КРИТЕРИИ ОЦЕНКИ НАДЕЖНЫХ КОМПЬЮТЕРНЫХ СИСТЕМ («ОРАНЖЕВАЯ
КНИГА» МИНИСТЕРСТВА ОБОРОНЫ США)
Данный труд, называемый чаще всего по цвету обложки «Оранжевой
книгой», был
впервые опубликован в августе 1983 г. Уже его название заслуживает
комментария. Речь
идет не о безопасных, а о надежных системах, причем слово
«надежный» трактуется так
же, как в сочетании «надежный человек» – человек,
которому можно доверять.
«Оранжевая книга» поясняет понятие безопасной системы,
которая «управляет, по-
средством соответствующих средств, доступом к информации, так что
только должным
образом авторизованные лица или процессы, действующие от их имени,
получают право
читать, писать, создавать и удалять информацию». Очевидно, что
абсолютно безопасных
систем не существует, это абстракция. Любую систему можно
«взломать», если распола-
гать достаточно большими материальными и временными ресурсами. Есть
смысл оцени-
вать степень доверия, которое разумно оказать той или иной системе.
В «Оранжевой книге» надежная система определяется как
«система, использующая
достаточные аппаратные и программные средства, чтобы обеспечить
одновременную
обработку информации разной степени секретности группой пользователей
без наруше-
ния прав доступа».
Степень доверия (надежность систем) оценивается по двум основным
критериям:
Политика безопасности – набор законов, правил и норм поведения,
определяющих,
как организация обрабатывает, защищает и распространяет информацию.
Например, пра-
вила определяют, в каких случаях пользователь имеет право оперировать с
определен-
ными наборами данных и чем надежнее система, тем строже и многообразнее
должна
быть политика безопасности. В зависимости от сформулированной политики
можно вы-
бирать конкретные механизмы, обеспечивающие безопасность системы.
Политика безо-
пасности – это активный компонент защиты, включающий в себя
анализ возможных уг-
роз и выбор мер противодействия.
Гарантированность – это мера доверия, которая может быть оказана
архитектуре и
реализации системы. Гарантированность может проистекать как из
тестирования, так и
из проверки общего замысла и исполнения системы в целом и ее
компонентов.
Надежная вычислительная база – это совокупность защитных
механизмов компью-
терной системы (включая аппаратное и программное обеспечение),
отвечающих за прове-
дение в жизнь политики безопасности.
Основные элементы политики безопасности:
− произвольное управление доступом;
− безопасность повторного использования объектов;
− метки безопасности;
− принудительное управление доступом.
Произвольное управление доступом – это метод ограничения доступа
к объектам,
основанный на учете личности субъекта или группы, в которую субъект
входит. Произ-
вольность управления состоит в том, что некоторое лицо может по своему
усмотрению
давать другим субъектам или отбирать у них права доступа к объекту.
С концептуальной точки зрения текущее состояние прав доступа при
произвольном
управлении описывается матрицей, в строках которой перечислены
субъекты, а в столб-
цах – объекты. В клетках, расположенных на пересечении строк и
столбцов, записывают-
ся способы доступа, допустимые для субъекта по отношению к объекту
– например, чте-
ние, запись, выполнение, возможность передачи прав другим субъектам и
т.п.
В операционных системах компактное представление матрицы доступа
основывает-
ся или на структурировании совокупности субъектов
(владелец/группа/прочие в ОС
UNIX), или на механизме списков управления доступом, то есть на
представлении мат-
рицы по столбцам, когда для каждого объекта перечисляются субъекты
вместе с их пра-
вами доступа. За счет использования метасимволов можно компактно
описывать группы
субъектов, удерживая тем самым размеры списков управления доступом в
разумных
рамках.
Большинство операционных систем и систем управления базами данных
реализуют
именно произвольное управление доступом. Главное его достоинство
– гибкость; глав-
ные недостатки – рассредоточенность управления и сложность
централизованного кон-
троля, а также оторванность прав доступа от данных, что позволяет
копировать секрет-
ную информацию в общедоступные файлы.
Безопасность повторного использования объектов – важное на
практике дополне-
ние средств управления доступом, предохраняющее от случайного или
преднамеренного
извлечения секретной информации из «мусора». Безопасность
повторного использования
должна гарантироваться для областей оперативной памяти, для магнитных и
других но-
сителей.
Поскольку информация о субъектах также представляет собой объект,
необходимо
позаботиться о безопасности «повторного использования
субъектов». Когда пользователь
покидает организацию, следует не только лишить его возможности входа в
систему, но и
запретить доступ ко всем объектам. В противном случае, новый сотрудник
может полу-
чить ранее использовавшийся идентификатор, а с ним и все права своего
предшественни-
ка.
Современные интеллектуальные периферийные устройства усложняют
обеспечение
безопасности повторного использования объектов. Действительно, принтер
может буфе-
ризовать несколько страниц документа, которые останутся в памяти даже
после оконча-
ния печати.
Для реализации принудительного управления доступом с субъектами и
объектами
ассоциируются метки безопасности. Метка субъекта описывает его
благонадежность,
метка объекта – степень закрытости содержащейся в нем информации.
Согласно «Оранжевой книге», метки безопасности состоят из
двух частей – уровня
секретности и списка категорий. Уровни секретности, поддерживаемые
системой, обра-
зуют упорядоченное множество, которое может выглядеть, например, так:
совершенно
секретно; секретно; конфиденциально; несекретно.
Главная проблема, которую необходимо решать в связи с метками, это
обеспечение
их целостности:
− не должно быть непомеченных субъектов и объектов;
− при любых операциях с данными метки должны оставаться
правильными.
В особенности это относится к экспорту и импорту данных. Например,
печатный
документ должен открываться заголовком, содержащим текстовое и/или
графическое
представление метки безопасности. Аналогично, при передаче файла по
каналу связи
должна передаваться и ассоциированная с ним метка, причем в таком виде,
чтобы уда-
ленная система могла ее протрактовать, несмотря на возможные различия в
уровнях сек-
ретности и наборе категорий.
Одним из средств обеспечения целостности меток безопасности является
разделение
устройств на многоуровневые и одноуровневые. На многоуровневых
устройствах может
храниться информация разного уровня секретности. Одноуровневое
устройство можно
рассматривать как вырожденный случай многоуровневого, когда допустимый
диапазон
состоит из одного уровня. Зная уровень устройства, система может
решить, допустимо ли
записывать на него информацию с определенной меткой. Например, попытка
напечатать
совершенно секретную информацию на принтере общего пользования с
уровнем «несек-
ретно» потерпит неудачу.
Метки безопасности, ассоциируемые с субъектами, более подвижны, чем
метки
объектов. Субъект может в течение сеанса работы с си-стемой изменять
свою метку, ес-
тественно, не выходя за предопределенные для него рамки. Иными словами,
он может
сознательно занижать свой уровень благонадежности, чтобы уменьшить
вероятность не-
преднамеренной ошибки. Принцип минимизации привилегий – весьма
разумное средство
защиты.
Принудительное управление доступом основано на сопоставлении меток
безопасно-
сти субъекта и объекта.
Субъект может читать информацию из объекта, если уровень секретности
субъекта
не ниже, чем у объекта, а все категории, перечисленные в метке
безопасности объекта,
присутствуют в метке субъекта. В таком случае говорят, что метка
субъекта доминирует
над меткой объекта. Смысл сформулированного правила понятен –
читать можно только
то, что положено.
Субъект может записывать информацию в объект, если метка безопасности
объекта
доминирует над меткой субъекта.
Описанный способ управления доступом называется принудительным,
поскольку он
не зависит от воли субъектов (даже системных администраторов). После
того, как зафик-
сированы метки безопасности субъектов и объектов, оказываются
зафиксированными и
права доступа. В терминах принудительного управления нельзя выразить
предложение
«разрешить доступ к объекту X еще и для пользователя Y».
Конечно, можно изменить
метку безопасности пользователя Y, но тогда он скорее всего, получит
доступ ко многим
дополнительным объектам, а не только к X.
Если понимать политику безопасности узко, то есть как правила
разграничения дос-
тупа, то механизм подотчетности является дополнением подобной политики.
Цель под-
отчетности – в каждый момент времени знать, кто работает в
системе и что он делает.
Средства подотчетности делятся на три категории:
1) идентификация и аутентификация;
2) предоставление надежного пути;
3) анализ регистрационной информации.
Рассмотрим эти категории подробнее.
Идентификация и аутентификация. Каждый пользователь, прежде чем получить
право совершать какие-либо действия в системе, должен идентифицировать
себя. Обыч-
ный способ идентификации – ввод имени пользователя при входе в
систему. В свою оче-
редь, система должна проверить подлинность личности пользователя, то
есть что он яв-
ляется именно тем, за кого себя выдает. Стандартное средство проверки
подлинности
(аутентификации) – пароль, хотя в принципе могут использоваться
также разного рода
личные карточки, биометрические устройства (сканирование роговицы или
отпечатков
пальцев) или их комбинация.
Идентификация и аутентификация – первый и важнейший
программно-технический
рубеж информационной безопасности. Если не составляет проблемы получить
доступ к
системе под любым именем, то другие механизмы безопасности, теряют
смысл. Очевид-
но и то, что без идентификации пользователей невозможно
протоколирование их дейст-
вий.
Надежный путь связывает пользователя непосредственно с надежной вычисли-
тельной базой, минуя другие, потенциально опасные компоненты системы.
Цель предос-
тавления надежного пути – дать пользователю возможность убедиться
в подлинности
обслуживающей его системы.
Относительно несложно реализовать надежный путь, если используется
неинтел-
лектуальный терминал – достаточно иметь зарезервированную
управляющую последова-
тельность (при условии защищенности линии связи между терминалом и
системой). Если
же пользователь общается с интеллектуальным терминалом, персональным
компьютером
или рабочей станцией, задача обеспечения надежного пути становится
чрезвычайно
сложной, если вообще разрешимой.
Анализ регистрационной информации. Аудит имеет дело с действиями
(событиями),
затрагивающими безопасность системы. К их числу относятся:
− вход в систему и выход из нее;
− обращение к удаленной системе;
− операции с файлами (открыть, закрыть, переименовать, удалить);
− смена привилегий или иных атрибутов безопасности (режима
доступа, уровня
благонадежности пользователя и т.п.).
Протоколирование помогает следить за пользователями и реконструировать
про-
шедшие события. Слежка важна, в первую очередь, как профилактическое
средство. Ре-
конструкция событий позволяет проанализировать случаи нарушений, понять
причину,
оценить размеры ущерба и принять меры по недопущению подобных нарушений.
При протоколировании события записывается следующая информация: дата и
время
события; уникальный идентификатор пользователя – инициатора
действия; тип события;
результат действия (успех или неудача); источник запроса (например, имя
терминала);
имена затронутых объектов (например, открываемых или удаляемых файлов);
описание
изменений, внесенных в базы данных защиты (например, новая метка
безопасности объ-
екта); метки безопасности субъектов и объектов события.
Гарантированность – это мера уверенности, с которой можно
утверждать, что для
проведения в жизнь сформулированной политики безопасности выбран
подходящий на-
бор средств, и что каждое из этих средств правильно исполняет
отведенную ему роль.
В «Оранжевой книге» рассматривается два вида
гарантированности – операционная
и технологическая. Операционная гарантированность относится к
архитектурным и реа-
лизационным аспектам системы, в то время как технологическая – к
методам построения
и сопровождения.
Операционная гарантированность включает в себя проверку следующих
элементов:
архитектура системы; целостность системы; анализ тайных каналов
передачи информа-
ции; надежное администрирование; надежное восстановление после сбоев.
Операцион-
ная гарантированность – это способ убедиться в том, что
архитектура системы и ее реа-
лизация действительно проводят в жизнь избранную политику безопасности.
Технологическая гарантированность охватывает весь жизненный цикл
системы, т.е.
периоды проектирования, реализации, тестирования, продажи и
сопровождения. Все пе-
речисленные действия должны выполняться в соответствии с жесткими
стандартами,
чтобы обезопаситься от утечки информации и нелегальных
«закладок».
Документация – необходимое условие гарантированной надежности
системы и, од-
новременно, – инструмент проведения политики безопасности. Без
документации люди
не будут знать, какой политике следовать и что для этого нужно делать.
Согласно «Оранжевой книге», в комплект документации
надежной системы должны
входить следующие тома: руководство пользователя по средствам
безопасности; руково-
дство администратора по средствам безопасности; тестовая документация;
описание ар-
хитектуры; описание политики безопасности данной организации.
Классы безопасности. «Критерии…» Министерства
обороны США открыли путь к
ранжированию информационных систем по степени надежности. В
«Оранжевой книге»
определяется четыре уровня безопасности (надежности) – D, C, B и
A. Уровень D предна-
значен для систем, признанных неудовлетворительными. В настоящее время
он содержит
две подсистемы управления доступом для ПК. По мере перехода от уровня C
к A к на-
дежности систем предъявляются все более жесткие требования. Уровни C и
B подразде-
ляются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием
надежности. Таким
образом, всего имеется шесть классов безопасности – C1, C2, B1,
B2, B3, A1. Чтобы сис-
тема в результате процедуры сертификации могла быть отнесена к
некоторому классу, ее
политика безопасности и гарантированность должны удовлетворять
приводимым к дан-
ному классу требованиям. Требования к классам безопасности приведены в
[23].
Требования к политике безопасности и к гарантированности распределены
по клас-
сам безопасности. В «младших» классах политика довольно
быстро ужесточается, по
существу достигая пика к классу B1. Напротив, меры гарантированности
отнесены в ос-
новном в «старшие» классы, начиная с B2. Это подтверждает
независимость двух основ-
ных групп критериев надежности и методологическую целесообразность их
разделения
по европейскому образцу.
Распределение требований по классам вызывает ряд конкретных возражений.
Неоп-
равданно далеко отодвинуты такие очевидные требования, как извещение о
нарушении
защиты, конфигурационное управление, безопасный запуск и восстановление
после сбо-
ев. Возможно, это оправдано в физически защищенной военной среде, но
никак не в
коммерческой, когда постоянное слежение за перемещениями сотрудников
может быть
очень дорогим удовольствием.