Классы безопасности
В “Оранжевой книге” определяется четыре уровня доверия - D, C, B и A.
Уровень D предназначен для систем, признанных неудовлетворительными.
По мере перехода от уровня C к A к системам предъявляются все более жесткие требования.
Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием степени доверия.Всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1.
Чтобы в результате процедуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям, из которых мы упомянем лишь важнейшие.Класс C1: доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам; пользователи должны идентифицировать себя, прежде чем выполнять какие-либо иные действия, контролируемые доверенной вычислительной базой.
Для аутентификации должен использоваться какой-либо защитный механизм, например пароли.
Аутентификационная информация должна быть защищена от несанкционированного доступа; доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий (в частности, от изменения команд и/или данных) и от попыток слежения за ходом работы; должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы; защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации.
Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты доверенной вычислительной базы; должны быть описаны подход к безопасности, используемый производителем, и применение этого подхода при реализации доверенной вычислительной базы.Класс C2 (в дополнение к C1): права доступа должны гранулироваться с точностью до пользователя.
Все объекты должны подвергаться контролю доступа; при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования; каждый пользователь системы должен уникальным образом идентифицироваться.