In der Sicherheitstechniksubspezialisierung der Informatik ist ein vertrautes System ein System, das in einem angegebenen Ausmaß darauf gebaut wird, um eine angegebene Sicherheitspolitik geltend zu machen. Als solcher ist ein vertrautes System dasjenige, dessen Misserfolg eine angegebene Sicherheitspolitik brechen kann.

Vertraute Systeme in der Verschlusssache

Vertraute Systeme werden für die Verarbeitung, Lagerung und Wiederauffindung der empfindlichen oder Verschlusssache verwendet.

Zentral zum Konzept der Vereinigten Staaten. Mit dem Verteidigungsministerium artige "vertraute Systeme" sind der Begriff eines "Bezugsmonitors", der eine Entität ist, die das logische Herz des Systems besetzt und für alle Zugriffskontrollentscheidungen verantwortlich ist. Ideal ist der Bezugsmonitor (a) tamperproof, (b) immer angerufen und (c) klein genug, um der unabhängigen Prüfung unterworfen zu sein, deren Vollständigkeit gesichert werden kann. Pro amerikanische Staatssicherheitsagentur-1983-Trusted Computer System Evaluation Criteria (TCSEC) oder "Orange Book" wurde eine Reihe von "Einschätzungsklassen" definiert, der die Eigenschaften und Versicherungen beschrieben hat, dass der Benutzer von einem vertrauten System erwarten konnte.

Die höchsten Niveaus der Versicherung wurden durch die bedeutende Projektplanung versichert, die zur Minimierung der Größe der vertrauten Rechenbasis (TCB) geleitet ist, die als diese Kombination der Hardware, Software und firmware definiert ist, der dafür verantwortlich ist, die Sicherheitspolitik des Systems geltend zu machen.

Weil der Misserfolg des TCB das vertraute System bricht, wird höhere Versicherung durch die Minimierung des TCB zur Verfügung gestellt. Ein innewohnender Technikkonflikt entsteht in Systemen der höheren Versicherung darin, je kleiner der TCB, desto größer der Satz der Hardware, Software und firmware, der außerhalb des TCB liegt. Das kann zu einigen philosophischen Argumenten über die Natur des Vertrauens führen, das auf dem Begriff gestützt ist, dass eine "vertrauenswürdige" Durchführung keine "richtige" Durchführung von der Perspektive der Erwartungen von Benutzern notwendigerweise sein kann.

Im Gegensatz zur genau definierten Hierarchie des TCSEC von sechs Einschätzungsklassen stellen mehr kürzlich eingeführte Common Criteria (CC) - die auf eine Mischung mehr oder weniger technisch reifer Standards aus verschiedenen NATO-Ländern zurückzuführen sind - ein feineres Spektrum von sieben "Einschätzungsklassen" zur Verfügung, die Eigenschaften und Versicherungen auf eine wohl nichthierarchische Weise vermischen und an der philosophischen Präzision und mathematischen Striktur des TCSEC Mangel haben. Insbesondere der CC dulden sehr lose Identifizierung des "Ziels der Einschätzung" (ZEHE), und Unterstützung sogar fördern Mischung von von einer Vielfalt von vorherbestimmten "Schutzprofilen gepflückten Sicherheitsvoraussetzungen-a." Während starke Argumente dieser vorgebracht werden können, tragen sogar die mehr anscheinend willkürlichen Bestandteile des TCSEC zu einer "Kette von Beweisen" bei, dass ein aufs Feld geschicktes System richtig seine angekündigte Sicherheitspolitik, nicht geltend macht, kann sogar das höchste (E7) Niveau des CC analoge Konsistenz und Striktur des überzeugenden Denkens aufrichtig zur Verfügung stellen.

Die mathematischen Begriffe von vertrauten Systemen für den Schutz der Verschlusssache sind auf zwei unabhängige, aber in Wechselbeziehung stehende Korpora der Arbeit zurückzuführen. 1974, David Bell und Leonard LaPadula von MITRA, unter der nahen technischen Leitung und Wirtschaftsbürgschaft von Maj arbeitend. Roger Schell, Dr., des amerikanischen Elektronischen Armeesystembefehls (Ft. Hanscom, Massachusetts), ausgedacht, was als das Modell von Bell-LaPadula bekannt ist, in dem ein mehr oder weniger vertrauenswürdiges Computersystem in Bezug auf Gegenstände (passive Behältnisse oder Bestimmungsörter für Daten, wie Dateien, Platten, Drucker) und Themen (energische Benutzer der Entitäten vielleicht, oder Systemprozesse oder Fäden modelliert wird, die im Auftrag jener Benutzer - dass Ursache-Information funktionieren, um unter Gegenständen zu fließen). Die komplette Operation eines Computersystems kann tatsächlich eine "Geschichte" (im serializability-theoretischen Sinn) der Information betrachtet werden, die vom Gegenstand bis Gegenstand als Antwort auf die Bitten von Themen um solche Flüsse fließt.

Zur gleichen Zeit veröffentlichte Dorothy Denning an der Purdue Universität ihre Doktordoktorarbeit, die sich "mit Gitter-basierten Datenflüssen" in Computersystemen befasst hat. (Ein mathematisches "Gitter" ist ein teilweise bestellter Satz, characterizable weil herrscht ein geleiteter acyclic Graph, in dem die Beziehung zwischen irgendwelchen zwei Scheitelpunkten ist entweder, "vor," "wird durch," oder keiner beherrscht.) Sie hat einen verallgemeinerten Begriff von "Etiketten" - entsprechend mehr oder weniger den vollen Sicherheitsmarkierungen definiert man stößt auf klassifizierten militärischen Dokumenten, z.B, auf SPITZENGEHEIMNIS WNINTEL TK, Die Entitäten beigefügt werden. Bell und LaPadula haben das Konzept von Denning in ihre merkliche MITRA technisches berichtsbetiteltes, Sicheres Computersystem integriert: Vereinigte Ausstellung und Multics Interpretation - wodurch Gegenständen beigefügte Etiketten die Empfindlichkeit von innerhalb des Gegenstands enthaltenen Daten vertreten haben (obwohl dort sein kann, und häufig, ein feiner semantischer Unterschied zwischen der Empfindlichkeit der Daten innerhalb des Gegenstands und der Empfindlichkeit des Gegenstands selbst ist)), während Themen beigefügte Etiketten die Zuverlässigkeit des Benutzers vertreten haben, der das Thema durchführt. Die Konzepte werden mit zwei Eigenschaften vereinigt, das "einfache Sicherheitseigentum" (kann ein Thema nur von einem Gegenstand lesen, den es [beherrscht, ist größer, als nah genug ist - obgleich mathematisch ungenaue Interpretation]) und das "Beschränkungseigentum," oder "*-property" (kann ein Thema nur einem Gegenstand schreiben, der es beherrscht). (Diese Eigenschaften werden lose "nicht gelesen" und "ohne Abschreibungen," beziehungsweise genannt.) Gemeinsam beachtet stellen diese Eigenschaften sicher, dass Information "bergab" in ein Behältnis woher ungenügend nicht fließen kann, können vertrauenswürdige Empfänger es entdecken. Durch die Erweiterung, annehmend, dass die Themen zugeteilten Etiketten ihre Zuverlässigkeit, dann "nicht gelesen" und durch den Bezugsmonitor starr beachtete Regeln ohne Abschreibungen aufrichtig vertretend sind, sind nachweisbar genügend, um trojanische Pferde, eine der allgemeinsten Klassen des Angriffs zu zwingen (sciz., die populär berichteten Würmer und Viren sind Spezialisierungen des trojanischen Pferd-Konzepts).

Das Modell von Bell-LaPadula macht technisch nur "Vertraulichkeit", oder "Geheimhaltung", Steuerungen geltend, d. h. sie richten das Problem der Empfindlichkeit von Gegenständen und begleitenden Zuverlässigkeit von Themen ziemlich passend, um es bekannt zu geben. Das Doppelproblem "der Integrität", d. h., das Problem der Genauigkeit (sogar Herkunft) Gegenstände und begleitender Zuverlässigkeit von Themen ziemlich passend, um es zu modifizieren oder zu zerstören, wird durch mathematisch affine Modelle gerichtet, von denen das wichtigste für seinen Schöpfer, K. J. Biba genannt wird. Andere Integritätsmodelle schließen das Modell von Clark-Wilson und Shockleys Programm-Integritätsmodell und Schells ein.

Eine wichtige Eigenschaft der Klasse von Sicherheitssteuerungen hat supra beschrieben, hat obligatorische Zugriffssteuerungen oder MAC genannt, ist, dass sie völlig außer der Kontrolle jedes Benutzers sind: Der TCB fügt automatisch Etiketten irgendwelchen im Auftrag Benutzer durchgeführten Themen bei; Dateien geschaffen, gelöscht, lesen Sie oder geschrieben von Benutzern; und so weiter. Im Gegensatz, eine zusätzliche Klasse von Steuerungen, hat Ermessenszugriffssteuerungen genannt, sind unter der direkten Kontrolle der Systembenutzer. Vertraute Schutzmechanismen wie Erlaubnis-Bit (unterstützt durch UNIX seit dem Ende der 1960er Jahre und - in einer flexibleren und starken Form - durch Multics seitdem früher noch) und Zugriffsberechtigungslisten (ACLs) sind vertraute Beispiele von Ermessenszugriffssteuerungen.

Das Verhalten eines vertrauten Systems wird häufig in Bezug auf ein mathematisches Modell charakterisiert - der abhängig von anwendbaren betrieblichen und administrativen Einschränkungen mehr oder weniger streng sein kann - der die Form einer Zustandsmaschine (FSM) mit Zustandkriterien annimmt; Zustandübergang-Einschränkungen; eine Reihe von "Operationen", die zu Zustandübergängen (gewöhnlich, aber nicht notwendigerweise, ein) entsprechen; und eine beschreibende Spezifizierung auf höchster Ebene oder DTLS, eine benutzerwahrnehmbare Schnittstelle (z.B, eine API, eine Reihe von Systemanrufen [im UNIX Sprachgebrauch] oder Systemausgänge [im Großrechner-Sprachgebrauch]) zur Folge habend, dessen jedes Element eine oder mehr Musteroperationen erzeugt.

Vertraute Systeme in der vertrauten Computerwissenschaft

Trusted Computing Group schafft Spezifizierungen, die gemeint werden, um besondere Voraussetzungen von vertrauten Systemen, einschließlich der Bescheinigung der Konfiguration und sicheren Lagerung der empfindlichen Information zu richten.

Vertraute Systeme in der Politikanalyse

Vertraute Systeme im Zusammenhang von nationalen oder Heimatssicherheit, Strafverfolgung oder sozialer Kontrollpolitik sind Systeme, in denen eine bedingte Vorhersage über das Verhalten von Leuten oder Gegenständen innerhalb des Systems vor dem Autorisieren des Zugangs zu Systemmitteln bestimmt worden ist.

Zum Beispiel schließen vertraute Systeme den Gebrauch von "Sicherheitsumschlägen" in der Staatssicherheit und den Anti-Terroranwendungen ein, "hat" Recheninitiativen in der technischen Systemsicherheit und der Gebrauch des Kredits oder der Identitätszählen-Systeme im finanziellen und den Antischwindel-Anwendungen vertraut; im Allgemeinen schließen sie jedes System (i) ein, in der probabilistic Drohung oder Analyse riskieren, wird verwendet, "um Stiftung" für die Beschlussfassung vor dem Autorisieren des Zugangs zu bewerten oder für Mittel gegen wahrscheinliche Drohungen (einschließlich ihres Gebrauches im Design von Systemeinschränkungen zuzuteilen, um Verhalten innerhalb des Systems zu kontrollieren), oder (ii), in dem Abweichungsanalyse oder Systemkontrolle verwendet werden, um sicherzustellen, dass das Verhalten innerhalb von Systemen erwartete oder autorisierte Rahmen erfüllt.

Die weit verbreitete Adoption dieser Genehmigungsbasierten Sicherheitsstrategien (wo der Verzug-Staat DEFAULT=DENY ist) für den Anti-Terror-, den Antischwindel und die anderen Zwecke hilft, die andauernde Transformation von modernen Gesellschaften von einem begrifflichen Modell von Beccarian des Strafrechts zu beschleunigen, das auf der Verantwortlichkeit für abweichende Handlungen gestützt ist, nachdem sie vorkommen, sieh Cesare Beccaria, Auf Verbrechen und Strafe (1764), zu einem Modell von Foucauldian, das auf Genehmigung, Vorkaufsrecht, und allgemeinem sozialem Gehorsam durch die allgegenwärtige vorbeugende Kontrolle und Kontrolle durch Systemeinschränkungen gestützt ist, sieh Michel Foucault, Disziplin und Bestrafen Sie (1975, Alan Sheridan, tr. 1977, 1995).

In diesem auftauchenden Modell wird "Sicherheit" nicht zum Überwachen eingestellt, aber Management durch Kontrolle, Informationsaustausch, Rechnungsprüfung, Kommunikation und Klassifikation zu riskieren. Diese Entwicklungen haben zu allgemeinen Sorgen über die individuelle Gemütlichkeit und Zivilfreiheit und zu einer breiteren philosophischen Debatte über die passenden Formen von sozialen Regierungsgewalt-Methodiken geführt.

Vertraute Systeme in der Informationstheorie

Vertraute Systeme im Zusammenhang der Informationstheorie basieren auf der Definition des Vertrauens, wie Vertrauen dass ist, der für einen Nachrichtenkanal notwendig ist, aber von einer Quelle einem Bestimmungsort mit diesem Kanal von Ed Gerck nicht übertragen werden kann.

In der Informationstheorie hat Information nichts, um mit Kenntnissen oder Bedeutung zu tun. Im Zusammenhang der Informationstheorie ist Information einfach das, was von einer Quelle einem Bestimmungsort mit einem Nachrichtenkanal übertragen wird. Wenn, vor der Übertragung, die Information am Bestimmungsort dann verfügbar ist, ist die Übertragung Null. Von einer Partei erhaltene Information ist dass, den die Partei — wie gemessen, durch die Unklarheit der Partei betreffs nicht erwartet, wie die Nachricht sein wird.

Ebenfalls hat Vertrauen, wie definiert, durch Gerck nichts, um mit Freundschaft, Bekanntschaften, Mitarbeiter-Arbeitgeberbeziehungen, Loyalität, Verrat und anderen allzu variablen Konzepten zu tun. Vertrauen wird im rein subjektiven Sinn entweder, noch als ein Gefühl oder etwas rein Persönliches oder Psychologisches nicht genommen — Vertrauen wird als etwas potenziell Übertragbares verstanden. Weiter ist diese Definition des Vertrauens abstrakt, verschiedenen Beispielen und Beobachtern in einem vertrauten System erlaubend, gestützt auf einer allgemeinen Idee vom Vertrauen zu kommunizieren (sonst Kommunikation würde in Gebieten isoliert), wo alle notwendigerweise verschiedenen subjektiven und zwischensubjektiven Verwirklichungen des Vertrauens auf jedes Subsystem (Mann und Maschinen) koexistieren können.

Genommen zusammen im Modell der Informationstheorie ist Information, was Sie nicht erwarten und Vertrauen ist, was Sie wissen. Wenn man beide Konzepte verbindet, wird Vertrauen als qualifiziertes Vertrauen auf der erhaltenen Information gesehen. In Bezug auf vertraute Systeme kann eine Behauptung des Vertrauens nicht auf der Aufzeichnung selbst, aber auf der Information von anderen Informationskanälen basieren. Das Vertiefen dieser Fragen führt zu komplizierten Vorstellungen des Vertrauens, die im Zusammenhang von Geschäftsbeziehungen gründlich studiert worden sind. Es führt auch zu Vorstellungen der Information, wo die "Qualität" der Information Vertrauen oder Zuverlässigkeit in der Struktur der Information selbst und des Informationssystems (E) integriert, in dem es konzipiert wird: Die höhere Qualität in Bezug auf besondere Definitionen der Genauigkeit und Präzision bedeutet höhere Zuverlässigkeit.

Eine Einführung in die Rechnung des Vertrauens (Beispiel: 'Wenn ich zwei vertraute Systeme verbinde, wird ihnen mehr oder weniger, wenn genommen, zusammen vertraut?') wird eingereicht.

IBM Federal Software Group hat vorgeschlagen, dass das die nützlichste Definition der Stiftung für die Anwendung in einer Informationstechnologieumgebung zur Verfügung stellt, weil es mit anderen Informationstheorie-Konzepten verbunden ist und eine Grundlage schafft, um Vertrauen zu messen. In einem Netz zentrische Unternehmensdienstleistungsumgebung, wie man betrachtet, ist solcher Begriff des Vertrauens Erfordernis, für die gewünschte zusammenarbeitende, dienstorientierte Architektur-Vision zu erreichen.

Siehe auch

• Genauigkeit und Präzision
• Computersicherheit
• Datenqualität
• Informationsqualität
• sichere Computerwissenschaft
• vertraute Computerwissenschaft

Links

Siehe auch, Das Vertraute Systemprojekt, ein Teil von Global Information Society Project (GISP), ein gemeinsames Forschungsprojekt von World Policy Institute (WPI) und dem Zentrum für Fortgeschrittene Studien in Sci. & Technologie. Politik (CAS).