Trusted Computer System Evaluation Criteria

Trusted Computer System Evaluation Criteria

TCSEC (Trusted Computer System Evaluation Criteria; im Allgemeinen als Orange Book bezeichnet), ist ein von der US-Regierung herausgegebener Standard für die Bewertung und Zertifizierung der Sicherheit von Computersystemen.

TCSEC wurde vor allem in den USA verwendet, in Kanada war CTCPEC verbreitet, in Europa und anderen Teilen der Welt setzte man auf den ITSEC-Standard (in Deutschland zunächst auf ITSK). Alle diese Standards sind in einem neuen Standard, den Common Criteria, aufgegangen.

TCSEC kategorisiert die Sicherheit von Computersystemen in ein Hierarchisches System mit vier Hauptstufen: in A, B, C und D.

Die meisten Unix-Systeme erfüllen C1, lassen sich aber ohne viel Aufwand so konfigurieren, dass auch C2 erfüllt wird.

TCSEC Bedeutung ITSK
D unsicheres System ungeeignet
C einfacher Schutz mit Benutzerlogin.
C1 Login nötig Discretionary Access Control, dies kann auch ein Gruppenaccount sein. Es wird von kooperativen Benutzern ausgegangen. Beispielsweise das HRU-Modell (Access Control Matrix). F1 mittelstark
C2 benötigt einen individuellen Login mit Passwort und Authentifizierungsmechanismus. Daten verschiedener Benutzer sind voneinander getrennt, sicherheitsrelevante Vorgänge werden protokolliert. (Controlled Access Protection) F2
B Zugriffsrechte nach Schutzstufe, Sicherheitsmodell
B1 informelles Sicherheitsmodell, Daten (vor allem exportierte) in Schutzstufen (labeled security protection) sowie Mandatory Access Control. Beispielsweise Bell-LaPadula. F3 stark
B2 formales Modell (Security Policy) des Sicherheitssystems, wohldefinierte Schnittstelle (structured protection) sowie eine Covert Channels-Analyse F4
B3 fordert zusätzlich Referenzmonitor-Eigenschaft und Übersichtlichkeit des Systems, sowie sichere Mechanismen der Protokollierung und für das Rollback von Schäden. (security domains) F5 sehr stark
A wie B3, das Gesamtsystem muss aber formal verifizierbar, also mathematisch beweisbar sein.

Siehe auch

Literatur


Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Trusted Computer System Evaluation Criteria — (TCSEC) is a United States Government Department of Defense (DoD) standard that sets basic requirements for assessing the effectiveness of computer security controls built into a computer system. The TCSEC was used to evaluate, classify and… …   Wikipedia

  • Trusted Computer System Evaluation Criteria — Les Trusted Computer System Evaluation Criteria, ou TCSEC, sont un ensemble de critères énoncés par le Département de la Défense américain, et permettant d évaluer la fiabilité de systèmes informatiques centralisés. On parle parfois de l Orange… …   Wikipédia en Français

  • System High Mode — (also referred to simply as System High) is a mode of using an automated information system (AIS) that pertains to an environment that contains restricted data that is classified in a hierarchical scheme, such as Top Secret, Secret and… …   Wikipedia

  • Trusted system — In the security engineering subspecialty of computer science, a trusted system is a system that is relied upon to a specified extent to enforce a specified security policy. As such, a trusted system is one whose failure may break a specified… …   Wikipedia

  • Trusted computing base — The trusted computing base (TCB) of a computer system is the set of all hardware, firmware, and/or software components that are critical to its security, in the sense that bugs occurring inside the TCB might jeopardize the security properties of… …   Wikipedia

  • Evaluation Assurance Level — Die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC; deutsch etwa: Gemeinsame Kriterien für die Bewertung der Sicherheit von Informationstechnologie) sind ein internationaler Standard über die… …   Deutsch Wikipedia

  • Security-evaluated operating system — A security evaluated operating system is an operating system that has achieved a certification from an external security auditing organization, such as a B2 or A1 CSC STD 001 83 Department of Defense Trusted Computer System Evaluation Criteria or …   Wikipedia

  • Operating system — Operating systems …   Wikipedia

  • Common Criteria — Critères communs Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des systèmes d information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on… …   Wikipédia en Français

  • Common Criteria for Information Technology Security Evaluation — Critères communs Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des systèmes d information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”