The Orange Book
Критерии оценки надежной компьютерной системы (TCSEC ) стандарт США правительства Министерства обороны (DoD), который устанавливает основные требования для оценки эффективности средств контроля компьютерной безопасности, встроенных в компьютерная система. TCSEC использовался для оценки, классификации и выбора компьютерных систем, рассматриваемых для обработки, хранения и поиска конфиденциальной или секретной информации.
TCSEC, часто называемой Orange Book, является центральным элементом публикаций DoD Rainbow Series. Первоначально выпущенный в 1983 г. Национальным центром компьютерной безопасности (NCSC), подразделением Агентства национальной безопасности, а затем обновленный в 1985 г., TCSEC в конечном итоге был заменен на Common Критерии международный стандарт, первоначально опубликованный в 2005 году.
Содержание
- 1 Основные цели и требования
- 1.1 Политика
- 1.2 Подотчетность
- 1.3 Гарантия
- 1.4 Документация
- 2 Подразделения и классы
- 2.1 D - Минимальная защита
- 2.2 C - Дискреционная защита
- 2.3 B - Обязательная защита
- 2.4 A - Проверенная защита
- 3 Соответствие классов требованиям окружающей среды
- 4 См. также
- 5 Ссылки
- 6 Внешние ссылки
Основные цели и требования
24 октября 2002 г. Оранжевая книга (также известная как DoDD 5200.28-STD) была отменена DoDD 8500.1, которая был позже переиздан как DoDI 8500.02, 14 марта 2014 года.
Политика
Политика безопасности должна быть явной, четко определенной и применяться компьютерной системой. Определены три основные политики безопасности:
- Обязательная политика безопасности - обеспечивает соблюдение правил контроля доступа, основанных непосредственно на уровне допуска, авторизации для информации и уровне конфиденциальности запрашиваемой информации. Другими косвенными факторами являются физические и экологические. Эта политика также должна точно отражать законы, общие политики и другие соответствующие руководства, на основании которых правила.
- Маркировка - Системы, разработанные для обеспечения обязательной политики безопасности, должны хранить и сохранять целостность меток контроля доступа и сохранять метки, если объект экспортируется.
- Дискреционная политика безопасности - Обеспечивает согласованный набор правил для контроля и ограничения доступа на основе идентифицированных лиц, которые, как было установлено, нуждаются в информации.
Подотчетность
Необходимо обеспечить индивидуальную подотчетность независимо от политики. Должны существовать безопасные средства для обеспечения доступа уполномоченного и компетентного агента, который затем может оценить информацию о подотчетности в разумные сроки и без излишних трудностей. Задача подотчетности включает три требования:
- Идентификация - процесс, используемый для распознавания отдельного пользователя.
- Аутентификация - Проверка авторизации отдельного пользователя для определенных категорий информации.
- Аудит - Информация аудита должна храниться и защищаться выборочно, чтобы действия, влияющие на безопасность, можно было отследить до аутентифицированного лица.
Гарантия
Компьютерная система должна содержать аппаратные / программные механизмы, которые могут быть оценены независимо, чтобы обеспечить достаточную уверенность в том, что система обеспечивает соблюдение вышеуказанных требований. В более широком смысле, гарантия должна включать гарантию того, что доверенная часть системы работает только по назначению. Для достижения этих целей необходимы два типа гарантии с соответствующими элементами:
- Механизмы гарантии
- Оперативное обеспечение: Архитектура системы, целостность системы, анализ скрытых каналов, управление надежными средствами и надежное восстановление
- Обеспечение жизненного цикла: Тестирование безопасности, Спецификация и проверка проекта, Управление конфигурацией и распространение доверенных систем
- Обеспечение непрерывной защиты - доверенные механизмы, обеспечивающие соблюдение этих основных требований, должны быть постоянно защищены от взлома или несанкционированных изменений.
Документация
В рамках каждого класса дополнительный набор документации касается разработки, развертывания и управления системой, а не ее возможностей. В эту документацию входят:
- Руководство пользователя функций безопасности, Руководство по Trusted Facility, Тестовая документация и Проектная документация
Разделы и классы
TCSEC определяет четыре подразделения: D, C, B и A, где Дивизион А имеет высшую степень защиты. Каждое подразделение представляет собой значительную разницу в доверии человека или организации к оцениваемой системе. Кроме того, подразделения C, B и A разбиты на серию иерархических подразделений, называемых классами: C1, C2, B1, B2, B3 и A1.
Каждый раздел и класс расширяется или модифицируется в соответствии с требованиями непосредственно предшествующий разделу или классу.
D - Минимальная защита
- Зарезервировано для тех систем, которые были оценены, но не соответствуют требованиям для более высокого уровня.
C - Дискреционная защита
- C1 - Дискреционная защита безопасности
- Идентификация и аутентификация
- Разделение пользователей и данных
- Дискреционный контроль доступа (DAC), способный применять ограничения доступа на индивидуальной основе
- Необходимая системная документация и руководства пользователя
- C2 - Controlled Access Protection
- Более детализированный DAC
- Индивидуальная подотчетность посредством процедур входа в систему
- Контрольные журналы
- Повторное использование объекта
- Изоляция ресурсов
- Примером такой системы является HP-UX
B - Обязательная защита
- B1 - Маркированная защита безопасности
- Неформальное изложение модели политики безопасности
- Метки конфиденциальности данных
- Обязательный контроль доступа (MAC) для выбранных субъектов и объектов
- Экспорт меток возможности
- Некоторые обнаруженные недостатки должны быть устранены или устранены иным образом
- Проектные спецификации и проверка
- B2 - Структурированная защита
- Модель политики безопасности четко определена и официально задокументирована
- Обеспечение DAC и MAC распространено на все субъекты и объекты
- Скрытые каналы хранения анализируются на наличие и пропускную способность
- Тщательно структурированы на критически важные для защиты и не критичные для защиты элементы
- Дизайн и реализация позволяют проводить более всестороннее тестирование и анализ
- Усилены механизмы аутентификации
- Обеспечивается надежное управление объектами с разделением на администраторов и операторов
- Вводятся строгие меры управления конфигурацией
- Роли оператора и администратора различны
- Примером такой системы была Multics
- B3 - Security Domains
- Удовлетворяет эталонному монитору требованиям
- Структурирована для исключить код, который не важен для применения политики безопасности
- Существенное проектирование системы, направленное на минимизацию сложности
- Определена роль администратора безопасности
- Аудит событий, связанных с безопасностью
- Автоматически неизбежно обнаружение вторжения, уведомление и ответ
- Доверенный путь к TCB для функции аутентификации пользователя
- Анализируются процедуры восстановления доверенной системы
- скрытые временные каналы по возникновению и полосе пропускания
- Примером такой системы является XTS-300, предшественник XTS-400
A - Проверенная защита
- A1 - Проверенная конструкция
- Функционально идентична B3
- Методы формального проектирования и проверки, включая формальную спецификацию верхнего уровня
- Формальные процедуры управления и распределения
- Примеры систем класса A1 являются Hone SCOMP от ywell, GEMSOS от Aesec и сервер SNS от Boeing. Два, которые не были оценены, - это производственная платформа LOCK и отмененное ядро безопасности DEC VAX.
- Beyond A1
- Архитектура системы демонстрирует, что требования самозащиты и полноты для эталонных мониторов были реализованы в Trusted Computing Base (TCB).
- Тестирование безопасности автоматически генерирует тестовый пример из формальной спецификации верхнего уровня или формальных спецификаций нижнего уровня.
- Формальная спецификация и проверка - это где TCB проверяется вплоть до уровня исходного кода с использованием формальных методов проверки, где это возможно.
- Доверенная среда проектирования - это среда, в которой TCB разрабатывается на доверенном объекте только с доверенным (аттестованным) персоналом.
Соответствующие классы к экологическим требованиям
Публикация, озаглавленная «Армейские правила 380-19», является примером руководства по определению того, какой класс системы следует использовать в данной ситуации.
См. также
Ссылки
Внешние ссылки