Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Сертификация средств безопасности

Майк Фратто

Разобраться в возможностях того или иного средства безопасности, только читая приведенные его производителем спецификации, так же трудно, как выучить иностранный язык, зубря лишь отдельные слова. Какие бы усилия вы ни прилагали, невозможно точно понять, что же умеет делать продукт со столь “размытой” функциональностью и насколько хорошо ему удается это. Кроме того, до его покупки у вас, скорее всего, может не оказаться ни времени, ни соответствующих ресурсов для проведения всестороннего тестирования.

Задумайтесь: вместо того чтобы при выборе продукта полагаться на впечатление от демонстрации его возможностей продавцом или разбираться в них самому, можно просто заглянуть в его сертификат безопасности. Сертификация безопасности — это тщательное независимое тестирование продукта, для проведения которого вам не приходится прилагать никаких усилий. Сторонняя фирма или организация тестирует и оценивает продукт по ряду критериев сертификации, а вы, разобравшись в этих критериях, можете получить определенное представление о прошедшем такую сертификацию аппаратном или программном средстве безопасности.

Впрочем, сертификация сертификации рознь. Полезен или нет этот процесс, зависит от целей его проведения. Вы должны понимать, на предмет чего проводилось тестирование — функциональности или возможностей внедрения, — знать содержание теста и иметь перед собой его результаты. При сертификации основной упор делается на функциональное тестирование продукта — без сравнения его с другими. С помощью функционального теста определяют, отвечает ли данный продукт критериям сертификации.

Полную версию данной статьи смотрите в 12-ом номере журнала за 2003 год.

Перечислим основные стандарты сертификации продуктов безопасности: Common Criteria (СС), Federal Information Processing Standard (FIPS) 140-2 Security Requirements for Cryptographic Modules и ICSA. Консалтинговое агентство Neohapsis — наш партнер — проводит независимую экспертизу Open Security Evaluation Criteria (OSEC) на основе информации, полученной от производителей и пользователей.

Все стандарты дополняют друг друга, но, если вы работаете в государственном учреждении, рекомендуется остановиться на CC и FIPS-140-2.

Знайте свои потребности

Для полноты реализации возможностей сертификации от вас потребуется понимание нужд вашей организации относительно обеспечения безопасности. Требования безопасности должны быть сформулированы в корпоративной политике или техническом задании. Имея на руках этот документ, вы сможете легко определить, отвечают ли результаты сертификационных испытаний вашим потребностям. Это также поможет вам разобраться в терминологии сертификации. Стандарт CC содержит формальный язык для создания профилей защиты (Protection Profile — PP), с помощью которых ваши требования могут быть описаны.

Чтобы понять, поможет ли сертификат проанализировать возможности продукта, обратите внимание, как в нем определяются те или иные функции защиты, например способность межсетевого экрана (МЭ) с контекстной фильтрацией пакетов корректно отследить состояние сеанса TCP. Зная, к примеру, что при тестировании в сертификационной лаборатории фиксировались только установка и разрыв TCP-сессии, а контроль порядковых номеров TCP и механизм коррекции ошибок не задействовались, вам будет проще ответить на вопрос, соответствует ли данный сертификат вашим требованиям.

Тестирование на соответствие требованиям сертификации обычно ограничивается конкретными функциями продукта. Несмотря на то что большинство МЭ поддерживают механизм IPsec (IP security), наличие того факта, что МЭ прошел сертификацию ICSA Labs Firewall, еще не означает, что он соответствует критериям сертификации IPsec VPN. Все эти функциональные сертификаты просто свидетельствуют о том, что те или иные функции безопасности работают, — это отнюдь не проливает свет на то, важны ли эти функции для вас.

Нечто общее

Появление стандарта CC стало кульминацией совместной работы специалистов разных стран, включая США, Канаду, Германию и Великобританию, по разработке набора универсальных требований, методологий тестирования и структуры оценки продуктов безопасности по всему миру (см. “Глоссарий СC”). CC 2.1 и стандарт ISO 15408 — это одно и то же. И хотя CC разрабатывался с прицелом на государственные учреждения, методика тестирования и выдачи сертификатов подходит и для использования на корпоративном уровне.

CC состоит из трех частей. Часть 1 — обзорная. В части 2 определяются компоненты системы безопасности, которые подвергаются тестированию. Производители могут использовать часть 2 для указания функций, которыми обладают их продукты или подсистемы, такие, как МЭ или криптопроцессор. На языке стандарта СС тестируемое устройство называется “объектом оценки” (Target of Evaluation — TOE). В части 3 содержатся требования к обеспечению безопасности. Ее используют для формирования профилей защиты и заданий по безопасности (Security Target — ST). На основе этих заданий определяются функциональные возможности продуктов. Каждый уже оцененный продукт имеет свой ST-документ. Профиль защиты содержит набор требований безопасности, необходимый для достижения целей защиты. Стандарт CC не требует наличия профиля защиты для каждого тестируемого продукта, но, если таковой имеется, продукт должен соответствовать ему, равно как и заданию по безопасности. Стандартом CC также предусмотрен отчет по сертификации, в котором приводится информация по итогам тестирования, описываются тестовая среда и ее конфигурация, а также сообщается обо всех использованных профилях защиты. Отчет содержит и описания особенностей тестирования, если таковые имели место.

Уровень гарантии оценки (Evaluated Assurance Level — EAL) в стандарте CC основывается на оценке продукта с точки зрения его соответствия функциональным требованиям, указанным в задании по безопасности и профиле защиты (см. “Уровни гарантии оценки”). Существует несколько уровней EAL — от EAL1, означающего, что функциональность продукта протестирована и он соответствует базовым требованиям, до EAL7, обозначающего соответствие продукта расширенным требованиям безопасности.

Большинство продуктов соответствуют уровню EAL4 и ниже, поскольку уровни EAL5, 6 и 7 предъявляют очень жесткие требования — наряду с функциональным тестированием оцениваются еще теоретическая база и процесс разработки продукта.

Но будучи “вырванными из контекста”, рейтинги EAL сами по себе бессмысленны. Например, множество МЭ оцениваются на уровне EAL4, но это ни о чем не говорит, пока вы не ознакомитесь с заданием по безопасности, профилем защиты и отчетом по сертификации. Чтобы узнать, какое проводилось тестирование, проанализируйте документы ST и PP, используя части 1 и 2 стандарта СС.

Cертификация криптосредств

FIPS-140-2 — это стандарт сертификации криптографических модулей, поддерживаемый Национальным институтом стандартов и технологий (National Institute of Standards and Technology — NIST). С его выходом стандарт FIPS-140-1 устарел, хотя его до сих пор используют для сертификации существующих продуктов.

Получившие разрешение от NIST лаборатории тестируют новые продукты на соответствие стандарту FIPS-140-2, которое означает, что их криптографические подсистемы реализованы правильно и обеспечивают адекватный уровень защиты хранимых конфиденциальных данных.

В FIPS-140-2 определяются четыре уровня безопасности — от самого слабого до самого сильного, причем каждый последующий уровень базируется на предыдущем. Уровень 1 обозначает, что в продукте должным образом реализованы стандартизованные NIST криптографические алгоритмы, включая DES (Data Encryption Standard), 3DES (Triple DES) и AES (Advanced Encryption Standard).

Уровень 2 обозначает, что продукт имеет неподдающийся восстановлению корпус и любое его повреждение будет заметно.

Уровень 3 — извещает о том, что криптографические модули удаляют хранимые ключи при попытке взлома; на этом уровне требуется аутентификация доступа к продукту.

Уровень 4 предписывает, чтобы продукт был защищен от взлома, например посредством заморозки.

Большая часть продуктов безопасности получают сертификаты FIPS-140-2 уровней 2 и 3. Этих уровней защиты достаточно, если модули хранятся в контролируемой среде, например в машинном зале.

Еще одна деталь головоломки

К сожалению, не существует организационного аналога Underwriters Laboratory для сертификации продуктов сетевой безопасности. Вероятно, самой старой и широко известной является лаборатория ICSA Labs — независимое подразделение компании TruSecure, предоставляющей услуги безопасности. ICSA Labs тестирует и сертифицирует криптографические системы, межсетевые экраны, продукты IPsec VPN и антивирусное ПО в соответствии с опубликованными документами и в сравнении с другими аналогичными продуктами. Подобно стандартам CC и FIPS-140-2, сертификация ICSA Labs включает в себя тесты функциональности компонентов по принципу “прошел/не прошел”.

Критерии сертификации формируются в результате совместной работы производителей соответствующего оборудования и экспертов. Они совершенствуются по мере “взросления” продукта и улучшения методик тестирования. В отличие от CC процесс отраслевой сертификации ICSA Labs не охватывает руководства по внедрению и ограничения среды. При тестировании не принимаются во внимание ни архитектурные различия продуктов, ни их механизмы защиты. К примеру, сертификация ICSA Labs Firewall не делает различия между МЭ с контекстной фильтрацией пакетов и МЭ с посредниками приложений.

Достаточно ли одной сертификации?

Насколько важна сертификация в условиях реального мира открытых сетей и постоянного “латания дыр”? Наличие сертификата отнюдь не означает, что устройство или комплекс устройств стали неуязвимыми для атак. Это всего лишь одна из деталей головоломки (не спорим, важная). Например, криптопроцессор IBM 4578, обладающий сертификатом FIPS-140-1 уровня 4, одно время был уязвим из-за наличия “дыры” в ПО Common Cryptographic Architecture, воспользовавшись которой, потенциальный злоумышленник мог восстановить ключи. Компания IBM поставила “заплату” еще в прошлом году, но этот пример лишний раз напоминает нам о том, что сама по себе сертификация не может заменить грамотных мероприятий по обеспечению безопасности.

Кроме того, сертифицированный продукт не является априори более безопасным по сравнению со своим аналогом, не прошедшим сертификацию. Вполне возможно, что производитель последнего еще не приступил к тестированию или тестирование не завершено. Стоит хотя бы вспомнить о суммах, которые производители платят за сертификацию — обычно они составляют от 25 тыс. до нескольких сотен тысяч долларов за продукт для сертификации по стандарту CC — отличная мотивация для создания продуктов, которые в любом случае должны пройти ее.

И не следует считать сертификацию панацеей. Она хороша с точки зрения обретения уверенности в том, что продукт отвечает стандартному набору критериев, но ведь ваши требования к безопасности могут быть уникальными..





  
12 '2003
СОДЕРЖАНИЕ

электронная Россия

• Проблемы информатизации в ДФО

бизнес

• Заметки аудитора: как в России обслуживают пользователей?

• Новые перспективы развития рынка услуг спутниковой связи

• Пляжная форма обучения для дистрибуторов

инфраструктура

• Рекомендации по поддержке пользователей на дому

• Как организовать долговременное хранение данных

• Принципы выбора IP-УАТС

• Centrex в стиле IP

• Точное время в вашей сети

• Тестируем соединители MAPI для Microsoft Outlook

информационные системы

• «Повзрослевшие» системы обмена сообщениями

сети связи

• Поколение Next, или Метро-Ethernet в столице

• Видео по протоколу

• Конвергенция становится беспроводной

• IP-телефония. Кризис позади

кабельные системы

• Средства сращивания оптических волокон

• Тест не пройден. Что делать дальше?

• Как улучшить охлаждение серверов, сократив при этом затраты на их охлаждение

защита данных

• Сертификация средств безопасности

• К безопасному информационному обществу

новые продукты

• Система абонентского доступа IPTL компании Terayon


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх