Viděno přes oranžové brýle

Pokud pracujete na nezasíťovaném počítači s Windows 95 nebo MS-DOSem, můžete mít pocit, že se vás to netýká. Kanc...


Pokud pracujete na nezasíťovaném počítači s Windows 95 nebo MS-DOSem, můžete
mít pocit, že se vás to netýká. Kancelář s počítačem zamykáte a na nechtěného
vetřelce upozorní poplašné zařízení. Tak jakápak bezpečnost informačního
systému? A ještě navíc podle nějaké barevné knihy?
Pravda, někteří lidé se na to dívají i jinak. Patří mezi ně nepochybně řada
bezpečnostních odborníků nejrůznějších firem, ale třeba také odborníci z
Národního střediska pro standardy nebo Ministerstva obrany Spojených států. A
tak vznikl dokument známý jako Oranžová kniha, plným jménem pak "Kritéria
hodnocení zabezpečených počítačových systémů" (Trusted Computer System
Evaluation Criteria), zveřejněná v srpnu roku 1983 ve Spojených státech. Na
Internetu je tento text dostupný např. na adrese
bilbo.isu.edu/security/isl/d520028.html. Z původního vydání Department of
Defense Computer Security Centre byla kniha v roce 1993 přeložena také do
češtiny a vydána nakladatelstvím BEN.
O čem to je
Samozřejmě o bezpečnosti. Nejen o té, která by měla být zajištěna v každé
firmě, která si svých informací váží, ale také o té, kterou je třeba zajistit
utajeným materiálům v armádě. Protože se požadavky na bezpečnost různých
systémů poměrně podstatně liší, zavádí kniha jasně oddělené bezpečnostní třídy
pro jejich klasifikaci. Přičemž cílem bylo vytvořit jich přesně tolik, aby od
sebe systémy oddělily, a přitom nevznikl systém, který by byl nepřehledný.
V této knize jsou počítačové systémy rozděleny podle dosažené bezpečnosti do 4
základních skupin, které se dále dělí na třídy. Rozdělení vychází nejen ze
splnění požadavků na autentizaci uživatelů a řízení přístupu k souborům,
adresářům apod., ale také např. z definované individuální odpovědnosti osob
nebo z úrovně dokumentace. Stanoveny však jsou např. i požadavky na personální
obsazení testovacích týmů systému.
Pro definici bezpečnosti je samozřejmě třeba zavést řadu pojmů. Patří mezi ně
mj. i pojem subjekt, tedy uživatel počítačového systému a objekt, tedy např.
soubor, adresář, proces apod. Hovoří se také o referenčním monitoru, jehož
úkolem je kontrola přístupů k objektům, nebo o skrytých kanálech pro data.
Skryté kanály se dělí na paměťové a časové; v prvním případě jde o sdělovací
kanály, které umožňují přímý nebo nepřímý zápis paměťového místa jednomu
procesu a jeho přímé nebo nepřímé čtení jinému procesu. Ve druhém případě se
pak jedná o umožnění signalizace informací jedním procesem druhému.
K jejich potlačení je tedy třeba nejen striktní oddělení úseků paměti, ale také
např. jejich vymazání po dealokaci. Požadovaná bezpečnost může omezit výkon
systému, takže je třeba najít kompromis. Ten může vycházet z rozdělení kanálů
na ty s velkou propustností (za tu je považována již propustnost 100 b/s) a na
kanály s propustností malou. Důležitým pojmem je také návěstí utajení, které
popisuje stupeň utajení dat v objektu.
A proč to všechno
Zmíněná kritéria v Oranžové knize byla navržena za účelem stanovení měřítka
sloužícího výrobcům a uživatelům k posouze-ní stupně zabezpečení jimi
navrhovaných a používaných systémů. Kritéria hodnocení obsahují 2 typy
požadavků: požadavky na ochranu a požadavky na záruky této ochrany. Každý
systém lze hodnotit buď samostatně, nebo ve specifickém prostředí.
Základní požadavky na zabezpečení počítačů se podle Orange Book dají rozdělit
do 6 kategorií, z nichž 4 stanovují, co je třeba poskytnout ke kontrole při
přístupu k informacím a 2 zkoumají, jak je možno získat záruku, že je tento
přístup v počítačovém systému dostatečně propracován.
1.ĘBezpečnostní politika musí být dána dobře definovaná a systémem prosazovaná
bezpečnostní politika, která identifikuje jednotlivé objekty a stanovuje soubor
pravidel. Počítačové systémy musí dodržování této politiky vynucovat.
2.ĘOznačení návěstí řízení přístupu (závisející na stupni utajení dat v
objektech) musí být spojeno s objekty.
3.ĘIdentifikace jednotliví uživatelé musí být identifikováni, každý přístup k
informaci tedy musí být založen na znalosti, kdo k ní přistupuje a jaká má
oprávnění.
4.ĘOdpovědnost kontrolní údaje musí být uchovávány tak, aby se dalo kdykoli
zjistit, kdo je zodpovědný za každou jednotlivou akci. Zabezpečený systém tedy
musí být schopen zaznamenat výskyty událostí důležitých pro ochranu dat do
souboru, který lze využít k následné analýze.
5.ĘZáruka počítačový systém v sobě musí obsahovat hardwarové a softwarové
mechanismy, které mohou nezávisle na sobě zaručovat, že systém vynucuje
požadavky 1-4. Tyto mechanismy jsou součástí operačního systému a přidělené
úlohy provádějí v chráněném režimu.
6.ĘNepřetržitá ochrana zabezpečovací mechanismy musí být nepřetržitě chráněny
proti neautorizovanému zásahu. Počítačový systém nemůže být považován za
bezpečný, jestliže jsou zmíněné systémy podřízeny neautorizované modifikaci.
Popis systému a jeho implementace by měly být zdokumentovány tak, aby bylo
možno kdykoli zjistit, zda systém vyhovuje daným požadavkům.
Jednotlivé skupiny
Jak už bylo uvedeno výše, jsou podle Oranžové knihy systémy podle splnění
jednotlivých kritérií rozděleny do 4 skupin. Jedná se o skupiny A-D, kde
nejvyšší bezpečnost garantuje skupina A. V rámci skupin C a B ještě existují
podskupiny označované jako třídy.
Zatímco záruka správnosti projektu a implementace pro systémy skupiny C a
nižších tříd skupiny B je dosažena převážně testováním bezpečnostně význam-ných
částí systému (označovaných TCB Trusted Computing Base zabezpečená výpočetní
základna), reprezentanti vyšších tříd skupiny B a skupiny A odvozují svoji
bezpečnost spíše z vlastního projektu a implementační struktury. Zvýšená záruka
je docílena analýzou ve fázi projektování.
Podívejme se nyní postupně na jednotlivé skupiny a třídy zabezpečení.
ŠSkupina D Minimální ochrana toto označení je určeno pro systémy, které sice
byly hodnoceny, ale nevyhovují požadavkům na vyšší bezpečnostní třídu.
ŠSkupina C Výběrová ochrana třídy v této skupině poskytují tzv. výběrovou
ochranu, jsou v nich tedy začleněny určité prověřovací schopnosti. Patří sem
tyto třídy:
ŠC1 Zabezpečení ochrany výběrem systém TCB splňuje požadavky výběrové ochrany
tím, že odděluje uživatele od dat. Je zde možno vynutit přístupová omezení, ale
předpokládá se, že tu každý uživatel zpracovává data na téže úrovni utajení.
Před vstupem každého uživatele do systému se vyžaduje jeho identifikace
prostřednictvím nějakého bezpečného mechanismu, např. hesla. Autentizační údaje
musí být pochopitelně chráněny před neoprávněnými zásahy, stejně jako by TCB
měla být chráněna před vnějšími zásahy, např. před neoprávněnou modifikací
kódu. Vyžadována je též schopnost periodického ověření funkčnosti hardwarových
i softwarových prvků TCB. Se zabezpečením souvisejí i požadavky na dokumentaci,
která má popisovat bezpečnostní mechanizmy a směrnice pro jejich použití.
ŠC2 Ochrana řízeným přístupem systémy v této třídě se liší od systémů v třídě
C1 především jemnějším řízením přístupu, schopností zaznamenat bezpečnostně
významné události a oddělením síťových zdrojů. Systém odpovídající požadavkům
této skupiny by měl dovolit vybraným jedincům přiřazovat práva dalším
uživatelům a skupinám; ovšem tak, aby povolení přístupu k objektu ještě
neznamenalo jeho vlastnictví. Je-li paměťový objekt někam přesunut, musí být
zajištěno, že neobsahuje data, ke kterým by se na novém místě mohl dostat
neoprávněný subjekt. TCB by měla umožnit bezpečnou autentiza-ci uživatele a
také následnou kontrolu všech bezpečnostně významných akcí, které v systému
učinil. Tak se zajistí odpovědnost jednotlivých uživatelů za jejich chování.
Kontrolní záznamy pochopitelně musí být chráněny proti neoprávněnému přístupu.
Sledování se má výslovně týkat použití mechanizmů identifikace, otevření
adresářů a souborů vč. jejich spuštění, zrušení objektů a činností provedených
operátory počítače. Pro každou takovou událost by měl kontrolní záznam
obsahovat datum a čas, kdy se stala, uživatele, její typ a také její úspěch
nebo neúspěch. Jsou tedy zaznamenávány i pouhé pokusy o provedení nějaké akce.
ŠSkupina B Direktivní ochrana hlavním požadavkem v této skupině je taková TCB
(zabezpečená výpočetní základna), která zachovává integritu návěští utajení a
přenáší je spolu s datovými strukturami systému. Projektant systému zde také
musí poskytnout model bezpečnostní politiky, na němž je TCB založena a musí
poskytnout doklad, že byla implementována koncepce již výše zmíněného
referenčního monitoru, u kterého navíc musí pro třídu B2 existovat záruka jeho
odolnosti a nemožnosti jeho vyřazení z provozu.
ŠB1 Ochrana bezpečnosti návěstím kromě požadavků uplatňovaných již na třídu C2
je od této třídy nezbytné také označení všech dat návěstím, které definuje
stupeň jejich utajení. Požadována je také schopnost systému přesně označit
exportované informace, import dat bez návěští musí povolit oprávněný uživatel.
Návěstí utajení musí být systémem TCB udržována tak, aby byla spojená s každým
subjektem a paměťovým objektem pod jeho řízením, ať už se jedná o proces,
soubor, adresář, zařízení apod. Návěstí musí být použita jako základ pro
povinné řízení přístupu, systém by měl podporovat alespoň 2 bezpečnostní
úrovně. TCB by měla označit příslušným návěstím utajení také každý výstup na
tiskárně, příp. na dalších výstupních zařízeních, a to v horní i spodní části.
Potlačení takového označení by mělo být monitorováno. Jednotlivé objekty v TCB
musí být přísně izolovány a bezpečnostní mechanizmy testovány podle
dokumentace, aby se příp. odhalily nedostatky v projektu nebo implementaci.
ŠB2 Strukturovaná ochrana na rozdíl od třídy B1 se vyžaduje především pečlivé
rozdělení objektů na objekty z hlediska ochrany významné a objekty nevýznamné.
Systémy certifikované na úrovni B2 musí také nabízet možnost důkladnějšího
testování a posílené autentizační mechanizmy. TCB musí být schopna okamžitě
uživatele upozornit na jakékoli změny v bezpečnostní úrovni s ním spojené a
měla by také umožňovat komunikaci s uživatelem prostřednictvím zabezpečené
cesty, jejíž použití ovšem musí být inicializováno přímo uživatelem. Minimální
a maximální bezpečnostní úrovně musí být stanoveny také pro všechna připojená
fyzická zařízení. TCB by měla být uvnitř strukturována do vzájemně nezávislých
modulů a oddělovat striktně prvky chráněné od nechráněných. Projektant by měl
také zjistit existenci skrytých paměťových kanálů a určit jejich propustnost,
přičemž by měly být v dokumentu plánu testování popsány výsledky testování
účinnosti metod použitých k její redukci. Mělo by být zajištěno oddělení funkcí
operátora a správce systému. Systém řízení konfigurace by měl zajistit
naprostou shodu mezi veškerou dokumentací a vlastním kódem TCB a rovněž by měly
být popsány procedury pro bezpečné generování nové TCB ze zdrojového kódu po
modifikaci libovolného modulu.
ŠB3 Bezpečnostní zóny pro tuto třídu je vyžadován dostatečně malý bezpečnostní
monitor, aby mohl být podroben analýze a testům. Prověřovací mechanizmy musí
být doplněny o signalizaci událostí významných z hlediska bezpečnosti a jsou
také vyžadovány systémové procedury zotavení. Ke každému objektu musí existovat
seznam jednotlivců nebo skupin s jejich příslušnými způsoby přístupu, navíc by
mělo být možno definovat i seznam těch, kteří k němu nemají žádný přístup.
Systém by měl monitorovat výskyt událostí, které naznačují možné porušení
ochrany a po překročení určitého limitu upozornit správce. Bezpečná cesta mezi
TCB a uživatelem by měla být logicky izolována od ostatních cest. Vyžadováno je
též výrazné oddělení funkce bezpečnostního správce systému od běžných správců.
Po selhání systému musí být zajištěno jeho zotavení bez vzniku rizik v oblasti
ochrany dat.
ŠSkupina A Verifikovaná ochrana tato skupina především vyžaduje (kromě všeho
již výše uvedeného) použití metod formální bezpečnostní kontroly, která
zajišťuje, že výběrové a direktivní řízení bezpečnosti může efektivně ochránit
utajované informace. Je vyžadována ještě obsáhlejší dokumentace.
ŠA1 Verifikovaný projekt tato třída se v požadavcích na TCB neliší od třídy B3,
ale vyžaduje se analýza odvozená od formální specifikace projektu a vysoký
stupeň jistoty správné implementace TCB. Nutností je i přísnější správa
konfigurace a jsou stanoveny také procedury pro bezpečnou distribuci systému
jednotlivým pracovištím. Novinkou je i požadavek na zajištění spolehlivé
ochrany všech materiálů použitých k popisu a generování TCB.
Veškerá další zlepšení bezpečnosti už jsou nad třídou A1, ale zatím pro ně
nebyly vytvořeny přesné definice tříd dalších.
Závěr
Popis jednotlivých kategorií je v Orange Book samozřejmě podstatně obsáhlejší,
takže pokud se o tuto problematiku hlouběji zajímáte, nelze asi jinak, než
doporučit její studium. Přesto by měl tento článek poskytnout alespoň základní
představu o tom, co je míněno např. tvrzením, že Windows NT splňují podmínky
pro bezpečnost C2.
Při zvažování zavádění informačního systému je ovšem třeba vzít také v úvahu,
že vyšší z vyjmenovaných kategorií byly navrhovány s ohledem na velmi citlivá
vojenská data, která vzhledem k možným rizikům vyžadují podstatně vyšší stupeň
utajení než firemní účetnictví. Aniž bychom tím chtěli snižovat jeho význam.
8 1726 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.