Группа в. Мандатное управление доступом.
Основные требования этой группы – мандатное, т. е. полномочное управление доступом с использованием меток безопасности, реализация некоторой формальной модели политики безопасности, а также наличие спецификаций на функции монитора ссылок. В системах этой группы постепенно к классу ВЗ должен быть реализован монитор ссылок, который должен контролировать все доступы субъектов к объектам системы.
Класс В1. Системы класса В1 должны удовлетворять требованиям класса С2. Кроме того, должны быть выполнены следующие дополнительные требования:
Политика безопасности. Монитор ссылок должен обеспечивать пометку каждого субъекта и объекта системы.
Подотчетность. Аудиту подлежат любые изменения меток секретности читаемого вывода.
Гарантии. Монитор ссылок должен обеспечивать изоляцию процессов системы, через выделение им соответствующего адресного пространства.
Документация должна дополнительно включать:
• Для системного администратора описание функций, относящихся к безопасности монитора ссылок, а также описание путей и методов наилучшего использования защитных свойств системы; указание, как безопасно создать новый монитор ссылок; описания выполняемых процедур, предупреждений и привилегий, необходимых для контроля безопасной работы системы.
• Описание формальной или неформальной политики безопасности, а также то, как она реализована в системе.
Класс В2 (структурированная защита). Выполняются все требования класса защиты В1. Кроме того, в системах класса В2 монитор ссылок основывается на четко определенной и хорошо документированной формальной модели политики безопасности, требующей, чтобы мандатная и дискреционная системы разграничения доступа были распространены на все субъекты и объекты компьютерной системы. Монитор ссылок должен быть четко структурирован на элементы, критичные с точки зрения безопасности и некритичные. Интерфейс монитора ссылок должен быть хорошо определен и его проект и конечный результат должны быть подвергнуты полной проверке и тестированию. Механизм аудита должен быть усилен, введен контроль конфигурации системы. Система должна быть устойчива к внешнему проникновению.
Класс ВЗ (домены безопасности). В системах класса ВЗ монитор ссылок должен удовлетворять всем требованиям предыдущего класса и дополнительно требованиям монитора ссылок, который должен быть:
• защищен от несанкционированного изменения или порчи;
• обрабатывать все обращения;
• прост для анализа и тестирования.
Монитор ссылок должен быть структурирован таким образом, чтобы исключить код, не имеющий отношения к безопасности системы.
Дополнительно должно быть обеспечено:
• поддержка администратора безопасности;
• расширение механизма аудита с целью сигнализации о любых событиях, связанных с безопасностью;
• поддержка процедуры восстановления системы.
Группа а. Верифицированная защита.
Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управления дискреционным и мандатным доступом. Требуется, чтобы было формально показано соответствие архитектуры и реализации монитора ссылок требованиям безопасности.
Класс А1 (формальная верификация). Критерий защиты класса А1 не определяет дополнительные по сравнению с классом ВЗ требования к архитектуре или политике безопасности компьютерной системы. Дополнительным свойством систем, отнесенных к классу А1, является проведенный анализ монитора ссылок на соответствие формальным высокоуровневым спецификациям и использование технологий проверки с целью получения высоких гарантий того, что монитор ссылок функционирует корректно.
Таблица 1. Классы безопасности в "Оранжевой книге"
Требования |
К л а с с ы |
|||||
С1 |
C2 |
B1 |
B2 |
B3 |
A1 |
|
1 Требования к политике безопасности |
|
|
|
|
|
|
1.1 Произвольное управление доступом |
+ |
+ |
= |
= |
+ |
= |
1.2 Повторное использование объектов |
- |
+ |
= |
= |
= |
= |
1.3 Метки безопасности |
- |
- |
+ |
+ |
= |
= |
1.4 Целостность меток безопасности |
- |
- |
+ |
+ |
= |
= |
1.5 Принудительное управление доступом |
- |
- |
+ |
+ |
= |
= |
|
|
|
|
|
|
|
2 Требования к подотчетности |
|
|
|
|
|
|
2.1 Идентификация и аутентификация |
+ |
+ |
+ |
= |
= |
= |
2.2 Предоставление надежного пути |
- |
- |
- |
+ |
+ |
= |
2.3 Аудит |
- |
+ |
+ |
+ |
+ |
= |
|
|
|
|
|
|
|
3 Требования к гарантированности |
|
|
|
|
|
|
3.1 Операционная гарантированность |
|
|
|
|
|
|
3.1.1 Архитектура системы |
+ |
+ |
+ |
+ |
+ |
= |
3.1.2 Целостность системы |
+ |
= |
= |
= |
= |
= |
3.1.3 Анализ тайных каналов передачи информации |
- |
- |
- |
+ |
+ |
+ |
3.1.4 Надежное администрирование |
- |
- |
- |
+ |
+ |
= |
3.1.5 Надежное восстановление |
- |
- |
- |
- |
+ |
= |
3.2 Технологическая гарантированность |
|
|
|
|
|
|
3.2.1 Тестирование |
+ |
+ |
+ |
+ |
+ |
+ |
3.2.2 Верификация спецификаций архитектуры |
- |
- |
+ |
+ |
+ |
+ |
3.2.3 Конфигурационное управление |
- |
- |
- |
+ |
= |
+ |
3.2.4 Надежное распространение |
- |
- |
- |
- |
- |
+ |
|
|
|
|
|
|
|
4 Требования к документации |
|
|
|
|
|
|
4.1 Руководство пользователя по средствам безопасности |
+ |
= |
= |
= |
= |
= |
4.2 Руководство администратора по средствам безопасности |
+ |
+ |
+ |
+ |
+ |
+ |
4.2 Тестовая документация |
+ |
= |
= |
+ |
= |
+ |
4.4 Описание архитектуры |
+ |
= |
+ |
+ |
+ |
+ |
Обозначения:
"-" - нет требований к данному классу;
"+" - новые или дополнительные требования;
"=" - требования совпадают с требованиями предыдущего класса.