Information technology. Security techniques. Evaluation criteria for it security Security functional requirements
| Вид материала | Документы |
| Идентификация и аутентификация (FIA) Ж.1 Отказы аутентификации (FIA_AFL) Рисунок Ж.1 - Декомпозиция класса "Идентификация и аутентификация" |
- On international information security, 88.63kb.
- Dr. Web Security Space 0 Возможности решения, 216.05kb.
- Настройка eset nod32 Smart Security, 3.46kb.
- Tourist services. Requirements provided for tourist's security, 226.16kb.
- Tourist services. Requirements provided for tourist's security, 242.62kb.
- О проведении открытого запроса предложений, 45kb.
- Информационный бюллетень osint №22 ноябрь декабрь 2011, 7189.58kb.
- Задание параметров для групп пользователей Настройка шаблонов, 432.37kb.
- Темы конференции: Криптография. Актуальность в современном обществе. Современная киберпреступность, 20.64kb.
- Kaspersky Internet Security 2010: обзор продукта, 176.55kb.
Идентификация и аутентификация (FIA)
Общим требованием безопасности является однозначная идентификация лица и/или объекта, выполняющего в ОО определенные функции. Это предполагает не только установление заявленного идентификатора каждого пользователя, но также и верификацию того, что каждый пользователь действительно тот, за кого он себя выдает. Это достигается тем, что от пользователей требуется предоставлять ФБО некоторую информацию, которая, по сведениям ФБО, действительно ассоциирована с ними.
Семейства класса FIA определяют требования к функциям, устанавливающим и верифицирующим заявленный идентификатор каждого пользователя. Идентификация и аутентификация требуются для обеспечения ассоциации пользователей с соответствующими атрибутами безопасности (такими, как идентификатор, группы, роли, уровни безопасности или целостности).
Однозначная идентификация уполномоченных пользователей и правильная ассоциация атрибутов безопасности с пользователями и субъектами критичны для осуществления определенных политик безопасности.
Семейство FIA_UID предназначено для определения идентификатора пользователя.
Семейство FIA_UAU предназначено для верификации идентификатора пользователя.
Семейство FIA_AFL предназначено для определения ограничений на число повторных неуспешных попыток аутентификации.
Семейство FIA_ATD предназначено для определения атрибутов пользователей, применяемых при осуществлении ПБО.
Семейство FIA_USB предназначено для корректной ассоциации атрибутов безопасности для каждого уполномоченного пользователя.
Семейство FIA_SOS предназначено для генерации и верификации секретов, удовлетворяющих установленной метрике.
Декомпозиция класса FDP# на составляющие его компоненты приведена на рисунке Ж.1.
Ж.1 Отказы аутентификации (FIA_AFL)
Семейство FIA_AFL содержит требования по определению числа попыток аутентификации и действиям ФБО в случае их неудачи. Параметрами, определяющими возможное число попыток аутентификации, среди прочих, могут быть количество попыток и допустимый интервал времени.
Процесс открытия сеанса пользователя предусматривает взаимодействие с пользователем, позволяющее открыть сеанс и независимое от фактической реализации. Если число неуспешных попыток аутентификации превысило установленное значение, то блокируются учетные данные пользователя и/или терминал, с которого выполнялись запросы. Если учетные данные пользователя заблокированы, то он не может войти в систему. Если заблокирован терминал, то он (или его адрес) не может быть использован для входа в систему. Эта ситуация сохранится, пока условия для повторения попыток открытия сеанса не будут удовлетворены.
FIA_AFL.1 Обработка отказов аутентификации
Замечания по применению для пользователя
Автор ПЗ/ЗБ может либо установить число неуспешных попыток аутентификации, либо доверить это разработчику ОО или уполномоченному пользователю. Неуспешные попытки аутентификации не просто накапливаются, но скорее будут связаны с каким-либо событием аутентификации. Таким событием может быть число неуспешных попыток с момента последнего сеанса, успешно открытого с данного терминала.
┌──────────────────────────────┐
│Идентификация и аутентификация│
└───┬──────────────────────────┘
│ ┌──────────────────────────────────┐ ┌───┐
├─┤ FIA_AFL Отказы аутентификации ├───┤ 1 │
│ │ │ └───┘
│ └──────────────────────────────────┘
│ ┌──────────────────────────────────┐ ┌───┐
├─┤ FIA_ATD Определение атрибутов ├───┤ 1 │
│ │ пользователя │ └───┘
│ └──────────────────────────────────┘
│ ┌───┐
│ ┌──────────────────────────────────┐ ┌─┤ 1 │
├─┤ FIA_SOS Спецификация секретов │ │ └───┘
│ │ ├─┤ ┌───┐
│ └──────────────────────────────────┘ └─┤ 2 │
│ └───┘
│ ┌───┐ ┌───┐
│ ┌──────────┤ 1 ├──┤ 2 │
│ │ ┌───┐└───┘ └───┘
│ ├─────┤ 3 │
│ │ └───┘┌───┐
│ ├──────────┤ 4 │
│ ┌──────────────────────────────────┐ │ ┌───┐└───┘
├─┤ FIA_UAU Аутентификация │ ├─────┤ 5 │
│ │ пользователя ├─┤ └───┘┌───┐
│ └──────────────────────────────────┘ ├──────────┤ 6 │
│ │ ┌───┐└───┘
│ └─────┤ 7 │
│ └───┘
│ ┌──────────────────────────────────┐ ┌───┐ ┌───┐
├─┤FIA_UJD Идентификация пользователя├───┤ 1 ├──┤ 2 │
│ │ │ └───┘ └───┘
│ └──────────────────────────────────┘
│ ┌──────────────────────────────────┐ ┌───┐
└─┤ FIA_USB Связывание ├───┤ 1 │
│ пользователь-субъект │ └───┘
└──────────────────────────────────┘
Рисунок Ж.1 - Декомпозиция класса "Идентификация и аутентификация"
Автор ПЗ/ЗБ может определить список действий, которые должны предприниматься ФБО в случае отказа аутентификации. Уполномоченному администратору также может быть разрешено управлять этими событиями, если такую возможность предусмотрел автор ПЗ/ЗБ. Такими действиями, среди прочих, могут быть: отключение терминала, отключение учетных данных пользователя или подача сигнала тревоги администратору. Условия, при которых произойдет возвращение к обычному режиму работы, необходимо специфицировать через действия.
Чтобы предотвратить полную невозможность обслуживания, в ОО обычно обеспечивается невозможность блокирования учетных данных по меньшей мере одного пользователя.
Автор ПЗ/ЗБ может устанавливать иные действия для ФБО, относящиеся в том числе и к правилам деблокирования процесса открытия сеанса пользователя или подаче сигнала тревоги администратору. Примерами таких действий являются: до истечения установленного времени; пока уполномоченный администратор вновь не деблокирует терминал или учетные данные пользователя; до истечения времени, связанного с предыдущими неуспешными попытками (например, после каждой неуспешной попытки время блокирования удваивается).
Операции
Назначение
В FIA_AFL.1.1 автору ПЗ/ЗБ следует специфицировать задаваемое по умолчанию число неуспешных попыток аутентификации, при достижении или превышении которого будут инициироваться определенные действия. В ПЗ/ЗБ можно указать, что "это число выбирается уполномоченным администратором".
В FIA_AFL.1.1 автору ПЗ/ЗБ следует специфицировать события аутентификации. Примерами являются: число неуспешных попыток аутентификации для данного идентификатора пользователя с момента последней успешной попытки; число неуспешных попыток аутентификации для данного терминала с момента последней успешной попытки; число неуспешных попыток аутентификации за последние 10 мин. Необходимо указать по меньшей мере одно событие аутентификации.
В FIA_AFL.1.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые в случае достижения или превышения предельного значения числа попыток. Такими действиями могут быть: блокирование учетных данных на 5 мин, блокирование терминала на увеличивающийся интервал времени (число секунд, равное 2", где n - число неуспешных попыток) или блокирование, с уведомлением администратора, учетных данных вплоть до его снятия администратором. В описании действий следует указать принимаемые меры и сроки их действия (или условия прекращения действия этих мер).