W artykule przedstawiono opis zaproponowanej przez autorów symulacyjnej metody weryfikacji i walidacji planów wdrożenia, która na etapie projektowania systemu ułatwia zrozumienie jego dynamicznych aspektów oraz pozwala na wczesne wykrycie błędów projektowych i architektonicznych bez konieczności istnienia rzeczywistych produktów wdrożenia i docelowego środowiska działania. Metoda bazuje na wykorzystaniu topologii (jako planu wdrożenia) oraz języków: UML (opisu środowiska wdrożenia), OCL (opisu ograniczeń) i UAL (do opisu imperatywu semantyk akcji). Środki te pozwoliły na zbudowanie precyzyjnych modeli, zarówno planu wdrożenia, jak i symulacyjnego środowiska do jego badania. Symulację w tej metodzie wykorzystano do badania planów wdrożenia jako środek ich ewaluacji.
EN
Simulation method for verification and validation of deployment plans was presented. Using this approach at the design stage of a system, makes it easier to understand dynamics of the system and allows for early detection of design and architecture errors without the need for an actual product deployment. The method is based on the use of topology model (as a deployment plan) and the following languages: UML (description of deployment environment), OCL (constraints) and UAL (imperative semantic of actions). The use of these languages yielded highly accurate models which are the key element of the simulator. The simulation enabled examination of different deployment plans and selection of the one that met the constraints brought to the target environment. ABSTRACT: Simulation method for verification and validation of deployment plans was presented. Using this approach at the design stage of a system, makes it easier to understand dynamics of the system and allows for early detection of design and architecture errors without the need for an actual product deployment. The method is based on the use of topology model (as a deployment plan) and the following languages: UML (description of deployment environment), OCL (constraints) and UAL (imperative semantic of actions). The use of these languages yielded highly accurate models which are the key element of the simulator. The simulation enabled examination of different deployment plans and selection of the one that met the constraints brought to the target environment.
2
Dostęp do pełnego tekstu na zewnętrznej witrynie WWW
The paper deals with the modelling of IT (Information Technology) security development process to be compliant with the Common Criteria (ISO/IEC 15408) family of standards. The paper concerns a more extensive project of the IT security development framework (ITSDF) but special attention is paid to improving and extending the means used to build the IT security specification. A dedicated language is proposed to define specification means for development stages other than the security requirement elaboration stage for which the standard does not provide specification means. The proposed means, called “enhanced generics”, can be used to specify items for the security environment, objectives, environmental requirements and the security functions. The enhanced generics have similar features as the components of the security requirements. They have a well defined structure and allow operations (iteration) on themselves. This solution, instead of the informal textual descriptors, ensures better preciseness of the security features description. The key element of the paper is the formal grammar of generics. It allows to derive all possible “legal” enhanced generics. They have semiformal character and features, similarly to the functional and assurance components defined by the standard to specify the security requirements. The paper, concluding an earlier informal approach, introduces syntax and semantics definitions based on the formal grammar and approach used to define the OCL language formally. The proposed means make security specifications more precise and coherent, allowing to reach the assurance level more easily. Moreover, this approach allows to create an IT security development tool in which the specification means are implemented as the design library elements.
PL
Artykuł dotyczy wybranych zagadnień modelowania procesu konstruowania produktów lub systemów teleinformatycznych zawierających elementy zabezpieczeń, zgodnie z wymaganiami określonymi we “Wspólnych kryteriach oceny zabezpieczeń teleinformatycznych” (ISO/IEC 15408) i w standardach z nim związanych. Dotyczy on szerzej zakrojonych prac autora nad szkieletowym systemem konstruowania zabezpieczeń (ITSDF – IT security development framework). Skupiono w nim uwagę na udoskonaleniu i rozszerzeniu środków do tworzenia specyfikacji modeli bezpieczeństwa produktów lub systemów teleinformatycznych. Zaproponowano dedykowany język do specyfikowania własności bezpieczeństwa dla wszystkich etapów konstruowania, innych niż etap definiowania wymagań bezpieczeństwa. Należy nadmienić, że w standardzie Wspólne kryteria tylko dla tego etapu określono środki specyfikacji, czyli komponenty funkcjonalne i uzasadniające zaufanie. Natomiast dla etapów wypracowania: otoczenia zabezpieczeń (“problemu bezpieczeństwa” według wersji 3.1 standardu), celów zabezpieczeń, wymagań dla środowiska eksploatacji oraz funkcji zabezpieczających, dotychczas takich środków nie zdefiniowano. Konstruktorzy zabezpieczeń stosują więc opisy słowne lub zwięzłe, ale dość swobodnie zdefiniowane, sformułowania oznaczane etykietami, które zwane są potocznie generykami. Autor w swej publikacji zaproponował udoskonalenie tego sposobu opisu. Zaproponowane w publikacji środki specyfikacji, z racji swych możliwości, nazwano “udoskonalonymi generykami” (enhanced generics). Są one przeznaczone dla tych etapów konstruowania, dla których dotychczas było brak środków opisu. Podobnie jak zdefiniowane przez standard komponenty wymagań bezpieczeństwa – funkcjonalne oraz uzasadniające zaufanie, wspomniane udoskonalone generyki mają charakter półformalny. Udoskonalone generyki dorównują precyzją i możliwościami komponentom zdefiniowanym w standardzie i razem z tymi komponentami stanowią spójny zbiór środków specyfikacji dla wszystkich etapów konstruowania zabezpieczeń. Mogą posiadać parametry, pod które można podstawiać inne generyki. Pozwala to na iterację, czyli wielokrotne umieszczanie danego generyka w specyfikacji, ale z różnymi podstawionymi wartościami parametrów, np. tego samego zagrożenia z różnymi agentami zagrożenia i atakowanymi zasobami (Przykład 3). Na wzór uszczegółowienia (ang. refinement) komponentu wprowadzono operację uszczegółowienia generyka. Nowum stanowi możliwość wyprowadzania z danego generyka generyków pochodnych (ang. derived), a przede wszystkim predefiniowane ciągi generyków wspomagające rozwiązywania problemów bezpieczeństwa przez konstruktora (ang. supporting chains). Dla danego zagrożenia (reguły polityki bezpieczeństwa czy założenia) przypisano bowiem typowe dla niego cele bezpieczeństwa, które dany problem rozwiązuja˛. Z kolei każdy cel ma przypisane typowe komponenty funkcjonalne, które go wyrażają “w języku wspólnych kryteriów”, zaś pogrupowane komponenty mają przypisane typowe funkcje bezpieczeństwa, które należy zaimplementować w produkcie lub systemie informatycznym. Konstruktor zabezpieczeń, bazując na “typowych”, predefiniowanych rozwiązaniach ma znacznie ułatwioną pracę podczas tworzenia i uzasadniania zadania zabezpieczeń (ang. ST- Security target) lub profilu zabezpieczeń (ang. PP- Protection Profile). Na tle stosowanych dotychczas nieformalnych środków specyfikacji (sformułowań tekstowych, prostych generyków), artykuł pokazuje ich ewolucję do postaci “udoskonalonych generyków”. Pierwszym krokiem była próba określenia stosowanego, lecz nigdzie jeszcze nie zdefiniowanego pojęcia “generyk” (Definicja 1). Następnie podano definicję udoskonalonego generyka, stosując popularną wśród użytkowników standardu notację z kropką (Definicja 2). Stało się to podstawą zdefiniowania składni (Definicja 3) i samego języka (Definicja 4). W ten sposób określono wszystkie możliwe nazwy generyków, nie precyzując jednak ich znaczenia. W celu zdefiniowania semantyki (sekcja 4) posłużono się metodą z rozprawy doktorskiej Richtersa, za pomocą której zdefiniowano semantykę języka OCL (Object Constraint Language), wykorzystywanego do precyzyjnego modelowania w UML (Unified Modeling Language). Istota metody tkwi w przypisaniu interpretacji do stosowanych literałów. W tym sensie środki specyfikacji własności bezpieczeństwa stały się zgodne z językiem OCL i mogą być traktowane jako jego podzbiór. Szerzej te zagadnienia prezentuje monografia [5]. Opisany powyżej zbiór środków do specyfikowania, obejmujący udoskonalone generyki oraz zdefiniowane przez standard komponenty, dzięki zastosowanym formalizmom, pozwala na większą spójność i dokładność modeli oraz na implementacje˛ programowa˛w postaci elementów bibliotecznych systemów wspomagania konstruowania zabezpieczeń teleinformatycznych.
The monograph presents an IT Security Development Framework (1TSDF) based on the Common Criteria (ISO/IEC 15408) family of standards for the product designers and evaluators. The system, compliant with ISO/IEC TR 15446, is based on the enhanced concept of generics, advanced functionality, recent information security management standards, and risk analysis. A computer-aided tool was developed with the use of the UML-based (Unified Modelling Language) framework presented there. Due to the semiformal character of the Common Criteria and the UML methodologies, the framework has a semiformal character too. The formal, OCL-based (Object Constraint Language) method elements were introduced for the selected areas of the framework, where they can bring real advantages, especially to improve the specification means. The introductory part of the monograph presents the key term, i.e. the assurance, and general Common Criteria approach to provide the assurance of the IT product or systems. Rigorous IT product or system development to reach assurance is very complicated due to many details, feedbacks, auxiliary analysis and step-by-step rationale. The development is laborious and requires expert knowledge. These difficulties are seen as a barrier to the dissemination of IT solutions of the higher assurance. The motivation of the work presented in the monograph is how to improve the IT security development process, i.e. how to perform it more precisely, formally, consistently, and more effectively, i.e. more quickly and cheaply. The proposed solution to the problem is based on the UML/OCL approach, hence selected issues dealing with the application of this methodology in the information security domain are provided. At the end of the introductory chapter the general concept of the UML/OCL framework for IT security development is summarized together with the means and ways to develop this framework. The second chapter presents general background of the elaborated IT Security Development Framework and its software implementation. At the beginning, the current state of technology was reviewed, with focus on the gaps identification. The review includes the most relevant publications on: IT security development process, general modelling aspects, UML and OCL implementation, semiformal and security engineering methods, particularly concerning Common Criteria, and computer-aided tools. The relationships between IT product or system development process and their IT security development process is discussed. Additionally, this chapter gives a summary of the Common Criteria development process, identifying points whose support for the developers is especially required (i.e. developers' needs) and, generally, presents the concept of the developed framework (main structural model and the state machine representing its elaboration). Short discussion of the available specification means is added, that is the motivation to improve them. The concept presented in the monograph, dealing with the elaboration of the IT Security Development Framework, encompasses two basic issues: o creating the means to build the security specifications, i.e. "a security property language", o workout of the semiformal (UML/OCL-based) model of this development process. The first issue is discussed in the chapter 3, the second in chapters 4-10, each related to one section of the CC-defined Security Target (ST) presenting the IT product/system security requirements. Common Criteria include semiformal specification means, i.e. components only to specify the functional and assurance security requirements. Due to the absence of adequate specification means for other IT security development stages (the TOE security environment, TOE security objectives, security requirements for the environment, security functions), the monograph provides the set of enhanced generics which, together with the above mentioned components, constitutes a coherent set of the means, i.e. a language to carry out security specifications (ST). The common, UML/OCL-based model for these means is assumed. This creates quite new possibilities for developers, making the development process easier and more precise, e.g. operation on specification elements, decision support, coverage analysis, risk analysis, better compliance with the information security management, etc. Chapters 4 to 10 encompass the whole IT security development process compliant with the Security Target structure. Instead of commonly used informal textual descriptors, the UML models, supported by the OCL, were applied to specify this framework. The initial stage of the development methodology focuses on capturing the basic features of an IT product or system as "input data". The ST introduction is elaborated, presenting general features of the IT product or system, called there Target of Evaluation (TOE). On this basis the TOE security environment, presenting threats, security policy rules and assumptions, is worked out. The security objectives covering the identified security problems are elaborated with the use of the TOE security environment specification. The security objectives are used to specify the security requirements - functional and assurance. The functional security requirements allow to define the security functions which are implemented at the EAL-described(EAL1-EAL7) rigour level. A very important issue is the rationale processes which is obligatory between development stages. The monograph concerns development, hence the TOE evaluation against the declared EAL is presented there in a concise way in the chapter 11. The evaluation model compliant with the Common Criteria methodology is presented. Although the monograph is focused on the theoretical aspects of the ITSDF framework, please note that this framework was implemented as the computer-aided tool both for the development and evaluation. The author, referring for details to technical documentation and the demo version of the software tool, shows basic implemented issues, like the design library containing hundreds of specification means, wizard providing step-by-step assistance to developers, design support by the predefined supporting chains, visualization facilities, automatically generated ST, design evaluation, etc. The final chapter, 13, summarizes the objectives, range and results of the whole work. The five appendices of the monograph include: the basic Common Criteria terminology, selected OCL syntax and semantics used for the UML model representation in the monograph, selected cryptographic terms concerning the use of the UMLsec approach, basic principles of naming the terms, and an example illustrating the developed methodology with the use of a firewall design.
PL
Monografia dotyczy zagadnienia konstruowania zabezpieczeń wbudowywanych w produkty lub systemy informatyczne (IT) z zamiarem poddania niezależnej ocenie tych zabezpieczeń, zgodnie ze standardem ISO/IEC 15408 "Wspólne kryteria oceny zabezpieczeń teleinformatycznych" (Common Criteria). Dzięki specjalnej, rygorystycznej metodzie konstruowania, a potem niezależnej ocenie zabezpieczeń, poświadczanej certyfikatem, można dyskutować o uzasadnionym zaufaniu do zabezpieczeń (assurance). Jest ono mierzalne z wykorzystaniem tak zwanych poziomów uzasadnionego zaufania (Evaluation Assurance Levels), w zakresie od EAL1 do EAL7. Przypomnijmy, że pierwsza cześć wspomnianej normy prezentuje informacje ogólne - "filozofię" kreowania uzasadnionego zaufania do zabezpieczeń, druga zawiera katalog komponentów (elementarnych wymagań) funkcjonalnych, służących do modelowania zachowania zabezpieczeń, trzecia zaś - katalog komponentów opisujących uzasadnione zaufanie. Przedstawiana problematyka dotyczy bardzo szerokiego spektrum produktów informatycznych (sprzętu, oprogramowania, w tym układowego) oraz zbudowanych z nich systemów - określanych wspólnym mianem przedmiotów oceny (TOE - Target of Evaluation). Na tym tle niniejsza monografia prezentuje półformalny system szkieletowy do konstruowania zabezpieczeń informatycznych według ISO/IEC 15408, przeznaczony dla konstruktorów informatyków i elektroników oraz specjalistów oceniających zabezpieczenia. System szkieletowy zawiera model procesów konstruowania (struktury danych i działania) oraz modele środków do specyfikowania tworzonych projektów. Oferuje rozbudowane możliwości dla konstruktorów w zakresie wspomagania projektowania, w tym prowadzenia analizy rozwiązań, wspomagania decyzji oraz analizy ryzyka. Zachowana została zgodność ze standardami zarządzania bezpieczeństwem informacji w zakresie definiowania reguł polityki bezpieczeństwa. System opiera się również na wprowadzonej koncepcji tak zwanych zaawansowanych (rozszerzonych) generyków, wykorzystywanych obok komponentów funkcjonalnych i uzasadniających zaufanie do specyfikowania projektów zabezpieczeń. System szkieletowy opracowano, stosując szeroko język UML (Unified Modelling Language), co w rezultacie pozwoliło dokonać implementacji tych modeli i opracować komputerowe narzędzie wspomagające pracę konstruktorów. Zarówno Wspólne kryteria, jak i UML zaliczane są do metod półformalnych, stąd opracowany system szkieletowy posiada również taki charakter, aczkolwiek w sposób rozważny i z uwzględnieniem potencjalnych korzyści pewne jego elementy przedstawiono w sposób formalny, opierając się głównie na języku OCL (Object Constraint Language) oraz prostych operacjach na zbiorach. Rozdział 1., wprowadzający do monografii, wyjaśnia kluczowe pojęcie, jakim jest uzasadnione zaufanie oraz przedstawia, w świetle standardu Wspólne kryteria, w jaki sposób uzyskuje się uzasadnione zaufanie dla produktu lub systemu informatycznego podczas jego konstruowania, oceny i eksploatacji. Jest to trudne zadanie ze względu na konieczność zapanowania nad wieloma detalami, wzajemnymi zależnościami i sprzężeniami zwrotnymi w toku rygorystycznego procesu konstruowania. Pamiętajmy bowiem, że im większy stosuje się rygoryzm konstruowania, dokumentowania, testowania, analiz zachowania itp., tym wyższe może być uzasadnione zaufanie. Opracowywanie tego typu produktów lub systemów jest pracochłonne i wymaga specjalistycznej wiedzy, a trudności z tym związane są ciągle uznawane za barierę w ich upowszechnieniu. Motywacją do podjęcia pracy, której wyniki przedstawia niniejsza monografia, był zamiar udoskonalenia procesu konstruowania zabezpieczeń, tak by przez głębszą formalizację tego procesu poprawić dokładność i spójność projektów oraz obniżyć koszt i czas ich realizacji. W tym celu wykorzystano możliwości, jakie stwarza metodyka UML/OCL. Rozdział 2. przedstawia szeroko podstawy prowadzonych prac rozwojowych nad systemem szkieletowym, w tym jego implementacją w postaci oprogramowania wspomagającego działania konstruktorów. Dokonano przeglądu publikacji oraz istniejących rozwiązań technologicznych w tym zakresie (inżynieria zabezpieczeń, metody oparte na UML i ich rozszerzenia, metody i narzędzia wspomagające konstruowanie zabezpieczeń według Wspólnych kryteriów). Przedstawiono związki między procesem konstruowania produktu lub systemu a procesem konstruowania dla nich zabezpieczeń. Niniejsza praca dotyczy drugiego zagadnienia, aczkolwiek wymagało to również krótkiego wprowadzenia do pierwszego z nich, a także zwięzłego przedstawienia oceny zabezpieczeń, gdyż każda z tych kwestii decyduje o osiągnięciu uzasadnionego zaufania. Rozdział opisuje krótko proces konstruowania zabezpieczeń, potrzeby konstruktorów w zakresie wspomagania oraz ogólną koncepcję systemu szkieletowego w postaci struktury i maszyny stanowej. Koncepcja ta została rozwinięta w kolejnych rozdziałach pracy. Przedstawiona w monografii myśl dotyka dwóch podstawowych zagadnień: o opracowania środków (języka) do specyfikowania własności bezpieczeństwa produktów lub systemów informatycznych, zwanych przedmiotami oceny (TOE), o opracowania modelu procesu konstruowania zabezpieczeń z wykorzystaniem UML/OCL. Pierwsze zagadnienie zostało przedstawione obszernie w rozdziale 3, w rozdziałach od 4. do 10. pokazano zaś proces konstruowania zabezpieczeń informatycznych wyrażony w języku UML/OCL. Rozdziały od 4. do 10. odpowiadają strukturze dokumentu pt. "Zadanie zabezpieczeń" (ST - Security Target), określonego w standardzie, stąd są one różnej długości. Jak już wspomniano, Wspólne kryteria dostarczają półformalnych środków specyfikowania w postaci komponentów reprezentujących elementarne wymagania funkcjonalne albo uzasadniające zaufanie. Ze względu na brak odpowiednich środków specyfikowania dla pozostałych (innych niż wymagania bezpieczeństwa) etapów konstruowania (otoczenie zabezpieczeń, cele zabezpieczeń, wymagania otoczenia, funkcje zabezpieczające), w monografii wypełniono tę lukę oraz zdefiniowano zbiór tak zwanych zaawansowanych generyków i w ten sposób uzyskano kompletny oraz jednolity zestaw elementów półformalnych do tworzenia specyfikacji. Wykorzystano do tego celu właściwości języków UML i OCL. Stworzyło to całkiem nowe możliwości dla konstruktorów (elementy wspomagania decyzji podczas projektowania, analiza pokrycia elementów specyfikacji, analiza ryzyka, poprawa zgodności ze standardami zarządzania bezpieczeństwem informacji w zakresie reguł polityki bezpieczeństwa itp.) oraz umożliwiło późniejszą implementację programową modeli generyków i komponentów w postaci biblioteki projektowej. Rozdziały od 4. do 10. opisują całościowo proces konstruowania zabezpieczeń informatycznych, sprowadzający się do wypełnienia treścią struktury zadania zabezpieczeń (ST). Zamiast nieformalnych, mniej precyzyjnych określeń słownych, do budowy specyfikacji zastosowano elementy zamodelowane w UML ze wsparciem OCL. W pierwszym kroku metodyki konstruowania uwagę skupiono na zidentyfikowaniu podstawowych cech produktu lub systemu informatycznego, jako danych wejściowych dla kolejnych kroków postępowania. W rezultacie powstała specyfikacja wprowadzenia do ST, określająca podstawowe cechy przedmiotu oceny (TOE). Na tej podstawie, przy pewnych założeniach dotyczących TOE i jego środowiska, analizowane są zagrożenia oraz ustalane są reguły polityki bezpieczeństwa TOE, co prowadzi do wypracowania specyfikacji otoczenia zabezpieczeń przedmiotu oceny (w nowszej wersji standardu zwanej określeniem problemu bezpieczeństwa) jako kolejnej sekcji ST. Zidentyfikowane problemy (zagrożenia, reguły polityki, założenia) należy teraz pokryć ich rozwiązaniami, czyli celami zabezpieczeń dla TOE i jego środowiska eksploatacyjnego, w wyniku czego powstanie specyfikacja celów zabezpieczeń. Z kolei te cele należy przetransformować w bardziej sformalizowaną postać, to znaczy w wymagania bezpieczeństwa (funkcjonalne i uzasadnienia zaufania) dla TOE i jego środowiska. Wymagania co do uzasadnienia zaufania do TOE wynikają głównie z poziomu uzasadnionego zaufania (EAL) zadeklarowanego dla przedmiotu oceny. Wymagania funkcjonalne dla TOE są transformowane na funkcje zabezpieczające, wymagania uzasadniające zaufanie decydują zaś o stopniu rygoryzmu stosowanego przy implementowaniu tych funkcji w konkretnym produkcie lub systemie informatycznym. Niezwykle istotnymi, a zarazem trudnymi dla konstruktorów, są procesy uzasadniania transformacji jednej specyfikacji w drugą, to znaczy uzasadniania: celów zabezpieczeń opracowanych na podstawie otoczenia, wymagań bezpieczeństwa wyprowadzonych z tych celów oraz funkcji zabezpieczających, wynikających z wymagań funkcjonalnych. Monografia dotyczy konstruowania zabezpieczeń, stąd zagadnienie ich oceny z uwzględnieniem deklarowanego poziomu EAL przedstawiono w rozdziale 11. dość skrótowo, ograniczając się tylko do modeli ogólnych, aczkolwiek i one zostały zaimplementowane w komputerowym narzędziu wspomagającym. Należy zwrócić uwagę, że chociaż praca dotyczy zagadnień teoretycznych związanych z modelowaniem w dziedzinie inżynierii zabezpieczeń, to również posiada ona duży wymiar praktyczny, gdyż opracowane modele zostały zaimplementowane w postaci narzędzia do wspomagania pracy konstruktorów zabezpieczeń informatycznych, a także oceniających te zabezpieczenia. Zagadnienia implementacji przedstawiono skrótowo w rozdziale 12., odwołując się do dokumentacji technicznej narzędzia i jego wersji demonstracyjnej. Przedstawiono więc m.in. przykłady dotyczące: biblioteki projektowej, zawierającej setki uporządkowanych generyków i komponentów, kreatora projektów implementującego prezentowane w monografii diagramy czynności, wizualizacji wybranego łańcucha generyków i komponentów oraz automatycznego tworzenia zadania zabezpieczeń, a potem jego oceny. Rozdział 13. stanowi podsumowanie (osiągnięte rezultaty, uzyskane doświadczenia, plany dotyczące rozwoju) pracy, przedstawionej w monografii oraz w innych publikacjach autora z nią związanych. Monografia zawiera załączniki dotyczące kolejno: podstawowej terminologii związanej z metodyką Wspólne kryteria, składni i semantyki OCL wykorzystywanych dla bardziej precyzyjnego opisu opracowanych modeli UML, zasad notacji wyrażeń kryptograficznych związanych z zapewnieniem zgodności z możliwą do pomocniczego zastosowania formalną metodyką UMLsec, objaśnienia konwencji stosowanych nazw oraz przykład dotyczący zadania zabezpieczeń dla systemu zaporowego.
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.