Критерии оценки доверенной компьютерной системы

Критерии оценки надежной компьютерной системы (TCSEC ) стандарт США правительства Министерства обороны (DoD), который устанавливает основные требования для оценки эффективности средств контроля компьютерной безопасности, встроенных в компьютерная система. TCSEC использовался для оценки, классификации и выбора компьютерных систем, рассматриваемых для обработки, хранения и поиска конфиденциальной или секретной информации.

TCSEC, часто называемой Orange Book, является центральным элементом публикаций DoD Rainbow Series. Первоначально выпущенный в 1983 г. Национальным центром компьютерной безопасности (NCSC), подразделением Агентства национальной безопасности, а затем обновленный в 1985 г., TCSEC в конечном итоге был заменен на Common Критерии международный стандарт, первоначально опубликованный в 2005 году.

Содержание

• 1 Основные цели и требования
  • 1.1 Политика
  • 1.2 Подотчетность
  • 1.3 Гарантия
  • 1.4 Документация
• 2 Подразделения и классы
  • 2.1 D - Минимальная защита
  • 2.2 C - Дискреционная защита
  • 2.3 B - Обязательная защита
  • 2.4 A - Проверенная защита
• 3 Соответствие классов требованиям окружающей среды
• 4 См. также
• 5 Ссылки
• 6 Внешние ссылки

Основные цели и требования

24 октября 2002 г. Оранжевая книга (также известная как DoDD 5200.28-STD) была отменена DoDD 8500.1, которая был позже переиздан как DoDI 8500.02, 14 марта 2014 года.

Политика

Политика безопасности должна быть явной, четко определенной и применяться компьютерной системой. Определены три основные политики безопасности:

• Обязательная политика безопасности - обеспечивает соблюдение правил контроля доступа, основанных непосредственно на уровне допуска, авторизации для информации и уровне конфиденциальности запрашиваемой информации. Другими косвенными факторами являются физические и экологические. Эта политика также должна точно отражать законы, общие политики и другие соответствующие руководства, на основании которых правила.
• Маркировка - Системы, разработанные для обеспечения обязательной политики безопасности, должны хранить и сохранять целостность меток контроля доступа и сохранять метки, если объект экспортируется.
• Дискреционная политика безопасности - Обеспечивает согласованный набор правил для контроля и ограничения доступа на основе идентифицированных лиц, которые, как было установлено, нуждаются в информации.

Подотчетность

Необходимо обеспечить индивидуальную подотчетность независимо от политики. Должны существовать безопасные средства для обеспечения доступа уполномоченного и компетентного агента, который затем может оценить информацию о подотчетности в разумные сроки и без излишних трудностей. Задача подотчетности включает три требования:

• Идентификация - процесс, используемый для распознавания отдельного пользователя.
• Аутентификация - Проверка авторизации отдельного пользователя для определенных категорий информации.
• Аудит - Информация аудита должна храниться и защищаться выборочно, чтобы действия, влияющие на безопасность, можно было отследить до аутентифицированного лица.

Гарантия

Компьютерная система должна содержать аппаратные / программные механизмы, которые могут быть оценены независимо, чтобы обеспечить достаточную уверенность в том, что система обеспечивает соблюдение вышеуказанных требований. В более широком смысле, гарантия должна включать гарантию того, что доверенная часть системы работает только по назначению. Для достижения этих целей необходимы два типа гарантии с соответствующими элементами:

• Механизмы гарантии
• Оперативное обеспечение: Архитектура системы, целостность системы, анализ скрытых каналов, управление надежными средствами и надежное восстановление
• Обеспечение жизненного цикла: Тестирование безопасности, Спецификация и проверка проекта, Управление конфигурацией и распространение доверенных систем
• Обеспечение непрерывной защиты - доверенные механизмы, обеспечивающие соблюдение этих основных требований, должны быть постоянно защищены от взлома или несанкционированных изменений.

Документация

В рамках каждого класса дополнительный набор документации касается разработки, развертывания и управления системой, а не ее возможностей. В эту документацию входят:

• Руководство пользователя функций безопасности, Руководство по Trusted Facility, Тестовая документация и Проектная документация

Разделы и классы

TCSEC определяет четыре подразделения: D, C, B и A, где Дивизион А имеет высшую степень защиты. Каждое подразделение представляет собой значительную разницу в доверии человека или организации к оцениваемой системе. Кроме того, подразделения C, B и A разбиты на серию иерархических подразделений, называемых классами: C1, C2, B1, B2, B3 и A1.

Каждый раздел и класс расширяется или модифицируется в соответствии с требованиями непосредственно предшествующий разделу или классу.

D - Минимальная защита

• Зарезервировано для тех систем, которые были оценены, но не соответствуют требованиям для более высокого уровня.

C - Дискреционная защита

• C1 - Дискреционная защита безопасности
  • Идентификация и аутентификация
  • Разделение пользователей и данных
  • Дискреционный контроль доступа (DAC), способный применять ограничения доступа на индивидуальной основе
  • Необходимая системная документация и руководства пользователя
• C2 - Controlled Access Protection
  • Более детализированный DAC
  • Индивидуальная подотчетность посредством процедур входа в систему
  • Контрольные журналы
  • Повторное использование объекта
  • Изоляция ресурсов
  • Примером такой системы является HP-UX

B - Обязательная защита

• B1 - Маркированная защита безопасности
  • Неформальное изложение модели политики безопасности
  • Метки конфиденциальности данных
  • Обязательный контроль доступа (MAC) для выбранных субъектов и объектов
  • Экспорт меток возможности
  • Некоторые обнаруженные недостатки должны быть устранены или устранены иным образом
  • Проектные спецификации и проверка
• B2 - Структурированная защита
  • Модель политики безопасности четко определена и официально задокументирована
  • Обеспечение DAC и MAC распространено на все субъекты и объекты
  • Скрытые каналы хранения анализируются на наличие и пропускную способность
  • Тщательно структурированы на критически важные для защиты и не критичные для защиты элементы
  • Дизайн и реализация позволяют проводить более всестороннее тестирование и анализ
  • Усилены механизмы аутентификации
  • Обеспечивается надежное управление объектами с разделением на администраторов и операторов
  • Вводятся строгие меры управления конфигурацией
  • Роли оператора и администратора различны
  • Примером такой системы была Multics
• B3 - Security Domains
  • Удовлетворяет эталонному монитору требованиям
  • Структурирована для исключить код, который не важен для применения политики безопасности
  • Существенное проектирование системы, направленное на минимизацию сложности
  • Определена роль администратора безопасности
  • Аудит событий, связанных с безопасностью
  • Автоматически неизбежно обнаружение вторжения, уведомление и ответ
  • Доверенный путь к TCB для функции аутентификации пользователя
  • Анализируются процедуры восстановления доверенной системы
  • скрытые временные каналы по возникновению и полосе пропускания
  • Примером такой системы является XTS-300, предшественник XTS-400

A - Проверенная защита

• A1 - Проверенная конструкция
  • Функционально идентична B3
  • Методы формального проектирования и проверки, включая формальную спецификацию верхнего уровня
  • Формальные процедуры управления и распределения
  • Примеры систем класса A1 являются Hone SCOMP от ywell, GEMSOS от Aesec и сервер SNS от Boeing. Два, которые не были оценены, - это производственная платформа LOCK и отмененное ядро ​​безопасности DEC VAX.
• Beyond A1
  • Архитектура системы демонстрирует, что требования самозащиты и полноты для эталонных мониторов были реализованы в Trusted Computing Base (TCB).
  • Тестирование безопасности автоматически генерирует тестовый пример из формальной спецификации верхнего уровня или формальных спецификаций нижнего уровня.
  • Формальная спецификация и проверка - это где TCB проверяется вплоть до уровня исходного кода с использованием формальных методов проверки, где это возможно.
  • Доверенная среда проектирования - это среда, в которой TCB разрабатывается на доверенном объекте только с доверенным (аттестованным) персоналом.

Соответствующие классы к экологическим требованиям

Публикация, озаглавленная «Армейские правила 380-19», является примером руководства по определению того, какой класс системы следует использовать в данной ситуации.

См. также

• заменено от
• Канадский надежный компьютер, продукт E критерии оценки
• Common Criteria
• ITSEC
• Rainbow Series
• Trusted Platform Module

Ссылки

Внешние ссылки

• Институт национальной безопасности - 5200.28-STD Критерии оценки доверенных компьютерных систем
• FAS IRP DOD Критерии оценки доверенных компьютерных систем DOD 5200.28