"Оранжевая книга" США

Произвольное управление доступом:

Класс C1 - вычислительная база должна управлять доступом именованных  пользователей к именованным  объектам. Механизм управления (права  для владельца/группы/прочих, списки управления доступом) должен позволять  специфицировать разделение файлов между индивидами и/или группами.

Класс C2 - в дополнение к C1, права доступа должны гранулироваться  с точностью до пользователя. Механизм управления должен ограничивать распространение  прав доступа - только авторизованный пользователь, например владелец объекта, может предоставлять права доступа  другим пользователям. Все объекты  должны подвергаться контролю доступа.

Класс B3 - в дополнение к C2, обязательно должны использоваться списки управления доступом с указанием  разрешенных режимов. Должна быть возможность  явного указания пользователей или  их групп, доступ которых к объекту  запрещен.

(Примечание. Поскольку классы B1 и B2 не упоминаются, требования к ним в плане добровольного управления доступом те же, что и для C2. Аналогично, требования к классу A1 те же, что и для B3.)

Повторное использование объектов:

Класс C2 - при выделении  хранимого объекта из пула ресурсов вычислительной базы необходимо ликвидировать  все следы предыдущих использований.

Метки безопасности:

Класс B1 - вычислительная база должна управлять метками безопасности, связанными с каждым субъектом и  хранимым объектом. Метки являются основой функционирования механизма  принудительного управления доступом. При импорте непомеченной информации соответствующий уровень секретности  должен запрашиваться у авторизованного  пользователя и все такие действия следует протоколировать.

Класс B2 - в дополнение к B1, помечаться должны все ресурсы  системы, например ПЗУ, прямо или  косвенно доступные субъектам.

Целостность меток  безопасности:

Класс B1 - метки должны адекватно отражать уровни секретности  субъектов и объектов. При экспорте информации метки должны преобразовываться  в точное и однозначно трактуемое внешнее представление, сопровождающее данные. Каждое устройство ввода/вывода (в том числе коммуникационный канал) должно трактоваться как одноуровневое  или многоуровневое. Все изменения  трактовки и ассоциированных  уровней секретности должны протоколироваться.

Класс B2 - в дополнение к B1, вычислительная база должна немедленно извещать терминального пользователя об изменении его метки безопасности. Пользователь может запросить информацию о своей метке. База должна поддерживать присваивание всем подключенным физическим устройствам минимального и максимального  уровня секретности. Эти уровни должны использоваться при проведении в  жизнь ограничений, налагаемых физической конфигурацией системы, например расположением  устройств.

Принудительное управление доступом:

Класс B1 - вычислительная база должна обеспечить проведение в  жизнь принудительного управления доступом всех субъектов ко всем хранимым объектам. Субъектам и объектам должны быть присвоены метки безопасности, являющиеся комбинацией упорядоченных  уровней секретности, а также  категорий. Метки являются основой  принудительного управления доступом. Надежная вычислительная база должна поддерживать по крайней мере два уровня секретности.

Вычислительная база должна контролировать идентификационную  и аутентификационную информацию. При создании новых субъектов, например процессов, их метки безопасности не должны доминировать над меткой породившего их пользователя.

Класс B2 - в дополнение к B1, все ресурсы системы (в том  числе ПЗУ, устройства ввода/вывода) должны иметь метки безопасности и служить объектами принудительного  управления доступом.

Требования к подотчетности

Идентификация и аутентификация:

Класс C1 - пользователи должны идентифицировать себя, прежде чем выполнять какие-либо иные действия, контролируемые вычислительной базой. Для аутентификации должен использоваться какой-либо защитный механизм, например пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа.

Класс C2 - в дополнение к C1, каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно связываться с конкретным пользователем.

Класс B1 - в дополнение к C2, вычислительная база должна поддерживать метки безопасности пользователей.

Предоставление надежного  пути:

Класс B2 - вычислительная база должна поддерживать надежный коммуникационный путь к себе для пользователя, выполняющего операции начальной идентификации и аутентификации. Инициатива в общении по этому пути должна исходить исключительно от пользователя.

Класс B3 - в дополнение к B2, коммуникационный путь может формироваться  по запросу, исходящему как от пользователя, так и от самой базы. Надежный путь может использоваться для начальной  идентификации и аутентификации, для изменения текущей метки безопасности пользователя и т.п. Общение по надежному пути должно быть логически отделено и изолировано от других информационных потоков.  
 

Аудит:

Класс C2 - вычислительная база должна создавать, поддерживать и  защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой. Должна быть возможность  регистрации следующих событий:

использование механизма  идентификации и аутентификации;

внесение объектов в адресное пространство пользователя, например открытие файла, запуск программы;

удаление объектов;

действия системных  операторов, системных администраторов, администраторов безопасности;

другие события, затрагивающие информационную безопасность.

Каждая регистрационная  запись должна включать следующие поля:

дата и время  события;

идентификатор пользователя;

тип события;

результат действия (успех или неудача).

Для событий идентификации/аутентификации регистрируется также идентификатор устройства, например терминала. Для действий с объектами регистрируются имена объектов.

Системный администратор  может выбирать набор регистрируемых событий для каждого пользователя.

Класс B1 - в дополнение к C2, должны регистрироваться операции выдачи на печать и ассоциированные  внешние представления меток  безопасности. При операциях с  объектами, помимо имен, регистрируются их метки безопасности. Набор регистрируемых событий может различаться в  зависимости от уровня секретности  объектов.

Класс B2 - в дополнение к B1, должна быть возможность регистрировать события, связанные с организацией тайных каналов с памятью.

Класс B3 - в дополнение к B2, должна быть возможность регистрации  появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а  система, в случае продолжения попыток, должна пресекать их наименее болезненным  способом.

Требования к гарантированности

Архитектура системы:

Класс C1 - вычислительная база должна поддерживать область для  собственного выполнения, защищенную от внешних воздействий, в частности  от изменения команд и/или данных, и от попыток слежения за ходом  работы. Ресурсы, контролируемые базой, могут составлять определенное подмножество всех субъектов и объектов системы.

Класс C2 - в дополнение к C1, вычислительная база должна изолировать  защищаемые ресурсы в той мере, как это диктуется требованиями контроля доступа и подотчетности.

Класс B1 - в дополнение к C2, вычислительная база должна обеспечивать взаимную изоляцию процессов путем  разделения их адресных пространств.

Класс B2 - в дополнение к B1, вычислительная база должна быть внутренне  структурирована на хорошо определенные, относительно независимые модули. Вычислительная база должна эффективно использовать имеющееся оборудование для отделения  элементов, критически важных с точки  зрения защиты, от прочих компонентов  системы. Модули базы должны проектироваться  с учетом принципа минимизации привилегий. Для защиты логически раздельных хранимых объектов должны использоваться аппаратные средства, например сегментация. Должен быть полностью определен  пользовательский интерфейс с вычислительной базой.

Класс B3 - в дополнение к B2, вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально  простой защитный механизм. Этот механизм должен играть центральную роль во внутренней структуризации вычислительной базы и всей системы. База должна активно  использовать разделение данных по уровням. Значительные инженерные усилия должны быть направлены на уменьшение сложности  вычислительной базы и на вынесение  из нее модулей, не являющихся критически важными с точки зрения защиты.

Целостность системы:

Класс C1 - должны быть в наличии аппаратные и/или программные  средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов  вычислительной базы.

Анализ тайных каналов передачи информации:

Класс B2 - системный  архитектор должен тщательно проанализировать возможности по организации тайных каналов с памятью и оценить  максимальную пропускную способность  каждого выявленного канала.

Класс B3 - в дополнение к B2, аналогичная процедура должна быть проделана для временных каналов.

Класс A1 - в дополнение к B3, для анализа должны использоваться формальные методы.

Надежное администрирование:

Класс B2 - система  должна поддерживать разделение функций  оператора и администратора.

Класс B3 - в дополнение к B2, должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий. Не относящиеся  к защите действия администратора безопасности должны быть по возможности ограничены.

Надежное восстановление:

Класс B3 - должны существовать процедуры и/или механизмы, позволяющие  произвести восстановление после сбоя или иного нарушения работы без  ослабления защиты.

Тестирование:

Класс C1 - защитные механизмы  должны быть протестированы на предмет  соответствия их поведения системной  документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или  разрушить средства защиты вычислительной базы.

Класс C2 - в дополнение к C1, тестирование должно подтвердить  отсутствие очевидных недостатков  в механизмах изоляции ресурсов и  защиты регистрационной информации.

Класс B1 - в дополнение к C2, группа специалистов, полностью  понимающих конкретную реализацию вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные  коды тщательному анализу и тестированию. Цель должна состоять в выявлении  всех дефектов архитектуры и реализации, позволяющих субъекту без должной  авторизации читать, изменять, удалять  информацию или приводить базу в  состояние, когда она перестает  обслуживать запросы других субъектов. Все выявленные недостатки должны быть исправлены или нейтрализованы, после  чего база подвергается повторному тестированию, чтобы убедиться в отсутствии прежних или приобретении новых  недостатков.

Класс B2 - в дополнение к B1, должна быть продемонстрирована относительная  устойчивость вычислительной базы к попыткам проникновения.

Класс B3 - в дополнение к B2, должна быть продемонстрирована устойчивость вычислительной базы к попыткам проникновения.

Класс A1 - в дополнение к B3, тестирование должно продемонстрировать, что реализация вычислительной базы соответствует формальным спецификациям верхнего уровня.

Основу тестирования средств защиты от проникновения  в систему должно составлять наличие  спецификаций на исходные тексты.

Верификация спецификаций архитектуры:

Класс B1 - должна существовать неформальная или формальная модель политики безопасности, поддерживаемой вычислительной базой. Модель должна соответствовать  основным посылкам политики безопасности на протяжении всего жизненного цикла  системы.

Класс B2 - в дополнение к B1, модель политики безопасности должна быть формальной. Для вычислительной базы должны существовать описательные спецификации верхнего уровня, точно  и полно определяющие ее интерфейс.

Класс B3 - в дополнение к B2, должны быть приведены убедительные аргументы соответствия между спецификациями и моделью.

Класс A1 - в дополнение к B3, помимо описательных должны быть представлены формальные спецификации верхнего уровня, относящиеся к аппаратным и/или микропрограммным элементам, составляющим интерфейс вычислительной базы. Комбинация формальных и неформальных методов должна подтвердить соответствие между спецификациями и моделью. Должны использоваться современные методы формальной спецификации и верификации систем, доступные Национальному центру компьютерной безопасности США.