home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / rainbow-series < prev    next >
Encoding:
Internet Message Format  |  1991-12-19  |  4.3 KB
  1. Path: wzv!svin02!tuegate.tue.nl!sun4nl!mcsun!uunet!cs.utexas.edu!asuvax!ukma!morgan
  2. From: morgan@ms.uky.edu (Wes Morgan)
  3. Newsgroups: alt.security
  4. Subject: Re: covert channels
  5. Message-ID: <1991Dec19.132858.21031@ms.uky.edu>
  6. Date: 19 Dec 91 18:28:58 GMT
  7. References: <kdHpH4S00j5uQodsNS@andrew.cmu.edu> 
  8.     <kl02qdINN9e2@early-bird.think.com> <85834150@bfmny0.BFM.COM>
  9. Organization: The Puzzle Palace, UKentucky
  10. Lines: 82
  11. X-Bytes: 3943
  12.  
  13. In article <85834150@bfmny0.BFM.COM> tneff@bfmny0.BFM.COM (Tom Neff) writes:
  14. >
  15. >I mean, if B2 requires covert channels be blocked, and N different
  16. >products make the grade and get their little gold stars etc, then
  17. >someone thinks of a radically clever new channel! -- are all the little
  18. >gold stars automatically revoked until the gurus catch up, or what?
  19. >
  20.  
  21.  
  22. Whenever the subject of NCSC security ratings (B1,C2, et cetera) comes up,
  23. there's one thing you need to remember.  The NCSC certifications are given
  24. on SPECIFIC hardware/software/physical environments.  For instance, an 
  25. AT&T 3B2/600 running System V Unix 3.1.1 with the MLS add-on might be cer-
  26. tified as B1 *in the testing laboratory*.  As soon as I take that IDENTICAL
  27. system and place it in my machine room, it drops all the way down to a
  28. rating of D.  Why?  In this case, because access to the machine room (the
  29. physical security environment) is not adequately controlled; the custodial 
  30. staff's passkeys will give them access.  Software and hardware cannot, in
  31. and of themselves, sustain a given rating (other than D, of course).
  32.  
  33. For instance, the NCSC guidelines indicate that no site participating in
  34. Usenet can claim a security rating; the proof is left as an exercise for the
  35. reader.
  36.  
  37. If you're interested in the NCSC criteria, you should get a set of the 
  38. "Rainbow Series".  While the "Orange Book" is the most widely known, the
  39. other volumes in the set are equally informative.  Here's the list:
  40.  
  41.     -- Department of Defense Trusted Computer System Evaluation Criteria
  42.        (TCSEC), aka the "Orange Book"
  43.     -- Computer Security Subsystem Interpretation of the TCSEC
  44.     -- Trusted Data Base Management System Interpretation of the TCSEC
  45.     -- Trusted Network Interpretation of the TCSEC
  46.     -- Trusted Network Interpretation Environments Guideline -- Guidance
  47.        for Applying the Trusted Network Interpretation
  48.     -- Trusted Unix Working Group (TRUSIX) Rationale for Selecting
  49.        Access Control List Features for the Unix System
  50.     -- Trusted Product Evaulations -- A Guide for Vendors
  51.     -- Computer Security Requirements -- Guidance for Applying the DoD
  52.        TCSEC in Specific Environments
  53.     -- Technical Rationale Behind CSC-STD-003-85: Computer Security
  54.        Requirements
  55.     -- Trusted Product Evaluation Questionnaire
  56.     -- Rating Maintenance Phase -- Program Document
  57.     -- Guidelines for Formal Verification Systems
  58.     -- A Guide to Understanding Audit in Trusted Systems
  59.     -- A Guide to Understanding Trusted Facility Management
  60.     -- A Guide to Understanding Discretionary Access Control in Trusted
  61.        Systems
  62.     -- A Guide to Understanding Configuration Management in Trusted Systems
  63.     -- A Guide to Understanding Design Documentation in Trusted Systems
  64.     -- A Guide to Understanding Trusted Distribution in Trusted Systems
  65.     -- Department of Defense Password Management Guideline
  66.     -- Glossary of Computer Security Terms
  67.  
  68. A complete set may be obtained, at no cost, by contacting:
  69.  
  70.     INFOSEC Awareness Office
  71.     Department of Defense/National Security Agency
  72.     Attn: S332
  73.     9800 Savage Road
  74.     Ft. George G. Meade, MD  20755-6000
  75.  
  76.     Phone: (301) 688-8742
  77.  
  78. If you're serious about security (or just want to get down in the bowels of
  79. the topic), I'd recommend getting this series.  The reading does get a bit
  80. tedious, but you'll develop a keen awareness of security needs/problems.  In
  81. addition, you'll be placed on their mailing list for new volumes in the series,
  82. as well as updates and conference/seminar annoucements.
  83.  
  84. I understand that there is a parallel volume in Great Britain, developed by 
  85. the British analogue of the NCSC; however, I have not seen it.  If anyone 
  86. knows how to obtain a copy (either online or hard copy), please let me know.
  87.  
  88. Wes
  89.  
  90. -- 
  91.  morgan@ms.uky.edu    |Wes Morgan, not speaking for|     ....!ukma!ukecc!morgan
  92.  morgan@engr.uky.edu  |the University of Kentucky's|   morgan%engr.uky.edu@UKCC
  93.  morgan@ie.pa.uky.edu |Engineering Computing Center| morgan@wuarchive.wustl.edu
  94.  
  95.