Критерии оценки безопасности компьютерных систем Министерства обороны США

тип события (например, вход в систему, получение доступа к файлу на чтение и т.д.);

результат: успех или неуспех выполнения события.

Если требуется, надо указывать дополнительные сведения, например имя объекта, к которому происходит обращение. Для удобства изучения данных журнала аудита должны быть предусмотрены средства фильтрации записей по заданным признакам.

Гарантии. ТСВ должна изолировать подлежащие защите ресурсы так, чтобы выполнялись требования контроля доступа и аудита.

Тестирование должно включать поиск и просмотр очевидных брешей системы защиты, позволяющих нарушить изолированность ресурсов или допустить неавторизованный доступ к данным аутентификации или журнала аудита.

Документация должна дополнительно (по сравнению с классом С1) включать описание событий, заносимых в журнал аудита.

Группа В. Мандатное управление доступом

Основные требования этой группы - мандатное (полномочное) управление доступом с использованием меток безопасности, реализация некоторой формальной модели политики безопасности, а также наличие спецификаций на функции ТСВ. В системах этой группы постепенно к классу ВЗ должен быть реализован монитор ссылок, который должен контролировать все доступы субъектов к объектам системы.

Класс В1. Системы класса В1 должны удовлетворять требованиям класса С2. Кроме того, должны быть выполнены следующие дополнительные требования.

Политика безопасности. ТСВ должна обеспечивать пометку каждого субъекта и объекта системы. Метки секретности должны представлять уровень доступа субъекта и уровень секретности объекта, которым они соответствуют. Именно эти метки должны служить основой для принятия решения ТСВ при запросе субъекта доступа к объекту. При передаче информации по каналам ввода/вывода ТСВ должна снабжаться соответствующими метками секретности. ТСВ должна также соответствующе маркировать метками секретности весь читаемый вывод. Доступ на чтение от субъекта к объекту может быть разрешен, только если уровень допуска субъекта не ниже уровня секретности объекта, а неиерархические категории первого включают все неиерархические категории второго. Доступ на запись от субъекта к объекту, контролируемый ТСВ, может быть разрешен, только если уровень допуска субъекта не выше уровня секретности объекта, а все неиерархические категории первого входят в неиерархические категории второго.

Подотчетность. Аудиту подлежат любые изменения меток секретности читаемого вывода.

Гарантии. ТСВ должна обеспечивать изоляцию процессов системы, через выделение им соответствующего адресного пространства.

Целью тестирования является:

поиск всех каналов проникновения внешних субъектов с целью получения несанкционированного доступа к информации;

получение гарантии того, что никакой неавторизованный для этого специально пользователь не может ввести ТСВ в состояние, в котором она не способна отвечать на запросы других субъектов.

ТСВ должна быть построена на основе неформальной или формальной политики безопасности, которая должна поддерживаться на протяжении всего жизненного цикла системы.

Класс В2. Структурированная защита. Выполняются все требования класса защиты В1. Кроме того, в системах класса В2 ТСВ основывается на четко определенной и хорошо документированной формальной модели политики безопасности, требующей, чтобы мандатная и дискреционная системы разграничения доступа были распространены на все субъекты и объекты компьютерной системы. ТСВ должна быть четко структурирована на элементы, критичные с точки зрения безопасности и некритичные. Интерфейс ТСВ должен быть хорошо определен и ее проект и конечный результат должны быть подвергнуты полной проверке и тестированию. Механизм аудита должен быть усилен, введен контроль за конфигурацией системы. Система должна быть устойчива к внешнему проникновению.

Политика безопасности. ТСВ должна уведомлять каждого работающего в системе пользователя о любых изменениях его уровня секретности, а последний должен иметь возможность запрашивать у системы полную информацию о своей метке секретности. ТСВ должна поддерживать минимальные и максимальные метки секретности любого присоединенного физического устройства, которые должны определять непосредственное физическое окружение этого устройства.

Подотчетность. ТСВ должна обеспечить защищенный канал между собой и пользователем, осуществляющим вход в систему и аутентификацию. Инициатором осуществления соединения через такой защищенный канал может выступать только пользователь.

Гарантии. ТСВ должна быть внутренне структурирована на хорошо определенные, в большой степени независимые модули. Это достигается с помощью эффективного использования имеющегося в системе АО с целью разделения критичных и некритичных с точки зрения защиты модулей ТСВ. Все элементы ТСВ должны быть идентифицированы, а интерфейс между ними полностью определен. ТСВ должна обеспечить разделение функций оператора и администратора системы.

Разработчики системы должны полностью выявить скрытые каналы утечки и провести их инженерное обследование с целью измерения информационного потока для каждого канала. ТСВ должна быть рассмотрена по всем положениям, относящимся к ее устойчивости к проникновению. Тестирование ТСВ должно показать, что она функционирует согласно представленной в описании высокоуровневой спецификации.

Формальная модель политики безопасности должна поддерживаться ТСВ на протяжении всего жизненного цикла компьютерной системы. Должна существовать служба управления конфигурацией системы и должны быть предоставлены средства для создания новых версий ТСВ.

Класс ВЗ. Домены безопасности. В системах класса ВЗ ТСВ должна удовлетворять всем требованиям предыдущего класса и дополнительно требованиям монитора ссылок, который должен быть:

защищен от несанкционированного изменения или порчи;

обрабатывать все обращения;

прост для анализа и тестирования.

ТСВ должна быть структурирована таким образом, чтобы исключить код, не имеющий отношения к безопасности системы.

Дополнительно должно быть обеспечено:

поддержка администратора безопасности;

расширение механизма аудита с целью сигнализации о любых событиях, связанных с безопасностью;

поддержка процедуры восстановления системы.

Политика безопасности. Не включает существенных дополнительных требований по сравнению с предыдущим классом защиты.

Подотчетность. Должно быть обеспечено создание защищенного канала для любого соединения пользователя с ТСВ (вход в систему, аутентификация, изменение секретных свойств объектов). Должен быть реализован механизм, осуществляющий анализ и накопление данных о событиях, имеющих отношения к безопасности и могущих послужить причиной нарушения политики безопасности. Этот механизм должен уведомлять администратора безопасности, когда превышается некоторый порог срабатывания. Если это событие или последовательность событий продолжается, то система должна предпринять наименее разрушительное действие для их блокирования.

Гарантии. ТСВ должна быть разработана и структурирована с использованием полного, концептуально-целостного механизма защиты с точно определенной семантикой. Сложность ТСВ должна быть минимизирована. Должен быть исключен код, не имеющий отношения к безопасности системы.

Функции, не связанные с управлением безопасностью и выполняемые пользователем, выступающим в роли администратора безопасности системы, должны быть ограничены набором только тех функций, которые делают более эффективным выполнение этой роли. Должен быть обеспечен механизм восстановления при сбоях компьютерной системы без нарушения ее безопасности. На этапе тестирования не должно быть найдено проектных брешей в системе защиты. Должно быть четко показано, что высокоуровневая спецификация ТСВ соответствует модели политики безопасности.

Группа А. Верифицированная защита

Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управления доступом (дискреционного и мандатного). Требуется, чтобы было формально показано соответствие архитектуры и реализации ТСВ требованиям безопасности.

Класс А1. Формальная верификация. Критерий защиты класса А1 не определяет дополнительные по сравнению с классом ВЗ требования к архитектуре или политике безопасности компьютерной системы. Дополнительным свойством систем, отнесенных к классу А1, является проведенный анализ ТСВ на соответствие формальным высокоуровневым спецификациям и использование технологий проверки с целью получения высоких гарантий того, что ТСВ функционирует корректно.

Наиболее важные требования к классу А1 можно объединить в пять групп:

формальная модель политики безопасности должна быть четко определена и документирована, должно быть дано математическое доказательство того, что модель соответствует своим аксиомам и что их достаточно для поддержания заданной политики безопасности;

формальная высокоуровневая спецификация должна включать абстрактное определение выполняемых ТСВ функций и аппаратный и(или) встроенный программный механизм для обеспечения разделения доменов;

формальная высокоуровневая спецификация ТСВ должна демонстрировать соответствие модели политики безопасности с использованием, где это возможно, формальной технологии (например, где имеются проверочные средства) и неформальной во всех остальных случаях;

должно быть неформально показано и обратное соответствие элементов ТСВ формальной высокоуровневой спецификации, формальная высокоуровневая спецификация должна представлять собой универсальный механизм защиты, реализующий политику безопасности, элементы этого механизма должны быть отображены на элементы ТСВ;

должны быть использованы формальные технологии для выявления и анализа скрытых каналов, неформальная технология может быть использована для анализа скрытых временных каналов, существование оставшихся в системе скрытых каналов должно быть оправдано.

Более строгие требования предъявляются к управлению конфигурацией системы и конкретному месту дислокации (развертывания) системы.

Перечисленные требования не затрагивают группы Политика безопасности и Подотчетность и сконцентрированы в группе Гарантии с соответствующим описанием в группе Документация.

Интерпретация и развитие TCSEC

Опубликование TCSEC стало важным этапом как в постановке основных теоретических проблем компьютерной безопасности, так и в указании направления их решения. Тем не менее, в ходе применения ее основных положений выяснилось, что часть практически важных вопросов осталась за рамками данного стандарта. Кроме того, с течением времени ряд положений устарел и потребовал пересмотра.

Круг специфических вопросов по обеспечению безопасности компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной безопасности США в виде дополнений к "Оранжевой книге":

"Интерпретация TCSEC для компьютерных  сетей" (Trusted Network Interpretation).

"Интерпретация TCSEC для систем управления базами данных" (Trusted Database Management System Interpretation).

Устаревание ряда положений TCSEC обусловлено прежде всего интенсивным развитием компьютерных технологий и переходом с вычислительных комплексов типа IBM-360/370 к рабочим станциям, высокопроизводительным персональным компьютерам и сетевой модели вычислений. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений "Оранжевой книги", адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана значительная работа по интерпретации и развитию положений этого стандарта. В результате возник целый ряд сопутствующих "Оранжевой книге" документов, многие из которых стали ее неотъемлемой частью. К наиболее часто упоминаемым относятся:

"Руководство по произвольному управлению доступом в безопасных системах" (A guide to understanding discretionary access control in trusted systems );

"Руководство по управлению  паролями" (Password management guideline);

"Руководство по применению "Критериев безопасности компьютерных систем" в специфических средах" (Guidance for applying the Department Of Defence Trusted Computer System Evaluation Criteria in specific environment);

"Руководство по аудиту в безопасных системах" (A Guide to Understanding Audit in Trusted Systems).

"Руководство по управлению конфигурацией в безопасных системах" (Guide to understanding configuration management in trusted systems).

Количество подобных вспомогательных документов, комментариев и интерпретаций значительно превысило, объем первоначального документа, и в 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием "Интерпретация критериев безопасности компьютерных систем", объединяющий все дополнения и разъяснения. 

Список литературы

Для подготовки данной работы были использованы материалы с сайта http://www.monax.ru/