Открыть сервис

Оранжевая книга TCSEC

Оранжевая книга TCSEC — это неофициальное название документа «Trusted Computer System Evaluation Criteria» (TCSEC, «Критерии оценки доверенных компьютерных систем»), стандарта Министерства обороны США, опубликованного в 1983 году и определяющего требования к безопасности компьютерных систем. Название «Оранжевая книга» возникло из-за оранжевого цвета обложки документа. TCSEC стал одним из первых формальных и наиболее влиятельных стандартов в области оценки защищённости информационных систем, заложив основу для последующих международных и национальных стандартов, в том числе «Общих критериев» (Common Criteria).

История

Разработка TCSEC началась в конце 1970-х годов в ответ на растущую потребность военных и правительственных организаций США в стандартизированной методологии оценки безопасности компьютерных систем. До появления TCSEC оценка защищённости проводилась разрозненно, без единой шкалы и критериев. Основной вклад в создание документа внесли Национальный центр компьютерной безопасности (National Computer Security Center, NCSC) и Агентство национальной безопасности (NSA).

Первая версия TCSEC была выпущена в 1983 году. В 1985 году вышла вторая, доработанная редакция (DoD 5200.28-STD), которая стала основной. Документ был официально принят Министерством обороны США и использовался для сертификации компьютерных систем, предназначенных для обработки секретной и особой важности информации. В 1990-х годах, с развитием сетевых технологий и распределённых систем, TCSEC постепенно уступил место более современным стандартам, таким как «Федеральные критерии» (Federal Criteria, 1992) и «Общие критерии» (ISO/IEC 15408, 1999). Официально TCSEC был заменён «Общими критериями» в 2005 году.

Структура и основные понятия

TCSEC определяет иерархическую систему классов защиты, основанную на четырёх основных группах (делениях, divisions) и нескольких уровнях (classes) внутри каждой группы. Оценка системы производится на основе выполнения набора требований, разделённых на четыре категории: политика безопасности (Security Policy), подотчётность (Accountability), гарантии (Assurance) и документация (Documentation).

Деления и классы защиты

TCSEC выделяет четыре деления, обозначаемые буквами D, C, B и A, где A — наивысший уровень защиты.

  • Деление D: Минимальная защита (Minimal Protection). Класс D. Системы, не удовлетворяющие требованиям ни одного из более высоких классов. Фактически это означает отсутствие какой-либо формальной оценки безопасности.
  • Деление C: Дискреционная защита (Discretionary Protection). Основано на контроле доступа на усмотрение владельца ресурса. Включает два класса:
  • Класс C1: Дискреционная защита (Discretionary Security Protection). Требует реализации дискреционного управления доступом (DAC), позволяющего владельцам файлов и других объектов разрешать или запрещать доступ другим пользователям. Также требуется идентификация и аутентификация пользователей.
  • Класс C2: Управляемый доступ (Controlled Access Protection). Более строгий, чем C1. Вводит требования к подотчётности: система должна вести журнал (аудит) всех событий, связанных с безопасностью (вход в систему, доступ к объектам, попытки нарушения прав). Также требуется изоляция ресурсов и защита памяти.
  • Деление B: Мандатная защита (Mandatory Protection). Основано на мандатном управлении доступом (MAC), при котором доступ к объектам определяется метками безопасности (уровнями секретности) субъектов и объектов. Включает три класса:
  • Класс B1: Защита с метками (Labeled Security Protection). Вводит мандатное управление доступом. Система должна поддерживать метки безопасности для всех субъектов и объектов. Требуется формальная модель политики безопасности.
  • Класс B2: Структурированная защита (Structured Protection). Более строгие требования к архитектуре системы. Она должна быть чётко разделена на защищённое ядро (security kernel) и непривилегированные процессы. Требуется формальная модель и верификация ключевых механизмов.
  • Класс B3: Домены безопасности (Security Domains). Минимальный размер ядра безопасности, исключение кода, не связанного с безопасностью. Требуется поддержка доменов безопасности и полная верификация архитектуры. Система должна быть устойчива к атакам.
  • Деление A: Верифицированная защита (Verified Protection). Наивысший уровень. Включает один класс:
  • Класс A1: Верифицированный проект (Verified Design). Требует формальной верификации всей системы, начиная от формальной модели политики безопасности и заканчивая реализацией. Документация должна быть полной и формальной. Система должна быть проанализирована на предмет скрытых каналов утечки информации.

Применение и значение

TCSEC использовался в США для сертификации операционных систем, баз данных и сетевого оборудования, предназначенных для работы с секретной информацией. Наиболее известными системами, получившими сертификацию по TCSEC, были:

  • Класс C2: операционные системы Microsoft Windows NT 4.0 (с пакетом обновлений), Novell NetWare, некоторые версии Unix.
  • Класс B1: операционная система Trusted Solaris (версия SunOS), HP-UX BLS (B1-версия), IBM z/OS (в части мэйнфреймов).
  • Класс B2: операционная система Honeywell Multics (одна из первых систем, получивших этот уровень).
  • Класс A1: не было коммерческих систем, сертифицированных на этом уровне, из-за чрезвычайно высоких требований к формальной верификации. Разрабатывались лишь экспериментальные прототипы.

Значение TCSEC выходит за рамки военной сферы. Он стал основой для разработки многих национальных стандартов:

  • Европейские критерии (ITSEC, Information Technology Security Evaluation Criteria) — европейский аналог, принятый в 1991 году.
  • Канадские критерии (CTCPEC, Canadian Trusted Computer Product Evaluation Criteria).
  • Федеральные критерии США (FC, Federal Criteria) — попытка объединить TCSEC и ITSEC.
  • «Общие критерии» (Common Criteria, ISO/IEC 15408) — международный стандарт, который вобрал в себя лучшие практики TCSEC, ITSEC и других национальных критериев.

Критика

TCSEC подвергался критике по нескольким причинам:

  • Ориентация на военные модели. Критерии были разработаны для защиты секретной информации в иерархических структурах (уровни секретности). Они плохо подходили для коммерческих систем, где важны другие аспекты безопасности, такие как целостность данных и доступность.
  • Сложность и стоимость сертификации. Процесс оценки был дорогим и длительным, что делало его доступным только для крупных государственных и военных проектов.
  • Недостаточное внимание к сетевым угрозам. TCSEC был создан в эпоху мэйнфреймов и терминалов, когда сетевые атаки были редкостью. Он не учитывал современные угрозы, такие как вирусы, черви и атаки на сетевые протоколы.
  • Отсутствие гибкости. Иерархическая система классов (от D до A) не позволяла комбинировать требования разных уровней для конкретных нужд.

Несмотря на критику, TCSEC сыграл ключевую роль в развитии теории и практики информационной безопасности, заложив основы для формального подхода к оценке защищённости и создания доверенных вычислительных сред.

Источники

  • Department of Defense Standard. «Trusted Computer System Evaluation Criteria» (DoD 5200.28-STD). December 1985.
  • National Computer Security Center. «A Guide to Understanding Trusted Computer System Evaluation Criteria» (NCSC-TG-001). 1987.
  • Pfleeger, C. P., Pfleeger, S. L. «Security in Computing». 4th ed. Prentice Hall, 2007.
  • Anderson, R. «Security Engineering: A Guide to Building Dependable Distributed Systems». 2nd ed. Wiley, 2008.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →