Betrodt system - Trusted system

I säkerhetssystem subspecialty av datavetenskap , en betrodd systemet är en som åberopas för att en viss utsträckning för att genomdriva en viss säkerhetspolitiken . Detta motsvarar att säga att ett pålitligt system är ett system vars misslyckande skulle bryta mot en säkerhetspolicy (om det finns en policy som systemet är betrodd att tillämpa).

Ordet "förtroende" är kritiskt, eftersom det inte bär den betydelse som kan förväntas i vardagligt bruk. Ett betrodt system är ett som användaren känner sig trygg att använda och litar på att utföra uppgifter utan att i hemlighet utföra skadliga eller obehöriga program. betrodda datorer hänvisar till om program kan lita på att plattformen är oförändrad från förväntat, och om dessa program är oskyldiga eller skadliga eller om de utför uppgifter som är oönskade av användaren.

Ett betrodt system kan också ses som ett nivåbaserat säkerhetssystem där skydd tillhandahålls och hanteras]] d enligt olika nivåer. Detta är vanligt förekommande i militären, där informationen kategoriseras som oklassificerad (U), konfidentiell (C), hemlig (S), högsta hemlig (TS) och bortom. Dessa tillämpar också principerna om ingen uppläsning och ingen nedskrivning.

Betrodda system för sekretessbelagd information

En delmängd av betrodda system ("Division B" och "Division A") implementerar obligatoriska åtkomstkontrolletiketter (MAC), och som sådan antas det ofta att de kan användas för behandling av sekretessbelagd information . Detta är emellertid i allmänhet osant. Det finns fyra lägen där man kan använda ett säkert säkerhetssystem på flera nivåer: flernivåer, fack, dedikerade och systemhöga lägen. National Computer Security Center's "Yellow Book" anger att B3- och A1 -system endast kan användas för behandling av en strikt delmängd av säkerhetsetiketter, och endast när de används enligt en särskilt strikt konfiguration.

Centralt i begreppet amerikanska försvarsdepartementets betrodda system är tanken på en " referensmonitor ", som är en enhet som upptar systemets logiska hjärta och ansvarar för alla beslut om åtkomstkontroll. Helst är referensmonitorn

• manipuleringssäker
• alltid åberopat
• tillräckligt liten för att bli föremål för oberoende tester, vars fullständighet kan garanteras.

Enligt US National Security Agency 1983 Trusted Computer System Evaluation Criteria (TCSEC), eller "Orange Book", definierades en uppsättning "utvärderingsklasser" som beskrev de funktioner och försäkringar som användaren kan förvänta sig av ett betrodd system.

Hängivenheten för betydande systemteknik för att minimera komplexiteten (inte storleken , som ofta citeras) för den pålitliga databasen (TCB) är nyckeln till att tillhandahålla de högsta säkerhetsnivåerna (B3 och A1). Detta definieras som den kombination av hårdvara, programvara och fast programvara som är ansvarig för att säkerställa systemets säkerhetspolicy. En inneboende ingenjörskonflikt tycks uppstå i högre säkerhetssystem genom att ju mindre TCB, desto större uppsättning hårdvara, programvara och firmware som ligger utanför TCB och därför inte är betrodd. Även om detta kan leda de mer tekniskt naiva till sofisternas argument om förtroendets natur, förväxlar argumentet frågan om "riktighet" med "trovärdighet".

TCSEC har en exakt definierad hierarki med sex utvärderingsklasser; den högsta av dessa, A1, är fullständigt identisk med B3 - skiljer sig bara i dokumentationsstandarder. Däremot ger de nyligen införda Common Criteria (CC), som härrör från en blandning av tekniskt mogna standarder från olika NATO- länder, ett tufft spektrum av sju "utvärderingsklasser" som blandar funktioner och försäkringar på ett icke-hierarkiskt sätt, och saknar TCSEC: s precision och matematiska striktion. I synnerhet tolererar CC mycket lös identifiering av "utvärderingsmål" (TOE) och stödjer-till och med uppmuntrar-en blandning av säkerhetskrav som hämtats från en mängd fördefinierade "skyddsprofiler". Även om ett fall kan göras att även de till synes godtyckliga komponenterna i TCSEC bidrar till en "kedja av bevis" om att ett fältsystem på ett korrekt sätt verkställer sin annonserade säkerhetspolicy, kan inte ens den högsta (E7) nivån på CC verkligen ge analog konsistens och skärpt bevisning.

De matematiska föreställningarna om betrodda system för skydd av sekretessbelagd information härrör från två oberoende men sammanhängande arbetsföretag. 1974 utarbetade David Bell och Leonard LaPadula från MITER, under teknisk vägledning och finansiell sponsring av maj. Roger Schell, Ph.D., från US Army Electronic Systems Command (Fort Hanscom, MA) Bell-LaPadula-modellen , där ett pålitligt datorsystem modelleras när det gäller objekt (passiva förråd eller destinationer för data som filer, skivor eller skrivare) och ämnen (aktiva enheter som får information att flyta mellan objekt, t.ex. användare, eller systemprocesser eller trådar som fungerar på för användarnas räkning). Hela driften av ett datasystem kan verkligen betraktas som en "historia" (i serialiserbarhetsteoretisk bemärkelse) av informationsbitar som strömmar från objekt till objekt som svar på försökspersonalens önskemål om sådana flöden. Samtidigt publicerade Dorothy Denning vid Purdue University sin doktorsexamen. avhandling, som handlade om "gitterbaserade informationsflöden" i datorsystem. (Ett matematiskt "gitter" är en delvis ordnad uppsättning , karakteriserbar som en riktad acyklisk graf , där förhållandet mellan två hörn antingen "dominerar", "domineras av" eller inte heller.) Hon definierade en generaliserad uppfattning om "etiketter "som är knutna till enheter - som mer eller mindre motsvarar de fullständiga säkerhetsmärkena man stöter på klassificerade militära dokument, t.ex. TOP SECRET WNINTEL TK DUMBO. Bell och LaPadula integrerade Dennings koncept i sin landmärke MITER -tekniska rapport - med titeln Secure Computer System: Unified Exposition and Multics Interpretation . De uppgav att etiketter fästa på objekt representerar känsligheten hos data som finns i objektet, medan de som är fästa på ämnen representerar tillförlitligheten hos användaren som utför ämnet. (Det kan dock finnas en subtil semantisk skillnad mellan datakänsligheten i objektet och själva objektets känslighet.)

Begreppen är förenade med två egenskaper, den "enkla säkerhetsegenskapen" (ett ämne kan bara läsa från ett objekt som det dominerar [ är större än vad som är nära, om än matematiskt oprecist, tolkning]) och "inneslutningsegenskapen" eller " *-property "(ett ämne kan bara skriva till ett objekt som dominerar det). (Dessa egenskaper kallas löst för "ingen avläsning" respektive "ingen nedskrivning".) Dessa egenskaper säkerställer gemensamt att information inte kan flöda "nedför" till ett förråd där otillräckligt pålitliga mottagare kan upptäcka den. I förlängningen, förutsatt att etiketterna som tilldelas ämnen verkligen är representativa för deras trovärdighet, räcker det med att inga uppläsnings- och inga nedskrivningsregler som strikt efterlevs av referensmonitorn för att begränsa trojanska hästar , en av de mest allmänna klasserna av attacker ( sciz. , de populärt rapporterade maskarna och virusen är specialiseringar av det trojanska hästkonceptet).

Bell-LaPadula-modellen upprätthåller tekniskt bara kontroller av "konfidentialitet" eller "sekretess", det vill säga de tar upp problemet med föremålens känslighet och tillhörande trovärdighet för att inte avslöja det på ett olämpligt sätt. Det dubbla problemet med "integritet" (dvs. problemet med noggrannhet, eller till och med objektens ursprung) och tillhörande trovärdighet för ämnen för att inte på ett olämpligt sätt modifiera eller förstöra det, behandlas av matematiskt affina modeller; den viktigaste är uppkallad efter sin skapare, KJ Biba . Andra integritetsmodeller inkluderar Clark-Wilson-modellen och Shockley och Schells programintegritetsmodell, "The SeaView Model"

En viktig egenskap hos MAC: er är att de helt och hållet kan kontrolleras av alla användare. TCB fäster automatiskt etiketter till alla ämnen som körs på användarnas vägnar och filer som de får åtkomst till eller ändrar. I kontrast, en ytterligare klass av kontroller, benämnda godtyckliga åtkomstkontroller (DAC), är under direkt kontroll av systemanvändare. Kända skyddsmekanismer som tillståndsbitar (som stöds av UNIX sedan slutet av 1960 -talet och - i en mer flexibel och kraftfull form - av Multics sedan tidigare fortfarande) och åtkomstkontrollista (ACL) är bekanta exempel på DAC: er.

Beteendet hos ett pålitligt system kännetecknas ofta av en matematisk modell. Detta kan vara strikt beroende på tillämpliga operativa och administrativa begränsningar. Dessa tar formen av en finit tillståndsmaskin (FSM) med statliga kriterier, statliga begränsningar övergångs (en uppsättning av "operationer" som motsvarar tillståndsövergångar), och en beskrivande toppnivå specifikationen , DTLS (innebär ett användar förnimbar gränssnitt sådan som ett API , en uppsättning systemanrop i UNIX eller systemutgångar i stordatorer ). Varje element i det ovannämnda ger en eller flera modelloperationer.

Betrodda system för betrodda datorer

The Trusted Computing Group skapar specifikationer som är avsedda att tillgodose särskilda krav för betrodda system, inklusive intyg om konfiguration och säker lagring av känslig information.

Betrodda system för policyanalys

I samband med nationell eller hemlandssäkerhet , brottsbekämpning eller social kontrollpolitik ger betrodda system villkorade förutsägelser om beteendet hos människor eller objekt innan de godkänner tillgång till systemresurser. Till exempel omfattar betrodda system användningen av "säkerhetskuvert" i nationella säkerhets- och terrorbekämpningsprogram, " pålitliga beräkning " -initiativ inom teknisk systemsäkerhet och kredit- eller identitetspoängsystem i finansiella och bedrägeribekämpningsprogram. I allmänhet inkluderar de alla system där

• sannolikhetshot eller riskanalys används för att bedöma "förtroende" för beslutsfattande innan tillåtelse tillåts eller för att allokera resurser mot troliga hot (inklusive deras användning vid utformning av systembegränsningar för att kontrollera beteende inom systemet); eller
• avvikelseanalys eller systemövervakning används för att säkerställa att beteendet inom systemen överensstämmer med förväntade eller godkända parametrar.

Det utbredda antagandet av dessa auktoriseringsbaserade säkerhetsstrategier (där standardstaten är DEFAULT = DENY) för terrorism, bedrägeribekämpning och andra ändamål hjälper till att påskynda den pågående omvandlingen av moderna samhällen från en tänkt Beccarian straffrättslig modell baserad på ansvarsskyldighet för avvikande handlingar efter att de inträffat - se Cesare Beccaria , Om brott och straff (1764) - till en Foucauldian -modell baserad på auktorisation, förberedelse och allmän social efterlevnad genom allestädes närvarande förebyggande övervakning och kontroll genom systembegränsningar - se Michel Foucault , Discipline and Punish (1975, Alan Sheridan , tr., 1977, 1995).

I denna framväxande modell är "säkerhet" inte inriktad på polis utan på riskhantering genom övervakning, informationsutbyte, granskning , kommunikation och klassificering . Denna utveckling har lett till allmänna bekymmer om individuell integritet och civil frihet , och till en bredare filosofisk debatt om lämpliga metoder för social styrning.

Betrodda system i informationsteori

Betrodda system inom informationsteorin bygger på följande definition: "Tillit är det som är väsentligt för en kommunikationskanal men inte kan överföras från en källa till en destination med den kanalen" av Ed Gerck.

Inom informationsteori har information ingenting att göra med kunskap eller mening; det är helt enkelt det som överförs från källa till destination, med hjälp av en kommunikationskanal. Om informationen före överföringen är tillgänglig på destinationen, är överföringen noll. Information som mottas av en part är den som partiet inte förväntar sig - mätt med partiets osäkerhet om vad meddelandet kommer att vara.

På samma sätt har förtroende enligt definitionen av Gerck inget att göra med vänskap, bekanta, förhållanden mellan anställda och arbetsgivare, lojalitet, svek och andra alltför varierande begrepp. Förtroende tas inte heller i rent subjektivt bemärkelse, inte heller som en känsla eller något rent personligt eller psykologiskt - förtroende förstås som något potentiellt överförbart. Denna definition av förtroende är vidare abstrakt, vilket gör att olika instanser och observatörer i ett betrodd system kan kommunicera baserat på en gemensam idé om förtroende (annars skulle kommunikation isoleras på domäner), där alla nödvändigtvis olika subjektiva och intersubjektiva insikter om förtroende i varje delsystem (man och maskiner) kan samexistera.

Sammantaget i modellen för informationsteori, "information är vad du inte förväntar dig" och "förtroende är vad du vet". Länka båda begreppen, är förtroende ses som "kvalificerad tillit till mottagen information". När det gäller betrodda system kan ett påstående om förtroende inte baseras på själva posten, utan på information från andra informationskanaler. Fördjupningen av dessa frågor leder till komplexa uppfattningar om förtroende, som har studerats noggrant i samband med affärsrelationer. Det leder också till uppfattningar om information där informationens "kvalitet" integrerar förtroende eller trovärdighet i strukturen för själva informationen och informationssystemet (erna) där den är tänkt - högre kvalitet när det gäller särskilda definitioner av noggrannhet och precision betyder högre trovärdighet.

Ett exempel på förtroendeberäkningen är "Om jag ansluter två betrodda system, är de mer eller mindre betrodda när de tas ihop?".

Den IBM Federal Software Group har föreslagit att "förtroende punkter" ge den mest användbara definitionen av förtroende för tillämpning i en IT-miljö, eftersom det är relaterat till andra informationsteori begrepp och ger en grund för att mäta förtroende. I en nätverkscentrerad företagstjänstmiljö anses en sådan föreställning om förtroende vara nödvändig för att uppnå önskad samarbetsvillig, serviceinriktad arkitekturvision.

Se även

• Noggrannhet och precision
• Datorsäkerhet
• Datakvalitet
• Informationskvalitet
• Betrodda datorer

Referenser

externa länkar

• Global Information Society Project - ett gemensamt forskningsprojekt