4.2. Összefüggések az ajánlás és a nemzetközi dokumentumok által definiált biztonsági osztályok között

4.2. Összefüggések az ajánlás és a nemzetközi dokumentumok által definiált biztonsági osztályok között

Mint a bevezetőben említettük, az informatikai rendszerek biztonsági osztályait több nemzetközi dokumentum definiálta, így:

az USA Védelmi Minisztériuma által kidolgozott TCSEC (1983. augusztus),
a TCSEC és más nemzeti dokumentumok figyelembevételével az Európai Közösség által kidolgozott ITSEC (1991. június),
a fenti és más dokumentumok figyelembevételével az X/Open független szervezet által a Nyílt Rendszerek Összekapcsolása szabványt megvalósító rendszerekre (röviden: nyílt rendszerek) kidolgozott X/Open Guide (1992 szeptember),
az X/Open szervezet által összeállított Open Systems Directive (Nyílt Rendszerek Direktívái) 5. kötete, amelyben a nyílt és osztott (hálózatokon alapuló) informatikai rendszerekre kidolgozta az ITSEC-ben definiált biztonsági alapfunkciókra vonatkozó követelményeket.

A következőkben felsoroljuk a fenti dokumentumok által definiált biztonsági osztályokat és azokat a biztonsági alapfunkciókat, amelyekre egységesen értelmezték az egyes osztályokban a biztonsági követelményeket.

4.2.1. TCSEC biztonsági osztályok

A TCSEC alapvetően 4 csoportra bontja a biztonsági osztályokat:

D csoport: minimális védelem,
C csoport: szelektív és ellenőrzött védelem,
B csoport: kötelező és ellenőrzött védelem,
A csoport: bizonyított védelem.

A továbbiakban a közigazgatás területén jellemző B és C csoportokat vesszük figyelembe. Ezeken belül az alábbi osztályokat különböztettük meg:

Osztály	Alapjellemző
C csoport
C1 osztály	korlátozott hozzáférés-védelem, a hozzáférési jogokat megvonással lehet szűkíteni;
C2 osztály	nem szabályozott, de ellenőrzött hozzáférés-védelem, a hozzáférési jogok odaítélése egyedre/csoportra szabott;
B csoport
B1 osztály	címkézett és kötelező hozzáférés-védelem, a hozzáférő alanyokat (felhasználók, programok) és a hozzáférés tárgyait (adatállományok, erőforrások) a hozzáférési mechanizmust szabályozó hozzáférési címkével kell kötelezően ellátni;
B2 osztály	strukturált hozzáférés-védelem, az alanyok azonosítása és a hozzáférés ellenőrzése elkülönített referencia-monitor segítségével történik;
B3 osztály	elkülönített védelmi területek, a biztonsági felügyelő, operátor és a felhasználó biztonsági funkciói és jogai elkülönítve, már a rendszer tervezése során el kell választani a biztonsági szempontból kritikus részeket.

A TCSEC dokumentum a következő biztonsági alapfunkciókat definiálva az információvédelem és a megbízható működés területén (az eredeti dokumentumnak való megfeleltetés miatt az eredeti angol kifejezéseket zárójelben feltüntettük):

Információvédelem

Az azonosítás és a hitelesítés folyamatának kialakítása
(Identification and Authentication).
A hozzáférés-jogosultság rendszerének felépítése - jogosultság kiosztás (alanyokeszközök meghatározása, attribútumok rögzítése, hozzárendelések - megengedő, illetve tiltó módszer a szigorodó követelményekre).
(Access Control).
A hozzáférés-jogosultság rendszerének legmarkánsabb jellemzője a hozzáférés-vezérlési tábla (Access Control List: ACL) bevezetése, amely két módszerrel kerülhet alkalmazásra:

A C1 és C2 osztályokban a hozzáférés-jogosultság kiosztása nem előre meghatározott módon, hanem személyenként vagy felhasználói csoportonként esetenként kerül meghatározásra. A TCSEC terminológia erre a vezérlési módra a Discretionary Access Control (DAC) kifejezést használja.
A B1 és B2 osztályokban a hozzáférés-jogosultság kiosztása előre meghatározott módon, személyenként vagy felhasználói csoportonként kerül meghatározásra. A TCSEC terminológia erre a vezérlési módra a Mandatory Access Control (MAC) kifejezést használja.

A hozzáférés-ellenőrzés rendszerének megvalósítása - jogosultság-ellenőrzés.
(Accountability)
A bizonyítékok rendszerének és folyamatának kialakítása.
(Audit)
Az adatok sértetlenségének és konzisztenciájának biztosítása.
(Accuracy)

Megbízható működés

A megbízható működésre vonatkozó alapfunkció a TCSEC-ben a megbízható szolgáltatások biztosítása
( Reliability of Service).
Ez az alapfunkció a következő fontosabb részfunkciókra bontható:

A hibaáthidalás folyamatának kialakítása (Redundancy).
Az újraindítási képesség megvalósítása (Recovery).
A rendszer funkcionalitásának biztosítása (Functionality).
A funkcionalitást széles értelembe véve a további részfunkciók biztosítják:

rendszertervezési és fejlesztési módszertan alkalmazása, beleértve ebbe a biztonsági rendszert is,
megfelelő dokumentációs rendszer kialakítása,
teszt rendszer és dokumentáció biztosítása, mind a felhasználói, mind a biztonsági rendszer területén,
Biztonsági Kézikönyv kialakítása.

A TCSEC-ben alapfunkcióként szerepel a biztonságos adatcsere (Data Exchange) funkció is. A hálózatokon nyugvó informatikai rendszerek egyre növekvő jelentősége miatt ezzel a funkcióval külön és kiemelten foglalkozunk az osztott rendszerekre vonatkozóan az X/Open által kidolgozott dokumentumok tárgyalásánál.

A következő táblázat a fenti biztonsági alapfunkciók osztályonkénti megjelenését és eloszlását mutatja.

Osztály	Biztonsági alapfunkciók
	Információvédelem							Megbízható működés
	I+A	DAC	MAC	ACC	AUD	DAT	TFM	AV	TRE	FUN
B3	-	+	-	+	+	+	+	-	-	+
B2	-	-	+	+	+	+	+	+	+	+
B1	+	-	+	+	+	+		+	+	+
C2	+	+		+	+			+		+
C1	+	+		+

Jelmagyarázat:

nincs követelmény az adott osztályban,

új vagy bővített követelmény jelenik meg az adott osztályban,

nincs újabb követelmény az adott osztályban.

I+A: azonosítás és hitelesítés (Identification and Authentication),

DAC: szabad belátás szerint kialakított hozzáférés-vezérlés (Discretionary Access Control),

MAC: előre meghatározott hozzáférés-vezérlés (Mandatory Access Control),

ACC: jogosultság ellenőrzés, elszámoltathatóság (Accountability),

AUD: biztonsági vizsgálat (Audit),

DAT: biztonságos adatcsere (Data Exchange). Itt csak a rejtett csatornákra vonatkozó követelményeket vettük figyelembe,

TFM: biztonságos kezelési funkciók (Trusted Facilities Management). A biztonsági felügyelő, a rendszeradminisztrátor és a felhasználók szerepkörének szétválasztása,

AV: a rendelkezésre állás biztosítása (Availability),

TRE: a biztonságos rendszer-visszaállítás biztosítása (Trusted Recovery),

FUN: a funkcionalitás biztosítása (Functionality).

4.2.2. ITSEC biztonsági osztályok.

Az ITSEC kiindulási dokumentuma a TCSEC, így a biztonsági alapfunkciók és a biztonsági osztályok értelmezése analóg. Az egyes biztonsági osztályok a következők:

F-C1, F-C2, F-B1, F-B2, F-B3.

Az ITSEC a TCSEC-kel analóg módon értelmezett biztonsági osztályain túlmenően az egyes releváns informatikai rendszertípusokra is definiál biztonsági osztályokat, amelyekre megadja a TCSEC biztonsági alapfunkcióit, de az adott rendszertípusra jellemző követelményeket emeli ki.

Ezek a rendszertípusok és biztonsági osztályaik a következők:

Nagy integritású rendszerek osztálya (F-IN) [IN = INTEGRITY]
Ebbe a típusba az adatbázis alapú rendszerek tartoznak, amelyeknél a tárolt adatok és programok integritása döntő jelentőségű.
Magas rendelkezésre állású rendszerek osztálya (F-AV) [AV = AVAILABILITY]
Ide tartoznak az on-line folyamat- és termelésirányítási, helyfoglalási és banki tranzakciós rendszerek.
Adatmozgatásnál magas adat-integritást biztosító rendszerek (F-DI) [DI = DATA INTEGRITY]
Ide tartoznak a magas szintű hiba-felismerési és hibajavítási algoritmusokkal üzemelő rendszerek.
Bizalmas adatokat feldolgozó rendszerek (F-DC) [DC = DATA CONFIDENTILITY]
Jellemző példája ennek az osztálynak a rejtjelzéssel biztosított rendszerek.
Magas adat-integritást és bizalmasságot biztosító osztott rendszerek (F-DX) [DX = DATA EXCHANGE]
Tipikus esete ennek, amikor nem védett nyilvános hálózaton keresztül történik nagy integritási és bizalmassági igényű adatok forgalmazása.

A fenti rendszertípusok biztonsági alapfunkcióira itt nem térünk ki, mert a III. fejezetben néhány kiválasztott típusra részletesebben adunk védelmi intézkedési javaslatot. Ezen belül az osztott rendszerekre az X/Open dokumentumok ismertetésénél térünk ki, illetve az ajánlásban az egyes biztonsági osztályok tárgyalásánál az osztott rendszerekre vonatkozó követelményeket a "Kommunikáció, osztott rendszerek" c. pontban adjuk meg.

4.2.3. X/Open biztonsági osztályok

A Nyílt Rendszerek Összekapcsolása szabványt követő rendszerek egyre szélesebb elterjedése indokolttá tette ezen a területen is az informatikai biztonsági követelmények és osztályok megfogalmazását. A világ legfontosabb számítógép-szállítói által támogatott független szervezet, az X/Open Company Ltd., a "Biztonságos Nyílt Rendszerek Definiálása és Beszerzése" (Defining and Buying Secure Open Systems) c. dokumentumában összeállította a Nyílt Rendszerekre vonatkozó követelményeket és biztonsági osztályokat, amelyeket a következő táblázatban foglalunk össze röviden.

A dokumentum összeállításánál többek között figyelembe vették a TCSEC, az ITSEC dokumentumokat, a POSIX 1003.6 szabványt és az OSI Referencia Modell ISO 7498-2:1989 szabvány 2. részében leírt biztonsági architektúrát.

A táblázatban a TCSEC-ben és az ITSEC-ben elfogadott biztonsági funkciók szerepelnek mindegyik biztonsági osztályban, de az adott osztályban csak az értelmezett funkcióra tértünk ki.

A táblázatban figyelembe vett biztonsági alapfunkciók teljes listája a következő:

Azonosítás és hitelesítés,
Hozzáférés-vezérlés,
Jogosultság ellenőrzés, elszámoltathatóság,
Biztonsági vizsgálat,
Biztonságos adatcsere,
Biztonságos kezelési funkciók,
A rendelkezésre állás biztosítása,
A biztonságos rendszer-visszaállítás biztosítása,
A funkcionalitás biztosítása.

A biztonsági osztály neve az X/Open szerint	Magyar nyelvű megfelelője	Biztonsági alapfunkciók fontosabb jellemzői
X-BASE	Alap biztonsági osztály	Azonosítás és hitelesítés egyedi és csoport jelszó biztosítás és kötelező használat, a jelszavak egyirányúan rejtjelezve tároltak, jelszó "öregítési" mechanizmus, rendszeradminisztrátori jog a jelszóadás és változtatás, rendszeradminisztrátor csak felhatalmazott személy lehet, magas prioritású jogokkal, nehezen megfejthető jelszóalkotás támogatása, alkalmazásokból programozási interfészen (API) keresztül elérhető az azonosítási és hitelesítési mechanizmus, adott számú téves bejelentkezési kísérlet után az adott felhasználói jogosultsági rendszer bénítható. Hozzáférés-vezérlés Hozzáférési jogok: írás, olvasás, programvégrehajtás. A hozzáférési jogok megadhatók: egyedi fájl tulajdonosnak, csoport fájl tulajdonosoknak, "mindenki más" fájl tulajdonosoknak. Ez egyben a jogok érvényesülésének prioritási sorrendje. A rendszer objektumaihoz (fájlok, eszközök, processzek közötti kommunikációs csatornák) egyedi, illetve csoport tulajdonosok rendelődnek az objektum létesítésekor. A hozzáférés-vezérlés a szubjektumokhoz (felhasználók, processzek) rendelt jogok és az objektumokhoz rendelt tulajdonosok és jogaik összevetése alapján történik. Jogosultság ellenőrzés, elszámoltathatóság A fontosabb rendszer-események rögzítésre kerülnek: rendszerindítások, leállások, leállítások rendszeróra állítások, be/kijelentkezések, programleállások. A rögzített adatok lekérdezhetők, illetve kinyomtathatók adott kritériumok szerint. Opcionálisan létezik szoftvertámogatás a real-time analízishez, betörés detektáláshoz, biztonsági analízishez.
X-DAC	Szabad belátás szerint kialakított hozzáférés-vezérlés biztonsági osztálya	Hozzáférés-vezérlés Szabad belátás szerint kialakított hozzáférés vezérlés (DAC). Hozzáférés vezérlő tábla (Access Control List = ACL) bevezetése. Egy adott rendszerobjektumhoz meghatározható az összes tulajdonos az objektumra vonatkozó jogaikkal együtt.
X-AUDIT	Biztonsági auditálás biztonsági osztálya	Biztonsági vizsgálat Ebben az osztályban az X-BASE osztály biztonsági funkciói kibővülnek. Rögzítésre kerülnek az azonosítással és hitelesítéssel, az erőforrás hozzáférésekkel, a vizsgálati és a biztonsági paraméterekkel kap méterekkel kapcsolatos események. A rögzített paraméterek: az esemény típusa, időpontja, a felhasználó azonosítója, a hozzáférés objektuma, a felhasználói kezdeményezés sikeressége/sikertelensége.
X-MAC	Előre meghatározott hozzáférés-vezérlés biztonsági osztálya	Hozzáférés-vezérlés Előre meghatározott hozzáférés vezérlés (MAC) jellemzői: a szubjektumokhoz biztonsági címke van rendelve, amely meghatározza, hogy az adott felhasználó vagy program milyen biztonsági szintű adatokhoz és mely adatcsoportokhoz férhet hozzá, az objektum címkéje az általa tárolt vagy kezelt adat biztonsági kategóriáját tartalmazza. Az adatok, amelyek elhagyják a rendszert (nyomtatón, képernyőn) magukkal viszik a biztonsági címkéjüket. A hozzáférés-ellenőrzés a MAC táblák alapján minden kezdeményezéskor megtörténik. Új objektumok létesítésekor a biztonsági címke automatikusan hozzárendelődik.
X-PRIV	Privilegizált jogokat biztosító biztonsági osztály	Biztonságos kezelési funkciók A rendszeradminisztrátorok privilegizált szerepköre a felhasználóktól és egymástól is elválasztottan kezelt. Így a támadók által okozott kár korlátok közé szorítható. A privilegizált rendszeradminisztrátorok a következő műveleteket hajthatják végre: processzekhez egyedi vagy csoport által felhasznált valódi azonosítókat(user ID) rendelhetnek, ezáltal védett alrendszereket alakíthatnak ki, A szabad belátás szerint kialakított hozzáférés-vezérlés paramétereit felülírhatják, a rendszert elindíthatják és leállíthatják, a processzek határait, a fájlok paramétereit módosíthatják, speciális eszköz fájlokat létesíthetnek, fájl rendszereket magukhoz csatolhatnak (mounting), felhasználói azonosító beállító programokat indíthatnak, adatokat importálhatnak/exportálhatnak.

4.2.4. Az egyes dokumentumok biztonsági osztályai közötti megfelelés értelmezése

TCSEC	ITSEC	X/OPEN	Ajánlás
B3	F-B3
B2	F-B2	X-PRIV			K
B1	F-B1	X-MAC		F	K
C2	F-C2	X-DAC, X-AUDIT	A	F	K
C1	F-C1	X-BASE	A	F	K

Megjegyzések:

A: alapbiztonsági osztály

F: fokozott biztonsági osztály

K: kiemelt biztonsági osztály, amely a TCSEC B3 osztály néhány követelményét is tartalmazza.

4.2.5. Biztonsági funkciók értelmezése elosztott rendszerekben (X-DIST)

Az X/Open külön biztonsági osztályt definiál a hálózatokon alapuló elosztott rendszerekre, amelyekre értelmezett biztonsági alapfunkciók hasonlók az ITSEC-ben értelmezett F-DX osztályéval. Az X/Open felfogása szerint az X-DIST osztályban értelmezett alapfunkciók az X-BASE funkcióinak kibővítése, illetve azok értelmezése osztott környezetre.

A biztonsági osztály neve az X/Open szerint

Magyar
nyelvű megfelelője

Biztonsági alapfunkciók fontosabb jellemzői

X-DIST

Osztott rendszerek biztonsági osztálya

Azonosítás és hitelesítés

Az osztott rendszer egészére kiterjedően minden alanyra (felhasználók és programok) külön-külön logikailag egyetlen azonosító használata biztosított.

Az alanyokra a szolgáltatások indítása vagy az azokkal történő kommunikáció megkezdése előtt megvalósul a hitelesítési eljárás.

Az adott hálózati alrendszer hitelesítési mechanizmusa nem érinti a hálózat többi alrendszerének hitelesítési rendszerét.

Egy adott alhálózatban azonosításra kerül a más alhálózatból importált adatok feladója, ha ilyen nincs, akkor ezeket az adatok el lesznek különítve.

A hálózati erőforrások használata a felhasználók számára szabályozható, korlátozható.

Hozzáférés-vezérlés

Egy központi erőforrásnál (pl. szerver) megvalósított hozzáférés-vezérlési rendszer ki van terjesztve az osztott rendszer összes többi alanyára is.

Az alanyoknak egy privilegizált hálózati szolgáltatás (pl. egy biztonsági szerver) által kezelt hozzáférési jogai biztonságos úton eljutnak az osztott rendszer többi feldolgozó egységéhez a hozzáférés-vezérlés végrehajtása céljából. Ehhez elosztott hozzáférés-vezérlési tábla (ACL) kezelés szükséges. Az ilyen információk titkosítva kerülnek továbbításra.

Egy alhálózatban definiált felhasználói azonosító hozzáférési joga delegálható egy másik alhálózatba és ez alapján kell érvényesíteni az eredeti azonosítóhoz rendelt jogokat.

Jogosultság ellenőrzés, elszámoltathatóság, biztonsági vizsgálat

Az X-AUDIT osztály funkciói ki vannak terjesztve a teljes osztott hálózatra. Ehhez megvalósul a végpont-végpont szintű jogosultság ellenőrzés, az elszámoltathatóság és biztonsági vizsgálat, amelyhez biztosítani kell a globális névhasználatot és az azonos időalapot a teljes osztott rendszerre.

Központi biztonsági vizsgálat esetén a többi alhálózatból védetten kerülnek továbbításra a vizsgálati információk.

A fentiekben az ITSEC-ben a nem osztott rendszerekre definiált biztonsági alapfunkciók osztott rendszerekre történő kiterjesztését írtuk le. A következőkben az osztott rendszerekre specifikus további funkciókat ismertetünk.

Biztonságos adatcsere

Az adatintegritás biztosítása

Az adatátviteli táviratok alapvetően kétféle információt hordoznak magukban:

adatátvitelt vezérlő információk (Protocol data Unit - PDU),

felhasználói információk.

A PDU, illetve a felhasználói információk védelmét elkülönített mechanizmusok biztosítják.

A PDU védelem hivatott detektálni az illetéktelen módosítás, a beékelődés, az ismétlő adás előfordulását.

Az adatvesztést és sérülést hibadetektáló és javító eljárások akadályozzák meg.

A bizalmasság biztosítása

A növekvő követelmények irányában a következő biztonsági funkciókat kell biztosítani:

a teljes átküldött táviratot védeni kell az illetéktelen tudomásra jutástól,

bizonyos felhasználói adatok szelektív védelme,

bizonyos felhasználói adatok titkosítása,

az adatáramlás bizalmasságának megőrzése a protokoll-vezérlő adatok védelmével, amellyel megakadályozható az üzenethossz, az átviteli frekvencia és a protokoll-szegmensek (pl. hálózati cím) analízise,

az adatáramlás bizalmasságának megőrzése szelektív útvezérléssel (selective routing).

Le nem tagadhatóság biztosítása

Az üzenetre és az indítására vonatkozó legfontosabb paraméterek (a küldő azonosítója, a küldés dátuma és időpontja) is átvitelre kerülnek egy speciális üzenetben. A vétel igazolására a speciális üzenetet a vevő hasonló módon nyugtázza a küldőnek.

A rendelkezésre állás biztosítása, a biztonságos rendszer-visszaállítás biztosítása

A szolgáltatások leállásának kezelése

Ha az osztott rendszer a felhasználónak megtagadja a kért szolgáltatást (Denial of Service - DOS), megfelelő mechanizmussal biztosítja annak detektálását és közlését (pl. nem megfelelő az átviteli áteresztőképesség, a megcímzett hálózati rész nem érhető el, a kért erőforrás nem áll rendelkezésre).

A növekvő követelmények irányában a következő biztonsági funkciókat kell biztosítani:

a szolgáltatások degradációjának jelzése az operátor felé,

néhány perces kiesés áthidalása,

a szolgáltatások biztosítása degradált szinten hálózati elemek, számítástechnikai erőforrások kiesése esetén,

a szolgáltatások biztosítása azonos szinten hálózati elemek, számítástechnikai erőforrások kiesése esetén, automatikus tartalékolással.

Protokoll alapú DOS kezelés kiesések, zavarok esetén. Ilyen szintű követelmények esetén speciális protokollok segítségével kerülnek átvitelre az átviteli sávszélesség változása, eltűnése, a hálózati, illetve számítástechnikai elemek zavara, kiesése.

Hálózati menedzsment alapú DOS kezelés. Ilyen szintű követelmények esetén a szolgáltatás megszűnésének okát a hálózati menedzsment detektálja, regisztrálja és jelzi.