Trusted Computer System Evaluation Criteria
- Trusted Computer System Evaluation Criteria
-
TCSEC (Trusted Computer System Evaluation Criteria; im Allgemeinen als Orange Book bezeichnet), ist ein von der US-Regierung herausgegebener Standard für die Bewertung und Zertifizierung der Sicherheit von Computersystemen.
TCSEC wurde vor allem in den USA verwendet, in Kanada war CTCPEC verbreitet, in Europa und anderen Teilen der Welt setzte man auf den ITSEC-Standard (in Deutschland zunächst auf ITSK). Alle diese Standards sind in einem neuen Standard, den Common Criteria, aufgegangen.
TCSEC kategorisiert die Sicherheit von Computersystemen in ein Hierarchisches System mit vier Hauptstufen: in A, B, C und D.
Die meisten Unix-Systeme erfüllen C1, lassen sich aber ohne viel Aufwand so konfigurieren, dass auch C2 erfüllt wird.
TCSEC |
Bedeutung |
ITSK |
D |
|
unsicheres System |
|
ungeeignet |
C |
|
einfacher Schutz mit Benutzerlogin. |
|
|
C1 |
Login nötig Discretionary Access Control, dies kann auch ein Gruppenaccount sein. Es wird von kooperativen Benutzern ausgegangen. Beispielsweise das HRU-Modell (Access Control Matrix). |
F1 |
mittelstark |
C2 |
benötigt einen individuellen Login mit Passwort und Authentifizierungsmechanismus. Daten verschiedener Benutzer sind voneinander getrennt, sicherheitsrelevante Vorgänge werden protokolliert. (Controlled Access Protection) |
F2 |
B |
|
Zugriffsrechte nach Schutzstufe, Sicherheitsmodell |
|
|
B1 |
informelles Sicherheitsmodell, Daten (vor allem exportierte) in Schutzstufen (labeled security protection) sowie Mandatory Access Control. Beispielsweise Bell-LaPadula. |
F3 |
stark |
B2 |
formales Modell (Security Policy) des Sicherheitssystems, wohldefinierte Schnittstelle (structured protection) sowie eine Covert Channels-Analyse |
F4 |
B3 |
fordert zusätzlich Referenzmonitor-Eigenschaft und Übersichtlichkeit des Systems, sowie sichere Mechanismen der Protokollierung und für das Rollback von Schäden. (security domains) |
F5 |
sehr stark |
A |
|
wie B3, das Gesamtsystem muss aber formal verifizierbar, also mathematisch beweisbar sein. |
Siehe auch
Literatur
Wikimedia Foundation.
Schlagen Sie auch in anderen Wörterbüchern nach:
Trusted Computer System Evaluation Criteria — (TCSEC) is a United States Government Department of Defense (DoD) standard that sets basic requirements for assessing the effectiveness of computer security controls built into a computer system. The TCSEC was used to evaluate, classify and… … Wikipedia
Trusted Computer System Evaluation Criteria — Les Trusted Computer System Evaluation Criteria, ou TCSEC, sont un ensemble de critères énoncés par le Département de la Défense américain, et permettant d évaluer la fiabilité de systèmes informatiques centralisés. On parle parfois de l Orange… … Wikipédia en Français
System High Mode — (also referred to simply as System High) is a mode of using an automated information system (AIS) that pertains to an environment that contains restricted data that is classified in a hierarchical scheme, such as Top Secret, Secret and… … Wikipedia
Trusted system — In the security engineering subspecialty of computer science, a trusted system is a system that is relied upon to a specified extent to enforce a specified security policy. As such, a trusted system is one whose failure may break a specified… … Wikipedia
Trusted computing base — The trusted computing base (TCB) of a computer system is the set of all hardware, firmware, and/or software components that are critical to its security, in the sense that bugs occurring inside the TCB might jeopardize the security properties of… … Wikipedia
Evaluation Assurance Level — Die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC; deutsch etwa: Gemeinsame Kriterien für die Bewertung der Sicherheit von Informationstechnologie) sind ein internationaler Standard über die… … Deutsch Wikipedia
Security-evaluated operating system — A security evaluated operating system is an operating system that has achieved a certification from an external security auditing organization, such as a B2 or A1 CSC STD 001 83 Department of Defense Trusted Computer System Evaluation Criteria or … Wikipedia
Operating system — Operating systems … Wikipedia
Common Criteria — Critères communs Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des systèmes d information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on… … Wikipédia en Français
Common Criteria for Information Technology Security Evaluation — Critères communs Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des systèmes d information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on… … Wikipédia en Français