Tài liệu Trusted computer system evaluation criteria

Trusted Computer System Evaluation Criteria (TCSEC) Trusted Computer System Evaluation Criteria (1983-1999), còn được biết đến như Orange Book, là phương pháp đánh giá an ninh máy tính tiên tiến đầu tiên. Orange Book là một phần của bộ sách được phát triển bởi Bộ Quốc Phòng trong thập niên 80 và được gọi là bộ sách cầu vồng(Rainbow) vì màu của bìa sách. Bộ sách Rainbow ghi lại các yêu cầu an ninh cho mạng máy tính(networks), cơ sở dữ liệu(databases), hệ thống audit, hướng dẫn mật khẩu(password guidance) và các thành phần hệ thống khác. Trọng tâm là bảo mật và bảo vệ các thông tin mật của chính phủ. 6 lớp đánh giá: D, C1, C2, B1, B2, B3, A1 TCSEC định nghĩa 6 lớp đánh giá được xác định bởi thang điểm đánh giá từ thấp nhất đến cao nhất: D, C1, C2, B1, B2, B3 và A1. Một sản phẩm máy tính được đánh giá có thể xếp hạng phù hợp dựa vào đánh giá TCSEC về sản phẩm đó. Như vậy một sản phẩm đã được đánh giá(evaluated product) được gọi là sản phẩm đã được xếp hạng(rated product). Yêu cầu về chức năng DAC - xác định cơ chế kiểm soát truy cập cho phép kiểm soát chia sẻ tên, đối tượng theo tên, cá nhân, nhóm. Yêu cầu này cũng đề cập đến lan truyền về quyền truy cập(access rights), mức độ chi tiết của kiểm soát(granularity of control), và danh sách điều khiển truy cập(access control lists). MAC - thể hiện điều kiện an ninh đơn giản và tài sản(*_property) từ mô hình bảo mật BellLaPadula. MAC không bắt buộc cho đến khi có B1. Sử dụng lại đối tượng(Object Reuse) - chỉ ra các mối đe dọa của kẻ tấn công thu thập thông tin từ các đối tượng có thể tái sử dụng như bộ nhớ hoặc bộ nhớ đĩa. Điều này cũng bao gồm việc thu hồi quyền truy cập từ chủ sở hữu cũ trước khi đối tượng sử dụng lại được phát hành và người dùng mới không thể đọc nội dung trước đó. Labels - Cho phép thực hiện MAC. Điều này cũng không yêu cầu mãi cho đến khi có B1. Cả subjects và object có nhãn. Các vấn đề khác đề cập đến sự trình bày chính xác của các lớp và rõ ràng, trích xuất các thông tin được gắn nhãn và gắn nhãn đầu ra con người có thể đọc và thiết bị. Identification and Authentication (I&A) - Cụ thể hóa rằng user định danh chính mình đến hệ thống và hệ thống xác thực định danh đó trước khi cho phép user đó sử dụng hệ thống. Nó cũng đề cập chi tiết đến dữ liệu xác thực bảo vệ dữ liệu xác thực và liên kết định danh với hành động có thể audit. Trusted Path - cung cấp đường truyền thông được đảm bảo giữa người dùng và TCB. Điều này không được yêu cầu mãi cho đến B2. Audit - đề cập đến sự tồn tại của các phương thức audit cũng như bảo vệ dữ liệu audit. Điều này định nghĩa audit ghi lại phải chứa những gì và những event nào phải được audit. Các yêu cầu kiến trúc hệ thống và yêu cầu chức năng là một phần của mô hình.. Một số yêu cầu bổ sung bao gồm cơ chế xác thực tham chiếu giả mạo, tiến trình cách ly, nguyên tắc đặc quyền tối thiểu và giao diện người dùng được định nghĩa rõ ràng. Quản lý cơ sở tin cậy yêu cầu phải tách vai trò của nhà điều hành và quản trị viên ở cấp độ B2. Yêu cầu đảm bảo Quản lí cấu hình(Configuration Management) - bắt đầu từ B2 và tăng lên cho các cấp độ cao hơn. Yêu cầu này chỉ ra định danh của mỗi cấu hình, ánh xạ phù hợp trong tất cả tài liệu và code, và công cụ tạo ra các TCB. Phân phối tin tưởng(Trusted Distribution) - chỉ ra tính toàn vẹn khi ánh xạ giữa master và on-site version của phần mềm cũng như là sản xuất cho khách hàng. Đây là nguyên tắc của cấp độ A1. Kiến trúc hệ thống(System Architecture) - ủy nhiệm mô-đun(mandates modularity), giảm thiểu sự phức tạp và các công nghệ khác để giữ TCB nhỏ và đơn giản nhất có thể. Tại cấp độ 3, TCB phải là cơ chế xác nhận tham chiếu đầy đủ. Thông số kỹ thuật thiết kế và xác minh( Design Specification and Verification ): chỉ ra một lượng lớn các yêu cầu cá nhân, khác nhau giữa các lớp đánh giá. Kiểm tra(testing): chỉ ra các yêu cầu, khả năng chống xâm nhập và hiệu chỉnh các sai xót, sau đó kiểm tra lại. Yêu cầu tìm kiếm các kênh bí mật bao gồm việc sử dụng các phương pháp chính thức ở cấp độ đánh giá cao hơn. Tài liệu về sản phẩm(Product Documentation) - được chia thành tài liệu hướng dẫn thành phần an toàn thông tin người sử dụng(Security Features User’s Guide) và tài liệu hướng dẫn quản trị gọi là Trusted Facility Manual. Tài liệu nội bộ bao gồm thiết kế và kiểm tra tài liệu. Các lớp đánh giá D. Bảo vệ tối thiểu   Không có tính chất bảo mật. Đánh giá ở cấp độ cao hơn và thất bại. C1. Bảo vệ tùy chọn(Discretionary Protection)     DAC. Yêu cầu định danh và xác thực. Đảm bảo tối thiểu. Đánh giá không có gì sau năm 1986. C2. Bảo vệ điều khiển truy cập(Controlled Access Protection)     C1+. Khả năng audit và theo dõi các truy cập cá nhân. Kiểm tra an ninh nghiêm ngặt hơn. Hầu hết các hệ điều hành ở cuối TCSEC đều có tích hợp yêu cầu C2. B1. Bảo vệ an ninh gắn nhãn(Labeled Security Protection)       C2 +. MAC cho từng tập đối tượng cụ thể. Mỗi đối tượng được kiểm soát phải được gán dãn cho mức độ bảo mật và nhãn đó được dùng để kiểm soát truy cập. Yêu cầu kiểm tra bảo mật nghiêm ngặt hơn. Mô hình bảo mật không chính thức cho cả loại có cấp bậc và không cấp bậc. Mô hình an ninh không chính thức được thể hiện và phù hợp với tiên để của nó. B2. Bảo vệ cấu trúc         B1+. MAC cho tất cả các đối tượng. Gán nhãn được mở rộng. Đường tin cậy cho đăng nhập. Yêu cầu sử dụng nguyên tắc quyền truy cập tối thiểu. Phân tích các kênh bí mật. Quản lí cấu hình. Mô hình chính thức về chính sách an ninh được chứng minh là phù hợp với các tiên đề của nó. B3. Những miền an ninh         B2+. Thiết kế cấp độ cao – đơn giản.  Phân tầng.  Trừu tượng hóa.  Che dấu dữ liệu. Chức năng an toàn chống làm bằng chứng giả. Tăng yêu cầu về đường truyền tin cậy. Yêu cầu đảm bảo đáng kể. Tài liệu hướng dẫn quản trị. Tài liệu thiết kế. DTLS – Mô tả cụ thể các tầng trên. A1. Bảo vệ được xác minh    B3+. Đảm bảo. Các phương thức chính thức  Phân tích kênh bí mật.  Thiết kế cụ thể và minh bạch.    Phân phối tin cậy. Tài liệu thiết kế và kiểm tra được nâng lên. FTLS – Formal Top Level Specification. Vấn đề(Issues) Phương pháp đánh giá TCSEC có 3 vấn để cơ bản. Chúng là: 1. Criteria Creep Việc mở rộng dần dần các yêu cầu xác định các lớp đánh giá TCSEC là không thể tránh khỏi. Khi sản phẩm mới được phát triển, các tiêu chí cần được áp dụng vào những sản phẩm đó. 2. Timeless of the Process Tiến trình chiếm quá nhiều thời gian: sự hiểu nhầm về độ sâu của đánh giá và thời gian yêu cầu. Tương tác giữa các nhóm đánh giá: lập kế hoạch về các vấn đề và sự hiểu nhầm khi thực hiện đánh giá. Quản lí đánh giá: đánh giá miễn phí dẫn đến thiếu động lực. 3. Tập trung vào OS Vấn đề an ninh đã được mở rộng ra khỏi hệ điều hành vào những năm 90.