Informatikai biztonsági módszertani kézikönyv

Miniszterelnöki Hivatal Informatikai Koordinációs Iroda

Informatikai Tárcaközi Bizottság ajánlásai

Informatikai biztonsági módszertani kézikönyv

8. sz. ajánlás

2. számú melléklete

Szemelvények az Európai Unió (Európai Közösség) informatikai biztonsági irányelveinek megfelelô nemzetközi ajánlásokból és szabványokból

Budapest, 1994

A közigazgatás korszerûsítésérôl szóló 1026/1992. (V.12.) Korm. határozat a közigazgatási informatika fejlesztésével összefüggô konkrét feladatokat fogalmazott meg. Ehhez kapcsolódóan a központi államigazgatási szervek informatikai fejlesztéseinek koordinálásáról szóló 1039/1993. (V.21.) Korm. határozat a következôket írja elô: "Az informatika területén az Európai Közösség elôírásaihoz igazodó kormányzati ajánlásokat kell kibocsátani, amelyek az államigazgatási informatikai fejlesztéseknél irányadók. Az ajánlásoknak biztosítaniuk kell a "nyílt rendszer" elv érvényesítését, informatikai stratégiai tervek készítését, a tervezéshez minôségjavító módszerek bevezetését, a biztonsági és adatvédelmi követelmények fokozott érvényrejuttatását, a beszerzések megalapozottságának javítását. Felelôs: Informatikai Tárcaközi Bizottság elnöke." A kormányhatározatban elôírtak alapján az Informatikai Tárcaközi Bizottság által elfogadott kormányzati ajánlásokat a Miniszterelnöki Hivatal Informatikai Koordinációs Irodája teszi közzé.

Az "Informatikai Biztonsági Módszertani Kézikönyv"-et mellékleteivel együtt az Informatikai Tárcaközi Bizottság ajánlásként elfogadta. Ebben a mellékletben az informatikai rendszerelemek hardver, szoftver és kommunikációs igényeinek (követelményeinek) kielégítése érdekében a módszertani kézikönyvben megállapítottakhoz és az Európai Közösség irányelveihez és ajánlásaihoz illeszkedve összefoglaljuk a nyílt rendszerekhez alkalmazható ITSEC (Information Technology Security Evaluation Criteria) ajánlás, valamint az ISO OSI 7498-2 nyílt rendszerek biztonsági architektúra modell (X.800) szabvány legfontosabb fogalmait és tudnivalóit. Az utóbbit a Magyar Szabványügyi Hivatal ezévében jelentette meg. Meg kell jegyezni, hogy az ITSEC követelményrendszere alkalmazhatóságának feltételei Magyarországon nem adottak, nem léteznek azok a hatóságok, intézmények, amelyek ellenôrzik a biztonsági elôírások meglétét és jóváhagyják, igazolják azok teljesülését. Mégis célszerû megismerkedni ezen követelményrendszerrel, mert a rendszertervezôk, beszerzôk, üzemeltetôk, felügyelôk átfogó képet kaphatnak a biztonsági csoportosításokról, a biztonsági eljárások érvényrejuttatásáról és így fokozatosan, a módszertani lépéseket felhasználva, kiépíthetôvé válnak a biztonságos informatikai rendszerek. Általánosságban elmondható, hogy az ITSEC fôleg az informatikai rendszer operációs rendszerére írja le biztonsági funkcióit, míg az X.800 a hálózatba (nyílt rendszerbe) kapcsolhatóság biztonsági jellemzôit határozza meg, így ezek a módszertani anyagok szorosan kiegészítik egymást és megteremtik az alapját a nyílt rendszerekben a biztonsági követelmények érvényrejuttatásának.

Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994

Szemelvények az Európai Unió (Európai Közösség) informatikai biztonsági irányelveinek megfelelô nemzetközi ajánlásokból és szabványokból

 Miniszterelnöki Hivatal Informatikai Koordinációs Iroda

1994. május Tartalomjegyzék 1.

Az informatikai hardver és szoftver rendszerelemek kiválasztása az ITSEC szerint ..1

1.1. Bevezetés......................................................................................................................1 1.2. Az ITSEC jelentôsége és felépítése..............................................................................1 1.3. A megbízható informatikai rendszerek alapfunkciói ...................................................2


1.4. Funkcionalitási osztályok, biztonsági szintek ..............................................................3 1.5. Védelmi mechanizmusok, az ITSEC szerinti védelmi eljárások .................................5 1.5.1. Felhasználó-azonosítási és hitelesítési eljárás ....................................................6 1.5.2. Hozzáférés-jogosultság ellenôrzési eljárás .........................................................6 1.5.3. Felelôsségre vonhatósági eljárás.........................................................................7 1.5.4. Könyvvizsgálati eljárás .......................................................................................7 1.5.5. Eszköz-újrafelhasználási eljárás .........................................................................7 1.5.6. Pontossági eljárás................................................................................................7 1.5.7. A szolgáltatások megbizhatósága eljárás............................................................8 1.5.8. Adatok cseréje eljárás .........................................................................................8 1.6. Minôsítési követelmények (kritériumok) .....................................................................8 1.7. A biztonság minôsítési fokozatok ................................................................................9 1.8. Viszony a funkcionalitás és a minôsítés között............................................................10 1.9. A minôsítés és a minôsítés tanúsítvány........................................................................11 1.10 A funkcionalitási osztály és a minôsítési fokozat meghatározása................................12 1.11 Rendszerkiválasztás .....................................................................................................13 2.

A biztonságtechnikai szolgálatok és mechanizmusok általános leírása az ISO-OSI 74982 (X.800)-ban ..............................................................................................................15

2.1. Az OSI ISO 7498-2 szabvány (X.800) szerinti fogalommeghatározások....................15 2.2. Az X.800 áttekintése ....................................................................................................21 2.2.1 Biztonsági szolgálatok............................................................................................21 2.2.1.1.

Hitelesítés ...................................................................................................21

2.2.1.2.

Hozzáférés ellenôrzése...............................................................................22

2.2.1.3.

Adattitkosság..............................................................................................22

2.2.1.4.

Adatsértetlenség .........................................................................................22

2.2.1.5.

Letagadhatatlanság .....................................................................................23

2.2.2. Biztonsági mechanizmusok ................................................................................24 2.2.2.1.

Rejtjelezés ..................................................................................................24

2.2.2.2.

Digitális aláírási mechanizmusok...............................................................24

2.2.2.3.

Hozzáférést ellenôrzô mechanizmusok......................................................25

2.2.2.4.

Adatsértetlenségi mechanizmusok .............................................................26

2.2.2.5.

Hitelességcsere mechanizmus ....................................................................26

2.2.2.6.

Hamis forgalom mechanizmusa .................................................................27

2.2.2.7.

Forgalomirányítást vezérlô mechanizmus..................................................27


2.2.2.8.

Közjegyzôi hitelesítési mechanizmus ........................................................27

2.2.3. Átfogó összbiztonságtechnikai mechanizmusok ................................................28 2.2.3.1.

Bizalmi funkciók ........................................................................................28

2.2.3.2.

Biztonsági címkék ......................................................................................28

2.2.3.3.

Esemény észlelése ......................................................................................28

2.2.3.4.

Biztonsági átvilágítási napló ......................................................................29

2.2.3.5.

Biztonsági visszatérés ................................................................................30

2.3. A biztonsági szolgálatok és mechanizmusok összefüggéseinek bemutatása ...............30


Nemzetközi szemelvények

1.

1. oldal

Az informatikai hardver és szoftver rendszerelemek kiválasztása az ITSEC szerint

Az alábbiakban az ITSEC szempontjait, eljárásait mutatjuk be, mint a bevezetendô informatikai rendszer vagy egyes rendszerelemek kiválasztásánál figyelemb veendô tényezôket. A jövôben ez a kiválasztás fokozatosan könnyebb lesz azáltal, hogy egyre több olyan termék, illetve rendszer kerül forgalomba, amelyeket már bevizsgáltak és minôsítési tanúsítvánnyal láttak el (jelenleg még csak a NATO országok minôsítési rendszerében).

1.1. Bevezetés Amennyiben egy informatikai rendszer kiépítését vagy egy meglévô informatikai rendszerhez új hardver vagy szoftver komponensek beszerezését tervezzük, úgy az informatika biztonság vizsgálata és biztosítása eljárásához elsôként azokat a biztonsági követelményeket kell feltárnunk, amelyek az informatikai rendszerrel szemben fennállnak. Ehhez a kézikönyv 2. fejezetében leírt eljárást a harmadik szakasz (kockázatelemzés) befejezéséig végre kell hajtanunk. Az elôirányzott, vázlatosan leírt hardver és szoftver konfigurációt vizsgálatnak kell alávetnünk. A rendszer leendô üzemeltetôje már a bevezetés tervezése során utána nézhet az ITSEC elemei között, hogy az egyes biztonsági alapfunkciók mely fenyegetô tényezôk ellen hatnak, és hogyan definiálhatók az egyes minôsítési fokozatok. Ennek alapján választhat az ott leírt biztonsági funkciók közül olyanokat, amelyek biztonsági követelményeit lefedik és eldöntheti, milyen minôsítési fokozatban kell megvalósulnia a biztonsági követelményeknek, hogy a maradványkockázat a kívánatos mértékre csökkenthetô legyen. A minôsítéssel tanúsított termékek listájának birtokában azután eldönthetô, hogy a piacon hozzáférhetô rendszerek és komponensek közül melyek alkalmasak a saját felhasználói céljainak megvalósítására. Alternatív megoldásként a felhasználó az elvárásait továbbíthatja a gyártóhoz, hogy attól egy adekvát rendszert kaphasson, amely a feladatainak megoldására alkalmas és emellett a biztonság követelményeit is teljesíti.

1.2. Az ITSEC jelentôsége és felépítése Az ITSEC ismerete a felhasználó és a gyártó közötti kommunikáció alapjául is szolgálhat. Hozzájárulhat ahhoz, hogy a felhasználó és a gyártó közös nyelven beszéljen, midôn a követelményeket egyikük kifejti, illetve ahhoz, hogy azt a másik helyesen értse. A felhasználónak az ITSEC ismerete révén abban a helyzetben kell lennie, hogy meg tudja fogalmazni biztonsági követelményeit a bevezetendô rendszerrel szemben. Egyértelmûvé kell tennie, hogy a rendszernek milyen funkcionalitással, rendeltetés szerinti besorolással kell rendelkeznie és mely minôségben kell tudni azt megvalósítania annak érdekében, hogy a fennmaradó kockázatot az ô számára elviselhetô mértékûre csökkentse. Az ITSEC besorolási segítséget nyújt a rendszerek, illetve azok komponensei értékeléséhez azáltal, hogy tíz funkcionalitási osztályt és nyolc minôsítési fokozatot definiál. A minôsítés folyamatát az informatikai biztonsági minôsítési kézikönyv szabályozza. Egy minôsítés eredményét minôsítési tanúsítványban rögzítik. Ha a biztonsági koncepcióban a szükséges

Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.

2. oldal


funkcionalitást és minôsítést rögzítették, a felhasználó vagy célzottan választhat azon rendszerek közül, amelyek megfelelô funkcionalitási osztályúak és megfelelô minôsítési



3. oldal

fokozatúak, errôl tanúsítvánnyal rendelkeznek, vagy olyan rendszer kiépítésére adhat megbízást, amelyet a tanúsítvány kiadására jogosult hatóságok az ITSEC-nek megfelelô minôsítésnek vetnek alá. A tanúsítvány kiadására jogosult hatóság például Németországban a Szövetségi Informatika Biztonsági Hivatal (Bundesamt für Sicherheit in der Informationstechnik). Az ITSEC harmonizált kritériumainak elfogadása terjed az Európai Unió (Európai Közösség) országaiban is és egy-egy adaptáció a tagországokban folyó minôsítések alapjává válnak. Az ITSEC az alábbiak leírását tartalmazza: •

megbízható informatikai rendszerek alapfunkciói,

•

funkcionalitási osztályok,

•

védelmi mechanizmusok,

•

minôsítési kritériumok és

•

minôsítési fokozatok.

1.3. A megbízható informatikai rendszerek alapfunkciói Az ITSEC nyolc biztonsági alapfenyegetettség, nevezetesen

alapfunkciót

ír

le,

amelyek

gyakorlatilag

három

• • •

a bizalmasság elvesztése, a sértetlenség elvesztése és a rendelkezésre állás elvesztése ellen hatnak. A nyolc alapfunkció valamely informatikai rendszerrel szemben támasztható lehetséges biztonsági követelmények széles spektrumát fedi le. Az azonosítás (identifikáció) és hitelesítés (autentizálás) elnevezésû alapfunkció a szubjektumok (például felhasználók és folyamatok) és objektumok (informatikai rendszerelemek például fô tárolók, készülékek és adatszerûségek) egyértelmû azonosítására szolgál. A szubjektumok és objektumok hozzáférési lehetôségeinek ellenôrzését a jogosultság kiosztás (jogkezelés) és a jogosultság ellenôrzés alapfunkcióik fedik le. A hozzáférhetôség, a hozzáférés ellenôrzése mind a megbízhatóság, mind pedig az integritás biztosításához hozzájárulhat. A bizonyíték biztosítás elnevezésû alapfunkció mindenekelôtt arra szolgál, hogy a ráruházott jogokkal való visszaélést ki lehessen mutatni, vagy nem megengedett jogok alkalmazásának kísérletét fel lehessen tárni. Az újraindítási képesség alapfunkciója arra hivatott, hogy megakadályozza a meg nem engedett információáramlást az újrafelhasználható üzemi eszközöknél, mint a fôtároló vagy a perifériás tárolók (lemezek, szalagok, diszkettek), és ezáltal hozzájárul a megbízhatóság biztosításához.


4. oldal


A hibaáthidalás és a funkcionalitás biztosítása alapfunkcióknak valamely rendszer vagy speciális funkcióinak hozzáférhetôségét kell biztosítania. Mindenekelôtt olyan rendszerek esetében van nagy jelentôsége, amelyeknél a hibás funkció vagy a kimaradás emberéleteket fenyegethet, vagy magas dologi károk keletkezhetnek, mint például erômûvek, vagy a légiforgalom irányításában résztvevô informatika rendszerek esetében. Az átviteli biztonság elnevezésû alapfunkció az adatátvitel azon aspektusait érinti, amelyeknél a három alapfenyegetettség szempontjából különös követelményeket támaszthatunk a kommunikációs partnerekkel, az átvitel útjával és az átvitel menetével kapcsolatban.

1.4. Funkcionalitási osztályok, biztonsági szintek A különbözô alapfunkciókkal szembeni követelmények választékát funkcionalitási osztályokban ajánlják, amelyek egyben meghatározzák az informatikai rendszer biztonsági szintjeit is. Az ITSEC tíz funkcionalitási osztályt ajánl. A funkcionalitási osztályokat azért hozták létre, •

mert az alapfunkciók részben függenek egymástól,

•

hogy figyelembe lehessen venni az informatika rendszerek különbözô típusait, mint az üzemrendszerek, az adatbank-rendszerek vagy hálózatok és

•

hogy az ITSEC összehasonlíthatóak legyenek az amerikai TCSEC (DoD Trusted Computer Security Evaluation Criteria) kritérium rendszerrel.

Nem minden alapfunkció megléte szükséges az informatikai rendszer bevezetésekor a biztonság biztosításához. Emiatt merült fel az az igény, hogy hozzanak létre funkcionalitási osztályokat, amelyek az alapfunkciók egy halmazából állnak, és amellyel egy tipikus alkalmazói terület biztonsági igénye lefedhetô. Az alapfunkciók nem teljesen függetlenek egymástól. A jogkezelés, jogvizsgálat és a bizonyíték-biztonság funkciói feltételezik a felhasználó azonosítását és hitelesítését, mivel a felhasználó identitása nélkül nem teljesülhetnek. Épp így szükséges egyeztetni egymással az egyes alapfunkciók hatókörével szembeni követelményeket, mivel az egyes funkcióknál a részkövetelmények is függenek egymástól. Nem elegendô például az azonosítás és hitelesítés alapfunkciójánál csak azt követelni, hogy a felhasználó jogosultságát csupán az informatikai rendszerhez való hozzájutás során ellenôrizzék, ha a jogkezelés és jogellenôrzés alapfunkciónál a hozzáférés ellenôrzését a felhasználó azonosítása alapján követelik meg. E követelmény teljesítéséhez az informatikai rendszer használójának azonosítását az egész idô alatt meg kell tartani, mindaddig, amíg az összeköttetésben áll az adott informatikai rendszerrel. Az elsô öt funkcionalitási osztály az amerikai TCSEC szabványban leírt C1-A1 osztályok követelményeihez igazodik. Ezáltal az olyan informatikai rendszerek értékelése, amelyeket az ITSEC alapján minôsítettek vagy minôsítenek a jövôben, összehasonlítható azokkal a rendszer értékelésekkel, amelyeket az amerikai kritériumok szerint minôsítettek. A C1-A1-ig terjedô öt osztályban az adatok megbízhatóságának mértéke (információ-áramlás ellenôrzése) áll az elôtérben. Ezért ezeket a funkcionalitási osztályokat F-C1, F-C2, F-B1, FB2 és F-B3 formában is szokták jelölni. Meg kell jegyezni, hogy a TCSEC minôsítése szerinti A1 osztályt azonos biztonsági szintje miatt az F-B3 osztályba sorolják.



5. oldal

Az F-C1 funkcionalitási osztály azzal tûnik ki, hogy az alapvetô követelményeket fogalmazza meg az azonosítás és hitelesítés, a jogkezelés és jogellenôrzés alapfunkciókkal szemben. Átfogja a hozzáférés ellenôrzését, amely a felhasználó által meghatározható. Az F-C2 funkcionalitási osztály pótlólagos követelményeket tartalmaz a bizonyítási biztonság és újraindítási képesség alapfunkciókkal szemben. Az azonosítás és hitelesítés, valamint a jogkezelés alapfunkciókkal szembeni követelmények az F-C1-hez képest bôvítettek. Az F-B1 funkcionalitási osztály pótlólagosan megkövetel egy szabályokon alapuló hozzáférés ellenôrzést, amely a jogkezelés szubjektumokra és objektumokra vonatkozó alapvetô sajátosságain nyugszik, és további tulajdonságokat követel meg a jogellenôrzés és a bizonyítás biztonság alapfunkcióktól. Az F-B2 funkcionalitási osztály pótlólag megkövetel egy megbízható utat az azonosítás és a hitelesítés során, a szerepek szétválasztását, a többfokozatú csatornák behatárolását, a jogkezelés alapsajátosság változásainak feltüntetését, a bizonyíték biztonság részeként pedig a védett csatornák használatának jegyzôkönyvezését. Az F-B3 funkcionalitási osztály azzal tûnik ki, hogy további pótlólagos követelményeket támaszt az azonosítás és hitelesítés, valamint a jogkezelés és a bizonyítás-biztonság alapfunkciókkal szemben. A következô öt funkcionalitási osztályban az alkalmazói területek olyan funkcionalitásairól van szó, amelyeket az amerikai kritériumokban nem vettek figyelembe, hanem pótlólagosan és kiegészítésképpen fogalmazódtak meg a kritériumok adaptációjában. Ezen osztályoknál az informatikai biztonság más aspektusai állnak az elôtérben. Az F-IN funkcionalitási osztály az azonosítás és hitelesítés, a jogkezelés, jogellenôrzés és a bizonyítás-biztonság követelményeit állítja fel az integritást célozva, amely például különösen az adatbankoknál vagy a szoftver-fejlesztési környezetekben szükséges. Az ajánlást olyan informatikai rendszerekhez dolgozták ki, amelyek adatainál és programjainál magas sértetlenségi követelmények érvényesülnek. Ilyen követelményeknek való megfelelés szükséges például az adatbázis jellegû informatikai rendszereknél. Az F-AV funkcionalitási osztály a hibaáthidalás és a funkcionalitás biztosítása alapfunkciókkal szemben támaszt követelményeket, amelyek valamely rendszer hozzáférhetôségét célozzák. Az ajánlás magas követelményeket támaszt egy teljes informatikai rendszer vagy különleges rendeltetésû informatikai rendszer biztonsága iránt. Az ilyen követelmények fontosak olyan informatikai rendszerek esetében, amelyek például gyártási folyamatokat szabályoznak. Az F-DI funkcionalitási osztály az adatok integritását célozza az átvitel során, amely az azonosítás és hitelesítés, az átvitelbiztosítás és a bizonyítás-biztonság alapfunkciók által elérendô. Az ajánlás magas követelményeket támaszt az adattovábbításkor érvényesülô adatsértetlenség védelme tekintetében. Az F-DC funkcionalitási osztály az adatok átvitel során történô titokban tartását tartalmazza, amelynek az átvitelbiztonság alapfunkciójával szemben támasztott követelményekbôl kell következnie. Az ajánlást olyan informatikai rendszerekhez alakították ki, amelyek az adattovábbítás során magasfokú adatvédelmet, rejtjelzést igényelnek. (Például rejtjelezô berendezések.)


6. oldal


Az F-DX funkcionalitási osztály az adatok hálózati rendszerekben való titokban tartásával és integritásával foglalkozik, melynek érdekében az azonosítás és hitelesítés az átvitelbiztonság és a bizonyítás-biztonság alapfunkciókkal szemben támaszt követelményeket. Az ajánlás olyan hálózatoknál használatos, amelyeknél magas az igény a továbbított információ bizalmasságának (titkosságának) és sértetlenségének biztosítására. Példa lehet erre az az eset, amikor érzékeny információ kerül továbbításra nem védett (például nyilvános) hálózatokon. A funkcionalitási osztályok kiegészíthetôk. Egy biztonsági koncepcióból olyan követelmények is adódhatnak valamely rendszer védettségére vonatkozóan, amelyeket az adott funkcionalitási osztályok egyike sem fed le. Ebben az esetben vagy kombinálhatók az adott funkcionalitási osztályok vagy valamely osztály a szükséges követelményekkel kiegészíthetô. Itt valamely alapfunkcióval szembeni pótlólagos követelményekrôl is szó lehet, amelyet csak egy más funkcionalitási osztályban definiáltak. Elvileg az informatikai rendszerek, vagy azok részei valamennyi - a gyártó vagy a felhasználó által megfogalmazott biztonsági követelményre alakíthatók. A minôsítéshez tehát tetszôleges követelmények támaszthatók, olyanok is, amelyek a fentebb leírt funkcionalitási osztályokon kívül esnek. Éppen ezért gondolhatunk olyan minôsített rendszerre is, amelyek egyetlen megadott funkcionalitási osztályhoz sem illeszkednek. Például egy rendszer csak hozzáférés ellenôrzést és bizonyítási biztonságot követel, ha kizárólag a sikertelen hozzáférési kísérleteket akarják felfedni. A hozzáférés ellenôrzésére nincs szükség, hogyha valamennyi feljogosított felhasználó ugyanazokkal a hozzáférési jogokkal rendelkezik. Az ITSEC hat biztonsági szintet határoz meg, amelyek rendre egyre magasabb biztonsági követelményt elégít ki. A biztonsági szinteket E1-tôl E6-ig jelölik és gyakorlatilag megegyeznek a TCSEC-ben maghatározott C1, C2, B1, B2, B3, A1 szintekkel. A következetes megfeleltetés miatt az E0 szint a TCSEC D szintjével azonosítható.

1.5. Védelmi mechanizmusok, az ITSEC szerinti védelmi eljárások A védelmi mechanizmusok a funkciók megvalósításánál játszanak szerepet. Ezek olyan eljárások, vagy algoritmusok, amelyek implementálásával a biztonsági funkciókkal szemben támasztott követelmények teljesíthetôk. A védelmi mechanizmusok erôssége minôségi tényezô, amennyiben valamely eljárás vagy algoritmus jósága döntô szerepet játszik. Az ITSEC a védelmi mechanizmusok erôsségét az elôbbiekben ismertetett hat biztonsági szint mutatja. Az értékelési skála az "alkalmatlantól" egészen a "leküzdhetetlenig" terjed. A védelmi mechanizmusok értékelésének alapjául a gyenge pontok célzott vizsgálata szolgál, valamint egy olyan elemzés, amely arra irányul, hogy a gyenge pontok hogyan befolyásolhatják a védelmi mechanizmus hatékonyságát. A védelmi mechanizmus erôsségének értékelése mindig csak a technika adott szintjén képzelhetô el, amely az elemzés idôpontjában ismert. Éppen ezért új technikai fejlemények következtében az értékelés érvényét vesztheti. A technikai intézkedések megvalósíthatósága hardver és szoftver elemekkel együttesen algoritmikus védelmi eljárásokkal, illetve védelmi mechanizmusokkal biztosítható. Az ITSEC a védelmi eljárásokat az alábbi csoportokba sorolja: •

felhasználó-azonosítási és hitelesítési eljárás,



7. oldal

•

hozzáférés-jogosultság ellenôrzési eljárás,

•

felelôsségre vonhatósági eljárás,

•

könyvvizsgálati eljárás,

•

eszköz-újrafelhasználási eljárás,

•

pontossági eljárás,

•

a szolgáltatások megbízhatósága eljárás,

•

adatok cseréje eljárás.

1.5.1. Felhasználó-azonosítási és hitelesítési eljárás Az eljárás keretében nemcsak a felhasználó igazolt személyazonosságát kell megállapítani, de hitelesíteni szükséges, hogy a felhasználó azonos-e azzal, akinek állítja magát. Ez többnyire úgy történik, hogy a felhasználó az informatikai rendszert olyan információval látja el, amelynek birtoklása révén a rendszer azt a kérdéses személlyel hozza összefüggésbe. A felhasználó-hitelesítés valójában bármely olyan eljárást lefed, amely hitelesítheti egy személy állított azonosságát. De ide sorolandók azok az eljárások is, amelyek új felhasználók azonosítási adatai (személyiségi jegyei) válnak hozzáadhatóvá, illetve régi felhasználók azonosító adatai eltávolíthatóvá vagy érvényteleníthetôvé. Épp így tartalmaz ezenkívül olyan eljárást is, amely generálás megváltoztatás vagy engedélyezés révén lehetôvé teszi, hogy a jogosultsággal rendelkezô felhasználó megvizsgálja azt a hitelesítési információt, mely az adott felhasználó személyazonosságának igazolásához szükséges. Tartalmaz továbbá olyan eljárásokat, amelyek garantálják az integritást, illetve megakadályozzák, hogy illetéktelen felhasználó hitelesítési információhoz juthasson, valamint része lehet olyan eljárás is, amely korlátot szab a hamis azonossággal való kísérletek megismétlésének.

1.5.2. Hozzáférés-jogosultság ellenôrzési eljárás Az eljárás célja annak biztosítása, hogy a felhasználók ne férhessenek hozzá olyan információkhoz vagy eszközökhöz, amelyekhez hozzáférési jogosultsággal nem rendelkeznek, illetve amelyekhez a hozzáférésük nem indokolt. Ugyanígy meggátolandó az információ engedélyezetlen létrehozása vagy módosítása (beleértve azok törlését is). Ide tartoznak azok az eljárások is, amelyek az információáramlást, illetve az eszközfelhasználást szabályozzák felhasználók, folyamatok és tárgyak között. Ideértendô a hozzáférési jogosultság adminisztrálása (például: a jogosultság adása és visszavonása), valamint az ezekhez fûzôdô hitelesítés is. Ide soroljuk azokat az eljárásokat is, amelyek a különbözô típusú hozzáférések végrehajtásával kapcsolatos listákat, szabályokat, irányítási feladatokat hozzák létre, illetve aktualizálják, továbbá bármely olyan eljárást, amely átmenetileg korlátozza a tárgyakhoz való hozzáférést olyan esetekben, amikor ahhoz több felhasználó, vagy folyamat férhet egyidejûleg hozzá. Ezek az eljárások biztosítják, hogy létrehozás esetén valós hozzáférési lista keletkezzék, illetve, hogy a tárgyaknál érvényesüljenek a


8. oldal


hozzáférési jogosultságot szabályozó elôírások. Ugyancsak ebbe a csoportba soroljuk



9. oldal

azokat az eljárásokat, amelyek az adatok halmozott gyûjtése révén keletkezô információ károsodását gátolják meg.

1.5.3. Felelôsségre vonhatósági eljárás Az informatikai rendszerek legtöbbje esetében fontos, hogy a felhasználók vagy a nevükben eljáró folyamatok által végrehajtott mûveletekre vonatkozó fontosabb információk rögzitésre kerüljenek abból a célból, hogy ezen mûveletek késôbb a kérdéses személlyel összefüggésbe hozhatók legyenek, illetve, hogy a felhasználók a mûveletért felelôssé tehetôk legyenek. Ide tartozik bármely olyan funkció, amely a védelem, biztonság szempontjából fontosnak minôsülô jogosultságok gyakorlásának rögzitését szolgálja, valamint valamennyi, az ilyen információ gyüjtését, védelmét és kiértékelését ellátó funkció. Némely funkció egyidejüleg tesz eleget a felelôsségre vonhatóság és a könyvvizsgálat követelményeinek, így ezek mindkét szempontból fontosnak minôsülnek. Az ilyen funkciókat bármelyik csoportba be lehet sorolni, de keresztreferenciaként a másiknál is jelölni szükséges.

1.5.4. Könyvvizsgálati eljárás Az eljárás azt a célt szolgálja, hogy mind a rutinszerü feladatokról, mind a rendkivüli eseményekrôl megfelelô információ kerüljön rögzítésre, miáltal késôbbi vizsgálatok során megállapítható, hogy a védettséget, biztonságot érte-e valós sérelem és ha igen, ez mely információkat, vagy eszközöket érintette. Ide tartozik bármely olyan funkció, amelynek célja felderíteni és vizsgálni a biztonságot veszélyeztetô események bekövetkezését, valamint azok is, amelyek célja az ilyen információk gyûjtése, védelme, vagy analízise. Az ilyen analízis magában foglalhat még trendvizsgálatot, amellyel meg lehet kisérelni a biztonsági célt potenciálisan veszélyeztetô események felfedését, beazonosítását, még mielôtt ezek bekövetkeznének.

1.5.5. Eszköz-újrafelhasználási eljárás Az informatikai rendszerek legtöbbjénél szükséges annak biztosítása, hogy bizonyos eszközök, mint például a fô memória, vagy a lemeztároló területei újra felhasználhatók legyenek a védelem károsodása nélkül. Ide sorolandó valamennyi olyan funkció, amely az adatokat tartalmazó eszközök újra felhasználásának vezérlését, szabályozását szolgálja valamint azon funkciók, amelyek rendeltetése ki nem jelölt, vagy újra kijelölt adathordozók címzése, vagy megtisztítása.

1.5.6. Pontossági eljárás Az informatikai rendszerek legtöbbje esetében követelményként jelentkezik annak biztosítása, hogy a különbözô adatrészek közötti kapcsolat során az adatrészek megfelelô formában rögzüljenek, illetve, hogy a folyamatok közötti mozgás során az adatok ne változzanak meg. Itt találhatók azon funkciók, amelyek feladata biztosítani,


10. oldal


hogy az adatok meg nem engedett módon ne legyenek megváltoztathatók, valamint a vonatkozó adatok közötti viszony pontosságának meghatározása, megvalósitása, és fenntartása. Tartalmaz továbbá olyan funkciókat, amelyek biztosítják, hogy amikor folyamatok, felhasználók és tárgyak között adatátvitelre kerül sor, a veszteség, hozzátétel, vagy módosítás felfedhetô vagy megakadályozható legyen, illetve lehetetlenné teszik, hogy az igénybe venni kívánt vagy éppen használt forrást, vagy az adatátvitel célállomását megváltoztassák.

1.5.7. A szolgáltatások megbizhatósága eljárás Számos rendszer alkalmazásánál fontos követelmény annak biztosítása, hogy az idôérzékeny feladatokat akkor hajtsák végre, amikor azokra szükség van, nem pedig korábban, vagy késôbben és, hogy a nem idôérzékeny feladatok ne válhassanak idôérzékenyekké. Ehhez hasonlóan, hogy az eszközökhöz való hozzáférés is akkor történjék, amikor arra szükség van és azokat ne igényeljék vagy tartsák fel szükségtelenül. Itt szerepel valamennyi olyan funkció, amelynek rendeltetése biztosítani, hogy a jogosultsággal rendelkezô személy (vagy folyamat) részére az eszközök hozzáférhetôk és használhatók legyenek, illetve meggátolni vagy korlátozni az idôérzékeny mûveletek megzavarását. Ide tartoznak azok a hibakeresô és hibaelhárító funkciók, amelyek korlátozzák a hibáknak a rendszer mûködésére kifejtett hatásait és így minimalizálják a keletkezett kárt, vagy a szolgáltatás csökkenésébôl származó veszteséget. Ez a csoport tartalmazza továbbá azon idôbeosztási funkciókat is, amelyek biztosítják, hogy a rendszer külsô eseményekre reagáljon.

1.5.8. Adatok cseréje eljárás Az eljárás lényege az adatok kommunikációs csatornákon történô átvitelének védelme. Ezt általában kommunikációvédelemnek nevezik. Ajánlott az adatcsere eljárást az alábbi fogalmak szerint tovább bontani, az OSI biztonsági terminológia szerint (lásd késôbb az X.800 kifejtésében): •

végfelhasználó és adat eredet-hitelesítés,

•

hozzáférés-ellenôrzés,

•

adat és forgalom folyambizalmasság,

•

adatintegritás,

•

letagadhatatlanság.

1.6. Minôsítési követelmények (kritériumok) Az ITSEC mértéket ad az informatikai rendszerek és egyes részegységeik minôségének értékeléséhez, minôsítéséhez. A "minôsítés" fogalom alatt ebben az esetben a megbízhatóság fokát kell érteni.



11. oldal

A minôsítést, azaz a minôség értékét a következô tényezôk határozzák meg: •

a biztonsági követelmények felállítása,

•

a specifikáció fajtája,

•

az erôsség, amivel a védelmi mechanizmusok megvalósulnak,

•

elhatárolás a biztonsági szempontból nem releváns funkcióktól,

•

eljárás az elôállítás során,

•

eljárás mûködéskor,

•

a biztonsági funkcióknak a felhasználó számára korrekt alkalmazását lehetôvé tevô dokumentáció jósága.

1.7. A biztonság minôsítési fokozatok Az ITSEC nyolc biztonság minôsítési fokozatot definiál Q0-tól Q7-ig, amelyekben egyre erôsebb követelményeket támaszt az egyes minôsítési aspektusok iránt. Egy magasabb minôsítési fokozat az üzemeltetô számára magasabb mértékû biztonságot jelent arra nézve, hogy az informatika rendszer megfelel a követelményeknek. A definiált minôsítési fokozatokat nagyvonalakban három kategóriába lehet sorolni: •

olyan rendszerek, amelyek nem vagy csak kevés védelmet nyújtanak a külsô támadások ellen, de a hibáktól védenek,

•

olyan rendszerek, amelyek a jónak minôsíthetôtôl a kiválóig terjedô védelmet nyújtanak a támadások ellen,

•

olyan védelemmel rendelkezô rendszer, amely nem leküzdhetônek minôsíthetô.

A Q0 minôsítési fokozat olyan rendszerek számára elôirányzott, amelyek egy magasabb fokozat követelményeit nem elégítik ki. A Q1 minôsítési fokozatnál nem támasztanak magas minôségi elvárásokat a biztonsági követelmények teljesítését illetôen, mindössze figyelembe veszik ezeket és nincsenek durva hibák az implementálásban. A biztonsági követelmények teljesítése csak jó minôségû felhasználói eljárás esetén várható. A Q1 minôsítési fokozat éppen ezért csak a minôsítési követelmények elleni szándéktalan fellépések, tettek kivédésére alkalmas, például az adatok véletlen átírásának megakadályozására. Nem alkalmas a biztonsági szempontból kritikus területekre, amelyeken a biztonsági követelményekkel szembeni szándékos fellépéssel lehet számolni. Nagy maradhat a maradványkockázat, hogy gyenge pontok léteznek, amelyeken át a biztonsági funkciók megkerülhetôk vagy kikapcsolhatók. A Q2 minôsítési fokozatnál már egy csekély védelem van a szándékos károkozások ellen, ami azonban jó rendszerismeretekkel leküzdhetô. Nagy minôségi értéke van annak, hogy a biztonsági követelményeket hibával nem lehet megsérteni vagy hatályon kívül helyezni. A Q3-Q5 minôsítési fokozatoknál jó védelem áll fenn a biztonsági követelmények szándékos megsértésével szemben. A minôsítés során itt már költséges elemzéseket folytatnak, hogy a biztonsági követelmények teljesítését bizonyítsák. A Q3-rendszerek az egyszerû áthatolásokkal szemben nagymértékben védettek, a Q4 esetében pedig még nehezebb a védelmet áttörni. A Q5 fokozattól kezdôdôen már a tervezési folyamatban egy félformális


12. oldal


eljárási módot kell leírni. Egy ilyen rendszernél már számolhatunk azzal, hogy nagymértékben ellenáll a támadásoknak.



13. oldal

A Q6 és Q7 minôsítési fokozatoknál formális eljárásokat írnak elô. Ezek a rendszerek nagyon nagy mértékben ellenállnak a behatolási kísérleteknek. Ez azonban extrém módon magas ráfordítást igényel mind a gyártásban, mind a minôsítésben. A Q7 fokozatnál pótlólag még egy formális bizonyítást is be kell vezetni. Egy ilyen rendszer elôállításának és minôsítésének ráfordításai oly nagyok, hogy - a technika mai állása mellett - ez a minôsítési fokozat csupán korlátozott funkcionalitású kis rendszerek számára elérhetô. A Q7 fokozat a mai ismereteink szerint a biztonsági funkciók megvalósításának lehetô legjobb megoldása. A pótlólagos biztonsági fokozatok definiálása majd az ITSEC további verzióiban lesz lehetséges. Magasabb minôsítési fokozatot alapvetôen csak magasabb elôállítási és minôsítés ráfordítással érhetünk el.

1.8. Viszony a funkcionalitás és a minôsítés között Az ITSEC különbséget tesz a funkcionalitás és a minôsítés aspektusai, tényezôi között. Ez az elválasztás azzal az elônnyel jár, hogy a funkcionalitással és a minôsítéssel szemben támasztott követelményeket - a minôsítendô informatikai rendszerekre vonatkozóan egymástól függetlenül lehet kezelni. A funkcionalitás és a minôsítés egymástól független értékelésének lehetôsége azért szükséges, mert a követelményeik eltérô módon adódnak. Valamely rendszer megkövetelt funkcionalitását meghatározzák a környezetében meglévô fenyegetô tényezôk fajtái. Biztonsági funkciók formáját öltô intézkedésekkel kell szembeszállni velük. Mivel a különbözô alkalmazási környezetekben eltérô fenyegetô tényezôk hatnak, a védelemhez a biztonsági funkciók különbözô kombinációi szükségesek. A biztonsági funkciók megkövetelt minôsége abból a kockázatból adódik, amely a fenyegetô tényezôkbôl kiindul. A minôsítési követelményeket úgy kell rögzíteni, hogy ez a kockázat a megtett intézkedések megfelelô hatékonysága által elviselhetô szintre csökkenjen. A biztonsági funkciók hatékonysága megbízhatóságuktól függ, amely minôsítési fokozatukban fejezôdik ki. Ha egy biztonsági funkciót egy magasabb minôsítési fokozatban valósítunk meg, a megbízhatóságnak is magasabb foka áll fenn arra nézve, hogy a biztonsági funkció pontosan azt nyújtja, amit nyújtania kell. Alacsonyabb minôsítési fokozat csekélyebb hatékonyságot és ezáltal magasabb maradványkockázatot jelent. Arra vonatkozóan, hogy valamely biztonsági funkció minôsítésével szemben támasztott eltérô követelmények mit eredményezhetnek különbözô felhasználói területeken, láásuk az alábbi példát: Egy rendszerben általánosan ismert adatok vannak tárolva. A felhasználó azonosítása csak abban az esetben szükséges, ha statisztikákat akarnak összeállítani, amelyekkel feltérképezhetô, mely felhasználók, milyen gyakran hívnak le adatokat. Az azonosítási funkciónak ebben az esetben nem kell magas minôsítési fokozatúnak lennie. Ezzel szemben, ha a rendszer jogosulatlan használatát informatika intézkedés révén feltétlenül meg kell akadályozni, akkor az azonosítás és hitelesítés alapfunkcióját magas minôségben kell megvalósítani.


14. oldal


1.9. A minôsítés és a minôsítés tanúsítvány A minôsítés egész menetét egy informatikai minôsítési kézikönyv szabályozza. A minôsítéseket például Németországban a Szövetségi Informatika-biztonsági Hivatal és a meghatalmazott minôsítô hivatalok végezhetik. A gyártó a minôsítést végzô hatóságnak megküldi a követelményrendszert, amelyre nézve valamely informatikai rendszert vagy egyes rendszer komponenseket vizsgáztatni kíván. Ebben leírja, hogy a rendszernek mely biztonsági követelményeket kell teljesítenie, vagy mely funkcionalitási osztályba kell esnie, valamint azt, hogy a biztonsági funkciók mely minôsítési fokozata adott és vizsgálandó. A minôsítô hatóság - az elôállítóval együttmûködve - bizonyítja, hogy az adottságok valóban megvannak. Egy rendszer minôsítésének technikai alapját az ITSEC képezi. Egy termék-minôsítés eredményeit minôsítési tanúsítványban rögzítik. Egy ilyen tanúsítvány a következô három részbôl áll: •

maga a bizonyítvány,

•

a függelék nyilvános része,

•

a függelék nem nyilvános része.

Maga a tanúsítvány a minôsített informatikai rendszer által teljesített funkcionalitási osztályt, vagy funkcionalitási osztályok kombinációját és az elért minôsítési fokozatot tartalmazza. Amennyiben a rendszer egyik elôre definiált funkcionalitási osztályba sem esik bele, akkor esetleg kiegészítôen az elôre definiált funkcionalitási osztály megjelölése mellett a megvalósított biztonsági követelményeket is leírják a minôsített rendszerre vonatkozóan. A tanúsítvány leírja azokat a peremfeltételeket is, amelyek mellett a tanúsítvány érvényes, mint például a rendszer fajtáját, valamint a hardver és szoftver konfigurációt, amelyet a minôsítés során figyelembe vettek. Éppígy megadják az alapul szolgáló ITSEC verziót is. A függelék nyilvános része a teljesített biztonsági kritériumok részletezett leírását tartalmazza. Ennek során megjelölik az adott biztonsági funkciók hatókörét is, például az adott hozzáférési jogok fajtáit, tagoltságát és ugyanezt az objektumokra vonatkozóan is, amelyek a jogkezelés és a jogvizsgálat hatálya alá esnek, továbbá azokat a feltételeket, amelyeket a bizonyítás-biztonság során specifikálni kell. Felvezetik valamennyi hardver és szoftver konfigurációt, amelyekre nézve a tanúsítvány érvényes. Felsorolják azokat a dokumentumokat, amelyek a felhasználó birtokában kell hogy legyenek ahhoz, hogy a minôsített rendszert üzemeltethesse. A felhasználó számára különös jelentôséggel bírnak az egyes biztonsági funkciók kritikus területeire vonatkozó megjegyzések, mivel a rendszer kiválasztásánál döntôek lehetnek. Például utalás történhet egyes szükséges szervezési, szervezeti intézkedésekre, amelyek nélkül a védelmi mechanizmus gyengeségei biztonsági gondokat okozhatnak. A függelék nem nyilvános része a fejlesztési eljárásról tartalmaz információkat, rögzíti a termék belsô struktúráját és a minôsítési folyamatot, amelyek csak a gyártó és a minôsítô hatóság számára fontosak. Valamely rendszer minôsítési tanúsítványa •

nem tartalmaz olyan kijelentéseket, hogy a rendszer valamely speciális alkalmazás követelményeihez elegendô,

•

a Q2 minôsítési fokozattól kezdôdôen kijelentéseket tartalmaz arról, hogy a minôsített rendszer biztonsági funkciói mely fenyegetô tényezôk ellen hatnak,



15. oldal

•

nem garantálja, hogy a rendszer hibamentes,

•

nem garantálja az abszolút biztonságot,

•

elveszti érvényességét, amennyiben a rendszert nem az elôírt peremfeltételekkel, vagy egyebekben nem elôírásszerûen mûködtetik. (Például a rendszerprogram megváltoztatása a biztonsági funkciókat hatályon kívül helyezheti.)

1.10 A funkcionalitási osztály és a minôsítési fokozat meghatározása Az informatikai biztonsági követelményeket az ITSEC segítségével adaptálhatjuk valamely rendszerhez. Általánosan érvényes, hogy a rendszer biztonsága szempontjából a kiválasztás során nem az adott biztonsági funkciók száma a döntô, hanem az igényeknek megfelelô kiválasztásuk (választékuk). Éppígy igaz, hogy nem a legmagasabb, hanem egy elfogadható minôsítési fokozatot kell választani, amellyel a rendszer kielégítô mértékû biztonsággal rendelkezhet. Akkor elfogadható egy minôsítési fokozat, ha a fennmaradó maradványkockázat a felhasználó számára elviselhetô mértékûre csökken. A megfelelô minôsítési osztály kiválasztásához nem lehet egyszerû szabályokat megadni. A kiválasztás során sok eltérô tényezô hat, amelyeket általában csak maga az alkalmazó tud megítélni. Ilyen tényezôk például a kockázat és a ráfordítások, mindkettônek az a mértéke, amelyet a felhasználó elviselhetônek tart. Kizárólag a felhasználó felelôssége dönteni arról, mekkora maradványkockázatot tud elviselni és milyen anyagi ráfordításokat tart elfogadhatónak az informatika biztonság érdekében. Az informatika szakértôi csak tanácsadó szerepet tölthetnek be a kiválasztás során. Egyetlen minôsítési fokozathoz sem lehet közvetlenül valamiféle hatékonysági mértéket, nagyságot hozzárendelni, mondjuk egy százalékos számot, vagy hasonlót. A minôsítési fokozat kiválasztásánál azonban a minôsítési fokozatok jellemzése, mint orientációs és döntést elôsegítô eszköz, figyelembe vehetô. Egy hasonló lehetôségre kell még utalnunk: a megfelelô minôsítési fokozat kiválasztásánál orientációs segítségként figyelembe vehetô a védelmi mechanizmus erôssége, amelyet ugyancsak az ITSEC-ben írnak le, és amellyel a biztonsági funkció megvalósul. Csak olyan minôsítési fokozat jöhet szóba, amely a szükségesnek tartott védelmi mechanizmus-erôsséget feltételezi. A minôsítéssel szemben támasztott igények annál kisebbek lehetnek, minél komplexebb a megkívánt biztonsági funkcionalitás. Még ha a Q7 minôsítési fokozat is a kívánatos, csak kivételes esetekben kell azt megvalósítani. A választás általában a Q1-Q4-ig terjedô minôsítési fokozatokra esik. A piacon hozzáférhetô rendszerek jelenleg általában a Q3, vagy annál alacsonyabb minôsítési fokozatba tartoznak. A minôsítési tanúsítvánnyal ellátott magas minôsítésû rendszerek jelenleg nem túl nagy számban állnak rendelkezésre. Hogy a félreértéseket a minôsítési fokozatok interpretációja során elkerüljük, ismét meg kell jegyeznünk, hogy a definiált minôsítési fokozatok, amelyek alapján a szoftvert értékelni kell, csak a megbízhatóság egy mértékét jelentik, nevezetesen, hogy a megvizsgált szoftver pontosan azt nyújtja, amit kell nyújtania. Valamely minôsítési fokozat értékelése azt mondja ki, hogy •

az e minôsítési fokozat számára adott kritériumok teljesülnek,

•

a szoftver elôállítása az ITSEC-ben leírt eljárás szerint történt,


16. oldal


•

a vizsgálati eljárás az ITSEC-ben és az informatika minôsítési kézikönyvben leírt szabályoknak megfelelôen történt.

Mindez nem vonja maga után azt a következtetést, hogy az a szoftver, amelyet egy alacsonyabb minôsítési fokozatra minôsítettek, feltétlenül hibás kell hogy legyen, míg az amely egy nagyon magas minôsítési fokozatra lett minôsítve, feltétlenül hibátlan.

1.11 Rendszerkiválasztás A kívánatos funkcionalitás és minôsítés meghatározását követôen vagy a piacon rendelkezésre álló termékek közül választunk rendszert, vagy egy új fejlesztésre adunk megbízást. Ez az új fejlesztés a felhasználói célhoz és a kiépítési környezethez fog igazodni, hogy az abból következô követelményeknek célzottan eleget tegyen. Egy új fejlesztés költségei általában magasabbak, mint a piacon felkínált rendszerek ára. Ha már minôsítési tanúsítvánnyal ellátott termékek jönnek szóba, át kell néznünk a ezen termékek listáját, méghozzá annak azt a részét, amelyben egy megfelelô funkcionalitási osztályba és minôsítési fokozatba tartozó rendszerek szerepelnek. A minôsítés tanúsítvánnyal ellátott termékeknek a listáját Németországban a Szövetségi Informatika-biztonsági Hivatal adja ki. A kiválasztott rendszerek minôsítési tanúsítványait meg kell vizsgálnunk arra nézve, hogy valamennyi funkcionális biztonsági követelmény a kívánt módon le van-e fedve. Valamely minôsített rendszer nem feltétlenül teljesíti az összes biztonsági követelményt, amelyet a kiválasztott rendszernek teljesítenie kell. Az ITSEC-ben a funkcionalitási osztályok nem határozzák meg, nem fejtik ki a követelmények részleteit. Ezért elengedhetetlen, hogy a minôsítés tanúsítvány nyilvános függelékében pontosan utaljanak arra, hogy valóban valamennyi biztonsági követelmény le van-e fedve, amelyeket az informatika rendszer bevezetéséhez szükségesnek ítéltek. Nagyon ritkán következik be az az ideális eset, hogy egy pontosan illô rendszert kaphatunk a piacon. Éppen ezért meg kell vizsgálnunk, mely kompromisszumokba kell belemennünk a piacon rendelkezésre álló rendszerek vásárlása érdekében, amennyiben a saját fejlesztés a magas költségek miatt nem jöhet szóba. Alternatívának tûnhet, hogy a piacon elérhetô bôvebb funkcionalitású vagy magasabb minôsítésû rendszert válasszunk. A kiterjedtebb funkcionalitás vagy magasabb minôsítés azonban általában szintén nagyobb beszerzési költségekkel társul. Ezért meg kell gondolnunk, hogy egy ilyen rendszer bevezetése esetén jelentkezô többletráfordítás elviselhetô-e. A többletbiztonsági funkcionalitás ellentétben is állhat az általános mûködési követelményekkel, például befolyásolhatja a performanciát (a feldolgozás teljesítményét), vagy költségesebbé teheti a rendszer üzemeltetését. A következôkben problematikáját:

érdemes

néhány

példával

illusztrálni

a

rendszerkiválasztás

Valamely rendszer egy szabályokon alapuló hozzáférési ellenôrzéssel ("mandatory access control") rendelkezik, a felhasználók és a készülékek körére érvényes attributumokkal ("label"). A rendszer alkalmazásához ezt nem igényeljük. Ennek ellenére minden felhasználó és valamennyi készülék számára ebben az esetben attributumokat kell rögzítenünk, amelyek tulajdonképpen nem volnának szükségesek. A szükségtelen és költséges hozzáférésijogvizsgálat csökkenti a feldolgozási teljesítményt.



17. oldal

Valamely rendszerben az átvitel során kódolják az adatokat. Ugyanakkor a rendszerrel szemben támasztott üzemi követelmény, hogy világméretû kommunikációra legyen képes valamennyi használójával. Ennek az lehet a konzekvenciája, hogy az adatátvitelt nem kódolt formában kell megoldani, miután nem valamennyi partner képes az adatok kódolására és visszakódolására. Egy ilyen rendszer a többlet biztonsági funkcionalitása ellenére sem alkalmas az elôirányzott feladat megoldására. Amennyiben a megfelelô rendszer a piacon nem elérhetô, más adott rendszerek a fent megnevezett okokból nem jöhetnek szóba, a saját fejlesztésre szóló megbízást pedig költség okokból ki kell zárni, ilyen esetekben mindig azt kell megvizsgálni, hogy szervezési, személyi vagy építészeti (esetleg kiépítési) intézkedésekkel vagy más biztonsági funkció által a hiányzó funkcionalitás pótolható-e és a hiányzó minôsítés kiegyenlíthetô-e. Mindezt a következô három példán keresztül igyekszünk levezetni: Valamely rendszer rendelkezik a megkövetelt hozzáférési ellenôrzéshez szükséges funkcionalitással, de a kívánatos minôsítési fokozatot nem éri el. A hozzáférési ellenôrzést kiegészíthetjük a bizonyíték-biztonság alapfunkcióval, amelynek során a különösen védelemre érdemes objektumokhoz való valamennyi hozzáférést jegyzôkönyvezik (persze maga a gép), és ezzel a potenciális tetteseket visszariasztják. Amennyiben különbözô besorolású dokumentumok - az államtitok védelmi területén hozzáférési ellenôrzése a feldolgozás elôtt nem felel meg számunkra, a hiányzó funkcionalitás pótlására több szervezési intézkedés kínálkozik: •

A felhasználók különbözô idôkben dolgoznak a rendszeren, és nem használnak közös adathordozókat.

•

A felhasználók különbözô hálózatba nem kapcsolt rendszereket (például személyi számítógépet a nagyszámítógép helyett) használnak.

•

Valamennyi adatot egyformán sorolunk be, minôsítünk, és valamennyi felhasználót azonos mértékben ellenôrzünk, azonos mértékû felhatalmazásokkal látunk el.

Az újra felhasználható adathordozókon tárolt adatok hiányzó újraelérési/újraindítási képessége, lehetôsége pótolható azzal, ha valamennyi titkossági fokozat számára saját adathordozókat alkalmazunk.


18. oldal


2. A biztonságtechnikai szolgálatok és mechanizmusok általános leírása az ISO-OSI 7498-2 (X.800)-ban

2.1. Az OSI ISO 7498-2 szabvány (X.800) szerinti fogalommeghatározások adatsértetlenség (data integrity): Olyan tulajdonság, amely lehetôvé teszi, hogy az adatot jogosulatlan módon ne változtassák meg, vagy ne tegyék tönkre.

adatszármazás hitelesítése (data origin authentication): Annak megerôsítése, hogy a kapott adatok forrása a kívánt forrás.

aktív fenyegetés (active threat): Olyan szabad, jogosulatlan hozzáférésnek a veszélye, amely megváltoztathatja a rendszer állapotát. Megjegyzés: A biztonsággal kapcsolatos aktív fenyegetés lehetséges példái: üzenetek módosítása, üzenetek visszajátszása, zavaró üzenetek beiktatása, feljogosított entitásként való álcázás és a szolgálat megtagadása.

azonosság alapú biztonsági politika (identity-based security policy): Az elérendô használók és/vagy erôforrások/objektumok nevében tevékenykedô használók, használó csoportok, vagy entitások azonosságára és/vagy jellemzôire alapozott biztonsági politika.

beavatkozás észlelés (manipulation detection): Adatelem (szándékos vagy véletlen) módosításának felfedezésére alkalmazott mechanizmus.

biztonsági átvilágítás (security audit): A rendszerre vonatkozó feljegyzések és tevékenységek független átvizsgálása, a rendszer-ellenôrzések megfelelôségének vizsgálata, a kialakított politika és a mûködtetési eljárások megfelelôségének elérése, a biztonság gyenge pontjainak felfedése az ellenôrzésben, a politikában és az eljárásokban ajánlott biztonsági változások céljából.

biztonsági átvilágítási napló (security audit trail): A biztonsági átvilágításhoz gyûjtött és esetleg fel is használt adatok.



19. oldal

biztonsági címke (security label): Egy erôforráshoz kötôdô megjelölés (ami lehet egy adatelem), amely megnevezi vagy kijelöli ezen erôforrás biztonsági jellemzôit. Megjegyzés: A megjelölés és/vagy kötôdés lehet explicit vagy implicit.

biztonsági politika (security policy): A biztonsági szolgálatok nyújtásának kritériumkészlete (lásd még azonosság-alapú és szabály-alapú biztonsági politika). Megjegyzés: A teljes biztonsági politikának szükségképpen többféle vonatkozása van, ez azonban nem tartozik az OSI tárgykörébe.

biztonsági szolgálat (security service): Az egymással kommunikáló nyílt rendszerek egyik rétege által nyújtott szolgálat, amely megfelelô biztonságot nyújt a rendszereknek és az adattovábbításnak.

digitális aláírás (digital signature): Az adatelemhez rendelt vagy rejtjelezéssel elôállított adat, amellyel az adatelem vevôje megbizonyosodhat az adatelem forrásáról és sértetlenségérôl, és meg tudja védeni a hamisítással szemben.

érzékenység (sensitivity): Az erôforrás azon jellemzôje, amely fontosságát vagy értékét tartalmazza és tartalmazhatja a sérülékenységet is.

felelôsségre vonhatóság: Olyan tulajdonság, amely lehetôvé teszi, hogy az adott entitás tevékenységei egyértelmûen az adott entitásra legyenek visszavezethetôk.

feljogosítás (authorization): Azon jogok megadása, amelyek magukban foglalják a hozzáférési jogon alapuló hozzáférés megadását.

fenyegetés (threat): A biztonság megsértésének lehetôsége.

fizikai biztonság (physical security): Erôforrások szándékos és véletlen fenyegetései elleni fizikai védelemre használt intézkedések.


20. oldal


forgalomelemzés (traffic analysis): Információ kinyerése a forgalom lefolyásának (jelenlét, hiány, mennyiség, irány és gyakoriság) megfigyelésébôl.

forgalomirányítás vezérlése (routing control): Szabályok alkalmazása a forgalomirányítás során adott hálózatok, szakaszok, vagy ismétlôk kiválasztására, kikerülésére.

forgalom titkosság (traffic flow confidentiality): Titkossági szolgálat a forgalomelemzés elleni védelem céljából.

hamis forgalom (traffic pading): A kommunikáció meghamisított eseteinek, adatelemekben hamis adatoknak az elôállítása.

hamis

adatelemeknek

és/vagy

hitel (credentials): Egy entitás kívánt azonosságának megállapítására továbbított adat.

hitelesítés (autentication): Lásd: adatszármazás hitelesítés és a társentitás hitelesítés. Megjegyzés: Az ISO 7498 szabványsorozatnak ez a része a "hitelesítés" kifejezés helyett az "adatsértetlenség" kifejezést alkalmazza.

hitelesítési információ (authentication information): Egy kívánt entitás érvényességének megállapításához alkalmazott infomáció.

hitelesség-csere (authentication exchange): Egy entitás azonosságát információcsere útján érvényesítô mechanizmus.

hozzáférés-ellenôrzés (access control): Az erôforráshoz való jogosulatlan hozzáférés elhárítása, beleértve az erôforrás jogosulatlan használatának megakadályozását.

hozzáférés-ellenôrzési lista (access control list): Az erôforráshoz való hozzáférésre jogosult entitások és hozzáférési jogaik jegyzéke.

jelszó (pasword): Rendszerint karakterfüzérbôl álló bizalmas hitelesítési információ.



21. oldal

képesség (capability): Egy erôforrás számára azonosítóként alkalmazott zseton, amely lehetôvé teszi, hogy a zseton birtokosa megszerezze az erôforráshoz való hozzáférés jogát.

közjegyzôi hitelesítés (notarization): Adat bejegyeztetése megbízható harmadik féllel, ami késôbb lehetôvé teszi az olyan jellemzôk megállapítását, mint az adat tartalma, származása, ideje és kézbesítési pontossága.

kulcs (key): Szimbolumok olyan sorozata, amely a rejtjelezés és a megfejtés mûveleteit irányítja.

kulcsmenedzselés (key management): Kulcs elôállítása, tárolása, szétosztása, törlése, archiválása és alkalmazása a biztonsági politikának megfelelôen.

letagadás (repudiation): A kommunikációban szereplô egyik entitás tagadja azt, hogy részben vagy teljesen résztvett a kommunikációban.

megbízható mûködés (trusted functionallity): Olyan mûködés, amelyet helyesnek érzékelünk bizonyos (pl. a biztonsági politika által elôírt) követelmények értelmében.

megszemélyesítés (masquerade): Egy entitás (személy, program, folyamat stb.) magát más entitásnak tünteti fel.

nyílt szöveg (cleartext): Olyan érthetô adat, amelynek szemantikai tartalma elérhetô.

passzív fenyegetés (passive threat): Az információ jogosulatlan nyilvánosságra hozásának veszélye a rendszer állapotának változása nélkül.

rejtjel megoldása (decipherment): A megfelelôen és visszafordíthatóan rejtjelezett szöveg nyílt szöveggé alakítása.

rejtjelezett szöveg (ciphertext): Rejtjelezés alkalmazásával elôállított adatok. A rejtjelezéssel nyert adatok szemantikai tartalma nem elérhetô. Megjegyzés: A rejtjelezett szöveg maga is lehet a rejtjelezés bemenete, így szuper-rejtjelezett szöveg állítható elô. Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.

22. oldal


rejtjelezés (encipherment): Az adat titkosírással történô átalakítása (lásd titkosírás) rejtjelezett szöveg elôállítása céljából. Megjegyzés: A rejtjelezés lehet visszafordíthatatlan, ahol a megfelelô rejtjelmegfejtési folyamatot nem lehet ésszerûen végrehajtani.

rendelkezésre állás (availability): Olyan tulajdonság, amely lehetôvé teszi, hogy a feljogosított entitás által támasztott igény alapján az adott objektum elérhetô és használható legyen.

szabály alapú biztonsági politika (rule-based security policy): Valamenyi használó számára kötelezô, általános szabályokon alapuló biztonsági politika. Ezen szabályok rendszerint az elérendô erôforrások érzékenységének összehasonlítására, a használói vagy a használói csoportok nevében tevékenykedô entitások megfelelô jellemzôinek ismeretére épülnek.

szakaszonkénti rejtjelezés (link-by-link encipherment): Az adatrejtjelezés egyedi alkalmazása a kommunikációs rendszer minden egyes szakaszában (lásd még: a végpontok közötti rejtjelezést). Megjegyzés: A szakaszonkénti rejtjelezés azt is magában foglalja, hogy az ismétlô entitásokban az adat nyíltszöveg alakjában lesz jelen.

szelektív mezôvédelem (selective field protection): Bizonyos mezôk védelme a továbbítandó üzenetben.

személyiségi jog (privacy): Az egyének joga arra, hogy ellenôrizzék vagy befolyásolják azt, hogy ki és milyen velük kapcsolatos információt gyûjthet és tárolhat, és ez az információ kinek hozható tudomására. Megjegyzés: A kifejezés az egyének jogaira hivatkozik, így nem lehet egészen pontos és használata kerülendô, kivéve mint a biztonságra vonatkozó igény motivációja.

szolgálat megtagadása (denial of service): Az erôforrásokhoz való feljogosított hozzáférés megakadályozása vagy az idôkritikus mûveletek késleltetése.



23. oldal

kriptoanalizis (cryptanalysis): Egy titkosírási rendszernek és/vagy a rendszer bemeneteinek és kimeneteinek elemzése bizalmi változók és/vagy nyílt szöveget is tartalmazó érzékeny adatok leszármaztatására.

társentitás-hitelesítés (peer-entity authentication): Annak megerôsítése, hogy egy társításkor a társentitás a kívánt entitás.

titkosírás, kriptográfia (cryptography): Olyan tudomány, amely az adatátalakítás elveit, eszközeit és módszereit foglalja magában, az adat információ-tartalmának elrejtése, fel nem ismert módosítása és/vagy jogosulatlan használata megakadályozásának céljából. Megjegyzés: A titkosírás a rejtjelezésre és a rejtjel megfejtésére használt módszereket határozza meg. A titkosírás elveivel, eszközeivel és módszereivel szembeni támadással a szövegelemzés foglalkozik.

titkosság, bizalmasság (confidentiality): Olyan tulajdonság, amely lehetôvé teszi, hogy az információ jogosulatlan egyének, entitások vagy folyamatok számára ne legyen elérhetô, vagy ne kerüljön nyilvánosságra.

titkosírási ellenôrzô érték (cryptographic checkvalue): Az adatelem titkosírással történô átalakításával (lásd: a titkosírás) képzett információ. Megjegyzés: Az ellenôrzô érték leszármaztatása egy vagy több lépésben végezhetô el. Az ellenôrzô érték a kulcs és az adatelem matematikai függvénye és többnyire az adatelem sértetlenségének ellenôrzésére használatos.

titkosírás megfejtés (decryption): Lásd a rejtjel megoldása.

titkosítás (encryption): Lásd: rejtjelezés.

végpontok közötti rejtjelezés (end-to-end enchiperment): Az adat rejtjelezése a forrásoldali végponton, a rejtjel megoldása a rendeltetési végponton történik (lásd még: szakaszonkénti rejtjelezés).


24. oldal


2.2. Az X.800 áttekintése Az OSI biztonságtechnikai architektúrájában biztonsági szolgálatokat és az ezen szolgálatokat megvalósító mechanizmusokat különböztet meg. A következôkben leírt biztonsági szolgálatok a biztonsági alapszolgálatok. A gyakorlatban ezeket a megfelelô rétegekben és megfelelô kombinációkban valósítják meg, rendszerint nem OSIszolgálatokkal és mechanizmusokkal együtt, a biztonsági politika és/vagy a használói követelmények teljesítése céljából. Bizonyos biztonsági mechanizmusok alkalmazhatók a biztonsági alapszolgálatok kombinációinak megvalósítására. A biztonsági rendszerek gyakorlati megoldásai a biztonsági alapszolgálatok bizonyos kombinációit közvetlen lehívás céljára is megvalósíthatják.

2.2.1

Biztonsági szolgálatok

A következôket tekintjük azoknak a biztonsági szolgálatoknak, amelyek az OSIreferenciamodell keretein belül nyújthatók.

2.2.1.1.

Hitelesítés

A hitelesítési szolgálatok helyileg tárolt információt és adatokat tartalmazó hitelesítési információt igényelnek, amelyet azután a hitelesítés elôsegítésére továbbítanak. Ezek a szolgálatok a kommunikáló társentitás és az adatforrás hitelesítésére szolgálnak a következôk szerint. •

Társentitás hitelesítése

Amikor az n-edik réteg látja el ezt a szolgálatot, akkor megerôsíti az (n+1)-edik rétegbeli entitást abban, hogy a társentitás a kívánt (n+1)-edik rétegbeli entitás. Ez a szolgálat az összeköttetés felépítésekor és esetenként az adatátvitel fázisának ideje alatt arra szolgál, hogy megerôsítse egy vagy több másik entitással összekapcsolt egy vagy több entitás azonosságát. Ez a szolgálat kizárólag alkalmazása (mûködtetése) idejére biztosítja azt, hogy valamelyik entitás ne kísérelhessen meg megszemélyesítést vagy egy elôzô összeköttetés jogosulatlan visszajátszását. Egyoldalú és kölcsönös társentitás-hitelesítési sémák lehetségesek a kommunikáció valóságos lefolyásának ellenôrzésével vagy anélkül, és ezek változó fokú biztonságot tudnak nyújtani. •

Az adat származásának hitelesítése

Amikor az n-edik réteg látja el ezt a szolgálatot, akkor megerôsíti az (n+1)-edik rétegbeli entitást abban, hogy az adatforrás a kívánt (n+1)-edik rétegbeli entitás. Az adatszármazást hitelesítô szolgálat az adatelem forrásának megerôsítésére szolgál. A szolgálat nem nyújt védelmet adatelemek kettôzése vagy módosítása ellen.



2.2.1.2.

25. oldal

Hozzáférés ellenôrzése

Ez a szolgálat látja el az OSI-n át elérhetô erôforrások jogosulatlan használata elleni védelmet. Ez lehet OSI és nem-OSI erôforrás, amelyet OSI protokollal lehet elérni. Ez a védelmi szolgálat alkamazható az erôforráshoz való valamennyi hozzáférés vagy különféle hozzáférések ellenôrzésére (kommunikációs erôforrás használata, információs erôforrás olvasása, írása vagy törlése, adatfeldolgozó erôforrás mûködtetése). A hozzáférés ellenôrzése legyen összhangban a különféle biztonsági politikákkal.

2.2.1.3.

Adattitkosság

Ezek a szolgálatok látják el az adatok jogosulatlan nyilvánosságra hozatal elleni védelmét a következôk szerint: •

Az összeköttetés alapú titkosság

Ez a szolgálat biztosítja az n-edik rétegbeli öszeköttetésen valamennyi n-edik rétegbeli adatelem titkosságát. Megjegyzés: A használattól és a rétegtôl függôen ez a szolgálat nem mindig alkalmas valamennyi adat, pl. gyorsított adat vagy összeköttetés-kérésben szereplô adat védelmére. •

Összeköttetés-mentes titkosság

Ez a szolgálat biztosítja egyetlen összeköttetés-mentes n-edik rétegbeli szolgálati adatelemben szereplô n-edik rétegbeli használói adat titkosságát. •

A szelektív mezôtitkosság

Ez a szolgálat gondoskodik az n-edik rétegbeli összeköttetésen vagy egyetlen összeköttetésmentes n-edik rétegbeli szolgálati SDU adatelemben szereplô n-edik rétegbeli használói adatok kiválasztott mezôinek titkosságáról. •

A forgalmi folyam titkossága

Ez a szolgálat látja el a forgalmi folyamatok megfigyelésébôl levezethetô információ védelmét.

2.2.1.4.

Adatsértetlenség

Ezek a szolgálatok az aktív fenyegetéseket hárítják el és a következô formák egyikét vehetik fel. Megjegyzés: Egy összeköttetésen a társentitás-hitelesítô szolgálat alkalmazása az összeköttetés kezdetén és az adatsértetlenség szolgálat az összeköttetés folyamán együttesen látja el az összeköttetésen át a továbbított adatelemek forrásának megerôsítését és ezen adatelemek


26. oldal


sértetlenségét, továbbá adatelem-kettôzés észlelésére is szolgálnak pl. sorszámozás alkalmazásával. •

Összeköttetés-sértetlenség visszatéréssel

Ez a szolgálat biztosítja az n-edik rétegbeli összeköttetésen valamennyi n-edik rétegbeli használói adat sértetlenségét és észleli (valamint megkíséreli helyreállítani) a teljes SDUszolgálati adatelem-sorozaton belüli bármely adatmódosítást, beiktatást, törlést vagy visszajátszást. •

Összeköttetés-sértetlenség visszatérés nélkül

Megegyezik az elôzôvel, de visszatérési kísérlet nélkül. •

Szelektív mezôkre vonatkozó összeköttetés alapú sértetlenség

Ez a szolgálat biztosítja az összeköttetésen át továbbított n-edik rétegbeli szolgálati SDUadatelem n-edik rétegbeli használói adatában szereplô kiválasztott mezôk sértetlenségét és alakilag azt állapítja meg, hogy a kiválasztott mezôket módosították-e, beiktatták-e, töröltéke vagy visszajátszották-e. •

Összeköttetés-mentes sértetlenség

Ez a szolgálat, ha az n-edik réteg nyújtja, a sértetlenséget biztosítja az azt kérô (n+1)-edik rétegbeli entitás számára. Ez a szolgálat biztosítja egyetlen összeköttetés-mentes szolgálati adatelem sértetlenségét és alakilag azt állapítja meg, hogy a vett szolgálati adatelem módosult-e. Ezenkívül korlátozott mértékben visszajátszás-észlelést is elláthat. •

Szelektív mezôkre vonatkozó öszeköttetés-mentes sértetlenség

Ez a szolgálat biztosítja egyetlen összeköttetés-mentes szolgálati SDU adatelemben a kiválasztott mezôk sértetlenségét és alakilag azt állapítja meg, hogy a kiválasztott mezôk módosultak-e.

2.2.1.5.

Letagadhatatlanság

Ez a szolgálat az alábbi két forma bármelyikét vagy mindkettôt veheti fel. •

Letagadhatatlanság származás bizonyítvánnyal

Az adat vevôjét ellátja az adat származásáról szóló bizonyítvánnyal. Ez az ellen véd, hogy az adó hamisan megkísérelje az adat vagy tartalma adásának letagadását. •

Letagadhatatlanság kézbesítésbizonyítvánnyal

Az adat adóját ellátja az adat kézbesítésérôl szóló bizonyítvánnyal. Ez az ellen véd, hogy a vevô megkísérelje az adat vagy tartalma vételének letagadását.



27. oldal

2.2.2. Biztonsági mechanizmusok A következô mechanizmusok a megfelelô n-edik rétegbe építhetôk be az 2.2. szakaszban leírt néhány szolgálat ellátása érdekében.

2.2.2.1.

Rejtjelezés

•

A rejtjelezés biztosítja vagy az adatra, vagy a forgalmi folyamatra vonatkozó információ titkosságát és szerepet játszhat több más biztonsági mechanizmusban, illetve kiegészítheti azokat. (Részletesebb ismertetô az IBMK 3. sz. mellékletében található.)

•

A rejtjelzô algoritmus lehet visszafordítható vagy visszafordíthatatlan. visszafordítható rejtjelezô algoritmusoknak két általános osztálya van:

A

a)

a szimmetrikus (azaz titkos kulcsú) rejtjelezés, amelyben az elrejtô (rejtjelezô) kulcs ismerete magában foglalja a rejtjelezést megfejtô kulcs ismeretét is és viszont,

b)

az aszimmetrikus (azaz nyilvános kulcsú) rejtjelezés, amelyben az elrejtô kulcs ismerete nem foglalja magában a megfejtô kulcs ismeretét és viszont. Ilyen rendszerekben a két kulcsot "nyilvános kulcsnak" és "magánkulcsnak" is nevezik.

A visszafordíthatatlan rejtjelezési algoritmusok mûködtethetôk kulccsal vagy anélkül. Amikor kulcsot alkalmaznak, akkor ez a kulcs lehet nyilvános vagy titkos is. •

A rejtjelezô algoritmus megléte magában foglalja egy kulcskezelô mechanizmus alkalmazását is, kivéve néhány visszafordíthatatlan rejtjelezô algoritmus esetét.

2.2.2.2.

Digitális aláírási mechanizmusok

Ezek a mechanizmusok két eljárást határoznak meg: a)

az adatelem aláírását és

b)

az aláírt adatelem igazolását.

Az elsô folyamat olyan információt használ, amely az aláíróra nézve magánjellegû (tehát saját és titkos). A második folyamat olyan eljárásokat és információt használ, amelyek nyilvánosan rendelkezésre állnak, azonban amelybôl az aláíró magáncélú információja nem származtatható le. •

Az aláírás folyamata vagy az adatelem rejtjelezését, vagy pedig az adatelem titkosírási ellenôrzô értékének az elôállítását tartalmazza, magánkulcsként felhasználva az aláíró magáninformációját.

•

Az igazolás folyamata a nyilvános eljárásoknak és információknak a felhasználását tartalmazza annak megállapítására, hogy az aláírás az aláíró magáninformációjának alkalmazásával készült-e.


28. oldal •


Az aláírási mechanizmus lényeges jellemzôje az, hogy az aláírás csak az aláíró magáncélú információjának felhasználásával állítható elô. Így, amikor az aláírást igazolják, akkor ezt követôen bármikor bebizonyosodik harmadik személy (pl. döntô bíró) számára is az, hogy csak a magáncélú információ birtokosa állíthatta elô az aláírást.

2.2.2.3.

Hozzáférést ellenôrzô mechanizmusok

•

Ezek a mechanizmusok használhatják az entitás hitelesített azonosságát, vagy az entitásra vontatkozó információt (pl. egy ismert entitáskészletben való tagságát), vagy az entitás képességeit az entitás hozzáférési jogainak megállapítása és érvényesítése céljából. Ha az entitás megkísérel olyan erôforrást használni, amelyre nincs jogosítva, vagy nem megfelelô típusú hozzáféréssel fordul a számára jogosult erôforráshoz, akkor a hozzáférést ellenôrzô funkció elutasítja ezt a kísérletet és még jelentést is adhat az eseményrôl riasztás és/vagy biztonsági átvilágítási naplóba történô feljegyzés készítése céljából. Az összeköttetés-mentes adatátvitel esetén az adó csak akkor kap értesítést a szolgáltatás visszautasításáról, ha azt a kezdeményezô ponton futó hozzáférésellenôrzés jelzi.

•

A hozzáférést ellenôrzô mechanizmus a következô egy vagy több eszköz felhasználásával mûködhet: a)

A hozzáférést ellenôrzô információbázis, amelyben a társentitások hozzáférési jogait tartják nyilván. Ezt az információt vagy a feljogosító központok, vagy az az entitás tarthatja fenn, amelyhez hozzá kívánnak férni, és képezhet hierarchikus vagy osztott szerkezetû hozzáférés-ellenôrzési listát vagy mátrixot. Ez azt feltételezi, hogy a társentitás-hitelesítés meg van oldva.

b)

Hitelesítô információ, pl. jelszó, amelynek birtoklása és ezt követô felmutatása a bizonyíték a hozzáférési entitás feljogosítottságára.

c)

Olyan képességek, amelyek birtoklása és ezt követô felmutatása, a képesség által meghatározott entitáshoz vagy erôforráshoz való hozzáférés jogát bizonyítja. Megjegyzés: A képesség legyen feltörhetetlen és legyen megbízható módon szállítva.

•

d)

Biztonsági címkék, amelyek, ha entitáshoz vannak rendelve, akkor alkalmazhatók a hozzáférés megadására vagy megtagadására, rendszerint egy biztonsági politika alapján.

e)

A hozzáférési kísérlet idôpontja.

f)

A megkísérelt hozzáférés útvonala.

g)

A hozzáférés idôtartama.

A hozzáférést ellenôrzô mechanizmusok alkalmazhatók a kommunikációs társítás bármelyik végpontján és/vagy közbensô pontján.

A kezdeményezô ponton vagy bármely közbensô ponton a hozzáférés ellenôrzését annak meghatározására alkalmazzuk, hogy az adó jogosult-e a vevôvel kommunikálni és/vagy a kívánt kommunikációs erôforrásokat használni.



29. oldal

A társszintû hozzáférést ellenôrzô mechanizmusok összeköttetés-mentes adatátvitel rendeltetési pontján érvényes követelményeit már elôre ismerni kell a kezdeményezô ponton, és fel kell jegyezni azt a biztonságot menedzselô információbázisban.

2.2.2.4.

Adatsértetlenségi mechanizmusok

•

Az adatsértetlenségnek a következô két szempontja van: egyetlen adatelem vagy mezô sértetlensége, illetve adatelem- vagy mezôsorozat sértetlensége. Általában ennek a kétféle sértetlenségi szolgálatnak az ellátására különbözô mechanizmusokat alkalmazunk, bár a második szolgálat ellátása az elsô nélkül nem célszerû.

•

Az adatelem-sértetlenség meghatározása két folyamatot foglal magában, egyet az adó entitásban és egyet a vevô entitásban. Az adó entitás olyan mennyiséget rendel az adatelemhez, amely magának az adatnak a függvénye. Ez a mennyiség lehet kiegészítô információ, mint pl. egy blokkellenôrzô kód, vagy egy titkosírásbeli ellenôrzési érték és lehet maga is rejtjelezve. A vevô entitás is elôállítja az ennek megfelelô mennyiséget és összeveti azt a vett mennyiséggel annak meghatározására, hogy az adatot a továbbítás során módosították-e. Önmagában ez a mechanizmus nem véd egyetlen adatelem visszajátszása ellen. Az architektúra megfelelô rétegeiben a közbeavatkozás észlelése visszatérési tevékenységet válthat ki (pl. ismétléssel vagy hibajavítással) az adott rétegben, vagy valamelyik felsôbb rétegben.

•

Összeköttetés alapú adattovábításban az adatelemsorozat sértetlenségének védelme (pl. sorrend megzavarása, adatvesztés, visszajátszás és adatbeiktatás illetve módosítás elleni védelem) valamilyen további explicit sorrendképzést igényel, pl. sorszámozást, idôbélyegzést, vagy titkosírásbeli láncolást.

•

Összeköttetés-mentes adattovábbításban az idôpecsét alkalmazható egyes adatelemek visszajátszás elleni védelmének korlátozott formájaként.

2.2.2.5. •

Hitelességcsere mechanizmus

A hitelesítés kölcsönös cseréjéhez alkamazható egyes módszerek a következôk: a)

olyan hitelesítési információ alkalmazása, pl. jelszóé, amelyet egy adó entitás szolgáltat és a vevô entitás ellenôriz,

b)

titkosírási eljárások,

c)

az entitás jellemzôinek és/vagy birtoklásának használata.

•

Társentitás hitelesítésének ellátására mechanizmusokat lehet beépíteni az n-edik rétegbe. Ha e mechanizmusoknak nem sikerül hitelesíteniük az entitást, akkor ez az összeköttetés elutasításához vagy lezárásához vezet, esetleg biztonsági átvilágítási naplót kezdeményez és/vagy a biztonságot menedzselô központba küldött jelentést eredményezhet.

•

Amikor titkosírási módszereket alkalmazunk, akkor azok kombinálhatók "kézfogás" protokollokkal a visszajátszás elleni védelemhez, például a kommunikáció "élôben léte" ellenôrzéséhez.


30. oldal •


A hitelesítéscsere módszerének megválasztása azoktól a körülményektôl függ, amelyekben azokat alkalmazzák. A következôk alkalmazhatók: a)

idôpecsét és szinkronozott órák,

b)

kétutas és háromutas kézfogás (egyoldalú, illetve kölcsönös hitelesítéshez) és

c)

a digitális aláírás és/vagy a közjegyzôi hitelesítés módszerével elérhetô letagadhatatlansági szolgálatok.

2.2.2.6.

Hamis forgalom mechanizmusa

A hamis forgalmat a forgalomelemzéssel szembeni különbözô szintû védelmek megvalósítására alkalmazzuk. Ez a mechanizmus csak akkor hatékony, ha a hamis forgalmat titkossági szolgálattal védik.

2.2.2.7.

Forgalomirányítást vezérlô mechanizmus

•

Az útirányok dinamikusan, vagy elôre elrendezve is kiválaszthatók olymódon, hogy azok csak fizikailag biztonságos részhálózatokat, ismétlôket vagy szakaszokat tartalmazzanak.

•

Tartós közbeavatkozási támadás észlelésekor a végrendszer utasíthatja a hálózati szolgálatot, hogy egy másik, az eddigitôl eltérô, úton át építsen fel egy másik összeköttetést.

•

A biztonsági politika megtilthatja bizonyos biztonsági címkét viselô adatoknak azt, hogy bizonyos részhálózatokon, ismétlôkön vagy szakaszokon áthaladjanak. Egy öszeköttetés kezdeményezôje (vagy az összeköttetésmentes adatelem adója) elôírhat olyan forgalomirányítási utasításokat, amelyek azt igényelhetik, hogy az adatok bizonyos alhálózatokat, szakaszokat vagy ismétlôket elkerüljenek.

2.2.2.8.

Közjegyzôi hitelesítési mechanizmus

Két vagy több entitás között cserélt adat tulajdonságai, mint pl. sértetlensége, származása, keletkezési idôpontja és rendeltetési helye közjegyzôi hitelesítési mechanizmussal biztosíthatók. Ezt a biztosítást a harmadik félként szereplô közjegyzô látja el, amelyben a kommunikáló entitások megbíznak, és amely megtartja a szükséges infomációt, hogy a szükséges bebiztosítást tanusítható módon lássa el. A kommunikáció minden egyes esete használhat digitális aláírást, rejtjelezési és sértetlenségi mechanizmusokat a közjegyzô által nyújtott szolgálatnak megfelelôen. Amikor ilyen közjegyzôi hitelesítési mechanizmust lehívunk, akkor a két kommunikáló entitás között a védett kommunikáción és közjegyzôi hitelesítésen keresztül kerül sor az adatcserére.



31. oldal

2.2.3. Átfogó összbiztonságtechnikai mechanizmusok Ez a szakasz több olyan mechanizmust ismertet, amely nem csak egy adott szolgálatra jellemzô, hanem a szervezet egészére, ezért összbiztonságot erôsítô mechanizmusoknak nevezhetjük (ennek részletes kifejtése és más szempontok szerinti megközelítése az IBMK 1.sz. mellékletében található). Egyes ilyen átfogó összbiztonsági mechanizmusok az adatvédelmi menedzselés szempontjaiként kezelhetôk. Ezeknek a mechanizmusoknak a fontossága általában közvetlenül a biztonság kívánt szintjével függ össze.

2.2.3.1.

Bizalmi funkciók

•

Bizalmi funkciókat lehet használni más mechanizmusok hatáskörének kiterjesztése, vagy hatékonyságának javítása céljából. Bármelyik funkciókészletnek, amelyik közvetlenül ellátja vagy hozzáférést nyújt biztonsági mechanizmushoz, megbízhatónak kell lennie.

•

A bizalom hardverekbe és szoftverekbe fektetésének eljárásai e szabvány tárgykörén kívül vannak és minden esetben a veszélyességi szinttôl és a védendô információ értékétôl függôen változnak.

•

Ezek az eljárások általában költségesek és nehezen megvalósíthatók. A nehézségek csökkenthetôk olyan architektúra választásával, amely lehetôvé teszi a biztonsági funkciók megvalósítását olyan modulokban, amelyek más, nem-biztonsági funkcióktól elkülöníthetôk, de ilyenekbôl elláthatók.

•

Azon réteg felett, amelyre a védelmet érvényesítjük, a társítások védelmét más eszközökkel, például megfelelô bizalmi funkciókkal kell ellátni.

2.2.3.2.

Biztonsági címkék

Adategységeket is beleértve az erôforrásoknak hozzájuk rendelt biztonsági címkéjük is lehet, pl. érzékenységi szintjük megjelölésére. Gyakran szükség lehet arra, hogy az adattal együtt a biztonsági címkét is továbbítsuk. A biztonsági címke lehet a továbbított adaton kívüli kiegészítô adat, vagy lehet implicit, pl. benne lehet az adat rejtjelezéséhez használt sajátos kulcsban, vagy az adat tartalmában, mint annak forrása vagy útvonala. Az explicit biztonsági címkének világosan azonosíthatónak kell lennie annak érdekében, hogy megfelelôen ellenôrizhetô legyen. Ezenkívül biztonságosan legyen ahhoz az adathoz rögzítve, amelyhez hozzárendelték.

2.2.3.3. •

Esemény észlelése

A biztonsággal kapcsolatos esemény észlelése a biztonság látható megsértéseinek észlelését foglalja magában és tartalmazhatja rendes események észlelését is pl. egy sikeres hozzáférését. A biztonsággal kapcsolatos eseményeket OSI-n belüli entitások észlelhetik, a biztonsági mechanizmusokat is beleértve. Annak a meghatározását, hogy


32. oldal


mi képez eseményt, az eseménykezelô menedzselés tartja karban. A különféle biztonsággal kapcsolatos események észlelése például egy vagy több tevékenységet eredményezhet a következôk közül: −

az eseményrôl helyi jelentés készül,

−

az eseményrôl távoli jelentés készül,

−

az eseményt naplózzák,

−

visszatérési tevékenységet végeznek.

Példa biztonsággal kapcsolatos eseményre:

•

−

a biztonság sajátos megsértése,

−

kiválasztott esemény és

−

túlcsordulás az elôfordulások számának számlálásában.

E terület szabványosítása figyelembe veszi majd az érvényes információ továbbítását az eseményrôl szóló jelentésben és naplóban, valamint az ezek átviteléhez használandó szintaktikai és szemantikai meghatározást.

2.2.3.4.

Biztonsági átvilágítási napló

•

A biztonsági átvilágítási napló értékes biztonsági mechanizmust jelent, mert lehetôvé teszi a biztonság megsértésének észlelését és kivizsgálását azzal, hogy megengedi az eseteket követô biztonsági átvilágítást. A biztonsági átvilágítás a rendszerfeljegyzések és tevékenységek független áttekintése és vizsgálata annak érdekében, hogy megállapítsa a rendszerszabályozások megfelelôségét, hogy a felállított politika és az üzemviteli eljárás megfelelôségét szavatolja, hogy segítse a kárbecslést és változtatásokat javasoljon az ellenôrzésben, a politikában és az eljárásokban. A biztonsági átvilágítás azt igényli, hogy a biztonsággal kapcsolatos információkat biztonsági átvilágítási naplóban rögzítsék és hogy elemzés és jelentés készüljön az átvilágítási napló felhasználásával. A naplózást és a regisztrálást biztonsági mechanizmusokként kezeljük és ebben a fejezetben adjuk meg, míg az elemzés és a jelentés elôállítását biztonsági menedzselési funkciónak tekintjük.

•

A biztonsági átvilágítási napló információinak gyûjtése oly módon illeszthetô a különféle követelményekhez, hogy elôírjuk a regisztrálandó és a biztonsággal kapcsolatos események típusait (pl. a biztonság látható megsértése, sikeres mûveletek befejezése). A biztonsági átvilágítási napló ismert megléte elriaszthatja a biztonsági támadások egyes lehetséges forrásait.

•

Az OSI biztonsági átvilágítási napló szempontjai figyelembe veszik azt, hogy esetenként milyen információt kell naplózni, milyen körülmények között naplózzuk ezt az információt, és az adatvédelmi átvilágítási napló információinak kicserélésére milyen szintaktikai és szemantikai meghatározást alkalmazunk.



2.2.3.5. •

33. oldal

Biztonsági visszatérés

A biztonsági visszatérés olyan mechanizmusoktól érkezô kérésekkel foglalkozik, mint pl. az eseménykezelési és menedzselési funkciók és bizonyos szabályok alkalmazásának eredményeképpen visszatérési tevékenységeket hajt végre. Ezek a visszatérési tevékenységek háromfélék lehetnek: −

azonnaliak,

−

idôlegesek és

−

tartósak.

Példa: Az azonnali tevékenységek a mûvelet azonnali félbeszakítását (például szétkapcsolást) okozhatják. Az idôleges tevékenységek az entitás idôleges érvénytelenítését eredményezhetik. Tartós tevékenység eredményeként valamelyik entitás feketelistára kerülhet, vagy valamelyik kulcs megváltozhat. •

A szabványosítás területeit képezik a visszatérési tevékenységekhez és a biztonsági visszatérés menedzseléséhez alkalmazandó protokollok.

2.3. A biztonsági szolgálatok és mechanizmusok összefüggéseinek bemutatása A következô táblázat azt mutatja be, hogy melyik mechanizmus tekinthetô egyedül vagy másokkal együtt megfelelônek az egyes szolgálatok megvalósításához. Ez a táblázat áttekintést ad az összefüggésekrôl, de nem meghatározó. Az összefüggéseket részletesebben az IBMK 4. sz. melléklete tárgyalja.


34. oldal


Mechanizmusok Rejtjelezés

Digitális aláírás

I I * I

I I * *

Hozzáférés ellenôrzése * * I *

I

*

*

*

*

*

I

*

I I I

* * *

* * *

* * *

* * *

* * I

I * I

* * *

I

*

*

I

*

*

*

*

I

*

*

I

*

*

*

*

I

I

*

I

*

*

*

*

I

I

*

I

*

*

*

*

*

I

*

I

*

*

*

I

*

I

*

I

*

*

*

I

Szolgálatok Társentitás-hitelesítés Adatszármazás-hitelesítés Hozzáférés ellenôrzése Összeköttetés alapú titkosság Összeköttetés-mentes titkosság Szelektív mezôtitkosság Forgalmi folyam titkossága Összeköttetés-sértetlenség visszatéréssel Összeköttetés-sértetlenség visszatérés nélkül Szelektív mezôkre vonatkozó összeköttetés alapú sértetlenség Összeköttetés-mentes sértetlenség Szelektív mezôkre vonatkozó összeköttetésmentes sértetlenség Letagadhatatlanság származás-bizonyítvánnyal Letagadhatatlanság kézbesítés-bizonyítvánnyal

Adat sértetlenség

Hamis forgalom

* * * *

Hitelesség csere I * * *

* * * *

Forgalom irányítás * * * I

Közjegyzôi hitelesítés * * * *

Jelmagyarázat: I Igen; a mechanizmus megfelelônek tekinthetô akár önállóan, akár más mechanizmusokkal együtt. * A mechanizmus nem áll rendelkezésre. Megjegyzés (az igenhez): egyes elôfordulásokban a mechanizmus a megfelelô szolgálat ellátásához szükségesnél többet teljesít, mindazonáltal az adott célra használható marad.


Informatikai biztonsági módszertani kézikönyv

Recommend Documents