой для адекватной реализации требований безопасности, представленных во второй главе, и корректного воплощения моделей безопасности (этому вопросу будет посвящена четвертая глава II тома). Это позволяет говорить о создании каче­ственно новой, научно обоснованной и подтвержденной существующей практикой нарушения безопасности ВС технологии построения защищенных систем, которая будет подробно рассмотрена в пятой главе II тома данной книги.

Литература к главе 3

1. Carl E. Landwehr, Alan R. Bull, John P. McDermott, and William S.Choi. Information Technology Division, Code 5542, Naval Re­search Laboratory, Washington, D.C. 20375-5337// A Taxonomy of Computer Security Flaws, with Examples.

2. Abbott R. P. Chin J. S., Donnelley J. E„ Konigsford \V. L„ Tokubo S. and Webb D. A. 1976 Security analysis and enhancements of computer operating system. NBS1R 76-1041. National Bureau of Standards, ICST. April 1976.

3. Andersen J. P. 1972. Computer security technology planning study. ESD-TR-73-51. Vols I and II, NTIS AD 758206,' Hanscom Field. Bedford, MA (October 1972).

4. Bisbey II. R. and Hollingwoith, D. 1978. Protection analysis project report. ISI/RR-78-13, DT[C AD A056816. USC/Information Sci­ences Institute (May 1978).

5. Brehmer С. L. and Carl J. R. Hollingworth, 1993 Incorporating IEEE Standard 1044 into your anomaly tracking process. CrossTalk, J. Defense Software Engineering, 6 (Jan. 1993), 9-16.

6. Chillarege R., Bhandari I. S., Chaar J. K Halliday M. J., Moebus D. S., Ray B. K and Wong, M-Y. 1992. Orthogonal defect classification-a concept for in-process measurements. IEEE Trans. on Soft­ware Engineering, 18,11, (Nov. 1992), 943-956.

7. Cohen, F. 1984. Computer viruses: theory and experiments, 7th DoD/NBS Computer Security Conference, Gaithersburg. MD (Sept. 1984). 240-263.

8. Federal Criteria for Information Technology Security. USA Na­tional Institute of Standards and Technology & USA National Se­curity Agency.

9. Florae W. A. 1992. Software Quality Measurement: A Framework for Counting Problems and Defects. CMU/SEI-92-TR-22, Software Engineering Institute, Pittsburgh, PA. (Sept.).

10. Lampson, B. W. 1973. A note on the confinement problem, Comm. ACM 16.10 (October), 613-615.

11. Leveson N. and Turner С. S. 1992. An investigation of the Therac-25 accidents. UCI TR92-108, Inf. and Comp. Sci. Dept, ofCal.-lrvinc. Irvinc, CA.

12. Linde R. R. 1975. Operating system penetration. AFIPS national computer Conference, 361—368.

13. McDermott J.P. 1988. A technique for removing fin important class of Trojan horses from high order languages, Proc.11th National Com­puter Security Conference NBS/NCSC, Gaithersburg, MD (October.). 114-117.

14. Pfleeger С. Р. 1989. Security in Computing. Prentice Hall, Engle-wood Cliffs, NJ.

15. Schoch J. F. and Hupp J. A. 1982. The "worm" programs-early ex­perience with a distributed computation. Comm. ACM.25.3 (March) 172-180.

16. Sullivan M.R. and Chillarege R. 1992. A comparison of software de­fects in database management systems and operating systems. Proc.22nd Int. Sump. on Fault-Tolerant Computer Systems (FTCS-22), Boston, MA IEEE CS Press.

17. Weiss D. M. and Basili V. R. 1985. Evaluating software development by analysis of changes: some data from the Software Engineering Laboratory. IEEE Trans. Software Engineering SE-11,2 (February), 157-168.'

18. Use of A Taxonomy of Security Faults. COAST Laboratory, Purdue University, Technical Report TR-96-051.

19. Д. Зегжда, А. Мешков. П. Семьяпов. Д. Шведов. Как противо­стоять вирусной атаке. BHV — СПб, 1995. 318с.

20. Теория и практика обеспечения информационной безопасности /Под ред. П. Д. Зегжда. M.: изд-во Агентства «Яхтсмен», 1996.

21. Атака через Internet /Под ред. П. Д. Зегжда С-Пб. Мир и семья. 1997.

Приложение I

Ранжированные функциональные требования «Федеральных критериев безопасности информационных технологий»

Данное приложение представляет собой ранжиро­ванный перечень функциональных требований, содер­жащийся в соответствующем разделе «Федеральных критериев», отражает только принципиальную суть тре­бований и не претендует на перевод стандарта как; руко­водящего документа.