Számítógépes rendszerek biztonságának meghatározásának kritériumai

A számítógépes rendszerek biztonságának meghatározásának kritériumai ( eng. Trusted Computer System Evaluation Criteria ) az Egyesült Államok Védelmi Minisztériumának szabványa , amely meghatározza a számítógépes rendszerekben található számítógépes biztonsági eszközök hatékonyságának értékelésének alapvető feltételeit. Kritériumok segítségével meghatározzák, osztályozzák és kiválasztják a számítógépes rendszereket az érzékeny vagy érzékeny információk feldolgozására, tárolására és visszakeresésére.

A gyakran Orange Book néven emlegetett kritériumok központi szerepet töltenek be a DoD "Rainbow Series" kiadványaiban . Eredetileg a Nemzetbiztonsági Ügynökség részlege , a National Computer Security Center adta ki 1983 -ban , majd 1985 -ben frissítették .

Az Orange Book analógja a 2005-ben kiadott ISO / IEC 15408 nemzetközi szabvány. Ez egy univerzálisabb és fejlettebb szabvány, de a közkeletű tévhitekkel ellentétben nem váltotta fel az Orange Book-ot a dokumentumok eltérő joghatósága miatt – az Orange Book-ot kizárólag az Egyesült Államok Védelmi Minisztériuma használja , míg az ISO/IEC 15408 ratifikálta . sok ország, köztük Oroszország.

Alapvető információk

Department of Defense Trusted Computer System Evaluation Criteria, TCSEC , DoD 5200.28 -STD, 1985. december 26., ismertebb nevén " Orange Book" ) a borító színe miatt.

Ez a szabvány nemzetközi elismerésben részesült, és rendkívül erős befolyást gyakorolt az információbiztonság (IS) területén a későbbi fejlesztésekre.

Ez a szabvány értékelési szabványokra vonatkozik ( információs rendszerek és biztonsági eszközök osztályozása ), és nem a biztonságos, hanem a megbízható rendszerekről szól .

Életünkben nincsenek abszolút rendszerek (beleértve a biztonságosakat is). Ezért azt javasolták, hogy csak az adott rendszerrel szemben adható bizalom mértékét értékeljék.

A szabvány tartalmazza az információbiztonság fogalmi alapjait ( biztonságos rendszer , megbízható rendszer , biztonsági politika , biztosítási szint , elszámoltathatóság , megbízható számítási bázis , hívásfigyelő , biztonsági mag , biztonsági kerület ).

A biztonságot és a bizalmat ebben a szabványban az információ-hozzáférés szabályozása szempontjából értékelik, amely a titkosság és integritás biztosításának egyik eszköze .

Egy egész " Rainbow Series " követte az "Orange Book"-ot . A legjelentősebb benne az "Orange Book" értelmezése volt a hálózati konfigurációkhoz ( English National Computer Security Center. Trusted Network Interpretation , NCSC-TG-005, 1987), ahol az első rész az "Orange Book"-ot értelmezi, ill. A második rész a hálózati konfigurációkra jellemző szolgáltatások biztonságát írja le.

Fő célok és eszközök

Irányelvek

A biztonsági szabályzatoknak részletesnek, egyértelműen meghatározottnak és a számítógépes rendszerre nézve kötelezőnek kell lenniük. Két fő biztonsági irányelv létezik:

Kötelező biztonsági szabályzat - kötelező hozzáférés-szabályozási szabályok, amelyek közvetlenül az egyéni engedélyen, az információkhoz való hozzáférésen és a kért információk titkosságának szintjén alapulnak. Egyéb közvetett tényezők jelentősek és környezeti tényezők. Ennek az irányelvnek szorosan összhangban kell lennie a törvénnyel, a fő irányelvvel és a szabályokat meghatározó egyéb fontos irányelvekkel.
- Címkézés – A kötelező kötelező biztonsági szabályzathoz tervezett rendszereknek biztosítaniuk kell és meg kell őrizniük a hozzáférés-vezérlési tokenek sértetlenségét, és tárolniuk kell a tokeneket, ha az objektumot áthelyezik.
Diszkrecionális biztonsági szabályzat – konzisztens szabályrendszert biztosít a hozzáférés ellenőrzésére és korlátozására azon felhasználók azonosítása alapján, akik csak a számukra szükséges információkat kívánják megkapni.

Felelősség

Az egyéni felelősségvállalásnak – a politikától függetlenül – kötelezőnek kell lennie. Három felelősségi követelmény van:

A hitelesítés az a folyamat, amelyet az egyes felhasználók felismerésére használnak.
Engedélyezés – egy adott felhasználó engedélyének ellenőrzése bizonyos típusú információk megszerzésére.
Audit – Az ellenőrzött információkat szelektíven tárolni és védeni kell a hitelesített felhasználó biztonságot befolyásoló tevékenységeinek nyomon követéséhez.

Garanciák

A számítógépes rendszernek tartalmaznia kell olyan hardver- és/vagy szoftvermechanizmusokat, amelyek önállóan meg tudják határozni, hogy kellő biztosítékot nyújtanak-e arra, hogy a rendszer megfelel a fenti követelményeknek. Ezenkívül a biztosítéknak tartalmaznia kell annak biztosítékát, hogy a rendszer biztonságos része csak rendeltetésszerűen működik. E célok eléréséhez kétféle garanciára és a hozzájuk tartozó elemekre van szükség:

Biztonsági mechanizmusok
- A működési biztosíték annak biztosítéka, hogy a megtervezett rendszer megvalósítása biztosítja az elfogadott rendszervédelmi stratégia megvalósítását. Ide tartozik a rendszerarchitektúra, a rendszerintegritás, a rejtett csatornaelemzés, a biztonságos képességkezelés és a biztonságos helyreállítás.
- Az életciklus-biztosítás annak biztosítéka, hogy a rendszert formalizált és szigorúan ellenőrzött teljesítménykritériumoknak megfelelően tervezték és tartják karban. Ez magában foglalja a biztonsági tesztelést, a tervezési leírást és ellenőrzést, a konfigurációkezelést és a rendszermegfelelőséget.
A folyamatos védelmi garanciák olyan megbízható mechanizmusok, amelyek az állóeszközök folyamatos védelmét biztosítják a bűnözéssel és/vagy a jogosulatlan változtatásokkal szemben.

Dokumentáció

Minden osztálynak van egy további dokumentumkészlete, amelyet a fejlesztőknek, felhasználóknak és rendszergazdáknak címeznek jogkörüknek megfelelően. Ez a dokumentáció a következőket tartalmazza:

Használati útmutató a biztonsági szolgáltatásokhoz.
Útmutató a biztonságos munkakörülményekhez.
Tesztdokumentáció.
Projekt dokumentáció

Alapfogalmak

Biztonságos rendszer

Ez egy olyan rendszer, amely ellenőrzi az információkhoz való hozzáférést, így csak a felhatalmazott személyek vagy a nevükben eljáró folyamatok jogosultak az információval dolgozni.

Megbízható rendszer

A szabványban megbízható rendszer alatt olyan rendszert értünk, amely hardvert és szoftvert használ annak biztosítására, hogy a felhasználók egy csoportja a hozzáférési jogok megsértése nélkül egyidejűleg feldolgozza a különböző titkossági kategóriájú információkat.

Biztonsági politika

Ez olyan törvények, szabályok, eljárások és magatartási kódexek összessége, amelyek szabályozzák, hogy egy szervezet hogyan dolgozza fel, védi és terjeszti az információkat. Sőt, a biztonsági politika az aktív védelmi módszerekre hivatkozik, mivel figyelembe veszi a lehetséges fenyegetések elemzését és a megfelelő ellenintézkedések megválasztását.

Jótállási szint

Ez magában foglalja az információs rendszer architektúrája és megvalósítása iránt adható bizalom mértékét, és megmutatja, hogy a mechanizmusok mennyire helyesek a biztonsági politika végrehajtásáért (a védelem passzív aspektusa).

Elszámoltathatóság

Az elszámoltathatósági csoportnak a következő követelményeket kell tartalmaznia:

1) Azonosítás és hitelesítés. Minden tantárgynak egyedi azonosítóval kell rendelkeznie. A hozzáférés-ellenőrzést a hozzáférés alanyának és objektumának azonosítása, azonosítóik hitelességének megerősítése (hitelesítés) és a hozzáférés-szabályozási szabályok alapján kell elvégezni. Az azonosításhoz és hitelesítéshez használt adatokat védeni kell a jogosulatlan hozzáféréstől, módosítástól és megsemmisítéstől, és hozzá kell rendelni a számítógépes rendszer minden olyan aktív komponenséhez, amelyek működése biztonsági szempontból kritikus.
2) Regisztráció és könyvelés. A felhasználók felelősségének mértékének meghatározásához a rendszerben végzett műveletekért minden benne előforduló, a biztonság szempontjából fontos eseményt nyomon kell követni és biztonságos protokollban rögzíteni (vagyis kell lennie egy számítógépes rendszerobjektumnak, áramlások, amelyekből és amelyekhez csak az ügyintézés alanya áll rendelkezésére) . A regisztrációs rendszernek elemeznie kell a teljes eseményfolyamot, és abból csak azokat az eseményeket kell kiválasztania, amelyek hatással vannak a biztonságra a protokoll mennyiségének csökkentése és elemzésének hatékonyságának növelése érdekében. Az eseménynaplót megbízhatóan védeni kell az illetéktelen hozzáféréstől, módosítástól és megsemmisítéstől.

Trusted Computing Base

Ez egy információs rendszer (szoftver és hardver) védelmi mechanizmusainak összessége, amelyek biztonsági politikát valósítanak meg.

Call Monitor

Az objektumokon végrehajtott bizonyos műveletek alanyok (felhasználók) általi teljesítményének szabályozása az (egy adott felhasználó) programokhoz és adatokhoz való hozzáférésének megengedhetőségének ellenőrzésével egy engedélyezett műveletsorral.

A hívásfigyelő kötelező tulajdonságai:

Elszigetelődés (a munka nyomon követhetetlensége).
Teljesség (lehetetlenség megkerülni).
Ellenőrizhetőség (elemzési és tesztelési képesség).

Security Core

Egy hívásfigyelő konkrét megvalósítása, amely garantáltan megváltoztathatatlan.

Biztonsági kerület

Ez a megbízható számítási bázis határa.

Biztonsági megvalósítási mechanizmusok

Önkényes hozzáférés-szabályozás

Ellenkező esetben önkéntes hozzáférés-szabályozás.

Az önkéntes hozzáférés-szabályozás az objektumokhoz való hozzáférés korlátozásának módszere az alany vagy a csoport identitása alapján, amelyhez az alany tartozik. Az önkéntes kezelés azt jelenti, hogy egy személy (általában az objektum tulajdonosa) saját belátása szerint más alanyoknak hozzáférési jogokat adhat, vagy megvonhat tőlük az objektumhoz való hozzáférést.

A legtöbb operációs rendszer és DBMS önkéntes hozzáférés-vezérlést valósít meg. Legfőbb előnye a rugalmasság, fő hátránya az irányítás szétszórtsága és a központosított irányítás bonyolultsága, valamint a hozzáférési jogok adatoktól való elkülönítése, ami lehetővé teszi a titkos információk nyilvános állományokba, vagy titkos állományok nem védett könyvtárakba másolását.

Object Reuse Security

Az objektumok újrafelhasználásának biztonsága a gyakorlati hozzáférés-szabályozás fontos kiegészítője, amely védelmet nyújt a titkos információk véletlen vagy szándékos kivonása ellen a "szemétből". Az újrafelhasználás biztonságát garantálni kell a fő memória területein (különösen a képernyőképeket tartalmazó pufferek, dekódolt jelszavak stb.), a lemezblokkok és általában a mágneses adathordozók esetében. Fontos figyelni a következő pontra. Mivel az alanyokkal kapcsolatos információk egyben objektumok is, ügyelnie kell a "tárgyak újrafelhasználásának" biztonságára. Amikor egy felhasználó elhagyja a szervezetet, nemcsak a bejelentkezést kell megakadályoznia, hanem meg kell tagadnia az összes objektumhoz való hozzáférést is. Ellenkező esetben az új munkavállaló megkaphatja a korábban használt azonosítót, és ezzel együtt elődjének minden jogát.

A mai intelligens perifériák megnehezítik az objektumok újrafelhasználásának biztonságát. A nyomtató valóban képes pufferelni egy dokumentum több oldalát, amelyek a nyomtatás befejezése után is a memóriában maradnak. Különleges intézkedésekre van szükség, hogy "kiszorítsák" őket onnan.

Biztonsági címkék

A címkék az alanyokhoz (megbízhatósági fok) és az objektumokhoz (információbizalmassági fok) tartoznak. A biztonsági címkék a biztonsági szintre és az adatok kategóriájára vonatkozó adatokat tartalmazzák. Az Orange Book szerint a biztonsági címkék két részből állnak – egy biztonsági szintből és egy kategóriák listájából. A rendszer által támogatott biztonsági szintek egy rendezett halmazt alkotnak, amely például így nézhet ki:

titkos;
titok;
bizalmasan;
nem titkos.

A különböző rendszerek esetében a biztonsági szintek készlete eltérő lehet. A kategóriák egy rendezetlen halmazt alkotnak. Céljuk, hogy leírják azt a tárgykört, amelyhez az adatok tartoznak. Katonai környezetben minden kategória megfelelhet például egy bizonyos típusú fegyvernek. A kategóriamechanizmus lehetővé teszi az információk rekeszekre való felosztását, ami hozzájárul a jobb biztonsághoz. Az alany nem férhet hozzá "idegen" kategóriákhoz, még akkor sem, ha azok biztonsági szintje "szigorúan titkos". A harckocsi-specialista nem ismeri fel a repülőgépek taktikai és műszaki adatait.

A fő probléma, amit a címkékkel kapcsolatban meg kell oldani, azok integritásának biztosítása. Először is, nem lehetnek címkézetlen alanyok és tárgyak, különben könnyen kihasználható lyukak lesznek a címkézett biztonságban. Másodszor, az adatokkal végzett műveleteknél a címkéknek helyesnek kell maradniuk. Ez különösen vonatkozik az adatok exportálására és importálására. Például egy nyomtatott dokumentumnak meg kell nyílnia egy fejléccel, amely a biztonsági címke szöveges és/vagy grafikus ábrázolását tartalmazza. Hasonlóképpen egy fájl kommunikációs csatornán történő átvitelekor a hozzá tartozó címkét is továbbítani kell, mégpedig úgy, hogy a távoli rendszer a titkossági szintek és a kategóriák esetleges eltérései ellenére is elemezni tudja.

A biztonsági címkék integritásának biztosításának egyik eszköze az eszközök felosztása többszintű és egyszintű eszközökre. A többszintű eszközök különböző titkossági szintű (pontosabban egy bizonyos szinttartományon belüli) információkat tárolhatnak. Az egyszintű eszköz egy többszintű eszköz degenerált esetének tekinthető, amikor a megengedett tartomány egyetlen szintből áll. Az eszköz szintjének ismeretében a rendszer el tudja dönteni, hogy szabad-e rá egy bizonyos címkével információt írni. Például meghiúsul a szigorúan titkos információk kinyomtatása egy nyilvános nyomtatón „nem titkos” szinttel.

Kényszerített hozzáférés-szabályozás

A kényszerített hozzáférés-vezérlés az alany és az objektum biztonsági címkéinek megfeleltetésén alapul. Az alany akkor tud információt olvasni egy objektumról, ha az alany biztonsági szintje legalább olyan magas, mint az objektumé, és az objektum biztonsági címkéjében felsorolt összes kategória megtalálható az alany címkéjében. Ilyen esetben azt mondják, hogy az alany címkéje uralja a tárgy címkéjét. Az alany információkat írhat egy objektumra, ha az objektum biztonsági címkéje dominál az alany biztonsági címkéjén. Különösen a „bizalmas” alany írhat titkos aktákba, de nem titkosakba nem (természetesen a kategóriakészletre vonatkozó korlátozásokat is be kell tartani). Első pillantásra furcsának tűnhet ez a korlátozás, de teljesen ésszerű. Semmilyen művelet esetén sem szabad csökkenteni az információtitok szintjét, bár a fordított folyamat teljesen lehetséges.

A leírt hozzáférés-szabályozási módszert kényszerítettnek nevezzük, mivel nem függ az alanyok akaratától, akiknek a helyén akár rendszergazdák is helyet kaphatnak. Az alanyok és objektumok biztonsági címkéinek rögzítése után a hozzáférési jogok is rögzítésre kerülnek. Kényszervezérlés szempontjából lehetetlen kifejezni a "Hozzáférés engedélyezése az X objektumhoz Y felhasználó számára is" mondatot. Természetesen megváltoztathatja Y felhasználó biztonsági címkéjét, de akkor nagy valószínűséggel számos további objektumhoz fog hozzáférni, nem csak X-hez.

A kényszerített hozzáférés-vezérlést az operációs rendszerek és a DBMS számos változatában megvalósítják, amelyeket fokozott biztonsági intézkedésekkel különböztetnek meg. Különösen a SunOS és az Ingres DBMS esetében léteznek ilyen lehetőségek. A gyakorlati felhasználástól függetlenül a kényszervezérlés elvei kényelmes módszertani alapot jelentenek az információk kezdeti besorolásához és a hozzáférési jogok elosztásához. Kényelmesebb biztonsági szintekben és kategóriákban gondolkodni, mint egy strukturálatlan hozzáférési mátrixot kitölteni. A való életben azonban ugyanazon a rendszeren belül kombinálják az önkéntes és a kényszerített hozzáférés-szabályozást, ami lehetővé teszi mindkét megközelítés erősségének kihasználását.

Szakaszok és osztályok

A kritériumok 4 részre oszlanak: D, C, B és A, amelyek közül a legbiztonságosabb az A. Mindegyik részleg jelentős különbséget jelent az egyes felhasználók vagy szervezetek bizalmában. A C, B és A szekciók hierarchikusan alszekciókba vannak rendezve, amelyeket osztályoknak nevezünk: C1, C2, B1, B2, B3 és A1. Minden szakasz és osztály kibővíti vagy kiegészíti az előző szakaszban vagy osztályban meghatározott követelményeket.

D - Minimális védelem

Olyan rendszerek, amelyek biztonságát értékelték, de megállapították, hogy nem felelnek meg a magasabb szakaszok követelményeinek.

C - diszkrecionális védelem

C1 – diszkrecionális biztonság.
- A felhasználók és az adatok elkülönítése
- Diszkrecionális hozzáférés-szabályozás , amely lehetővé teszi a hozzáférési korlátozások egyéni érvényesítését.
C2 - Beléptető
- Világosabban meghatározott diszkrecionális hozzáférés-szabályozás.
- Egyéni számlák, amelyekre a belépés engedélyezési eljárással lehetséges.
- Rendszer hozzáférési napló.
- Erőforrások elszigeteltsége.

B - Kötelező védelem

B1 – Metabiztonsági védelem
- Kötelező hozzáférés-szabályozás a kiválasztott témákhoz és objektumokhoz.
- Minden feltárt hiányosságot meg kell szüntetni vagy más módon meg kell szüntetni.
- Adatjelölés
B2 - Strukturált védelem
- A biztonsági szabályok jól meghatározott és dokumentált modellje.
- Fejlett diszkrecionális és kötelező hozzáférés-szabályozás alkalmazása minden objektumra és alanyra.
- Rejtett tároló csatornák.
B3 – Biztonsági tartományok
- Ügyfigyelő megfelelőség .
- Strukturálás olyan kód kizárására, amely nem felel meg a kötelező biztonsági szabályzat követelményeinek.
- Biztonsági rendszergazdai támogatás.
- Ilyen rendszer például az XTS-300 , az XTS-400 elődje .

A - Bevált védelem

A1 – Bevált design.
- Funkcionálisan megegyezik a B3-mal.
- Formalizált tervezés és bevált technikák, beleértve a magas szintű specifikációt.
- Formalizált irányítási és elosztási eljárások.
- Ilyen rendszer például a SCOMP , az XTS-400 elődje.
A1 felett
- Rendszerarchitektúra, amely bizonyítja, hogy a referencia-monitorok önvédelmi és hasznossági követelményei teljesültek a "Secure Computing Base"-vel (a biztonságorientált operációs rendszerekben kötelező biztonsági szabályzathoz szükséges szoftverek és hardverek gyűjteménye) összhangban.

Biztonsági osztályok

A kritériumok először négy megbízhatósági szintet vezettek be - D, C, B és A, amelyek osztályokra vannak osztva. Csak hat biztonsági osztály létezik - C1, C2, B1, B2, B3, A1 (a szigorítási követelmények sorrendjében).

D szint

Ez a szint a nem kielégítőnek ítélt rendszerek számára készült.

C szint

Ellenkező esetben tetszőleges hozzáférés-szabályozás.

C1 osztály

Egy adott osztályra vonatkozó biztonsági politikának és bizonyossági szintnek meg kell felelnie a következő kritikus követelményeknek:

a megbízható számítási bázisnak kezelnie kell a megnevezett felhasználók hozzáférését a megnevezett objektumokhoz;
a felhasználóknak azonosítaniuk kell magukat, és a hitelesítési információkat védeni kell az illetéktelen hozzáféréstől;
a megbízható számítástechnikai bázisnak fenntartania kell a saját végrehajtására szolgáló, külső hatásoktól védett területet;
hardvernek vagy szoftvernek rendelkezésre kell állnia a megbízható számítástechnikai bázis hardver- és firmware-összetevőinek megfelelő működésének időszakos ellenőrzéséhez;
a védelmi mechanizmusokat tesztelni kell (nincs mód a megbízható számítási bázis védelmének megkerülésére vagy megsemmisítésére);
le kell írni a biztonság megközelítését és annak alkalmazását a megbízható számítási bázis megvalósításában.

C2 osztály

A C1-en kívül:

A hozzáférési jogoknak részletesnek kell lenniük a felhasználó számára. Minden objektumot hozzáférés-szabályozásnak kell alávetni.
Amikor egy tárolt objektumot lefoglalnak a megbízható számítási bázis erőforráskészletéből, használatának minden nyomát meg kell szüntetni.
a rendszer minden felhasználóját egyedileg azonosítani kell. Minden naplózott műveletet egy adott felhasználóhoz kell társítani.
a megbízható számítástechnikai bázisnak létre kell hoznia, karbantartania és védenie kell a bázis által vezérelt objektumokhoz való hozzáféréssel kapcsolatos naplózási információk naplóját.
a tesztelésnek meg kell erősítenie, hogy nincsenek nyilvánvaló hiányosságok az erőforrások elkülönítésére és a regisztrációs adatok védelmére szolgáló mechanizmusokban.

B szint

Más néven kényszerített hozzáférés-vezérlés.

B1 osztály

A C2-n kívül:

a megbízható számítási bázisnak kezelnie kell az egyes tárgyakhoz és tárolt objektumokhoz társított biztonsági címkéket.
a megbízható számítási bázisnak biztosítania kell az összes alany kényszerített hozzáférés-vezérlésének megvalósítását az összes tárolt objektumhoz.
a megbízható számítási bázisnak biztosítania kell a folyamatok kölcsönös elkülönítését a címtereik elkülönítésével.
a megbízható számítási bázis megvalósítását teljes mértékben ismerő szakemberek csoportjának alapos elemzésnek és tesztelésnek kell alávetnie az architektúra leírását, a forrás- és az objektumkódokat.
léteznie kell egy informális vagy formális biztonsági politika modellnek, amelyet a megbízható számítási bázis támogat.

B2 osztály

A B1-en kívül:

minden olyan rendszererőforrást (pl. ROM), amely közvetlenül vagy közvetve elérhető az alanyok számára, fel kell címkézni.
a megbízható számítási bázishoz a kezdeti azonosítási és hitelesítési műveleteket végrehajtó felhasználó számára megbízható kommunikációs utat kell fenntartani.
lehetővé kell tenni a titkos cserecsatornák szervezésével kapcsolatos események memóriával történő regisztrálását.
a megbízható számítási bázist belülről jól meghatározott, viszonylag független modulokba kell építeni.
a rendszertervezőnek gondosan elemeznie kell a rejtett memóriacsere-csatornák megszervezésének lehetőségeit, és értékelnie kell az egyes azonosított csatornák maximális áteresztőképességét.
bizonyítani kell a megbízható számítási bázis relatív ellenállását a behatolási kísérletekkel szemben.
a biztonságpolitikai modell legyen formális. A megbízható számítási bázisnak olyan legfelső szintű leíró specifikációkkal kell rendelkeznie, amelyek pontosan és teljes mértékben meghatározzák az interfészt.
a megbízható számítási bázis fejlesztése és karbantartása során konfigurációkezelő rendszert kell használni a legfelső szintű leíró specifikációk, egyéb architektúra adatok, megvalósítási dokumentáció, forráskód, az objektumkód működő verziója, tesztadatok, ill. dokumentáció.
a teszteknek meg kell erősíteniük a rejtett információátviteli csatornák áteresztőképességét csökkentő intézkedések hatékonyságát.

B3 osztály

A B2-n kívül:

tetszőleges hozzáférés-szabályozáshoz az engedélyezett módokat jelző hozzáférés-vezérlési listákat kell használni.
lehetővé kell tenni a rendszer biztonsági politikáját veszélyeztető események bekövetkezésének vagy felhalmozódásának regisztrálását. A biztonsági adminisztrátort haladéktalanul értesíteni kell a biztonsági szabályzat megsértésére irányuló kísérletekről, a rendszernek pedig, ha a próbálkozás folytatódik, a legkevésbé fájdalmas módon le kell állítania azt.
a megbízható számítási bázist úgy kell megtervezni és felépíteni, hogy teljes és fogalmilag egyszerű védekezési mechanizmust használjon, jól meghatározott szemantikával.
az elemzési eljárást ideiglenes rejtett csatornákra kell elvégezni.
meg kell adni a biztonsági rendszergazdai szerepkört. Csak kifejezett, naplózott műveletek végrehajtása után szerezhet biztonsági rendszergazdai jogosultságokat.
eljárásokat és/vagy mechanizmusokat kell bevezetni, amelyek lehetővé teszik a meghibásodásból vagy egyéb megszakításból történő helyreállítást a biztonság veszélyeztetése nélkül.
bizonyítani kell a megbízható számítási bázis rugalmasságát a behatolási kísérletekkel szemben.

Tier A

Ezt hívják ellenőrizhető biztonságnak.

A1 osztály

A B3 mellett:

A tesztelésnek igazolnia kell, hogy a megbízható számítási bázis megvalósítása megfelel a formális legfelső szintű specifikációknak.
a leíró jellegű, formális legfelsőbb szintű előírásokon túlmenően be kell mutatni. A rendszerek formális specifikációjának és ellenőrzésének korszerű módszereit kell alkalmazni.
A konfigurációkezelési mechanizmusnak le kell fednie a rendszer teljes életciklusát és minden biztonsággal kapcsolatos összetevőjét.
le kell írni a formális legfelső szintű specifikációk és a forráskód közötti megfelelést.

Rövid besorolás

Ez az Orange Book besorolása. Röviden a következőképpen fogalmazható meg:

C szint - tetszőleges hozzáférés-vezérlés;
B szint - kényszerített hozzáférés-vezérlés;
A szint – ellenőrizhető biztonság.

Természetesen számos komoly megjegyzés tehető a "Criteria..."-hoz (például az elosztott rendszerekben felmerülő problémák teljes figyelmen kívül hagyása). Mindazonáltal hangsúlyozni kell, hogy az Orange Book megjelenése minden túlzás nélkül mérföldkőnek számító esemény volt az információbiztonság területén. Megjelent egy általánosan elismert fogalmi alap, amely nélkül az információbiztonság problémáinak megvitatása is nehézkes lenne.

Meg kell jegyezni, hogy a Narancssárga könyvben rejlő hatalmas ideológiai potenciál még mindig nagyrészt kihasználatlan. Ez mindenekelőtt a technológiai garancia fogalmát érinti, amely a rendszer teljes életciklusára kiterjed - a specifikációk kidolgozásától az üzemeltetési fázisig. A modern programozási technológiával az így létrejövő rendszer nem tartalmazza az eredeti specifikációban szereplő információkat, a programok szemantikájára vonatkozó információk elvesznek.

Lásd még

közös kritériumok