Mô tả:
Trusted Computer System Evaluation Criteria
(TCSEC)
Trusted Computer System Evaluation Criteria (1983-1999), còn được biết đến như Orange Book,
là phương pháp đánh giá an ninh máy tính tiên tiến đầu tiên. Orange Book là một phần của bộ
sách được phát triển bởi Bộ Quốc Phòng trong thập niên 80 và được gọi là bộ sách cầu
vồng(Rainbow) vì màu của bìa sách. Bộ sách Rainbow ghi lại các yêu cầu an ninh cho mạng
máy tính(networks), cơ sở dữ liệu(databases), hệ thống audit, hướng dẫn mật khẩu(password
guidance) và các thành phần hệ thống khác. Trọng tâm là bảo mật và bảo vệ các thông tin mật
của chính phủ.
6 lớp đánh giá: D, C1, C2, B1, B2, B3, A1
TCSEC định nghĩa 6 lớp đánh giá được xác định bởi thang điểm đánh giá từ thấp nhất đến cao
nhất: D, C1, C2, B1, B2, B3 và A1. Một sản phẩm máy tính được đánh giá có thể xếp hạng phù
hợp dựa vào đánh giá TCSEC về sản phẩm đó. Như vậy một sản phẩm đã được đánh
giá(evaluated product) được gọi là sản phẩm đã được xếp hạng(rated product).
Yêu cầu về chức năng
DAC - xác định cơ chế kiểm soát truy cập cho phép kiểm soát chia sẻ tên, đối tượng theo tên, cá
nhân, nhóm. Yêu cầu này cũng đề cập đến lan truyền về quyền truy cập(access rights), mức độ
chi tiết của kiểm soát(granularity of control), và danh sách điều khiển truy cập(access control
lists).
MAC - thể hiện điều kiện an ninh đơn giản và tài sản(*_property) từ mô hình bảo mật BellLaPadula. MAC không bắt buộc cho đến khi có B1.
Sử dụng lại đối tượng(Object Reuse) - chỉ ra các mối đe dọa của kẻ tấn công thu thập thông tin
từ các đối tượng có thể tái sử dụng như bộ nhớ hoặc bộ nhớ đĩa. Điều này cũng bao gồm việc thu
hồi quyền truy cập từ chủ sở hữu cũ trước khi đối tượng sử dụng lại được phát hành và người
dùng mới không thể đọc nội dung trước đó.
Labels - Cho phép thực hiện MAC. Điều này cũng không yêu cầu mãi cho đến khi có B1. Cả
subjects và object có nhãn. Các vấn đề khác đề cập đến sự trình bày chính xác của các lớp và rõ
ràng, trích xuất các thông tin được gắn nhãn và gắn nhãn đầu ra con người có thể đọc và thiết bị.
Identification and Authentication (I&A) - Cụ thể hóa rằng user định danh chính mình đến hệ
thống và hệ thống xác thực định danh đó trước khi cho phép user đó sử dụng hệ thống. Nó cũng
đề cập chi tiết đến dữ liệu xác thực bảo vệ dữ liệu xác thực và liên kết định danh với hành động
có thể audit.
Trusted Path - cung cấp đường truyền thông được đảm bảo giữa người dùng và TCB. Điều này
không được yêu cầu mãi cho đến B2.
Audit - đề cập đến sự tồn tại của các phương thức audit cũng như bảo vệ dữ liệu audit. Điều này
định nghĩa audit ghi lại phải chứa những gì và những event nào phải được audit.
Các yêu cầu kiến trúc hệ thống và yêu cầu chức năng là một phần của mô hình.. Một số yêu cầu
bổ sung bao gồm cơ chế xác thực tham chiếu giả mạo, tiến trình cách ly, nguyên tắc đặc quyền
tối thiểu và giao diện người dùng được định nghĩa rõ ràng. Quản lý cơ sở tin cậy yêu cầu phải
tách vai trò của nhà điều hành và quản trị viên ở cấp độ B2.
Yêu cầu đảm bảo
Quản lí cấu hình(Configuration Management) - bắt đầu từ B2 và tăng lên cho các cấp độ cao
hơn. Yêu cầu này chỉ ra định danh của mỗi cấu hình, ánh xạ phù hợp trong tất cả tài liệu và code,
và công cụ tạo ra các TCB.
Phân phối tin tưởng(Trusted Distribution) - chỉ ra tính toàn vẹn khi ánh xạ giữa master và on-site
version của phần mềm cũng như là sản xuất cho khách hàng. Đây là nguyên tắc của cấp độ A1.
Kiến trúc hệ thống(System Architecture) - ủy nhiệm mô-đun(mandates modularity), giảm thiểu
sự phức tạp và các công nghệ khác để giữ TCB nhỏ và đơn giản nhất có thể. Tại cấp độ 3, TCB
phải là cơ chế xác nhận tham chiếu đầy đủ.
Thông số kỹ thuật thiết kế và xác minh( Design Specification and Verification ): chỉ ra một lượng
lớn các yêu cầu cá nhân, khác nhau giữa các lớp đánh giá.
Kiểm tra(testing): chỉ ra các yêu cầu, khả năng chống xâm nhập và hiệu chỉnh các sai xót, sau đó
kiểm tra lại. Yêu cầu tìm kiếm các kênh bí mật bao gồm việc sử dụng các phương pháp chính
thức ở cấp độ đánh giá cao hơn.
Tài liệu về sản phẩm(Product Documentation) - được chia thành tài liệu hướng dẫn thành phần
an toàn thông tin người sử dụng(Security Features User’s Guide) và tài liệu hướng dẫn quản trị
gọi là Trusted Facility Manual. Tài liệu nội bộ bao gồm thiết kế và kiểm tra tài liệu.
Các lớp đánh giá
D. Bảo vệ tối thiểu
Không có tính chất bảo mật.
Đánh giá ở cấp độ cao hơn và thất bại.
C1. Bảo vệ tùy chọn(Discretionary Protection)
DAC.
Yêu cầu định danh và xác thực.
Đảm bảo tối thiểu.
Đánh giá không có gì sau năm 1986.
C2. Bảo vệ điều khiển truy cập(Controlled Access Protection)
C1+.
Khả năng audit và theo dõi các truy cập cá nhân.
Kiểm tra an ninh nghiêm ngặt hơn.
Hầu hết các hệ điều hành ở cuối TCSEC đều có tích hợp yêu cầu C2.
B1. Bảo vệ an ninh gắn nhãn(Labeled Security Protection)
C2 +.
MAC cho từng tập đối tượng cụ thể.
Mỗi đối tượng được kiểm soát phải được gán dãn cho mức độ bảo mật và
nhãn đó được dùng để kiểm soát truy cập.
Yêu cầu kiểm tra bảo mật nghiêm ngặt hơn.
Mô hình bảo mật không chính thức cho cả loại có cấp bậc và không cấp
bậc.
Mô hình an ninh không chính thức được thể hiện và phù hợp với tiên để
của nó.
B2. Bảo vệ cấu trúc
B1+.
MAC cho tất cả các đối tượng.
Gán nhãn được mở rộng.
Đường tin cậy cho đăng nhập.
Yêu cầu sử dụng nguyên tắc quyền truy cập tối thiểu.
Phân tích các kênh bí mật.
Quản lí cấu hình.
Mô hình chính thức về chính sách an ninh được chứng minh là phù hợp
với các tiên đề của nó.
B3. Những miền an ninh
B2+.
Thiết kế cấp độ cao – đơn giản.
Phân tầng.
Trừu tượng hóa.
Che dấu dữ liệu.
Chức năng an toàn chống làm bằng chứng giả.
Tăng yêu cầu về đường truyền tin cậy.
Yêu cầu đảm bảo đáng kể.
Tài liệu hướng dẫn quản trị.
Tài liệu thiết kế.
DTLS – Mô tả cụ thể các tầng trên.
A1. Bảo vệ được xác minh
B3+.
Đảm bảo.
Các phương thức chính thức
Phân tích kênh bí mật.
Thiết kế cụ thể và minh bạch.
Phân phối tin cậy.
Tài liệu thiết kế và kiểm tra được nâng lên.
FTLS – Formal Top Level Specification.
Vấn đề(Issues)
Phương pháp đánh giá TCSEC có 3 vấn để cơ bản. Chúng là:
1. Criteria Creep
Việc mở rộng dần dần các yêu cầu xác định các lớp đánh giá TCSEC là không thể tránh khỏi.
Khi sản phẩm mới được phát triển, các tiêu chí cần được áp dụng vào những sản phẩm đó.
2. Timeless of the Process
Tiến trình chiếm quá nhiều thời gian: sự hiểu nhầm về độ sâu của đánh giá và thời gian yêu cầu.
Tương tác giữa các nhóm đánh giá: lập kế hoạch về các vấn đề và sự hiểu nhầm khi thực hiện
đánh giá.
Quản lí đánh giá: đánh giá miễn phí dẫn đến thiếu động lực.
3. Tập trung vào OS
Vấn đề an ninh đã được mở rộng ra khỏi hệ điều hành vào những năm 90.
- Xem thêm -