USA:s nationella datorsäkerhetscenter

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 15 januari 2018; kontroller kräver 86 redigeringar .
Centrum för nationell datorsäkerhet
Nationellt datorsäkerhetscenter
Land  USA
Skapad 1981
Jurisdiktion USA:s försvarsdepartement
Budget klassificerad
Genomsnittlig befolkning klassificerad
Förvaltning
Handledare klassificerad
Vice Tidigare suppleant
Hemsida nsa.gov

US National Computer Security Center är en del av US National Security Agency .  Han är ansvarig för datasäkerhet på federal nivå. [1] I slutet av 80-talet och början av 90-talet publicerade National Security Agency och US National Computer Security Center [2] en uppsättning kriterier för att utvärdera tillförlitligheten hos datorsystem i regnbågsserien av böcker.

Allmän information

National Computer Security Center (NCSC) är en del av US National Security Agencys statliga organisation . Det utgör kriterier för att utvärdera säkerheten för datorutrustning. Dessa kriterier säkerställer att anläggningar för behandling av känslig information endast använder betrodda datorsystem och komponenter [3] . Organisationen arbetar inom industri, utbildning och myndigheter, inom områden relaterade till sekretess eller hög grad av informationssekretess. Centret stöder även vetenskaplig forskning och standardisering av projekt för utveckling av informationssäkerhetssystem. Det äldre namnet på National Computer Security Center är DoD Computer Security Center (CSC) - centrum för datorskydd av försvarsdepartementet.

Origins

I oktober 1967 samlades ett operativt vetenskapligt råd för att diskutera datorsäkerhetsfrågor, i synnerhet lagring och bearbetning av hemligstämplad information i fjärråtkomstdatorsystem [4] . I februari 1970 publicerade Task Force en rapport, "Säkerhetskontroller för datorsystem [5] ." Den gav ett antal rekommendationer för de politiska och tekniska åtgärder som behövs för att minska hotet om läckage av sekretessbelagd information. I början och mitten av 1970-talet påvisades de tekniska problem som var förknippade med utbyte av resurser och information i datorsystem. DoD Computer Security Initiative [6] startades 1977 under överinseende av försvarsministern för att ta itu med datorsäkerhetsfrågor. Samtidigt med försvarsministerns insatser inleddes ytterligare en studie. Det bestod i att identifiera och lösa datorsäkerhetsproblem för att bygga ett säkert datorsystem och bedöma dess säkerhet. Studien leddes av National Bureau of Standards (NBS) . Som en del av detta arbete genomförde National Bureau of Standards två workshops om testning och utvärdering av datorsäkerhet. Den första ägde rum i mars 1977 och den andra i november 1978 . Den andra workshopen producerade ett slutligt dokument om utmaningarna med att tillhandahålla kriterier för datasäkerhetsbedömning. DoD Computer Security Center bildades i januari 1981 av försvarsdepartementet för att utöka det arbete som påbörjades av DoD Computer Security Initiative och ändrade sitt nuvarande namn till National Computer Security Center 1985. En del av US National Security Agency.

Mål för US National Computer Security Center

Huvudsyftet med centret, som anges i dess stadga [7] , är att uppmuntra den breda tillgängligheten av pålitliga datorsystem som hanterar sekretessbelagd eller konfidentiell information. Kriterierna som presenteras i detta dokument har utvecklats från de tidigare National Bureau of Standards -kriterierna .

Målen för skapandet som anges i dokumenten:

  1. Ge underlag för att definiera säkerhetskrav.
  2. Att tillhandahålla en standard för tillverkning av kommersiella produkter som uppfyller förtroendekraven (med särskild tonvikt på läckageförebyggande och avslöjande) för konfidentiella och hemliga applikationer, och att säkerställa att dessa produkter är allmänt tillgängliga.
  3. Ge det amerikanska försvarsdepartementets enheter ett mått för att bedöma graden av förtroende som kan placeras i datorsystem för att hantera känslig eller känslig information på ett säkert sätt. Mätvärdet ger poäng av två typer: en poäng som utförs på maskinen, inte inklusive applikationsmiljön; eller en bedömning som visar om lämpliga säkerhetsåtgärder har vidtagits för att systemet ska kunna användas operativt i en viss miljö. Den sista typen av bedömning kallas certifieringsbedömning. Det bör förstås att även om en bedömning kallas en certifieringsbedömning, är den inte en certifiering eller ackreditering av systemet för användning i någon applikationsmiljö. Godkänd certifiering ger en bedömning av ett datorsystem tillsammans med tillhörande data som beskriver systemets styrkor och svagheter när det gäller datorsäkerhet. Systemsäkerhetscertifiering är ett förfarande som genomförs i enlighet med gällande regler för utfärdande av certifikat. Det måste fortfarande göras innan systemet kan användas för att behandla sekretessbelagda uppgifter. Det godkännande som myndigheterna ger är dock avgörande för att avgöra systemets säkerhet.

Grundläggande krav för datorsäkerhet

US National Computer Security Center har utvecklat sex grundläggande krav: fyra avser kontroll av åtkomst till information; och två handlar om att få starka försäkringar om att information kommer att nås på ett pålitligt datorsystem [8] .

Krav 1 - säkerhetspolicy

Det bör finnas en tydligt definierad säkerhetspolicy som styr systemet. Givet de identifierade subjekten och objekten måste en uppsättning regler som används av systemet definieras för att kunna avgöra om ett givet subjekt kan komma åt ett visst objekt. Datorsystem måste vägledas av en säkerhetspolicy som innehåller regler för åtkomst av konfidentiell eller hemlig information för efterföljande behandling. Dessutom behövs diskretionär åtkomstkontroll för att säkerställa att endast utvalda användare eller grupper av användare kan komma åt data.

Krav 2 - märkning

Åtkomstkontrolletiketter måste associeras med objekt. För att kontrollera åtkomsten till information som lagras på en dator måste det vara möjligt, enligt obligatoriska säkerhetspolicyregler, att tagga varje objekt med en etikett som tillförlitligt identifierar det objektet. Till exempel klassificeringen av ämnen och objekt för att ge tillgång till de ämnen som potentiellt kan komma åt objektet.

Krav 3 - Identifiering

Enskilda ämnen måste identifieras. Tillgång till information bör baseras på vem som begär åtkomst och vilka klasser av information de har tillgång till. Identifiering och auktorisering måste underhållas på ett säkert sätt av datorsystemet och associeras med varje aktivt element som utför aktiviteter i systemet relaterade till dess säkerhet.

Krav 4 - Ansvarsskyldighet

Revisionsinformation bör selektivt lagras och skyddas så att säkerhetspåverkande aktiviteter kan spåras tillbaka till den part som ansvarar för dessa aktiviteter. Ett pålitligt system måste kunna logga säkerhetsrelaterade händelser. Loggdata som upprätthålls i syfte att undersöka säkerhetsintrång måste skyddas från modifiering och otillåten förstörelse.

Krav 5 - Garanti

Datorsystemet måste innehålla hård- eller mjukvarumekanismer som kan utvärderas oberoende. Detta görs för att vara någorlunda säker på att systemet uppfyller kraven 1-4 ovan. För att säkerställa att säkerhetspolicy, märkning, identifiering och ansvarsskyldighet upprätthålls av ett datorsystem, behövs en definierad och enhetlig samling av hårdvara och mjukvara som utför dessa funktioner. Dessa mekanismer är vanligtvis inbyggda i operativsystemet och är utformade för att utföra en uppgift på ett säkert sätt. Grunden för att förlita sig på sådana mekanismer bör tydligt dokumenteras på ett sådant sätt att oberoende granskning är möjlig för att bevisa att dessa mekanismer är tillräckliga.

Krav 6 - kontinuerligt skydd

Pålitliga mekanismer som uppfyller dessa grundläggande krav måste skyddas permanent från förfalskning och otillåtna ändringar. Inget datorsystem kan vara riktigt säkert om de underliggande hårdvaru- och mjukvarumekanismerna som implementerar säkerhetspolicyn i sig är mottagliga för otillåten modifiering eller omstörtning .

Åtgärder inom området informationssäkerhet

Datorsäkerhetscentret sprider information om datorsäkerhetsfrågor i utbildningssyfte. Organisationen är också värd för den årliga nationella konferensen om informationssäkerhetssystem. Konferensen bidrar till att öka efterfrågan och öka investeringarna inom området informationssäkerhetsforskning. Den första nationella konferensen är NISSC - National Information Systems Security Conference [9] . I 23 år, 10 år innan Computer Security Act antogs 1987, har konferensen varit det ledande globala forumet för dator- och informationssäkerhetssystem.

Publikationer

National Computer Security Center ansvarar för att publicera Orange och Red Books som beskriver säker användning av datorsystem och nätverk när det gäller informationssäkerhet. Kriterier för att bestämma säkerheten för datorsystem är en del av Rainbow Series- publikationerna , som oftast upprepas i Common Criteria . Dessutom har Computer Security Center släppt flera publikationer om ämnet datorsäkerhet.

Huvudlista

[CSC] Department of Defense, "Password Management Guideline" [10] , CSC-STD-002-85, 12 april 1985, 31 sidor.

Guiden beskriver steg för att minimera lösenordssårbarheten i vart och ett av de lösenordsbaserade autentiseringsscenarierna.

[NCSC1] NCSC, "A Guide to Understanding AUDIT in Trusted Systems" [11] , NCSC-TG-001, Version-2, 1 juni 1988, 25 sidor.

En guide till granskning i betrodda system för att upptäcka intrång i ett datorsystem och identifiera missbruk av dess resurser.

[NCSC2] NCSC, "A Guide to Understanding DISCRETIONARY ACCESS CONTROL in Trusted Systems" [12] , NCSC-TG-003, Version-1, 30 september 1987, 29 sidor.

En guide till revision i betrodda system för diskret åtkomstkontroll. Diskretionär åtkomstkontroll är den vanligaste typen av åtkomstkontrollmekanism som implementeras i datorsystem idag.

[NCSC3] NCSC, "A Guide to Understanding CONFIGURATION MANAGEMENT in Trusted Systems" [13] , NCSC-TG-006, Version-1, 28 mars 1988, 31 sidor.

Vägledning om revision i betrodda system för konfigurationskontroll. Konfigurationskontroll består av följande steg: identifiering, kontroll, statusloggning och revision.

[NTISS] NTISS, "Advisory Memorandum on Office Automation Security Guideline" [14] , NTISSAM CONPUSEC/1-87, 16 januari 1987, 58 sidor.

Detta dokument är en guide för användare eller administratörer som ansvarar för säkerhet och för tillhandahållande av mjukvara och hårdvara i AU. Den här guiden beskriver följande: fysisk säkerhet, personalsäkerhet, procedursäkerhet, mjukvaru- och hårdvaruåtgärder, skydd mot PEMIN och kommunikationssäkerhet för fristående SS, SS som används som terminaler anslutna till en värd och SS som används i ett LAN. Man skiljer på högtalare utrustade med diskettenhet (diskettenhet) och hårddisken (hårddisk).

Ytterligare publikationer [14]

[NCSC4] National Computer Security Center, "Glossary of Computer Security Terms", NCSC-TG-004, NCSC, 21 oktober 1988.

Ordlista med termer inom datorsäkerhet.


[NCSC5] National Computer Security Center, "Trusted Computer System Evaluation Criteria", DoD 5200.28-STD, CSC-STD-001-83, NCSC, december 1985.

Publikation om utvärderingskriterier för tillförlitliga datorsystem


[NCSC7] National Computer Security Center, "Guidance for Applying the Department of Defense Trusted Computer System Evaluation Criteria in Specific Environments", CSC-STD-003-85, NCSC, 25 juni 1985.

En publikation om försvarsdepartementets tillämpning av kriterier för att utvärdera tillförlitliga datorsystem under specifika förhållanden.


[NCSC8] National Computer Security Center, "Technical Rationale Behind CSC-STD-003-85: Computer Security Requirements", CSC-STD-004-85, NCSC, 25 juni 85.

Publikationen förklarar tekniskt CSC-STD-003-85: Computer Security Requirements


[NCSC9] National Computer Security Center, "Magnetic Remanence Security Guideline", CSC-STD-005-85, NCSC, 15 november 1985.

Denna handbok är "Endast för officiellt bruk" enligt del 6 av lag 86-36 (50 US Code 402). Distribution sker endast till amerikanska statliga myndigheter och deras agenter för att skydda känsliga tekniska, operativa och administrativa uppgifter som rör NSA:s arbete.


[NCSC10] National Computer Security Center, "Guidelines for Formal Verification Systems", fraktlista nr.: 89-660-P, The Center, Fort George G. Meade, MD, 1 april 1990.

En publikation om de grundläggande principerna för formella verifieringssystem.


[NCSC11] National Computer Security Center, "Glossary of Computer Security Terms", fraktlista nr.: 89-254-P, The Center, Fort George G. Meade, MD, 21 oktober 1988.

Ordlista över termer för datorsäkerhet


[NCSC12] Nationellt datorsäkerhetscenter, "Trusted UNIX Working Group (TRUSIX) motivering för att välja funktioner för åtkomstkontroll för UNIX-systemet", fraktlista nr.: 90-076-P, The Center, Fort George G. Meade, MD , 1990.

UNIX Working Group (TRUSIX) markerar för att tillåta åtkomst till listhanteringsfunktioner för UNIX-systemet.


[NCSC13] Nationellt datorsäkerhetscenter, "Trusted Network Interpretation", NCSC-TG-005, NCSC, 31 juli 1987. [NCSC14] Tinto, M., "Computer Viruses: Prevention, Detection, and Treatment", National Computer Security Center C1 teknisk rapport C1-001-89, juni 1989.

Datavirus: förebyggande, diagnos och behandling.


[NCSC15] National Computer Security Conference, "12th National Computer Security Conference: Baltimore Convention Center, Baltimore, MD, 10-13 oktober 1989: Information Systems Security, Solutions for Today - Concepts for Tomorrow", National Institute of Standards and National Computer Säkerhetscenter, 1989.

Sammanfattning av den 12:e nationella konferensen om datorsäkerhet, som hölls på Baltimore Convention Center 10-13 oktober 1989. Huvudämne: Säkerhet av informationssystem. Lösningar idag — koncept imorgon",

Anteckningar

  1. "DoD Computer Security Center (DoDCSC) etablerades i januari 1981..." och "1985 ändrades DoDCSCs namn till National Computer Security Center..." och "dess ansvar för datorsäkerhet i hela den federala regeringen. .." i A Guide to Understanding Audit in Trusted Systems (länk ej tillgänglig) . National Computer Security Center via National Institute of Standards and Technology CSRC. Hämtad 30 juni 2013. Arkiverad från originalet 6 november 2012. 
  2. ^ "NSA och dess nationella datorsäkerhetscenter (NCSC) har ansvar för..." i Computer Systems Laboratory Bulletin (nedlänk) . National Institute of Standards and Technology CSRC (februari 1991). Hämtad 30 juni 2013. Arkiverad från originalet 2 juli 2013. 
  3. Regnbågeseriens bibliotek . Arkiverad från originalet den 19 december 2018.
  4. FÖRSVARSDEPARTEMENTET UTVÄRDERINGSKRITERIER FÖR TRUSTED COMPUTER SYSTEM , s. 7.
  5. RAND Corporation. SÄKERHETSKONTROLLER FÖR DATORSYSTEM . - 1970. - S. 1 .
  6. NATIONELL STANDARDBYRÅ. SEMINARIER OM DOD COMPUTER SECURITY INITIATIVE PROGRAM . - 1979. - S. 111 .
  7. Donald C. Latham. FÖRSVARSDEPARTEMENTET UTVÄRDERINGSKRITERIER FÖR TRUSTED COMPUTER SYSTEM . - 1983. - S. 6 .
  8. Donald C. Latham. FÖRSVARSDEPARTEMENTET UTVÄRDERINGSKRITERIER FÖR TRUSTED COMPUTER SYSTEM . - 1983. - S. 9-10 .
  9. http://www.ieee-security.org/Cipher/ConfReports/ .
  10. NATIONELLT DATORSÄKERHETSCENTRET. FÖRSVARSDEPARTEMENTETS RIKTLINJ FÖR HANTERING AV LÖSENORD . - 1985. - S. 2 .
  11. NATIONELLT DATORSÄKERHETSCENTRET. En guide till att förstå revision i betrodda system . - 1987. - S. 2 .
  12. NATIONELLT DATORSÄKERHETSCENTRET. En guide till att förstå DISKRETIONÄR ÅTKOMSTKONTROLL i betrodda system . - 1987. - S. 2 .
  13. NATIONELLT DATORSÄKERHETSCENTRET. En guide till att förstå KONFIGURATIONSHANTERING i betrodda system . - 1988. - S. 2 .
  14. 1 2 Handbok för platssäkerhet, 1991 .

Litteratur