Классы безопасности компьютерных систем

Поскольку «Оранжевая книга» достаточно подробно освещалась в отечественных исследованиях [б], ограни­чимся только кратким обзором классов безопасности.

«Оранжевая книга» предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формаль­но доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D1 и А1 соответственно), группа С — классы Cl, C2, а группа В — Bl, B2, ВЗ, характери­зующиеся различными наборами требований безопасно­сти. Уровень безопасности возрастает при движении от группы D к группе А, а внутри группы — с возрастанием номера класса.

• Группа D. Минимальная защита

Класс D1. Минимальная защити. К этому классу относятся все системы, которые не удовлетворяют требо­ваниям других классов.

• Группа С. Дискреционная защита

Группа С характеризуется наличием произвольного управления доступом и регистрацией действий субъектов.

Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разде­ления пользователей и информации и включают средст­ва контроля и управления доступом, позволяющие зада­вать ограничения для индивидуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей. Класс С1 рассчи­тан на многопользовательские системы, в которых осу­ществляется совместная обработка данных одного уров­ня секретности.

Класс С1. Управление доступом. Системы этого клас­са осуществляют более избирательное управление досту­пом, чем системы класса С1, с помощью применения средств индивидуального контроля за действиями поль­зователей, регистрацией, учетом событий и выделением ресурсов.

• Группа В. Мандатная защита

Основные требования этой группы — нормативное управление доступом с использованием меток безопас­ности, поддержка модели и политики безопасности, а также наличие спецификаций на функции ТСВ. Для сис­тем этой группы монитор взаимодействий должен кон­тролировать все события в системе.

Класс В1. Защита с применением меток безопасности.

Системы класса BI должны соответствовать всем требо­ваниям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформально модель безопасности, маркировку данных и норматив­ное управление доступом. При экспорте из системы ин­формация должна подвергаться маркировке. Обнару­женные в процессе тестирования недостатки должны быть устранены.

Класс В2. Структурированная защита. Для соответст­вия классу В2 ТСВ системы должно поддерживать фор­мально определенную и четко документированную мо­дель безопасности, предусматривающую произвольное и нормативное управление доступом, которое распростра­няется по сравнению с системами класса В1 на все субъек­ты. Кроме того, должен осуществляться контроль скры­тых каналов утечки информации. В структуре ТСВ долж­ны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ТСВ должен быть четко опреде­лен, а его архитектура и реализация должны быть выпол­нены с учетом возможности проведения тестовых испыта­ний. По сравнению с классом В1 должны быть усилены средства аутентификации. Управление безопасностью осуществляется администраторами системы. Должны быть предусмотрены средства управления конфигурацией.

Класс ВЗ. Домены безопасности. Для соответствия этому классу ТСВ системы должно поддерживать мони­тор взаимодействий, который контролирует все типы доступа субъектов к объектам и который невозможно обойти. Кроме того, ТСВ должно быть структурировано с целью исключения из него подсистем, не отвечающих за реализацию функции защиты, и быть достаточно ком­пактно для эффективного тестирования и анализа. В ходе разработки и реализации ТСВ должны применяться мето­ды и средства, направленные на минимизацию его слож­ности. Средства аудита должны включать механизмы оповещения администратора при возникновении событий, имеющих значение для безопасности системы. Требуется наличие средств восстановления работоспособности системы.

• Группа А. Верифицированная защита

Данная группа характеризуется применением фор­мальных методов верификации корректное ги работы механизмов управления доступом (произвольного и нормативного). Требуется дополнительная документа­ция, демонстрирующая, что архитектура и реализация ТСВ отвечают требованиям безопасности.

Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса ВЗ, и к ним не предъявляется никаких дополнительных функ­циональных требований. В отличие от систем класса ВЗ в ходе разработки должны применяться формальные ме­тоды верификации, что позволяет с высокой уверенно­стью получить корректную реализацию функций защиты. Процесс доказательства адекватности реализации начинается на ранней стадии разработки с построения формальной модели политики безопасности и специфи­каций высокого уровня. Для обеспечения методов вери­фикации системы класса А1 должны содержать более мощные средства управления конфигурацией и защи­щенную процедуру дистрибуции.

Высший класс безопасности, требующий осуществ­ления верификации средств защиты, построен на доказа­тельстве соответствия программного обеспечения его спецификациям с помощью специальных методик, одна­ко это доказательство (очень дорогостоящее, трудоемкое и практически неосуществимое для реальных операци­онных систем) не подтверждает корректность и адекват­ность реализации политики безопасности.

«Оранжевая книга» послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор используется в США в каче­стве руководящего документа при сертификации компь­ютерных систем обработки информации