Интерпретация оранжевой книги для сетевых конфигураций кратко

Обновлено: 02.07.2024

Термин информационная безопасность в целом означает состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства [1].

Проблема защиты информации является многоплановой и комплексной, охватывает ряд важных задач. Ключевым аспектом решения проблемы безопасности в области информационных технологий является выработка системы требований, критериев и показателей для оценки уровня безопасности [2].

1. Основные стандарты в области информационной безопасности и их сравнение

Затем был опубликован ряд документов, непосредственно связанных с информационной безопасностью. Это были такие стандарты, как "Гармонизированные критерии Европейских стран", международный стандарт "Критерии оценки безопасности информационных технологий", Федеральный стандарт США "Требования безопасности для криптографических модулей", регламентирующий конкретный аспект информационной безопасности (криптография выделяется как один из защитных механизмов, помогающих поддерживать как конфиденциальность, так и целостность информации). Новым стал систематический подход к вопросам доступности информации [3].

Первое значительное отклонение от этого документа произошло в 1997 году, когда был принят руководящий документ по отдельному сервису безопасности - межсетевым экранам [3]. Его основная идея - классифицировать межсетевые экраны на основании осуществляющих фильтрацию потоков данных уровней эталонной модели. Каждый показатель защищенности (специальная характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности) представляет собой набор требований безопасности, характеризующих определенную область функционирования межсетевого экрана. Данными показателями являются:

· идентификация и аутентификация;

· регистрация событий и оповещение;

Для межсетевых экранов были определены пять следующих показателей защищенности :

· простейшие фильтрующие маршрутизаторы - 5 класс;

· пакетные фильтры сетевого уровня - 4 класс;

· простейшие межсетевые экраны прикладного уровня - 3 класс;

· межсетевые экраны базового уровня - 2 класс;

· продвинутые межсетевые экраны - 1 класс.

Межсетевые экраны первого класса защищенности могут использоваться в автоматизированных системах класса 1А, обрабатывающих информацию "особой важности". Второму классу защищенности межсетевых экранов соответствует класс защищенности автоматизированных систем 1Б, предназначенный для обработки "совершенно секретной" информации и т.п. [1] .

· защита от угроз целостности (несанкционированного изменения) информации;

· защита от угроз конфиденциальности (несанкционированного получения) информации по всем возможным каналам утечки;

· защита от угроз доступности информации, в смысле несанкционированного или случайного ограничения доступа к ресурсам и информации системы;

· защита от угроз аудиту системы (декларируется 12 потенциальных угроз).

В этом документе также вводится понятие адекватность - показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствия задачам защиты. Требования адекватности средств защиты структурированы и детально регламентируют все этапы проектирования, создания и эксплуатации информационного продукта.

· функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;

· требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.

· не содержат критериев оценки безопасности, касающихся административных мер безопасности;

· не рассматривается ни методология оценки, ни административно-правовая структура, в рамках которой критерии могут применяться органами оценки;

2. Сравнение основных ГОСТов в области защиты информации

ГОСТ Р ИСО/МЭК 15408 содержит общие критерии оценки безопасности информационных технологий.

3. Заключение

Документы, регламентирующие основные понятия и концепции информационной безопасности на государственном или межгосударственном уровне, определяют понятие "защищенная система" посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности вычислительной системы. В соответствии с ними защищенная система – это система, соответствующая тому или иному стандарту информационной безопасности.

В результате разработки соответствующих критериев по обеспечению информационной безопасности ряд частных лиц, компаний и все государство в целом получают следующие выгоды:

· повышение стабильности, управляемости и надежности функционирования организации;

· осуществление расстановки приоритетов в сфере информационной безопасности;

· систематизация процессов обеспечения информационной безопасности;

· повышение защищенности ключевых бизнес-процессов;

· повышение авторитета организации и доверия к ней со стороны контрагентов;

· повышение уровня прозрачности и управляемости процессами обеспечения информационной безопасности;

· оптимизация процессов управления информационной безопасностью, повышение их эффективности и защищенности информационных систем;

· снижение рисков реализации внешних и внутренних угроз [4].

Список литературы

1) Цирлов В.Л. Основы информационной безопасности. РнД. Феникс, 2008. 253 с.

2) Галатенко В. А. Стандарты информационной безопасности. М.: Интернет-университет информационных технологий, 2006. 199 с.

В 1987 году Национальный центр компьютерной безопасности США выпустил в свет интерпретацию "Оранжевой книги" для сетевых конфигураций. Документ состоит из двух частей.

Первая содержит собственно интерпретацию, во второй рассматриваются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.

Основные положения интерпретации "Оранжевой книги" сводятся к следующему.

В первой части вводится минимум новых понятий. Важнейшее из них - безопасная сетевая компьютерная система.

Нет прямой зависимости между уровнями безопасности отдельных компонентов и уровнями безопасности всей сетевой конфигурации.

Управление доступом осуществляется с учетом сетевых структур.

Идентификация групп пользователей может строиться на основе сетевых адресов хостов или (под)сетей.

Возможен централизованный контроль доступа, когда решение принимает специальный сервер авторизации. Аналогично идентификация и аутентификация пользователей может производиться как централизованно (соответствующим сервером), так и локально - той системой, с которой пользователь непосредственно взаимодействует.

Расширяется регистрационная информация. Возможно выделение в сети одного или нескольких серверов протоколирования и аутентификации.

Учет динамичности сетевых конфигураций, в том числе, в "Руководстве администратора по средствам безопасности".

Повышенное внимание к целостности информации вообще и меток безопасности в частности.

Если первая часть Интерпретации посвящена в основном управлению доступом к информации, то во второй нашли отражение все основные аспекты безопасности - конфиденциальность, целостность и доступность.

В Интерпретации приведены новые сервисы безопасности и защитные механизмы.

Среди защитных механизмов в сетевых конфигурациях на первом месте стоит криптография, помогающая поддерживать как конфиденциальность, так и целостность. Следствием является необходимость реализации механизмов управления ключами.

Для поддержания целостности (в аспектах, относящихся к коммуникациям) используются аутентификация, контроль целостности полей и механизмы обеспечения неотказуемости.

Новым является рассмотрение вопросов доступности. Сетевой сервер перестает быть доступным, когда пропускная способность коммуникационных каналов падает ниже минимально допустимого уровня или функциональный сервер не в состоянии обслужить запросы.

Критерии части 2 дополняют "Оранжевую книгу". Каждый сервис безопасности рассматривается независимо и может получить одну из трех положительных оценок. Таким образом, общая оценка сетевой конфигурации выглядит примерно так : класс безопасности С2, сервис_1 - удовлетворительно; сервис_2 - "хорошо" и т.д. Заказчик, зная свои потребности, в состоянии принять решение о пригодности той или иной конфигурации.


Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria ) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. Критерии используются для определения, классификации и выбора компьютерных систем, предназначенных для обработки, хранения и поиска важной или секретной информации.

Аналогом Оранжевой книги является международный стандарт ISO/IEC 15408, опубликованный в 2005 году. Это более универсальный и совершенный стандарт, но вопреки распространённому заблуждению, он не заменял собой Оранжевую книгу в силу разной юрисдикции документов — Оранжевая книга используется исключительно Министерством Обороны США, в то время как ISO/IEC 15408 ратифицировали множество стран, включая Россию.

Данный стандарт получил международное признание и оказал исключительно сильное влияние на последующие разработки в области информационной безопасности (ИБ).

Данный стандарт относится к оценочным стандартам (классификация информационных систем и средств защиты) и речь в нём идёт не о безопасных, а о доверенных системах.

Каких-либо абсолютных систем (в том числе и безопасных) в нашей жизни не существует. Поэтому и было предложено оценивать лишь степень доверия, которое можно оказать той или иной системе.

Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.

Политики

Политики безопасности должны быть подробными, чётко определёнными и обязательными для компьютерной системы. Есть две основных политики безопасности:

  • Мандатная политика безопасности — обязательные правила управления доступом напрямую, основанные на индивидуальном разрешении, разрешении на доступ к информации и уровне конфиденциальности запрашиваемой информации. Другие косвенные факторы являются существенными и окружающими. Эта политика также должна точно соответствовать закону, главной политике и прочим важным руководствам, в которых устанавливаются правила.
    • Маркирование — системы, предназначенные для обязательной мандатной политики безопасности, должны предоставлять и сохранять целостность меток управления доступом, а также хранить метки, если объект перемещён.

    Ответственность

    Индивидуальная ответственность в независимости от политики должна быть обязательной. Есть три требования по условиям ответственности:

      — процесс, используемый для распознавания индивидуального пользователя. — проверка разрешения индивидуальному пользователю на получение информации определённого рода.
    • Аудит — контролируемая информация должна избирательно храниться и защищаться в мере, достаточной для отслеживания действий аутентифицированного пользователя, затрагивающих безопасность.

    Гарантии

    Компьютерная система должна содержать аппаратные и/или программные механизмы, которые могут независимо определять, обеспечивается ли достаточная уверенность в том, что система исполняет указанные выше требования. Вдобавок уверенность должна включать гарантию того, что безопасная часть системы работает только так, как запланировано. Для достижения этих целей необходимо два типа гарантий и соответствующих им элементов:

    • Механизмы гарантий
      • Операционная гарантия — уверенность в том, что реализация спроектированной системы обеспечивает осуществление принятой стратегии защиты системы. Сюда относятся системная архитектура, целостность системы, анализ скрытых каналов, безопасное управление возможностями и безопасное восстановление.
      • Гарантия жизненного цикла — уверенность в том, что система разработана и поддерживается в соответствии с формализованными и жёстко контролируемыми критериями функционирования. Сюда относятся тестирование безопасности, задание на проектирование и его проверка, управление настройками и соответствие параметров системы заявленным.

      Документирование

      В каждом классе есть дополнительный набор документов, который адресован разработчикам, пользователям и администраторам системы в соответствии с их полномочиями. Эта документация содержит:

      • Руководство пользователя по особенностям безопасности.
      • Руководство по безопасным средствам работы.
      • Документация о тестировании.
      • Проектная документация

      Безопасная система

      Это система, которая обеспечивает управление доступом к информации таким образом, что только авторизованные лица или процессы, действующие от их имени, получают право работы с информацией.

      Доверенная система

      Под доверенной системой в стандарте понимается система, использующая аппаратные и программные средства для обеспечения одновременной обработки информации разной категории секретности группой пользователей без нарушения прав доступа.

      Политика безопасности

      Это набор законов, правил, процедур и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Причём, политика безопасности относится к активным методам защиты, поскольку учитывает анализ возможных угроз и выбор адекватных мер противодействия.

      Уровень гарантированности

      Подразумевает меру доверия, которая может быть оказана архитектуре и реализации информационной системы, и показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности (пассивный аспект защиты).

      Подотчетность

      Доверенная вычислительная база

      Это совокупность защитных механизмов информационной системы (как программные, так и аппаратные), реализующих политику безопасности.

      Монитор обращений

      Контроль за выполнением субъектами (пользователями) определённых операций над объектами, путём проверки допустимости обращения (данного пользователя) к программам и данным разрешенному набору действий.

      Обязательные качества для монитора обращений:

      1. Изолированность (неотслеживаемость работы).
      2. Полнота (невозможность обойти).
      3. Верифицируемость (возможность анализа и тестирования).

      Ядро безопасности

      Конкретная реализация монитора обращений, обладающая гарантированной неизменностью.

      Периметр безопасности

      Это граница доверенной вычислительной базы.

      Произвольное управление доступом

      Иначе — добровольное управление доступом.

      Добровольное управление доступом — это метод ограничения доступа к объектам, основанный на учёте личности субъекта или группы, в которую субъект входит. Добровольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

      Большинство операционных систем и СУБД реализуют именно добровольное управление доступом. Главное его достоинство — гибкость, главные недостатки — рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы или секретные файлы в незащищённые каталоги.

      Безопасность повторного использования объектов

      Метки безопасности

      • совершенно секретно;
      • секретно;
      • конфиденциально;
      • не секретно.

      Главная проблема, которую необходимо решать в связи с метками, это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. В особенности это относится к экспорту и импорту данных. Например, печатный документ должен открываться заголовком, содержащим текстовое и/или графическое представление метки безопасности. Аналогично при передаче файла по каналу связи должна передаваться и ассоциированная с ним метка, причём в таком виде, чтобы удалённая система могла её разобрать, несмотря на возможные различия в уровнях секретности и наборе категорий.

      Принудительное управление доступом

      Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности. В частности, такие варианты существуют для SunOS и СУБД Ingres. Независимо от практического использования принципы принудительного управления являются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удобнее мыслить в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа. Впрочем, в реальной жизни добровольное и принудительное управление доступом сочетается в рамках одной системы, что позволяет использовать сильные стороны обоих подходов.

      Критерии делятся на 4 раздела: D, C, B и A, из которых наивысшей безопасностью обладает раздел A. Каждый дивизион представляет собой значительные отличия в доверии индивидуальным пользователям или организациям. Разделы C, B и A иерархически разбиты на серии подразделов, называющиеся классами: C1, C2, B1, B2, B3 и A1. Каждый раздел и класс расширяет или дополняет требования указанные в предшествующем разделе или классе.

      D — Минимальная защита

      Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов.

      C — Дискреционная защита

      • C1 — Дискреционное обеспечение секретности.
        • Разделение пользователей и данных , допускающее принудительное ограничение доступа на индивидуальной основе.
        • Более чётко оформленное дискреционное управление доступом.
        • Индивидуальные учётные записи, вход под которыми возможен через процедуру авторизации.
        • Журнал контроля доступа к системе.
        • Изоляция ресурсов.

        B — Мандатная защита

        • B1 — Защита с применением мета-безопасности
            к выбранным субъектам и объектам.
          • Все обнаруженные недостатки должны быть устранены или убраны каким-либо другим способом.
          • Маркировка данных
          • Чётко определённая и документированная модель правил безопасности.
          • Применение расширенного дискреционного и мандатного управления доступом ко всем объектам и субъектам.
          • Скрытые каналы хранения.
          • Соответствие требованиям монитора обращений.
          • Структурирование для исключения а, не отвечающего требованиям обязательной политики безопасности.
          • Поддержка администратора системы безопасности.
          • Примером подобной системы является XTS-300, предшественница XTS-400.

          A — Проверенная защита

          В критериях впервые введены четыре уровня доверия — D, C, B и A, которые подразделяются на классы. Классов безопасности всего шесть — C1, C2, B1, B2, B3, A1 (перечислены в порядке ужесточения требований).

          Уровень D

          Данный уровень предназначен для систем, признанных неудовлетворительными.

          Уровень C

          Иначе — произвольное управление доступом.

          Класс C1

          Политика безопасности и уровень гарантированности для данного класса должны удовлетворять следующим важнейшим требованиям:

          1. доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;
          2. пользователи должны идентифицировать себя, причём аутентификационная информация должна быть защищена от несанкционированного доступа;
          3. доверенная вычислительная база должна поддерживать область для собственного выполнения, защищённую от внешних воздействий;
          4. должны быть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;
          5. защитные механизмы должны быть протестированы (нет способов обойти или разрушить средства защиты доверенной вычислительной базы);
          6. должны быть описаны подход к безопасности и его применение при реализации доверенной вычислительной базы.

          Класс C2

          В дополнение к C1:

          1. права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа.
          2. при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования.
          3. каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем.
          4. доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой.
          5. тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

          Уровень B

          Также именуется — принудительное управление доступом.

          Класс B1

          В дополнение к C2:

          1. доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом.
          2. доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам.
          3. доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путём разделения их адресных пространств.
          4. группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные ы тщательному анализу и тестированию.
          5. должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой.

          Класс B2

          В дополнение к B1:

          1. снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам.
          2. к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации.
          3. должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью.
          4. доверенная вычислительная база должна быть внутренне структурирована на хорошо определённые, относительно независимые модули.
          5. системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала.
          6. должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения.
          7. модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие её интерфейс.
          8. в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного а, тестовых данных и документации.
          9. тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

          Класс B3

          В дополнение к B2:

          1. для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешённых режимов.
          2. должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом.
          3. доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определённой семантикой.
          4. процедура анализа должна быть выполнена для временных тайных каналов.
          5. должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий.
          6. должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты.
          7. должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.

          Уровень A

          Носит название — верифицируемая безопасность.

          Класс A1

          В дополнение к B3:

          1. тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня.
          2. помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем.
          3. механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности.
          4. должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.
          • уровень C — произвольное управление доступом;
          • уровень B — принудительное управление доступом;
          • уровень A — верифицируемая безопасность.


          Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria ) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. Критерии используются для определения, классификации и выбора компьютерных систем, предназначенных для обработки, хранения и поиска важной или секретной информации.

          Аналогом Оранжевой книги является международный стандарт ISO/IEC 15408, опубликованный в 2005 году. Это более универсальный и совершенный стандарт, но вопреки распространённому заблуждению, он не заменял собой Оранжевую книгу в силу разной юрисдикции документов — Оранжевая книга используется исключительно Министерством Обороны США, в то время как ISO/IEC 15408 ратифицировали множество стран, включая Россию.

          Данный стандарт получил международное признание и оказал исключительно сильное влияние на последующие разработки в области информационной безопасности (ИБ).

          Данный стандарт относится к оценочным стандартам (классификация информационных систем и средств защиты) и речь в нём идёт не о безопасных, а о доверенных системах.

          Каких-либо абсолютных систем (в том числе и безопасных) в нашей жизни не существует. Поэтому и было предложено оценивать лишь степень доверия, которое можно оказать той или иной системе.

          Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.

          Политики

          Политики безопасности должны быть подробными, чётко определёнными и обязательными для компьютерной системы. Есть две основных политики безопасности:

          • Мандатная политика безопасности — обязательные правила управления доступом напрямую, основанные на индивидуальном разрешении, разрешении на доступ к информации и уровне конфиденциальности запрашиваемой информации. Другие косвенные факторы являются существенными и окружающими. Эта политика также должна точно соответствовать закону, главной политике и прочим важным руководствам, в которых устанавливаются правила.
            • Маркирование — системы, предназначенные для обязательной мандатной политики безопасности, должны предоставлять и сохранять целостность меток управления доступом, а также хранить метки, если объект перемещён.

            Ответственность

            Индивидуальная ответственность в независимости от политики должна быть обязательной. Есть три требования по условиям ответственности:

              — процесс, используемый для распознавания индивидуального пользователя. — проверка разрешения индивидуальному пользователю на получение информации определённого рода.
            • Аудит — контролируемая информация должна избирательно храниться и защищаться в мере, достаточной для отслеживания действий аутентифицированного пользователя, затрагивающих безопасность.

            Гарантии

            Компьютерная система должна содержать аппаратные и/или программные механизмы, которые могут независимо определять, обеспечивается ли достаточная уверенность в том, что система исполняет указанные выше требования. Вдобавок уверенность должна включать гарантию того, что безопасная часть системы работает только так, как запланировано. Для достижения этих целей необходимо два типа гарантий и соответствующих им элементов:

            • Механизмы гарантий
              • Операционная гарантия — уверенность в том, что реализация спроектированной системы обеспечивает осуществление принятой стратегии защиты системы. Сюда относятся системная архитектура, целостность системы, анализ скрытых каналов, безопасное управление возможностями и безопасное восстановление.
              • Гарантия жизненного цикла — уверенность в том, что система разработана и поддерживается в соответствии с формализованными и жёстко контролируемыми критериями функционирования. Сюда относятся тестирование безопасности, задание на проектирование и его проверка, управление настройками и соответствие параметров системы заявленным.

              Документирование

              В каждом классе есть дополнительный набор документов, который адресован разработчикам, пользователям и администраторам системы в соответствии с их полномочиями. Эта документация содержит:

              • Руководство пользователя по особенностям безопасности.
              • Руководство по безопасным средствам работы.
              • Документация о тестировании.
              • Проектная документация

              Безопасная система

              Это система, которая обеспечивает управление доступом к информации таким образом, что только авторизованные лица или процессы, действующие от их имени, получают право работы с информацией.

              Доверенная система

              Под доверенной системой в стандарте понимается система, использующая аппаратные и программные средства для обеспечения одновременной обработки информации разной категории секретности группой пользователей без нарушения прав доступа.

              Политика безопасности

              Это набор законов, правил, процедур и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Причём, политика безопасности относится к активным методам защиты, поскольку учитывает анализ возможных угроз и выбор адекватных мер противодействия.

              Уровень гарантированности

              Подразумевает меру доверия, которая может быть оказана архитектуре и реализации информационной системы, и показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности (пассивный аспект защиты).

              Подотчетность

              Доверенная вычислительная база

              Это совокупность защитных механизмов информационной системы (как программные, так и аппаратные), реализующих политику безопасности.

              Монитор обращений

              Контроль за выполнением субъектами (пользователями) определённых операций над объектами, путём проверки допустимости обращения (данного пользователя) к программам и данным разрешенному набору действий.

              Обязательные качества для монитора обращений:

              1. Изолированность (неотслеживаемость работы).
              2. Полнота (невозможность обойти).
              3. Верифицируемость (возможность анализа и тестирования).

              Ядро безопасности

              Конкретная реализация монитора обращений, обладающая гарантированной неизменностью.

              Периметр безопасности

              Это граница доверенной вычислительной базы.

              Произвольное управление доступом

              Иначе — добровольное управление доступом.

              Добровольное управление доступом — это метод ограничения доступа к объектам, основанный на учёте личности субъекта или группы, в которую субъект входит. Добровольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

              Большинство операционных систем и СУБД реализуют именно добровольное управление доступом. Главное его достоинство — гибкость, главные недостатки — рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы или секретные файлы в незащищённые каталоги.

              Безопасность повторного использования объектов

              Метки безопасности

              • совершенно секретно;
              • секретно;
              • конфиденциально;
              • не секретно.

              Главная проблема, которую необходимо решать в связи с метками, это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. В особенности это относится к экспорту и импорту данных. Например, печатный документ должен открываться заголовком, содержащим текстовое и/или графическое представление метки безопасности. Аналогично при передаче файла по каналу связи должна передаваться и ассоциированная с ним метка, причём в таком виде, чтобы удалённая система могла её разобрать, несмотря на возможные различия в уровнях секретности и наборе категорий.

              Принудительное управление доступом

              Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности. В частности, такие варианты существуют для SunOS и СУБД Ingres. Независимо от практического использования принципы принудительного управления являются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удобнее мыслить в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа. Впрочем, в реальной жизни добровольное и принудительное управление доступом сочетается в рамках одной системы, что позволяет использовать сильные стороны обоих подходов.

              Критерии делятся на 4 раздела: D, C, B и A, из которых наивысшей безопасностью обладает раздел A. Каждый дивизион представляет собой значительные отличия в доверии индивидуальным пользователям или организациям. Разделы C, B и A иерархически разбиты на серии подразделов, называющиеся классами: C1, C2, B1, B2, B3 и A1. Каждый раздел и класс расширяет или дополняет требования указанные в предшествующем разделе или классе.

              D — Минимальная защита

              Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов.

              C — Дискреционная защита

              • C1 — Дискреционное обеспечение секретности.
                • Разделение пользователей и данных , допускающее принудительное ограничение доступа на индивидуальной основе.
                • Более чётко оформленное дискреционное управление доступом.
                • Индивидуальные учётные записи, вход под которыми возможен через процедуру авторизации.
                • Журнал контроля доступа к системе.
                • Изоляция ресурсов.

                B — Мандатная защита

                • B1 — Защита с применением мета-безопасности
                    к выбранным субъектам и объектам.
                  • Все обнаруженные недостатки должны быть устранены или убраны каким-либо другим способом.
                  • Маркировка данных
                  • Чётко определённая и документированная модель правил безопасности.
                  • Применение расширенного дискреционного и мандатного управления доступом ко всем объектам и субъектам.
                  • Скрытые каналы хранения.
                  • Соответствие требованиям монитора обращений.
                  • Структурирование для исключения а, не отвечающего требованиям обязательной политики безопасности.
                  • Поддержка администратора системы безопасности.
                  • Примером подобной системы является XTS-300, предшественница XTS-400.

                  A — Проверенная защита

                  В критериях впервые введены четыре уровня доверия — D, C, B и A, которые подразделяются на классы. Классов безопасности всего шесть — C1, C2, B1, B2, B3, A1 (перечислены в порядке ужесточения требований).

                  Уровень D

                  Данный уровень предназначен для систем, признанных неудовлетворительными.

                  Уровень C

                  Иначе — произвольное управление доступом.

                  Класс C1

                  Политика безопасности и уровень гарантированности для данного класса должны удовлетворять следующим важнейшим требованиям:

                  1. доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;
                  2. пользователи должны идентифицировать себя, причём аутентификационная информация должна быть защищена от несанкционированного доступа;
                  3. доверенная вычислительная база должна поддерживать область для собственного выполнения, защищённую от внешних воздействий;
                  4. должны быть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;
                  5. защитные механизмы должны быть протестированы (нет способов обойти или разрушить средства защиты доверенной вычислительной базы);
                  6. должны быть описаны подход к безопасности и его применение при реализации доверенной вычислительной базы.

                  Класс C2

                  В дополнение к C1:

                  1. права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа.
                  2. при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования.
                  3. каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем.
                  4. доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой.
                  5. тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

                  Уровень B

                  Также именуется — принудительное управление доступом.

                  Класс B1

                  В дополнение к C2:

                  1. доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом.
                  2. доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам.
                  3. доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путём разделения их адресных пространств.
                  4. группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные ы тщательному анализу и тестированию.
                  5. должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой.

                  Класс B2

                  В дополнение к B1:

                  1. снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам.
                  2. к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации.
                  3. должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью.
                  4. доверенная вычислительная база должна быть внутренне структурирована на хорошо определённые, относительно независимые модули.
                  5. системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала.
                  6. должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения.
                  7. модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие её интерфейс.
                  8. в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного а, тестовых данных и документации.
                  9. тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

                  Класс B3

                  В дополнение к B2:

                  1. для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешённых режимов.
                  2. должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом.
                  3. доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определённой семантикой.
                  4. процедура анализа должна быть выполнена для временных тайных каналов.
                  5. должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий.
                  6. должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты.
                  7. должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.

                  Уровень A

                  Носит название — верифицируемая безопасность.

                  Класс A1

                  В дополнение к B3:

                  1. тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня.
                  2. помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем.
                  3. механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности.
                  4. должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.
                  • уровень C — произвольное управление доступом;
                  • уровень B — принудительное управление доступом;
                  • уровень A — верифицируемая безопасность.

                  Читайте также: