Yhdysvaltain kansallinen tietokoneturvakeskus

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 15. tammikuuta 2018 tarkistetusta versiosta . tarkastukset vaativat 86 muokkausta .
Kansallinen tietoturvakeskus
Kansallinen tietoturvakeskus
Maa  USA
Luotu 1981
Toimivalta Yhdysvaltain puolustusministeriö
Budjetti luokiteltu
Keskimääräinen väestö luokiteltu
Hallinto
Valvoja luokiteltu
Sijainen Entinen sijainen
Verkkosivusto nsa.gov

Yhdysvaltain kansallinen tietoturvakeskus on osa Yhdysvaltain kansallista turvallisuusvirastoa .  Hän vastaa tietoturvasta liittovaltion tasolla. [1] 80-luvun lopulla ja 90-luvun alussa National Security Agency ja Yhdysvaltain kansallinen tietokoneturvakeskus [2] julkaisivat kriteerit tietokonejärjestelmien luotettavuuden arvioimiseksi sateenkaari- kirjoissa.

Yleistä tietoa

National Computer Security Center (NCSC) on osa Yhdysvaltain kansallisen turvallisuusviraston hallitusorganisaatiota . Se muodostaa kriteerit atk-laitteiden turvallisuuden arvioimiseksi. Näillä kriteereillä varmistetaan, että arkaluonteiset tietojenkäsittelylaitteet käyttävät vain luotettavia tietokonejärjestelmiä ja komponentteja [3] . Organisaatio toimii teollisuudessa, koulutuksessa ja julkishallinnossa, luottamuksellisuuteen tai korkeaan salassapitoasteeseen liittyvillä aloilla. Keskus tukee myös tietoturvajärjestelmien kehittämishankkeiden tieteellistä tutkimusta ja standardointia. National Computer Security Centerin vanhempi nimi on DoD Computer Security Center (CSC) - puolustusministeriön tietokonesuojauksen keskus.

Origins

Lokakuussa 1967 koottiin toimiva tieteellinen neuvosto keskustelemaan tietoturvakysymyksistä, erityisesti turvaluokiteltujen tietojen tallentamisesta ja käsittelystä etäkäyttöjärjestelmissä [4] . Helmikuussa 1970 Task Force julkaisi raportin "Security Controls for Computer Systems [5] ". Se antoi useita suosituksia poliittisista ja teknisistä toimenpiteistä, joita tarvitaan turvaluokiteltujen tietojen vuotamisen uhan vähentämiseksi. 1970-luvun alussa ja puolivälissä resurssien ja tietojen vaihtoon liittyvät tekniset ongelmat osoitettiin tietokonejärjestelmissä. DoD Computer Security Initiative [6] käynnistettiin vuonna 1977 puolustusministerin alaisuudessa käsittelemään tietoturvakysymyksiä. Samaan aikaan puolustusministerin ponnistelujen kanssa aloitettiin toinen tutkimus. Se koostui tietoturvaongelmien tunnistamisesta ja ratkaisemisesta turvallisen tietokonejärjestelmän rakentamiseksi ja sen turvallisuuden arvioimiseksi. Tutkimusta johti National Bureau of Standards (NBS) . Osana tätä työtä National Bureau of Standards järjesti kaksi työpajaa tietokoneturvallisuuden testaamisesta ja arvioinnista. Ensimmäinen tapahtui maaliskuussa 1977 ja toinen marraskuussa 1978 . Toisessa työpajassa tehtiin loppuasiakirja tietokoneturvallisuuden arviointikriteerien laatimiseen liittyvistä haasteista. Puolustusministeriö perusti DoD Computer Security Centerin tammikuussa 1981 laajentaakseen DoD Computer Security Initiativen aloittamaa työtä ja muutti nykyisen nimensä National Computer Security Centeriksi vuonna 1985. Osa Yhdysvaltain kansallista turvallisuusvirastoa .

Yhdysvaltain kansallisen tietoturvakeskuksen tavoitteet

Keskuksen päätarkoitus, kuten sen peruskirjassa [7] todetaan , on edistää turvaluokiteltua tai luottamuksellista tietoa käsittelevien luotettavien tietokonejärjestelmien laajaa saatavuutta. Tässä asiakirjassa esitetyt kriteerit ovat kehittyneet aikaisemmista National Bureau of Standards - kriteereistä .

Asiakirjoissa mainitut luomisen tavoitteet:

  1. Tarjoa perusta turvallisuusvaatimusten määrittelylle.
  2. Luodaan standardi kaupallisten tuotteiden valmistukseen, jotka täyttävät luottamuksellisten ja salaisten sovellusten luottamusvaatimukset (erityisesti vuotojen ehkäisyssä ja paljastamisessa) , ja varmistaa, että nämä tuotteet ovat laajasti saatavilla.
  3. Tarjoa Yhdysvaltain puolustusministeriön yksiköille mittari , jonka avulla voidaan arvioida, kuinka paljon tietokonejärjestelmiä voidaan luottaa käsittelemään arkaluontoisia tai arkaluonteisia tietoja turvallisesti. Mittari tarjoaa kahdentyyppisiä pisteitä: koneella suoritettu pistemäärä, ei sisällä sovellusympäristöä; tai arvio, joka osoittaa, onko asianmukaisia ​​turvatoimenpiteitä toteutettu, jotta järjestelmää voidaan käyttää toiminnallisesti tietyssä ympäristössä. Viimeistä arviointityyppiä kutsutaan sertifiointiarvioinniksi. On ymmärrettävä, että vaikka arviointia kutsutaan sertifiointiarvioinniksi, se ei ole järjestelmän sertifiointi tai akkreditointi käytettäväksi missään sovellusympäristössä. Sertifikaatin läpäiseminen antaa arvion tietokonejärjestelmästä sekä siihen liittyvät tiedot, jotka kuvaavat järjestelmän vahvuuksia ja heikkouksia tietoturvan kannalta. Järjestelmän turvallisuussertifiointi on menettely, joka suoritetaan voimassa olevien varmenteiden myöntämistä koskevien sääntöjen mukaisesti. Se on vielä tehtävä ennen kuin järjestelmää voidaan käyttää turvaluokiteltujen tietojen käsittelyyn. Viranomaisten antama hyväksyntä on kuitenkin ratkaiseva järjestelmän turvallisuuden kannalta.

Tietokoneturvan perusvaatimukset

Yhdysvaltain kansallinen tietokoneturvakeskus on kehittänyt kuusi perusvaatimusta: neljä liittyy tietojen saatavuuden valvontaan; ja kaksi koskee vahvan takeen saamista siitä, että tietoihin päästään käsiksi luotetussa tietokonejärjestelmässä [8] .

Vaatimus 1 - turvallisuuspolitiikka

Järjestelmässä tulee olla selkeästi määritelty turvallisuuspolitiikka, joka ohjaa järjestelmää. Kun otetaan huomioon tunnistetut subjektit ja objektit, järjestelmän käyttämät säännöt on määriteltävä, jotta voidaan määrittää, voiko tietty subjekti käyttää tiettyä objektia. Tietokonejärjestelmiä on ohjattava turvallisuuspolitiikan mukaisesti, joka sisältää säännöt luottamuksellisten tai salaisten tietojen pääsystä niiden myöhempää käsittelyä varten. Lisäksi tarvitaan harkinnanvaraista pääsynhallintaa sen varmistamiseksi, että vain valitut käyttäjät tai käyttäjäryhmät pääsevät käsiksi tietoihin.

Vaatimus 2 - merkintä

Kulunvalvontatunnisteet on liitettävä objekteihin. Jotta tietokoneelle tallennettujen tietojen käyttöoikeuksia voidaan hallita, on pakollisten suojauskäytäntösääntöjen mukaisesti voitava merkitä jokainen objekti tunnisteella, joka tunnistaa kyseisen objektin luotettavasti. Esimerkiksi subjektien ja objektien luokittelu, jotta päästään niihin aiheisiin, jotka voivat mahdollisesti käyttää objektia.

Vaatimus 3 - Tunnistus

Yksittäiset aiheet on tunnistettava. Tietojen saatavuuden tulisi perustua siihen, kuka pyytää pääsyä ja minkä luokkien tietoihin heillä on pääsy. Tunnistus ja valtuutus on ylläpidettävä turvallisesti tietokonejärjestelmässä ja liitettävä jokaiseen aktiiviseen elementtiin, joka suorittaa järjestelmässä sen turvallisuuteen liittyviä toimintoja.

Vaatimus 4 - Vastuullisuus

Tarkastustiedot tulee tallentaa ja suojata valikoidusti, jotta turvallisuuteen vaikuttavat toimet voidaan jäljittää niistä vastuussa olevaan tahoon. Luotetun järjestelmän on kyettävä kirjaamaan tietoturvaan liittyviä tapahtumia. Tietoturvaloukkausten tutkimista varten säilytettävät lokitiedot on suojattava muuttamiselta ja luvattomalta tuhoamiselta.

Vaatimus 5 - Takuu

Tietokonejärjestelmän tulee sisältää laitteisto- tai ohjelmistomekanismeja, jotka voidaan arvioida itsenäisesti. Tämä tehdään sen varmistamiseksi, että järjestelmä täyttää yllä olevat vaatimukset 1-4. Jotta varmistetaan, että tietoturvapolitiikka, merkinnät, tunnistaminen ja vastuullisuus toteutuvat tietokonejärjestelmässä, tarvitaan määritelty ja yhtenäinen kokoelma laitteistoja ja ohjelmistoja, jotka suorittavat nämä toiminnot. Nämä mekanismit on yleensä rakennettu käyttöjärjestelmään ja ne on suunniteltu suorittamaan tehtävä turvallisesti. Tällaisiin mekanismeihin luottamuksen perusteet olisi dokumentoitava selkeästi siten, että riippumaton tarkastelu on mahdollista osoittaa näiden mekanismien riittävyyden.

Vaatimus 6 - jatkuva suojaus

Nämä perusvaatimukset täyttävät luotettavat mekanismit on suojattava pysyvästi väärennöksiltä ja luvattomilta muutoksilta. Mikään tietokonejärjestelmä ei voi olla todella turvallinen, jos suojauskäytäntöä toteuttavat taustalla olevat laitteisto- ja ohjelmistomekanismit ovat itse alttiita luvattomille muutoksille tai muutoksille .

Toimenpiteet tietoturvan alalla

Computer Security Center jakaa tietoa tietoturvakysymyksistä koulutustarkoituksiin. Järjestö isännöi myös vuotuista kansallista tietoturvajärjestelmien konferenssia. Konferenssi lisää kysyntää ja lisää investointeja tietoturvatutkimuksen alalla. Ensimmäinen kansallinen konferenssi on NISSC - National Information Systems Security Conference [9] . Konferenssi on 23 vuoden ajan, 10 vuotta ennen Computer Security Actin hyväksymistä vuonna 1987, ollut johtava maailmanlaajuinen tietokone- ja tietoturvajärjestelmien foorumi.

Julkaisut

National Computer Security Center on vastuussa Oranssin ja Punaisen Kirjan julkaisemisesta, joissa kerrotaan tietokonejärjestelmien ja verkkojen turvallisesta käytöstä tietoturvallisuuden kannalta. Kriteerit tietokonejärjestelmien turvallisuuden määrittämiseksi ovat osa Rainbow Series -julkaisuja , jotka toistetaan enimmäkseen Common Criteriassa . Lisäksi Computer Security Center on julkaissut useita tietoturva-aiheisia julkaisuja.

Päälista

[CSC] Puolustusministeriö, "Password Management Guideline" [10] , CSC-STD-002-85, 12. huhtikuuta 1985, 31 sivua.

Oppaassa kuvataan vaiheet salasanan haavoittuvuuden minimoimiseksi kussakin salasanapohjaisessa todennusskenaariossa.

[NCSC1] NCSC, "A Guide to Understanding AUDIT in Trusted Systems" [11] , NCSC-TG-001, versio 2, 1. kesäkuuta 1988, 25 sivua.

Opas auditointiin luotetuissa järjestelmissä tietokonejärjestelmään tunkeutumisen havaitsemiseksi ja sen resurssien väärinkäytön tunnistamiseksi.

[NCSC2] NCSC, "A Guide to Understanding DISCRETIONARY ACCESS CONTROL in Trusted Systems" [12] , NCSC-TG-003, versio-1, 30. syyskuuta 1987, 29 sivua.

Opas auditointiin luotetuissa järjestelmissä diskreetissä kulunvalvonnassa. Harkinnanvarainen kulunvalvonta on nykyään yleisin tietokonejärjestelmissä toteutettu kulunvalvontamekanismi.

[NCSC3] NCSC, "A Guide to Understanding CONFIGURATION MANAGEMENT in Trusted Systems" [13] , NCSC-TG-006, versio-1, 28. maaliskuuta 1988, 31 sivua.

Ohjeita auditointiin luotetuissa järjestelmissä kokoonpanon hallintaa varten. Kokoonpanon hallinta koostuu seuraavista vaiheista: tunnistus, ohjaus, tilan kirjaaminen ja tarkastus.

[NTISS] NTISS, "Advisory Memorandum on Office Automation Security Guideline" [14] , NTISSAM CONPUSEC/1-87, 16. tammikuuta 1987, 58 sivua.

Tämä asiakirja on opas käyttäjille tai järjestelmänvalvojille, jotka vastaavat turvallisuudesta sekä ohjelmistojen ja laitteistojen toimittamisesta AU:ssa. Tässä oppaassa kuvataan seuraavat asiat: fyysinen turvallisuus, henkilöstön turvallisuus, prosessiturvallisuus, ohjelmisto- ja laitteistotoimenpiteet, PEMIN -suojaus ja viestintäsuojaus erilliselle SS:lle, SS:lle, jota käytetään päätteinä, jotka on kytketty isäntään, ja LAN:ssa käytettävää SS:ää. Levykeasemalla (levykeasema) ja kiintolevyasemalla (HDD) varustetut kaiuttimet erotetaan toisistaan.

Muita julkaisuja [14]

[NCSC4] National Computer Security Center, "Glossary of Computer Security Terms", NCSC-TG-004, NCSC, 21. lokakuuta 1988.

Tietoturvan termien sanasto.


[NCSC5] National Computer Security Center, "Trusted Computer System Evaluation Criteria", DoD 5200.28-STD, CSC-STD-001-83, NCSC, joulukuu 1985.

Julkaisu luotettavien tietokonejärjestelmien arviointiperusteista


[NCSC7] National Computer Security Center, "Ohjeet puolustusministeriön luotettujen tietokonejärjestelmien arviointikriteerien soveltamiseen tietyissä ympäristöissä", CSC-STD-003-85, NCSC, 25. kesäkuuta 1985.

Julkaisu Puolustusministeriön soveltamasta kriteereistä luotettavien tietokonejärjestelmien arvioimiseksi tietyissä olosuhteissa.


[NCSC8] National Computer Security Center, "Technical Rationale Behind CSC-STD-003-85: Computer Security Requirements", CSC-STD-004-85, NCSC, 25. kesäkuuta 85.

Julkaisussa selitetään teknisesti CSC-STD-003-85: Computer Security Requirements


[NCSC9] National Computer Security Center, "Magnetic Remanence Security Guideline", CSC-STD-005-85, NCSC, 15. marraskuuta 1985.

Tämä opas on "Vain viralliseen käyttöön" lain 86-36 (50 US Code 402) osan 6 mukaisesti. Jakelu tapahtuu vain Yhdysvaltain valtion virastoille ja niiden edustajille NSA:n työhön liittyvien arkaluonteisten teknisten, toiminnallisten ja hallinnollisten tietojen suojaamiseksi.


[NCSC10] National Computer Security Center, "Guidelines for Formal Verification Systems", toimitusluettelonro: 89-660-P, The Center, Fort George G. Meade, MD, 1. huhtikuuta 1990.

Julkaisu muodollisten varmennusjärjestelmien perusperiaatteista.


[NCSC11] National Computer Security Center, "Glossary of Computer Security Terms", toimitusluettelonro: 89-254-P, The Center, Fort George G. Meade, MD, 21. lokakuuta 1988.

Tietoturvatermien sanasto


[NCSC12] National Computer Security Center, "Trusted UNIX Working Group (TRUSIX) perustelut UNIX-järjestelmän kulunvalvontaluettelon ominaisuuksien valinnalle", toimitusluettelonro: 90-076-P, The Center, Fort George G. Meade, MD , 1990.

UNIX-työryhmä (TRUSIX) -valinta antaa pääsyn UNIX-järjestelmän luettelonhallintatoimintoihin.


[NCSC13] National Computer Security Center, "Trusted Network Interpretation", NCSC-TG-005, NCSC, 31. heinäkuuta 1987. [NCSC14] Tinto, M., "Computer Viruses: Prevention, Detection ja Treatment", National Computer Security Center C1:n tekninen raportti C1-001-89, kesäkuu 1989.

Tietokonevirukset: ehkäisy, diagnoosi ja hoito.


[NCSC15] National Computer Security Conference, "12th National Computer Security Conference: Baltimore Convention Center, Baltimore, MD, 10.-13.10.1989: Tietojärjestelmien turvallisuus, tämän päivän ratkaisut - huomisen käsitteitä", National Institute of Standards and National Computer Turvakeskus, 1989.

Yhteenveto 12. kansallisesta tietokoneturvallisuuskonferenssista, joka pidettiin Baltimore Convention Centerissä 10.-13.10.1989. Pääaihe: Tietojärjestelmien turvallisuus. Ratkaisut tänään – konseptit huomenna",

Muistiinpanot

  1. "DoD Computer Security Center (DoDCSC) perustettiin tammikuussa 1981..." ja "Vuonna 1985 DoDCSC:n nimi muutettiin National Computer Security Centeriksi..." ja "sen vastuu tietoturvasta koko liittovaltion hallituksessa. .." julkaisussa A Guide to Understanding Audit in Trusted Systems (linkki ei ole käytettävissä) . National Computer Security Center National Institute of Standards and Technology CSRC:n kautta. Haettu 30. kesäkuuta 2013. Arkistoitu alkuperäisestä 6. marraskuuta 2012. 
  2. "NSA ja sen National Computer Security Center (NCSC) ovat vastuussa..." julkaisussa Computer Systems Laboratory Bulletin (downlink) . National Institute of Standards and Technology CSRC (helmikuu 1991). Haettu 30. kesäkuuta 2013. Arkistoitu alkuperäisestä 2. heinäkuuta 2013. 
  3. Rainbow-sarjan kirjasto . Arkistoitu alkuperäisestä 19. joulukuuta 2018.
  4. PUOLUSTUSLAITOS LUOTETTAVA TIETOKONEJÄRJESTELMÄN ARVIOINTIPERUSTEET , s. 7.
  5. RAND Corporation. TIETOKONEJÄRJESTELMIEN TURVAOHJAIMET . - 1970. - S. 1 .
  6. KANSALLINEN STANDARDITOISTO. SEMINAARI DOD-TIETOTURVALLISUUSOHJELMASTA . - 1979. - S. 111 .
  7. Donald C. Latham. PUOLUSTUSLAITOSTON LUOTETTAVA TIETOKONEJÄRJESTELMÄN ARVIOINTIPERUSTEET . - 1983. - S. 6 .
  8. Donald C. Latham. PUOLUSTUSLAITOSTON LUOTETTAVA TIETOKONEJÄRJESTELMÄN ARVIOINTIPERUSTEET . - 1983. - S. 9-10 .
  9. http://www.ieee-security.org/Cipher/ConfReports/ .
  10. KANSALLINEN TIETOTURVALLISUUSKESKUS. PUOLUSTUSLAITOSTON SALASANAHALLINTAOHJE . - 1985. - S. 2 .
  11. KANSALLINEN TIETOTURVALLISUUSKESKUS. Opas tarkastuksen ymmärtämiseen luotetuissa järjestelmissä . - 1987. - S. 2 .
  12. KANSALLINEN TIETOTURVALLISUUSKESKUS. Opas harkinnanvaraisen PÄÄSYHALLINNAN ymmärtämiseen luotetuissa järjestelmissä . - 1987. - S. 2 .
  13. KANSALLINEN TIETOTURVALLISUUSKESKUS. Opas KONFIGUROINTIHALLINNAN ymmärtämiseen luotetuissa järjestelmissä . - 1988. - S. 2 .
  14. 1 2 Sivuston turvakäsikirja, 1991 .

Kirjallisuus