Professional Documents
Culture Documents
28-STD
Reemplaza
CSC-STD-00l-83, l5 dtd agosto 83
Biblioteca N S225,7ll
DEPARTAMENTO DE
DEFENSA
ORDENADOR DE CONFIANZA
SISTEMA DE EVALUACIN
CRITERIOS
Diciembre l985
?
26 de diciembre de l985
PRLOGO
_________________________________
Donald C. Latham
El subsecretario de Defensa
(Comando, Control, Comunicaciones e Inteligencia)
?
AGRADECIMIENTOS
PRLOGO. . . . . . . . . . . . . . . . . . . . . . . . . . . .yo
AGRADECIMIENTOS. . . . . . . . . . . . . . . . . . . . . . . ii
PRLOGO. . . . . . . . . . . . . . . . . . . . . . . . . . . .v
INTRODUCCIN. . . . . . . . . . . . . . . . . . . . . . . . . 0.1
datos clasificada [24; 25; 31]. Los conceptos preliminares para la seguridad
informtica
Evaluacin se define y se ampli en los talleres de invitacin y
simposios cuyos participantes representaron experiencia en seguridad
informtica extrae de
industria y la academia, adems del gobierno. Su trabajo tiene ya
sido objeto de mucha revisin por pares y la crtica tcnica constructiva de
el Departamento de Defensa, las organizaciones de investigacin industrial y de
desarrollo, universidades, y
los fabricantes de ordenadores.
El Centro de Seguridad Informtica del Departamento de Defensa (el Centro) se
form en enero de 1981 a
personal y ampliar la labor iniciada por el Departamento de Defensa Seguridad
informtica
Iniciativa. [15] Uno de los objetivos principales del Centro, tal como figura en su
Carta del Departamento de Defensa es
alentar a la amplia disponibilidad de los sistemas informticos de confianza para
su uso por
los que procesan la informacin confidencial clasificada u otros. [10] Los criterios
presentada en este documento han evolucionado a partir de la NBS antes y
MITRE
material de evaluacin.
Alcance
Se aplican los criterios de evaluacin del sistema informtico de confianza
definidos en este documento
principalmente a confianza procesamiento automtico de datos disponible en el
mercado (ADP)
sistemas. Ellos tambin son aplicables, como amplificada a continuacin, la
evaluacin de
los sistemas existentes y la especificacin de requisitos de seguridad para ADP
adquisicin de sistemas. Se incluyen dos conjuntos distintos de requisitos: 1)
Propsito
Como se seala en el prefacio, los criterios han sido developedto servir a un
nmero
de fines previstos:
* Proporcionar un estndar para los fabricantes en cuanto a lo de
seguridad
caractersticas para construir en su nueva y planificada, comercial
productos a fin de proporcionar sistemas ampliamente disponibles que
requisitos fiduciarios satisfacer (con especial nfasis en la prevencin
la divulgacin de datos) para aplicaciones sensibles.
* Proporcionar componentes del Departamento de Defensa con una
mtrica con la que evaluar
Aseguramiento
Requisito 5 - GARANTA - El sistema informtico debe contener
mecanismos de hardware / software que pueden ser evaluados de forma
independiente para proporcionar
garantas suficientes de que el sistema impone requisitos 1 a 4 anteriores.
Con el fin de asegurar que los cuatro requisitos de la Poltica de Seguridad,
Marcado,
Identificacin, y rendicin de cuentas son impuestas por un sistema informtico,
no
Debe haber alguna identificados y coleccin unificada de hardware y software
controles que realizan esas funciones. Estos mecanismos son tpicamente
incorporados
en el sistema operativo y estn diseados para llevar a cabo las tareas asignadas
en un
manera segura. La base para confiar en este tipo de mecanismos del sistema en
su
entorno operativo debe estar claramente documentado de tal manera que es
posible
examinar de forma independiente las pruebas para evaluar su suficiencia.
Requisito 6 - Proteccin continua - Los mecanismos de confianza que
hacer cumplir estos requisitos bsicos se deben proteger de forma continua
contra
manipulacin y / o cambios no autorizados. Ningn sistema informtico puede ser
considerado
realmente segura si los mecanismos bsicos de hardware y software que hacen
cumplir la
poltica de seguridad son a su vez objeto de modificaciones no autorizadas o
subversin. El requisito de proteccin continua tiene implicaciones directas
a lo largo del ciclo de vida del sistema informtico.
Estos requisitos fundamentales forman la base para la evaluacin individual
?
1.0 DIVISIN D: proteccin mnima
Esta divisin contiene una sola clase. Se reserva para aquellos sistemas que
han sido evaluados, pero que no cumplen con los requisitos para una mayor
clase de evaluacin.
?
2.0 DIVISIN C: PROTECCIN DISCRECIONAL
los datos en el mismo nivel (s) de la sensibilidad. Los siguientes son mnimos
requisitos para los sistemas asignados a (C1) habilitacin de clase:
2.1.1 Poltica de Seguridad
2.1.1.1 Control de Acceso Discrecional
El TCB debe definir y controlar el acceso entre los usuarios con nombre
y
objetos con nombre (por ejemplo, archivos y programas) en el sistema
de ADP. Los
mecanismo de aplicacin (por ejemplo, auto / grupo / controles
pblicos, el acceso
listas de control) debern permitir a los usuarios especificar y compartir
el control
de esos objetos por personas nombradas o grupos definidos o ambos.
2.1.2 Rendicin de Cuentas
2.1.2.1 Identificacin y autenticacin
El TCB exigir a los usuarios que se identifiquen con l antes
comenzando a realizar cualquier otra accin que se espera que la TCB
para mediar. Adems, la TCB utilizar un protegida
mecanismo (por ejemplo, contraseas) para autenticar la identidad del
usuario.
El TCB deber proteger los datos de autenticacin de modo que no
puede ser
visitada por cualquier usuario no autorizado.
2.1.3 Aseguramiento
2.1.3.1 Aseguramiento Operacional
?
2.2 CLASE (C2): PROTECCIN DE ACCESO CONTROLADO
mediar en todos los accesos de los sujetos a los objetos, ser inviolable, y ser
pequeo
suficiente para ser sometidos a anlisis y pruebas. Para este fin, la TCB es
estructurado para excluir el cdigo no es esencial para la aplicacin de la poltica
de seguridad, con
ingeniera de sistemas significativa durante el diseo y la aplicacin dirigida TCB
para minimizar su complejidad. Un administrador de seguridad es compatible,
mecanismos de auditora se expanden para sealar acontecimientos seguridadpertinentes, y el sistema
se requieren procedimientos de recuperacin. El sistema es altamente resistente
a
penetracin. Los siguientes son los requisitos mnimos para los sistemas
asignado un
clase (B3) Valoracin:
3.1.1 Poltica de Seguridad
3.3.1.1 Control de Acceso Discrecional
El TCB debe definir y controlar el acceso entre los usuarios con nombre
y
objetos con nombre (por ejemplo, archivos y programas) en el sistema
de ADP.
El mecanismo de aplicacin (por ejemplo, las listas de control de
acceso) deber
permiten a los usuarios especificar y compartir el control de esos
objetos,
y proporcionar controles para limitar la propagacin de acceso
los derechos. El mecanismo de control de acceso discrecional deber,
ya sea por accin explcita del usuario o por defecto, disponer que
objetos estn protegidos contra el acceso no autorizado. Estos acceso
controles debern ser capaces de especificar, para cada objeto
nombrado,
una lista de personas con nombre y una lista de los grupos de llamada
4.1.3 Aseguramiento
4.1.3.1 Aseguramiento Operacional
4.1.3.1.1 Arquitectura del Sistema
PARTE II:
JUSTIFICACIN Y DIRECTRICES
?
5.0 OBJETIVOS DE CONTROL DE SISTEMAS INFORMTICOS DE
CONFIANZA
Los criterios se dividen dentro de cada clase en grupos de requisitos. Estas
agrupaciones fueron desarrollados para asegurar que los tres objetivos bsicos
de control de
seguridad informtica estn satisfechos y sin vecinos. Estos objetivos de control
lidiar con:
* Politica de seguridad
* Rendicin de cuentas
* Aseguramiento
En esta seccin se ofrece un anlisis de estos objetivos generales de control y
su implicacin en trminos de diseo de sistemas de confianza.
?
5.1 NECESIDAD DE CONSENSO
Un objetivo importante del Centro de Seguridad Informtica del Departamento de
Defensa es fomentar el ordenador
Industria para desarrollar sistemas informticos fiables y productos, hacindolos
ampliamente
disponible en el mercado comercial. El logro de este objetivo
requiere el reconocimiento y articulacin de los sectores pblico y privado de
la necesidad y la demanda de este tipo de productos.
Como se describe en la introduccin de este documento, los esfuerzos para
definir la
problemas y desarrollar soluciones asociados con el procesamiento a nivel
nacional sensibles
informacin, as como otros datos sensibles, tales como financieros, mdicos, y
informacin del personal utilizado por el Establecimiento de Seguridad Nacional,
han sido
llevando a cabo para un nmero de aos. Los criterios, tal como se describe en la
Parte I,
representar la culminacin de estos esfuerzos y describir los requisitos bsicos
para
El objetivo de control para el marcado es: "Los sistemas que estn diseados
para hacer cumplir una poltica de seguridad obligatoria deben almacenar y
conservar la
integridad de clasificacin u otro sensibilidad etiquetas para todos
informacin. Las etiquetas exportadas del sistema deben ser precisos
representaciones de las etiquetas de sensibilidad internos corresonding
siendo exportado ".
DoD 5220.22-M ", Manual de Seguridad Industrial para la proteccin de
Informacin Clasificada ", explica en el prrafo 11 de las razones de
marcando informacin:
"a. General. designacin Clasificacin por fsica
marcado, la notacin u otros medios sirve para advertir y para
informar al titular qu grado de proteccin contra
la divulgacin no autorizada se reqired para que la informacin
o material. "(14)
Requisitos de marcado se dan en una serie de declaraciones polticas.
Orden Ejecutiva 12356 (secciones 1.5.a y 1.5.a.1) requiere que
marcas de clasificacin "se muestran en la cara de todos
documentos clasificados, o claramente asociados con otras formas de
informacin clasificada de una manera adecuada al medio
los involucrados. "[14]
DoD Reglamento 5200.1-R (Seccin 1-500) requiere que: "...
informacin o material que requiere la proteccin contra
la divulgacin no autorizada en inters de la seguridad nacional deber
se clasificarn en una de las tres denominaciones, a saber: 'Top Secret'
Directiva 5200.28:
Directiva DoD 5200.28 (IV.B.1) estipula: "En general, la seguridad de un ADP
sistema es ms eficaz y econmica si el sistema est diseado
originalmente para proporcionarla. Cada Departamento de Defensa de
componentes
emprender el diseo de un sistema de ADP, que se espera para procesar,
almacenar,
utilizar o producir material clasificado deber: Desde el inicio de la
proceso de diseo, tener en cuenta las polticas de seguridad, conceptos y
medidas
prescrito en la presente Directiva ". [8]
Directiva DoD 5200.28 (IV.C.5.a) afirma: "Se puede prever para permitir
el ajuste de rea del sistema ADP controles para el nivel de proteccin
requerido para la categora de clasificacin y tipo (s) de material de hecho
siendo manejado por el sistema, se desarrollan procedimientos de cambio
previstos y
implementado, lo que impide tanto el acceso no autorizado a los clasificados
material manipulado por el sistema y la manipulacin no autorizada de la
sistema y sus componentes. Se prestar especial atencin a la
la proteccin continua de las medidas de seguridad del sistema automatizado,
tcnicas
y procedimientos cuando el nivel de autorizacin de seguridad personal de los
usuarios
tener acceso a los cambios en el sistema ". [8]
Directiva DoD 5200.28 (VI.A.2) afirma: "Control Ambiental La ADP.
Sistema estar protegido externamente para minimizar la probabilidad de
acceso no autorizado a los puntos de entrada del sistema, acceso a clasificado
informacin en el sistema, o daos en el sistema ". [8]
ser como mnimo de tres meses y no tiene por qu ser superior a seis
meses.
No habr menos de cincuenta manos a la hora por equipo
miembro pas la realizacin de pruebas para desarrolladores definidas por
el sistema y
prueba de equipo define pruebas.
?
APNDICE A
PROCESO DE EVALUACIN PRODUCTO COMERCIAL
evaluado.
El equipo de evaluacin redacta un informe final sobre sus hallazgos sobre el
sistema.
El informe est disponible al pblico (que no contiene propietaria o confidencial
informacin) y contiene la calificacin global de clase asignado al sistema y
los detalles de los resultados del equipo del evalution al comparar el producto
contra
los criterios de evaluacin. Informacin detallada sobre vulnerabilidades
encontradas
por el equipo de evaluacin est amueblado a los desarrolladores de sistemas y
diseadores como
cada uno se encuentra para que el vendedor tiene la oportunidad de eliminar el
mayor nmero de ellos como
posible antes de la finalizacin de la evaluacin formal del producto.
Anlisis de vulnerabilidad y otra informacin confidencial o sensible son
controlada dentro del Centro a travs del Programa de Informacin y
Vulnerabilidad
se distribuyen nicamente en el Gobierno de Estados Unidos en una necesidad
de conocer-estricto y
no divulgacin base, y para el vendedor.?
ANEXO B
RESUMEN DE LAS DIVISIONES criterios de evaluacin
Esta divisin contiene una sola clase. Se reserva para aquellos sistemas que
han sido evaluados, pero que no cumplen con los requisitos para una mayor
clase de evaluacin.
Divisin (C): Proteccin Discrecional
Las clases de esta divisin prevn (necesidad de conocer) la proteccin
discrecional
y, a travs de la inclusin de mecanismos de auditora, para la rendicin de
cuentas
temas y las acciones que inician.
Divisin (B): Proteccin obligatoria
La nocin de un TCB que preserve la integridad de las etiquetas de sensibilidad y
los utiliza para hacer cumplir una serie de reglas de control de acceso obligatorio
es un importante
requisito en esta divisin. Sistemas de esta divisin deben llevar el
sensibilidad etiquetas con las principales estructuras de datos en el sistema. El
sistema
desarrollador tambin ofrece el modelo de la poltica de seguridad en la que se
basa la TCB
y proporciona una especificacin de la TCB. La evidencia debe ser proporcionada
a
demostrar que el concepto de monitor de referencia ha sido implementado.
Divisin (A): Proteccin Verified
Esta divisin se caracteriza por el uso de la verificacin de seguridad formal
mtodos para asegurar que los controles de seguridad obligatorios y
discrecionales
empleado en el sistema puede proteger eficazmente clasificado u otro sensible
informacin almacenada o procesada por el sistema. Amplia documentacin es
requerida para demostrar que la TCB cumple con los requisitos de seguridad en
todo
aspectos de diseo, desarrollo e implementacin.
?
ANEXO C
RESUMEN DE LAS CLASES DE CRITERIOS DE EVALUACIN
criterios.
ADD: Los criterios que siguen no han sido requeridos para cualquier
clase baja, y se aaden en esta clase a la
se ha indicado anteriormente los criterios para este requisito.
Las abreviaturas se utilizan de la siguiente manera:
NR: (No hay requisito) Este requisito no se incluye en
esta clase.
NAR: (No hay requisitos adicionales) Este requisito no se
cambiar de la clase anterior.
Se remite al lector a la Parte I de este documento al colocar nuevos criterios
para un requisito en el contexto completo para esa clase.
Figura 1 se presenta un resumen pictrico de la evolucin de las necesidades a
travs de
las clases.
Auditora
C1: NR.
C2: NUEVO: La TCB ser capaz de crear, mantener y proteger de la
modificacin o acceso no autorizado o la destruccin de una pista de
auditora de
accesos a los objetos que protege. Los datos de auditora debern ser
protegida por el TCB de manera que a ella se limita a aquellos acceso de
lectura
que estn autorizados para los datos de auditora. El TCB deber ser capaz
de grabar
B2: ADD: El TCB podr auditar los eventos identificados que pueden ser
utilizado en la explotacin de canales de almacenamiento encubiertas.
B3: ADD: El TCB deber contener un mecanismo que es capaz de controlar la
aparicin o acumulacin de eventos auditables de seguridad que puedan
indicar una violacin inminente de la poltica de seguridad. Este mecanismo
ser capaz de notificar inmediatamente al administrador de seguridad
cuando
umbrales se exceden, y, si la ocurrencia o la acumulacin de
estos eventos relevantes de seguridad contina, el sistema tomar la
arrendar accin disruptiva para terminar el evento.
A1: NAR.
Gestin de la Configuracin
C1: NR.
C2: NR.
B1: NR.
B2: NUEVO: Durante el desarrollo y mantenimiento de la TCB, una
configuracin
sistema de gestin ser en el lugar que mantiene el control de cambios
a la memoria descriptiva de nivel superior, otros datos de diseo,
documentacin de la aplicacin, el cdigo fuente, la versin de
funcionamiento de la
cdigo objeto, y accesorios de la prueba y la documentacin. La
configuracin
sistema de gestin deber asegurar una correspondencia constante entre
todos
documentacin y cdigo asociado con la versin actual de la TCB.
C1: NR.
C2: NR.
B1: NR.
B2: NUEVO: El desarrollador del sistema llevar a cabo una bsqueda
exhaustiva para encubierta
canales de almacenamiento y hacer una determinacin (ya sea por real
medicin o por estimacin de ingeniera) del ancho de banda mximo de
cada canal identificado. (Vea la seccin de Orientacin Canales Covert.)
B3: CAMBIO: El desarrollador del sistema llevar a cabo una bsqueda
exhaustiva para
canales encubiertos y tomar una determinacin (ya sea por real
medicin o por estimacin de ingeniera) del ancho de banda mximo
de cada canal identificado.
A1: ADD: mtodos formales se utilizan en el anlisis.
Diseo Documentacin
C1: NUEVO: La documentacin debe estar disponible que proporciona una
descripcin de
La filosofa de los fabricantes de proteccin y una explicacin de cmo
esta filosofa se traduce en la TCB. Si el TCB se compone
de mdulos distintos, las interfaces entre estos mdulos sern
descrito.
C2: NAR.
B1: ADD: Una descripcin informal o formal del modelo de la poltica de
seguridad
software) se indicar de manera informal para ser coherente con los DTLS.
Los elementos de la DTLS se indicarn, utilizando tcnicas informales,
para corresponder a los elementos de la TCB.
A1: CAMBIO: La aplicacin TCB (es decir, en el hardware, firmware y
software) se indicar de manera informal para ser coherente con lo formal
especificacin de nivel superior (FTLs). Los elementos de los FTLs sern
se muestra, usando tcnicas informales, para corresponder a los elementos
de
la TCB.
ADD: hardware, el firmware y los mecanismos de software no mencionadas
en
el FTLs pero estrictamente interno a la TCB (por ejemplo, registros
cartogrficos,
Acceso directo a la memoria de E / S) se describirn con claridad.
Especificaciones de Diseo y Verificacin
C1: NR.
C2: NR.
B1: NUEVO: Un modelo formal o informal de la poltica de seguridad con el
apoyo de
la TCB se mantiene a lo largo del ciclo de vida del sistema ADP que
se demuestra que es coherente con sus axiomas.
B2: CAMBIO: Un modelo formal de la poltica de seguridad con el apoyo de la
TCB
se mantendrn durante todo el ciclo de vida del sistema ADP que es
demostrado en consonancia con sus axiomas.
ADD: Una memoria descriptiva de nivel superior (DTLS) del TCB ser
accin del usuario o por defecto, se establece que los objetos estn
protegidos de
Acceso no autorizado. Estos controles de acceso debern ser capaces de
incluyendo o excluyendo el acceso a la granularidad de un nico usuario.
El permiso de acceso a un objeto por los usuarios no ya poseen acceso
el permiso slo se asignar por usuarios autorizados.
B1: NAR.
B2: NAR.
B3: CAMBIO: El mecanismo de aplicacin (por ejemplo, las listas de control de
acceso) deber
permitir que los usuarios especifiquen y compartir el control de esos
objetos, y deber
proporcionar controles para limitar la propagacin de los derechos de
acceso. Estas
controles de acceso debern ser capaces de especificar, para cada llamada
objetar, una lista de personas con nombre y una lista de grupos de llamada
individuos con sus respectivos modos de acceso a ese objeto.
ADD: Por otra parte, respecto de cada objeto nombrado, ser posible
especificar una lista de personas con nombre y una lista de grupos de
llamada
individuos para los que no tienen acceso al objeto debe ser dado.
A1: NAR.
Exportacin de informacin Etiquetada
C1: NR.
C2: NR.
B3: NAR.
A1: NAR.
Exportacin a solo nivel-Devices
C1: NR.
C2: NR.
B1: dispositivos S-nivel individual de E / y canales de comunicacin a nivel
individual: NUEVO
no estn obligados a mantener las etiquetas de sensibilidad del
informacin que procesan. Sin embargo, la TCB deber incluir un
mecanismo
por el cual el TCB y un usuario autorizado a comunicar de forma confiable
designar el nivel de seguridad nica de informacin importados o
exportado a travs de los canales de comunicacin de un solo nivel o
dispositivos de E / S.
B2: NAR.
B3: NAR.
A1: NAR.
Identificacin y autenticacin
C1: NUEVO: La TCB exigir a los usuarios que se identifiquen con l antes
comenzando a realizar cualquier otra accin que la TCB se espera que
mediar. Adems, la TCB utilizar un mecanismo protegido (por ejemplo,
contraseas) para autenticar la identidad del usuario. El TCB deber
B2: NAR.
B3: NAR.
A1: NAR.
Integridad Label
C1: NR.
C2: NR.
B1: NUEVO: etiquetas de sensibilidad deber representar con precisin los
niveles de seguridad de
los sujetos u objetos especficos con los que estn asociados. Cuando
exportado por el TCB, etiquetas de sensibilidad y precisin deber
inequvocamente representar las etiquetas internas y estar asociada
con que se exporta la informacin.
B2: NAR.
B3: NAR.
A1: NAR.
Salida etiquetado legible
C1: NR.
C2: NR.
B1: NUEVO: El administrador del sistema ADP podr especificar el
nombres de las etiquetas imprimibles asociados con etiquetas de
sensibilidad exportados.
El TCB deber marcar el inicio y el final de todo legible,
paginado, salida de copia impresa (por ejemplo, la salida de impresora de
lneas) con humanidad
etiquetas de sensibilidad legibles que correctamente * representan la
sensibilidad
de la salida. El TCB ser, por defecto, marque la parte superior e inferior de
cada pgina de salida legible, paginado, en papel (por ejemplo, la lnea
salida de la impresora) con las etiquetas de sensibilidad legibles que
adecuadamente * representar la sensibilidad global de la salida o que
B3: NAR.
A1: NAR.
Reutilizacin de objetos
C1: NR.
C2: NUEVO: Todas las autorizaciones a la informacin contenida dentro de un
objeto de almacenamiento ser revocada antes de la asignacin inicial,
la asignacin o reasignacin a un sujeto desde la piscina del TCB de
objetos de almacenamiento no utilizados. No hay informacin, incluyendo
cifrado
representaciones de informacin, producidos por un sujeto antes de
acciones es estar a disposicin de cualquier objeto que obtiene acceso a
un objeto que ha sido puesto en libertad de nuevo al sistema.
B1: NAR.
B2: NAR.
B3: NAR.
A1: NAR.
Caractersticas de seguridad Gua del usuario
C1: NUEVA: Un solo resumen, captulo, o manual en la documentacin del
usuario deber
describir los mecanismos de proteccin proporcionados por la TCB,
directrices sobre
su uso, y cmo interactan entre s.
C2: NAR.
B1: NAR.
B2: NAR.
B3: NAR.
A1: NAR.
Pruebas de seguridad
C1: NUEVO: Los mecanismos de seguridad del sistema de ADP se sometern a
ensayo y
encontrado para trabajar como se reivindica en la documentacin del
sistema. Prueba deber
por hacer para asegurar que no hay maneras obvias para una no autorizada
usuario para omitir o no derrotar a los mecanismos de proteccin de la
seguridad
del TCB. (Vanse las directrices de Pruebas de Seguridad.)
C2: ADD: El ensayo debe incluir tambin una bsqueda de defectos obvios
que
permitir la violacin de aislamiento de recursos, o que permitira
acceso no autorizado a los datos de auditora o de autenticacin.
B1: NUEVO: Los mecanismos de seguridad del sistema de ADP se sometern a
ensayo y
encontrado para trabajar como se reivindica en la documentacin del
sistema. Un equipo de
personas que entienden a fondo la aplicacin especfica de
la TCB deber someter su documentacin de diseo, cdigo fuente, y
cdigo objeto de anlisis y pruebas exhaustivas. Sus objetivos debern
ADD: mapeo manual u otra de las FTLs al cdigo fuente puede formar
una base para las pruebas de penetracin.
Asunto etiquetas de sensibilidad
C1: NR.
C2: NR.
B1: NR.
B2: NUEVO: La TCB notificar inmediatamente a un usuario del terminal de
cada cambio
en el nivel de seguridad asociado a ese usuario durante un interactivo
sesin. Un usuario del terminal ser capaz de consultar la TCB lo deseas
para una pantalla de etiqueta de sensibilidad completa del sujeto.
B3: NAR.
A1: NAR.
Arquitectura del Sistema
C1: NUEVO: La TCB mantendr un dominio para su propia ejecucin que
protege de interferencias externas o manipulacin (por ejemplo,
modificacin de sus cdigos o estructuras de datos). Recursos controlados
por la TCB puede ser un subconjunto definido de los sujetos y objetos en
el sistema de ADP.
C2: ADD: El TCB aislar los recursos para protegerse de forma que
estn sujetos al control de acceso y los requisitos de auditora.
B1: NAR.
B2: ADD: Incluir los resultados de las pruebas de la eficacia de la
mtodos utilizados para reducir los anchos de banda de canal encubiertas.
B3: NAR.
A1: ADD: Los resultados de la correlacin entre el nivel superior formales
Se dar especificacin y el cdigo fuente TCB.
Distribucin de confianza
C1: NR.
C2: NR.
B1: NR.
B2: NR.
B3: NR.
A1: NUEVO: Un sistema de control de ADP de confianza y las instalaciones de
distribucin ser
proporcionado para mantener la integridad de la asignacin entre el
datos maestros describen la versin actual de la TCB y el en el sitio
copia maestra del cdigo para la versin actual. Procedimientos (por
ejemplo,
existir la seguridad del sitio de pruebas de aceptacin) para asegurar que
el
TCB software, firmware y actualizaciones de hardware distribuido a un
al cliente estn exactamente segn lo especificado por las copias maestras.
B1: NR.
B2: NUEVO: La TCB apoyar una ruta de comunicacin de confianza entre
en s y el usuario de inicio de sesin inicial y la autenticacin.
Comunicaciones
a travs de este camino se iniciar exclusivamente por un usuario.
B3: CAMBIO: El TCB apoyar una ruta de comunicacin de confianza entre
en s y los usuarios para su uso cuando una conexin positiva-TCB a usuario
es
requerido (por ejemplo, inicio de sesin, sujeta nivel de seguridad del
cambio).
Comunicaciones a travs de este camino de confianza se activarn en
exclusiva
por un usuario o de la TCB y deber ser aislado de manera lgica y sin lugar
a dudas
distinguible de otros caminos.
A1: NAR.
Recuperacin de confianza
C1: NR.
C2: NR.
B1: NR.
B2: NR.
B3: NUEVO: Procedimientos y / o mecanismos se proporcionarn para
asegurar que,
despus de un fallo del sistema ADP u otra discontinuidad, la recuperacin
sin
operacin.
Sistema de fines generales - Un sistema informtico que est diseado para
ayuda en la solucin de una amplia variedad de problemas.
Granularidad - La finura relativa o tosquedad por el cual una
mecanismo se puede ajustar. La frase "la granularidad de
un solo usuario "se entiende el mecanismo de control de acceso puede ser
ajustado para incluir o excluir a cualquier usuario individual.
Entramado - Un conjunto parcialmente ordenado para el que cada par de
elementos tiene un extremo inferior y una cota superior mnima.
Privilegio mnimo - Este principio requiere que cada sujeto en un
sistema de concederse el conjunto ms restrictivo de privilegios (o
aclaramiento ms bajo) necesarios para el desempeo de autorizado
tareas. La aplicacin de este principio limita el dao
que puede ser el resultado de un accidente, error o uso no autorizado.
Mandatory Access Control - Un medio para restringir el acceso a
objetos en funcin de la sensibilidad (representado por una etiqueta)
de la informacin contenida en los objetos y lo formal
autorizacin (es decir, la remocin) de temas para el acceso
informacin de tal sensibilidad.
Dispositivo multinivel - Un dispositivo que se utiliza de una manera que
lo permite procesar simultneamente datos de dos o ms
niveles de seguridad sin riesgo de compromiso. Para llevar a cabo
esta, etiquetas de sensibilidad normalmente se almacenan en el mismo
medio fsico y de la misma forma (es decir, legible por mquina
o est procesando legible por humanos) que los datos.