Kriterier för att bestämma säkerheten för datorsystem ( eng. Trusted Computer System Evaluation Criteria ) är en standard för USA:s försvarsdepartement som fastställer de grundläggande villkoren för att utvärdera effektiviteten hos datorsäkerhetsverktyg som finns i ett datorsystem. Kriterier används för att definiera, klassificera och välja datorsystem för att behandla, lagra och hämta känslig eller känslig information.
Ofta kallad Orange Book , kriterierna är centrala i DoD:s "Rainbow Series" -publikationer . Ursprungligen släppt av National Computer Security Center , en avdelning av National Security Agency, 1983 och uppdaterades sedan 1985 .
Analogen till Orange Book är den internationella standarden ISO/IEC 15408 , publicerad 2005. Detta är en mer universell och avancerad standard, men i motsats till den vanliga missuppfattningen ersatte den inte Orange Book på grund av olika jurisdiktioner för dokument - Orange Book används uteslutande av det amerikanska försvarsdepartementet , medan ISO/IEC 15408 har ratificerats av många länder, inklusive Ryssland.
Department of Defense Trusted Computer System Evaluation Criteria, TCSEC , DoD 5200.28 -STD, 26 december 1985, bättre känd som " Orange boken" ) på grund av färgen på omslaget.
Denna standard har fått internationellt erkännande och har haft ett exceptionellt starkt inflytande på den senare utvecklingen inom området informationssäkerhet (IS).
Denna standard hänvisar till utvärderingsstandarder (klassificering av informationssystem och säkerhetsverktyg ) och det handlar inte om säkra, utan om betrodda system .
Det finns inga absoluta system (inklusive säkra sådana) i vårt liv. Därför föreslogs det att endast utvärdera graden av förtroende som kan ges till ett visst system.
Standarden innehåller den konceptuella grunden för informationssäkerhet ( säkert system , betrodd system , säkerhetspolicy , säkerhetsnivå, ansvarighet , betrodd datorbas , samtalsövervakare , säkerhetskärna , säkerhetsperimeter ).
Säkerhet och förtroende utvärderas i denna standard när det gäller kontroll av informationsåtkomst, vilket är ett sätt att säkerställa konfidentialitet och integritet .
En hel " Rainbow Series " följde "Orange Book" . Den mest betydelsefulla i den var tolkningen av "Orange Book" för nätverkskonfigurationer ( English National Computer Security Center. Trusted Network Interpretation , NCSC-TG-005, 1987), där den första delen tolkar "Orange Book", och andra delen beskriver tjänsternas säkerhet som är specifik för nätverkskonfigurationer.
Säkerhetspolicyer bör vara detaljerade, tydligt definierade och bindande för ett datorsystem. Det finns två huvudsakliga säkerhetspolicyer:
Individuellt ansvar, oavsett policy, bör vara obligatoriskt. Det finns tre ansvarskrav:
Datorsystemet måste innehålla hårdvaru- och/eller mjukvarumekanismer som självständigt kan avgöra om tillräcklig säkerhet ges att systemet uppfyller ovanstående krav. Dessutom ska försäkran innefatta försäkran om att den säkra delen av systemet endast fungerar som avsett. För att uppnå dessa mål behövs två typer av garantier och deras motsvarande delar:
Varje klass har ytterligare en uppsättning dokument som är adresserade till utvecklare, användare och systemadministratörer i enlighet med deras behörighet. Denna dokumentation innehåller:
Det är ett system som styr åtkomsten till information så att endast behöriga personer eller processer som agerar på deras vägnar är behöriga att arbeta med informationen.
Ett tillförlitligt system i standarden förstås som ett system som använder hårdvara och mjukvara för att säkerställa samtidig behandling av information av olika kategorier av sekretess av en grupp användare utan att kränka åtkomsträttigheter.
Det är en uppsättning lagar, regler, procedurer och uppförandekoder som styr hur en organisation behandlar, skyddar och distribuerar information. Säkerhetspolicyn hänvisar dessutom till aktiva skyddsmetoder, eftersom den tar hänsyn till analysen av möjliga hot och valet av adekvata motåtgärder.
Det innebär ett mått av förtroende som kan ges till arkitekturen och implementeringen av ett informationssystem, och visar hur korrekta mekanismerna är ansvariga för att implementera säkerhetspolitiken (passiv aspekt av skydd).
Ansvarsgruppen bör inkludera följande krav:
Detta är en uppsättning skyddsmekanismer för ett informationssystem (både mjukvara och hårdvara) som implementerar en säkerhetspolicy.
Kontroll över utförandet av subjekt (användare) av vissa operationer på objekt genom att kontrollera tillåtligheten av åtkomst (för en given användare) till program och data genom en tillåten uppsättning åtgärder.
Obligatoriska egenskaper för en samtalsvakt:
En konkret implementering av en samtalsmonitor som garanterat är oföränderlig.
Detta är gränsen för den betrodda beräkningsbasen.
Annars frivillig passerkontroll.
Frivillig åtkomstkontroll är en metod för att begränsa åtkomsten till objekt baserat på identiteten på subjektet eller den grupp som subjektet tillhör. Frivillig förvaltning är att någon person (vanligtvis ägaren av föremålet) efter eget gottfinnande kan ge andra föremål eller ta från dem åtkomsträtt till föremålet.
De flesta operativsystem och DBMS implementerar frivillig åtkomstkontroll. Dess främsta fördel är flexibilitet, de största nackdelarna är spridningen av hanteringen och komplexiteten i centraliserad kontroll, samt isoleringen av åtkomsträttigheter från data, vilket gör det möjligt att kopiera hemlig information till offentliga filer eller hemliga filer till oskyddade kataloger.
Objektåteranvändningssäkerhet är ett viktigt tillägg till åtkomstkontrollen i praktiken, som skyddar mot oavsiktlig eller avsiktlig utvinning av hemlig information från "skräpet". Återanvändningssäkerhet måste garanteras för områden i huvudminnet (särskilt för buffertar med skärmbilder, dekrypterade lösenord etc.), för diskblock och magnetiska media i allmänhet. Det är viktigt att uppmärksamma nästa punkt. Eftersom information om ämnen också är ett objekt behöver du ta hand om säkerheten med att "återanvända ämnen". När en användare lämnar organisationen bör du inte bara hindra dem från att logga in, utan också neka dem åtkomst till alla objekt. Annars kan den nya anställde få den tidigare använda identifieraren, och med den alla rättigheter för sin föregångare.
Dagens smarta kringutrustning gör det svårare att säkra objektåteranvändning. Faktum är att skrivaren kan buffra flera sidor i ett dokument som kommer att finnas kvar i minnet även efter att utskriften är klar. Det är nödvändigt att vidta särskilda åtgärder för att "skjuta" dem därifrån.
Etiketter tillhandahålls för ämnen (grad av tillförlitlighet) och objekt (grad av informationssekretess). Säkerhetsetiketter innehåller data om säkerhetsnivån och vilken kategori data tillhör. Enligt Orange Book består säkerhetsetiketter av två delar - en säkerhetsnivå och en lista med kategorier. Säkerhetsnivåerna som stöds av systemet bildar en ordnad uppsättning, som kan se ut så här, till exempel:
För olika system kan uppsättningen av säkerhetsnivåer variera. Kategorierna bildar en oordnad uppsättning. Deras syfte är att beskriva det ämnesområde som uppgifterna tillhör. I en militär miljö kan varje kategori till exempel motsvara en viss typ av vapen. Kategorimekanismen låter dig dela upp information i fack, vilket bidrar till bättre säkerhet. Ämnet kan inte komma åt "utländska" kategorier, även om deras säkerhetsnivå är "tophemlig". En tankspecialist kommer inte att känna igen de taktiska och tekniska uppgifterna för flygplan.
Huvudproblemet som måste lösas i samband med etiketter är att säkerställa deras integritet. För det första får det inte finnas några omärkta ämnen och objekt, annars kommer det att finnas lätta hål i märkt säkerhet. För det andra, för alla operationer med data måste etiketterna förbli korrekta. Detta gäller i synnerhet export och import av data. Till exempel bör ett utskrivet dokument öppnas med en rubrik som innehåller en textuell och/eller grafisk representation av säkerhetsetiketten. På liknande sätt, när en fil överförs över en kommunikationskanal, måste etiketten som är associerad med den också överföras, och på ett sådant sätt att fjärrsystemet kan analysera den, trots möjliga skillnader i sekretessnivåer och en uppsättning kategorier.
Ett av sätten att säkerställa integriteten hos säkerhetsetiketter är uppdelningen av enheter i flernivå- och ennivåenheter. Enheter på flera nivåer kan lagra information på olika nivåer av sekretess (närmare bestämt, ligger inom ett visst intervall av nivåer). En enhet på en nivå kan betraktas som ett degenererat fall av en enhet med flera nivåer, när det tillåtna intervallet består av en enda nivå. Genom att känna till enhetens nivå kan systemet bestämma om det är tillåtet att skriva information till den med en viss etikett. Till exempel kommer ett försök att skriva ut topphemlig information på en offentlig skrivare med en "icke-hemlig" nivå misslyckas.
Påtvingad åtkomstkontroll baseras på matchning av ämnes- och objektsäkerhetsetiketter. Ett objekt kan läsa information från ett objekt om objektets säkerhetsnivå är minst lika hög som objektets, och alla kategorier som anges i objektets säkerhetsetikett finns i objektets etikett. I ett sådant fall sägs objektets etikett dominera objektets etikett. Ett objekt kan skriva information till ett objekt om objektets säkerhetsetikett dominerar objektets säkerhetsetikett. I synnerhet kan en "konfidentiell" person skriva till hemliga filer, men inte till icke-hemliga (naturligtvis måste begränsningar för uppsättningen kategorier också uppfyllas). Vid första anblicken kan denna begränsning tyckas konstigt, men det är ganska rimligt. Under ingen operation bör nivån på informationshemligheten sänkas, även om den omvända processen är fullt möjlig.
Den beskrivna metoden för åtkomstkontroll kallas forcerad, eftersom den inte beror på försökspersonernas vilja, i vars plats även systemadministratörer kan vara. Efter att säkerhetsetiketterna för ämnen och objekt har fixats, är även åtkomsträttigheterna fixade. När det gäller tvångskontroll är det omöjligt att uttrycka meningen "Tillåt åtkomst till objekt X även för användare Y". Naturligtvis kan du ändra säkerhetsetiketten för användare Y, men då kommer han med största sannolikhet att få tillgång till många ytterligare objekt, och inte bara X.
Påtvingad åtkomstkontroll är implementerad i många varianter av operativsystem och DBMS, som kännetecknas av förbättrade säkerhetsåtgärder. I synnerhet finns sådana alternativ för SunOS och Ingres DBMS. Oavsett praktisk användning är principerna för tvångskontroll en praktisk metodisk grund för den initiala klassificeringen av information och fördelning av åtkomsträttigheter. Det är bekvämare att tänka i termer av säkerhetsnivåer och kategorier än att fylla i en ostrukturerad åtkomstmatris. Men i verkliga livet kombineras frivillig och påtvingad åtkomstkontroll inom samma system, vilket gör att du kan använda styrkorna i båda tillvägagångssätten.
Kriterierna är indelade i 4 sektioner: D, C, B och A, varav sektion A är den säkraste. Varje avdelning representerar en betydande skillnad i förtroende för enskilda användare eller organisationer. Sektionerna C, B och A är hierarkiskt organiserade i en serie undersektioner som kallas klasser: C1, C2, B1, B2, B3 och A1. Varje avsnitt och klass utökar eller kompletterar kraven som specificerats i föregående avsnitt eller klass.
System för vilka säkerhet har bedömts men som inte uppfyller kraven i högre sektioner.
Kriterierna införde för första gången fyra nivåer av förtroende - D, C, B och A, som är indelade i klasser. Det finns bara sex säkerhetsklasser - C1, C2, B1, B2, B3, A1 (listade i ordning efter skärpningskrav).
Denna nivå är avsedd för system som anses otillfredsställande.
Annars, godtycklig åtkomstkontroll.
Klass C1Säkerhetspolicyn och säkerhetsnivån för en given klass måste uppfylla följande kritiska krav:
Förutom C1:
Kallas även påtvingad åtkomstkontroll.
Klass B1Förutom C2:
Förutom B1:
Förutom B2:
Det kallas verifierbar säkerhet.
Klass A1Förutom B3:
Detta är klassificeringen som introduceras i Orange Book. Kortfattat kan det formuleras på följande sätt:
Naturligtvis kan ett antal allvarliga anmärkningar göras till "Kriterier ..." (som t.ex. fullständig ignorering av problem som uppstår i distribuerade system). Det bör dock understrykas att utgivningen av Orange Book utan någon överdrift var en milstolpe på informationssäkerhetsområdet. En allmänt erkänd begreppsgrund har framkommit, utan vilken ens diskussion om informationssäkerhetsproblemen skulle vara svår.
Det bör noteras att den enorma ideologiska potentialen i Orange Book fortfarande i stort sett förblir outnyttjad. Först och främst handlar det om konceptet med teknisk säkerhet, som täcker hela systemets livscykel - från utvecklingen av specifikationer till driftfasen. Med modern programmeringsteknik innehåller det resulterande systemet inte informationen som finns i de ursprungliga specifikationerna, information om programmens semantik går förlorad.