Семь уровней
Популярная, но небезопасная
За границами С2
Компания SCC выбирает для защиты компьютеров другой путь
"Оранжевая книга" и ее цели

Некоторым пользователям достаточно увидеть ярлык "сертифицировано на С2", чтобы почувствовать себя в полной безопасности. Хотя системы, сертифицированные по уровню безопасности С2, часто считаются чрезмерно защищенными, в действительности С2 задает минимальные требования к обеспечению безопасности систем. Соответствие установленных в корпорации продуктов, которые обеспечивают защиту, требованиям С2 еще не гарантирует защищенности информационных систем предприятия от возможных атак. Чтобы обеспечить безопасность работы как на уровне настольного ПК, так и на уровне сети, необходимо позаботиться о гораздо более надежных продуктах защиты. В мире сетевых операционных систем, например, NetWare и Windows NT Workstation рекламируются как продукты, сертифицированные в соответствии с С2. Хотя С2 и можно считать хорошей исходной точкой, но этот стандарт никогда не претендовал на то, чтобы быть единственной гарантией должного уровня безопасности.

Проблема сертификации осложняется еще и тем, что продуктам даются разные обозначения. Например, о продукте может быть сказано, что он "согласуется со стандартом С2", "может получить сертификат С2", "разработан под С2" или "проходит сертификацию С2". Но термин "разработан под стандарт С2" - это не то же самое, что "прошел оценку на соответствие С2". Многие поставщики при маркетинге своих систем подчеркивают, что они разработаны под стандарт С2. Это, несомненно, производит впечатление на клиента, однако фактически такое утверждение скорее означает, что продукт находится в стадии сертификации, или же, что компания подумывает о том, чтобы когда-нибудь провести его сертификацию.

Проведение сертификации на соответствие стандарту С2 и шести уровням защиты сетей осложняется длительностью этой процедуры. Ведь тестирование проводит правительство США. Сертификация вполне может продлиться более года; ее завершение часто занимает и два года. За это время продукт вполне может пройти через этап промежуточной версии, и тогда окончательная версия окажется несертифицированной, поскольку сертификация проводится только для вполне определенной версии. Так, например, хотя ОС NT Workstation и NT Server 3.51 были сертифицированы на С2, корпорация Microsoft должна заново проводить сертификацию версии 4.0 NT.

Семь уровней

С2 - всего лишь один из семи уровней защиты, установленных в стандарте критериев оценки пригодности компьютерных систем (Trusted Computer System Evaluation Criteria - TCSEC) Министерства обороны США. Стандарт TCSEC известен под названием "Оранжевая книга" (Orange Book). Необходимость как-то измерять достоверность и защищенность ИС и привела к разработке стандарта TCSEC, впервые опубликованого в 1985 году и разработанного Министерством обороны и Национальным центром компьютерной безопасности (National Computer Security Center - NCSC). В этой "Оранжевой книге" перечислены все семь уровней защиты, начиная от самой высокой степени непроницаемости до самой низкой.

? А1 - верифицированная разработка. Это наивысший уровень, для соответствия которому требуется, чтобы методы формальной верификации гарантировали защиту секретной и другой критичной информации средствами управления безопасностью. На этот уровень не может подняться даже Управление по национальной безопасности (National Security Agency).

? В3 - домены безопасности. Этот уровень предназначен для защиты систем от опытных программистов.

? В2 - структурированная защита. В систему с этим уровнем защиты нельзя допустить проникновение хакеров.

? В1 - мандатный контроль доступа. Защиту этого уровня возможно и удастся преодолеть хакеру "со стажем", но никак не рядовым пользователям.

? С2 - дискреционный контроль доступа. Уровень С2 обеспечивает защиту процедур входа, позволяет производить контроль за событиями, имеющими отношение к безопасности, а также изолировать ресурсы.

? С1 - избирательная защита. Этот уровень дает пользователям возможность защитить личные данные или информацию о проекте, установив средства управления доступом.

? D - минимальная защита. Этот нижний уровень защиты оставлен для систем, которые проходили тестирование, но не смогли удовлетворить требованиям более высокого класса.

Популярная, но небезопасная

К разряду самых важных положений уровня безопасности С2 относятся: дискреционное управление доступом, контроль, идентификация и аутентификация, а также многократное использование объекта; причем чаще других при обсуждении С2 встречается термин "управление доступом". Управление доступом означает лишь возможность установить, кому разрешено пользоваться теми или иными объектами в пределах операционной системы, а также регулировать этот доступ, начиная с уровня файла и каталога, и кончая уровнем принтеров и системного управления.

Стандарт С2 предусматривает также контроль за системой, позволяющий определить, какие действия произвели пользователи и в каком месте системы они побывали.

Положение об идентификации и аутентификации требует, чтобы для защиты данных от несанкционированного доступа пользователей в системе использовались пароли. Но даже если продукт удовлетворяет всем вышеперечисленным и другим требованиям и имеет сертификат стандарта С2, это не делает систему "пуленепробиваемой". "Оранжевая книга" - это просто перечень основных спецификаций. Можно иметь систему с сертификатом С2, которая позволяет в качестве пароля установить слово "пароль".

Кроме того, получение сертификата С2 вовсе не требует проведения испытания на противодействие "группам захвата", а также "залатывания дыр", обнаруженных в системе. (Группы захвата были созданы впервые в военном ведомстве для проверки защищенности систем путем инсценировки взлома критически важных вычислительных систем.)

Считается, что такие операционные системы, как MS-DOS, MacOS, Windows, OS/2, имеют уровень защищенности D, так как они реально вообще не обеспечивают какой бы то ни было защиты. Но если быть совершенно точным, нельзя считать эти ОС даже системами уровня безопасноти D, ведь они никогда не представлялись на тестирование.

За границами С2

Такие компании, как Mergent International и Fisher International Systems, предлагают продукты, позволяющие не только привести локальные рабочие станции в соответствие требованиям стандарта С2, но и обеспечить дополнительную безопасность. Так, продукт PC/DACS компании Mergent для защиты настольных ПК, выпускаемый в разновидностях для DOS, Windows и Windows 95, обладает такими функциями, как шифрование и блокировка по времени, благодаря чему пользователи могут покидать свои рабочие станции, защитив их от возможной атаки.

Критерии TCSEC в свое время выглядели весьма убедительно, но сегодня очень нужны новые стандарты по защите информации, и они в настоящее время разрабатываются. Критерии TCSEC, к сожалению, никак нельзя назвать действенным средством; иногда они неадекватны, а часто, когда требуется создать надежную корпоративную вычислительную среду, их применение крайне неэффективно.

Поэтому когда продавец показывает вам глянцевую брошюру, в которой каждое десятый термин - С2, не слишком радуйтесь. Ведь продукт с ярлыком С2 - это лишь начало поисков надежной вычислительной среды, но никак не конец.


Компания SCC выбирает для защиты компьютеров другой путь

Корпорация Secure Computing (SCC) разработала уникальный подход к обеспечению защиты с помощью своего продукта SideWinder Internet Firewall. Представители компании SCC решительно заявили, что покончат с С2, создав продукт, который станет по-настоящему действенным, так как С2 на самом деле имеет слишком ограниченное применение. Свою систему они разработали, стремясь обеспечить максимальную защиту.

По утверждению SCC, даже механизм обязательного контроля доступа, которым обычно оснащены системы уровней защиты В и А, слишком мягок, чтобы обеспечить работу систем охраны и брандмауэров. Компания же использует разработанный ею запатентованный механизм обязательного контроля доступа Type Enforcement, обеспечивающий более тонкую степень контроля.

Компания SCC внедрила этот механизм в свою систему Secure Network Server Mail Guard, которая служит для обмена электронной почтой между секретными и несекретными

сетями и обеспечивает высокий уровень безопасности и верификации. Системы высокого уровня защиты включают системы обязательного контроля доступа, такие как многоуровневые механизмы защиты в системах уровней В и А или средство Type Enforcement продукта Sidewinder. Эти системы не позволяют пренебрегать жизненно важными ограничениями в области доступа.

Представители компании SCC утверждают, что в основу разработанного ею метода положен десятилетний опыт разработки вычислительных систем, обеспеченных защитой высокого уровня в соответствии с требованиями "Оранжевой книги", выпущенной Национальным центром по компьютерной безопасности (NCSC). В соответствии с этим, если компания решит еще некоторые аналитические проблемы и подготовит документацию, продукт Sidewinder должен получить сертификат, подтверждающий обеспечение уровня защиты В2 или В3.

Для получения дополнительной информации посетите Web-узел с адресом http://www.sctc.com/


"Оранжевая книга" и ее цели

Свое начало "Оранжевая книга" ведет от принципов модели конечных автоматов, разработанной Беллом и Лападула в начале 70-х годов. Сейчас эта модель вышла из употребления и, конечно, никак не может считаться последним достижением.

Полный набор руководств по критериям TCSEC известен как серия Rainbow (Радуга), благодаря разноцветным обложкам этих книг. В настоящее время в нее входит более 200 руководств. Эти многочисленные интерпретации поясняют изложенные в "Оранжевой книге" требования к определенным компонентам системы.

В 1987 году Национальный центр по компьютерной безопасности (NCSC) выпустил Красную книгу (Red Book) - интерпретацию требований по безопасности "Оранжевой книги" в применении к сетевой вычислительной среде.

Критерии TCSEC разработаны на основе принципа достоверной вычислительной базы (ТСВ). В "Оранжевой книге" ТСВ определяется как "совокупность механизмов защиты, входящих в вычислительную систему и включающих в себя аппаратные, программно-аппаратные и программные средства, сочетание которых и обеспечивает реализацию стратегии защиты".

Правительство делало попытки обновить серию Rainbow, но все они не пошли дальше чернового варианта.

Работа над документом, получившим название "Общие критерии", началась в 1993 году с попытки установления европейских критериев European TCSEC. В настоящее время доступна версия 1.0 этого документа. Он был скорректирован сначала специалистами из Канады, потом - из США. Дополнительную информацию об этом можно получить по адресу http://csrc.ncsl.nist.gov/nistpubs/cc.

В "Оранжевой книге" так объясняются цели ее создания: "Критерии TCSEC, определяемые в "Оранжевой книге", разбивают системы на четыре широких иерархических класса повышенного обеспечения секретности. Они являются основой для оценки эффективности средств управления защитой, встроенных в продукты типа автоматизированных систем обработки данных.

При разработке критериев имелись в виду три цели:

? предложить пользователям критерий, в помощью которого можно было бы оценивать степень доверия к вычислительной системе с точки зрения обеспечения безопасной обработки секретной и другой критически важной информации,

? создать руководство, призванное помочь производителям выбрать из широкого диапазона устройств те, которые целесообразно встраивать в их новые, широко представленные на рынке проверенные коммерческие продукты,

? обеспечить основу для оценки требований к защищенности в спецификациях приобретаемых продуктов.

С содержанием "Оранжевой книги" можно ознакомиться по адресу http://www.disa.mil/MLS/info/orange

Поделитесь материалом с коллегами и друзьями