Критерии безопасности компьютерных систем Министерства обороны США («Оранжевая книга»). Сша оранжевая книга


5.1. Критерии безопасности компьютерных систем министерства обороны сша ("Оранжевая книга")

Данные критерии или стандарт TCSEC, получившие название «Оранжевая книга», ориентированы на обеспечение безопасности информации в компьютерных системах. При этом понятие «обеспечение безопасности информации» основывается на следующем предположении: компьютерная система является безопасной, если она обеспечивает контроль за доступом к информации так, что только надлежащим образом уполномоченные лица или процессы, функционирующие от их имени, имеют право читать, писать, создавать или уничтожать информацию.

Критерии безопасности, изложенные в «Оранжевой книге», ориентированны в основном на разработку и сертификацию многопользовательских операционных систем и требуют определенной интерпретации для применения в других областях, например для баз данных и сетей.

«Критерии безопасности компьютерных систем» (Trusted Computer System Evalualion Сriteria) были разработаны и опубликованы Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному программному и информационному обеспечению компьютерных систем и выработки методики и технологии анализа степени поддержки политики безопасности в компьютерных системах в основном военного назначения.

Без преувеличения можно утверждать, что в «Оранжевой книге» заложен понятийный базис информационной безопасности. Достаточно лишь перечислить содержащиеся в нем понятия: безопасная и доверенная системы; монитор обращений; ядро и периметр безопасности; критерии (требования), политика, уровни и классы безопасности.

Безопасная система – система, управляющая доступом к информации таким образом, что только авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию.

Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

Доверенная система – система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.

Одна из ключевых функций доверенной системы – выполнение функции монитора обращений, т. е. контроля допустимости выполнения субъектами (активными сущностями ИС, действующими от имени пользователей) определенных операций над объектами (пассивными сущностями).

Реализация монитора обращений называется ядром безопасности, а граница доверенной системы – периметром безопасности.

Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.

В «Оранжевой книге» предложены три критерия требований безопасности:

  • политика безопасности;

  • аудит;

  • корректность,

и сформулированы шесть базовых требований безопасности.  

Первые четыре требования касаются того, что необходимо предусмотреть для управления доступом к информации, а два последних призывают обеспечить гарантию того, что система удовлетворяет требованиям с первого по четвертое. Требования приведены в таблице.

Таблица

Требования в отношении политики безопасности:

 

Политика безопасности

 

Требование 1

 

 

Система должна поддерживать точно определенную политику безопасности. Возможность осуществления доступа субъекта к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где необходимо, должна пользоваться политика мандатного управления доступом

 

Метки

 

Требование 2

С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа

 

Идентификация и

аутентификация

Требование 3

 

 

Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должны осуществлять на основании идентификации и аутентификации субъектов и объектов доступа и правил разграничения доступа

Продолжение таблицы

Требования в отношении политики безопасности:

 

Регистрация и учет

 

Требование 4

 

 

Все происходящие в системе события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения

Требования в отношении корректности:

 

Контроль корректности функционирования средств защиты

Требование 5

 

 

Все средства защиты, обеспечивающие политику безопасности, управление атрибутами и штатами безопасности, идентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип корректности должен состоять в том, что средства контроля должны быть полностью независимы от средств защиты

 

Непрерывность защиты

 

Требование 6

 

 

Все средства защиты должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты к компьютерной системы. Выполнение этого требования является одной из ключевых аксиом, используемых для функционального доказательства безопасности системы

 

Группы безопасности компьютерных систем

Согласно «Оранжевой книге» для оценки защищенности информационных систем рассматриваются четыре группы безопасности, соответствующие различным степеням защищенности: от формально доказанной (группа A) до минимальной (группа D). В некоторых случаях группы безопасности A, B, C, D делятся на классы безопасности, например, B1, B2, B3.

D; C1, C2; B1, B2, B3; A.

Уровень безопасности возрастает от группы D к группе A, а внутри группы с возрастанием номера класса.

Группа D. Минимальная защита

Класс D – к этому классу относятся все системы, которые не удовлетворяют требованиям других классов.

Группа C. Произвольное управление доступом (дискреционная защита) и регистрация действий субъектов

Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделение пользователей и информации и включают средства контроля и управления доступом.

Класс рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности.

Класс C2. Управление доступом. Осуществляется более гибкое управление доступом. Для этого применяются средства индивидуального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов.  

Группа B. Мандатная защита

Основные требования к классам этой группы:

  • нормативное управление доступом с использованием меток безопасности;

  • поддержка модели и политики безопасности;

  • наличие спецификаций на функции достоверной вычислительной базы (ТСВ) – монитор взаимодействий (МБО) должен контролировать все потоки (события) в системе.

Класс В1. Защита с применением меток безопасности. Системы класса В1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформальную модель безопасности, маркировку данных и нормативное управление доступом. При экспорте из системы информация должна подвергаться маркировке. Обнаруженные в процессе тестирования недостатки должны быть устранены.

Класс В2. Структурированная защита. Доверенная вычислительная база (ТСВ) должна поддерживать формально определенную и четко документированнуюмодель безопасности, предусматривающую произвольное и нормативное управление доступом, которое распространяется на все субъекты. В системе должен осуществляться контроль скрытых каналов утечки информации. В структуре ядра защиты должны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ТСВ должен быть четко определен, а ее архитектура и реализация должны быть выполнены с учетом возможности проведения типовых испытаний. По сравнению с классом В1 должны быть усилены средства аутентификации. Управление безопасностью должно осуществляться администратором системы. Кроме того, должны быть предусмотрены средства управления конфигураций.

Класс В3. Домены безопасности. Ядро защиты системы должно включать монитор взаимодействии, который контролирует все типы доступа субъектов к объектам (т. е. требуется гарантирование заданной политики безопасности). Кроме того, из ядра защиты должны быть исключены подсистемы, не отвечающие за реализацию функций защиты, а само ядро должно быть достаточно компактным для эффективного тестирования и анализа. В ходе разработки и реализации ядра защиты должны применяться методы и средства, направленные на минимизацию его сложности. Средства аудита должны включать механизмы оповещения администратора при возникновении событий, имеющих значение для безопасности системы. Требуется наличие средств восстановления работоспособности системы.

Группа А. Верифицированная защита

Верификация – проверка правильности (соответствия некоторым требованиям (критериям), процесс сравнения.  

Группа характеризуется применением формальных методов верификации корректности работы механизмов управления доступом (произвольного и нормативного). Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ядра защиты отвечают требованиям безопасности.

Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса В3, и к ним не предъявляются никаких дополнительных функциональных требований. Отличие состоит в том, что в ходе разработки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получать корректную реализацию функций защиты. Процесс доказательства адекватности реализации  начинается на ранней стадии проектирования с построения формальной модели политики безопасности. Для обеспечения эффективности применения методов верификации системы класса А1 должны содержать более мощные средства управления конфигурацией и защищенную процедуру дистрибуции (установки и распространения).

Приведенные классы безопасности надолго определили основные концепции безопасности и ход развития средств защиты.

Выводы. «Критерии безопасности компьютерных систем» Министерства Обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на проектировщиков, разработчиков, потребителей и специалистов по сертификации систем безопасности компьютерных систем. В свое время этот документ явился значительным шагом в области безопасности информационных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, причем в основном на операционные системы. Это предопределено доминирование требований, направленных на обеспечение конфиденциальности обрабатываемой информации, и исключение возможностей ее разглашения. Большое внимание уделено меткам конфиденциальности (грифом секретности) и правилам экспорта секретной информации.

Требования по гарантированию политики безопасности отражены поверхностно, соответствующий раздел по существу ограничивается требованиями контроля целостности средств защиты и поддержанию их работоспособности, чего явно недостаточно.

"Оранжевая книга" послужила основой для разработки всех остальных стандартов информационной безопасности, в том числе Российских стандартов, принятых Гостехкомиссией, и современных международных критериев безопасности информационных технологий, и до сих пор используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации.

studfiles.net

Оранжевая книга / Песочница / Хабр

Здравствуйте. Я давно хотел написать что нибудь, что соответствовало тематике Хабра и т.к. сейчас сессия я сдавал экзамен по дисциплине «Защита информации». Вот те 3 вопроса, которые и соблазнили меня написать эту статью:
  • Стандарт «Оранжевая книга». Класс A
  • Стандарт «Оранжевая книга». Класс B
  • Стандарт «Оранжевая книга». Класс C
Речь идёт об Оранжевой книге — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе.

В «Оранжевой книге» определяется четыре уровня доверия – D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня C к A к системам предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием степени доверия.

Всего имеется шесть классов безопасности – C1, C2, B1, B2, B3, A1. Чтобы в результате процедуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям, из которых мы упомянем лишь важнейшие.

Класс C1:
  1. доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;
  2. пользователи должны идентифицировать себя, прежде чем выполнять какие-либо иные действия, контролируемые доверенной вычислительной базой. Для аутентификации должен использоваться какой-либо защитный механизм, например, пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа;
  3. доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий (в частности, от изменения команд и/или данных) и от попыток слежения за ходом работы;
  4. должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;
  5. защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты доверенной вычислительной базы;
  6. должны быть описаны подход к безопасности, используемый производителем, и применение этого подхода при реализации доверенной вычислительной базы.
Класс C2
(в дополнение к C1):
  1. права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа;
  2. при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования;
  3. каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем;
  4. доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой;
  5. тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.
Класс B1
(в дополнение к C2):
  1. доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом;
  2. доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам;
  3. доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств;
  4. группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию;
  5. должна существовать неформальная или формальная модель политики безопасности, поддерживаемая доверенной вычислительной базой.
Класс B2
(в дополнение к B1):
  1. снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам;
  2. к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации;
  3. должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью;
  4. доверенная вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули;
  5. системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала;
  6. должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения;
  7. модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие ее интерфейс;
  8. в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации;
  9. тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.
Класс B3
(в дополнение к B2):
  1. для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов;
  2. должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом;
  3. доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой;
  4. процедура анализа должна быть выполнена для временных тайных каналов;
  5. должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий;
  6. должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты;
  7. должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.
Класс A1
(в дополнение к B3):
  1. тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня;
  2. помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем;
  3. механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности;
  4. должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.
Такова классификация, введенная в «Оранжевой книге». Коротко ее можно сформулировать так:
  • уровень C – произвольное управление доступом;
  • уровень B – принудительное управление доступом;
  • уровень A – верифицируемая безопасность.

В общем я пониманию что здесь нет ничего интересного, но эта информация может кому нибудь пригодится. Кстати у винды класс безопасности C2

habr.com

Введение в информационную безопасность компьютерных сетей

Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации информационной безопасности во многих странах, стал стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем». Данный труд, называемый чаще всего по цвету обложки «Оранжевой книгой», был впервые опубликован в августе 1983 года.

«Оранжевая книга» поясняет понятие безопасной системы, которая «управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию».

Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

В «Оранжевой книге» доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа».

В рассматриваемых «Критериях...» и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности. Вопросы доступности «Оранжевая книга» не затрагивает.

Степень доверия оценивается по двум основным критериям.

1. Политика безопасности. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности – это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.

2. Уровень гарантированности. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты.

Важным средством обеспечения безопасности является механизм подотчетности (протоколирования). Доверенная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.

Согласно «Оранжевой книге», политика безопасности должна обязательно включать в себя следующие элементы:

- произвольное управление доступом;

- безопасность повторного использования объектов;

- метки безопасности;

- принудительное (мандатное) управление доступом.

Произвольное управление доступом (называемое иногда дискреционным) – это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.

Безопасность повторного использования объектов – важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта – степень конфиденциальности содержащейся в нем информации.

Согласно «Оранжевой книге», метки безопасности состоят из двух частей – уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, категории – неупорядоченное. Назначение последних – описать предметную область, к которой относятся данные.

Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта.

Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила: читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может записывать данные в секретные файлы, но не может - в несекретные.

В «Оранжевой книге» рассматривается два вида гарантированности – операционная и технологическая. Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая – к методам построения и сопровождения.

Операционная гарантированность включает в себя проверку следующих элементов:

- архитектуры системы;

- целостности системы;

- тайных каналов передачи информации;

- доверенного администрирования;

- доверенного восстановления после сбоев.

Операционная гарантированность – это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности.

Технологическая гарантированность охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы исключить утечку информации.

«Критерии ...» Министерства обороны США открыли путь к ранжированию информационных систем по степени доверия безопасности.

В «Оранжевой книге» определяется четыре уровня доверия – D, С, В и А. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня С к А к системам предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (Cl, C2, Bl, B2, ВЗ) с постепенным возрастанием степени доверия.

Всего имеется шесть классов безопасности – Cl, C2, Bl, B2, ВЗ, А1. Чтобы в результате процедуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям.

Класс C1:

- доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;

- пользователи должны идентифицировать себя прежде, чем вы­полнять какие-либо иные действия, контролируемые доверенной вычислительной базой. Для аутентификации должен использоваться какой-либо защитный механизм, например, пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа;

- доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий (в частности, от изменения команд и/или данных) и от попыток слежения за ходом работы;

- должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;

- защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты доверенной вычислительной базы;

- должны быть описаны подход к безопасности, используемый производителем, и применение этого подхода при реализации доверенной вычислительной базы.

Класс С2 (в дополнение к C1):

- права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа;

- при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования;

- каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем;

- доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой;

- тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

Класс В1 (в дополнение к C2):

- доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом;

- доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам;

- доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств;

- группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию;

- должна существовать неформальная или формальная модель политики безопасности, поддерживаемая доверенной вычислительной базой.

Класс В2(в дополнение к B1):

- снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам;

- к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполня­ющего операции начальной идентификации и аутентификации;

- должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью;

- доверенная вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули;

- системный администратор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала;

- должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения;

- модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описа­тельные спецификации верхнего уровня, точно и полно определяющие ее интерфейс;

- в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации;

- тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

Класс ВЗ (в дополнение к B2):

- для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов;

- должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом;

- доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой;

- процедура анализа должна быть выполнена для временных тайных каналов;

- должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий;

- должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты;

- должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.

Класс А1 (в дополнение к ВЗ):

- тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня;

- помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем;

- механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности;

- должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.

Такова классификация, введенная в «Оранжевой книге». Коротко ее можно сформулировать так:

- уровень С – произвольное управление доступом;

- уровень В – принудительное управление доступом;

- уровень А – верифицируемая безопасность.

3ys.ru

"Оранжевая книга" США — контрольная работа

"Оранжевая  книга" США

С 1983 по 1988 год Министерство обороны США и Национальный комитет  компьютерной безопасности разработали  систему стандартов в области  компьютерной безопасности, которая  включает более десяти документов. Этот список возглавляют "Критерии оценки безопасности компьютерных систем", которые по цвету обложки чаще называют "Оранжевой книгой". В 1995 году Национальный центр компьютерной безопасности США опубликовал "Пояснения к критериям безопасности компьютерных систем", объединившие все имеющиеся на тот момент дополнения и разъяснения к "Оранжевой книге".

В "Оранжевой книге" надежная система определяется как "система, использующая достаточные  аппаратные и программные средства, чтобы обеспечить одновременную  обработку информации разной степени  секретности группой пользователей  без нарушения прав доступа".

Надежность систем оценивается по двум основным критериям:

Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с  определенными наборами данных. Чем  надежнее система, тем строже и многообразнее  должна быть политика безопасности. В  зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор  мер противодействия.

Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность можно  определить тестированием системы  в целом и ее компонентов. Гарантированность  показывает, насколько корректны  механизмы, отвечающие за проведение в  жизнь политики безопасности. Гарантированность  можно считать пассивным компонентом  защиты, надзирающим за самими защитниками.

Важным средством  обеспечения безопасности является механизм подотчетности (протоколирования). Надежная система должна фиксировать  все события, касающиеся безопасности. Ведение протоколов должно дополняться  аудитом, то есть анализом регистрационной  информации.

При оценке степени  гарантированности, с которой систему  можно считать надежной, центральной  является концепция надежной вычислительной базы. Вычислительная база - это совокупность защитных механизмов компьютерной системы (включая аппаратное и программное  обеспечение), отвечающих за проведение в жизнь политики безопасности. Надежность вычислительной базы определяется исключительно  ее реализацией и корректностью  исходных данных, которые вводит административный персонал (например, это могут быть данные о степени благонадежности пользователей).

Основное назначение надежной вычислительной базы - выполнять  функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над  объектами. Каждое обращение пользователя к программам или данным проверяется  на предмет согласованности со списком  действий, допустимых для пользователя.

От монитора обращений  требуется выполнение трех свойств:

Изолированность. Монитор  должен быть защищен от отслеживания своей работы;

Полнота. Монитор  должен вызываться при каждом обращении, не должно быть способов его обхода;

Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.

Основные элементы политики безопасности

Согласно "Оранжевой  книге", политика безопасности должна включать в себя по крайней мере следующие элементы:

произвольное управление доступом;

безопасность повторного использования объектов;

метки безопасности;

принудительное управление доступом.

Рассмотрим перечисленные  элементы подробнее.

Произвольное управление доступом

Произвольное управление доступом - это метод ограничения  доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что  некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у  них права доступа к объекту.

Текущее состояние  прав доступа при произвольном управлении описывается матрицей, в строках  которой перечислены субъекты, а  в столбцах - объекты. В клетках, расположенных  на пересечении строк и столбцов, записываются способы доступа, допустимые для субъекта по отношению к объекту, например: чтение, запись, выполнение, возможность передачи прав другим субъектам и т.п.

Очевидно, прямолинейное  представление подобной матрицы  невозможно (поскольку она очень  велика), да и не нужно (поскольку  она разрежена, то есть большинство  клеток в ней пусты). В операционных системах более компактное представление матрицы доступа основывается или на структурировании совокупности субъектов (владелец/группа/прочие в ОС UNIX), или на механизме списков управления доступом, то есть на представлении матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа. За счет использования метасимволов можно компактно описывать группы субъектов, удерживая тем самым размеры списков управления доступом в разумных рамках.

Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Главное его  достоинство - гибкость, главные недостатки - рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

Безопасность повторного использования объектов

Безопасность повторного использования объектов - важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования  должна гарантироваться для областей оперативной памяти, в частности  для буферов с образами экрана, расшифрованными паролями и т.п., для дисковых блоков и магнитных  носителей в целом.

Важно обратить внимание на следующий момент. Поскольку информация о субъектах также представляет собой объект, необходимо позаботиться о безопасности "повторного использования  субъектов". Когда пользователь покидает организацию, следует не только лишить его возможности входа в систему, но и запретить доступ ко всем объектам. В противном случае новый сотрудник  может получить ранее использовавшийся идентификатор, а с ним и все права своего предшественника.

Современные интеллектуальные периферийные устройства усложняют  обеспечение безопасности повторного использования объектов. Действительно, принтер может буферизовать несколько  страниц документа, которые останутся  в памяти даже после окончания  печати. Необходимо предпринять специальные  меры, чтобы "вытолкнуть" их оттуда.

Впрочем, иногда организации  защищаются от повторного использования  слишком ревностно - путем уничтожения  магнитных носителей. На практике заведомо достаточно троекратной записи случайных последовательностей бит.

Метки безопасности

Для реализации принудительного  управления доступом с субъектами и  объектами используются метки безопасности. Метка субъекта описывает его  благонадежность, метка объекта - степень  закрытости содержащейся в нем информации.

Согласно "Оранжевой  книге", метки безопасности состоят  из двух частей: уровня секретности  и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное  множество, которое может выглядеть, например, так:

совершенно секретно;

секретно;

конфиденциально;

несекретно.

Категории образуют неупорядоченный набор. Их назначение - описать предметную область, к которой  относятся данные. В военной области  каждая категория может соответствовать, например, определенному виду вооружений. Механизм категорий позволяет разделить  информацию "по отсекам", что способствует лучшей защищенности. Субъект не может  получить доступ к "чужим" категориям, даже если его уровень благонадежности - "совершенно секретно". Специалист по танкам не узнает тактико-технические  данные самолетов.

Главная проблема, которую  необходимо решать в связи с метками, - это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в  меточной безопасности появятся легко  используемые бреши. Во-вторых, при  любых операциях с данными  метки должны оставаться правильными. В особенности это относится  к экспорту и импорту данных. Например, печатный документ должен открываться  заголовком, содержащим текстовое и/или  графическое представление метки  безопасности. Аналогично, при передаче файла по каналу связи должна передаваться и ассоциированная с ним метка, причем в таком виде, чтобы удаленная  система могла ее протрактовать, несмотря на возможные различия в уровнях секретности и наборе категорий.

Метки безопасности субъектов более подвижны, чем  метки объектов. Субъект может  в течение сеанса работы с системой изменять свою метку, естественно, не выходя за предопределенные для него рамки. Иными словами, он может сознательно  занижать свой уровень благонадежности, чтобы уменьшить вероятность  непреднамеренной ошибки. Вообще, принцип  минимизации привилегий - весьма разумное средство защиты.

Принудительное управление доступом

Принудительное управление доступом основано на сопоставлении  меток безопасности субъекта и объекта.

Субъект может читать информацию из объекта, если уровень  секретности субъекта не ниже, чем  у объекта, а все категории, перечисленные  в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного  правила понятен - читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка  безопасности объекта доминирует над  меткой субъекта. В частности, "конфиденциальный" субъект может писать в секретные  файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения  на набор категорий). На первый взгляд, подобное ограничение может показаться странным, однако оно вполне разумно. Ни при каких операциях уровень  секретности информации не должен понижаться, хотя обратный процесс вполне возможен. Посторонний человек может случайно узнать секретные сведения и сообщить их куда следует, однако лицо, допущенное к работе с секретными документами, не имеет права раскрывать их содержание простому смертному.

Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того как зафиксированы  метки безопасности субъектов и  объектов, оказываются зафиксированными и права доступа. В терминах принудительного  управления нельзя выразить предложение "разрешить доступ к объекту X еще и для пользователя Y". Конечно, можно изменить метку безопасности пользователя Y, но тогда он, скорее всего, получит доступ ко многим дополнительным объектам, а не только к X.

Принудительное управление доступом реализовано во многих вариантах  операционных систем и СУБД, отличающихся повышенными мерами безопасности. В  частности, такие варианты существуют для SunOS и СУБД Ingres. Независимо от практического использования принципы принудительного управления являются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удобнее мыслить в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа.

Классы безопасности

"Критерии оценки  безопасности компьютерных систем" Министерства обороны США открыли  путь к ранжированию информационных  систем по степени надежности. В "Оранжевой книге" определяется  четыре уровня надежности (безопасности) - D, C, B и A. Уровень D предназначен  для систем, признанных неудовлетворительными.  В настоящее время он пуст, и ситуация едва ли когда-нибудь  изменится. По мере перехода  от уровня C к A к надежности  систем предъявляются все более  жесткие требования. Уровни C и B подразделяются  на классы (C1, C2, B1, B2, B3) с постепенным  возрастанием надежности. Таким  образом, всего имеется шесть  классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы система в результате  процедуры сертификации могла  быть отнесена к некоторому  классу, ее политика безопасности  и гарантированность должны удовлетворять  приводимым ниже требованиям.  Поскольку при переходе к каждому  следующему классу требования  только добавляются, будем говорить  лишь о том новом, что присуще  данному классу, группируя требования  в согласии с предшествующим  изложением.

Итак, ниже следуют  критерии оценки надежных компьютерных систем.

Требования к политике безопасности

Требования к политике безопасности, проводимой системой, подразделяются в соответствии с основными направлениями  политики, предусматриваемыми "Оранжевой  книгой".

freepapers.ru

Galihar23: Оранжевая книга США

"Оранжевая книга" США

С 1983 по 1988 год Министерство обороны США и Национальный комитет компьютерной безопасности разработали систему стандартов в области компьютерной безопасности, которая включает более десяти документов. 

Этот список возглавляют "Критерии оценки безопасности компьютерных систем", которые по цвету обложки чаще называют "Оранжевой книгой". В 1995 году Национальный центр компьютерной безопасности США опубликовал "Пояснения к критериям безопасности компьютерных систем", объединившие все имеющиеся на тот момент дополнения и разъяснения к "Оранжевой книге".В "Оранжевой книге" надежная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".Надежность систем оценивается по двум основным критериям:
  • Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.
  • Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность можно определить тестированием системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность можно считать пассивным компонентом защиты, надзирающим за самими защитниками.
Важным средством обеспечения безопасности является механизм подотчетности (протоколирования). Надежная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.При оценке степени гарантированности, с которой систему можно считать надежной, центральной является концепция надежной вычислительной базы. Вычислительная база - это совокупность защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит административный персонал (например, это могут быть данные о степени благонадежности пользователей).Основное назначение надежной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Каждое обращение пользователя к программам или данным проверяется на предмет согласованности со списком действий, допустимых для пользователя.От монитора обращений требуется выполнение трех свойств:
  • Изолированность. Монитор должен быть защищен от отслеживания своей работы;
  • Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов его обхода;
  • Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.
Основные элементы политики безопасностиСогласно "Оранжевой книге", политика безопасности должна включать в себя по крайней мере следующие элементы:
  • произвольное управление доступом;
  • безопасность повторного использования объектов;
  • метки безопасности;
  • принудительное управление доступом.
Рассмотрим перечисленные элементы подробнее.Произвольное управление доступомПроизвольное управление доступом - это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.Текущее состояние прав доступа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах - объекты. В клетках, расположенных на пересечении строк и столбцов, записываются способы доступа, допустимые для субъекта по отношению к объекту, например: чтение, запись, выполнение, возможность передачи прав другим субъектам и т.п.Очевидно, прямолинейное представление подобной матрицы невозможно (поскольку она очень велика), да и не нужно (поскольку она разрежена, то есть большинство клеток в ней пусты). В операционных системах более компактное представление матрицы доступа основывается или на структурировании совокупности субъектов (владелец/группа/прочие в ОС UNIX), или на механизме списков управления доступом, то есть на представлении матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа. За счет использования метасимволов можно компактно описывать группы субъектов, удерживая тем самым размеры списков управления доступом в разумных рамках.Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Главное его достоинство - гибкость, главные недостатки - рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.Безопасность повторного использования объектовБезопасность повторного использования объектов - важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти, в частности для буферов с образами экрана, расшифрованными паролями и т.п., для дисковых блоков и магнитных носителей в целом.Важно обратить внимание на следующий момент. Поскольку информация о субъектах также представляет собой объект, необходимо позаботиться о безопасности "повторного использования субъектов". Когда пользователь покидает организацию, следует не только лишить его возможности входа в систему, но и запретить доступ ко всем объектам. В противном случае новый сотрудник может получить ранее использовавшийся идентификатор, а с ним и все права своего предшественника.Современные интеллектуальные периферийные устройства усложняют обеспечение безопасности повторного использования объектов. Действительно, принтер может буферизовать несколько страниц документа, которые останутся в памяти даже после окончания печати. Необходимо предпринять специальные меры, чтобы "вытолкнуть" их оттуда.Впрочем, иногда организации защищаются от повторного использования слишком ревностно - путем уничтожения магнитных носителей. На практике заведомо достаточно троекратной записи случайных последовательностей бит.Метки безопасностиДля реализации принудительного управления доступом с субъектами и объектами используются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень закрытости содержащейся в нем информации.Согласно "Оранжевой книге", метки безопасности состоят из двух частей: уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так:
  • совершенно секретно;
  • секретно;
  • конфиденциально;
  • несекретно.
Категории образуют неупорядоченный набор. Их назначение - описать предметную область, к которой относятся данные. В военной области каждая категория может соответствовать, например, определенному виду вооружений. Механизм категорий позволяет разделить информацию "по отсекам", что способствует лучшей защищенности. Субъект не может получить доступ к "чужим" категориям, даже если его уровень благонадежности - "совершенно секретно". Специалист по танкам не узнает тактико-технические данные самолетов.Главная проблема, которую необходимо решать в связи с метками, - это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. В особенности это относится к экспорту и импорту данных. Например, печатный документ должен открываться заголовком, содержащим текстовое и/или графическое представление метки безопасности. Аналогично, при передаче файла по каналу связи должна передаваться и ассоциированная с ним метка, причем в таком виде, чтобы удаленная система могла ее протрактовать, несмотря на возможные различия в уровнях секретности и наборе категорий.Метки безопасности субъектов более подвижны, чем метки объектов. Субъект может в течение сеанса работы с системой изменять свою метку, естественно, не выходя за предопределенные для него рамки. Иными словами, он может сознательно занижать свой уровень благонадежности, чтобы уменьшить вероятность непреднамеренной ошибки. Вообще, принцип минимизации привилегий - весьма разумное средство защиты.Принудительное управление доступомПринудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта.Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что положено.Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может писать в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий). На первый взгляд, подобное ограничение может показаться странным, однако оно вполне разумно. Ни при каких операциях уровень секретности информации не должен понижаться, хотя обратный процесс вполне возможен. Посторонний человек может случайно узнать секретные сведения и сообщить их куда следует, однако лицо, допущенное к работе с секретными документами, не имеет права раскрывать их содержание простому смертному.Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа. В терминах принудительного управления нельзя выразить предложение "разрешить доступ к объекту X еще и для пользователя Y". Конечно, можно изменить метку безопасности пользователя Y, но тогда он, скорее всего, получит доступ ко многим дополнительным объектам, а не только к X.Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности. В частности, такие варианты существуют для SunOS и СУБД Ingres. Независимо от практического использования принципы принудительного управления являются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удобнее мыслить в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа.Классы безопасности"Критерии оценки безопасности компьютерных систем" Министерства обороны США открыли путь к ранжированию информационных систем по степени надежности. В "Оранжевой книге" определяется четыре уровня надежности (безопасности) - D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными. В настоящее время он пуст, и ситуация едва ли когда-нибудь изменится. По мере перехода от уровня C к A к надежности систем предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием надежности. Таким образом, всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять приводимым ниже требованиям. Поскольку при переходе к каждому следующему классу требования только добавляются, будем говорить лишь о том новом, что присуще данному классу, группируя требования в согласии с предшествующим изложением.Итак, ниже следуют критерии оценки надежных компьютерных систем.Требования к политике безопасностиТребования к политике безопасности, проводимой системой, подразделяются в соответствии с основными направлениями политики, предусматриваемыми "Оранжевой книгой".Произвольное управление доступом:Класс C1 - вычислительная база должна управлять доступом именованных пользователей к именованным объектам. Механизм управления (права для владельца/группы/прочих, списки управления доступом) должен позволять специфицировать разделение файлов между индивидами и/или группами.Класс C2 - в дополнение к C1, права доступа должны гранулироваться с точностью до пользователя. Механизм управления должен ограничивать распространение прав доступа - только авторизованный пользователь, например владелец объекта, может предоставлять права доступа другим пользователям. Все объекты должны подвергаться контролю доступа.Класс B3 - в дополнение к C2, обязательно должны использоваться списки управления доступом с указанием разрешенных режимов. Должна быть возможность явного указания пользователей или их групп, доступ которых к объекту запрещен.(Примечание. Поскольку классы B1 и B2 не упоминаются, требования к ним в плане добровольного управления доступом те же, что и для C2. Аналогично, требования к классу A1 те же, что и для B3.)Повторное использование объектов:Класс C2 - при выделении хранимого объекта из пула ресурсов вычислительной базы необходимо ликвидировать все следы предыдущих использований.Метки безопасности:Класс B1 - вычислительная база должна управлять метками безопасности, связанными с каждым субъектом и хранимым объектом. Метки являются основой функционирования механизма принудительного управления доступом. При импорте непомеченной информации соответствующий уровень секретности должен запрашиваться у авторизованного пользователя и все такие действия следует протоколировать.Класс B2 - в дополнение к B1, помечаться должны все ресурсы системы, например ПЗУ, прямо или косвенно доступные субъектам.Целостность меток безопасности:Класс B1 - метки должны адекватно отражать уровни секретности субъектов и объектов. При экспорте информации метки должны преобразовываться в точное и однозначно трактуемое внешнее представление, сопровождающее данные. Каждое устройство ввода/вывода (в том числе коммуникационный канал) должно трактоваться как одноуровневое или многоуровневое. Все изменения трактовки и ассоциированных уровней секретности должны протоколироваться.Класс B2 - в дополнение к B1, вычислительная база должна немедленно извещать терминального пользователя об изменении его метки безопасности. Пользователь может запросить информацию о своей метке. База должна поддерживать присваивание всем подключенным физическим устройствам минимального и максимального уровня секретности. Эти уровни должны использоваться при проведении в жизнь ограничений, налагаемых физической конфигурацией системы, например расположением устройств.Принудительное управление доступом:Класс B1 - вычислительная база должна обеспечить проведение в жизнь принудительного управления доступом всех субъектов ко всем хранимым объектам. Субъектам и объектам должны быть присвоены метки безопасности, являющиеся комбинацией упорядоченных уровней секретности, а также категорий. Метки являются основой принудительного управления доступом. Надежная вычислительная база должна поддерживать по крайней мере два уровня секретности.Вычислительная база должна контролировать идентификационную и аутентификационную информацию. При создании новых субъектов, например процессов, их метки безопасности не должны доминировать над меткой породившего их пользователя.Класс B2 - в дополнение к B1, все ресурсы системы (в том числе ПЗУ, устройства ввода/вывода) должны иметь метки безопасности и служить объектами принудительного управления доступом.Требования к подотчетностиИдентификация и аутентификация:Класс C1 - пользователи должны идентифицировать себя, прежде чем выполнять какие-либо иные действия, контролируемые вычислительной базой. Для аутентификации должен использоваться какой-либо защитный механизм, например пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа.Класс C2 - в дополнение к C1, каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно связываться с конкретным пользователем.Класс B1 - в дополнение к C2, вычислительная база должна поддерживать метки безопасности пользователей.Предоставление надежного пути:Класс B2 - вычислительная база должна поддерживать надежный коммуникационный путь к себе для пользователя, выполняющего операции начальной идентификации и аутентификации. Инициатива в общении по этому пути должна исходить исключительно от пользователя.Класс B3 - в дополнение к B2, коммуникационный путь может формироваться по запросу, исходящему как от пользователя, так и от самой базы. Надежный путь может использоваться для начальной идентификации и аутентификации, для изменения текущей метки безопасности пользователя и т.п. Общение по надежному пути должно быть логически отделено и изолировано от других информационных потоков.Класс C2 - вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой. Должна быть возможность регистрации следующих событий:
  • использование механизма идентификации и аутентификации;
  • внесение объектов в адресное пространство пользователя, например открытие файла, запуск программы;
  • удаление объектов;
  • действия системных операторов, системных администраторов, администраторов безопасности;
  • другие события, затрагивающие информационную безопасность.
Каждая регистрационная запись должна включать следующие поля:
  • дата и время события;
  • идентификатор пользователя;
  • тип события;
  • результат действия (успех или неудача).
Для событий идентификации/аутентификации регистрируется также идентификатор устройства, например терминала. Для действий с объектами регистрируются имена объектов.Системный администратор может выбирать набор регистрируемых событий для каждого пользователя.

Класс B1 - в дополнение к C2, должны регистрироваться операции выдачи на печать и ассоциированные внешние представления меток безопасности. При операциях с объектами, помимо имен, регистрируются их метки безопасности. Набор регистрируемых событий может различаться в зависимости от уровня секретности объектов.

Класс B2 - в дополнение к B1, должна быть возможность регистрировать события, связанные с организацией тайных каналов с памятью.Класс B3 - в дополнение к B2, должна быть возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом.Требования к гарантированностиАрхитектура системы:Класс C1 - вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий, в частности от изменения команд и/или данных, и от попыток слежения за ходом работы. Ресурсы, контролируемые базой, могут составлять определенное подмножество всех субъектов и объектов системы.Класс C2 - в дополнение к C1, вычислительная база должна изолировать защищаемые ресурсы в той мере, как это диктуется требованиями контроля доступа и подотчетности.Класс B1 - в дополнение к C2, вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств.Класс B2 - в дополнение к B1, вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули. Вычислительная база должна эффективно использовать имеющееся оборудование для отделения элементов, критически важных с точки зрения защиты, от прочих компонентов системы. Модули базы должны проектироваться с учетом принципа минимизации привилегий. Для защиты логически раздельных хранимых объектов должны использоваться аппаратные средства, например сегментация. Должен быть полностью определен пользовательский интерфейс с вычислительной базой.Класс B3 - в дополнение к B2, вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм. Этот механизм должен играть центральную роль во внутренней структуризации вычислительной базы и всей системы. База должна активно использовать разделение данных по уровням. Значительные инженерные усилия должны быть направлены на уменьшение сложности вычислительной базы и на вынесение из нее модулей, не являющихся критически важными с точки зрения защиты.Целостность системы:Класс C1 - должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов вычислительной базы.Анализ тайных каналов передачи информации:Класс B2 - системный архитектор должен тщательно проанализировать возможности по организации тайных каналов с памятью и оценить максимальную пропускную способность каждого выявленного канала.Класс B3 - в дополнение к B2, аналогичная процедура должна быть проделана для временных каналов.Класс A1 - в дополнение к B3, для анализа должны использоваться формальные методы.Надежное администрирование:Класс B2 - система должна поддерживать разделение функций оператора и администратора.Класс B3 - в дополнение к B2, должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий. Не относящиеся к защите действия администратора безопасности должны быть по возможности ограничены.Надежное восстановление:Класс B3 - должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты.Тестирование:Класс C1 - защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты вычислительной базы.

Класс C2 - в дополнение к C1, тестирование должно подтвердить отсутствие очевидных 

недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.Класс B1 - в дополнение к C2, группа специалистов, полностью понимающих конкретную реализацию вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию. Цель должна состоять в выявлении всех дефектов архитектуры и реализации, позволяющих субъекту без должной авторизации читать, изменять, удалять информацию или приводить базу в состояние, когда она перестает обслуживать запросы других субъектов. Все выявленные недостатки должны быть исправлены или нейтрализованы, после чего база подвергается повторному тестированию, чтобы убедиться в отсутствии прежних или приобретении новых недостатков.Класс B2 - в дополнение к B1, должна быть продемонстрирована относительная устойчивость вычислительной базы к попыткам проникновения.Класс B3 - в дополнение к B2, должна быть продемонстрирована устойчивость вычислительной базы к попыткам проникновения.Класс A1 - в дополнение к B3, тестирование должно продемонстрировать, что реализация вычислительной базы соответствует формальным спецификациям верхнего уровня.Основу тестирования средств защиты от проникновения в систему должно составлять наличие спецификаций на исходные тексты.Верификация спецификаций архитектуры:Класс B1 - должна существовать неформальная или формальная модель политики безопасности, поддерживаемой вычислительной базой. Модель должна соответствовать основным посылкам политики безопасности на протяжении всего жизненного цикла системы.Класс B2 - в дополнение к B1, модель политики безопасности должна быть формальной. Для вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие ее интерфейс.Класс B3 - в дополнение к B2, должны быть приведены убедительные аргументы соответствия между спецификациями и моделью.Класс A1 - в дополнение к B3, помимо описательных должны быть представлены формальные спецификации верхнего уровня, относящиеся к аппаратным и/или микропрограммным элементам, составляющим интерфейс вычислительной базы. Комбинация формальных и неформальных методов должна подтвердить соответствие между спецификациями и моделью. Должны использоваться современные методы формальной спецификации и верификации систем, доступные Национальному центру компьютерной безопасности США.Конфигурационное управление:Класс B2 - в процессе разработки и сопровождения вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль за изменениями в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации. Конфигурационное управление должно обеспечивать соответствие друг другу всех аспектов текущей версии вычислительной базы. Должны предоставляться средства генерации новых версий базы по исходным текстам и средства для сравнения версий, чтобы убедиться в том, что произведены только запланированные изменения.Класс A1 - в дополнение к B2, механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности, включая спецификации и документацию. Для защиты эталонной копии материалов, использующихся для генерации надежной вычислительной базы, должна использоваться комбинация физических, административных и технических мер.Надежное распространение:Класс A1 - должна поддерживаться целостность соответствия между эталонными данными, описывающими текущую версию вычислительной базы, и эталонной копией текстов этой версии. Должны существовать процедуры, подтверждающие соответствие между поставляемыми клиентам аппаратными и программными компонентами и эталонной копией.Требования к документацииРуководство пользователя по средствам безопасности:Класс C1 - отдельный фрагмент документации (глава, том) должен описывать защитные механизмы, предоставляемые вычислительной базой, и их взаимодействие между собой, содержать рекомендации по их использованию.Руководство администратора по средствам безопасности:Класс C1 - руководство должно содержать сведения о функциях и привилегиях, которыми управляет системный администратор посредством механизмов безопасности.Класс C2 - в дополнение к C1, должны описываться процедуры обработки регистрационной информации и управления файлами с такой информацией, а также структура записей для каждого типа регистрируемых событий.Класс B1 - в дополнение к C2, руководство должно описывать функции оператора и администратора, затрагивающие безопасность, в том числе действия по изменению характеристик пользователей. Должны быть представлены рекомендации по согласованному и эффективному использованию средств безопасности, их взаимодействию друг с другом, по безопасной генерации новых версий вычислительной базы.Класс B2 - в дополнение к B1, должны быть указаны модули вычислительной базы, содержащие механизмы проверки обращений. Должна быть описана процедура безопасной генерации новой версии базы после внесения изменений в исходные тексты.Класс B3 - в дополнение к B2, должна быть описана процедура, обеспечивающая безопасность начального запуска системы и возобновления ее работы после сбоя.Тестовая документация:Класс C1 - разработчик системы должен представить экспертному совету документ, содержащий план тестов, процедуры прогона тестов и результаты тестов.Класс B2 - в дополнение к C1, тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.Класс A1 - в дополнение к B2, должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.Описание архитектуры:Класс C1 - должны быть описаны подход к безопасности, используемый производителем, и применение этого подхода при реализации вычислительной базы. Если база состоит из нескольких модулей, должен быть описан интерфейс между ними.Класс B1 - в дополнение к C1, должно быть представлено неформальное или формальное описание модели политики безопасности, проводимой в жизнь вычислительной базой. Необходимо наличие аргументов в пользу достаточности избранной модели для реализации политики безопасности. Должны быть описаны защитные механизмы базы и их место в модели.Класс B2 - в дополнение к B1, модель политики безопасности должна быть формальной и доказательной. Должно быть показано, что описательные спецификации верхнего уровня точно отражают интерфейс вычислительной базы. Должно быть показано, как база реализует концепцию монитора обращений, почему она устойчива к попыткам отслеживания ее работы, почему ее нельзя обойти и почему она реализована корректно. Должна быть описана структура базы, чтобы облегчить ее тестирование и проверку соблюдения принципа минимизации привилегий. Документация должна содержать результаты анализа тайных каналов передачи информации и описание мер протоколирования, помогающих выявлять каналы с памятью.Класс B3 - в дополнение к B2, должно быть неформально продемонстрировано соответствие между описательными спецификациями верхнего уровня и реализацией вычислительной базы.Класс A1 - в дополнение к B3, должно быть неформально продемонстрировано соответствие между формальными спецификациями верхнего уровня и реализацией вычислительной базы.Таковы, согласно "Оранжевой книге", требования к классам безопасности информационных систем.

galihar23.blogspot.com

Персональный сайт - «Оранжевая книга». Классы защищѐнности

«Оранжевая книга». Классы защищѐнности.

Стандарт «Критерии оценки доверенных компьютерных систем» /Trusted Computer System Evaluation Criteria/, более известный как «Оранжевая книга», [26] был разработан Министерством Обороны США в 1983 г. и стал первым в истории общедоступным оценочным стандартом в области информационной безопасности.  «Оранжевая книга» определяет четыре группы классов защищённости:

A – содержит единственный класс A1.

B – содержит классы B1, B2 и B3.

С – содержит классы C1 и C2.

D – содержит единственный класс D1.

Требуемый уровень защищённости системы возрастает от группы A к группе D, а в пределах одной группы – с увеличением номера класса. Каждый класс характеризуется определённым фиксированным набором требований к подсистеме обеспечения информационной безопасности, реализованной в АС.

I. Группа D – минимальная защита.

К данной категории относятся те системы, которые были представлены для сертификации по требованиям одного из более высоких классов защищённости, но не прошли испытания.

II. Группа C - дискреционная защита.

Данная группа характеризуется наличием дискреционного управления доступом и регистрации действий субъектов.

- Класс C1 – дискреционная защита

Система включает в себя средства контроля и управления доступом, позволяющие задавать ограничения для отдельных пользователей. Класс C1 рассчитан на однопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности.

- Класс C2 – управление доступом

Система обеспечивает более избирательное управление доступом путём применения средств индивидуального контроля за действиями пользователей, регистрации, учёта событий и выделения ресурсов.

3. Группа B – мандатная защита

Система обеспечивает мандатное управление доступом с использованием меток безопасности, поддержку модели и политики безопасности. Предполагается наличие спецификаций на функции ядра безопасности. Реализуется концепция монитора безопасности обращений, контролирующего все события в системе.

- Класс B1 – защита с применением меток безопасности

Помимо выполнения всех требований к классу C2, система должна поддерживать маркировку данных и мандатное управление доступом. При экспорте из системы информация должна подвергаться маркировке.

- Класс B2 – структурированная защита

Ядро безопасности должно поддерживать формально определённую и чётко документированную модель безопасности, предусматривающую дискреционное и мандатное управление доступом, которое распространяется на все субъекты. Должен осуществляться контроль скрытых каналов передачи информации. В структуре ядра безопасности должны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ядра безопасности должен быть чётко определён, а его архитектура и реализация должны быть выполнены с учётом возможности проведения тестовых испытаний. Управление безопасностью должно осуществляться администратором безопасности.

- Класс B3 – домены безопасности

Ядро безопасности должно поддерживать монитор безопасности обращений, который контролирует все типы доступа субъектов к объектам и который невозможно обойти. Ядро безопасности содержит исключительно подсистемы, отвечающие за реализацию функций защиты, и является достаточно компактным для обеспечения возможности эффективного тестирования. Средства аудита должны включать механизмы оповещения администратора о событиях, имеющих значение для безопасности системы. Необходимо наличие средств восстановления работоспособности системы.

4. Группа A – верифицированная защита

Группа характеризуется применением формальных методов верификации корректности функционирования механизмов управления доступом. Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ядра безопасности отвечает требованиям безопасности. Функциональные требования совпадают с классом B3, однако на всех этапах разработки АС требуется применение формальных методов верификации систем защиты.

 

sha-danis.narod.ru

2.1. Критерии оценки надежных компьютерных систем ("Оранжевая книга" мо сша)

ЛЕКЦИЯ 2 Политика безопасности. Идентификация и аутентификация. Статическая, устойчивая, постоянная аутентификация. Идентификация субъекта, понятие протокола идентификации.

2.1.1. Основные понятия

2.1.2. Основные элементы политики безопасности

2.2. Руководящие документы по защите от несанкционированного доступа Гостехкомиссии при Президенте РФ

2.2.1. Концепция защиты от несанкционированного доступа к информации

2.2.2. Классификация автоматизированных систем по уровню защищенности от НСД

2.3. Идентификация и аутентификация

2.3.1. Статическая, устойчивая, постоянная аутентификация

2.3.2. Протоколы (схемы) идентификации и аутентификации пользователя

2.1. КРИТЕРИИ ОЦЕНКИ НАДЕЖНЫХ КОМПЬЮТЕРНЫХ СИСТЕМ ("ОРАНЖЕВАЯ КНИГА" МИНИСТЕРСТВА ОБОРОНЫ США)

Данный труд, называемый чаще всего по цвету обложки "Оранжевой книгой", был впервые опубликован в августе 1983 года. Уже его название заслуживает комментария. Слово "надежный" в названии книги трактуется так же, как в сочетании "надежный человек" - человек, которому можно доверять.

Очевидно, однако, что абсолютно безопасных систем не существует, что это абстракция. Любую систему можно "взломать", если располагать достаточно большими материальными и временными ресурсами. Есть смысл оценивать лишь степень доверия, которое разумно оказать той или иной системе.

2.1.1. Основные понятия

В "Оранжевой книге" надежная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".

Степень доверия, или надежность систем, оценивается по двум основным критериям:

Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Политика безопасности должна включать в себя анализ возможных угроз и выбор мер противодействия.

Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может проистекать как из тестирования, так и из проверки (формальной или нет) общего замысла и исполнения системы в целом и ее компонентов.

Механизм подотчетности (протоколирования). Надежная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.

Периметр безопасности - граница надежной вычислительной базы. То, что внутри периметра, считается надежным, а то, что вне - нет. Связь между внутренним и внешним мирами осуществляют посредством шлюзовой системы, которая по идее способна противостоять потенциально ненадежному или даже враждебному окружению.

2.1.2. Основные элементы политики безопасности

Согласно "Оранжевой книге", политика безопасности должна включать в себя по крайней мере следующие элементы:

  • произвольное управление доступом;

  • безопасность повторного использования объектов;

  • метки безопасности;

  • принудительное управление доступом.

Произвольное управление доступом - это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

Текущее состояние прав доступа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах - объекты. В клетках, расположенных на пересечении строк и столбцов, записываются способы доступа, допустимые для субъекта по отношению к объекту - например, чтение, запись, выполнение, возможность передачи прав другим субъектам и т.п.

Очевидно, прямолинейное представление подобной матрицы невозможно (поскольку она очень велика), да и не нужно (поскольку она разрежена, то есть большинство клеток в ней пусты). ….

Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Главное его достоинство - гибкость, главные недостатки – рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

Безопасность повторного использования объектов - важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

Важно обратить внимание на следующий момент. Поскольку информация о субъектах также представляет собой объект, необходимо позаботиться о безопасности "повторного использования субъектов". Когда пользователь покидает организацию, следует не только лишить его возможности входа в систему, но и запретить доступ ко всем объектам. В противном случае, новый сотрудник может получить ранее использовавшийся идентификатор а с ним и все права своего предшественника.

Современные интеллектуальные периферийные устройства усложняют обеспечение безопасности повторного использования объектов. Действительно, принтер может буферизовать несколько страниц документа, которые останутся в памяти даже после окончанию печати. Необходимо предпринять специальные меры, чтобы "вытолкнуть" их оттуда.

Впрочем, иногда организации защищаются от повторного использования слишком ревностно - путем уничтожения магнитных носителей. На практике заведомо достаточно троекратной записи случайных последовательностей бит.

Метки безопасности - для реализации принудительного управления доступом с субъектами и объектами. Метка субъекта описывает его благонадежность, метка объекта - степень закрытости содержащейся в нем информации.

Согласно "Оранжевой книге", метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так:

  • совершенно секретно,

  • секретно,

  • конфиденциально,

  • несекретно.

Категории образуют неупорядоченный набор. Их назначение - описать предметную область, к которой относятся данные. В военном окружении каждая категория может соответствовать, например, определенному виду вооружений. Механизм категорий позволяет разделить информацию по отсекам, что способствует лучшей защищенности, при этом, субъект не может получить доступ к "чужим" категориям, даже если его уровень благонадежности - "совершенно секретно". Специалист по танкам не узнает тактико-технические данные самолетов.

Главная проблема, которую необходимо решать в связи с метками, это обеспечение их целостности:

  • не должно быть непомеченных субъектов и объектов;

  • при любых операциях с данными метки должны оставаться правильными.

Например, печатный документ должен открываться заголовком, содержащим текстовое и/или графическое представление метки безопасности. Аналогично, при передаче файла по каналу связи должна передаваться и ассоциированная с ним метка, причем в таком виде, чтобы удаленная система могла ее протрактовать, несмотря на возможные различия в уровнях секретности и наборе категорий.

Разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться информация разного уровня секретности. Зная уровень устройства, система может решить, допустимо ли записывать на него информацию с определенной меткой. Например, попытка напечатать совершенно секретную информацию на принтере общего пользования с уровнем "несекретно" потерпит неудачу.

Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта.

Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может писать в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий). На первый взгляд подобное ограничение может показаться странным, однако оно вполне разумно. Ни при каких операциях уровень секретности информации не должен понижаться, хотя обратный процесс вполне возможен. Посторонний человек может случайно узнать секретные сведения и сообщить их куда следует, однако лицо, допущенное к работе с секретными документами, не имеет права раскрывать их содержание простому смертному.

Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности. Впрочем, в реальной жизни произвольное и принудительное управление доступом сочетается в рамках одной системы, что позволяет использовать сильные стороны обоих подходов.

studfiles.net