Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

Les Classes de Fonctionnalité


Dans le but de normaliser les niveaux de sécurité auxquels peuvent prétendre les systèmes d'exploitations, la Defense Intelligence Agency (DIA) a créé l'Orange Book. Ce document propose 7 classes de fonctionnalités, ce qui nous donne dans l'ordre croissant D, C1, C2, B1, B2, B3, A1.
A chacun de ces niveaux correspondent des fonctionnalités à respecter.
Certains concepteurs de systèmes d'exploitation aiment à définir le niveau de sécurité que ceux-ci respectent grâce à ces classes de fonctionnalités. On trouve ainsi que le système NT 3.5 est à la norme C2, ce résultat est à relativiser car ce niveau n'est atteint que grâce à une configuration matérielle bien particulière (système coupé du réseau, pas de lecteur de disquettes) et que le système Solaris B2-compliant de SUN est au niveau B2, sans aucune contrainte.

Présentation de chaque niveau de fonctionnalité



Le niveau de sécurité D


Il correspond à un niveau de sécurité minimal, ce qui veut dire aucune contrainte, on y retrouve le système DOS.

Le niveau de sécurité C1


Il correspond à un niveau de protection discrétionnaire. C'est à dire que l'on assure la séparation des utilisateurs et des données avec la notion de sujet et d'objet, que l'on contrôle l'accès aux informations privées et que les utilisateurs coopèrent sur le même niveau de sensibilité.

Le niveau de sécurité C2


Ce niveau offre un accès contrôlé. C'est à dire que l'on affine le contrôle d'accès, au moyen du login et de l'audit. De plus, on sépare les ressources à protéger.
Le passage de la classe C (protection discrétionnaire) à la classe B (protection mandataire) se fait par le biais de la labellisation des données.

Le niveau de sécurité B1


Il offre ainsi une protection par labellisation. On a donc une politique de sécurité associée au marquage des données et au contrôle obligatoire des sujets et des objets.

Le niveau de sécurité B2


Pour atteindre ce niveau dit "Protection Structurée", il faut renforcer le contrôle d'accès, ne pas disposer de canaux cachés, avoir une authentification renforcée, avoir des contraintes accrues de gestion et de contrôle de la configuration ainsi que disposer d'une TCB (Trusted Computing Base) fondée sur un modèle défini et documenté.

Le niveau de sécurité B3


C'est le niveau de " domaine de sécurité ", il faut obligatoirement un administrateur de sécurité, un audit accru et la TCB intervient lors de tout accès de sujet à objet, doit résister à l'intrusion et doit pouvoir être analysée et testée.

Le niveau de sécurité A1


Ce niveau est celui dit de "conception vérifiée". Comme son nom l'indique, il impose d'avoir une FTLS (Formal Top Level Specification) pour la conception de la TCB et du modèle. Il impose en plus des contraintes sur la gestion de la configuration et un administrateur de sécurité et du système distinct.


Réalisation d'un système TRUSTED (à haute sécurité)


Pour réaliser un système TRUSTED, on se base généralement sur la norme F-B1 de l'ITSEC (Critères d'évaluation de la sécurité des systèmes informatiques), norme elle-même dérivée des exigences fonctionnelles de la classe B1 du TCSEC (Trusted Computer System Evaluation Criteria) américain. Cette classe de fonctionnalité impose l'utilisation du contrôle d'accès discrétionnaire, introduisant en plus des fonctions de contrôle d'accès par mandat à tous les sujets et à tous les objets de stockage sous son contrôle. Il est aussi possible d'attribuer un label aux informations exportées.

Les systèmes de classe de fonctionnalité F-B1 sont plus sécurisés que ceux de classe F-C2 qui n'impose que l'identification du sujet, la possibilité de restreindre les actions du sujet à la lecture et à l'observation et à restreindre la transmission des droits à un groupe de sujets.

Pour en savoir plus sur le sujet nous vous suggérons d'aller lire : Le Compartemented Mode Workstation.

Mustapha Benjada
18 Janvier 2001

Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités.
Twitter SecuriteInfo.com
Facebook SecuriteInfo.com
BOINC calcul scientifique
© 2004-2016 - Tous droits réservés - SecuriteInfo.com