Критерии оценки безопасности АС США.

 

"Критерии оценки безопасности компьютерных систем" (Тгustеd Соmриtег Sуstеm Еvаluation Сitеriа - ТСSЕС), получившие неформаль­ное, но прочно закрепившееся название «Оранжевая книга», были разра­ботаны и опубликованы Министерством обороны США с целью определения требований безопасности, предъявляемых к аппаратному, программному и информационному обес­печению компьютерных систем, и выработки методологии и технологии анализа степени поддержки политики безопасности в компьютерных сис­темах в основном военного назначения. В данном документе были впервые формально (хотя и не вполне строго) определены такие понятия, как "политика безопасности", "кор­ректность" и др. Согласно "Оранжевой книге" безопасная компьютерная система — это система, поддерживающая управление доступом к обраба­тываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы (субъекты), действующие от их имени, получают возможность читать, записывать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и на­бор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.

В "Оранжевой книге" предложены три категории требований безопас­ности: политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четы­ре требования направлены непосредственно на обеспечение безопасно­сти информации, а два последних - на качество средств защиты. Рассмотрим эти требования подробнее.

Требование 1. Политика безопасности. Система должна поддер­живать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентифика­ции и набора правил управления доступом. Там, где это необходимо, должна использоваться политика мандатного управления доступом, по­зволяющая эффективно реализовать разграничение доступа к информа­ции различного уровня конфиденциальности.

Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа. Для реализации мандатного управления дос­тупом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденци­альности (гриф секретности) объекта и режимы доступа к этому объекту.

Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (ау­тентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от не­санкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной систе­мы, функционирование которых критично с точки зрения безопасности.

Требование 4. Регистрация и учет. Для определения степени от­ветственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе (т.е. должен существовать объект компьютерной системы, потоки от которого и к кото­рому доступны только субъекту администрирования). Система регистра­ции должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционирован­ного доступа, модификации и уничтожения.

Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечиваю­щие политику безопасности, управление атрибутами и метками безопас­ности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функ­ционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта за­щита должна быть постоянной и непрерывной в любом режиме функцио­нирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной сис­темы. Кроме того, его выполнение является одной из ключевых аксиом, используемых для формального доказательства безопасности системы.

 

«Оранжевая книга» предусматривает четыре группы критериев, кото­рые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А).

Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D и А соответственно), группа С - классы С1, С2, а группа В три класса - В1, В2, ВЗ, характеризующиеся различными наборами требова­ний защищенности.

Уровень защищенности возрастает от группы D к группе А, а внутри группы - с увеличением номера класса. Усиление тре­бований осуществляется с постепенным смещением акцентов от положе­ний, определяющих наличие в системе каких-то определенных механиз­мов защиты, к положениям обеспечивающих высокий уровень гарантий того, что система функционирует в соответствии требованиям политики безопасности (табл. 2.4.1).

 

 

Таблица 2.4.1

	Базовые требования	Классы защищенности
	"Оранжевой книги"	С1	С2	В1	В2	ВЗ	А1
	Политика безопасности
1.	Дискреционная политика безо­пасности	+	+	+	=	=	=
2.	Мандатная политика безопасности	-	-	+	+	=	=
3.	Метки секретности	-	-	+	+	=	=
4.	Целостность меток	-	-	+	=	=	=
5.	Рабочие метки	-	-	-	+	=	=
6.	Повторение меток	-	-	+	=	=	=
7.	Освобождение ресурсов при повторном использовании объ­ектов	-	+	=	+	=	=
8.	Изолирование модулей	-	+	=	=	=	=
9.	Пометка устройств ввода/вывода	-	-	+	=	=	=
10.	Пометка читаемого вывода	-	-	+	=	=	=
Подотчетность
11.	Идентификация и аутентифика­ция	+	+	=	=	=	=
12.	Аудит	-	+	+	+	+	=
13.	Защищенный канал (доверен­ный путь)	-	-	-	+	=	=
	Гарантии
14.	Проектная спецификация и ве­рификация	-	-	+	-	+	+
15.	Системная архитектура	+	=	=	+	+	=
16.	Целостность системы	+	=	=	=	=	=
17.	Тестирование системы безо­пасности	+	+	+	+	+	=
18.	Доверенное восстановление после сбоев	-	-	-	-	+	=
19.	Управление конфигурацией системы	-	-	-	+	+	+
20.	Доверенное дооснащение сис­темы	-	-	-	+	+	=
21.	Доверенное распространение	-	-	-	-	+	=
22.	Анализ скрытых каналов	-	-	-	+	+	+
Документация
23.	Руководство пользователя	+	=	=	=	=	=
24.	Руководство по конфигурирова­нию системы защиты	+	+	+	+	+	=
25.	Документация по тестированию	+	=	=	=	=	+
26.	Проектная документация	+	=	+	+	=	+

 

Примечания: "-" - нет требований к данному классу; "+" - новые или до­полнительные требования; "-" - требования совпадают с требованиями к СВТ предыдущего класса.

 

Рассмотрим основные требования классов защищенности по указан­ным выше четырем категориям:

• политика безопасности;

• подотчетность;

• гарантии;

• документация.

 

Центральным объектом исследования и оценки по TCSEC является "доверительная база вычислений" (в другой интерпретации – достоверная вычислительная база) - ТСВ.