В «Оранжевой книге» предложены четыре категории требований: политика, подотчетность, гарантии и документирование, в рамках которых сформулированы базовые требования безопасности. Рассмотрим некоторые из них подробнее. • Политика
Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности (мандатную или дискреционную). Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом.
• Подотчетность (аудит)
Требование 2. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.
Требование 3. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе (т.е. должен существовать объект компьютерной системы, потоки от которого и к которому доступны только субъекту администрирования). Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.
• Гарантии (корректность)
Требование 4. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты, Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.
Требование 5. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одной из ключевых аксиом, используемых для формального доказательства безопасности системы.
• Документирование
Требование 6. Документирование. В каждом классе необходимо выделять набор документов, который адресован разработчикам, пользователям и администраторам системы в соответствии с их полномочиями. Эта документация может состоять из:
• Руководства пользователя по особенностям безопасности.
• Руководства по безопасным средствам работы.
• Документации о тестировании.
• Проектной документации.
Классы защищенности компьютерных систем по TCSEC «Оранжевая книга» предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D и А соответственно), группа С-классы Cl, C2, а группа В -классы Bl, B2, ВЗ, характеризующиеся различными наборами требований защищенности. Уровень защищенности возрастает от группы D к группе А, а внутри группы - с увеличением номера класса. Усиление требований осуществляется с постепенным смещением акцентов от положений, определяющих наличие в системе каких-то определенных механизмов защиты, к положениям обеспечивающих высокий уровень гарантий того, что система функционирует в соответствии требованиям политики безопасности. Например, по реализованным механизмам защиты классы ВЗ и А1 идентичны.
Все эти требования могут быть представлены в виде таблицы.
Таблица 2
Требования | С1 | ВЗ | А1 | |
1. Требование 1 | — | — | — | |
2. Требование 2 | — | + | = | |
3. Требование 3 | — | + | + | |
«-» - нет требований по этому классу
«+» - новые или дополнительные требования
«=» - требования совпадают с требованиями предыдущего класса
Перечень требований по Оранжевой книге в виде таблицы можно посмотреть в Приложении 2. Опишем смысл требований в словесной форме.
Так как центральным объектом исследования и оценки по ТС SEC является доверительная база вычислений (Trusted Computing Base, TCB), необходимо коротко познакомиться с этим понятием.
Рассмотрим концепцию монитора ссылок, отражающую свойства механизмов безопасности. В данной концепции сеанс работы пользователя в компьютерной системе характеризуется инициированием процесса, который работает в интересах пользователя и выполняет последовательность операций доступа к объектам системы. Очевидно, что должна существовать некая процедура принятия решений о том, какой из запрашиваемых доступов разрешить, а какой нет. По-другому это можно представить как фильтр, через который должны пройти все запросы на доступ, созданные субъектами. Схема такого фильтра получила название монитора ссылок.
Основной характеристикой монитора ссылок является то, что он или разрешает запрос на доступ, или запрещает, возможно, уведомляя об этом субъекта. Монитор ссылок может быть описан в терминах функции с запросами на обслуживание, разрешениями доступа, другими компонентами состояния системы на входе (т.е. элементами области определения) и разрешениями или запретами на обслуживание на выходе (т.е. элементами области значения).
Таким образом, монитор ссылок должен удовлетворять трем требованиям:
• ни один запрос на доступ субъекта к объекту не должен проходить мимо монитора ссылок;
• целостность монитора ссылок должна строго контролироваться;
• представление монитора ссылок должно быть достаточно простым для доказательства корректности его работы.
Однако совершенно необязательно, чтобы безопасная система включала в свою архитектуру отдельный модуль (возможно, называемый модулем монитора ссылок), который бы обрабатывал запросы. Способ выполнения обработки запросов определяется проектировщиками и разработчиками системы.
Если в начале проектирования безопасных систем данный монитор реализовывался в виде отдельного модуля, встроенного в операционную систему, то в настоящее время существует тенденция к реализации данной концепции в форме совместно работающего программного и аппаратного обеспечения, называемого ТСВ системы.
Более того, на основании наличия компактного ядра безопасности ТСВ системы мы делаем заключение о свойствах безопасности системы в целом. Говоря о некотором свойстве системы, можно строить доказательство двумя способами: либо показать, что система ведет себя корректно всегда, либо показать, что система никогда не выполняет некорректных действий.
Основной причиной выделения программного обеспечения ТСВ системы является необходимость независимости свойства безопасности сие-
темы от программного обеспечения системы, не входящего в состав ТСВ. Программное обеспечение ТСВ системы обычно много компактнее и проще, чем программное обеспечение системы в целом.
Возвращаясь к ТС SEC...