P

rzyjrzyjmy się dwóm metodom oceny poziomu bezpieczeństwa systemu informatycznego. Kiedy oprogramowanie otrzymuje wskaźnik bezpieczeństwa, nazywane jest wówczas zaufaną aplikacją (ang. trusted application). W 1983 roku centrum NCSC (National Computer Security Center) utworzyło, na bazie kryteriów TCSEC (Trusted Computer System Evaluation Criteria) departamentu obrony Stanów Zjednoczonych, skalę wskaźników bezpieczeństwa, ze względu na kolor okładki dokumentu, nazywane także pod nazwą Orange Book (Pomarańczową Księgą), zdefiniowały siedem poziomów bezpieczeństwa komputerowego systemu operacyjnego.

Książka ta definiuje wymagania, co do systemów przetwarzających poufne informacje oraz dane, informację na temat sposobu wykonywania analiz bezpieczeństwa, a także zalecenia dotyczące zapewniania bezpieczeństwa systemu informatycznego. Różne poziomy określają różne sposoby zabezpieczenia sprzętu, oprogramowania i danych. Klasyfikacja ta jest tak sformułowana, że wyższe poziomy klas zabezpieczeń posiadają wszystkie cechy poziomów niższych. Druga metoda oceny poziomu bezpieczeństwa polega na wykonaniu ekspertyz określanych mianem analizy ryzyka. Cechą charakterystyczną analizy ryzyka jest to, że dokonywana ocena w silnym stopniu uwzględnia prawdopodobieństwo wystąpienia danego zagrożenia – w myśl zasady, że byłoby nierozsądne zajmować się względnie mało prawdopodobnym ryzykiem wówczas, gdy nie zostały jeszcze odparte zagrożenia potencjalnie bardziej kosztowne w skutkach.

Do najbardziej znanych organizacji zajmujących się zagadnieniami standaryzacji w dziedzinie bezpieczeństwa komputerowego należą:

1. ANSI – American National Standards Institute,
2. ISO – International Organization for Standarization,
3. NBS – National Bureau of Standards, Dep. of Commerce,
4. NCSC – National Computer Security Center, Dep. of Defence

Natomiast najbardziej znane z funkcjonujących obecnie dokumentów i standardów to:

1. Trusted Computer Systems Evaluation Criteria, DoD, USA, “The Orange Book”, 1985
2. Department of Trade and Industry Commercial Computer Security Centre “The Green Books”, Wlk. Brytania, 1989
3. Zerntralstelle fuer Sicherheit in der Informationstechnik “The Green Book”, Niemcy, 1989
4. Information Technology Security Evaluation Criteria (Harmonised Criteria of France, Germany, the Netherlands, the UK), 1991

Standard “The Orange Book” jest najpowszechniej stosowanym z w/w standardów, dlatego przyjrzyjmy mu się bliżej. W jego pierwszej części zdefiniowane są podstawowe pojęcia i koncepcje omawiane w dalszej części dokumentu. W standardzie tym wykorzystywany jest formalny model polityki bezpieczeństwa podany przez Bella i LaPadulę w 1976r. Model ten, z wykorzystaniem matematyki (teorii zbiorów), definiuje pojęcia stanu bezpieczeństwa i elementarnych trybów dostępu do obiektu oraz określa zasady przyznawania podmiotom określonych trybów dostępu do obiektów. “The Orange Book” zawiera także dowód twierdzenia zwanego Podstawowym Twierdzeniem Bezpieczeństwa (ang. Basic Security Theorem), mówiącego, iż zastosowanie dowolnej sekwencji wspomnianych reguł do systemu, który jest w stanie bezpiecznym spowoduje przejście systemu do innego stanu, który jest również bezpieczny. Standard zawiera również opis wymogów dotyczących zapewniania bezpieczeństwa systemu informatycznego. Wymogi te są następujące:

• Polityka bezpieczeństwa – musi istnieć jasna i dobrze zdefiniowana polityka bezpieczeństwa systemu. Mało tego – muszą istnieć mechanizmy wymuszające jej realizację i praktyczne stosowanie.
• Opis obiektów – każdy obiekt systemu musi być opisany za pomocą następujących informacji: * poziom ochrony, do którego obiekt należy (tzn. klasyfikacja obiektów wg kryterium bezpieczeństwa); * dostępu podmiotów, które potencjalnie mogą starać się o dostęp do obiektu.
• Identyfikacja – podmioty muszą być nazwane, aby możliwa była ich identyfikacja.
• Audyt – informacje z audytu muszą być gromadzone, rejestrowane i przechowywane w bezpieczny sposób w celu umożliwienia wykonania dokładnej analizy ewentualnych zagrożeń.
• Pewność – system komputerowy musi zawierać sprzętowe i/lub programowe mechanizmy zabezpieczeń, które można w sposób niezależny ocenić pod względem stopnia spełniania w/w wymogów.
• Ciągła ochrona – mechanizmy ochrony muszą być stale chronione przed nieautoryzowanym dostępem. W przeciwnym wypadku niemożliwe jest utrzymanie odpowiedniego poziomu ochrony.

Z kolei Trusted Computing Base (TCB) jest sercem bezpiecznego systemu komputerowego, zawierającym wszystkie elementy odpowiedzialne za realizację polityki bezpieczeństwa i wspieranie izolacji obiektów systemu objętych ochroną. Zawiera sprzęt i oprogramowanie krytyczne dla ochrony systemu i musi być zaprojektowany i zaimplementowany tak, aby zapewniać założony poziom ochrony. TCB powinien mieć na tyle prostą strukturę, aby możliwe było wykonanie testów i analiz, dających odpowiedź na pytanie, czy system jest godny zaufania.

I. Klasy bezpieczeństwa:

Ocena poziomu bezpieczeństwa danego systemu na bazie The Oragne Book polega na zakwalifikowaniu go do którejś z poniższych klas (poniższe klasy są uszeregowane od mniej do bardziej restrykcyjnych):

• Klasa D1 – minimalna ochrona (ang. minimal protection). Klasa ta jest określona jako najniższy poziom bezpieczeństwa oznaczający całkowity brak wiarygodności systemu. Poziom ten nie wymaga certyfikacji, ponieważ cechuje go brak jakichkolwiek zabezpieczeń. Jedyne co można zrobić to ograniczyć fizyczny dostęp do systemu. Każdy użytkownik, który ma dostęp do systemu może w tym systemie dokonać dowolnych zmian. Do klasy tej włączane są systemy, które były oceniane ale nie zostały zakwalifikowane do żadnej z pozostałych klas. Do tej klasy należą także systemy pozornie bezpieczne, czego przykładem może być procedura autoryzacji dostępu w sieciowych komputerach zaopatrzonych w system operacyjny Microsoft Windows. Użytkownik pytany jest tylko o identyfikator i hasło (wystarczy podać wymyślone dane), by uzyskać dostęp do lokalnych zasobów komputera. Trochę lepiej wygląda to w tym przypadku zabezpieczenia zasobów przed dostępem z innych komputerów w Sieci i w tym ujęciu Microsoft Windows nie należy jednak do klasy D1.
• Klasa C1 – dobrowolna kontrola dostępu (ang. discretionary security protection) – klasa ta zapewnia separację użytkowników i danych. Każdy użytkownik kontroluje dostęp do obiektów, których jest właścicielem i zezwala na dostęp według własnego uznania. Dostęp może być inny dla właściciela, grupy czy pozostałych użytkowników (np. prawa dostępu w systemie *nix). Przed rozpoczęciem pracy w systemie użytkownik musi zalogować się do systemu podając swoje hasło. System operacyjny kontroluje uprawnienia użytkowników do odczytu i zapisu plików i kartotek oraz dysponuje mechanizmem autoryzacji i dostępu. System taki nie ma na ogół zdefiniowanego tzw. superużytkownika (administratora) lub użytkownik taki nie jest bardziej zabezpieczony niż pozostali członkowie systemu. Klasa C1 jest także pozbawiona mechanizmów rejestrowania zdarzeń (ang. auditing logging). Informacja o nazwach kont użytkowników oraz zakodowane hasła są dostępne dla wszystkich użytkowników. Istnieje duże niebezpieczeństwo rozkodowania hasła na podstawie zakodowanego ciągu (starsze systemy Linuksowe nie posiadały maskowania haseł – ang. shadowing przez, co zakodowane hasła były dostępne dla wszystkich w pliku /etc/passwd).
• Klasa C2 – dostęp kontrolowany (ang. controlled access protection) – systemy tej klasy wymuszają silniejszy poziom ochrony niż dla klasy C1 poprzez wprowadzenia procedur logowania, mechanizmów audytu i izolacji zasobów systemowych. Dodatkowo poziom ten gwarantuje automatyczne rejestrowanie wszystkich istotnych z punktu widzenia bezpieczeństwa zdarzeń i zapewnia silniejszą ochronę kluczowych danych systemowych takich jak np. baza danych haseł użytkowych. Zakodowane hasła użytkowników dostępne są tylko dla systemu operacyjnego. Istnieje także możliwość zablokowania niektórych instrukcji poszczególnym użytkownikom.
• Klasa B1 – etykiety poziomu bezpieczeństwa (ang. labeled security protection) – systemy te posiadają wszystkie właściwości systemów klasy C2. Dodatkowo wprowadzony jest element etykietowania podmiotów i obiektów (opisywania ich właściwości w systemie bezpieczeństwa). Etykiety pozwalają na stopniowanie poziomu poufności obiektów i poziomu zaufania do poszczególnych użytkowników. Klasa ta obsługuje bezpieczeństwo na kilku poziomach takich jak “tajne” oraz “ściśle tajne”. Ma wdrożone mechanizmy uznaniowej kontroli dostępu do zasobów systemu, co może np. sprowadzić się do braku możliwości zmiany charakterystyki dostępu do plików i kartotek przez określonego użytkownika. Klasa ta blokuje możliwość praw dostępu do obiektu przez jego właściciela.
• Klasa B2 – zabezpieczenie strukturalne (ang. structure protection) – klasa ta posiada jasno zdefiniowaną i udokumentowaną politykę bezpieczeństwa. Ponadto musi być przyjęty podział na część krytyczną pod względem ochrony (protection-critical) i resztę. Poziom ten wymaga przypisania każdemu obiektowi systemu komputerowego etykiety bezpieczeństwa określającej status tego obiektu w odniesieniu do przyjętej polityki bezpieczeństwa, np. gdy użytkownik żąda dostępu do obiektu typu plik – system ochrony akceptuje lub odrzuca to żądanie na podstawie zawartości etykiet bezpieczeństwa tego obiegu względem użytkownika. Etykiety te mogą zmieniać się dynamicznie w zależności od tego, co jest aktualnie użytkowane. W dodatku muszą być wzmocnione mechanizmy uwierzytelniania oraz narzędzia administrowania bezpieczeństwem systemu. System musi być względnie odporny na penetrację.
• Klasa B3 – obszary poufne (ang. security domains) – w klasie tej system posiada silne wsparcie dla administracji bezpieczeństwem, mechanizm audytu rozszerzony do reagowania na sygnały związane z bezpieczeństwem. Wymagana jest prodecura odtwarzania stanu systemu. Obowiązkowym jest chronienie zarówno przechowywanej jak i przesyłanej informacji, czyli ochrona przed możliwością podsłuchu elektronicznego prowadzącego do przechwycenia przesyłanych danych. System jest wysoce odporny na penetrację.
• Klasa A1 – zweryfikowana realizacja systemu (ang. verified design) – systemy tej klasy są funkcjonalnie równoważne systemom klasy B3. Dodatkowo posiadają możliwość weryfikacji czy cała konfiguracja sprzętowo – programowa jest poprawnie zaimplementowana. Zarówno sprzęt jak i oprogramowanie musi podlegać specjalnej ochronie w trakcie transportu oraz użytkowania zapewniającej jego nienaruszalność (by nie zostały dokonane podmiany). Wymaga formalnego dowodu, że system jest zgodny z wymaganiami. W tym miejscu należy zwrócić uwagę na problem wzrostu obciążenia systemu operacyjnego związanego z uaktywnieniem opcji bezpieczeństwa. W szczególności może okazać się, że mało wydajne serwery nie będą w stanie obsłużyć wszystkich użytkowników po uruchomieniu wszystkich programów zabezpieczających, ze względu na duże zużycie zasobów procesora oraz powierzchni dyskowej. Penetracja systemu teoretycznie jest nie możliwa do przeprowadzenia.

Wskaźnik A1 otrzymało już klilka komponentów sieciowych, ale jeszcze żaden system operacyjny. Wiele systemów operacyjnych, np. HP/UX firmy Hewlett-Packard, Ultrix firmy Digital i IRIX firmy Silicon Graphics, uzyskało wskaźniki B1, B2 i B3. Wiele systemów operacyjnych ogólnego przeznaczenia uzyskało wskaźnik C2.

II. Analiza ryzyka:

“The Orange Book” zawiera rozdział zawierający zalecenia dotyczące sposobów wykonywania analizy systemu. Wśród zaleceń tych są informacje o składzie personelu wykonującego analizę, o czasie wykonywania analizy i inne. Analiza ryzyka przedstawia systematyczny podział na kategorie zagrożeń danych i środków im przeciwdziałających oraz określa plan działania, który większość zasobów (technicznych i pozatechnicznych) skieruje przeciw najbardziej prawdopodobnemu ryzyku. Aby zapewnić stopień bezpieczeństwa proporcjonalny do wagi chronionej informacji, należy uwzględnić priorytet zagrożeń. Analiza ryzyka nie ma na celu stworzenie planu całkowitej ochrony.Do elementów analizy ryzyka należą:

• zagrożenia, częstość zagrożeń,
• cele,
• odporność na zagrożenia,
• konsekwencje ataków,
• stosunek ryzyka do potencjalnych strat,
• ochrona, koszt ochrony,
• koszt analizy,
• implementacja mechanizmów ochrony.

Niestety trzeba też pamiętać, że osiągnięcie całkowitego bezpieczeństwa w dzisiejszych systemach komputerowych jest w praktyce nie możliwe do osiągnięcia. Związane jest to z faktami, iż systemy komputerowe często są systemami “otwartymi”; zaimplementowanie w nich 100% bezpieczeństwa mogłoby spowodować, że straciłyby swój charakter. Z drugiej strony również koszt wprowadzenia absolutnego bezpieczeństwa mógłby być tak wysoki, iż przerósłby wartość samego systemu. Ocena bezpieczeństwa systemu komputerowego może jednak uświadomić, jakie istnieją w nim luki i niedociągnięcia, i znacząco przyczynić się do podniesienia poziomu ochrony informacji przechowywanych i przetwarzanych w tym systemie komputerowym.

Więcej informacji: The Orange Book Site, Bezpieczeństwo IT