Таксономия причин возникновения ПББ



 

 

 


Рис.1. Причины нарушения безопасности ИС


1. Выбор модели безопасности, неподходящей существующей ИС.

Модель безопасности должна соответствовать:

- требованиям к безопасности ИС;

- принятым в ИС правилам обработки информации;

- архитектуре ОС.

Разработчики ОСупрощаютмодели безопасности под ОС:

- искажается модель безопасности;

- не учитывается специфика ИС;

- не достигается требуемый уровень ИБ.


2. Неправильная реализация модели безопасности (наиболее вероятная причина):

- модель безопасности выбрана верно;

- но неудачное применение модели в ОС из-за:

- свойств модели,

- характеристик ОС.

Примерами может быть:

- недостаточное ограничение доступа к критичным для безопасности ОС:

- системным службам,

- объектам;

- введение для привилегированных процессов исключений из правил разграничения доступа.


3. Отсутствие полноты идентификации и аутентификации субъектов.

Во многих ОС (Unix, Netware, Windows) идентификация и аутентификация субъектов недоработаны:

- субъект может:

- выдать себя за другого субъекта;

- воспользоваться чужими полномочиями для доступа к информации;

- в Netware не выполняется аутентификация других компьютеров;

- в базовой ОС Unix база паролей пользователей:

- общедоступна,

- зашифрована простым алгоритмом шифрования (DES);

- сетевые службы ОС Unix для совместимости не используют аутентификацию.


4. Отсутствие контроля целостности средств ЗИ.

В ОС слабо контролируетсяцелостностьфункций ЗИ:

- системное ПО может выполняться с повышенным уровнем полномочий;

- такие процессы являются потенциальной брешью в системе ЗИ;

- требуется их проверка при установке в ОС;

- требуется постоянный контроль их целостности.

Множествокритичного ПО должно быть ограничено:

- чтобы соблюдался принцип минимальной достаточности полномочий;

- функции ЗИ и целостности должны реализовываться в ядре ОС.


 

5. Ошибки реализации систем ЗИ возникают из-за того, что:

- не существуют технологий программирования, производящих ПО без ошибок;

- не полностью тестируются функции ЗИ.

6. Ошибки администратора:

- управляющего средствами ЗИ;

- способного по неграмотности совершать ошибки.


7. Средства отладки и тестирования в готовом ПО предоставляют отладочные возможности:

- отладочная информация в программе sendmail;

- встроенные отладчики в ОС.

Отладочные возможности добавляются из-за того, что:

- ПО становятся более сложными;

- ПО сложно отладить в тестовой лаборатории;

- диагностика позволит выявить причины ошибок при эксплуатации.


Взаимосвязь таксономии причин нарушения безопасности и таксономии ПББ

Взаимосвязь между классификациями:

- причин возникновения ПББ и

- источников (методы реализации причины) возникновения ПББ

показана на рис.2.

Наибольшее количество ПББслучается из-за:

- неправильного внедрения модели безопасности;

- ошибок в ходе реализации ПО.


 

 


Рис.2. Взаимосвязь причин и

источников возникновения ПББ


 

 

Взаимосвязь:

- причин возникновения ПББ и

- классификации ПББ по этапам внедрения

представлена на рис.3.

 

Основные причинынарушения ИБ закладываются:

- на этапе разработки,

- на стадии задания спецификаций.


 

 

 


Рис.3. Взаимосвязь причин возникновения ПББ и классификации ПББ по этапам внедрения


Дата добавления: 2018-10-26; просмотров: 158; Мы поможем в написании вашей работы!

Поделиться с друзьями:






Мы поможем в написании ваших работ!