신뢰할 수 있는 시스템

Trusted system

컴퓨터 과학보안 공학 하위 전문 분야에서, 신뢰할 수 있는 시스템은 특정 보안 정책을 시행하기 위해 특정 범위까지 의존하는 시스템이다. 이는 신뢰할 수 있는 시스템이 보안 정책을 위반할 수 있는 시스템(시스템이 신뢰할 수 있는 정책을 시행하는 경우)이라고 말하는 것과 같다.

"신뢰"라는 단어는 일상 용법에서 기대할 수 있는 의미를 담고 있지 않기 때문에 매우 중요하다. 신뢰할 수 있는 시스템은 사용자가 안전하게 사용할 수 있다고 느끼고, 유해하거나 허가되지 않은 프로그램을 몰래 실행하지 않고 작업을 수행할 수 있다고 신뢰하는 시스템이며, 신뢰할 수 있는 컴퓨팅은 플랫폼이 예상한 것 이상으로 수정되지 않은 것으로 신뢰할 수 있는지, 그리고 그러한 프로그램이 무고하거나 악의적인 것인지, 또는 실행하는지 여부를 가리킨다. 사용자가 원하지 않는

신뢰할 수 있는 시스템은 다른 레벨에 따라 보호가 제공되고 취급되는 레벨 기반의 보안 시스템으로도 볼 수 있다. 이는 군에서 흔히 볼 수 있는 것으로 정보가 미분류(U), 기밀(C), 비밀(S), 일급비밀(TS), 그 이상으로 분류된다. 이것은 또한 읽기 및 쓰기 다운이 없는 정책을 시행한다.

기밀 정보의 신뢰할 수 있는 시스템

신뢰할 수 있는 시스템의 서브셋("중분류 B" 및 "중분류 A")은 MAC(M 의무 접속 제어) 라벨을 구현하므로, 기밀 정보 처리에 사용할 수 있다고 가정하는 경우가 많다. 그러나 이것은 일반적으로 사실이 아니다. 다단계 보안 시스템을 작동할 수 있는 모드는 다단계, 구획, 전용, 시스템 하이 모드 등 4가지다. 국립컴퓨터보안센터의 '노란서'는 B3와 A1 시스템은 보안 라벨의 엄격한 부분집합을 처리하는 데만 사용할 수 있으며, 특히 엄격한 구성에 따라 작동할 때만 사용할 수 있다고 명시하고 있다.

미국 국방부 스타일의 신뢰할 수 있는 시스템 개념의 중심에는 "기준 감시기"라는 개념이 있는데, 이 개념은 시스템의 논리적 핵심을 차지하고 모든 접근 통제 결정을 책임지는 실체다. 이상적으로는 기준 모니터가

  • 변조 방지의
  • 항상 호출되는
  • 독립 시험의 대상이 될 수 있을 정도로 작으며, 완전성은 보장될 수 있다.

미국 국가안보국1983년 신뢰받는 컴퓨터 시스템 평가기준(TCSEC)이나 '오렌지 북'에 따르면 사용자가 신뢰할 수 있는 시스템에서 기대할 수 있는 특징과 보장을 기술한 일련의 '평가 클래스'가 정의됐다.

신뢰할 수 있는 컴퓨팅 기반(TCB)의 복잡성(크기가 아닌)을 최소화하기 위한 중요한 시스템 엔지니어링의 헌신은 최고 수준의 보증(B3 및 A1)을 제공하는 데 핵심적이다. 이는 시스템의 보안 정책 시행을 담당하는 하드웨어, 소프트웨어 및 펌웨어의 조합으로 정의된다. 이러한 점에서 고유 엔지니어링 상충은 TCB가 작을수록 TCB 외부에 있고 따라서 신뢰할 수 없는 하드웨어, 소프트웨어 및 펌웨어 집합이 클 수 있다. 비록 이것이 신뢰의 본질에 대한 궤변론자들의 주장을 기술적으로 더 순진하게 이끌 수도 있지만, 그 주장은 "정확성"과 "신뢰성"의 문제를 혼동한다.

TCSEC는 6개의 평가 등급으로 정밀하게 정의된 계층구조를 가지고 있다. 그 중 가장 높은 계층인 A1은 B3와 기능적으로 동일하다. 즉 문서화 표준에서만 가능하다. 이와는 대조적으로, 다양한 NATO 국가들의 기술적으로 성숙한 표준의 혼합에서 도출된 보다 최근에 도입된 공통 기준(CC)은 비계층적 방식으로 특징과 보장을 혼합하는 7개의 "평가 클래스"의 근소한 스펙트럼을 제공하며, TCSEC의 정밀도와 수학적 엄격성이 결여되어 있다. 특히 CC는 다양한 사전 정의된 "보호 프로파일"에서 도출된 보안 요구사항의 혼합물인 "평가 대상"(TOE)과 지원(권장까지)을 매우 느슨하게 식별하는 것을 용인한다. TCSEC의 임의로 보이는 구성요소라도 현장 시스템이 광고된 보안 정책을 적절히 집행한다는 "증거 체인"에 기여할 수 있는 경우를 만들 수 있지만 CC의 최고(E7) 수준조차 진정으로 유사한 일관성 및 증거 추론의 엄격성을 제공할 수 없다.[citation needed]

기밀 정보의 보호를 위한 신뢰할 수 있는 시스템의 수학적 개념은 독립적이지만 상호 관련성이 있는 두 기업에서 비롯된다. 1974년, MITRE의 데이비드 벨과 레오나드 라파둘라, 마즈의 기술적 지도와 재정적인 후원 하에. 미 육군 전자시스템사령부(Fort Hanscom, MA)의 로저 셸 박사(Roger Schell 박사)는 신뢰할 수 있는 컴퓨터 시스템을 객체(파일, 디스크, 프린터 등 데이터의 수동적 저장소 또는 수신처)와 피사체(물체 사이에 정보가 흐르게 하는 능동적 실체)의 관점에서 모델링하는 벨-라파둘라 모델을 고안했다. 사용자 또는 사용자를 대신하여 작동하는 시스템 프로세스 또는 스레드). 컴퓨터 시스템의 전체 작동은 실제로 그러한 흐름에 대한 피험자의 요청에 대응하여 사물을 사물로 넘나드는 정보의 조각의 "역사"(연속성-이론적 의미)로 간주될 수 있다. 동시에 퍼듀 대학의 도로시 데닝은 자신의 박사 논문을 발표하고 있었는데, 이 논문은 컴퓨터 시스템에서 "격자 기반 정보 흐름"을 다루고 있었다. (수학적 "격자"는 부분적으로 순서화된 집합으로, 지시된 아크로클릭 그래프로 특징지어질 수 있는데, 이 두 정점 사이의 관계는 "도표"가 되어 있다.) " 또는 둘 다에 의해.) 그녀는 "레이블"에 대한 일반적인 개념을 정의했다. 예를 들어, 군사 기밀 문서에서 한 번 마주친 모든 보안 표시에 대응한다. 예를 들어, Top Secret WNITEL TK DUMBO. Bell과 LaPadula는 데닝의 개념을 MITRE의 획기적인 기술 보고서인 보안 컴퓨터 시스템: 통합 박람회다중 기술 해석. 그들은 객체에 부착된 라벨은 객체 내에 포함된 데이터의 민감도를 나타내는 반면, 피실험자에 부착된 라벨은 주제를 실행하는 사용자의 신뢰도를 나타낸다고 기술하였다. (단, 오브젝트 내의 데이터의 민감도와 오브젝트 자체의 민감도 사이에는 미묘한 의미적 차이가 있을 수 있다.

개념은 "단순 보안 속성" (주제는 [수학적으로 부정확하지만 근접성보다 큼])과 "confinition 속성" 또는 "*-property"(주제는 그것을 지배하는 객체에만 쓸 수 있다)라는 두 가지 속성으로 통일된다. (이러한 속성은 각각 "읽지 않음"과 "쓰지 않음"으로 느슨하게 언급된다.) 공동으로 시행되는 이러한 속성은 정보가 불충분하게 신뢰할 수 있는 수신인이 이를 발견할 수 있는 저장소로 "하향"되지 않도록 보장한다. 확장적으로 피험자에게 할당된 라벨이 진정 신뢰도를 나타낸다고 가정하면, 참조 모니터에 의해 엄격하게 시행되는 읽기 및 쓰기 금지 규칙은 트로이 목마를 구속하기에 충분하며, 가장 일반적인 종류의 공격(sciz, 일반적으로 보고되는 웜과 바이러스는 특수화티오(specializatio이다.ns 트로이 목마 개념).

Bell-LaPadula 모델은 기술적으로 "기밀성" 또는 "재활용" 통제만을 시행한다. 즉, 그들은 부적절하게 그것을 공개하지 않는 대상의 민감성과 수반되는 신뢰성의 문제를 다룬다. "통합성"의 이중 문제(즉, 정확성의 문제 또는 심지어 사물의 입증의 문제)와 피사체의 부적절하게 수정하거나 파괴하지 않는 피사체의 동반 신뢰성은 수학적으로 첨부된 모델에서 다루어지며, 그 중 가장 중요한 것은 그 창조자인 K. J. 비바를 위해 이름이 붙여졌다. 다른 무결성 모델로는 Clark-Wilson 모델과 Shockley 및 Shell의 프로그램 무결성 모델인 "The SeaView Model"[1]이 있다.

MAC의 중요한 특징 중 하나는 MAC이 모든 사용자가 제어할 수 없다는 것이다. TCB는 사용자를 대신하여 실행된 제목과 사용자가 액세스하거나 수정하는 파일에 라벨을 자동으로 부착한다. 이와는 대조적으로, 임의 접근 제어(DAC)라고 불리는 추가적인 제어 등급은 시스템 사용자의 직접 제어 하에 있다. 권한 비트(60년대 후반부터 UNIX에 의해 지원되고 더 유연하고 강력한 형태로 Multics에 의해 더 일찍부터 지원됨)와 액세스 제어 목록(ACLs)과 같은 친숙한 보호 메커니즘은 DAC의 친숙한 예들이다.

신뢰할 수 있는 시스템의 행동은 종종 수학적 모델의 관점에서 특징지어진다. 이는 적용 가능한 운영 및 관리 제약 조건에 따라 엄격할 수 있다. 이들은 상태 기준, 상태 전환 제약 조건(상태 전환에 해당하는 일련의 "작동") 및 기술 최상위 규격인 DTLS(API와 같은 사용자 인식 인터페이스, UNIX시스템 호출 집합 또는 메인프레임시스템 종료)를 가진 유한 상태 기계(FSM)의 형태를 취한다. 전술한 각 요소들은 하나 이상의 모델 연산을 낳는다.

신뢰할 수 있는 컴퓨팅에서 신뢰할 수 있는 시스템

Trusted Computing Group은 중요한 정보의 구성 증명과 안전한 저장을 포함하여 신뢰할 수 있는 시스템의 특정 요구 사항을 해결하기 위한 사양을 작성한다.

정책 분석에서 신뢰할 수 있는 시스템

국가 또는 국토 안보, 법 집행 또는 사회 통제 정책의 맥락에서, 신뢰할 수 있는 시스템은 시스템 자원에 대한 접근을 허가하기 전에 사람이나 사물의 행동에 대한 조건부 예측을 제공한다.[2] 예를 들어, 신뢰할 수 있는 시스템에는 국가 보안 및 대테러 애플리케이션의 "보안 봉투" 사용, 기술 시스템 보안의 "신뢰할 수 있는 컴퓨팅" 이니셔티브, 금융 및 부정 행위 방지 애플리케이션에서의 신용 또는 신원 채점 시스템이 포함된다. 일반적으로 이러한 시스템에는 다음과 같은 모든 시스템이 포함된다.

  • 확률론적 위협 또는 위험 분석은 접근을 승인하기 전에 의사결정을 위한 "신뢰"를 평가하거나 가능한 위협에 대한 자원을 할당하는 데 사용된다(시스템 내에서 행동을 통제하기 위한 시스템 제약조건 설계에 사용되는 것을 포함). 또는
  • 편차 분석 또는 시스템 감시는 시스템 내의 동작이 예상되거나 승인된 매개변수를 준수하는지 확인하기 위해 사용된다.

대테러, 사기 방지 및 기타 목적을 위해 이러한 승인 기반 보안 전략(기본 상태가 DEFAULT=DENY인 경우)을 광범위하게 채택하고 있는 것은 현대 사회가 발생 후 일탈 행위에 대한 책임에 근거한 범죄 정의라는 명목상의 베카리안 모델에서 현대 사회의 지속적인 전환을 가속화하는 데 도움이 되고 있다. – Cesare Beccaria, On Crime and Sweeting(1764)을 참조하여 유비쿼터스 예방 감시와 시스템 제약을 통한 통제를 통한 사회적 준수 및 승인, 선점, 일반 사회 준수를 바탕으로 한 Fouculdian 모델 – Michel Foucault, Tergulation and Terminal(1975, Alan Sheridan, 1977, 1995)을 참조.

이 긴급 모델에서 "보안"은 치안 유지에 맞추어진 것이 아니라 감시, 정보 교환, 감사, 통신, 분류를 통한 위험 관리에 맞추어져 있다. 이러한 발전은 개인의 프라이버시시민의 자유에 대한 일반적인 우려와 적절한 사회적 지배 방법론에 대한 철학적 논쟁으로 이어졌다.

정보 이론에서 신뢰할 수 있는 시스템

정보이론의 맥락에서 신뢰할 수 있는 시스템은 다음과 같은 정의에 근거한다: "신뢰는 통신 채널에 필수적이지만 그 채널을 이용하여 소스에서 목적지로 이전될 수 없는 것이다."[3]

정보이론에서, 정보는 지식이나 의미와는 아무런 관계가 없다; 단순히 통신 채널을 이용하여 소스에서 목적지로 옮겨지는 것이다. 전송 전, 목적지에서 정보를 이용할 수 있다면, 전송은 0이다. 당사자가 수신하는 정보는 당사자가 예상하지 못하는 정보로, 그 메시지가 무엇이 될 것인지에 대한 당사자의 불확실성에 의해 측정된다.

마찬가지로 게르크가 정의한 신뢰는 우정, 지인, 직원-고용주 관계, 충성심, 배신, 그 밖의 지나치게 가변적인 개념과는 아무런 관계가 없다. 신뢰는 순전히 주관적인 의미에서도, 감정이나 어떤 것으로도 받아들여지지 않는다. 신뢰는 잠재적으로 전달 가능한 것으로 이해된다. 또한, 신뢰의 이 정의, 믿을 만한 몸에 다른 인스턴스 및 참관국 신뢰( 그렇지 않으면 통신 영역에서 고립될 것)의 신뢰의 각 서브 시스템의 모든 다르고 상호 주관적인 주관적인 깨달음(사람과 기계)공존할 수 있는 일반적인 의견에 입각한 의사 소통을 할 수 있도록 추상적이다.[4]

정보이론의 모델에서 종합하면, 「정보란 기대하지 않는 것」과 「신뢰는 알고 있는 것」이다. 두 개념을 연결하면 신뢰는 "수신된 정보에 대한 적절한 의존"으로 간주된다. 신뢰할 수 있는 시스템의 관점에서, 신뢰의 주장은 기록 자체에 근거할 수 없고, 다른 정보 채널의 정보에 근거한다.[5] 이러한 질문의 심화는 비즈니스 관계의 맥락에서 철저히 연구되어 온 신뢰의 복잡한 개념으로 이어진다.[6] 또한 정보의 "품질"이 정보 자체의 구조와 그것이 구상되는 정보 시스템의 구조에서 신뢰나 신뢰도를 통합하는 정보의 개념으로 이어진다. 정확성과 정밀성의 특정 정의에서 높은 품질은 신뢰도를 의미한다.[7]

신뢰의 미적분학의 예로는 "신뢰할 수 있는 두 시스템을 연결하면, 함께 가져갈 때 신뢰도가 더 높거나 낮아지는가?"[4]가 있다.

IBM Federal Software Group은 "신뢰점"은 다른 정보이론 개념과 관련되고 신뢰 측정에 대한 근거를 제공하기 때문에 정보기술 환경에서 응용에 가장 유용한 신뢰의 정의를 제공한다고 제안했다. 네트워크 중심 기업 서비스 환경에서, 그러한 신뢰의 개념은 바람직한 협업, 서비스 지향 아키텍처 비전을 달성하는 데 필수적이라고 간주된다.

참고 항목

참조

  1. ^ 룬트, 테레사 & 데닝, 도로시 & R. 셸, 로저 & 헥만, 마크 & R. 쇼클리, 윌리엄. (1990). SeaView 보안 모델... IEEE 트랜스. 소프트웨어 Eng.. 16. 593-607. 10.1109/SECPRI.1988.8114. (출처)
  2. ^ 여기에 기술된 신뢰할 수 있는 시스템의 개념은 K.A.의 타이팔레(2005)에서 논의되고 있다. 신뢰할 수 있는 시스템 문제: 보안 봉투, 통계적 위협 분석 및 무죄 추정, 국토안보 - 동향 및 논란, IEEE 지능형 시스템, 제20권 제5호, 페이지 80-83호(2005년 9월/10월)
  3. ^ a b 페히, J, P. Williams(1998) 디지털 인증서의 신뢰 지점: 적용된 인터넷 보안. 애디슨 웨슬리 ISBN0-201-30980-7; 신뢰할 수 있는 실제 모델: 받은 정보에 대한 의존
  4. ^ a b 정보 의존성, 제1부, 인터넷상의 Cook 보고서, 제X권, 제10권, 2002년 1월 ISSN 1071-6327신뢰한다.
  5. ^ 그레고리, 존 D. (1997년). 존 D. 전자법률기록: 인증이 꽤 좋은가?
  6. ^ Huemer, L. (1998년) 비즈니스 관계에 대한 신뢰: 경제적 논리 또는 사회적 상호작용? 우메우:보레아. ISBN 91-89140-02-8.
  7. ^ 이바노프, K. (1972) 정보의 품질 관리: 데이터 뱅크관리 정보 시스템의 정보의 정확성 개념에 대해.스톡홀름 대학교와 왕립 기술 연구소.
  8. ^ a b 달리, 크리스토퍼 (2004). 2004년 IBM, NCES(Network-Centric Enterprise Services) 환경에 대한 신뢰 프레임워크(Wayback Machine에 IEEE Computer Society의 ISSAA Archived 2011-07-26 요청).

외부 링크