Что такое оранжевая книга
Оранжевая книга
Оранжевая книга – это основной документ, который устанавливает критерии и правила оценки защищённости компьютерных систем.
Оранжевая книга лежит в основе национальных критериев защиты информации от несанкционированного доступа в странах Европы, Канады, России.
Задача оранжевой книги состоит в следующем:
· предоставление единого стандарта в разработке систем защищённых исполнением, а также встраивании существующей системы дополнительных средств защиты информации;
· описание компонентов и механизмов защиты во взаимосвязи с критерием оценки уровня защиты информации.
Требования оранжевой книги отражают основное содержание политики безопасности правительственных организаций США и включают в себя:
1 Правила управления доступом, а именно, в системе должны быть точно определены правила, регулирующие доступ пользователей к конфиденциальной информации.
2 Политика учёта. В системе должны быть определены правила, позволяющие накапливать и защищать от разрушения регистрационную информацию, отражающую фактический доступ пользователей защищаемым ресурсом.
3 Маркировка объекта. Маркировка уровня конфиденциальности информационных объектов должна связываться с порождающими её объектами, маркировка создаваемых вновь объектов должна формироваться с учётом маркировки объектов, из которых порождаются новые объекты.
4 Идентификация и проверка подлинности. Пользователи системы должны быть однозначно идентифицированы и подвергнуты проверке подлинности аутидентификации в процессе доступа в систему.
5 Гарантии архитектуры и проектирования. Система защиты информации должна строиться на базе компонентов и механизмов, относительно которых с определённым уровнем достоверности может быть гарантирована корректность функционирования.
6 Гарантии непрерывности. Система защиты информации должна включать средства и механизмы, исключающие несанкционированный доступ к ресурсам при переходе системы в нештатный режим функционирования.
Диспетчер Доступа (ДД) основной элемент подсистемы защиты, которая имеет прямое отношение к большинству функциональных требований оранжевой книги.
ДД представляет собой абстрактную модель, которая формирует архитектуру безопасности системы. ДД физически встраивается в систему и выполняет посреднические функции при обращении пользователей к ресурсам.
С точки зрения реализации ДД должен удовлетворять трём основным требованиям:
1 Контролировать все теоретически возможные взаимодействия между пользователями и объектами, которые учитываются в модели защиты системы.
2 Быть природным к верификации и полному функциональному тестированию в пределах определённого класса системы.
3 Реализовать правило разграничения доступа в соответствии с формальной моделью защиты установленной для данного класса систем.
Основное концептуальное понятие второй группы требований оранжевой книги связано с выбором доверенной вычислительной базы.
Под доверенной вычислительной базой понимаются любые компоненты системы, которые:
выполняют критичные функции в системе;
обладают высоким уровнем гарантий, позволяющим вынести их за пределы модели защиты, в результате чего некоторые или все защитные функции для таких компонентов не применяются.
В соответствии с оранжевой книгой системы подразделяются на четыре группы: А, В, С, D.
Группа А обеспечивает максимальный, а группа D – минимальный уровни защищённости.
В пределах каждой группы системы подразделяются на классы защищённости, при этом группы А и D включают по одному классу (соответственно А и D), группа В – три класса (В1, В2, В3), группа С включает два класса (С1, С2).
В пределах каждой из групп системы с большим классом являются более защищёнными. Системы удовлетворяющие требованиям различных классов отличаются по составу механизмов защиты и по составу требований к процессу проектирования, моделирования, разработки, тестирования.
3.2. «Оранжевая книга»
3.2. «Оранжевая книга»
Стандарт «Критерии оценки доверенных компьютерных систем» /Trusted Computer System Evaluation Criteria/, более известный как «Оранжевая книга», [26] был разработан Министерством Обороны США в 1983 г. и стал первым в истории общедоступным оценочным стандартом в области информационной безопасности.
Требования «Оранжевой книги» имеют следующую структуру:
Напомним, что «Оранжевая книга» является оценочным стандартом – а значит, предназначена в первую очередь для проведения анализа защищённости автоматизированных систем. По результатам такого анализа АС должна быть отнесена к одному из определённых в документе классов защищённости.
«Оранжевая книга» определяет четыре группы классов защищённости:
A – содержит единственный класс A1.
B – содержит классы B1, B2 и B3.
С – содержит классы C1 и C2.
D – содержит единственный класс D1.
Требуемый уровень защищённости системы возрастает от группы D к группе A, а в пределах одной группы – с увеличением номера класса. Каждый класс характеризуется определённым фиксированным набором требований к подсистеме обеспечения информационной безопасности, реализованной в АС.
Приведём краткие характеристики каждого из классов защищённости.
1. Группа D – минимальная защита.
К данной категории относятся те системы, которые были представлены для сертификации по требованиям одного из более высоких классов защищённости, но не прошли испытания.
Данная группа характеризуется наличием дискреционного управления доступом и регистрации действий субъектов.
3. Группа B – мандатная защита
Система обеспечивает мандатное управление доступом с использованием меток безопасности, поддержку модели и политики безопасности. Предполагается наличие спецификаций на функции ядра безопасности. Реализуется концепция монитора безопасности обращений, контролирующего все события в системе.
4. Группа A – верифицированная защита
Группа характеризуется применением формальных методов верификации корректности функционирования механизмов управления доступом. Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ядра безопасности отвечает требованиям безопасности. Функциональные требования совпадают с классом B3, однако на всех этапах разработки АС требуется применение формальных методов верификации систем защиты.
Разработка и публикация «Оранжевой книги» стали важнейшей вехой в становлении теории информационной безопасности. Такие базовые понятия, как «политика безопасности», «монитор безопасности обращений» или «администратор безопасности» впервые в открытой литературе появились именно в «Оранжевой книге».
В то же время с течением времени стали проявляться многочисленные недостатки «Оранжевой книги» и предложенного подхода к классификации АС в целом. Во многом её устаревание было связано с принципиальными изменениями аппаратной базы средств вычислительной техники, произошедшими с 1983 г. – и прежде всего, с распространением распределённых вычислительных систем и сетей, особенности которых в «Оранжевой книге» никак не учитываются. Не нашли отражения в «Оранжевой книге» и вопросы обеспечения доступности информации. Наконец, с усложнением АС всё больше стала проявляться принципиальная ограниченность «табличного» подхода к классификации систем по требованиям безопасности информации, когда автоматизированная система должна быть отнесена к одному из классов защищённости исходя из выполнения фиксированного набора требований к функциональным характеристикам – такой подход принципиально не позволяет учесть особенности системы и является недостаточно гибким.
Стараясь не отстать от развивающихся информационных технологий, разработчики «Оранжевой книги» вплоть до 1995 г. выпустили целый ряд вспомогательных документов, известных как «Радужная серия». Эти документы содержали рекомендации по применению положений «Оранжевой книги» для различных категорий автоматизированных систем, а также вводили ряд дополнительных требований. Наибольший интерес в «Радужной серии» представляют три документа: «Интерпретация для защищённых сетей», «Интерпретация для защищённых СУБД» и «Руководство по управлению паролями».
В настоящее время «Оранжевая книга» не используется для оценки автоматизированных систем и представляет интерес исключительно с исторической точки зрения.
Введена в действие «Оранжевая книга»
Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем».
name=keyword-context.1>В «Оранжевой книге» доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа».
Обратим внимание, что в рассматриваемых Критериях и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности «Оранжевая книга» не затрагивает.
Степень доверия оценивается по двум основным критериям.
Вообще говоря, компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС достаточно рассмотреть только ее вычислительную базу, которая, как можно надеяться, достаточно компактна.
Монитор обращений должен обладать тремя качествами:
Механизмы безопасности
Согласно «Оранжевой книге», политика безопасности должна обязательно включать в себя следующие элементы:
Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта.
Анализ регистрационной информации (аудит) имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы.
Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. «Оранжевая книга» предусматривает наличие средств выборочного протоколирования, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.
Операционная гарантированность включает в себя проверку следующих элементов:
Классы безопасности
Класс C2 (в дополнение к C1):
Класс B1 (в дополнение к C2):
Класс B2 (в дополнение к B1):
Класс B3 (в дополнение к B2):
Класс A1 (в дополнение к B3):
Такова классификация, введенная в «Оранжевой книге». Коротко ее можно сформулировать так:
Информационная безопасность распределенных систем. Рекомендации X.800
Сетевые сервисы безопасности
Следуя скорее исторической, чем предметной логике, мы переходим к рассмотрению технической спецификации X.800, появившейся немногим позднее «Оранжевой книги», но весьма полно и глубоко трактующей вопросы информационной безопасности распределенных систем.
Выделяют следующие сервисы безопасности и исполняемые ими роли:
В следующей таблице указаны уровни эталонной семиуровневой модели OSI, на которых могут быть реализованы функции безопасности. Отметим, что прикладные процессы, в принципе, могут взять на себя поддержку всех защитных сервисов.
| Функции безопасности | Уровень | ||||||
|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | |
| Аутентификация | — | — | + | + | — | — | + |
| Управление доступом | — | — | + | + | — | — | + |
| Конфиденциальность соединения | + | + | + | + | — | + | + |
| Конфиденциальность вне соединения | — | + | + | + | — | + | + |
| Избирательная конфиденциальность | — | — | — | — | — | + | + |
| Конфиденциальность трафика | + | — | + | — | — | — | + |
| Целостность с восстановлением | — | — | — | + | — | — | + |
| Целостность без восстановления | — | — | + | + | — | — | + |
| Избирательная целостность | — | — | — | — | — | — | + |
| Целостность вне соединения | — | — | + | + | — | — | + |
| Неотказуемость | — | — | — | — | — | — | + |
«+» данный уровень может предоставить функцию безопасности;
«-» данный уровень не подходит для предоставления функции безопасности.
Сетевые механизмы безопасности
Для реализации сервисов (функций) безопасности могут использоваться следующие механизмы и их комбинации:
В следующей таблице сведены сервисы (функции) и механизмы безопасности. Таблица показывает, какие механизмы (по отдельности или в комбинации с другими) могут использоваться для реализации той или иной функции.
«+» механизм пригоден для реализации данной функцию безопасности;
«-» механизм не преднозначен для реализации данной функции безопасности.
Администрирование средств безопасности
Согласно рекомендациям X.800, усилия администратора средств безопасности должны распределяться по трем направлениям:
Администрирование сервисов безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы.
Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список таков:
Мы видим, что администрирование средств безопасности в распределенной ИС имеет много особенностей по сравнению с централизованными системами.
Стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий»
Основные понятия
По историческим причинам данный стандарт часто называют «Общими критериями» (или даже ОК). Мы также будем использовать это сокращение.
Как и «Оранжевая книга», ОК содержат два основных вида требований безопасности:
Очень важно, что безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы:
В свою очередь, угрозы характеризуются следующими параметрами:
Уязвимые места могут возникать из-за недостатка в:
Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации.
Классы определяют наиболее общую, «предметную» группировку требований (например, функциональные требования подотчетности ).
Семейства в пределах класса различаются по строгости и другим нюансам требований.
Как указывалось выше, с помощью библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности.
Профиль защиты (ПЗ) представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях).
Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.
Выделение некоторого подмножества из всего множества профилей защиты во многом носит субъективный характер. По целому ряду соображений (одним из которых является желание придерживаться объектно-ориентированного подхода) целесообразно, на наш взгляд, сформировать сначала отправную точку классификации, выделив базовый (минимальный) ПЗ, а дополнительные требования компоновать в функциональные пакеты.
Базовый профиль защиты должен включать требования к основным (обязательным в любом случае) возможностям. Производные профили получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно-ориентированных языках программирования.
Функциональные требования
Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности. Всего в «Общих критериях» представлено 11 функциональных классов, 66 семейств, 135 компонентов. Это, конечно, значительно больше, чем число аналогичных сущностей в «Оранжевой книге».
Перечислим классы функциональных требований ОК:
Опишем подробнее два класса, демонстрирующие особенности современного подхода к ИБ.
Класс «Приватность» содержит 4 семейства функциональных требований.
Требования доверия безопасности
Установление доверия безопасности, согласно «Общим критериям», основывается на активном исследовании объекта оценки.
Форма представления требований доверия, в принципе, та же, что и для функциональных требований. Специфика состоит в том, что каждый элемент требований доверия принадлежит одному из трех типов:
Всего в ОК 10 классов, 44 семейства, 93 компонента требований доверия безопасности. Перечислим классы:
Применительно к требованиям доверия в «Общих критериях» сделана весьма полезная вещь, не реализованная, к сожалению, для функциональных требований. А именно, введены так называемые оценочные уровни доверия (их семь), содержащие осмысленные комбинации компонентов.
На третьем уровне ведется контроль среды разработки и управление конфигурацией объекта оценки.
На уровне 6 реализация должна быть представлена в структурированном виде. Анализ соответствия распространяется на проект нижнего уровня.
Оценочный уровень 7 (самый высокий) предусматривает формальную верификацию проекта объекта оценки. Он применим к ситуациям чрезвычайно высокого риска.
На этом мы заканчиваем краткий обзор «Общих критериев».
Гармонизированные критерии Европейских стран
Сервисы безопасности реализуются посредством конкретных механизмов. Чтобы объекту оценки можно было доверять, необходима определенная степень уверенности в наборе функций и механизмов безопасности. Степень уверенности мы будем называть гарантированностью. Гарантированность может быть большей или меньшей в зависимости от тщательности проведения оценки.
Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности.
Гармонизированные критерии Европейских стран явились для своего времени весьма передовым стандартом, они создали предпосылки для появления «Общих критериев».
Интерпретация «Оранжевой книги» для сетевых конфигураций
В 1987 году Национальным центром компьютерной безопасности США была опубликована интерпретация «Оранжевой книги» для сетевых конфигураций. Данный документ состоит из двух частей. Первая содержит собственно интерпретацию, во второй рассматриваются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.
Интерпретация отличается от самих «Критериев» учетом динамичности сетевых конфигураций. Предусматривается наличие средств проверки подлинности и корректности функционирования компонентов перед их включением в сеть, наличие протокола взаимной проверки компонентами корректности функционирования друг друга, а также присутствие средств оповещения администратора о неполадках в сети. Сетевая конфигурация должна быть устойчива к отказам отдельных компонентов или коммуникационных путей.
Систематическое рассмотрение вопросов доступности является новшеством по сравнению не только с «Оранжевой книгой», но и с рекомендациями X.800. Сетевой сервис перестает быть доступным, когда пропускная способность коммуникационных каналов падает ниже минимально допустимого уровня или сервис не в состоянии обслуживать запросы. Удаленный ресурс может стать недоступным и вследствие нарушения равноправия в обслуживании пользователей. Доверенная система должна иметь возможность обнаруживать ситуации недоступности, уметь возвращаться к нормальной работе и противостоять атакам на доступность.
Для обеспечения непрерывности функционирования могут применяться следующие защитные меры:
Данное утверждение является теоретической основой декомпозиции распределенной ИС в объектно-ориентированном стиле в сочетании с криптографической защитой коммуникаций.
Введена в действие «Оранжевая книга»
Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем».
name=keyword-context.1>В «Оранжевой книге» доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа».
Обратим внимание, что в рассматриваемых Критериях и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности «Оранжевая книга» не затрагивает.
Степень доверия оценивается по двум основным критериям.
Вообще говоря, компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС достаточно рассмотреть только ее вычислительную базу, которая, как можно надеяться, достаточно компактна.
Монитор обращений должен обладать тремя качествами:
Механизмы безопасности
Согласно «Оранжевой книге», политика безопасности должна обязательно включать в себя следующие элементы:
Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта.
Анализ регистрационной информации (аудит) имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы.
Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. «Оранжевая книга» предусматривает наличие средств выборочного протоколирования, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.
Операционная гарантированность включает в себя проверку следующих элементов:
Классы безопасности
Класс C2 (в дополнение к C1):
Класс B1 (в дополнение к C2):
Класс B2 (в дополнение к B1):
Класс B3 (в дополнение к B2):
Класс A1 (в дополнение к B3):
Такова классификация, введенная в «Оранжевой книге». Коротко ее можно сформулировать так:
Информационная безопасность распределенных систем. Рекомендации X.800
Сетевые сервисы безопасности
Следуя скорее исторической, чем предметной логике, мы переходим к рассмотрению технической спецификации X.800, появившейся немногим позднее «Оранжевой книги», но весьма полно и глубоко трактующей вопросы информационной безопасности распределенных систем.
Выделяют следующие сервисы безопасности и исполняемые ими роли:
В следующей таблице указаны уровни эталонной семиуровневой модели OSI, на которых могут быть реализованы функции безопасности. Отметим, что прикладные процессы, в принципе, могут взять на себя поддержку всех защитных сервисов.
| Функции безопасности | Уровень | ||||||
|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | |
| Аутентификация | — | — | + | + | — | — | + |
| Управление доступом | — | — | + | + | — | — | + |
| Конфиденциальность соединения | + | + | + | + | — | + | + |
| Конфиденциальность вне соединения | — | + | + | + | — | + | + |
| Избирательная конфиденциальность | — | — | — | — | — | + | + |
| Конфиденциальность трафика | + | — | + | — | — | — | + |
| Целостность с восстановлением | — | — | — | + | — | — | + |
| Целостность без восстановления | — | — | + | + | — | — | + |
| Избирательная целостность | — | — | — | — | — | — | + |
| Целостность вне соединения | — | — | + | + | — | — | + |
| Неотказуемость | — | — | — | — | — | — | + |
«+» данный уровень может предоставить функцию безопасности;
«-» данный уровень не подходит для предоставления функции безопасности.
Сетевые механизмы безопасности
Для реализации сервисов (функций) безопасности могут использоваться следующие механизмы и их комбинации:
В следующей таблице сведены сервисы (функции) и механизмы безопасности. Таблица показывает, какие механизмы (по отдельности или в комбинации с другими) могут использоваться для реализации той или иной функции.
«+» механизм пригоден для реализации данной функцию безопасности;
«-» механизм не преднозначен для реализации данной функции безопасности.
Администрирование средств безопасности
Согласно рекомендациям X.800, усилия администратора средств безопасности должны распределяться по трем направлениям:
Администрирование сервисов безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы.
Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список таков:
Мы видим, что администрирование средств безопасности в распределенной ИС имеет много особенностей по сравнению с централизованными системами.
Стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий»
Основные понятия
По историческим причинам данный стандарт часто называют «Общими критериями» (или даже ОК). Мы также будем использовать это сокращение.
Как и «Оранжевая книга», ОК содержат два основных вида требований безопасности:
Очень важно, что безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы:
В свою очередь, угрозы характеризуются следующими параметрами:
Уязвимые места могут возникать из-за недостатка в:
Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации.
Классы определяют наиболее общую, «предметную» группировку требований (например, функциональные требования подотчетности ).
Семейства в пределах класса различаются по строгости и другим нюансам требований.
Как указывалось выше, с помощью библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности.
Профиль защиты (ПЗ) представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях).
Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.
Выделение некоторого подмножества из всего множества профилей защиты во многом носит субъективный характер. По целому ряду соображений (одним из которых является желание придерживаться объектно-ориентированного подхода) целесообразно, на наш взгляд, сформировать сначала отправную точку классификации, выделив базовый (минимальный) ПЗ, а дополнительные требования компоновать в функциональные пакеты.
Базовый профиль защиты должен включать требования к основным (обязательным в любом случае) возможностям. Производные профили получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно-ориентированных языках программирования.
Функциональные требования
Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности. Всего в «Общих критериях» представлено 11 функциональных классов, 66 семейств, 135 компонентов. Это, конечно, значительно больше, чем число аналогичных сущностей в «Оранжевой книге».
Перечислим классы функциональных требований ОК:
Опишем подробнее два класса, демонстрирующие особенности современного подхода к ИБ.
Класс «Приватность» содержит 4 семейства функциональных требований.
Требования доверия безопасности
Установление доверия безопасности, согласно «Общим критериям», основывается на активном исследовании объекта оценки.
Форма представления требований доверия, в принципе, та же, что и для функциональных требований. Специфика состоит в том, что каждый элемент требований доверия принадлежит одному из трех типов:
Всего в ОК 10 классов, 44 семейства, 93 компонента требований доверия безопасности. Перечислим классы:
Применительно к требованиям доверия в «Общих критериях» сделана весьма полезная вещь, не реализованная, к сожалению, для функциональных требований. А именно, введены так называемые оценочные уровни доверия (их семь), содержащие осмысленные комбинации компонентов.
На третьем уровне ведется контроль среды разработки и управление конфигурацией объекта оценки.
На уровне 6 реализация должна быть представлена в структурированном виде. Анализ соответствия распространяется на проект нижнего уровня.
Оценочный уровень 7 (самый высокий) предусматривает формальную верификацию проекта объекта оценки. Он применим к ситуациям чрезвычайно высокого риска.
На этом мы заканчиваем краткий обзор «Общих критериев».
Гармонизированные критерии Европейских стран
Сервисы безопасности реализуются посредством конкретных механизмов. Чтобы объекту оценки можно было доверять, необходима определенная степень уверенности в наборе функций и механизмов безопасности. Степень уверенности мы будем называть гарантированностью. Гарантированность может быть большей или меньшей в зависимости от тщательности проведения оценки.
Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности.
Гармонизированные критерии Европейских стран явились для своего времени весьма передовым стандартом, они создали предпосылки для появления «Общих критериев».
Интерпретация «Оранжевой книги» для сетевых конфигураций
В 1987 году Национальным центром компьютерной безопасности США была опубликована интерпретация «Оранжевой книги» для сетевых конфигураций. Данный документ состоит из двух частей. Первая содержит собственно интерпретацию, во второй рассматриваются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.
Интерпретация отличается от самих «Критериев» учетом динамичности сетевых конфигураций. Предусматривается наличие средств проверки подлинности и корректности функционирования компонентов перед их включением в сеть, наличие протокола взаимной проверки компонентами корректности функционирования друг друга, а также присутствие средств оповещения администратора о неполадках в сети. Сетевая конфигурация должна быть устойчива к отказам отдельных компонентов или коммуникационных путей.
Систематическое рассмотрение вопросов доступности является новшеством по сравнению не только с «Оранжевой книгой», но и с рекомендациями X.800. Сетевой сервис перестает быть доступным, когда пропускная способность коммуникационных каналов падает ниже минимально допустимого уровня или сервис не в состоянии обслуживать запросы. Удаленный ресурс может стать недоступным и вследствие нарушения равноправия в обслуживании пользователей. Доверенная система должна иметь возможность обнаруживать ситуации недоступности, уметь возвращаться к нормальной работе и противостоять атакам на доступность.
Для обеспечения непрерывности функционирования могут применяться следующие защитные меры:
Данное утверждение является теоретической основой декомпозиции распределенной ИС в объектно-ориентированном стиле в сочетании с криптографической защитой коммуникаций.