מערכת מאובטחת – האם קיים דבר כזה? איך אפשר להגדיר כי מערכת כלשהי מאובטחת? האם קיים בסיס כלשהו שע"פיו נוכל להניח כי המערכת מאובטחת? התשובה לשאלה הראשונה היא לא. לגבי השאלה האחרונה – כן, קיים בסיס כזה והוא הוצג לראשונה ב"ספר הכתום" (The Orange Book), בו מתואר האופן להגדרת, אכיפת ויישום בקרות אבטחת מידע במערכת בודדת. המוציא לאור של הספר הוא לא אחר מאשר משרד ההגנה האמריקני. במהלך עשור, המשרד פרסם ספרים נוספים המכילים תקנים ונהלים מקיפים לשימור אבטחת המידע בממשל. כל ספר שכזה, התאפיין בצבע ייחודי. עקב גוון צבעם, סדרת הספרים מכונה – The Rainbow Series. התקן, או בשמו המלא באנגלית Trusted Computer System Evaluation Criteria או TCSEC, קובע רמת אבטחה נאותה, ומציג דרכים ליישמו. תקנים ומודלים בינלאומיים המקבילים ל-TCSEC, הינם ITSEC ו-Common Criteria או CC.
תשתית מחשוב אמינה ( Trusted Computing Base )
תשתית מחשוב אמינה, או בשמה המקוצר – TCB, הינה האוסף של כל הרכיבים (חומרה, תוכנה, קושחה וכו.) המרכיבים את מערכת המידע ובאותה העת, גם מעניקים בצורה כזו או אחרת - בקרות הגנה לשימור ויישום אבטחת המידע במערכת.
ה-TCB מורכב מהרכיבים הבאים:
- מנגנוני בקרות גישה.
- בקרת ניטור.
- פעולות קלט-פלט.
- ביצוע והפעלת תהליכים.
- הגנה על הזכרון.
- מנגנוני מניעה והגנה.
- גרעין\ליבת המערכת, ה-Kernel .
- רכיבים נוספים הקשורים לאבטחת המערכת.
ה-Kernel
הקרנל הוא הלב של מערכת ההפעלה, אשר פועל בטבעת 0 (Ring 0). הוא מספק את הממשק בין חומרת המערכת לשאר מערכת ההפעלה, לרבות יישומים. לקרנל שתי ארכיטקטורות בסיסיות: מונוליטי (הנפוץ יותר ) ו-מיקרו-קרנל.
קרנל מונוליטי מהודר (Compiled) אל תוך קובץ סטטי בודד ורץ במצב "השגחה" – Supervisor mode.
מיקרו-קרנל הוא קרנל מודולרי, הווה אומר מורכב מחלקים. הוא בעיקרו מכיל את הפונקציונליות הבסיסית ביותר להרצת המערכת, אך ניחנת באפשרות להוספת מודולים ופונקציות נוספות.
קרנל מונוליטי מהודר (Compiled) אל תוך קובץ סטטי בודד ורץ במצב "השגחה" – Supervisor mode.
מיקרו-קרנל הוא קרנל מודולרי, הווה אומר מורכב מחלקים. הוא בעיקרו מכיל את הפונקציונליות הבסיסית ביותר להרצת המערכת, אך ניחנת באפשרות להוספת מודולים ופונקציות נוספות.
בקרת ניטור (Reference Monitor)
פונקציה בסיסית בכל קרנל של מערכת הינה הרצה של בקרות ניטור, אשר מתווכת גישות בין סובייקט לאובייקט (או ממשתמש לקובץ, לדוגמא). בקרה זו היא כלי אכיפה בסיסי לקביעת מדיניות אבטחת מידע נאותה, כמו מניעת גישה לנתונים למשתמש לא מורשה.
TCSEC
הספר הכתום, או TCSEC, מסווג מערכות ומוצרים העומדים בדרישת TCSEC – ל-4 מחלקות עיקריות:
|
מחלקה
|
תיאור
|
|
A
|
הגנה מאומתת. מקיימת את כל דרישות רמה B לרבות בקרות נוספות.
-
A1:
o
קיום
מודל רשמי של נהלי אבטחת המידע.
o
ביצוע
ניתוח למודל, תוך שימוש בטכניקות רשמיות המאופיינות בתקן.
|
|
B
|
הגנה הכרחית. באנגלית, Mandatory
protection. יישום בקרת MAC .
-
B1:
o
שימוש
בתוויות סיווג.
o
הצהרה
רשמית על שימוש במודל מדיניות אבטחת מידע.
-
B2:
o
קיימת
מדיניות אבטחה רשמית.
o
בקרות
אימות וזיהוי חזקות יותר.
o
קיימות
פונקציות לניהול ותפעול המערכת.
o
ניהול
תצורות.
-
B3:
o
מילוי
כל דרישות בקרת הניטור.
o
תיחום
אבטחתי.
o
ציוות
מנהל אבטחת מידע.
o
נהלי
שחזור.
o
מקיף יותר
מרמה B2.
|
|
C
|
הגנה מונחית. מאנגלית, Discretionary
protection. יישום בקרת DAC.
-
C1: קיימת הפרדה בין
משתמשים לנתונים.
-
C2: הפרדת משאבים, בדיקות
הערכה תקופתיות. יותר מקיף מ-C1.
|
|
D
|
הגנה מינימאלית. מתארת מערכות TCSEC שלא עומדות
בדרישות A,B,C .
-
רמת
הבסיס. כל מערכת בברירת-המחדל – ברמה זו.
|
הסיווג נעשה לפי קריטריונים, לדוגמאת:
- מדיניות\נהלים בנושא אבטחת המידע.
- אופן זיהוי סובייקטים (משתמשים).
- תיעוד.
- הגנה מתמשכת.
ITSEC
ITSEC או The European Information Technology Security Evaluation Criteria, הינו מודל ההערכה הבינלאומי הראשון – שהוגדר כמוצלח. המודל מתבסס על הרמות המוצגות בספר הכתום – TCSEC, תוך התחשבות מעמיקה יותר בפונקציונליות (F) של המערכת כפונקציה של אבטחת המידע באותה המערכת. ההתחשבות הנ"ל באה לידי ביטוי בסימונים – כאשר E0 מתאר רמת אבטחה בסיסית(ברירת-מחדל) ו-E6 המתאר רמה אופטימלית.
להלן טבלת דירוגים מקבילים בין ITSEC ל-TCSEC :
להלן טבלת דירוגים מקבילים בין ITSEC ל-TCSEC :
|
TCSEC (אמריקאי)
|
ITSEC (אירופאי)
|
|
D
|
E0
|
|
C1
|
F1+E1
|
|
C2
|
F2+E2
|
|
B1
|
F3+E3
|
|
B2
|
F4+E4
|
|
B3
|
F5+E5
|
|
A1
|
F5+E6
|
|
מערכות בעלות רמת-שלמות גבוהה.
|
F6
|
|
מערכות בעלות רמת-זמינות גבוהה.
|
F7
|
|
מערכות בעלות רמת-שלמות גבוהה בעת תקשורת.
|
F8
|
|
מערכות בעלות רמת-סודיות גבוהה, לדוגמאת התקני
הצפנה.
|
F9
|
|
רשתות (קבוצת מערכות) בעלות רמת סודיות ושלמות
גבוהה.
|
F10
|
The International Common Criteria
ITSEC אמנם היה הנסיון הבינלאומי הראשון ליצירת תקן הערכת אבטחה. עם זאת, הוא נחשב כאסון לארגונים עסקיים שכן גישת התקן מיועדת בעיקרה לצרכי ממשל וצבא. ה-CC נולד מהדרישה לקריטריונים משותפים שיתאימו לצרכים עסקיים.
ה-Common Criteria, או בקצרה CC, הינו תקן בינלאומי מוסכם להערכת ובדיקת אבטחה במוצרי IT. התקן מציג דרישות, ברמה היררכית, לאופן סיווג המוצר.
על פי המודל, ההערכות מתבצעות על מוצר (ולא למערכת) וזה מקצה למוצר דירוג הערכה, אוEvaluation Assurance Level - EAL. מערכת הדירוג הוא כדלקמן:
|
EAL 1
|
נבדק פונקציונלית
|
|
EAL 2
|
נבדק מבחינה מבנית, תצורתית
|
|
EAL 3
|
נבדק באופן שיטתי
|
|
EAL 4
|
תוכנן, נבדק ונבחן באופן שיטתי
|
|
EAL 5
|
תוכנן ונבדק באופן רשמי-חלקי
|
|
EAL 6
|
תוכנן, נבדק ואומת באופן רשמי-חלקי
|
|
EAL 7
|
תוכנן, נבדק ואומת באופן רשמי-מלא
|
