Принципы проектирования безопасных вычислений

Share

|

Принципы безопасного проектирования, обсуждаемых в данном разделе выразить общее - ощущение простоты применения и ограничения в плане вычислений.

Принцип мере привилегия

Этот принцип ограничивает как привилегии предоставляются.

Принцип мере привилегия гласит, что вопрос должен быть только те привилегии, что ему необходимо, чтобы выполнить свою задачу.

Если вопрос не нужен доступ право, вопрос не должен иметь такого права. Кроме того, функция этой теме (в отличие от его личности) должны контролировать уступке прав. Если конкретных действий требует, чтобы субъекта права доступа быть увеличены, эти дополнительные права следует отказаться немедленно по завершении акции. Это аналог "необходимости знать" правило: если тема не нужен доступ к объекту выполнять свою задачу, он не должен иметь права на доступ к этому объекту. Точнее, если вопрос нужно добавить к объекту, но не к изменению информации, содержащейся в объекте, то следует уделить добавьте человека, а не писать человека.

На практике большинство систем не имеют представления привилегий и разрешений, должны применять этот принцип точно. В конструкторов механизмы безопасности, и затем применить этот принцип, насколько они могут. В таких системах, последствия проблем безопасности, нередко более серьезными, чем последствия для системы, которые соблюдают этот принцип.

ПРИМЕР: В UNIX операционная система не применяется контроля доступа для пользователя корня. Этот пользователь может прекратить любой процесс, и читать, писать или удалить любой файл. Таким образом, пользователям, которые создают резервные копии можно удалять файлы. В учетной записи администратора на Windows имеет те же полномочия.

Этот принцип требует, чтобы процессы должны быть ограничены как малые защиты домена, что возможно.

ПРИМЕР: А почтовый сервер принимает почту из интернета, а также копии сообщений в spool каталог; Локальный сервер завершит поставки. Почтовый сервер требует права на доступ к соответствующей сетевой порт, создать файлы в каталоге spool, и изменить эти файлы (чтобы его можно скопировать в сообщение файл, переписывать адреса доставки, если это необходимо, и добавить соответствующую "Получен "линии). Она должна выдать права доступа к этому файлу, как только он закончил написания файл в spool каталог, так как ему не нужно для доступа этот файл снова. Сервер не должен иметь возможности доступа к любым пользователем файлы, или любые другие файлы, чем свои собственные файлы конфигурации.

Принцип Fail - Сейф умолчанию

Этот принцип ограничивает привилегии, как подготовлены, когда предмет или объект создан.

Принцип отказоустойчивости умолчанию гласит, что, если вопрос с учетом прямого доступа для объекта, он должен быть отказано в доступе к этому объекту.

Этот принцип предполагает, что по умолчанию доступ к объекту нет. Когда доступа, привилегий или связанных с безопасностью атрибут прямо не предоставляется, она должна быть отклонена. Кроме того, если этот вопрос не может завершить свою деятельность или задачу, она должна отменить эти изменения, принятые в безопасности, состояние системы до ее окончания. Таким образом, даже если программа не удалось, система все еще безопасно.

ПРИМЕР: Если почтовый сервер не может создать файл в spool каталог, он должен закрыть сеть, выдавать сообщение об ошибке, и конец. Он не должен пытаться сохранять послание в других местах или расширить свои привилегии сохранить сообщение в другом месте, потому что злоумышленник может использовать эту возможность переписать другие файлы или заполнить другие диски (атака "отказ в обслуживании). Защитные по почте spool каталог самой позволит создать и записать доступа только для почтового сервера и читать и исключить доступ только к локальным сервером. Никакой другой пользователь должен иметь доступ к каталогу. На практике большинство систем позволит администратору доступ к почте spool каталог. В принципе мере привилегия, что администратор должен иметь возможность доступа только субъекты и объекты участвуют в почте queueing и доставки. Как мы видим, этот фактор к минимуму угрозы, что если администратором счета скомпрометирован. Почтовая система может быть повреждено или уничтожено, но ничего еще можно.

Принцип экономики Механизм

Этот принцип облегчает разработке и реализации механизмов безопасности.

Принцип экономики механизм говорится, что механизмы безопасности должны быть как можно более простым.

Если разработки и осуществления простых, меньше возможностей для ошибки. На проверку и испытания процесс менее сложным, поскольку меньше компонентов и случаях необходимо испытание. Сложные механизмы часто сделать предположения относительно системы и среды, в которой они управляют. Если эти предположения неверны, проблемы безопасности может привести.

ПРИМЕР: В ident протокол отправляет имя пользователя, связанных с процессом, который имеет TCP соединения с удаленным хостом. Механизм принимающих А, что обеспечивает доступ на основе результатов на ident протокол результате делает предположение о том, что из хост - это доверие. Если принимающей B решит напасть принимающей А, может подключиться и затем отправить любое имя он выбирает в ответ на запрос ident. Это пример механизма вносит неверное предположение об окружающей среде (в частности, что принимающие B можно доверять).

Интерфейсы с другими модулями особенно подозреваемого, поскольку модули часто подразумевается предположений относительно входных и выходных параметров, или нынешняя система государства; Если какое-либо из этих предположений будет неправильно, модуль действия может привести к неожиданным, и ошибочные результаты. Взаимодействие с внешними организациями, такими, как другие программы, системы, или людей, усиливает эту проблему.

ПРИМЕР: В пальцем протокола передает информацию о пользователя или системы. Многие клиента реализаций предположить, что ответ сервера хорошо сформированы. Однако, если злоумышленник было создать сервер, который производит бесконечного потока символов, и пальцем клиента были с ним соединиться, клиент будет печатать все символы. В результате, журналов и дисков может быть пополнен, в результате чего атака "отказ в обслуживании запросов на хосте. Это пример неправильного предположения относительно вклада для клиента.

Принцип полной посредничество

Этот принцип ограничивает кэширования информации, что зачастую приводит к более простой реализации механизмов.

Принцип полной посредничество требует, чтобы все объекты посещений быть проверены чтобы они допускаются.

Когда вопрос пытается читать объект, операционная система должна посреднических действий. Во-первых, она определяет, если тема не разрешается читать объекта. Если да, это дает ресурсы для читать не приходится. Если вопрос пытается читать объект снова, система должна проверить, что этот вопрос все еще разрешено читать объекта. Большинство систем не будет делать вторую проверку. Они будут кэшировать результаты первой проверки и базы второго доступ на результаты из кэша.

ПРИМЕР: Когда UNIX процесс пытается прочитать файл, операционная система определяет, если процесс не разрешается читать файл. Если это так, то процесс получает дескриптора файла в кодировке доступ. Когда процесс хочет прочитать этот файл, в нем файл описания в ядро. Ядро затем разрешает доступ. Если владелец этого файла запрещает процесс разрешение на чтение файла после дескриптора файла выдается, ядро все еще предоставляет доступ. Такая схема нарушает принцип полного посредничество, поскольку второй доступа не проверяются. В кэше значение используется, что приводит к отказу доступа, неэффективными.

ПРИМЕР: В Domain Name Service (DNS) кэширует информацию карт имен хостов в адреса. Если злоумышленник в состоянии "отравить" кэш на implanting записей связывание фальшивке адреса с именем, один хост будет маршрут соединения на другой принимающей неправильно.

Принцип открытой разработки

Этот принцип предполагает, что сложность не добавляет безопасности.

Принцип открытой разработки гласит, что обеспечение такого механизма не должно зависеть от его секретности разработке и осуществлении.

Дизайнеров и исполнителей из программы не должна зависеть от секретности детали их разработки и осуществления, с целью обеспечения безопасности. Другие могут ferret такие детали либо посредством технических средств, таких, как демонтаж и анализа, или через nontechnical средства, такие как поиск с помощью мусорных емкостей для исходного кода записей (называемых "dumpster - плавание"). Если численность программы безопасности зависит от незнания пользователей, знающих один пользователь может победить, что механизм безопасности. Термин "безопасность посредством неясности" отражает это понятие точно.

Это особенно справедливо в отношении программных и криптографических систем. Поскольку криптография является очень математической теме, компаний, которые на рынке программного обеспечения криптографической или использование криптографии для защиты пользовательских данных часто оставлять свои алгоритмы в секрете. Опыт показывает, что такие тайны добавляет мало, если что-либо для безопасности системы. Хуже того, она дает аурой силы, что слишком часто не хватает в реальной реализации системы.

Хранение шифровальных ключей и паролей секрет, не нарушают этот принцип, поскольку ключевым является не алгоритмом. Однако, сохраняя enciphering и декодирование секретных алгоритмов будет нарушать его.

Вопросы патентованное программное обеспечение и торговые секреты осложнить применение этого принципа. В некоторых случаях, компании могут, не хотят, чтобы их дизайн обнародованы, чтобы их конкуренты их использовать. В принципе то, что требует разработки и осуществления быть доступна для людей, запрещено раскрывать его за пределами компании.

ПРИМЕР: Содержание Scrambling системы (CSS) представляет собой криптографический алгоритм, что защищает диски DVD фильм от несанкционированного копирования. На DVD диске проверки подлинности ключа, ключ диска, и название ключ. Название ключ enciphered с диска ключ. А блок на DVD содержит несколько копий диска ключ, каждый enciphered на другой ключевой игрок, и контрольную часть диска ключ. Когда DVD вставлен в DVD плеер, алгоритм считывает подлинности ключа. Затем он расшифровывает диска ключи, используя DVD плеер уникальный ключ. Когда она обнаружит deciphered ключ правильный хеш, что он использует ключ к decipher название ключ, и он использует название ключ к decipher фильма. В подлинности и диск ключи не находятся в файл, содержащий фильм, это если одна копии файла, один еще на DVD диск в DVD плеер может играть фильма. В 1999, группа в Норвегии приобрели (программное обеспечение) DVD играет программа, которая имеет unenciphered ключ. Они также полученных алгоритм полностью совместимы с CSS алгоритма от программного обеспечения. Это позволило им decipher любые DVD видеофайл. Программное обеспечение, которые могут выполнять эти функции быстро стала доступна по всей сети Интернет, что в значительной степени дискомфорта в DVD Copyright контролю ассоциация, которая оперативно иск по предотвращению код из их опубликования. Как если бы подчеркнуть, проблемы обеспечения безопасности путем сокрытия алгоритмов истца адвокаты подали декларацию, содержащую исходный код реализации этого алгоритма CSS. Когда они поняли это, они просили заявления закрытых от общественности. К этому времени заявления были размещены на нескольких сайтах в Интернете, в том числе один, который более чем 21.000 загрузки в заявлении перед судом запечатанных он.

Принцип разделения привилегий

Этот принцип является ограничительной, поскольку она ограничивает доступ к системе образований.

Принцип разделения привилегий говорится, что система не должна предоставлять разрешение на основе единого состоянии.

Этот принцип эквивалентного разделение обязанностей принципе. Компания проверяет более $ 75.000 должно быть подписано двумя сотрудниками компании. Если либо не подписать, проверка не является действительным. Эти два условия являются подписей обоих офицеров.

Кроме того, системы и программы, обеспечивающие доступ к ресурсам, должны делать это только тогда, когда более чем одно условие считается выполненным. Это обеспечивает тщательный контроль над ресурсами, а также дополнительные гарантии того, что доступ разрешается.

ПРИМЕР: В Беркли на базе версии с UNIX операционной системы, пользователи не могут изменить их счетов для учетной записи суперпользователя, если только двух условий. Первое условие состоит в том, что пользователь знает пароль администратора. Второе условие заключается в том, что пользователь в колеса группы (группы с ГИД 0). Совещание либо условие не является достаточным для приобретения доступ; Заседание оба условия не требуется.

Принцип мере общий механизм

Этот принцип является ограничительным, поскольку он ограничивает обмен.

На принцип наименьшего общего механизма, что механизмы, используемые для доступа к ресурсам не должно быть общей.

Разделение ресурсов служит каналом, по которым информация может быть передана, и поэтому такой обмен должен быть сведен к минимуму. На практике, если операционная система обеспечивает поддержку виртуальных машин, операционная система будет обеспечивать эту привилегию автоматически, в некоторой степени. В противном случае он будет оказывать некоторую поддержку (например, виртуальной памяти), но не полную поддержку (так как файловая система появится, как распределяются между несколькими процессами).

ПРИМЕР: А веб-сайт предоставляет услуги электронной торговли для крупной компании. Злоумышленники хотят лишить компании доход она получает от веб-сайта. Они наводнений сайт с сообщениями и связь составляют электронной торговли услугами. Законные клиентов не удается получить доступ к Веб-сайту и, как результат, принять их бизнеса в других странах. Здесь, обмена Интернет с нападающим сайтов результате нападения на успех. Соответствующие контрмеры будут ограничивать нападавших доступа к сегмента сети Интернет подключены к сети Интернет. Методы для этого включить прокси серверов, таких, как Пурде SYN посредника или замедление движения. Бывший подозреваемый задачи соединения; Последняя снизить нагрузку на соответствующие сегмента сети без разбора.

Принцип психологической приемлемости

Данный принцип признает человеческий фактор в компьютерной безопасности.

Принцип психологической приемлемости говорится, что механизмы безопасности не должны ресурсов сложнее, чем доступ, если механизмы безопасности не было.

Настройка и реализации программы должен быть таким же легким и удобным, насколько это возможно, и любой продукции должна быть ясной, прямой, и полезными. Если связанные с безопасностью программного обеспечения является слишком сложным для конфигурирования системы администраторам непреднамеренно создал программное обеспечение в nonsecure образом. Кроме того, связанные с безопасностью пользователей программы должны быть простыми в использовании и должен производства понятна сообщений. Если пароль отклонены, изменение пароля программе следует указать, почему оно было отклонено, а не уделяя один зашифрованное сообщение об ошибке. Если конфигурационный файл имеет неправильный параметр, сообщение об ошибке следует описать надлежащего параметра.

ПРИМЕР: В ssh программа позволяет пользователю создать публичный ключ механизм enciphering связи между системами. Установка и настройка механизмов для UNIX версии одного до позволяют организовать, что публичный ключ будет храниться на местах без защиты паролем. В этом случае достаточно не поставить пароль для подключения к удаленной системе, но будет по-прежнему получать enciphered связи. Этот механизм удовлетворяет принципу психологической приемлемости.

С другой стороны, безопасность требует, чтобы не распространять сообщения ненужной информацией.

ПРИМЕР: Когда пользователь поставок неправильный пароль во время входа, система должна отказаться от попыток с сообщение о том, что логин не удалось. Если это означает, что пароль был неверным, то пользователь будет знать, что имя учетной записи является законным. Если "пользователь" были действительно несанкционированного злоумышленник, она будет знать имя учетной записи, для которых она может попытаться угадать пароль.

На практике принцип психологической приемлемости интерпретируется означает, что механизм безопасности может добавить некоторые дополнительные бремя, но это бремя должно быть минимальным и обоснованным.

ПРИМЕР: В системе ЭВМ позволяет пользователям поставить пароли на файлы. Получение файлов требует, чтобы программа поставок пароль. Хотя этот механизм нарушается принцип как считается, достаточно минимального будут приемлемыми. На интерактивной системы, где структура файла обращений чаще и более преходящими, это требование было бы слишком большим бременем для приемлемым.