FIPS 140-2 tekshiruviga Microsoft yondashuvi

13- ma’ruza Mavzu: aqshning fips (Federal Information Processing Standards) standarti


FIPS 140-2 tekshiruviga Microsoft yondashuvi


Download 18.58 Kb.
bet2/2
Sana01.03.2023
Hajmi18.58 Kb.
#1241947
1   2
Bog'liq
13-maruza

FIPS 140-2 tekshiruviga Microsoft yondashuvi
Microsoft 2001 yilda standart yaratilganidan beri kriptografik modullarni sinab ko'rish orqali 140-2 talablarini faol ravishda qo'llab-quvvatlab kelmoqda. Microsoft o'zining kriptografik modullarini Milliy standartlar va texnologiyalar instituti (NIST) kriptografik modulni tekshirish dasturi orqali tasdiqlaydi. Ushbu kriptografik modullar bir nechta Microsoft mahsulotlari, jumladan ko'plab bulut xizmatlari tomonidan qo'llaniladi.
Microsoft Windows kriptografik modullari, har bir modul uchun xavfsizlik siyosati va CMVP sertifikat maʼlumotlari katalogi haqida texnik maʼlumot olish uchun Windows va Windows Server FIPS 140-2 ga qarang.
Ta'sirlangan Microsoft bulut platformalari va xizmatlari
Joriy CMVP FIPS 140-2 joriy etish bo‘yicha yo‘riqnoma bulut xizmatining o‘zi uchun FIPS 140-2 tekshiruvini o‘z ichiga olmaydi; Bulutli xizmat ko'rsatuvchi provayderlar o'zlarining bulutli xizmatlarini tashkil etuvchi hisoblash elementlari uchun FIPS 140 tasdiqlangan kriptografik modullarni olish va ishlatishni tanlashi mumkin. fiPS 140-2 tomonidan tasdiqlangan komponentlarni o'z ichiga olgan Microsoft Onlayn xizmatlari quyidagilarni o'z ichiga oladi, lekin ular bilan cheklanmaydi:

  • Azure va Azure hukumati

  • Dynamics 365 va Dynamics 365 Government

  • Office 365, Office 365 AQSh hukumati va Office 365 U.S. hukumat mudofaasi

Evropa uyg'unlashtirilgan mezonlari (ITSEC)
Integratsiya yo‘lidan o‘tib, Yevropa davlatlari 1991-yil iyun oyida to‘rtta davlat – Fransiya, Germaniya, Germaniya va boshqa davlatlarning tegishli organlari nomidan e’lon qilingan axborot texnologiyalari xavfsizligini baholashning uyg‘unlashtirilgan (moslashtirilgan) mezonlarini (Information Technology Security Evaluation Criteria, ITSEC) [12,122] qabul qildilar. Niderlandiya va Buyuk Britaniya.
Evropa mezonlarining printsipial jihatdan muhim xususiyati - bu axborot tizimi ishlashi kerak bo'lgan shartlar uchun apriori talablarning yo'qligi. Sertifikatlash xizmatlarini so'ragan tashkilot baholash maqsadini bildiradi, ya'ni. tizimning ishlashi kerak bo'lgan shartlarni, uning xavfsizligiga mumkin bo'lgan tahdidlarni va u taqdim etadigan himoya funktsiyalarini tavsiflaydi. Sertifikatlash organining vazifasi ishlab chiqilgan funktsiyalar tomonidan maqsadlarga qanchalik to'liq erishilganligini baholashdir, ya'ni. ishlab chiquvchi tomonidan tavsiflangan sharoitlarda xavfsizlik mexanizmlarining arxitekturasi va amalga oshirilishi qanchalik to'g'ri va samarali.
Shunday qilib, "Apelsin kitobi" terminologiyasida Evropa mezonlari loyihalashtirilgan tizimning xavfsiz ishlashini ta'minlash darajasini baholashga ishora qiladi.
Evropa mezonlari axborot xavfsizligi asosini tashkil etuvchi quyidagi asosiy tushunchalarni ko'rib chiqadi:
maxfiylik, ya'ni. axborotni ruxsatsiz olishdan himoya qilish;
∙ yaxlitlik, ya'ni. axborotni ruxsatsiz o'zgartirishdan himoya qilish;
∙ mavjudligi, ya'ni. axborot va resurslarni ruxsatsiz saqlashdan himoya qilish.
Evropa mezonlarida axborot xavfsizligi bilan bog'liq vositalarni uchta batafsil darajada ko'rib chiqish taklif etiladi. Eng mavhum ko'rinish faqat xavfsizlik maqsadlariga taalluqlidir. Ushbu darajada xavfsizlik funktsiyalari nima uchun kerakligi haqidagi savolga javob olinadi. Ikkinchi daraja xavfsizlik funktsiyalarining spetsifikatsiyalarini o'z ichiga oladi, ya'ni aslida qanday funksionallik taqdim etilganligini ochib beradi. Uchinchi daraja belgilangan funktsiya qanday amalga oshirilishini ko'rsatadigan xavfsizlik mexanizmlari haqida ma'lumotni o'z ichiga oladi.
Mezonlar amalga oshirilgan xavfsizlik funktsiyalarining spetsifikatsiyalarida "Orange Book" bilan solishtirganda bo'limlar yoki funktsiyalar sinflarining kengaytirilgan tarkibini ta'kidlashni tavsiya qiladi.
∙ Identifikatsiya va autentifikatsiya.
∙ Kirish nazorati.
∙ Mas'uliyat.
∙ Audit.
∙ Ob'ektlarni qayta ishlatish.
∙ Axborotning aniqligi.
∙ Xizmat ishonchliligi.
∙ Ma'lumotlar almashinuvi.
Baholash maqsadini shakllantirishni osonlashtirish uchun Evropa mezonlari ilova sifatida davlat va tijorat tizimlariga xos bo'lgan o'nta namunali funktsional sinflarning tavsifini o'z ichiga oladi. Ulardan beshtasi (F-C1, F-C2, F-B1, F-B2, F-B3) Orange Book xavfsizlik sinflariga mos keladi.
Bundan tashqari, mezonlar quvvatni himoya qilish mexanizmlarining uchta darajasini belgilaydi: asosiy, o'rta va yuqori. Mezonlarga ko'ra, mexanizm individual tasodifiy hujumlarga bardosh bera olsa, kuchni asosiy deb hisoblash mumkin. Mexanizm cheklangan resurslar va imkoniyatlarga ega bo'lgan tajovuzkorlarga qarshi tura oladigan bo'lsa, quvvatni o'rtacha deb hisoblash mumkin. Nihoyat, agar mexanizmni faqat qobiliyat va resurslar to'plami amaliylik chegarasidan tashqarida bo'lgan yuqori malakali hujumchi mag'lub qilishi mumkinligiga ishonch bo'lsa, kuchni yuqori deb hisoblash mumkin.
Muhim xususiyat - bu mahsulot yoki tizimdan foydalanish qulayligi. Xodimlarni ob'ekt xavfli holatga kelganligi to'g'risida xabardor qilish uchun vositalar bo'lishi kerak (bu nosozlik, administrator yoki foydalanuvchi xatosi natijasida sodir bo'lishi mumkin).
Agar zaif tomonlar aniqlansa va baholash jarayoni oxirigacha bu zaif tomonlar tuzatilmasa, himoya samaradorligi qoniqarsiz deb hisoblanadi. Bunday holda, baholash ob'ektiga E0 ishonch darajasi beriladi.
Baholash ob'ektining to'g'riligini tekshirishda ─ ishlab chiqilgan himoya tizimida ikkita mezon guruhi qo'llaniladi. Birinchi guruh tizim yoki mahsulotni loyihalash va ishlab chiqishni, ikkinchisi ishlab chiqilgan tizimning ishlashini anglatadi.
Download 18.58 Kb.

Do'stlaringiz bilan baham:
1   2



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling