US National Computer Security Center

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 15. januar 2018; checks kræver 86 redigeringer .
Center for National Computersikkerhed
Nationalt Computersikkerhedscenter
Land  USA
Oprettet 1981
Jurisdiktion det amerikanske forsvarsministerium
Budget klassificeret
Gennemsnitlig befolkning klassificeret
Ledelse
Tilsynsførende klassificeret
Stedfortræder Tidligere stedfortræder
Internet side nsa.gov

US National Computer Security Center er en del af US National Security Agency .  Han er ansvarlig for computersikkerhed på føderalt niveau. [1] I slutningen af ​​80'erne og begyndelsen af ​​90'erne udgav National Security Agency og US National Computer Security Center [2] et sæt kriterier til evaluering af pålideligheden af ​​computersystemer i regnbueserien af ​​bøger.

Generel information

National Computer Security Center (NCSC) er en del af US National Security Agency regeringsorganisation . Det udgør kriterier for evaluering af sikkerheden af ​​computerudstyr. Disse kriterier sikrer, at følsomme informationsbehandlingsfaciliteter kun bruger pålidelige computersystemer og komponenter [3] . Organisationen arbejder inden for industri, uddannelse og regering, inden for områder relateret til fortrolighed eller en høj grad af hemmeligholdelse af oplysninger. Centret støtter også videnskabelig forskning og standardisering af projekter til udvikling af informationssikkerhedssystemer. Det ældre navn på National Computer Security Center er DoD Computer Security Center (CSC) - centeret for computerbeskyttelse i forsvarsministeriet.

Oprindelse

I oktober 1967 blev et operationelt videnskabeligt råd samlet for at diskutere computersikkerhedsspørgsmål, især lagring og behandling af klassificeret information i fjernadgangscomputersystemer [4] . I februar 1970 udgav Task Force en rapport, "Sikkerhedskontrol for computersystemer [5] ." Den fremsatte en række anbefalinger til de politiske og tekniske foranstaltninger, der er nødvendige for at mindske truslen om lækage af klassificerede oplysninger. I begyndelsen og midten af ​​1970'erne blev de tekniske problemer forbundet med udveksling af ressourcer og information i computersystemer påvist. DoD Computer Security Initiative [6] blev startet i 1977 i regi af forsvarsministeren for at løse problemer med computersikkerhed. Samtidig med forsvarsministerens indsats blev endnu en undersøgelse igangsat. Det bestod i at identificere og løse computersikkerhedsproblemer for at opbygge et sikkert computersystem og vurdere dets sikkerhed. Undersøgelsen blev ledet af National Bureau of Standards (NBS) . Som en del af dette arbejde gennemførte National Bureau of Standards to workshops om test og evaluering af computersikkerhed. Den første fandt sted i marts 1977 og den anden i november 1978 . Den anden workshop producerede et afsluttende papir om de udfordringer, der er forbundet med at levere vurderingskriterier for computersikkerhed. DoD Computer Security Center blev dannet i januar 1981 af Department of Defense for at udvide det arbejde, der blev påbegyndt af DoD Computer Security Initiative og ændrede dets nuværende navn til National Computer Security Center i 1985. En del af US National Security Agency.

Mål for det amerikanske nationale computersikkerhedscenter

Hovedformålet med centret, som anført i dets charter [7] , er at fremme den brede tilgængelighed af pålidelige computersystemer, der håndterer klassificerede eller fortrolige oplysninger. Kriterierne i dette dokument er udviklet fra de tidligere National Bureau of Standards- kriterier .

Målene for skabelsen angivet i dokumenterne:

  1. Giv et grundlag for at definere sikkerhedskrav.
  2. At levere en standard for fremstilling af kommercielle produkter, der opfylder tillidskravene (med særlig vægt på lækageforebyggelse og afsløring) af fortrolige og hemmelige applikationer, og at sikre, at disse produkter er bredt tilgængelige.
  3. Giv det amerikanske forsvarsministerium en metrik til at vurdere graden af ​​tillid, der kan placeres i computersystemer for at håndtere følsomme eller følsomme oplysninger sikkert. Metrikken giver score af to typer: en score udført på maskinen, ikke inklusive applikationsmiljøet; eller en vurdering, der viser, om der er truffet passende sikkerhedsforanstaltninger for at tillade, at systemet kan bruges operationelt i et bestemt miljø. Den sidste type vurdering kaldes en certificeringsvurdering. Det skal forstås, at selvom en vurdering kaldes en certificeringsvurdering, er den ikke en certificering eller akkreditering af systemet til brug i ethvert applikationsmiljø. Beståelsescertificering giver en vurdering af et computersystem sammen med relaterede data, der beskriver systemets styrker og svagheder med hensyn til computersikkerhed. Systemsikkerhedscertificering er en procedure, der udføres i overensstemmelse med de gældende regler for udstedelse af certifikater. Det skal stadig gøres, før systemet kan bruges til at behandle klassificerede oplysninger. Den godkendelse, som myndighederne har givet, er dog afgørende for systemets sikkerhed.

Grundlæggende krav til computersikkerhed

US National Computer Security Center har udviklet seks grundlæggende krav: fire vedrører kontrol med adgang til information; og to handler om at opnå stærke forsikringer om, at information vil blive tilgået på et pålideligt computersystem [8] .

Krav 1 - sikkerhedspolitik

Der bør være en klart defineret sikkerhedspolitik, der styrer systemet. På baggrund af de identificerede emner og objekter, skal der defineres et sæt regler, som bruges af systemet, for at kunne afgøre, om et givent emne kan få adgang til et bestemt objekt. Computersystemer skal være styret af en sikkerhedspolitik, der omfatter regler for adgang til fortrolige eller hemmelige oplysninger med henblik på efterfølgende behandling. Derudover er der behov for skønsmæssig adgangskontrol for at sikre, at kun udvalgte brugere eller grupper af brugere kan få adgang til dataene.

Krav 2 - mærkning

Adgangskontroletiketter skal være knyttet til objekter. For at kontrollere adgangen til oplysninger, der er lagret på en computer, skal det være muligt, i henhold til obligatoriske sikkerhedspolitikregler, at mærke hvert objekt med en etiket, der pålideligt identificerer det pågældende objekt. For eksempel klassificeringen af ​​emner og objekter for at give adgang til de emner, der potentielt kan få adgang til objektet.

Krav 3 - Identifikation

Individuelle emner skal identificeres. Adgang til oplysninger bør baseres på, hvem der anmoder om adgang, og hvilke kategorier af oplysninger de har adgang til. Identifikation og autorisation skal vedligeholdes sikkert af computersystemet og associeres med ethvert aktivt element, der udfører aktiviteter i systemet relateret til dets sikkerhed.

Krav 4 - Ansvarlighed

Revisionsoplysninger bør selektivt opbevares og beskyttes, så sikkerhedspåvirkende aktiviteter kan spores tilbage til den part, der er ansvarlig for disse aktiviteter. Et betroet system skal være i stand til at logge sikkerhedsrelaterede hændelser. Logdata, der vedligeholdes med det formål at undersøge sikkerhedsbrud, skal beskyttes mod ændringer og uautoriseret ødelæggelse.

Krav 5 - Garanti

Computersystemet skal indeholde hardware- eller softwaremekanismer, der kan evalueres uafhængigt. Dette gøres for at være nogenlunde sikker på, at systemet opfylder krav 1-4 ovenfor. For at sikre, at sikkerhedspolitik, mærkning, identifikation og ansvarlighed håndhæves af et computersystem, er der behov for en defineret og samlet samling af hardware og software, der udfører disse funktioner. Disse mekanismer er normalt indbygget i operativsystemet og er designet til at udføre en opgave på en sikker måde. Grundlaget for tilliden til sådanne mekanismer bør være klart dokumenteret på en sådan måde, at uafhængig gennemgang er mulig for at bevise, at disse mekanismer er tilstrækkelige.

Krav 6 - kontinuerlig beskyttelse

Pålidelige mekanismer, der overholder disse grundlæggende krav, skal være permanent beskyttet mod forfalskning og uautoriserede ændringer. Intet computersystem kan være virkelig sikkert, hvis de underliggende hardware- og softwaremekanismer, der implementerer sikkerhedspolitikken, i sig selv er modtagelige for uautoriseret modifikation eller undergravning .

Foranstaltninger inden for informationssikkerhed

Computersikkerhedscentret formidler information om computersikkerhedsproblemer til undervisningsformål. Organisationen er også vært for den årlige nationale konference om informationssikkerhedssystemer. Konferencen bidrager til at øge efterspørgslen og øge investeringerne inden for informationssikkerhedsforskning. Den første nationale konference er NISSC - National Information Systems Security Conference [9] . I 23 år, 10 år før Computer Security Act blev vedtaget i 1987, har konferencen været det førende globale forum for computer- og informationssikkerhedssystemer.

Publikationer

National Computer Security Center er ansvarlig for at udgive Orange og Red Books , der beskriver sikker brug af computersystemer og netværk med hensyn til informationssikkerhed. Kriterier til bestemmelse af computersystemers sikkerhed er en del af Rainbow Series publikationer , som for det meste gentages i Common Criteria . Computersikkerhedscentret har også udgivet flere publikationer om emnet computersikkerhed.

Hovedliste

[CSC] Department of Defense, "Password Management Guideline" [10] , CSC-STD-002-85, 12. april 1985, 31 sider.

Vejledningen beskriver trin til at minimere adgangskodesårbarhed i hvert af de adgangskodebaserede autentificeringsscenarier.

[NCSC1] NCSC, "A Guide to Understanding AUDIT in Trusted Systems" [11] , NCSC-TG-001, Version-2, 1. juni 1988, 25 sider.

En guide til revision i betroede systemer til at opdage indtrængen i et computersystem og identificere misbrug af dets ressourcer.

[NCSC2] NCSC, "A Guide to Understanding DISCRETIONARY ACCESS CONTROL in Trusted Systems" [12] , NCSC-TG-003, Version-1, 30. september 1987, 29 sider.

En guide til revision i betroede systemer om diskret adgangskontrol. Diskretionær adgangskontrol er den mest almindelige type adgangskontrolmekanisme, der implementeres i computersystemer i dag.

[NCSC3] NCSC, "A Guide to Understanding CONFIGURATION MANAGEMENT in Trusted Systems" [13] , NCSC-TG-006, Version-1, 28. marts 1988, 31 sider.

Vejledning om revision i betroede systemer til konfigurationskontrol. Konfigurationskontrol består af følgende trin: identifikation, kontrol, statuslogning og revision.

[NTISS] NTISS, "Advisory Memorandum on Office Automation Security Guideline" [14] , NTISSAM CONPUSEC/1-87, 16. januar 1987, 58 sider.

Dette dokument er en vejledning til brugere eller administratorer med ansvar for sikkerhed og for levering af software og hardware i AU. Denne vejledning beskriver følgende: fysisk sikkerhed, personalesikkerhed, proceduremæssig sikkerhed, software- og hardwareforanstaltninger, beskyttelse mod PEMIN og kommunikationssikkerhed for stand-alone SS, SS brugt som terminaler forbundet til en vært og SS brugt i et LAN. Der skelnes mellem højttalere udstyret med diskettedrev (diskettedrev) og HDD (harddiskdrev).

Yderligere publikationer [14]

[NCSC4] National Computer Security Center, "Glossary of Computer Security Terms", NCSC-TG-004, NCSC, 21. oktober 1988.

Ordliste over begreber i computersikkerhed.


[NCSC5] National Computer Security Center, "Trusted Computer System Evaluation Criteria", DoD 5200.28-STD, CSC-STD-001-83, NCSC, december 1985.

Publikation om evalueringskriterierne for pålidelige computersystemer


[NCSC7] National Computer Security Center, "Guidance for Applying the Department of Defense Trusted Computer System Evaluation Criteria in Specific Environments", CSC-STD-003-85, NCSC, 25. juni 1985.

En publikation om forsvarsministeriets anvendelse af kriterier for evaluering af pålidelige computersystemer under specifikke forhold.


[NCSC8] National Computer Security Center, "Technical Rationale Behind CSC-STD-003-85: Computer Security Requirements", CSC-STD-004-85, NCSC, 25. juni 85.

Publikationen forklarer teknisk CSC-STD-003-85: Computer Security Requirements


[NCSC9] National Computer Security Center, "Magnetic Remanence Security Guideline", CSC-STD-005-85, NCSC, 15. november 1985.

Denne vejledning er "Kun til officiel brug" i henhold til del 6 i lov 86-36 (50 US Code 402). Distribution sker kun til amerikanske regeringsorganer og deres agenter for at beskytte følsomme tekniske, operationelle og administrative data, der er relateret til NSA's arbejde.


[NCSC10] National Computer Security Center, "Guidelines for Formal Verification Systems", forsendelsesliste nr.: 89-660-P, The Center, Fort George G. Meade, MD, 1. april 1990.

En publikation om de grundlæggende principper for formelle verifikationssystemer.


[NCSC11] National Computer Security Center, "Glossary of Computer Security Terms", forsendelsesliste nr.: 89-254-P, The Center, Fort George G. Meade, MD, 21. oktober 1988.

Ordliste over computersikkerhedsbegreber


[NCSC12] National Computer Security Center, "Trusted UNIX Working Group (TRUSIX) begrundelse for valg af adgangskontrollistefunktioner til UNIX-systemet", forsendelsesliste nr.: 90-076-P, The Center, Fort George G. Meade, MD , 1990.

UNIX Working Group (TRUSIX) markerer for at tillade adgang til listestyringsfunktioner for UNIX-systemet.


[NCSC13] National Computer Security Center, "Trusted Network Interpretation", NCSC-TG-005, NCSC, 31. juli 1987. [NCSC14] Tinto, M., "Computer Viruses: Prevention, Detection, and Treatment", National Computer Security Center C1 teknisk rapport C1-001-89, juni 1989.

Computervirus: forebyggelse, diagnose og behandling.


[NCSC15] National Computer Security Conference, "12th National Computer Security Conference: Baltimore Convention Center, Baltimore, MD, 10-13 oktober, 1989: Information Systems Security, Solutions for Today - Concepts for Tomorrow", National Institute of Standards and National Computer Sikkerhedscenter, 1989.

Resumé af den 12. nationale konference om computersikkerhed, afholdt i Baltimore Convention Center 10.-13. oktober 1989. Hovedemne: Sikkerhed af informationssystemer. Løsninger i dag — koncepter i morgen",

Noter

  1. "DoD Computer Security Center (DoDCSC) blev etableret i januar 1981..." og "I 1985 blev DoDCSC's navn ændret til National Computer Security Center..." og "dets ansvar for computersikkerhed i hele den føderale regering. .." i A Guide to Understanding Audit in Trusted Systems (link ikke tilgængeligt) . National Computer Security Center via National Institute of Standards and Technology CSRC. Hentet 30. juni 2013. Arkiveret fra originalen 6. november 2012. 
  2. "NSA og dets nationale computersikkerhedscenter (NCSC) har ansvaret for..." i Computer Systems Laboratory Bulletin (downlink) . National Institute of Standards and Technology CSRC (februar 1991). Hentet 30. juni 2013. Arkiveret fra originalen 2. juli 2013. 
  3. Rainbow Series Library . Arkiveret fra originalen den 19. december 2018.
  4. FORSVARSDEPARTEMENTET VURDERINGSKRITERIER FOR TRUSTED COMPUTERSYSTEM , s. 7.
  5. RAND Corporation. SIKKERHEDSKONTROLLER TIL COMPUTERSYSTEMER . - 1970. - S. 1 .
  6. NATIONAL BUREAU OF STANDARDS. SEMINAR OM DOD COMPUTERSIKKERHEDSINITIATIVPROGRAMMET . - 1979. - S. 111 .
  7. Donald C. Latham. FORSVARSDEPARTEMENTET VURDERINGSKRITERIER FOR TRUSTED COMPUTER SYSTEM . - 1983. - S. 6 .
  8. Donald C. Latham. FORSVARSDEPARTEMENTET VURDERINGSKRITERIER FOR TRUSTED COMPUTER SYSTEM . - 1983. - S. 9-10 .
  9. http://www.ieee-security.org/Cipher/ConfReports/ .
  10. NATIONALT COMPUTERSIKKERHEDSCENTER. FORSVARSDEPARTEMENTET RETNINGSLINJER FOR HÅNDTERING AF ADGANGSKODE . - 1985. - S. 2 .
  11. NATIONALT COMPUTERSIKKERHEDSCENTER. En guide til at forstå revision i betroede systemer . - 1987. - S. 2 .
  12. NATIONALT COMPUTERSIKKERHEDSCENTER. En vejledning til at forstå SKØN ADGANGSKONTROL i betroede systemer . - 1987. - S. 2 .
  13. NATIONALT COMPUTERSIKKERHEDSCENTER. En vejledning til at forstå KONFIGURATIONSSTYRING i betroede systemer . - 1988. - S. 2 .
  14. 1 2 Site Security Handbook, 1991 .

Litteratur