2.3 Принципы разработки Trusted computer Base (ТСВ)

Существует две технологии проектирования доверенного программного обеспечения (ПО):

· иерархическое проектирование основано на принципе: "механизм защиты должен быть простым, единым и находится на самом низком уровне системы". При чем иерархическое проектирование может поддерживать многослойную иерархическую структуру подсистем защиты. Такая структура имеет следующие преимущества:

1. Упрощается структура доверенного программного обеспечения

2. Верификация безопасности более высокого иерархического уровня системы может опираться на верификацию безопасности более низких уровней иерархии.

В качестве уровня можно рассматривать программы приложения, где помещаются программы сервисы приложений пользователя не являющихся частью операционной системы (О.С);

Уровень О.С., где располагаются компоненты О.С.;

Уровень аппаратного обеспечения помещается ПО в строенное в аппаратное обеспечение.

· Модульное или горизонтальное проектирование, как правило, облегчает декомпозицию системы в ходе ее анализа. В современных системах доверенное программное обеспечение представляет собой множество отдельных взаимосвязанных модулей, выполняющих различные функции. Совокупность таких моделей, образующих доверенное программное обеспечение, определяет так называемый периметр защиты. Модули включают в периметр защиты, если функциональность компоненты влияет на доказательство безопасности системы. Кроме описанных выше, можно выделить следующие дополнительные принципы:

1. Принцип наименьших привилегий. Субъекту даны только те привилегии, которые необходимы для решения задач. При выделении дополнительных привилегий они изымаются после выполнения задачи.

2. Принцип безопасных умолчаний. Данный принцип говорит о том, что по умолчанию доступа к объектам системы не должно быть. Все права доступа должны быть определены явно.

3. Принцип простоты разработки. Для уменьшения вероятности ошибок, обеспечения процесса верификации, тестирования механизмов безопасности.

4. Принцип полного контроля доступа. Контроль выполняется не только при первом доступе, но при каждой последующей операции доступа.

5. Принцип открытой разработки. Безопасность системы не должна быть основана на секретности разработки.

Системы, основанные на секретности разработки, не обеспечивают эффективной защиты от квалифицированных пользователей.

6. Принцип разделения привилегий. Механизмы, предоставляющие доступ к ресурсам системы, не должны принимать решения о доступе, базируясь на единичном условии.

7. Принцип минимального количества разделяемых механизмов. Механизмы, предоставляющие доступ к ресурсам системы, не должны быть разделяемыми. О.С. реализуют этот принцип за счет технологии виртуальных машин.

8. Принцип психологической преемственности. Механизмы не должны требовать значительных вычислительных ресурсов, должны быть легко конфигурируемы и представлять пользователям информацию в удобной форме. Не должны провоцировать собственные отключения.