 |
Классы безопасности компьютерных систем
|
|
|
|
Оранжевая книга предусматривает четыре группы критери- ев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (груп- па А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D и А со- ответственно), группа С — классы С1, С2, а группа В — Bl, B2, ВЗ, характеризующиеся различными наборами требова- ний безопасности. Уровень безопасности возрастает при дви- жении от группы D к группе А, а внутри группы — с возраста- нием номера класса.
Группа D. Минимальная защита.
Класс D. Минимальная защита. К этому классу относятся все системы, не удовлетворяющие требованиям других классов.
Группа С. Дискреционная защита.
Группа характеризуется произвольным управлением досту- пом и регистрацией действий субъектов.
Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделения пользо- вателей и информации и включают средства контроля и управ- ления доступом, позволяющие задавать ограничения для инди-
видуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей. Класс С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня секретности.
Класс С2. Управление доступом. Системы этого класса осу- ществляют более избирательное управление доступом, чем си- стемы класса С1, с помощью применения средств индивиду- ального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов.
Группа В. Мандатная защита.
Основные требования этой группы — нормативное управле- ние доступом с использованием меток безопасности, поддерж- ка модели и политики безопасности, а также наличие специ- фикаций на функции ТСв. Для систем этой группы монитор взаимодействий должен контролировать все события в системе. Класс В1. Защита с применением меток безопасности. Си- стемы класса В1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформально модель безопасно- сти, маркировку данных и нормативное управление доступом. При экспорте из системы информация должна подвергаться маркировке. Обнаруженные в процессе тестирования недостат-
|
|
|
ки должны быть устранены.
Класс В2. Структурированная защита. Для соответствия классу В2 ТСВ системы должна поддерживать формально опре- деленную и четко документированную модель безопасности, предусматривающую произвольное и нормативное управление доступом, которое распространяется по сравнению с системами класса В1 на все субъекты. Кроме того, должен осуществлять- ся контроль скрытых каналов утечки информации. В структу- ре ТСВ должны быть выделены элементы, критичные с точ- ки зрения безопасности. Интерфейс ТСВ должен быть четко определен, а ее архитектура и реализация выполнены с учетом
возможности проведения тестовых испытаний. По сравнению с классом В1 должны быть усилены средства аутентификации. Управление безопасностью осуществляется администратора- ми системы. Должны быть предусмотрены средства управле- ния конфигурацией.
Класс В3. Домены безопасности. Для соответствия этому классу ТСВ системы должна поддерживать монитор взаимодей- ствий, который контролирует все типы доступа субъектов к объ- ектам, который невозможно обойти. Кроме того, ТСВ должна быть структурирована с целью исключения из нее подсистем, не отвечающих за реализацию функций защиты, и достаточно компактна для эффективного тестирования и анализа. В ходе разработки и реализации ТСВ необходимо применение мето- дов и средств, направленных на минимизацию ее сложности. Средства аудита должны включать механизмы оповещения ад- министратора при возникновении событий, имеющих значе- ние для безопасности системы. Требуется наличие средств вос- становления работоспособности системы.
|
|
|
Группа А. Верифицированная защита.
Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управ- ления доступом (произвольного и нормативного). Требуется до- полнительная документация, демонстрирующая, что архитек- тура и реализация ТСВ отвечают требованиям безопасности.
Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса ВЗ, и к ним не предъявляется никаких дополнительных функциональных требований. В отличие от систем класса ВЗ в ходе разработ- ки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получить корректную реализацию функций защиты. Процесс доказательства адек- ватности реализации начинается на ранней стадии разработ- ки с построения формальной модели политики безопасности и спецификаций высокого уровня. Для обеспечения методов ве-
рификации системы класса А1 должны содержать более мощ- ные средства управления конфигурацией и защищенную про- цедуру дистрибуции.
Высший класс безопасности, требующий осуществления ве- рификации средств защиты, построен на доказательстве соот- ветствия программного обеспечения его спецификациям с по- мощью специальных методик, однако это доказательство (очень дорогостоящее, трудоемкое и практически неосуществимое для реальных операционных систем) не подтверждает адекватность реализации политики безопасности.
Согласно «Оранжевой книге» безопасная компьютерная си- стема — это система, поддерживающая управление доступом к обрабатываемой в ней информации таким образом, что толь- ко соответствующие авторизованные пользователи или процес- сы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию.
Приведенные классы безопасности надолго определили ос- новные концепции безопасности и ход развития средств за- щиты.
|
|
|
Устаревание ряда положений Оранжевой книги обусловле- но прежде всего интенсивным развитием компьютерных техно- логий. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некото- рых положений Оранжевой книги, адаптировать их к современ- ным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана огромная работа по развитию положений этого стандарта. В ре- зультате возник целый ряд сопутствующих Оранжевой книге документов, многие их которых стали ее неотъемлемой частью. Круг специфических вопросов по обеспечению безопасно- сти компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Нацио- нальным центром компьютерной безопасности США в виде
дополнений к Оранжевой книге.
Итак, «Критерии безопасности компьютерных систем» Ми- нистерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разра- ботчиков, потребителей и специалистов по сертификации ком- пьютерных систем. В свое время этот документ явился настоящим прорывом в области безопасности информационных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, при- чем в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение се- кретности обрабатываемой информации и исключение возмож- ностей ее разглашения. Большое внимание уделено меткам (гри- фам секретности) и правилам экспорта секретной информации.
Оранжевая книга послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации.
|
|
|
