Evalueringskriterier for betroet computersystem - Trusted Computer System Evaluation Criteria

Trusted Computer System Evaluation Criteria ( TCSEC ) er en amerikansk regerings forsvarsministerium ( Defence ) standard, der stiller grundlæggende krav til vurdering af effektiviteten af computersikkerhedskontroller indbygget i et computersystem . TCSEC blev brugt til at evaluere, klassificere og vælge computersystemer, der overvejes til behandling, lagring og hentning af følsomme eller klassificerede oplysninger .

TCSEC, ofte omtalt som Orange Book , er midtpunktet i DoD Rainbow Series -publikationer. Oprindeligt udstedt i 1983 af National Computer Security Center (NCSC), en arm af National Security Agency , og derefter opdateret i 1985, blev TCSEC til sidst erstattet af Common Criteria international standard, der oprindeligt blev offentliggjort i 2005.

Grundlæggende mål og krav

Den 24. oktober 2002 blev The Orange Book (alias DoDD 5200.28-STD) annulleret af DoDD 8500.1, som senere blev genudgivet som DoDI 8500.02 den 14. marts 2014.

Politik

Sikkerhedspolitikken skal være eksplicit, veldefineret og håndhæves af computersystemet. Tre grundlæggende sikkerhedspolitikker er specificeret:

• Obligatorisk sikkerhedspolitik - Håndhæver adgangskontrolregler, der er direkte baseret på en persons godkendelse, autorisation til oplysningerne og fortrolighedsniveauet for de oplysninger, der søges. Andre indirekte faktorer er fysiske og miljømæssige. Denne politik skal også nøjagtigt afspejle de love, generelle politikker og anden relevant vejledning, som reglerne stammer fra.
• Markering - Systemer designet til at håndhæve en obligatorisk sikkerhedspolitik skal gemme og bevare integriteten af ​​adgangskontroletiketter og beholde etiketterne, hvis objektet eksporteres.
• Skønsmæssig sikkerhedspolitik -Håndhæver et konsekvent sæt regler for kontrol og begrænsning af adgang baseret på identificerede personer, der har været fast besluttet på at have et behov for at kende til oplysningerne.

Ansvarlighed

Individuel ansvarlighed uanset politik skal håndhæves. Der skal findes et sikkert middel til at sikre adgang til en autoriseret og kompetent agent, der derefter kan evaluere ansvarlighedsoplysningerne inden for en rimelig tid og uden unødig vanskelighed. Ansvarlighedsmålet omfatter tre krav:

• Identifikation - Den proces, der bruges til at genkende en individuel bruger.
• Godkendelse - Verifikationen af ​​en enkelt brugers autorisation til bestemte informationskategorier.
• Revision - Revisionsoplysninger skal opbevares selektivt og beskyttes, så handlinger, der påvirker sikkerheden, kan spores til det godkendte individ.

Forsikring

Computersystemet skal indeholde hardware-/softwaremekanismer, der kan evalueres uafhængigt for at give tilstrækkelig sikkerhed for, at systemet håndhæver ovenstående krav. I forlængelse heraf skal sikkerhed indeholde en garanti for, at den betroede del af systemet kun fungerer efter hensigten. For at nå disse mål er der brug for to former for sikkerhed med deres respektive elementer:

• Sikringsmekanismer
• Operational Assurance: Systemarkitektur, Systemintegritet, Covert Channel Analysis, Trusted Facility Management og Trusted Recovery
• Livscyklusforsikring: Sikkerhedstest, Designspecifikation og verifikation, Konfigurationsstyring og Trusted System Distribution
• Kontinuerlig beskyttelse af sikkerhed - De pålidelige mekanismer, der håndhæver disse grundlæggende krav, skal løbende beskyttes mod manipulation eller uautoriserede ændringer.

Dokumentation

Inden for hver klasse adresserer et ekstra sæt dokumentation udvikling, implementering og styring af systemet frem for dets kapaciteter. Denne dokumentation omfatter:

• Sikkerhedsfunktioner Brugervejledning, Trusted Facility Manual, Testdokumentation og Designdokumentation

Inddelinger og klasser

TCSEC definerer fire divisioner: D, C, B og A, hvor division A har den højeste sikkerhed. Hver division repræsenterer en væsentlig forskel i den tillid, et individ eller en organisation kan have på det evaluerede system. Derudover er division C, B og A opdelt i en række hierarkiske underafdelinger kaldet klasser: C1, C2, B1, B2, B3 og A1.

Hver division og klasse udvider eller ændrer som angivet kravene i den umiddelbart forudgående division eller klasse.

D - Minimal beskyttelse

• Reserveret til de systemer, der er blevet evalueret, men som ikke opfylder kravet til en højere division.

C - Diskretionær beskyttelse

• C1 - Diskretionær sikkerhedsbeskyttelse
  • Identifikation og godkendelse
  • Adskillelse af brugere og data
  • Diskretionær adgangskontrol (DAC), der er i stand til at håndhæve adgangsbegrænsninger på individuelt grundlag
  • Påkrævet systemdokumentation og brugermanualer
• C2 - Kontrolleret adgangsbeskyttelse
  • Mere finkornet DAC
  • Individuel ansvarlighed gennem loginprocedurer
  • Revisionsspor
  • Genbrug af genstande
  • Ressourceisolering
  • Et eksempel på et sådant system er HP-UX

B - Obligatorisk beskyttelse

• B1 - Mærket sikkerhedsbeskyttelse
  • Uformel erklæring om den sikkerhedspolitiske model
  • Datasensitivitetsmærker
  • Obligatorisk adgangskontrol (MAC) over udvalgte emner og objekter
  • Mærkeeksportmuligheder
  • Nogle opdagede fejl skal fjernes eller på anden måde afhjælpes
  • Design specifikationer og verifikation
• B2 - Struktureret beskyttelse
  • Sikkerhedspolitisk model klart defineret og formelt dokumenteret
  • DAC- og MAC -håndhævelse udvides til alle emner og objekter
  • Skjulte lagerkanaler analyseres for forekomst og båndbredde
  • Omhyggeligt struktureret i beskyttelseskritiske og ikke-beskyttelseskritiske elementer
  • Design og implementering muliggør mere omfattende test og gennemgang
  • Godkendelsesmekanismer styrkes
  • Trusted facility management leveres med administrator- og operatørsegregering
  • Der pålægges strenge konfigurationsstyringskontroller
  • Operatør- og administratorroller er adskilt.
  • Et eksempel på et sådant system var Multics
• B3 - Sikkerhedsdomæner
  • Tilfredsstiller referencemonitorens krav
  • Struktureret til at udelukke kode, der ikke er afgørende for håndhævelse af sikkerhedspolitikker
  • Betydende systemteknik rettet mod minimering af kompleksitet
  • Sikkerhedsadministrator rolle defineret
  • Revider sikkerhedsrelevante begivenheder
  • Automatisk overhængende indtrængningsdetektering , meddelelse og svar
  • Tillid til stien til TCB for brugergodkendelsesfunktionen
  • Tillid til systemgenoprettelse
  • Skjulte timingkanaler analyseres for forekomst og båndbredde
  • Et eksempel på et sådant system er XTS-300, en forløber for XTS-400

A - Verificeret beskyttelse

• A1 - Verificeret design
  • Funktionelt identisk med B3
  • Formel design og verifikationsteknikker, herunder en formel topniveau-specifikation
  • Formel ledelse og distribution
  • Eksempler på systemer i A1-klasse er Honeywells SCOMP , Aesecs GEMSOS og Boeings SNS-server. To der var uvurderet var produktionslåseplatformen og det aflyste DEC VAX Security Kernel.
• Ud over A1
  • Systemarkitektur viser, at kravene til selvbeskyttelse og fuldstændighed for referencemonitorer er blevet implementeret i Trusted Computing Base (TCB).
  • Sikkerhedstest genererer automatisk test-case fra den formelle topniveau-specifikation eller formelle specifikationer på lavere niveau.
  • Formel specifikation og verifikation er, hvor TCB verificeres ned til kildekodeniveau ved hjælp af formelle verifikationsmetoder, hvor det er muligt.
  • Trusted Design Environment er, hvor TCB er designet i en betroet facilitet med kun betroet (godkendt) personale.

Tilpasning af klasser til miljøkrav

Publikationen med titlen "Army Regulation 380-19" er et eksempel på en vejledning til at bestemme, hvilken systemklasse der skal bruges i en given situation.

Se også

• AR 380-19 afløst af AR 25-2
• Canadian Trusted Computer Product Evaluation Criteria
• Fælles kriterier
• ITSEC
• Rainbow -serien
• Trusted Platform Module

Referencer

eksterne links

• National Security Institute - 5200,28 -STD Trusted Computers System Evaluation Criteria
• FAS IRP DOD Trusted Computer System Evaluation Criteria DOD 5200.28