В соответствии с требованиями Оранжевой книги, безопасной считается такая система, которая "посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации".

Иерархия надежных систем, приведенная в Оранжевой Книге, помечает низший уровень безопасности как С, высший как А, промежуточный как B. В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов.

Основные свойствами, характерными для С-систем, являются: наличие подсистемы учета событий, связанных с безопасностью, избирательный контроль доступа. Избирательный контроль заключается в том, что каждый пользователь в отдельности наделяется или лишается привилегий доступа к ресурсам. Уровень С делится на 2 подуровня: С1 и С2. Уровень С2 предусматривает более строгую защиту, чем С1. В соответствии с этим уровнем требуется отслеживание событий, связанных с нарушениями защиты, детальное определение прав и видов доступа к данным, предотвращение случайной доступности данных (очистка освобожденной памяти). На уровне С2 должны присутствовать средства секретного входа, которые позволяют пользователям идентифицировать себя путем ввода уникального идентификатора (ID) входа и пароля перед тем, как им будет разрешен доступ к системе. Избирательный контроль доступа, требуемый на этом уровне, позволяет владельцу ресурса определить, кто имеет доступ к ресурсу и что он может с ним делать. Владелец делает это путем предоставляемых прав доступа пользователю или группе пользователей. Средства учета и наблюдения (auditing) - обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью, или любые попытки создать, получить доступ или удалить системные ресурсы. Эти средства используют идентификаторы, чтобы зафиксировать того пользователя, который выполняет эти действия. Защита памяти - предохраняет от чтения информации, записанной кем-нибудь в память, после того, как структуры данных будут возвращены ОС. Память инициализируется перед тем, как повторно используется.

Требования уровней В и А гораздо строже и редко предъявляются к массово используемым продуктам.

Различные коммерческие структуры (например, банки) особо выделяют необходимость аудита, службы, соответствующей рекомендации С2. Любая деятельность, связанная с безопасностью, может быть отслежена и тем самым учтена. Это как раз то, что требует С2, и то, что обычно нужно банкам. Однако, коммерческие пользователи, как правило, не хотят расплачиваться производительностью за повышенный уровень безопасности. Уровень безопасности А занимает своими управляющими механизмами до 90% времени компьютера. Более безопасные системы не только снижают эффективность, но и существенно ограничивают число доступных прикладных пакетов, которые соответствующим образом могут выполняться в подобной системе. Например, для ОС Solaris (версия UNIX) есть несколько тысяч приложений, а для его аналога В-уровня - только сотня.

Операционные системы, которые сертифицировались в соответствии с требованиями Оранжевой книги, тестировались как локальные операционные системы, с отключенными сетевыми функциями. Для сетевых ОС предусмотрена сертификация по так называемой Красной книге, в которой критерии С2 конкретизируются по отношению к системам, работающим в сети. Таким образом, нет никаких формальных гарантий, что ОС, сертифицированные по Оранжевой книге, надежно защищают информацию и при работе в сети. Однако это не означает, что такие ОС не могут быть использованы для построения безопасных сетей.

К настоящему времени WindowsNT 3.51 прошла сертификацию по уровню С2 Оранжевой книги. Тестирование выполнялось с отключенными сетевыми функциями. Серверная ОС NetWare прошла сертификацию с учетом требований Красной книги (понятно, что как автономная операционная система она в принципе не может функционировать).

Отдавая должное наличию сертификата у того или иного продукта, не стоит все же преувеличивать важность этого факта, особенно в области безопасности. Сертификация вовсе не означает, что данный продукт никогда не сможет быть взломан; она просто говорит о том, что при использовании продукта, сертифицированного авторитетной организацией, риск может быть значительно уменьшен.

Сертификация в области безопасности всегда связана с тестированием продукта для вполне определенного и наиболее часто встречающегося набора угроз и атак. А так как человечество постоянно изобретает все новые и новые способы взлома информационных систем, то даже те ограниченные гарантии, которые были даны системе в момент сертификации, постепенно теряют свое значение.

Кроме того, необходимо учитывать, что процедура сертификации продолжается примерно 2 года, и каждая новая версия должна заново проходить эту процедуру.

6.2.6. Способность работать в гетерогенной среде

Это свойство операционной системы, называемое иногда совместимостью, имеет много аспектов, и одним из них является способность операционной системы поддерживать разнообразные аппаратные платформы: серверы и суперсерверы на основе процессоров Intel, RISC-серверы, миникомпьютеры и мэйнфреймы. Многоплатформенность позволяет уменьшить гетерогенность сети за счет использования на компьютерах разного типа одной и той же ОС.

Другим аспектом совместимости является интеграция сервисов различных операционных систем в рамках одной ОС. В корпоративной сети разные клиенты привыкли пользоваться разными вариантами реализации файлового сервиса. Клиенты, работающие с серверами NetWare, пользуются файловым сервисом NCP, клиенты Unix работают с файловым сервисом NFS. С другой стороны, в корпоративной сети у клиентов может возникнуть необходимость обращения к "чужим" файлам, то есть файлам, хранящимся на сервере, который предоставляет недоступный для них файловый сервис. Например, когда клиент Unix хочет получить доступ к файлам NetWare, он не может этого сделать, так как у него нет в распоряжении клиентской части этого сервиса. Поэтому очень важно, чтобы ОС могла в разной форме предоставлять доступ к хранящимся в ней файлам - и в стиле Unix, и в стиле NetWare.

Гетерогенность сети выражается и в многообразии операционных систем конечных пользователей. Корпоративная ОС должна иметь набор сетевых клиентских оболочек для широкого перечня операционных систем, устанавливаемых на клиентские станции, среди которых, конечно должны быть DOS, Windows, Windows 95, UNIX, OS/2, Mac.

В состав операционной системы входят программные средства, используемые при решении задачи транспортировки сообщений. К таким средствам относятся драйверы сетевых адаптеров, реализующие протоколы канального уровня, и разнообразные транспортные протоколы. Современная корпоративная ОС должна поддерживать сетевое оборудование стандартов Ethernet, TokenRing, FDDI, FastEthernet, 100VG-AnyLAN, ATM. На более высоких уровнях должны поддерживаться протоколы стеков TCP/IP, IPX/SPX, NetBIOS, AppleTalk.