21. Основные положения критериев TCSEC (“Оранжевая книга”). Фундаментальные требования компьютерной безопасности. Требования классов защиты.

 

Критерии оценки безопасности компьютерных систем" (Trusted Computer System Evaluation Criteria -TCSEC), получившие неформаль­ное, но прочно закрепившееся название "Оранжевая книга", были разра­ботаны и опубликованы Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному программному и информационному обес­печению компьютерных систем, и выработки методологии и технологии анализа степени поддержки политики безопасности в компьютерных сис­темах в основном военного назначения.

В данном документе были впервые формально (хотя и не вполне строго) определены такие понятия, как "политика безопасности", "кор­ректность" и др. Согласно "Оранжевой книге" безопасная компьютерная система - это система, поддерживающая управление доступом к обраба­тываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы (субъекты), действующие от их имени, получают возможность читать, записывать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и на­бор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.

Общая структура требований TCSEC

В "Оранжевой книге" предложены три категории требований безопас­ности: политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четы­ре требования направлены непосредственно на обеспечение безопасно­сти информации, а два последних - на качество средств защиты. Рас­смотрим эти требования подробнее.

Политика безопасности

Требование 1. Политика безопасности. Система должна поддер­живать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентифика­ции и набора правил управления доступом. Там, где это необходимо, должна использоваться политика мандатного управления доступом, по­зволяющая эффективно реализовать разграничение доступа к информа­ции различного уровня конфиденциальности.

Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа. Для реализации мандатного управления дос­тупом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденци­альности (гриф секретности) объекта и режимы доступа к этому объекту.

Подотчетность

Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (ау­тентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от не­санкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной систе­мы, функционирование которых критично с точки зрения безопасности.

Требование 4. Регистрация и учет. Для определения степени от­ветственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе (т.е. должен существовать объект компьютерной системы, потоки от которого и к кото­рому доступны только субъекту администрирования). Система регистра­ции должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционирован­ного доступа, модификации и уничтожения.

Гарантии (корректность)

Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечиваю­щие политику безопасности, управление атрибутами и метками безопас­ности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функ­ционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта за­щита должна быть постоянной и непрерывной в любом режиме функцио­нирования системы защиты и компьютерной системы в целом Данное требование распространяется на весь жизненный цикл компьютерной сис­темы. Кроме того, его выполнение является одной из ключевых аксиом, используемых для формального доказательства безопасности системы.

Классы защищенности компьютерных систем по TCSEC

"Оранжевая книга" предусматривает четыре группы критериев, кото­рые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D и А соответственно), группа С-классы С1, С2, а группа В три класса -81, В2, ВЗ, характеризующиеся различными наборами требова­ний защищенности. Уровень защищенности возрастает от группы D к группе А, а внутри группы - с увеличением номера класса. Усиление тре­бований осуществляется с постепенным смещением акцентов от положе­ний, определяющих наличие в системе каких-то определенных механиз­мов защиты, к положениям обеспечивающих высокий уровень гарантий того, что система функционирует в соответствии требованиям политики безопасности (табл.).

Рассмотрим основные требования классов защищенности по указан­ным выше четырем категориям:

•   политика безопасности;

•    подотчетность;

•   гарантии;

•   документация.

Центральным объектом исследования и оценки по TCSEC является доверительная база вычислений (ТСВ).

Группа D. Минимальная защита.

Класс D. Минимальная защита. Класс D зарезервирован для тех сис­тем, которые были представлены на сертификацию (оценку), но по какой-либо причине ее не прошли.

Группа С. Дискреционная защита

Группа С характеризуется наличием дискреционного управления доступом и аудитом действий субъектов.

Класс С1. Системы на основе дискреционного разграничения досту­па. ТСВ систем, соответствующих этому классу защиты, удовлетворяет неким минимальным требованиям безопасного разделения пользователей и данных. Она определяет некоторые формы разграничения доступа на индивидуальной основе, т.е. пользователь должен иметь возможность защитить свою информацию от ее случайного чтения или уничтожения. Пользователи могут обрабатывать данные как по отдельности, так и от имени группы пользователей.

Политика безопасности. ТСВ должна определять и управлять дос­тупом между поименованными объектами и субъектами (пользователями или их группами) в компьютерной системе (например, при помощи матри­цы доступа). Механизм защиты должен позволять пользователям опреде­лять и контролировать распределение доступа к объектам по поимено­ванным пользователям, их группам или по тем и другим.

Подотчетность. Пользователи должны идентифицировать себя пе­ред ТСВ в случае выполнения ими любых действий, ею контролируемых, при этом должен быть использован хотя бы один из механизмов аутенти­фикации (например, пароль). Данные аутентификации должны быть за­щищены от доступа неавторизованного пользователя.

Гарантии. ТСВ обеспечивает ее собственную работу и защиту от внешнего воздействия. Ресурсы системы, контролируемые ТСВ, являются подмножеством множества всех ресурсов. Должны быть предоставлены АО и ПО для периодической проверки правильности работы ТСВ. Тести­рование ТСВ должно выполняться согласно документации для обеспече­ния гарантии того, что нет явных путей обхода системы защиты неавтори­зованным пользователем или иного расстройства системы защиты.

Документация должна включать:

·         описание реализованных в ТСВ механизмов защиты, их взаимодейст­вия и руководство пользователя по их использованию;

·         руководство для администратора системы на гарантирование системы защиты;

·         документацию по тестам, включающую описание того, как механизмы безопасности должны тестироваться и как интерпретировать резуль­таты тестов;

·         документацию по проекту, описывающую философию системы защиты и того, как эта философия реализована в ТСВ (если ТСВ состоит из нескольких модулей, то должен быть описан интерфейс между ними).

Класс С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиден­циальности.

Класс С2. Системы, построенные на основе управляемого дискреци­онного разграничения доступа.

Системы, сертифицированные по данному классу, должны удовле­творять всем требованиям, изложенным в классе С1. Однако, системы класса С2 поддерживают более тонкую, чем в классе С1, политику дис­креционного разграничения доступа, делающую пользователя индивиду­ально ответственным за свои действия после процедуры аутентификации в системе, а также аудит событий, связанных с безопасностью системы.

Группа В. Мандатное управление доступом.

Основные требования этой группы - мандатное (полномочное) управление доступом с использованием меток безопасности, реализация некоторой формальной модели политики безопасности, а также наличие спецификаций на функции ТСВ. В системах этой группы постепенно к классу ВЗ должен быть реализован монитор ссылок, который должен контролировать все доступы субъектов к объектам системы.

Класс В1. Системы класса В1 должны удовлетворять требованиям класса С2. Кроме того, должны быть выполнены следующие дополни­тельные требования.B2

Политика безопасности. ТСВ должна обеспечивать пометку каждого субъекта и объекта системы.

Подотчетность. Аудиту подлежат любые изменения меток секрет­ности читаемого вывода.

Гарантии. ТСВ должна обеспечивать изоляцию процессов системы, через выделение им соответствующего адресного пространства.

Документация должна дополнительно включать:

•    Для системного администратора описание функций, относящихся к безопасности ТСВ, а также описание путей и методов наилучшего ис­пользования защитных свойств системы; указание, как безопасно соз­дать новую ТСВ; описания выполняемых процедур, предупреждений и привилегий, необходимых для контроля за безопасной работой системы.

•    Описание формальной или неформальной политики безопасности, а также то, как она реализована в системе.

Класс В2. Структурированная защита. Выполняются все требования класса защиты В1. Кроме того, в системах класса В2 ТСВ основывается на четко определенной и хорошо документированной формальной модели политики безопасности, требующей, чтобы мандатная и дискреционная системы разграничения доступа были распространены на все субъекты и объекты компьютерной системы. ТСВ должна быть четко структурирована на элементы, критичные с точки зрения безопасности и некритичные. Ин­терфейс ТСВ должен быть хорошо определен и ее проект и конечный ре­зультат должны быть подвергнуты полной проверке и тестированию. Ме­ханизм аудита должен быть усилен, введен контроль за конфигурацией системы. Система должна быть устойчива к внешнему проникновению.

Класс ВЗ. Домены безопасности. В системах класса ВЗ ТСВ должна удовлетворять всем требованиям предыдущего класса и дополнительно требованиям монитора ссылок, который должен быть:

•    защищен от несанкционированного изменения или порчи;

•    обрабатывать все обращения;

•   прост для анализа и тестирования.

ТСВ должна быть структурирована таким образом, чтобы исключить код, не имеющий отношения к безопасности системы.

Дополнительно должно быть обеспечено:

•    поддержка администратора безопасности;

•    расширение механизма аудита с целью сигнализации о любых собы­тиях, связанных с безопасностью;

•    поддержка процедуры восстановления системы.

Группа А. Верифицированная защита.

Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управления доступом (дискреционного и мандатного). Требуется, чтобы было формально пока­зано соответствие архитектуры и реализации ТСВ требованиям безопасности.

Класс А1. Формальная верификация. Критерий защиты класса А1 не определяет дополнительные по сравнению с классом ВЗ требования к архитектуре или политике безопасности компьютерной системы. Дополни­тельным свойством систем, отнесенных к классу А1, является проведен­ный анализ ТСВ на соответствие формальным высокоуровневым специ­фикациям и использование технологий проверки с целью получения высо­ких гарантий того, что ТСВ функционирует корректно.

Интерпретация и развитие TCSEC.

Опубликование TCSEC стало важным этапом как в постановке ос­новных теоретических проблем компьютерной безопасности, так и в ука­зании направления их решения. Тем не менее, в ходе применения ее ос­новных положений выяснилось, что часть практически важных вопросов осталась за рамками данного стандарта. Кроме того, с течением времени (с момента опубликования прошло пятнадцать лет) ряд положений уста­рел и потребовал пересмотра.

Круг специфических вопросов по обеспечению безопасности компью­терных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной безопасности США в виде дополнений к "Оранжевой книге":

·         "Интерпретация TCSEC для компьютерных сетей" ,

·         "Интерпретация TCSEC для систем управления базами данных".

Эти документы содержат трактовку, основных положений "Оранжевой книги" применительно к соответствующим классам систем обработки ин­формации.

Устаревание ряда положений TCSEC обусловлено прежде всего ин­тенсивным развитием компьютерных технологий и переходом с вычисли­тельных комплексов типа IBM-360/270 (советский аналог-машины серии ЕС) к рабочим станциям, высокопроизводительным персональным компь­ютерам и сетевой модели вычислений. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений "Оранжевой книги", адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана значительная работа по интерпретации и развитию положений этого стандарта. В результате воз­ник целый ряд сопутствующих "Оранжевой книге" документов, многие из которых стали ее неотъемлемой частью. К наиболее часто упоминаемым относятся:

·         "Руководство по произвольному управлению доступом в безопасных системах",

·         "Руководство по управлению паролями" ,

·         "Руководство по применению "Критериев безопасности компьютерных систем" в специфических средах".

·         "Руководство по аудиту в безопасных системах".

·         "Руководство по управлению конфигурацией в безопасных системах".

Количество подобных вспомогательных документов, комментариев и интерпретаций значительно превысило объем первоначального докумен­та, и в 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием "Интерпретация критериев безопасности компьютерных систем", объединяющий все дополнения и разъяснения. При его подготовке состав подлежащих рассмотрению и толкованию вопросов обсуждался на специальных конференциях разра­ботчиков и пользователей защищенных систем обработки информации. В результате открытого обсуждения была создана база данных, включаю­щая все спорные вопросы, которые затем в полном объеме были прора­ботаны специально созданной рабочей группой. В итоге появился доку­мент, проинтегрировавший все изменения и дополнения к TCSEC, сде­ланные с момента ее опубликования, что привело к обновлению стан­дарта и позволило применять его в современных условиях.

В заключение отметим, что критерии TCSEC Министерства обороны США представляют собой первую попытку создать единый стандарт безо­пасности, рассчитанный на проектировщиков, разработчиков, потребите­лей и специалистов по сертификации систем безопасности компьютерных систем. В свое время этот документ явился значительным шагом в облас­ти безопасности информационных технологий и послужил отправной точ­кой для многочисленных исследований и разработок. Основной отличи­тельной чертой этого документа, как уже отмечалось, является его ориен­тация на системы военного применения, причем в основном на опе­рационные системы. Это предопределило доминирование требований, направленных на обеспечение конфиденциальности обрабатываемой ин­формации и исключение возможностей ее разглашения. Большое внима­ние уделено меткам конфиденциальности (грифам секретности) и прави­лам экспорта секретной информации.

Требования по гарантированию политики безопасности отражены достаточно поверхностно, соответствующий раздел по существу ограни­чивается требованиями контроля целостности средств защиты и поддер­жания их работоспособности, чего явно недостаточно. Тем не менее "Оранжевая книга" послужила основой для разработчи­ков всех остальных стандартов информационной безопасности и до сих пор используется в США в качестве руководящего документа при серти­фикации компьютерных систем обработки информации.

Сайт управляется системой uCoz