SECURITATEA ECHIPAMENTELOR

1
SECURITATEA ECHIPAMENTELOR
2
Vulnerabilitatile produselor

• Software (Sisteme de operare, drivere, aplicatii)
  
• Ouale de Paste EASTER EGGS - (www.eeggs.com)
• Trape (BACK DOORS)
• Puncte de testare in program
• Compilatoare
• Hardware
• Instructiuni nedocumentate
• Pini utilizati pentru testare
• Puncte de testare pe linia de fabricatie
• Subrutine nedocumentate
• Functii nedocumentate
• Aparatura telefonica microfon alimentat cu
  receptorul in furca

3
Vulnerabilitatile produselor

• Configuratia sistemului
• Configuratia prin default securitate minima
• trebuie configurat conform politicii de
  securitate
• Inginerii sociale
• Determine un utilizator sa execute un soft rau
  voitor (malicious code)
• Determine utilizatorii sa dezvaluie parola de
  acces, PIN-ul cartii de credit etc.
• Alegerea parolei

4
Vulnerabilitatile produselor

• FIRST Forum of Incident Response and Security
  Teams Departament of Energy
• www.first.org
• CERT Computer Emergency Response Team
  www.cert.org, www.us-cert.gov
• NIST National Institut for Standards and
  Technologies www.nist.gov

5
Arhitecturi de incredere
6
Accesul la resursele sistemului- exploatare
vulnerabilitati -
Firmware
7
Nucleul de securitate

• Definirea si organizarea
• o parte identificabila a nucleului resp. cu
  securitatea

8
Nucleul de securitate principii (1)

• Izolat de restul sistemului (nivel independent)
• Clar delimitat
• Protejat fizic
• Protejat logic - la intruziunea proceselor,
  utilizatorilor si a aplicatiilor (ruleaza in
  blocuri diferite)
• Cerinta de integritate a sistemului cade
  ultimul
• Nu este protejat la atacul cu cai troieni
• Evitarea baypas ului procesele si utilizatorii
  trebuie sa treaca prin nucleul de securitate
  pentru a accesa hardul.
• Exceptiile trebuie evidentiate si asumate prin
  politica de securitate

9
Nucleul de securitate principii (2)

• Clauza de asigurare demonstreaza rezistenta la
  atacuri
• Probeaza utilizarea in conditii extreme de mediu
  (nu se ia in calcul atacul cu bombe logice)
• Documentarea nucleului suport pt. analize si
  verificari
• Setul de teste probeaza functionarea conform cu
  doc.
• Testele de penetrare rapoartele de testare
• Metodele formale de verificare
• Certificarea de evaluatori acreditati - implica
  autoritati
• Principiul de minimizare executa numai sarciile
  strict necesare
• Principile de proiectare a sistemelor in conditii
  de siguranta
• Hardware zonarea memoriei, rularea in domenii
  etc.
• Software proiectare in limbaj de asamblare,
  compilatoare specializate avizate pt. securitatea
  inf.

10
Sisteme de operare securizate

• Conceptul KSOS (Kernelized Secure OS)

11
Platforme de incredere (TCB)

• Conceptul -Trusted Computing Base (TCB) - o
  combinatie hard si soft care permite extinderea
  nucleului de securitate la o parte din sistem
• TCB poate fi distribuit (componente la distanta)
• Se defineste o ierarhie de incredere se
  exporta servicii numai nivelelor alaturate si
  numai de la nivele mai ridicate.

Acopera o mare parte din sistem
Este usor de probat
12
Evaluarea produselor de securitate

• Standarde de evaluare
• Metodologii de evaluare
• Autoritati de evaluare laboratoare
  specializate
• Standarde de evaluare
• Orange Book editata de DoD in 1987
• ITSEC dezvoltate in Europa si Canada
• TCSEC
• Criteriile Comune ISO 15408 1999 realizat
  cu colaborarea NSA si NIST din SUA

13
ARHITERCTURIModele (teoretice) de securitate
14
Modele de securitate

• Modelul de securitate abstractizeaza elementele
  esentiale pentru analiza. Analiza nu discuta
  aspectele particulare - se concentreaza pe
  aspectele caracteristice.
• Modele axate pe confidentialitate
• Modele axate pe integritate
• Modele axate pe disponibilitate
• Modele mixte integritate si confodentialitate

15
Securitatea axata pe confidentialitate

• Se asigura ca informatia poate circula numai pe
  acelasi nivel de clasificare sau la nivele
  superioare
• Reglementeaza drepturile si regulile de acces
  functie de
• nivelul de verificare (incredere) al subiectilor
  (oameni sau procese)
• nivelul de clasificare al obiectelor

16
Securitate orientata pe confidentialitateModelul
Bell-La Padula

• Model de inspiratie militara realizat in cadrul
  DoD la inceputul anilor 1970
• Modelul care a inspirat sistemele de operare
  (Unix, Windows) si normele de evaluare a
  securitatii sistemelor de calcul Orange Book
  care sta la baza standardelor actuale (Common
  Criteria)
• Formalizeaza si simplifica procesele din
  sistemele de calcul in genul in care o face
  modelul masinii Turing pentru sistemele de
  calcul
• Defineste si formalizeaza datele de intrare
  subiectii si obiectele si atributele lor

17
Formalizarea mediului de lucru

• Defineste entitatile ce intervin in proces
• Subiectii entitati active care genereaza cereri
  de acces (utilizatori umani sau procese)
• Obiectele entitati pasive care se lasa
  examinate in urma aprobarii cererii de acces
  (fisiere, date, procese)
• Defineste etichetele de securitate (se aplica
  subiectilor si obiectelor)
• Nivelele de securitate (senzitivitate) 1n cu o
  relatie de ordine stricta (ex. strict secret,
  secret, confidential, restricted)
• Categoriile de securitate (natura activitatii,
  apartenenta, need to know etc.) pe categoriile de
  securitate se defineste relatia de incluziune
  care defineste o structura de latice pe multimea
  activitatilor
• Politica de securitate

18
Relatia de dominare a etichetelor
SECRET
NATO
NASA
ARMY
NAVY
E 1 -
CONFIDENTIAL
NATO
NASA
NAVY
E 2 -
Senzitivitatea
SECRET gt CONFIDENTIAL
NATO, NASA, ARMY, NAVY
NATO,NASA, NAVY
Categorii
INCLUDE
E 1 DOMINA E 2
19
Formalizarea mediului de lucru

• Eticheta semnifica
• Senzitivitatea obiectului
• Gradul de incredere in subiect
• Defineste relatia de dominare intre etichete
• o eticheta E1 domina eticheta E2 daca nivelul de
  senzitivitate E1 este mai mare ca nivelul de
  senzitivitate E2 si daca multimea claselor de
  securitate E1 include multimea claselor de
  securitate a lui E2
• Relatia are proprietatile reflexiva
  antisimetrica tranzitiva
• Defineste tipurile de acces citire, scriere,
  executie

20
Politica de securitate

• Defiita in termeni formali sau informali
• Politica formala aplicabila neconditionat, nu
  implica situatii de incertitudine si decizie
• Politica informala lasa un grad de librtate
  utilizatorului (dar defineste raspunderi functie
  de atingerea unor obiective)
• Politica de securitate defineste obiectele,
  subiectii, relatiile dintre ele si ce este permis
  si ce nu este permis

Actiuni posibile
Actiuni interzise
Actiuni permise
21
Modelul de securitate a confidentialitatii
Bell_La Padula

• Este un model formal, orientat pe fluxurile de
  informatie, care descrie in ce conditii un
  subiect are dreptul sa scrie sau sa citeasca un
  obiect astfel incat sa se previna accesul
  oricarui subiect la un obiect care are nivel de
  clasificare mai mare decat subiectul
• Introduce conceptul de referinta de monitorizare
  entitate functionala care analizeaza tipul de
  acces, relatia dintre subiect si obiect
  (etichete) si permite sau opreste accesul
• Este un model vizual simplu si intuitiv

22
Modelul Bell_La Padula

• Regula NRU (No Read Up) unui subiect ii este
  interzis sa citeasca un obiect care il domina
• Regula NWD (No Write Down) unui subiect ii este
  interzis sa scrie intr-un obiect pe care il domina

23
Modelul Bell_La Padula

• Teorema fundamentala de securitate
• Fie S un sistem aflat intr-o stare initiala
  sigura si fie T un set de transformari. Daca
  fiecare transformare respecta regulile
  anterioare, atunci starea finala va fi sigura.
• Modelul Bell_La Padula este un amestec de control
  discretionar si prin mandat al accesului.
• Modelul este folosit pentru a verifica protectia
  oferita de un sistem prin proiectare

24
Critica modelului Bell_La Padula

• Modelul nu conserva integritatea implica
  scrierea oarba ce are ca efect acumularea
  erorilor
• Modelul nu permite citirea de la distanta
  blocheaza functionarea sistemelor distribuite
  functionarea la distanta implica comunicare in
  ambele sensuri - modelul BLP nu permite
• Modelul nu trateaza problemele de interferente
  mai multi subiecti acceseaza simultan un obiect
  in aceasta situatie apare un transfer de
  informatie de la un subiect cu nivel superior
  catre un subiect cu nivel inferior disemineaza
  informatie
• Nu previne diseminarea unor sinteze clasificate
  din date neclasificate

25
Critica ale modelului Bell_La Padula

• Pentru a reda functionalitatea este nevoie sa se
  incalce regulile modelului BLP se introduce
  notiunea de subiect de incredere
  administratorul are voie sa incalce regulile
  (persoana, echipament (memorie, disk, drivere,
  procese)
• Modelul Z John McLean declasificarea temporara
  a entitatilor care interactioneaza astfel incat
  regulile modelului BLP sunt respectate mereu dar
  se permite totusi citirea arbitrara a obiectelor
• introduce conceptul de cumintenie mentinerea
  regulilor de securitate in timpul migrarii
  temporare a procesului catre alta aplicatie

26
Perfectionari ale modelului Bell_La Padula

• Modelul se completeaza cu
• Activitati
• Semnale
• Observabilitatea
• Un subiect cu nivel de sec. scazut poate sa
  observe activitatea subiectilor cu nivel ridicat
  prin interpretarea unor semnale
• Interactiunea entitatilor ipoteze
• Exista un set de utilizatori cu etichete diferite
  care sunt suficient de cuminti nu schimba
  comportamentul
• Exista o secventa de intrari si iesiri de la si
  catre utilizatori observabila
• Traseul o secventa care stabileste ordinea in
  timp a intrarilor si iesirilor
• Conceptul de non interferenta
• Conceptul de nedeductibilitate

27
Nedeductibilitatea

• Conceptul de nedeductibilitate sistemul poate
  fi considerat sigur daca utilizatorii cu drepturi
  scazute nu pot deduce informatii despre
  utilizatorii cu drepturi ridicate prin observarea
  operatiilor de citire si scriere a acestora
• Def. formalizata Sistemul nedeductibil este
  sigur daca pentru orice nivel de securitate x si
  un traseu definit, exista un traseu secundar cu
  aceiasi comportare si care este vizibil
  utilizatorilor de la nivelul x sau mai mic
• Previne analiza de trafic
• Ex. sistemul de paritate

28
Non interferenta

• Sistemul este sigur, daca utilizatorii de nivel
  inferior nu pot interpreta in nici un fel
  semnalele despre utilizatorii de nivel superior
• Sistemul este mai restrictiv decat sistemul
  nedeductibil in sensul ca observabilitatea nu
  este modificata in nici un fel de activitatea
  subiectului de pe nivelul superior (vede acelasi
  lucru).

29
Securitatea orientata pe integritate

• Previne modificarea datelor de catre utilizatori
  neautorizati (oameni si programe)
• Previne modificarea datelor in moduri improprii
  de catre utilizatorii autorizati (previe
  greselile flagrate)
• Mentine consistenta interna si externa a bazei de
  date (verificari de compatibilitate)

30
Modele de securitate orientate spre integritate

• Biba simplu, bazat pe reguli stricte de acces
  al subiectilor la obiecte
• Gauguen- Mesenguer bazat domenii definite prin
  liste de reguli si subiecti cu drepturi de acces
  la obiecte
• Sutherland nu este axat pe protectie direct,
  defineste stari si tranzitii (circulatia
  drepturilor intre obiecte) securitatea rezulta
• Clark-Willson model complex

31
Modelul Biba securitatea integritatii (1)

• Model orientat spre mediul comercial - modelul
  BLP pe dos conserva integritatea dar
  neglijeaza confidentialitatea
• Confidentialitatea integritatea gt complementare
• Confidentialitatea focalizata pe citire,
  modelul controleaza circulatia informatiei
• Integritatea focalizata pe scriere, modelul
  controleaza modificarea informatiei
• Modelul este realizat in 4 forme.

32
Modelul Biba securitata integritatii (2)

• Un set de subiecti S, un set de obiecte O
• Un set de nivele de incredere in subiecti sau
  obiecte I
• Nivele de incredere in date
• Nivele de incredere in programe
• Etichete atasate subiectilor si obiectelor
  corespunzatoare nivelelor de incredere in ele
• O relatie de ordine pe multimea etichetelor
• O functie a (s) definita pe S sau O care
  returneaza nivelul de incredere
• Nivelele de incredere sunt diferite de nivelele
  de securitate

33
Modelul de integritate Biba (3)

• Mandatory model
• Regula NWU No Write Up
• Regula NRD No Read Down

34
Modelul subject low watermark

• In urma operatiei de citire se declasifica
  subiectul la nivelul obiectului.

s
citeste
nivel de incredere
o
Inainte
Dupa
35
Modelul obiect low watermark

• In urma operatiei de scriere se declasifica
  obiectul la nivelul subiectului

36
Modelul de integritate Clark-Wilson (1)

• Model orientat catre mediul comercial 1987
  David Clark si David Wilson
• Model de integritate bazat pe tranzactii
• Se bazeaza pe o politica de integritate care se
  sprijina pe trei principii
• Principiul separarii sarcinilor - statueaza ca
  daca o operatie critica necesita mai multe etape,
  atunci trebuie ca entitati diferite sa se ocupe
  de fiecare etapa
• Principiul separarii functiilor o autoritate nu
  trebuie sa aiba mai mult de un rol in proces
• Auditul este activitatea de verificare care
  determina daca sistemul se comporta asa cum este
  gandit. Functie cheie pentru recuperare si
  evidenta.

37
Modelul de integritate Clark-Wilson (2)

• Defineste tranzactia consistenta ca o serie de
  operatii care transforma sistemul dintr-o stare
  consistenta in alta stare consistenta
• Obiectivul modelului este de a pastra
  integritatea tranzactiilor
• Introduce notiunea de certificator si
  implementator (entitati diferite)
• Sistemul contine 9 reguli
• Implica autentificarea subiectului care initiaza
  tranzactia
• Auditul pentru o posibila reconstructie daca este
  nevoie
• Schimbarile critice sunt facute cu participarea a
  cel putin doua entitati (responsabilitate
  partajata)

38
Modelul Clark-Wilson

• UDI Unconstrained Data Item CDI Constrained
  Data Item
• TP Transformation Procedure S subiect

39
Modelul Clark Wilson (1)

• Modelul defineste doua clase de integritate
• Articole cu constrangeri de integritate (CDI)
• Articole fara constrangeri de integritate (UDI)
• Doua seturi de proceduri
• Proceduri de verificare a integritatii (IVP)
• Proceduri de transformare (TP)
• Reguli de certificare
• CR1 daca IVP merge atunci trebuie sa se asigure
  ca toti CDI sunt in stare valida
• CR2 pentru orice asocieri ale CDI, TP trebuie sa
  le transforme stari valide (TP trbuie certificat
  pt. CDI)

40
Modelul Clark Wilson (2)

• Reguli de legalizare
• ER1 Sistemul trebuie sa mentina relatii de
  certificare (pt.TP) si trebuie sa se asigure ca
  numai TP certificate pentru acele CDI le poate
  manipula
• ER2 Sistemul trebuie sa asocieze un user la
  fiecare TP si set de CDI. TP poate accesa CDI
  numai impreuna cu userul (def. tripleti cu
  relatie de permisivitate).
• Reguli de certificare (continuare)
• CR3- Relatiile de permisivitate trebuie sa
  respecte principiul separarii sarcinilor
• ER3 Sistemul trebuie sa autentifice fiecare
  utilizator care executa un TP

41
Modelul Clark - Wilson (3)

• CR5 orice TP care prelucreaza un UDI poate
  numai sa il rejecteze sau sa-l transforme intr-un
  CDI
• ER 4 numai certificatorul lui TP poate sa
  modifice lista entitatilor asociate si nu se
  executa nici o operatie fara aprobarea acestuia
• CR4 toti TP trebuie sa contina suficienta
  informatie pentru a reconstrui un articol (CDI)

42
Comparatie modele Biba, Clark-Wilson

• Ambele au nivele de integritate (de incredere)
• Biba multinivel
• Clark-Wilson - doua nivele
• Biba nu are mecanisme pentru a verifica
  entitatile si actiunile lor si nu recunoaste
  mecanismul de certificare
• Clark-Wilson introduce principiul separarii
  sarcinilor si autorizeaza separat legalitatea si
  certificarea
• Modelul Clark-Wilson poate emula modelul Biba
  prin alegerea convenabila a tripletilor si a
  relatiilor de permisivitate, reciproca nu este
  valabila.

a
43
Modele mixte

• Modelul zidului chinezesc (CW)
• Axat pe confidentialitate si integritate
• Confidentialitatea definita in contaxtul
  conflictului de interese
• Modelul casei de sanatate
• Axat pe integritate si confidentialitate
• Orientat spre autentificarea informatiei si
  dreptului de acces

44
Modelul zidului chinezesc (CW)

• Inspirat din activitatea firmelor de brocheraj
• Un lucrator care a asistat o firma nu trebuie sa
  poata sa foloseasca datele pe care le detine
  pentru a asista o firma concurenta

Clasa conflictelor de interese imobiliare (CoI)
Clasa conflictelor de interese bancare (CoI)
Firma A CD m
Firma B CD n
BCR CD a
HVB CD b
B. Transilvania CD c
Firma D CD x
Firma C CD v
45
Mediul formal de lucru (CW)

• Def
• Obiectul (O) o inregistrare despre o companie
• Seturile de date (CD) toate obiectele
  referitoare la o companie
• Conflictul de interese (CoI) clase de seturi de
  date despre companii aflate in conflict de
  interese
• Conditia de securitate simpla Un subiect S poate
  citi un obiect O daca si numai daca
• S-a mai citit un obiect O si CD(O)CD(O)
• Pt. orice O citit de S CoI(O)?CoI(O)
• O este un obiect public indiferent de CoI
• Proprietatea de integritate S poate scrie O daca
  si numai daca
• Regula de securitate ii permite sa citesca O
• Orice obiect public poate fi scris in setul de
  date la care are acces

46
Modelul zidului chinezesc (CW)

• Protectia confidentialitatii de realizeaza
  fundamental diferit fata de modelul
  Bell-LaPadula
• Nu are etichete nivele de clasificare si clase
• Tine cont de istorie se poate reface accesul
• Initial accesul este permis la toate obiectele,
  accesul se restringe pe masura activitatii
• Modelul Clark-Willson nu poate fi emulat de
  modelul CW decat in controlul accesului. Pentru a
  putea fi echivalente in privinta integritatii
  trebuie completa cu o serie de reguli privind
  tranzactiile

47
Modelul casei de sanatate

• Model inspirat din activitatea caselor de
  sanatate bazat pe confidentialitate si
  integritate - diferit de modelul CW
• Problema conflictului de interese nu este
  importanta, este critica confidentialitatea
  datelor despre pacient si asocierea activitatilor
  cu acesta, sunt critice datele despre cine
  modifica informatiile, precum si corectitudinea
  acestor date.

48
Mediul formal al modelului

• Def.
• Pacientii subiectul inregistrarii medicale
  boala, tratament, analize etc.
• Inregistrarile informatiile despre pacient,
  analize, tratament, medici etc.
• Medicii personalul care are acces la
  inregistrari
• Modelul presupune ca informatiile se refera la o
  singura persoana
• Model de control al accesului dispersat

49
Mediul formal al modelului

• Principiile de acces
• Fiecare inregistrare are un nume de lista de
  control al accesului asociata si accesul este
  permis numai pe baza listei
• Unul dintre medicii de pe lista trebuie sa poata
  da acces altora (modifica lista)
• Medicul sef trebuie sa notifice pacientului
  modificarea listei cere acordul (legea SUA)
• Numele, data si timpul cind a fost accesata
  informatia trebuie inregistrat si nu se poate
  sterge nici de catre medic

50
Mediul formal al modelului

• Principiul de creatie un medic poate deschide o
  inregistrare pe baza recomandarii altui medic
• Principiul de stergere informatiile nu pot fi
  sterse decat dupa un timp suficient de lung
• Principiul de alaturare o inregistrare poate fi
  adaugata la alta inregistrare numai daca lista
  primei inregistrari este cuprinsa in prima
  inregistrare
• Principiul de agregare agregarea se face cu
  reguli stricte si cu notificarea pacientului
  pacientul este informat despre persoanele cu
  drept de acces la multe inregistrari
• Principiul de impunere orice sistem care
  proceseaza datele trebuie sa implementeze
  aceleasi reguli. Auditare independenta.

51
Modelul casei de sanatate

• Confidentialitatea modelul BLP orientat spre
  multi subiecti care acceseaza obiecte
• Modelul casei de sanatate un numar de subiecti
  acceseaza multe obiecte- nu este orientat atat
  spre diseminare cit pentru detectie a
  incalcarilor
• Erorile nu se sterg din sistem raman pentru
  analiza
• Este mai adecvat serviciilor de informatii

52
Rezumatmodelele formale

• Modelele formale sunt instrumente puternice de
  analiza a proiectelor de produse de securitate
• Principiile pe care sunt construite sunt preluate
  si folosite in proiectarea echipamentelor si in
  stabilirea politicilor si metodologiilor de lucru
  ale sistemelor
• Regulile foarte riguroase de securitate conduc la
  blocarea sistemelor si trebuie create cai de
  iesire in aceste situatii prin incalcarea
  regulilor
• Modelele de securitate evolueaza de la controlul
  accesului la obiecte catre controlul
  tranzactiilor

53
Controlul accesului

• Politicile de securitate definesc doua tipuri de
  control al accesului la informatii sau resurse
• Controlul discretionar al accesului (DAC)
  utilizatorul individual poate seta un mecanism de
  acces sau interzicere la un obiect acces bazat
  pe identitate
• Sisteme de operare DOS, Windows 95, 98 etc.
• Contorul prin mandat (MAC) un mecanism
  controleaza accesul si utilizatorul nu-l poate
  modifica accesul bazat pe reguli

54
Controlul accesului de catre autorORCON
(ORiginator CONtrol)

• Un subiect poate da drepturi de acces altui
  subiect cu acordul autorului
• Combina drepturi DAC cu MAC
• Controlul accesului (DAC) descentralizat
• Reguli asociate (MAC)
• Utilizatorul nu poate schimba acesul la obiect
• Cand un obiect este copiat se copiaza si regula
  de acces
• Creatorul este singurul care poate modifica
  accesul pe subiecti si obiecte

55
Controlul accesului bazat pe roluri

• Abilitatea de a accesa informatia este dictata de
  indatorire (job)
• Def
• Privilegiul o cerinta a functiei
• Rolul- o colectie de privilegii
• Rolul activ rolul care se prelucreaza curent
• Rolul autorizat rolul pe care subiectul este
  autorizat sa-l execute
• Predicatul - canexe(s,t) adevarat daca si numai
  daca subiectul poate executa tranzactia t in
  rolul activ (curent)

56
Controlul accesului bazat pe roluri

• Reguli de executie
• Un subiect poate executa orice tranzactie numai
  daca are un rol activ
• Pentru a-si asuma un rol activ un subiect trebuie
  sa fie autorizat
• Un subiect nu poate executa o tranzactie daca
  rolul sau curent nu a fost autorizat
• Generalizare a notiunii de eticheta de securitate
• Introduce ideea de dependenta de context si de
  alocare dinamica
• Administratorul rol de super user

57
Privilegii si roluri

• Granularitatea rolurilor
• Roluri cuprinzatoare probleme de securitate
• Roluri sarace probleme de functionalitate
• Principiul celui mai mic privilegiu aloca
  minimum de resurse pentru rezolvarea sarcinii
• Transformari si revocari se recunoaste
  necesitatea de a se transforma rolurile pe
  parcursul jobului datorita unor nevoi interne
  sau externe
• Transformarile induc probleme de securitate
  politica separarii sarcinilor

58
Modul de operare al sistemelor de calcul
utilizat pt. Inf. clasificate

• Sistem dedicat
• toti operatorii au cel mai inalt nivel de
  verificare
• toti operatorii au acelasi need-to-know
• Sistem inalt
• toti operatorii au cel mai inalt nivel de
  verificare
• nu toti operatorii au acelasi need-to-know
• Sistem multinivel
• operatorii au nivele de verificare diferite
• nu toti operatorii au acelasi need-to-know
• Sistem compartimentat

59
Refuzul serviciului (DOS)

• Sisteme in timp real def. refuzul serviciului
• Defineste timpul maxim de asteptare (MWT) in care
  se considera functionarea normala
  depasireagteveniment DOS
• Se definesc nivele de prioritate
• Se introduce regula NDU (No Deny Up)
• Rezulta diagrame de tip BLP sau Biba - dificil de
  implementat
• Modelul RAM (aloca memorie si timp procesor
  conform unei politici DOS pentru subiecti
  referitor la obiecte)

60
Auditarea pistele de audit

• Auditarea este mecanismul se culeg date si se
  inregistreaza pentru a documenta activitatile din
  sistem si pentru a reface unele date daca este
  nevoie
• Cuprinde mecanisme si proceduri de preferat sa
  se faca automat
• Inregistreaza activitatea relevanta
• Trebuie sa fie insesizabila in sistem
• Inregistrarea trebuie facuta in formate standard
  IEEE POSIX
• Inregistrarea trebuie facuta in mod protejat
  pentru a nu se permite distrugerea fisierelor sau
  modificarea lor.
• Scule pentru analiza fisierelor de log

61
Sistemul de detectie a intrusilor

• Conceptul IDS
• Se stabileste profilul utilizatorilor legali
• Se inregistreaza datele de audit pe o pista
  speciala care va fi analizata automat in timp
  real
• Se stabileste amprenta fiecarui utilizator
• Se analizeaza datele de audit si se cauta
  inconsistente sau amprente diferite
• Se emite un semnal de avertizare
• Modelul IDES (1986) subiect, obiect, profil,
  anomalii si reguli

62
Identificarea si autentificarea

• Identificarea procedura prin care un agent
  exterior isi ofera identitatea sa sistemului
• Verificarea (autentificarea) procedura prin
  care sistemul verifica identitatea cu datele de
  identitate inregistrate si decide sau nu accesul
• Autorizarea declansarea procedurilor de acces
• Utilizatorul trebuie sa poata sa-si asume orice
  identitate
• Sisteme decontrol acces
• Sisteme cu parola
• Sisteme cu smart carduri, token etc.
• Sisteme biometrice
• Sisteme mixte
• Schema de autentificare a lui Polonius accesul
  la retea (ISP-isti) mixt ID parola (server
  autentificare)