Группа В. Мандатное управление доступом.

Основные требования этой группы - мандатное (полномочное) управление доступом с использованием меток безопасности, реализация некоторой формальной модели политики безопасности, а также наличие спецификаций на функции ТСВ. В системах этой группы постепенно к классу ВЗ должен быть реализован монитор ссылок (или МБО в термино­логии гл.4), который должен контролировать все доступы субъектов к объектам системы.

Класс В1. Системы класса В1 должны удовлетворять требованиям класса С2. Кроме того, должны быть выполнены следующие дополни­тельные требования.

Политика безопасности. ТСВ должна обеспечивать пометку каждого субъекта и объекта системы. Метки секретности должны представлять уровень доступа субъекта и уровень секретности объекта, которым они соответствуют. Именно эти метки должны служить основой для принятия решения ТСВ при запросе субъекта доступа к объекту. При передаче ин­формации по каналам ввода/вывода ТСВ должна снабжаться соответст­вующими метками секретности. ТСВ должна также соответствующе мар­кировать метками секретности весь читаемый вывод. Доступ на чтение от субъекта к объекту может быть разрешен, только если уровень допуска субъекта не ниже уровня секретности объекта, а неиерархические катего­рии первого включают все неиерархические категории второго. Доступ на запись от субъекта к объекту, контролируемый ТСВ, может быть разре­шен, только если уровень допуска субъекта не выше уровня секретности объекта, а все неиерархические категории первого входят в неиерархиче­ские категории второго.

Подотчетность. Аудиту подлежат любые изменения меток секрет­ности читаемого вывода.

Гарантии. ТСВ должна обеспечивать изоляцию процессов системы, через выделение им соответствующего адресного пространства.

Целью тестирования является:

• Поиск всех каналов проникновения внешних субъектов с целью полу­чения несанкционированного доступа к информации.

• Получение гарантии того, что никакой неавторизованный для этого специально пользователь не может ввести ТСВ в состояние, в котором она не способна отвечать на запросы других субъектов.

ТСВ должна быть построена на основе неформальной или формаль­ной политики безопасности, которая должна поддерживаться на протяже­нии всего жизненного цикла системы.

Документация должна дополнительно включать:

• Для системного администратора описание функций, относящихся к безопасности ТСВ, а также описание путей и методов наилучшего ис­пользования защитных свойств системы; указание, как безопасно соз­дать новую ТСВ; описания выполняемых процедур, предупреждений и привилегий, необходимых для контроля за безопасной работой системы.

• Описание формальной или неформальной политики безопасности, а также то, как она реализована в системе.

Класс В2. Структурированная защита. Выполняются все требования класса защиты В1. Кроме того, в системах класса В2 ТСВ основывается на четко определенной и хорошо документированной формальной модели политики безопасности, требующей, чтобы мандатная и дискреционная системы разграничения доступа были распространены на все субъекты и объекты компьютерной системы. ТСВ должна быть четко структурирована на элементы, критичные с точки зрения безопасности и некритичные. Ин­терфейс ТСВ должен быть хорошо определен и ее проект и конечный ре­зультат должны быть подвергнуты полной проверке и тестированию. Ме­ханизм аудита должен быть усилен, введен контроль за конфигурацией системы. Система должна быть устойчива к внешнему проникновению.

Политика безопасности. ТСВ должна уведомлять каждого рабо­тающего в системе пользователя о любых изменениях его уровня секрет­ности, а последний должен иметь возможность запрашивать у системы полную информацию о своей метке секретности. ТСВ должно поддержи­вать минимальные и максимальные метки секретности любого присоеди­ненного физического устройства, которые должны определять непосред­ственное физическое окружение этого устройства.

Подотчетность. ТСВ должна обеспечить защищенный канал между собой и пользователем, осуществляющим вход в систему и аутентифика­цию. Инициатором осуществления соединения через такой защищенный канал может выступать только пользователь.

Гарантии. ТСВ должна быть внутренне структурирована на хорошо определенные, в большой степени независимые модули. Это достигается с помощью эффективного использования имеющегося в системе АО с целью разделения критичных и некритичных с точки зрения защиты моду­лей ТСВ. Все элементы ТСВ должны быть идентифицированы, а интер­фейс между ними полностью определен. ТСВ должна обеспечить разде­ление функций оператора и администратора системы.

Разработчики системы должны полностью выявить скрытые каналы утечки и провести их инженерное обследование с целью измерения ин­формационного потока для каждого канала. ТСВ должна быть рассмотре­на по всем положениям, относящимся к ее устойчивости к проникновению. Тестирование ТСВ должно показать, что она функционирует согласно представленной в описании высокоуровневой спецификации.

Формальная модель политики безопасности должна поддерживаться ТСВ на протяжении всего жизненного цикла компьютерной системы. Должна существовать служба управления конфигурацией системы и должны быть предоставлены средства для создания новых версий ТСВ.

Документация должна дополнительно включать:

• для системного администратора - описание того, как безопасно соз­дать новую ТСВ;

• результаты проверки эффективности использованных методов по со­кращению мощности скрытых каналов утечки информации.

Проектная документация должна включать описание интерфейса между модулями ТСВ. Должно быть представлено описание высокоуровневых спецификаций и того, что они точно соответствуют интерфейсу ТСВ, описание концепции монитора ссылок и показано, почему он кор­ректно выполняется и устойчив к модификации и блокировке. Документа­ция должна представлять результаты анализа скрытых каналов и затрат, необходимых для их сокращения.

Класс ВЗ. Домены безопасности. В системах класса ВЗ ТСВ должна удовлетворять всем требованиям предыдущего класса и дополнительно требованиям монитора ссылок, который должен быть:

• защищен от несанкционированного изменения или порчи;

• обрабатывать все обращения;

• прост для анализа и тестирования.

ТСВ должна быть структурирована таким образом, чтобы исключить код, не имеющий отношения к безопасности системы.

Дополнительно должно быть обеспечено:

• поддержка администратора безопасности;

• расширение механизма аудита с целью сигнализации о любых собы­тиях, связанных с безопасностью;

• поддержка процедуры восстановления системы.

Политика безопасности. Не включает существенных дополнитель­ных требований по сравнению с предыдущим классом защиты.

Подотчетность. Должно быть обеспечено создание защищенного канала для любого соединения пользователя с ТСВ (вход в систему, ау­тентификация, изменение секретных свойств объектов). Должен быть реализован механизм, осуществляющий анализ и накопление данных о событиях, имеющих отношения к безопасности и могущих послужить при­чиной нарушения политики безопасности. Этот механизм должен уведом­лять администратора безопасности, когда превышается некоторый порог срабатывания. Если это событие или последовательность событий про­должается, то система должна предпринять наименее разрушительное действие для их блокирования.

Гарантии. ТСВ должна быть разработана и структурирована с ис­пользованием полного, концептуально-целостного механизма защиты с точно определенной семантикой. Сложность ТСВ должна быть минимизи­рована. Должен быть исключен код, не имеющий отношения к безопасно­сти системы.

Функции, не связанные с управлением безопасностью и выполняе­мые пользователем, выступающим в роли администратора безопасности системы, должны быть ограничены набором только тех функций, которые делают более эффективным выполнение этой роли.

Должен быть обеспечен механизм восстановления при сбоях компь­ютерной системы без нарушения ее безопасности.

На этапе тестирования не должно быть найдено проектных брешей в системе защиты.

Должно быть четко показано, что высокоуровневая спецификация

ТСВ соответствует модели политики безопасности.

Документация дополнительно должна включать:

• для системного администратора - описание процедур, которые могут дать гарантию, что система начала свою работу безопасно;

• неформальное доказательство того, что все элементы ТСВ соответст­вуют высокоуровневой спецификации.