Критерии определения безопасности компьютерных систем

Критерии оценки доверенных компьютерных систем — стандарт Министерства обороны США (англ. Department of Defense Trusted Computer System Evaluation Criteria, DoD 5200.28-STD, 26 декабря 1985 года), более известный как «Оранжевая книга» из-за цвета своей обложки.

Этот стандарт получил международное признание и оказал огромное влияние на дальнейшее развитие в сфере информационной безопасности (ИБ).

Стандарт относится к оценочным документам, классифицирующим информационные системы и средства защиты. В нём речь идёт не о полностью безопасных, а о доверенных системах — то есть о таких, которым можно доверять определённую степень защиты информации.

Абсолютно защищённых систем не существует, поэтому задача сводится к оценке степени доверия, которую допустимо оказать конкретной реализации.

В критериях содержится понятийный аппарат ИБ: безопасная система, доверенная система, политика безопасности, уровень гарантированности, подотчётность, доверенная вычислительная база, монитор обращений, ядро безопасности, периметр безопасности.

Безопасность и доверие оцениваются, прежде всего, с точки зрения управления доступом к информации, обеспечивая конфиденциальность и целостность информации.

Появление Оранжевой книги положило начало «Радужной серии» — ряду нормативных документов по ИБ. Значимым продолжением стало издание интерпретации Оранжевой книги для сетевых конфигураций (англ. Trusted Network Interpretation, NCSC-TG-005, 1987), где первая часть анализирует положения Оранжевой книги, а вторая раскрывает вопросы, специфические для сетевой безопасности.

Политики безопасности должны быть детализированы, чётко формализованы и обязательны к исполнению для систем. Основные политики:

• Мандатная политика безопасности — обязательные правила, при которых управление доступом определяется формальными разрешениями, выданными в отношении определённой информации и уровня конфиденциальности. Обязательное условие — строгая юридическая и нормативная обоснованность.
  • Маркирование — системы, реализующие мандатную политику, должны обеспечивать присвоение и сохранность меток управления доступом (меток безопасности) даже при перемещении объектов.
• Дискреционная политика безопасности — совокупность правил, ограничивающих доступ к информации на основе идентификации и воли владельца данных. Этой политикой управляют сами пользователи, контролирующие доступ к своим ресурсам.

Индивидуальная ответственность — обязательное требование вне зависимости от конкретной политики безопасности. Три необходимых условия:

• Аутентификация — процедура идентификации пользователя.
• Авторизация — подтверждение права пользователя на доступ к определённой информации.
• Аудит — журналирование действий пользователей для их последующего анализа и обнаружения угроз безопасности.

Система должна обладать аппаратными и/или программными механизмами, позволяющими с независимой достаточностью определять выполнение предъявляемых требований и обеспечивать доверие к своей работе. Существует два типа гарантий:

• Механизмы гарантий:
  • Операционная гарантия — уверенность в том, что система реализует принятые меры защиты (архитектура, контроль целостности, анализ скрытых каналов, безопасное управление и восстановление).
  • Гарантия жизненного цикла — уверенность в том, что разработки и сопровождение системы ведутся по установленным и контролируемым правилам (тестирование, спецификации, контроль версий и параметров системы).
• Гарантии непрерывной защиты — механизмы, исключающие несанкционированные или вредоносные изменения защищаемых компонентов.

Для каждого класса стандарт предписывает наличие следующей документации:

• руководство пользователя по мерам безопасности;
• руководство по эксплуатации и безопасной работе;
• документация по тестированию;
• проектная документация.

Система, обеспечивающая управление доступом к информации с предоставлением прав только авторизованным лицам или процессам.

Программно-аппаратный комплекс, обеспечивающий одновременную работу группы пользователей с данными различного уровня конфиденциальности без нарушения правил разграничения доступа.

Совокупность законов, правил, процедур и норм, определяющих регламент обработки, защиты и распространения информации. Политика безопасности включает анализ возможных угроз и выбор эффективных методов защиты.

Оценка степени доверия архитектуре и реализации информационной системы, определяющая корректность механизмов соблюдения политики безопасности (пассивная часть защиты).

Включает:

• Идентификация и аутентификация — уникальные идентификаторы для всех субъектов, защита идентификационной информации и ассоциация её с критичными для безопасности компонентами.
• Регистрация и учёт — фиксирование всех важных с точки зрения безопасности событий, ассоциация действий с конкретными пользователями в защищённом журнале, анализ протоколов для выделения только значимых событий, защита журналов.

Комплекс защитных механизмов информационной системы (аппаратных и программных), реализующих политику безопасности.

Средство контроля допустимости операций пользователей над объектами системы через проверку правовой допустимости каждой операции.

Требования к монитору обращений:

1. Изолированность работы.
2. Полнота — невозможность обхода.
3. Верифицируемость — возможность проверки и тестирования.

Реализация монитора обращений с гарантированной неизменностью.

Граница доверенной вычислительной базы.

Добровольное управление доступом — ограничение доступа на основании идентификации субъекта или группы, к которой он относится. Владельцы объектов самостоятельно предоставляют или отбирают права доступа.

Большинство современных операционных систем и СУБД реализуют именно этот механизм, отличающийся гибкостью, но затрудняющий централизованный контроль.

Механизм, предотвращающий несанкционированное извлечение секретной информации из освобождённых или «мусорных» ресурсов, таких как оперативная память, жёсткий диск или периферийные устройства (например, буферы принтера). Необходимо гарантировать очистку используемых областей и предотвращение несанкционированного доступа при смене субъектов.

Для субъектов (надёжность) и объектов (конфиденциальность информации) назначаются метки безопасности — комбинация уровня секретности и категории данных:

• совершенно секретно;
• секретно;
• конфиденциально;
• не секретно.

Категории используются для предметной детализации и запрещают доступ к несоответствующим областям даже при максимальном уровне допуска пользователя.

Гарантия целостности меток реализуется через разграничение многоуровневых и одноуровневых устройств, а также через обязательное маркирование информации при передаче и хранении.

Управление доступом, основанное на сопоставлении меток безопасности субъекта и объекта. Субъект может читать объект, если его уровень допуска не ниже уровня объекта, а категории совпадают. Запись осуществляется только если метка объекта доминирует над меткой субъекта, что гарантирует предотвращение утечек из более секретных источников.

Принудительное управление реализовано в специализированных версиях ОС и СУБД (например, SunOS, Ingres) и используется для формальной классификации информации.

Критерии делятся на четыре раздела: D, C, B, A (от минимального к максимальному уровню безопасности). Разделы C, B и A содержат подклассы: C1, C2, B1, B2, B3, A1; каждый следующий класс расширяет требования предыдущего.

Системы, не соответствующие требованиям более высоких уровней.

• C1 — начальная реализация дискреционного управления доступом: разделение пользователей и данных, возможность индивидуального контроля доступа.
• C2 — усовершенствованный контроль: индивидуальные учётные записи, процедура авторизации, журналирование доступа и изоляция ресурсов.

• B1 — метки безопасности, применение мандатного управления доступом, обязательное устранение обнаруженных недостатков, маркировка данных.
• B2 — расширенное управление: формализованные модели безопасности, контроль всех ресурсов, анализ скрытых каналов, модульная архитектура, устойчивость к атакам.
• B3 — домены безопасности: соответствие требованиям монитора обращений, исключение неавторизованного кода, специальная поддержка администратора безопасности, обеспечение устойчивого восстановления после сбоев. Пример — XTS-300.

• A1 — формальные спецификации, проверки проектных решений, формализованный жизненный цикл системы, соответствие между спецификациями и реализованным кодом. Пример — SCOMP.
• Выше A1 — архитектуры, демонстрирующие полную самозащищённость мониторов обращений и реализующие единый защищённый базис (база безопасных вычислений) для критически важных ОС и аппаратных средств.

В критериях впервые выделено четыре уровня доверия (D, C, B, A), разделённых на шесть классов (C1, C2, B1, B2, B3, A1) с возрастающими требованиями.

Для систем, не удовлетворяющих минимальным требованиям.

Требования:

1. управление доступом к объектам только по именованным пользователям;
2. уникальная идентификация и защита информации аутентификации;
3. защита области выполнения доверенной вычислительной базы;
4. наличие средств для периодических проверок аппаратных компонентов;
5. тестирование средств защиты;
6. описания политики безопасности применительно к реализации системы.

Добавляются:

1. детализированное разграничение прав доступа по пользователям;
2. уничтожение следов использования объекта при освобождении;
3. уникальная идентификация каждого пользователя и ассоциация действий с ним;
4. ведение и защита журналов доступа;
5. тестирование механизмов изоляции и защиты логов.

Добавляются:

1. управление метками безопасности для субъектов и объектов;
2. принудительное управление доступом ко всем объектам;
3. независимость процессов через разделение адресных пространств;
4. анализ архитектуры и кода экспертной группой;
5. формальная (или неформальная) модель политики безопасности.

Добавляются:

1. маркировка всех ресурсов;
2. доверенный путь для первичной аутентификации;
3. регистрация попыток создания скрытых каналов;
4. структурирование вычислительной базы;
5. анализ каналов передачи информации;
6. демонстрация устойчивости к несанкционированным вмешательствам;
7. формальная модель политики безопасности;
8. спецификации верхнего уровня;
9. конфигурационное управление в процессе разработки и сопровождения;
10. тестирование эффективности мер защиты.

Добавляются:

1. обязательные списки управления доступом;
2. регистрация угроз политике безопасности и оперативное оповещение администратора;
3. концептуально завершённый и формально определённый защитный механизм;
4. анализ временных каналов;
5. спецификация роли администратора безопасности;
6. механизмы восстановления после сбоев;
7. устойчивая работа базы при атаках.

Добавляются:

1. тестирование соответствия формальным спецификациям верхнего уровня;
2. формальные спецификации и их верификация;
3. полный охват конфигурационного управления;
4. описание соответствия между формальными спецификациями и исходным кодом.

Система критериев Оранжевой книги кратко:

• уровень C — произвольное управление доступом;
• уровень B — принудительное управление доступом;
• уровень A — верифицируемая (документированная и формально проверенная) безопасность.

Хотя стандарт подвергался критике (например, за отсутствие внимания к распределённым системам), его появление стало важной вехой для информационной безопасности — он ввёл единый терминологический и методологический базис.

Значительный потенциал концепций Оранжевой книги, прежде всего идеи технологической гарантированности на протяжении всего жизненного цикла системы, по-прежнему остаётся частично не реализованным.