TCSEC

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania

Trusted Computer System Evaluation Criteria (TCSEC, Orange Book) - dokument powstały z inicjatywy Agencji Bezpieczeństwa Narodowego Departamentu Obrony USA oraz Narodowego Biura Standaryzacji. Wydany w 1983 roku w postaci pomarańczowej książeczki, której zawdzięcza swoją nieoficjalną nazwę. Dokument ten opisuje podstawowe wymagania jakie muszą spełnić środki ochrony w systemie komputerowym do przetwarzania informacji podlegającej ochronie. Dokument został zaktualizowany w roku 1985 a następnie zastąpiony przez międzynarodowy standard Common Criteria.

Bezpieczeństwo teleinformatyczne – zbiór zagadnień z dziedziny telekomunikacji i informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania z komputerów, sieci komputerowych i przesyłania danych do zdalnych lokalizacji, rozpatrywany z perspektywy poufności, integralności i dostępności.Ochrona z etykietowaniem (ang. Labeled Security Protection) - według Trusted Computer System Evaluation Criteria poziom kryteriów oznaczony literą B1. Pierwszy z poziomów wprowadzajacy różne stopnie tajności (np. "tajne", "poufne" itp.). W systemach tej klasy stosuje się etykiety określające stopień tajności dla podmiotów (procesów, użytkowników) i przedmiotów (plików). Zezwolenie na dostęp do danych zapisanych w pliku udzielane jest podmiotom na podstawie analizy etykiet. Opatrzone etykietami procesy, pliki oraz urządzenia zawierają pełny opis stopnia tajności obiektu oraz jego kategorii.

TCSEC koncentruje się głównie na zapewnieniu poufności informacji.

Wyróżnia się w nim 4 poziomy kryteriów oznaczone D, C, B, A. Dla każdego z nich, poza D, określono pewną liczbę klas oceny.

  • D - ochrona minimalna (ang. Minimal Protection)
  • C1 - ochrona uznaniowa (ang. Discretionary Protection)
  • C2 - ochrona z kontrolą dostępu (ang. Controlled Access Protection)
  • B1 - ochrona z etykietowaniem (ang. Labeled Security Protection)
  • B2 - ochrona strukturalna (ang. Structured Protection)
  • B3 - ochrona przez podział (ang. Security Domains)
  • A1 - konstrukcja zweryfikowana (ang. Verified Design)
  • Obowiązuje tzw. zasada kumulacji możliwości, zgodnie z którą środki ochrony spełniające wymagania wyższego poziomu, spełniać muszą również wymagania poziomu niższego.

    National Security Agency (NSA), (ang. Agencja Bezpieczeństwa Krajowego) – amerykańska wewnętrzna agencja wywiadowcza koordynująca m.in. zadania wywiadu elektronicznego, powstała w kwietniu 1952 roku na bazie struktury działającej od 1949 roku, Agencji Bezpieczeństwa Sił Zbrojnych (Armed Forces Security Agency – AFSA).Ochrona przez podział (ang. Security Domains) – według Trusted Computer System Evaluation Criteria poziom kryteriów oznaczony B3. Wymusza izolację pewnych dziedzin (obszarów). Części systemu istotne ze względu na bezpieczeństwo przetwarzania powinny być oddalone od części zapewniających użytkownikowi pewne użyteczne dla niego funkcje, ale nie mające związku z bezpieczeństwem przetwarzania. Dziedzinę bezpieczeństwa może stanowić część bazy dotyczącej ochrony (TCB), monitor dostępu, itp. Mechanizmy zarządzania pamięcią chronią daną dziedzinę przed dostępem lub modyfikacją ze strony oprogramowania funkcjonującego w innej dziedzinie. Tworzona jest wielowarstwowa struktura abstrakcyjnych, odseparowanych wzajemnie maszyn z wydzielonymi prawami ochrony. Wszystkie elementy pośredniczące w dostępie do zastrzeżonych obiektów powinny być odporne na manipulacje. Nadzorowaniu w zakresie spełnienia wymagań podlega również proces projektowania systemu.

    Standard ten, w odróżnieniu od późniejszych (ITSEC, CC), wskazywał konkretne środki techniczne jakie mają być użyte dla osiągnięcia pożądanych poziomów bezpieczeństwa.

    Zobacz też[ | edytuj kod]

  • bezpieczeństwo teleinformatyczne
  • ITSEC
  • Common Criteria
  • Linki zewnętrzne[ | edytuj kod]

  • TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA
  • ITSEC (Information Technology Security Evaluation Criteria ) – zbiór kryteriów oceny bezpieczeństwa systemów teleinformatycznych wprowadzony w latach 90. XX w.Ochrona uznaniowa (ang. Discretionary Protection) – według Trusted Computer System Evaluation Criteria poziom kryteriów oznaczony C1. Zapewnia elementarne bezpieczeństwo użytkownikom pracującym w środowisku wieloużytkownikowym i przetwarzającym dane o jednakowym poziomie tajności. Systemy C1 stosują sprzętowe lub programowe mechanizmy identyfikacji i upoważniania użytkowników. System zabezpiecza dane identyfikacyjne i hasła przed niepowołanym dostępem. Identyfikacja użytkowników powinna być wykorzystywana w każdym trybie dostępu do zasobu. Każdy użytkownik ma pełną kontrolę nad obiektami, które stanowią jego własność. Większość systemów unixowych zalicza się do tej klasy.




    Warto wiedzieć że... beta

    Ochrona minimalna (ang. Minimal Protection) – według Trusted Computer System Evaluation Criteria poziom kryteriów oznaczony literą D. Obejmuje systemy, które posiadają jedynie fizyczną ochronę przed dostępem. W systemach tej klasy, każdy kto posiada fizyczny dostęp do komputera, ma nieskrępowany dostęp do wszystkich jego zasobów. Przykładem systemu tej klasy jest komputer IBM PC z systemem MS-DOS bez zabezpieczeń hasłowych.
    Poufność (ang. confidentiality) - funkcja bezpieczeństwa wskazująca obszar, w którym dane nie powinny być udostępniane lub ujawniane nieuprawnionym osobom, procesom lub innym podmiotom.
    Ochrona strukturalna (ang. Structured Protection) – według Trusted Computer System Evaluation Criteria poziom kryteriów oznaczony literą B2. Określa wymagania, sprowadzające się do takich elementów, jak: etykietowanie każdego obiektu w systemie, strukturalna, sformalizowana polityka ochrony systemu, przeprowadzenie testów penetracyjnych dla wykrycia ewentualnych "dziur" w modelu. Uprawnienia do zmian pełnomocnictw w zakresie dostępu do obiektów są zastrzeżone dla autoryzowanych użytkowników. Nie ma możliwości odzyskania skasowanych informacji.

    Reklama