Amerikai Nemzeti Számítógép-biztonsági Központ

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2018. január 15-én felülvizsgált verziótól ; az ellenőrzések 86 szerkesztést igényelnek .
Nemzeti Számítógép-biztonsági Központ
Országos Számítógép-biztonsági Központ
Ország  USA
Létrehozva 1981
Joghatóság Amerikai Védelmi Minisztérium
Költségvetés osztályozott
Átlagos népesség osztályozott
Menedzsment
Felügyelő osztályozott
Helyettes Volt helyettes
Weboldal nsa.gov

Az Egyesült Államok Nemzeti Számítógép-biztonsági Központja az Egyesült Államok Nemzetbiztonsági Ügynökségének része .  Szövetségi szinten ő felel a számítógépes biztonságért. [1] A 80-as évek végén és a 90-es évek elején a Nemzetbiztonsági Ügynökség és az Egyesült Államok Nemzeti Számítógép-biztonsági Központja [2] a szivárványos könyvsorozatban publikált egy kritériumrendszert a számítógépes rendszerek megbízhatóságának értékelésére .

Általános információk

A National Computer Security Center (NCSC) az Egyesült Államok Nemzetbiztonsági Ügynökségének kormányzati szervezetének része . Kritériumot jelent a számítástechnikai berendezések biztonságának értékeléséhez. Ezek a kritériumok biztosítják, hogy az érzékeny információfeldolgozó létesítmények csak megbízható számítógépes rendszereket és alkatrészeket használjanak [3] . A szervezet az iparban, az oktatásban és a kormányzatban dolgozik, az információk bizalmas kezelésével vagy magas fokú titkosságával kapcsolatos területeken. A központ emellett támogatja az információbiztonsági rendszerek fejlesztésére irányuló projektek tudományos kutatását és szabványosítását. Az Országos Számítógép-biztonsági Központ régebbi neve DoD Computer Security Center (CSC) - a Honvédelmi Minisztérium számítógép-védelmi központja.

Eredet

1967 októberében egy működő tudományos tanácsot állítottak össze, hogy megvitassák a számítógépes biztonsági kérdéseket, különösen a minősített információk távoli elérésű számítógépes rendszerekben való tárolását és feldolgozását [4] . 1970 februárjában a Task Force jelentést tett közzé "Security Controls for Computer Systems [5] " címmel. Számos ajánlást fogalmazott meg a minősített információk kiszivárogtatásának veszélyének csökkentése érdekében szükséges politikai és technikai intézkedésekre vonatkozóan. Az 1970-es évek elején és közepén bemutatták a számítógépes rendszerekben az erőforrások és információk cseréjével kapcsolatos technikai problémákat. A DoD Computer Security Initiative [6] 1977 -ben indult a védelmi miniszter égisze alatt a számítógépes biztonsági kérdések megoldására. A honvédelmi miniszter erőfeszítéseivel egyidőben újabb vizsgálat indult. Ez a számítógépes biztonsági problémák azonosításából és megoldásából állt egy biztonságos számítógépes rendszer felépítése és biztonságának felmérése érdekében. A tanulmányt a National Bureau of Standards (NBS) vezette . E munka részeként a Nemzeti Szabványügyi Hivatal két workshopot tartott a számítógépes biztonság teszteléséről és értékeléséről. Az elsőre 1977 márciusában, a másodikra ​​1978 novemberében került sor . A második műhelymunka egy záródokumentumot készített a számítógépes biztonsági értékelési kritériumok megadásával járó kihívásokról. A DoD Computer Security Centert 1981 januárjában hozta létre a Védelmi Minisztérium, hogy kibővítse a DoD Computer Security Initiative által megkezdett munkát, és jelenlegi nevét 1985-ben Nemzeti Számítógépbiztonsági Központra változtatta. Az Egyesült Államok Nemzetbiztonsági Ügynökségének része.

Az Egyesült Államok Nemzeti Számítógép-biztonsági Központjának célkitűzései

A központ fő célja, amint azt alapító okirata [7] tartalmazza , hogy elősegítse a minősített vagy bizalmas információkat kezelő megbízható számítógépes rendszerek széles körű elérhetőségét. Az ebben a dokumentumban bemutatott kritériumok a korábbi Nemzeti Szabványügyi Hivatal kritériumaiból alakultak ki .

A dokumentumokban feltüntetett alkotási célok:

  1. Adjon alapot a biztonsági követelmények meghatározásához.
  2. Szabványt nyújtani a bizalmas és titkos alkalmazások bizalmi követelményeinek (különös hangsúlyt fektetve a szivárgás megelőzésére és nyilvánosságra hozatalára) megfelelő kereskedelmi termékek gyártásához , és biztosítani, hogy ezek a termékek széles körben elérhetők legyenek.
  3. Biztosítson az Egyesült Államok Védelmi Minisztériumának egységei számára egy olyan mérőszámot , amellyel felmérheti a számítógépes rendszerekbe vetett bizalom mértékét az érzékeny vagy érzékeny információk biztonságos kezelése érdekében. A metrika kétféle pontszámot ad: a gépen elvégzett pontszám, amely nem tartalmazza az alkalmazási környezetet; vagy egy értékelés, amely megmutatja, hogy megtették-e a megfelelő biztonsági intézkedéseket annak érdekében, hogy a rendszer egy adott környezetben működőképes legyen. Az utolsó típusú értékelést minősítő értékelésnek nevezzük. Meg kell érteni, hogy bár az értékelést tanúsítási értékelésnek nevezik, ez nem a rendszer tanúsítása vagy akkreditációja bármely alkalmazási környezetben való használatra. A minősítés megszerzése a számítógépes rendszer értékelését ad a kapcsolódó adatokkal, amelyek leírják a rendszer erősségeit és gyengeségeit a számítógépes biztonság szempontjából. A rendszerbiztonsági tanúsítás a tanúsítványok kiállítására vonatkozó hatályos szabályok szerint végrehajtott eljárás. Ezt még el kell végezni, mielőtt a rendszert minősített információk feldolgozására lehetne használni. A rendszer biztonsága szempontjából azonban meghatározó a hatósági jóváhagyás.

A számítógépes biztonság alapvető követelményei

Az Egyesült Államok Nemzeti Számítógép-biztonsági Központja hat alapvető követelményt dolgozott ki: négy az információhoz való hozzáférés ellenőrzésére vonatkozik; kettő pedig arról szól, hogy szilárd biztosítékokat szerezzünk arra vonatkozóan, hogy az információkhoz egy megbízható számítógépes rendszeren férünk hozzá [8] .

1. követelmény – biztonsági szabályzat

Egy világosan meghatározott biztonsági szabályzatnak kell lennie, amely irányítja a rendszert. Az azonosított alanyok és objektumok ismeretében meg kell határozni a rendszer által használt szabályokat, hogy meg lehessen határozni, hogy egy adott alany hozzáfér-e egy adott objektumhoz. A számítógépes rendszereket olyan biztonsági szabályzatnak kell vezérelnie, amely szabályokat tartalmaz a bizalmas vagy titkos információkhoz való hozzáférésre a későbbi feldolgozás céljából. Ezen túlmenően diszkrecionális hozzáférés-szabályozásra van szükség annak biztosítására, hogy csak kiválasztott felhasználók vagy felhasználói csoportok férhessenek hozzá az adatokhoz.

2. követelmény – címkézés

A hozzáférés-vezérlési címkéket az objektumokhoz kell társítani. A számítógépen tárolt információkhoz való hozzáférés szabályozásához a kötelező biztonsági szabályoknak megfelelően lehetővé kell tenni, hogy minden objektumot olyan címkével láthassunk el, amely megbízhatóan azonosítja az objektumot. Például az alanyok és objektumok osztályozása, hogy hozzáférést biztosítson azokhoz az alanyokhoz, amelyek potenciálisan hozzáférhetnek az objektumhoz.

3. követelmény – Azonosítás

Az egyes tantárgyakat meg kell határozni. Az információhoz való hozzáférésnek azon kell alapulnia, hogy ki kér hozzáférést, és milyen információosztályokhoz fér hozzá. Az azonosítást és jogosultságot a számítógépes rendszernek biztonságosan karban kell tartania, és minden olyan aktív elemhez hozzá kell rendelni, amely a rendszerben a biztonságával kapcsolatos tevékenységet végez.

4. követelmény – Elszámoltathatóság

Az auditálási információkat szelektíven kell tárolni és védeni, hogy a biztonságot befolyásoló tevékenységeket vissza lehessen vezetni az e tevékenységekért felelős félig. A megbízható rendszernek képesnek kell lennie a biztonsággal kapcsolatos események naplózására . A biztonsági incidensek kivizsgálása céljából kezelt naplóadatokat védeni kell a módosítástól és az illetéktelen megsemmisítéstől.

5. követelmény – Garancia

A számítógépes rendszernek tartalmaznia kell olyan hardver- vagy szoftvermechanizmusokat, amelyek függetlenül értékelhetők. Ezt azért kell megtenni, hogy megbizonyosodjunk arról, hogy a rendszer megfelel a fenti 1-4. követelményeknek. Annak érdekében, hogy a biztonsági politikát, a jelölést, az azonosítást és az elszámoltathatóságot egy számítógépes rendszer kényszerítse ki, meghatározott és egységes hardver- és szoftvergyűjteményre van szükség, amely ezeket a funkciókat ellátja. Ezeket a mechanizmusokat általában az operációs rendszerbe építik be , és úgy tervezték, hogy biztonságos módon hajtsanak végre egy feladatot. Az ilyen mechanizmusokra való hagyatkozás alapját egyértelműen dokumentálni kell oly módon, hogy független felülvizsgálat lehessen bizonyítani e mechanizmusok elégségességét.

6. követelmény - folyamatos védelem

Az ezen alapvető követelményeknek megfelelő, megbízható mechanizmusokat folyamatosan védeni kell a hamisítástól és a jogosulatlan változtatásoktól. Egyetlen számítógépes rendszer sem lehet igazán biztonságos, ha a biztonsági politikát megvalósító hardver- és szoftvermechanizmusok maguk is ki vannak téve jogosulatlan módosításnak vagy felforgatásnak .

Intézkedések az információbiztonság területén

A Számítógép-biztonsági Központ oktatási céllal információkat terjeszt a számítógép-biztonsági kérdésekről. A szervezet ad otthont az információbiztonsági rendszerek éves országos konferenciájának is. A konferencia hozzájárul a kereslet növekedéséhez és a beruházások növeléséhez az információbiztonsági kutatás területén. Az első országos konferencia a NISSC – a National Information Systems Security Conference [9] . A konferencia 23 éven keresztül, 10 évvel a számítógép-biztonsági törvény 1987-es elfogadása előtt a számítógép- és információbiztonsági rendszerek vezető globális fóruma volt.

Publikációk

Az Országos Számítógép-biztonsági Központ feladata a Narancs és Vörös Könyv kiadása , amelyek részletezik a számítástechnikai rendszerek és hálózatok biztonságos használatát az információbiztonság szempontjából. A számítógépes rendszerek biztonságának meghatározásának kritériumai a Rainbow Series kiadványok részét képezik , amelyeket többnyire a Common Criteria is megismétel . Ezenkívül a Számítógép-biztonsági Központ számos publikációt adott ki a számítógépes biztonság témájában.

Fő lista

[CSC] Department of Defense, "Password Management Guideline" [10] , CSC-STD-002-85, 1985. április 12., 31 oldal.

Az útmutató leírja a jelszóval kapcsolatos sebezhetőség minimalizálásának lépéseit a jelszóalapú hitelesítési forgatókönyvek mindegyikében.

[NCSC1] NCSC, "A Guide to Understanding AUDIT in Trusted Systems" [11] , NCSC-TG-001, 2-es verzió, 1988. június 1., 25 oldal.

Útmutató a megbízható rendszerekben történő auditáláshoz a számítógépes rendszerbe való behatolás észleléséhez és az erőforrásokkal való visszaélések azonosításához.

[NCSC2] NCSC, "Útmutató a DISZKRECIÓS HOZZÁFÉRÉSSZABÁLYOZÁS megértéséhez megbízható rendszerekben" [12] , NCSC-TG-003, 1-es verzió, 1987. szeptember 30., 29 oldal.

Útmutató a megbízható rendszerek auditálásához a diszkrét hozzáférés-vezérléssel. A diszkrecionális hozzáférés-vezérlés napjainkban a számítógépes rendszerekben alkalmazott legelterjedtebb hozzáférés-szabályozási mechanizmus.

[NCSC3] NCSC, "A Guide to Understanding CONFIGURATION MANAGEMENT in Trusted Systems" [13] , NCSC-TG-006, 1-es verzió, 1988. március 28., 31 oldal.

Útmutató az auditáláshoz megbízható rendszerekben a konfiguráció ellenőrzéséhez. A konfiguráció vezérlése a következő lépésekből áll: azonosítás, vezérlés, állapotnaplózás és auditálás.

[NTISS] NTISS, "Advisory Memorandum on Office Automation Security Guideline" [14] , NTISSAM CONPUSEC/1-87, 1987. január 16., 58 oldal.

Ez a dokumentum útmutató az AU-ban a biztonságért, valamint a szoftver- és hardverellátásért felelős felhasználóknak vagy rendszergazdáknak. Ez az útmutató a következőket írja le: fizikai biztonság, személyzet biztonsága, eljárási biztonság, szoftver és hardver intézkedések, PEMIN elleni védelem és kommunikációs biztonság az önálló SS-hez, a gazdagéphez csatlakozó terminálként használt SS-hez és a LAN-ban használt SS-hez. Megkülönböztetik a hajlékonylemez-meghajtóval (hajlékonylemez-meghajtó) és a HDD-vel (merevlemez-meghajtóval) felszerelt hangszórókat.

További publikációk [14]

[NCSC4] National Computer Security Center, "Glossary of Computer Security Terms", NCSC-TG-004, NCSC, 1988. október 21.

A számítógépes biztonság fogalmainak szószedete.


[NCSC5] National Computer Security Center, "Trusted Computer System Evaluation Criteria", DoD 5200.28-STD, CSC-STD-001-83, NCSC, 1985. december.

Kiadvány a megbízható számítógépes rendszerek értékelési kritériumairól


[NCSC7] Nemzeti Számítógép-biztonsági Központ, "Útmutató a Védelmi Minisztérium megbízható számítógépes rendszereinek értékelési kritériumainak alkalmazásához meghatározott környezetekben", CSC-STD-003-85, NCSC, 1985. június 25.

Kiadvány a Honvédelmi Minisztérium által meghatározott feltételek mellett megbízható számítógépes rendszerek értékelésére vonatkozó kritériumok alkalmazásáról.


[NCSC8] National Computer Security Center, "Technical Rationale Behind CSC-STD-003-85: Computer Security Requirements", CSC-STD-004-85, NCSC, 85. június 25.

A kiadvány technikailag ismerteti a CSC-STD-003-85: Számítógép-biztonsági követelményeket


[NCSC9] National Computer Security Center, "Magnetic Remanence Security Guideline", CSC-STD-005-85, NCSC, 1985. november 15.

Ez a kézikönyv „Csak hivatalos használatra” a 86-36 (50 US Code 402) törvény 6. része értelmében. Az NSA munkájával kapcsolatos érzékeny műszaki, működési és adminisztratív adatok védelme érdekében a terjesztés csak az Egyesült Államok kormányhivatalai és ügynökeik számára történik.


[NCSC10] National Computer Security Center, "Guidelines for Formal Verification Systems", Szállítási lista száma: 89-660-P, The Center, Fort George G. Meade, MD, 1990. április 1.

Kiadvány a formális ellenőrzési rendszerek alapelveiről.


[NCSC11] National Computer Security Center, "Glossary of Computer Security Terms", Szállítási lista száma: 89-254-P, The Center, Fort George G. Meade, MD, 1988. október 21..

Számítógépes biztonsági szakkifejezések szószedete


[NCSC12] Nemzeti Számítógépes Biztonsági Központ, "Trusted UNIX Working Group (TRUSIX) indoklás a UNIX rendszer hozzáférés-vezérlési lista funkcióinak kiválasztásához", Szállítási lista száma: 90-076-P, The Center, Fort George G. Meade, MD , 1990.

A UNIX munkacsoport (TRUSIX) bejelölésével engedélyezheti a hozzáférést a UNIX rendszer listakezelési funkcióihoz.


[NCSC13] National Computer Security Center, "Trusted Network Interpretation", NCSC-TG-005, NCSC, 1987. július 31. [NCSC14] Tinto, M., "Computer Viruses: Prevention, Detection and Treatment", National Computer Security Center C1 Technikai Jelentés C1-001-89, 1989. június.

Számítógépes vírusok: megelőzés, diagnózis és kezelés.


[NCSC15] Nemzeti Számítógép-biztonsági Konferencia, "12. Nemzeti Számítógép-biztonsági Konferencia: Baltimore Convention Center, Baltimore, MD, 1989. október 10-13.: Információs rendszerek biztonsága, mai megoldások – A holnap koncepciói", National Institute of Standards and National Computer. Biztonsági Központ, 1989.

A Baltimore Convention Centerben, 1989. október 10-13. között megrendezett 12. Nemzeti Számítógép-biztonsági Konferencia összefoglalója. Fő téma: Információs rendszerek biztonsága. Megoldások ma – koncepciók holnap"

Jegyzetek

  1. "A DoD Computer Security Centert (DoDCSC) 1981 januárjában hozták létre..." és "1985-ben a DoDCSC nevét National Computer Security Centerre változtatták..." és "a számítógépes biztonságért a szövetségi kormány egészén belüli felelőssége. .." Útmutató a megbízható rendszerek auditálásának megértéséhez (hivatkozás nem érhető el) . Nemzeti Számítógép-biztonsági Központ a National Institute of Standards and Technology CSRC-n keresztül. Letöltve: 2013. június 30. Az eredetiből archiválva : 2012. november 6.. 
  2. "Az NSA és Nemzeti Számítógép-biztonsági Központja (NCSC) felelős a...ért" a Computer Systems Laboratory Bulletin -ben (lefelé irányuló kapcsolat) . National Institute of Standards and Technology CSRC (1991. február). Letöltve: 2013. június 30. Az eredetiből archiválva : 2013. július 2.. 
  3. Rainbow Series Library . Az eredetiből archiválva : 2018. december 19.
  4. VÉDELMI OSZTÁLY MEGBÍZHATÓ SZÁMÍTÓGÉPES RENDSZER ÉRTÉKELÉSI KRITÉRIUMAI , pp. 7.
  5. RAND Corporation. SZÁMÍTÓGÉPES RENDSZEREK BIZTONSÁGI ELLENŐRZÉSE . - 1970. - S. 1 .
  6. NEMZETI SZABVÁNYIRODA. SZEMINÁRIUM A DOD SZÁMÍTÓGÉPES BIZTONSÁGI KEZDEMÉNYEZÉS PROGRAMJÁRÓL . - 1979. - S. 111 .
  7. Donald C. Latham. VÉDELMI OSZTÁLY MEGBÍZHATÓ SZÁMÍTÓGÉPES RENDSZER ÉRTÉKELÉSI KRITÉRIUMAI . - 1983. - S. 6 .
  8. Donald C. Latham. VÉDELMI OSZTÁLY MEGBÍZHATÓ SZÁMÍTÓGÉPES RENDSZER ÉRTÉKELÉSI KRITÉRIUMAI . - 1983. - S. 9-10 .
  9. http://www.ieee-security.org/Cipher/ConfReports/ .
  10. ORSZÁGOS SZÁMÍTÓGÉPES BIZTONSÁGI KÖZPONT. VÉDELMI OSZTÁLY JELSZÓKEZELÉSI ÚTMUTATÓ . - 1985. - S. 2 .
  11. ORSZÁGOS SZÁMÍTÓGÉPES BIZTONSÁGI KÖZPONT. Útmutató az audit megértéséhez megbízható rendszerekben . - 1987. - S. 2 .
  12. ORSZÁGOS SZÁMÍTÓGÉPES BIZTONSÁGI KÖZPONT. Útmutató a DISZKRECIÓS HOZZÁFÉRÉSSZABÁLYOZÁS megértéséhez megbízható rendszerekben . - 1987. - S. 2 .
  13. ORSZÁGOS SZÁMÍTÓGÉPES BIZTONSÁGI KÖZPONT. Útmutató a KONFIGURÁCIÓKEZELÉS megértéséhez megbízható rendszerekben . - 1988. - S. 2 .
  14. 1 2 Site Security Handbook, 1991 .

Irodalom