30527

Основные положения критериев TCSEC (“Оранжевая книга”). Фундаментальные требования компьютерной безопасности. Требования классов защиты

Доклад

Математика и математический анализ

Фундаментальные требования компьютерной безопасности. Критерии оценки безопасности компьютерных систем TCSEC получившие неформальное Оранжевая книга были разработаны и опубликованы Министерством обороны США в 1983 г. с целью определения требований безопасности предъявляемых к аппаратному программному и специальному программному и информационному обеспечению компьютерных систем и выработки методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах в основном военного назначения. Усиление требований...

Русский

2013-08-24

30.54 KB

34 чел.

Основные положения критериев TCSEC (“Оранжевая книга”). Фундаментальные требования компьютерной безопасности. Требования классов защиты.

Критерии оценки безопасности компьютерных систем (TCSEC), получившие неформальное "Оранжевая книга", были разработаны и опубликованы Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному программному и информационному обеспечению компьютерных систем, и выработки методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах в основном военного назначения.

Согласно "Оранжевой книге" безопасная компьютерная система - это система, поддерживающая управление доступом к обрабатываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы (субъекты), действующие от их имени, получают возможность читать, записывать, создавать и удалять информацию.

Классы защищенности компьютерных систем по TCSEC

"Оранжевая книга" предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D и А соответственно), группа С-классы С1, С2, а группа В три класса B1, В2, ВЗ, характеризующиеся различными наборами требований защищенности. Уровень защищенности возрастает от группы D к группе А, а внутри группы - с увеличением номера класса. Усиление требований осуществляется с постепенным смещением акцентов от положений, определяющих наличие в системе каких-то определенных механизмов защиты, к положениям обеспечивающих высокий уровень гарантий того, что система функционирует в соответствии требованиям политики безопасности (табл.).

Рассмотрим основные требования классов защищенности по указанным выше четырем категориям:

•   политика безопасности;

•    подотчетность;

•   гарантии;

•   документация.

Центральным объектом исследования и оценки по TCSEC является доверительная база вычислений (ТСВ).

Группа D. Минимальная защита.

Класс D. Минимальная защита. Класс D зарезервирован для тех систем, которые были представлены на сертификацию (оценку), но по какой-либо причине ее не прошли.

Группа С. Дискреционная защита

Группа С характеризуется наличием дискреционного управления доступом и аудитом действий субъектов.

Класс С1. Системы на основе дискреционного разграничения доступа. ТСВ систем, соответствующих этому классу защиты, удовлетворяет неким минимальным требованиям безопасного разделения пользователей и данных. Она определяет некоторые формы разграничения доступа на индивидуальной основе, т.е. пользователь должен иметь возможность защитить свою информацию от ее случайного чтения или уничтожения. Пользователи могут обрабатывать данные как по отдельности, так и от имени группы пользователей.

Политика безопасности. ТСВ должна определять и управлять доступом между поименованными объектами и субъектами (пользователями или их группами) в компьютерной системе (например, при помощи матрицы доступа). Механизм защиты должен позволять пользователям определять и контролировать распределение доступа к объектам по поименованным пользователям, их группам или по тем и другим.

Подотчетность. Пользователи должны идентифицировать себя перед ТСВ в случае выполнения ими любых действий, ею контролируемых, при этом должен быть использован хотя бы один из механизмов аутентификации (например, пароль). Данные аутентификации должны быть защищены от доступа неавторизованного пользователя.

Гарантии. ТСВ обеспечивает ее собственную работу и защиту от внешнего воздействия. Ресурсы системы, контролируемые ТСВ, являются подмножеством множества всех ресурсов. Должны быть предоставлены АО и ПО для периодической проверки правильности работы ТСВ. Тестирование ТСВ должно выполняться согласно документации для обеспечения гарантии того, что нет явных путей обхода системы защиты неавторизованным пользователем или иного расстройства системы защиты.

Документация должна включать:

·         описание реализованных в ТСВ механизмов защиты, их взаимодействия и руководство пользователя по их использованию;

·         руководство для администратора системы на гарантирование системы защиты;

·         документацию по тестам, включающую описание того, как механизмы безопасности должны тестироваться и как интерпретировать результаты тестов;

·         документацию по проекту, описывающую философию системы защиты и того, как эта философия реализована в ТСВ (если ТСВ состоит из нескольких модулей, то должен быть описан интерфейс между ними).

Класс С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности.

Класс С2. Системы, построенные на основе управляемого дискреционного разграничения доступа.

Системы, сертифицированные по данному классу, должны удовлетворять всем требованиям, изложенным в классе С1. Однако, системы класса С2 поддерживают более тонкую, чем в классе С1, политику дискреционного разграничения доступа, делающую пользователя индивидуально ответственным за свои действия после процедуры аутентификации в системе, а также аудит событий, связанных с безопасностью системы.

Группа В. Мандатное управление доступом.

Основные требования этой группы - мандатное (полномочное) управление доступом с использованием меток безопасности, реализация некоторой формальной модели политики безопасности, а также наличие спецификаций на функции ТСВ. В системах этой группы постепенно к классу ВЗ должен быть реализован монитор ссылок, который должен контролировать все доступы субъектов к объектам системы.

Класс В1. Системы класса В1 должны удовлетворять требованиям класса С2. Кроме того, должны быть выполнены следующие дополнительные требования.B2

Политика безопасности. ТСВ должна обеспечивать пометку каждого субъекта и объекта системы.

Подотчетность. Аудиту подлежат любые изменения меток секретности читаемого вывода.

Гарантии. ТСВ должна обеспечивать изоляцию процессов системы, через выделение им соответствующего адресного пространства.

Документация должна дополнительно включать:

•    Для системного администратора описание функций, относящихся к безопасности ТСВ, а также описание путей и методов наилучшего использования защитных свойств системы; указание, как безопасно создать новую ТСВ; описания выполняемых процедур, предупреждений и привилегий, необходимых для контроля за безопасной работой системы.

•    Описание формальной или неформальной политики безопасности, а также то, как она реализована в системе.

Класс В2. Структурированная защита. Выполняются все требования класса защиты В1. Кроме того, в системах класса В2 ТСВ основывается на четко определенной и хорошо документированной формальной модели политики безопасности, требующей, чтобы мандатная и дискреционная системы разграничения доступа были распространены на все субъекты и объекты компьютерной системы. ТСВ должна быть четко структурирована на элементы, критичные с точки зрения безопасности и некритичные. Интерфейс ТСВ должен быть хорошо определен и ее проект и конечный результат должны быть подвергнуты полной проверке и тестированию. Механизм аудита должен быть усилен, введен контроль за конфигурацией системы. Система должна быть устойчива к внешнему проникновению.

Класс ВЗ. Домены безопасности. В системах класса ВЗ ТСВ должна удовлетворять всем требованиям предыдущего класса и дополнительно требованиям монитора ссылок, который должен быть:

•    защищен от несанкционированного изменения или порчи;

•    обрабатывать все обращения;

•   прост для анализа и тестирования.

ТСВ должна быть структурирована таким образом, чтобы исключить код, не имеющий отношения к безопасности системы.

Дополнительно должно быть обеспечено:

•    поддержка администратора безопасности;

•    расширение механизма аудита с целью сигнализации о любых событиях, связанных с безопасностью;

•    поддержка процедуры восстановления системы.

Группа А. Верифицированная защита.

Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управления доступом (дискреционного и мандатного). Требуется, чтобы было формально показано соответствие архитектуры и реализации ТСВ требованиям безопасности.

Класс А1. Формальная верификация. Критерий защиты класса А1 не определяет дополнительные по сравнению с классом ВЗ требования к архитектуре или политике безопасности компьютерной системы. Дополнительным свойством систем, отнесенных к классу А1, является проведенный анализ ТСВ на соответствие формальным высокоуровневым спецификациям и использование технологий проверки с целью получения высоких гарантий того, что ТСВ функционирует корректно.

Общая структура требований TCSEC

В "Оранжевой книге" предложены три категории требований безопасности: политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних - на качество средств защиты. Рассмотрим эти требования подробнее.

  1.  Политика безопасности

Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где это необходимо, должна использоваться политика мандатного управления доступом, позволяющая эффективно реализовать разграничение доступа к информации различного уровня конфиденциальности.

Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа. Для реализации мандатного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секретности) объекта и режимы доступа к этому объекту.

  1.  Подотчетность

Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.

Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе (т.е. должен существовать объект компьютерной системы, потоки от которого и к которому доступны только субъекту администрирования). Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.

  1.  Гарантии (корректность)

Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одной из ключевых аксиом, используемых для формального доказательства безопасности системы.

Интерпретация и развитие TCSEC.

Опубликование TCSEC стало важным этапом как в постановке основных теоретических проблем компьютерной безопасности, так и в указании направления их решения. Тем не менее, в ходе применения ее основных положений выяснилось, что часть практически важных вопросов осталась за рамками данного стандарта. Кроме того, с течением времени (с момента опубликования прошло пятнадцать лет) ряд положений устарел и потребовал пересмотра.

Круг специфических вопросов по обеспечению безопасности компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной безопасности США в виде дополнений к "Оранжевой книге":

  1.  "Интерпретация TCSEC для компьютерных сетей" ,
  2.  "Интерпретация TCSEC для систем управления базами данных".

Эти документы содержат трактовку, основных положений "Оранжевой книги" применительно к соответствующим классам систем обработки информации.

Устаревание ряда положений TCSEC обусловлено прежде всего интенсивным развитием компьютерных технологий и переходом с вычислительных комплексов типа IBM-360/270 (советский аналог-машины серии ЕС) к рабочим станциям, высокопроизводительным персональным компьютерам и сетевой модели вычислений. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений "Оранжевой книги", адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана значительная работа по интерпретации и развитию положений этого стандарта. В результате возник целый ряд сопутствующих "Оранжевой книге" документов, многие из которых стали ее неотъемлемой частью. К наиболее часто упоминаемым относятся:

  1.  "Руководство по произвольному управлению доступом в безопасных системах",
  2.  "Руководство по управлению паролями" ,
  3.  "Руководство по применению "Критериев безопасности компьютерных систем" в специфических средах".
  4.  "Руководство по аудиту в безопасных системах".
  5.  "Руководство по управлению конфигурацией в безопасных системах".

В 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием "Интерпретация критериев безопасности компьютерных систем", объединяющий все дополнения и разъяснения. При его подготовке состав подлежащих рассмотрению и толкованию вопросов обсуждался на специальных конференциях разработчиков и пользователей защищенных систем обработки информации. В результате открытого обсуждения была создана база данных, включающая все спорные вопросы, которые затем в полном объеме были проработаны специально созданной рабочей группой. В итоге появился документ, проинтегрировавший все изменения и дополнения к TCSEC, сделанные с момента ее опубликования, что привело к обновлению стандарта и позволило применять его в современных условиях.


 

А также другие работы, которые могут Вас заинтересовать

29486. ПИРАМИДА ОБЩЕСТВЕННОГО МНЕНИЯ В ЭЛЕКТОРАЛЬНОМ «ЗЕРКАЛЕ» 100 KB
  После выборов 24 опрошенных утверждали что приняли решение в последние дни а 4 на участке. При этом собственное решение сочли вполне обдуманным и взвешенным 45 скорее таковым 27 скорее эмоциональным 9 полностью эмоциональным 4 затруднились оценить свое решение 15 опрошенных. Таблица 1 Мера обдуманности и время принятия решения о голосовании в от числа опрошенных Насколько обдуманным было принятое решение Задолго до начала избирательной кампании В начале осени Примерно в октябре Примерно в ноябре В последние дни перед...
29487. СОЦИАЛЬНО-ПРОСТРАНСТВЕННАЯ СТРУКТУРА РОССИЙСКОГО ОБЩЕСТВА: ЦЕНТР И РЕГИОНЫ 80.5 KB
  Кроме того постоянные попытки союзного а потом российского политического руководства сохранить влияние на административные регионы в этих условиях постоянно приводили к усилению локальных элит и привилегий конституированных в частности в верхней палате нынешнего парламента.в от числа участвовавших в голосовании Регионы Реформисты Консерваторы Север и СевероЗапад области 57 49 республики 54 46 центральный 43 57 ВолгоВятский области 44 56 республики 34 66 ЦентральноЧерноземный 29 71 Приволжский области 37 64 республики 60...
29488. СТРУКТУРА РОССИЙСКОГО ЭЛЕКТОРАЛЬНОГО ПРОСТРАНСТВА 87 KB
  Кроме того результаты всеобщих выборов могут служить средством проверки не только исследовательских данных но также моделей и гипотез относительно ряда параметров социальной и политической реальности. практически непрерывная электоральная ситуация определила не только фон и меру но в значительной мере и само содержание социальнополитической жизни характер политических решений и требований. Ваше настроение в последние дни Прекрасное 3 3 Нормальное ровное 35 31 Напряжение раздражение 40 45 Страх тоска 13 10 Затруднились ответить 9 9 С...
29489. «ЧЕЛОВЕК ПОЛИТИЧЕСКИЙ»: СЦЕНА И РОЛИ ПЕРЕХОДНОГО ПЕРИОДА 90.5 KB
  Распад этой системы привел или приводит к обособлению повседневности от официальной жизни экономической сферы от политической ценностных императивов от инструментальных и т. За эти десять лет определились характерные черты политических институтов политической сцены и политического человека переходного типа. Распад механизма централизованной мобилизации около пяти лет назад не привел ни к реальному плюрализму социальнополитического действия ни к формированию каналов массового участия в политической жизни. Действенным средством...
29490. ФАКТОРЫ И ФАНТОМЫ ОБЩЕСТВЕННОГО ДОВЕРИЯ (постэлекторальные размышления) 87 KB
  Не дорожи любовию народной Показатель массового доверия или недоверия к политическим партиям деятелям социальным институтам один из наиболее употребительных обобщенных и как будто наиболее чутких индикаторов в опросах общественного мнения. Вот некоторые парадоксы общественного доверия выявленные в опросах упомянутой серии: рост показателей доверия к Б. Ельцину на протяжении избирательной президентской кампании при сохранении резко критических оценок его деятельности; значительное расхождение между рейтингами доверия и электоральной...
29491. СОЦИАЛЬНЫЕ ТИПЫ ПЕРЕХОДНОГО ПЕРИОДА: ПОПЫТКА ХАРАКТЕРИСТИКИ 103 KB
  Представляется общепризнанным что каждая социальная система в каждый значимый период ее существования формирует выдвигает некоторый специфический набор социальноантропологических типов. В условиях модернизационных процессов индустриализация НТР урбанизация образовательная революция в число значимых признаков социальноантропологических типов естественно попадают такие объективные индикаторы как род занятий тип расселения уровень образования и т д. Данные такого рода пригодны для описания внешних условий деятельности различных...
29492. МАССОВЫЙ ПРОТЕСТ: ПОТЕНЦИАЛ И ПРЕДЕЛЫ 95 KB
  Прежде всего это относится к характеру массовых выступлений протеста развернувшихся со второй половины 1996 г. и увенчавшихся пока организованной профсоюзным руководством акцией протеста 27 марта 1997 г. Кто заявляет о готовности протестовать Обратимся к показателям возможного декларативного участия в акциях протеста различных групп. Если как отмечалось ранее центральными фигурами в ожиданиях или опасениях протеста являются образованные люди то главный носитель настроений протеста малообразованные.
29494. ОБЩЕСТВЕННОЕ МНЕНИЕ НА ПЕРЕЛОМЕ ЭПОХ: ОЖИДАНИЯ, ОПАСЕНИЯ, РАМКИ (К социологии политического перехода) 147.5 KB
  Сама сложность такого перехода давно может считаться некой отечественной традицией: персонализация верховной власти при неразвитости формальных политических институтов в России неизменно в течении нескольких столетий приводила к тому что смена первых лиц означала смену политических эпох стилей и механизмов господства состава и роли определенных групп влияния и т. Очевидно при этом что соблюдение конституционных рамок и видимая бесконфликтность даже фактическое отсутствие конкуренции обеспечены смещением решающих политических и...