"C2" brzmi dobrze - ale co to znaczy?

Często sprzedawcy reklamują kompatybilność zachwalanego produktu ze standardem C2, jakby to miało istotne znaczenie. Nie znaczy to wcale, że nie jest to ważna cecha produktu lub, że wprowadzono na rynek następny gadżet. C2 jest jednym z kilku rzeczywistych standardów bezpieczeństwa systemu komputerowego. Jego wadą jest to, że niezbyt pasuje do systemów informacji handlowej i że jest już trochę przestarzały.

Często sprzedawcy reklamują kompatybilność zachwalanego produktu ze standardem C2, jakby to miało istotne znaczenie. Nie znaczy to wcale, że nie jest to ważna cecha produktu lub, że wprowadzono na rynek następny gadżet. C2 jest jednym z kilku rzeczywistych standardów bezpieczeństwa systemu komputerowego. Jego wadą jest to, że niezbyt pasuje do systemów informacji handlowej i że jest już trochę przestarzały.

C2 pochodzi z tzw. pomarańczowej książeczki, czyli opracowania pt. "Kryteria oceny bezpieczeństwa systemów komputerowych" (Trusted Computer System Evaluation Cryteria, w skrócie TCSEC) wydanej przez Departament Obrony USA. Siostrzany dokument, znany jako czerwona książeczka, dotyczy bezpieczeństwa sieci komputerowych.

Głównym tematem TCSEC jest poufność danych. Istotne jest także stworzenie zaufania do systemu. Istnieje siedem poziomów - kategorii od D (minimalne zabezpieczenie) do A1 (bezpieczeństwo sięgające fazy projektu). Systemy zaliczane do kategorii B mają zapewnioną wielopoziomowość zabezpieczeń, przy czym o poufność dba system. W kategoriach klasy C - o poufność dba raczej sam użytkownik.

Kategoria C2 polega na podstawowym rozdzieleniu użytkowników i ich danych oraz śledzeniu zdarzeń mogących zagrozić ich bezpieczeństwu. Systemy w tej kategorii sprawdzają tożsamość użytkownika (za pomocą identyfikatora i hasła), a następnie śledzą jego aktywność. System nie wymusza prawidłowego postępowania użytkownika (tak jak to dzieje się w kategoriach B), ale umożliwia dokonanie analizy "post factum".

Problemem dla producentów jest nie tyle wprowadzenie poziomu C2 (większość systemów unixowych a także NetWare i NT Server posiada go), co udowodnienie, że cały system jest w rozumieniu tej kategorii bezpieczny. Taka procedura, odnosząca się do systemu na konkretnej platformie sprzętowej, trwa ponad dwa lata. Tylko że technika komputerowa rozwija się tak szybko, że już wyrób sprzed sześciu miesięcy często uznawany jest za przestarzały. To sprawia, że lista produktów posiadających certyfikat poziomu bezpieczeństwa jest niebywale krótka.

Pomarańczowa książeczka była w swoim czasie olbrzymim postępem, ale nie dotyczyła bezpieczeństwa sieci. Czerwona - mówiła o bezpieczeństwie sieci, ale omijała problem współpracy różnych systemów sieciowych. Obecnie informatycy w Europie i USA pracują nad standardem bezpieczeństwa uwzględniającym wszystkie potrzeby użytkowników systemów sieciowych.

Co więc oznacza zapewnienie producenta, że jego wyrób spełnia kryteria C2 oraz że jest zgodny z czerwoną książeczką? Oznacza to, że uznał on swój produkt za posiadający zestaw cech istotnych dla zachowania bezpieczeństwa w środowisku sieciowym.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200