74723-1 (Основные критерии защищенности АС), страница 3
Описание файла
Документ из архива "Основные критерии защищенности АС", который расположен в категории "". Всё это находится в предмете "информатика" из , которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "рефераты, доклады и презентации", в предмете "информатика, программирование" в общих файлах.
Онлайн просмотр документа "74723-1"
Текст 3 страницы из документа "74723-1"
В данном документе были впервые формально (хотя и не вполне строго) определены такие понятия, как "политика безопасности", "корректность" и др. Согласно "Оранжевой книге" безопасная компьютерная система – это система, поддерживающая управление доступом к обрабатываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы (субъекты), действующие от их имени, получают возможность читать, записывать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.
1.2.1. Общая структура требований TCSEC
В "Оранжевой книге" предложены три категории требований безопасности: политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних на качество средств защиты.
Политика безопасности
Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где это необходимо, должна использоваться политика мандатного управления доступом, позволяющая эффективно реализовать разграничение доступа к информации различного уровня конфиденциальности.
Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа. Для реализации мандатного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секретности) объекта и режимы доступа к этому объекту.
Подотчетность
Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.
Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе (т. е. должен существовать объект компьютерной системы, потоки от которого и к которому доступны только субъекту администрирования). Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.
Гарантии (корректность)
Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.
Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одной из ключевых аксиом, используемых для формального доказательства безопасности системы.
1.2.2. Классы защищенности компьютерных систем по TCSEC
"Оранжевая книга" предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D и А соответственно), группа С – классы С1, С2, а группа В три класса – В1, В2, ВЗ, характеризующиеся различными наборами требований защищенности. Уровень защищенности возрастает от группы D к группе А, а внутри группы - с увеличением номера класса. Усиление требований осуществляется с постепенным смещением акцентов от положений, определяющих наличие в системе каких-то определенных механизмов защиты, к положениям обеспечивающих высокий уровень гарантий того, что система функционирует в соответствии требованиям политики безопасности (табл. 3). Например, по реализованным механизмам защиты классы ВЗ и А1 идентичны.
Таблица 3
Базовые требования "Оранжевой книги" | Классы защищенности | ||||||
С1 | С2 | В1 | В2 | ВЗ | А1 | ||
Политика безопасности | |||||||
1. | Дискреционная политика безопасности | + | + | + | = | = | = |
2. | Мандатная политика безопасности | - | - | + | + | = | = |
3. | Метки секретности | - | - | + | + | = | = |
4. | Целостность меток | - | - | + | = | = | = |
5. | Рабочие метки | - | - | - | + | = | = |
6. | Повторение меток | - | - | + | = | = | = |
7. | Освобождение ресурсов при повторном использовании объектов | - | + | = | + | = | = |
8. | Изолирование модулей | - | + | = | = | = | = |
9. | Пометка устройств ввода/вывода | - | - | + | = | = | = |
10. | Пометка читаемого вывода | - | - | + | = | = | = |
Подотчетность | |||||||
11. | Идентификация и аутентификация | + | + | = | = | = | = |
12. | Аудит | - | + | + | + | + | = |
13. | Защищенный канал (доверенный путь) | - | - | - | + | = | = |
Гарантии | |||||||
14. | Проектная спецификация и верификация | - | - | + | + | + | + |
15. | Системная архитектура | + | = | = | + | + | = |
16. | Целостность системы | + | = | = | = | = | = |
17. | Тестирование системы безопасности | + | + | + | + | + | = |
18. | Доверенное восстановление после сбоев | - | - | - | - | + | = |
19. | Управление конфигурацией системы | - | - | - | + | + | + |
20. | Доверенное дооснащение системы | - | - | - | + | + | = |
21. | Доверенное распространение | - | - | - | - | + | = |
22. | Анализ скрытых каналов | - | - | - | + | + | + |
Документация | |||||||
23 | Руководство пользователя | + | = | = | = | = | = |
24 | Руководство по конфигурированию системы защиты | + | + | + | + | + | = |
25 | Документация по тестированию | + | = | = | = | = | + |
26 | Проектная документация | + | = | + | + | = | + |
Примечания. "-" – нет требований к данному классу; "+" – новые или дополнительные требования; "=" – требования совпадают с требованиями к СВТ предыдущего класса |
Рассмотрим основные требования классов защищенности по указанным выше четырем категориям:
• политика безопасности;
• подотчетность;
• гарантии;
• документация.
Центральным объектом исследования и оценки по TCSEC является доверительная база вычислений (ТСВ).
Группа D. Минимальная защита
Класс D. Минимальная защита. Класс D зарезервирован для тех систем, которые были представлены на сертификацию (оценку), но по какой-либо причине ее не прошли.
Группа С. Дискреционная защита
Группа С характеризуется наличием дискреционного управления доступом и аудитом действий субъектов.
Класс С1. Системы на основе дискреционного разграничения доступа. ТСВ систем, соответствующих этому классу защиты, удовлетворяет неким минимальным требованиям безопасного разделения пользователей и данных. Она определяет некоторые формы разграничения доступа на индивидуальной основе, т.е. пользователь должен иметь возможность защитить свою информацию от ее случайного чтения или уничтожения. Пользователи могут обрабатывать данные как по отдельности, так и от имени группы пользователей.
Политика безопасности. ТСВ должна определять и управлять доступом между поименованными объектами и субъектами (пользователями или их группами) в компьютерной системе (например, при помощи матрицы доступа). Механизм защиты должен позволять пользователям определять и контролировать распределение доступа к объектам по поименованным пользователям, их группам или по тем и другим.