Заявления разработчиков программного обеспечения о соответствии высокому классу безопасности зачастую противоречат действительности.

Вам наверняка приходилось слышать, что Microsoft Windows NT 4.0 или еще какая-либо известная ОС соответствует классу безопасности C2. Однако эти утверждения зачастую не соответствуют истине: в большинстве случаев производители программного обеспечения либо опережают события, либо выдают желаемое за действительное.

Безопасным в США называют компьютерный продукт, прошедший программу оценки надежности продукта (Trusted Product Evaluation Program, TPEP) от имени и по поручению Национального центра компьютерной безопасности (National Computer Security Center, NCSC), подведомственного Агентству Национальной Безопасности. Каждый такой продукт относят к тому или иному классу безопасности.

Класс безопасности определяется набором требований и правил, изложенных в документе "Критерии оценки надежных компьютерных систем" (Trusted Computer System Evaluation Criteria, TCSEC), который по цвету обложки чаще называют "Оранжевой книгой". Существует семь классов безопасности: A1, B3, B2, B1, C2, C1, D (они приведены в порядке уменьшения требований, т. е. класс B3 выше класса B1 или C2). Помимо своих специфических требований более высокий класс включает в себя требования, предъявляемые к более низкому классу.

Кроме того, интерпретация "Оранжевой книги" для сетевых конфигураций (так называемая "Красная книга") описывает безопасную сетевую среду и сетевые компоненты.

В Таблице 1 представлен список безопасных компьютерных продуктов (Evaluated Product List, EPL) в соответствии с их классами безопасности (http://www.radium.ncsc.mil/tpep/epl/epl-by-class.html). Для краткости здесь перечислены только последние версии. К сожалению, компьютерный продукт, успешно прошедший тестирование, появляется в списке с большой задержкой (до нескольких месяцев). Например, известно, что операционная система Novell NetWare 4.11 получила сертификат по классу C2 в начале октября 1997 г., но в список EPL ее еще на момент написания статьи не внесли. Следует отметить, что в настоящее время тестирование по классу C1 не проводится. Таким образом, вопреки распространенному мнению, C2 - самый низкий класс безопасности.

ТАБЛИЦА 1 - ПРОГРАММНЫЕ ПРОДУКТЫ ПО КЛАССАМ БЕЗОПАСНОСТИ


Опеpационные системы

Сетевые компоненты

Пpиложения

Класс A1 не существуют в настоящее время MLS LAN (Boeing) Gemini Trusted Network Processor (Gemini Computers) не существуют в настоящее время
Класс B3 XTS-300 STOP 4.1a (Wang Federal) не существуют в настоящее время не существуют в настоящее время
Класс B2 Trusted XENIX 4.0 (Trusted Information Systems) VSLAN/VSLANE 6.1 (General Kinetics) не существуют в настоящее время
Класс B1 UTS/MLS, Version 2.1.5+ (Amdahl)
SEVMS VAX and Alpha Version 6.1 (Digital Equipment)
ULTRIX MLS+ Version 2.1 on VAX Station 3100 (Digital Equipment)
CX/SX 6.2.1 (Harris Computer Systems)
HP-UX BLS Release 9.0.9+ (Hewlett-Packard)
Trusted IRIX/B Release 4.0.5EPL (Silicon Graphics)
OS 1100/2200 Release SB4R7 (Unisys)
Trusted UNICOS 8.0 (Cray Reseach)
CX/SX with LAN/SX 6.2.1 (Harris Computer Systems)
INFORMIX-OnLine/Secure 5.0 (Informix Software)
Trusted Oracle7 (Oracle)
Secure SQL Server version 11.0.6 (Sybase)
Класс C2 AOS/VS II, Release 3.10 (Data General)
OpenVMS VAX and Alpha Version 6.1 (Digital Equipment)
AS/400 with OS/400 V3R0M5 (IBM)
Windows NT Version 3.5 (Microsoft)
Guardian-90 w/Safeguard S00.01 (Tandem Computers)
не существуют в настоящее время INFORMIX-OnLine/Secure 5.0 (Informix Software)
Oracle7 (Oracle)
SQL Server version 11.0.6 (Sybase)

Необходимо иметь в виду, что тестируются не операционные системы или программные продукты как таковые, а программно-аппаратная конфигурация. Например, Microsoft Windows NT 3.5 имеет класс C2, лишь когда эту ОС (обязательно с Service Pack 3) устанавливают на компьютеры Compaq Proliant 2000 и 4000 (Pentium) или DECpc AXP/150 (Alpha).

Сертификат будет не действителен, не только если NT установить на другой тип компьютеров (пусть даже это Proliant 6000), но и если SCSI-контроллер производства Compaq (именно такой стоял в сертифицированной машине) заменить на другую модель. Более того, чтобы обеспечить уровень безопасности C2, необходимо строго следовать инструкциям, содержащимся в документе Microsoft "Установки для соответствия защиты уровню C2". Так, если отключена система аудита или на винчестере присутствует MS-DOS, то ни о каком уровне C2 не может быть и речи.

Формально процедуры тестирования и сертификации бесплатны, но косвенные затраты по подготовке необходимых документов и проведению тестов выливаются в весьма круглую сумму. Не всякая компьютерная компания может себе это позволить. Сам же процесс сертификации длится порядка двух лет, что также не добавляет энтузиазма разработчикам ПО. Довольно часто продукт получает сертификат к тому времени, когда он уже устарел или устарела программно-аппаратная конфигурация, на которой продукт испытывался. Но и получение сертификата безопасности не гарантирует отсутствия "дыр", что Национальный центр компьютерной безопасности честно признает. Известны многочисленные случаи, когда в системах, имеющих сертификат, безопасность не соответствовала заявленной.

В связи с вышеизложенным большинство компьютерных компаний предпочитают не тестировать свои продукты, тем более что сертификат важен только при использовании в военных и государственных учреждениях (и то не всех). Обычно речь идет о так называемой совместимости с тем или иным классом безопасности, т. е. процедура тестирования не проводится, но, как говорится, "фирма гарантирует". Зачастую коммерческие организации этим вполне и удовлетворяются.

Если взглянуть на Таблицу 1, то обращает внимание отсутствие операционных систем и приложений, которые удовлетворяли бы требованиям класса A1. Самой безопасной ОС является XTS-300 STOP 4.1a компании Wang Federal, соответствующая классу B3. STOP 4.1a - не просто операционная система, а полный пакет, включающий помимо самой ОС еще и аппаратное обеспечение на основе процессора Intel 486. Данная ОС принадлежит к UNIX-подобным операционным системам, но удовлетворяет экстремально высоким требованиям к безопасности. Но даже с этой ОС не обошлось без ошибок. Например, в сообщении DDN от 23 июня 1995 г. говорится о проблемах в версии STOP 4.0.3.

Среди компьютерных специалистов бытует мнение о невысокой защищенности ОС UNIX. Список EPL говорит об обратном. Самые безопасные ОС принадлежат именно к семейству UNIX. Правда, эти версии UNIX дополнены мощными системами аудита и средствами разграничения полномочий не только на уровне пользователей, но и на уровне компонентов ОС.

ВМЕСТО ЗАКЛЮЧЕНИЯ

Все, о чем говорилось в этой статье, не имеет ровным счетом никакого отношения к российской действительности. Тестирование и сертификацию средств вычислительной техники и автоматизированных систем в России осуществляет Гостехкомиссия при Президенте РФ, и совсем по иным правилам, нежели Национальный центр компьютерной безопасности США. Российские классы защищенности имеют весьма отдаленное отношение к американским классам безопасности. Более того, ни одна компьютерная система, уже имеющая американский сертификат, не пройдет тестирования в Гостехкомиссии без удовлетворения ряду специфических требований.

Вдобавок американские критерии не действуют и в Европе, где имеется свой аналог "Оранжевой книги" под названием "Критерии оценки безопасности информационной технологии" (Information Technology Security Evaluation Criteria, ITSEC). В отличие от "Оранжевой книги" в ITSEC делается упор на понятиях "целостность" и "доступность".

Когда при покупке компьютерного продукта вам сообщают, что он соответствует американскому классу безопасности, помните, что в общем случае это ничего не значит. Если продукт новый, то, скорее всего, он не имеет американского сертификата, а если имеет, то в России этот сертификат не действует.


Константин Пьянзин - обозреватель LAN, с ним можно связаться по адресу: koka@osp.ru.