Требование 4. Регистрация и учет

Для определения степени ответственности пользователей за действия в системе, все происходящее в ней события. имеющие значение с точки зрения безопасности. должны отслеживаться и регистрироваться в защи­щенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из пего только те события, которые оказывают влия­ние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол со­бытий должен быть надежно защищен от несанкцио­нированного доступа, модификации и уничтожения.

2.5.2.3. Корректность

Требование 5. Контроль корректности функционирования средств зашиты

Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечи­вающие работоспособность функций защиты. Это оз­начает, что все средства зашиты, обеспечивающие по­литику безопасности, управление атрибутами и мет­ками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находится под контролем средств проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Требование 6. Непрерывность зашиты

Все средства защиты (в т.ч. и реализующие данное требование) должны быть защищены от несанкциони­рованного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютер­ной системы. Кроме него, его выполнение является од­ним из ключевых аспектов формального доказательства безопасности системы.

Рассматриваемые далее критерии безопасности ком­пьютерных систем представляют собой конкретизацию данных обобщенных требований.

2.5.2.4. Таксономия критериев безопасности

Приведенные выше базовые требования к безопасно­сти служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, оп­ределяющую семь классов безопасности.

Ввиду широкой доступности самой «Оранжевой кни­ги» и ее многочисленных обзоров и интерпретаций при­ведем только схему, отражающую таксономию предло­женных в ней функциональных требований безопасности (рис. 2.1).

2.5.3. Классы безопасности компьютерных систем

Поскольку «Оранжевая книга» достаточно подробно освещалась в отечественных исследованиях [б], ограни­чимся только кратким обзором классов безопасности.

«Оранжевая книга» предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формаль­но доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D1 и А1 соответственно), группа С — классы Cl, C2, а группа В — Bl, B2, ВЗ, характери­зующиеся различными наборами требований безопасно­сти. Уровень безопасности возрастает при движении от группы D к группе А, а внутри группы — с возрастанием номера класса.

Рис. 2.1 Таксономия требований «Оранжевой книги»

• Группа D. Минимальная защита

Класс D1. Минимальная защити. К этому классу относятся все системы, которые не удовлетворяют требо­ваниям других классов.

• Группа С. Дискреционная защита

Группа С характеризуется наличием произвольного управления доступом и регистрацией действий субъектов.

Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разде­ления пользователей и информации и включают средст­ва контроля и управления доступом, позволяющие зада­вать ограничения для индивидуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей. Класс С1 рассчи­тан на многопользовательские системы, в которых осу­ществляется совместная обработка данных одного уров­ня секретности.

Класс С1. Управление доступом. Системы этого клас­са осуществляют более избирательное управление досту­пом, чем системы класса С1, с помощью применения средств индивидуального контроля за действиями поль­зователей, регистрацией, учетом событий и выделением ресурсов.

• Группа В. Мандатная защита

Основные требования этой группы — нормативное управление доступом с использованием меток безопас­ности, поддержка модели и политики безопасности, а также наличие спецификаций на функции ТСВ. Для сис­тем этой группы монитор взаимодействий должен кон­тролировать все события в системе.

Класс В1. Защита с применением меток безопасности.

Системы класса BI должны соответствовать всем требо­ваниям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформально модель безопасности, маркировку данных и норматив­ное управление доступом. При экспорте из системы ин­формация должна подвергаться маркировке. Обнару­женные в процессе тестирования недостатки должны быть устранены.

Класс В2. Структурированная защита. Для соответст­вия классу В2 ТСВ системы должно поддерживать фор­мально определенную и четко документированную мо­дель безопасности, предусматривающую произвольное и нормативное управление доступом, которое распростра­няется по сравнению с системами класса В1 на все субъек­ты. Кроме того, должен осуществляться контроль скры­тых каналов утечки информации. В структуре ТСВ долж­ны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ТСВ должен быть четко опреде­лен, а его архитектура и реализация должны быть выпол­нены с учетом возможности проведения тестовых испыта­ний. По сравнению с классом В1 должны быть усилены средства аутентификации. Управление безопасностью осуществляется администраторами системы. Должны быть предусмотрены средства управления конфигурацией.

Класс ВЗ. Домены безопасности. Для соответствия этому классу ТСВ системы должно поддерживать мони­тор взаимодействий, который контролирует все типы доступа субъектов к объектам и который невозможно обойти. Кроме того, ТСВ должно быть структурировано с целью исключения из него подсистем, не отвечающих за реализацию функции защиты, и быть достаточно ком­пактно для эффективного тестирования и анализа. В ходе разработки и реализации ТСВ должны применяться мето­ды и средства, направленные на минимизацию его слож­ности. Средства аудита должны включать механизмы оповещения администратора при возникновении событий, имеющих значение для безопасности системы. Требуется наличие средств восстановления работоспособности системы.

• Группа А. Верифицированная защита

Данная группа характеризуется применением фор­мальных методов верификации корректное ги работы механизмов управления доступом (произвольного и нормативного). Требуется дополнительная документа­ция, демонстрирующая, что архитектура и реализация ТСВ отвечают требованиям безопасности.