Kriterier for fastlæggelse af computersystemers sikkerhed

Kriterier for at bestemme sikkerheden af computersystemer ( eng. Trusted Computer System Evaluation Criteria ) er en standard fra det amerikanske forsvarsministerium , der fastlægger de grundlæggende betingelser for evaluering af effektiviteten af computersikkerhedsværktøjer indeholdt i et computersystem. Kriterier bruges til at definere, klassificere og udvælge computersystemer til behandling, lagring og hentning af følsomme eller følsomme oplysninger.

Ofte omtalt som Orange Book , er kriterierne centrale i DoD's "Rainbow Series" -publikationer . Oprindeligt udgivet af National Computer Security Center , en afdeling af National Security Agency, i 1983 og derefter opdateret i 1985 .

Analogen til Orange Book er den internationale standard ISO/IEC 15408 , udgivet i 2005. Dette er en mere universel og avanceret standard, men i modsætning til populær misforståelse erstattede den ikke Orange Book på grund af forskellige jurisdiktioner af dokumenter - Orange Book bruges udelukkende af det amerikanske forsvarsministerium , mens ISO/IEC 15408 er blevet ratificeret af mange lande, herunder Rusland.

Grundlæggende information

Department of Defense Trusted Computer System Evaluation Criteria, TCSEC , DoD 5200.28 -STD, 26. december 1985, bedre kendt som " Orange Bog" ) på grund af omslagets farve.

Denne standard har modtaget international anerkendelse og har haft en usædvanlig stærk indflydelse på den efterfølgende udvikling inden for informationssikkerhed (IS).

Denne standard refererer til evalueringsstandarder (klassificering af informationssystemer og sikkerhedsværktøjer ), og den handler ikke om sikre, men om betroede systemer .

Der er ingen absolutte systemer (herunder sikre) i vores liv. Derfor blev det foreslået kun at vurdere graden af tillid, der kan gives til et bestemt system.

Standarden indeholder det konceptuelle grundlag for informationssikkerhed ( sikkert system , betroet system , sikkerhedspolitik , sikringsniveau , ansvarlighed , betroet computerbase , opkaldsmonitor , sikkerhedskerne , sikkerhedsperimeter ).

Sikkerhed og tillid vurderes i denne standard med hensyn til informationsadgangskontrol, som er et middel til at sikre fortrolighed og integritet .

En hel " Rainbow Series " fulgte "Orange Book" . Den mest betydningsfulde i den var fortolkningen af "Orange Book" til netværkskonfigurationer ( English National Computer Security Center. Trusted Network Interpretation , NCSC-TG-005, 1987), hvor den første del fortolker "Orange Book", og anden del beskriver tjenesternes sikkerhed, der er specifik for netværkskonfigurationer.

Hovedmål og midler

Politikker

Sikkerhedspolitikker bør være detaljerede, klart definerede og bindende for et computersystem. Der er to hovedsikkerhedspolitikker:

Obligatorisk sikkerhedspolitik - obligatoriske adgangskontrolregler direkte baseret på individuel tilladelse, tilladelse til at få adgang til oplysninger og niveauet af fortrolighed af de anmodede oplysninger. Andre indirekte faktorer er væsentlige og miljømæssige. Denne politik skal også være nøje tilpasset loven, hovedpolitikken og andre vigtige retningslinjer, der sætter reglerne.
- Tagging - Systemer designet til en obligatorisk obligatorisk sikkerhedspolitik skal levere og bevare integriteten af adgangskontroltokens og også opbevare tokens, hvis objektet flyttes.
Skønsmæssig sikkerhedspolitik - giver et konsistent sæt regler til at kontrollere og begrænse adgang baseret på identifikation af de brugere, der har til hensigt kun at modtage de oplysninger, de har brug for.

Ansvar

Individuelt ansvar, uanset politik, bør være obligatorisk. Der er tre ansvarskrav:

Autentificering er den proces, der bruges til at genkende en individuel bruger.
Autorisation - kontrol af en individuel brugers tilladelse til at indhente oplysninger af en bestemt art.
Revision - Kontrolleret information bør selektivt opbevares og beskyttes i det omfang, det er nødvendigt for at spore den godkendte brugers aktiviteter, der påvirker sikkerheden.

Garantier

Computersystemet skal indeholde hardware- og/eller softwaremekanismer, der selvstændigt kan afgøre, om der gives tilstrækkelig sikkerhed for, at systemet overholder ovenstående krav. Derudover skal sikkerhed omfatte sikkerhed for, at den sikre del af systemet kun fungerer efter hensigten. For at nå disse mål er der brug for to typer garantier og deres tilsvarende elementer:

Beskyttelsesmekanismer
- Operationel sikring er forsikringen om, at implementeringen af det designede system sikrer implementeringen af den vedtagne systembeskyttelsesstrategi. Disse omfatter systemarkitektur, systemintegritet, skjult kanalanalyse, sikker kapacitetsstyring og sikker gendannelse.
- Livscyklusforsikring er sikkerheden for, at systemet er designet og vedligeholdt i overensstemmelse med formaliserede og nøje kontrollerede præstationskriterier. Dette inkluderer sikkerhedstest, designoversigt og verifikation, konfigurationsstyring og systemoverholdelse.
Kontinuerlige beskyttelsesgarantier er pålidelige mekanismer, der giver kontinuerlig beskyttelse af anlægsaktiver mod kriminelle og/eller uautoriserede ændringer.

Dokumentation

Hver klasse har et ekstra sæt dokumenter, der er adresseret til udviklere, brugere og systemadministratorer i overensstemmelse med deres autoritet. Denne dokumentation indeholder:

Brugervejledning til sikkerhedsfunktioner.
En guide til sikre arbejdsforhold.
Test dokumentation.
Projektdokumentation

Grundlæggende begreber

Sikkert system

Det er et system, der styrer adgangen til information, således at kun autoriserede personer eller processer, der handler på deres vegne, har tilladelse til at arbejde med oplysningerne.

Trusted System

Et betroet system i standarden forstås som et system, der bruger hardware og software til at sikre samtidig behandling af oplysninger af forskellige kategorier af hemmeligholdelse af en gruppe af brugere uden at krænke adgangsrettigheder.

Sikkerhedspolitik

Det er et sæt love, regler, procedurer og adfærdskodekser, der styrer, hvordan en organisation behandler, beskytter og distribuerer information. Desuden henviser sikkerhedspolitikken til aktive beskyttelsesmetoder, da den tager højde for analysen af mulige trusler og valget af passende modforanstaltninger.

Garantiniveau

Det indebærer en grad af tillid, der kan gives til arkitekturen og implementeringen af et informationssystem, og viser, hvor korrekte mekanismerne er ansvarlige for implementering af sikkerhedspolitik (passivt aspekt af beskyttelse).

Ansvarlighed

Ansvarsgruppen bør omfatte følgende krav:

1) Identifikation og autentificering. Alle emner skal have unikke identifikatorer. Adgangskontrol bør udføres på grundlag af resultaterne af identifikation af emnet og genstand for adgang, bekræftelse af ægtheden af deres identifikatorer (autentificering) og adgangskontrolregler. De data, der anvendes til identifikation og autentificering, skal være beskyttet mod uautoriseret adgang, ændring og ødelæggelse og skal være forbundet med alle aktive komponenter i computersystemet, hvis drift er kritisk ud fra et sikkerhedssynspunkt.
2) Registrering og regnskab. For at bestemme graden af brugernes ansvar for handlinger i systemet, skal alle hændelser, der forekommer i det, som er vigtige ud fra et sikkerhedssynspunkt, spores og registreres i en sikker protokol (det vil sige, der skal være et computersystemobjekt, strømme, hvorfra og til hvilke kun er tilgængelige for forvaltningsfaget). Registreringssystemet bør analysere det overordnede flow af hændelser og kun udvælge de hændelser, der har en indvirkning på sikkerheden, for at reducere omfanget af protokollen og øge effektiviteten af dens analyse. Hændelsesloggen skal være pålideligt beskyttet mod uautoriseret adgang, ændring og ødelæggelse.

Trusted Computing Base

Dette er et sæt af beskyttelsesmekanismer i et informationssystem (både software og hardware), der implementerer en sikkerhedspolitik.

Opkaldsovervågning

Kontrol over udførelsen af subjekter (brugere) af visse operationer på objekter ved at kontrollere adgangen (for en given bruger) til programmer og data ved hjælp af et tilladt sæt handlinger.

Obligatoriske egenskaber for en opkaldsmonitor:

Isolation (usporbarhed af arbejde).
Fuldstændighed (umulighed at omgå).
Verificerbarhed (evne til at analysere og teste).

Sikkerhedskerne

En konkret implementering af en opkaldsmonitor, der med garanti er uforanderlig.

Sikkerhedsperimeter

Dette er grænsen for den pålidelige computerbase.

Sikkerhedsimplementeringsmekanismer

Vilkårlig adgangskontrol

Ellers frivillig adgangskontrol.

Frivillig adgangskontrol er en metode til at begrænse adgangen til objekter baseret på identiteten af subjektet eller den gruppe, som subjektet tilhører. Frivillig forvaltning er, at en person (normalt ejeren af objektet) efter eget skøn kan give andre subjekter eller fratage dem adgangsrettigheder til objektet.

De fleste operativsystemer og DBMS implementerer frivillig adgangskontrol. Dens største fordel er fleksibilitet, de største ulemper er spredningen af ledelsen og kompleksiteten af centraliseret kontrol, samt isoleringen af adgangsrettigheder fra data, som gør det muligt at kopiere hemmelige oplysninger til offentlige filer eller hemmelige filer til ubeskyttede mapper.

Objektgenbrugssikkerhed

Genbrugssikkerhed for objekter er en vigtig tilføjelse til adgangskontrol i praksis, der beskytter mod utilsigtet eller bevidst udtrækning af hemmelige oplysninger fra "skraldet". Genbrugssikkerhed skal garanteres for områder af hovedhukommelsen (især for buffere med skærmbilleder, dekrypterede adgangskoder osv.), for diskblokke og magnetiske medier generelt. Det er vigtigt at være opmærksom på det næste punkt. Da information om emner også er et objekt, skal du sørge for sikkerheden ved at "genbruge emner". Når en bruger forlader organisationen, bør du ikke kun forhindre dem i at logge ind, men også nægte dem adgang til alle objekter. Ellers kan den nye medarbejder få den tidligere brugte identifikator og dermed alle sin forgængers rettigheder.

Nutidens smarte perifere enheder gør det sværere at sikre genbrug af objekter. Faktisk kan printeren buffer adskillige sider af et dokument, som forbliver i hukommelsen, selv efter at udskrivningen er afsluttet. Det er nødvendigt at træffe særlige foranstaltninger for at "skubbe" dem ud derfra.

Sikkerhedsetiketter

Etiketter er givet for emner (grad af troværdighed) og objekter (grad af informationsfortrolighed). Sikkerhedsetiketter indeholder data om sikkerhedsniveauet og den kategori, som dataene tilhører. Ifølge Orange Book består sikkerhedsetiketter af to dele – et sikkerhedsniveau og en liste over kategorier. De sikkerhedsniveauer, der understøttes af systemet, danner et ordnet sæt, som kan se sådan ud, for eksempel:

top hemmeligt;
hemmelighed;
fortroligt;
ikke hemmeligt.

For forskellige systemer kan sættet af sikkerhedsniveauer variere. Kategorierne udgør et uordnet sæt. Deres formål er at beskrive det emneområde, som dataene tilhører. I et militært miljø kan hver kategori fx svare til en bestemt type våben. Kategoriemekanismen giver dig mulighed for at opdele information i rum, hvilket bidrager til bedre sikkerhed. Emnet kan ikke få adgang til "fremmede" kategorier, selvom deres sikkerhedsniveau er "tophemmeligt". En tankspecialist vil ikke genkende de taktiske og tekniske data for fly.

Hovedproblemet, der skal løses i forbindelse med etiketter, er at sikre deres integritet. For det første må der ikke være umærkede emner og objekter, ellers vil der være let udnyttelige huller i mærket sikkerhed. For det andet, for enhver operation med dataene, skal etiketterne forblive korrekte. Det gælder især eksport og import af data. For eksempel skal et udskrevet dokument åbne med en overskrift, der indeholder en tekstlig og/eller grafisk repræsentation af sikkerhedsetiketten. På samme måde, når en fil overføres over en kommunikationskanal, skal den etiket, der er knyttet til den, også transmitteres, og på en sådan måde, at fjernsystemet kan parse den, på trods af mulige forskelle i hemmeligholdelsesniveauer og et sæt kategorier.

Et af midlerne til at sikre integriteten af sikkerhedsetiketter er opdelingen af enheder i multi-level og single-level enheder. Enheder på flere niveauer kan gemme information på forskellige niveauer af hemmeligholdelse (mere præcist, liggende i et bestemt niveau af niveauer). En enkelt-niveau enhed kan betragtes som et degenereret tilfælde af en multi-level enhed, når det tilladte område består af et enkelt niveau. Ved at kende enhedens niveau kan systemet beslutte, om det er tilladt at skrive information til den med en bestemt etiket. For eksempel vil et forsøg på at udskrive tophemmelige oplysninger på en offentlig printer med et "ikke-hemmeligt" niveau mislykkes.

Tvungen adgangskontrol

Tvungen adgangskontrol er baseret på matchning af emne- og objektsikkerhedsetiketter. Et emne kan læse information fra et objekt, hvis emnets sikkerhedsniveau er mindst lige så højt som objektets, og alle kategorier, der er angivet i objektets sikkerhedsmærkat, er til stede i emnets etiket. I et sådant tilfælde siges emnets etiket at dominere objektets etiket. Et emne kan skrive information til et objekt, hvis objektets sikkerhedsmærke dominerer emnets sikkerhedsmærke. Især kan et "fortroligt" emne skrive til hemmelige filer, men ikke til ikke-hemmelige (selvfølgelig skal begrænsninger på kategorisættet også være opfyldt). Ved første øjekast kan denne begrænsning virke underlig, men den er ganske rimelig. Under ingen operation bør niveauet af informationshemmelighed sænkes, selvom den omvendte proces er meget mulig.

Den beskrevne metode til adgangskontrol kaldes tvungen, da den ikke afhænger af forsøgspersonernes vilje, i hvis sted selv systemadministratorer kan være. Efter at sikkerhedsetiketterne for emner og objekter er rettet, er adgangsrettighederne også fastsat. Med hensyn til tvangskontrol er det umuligt at udtrykke sætningen "Tillad adgang til objekt X også for bruger Y". Selvfølgelig kan du ændre sikkerhedsetiketten for bruger Y, men så vil han højst sandsynligt få adgang til mange ekstra objekter, og ikke kun X.

Tvungen adgangskontrol er implementeret i mange varianter af operativsystemer og DBMS, som er kendetegnet ved forbedrede sikkerhedsforanstaltninger. Især findes sådanne muligheder for SunOS og Ingres DBMS. Uanset praktisk anvendelse er principperne for tvungen kontrol et praktisk metodisk grundlag for den indledende klassificering af oplysninger og fordeling af adgangsrettigheder. Det er mere bekvemt at tænke i sikkerhedsniveauer og kategorier end at udfylde en ustruktureret adgangsmatrix. Men i det virkelige liv kombineres frivillig og tvungen adgangskontrol inden for det samme system, hvilket giver dig mulighed for at bruge styrkerne ved begge tilgange.

Sektioner og klasser

Kriterierne er opdelt i 4 sektioner: D, C, B og A, hvoraf sektion A er den sikreste. Hver deling repræsenterer en væsentlig forskel i tillid for individuelle brugere eller organisationer. Afsnit C, B og A er hierarkisk organiseret i en række underafsnit kaldet klasser: C1, C2, B1, B2, B3 og A1. Hver sektion og klasse udvider eller supplerer kravene specificeret i det foregående afsnit eller klasse.

D - Minimum beskyttelse

Systemer, for hvilke sikkerheden er blevet vurderet, men fundet ikke at opfylde kravene i højere sektioner.

C - Skønsmæssig beskyttelse

C1 - Skønsmæssig sikkerhed.
- Adskillelse af brugere og data
- Skønsmæssig adgangskontrol , som tillader håndhævelse af adgangsbegrænsninger på individuel basis.
C2 - Adgangskontrol
- Mere klart defineret diskretionær adgangskontrol.
- Individuelle konti, hvorunder adgangen er mulig gennem godkendelsesproceduren.
- Systemadgangskontrollog.
- Ressource isolation.

B - Obligatorisk beskyttelse

B1 - Meta-sikkerhedsbeskyttelse
- Obligatorisk adgangskontrol til udvalgte emner og objekter.
- Alle identificerede mangler skal fjernes eller fjernes på anden måde.
- Datamærkning
B2 - Struktureret forsvar
- En veldefineret og dokumenteret model af sikkerhedsregler.
- Anvendelse af avanceret skønsmæssig og obligatorisk adgangskontrol til alle objekter og emner.
- Skjulte lagringskanaler.
B3 - Sikkerhedsdomæner
- Overholdelse af sagsovervågning .
- Strukturering for at udelukke kode, der ikke opfylder kravene i en obligatorisk sikkerhedspolitik.
- Sikkerhedsadministrator support.
- Et eksempel på et sådant system er XTS-300 , forgængeren til XTS-400 .

A - bevist forsvar

A1 - Gennemprøvet design.
- Funktionelt identisk med B3.
- Formaliseret design og gennemprøvede teknikker, herunder specifikationer på højt niveau.
- Formaliserede ledelses- og distributionsprocedurer.
- Et eksempel på et sådant system er SCOMP , forgængeren til XTS-400.
Over A1
- En systemarkitektur, der viser, at kravene til selvbeskyttelse og anvendelighed for referencemonitorer er blevet opfyldt i overensstemmelse med "Secure Computing Base" (en samling af software og hardware, der kræves til en obligatorisk sikkerhedspolitik i sikkerhedsorienterede operativsystemer).

Sikkerhedsklasser

Kriterierne introducerede for første gang fire niveauer af tillid - D, C, B og A, som er opdelt i klasser. Der er kun seks sikkerhedsklasser - C1, C2, B1, B2, B3, A1 (angivet i rækkefølge efter skærpede krav).

Niveau D

Dette niveau er beregnet til systemer, der anses for utilfredsstillende.

Niveau C

Ellers vilkårlig adgangskontrol.

Klasse C1

Sikkerhedspolitikken og sikkerhedsniveauet for en given klasse skal opfylde følgende kritiske krav:

den betroede computerbase skal administrere navngivne brugeres adgang til navngivne objekter;
brugere skal identificere sig selv, og autentificeringsoplysningerne skal beskyttes mod uautoriseret adgang;
en pålidelig computerbase skal opretholde et område til sin egen udførelse, beskyttet mod ydre påvirkninger;
hardware eller software skal være tilgængelig for periodisk at kontrollere den korrekte funktion af hardware- og firmwarekomponenterne i den betroede computerbase;
beskyttelsesmekanismer skal testes (der er ingen måder at omgå eller ødelægge beskyttelsen af den betroede computerbase);
tilgangen til sikkerhed og dens anvendelse i implementeringen af en pålidelig computerbase bør beskrives.

Klasse C2

Ud over C1:

adgangsrettigheder skal være detaljerede for brugeren. Alle objekter skal være underlagt adgangskontrol.
Når et lagret objekt allokeres fra ressourcepuljen i den betroede computerbase, skal alle spor efter dets brug elimineres.
hver bruger af systemet skal være unikt identificeret. Hver logget handling skal være knyttet til en bestemt bruger.
den betroede computerbase skal oprette, vedligeholde og beskytte en log med logoplysninger vedrørende adgang til objekter, der kontrolleres af basen.
test bør bekræfte fraværet af åbenlyse svagheder i mekanismerne til isolering af ressourcer og beskyttelse af registreringsoplysninger.

Niveau B

Også omtalt som tvungen adgangskontrol.

Klasse B1

Ud over C2:

den betroede computerbase skal administrere sikkerhedsetiketterne knyttet til hvert emne og lagret objekt.
den betroede computerbase skal sikre implementeringen af tvungen adgangskontrol af alle emner til alle lagrede objekter.
den betroede computerbase skal give gensidig isolation af processer ved at adskille deres adresserum.
en gruppe specialister, der fuldt ud forstår implementeringen af en pålidelig computerbase, skal underkaste arkitekturbeskrivelsen, kilde- og objektkoderne grundig analyse og test.
der skal være en uformel eller formel model af sikkerhedspolitikken understøttet af den betroede computerbase.

Klasse B2

Ud over B1:

alle systemressourcer (f.eks. ROM), der er direkte eller indirekte tilgængelige for forsøgspersoner, skal mærkes.
til den betroede computerbase skal der opretholdes en betroet kommunikationssti for brugeren, der udfører de indledende identifikations- og autentificeringsoperationer.
det bør være muligt at registrere begivenheder relateret til organiseringen af hemmelige udvekslingskanaler med hukommelse.
den betroede computerbase skal struktureres internt i veldefinerede, relativt uafhængige moduler.
systemarkitekten skal omhyggeligt analysere mulighederne for at organisere hemmelige hukommelsesudvekslingskanaler og evaluere den maksimale gennemstrømning af hver identificeret kanal.
den relative modstand af den betroede computerbase over for gennemtrængningsforsøg skal påvises.
den sikkerhedspolitiske model bør være formel. En pålidelig computerbase skal have beskrivende specifikationer på øverste niveau, der præcist og fuldstændigt definerer dens grænseflade.
i processen med at udvikle og vedligeholde en pålidelig computerbase, bør et konfigurationsstyringssystem bruges til at kontrollere ændringer i deskriptive specifikationer på øverste niveau, andre arkitektoniske data, implementeringsdokumentation, kildekode, en fungerende version af objektkoden, testdata og dokumentation.
test bør bekræfte effektiviteten af foranstaltninger til at reducere gennemstrømningen af hemmelige informationstransmissionskanaler.

Klasse B3

Ud over B2:

til vilkårlig adgangskontrol skal der bruges adgangskontrollister, der angiver de tilladte tilstande.
det bør være muligt at registrere forekomst eller akkumulering af hændelser, der truer systemets sikkerhedspolitik. Sikkerhedsadministratoren bør straks underrettes om forsøg på at overtræde sikkerhedspolitikken, og systemet, hvis forsøgene fortsætter, bør stoppe dem på den mindst smertefulde måde.
den betroede computerbase skal være designet og struktureret til at bruge en komplet og konceptuelt simpel forsvarsmekanisme med veldefineret semantik.
analyseproceduren skal udføres for midlertidige skjulte kanaler.
sikkerhedsadministratorrollen skal angives. Du kan kun opnå sikkerhedsadministratorrettigheder efter at have udført eksplicitte, loggede handlinger.
procedurer og/eller mekanismer bør være på plads for at tillade genopretning efter en fejl eller anden afbrydelse uden at kompromittere sikkerheden.
modstandsdygtigheden af den betroede computerbase over for gennemtrængningsforsøg skal demonstreres.

Tier A

Det kaldes verificerbar sikkerhed.

Klasse A1

Ud over B3:

test skal demonstrere, at implementeringen af den betroede computerbase overholder de formelle topniveauspecifikationer.
ud over beskrivende bør formelle specifikationer på topniveau præsenteres. Det er nødvendigt at bruge moderne metoder til formel specifikation og verifikation af systemer.
Konfigurationsstyringsmekanismen bør dække hele livscyklussen og alle sikkerhedsrelaterede komponenter i systemet.
korrespondancen mellem formelle topniveauspecifikationer og kildekode skal beskrives.

Kort klassifikation

Dette er klassifikationen introduceret i Orange Book. Kort fortalt kan det formuleres som følger:

niveau C - vilkårlig adgangskontrol;
niveau B - tvungen adgangskontrol;
niveau A - verificerbar sikkerhed.

Der kan naturligvis komme en række alvorlige bemærkninger til "Kriterier ..." (såsom f.eks. fuldstændig tilsidesættelse af problemer, der opstår i distribuerede systemer). Ikke desto mindre skal det understreges, at udgivelsen af Orange Bog uden nogen overdrivelse var en skelsættende begivenhed inden for informationssikkerhed. Der er opstået et generelt anerkendt begrebsgrundlag, uden hvilket selv diskussion af problemerne med informationssikkerhed ville være vanskelig.

Det skal bemærkes, at det enorme ideologiske potentiale i Orange Book stadig stort set ikke er gjort krav på. Først og fremmest drejer det sig om konceptet teknologisk sikring, der dækker hele systemets livscyklus - fra udvikling af specifikationer til driftsfasen. Med moderne programmeringsteknologi indeholder det resulterende system ikke de oplysninger, der er til stede i de originale specifikationer, information om programmernes semantik går tabt.

Se også

fælles kriterier