Critérios Para Avaliação Da Segurança De Sistemas De Computação

3. Critérios para avaliação da Segurança de Sistemas de Computação – O livro Laranja do DoD.

O Livro Laranja do DoD, O livro “Trusted Computer System Evaluation Criteria” [DoD 85], ou simplesmente “O Livro Laranja” e publicado no livro Redes de Computadores. Das LANs, MANs e WANs às Redes ATM (Guido Lemos), é um documento formalizado que contém a proposta do Departamento de Defesa Americana para avaliar a segurança de sistemas de computação. O Livro Laranja tem por objetivos fornecer aos fabricantes um padrão definindo os aspectos de segurança que deveriam ser incorporados aos seus produtos, prover aos órgãos membros do DoD uma métrica de segurança para sistemas computacionais, fornecer uma base para a definição de requisitos de segurança nas especificações de aquisição de equipamentos. Define também um processo de Avaliação de Produtos Comerciais (Commercial Product Evaluation Process), que é realizado em Centros de Segurança Computacional (Computer Security Centers).

Os critérios para avaliação de segurança de sistemas de computação definidos nesse documento enquadram os sistemas em quatro divisões de proteção: D, C, B e A.

Os critérios foram concebidos com os seguintes objetivos:

• Fornecer aos usuários (DoD) instrumentos para avaliar o grau de confiança que pode ser depositado no processamento de informações classificadas e demais e informações sensíveis em sistemas computacionais.

• Fornecer orientação aos fabricantes para que seus novos produtos incorporassem os requisitos necessários para satisfazer as exigências requeridas para uso em aplicações sensíveis.

• Fornecer especificações de segurança para aquisição de produtos.

Dois tipos de exigência são colocados como processamento seguro de informações:

• Características específicas de segurança.

• Exigência de Garantia.

Os critérios de avaliação podem ser aplicados de uma forma global, avaliando-se o conjunto de componentes que compõe o ambiente computacional em que se dará o processamento das informações e não necessariamente, todos os componentes individualmente.

A definição das exigências de segurança passa, necessariamente, pela definição do que seja um sistema computacional seguro. O DoD define: “Os sistemas seguros são controlados, através das características específicas de segurança, de modo a garantir que somente os indivíduos ou processos devidamente autorizados tenham acesso para ler, escrever ou apagar a informação”. Seis exigências fundamentais são derivadas dessa definição básica, das quais quatro referem-se ao que deve ser providenciado para se garantir o controle no acesso à informação e duas são usadas para garantir que o sistema computacional é seguro. Os seis requisitos são:

Requisito 1 – Política de Segurança: Deve existir um conjunto de regras que estabelece, de forma explícita e bem definida, quem e em que circunstância terá acesso a determinadas informações. Este conjunto de regras divide-se em politica de segurança obrigatória (Mandatory Security Policy*) e arbitrária (Arbitrary Security Policy**).

Requisito 2 – Marcação: Todos os objetos do sistema devem ser rotulados, identificando de forma segura seu nível de sensibilidade.

Requisito 3 – Identificação: Todos os agentes que executem atividades de acesso às informações do sistema devem ser devidamente identificados com seu correspondente nivel de autorização.

Requisito 4 – Registro de Eventos: Informações sobre os eventos devem ser guardadas de forma a permitir auditorias que sejam capazes de identificar responsáveis por falhas que afetaram a segurança do sistema.

Requisito 5 – Garantia: O sistema de computação deve conter mecanismo de hardware/software que possam ser avaliados independentemente , quanto ao oferecimento de garantias suficientes de que o sistema atende aos requisitos de 1 ao 4. Os instrumentos utilizados para garantir o cumprimento dos requisitos, tipicamente, estão incluidos no sistema operacional. Para se avaliar independentemente a eficiência, e se ter confiança nos mecanismos aplicados, é necessário se ter uma documentação clara dos mesmos.

Requisito 6 – Proteção Continua: Os mecanismos utilizados para garantir exigências, critérios 1 a 4, devem ser protegidos continuamente contra as alterações ou modificações não autorizadas, só assim se garante que o sistema computadorizado é verdadeiramente seguro. A exigência contínua da proteção deve ser válida durante toda a vida do sistema.

O TSEC (Trusted Computer System Evaluation Criteria) define quarto níveis de segurança: D, C, B e A, estruturados de maneira hierárquica, sendo o nível A o de maior nível de segurança. A divisão C está subdividida nas classes:

3.1 Divisão D – Proteção Mínima

Esta divisão contém apenas uma classe. Ela é reservada para aqueles sistemas que têm sido avaliados, mas que não cumprem os requisitos para uma classe superior de avaliação.

______________________________________________

*É uma política que garante a segurança da informação sensível ou classificada, por toda sua vida, definindo regras de acesso baseadas na classificação das informações.

**É uma política que garante a segurança da informação sensível ou classificada, por todo o seu ciclo de vida, definindo regras de acesso baseadas no nível de autorização; temporal ou não (dependendo da necessidade), de um indivíduo acessar informações classificadas.

3.2 Divisão C – Proteção Arbitrária

Classes nesta divisão prever discricionário (necessidade de conhecer) de proteção e, através da inclusão de recursos de auditoria, para a responsabilização dos sujeitos e as ações se iniciam. Nessa divisão os sistemas são enquadrados em duas classes C1 e C2.

3.2.1 Divisão C1 – Proteção com Segurança Arbitrária

O Trusted Computing Base (TCB) de uma classe (C1), nominalmente satisfaz os requisitos de segurança, proporcionando a separação de dados e usuários. Ele incorpora alguma forma de controle confiável capaz de impor limitações de acesso numa base individual, ou seja, aparentemente propício para que os usuários sejam capazes de proteger um projeto ou informações particulares e de manter outros usuários sem a possibilidade de leitura ou de destruir seus dados. O ambiente deve ser um dos

...