Kriterier för att fastställa säkerheten för datorsystem

Kriterier för att bestämma säkerheten för datorsystem ( eng. Trusted Computer System Evaluation Criteria ) är en standard för USA:s försvarsdepartement som fastställer de grundläggande villkoren för att utvärdera effektiviteten hos datorsäkerhetsverktyg som finns i ett datorsystem. Kriterier används för att definiera, klassificera och välja datorsystem för att behandla, lagra och hämta känslig eller känslig information.

Ofta kallad Orange Book , kriterierna är centrala i DoD:s "Rainbow Series" -publikationer . Ursprungligen släppt av National Computer Security Center , en avdelning av National Security Agency, 1983 och uppdaterades sedan 1985 .

Analogen till Orange Book är den internationella standarden ISO/IEC 15408 , publicerad 2005. Detta är en mer universell och avancerad standard, men i motsats till den vanliga missuppfattningen ersatte den inte Orange Book på grund av olika jurisdiktioner för dokument - Orange Book används uteslutande av det amerikanska försvarsdepartementet , medan ISO/IEC 15408 har ratificerats av många länder, inklusive Ryssland.

Grundläggande information

Department of Defense Trusted Computer System Evaluation Criteria, TCSEC , DoD 5200.28 -STD, 26 december 1985, bättre känd som " Orange boken" ) på grund av färgen på omslaget.

Denna standard har fått internationellt erkännande och har haft ett exceptionellt starkt inflytande på den senare utvecklingen inom området informationssäkerhet (IS).

Denna standard hänvisar till utvärderingsstandarder (klassificering av informationssystem och säkerhetsverktyg ) och det handlar inte om säkra, utan om betrodda system .

Det finns inga absoluta system (inklusive säkra sådana) i vårt liv. Därför föreslogs det att endast utvärdera graden av förtroende som kan ges till ett visst system.

Standarden innehåller den konceptuella grunden för informationssäkerhet ( säkert system , betrodd system , säkerhetspolicy , säkerhetsnivå, ansvarighet , betrodd datorbas , samtalsövervakare , säkerhetskärna , säkerhetsperimeter ).

Säkerhet och förtroende utvärderas i denna standard när det gäller kontroll av informationsåtkomst, vilket är ett sätt att säkerställa konfidentialitet och integritet .

En hel " Rainbow Series " följde "Orange Book" . Den mest betydelsefulla i den var tolkningen av "Orange Book" för nätverkskonfigurationer ( English National Computer Security Center. Trusted Network Interpretation , NCSC-TG-005, 1987), där den första delen tolkar "Orange Book", och andra delen beskriver tjänsternas säkerhet som är specifik för nätverkskonfigurationer.

Huvudändamål och medel

Policyer

Säkerhetspolicyer bör vara detaljerade, tydligt definierade och bindande för ett datorsystem. Det finns två huvudsakliga säkerhetspolicyer:

Obligatorisk säkerhetspolicy - obligatoriska regler för åtkomstkontroll direkt baserade på individuellt tillstånd, behörighet att få tillgång till information och nivån av konfidentialitet för den begärda informationen. Andra indirekta faktorer är betydande och miljömässiga. Denna policy måste också vara nära anpassad till lagen, huvudpolicyn och andra viktiga riktlinjer som anger reglerna.
- Taggning - System som är designade för en obligatorisk obligatorisk säkerhetspolicy måste tillhandahålla och bevara integriteten för åtkomstkontrolltokens, och även lagra tokens om objektet flyttas.
Diskretionär säkerhetspolicy - tillhandahåller en konsekvent uppsättning regler för att kontrollera och begränsa åtkomsten baserat på identifieringen av de användare som avser att bara få den information de behöver.

Ansvar

Individuellt ansvar, oavsett policy, bör vara obligatoriskt. Det finns tre ansvarskrav:

Autentisering är den process som används för att känna igen en enskild användare.
Auktorisering - kontroll av en enskild användares tillstånd att få information av ett visst slag.
Granskning – Kontrollerad information bör selektivt lagras och skyddas i den utsträckning som är nödvändig för att spåra den autentiserade användarens aktiviteter som påverkar säkerheten.

Garantier

Datorsystemet måste innehålla hårdvaru- och/eller mjukvarumekanismer som självständigt kan avgöra om tillräcklig säkerhet ges att systemet uppfyller ovanstående krav. Dessutom ska försäkran innefatta försäkran om att den säkra delen av systemet endast fungerar som avsett. För att uppnå dessa mål behövs två typer av garantier och deras motsvarande delar:

Skyddsmekanismer
- Driftssäkring är försäkran om att implementeringen av det designade systemet säkerställer implementeringen av den antagna systemskyddsstrategin. Dessa inkluderar systemarkitektur, systemintegritet, hemlig kanalanalys, säker kapacitetshantering och säker återställning.
- Livscykelsäkring är försäkran om att systemet är designat och underhållet i enlighet med formaliserade och noggrant kontrollerade prestandakriterier. Detta inkluderar säkerhetstestning, designöversikt och verifiering, konfigurationshantering och systemefterlevnad.
Kontinuerliga skyddsgarantier är pålitliga mekanismer som ger ett kontinuerligt skydd av anläggningstillgångar från kriminella och/eller obehöriga förändringar.

Dokumentation

Varje klass har ytterligare en uppsättning dokument som är adresserade till utvecklare, användare och systemadministratörer i enlighet med deras behörighet. Denna dokumentation innehåller:

Användarhandbok för säkerhetsfunktioner.
En guide till säkra arbetsförhållanden.
Testdokumentation.
Projektdokumentation

Grundläggande begrepp

Säkert system

Det är ett system som styr åtkomsten till information så att endast behöriga personer eller processer som agerar på deras vägnar är behöriga att arbeta med informationen.

Pålitligt system

Ett tillförlitligt system i standarden förstås som ett system som använder hårdvara och mjukvara för att säkerställa samtidig behandling av information av olika kategorier av sekretess av en grupp användare utan att kränka åtkomsträttigheter.

Säkerhetspolicy

Det är en uppsättning lagar, regler, procedurer och uppförandekoder som styr hur en organisation behandlar, skyddar och distribuerar information. Säkerhetspolicyn hänvisar dessutom till aktiva skyddsmetoder, eftersom den tar hänsyn till analysen av möjliga hot och valet av adekvata motåtgärder.

Garantinivå

Det innebär ett mått av förtroende som kan ges till arkitekturen och implementeringen av ett informationssystem, och visar hur korrekta mekanismerna är ansvariga för att implementera säkerhetspolitiken (passiv aspekt av skydd).

Ansvarsskyldighet

Ansvarsgruppen bör inkludera följande krav:

1) Identifiering och autentisering. Alla ämnen måste ha unika identifierare. Åtkomstkontroll bör utföras på grundval av resultaten av identifiering av föremålet och föremålet för åtkomst, bekräftelse av äktheten av deras identifierare (autentisering) och regler för åtkomstkontroll. De data som används för identifiering och autentisering måste skyddas mot obehörig åtkomst, modifiering och förstörelse och måste vara associerad med alla aktiva komponenter i datorsystemet, vars funktion är kritisk ur säkerhetssynpunkt.
2) Registrering och redovisning. För att bestämma graden av användaransvar för handlingar i systemet måste alla händelser som inträffar i det som är viktiga ur säkerhetssynpunkt spåras och registreras i ett säkert protokoll (det vill säga det måste finnas ett datorsystemobjekt, flöden från vilka och till vilka endast är tillgängliga för förvaltningsämnet) . Registreringssystemet bör analysera det övergripande flödet av händelser och från det välja endast de händelser som har en inverkan på säkerheten för att minska volymen på protokollet och öka effektiviteten i analysen. Händelseloggen måste på ett tillförlitligt sätt skyddas från obehörig åtkomst, modifiering och förstörelse.

Trusted Computing Base

Detta är en uppsättning skyddsmekanismer för ett informationssystem (både mjukvara och hårdvara) som implementerar en säkerhetspolicy.

Call Monitor

Kontroll över utförandet av subjekt (användare) av vissa operationer på objekt genom att kontrollera tillåtligheten av åtkomst (för en given användare) till program och data genom en tillåten uppsättning åtgärder.

Obligatoriska egenskaper för en samtalsvakt:

Isolering (det går inte att spåra arbetet).
Fullständighet (omöjlighet att kringgå).
Verifierbarhet (förmåga att analysera och testa).

Säkerhetskärna

En konkret implementering av en samtalsmonitor som garanterat är oföränderlig.

Säkerhetsperimeter

Detta är gränsen för den betrodda beräkningsbasen.

Säkerhetsimplementeringsmekanismer

Godtycklig åtkomstkontroll

Annars frivillig passerkontroll.

Frivillig åtkomstkontroll är en metod för att begränsa åtkomsten till objekt baserat på identiteten på subjektet eller den grupp som subjektet tillhör. Frivillig förvaltning är att någon person (vanligtvis ägaren av föremålet) efter eget gottfinnande kan ge andra föremål eller ta från dem åtkomsträtt till föremålet.

De flesta operativsystem och DBMS implementerar frivillig åtkomstkontroll. Dess främsta fördel är flexibilitet, de största nackdelarna är spridningen av hanteringen och komplexiteten i centraliserad kontroll, samt isoleringen av åtkomsträttigheter från data, vilket gör det möjligt att kopiera hemlig information till offentliga filer eller hemliga filer till oskyddade kataloger.

Objektåteranvändningssäkerhet

Objektåteranvändningssäkerhet är ett viktigt tillägg till åtkomstkontrollen i praktiken, som skyddar mot oavsiktlig eller avsiktlig utvinning av hemlig information från "skräpet". Återanvändningssäkerhet måste garanteras för områden i huvudminnet (särskilt för buffertar med skärmbilder, dekrypterade lösenord etc.), för diskblock och magnetiska media i allmänhet. Det är viktigt att uppmärksamma nästa punkt. Eftersom information om ämnen också är ett objekt behöver du ta hand om säkerheten med att "återanvända ämnen". När en användare lämnar organisationen bör du inte bara hindra dem från att logga in, utan också neka dem åtkomst till alla objekt. Annars kan den nya anställde få den tidigare använda identifieraren, och med den alla rättigheter för sin föregångare.

Dagens smarta kringutrustning gör det svårare att säkra objektåteranvändning. Faktum är att skrivaren kan buffra flera sidor i ett dokument som kommer att finnas kvar i minnet även efter att utskriften är klar. Det är nödvändigt att vidta särskilda åtgärder för att "skjuta" dem därifrån.

Säkerhetsetiketter

Etiketter tillhandahålls för ämnen (grad av tillförlitlighet) och objekt (grad av informationssekretess). Säkerhetsetiketter innehåller data om säkerhetsnivån och vilken kategori data tillhör. Enligt Orange Book består säkerhetsetiketter av två delar - en säkerhetsnivå och en lista med kategorier. Säkerhetsnivåerna som stöds av systemet bildar en ordnad uppsättning, som kan se ut så här, till exempel:

topp hemligt;
hemlighet;
konfidentiellt;
inte hemlig.

För olika system kan uppsättningen av säkerhetsnivåer variera. Kategorierna bildar en oordnad uppsättning. Deras syfte är att beskriva det ämnesområde som uppgifterna tillhör. I en militär miljö kan varje kategori till exempel motsvara en viss typ av vapen. Kategorimekanismen låter dig dela upp information i fack, vilket bidrar till bättre säkerhet. Ämnet kan inte komma åt "utländska" kategorier, även om deras säkerhetsnivå är "tophemlig". En tankspecialist kommer inte att känna igen de taktiska och tekniska uppgifterna för flygplan.

Huvudproblemet som måste lösas i samband med etiketter är att säkerställa deras integritet. För det första får det inte finnas några omärkta ämnen och objekt, annars kommer det att finnas lätta hål i märkt säkerhet. För det andra, för alla operationer med data måste etiketterna förbli korrekta. Detta gäller i synnerhet export och import av data. Till exempel bör ett utskrivet dokument öppnas med en rubrik som innehåller en textuell och/eller grafisk representation av säkerhetsetiketten. På liknande sätt, när en fil överförs över en kommunikationskanal, måste etiketten som är associerad med den också överföras, och på ett sådant sätt att fjärrsystemet kan analysera den, trots möjliga skillnader i sekretessnivåer och en uppsättning kategorier.

Ett av sätten att säkerställa integriteten hos säkerhetsetiketter är uppdelningen av enheter i flernivå- och ennivåenheter. Enheter på flera nivåer kan lagra information på olika nivåer av sekretess (närmare bestämt, ligger inom ett visst intervall av nivåer). En enhet på en nivå kan betraktas som ett degenererat fall av en enhet med flera nivåer, när det tillåtna intervallet består av en enda nivå. Genom att känna till enhetens nivå kan systemet bestämma om det är tillåtet att skriva information till den med en viss etikett. Till exempel kommer ett försök att skriva ut topphemlig information på en offentlig skrivare med en "icke-hemlig" nivå misslyckas.

Påtvingad åtkomstkontroll

Påtvingad åtkomstkontroll baseras på matchning av ämnes- och objektsäkerhetsetiketter. Ett objekt kan läsa information från ett objekt om objektets säkerhetsnivå är minst lika hög som objektets, och alla kategorier som anges i objektets säkerhetsetikett finns i objektets etikett. I ett sådant fall sägs objektets etikett dominera objektets etikett. Ett objekt kan skriva information till ett objekt om objektets säkerhetsetikett dominerar objektets säkerhetsetikett. I synnerhet kan en "konfidentiell" person skriva till hemliga filer, men inte till icke-hemliga (naturligtvis måste begränsningar för uppsättningen kategorier också uppfyllas). Vid första anblicken kan denna begränsning tyckas konstigt, men det är ganska rimligt. Under ingen operation bör nivån på informationshemligheten sänkas, även om den omvända processen är fullt möjlig.

Den beskrivna metoden för åtkomstkontroll kallas forcerad, eftersom den inte beror på försökspersonernas vilja, i vars plats även systemadministratörer kan vara. Efter att säkerhetsetiketterna för ämnen och objekt har fixats, är även åtkomsträttigheterna fixade. När det gäller tvångskontroll är det omöjligt att uttrycka meningen "Tillåt åtkomst till objekt X även för användare Y". Naturligtvis kan du ändra säkerhetsetiketten för användare Y, men då kommer han med största sannolikhet att få tillgång till många ytterligare objekt, och inte bara X.

Påtvingad åtkomstkontroll är implementerad i många varianter av operativsystem och DBMS, som kännetecknas av förbättrade säkerhetsåtgärder. I synnerhet finns sådana alternativ för SunOS och Ingres DBMS. Oavsett praktisk användning är principerna för tvångskontroll en praktisk metodisk grund för den initiala klassificeringen av information och fördelning av åtkomsträttigheter. Det är bekvämare att tänka i termer av säkerhetsnivåer och kategorier än att fylla i en ostrukturerad åtkomstmatris. Men i verkliga livet kombineras frivillig och påtvingad åtkomstkontroll inom samma system, vilket gör att du kan använda styrkorna i båda tillvägagångssätten.

Sektioner och klasser

Kriterierna är indelade i 4 sektioner: D, C, B och A, varav sektion A är den säkraste. Varje avdelning representerar en betydande skillnad i förtroende för enskilda användare eller organisationer. Sektionerna C, B och A är hierarkiskt organiserade i en serie undersektioner som kallas klasser: C1, C2, B1, B2, B3 och A1. Varje avsnitt och klass utökar eller kompletterar kraven som specificerats i föregående avsnitt eller klass.

D - Minimiskydd

System för vilka säkerhet har bedömts men som inte uppfyller kraven i högre sektioner.

C - Diskretionärt skydd

C1 - Diskretionär säkerhet.
- Separering av användare och data
- Diskretionär åtkomstkontroll , som tillåter upprätthållande av åtkomstbegränsningar på individuell basis.
C2 - Passeringskontroll
- Mer tydligt definierad diskretionär åtkomstkontroll.
- Individuella konton, vars ingång är möjlig genom auktorisationsförfarandet.
- Systemets åtkomstkontrolllogg.
- Resursisolering.

B - Obligatoriskt skydd

B1 - Meta-säkerhetsskydd
- Obligatorisk åtkomstkontroll till utvalda ämnen och objekt.
- Alla identifierade brister ska åtgärdas eller på annat sätt åtgärdas.
- Datamärkning
B2 - Strukturerat försvar
- En väldefinierad och dokumenterad modell av säkerhetsregler.
- Tillämpning av avancerad diskretionär och obligatorisk åtkomstkontroll för alla objekt och ämnen.
- Dolda lagringskanaler.
B3 - Säkerhetsdomäner
- Efterlevnad av ärendeövervakare .
- Strukturering för att utesluta kod som inte uppfyller kraven i en obligatorisk säkerhetspolicy.
- Support för säkerhetsadministratörer.
- Ett exempel på ett sådant system är XTS-300 , föregångaren till XTS-400 .

A - Beprövat försvar

A1 - Beprövad design.
- Funktionellt identisk med B3.
- Formaliserad design och beprövade tekniker inklusive specifikationer på hög nivå.
- Formaliserade hanterings- och distributionsförfaranden.
- Ett exempel på ett sådant system är SCOMP , föregångaren till XTS-400.
Ovanför A1
- En systemarkitektur som visar att kraven på självskydd och användbarhet för referensmonitorer har uppfyllts i enlighet med "Secure Computing Base" (en samling mjukvara och hårdvara som krävs för en obligatorisk säkerhetspolicy i säkerhetsorienterade operativsystem).

Säkerhetsklasser

Kriterierna införde för första gången fyra nivåer av förtroende - D, C, B och A, som är indelade i klasser. Det finns bara sex säkerhetsklasser - C1, C2, B1, B2, B3, A1 (listade i ordning efter skärpningskrav).

Nivå D

Denna nivå är avsedd för system som anses otillfredsställande.

Nivå C

Annars, godtycklig åtkomstkontroll.

Klass C1

Säkerhetspolicyn och säkerhetsnivån för en given klass måste uppfylla följande kritiska krav:

den betrodda datorbasen måste hantera namngivna användares åtkomst till namngivna objekt;
användare måste identifiera sig och autentiseringsinformationen måste skyddas från obehörig åtkomst;
en betrodd datorbas måste upprätthålla ett område för sitt eget utförande, skyddat från yttre påverkan;
hårdvara eller mjukvara måste finnas tillgänglig för att regelbundet kontrollera att hårdvaru- och firmwarekomponenterna i den betrodda datorbasen fungerar korrekt;
skyddsmekanismer måste testas (det finns inga sätt att kringgå eller förstöra skydden för den betrodda datorbasen);
tillvägagångssättet för säkerhet och dess tillämpning vid implementering av en betrodd datorbas bör beskrivas.

Klass C2

Förutom C1:

åtkomsträttigheter måste vara detaljerade för användaren. Alla objekt måste vara föremål för åtkomstkontroll.
När ett lagrat objekt allokeras från resurspoolen för den betrodda datorbasen måste alla spår av dess användning elimineras.
varje användare av systemet måste vara unikt identifierad. Varje loggad åtgärd måste vara associerad med en specifik användare.
den betrodda datorbasen måste skapa, underhålla och skydda en logg med logginformation som relaterar till åtkomst till objekt som kontrolleras av basen.
testning bör bekräfta frånvaron av uppenbara svagheter i mekanismerna för att isolera resurser och skydda registreringsinformation.

Nivå B

Kallas även påtvingad åtkomstkontroll.

Klass B1

Förutom C2:

den betrodda datorbasen måste hantera säkerhetsetiketterna som är associerade med varje ämne och lagrat objekt.
den betrodda datorbasen måste säkerställa implementeringen av påtvingad åtkomstkontroll av alla subjekt till alla lagrade objekt.
den betrodda datorbasen måste ge ömsesidig isolering av processer genom att separera deras adressutrymmen.
en grupp specialister som till fullo förstår implementeringen av en betrodd datorbas måste utsätta arkitekturbeskrivningen, käll- och objektkoderna för grundlig analys och testning.
det måste finnas en informell eller formell modell av säkerhetspolicyn som stöds av den betrodda datorbasen.

Klass B2

Förutom B1:

alla systemresurser (t.ex. ROM) som är direkt eller indirekt tillgängliga för försökspersoner bör märkas.
till den betrodda beräkningsbasen måste en betrodd kommunikationsväg upprätthållas för användaren som utför de initiala identifierings- och autentiseringsoperationerna.
det bör vara möjligt att registrera händelser relaterade till organisationen av hemliga utbyteskanaler med minne.
den betrodda datorbasen måste vara internt strukturerad i väldefinierade, relativt oberoende moduler.
Systemarkitekten måste noggrant analysera möjligheterna att organisera hemliga minnesutbyteskanaler och utvärdera den maximala genomströmningen för varje identifierad kanal.
det relativa motståndet hos den betrodda beräkningsbasen mot penetrationsförsök måste påvisas.
den säkerhetspolitiska modellen bör vara formell. En betrodd datorbas måste ha beskrivande specifikationer på toppnivå som exakt och fullständigt definierar dess gränssnitt.
i processen att utveckla och underhålla en betrodd datorbas bör ett konfigurationshanteringssystem användas för att kontrollera ändringar i beskrivande specifikationer på toppnivå, andra arkitektoniska data, implementeringsdokumentation, källkod, en fungerande version av objektkoden, testdata och dokumentation.
tester bör bekräfta effektiviteten av åtgärder för att minska genomströmningen av hemliga informationsöverföringskanaler.

Klass B3

Förutom B2:

för godtycklig åtkomstkontroll måste åtkomstkontrollistor som anger tillåtna lägen användas.
det bör vara möjligt att registrera förekomst eller ansamling av händelser som hotar systemets säkerhetspolicy. Säkerhetsadministratören bör omedelbart underrättas om försök att bryta mot säkerhetspolicyn, och systemet, om försöken fortsätter, bör stoppa dem på det minst smärtsamma sättet.
den betrodda datorbasen måste utformas och struktureras för att använda en komplett och konceptuellt enkel försvarsmekanism med väldefinierad semantik.
analysproceduren måste utföras för tillfälliga hemliga kanaler.
säkerhetsadministratörsrollen måste anges. Du kan erhålla säkerhetsadministratörsrättigheter endast efter att ha utfört explicita, loggade åtgärder.
förfaranden och/eller mekanismer bör finnas på plats för att möjliggöra återhämtning från ett fel eller annat avbrott utan att äventyra säkerheten.
den betrodda datorbasens motståndskraft mot penetrationsförsök måste påvisas.

Nivå A

Det kallas verifierbar säkerhet.

Klass A1

Förutom B3:

testning bör visa att implementeringen av den betrodda datorbasen överensstämmer med de formella toppnivåspecifikationerna.
Utöver beskrivande bör formella specifikationer på toppnivå presenteras. Det är nödvändigt att använda moderna metoder för formell specifikation och verifiering av system.
Konfigurationshanteringsmekanismen bör täcka hela livscykeln och alla säkerhetsrelaterade komponenter i systemet.
överensstämmelsen mellan formella toppnivåspecifikationer och källkod måste beskrivas.

Kort klassificering

Detta är klassificeringen som introduceras i Orange Book. Kortfattat kan det formuleras på följande sätt:

nivå C - godtycklig åtkomstkontroll;
nivå B - tvingad åtkomstkontroll;
nivå A - verifierbar säkerhet.

Naturligtvis kan ett antal allvarliga anmärkningar göras till "Kriterier ..." (som t.ex. fullständig ignorering av problem som uppstår i distribuerade system). Det bör dock understrykas att utgivningen av Orange Book utan någon överdrift var en milstolpe på informationssäkerhetsområdet. En allmänt erkänd begreppsgrund har framkommit, utan vilken ens diskussion om informationssäkerhetsproblemen skulle vara svår.

Det bör noteras att den enorma ideologiska potentialen i Orange Book fortfarande i stort sett förblir outnyttjad. Först och främst handlar det om konceptet med teknisk säkerhet, som täcker hela systemets livscykel - från utvecklingen av specifikationer till driftfasen. Med modern programmeringsteknik innehåller det resulterande systemet inte informationen som finns i de ursprungliga specifikationerna, information om programmens semantik går förlorad.

Se även

gemensamma kriterier