home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / RED.ZIP / Hacking / Rainbow Books / Red Book.txt
Text File  |  1997-01-24  |  819KB  |  17,873 lines

  1.  
  2.                                                  NCSC-TG-005
  3.                                         Library No. S228,526
  4.                                                    Version 1
  5.  
  6.  
  7.  
  8.  
  9.                           FOREWORD
  10.  
  11.  
  12.  
  13.      This publication is issued  by  the  National  Computer
  14. Security  Center (NCSC) as part of its program to promulgate
  15. technical computer security guidelines. The  interpretations
  16. extend the evaluation classes of the Trusted Systems Evalua-
  17. tion Criteria (DOD 5200.28-STD) to trusted  network  systems
  18. and components.
  19.  
  20.      This document will be used for a period of at least one
  21. year  after  date of signature.  During this period the NCSC
  22. will gain experience using the Trusted  Network  Interpreta-
  23. tion  in several network evaluations.  In addition, the NCSC
  24. will conduct a series of tutorials and workshops to  educate
  25. the   community  on  the  details  of  the  Trusted  Network
  26. Interpretation  and  receive  feedback.   After  this  trial
  27. period, necessary changes to the document will be made and a
  28. revised version issued.
  29.  
  30.      Workshops and tutorials will be open to any  member  of
  31. the network security community interested in providing feed-
  32. back.  Anyone wishing more information, or wishing  to  pro-
  33. vide  comments  on  the  usefulness  or  correctness  of the
  34. Trusted Network Interpretation may contact:  Chief,  Techni-
  35. cal  Guidelines Division, National Computer Security Center,
  36. Ft.  George G. Meade, MD  20755-6000, ATTN: C11.  The  tele-
  37. phone number is (301) 859-4452.
  38.  
  39.  
  40.  
  41.  
  42. ______________________________________________
  43. PATRICK R. GALLAGHER, JR.          31 July 1987
  44. Director
  45. National Computer Security Center
  46.  
  47.  
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54.                        ACKNOWLEDGMENT
  55.                        ______________
  56.  
  57.  
  58.  
  59.  
  60.  
  61.      Acknowledgment is extended to the members of the  Work-
  62. ing  Group  who produced this Interpretation.  Members were:
  63. Alfred Arsenault, National Computer Security Center (Chair);
  64. Dr.  Roger Schell, Gemini Computers; Stephen Walker, Trusted
  65. Information  Systems;  Dr.  Marshall  Abrams,   MITRE;   Dr.
  66. Jonathan  Millen,  MITRE;  Leonard  LaPadula,  MITRE; Robert
  67. Morris, NCSC; and  Jack  Moskowitz,  NCSC.   Also  due  ack-
  68. nowledgement  for  their  many inputs to this interpretation
  69. are Steve Padilla and William Shockley, Gemini Computers.
  70.  
  71.  
  72.  
  73.  
  74.                        Introduction
  75.                        ____________
  76.  
  77.  
  78.  
  79.  
  80.  
  81.  
  82. I.1.  Scope
  83. _ _   _____
  84.  
  85.      Part I of this document provides interpretations of the
  86. Department  of  Defense  Trusted  Computer System Evaluation
  87. Criteria    (TCSEC)    (DOD-5200.28-STD),    for     trusted
  88. computer/communications network systems.  The specific secu-
  89. rity feature, the assurance  requirements,  and  the  rating
  90. structure of the TCSEC are extended to networks of computers
  91. ranging from  isolated  local  area  networks  to  wide-area
  92. internetwork systems.
  93.  
  94.      Part II of this document describes a  number  of  addi-
  95. tional  security  services  (e.g., communications integrity,
  96. denial of service, transmission security) that arise in con-
  97. junction   with   networks.   Those  services  available  in
  98. specific network  offerings,  while  inappropriate  for  the
  99. rigorous  evaluation  applied  to  TCSEC related feature and
  100. assurance requirements, may receive qualitative ratings.
  101.  
  102.      The TCSEC related feature and  assurance  requirements,
  103. and  the  additional  security services described herein are
  104. intended for  the  evaluation  of  trusted  network  systems
  105. designed  to  protect  a range of sensitive information.  As
  106. such,  they  require  that  physical,  administrative,  pro-
  107. cedural,  and  related  protection  measures adequate to the
  108. sensitivity of the information being handled are already  in
  109. place.   It  is  possible,  and  indeed  common practice, to
  110. operate a network in a secure manner at a single system high
  111. sensitivity  level without meeting any trust related feature
  112. or assurance requirements described herein. The  full  range
  113. of physical and administrative security measures appropriate
  114. to the highest sensitivity level of information on the  net-
  115. work  must be in place in order to operate a trusted network
  116. as described in this Interpretation.
  117.  
  118.      It is important to note that this  Interpretation  does
  119. not  describe  all  the  security  requirements  that may be
  120. imposed  on  a  network.   Depending  upon  the   particular
  121. environment,  there may be communications security (COMSEC),
  122. emanations security, physical security, and  other  measures
  123. required.
  124.  
  125.      An  environmental  evaluation  process,  such  as  that
  126. described  in the ``Computer Security Requirements--Guidance
  127. for Applying the DoD TCSEC in Specific Environments''  (CSC-
  128. STD-003-85),  can  be  used  to determine the level of trust
  129. required by specific system environments.  Similar  analyses
  130. are applicable to networks evaluated under these Interpreta-
  131. tions.
  132.  
  133. I.2.  Purpose
  134. _ _   _______
  135.  
  136.      As with the TCSEC itself, this Interpretation has  been
  137. prepared for the following purposes:
  138.  
  139.  
  140. 1.      To provide a standard to manufacturers  as  to  what
  141.         security features and assurance levels to build into
  142.         their new and planned, commercial  network  products
  143.         in  order  to  provide widely available systems that
  144.         satisfy trust requirements  for  sensitive  applica-
  145.         tions
  146.  
  147. 2.      To provide a metric by which to evaluate the  degree
  148.         of  trust that can be placed in a given network sys-
  149.         tem for processing sensitive information
  150.  
  151. 3.      To provide a basis for specifying security  require-
  152.         ments in acquisition specifications.
  153.  
  154.  
  155.      With respect to the second purpose for  development  of
  156. the  criteria, i.e., providing a security evaluation metric,
  157. evaluations can be delineated into two types:  an evaluation
  158. can  be  performed  on  a network product from a perspective
  159. that excludes the application environment, or an  evaluation
  160. can  be done to assess whether appropriate security measures
  161. have been taken to permit the system to be  used  operation-
  162. ally  in a specific environment.  The former type of evalua-
  163. tion is  done  by  the  National  Computer  Security  Center
  164. through the Commercial Product Evaluation Process.
  165.  
  166.      The latter type of evaluation, those done for the  pur-
  167. pose  of  assessing  a  system's  security  attributes  with
  168. respect to a specific operational mission,  is  known  as  a
  169. certification  evaluation.   It  must be understood that the
  170. completion of a formal product evaluation does  not  consti-
  171. tute  certification  or  accreditation  for the system to be
  172. used in any specific application environment.  On  the  con-
  173. trary, the evaluation report only provides a trusted network
  174. system's  evaluation  rating  along  with  supporting   data
  175. describing  the  product  system's  strengths and weaknesses
  176. from a computer security point of view.  The system security
  177. certification  and  the  formal  approval/accreditation pro-
  178. cedure, done in accordance with the applicable  policies  of
  179. the  issuing  agencies, must still be followed before a net-
  180. work can be approved for use in processing or handling clas-
  181. sified information.  Designated Approving Authorities (DAAs)
  182. remain ultimately responsible for specifying the security of
  183. systems they accredit.
  184.  
  185.      This Interpretation can be used directly and indirectly
  186. in the certification process.  Along with applicable policy,
  187. it can be used directly as technical guidance for evaluation
  188. of  the  total system and for specifying system security and
  189. certification requirements for new  acquisitions.   Where  a
  190. system  being  evaluated for certification employs a product
  191. that has undergone a Commercial Product Evaluation,  reports
  192. from that process will be used as input to the certification
  193. evaluation. Technical data will be furnished  to  designers,
  194. evaluators,  and  the DAAs to support their needs for making
  195. decisions.
  196.  
  197.      The  fundamental  computer  security  requirements   as
  198. defined in the TCSEC apply to this Interpretation.
  199.  
  200. I.3.  Background
  201. _ _   __________
  202.  
  203.      The term ``sponsor'' is used throughout  this  document
  204. to  represent  the  individual  or  entity  responsible  for
  205. presenting a component or network system for evaluation. The
  206. sponsor may be a manufacturer, vendor, architect, developer,
  207. program manager, or related entity.
  208.  
  209.      A network system is the entire collection of  hardware,
  210. firmware,  and software necessary to provide a desired func-
  211. tionality.
  212.  
  213.      A component is any part of  a  system  that,  taken  by
  214. itself, provides all or a portion of the total functionality
  215. required of a system.  A component is recursively defined to
  216. be an individual unit, not useful to further subdivide, or a
  217. collection of components up to and including the entire sys-
  218. tem.
  219.  
  220.      Because the term integrity has  been  used  in  various
  221. contexts  to denote specific aspects of an overall issue, it
  222. is important for the reader to  understand  the  context  in
  223. which  the  term is used in this document. Within Part I, as
  224. in the TCSEC itself, the use of this term is limited to  (1)
  225. the correct operation of NTCB hardware/firmware and (2) pro-
  226. tection against  unauthorized  modification  of  labels  and
  227. data.   Specifically,  all  NTCBs  that  support sensitivity
  228. labels (viz., Divisions A and B) must, as  detailed  in  the
  229. Label  Integrity  section  of  the TCSEC, protect the labels
  230. that represent the sensitivity of information (contained  in
  231. objects) and the corresponding authorizations of users (with
  232. subjects as surrogates).  In addition, for  network  systems
  233. with  a defined data integrity policy, the NTCB must control
  234. the accesses of users that modify information-. As  part  of
  235. the  NTCB  itself, such integrity policies will be supported
  236. by access control mechanisms based on the identity of  indi-
  237. viduals  (for  discretionary  integrity)  and/or sensitivity
  238. levels (for mandatory integrity).  In contrast, within  Part
  239. II the term integrity relates to the mechanisms for informa-
  240. tion transfer between distinct components.  This  communica-
  241. tions  integrity includes the issues for correctness of mes-
  242. sage  transmission,  authentication  of  source/destination,
  243. data/control/protocol  communication  field  correctness and
  244. related areas.
  245. _________________________
  246.   - See, for example, K. J. Biba, Integrity  Considera-
  247.                                   _________  _________
  248. tions  for Secure Computer Systems, MTR-3153, The MITRE
  249. _____  ___ ______ ________ _______
  250. Corporation, Bedford, MA, June 1975.
  251.  
  252.  
  253.      In many network environments, encryption  can  play  an
  254. essential role in protecting sensitive information.  In Part
  255. I of this document, encryption is referenced as a basis  for
  256. providing  data  and label integrity assurance.  In Part II,
  257. encryption is described as a tool for protecting  data  from
  258. compromise  or  modification attacks.  Encryption algorithms
  259. and their implementation are outside the scope of this docu-
  260. ment.  This document was prepared from a DoD perspective and
  261. requires NSA approval relative to the use of encryption.  In
  262. other contexts, alternate approval authority may exist.
  263.  
  264.      As with the TCSEC itself, this is a reference  document
  265. and is not intended to be used as a tutorial.  The reader is
  266. assumed to be familiar with  the  background  literature  on
  267. computer security  and  communications  networks=.  Part  II
  268. assumes  a  familiarity with the terminology used within ISO
  269. Security Services documentation.
  270.  
  271.  
  272.  
  273. _________________________
  274.   = See, for example, M. D. Abrams and  H.  J.  Podell,
  275. Tutorial:  Computer and Network Security, IEEE Computer
  276. ________   ________ ___ _______ ________
  277. Society Press, 1987.
  278.   * ISO 7498/Part 2 - Security Architecture, ISO  /  TC
  279.     ___ ____ ____ _   ________ ____________
  280. 97  /  SC  21  / N1528 / WG 1 Ad hoc group on Security,
  281. Project 97.21.18, September 1986.
  282.  
  283.  
  284.  
  285. I.3.1.  Trusted Computer System Evaluation Criteria
  286. _ _ _   _______ ________ ______ __________ ________
  287.  
  288.      The DoD TCSEC was published in December 1985 to provide
  289. a   means  of  evaluating  specific  security  features  and
  290. assurance requirements available in  ``trusted  commercially
  291. available   automatic   data   processing  (ADP)  systems,''
  292. referred to in this document as Automated Information System
  293. (AIS).   The rating scale of the TCSEC extends from a rating
  294. which represents a minimally useful level of  trust  to  one
  295. for  ``state  of  the art'' features and assurance measures.
  296. These technical criteria guide system builders  and  evalua-
  297. tors in determining the level of trust required for specific
  298. systems.   When  combined  with  environmental   guidelines,
  299. minimum  security  protection  requirements, and appropriate
  300. accreditation decisions for specific  installations  can  be
  301. determined.   The  philosophy  of protection embodied in the
  302. TCSEC requires that the  access  of  subjects  (i.e.,  human
  303. users or processes acting on their behalf) to objects (i.e.,
  304. containers of sensitive information) be mediated  in  accor-
  305. dance with an explicit and well defined security policy.
  306.  
  307.      In order to ensure strict compatibility  between  TCSEC
  308. evaluated  AIS  and  networks  and  their components, and to
  309. avoid the possible evolution of incompatible evaluation cri-
  310. teria,  Part  I  of  this  document  has  been  specifically
  311. prepared as an INTERPRETATION of the TCSEC for networks.  It
  312. is  based  entirely on the principles of the TCSEC, uses all
  313. TCSEC basic definitions, and introduces  new  concepts  only
  314. where essential to understanding the TCSEC in a network con-
  315. text.  Unless otherwise stated, the TCSEC requirements apply
  316. as written.  The approach of interpreting the TCSEC for net-
  317. works in general has already been successfully employed in a
  318. number of specific complex network and AIS applications.
  319.  
  320.      There are several security policy models  that  may  be
  321. used  with the reference monitor concept.  The Bell-LaPadula
  322. model is commonly used but is not mandated.   Similarly  for
  323. integrity policy, models such as Biba have been proposed but
  324. are not  mandated.   For  this  network  interpretation,  no
  325. specific  access  control policy is required; however, it is
  326. necessary that either a secrecy policy, an integrity policy,
  327. or  both be specified for enforcement by the reference moni-
  328. tor.
  329.  
  330.      In the context of network systems, there are  a  number
  331. of  additional  security services that do not normally arise
  332. in individual AIS, and are not appropriate to  the  detailed
  333. feature  and  assurance  evaluation prescribed by the TCSEC.
  334. These security services, which may or may not  be  available
  335. in  specific  network offerings, include provisions for com-
  336. munications security, denial of service, transmission  secu-
  337. rity,  and supportive primitives, such as encryption mechan-
  338. isms and protocols.  Part  II  of  this  document  describes
  339. these  services and provides a qualitative means of evaluat-
  340. ing their effectiveness when provided.
  341.  
  342.      Evaluation of Part II  offered  services  is  dependent
  343. upon  the  results  of  the  system's  Part  I evaluation or
  344. component's Appendix A evaluation.   A  Part  II  evaluation
  345. rating of good in a component or system which has a low Part
  346. I trust rating is of limited value.  The sponsor must  iden-
  347. tify which security services are offered by a system or com-
  348. ponent for evaluation against Part II.  The evaluators  will
  349. normally give a none, minimum, fair or good rating for those
  350. services offered.  In some cases, a rating of present is all
  351. that  can be given or a quantitative measure of strength may
  352. be used as the basis for rating.  A  not  applicable  rating
  353. will be given for services not offered by the product.  Part
  354. II services may be provided by mechanisms outside the NTCB.
  355.  
  356.  
  357. I.3.2.  Two Network Views
  358. _ _ _   ___ _______ _____
  359.  
  360.      DoD Directive 5200.28 (and similar  policies  elsewhere
  361. in  government) establishes the concept of a DAA, an indivi-
  362. dual who is responsible for approving the use of an AIS  for
  363. processing  classified  information.   For  stand-alone AIS,
  364. this approval process and the technical advisory role to the
  365. DAA  provided  by  the  TCSEC are well understood.  The same
  366. approval process applies to networks of AIS and plays a  key
  367. role  in  determining how and when networks can be evaluated
  368. using this Interpretation.
  369.  
  370.      Depending upon the operational  and  technical  charac-
  371. teristics  of  the  environment  in  which a network exists,
  372. either of two views for accreditation  and  evaluation  pur-
  373. poses  applies:   as  a  collection of two or more intercon-
  374. nected separately accredited AIS or as a single unified sys-
  375. tem  the security accreditation of which is the responsibil-
  376. ity of a single authority.
  377.  
  378.      The security feature and assurance  requirements  of  a
  379. specified  network, and hence its suitability for evaluation
  380. under this Interpretation, is greatly impacted by which view
  381. of the network is appropriate.
  382.  
  383. I.3.2.1.  Interconnected Accredited AIS View
  384. _ _ _ _   ______________ __________ ___ ____
  385.  
  386.      The interconnected accredited AIS  view  is  an  opera-
  387. tional perspective that recognizes that parts of the network
  388. may  be  independently  created,  managed,  and  accredited.
  389. Where  different accrediting jurisdictions are involved, the
  390. joint approval process is required, describing the  handling
  391. practices  and  classification levels that will be exchanged
  392. between the components involved.
  393.  
  394.      Interconnected accredited AIS consist of multiple  sys-
  395. tems  (some of which may be trusted) that have been indepen-
  396. dently assigned operational sensitivity ranges (the  highest
  397. and  lowest  sensitivity  levels  of information that may be
  398. simultaneously processed on that system).  In this view, the
  399. individual  AIS  may be thought of as ``devices'' with which
  400. neighboring systems can send and receive information.   Each
  401. AIS  is accredited to handle sensitive information at a sin-
  402. gle level or over a range  between  a  minimum  and  maximum
  403. level.
  404.  
  405.      The  range  of  sensitive  information  that   may   be
  406. exchanged  between  two  such AIS is a range, agreed upon by
  407. each system's approving authorities, which cannot exceed the
  408. maximum  sensitivity  levels  in common between the two sys-
  409. tems.
  410.  
  411.      Because of the complex structure of a network  consist-
  412. ing  of interconnected accredited AIS, it may not be practi-
  413. cal to evaluate such a network using this Interpretation  or
  414. to  assign  it  a  trusted system rating.  In this case, the
  415. accreditor is forced to accept the  risk  of  assessing  the
  416. security of the network without the benefit of an evaluation
  417. against the principles of the TCSEC as interpreted in Part I
  418. of  the  document.   Appendix C describes the rules for con-
  419. necting separately accredited AIS and the  circumstances  in
  420. which these rules apply.
  421.  
  422. I.3.2.2.  Single Trusted System View
  423. _ _ _ _   ______ _______ ______ ____
  424.  
  425.      The policy  enforcement  by  trusted  components  in  a
  426. ``single  trusted  system'' exhibits a common level of trust
  427. throughout.  A single trusted system is accredited as a sin-
  428. gle  entity  by a single accrediting authority.  (In certain
  429. circumstances where a system will process  information  from
  430. multiple   sensitive  sources,  more  then  one  accrediting
  431. authority may be involved, but their responsibility will  be
  432. for  accrediting the whole system as a single entity for use
  433. processing the information for which they  have  authority.)
  434. Networks  such  as  these  can  be  evaluated  against  this
  435. Interpretation and given a rating  compatible  with  trusted
  436. AIS evaluated by the TCSEC itself.
  437.  
  438.      A ``single trusted system'' network implements a refer-
  439. ence monitor to enforce the access of subjects to objects in
  440. accordance with an explicit and well defined  network  secu-
  441. rity  policy.   The  network  has a single trusted computing
  442. base, referred to as  the  Network  Trusted  Computing  Base
  443. (NTCB),  which  is partitioned (see section I.4.2) among the
  444. network components in a manner that ensures the overall net-
  445. work security policy is enforced by the network as a whole.
  446.  
  447.      Every  component  that  is  trusted  must   enforce   a
  448. component-level security policy that may contain elements of
  449. the  overall  network  security  policy.  The  sum  of   all
  450. component-level  security  policies must be shown to enforce
  451. the overall network security policy.
  452.  
  453.      There is no requirement that  every  component  in  the
  454. network  have  an NTCB partition nor that any such partition
  455. comprise a complete TCB (e.g., a network component could  be
  456. dedicated  to  supporting  the  audit function and implement
  457. only that portion of the NTCB). Interaction among NTCB  par-
  458. titions  shall  be via communications channels, operating at
  459. either single or multiple levels as appropriate.   The  net-
  460. work security architect must identify how the NTCB is parti-
  461. tioned and how  all  the  trusted  system  requirements  are
  462. satisfied.
  463.  
  464.      A given component that does not enforce the full imple-
  465. mentation  of  all  polices (i.e., mandatory access control,
  466. discretionary access control, identification/ authentication
  467. and  audit) must be evaluated as a component as specified in
  468. Appendix A.  For example, a network architecture  that  does
  469. not operate above Level 3 of the ISO protocol model and typ-
  470. ically does not enforce discretionary access control must be
  471. evaluated  as a component under Appendix A and not as a full
  472. system.
  473.  
  474. I.3.2.2.1.  Connection-Oriented Abstraction
  475. _ _ _ _ _   __________ ________ ___________
  476.  
  477.      In many networking environments,  the  overall  network
  478. security  policy  includes  controlling the establishment of
  479. authorized connections across the network.  The access  con-
  480. trol mediation performed by the components of these networks
  481. enforces the establishment of connections between host  com-
  482. puters  on  the  network  in  accordance  with  some form of
  483. authorized connection  list.   While  a  connection-oriented
  484. policy  may be suitable from an overall network perspective,
  485. specifying  such  a  policy  in  terms  of  component  level
  486. abstractions  may  be  difficult but is required in order to
  487. evaluate the network.
  488.  
  489.      Individual trusted  network  components  may  employ  a
  490. local mechanism to enforce mediation only between local sub-
  491. jects and objects, as described in the TCSEC.  Some of these
  492. components  may have no direct involvement with the enforce-
  493. ment of network connections.  Others, however, will have  an
  494. additional higher level network connection enforcement role.
  495. This higher level  connection-oriented  abstraction  may  be
  496. enforced  solely  within  an  individual component or may be
  497. distributed across many components (e.g., in the  end-to-end
  498. encryption case, cryptographic front end devices enforce the
  499. network connection authorization decisions made by an access
  500. control/key management center.)
  501.  
  502.      With the connection-oriented abstraction, the  role  of
  503. the  network  as a whole in controlling information flow may
  504. be more easily understood, but there may be no simple way to
  505. extend  this  abstraction  to the reference monitor require-
  506. ments of individual components in the network.  The  overall
  507. network  security policy must be decomposed into policy ele-
  508. ments that are allocated to appropriate components and  used
  509. as  the  basis  for  security  policy  models for these com-
  510. ponents.
  511.  
  512.      The reference  monitor  subject/object  definitions  as
  513. given in the TCSEC represent the fundamental security policy
  514. enforcement at the individual component level  but  may  not
  515. directly describe the overall network security policy issues
  516. such as the network's connection  policy.   The  connection-
  517. oriented  abstraction  may be essential to understanding the
  518. overall network security policy.  The  network  architecture
  519. must demonstrate the linkage between the connection-oriented
  520. abstraction and its realization in the individual components
  521. of the network.
  522.  
  523. I.3.2.2.2.  Subjects and Objects
  524. _ _ _ _ _   ________ ___ _______
  525.  
  526.      For purposes of this  trusted  network  interpretation,
  527. the  terms  ``subject'' and ``object'' are defined as in the
  528. TCSEC.
  529.  
  530.      The subjects of a trusted network  commonly  fall  into
  531. two  classes:   those  that serve as direct surrogates for a
  532. user (where ``user'' is synonymous  with  ``human  being''),
  533. and  ``internal''  subjects  that provide services for other
  534. subjects--typically  representing  software  process  rather
  535. than being made part of each user surrogate subject.
  536.  
  537.      There is a set of TCSEC requirements that are  directed
  538. at  users,  rather  than  subjects.  In the network context,
  539. services used to facilitate communications between users and
  540. AIS (e.g., protocol handlers) are usually provided by inter-
  541. nal subjects.  Some components that provide only  communica-
  542. tions facilitating services have only internal subjects.
  543.  
  544.      Examples of ``single trusted system'' networks or  com-
  545. ponents  could  include- packet-switched communications sub-
  546. networks (as found in the Defense Data Network  (DDN),  end-
  547. to-end (or host-to-host) encryption systems (such as used in
  548. Blacker or ANSI X9.17  implementations),  application  level
  549. networks or closed user community systems (such as the Inter
  550. Service/Agency Automated Message Processing Exchange [I  S/A
  551. AMPE]  and  SACDIN  Programs),  local area networks, digital
  552. PABX systems, private switched networks  (such  as  circuit-
  553. switched telecommunications systems), future Integrated Ser-
  554. vices Digital Network (ISDN) implementations, and a  Virtual
  555. Machine  Monitor (VMM) on a single computer when analyzed as
  556. a network.
  557.  
  558. I.4.  Evaluation of Networks
  559. _ _   __________ __ ________
  560.  
  561.      The  TCSEC  provides  a  means   for   evaluating   the
  562. trustworthiness  of  a  system  and  assigning an evaluation
  563. class based on its technical properties - independent of the
  564. particular  use  for or the sensitivity of information being
  565. processed on the system.  In this Interpretation, a  network
  566. as  a  whole  with  its various interconnected components is
  567. recognized as a special instance of a trusted  system.   The
  568. designer  of  a trusted system is unconstrained by the TCSEC
  569. on design and implementation choices  as  long  as  for  the
  570. _________________________
  571.   - Examples are employed throughout this  document  to
  572. clarify the concepts presented.  The naming of an exam-
  573. ple implies no judgement of the product or system named
  574. nor on its suitability for any particular purpose.
  575.  
  576.  
  577.  
  578. system as a whole there is a clearly distinguished TCB  with
  579. a  definitive  protection domain boundary.  The features and
  580. assurance measures provided within the  TCB  perimeter  will
  581. determine  the evaluation class.  The network must be viewed
  582. as PARTITIONED into  a  set  of  interconnected  components,
  583. where  each  component may have an independent ``NTCB parti-
  584. tion.''  All interaction  between  such  trusted  components
  585. must  be  via  ``communication  channels or I/O devices'' as
  586. defined by the TCSEC.  For Division A and B  networks  these
  587. will generally be ``multilevel devices.''
  588.  
  589. I.4.1.  Network Security Architecture and Design
  590. _ _ _   _______ ________ ____________ ___ ______
  591.  
  592.      Any network evaluated under  this  Interpretation  must
  593. possess a coherent Network Security Architecture and Design.
  594. (Interconnection of components that do not adhere to such  a
  595. Network  Security Architecture is addressed in the Intercon-
  596. nection Rules, Appendix C.)  The Network Security  Architec-
  597. ture  must  address  the  security-relevant policies, objec-
  598. tives, and protocols.  The Network Security Design specifies
  599. the  interfaces  and services that must be incorporated into
  600. the network so that it can be evaluated as a trusted entity.
  601. There  may  be  multiple  designs  that  conform to the same
  602. architecture but which are more  or  less  incompatible  and
  603. non-interoperable   (except   through   the  Interconnection
  604. Rules).  Security related mechanisms that  require  coopera-
  605. tion  among  components are specified in the design in terms
  606. of their visible interfaces; mechanisms which have no  visi-
  607. ble  interfaces  are  not specified in this document but are
  608. left as implementation decisions.
  609.  
  610.      The Network Security Architecture and  Design  must  be
  611. available  from the network sponsor before evaluation of the
  612. network, or any component, can be undertaken.   The  Network
  613. Security  Architecture  and Design must be sufficiently com-
  614. plete, unambiguous, and free from obvious  flaws  to  permit
  615. the  construction  or assembly of a trusted network based on
  616. the structure it specifies.
  617.  
  618.      When a component is being  designed  or  presented  for
  619. evaluation,  or  when a network assembled from components is
  620. assembled or presented  for  evaluation,  there  must  be  a
  621. priori  evidence  that the Network Security Architecture and
  622. Design are satisfied.  That is, the components are  assembl-
  623. able into a network that conforms in every way with the Net-
  624. work Security Architecture and Design to produce a  physical
  625. realization  which is trusted to the extent that its evalua-
  626. tion indicates.
  627.  
  628.      In order for a trusted network to be  constructed  from
  629. components  that  can  be  built  independently, the Network
  630. Security Architecture and Design must completely and unambi-
  631. guously  define  the security functionality of components as
  632. well as the interfaces between  or  among  components.   The
  633. Network  Security  Architecture and Design must be evaluated
  634. to determine that a network constructed  to  its  specifica-
  635. tions  will  in  fact  be  trusted,  that  is,  it  will be
  636. evaluatable under these Interpretations.
  637.  
  638. I.4.2.  The Partitioned NTCB
  639. _ _ _   ___ ___________ ____
  640.  
  641.      Like a stand-alone  system,  the  network  as  a  whole
  642. possesses  a single TCB, referred to as the NTCB, consisting
  643. of the totality of security-relevant portions  of  the  net-
  644. work.   But,  unlike  a  stand-alone  system, the design and
  645. evaluation of the network rests on an understanding  of  how
  646. the  security  mechanisms  are  distributed and allocated to
  647. various components, in such a way that the  security  policy
  648. is  supported  reliably in spite of (1) the vulnerability of
  649. the communication paths and (2) the concurrent, asynchronous
  650. operation of the network components.
  651.  
  652.      Some distributed systems have reliable, protected  com-
  653. munication  paths  and  thus  satisfy only the first charac-
  654. teristic of  a  network:   the  division  into  concurrently
  655. operating,  communicating  processing  components.  Although
  656. certain interpretations  in  this  Interpretation  will  not
  657. apply to them, it may be beneficial to employ this Interpre-
  658. tation to evaluate  them,  and  to  take  advantage  of  the
  659. interpretations  relating to component properties and inter-
  660. faces.
  661.  
  662.      An NTCB that is distributed over a  number  of  network
  663. components  is  referred to as partitioned, and that part of
  664. the NTCB residing in a given component is referred to as  an
  665. NTCB  partition.   A network host may possess a TCB that has
  666. previously been evaluated as a stand-alone system.   Such  a
  667. TCB does not necessarily coincide with the NTCB partition in
  668. the host, in the sense of having the same  security  perime-
  669. ter.  Whether it does or not depends on whether the security
  670. policy for which the host TCB was evaluated  coincides  with
  671. the  network security policy, to the extent that it is allo-
  672. cated to that host.
  673.  
  674.      Even when a network host has a TCB that has been previ-
  675. ously  evaluated  at a given class, and the host's TCB coin-
  676. cides with the host's NTCB partition, there is  still  no  a
  677. priori relationship between the evaluation class of the host
  678. and the evaluation class of the network.  Some examples will
  679. be given below to illustrate this point.
  680.  
  681.      To evaluate a network at a given class,  each  require-
  682. ment  in Part I for that class must be satisfied by the net-
  683. work as a whole.  It is also  necessary  to  understand  how
  684. each  requirement  is  allocated  among  the  network's com-
  685. ponents.  Some components, such as the  hosts,  may  satisfy
  686. the  entire  security  policy  in isolation; others, such as
  687. packet switches and access control centers,  may  have  more
  688. specialized functions that satisfy only a subset of the net-
  689. work security policy. In addition, distinct subsets  of  the
  690. network  security  policy may be allocated to different net-
  691. work components.
  692.  
  693.      Forcing every component to satisfy a  specific  Part  I
  694. requirement  is  neither  necessary nor sufficient to ensure
  695. that the network as a whole meets that requirement.
  696.  
  697.      To show that it is not sufficient, consider two trusted
  698. multilevel AIS that export and import labeled information to
  699. and from each other over a direct connection.  Both  satisfy
  700. the  Label Integrity requirement that a sensitivity label be
  701. accurately and unambiguously associated with exported  data.
  702. If they were to have different, incompatible label encodings
  703. for the same sensitive information, the network as  a  whole
  704. would fail to satisfy the label integrity requirement.  As a
  705. result, these Interpretations require at the  B1  level  and
  706. above  that  there be uniform labeling of sensitive informa-
  707. tion throughout the network.
  708.  
  709.      To show that it is not necessary, consider  the  Manda-
  710. tory  Access  Control  requirement  that at least two sensi-
  711. tivity levels be supported.  Suppose that the  network  con-
  712. sists  of  a number of untrusted hosts that are incapable of
  713. maintaining labels and are operating at different levels  in
  714. a  single-level  mode.   If  they are interconnected through
  715. suitable multilevel interface units, the network as a  whole
  716. can support the ``two or more levels'' requirement.
  717.  
  718.      The allocation of a requirement to a component does not
  719. simply  mean that the component satisfies the requirement in
  720. isolation, but includes the possibility that it  depends  on
  721. other  components  to  satisfy  the  requirement locally, or
  722. cooperates with other components to ensure that the require-
  723. ment is satisfied elsewhere in the network.
  724.  
  725.      Taken together, these examples illustrate the essential
  726. role  of an overall network security architecture in design-
  727. ing and evaluating a trusted network.
  728.  
  729. I.4.3.  Component Evaluation
  730. _ _ _   _________ __________
  731.  
  732.      Because network components are often supplied  by  dif-
  733. ferent  vendors  and are designed to support standardized or
  734. common functions  in  a  variety  of  networks,  significant
  735. advantages  can accrue from a procedure for evaluating indi-
  736. vidual components.  The purpose of component  evaluation  is
  737. to  aid  both the network designer and the evaluator by per-
  738. forming the evaluation process once and reusing the  results
  739. whenever that component is incorporated into a network.
  740.  
  741.      There are four types of security policies that  may  be
  742. supported by a network component:
  743.  
  744.      1.   Mandatory Access Control
  745.  
  746.      2.   Discretionary Access Control
  747.  
  748.      3.   Supportive policies (e.g., Authentication, Audit)
  749.  
  750.      4.   Application policies (e.g., the  policy  supported
  751.           by  a DBMS that is distinct from that supported by
  752.           the underlying system)
  753.  
  754. Application level policies are user dependent and  will  not
  755. be considered further in these Interpretations.
  756.  
  757.      For a component to support a policy such  as  Mandatory
  758. Access  Controls,  it must support all the required features
  759. for that policy with all of the required assurances  of  the
  760. given class.
  761.  
  762. I.5.  Structure of the Document
  763. _ _   _________ __ ___ ________
  764.  
  765.      The remainder of this  document  is  divided  into  two
  766. parts, three appendices, a list of acronyms, a glossary, and
  767. a list of references.  Part I presents TCSEC statements  and
  768. detailed  interpretations,  which  together  constitute  the
  769. requirements against which networks will be  evaluated;  and
  770. rationale  for the network interpretation of the TCSEC.  The
  771. TCSEC statement applies as modified by  the  Interpretation.
  772. Part  II  is  a  description  of other Security Services not
  773. covered in the TCSEC interpretation which may be  applicable
  774. to  networks. Appendix A describes the evaluation of network
  775. components. Appendix B describes the rationale  for  network
  776. partitioning   into   individual   components.   Appendix  C
  777. describes the interconnect rules for linking  interconnected
  778. accredited AIS.
  779.  
  780.  
  781.               Part I:  Interpretations of the 
  782.               ____ _   _______________ __ ___ 
  783.  
  784.         Trusted Computer System Evaluation Criteria 
  785.         _______ ________ ______ __________ ________ 
  786.  
  787.  
  788. Highlighting (ALL CAPS) is used in Part I to indicate criteria
  789. not contained  in a lower class or changes and additions to
  790. already defined criteria.  Where there is no highlighting, 
  791. requirements  have been carried over from lower classes without
  792. addition or modification. 
  793.  
  794.  
  795.             1.0 DIVISION D:  MINIMAL PROTECTION 
  796.             _ _ ________ _   _______ __________ 
  797.  
  798.  
  799. This division contains only one class.  It is  reserved  for 
  800. those systems that have been evaluated but that fail to meet 
  801. the requirements for a higher evaluation class. 
  802.  
  803.  
  804.  
  805.  
  806.          2.0 DIVISION C:  DISCRETIONARY PROTECTION 
  807.          _ _ ________ _   _____________ __________ 
  808.  
  809.  
  810. Classes in this division provide  for  discretionary  (need- 
  811. to-know)  protection  and,  through  the  inclusion of audit 
  812. capabilities, for accountability of subjects and the actions 
  813. they initiate. 
  814.  
  815.  
  816.  
  817.      2.1 CLASS (C1): DISCRETIONARY SECURITY PROTECTION 
  818.      _ _ _____  __   _____________ ________ __________ 
  819.  
  820.  
  821.      THE NETWORK TRUSTED COMPUTING BASE  (NTCB)  OF  A 
  822.      CLASS  (C1) NETWORK SYSTEM NOMINALLY SATISFIES THE 
  823.      DISCRETIONARY SECURITY REQUIREMENTS  BY  PROVIDING 
  824.      SEPARATION  OF  USERS  AND  DATA.  IT INCORPORATES 
  825.      SOME FORM OF CREDIBLE CONTROLS CAPABLE OF  ENFORC- 
  826.      ING  ACCESS  LIMITATIONS  ON  AN INDIVIDUAL BASIS, 
  827.      I.E., OSTENSIBLY SUITABLE FOR ALLOWING USERS TO BE 
  828.      ABLE TO PROTECT PRIVATE OR PROJECT INFORMATION AND 
  829.      TO KEEP OTHER USERS FROM ACCIDENTALLY  READING  OR 
  830.      DESTROYING THEIR DATA.  THE CLASS (C1) ENVIRONMENT 
  831.      IS EXPECTED TO BE ONE OF  COOPERATING  USERS  PRO- 
  832.      CESSING  DATA AT THE SAME LEVEL(S) OF SENSITIVITY. 
  833.      THE FOLLOWING ARE MINIMAL REQUIREMENTS FOR SYSTEMS 
  834.      ASSIGNED A CLASS (C1) RATING. 
  835.             
  836.  
  837. 2.1.1 Security Policy 
  838.      
  839.  
  840. + Statement from DoD 5200.28-STD 
  841.  
  842. Implied from the Introduction to the TCSEC. 
  843.  
  844.  
  845. + Interpretation 
  846.  
  847.      THE NETWORK SPONSOR SHALL DESCRIBE THE OVERALL  NETWORK 
  848. SECURITY  POLICY  ENFORCED  BY  THE NTCB. AT A MINIMUM, THIS 
  849. POLICY SHALL INCLUDE THE DISCRETIONARY REQUIREMENTS APPLICA- 
  850. BLE  TO THIS CLASS.  THE POLICY MAY REQUIRE DATA SECRECY, OR 
  851. DATA INTEGRITY, OR BOTH.  THE POLICY SHALL INCLUDE A DISCRE- 
  852. TIONARY  POLICY  FOR  PROTECTING  THE INFORMATION BEING PRO- 
  853. CESSED BASED ON THE AUTHORIZATIONS OF  USERS  OR  GROUPS  OF 
  854. USERS.   THIS ACCESS CONTROL POLICY STATEMENT SHALL DESCRIBE 
  855. THE REQUIREMENTS ON THE NETWORK TO PREVENT OR DETECT  "READ- 
  856. ING  OR  DESTROYING"  SENSITIVE  INFORMATION BY UNAUTHORIZED 
  857. USERS OR ERRORS. UNAUTHORIZED USERS INCLUDE BOTH THOSE  THAT 
  858. ARE  NOT  AUTHORIZED TO USE THE NETWORK AT ALL (E.G., A USER 
  859. ATTEMPTING TO USE A PASSIVE OR ACTIVE WIRE TAP) OR A LEGITI- 
  860. MATE  USER  OF THE NETWORK WHO IS NOT AUTHORIZED TO ACCESS A 
  861. SPECIFIC PIECE OF INFORMATION BEING PROTECTED. 
  862.       
  863.      NOTE THAT "USERS" DOES NOT INCLUDE "OPERATORS," "SYSTEM 
  864. PROGRAMMERS," "TECHNICAL CONTROL OFFICERS," "SYSTEM SECURITY 
  865. OFFICERS," AND OTHER SYSTEM  SUPPORT  PERSONNEL.   THEY  ARE 
  866. DISTINCT  FROM USERS AND ARE SUBJECT TO THE TRUSTED FACILITY 
  867. MANUAL AND THE SYSTEM ARCHITECTURE REQUIREMENTS.  SUCH INDI- 
  868. VIDUALS MAY CHANGE THE SYSTEM PARAMETERS OF THE NETWORK SYS- 
  869. TEM, FOR EXAMPLE, BY DEFINING MEMBERSHIP OF A GROUP.   THESE 
  870. INDIVIDUALS MAY ALSO HAVE THE SEPARATE ROLE OF USERS. 
  871.  
  872.  
  873.         SECRECY POLICY: THE NETWORK SPONSOR SHALL DEFINE THE 
  874.         FORM  OF  THE  DISCRETIONARY  SECRECY POLICY THAT IS 
  875.         ENFORCED IN  THE  NETWORK  TO  PREVENT  UNAUTHORIZED 
  876.         USERS   FROM   READING   THE  SENSITIVE  INFORMATION 
  877.         ENTRUSTED TO THE NETWORK. 
  878.   
  879.  
  880.         DATA INTEGRITY POLICY:  THE  NETWORK  SPONSOR  SHALL 
  881.         DEFINE THE DISCRETIONARY INTEGRITY POLICY TO PREVENT 
  882.         UNAUTHORIZED USERS FROM  MODIFYING,  VIZ.,  WRITING, 
  883.         SENSITIVE   INFORMATION.   THE  DEFINITION  OF  DATA 
  884.         INTEGRITY PRESENTED BY THE NETWORK SPONSOR REFERS TO 
  885.         THE  REQUIREMENT  THAT  THE INFORMATION HAS NOT BEEN 
  886.         SUBJECTED TO UNAUTHORIZED MODIFICATION IN  THE  NET- 
  887.         WORK. 
  888.          
  889.  
  890. + Rationale 
  891.  
  892.      THE WORD "SPONSOR" IS USED  IN  PLACE  OF  ALTERNATIVES 
  893. (SUCH   AS   "VENDOR,"   "ARCHITECT,"   "MANUFACTURER,"  AND 
  894. "DEVELOPER") BECAUSE THE ALTERNATIVES  INDICATE  PEOPLE  WHO 
  895. MAY NOT BE AVAILABLE, INVOLVED, OR RELEVANT AT THE TIME THAT 
  896. A NETWORK SYSTEM IS PROPOSED FOR EVALUATION. 
  897.        
  898.      A TRUSTED NETWORK IS ABLE TO CONTROL BOTH  THE  READING 
  899. AND  WRITING  OF  SHARED  SENSITIVE INFORMATION.  CONTROL OF 
  900. WRITING IS USED TO PROTECT AGAINST DESTRUCTION  OF  INFORMA- 
  901. TION. A NETWORK NORMALLY IS EXPECTED TO HAVE POLICY REQUIRE- 
  902. MENTS TO PROTECT BOTH  THE  SECRECY  AND  INTEGRITY  OF  THE 
  903. INFORMATION  ENTRUSTED TO IT.  IN A NETWORK THE INTEGRITY IS 
  904. FREQUENTLY AS IMPORTANT OR MORE IMPORTANT THAN  THE  SECRECY 
  905. REQUIREMENTS.  THEREFORE THE SECRECY AND/OR INTEGRITY POLICY 
  906. TO BE ENFORCED BY THE NETWORK MUST BE STATED FOR  EACH  NET- 
  907. WORK  REGARDLESS OF ITS EVALUATION CLASS. THE ASSURANCE THAT 
  908. THE POLICY  IS  FAITHFULLY  ENFORCED  IS  REFLECTED  IN  THE 
  909. EVALUATION CLASS OF THE NETWORK. 
  910.      
  911.  
  912.      THIS CONTROL OVER MODIFICATION  IS  TYPICALLY  USED  TO 
  913. PROTECT  INFORMATION  SO  THAT  IT MAY BE RELIED UPON AND TO 
  914. CONTROL THE POTENTIAL HARM THAT WOULD RESULT IF THE INFORMA- 
  915. TION  WERE  CORRUPTED.   THE OVERALL NETWORK POLICY REQUIRE- 
  916. MENTS FOR INTEGRITY INCLUDES THE PROTECTION  FOR  DATA  BOTH 
  917. WHILE  BEING  PROCESSED  IN  A  COMPONENT  AND  WHILE  BEING 
  918. TRANSMITTED IN  THE  NETWORK.   THE  ACCESS  CONTROL  POLICY 
  919. ENFORCED  BY  THE  NTCB RELATES TO THE ACCESS OF SUBJECTS TO 
  920. OBJECTS WITHIN  EACH  COMPONENT.   COMMUNICATIONS  INTEGRITY 
  921. ADDRESSED  WITHIN PART II RELATES TO INFORMATION WHILE BEING 
  922. TRANSMITTED. 
  923.  
  924.  
  925.  
  926. 2.1.1.1 Discretionary Access Control 
  927.  
  928. + Statement from DoD 5200.28-STD 
  929.  
  930. THE TCB SHALL DEFINE AND CONTROL ACCESS BETWEEN NAMED  USERS 
  931. AND NAMED OBJECTS (E.G., FILES AND PROGRAMS) IN THE ADP SYS- 
  932. TEM.  THE  ENFORCEMENT  MECHANISM  (E.G.,  SELF/GROUP/PUBLIC 
  933. CONTROLS, ACCESS CONTROL LISTS) SHALL ALLOW USERS TO SPECIFY 
  934. AND CONTROL SHARING OF THOSE OBJECTS BY NAMED INDIVIDUALS OR 
  935. DEFINED GROUPS OF INDIVIDUALS, OR BOTH. 
  936.        
  937.  
  938. +  Interpretation 
  939.  
  940.      THE DISCRETIONARY ACCESS CONTROL (DAC) MECHANISM(S) MAY 
  941. BE  DISTRIBUTED  OVER  THE PARTITIONED NTCB IN VARIOUS WAYS. 
  942. SOME PART, ALL, OR NONE OF THE DAC MAY BE IMPLEMENTED  IN  A 
  943. GIVEN  COMPONENT OF THE NETWORK SYSTEM.  IN PARTICULAR, COM- 
  944. PONENTS THAT SUPPORT ONLY INTERNAL SUBJECTS (I.E., THAT HAVE 
  945. NO  SUBJECTS ACTING AS DIRECT SURROGATES FOR USERS), SUCH AS 
  946. A PUBLIC NETWORK PACKET SWITCH, MIGHT NOT IMPLEMENT THE  DAC 
  947. MECHANISM(S)  DIRECTLY  (E.G.,  THEY ARE UNLIKELY TO CONTAIN 
  948. ACCESS CONTROL LISTS). 
  949.    
  950.      IDENTIFICATION OF USERS BY GROUPS MAY  BE  ACHIEVED  IN 
  951. VARIOUS  WAYS  IN  THE NETWORKING ENVIRONMENT.  FOR EXAMPLE, 
  952. THE NETWORK IDENTIFIERS (E.G., INTERNET ADDRESSES) FOR VARI- 
  953. OUS  COMPONENTS (E.G., HOSTS, GATEWAYS) CAN BE USED AS IDEN- 
  954. TIFIERS OF GROUPS OF INDIVIDUAL USERS (E.G., "ALL  USERS  AT 
  955. HOST A," "ALL USERS OF NETWORK Q") WITHOUT EXPLICIT IDENTIF-
  956. ICATION OF INDIVIDUAL USERS, NOR EVEN AN EXPLICIT NUMBER  OF 
  957. USERS IMPLIED), IF THIS IS CONSISTENT WITH THE NETWORK SECU- 
  958. RITY POLICY. 
  959.  
  960.      FOR NETWORKS, INDIVIDUAL HOSTS WILL IMPOSE NEED-TO-KNOW 
  961. CONTROLS OVER THEIR USERS - MUCH LIKE (IN FACT, PROBABLY THE 
  962. SAME) CONTROLS USED WHEN THERE IS NO NETWORK CONNECTION. 
  963.  
  964.      WHEN GROUP IDENTIFIERS ARE ACCEPTABLE FOR  ACCESS  CON- 
  965. TROL,  THE IDENTIFIER OF SOME OTHER HOST MAY BE EMPLOYED, TO 
  966. ELIMINATE THE MAINTENANCE THAT WOULD BE REQUIRED IF  INDIVI- 
  967. DUAL IDENTIFICATION OF REMOTE USERS WAS EMPLOYED. 
  968.  
  969.      THE DAC MECHANISM OF A NTCB  PARTITION  MAY  BE  IMPLE- 
  970. MENTED  AT  THE INTERFACE OF THE REFERENCE MONITOR OR MAY BE 
  971. DISTRIBUTED IN SUBJECTS THAT ARE PART OF  THE  NTCB  IN  THE 
  972. SAME  OR  DIFFERENT COMPONENT. THE REFERENCE MONITOR MANAGES 
  973. ALL THE PHYSICAL RESOURCES  OF  THE  SYSTEM  AND  FROM  THEM 
  974. CREATES THE ABSTRACTION OF SUBJECTS AND OBJECTS THAT IT CON- 
  975. TROLS. SOME OF THESE SUBJECTS AND OBJECTS  MAY  BE  USED  TO 
  976. IMPLEMENT A PART OF THE NTCB. 
  977.  
  978.      WHEN INTEGRITY IS INCLUDED AS PART OF THE NETWORK  DIS- 
  979. CRETIONARY  SECURITY POLICY, THE ABOVE INTERPRETATIONS SHALL 
  980. BE SPECIFICALLY APPLIED TO THE CONTROLS  OVER  MODIFICATION, 
  981. VIZ,  THE  WRITE MODE OF ACCESS, WITHIN EACH COMPONENT BASED 
  982. ON IDENTIFIED USERS OR GROUPS OF USERS. 
  983.  
  984.  
  985. +  Rationale 
  986.  
  987.      IN THIS CLASS, THE SUPPORTING ELEMENTS OF  THE  OVERALL 
  988. DAC  MECHANISM ARE TREATED EXACTLY AS UNTRUSTED SUBJECTS ARE 
  989. TREATED WITH RESPECT TO DAC IN AN ADP SYSTEM, WITH THE  SAME 
  990. RESULT AS NOTED IN THE INTERPRETATION.  STRENGTHENING OF THE 
  991. DAC MECHANISM IN THE  NETWORK  ENVIRONMENT  IS  PROVIDED  IN 
  992. CLASS (C2) (SEE THE DISCRETIONARY ACCESS CONTROL SECTION). 
  993.  
  994.      A TYPICAL SITUATION FOR DAC IS THAT A SURROGATE PROCESS 
  995. FOR A REMOTE USER WILL BE CREATED IN SOME HOST FOR ACCESS TO 
  996. OBJECTS UNDER THE CONTROL OF THE NTCB PARTITION WITHIN  THAT 
  997. HOST.  THE INTERPRETATION REQUIRES THAT A USER IDENTIFIER BE 
  998. ASSIGNED AND MAINTAINED FOR EACH SUCH PROCESS BY  THE  NTCB, 
  999. SO  THAT  ACCESS BY A SURROGATE PROCESS IS SUBJECT TO ESSEN- 
  1000. TIALLY THE SAME DISCRETIONARY CONTROLS AS ACCESS BY  A  PRO- 
  1001. CESS  ACTING  ON  BEHALF OF A LOCAL USER WOULD BE.  HOWEVER, 
  1002. WITHIN THIS INTERPRETATION A RANGE OF  POSSIBLE  INTERPRETA- 
  1003. TIONS OF THE ASSIGNED USER IDENTIFICATION IS PERMITTED. 
  1004.   
  1005.      THE MOST OBVIOUS SITUATION  WOULD  EXIST  IF  A  GLOBAL 
  1006. DATABASE OF NETWORK USERS WERE TO BE MADE PERMANENTLY AVAIL- 
  1007. ABLE ON DEMAND TO EVERY HOST, (I.E., A NAME SERVER  EXISTED) 
  1008. SO THAT ALL USER IDENTIFICATIONS WERE GLOBALLY MEANINGFUL. 
  1009.   
  1010.      IT IS ALSO ACCEPTABLE, HOWEVER, FOR  SOME  NTCB  PARTI- 
  1011. TIONS TO MAINTAIN A DATABASE OF LOCALLY-REGISTERED USERS FOR 
  1012. ITS OWN USE.  IN SUCH A CASE, ONE COULD  CHOOSE  TO  INHIBIT 
  1013. THE CREATION OF SURROGATE PROCESSES FOR LOCALLY UNREGISTERED 
  1014. USERS, OR (IF PERMITTED BY THE LOCAL POLICY)  ALTERNATIVELY, 
  1015. TO   PERMIT   THE   CREATION  OF  SURROGATE  PROCESSES  WITH
  1016. PRESELECTED USER AND GROUP  IDENTIFIERS  WHICH,  IN  EFFECT, 
  1017. IDENTIFY THE PROCESS AS EXECUTING ON BEHALF OF A MEMBER OF A 
  1018. GROUP OF USERS ON A PARTICULAR REMOTE HOST.  THE  INTENT  OF 
  1019. THE  WORDS CONCERNING AUDIT IN THE INTERPRETATION IS TO PRO- 
  1020. VIDE A MINIMALLY ACCEPTABLE DEGREE OF AUDITABILITY FOR CASES 
  1021. SUCH  AS THE LAST DESCRIBED.  WHAT IS REQUIRED IS THAT THERE 
  1022. BE A CAPABILITY, USING THE AUDIT FACILITIES PROVIDED BY  THE 
  1023. NETWORK  NTCB  PARTITIONS  INVOLVED,  TO  DETERMINE  WHO WAS 
  1024. LOGGED IN AT THE ACTUAL HOST OF THE GROUP OF REMOTE USERS AT 
  1025. THE TIME THE SURROGATE PROCESSING OCCURED. 
  1026.  
  1027.      ASSOCIATING THE PROPER USER ID WITH A SURROGATE PROCESS 
  1028. IS  THE JOB OF IDENTIFICATION AND AUTHENTICATION. THIS MEANS 
  1029. THAT DAC IS APPLIED LOCALLY, WITH RESPECT TO THE USER ID  OF 
  1030. THE  SURROGATE  PROCESS.   THE TRANSMISSION OF THE DATA BACK 
  1031. ACROSS THE NETWORK TO THE USER'S HOST, AND THE CREATION OF A 
  1032. COPY OF THE DATA THERE, IS NOT THE BUSINESS OF DAC. 
  1033.   
  1034.      COMPONENTS THAT SUPPORT ONLY INTERNAL  SUBJECTS  IMPACT 
  1035. THE IMPLEMENTATION OF THE DAC BY PROVIDING SERVICES BY WHICH 
  1036. INFORMATION (E.G., A USER-ID) IS MADE AVAILABLE  TO  A  COM- 
  1037. PONENT  THAT MAKES A DAC DECISION.  AN EXAMPLE OF THE LATTER 
  1038. WOULD BE THE CASE THAT A USER AT HOST A ATTEMPTS TO ACCESS A 
  1039. FILE  AT  HOST  B.   THE  DAC DECISION MIGHT BE (AND USUALLY 
  1040. WOULD BE) MADE AT HOST B ON THE BASIS OF A USER-ID TRANSMIT- 
  1041. TED FROM HOST A TO HOST B. 
  1042.  
  1043.      UNIQUE USER IDENTIFICATION MAY BE ACHIEVED BY A VARIETY 
  1044. OF  MECHANISMS, INCLUDING (A) A REQUIREMENT FOR UNIQUE IDEN- 
  1045. TIFICATION AND AUTHENTICATION ON THE HOST WHERE ACCESS TAKES 
  1046. PLACE;   (B)    RECOGNITION   OF   FULLY  QUALIFIED  NETWORK 
  1047. ADDRESSES AUTHENTICATED BY ANOTHER HOST AND FORWARDED TO THE 
  1048. HOST WHERE ACCESS TAKES PLACE; OR (C) ADMINISTRATIVE SUPPORT 
  1049. OF A NETWORK-WIDE UNIQUE PERSONNEL IDENTIFIER THAT COULD  BE 
  1050. AUTHENTICATED AND FORWARDED BY ANOTHER HOST AS IN (B) ABOVE, 
  1051. OR COULD BE AUTHENTICATED AND FORWARDED BY A DEDICATED  NET- 
  1052. WORK  IDENTIFICATION  AND AUTHENTICATION SERVER.  THE PROTO- 
  1053. COLS WHICH IMPLEMENT (B) OR (C) ARE SUBJECT  TO  THE  SYSTEM 
  1054. ARCHITECTURE REQUIREMENTS. 
  1055.   
  1056.      NETWORK SUPPORT FOR DAC MIGHT BE HANDLED IN OTHER  WAYS 
  1057. THAN  THAT DESCRIBED AS "TYPICAL" ABOVE. IN PARTICULAR, SOME 
  1058. FORM OF CENTRALIZED ACCESS CONTROL IS  OFTEN  PROPOSED.   AN 
  1059. ACCESS  CONTROL CENTER MAY MAKE ALL DECISIONS FOR DAC, OR IT 
  1060. MAY SHARE THE BURDEN WITH THE HOSTS BY CONTROLLING  HOST-TO- 
  1061. HOST  CONNECTIONS, AND LEAVING THE HOSTS TO DECIDE ON ACCESS 
  1062. TO THEIR OBJECTS BY USERS AT A LIMITED SET OF REMOTE  HOSTS. 
  1063. IN  THIS CASE THE ACCESS CONTROL CENTER PROVIDES THE LINKAGE 
  1064. BETWEEN THE CONNECTION ORIENTED ABSTRACTION (AS DISCUSSED IN 
  1065. THE  INTRODUCTION)  AND  THE OVERALL NETWORK SECURITY POLICY 
  1066. FOR DAC.  IN ALL CASES THE ENFORCEMENT OF THE DECISION  MUST 
  1067. BE PROVIDED BY THE HOST WHERE THE OBJECT RESIDES. 
  1068.    
  1069.  
  1070. 2.1.2 Accountability 
  1071.  
  1072.  
  1073. 2.1.2.1 Identification and Authentication 
  1074.  
  1075. + Statement from DoD 5200.28-STD 
  1076.  
  1077. THE TCB SHALL REQUIRE USERS TO  IDENTIFY  THEMSELVES  TO  IT 
  1078. BEFORE  BEGINNING  TO PERFORM ANY OTHER ACTIONS THAT THE TCB 
  1079. IS EXPECTED TO MEDIATE.  FURTHERMORE, THE TCB  SHALL  USE  A 
  1080. PROTECTED  MECHANISM  (E.G.,  PASSWORDS) TO AUTHENTICATE THE 
  1081. USER'S IDENTITY. THE TCB SHALL PROTECT  AUTHENTICATION  DATA 
  1082. SO THAT IT CANNOT BE ACCESSED BY ANY UNAUTHORIZED USER. 
  1083.  
  1084.  
  1085. +  Interpretation 
  1086.  
  1087.      THE REQUIREMENT FOR IDENTIFICATION  AND  AUTHENTICATION 
  1088. OF USERS IS THE SAME FOR A NETWORK SYSTEM AS FOR AN ADP SYS- 
  1089. TEM. THE IDENTIFICATION AND AUTHENTICATION MAY  BE  DONE  BY 
  1090. THE  COMPONENT  TO  WHICH  THE USER IS DIRECTLY CONNECTED OR 
  1091. SOME OTHER COMPONENT, SUCH AS AN IDENTIFICATION AND  AUTHEN- 
  1092. TICATION  SERVER.   AVAILABLE  TECHNIQUES,  SUCH  AS   THOSE 
  1093. DESCRIBED IN THE PASSWORD  GUIDELINE=,  ARE  GENERALLY  ALSO 
  1094. APPLICABLE  IN  THE NETWORK CONTEXT. HOWEVER, IN CASES WHERE 
  1095. THE NTCB IS EXPECTED TO MEDIATE ACTIONS OF A HOST (OR  OTHER 
  1096. NETWORK  COMPONENT)  THAT  IS  ACTING ON BEHALF OF A USER OR 
  1097. GROUP OF USERS,  THE  NTCB  MAY  EMPLOY  IDENTIFICATION  AND 
  1098. AUTHENTICATION  OF  THE HOST (OR OTHER COMPONENT) IN LIEU OF 
  1099. IDENTIFICATION AND AUTHENTICATION OF AN INDIVIDUAL USER. 
  1100.  
  1101.      AUTHENTICATION INFORMATION, INCLUDING THE IDENTITY OF A 
  1102. USER  (ONCE  AUTHENTICATED) MAY BE PASSED FROM ONE COMPONENT 
  1103. TO ANOTHER WITHOUT REAUTHENTICATION, SO  LONG  AS  THE  NTCB 
  1104. PROTECTS  (E.G.,  BY  ENCRYPTION) THE INFORMATION FROM UNAU-
  1105. THORIZED DISCLOSURE AND MODIFICATION. THIS PROTECTION  SHALL 
  1106. PROVIDE  AT  LEAST A SIMILAR LEVEL OF ASSURANCE (OR STRENGTH 
  1107. OF MECHANISM) AS PERTAINS TO THE PROTECTION OF THE AUTHENTI- 
  1108. CATION MECHANISM AND AUTHENTICATION DATA. 
  1109.      
  1110.  
  1111. +  Rationale 
  1112.  
  1113.      THE NEED FOR ACCOUNTABILITY IS NOT CHANGED IN THE  CON- 
  1114. TEXT  OF A NETWORK SYSTEM.  THE FACT THAT THE NTCB IS PARTI- 
  1115. TIONED OVER A SET OF COMPONENTS NEITHER REDUCES THE NEED NOR 
  1116. IMPOSES  NEW REQUIREMENTS.  THAT IS, INDIVIDUAL ACCOUNTABIL- 
  1117. ITY IS STILL THE OBJECTIVE. HOWEVER, IN  THE  CONTEXT  OF  A 
  1118. NETWORK  SYSTEM  AT THE (C1) LEVEL (WHEREIN EXPLICIT INDIVI- 
  1119. DUAL USER ACCOUNTABILITY  IS  NOT  REQUIRED),    "INDIVIDUAL 
  1120. ACCOUNTABILITY" CAN BE SATISFIED BY IDENTIFICATION OF A HOST 
  1121. (OR OTHER COMPONENT).  IN ADDITION, THERE IS NO  NEED  IN  A 
  1122. DISTRIBUTED  PROCESSING SYSTEM LIKE A NETWORK TO REAUTHENTI- 
  1123. CATE A USER AT EACH POINT IN THE NETWORK WHERE A  PROJECTION 
  1124. OF  A USER (VIA THE SUBJECT OPERATING ON BEHALF OF THE USER) 
  1125. INTO ANOTHER REMOTE SUBJECT TAKES PLACE. 
  1126.  
  1127.      THE PASSING OF IDENTIFIERS AND/OR AUTHENTICATION INFOR- 
  1128. MATION FROM ONE COMPONENT TO ANOTHER IS USUALLY DONE IN SUP- 
  1129. PORT TO THE IMPLEMENTATION OF THE DISCRETIONARY ACCESS  CON- 
  1130. TROL  (DAC).   THIS  SUPPORT  RELATES  DIRECTLY  TO  THE DAC 
  1131. REGARDING ACCESS BY A USER TO A STORAGE  OBJECT  IN  A  DIF- 
  1132. FERENT  NTCB  PARTITION  THAN  THE  ONE  WHERE  THE USER WAS 
  1133. AUTHENTICATED. EMPLOYING A FORWARDED IDENTIFICATION  IMPLIES 
  1134. ADDITIONAL  RELIANCE  ON THE SOURCE AND COMPONENTS ALONG THE  
  1135. PATH. 
  1136.  
  1137.  
  1138. 2.1.3 Assurance 
  1139.  
  1140.  
  1141. 2.1.3.1 Operational Assurance 
  1142.  
  1143.  
  1144. 2.1.3.1.1 System Architecture 
  1145.  
  1146. + Statement from DoD 5200.28-STD 
  1147.  
  1148. THE TCB SHALL MAINTAIN A DOMAIN FOR ITS OWN  EXECUTION  THAT 
  1149. PROTECTS  IT  FROM EXTERNAL INTERFERENCE OR TAMPERING (E.G., 
  1150. BY MODIFICATION OF ITS CODE OR DATA STRUCTURES).   RESOURCES 
  1151. CONTROLLED  BY  THE  TCB MAY BE A DEFINED SUBSET OF THE SUB- 
  1152. JECTS AND OBJECTS IN THE ADP SYSTEM. 
  1153.  
  1154. +  Interpretation 
  1155.  
  1156.     THE SYSTEM ARCHITECTURE CRITERION MUST BE MET INDIVIDU- 
  1157. ALLY BY ALL NTCB PARTITIONS.  IMPLEMENTATION OF THE REQUIRE- 
  1158. MENT THAT THE NTCB MAINTAIN A DOMAIN FOR ITS  OWN  EXECUTION 
  1159. IS  ACHIEVED BY HAVING EACH NTCB PARTITION MAINTAIN A DOMAIN 
  1160. FOR ITS OWN EXECUTION. 
  1161.  
  1162.      THE SUBSET OF NETWORK RESOURCES OVER WHICH THE NTCB HAS 
  1163. CONTROL  ARE  THE  UNION OF THE SETS OF RESOURCES OVER WHICH 
  1164. THE NTCB PARTITIONS HAVE CONTROL.  CODE AND DATA  STRUCTURES 
  1165. BELONGING  TO  THE  NTCB,  TRANSFERRED  AMONG  NTCB SUBJECTS 
  1166. (I.E., SUBJECTS OUTSIDE THE REFERENCE MONITOR BUT INSIDE THE 
  1167. NTCB)  BELONGING  TO DIFFERENT NTCB PARTITIONS, MUST BE PRO- 
  1168. TECTED AGAINST  EXTERNAL  INTERFERENCE  OR  TAMPERING.   FOR 
  1169. EXAMPLE,  A  CRYPTOGRAPHIC CHECKSUM OR PHYSICAL MEANS MAY BE 
  1170. EMPLOYED  TO  PROTECT  USER  AUTHENTICATION  DATA  EXCHANGED 
  1171. BETWEEN NTCB PARTITIONS. 
  1172.  
  1173. +  Rationale 
  1174.  
  1175.      THE REQUIREMENT FOR THE  PROTECTION  OF  COMMUNICATIONS 
  1176. BETWEEN NTCB PARTITIONS IS SPECIFICALLY DIRECTED TO SUBJECTS 
  1177. THAT ARE PART OF THE NTCB PARTITIONS.  ANY REQUIREMENTS  FOR 
  1178. SUCH  PROTECTION  FOR THE SUBJECTS THAT ARE OUTSIDE THE NTCB 
  1179. PARTITIONS  ARE  ADDRESSED  IN  RESPONSE  TO  THE  INTEGRITY 
  1180. REQUIREMENTS OF THE SECURITY POLICY. 
  1181.      
  1182.  
  1183. 2.1.3.1.2 System Integrity 
  1184.  
  1185. + Statement from DoD 5200.28-STD 
  1186.  
  1187. HARDWARE AND/OR SOFTWARE FEATURES SHALL BE PROVIDED THAT CAN 
  1188. BE  USED  TO  PERIODICALLY VALIDATE THE CORRECT OPERATION OF 
  1189. THE ON-SITE HARDWARE AND FIRMWARE ELEMENTS OF THE TCB. 
  1190.  
  1191. +  Interpretation 
  1192.  
  1193.      IMPLEMENTATION OF THE REQUIREMENT IS PARTLY ACHIEVED BY 
  1194. HAVING HARDWARE AND/OR SOFTWARE FEATURES THAT CAN BE USED TO 
  1195. PERIODICALLY VALIDATE THE CORRECT OPERATION OF THE  HARDWARE 
  1196. AND  FIRMWARE  ELEMENTS  OF EACH COMPONENT'S NTCB PARTITION. 
  1197. FEATURES SHALL ALSO BE PROVIDED TO VALIDATE THE IDENTITY AND 
  1198. CORRECT  OPERATION OF A COMPONENT PRIOR TO ITS INCORPORATION 
  1199. IN THE NETWORK SYSTEM AND THROUGHOUT SYSTEM OPERATION.   FOR 
  1200. EXAMPLE,  A PROTOCOL COULD BE DESIGNED THAT ENABLES THE COM- 
  1201. PONENTS OF THE PARTITIONED NTCB TO EXCHANGE MESSAGES PERIOD-
  1202. ICALLY  AND VALIDATE EACH OTHER'S CORRECT RESPONSE. THE PRO- 
  1203. TOCOL SHALL BE ABLE TO DETERMINE THE REMOTE ENTITY'S ABILITY 
  1204. TO  RESPOND. NTCB PARTITIONS SHALL PROVIDE THE CAPABILITY TO 
  1205. REPORT TO  NETWORK  ADMINISTRATIVE  PERSONNEL  THE  FAILURES 
  1206. DETECTED IN OTHER NTCB PARTITIONS. 
  1207.      
  1208.      INTERCOMPONENT  PROTOCOLS  IMPLEMENTED  WITHIN  A  NTCB 
  1209. SHALL BE DESIGNED IN SUCH A WAY AS TO PROVIDE CORRECT OPERA- 
  1210. TION IN THE CASE OF FAILURES OF  NETWORK  COMMUNICATIONS  OR 
  1211. INDIVIDUAL  COMPONENTS.   THE  ALLOCATION  OF  DISCRETIONARY 
  1212. ACCESS CONTROL POLICY IN A NETWORK MAY REQUIRE COMMUNICATION 
  1213. BETWEEN  TRUSTED  SUBJECTS  THAT ARE PART OF THE NTCB PARTI- 
  1214. TIONS IN DIFFERENT COMPONENTS.  THIS COMMUNICATION  IS  NOR- 
  1215. MALLY  IMPLEMENTED  WITH  A PROTOCOL BETWEEN THE SUBJECTS AS 
  1216. PEER ENTITIES.  INCORRECT ACCESS WITHIN  A  COMPONENT  SHALL 
  1217. NOT  RESULT FROM FAILURE OF AN NTCB PARTITION TO COMMUNICATE 
  1218. WITH OTHER COMPONENTS. 
  1219.    
  1220. + Rationale 
  1221.  
  1222.      THE  FIRST  PARAGRAPH  OF  THE  INTERPRETATION   IS   A 
  1223. STRAIGHTFORWARD  EXTENSION  OF THE REQUIREMENT INTO THE CON- 
  1224. TEXT OF A NETWORK SYSTEM AND PARTITIONED NTCB AS DEFINED FOR 
  1225. THESE NETWORK CRITERIA. 
  1226.  
  1227.      NTCB PROTOCOLS SHOULD BE ROBUST  ENOUGH  SO  THAT  THEY 
  1228. PERMIT THE SYSTEM TO OPERATE CORRECTLY IN THE CASE OF LOCAL- 
  1229. IZED FAILURE. THE PURPOSE OF THIS PROTECTION IS TO  PRESERVE 
  1230. THE INTEGRITY OF THE NTCB ITSELF.  IT IS NOT UNUSUAL FOR ONE 
  1231. OR MORE COMPONENTS IN A NETWORK TO  BE  INOPERATIVE  AT  ANY 
  1232. TIME,  SO  IT  IS  IMPORTANT TO MINIMIZE THE EFFECTS OF SUCH 
  1233. FAILURES ON THE REST OF THE  NETWORK.  ADDITIONAL  INTEGRITY 
  1234. AND DENIAL OF SERVICE ISSUES ARE ADDRESSED IN PART II. 
  1235.  
  1236.  
  1237. 2.1.3.2 Life-Cycle Assurance 
  1238.  
  1239.  
  1240. 2.1.3.2.1 Security Testing 
  1241.  
  1242. + Statement from DoD 5200.28-STD 
  1243.  
  1244. THE SECURITY MECHANISMS OF THE ADP SYSTEM  SHALL  BE  TESTED 
  1245. AND  FOUND  TO  WORK AS CLAIMED IN THE SYSTEM DOCUMENTATION. 
  1246. TESTING SHALL BE DONE TO ASSURE THAT THERE  ARE  NO  OBVIOUS 
  1247. WAYS  FOR AN UNAUTHORIZED USER TO BYPASS OR OTHERWISE DEFEAT 
  1248. THE SECURITY PROTECTION MECHANISMS  OF  THE  TCB.  (SEE  THE 
  1249. SECURITY TESTING GUIDELINES.) 
  1250.  
  1251.  
  1252. +  Interpretation 
  1253.  
  1254.      TESTING OF A COMPONENT  WILL  REQUIRE  A  TESTBED  THAT 
  1255. EXERCISES  THE  INTERFACES  AND PROTOCOLS OF THE COMPONENT. 
  1256. THE TESTING OF A SECURITY MECHANISM OF  THE  NETWORK  SYSTEM 
  1257. FOR  MEETING  THIS  CRITERION SHALL BE AN INTEGRATED TESTING 
  1258. PROCEDURE INVOLVING ALL COMPONENTS CONTAINING AN NTCB PARTI- 
  1259. TION  THAT  IMPLEMENT  THE  GIVEN MECHANISM. THIS INTEGRATED 
  1260. TESTING IS ADDITIONAL  TO  ANY  INDIVIDUAL  COMPONENT  TESTS 
  1261. INVOLVED IN THE EVALUATION OF THE NETWORK SYSTEM.  THE SPON- 
  1262. SOR SHOULD IDENTIFY  THE  ALLOWABLE  SET  OF  CONFIGURATIONS 
  1263. INCLUDING  THE  SIZES  OF THE NETWORKS.  ANALYSIS OR TESTING 
  1264. PROCEDURES AND TOOLS SHALL BE AVAILABLE TO TEST  THE  LIMITS 
  1265. OF  THESE  CONFIGURATIONS.  A CHANGE IN CONFIGURATION WITHIN 
  1266. THE ALLOWABLE SET OF CONFIGURATIONS DOES NOT REQUIRE RETEST- 
  1267. ING. 
  1268.  
  1269. +  Rationale 
  1270.  
  1271.   TESTING IS THE PRIMARY METHOD AVAILABLE IN THIS EVALUA- 
  1272. TION  DIVISION  TO  GAIN  ANY  ASSURANCE  THAT  THE SECURITY 
  1273. MECHANISMS PERFORM THEIR INTENDED FUNCTION. 
  1274.  
  1275. 2.1.4 Documentation 
  1276.  
  1277. 2.1.4.1 Security Features User's Guide 
  1278.  
  1279. + Statement from DoD 5200.28-STD 
  1280.  
  1281. A SINGLE SUMMARY, CHAPTER, OR MANUAL IN  USER  DOCUMENTATION 
  1282. SHALL  DESCRIBE  THE  PROTECTION  MECHANISMS PROVIDED BY THE 
  1283. TCB, INTERPRETATIONS ON THEIR USE,  AND  HOW  THEY  INTERACT 
  1284. WITH ONE ANOTHER. 
  1285.  
  1286.  
  1287. +  Interpretation 
  1288.  
  1289.      THIS USER DOCUMENTATION DESCRIBES USER VISIBLE  PROTEC- 
  1290. TION  MECHANISMS AT THE GLOBAL (NETWORK SYSTEM) LEVEL AND AT 
  1291. THE USER INTERFACE OF EACH COMPONENT,  AND  THE  INTERACTION 
  1292. AMONG THESE. 
  1293.   
  1294. +  Rationale 
  1295.  
  1296.      THE INTERPRETATION IS AN EXTENSION OF  THE  REQUIREMENT 
  1297. INTO  THE  CONTEXT  OF A NETWORK SYSTEM AS DEFINED FOR THESE 
  1298. NETWORK CRITERIA.  DOCUMENTATION  OF  PROTECTION  MECHANISMS 
  1299. PROVIDED  BY  INDIVIDUAL  COMPONENTS IS REQUIRED BY THE CRI-   
  1300. TERIA FOR TRUSTED  COMPUTER  SYSTEMS  THAT  ARE  APPLIED  AS 
  1301. APPROPRIATE FOR THE INDIVIDUAL COMPONENTS. 
  1302.   
  1303.  
  1304. 2.1.4.2 Trusted Facility Manual 
  1305.  
  1306. + Statement from DoD 5200.28-STD 
  1307.  
  1308. A MANUAL ADDRESSED TO THE  ADP  SYSTEM  ADMINISTRATOR  SHALL 
  1309. PRESENT  CAUTIONS ABOUT FUNCTIONS AND PRIVILEGES THAT SHOULD 
  1310. BE CONTROLLED WHEN RUNNING A SECURE FACILITY. 
  1311.   
  1312. + Interpretation 
  1313.  
  1314.      THIS MANUAL SHALL CONTAIN SPECIFICATIONS AND PROCEDURES 
  1315. TO ASSIST THE SYSTEM ADMINISTRATOR(S) MAINTAIN COGNIZANCE OF 
  1316. THE NETWORK CONFIGURATION.  THESE  SPECIFICATIONS  AND  PRO- 
  1317. CEDURES SHALL ADDRESS THE FOLLOWING: 
  1318.  
  1319. 1.THE HARDWARE CONFIGURATION OF THE NETWORK ITSELF; 
  1320.  
  1321. 2.THE IMPLICATIONS OF ATTACHING NEW COMPONENTS TO  THE 
  1322.   NETWORK; 
  1323.  
  1324. 3.THE CASE WHERE CERTAIN COMPONENTS  MAY  PERIODICALLY 
  1325.   LEAVE  THE  NETWORK  (E.G., BY CRASHING, OR BY BEING 
  1326.   DISCONNECTED) AND THEN REJOIN; 
  1327.   
  1328. 4.NETWORK CONFIGURATION ASPECTS THAT  CAN  IMPACT  THE 
  1329.   SECURITY  OF  THE  NETWORK SYSTEM; (FOR EXAMPLE, THE 
  1330.   MANUAL  SHOULD  DESCRIBE  FOR  THE  NETWORK   SYSTEM 
  1331.   ADMINISTRATOR  THE INTERCONNECTIONS AMONG COMPONENTS 
  1332.   THAT ARE CONSISTENT WITH THE OVERALL NETWORK  SYSTEM 
  1333.   ARCHITECTURE.) 
  1334.  
  1335. 5.LOADING  OR  MODIFYING  NTCB  SOFTWARE  OR  FIRMWARE 
  1336.   (E.G., DOWN-LINE LOADING). 
  1337.  
  1338.     THE PHYSICAL AND ADMINISTRATIVE ENVIRONMENTAL  CONTROLS 
  1339. SHALL  BE  SPECIFIED.   ANY  ASSUMPTIONS ABOUT SECURITY OF A 
  1340. GIVEN NETWORK SHOULD BE CLEARLY STATED (E.G., THE FACT  THAT 
  1341. ALL  COMMUNICATIONS  LINKS MUST BE PHYSICALLY PROTECTED TO A 
  1342. CERTAIN LEVEL). 
  1343.   
  1344.  
  1345. + Rationale 
  1346.  
  1347.      THERE  MAY  BE  MULTIPLE  SYSTEM  ADMINISTRATORS   WITH 
  1348. DIVERSE  RESPONSIBILITIES.   THE TECHNICAL SECURITY MEASURES 
  1349. DESCRIBED BY THESE CRITERIA MUST BE USED IN CONJUNCTION WITH 
  1350. OTHER  FORMS OF SECURITY IN ORDER TO ACHIEVE SECURITY OF THE 
  1351. NETWORK.  ADDITIONAL FORMS INCLUDE ADMINISTRATIVE  SECURITY, 
  1352. PHYSICAL SECURITY, EMANATIONS SECURITY, ETC. 
  1353.  
  1354.  
  1355.      EXTENSION OF  THIS  CRITERION  TO  COVER  CONFIGURATION 
  1356. ASPECTS  OF  THE  NETWORK  IS  NEEDED  BECAUSE, FOR EXAMPLE, 
  1357. PROPER INTERCONNECTION OF COMPONENTS IS TYPICALLY  ESSENTIAL 
  1358. TO  ACHIEVE  A  CORRECT REALIZATION OF THE NETWORK ARCHITEC- 
  1359. TURE. 
  1360.  
  1361.  
  1362.      CRYPTOGRAPHY  IS ONE COMMON MECHANISM EMPLOYED TO  PRO- 
  1363. TECT  COMMUNICATION  CIRCUITS.   ENCRYPTION  TRANSFORMS  THE 
  1364. REPRESENTATION OF INFORMATION SO THAT IT  IS  UNINTELLIGIBLE 
  1365. TO  UNAUTHORIZED  SUBJECTS.  REFLECTING THIS TRANSFORMATION, 
  1366. THE SENSITIVITY OF THE CIPHERTEXT IS  GENERALLY  LOWER  THAN   
  1367. THE  CLEARTEXT.   IF  ENCRYPTION METHODOLOGIES ARE EMPLOYED, 
  1368. THEY SHALL BE  APPROVED  BY  THE  NATIONAL  SECURITY  AGENCY 
  1369. (NSA). 
  1370.  
  1371.      THE ENCRYPTION ALGORITHM  AND  ITS  IMPLEMENTATION  ARE 
  1372. OUTSIDE  THE SCOPE OF THESE INTERPRETATIONS.  THIS ALGORITHM 
  1373. AND IMPLEMENTATION MAY BE IMPLEMENTED IN A  SEPARATE  DEVICE 
  1374. OR  MAY  BE A FUNCTION OF A SUBJECT IN A COMPONENT NOT DEDI- 
  1375. CATED TO ENCRYPTION.  WITHOUT PREJUDICE, EITHER  IMPLEMENTA- 
  1376. TION  PACKAGING  IS  REFERRED  TO AS AN ENCRYPTION MECHANISM 
  1377. HEREIN. 
  1378.  
  1379.  
  1380. 2.1.4.3 Test Documentation 
  1381.  
  1382. + Statement from DoD 5200.28-STD 
  1383.  
  1384. THE SYSTEM DEVELOPER SHALL PROVIDE TO THE EVALUATORS A DOCU- 
  1385. MENT THAT DESCRIBES THE TEST PLAN, TEST PROCEDURES THAT SHOW 
  1386. HOW THE SECURITY MECHANISMS WERE TESTED, AND RESULTS OF  THE 
  1387. SECURITY MECHANISMS' FUNCTIONAL TESTING. 
  1388.   
  1389.  
  1390. +  Interpretation 
  1391.  
  1392.     THE "SYSTEM DEVELOPER" IS INTERPRETED AS  "THE  NETWORK 
  1393. SYSTEM  SPONSOR".   THE  DESCRIPTION OF THE TEST PLAN SHOULD 
  1394. ESTABLISH THE CONTEXT IN WHICH THE TESTING WAS OR SHOULD  BE 
  1395. CONDUCTED.   THE  DESCRIPTION SHOULD IDENTIFY ANY ADDITIONAL 
  1396. TEST COMPONENTS THAT  ARE  NOT  PART  OF  THE  SYSTEM  BEING 
  1397. EVALUATED.  THIS INCLUDES A DESCRIPTION OF THE TEST-RELEVANT 
  1398. FUNCTIONS OF SUCH TEST COMPONENTS AND A DESCRIPTION  OF  THE 
  1399. INTERFACING  OF  THOSE  TEST  COMPONENTS TO THE SYSTEM BEING    
  1400. EVALUATED.  THE DESCRIPTION OF THE  TEST  PLAN  SHOULD  ALSO 
  1401. DEMONSTRATE  THAT  THE  TESTS  ADEQUATELY  COVER THE NETWORK 
  1402. SECURITY POLICY.  THE  TESTS  SHOULD  INCLUDE  THE  FEATURES 
  1403. DESCRIBED   IN   THE  SYSTEM  ARCHITECTURE  AND  THE  SYSTEM 
  1404. INTEGRITY SECTIONS.  THE TESTS SHOULD ALSO  INCLUDE  NETWORK 
  1405. CONFIGURATION AND SIZING. 
  1406.  
  1407.  
  1408. +  Rationale 
  1409.  
  1410.      THE ENTITY BEING EVALUATED MAY BE A NETWORKING  SUBSYS- 
  1411. TEM (SEE APPENDIX A) TO WHICH OTHER COMPONENTS MUST BE ADDED 
  1412. TO MAKE A  COMPLETE  NETWORK  SYSTEM.  IN  THAT  CASE,  THIS 
  1413. INTERPRETATION  IS EXTENDED TO INCLUDE CONTEXTUAL DEFINITION 
  1414. BECAUSE, AT EVALUATION TIME, IT IS NOT POSSIBLE TO  VALIDATE 
  1415. THE  TEST  PLANS  WITHOUT THE DESCRIPTION OF THE CONTEXT FOR 
  1416. TESTING THE NETWORKING SUBSYSTEM. 
  1417.  
  1418.  
  1419.  
  1420. 2.1.4.4 Design Documentation 
  1421.  
  1422. + Statement from DoD 5200.28-STD 
  1423.  
  1424. DOCUMENTATION SHALL BE AVAILABLE THAT PROVIDES A DESCRIPTION 
  1425. OF THE MANUFACTURER'S PHILOSOPHY OF PROTECTION AND AN EXPLA- 
  1426. NATION OF HOW THIS PHILOSOPHY IS TRANSLATED INTO THE TCB. IF 
  1427. THE  TCB  IS  COMPOSED  OF  DISTINCT MODULES, THE INTERFACES 
  1428. BETWEEN THESE MODULES SHALL BE DESCRIBED. 
  1429.  
  1430. +  Interpretation 
  1431.  
  1432.      EXPLANATION OF HOW THE SPONSOR'S PHILOSOPHY OF  PROTEC- 
  1433. TION IS TRANSLATED INTO THE NTCB SHALL INCLUDE A DESCRIPTION 
  1434. OF HOW THE NTCB IS PARTITIONED.  THE  SECURITY  POLICY  ALSO
  1435. SHALL  BE STATED.  THE DESCRIPTION OF THE INTERFACES BETWEEN 
  1436. THE NTCB MODULES SHALL INCLUDE THE INTERFACE(S) BETWEEN NTCB 
  1437. PARTITIONS  AND MODULES WITHIN THE PARTITIONS IF THE MODULES 
  1438. EXIST.  THE SPONSOR SHALL DESCRIBE THE SECURITY ARCHITECTURE 
  1439. AND  DESIGN,  INCLUDING  THE ALLOCATION OF SECURITY REQUIRE- 
  1440. MENTS AMONG  COMPONENTS.   APPENDIX  A  ADDRESSES  COMPONENT 
  1441. EVALUATION ISSUES. 
  1442.   
  1443. +  Rationale 
  1444.  
  1445.      THE INTERPRETATION IS A  STRAIGHTFORWARD  EXTENSION  OF 
  1446. THE  REQUIREMENT  INTO  THE  CONTEXT  OF A NETWORK SYSTEM AS 
  1447. DEFINED FOR THIS NETWORK INTERPRETATION.   OTHER  DOCUMENTA- 
  1448. TION,  SUCH  AS DESCRIPTION OF COMPONENTS AND DESCRIPTION OF 
  1449. OPERATING ENVIRONMENT(S) IN WHICH THE  NETWORKING  SUBSYSTEM 
  1450. OR NETWORK SYSTEM IS DESIGNED TO FUNCTION, IS REQUIRED ELSE- 
  1451. WHERE, E.G., IN THE TRUSTED FACILITY MANUAL. 
  1452.  
  1453.      IN ORDER TO BE EVALUATED,  A  NETWORK  MUST  POSSESS  A 
  1454. COHERENT  NETWORK SECURITY ARCHITECTURE AND DESIGN.  (INTER- 
  1455. CONNECTION OF COMPONENTS THAT DO NOT ADHERE TO SUCH A SINGLE 
  1456. COHERENT  NETWORK  SECURITY ARCHITECTURE IS ADDRESSED IN THE 
  1457. INTERCONNECTION OF ACCREDITED AIS, APPENDIX C.)  THE NETWORK 
  1458. SECURITY  ARCHITECTURE  MUST  ADDRESS  THE SECURITY-RELEVANT 
  1459. POLICIES, OBJECTIVES, AND PROTOCOLS.  THE  NETWORK  SECURITY 
  1460. DESIGN  SPECIFIES  THE  INTERFACES AND SERVICES THAT MUST BE 
  1461. INCORPORATED INTO THE NETWORK SO THAT IT CAN BE EVALUATED AS 
  1462. A  TRUSTED  ENTITY.  THERE MAY BE MULTIPLE DESIGNS THAT CON- 
  1463. FORM TO THE SAME ARCHITECTURE BUT ARE MORE OR LESS  INCOMPA-   
  1464. TIBLE AND NON-INTEROPERABLE (EXCEPT THROUGH THE INTERCONNEC- 
  1465. TION RULES).  SECURITY RELATED MECHANISMS REQUIRING COOPERA- 
  1466. TION  AMONG  COMPONENTS ARE SPECIFIED IN THE DESIGN IN TERMS   
  1467. OF THEIR VISIBLE INTERFACES; MECHANISMS  HAVING  NO  VISIBLE 
  1468. INTERFACES  ARE  NOT SPECIFIED IN THIS DOCUMENT BUT ARE LEFT 
  1469. AS IMPLEMENTATION DECISIONS. 
  1470.  
  1471.      THE NETWORK SECURITY ARCHITECTURE AND  DESIGN  MUST  BE 
  1472. AVAILABLE  FROM THE NETWORK SPONSOR BEFORE EVALUATION OF THE 
  1473. NETWORK, OR ANY COMPONENT, CAN BE UNDERTAKEN.   THE  NETWORK 
  1474. SECURITY  ARCHITECTURE  AND DESIGN MUST BE SUFFICIENTLY COM- 
  1475. PLETE, UNAMBIGUOUS, AND FREE FROM OBVIOUS  FLAWS  TO  PERMIT 
  1476. THE  CONSTRUCTION  OR ASSEMBLY OF A TRUSTED NETWORK BASED ON 
  1477. THE STRUCTURE IT SPECIFIES. 
  1478.  
  1479.      WHEN A COMPONENT IS BEING  DESIGNED  OR  PRESENTED  FOR 
  1480. EVALUATION,  OR  WHEN A NETWORK ASSEMBLED FROM COMPONENTS IS 
  1481. ASSEMBLED OR PRESENTED  FOR  EVALUATION,  THERE  MUST  BE  A 
  1482. PRIORI  EVIDENCE  THAT THE NETWORK SECURITY ARCHITECTURE AND 
  1483. DESIGN ARE SATISFIED.  THAT IS, THE COMPONENTS CAN BE ASSEM- 
  1484. BLED INTO A NETWORK THAT CONFORMS IN EVERY WAY WITH THE NET- 
  1485. WORK SECURITY ARCHITECTURE AND DESIGN TO PRODUCE A  PHYSICAL 
  1486. REALIZATION  THAT  IS TRUSTED TO THE EXTENT THAT ITS EVALUA- 
  1487. TION INDICATES. 
  1488.  
  1489.      IN ORDER FOR A TRUSTED NETWORK TO BE  CONSTRUCTED  FROM 
  1490. COMPONENTS  THAT  CAN  BE  BUILT  INDEPENDENTLY, THE NETWORK 
  1491. SECURITY ARCHITECTURE AND DESIGN MUST COMPLETELY AND UNAMBI- 
  1492. GUOUSLY  DEFINE  THE SECURITY FUNCTIONALITY OF COMPONENTS AS 
  1493. WELL AS THE INTERFACES BETWEEN  OR  AMONG  COMPONENTS.   THE 
  1494. NETWORK  SECURITY  ARCHITECTURE AND DESIGN MUST BE EVALUATED 
  1495. TO   DETERMINE   THAT   A   NETWORK   CONSTRUCTED   TO   ITS 
  1496. SPECIFICATIONS  WILL IN FACT BE TRUSTED, THAT IS, IT WILL BE 
  1497. EVALUATABLE UNDER THESE INTERPRETATIONS. 
  1498.  
  1499.  
  1500.  
  1501.  
  1502.         2.2 CLASS (C2): CONTROLLED ACCESS PROTECTION 
  1503.         _ _ _____  __   __________ ______ __________ 
  1504.  
  1505.  
  1506.      NETWORK SYSTEMS  IN  THIS  CLASS  ENFORCE  A  MORE 
  1507.      FINELY  GRAINED  DISCRETIONARY ACCESS CONTROL THAN 
  1508.      (C1) NETWORK SYSTEMS,  MAKING  USERS  INDIVIDUALLY 
  1509.      ACCOUNTABLE  FOR  THEIR ACTIONS THROUGH LOGIN PRO- 
  1510.      CEDURES, AUDITING OF SECURITY-RELEVANT EVENTS, AND 
  1511.      RESOURCE  ISOLATION.   THE  FOLLOWING  ARE MINIMAL 
  1512.      REQUIREMENTS FOR SYSTEMS  ASSIGNED  A  CLASS  (C2) 
  1513.      RATING. 
  1514.  
  1515.  
  1516. 2.2.1 Security Policy 
  1517. _ _ _ ________ ______ 
  1518.  
  1519. + Statement from DoD 5200.28-STD 
  1520.  
  1521. Implied from the Introduction to the TCSEC. 
  1522.  
  1523.  
  1524. + Interpretation 
  1525.  
  1526.      The network sponsor shall describe the overall  network 
  1527. security  policy  enforced  by  the NTCB. At a minimum, this 
  1528. policy shall include the discretionary requirements applica- 
  1529. ble  to this class.  The policy may require data secrecy, or 
  1530. data integrity, or both.  The policy shall include a discre- 
  1531. tionary  policy  for  protecting  the information being pro- 
  1532. cessed based on the authorizations of INDIVIDUALS, users, or 
  1533. groups of users.  This access control policy statement shall 
  1534. describe the requirements  on  the  network  to  prevent  or 
  1535. detect  "reading  or  destroying"  sensitive  information by 
  1536. unauthorized users or  errors.  Unauthorized  users  include 
  1537. both those that are not authorized to use the network at all 
  1538. (e.g., a user attempting to use a  passive  or  active  wire 
  1539. tap)  or a legitimate user of the network who is not author- 
  1540. ized to access a specific piece of  information  being  pro- 
  1541. tected. 
  1542.  
  1543.      Note that "users" does not include "operators," "system 
  1544. programmers," "technical control officers," "system security 
  1545. officers," and other system  support  personnel.   They  are 
  1546. distinct  from users and are subject to the Trusted Facility 
  1547. Manual and the System Architecture requirements.  Such indi- 
  1548. viduals  may  change  the  system  parameters of the network 
  1549. system, for example, by  defining  membership  of  a  group. 
  1550. These individuals may also have the separate role of users. 
  1551.  
  1552.  
  1553.         SECRECY POLICY: The network sponsor shall define the 
  1554.         form  of  the  discretionary  secrecy policy that is 
  1555.         enforced in  the  network  to  prevent  unauthorized 
  1556.         users   from   reading   the  sensitive  information 
  1557.         entrusted to the network. 
  1558.  
  1559.  
  1560.         DATA INTEGRITY POLICY:  The  network  sponsor  shall 
  1561.         define the discretionary integrity policy to prevent 
  1562.         unauthorized users from  modifying,  viz.,  writing, 
  1563.         sensitive   information.   The  definition  of  data 
  1564.         integrity presented by the network sponsor refers to 
  1565.         the  requirement  that  the information has not been 
  1566.         subjected to unauthorized modification in  the  net- 
  1567.         work. 
  1568.  
  1569. + Rationale 
  1570.  
  1571.      The word "sponsor" is used  in  place  of  alternatives 
  1572. (such   as   "vendor,"   "architect,"   "manufacturer,"  and 
  1573. "developer") because the alternatives  indicate  people  who 
  1574. may not be available, involved, or relevant at the time that 
  1575. a network system is proposed for evaluation. 
  1576.  
  1577.      A trusted network is able to control both  the  reading 
  1578. and  writing  of  shared  sensitive information.  Control of 
  1579. writing is used to protect against destruction  of  informa- 
  1580. tion. A network normally is expected to have policy require- 
  1581. ments to protect both  the  secrecy  and  integrity  of  the 
  1582. information  entrusted to it.  In a network the integrity is 
  1583. frequently as important or more important than  the  secrecy 
  1584. requirements.  Therefore the secrecy and/or integrity policy 
  1585. to be enforced by the network must be stated for  each  net- 
  1586. work  regardless of its evaluation class. The assurance that 
  1587. the policy  is  faithfully  enforced  is  reflected  in  the 
  1588. evaluation class of the network. 
  1589.  
  1590.      This control over modification  is  typically  used  to 
  1591. protect  information  so  that  it may be relied upon and to 
  1592. control the potential harm that would result if the informa- 
  1593. tion  were  corrupted.   The overall network policy require- 
  1594. ments for integrity includes the protection  for  data  both 
  1595. while  being  processed  in  a  component  and  while  being 
  1596. transmitted in  the  network.   The  access  control  policy 
  1597. enforced  by  the  NTCB relates to the access of subjects to 
  1598. objects within  each  component.   Communications  integrity 
  1599. addressed  within Part II relates to information while being 
  1600. transmitted. 
  1601.  
  1602. 2.2.1.1 Discretionary Access Control 
  1603.  
  1604. + Statement from DoD 5200.28-STD 
  1605.  
  1606. The TCB shall define and control access between named  users 
  1607. and named objects (e.g., files and programs) in the ADP sys- 
  1608. tem.  The  enforcement  mechanism  (e.g.,  self/group/public 
  1609. controls, access control lists) shall allow users to specify 
  1610. and control sharing of those objects by named individuals or 
  1611. defined  groups  OF  INDIVIDUALS, or both, AND SHALL PROVIDE 
  1612. CONTROLS TO LIMIT PROPAGATION OF ACCESS RIGHTS.  THE DISCRE- 
  1613. TIONARY  ACCESS  CONTROL MECHANISM SHALL, EITHER BY EXPLICIT 
  1614. USER ACTION OR BY DEFAULT, PROVIDE  THAT  OBJECTS  ARE  PRO- 
  1615. TECTED  FROM  UNAUTHORIZED  ACCESS.   THESE  ACCESS CONTROLS 
  1616. SHALL BE CAPABLE OF INCLUDING OR  EXCLUDING  ACCESS  TO  THE 
  1617. GRANULARITY  OF  A  SINGLE  USER.   ACCESS  PERMISSION TO AN 
  1618. OBJECT BY USERS NOT  ALREADY  POSSESSING  ACCESS  PERMISSION 
  1619. SHALL ONLY BE ASSIGNED BY AUTHORIZED USERS. 
  1620.  
  1621. +  Interpretation 
  1622.  
  1623.      The discretionary access control (DAC) mechanism(s) may 
  1624. be  distributed  over  the partitioned NTCB in various ways. 
  1625. Some part, all, or none of the DAC may be implemented  in  a 
  1626. given  component of the network system.  In particular, com- 
  1627. ponents that support only internal subjects (i.e., that have 
  1628. no  subjects acting as direct surrogates for users), such as 
  1629. a public network packet switch, might not implement the  DAC 
  1630. mechanism(s)  directly  (e.g.,  they are unlikely to contain 
  1631. access control lists). 
  1632.  
  1633.      Identification of users by groups may  be  achieved  in 
  1634. various  ways  in  the networking environment.  For example, 
  1635. the network identifiers (e.g., internet addresses) for vari- 
  1636. ous  components (e.g., hosts, gateways) can be used as iden- 
  1637. tifiers of groups of individual users (e.g., "all  users  at 
  1638. Host  A," "all users of network Q") SO LONG AS THE INDIVIDU- 
  1639. ALS INVOLVED IN THE GROUP ARE IMPLIED BY THE GROUP  IDENTIF- 
  1640. IER. FOR EXAMPLE, HOST A MIGHT EMPLOY A PARTICULAR GROUP-ID, 
  1641. FOR WHICH IT MAINTAINS A LIST  OF  EXPLICIT  USERS  IN  THAT 
  1642. GROUP,  IN  ITS  NETWORK EXCHANGE WITH HOST B, WHICH ACCEPTS 
  1643. THE GROUP-ID UNDER THE CONDITIONS OF THIS INTERPRETATION. 
  1644.  
  1645.      For networks, individual hosts will impose need-to-know 
  1646. controls over their users ON THE BASIS OF NAMED INDIVIDUALS 
  1647. - much like (in fact, probably the same) controls used  when 
  1648. there is no network connection. 
  1649.  
  1650.      When group identifiers are acceptable for  access  con- 
  1651. trol,  the identifier of some other host may be employed, to 
  1652. eliminate the maintenance that would be required if  indivi- 
  1653. dual  identification of remote users was employed.  IN CLASS 
  1654. C2 AND HIGHER, HOWEVER, IT MUST BE POSSIBLE FROM THAT  AUDIT 
  1655. RECORD  TO  IDENTIFY  (IMMEDIATELY  OR  AT  SOME LATER TIME) 
  1656. EXACTLY THE INDIVIDUALS REPRESENTED BY A GROUP IDENTIFIER AT 
  1657. THE TIME OF THE USE OF THAT IDENTIFIER.  THERE IS ALLOWED TO 
  1658. BE AN UNCERTAINTY BECAUSE OF ELAPSED TIME BETWEEN CHANGES IN 
  1659. THE  GROUP MEMBERSHIP AND THE ENFORCEMENT IN THE ACCESS CON- 
  1660. TROL MECHANISMS. 
  1661.  
  1662.      The DAC mechanism of a NTCB  partition  may  be  imple- 
  1663. mented  at  the interface of the reference monitor or may be 
  1664. distributed in subjects that are part of  the  NTCB  in  the 
  1665. same  or  different component. The reference monitor manages 
  1666. all the physical resources  of  the  system  and  from  them 
  1667. creates the abstraction of subjects and objects that it con- 
  1668. trols. Some of these subjects and objects  may  be  used  to 
  1669. implement  a  part  of  the NTCB.  WHEN THE DAC MECHANISM IS 
  1670. DISTRIBUTED IN SUCH NTCB SUBJECTS (I.E.,  WHEN  OUTSIDE  THE 
  1671. REFERENCE  MONITOR),  THE  ASSURANCE  REQUIREMENTS  (SEE THE 
  1672. ASSURANCE SECTION) FOR THE DESIGN AND IMPLEMENTATION OF  THE 
  1673. DAC  SHALL BE THOSE OF CLASS C2 FOR ALL NETWORKS OF CLASS C2 
  1674. OR ABOVE. 
  1675.  
  1676.      When integrity is included as part of the network  dis- 
  1677. cretionary  security policy, the above interpretations shall 
  1678. be specifically applied to the controls  over  modification, 
  1679. viz,  the  write mode of access, within each component based 
  1680. on identified users or groups of users. 
  1681.  
  1682. +  Rationale 
  1683.  
  1684.      In this class, THE SUPPORTING ELEMENTS OF  THE  OVERALL 
  1685. DAC  MECHANISM ARE REQUIRED TO ISOLATE INFORMATION (OBJECTS) 
  1686. THAT SUPPORTS DAC SO THAT IT IS SUBJECT TO AUDITING REQUIRE- 
  1687. MENTS  (SEE  THE  SYSTEM  ARCHITECTURE SECTION).  THE USE OF 
  1688. NETWORK IDENTIFIERS TO IDENTIFY GROUPS OF  INDIVIDUAL  USERS 
  1689. COULD  BE  IMPLEMENTED, FOR EXAMPLE, AS AN X.25 COMMUNITY OF 
  1690. INTEREST IN THE NETWORK PROTOCOL LAYER (LAYER  3).   IN  ALL 
  1691. OTHER  RESPECTS,  the supporting elements of the overall DAC 
  1692. mechanism are treated  exactly  as  untrusted  subjects  are 
  1693. treated  with respect to DAC in an ADP system, with the same 
  1694. result as noted in the interpretation. 
  1695.  
  1696.      A typical situation for DAC is that a surrogate process 
  1697. for a remote user will be created in some host for access to 
  1698. objects under the control of the NTCB partition within  that 
  1699. host.  The interpretation requires that a user identifier be 
  1700. assigned and maintained for each such process by  the  NTCB, 
  1701. so  that  access by a surrogate process is subject to essen- 
  1702. tially the same discretionary controls as access by  a  pro- 
  1703. cess  acting  on  behalf of a local user would be.  However, 
  1704. within this interpretation a range of  possible  interpreta- 
  1705. tions of the assigned user identification is permitted. 
  1706.  
  1707.      The most obvious situation  would  exist  if  a  global 
  1708. database of network users were to be made permanently avail- 
  1709. able on demand to every host, (i.e., a name server  existed) 
  1710. so that all user identifications were globally meaningful. 
  1711.  
  1712.      It is also acceptable, however, for  some  NTCB  parti- 
  1713. tions to maintain a database of locally-registered users for 
  1714. its own use.  In such a case, one could  choose  to  inhibit 
  1715. the creation of surrogate processes for locally unregistered 
  1716. users, or (if permitted by the local policy)  alternatively, 
  1717. to   permit   the   creation  of  surrogate  processes  with 
  1718. preselected user and group  identifiers  which,  in  effect, 
  1719. identify the process as executing on behalf of a member of a 
  1720. group of users on a particular remote host.  The  intent  of 
  1721. the  words concerning audit in the interpretation is to pro- 
  1722. vide a minimally acceptable degree of auditability for cases 
  1723. such  as the last described.  What is required is that there 
  1724. be a capability, using the audit facilities provided by  the 
  1725. network  NTCB  partitions  involved,  to  determine  who was 
  1726. logged in at the actual host of the group of remote users at 
  1727. the time the surrogate processing occured. 
  1728.  
  1729.      Associating the proper user id with a surrogate process 
  1730. is  the job of identification and authentication. This means 
  1731. that DAC is applied locally, with respect to the user id  of 
  1732. the  surrogate  process.   The transmission of the data back 
  1733. across the network to the user's host, and the creation of a 
  1734. copy of the data there, is not the business of DAC. 
  1735.  
  1736.      Components that support only internal  subjects  impact 
  1737. the implementation of the DAC by providing services by which 
  1738. information (e.g., a user-id) is made available  to  a  com- 
  1739. ponent  that makes a DAC decision.  An example of the latter 
  1740. would be the case that a user at Host A attempts to access a 
  1741. file  at  Host  B.   The  DAC decision might be (and usually 
  1742. would be) made at Host B on the basis of a user-id transmit- 
  1743. ted from Host A to Host B. 
  1744.  
  1745.      Unique user identification may be achieved by a variety 
  1746. of  mechanisms, including (a) a requirement for unique iden- 
  1747. tification and authentication on the host where access takes 
  1748. place;   (b)    recognition   of   fully  qualified  network 
  1749. addresses authenticated by another host and forwarded to the 
  1750. host where access takes place; or (c) administrative support 
  1751. of a network-wide unique personnel identifier that could  be 
  1752. authenticated and forwarded by another host as in (b) above, 
  1753. or could be authenticated and forwarded by a dedicated  net- 
  1754. work  identification  and authentication server.  The proto- 
  1755. cols which implement (b) or (c) are subject  to  the  System 
  1756. Architecture requirements. 
  1757.  
  1758.      Network support for DAC might be handled in other  ways 
  1759. than  that described as "typical" above. In particular, some 
  1760. form of centralized access control is  often  proposed.   An 
  1761. access  control center may make all decisions for DAC, or it 
  1762. may share the burden with the hosts by controlling  host-to- 
  1763. host  connections, and leaving the hosts to decide on access 
  1764. to their objects by users at a limited set of remote  hosts. 
  1765. In  this case the access control center provides the linkage 
  1766. between the connection oriented abstraction (as discussed in 
  1767. the  Introduction)  and  the overall network security policy 
  1768. for DAC.  In all cases the enforcement of the decision  must 
  1769. be provided by the host where the object resides. 
  1770.  
  1771. 2.2.1.2  Object Reuse 
  1772.  
  1773. + Statement from DoD 5200.28-STD 
  1774.  
  1775. ALL AUTHORIZATIONS TO THE  INFORMATION  CONTAINED  WITHIN  A 
  1776. STORAGE OBJECT SHALL BE REVOKED PRIOR TO INITIAL ASSIGNMENT, 
  1777. ALLOCATION OR REALLOCATION TO A SUBJECT FROM THE TCB'S  POOL 
  1778. OF   UNUSED  STORAGE  OBJECTS.   NO  INFORMATION,  INCLUDING 
  1779. ENCRYPTED REPRESENTATIONS  OF  INFORMATION,  PRODUCED  BY  A 
  1780. PRIOR  SUBJECT'S  ACTIONS  IS TO BE AVAILABLE TO ANY SUBJECT 
  1781. THAT OBTAINS ACCESS TO AN OBJECT THAT HAS BEEN RELEASED BACK 
  1782. TO THE SYSTEM. 
  1783.  
  1784. +  Interpretation 
  1785.  
  1786.      THE NTCB SHALL ENSURE THAT ANY STORAGE OBJECTS THAT  IT 
  1787. CONTROLS  (E.G., MESSAGE BUFFERS UNDER THE CONTROL OF A NTCB 
  1788. PARTITION IN A COMPONENT) CONTAIN NO INFORMATION FOR WHICH A 
  1789. SUBJECT  IN THAT COMPONENT IS NOT AUTHORIZED BEFORE GRANTING 
  1790. ACCESS.  THIS REQUIREMENT MUST BE ENFORCED BY  EACH  OF  THE 
  1791. NTCB PARTITIONS. 
  1792.  
  1793. +  Rationale 
  1794.  
  1795.      IN A NETWORK SYSTEM, STORAGE OBJECTS  OF  INTEREST  ARE 
  1796. THINGS  THAT  THE  NTCB  DIRECTLY  CONTROLS, SUCH AS MESSAGE 
  1797. BUFFERS IN COMPONENTS.  EACH COMPONENT OF THE NETWORK SYSTEM 
  1798. MUST  ENFORCE  THE  OBJECT REUSE REQUIREMENT WITH RESPECT TO 
  1799. THE STORAGE OBJECTS OF INTEREST AS DETERMINED BY THE NETWORK 
  1800. SECURITY  POLICY.   FOR EXAMPLE, THE DAC REQUIREMENT IN THIS 
  1801. DIVISION LEADS TO THE REQUIREMENT HERE THAT MESSAGE  BUFFERS 
  1802. BE  UNDER  THE  CONTROL  OF  THE  NTCB  PARTITION.  A BUFFER 
  1803. ASSIGNED TO AN INTERNAL SUBJECT MAY BE REUSED AT THE DISCRE- 
  1804. TION OF THAT SUBJECT WHICH IS RESPONSIBLE FOR PRESERVING THE 
  1805. INTEGRITY OF MESSAGE STREAMS.  SUCH CONTROLLED  OBJECTS  MAY 
  1806. BE  IMPLEMENTED IN PHYSICAL RESOURCES, SUCH AS BUFFERS, DISK 
  1807. SECTORS, TAPE SPACE, AND MAIN MEMORY, IN COMPONENTS SUCH  AS 
  1808. NETWORK SWITCHES. 
  1809.  
  1810.  
  1811. 2.2.2 Accountability 
  1812. _ _ _ ______________ 
  1813.  
  1814.  
  1815. 2.2.2.1 Identification and Authentication 
  1816.  
  1817. + Statement from DoD 5200.28-STD 
  1818.  
  1819. The TCB shall require users to  identify  themselves  to  it 
  1820. before  beginning  to perform any other actions that the TCB 
  1821. is expected to mediate.  Furthermore, the TCB  shall  use  a 
  1822. protected  mechanism  (e.g.,  passwords) to authenticate the 
  1823. user's identity. The TCB shall protect  authentication  data 
  1824. so that it cannot be accessed by any unauthorized user.  THE 
  1825. TCB SHALL BE ABLE TO ENFORCE  INDIVIDUAL  ACCOUNTABILITY  BY 
  1826. PROVIDING  THE  CAPABILITY TO UNIQUELY IDENTIFY EACH INDIVI- 
  1827. DUAL ADP SYSTEM USER.  THE TCB SHALL ALSO PROVIDE THE  CAPA- 
  1828. BILITY  OF  ASSOCIATING  THIS  IDENTITY  WITH  ALL AUDITABLE 
  1829. ACTIONS TAKEN BY THAT INDIVIDUAL. 
  1830.  
  1831. +  Interpretation 
  1832.  
  1833.      The requirement for identification  and  authentication 
  1834. of users is the same for a network system as for an ADP sys- 
  1835. tem. The identification and authentication may  be  done  by 
  1836. the  component  to  which  the user is directly connected or 
  1837. some other component, such as an identification and  authen- 
  1838. tication  server.   Available  techniques,  such  as   those 
  1839. described  in  the  Password  Guideline=, are generally also 
  1840. applicable in the network context. However, in  cases  where 
  1841. the  NTCB is expected to mediate actions of a host (or other 
  1842. network component) that is acting on behalf  of  a  user  or 
  1843. group  of  users,  the  NTCB  may  employ identification and 
  1844. authentication of the host (or other component) in  lieu  of 
  1845. identification  and authentication of an individual user, SO 
  1846. LONG AS THE COMPONENT IDENTIFIER IMPLIES A LIST OF  SPECIFIC 
  1847. USERS UNIQUELY ASSOCIATED WITH THE IDENTIFIER AT THE TIME OF 
  1848. ITS USE FOR AUTHENTICATION.  THIS REQUIREMENT DOES NOT APPLY 
  1849. TO INTERNAL SUBJECTS. 
  1850.  
  1851.      Authentication information, including the identity of a 
  1852. user  (once  authenticated) may be passed from one component 
  1853. to another without reauthentication, so  long  as  the  NTCB 
  1854. protects  (e.g.,  by  encryption) the information from unau- 
  1855. thorized disclosure and modification. This protection  shall 
  1856. provide  at  least a similar level of assurance (or strength 
  1857. of mechanism) as pertains to the protection of the authenti- 
  1858. cation mechanism and authentication data. 
  1859.  
  1860. +  Rationale 
  1861.  
  1862.      The need for accountability is not changed in the  con- 
  1863. text  of a network system.  The fact that the NTCB is parti- 
  1864. tioned over a set of components neither reduces the need nor 
  1865. imposes  new requirements.  That is, individual accountabil- 
  1866. ity is still the objective. ALSO, in the context of  a  net- 
  1867. work system at the (C2) LEVEL OR HIGHER  "INDIVIDUAL ACCOUN- 
  1868. TABILITY" CAN BE SATISFIED BY IDENTIFICATION OF A  HOST  (OR 
  1869. OTHER COMPONENT) SO LONG AS THE REQUIREMENT FOR TRACEABILITY 
  1870. TO INDIVIDUAL USERS OR A SET OF  SPECIFIC  INDIVIDUAL  USERS 
  1871. WITH ACTIVE SUBJECTS IS SATISFIED. THERE IS ALLOWED TO BE AN 
  1872. UNCERTAINTY IN TRACEABILITY BECAUSE OF ELAPSED TIME  BETWEEN 
  1873. CHANGES  IN  THE GROUP MEMBERSHIP AND THE ENFORCEMENT IN THE 
  1874. ACCESS CONTROL MECHANISMS.  In addition, there is no need in 
  1875. a  distributed processing system like a network to reauthen- 
  1876. ticate a user at each point in the network where  a  projec- 
  1877. tion  of  a user (via the subject operating on behalf of the 
  1878. user) into another remote subject takes place. 
  1879. _________________________ 
  1880.   = Department of Defense  Password  Management  Guide- 
  1881.     __________ __ _______  ________  __________  _____ 
  1882. line, CSC-STD-002-85 
  1883. ____ 
  1884.  
  1885.      The passing of identifiers and/or authentication infor- 
  1886. mation from one component to another is usually done in sup- 
  1887. port to the implementation of the discretionary access  con- 
  1888. trol  (DAC).   This  support  relates  directly  to  the DAC 
  1889. regarding access by a user to a storage  object  in  a  dif- 
  1890. ferent  NTCB  partition  than  the  one  where  the user was 
  1891. authenticated. Employing a forwarded identification  implies 
  1892. additional  reliance  on the source and components along the 
  1893. path. 
  1894.  
  1895.  
  1896. 2.2.2.2 Audit 
  1897.  
  1898. + Statement from DoD 5200.28-STD 
  1899.  
  1900. THE TCB SHALL BE ABLE TO CREATE, MAINTAIN, AND PROTECT  FROM 
  1901. MODIFICATION  OR UNAUTHORIZED ACCESS OR DESTRUCTION AN AUDIT 
  1902. TRAIL OF ACCESSES TO THE OBJECTS  IT  PROTECTS.   THE  AUDIT 
  1903. DATA SHALL BE PROTECTED BY THE TCB SO THAT READ ACCESS TO IT 
  1904. IS LIMITED TO THOSE WHO ARE AUTHORIZED FOR AUDIT DATA.   THE 
  1905. TCB  SHALL  BE ABLE TO RECORD THE FOLLOWING TYPES OF EVENTS: 
  1906. USE OF IDENTIFICATION AND AUTHENTICATION MECHANISMS,  INTRO- 
  1907. DUCTION  OF  OBJECTS INTO A USER'S ADDRESS SPACE (E.G., FILE 
  1908. OPEN, PROGRAM  INITIATION),  DELETION  OF  OBJECTS,  ACTIONS 
  1909. TAKEN BY COMPUTER OPERATORS AND SYSTEM ADMINISTRATORS AND/OR 
  1910. SYSTEM  SECURITY  OFFICERS,  AND  OTHER  SECURITY   RELEVANT 
  1911. EVENTS.  FOR  EACH  RECORDED  EVENT,  THE AUDIT RECORD SHALL 
  1912. IDENTIFY: DATE AND TIME OF THE EVENT, USER, TYPE  OF  EVENT, 
  1913. AND    SUCCESS    OR    FAILURE    OF    THE   EVENT.    FOR 
  1914. IDENTIFICATION/AUTHENTICATION EVENTS THE ORIGIN  OF  REQUEST 
  1915. (E.G.,  TERMINAL  ID) SHALL BE INCLUDED IN THE AUDIT RECORD. 
  1916. FOR EVENTS THAT INTRODUCE AN OBJECT INTO  A  USER'S  ADDRESS 
  1917. SPACE  AND FOR OBJECT DELETION EVENTS THE AUDIT RECORD SHALL 
  1918. INCLUDE THE NAME OF THE OBJECT.  THE ADP SYSTEM  ADMINISTRA- 
  1919. TOR  SHALL  BE  ABLE TO SELECTIVELY AUDIT THE ACTIONS OF ANY 
  1920. ONE OR MORE USERS BASED ON INDIVIDUAL IDENTITY. 
  1921.  
  1922. +  Interpretation 
  1923.  
  1924.      THIS CRITERION APPLIES  AS  STATED.  THE  SPONSOR  MUST 
  1925. SELECT  WHICH  EVENTS ARE AUDITABLE.  IF ANY SUCH EVENTS ARE 
  1926. NOT DISTINGUISHABLE BY THE NTCB  ALONE  (FOR  EXAMPLE  THOSE 
  1927. IDENTIFIED IN PART II), THE AUDIT MECHANISM SHALL PROVIDE AN 
  1928. INTERFACE, WHICH  AN  AUTHORIZED  SUBJECT  CAN  INVOKE  WITH 
  1929. PARAMETERS  SUFFICIENT  TO  PRODUCE  AN AUDIT RECORD.  THESE 
  1930. AUDIT RECORDS SHALL BE DISTINGUISHABLE FROM  THOSE  PROVIDED 
  1931. BY  THE  NTCB.   IN  THE CONTEXT OF A NETWORK SYSTEM, "OTHER 
  1932. SECURITY  RELEVANT  EVENTS"  (DEPENDING  ON  NETWORK  SYSTEM 
  1933. ARCHITECTURE  AND  NETWORK SECURITY POLICY) MIGHT BE AS FOL- 
  1934. LOWS: 
  1935.  
  1936. 1.      IDENTIFICATION OF EACH ACCESS  EVENT  (E.G.,  ESTAB- 
  1937.         LISHING A CONNECTION OR A CONNECTIONLESS ASSOCIATION 
  1938.         BETWEEN PROCESSES IN TWO HOSTS OF THE  NETWORK)  AND 
  1939.         ITS  PRINCIPAL PARAMETERS (E.G., HOST IDENTIFIERS OF 
  1940.         THE TWO HOSTS INVOLVED IN THE ACCESS EVENT AND  USER 
  1941.         IDENTIFIER  OR  HOST  IDENTIFIER OF THE USER OR HOST 
  1942.         THAT IS REQUESTING THE ACCESS EVENT) 
  1943.  
  1944. 2.      IDENTIFICATION OF THE STARTING AND ENDING  TIMES  OF 
  1945.         EACH  ACCESS  EVENT  USING LOCAL TIME OR GLOBAL SYN- 
  1946.         CHRONIZED TIME 
  1947.  
  1948. 3.      IDENTIFICATION OF SECURITY-RELEVANT EXCEPTIONAL CON- 
  1949.         DITIONS   (E.G.,   POTENTIAL   VIOLATION   OF   DATA 
  1950.         INTEGRITY, SUCH  AS  MISROUTED  DATAGRAMS)  DETECTED 
  1951.         DURING THE TRANSACTIONS BETWEEN TWO HOSTS 
  1952.  
  1953. 4.      UTILIZATION OF CRYPTOGRAPHIC VARIABLES 
  1954.  
  1955. 5.      CHANGING THE CONFIGURATION OF THE NETWORK  (E.G.,  A 
  1956.         COMPONENT LEAVING THE NETWORK AND REJOINING) 
  1957.  
  1958.      IN  ADDITION,  IDENTIFICATION  INFORMATION  SHOULD   BE 
  1959. INCLUDED  IN  APPROPRIATE AUDIT TRAIL RECORDS, AS NECESSARY, 
  1960. TO ALLOW ASSOCIATION OF ALL  RELATED  (E.G.,  INVOLVING  THE 
  1961. SAME  NETWORK EVENT) AUDIT TRAIL RECORDS (E.G., AT DIFFERENT 
  1962. HOSTS) WITH EACH OTHER.  FURTHERMORE,  A  COMPONENT  OF  THE 
  1963. NETWORK  SYSTEM  MAY  PROVIDE  THE REQUIRED AUDIT CAPABILITY 
  1964. (E.G., STORAGE, RETRIEVAL, REDUCTION,  ANALYSIS)  FOR  OTHER 
  1965. COMPONENTS  THAT  DO  NOT  INTERNALLY  STORE  AUDIT DATA BUT 
  1966. TRANSMIT THE AUDIT DATA TO SOME DESIGNATED  COLLECTION  COM- 
  1967. PONENT.   PROVISIONS  SHALL  BE  MADE TO CONTROL THE LOSS OF 
  1968. AUDIT DATA DUE TO UNAVAILABILITY OF RESOURCES. 
  1969.  
  1970.      IN THE CONTEXT OF A NETWORK SYSTEM, THE "USER'S ADDRESS 
  1971. SPACE"  IS  EXTENDED,  FOR  OBJECT INTRODUCTION AND DELETION 
  1972. EVENTS, TO INCLUDE ADDRESS SPACES BEING EMPLOYED  ON  BEHALF 
  1973. OF  A  REMOTE USER (OR HOST).  HOWEVER, THE FOCUS REMAINS ON 
  1974. USERS IN CONTRAST TO INTERNAL SUBJECTS AS DISCUSSED  IN  THE 
  1975. DAC  CRITERION.   IN  ADDITION,  AUDIT  INFORMATION  MUST BE 
  1976. STORED IN MACHINE-READABLE FORM. 
  1977.  
  1978. +  Rationale 
  1979.  
  1980.      FOR REMOTE USERS, THE NETWORK IDENTIFIERS (E.G., INTER- 
  1981. NET ADDRESS) CAN BE USED AS IDENTIFIERS OF GROUPS OF INDIVI- 
  1982. DUAL USERS (E.G., "ALL USERS AT HOST A")  TO  ELIMINATE  THE 
  1983. MAINTENANCE THAT WOULD BE REQUIRED IF INDIVIDUAL IDENTIFICA- 
  1984. TION OF REMOTE USERS WAS EMPLOYED.  IN THIS CLASS (C2), HOW- 
  1985. EVER,  IT  MUST  BE  POSSIBLE TO IDENTIFY (IMMEDIATELY OR AT 
  1986. SOME LATER TIME) THE  INDIVIDUALS  REPRESENTED  BY  A  GROUP 
  1987. IDENTIFIER.   IN ALL OTHER RESPECTS, THE INTERPRETATION IS A 
  1988. STRAIGHTFORWARD EXTENSION OF THE CRITERION INTO THE  CONTEXT 
  1989. OF A NETWORK SYSTEM. 
  1990.  
  1991.  
  1992. 2.2.3 Assurance 
  1993. _ _ _ _________ 
  1994.  
  1995.  
  1996. 2.2.3.1 Operational Assurance 
  1997.  
  1998.  
  1999. 2.2.3.1.1 System Architecture 
  2000.  
  2001. + Statement from DoD 5200.28-STD 
  2002.  
  2003. The TCB shall maintain a domain for its own  execution  that 
  2004. protects  it  from external interference or tampering (e.g., 
  2005. by modification of its code or data structures).   Resources 
  2006. controlled  by  the  TCB may be a defined subset of the sub- 
  2007. jects and objects in the ADP system. THE TCB  SHALL  ISOLATE 
  2008. THE  RESOURCES  TO  BE PROTECTED SO THAT THEY ARE SUBJECT TO 
  2009. THE ACCESS CONTROL AND AUDITING REQUIREMENTS. 
  2010.  
  2011. +  Interpretation 
  2012.  
  2013.      The system architecture criterion must be met individu- 
  2014. ally by all NTCB partitions.  Implementation of the require- 
  2015. ment that the NTCB maintain a domain for its  own  execution 
  2016. is  achieved by having each NTCB partition maintain a domain 
  2017. for its own execution. 
  2018.  
  2019.      The subset of network resources over which the NTCB has 
  2020. control  are  the  union of the sets of resources over which 
  2021. the NTCB partitions have control.  Code and data  structures 
  2022. belonging  to  the  NTCB,  transferred  among  NTCB subjects 
  2023. (i.e., subjects outside the reference monitor but inside the 
  2024. NTCB)  belonging  to different NTCB partitions, must be pro- 
  2025. tected against  external  interference  or  tampering.   For 
  2026. example,  a  cryptographic checksum or physical means may be 
  2027. employed  to  protect  user  authentication  data  exchanged 
  2028. between NTCB partitions. 
  2029.  
  2030.      EACH NTCB PARTITION  PROVIDES  ISOLATION  OF  RESOURCES 
  2031. (WITHIN  ITS  COMPONENT)  TO BE PROTECTED IN ACCORD WITH THE 
  2032. NETWORK SYSTEM ARCHITECTURE AND SECURITY POLICY. 
  2033.  
  2034. +  Rationale 
  2035.  
  2036.  
  2037.      The requirement for the  protection  of  communications 
  2038. between NTCB partitions is specifically directed to subjects 
  2039. that are part of the NTCB partitions.  Any requirements  for 
  2040. such  protection  for the subjects that are outside the NTCB 
  2041. partitions  are  addressed  in  response  to  the  integrity 
  2042. requirements of the security policy. 
  2043.  
  2044.      ISOLATION OF THE RESOURCES  TO  BE  PROTECTED  PROVIDES 
  2045. ADDITIONAL  PROTECTION, COMPARED TO CLASS (C1), THAT MECHAN- 
  2046. ISMS THAT DEPEND ON THE RESOURCE (E.G., DAC AND  USER  IDEN- 
  2047. TIFICATION) WILL OPERATE CORRECTLY. 
  2048.  
  2049. 2.2.3.1.2 System Integrity 
  2050.  
  2051. + Statement from DoD 5200.28-STD 
  2052.  
  2053. Hardware and/or software features shall be provided that can 
  2054. be  used  to  periodically validate the correct operation of 
  2055. the on-site hardware and firmware elements of the TCB. 
  2056.  
  2057. +  Interpretation 
  2058.  
  2059.      Implementation of the requirement is partly achieved by 
  2060. having hardware and/or software features that can be used to 
  2061. periodically validate the correct operation of the  hardware 
  2062. and  firmware  elements  of each component's NTCB partition. 
  2063. Features shall also be provided to validate the identity and 
  2064. correct  operation of a component prior to its incorporation 
  2065. in the network system and throughout system operation.   For 
  2066. example,  a protocol could be designed that enables the com- 
  2067. ponents of the partitioned NTCB to exchange messages period- 
  2068. ically  and validate each other's correct response. The pro- 
  2069. tocol shall be able to determine the remote entity's ability 
  2070. to  respond. NTCB partitions shall provide the capability to 
  2071. report to  network  administrative  personnel  the  failures 
  2072. detected in other NTCB partitions. 
  2073.  
  2074.      Intercomponent  protocols  implemented  within  a  NTCB 
  2075. shall be designed in such a way as to provide correct opera- 
  2076. tion in the case of failures of  network  communications  or 
  2077. individual  components.   The  allocation  of  discretionary 
  2078. access control policy in a network may require communication 
  2079. between  trusted  subjects  that are part of the NTCB parti- 
  2080. tions in different components.  This communication  is  nor- 
  2081. mally  implemented  with  a protocol between the subjects as 
  2082. peer entities.  Incorrect access within  a  component  shall 
  2083. not  result from failure of an NTCB partition to communicate 
  2084. with other components. 
  2085.  
  2086. + Rationale 
  2087.  
  2088.      The  first  paragraph  of  the  interpretation   is   a 
  2089. straightforward  extension  of the requirement into the con- 
  2090. text of a network system and partitioned NTCB as defined for 
  2091. these network criteria. 
  2092.  
  2093.      NTCB protocols should be robust  enough  so  that  they 
  2094. permit the system to operate correctly in the case of local- 
  2095. ized failure. The purpose of this protection is to  preserve 
  2096. the integrity of the NTCB itself.  It is not unusual for one 
  2097. or more components in a network to  be  inoperative  at  any 
  2098. time,  so  it  is  important to minimize the effects of such 
  2099. failures on the rest of the  network.  Additional  integrity 
  2100. and denial of service issues are addressed in Part II. 
  2101.  
  2102. 2.2.3.2 Life-Cycle Assurance 
  2103.  
  2104.  
  2105. 2.2.3.2.1 Security Testing 
  2106.  
  2107. + Statement from DoD 5200.28-STD 
  2108.  
  2109. The security mechanisms of the ADP system  shall  be  tested 
  2110. and  found  to  work as claimed in the system documentation. 
  2111. Testing shall be done to assure that there  are  no  obvious 
  2112. ways  for an unauthorized user to bypass or otherwise defeat 
  2113. the security protection mechanisms of the TCB. TESTING SHALL 
  2114. ALSO  INCLUDE  A  SEARCH  FOR OBVIOUS FLAWS THAT WOULD ALLOW 
  2115. VIOLATION OF RESOURCE ISOLATION, OR THAT WOULD PERMIT  UNAU- 
  2116. THORIZED  ACCESS  TO  THE AUDIT OR AUTHENTICATION DATA. (See 
  2117. the Security Testing Guidelines.) 
  2118.  
  2119. +  Interpretation 
  2120.  
  2121.      Testing of a component  will  require  a  testbed  that 
  2122. exercises  the  interfaces  and  protocols  of the COMPONENT 
  2123. INCLUDING TESTS UNDER EXCEPTIONAL CONDITIONS.   The  testing 
  2124. of  a  security  mechanism of the network system for meeting 
  2125. this criterion shall  be  an  integrated  testing  procedure 
  2126. involving  all  components containing an NTCB partition that 
  2127. implement the given mechanism. This  integrated  testing  is 
  2128. additional to any individual component tests involved in the 
  2129. evaluation of the network system.  The sponsor should  iden- 
  2130. tify the allowable set of configurations including the sizes 
  2131. of the networks.  Analysis or testing procedures  and  tools 
  2132. shall  be  available  to test the limits of these configura- 
  2133. tions.  A change in configuration within the  allowable  set 
  2134. of configurations does not require retesting. 
  2135.  
  2136. +  Rationale 
  2137.  
  2138.      Testing is the primary method available in this evalua- 
  2139. tion  division  to  gain  any  assurance  that  the security 
  2140. mechanisms perform their intended function. 
  2141.  
  2142.  
  2143. 2.2.4 Documentation 
  2144. _ _ _ _____________ 
  2145.  
  2146.  
  2147. 2.2.4.1 Security Features User's Guide 
  2148.  
  2149. + Statement from DoD 5200.28-STD 
  2150.  
  2151. A single summary, chapter, or manual in  user  documentation 
  2152. shall  describe  the  protection  mechanisms provided by the 
  2153. TCB, interpretations on their use,  and  how  they  interact 
  2154. with one another. 
  2155.  
  2156. +  Interpretation 
  2157.  
  2158.      This user documentation describes user visible  protec- 
  2159. tion  mechanisms at the global (network system) level and at 
  2160. the user interface of each component,  and  the  interaction 
  2161. among these. 
  2162.  
  2163. +  Rationale 
  2164.  
  2165.      The interpretation is an extension of  the  requirement 
  2166. into  the  context  of a network system as defined for these 
  2167. network criteria.  Documentation  of  protection  mechanisms 
  2168. provided  by  individual  components is required by the cri- 
  2169. teria for trusted  computer  systems  that  are  applied  as 
  2170. appropriate for the individual components. 
  2171.  
  2172.  
  2173. 2.2.4.2 Trusted Facility Manual 
  2174.  
  2175. + Statement from DoD 5200.28-STD 
  2176.  
  2177. A manual addressed to the  ADP  system  administrator  shall 
  2178. present  cautions about functions and privileges that should 
  2179. be controlled when running a secure facility. THE PROCEDURES 
  2180. FOR EXAMINING AND MAINTAINING THE AUDIT FILES AS WELL AS THE 
  2181. DETAILED AUDIT RECORD STRUCTURE FOR EACH TYPE OF AUDIT EVENT 
  2182. SHALL BE GIVEN. 
  2183.  
  2184. + Interpretation 
  2185.  
  2186.      This manual shall contain specifications and procedures 
  2187. to assist the system administrator(s) maintain cognizance of 
  2188. the network configuration.  These  specifications  and  pro- 
  2189. cedures shall address the following: 
  2190.  
  2191. 1.      The hardware configuration of the network itself; 
  2192.  
  2193. 2.      The implications of attaching new components to  the 
  2194.         network; 
  2195.  
  2196. 3.      The case where certain components  may  periodically 
  2197.         leave  the  network  (e.g., by crashing, or by being 
  2198.         disconnected) and then rejoin; 
  2199.  
  2200. 4.      Network configuration aspects that  can  impact  the 
  2201.         security  of  the  network system; (For example, the 
  2202.         manual  should  describe  for  the  network   system 
  2203.         administrator  the interconnections among components 
  2204.         that are consistent with the overall network  system 
  2205.         architecture.) 
  2206.  
  2207. 5.      Loading  or  modifying  NTCB  software  or  firmware 
  2208.         (e.g., down-line loading). 
  2209.  
  2210.      The physical and administrative environmental  controls 
  2211. shall  be  specified.   Any  assumptions about security of a 
  2212. given network should be clearly stated (e.g., the fact  that 
  2213. all  communications  links must be physically protected to a 
  2214. certain level). 
  2215.  
  2216. + Rationale 
  2217.  
  2218.      There  may  be  multiple  system  administrators   with 
  2219. diverse  responsibilities.   The technical security measures 
  2220. described by these criteria must be used in conjunction with 
  2221. other  forms of security in order to achieve security of the 
  2222. network.  Additional forms include administrative  security, 
  2223. physical security, emanations security, etc. 
  2224.  
  2225.      Extension of  this  criterion  to  cover  configuration 
  2226. aspects  of  the  network  is  needed  because, for example, 
  2227. proper interconnection of components is typically  essential 
  2228. to  achieve  a  correct realization of the network architec- 
  2229. ture. 
  2230.  
  2231.      Cryptography  is one common mechanism employed to  pro- 
  2232. tect  communication  circuits.   Encryption  transforms  the 
  2233. representation of information so that it  is  unintelligible 
  2234. to  unauthorized  subjects.  Reflecting this transformation, 
  2235. the sensitivity of the ciphertext is  generally  lower  than 
  2236. the  cleartext.   If  encryption methodologies are employed, 
  2237. they shall be  approved  by  the  National  Security  Agency 
  2238. (NSA). 
  2239.  
  2240.      The encryption algorithm  and  its  implementation  are 
  2241. outside  the scope of these interpretations.  This algorithm 
  2242. and implementation may be implemented in a  separate  device 
  2243. or  may  be a function of a subject in a component not dedi- 
  2244. cated to encryption.  Without prejudice, either  implementa- 
  2245. tion  packaging  is  referred  to as an encryption mechanism 
  2246. herein. 
  2247.  
  2248.  
  2249. 2.2.4.3 Test Documentation 
  2250.  
  2251. + Statement from DoD 5200.28-STD 
  2252.  
  2253. The system developer shall provide to the evaluators a docu- 
  2254. ment that describes the test plan, test procedures that show 
  2255. how the security mechanisms were tested, and results of  the 
  2256. security mechanisms' functional testing. 
  2257.  
  2258. +  Interpretation 
  2259.  
  2260.      The "system developer" is interpreted as  "the  network 
  2261. system  sponsor".   The  description of the test plan should 
  2262. establish the context in which the testing was or should  be 
  2263. conducted.   The  description should identify any additional 
  2264. test components that  are  not  part  of  the  system  being 
  2265. evaluated.  This includes a description of the test-relevant 
  2266. functions of such test components and a description  of  the 
  2267. interfacing  of  those  test  components to the system being 
  2268. evaluated.  The description of the  test  plan  should  also 
  2269. demonstrate  that  the  tests  adequately  cover the network 
  2270. security policy.  The  tests  should  include  the  features 
  2271. described   in   the  System  Architecture  and  the  System 
  2272. Integrity sections.  The tests should also  include  network 
  2273. configuration and sizing. 
  2274.  
  2275. +  Rationale 
  2276.  
  2277.      The entity being evaluated may be a networking  subsys- 
  2278. tem (see Appendix A) to which other components must be added 
  2279. to make a  complete  network  system.  In  that  case,  this 
  2280. interpretation  is extended to include contextual definition 
  2281. because, at evaluation time, it is not possible to  validate 
  2282. the  test  plans  without the description of the context for 
  2283. testing the networking subsystem. 
  2284.  
  2285.  
  2286. 2.2.4.4 Design Documentation 
  2287.  
  2288. + Statement from DoD 5200.28-STD 
  2289.  
  2290. Documentation shall be available that provides a description 
  2291. of the manufacturer's philosophy of protection and an expla- 
  2292. nation of how this philosophy is translated into the TCB. If 
  2293. the  TCB  is  composed  of  distinct modules, the interfaces 
  2294. between these modules shall be described. 
  2295.  
  2296. +  Interpretation 
  2297.  
  2298.      Explanation of how the sponsor's philosophy of  protec- 
  2299. tion is translated into the NTCB shall include a description 
  2300. of how the NTCB is partitioned.  The  security  policy  also 
  2301. shall  be stated.  The description of the interfaces between 
  2302. the NTCB modules shall include the interface(s) between NTCB 
  2303. partitions  and modules within the partitions if the modules 
  2304. exist.  The sponsor shall describe the security architecture 
  2305. and  design,  including  the allocation of security require- 
  2306. ments among  components.   Appendix  A  addresses  component 
  2307. evaluation issues. 
  2308.  
  2309. +  Rationale 
  2310.  
  2311.      The interpretation is a  straightforward  extension  of 
  2312. the  requirement  into  the  context  of a network system as 
  2313. defined for this network interpretation.   Other  documenta- 
  2314. tion,  such  as description of components and description of 
  2315. operating environment(s) in which the  networking  subsystem 
  2316. or network system is designed to function, is required else- 
  2317. where, e.g., in the Trusted Facility Manual. 
  2318.  
  2319.      In order to be evaluated,  a  network  must  possess  a 
  2320. coherent  Network Security Architecture and Design.  (Inter- 
  2321. connection of components that do not adhere to such a single 
  2322. coherent  Network  Security Architecture is addressed in the 
  2323. Interconnection of Accredited AIS, Appendix C.)  The Network 
  2324. Security  Architecture  must  address  the security-relevant 
  2325. policies, objectives, and protocols.  The  Network  Security 
  2326. Design  specifies  the  interfaces and services that must be 
  2327. incorporated into the network so that it can be evaluated as 
  2328. a  trusted  entity.  There may be multiple designs that con- 
  2329. form to the same architecture but are more or less  incompa- 
  2330. tible and non-interoperable (except through the Interconnec- 
  2331. tion Rules).  Security related mechanisms requiring coopera- 
  2332. tion  among  components are specified in the design in terms 
  2333. of their visible interfaces; mechanisms  having  no  visible 
  2334. interfaces  are  not specified in this document but are left 
  2335. as implementation decisions. 
  2336.  
  2337.      The Network Security Architecture and  Design  must  be 
  2338. available  from the network sponsor before evaluation of the 
  2339. network, or any component, can be undertaken.   The  Network 
  2340. Security  Architecture  and Design must be sufficiently com- 
  2341. plete, unambiguous, and free from obvious  flaws  to  permit 
  2342. the  construction  or assembly of a trusted network based on 
  2343. the structure it specifies. 
  2344.  
  2345.      When a component is being  designed  or  presented  for 
  2346. evaluation,  or  when a network assembled from components is 
  2347. assembled or presented  for  evaluation,  there  must  be  a 
  2348. priori  evidence  that the Network security Architecture and 
  2349. Design are satisfied.  That is, the components can be assem- 
  2350. bled into a network that conforms in every way with the Net- 
  2351. work Security Architecture and Design to produce a  physical 
  2352. realization  that  is trusted to the extent that its evalua- 
  2353. tion indicates. 
  2354.  
  2355.      In order for a trusted network to be  constructed  from 
  2356. components  that  can  be  built  independently, the Network 
  2357. Security Architecture and Design must completely and unambi- 
  2358. guously  define  the security functionality of components as 
  2359. well as the interfaces between  or  among  components.   The 
  2360. Network  Security  Architecture and Design must be evaluated 
  2361. to determine that a network constructed  to  its  specifica- 
  2362. tions  will in fact be trusted, that is, it will be evaluat- 
  2363. able under these interpretations. 
  2364.  
  2365.            3.0 DIVISION B:  MANDATORY PROTECTION 
  2366.  
  2367.  
  2368. The notion of an NTCB that preserves the integrity of sensi- 
  2369. tivity  labels  and  uses them to enforce a set of mandatory 
  2370. access control rules is a major requirement  in  this  divi- 
  2371. sion.   Network systems in this division must carry the sen- 
  2372. sitivity labels with major data structures  in  the  system. 
  2373. The network system sponsor also provides the security policy 
  2374. model on which the NTCB is based and furnishes a  specifica- 
  2375. tion  of the NTCB.  Evidence must be provided to demonstrate 
  2376. that the reference monitor concept has been implemented. 
  2377.  
  2378.  
  2379.         3.1 CLASS (B1):  LABELED SECURITY PROTECTION 
  2380.         _ _ _____  __    _______ ________ __________ 
  2381.  
  2382.  
  2383.      CLASS  (B1)  NETWORK  SYSTEMS  REQUIRE   ALL   THE 
  2384.      FEATURES  REQUIRED FOR CLASS (C2). IN ADDITION, AN 
  2385.      INFORMAL STATEMENT OF THE SECURITY  POLICY  MODEL, 
  2386.      DATA  LABELING,  AND MANDATORY ACCESS CONTROL OVER 
  2387.      SUBJECTS AND STORAGE OBJECTS MUST BE PRESENT.  THE 
  2388.      CAPABILITY  MUST  EXIST  FOR  ACCURATELY  LABELING 
  2389.      EXPORTED INFORMATION.   ANY  FLAWS  IDENTIFIED  BY 
  2390.      TESTING   MUST  BE  REMOVED.   THE  FOLLOWING  ARE 
  2391.      MINIMAL REQUIREMENTS FOR NETWORK SYSTEMS  ASSIGNED 
  2392.      A CLASS (B1) RATING: 
  2393.  
  2394.  
  2395. 3.1.1 Security Policy 
  2396. _ _ _ ________ ______ 
  2397.  
  2398. + Statement from DoD 5200.28-STD 
  2399.  
  2400. Implied from the Introduction to the TCSEC. 
  2401.  
  2402.  
  2403. + Interpretation 
  2404.  
  2405.      The network sponsor shall describe the overall  network 
  2406. security  policy  enforced  by  the NTCB. At a minimum, this 
  2407. policy  shall  include  the  discretionary   AND   MANDATORY 
  2408. requirements  applicable  to  this  class.   The  policy may 
  2409. require data secrecy, or data integrity, or both.  THE  POL- 
  2410. ICY  IS  AN  ACCESS  CONTROL  POLICY HAVING TWO PRIMARY COM- 
  2411. PONENTS:  MANDATORY  AND  DISCRETIONARY.  The  policy  shall 
  2412. include  a  discretionary policy for protecting the informa- 
  2413. tion being processed based on the authorizations of  indivi- 
  2414. duals,  users, or groups of users.  This access control pol- 
  2415. icy statement shall describe the requirements on the network 
  2416. to  prevent  or  detect  "reading  or  destroying" sensitive 
  2417. information by unauthorized users or errors.  THE  MANDATORY 
  2418. POLICY  MUST  DEFINE  THE SET OF DISTINCT SENSITIVITY LEVELS 
  2419. THAT IT SUPPORTS.  FOR THE CLASS B1 OR ABOVE  THE  MANDATORY 
  2420. POLICY  SHALL  BE  BASED  ON  THE LABELS ASSOCIATED WITH THE 
  2421. INFORMATION THAT REFLECTS ITS SENSITIVITY  WITH  RESPECT  TO 
  2422. SECRECY AND/OR INTEGRITY, WHERE APPLICABLE, AND LABELS ASSO- 
  2423. CIATED WITH USERS TO REFLECT THEIR AUTHORIZATION  TO  ACCESS 
  2424. SUCH  INFORMATION.   UNAUTHORIZED  USERS  INCLUDE BOTH THOSE 
  2425. that are not authorized to use the network at all  (e.g.,  a 
  2426. user  attempting  to  use a passive or active wire tap) or a 
  2427. legitimate user of the network  who  is  not  authorized  to 
  2428. access a specific piece of information being protected. 
  2429.  
  2430.      Note that "users" does not include "operators," "system 
  2431. programmers," "technical control officers," "system security 
  2432. officers," and other system  support  personnel.   They  are 
  2433. distinct  from users and are subject to the Trusted Facility 
  2434. Manual and the System Architecture requirements.  Such indi- 
  2435. viduals may change the system parameters of the network sys- 
  2436. tem, for example, by defining membership of a group.   These 
  2437. individuals may also have the separate role of users. 
  2438.  
  2439.  
  2440.         SECRECY POLICY: The network sponsor shall define the 
  2441.         form  of  the  discretionary  AND MANDATORY  secrecy 
  2442.         policy that is enforced in the  network  to  prevent 
  2443.         unauthorized users from reading the sensitive infor- 
  2444.         mation entrusted to the network. 
  2445.  
  2446.  
  2447.         DATA INTEGRITY POLICY:  The  network  sponsor  shall 
  2448.         define  the  discretionary  AND MANDATORY  integrity 
  2449.         policy to prevent unauthorized users from modifying, 
  2450.         viz.,  writing,  sensitive information.  The defini- 
  2451.         tion of data  integrity  presented  by  the  network 
  2452.         sponsor  refers to the requirement that the informa- 
  2453.         tion has not been subjected to unauthorized  modifi- 
  2454.         cation  in the network. THE MANDATORY INTEGRITY POL- 
  2455.         ICY ENFORCED BY THE NTCB CANNOT, IN GENERAL, PREVENT 
  2456.         MODIFICATION  WHILE INFORMATION IS BEING TRANSMITTED 
  2457.         BETWEEN COMPONENTS.  HOWEVER,  AN  INTEGRITY  SENSI- 
  2458.         TIVITY  LABEL  MAY  REFLECT  THE CONFIDENCE THAT THE 
  2459.         INFORMATION HAS NOT BEEN SUBJECTED  TO  TRANSMISSION 
  2460.         ERRORS  BECAUSE  OF  THE  PROTECTION AFFORDED DURING 
  2461.         TRANSMISSION.  THIS REQUIREMENT IS DISTINCT FROM THE 
  2462.         REQUIREMENT FOR LABEL INTEGRITY. 
  2463.  
  2464. + Rationale 
  2465.  
  2466.      The word "sponsor" is used  in  place  of  alternatives 
  2467. (such   as   "vendor,"   "architect,"   "manufacturer,"  and 
  2468. "developer") because the alternatives  indicate  people  who 
  2469. may not be available, involved, or relevant at the time that 
  2470. a network system is proposed for evaluation. 
  2471.  
  2472.      A trusted network is able to control both  the  reading 
  2473. and  writing  of  shared  sensitive information.  Control of 
  2474. writing is used to protect against destruction  of  informa- 
  2475. tion. A network normally is expected to have policy require- 
  2476. ments to protect both  the  secrecy  and  integrity  of  the 
  2477. information  entrusted to it.  In a network the integrity is 
  2478. frequently as important or more important than  the  secrecy 
  2479. requirements.  Therefore the secrecy and/or integrity policy 
  2480. to be enforced by the network must be stated for  each  net- 
  2481. work  regardless of its evaluation class. The assurance that 
  2482. the policy  is  faithfully  enforced  is  reflected  in  the 
  2483. evaluation class of the network. 
  2484.  
  2485.      This control over modification  is  typically  used  to 
  2486. protect  information  so  that  it may be relied upon and to 
  2487. control the potential harm that would result if the informa- 
  2488. tion  were  corrupted.   The overall network policy require- 
  2489. ments for integrity includes the protection  for  data  both 
  2490. while  being  processed  in  a  component  and  while  being 
  2491. transmitted in  the  network.   The  access  control  policy 
  2492. enforced  by  the  NTCB relates to the access of subjects to 
  2493. objects within  each  component.   Communications  integrity 
  2494. addressed  within Part II relates to information while being 
  2495. transmitted. 
  2496.  
  2497.      THE MANDATORY INTEGRITY POLICY (AT CLASS B1 AND  ABOVE) 
  2498. IN  SOME ARCHITECTURES MAY BE USEFUL IN SUPPORTING THE LINK- 
  2499. AGE BETWEEN THE CONNECTION ORIENTED  ABSTRACTION  INTRODUCED 
  2500. IN  THE  INTRODUCTION  AND  THE INDIVIDUAL COMPONENTS OF THE 
  2501. NETWORK.  FOR EXAMPLE, IN  A  KEY  DISTRIBUTION  CENTER  FOR 
  2502. END-TO-END  ENCRYPTION, A DISTINCT INTEGRITY CATEGORY MAY BE 
  2503. ASSIGNED TO ISOLATE THE KEY GENERATION CODE  AND  DATA  FROM 
  2504. POSSIBLE  MODIFICATION  BY OTHER SUPPORTING PROCESSES IN THE 
  2505. SAME COMPONENT, SUCH AS OPERATOR INTERFACES AND AUDIT. 
  2506.  
  2507.      THE MANDATORY INTEGRITY POLICY  FOR  SOME  ARCHITECTURE 
  2508. MAY  DEFINE AN INTEGRITY SENSITIVITY LABEL THAT REFLECTS THE 
  2509. SPECIFIC REQUIREMENTS FOR ENSURING THAT INFORMATION HAS  NOT 
  2510. BEEN  SUBJECT  TO  RANDOM ERRORS IN EXCESS OF A STATED LIMIT 
  2511. NOR TO UNAUTHORIZED MESSAGE  STREAM  MODIFICATION  (MSM)  -. 
  2512. THE SPECIFIC METRIC ASSOCIATED WITH AN INTEGRITY SENSITIVITY 
  2513. LABEL WILL GENERALLY REFLECT THE  INTENDED  APPLICATIONS  OF 
  2514. THE NETWORK. 
  2515.  
  2516.  
  2517. 3.1.1.1 Discretionary Access Control 
  2518.  
  2519. + Statement from DoD 5200.28-STD 
  2520.  
  2521. The TCB shall define and control access between named  users 
  2522. and named objects (e.g., files and programs) in the ADP sys- 
  2523. tem.  The  enforcement  mechanism  (e.g.,  self/group/public 
  2524. controls, access control lists) shall allow users to specify 
  2525. and control sharing of those objects by named individuals or 
  2526. defined  groups  of  individuals, or both, and shall provide 
  2527. controls to limit propagation of access rights.  The discre- 
  2528. tionary  access  control mechanism shall, either by explicit 
  2529. user action or by default, provide  that  objects  are  pro- 
  2530. tected  from  unauthorized  access.   These  access controls 
  2531. shall be capable of including or  excluding  access  to  the 
  2532. granularity  of  a  single  user.   Access  permission to an 
  2533. object by users not  already  possessing  access  permission 
  2534. shall only be assigned by authorized users. 
  2535. _________________________ 
  2536.   - See Voydock, Victor L. and Stephen T. Kent,  "Secu- 
  2537. rity  Mechanisms in High-Level Network Protocols," Com- 
  2538.                                                    ___ 
  2539. puting Surveys, Vol. 15, No.  2, June 1983, pp 135-171. 
  2540. ______ _______ 
  2541.  
  2542. +  Interpretation 
  2543.  
  2544.      The discretionary access control (DAC) mechanism(s) may 
  2545. be  distributed  over  the partitioned NTCB in various ways. 
  2546. Some part, all, or none of the DAC may be implemented  in  a 
  2547. given  component of the network system.  In particular, com- 
  2548. ponents that support only internal subjects (i.e., that have 
  2549. no  subjects acting as direct surrogates for users), such as 
  2550. a public network packet switch, might not implement the  DAC 
  2551. mechanism(s)  directly  (e.g.,  they are unlikely to contain 
  2552. access control lists). 
  2553.  
  2554.      Identification of users by groups may  be  achieved  in 
  2555. various  ways  in  the networking environment.  For example, 
  2556. the network identifiers (e.g., internet addresses) for vari- 
  2557. ous  components (e.g., hosts, gateways) can be used as iden- 
  2558. tifiers of groups of individual users (e.g., "all  users  at 
  2559. Host  A," "all users of network Q") so long as the individu- 
  2560. als involved in the group are implied by the group  identif- 
  2561. ier. For example, Host A might employ a particular group-id, 
  2562. for which it maintains a list  of  explicit  users  in  that 
  2563. group,  in  its  network exchange with Host B, which accepts 
  2564. the group-id under the conditions of this interpretation. 
  2565.  
  2566.      For networks, individual hosts will impose need-to-know 
  2567. controls over their users on the basis of named individuals 
  2568. - much like (in fact, probably the same) controls used  when 
  2569. there is no network connection. 
  2570.  
  2571.      When group identifiers are acceptable for  access  con- 
  2572. trol,  the identifier of some other host may be employed, to 
  2573. eliminate the maintenance that would be required if  indivi- 
  2574. dual  identification of remote users was employed.  In class 
  2575. C2 and higher, however, it must be possible from that  audit 
  2576. record  to  identify  (immediately  or  at  some later time) 
  2577. exactly the individuals represented by a group identifier at 
  2578. the time of the use of that identifier.  There is allowed to 
  2579. be an uncertainty because of elapsed time between changes in 
  2580. the  group membership and the enforcement in the access con- 
  2581. trol mechanisms. 
  2582.  
  2583.      The DAC mechanism of a NTCB  partition  may  be  imple- 
  2584. mented  at  the interface of the reference monitor or may be 
  2585. distributed in subjects that are part of  the  NTCB  in  the 
  2586. same  or  different component. The reference monitor manages 
  2587. all the physical resources  of  the  system  and  from  them 
  2588. creates the abstraction of subjects and objects that it con- 
  2589. trols. Some of these subjects and objects  may  be  used  to 
  2590. implement  a  part  of  the NTCB.  When the DAC mechanism is 
  2591. distributed in such NTCB subjects (i.e.,  when  outside  the 
  2592. reference  monitor),  the  assurance  requirements  (see the 
  2593. Assurance section) for the design and implementation of  the 
  2594. DAC  shall be those of class C2 for all networks of class C2 
  2595. or above. 
  2596.  
  2597.      When integrity is included as part of the network  dis- 
  2598. cretionary  security policy, the above interpretations shall 
  2599. be specifically applied to the controls  over  modification, 
  2600. viz,  the  write mode of access, within each component based 
  2601. on identified users or groups of users. 
  2602.  
  2603. +  Rationale 
  2604.  
  2605.      In this class, the supporting elements of  the  overall 
  2606. DAC  mechanism are required to isolate information (objects) 
  2607. that supports DAC so that it is subject to auditing require- 
  2608. ments  (see  the  System  Architecture section).  The use of 
  2609. network identifiers to identify groups of  individual  users 
  2610. could  be  implemented, for example, as an X.25 community of 
  2611. interest in the network protocol layer (layer  3).   In  all 
  2612. other  respects,  the supporting elements of the overall DAC 
  2613. mechanism are treated  exactly  as  untrusted  subjects  are 
  2614. treated  with respect to DAC in an ADP system, with the same 
  2615. result as noted in the interpretation. 
  2616.  
  2617.      A typical situation for DAC is that a surrogate process 
  2618. for a remote user will be created in some host for access to 
  2619. objects under the control of the NTCB partition within  that 
  2620. host.  The interpretation requires that a user identifier be 
  2621. assigned and maintained for each such process by  the  NTCB, 
  2622. so  that  access by a surrogate process is subject to essen- 
  2623. tially the same discretionary controls as access by  a  pro- 
  2624. cess  acting  on  behalf of a local user would be.  However, 
  2625. within this interpretation a range of  possible  interpreta- 
  2626. tions of the assigned user identification is permitted. 
  2627.  
  2628.      The most obvious situation  would  exist  if  a  global 
  2629. database of network users were to be made permanently avail- 
  2630. able on demand to every host, (i.e., a name server  existed) 
  2631. so that all user identifications were globally meaningful. 
  2632.  
  2633.      It is also acceptable, however, for  some  NTCB  parti- 
  2634. tions to maintain a database of locally-registered users for 
  2635. its own use.  In such a case, one could  choose  to  inhibit 
  2636. the creation of surrogate processes for locally unregistered 
  2637. users, or (if permitted by the local policy)  alternatively, 
  2638. to   permit   the   creation  of  surrogate  processes  with 
  2639. preselected user and group  identifiers  which,  in  effect, 
  2640. identify the process as executing on behalf of a member of a 
  2641. group of users on a particular remote host.  The  intent  of 
  2642. the  words concerning audit in the interpretation is to pro- 
  2643. vide a minimally acceptable degree of auditability for cases 
  2644. such  as the last described.  What is required is that there 
  2645. be a capability, using the audit facilities provided by  the 
  2646. network  NTCB  partitions  involved,  to  determine  who was 
  2647. logged in at the actual host of the group of remote users at 
  2648. the time the surrogate processing occured. 
  2649.  
  2650.      Associating the proper user id with a surrogate process 
  2651. is  the job of identification and authentication. This means 
  2652. that DAC is applied locally, with respect to the user id  of 
  2653. the  surrogate  process.   The transmission of the data back 
  2654. across the network to the user's host, and the creation of a 
  2655. copy of the data there, is not the business of DAC. 
  2656.  
  2657.      Components that support only internal  subjects  impact 
  2658. the implementation of the DAC by providing services by which 
  2659. information (e.g., a user-id) is made available  to  a  com- 
  2660. ponent  that makes a DAC decision.  An example of the latter 
  2661. would be the case that a user at Host A attempts to access a 
  2662. file  at  Host  B.   The  DAC decision might be (and usually 
  2663. would be) made at Host B on the basis of a user-id transmit- 
  2664. ted from Host A to Host B. 
  2665.  
  2666.      Unique user identification may be achieved by a variety 
  2667. of  mechanisms, including (a) a requirement for unique iden- 
  2668. tification and authentication on the host where access takes 
  2669. place;   (b)    recognition   of   fully  qualified  network 
  2670. addresses authenticated by another host and forwarded to the 
  2671. host where access takes place; or (c) administrative support 
  2672. of a network-wide unique personnel identifier that could  be 
  2673. authenticated and forwarded by another host as in (b) above, 
  2674. or could be authenticated and forwarded by a dedicated  net- 
  2675. work  identification  and authentication server.  The proto- 
  2676. cols which implement (b) or (c) are subject  to  the  System 
  2677. Architecture requirements. 
  2678.  
  2679.      Network support for DAC might be handled in other  ways 
  2680. than  that described as "typical" above. In particular, some 
  2681. form of centralized access control is  often  proposed.   An 
  2682. access  control center may make all decisions for DAC, or it 
  2683. may share the burden with the hosts by controlling  host-to- 
  2684. host  connections, and leaving the hosts to decide on access 
  2685. to their objects by users at a limited set of remote  hosts. 
  2686. In  this case the access control center provides the linkage 
  2687. between the connection oriented abstraction (as discussed in 
  2688. the  Introduction)  and  the overall network security policy 
  2689. for DAC.  In all cases the enforcement of the decision  must 
  2690. be provided by the host where the object resides. 
  2691.  
  2692.      THERE ARE TWO FORMS OF DISTRIBUTION FOR THE DAC MECHAN- 
  2693. ISM:  IMPLEMENTING  PORTIONS  OF  THE  DAC  IN SEPARATE COM- 
  2694. PONENTS, AND SUPPORTING THE DAC IN SUBJECTS CONTAINED WITHIN 
  2695. THE  NTCB  PARTITION IN A COMPONENT.  SINCE "THE ADP SYSTEM" 
  2696. IS UNDERSTOOD TO BE "THE COMPUTER NETWORK" AS A WHOLE,  EACH 
  2697. NETWORK  COMPONENT  IS RESPONSIBLE FOR ENFORCING SECURITY IN 
  2698. THE MECHANISMS ALLOCATED TO IT TO ENSURE SECURE  IMPLEMENTA- 
  2699. TION  OF  THE NETWORK SECURITY POLICY.  FOR TRADITIONAL HOST 
  2700. SYSTEMS IT IS FREQUENTLY EASY TO ALSO ENFORCE THE DAC  ALONG 
  2701. WITH  THE MAC WITHIN THE REFERENCE MONITOR, PER SE, ALTHOUGH 
  2702. A FEW APPROACHES, SUCH AS VIRTUAL MACHINE MONITORS,  SUPPORT 
  2703. DAC OUTSIDE THIS INTERFACE. 
  2704.  
  2705.      IN CONTRAST TO THE UNIVERSALLY RIGID STRUCTURE OF  MAN- 
  2706. DATORY  POLICIES (SEE THE MANDATORY ACCESS CONTROL SECTION), 
  2707. DAC POLICIES TEND TO BE VERY NETWORK  AND  SYSTEM  SPECIFIC, 
  2708. WITH  FEATURES  THAT  REFLECT THE NATURAL USE OF THE SYSTEM. 
  2709. FOR NETWORKS IT IS COMMON THAT INDIVIDUAL HOSTS WILL  IMPOSE 
  2710. CONTROLS  OVER  THEIR  LOCAL  USERS  ON  THE  BASIS OF NAMED 
  2711. INDIVIDUALS-MUCH LIKE THE CONTROLS USED  WHEN  THERE  IS  NO 
  2712. NETWORK CONNECTION.  HOWEVER, IT IS DIFFICULT TO MANAGE IN A 
  2713. CENTRALIZED MANNER ALL THE INDIVIDUALS USING  A  LARGE  NET- 
  2714. WORK.   THEREFORE, USERS ON OTHER HOSTS ARE COMMONLY GROUPED 
  2715. TOGETHER SO THAT THE CONTROLS REQUIRED BY  THE  NETWORK  DAC 
  2716. POLICY  ARE  ACTUALLY  BASED ON THE IDENTITY OF THE HOSTS OR 
  2717. OTHER COMPONENTS.  A GATEWAY IS AN EXAMPLE OF  SUCH  A  COM- 
  2718. PONENT. 
  2719.  
  2720.      THE ASSURANCE REQUIREMENTS ARE AT THE VERY HEART OF THE 
  2721. CONCEPT  OF  A  TRUSTED  SYSTEM.   IT  IS THE ASSURANCE THAT 
  2722. DETERMINES IF A SYSTEM OR NETWORK IS APPROPRIATE FOR A GIVEN 
  2723. ENVIRONMENT,  AS REFLECTED, FOR EXAMPLE, IN THE ENVIRONMENTS 
  2724. GUIDELINE-.  IN THE CASE OF MONOLITHIC SYSTEMS THAT HAVE DAC 
  2725. INTEGRAL  TO  THE  REFERENCE MONITOR, THE ASSURANCE REQUIRE- 
  2726. MENTS FOR DAC ARE INSEPARABLE FROM THOSE OF THE REST OF  THE 
  2727. REFERENCE  MONITOR.   FOR NETWORKS THERE IS TYPICALLY A MUCH 
  2728. CLEARER DISTINCTION DUE TO DISTRIBUTED DAC.   THE  RATIONALE 
  2729. FOR MAKING THE DISTINCTION IN THIS NETWORK INTERPRETATION IS 
  2730. THAT IF MAJOR TRUSTED NETWORK COMPONENTS CAN BE MADE  SIGNI- 
  2731. FICANTLY EASIER TO DESIGN AND IMPLEMENT WITHOUT REDUCING THE 
  2732. ABILITY TO MEET SECURITY POLICY, THEN TRUSTED NETWORKS  WILL 
  2733. BE MORE EASILY AVAILABLE. 
  2734.  
  2735.  
  2736. 3.1.1.2  Object Reuse 
  2737.  
  2738. + Statement from DoD 5200.28-STD 
  2739.  
  2740. All authorizations to the  information  contained  within  a 
  2741. storage object shall be revoked prior to initial assignment, 
  2742. allocation or reallocation to a subject from the TCB's  pool 
  2743. of   unused  storage  objects.   No  information,  including 
  2744. encrypted representations  of  information,  produced  by  a 
  2745. prior  subject's  actions  is to be available to any subject 
  2746. that obtains access to an object that has been released back 
  2747. to the system. 
  2748.  
  2749. +  Interpretation 
  2750.  
  2751.      The NTCB shall ensure that any storage objects that  it 
  2752. controls  (e.g., message buffers under the control of a NTCB 
  2753. partition in a component) contain no information for which a 
  2754. subject  in that component is not authorized before granting 
  2755. access.  This requirement must be enforced by  each  of  the 
  2756. NTCB partitions. 
  2757.  
  2758.  
  2759.  
  2760. _________________________ 
  2761.   - Guidance for Applying  the  Department  of  Defense 
  2762.     ________ ___ ________  ___  __________  __  _______ 
  2763. Trusted Computer System Evaluation Criteria in Specific 
  2764. _______ ________ ______ __________ ________ __ ________ 
  2765. Environments, CSC-STD-003-85. 
  2766. ____________ 
  2767.  
  2768.  
  2769. +  Rationale 
  2770.  
  2771.      In a network system, storage objects  of  interest  are 
  2772. things  that  the  NTCB  directly  controls, such as message 
  2773. buffers in components.  Each component of the network system 
  2774. must  enforce  the  object reuse requirement with respect to 
  2775. the storage objects of interest as determined by the network 
  2776. security  policy.   For example, the DAC requirement in this 
  2777. division leads to the requirement here that message  buffers 
  2778. be  under  the  control  of  the  NTCB  partition.  A buffer 
  2779. assigned to an internal subject may be reused at the discre- 
  2780. tion of that subject which is responsible for preserving the 
  2781. integrity of message streams.  Such controlled  objects  may 
  2782. be  implemented in physical resources, such as buffers, disk 
  2783. sectors, tape space, and main memory, in components such  as 
  2784. network switches. 
  2785.  
  2786.  
  2787.  
  2788. 3.1.1.3 Labels 
  2789.  
  2790. + Statement from DoD 5200.28-STD 
  2791.  
  2792. SENSITIVITY LABELS ASSOCIATED WITH EACH SUBJECT AND  STORAGE 
  2793. OBJECT UNDER ITS CONTROL (E.G., PROCESS, FILE, SEGMENT, DEV- 
  2794. ICE) SHALL BE MAINTAINED BY THE TCB.  THESE LABELS SHALL  BE 
  2795. USED  AS  THE  BASIS FOR MANDATORY ACCESS CONTROL DECISIONS. 
  2796. IN ORDER TO IMPORT NON-LABELED DATA, THE TCB  SHALL  REQUEST 
  2797. AND RECEIVE FROM AN AUTHORIZED USER THE SENSITIVITY LEVEL OF 
  2798. THE DATA, AND ALL SUCH ACTIONS SHALL  BE  AUDITABLE  BY  THE 
  2799. TCB. 
  2800.  
  2801. +  Interpretation 
  2802.  
  2803.      NON-LABELED DATA IMPORTED UNDER THE CONTROL OF THE NTCB 
  2804. PARTITION WILL  BE  ASSIGNED  A  LABEL  CONSTRAINED  BY  THE 
  2805. SINGLE-LEVEL  DEVICE  USED  TO IMPORT IT. LABELS MAY INCLUDE 
  2806. SECRECY AND INTEGRITY- COMPONENTS  IN  ACCORDANCE  WITH  THE 
  2807. OVERALL  NETWORK  SECURITY  POLICY  DESCRIBED BY THE NETWORK 
  2808. SPONSOR.  WHENEVER THE TERM "LABEL" IS USED THROUGHOUT  THIS 
  2809. INTERPRETATION,  IT IS UNDERSTOOD TO INCLUDE BOTH COMPONENTS 
  2810. AS APPLICABLE.   SIMILARLY,  THE  TERMS  "SINGLE-LEVEL"  AND 
  2811. "MULTILEVEL"  ARE UNDERSTOOD TO BE BASED ON BOTH THE SECRECY 
  2812. AND INTEGRITY  COMPONENTS  OF  THE  POLICY.   THE  MANDATORY 
  2813. INTEGRITY  POLICY  WILL TYPICALLY HAVE REQUIREMENTS, SUCH AS 
  2814. THE PROBABILITY OF UNDETECTED MESSAGE  STREAM  MODIFICATION, 
  2815. THAT  WILL  BE  REFLECTED  IN THE LABEL FOR THE DATA SO PRO- 
  2816. TECTED.  FOR EXAMPLE, WHEN DATA IS  IMPORTED  ITS  INTEGRITY 
  2817. LABEL  MAY BE ASSIGNED BASED ON MECHANISMS, SUCH AS CRYPTOG- 
  2818. RAPHY, USED TO PROVIDE THE ASSURANCE REQUIRED BY THE POLICY. 
  2819. THE NTCB SHALL ASSURE THAT SUCH MECHANISM ARE PROTECTED FROM 
  2820. TAMPERING AND ARE ALWAYS INVOKED WHEN THEY ARE THE BASIS FOR 
  2821. _________________________ 
  2822.   - See, for example, Biba, K.J., "Integrity Considera- 
  2823. tion  for Secure Computer Systems," ESD-TR-76-372, MTR- 
  2824. 3153, The MITRE Corporation, Bedford, MA, April 1977. 
  2825.  
  2826.  
  2827. A LABEL.  
  2828.  
  2829. + Rationale 
  2830.  
  2831.      THE INTERPRETATION IS AN EXTENSION OF  THE  REQUIREMENT 
  2832. INTO THE CONTEXT OF A NETWORK SYSTEM AND PARTITIONED NTCB AS 
  2833. DEFINED FOR THESE NETWORK INTERPRETATIONS.   A  SINGLE-LEVEL 
  2834. DEVICE  MAY  BE REGARDED EITHER AS A SUBJECT OR AN OBJECT. A 
  2835. MULTILEVEL DEVICE IS REGARDED AS A TRUSTED SUBJECT IN  WHICH 
  2836. THE  SECURITY  RANGE  OF  THE SUBJECT IS THE MINIMUM-MAXIMUM 
  2837. RANGE OF THE DATA EXPECTED TO BE TRANSMITTED OVER  THE  DEV- 
  2838. ICE. 
  2839.  
  2840.      THE SENSITIVITY LABELS FOR EITHER SECRECY OR  INTEGRITY 
  2841. OR BOTH MAY REFLECT NON-HIERARCHICAL CATEGORIES OR HIERARCH- 
  2842. ICAL CLASSIFICATION OR BOTH. 
  2843.  
  2844.  
  2845.  
  2846. 3.1.1.3.1 Label Integrity 
  2847.  
  2848. + Statement from DoD 5200.28-STD 
  2849.  
  2850. SENSITIVITY LABELS SHALL  ACCURATELY  REPRESENT  SENSITIVITY 
  2851. LEVELS  OF  THE SPECIFIC SUBJECTS OR OBJECTS WITH WHICH THEY 
  2852. ARE ASSOCIATED.   WHEN  EXPORTED  BY  THE  TCB,  SENSITIVITY 
  2853. LABELS  SHALL  ACCURATELY  AND  UNAMBIGUOUSLY  REPRESENT THE 
  2854. INTERNAL LABELS AND SHALL BE ASSOCIATED WITH THE INFORMATION 
  2855. BEING EXPORTED. 
  2856.  
  2857. +  Interpretation 
  2858.  
  2859.      THE PHRASE "EXPORTED  BY  THE  TCB"  IS  UNDERSTOOD  TO 
  2860. INCLUDE  TRANSMISSION  OF  INFORMATION FROM AN OBJECT IN ONE 
  2861. COMPONENT TO AN OBJECT IN  ANOTHER  COMPONENT.   INFORMATION 
  2862. TRANSFERRED BETWEEN NTCB PARTITIONS IS ADDRESSED IN THE SYS- 
  2863. TEM INTEGRITY SECTION. THE FORM  OF  INTERNAL  AND  EXTERNAL 
  2864. (EXPORTED)  SENSITIVITY  LABELS  MAY DIFFER, BUT THE MEANING 
  2865. SHALL BE THE SAME.  THE NTCB SHALL, IN ADDITION, ENSURE THAT 
  2866. CORRECT  ASSOCIATION OF SENSITIVITY LABELS WITH THE INFORMA- 
  2867. TION BEING TRANSPORTED ACROSS THE NETWORK IS PRESERVED. 
  2868.  
  2869.      AS MENTIONED IN THE TRUSTED  FACILITY  MANUAL  SECTION, 
  2870. ENCRYPTION  TRANSFORMS  THE REPRESENTATION OF INFORMATION SO 
  2871. THAT  IT  IS  UNINTELLIGIBLE   TO   UNAUTHORIZED   SUBJECTS. 
  2872. REFLECTING THIS TRANSFORMATION, THE SENSITIVITY LEVEL OF THE 
  2873. CIPHERTEXT IS GENERALLY LOWER THAN THE CLEARTEXT.   IT  FOL- 
  2874. LOWS  THAT  CLEARTEXT  AND  CIPHERTEXT ARE CONTAINED IN DIF- 
  2875. FERENT OBJECTS, EACH POSSESSING ITS OWN LABEL.  THE LABEL OF 
  2876. THE  CLEARTEXT  MUST  BE  PRESERVED  AND ASSOCIATED WITH THE 
  2877. CIPHERTEXT SO THAT IT CAN BE RESTORED WHEN THE CLEARTEXT  IS 
  2878. SUBSEQUENTLY  OBTAINED BY DECRYPTING THE CIPHERTEXT.  IF THE 
  2879. CLEARTEXT IS ASSOCIATED  WITH  A  SINGLE-LEVEL  DEVICE,  THE 
  2880. LABEL OF THAT CLEARTEXT MAY BE IMPLICIT.  THE LABEL MAY ALSO 
  2881. BE IMPLICIT IN THE KEY. 
  2882.  
  2883.      WHEN INFORMATION IS EXPORTED TO AN ENVIRONMENT WHERE IT 
  2884. IS SUBJECT TO DELIBERATE OR ACCIDENTAL MODIFICATION, THE TCB 
  2885. SHALL SUPPORT THE MEANS, SUCH AS CRYPTOGRAPHIC CHECKSUMS, TO 
  2886. ASSURE  THE  ACCURACY OF THE LABELS.  WHEN THERE IS A MANDA- 
  2887. TORY INTEGRITY POLICY, THE POLICY WILL DEFINE THE MEANING OF 
  2888. INTEGRITY LABELS. 
  2889.  
  2890. +  Rationale 
  2891.  
  2892.      ENCRYPTION ALGORITHMS AND THEIR IMPLEMENTATION ARE OUT- 
  2893. SIDE  THE  SCOPE  OF THESE INTERPRETATIONS.  SUCH ALGORITHMS 
  2894. MAY BE IMPLEMENTED IN A SEPARATE DEVICE  OR  MAY  BE  INCOR- 
  2895. PORATED  IN A SUBJECT OF A LARGER COMPONENT.  WITHOUT PREJU- 
  2896. DICE, EITHER IMPLEMENTATION PACKAGING IS REFERRED TO  AS  AN 
  2897. ENCRYPTION MECHANISM HEREIN. IF ENCRYPTION METHODOLOGIES ARE 
  2898. EMPLOYED IN THIS REGARD,  THEY  SHALL  BE  APPROVED  BY  THE 
  2899. NATIONAL  SECURITY  AGENCY (NSA).  THE ENCRYPTION PROCESS IS 
  2900. PART OF THE NETWORK TRUSTED COMPUTER BASE PARTITION  IN  THE 
  2901. COMPONENTS IN WHICH IT IS IMPLEMENTED. 
  2902.  
  2903.      THE ENCRYPTION MECHANISM  IS  NOT  NECESSARILY  A  MUL- 
  2904. TILEVEL  DEVICE  OR  MULTILEVEL  SUBJECT, AS THESE TERMS ARE 
  2905. USED IN THESE CRITERIA.  THE PROCESS OF ENCRYPTION  IS  MUL- 
  2906. TILEVEL  BY DEFINITION.  THE CLEARTEXT AND CIPHERTEXT INTER- 
  2907. FACES  CARRY  INFORMATION  OF  DIFFERENT  SENSITIVITY.    AN 
  2908. ENCRYPTION  MECHANISM  DOES NOT PROCESS DATA IN THE SENSE OF 
  2909. PERFORMING LOGICAL OR ARITHMETIC  OPERATIONS  ON  THAT  DATA 
  2910. WITH  THE  INTENT  OF PRODUCING NEW DATA.  THE CLEARTEXT AND 
  2911. CIPHERTEXT INTERFACES ON THE ENCRYPTION  MECHANISM  MUST  BE 
  2912. SEPARATELY  IDENTIFIED  AS BEING SINGLE-LEVEL OR MULTILEVEL. 
  2913. IF THE INTERFACE IS SINGLE-LEVEL, THEN  THE  SENSITIVITY  OF 
  2914. THE  DATA  IS ESTABLISHED BY A TRUSTED INDIVIDUAL AND IMPLI- 
  2915. CITLY ASSOCIATED WITH  THE  INTERFACE;  THE  EXPORTATION  TO 
  2916. SINGLE-LEVEL DEVICES CRITERION APPLIES. 
  2917.  
  2918.      IF THE INTERFACE IS MULTILEVEL, THEN THE DATA  MUST  BE 
  2919. LABELED;  THE  EXPORTATION  TO  MULTILEVEL DEVICES CRITERION 
  2920. APPLIES. THE NETWORK ARCHITECT IS FREE TO SELECT AN  ACCEPT- 
  2921. TABLE MECHANISM FOR ASSOCIATING A LABEL WITH AN OBJECT.  WITH 
  2922. REFERENCE TO ENCRYPTED OBJECTS, THE FOLLOWING  EXAMPLES  ARE 
  2923. POSSIBLE: 
  2924.  
  2925. 1.      INCLUDE A LABEL FIELD IN THE PROTOCOL DEFINITION  OF 
  2926.         THE OBJECT. 
  2927.  
  2928. 2.      IMPLICITLY  ASSOCIATE  THE  LABEL  WITH  THE  OBJECT 
  2929.         THROUGH THE ENCRYPTION KEY.  THAT IS, THE ENCRYPTION 
  2930.         KEY UNIQUELY IDENTIFIES A SENSITIVITY LEVEL.  A SIN- 
  2931.         GLE OR PRIVATE KEY MUST BE PROTECTED AT THE LEVEL OF 
  2932.         THE DATA THAT IT ENCRYPTS. 
  2933.  
  2934.  
  2935. 3.1.1.3.2 Exportation of Labeled Information 
  2936.  
  2937. + Statement from DoD 5200.28-STD 
  2938.  
  2939. THE TCB SHALL DESIGNATE EACH COMMUNICATION CHANNEL  AND  I/O 
  2940. DEVICE  AS EITHER SINGLE-LEVEL OR MULTILEVEL.  ANY CHANGE IN 
  2941. THIS DESIGNATION SHALL BE DONE MANUALLY AND SHALL BE  AUDIT- 
  2942. ABLE  BY  THE  TCB.   THE  TCB SHALL MAINTAIN AND BE ABLE TO 
  2943. AUDIT ANY CHANGE IN THE SENSITIVITY LEVEL OR LEVELS  ASSOCI- 
  2944. ATED WITH A COMMUNICATIONS CHANNEL OR I/O DEVICE. 
  2945.  
  2946. +  Interpretation 
  2947.  
  2948.      EACH COMMUNICATION CHANNEL AND NETWORK COMPONENT  SHALL 
  2949. BE  DESIGNATED  AS  EITHER  SINGLE-LEVEL OR MULTILEVEL.  ANY 
  2950. CHANGE IN THIS DESIGNATION SHALL BE DONE WITH THE COGNIZANCE 
  2951. AND  APPROVAL  OF  THE  ADMINISTRATOR OR SECURITY OFFICER IN 
  2952. CHARGE OF THE AFFECTED COMPONENTS AND THE  ADMINISTRATOR  OR 
  2953. SECURITY  OFFICER  IN CHARGE OF THE NTCB.  THIS CHANGE SHALL 
  2954. BE AUDITABLE BY THE NETWORK. THE NTCB SHALL MAINTAIN AND  BE 
  2955. ABLE  TO  AUDIT  ANY CHANGE IN THE CURRENT SENSITIVITY LEVEL 
  2956. ASSOCIATED WITH THE DEVICE CONNECTED TO A SINGLE-LEVEL  COM- 
  2957. MUNICATION CHANNEL OR THE RANGE ASSOCIATED WITH A MULTILEVEL 
  2958. COMMUNICATION CHANNEL OR COMPONENT. THE NTCB SHALL  ALSO  BE 
  2959. ABLE  TO  AUDIT  ANY CHANGE IN THE SET OF SENSITIVITY LEVELS 
  2960. ASSOCIATED WITH THE INFORMATION  WHICH  CAN  BE  TRANSMITTED 
  2961. OVER A MULTILEVEL COMMUNICATION CHANNEL OR COMPONENT. 
  2962.  
  2963. +  Rationale 
  2964.  
  2965.      COMMUNICATION CHANNELS AND COMPONENTS IN A NETWORK  ARE 
  2966. ANALOGOUS  TO  COMMUNICATION  CHANNELS  AND  I/O  DEVICES IN 
  2967. STAND-ALONE SYSTEMS.  THEY MUST BE DESIGNATED AS EITHER MUL- 
  2968. TILEVEL  (I.E.,  ABLE TO DISTINGUISH AND MAINTAIN SEPARATION 
  2969. AMONG INFORMATION OF VARIOUS SENSITIVITY LEVELS) OR  SINGLE- 
  2970. LEVEL.   AS  IN  THE TCSEC, SINGLE-LEVEL DEVICES MAY ONLY BE 
  2971. ATTACHED TO SINGLE-LEVEL CHANNELS. 
  2972.  
  2973.      THE LEVEL OR SET OF LEVELS OF INFORMATION THAT  CAN  BE 
  2974. SENT  TO  A  COMPONENT OR OVER A COMMUNICATION CHANNEL SHALL 
  2975. ONLY CHANGE WITH THE KNOWLEDGE AND APPROVAL OF THE  SECURITY 
  2976. OFFICERS  (OR  SYSTEM ADMINISTRATOR, IF THERE IS NO SECURITY 
  2977. OFFICER) OF THE NETWORK, AND  OF  THE  AFFECTED  COMPONENTS. 
  2978. THIS  REQUIREMENT  ENSURES  THAT  NO  SIGNIFICANT  SECURITY- 
  2979. RELEVANT CHANGES  ARE  MADE  WITHOUT  THE  APPROVAL  OF  ALL 
  2980. AFFECTED PARTIES. 
  2981.  
  2982.  
  2983. 3.1.1.3.2.1 Exportation to Multilevel Devices 
  2984.  
  2985. + Statement from DoD 5200.28-STD 
  2986.  
  2987. WHEN THE TCB EXPORTS AN OBJECT TO A MULTILEVEL  I/O  DEVICE, 
  2988. THE SENSITIVITY LABEL ASSOCIATED WITH THAT OBJECT SHALL ALSO 
  2989. BE EXPORTED AND SHALL RESIDE ON THE SAME PHYSICAL MEDIUM  AS 
  2990. THE  EXPORTED  INFORMATION  AND  SHALL  BE  IN THE SAME FORM 
  2991. (I.E., MACHINE-READABLE OR HUMAN-READABLE FORM).   WHEN  THE 
  2992. TCB  EXPORTS OR IMPORTS AN OBJECT OVER A MULTILEVEL COMMUNI- 
  2993. CATIONS CHANNEL, THE PROTOCOL USED  ON  THAT  CHANNEL  SHALL 
  2994. PROVIDE  FOR THE UNAMBIGUOUS PAIRING BETWEEN THE SENSITIVITY 
  2995. LABELS AND  THE  ASSOCIATED  INFORMATION  THAT  IS  SENT  OR 
  2996. RECEIVED. 
  2997.  
  2998. +  Interpretation 
  2999.  
  3000.      THE COMPONENTS, INCLUDING HOSTS, OF A NETWORK SHALL  BE 
  3001. INTERCONNECTED  OVER  "MULTILEVEL  COMMUNICATION  CHANNELS," 
  3002. MULTIPLE SINGLE-LEVEL COMMUNICATION CHANNELS, OR BOTH, WHEN- 
  3003. EVER  THE INFORMATION IS TO BE PROTECTED AT MORE THAN A SIN- 
  3004. GLE SENSITIVITY LEVEL.  THE  PROTOCOL  FOR  ASSOCIATING  THE 
  3005. SENSITIVITY LABEL AND THE EXPORTED INFORMATION SHALL PROVIDE 
  3006. THE ONLY INFORMATION NEEDED TO CORRECTLY ASSOCIATE A  SENSI- 
  3007. TIVITY  LEVEL WITH THE EXPORTED INFORMATION TRANSFERRED OVER 
  3008. THE MULTILEVEL CHANNEL BETWEEN THE NTCB PARTITIONS IN  INDI- 
  3009. VIDUAL COMPONENTS. THIS PROTOCOL DEFINITION MUST SPECIFY THE 
  3010. REPRESENTATION  AND  SEMANTICS  OF  THE  SENSITIVITY  LABELS 
  3011. (I.E.,  THE  MACHINE-READABLE  LABEL MUST UNIQUELY REPRESENT 
  3012. THE SENSITIVITY LEVEL). 
  3013.  
  3014.      THE "UNAMBIGUOUS" ASSOCIATION OF THE SENSITIVITY  LEVEL 
  3015. WITH  THE COMMUNICATED INFORMATION SHALL MEET THE SAME LEVEL 
  3016. OF ACCURACY AS THAT REQUIRED FOR ANY OTHER LABEL WITHIN  THE 
  3017. NTCB,  AS  SPECIFIED  IN  THE CRITERION FOR LABEL INTEGRITY. 
  3018. THIS MAY BE PROVIDED BY PROTECTED AND HIGHLY RELIABLE DIRECT 
  3019. PHYSICAL  LAYER CONNECTIONS, OR BY TRADITIONAL CRYPTOGRAPHIC 
  3020. LINK PROTECTION IN WHICH ANY ERRORS DURING TRANSMISSION  CAN 
  3021. BE READILY DETECTED, OR BY USE OF A SEPARATE CHANNEL. 
  3022.  
  3023. +  Rationale 
  3024.  
  3025.      THIS  PROTOCOL  MUST  SPECIFY  THE  REPRESENTATION  AND 
  3026. SEMANTICS  OF  THE  SENSITIVITY  LABELS.   SEE THE MANDATORY 
  3027. ACCESS CONTROL POLICIES SECTION IN  APPENDIX  B.   THE  MUL- 
  3028. TILEVEL  DEVICE  INTERFACE  TO  (UNTRUSTED)  SUBJECTS MAY BE 
  3029. IMPLEMENTED EITHER BY THE INTERFACE OF THE  REFERENCE  MONI- 
  3030. TOR,  PER  SE,  OR BY A MULTILEVEL SUBJECT (E.G., A "TRUSTED 
  3031. SUBJECT" AS DEFINED IN THE BELL-LAPADULA  MODEL)  THAT  PRO- 
  3032. VIDES  THE  LABELS  BASED ON THE INTERNAL LABELS OF THE NTCB 
  3033. PARTITION. 
  3034.  
  3035.      THE CURRENT STATE OF THE ART  LIMITS  THE  SUPPORT  FOR 
  3036. MANDATORY  POLICY  THAT  IS  PRACTICAL  FOR SECURE NETWORKS. 
  3037. REFERENCE MONITOR SUPPORT TO ENSURE THE CONTROL OVER ALL THE 
  3038. OPERATIONS OF EACH SUBJECT IN THE NETWORK MUST BE COMPLETELY 
  3039. PROVIDED WITHIN THE SINGLE NTCB PARTITION ON WHICH THAT SUB- 
  3040. JECT  INTERFACES  TO  THE  NTCB.  THIS MEANS THAT THE ENTIRE 
  3041. PORTION OF THE "SECURE STATE" REPRESENTED  IN  THE  SECURITY 
  3042. POLICY  MODEL  THAT MAY BE CHANGED BY TRANSITIONS INVOKED BY 
  3043. THIS SUBJECT MUST BE CONTAINED IN THE SAME COMPONENT. 
  3044.  
  3045.      THE SECURE STATE OF AN NTCB PARTITION MAY  BE  AFFECTED 
  3046. BY EVENTS EXTERNAL TO THE COMPONENT IN WHICH THE NTCB PARTI- 
  3047. TION RESIDES (E.G.,  ARRIVAL  OF  A  MESSAGE).   THE  EFFECT 
  3048. OCCURS  ASYNCHRONUSLY  AFTER  BEING INITIATED BY AN EVENT IN 
  3049. ANOTHER COMPONENT OR PARTITION.  FOR EXAMPLE,  INDETERMINATE 
  3050. DELAYS  MAY OCCUR BETWEEN THE INITIATION OF A MESSAGE IN ONE 
  3051. COMPONENT, THE ARRIVAL OF THE MESSAGE IN THE NTCB  PARTITION 
  3052. IN  ANOTHER  COMPONENT,  AND THE CORRESPONDING CHANGE TO THE 
  3053. SECURE STATE OF THE SECOND COMPONENT.  SINCE EACH  COMPONENT 
  3054. IS  EXECUTING  CONCURRENTLY,  TO  DO OTHERWISE WOULD REQUIRE 
  3055. SOME SORT OF NETWORK-WIDE CONTROL TO SYNCHRONIZE STATE TRAN- 
  3056. SITIONS, SUCH AS A GLOBAL NETWORK-WIDE CLOCK FOR ALL PROCES- 
  3057. SORS; IN GENERAL, SUCH DESIGNS ARE NOT PRACTICAL  AND  PROB- 
  3058. ABLY NOT EVEN DESIRABLE.  THEREFORE, THE INTERACTION BETWEEN 
  3059. NTCB PARTITIONS IS RESTRICTED TO JUST COMMUNICATIONS BETWEEN 
  3060. PAIRS  (AT LEAST LOGICALLY) OF DEVICES-MULTILEVEL DEVICES IF 
  3061. THE DEVICE(S) CAN SEND/RECEIVE DATA OF MORE  THAN  A  SINGLE 
  3062. LEVEL.  FOR  BROADCAST CHANNELS THE PAIRS ARE THE SENDER AND 
  3063. INTENDED RECEIVER(S).  HOWEVER,  IF  THE  BROADCAST  CHANNEL 
  3064. CARRIES MULTIPLE LEVELS OF INFORMATION, ADDITIONAL MECHANISM 
  3065. (E.G., CRYPTOCHECKSUM MAINTAINED BY THE TCB) MAY BE REQUIRED 
  3066. TO ENFORCE SEPARATION AND PROPER DELIVERY. 
  3067.  
  3068.      A  COMMON  REPRESENTATION  FOR  SENSITIVITY  LABELS  IS 
  3069. NEEDED  IN  THE PROTOCOL USED ON THAT CHANNEL AND UNDERSTOOD 
  3070. BY BOTH THE SENDER AND RECEIVER WHEN TWO MULTILEVEL  DEVICES 
  3071. (IN  THIS  CASE,  IN TWO DIFFERENT COMPONENTS) ARE INTERCON- 
  3072. NECTED. EACH DISTINCT SENSITIVITY LEVEL OF THE OVERALL  NET- 
  3073. WORK POLICY MUST BE REPRESENTED UNIQUELY IN THESE LABELS. 
  3074.  
  3075.      WITHIN A MONOLITHIC TCB, THE  ACCURACY  OF  THE  SENSI- 
  3076. TIVITY  LABELS  IS  GENERALLY  ASSURED BY SIMPLE TECHNIQUES, 
  3077. E.G., VERY RELIABLE CONNECTIONS  OVER  VERY  SHORT  PHYSICAL 
  3078. CONNECTIONS,  SUCH  AS  ON A SINGLE PRINTED CIRCUIT BOARD OR 
  3079. OVER AN INTERNAL BUS.  IN MANY NETWORK ENVIRONMENTS THERE IS 
  3080. A  MUCH  HIGHER  PROBABILITY  OF ACCIDENTALLY OR MALICIOUSLY 
  3081. INTRODUCED ERRORS, AND THESE MUST BE PROTECTED AGAINST. 
  3082.  
  3083.  
  3084. 3.1.1.3.2.2 Exportation to Single-Level Devices 
  3085.  
  3086. + Statement from DoD 5200.28-STD 
  3087.  
  3088. SINGLE-LEVEL  I/O  DEVICES  AND  SINGLE-LEVEL  COMMUNICATION 
  3089. CHANNELS ARE NOT REQUIRED TO MAINTAIN THE SENSITIVITY LABELS 
  3090. OF THE INFORMATION THEY PROCESS.   HOWEVER,  THE  TCB  SHALL 
  3091. INCLUDE  A MECHANISM BY WHICH THE TCB AND AN AUTHORIZED USER 
  3092. RELIABLY COMMUNICATE TO  DESIGNATE  THE  SINGLE  SENSITIVITY 
  3093. LEVEL  OF  INFORMATION IMPORTED OR EXPORTED VIA SINGLE-LEVEL 
  3094. COMMUNICATION CHANNELS OR I/O DEVICES. 
  3095.  
  3096. +  Interpretation 
  3097.  
  3098.      WHENEVER ONE OR BOTH OF  TWO  DIRECTLY  CONNECTED  COM- 
  3099. PONENTS  IS NOT TRUSTED TO MAINTAIN THE SEPARATION OF INFOR- 
  3100. MATION OF DIFFERENT SENSITIVITY LEVELS, OR WHENEVER THE  TWO 
  3101. DIRECTLY CONNECTED COMPONENTS HAVE ONLY A SINGLE SENSITIVITY 
  3102. LEVEL IN COMMON, THE TWO COMPONENTS  OF  THE  NETWORK  SHALL 
  3103. COMMUNICATE  OVER A SINGLE-LEVEL CHANNEL.  SINGLE-LEVEL COM- 
  3104. PONENTS AND  SINGLE-LEVEL  COMMUNICATION  CHANNELS  ARE  NOT 
  3105. REQUIRED   TO   MAINTAIN   THE  SENSITIVITY  LABELS  OF  THE 
  3106. INFORMATION THEY PROCESS. HOWEVER, THE NTCB SHALL INCLUDE  A 
  3107. RELIABLE  COMMUNICATION  MECHANISM  BY WHICH THE NTCB AND AN 
  3108. AUTHORIZED USER OR A SUBJECT WITHIN AN  NTCB  PARTITION  CAN 
  3109. DESIGNATE   THE  SINGLE  SENSITIVITY  LEVEL  OF  INFORMATION 
  3110. IMPORTED OR EXPORTED VIA SINGLE-LEVEL COMMUNICATION CHANNELS 
  3111. OR NETWORK COMPONENTS. 
  3112.  
  3113. + Rationale 
  3114.  
  3115.      SINGLE-LEVEL COMMUNICATIONS CHANNELS  AND  SINGLE-LEVEL 
  3116. COMPONENTS  IN  NETWORKS ARE ANALOGOUS TO SINGLE LEVEL CHAN- 
  3117. NELS AND I/O DEVICES IN STAND-ALONE SYSTEMS IN THAT THEY ARE 
  3118. NOT  TRUSTED  TO  MAINTAIN  THE SEPARATION OF INFORMATION OF 
  3119. DIFFERENT SENSITIVITY LEVELS.  THE  LABELS  ASSOCIATED  WITH 
  3120. DATA TRANSMITTED OVER THOSE CHANNELS AND BY THOSE COMPONENTS 
  3121. ARE THEREFORE IMPLICIT; THE NTCB ASSOCIATES LABELS WITH  THE 
  3122. DATA  BECAUSE OF THE CHANNEL OR COMPONENT, NOT BECAUSE OF AN 
  3123. EXPLICIT PART OF THE BIT STREAM.  NOTE THAT THE  SENSITIVITY 
  3124. LEVEL  OF  ENCRYPTED INFORMATION IS THE LEVEL OF THE CIPHER- 
  3125. TEXT RATHER THAN THE ORIGINAL LEVEL(S) OF THE PLAINTEXT. 
  3126.  
  3127.  
  3128. 3.1.1.3.2.3 Labeling Human-Readable Output 
  3129.  
  3130. + Statement from DoD 5200.28-STD 
  3131.  
  3132. THE ADP SYSTEM ADMINISTRATOR SHALL BE ABLE  TO  SPECIFY  THE 
  3133. PRINTABLE  LABEL  NAMES ASSOCIATED WITH EXPORTED SENSITIVITY 
  3134. LABELS.  THE TCB SHALL MARK THE BEGINNING  AND  END  OF  ALL 
  3135. HUMAN-READABLE,  PAGED,  HARDCOPY OUTPUT (E.G., LINE PRINTER 
  3136. OUTPUT) WITH HUMAN-READABLE SENSITIVITY  LABELS  THAT  PROP- 
  3137. ERLY1  REPRESENT  THE  SENSITIVITY  OF  THE OUTPUT.  THE TCB 
  3138. SHALL, BY DEFAULT, MARK THE TOP AND BOTTOM OF EACH  PAGE  OF 
  3139. HUMAN-READABLE,  PAGED,  HARDCOPY OUTPUT (E.G., LINE PRINTER 
  3140. OUTPUT) WITH HUMAN-READABLE SENSITIVITY  LABELS  THAT  PROP- 
  3141. ERLY1 REPRESENT THE SENSITIVITY OF THE PAGE.  THE TCB SHALL, 
  3142. BY DEFAULT AND IN AN APPROPRIATE MANNER, MARK OTHER FORMS OF 
  3143. HUMAN  READABLE  OUTPUT  (E.G.,  MAPS, GRAPHICS) WITH HUMAN- 
  3144. READABLE SENSITIVITY LABELS  THAT  PROPERLY1  REPRESENT  THE 
  3145. SENSITIVITY  OF  THE OUTPUT.  ANY OVERRIDE OF THESE MARKINGS 
  3146. DEFAULTS SHALL BE AUDITABLE BY THE TCB. 
  3147.  
  3148. +  Interpretation 
  3149.  
  3150.      THIS CRITERION IMPOSES NO REQUIREMENT  TO  A  COMPONENT 
  3151. THAT  PRODUCES  NO HUMAN-READABLE OUTPUT.  FOR THOSE THAT DO 
  3152. PRODUCE HUMAN-READABLE OUTPUT, EACH SENSITIVITY  LEVEL  THAT 
  3153. _________________________ 
  3154. 1 THE HIERARCHICAL CLASSIFICATION COMPONENT  IN  HUMAN- 
  3155. READABLE  SENSITIVITY  LABELS  SHALL  BE  EQUAL  TO THE 
  3156. GREATEST HIERARCHICAL CLASSIFICATION OF ANY OF THE  IN- 
  3157. FORMATION  IN  THE OUTPUT THAT THE LABELS REFER TO; THE 
  3158. NON-HIERARCHICAL CATEGORY COMPONENT SHALL  INCLUDE  ALL 
  3159. OF  THE  NON-HIERARCHICAL CATEGORIES OF THE INFORMATION 
  3160. IN THE OUTPUT THE LABELS REFER TO, BUT  NO  OTHER  NON- 
  3161. HIERARCHICAL CATEGORIES. 
  3162.  
  3163.  
  3164.  
  3165.  
  3166. IS DEFINED TO THE  NETWORK  SHALL  HAVE  A  UNIFORM  MEANING 
  3167. ACROSS  ALL  COMPONENTS.  THE NETWORK ADMINISTRATOR, IN CON- 
  3168. JUNCTION WITH ANY AFFECTED COMPONENT ADMINISTRATOR, SHALL BE 
  3169. ABLE  TO SPECIFY THE HUMAN-READABLE LABEL THAT IS ASSOCIATED 
  3170. WITH EACH DEFINED SENSITIVITY LEVEL. 
  3171.  
  3172. +  Rationale 
  3173.  
  3174.      THE INTERPRETATION IS A  STRAIGHTFORWARD  EXTENSION  OF 
  3175. THE  REQUIREMENT  INTO  THE  CONTEXT OF A NETWORK SYSTEM AND 
  3176. PARTITIONED NTCB AS DEFINED FOR  THESE  NETWORK  INTERPRETA- 
  3177. TIONS. 
  3178.  
  3179.  
  3180.  
  3181. 3.1.1.4 Mandatory Access Control 
  3182.  
  3183. + Statement from DoD 5200.28-STD 
  3184.  
  3185. THE TCB SHALL ENFORCE A MANDATORY ACCESS CONTROL POLICY OVER 
  3186. ALL  SUBJECTS  AND  STORAGE OBJECTS UNDER ITS CONTROL (E.G., 
  3187. PROCESSES, FILES, SEGMENTS,  DEVICES).  THESE  SUBJECTS  AND 
  3188. OBJECTS SHALL BE ASSIGNED SENSITIVITY LABELS THAT ARE A COM- 
  3189. BINATION OF  HIERARCHICAL  CLASSIFICATION  LEVELS  AND  NON- 
  3190. HIERARCHICAL CATEGORIES, AND THE LABELS SHALL BE USED AS THE 
  3191. BASIS FOR MANDATORY ACCESS CONTROL DECISIONS.  THE TCB SHALL 
  3192. BE  ABLE  TO  SUPPORT  TWO  OR MORE SUCH SENSITIVITY LEVELS. 
  3193. (SEE THE MANDATORY  ACCESS  CONTROL  INTERPRETATIONS.)   THE 
  3194. FOLLOWING  REQUIREMENTS  SHALL HOLD FOR ALL ACCESSES BETWEEN 
  3195. SUBJECTS AND OBJECTS CONTROLLED BY THE TCB:  A  SUBJECT  CAN 
  3196. READ  AN  OBJECT  ONLY IF THE HIERARCHICAL CLASSIFICATION IN 
  3197. THE SUBJECT'S SENSITIVITY LEVEL IS GREATER THAN OR EQUAL  TO 
  3198. THE  HIERARCHICAL CLASSIFICATION OF THE OBJECT'S SENSITIVITY 
  3199. LEVEL AND THE NON-HIERARCHICAL CATEGORIES IN  THE  SUBJECT'S 
  3200. SENSITIVITY   LEVEL   INCLUDE   ALL   THE   NON-HIERARCHICAL 
  3201. CATEGORIES IN THE OBJECT'S SENSITIVITY LEVEL. A SUBJECT  CAN 
  3202. WRITE  AN  OBJECT ONLY IF THE HIERARCHICAL CLASSIFICATION IN 
  3203. THE SUBJECT'S SENSITIVITY LEVEL IS LESS THAN OR EQUAL TO THE 
  3204. HIERARCHICAL  CLASSIFICATION  OF  THE  OBJECT'S  SENSITIVITY 
  3205. LEVEL AND THE NON-HIERARCHICAL CATEGORIES IN  THE  SUBJECT'S 
  3206. SENSITIVITY  LEVEL  ARE  INCLUDED  IN  THE  NON-HIERARCHICAL 
  3207. CATEGORIES IN THE OBJECT'S SENSITIVITY LEVEL. IDENTIFICATION 
  3208. AND  AUTHENTICATION DATA SHALL BE USED BY THE TCB TO AUTHEN- 
  3209. TICATE THE USER'S IDENTITY AND TO  ENSURE  THAT  THE  SENSI- 
  3210. TIVITY  LEVEL  AND AUTHORIZATION OF SUBJECTS EXTERNAL TO THE 
  3211. TCB THAT MAY BE CREATED TO ACT ON BEHALF OF  THE  INDIVIDUAL 
  3212. USER  ARE  DOMINATED  BY  THE CLEARANCE AND AUTHORIZATION OF 
  3213. THAT USER. 
  3214.  
  3215. +  Interpretation 
  3216.  
  3217.      EACH PARTITION OF THE NTCB EXERCISES  MANDATORY  ACCESS 
  3218. CONTROL  POLICY  OVER  ALL  SUBJECTS AND OBJECTS IN ITS COM- 
  3219. PONENT THAT ARE  UNDER  ITS  CONTROL.   IN  A  NETWORK,  THE 
  3220. RESPONSIBILITY  OF  AN NTCB PARTITION ENCOMPASSES ALL MANDA- 
  3221. TORY ACCESS CONTROL FUNCTIONS IN ITS COMPONENT THAT WOULD BE 
  3222. REQUIRED  OF  A  TCB IN A STAND-ALONE SYSTEM. IN PARTICULAR, 
  3223. SUBJECTS AND OBJECTS USED FOR COMMUNICATION WITH OTHER  COM- 
  3224. PONENTS ARE UNDER THE CONTROL OF THE NTCB PARTITION.  MANDA- 
  3225. TORY ACCESS CONTROL INCLUDES SECRECY AND  INTEGRITY  CONTROL 
  3226. TO  THE EXTENT THAT THE NETWORK SPONSOR HAS DESCRIBED IN THE 
  3227. OVERALL NETWORK SECURITY POLICY. 
  3228.  
  3229.      CONCEPTUAL  ENTITIES  ASSOCIATED   WITH   COMMUNICATION 
  3230. BETWEEN  TWO  COMPONENTS,  SUCH AS SESSIONS, CONNECTIONS AND 
  3231. VIRTUAL CIRCUITS, MAY BE THOUGHT OF AS HAVING TWO ENDS,  ONE 
  3232. IN  EACH COMPONENT, WHERE EACH END IS REPRESENTED BY A LOCAL 
  3233. OBJECT.  COMMUNICATION IS VIEWED AS AN OPERATION THAT COPIES 
  3234. INFORMATION  FROM  AN  OBJECT  AT ONE END OF A COMMUNICATION 
  3235. PATH TO AN OBJECT AT THE OTHER END.  TRANSIENT DATA-CARRYING 
  3236. ENTITIES,  SUCH  AS  DATAGRAMS  AND PACKETS, EXIST EITHER AS 
  3237. INFORMATION WITHIN OTHER OBJECTS, OR AS A PAIR  OF  OBJECTS, 
  3238. ONE AT EACH END OF THE COMMUNICATION PATH. 
  3239.  
  3240.      THE REQUIREMENT FOR "TWO OR  MORE"  SENSITIVITY  LEVELS 
  3241. CAN  BE  MET  BY  EITHER  SECRECY OR INTEGRITY LEVELS.  WHEN 
  3242. THERE IS A MANDATORY INTEGRITY POLICY, THE  STATED  REQUIRE- 
  3243. MENTS FOR READING AND WRITING ARE GENERALIZED TO:  A SUBJECT 
  3244. CAN READ AN OBJECT ONLY IF THE SUBJECT'S  SENSITIVITY  LEVEL 
  3245. DOMINATES  THE OBJECT'S SENSITIVITY LEVEL, AND A SUBJECT CAN 
  3246. WRITE AN OBJECT ONLY IF THE OBJECT'S SENSITIVITY LEVEL  DOM- 
  3247. INATES  THE  SUBJECT'S  SENSITIVITY  LEVEL.   BASED  ON  THE 
  3248. INTEGRITY POLICY, THE NETWORK SPONSOR SHALL DEFINE THE DOMI- 
  3249. NANCE  RELATION FOR THE TOTAL LABEL, FOR EXAMPLE, BY COMBIN- 
  3250. ING SECRECY AND INTEGRITY LATTICES. - 
  3251.  
  3252. + Rationale 
  3253.  
  3254.      AN NTCB PARTITION CAN MAINTAIN ACCESS CONTROL ONLY OVER 
  3255. SUBJECTS  AND  OBJECTS IN ITS COMPONENT. ACCESS BY A SUBJECT 
  3256. IN ONE COMPONENT TO INFORMATION CONTAINED IN  AN  OBJECT  IN 
  3257. ANOTHER  COMPONENT REQUIRES THE CREATION OF A SUBJECT IN THE 
  3258. REMOTE COMPONENT WHICH ACTS AS A  SURROGATE  FOR  THE  FIRST 
  3259. SUBJECT. 
  3260.  
  3261.      THE MANDATORY ACCESS CONTROLS MUST BE ENFORCED  AT  THE 
  3262. INTERFACE  OF THE REFERENCE MONITOR (VIZ. THE MECHANISM THAT 
  3263. CONTROLS PHYSICAL PROCESSING RESOURCES) FOR EACH NTCB PARTI- 
  3264. TION.   THIS  MECHANISM  CREATES THE ABSTRACTION OF SUBJECTS 
  3265. AND OBJECTS WHICH IT CONTROLS.  SOME OF THESE SUBJECTS  OUT- 
  3266. SIDE  THE  REFERENCE  MONITOR,  PER SE, MAY BE DESIGNATED TO 
  3267. IMPLEMENT PART OF  AN  NTCB  PARTITION'S  MANDATORY  POLICY, 
  3268. E.G.,  BY USING THE ``TRUSTED SUBJECTS" DEFINED IN THE BELL- 
  3269. _________________________ 
  3270.   - See, for example, Grohn, M.  J., A Model of a  Pro- 
  3271.                                      _ _____ __ _  ___ 
  3272. tected  Data  Management  System, ESD-TR-76-289, I.  P. 
  3273. ______  ____  __________  ______ 
  3274. Sharp Assoc.  Ltd., June, 1976;  and  Denning,  D  .E., 
  3275. Lunt, T. F., Neumann, P. G., Schell, R. R., Heckman, M. 
  3276. and Shockley, W., Secure Distributed Data Views,  Secu- 
  3277.                   ______ ___________ ____ _____   ____ 
  3278. rity Policy and Interpretation for a Class A1 Multilev- 
  3279. ____ ______ ___ ______________ ___ _ _____ __ ________ 
  3280. el Secure Relational Database System,SRI International, 
  3281. __ ______ __________ ________ ______ 
  3282. November 1986. 
  3283.  
  3284.  
  3285. LAPADULA MODEL. 
  3286.  
  3287.      THE PRIOR REQUIREMENTS ON EXPORTATION OF LABELED INFOR- 
  3288. MATION  TO  AND  FROM  I/O  DEVICES  ENSURE  THE CONSISTENCY 
  3289. BETWEEN THE SENSITIVITY LABELS OF  OBJECTS  CONNECTED  BY  A 
  3290. COMMUNICATION  PATH.  AS NOTED IN THE INTRODUCTION, THE NET- 
  3291. WORK ARCHITECTURE MUST RECOGNIZE  THE  LINKAGE  BETWEEN  THE 
  3292. OVERALL MANDATORY NETWORK SECURITY POLICY AND THE CONNECTION 
  3293. ORIENTED ABSTRACTION. FOR EXAMPLE, INDIVIDUAL  DATA-CARRYING 
  3294. ENTITIES  SUCH  AS DATAGRAMS CAN HAVE INDIVIDUAL SENSITIVITY 
  3295. LABELS THAT SUBJECT THEM TO MANDATORY ACCESS CONTROL IN EACH 
  3296. COMPONENT.   THE ABSTRACTION OF A SINGLE-LEVEL CONNECTION IS 
  3297. REALIZED AND ENFORCED IMPLICITLY BY AN ARCHITECTURE WHILE  A 
  3298. CONNECTION  IS REALIZED BY SINGLE-LEVEL SUBJECTS THAT NECES- 
  3299. SARILY EMPLOY ONLY DATAGRAMS OF THE SAME LEVEL. 
  3300.  
  3301.      THE FUNDAMENTAL TRUSTED SYSTEMS TECHNOLOGY PERMITS  THE 
  3302. DAC MECHANISM TO BE DISTRIBUTED, IN CONTRAST TO THE REQUIRE- 
  3303. MENTS FOR  MANDATORY  ACCESS  CONTROL.   FOR  NETWORKS  THIS 
  3304. SEPARATION OF MAC AND DAC MECHANISMS IS THE RULE RATHER THAN 
  3305. THE EXCEPTION. 
  3306.  
  3307.      THE SET OF TOTAL SENSITIVITY LABELS USED  TO  REPRESENT 
  3308. ALL  THE SENSITIVITY LEVELS FOR THE MANDATORY ACCESS CONTROL 
  3309. (COMBINED DATA SECRECY AND  DATA  INTEGRITY)  POLICY  ALWAYS 
  3310. FORMS  A PARTIALLY ORDERED SET.  WITHOUT LOSS OF GENERALITY, 
  3311. THIS SET OF LABELS CAN ALWAYS BE EXTENDED TO FORM A LATTICE, 
  3312. BY   INCLUDING  ALL  THE  COMBINATIONS  OF  NON-HIERARCHICAL 
  3313. CATEGORIES.  AS FOR ANY LATTICE,  A  DOMINANCE  RELATION  IS 
  3314. ALWAYS DEFINED FOR THE TOTAL SENSITIVITY LABELS.  FOR ADMIN- 
  3315. ISTRATIVE REASONS IT MAY BE HELPFUL TO HAVE A MAXIMUM  LEVEL 
  3316. WHICH DOMINATES ALL OTHERS. 
  3317.  
  3318.  
  3319. 3.1.2 Accountability 
  3320. _ _ _ ______________ 
  3321.  
  3322.  
  3323. 3.1.2.1 Identification and Authentication 
  3324.  
  3325. + Statement from DoD 5200.28-STD 
  3326.  
  3327. The TCB shall require users to  identify  themselves  to  it 
  3328. before  beginning  to perform any other actions that the TCB 
  3329. is expected to mediate.  Furthermore, the TCB shall MAINTAIN 
  3330. AUTHENTICATION  DATA THAT INCLUDES INFORMATION FOR VERIFYING 
  3331. THE IDENTIFY OF INDIVIDUAL USERS (E.G., PASSWORDS)  AS  WELL 
  3332. AS  INFORMATION FOR DETERMINING THE CLEARANCE AND AUTHORIZA- 
  3333. TIONS OF INDIVIDUAL USERS.  THIS DATA SHALL BE USED  BY  THE 
  3334. TCB  TO  AUTHENTICATE THE USER'S IDENTITY AND TO ENSURE THAT 
  3335. THE SENSITIVITY LEVEL AND AUTHORIZATION OF SUBJECTS EXTERNAL 
  3336. TO THE TCB THAT MAY BE CREATED TO ACT ON BEHALF OF THE INDI- 
  3337. VIDUAL USER ARE DOMINATED BY THE CLEARANCE AND AUTHORIZATION 
  3338. OF  THAT  USER. The TCB shall protect authentication data so 
  3339. that it cannot be accessed by any  unauthorized  user.   The 
  3340. TCB  shall  be  able to enforce individual accountability by 
  3341. providing the capability to uniquely identify  each  indivi- 
  3342. dual  ADP  system  user.   The  TCB  shall  also provide the 
  3343. capability of associating this identity with  all  auditable 
  3344. actions taken by that individual. 
  3345.  
  3346. +  Interpretation 
  3347.  
  3348.      The requirement for identification  and  authentication 
  3349. of users is the same for a network system as for an ADP sys- 
  3350. tem. The identification and authentication may  be  done  by 
  3351. the  component  to  which  the user is directly connected or 
  3352. some other component, such as an identification and  authen- 
  3353. tication  server.   Available  techniques,  such  as   those 
  3354. described  in  the  Password  Guideline=, are generally also 
  3355. applicable in the network context. However, in  cases  where 
  3356. the  NTCB is expected to mediate actions of a host (or other 
  3357. network component) that is acting on behalf  of  a  user  or 
  3358. group  of  users,  the  NTCB  may  employ identification and 
  3359. authentication of the host (or other component) in  lieu  of 
  3360. identification  and authentication of an individual user, so 
  3361. long as the component identifier implies a list of  specific 
  3362. users uniquely associated with the identifier at the time of 
  3363. its use for authentication.  This requirement does not apply 
  3364. to internal subjects. 
  3365.  
  3366.      Authentication information, including the identity of a 
  3367. user  (once  authenticated) may be passed from one component 
  3368. to another without reauthentication, so  long  as  the  NTCB 
  3369. protects  (e.g.,  by  encryption) the information from unau- 
  3370. thorized disclosure and modification. This protection  shall 
  3371. provide  at  least a similar level of assurance (or strength 
  3372. of mechanism) as pertains to the protection of the authenti- 
  3373. cation mechanism and authentication data. 
  3374.  
  3375. +  Rationale 
  3376.  
  3377.      The need for accountability is not changed in the  con- 
  3378. text  of a network system.  The fact that the NTCB is parti- 
  3379. tioned over a set of components neither reduces the need nor 
  3380. imposes  new requirements.  That is, individual accountabil- 
  3381. ity is still the objective. Also, in the context of  a  net- 
  3382. work system at the (C2) level or higher  "individual accoun- 
  3383. tability" can be satisfied by identification of a  host  (or 
  3384. other component) so long as the requirement for traceability 
  3385. to individual users or a set of  specific  individual  users 
  3386. with active subjects is satisfied. There is allowed to be an 
  3387. uncertainty in traceability because of elapsed time  between 
  3388. changes  in  the group membership and the enforcement in the 
  3389. access control mechanisms.  In addition, there is no need in 
  3390. a  distributed processing system like a network to reauthen- 
  3391. ticate a user at each point in the network where  a  projec- 
  3392. tion  of  a user (via the subject operating on behalf of the 
  3393. user) into another remote subject takes place. 
  3394.  
  3395.  
  3396. _________________________ 
  3397.   = Department of Defense  Password  Management  Guide- 
  3398.     __________ __ _______  ________  __________  _____ 
  3399. line, CSC-STD-002-85 
  3400. ____ 
  3401.  
  3402.  
  3403.      The passing of identifiers and/or authentication infor- 
  3404. mation from one component to another is usually done in sup- 
  3405. port to the implementation of the discretionary access  con- 
  3406. trol  (DAC).   This  support  relates  directly  to  the DAC 
  3407. regarding access by a user to a storage  object  in  a  dif- 
  3408. ferent  NTCB  partition  than  the  one  where  the user was 
  3409. authenticated. Employing a forwarded identification  implies 
  3410. additional  reliance  on the source and components along the 
  3411. path.  IF THE AUTHENTICATED IDENTIFICATION IS  USED  AS  THE 
  3412. BASIS  OF  DETERMINING A SENSITIVITY LABEL FOR A SUBJECT, IT 
  3413. MUST SATISFY THE LABEL INTEGRITY CRITERION. 
  3414.  
  3415.      AN  AUTHENTICATED  IDENTIFICATION  MAY   BE   FORWARDED 
  3416. BETWEEN  COMPONENTS  AND EMPLOYED IN SOME COMPONENT TO IDEN- 
  3417. TIFY THE SENSITIVITY LEVEL ASSOCIATED WITH A SUBJECT CREATED 
  3418. TO ACT ON BEHALF OF THE USER SO IDENTIFIED. 
  3419.  
  3420.  
  3421. 3.1.2.2 Audit 
  3422. _ _ _ _ _____ 
  3423.  
  3424. + Statement from DoD 5200.28-STD 
  3425.  
  3426. The TCB shall be able to create, maintain, and protect  from 
  3427. modification  or unauthorized access or destruction an audit 
  3428. trail of accesses to the objects  it  protects.   The  audit 
  3429. data shall be protected by the TCB so that read access to it 
  3430. is limited to those who are authorized for audit data.   The 
  3431. TCB  shall  be able to record the following types of events: 
  3432. use of identification and authentication mechanisms,  intro- 
  3433. duction  of  objects into a user's address space (e.g., file 
  3434. open, program  initiation),  deletion  of  objects,  actions 
  3435. taken by computer operators and system administrators and/or 
  3436. system  security  officers,  and  other  security   relevant 
  3437. events.  THE TCB SHALL ALSO BE ABLE TO AUDIT ANY OVERRIDE OF 
  3438. HUMAN-READABLE OUTPUT MARKINGS.  For  each  recorded  event, 
  3439. the audit record shall identify: date and time of the event, 
  3440. user, type of event, and success or failure  of  the  event. 
  3441. For   identification/authentication  events  the  origin  of 
  3442. request (e.g., terminal ID) shall be included in  the  audit 
  3443. record.   For  events that introduce an object into a user's 
  3444. address space and  for  object  deletion  events  the  audit 
  3445. record shall include the name of the object AND THE OBJECT'S 
  3446. SENSITIVITY LEVEL. The ADP  system  administrator  shall  be 
  3447. able  to  selectively  audit  the actions of any one or more 
  3448. users based on individual identify AND/OR OBJECT SENSITIVITY 
  3449. LEVEL. 
  3450.  
  3451. +  Interpretation 
  3452.  
  3453.      This criterion applies  as  stated.  The  sponsor  must 
  3454. select  which  events are auditable.  If any such events are 
  3455. not distinguishable by the NTCB  alone  (for  example  those 
  3456. identified in Part II), the audit mechanism shall provide an 
  3457. interface, which  an  authorized  subject  can  invoke  with 
  3458. parameters  sufficient  to  produce  an audit record.  These 
  3459. audit records shall be distinguishable from  those  provided 
  3460. by  the  NTCB.   In  the context of a network system, "other 
  3461. security  relevant  events"  (depending  on  network  system 
  3462. architecture  and  network security policy) might be as fol- 
  3463. lows: 
  3464.  
  3465.  
  3466. 1.      Identification of each access  event  (e.g.,  estab- 
  3467.         lishing a connection or a connectionless association 
  3468.         between processes in two hosts of the  network)  and 
  3469.         its  principal parameters (e.g., host identifiers of 
  3470.         the two hosts involved in the access event and  user 
  3471.         identifier  or  host  identifier of the user or host 
  3472.         that is requesting the access event) 
  3473.  
  3474. 2.      Identification of the starting and ending  times  of 
  3475.         each  access  event  using local time or global syn- 
  3476.         chronized time 
  3477.  
  3478. 3.      Identification of security-relevant exceptional con- 
  3479.         ditions   (e.g.,   potential   violation   of   data 
  3480.         integrity, such  as  misrouted  datagrams)  detected 
  3481.         during the transactions between two hosts 
  3482.  
  3483. 4.      Utilization of cryptographic variables 
  3484.  
  3485. 5.      Changing the configuration of the network  (e.g.,  a 
  3486.         component leaving the network and rejoining) 
  3487.  
  3488.      In  addition,  identification  information  should   be 
  3489. included  in  appropriate audit trail records, as necessary, 
  3490. to allow association of all  related  (e.g.,  involving  the 
  3491. same  network event) audit trail records (e.g., at different 
  3492. hosts) with each other.  Furthermore,  a  component  of  the 
  3493. network  system  may  provide  the required audit capability 
  3494. (e.g., storage, retrieval, reduction,  analysis)  for  other 
  3495. components  that  do  not  internally  store  audit data but 
  3496. transmit the audit data to some designated  collection  com- 
  3497. ponent.   Provisions  shall  be  made to control the loss of 
  3498. audit data due to unavailability of resources. 
  3499.  
  3500.      In the context of a network system, the "user's address 
  3501. space"  is  extended,  for  object introduction and deletion 
  3502. events, to include address spaces being employed  on  behalf 
  3503. of  a  remote user (or host).  However, the focus remains on 
  3504. users in contrast to internal subjects as discussed  in  the 
  3505. DAC  criterion.   In  addition,  audit  information  must be 
  3506. stored in machine-readable form. 
  3507.  
  3508. +  Rationale 
  3509.  
  3510.      For remote users, the network identifiers (e.g., inter- 
  3511. net address) can be used as identifiers of groups of indivi- 
  3512. dual users (e.g., "all users at Host A")  to  eliminate  the 
  3513. maintenance that would be required if individual identifica- 
  3514. tion of remote users was employed.  In this class (C2), how- 
  3515. ever,  it  must  be  possible to identify (immediately or at 
  3516. some later time) the  individuals  represented  by  a  group 
  3517. identifier.   In all other respects, the interpretation is a 
  3518. straightforward extension of the criterion into the  context 
  3519. of a network system. 
  3520.  
  3521.  
  3522. 3.1.3 Assurance 
  3523. _ _ _ _________ 
  3524.  
  3525.  
  3526. 3.1.3.1 Operational Assurance 
  3527.  
  3528.  
  3529. 3.1.3.1.1 System Architecture 
  3530.  
  3531. + Statement from DoD 5200.28-STD 
  3532.  
  3533. The TCB shall maintain a domain for its own  execution  that 
  3534. protects  it  from external interference or tampering (e.g., 
  3535. by modification of its code or data structures).   Resources 
  3536. controlled  by  the  TCB may be a defined subset of the sub- 
  3537. jects and objects in the ADP system. THE TCB SHALL  MAINTAIN 
  3538. PROCESS  ISOLATION THROUGH THE PROVISION OF DISTINCT ADDRESS 
  3539. SPACES  UNDER  ITS  CONTROL.  The  TCB  shall  isolate   the 
  3540. resources  to  be  protected so that they are subject to the 
  3541. access control and auditing requirements. 
  3542.  
  3543. +  Interpretation 
  3544.  
  3545.      The system architecture criterion must be met individu- 
  3546. ally by all NTCB partitions.  Implementation of the require- 
  3547. ment that the NTCB maintain a domain for its  own  execution 
  3548. is  achieved by having each NTCB partition maintain a domain 
  3549. for its own execution. SINCE EACH COMPONENT IS ITSELF A DIS- 
  3550. TINCT DOMAIN IN THE OVERALL NETWORK SYSTEM, THIS ALSO SATIS- 
  3551. FIES THE REQUIREMENT FOR PROCESS ISOLATION THROUGH  DISTINCT 
  3552. ADDRESS  SPACES  IN  THE  SPECIAL CASE WHERE A COMPONENT HAS 
  3553. ONLY A SINGLE SUBJECT. 
  3554.  
  3555.      The subset of network resources over which the NTCB has 
  3556. control  are  the  union of the sets of resources over which 
  3557. the NTCB partitions have control.  Code and data  structures 
  3558. belonging  to  the  NTCB,  transferred  among  NTCB subjects 
  3559. (i.e., subjects outside the reference monitor but inside the 
  3560. NTCB)  belonging  to different NTCB partitions, must be pro- 
  3561. tected against  external  interference  or  tampering.   For 
  3562. example,  a  cryptographic checksum or physical means may be 
  3563. employed  to  protect  user  authentication  data  exchanged 
  3564. between NTCB partitions. 
  3565.  
  3566.      Each NTCB partition  provides  isolation  of  RESOURCES 
  3567. (WITHIN  ITS  COMPONENT)  TO BE PROTECTED IN accord with the 
  3568. network system architecture  and  security  policy  SO  THAT 
  3569. "SUPPORTING  ELEMENTS"  (E.G.,  DAC AND USER IDENTIFICATION) 
  3570. FOR THE  SECURITY  MECHANISMS  OF  THE  NETWORK  SYSTEM  ARE 
  3571. STRENGTHENED  COMPARED  TO  C2,  FROM  AN ASSURANCE POINT OF 
  3572. VIEW, THROUGH THE PROVISION OF DISTINCT ADDRESS SPACES UNDER 
  3573. CONTROL OF THE NTCB. 
  3574.  
  3575.      AS DISCUSSED IN THE DISCRETIONARY ACCESS  CONTROL  SEC- 
  3576. TION,  THE  DAC  MECHANISM OF A NTCB PARTITION MAY BE IMPLE- 
  3577. MENTED AT THE INTERFACE OF THE REFERENCE MONITOR OR  MAY  BE 
  3578. DISTRIBUTED  IN  SUBJECTS  THAT  ARE PART OF THE NTCB IN THE 
  3579. SAME OR DIFFERENT COMPONENT.  WHEN DISTRIBUTED IN NTCB  SUB- 
  3580. JECTS  (I.E.,  WHEN  OUTSIDE  THE  REFERENCE  MONITOR),  THE 
  3581. ASSURANCE REQUIREMENTS FOR THE DESIGN AND IMPLEMENTATION  OF 
  3582. THE DAC SHALL BE THOSE OF CLASS C2 FOR ALL NETWORKS OF CLASS 
  3583. C2 OR ABOVE. 
  3584.  
  3585. +  Rationale 
  3586.  
  3587.  
  3588.      The requirement for the  protection  of  communications 
  3589. between NTCB partitions is specifically directed to subjects 
  3590. that are part of the NTCB partitions.  Any requirements  for 
  3591. such  protection  for the subjects that are outside the NTCB 
  3592. partitions  are  addressed  in  response  to  the  integrity 
  3593. requirements of the security policy. 
  3594.  
  3595.      THE PROVISION OF DISTINCT ADDRESS SPACES UNDER THE CON- 
  3596. TROL  OF  THE NTCB PROVIDES THE ABILITY TO SEPARATE SUBJECTS 
  3597. ACCORDING TO SENSITIVITY LEVEL.  THIS REQUIREMENT IS  INTRO- 
  3598. DUCED  AT  B1  SINCE IT IS AN ABSOLUTE NECESSITY IN ORDER TO 
  3599. IMPLEMENT MANDATORY ACCESS CONTROLS. 
  3600.  
  3601.  
  3602. 3.1.3.1.2 System Integrity 
  3603.  
  3604. + Statement from DoD 5200.28-STD 
  3605.  
  3606. Hardware and/or software features shall be provided that can 
  3607. be  used  to  periodically validate the correct operation of 
  3608. the on-site hardware and firmware elements of the TCB. 
  3609.  
  3610. +  Interpretation 
  3611.  
  3612.      Implementation of the requirement is partly achieved by 
  3613. having hardware and/or software features that can be used to 
  3614. periodically validate the correct operation of the  hardware 
  3615. and  firmware  elements  of each component's NTCB partition. 
  3616. Features shall also be provided to validate the identity and 
  3617. correct  operation of a component prior to its incorporation 
  3618. in the network system and throughout system operation.   For 
  3619. example,  a protocol could be designed that enables the com- 
  3620. ponents of the partitioned NTCB to exchange messages period- 
  3621. ically  and validate each other's correct response. The pro- 
  3622. tocol shall be able to determine the remote entity's ability 
  3623. to  respond. NTCB partitions shall provide the capability to 
  3624. report to  network  administrative  personnel  the  failures 
  3625. detected in other NTCB partitions. 
  3626.  
  3627.      Intercomponent  protocols  implemented  within  a  NTCB 
  3628. shall be designed in such a way as to provide correct opera- 
  3629. tion in the case of failures of  network  communications  or 
  3630. individual components.  The allocation of MANDATORY AND dis- 
  3631. cretionary access control policy in a  network  may  require 
  3632. communication  between trusted subjects that are part of the 
  3633. NTCB partitions in different components.  This communication 
  3634. is normally implemented with a protocol between the subjects 
  3635. as peer entities.  Incorrect access within a component shall 
  3636. not  result from failure of an NTCB partition to communicate 
  3637. with other components. 
  3638.  
  3639. + Rationale 
  3640.  
  3641.      The  first  paragraph  of  the  interpretation   is   a 
  3642. straightforward  extension  of the requirement into the con- 
  3643. text of a network system and partitioned NTCB as defined for 
  3644. these network criteria. 
  3645.  
  3646.      NTCB protocols should be robust  enough  so  that  they 
  3647. permit the system to operate correctly in the case of local- 
  3648. ized failure. The purpose of this protection is to  preserve 
  3649. the integrity of the NTCB itself.  It is not unusual for one 
  3650. or more components in a network to  be  inoperative  at  any 
  3651. time,  so  it  is  important to minimize the effects of such 
  3652. failures on the rest of the  network.  Additional  integrity 
  3653. and denial of service issues are addressed in Part II. 
  3654.  
  3655.  
  3656. 3.1.3.2 Life-Cycle Assurance 
  3657.  
  3658.  
  3659. 3.1.3.2.1 Security Testing 
  3660.  
  3661. + Statement from DoD 5200.28-STD 
  3662.  
  3663. The security mechanisms of the ADP system  shall  be  tested 
  3664. and  found to work as claimed in the system documentation. A 
  3665. TEAM OF INDIVIDUALS WHO THOROUGHLY UNDERSTAND  THE  SPECIFIC 
  3666. IMPLEMENTATION  OF THE TCB SHALL SUBJECT ITS DESIGN DOCUMEN- 
  3667. TATION, SOURCE CODE, AND OBJECT CODE TO THROUGH ANALYSIS AND 
  3668. TESTING.   THEIR  OBJECTIVES SHALL BE: TO UNCOVER ALL DESIGN 
  3669. AND IMPLEMENTATION FLAWS THAT WOULD PERMIT A SUBJECT  EXTER- 
  3670. NAL  TO  THE  TCB  TO  READ, CHANGE, OR DELETE DATA NORMALLY 
  3671. DENIED UNDER THE MANDATORY OR DISCRETIONARY SECURITY  POLICY 
  3672. ENFORCED  BY  THE  TCB; AS WELL AS TO ASSURE THAT NO SUBJECT 
  3673. (WITHOUT AUTHORIZATION TO DO SO) IS ABLE TO CAUSE THE TCB TO 
  3674. ENTER  A STATE SUCH THAT IT IS UNABLE TO RESPOND TO COMMUNI- 
  3675. CATIONS INITIATED BY OTHER USERS. ALL DISCOVERED FLAWS SHALL 
  3676. BE  REMOVED  OR  NEUTRALIZED  AND THE TCB RETESTED TO DEMON- 
  3677. STRATE THAT THEY HAVE BEEN ELIMINATED  AND  THAT  NEW  FLAWS 
  3678. HAVE  NOT  BEEN INTRODUCED. (See the Security Testing Guide- 
  3679. lines.) 
  3680.  
  3681. +  Interpretation 
  3682.  
  3683.      Testing of a component  will  require  a  testbed  that 
  3684. exercises  the  interfaces  and  protocols  of the component 
  3685. including tests under exceptional conditions.   The  testing 
  3686. of  a  security  mechanism of the network system for meeting 
  3687. this criterion shall  be  an  integrated  testing  procedure 
  3688. involving  all  components containing an NTCB partition that 
  3689. implement the given mechanism. This  integrated  testing  is 
  3690. additional to any individual component tests involved in the 
  3691. evaluation of the network system.  The sponsor should  iden- 
  3692. tify the allowable set of configurations including the sizes 
  3693. of the networks.  Analysis or testing procedures  and  tools 
  3694. shall  be  available  to test the limits of these configura- 
  3695. tions.  A change in configuration within the  allowable  set 
  3696. of configurations does not require retesting. 
  3697.  
  3698.      THE TESTING OF EACH COMPONENT WILL INCLUDE  THE  INTRO- 
  3699. DUCTION  OF  SUBJECTS EXTERNAL TO THE NTCB PARTITION FOR THE 
  3700. COMPONENT THAT WILL ATTEMPT TO READ, CHANGE, OR DELETE  DATA 
  3701. NORMALLY  DENIED.   IF THE NORMAL INTERFACE TO THE COMPONENT 
  3702. DOES NOT PROVIDE A MEANS TO CREATE THE  SUBJECTS  NEEDED  TO 
  3703. CONDUCT  SUCH A TEST, THEN THIS PORTION OF THE TESTING SHALL 
  3704. USE A SPECIAL VERSION OF THE UNTRUSTED SOFTWARE FOR THE COM- 
  3705. PONENT  THAT  RESULTS  IN  SUBJECTS THAT MAKE SUCH ATTEMPTS. 
  3706. THE RESULTS SHALL BE SAVED FOR TEST ANALYSIS.  SUCH  SPECIAL 
  3707. VERSIONS  SHALL  HAVE AN NTCB PARTITION THAT IS IDENTICAL TO 
  3708. THAT FOR THE NORMAL CONFIGURATION  OF  THE  COMPONENT  UNDER 
  3709. EVALUATION. 
  3710.  
  3711.      THE TESTING OF THE  MANDATORY  CONTROLS  SHALL  INCLUDE 
  3712. TESTS   TO  DEMONSTRATE  THAT  THE  LABELS  FOR  INFORMATION 
  3713. IMPORTED AND/OR EXPORTED TO/FROM  THE  COMPONENT  ACCURATELY 
  3714. REPRESENT  THE  LABELS  MAINTAINED BY THE NTCB PARTITION FOR 
  3715. THE COMPONENT FOR USE AS THE BASIS FOR ITS MANDATORY  ACCESS 
  3716. CONTROL  DECISIONS.   THE  TESTS  SHALL INCLUDE EACH TYPE OF 
  3717. DEVICE, WHETHER SINGLE-LEVEL OR MULTILEVEL, SUPPORTED BY THE 
  3718. COMPONENT. 
  3719.  
  3720. +  Rationale 
  3721.  
  3722.      THE PHRASE "NO SUBJECT (WITHOUT AUTHORIZATION TO DO SO) 
  3723. IS  ABLE  TO  CAUSE THE TCB TO ENTER A STATE SUCH THAT IT IS 
  3724. UNABLE TO  RESPOND  TO  COMMUNICATIONS  INITIATED  BY  OTHER 
  3725. USERS"  RELATES  TO  THE  SECURITY SERVICES (PART II OF THIS 
  3726. TNI) FOR THE DENIAL OF SERVICE PROBLEM, AND  TO  CORRECTNESS 
  3727. OF THE PROTOCOL IMPLEMENTATIONS. 
  3728.  
  3729.      Testing  is  AN  IMPORTANT  method  available  in  this  
  3730. evaluation  division to gain any assurance that the security 
  3731. mechanisms perform their intended function.  A MAJOR PURPOSE 
  3732. OF TESTING IS TO DEMONSTRATE THE SYSTEM'S RESPONSE TO INPUTS 
  3733. TO THE NTCB PARTITION FROM  UNTRUSTED  (AND  POSSIBLY  MALI- 
  3734. CIOUS) SUBJECTS. 
  3735.  
  3736.      IN CONTRAST TO GENERAL PURPOSE SYSTEMS THAT  ALLOW  FOR 
  3737. THE  DYNAMIC  CREATION OF NEW PROGRAMS AND THE INTRODUCTIONS 
  3738. OF NEW PROCESSES (AND HENCE NEW SUBJECTS) WITH  USER  SPECI- 
  3739. FIED  SECURITY  PROPERITIES, MANY NETWORK COMPONENTS HAVE NO 
  3740. METHOD FOR INTRODUCING NEW PROGRAMS AND/OR PROCESSES  DURING 
  3741. THEIR  NORMAL  OPERATION.  THEREFORE, THE PROGRAMS NECESSARY 
  3742. FOR THE TESTING MUST BE INTRODUCED AS  SPECIAL  VERSIONS  OF 
  3743. THE  SOFTWARE  RATHER THAN AS THE RESULT OF NORMAL INPUTS BY 
  3744. THE TEST TEAM.  HOWEVER, IT MUST BE INSURED  THAT  THE  NTCB 
  3745. PARTITION  USED FOR SUCH TESTS IS IDENTICAL TO THE ONE UNDER 
  3746. EVALUATION. 
  3747.  
  3748.      SENSITIVITY LABELS SERVE A CRITICAL ROLE IN MAINTAINING 
  3749. THE  SECURITY  OF  THE MANDATORY ACCESS CONTROLS IN THE NET- 
  3750. WORK.  ESPECIALLY IMPORTANT TO NETWORK SECURITY IS THE  ROLE 
  3751. OF  THE  LABELS  FOR  INFORMATION  COMMUNICATED BETWEEN COM- 
  3752. PONENTS - EXPLICIT LABELS FOR MULTILEVEL DEVICES AND  IMPLI- 
  3753. CIT  LABELS FOR SINGLE-LEVEL DEVICES.  THEREFORE THE TESTING 
  3754. FOR CORRECT LABELS IS HIGHLIGHTED. 
  3755.  
  3756.  
  3757.  
  3758. 3.1.3.2.2  Design Specification and Verification 
  3759.  
  3760. + Statement from DoD 5200.28-STD 
  3761.  
  3762. AN INFORMAL OR FORMAL MODEL OF THE SECURITY POLICY SUPPORTED 
  3763. BY  THE  TCB  SHALL BE MAINTAINED OVER THE LIFE CYCLE OF THE 
  3764. ADP SYSTEM  AND  DEMONSTRATED  TO  BE  CONSISTENT  WITH  ITS 
  3765. AXIOMS. 
  3766.  
  3767. +  Interpretation 
  3768.  
  3769.      THE OVERALL NETWORK SECURITY POLICY EXPRESSED  IN  THIS 
  3770. MODEL  WILL  PROVIDE THE BASIS FOR THE MANDATORY ACCESS CON- 
  3771. TROL POLICY EXERCISED BY THE NTCB OVER SUBJECTS AND  STORAGE 
  3772. OBJECTS  IN THE ENTIRE NETWORK.  THE POLICY WILL ALSO BE THE 
  3773. BASIS FOR THE DISCRETIONARY ACCESS CONTROL POLICY  EXERCISED 
  3774. BY  THE  NTCB  TO  CONTROL  ACCESS  OF  NAMED USERS TO NAMED 
  3775. OBJECTS.  DATA INTEGRITY REQUIREMENTS ADDRESSING THE EFFECTS 
  3776. OF UNAUTHORIZED MSM NEED NOT BE INCLUDED IN THIS MODEL.  THE 
  3777. OVERALL NETWORK POLICY MUST BE DECOMPOSED INTO  POLICY  ELE- 
  3778. MENTS  THAT ARE ALLOCATED TO APPROPRIATE COMPONENTS AND USED 
  3779. AS THE BASIS FOR THE SECURITY POLICY MODEL  FOR  THOSE  COM- 
  3780. PONENTS. 
  3781.  
  3782.      THE LEVEL OF ABSTRACTION OF THE MODEL, AND THE  SET  OF 
  3783. SUBJECTS  AND OBJECTS THAT ARE EXPLICITLY REPRESENTED IN THE 
  3784. MODEL, WILL BE AFFECTED BY THE NTCB PARTITIONING.   SUBJECTS 
  3785. AND  OBJECTS MUST BE REPRESENTED EXPLICITLY IN THE MODEL FOR 
  3786. THE PARTITION IF THERE IS SOME NETWORK COMPONENT WHOSE  NTCB 
  3787. PARTITION  EXERCISES  ACCESS  CONTROL  OVER THEM.  THE MODEL 
  3788. SHALL BE STRUCTURED SO THAT THE AXIOMS AND ENTITIES APPLICA- 
  3789. BLE  TO  INDIVIDUAL NETWORK COMPONENTS ARE MANIFEST.  GLOBAL 
  3790. NETWORK POLICY ELEMENTS THAT  ARE  ALLOCATED  TO  COMPONENTS 
  3791. SHALL BE REPRESENTED BY THE MODEL FOR THAT COMPONENT. 
  3792.  
  3793. + Rationale 
  3794.  
  3795.      THE TREATMENT OF THE MODEL DEPENDS TO A GREAT EXTENT ON 
  3796. THE DEGREE OF INTEGRATION OF THE COMMUNICATIONS SERVICE INTO 
  3797. A DISTRIBUTED SYSTEM. IN A CLOSELY COUPLED DISTRIBUTED  SYS- 
  3798. TEM,  ONE  MIGHT  USE  A  MODEL  THAT  CLOSELY RESEMBLES ONE 
  3799. APPROPRIATE FOR A STAND-ALONE COMPUTER SYSTEM. 
  3800.  
  3801.      IN OTHER CASES, THE MODEL OF  EACH  PARTITION  WILL  BE 
  3802. EXPECTED TO SHOW THE ROLE OF THE NTCB PARTITION IN EACH KIND 
  3803. OF COMPONENT.   IT  WILL  MOST  LIKELY  CLARIFY  THE  MODEL, 
  3804. ALTHOUGH  NOT PART OF THE MODEL, TO SHOW ACCESS RESTRICTIONS 
  3805. IMPLIED  BY  THE  SYSTEM  DESIGN;  FOR   EXAMPLE,   SUBJECTS 
  3806. REPRESENTING  PROTOCOL  ENTITIES  MIGHT HAVE ACCESS ONLY  TO 
  3807. OBJECTS CONTAINING DATA UNITS AT THE SAME LAYER OF PROTOCOL. 
  3808. THE  ALLOCATION OF SUBJECTS AND  OBJECTS TO DIFFERENT PROTO- 
  3809. COL LAYERS IS A PROTOCOL DESIGN CHOICE WHICH  NEED  NOT   BE 
  3810. REFLECTED IN THE SECURITY POLICY MODEL. 
  3811.  
  3812.  
  3813. 3.1.4 Documentation. 
  3814. _ _ _ _____________ 
  3815.  
  3816.  
  3817. 3.1.4.1 Security Features User's Guide 
  3818.  
  3819. + Statement from DoD 5200.28-STD 
  3820.  
  3821. A single summary, chapter, or manual in  user  documentation 
  3822. shall  describe  the  protection  mechanisms provided by the 
  3823. TCB, interpretations on their use,  and  how  they  interact 
  3824. with one another. 
  3825.  
  3826. +  Interpretation 
  3827.  
  3828.      This user documentation describes user visible  protec- 
  3829. tion  mechanisms at the global (network system) level and at 
  3830. the user interface of each component,  and  the  interaction 
  3831. among these. 
  3832.  
  3833. +  Rationale 
  3834.  
  3835.      The interpretation is an extension of  the  requirement 
  3836. into  the  context  of a network system as defined for these 
  3837. network criteria.  Documentation  of  protection  mechanisms 
  3838. provided  by  individual  components is required by the cri- 
  3839. teria for trusted  computer  systems  that  are  applied  as 
  3840. appropriate for the individual components. 
  3841.  
  3842.  
  3843. 3.1.4.2 Trusted Facility Manual 
  3844.  
  3845. + Statement from DoD 5200.28-STD 
  3846.  
  3847. A manual addressed to the  ADP  system  administrator  shall 
  3848. present  cautions about functions and privileges that should 
  3849. be controlled when running a secure facility. The procedures 
  3850. for examining and maintaining the audit files as well as the 
  3851. detailed audit record structure for each type of audit event 
  3852. shall  be  given. THE MANUAL SHALL DESCRIBE THE OPERATOR AND 
  3853. ADMINISTRATOR FUNCTIONS  RELATED  TO  SECURITY,  TO  INCLUDE 
  3854. CHANGING  THE  SECURITY CHARACTERISTICS OF A USER.  IT SHALL 
  3855. PROVIDE INTERPRETATIONS ON THE CONSISTENT AND EFFECTIVE  USE 
  3856. OF THE PROTECTION FEATURES OF THE SYSTEM, HOW THEY INTERACT, 
  3857. HOW TO SECURELY GENERATE A NEW TCB, AND FACILITY PROCEDURES, 
  3858. WARNINGS, AND PRIVILEGES THAT NEED TO BE CONTROLLED IN ORDER 
  3859. TO OPERATE THE FACILITY IN A SECURE MANNER. 
  3860.  
  3861.  
  3862. + Interpretation 
  3863.  
  3864.      This manual shall contain specifications and procedures 
  3865. to assist the system administrator(s) maintain cognizance of 
  3866. the network configuration.  These  specifications  and  pro- 
  3867. cedures shall address the following: 
  3868.  
  3869. 1.      The hardware configuration of the network itself; 
  3870.  
  3871. 2.      The implications of attaching new components to  the 
  3872.         network; 
  3873.  
  3874. 3.      The case where certain components  may  periodically 
  3875.         leave  the  network  (e.g., by crashing, or by being 
  3876.         disconnected) and then rejoin; 
  3877.  
  3878. 4.      Network configuration aspects that  can  impact  the 
  3879.         security  of  the  network system; (For example, the 
  3880.         manual  should  describe  for  the  network   system 
  3881.         administrator  the interconnections among components 
  3882.         that are consistent with the overall network  system 
  3883.         architecture.) 
  3884.  
  3885. 5.      Loading  or  modifying  NTCB  software  or  firmware 
  3886.         (e.g., down-line loading). 
  3887.  
  3888.      The physical and administrative environmental  controls 
  3889. shall  be  specified.   Any  assumptions about security of a 
  3890. given network should be clearly stated (e.g., the fact  that 
  3891. all  communications  links must be physically protected to a 
  3892. certain level). 
  3893.  
  3894. + Rationale 
  3895.  
  3896.      There  may  be  multiple  system  administrators   with 
  3897. diverse  responsibilities.   The technical security measures 
  3898. described by these criteria must be used in conjunction with 
  3899. other  forms of security in order to achieve security of the 
  3900. network.  Additional forms include administrative  security, 
  3901. physical security, emanations security, etc. 
  3902.  
  3903.      Extension of  this  criterion  to  cover  configuration 
  3904. aspects  of  the  network  is  needed  because, for example, 
  3905. proper interconnection of components is typically  essential 
  3906. to  achieve  a  correct realization of the network architec- 
  3907. ture. 
  3908.  
  3909.      AS MENTIONED IN THE SECTION ON LABEL  INTEGRITY,  cryp- 
  3910. tography is one common mechanism employed to protect commun- 
  3911. ication circuits.  Encryption transforms the  representation 
  3912. of  information so that it is unintelligible to unauthorized 
  3913. subjects.  Reflecting this transformation,  the  sensitivity 
  3914. of the ciphertext is generally lower than the cleartext.  If 
  3915. encryption  methodologies  are  employed,  they   shall   be 
  3916. approved by the National Security Agency (NSA). 
  3917.  
  3918.      The encryption algorithm  and  its  implementation  are 
  3919. outside  the scope of these interpretations.  This algorithm 
  3920. and implementation may be implemented in a  separate  device 
  3921. or  may  be a function of a subject in a component not dedi- 
  3922. cated to encryption.  Without prejudice, either  implementa- 
  3923. tion  packaging  is  referred  to as an encryption mechanism 
  3924. herein. 
  3925.  
  3926.  
  3927. 3.1.4.3 Test Documentation 
  3928.  
  3929. + Statement from DoD 5200.28-STD 
  3930.  
  3931. The system developer shall provide to the evaluators a docu- 
  3932. ment that describes the test plan, test procedures that show 
  3933. how the security mechanisms were tested, and results of  the 
  3934. security mechanisms' functional testing. 
  3935.  
  3936. +  Interpretation 
  3937.  
  3938.      The "system developer" is interpreted as  "the  network 
  3939. system  sponsor".   The  description of the test plan should 
  3940. establish the context in which the testing was or should  be 
  3941. conducted.   The  description should identify any additional 
  3942. test components that  are  not  part  of  the  system  being 
  3943. evaluated.  This includes a description of the test-relevant 
  3944. functions of such test components and a description  of  the 
  3945. interfacing  of  those  test  components to the system being 
  3946. evaluated.  The description of the  test  plan  should  also 
  3947. demonstrate  that  the  tests  adequately  cover the network 
  3948. security policy.  The  tests  should  include  the  features 
  3949. described   in   the  System  Architecture  and  the  System 
  3950. Integrity sections.  The tests should also  include  network 
  3951. configuration and sizing. 
  3952.  
  3953. +  Rationale 
  3954.  
  3955.      The entity being evaluated may be a networking  subsys- 
  3956. tem (see Appendix A) to which other components must be added 
  3957. to make a  complete  network  system.  In  that  case,  this 
  3958. interpretation  is extended to include contextual definition 
  3959. because, at evaluation time, it is not possible to  validate 
  3960. the  test  plans  without the description of the context for 
  3961. testing the networking subsystem. 
  3962.  
  3963.  
  3964. 3.1.4.4 Design Documentation 
  3965.  
  3966. + Statement from DoD 5200.28-STD 
  3967.  
  3968. Documentation shall be available that provides a description 
  3969. of the manufacturer's philosophy of protection and an expla- 
  3970. nation of how this philosophy is translated into the TCB. If 
  3971. the  TCB  is  composed  of  distinct modules, the interfaces 
  3972. between these modules shall be described.   AN  INFORMAL  OR 
  3973. FORMAL  DESCRIPTION OF THE SECURITY POLICY MODEL ENFORCED BY 
  3974. THE TCB SHALL BE AVAILABLE AND AN  EXPLANATION  PROVIDED  TO 
  3975. SHOW  THAT  IT IS SUFFICIENT TO ENFORCE THE SECURITY POLICY. 
  3976. THE SPECIFIC TCB PROTECTION MECHANISMS SHALL  BE  IDENTIFIED 
  3977. AND  AN  EXPLANATION  GIVEN  TO  SHOW  THAT THEY SATISFY THE 
  3978. MODEL. 
  3979.  
  3980. +  Interpretation 
  3981.  
  3982.      Explanation of how the sponsor's philosophy of  protec- 
  3983. tion is translated into the NTCB shall include a description 
  3984. of how the NTCB is partitioned.  The  security  policy  also 
  3985. shall  be stated.  The description of the interfaces between 
  3986. the NTCB modules shall include the interface(s) between NTCB 
  3987. partitions  and modules within the partitions if the modules 
  3988. exist.  The sponsor shall describe the security architecture 
  3989. and  design,  including  the allocation of security require- 
  3990. ments among  components.   Appendix  A  addresses  component 
  3991. evaluation issues. 
  3992.  
  3993.      AS STATED IN THE INTRODUCTION TO DIVISION B, THE  SPON- 
  3994. SOR  MUST  DEMONSTRATE  THAT  THE NTCB EMPLOYS THE REFERENCE 
  3995. MONITOR CONCEPT.  THE SECURITY POLICY MODEL MUST BE A  MODEL 
  3996. FOR A REFERENCE MONITOR. 
  3997.  
  3998.      THE SECURITY POLICY MODEL FOR EACH PARTITION IMPLEMENT- 
  3999. ING  A  REFERENCE  MONITOR  SHALL FULLY REPRESENT THE ACCESS 
  4000. CONTROL POLICY SUPPORTED BY  THE  PARTITION,  INCLUDING  THE 
  4001. DISCRETIONARY  AND  MANDATORY  SECURITY  POLICY  FOR SECRECY 
  4002. AND/OR INTEGRITY.  FOR THE MANDATORY POLICY THE SINGLE DOMI- 
  4003. NANCE  RELATION  FOR  SENSITIVITY  LABELS, INCLUDING SECRECY 
  4004. AND/OR INTEGRITY COMPONENTS, SHALL BE PRECISELY DEFINED. 
  4005.  
  4006. +  Rationale 
  4007.  
  4008.      The interpretation is a  straightforward  extension  of 
  4009. the  requirement  into  the  context  of a network system as 
  4010. defined for this network interpretation.   Other  documenta- 
  4011. tion,  such  as description of components and description of 
  4012. operating environment(s) in which the  networking  subsystem 
  4013. or network system is designed to function, is required else- 
  4014. where, e.g., in the Trusted Facility Manual. 
  4015.  
  4016.      In order to be evaluated,  a  network  must  possess  a 
  4017. coherent  Network Security Architecture and Design.  (Inter- 
  4018. connection of components that do not adhere to such a single 
  4019. coherent  Network  Security Architecture is addressed in the 
  4020. Interconnection of Accredited AIS, Appendix C.)  The Network 
  4021. Security  Architecture  must  address  the security-relevant 
  4022. policies, objectives, and protocols.  The  Network  Security 
  4023. Design  specifies  the  interfaces and services that must be 
  4024. incorporated into the network so that it can be evaluated as 
  4025. a  trusted  entity.  There may be multiple designs that con- 
  4026. form to the same architecture but are more or less  incompa- 
  4027. tible and non-interoperable (except through the Interconnec- 
  4028. tion Rules).  Security related mechanisms requiring coopera- 
  4029. tion  among  components are specified in the design in terms 
  4030. of their visible interfaces; mechanisms  having  no  visible 
  4031. interfaces  are  not specified in this document but are left 
  4032. as implementation decisions. 
  4033.  
  4034.      The Network Security Architecture and  Design  must  be 
  4035. available  from the network sponsor before evaluation of the 
  4036. network, or any component, can be undertaken.   The  Network 
  4037. Security  Architecture  and Design must be sufficiently com- 
  4038. plete, unambiguous, and free from obvious  flaws  to  permit 
  4039. the  construction  or assembly of a trusted network based on 
  4040. the structure it specifies. 
  4041.  
  4042.      When a component is being  designed  or  presented  for 
  4043. evaluation,  or  when a network assembled from components is 
  4044. assembled or presented  for  evaluation,  there  must  be  a 
  4045. priori  evidence  that the Network security Architecture and 
  4046. Design are satisfied.  That is, the components can be assem- 
  4047. bled into a network that conforms in every way with the Net- 
  4048. work Security Architecture and Design to produce a  physical 
  4049. realization  that  is trusted to the extent that its evalua- 
  4050. tion indicates. 
  4051.  
  4052.      In order for a trusted network to be  constructed  from 
  4053. components  that  can  be  built  independently, the Network 
  4054. Security Architecture and Design must completely and unambi- 
  4055. guously  define  the security functionality of components as 
  4056. well as the interfaces between  or  among  components.   The 
  4057. Network  Security  Architecture and Design must be evaluated 
  4058. to determine that a network constructed  to  its  specifica- 
  4059. tions  will in fact be trusted, that is, it will be evaluat- 
  4060. able under these interpretations. 
  4061.  
  4062.  
  4063.      THE TERM "MODEL" IS USED IN SEVERAL DIFFERENT WAYS IN A 
  4064. NETWORK CONTEXT, E.G., A "PROTOCOL REFERENCE MODEL," A "FOR- 
  4065. MAL NETWORK MODEL," ETC. ONLY THE "SECURITY POLICY MODEL" IS 
  4066. ADDRESSED  BY  THIS REQUIREMENT AND IS SPECIFICALLY INTENDED 
  4067. TO MODEL THE INTERFACE, VIZ., "SECURITY PERIMETER,"  OF  THE 
  4068. REFERENCE MONITOR AND MUST MEET ALL THE REQUIREMENTS DEFINED 
  4069. IN THE TCSEC.  IT MUST BE SHOWN THAT ALL PARTS  OF  THE  TCB 
  4070. ARE  A  VALID  INTERPRETATION  OF THE SECURITY POLICY MODEL, 
  4071. I.E., THAT THERE IS NO CHANGE TO THE SECURE STATE EXCEPT  AS 
  4072. REPRESENTED BY THE MODEL. 
  4073.  
  4074.            3.2 CLASS (B2):  STRUCTURED PROTECTION 
  4075.            _ _ _____  __    __________ __________ 
  4076.  
  4077.  
  4078.      IN CLASS (B2) NETWORK SYSTEMS, THE NTCB  IS  BASED 
  4079.      ON  A  CLEARLY DEFINED AND DOCUMENTED FORMAL SECU- 
  4080.      RITY POLICY MODEL THAT REQUIRES THE  DISCRETIONARY 
  4081.      AND  MANDATORY ACCESS CONTROL ENFORCEMENT FOUND IN 
  4082.      CLASS (B1) NETWORK SYSTEMS TO BE EXTENDED  TO  ALL 
  4083.      SUBJECTS  AND  OBJECTS  IN THE NETWORK SYSTEM.  IN 
  4084.      ADDITION, COVERT CHANNELS ARE ADDRESSED.  THE NTCB 
  4085.      MUST  BE  CAREFULLY  STRUCTURED  INTO  PROTECTION- 
  4086.      CRITICAL  AND  NON-PROTECTION-CRITICAL   ELEMENTS. 
  4087.      THE  NTCB  INTERFACE IS WELL-DEFINED, AND THE NTCB 
  4088.      DESIGN AND IMPLEMENTATION ENABLE  IT  TO  BE  SUB- 
  4089.      JECTED  TO MORE THOROUGH TESTING AND MORE COMPLETE 
  4090.      REVIEW.     AUTHENTICATION     MECHANISMS      ARE 
  4091.      STRENGTHENED,  TRUSTED FACILITY MANAGEMENT IS PRO- 
  4092.      VIDED IN THE FORM OF SUPPORT FOR  SYSTEM  ADMINIS- 
  4093.      TRATOR  AND OPERATOR FUNCTIONS, AND STRINGENT CON- 
  4094.      FIGURATION MANAGEMENT CONTROLS ARE  IMPOSED.   THE 
  4095.      SYSTEM  IS  RELATIVELY  RESISTANT  TO PENETRATION. 
  4096.      THE FOLLOWING ARE MINIMAL REQUIREMENTS FOR  SYSTEM 
  4097.      ASSIGNED A CLASS (B2) RATING. 
  4098.  
  4099.  
  4100. 3.2.1 Security Policy 
  4101. _ _ _ ________ ______ 
  4102.  
  4103. + Statement from DoD 5200.28-STD 
  4104.  
  4105. Implied from the Introduction to the TCSEC. 
  4106.  
  4107.  
  4108. + Interpretation 
  4109.  
  4110.      The network sponsor shall describe the overall  network 
  4111. security  policy  enforced  by  the NTCB. At a minimum, this 
  4112. policy  shall  include  the  discretionary   and   mandatory 
  4113. requirements  applicable  to  this  class.   The  policy may 
  4114. require data secrecy, or data integrity, or both.  The  pol- 
  4115. icy  is  an  access  control  policy having two primary com- 
  4116. ponents:  mandatory  and  discretionary.  The  policy  shall 
  4117. include  a  discretionary policy for protecting the informa- 
  4118. tion being processed based on the authorizations of  indivi- 
  4119. duals,  users, or groups of users.  This access control pol- 
  4120. icy statement shall describe the requirements on the network 
  4121. to  prevent  or  detect  "reading  or  destroying" sensitive 
  4122. information by unauthorized users or errors.  The  mandatory 
  4123. policy  must  define  the set of distinct sensitivity levels 
  4124. that it supports.  For the Class B1 or above  the  mandatory 
  4125. policy  shall  be  based  on  the labels associated with the 
  4126. information that reflects its sensitivity  with  respect  to 
  4127. secrecy and/or integrity, where applicable, and labels asso- 
  4128. ciated with users to reflect their authorization  to  access 
  4129. such  information.   Unauthorized  users  include both those 
  4130. that are not authorized to use the network at all  (e.g.,  a 
  4131. user  attempting  to  use a passive or active wire tap) or a 
  4132. legitimate user of the network  who  is  not  authorized  to 
  4133. access a specific piece of information being protected. 
  4134.  
  4135.      Note that "users" does not include "operators," "system 
  4136. programmers," "technical control officers," "system security 
  4137. officers," and other system  support  personnel.   They  are 
  4138. distinct  from users and are subject to the Trusted Facility 
  4139. Manual and the System Architecture requirements.  Such indi- 
  4140. viduals may change the system parameters of the network sys- 
  4141. tem, for example, by defining membership of a group.   These 
  4142. individuals may also have the separate role of users. 
  4143.  
  4144.  
  4145.         SECRECY POLICY: The network sponsor shall define the 
  4146.         form  of  the  discretionary  and mandatory  secrecy 
  4147.         policy that is enforced in the  network  to  prevent 
  4148.         unauthorized users from reading the sensitive infor- 
  4149.         mation entrusted to the network. 
  4150.  
  4151.  
  4152.         DATA INTEGRITY POLICY:  The  network  sponsor  shall 
  4153.         define  the  discretionary  and mandatory  integrity 
  4154.         policy to prevent unauthorized users from modifying, 
  4155.         viz.,  writing,  sensitive information.  The defini- 
  4156.         tion of data  integrity  presented  by  the  network 
  4157.         sponsor  refers to the requirement that the informa- 
  4158.         tion has not been subjected to unauthorized  modifi- 
  4159.         cation  in the network. The mandatory integrity pol- 
  4160.         icy enforced by the NTCB cannot, in general, prevent 
  4161.         modification  while information is being transmitted 
  4162.         between components.  However,  an  integrity  sensi- 
  4163.         tivity  label  may  reflect  the confidence that the 
  4164.         information has not been subjected  to  transmission 
  4165.         errors  because  of  the  protection afforded during 
  4166.         transmission.  This requirement is distinct from the 
  4167.         requirement for label integrity. 
  4168.  
  4169. + Rationale 
  4170.  
  4171.      The word "sponsor" is used  in  place  of  alternatives 
  4172. (such   as   "vendor,"   "architect,"   "manufacturer,"  and 
  4173. "developer") because the alternatives  indicate  people  who 
  4174. may not be available, involved, or relevant at the time that 
  4175. a network system is proposed for evaluation. 
  4176.  
  4177.      A trusted network is able to control both  the  reading 
  4178. and  writing  of  shared  sensitive information.  Control of 
  4179. writing is used to protect against destruction  of  informa- 
  4180. tion. A network normally is expected to have policy require- 
  4181. ments to protect both  the  secrecy  and  integrity  of  the 
  4182. information  entrusted to it.  In a network the integrity is 
  4183. frequently as important or more important than  the  secrecy 
  4184. requirements.  Therefore the secrecy and/or integrity policy 
  4185. to be enforced by the network must be stated for  each  net- 
  4186. work  regardless of its evaluation class. The assurance that 
  4187. the policy  is  faithfully  enforced  is  reflected  in  the 
  4188. evaluation class of the network. 
  4189.  
  4190.      This control over modification  is  typically  used  to 
  4191. protect  information  so  that  it may be relied upon and to 
  4192. control the potential harm that would result if the informa- 
  4193. tion  were  corrupted.   The overall network policy require- 
  4194. ments for integrity includes the protection  for  data  both 
  4195. while  being  processed  in  a  component  and  while  being 
  4196. transmitted in  the  network.   The  access  control  policy 
  4197. enforced  by  the  NTCB relates to the access of subjects to 
  4198. objects within  each  component.   Communications  integrity 
  4199. addressed  within Part II relates to information while being 
  4200. transmitted. 
  4201.  
  4202.      The mandatory integrity policy (at class B1 and  above) 
  4203. in  some architectures may be useful in supporting the link- 
  4204. age between the connection oriented  abstraction  introduced 
  4205. in  the  Introduction  and  the individual components of the 
  4206. network.  For example, in  a  key  distribution  center  for 
  4207. end-to-end  encryption, a distinct integrity category may be 
  4208. assigned to isolate the key generation code  and  data  from 
  4209. possible  modification  by other supporting processes in the 
  4210. same component, such as operator interfaces and audit. 
  4211.  
  4212.      The mandatory integrity policy  for  some  architecture 
  4213. may  define an integrity sensitivity label that reflects the 
  4214. specific requirements for ensuring that information has  not 
  4215. been  subject  to  random errors in excess of a stated limit 
  4216. nor to unauthorized message  stream  modification  (MSM)  -. 
  4217. The specific metric associated with an integrity sensitivity 
  4218. label will generally reflect the  intended  applications  of 
  4219. the network. 
  4220.  
  4221.  
  4222. 3.2.1.1 Discretionary Access Control 
  4223.  
  4224. + Statement from DoD 5200.28-STD 
  4225.  
  4226. The TCB shall define and control access between named  users 
  4227. and named objects (e.g., files and programs) in the ADP sys- 
  4228. tem.  The  enforcement  mechanism  (e.g.,  self/group/public 
  4229. _________________________ 
  4230.   - See Voydock, Victor L. and Stephen T. Kent,  "Secu- 
  4231. rity  Mechanisms in High-Level Network Protocols," Com- 
  4232.                                                    ___ 
  4233. puting Surveys, Vol. 15, No.  2, June 1983, pp 135-171. 
  4234. ______ _______ 
  4235.  
  4236.  
  4237. controls, access control lists) shall allow users to specify 
  4238. and control sharing of those objects by named individuals or 
  4239. defined groups of individuals, or both,  and  shall  provide 
  4240. controls to limit propagation of access rights.  The discre- 
  4241. tionary access control mechanism shall, either  by  explicit 
  4242. user  action  or  by  default, provide that objects are pro- 
  4243. tected from  unauthorized  access.   These  access  controls 
  4244. shall  be  capable  of  including or excluding access to the 
  4245. granularity of a  single  user.   Access  permission  to  an 
  4246. object  by  users  not  already possessing access permission 
  4247. shall only be assigned by authorized users. 
  4248.  
  4249. +  Interpretation 
  4250.  
  4251.      The discretionary access control (DAC) mechanism(s) may 
  4252. be  distributed  over  the partitioned NTCB in various ways. 
  4253. Some part, all, or none of the DAC may be implemented  in  a 
  4254. given  component of the network system.  In particular, com- 
  4255. ponents that support only internal subjects (i.e., that have 
  4256. no  subjects acting as direct surrogates for users), such as 
  4257. a public network packet switch, might not implement the  DAC 
  4258. mechanism(s)  directly  (e.g.,  they are unlikely to contain 
  4259. access control lists). 
  4260.  
  4261.      Identification of users by groups may  be  achieved  in 
  4262. various  ways  in  the networking environment.  For example, 
  4263. the network identifiers (e.g., internet addresses) for vari- 
  4264. ous  components (e.g., hosts, gateways) can be used as iden- 
  4265. tifiers of groups of individual users (e.g., "all  users  at 
  4266. Host  A," "all users of network Q") so long as the individu- 
  4267. als involved in the group are implied by the group  identif- 
  4268. ier. For example, Host A might employ a particular group-id, 
  4269. for which it maintains a list  of  explicit  users  in  that 
  4270. group,  in  its  network exchange with Host B, which accepts 
  4271. the group-id under the conditions of this interpretation. 
  4272.  
  4273.      For networks, individual hosts will impose need-to-know 
  4274. controls over their users on the basis of named individuals 
  4275. - much like (in fact, probably the same) controls used  when 
  4276. there is no network connection. 
  4277.  
  4278.      When group identifiers are acceptable for  access  con- 
  4279. trol,  the identifier of some other host may be employed, to 
  4280. eliminate the maintenance that would be required if  indivi- 
  4281. dual  identification of remote users was employed.  In class 
  4282. C2 and higher, however, it must be possible from that  audit 
  4283. record  to  identify  (immediately  or  at  some later time) 
  4284. exactly the individuals represented by a group identifier at 
  4285. the time of the use of that identifier.  There is allowed to 
  4286. be an uncertainty because of elapsed time between changes in 
  4287. the  group membership and the enforcement in the access con- 
  4288. trol mechanisms. 
  4289.  
  4290.      The DAC mechanism of a NTCB  partition  may  be  imple- 
  4291. mented  at  the interface of the reference monitor or may be 
  4292. distributed in subjects that are part of  the  NTCB  in  the 
  4293. same  or  different component. The reference monitor manages 
  4294. all the physical resources  of  the  system  and  from  them 
  4295. creates the abstraction of subjects and objects that it con- 
  4296. trols. Some of these subjects and objects  may  be  used  to 
  4297. implement  a  part  of  the NTCB.  When the DAC mechanism is 
  4298. distributed in such NTCB subjects (i.e.,  when  outside  the 
  4299. reference  monitor),  the  assurance  requirements  (see the 
  4300. Assurance section) for the design and implementation of  the 
  4301. DAC  shall be those of class C2 for all networks of class C2 
  4302. or above. 
  4303.  
  4304.      When integrity is included as part of the network  dis- 
  4305. cretionary  security policy, the above interpretations shall 
  4306. be specifically applied to the controls  over  modification, 
  4307. viz,  the  write mode of access, within each component based 
  4308. on identified users or groups of users. 
  4309.  
  4310. +  Rationale 
  4311.  
  4312.      In this class, the supporting elements of  the  overall 
  4313. DAC  mechanism are required to isolate information (objects) 
  4314. that supports DAC so that it is subject to auditing require- 
  4315. ments  (see  the  System  Architecture section).  The use of 
  4316. network identifiers to identify groups of  individual  users 
  4317. could  be  implemented, for example, as an X.25 community of 
  4318. interest in the network protocol layer (layer  3).   In  all 
  4319. other  respects,  the supporting elements of the overall DAC 
  4320. mechanism are treated  exactly  as  untrusted  subjects  are 
  4321. treated  with respect to DAC in an ADP system, with the same 
  4322. result as noted in the interpretation. 
  4323.  
  4324.      A typical situation for DAC is that a surrogate process 
  4325. for a remote user will be created in some host for access to 
  4326. objects under the control of the NTCB partition within  that 
  4327. host.  The interpretation requires that a user identifier be 
  4328. assigned and maintained for each such process by  the  NTCB, 
  4329. so  that  access by a surrogate process is subject to essen- 
  4330. tially the same discretionary controls as access by  a  pro- 
  4331. cess  acting  on  behalf of a local user would be.  However, 
  4332. within this interpretation a range of  possible  interpreta- 
  4333. tions of the assigned user identification is permitted. 
  4334.  
  4335.      The most obvious situation  would  exist  if  a  global 
  4336. database of network users were to be made permanently avail- 
  4337. able on demand to every host, (i.e., a name server  existed) 
  4338. so that all user identifications were globally meaningful. 
  4339.  
  4340.      It is also acceptable, however, for  some  NTCB  parti- 
  4341. tions to maintain a database of locally-registered users for 
  4342. its own use.  In such a case, one could  choose  to  inhibit 
  4343. the creation of surrogate processes for locally unregistered 
  4344. users, or (if permitted by the local policy)  alternatively, 
  4345. to   permit   the   creation  of  surrogate  processes  with 
  4346. preselected user and group  identifiers  which,  in  effect, 
  4347. identify the process as executing on behalf of a member of a 
  4348. group of users on a particular remote host.  The  intent  of 
  4349. the  words concerning audit in the interpretation is to pro- 
  4350. vide a minimally acceptable degree of auditability for cases 
  4351. such  as the last described.  What is required is that there 
  4352. be a capability, using the audit facilities provided by  the 
  4353. network  NTCB  partitions  involved,  to  determine  who was 
  4354. logged in at the actual host of the group of remote users at 
  4355. the time the surrogate processing occured. 
  4356.  
  4357.      Associating the proper user id with a surrogate process 
  4358. is  the job of identification and authentication. This means 
  4359. that DAC is applied locally, with respect to the user id  of 
  4360. the  surrogate  process.   The transmission of the data back 
  4361. across the network to the user's host, and the creation of a 
  4362. copy of the data there, is not the business of DAC. 
  4363.  
  4364.      Components that support only internal  subjects  impact 
  4365. the implementation of the DAC by providing services by which 
  4366. information (e.g., a user-id) is made available  to  a  com- 
  4367. ponent  that makes a DAC decision.  An example of the latter 
  4368. would be the case that a user at Host A attempts to access a 
  4369. file  at  Host  B.   The  DAC decision might be (and usually 
  4370. would be) made at Host B on the basis of a user-id transmit- 
  4371. ted from Host A to Host B. 
  4372.  
  4373.      Unique user identification may be achieved by a variety 
  4374. of  mechanisms, including (a) a requirement for unique iden- 
  4375. tification and authentication on the host where access takes 
  4376. place;   (b)    recognition   of   fully  qualified  network 
  4377. addresses authenticated by another host and forwarded to the 
  4378. host where access takes place; or (c) administrative support 
  4379. of a network-wide unique personnel identifier that could  be 
  4380. authenticated and forwarded by another host as in (b) above, 
  4381. or could be authenticated and forwarded by a dedicated  net- 
  4382. work  identification  and authentication server.  The proto- 
  4383. cols which implement (b) or (c) are subject  to  the  System 
  4384. Architecture requirements. 
  4385.  
  4386.      Network support for DAC might be handled in other  ways 
  4387. than  that described as "typical" above. In particular, some 
  4388. form of centralized access control is  often  proposed.   An 
  4389. access  control center may make all decisions for DAC, or it 
  4390. may share the burden with the hosts by controlling  host-to- 
  4391. host  connections, and leaving the hosts to decide on access 
  4392. to their objects by users at a limited set of remote  hosts. 
  4393. In  this case the access control center provides the linkage 
  4394. between the connection oriented abstraction (as discussed in 
  4395. the  Introduction)  and  the overall network security policy 
  4396. for DAC.  In all cases the enforcement of the decision  must 
  4397. be provided by the host where the object resides. 
  4398.  
  4399.      There are two forms of distribution for the DAC mechan- 
  4400. ism:  implementing  portions  of  the  DAC  in separate com- 
  4401. ponents, and supporting the DAC in subjects contained within 
  4402. the  NTCB  partition in a component.  Since "the ADP system" 
  4403. is understood to be "the computer network" as a whole,  each 
  4404. network  component  is responsible for enforcing security in 
  4405. the mechanisms allocated to it to ensure secure  implementa- 
  4406. tion  of  the network security policy.  For traditional host 
  4407. systems it is frequently easy to also enforce the DAC  along 
  4408. with  the MAC within the reference monitor, per se, although 
  4409. a few approaches, such as virtual machine monitors,  support 
  4410. DAC outside this interface. 
  4411.  
  4412.      In contrast to the universally rigid structure of  man- 
  4413. datory  policies (see the Mandatory Access Control section), 
  4414. DAC policies tend to be very network  and  system  specific, 
  4415. with  features  that  reflect the natural use of the system. 
  4416. For networks it is common that individual hosts will  impose 
  4417. controls  over  their  local  users  on  the  basis of named 
  4418. individuals-much like the controls used  when  there  is  no 
  4419. network connection.  However, it is difficult to manage in a 
  4420. centralized manner all the individuals using  a  large  net- 
  4421. work.   Therefore, users on other hosts are commonly grouped 
  4422. together so that the controls required by  the  network  DAC 
  4423. policy  are  actually  based on the identity of the hosts or 
  4424. other components.  A gateway is an example of  such  a  com- 
  4425. ponent. 
  4426.  
  4427.      The assurance requirements are at the very heart of the 
  4428. concept  of  a  trusted  system.   It  is the assurance that 
  4429. determines if a system or network is appropriate for a given 
  4430. environment,  as reflected, for example, in the Environments 
  4431. Guideline-.  In the case of monolithic systems that have DAC 
  4432. integral  to  the  reference monitor, the assurance require- 
  4433. ments for DAC are inseparable from those of the rest of  the 
  4434. reference  monitor.   For networks there is typically a much 
  4435. clearer distinction due to distributed DAC.   The  rationale 
  4436. for making the distinction in this network interpretation is 
  4437. that if major trusted network components can be made  signi- 
  4438. ficantly easier to design and implement without reducing the 
  4439. ability to meet security policy, then trusted networks  will 
  4440. be more easily available. 
  4441.  
  4442. 3.2.1.2  Object Reuse 
  4443.  
  4444. + Statement from DoD 5200.28-STD 
  4445.  
  4446. All authorizations to the  information  contained  within  a 
  4447. storage object shall be revoked prior to initial assignment, 
  4448. allocation or reallocation to a subject from the TCB's  pool 
  4449. of   unused  storage  objects.   No  information,  including 
  4450. encrypted representations  of  information,  produced  by  a 
  4451. prior  subject's  actions  is to be available to any subject 
  4452. that obtains access to an object that has been released back 
  4453. to the system. 
  4454.  
  4455.  
  4456. _________________________ 
  4457.   - Guidance for Applying  the  Department  of  Defense 
  4458.     ________ ___ ________  ___  __________  __  _______ 
  4459. Trusted Computer System Evaluation Criteria in Specific 
  4460. _______ ________ ______ __________ ________ __ ________ 
  4461. Environments, CSC-STD-003-85. 
  4462. ____________ 
  4463.  
  4464.  
  4465. +  Interpretation 
  4466.  
  4467.      The NTCB shall ensure that any storage objects that  it 
  4468. controls  (e.g., message buffers under the control of a NTCB 
  4469. partition in a component) contain no information for which a 
  4470. subject  in that component is not authorized before granting 
  4471. access.  This requirement must be enforced by  each  of  the 
  4472. NTCB partitions. 
  4473.  
  4474. +  Rationale 
  4475.  
  4476.      In a network system, storage objects  of  interest  are 
  4477. things  that  the  NTCB  directly  controls, such as message 
  4478. buffers in components.  Each component of the network system 
  4479. must  enforce  the  object reuse requirement with respect to 
  4480. the storage objects of interest as determined by the network 
  4481. security  policy.   For example, the DAC requirement in this 
  4482. division leads to the requirement here that message  buffers 
  4483. be  under  the  control  of  the  NTCB  partition.  A buffer 
  4484. assigned to an internal subject may be reused at the discre- 
  4485. tion of that subject which is responsible for preserving the 
  4486. integrity of message streams.  Such controlled  objects  may 
  4487. be  implemented in physical resources, such as buffers, disk 
  4488. sectors, tape space, and main memory, in components such  as 
  4489. network switches. 
  4490.  
  4491.  
  4492. 3.2.1.3 Labels 
  4493.  
  4494. + Statement from DoD 5200.28-STD 
  4495.  
  4496. Sensitivity labels associated with each ADP SYSTEM  RESOURCE 
  4497. (E.G.,  SUBJECT,  STORAGE  OBJECT,  ROM) THAT IS DIRECTLY OR 
  4498. INDIRECTLY ACCESSIBLE BY SUBJECTS EXTERNAL TO THE TCB  shall 
  4499. be maintained by the TCB.  These labels shall be used as the 
  4500. basis for mandatory access control decisions.  In  order  to 
  4501. import  non-labeled  data, the TCB shall request and receive 
  4502. from an authorized user the sensitivity level of  the  data, 
  4503. and all such actions shall be auditable by the TCB. 
  4504.  
  4505. +  Interpretation 
  4506.  
  4507.      Non-labeled data imported under the control of the NTCB 
  4508. partition will be assigned a label constrained by THE DEVICE 
  4509. LABELS OF the single-level device used to import it.  Labels 
  4510. may  include secrecy and integrity- components in accordance 
  4511. with the overall network security policy  described  by  the 
  4512. network   sponsor.    Whenever  the  term  "label"  is  used 
  4513. throughout this interpretation, it is understood to  include 
  4514. both   components   as  applicable.   Similarly,  the  terms 
  4515. "single-level" and "multilevel" are understood to  be  based 
  4516. _________________________ 
  4517.   - See, for example, Biba, K.J., "Integrity Considera- 
  4518. tion  for Secure Computer Systems," ESD-TR-76-372, MTR- 
  4519. 3153, The MITRE Corporation, Bedford, MA, April 1977. 
  4520.  
  4521.  
  4522. on both the secrecy and integrity components of the  policy. 
  4523. The  mandatory integrity policy will typically have require- 
  4524. ments, such as the probability of undetected message  stream 
  4525. modification,  that  will  be reflected in the label for the 
  4526. data so protected.  For example, when data is  imported  its 
  4527. integrity label may be assigned based on mechanisms, such as 
  4528. cryptography, used to provide the assurance required by  the 
  4529. policy.   The NTCB shall assure that such mechanism are pro- 
  4530. tected from tampering and are always invoked when  they  are 
  4531. the basis for a label. 
  4532.  
  4533.  
  4534.      IF THE SECURITY POLICY INCLUDES  AN  INTEGRITY  POLICY, 
  4535. ALL  ACTIVITIES  THAT  RESULT IN MESSAGE-STREAM MODIFICATION 
  4536. DURING TRANSMISSION ARE REGARDED AS UNAUTHORIZED ACCESSES IN 
  4537. VIOLATION  OF  THE INTEGRITY POLICY.  THE NTCB SHALL HAVE AN 
  4538. AUTOMATED CAPABILITY FOR TESTING, DETECTING,  AND  REPORTING 
  4539. THOSE   ERRORS/CORRUPTIONS  THAT  EXCEED  SPECIFIED  NETWORK 
  4540. INTEGRITY POLICY REQUIREMENTS.  MESSAGE-STREAM  MODIFICATION 
  4541. (MSM)  COUNTERMEASURES SHALL BE IDENTIFIED.  A TECHNOLOGY OF 
  4542. ADEQUATE STRENGTH SHALL  BE  SELECTED  TO  RESIST  MSM.   IF 
  4543. ENCRYPTION   METHODOLOGIES   ARE  EMPLOYED,  THEY  SHALL  BE 
  4544. APPROVED BY THE NATIONAL SECURITY AGENCY. 
  4545.  
  4546.      ALL OBJECTS MUST BE LABELED WITHIN  EACH  COMPONENT  OF 
  4547. THE NETWORK THAT IS TRUSTED TO MAINTAIN SEPARATION OF MULTI- 
  4548. PLE LEVELS OF INFORMATION.  THE LABEL  ASSOCIATED  WITH  ANY 
  4549. OBJECTS  ASSOCIATED  WITH  SINGLE-LEVEL  COMPONENTS  WILL BE 
  4550. IDENTICAL TO THE LEVEL OF THAT COMPONENT.  OBJECTS  USED  TO 
  4551. STORE  NETWORK CONTROL INFORMATION, AND OTHER NETWORK STRUC- 
  4552. TURES, SUCH AS ROUTING TABLES, MUST BE  LABELED  TO  PREVENT 
  4553. UNAUTHORIZED ACCESS AND/OR MODIFICATION. 
  4554.  
  4555. + Rationale 
  4556.  
  4557.      The interpretation is an extension of  the  requirement 
  4558. into the context of a network system and partitioned NTCB as 
  4559. defined for these network interpretations.   A  single-level 
  4560. device  may  be regarded either as a subject or an object. A 
  4561. multilevel device is regarded as a trusted subject in  which 
  4562. the  security  range  of  the subject is the minimum-maximum 
  4563. range of the data expected to be transmitted over  the  dev- 
  4564. ice. 
  4565.  
  4566.      The sensitivity labels for either secrecy or  integrity 
  4567. or both may reflect non-hierarchical categories or hierarch- 
  4568. ical classification or both. 
  4569.  
  4570.      FOR A NETWORK IT IS NECESSARY THAT THIS REQUIREMENT  BE 
  4571. APPLIED  TO  ALL  NETWORK SYSTEM RESOURCES AT THE (B2) LEVEL 
  4572. AND ABOVE. 
  4573.  
  4574.      THE NTCB IS RESPONSIBLE FOR  IMPLEMENTING  THE  NETWORK 
  4575. INTEGRITY  POLICY,  WHEN  ONE EXISTS.  THE NTCB MUST ENFORCE 
  4576. THAT POLICY  BY  ENSURING  THAT  INFORMATION  IS  ACCURATELY 
  4577. TRANSMITTED  FROM  SOURCE  TO DESTINATION (REGARDLESS OF THE 
  4578. NUMBER OF INTERVENING CONNECTING POINTS).  THE NTCB MUST  BE 
  4579. ABLE  TO  COUNTER  EQUIPMENT  FAILURE, ENVIRONMENTAL DISRUP- 
  4580. TIONS, AND ACTIONS BY PERSONS AND PROCESSES  NOT  AUTHORIZED 
  4581. TO  ALTER  THE  DATA.  PROTOCOLS THAT PERFORM CODE OR FORMAT 
  4582. CONVERSION SHALL PRESERVE THE INTEGRITY OF DATA AND  CONTROL 
  4583. INFORMATION. 
  4584.  
  4585.      THE PROBABILITY OF AN UNDETECTED TRANSMISSION ERROR MAY 
  4586. BE  SPECIFIED AS PART OF THE NETWORK SECURITY POLICY SO THAT 
  4587. THE ACCEPTABILITY OF THE NETWORK FOR ITS  INTENDED  APPLICA- 
  4588. TION  MAY  BE DETERMINED. THE SPECIFIC METRICS (E.G., PROBA- 
  4589. BILITY OF UNDETECTED MODIFICATION) SATISFIED BY THE DATA CAN 
  4590. BE  REFLECTED  IN THE INTEGRITY SENSITIVITY LABEL ASSOCIATED 
  4591. WITH THE DATA WHILE IT IS PROCESSED WITHIN A COMPONENT.   IT 
  4592. IS  RECOGNIZED  THAT  DIFFERENT APPLICATIONS AND OPERATIONAL 
  4593. ENVIRONMENTS (E.G., CRISIS AS  COMPARED  TO  LOGISTIC)  WILL 
  4594. HAVE DIFFERENT INTEGRITY REQUIREMENTS. 
  4595.  
  4596.      THE NETWORK SHALL ALSO HAVE AN AUTOMATED CAPABILITY  OF 
  4597. TESTING  FOR,  DETECTING, AND REPORTING ERRORS THAT EXCEED A 
  4598. THRESHOLD CONSISTENT WITH THE OPERATIONAL MODE REQUIREMENTS. 
  4599. THE EFFECTIVENESS OF INTEGRITY COUNTERMEASURES MUST BE ESTA- 
  4600. BLISHED WITH THE SAME RIGOR AS THE  OTHER  SECURITY-RELEVANT 
  4601. PROPERTIES SUCH AS SECRECY. 
  4602.  
  4603.      CRYPTOGRAPHY IS OFTEN UTILIZED AS A  BASIS  TO  PROVIDE 
  4604. DATA  INTEGRITY  ASSURANCE. MECHANISMS, SUCH AS MANIPULATION 
  4605. DETECTION CODES (MDC)-, MAY BE USED.  THE  ADEQUACY  OF  THE 
  4606. ENCRYPTION OR MDC ALGORITHM, THE CORRECTNESS OF THE PROTOCOL 
  4607. LOGIC, AND THE ADEQUACY  OF  IMPLEMENTATION  MUST  BE  ESTA- 
  4608. BLISHED IN MSM COUNTERMEASURES DESIGN. 
  4609.  
  4610.  
  4611.  
  4612. 3.2.1.3.1 Label Integrity 
  4613.  
  4614. + Statement from DoD 5200.28-STD 
  4615.  
  4616. Sensitivity labels shall  accurately  represent  sensitivity 
  4617. levels  of  the specific subjects or objects with which they 
  4618. are associated.   When  exported  by  the  TCB,  sensitivity 
  4619. labels  shall  accurately  and  unambiguously  represent the 
  4620. internal labels and shall be associated with the information 
  4621. being exported. 
  4622.  
  4623. +  Interpretation 
  4624.  
  4625.      The phrase "exported  by  the  TCB"  is  understood  to 
  4626. include  transmission  of  information from an object in one 
  4627. component to an object in  another  component.   Information 
  4628. transferred between NTCB partitions is addressed in the Sys- 
  4629. tem Integrity Section. The form  of  internal  and  external 
  4630. (exported)  sensitivity  labels  may differ, but the meaning 
  4631. shall be the same.  The NTCB shall, in addition, ensure that 
  4632. _________________________ 
  4633.   - See Jueneman, R. R., "Electronic Document Authenti- 
  4634. cation," IEEE Network Magazine, April 1987, pp 17-23. 
  4635.          ____ _______ ________ 
  4636.  
  4637. correct association of sensitivity labels with the  informa- 
  4638. tion being transported across the network is preserved. 
  4639.  
  4640.      As mentioned in the Trusted  Facility  Manual  Section, 
  4641. encryption  transforms  the representation of information so 
  4642. that  it  is  unintelligible   to   unauthorized   subjects. 
  4643. Reflecting this transformation, the sensitivity level of the 
  4644. ciphertext is generally lower than the cleartext.   It  fol- 
  4645. lows  that  cleartext  and  ciphertext are contained in dif- 
  4646. ferent objects, each possessing its own label.  The label of 
  4647. the  cleartext  must  be  preserved  and associated with the 
  4648. ciphertext so that it can be restored when the cleartext  is 
  4649. subsequently  obtained by decrypting the ciphertext.  If the 
  4650. cleartext is associated  with  a  single-level  device,  the 
  4651. label of that cleartext may be implicit.  The label may also 
  4652. be implicit in the key. 
  4653.  
  4654.      When information is exported to an environment where it 
  4655. is subject to deliberate or accidental modification, the TCB 
  4656. shall support the means, such as cryptographic checksums, to 
  4657. assure  the  accuracy of the labels.  When there is a manda- 
  4658. tory integrity policy, the policy will define the meaning of 
  4659. integrity labels. 
  4660.  
  4661. +  Rationale 
  4662.  
  4663.      Encryption algorithms and their implementation are out- 
  4664. side  the  scope  of these interpretations.  Such algorithms 
  4665. may be implemented in a separate device  or  may  be  incor- 
  4666. porated  in a subject of a larger component.  Without preju- 
  4667. dice, either implementation packaging is referred to  as  an 
  4668. encryption mechanism herein. If encryption methodologies are 
  4669. employed in this regard,  they  shall  be  approved  by  the 
  4670. National  Security  Agency (NSA).  The encryption process is 
  4671. part of the Network Trusted Computer Base partition  in  the 
  4672. components in which it is implemented. 
  4673.  
  4674.      The encryption mechanism  is  not  necessarily  a  mul- 
  4675. tilevel  device  or  multilevel  subject, as these terms are 
  4676. used in these criteria.  The process of encryption  is  mul- 
  4677. tilevel  by definition.  The cleartext and ciphertext inter- 
  4678. faces  carry  information  of  different  sensitivity.    An 
  4679. encryption  mechanism  does not process data in the sense of 
  4680. performing logical or arithmetic  operations  on  that  data 
  4681. with  the  intent  of producing new data.  The cleartext and 
  4682. ciphertext interfaces on the encryption  mechanism  must  be 
  4683. separately  identified  as being single-level or multilevel. 
  4684. If the interface is single-level, then  the  sensitivity  of 
  4685. the  data  is established by a trusted individual and impli- 
  4686. citly associated with  the  interface;  the  Exportation  to 
  4687. Single-Level Devices criterion applies. 
  4688.  
  4689.      If the interface is multilevel, then the data  must  be 
  4690. labeled;  the  Exportation  to  Multilevel Devices criterion 
  4691. applies. The network architect is free to select an  accept- 
  4692. able mechanism for associating a label with an object.  With 
  4693. reference to encrypted objects, the following  examples  are 
  4694. possible: 
  4695.  
  4696. 1.      Include a label field in the protocol definition  of 
  4697.         the object. 
  4698.  
  4699. 2.      Implicitly  associate  the  label  with  the  object 
  4700.         through the encryption key.  That is, the encryption 
  4701.         key uniquely identifies a sensitivity level.  A sin- 
  4702.         gle or private key must be protected at the level of 
  4703.         the data that it encrypts. 
  4704.  
  4705.  
  4706. 3.2.1.3.2 Exportation of Labeled Information 
  4707.  
  4708. + Statement from DoD 5200.28-STD 
  4709.  
  4710. The TCB shall designate each communication channel  and  I/O 
  4711. device  as either single-level or multilevel.  Any change in 
  4712. this designation shall be done manually and shall be  audit- 
  4713. able  by  the  TCB.   The  TCB shall maintain and be able to 
  4714. audit any change in the sensitivity level or levels  associ- 
  4715. ated with a communications channel or I/O device. 
  4716.  
  4717. +  Interpretation 
  4718.  
  4719.      Each communication channel and network component  shall 
  4720. be  designated  as  either  single-level or multilevel.  Any 
  4721. change in this designation shall be done with the cognizance 
  4722. and  approval  of  the  administrator or security officer in 
  4723. charge of the affected components and the  administrator  or 
  4724. security  officer  in charge of the NTCB.  This change shall 
  4725. be auditable by the network. The NTCB shall maintain and  be 
  4726. able  to  audit  any  change in the DEVICE LABELS associated 
  4727. with a single-level communication channel or the range asso- 
  4728. ciated with a multilevel communication channel or component. 
  4729. The NTCB shall also be able to audit any change in  the  set 
  4730. of  sensitivity levels associated with the information which 
  4731. can be transmitted over a multilevel  communication  channel 
  4732. or component. 
  4733.  
  4734. +  Rationale 
  4735.  
  4736.      Communication channels and components in a network  are 
  4737. analogous  to  communication  channels  and  I/O  devices in 
  4738. stand-alone systems.  They must be designated as either mul- 
  4739. tilevel  (i.e.,  able to distinguish and maintain separation 
  4740. among information of various sensitivity levels) or  single- 
  4741. level.   As  in  the TCSEC, single-level devices may only be 
  4742. attached to single-level channels. 
  4743.  
  4744.      The level or set of levels of information that  can  be 
  4745. sent  to  a  component or over a communication channel shall 
  4746. only change with the knowledge and approval of the  security 
  4747. officers  (or  system administrator, if there is no security 
  4748. officer) of the network, and  of  the  affected  components. 
  4749. This  requirement  ensures  that  no  significant  security- 
  4750. relevant changes  are  made  without  the  approval  of  all 
  4751. affected parties. 
  4752.  
  4753.  
  4754. 3.2.1.3.2.1 Exportation to Multilevel Devices 
  4755.  
  4756. + Statement from DoD 5200.28-STD 
  4757.  
  4758. When the TCB exports an object to a multilevel  I/O  device, 
  4759. the sensitivity label associated with that object shall also 
  4760. be exported and shall reside on the same physical medium  as 
  4761. the  exported  information  and  shall  be  in the same form 
  4762. (i.e., machine-readable or human-readable form).   When  the 
  4763. TCB  exports or imports an object over a multilevel communi- 
  4764. cations channel, the protocol used  on  that  channel  shall 
  4765. provide  for the unambiguous pairing between the sensitivity 
  4766. labels and  the  associated  information  that  is  sent  or 
  4767. received. 
  4768.  
  4769. +  Interpretation 
  4770.  
  4771.      The components, including hosts, of a network shall  be 
  4772. interconnected  over  "multilevel  communication  channels," 
  4773. multiple single-level communication channels, or both, when- 
  4774. ever  the information is to be protected at more than a sin- 
  4775. gle sensitivity level.  The  protocol  for  associating  the 
  4776. sensitivity label and the exported information shall provide 
  4777. the only information needed to correctly associate a  sensi- 
  4778. tivity  level with the exported information transferred over 
  4779. the multilevel channel between the NTCB partitions in  indi- 
  4780. vidual components. This protocol definition must specify the 
  4781. representation  and  semantics  of  the  sensitivity  labels 
  4782. (i.e.,  the  machine-readable  label must uniquely represent 
  4783. the sensitivity level). 
  4784.  
  4785.      The "unambiguous" association of the sensitivity  level 
  4786. with  the communicated information shall meet the same level 
  4787. of accuracy as that required for any other label within  the 
  4788. NTCB,  as  specified  in  the criterion for Label Integrity. 
  4789. This may be provided by protected and highly reliable direct 
  4790. physical  layer connections, or by traditional cryptographic 
  4791. link protection in which any errors during transmission  can 
  4792. be  readily  detected,  or by use of a separate channel. THE 
  4793. RANGE OF INFORMATION  IMPORTED  OR  EXPORTED  MUST  BE  CON- 
  4794. STRAINED BY THE ASSOCIATED DEVICE LABELS. 
  4795.  
  4796. +  Rationale 
  4797.  
  4798.      This  protocol  must  specify  the  representation  and 
  4799. semantics  of  the  sensitivity  labels.   See the Mandatory 
  4800. Access Control Policies section in  Appendix  B.   The  mul- 
  4801. tilevel  device  interface  to  (untrusted)  subjects may be 
  4802. implemented either by the interface of the  reference  moni- 
  4803. tor,  per  se,  or by a multilevel subject (e.g., a "trusted 
  4804. subject" as defined in the Bell-LaPadula  Model)  that  pro- 
  4805. vides  the  labels  based on the internal labels of the NTCB 
  4806. partition. 
  4807.  
  4808.      The current state of the art  limits  the  support  for 
  4809. mandatory  policy  that  is  practical  for secure networks. 
  4810. Reference monitor support to ensure the control over all the 
  4811. operations of each subject in the network must be completely 
  4812. provided within the single NTCB partition on which that sub- 
  4813. ject  interfaces  to  the  NTCB.  This means that the entire 
  4814. portion of the "secure  state"  represented  in  the  FORMAL 
  4815. security  policy  model  that  may be changed by transitions 
  4816. invoked by this subject must be contained in the  same  com- 
  4817. ponent. 
  4818.  
  4819.      The secure state of an NTCB partition may  be  affected 
  4820. by events external to the component in which the NTCB parti- 
  4821. tion resides (e.g.,  arrival  of  a  message).   The  effect 
  4822. occurs  asynchronusly  after  being initiated by an event in 
  4823. another component or partition.  For example,  indeterminate 
  4824. delays  may occur between the initiation of a message in one 
  4825. component, the arrival of the message in the NTCB  partition 
  4826. in  another  component,  and the corresponding change to the 
  4827. secure state of the second component.  Since each  component 
  4828. is  executing  concurrently,  to  do otherwise would require 
  4829. some sort of network-wide control to synchronize state tran- 
  4830. sitions, such as a global network-wide clock for all proces- 
  4831. sors; in general, such designs are not practical  and  prob- 
  4832. ably not even desirable.  Therefore, the interaction between 
  4833. NTCB partitions is restricted to just communications between 
  4834. pairs  (at least logically) of devices-multilevel devices if 
  4835. the device(s) can send/receive data of more  than  a  single 
  4836. level.  For  broadcast channels the pairs are the sender and 
  4837. intended receiver(s).  However,  if  the  broadcast  channel 
  4838. carries multiple levels of information, additional mechanism 
  4839. (e.g., cryptochecksum maintained by the TCB) may be required 
  4840. to enforce separation and proper delivery. 
  4841.  
  4842.      A  common  representation  for  sensitivity  labels  is 
  4843. needed  in  the protocol used on that channel and understood 
  4844. by both the sender and receiver when two multilevel  devices 
  4845. (in  this  case,  in two different components) are intercon- 
  4846. nected. Each distinct sensitivity level of the overall  net- 
  4847. work policy must be represented uniquely in these labels. 
  4848.  
  4849.      Within a monolithic TCB, the  accuracy  of  the  sensi- 
  4850. tivity  labels  is  generally  assured by simple techniques, 
  4851. e.g., very reliable connections  over  very  short  physical 
  4852. connections,  such  as  on a single printed circuit board or 
  4853. over an internal bus.  In many network environments there is 
  4854. a  much  higher  probability  of accidentally or maliciously 
  4855. introduced errors, and these must be protected against. 
  4856.  
  4857.  
  4858. 3.2.1.3.2.2 Exportation to Single-Level Devices 
  4859.  
  4860. + Statement from DoD 5200.28-STD 
  4861.  
  4862. Single-level  I/O  devices  and  single-level  communication 
  4863. channels are not required to maintain the sensitivity labels 
  4864. of the information they process.   However,  the  TCB  shall 
  4865. include  a mechanism by which the TCB and an authorized user 
  4866. reliably communicate to  designate  the  single  sensitivity 
  4867. level  of  information imported or exported via single-level 
  4868. communication channels or I/O devices. 
  4869.  
  4870. +  Interpretation 
  4871.  
  4872.      Whenever one or both of  two  directly  connected  com- 
  4873. ponents  is not trusted to maintain the separation of infor- 
  4874. mation of different sensitivity levels, or whenever the  two 
  4875. directly connected components have only a single sensitivity 
  4876. level in common, the two components  of  the  network  shall 
  4877. communicate  over a single-level channel.  Single-level com- 
  4878. ponents and  single-level  communication  channels  are  not 
  4879. required  to maintain the sensitivity labels of the informa- 
  4880. tion they process. However, the NTCB shall include  a  reli- 
  4881. able  communication  mechanism  by  which  the  NTCB  and an 
  4882. authorized user (VIA A TRUSTED PATH) or a subject within  an 
  4883. NTCB partition can designate the single sensitivity level of 
  4884. information imported or exported via single-level communica- 
  4885. tion  channels  or network components. THE LEVEL OF INFORMA- 
  4886. TION COMMUNICATED MUST EQUAL THE DEVICE LEVEL. 
  4887.  
  4888. + Rationale 
  4889.  
  4890.      Single-level communications channels  and  single-level 
  4891. components  in  networks are analogous to single level chan- 
  4892. nels and I/O devices in stand-alone systems in that they are 
  4893. not  trusted  to  maintain  the separation of information of 
  4894. different sensitivity levels.  The  labels  associated  with 
  4895. data transmitted over those channels and by those components 
  4896. are therefore implicit; the NTCB associates labels with  the 
  4897. data  because of the channel or component, not because of an 
  4898. explicit part of the bit stream.  Note that the  sensitivity 
  4899. level  of  encrypted information is the level of the cipher- 
  4900. text rather than the original level(s) of the plaintext. 
  4901.  
  4902.  
  4903. 3.2.1.3.2.3 Labeling Human-Readable Output 
  4904.  
  4905. + Statement from DoD 5200.28-STD 
  4906.  
  4907. The ADP system administrator shall be able  to  specify  the 
  4908. printable  label  names associated with exported sensitivity 
  4909. labels.  The TCB shall mark the beginning  and  end  of  all 
  4910. human-readable,  paged,  hardcopy output (e.g., line printer 
  4911. output) with human-readable sensitivity  labels  that  prop- 
  4912. erly1  represent  the  sensitivity  of  the output.  The TCB 
  4913. shall, by default, mark the top and bottom of each  page  of 
  4914. human-readable,  paged,  hardcopy output (e.g., line printer 
  4915. output) with human-readable sensitivity  labels  that  prop- 
  4916. erly1 represent the sensitivity of the page.  The TCB shall, 
  4917. by default and in an appropriate manner, mark other forms of 
  4918. human  readable  output  (e.g.,  maps, graphics) with human- 
  4919. readable sensitivity labels  that  properly1  represent  the 
  4920. sensitivity  of  the output.  Any override of these markings 
  4921. defaults shall be auditable by the TCB. 
  4922. _________________________ 
  4923. 1 The hierarchical classification component  in  human-readable
  4924. sensitivity labels shall be equal to the greatest hierarchical
  4925. classification of any of the information in the output that the
  4926. labels refer to; the non-hierarchical category component shall
  4927. include all of the non-hierarchical categories of the information
  4928. in the output the labels refer to, but to no other non-
  4929. hierarchical categories.
  4930.  
  4931.  
  4932. +  Interpretation 
  4933.  
  4934.      This criterion imposes no requirement  to  a  component 
  4935. that  produces  no human-readable output.  For those that do 
  4936. produce human-readable output, each sensitivity  level  that 
  4937. is  defined  to  the  network  shall  have a uniform meaning 
  4938. across all components.  The network administrator,  in  con- 
  4939. junction with any affected component administrator, shall be 
  4940. able to specify the human-readable label that is  associated 
  4941. with each defined sensitivity level. 
  4942.  
  4943. +  Rationale 
  4944.  
  4945.      The interpretation is a  straightforward  extension  of 
  4946. the  requirement  into  the  context of a network system and 
  4947. partitioned NTCB as defined for  these  network  interpreta- 
  4948. tions. 
  4949.  
  4950.  
  4951. 3.2.1.3.3 Subject Sensitivity Labels 
  4952.  
  4953. + Statement from DoD 5200.28-STD 
  4954.  
  4955. THE TCB SHALL IMMEDIATELY NOTIFY A  TERMINAL  USER  OF  EACH 
  4956. CHANGE  IN  THE  SENSITIVITY LEVEL ASSOCIATED WITH THAT USER 
  4957. DURING AN INTERACTIVE SESSION.  A  TERMINAL  USER  SHALL  BE 
  4958. ABLE  TO  QUERY  THE  TCB  AS  DESIRED  FOR A DISPLAY OF THE 
  4959. SUBJECT'S COMPLETE SENSITIVITY LABEL. 
  4960.  
  4961. + Interpretation 
  4962.  
  4963.      AN NTCB PARTITION SHALL IMMEDIATELY NOTIFY  A  TERMINAL 
  4964. USER  ATTACHED TO ITS COMPONENT OF EACH CHANGE IN THE SENSI- 
  4965. TIVITY LEVEL ASSOCIATED WITH THAT USER. 
  4966.  
  4967. + Rationale 
  4968.  
  4969.      THE LOCAL NTCB PARTITION  MUST  ENSURE  THAT  THE  USER 
  4970. UNDERSTANDS THE SENSITIVITY LEVEL OF INFORMATION SENT TO AND 
  4971. FROM A TERMINAL.  WHEN A USER HAS  A  SURROGATE  PROCESS  IN 
  4972. ANOTHER  COMPONENT,  ADJUSTMENTS  TO  ITS LEVEL MAY OCCUR TO 
  4973. MAINTAIN COMMUNICATION WITH THE  USER.   THESE  CHANGES  MAY 
  4974. OCCUR  ASYNCHRONOUSLY.  SUCH ADJUSTMENTS ARE NECESSITATED BY 
  4975. MANDATORY ACCESS CONTROL AS APPLIED TO THE OBJECTS  INVOLVED 
  4976. IN THE COMMUNICATION PATH. 
  4977.  
  4978.  
  4979. 3.2.1.3.4  Device Labels 
  4980.  
  4981. + Statement from DoD 5200.28-STD 
  4982.  
  4983. THE TCB SHALL SUPPORT THE ASSIGNMENT OF MINIMUM AND  MAXIMUM 
  4984. SENSITIVITY  LEVELS TO ALL ATTACHED PHYSICAL DEVICES.  THESE 
  4985. SENSITIVITY LEVELS SHALL BE USED BY THE TCB TO ENFORCE  CON- 
  4986. STRAINTS  IMPOSED  BY THE PHYSICAL ENVIRONMENTS IN WHICH THE 
  4987. DEVICES ARE LOCATED. 
  4988.  
  4989.  
  4990. + Interpretation 
  4991.  
  4992.      THIS REQUIREMENT APPLIES AS WRITTEN TO EACH NTCB PARTI- 
  4993. TION THAT IS TRUSTED TO SEPARATE INFORMATION BASED ON SENSI- 
  4994. TIVITY LEVEL.  EACH I/O DEVICE IN A COMPONENT, USED FOR COM- 
  4995. MUNICATION WITH OTHER NETWORK COMPONENTS, IS ASSIGNED A DEV- 
  4996. ICE RANGE, CONSISTING OF A SET OF LABELS WITH A MAXIMUM  AND 
  4997. MINIMUM.   (A  DEVICE  RANGE  USUALLY CONTAINS, BUT DOES NOT 
  4998. NECESSARILY CONTAIN, ALL POSSIBLE LABELS "BETWEEN" THE  MAX- 
  4999. IMUM AND MINIMUM, IN THE SENSE OF DOMINATING THE MINIMUM AND 
  5000. BEING DOMINATED BY THE MAXIMUM.) 
  5001.  
  5002.      THE NTCB ALWAYS PROVIDES AN ACCURATE LABEL FOR INFORMA- 
  5003. TION  EXPORTED  THROUGH  DEVICES.   INFORMATION  EXPORTED OR 
  5004. IMPORTED USING A SINGLE-LEVEL DEVICE IS LABELLED  IMPLICITLY 
  5005. BY   THE  SENSITIVITY  LEVEL  OF  THE  DEVICE.   INFORMATION 
  5006. EXPORTED FROM ONE MULTILEVEL DEVICE AND IMPORTED AT  ANOTHER 
  5007. MUST  BE LABELLED THROUGH AN AGREED-UPON PROTOCOL, UNLESS IT 
  5008. IS LABELLED IMPLICITLY BY USING A  COMMUNICATION  LINK  THAT 
  5009. ALWAYS CARRIES A SINGLE LEVEL. 
  5010.  
  5011.      INFORMATION EXPORTED AT A GIVEN SENSITIVITY  LEVEL  CAN 
  5012. BE  SENT ONLY TO AN IMPORTING DEVICE WHOSE DEVICE RANGE CON- 
  5013. TAINS THAT LEVEL OR A HIGHER LEVEL.  IF THE IMPORTING DEVICE 
  5014. RANGE  DOES  NOT CONTAIN THE GIVEN LEVEL, THE INFORMATION IS 
  5015. RELABELLED UPON RECEPTION  AT  A  HIGHER  LEVEL  WITHIN  THE 
  5016. IMPORTING DEVICE RANGE.  RELABELLING SHOULD NOT OCCUR OTHER- 
  5017. WISE. 
  5018.  
  5019. + Rationale 
  5020.  
  5021.      THE PURPOSE OF DEVICE LABELS IS  TO  REFLECT  AND  CON- 
  5022. STRAIN  THE SENSITIVITY LEVELS OF INFORMATION AUTHORIZED FOR 
  5023. THE PHYSICAL ENVIRONMENT IN WHICH THE DEVICES ARE LOCATED. 
  5024.  
  5025.      THE INFORMATION TRANSFER  RESTRICTIONS  PERMIT  ONE-WAY 
  5026. COMMUNICATION (I.E., NO ACKNOWLEDGEMENTS) FROM ONE DEVICE TO 
  5027. ANOTHER WHOSE RANGES HAVE NO LEVEL IN  COMMON,  AS  LONG  AS 
  5028. EACH  LEVEL IN THE SENDING DEVICE RANGE IS DOMINATED BY SOME 
  5029. LEVEL IN THE RECEIVING DEVICE RANGE.  IT IS NEVER  PERMITTED 
  5030. TO SEND INFORMATION AT A GIVEN LEVEL TO A DEVICE WHOSE RANGE 
  5031. DOES NOT CONTAIN A DOMINATING LEVEL.  (SEE  APPENDIX  C  FOR 
  5032. SIMILAR  INTERCONNECTION  RULES  FOR  THE INTERCONNECTED AIS 
  5033. VIEW.) 
  5034.  
  5035. 3.2.1.4 Mandatory Access Control 
  5036.  
  5037. + Statement from DoD 5200.28-STD 
  5038.  
  5039. The TCB shall enforce a mandatory access control policy over 
  5040. all RESOURCES (I.E., SUBJECTS, STORAGE OBJECTS, AND I/O DEV- 
  5041. ICES) THAT ARE DIRECTLY OR INDIRECTLY ACCESSIBLE BY SUBJECTS 
  5042. EXTERNAL  TO  THE  TCB.  These subjects and objects shall be 
  5043. assigned  sensitivity  labels  that  are  a  combination  of 
  5044. hierarchical   classification  levels  and  non-hierarchical 
  5045. categories, and the labels shall be used as  the  basis  for 
  5046. mandatory  access  control decisions.  The TCB shall be able 
  5047. to support two or more such sensitivity  levels.   (See  the 
  5048. Mandatory  Access  Control  interpretations.)  The following 
  5049. requirements shall hold for all accesses  between  ALL  SUB- 
  5050. JECTS  EXTERNAL  TO  THE  TCB  AND  ALL  OBJECTS DIRECTLY OR 
  5051. INDIRECTLY ACCESSIBLE BY THESE SUBJECTS.     A  subject  can 
  5052. read  an  object  only if the hierarchical classification in 
  5053. the subject's sensitivity level is greater than or equal  to 
  5054. the  hierarchical classification of the object's sensitivity 
  5055. level and the non-hierarchical categories in  the  subject's 
  5056. sensitivity   level   include   all   the   non-hierarchical 
  5057. categories in the object's sensitivity level. A subject  can 
  5058. write  an  object only if the hierarchical classification in 
  5059. the subject's sensitivity level is less than or equal to the 
  5060. hierarchical  classification  of  the  object's  sensitivity 
  5061. level and the non-hierarchical categories in  the  subject's 
  5062. sensitivity  level  are  included  in  the  non-hierarchical 
  5063. categories in the object's sensitivity level. Identification 
  5064. and  authentication data shall be used by the TCB to authen- 
  5065. ticate the user's identity and to  ensure  that  the  sensi- 
  5066. tivity  level  and authorization of subjects external to the 
  5067. TCB that may be created to act on behalf of  the  individual 
  5068. user  are  dominated  by  the clearance and authorization of 
  5069. that user. 
  5070.  
  5071. +  Interpretation 
  5072.  
  5073.      Each partition of the NTCB exercises  mandatory  access 
  5074. control  policy  over  all  subjects and objects in its COM-
  5075. PONENT. In a network, the responsibility of an  NTCB  parti- 
  5076. tion  encompasses  all mandatory access control functions in 
  5077. its component that would be required of a TCB  in  a  stand- 
  5078. alone  system.  In particular, subjects and objects used for 
  5079. communication with other components are under the control of 
  5080. the  NTCB  partition.   Mandatory  access  control  includes 
  5081. secrecy and integrity control to the extent that the network 
  5082. sponsor  has  described in the overall network security pol- 
  5083. icy. 
  5084.  
  5085.      Conceptual  entities  associated   with   communication 
  5086. between  two  components,  such as sessions, connections and 
  5087. virtual circuits, may be thought of as having two ends,  one 
  5088. in  each component, where each end is represented by a local 
  5089. object.  Communication is viewed as an operation that copies 
  5090. information  from  an  object  at one end of a communication 
  5091. path to an object at the other end.  Transient data-carrying 
  5092. entities,  such  as  datagrams  and packets, exist either as 
  5093. information within other objects, or as a pair  of  objects, 
  5094. one at each end of the communication path. 
  5095.  
  5096.      The requirement for "two or  more"  sensitivity  levels 
  5097. can  be  met  by  either  secrecy or integrity levels.  When 
  5098. there is a mandatory integrity policy, the  stated  require- 
  5099. ments for reading and writing are generalized to:  A subject 
  5100. can read an object only if the subject's  sensitivity  level 
  5101. dominates  the object's sensitivity level, and a subject can 
  5102. write an object only if the object's sensitivity level  dom- 
  5103. inates  the  subject's  sensitivity  level.   Based  on  the 
  5104. integrity policy, the network sponsor shall define the domi- 
  5105. nance  relation for the total label, for example, by combin- 
  5106. ing secrecy and integrity lattices. - 
  5107.  
  5108. + Rationale 
  5109.  
  5110.      An NTCB partition can maintain access control only over 
  5111. subjects  and  objects  in  its  component. AT LEVELS B2 AND 
  5112. ABOVE, THE NTCB PARTITION MUST MAINTAIN ACCESS CONTROL  OVER 
  5113. ALL SUBJECTS AND OBJECTS IN ITS COMPONENT.  Access by a sub- 
  5114. ject in one component to information contained in an  object 
  5115. in  another  component requires the creation of a subject in 
  5116. the remote component which acts as a surrogate for the first 
  5117. subject. 
  5118.  
  5119.      The mandatory access controls must be enforced  at  the 
  5120. interface  of the reference monitor (viz. the mechanism that 
  5121. controls physical processing resources) for each NTCB parti- 
  5122. tion.   This  mechanism  creates the abstraction of subjects 
  5123. and objects which it controls.  Some of these subjects  out- 
  5124. side  the  reference  monitor,  per se, may be designated to 
  5125. implement part of  an  NTCB  partition's  mandatory  policy, 
  5126. e.g.,  by using the ``trusted subjects" defined in the Bell- 
  5127. LaPadula model. 
  5128.  
  5129.      The prior requirements on exportation of labeled infor- 
  5130. mation  to  and  from  I/O  devices  ensure  the consistency 
  5131. between the sensitivity labels of  objects  connected  by  a 
  5132. communication  path.  As noted in the introduction, the net- 
  5133. work architecture must recognize  the  linkage  between  the 
  5134. overall mandatory network security policy and the connection 
  5135. oriented abstraction. For example, individual  data-carrying 
  5136. entities  such  as datagrams can have individual sensitivity 
  5137. labels that subject them to mandatory access control in each 
  5138. component.   The abstraction of a single-level connection is 
  5139. realized and enforced implicitly by an architecture while  a 
  5140. connection  is realized by single-level subjects that neces- 
  5141. sarily employ only datagrams of the same level. 
  5142.  
  5143.      The fundamental trusted systems technology permits  the 
  5144. DAC mechanism to be distributed, in contrast to the require- 
  5145. ments for  mandatory  access  control.   For  networks  this 
  5146. separation of MAC and DAC mechanisms is the rule rather than 
  5147. _________________________ 
  5148.   - See, for example, Grohn, M.  J., A Model of a  Pro- 
  5149.                                      _ _____ __ _  ___ 
  5150. tected  Data  Management  System, ESD-TR-76-289, I.  P. 
  5151. ______  ____  __________  ______ 
  5152. Sharp Assoc.  Ltd., June, 1976;  and  Denning,  D  .E., 
  5153. Lunt, T. F., Neumann, P. G., Schell, R. R., Heckman, M. 
  5154. and Shockley, W., Secure Distributed Data Views,  Secu- 
  5155.                   ______ ___________ ____ _____   ____ 
  5156. rity Policy and Interpretation for a Class A1 Multilev- 
  5157. ____ ______ ___ ______________ ___ _ _____ __ ________ 
  5158. el Secure Relational Database System,SRI International, 
  5159. __ ______ __________ ________ ______ 
  5160. November 1986. 
  5161.  
  5162. the exception. 
  5163.  
  5164.      The set of total sensitivity labels used  to  represent 
  5165. all  the sensitivity levels for the mandatory access control 
  5166. (combined data secrecy and  data  integrity)  policy  always 
  5167. forms  a partially ordered set.  Without loss of generality, 
  5168. this set of labels can always be extended to form a lattice, 
  5169. by   including  all  the  combinations  of  non-hierarchical 
  5170. categories.  As for any lattice,  a  dominance  relation  is 
  5171. always defined for the total sensitivity labels.  For admin- 
  5172. istrative reasons it may be helpful to have a maximum  level 
  5173. which dominates all others. 
  5174.  
  5175.  
  5176. 3.2.2 Accountability 
  5177. _ _ _ ______________ 
  5178.  
  5179.  
  5180. 3.2.2.1 Identification and Authentication 
  5181.  
  5182. + Statement from DoD 5200.28-STD 
  5183.  
  5184. The TCB shall require users to  identify  themselves  to  it 
  5185. before  beginning  to perform any other actions that the TCB 
  5186. is expected to mediate.  Furthermore, the TCB shall maintain 
  5187. authentication  data that includes information for verifying 
  5188. the identify of individual users (e.g., passwords)  as  well 
  5189. as  information for determining the clearance and authoriza- 
  5190. tions of individual users.  This data shall be used  by  the 
  5191. TCB  to  authenticate the user's identity and to ensure that 
  5192. the sensitivity level and authorization of subjects external 
  5193. to the TCB that may be created to act on behalf of the indi- 
  5194. vidual user are dominated by the clearance and authorization 
  5195. of  that  user. The TCB shall protect authentication data so 
  5196. that it cannot be accessed by any  unauthorized  user.   The 
  5197. TCB  shall  be  able to enforce individual accountability by 
  5198. providing the capability to uniquely identify  each  indivi- 
  5199. dual  ADP system user.  The TCB shall also provide the capa- 
  5200. bility of  associating  this  identity  with  all  auditable 
  5201. actions taken by that individual. 
  5202.  
  5203. +  Interpretation 
  5204.  
  5205.      The requirement for identification  and  authentication 
  5206. of users is the same for a network system as for an ADP sys- 
  5207. tem. The identification and authentication may  be  done  by 
  5208. the  component  to  which  the user is directly connected or 
  5209. some other component, such as an identification and  authen- 
  5210. tication  server.   Available  techniques,  such  as   those 
  5211. described  in  the  Password  Guideline=, are generally also 
  5212. applicable in the network context. However, in  cases  where 
  5213. the  NTCB is expected to mediate actions of a host (or other 
  5214. network component) that is acting on behalf  of  a  user  or 
  5215. group  of  users,  the  NTCB  may  employ identification and 
  5216. _________________________ 
  5217.   = Department of Defense  Password  Management  Guide- 
  5218.     __________ __ _______  ________  __________  _____ 
  5219. line, CSC-STD-002-85 
  5220. ____ 
  5221.  
  5222.  
  5223. authentication of the host (or other component) in  lieu  of 
  5224. identification  and authentication of an individual user, so 
  5225. long as the component identifier implies a list of  specific 
  5226. users uniquely associated with the identifier at the time of 
  5227. its use for authentication.  This requirement does not apply 
  5228. to internal subjects. 
  5229.  
  5230.      Authentication information, including the identity of a 
  5231. user  (once  authenticated) may be passed from one component 
  5232. to another without reauthentication, so  long  as  the  NTCB 
  5233. protects  (e.g.,  by  encryption) the information from unau- 
  5234. thorized disclosure and modification. This protection  shall 
  5235. provide  at  least a similar level of assurance (or strength 
  5236. of mechanism) as pertains to the protection of the authenti- 
  5237. cation mechanism and authentication data. 
  5238.  
  5239. +  Rationale 
  5240.  
  5241.      The need for accountability is not changed in the  con- 
  5242. text  of a network system.  The fact that the NTCB is parti- 
  5243. tioned over a set of components neither reduces the need nor 
  5244. imposes  new requirements.  That is, individual accountabil- 
  5245. ity is still the objective. Also, in the context of  a  net- 
  5246. work system at the (C2) level or higher  "individual accoun- 
  5247. tability" can be satisfied by identification of a  host  (or 
  5248. other component) so long as the requirement for traceability 
  5249. to individual users or a set of  specific  individual  users 
  5250. with active subjects is satisfied. There is allowed to be an 
  5251. uncertainty in traceability because of elapsed time  between 
  5252. changes  in  the group membership and the enforcement in the 
  5253. access control mechanisms.  In addition, there is no need in 
  5254. a  distributed processing system like a network to reauthen- 
  5255. ticate a user at each point in the network where  a  projec- 
  5256. tion  of  a user (via the subject operating on behalf of the 
  5257. user) into another remote subject takes place. 
  5258.  
  5259.      The passing of identifiers and/or authentication infor- 
  5260. mation from one component to another is usually done in sup- 
  5261. port to the implementation of the discretionary access  con- 
  5262. trol  (DAC).   This  support  relates  directly  to  the DAC 
  5263. regarding access by a user to a storage  object  in  a  dif- 
  5264. ferent  NTCB  partition  than  the  one  where  the user was 
  5265. authenticated. Employing a forwarded identification  implies 
  5266. additional  reliance  on the source and components along the 
  5267. path.  If the authenticated identification is  used  as  the 
  5268. basis  of  determining a sensitivity label for a subject, it 
  5269. must satisfy the Label Integrity criterion. 
  5270.  
  5271.      An  authenticated  identification  may   be   forwarded 
  5272. between  components  and employed in some component to iden- 
  5273. tify the sensitivity level associated with a subject created 
  5274. to act on behalf of the user so identified. 
  5275.  
  5276.  
  5277. 3.2.2.1.1 Trusted Path 
  5278.  
  5279. + Statement from DoD 5200.28-STD 
  5280.  
  5281. THE TCB SHALL SUPPORT A TRUSTED COMMUNICATION  PATH  BETWEEN 
  5282. ITSELF  AND  USER FOR INITIAL LOGIN AND AUTHENTICATION. COM- 
  5283. MUNICATIONS VIA THIS PATH SHALL BE INITIATED  EXCLUSIVELY BY 
  5284. A USER. 
  5285.  
  5286. + Interpretation 
  5287.  
  5288.      A TRUSTED PATH  IS  SUPPORTED  BETWEEN  A  USER  (I.E., 
  5289. HUMAN)  AND THE NTCB PARTITION IN THE COMPONENT TO WHICH THE 
  5290. USER IS DIRECTLY CONNECTED. 
  5291.  
  5292. + Rationale 
  5293.  
  5294.      WHEN A USER LOGS INTO A REMOTE COMPONENT, THE  USER  ID 
  5295. IS  TRANSMITTED  SECURELY  BETWEEN THE LOCAL AND REMOTE NTCB 
  5296. PARTITIONS IN ACCORDANCE WITH THE REQUIREMENTS IN  IDENTIFI- 
  5297. CATION AND AUTHENTICATION. 
  5298.  
  5299.      TRUSTED PATH IS NECESSARY IN ORDER TO ASSURE  THAT  THE 
  5300. USER  IS  COMMUNICATING WITH THE NTCB AND ONLY THE NTCB WHEN 
  5301. SECURITY RELEVANT ACTIVITIES ARE TAKING PLACE (E.G., AUTHEN- 
  5302. TICATE  USER,  SET CURRENT SESSION SENSITIVITY LEVEL).  HOW- 
  5303. EVER, TRUSTED PATH DOES NOT  ADDRESS  COMMUNICATIONS  WITHIN 
  5304. THE NTCB, ONLY COMMUNICATIONS BETWEEN THE USER AND THE NTCB. 
  5305. IF, THEREFORE, A COMPONENT DOES NOT SUPPORT ANY DIRECT  USER 
  5306. COMMUNICATION THEN THE COMPONENT NEED NOT CONTAIN MECHANISMS 
  5307. FOR ASSURING DIRECT NTCB TO USER COMMUNICATIONS. 
  5308.  
  5309.      THE REQUIREMENT FOR TRUSTED COMMUNICATION  BETWEEN  ONE 
  5310. NTCB  PARTITION  AND  ANOTHER NCTB PARTITION IS ADDRESSED IN 
  5311. THE SYSTEM  ARCHITECTURE  SECTION.  THESE  REQUIREMENTS  ARE 
  5312. SEPARATE  AND  DISTINCT  FROM THE USER TO NTCB COMMUNICATION 
  5313. REQUIREMENT OF A TRUSTED PATH.  HOWEVER, IT IS EXPECTED THAT 
  5314. THIS  TRUSTED  COMMUNICATION  BETWEEN ONE NTCB PARTITION AND 
  5315. ANOTHER NTCB PARTITION WILL BE USED IN CONJUNCTION WITH  THE 
  5316. TRUSTED  PATH TO IMPLEMENT TRUSTED COMMUNICATION BETWEEN THE 
  5317. USER AND THE REMOTE NTCB PARTITION. 
  5318.  
  5319.  
  5320. 3.2.2.2 Audit 
  5321. _ _ _ _ _____ 
  5322.  
  5323. + Statement from DoD 5200.28-STD 
  5324.  
  5325. The TCB shall be able to create, maintain, and protect  from 
  5326. modification  or unauthorized access or destruction an audit 
  5327. trail of accesses to the objects  it  protects.   The  audit 
  5328. data shall be protected by the TCB so that read access to it 
  5329. is limited to those who are authorized for audit data.   The 
  5330. TCB  shall  be able to record the following types of events: 
  5331. use of identification and authentication mechanisms,  intro- 
  5332. duction  of  objects into a user's address space (e.g., file 
  5333. open, program  initiation),  deletion  of  objects,  actions 
  5334. taken by computer operators and system administrators and/or 
  5335. system  security  officers,  and  other  security   relevant 
  5336. events.  The TCB shall also be able to audit any override of 
  5337. human-readable output markings.  For  each  recorded  event, 
  5338. the audit record shall identify: date and time of the event, 
  5339. user, type of event, and success or failure  of  the  event. 
  5340. For   identification/authentication  events  the  origin  of 
  5341. request (e.g., terminal ID) shall be included in  the  audit 
  5342. record.   For  events that introduce an object into a user's 
  5343. address space and  for  object  deletion  events  the  audit 
  5344. record shall include the name of the object and the object's 
  5345. sensitivity level. The ADP  system  administrator  shall  be 
  5346. able  to  selectively  audit  the actions of any one or more 
  5347. users based on individual identify and/or object sensitivity 
  5348. level.     THE  TCB  SHALL  BE  ABLE TO AUDIT THE IDENTIFIED 
  5349. EVENTS THAT MAY  BE  USED  IN  THE  EXPLOITATION  OF  COVERT 
  5350. STORAGE CHANNELS. 
  5351.  
  5352. +  Interpretation 
  5353.  
  5354.      This criterion applies  as  stated.  The  sponsor  must 
  5355. select  which  events are auditable.  If any such events are 
  5356. not distinguishable by the NTCB  alone  (for  example  those 
  5357. identified in Part II), the audit mechanism shall provide an 
  5358. interface, which  an  authorized  subject  can  invoke  with 
  5359. parameters  sufficient  to  produce  an audit record.  These 
  5360. audit records shall be distinguishable from  those  provided 
  5361. by  the  NTCB.   In  the context of a network system, "other 
  5362. security  relevant  events"  (depending  on  network  system 
  5363. architecture  and  network security policy) might be as fol- 
  5364. lows: 
  5365.  
  5366.  
  5367. 1.      Identification of each access  event  (e.g.,  estab- 
  5368.         lishing a connection or a connectionless association 
  5369.         between processes in two hosts of the  network)  and 
  5370.         its  principal parameters (e.g., host identifiers of 
  5371.         the two hosts involved in the access event and  user 
  5372.         identifier  or  host  identifier of the user or host 
  5373.         that is requesting the access event) 
  5374.  
  5375. 2.      Identification of the starting and ending  times  of 
  5376.         each  access  event  using local time or global syn- 
  5377.         chronized time 
  5378.  
  5379. 3.      Identification of security-relevant exceptional con- 
  5380.         ditions   (e.g.,   potential   violation   of   data 
  5381.         integrity, such  as  misrouted  datagrams)  detected 
  5382.         during the transactions between two hosts 
  5383.  
  5384. 4.      Utilization of cryptographic variables 
  5385.  
  5386. 5.      Changing the configuration of the network  (e.g.,  a 
  5387.         component leaving the network and rejoining) 
  5388.  
  5389.      In  addition,  identification  information  should   be 
  5390. included  in  appropriate audit trail records, as necessary, 
  5391. to allow association of all  related  (e.g.,  involving  the 
  5392. same  network event) audit trail records (e.g., at different 
  5393. hosts) with each other.  Furthermore,  a  component  of  the 
  5394. network  system  may  provide  the required audit capability 
  5395. (e.g., storage, retrieval, reduction,  analysis)  for  other 
  5396. components  that  do  not  internally  store  audit data but 
  5397. transmit the audit data to some designated  collection  com- 
  5398. ponent.   Provisions  shall  be  made to control the loss of 
  5399. audit data due to unavailability of resources. 
  5400.  
  5401.      In the context of a network system, the "user's address 
  5402. space"  is  extended,  for  object introduction and deletion 
  5403. events, to include address spaces being employed  on  behalf 
  5404. of  a  remote user (or host).  However, the focus remains on 
  5405. users in contrast to internal subjects as discussed  in  the 
  5406. DAC  criterion.   In  addition,  audit  information  must be 
  5407. stored in machine-readable form. 
  5408.  
  5409.      THE CAPABILITY  MUST  EXIST  TO  AUDIT  THE  IDENTIFIED 
  5410. EVENTS  THAT  MAY  BE  USED  IN  THE  EXPLOITATION OF COVERT 
  5411. STORAGE CHANNELS.  TO ACCOMPLISH THIS, EACH  NTCB  PARTITION 
  5412. MUST  BE ABLE TO AUDIT THOSE EVENTS LOCALLY THAT MAY LEAD TO 
  5413. THE EXPLOITATION OF A COVERT  STORAGE  CHANNEL  WHICH  EXIST 
  5414. BECAUSE OF THE NETWORK. 
  5415.  
  5416. +  Rationale 
  5417.  
  5418.      For remote users, the network identifiers (e.g., inter- 
  5419. net address) can be used as identifiers of groups of indivi- 
  5420. dual users (e.g., "all users at Host A")  to  eliminate  the 
  5421. maintenance that would be required if individual identifica- 
  5422. tion of remote users was employed.  In this class (C2), how- 
  5423. ever,  it  must  be  possible to identify (immediately or at 
  5424. some later time) the  individuals  represented  by  a  group 
  5425. identifier.   In all other respects, the interpretation is a 
  5426. straightforward extension of the criterion into the  context 
  5427. of  a  network  system.   IDENTIFICATION  OF  COVERT CHANNEL 
  5428. EVENTS IS ADDRESSED IN THE COVERT CHANNEL ANALYSIS SECTION. 
  5429.  
  5430.  
  5431.  
  5432. 3.2.3 Assurance 
  5433. _ _ _ _________ 
  5434.  
  5435.  
  5436. 3.2.3.1 Operational Assurance 
  5437.  
  5438.  
  5439. 3.2.3.1.1 System Architecture 
  5440.  
  5441. + Statement from DoD 5200.28-STD 
  5442.  
  5443. THE TCB SHALL MAINTAIN A DOMAIN FOR ITS OWN  EXECUTION  THAT 
  5444. PROTECTS  IT  FROM EXTERNAL INTERFERENCE OR TAMPERING (E.G., 
  5445. BY MODIFICATION OF ITS CODE OR DATA  STRUCTURES).   THE  TCB 
  5446. SHALL  MAINTAIN  PROCESS  ISOLATION THROUGH THE PROVISION OF 
  5447. DISTINCT ADDRESS SPACES UNDER ITS CONTROL. THE TCB SHALL  BE 
  5448. INTERNALLY  STRUCTURED INTO WELL-DEFINED LARGELY INDEPENDENT 
  5449. MODULES.  IT SHALL MAKE EFFECTIVE USE OF AVAILABLE  HARDWARE 
  5450. TO SEPARATE THOSE ELEMENTS THAT ARE PROTECTION-CRITICAL FROM 
  5451. THOSE THAT ARE NOT. THE TCB MODULES SHALL BE  DESIGNED  SUCH 
  5452. THAT THE PRINCIPLE OF LEAST PRIVILEGE IS ENFORCED.  FEATURES 
  5453. IN HARDWARE, SUCH AS SEGMENTATION, SHALL BE USED TO  SUPPORT 
  5454. LOGICALLY  DISTINCT STORAGE OBJECTS WITH SEPARATE ATTRIBUTES 
  5455. (NAMELY: READABLE, WRITABLE).  THE USER INTERFACE TO THE TCB 
  5456. SHALL  BE  COMPLETELY  DEFINED  AND  ALL ELEMENTS OF THE TCB 
  5457. IDENTIFIED. 
  5458.  
  5459. +  Interpretation 
  5460.  
  5461.      The system architecture criterion must be met individu- 
  5462. ally by all NTCB partitions.  Implementation of the require- 
  5463. ment that the NTCB maintain a domain for its  own  execution 
  5464. is  achieved by having each NTCB partition maintain a domain 
  5465. for its own execution. Since each component is itself a dis- 
  5466. tinct domain in the overall network system, this also satis- 
  5467. fies the requirement for process isolation through  distinct 
  5468. address  spaces  in  the  special case where a component has 
  5469. only a single subject. 
  5470.  
  5471.      THE NTCB  MUST  BE  INTERNALLY  STRUCTURED  INTO  WELL- 
  5472. DEFINED  LARGELY  INDEPENDENT  MODULES AND MEET THE HARDWARE 
  5473. REQUIREMENTS. THIS IS SATISFIED BY HAVING EACH  NTCB  PARTI- 
  5474. TION SO STRUCTURED. THE NTCB CONTROLS ALL NETWORK RESOURCES. 
  5475. THESE RESOURCES are the union of the sets of resources  over 
  5476. which  the  NTCB  partitions  have  control.   Code and data 
  5477. structures belonging to the  NTCB,  transferred  among  NTCB 
  5478. subjects  (i.e.,  subjects outside the reference monitor but 
  5479. inside the NTCB) belonging  to  different  NTCB  partitions, 
  5480. must  be  protected against external interference or tamper- 
  5481. ing.  For example,  a  cryptographic  checksum  or  physical 
  5482. means  may  be  employed to protect user authentication data 
  5483. exchanged between NTCB partitions. 
  5484.  
  5485.      EACH NTCB PARTITION MUST ENFORCE THE PRINCIPLE OF LEAST 
  5486. PRIVILEGE WITHIN ITS COMPONENT.  ADDITIONALLY, THE NTCB MUST 
  5487. BE STRUCTURED SO THAT THE PRINCIPLE OF  LEAST  PRIVILEGE  IS 
  5488. ENFORCED IN THE SYSTEM AS A WHOLE. 
  5489.  
  5490.      Each NTCB partition  provides  isolation  of  resources 
  5491. (within  its  component)  in  accord with the network system 
  5492. architecture and security policy so  that  "supporting  ele- 
  5493. ments"  (e.g., DAC and user identification) for the security 
  5494. mechanisms of the network system are  strengthened  compared 
  5495. to  C2,  from an assurance point of view, through the provi- 
  5496. sion of distinct address spaces under control of the NTCB. 
  5497.  
  5498.      As discussed in the Discretionary Access  Control  sec- 
  5499. tion,  the  DAC  mechanism of a NTCB partition may be imple- 
  5500. mented at the interface of the reference monitor or  may  be 
  5501. distributed  in  subjects  that  are part of the NTCB in the 
  5502. same or different component.  When distributed in NTCB  sub- 
  5503. jects  (i.e.,  when  outside  the  reference  monitor),  the 
  5504. assurance requirements for the design and implementation  of 
  5505. the DAC shall be those of class C2 for all networks of class 
  5506. C2 or above. 
  5507.  
  5508. +  Rationale 
  5509.  
  5510.  
  5511.      THE  REQUIREMENT  THAT  THE  NTCB  BE  STRUCTURED  INTO 
  5512. MODULES  AND  MEET  THE HARDWARE REQUIREMENTS APPLIES WITHIN 
  5513. THE NTCB PARTITIONS IN THE VARIOUS COMPONENTS. 
  5514.  
  5515.      THE PRINCIPLE OF LEAST  PRIVILEGE  REQUIRES  THAT  EACH 
  5516. USER  OR OTHER INDIVIDUAL WITH ACCESS TO THE SYSTEM BE GIVEN 
  5517. ONLY THOSE RESOURCES AND  AUTHORIZATIONS  REQUIRED  FOR  THE 
  5518. PERFORMANCE  OF THIS JOB.  IN ORDER TO ENFORE THIS PRINCIPLE 
  5519. IN THE SYSTEM IT MUST BE ENFORCED IN  EVERY  NTCB  PARTITION 
  5520. THAT  SUPPORTS  USERS  OR  OTHER  INDIVIDUALS.  FOR EXAMPLE, 
  5521. PROHIBITING ACCESS BY ADMINISTRATORS TO OBJECTS OUTSIDE  THE 
  5522. NTCB PARTITION (E.G., GAMES) LESSENS THE OPPORTUNITY OF DAM- 
  5523. AGE BY A TROJAN HORSE. 
  5524.  
  5525.      The requirement for the  protection  of  communications 
  5526. between NTCB partitions is specifically directed to subjects 
  5527. that are part of the NTCB partitions.  Any requirements  for 
  5528. such  protection  for the subjects that are outside the NTCB 
  5529. partitions  are  addressed  in  response  to  the  integrity 
  5530. requirements of the security policy. 
  5531.  
  5532.      The provision of distinct address spaces under the con- 
  5533. trol  of  the NTCB provides the ability to separate subjects 
  5534. according to sensitivity level.  This requirement is  intro- 
  5535. duced  at  B1  since it is an absolute necessity in order to 
  5536. implement mandatory access controls. 
  5537.  
  5538.  
  5539. 3.2.3.1.2 System Integrity 
  5540.  
  5541. + Statement from DoD 5200.28-STD 
  5542.  
  5543. Hardware and/or software features shall be provided that can 
  5544. be  used  to  periodically validate the correct operation of 
  5545. the on-site hardware and firmware elements of the TCB. 
  5546.  
  5547. +  Interpretation 
  5548.  
  5549.      Implementation of the requirement is partly achieved by 
  5550. having hardware and/or software features that can be used to 
  5551. periodically validate the correct operation of the  hardware 
  5552. and  firmware  elements  of each component's NTCB partition. 
  5553. Features shall also be provided to validate the identity and 
  5554. correct  operation of a component prior to its incorporation 
  5555. in the network system and throughout system operation.   For 
  5556. example,  a protocol could be designed that enables the com- 
  5557. ponents of the partitioned NTCB to exchange messages period- 
  5558. ically  and validate each other's correct response. The pro- 
  5559. tocol shall be able to determine the remote entity's ability 
  5560. to  respond. NTCB partitions shall provide the capability to 
  5561. report to  network  administrative  personnel  the  failures 
  5562. detected in other NTCB partitions. 
  5563.  
  5564.      Intercomponent  protocols  implemented  within  a  NTCB 
  5565. shall be designed in such a way as to provide correct opera- 
  5566. tion in the case of failures of  network  communications  or 
  5567. individual components.  The allocation of mandatory and dis- 
  5568. cretionary access control policy in a  network  may  require 
  5569. communication  between trusted subjects that are part of the 
  5570. NTCB partitions in different components.  This communication 
  5571. is normally implemented with a protocol between the subjects 
  5572. as peer entities.  Incorrect access within a component shall 
  5573. not  result from failure of an NTCB partition to communicate 
  5574. with other components. 
  5575.  
  5576. + Rationale 
  5577.  
  5578.      The  first  paragraph  of  the  interpretation   is   a 
  5579. straightforward  extension  of the requirement into the con- 
  5580. text of a network system and partitioned NTCB as defined for 
  5581. these network criteria. 
  5582.  
  5583.      NTCB protocols should be robust  enough  so  that  they 
  5584. permit the system to operate correctly in the case of local- 
  5585. ized failure. The purpose of this protection is to  preserve 
  5586. the integrity of the NTCB itself.  It is not unusual for one 
  5587. or more components in a network to  be  inoperative  at  any 
  5588. time,  so  it  is  important to minimize the effects of such 
  5589. failures on the rest of the  network.  Additional  integrity 
  5590. and denial of service issues are addressed in Part II. 
  5591.  
  5592.  
  5593.  
  5594. 3.2.3.1.3 Covert Channel Analysis 
  5595.  
  5596. + Statement from DoD 5200.28-STD 
  5597.  
  5598. THE SYSTEM DEVELOPER SHALL CONDUCT  A  THOROUGH  SEARCH  FOR 
  5599. COVERT  STORAGE CHANNELS AND MAKE A DETERMINATION (EITHER BY 
  5600. ACTUAL MEASUREMENT OR BY ENGINEERING ESTIMATION) OF THE MAX- 
  5601. IMUM  BANDWIDTH OF EACH IDENTIFIED CHANNEL.  (SEE THE COVERT 
  5602. CHANNELS GUIDELINE SECTION.) 
  5603.  
  5604. + Interpretation 
  5605.  
  5606.      THE REQUIREMENT, INCLUDING  THE  TCSEC  COVERT  CHANNEL 
  5607. GUIDELINE,  APPLIES  AS  WRITTEN.   IN  A NETWORK, THERE ARE 
  5608. ADDITIONAL INSTANCES OF COVERT CHANNELS ASSOCIATED WITH COM- 
  5609. MUNICATION BETWEEN COMPONENTS. 
  5610.  
  5611. + Rationale 
  5612.  
  5613.      THE EXPLOITATION OF NETWORK PROTOCOL INFORMATION (E.G., 
  5614. HEADERS)  CAN  RESULT  IN COVERT STORAGE CHANNELS. THE TOPIC 
  5615. HAS BEEN ADDRESSED IN THE LITERATURE.- 
  5616. _________________________ 
  5617.   - See, for example, Girling, C. G., "Covert  Channels 
  5618. in  LAN's,"  IEEE Transactions on Software Engineering, 
  5619.              ____ ____________ __ ________ ___________ 
  5620. Vol. SE-13, No. 2, February 1987; and Padlipsky, M. A., 
  5621. Snow,  D. P., and Karger, P. A., Limitations of End-to- 
  5622.                                  ___________ __ ___ __ 
  5623. End  Encryption  in  Secure  Computer  Networks,  MITRE 
  5624. ___  __________  __  ______  ________  ________ 
  5625. Technical  Report,  MTR-3592,  Vol. I, May 1978 (ESD TR 
  5626.  
  5627.  
  5628.  
  5629. 3.2.3.1.4  Trusted Facility Management 
  5630.  
  5631. + Statement from DoD 5200.28-STD 
  5632.  
  5633. THE TCB SHALL SUPPORT SEPARATE  OPERATOR  AND  ADMINISTRATOR 
  5634. FUNCTIONS. 
  5635.  
  5636. + Interpretation 
  5637.  
  5638.      THIS REQUIREMENT APPLIES AS WRITTEN TO BOTH THE NETWORK 
  5639. AS  A  WHOLE AND TO INDIVIDUAL COMPONENTS WHICH SUPPORT SUCH 
  5640. PERSONNEL. 
  5641.  
  5642. + Rationale 
  5643.  
  5644.      IT IS RECOGNIZED THAT BASED  ON  THE  ALLOCATED  POLICY 
  5645. ELEMENTS  SOME  COMPONENTS  MAY OPERATE WITH NO HUMAN INTER- 
  5646. FACE. 
  5647.  
  5648.  
  5649. 3.2.3.2 Life-Cycle Assurance 
  5650.  
  5651.  
  5652. 3.2.3.2.1 Security Testing 
  5653.  
  5654. + Statement from DoD 5200.28-STD 
  5655.  
  5656. The security mechanisms of the ADP system  shall  be  tested 
  5657. and  found to work as claimed in the system documentation. A 
  5658. team of individuals who thoroughly understand  the  specific 
  5659. implementation  of the TCB shall subject its design documen- 
  5660. tation, source code, and object code to through analysis and 
  5661. testing.   Their  objectives shall be: to uncover all design 
  5662. and implementation flaws that would permit a subject  exter- 
  5663. nal  to  the  TCB  to  read, change, or delete data normally 
  5664. denied under the mandatory or discretionary security  policy 
  5665. enforced  by  the  TCB; as well as to assure that no subject 
  5666. (without authorization to do so) is able to cause the TCB to 
  5667. enter  a state such that it is unable to respond to communi- 
  5668. cations initiated by other users. THE  TCB  SHALL  BE  FOUND 
  5669. RELATIVELY  RESISTANT  TO PENETRATION.  All discovered flaws 
  5670. shall be removed or neutralized  and  the  TCB  retested  to 
  5671. demonstrate  that  they  have  been  eliminated and that new 
  5672. flaws have not been introduced.  TESTING  SHALL  DEMONSTRATE 
  5673. THAT  THE TCB IMPLEMENTATION IS CONSISTENT WITH THE DESCRIP- 
  5674. TIVE TOP-LEVEL SPECIFICATION.   (See  the  Security  Testing 
  5675. Guidelines.) 
  5676.  
  5677. +  Interpretation 
  5678.  
  5679.      Testing of a component  will  require  a  testbed  that 
  5680. exercises  the  interfaces  and  protocols  of the component 
  5681. including tests under exceptional conditions.   The  testing 
  5682. of  a  security  mechanism of the network system for meeting 
  5683. this criterion shall  be  an  integrated  testing  procedure 
  5684. involving  all  components containing an NTCB partition that 
  5685. implement the given mechanism. This  integrated  testing  is 
  5686. additional to any individual component tests involved in the 
  5687. evaluation of the network system.  The sponsor should  iden- 
  5688. tify the allowable set of configurations including the sizes 
  5689. of the networks.  Analysis or testing procedures  and  tools 
  5690. shall  be  available  to test the limits of these configura- 
  5691. tions.  A change in configuration within the  allowable  set 
  5692. of configurations does not require retesting. 
  5693.  
  5694.      The testing of each component will include  the  intro- 
  5695. duction  of  subjects external to the NTCB partition for the 
  5696. component that will attempt to read, change, or delete  data 
  5697. normally  denied.   If the normal interface to the component 
  5698. does not provide a means to create the  subjects  needed  to 
  5699. conduct  such a test, then this portion of the testing shall 
  5700. use a special version of the untrusted software for the com- 
  5701. ponent  that  results  in  subjects that make such attempts. 
  5702. The results shall be saved for test analysis.  Such  special 
  5703. versions  shall  have an NTCB partition that is identical to 
  5704. that for the normal configuration  of  the  component  under 
  5705. evaluation. 
  5706.  
  5707.      The testing of the  mandatory  controls  shall  include 
  5708. tests   to  demonstrate  that  the  labels  for  information 
  5709. imported and/or exported to/from  the  component  accurately 
  5710. represent  the  labels  maintained by the NTCB partition for 
  5711. the component for use as the basis for its mandatory  access 
  5712. control  decisions.   The  tests  shall include each type of 
  5713. device, whether single-level or multilevel, supported by the 
  5714. component. 
  5715.  
  5716.      THE NTCB MUST BE FOUND RELATIVELY RESISTANT TO PENETRA- 
  5717. TION.  THIS APPLIES TO THE NTCB AS A WHOLE, AND TO EACH NTCB 
  5718. PARTITION IN A COMPONENT OF THIS CLASS. 
  5719.  
  5720. +  Rationale 
  5721.  
  5722.      The phrase "no subject (without authorization to do so) 
  5723. is  able  to  cause the TCB to enter a state such that it is 
  5724. unable to  respond  to  communications  initiated  by  other 
  5725. users"  relates  to  the  security services (Part II of this 
  5726. TNI) for the Denial of Service problem, and  to  correctness 
  5727. of the protocol implementations. 
  5728.  
  5729.      Testing  is  an  important  method  available  in  this 
  5730. evaluation  division to gain any assurance that the security 
  5731. mechanisms perform their intended function.  A major purpose 
  5732. of testing is to demonstrate the system's response to inputs 
  5733. to the NTCB partition from  untrusted  (and  possibly  mali- 
  5734. cious) subjects. 
  5735.  
  5736.      In contrast to general purpose systems that  allow  for 
  5737. the  dynamic  creation of new programs and the introductions 
  5738. of new processes (and hence new subjects) with  user  speci- 
  5739. fied  security  properities, many network components have no 
  5740. method for introducing new programs and/or processes  during 
  5741. their  normal  operation.  Therefore, the programs necessary 
  5742. for the testing must be introduced as  special  versions  of 
  5743. the  software  rather than as the result of normal inputs by 
  5744. the test team.  However, it must be insured  that  the  NTCB 
  5745. partition  used for such tests is identical to the one under 
  5746. evaluation. 
  5747.  
  5748.      Sensitivity labels serve a critical role in maintaining 
  5749. the  security  of  the mandatory access controls in the net- 
  5750. work.  Especially important to network security is the  role 
  5751. of  the  labels  for  information  communicated between com- 
  5752. ponents - explicit labels for multilevel devices and  impli- 
  5753. cit  labels for single-level devices.  Therefore the testing 
  5754. for correct labels is highlighted. 
  5755.  
  5756.      THE REQUIREMENT FOR TESTING TO DEMONSTRATE  CONSISTENCY 
  5757. BETWEEN  THE NTCB IMPLEMENTATION AND THE DTLS IS A STRAIGHT- 
  5758. FORWARD EXTENSION OF THE TCSEC REQUIREMENT INTO THE  CONTEXT 
  5759. OF A NETWORK SYSTEM. 
  5760.  
  5761.  
  5762.  
  5763. 3.2.3.2.2  Design Specification and Verification 
  5764.  
  5765. + Statement from DoD 5200.28-STD 
  5766.  
  5767. A FORMAL model of the security policy supported by  the  TCB 
  5768. shall  be  maintained  over the life cycle of the ADP system 
  5769. THAT IS PROVEN and demonstrated to be  consistent  with  its 
  5770. axioms.  A DESCRIPTIVE TOP-LEVEL SPECIFICATION (DTLS) OF THE 
  5771. TCB SHALL  BE  MAINTAINED  THAT  COMPLETELY  AND  ACCURATELY 
  5772. DESCRIBES  THE  TCB  IN TERMS OF EXCEPTIONS, ERROR MESSAGES, 
  5773. AND EFFECTS.  IT SHALL BE SHOWN TO BE AN  ACCURATE  DESCRIP- 
  5774. TION OF THE TCB INTERFACE. 
  5775.  
  5776. +  Interpretation 
  5777.  
  5778.      The overall network security policy expressed  in  this 
  5779. model  will  provide the basis for the mandatory access con- 
  5780. trol policy exercised by the NTCB over subjects and  storage 
  5781. objects  in the entire network.  The policy will also be the 
  5782. basis for the discretionary access control policy  exercised 
  5783. by  the  NTCB  to  control  access  of  named users to named 
  5784. objects.  Data integrity requirements addressing the effects 
  5785. of unauthorized MSM need not be included in this model.  The 
  5786. overall network policy must be decomposed into  policy  ele- 
  5787. ments  that are allocated to appropriate components and used 
  5788. as the basis for the security policy model  for  those  com- 
  5789. ponents. 
  5790.  
  5791.      The level of abstraction of the model, and the  set  of 
  5792. subjects  and objects that are explicitly represented in the 
  5793. model, will be affected by the NTCB partitioning.   Subjects 
  5794. and  objects must be represented explicitly in the model for 
  5795. the partition if there is some network component whose  NTCB 
  5796. partition  exercises  access  control  over them.  The model 
  5797. shall  be  structured  so  that  the  axioms  and   entities 
  5798. applicable  to  individual  network components are manifest. 
  5799. Global network policy elements that are  allocated  to  com- 
  5800. ponents  shall  be  represented  by  the model for that com- 
  5801. ponent. 
  5802.  
  5803.      THE REQUIREMENTS FOR A NETWORK DTLS ARE  GIVEN  IN  THE 
  5804. DESIGN DOCUMENTATION SECTION. 
  5805.  
  5806. + Rationale 
  5807.  
  5808.      The treatment of the model depends to a great extent on 
  5809. the degree of integration of the communications service into 
  5810. a distributed system. In a closely coupled distributed  sys- 
  5811. tem,  one  might  use  a  model  that  closely resembles one 
  5812. appropriate for a stand-alone computer system. 
  5813.  
  5814.      In other cases, the model of  each  partition  will  be 
  5815. expected to show the role of the NTCB partition in each kind 
  5816. of component.   It  will  most  likely  clarify  the  model, 
  5817. although  not part of the model, to show access restrictions 
  5818. implied  by  the  system  design;  for   example,   subjects 
  5819. representing  protocol  entities  might have access only  to 
  5820. objects containing data units at the same layer of protocol. 
  5821. The  allocation of subjects and  objects to different proto- 
  5822. col layers is a protocol design choice which  need  not   be 
  5823. reflected in the security policy model. 
  5824.  
  5825.  
  5826.  
  5827. 3.2.3.2.3 Configuration Management 
  5828.  
  5829. + Statement from DoD 5200.28-STD 
  5830.  
  5831. DURING DEVELOPMENT AND MAINTENANCE OF THE TCB, A  CONFIGURA- 
  5832. TION MANAGEMENT SYSTEM SHALL BE IN PLACE THAT MAINTAINS CON- 
  5833. TROL OF CHANGES TO THE DESCRIPTIVE TOP-LEVEL  SPECIFICATION, 
  5834. OTHER  DESIGN  DATA,  IMPLEMENTATION  DOCUMENTATION,  SOURCE 
  5835. CODE, THE RUNNING VERSION OF THE OBJECT CODE, AND TEST  FIX- 
  5836. TURES  AND DOCUMENTATION.  THE CONFIGURATION MANAGEMENT SYS- 
  5837. TEM SHALL ASSURE A CONSISTENT MAPPING AMONG  ALL  DOCUMENTA- 
  5838. TION  AND  CODE  ASSOCIATED  WITH THE CURRENT VERSION OF THE 
  5839. TCB.  TOOLS SHALL BE PROVIDED FOR GENERATION OF A  NEW  VER- 
  5840. SION  OF  THE TCB FROM SOURCE CODE.  ALSO AVAILABLE SHALL BE 
  5841. TOOLS FOR COMPARING A NEWLY GENERATED VERSION WITH THE  PRE- 
  5842. VIOUS  TCB  VERSION  IN  ORDER  TO  ASCERTAIN  THAT ONLY THE 
  5843. INTENDED CHANGES HAVE BEEN MADE IN THE CODE THAT WILL  ACTU- 
  5844. ALLY BE USED AS THE NEW VERSION OF THE TCB. 
  5845.  
  5846. +  Interpretation 
  5847.  
  5848.      THE REQUIREMENT APPLIES AS WRITTEN, WITH THE  FOLLOWING 
  5849. EXTENSIONS: 
  5850.  
  5851. 1.      A CONFIGURATION MANAGEMENT SYSTEM MUST BE  IN  PLACE 
  5852.         FOR EACH NTCB PARTITION. 
  5853.  
  5854.  
  5855. 2.      A CONFIGURATION MANAGEMENT PLAN MUST EXIST  FOR  THE 
  5856.         ENTIRE SYSTEM.  IF THE CONFIGURATION MANAGEMENT SYS- 
  5857.         TEM IS MADE UP OF THE CONGLOMERATION OF  THE  CONFI- 
  5858.         GURATION MANAGEMENT SYSTEMS OF THE VARIOUS NTCB PAR- 
  5859.         TITIONS, THEN THE CONFIGURATION MANAGEMENT PLAN MUST 
  5860.         ADDRESS  THE  ISSUE  OF HOW CONFIGURATION CONTROL IS 
  5861.         APPLIED TO THE SYSTEM AS A WHOLE. 
  5862.  
  5863. + Rationale 
  5864.  
  5865.      EACH NTCB PARTITION MUST HAVE A  CONFIGURATION  MANAGE- 
  5866. MENT  SYSTEM  IN PLACE, OR ELSE THERE WILL BE NO WAY FOR THE 
  5867. NTCB AS A WHOLE TO HAVE AN EFFECTIVE  CONFIGURATION  MANAGE- 
  5868. MENT SYSTEM.  THE OTHER EXTENSIONS ARE MERELY REFLECTIONS OF 
  5869. THE WAY THAT NETWORKS OPERATE IN PRACTICE. 
  5870.  
  5871.  
  5872.  
  5873. 3.2.4 Documentation. 
  5874. _ _ _ _____________ 
  5875.  
  5876.  
  5877. 3.2.4.1 Security Features User's Guide 
  5878.  
  5879. + Statement from DoD 5200.28-STD 
  5880.  
  5881. A single summary, chapter, or manual in  user  documentation 
  5882. shall  describe  the  protection  mechanisms provided by the 
  5883. TCB, interpretations on their use,  and  how  they  interact 
  5884. with one another. 
  5885.  
  5886. +  Interpretation 
  5887.  
  5888.      This user documentation describes user visible  protec- 
  5889. tion  mechanisms at the global (network system) level and at 
  5890. the user interface of each component,  and  the  interaction 
  5891. among these. 
  5892.  
  5893. +  Rationale 
  5894.  
  5895.      The interpretation is an extension of  the  requirement 
  5896. into  the  context  of a network system as defined for these 
  5897. network criteria.  Documentation  of  protection  mechanisms 
  5898. provided  by  individual  components is required by the cri- 
  5899. teria for trusted  computer  systems  that  are  applied  as 
  5900. appropriate for the individual components. 
  5901.  
  5902.  
  5903. 3.2.4.2 Trusted Facility Manual 
  5904.  
  5905. + Statement from DoD 5200.28-STD 
  5906.  
  5907. A manual addressed to the  ADP  system  administrator  shall 
  5908. present  cautions about functions and privileges that should 
  5909. be controlled when running a secure facility. The procedures 
  5910. for examining and maintaining the audit files as well as the 
  5911. detailed audit record structure for each type of audit event 
  5912. shall  be  given. The manual shall describe the operator and 
  5913. administrator functions  related  to  security,  to  include 
  5914. changing  the  security characteristics of a user.  It shall 
  5915. provide interpretations on the consistent and effective  use 
  5916. of the protection features of the system, how they interact, 
  5917. how to securely generate a new TCB, and facility procedures, 
  5918. warnings, and privileges that need to be controlled in order 
  5919. to operate the facility in a secure manner. THE TCB  MODULES 
  5920. THAT  CONTAIN  THE  REFERENCE  VALIDATION MECHANISM SHALL BE 
  5921. IDENTIFIED.  THE PROCEDURES FOR SECURE GENERATION OF  A  NEW 
  5922. TCB FROM SOURCE AFTER MODIFICATION OF ANY MODULES IN THE TCB 
  5923. SHALL BE DESCRIBED. 
  5924.  
  5925. + Interpretation 
  5926.  
  5927.      This manual shall contain specifications and procedures 
  5928. to assist the system administrator(s) maintain cognizance of 
  5929. the network configuration.  These  specifications  and  pro- 
  5930. cedures shall address the following: 
  5931.  
  5932. 1.      The hardware configuration of the network itself; 
  5933.  
  5934. 2.      The implications of attaching new components to  the 
  5935.         network; 
  5936.  
  5937. 3.      The case where certain components  may  periodically 
  5938.         leave  the  network  (e.g., by crashing, or by being 
  5939.         disconnected) and then rejoin; 
  5940.  
  5941. 4.      Network configuration aspects that  can  impact  the 
  5942.         security  of  the  network system; (For example, the 
  5943.         manual  should  describe  for  the  network   system 
  5944.         administrator  the interconnections among components 
  5945.         that are consistent with the overall network  system 
  5946.         architecture.) 
  5947.  
  5948. 5.      Loading  or  modifying  NTCB  software  or  firmware 
  5949.         (e.g., down-line loading). 
  5950.  
  5951. 6.      INCREMENTAL UPDATES; THAT  IS,  IT  MUST  EXPLICITLY 
  5952.         INDICATE  WHICH COMPONENTS OF THE NETWORK MAY CHANGE 
  5953.         WITHOUT OTHERS ALSO CHANGING. 
  5954.   
  5955.      The physical and administrative environmental  controls 
  5956. shall  be  specified.   Any  assumptions about security of a 
  5957. given network should be clearly stated (e.g., the fact  that 
  5958. all  communications  links must be physically protected to a 
  5959. certain level). 
  5960.  
  5961.      THE COMPONENTS OF THE NETWORK THAT FORM THE  NTCB  MUST 
  5962. BE IDENTIFIED.  FURTHERMORE, THE MODULES WITHIN AN NTCB PAR- 
  5963. TITION THAT CONTAIN THE REFERENCE VALIDATION  MECHANISM  (IF 
  5964. ANY) WITHIN THAT PARTITION MUST BE IDENTIFIED. 
  5965.  
  5966.      THE PROCEDURES FOR THE SECURE GENERATION OF A NEW  VER- 
  5967. SION  (OR  COPY)  OF EACH NTCB PARTITION FROM SOURCE MUST BE 
  5968. DESCRIBED.  THE PROCEDURES AND REQUIREMENTS FOR  THE  SECURE 
  5969. GENERATION  OF  THE NTCB NECESSITATED BY CHANGES IN THE NET- 
  5970. WORK CONFIGURATION SHALL BE DESCRIBED. 
  5971.  
  5972. + Rationale 
  5973.  
  5974.      There  may  be  multiple  system  administrators   with 
  5975. diverse  responsibilities.   The technical security measures 
  5976. described by these criteria must be used in conjunction with 
  5977. other  forms of security in order to achieve security of the 
  5978. network.  Additional forms include administrative  security, 
  5979. physical security, emanations security, etc. 
  5980.  
  5981.      Extension of  this  criterion  to  cover  configuration 
  5982. aspects  of  the  network  is  needed  because, for example, 
  5983. proper interconnection of components is typically  essential 
  5984. to  achieve  a  correct realization of the network architec- 
  5985. ture. 
  5986.  
  5987.      As mentioned in the section on Label  Integrity,  cryp- 
  5988. tography is one common mechanism employed to protect commun- 
  5989. ication circuits.  Encryption transforms the  representation 
  5990. of  information so that it is unintelligible to unauthorized 
  5991. subjects.  Reflecting this transformation,  the  sensitivity 
  5992. of the ciphertext is generally lower than the cleartext.  If 
  5993. encryption  methodologies  are  employed,  they   shall   be 
  5994. approved by the National Security Agency (NSA). 
  5995.  
  5996.      The encryption algorithm  and  its  implementation  are 
  5997. outside  the scope of these interpretations.  This algorithm 
  5998. and implementation may be implemented in a  separate  device 
  5999. or  may  be a function of a subject in a component not dedi- 
  6000. cated to encryption.  Without prejudice, either  implementa- 
  6001. tion  packaging  is  referred  to as an encryption mechanism 
  6002. herein. 
  6003.  
  6004.      THE REQUIREMENTS FOR DESCRIPTIONS  OF  NTCB  GENERATION 
  6005. AND  IDENTIFICATION  OF MODULES AND COMPONENTS THAT FORM THE 
  6006. NTCB ARE STRAIGHTFORWARD EXTENSIONS OF  THE  TCSEC  REQUIRE- 
  6007. MENTS  INTO  THE  NETWORK CONTEXT.  IN THOSE CASES WHERE THE 
  6008. VENDOR DOES NOT PROVIDE SOURCE CODE, AN ACCEPTABLE PROCEDURE 
  6009. SHALL BE TO REQUEST THE VENDOR TO PERFORM THE SECURE GENERA- 
  6010. TION. 
  6011.  
  6012.  
  6013. 3.2.4.3 Test Documentation 
  6014.  
  6015. + Statement from DoD 5200.28-STD 
  6016.  
  6017. The system developer shall provide to the evaluators a docu- 
  6018. ment that describes the test plan, test procedures that show 
  6019. how the security mechanisms were tested, and results of  the 
  6020. security  mechanisms'  functional testing.  IT SHALL INCLUDE 
  6021. RESULTS OF TESTING THE EFFECTIVENESS OF THE METHODS USED  TO 
  6022. REDUCE COVERT CHANNEL BANDWIDTHS. 
  6023.  
  6024.  
  6025. +  Interpretation 
  6026.  
  6027.      The "system developer" is interpreted as  "the  network 
  6028. system  sponsor".   The  description of the test plan should 
  6029. establish the context in which the testing was or should  be 
  6030. conducted.   The  description should identify any additional 
  6031. test components that  are  not  part  of  the  system  being 
  6032. evaluated.  This includes a description of the test-relevant 
  6033. functions of such test components and a description  of  the 
  6034. interfacing  of  those  test  components to the system being 
  6035. evaluated.  The description of the  test  plan  should  also 
  6036. demonstrate  that  the  tests  adequately  cover the network 
  6037. security policy.  The  tests  should  include  the  features 
  6038. described   in   the  System  Architecture  and  the  System 
  6039. Integrity sections.  The tests should also  include  network 
  6040. configuration and sizing. 
  6041.  
  6042. +  Rationale 
  6043.  
  6044.      The entity being evaluated may be a networking  subsys- 
  6045. tem (see Appendix A) to which other components must be added 
  6046. to make a  complete  network  system.  In  that  case,  this 
  6047. interpretation  is extended to include contextual definition 
  6048. because, at evaluation time, it is not possible to  validate 
  6049. the  test  plans  without the description of the context for 
  6050. testing the networking subsystem. 
  6051.  
  6052.      THE BANDWIDTHS OF COVERT CHANNELS ARE USED TO DETERMINE 
  6053. THE SUITABILITY OF A NETWORK SYSTEM FOR A GIVEN ENVIRONMENT. 
  6054. THE EFFECTIVENESS  OF  THE  METHODS  USED  TO  REDUCE  THESE 
  6055. BANDWIDTHS MUST THEREFORE BE ACCURATELY DETERMINED. 
  6056.  
  6057.  
  6058. 3.2.4.4 Design Documentation 
  6059.  
  6060. + Statement from DoD 5200.28-STD 
  6061.  
  6062. Documentation shall be available that provides a description 
  6063. of the manufacturer's philosophy of protection and an expla- 
  6064. nation of how this philosophy is translated  into  the  TCB. 
  6065. THE  interfaces between THE TCB modules shall be described. 
  6066. A FORMAL description of the security policy  model  enforced 
  6067. by the TCB shall be available and an explanation provided to 
  6068. show that it is sufficient to enforce the  security  policy. 
  6069. The  specific  TCB protection mechanisms shall be identified 
  6070. and an explanation given  to  show  that  they  satisfy  the 
  6071. model.  THE DESCRIPTIVE TOP-LEVEL SPECIFICATION (DTLS) SHALL 
  6072. BE SHOWN TO BE AN ACCURATE DESCRIPTION OF THE TCB INTERFACE. 
  6073. DOCUMENTATION  SHALL  DESCRIBE  HOW  THE  TCB IMPLEMENTS THE 
  6074. REFERENCE MONITOR CONCEPT AND GIVE AN EXPLANATION WHY IT  IS 
  6075. TAMPER  RESISTANT,  CANNOT  BE  BYPASSED,  AND  IS CORRECTLY 
  6076. IMPLEMENTED. DOCUMENTATION SHALL DESCRIBE  HOW  THE  TCB  IS 
  6077. STRUCTURED  TO  FACILITATE  TESTING  AND  TO  ENFORCE  LEAST 
  6078. PRIVILEGE.   THIS  DOCUMENTATION  SHALL  ALSO  PRESENT   THE 
  6079. RESULTS  OF  THE  COVERT  CHANNEL ANALYSIS AND THE TRADEOFFS 
  6080. INVOLVED IN RESTRICTING THE CHANNELS.  ALL AUDITABLE  EVENTS 
  6081. THAT MAY BE USED IN THE EXPLOITATION OF KNOWN COVERT STORAGE 
  6082. CHANNELS SHALL  BE  IDENTIFIED.   THE  BANDWIDTHS  OF  KNOWN 
  6083. COVERT  STORAGE CHANNELS, THE USE OF WHICH IS NOT DETECTABLE 
  6084. BY THE AUDITING MECHANISMS,  SHALL  BE  PROVIDED.  (SEE  THE 
  6085. COVERT CHANNEL GUIDELINE SECTION.) 
  6086.  
  6087. +  Interpretation 
  6088.  
  6089.      Explanation of how the sponsor's philosophy of  protec- 
  6090. tion is translated into the NTCB shall include a description 
  6091. of how the NTCB is partitioned.  The  security  policy  also 
  6092. shall  be stated.  The description of the interfaces between 
  6093. the NTCB modules shall include the interface(s) between NTCB 
  6094. partitions  and modules within the partitions if the modules 
  6095. exist.  The sponsor shall describe the security architecture 
  6096. and  design,  including  the allocation of security require- 
  6097. ments among components. 
  6098.  
  6099.      THE DOCUMENTATION INCLUDES BOTH  A  SYSTEM  DESCRIPTION 
  6100. AND  A  SET  OF  COMPONENT  DTLS'S.   THE SYSTEM DESCRIPTION 
  6101. ADDRESSES THE NETWORK SECURITY ARCHITECTURE  AND  DESIGN  BY 
  6102. SPECIFYING  THE  TYPES  OF  COMPONENTS IN THE NETWORK, WHICH 
  6103. ONES ARE TRUSTED, AND IN WHAT WAY  THEY  MUST  COOPERATE  TO 
  6104. SUPPORT NETWORK SECURITY OBJECTIVES.  A COMPONENT DTLS SHALL 
  6105. BE PROVIDED FOR EACH TRUSTED NETWORK COMPONENT,  I.E.,  EACH 
  6106. COMPONENT CONTAINING AN NTCB PARTITION.  EACH COMPONENT DTLS 
  6107. SHALL DESCRIBE THE INTERFACE TO THE NTCB  PARTITION  OF  ITS 
  6108. COMPONENT. APPENDIX A ADDRESSES COMPONENT EVALUATION ISSUES. 
  6109.  
  6110.      As stated in the introduction to Division B, the  spon- 
  6111. sor  must  demonstrate  that  the NTCB employs the reference 
  6112. monitor concept.  The security policy model must be a  model 
  6113. for a reference monitor. 
  6114.  
  6115.      The security policy model for each partition implement- 
  6116. ing  a  reference  monitor  shall fully represent the access 
  6117. control policy supported by  the  partition,  including  the 
  6118. discretionary  and  mandatory  security  policy  for secrecy 
  6119. and/or integrity.  For the mandatory policy the single domi- 
  6120. nance  relation  for  sensitivity  labels, including secrecy 
  6121. and/or integrity components, shall be precisely defined. 
  6122.  
  6123. +  Rationale 
  6124.  
  6125.      The interpretation is a  straightforward  extension  of 
  6126. the  requirement  into  the  context  of a network system as 
  6127. defined for this network interpretation.   Other  documenta- 
  6128. tion,  such  as description of components and description of 
  6129. operating environment(s) in which the  networking  subsystem 
  6130. or network system is designed to function, is required else- 
  6131. where, e.g., in the Trusted Facility Manual. 
  6132.  
  6133.      In order to be evaluated,  a  network  must  possess  a 
  6134. coherent  Network Security Architecture and Design.  (Inter- 
  6135. connection of components that do not adhere to such a single 
  6136. coherent  Network  Security Architecture is addressed in the 
  6137. Interconnection of Accredited AIS, Appendix C.)  The Network 
  6138. Security  Architecture  must  address  the security-relevant 
  6139. policies, objectives, and protocols.  The  Network  Security 
  6140. Design  specifies  the  interfaces and services that must be 
  6141. incorporated into the network so that it can be evaluated as 
  6142. a  trusted  entity.  There may be multiple designs that con- 
  6143. form to the same architecture but are more or less  incompa- 
  6144. tible and non-interoperable (except through the Interconnec- 
  6145. tion Rules).  Security related mechanisms requiring coopera- 
  6146. tion  among  components are specified in the design in terms 
  6147. of their visible interfaces; mechanisms  having  no  visible 
  6148. interfaces  are  not specified in this document but are left 
  6149. as implementation decisions. 
  6150.  
  6151.      The Network Security Architecture and  Design  must  be 
  6152. available  from the network sponsor before evaluation of the 
  6153. network, or any component, can be undertaken.   The  Network 
  6154. Security  Architecture  and Design must be sufficiently com- 
  6155. plete, unambiguous, and free from obvious  flaws  to  permit 
  6156. the  construction  or assembly of a trusted network based on 
  6157. the structure it specifies. 
  6158.  
  6159.      When a component is being  designed  or  presented  for 
  6160. evaluation,  or  when a network assembled from components is 
  6161. assembled or presented  for  evaluation,  there  must  be  a 
  6162. priori  evidence  that the Network security Architecture and 
  6163. Design are satisfied.  That is, the components can be assem- 
  6164. bled into a network that conforms in every way with the Net- 
  6165. work Security Architecture and Design to produce a  physical 
  6166. realization  that  is trusted to the extent that its evalua- 
  6167. tion indicates. 
  6168.  
  6169.      In order for a trusted network to be  constructed  from 
  6170. components  that  can  be  built  independently, the Network 
  6171. Security Architecture and Design must completely and unambi- 
  6172. guously  define  the security functionality of components as 
  6173. well as the interfaces between  or  among  components.   The 
  6174. Network  Security  Architecture and Design must be evaluated 
  6175. to determine that a network constructed  to  its  specifica- 
  6176. tions  will in fact be trusted, that is, it will be evaluat- 
  6177. able under these interpretations. 
  6178.  
  6179.  
  6180.      The term "model" is used in several different ways in a 
  6181. network context, e.g., a "protocol reference model," a "for- 
  6182. mal network model," etc. Only the "security policy model" is 
  6183. addressed  by  this requirement and is specifically intended 
  6184. to model the interface, viz., "security perimeter,"  of  the 
  6185. reference monitor and must meet all the requirements defined 
  6186. in the TCSEC.  It must be shown that all parts  of  the  TCB 
  6187. are  a  valid  interpretation  of the security policy model, 
  6188. i.e., that there is no change to the secure state except  as 
  6189. represented by the model. 
  6190.  
  6191.              3.3  CLASS (B3):  SECURITY DOMAINS 
  6192.              _ _  _____  __    ________ _______ 
  6193.  
  6194.  
  6195.      THE CLASS (B3) NTCB  MUST  SATISFY  THE  REFERENCE 
  6196.      MONITOR  REQUIREMENTS THAT IT MEDIATE ALL ACCESSES 
  6197.      OF SUBJECTS TO OBJECTS,  BE  TAMPERPROOF,  AND  BE 
  6198.      SMALL  ENOUGH  TO  BE  SUBJECTED  TO  ANALYSIS AND 
  6199.      TESTS.  TO THIS END, THE  NTCB  IS  STRUCTURED  TO 
  6200.      EXCLUDE  CODE  NOT  ESSENTIAL  TO  SECURITY POLICY 
  6201.      ENFORCEMENT, WITH SIGNIFICANT  SYSTEM  ENGINEERING 
  6202.      DURING  NTCB  DESIGN  AND  IMPLEMENTATION DIRECTED 
  6203.      TOWARD  MINIMIZING  ITS  COMPLEXITY.   A  SECURITY 
  6204.      ADMINISTRATOR  IS  SUPPORTED, AUDIT MECHANISMS ARE 
  6205.      EXPANDED TO SIGNAL SECURITY-RELEVANT  EVENTS,  AND 
  6206.      SYSTEM RECOVERY PROCEDURES ARE REQUIRED.  THE SYS- 
  6207.      TEM IS HIGHLY RESISTANT TO PENETRATION.  THE  FOL- 
  6208.      LOWING   ARE   MINIMAL  REQUIREMENTS  FOR  SYSTEMS 
  6209.      ASSIGNED A CLASS (B3) RATING: 
  6210.  
  6211.  
  6212. 3.3.1 Security Policy 
  6213. _ _ _ ________ ______ 
  6214.  
  6215. + Statement from DoD 5200.28-STD 
  6216.  
  6217. Implied from the Introduction to the TCSEC. 
  6218.  
  6219.  
  6220. + Interpretation 
  6221.  
  6222.      The network sponsor shall describe the overall  network 
  6223. security  policy  enforced  by  the NTCB. At a minimum, this 
  6224. policy  shall  include  the  discretionary   and   mandatory 
  6225. requirements  applicable  to  this  class.   The  policy may 
  6226. require data secrecy, or data integrity, or both.  The  pol- 
  6227. icy  is  an  access  control  policy having two primary com- 
  6228. ponents:  mandatory  and  discretionary.  The  policy  shall 
  6229. include  a  discretionary policy for protecting the informa- 
  6230. tion being processed based on the authorizations of  indivi- 
  6231. duals,  users, or groups of users.  This access control pol- 
  6232. icy statement shall describe the requirements on the network 
  6233. to  prevent  or  detect  "reading  or  destroying" sensitive 
  6234. information by unauthorized users or errors.  The  mandatory 
  6235. policy  must  define  the set of distinct sensitivity levels 
  6236. that it supports.  For the Class B1 or above  the  mandatory 
  6237. policy  shall  be  based  on  the labels associated with the 
  6238. information that reflects its sensitivity  with  respect  to 
  6239. secrecy and/or integrity, where applicable, and labels asso- 
  6240. ciated with users to reflect their authorization  to  access 
  6241. such  information.   Unauthorized  users  include both those 
  6242. that are not authorized to use the network at all  (e.g.,  a 
  6243. user  attempting  to  use a passive or active wire tap) or a 
  6244. legitimate user of the network  who  is  not  authorized  to 
  6245. access a specific piece of information being protected. 
  6246.  
  6247.      Note that "users" does not include "operators," "system 
  6248. programmers," "technical control officers," "system security 
  6249. officers," and other system  support  personnel.   They  are 
  6250. distinct  from users and are subject to the Trusted Facility 
  6251. Manual and the System Architecture requirements.  Such indi- 
  6252. viduals may change the system parameters of the network sys- 
  6253. tem, for example, by defining membership of a group.   These 
  6254. individuals may also have the separate role of users. 
  6255.  
  6256.  
  6257.         SECRECY POLICY: The network sponsor shall define the 
  6258.         form  of  the  discretionary  and mandatory  secrecy 
  6259.         policy that is enforced in the  network  to  prevent 
  6260.         unauthorized users from reading the sensitive infor- 
  6261.         mation entrusted to the network. 
  6262.  
  6263.  
  6264.         DATA INTEGRITY POLICY:  The  network  sponsor  shall 
  6265.         define  the  discretionary  and mandatory  integrity 
  6266.         policy to prevent unauthorized users from modifying, 
  6267.         viz.,  writing,  sensitive information.  The defini- 
  6268.         tion of data  integrity  presented  by  the  network 
  6269.         sponsor  refers to the requirement that the informa- 
  6270.         tion has not been subjected to unauthorized  modifi- 
  6271.         cation  in the network. The mandatory integrity pol- 
  6272.         icy enforced by the NTCB cannot, in general, prevent 
  6273.         modification  while information is being transmitted 
  6274.         between components.  However,  an  integrity  sensi- 
  6275.         tivity  label  may  reflect  the confidence that the 
  6276.         information has not been subjected  to  transmission 
  6277.         errors  because  of  the  protection afforded during 
  6278.         transmission.  This requirement is distinct from the 
  6279.         requirement for label integrity. 
  6280.  
  6281. + Rationale 
  6282.  
  6283.      The word "sponsor" is used  in  place  of  alternatives 
  6284. (such   as   "vendor,"   "architect,"   "manufacturer,"  and 
  6285. "developer") because the alternatives  indicate  people  who 
  6286. may not be available, involved, or relevant at the time that 
  6287. a network system is proposed for evaluation. 
  6288.  
  6289.      A trusted network is able to control both  the  reading 
  6290. and  writing  of  shared  sensitive information.  Control of 
  6291. writing is used to protect against destruction  of  informa- 
  6292. tion. A network normally is expected to have policy require- 
  6293. ments to protect both  the  secrecy  and  integrity  of  the 
  6294. information  entrusted to it.  In a network the integrity is 
  6295. frequently as important or more important than  the  secrecy 
  6296. requirements.  Therefore the secrecy and/or integrity policy 
  6297. to be enforced by the network must be stated for  each  net- 
  6298. work  regardless of its evaluation class. The assurance that 
  6299. the policy  is  faithfully  enforced  is  reflected  in  the 
  6300. evaluation class of the network. 
  6301.  
  6302.      This control over modification  is  typically  used  to 
  6303. protect  information  so  that  it may be relied upon and to 
  6304. control the potential harm that would result if the informa- 
  6305. tion  were  corrupted.   The overall network policy require- 
  6306. ments for integrity includes the protection  for  data  both 
  6307. while  being  processed  in  a  component  and  while  being 
  6308. transmitted in  the  network.   The  access  control  policy 
  6309. enforced  by  the  NTCB relates to the access of subjects to 
  6310. objects within  each  component.   Communications  integrity 
  6311. addressed  within Part II relates to information while being 
  6312. transmitted. 
  6313.  
  6314.      The mandatory integrity policy (at class B1 and  above) 
  6315. in  some architectures may be useful in supporting the link- 
  6316. age between the connection oriented  abstraction  introduced 
  6317. in  the  Introduction  and  the individual components of the 
  6318. network.  For example, in  a  key  distribution  center  for 
  6319. end-to-end  encryption, a distinct integrity category may be 
  6320. assigned to isolate the key generation code  and  data  from 
  6321. possible  modification  by other supporting processes in the 
  6322. same component, such as operator interfaces and audit. 
  6323.  
  6324.      The mandatory integrity policy  for  some  architecture 
  6325. may  define an integrity sensitivity label that reflects the 
  6326. specific requirements for ensuring that information has  not 
  6327. been  subject  to  random errors in excess of a stated limit 
  6328. nor to unauthorized message  stream  modification  (MSM)  -. 
  6329. The specific metric associated with an integrity sensitivity 
  6330. label will generally reflect the  intended  applications  of 
  6331. the network. 
  6332.  
  6333.  
  6334. 3.3.1.1 Discretionary Access Control 
  6335.  
  6336. + Statement from DoD 5200.28-STD 
  6337.  
  6338. The TCB shall define and control access between named  users 
  6339. and named objects (e.g., files and programs) in the ADP sys- 
  6340. tem.  The enforcement mechanism (e.g., ACCESS CONTROL LISTS)  
  6341. shall  allow  users  to specify and control sharing of those 
  6342. OBJECTS and shall provide controls to limit  propagation  of  
  6343. access  rights.   The discretionary access control mechanism 
  6344. shall, either by explicit user action or by default, provide 
  6345. that  objects are protected from unauthorized access.  These 
  6346. access controls shall be capable  of  SPECIFYING,  FOR  EACH 
  6347. _________________________ 
  6348.   - See Voydock, Victor L. and Stephen T. Kent,  "Secu- 
  6349. rity  Mechanisms in High-Level Network Protocols," Com- 
  6350.                                                    ___ 
  6351. puting Surveys, Vol. 15, No.  2, June 1983, pp 135-171. 
  6352. ______ _______ 
  6353.  
  6354.  
  6355.  
  6356. NAMED OBJECT, A LIST OF NAMED  INDIVIDUALS  AND  A  LIST  OF 
  6357. GROUPS  OF  NAMED INDIVIDUALS WITH THEIR RESPECTIVE MODES OF 
  6358. ACCESS TO THAT OBJECT.  FURTHERMORE,  FOR  EACH  SUCH  NAMED 
  6359. OBJECT,  IT  SHALL  BE  POSSIBLE  TO SPECIFY A LIST OF NAMED 
  6360. INDIVIDUALS AND A LIST OF GROUPS OF  NAMED  INDIVIDUALS  FOR 
  6361. WHICH  NO  ACCESS TO THE OBJECT IS GIVEN.  Access permission 
  6362. to an object by users not already possessing access  permis- 
  6363. sion shall only be assigned by authorized users. 
  6364.  
  6365. +  Interpretation 
  6366.  
  6367.      The discretionary access control (DAC) mechanism(s) may 
  6368. be  distributed  over  the partitioned NTCB in various ways. 
  6369. Some part, all, or none of the DAC may be implemented  in  a 
  6370. given  component of the network system.  In particular, com- 
  6371. ponents that support only internal subjects (i.e., that have 
  6372. no  subjects acting as direct surrogates for users), such as 
  6373. a public network packet switch, might not implement the  DAC 
  6374. mechanism(s)  directly  (e.g.,  they are unlikely to contain 
  6375. access control lists). 
  6376.  
  6377.      Identification of users by groups may  be  achieved  in 
  6378. various  ways  in  the networking environment.  For example, 
  6379. the network identifiers (e.g., internet addresses) for vari- 
  6380. ous  components (e.g., hosts, gateways) can be used as iden- 
  6381. tifiers of groups of individual users (e.g., "all  users  at 
  6382. Host  A," "all users of network Q") so long as the individu- 
  6383. als involved in the group are implied by the group  identif- 
  6384. ier. For example, Host A might employ a particular group-id, 
  6385. for which it maintains a list  of  explicit  users  in  that 
  6386. group,  in  its  network exchange with Host B, which accepts 
  6387. the group-id under the conditions of this interpretation. 
  6388.  
  6389.      For networks, individual hosts will impose need-to-know 
  6390. controls over their users on the basis of named individuals 
  6391. - much like (in fact, probably the same) controls used  when 
  6392. there is no network connection. 
  6393.  
  6394.      When group identifiers are acceptable for  access  con- 
  6395. trol,  the identifier of some other host may be employed, to 
  6396. eliminate the maintenance that would be required if  indivi- 
  6397. dual  identification of remote users was employed.  In class 
  6398. C2 and higher, however, it must be possible from that  audit 
  6399. record  to  identify  (immediately  or  at  some later time) 
  6400. exactly the individuals represented by a group identifier at 
  6401. the time of the use of that identifier.  There is allowed to 
  6402. be an uncertainty because of elapsed time between changes in 
  6403. the  group membership and the enforcement in the access con- 
  6404. trol mechanisms. 
  6405.  
  6406.      The DAC mechanism of a NTCB  partition  may  be  imple- 
  6407. mented  at  the interface of the reference monitor or may be 
  6408. distributed in subjects that are part of  the  NTCB  in  the 
  6409. same  or  different component. The reference monitor manages 
  6410. all the physical resources  of  the  system  and  from  them 
  6411. creates the abstraction of subjects and objects that it con- 
  6412. trols. Some of these subjects and objects  may  be  used  to 
  6413. implement  a  part  of  the NTCB.  When the DAC mechanism is 
  6414. distributed in such NTCB subjects (i.e.,  when  outside  the 
  6415. reference  monitor),  the  assurance  requirements  (see the 
  6416. Assurance section) for the design and implementation of  the 
  6417. DAC  shall be those of class C2 for all networks of class C2 
  6418. or above. 
  6419.  
  6420.      When integrity is included as part of the network  dis- 
  6421. cretionary  security policy, the above interpretations shall 
  6422. be specifically applied to the controls  over  modification, 
  6423. viz,  the  write mode of access, within each component based 
  6424. on identified users or groups of users. 
  6425.  
  6426. +  Rationale 
  6427.  
  6428.      In this class, the supporting elements of  the  overall 
  6429. DAC  mechanism are required to isolate information (objects) 
  6430. that supports DAC so that it is subject to auditing require- 
  6431. ments  (see  the  System  Architecture section).  The use of 
  6432. network identifiers to identify groups of  individual  users 
  6433. could  be  implemented, for example, as an X.25 community of 
  6434. interest in the network protocol layer (layer  3).   In  all 
  6435. other  respects,  the supporting elements of the overall DAC 
  6436. mechanism are treated  exactly  as  untrusted  subjects  are 
  6437. treated  with respect to DAC in an ADP system, with the same 
  6438. result as noted in the interpretation. 
  6439.  
  6440.      A typical situation for DAC is that a surrogate process 
  6441. for a remote user will be created in some host for access to 
  6442. objects under the control of the NTCB partition within  that 
  6443. host.  The interpretation requires that a user identifier be 
  6444. assigned and maintained for each such process by  the  NTCB, 
  6445. so  that  access by a surrogate process is subject to essen- 
  6446. tially the same discretionary controls as access by  a  pro- 
  6447. cess  acting  on  behalf of a local user would be.  However, 
  6448. within this interpretation a range of  possible  interpreta- 
  6449. tions of the assigned user identification is permitted. 
  6450.  
  6451.      The most obvious situation  would  exist  if  a  global 
  6452. database of network users were to be made permanently avail- 
  6453. able on demand to every host, (i.e., a name server  existed) 
  6454. so that all user identifications were globally meaningful. 
  6455.  
  6456.      It is also acceptable, however, for  some  NTCB  parti- 
  6457. tions to maintain a database of locally-registered users for 
  6458. its own use.  In such a case, one could  choose  to  inhibit 
  6459. the creation of surrogate processes for locally unregistered 
  6460. users, or (if permitted by the local policy)  alternatively, 
  6461. to   permit   the   creation  of  surrogate  processes  with 
  6462. preselected user and group  identifiers  which,  in  effect, 
  6463. identify the process as executing on behalf of a member of a 
  6464. group of users on a particular remote host.  The  intent  of 
  6465. the  words concerning audit in the interpretation is to pro- 
  6466. vide a minimally acceptable degree of auditability for cases 
  6467. such  as the last described.  What is required is that there 
  6468. be a capability, using the audit facilities provided by  the 
  6469. network  NTCB  partitions  involved,  to  determine  who was 
  6470. logged in at the actual host of the group of remote users at 
  6471. the time the surrogate processing occured. 
  6472.  
  6473.      Associating the proper user id with a surrogate process 
  6474. is  the job of identification and authentication. This means 
  6475. that DAC is applied locally, with respect to the user id  of 
  6476. the  surrogate  process.   The transmission of the data back 
  6477. across the network to the user's host, and the creation of a 
  6478. copy of the data there, is not the business of DAC. 
  6479.  
  6480.      Components that support only internal  subjects  impact 
  6481. the implementation of the DAC by providing services by which 
  6482. information (e.g., a user-id) is made available  to  a  com- 
  6483. ponent  that makes a DAC decision.  An example of the latter 
  6484. would be the case that a user at Host A attempts to access a 
  6485. file  at  Host  B.   The  DAC decision might be (and usually 
  6486. would be) made at Host B on the basis of a user-id transmit- 
  6487. ted from Host A to Host B. 
  6488.  
  6489.      Unique user identification may be achieved by a variety 
  6490. of  mechanisms, including (a) a requirement for unique iden- 
  6491. tification and authentication on the host where access takes 
  6492. place;   (b)    recognition   of   fully  qualified  network 
  6493. addresses authenticated by another host and forwarded to the 
  6494. host where access takes place; or (c) administrative support 
  6495. of a network-wide unique personnel identifier that could  be 
  6496. authenticated and forwarded by another host as in (b) above, 
  6497. or could be authenticated and forwarded by a dedicated  net- 
  6498. work  identification  and authentication server.  The proto- 
  6499. cols which implement (b) or (c) are subject  to  the  System 
  6500. Architecture requirements. 
  6501.  
  6502.      Network support for DAC might be handled in other  ways 
  6503. than  that described as "typical" above. In particular, some 
  6504. form of centralized access control is  often  proposed.   An 
  6505. access  control center may make all decisions for DAC, or it 
  6506. may share the burden with the hosts by controlling  host-to- 
  6507. host  connections, and leaving the hosts to decide on access 
  6508. to their objects by users at a limited set of remote  hosts. 
  6509. In  this case the access control center provides the linkage 
  6510. between the connection oriented abstraction (as discussed in 
  6511. the  Introduction)  and  the overall network security policy 
  6512. for DAC.  In all cases the enforcement of the decision  must 
  6513. be provided by the host where the object resides. 
  6514.  
  6515.      There are two forms of distribution for the DAC mechan- 
  6516. ism:  implementing  portions  of  the  DAC  in separate com- 
  6517. ponents, and supporting the DAC in subjects contained within 
  6518. the  NTCB  partition in a component.  Since "the ADP system" 
  6519. is understood to be "the computer network" as a whole,  each 
  6520. network  component  is responsible for enforcing security in 
  6521. the mechanisms allocated to it to ensure secure  implementa- 
  6522. tion  of  the network security policy.  For traditional host 
  6523. systems it is frequently easy to also enforce the DAC  along 
  6524. with  the MAC within the reference monitor, per se, although 
  6525. a few approaches, such as virtual machine monitors,  support 
  6526. DAC outside this interface. 
  6527.  
  6528.      In contrast to the universally rigid structure of  man- 
  6529. datory  policies (see the Mandatory Access Control section), 
  6530. DAC policies tend to be very network  and  system  specific, 
  6531. with  features  that  reflect the natural use of the system. 
  6532. For networks it is common that individual hosts will  impose 
  6533. controls  over  their  local  users  on  the  basis of named 
  6534. individuals-much like the controls used  when  there  is  no 
  6535. network connection.  However, it is difficult to manage in a 
  6536. centralized manner all the individuals using  a  large  net- 
  6537. work.   Therefore, users on other hosts are commonly grouped 
  6538. together so that the controls required by  the  network  DAC 
  6539. policy  are  actually  based on the identity of the hosts or 
  6540. other components.  A gateway is an example of  such  a  com- 
  6541. ponent. 
  6542.  
  6543.      The assurance requirements are at the very heart of the 
  6544. concept  of  a  trusted  system.   It  is the assurance that 
  6545. determines if a system or network is appropriate for a given 
  6546. environment,  as reflected, for example, in the Environments 
  6547. Guideline-.  In the case of monolithic systems that have DAC 
  6548. integral  to  the  reference monitor, the assurance require- 
  6549. ments for DAC are inseparable from those of the rest of  the 
  6550. reference  monitor.   For networks there is typically a much 
  6551. clearer distinction due to distributed DAC.   The  rationale 
  6552. for making the distinction in this network interpretation is 
  6553. that if major trusted network components can be made  signi- 
  6554. ficantly easier to design and implement without reducing the 
  6555. ability to meet security policy, then trusted networks  will 
  6556. be more easily available. 
  6557.  
  6558.  
  6559. 3.3.1.2  Object Reuse 
  6560.  
  6561. + Statement from DoD 5200.28-STD 
  6562.  
  6563. All authorizations to the  information  contained  within  a 
  6564. storage object shall be revoked prior to initial assignment, 
  6565. allocation or reallocation to a subject from the TCB's  pool 
  6566. of   unused  storage  objects.   No  information,  including 
  6567. encrypted representations  of  information,  produced  by  a 
  6568. prior  subject's  actions  is to be available to any subject 
  6569. that obtains access to an object that has been released back 
  6570. to the system. 
  6571.  
  6572. +  Interpretation 
  6573.  
  6574.      The NTCB shall ensure that any storage objects that  it 
  6575. controls  (e.g., message buffers under the control of a NTCB 
  6576. _________________________ 
  6577.   - Guidance for Applying  the  Department  of  Defense 
  6578.     ________ ___ ________  ___  __________  __  _______ 
  6579. Trusted Computer System Evaluation Criteria in Specific 
  6580. _______ ________ ______ __________ ________ __ ________ 
  6581. Environments, CSC-STD-003-85. 
  6582. ____________ 
  6583.  
  6584.  
  6585. partition in a component) contain no information for which a 
  6586. subject  in that component is not authorized before granting 
  6587. access.  This requirement must be enforced by  each  of  the 
  6588. NTCB partitions. 
  6589.  
  6590. +  Rationale 
  6591.  
  6592.      In a network system, storage objects  of  interest  are 
  6593. things  that  the  NTCB  directly  controls, such as message 
  6594. buffers in components.  Each component of the network system 
  6595. must  enforce  the  object reuse requirement with respect to 
  6596. the storage objects of interest as determined by the network 
  6597. security  policy.   For example, the DAC requirement in this 
  6598. division leads to the requirement here that message  buffers 
  6599. be  under  the  control  of  the  NTCB  partition.  A buffer 
  6600. assigned to an internal subject may be reused at the discre- 
  6601. tion of that subject which is responsible for preserving the 
  6602. integrity of message streams.  Such controlled  objects  may 
  6603. be  implemented in physical resources, such as buffers, disk 
  6604. sectors, tape space, and main memory, in components such  as 
  6605. network switches. 
  6606.  
  6607.  
  6608.  
  6609. 3.3.1.3 Labels 
  6610.  
  6611. + Statement from DoD 5200.28-STD 
  6612.  
  6613. Sensitivity labels associated with each ADP system  resource 
  6614. (e.g.,  subject,  storage  object,  ROM) that is directly or 
  6615. indirectly accessible by subjects external to the TCB  shall 
  6616. be maintained by the TCB.  These labels shall be used as the 
  6617. basis for mandatory access control decisions.  In  order  to 
  6618. import  non-labeled  data, the TCB shall request and receive 
  6619. from an authorized user the sensitivity level of  the  data, 
  6620. and all such actions shall be auditable by the TCB. 
  6621.  
  6622. +  Interpretation 
  6623.  
  6624.      Non-labeled data imported under the control of the NTCB 
  6625. partition will be assigned a label constrained by the device 
  6626. labels of the single-level device used to import it.  Labels 
  6627. may  include secrecy and integrity- components in accordance 
  6628. with the overall network security policy  described  by  the 
  6629. network   sponsor.    Whenever  the  term  "label"  is  used 
  6630. throughout this interpretation, it is understood to  include 
  6631. both   components   as  applicable.   Similarly,  the  terms 
  6632. "single-level" and "multilevel" are understood to  be  based 
  6633. on  both the secrecy and integrity components of the policy. 
  6634. The mandatory integrity policy will typically have  require- 
  6635. ments,  such as the probability of undetected message stream 
  6636. modification, that will be reflected in the  label  for  the 
  6637. _________________________ 
  6638.   - See, for example, Biba, K.J., "Integrity Considera- 
  6639. tion  for Secure Computer Systems," ESD-TR-76-372, MTR- 
  6640. 3153, The MITRE Corporation, Bedford, MA, April 1977. 
  6641.  
  6642. data so protected.  For example, when data is  imported  its 
  6643. integrity label may be assigned based on mechanisms, such as 
  6644. cryptography, used to provide the assurance required by  the 
  6645. policy.   The NTCB shall assure that such mechanism are pro- 
  6646. tected from tampering and are always invoked when  they  are 
  6647. the basis for a label. 
  6648.  
  6649.  
  6650.      If the security policy includes  an  integrity  policy, 
  6651. all  activities  that  result in message-stream modification 
  6652. during transmission are regarded as unauthorized accesses in 
  6653. violation  of  the integrity policy.  The NTCB shall have an 
  6654. automated capability for testing, detecting,  and  reporting 
  6655. those   errors/corruptions  that  exceed  specified  network 
  6656. integrity policy requirements.  Message-stream  modification 
  6657. (MSM)  countermeasures shall be identified.  A technology of 
  6658. adequate strength shall  be  selected  to  resist  MSM.   If 
  6659. encryption   methodologies   are  employed,  they  shall  be 
  6660. approved by the National Security Agency. 
  6661.  
  6662.      All objects must be labeled within  each  component  of 
  6663. the network that is trusted to maintain separation of multi- 
  6664. ple levels of information.  The label  associated  with  any 
  6665. objects  associated  with  single-level  components  will be 
  6666. identical to the level of that component.  Objects  used  to 
  6667. store  network control information, and other network struc- 
  6668. tures, such as routing tables, must be  labeled  to  prevent 
  6669. unauthorized access and/or modification. 
  6670.  
  6671. + Rationale 
  6672.  
  6673.      The interpretation is an extension of  the  requirement 
  6674. into the context of a network system and partitioned NTCB as 
  6675. defined for these network interpretations.   A  single-level 
  6676. device  may  be regarded either as a subject or an object. A 
  6677. multilevel device is regarded as a trusted subject in  which 
  6678. the  security  range  of  the subject is the minimum-maximum 
  6679. range of the data expected to be transmitted over  the  dev- 
  6680. ice. 
  6681.  
  6682.      The sensitivity labels for either secrecy or  integrity 
  6683. or both may reflect non-hierarchical categories or hierarch- 
  6684. ical classification or both. 
  6685.  
  6686.      For a network it is necessary that this requirement  be 
  6687. applied  to  all  network system resources at the (B2) level 
  6688. and above. 
  6689.  
  6690.      The NTCB is responsible for  implementing  the  network 
  6691. integrity  policy,  when  one exists.  The NTCB must enforce 
  6692. that policy  by  ensuring  that  information  is  accurately 
  6693. transmitted  from  source  to destination (regardless of the 
  6694. number of intervening connecting points).  The NTCB must  be 
  6695. able  to  counter  equipment  failure, environmental disrup- 
  6696. tions, and actions by persons and processes  not  authorized 
  6697. to  alter  the  data.  Protocols that perform code or format 
  6698. conversion shall preserve the integrity of data and  control 
  6699. information. 
  6700.  
  6701.      The probability of an undetected transmission error may 
  6702. be  specified as part of the network security policy so that 
  6703. the acceptability of the network for its  intended  applica- 
  6704. tion  may  be determined. The specific metrics (e.g., proba- 
  6705. bility of undetected modification) satisfied by the data can 
  6706. be  reflected  in the integrity sensitivity label associated 
  6707. with the data while it is processed within a component.   It 
  6708. is  recognized  that  different applications and operational 
  6709. environments (e.g., crisis as  compared  to  logistic)  will 
  6710. have different integrity requirements. 
  6711.  
  6712.      The network shall also have an automated capability  of 
  6713. testing  for,  detecting, and reporting errors that exceed a 
  6714. threshold consistent with the operational mode requirements. 
  6715. The effectiveness of integrity countermeasures must be esta- 
  6716. blished with the same rigor as the  other  security-relevant 
  6717. properties such as secrecy. 
  6718.  
  6719.      Cryptography is often utilized as a  basis  to  provide 
  6720. data  integrity  assurance. Mechanisms, such as Manipulation 
  6721. Detection Codes (MDC)-, may be used.  The  adequacy  of  the 
  6722. encryption or MDC algorithm, the correctness of the protocol 
  6723. logic, and the adequacy  of  implementation  must  be  esta- 
  6724. blished in MSM countermeasures design. 
  6725.  
  6726.  
  6727.  
  6728. 3.3.1.3.1 Label Integrity 
  6729.  
  6730. + Statement from DoD 5200.28-STD 
  6731.  
  6732. Sensitivity labels shall  accurately  represent  sensitivity 
  6733. levels  of  the specific subjects or objects with which they 
  6734. are associated.   When  exported  by  the  TCB,  sensitivity 
  6735. labels  shall  accurately  and  unambiguously  represent the 
  6736. internal labels and shall be associated with the information 
  6737. being exported. 
  6738.  
  6739. +  Interpretation 
  6740.  
  6741.      The phrase "exported  by  the  TCB"  is  understood  to 
  6742. include  transmission  of  information from an object in one 
  6743. component to an object in  another  component.   Information 
  6744. transferred between NTCB partitions is addressed in the Sys- 
  6745. tem Integrity Section. The form  of  internal  and  external 
  6746. (exported)  sensitivity  labels  may differ, but the meaning 
  6747. shall be the same.  The NTCB shall, in addition, ensure that 
  6748. correct  association of sensitivity labels with the informa- 
  6749. tion being transported across the network is preserved. 
  6750.  
  6751.  
  6752. _________________________ 
  6753.   - See Jueneman, R. R., "Electronic Document Authenti- 
  6754. cation," IEEE Network Magazine, April 1987, pp 17-23. 
  6755.          ____ _______ ________ 
  6756.  
  6757.  
  6758.      As mentioned in the Trusted  Facility  Manual  Section, 
  6759. encryption  transforms  the representation of information so 
  6760. that  it  is  unintelligible   to   unauthorized   subjects. 
  6761. Reflecting this transformation, the sensitivity level of the 
  6762. ciphertext is generally lower than the cleartext.   It  fol- 
  6763. lows  that  cleartext  and  ciphertext are contained in dif- 
  6764. ferent objects, each possessing its own label.  The label of 
  6765. the  cleartext  must  be  preserved  and associated with the 
  6766. ciphertext so that it can be restored when the cleartext  is 
  6767. subsequently  obtained by decrypting the ciphertext.  If the 
  6768. cleartext is associated  with  a  single-level  device,  the 
  6769. label of that cleartext may be implicit.  The label may also 
  6770. be implicit in the key. 
  6771.  
  6772.      When information is exported to an environment where it 
  6773. is subject to deliberate or accidental modification, the TCB 
  6774. shall support the means, such as cryptographic checksums, to 
  6775. assure  the  accuracy of the labels.  When there is a manda- 
  6776. tory integrity policy, the policy will define the meaning of 
  6777. integrity labels. 
  6778.  
  6779. +  Rationale 
  6780.  
  6781.      Encryption algorithms and their implementation are out- 
  6782. side  the  scope  of these interpretations.  Such algorithms 
  6783. may be implemented in a separate device  or  may  be  incor- 
  6784. porated  in a subject of a larger component.  Without preju- 
  6785. dice, either implementation packaging is referred to  as  an 
  6786. encryption mechanism herein. If encryption methodologies are 
  6787. employed in this regard,  they  shall  be  approved  by  the 
  6788. National  Security  Agency (NSA).  The encryption process is 
  6789. part of the Network Trusted Computer Base partition  in  the 
  6790. components in which it is implemented. 
  6791.  
  6792.      The encryption mechanism  is  not  necessarily  a  mul- 
  6793. tilevel  device  or  multilevel  subject, as these terms are 
  6794. used in these criteria.  The process of encryption  is  mul- 
  6795. tilevel  by definition.  The cleartext and ciphertext inter- 
  6796. faces  carry  information  of  different  sensitivity.    An 
  6797. encryption  mechanism  does not process data in the sense of 
  6798. performing logical or arithmetic  operations  on  that  data 
  6799. with  the  intent  of producing new data.  The cleartext and 
  6800. ciphertext interfaces on the encryption  mechanism  must  be 
  6801. separately  identified  as being single-level or multilevel. 
  6802. If the interface is single-level, then  the  sensitivity  of 
  6803. the  data  is established by a trusted individual and impli- 
  6804. citly associated with  the  interface;  the  Exportation  to 
  6805. Single-Level Devices criterion applies. 
  6806.  
  6807.      If the interface is multilevel, then the data  must  be 
  6808. labeled;  the  Exportation  to  Multilevel Devices criterion 
  6809. applies. The network architect is free to select an  accept- 
  6810. able mechanism for associating a label with an object.  With 
  6811. reference to encrypted objects, the following  examples  are 
  6812. possible: 
  6813.  
  6814.  
  6815. 1.      Include a label field in the protocol definition  of 
  6816.         the object. 
  6817.  
  6818. 2.      Implicitly  associate  the  label  with  the  object 
  6819.         through the encryption key.  That is, the encryption 
  6820.         key uniquely identifies a sensitivity level.  A sin- 
  6821.         gle or private key must be protected at the level of 
  6822.         the data that it encrypts. 
  6823.  
  6824.  
  6825. 3.3.1.3.2 Exportation of Labeled Information 
  6826.  
  6827. + Statement from DoD 5200.28-STD 
  6828.  
  6829. The TCB shall designate each communication channel  and  I/O 
  6830. device  as either single-level or multilevel.  Any change in 
  6831. this designation shall be done manually and shall be  audit- 
  6832. able  by  the  TCB.   The  TCB shall maintain and be able to 
  6833. audit any change in the sensitivity level or levels  associ- 
  6834. ated with a communications channel or I/O device. 
  6835.  
  6836. +  Interpretation 
  6837.  
  6838.      Each communication channel and network component  shall 
  6839. be  designated  as  either  single-level or multilevel.  Any 
  6840. change in this designation shall be done with the cognizance 
  6841. and  approval  of  the  administrator or security officer in 
  6842. charge of the affected components and the  administrator  or 
  6843. security  officer  in charge of the NTCB.  This change shall 
  6844. be auditable by the network. The NTCB shall maintain and  be 
  6845. able  to  audit  any  change in the device labels associated 
  6846. with a single-level communication channel or the range asso- 
  6847. ciated with a multilevel communication channel or component. 
  6848. The NTCB shall also be able to audit any change in  the  set 
  6849. of  sensitivity levels associated with the information which 
  6850. can be transmitted over a multilevel  communication  channel 
  6851. or component. 
  6852.  
  6853. +  Rationale 
  6854.  
  6855.      Communication channels and components in a network  are 
  6856. analogous  to  communication  channels  and  I/O  devices in 
  6857. stand-alone systems.  They must be designated as either mul- 
  6858. tilevel  (i.e.,  able to distinguish and maintain separation 
  6859. among information of various sensitivity levels) or  single- 
  6860. level.   As  in  the TCSEC, single-level devices may only be 
  6861. attached to single-level channels. 
  6862.  
  6863.      The level or set of levels of information that  can  be 
  6864. sent  to  a  component or over a communication channel shall 
  6865. only change with the knowledge and approval of the  security 
  6866. officers  (or  system administrator, if there is no security 
  6867. officer) of the network, and  of  the  affected  components. 
  6868. This  requirement  ensures  that  no  significant  security- 
  6869. relevant changes  are  made  without  the  approval  of  all 
  6870. affected parties. 
  6871.  
  6872. 3.3.1.3.2.1 Exportation to Multilevel Devices 
  6873.  
  6874. + Statement from DoD 5200.28-STD 
  6875.  
  6876. When the TCB exports an object to a multilevel  I/O  device, 
  6877. the sensitivity label associated with that object shall also 
  6878. be exported and shall reside on the same physical medium  as 
  6879. the  exported  information  and  shall  be  in the same form 
  6880. (i.e., machine-readable or human-readable form).   When  the 
  6881. TCB  exports or imports an object over a multilevel communi- 
  6882. cations channel, the protocol used  on  that  channel  shall 
  6883. provide  for the unambiguous pairing between the sensitivity 
  6884. labels and  the  associated  information  that  is  sent  or 
  6885. received. 
  6886.  
  6887. +  Interpretation 
  6888.  
  6889.      The components, including hosts, of a network shall  be 
  6890. interconnected  over  "multilevel  communication  channels," 
  6891. multiple single-level communication channels, or both, when- 
  6892. ever  the information is to be protected at more than a sin- 
  6893. gle sensitivity level.  The  protocol  for  associating  the 
  6894. sensitivity label and the exported information shall provide 
  6895. the only information needed to correctly associate a  sensi- 
  6896. tivity  level with the exported information transferred over 
  6897. the multilevel channel between the NTCB partitions in  indi- 
  6898. vidual components. This protocol definition must specify the 
  6899. representation  and  semantics  of  the  sensitivity  labels 
  6900. (i.e.,  the  machine-readable  label must uniquely represent 
  6901. the sensitivity level). 
  6902.  
  6903.      The "unambiguous" association of the sensitivity  level 
  6904. with  the communicated information shall meet the same level 
  6905. of accuracy as that required for any other label within  the 
  6906. NTCB,  as  specified  in  the criterion for Label Integrity. 
  6907. This may be provided by protected and highly reliable direct 
  6908. physical  layer connections, or by traditional cryptographic 
  6909. link protection in which any errors during transmission  can 
  6910. be  readily  detected,  or by use of a separate channel. The 
  6911. range of information  imported  or  exported  must  be  con- 
  6912. strained by the associated device labels. 
  6913.  
  6914. +  Rationale 
  6915.  
  6916.      This  protocol  must  specify  the  representation  and 
  6917. semantics  of  the  sensitivity  labels.   See the Mandatory 
  6918. Access Control Policies section in  Appendix  B.   The  mul- 
  6919. tilevel  device  interface  to  (untrusted)  subjects may be 
  6920. implemented either by the interface of the  reference  moni- 
  6921. tor,  per  se,  or by a multilevel subject (e.g., a "trusted 
  6922. subject" as defined in the Bell-LaPadula  Model)  that  pro- 
  6923. vides  the  labels  based on the internal labels of the NTCB 
  6924. partition. 
  6925.  
  6926.      The current state of the art  limits  the  support  for 
  6927. mandatory  policy  that  is  practical  for secure networks. 
  6928. Reference monitor support to ensure the control over all the 
  6929. operations of each subject in the network must be completely 
  6930. provided within the single NTCB partition on which that sub- 
  6931. ject  interfaces  to  the  NTCB.  This means that the entire 
  6932. portion of the "secure  state"  represented  in  the  formal 
  6933. security  policy  model  that  may be changed by transitions 
  6934. invoked by this subject must be contained in the  same  com- 
  6935. ponent. 
  6936.  
  6937.      The secure state of an NTCB partition may  be  affected 
  6938. by events external to the component in which the NTCB parti- 
  6939. tion resides (e.g.,  arrival  of  a  message).   The  effect 
  6940. occurs  asynchronusly  after  being initiated by an event in 
  6941. another component or partition.  For example,  indeterminate 
  6942. delays  may occur between the initiation of a message in one 
  6943. component, the arrival of the message in the NTCB  partition 
  6944. in  another  component,  and the corresponding change to the 
  6945. secure state of the second component.  Since each  component 
  6946. is  executing  concurrently,  to  do otherwise would require 
  6947. some sort of network-wide control to synchronize state tran- 
  6948. sitions, such as a global network-wide clock for all proces- 
  6949. sors; in general, such designs are not practical  and  prob- 
  6950. ably not even desirable.  Therefore, the interaction between 
  6951. NTCB partitions is restricted to just communications between 
  6952. pairs  (at least logically) of devices-multilevel devices if 
  6953. the device(s) can send/receive data of more  than  a  single 
  6954. level.  For  broadcast channels the pairs are the sender and 
  6955. intended receiver(s).  However,  if  the  broadcast  channel 
  6956. carries multiple levels of information, additional mechanism 
  6957. (e.g., cryptochecksum maintained by the TCB) may be required 
  6958. to enforce separation and proper delivery. 
  6959.  
  6960.      A  common  representation  for  sensitivity  labels  is 
  6961. needed  in  the protocol used on that channel and understood 
  6962. by both the sender and receiver when two multilevel  devices 
  6963. (in  this  case,  in two different components) are intercon- 
  6964. nected. Each distinct sensitivity level of the overall  net- 
  6965. work policy must be represented uniquely in these labels. 
  6966.  
  6967.      Within a monolithic TCB, the  accuracy  of  the  sensi- 
  6968. tivity  labels  is  generally  assured by simple techniques, 
  6969. e.g., very reliable connections  over  very  short  physical 
  6970. connections,  such  as  on a single printed circuit board or 
  6971. over an internal bus.  In many network environments there is 
  6972. a  much  higher  probability  of accidentally or maliciously 
  6973. introduced errors, and these must be protected against. 
  6974.  
  6975.  
  6976. 3.3.1.3.2.2 Exportation to Single-Level Devices 
  6977.  
  6978. + Statement from DoD 5200.28-STD 
  6979.  
  6980. Single-level  I/O  devices  and  single-level  communication 
  6981. channels are not required to maintain the sensitivity labels 
  6982. of the information they process.   However,  the  TCB  shall 
  6983. include  a mechanism by which the TCB and an authorized user 
  6984. reliably communicate to  designate  the  single  sensitivity 
  6985. level  of  information imported or exported via single-level 
  6986. communication channels or I/O devices. 
  6987.  
  6988. +  Interpretation 
  6989.  
  6990.      Whenever one or both of  two  directly  connected  com- 
  6991. ponents  is not trusted to maintain the separation of infor- 
  6992. mation of different sensitivity levels, or whenever the  two 
  6993. directly connected components have only a single sensitivity 
  6994. level in common, the two components  of  the  network  shall 
  6995. communicate  over a single-level channel.  Single-level com- 
  6996. ponents and  single-level  communication  channels  are  not 
  6997. required  to maintain the sensitivity labels of the informa- 
  6998. tion they process. However, the NTCB shall include  a  reli- 
  6999. able  communication  mechanism  by  which  the  NTCB  and an 
  7000. authorized user (via a trusted path) or a subject within  an 
  7001. NTCB partition can designate the single sensitivity level of 
  7002. information imported or exported via single-level communica- 
  7003. tion  channels  or network components. The level of informa- 
  7004. tion communicated must equal the device level. 
  7005.  
  7006. + Rationale 
  7007.  
  7008.      Single-level communications channels  and  single-level 
  7009. components  in  networks are analogous to single level chan- 
  7010. nels and I/O devices in stand-alone systems in that they are 
  7011. not  trusted  to  maintain  the separation of information of 
  7012. different sensitivity levels.  The  labels  associated  with 
  7013. data transmitted over those channels and by those components 
  7014. are therefore implicit; the NTCB associates labels with  the 
  7015. data  because of the channel or component, not because of an 
  7016. explicit part of the bit stream.  Note that the  sensitivity 
  7017. level  of  encrypted information is the level of the cipher- 
  7018. text rather than the original level(s) of the plaintext. 
  7019.  
  7020.  
  7021. 3.3.1.3.2.3 Labeling Human-Readable Output 
  7022.  
  7023. + Statement from DoD 5200.28-STD 
  7024.  
  7025. The ADP system administrator shall be able  to  specify  the 
  7026. printable  label  names associated with exported sensitivity 
  7027. labels.  The TCB shall mark the beginning  and  end  of  all 
  7028. human-readable,  paged,  hardcopy output (e.g., line printer 
  7029. output) with human-readable sensitivity  labels  that  prop- 
  7030. erly1  represent  the  sensitivity  of  the output.  The TCB 
  7031. shall, by default, mark the top and bottom of each  page  of 
  7032. human-readable,  paged,  hardcopy output (e.g., line printer 
  7033. output) with human-readable sensitivity  labels  that  prop- 
  7034. erly1 represent the sensitivity of the page.  The TCB shall, 
  7035. by default and in an appropriate manner, mark other forms of 
  7036. human  readable  output  (e.g.,  maps, graphics) with human- 
  7037. readable sensitivity labels  that  properly1  represent  the 
  7038. sensitivity  of  the output.  Any override of these markings 
  7039. defaults shall be auditable by the TCB. 
  7040. _________________________ 
  7041. 1 The hierarchical classification component  in  human- 
  7042. readable sensitivity labels shall be equal to the greatest
  7043. hierarchical classification of any of the information in the
  7044. output that the labels refer to; the non-hierarchical category
  7045. component shall include all of the non-hierarchical categories of
  7046. the information in the output the labels refer to, but no other
  7047. non-hierarchical categories. 
  7048.  
  7049. +  Interpretation 
  7050.  
  7051.      This criterion imposes no requirement  to  a  component 
  7052. that  produces  no human-readable output.  For those that do 
  7053. produce human-readable output, each sensitivity  level  that 
  7054. is  defined  to  the  network  shall  have a uniform meaning 
  7055. across all components.  The network administrator,  in  con- 
  7056. junction with any affected component administrator, shall be 
  7057. able to specify the human-readable label that is  associated 
  7058. with each defined sensitivity level. 
  7059.  
  7060. +  Rationale 
  7061.  
  7062.      The interpretation is a  straightforward  extension  of 
  7063. the  requirement  into  the  context of a network system and 
  7064. partitioned NTCB as defined for  these  network  interpreta- 
  7065. tions. 
  7066.  
  7067.  
  7068. 3.3.1.3.3 Subject Sensitivity Labels 
  7069.  
  7070. + Statement from DoD 5200.28-STD 
  7071.  
  7072. The TCB shall immediately notify a  terminal  user  of  each 
  7073. change  in  the  sensitivity level associated with that user 
  7074. during an interactive session.  A  terminal  user  shall  be 
  7075. able  to  query  the  TCB  as  desired  for a display of the 
  7076. subject's complete sensitivity label. 
  7077.  
  7078. + Interpretation 
  7079.  
  7080.      An NTCB partition shall immediately notify  a  terminal 
  7081. user  attached to its component of each change in the sensi- 
  7082. tivity level associated with that user. 
  7083.  
  7084. + Rationale 
  7085.  
  7086.      The local NTCB partition  must  ensure  that  the  user 
  7087. understands the sensitivity level of information sent to and 
  7088. from a terminal.  When a user has  a  surrogate  process  in 
  7089. another  component,  adjustments  to  its level may occur to 
  7090. maintain communication with the  user.   These  changes  may 
  7091. occur  asynchronously.  Such adjustments are necessitated by 
  7092. mandatory access control as applied to the objects  involved 
  7093. in the communication path. 
  7094.  
  7095.  
  7096. 3.3.1.3.4  Device Labels 
  7097.  
  7098. + Statement from DoD 5200.28-STD 
  7099.  
  7100. The TCB shall support the assignment of minimum and  maximum 
  7101. sensitivity  levels to all attached physical devices.  These 
  7102. sensitivity levels shall be used by the TCB to enforce  con- 
  7103. straints  imposed  by the physical environments in which the 
  7104. devices are located. 
  7105.  
  7106. + Interpretation 
  7107.  
  7108.      This requirement applies as written to each NTCB parti- 
  7109. tion that is trusted to separate information based on sensi- 
  7110. tivity level.  Each I/O device in a component, used for com- 
  7111. munication with other network components, is assigned a dev- 
  7112. ice range, consisting of a set of labels with a maximum  and 
  7113. minimum.   (A  device  range  usually contains, but does not 
  7114. necessarily contain, all possible labels "between" the  max- 
  7115. imum and minimum, in the sense of dominating the minimum and 
  7116. being dominated by the maximum.) 
  7117.  
  7118.      The NTCB always provides an accurate label for informa- 
  7119. tion  exported  through  devices.   Information  exported or 
  7120. imported using a single-level device is labelled  implicitly 
  7121. by   the  sensitivity  level  of  the  device.   Information 
  7122. exported from one multilevel device and imported at  another 
  7123. must  be labelled through an agreed-upon protocol, unless it 
  7124. is labelled implicitly by using a  communication  link  that 
  7125. always carries a single level. 
  7126.  
  7127.      Information exported at a given sensitivity  level  can 
  7128. be  sent only to an importing device whose device range con- 
  7129. tains that level or a higher level.  If the importing device 
  7130. range  does  not contain the given level, the information is 
  7131. relabelled upon reception  at  a  higher  level  within  the 
  7132. importing device range.  Relabelling should not occur other- 
  7133. wise. 
  7134.  
  7135. + Rationale 
  7136.  
  7137.      The purpose of device labels is  to  reflect  and  con- 
  7138. strain  the sensitivity levels of information authorized for 
  7139. the physical environment in which the devices are located. 
  7140.  
  7141.      The information transfer  restrictions  permit  one-way 
  7142. communication (i.e., no acknowledgements) from one device to 
  7143. another whose ranges have no level in  common,  as  long  as 
  7144. each  level in the sending device range is dominated by some 
  7145. level in the receiving device range.  It is never  permitted 
  7146. to send information at a given level to a device whose range 
  7147. does not contain a dominating level.  (See  Appendix  C  for 
  7148. similar  interconnection  rules  for  the interconnected AIS 
  7149. view.) 
  7150.  
  7151.  
  7152. 3.3.1.4 Mandatory Access Control 
  7153.  
  7154. + Statement from DoD 5200.28-STD 
  7155.  
  7156. The TCB shall enforce a mandatory access control policy over 
  7157. all resources (i.e., subjects, storage objects, and I/O dev- 
  7158. ices) that are directly or indirectly accessible by subjects 
  7159. external  to  the  TCB.  These subjects and objects shall be 
  7160. assigned  sensitivity  labels  that  are  a  combination  of 
  7161. hierarchical   classification  levels  and  non-hierarchical 
  7162. categories, and the labels shall be used as  the  basis  for 
  7163. mandatory  access  control decisions.  The TCB shall be able 
  7164. to support two or more such sensitivity  levels.   (See  the 
  7165. Mandatory  Access  Control  interpretations.)  The following 
  7166. requirements shall hold for all accesses  between  all  sub- 
  7167. jects  external  to  the  TCB  and  all  objects directly or 
  7168. indirectly accessible by these subjects.     A  subject  can 
  7169. read  an  object  only if the hierarchical classification in 
  7170. the subject's sensitivity level is greater than or equal  to 
  7171. the  hierarchical classification of the object's sensitivity 
  7172. level and the non-hierarchical categories in  the  subject's 
  7173. sensitivity   level   include   all   the   non-hierarchical 
  7174. categories in the object's sensitivity level. A subject  can 
  7175. write  an  object only if the hierarchical classification in 
  7176. the subject's sensitivity level is less than or equal to the 
  7177. hierarchical  classification  of  the  object's  sensitivity 
  7178. level and the non-hierarchical categories in  the  subject's 
  7179. sensitivity  level  are  included  in  the  non-hierarchical 
  7180. categories in the object's sensitivity level. Identification 
  7181. and  authentication data shall be used by the TCB to authen- 
  7182. ticate the user's identity and to  ensure  that  the  sensi- 
  7183. tivity  level  and authorization of subjects external to the 
  7184. TCB that may be created to act on behalf of  the  individual 
  7185. user  are  dominated  by  the clearance and authorization of 
  7186. that user. 
  7187.  
  7188. +  Interpretation 
  7189.  
  7190.      Each partition of the NTCB exercises  mandatory  access 
  7191. control  policy  over  all  subjects and objects in its com- 
  7192. ponent. In a network, the responsibility of an  NTCB  parti- 
  7193. tion  encompasses  all mandatory access control functions in 
  7194. its component that would be required of a TCB  in  a  stand- 
  7195. alone  system.  In particular, subjects and objects used for 
  7196. communication with other components are under the control of 
  7197. the  NTCB  partition.   Mandatory  access  control  includes 
  7198. secrecy and integrity control to the extent that the network 
  7199. sponsor  has  described in the overall network security pol- 
  7200. icy. 
  7201.  
  7202.      Conceptual  entities  associated   with   communication 
  7203. between  two  components,  such as sessions, connections and 
  7204. virtual circuits, may be thought of as having two ends,  one 
  7205. in  each component, where each end is represented by a local 
  7206. object.  Communication is viewed as an operation that copies 
  7207. information  from  an  object  at one end of a communication 
  7208. path to an object at the other end.  Transient data-carrying 
  7209. entities,  such  as  datagrams  and packets, exist either as 
  7210. information within other objects, or as a pair  of  objects, 
  7211. one at each end of the communication path. 
  7212.  
  7213.      The requirement for "two or  more"  sensitivity  levels 
  7214. can  be  met  by  either  secrecy or integrity levels.  When 
  7215. there is a mandatory integrity policy, the  stated  require- 
  7216. ments for reading and writing are generalized to:  A subject 
  7217. can read an object only if the subject's  sensitivity  level 
  7218. dominates  the object's sensitivity level, and a subject can 
  7219. write an object only if the object's sensitivity level  dom- 
  7220. inates  the  subject's  sensitivity  level.   Based  on  the 
  7221. integrity policy, the network sponsor shall define the domi- 
  7222. nance  relation for the total label, for example, by combin- 
  7223. ing secrecy and integrity lattices. - 
  7224.  
  7225. + Rationale 
  7226.  
  7227.      An NTCB partition can maintain access control only over 
  7228. subjects  and  objects  in  its  component. At levels B2 and 
  7229. above, the NTCB partition must maintain access control  over 
  7230. all subjects and objects in its component.  Access by a sub- 
  7231. ject in one component to information contained in an  object 
  7232. in  another  component requires the creation of a subject in 
  7233. the remote component which acts as a surrogate for the first 
  7234. subject. 
  7235.  
  7236.      The mandatory access controls must be enforced  at  the 
  7237. interface  of the reference monitor (viz. the mechanism that 
  7238. controls physical processing resources) for each NTCB parti- 
  7239. tion.   This  mechanism  creates the abstraction of subjects 
  7240. and objects which it controls.  Some of these subjects  out- 
  7241. side  the  reference  monitor,  per se, may be designated to 
  7242. implement part of  an  NTCB  partition's  mandatory  policy, 
  7243. e.g.,  by using the ``trusted subjects" defined in the Bell- 
  7244. LaPadula model. 
  7245.  
  7246.      The prior requirements on exportation of labeled infor- 
  7247. mation  to  and  from  I/O  devices  ensure  the consistency 
  7248. between the sensitivity labels of  objects  connected  by  a 
  7249. communication  path.  As noted in the introduction, the net- 
  7250. work architecture must recognize  the  linkage  between  the 
  7251. overall mandatory network security policy and the connection 
  7252. oriented abstraction. For example, individual  data-carrying 
  7253. entities  such  as datagrams can have individual sensitivity 
  7254. labels that subject them to mandatory access control in each 
  7255. component.   The abstraction of a single-level connection is 
  7256. realized and enforced implicitly by an architecture while  a 
  7257. connection  is realized by single-level subjects that neces- 
  7258. sarily employ only datagrams of the same level. 
  7259.  
  7260.      The fundamental trusted systems technology permits  the 
  7261. DAC mechanism to be distributed, in contrast to the require- 
  7262. ments for  mandatory  access  control.   For  networks  this 
  7263. separation of MAC and DAC mechanisms is the rule rather than 
  7264. _________________________ 
  7265.   - See, for example, Grohn, M.  J., A Model of a  Pro- 
  7266.                                      _ _____ __ _  ___ 
  7267. tected  Data  Management  System, ESD-TR-76-289, I.  P. 
  7268. ______  ____  __________  ______ 
  7269. Sharp Assoc.  Ltd., June, 1976;  and  Denning,  D  .E., 
  7270. Lunt, T. F., Neumann, P. G., Schell, R. R., Heckman, M. 
  7271. and Shockley, W., Secure Distributed Data Views,  Secu- 
  7272.                   ______ ___________ ____ _____   ____ 
  7273. rity Policy and Interpretation for a Class A1 Multilev- 
  7274. ____ ______ ___ ______________ ___ _ _____ __ ________ 
  7275. el Secure Relational Database System,SRI International, 
  7276. __ ______ __________ ________ ______ 
  7277. November 1986. 
  7278.  
  7279. the exception. 
  7280.  
  7281.      The set of total sensitivity labels used  to  represent 
  7282. all  the sensitivity levels for the mandatory access control 
  7283. (combined data secrecy and  data  integrity)  policy  always 
  7284. forms  a partially ordered set.  Without loss of generality, 
  7285. this set of labels can always be extended to form a lattice, 
  7286. by   including  all  the  combinations  of  non-hierarchical 
  7287. categories.  As for any lattice,  a  dominance  relation  is 
  7288. always defined for the total sensitivity labels.  For admin- 
  7289. istrative reasons it may be helpful to have a maximum  level 
  7290. which dominates all others. 
  7291.  
  7292.  
  7293. 3.3.2 Accountability 
  7294. _ _ _ ______________ 
  7295.  
  7296.  
  7297. 3.3.2.1 Identification and Authentication 
  7298.  
  7299. + Statement from DoD 5200.28-STD 
  7300.  
  7301. The TCB shall require users to  identify  themselves  to  it 
  7302. before  beginning  to perform any other actions that the TCB 
  7303. is expected to mediate.  Furthermore, the TCB shall maintain 
  7304. authentication  data that includes information for verifying 
  7305. the identify of individual users (e.g., passwords)  as  well 
  7306. as  information for determining the clearance and authoriza- 
  7307. tions of individual users.  This data shall be used  by  the 
  7308. TCB  to  authenticate the user's identity and to ensure that 
  7309. the sensitivity level and authorization of subjects external 
  7310. to the TCB that may be created to act on behalf of the indi- 
  7311. vidual user are dominated by the clearance and authorization 
  7312. of  that  user. The TCB shall protect authentication data so 
  7313. that it cannot be accessed by any  unauthorized  user.   The 
  7314. TCB  shall  be  able to enforce individual accountability by 
  7315. providing the capability to uniquely identify  each  indivi- 
  7316. dual  ADP system user.  The TCB shall also provide the capa- 
  7317. bility of  associating  this  identity  with  all  auditable 
  7318. actions taken by that individual. 
  7319.  
  7320. +  Interpretation 
  7321.  
  7322.      The requirement for identification  and  authentication 
  7323. of users is the same for a network system as for an ADP sys- 
  7324. tem. The identification and authentication may  be  done  by 
  7325. the  component  to  which  the user is directly connected or 
  7326. some other component, such as an identification and  authen- 
  7327. tication  server.   Available  techniques,  such  as   those 
  7328. described  in  the  Password  Guideline=, are generally also 
  7329. applicable in the network context. However, in  cases  where 
  7330. the  NTCB is expected to mediate actions of a host (or other 
  7331. network component) that is acting on behalf  of  a  user  or 
  7332. group  of  users,  the  NTCB  may  employ identification and 
  7333. _________________________ 
  7334.   = Department of Defense  Password  Management  Guide- 
  7335.     __________ __ _______  ________  __________  _____ 
  7336. line, CSC-STD-002-85 
  7337. ____ 
  7338.  
  7339. authentication of the host (or other component) in  lieu  of 
  7340. identification  and authentication of an individual user, so 
  7341. long as the component identifier implies a list of  specific 
  7342. users uniquely associated with the identifier at the time of 
  7343. its use for authentication.  This requirement does not apply 
  7344. to internal subjects. 
  7345.  
  7346.      Authentication information, including the identity of a 
  7347. user  (once  authenticated) may be passed from one component 
  7348. to another without reauthentication, so  long  as  the  NTCB 
  7349. protects  (e.g.,  by  encryption) the information from unau- 
  7350. thorized disclosure and modification. This protection  shall 
  7351. provide  at  least a similar level of assurance (or strength 
  7352. of mechanism) as pertains to the protection of the authenti- 
  7353. cation mechanism and authentication data. 
  7354.  
  7355. +  Rationale 
  7356.  
  7357.      The need for accountability is not changed in the  con- 
  7358. text  of a network system.  The fact that the NTCB is parti- 
  7359. tioned over a set of components neither reduces the need nor 
  7360. imposes  new requirements.  That is, individual accountabil- 
  7361. ity is still the objective. Also, in the context of  a  net- 
  7362. work system at the (C2) level or higher  "individual accoun- 
  7363. tability" can be satisfied by identification of a  host  (or 
  7364. other component) so long as the requirement for traceability 
  7365. to individual users or a set of  specific  individual  users 
  7366. with active subjects is satisfied. There is allowed to be an 
  7367. uncertainty in traceability because of elapsed time  between 
  7368. changes  in  the group membership and the enforcement in the 
  7369. access control mechanisms.  In addition, there is no need in 
  7370. a  distributed processing system like a network to reauthen- 
  7371. ticate a user at each point in the network where  a  projec- 
  7372. tion  of  a user (via the subject operating on behalf of the 
  7373. user) into another remote subject takes place. 
  7374.  
  7375.      The passing of identifiers and/or authentication infor- 
  7376. mation from one component to another is usually done in sup- 
  7377. port to the implementation of the discretionary access  con- 
  7378. trol  (DAC).   This  support  relates  directly  to  the DAC 
  7379. regarding access by a user to a storage  object  in  a  dif- 
  7380. ferent  NTCB  partition  than  the  one  where  the user was 
  7381. authenticated. Employing a forwarded identification  implies 
  7382. additional  reliance  on the source and components along the 
  7383. path.  If the authenticated identification is  used  as  the 
  7384. basis  of  determining a sensitivity label for a subject, it 
  7385. must satisfy the Label Integrity criterion. 
  7386.  
  7387.      An  authenticated  identification  may   be   forwarded 
  7388. between  components  and employed in some component to iden- 
  7389. tify the sensitivity level associated with a subject created 
  7390. to act on behalf of the user so identified. 
  7391.  
  7392.  
  7393. 3.3.2.1.1 Trusted Path 
  7394.  
  7395. + Statement from DoD 5200.28-STD 
  7396.  
  7397. The TCB shall support a trusted communication  path  between 
  7398. itself and USERS FOR USE WHEN A POSITIVE TCB-TO-USER CONNEC- 
  7399. TION IS REQUIRED (E.G., LOGIN,  CHANGE  SUBJECT  SENSITIVITY 
  7400. LEVEL).    Communications  via  this  TRUSTED  path shall be     
  7401. ACTIVATED  exclusively by a USER OR THE  TCB  AND  SHALL  BE 
  7402. LOGICALLY AND UNMISTAKABLY DISTINGUISHABLE FROM OTHER PATHS. 
  7403.  
  7404.  
  7405. + Interpretation 
  7406.  
  7407.      A trusted path  is  supported  between  a  user  (i.e., 
  7408. human)  and the NTCB partition in the component to which the 
  7409. user is directly connected. 
  7410.  
  7411. + Rationale 
  7412.  
  7413.      When a user logs into a remote component, the  user  id 
  7414. is  transmitted  securely  between the local and remote NTCB 
  7415. partitions in accordance with the requirements in  Identifi- 
  7416. cation and Authentication. 
  7417.  
  7418.      Trusted Path is necessary in order to assure  that  the 
  7419. user  is  communicating with the NTCB and only the NTCB when 
  7420. security relevant activities are taking place (e.g., authen- 
  7421. ticate  user,  set current session sensitivity level).  How- 
  7422. ever, Trusted Path does not  address  communications  within 
  7423. the NTCB, only communications between the user and the NTCB. 
  7424. If, therefore, a component does not support any direct  user 
  7425. communication then the component need not contain mechanisms 
  7426. for assuring direct NTCB to user communications. 
  7427.  
  7428.      The requirement for trusted communication  between  one 
  7429. NTCB  partition  and  another NCTB partition is addressed in 
  7430. the System  Architecture  section.  These  requirements  are 
  7431. separate  and  distinct  from the user to NTCB communication 
  7432. requirement of a trusted path.  However, it is expected that 
  7433. this  trusted  communication  between one NTCB partition and 
  7434. another NTCB partition will be used in conjunction with  the 
  7435. trusted  path to implement trusted communication between the 
  7436. user and the remote NTCB partition. 
  7437.  
  7438.  
  7439. 3.3.2.2 Audit 
  7440.  
  7441. + Statement from DoD 5200.28-STD 
  7442.  
  7443. The TCB shall be able to create, maintain, and protect  from 
  7444. modification  or unauthorized access or destruction an audit 
  7445. trail of accesses to the objects  it  protects.   The  audit 
  7446. data shall be protected by the TCB so that read access to it 
  7447. is limited to those who are authorized for audit data.   The 
  7448. TCB  shall  be able to record the following types of events: 
  7449. use  of  identification   and   authentication   mechanisms, 
  7450. introduction  of  objects into a user's address space (e.g., 
  7451. file open, program initiation), deletion of objects, actions 
  7452. taken by computer operators and system administrators and/or 
  7453. system  security  officers,  and  other  security   relevant 
  7454. events.  The TCB shall also be able to audit any override of 
  7455. human-readable output markings.  For  each  recorded  event, 
  7456. the audit record shall identify: date and time of the event, 
  7457. user, type of event, and success or failure  of  the  event. 
  7458. For   identification/authentication  events  the  origin  of 
  7459. request (e.g., terminal ID) shall be included in  the  audit 
  7460. record.   For  events that introduce an object into a user's 
  7461. address space and  for  object  deletion  events  the  audit 
  7462. record shall include the name of the object and the object's 
  7463. sensitivity level. The ADP  system  administrator  shall  be 
  7464. able  to  selectively  audit  the actions of any one or more 
  7465. users based on individual identify and/or object sensitivity 
  7466. level.     The  TCB  shall  be  able to audit the identified 
  7467. events that may  be  used  in  the  exploitation  of  covert 
  7468. storage  channels.    THE TCB SHALL CONTAIN A MECHANISM THAT 
  7469. IS ABLE TO MONITOR THE OCCURRENCE OR ACCUMULATION  OF  SECU- 
  7470. RITY  AUDITABLE  EVENTS THAT MAY INDICATE AN IMMINENT VIOLA- 
  7471. TION OF SECURITY POLICY.  THIS MECHANISM SHALL  BE  ABLE  TO 
  7472. IMMEDIATELY  NOTIFY  THE  SECURITY ADMINISTRATOR WHEN THRES- 
  7473. HOLDS ARE EXCEEDED AND, IF THE OCCURRENCE OR ACCUMULATION OF 
  7474. THESE  SECURITY  RELEVANT EVENTS CONTINUES, THE SYSTEM SHALL 
  7475. TAKE THE LEAST DISRUPTIVE ACTION TO TERMINATE THE EVENT. 
  7476.  
  7477. +  Interpretation 
  7478.  
  7479.      This criterion applies  as  stated.  The  sponsor  must 
  7480. select  which  events are auditable.  If any such events are 
  7481. not distinguishable by the NTCB  alone  (for  example  those 
  7482. identified in Part II), the audit mechanism shall provide an 
  7483. interface, which  an  authorized  subject  can  invoke  with 
  7484. parameters  sufficient  to  produce  an audit record.  These 
  7485. audit records shall be distinguishable from  those  provided 
  7486. by  the  NTCB.   In  the context of a network system, "other 
  7487. security  relevant  events"  (depending  on  network  system 
  7488. architecture  and  network security policy) might be as fol- 
  7489. lows: 
  7490.  
  7491.  
  7492. 1.      Identification of each access  event  (e.g.,  estab- 
  7493.         lishing a connection or a connectionless association 
  7494.         between processes in two hosts of the  network)  and 
  7495.         its  principal parameters (e.g., host identifiers of 
  7496.         the two hosts involved in the access event and  user 
  7497.         identifier  or  host  identifier of the user or host 
  7498.         that is requesting the access event) 
  7499.  
  7500. 2.      Identification of the starting and ending  times  of 
  7501.         each  access  event  using local time or global syn- 
  7502.         chronized time 
  7503.  
  7504. 3.      Identification of security-relevant exceptional con- 
  7505.         ditions   (e.g.,   potential   violation   of   data 
  7506.         integrity, such  as  misrouted  datagrams)  detected 
  7507.         during the transactions between two hosts 
  7508.  
  7509. 4.      Utilization of cryptographic variables 
  7510.  
  7511. 5.      Changing the configuration of the network  (e.g.,  a 
  7512.         component leaving the network and rejoining) 
  7513.  
  7514.      In  addition,  identification  information  should   be 
  7515. included  in  appropriate audit trail records, as necessary, 
  7516. to allow association of all  related  (e.g.,  involving  the 
  7517. same  network event) audit trail records (e.g., at different 
  7518. hosts) with each other.  Furthermore,  a  component  of  the 
  7519. network  system  may  provide  the required audit capability 
  7520. (e.g., storage, retrieval, reduction,  analysis)  for  other 
  7521. components  that  do  not  internally  store  audit data but 
  7522. transmit the audit data to some designated  collection  com- 
  7523. ponent.   Provisions  shall  be  made to control the loss of 
  7524. audit data due to unavailability of resources. 
  7525.  
  7526.      In the context of a network system, the "user's address 
  7527. space"  is  extended,  for  object introduction and deletion 
  7528. events, to include address spaces being employed  on  behalf 
  7529. of  a  remote user (or host).  However, the focus remains on 
  7530. users in contrast to internal subjects as discussed  in  the 
  7531. DAC  criterion.   In  addition,  audit  information  must be 
  7532. stored in machine-readable form. 
  7533.  
  7534.      The capability  must  exist  to  audit  the  identified 
  7535. events  that  may  be  used  in  the  exploitation of covert 
  7536. storage channels.  To accomplish this, each  NTCB  partition 
  7537. must  be able to audit those events locally that may lead to 
  7538. the exploitation of a covert  storage  channel  which  exist 
  7539. because of the network. 
  7540.  
  7541.      THE  SPONSOR  SHALL  IDENTIFY  THE  SPECIFIC  AUDITABLE 
  7542. EVENTS  THAT  MAY INDICATE AN IMMINENT VIOLATION OF SECURITY 
  7543. POLICY.  THE COMPONENT WHICH DETECTS THE OCCURRENCE OR ACCU- 
  7544. MULATION  OF SUCH EVENTS MUST BE ABLE TO NOTIFY AN APPROPRI- 
  7545. ATE ADMINISTRATOR WHEN THRESHOLDS ARE EXCEEDED, AND TO  INI- 
  7546. TIATE  ACTIONS WHICH WILL RESULT IN TERMINATION OF THE EVENT 
  7547. IF THE ACCUMULATION CONTINUES.  FOR EXAMPLE, WHEN THE THRES- 
  7548. HOLD  OF UNSUCCESSFUL LOGIN ATTEMPTS WITHIN A PERIOD OF TIME 
  7549. IS EXCEEDED, LOGIN SHALL BE INHIBITED FOR  A  SPECIFIC  TIME 
  7550. PERIOD. 
  7551.  
  7552. +  Rationale 
  7553.  
  7554.      For remote users, the network identifiers (e.g., inter- 
  7555. net address) can be used as identifiers of groups of indivi- 
  7556. dual users (e.g., "all users at Host A")  to  eliminate  the 
  7557. maintenance that would be required if individual identifica- 
  7558. tion of remote users was employed.  In this class (C2), how- 
  7559. ever,  it  must  be  possible to identify (immediately or at 
  7560. some later time) the  individuals  represented  by  a  group 
  7561. identifier.   In all other respects, the interpretation is a 
  7562. straightforward extension of the criterion into the  context 
  7563. of  a  network  system.   Identification  of  covert channel 
  7564. events is addressed in the Covert Channel Analysis section. 
  7565.  
  7566.      BECAUSE OF CONCURRENCY AND SYNCHRONIZATION PROBLEMS, IT 
  7567. MAY  NOT BE POSSIBLE TO DETECT IN REAL TIME THE ACCUMULATION 
  7568. OF SECURITY AUDITABLE EVENTS THAT ARE OCCURRING IN DIFFERENT 
  7569. NTCB PARTITIONS.  HOWEVER, EACH NTCB PARTITION THAT HAS BEEN 
  7570. ALLOCATED AUDIT RESPONSIBILITY MUST HAVE THE  CAPABILITY  TO 
  7571. DETECT  THE LOCAL ACCUMULATION OF EVENTS, TO NOTIFY THE PAR- 
  7572. TITION SECURITY ADMINISTRATOR AND/OR  THE  NETWORK  SECURITY 
  7573. ADMINISTRATOR,  AND TO INITIATE ACTIONS WHICH WILL RESULT IN 
  7574. TERMINATION OF THE EVENT LOCALLY. 
  7575.  
  7576.  
  7577. 3.3.3 Assurance 
  7578. _ _ _ _________ 
  7579.  
  7580.  
  7581. 3.3.3.1 Operational Assurance 
  7582.  
  7583.  
  7584. 3.3.3.1.1 System Architecture 
  7585.  
  7586. + Statement from DoD 5200.28-STD 
  7587.  
  7588. The TCB shall maintain a domain for its own  execution  that 
  7589. protects  it  from external interference or tampering (e.g., 
  7590. by modification of its code or data  structures).   The  TCB 
  7591. shall  maintain  process  isolation through the provision of 
  7592. distinct address spaces under its control. The TCB shall  be 
  7593. internally  structured into well-defined largely independent 
  7594. modules.  It shall make effective use of available  hardware 
  7595. to separate those elements that are protection-critical from 
  7596. those that are not. The TCB modules shall be  designed  such 
  7597. that the principle of least privilege is enforced.  Features 
  7598. in hardware, such as segmentation, shall be used to  support 
  7599. logically  distinct storage objects with separate attributes 
  7600. (namely: readable, writable).  The user interface to the TCB 
  7601. shall  be  completely  defined  and  all elements of the TCB 
  7602. identified.   THE TCB SHALL BE DESIGNED  AND  STRUCTURED  TO 
  7603. USE  A  COMPLETE,  CONCEPTUALLY  SIMPLE PROTECTION MECHANISM 
  7604. WITH PRECISELY DEFINED SEMANTICS.  THIS MECHANISM SHALL PLAY 
  7605. A  CENTRAL ROLE IN ENFORCING THE INTERNAL STRUCTURING OF THE 
  7606. TCB AND THE SYSTEM.  THE TCB SHALL  INCORPORATE  SIGNIFICANT 
  7607. USE  OF  LAYERING, ABSTRACTION AND DATA HIDING.  SIGNIFICANT 
  7608. SYSTEM ENGINEERING SHALL BE DIRECTED TOWARD  MINIMIZING  THE 
  7609. COMPLEXITY  OF  THE  TCB  AND EXCLUDING FROM THE TCB MODULES 
  7610. THAT ARE NOT PROTECTION-CRITICAL. 
  7611.  
  7612. +  Interpretation 
  7613.  
  7614.      The system architecture criterion must be met individu- 
  7615. ally by all NTCB partitions.  Implementation of the require- 
  7616. ment that the NTCB maintain a domain for its  own  execution 
  7617. is  achieved by having each NTCB partition maintain a domain 
  7618. for its own execution. Since each component is itself a dis- 
  7619. tinct domain in the overall network system, this also satis- 
  7620. fies the requirement for process isolation through  distinct 
  7621. address  spaces  in  the  special case where a component has 
  7622. only a single subject. 
  7623.  
  7624.      The NTCB  must  be  internally  structured  into  well- 
  7625. defined  largely  independent  modules and meet the hardware 
  7626. requirements. This is satisfied by having each  NTCB  parti- 
  7627. tion so structured. The NTCB controls all network resources. 
  7628. These resources are the union of the sets of resources  over 
  7629. which  the  NTCB  partitions  have  control.   Code and data 
  7630. structures belonging to the  NTCB,  transferred  among  NTCB 
  7631. subjects  (i.e.,  subjects outside the reference monitor but 
  7632. inside the NTCB) belonging  to  different  NTCB  partitions, 
  7633. must  be  protected against external interference or tamper- 
  7634. ing.  For example,  a  cryptographic  checksum  or  physical 
  7635. means  may  be  employed to protect user authentication data 
  7636. exchanged between NTCB partitions. 
  7637.  
  7638.      Each NTCB partition must enforce the principle of least 
  7639. privilege within its component.  Additionally, the NTCB must 
  7640. be structured so that the principle of  least  privilege  is 
  7641. enforced in the system as a whole. 
  7642.  
  7643.      THE NTCB MUST BE DESIGNED AND STRUCTURED  ACCORDING  TO 
  7644. THE NETWORK SECURITY ARCHITECTURE TO USE A COMPLETE, CONCEP- 
  7645. TUALLY SIMPLE PROTECTION MECHANISM.  FURTHERMORE, EACH  NTCB 
  7646. PARTITION MUST ALSO BE SO DESIGNED AND STRUCTURED. 
  7647.  
  7648.      SIGNIFICANT  SYSTEM  ENGINEERING  SHOULD  BE   DIRECTED 
  7649. TOWARD MINIMIZING THE COMPLEXITY OF EACH NTCB PARTITION, AND 
  7650. OF THE NTCB.  CARE SHALL BE TAKEN TO  EXCLUDE  MODULES  (AND 
  7651. COMPONENTS) THAT ARE NOT PROTECTION-CRITICAL FROM THE NTCB. 
  7652.  
  7653.      IT IS RECOGNIZED THAT SOME  MODULES  AND/OR  COMPONENTS 
  7654. MAY  NEED  TO BE INCLUDED IN THE NTCB AND MUST MEET THE NTCB 
  7655. REQUIREMENTS EVEN THOUGH THEY MAY NOT APPEAR TO BE  DIRECTLY 
  7656. PROTECTION-CRITICAL.    THE   CORRECT   OPERATION  OF  THESE 
  7657. MODULES/COMPONENTS IS NECESSARY FOR THE CORRECT OPERATION OF 
  7658. THE  PROTECTION-CRITICAL  MODULES  AND COMPONENTS.  HOWEVER, 
  7659. THE NUMBER AND SIZE OF THESE  MODULES/COMPONENTS  SHOULD  BE 
  7660. KEPT TO A MINIMUM. 
  7661.  
  7662.      Each NTCB partition  provides  isolation  of  resources 
  7663. (within  its  component)  in  accord with the network system 
  7664. architecture and security policy so  that  "supporting  ele- 
  7665. ments"  (e.g., DAC and user identification) for the security 
  7666. mechanisms of the network system are  strengthened  compared 
  7667. to  C2,  from an assurance point of view, through the provi- 
  7668. sion of distinct address spaces under control of the NTCB. 
  7669.  
  7670.      As discussed in the Discretionary Access  Control  sec- 
  7671. tion,  the  DAC  mechanism of a NTCB partition may be imple- 
  7672. mented at the interface of the reference monitor or  may  be 
  7673. distributed  in  subjects  that  are part of the NTCB in the 
  7674. same or different component.  When distributed in NTCB  sub- 
  7675. jects  (i.e.,  when  outside  the  reference  monitor),  the 
  7676. assurance requirements for the design and implementation  of 
  7677. the DAC shall be those of class C2 for all networks of class 
  7678. C2 or above. 
  7679.  
  7680. +  Rationale 
  7681.  
  7682.  
  7683.      The  requirement  that  the  NTCB  be  structured  into 
  7684. modules  and  meet  the hardware requirements applies within 
  7685. the NTCB partitions in the various components. 
  7686.  
  7687.      The principle of least  privilege  requires  that  each 
  7688. user  or other individual with access to the system be given 
  7689. only those resources and  authorizations  required  for  the 
  7690. performance  of this job.  In order to enfore this principle 
  7691. in the system it must be enforced in  every  NTCB  partition 
  7692. that  supports  users  or  other  individuals.  For example, 
  7693. prohibiting access by administrators to objects outside  the 
  7694. NTCB partition (e.g., games) lessens the opportunity of dam- 
  7695. age by a Trojan Horse. 
  7696.  
  7697.      The requirement for the  protection  of  communications 
  7698. between NTCB partitions is specifically directed to subjects 
  7699. that are part of the NTCB partitions.  Any requirements  for 
  7700. such  protection  for the subjects that are outside the NTCB 
  7701. partitions  are  addressed  in  response  to  the  integrity 
  7702. requirements of the security policy. 
  7703.  
  7704.      THERE ARE CERTAIN PARTS OF A  NETWORK  (MODULES  AND/OR 
  7705. COMPONENTS)  THAT  MAY NOT APPEAR TO BE DIRECTLY PROTECTION- 
  7706. CRITICAL IN THAT THEY ARE NOT  INVOLVED  IN  ACCESS  CONTROL 
  7707. DECISIONS,  DO  NOT  DIRECTLY AUDIT, AND ARE NOT INVOLVED IN 
  7708. THE  IDENTIFICATION/AUTHENTICATION  PROCESS.   HOWEVER,  THE 
  7709. SECURITY OF THE NETWORK MUST DEPEND ON THE CORRECT OPERATION 
  7710. OF THESE MODULES AND/OR COMPONENTS.  AN EXAMPLE OF THIS IS A 
  7711. SINGLE LEVEL PACKET SWITCH.  ALTHOUGH IT MAY NOT NORMALLY BE 
  7712. INVOLVED DIRECTLY IN ENFORCING  THE  DISCRETIONARY  SECURITY 
  7713. POLICY, THIS SWITCH MAY BE TRUSTED NOT TO MIX DATA FROM DIF- 
  7714. FERENT MESSAGE STREAMS.  IF  THE  SWITCH  DOES  NOT  OPERATE 
  7715. CORRECTLY,  DATA  COULD  GET  MIXED, AND UNAUTHORIZED ACCESS 
  7716. COULD RESULT.  THEREFORE, THESE MODULES/COMPONENTS  MUST  BE 
  7717. INCLUDED  IN  THE  NTCB  AND MUST MEET THE NTCB REQUIREMENTS 
  7718. APPLICABLE TO THE  POLICY  ELEMENT(S)  FOR  WHICH  THEY  ARE 
  7719. RESPONSIBLE. 
  7720.  
  7721.  
  7722. 3.3.3.1.2 System Integrity 
  7723.  
  7724. + Statement from DoD 5200.28-STD 
  7725.  
  7726. Hardware and/or software features shall be provided that can 
  7727. be  used  to  periodically validate the correct operation of 
  7728. the on-site hardware and firmware elements of the TCB. 
  7729.  
  7730. +  Interpretation 
  7731.  
  7732.      Implementation of the requirement is partly achieved by 
  7733. having hardware and/or software features that can be used to 
  7734. periodically validate the correct operation of the  hardware 
  7735. and  firmware  elements  of each component's NTCB partition. 
  7736. Features shall also be provided to validate the identity and 
  7737. correct  operation of a component prior to its incorporation 
  7738. in the network system and throughout system operation.   For 
  7739. example,  a protocol could be designed that enables the com- 
  7740. ponents of the partitioned NTCB to exchange messages period- 
  7741. ically  and validate each other's correct response. The pro- 
  7742. tocol shall be able to determine the remote entity's ability 
  7743. to  respond. NTCB partitions shall provide the capability to 
  7744. report to  network  administrative  personnel  the  failures 
  7745. detected in other NTCB partitions. 
  7746.  
  7747.      Intercomponent  protocols  implemented  within  a  NTCB 
  7748. shall be designed in such a way as to provide correct opera- 
  7749. tion in the case of failures of  network  communications  or 
  7750. individual components.  The allocation of mandatory and dis- 
  7751. cretionary access control policy in a  network  may  require 
  7752. communication  between trusted subjects that are part of the 
  7753. NTCB partitions in different components.  This communication 
  7754. is normally implemented with a protocol between the subjects 
  7755. as peer entities.  Incorrect access within a component shall 
  7756. not  result from failure of an NTCB partition to communicate 
  7757. with other components. 
  7758.  
  7759. + Rationale 
  7760.  
  7761.      The  first  paragraph  of  the  interpretation   is   a 
  7762. straightforward  extension  of the requirement into the con- 
  7763. text of a network system and partitioned NTCB as defined for 
  7764. these network criteria. 
  7765.  
  7766.      NTCB protocols should be robust  enough  so  that  they 
  7767. permit the system to operate correctly in the case of local- 
  7768. ized failure. The purpose of this protection is to  preserve 
  7769. the integrity of the NTCB itself.  It is not unusual for one 
  7770. or more components in a network to  be  inoperative  at  any 
  7771. time,  so  it  is  important to minimize the effects of such 
  7772. failures on the rest of the  network.  Additional  integrity 
  7773. and denial of service issues are addressed in Part II. 
  7774.  
  7775.      IT SHOULD BE CLEAR THAT SOME INTEGRITY  AND  DENIAL  OF 
  7776. SERVICE FEATURES CAN RESIDE OUTSIDE THE NTCB.  OTHERWISE ALL 
  7777. SOFTWARE IN A NETWORK WOULD BE IN THE NTCB.  EVERY PIECE  OF 
  7778. SOFTWARE  THAT  HAS  AN OPPORTUNITY TO WRITE TO SOME DATA OR 
  7779. PROTOCOL FIELD IS "TRUSTED" TO  PRESERVE  INTEGRITY  OR  NOT 
  7780. CAUSE  DENIAL OF SERVICE TO SOME EXTENT.  FOR EXAMPLE, IT IS 
  7781. NECESSARY TO "TRUST"  TELNET  TO  CORRECTLY  TRANSLATE  USER 
  7782. DATA,  AND  TO EVENTUALLY TRANSMIT PACKETS.  FTP ALSO HAS TO 
  7783. BE "TRUSTED" TO NOT INAPPROPRIATELY  MODIFY  FILES,  AND  TO 
  7784. ATTEMPT  TO COMPLETE THE FILE TRANSFER.  THESE PROTOCOLS CAN 
  7785. BE DESIGNED, HOWEVER TO EXIST OUTSIDE THE NTCB (FROM A  PRO- 
  7786. TECTION  PERSPECTIVE).   IT IS BENEFICIAL TO DO THIS TYPE OF 
  7787. SECURITY ENGINEERING SO THAT THE AMOUNT OF CODE THAT MUST BE 
  7788. TRUSTED  TO  NOT DISCLOSE DATA IS MINIMIZED.  PUTTING EVERY- 
  7789. THING INSIDE THE NTCB CONTRADICTS THE REQUIREMENT TO PERFORM 
  7790. "SIGNIFICANT  SYSTEM  ENGINEERING  ...   DIRECTED TOWARD ... 
  7791. EXCLUDING FROM THE TCB MODULES THAT ARE NOT PROTECTION CRIT- 
  7792. ICAL,"  WHICH  REMOVES THE PRIMARY DIFFERENCE BETWEEN B2 AND 
  7793. B3.  IF EVERYTHING HAS TO BE  IN  THE  TCB  TO  ENSURE  DATA 
  7794. INTEGRITY  AND  PROTECTION  AGAINST DENIAL OF SERVICE, THERE 
  7795. WILL BE CONSIDERABLY LESS ASSURANCE THAT DISCLOSURE  PROTEC- 
  7796. TION IS MAXIMIZED. 
  7797.  
  7798.  
  7799.  
  7800. 3.3.3.1.3 Covert Channel Analysis 
  7801.  
  7802. + Statement from DoD 5200.28-STD 
  7803.  
  7804. The system developer shall conduct  a  thorough  search  for 
  7805. COVERT  CHANNELS  and make a determination (either by actual 
  7806. measurement or by engineering  estimation)  of  the  maximum 
  7807. bandwidth of each identified channel.  (See the Covert Chan- 
  7808. nels Guideline section.) 
  7809.  
  7810. + Interpretation 
  7811.  
  7812.      The requirement, including  the  TCSEC  Covert  Channel 
  7813. Guideline,  applies  as  written.   In  a network, there are 
  7814. additional instances of covert channels associated with com- 
  7815. munication between components. 
  7816.  
  7817. + Rationale 
  7818.  
  7819.      The exploitation of network protocol information (e.g., 
  7820. headers) can result in covert storage channels. EXPLOITATION 
  7821. OF FREQUENCY OF TRANSMISSION CAN  RESULT  IN  COVERT  TIMING 
  7822. CHANNELS.  The topic has been addressed in the literature.- 
  7823.  
  7824.  
  7825.  
  7826. 3.3.3.1.4  Trusted Facility Management 
  7827.  
  7828. + Statement from DoD 5200.28-STD 
  7829.  
  7830. The TCB shall support separate  operator  and  administrator 
  7831. functions.   THE  FUNCTIONS PERFORMED IN THE ROLE OF A SECU- 
  7832. RITY ADMINISTRATOR SHALL  BE  IDENTIFIED.   THE  ADP  SYSTEM 
  7833. ADMINISTRATIVE PERSONNEL SHALL ONLY BE ABLE TO PERFORM SECU- 
  7834. RITY ADMINISTRATOR FUNCTIONS AFTER TAKING A DISTINCT  AUDIT- 
  7835. ABLE ACTION TO ASSUME THE SECURITY ADMINISTRATOR ROLE ON THE 
  7836. ADP SYSTEM.  NON-SECURITY FUNCTIONS THAT CAN BE PERFORMED IN 
  7837. THE  SECURITY  ADMINISTRATION ROLE SHALL BE LIMITED STRICTLY 
  7838. TO THOSE ESSENTIAL TO PERFORMING THE  SECURITY  ROLE  EFFEC- 
  7839. TIVELY. 
  7840.  
  7841. _________________________ 
  7842.   - See, for example, Girling, C. G., "Covert  Channels 
  7843. in  LAN's,"  IEEE Transactions on Software Engineering, 
  7844.              ____ ____________ __ ________ ___________ 
  7845. Vol. SE-13, No. 2, February 1987; and Padlipsky, M. A., 
  7846. Snow,  D. P., and Karger, P. A., Limitations of End-to- 
  7847.                                  ___________ __ ___ __ 
  7848. End  Encryption  in  Secure  Computer  Networks,  MITRE 
  7849. ___  __________  __  ______  ________  ________ 
  7850. Technical  Report,  MTR-3592,  Vol. I, May 1978 (ESD TR 
  7851. 78-158, DTIC AD A059221). 
  7852.  
  7853.  
  7854.  
  7855. + Interpretation 
  7856.  
  7857.      This requirement applies as written to both the network 
  7858. as  a  whole and to individual components which support such 
  7859. personnel. 
  7860.  
  7861. + Rationale 
  7862.  
  7863.      It is recognized that based  on  the  allocated  policy 
  7864. elements  some  components  may operate with no human inter- 
  7865. face. 
  7866.  
  7867.  
  7868.  
  7869. 3.3.3.1.5 Trusted Recovery 
  7870.  
  7871. + Statement from DoD 5200.28-STD 
  7872.  
  7873. PROCEDURES AND/OR MECHANISMS SHALL  BE  PROVIDED  TO  ASSURE 
  7874. THAT,  AFTER  AN  ADP SYSTEM FAILURE OR OTHER DISCONTINUITY, 
  7875. RECOVERY WITHOUT A PROTECTION COMPROMISE IS OBTAINED. 
  7876.  
  7877. + Interpretation 
  7878.  
  7879.      THE RECOVERY PROCESS MUST  BE  ACCOMPLISHED  WITHOUT  A 
  7880. PROTECTION  COMPROMISE  AFTER  THE  FAILURE OR OTHER DISCON- 
  7881. TINUITY OF ANY NTCB PARTITION.  IT MUST ALSO BE ACCOMPLISHED 
  7882. AFTER A FAILURE OF THE ENTIRE NTCB. 
  7883.  
  7884. + Rationale 
  7885.  
  7886.      THIS IS A STRAIGHT-FORWARD EXTENSION OF THE REQUIREMENT 
  7887. INTO  THE NETWORK CONTEXT, AND TAKES INTO ACCOUNT THAT IT IS 
  7888. POSSIBLE FOR PARTS OF THE SYSTEM TO FAIL WHILE  OTHER  PARTS 
  7889. CONTINUE  TO  OPERATE  NORMALLY.   THIS  MAY  BE A SECURITY- 
  7890. RELEVANT EVENT; IF SO IT MUST BE AUDITED. 
  7891.  
  7892.  
  7893. 3.3.3.2 Life-Cycle Assurance 
  7894.  
  7895.  
  7896. 3.3.3.2.1 Security Testing 
  7897.  
  7898. + Statement from DoD 5200.28-STD 
  7899.  
  7900. The security mechanisms of the ADP system  shall  be  tested 
  7901. and  found to work as claimed in the system documentation. A 
  7902. team of individuals who thoroughly understand  the  specific 
  7903. implementation  of the TCB shall subject its design documen- 
  7904. tation, source code, and object code to through analysis and 
  7905. testing.   Their  objectives shall be: to uncover all design 
  7906. and implementation flaws that would permit a subject  exter- 
  7907. nal  to  the  TCB  to  read, change, or delete data normally 
  7908. denied under the mandatory or discretionary security  policy 
  7909. enforced  by  the  TCB; as well as to assure that no subject 
  7910. (without authorization to do so) is able to cause the TCB to 
  7911. enter  a  state  such  that  it  is  unable  to  respond  to 
  7912. communications initiated by other users. The  TCB  shall  be 
  7913. FOUND  RESISTANT to penetration.  All discovered flaws shall  
  7914. be removed or neutralized and the  TCB  retested  to  demon- 
  7915. strate  that  they  have  been eliminated and that new flaws 
  7916. have not been introduced. Testing shall demonstrate that the 
  7917. TCB  implementation  is consistent with the descriptive top- 
  7918. level specification.  NO DESIGN FLAWS AND NO MORE THAN A FEW 
  7919. CORRECTABLE IMPLEMENTATION FLAWS MAY BE FOUND DURING TESTING 
  7920. AND THERE SHALL BE REASONABLE CONFIDENCE THAT FEW REMAIN. 
  7921. (See the Security Testing Guidelines.) 
  7922.  
  7923. +  Interpretation 
  7924.  
  7925.      Testing of a component  will  require  a  testbed  that 
  7926. exercises  the  interfaces  and  protocols  of the component 
  7927. including tests under exceptional conditions.   The  testing 
  7928. of  a  security  mechanism of the network system for meeting 
  7929. this criterion shall  be  an  integrated  testing  procedure 
  7930. involving  all  components containing an NTCB partition that 
  7931. implement the given mechanism. This  integrated  testing  is 
  7932. additional to any individual component tests involved in the 
  7933. evaluation of the network system.  The sponsor should  iden- 
  7934. tify the allowable set of configurations including the sizes 
  7935. of the networks.  Analysis or testing procedures  and  tools 
  7936. shall  be  available  to test the limits of these configura- 
  7937. tions.  A change in configuration within the  allowable  set 
  7938. of configurations does not require retesting. 
  7939.  
  7940.      The testing of each component will include  the  intro- 
  7941. duction  of  subjects external to the NTCB partition for the 
  7942. component that will attempt to read, change, or delete  data 
  7943. normally  denied.   If the normal interface to the component 
  7944. does not provide a means to create the  subjects  needed  to 
  7945. conduct  such a test, then this portion of the testing shall 
  7946. use a special version of the untrusted software for the com- 
  7947. ponent  that  results  in  subjects that make such attempts. 
  7948. The results shall be saved for test analysis.  Such  special 
  7949. versions  shall  have an NTCB partition that is identical to 
  7950. that for the normal configuration  of  the  component  under 
  7951. evaluation. 
  7952.  
  7953.      The testing of the  mandatory  controls  shall  include 
  7954. tests   to  demonstrate  that  the  labels  for  information 
  7955. imported and/or exported to/from  the  component  accurately 
  7956. represent  the  labels  maintained by the NTCB partition for 
  7957. the component for use as the basis for its mandatory  access 
  7958. control  decisions.   The  tests  shall include each type of 
  7959. device, whether single-level or multilevel, supported by the 
  7960. component. 
  7961.  
  7962.      The NTCB must be FOUND RESISTANT to penetration.   This 
  7963. applies  to  the NTCB as a whole, and to each NTCB partition 
  7964. in a component of this class. 
  7965.  
  7966.  
  7967. +  Rationale 
  7968.  
  7969.      The phrase "no subject (without authorization to do so) 
  7970. is  able  to  cause the TCB to enter a state such that it is 
  7971. unable to  respond  to  communications  initiated  by  other 
  7972. users"  relates  to  the  security services (Part II of this 
  7973. TNI) for the Denial of Service problem, and  to  correctness 
  7974. of the protocol implementations. 
  7975.  
  7976.      Testing  is  an  important  method  available  in  this 
  7977. evaluation  division to gain any assurance that the security 
  7978. mechanisms perform their intended function.  A major purpose 
  7979. of testing is to demonstrate the system's response to inputs 
  7980. to the NTCB partition from  untrusted  (and  possibly  mali- 
  7981. cious) subjects. 
  7982.  
  7983.      In contrast to general purpose systems that  allow  for 
  7984. the  dynamic  creation of new programs and the introductions 
  7985. of new processes (and hence new subjects) with  user  speci- 
  7986. fied  security  properities, many network components have no 
  7987. method for introducing new programs and/or processes  during 
  7988. their  normal  operation.  Therefore, the programs necessary 
  7989. for the testing must be introduced as  special  versions  of 
  7990. the  software  rather than as the result of normal inputs by 
  7991. the test team.  However, it must be insured  that  the  NTCB 
  7992. partition  used for such tests is identical to the one under 
  7993. evaluation. 
  7994.  
  7995.      Sensitivity labels serve a critical role in maintaining 
  7996. the  security  of  the mandatory access controls in the net- 
  7997. work.  Especially important to network security is the  role 
  7998. of  the  labels  for  information  communicated between com- 
  7999. ponents - explicit labels for multilevel devices and  impli- 
  8000. cit  labels for single-level devices.  Therefore the testing 
  8001. for correct labels is highlighted. 
  8002.  
  8003.      The requirement for testing to demonstrate  consistency 
  8004. between  the NTCB implementation and the DTLS is a straight- 
  8005. forward extension of the TCSEC requirement into the  context 
  8006. of a network system. 
  8007.  
  8008.  
  8009.  
  8010. 3.3.3.2.2  Design Specification and Verification 
  8011.  
  8012. + Statement from DoD 5200.28-STD 
  8013.  
  8014. A formal model of the security policy supported by  the  TCB 
  8015. shall  be  maintained  over the life cycle of the ADP system 
  8016. that is proven and demonstrated to be  consistent  with  its 
  8017. axioms.  A descriptive top-level specification (DTLS) of the 
  8018. TCB shall  be  maintained  that  completely  and  accurately 
  8019. describes  the  TCB  in terms of exceptions, error messages, 
  8020. and effects.  It shall be shown to be an  accurate  descrip- 
  8021. tion  of  the TCB interface.  A CONVINCING ARGUMENT SHALL BE 
  8022. GIVEN THAT THE DTLS IS CONSISTENT WITH THE MODEL. 
  8023.  
  8024.  
  8025. +  Interpretation 
  8026.  
  8027.      The overall network security policy expressed  in  this 
  8028. model  will  provide the basis for the mandatory access con- 
  8029. trol policy exercised by the NTCB over subjects and  storage 
  8030. objects  in the entire network.  The policy will also be the 
  8031. basis for the discretionary access control policy  exercised 
  8032. by  the  NTCB  to  control  access  of  named users to named 
  8033. objects.  Data integrity requirements addressing the effects 
  8034. of unauthorized MSM need not be included in this model.  The 
  8035. overall network policy must be decomposed into  policy  ele- 
  8036. ments  that are allocated to appropriate components and used 
  8037. as the basis for the security policy model  for  those  com- 
  8038. ponents. 
  8039.  
  8040.      The level of abstraction of the model, and the  set  of 
  8041. subjects  and objects that are explicitly represented in the 
  8042. model, will be affected by the NTCB partitioning.   Subjects 
  8043. and  objects must be represented explicitly in the model for 
  8044. the partition if there is some network component whose  NTCB 
  8045. partition  exercises  access  control  over them.  The model 
  8046. shall be structured so that the axioms and entities applica- 
  8047. ble  to  individual network components are manifest.  Global 
  8048. network policy elements that  are  allocated  to  components 
  8049. shall be represented by the model for that component. 
  8050.  
  8051.      The requirements for a network DTLS are  given  in  the 
  8052. Design Documentation section. 
  8053.  
  8054. + Rationale 
  8055.  
  8056.      The treatment of the model depends to a great extent on 
  8057. the degree of integration of the communications service into 
  8058. a distributed system. In a closely coupled distributed  sys- 
  8059. tem,  one  might  use  a  model  that  closely resembles one 
  8060. appropriate for a stand-alone computer system. 
  8061.  
  8062.      In ALL cases, the  model  of  each  partition  will  be 
  8063. expected to show the role of the NTCB partition in each kind 
  8064. of component.   It  will  most  likely  clarify  the  model, 
  8065. although  not part of the model, to show access restrictions 
  8066. implied  by  the  system  design;  for   example,   subjects 
  8067. representing  protocol  entities  might have access only  to 
  8068. objects containing data units at the same layer of protocol. 
  8069. The  allocation of subjects and  objects to different proto- 
  8070. col layers is a protocol design choice which  need  not   be 
  8071. reflected in the security policy model. 
  8072.  
  8073.  
  8074.  
  8075. 3.3.3.2.3 Configuration Management 
  8076.  
  8077. + Statement from DoD 5200.28-STD 
  8078.  
  8079. During development and maintenance of the TCB, a  configura- 
  8080. tion management system shall be in place that maintains con- 
  8081. trol of changes to the descriptive top-level  specification, 
  8082. other  design  data,  implementation  documentation,  source 
  8083. code, the running version of the object code, and test  fix- 
  8084. tures  and documentation.  The configuration management sys- 
  8085. tem shall assure a consistent mapping among  all  documenta- 
  8086. tion  and  code  associated  with the current version of the 
  8087. TCB.  Tools shall be provided for generation of a  new  ver- 
  8088. sion  of  the TCB from source code.  Also available shall be 
  8089. tools for comparing a newly generated version with the  pre- 
  8090. vious  TCB  version  in  order  to  ascertain  that only the 
  8091. intended changes have been made in the code that will  actu- 
  8092. ally be used as the new version of the TCB. 
  8093.  
  8094. +  Interpretation 
  8095.  
  8096.      The requirement applies as written, with the  following 
  8097. extensions: 
  8098.  
  8099. 1.      A configuration management system must be  in  place 
  8100.         for each NTCB partition. 
  8101.  
  8102. 2.      A configuration management plan must exist  for  the 
  8103.         entire system.  If the configuration management sys- 
  8104.         tem is made up of the conglomeration of  the  confi- 
  8105.         guration management systems of the various NTCB par- 
  8106.         titions, then the configuration management plan must 
  8107.         address  the  issue  of how configuration control is 
  8108.         applied to the system as a whole. 
  8109.  
  8110. + Rationale 
  8111.  
  8112.      Each NTCB partition must have a  configuration  manage- 
  8113. ment  system  in place, or else there will be no way for the 
  8114. NTCB as a whole to have an effective  configuration  manage- 
  8115. ment system.  The other extensions are merely reflections of 
  8116. the way that networks operate in practice. 
  8117.  
  8118.  
  8119.  
  8120.  
  8121. 3.3.4 Documentation. 
  8122. _ _ _ _____________ 
  8123.  
  8124.  
  8125. 3.3.4.1 Security Features User's Guide 
  8126.  
  8127. + Statement from DoD 5200.28-STD 
  8128.  
  8129. A single summary, chapter, or manual in  user  documentation 
  8130. shall  describe  the  protection  mechanisms provided by the 
  8131. TCB, interpretations on their use,  and  how  they  interact 
  8132. with one another. 
  8133.  
  8134. +  Interpretation 
  8135.  
  8136.      This user documentation describes user visible  protec- 
  8137. tion  mechanisms at the global (network system) level and at 
  8138. the user interface of each component,  and  the  interaction 
  8139. among these. 
  8140.  
  8141.  
  8142. +  Rationale 
  8143.  
  8144.      The interpretation is an extension of  the  requirement 
  8145. into  the  context  of a network system as defined for these 
  8146. network criteria.  Documentation  of  protection  mechanisms 
  8147. provided  by  individual  components is required by the cri- 
  8148. teria for trusted  computer  systems  that  are  applied  as 
  8149. appropriate for the individual components. 
  8150.  
  8151.  
  8152. 3.3.4.2 Trusted Facility Manual 
  8153.  
  8154. + Statement from DoD 5200.28-STD 
  8155.  
  8156. A manual addressed to the  ADP  system  administrator  shall 
  8157. present  cautions about functions and privileges that should 
  8158. be controlled when running a secure facility. The procedures 
  8159. for examining and maintaining the audit files as well as the 
  8160. detailed audit record structure for each type of audit event 
  8161. shall  be  given. The manual shall describe the operator and 
  8162. administrator functions  related  to  security,  to  include 
  8163. changing  the  security characteristics of a user.  It shall 
  8164. provide interpretations on the consistent and effective  use 
  8165. of the protection features of the system, how they interact, 
  8166. how to securely generate a new TCB, and facility procedures, 
  8167. warnings, and privileges that need to be controlled in order 
  8168. to operate the facility in a secure manner. The TCB  modules 
  8169. that  contain  the  reference  validation mechanism shall be 
  8170. identified.  The procedures for secure generation of  a  new 
  8171. TCB from source after modification of any modules in the TCB 
  8172. shall be described.   IT SHALL  INCLUDE  THE  PROCEDURES  TO 
  8173. ENSURE  THAT  THE  SYSTEM  IS  INITIALLY STARTED IN A SECURE 
  8174. MANNER.  PROCEDURES SHALL ALSO BE INCLUDED TO RESUME  SECURE 
  8175. SYSTEM OPERATION AFTER ANY LAPSE IN SYSTEM OPERATION. 
  8176.  
  8177. + Interpretation 
  8178.  
  8179.      This manual shall contain specifications and procedures 
  8180. to assist the system administrator(s) maintain cognizance of 
  8181. the network configuration.  These  specifications  and  pro- 
  8182. cedures shall address the following: 
  8183.  
  8184. 1.      The hardware configuration of the network itself; 
  8185.  
  8186. 2.      The implications of attaching new components to  the 
  8187.         network; 
  8188.  
  8189. 3.      The case where certain components  may  periodically 
  8190.         leave  the  network  (e.g., by crashing, or by being 
  8191.         disconnected) and then rejoin; 
  8192.  
  8193. 4.      Network configuration aspects that  can  impact  the 
  8194.         security  of  the  network system; (For example, the 
  8195.         manual  should  describe  for  the  network   system 
  8196.         administrator  the interconnections among components 
  8197.         that are consistent with the overall network  system 
  8198.         architecture.) 
  8199.  
  8200. 5.      Loading  or  modifying  NTCB  software  or  firmware 
  8201.         (e.g., down-line loading). 
  8202.  
  8203. 6.      Incremental updates; that  is,  it  must  explicitly 
  8204.         indicate  which components of the network may change 
  8205.         without others also changing. 
  8206.  
  8207.      The physical and administrative environmental  controls 
  8208. shall  be  specified.   Any  assumptions about security of a 
  8209. given network should be clearly stated (e.g., the fact  that 
  8210. all  communications  links must be physically protected to a 
  8211. certain level). 
  8212.  
  8213.      The components of the network that form the  NTCB  must 
  8214. be identified.  Furthermore, the modules within an NTCB par- 
  8215. tition that contain the reference validation  mechanism  (if 
  8216. any) within that partition must be identified. 
  8217.  
  8218.      The procedures for the secure generation of a new  ver- 
  8219. sion  (or  copy)  of each NTCB partition from source must be 
  8220. described.  The procedures and requirements for  the  secure 
  8221. generation  of  the NTCB necessitated by changes in the net- 
  8222. work configuration shall be described. 
  8223.  
  8224.      PROCEDURES FOR STARTING EACH NTCB PARTITION IN A SECURE 
  8225. STATE  SHALL BE SPECIFIED.  PROCEDURES MUST ALSO BE INCLUDED 
  8226. TO RESUME SECURE OPERATION OF EACH NTCB PARTITION AND/OR THE 
  8227. NTCB AFTER ANY LAPSE IN SYSTEM OR SUBSYSTEM OPERATION. 
  8228.  
  8229. + Rationale 
  8230.  
  8231.      There  may  be  multiple  system  administrators   with 
  8232. diverse  responsibilities.   The technical security measures 
  8233. described by these criteria must be used in conjunction with 
  8234. other  forms of security in order to achieve security of the 
  8235. network.  Additional forms include administrative  security, 
  8236. physical security, emanations security, etc. 
  8237.  
  8238.      Extension of  this  criterion  to  cover  configuration 
  8239. aspects  of  the  network  is  needed  because, for example, 
  8240. proper interconnection of components is typically  essential 
  8241. to  achieve  a  correct realization of the network architec- 
  8242. ture. 
  8243.  
  8244.      As mentioned in the section on Label  Integrity,  cryp- 
  8245. tography is one common mechanism employed to protect commun- 
  8246. ication circuits.  Encryption transforms the  representation 
  8247. of  information so that it is unintelligible to unauthorized 
  8248. subjects.  Reflecting this transformation,  the  sensitivity 
  8249. of the ciphertext is generally lower than the cleartext.  If 
  8250. encryption  methodologies  are  employed,  they   shall   be 
  8251. approved by the National Security Agency (NSA). 
  8252.  
  8253.      The encryption algorithm  and  its  implementation  are 
  8254. outside  the scope of these interpretations.  This algorithm 
  8255. and implementation may be implemented in a  separate  device 
  8256. or  may  be a function of a subject in a component not dedi- 
  8257. cated to encryption.  Without prejudice, either  implementa- 
  8258. tion  packaging  is  referred  to as an encryption mechanism 
  8259. herein. 
  8260.  
  8261.      The requirements for descriptions  of  NTCB  generation 
  8262. and  identification  of modules and components that form the 
  8263. NTCB are straightforward extensions of  the  TCSEC  require- 
  8264. ments  into  the  network context.  In those cases where the 
  8265. vendor does not provide source code, an acceptable procedure 
  8266. shall be to request the vendor to perform the secure genera- 
  8267. tion. 
  8268.  
  8269.      GIVEN THE NATURE OF NETWORK SYSTEMS (E.G., VARIOUS COM- 
  8270. PONENTS  TEND TO BE DOWN AT DIFFERENT TIMES, AND THE NETWORK 
  8271. SYSTEM MUST CONTINUE OPERATION WITHOUT THAT  COMPONENT),  IT 
  8272. IS  IMPERATIVE TO KNOW BOTH HOW TO SECURELY START UP AN NTCB 
  8273. PARTITION, AND HOW TO RESUME OPERATION SECURELY.  IT IS ALSO 
  8274. NECESSARY TO KNOW HOW TO RESUME SECURE OPERATION OF THE NTCB 
  8275. AFTER ANY PARTITION HAS BEEN DOWN. 
  8276.  
  8277.  
  8278. 3.3.4.3 Test Documentation 
  8279.  
  8280. + Statement from DoD 5200.28-STD 
  8281.  
  8282. The system developer shall provide to the evaluators a docu- 
  8283. ment that describes the test plan, test procedures that show 
  8284. how the security mechanisms were tested, and results of  the 
  8285. security  mechanisms'  functional testing.  It shall include 
  8286. results of testing the effectiveness of the methods used  to 
  8287. reduce covert channel bandwidths. 
  8288.  
  8289. +  Interpretation 
  8290.  
  8291.      The "system developer" is interpreted as  "the  network 
  8292. system  sponsor".   The  description of the test plan should 
  8293. establish the context in which the testing was or should  be 
  8294. conducted.   The  description should identify any additional 
  8295. test components that  are  not  part  of  the  system  being 
  8296. evaluated.  This includes a description of the test-relevant 
  8297. functions of such test components and a description  of  the 
  8298. interfacing  of  those  test  components to the system being 
  8299. evaluated.  The description of the  test  plan  should  also 
  8300. demonstrate  that  the  tests  adequately  cover the network 
  8301. security policy.  The  tests  should  include  the  features 
  8302. described   in   the  System  Architecture  and  the  System 
  8303. Integrity sections.  The tests should also  include  network 
  8304. configuration and sizing. 
  8305.  
  8306. +  Rationale 
  8307.  
  8308.      The entity being evaluated may be a networking  subsys- 
  8309. tem (see Appendix A) to which other components must be added 
  8310. to make a  complete  network  system.  In  that  case,  this 
  8311. interpretation  is extended to include contextual definition 
  8312. because, at evaluation time, it is not possible to  validate 
  8313. the  test  plans  without the description of the context for 
  8314. testing the networking subsystem. 
  8315.  
  8316.      The bandwidths of covert channels are used to determine 
  8317. the suitability of a network system for a given environment. 
  8318. The effectiveness  of  the  methods  used  to  reduce  these 
  8319. bandwidths must therefore be accurately determined. 
  8320.  
  8321.  
  8322. 3.3.4.4 Design Documentation 
  8323.  
  8324. + Statement from DoD 5200.28-STD 
  8325.  
  8326. Documentation shall be available that provides a description 
  8327. of the manufacturer's philosophy of protection and an expla- 
  8328. nation of how this philosophy is translated  into  the  TCB. 
  8329. The  interfaces between the TCB modules shall be described. 
  8330. A formal description of the security policy  model  enforced 
  8331. by the TCB shall be available and an explanation provided to 
  8332. show that it is sufficient to enforce the  security  policy. 
  8333. The  specific  TCB protection mechanisms shall be identified 
  8334. and an explanation given  to  show  that  they  satisfy  the 
  8335. model.  The descriptive top-level specification (DTLS) shall 
  8336. be shown to be an accurate description of the TCB interface. 
  8337. Documentation  shall  describe  how  the  TCB implements the 
  8338. reference monitor concept and give an explanation why it  is 
  8339. tamper  resistant,  cannot  be  bypassed,  and  is correctly 
  8340. implemented. THE  TCB  IMPLEMENTATION  (I.E.,  IN  HARDWARE, 
  8341. FIRMWARE, AND SOFTWARE) SHALL BE INFORMALLY SHOWN TO BE CON- 
  8342. SISTENT WITH THE DTLS.  THE ELEMENTS OF THE  DTLS  SHALL  BE 
  8343. SHOWN,  USING INFORMAL TECHNIQUES, TO CORRESPOND TO THE ELE- 
  8344. MENTS OF THE TCB.   Documentation shall describe how the TCB 
  8345. is  structured  to  facilitate  testing and to enforce least 
  8346. privilege.   This  documentation  shall  also  present   the 
  8347. results  of  the  covert  channel analysis and the tradeoffs 
  8348. involved in restricting the channels.  All auditable  events 
  8349. that may be used in the exploitation of known covert storage 
  8350. channels shall  be  identified.   The  bandwidths  of  known 
  8351. covert  storage channels, the use of which is not detectable 
  8352. by the auditing mechanisms,  shall  be  provided.  (See  the 
  8353. Covert Channel Guideline section.) 
  8354.  
  8355. +  Interpretation 
  8356.  
  8357.      Explanation of how the sponsor's philosophy of  protec- 
  8358. tion is translated into the NTCB shall include a description 
  8359. of how the NTCB is partitioned.  The  security  policy  also 
  8360. shall  be stated.  The description of the interfaces between 
  8361. the NTCB modules shall include the interface(s) between NTCB 
  8362. partitions  and modules within the partitions if the modules 
  8363. exist.  The sponsor shall describe the security architecture 
  8364. and  design,  including  the allocation of security require- 
  8365. ments among components. 
  8366.  
  8367.      The documentation includes both  a  system  description 
  8368. and  a  set  of  component  DTLS's.   The system description 
  8369. addresses the network security architecture  and  design  by 
  8370. specifying  the  types  of  components in the network, which 
  8371. ones are trusted, and in what way  they  must  cooperate  to 
  8372. support network security objectives.  A component DTLS shall 
  8373. be provided for each trusted network component,  i.e.,  each 
  8374. component containing an NTCB partition.  Each component DTLS 
  8375. shall describe the interface to the NTCB  partition  of  its 
  8376. component.  BOTH  THE  SYSTEM DESCRIPTION AND EACH COMPONENT 
  8377. DTLS SHALL BE SHOWN CONSISTENT WITH THOSE ASSERTIONS IN  THE 
  8378. MODEL  THAT  APPLY  TO  IT.   Appendix A addresses component 
  8379. evaluation issues. 
  8380.  
  8381.      TO SHOW THE CORRESPONDENCE BETWEEN  THE  DTLS  AND  THE 
  8382. NTCB  IMPLEMENTATION,  IT  SUFFICES  TO  SHOW CORRESPONDENCE 
  8383. BETWEEN EACH COMPONENT DTLS AND THE NTCB PARTITION  IN  THAT 
  8384. COMPONENT. 
  8385.  
  8386.      As stated in the introduction to Division B, the  spon- 
  8387. sor  must  demonstrate  that  the NTCB employs the reference 
  8388. monitor concept.  The security policy model must be a  model 
  8389. for a reference monitor. 
  8390.  
  8391.      The security policy model for each partition implement- 
  8392. ing  a  reference  monitor  shall fully represent the access 
  8393. control policy supported by  the  partition,  including  the 
  8394. discretionary  and  mandatory  security  policy  for secrecy 
  8395. and/or integrity.  For the mandatory policy the single domi- 
  8396. nance  relation  for  sensitivity  labels, including secrecy 
  8397. and/or integrity components, shall be precisely defined. 
  8398.  
  8399. +  Rationale 
  8400.  
  8401.      The interpretation is a  straightforward  extension  of 
  8402. the  requirement  into  the  context  of a network system as 
  8403. defined for this network interpretation.   Other  documenta- 
  8404. tion,  such  as description of components and description of 
  8405. operating environment(s) in which the  networking  subsystem 
  8406. or network system is designed to function, is required else- 
  8407. where, e.g., in the Trusted Facility Manual. 
  8408.  
  8409.      In order to be evaluated,  a  network  must  possess  a 
  8410. coherent  Network Security Architecture and Design.  (Inter- 
  8411. connection of components that do not adhere to such a single 
  8412. coherent  Network  Security Architecture is addressed in the 
  8413. Interconnection of Accredited AIS, Appendix C.)  The Network 
  8414. Security  Architecture  must  address  the security-relevant 
  8415. policies, objectives, and protocols.  The  Network  Security 
  8416. Design  specifies  the  interfaces and services that must be 
  8417. incorporated into the network so that it can be evaluated as 
  8418. a  trusted  entity.  There may be multiple designs that con- 
  8419. form to the same architecture but are more or less  incompa- 
  8420. tible and non-interoperable (except through the Interconnec- 
  8421. tion Rules).  Security related mechanisms requiring coopera- 
  8422. tion  among  components are specified in the design in terms 
  8423. of their visible interfaces; mechanisms  having  no  visible 
  8424. interfaces  are  not specified in this document but are left 
  8425. as implementation decisions. 
  8426.  
  8427.      The Network Security Architecture and  Design  must  be 
  8428. available  from the network sponsor before evaluation of the 
  8429. network, or any component, can be undertaken.   The  Network 
  8430. Security  Architecture  and Design must be sufficiently com- 
  8431. plete, unambiguous, and free from obvious  flaws  to  permit 
  8432. the  construction  or assembly of a trusted network based on 
  8433. the structure it specifies. 
  8434.  
  8435.      When a component is being  designed  or  presented  for 
  8436. evaluation,  or  when a network assembled from components is 
  8437. assembled or presented  for  evaluation,  there  must  be  a 
  8438. priori  evidence  that the Network security Architecture and 
  8439. Design are satisfied.  That is, the components can be assem- 
  8440. bled into a network that conforms in every way with the Net- 
  8441. work Security Architecture and Design to produce a  physical 
  8442. realization  that  is trusted to the extent that its evalua- 
  8443. tion indicates. 
  8444.  
  8445.      In order for a trusted network to be  constructed  from 
  8446. components  that  can  be  built  independently, the Network 
  8447. Security Architecture and Design must completely and unambi- 
  8448. guously  define  the security functionality of components as 
  8449. well as the interfaces between  or  among  components.   The 
  8450. Network  Security  Architecture and Design must be evaluated 
  8451. to determine that a network constructed  to  its  specifica- 
  8452. tions  will in fact be trusted, that is, it will be evaluat- 
  8453. able under these interpretations. 
  8454.  
  8455.  
  8456.      The term "model" is used in several different ways in a 
  8457. network context, e.g., a "protocol reference model," a "for- 
  8458. mal network model," etc. Only the "security policy model" is 
  8459. addressed  by  this requirement and is specifically intended 
  8460. to model the interface, viz., "security perimeter,"  of  the 
  8461. reference monitor and must meet all the requirements defined 
  8462. in the TCSEC.  It must be shown that all parts  of  the  TCB 
  8463. are  a  valid  interpretation  of the security policy model, 
  8464. i.e., that there is no change to the secure state except  as 
  8465. represented by the model. 
  8466.  
  8467.  
  8468.             4.0 DIVISION A: VERIFIED PROTECTION 
  8469.             _ _ ________ _  ________ __________ 
  8470.  
  8471.  
  8472. This division is characterized by the use of formal security 
  8473. methods to assure that the mandatory and discretionary secu- 
  8474. rity controls employed in the network system can effectively 
  8475. protect  classified or other sensitive information stored or 
  8476. processed by the system.   Extensive  documentation  is  re- 
  8477. quired  to  demonstrate that the NTCB meets the security re- 
  8478. quirements in all aspects of design, development and  imple- 
  8479. mentation. 
  8480.  
  8481.              4.1  CLASS (A1):  VERIFIED DESIGN 
  8482.              _ _  _____  __    ________ ______ 
  8483.  
  8484.  
  8485.      SYSTEMS IN CLASS (A1) ARE FUNCTIONALLY  EQUIVALENT 
  8486.      TO  THOSE  IN  CLASS  (B3)  IN  THAT NO ADDITIONAL 
  8487.      ARCHITECTURAL FEATURES OR POLICY REQUIREMENTS  ARE 
  8488.      ADDED.   THE  DISTINGUISHING FEATURE OF SYSTEMS IN 
  8489.      THIS CLASS IS THE  ANALYSIS  DERIVED  FROM  FORMAL 
  8490.      DESIGN  SPECIFICATION  AND VERIFICATION TECHNIQUES 
  8491.      AND THE RESULTING HIGH DEGREE  OF  ASSURANCE  THAT 
  8492.      THE NTCB IS CORRECTLY IMPLEMENTED.  THIS ASSURANCE 
  8493.      IS DEVELOPMENTAL IN NATURE, STARTING WITH A FORMAL 
  8494.      MODEL  OF  THE  SECURITY  POLICY AND A FORMAL TOP- 
  8495.      LEVEL  SPECIFICATION   (FTLS)   OF   THE   DESIGN. 
  8496.      INDEPENDENT   OF   THE   PARTICULAR  SPECIFICATION 
  8497.      LANGUAGE OR VERIFICATION SYSTEM  USED,  THERE  ARE 
  8498.      FIVE  IMPORTANT  CRITERIA  FOR  CLASS  (A1) DESIGN 
  8499.      VERIFICATION: 
  8500.  
  8501.     +  A FORMAL MODEL OF THE SECURITY  POLICY  MUST  BE 
  8502.       CLEARLY  IDENTIFIED  AND  DOCUMENTED, INCLUDING A 
  8503.       MATHEMATICAL PROOF THAT THE MODEL  IS  CONSISTENT 
  8504.       WITH  ITS AXIOMS AND IS SUFFICIENT TO SUPPORT THE 
  8505.       SECURITY POLICY. 
  8506.  
  8507.     +  AN FTLS MUST BE PRODUCED THAT INCLUDES  ABSTRACT 
  8508.       DEFINITIONS  OF  THE  FUNCTIONS THE NTCB PERFORMS 
  8509.       AND OF THE HARDWARE  AND/OR  FIRMWARE  MECHANISMS 
  8510.       THAT  ARE  USED  TO  SUPPORT  SEPARATE  EXECUTION 
  8511.       DOMAINS. 
  8512.  
  8513.     +  THE FTLS OF THE NTCB MUST BE SHOWN  TO  BE  CON- 
  8514.       SISTENT WITH THE MODEL BY FORMAL TECHNIQUES WHERE 
  8515.       POSSIBLE (I.E., WHERE VERIFICATION  TOOLS  EXIST) 
  8516.       AND INFORMAL ONES OTHERWISE. 
  8517.  
  8518.     +  THE  NTCB  IMPLEMENTATION  (I.E.,  IN  HARDWARE, 
  8519.       FIRMWARE,  AND SOFTWARE) MUST BE INFORMALLY SHOWN 
  8520.       TO BE CONSISTENT WITH THE FTLS.  THE ELEMENTS  OF 
  8521.       THE  FTLS  MUST  BE  SHOWN,  USING INFORMAL TECH- 
  8522.       NIQUES, TO CORRESPOND  TO  THE  ELEMENTS  OF  THE 
  8523.       NTCB.   THE FTLS MUST EXPRESS THE UNIFIED PROTEC- 
  8524.       TION MECHANISM REQUIRED TO SATISFY  THE  SECURITY 
  8525.       POLICY, AND IT IS THE ELEMENTS OF THIS PROTECTION 
  8526.       MECHANISM THAT ARE MAPPED TO THE ELEMENTS OF  THE 
  8527.       NTCB. 
  8528.  
  8529.     +  FORMAL ANALYSIS TECHNIQUES MUST BE USED TO IDEN- 
  8530.       TIFY AND ANALYZE COVERT CHANNELS.  INFORMAL TECH- 
  8531.       NIQUES MAY BE  USED  TO  IDENTIFY  COVERT  TIMING 
  8532.       CHANNELS.   THE CONTINUED EXISTENCE OF IDENTIFIED 
  8533.       COVERT CHANNELS IN THE SYSTEM MUST BE JUSTIFIED. 
  8534.  
  8535.      IN KEEPING WITH THE EXTENSIVE DESIGN AND  DEVELOP- 
  8536.      MENT  ANALYSIS  OF THE NTCB REQUIRED OF SYSTEMS IN 
  8537.      CLASS (A1), MORE STRINGENT  CONFIGURATION  MANAGE- 
  8538.      MENT  IS  REQUIRED  AND PROCEDURES ARE ESTABLISHED 
  8539.      FOR SECURELY DISTRIBUTING THE SYSTEM TO SITES.   A 
  8540.      SYSTEM SECURITY ADMINISTRATOR IS SUPPORTED. 
  8541.  
  8542.      THE FOLLOWING ARE MINIMAL REQUIREMENTS FOR  SYSTEM 
  8543.      ASSIGNED A CLASS (A1) RATING: 
  8544.  
  8545.  
  8546. 4.1.1 Security Policy 
  8547. _ _ _ ________ ______ 
  8548.  
  8549. + Statement from DoD 5200.28-STD 
  8550.  
  8551. Implied from the Introduction to the TCSEC. 
  8552.  
  8553.  
  8554. + Interpretation 
  8555.  
  8556.      The network sponsor shall describe the overall  network 
  8557. security  policy  enforced  by  the NTCB. At a minimum, this 
  8558. policy  shall  include  the  discretionary   and   mandatory 
  8559. requirements  applicable  to  this  class.   The  policy may 
  8560. require data secrecy, or data integrity, or both.  The  pol- 
  8561. icy  is  an  access  control  policy having two primary com- 
  8562. ponents:  mandatory  and  discretionary.  The  policy  shall 
  8563. include  a  discretionary policy for protecting the informa- 
  8564. tion being processed based on the authorizations of  indivi- 
  8565. duals,  users, or groups of users.  This access control pol- 
  8566. icy statement shall describe the requirements on the network 
  8567. to  prevent  or  detect  "reading  or  destroying" sensitive 
  8568. information by unauthorized users or errors.  The  mandatory 
  8569. policy  must  define  the set of distinct sensitivity levels 
  8570. that it supports.  For the Class B1 or above  the  mandatory 
  8571. policy  shall  be  based  on  the labels associated with the 
  8572. information that reflects its sensitivity  with  respect  to 
  8573. secrecy and/or integrity, where applicable, and labels asso- 
  8574. ciated with users to reflect their authorization  to  access 
  8575. such  information.   Unauthorized  users  include both those 
  8576. that are not authorized to use the network at all  (e.g.,  a 
  8577. user  attempting  to  use a passive or active wire tap) or a 
  8578. legitimate user of the network  who  is  not  authorized  to 
  8579. access a specific piece of information being protected. 
  8580.  
  8581.      Note that "users" does not include "operators," "system 
  8582. programmers," "technical control officers," "system security 
  8583. officers," and other system  support  personnel.   They  are 
  8584. distinct  from users and are subject to the Trusted Facility 
  8585. Manual and the System Architecture requirements.  Such indi- 
  8586. viduals may change the system parameters of the network sys- 
  8587. tem, for example, by defining membership of a group.   These 
  8588. individuals may also have the separate role of users. 
  8589.  
  8590.  
  8591.         SECRECY POLICY: The network sponsor shall define the 
  8592.         form  of  the  discretionary  and mandatory  secrecy 
  8593.         policy that is enforced in the  network  to  prevent 
  8594.         unauthorized users from reading the sensitive infor- 
  8595.         mation entrusted to the network. 
  8596.  
  8597.  
  8598.         DATA INTEGRITY POLICY:  The  network  sponsor  shall 
  8599.         define  the  discretionary  and mandatory  integrity 
  8600.         policy to prevent unauthorized users from modifying, 
  8601.         viz.,  writing,  sensitive information.  The defini- 
  8602.         tion of data  integrity  presented  by  the  network 
  8603.         sponsor  refers to the requirement that the informa- 
  8604.         tion has not been subjected to unauthorized  modifi- 
  8605.         cation  in the network. The mandatory integrity pol- 
  8606.         icy enforced by the NTCB cannot, in general, prevent 
  8607.         modification  while information is being transmitted 
  8608.         between components.  However,  an  integrity  sensi- 
  8609.         tivity  label  may  reflect  the confidence that the 
  8610.         information has not been subjected  to  transmission 
  8611.         errors  because  of  the  protection afforded during 
  8612.         transmission.  This requirement is distinct from the 
  8613.         requirement for label integrity. 
  8614.  
  8615. + Rationale 
  8616.  
  8617.      The word "sponsor" is used  in  place  of  alternatives 
  8618. (such   as   "vendor,"   "architect,"   "manufacturer,"  and 
  8619. "developer") because the alternatives  indicate  people  who 
  8620. may not be available, involved, or relevant at the time that 
  8621. a network system is proposed for evaluation. 
  8622.  
  8623.      A trusted network is able to control both  the  reading 
  8624. and  writing  of  shared  sensitive information.  Control of 
  8625. writing is used to protect against destruction  of  informa- 
  8626. tion. A network normally is expected to have policy require- 
  8627. ments to protect both  the  secrecy  and  integrity  of  the 
  8628. information  entrusted to it.  In a network the integrity is 
  8629. frequently as important or more important than  the  secrecy 
  8630. requirements.  Therefore the secrecy and/or integrity policy 
  8631. to be enforced by the network must be stated for  each  net- 
  8632. work  regardless of its evaluation class. The assurance that 
  8633. the policy  is  faithfully  enforced  is  reflected  in  the 
  8634. evaluation class of the network. 
  8635.  
  8636.      This control over modification  is  typically  used  to 
  8637. protect  information  so  that  it may be relied upon and to 
  8638. control the potential harm that would result if the informa- 
  8639. tion  were  corrupted.   The overall network policy require- 
  8640. ments for integrity includes the protection  for  data  both 
  8641. while  being  processed  in  a  component  and  while  being 
  8642. transmitted in  the  network.   The  access  control  policy 
  8643. enforced  by  the  NTCB relates to the access of subjects to 
  8644. objects within  each  component.   Communications  integrity 
  8645. addressed  within Part II relates to information while being 
  8646. transmitted. 
  8647.  
  8648.      The mandatory integrity policy (at class B1 and  above) 
  8649. in  some architectures may be useful in supporting the link- 
  8650. age between the connection oriented  abstraction  introduced 
  8651. in  the  Introduction  and  the individual components of the 
  8652. network.  For example, in  a  key  distribution  center  for 
  8653. end-to-end  encryption, a distinct integrity category may be 
  8654. assigned to isolate the key generation code  and  data  from 
  8655. possible  modification  by other supporting processes in the 
  8656. same component, such as operator interfaces and audit. 
  8657.  
  8658.      The mandatory integrity policy  for  some  architecture 
  8659. may  define an integrity sensitivity label that reflects the 
  8660. specific requirements for ensuring that information has  not 
  8661. been  subject  to  random errors in excess of a stated limit 
  8662. nor to unauthorized message  stream  modification  (MSM)  -. 
  8663. The specific metric associated with an integrity sensitivity 
  8664. label will generally reflect the  intended  applications  of 
  8665. the network. 
  8666.  
  8667.  
  8668. 4.1.1.1 Discretionary Access Control 
  8669.  
  8670. + Statement from DoD 5200.28-STD 
  8671.  
  8672. The TCB shall define and control access between named  users 
  8673. and named objects (e.g., files and programs) in the ADP sys- 
  8674. tem.  The enforcement mechanism (e.g., access control lists) 
  8675. shall  allow  users  to specify and control sharing of those 
  8676. objects and shall provide controls to limit  propagation  of 
  8677. access  rights.   The discretionary access control mechanism 
  8678. shall, either by explicit user action or by default, provide 
  8679. that  objects are protected from unauthorized access.  These 
  8680. access controls shall be capable  of  specifying,  for  each 
  8681. named  object,  a  list  of  named individuals and a list of 
  8682. groups of named individuals with their respective  modes  of 
  8683. access  to  that  object.   Furthermore, for each such named 
  8684. object, it shall be possible to  specify  a  list  of  named 
  8685. individuals  and  a  list of groups of named individuals for 
  8686. which no access to the object is given.   Access  permission 
  8687. to   an  object  by  users  not  already  possessing  access 
  8688. _________________________ 
  8689.   - See Voydock, Victor L. and Stephen T. Kent,  "Secu- 
  8690. rity  Mechanisms in High-Level Network Protocols," Com- 
  8691.                                                    ___ 
  8692. puting Surveys, Vol. 15, No.  2, June 1983, pp 135-171. 
  8693. ______ _______ 
  8694.  
  8695.  
  8696. permission shall only be assigned by authorized users. 
  8697.  
  8698. +  Interpretation 
  8699.  
  8700.      The discretionary access control (DAC) mechanism(s) may 
  8701. be  distributed  over  the partitioned NTCB in various ways. 
  8702. Some part, all, or none of the DAC may be implemented  in  a 
  8703. given  component of the network system.  In particular, com- 
  8704. ponents that support only internal subjects (i.e., that have 
  8705. no  subjects acting as direct surrogates for users), such as 
  8706. a public network packet switch, might not implement the  DAC 
  8707. mechanism(s)  directly  (e.g.,  they are unlikely to contain 
  8708. access control lists). 
  8709.  
  8710.      Identification of users by groups may  be  achieved  in 
  8711. various  ways  in  the networking environment.  For example, 
  8712. the network identifiers (e.g., internet addresses) for vari- 
  8713. ous  components (e.g., hosts, gateways) can be used as iden- 
  8714. tifiers of groups of individual users (e.g., "all  users  at 
  8715. Host  A," "all users of network Q") so long as the individu- 
  8716. als involved in the group are implied by the group  identif- 
  8717. ier. For example, Host A might employ a particular group-id, 
  8718. for which it maintains a list  of  explicit  users  in  that 
  8719. group,  in  its  network exchange with Host B, which accepts 
  8720. the group-id under the conditions of this interpretation. 
  8721.  
  8722.      For networks, individual hosts will impose need-to-know 
  8723. controls over their users on the basis of named individuals 
  8724. - much like (in fact, probably the same) controls used  when 
  8725. there is no network connection. 
  8726.  
  8727.      When group identifiers are acceptable for  access  con- 
  8728. trol,  the identifier of some other host may be employed, to 
  8729. eliminate the maintenance that would be required if  indivi- 
  8730. dual  identification of remote users was employed.  In class 
  8731. C2 and higher, however, it must be possible from that  audit 
  8732. record  to  identify  (immediately  or  at  some later time) 
  8733. exactly the individuals represented by a group identifier at 
  8734. the time of the use of that identifier.  There is allowed to 
  8735. be an uncertainty because of elapsed time between changes in 
  8736. the  group membership and the enforcement in the access con- 
  8737. trol mechanisms. 
  8738.  
  8739.      The DAC mechanism of a NTCB  partition  may  be  imple- 
  8740. mented  at  the interface of the reference monitor or may be 
  8741. distributed in subjects that are part of  the  NTCB  in  the 
  8742. same  or  different component. The reference monitor manages 
  8743. all the physical resources  of  the  system  and  from  them 
  8744. creates the abstraction of subjects and objects that it con- 
  8745. trols. Some of these subjects and objects  may  be  used  to 
  8746. implement  a  part  of  the NTCB.  When the DAC mechanism is 
  8747. distributed in such NTCB subjects (i.e.,  when  outside  the 
  8748. reference  monitor),  the  assurance  requirements  (see the 
  8749. Assurance section) for the design and implementation of  the 
  8750. DAC  shall be those of class C2 for all networks of class C2 
  8751. or above. 
  8752.  
  8753.      When integrity is included as part of the network  dis- 
  8754. cretionary  security policy, the above interpretations shall 
  8755. be specifically applied to the controls  over  modification, 
  8756. viz,  the  write mode of access, within each component based 
  8757. on identified users or groups of users. 
  8758.  
  8759. +  Rationale 
  8760.  
  8761.      In this class, the supporting elements of  the  overall 
  8762. DAC  mechanism are required to isolate information (objects) 
  8763. that supports DAC so that it is subject to auditing require- 
  8764. ments  (see  the  System  Architecture section).  The use of 
  8765. network identifiers to identify groups of  individual  users 
  8766. could  be  implemented, for example, as an X.25 community of 
  8767. interest in the network protocol layer (layer  3).   In  all 
  8768. other  respects,  the supporting elements of the overall DAC 
  8769. mechanism are treated  exactly  as  untrusted  subjects  are 
  8770. treated  with respect to DAC in an ADP system, with the same 
  8771. result as noted in the interpretation. 
  8772.  
  8773.      A typical situation for DAC is that a surrogate process 
  8774. for a remote user will be created in some host for access to 
  8775. objects under the control of the NTCB partition within  that 
  8776. host.  The interpretation requires that a user identifier be 
  8777. assigned and maintained for each such process by  the  NTCB, 
  8778. so  that  access by a surrogate process is subject to essen- 
  8779. tially the same discretionary controls as access by  a  pro- 
  8780. cess  acting  on  behalf of a local user would be.  However, 
  8781. within this interpretation a range of  possible  interpreta- 
  8782. tions of the assigned user identification is permitted. 
  8783.  
  8784.      The most obvious situation  would  exist  if  a  global 
  8785. database of network users were to be made permanently avail- 
  8786. able on demand to every host, (i.e., a name server  existed) 
  8787. so that all user identifications were globally meaningful. 
  8788.  
  8789.      It is also acceptable, however, for  some  NTCB  parti- 
  8790. tions to maintain a database of locally-registered users for 
  8791. its own use.  In such a case, one could  choose  to  inhibit 
  8792. the creation of surrogate processes for locally unregistered 
  8793. users, or (if permitted by the local policy)  alternatively, 
  8794. to   permit   the   creation  of  surrogate  processes  with 
  8795. preselected user and group  identifiers  which,  in  effect, 
  8796. identify the process as executing on behalf of a member of a 
  8797. group of users on a particular remote host.  The  intent  of 
  8798. the  words concerning audit in the interpretation is to pro- 
  8799. vide a minimally acceptable degree of auditability for cases 
  8800. such  as the last described.  What is required is that there 
  8801. be a capability, using the audit facilities provided by  the 
  8802. network  NTCB  partitions  involved,  to  determine  who was 
  8803. logged in at the actual host of the group of remote users at 
  8804. the time the surrogate processing occured. 
  8805.  
  8806.      Associating the proper user id with a surrogate process 
  8807. is  the job of identification and authentication. This means 
  8808. that DAC is applied locally, with respect to the user id  of 
  8809. the  surrogate  process.   The transmission of the data back 
  8810. across the network to the user's host, and the creation of a 
  8811. copy of the data there, is not the business of DAC. 
  8812.  
  8813.      Components that support only internal  subjects  impact 
  8814. the implementation of the DAC by providing services by which 
  8815. information (e.g., a user-id) is made available  to  a  com- 
  8816. ponent  that makes a DAC decision.  An example of the latter 
  8817. would be the case that a user at Host A attempts to access a 
  8818. file  at  Host  B.   The  DAC decision might be (and usually 
  8819. would be) made at Host B on the basis of a user-id transmit- 
  8820. ted from Host A to Host B. 
  8821.  
  8822.      Unique user identification may be achieved by a variety 
  8823. of  mechanisms, including (a) a requirement for unique iden- 
  8824. tification and authentication on the host where access takes 
  8825. place;   (b)    recognition   of   fully  qualified  network 
  8826. addresses authenticated by another host and forwarded to the 
  8827. host where access takes place; or (c) administrative support 
  8828. of a network-wide unique personnel identifier that could  be 
  8829. authenticated and forwarded by another host as in (b) above, 
  8830. or could be authenticated and forwarded by a dedicated  net- 
  8831. work  identification  and authentication server.  The proto- 
  8832. cols which implement (b) or (c) are subject  to  the  System 
  8833. Architecture requirements. 
  8834.  
  8835.      Network support for DAC might be handled in other  ways 
  8836. than  that described as "typical" above. In particular, some 
  8837. form of centralized access control is  often  proposed.   An 
  8838. access  control center may make all decisions for DAC, or it 
  8839. may share the burden with the hosts by controlling  host-to- 
  8840. host  connections, and leaving the hosts to decide on access 
  8841. to their objects by users at a limited set of remote  hosts. 
  8842. In  this case the access control center provides the linkage 
  8843. between the connection oriented abstraction (as discussed in 
  8844. the  Introduction)  and  the overall network security policy 
  8845. for DAC.  In all cases the enforcement of the decision  must 
  8846. be provided by the host where the object resides. 
  8847.  
  8848.      There are two forms of distribution for the DAC mechan- 
  8849. ism:  implementing  portions  of  the  DAC  in separate com- 
  8850. ponents, and supporting the DAC in subjects contained within 
  8851. the  NTCB  partition in a component.  Since "the ADP system" 
  8852. is understood to be "the computer network" as a whole,  each 
  8853. network  component  is responsible for enforcing security in 
  8854. the mechanisms allocated to it to ensure secure  implementa- 
  8855. tion  of  the network security policy.  For traditional host 
  8856. systems it is frequently easy to also enforce the DAC  along 
  8857. with  the MAC within the reference monitor, per se, although 
  8858. a few approaches, such as virtual machine monitors,  support 
  8859. DAC outside this interface. 
  8860.  
  8861.      In contrast to the universally rigid structure of  man- 
  8862. datory  policies (see the Mandatory Access Control section), 
  8863. DAC policies tend to be very network  and  system  specific, 
  8864. with  features  that  reflect the natural use of the system. 
  8865. For networks it is common that individual hosts will  impose 
  8866. controls  over  their  local  users  on  the  basis of named 
  8867. individuals-much like the controls used  when  there  is  no 
  8868. network connection.  However, it is difficult to manage in a 
  8869. centralized manner all the individuals using  a  large  net- 
  8870. work.   Therefore, users on other hosts are commonly grouped 
  8871. together so that the controls required by  the  network  DAC 
  8872. policy  are  actually  based on the identity of the hosts or 
  8873. other components.  A gateway is an example of  such  a  com- 
  8874. ponent. 
  8875.  
  8876.      The assurance requirements are at the very heart of the 
  8877. concept  of  a  trusted  system.   It  is the assurance that 
  8878. determines if a system or network is appropriate for a given 
  8879. environment,  as reflected, for example, in the Environments 
  8880. Guideline-.  In the case of monolithic systems that have DAC 
  8881. integral  to  the  reference monitor, the assurance require- 
  8882. ments for DAC are inseparable from those of the rest of  the 
  8883. reference  monitor.   For networks there is typically a much 
  8884. clearer distinction due to distributed DAC.   The  rationale 
  8885. for making the distinction in this network interpretation is 
  8886. that if major trusted network components can be made  signi- 
  8887. ficantly easier to design and implement without reducing the 
  8888. ability to meet security policy, then trusted networks  will 
  8889. be more easily available. 
  8890.  
  8891.  
  8892. 4.1.1.2  Object Reuse 
  8893.  
  8894. + Statement from DoD 5200.28-STD 
  8895.  
  8896. All authorizations to the  information  contained  within  a 
  8897. storage object shall be revoked prior to initial assignment, 
  8898. allocation or reallocation to a subject from the TCB's  pool 
  8899. of   unused  storage  objects.   No  information,  including 
  8900. encrypted representations  of  information,  produced  by  a 
  8901. prior  subject's  actions  is to be available to any subject 
  8902. that obtains access to an object that has been released back 
  8903. to the system. 
  8904.  
  8905. +  Interpretation 
  8906.  
  8907.      The NTCB shall ensure that any storage objects that  it 
  8908. controls  (e.g., message buffers under the control of a NTCB 
  8909. partition in a component) contain no information for which a 
  8910. subject  in that component is not authorized before granting 
  8911. access.  This requirement must be enforced by  each  of  the 
  8912. NTCB partitions. 
  8913.  
  8914.  
  8915.  
  8916. _________________________ 
  8917.   - Guidance for Applying  the  Department  of  Defense 
  8918.     ________ ___ ________  ___  __________  __  _______ 
  8919. Trusted Computer System Evaluation Criteria in Specific 
  8920. _______ ________ ______ __________ ________ __ ________ 
  8921. Environments, CSC-STD-003-85. 
  8922. ____________ 
  8923.  
  8924.  
  8925. +  Rationale 
  8926.  
  8927.      In a network system, storage objects  of  interest  are 
  8928. things  that  the  NTCB  directly  controls, such as message 
  8929. buffers in components.  Each component of the network system 
  8930. must  enforce  the  object reuse requirement with respect to 
  8931. the storage objects of interest as determined by the network 
  8932. security  policy.   For example, the DAC requirement in this 
  8933. division leads to the requirement here that message  buffers 
  8934. be  under  the  control  of  the  NTCB  partition.  A buffer 
  8935. assigned to an internal subject may be reused at the discre- 
  8936. tion of that subject which is responsible for preserving the 
  8937. integrity of message streams.  Such controlled  objects  may 
  8938. be  implemented in physical resources, such as buffers, disk 
  8939. sectors, tape space, and main memory, in components such  as 
  8940. network switches. 
  8941.  
  8942.  
  8943.  
  8944. 4.1.1.3 Labels 
  8945.  
  8946. + Statement from DoD 5200.28-STD 
  8947.  
  8948. Sensitivity labels associated with each ADP system  resource 
  8949. (e.g.,  subject,  storage  object,  ROM) that is directly or 
  8950. indirectly accessible by subjects external to the TCB  shall 
  8951. be maintained by the TCB.  These labels shall be used as the 
  8952. basis for mandatory access control decisions.  In  order  to 
  8953. import  non-labeled  data, the TCB shall request and receive 
  8954. from an authorized user the sensitivity level of  the  data, 
  8955. and all such actions shall be auditable by the TCB. 
  8956.  
  8957. +  Interpretation 
  8958.  
  8959.      Non-labeled data imported under the control of the NTCB 
  8960. partition will be assigned a label constrained by the device 
  8961. labels of the single-level device used to import it.  Labels 
  8962. may  include secrecy and integrity- components in accordance 
  8963. with the overall network security policy  described  by  the 
  8964. network   sponsor.    Whenever  the  term  "label"  is  used 
  8965. throughout this interpretation, it is understood to  include 
  8966. both   components   as  applicable.   Similarly,  the  terms 
  8967. "single-level" and "multilevel" are understood to  be  based 
  8968. on  both the secrecy and integrity components of the policy. 
  8969. The mandatory integrity policy will typically have  require- 
  8970. ments,  such as the probability of undetected message stream 
  8971. modification, that will be reflected in the  label  for  the 
  8972. data  so  protected.  For example, when data is imported its 
  8973. integrity label may be assigned based on mechanisms, such as 
  8974. cryptography,  used to provide the assurance required by the 
  8975. policy.  The NTCB shall assure that such mechanism are  pro- 
  8976. tected  from  tampering and are always invoked when they are 
  8977. _________________________ 
  8978.   - See, for example, Biba, K.J., "Integrity Considera- 
  8979. tion  for Secure Computer Systems," ESD-TR-76-372, MTR- 
  8980. 3153, The MITRE Corporation, Bedford, MA, April 1977. 
  8981.  
  8982.  
  8983. the basis for a label. 
  8984.  
  8985.  
  8986.      If the security policy includes  an  integrity  policy, 
  8987. all  activities  that  result in message-stream modification 
  8988. during transmission are regarded as unauthorized accesses in 
  8989. violation  of  the integrity policy.  The NTCB shall have an 
  8990. automated capability for testing, detecting,  and  reporting 
  8991. those   errors/corruptions  that  exceed  specified  network 
  8992. integrity policy requirements.  Message-stream  modification 
  8993. (MSM)  countermeasures shall be identified.  A technology of 
  8994. adequate strength shall  be  selected  to  resist  MSM.   If 
  8995. encryption   methodologies   are  employed,  they  shall  be 
  8996. approved by the National Security Agency. 
  8997.  
  8998.      All objects must be labeled within  each  component  of 
  8999. the network that is trusted to maintain separation of multi- 
  9000. ple levels of information.  The label  associated  with  any 
  9001. objects  associated  with  single-level  components  will be 
  9002. identical to the level of that component.  Objects  used  to 
  9003. store  network control information, and other network struc- 
  9004. tures, such as routing tables, must be  labeled  to  prevent 
  9005. unauthorized access and/or modification. 
  9006.  
  9007. + Rationale 
  9008.  
  9009.      The interpretation is an extension of  the  requirement 
  9010. into the context of a network system and partitioned NTCB as 
  9011. defined for these network interpretations.   A  single-level 
  9012. device  may  be regarded either as a subject or an object. A 
  9013. multilevel device is regarded as a trusted subject in  which 
  9014. the  security  range  of  the subject is the minimum-maximum 
  9015. range of the data expected to be transmitted over  the  dev- 
  9016. ice. 
  9017.  
  9018.      The sensitivity labels for either secrecy or  integrity 
  9019. or both may reflect non-hierarchical categories or hierarch- 
  9020. ical classification or both. 
  9021.  
  9022.      For a network it is necessary that this requirement  be 
  9023. applied  to  all  network system resources at the (B2) level 
  9024. and above. 
  9025.  
  9026.      The NTCB is responsible for  implementing  the  network 
  9027. integrity  policy,  when  one exists.  The NTCB must enforce 
  9028. that policy  by  ensuring  that  information  is  accurately 
  9029. transmitted  from  source  to destination (regardless of the 
  9030. number of intervening connecting points).  The NTCB must  be 
  9031. able  to  counter  equipment  failure, environmental disrup- 
  9032. tions, and actions by persons and processes  not  authorized 
  9033. to  alter  the  data.  Protocols that perform code or format 
  9034. conversion shall preserve the integrity of data and  control 
  9035. information. 
  9036.  
  9037.      The probability of an undetected transmission error may 
  9038. be  specified as part of the network security policy so that 
  9039. the  acceptability  of  the   network   for   its   intended 
  9040. application  may  be determined. The specific metrics (e.g., 
  9041. probability of undetected  modification)  satisfied  by  the 
  9042. data  can  be  reflected  in the integrity sensitivity label 
  9043. associated with the data while it is processed within a com- 
  9044. ponent.   It  is  recognized that different applications and 
  9045. operational environments (e.g., crisis as compared to logis- 
  9046. tic) will have different integrity requirements. 
  9047.  
  9048.      The network shall also have an automated capability  of 
  9049. testing  for,  detecting, and reporting errors that exceed a 
  9050. threshold consistent with the operational mode requirements. 
  9051. The effectiveness of integrity countermeasures must be esta- 
  9052. blished with the same rigor as the  other  security-relevant 
  9053. properties such as secrecy. 
  9054.  
  9055.      Cryptography is often utilized as a  basis  to  provide 
  9056. data  integrity  assurance. Mechanisms, such as Manipulation 
  9057. Detection Codes (MDC)-, may be used.  The  adequacy  of  the 
  9058. encryption or MDC algorithm, the correctness of the protocol 
  9059. logic, and the adequacy  of  implementation  must  be  esta- 
  9060. blished in MSM countermeasures design. 
  9061.  
  9062.  
  9063.  
  9064. 4.1.1.3.1 Label Integrity 
  9065.  
  9066. + Statement from DoD 5200.28-STD 
  9067.  
  9068. Sensitivity labels shall  accurately  represent  sensitivity 
  9069. levels  of  the specific subjects or objects with which they 
  9070. are associated.   When  exported  by  the  TCB,  sensitivity 
  9071. labels  shall  accurately  and  unambiguously  represent the 
  9072. internal labels and shall be associated with the information 
  9073. being exported. 
  9074.  
  9075. +  Interpretation 
  9076.  
  9077.      The phrase "exported  by  the  TCB"  is  understood  to 
  9078. include  transmission  of  information from an object in one 
  9079. component to an object in  another  component.   Information 
  9080. transferred between NTCB partitions is addressed in the Sys- 
  9081. tem Integrity Section. The form  of  internal  and  external 
  9082. (exported)  sensitivity  labels  may differ, but the meaning 
  9083. shall be the same.  The NTCB shall, in addition, ensure that 
  9084. correct  association of sensitivity labels with the informa- 
  9085. tion being transported across the network is preserved. 
  9086.  
  9087.      As mentioned in the Trusted  Facility  Manual  Section, 
  9088. encryption  transforms  the representation of information so 
  9089. that  it  is  unintelligible   to   unauthorized   subjects. 
  9090. Reflecting this transformation, the sensitivity level of the 
  9091. ciphertext is generally lower than the cleartext.   It  fol- 
  9092. lows   that   cleartext  and  ciphertext  are  contained  in 
  9093. _________________________ 
  9094.   - See Jueneman, R. R., "Electronic Document Authenti- 
  9095. cation," IEEE Network Magazine, April 1987, pp 17-23. 
  9096.          ____ _______ ________ 
  9097.  
  9098.  
  9099. different objects, each possessing its own label.  The label 
  9100. of  the  cleartext must be preserved and associated with the 
  9101. ciphertext so that it can be restored when the cleartext  is 
  9102. subsequently  obtained by decrypting the ciphertext.  If the 
  9103. cleartext is associated  with  a  single-level  device,  the 
  9104. label of that cleartext may be implicit.  The label may also 
  9105. be implicit in the key. 
  9106.  
  9107.      When information is exported to an environment where it 
  9108. is subject to deliberate or accidental modification, the TCB 
  9109. shall support the means, such as cryptographic checksums, to 
  9110. assure  the  accuracy of the labels.  When there is a manda- 
  9111. tory integrity policy, the policy will define the meaning of 
  9112. integrity labels. 
  9113.  
  9114. +  Rationale 
  9115.  
  9116.      Encryption algorithms and their implementation are out- 
  9117. side  the  scope  of these interpretations.  Such algorithms 
  9118. may be implemented in a separate device  or  may  be  incor- 
  9119. porated  in a subject of a larger component.  Without preju- 
  9120. dice, either implementation packaging is referred to  as  an 
  9121. encryption mechanism herein. If encryption methodologies are 
  9122. employed in this regard,  they  shall  be  approved  by  the 
  9123. National  Security  Agency (NSA).  The encryption process is 
  9124. part of the Network Trusted Computer Base partition  in  the 
  9125. components in which it is implemented. 
  9126.  
  9127.      The encryption mechanism  is  not  necessarily  a  mul- 
  9128. tilevel  device  or  multilevel  subject, as these terms are 
  9129. used in these criteria.  The process of encryption  is  mul- 
  9130. tilevel  by definition.  The cleartext and ciphertext inter- 
  9131. faces  carry  information  of  different  sensitivity.    An 
  9132. encryption  mechanism  does not process data in the sense of 
  9133. performing logical or arithmetic  operations  on  that  data 
  9134. with  the  intent  of producing new data.  The cleartext and 
  9135. ciphertext interfaces on the encryption  mechanism  must  be 
  9136. separately  identified  as being single-level or multilevel. 
  9137. If the interface is single-level, then  the  sensitivity  of 
  9138. the  data  is established by a trusted individual and impli- 
  9139. citly associated with  the  interface;  the  Exportation  to 
  9140. Single-Level Devices criterion applies. 
  9141.  
  9142.      If the interface is multilevel, then the data  must  be 
  9143. labeled;  the  Exportation  to  Multilevel Devices criterion 
  9144. applies. The network architect is free to select an  accept- 
  9145. able mechanism for associating a label with an object.  With 
  9146. reference to encrypted objects, the following  examples  are 
  9147. possible: 
  9148.  
  9149. 1.      Include a label field in the protocol definition  of 
  9150.         the object. 
  9151.  
  9152. 2.      Implicitly  associate  the  label  with  the  object 
  9153.         through the encryption key.  That is, the encryption 
  9154.         key uniquely identifies a sensitivity level.  A sin- 
  9155.         gle or private key must be protected at the level of 
  9156.         the data that it encrypts. 
  9157.  
  9158.  
  9159. 4.1.1.3.2 Exportation of Labeled Information 
  9160.  
  9161. + Statement from DoD 5200.28-STD 
  9162.  
  9163. The TCB shall designate each communication channel  and  I/O 
  9164. device  as either single-level or multilevel.  Any change in 
  9165. this designation shall be done manually and shall be  audit- 
  9166. able  by  the  TCB.   The  TCB shall maintain and be able to 
  9167. audit any change in the sensitivity level or levels  associ- 
  9168. ated with a communications channel or I/O device. 
  9169.  
  9170. +  Interpretation 
  9171.  
  9172.      Each communication channel and network component  shall 
  9173. be  designated  as  either  single-level or multilevel.  Any 
  9174. change in this designation shall be done with the cognizance 
  9175. and  approval  of  the  administrator or security officer in 
  9176. charge of the affected components and the  administrator  or 
  9177. security  officer  in charge of the NTCB.  This change shall 
  9178. be auditable by the network. The NTCB shall maintain and  be 
  9179. able  to  audit  any  change in the device labels associated 
  9180. with a single-level communication channel or the range asso- 
  9181. ciated with a multilevel communication channel or component. 
  9182. The NTCB shall also be able to audit any change in  the  set 
  9183. of  sensitivity levels associated with the information which 
  9184. can be transmitted over a multilevel  communication  channel 
  9185. or component. 
  9186.  
  9187. +  Rationale 
  9188.  
  9189.      Communication channels and components in a network  are 
  9190. analogous  to  communication  channels  and  I/O  devices in 
  9191. stand-alone systems.  They must be designated as either mul- 
  9192. tilevel  (i.e.,  able to distinguish and maintain separation 
  9193. among information of various sensitivity levels) or  single- 
  9194. level.   As  in  the TCSEC, single-level devices may only be 
  9195. attached to single-level channels. 
  9196.  
  9197.      The level or set of levels of information that  can  be 
  9198. sent  to  a  component or over a communication channel shall 
  9199. only change with the knowledge and approval of the  security 
  9200. officers  (or  system administrator, if there is no security 
  9201. officer) of the network, and  of  the  affected  components. 
  9202. This  requirement  ensures  that  no  significant  security- 
  9203. relevant changes  are  made  without  the  approval  of  all 
  9204. affected parties. 
  9205.  
  9206.  
  9207. 4.1.1.3.2.1 Exportation to Multilevel Devices 
  9208.  
  9209. + Statement from DoD 5200.28-STD 
  9210.  
  9211. When the TCB exports an object to a multilevel  I/O  device, 
  9212. the sensitivity label associated with that object shall also 
  9213. be exported and shall reside on the same physical medium  as 
  9214. the  exported  information  and  shall  be  in the same form 
  9215. (i.e., machine-readable or human-readable form).   When  the 
  9216. TCB  exports or imports an object over a multilevel communi- 
  9217. cations channel, the protocol used  on  that  channel  shall 
  9218. provide  for the unambiguous pairing between the sensitivity 
  9219. labels and  the  associated  information  that  is  sent  or 
  9220. received. 
  9221.  
  9222. +  Interpretation 
  9223.  
  9224.      The components, including hosts, of a network shall  be 
  9225. interconnected  over  "multilevel  communication  channels," 
  9226. multiple single-level communication channels, or both, when- 
  9227. ever  the information is to be protected at more than a sin- 
  9228. gle sensitivity level.  The  protocol  for  associating  the 
  9229. sensitivity label and the exported information shall provide 
  9230. the only information needed to correctly associate a  sensi- 
  9231. tivity  level with the exported information transferred over 
  9232. the multilevel channel between the NTCB partitions in  indi- 
  9233. vidual components. This protocol definition must specify the 
  9234. representation  and  semantics  of  the  sensitivity  labels 
  9235. (i.e.,  the  machine-readable  label must uniquely represent 
  9236. the sensitivity level). 
  9237.  
  9238.      The "unambiguous" association of the sensitivity  level 
  9239. with  the communicated information shall meet the same level 
  9240. of accuracy as that required for any other label within  the 
  9241. NTCB,  as  specified  in  the criterion for Label Integrity. 
  9242. This may be provided by protected and highly reliable direct 
  9243. physical  layer connections, or by traditional cryptographic 
  9244. link protection in which any errors during transmission  can 
  9245. be  readily  detected,  or by use of a separate channel. The 
  9246. range of information  imported  or  exported  must  be  con- 
  9247. strained by the associated device labels. 
  9248.  
  9249. +  Rationale 
  9250.  
  9251.      This  protocol  must  specify  the  representation  and 
  9252. semantics  of  the  sensitivity  labels.   See the Mandatory 
  9253. Access Control Policies section in  Appendix  B.   The  mul- 
  9254. tilevel  device  interface  to  (untrusted)  subjects may be 
  9255. implemented either by the interface of the  reference  moni- 
  9256. tor,  per  se,  or by a multilevel subject (e.g., a "trusted 
  9257. subject" as defined in the Bell-LaPadula  Model)  that  pro- 
  9258. vides  the  labels  based on the internal labels of the NTCB 
  9259. partition. 
  9260.  
  9261.      The current state of the art  limits  the  support  for 
  9262. mandatory  policy  that  is  practical  for secure networks. 
  9263. Reference monitor support to ensure the control over all the 
  9264. operations of each subject in the network must be completely 
  9265. provided within the single NTCB partition on which that sub- 
  9266. ject  interfaces  to  the  NTCB.  This means that the entire 
  9267. portion of the "secure  state"  represented  in  the  formal 
  9268. security  policy  model  that  may be changed by transitions 
  9269. invoked by this  subject  must  be  contained  in  the  same 
  9270. component. 
  9271.  
  9272.      The secure state of an NTCB partition may  be  affected 
  9273. by events external to the component in which the NTCB parti- 
  9274. tion resides (e.g.,  arrival  of  a  message).   The  effect 
  9275. occurs  asynchronusly  after  being initiated by an event in 
  9276. another component or partition.  For example,  indeterminate 
  9277. delays  may occur between the initiation of a message in one 
  9278. component, the arrival of the message in the NTCB  partition 
  9279. in  another  component,  and the corresponding change to the 
  9280. secure state of the second component.  Since each  component 
  9281. is  executing  concurrently,  to  do otherwise would require 
  9282. some sort of network-wide control to synchronize state tran- 
  9283. sitions, such as a global network-wide clock for all proces- 
  9284. sors; in general, such designs are not practical  and  prob- 
  9285. ably not even desirable.  Therefore, the interaction between 
  9286. NTCB partitions is restricted to just communications between 
  9287. pairs  (at least logically) of devices-multilevel devices if 
  9288. the device(s) can send/receive data of more  than  a  single 
  9289. level.  For  broadcast channels the pairs are the sender and 
  9290. intended receiver(s).  However,  if  the  broadcast  channel 
  9291. carries multiple levels of information, additional mechanism 
  9292. (e.g., cryptochecksum maintained by the TCB) may be required 
  9293. to enforce separation and proper delivery. 
  9294.  
  9295.      A  common  representation  for  sensitivity  labels  is 
  9296. needed  in  the protocol used on that channel and understood 
  9297. by both the sender and receiver when two multilevel  devices 
  9298. (in  this  case,  in two different components) are intercon- 
  9299. nected. Each distinct sensitivity level of the overall  net- 
  9300. work policy must be represented uniquely in these labels. 
  9301.  
  9302.      Within a monolithic TCB, the  accuracy  of  the  sensi- 
  9303. tivity  labels  is  generally  assured by simple techniques, 
  9304. e.g., very reliable connections  over  very  short  physical 
  9305. connections,  such  as  on a single printed circuit board or 
  9306. over an internal bus.  In many network environments there is 
  9307. a  much  higher  probability  of accidentally or maliciously 
  9308. introduced errors, and these must be protected against. 
  9309.  
  9310.  
  9311. 4.1.1.3.2.2 Exportation to Single-Level Devices 
  9312.  
  9313. + Statement from DoD 5200.28-STD 
  9314.  
  9315. Single-level  I/O  devices  and  single-level  communication 
  9316. channels are not required to maintain the sensitivity labels 
  9317. of the information they process.   However,  the  TCB  shall 
  9318. include  a mechanism by which the TCB and an authorized user 
  9319. reliably communicate to  designate  the  single  sensitivity 
  9320. level  of  information imported or exported via single-level 
  9321. communication channels or I/O devices. 
  9322.  
  9323. +  Interpretation 
  9324.  
  9325.      Whenever one or both of  two  directly  connected  com- 
  9326. ponents  is  not  trusted  to  maintain  the  separation  of 
  9327. information of different sensitivity levels, or whenever the 
  9328. two  directly connected components have only a single sensi- 
  9329. tivity level in common, the two components  of  the  network 
  9330. shall communicate over a single-level channel.  Single-level 
  9331. components and single-level communication channels  are  not 
  9332. required  to maintain the sensitivity labels of the informa- 
  9333. tion they process. However, the NTCB shall include  a  reli- 
  9334. able  communication  mechanism  by  which  the  NTCB  and an 
  9335. authorized user (via a trusted path) or a subject within  an 
  9336. NTCB partition can designate the single sensitivity level of 
  9337. information imported or exported via single-level communica- 
  9338. tion  channels  or network components. The level of informa- 
  9339. tion communicated must equal the device level. 
  9340.  
  9341. + Rationale 
  9342.  
  9343.      Single-level communications channels  and  single-level 
  9344. components  in  networks are analogous to single level chan- 
  9345. nels and I/O devices in stand-alone systems in that they are 
  9346. not  trusted  to  maintain  the separation of information of 
  9347. different sensitivity levels.  The  labels  associated  with 
  9348. data transmitted over those channels and by those components 
  9349. are therefore implicit; the NTCB associates labels with  the 
  9350. data  because of the channel or component, not because of an 
  9351. explicit part of the bit stream.  Note that the  sensitivity 
  9352. level  of  encrypted information is the level of the cipher- 
  9353. text rather than the original level(s) of the plaintext. 
  9354.  
  9355.  
  9356. 4.1.1.3.2.3 Labeling Human-Readable Output 
  9357.  
  9358. + Statement from DoD 5200.28-STD 
  9359.  
  9360. The ADP system administrator shall be able  to  specify  the 
  9361. printable  label  names associated with exported sensitivity 
  9362. labels.  The TCB shall mark the beginning  and  end  of  all 
  9363. human-readable,  paged,  hardcopy output (e.g., line printer 
  9364. output) with human-readable sensitivity  labels  that  prop- 
  9365. erly1  represent  the  sensitivity  of  the output.  The TCB 
  9366. shall, by default, mark the top and bottom of each  page  of 
  9367. human-readable,  paged,  hardcopy output (e.g., line printer 
  9368. output) with human-readable sensitivity  labels  that  prop- 
  9369. erly1 represent the sensitivity of the page.  The TCB shall, 
  9370. by default and in an appropriate manner, mark other forms of 
  9371. human  readable  output  (e.g.,  maps, graphics) with human- 
  9372. readable sensitivity labels  that  properly1  represent  the 
  9373. sensitivity  of  the output.  Any override of these markings 
  9374. defaults shall be auditable by the TCB. 
  9375. _________________________ 
  9376. 1 The hierarchical classification component  in  human- 
  9377. readable  sensitivity  labels  shall  be  equal  to the 
  9378. greatest hierarchical classification of any of the  in- 
  9379. formation  in  the output that the labels refer to; the 
  9380. non-hierarchical category component shall  include  all 
  9381. of  the  non-hierarchical categories of the information 
  9382. in the output the labels refer to, but  no  other  non- 
  9383. hierarchical categories. 
  9384.  
  9385. +  Interpretation 
  9386.  
  9387.      This criterion imposes no requirement  to  a  component 
  9388. that  produces  no human-readable output.  For those that do 
  9389. produce human-readable output, each sensitivity  level  that 
  9390. is  defined  to  the  network  shall  have a uniform meaning 
  9391. across all components.  The network administrator,  in  con- 
  9392. junction with any affected component administrator, shall be 
  9393. able to specify the human-readable label that is  associated 
  9394. with each defined sensitivity level. 
  9395.  
  9396. +  Rationale 
  9397.  
  9398.      The interpretation is a  straightforward  extension  of 
  9399. the  requirement  into  the  context of a network system and 
  9400. partitioned NTCB as defined for  these  network  interpreta- 
  9401. tions. 
  9402.  
  9403.  
  9404. 4.1.1.3.3 Subject Sensitivity Labels 
  9405.  
  9406. + Statement from DoD 5200.28-STD 
  9407.  
  9408. The TCB shall immediately notify a  terminal  user  of  each 
  9409. change  in  the  sensitivity level associated with that user 
  9410. during an interactive session.  A  terminal  user  shall  be 
  9411. able  to  query  the  TCB  as  desired  for a display of the 
  9412. subject's complete sensitivity label. 
  9413.  
  9414. + Interpretation 
  9415.  
  9416.      An NTCB partition shall immediately notify  a  terminal 
  9417. user  attached to its component of each change in the sensi- 
  9418. tivity level associated with that user. 
  9419.  
  9420. + Rationale 
  9421.  
  9422.      The local NTCB partition  must  ensure  that  the  user 
  9423. understands the sensitivity level of information sent to and 
  9424. from a terminal.  When a user has  a  surrogate  process  in 
  9425. another  component,  adjustments  to  its level may occur to 
  9426. maintain communication with the  user.   These  changes  may 
  9427. occur  asynchronously.  Such adjustments are necessitated by 
  9428. mandatory access control as applied to the objects  involved 
  9429. in the communication path. 
  9430.  
  9431.  
  9432. 4.1.1.3.4  Device Labels 
  9433.  
  9434. + Statement from DoD 5200.28-STD 
  9435.  
  9436. The TCB shall support the assignment of minimum and  maximum 
  9437. sensitivity  levels to all attached physical devices.  These 
  9438. sensitivity levels shall be used by the TCB to enforce  con- 
  9439. straints  imposed  by the physical environments in which the 
  9440. devices are located. 
  9441.  
  9442. + Interpretation 
  9443.  
  9444.      This requirement applies as written to each NTCB parti- 
  9445. tion that is trusted to separate information based on sensi- 
  9446. tivity level.  Each I/O device in a component, used for com- 
  9447. munication with other network components, is assigned a dev- 
  9448. ice range, consisting of a set of labels with a maximum  and 
  9449. minimum.   (A  device  range  usually contains, but does not 
  9450. necessarily contain, all possible labels "between" the  max- 
  9451. imum and minimum, in the sense of dominating the minimum and 
  9452. being dominated by the maximum.) 
  9453.  
  9454.      The NTCB always provides an accurate label for informa- 
  9455. tion  exported  through  devices.   Information  exported or 
  9456. imported using a single-level device is labelled  implicitly 
  9457. by   the  sensitivity  level  of  the  device.   Information 
  9458. exported from one multilevel device and imported at  another 
  9459. must  be labelled through an agreed-upon protocol, unless it 
  9460. is labelled implicitly by using a  communication  link  that 
  9461. always carries a single level. 
  9462.  
  9463.      Information exported at a given sensitivity  level  can 
  9464. be  sent only to an importing device whose device range con- 
  9465. tains that level or a higher level.  If the importing device 
  9466. range  does  not contain the given level, the information is 
  9467. relabelled upon reception  at  a  higher  level  within  the 
  9468. importing device range.  Relabelling should not occur other- 
  9469. wise. 
  9470.  
  9471. + Rationale 
  9472.  
  9473.      The purpose of device labels is  to  reflect  and  con- 
  9474. strain  the sensitivity levels of information authorized for 
  9475. the physical environment in which the devices are located. 
  9476.  
  9477.      The information transfer  restrictions  permit  one-way 
  9478. communication (i.e., no acknowledgements) from one device to 
  9479. another whose ranges have no level in  common,  as  long  as 
  9480. each  level in the sending device range is dominated by some 
  9481. level in the receiving device range.  It is never  permitted 
  9482. to send information at a given level to a device whose range 
  9483. does not contain a dominating level.  (See  Appendix  C  for 
  9484. similar  interconnection  rules  for  the interconnected AIS 
  9485. view.) 
  9486.  
  9487. 4.1.1.4 Mandatory Access Control 
  9488.  
  9489. + Statement from DoD 5200.28-STD 
  9490.  
  9491. The TCB shall enforce a mandatory access control policy over 
  9492. all resources (i.e., subjects, storage objects, and I/O dev- 
  9493. ices) that are directly or indirectly accessible by subjects 
  9494. external  to  the  TCB.  These subjects and objects shall be 
  9495. assigned  sensitivity  labels  that  are  a  combination  of 
  9496. hierarchical   classification  levels  and  non-hierarchical 
  9497. categories, and the labels shall be used as  the  basis  for 
  9498. mandatory  access  control decisions.  The TCB shall be able 
  9499. to support two or more such sensitivity  levels.   (See  the 
  9500. Mandatory  Access  Control  interpretations.)  The following 
  9501. requirements shall hold for all accesses  between  all  sub- 
  9502. jects  external  to  the  TCB  and  all  objects directly or 
  9503. indirectly accessible by these subjects.     A  subject  can 
  9504. read  an  object  only if the hierarchical classification in 
  9505. the subject's sensitivity level is greater than or equal  to 
  9506. the  hierarchical classification of the object's sensitivity 
  9507. level and the non-hierarchical categories in  the  subject's 
  9508. sensitivity   level   include   all   the   non-hierarchical 
  9509. categories in the object's sensitivity level. A subject  can 
  9510. write  an  object only if the hierarchical classification in 
  9511. the subject's sensitivity level is less than or equal to the 
  9512. hierarchical  classification  of  the  object's  sensitivity 
  9513. level and the non-hierarchical categories in  the  subject's 
  9514. sensitivity  level  are  included  in  the  non-hierarchical 
  9515. categories in the object's sensitivity level. Identification 
  9516. and  authentication data shall be used by the TCB to authen- 
  9517. ticate the user's identity and to  ensure  that  the  sensi- 
  9518. tivity  level  and authorization of subjects external to the 
  9519. TCB that may be created to act on behalf of  the  individual 
  9520. user  are  dominated  by  the clearance and authorization of 
  9521. that user. 
  9522.  
  9523. +  Interpretation 
  9524.  
  9525.      Each partition of the NTCB exercises  mandatory  access 
  9526. control  policy  over  all  subjects and objects in its com- 
  9527. ponent. In a network, the responsibility of an  NTCB  parti- 
  9528. tion  encompasses  all mandatory access control functions in 
  9529. its component that would be required of a TCB  in  a  stand- 
  9530. alone  system.  In particular, subjects and objects used for 
  9531. communication with other components are under the control of 
  9532. the  NTCB  partition.   Mandatory  access  control  includes 
  9533. secrecy and integrity control to the extent that the network 
  9534. sponsor  has  described in the overall network security pol- 
  9535. icy. 
  9536.  
  9537.      Conceptual  entities  associated   with   communication 
  9538. between  two  components,  such as sessions, connections and 
  9539. virtual circuits, may be thought of as having two ends,  one 
  9540. in  each component, where each end is represented by a local 
  9541. object.  Communication is viewed as an operation that copies 
  9542. information  from  an  object  at one end of a communication 
  9543. path to an object at the other end.  Transient data-carrying 
  9544. entities,  such  as  datagrams  and packets, exist either as 
  9545. information within other objects, or as a pair  of  objects, 
  9546. one at each end of the communication path. 
  9547.  
  9548.      The requirement for "two or  more"  sensitivity  levels 
  9549. can  be  met  by  either  secrecy or integrity levels.  When 
  9550. there is a mandatory integrity policy, the  stated  require- 
  9551. ments for reading and writing are generalized to:  A subject 
  9552. can read an object only if the subject's  sensitivity  level 
  9553. dominates  the object's sensitivity level, and a subject can 
  9554. write an object only if the object's sensitivity level  dom- 
  9555. inates  the  subject's  sensitivity  level.   Based  on  the 
  9556. integrity policy, the network sponsor shall define the domi- 
  9557. nance  relation for the total label, for example, by combin- 
  9558. ing secrecy and integrity lattices. - 
  9559.  
  9560. + Rationale 
  9561.  
  9562.      An NTCB partition can maintain access control only over 
  9563. subjects  and  objects  in  its  component. At levels B2 and 
  9564. above, the NTCB partition must maintain access control  over 
  9565. all subjects and objects in its component.  Access by a sub- 
  9566. ject in one component to information contained in an  object 
  9567. in  another  component requires the creation of a subject in 
  9568. the remote component which acts as a surrogate for the first 
  9569. subject. 
  9570.  
  9571.      The mandatory access controls must be enforced  at  the 
  9572. interface  of the reference monitor (viz. the mechanism that 
  9573. controls physical processing resources) for each NTCB parti- 
  9574. tion.   This  mechanism  creates the abstraction of subjects 
  9575. and objects which it controls.  Some of these subjects  out- 
  9576. side  the  reference  monitor,  per se, may be designated to 
  9577. implement part of  an  NTCB  partition's  mandatory  policy, 
  9578. e.g.,  by using the ``trusted subjects" defined in the Bell- 
  9579. LaPadula model. 
  9580.  
  9581.      The prior requirements on exportation of labeled infor- 
  9582. mation  to  and  from  I/O  devices  ensure  the consistency 
  9583. between the sensitivity labels of  objects  connected  by  a 
  9584. communication  path.  As noted in the introduction, the net- 
  9585. work architecture must recognize  the  linkage  between  the 
  9586. overall mandatory network security policy and the connection 
  9587. oriented abstraction. For example, individual  data-carrying 
  9588. entities  such  as datagrams can have individual sensitivity 
  9589. labels that subject them to mandatory access control in each 
  9590. component.   The abstraction of a single-level connection is 
  9591. realized and enforced implicitly by an architecture while  a 
  9592. connection  is realized by single-level subjects that neces- 
  9593. sarily employ only datagrams of the same level. 
  9594.  
  9595.      The fundamental trusted systems technology permits  the 
  9596. DAC mechanism to be distributed, in contrast to the require- 
  9597. ments for  mandatory  access  control.   For  networks  this 
  9598. separation of MAC and DAC mechanisms is the rule rather than 
  9599. _________________________ 
  9600.   - See, for example, Grohn, M.  J., A Model of a  Pro- 
  9601.                                      _ _____ __ _  ___ 
  9602. tected  Data  Management  System, ESD-TR-76-289, I.  P. 
  9603. ______  ____  __________  ______ 
  9604. Sharp Assoc.  Ltd., June, 1976;  and  Denning,  D  .E., 
  9605. Lunt, T. F., Neumann, P. G., Schell, R. R., Heckman, M. 
  9606. and Shockley, W., Secure Distributed Data Views,  Secu- 
  9607.                   ______ ___________ ____ _____   ____ 
  9608. rity Policy and Interpretation for a Class A1 Multilev- 
  9609. ____ ______ ___ ______________ ___ _ _____ __ ________ 
  9610. el Secure Relational Database System,SRI International, 
  9611. __ ______ __________ ________ ______ 
  9612. November 1986. 
  9613.  
  9614.  
  9615. the exception. 
  9616.  
  9617.      The set of total sensitivity labels used  to  represent 
  9618. all  the sensitivity levels for the mandatory access control 
  9619. (combined data secrecy and  data  integrity)  policy  always 
  9620. forms  a partially ordered set.  Without loss of generality, 
  9621. this set of labels can always be extended to form a lattice, 
  9622. by   including  all  the  combinations  of  non-hierarchical 
  9623. categories.  As for any lattice,  a  dominance  relation  is 
  9624. always defined for the total sensitivity labels.  For admin- 
  9625. istrative reasons it may be helpful to have a maximum  level 
  9626. which dominates all others. 
  9627.  
  9628.  
  9629. 4.1.2 Accountability 
  9630. _ _ _ ______________ 
  9631.  
  9632.  
  9633. 4.1.2.1 Identification and Authentication 
  9634.  
  9635. + Statement from DoD 5200.28-STD 
  9636.  
  9637. The TCB shall require users to  identify  themselves  to  it 
  9638. before  beginning  to perform any other actions that the TCB 
  9639. is expected to mediate.  Furthermore, the TCB shall maintain 
  9640. authentication  data that includes information for verifying 
  9641. the identify of individual users (e.g., passwords)  as  well 
  9642. as  information for determining the clearance and authoriza- 
  9643. tions of individual users.  This data shall be used  by  the 
  9644. TCB  to  authenticate the user's identity and to ensure that 
  9645. the sensitivity level and authorization of subjects external 
  9646. to the TCB that may be created to act on behalf of the indi- 
  9647. vidual user are dominated by the clearance and authorization 
  9648. of  that  user. The TCB shall protect authentication data so 
  9649. that it cannot be accessed by any  unauthorized  user.   The 
  9650. TCB  shall  be  able to enforce individual accountability by 
  9651. providing the capability to uniquely identify  each  indivi- 
  9652. dual  ADP system user.  The TCB shall also provide the capa- 
  9653. bility of  associating  this  identity  with  all  auditable 
  9654. actions taken by that individual. 
  9655.  
  9656. +  Interpretation 
  9657.  
  9658.      The requirement for identification  and  authentication 
  9659. of users is the same for a network system as for an ADP sys- 
  9660. tem. The identification and authentication may  be  done  by 
  9661. the  component  to  which  the user is directly connected or 
  9662. some other component, such as an identification and  authen- 
  9663. tication  server.   Available  techniques,  such  as   those 
  9664. described  in  the  Password  Guideline=, are generally also 
  9665. applicable in the network context. However, in  cases  where 
  9666. the  NTCB is expected to mediate actions of a host (or other 
  9667. network component) that is acting on behalf  of  a  user  or 
  9668. group  of  users,  the  NTCB  may  employ identification and 
  9669. _________________________ 
  9670.   = Department of Defense  Password  Management  Guide- 
  9671.     __________ __ _______  ________  __________  _____ 
  9672. line, CSC-STD-002-85 
  9673. ____ 
  9674.  
  9675.  
  9676. authentication of the host (or other component) in  lieu  of 
  9677. identification  and authentication of an individual user, so 
  9678. long as the component identifier implies a list of  specific 
  9679. users uniquely associated with the identifier at the time of 
  9680. its use for authentication.  This requirement does not apply 
  9681. to internal subjects. 
  9682.  
  9683.      Authentication information, including the identity of a 
  9684. user  (once  authenticated) may be passed from one component 
  9685. to another without reauthentication, so  long  as  the  NTCB 
  9686. protects  (e.g.,  by  encryption) the information from unau- 
  9687. thorized disclosure and modification. This protection  shall 
  9688. provide  at  least a similar level of assurance (or strength 
  9689. of mechanism) as pertains to the protection of the authenti- 
  9690. cation mechanism and authentication data. 
  9691.  
  9692. +  Rationale 
  9693.  
  9694.      The need for accountability is not changed in the  con- 
  9695. text  of a network system.  The fact that the NTCB is parti- 
  9696. tioned over a set of components neither reduces the need nor 
  9697. imposes  new requirements.  That is, individual accountabil- 
  9698. ity is still the objective. Also, in the context of  a  net- 
  9699. work system at the (C2) level or higher  "individual accoun- 
  9700. tability" can be satisfied by identification of a  host  (or 
  9701. other component) so long as the requirement for traceability 
  9702. to individual users or a set of  specific  individual  users 
  9703. with active subjects is satisfied. There is allowed to be an 
  9704. uncertainty in traceability because of elapsed time  between 
  9705. changes  in  the group membership and the enforcement in the 
  9706. access control mechanisms.  In addition, there is no need in 
  9707. a  distributed processing system like a network to reauthen- 
  9708. ticate a user at each point in the network where  a  projec- 
  9709. tion  of  a user (via the subject operating on behalf of the 
  9710. user) into another remote subject takes place. 
  9711.  
  9712.      The passing of identifiers and/or authentication infor- 
  9713. mation from one component to another is usually done in sup- 
  9714. port to the implementation of the discretionary access  con- 
  9715. trol  (DAC).   This  support  relates  directly  to  the DAC 
  9716. regarding access by a user to a storage  object  in  a  dif- 
  9717. ferent  NTCB  partition  than  the  one  where  the user was 
  9718. authenticated. Employing a forwarded identification  implies 
  9719. additional  reliance  on the source and components along the 
  9720. path.  If the authenticated identification is  used  as  the 
  9721. basis  of  determining a sensitivity label for a subject, it 
  9722. must satisfy the Label Integrity criterion. 
  9723.  
  9724.      An  authenticated  identification  may   be   forwarded 
  9725. between  components  and employed in some component to iden- 
  9726. tify the sensitivity level associated with a subject created 
  9727. to act on behalf of the user so identified. 
  9728.  
  9729. 4.1.2.1.1 Trusted Path 
  9730.  
  9731. + Statement from DoD 5200.28-STD 
  9732.  
  9733. The TCB shall support a trusted communication  path  between 
  9734. itself and users for use when a positive TCB-to-user connec- 
  9735. tion is required (e.g., login,  change  subject  sensitivity 
  9736. level).    Communications  via  this  trusted  path shall be 
  9737. activated  exclusively by a user or the  TCB  and  shall  be 
  9738. logically and unmistakably distinguishable from other paths. 
  9739.  
  9740.  
  9741. + Interpretation 
  9742.  
  9743.      A trusted path  is  supported  between  a  user  (i.e., 
  9744. human)  and the NTCB partition in the component to which the 
  9745. user is directly connected. 
  9746.  
  9747. + Rationale 
  9748.  
  9749.      When a user logs into a remote component, the  user  id 
  9750. is  transmitted  securely  between the local and remote NTCB 
  9751. partitions in accordance with the requirements in  Identifi- 
  9752. cation and Authentication. 
  9753.  
  9754.      Trusted Path is necessary in order to assure  that  the 
  9755. user  is  communicating with the NTCB and only the NTCB when 
  9756. security relevant activities are taking place (e.g., authen- 
  9757. ticate  user,  set current session sensitivity level).  How- 
  9758. ever, Trusted Path does not  address  communications  within 
  9759. the NTCB, only communications between the user and the NTCB. 
  9760. If, therefore, a component does not support any direct  user 
  9761. communication then the component need not contain mechanisms 
  9762. for assuring direct NTCB to user communications. 
  9763.  
  9764.      The requirement for trusted communication  between  one 
  9765. NTCB  partition  and  another NCTB partition is addressed in 
  9766. the System  Architecture  section.  These  requirements  are 
  9767. separate  and  distinct  from the user to NTCB communication 
  9768. requirement of a trusted path.  However, it is expected that 
  9769. this  trusted  communication  between one NTCB partition and 
  9770. another NTCB partition will be used in conjunction with  the 
  9771. trusted  path to implement trusted communication between the 
  9772. user and the remote NTCB partition. 
  9773.  
  9774.  
  9775. 4.1.2.2 Audit 
  9776.  
  9777. + Statement from DoD 5200.28-STD 
  9778.  
  9779. The TCB shall be able to create, maintain, and protect  from 
  9780. modification  or unauthorized access or destruction an audit 
  9781. trail of accesses to the objects  it  protects.   The  audit 
  9782. data shall be protected by the TCB so that read access to it 
  9783. is limited to those who are authorized for audit data.   The 
  9784. TCB  shall  be able to record the following types of events: 
  9785. use  of  identification   and   authentication   mechanisms, 
  9786. introduction  of  objects into a user's address space (e.g., 
  9787. file open, program initiation), deletion of objects, actions 
  9788. taken by computer operators and system administrators and/or 
  9789. system  security  officers,  and  other  security   relevant 
  9790. events.  The TCB shall also be able to audit any override of 
  9791. human-readable output markings.  For  each  recorded  event, 
  9792. the audit record shall identify: date and time of the event, 
  9793. user, type of event, and success or failure  of  the  event. 
  9794. For   identification/authentication  events  the  origin  of 
  9795. request (e.g., terminal ID) shall be included in  the  audit 
  9796. record.   For  events that introduce an object into a user's 
  9797. address space and  for  object  deletion  events  the  audit 
  9798. record shall include the name of the object and the object's 
  9799. sensitivity level. The ADP  system  administrator  shall  be 
  9800. able  to  selectively  audit  the actions of any one or more 
  9801. users based on individual identify and/or object sensitivity 
  9802. level.     The  TCB  shall  be  able to audit the identified 
  9803. events that may  be  used  in  the  exploitation  of  covert 
  9804. storage  channels.    The TCB shall contain a mechanism that 
  9805. is able to monitor the occurrence or accumulation  of  secu- 
  9806. rity  auditable  events that may indicate an imminent viola- 
  9807. tion of security policy.  This mechanism shall  be  able  to 
  9808. immediately  notify  the  security administrator when thres- 
  9809. holds are exceeded and, if the occurrence or accumulation of 
  9810. these  security  relevant events continues, the system shall 
  9811. take the least disruptive action to terminate the event. 
  9812.  
  9813. +  Interpretation 
  9814.  
  9815.      This criterion applies  as  stated.  The  sponsor  must 
  9816. select  which  events are auditable.  If any such events are 
  9817. not distinguishable by the NTCB  alone  (for  example  those 
  9818. identified in Part II), the audit mechanism shall provide an 
  9819. interface, which  an  authorized  subject  can  invoke  with 
  9820. parameters  sufficient  to  produce  an audit record.  These 
  9821. audit records shall be distinguishable from  those  provided 
  9822. by  the  NTCB.   In  the context of a network system, "other 
  9823. security  relevant  events"  (depending  on  network  system 
  9824. architecture  and  network security policy) might be as fol- 
  9825. lows: 
  9826.  
  9827.  
  9828. 1.      Identification of each access  event  (e.g.,  estab- 
  9829.         lishing a connection or a connectionless association 
  9830.         between processes in two hosts of the  network)  and 
  9831.         its  principal parameters (e.g., host identifiers of 
  9832.         the two hosts involved in the access event and  user 
  9833.         identifier  or  host  identifier of the user or host 
  9834.         that is requesting the access event) 
  9835.  
  9836. 2.      Identification of the starting and ending  times  of 
  9837.         each  access  event  using local time or global syn- 
  9838.         chronized time 
  9839.  
  9840. 3.      Identification of security-relevant exceptional con- 
  9841.         ditions   (e.g.,   potential   violation   of   data 
  9842.         integrity, such  as  misrouted  datagrams)  detected 
  9843.         during the transactions between two hosts 
  9844.  
  9845. 4.      Utilization of cryptographic variables 
  9846.  
  9847. 5.      Changing the configuration of the network  (e.g.,  a 
  9848.         component leaving the network and rejoining) 
  9849.  
  9850.      In  addition,  identification  information  should   be 
  9851. included  in  appropriate audit trail records, as necessary, 
  9852. to allow association of all  related  (e.g.,  involving  the 
  9853. same  network event) audit trail records (e.g., at different 
  9854. hosts) with each other.  Furthermore,  a  component  of  the 
  9855. network  system  may  provide  the required audit capability 
  9856. (e.g., storage, retrieval, reduction,  analysis)  for  other 
  9857. components  that  do  not  internally  store  audit data but 
  9858. transmit the audit data to some designated  collection  com- 
  9859. ponent.   Provisions  shall  be  made to control the loss of 
  9860. audit data due to unavailability of resources. 
  9861.  
  9862.      In the context of a network system, the "user's address 
  9863. space"  is  extended,  for  object introduction and deletion 
  9864. events, to include address spaces being employed  on  behalf 
  9865. of  a  remote user (or host).  However, the focus remains on 
  9866. users in contrast to internal subjects as discussed  in  the 
  9867. DAC  criterion.   In  addition,  audit  information  must be 
  9868. stored in machine-readable form. 
  9869.  
  9870.      The capability  must  exist  to  audit  the  identified 
  9871. events  that  may  be  used  in  the  exploitation of covert 
  9872. storage channels.  To accomplish this, each  NTCB  partition 
  9873. must  be able to audit those events locally that may lead to 
  9874. the exploitation of a covert  storage  channel  which  exist 
  9875. because of the network. 
  9876.  
  9877.      The  sponsor  shall  identify  the  specific  auditable 
  9878. events  that  may indicate an imminent violation of security 
  9879. policy.  The component which detects the occurrence or accu- 
  9880. mulation  of such events must be able to notify an appropri- 
  9881. ate administrator when thresholds are exceeded, and to  ini- 
  9882. tiate  actions which will result in termination of the event 
  9883. if the accumulation continues.  For example, when the thres- 
  9884. hold  of unsuccessful login attempts within a period of time 
  9885. is exceeded, login shall be inhibited for  a  specific  time 
  9886. period. 
  9887.  
  9888. +  Rationale 
  9889.  
  9890.      For remote users, the network identifiers (e.g., inter- 
  9891. net address) can be used as identifiers of groups of indivi- 
  9892. dual users (e.g., "all users at Host A")  to  eliminate  the 
  9893. maintenance that would be required if individual identifica- 
  9894. tion of remote users was employed.  In this class (C2), how- 
  9895. ever,  it  must  be  possible to identify (immediately or at 
  9896. some later time) the  individuals  represented  by  a  group 
  9897. identifier.   In all other respects, the interpretation is a 
  9898. straightforward extension of the criterion into the  context 
  9899. of  a  network  system.   Identification  of  covert channel 
  9900. events is addressed in the Covert Channel Analysis section. 
  9901.  
  9902.      Because of concurrency and synchronization problems, it 
  9903. may  not be possible to detect in real time the accumulation 
  9904. of security auditable events that are occurring in different 
  9905. NTCB partitions.  However, each NTCB partition that has been 
  9906. allocated audit responsibility must have the  capability  to 
  9907. detect  the local accumulation of events, to notify the par- 
  9908. tition security administrator and/or  the  network  security 
  9909. administrator,  and to initiate actions which will result in 
  9910. termination of the event locally. 
  9911.  
  9912.  
  9913. 4.1.3 Assurance 
  9914. _ _ _ _________ 
  9915.  
  9916.  
  9917. 4.1.3.1 Operational Assurance 
  9918.  
  9919.  
  9920. 4.1.3.1.1 System Architecture 
  9921.  
  9922. + Statement from DoD 5200.28-STD 
  9923.  
  9924. The TCB shall maintain a domain for its own  execution  that 
  9925. protects  it  from external interference or tampering (e.g., 
  9926. by modification of its code or data  structures).   The  TCB 
  9927. shall  maintain  process  isolation through the provision of 
  9928. distinct address spaces under its control. The TCB shall  be 
  9929. internally  structured into well-defined largely independent 
  9930. modules.  It shall make effective use of available  hardware 
  9931. to separate those elements that are protection-critical from 
  9932. those that are not. The TCB modules shall be  designed  such 
  9933. that the principle of least privilege is enforced.  Features 
  9934. in hardware, such as segmentation, shall be used to  support 
  9935. logically  distinct storage objects with separate attributes 
  9936. (namely: readable, writable).  The user interface to the TCB 
  9937. shall  be  completely  defined  and  all elements of the TCB 
  9938. identified.   The TCB shall be designed  and  structured  to 
  9939. use  a  complete,  conceptually  simple protection mechanism 
  9940. with precisely defined semantics.  This mechanism shall play 
  9941. a  central role in enforcing the internal structuring of the 
  9942. TCB and the system.  The TCB shall  incorporate  significant 
  9943. use  of  layering, abstraction and data hiding.  Significant 
  9944. system engineering shall be directed toward  minimizing  the 
  9945. complexity  of  the  TCB  and excluding from the TCB modules 
  9946. that are not protection-critical. 
  9947.  
  9948. +  Interpretation 
  9949.  
  9950.      The system architecture criterion must be met individu- 
  9951. ally by all NTCB partitions.  Implementation of the require- 
  9952. ment that the NTCB maintain a domain for its  own  execution 
  9953. is  achieved by having each NTCB partition maintain a domain 
  9954. for its own execution. Since each component is itself a dis- 
  9955. tinct domain in the overall network system, this also satis- 
  9956. fies the requirement for process isolation through  distinct 
  9957. address  spaces  in  the  special case where a component has 
  9958. only a single subject. 
  9959.  
  9960.      The NTCB  must  be  internally  structured  into  well- 
  9961. defined  largely  independent  modules and meet the hardware 
  9962. requirements. This is satisfied by having each  NTCB  parti- 
  9963. tion so structured. The NTCB controls all network resources. 
  9964. These resources are the union of the sets of resources  over 
  9965. which  the  NTCB  partitions  have  control.   Code and data 
  9966. structures belonging to the  NTCB,  transferred  among  NTCB 
  9967. subjects  (i.e.,  subjects outside the reference monitor but 
  9968. inside the NTCB) belonging  to  different  NTCB  partitions, 
  9969. must  be  protected against external interference or tamper- 
  9970. ing.  For example,  a  cryptographic  checksum  or  physical 
  9971. means  may  be  employed to protect user authentication data 
  9972. exchanged between NTCB partitions. 
  9973.  
  9974.      Each NTCB partition must enforce the principle of least 
  9975. privilege within its component.  Additionally, the NTCB must 
  9976. be structured so that the principle of  least  privilege  is 
  9977. enforced in the system as a whole. 
  9978.  
  9979.      The NTCB must be designed and structured  according  to 
  9980. the network security architecture to use a complete, concep- 
  9981. tually simple protection mechanism.  Furthermore, each  NTCB 
  9982. partition must also be so designed and structured. 
  9983.  
  9984.      Significant  system  engineering  should  be   directed 
  9985. toward minimizing the complexity of each NTCB partition, and 
  9986. of the NTCB.  Care shall be taken to  exclude  modules  (and 
  9987. components) that are not protection-critical from the NTCB. 
  9988.  
  9989.      It is recognized that some  modules  and/or  components 
  9990. may  need  to be included in the NTCB and must meet the NTCB 
  9991. requirements even though they may not appear to be  directly 
  9992. protection-critical.    The   correct   operation  of  these 
  9993. modules/components is necessary for the correct operation of 
  9994. the  protection-critical  modules  and components.  However, 
  9995. the number and size of these  modules/components  should  be 
  9996. kept to a minimum. 
  9997.  
  9998.      Each NTCB partition  provides  isolation  of  resources 
  9999. (within  its  component)  in  accord with the network system 
  10000. architecture and security policy so  that  "supporting  ele- 
  10001. ments"  (e.g., DAC and user identification) for the security 
  10002. mechanisms of the network system are  strengthened  compared 
  10003. to  C2,  from an assurance point of view, through the provi- 
  10004. sion of distinct address spaces under control of the NTCB. 
  10005.  
  10006.      As discussed in the Discretionary Access  Control  sec- 
  10007. tion,  the  DAC  mechanism of a NTCB partition may be imple- 
  10008. mented at the interface of the reference monitor or  may  be 
  10009. distributed  in  subjects  that  are part of the NTCB in the 
  10010. same or different component.  When distributed in NTCB  sub- 
  10011. jects  (i.e.,  when  outside  the  reference  monitor),  the 
  10012. assurance requirements for the design and implementation  of 
  10013. the DAC shall be those of class C2 for all networks of class 
  10014. C2 or above. 
  10015.  
  10016. +  Rationale 
  10017.  
  10018.  
  10019.      The  requirement  that  the  NTCB  be  structured  into 
  10020. modules  and  meet  the hardware requirements applies within 
  10021. the NTCB partitions in the various components. 
  10022.  
  10023.      The principle of least  privilege  requires  that  each 
  10024. user  or other individual with access to the system be given 
  10025. only those resources and  authorizations  required  for  the 
  10026. performance  of this job.  In order to enfore this principle 
  10027. in the system it must be enforced in  every  NTCB  partition 
  10028. that  supports  users  or  other  individuals.  For example, 
  10029. prohibiting access by administrators to objects outside  the 
  10030. NTCB partition (e.g., games) lessens the opportunity of dam- 
  10031. age by a Trojan Horse. 
  10032.  
  10033.      The requirement for the  protection  of  communications 
  10034. between NTCB partitions is specifically directed to subjects 
  10035. that are part of the NTCB partitions.  Any requirements  for 
  10036. such  protection  for the subjects that are outside the NTCB 
  10037. partitions  are  addressed  in  response  to  the  integrity 
  10038. requirements of the security policy. 
  10039.  
  10040.      There are certain parts of a  network  (modules  and/or 
  10041. components)  that  may not appear to be directly protection- 
  10042. critical in that they are not  involved  in  access  control 
  10043. decisions,  do  not  directly audit, and are not involved in 
  10044. the  identification/authentication  process.   However,  the 
  10045. security of the network must depend on the correct operation 
  10046. of these modules and/or components.  An example of this is a 
  10047. single level packet switch.  Although it may not normally be 
  10048. involved directly in enforcing  the  discretionary  security 
  10049. policy, this switch may be trusted not to mix data from dif- 
  10050. ferent message streams.  If  the  switch  does  not  operate 
  10051. correctly,  data  could  get  mixed, and unauthorized access 
  10052. could result.  Therefore, these modules/components  must  be 
  10053. included  in  the  NTCB  and must meet the NTCB requirements 
  10054. applicable to the  policy  element(s)  for  which  they  are 
  10055. responsible. 
  10056.  
  10057.  
  10058. 4.1.3.1.2 System Integrity 
  10059.  
  10060. + Statement from DoD 5200.28-STD 
  10061.  
  10062. Hardware and/or software features shall be provided that can 
  10063. be  used  to  periodically validate the correct operation of 
  10064. the on-site hardware and firmware elements of the TCB. 
  10065.  
  10066. +  Interpretation 
  10067.  
  10068.      Implementation of the requirement is partly achieved by 
  10069. having hardware and/or software features that can be used to 
  10070. periodically validate the correct operation of the  hardware 
  10071. and  firmware  elements  of each component's NTCB partition. 
  10072. Features shall also be provided to validate the identity and 
  10073. correct  operation of a component prior to its incorporation 
  10074. in the network system and throughout system operation.   For 
  10075. example,  a protocol could be designed that enables the com- 
  10076. ponents of the partitioned NTCB to exchange messages period- 
  10077. ically  and validate each other's correct response. The pro- 
  10078. tocol shall be able to determine the remote entity's ability 
  10079. to  respond. NTCB partitions shall provide the capability to 
  10080. report to  network  administrative  personnel  the  failures 
  10081. detected in other NTCB partitions. 
  10082.  
  10083.      Intercomponent  protocols  implemented  within  a  NTCB 
  10084. shall be designed in such a way as to provide correct opera- 
  10085. tion in the case of failures of  network  communications  or 
  10086. individual components.  The allocation of mandatory and dis- 
  10087. cretionary access control policy in a  network  may  require 
  10088. communication  between trusted subjects that are part of the 
  10089. NTCB partitions in different components.  This communication 
  10090. is normally implemented with a protocol between the subjects 
  10091. as peer entities.  Incorrect access within a component shall 
  10092. not  result from failure of an NTCB partition to communicate 
  10093. with other components. 
  10094.  
  10095. + Rationale 
  10096.  
  10097.      The  first  paragraph  of  the  interpretation   is   a 
  10098. straightforward  extension  of the requirement into the con- 
  10099. text of a network system and partitioned NTCB as defined for 
  10100. these network criteria. 
  10101.  
  10102.      NTCB protocols should be robust  enough  so  that  they 
  10103. permit the system to operate correctly in the case of local- 
  10104. ized failure. The purpose of this protection is to  preserve 
  10105. the integrity of the NTCB itself.  It is not unusual for one 
  10106. or more components in a network to  be  inoperative  at  any 
  10107. time,  so  it  is  important to minimize the effects of such 
  10108. failures on the rest of the  network.  Additional  integrity 
  10109. and denial of service issues are addressed in Part II. 
  10110.  
  10111.      It should be clear that some integrity  and  denial  of 
  10112. service features can reside outside the NTCB.  Otherwise all 
  10113. software in a network would be in the NTCB.  Every piece  of 
  10114. software  that  has  an opportunity to write to some data or 
  10115. protocol field is "trusted" to  preserve  integrity  or  not 
  10116. cause  denial of service to some extent.  For example, it is 
  10117. necessary to "trust"  TELNET  to  correctly  translate  user 
  10118. data,  and  to eventually transmit packets.  FTP also has to 
  10119. be "trusted" to not inappropriately  modify  files,  and  to 
  10120. attempt  to complete the file transfer.  These protocols can 
  10121. be designed, however to exist outside the NTCB (from a  pro- 
  10122. tection  perspective).   It is beneficial to do this type of 
  10123. security engineering so that the amount of code that must be 
  10124. trusted  to  not disclose data is minimized.  Putting every- 
  10125. thing inside the NTCB contradicts the requirement to perform 
  10126. "significant  system  engineering  ...   directed toward ... 
  10127. excluding from the TCB modules that are not protection crit- 
  10128. ical,"  which  removes the primary difference between B2 and 
  10129. B3.  If everything has to be  in  the  TCB  to  ensure  data 
  10130. integrity  and  protection  against denial of service, there 
  10131. will be considerably less assurance that disclosure  protec- 
  10132. tion is maximized. 
  10133.  
  10134.  
  10135.  
  10136. 4.1.3.1.3 Covert Channel Analysis 
  10137.  
  10138. + Statement from DoD 5200.28-STD 
  10139.  
  10140. The system developer shall conduct  a  thorough  search  for 
  10141. covert  channels  and make a determination (either by actual 
  10142. measurement or by engineering  estimation)  of  the  maximum 
  10143. bandwidth of each identified channel.  (See the Covert Chan- 
  10144. nels Guideline section.) FORMAL METHODS SHALL BE USED IN THE 
  10145. ANALYSIS. 
  10146.  
  10147. + Interpretation 
  10148.  
  10149.      The requirement, including  the  TCSEC  Covert  Channel 
  10150. Guideline,  applies  as  written.   In  a network, there are 
  10151. additional instances of covert channels associated with com- 
  10152. munication  between components.  THE FORMAL METHODS SHALL BE 
  10153. USED IN THE ANALYSIS OF EACH INDIVIDUAL COMPONENT DESIGN AND 
  10154. IMPLEMENTATION. 
  10155.  
  10156. + Rationale 
  10157.  
  10158.      The exploitation of network protocol information (e.g., 
  10159. headers) can result in covert storage channels. Exploitation 
  10160. of frequency of transmission can  result  in  covert  timing 
  10161. channels.  The topic has been addressed in the literature.- 
  10162.  
  10163.  
  10164.  
  10165. 4.1.3.1.4  Trusted Facility Management 
  10166.  
  10167. + Statement from DoD 5200.28-STD 
  10168.  
  10169. The TCB shall support separate  operator  and  administrator 
  10170. functions.   The  functions performed in the role of a secu- 
  10171. rity administrator shall  be  identified.   The  ADP  system 
  10172. administrative personnel shall only be able to perform secu- 
  10173. rity administrator functions after taking a distinct  audit- 
  10174. able action to assume the security administrator role on the 
  10175. ADP system.  Non-security functions that can be performed in 
  10176. the  security  administration role shall be limited strictly 
  10177. _________________________ 
  10178.   - See, for example, Girling, C. G., "Covert  Channels 
  10179. in  LAN's,"  IEEE Transactions on Software Engineering, 
  10180.              ____ ____________ __ ________ ___________ 
  10181. Vol. SE-13, No. 2, February 1987; and Padlipsky, M. A., 
  10182. Snow,  D. P., and Karger, P. A., Limitations of End-to- 
  10183.                                  ___________ __ ___ __ 
  10184. End  Encryption  in  Secure  Computer  Networks,  MITRE 
  10185. ___  __________  __  ______  ________  ________ 
  10186. Technical  Report,  MTR-3592,  Vol. I, May 1978 (ESD TR 
  10187. 78-158, DTIC AD A059221). 
  10188.  
  10189. to those essential to performing the  security  role  effec- 
  10190. tively. 
  10191.  
  10192. + Interpretation 
  10193.  
  10194.      This requirement applies as written to both the network 
  10195. as  a  whole and to individual components which support such 
  10196. personnel. 
  10197.  
  10198. + Rationale 
  10199.  
  10200.      It is recognized that based  on  the  allocated  policy 
  10201. elements  some  components  may operate with no human inter- 
  10202. face. 
  10203.  
  10204.  
  10205.  
  10206. 4.1.3.1.5 Trusted Recovery 
  10207.  
  10208. + Statement from DoD 5200.28-STD 
  10209.  
  10210. Procedures and/or mechanisms shall  be  provided  to  assure 
  10211. that,  after  an  ADP system failure or other discontinuity, 
  10212. recovery without a protection compromise is obtained. 
  10213.  
  10214. + Interpretation 
  10215.  
  10216.      The recovery process must  be  accomplished  without  a 
  10217. protection  compromise  after  the  failure or other discon- 
  10218. tinuity of any NTCB partition.  It must also be accomplished 
  10219. after a failure of the entire NTCB. 
  10220.  
  10221. + Rationale 
  10222.  
  10223.      This is a straight-forward extension of the requirement 
  10224. into  the network context, and takes into account that it is 
  10225. possible for parts of the system to fail while  other  parts 
  10226. continue  to  operate  normally.   This  may  be a security- 
  10227. relevant event; if so it must be audited. 
  10228.  
  10229.  
  10230. 4.1.3.2 Life-Cycle Assurance 
  10231.  
  10232.  
  10233. 4.1.3.2.1 Security Testing 
  10234.  
  10235. + Statement from DoD 5200.28-STD 
  10236.  
  10237. The security mechanisms of the ADP system  shall  be  tested 
  10238. and  found to work as claimed in the system documentation. A 
  10239. team of individuals who thoroughly understand  the  specific 
  10240. implementation  of the TCB shall subject its design documen- 
  10241. tation, source code, and object code to through analysis and 
  10242. testing.   Their  objectives shall be: to uncover all design 
  10243. and implementation flaws that would permit a subject  exter- 
  10244. nal  to  the  TCB  to  read, change, or delete data normally 
  10245. denied under the mandatory or discretionary security  policy 
  10246. enforced  by  the  TCB; as well as to assure that no subject 
  10247. (without authorization to do so) is able to cause the TCB to 
  10248. enter  a state such that it is unable to respond to communi- 
  10249. cations initiated by other users. The  TCB  shall  be  found 
  10250. resistant  to  penetration.   All  discovered flaws shall be 
  10251. removed or neutralized and the TCB retested  to  demonstrate 
  10252. that  they  have been eliminated and that new flaws have not 
  10253. been introduced. Testing  shall  demonstrate  that  the  TCB 
  10254. implementation  is consistent with the descriptive top-level 
  10255. specification.  No design flaws  and  no  more  than  a  few 
  10256. correctable implementation flaws may be found during testing 
  10257. and there shall be reasonable confidence that few remain. 
  10258. MANUAL  OR  OTHER MAPPING OF THE FTLS TO THE SOURCE CODE MAY 
  10259. FORM A BASIS FOR PENETRATION TESTING.    (See  the  Security 
  10260. Testing Guidelines.) 
  10261.  
  10262. +  Interpretation 
  10263.  
  10264.      Testing of a component  will  require  a  testbed  that 
  10265. exercises  the  interfaces  and  protocols  of the component 
  10266. including tests under exceptional conditions.   The  testing 
  10267. of  a  security  mechanism of the network system for meeting 
  10268. this criterion shall  be  an  integrated  testing  procedure 
  10269. involving  all  components containing an NTCB partition that 
  10270. implement the given mechanism. This  integrated  testing  is 
  10271. additional to any individual component tests involved in the 
  10272. evaluation of the network system.  The sponsor should  iden- 
  10273. tify the allowable set of configurations including the sizes 
  10274. of the networks.  Analysis or testing procedures  and  tools 
  10275. shall  be  available  to test the limits of these configura- 
  10276. tions.  A change in configuration within the  allowable  set 
  10277. of configurations does not require retesting. 
  10278.  
  10279.      The testing of each component will include  the  intro- 
  10280. duction  of  subjects external to the NTCB partition for the 
  10281. component that will attempt to read, change, or delete  data 
  10282. normally  denied.   If the normal interface to the component 
  10283. does not provide a means to create the  subjects  needed  to 
  10284. conduct  such a test, then this portion of the testing shall 
  10285. use a special version of the untrusted software for the com- 
  10286. ponent  that  results  in  subjects that make such attempts. 
  10287. The results shall be saved for test analysis.  Such  special 
  10288. versions  shall  have an NTCB partition that is identical to 
  10289. that for the normal configuration  of  the  component  under 
  10290. evaluation. 
  10291.  
  10292.      The testing of the  mandatory  controls  shall  include 
  10293. tests   to  demonstrate  that  the  labels  for  information 
  10294. imported and/or exported to/from  the  component  accurately 
  10295. represent  the  labels  maintained by the NTCB partition for 
  10296. the component for use as the basis for its mandatory  access 
  10297. control  decisions.   The  tests  shall include each type of 
  10298. device, whether single-level or multilevel, supported by the 
  10299. component. 
  10300.  
  10301.      The NTCB must be found resistant to penetration.   This 
  10302. applies  to  the NTCB as a whole, and to each NTCB partition 
  10303. in a component of this class. 
  10304.  
  10305. +  Rationale 
  10306.  
  10307.      The phrase "no subject (without authorization to do so) 
  10308. is  able  to  cause the TCB to enter a state such that it is 
  10309. unable to  respond  to  communications  initiated  by  other 
  10310. users"  relates  to  the  security services (Part II of this 
  10311. TNI) for the Denial of Service problem, and  to  correctness 
  10312. of the protocol implementations. 
  10313.  
  10314.      Testing  is  an  important  method  available  in  this 
  10315. evaluation  division to gain any assurance that the security 
  10316. mechanisms perform their intended function.  A major purpose 
  10317. of testing is to demonstrate the system's response to inputs 
  10318. to the NTCB partition from  untrusted  (and  possibly  mali- 
  10319. cious) subjects. 
  10320.  
  10321.      In contrast to general purpose systems that  allow  for 
  10322. the  dynamic  creation of new programs and the introductions 
  10323. of new processes (and hence new subjects) with  user  speci- 
  10324. fied  security  properities, many network components have no 
  10325. method for introducing new programs and/or processes  during 
  10326. their  normal  operation.  Therefore, the programs necessary 
  10327. for the testing must be introduced as  special  versions  of 
  10328. the  software  rather than as the result of normal inputs by 
  10329. the test team.  However, it must be insured  that  the  NTCB 
  10330. partition  used for such tests is identical to the one under 
  10331. evaluation. 
  10332.  
  10333.      Sensitivity labels serve a critical role in maintaining 
  10334. the  security  of  the mandatory access controls in the net- 
  10335. work.  Especially important to network security is the  role 
  10336. of  the  labels  for  information  communicated between com- 
  10337. ponents - explicit labels for multilevel devices and  impli- 
  10338. cit  labels for single-level devices.  Therefore the testing 
  10339. for correct labels is highlighted. 
  10340.  
  10341.      The requirement for testing to demonstrate  consistency 
  10342. between  the NTCB implementation and the FTLS is a straight- 
  10343. forward extension of the TCSEC requirement into the  context 
  10344. of a network system. 
  10345.  
  10346.  
  10347.  
  10348. 4.1.3.2.2  Design Specification and Verification 
  10349.  
  10350. + Statement from DoD 5200.28-STD 
  10351.  
  10352. A formal model of the security policy supported by  the  TCB 
  10353. shall  be  maintained  over the life cycle of the ADP system 
  10354. that is proven and demonstrated to be  consistent  with  its 
  10355. axioms.  A descriptive top-level specification (DTLS) of the 
  10356. TCB shall  be  maintained  that  completely  and  accurately 
  10357. describes  the  TCB  in terms of exceptions, error messages, 
  10358. and effects.  A FORMAL TOP-LEVEL SPECIFICATION (FTLS) OF THE 
  10359. TCB SHALL BE MAINTAINED THAT ACCURATELY DESCRIBES THE TCB IN 
  10360. TERMS OF EXCEPTIONS, ERROR MESSAGES, AND EFFECTS.  THE  DTLS 
  10361. AND  FTLS SHALL INCLUDE THOSE COMPONENTS OF THE TCB THAT ARE 
  10362. IMPLEMENTED AS HARDWARE AND/OR FIRMWARE IF THEIR  PROPERTIES 
  10363. ARE  VISIBLE  AT THE TCB INTERFACE.  THE FTLS SHALL BE SHOWN 
  10364. to be an accurate description of the TCB interface.  A  con- 
  10365. vincing  argument shall be given that the DTLS is consistent 
  10366. with the model AND A  COMBINATION  OF  FORMAL  AND  INFORMAL 
  10367. TECHNIQUES SHALL BE USED TO SHOW THAT THE FTLS IS CONSISTENT 
  10368. WITH THE MODEL.  THIS VERIFICATION EVIDENCE  SHALL  BE  CON- 
  10369. SISTENT  WITH  THAT  PROVIDED WITHIN THE STATE-OF-THE-ART OF 
  10370. THE PARTICULAR NATIONAL  COMPUTER  SECURITY  CENTER-ENDORSED 
  10371. FORMAL  SPECIFICATION  AND VERIFICATION SYSTEM USED.  MANUAL 
  10372. OR OTHER MAPPING OF THE FTLS TO THE TCB SOURCE CODE SHALL BE 
  10373. PERFORMED TO PROVIDE EVIDENCE OF CORRECT IMPLEMENTATION. 
  10374.  
  10375. +  Interpretation 
  10376.  
  10377.      The overall network security policy expressed  in  this 
  10378. model  will  provide the basis for the mandatory access con- 
  10379. trol policy exercised by the NTCB over subjects and  storage 
  10380. objects  in the entire network.  The policy will also be the 
  10381. basis for the discretionary access control policy  exercised 
  10382. by  the  NTCB  to  control  access  of  named users to named 
  10383. objects.  Data integrity requirements addressing the effects 
  10384. of unauthorized MSM need not be included in this model.  The 
  10385. overall network policy must be decomposed into  policy  ele- 
  10386. ments  that are allocated to appropriate components and used 
  10387. as the basis for the security policy model  for  those  com- 
  10388. ponents. 
  10389.  
  10390.      The level of abstraction of the model, and the  set  of 
  10391. subjects  and objects that are explicitly represented in the 
  10392. model, will be affected by the NTCB partitioning.   Subjects 
  10393. and  objects must be represented explicitly in the model for 
  10394. the partition if there is some network component whose  NTCB 
  10395. partition  exercises  access  control  over them.  The model 
  10396. shall be structured so that the axioms and entities applica- 
  10397. ble  to  individual network components are manifest.  Global 
  10398. network policy elements that  are  allocated  to  components 
  10399. shall be represented by the model for that component. 
  10400.  
  10401.      AN FTLS FOR A NETWORK CONSISTS OF A COMPONENT FTLS  FOR 
  10402. EACH  UNIQUE  TRUSTED  NETWORK  COMPONENT,  PLUS  ANY GLOBAL 
  10403. DECLARATIONS AND ASSERTIONS THAT APPLY TO MORE THAN ONE COM- 
  10404. PONENT.   IF THE MODEL FOR EACH COMPONENT REPRESENTS ALL THE 
  10405. GLOBAL MANDATORY POLICY  ELEMENTS  ALLOCATED  TO  THAT  COM- 
  10406. PONENT,  THERE  MAY NOT BE ANY GLOBAL ASSERTIONS NEEDED, AND 
  10407. IN THIS CASE THE COLLECTION  OF  COMPONENT  FTLS,  WITH  ANY 
  10408. SHARED  DECLARATIONS,  IS  THE NETWORK FTLS.  EACH COMPONENT 
  10409. FTLS SHALL DESCRIBE THE INTERFACE TO THE NTCB  PARTITION  OF 
  10410. ITS  COMPONENTS.  The  requirements  for  a network DTLS are 
  10411. given in the Design Documentation section. 
  10412.  
  10413. + Rationale 
  10414.  
  10415.      The treatment of the model depends to a great extent on 
  10416. the degree of integration of the communications service into 
  10417. a distributed system. In a closely coupled distributed  sys- 
  10418. tem,  one  might  use  a  model  that  closely resembles one 
  10419. appropriate for a stand-alone computer system. 
  10420.  
  10421.      In all cases, the  model  of  each  partition  will  be 
  10422. expected to show the role of the NTCB partition in each kind 
  10423. of component.   It  will  most  likely  clarify  the  model, 
  10424. although  not part of the model, to show access restrictions 
  10425. implied  by  the  system  design;  for   example,   subjects 
  10426. representing  protocol  entities  might have access only  to 
  10427. objects containing data units at the same layer of protocol. 
  10428. The  allocation of subjects and  objects to different proto- 
  10429. col layers is a protocol design choice which  need  not   be 
  10430. reflected in the security policy model. 
  10431.  
  10432.      THE FTLS MUST REPRESENT THE UNDERLYING REFERENCE  MONI- 
  10433. TOR  AND  ANY  SUBJECTS  IMPLEMENTING  THE MANDATORY POLICY. 
  10434. OTHER POLICY ELEMENTS DISTRIBUTED IN NTCB SUBJECTS (SEE  THE 
  10435. INTERPRETATION   OF   SYSTEM   ARCHITECTURE)   NEED  NOT  BE 
  10436. REPRESENTED BY THE FTLS. 
  10437.  
  10438.  
  10439.  
  10440. 4.1.3.2.3 Configuration Management 
  10441.  
  10442. + Statement from DoD 5200.28-STD 
  10443.  
  10444. During  THE  ENTIRE  LIFE-CYCLE,  I.E.  DURING  THE  DESIGN, 
  10445. DEVELOPMENT,  and  maintenance  of  the TCB, a configuration 
  10446. management system  shall  be  in  place  FOR  ALL  SECURITY- 
  10447. RELEVANT  HARDWARE,  FIRMWARE,  AND  SOFTWARE that maintains 
  10448. control of changes to THE FORMAL MODEL, the descriptive  AND 
  10449. FORMAL  top-level  SPECIFICATIONS, other design data, imple- 
  10450. mentation documentation, source code, the running version of 
  10451. the  object  code, and test fixtures and documentation.  The 
  10452. configuration management system shall  assure  a  consistent 
  10453. mapping among all documentation and code associated with the 
  10454. current version of the TCB.  Tools  shall  be  provided  for 
  10455. generation  of  a  new  version of the TCB from source code. 
  10456. Also available shall be tools, MAINTAINED UNDER STRICT  CON- 
  10457. FIGURATION  CONTROL, for comparing a newly generated version 
  10458. with the previous TCB version in  order  to  ascertain  that 
  10459. only  the  intended  changes have been made in the code that 
  10460. will actually be used as the new version of the TCB.  A COM- 
  10461. BINATION  OF TECHNICAL, PHYSICAL, AND PROCEDURAL SAFEGUARDS 
  10462. SHALL BE USED TO PROTECT FROM UNAUTHORIZED  MODIFICATION  OR 
  10463. DESTRUCTION  THE  MASTER COPY OR COPIES OF ALL MATERIAL USED 
  10464. TO GENERATE THE TCB. 
  10465.  
  10466. +  Interpretation 
  10467.  
  10468.      The requirement applies as written, with the  following 
  10469. extensions: 
  10470.  
  10471. 1.      A configuration management system must be  in  place 
  10472.         for each NTCB partition. 
  10473.  
  10474. 2.      A configuration management plan must exist  for  the 
  10475.         entire system.  If the configuration management sys- 
  10476.         tem is made up of the conglomeration of  the  confi- 
  10477.         guration management systems of the various NTCB par- 
  10478.         titions, then the configuration management plan must 
  10479.         address  the  issue  of how configuration control is 
  10480.         applied to the system as a whole. 
  10481.  
  10482.      ALL MATERIAL USED IN GENERATING A NEW  VERSION  OF  THE 
  10483. NTCB  AND  EACH NTCB PARTITION MUST BE PROTECTED, REGARDLESS 
  10484. OF WHERE IT PHYSICALLY RESIDES. 
  10485.  
  10486. + Rationale 
  10487.  
  10488.      Each NTCB partition must have a  configuration  manage- 
  10489. ment  system  in place, or else there will be no way for the 
  10490. NTCB as a whole to have an effective  configuration  manage- 
  10491. ment system.  The other extensions are merely reflections of 
  10492. the way that networks operate in practice. 
  10493.  
  10494.      THIS NEW REQUIREMENT EXPLICITLY MANDATES THE PROTECTION 
  10495. OF  MATERIAL  USED  TO GENERATE AN NTCB PARTITION, EVEN WHEN 
  10496. THE GENERATION OCCURS BY DOWN-LINE LOADING OF A REMOTE  COM- 
  10497. PONENT. 
  10498.  
  10499.  
  10500.  
  10501.  
  10502. 4.1.3.2.4 Trusted Distribution 
  10503.  
  10504. + Statement from DoD 5200.28-STD 
  10505.  
  10506. A TRUSTED ADP SYSTEM CONTROL AND DISTRIBUTION FACILITY SHALL 
  10507. BE  PROVIDED  FOR  MAINTAINING  THE INTEGRITY OF THE MAPPING 
  10508. BETWEEN THE MASTER DATA DESCRIBING THE  CURRENT  VERSION  OF 
  10509. THE  TCB  AND  THE  ON-SITE  MASTER COPY OF THE CODE FOR THE 
  10510. CURRENT VERSION.  PROCEDURES (E.G., SITE SECURITY ACCEPTANCE 
  10511. TESTING)  SHALL  EXIST  FOR  ASSURING THAT THE TCB SOFTWARE, 
  10512. FIRMWARE, AND HARDWARE UPDATES DISTRIBUTED TO A CUSTOMER ARE 
  10513. EXACTLY AS SPECIFIED BY THE MASTER COPIES. 
  10514.  
  10515. + Interpretation 
  10516.  
  10517.      THIS REQUIREMENT APPLIES AS STATED, WITH THE ADDITIONAL 
  10518. REQUIREMENT  THAT,  IF DOWN-LINE LOADING IS USED, THERE MUST 
  10519. BE A TRUSTED METHOD OF GENERATING, SENDING, AND LOADING  ANY 
  10520. SOFTWARE INVOLVED. 
  10521.  
  10522. + Rationale 
  10523.  
  10524.      THIS IS A STRAIGHTFORWARD EXTENSION OF THE  REQUIREMENT 
  10525. INTO THE NETWORK CONTEXT. 
  10526.  
  10527.  
  10528. 4.1.4 Documentation. 
  10529. _ _ _ _____________ 
  10530.  
  10531.  
  10532. 4.1.4.1 Security Features User's Guide 
  10533.  
  10534. + Statement from DoD 5200.28-STD 
  10535.  
  10536. A single summary, chapter, or manual in  user  documentation 
  10537. shall  describe  the  protection  mechanisms provided by the 
  10538. TCB, interpretations on their use,  and  how  they  interact 
  10539. with one another. 
  10540.  
  10541. +  Interpretation 
  10542.  
  10543.      This user documentation describes user visible  protec- 
  10544. tion  mechanisms at the global (network system) level and at 
  10545. the user interface of each component,  and  the  interaction 
  10546. among these. 
  10547.  
  10548. +  Rationale 
  10549.  
  10550.      The interpretation is an extension of  the  requirement 
  10551. into  the  context  of a network system as defined for these 
  10552. network criteria.  Documentation  of  protection  mechanisms 
  10553. provided  by  individual  components is required by the cri- 
  10554. teria for trusted  computer  systems  that  are  applied  as 
  10555. appropriate for the individual components. 
  10556.  
  10557.  
  10558. 4.1.4.2 Trusted Facility Manual 
  10559.  
  10560. + Statement from DoD 5200.28-STD 
  10561.  
  10562. A manual addressed to the  ADP  system  administrator  shall 
  10563. present  cautions about functions and privileges that should 
  10564. be controlled when running a secure facility. The procedures 
  10565. for examining and maintaining the audit files as well as the 
  10566. detailed audit record structure for each type of audit event 
  10567. shall  be  given. The manual shall describe the operator and 
  10568. administrator functions  related  to  security,  to  include 
  10569. changing  the  security characteristics of a user.  It shall 
  10570. provide interpretations on the consistent and effective  use 
  10571. of the protection features of the system, how they interact, 
  10572. how to securely generate a new TCB, and facility procedures, 
  10573. warnings, and privileges that need to be controlled in order 
  10574. to operate the facility in a secure manner. The TCB  modules 
  10575. that  contain  the  reference  validation mechanism shall be 
  10576. identified.  The procedures for secure generation of  a  new 
  10577. TCB from source after modification of any modules in the TCB 
  10578. shall be described.   It shall  include  the  procedures  to 
  10579. ensure  that  the  system  is  initially started in a secure 
  10580. manner.  Procedures shall also be included to resume  secure 
  10581. system operation after any lapse in system operation. 
  10582.  
  10583. + Interpretation 
  10584.  
  10585.      This manual shall contain specifications and procedures 
  10586. to assist the system administrator(s) maintain cognizance of 
  10587. the network configuration.  These  specifications  and  pro- 
  10588. cedures shall address the following: 
  10589.  
  10590. 1.      The hardware configuration of the network itself; 
  10591.  
  10592. 2.      The implications of attaching new components to  the 
  10593.         network; 
  10594.  
  10595. 3.      The case where certain components  may  periodically 
  10596.         leave  the  network  (e.g., by crashing, or by being 
  10597.         disconnected) and then rejoin; 
  10598.  
  10599. 4.      Network configuration aspects that  can  impact  the 
  10600.         security  of  the  network system; (For example, the 
  10601.         manual  should  describe  for  the  network   system 
  10602.         administrator  the interconnections among components 
  10603.         that are consistent with the overall network  system 
  10604.         architecture.) 
  10605.  
  10606. 5.      Loading  or  modifying  NTCB  software  or  firmware 
  10607.         (e.g., down-line loading). 
  10608.  
  10609. 6.      Incremental updates; that  is,  it  must  explicitly 
  10610.         indicate  which components of the network may change 
  10611.         without others also changing. 
  10612.  
  10613.      The physical and administrative environmental  controls 
  10614. shall  be  specified.   Any  assumptions about security of a 
  10615. given network should be clearly stated (e.g., the fact  that 
  10616. all  communications  links must be physically protected to a 
  10617. certain level). 
  10618.  
  10619.      The components of the network that form the  NTCB  must 
  10620. be identified.  Furthermore, the modules within an NTCB par- 
  10621. tition that contain the reference validation  mechanism  (if 
  10622. any) within that partition must be identified. 
  10623.  
  10624.      The procedures for the secure generation of a new  ver- 
  10625. sion  (or  copy)  of each NTCB partition from source must be 
  10626. described.  The procedures and requirements for  the  secure 
  10627. generation  of  the NTCB necessitated by changes in the net- 
  10628. work configuration shall be described. 
  10629.  
  10630.      Procedures for starting each NTCB partition in a secure 
  10631. state  shall be specified.  Procedures must also be included 
  10632. to resume secure operation of each NTCB partition and/or the 
  10633. NTCB after any lapse in system or subsystem operation. 
  10634.  
  10635. + Rationale 
  10636.  
  10637.      There  may  be  multiple  system  administrators   with 
  10638. diverse  responsibilities.   The technical security measures 
  10639. described by these criteria must be used in conjunction with 
  10640. other  forms of security in order to achieve security of the 
  10641. network.  Additional forms include administrative  security, 
  10642. physical security, emanations security, etc. 
  10643.  
  10644.      Extension of  this  criterion  to  cover  configuration 
  10645. aspects  of  the  network  is  needed  because, for example, 
  10646. proper interconnection of components is typically  essential 
  10647. to  achieve  a  correct realization of the network architec- 
  10648. ture. 
  10649.  
  10650.      As mentioned in the section on Label  Integrity,  cryp- 
  10651. tography is one common mechanism employed to protect commun- 
  10652. ication circuits.  Encryption transforms the  representation 
  10653. of  information so that it is unintelligible to unauthorized 
  10654. subjects.  Reflecting this transformation,  the  sensitivity 
  10655. of the ciphertext is generally lower than the cleartext.  If 
  10656. encryption  methodologies  are  employed,  they   shall   be 
  10657. approved by the National Security Agency (NSA). 
  10658.  
  10659.      The encryption algorithm  and  its  implementation  are 
  10660. outside  the scope of these interpretations.  This algorithm 
  10661. and implementation may be implemented in a  separate  device 
  10662. or  may  be a function of a subject in a component not dedi- 
  10663. cated to encryption.  Without prejudice, either  implementa- 
  10664. tion  packaging  is  referred  to as an encryption mechanism 
  10665. herein. 
  10666.  
  10667.      The requirements for descriptions  of  NTCB  generation 
  10668. and  identification  of modules and components that form the 
  10669. NTCB are straightforward extensions of  the  TCSEC  require- 
  10670. ments  into  the  network context.  In those cases where the 
  10671. vendor does not provide source code, an acceptable procedure 
  10672. shall be to request the vendor to perform the secure genera- 
  10673. tion. 
  10674.  
  10675.      Given the nature of network systems (e.g., various com- 
  10676. ponents  tend to be down at different times, and the network 
  10677. system must continue operation without that  component),  it 
  10678. is  imperative to know both how to securely start up an NTCB 
  10679. partition, and how to resume operation securely.  It is also 
  10680. necessary to know how to resume secure operation of the NTCB 
  10681. after any partition has been down. 
  10682.  
  10683.  
  10684. 4.1.4.3 Test Documentation 
  10685.  
  10686. + Statement from DoD 5200.28-STD 
  10687.  
  10688. The system developer shall provide to the evaluators a docu- 
  10689. ment that describes the test plan, test procedures that show 
  10690. how the security mechanisms were tested, and results of  the 
  10691. security  mechanisms'  functional testing.  It shall include 
  10692. results of testing the effectiveness of the methods used  to 
  10693. reduce  covert channel bandwidths.   THE RESULTS OF THE MAP- 
  10694. PING BETWEEN THE FORMAL TOP-LEVEL SPECIFICATION AND THE  TCB 
  10695. SOURCE CODE SHALL BE GIVEN. 
  10696.  
  10697.  
  10698. +  Interpretation 
  10699.  
  10700.      The "system developer" is interpreted as  "the  network 
  10701. system  sponsor".   The  description of the test plan should 
  10702. establish the context in which the testing was or should  be 
  10703. conducted.   The  description should identify any additional 
  10704. test components that  are  not  part  of  the  system  being 
  10705. evaluated.  This includes a description of the test-relevant 
  10706. functions of such test components and a description  of  the 
  10707. interfacing  of  those  test  components to the system being 
  10708. evaluated.  The description of the  test  plan  should  also 
  10709. demonstrate  that  the  tests  adequately  cover the network 
  10710. security policy.  The  tests  should  include  the  features 
  10711. described   in   the  System  Architecture  and  the  System 
  10712. Integrity sections.  The tests should also  include  network 
  10713. configuration and sizing. 
  10714.  
  10715.      THE MAPPING BETWEEN THE FTLS AND THE NTCB  SOURCE  CODE 
  10716. MUST  BE  CHECKED  TO ENSURE TO THE EXTENT POSSIBLE THAT THE 
  10717. FTLS IS A CORRECT REPRESENTATION OF  THE  SOURCE  CODE,  AND 
  10718. THAT THE FTLS HAS BEEN STRICTLY ADHERED TO DURING THE DESIGN 
  10719. AND DEVELOPMENT OF THE NETWORK SYSTEM.  THIS CHECK  MUST  BE 
  10720. DONE  FOR  EACH COMPONENT OF THE NETWORK SYSTEM FOR WHICH AN 
  10721. FTLS EXISTS. 
  10722.  
  10723. +  Rationale 
  10724.  
  10725.      The entity being evaluated may be a networking  subsys- 
  10726. tem (see Appendix A) to which other components must be added 
  10727. to make a  complete  network  system.  In  that  case,  this 
  10728. interpretation  is extended to include contextual definition 
  10729. because, at evaluation time, it is not possible to  validate 
  10730. the  test  plans  without the description of the context for 
  10731. testing the networking subsystem. 
  10732.  
  10733.      The bandwidths of covert channels are used to determine 
  10734. the suitability of a network system for a given environment. 
  10735. The effectiveness  of  the  methods  used  to  reduce  these 
  10736. bandwidths must therefore be accurately determined. 
  10737.  
  10738.  
  10739. 4.1.4.4 Design Documentation 
  10740.  
  10741. + Statement from DoD 5200.28-STD 
  10742.  
  10743. Documentation shall be available that provides a description 
  10744. of the manufacturer's philosophy of protection and an expla- 
  10745. nation of how this philosophy is translated  into  the  TCB. 
  10746. The  interfaces between the TCB modules shall be described. 
  10747. A formal description of the security policy  model  enforced 
  10748. by the TCB shall be available and an explanation provided to 
  10749. show that it is sufficient to enforce the  security  policy. 
  10750. The  specific  TCB protection mechanisms shall be identified 
  10751. and an explanation given  to  show  that  they  satisfy  the 
  10752. model.  The descriptive top-level specification (DTLS) shall 
  10753. be shown to be an accurate description of the TCB interface. 
  10754. Documentation  shall  describe  how  the  TCB implements the 
  10755. reference monitor concept and give an explanation why it  is 
  10756. tamper  resistant,  cannot  be  bypassed,  and  is correctly 
  10757. implemented. The  TCB  implementation  (i.e.,  in  hardware, 
  10758. firmware, and software) shall be informally shown to be con- 
  10759. sistent with the FORMAL TOP-LEVEL SPECIFICATION (FTLS).  The 
  10760. elements  of  the  FTLS shall be shown, using informal tech- 
  10761. niques, to correspond to the elements of the TCB.   Documen- 
  10762. tation  shall  describe how the TCB is structured to facili- 
  10763. tate testing and to enforce least privilege.  This  documen- 
  10764. tation  shall also present the results of the covert channel 
  10765. analysis and the tradeoffs involved in restricting the chan- 
  10766. nels.   All auditable events that may be used in the exploi- 
  10767. tation of known covert storage channels shall be identified. 
  10768. The  bandwidths of known covert storage channels, the use of 
  10769. which is not detectable by the auditing mechanisms, shall be 
  10770. provided.   (See  the  Covert  Channel  Guideline  section.) 
  10771. HARDWARE, FIRMWARE, AND SOFTWARE MECHANISMS NOT  DEALT  WITH 
  10772. IN  THE FTLS BUT STRICTLY INTERNAL TO THE TCB (E.G., MAPPING 
  10773. REGISTERS,  DIRECT  MEMORY  ACCESS  I/O)  SHALL  BE  CLEARLY 
  10774. DESCRIBED. 
  10775.  
  10776. +  Interpretation 
  10777.  
  10778.      Explanation of how the sponsor's philosophy of  protec- 
  10779. tion is translated into the NTCB shall include a description 
  10780. of how the NTCB is partitioned.  The  security  policy  also 
  10781. shall  be stated.  The description of the interfaces between 
  10782. the NTCB modules shall include the interface(s) between NTCB 
  10783. partitions  and modules within the partitions if the modules 
  10784. exist.  The sponsor shall describe the security architecture 
  10785. and  design,  including  the allocation of security require- 
  10786. ments among components. 
  10787.  
  10788.      The documentation includes both  a  system  description 
  10789. and  a  set  of  component  DTLS's.   The system description 
  10790. addresses the network security architecture  and  design  by 
  10791. specifying  the  types  of  components in the network, which 
  10792. ones are trusted, and in what way  they  must  cooperate  to 
  10793. support network security objectives.  A component DTLS shall 
  10794. be provided for each trusted network component,  i.e.,  each 
  10795. component containing an NTCB partition.  Each component DTLS 
  10796. shall describe the interface to the NTCB  partition  of  its 
  10797. component.  Both  the  system description and each component 
  10798. DTLS shall be shown consistent with those assertions in  the 
  10799. model  that  apply  to  it.   Appendix A addresses component 
  10800. evaluation issues. 
  10801.  
  10802.      To show the correspondence between  the  FTLS  and  the 
  10803. NTCB  implementation,  it  suffices  to  show correspondence 
  10804. between each component FTLS and the NTCB partition  in  that 
  10805. component. 
  10806.  
  10807.      As stated in the introduction to Division B, the  spon- 
  10808. sor  must  demonstrate  that  the NTCB employs the reference 
  10809. monitor concept.  The security policy model must be a  model 
  10810. for a reference monitor. 
  10811.  
  10812.      The security policy model for each partition implement- 
  10813. ing  a  reference  monitor  shall fully represent the access 
  10814. control policy supported by  the  partition,  including  the 
  10815. discretionary  and  mandatory  security  policy  for secrecy 
  10816. and/or integrity.  For the mandatory policy the single domi- 
  10817. nance  relation  for  sensitivity  labels, including secrecy 
  10818. and/or integrity components, shall be precisely defined. 
  10819.  
  10820. +  Rationale 
  10821.  
  10822.      The interpretation is a  straightforward  extension  of 
  10823. the  requirement  into  the  context  of a network system as 
  10824. defined for this network interpretation.   Other  documenta- 
  10825. tion,  such  as description of components and description of 
  10826. operating environment(s) in which the  networking  subsystem 
  10827. or network system is designed to function, is required else- 
  10828. where, e.g., in the Trusted Facility Manual. 
  10829.  
  10830.      In order to be evaluated,  a  network  must  possess  a 
  10831. coherent  Network Security Architecture and Design.  (Inter- 
  10832. connection of components that do not adhere to such a single 
  10833. coherent  Network  Security Architecture is addressed in the 
  10834. Interconnection of Accredited AIS, Appendix C.)  The Network 
  10835. Security  Architecture  must  address  the security-relevant 
  10836. policies, objectives, and protocols.  The  Network  Security 
  10837. Design  specifies  the  interfaces and services that must be 
  10838. incorporated into the network so that it can be evaluated as 
  10839. a  trusted  entity.  There may be multiple designs that con- 
  10840. form to the same architecture but are more or less  incompa- 
  10841. tible and non-interoperable (except through the Interconnec- 
  10842. tion Rules).  Security related mechanisms requiring coopera- 
  10843. tion  among  components are specified in the design in terms 
  10844. of their visible interfaces; mechanisms  having  no  visible 
  10845. interfaces  are  not specified in this document but are left 
  10846. as implementation decisions. 
  10847.  
  10848.      The Network Security Architecture and  Design  must  be 
  10849. available  from the network sponsor before evaluation of the 
  10850. network, or any component, can be undertaken.   The  Network 
  10851. Security  Architecture  and Design must be sufficiently com- 
  10852. plete, unambiguous, and free from obvious  flaws  to  permit 
  10853. the  construction  or assembly of a trusted network based on 
  10854. the structure it specifies. 
  10855.  
  10856.      When a component is being  designed  or  presented  for 
  10857. evaluation,  or  when a network assembled from components is 
  10858. assembled or presented  for  evaluation,  there  must  be  a 
  10859. priori  evidence  that the Network security Architecture and 
  10860. Design are satisfied.  That is, the components can be assem- 
  10861. bled into a network that conforms in every way with the Net- 
  10862. work Security Architecture and Design to produce a  physical 
  10863. realization  that  is trusted to the extent that its evalua- 
  10864. tion indicates. 
  10865.  
  10866.      In order for a trusted network to be  constructed  from 
  10867. components  that  can  be  built  independently, the Network 
  10868. Security  Architecture  and  Design  must   completely   and 
  10869. unambiguously  define  the  security  functionality  of com- 
  10870. ponents as well as the  interfaces  between  or  among  com- 
  10871. ponents.   The Network Security Architecture and Design must 
  10872. be evaluated to determine that a network constructed to  its 
  10873. specifications  will in fact be trusted, that is, it will be 
  10874. evaluatable under these interpretations. 
  10875.  
  10876.  
  10877.      The term "model" is used in several different ways in a 
  10878. network context, e.g., a "protocol reference model," a "for- 
  10879. mal network model," etc. Only the "security policy model" is 
  10880. addressed  by  this requirement and is specifically intended 
  10881. to model the interface, viz., "security perimeter,"  of  the 
  10882. reference monitor and must meet all the requirements defined 
  10883. in the TCSEC.  It must be shown that all parts  of  the  TCB 
  10884. are  a  valid  interpretation  of the security policy model, 
  10885. i.e., that there is no change to the secure state except  as 
  10886. represented by the model. 
  10887.  
  10888.  
  10889.              Part II:   Other Security Services
  10890.              ____ __    _____ ________ ________
  10891.  
  10892.  
  10893. 5.  Introduction
  10894. _   ____________
  10895.  
  10896.      Part I of this Interpretation contains  interpretations
  10897. of the Department of Defense Trusted Computer System Evalua-
  10898. tion Criteria (TCSEC), DOD 5200.28-STD.  Part I  deals  with
  10899. controlling  access  to information.  Part II contains addi-
  10900. tional network security concerns.  These concerns  differen-
  10901. tiate the network environment from the stand-alone computer.
  10902. Some concerns take on increased significance in the  network
  10903. environment; other concerns do not exist on stand-alone com-
  10904. puters.  Some of these concerns are  outside  the  scope  of
  10905. Part  I;  others  lack  the  theoretical  basis  and  formal
  10906. analysis underlying Part I.  The criteria in  this  Part  II
  10907. address  these  concerns  in the form of additional security
  10908. requirements that  may  vary  among  applications.   Overlap
  10909. between Part I and Part II is minimized as much as possible.
  10910. However, when an overlap occurs the association between  the
  10911. concerns  addressed  in both parts is defined.  Part II ser-
  10912. vices may be provided by mechanisms outside the NTCB.
  10913.  
  10914. 5.1.  Purpose and Scope
  10915. _ _   _______ ___ _____
  10916.  
  10917.      This Part II addresses network security  disjoint  from
  10918. Part I. The rating derived in Part I is not effected by Part
  10919. II.  Every component or system must have a Part I evaluation
  10920. as  a  basis  for  the Part II evaluation.  Part II includes
  10921. generic requirements, security features, and evaluation cri-
  10922. teria.   As described below, Part II evaluations differ from
  10923. Part I.  The purpose of these evaluations is  similar,  how-
  10924. ever:  to  provide guidance to network managers and accredi-
  10925. tors as to the reliance they can place in security services.
  10926. These  evaluations  are  input to the accreditor's decisions
  10927. concerning the  operational  mode  and  range  of  sensitive
  10928. information entrusted to the network.
  10929.  
  10930.      The network sponsor shall identify  the  security  ser-
  10931. vices offered by his system or component(s).  Those services
  10932. will be evaluated against the criteria for those services in
  10933. Part II.
  10934.  
  10935. 5.2.  Criteria Form
  10936. _ _   ________ ____
  10937.  
  10938.      The general form of Part II criteria  is  a  relatively
  10939. brief  statement, followed by a discussion of functionality,
  10940. strength of mechanism, and assurance, as appropriate.
  10941.  
  10942.      Functionality refers to the objective and approach of a
  10943.      _____________
  10944. security  service; it includes features, mechanism, and per-
  10945. formance.  Alternative approaches to achieving  the  desired
  10946. functionality may be more suitable in different applications
  10947. environments.
  10948.  
  10949.  
  10950.      Strength of mechanism refers to  how  well  a  specific
  10951.      ________ __ _________
  10952. approach may be expected to achieve its objectives.  In some
  10953. cases selection of parameters, such as number of  bits  used
  10954. in  a  checksum  or  the  number  of permutations used in an
  10955. encryption algorithm, can significantly affect  strength  of
  10956. mechanism.
  10957.  
  10958.      Assurance refers to a  basis  for  believing  that  the
  10959.      _________
  10960. functionality  will  be  achieved; it includes tamper resis-
  10961. tance, verifiability, and resistance  against  circumvention
  10962. or bypass.  Assurance is generally based on analysis involv-
  10963. ing theory, testing, software  engineering,  validation  and
  10964. verification,  and  related approaches.  The analysis may be
  10965. formal or informal, theoretical or applied.
  10966.  
  10967.      For example, consider communications integrity  protec-
  10968. tion  against  message stream modification.  A functionality
  10969. decision is to select error detection only, or detection and
  10970. correction;  also one may select whether it is sufficient to
  10971. detect an odd number of bit errors, error bursts  of  speci-
  10972. fied  duration,  or a specified probability of an undetected
  10973. error.  Available mechanisms  include  parity,  longitudinal
  10974. redundancy  check  (LRC), cyclic redundancy check (CRC), and
  10975. cryptographic checkfunction.  The strength  of  the  CRC  is
  10976. measured  in the probability of an undetected error; this is
  10977. dependent upon the number  of  bits  employed  in  the  CRC.
  10978. There is no assurance of security associated with any of the
  10979. mentioned  mechanisms  except  cryptographic  checkfunction.
  10980. The  algorithms  are  well  known; an adversary could change
  10981. message  contents  and  recalculate  the   non-cryptographic
  10982. checkfunction.  The recipient would calculate the checkfunc-
  10983. tion and not discover that the message had been manipulated.
  10984. A  cryptographic  checkfunction  would  be resistant to such
  10985. manipulation.
  10986.  
  10987. 5.3.  Evaluation Ratings
  10988. _ _   __________ _______
  10989.  
  10990.      Part II evaluations are qualitative, as  compared  with
  10991. the  hierarchically-ordered  ratings  (e.g.,  C1,  C2,  ...)
  10992. resulting from Part I.  At present it is not considered pos-
  10993. sible  or desirable to employ the same ratings scale in Part
  10994. II. The results of a Part II evaluation for offered services
  10995. will  generally be summarized using the terms none, minimum,
  10996.                                               ____  _______
  10997. fair, and good.  Services not offered by the sponsor will be
  10998. ____      ____
  10999. assigned a rating of not offered.  For some services it will
  11000.                      ___ _______
  11001. be most meaningful to assign a rating of  none  or  present.
  11002.                                                     _______
  11003. The  term  none  is  used  when  the security service is not
  11004. offered.  In some cases the functionality evaluations may be
  11005. limited to present or none.
  11006.  
  11007.      The assurance rating for each service is bounded by the
  11008. Part  I  or Appendix A evaluation as appropriate because the
  11009. integrity of the service depends on the  protection  of  the
  11010. NTCB.   Table  II-1  relates the Part II assurance rating to
  11011. the minimum corresponding Part I evaluation ratings.
  11012.  
  11013.      These Part II evaluations tend to be  more  qualitative
  11014. and  subjective,  and will exhibit greater variance than the
  11015. Part I evaluations.  Nevertheless, Part II  evaluations  are
  11016. valuable  information  concerning  the  capabilities  of the
  11017. evaluated systems and their suitability for specific  appli-
  11018. cations environments.  If functionality, strength of mechan-
  11019. ism, and assurance are separately evaluated then a term  may
  11020. be  applied to each. In some cases the strength of mechanism
  11021. may be expressed quantitatively as a natural consequence  of
  11022. the  technology (e.g., the number of bits in a CRC, the par-
  11023. ticular function employed);  this  quantitative  measure  of
  11024. strength may be employed as the basis for rating.
  11025.  
  11026.      The Part II evaluations may also be expected to exhibit
  11027. a  greater  sensitivity  to  technological advances than the
  11028. Part  I  evaluations.  This  sensitivity  derives  from  the
  11029. present empirical basis of some of the Part II security ser-
  11030. vices as compared to the theoretical foundation of  Part  I.
  11031. Research  advances  may  help change this situation.  As the
  11032. state-of-the-art advances, the threshold  for  high  evalua-
  11033. tions may also be expected to increase.  Therefore, a rating
  11034. may become dated and may change upon reevaluation.
  11035.  
  11036.      In  general,  mechanisms  that  only  protect   against
  11037. accidents  and  malfunctions cannot achieve an evaluation of
  11038. strength of mechanism above minimum.  Mechanisms  must  pro-
  11039. vide  protection  against  deliberate  attacks  in  order to
  11040. obtain at least a good evaluation.
  11041.  
  11042.      The summary report of a network  product  will  contain
  11043. the  rating  reflecting  the Part I evaluation plus a paired
  11044. list of Part II services and the evaluation for  each.   For
  11045. example, network product XYZ might be rated as follows: [B2,
  11046. security  service-1:  minimum,   security   service-2:   not
  11047. offered,  security service-3: none, ... ,security service-n:
  11048. (functionality:   good,   strength   of   mechanism:   fair,
  11049. assurance: good)].  In some cases where the security service
  11050. is addressed  outside  this  document  (e.g.,  COMSEC),  the
  11051. evaluation  from the external source may be reflected in the
  11052. evaluation report.  In  such  cases,  the  terms  used  will
  11053. differ from those listed above.
  11054.  
  11055. 5.4.  Relationship to ISO OSI-Architecture
  11056. _ _   ____________ __ ___ ___ ____________
  11057.  
  11058.      An effort is underway to extend  the  ISO  Open  System
  11059. Interconnection  (OSI)  architecture  by  defining  "general
  11060. security-related architectural elements which can be applied
  11061. appropriately  in  the circumstances for which protection of
  11062. communications between open systems is  required."  -  Fami-
  11063. liarity  with OSI terminology is assumed in this discussion.
  11064. The scope of this  security  addendum  "provides  a  general
  11065. description  of  security  services  and related mechanisms,
  11066. _________________________
  11067.   - ISO 7498/Part 2 - Security Architecture, ISO  /  TC
  11068.     ___ ____ ____ _   ________ ____________
  11069. 97  /  SC  21  / N1528 / WG 1 Ad hoc group on Security,
  11070. Project 97.21.18, September 1986.
  11071.  
  11072.  
  11073.  
  11074. which may be provided by the Reference  Model;  and  defines
  11075. the  positions within the Reference Model where the services
  11076. and mechanisms may be provided."
  11077.  
  11078.      There is considerable overlap between the OSI  Security
  11079. Addendum and Part II.  At the time of writing, the OSI docu-
  11080. ment is evolving, making it difficult to exactly define  the
  11081. relationship.   Therefore, the following statements may have
  11082. to be modified in the future.
  11083.  
  11084.      Some of the security services  identified  in  the  OSI
  11085. Security  Addendum are covered by Part I of this Interpreta-
  11086. tion; others are addressed in Part II.  The emphasis  is  on
  11087. making  sure that all services are covered.  The distinction
  11088. between the security service and the mechanism  that  imple-
  11089. ments the service is less strong in this Interpretation than
  11090. in the OSI Security Addendum.  The  OSI  Addendum  generally
  11091. addresses  Functionality, occasionally addresses Strength of
  11092. Mechanism, and rarely addresses  Assurance,  while  in  this
  11093. Interpretation,  especially  in Part I, assurance is a major
  11094. factor.
  11095.  
  11096.      The scope of the OSI Security Addendum is limited: "OSI
  11097. Security  is  not concerned with security measures needed in
  11098. end systems, installations and  organizations  except  where
  11099. these  have implications on the choice and position of secu-
  11100. rity services visible in OSI."  The TCSEC and this Interpre-
  11101. tation include OSI concerns as a proper subset.
  11102.  
  11103. 5.5.  Selecting Security Services for a Specific Environment
  11104. _ _   _________ ________ ________ ___ _ ________ ___________
  11105.  
  11106.      The enumeration of security  services  in  Part  II  is
  11107. representative  of  those  services that an organization may
  11108. choose to employ  in  a  specific  network  for  a  specific
  11109. environment.   But not all security services will be equally
  11110. important in a specific environment, nor will their relative
  11111. importance  be  the  same among different environments.  The
  11112. network management has to decide whether the rating achieved
  11113. by  a  network product for a specific criterion is satisfac-
  11114. tory for the application environment.
  11115.  
  11116.      As an abstract example, consider  the  network  product
  11117. XYZ  which  has received the rating [B2, security service-1:
  11118. minimum,  security  service-2:  not  offered,  ...  ].   The
  11119. management  of network K may decide that they do not require
  11120. security service-2, so the absence of this service does  not
  11121. effect  the  acceptability  of the XYZ product; however, the
  11122. management of network Q may decide that  security  service-2
  11123. is  essential,  so  the absence of this service disqualifies
  11124. product XYZ.  The management of network P may  decide  secu-
  11125. rity  service-1  is  very important and that any rating less
  11126. than good is  unacceptable,  thereby  disqualifying  product
  11127. XYZ; while the management of network R may decide that secu-
  11128. rity service-1 need only be rated minimum.
  11129.  
  11130.      As a more concrete  example,  consider  an  application
  11131. environment  where  wire-tapping  is  not  a threat, such as
  11132. aboard an airplane or in an  underground  bunker.   A  Local
  11133. Area  Network (LAN) in such an environment can be physically
  11134. protected to the system-high security mode  without  encryp-
  11135. tion because the system exists within a protected perimeter.
  11136. In such environments, management may  decide  that  labeling
  11137. and  access  control based on labels provide sufficient pro-
  11138. tection  if  sufficient  mechanisms  exist  to  protect  the
  11139. integrity  of  the  labels.   Cryptographic  mechanisms  are
  11140. deemed unnecessary.   By  way  of  contrast,  when  the  LAN
  11141. environment  involves  passage  through  unprotected  space,
  11142. management may decide that a LAN must provide integrity pro-
  11143. tection employing a cryptographic mechanism.
  11144.  
  11145.  
  11146.  
  11147. 6.  General Assurance Approaches
  11148. _   _______ _________ __________
  11149.  
  11150.      This section addresses assurance approaches  applicable
  11151. to many security services.
  11152.  
  11153.      The logic of the protocols and  the  implementation  of
  11154. countermeasures may be shown correct and effective by formal
  11155. methods where possible (i.e., where tools exist) and  infor-
  11156. mal ones otherwise.
  11157.  
  11158.      To provide assurance  that  the  security  service  can
  11159. respond  to  various  forms  of  external  attacks,  various
  11160. methods of  real  and  simulated  testing  can  be  applied,
  11161. including:
  11162.  
  11163.  
  11164.      1.   Functional testing
  11165.  
  11166.  
  11167.      2.   Periodic testing
  11168.  
  11169.  
  11170.      3.   Penetration testing
  11171.  
  11172.  
  11173.      4.   Stress testing
  11174.  
  11175.  
  11176.      5.   Protocol testing for deadlock, liveness, and other
  11177.           security properties of the protocol suites
  11178.  
  11179.      In addition, the trusted computer base provides an exe-
  11180. cution  environment  that is extremely valuable in enhancing
  11181. the assurance of a variety of security services.   The  dis-
  11182. cretionary  and mandatory access controls can be employed in
  11183. the design and implementation of these services to segregate
  11184. unrelated  services.   Thus,  service implementation that is
  11185. complex and error-prone or obtained from an unevaluated sup-
  11186. plier can be prevented from degrading the assurance of other
  11187. services implemented in the same component.  Furthermore,  a
  11188. TCB  ensures  that  the basic protection of the security and
  11189. integrity- of the information entrusted to  the  network  is
  11190. not  diluted by various supporting security services identi-
  11191. fied in this Part II.  See also the discussion of  Integrity
  11192. in the Supportive Primitives section.
  11193.  
  11194.      In general, assurance may be provided  by  implementing
  11195. these features in a limited set of subjects in each applica-
  11196. ble NTCB partition whose code and data have a unique  manda-
  11197. tory  integrity  level  to protect against circumvention and
  11198. tampering.
  11199. _________________________
  11200.   - See, for example, Biba, K.J., "Integrity Considera-
  11201. tion  for Secure Computer Systems," ESD-TR-76-372, MTR-
  11202. 3153, The MITRE Corporation, Bedford, MA, April 1977.
  11203.  
  11204.      Assurance of trustworthiness of the design  and  imple-
  11205. mentation  of  Part  II  mechanisms  may  be  related to the
  11206. assurance requirements in Part I.  The following factors are
  11207. identified  as contributing to an assurance evaluation: ser-
  11208. vice design  and  implementation,  service  testing,  design
  11209. specification  and  verification,  configuration management,
  11210. and distribution.
  11211.  
  11212. 6.1.  Service Design and Implementation Factors
  11213. _ _   _______ ______ ___ ______________ _______
  11214.  
  11215.      An evaluation rating of fair indicates that the  imple-
  11216. mentation  of  the service employs the provisions of the TCB
  11217. for a distinct address space.  In addition, the  implementa-
  11218. tion  of  the  service  is  internally structured into well-
  11219. defined largely independent modules; makes effective use  of
  11220. available  hardware  to  separate  those  elements  that are
  11221. protection-critical to the service from those that are  not;
  11222. is  designed  such  that the principle of least privilege is
  11223. enforced; and the user interface is completely  defined  and
  11224. all elements relevant to the service are identified.
  11225.  
  11226.      An evaluation rating of good indicates  that  the  ser-
  11227. vice, in addition, incorporates significant use of layering,
  11228. abstraction and data hiding; and employs significant  system
  11229. engineering   directed   toward  minimizing  complexity  and
  11230. separating modules that are critical to the service.
  11231.  
  11232. 6.2.  Service Testing Factors
  11233. _ _   _______ _______ _______
  11234.  
  11235.      With respect to  security  testing,  an  evaluation  of
  11236. minimum  indicates  that the service was tested and found to
  11237. work as claimed in the system  documentation;  that  testing
  11238. was  done  to  assure  that there are no obvious ways for an
  11239. unauthorized user to bypass or otherwise defeat the security
  11240. constraints  and  objectives;  and  that  testing included a
  11241. search for obvious flaws that would  allow  inconsistent  or
  11242. improper modification of data used by the service, either by
  11243. external software or by errors in the implementation of  the
  11244. service.
  11245.  
  11246.      An evaluation rating of fair indicates that,  in  addi-
  11247. tion  to  the  minimum  factors,  a  team of individuals who
  11248. thoroughly understand the specific implementation  subjected
  11249. its  design  documentation,  source code, and object code to
  11250. through analysis and testing with the objectives of uncover-
  11251. ing  all design and implementation flaws that would permit a
  11252. subject external to the NTCB to defeat the purposes  of  the
  11253. service.  A fair system is relatively resistant to defeat of
  11254. the purpose of the service.   A  fair  evaluation  indicates
  11255. that  all  discovered  flaws were removed or neutralized and
  11256. the system retested to demonstrate that they have been elim-
  11257. inated  and that new flaws have not been introduced. Testing
  11258. demonstrates that the service implementation  is  consistent
  11259. with the specification.
  11260.  
  11261.      An evaluation  rating of good indicates that, in  addi-
  11262. tion  to  the  fair factors, the system is more resistant to
  11263. defeat of service; and that no design flaws and no more than
  11264. a  few  correctable  implementation  flaws were found during
  11265. testing and there is reasonable confidence that few  remain.
  11266. Manual  or other mapping of the specifications to the source
  11267. code may form a basis for testing.
  11268.  
  11269. 6.3.  Design Specification and Verification Factors
  11270. _ _   ______ _____________ ___ ____________ _______
  11271.  
  11272.      With respect to design specification and  verification,
  11273. an  evaluation  rating of minimum indicates that an informal
  11274. model of the properties of the service  is  maintained  over
  11275. the  life  cycle of the system.  Additional requirements for
  11276. an evaluation rating of fair have not been defined.
  11277.  
  11278.      An evaluation rating of good indicates that,  in  addi-
  11279. tion,  a  formal  model  of the properties of the service is
  11280. maintained over the life cycle  of  the  system  and  demon-
  11281. strated  to  be  consistent  with  its  axioms;  and  that a
  11282. descriptive specification of the  service-relevant  code  is
  11283. maintained  that  completely  and accurately describes it in
  11284. terms of exceptions, error messages, and effects.
  11285.  
  11286. 6.4.  Configuration Management Factors
  11287. _ _   _____________ __________ _______
  11288.  
  11289.      With respect to configuration management, an evaluation
  11290. rating  of  minimum  indicates  that  during development and
  11291. maintenance of the service, a configuration management  sys-
  11292. tem  was  in  place  that  maintained  control of changes to
  11293. specifications, other design data, implementation documenta-
  11294. tion,  source  code, the running version of the object code,
  11295. test fixtures, test code, and documentation.
  11296.  
  11297.      An evaluation rating of fair indicates that,  in  addi-
  11298. tion,  the  configuration  management  system assures a con-
  11299. sistent mapping among all documentation and code  associated
  11300. with  the current version of the system; and for comparing a
  11301. newly generated version with the previous version  in  order
  11302. to  ascertain  that only the intended changes have been made
  11303. in the code.
  11304.  
  11305.      An evaluation rating of good indicates that,  in  addi-
  11306. tion,   configuration  management  covers  the  entire life-
  11307. cycle; that it applies to all firmware,  and  hardware  that
  11308. supports  the service; and that a combinations of technical,
  11309. physical, and procedural safeguards are used to protect from
  11310. unauthorized  modification or destruction the master copy or
  11311. copies of all material used to generate  the  implementation
  11312. of the service.
  11313.  
  11314. 6.5.  Distribution Factors
  11315. _ _   ____________ _______
  11316.  
  11317.      There are currently no  requirements  for  minimum  and
  11318. fair evaluation ratings.
  11319.  
  11320.      With respect to distribution, an evaluation  rating  of
  11321. good  indicates  that a control and distribution facility is
  11322. provided  for  maintaining  the  integrity  of  the  mapping
  11323. between  the  master  data describing the current version of
  11324. the service and the master copy of the code for the  current
  11325. version.   Procedures  (e.g., site security acceptance test-
  11326. ing) shall exist for assuring that the  software,  firmware,
  11327. and hardware updates distributed are exactly as specified by
  11328. the master copies.
  11329.  
  11330. 7.  Supportive Primitives
  11331. _   __________ __________
  11332.  
  11333.      This  subsection  describes  mechanisms  and  assurance
  11334. techniques  that  apply  across  multiple security services.
  11335. They are grouped  together  here  for  convenience  and  are
  11336. referenced in the appropriate service subsections of Section
  11337. 8.
  11338.  
  11339.      Encryption is a pervasive mechanism for  many  security
  11340. services;  protocols are of fundamental essence in networks.
  11341. The information in this Section 7 is provided as  background
  11342. and support for the services addressed in Section 8.
  11343.  
  11344. 7.1.  The Encryption Mechanism
  11345. _ _   ___ __________ _________
  11346.  
  11347. 7.1.1.  Functionality Factors
  11348. _ _ _   _____________ _______
  11349.  
  11350.      Encryption is a tool for protecting data from  comprom-
  11351. ise  or  modification  attacks.  Through its use, release of
  11352. message content and traffic analysis can be prevented;  mes-
  11353. sage  stream  modification,  some denial of message service,
  11354. and masquerading can be detected. For example, an ISO  docu-
  11355. ment-, describing the use of encipherment techniques in com-
  11356. munications  architectures,  has  been  published  as a U.S.
  11357. member body contribution for consideration as  cryptographic
  11358. security  protection  in  the  Open  System  Interconnection
  11359. environment.  Encryption is probably the most important  and
  11360. widely  used  security  mechanism  when  there  is a wiretap
  11361. threat; sometimes it is even confused with being a service.
  11362.  
  11363.      Use of the encryption mechanism leads to a  requirement
  11364. for  key  management  (e.g.,  manually or in the form of key
  11365. distribution protocols and key-distribution centers.)
  11366.  
  11367. 7.1.2.  Strength of Mechanism Factors
  11368. _ _ _   ________ __ _________ _______
  11369.  
  11370.  
  11371.      The strength of a cryptographic cipher is determined by
  11372. mathematical and statistical analysis; the results are typi-
  11373. cally expressed in the workfunction required  for  unauthor-
  11374. ized decryption.  In many cases this analysis is classified;
  11375. the results are available only as a statement of the highest
  11376. level  of  classified  data which may be protected by use of
  11377. the mechanism.
  11378.  
  11379.      When encryption is used in networks, it may be combined
  11380. with  network  protocols to protect against disclosure.  The
  11381. strength of the ciphers, the  correctness  of  the  protocol
  11382. logic,  and the adequacy of implementation, are primary fac-
  11383. tors in assessing the strength of Data Confidentiality using
  11384. _________________________
  11385.   - Addendum to the Transport Layer Protocol Definition
  11386.     ________ __ ___ _________ _____ ________ __________
  11387. for  Providing  Connection  Oriented End-to-End Crypto-
  11388. ___  _________  __________  ________ ___ __ ___ ______
  11389. graphic Data Protection Using A  64-bit  Block  Cipher,
  11390. _______ ____ __________ _____ _  __ ___  _____  ______
  11391. ISO TC 97 / SC 20 / WG 3, N 37, January 10, 1986.
  11392.  
  11393.  
  11394. cryptography techniques.  Algorithms  are  characterized  by
  11395. the  National  Security Agency on a pass/fail basis in terms
  11396. of the sensitivity of the information which  the  encryption
  11397. algorithm is approved to protect.
  11398.  
  11399.  
  11400. 7.1.3.  Assurance Factors
  11401. _ _ _   _________ _______
  11402.  
  11403.      The analysis of encryption  techniques  is  quite  dif-
  11404. ferent  from the formal specification and verification tech-
  11405. nology employed as the basis of trust in the TCSEC.  Much of
  11406. this  analysis  is  classified.  Consequently,  assurance of
  11407. encryption techniques will be provided by the National Secu-
  11408. rity Agency.  Normally, a separate assurance rating will not
  11409. be given.
  11410.  
  11411. 7.2.  Protocols
  11412. _ _   _________
  11413.  
  11414. 7.2.1.  Functionality Factors
  11415. _ _ _   _____________ _______
  11416.  
  11417.      Protocols are a set of rules and formats (semantic  and
  11418. syntactic) that determine the communication behavior between
  11419. entities in a network.  Their design and  implementation  is
  11420. crucial to the correct, efficient, and effective transfer of
  11421. information among network systems and sub-systems.
  11422.  
  11423.      Many network security services are implemented with the
  11424. help of protocols, and failures and deficiencies in the pro-
  11425. tocol result in failures and deficiencies  in  the  security
  11426. service supported by the protocol.
  11427.  
  11428.      One class of design, or logical, deficiencies in proto-
  11429. cols  are  those  having some form of denial of service as a
  11430. consequence.   This  class  includes  deadlocks,  livelocks,
  11431. unspecified receptions, lack-of-liveness, and non-executable
  11432. interactions. A protocol with one of these design flaws  can
  11433. cease  to function under circumstances that can occur during
  11434. normal operation but  which  were  not  anticipated  by  the
  11435. designer.  Such  flaws  result in trapping the protocol into
  11436. states that are nonproductive or which cause the protocol to
  11437. halt or have unpredictable effects.
  11438.  
  11439.      Another class of design concerns are typical of  proto-
  11440. cols   that  must  work  despite  various  kinds  of  random
  11441. interference or communication difficulties, such  as  noise,
  11442. message  loss,  and  message reordering.  It should be noted
  11443. that most networks are designed in  a  layered  fashion,  in
  11444. which each protocol-based service is implemented by invoking
  11445. services available from the next lower  layer.   This  means
  11446. that  if one layer provides protection from certain types of
  11447. communication difficulties, higher layers need  not  address
  11448. those problems in their design.
  11449.  
  11450.      A third class of design deficiency might occur in  pro-
  11451. tocols  that  are  expected to work in the presence of mali-
  11452. cious interference, such as active wiretapping.  Such proto-
  11453. cols  should  have  countermeasures  against  Message Stream
  11454.  
  11455. Modification (MSM) attacks.
  11456.  
  11457. 7.2.2.  Strength of Mechanism Factors
  11458. _ _ _   ________ __ _________ _______
  11459.  
  11460.      Protocol deficiencies may lie either in their design or
  11461. their  implementation.   By  an implementation deficiency is
  11462. meant a lack of correspondence between a protocol specifica-
  11463. tion and its implementation in software.
  11464.  
  11465. 7.2.3.  Assurance Factors
  11466. _ _ _   _________ _______
  11467.  
  11468.      Assurances  of  implementation   correctness   may   be
  11469. addressed  by  techniques  such  as design specification and
  11470. verification, and testing.
  11471.  
  11472.      Ideally, all of the network protocol functions would be
  11473. verified  to  operate  correctly.  However,  verification of
  11474. large amounts of code is  prohibitively  expensive  (if  not
  11475. impossible)  at the current state-of-the-art, so the code to
  11476. be verified must be kept to an absolute  minimum.  It  seems
  11477. feasible to split up a complex protocol (e.g., the TCP) into
  11478. trusted  portions  (i.e.,   the   software   that   performs
  11479. security-related  functions)  and  untrusted portions (i.e.,
  11480. other software) so that only the  security-related  portions
  11481. must  be shown to meet the requirements of Part I.  However,
  11482. there is a general concern about the extent to which trusted
  11483. portions  of  protocols can be identified and protected from
  11484. untrusted portions.
  11485.  
  11486.      Methods for assuring the design correctness  of  proto-
  11487. cols  involve  the  use  of  tools  and techniques specially
  11488. oriented toward the kinds of problems peculiar to protocols.
  11489. Either formal methods, or testing, or both, may be used.
  11490.  
  11491.      Some assurance in design correctness  may  be  obtained
  11492. simply  by  basing  the protocol design on a well-understood
  11493. model or technique found in the literature if it is known to
  11494. address  the  kinds  of  problems  likely  to  arise.   This
  11495. assurance is lessened to the extent that the actual protocol
  11496. differs from the published version.
  11497.  
  11498. 7.2.3.1.  Formal Methods
  11499. _ _ _ _   ______ _______
  11500.  
  11501.      Formal techniques of protocol definition and validation
  11502. have  advanced  to  the  point  that  they may be applied to
  11503. actual  protocols  to  verify  the  absence  of   deadlocks,
  11504. livelocks, and incompleteness for design verification.  When
  11505. the state-of-the-art of formal tools is inadequate, or  when
  11506. the  sponsor  decides  not  to employ formal tools, informal
  11507. methods may be used.  The evaluation of protocol  specifica-
  11508. tion  and verification should indicate which assurance tools
  11509. have been employed.
  11510.  
  11511.      Formal methods for protocol specification and verifica-
  11512. tion  are typically based on a finite-state machine concept,
  11513. extended in one of various ways to represent the concurrency
  11514. and  communication  properties  characteristic  of networks.
  11515. Communicating sequential machines and Petri nets  have  been
  11516. used  as  a  functional  modeling context for protocols, and
  11517. experimental automated verification  tools  based  on  these
  11518. models  have been developed.  Different models and tools may
  11519. need to be used depending on the design objective for  which
  11520. assurance is desired.
  11521.  
  11522.      To the extent that the protocol model  and  implementa-
  11523. tion  permit  separation  by  layers,  the functional model,
  11524. proofs,  demonstration,  and  arguments  may  optionally  be
  11525. applied  to  individual  layers  or sets of adjacent layers.
  11526. Generally, the assurances obtained about  protocols  in  one
  11527. layer  are  conditional  on,  or relative to, assurances for
  11528. protocols in lower layers.
  11529.  
  11530. 7.2.3.2.  Testing
  11531. _ _ _ _   _______
  11532.  
  11533.      Protocol  testing  is  another  method  to  assure  the
  11534. correctness of the protocols other than formal verification.
  11535. Protocol testing has been employed to certify implementation
  11536. conformance  to  standards such as X.25, TCP, and TP4 with a
  11537. moderate level of success.
  11538.  
  11539.      The type of testing called for can be  referred  to  as
  11540. conformance testing and penetration testing.  The purpose of
  11541. performing these tests is to obtain a moderate level of con-
  11542. fidence on the correct operation of the protocols.
  11543.  
  11544.      Objectives should be to uncover design and  implementa-
  11545. tion  flaws  that would cause the protocols to perform their
  11546. functions incorrectly,  and  to  determine  if  the  Message
  11547. Stream  Modification (MSM) countermeasures are effective, if
  11548. applicable.  They may attempt to uncover all kinds of  logi-
  11549. cal  deficiencies, such as deadlocks, livelocks, unspecified
  11550. receptions, lack-of-liveness,  and  non-executable  interac-
  11551. tions.   All  discovered  flaws  should be corrected and the
  11552. implementations retested to demonstrate that they have  been
  11553. eliminated and that new flaws have not been introduced.  For
  11554. a successful conclusion to a test suite, no design flaws and
  11555. no  more  than a few correctable implementation flaws may be
  11556. found during testing, and there should be reasonable  confi-
  11557. dence  that few remain.  Manual or other mapping of the pro-
  11558. tocol specification to the source code may form a basis  for
  11559. testing.
  11560.  
  11561.      Protocols should be thoroughly analyzed and tested  for
  11562. their  responses  to both normal and abnormal data type mes-
  11563. sages. Testing must be done for  both  normal  and  degraded
  11564. mode  of operation both in controlled environment and in the
  11565. environment of deployment.
  11566.  
  11567. 8.  Documentation
  11568. _   _____________
  11569.  
  11570.      The section headings in  these  Part  II  Documentation
  11571. criteria  are the same as those employed for Part I Documen-
  11572. tation criteria.  The documentation produced in response  to
  11573. both  sets  of  criteria  may optionally be combined or pub-
  11574. lished separately, as the sponsor sees fit.
  11575.  
  11576. 8.1.  Security Features User's Guide
  11577. _ _   ________ ________ ____ _ _____
  11578.  
  11579.      A single summary, chapter, or manual in user documenta-
  11580. tion  shall  describe  the Part II security services, guide-
  11581. lines on their use, and how they interact with one another.
  11582.  
  11583.      This user documentation describes security services  at
  11584. the  global (network system) level, at the user interface of
  11585. each component, and the interaction among these.
  11586.  
  11587. 8.2.  Trusted Facility Manual
  11588. _ _   _______ ________ ______
  11589.  
  11590.      A manual addressed to the network  and  component  sub-
  11591. system  administrator shall present cautions about functions
  11592. and privileges that should be controlled to maintain network
  11593. security.   The  manual  shall  describe  the  operator  and
  11594. administrator functions related to  security  services.   It
  11595. shall provide guidelines on the consistent and effective use
  11596. of the network security services,  how  they  interact,  and
  11597. facility  procedures,  warnings, and privileges that need to
  11598. be controlled in order to maintain network security.
  11599.  
  11600.      The software modules  that  provide  security  services
  11601. shall  be  identified.  The procedures for secure generation
  11602. of new security service object  modules  from  source  after
  11603. modification  of  source  code  shall be described. It shall
  11604. include the procedures, if any, required to ensure that  the
  11605. network is initially started in a secure manner.  Procedures
  11606. shall also be included to  resume  secure  system  operation
  11607. after any lapse in operation.
  11608.  
  11609.      This manual shall contain specifications and procedures
  11610. to assist the system administrator to maintain cognizance of
  11611. the network configuration.  These  specifications  and  pro-
  11612. cedures shall address:
  11613.  
  11614. 1.      The implications of attaching new components to  the
  11615.         network.
  11616.  
  11617. 2.      The case where certain components  may  periodically
  11618.         leave  the  network  (e.g.,  by crashing or by being
  11619.         disconnected) and then rejoin.
  11620.  
  11621. 3.      Incremental updates; that  is,  it  must  explicitly
  11622.         indicate  which security services may change without
  11623.         others also changing.
  11624.  
  11625.      The physical and administrative environmental  controls
  11626. shall  be  specified.   Any  assumptions about security of a
  11627. given network should be clearly stated (e.g., the fact  that
  11628. all  communications  links must be physically protected to a
  11629. certain level).
  11630.  
  11631. 8.3.  Test Documentation
  11632. _ _   ____ _____________
  11633.  
  11634.      A document shall be provided that  describes  the  test
  11635. plan and test procedures that show how the security services
  11636. were tested, and results of  the  security  services'  func-
  11637. tional testing.
  11638.  
  11639.      The description of the test plan should  establish  the
  11640. context  in  which  the  testing was or should be conducted.
  11641. The description should identify  any  additional  test  com-
  11642. ponents  that  are  not  part of the system being evaluated.
  11643. This includes a description of the  test-relevant  functions
  11644. of  such test components, and a description of the interfac-
  11645. ing of those test components to the system being  evaluated.
  11646. The  description  of  the  test plan should also demonstrate
  11647. that the tests adequately cover the network security policy.
  11648. The tests should also include network configuration and siz-
  11649. ing.
  11650.  
  11651.      As identified in Appendix A, the entity being evaluated
  11652. may be a networking subsystem to which other components must
  11653. be added to make a complete network system.  In  that  case,
  11654. test   documentation   must  include  contextual  definition
  11655. because, at evaluation time, it is not possible to  validate
  11656. the  test  plans  without the description of the context for
  11657. testing the networking subsystem.
  11658.  
  11659. 8.4.  Design Documentation
  11660. _ _   ______ _____________
  11661.  
  11662.      Documentation  shall  be  available  that  provides   a
  11663. description  of  the network philosophy of protection and an
  11664. explanation of how this philosophy is  translated  into  the
  11665. security  services offered.  The interfaces between security
  11666. services shall be described. The security policy also  shall
  11667. be stated.
  11668.  
  11669.      The system description addresses the  network  security
  11670. architecture  and design by specifying the security services
  11671. in the network, and in what way they must cooperate to  sup-
  11672. port  network  security objectives.  If a network supports a
  11673. set of security policies and permits  components  with  dif-
  11674. ferent  policies  to  communicate, the relationships between
  11675. the policies shall be defined.
  11676.  
  11677. 9.  Specific Security Services
  11678. _   ________ ________ ________
  11679.  
  11680.      This section contains specific security  services  that
  11681. may  be provided in networks.  The structure of the specific
  11682. security services in the balance of Part II  is  represented
  11683. in  Table  II-2.  This table shows the network security con-
  11684. cerns addressed, the criteria  for  each  concern,  and  the
  11685. evaluation range for each criterion.
  11686.  
  11687. 9.1.  Communications Integrity
  11688. _ _   ______________ _________
  11689.  
  11690.      Communications integrity is a  collective  term  for  a
  11691. number  of  security  services.   These  services, described
  11692. below, are all concerned with  the  accuracy,  faithfulness,
  11693. non-corruptibility,   and   believability   of   information
  11694. transfer between peer entities through the computer communi-
  11695. cations network.
  11696.  
  11697.      Integrity is an important  issue.   However,  there  is
  11698. considerable  confusion  and inconsistency in the use of the
  11699. term.  The term is used to  address  matters  such  as  con-
  11700. sistency,  accuracy, concurrency, and data recovery, modifi-
  11701. cation access control (write, append,  delete,  update)  and
  11702. the credibility of information that is read by a process.-
  11703.  
  11704.      The mechanisms that can be used to  enforce  communica-
  11705. tion  integrity have some strong similarities to the mechan-
  11706. isms that are used to enforce  discretionary  and  mandatory
  11707. access  controls.   Integrity  in  Part  I is concerned with
  11708. access control, specifically  the  ability  of  subjects  to
  11709. modify  objects.  This should be contrasted with the Part II
  11710. concerns for communications integrity described below.
  11711.  
  11712. 9.1.1.  Authentication
  11713. _ _ _   ______________
  11714.  
  11715. + Functionality
  11716.   _____________
  11717.  
  11718.      The network should ensure that a data exchange is esta-
  11719. blished  with  the  addressed  peer  entity (and not with an
  11720. entity attempting a masquerade or a  replay  of  a  previous
  11721. establishment).   The  network  should  assure that the data
  11722. source is the one claimed.  When this service is provided in
  11723. support of a connection-oriented association, it is known as
  11724. Peer Entity Authentication; when it supports  a  connection-
  11725. less association, it is known as Data Origin Authentication.
  11726.  
  11727.      Attempts to create a session under a false identity  or
  11728. playing   back  a  previous  legitimate  session  initiation
  11729. sequence  are  typical  threats  for   which   peer   entity
  11730. _________________________
  11731.   - See, for example, Biba, K.J., "Integrity Considera-
  11732. tion  for Secure Systems," ESD-TR-76-372, MTR-3153, The
  11733. Mitre Corporation, Bedford, MA, April 1977; and  Juene-
  11734. man,  R. R., "Electronic Document Authentication," IEEE
  11735.                                                    ____
  11736. Network Magazine, April 1987, pp 17-23.
  11737. _______ ________
  11738.  
  11739.  
  11740. authentication is an appropriate countermeasure.
  11741.  
  11742.      Authentication generally follows identification, estab-
  11743. lishing  the validity of the claimed identity providing pro-
  11744. tection against  fraudulent  transactions.   Identification,
  11745. authentication,  and  authorization information (e.g., pass-
  11746. words) should be protected by the network.
  11747.  
  11748.      Available techniques  which  may  be  applied  to  peer
  11749. authentication mechanisms are:
  11750.  
  11751.      1.   Something known by the entity (e.g., passwords)
  11752.  
  11753.      2.   Cryptographic means
  11754.  
  11755.      3.   Use of the characteristics and/or  possessions  of
  11756.           the entity
  11757.  
  11758.      The above mechanisms may be incorporated into the  (N)-
  11759. layer peer-to-peer protocol to provide peer entity authenti-
  11760. cation.
  11761.  
  11762.      To tie data to a specific origin, implicit or  explicit
  11763. identification  information  must  be derived and associated
  11764. with data.  Ad hoc methods exist  for  authentication  which
  11765. may include verification through an alternate communications
  11766. channel, or a user-unique cryptographic authentication.
  11767.  
  11768.      When encryption is used for authentication service,  it
  11769. can be provided by encipherment or signature mechanisms.  In
  11770. conventional private-key cryptosystems, the encryption of  a
  11771. message  with a secret key automatically implies data origin
  11772. authenticity, because only the holder of that key  can  pro-
  11773. duce  an  encrypted form of a message.  However, the kind of
  11774. authentication  provided  by  the  conventional  private-key
  11775. cryptosystem  can  protect  both sender and receiver against
  11776. third party enemies, but it  cannot  protect  against  fraud
  11777. committed  by  the  other.   The reason is that the receiver
  11778. knowing the encryption key,  could  generate  the  encrypted
  11779. form  of a message and forge messages appearing to come from
  11780. the sender.  In the case where possible  disputes  that  may
  11781. arise  from  the  dishonesty of either sender or receiver, a
  11782. digital signature scheme is required.
  11783.  
  11784.      In  public-key  cryptosystems,  message   secrecy   and
  11785. message/sender  authenticity  are  functionally independent.
  11786. To achieve authenticity, the message is "decrypted" with the
  11787. secret key of the sender to provide proof of its origin, but
  11788. that does not conceal the  message.   If  both  secrecy  and
  11789. authenticity  are  required,  a  public-key signature scheme
  11790. must be used. This subject is extensively addressed  in  the
  11791. ISO/CCITT context of Directory authentication=.
  11792. _________________________
  11793.   = The  Directory  -  Authentication  Framework  (Mel-
  11794.     ___  _________     ______________  _________   ___
  11795. bourne,  April  1986),  ISO/CCITT Directory Convergence
  11796. ______   _____  ____
  11797. Document #3.
  11798.  
  11799.  
  11800.  
  11801.      Basis for Rating: Presence or absence.
  11802.  
  11803.      Evaluation Range: None or present.
  11804.  
  11805. + Strength of Mechanism
  11806.   ________ __ _________
  11807.  
  11808.      The security provided by  the  passwords  mechanism  is
  11809. very  sensitive to how passwords are selected and protected.
  11810. The security provided by a password depends on  composition,
  11811. lifetime, length, and protection from disclosure and substi-
  11812. tution. Password  Management  Guidance  is  contained  in  a
  11813. separate document-.
  11814.  
  11815.      When cryptographic techniques are  used,  they  may  be
  11816. combined   with   "hand-shaking"  protocols  and  "liveness"
  11817. assurance procedures to  protect  against  masquerading  and
  11818. replay.  The "liveness" assurance procedures may be provided
  11819. by:
  11820.  
  11821.      1.   Synchronized clocks
  11822.  
  11823.      2.   Two and three ways handshakes
  11824.  
  11825.      3.   Non-repudiation services provided by digital  sig-
  11826.           nature and/or notarization mechanisms
  11827.  
  11828.      The strength of the ciphers,  the  correctness  of  the
  11829. protocol logic, and the adequacy of implementation are three
  11830. primary factors in assessing the strength of  authentication
  11831. using  cryptography  techniques.   See  also  the Encryption
  11832. Mechanism section.
  11833.  
  11834.      Basis for Rating: In order to obtain a rating  of  good
  11835. using passwords, such usage must conform to Password Manage-
  11836. ment Guidance-.  The strength of a  cryptographic  mechanism
  11837. will be provided by the National Security Agency.
  11838.  
  11839.      Evaluation Range: None to good.
  11840.  
  11841. + Assurance
  11842.   _________
  11843.  
  11844.      Basis for rating assurance is concerned with guarantee-
  11845. ing or providing confidence that features to address authen-
  11846. tication threats have been implemented  correctly  and  that
  11847. the  control  objectives  of each feature have been actually
  11848. and accurately achieved.
  11849.  
  11850.      This assurance may be  addressed  by  analysis  of  the
  11851. strength  of  the  authentication  exchange mechanism.  This
  11852. includes  password  scheme  and/or  cryptographic  algorithm
  11853. analysis  and  the  automated protocol testing for deadlock,
  11854. _________________________
  11855.   - Department of Defense  Password  Management  Guide-
  11856.     __________ __ _______  ________  __________  _____
  11857. line,  National  Computer Security Center, CSC-STD-002-
  11858. ____
  11859. 85, 12 April 1985.
  11860.  
  11861.  
  11862.  
  11863. liveness,  and  other  security  properties  of  the  "hand-
  11864. shaking" protocols.
  11865.  
  11866.      Many of the assurance approaches are  common  to  other
  11867. security  services.   See  the  General Assurance Approaches
  11868. section for further information.   Cryptographic  mechanisms
  11869. may  be  employed  for  peer  entity  authentication.  These
  11870. mechanisms, and their assurance, are discussed in a separate
  11871. section.
  11872.  
  11873.      Basis for Rating: See the General Assurance  Approaches
  11874. section.
  11875.  
  11876.      Evaluation Range: None to good.
  11877.  
  11878.  
  11879. 9.1.2.  Communications Field Integrity
  11880. _ _ _   ______________ _____ _________
  11881.  
  11882.      Communications Field Integrity refers to protection  of
  11883. any  of the fields involved in communications from unauthor-
  11884. ized modification.  Two well-known fields are the  protocol-
  11885. information  (a.k.a.  header) field and the user-data field.
  11886. A protocol-data-unit (PDU) (a.k.a. packet, datagram)  always
  11887. contains protocol-information; user-data is optional.
  11888.  
  11889.      Other division and identification of fields are  possi-
  11890. ble.  Some  communications  systems  identify such fields as
  11891. control and priority.  For generality, this  section  refers
  11892. to  any  field  as containing data; this data may in fact be
  11893. protocol-information or the contents of some  other  identi-
  11894. fied  field.   For convenience, the term data integrity will
  11895. be used synonymously with  communications  field  integrity.
  11896. Data  integrity  may be provided on a selective field basis;
  11897. some selection may be made by the  network  architect,  some
  11898. selection  may  be  made  by the network administration, and
  11899. some may be left to the user.
  11900.  
  11901.      It should be mentioned that in a layered  protocol  the
  11902. combination  of  layer  N  protocol-information plus layer N
  11903. user-data is considered to be all user-data  in  layer  N-1.
  11904. It is also important to note the definition of a message and
  11905. the relationship between PDUs and  messages.  Each  PDU  may
  11906. constitute an independent message, or a sequence of PDUs may
  11907. constitute a single message.
  11908.  
  11909. + Functionality
  11910.   _____________
  11911.  
  11912.      Data integrity service counters active threats and pro-
  11913. tects  data  against  unauthorized  alteration.  The network
  11914. should ensure that  information  is  accurately  transmitted
  11915. from  source  to  destination  (regardless  of the number of
  11916. intermittent connecting points). The network should be  able
  11917. to counter both equipment failure as well as actions by per-
  11918. sons and processes not authorized to alter the data.  Proto-
  11919. cols  that  perform  code or format conversion will preserve
  11920. the integrity of data and control information.
  11921.  
  11922.      The network should also have an automated capability of
  11923. testing  for,  detecting, and reporting errors that exceed a
  11924. threshold.
  11925.  
  11926.      Since communication may be subject to  jamming/spoofing
  11927. attack,   line  and  node  outages,  hardware  and  software
  11928. failures, and active wiretapping attacks, there should exist
  11929. effective countermeasures to counter possible communications
  11930. threats. The countermeasures may include policy, procedures,
  11931. automated  or  physical  controls, mechanisms, and protocols
  11932. means.
  11933.  
  11934.      Basis  for  Rating:  Data  Integrity  service  may   be
  11935. evaluated  according to its ability to detect integrity vio-
  11936. lations.  The following  progression  relates  features  and
  11937. evaluation.
  11938.  
  11939.      Functionality would be evaluated as minimum  if  either
  11940. of the following two levels of features were provided:
  11941.  
  11942.      1.   Integrity of a single  connectionless  PDU.   This
  11943.           takes  the  form of determining whether a received
  11944.           PDU has been modified.
  11945.  
  11946.      2.   Integrity of selected fields within a  connection-
  11947.           less  PDU.   This  takes  the  form of determining
  11948.           whether the selected fields have been modified.
  11949.  
  11950.      Functionality would be evaluated as fair if,  in  addi-
  11951. tion,  either  of  the following two levels of features were
  11952. provided:
  11953.  
  11954.      1.   Integrity of selected fields  transferred  over  a
  11955.           connection.   This  takes  the form of determining
  11956.           whether the selected fields  have  been  modified,
  11957.           inserted, deleted, or replayed.
  11958.  
  11959.      2.   Integrity of all user-data  on  a  protocol  layer
  11960.           connection.   This  service  detects any modifica-
  11961.           tion, insertion, deletion, or replay of any PDU of
  11962.           an entire PDU sequence with no recovery attempted.
  11963.  
  11964.      Functionality would be evaluated as good if,  in  addi-
  11965. tion, the following feature is provided:
  11966.  
  11967.         Integrity of all user-data on a protocol layer  con-
  11968.         nection.   This  service  detects  any modification,
  11969.         insertion, deletion, or replay  of  any  PDU  of  an
  11970.         entire PDU sequence with recovery attempted.
  11971.  
  11972.      Evaluation Range: None to good.
  11973.  
  11974.  
  11975. + Strength of Mechanism
  11976.   ________ __ _________
  11977.  
  11978.      Policy, procedures,  automated  or  physical  controls,
  11979. mechanisms,  and  protocols  should  exist for ensuring that
  11980. data has not been subject to  excessive  random  errors  and
  11981. unauthorized  message  stream  modification, such as altera-
  11982. tion, substitution, reordering, replay, or  insertion.  Mes-
  11983. sage  stream  modification  (MSM)  countermeasures should be
  11984. identified and shown to be effective.  A technology of  ade-
  11985. quate strength should be selected to resist MSM.
  11986.  
  11987.      The probability of an undetected error should be speci-
  11988. fied as an indication of the strength of mechanism. The net-
  11989. work  should  have  an  automated  capability  for  testing,
  11990. detecting,  reporting, and/or recovering from those communi-
  11991. cation  errors/corruptions  that  exceed  specified  network
  11992. requirements.
  11993.  
  11994.      Basis for Rating: When encryption is used in  networks,
  11995. it  is  combined  with  network protocols to protect against
  11996. unauthorized  data  modification.   The  strength   of   the
  11997. ciphers, the correctness of the protocol logic, and the ade-
  11998. quacy of implementation are three primary factors in assess-
  11999. ing  the strength of Data Integrity using cryptography tech-
  12000. niques.  See the Encryption Mechanism  section  for  further
  12001. information.
  12002.  
  12003.      Evaluation Range: None to good.
  12004.  
  12005.  
  12006. + Assurance
  12007.   _________
  12008.  
  12009.      Basis for rating: Assurance is concerned  with  guaran-
  12010.      _____ ___ ______
  12011. teeing or providing confidence that features to address Data
  12012. Integrity threats have been implemented correctly  and  that
  12013. the  control  objectives  of each feature have been actually
  12014. and accurately achieved.
  12015.  
  12016.      Many of the assurance approaches for data integrity are
  12017. common   to   other  security  services.   See  the  General
  12018. Assurance section for further information.
  12019.  
  12020.      Evaluation Range: None to good.
  12021.  
  12022.  
  12023. 9.1.3.  Non-repudiation
  12024. _ _ _   ___ ___________
  12025.  
  12026. + Functionality
  12027.   _____________
  12028.  
  12029.      Non-repudiation service provides unforgeable  proof  of
  12030. shipment and/or receipt of data.
  12031.  
  12032.      This service prevents the sender from disavowing a leg-
  12033. itimate  message or the recipient from denying receipt.  The
  12034. network may provide either or  both  of  the  following  two
  12035. forms:
  12036.  
  12037.      1.   The recipient of data is provided  with  proof  of
  12038.           origin  of  data  that  will  protect  against any
  12039.           attempt by the sender to falsely deny sending  the
  12040.           data or its contents.
  12041.  
  12042.      2.   The sender is provided with proof of  delivery  of
  12043.           data  such  that  the  recipient cannot later deny
  12044.           receiving the data or its contents.
  12045.  
  12046.      Basis for Rating: Presence or absence of  each  of  the
  12047. two forms.
  12048.  
  12049.      Evaluation Range: None or present.
  12050.  
  12051.      Discussion: Digital signatures are available techniques
  12052. that  may be applied to non-repudiation mechanisms.  Digital
  12053. signature mechanisms define two procedures:
  12054.  
  12055.      1.   Signing a data unit
  12056.  
  12057.      2.   Verifying a signed data unit
  12058.  
  12059.      The signing process typically employs either  an  enci-
  12060. pherment  of  the  data  unit or the production of a crypto-
  12061. graphic checkfunction of the data unit, using  the  signer's
  12062. private information as a private key.
  12063.  
  12064.      The verification process involves using the public pro-
  12065. cedure  and  information  to determine whether the signature
  12066. was produced with the signer's private key.
  12067.  
  12068.      It  is  essential  that  the  signature  mechanism   be
  12069. unforgeable  and  adjudicable. This means that the signature
  12070. can only be produced using the signer's private information,
  12071. and  in  case the signer should disavow signing the message,
  12072. it must be possible for a judge or arbitrator to  resolve  a
  12073. dispute  arising between the signer and the recipient of the
  12074. message.
  12075.  
  12076.      Digital signature schemes are usually  classified  into
  12077. one  of two categories: true signatures or arbitrated signa-
  12078. tures.  In a true signature scheme, signed messages produced
  12079. by  the  sender are transmitted directly to the receiver who
  12080. verifies their validity and authenticity.  In an  arbitrated
  12081. signature  scheme,  all signed messages are transmitted from
  12082. the sender to the receiver via an arbitrator who serves as a
  12083. notary public.  In the latter case, a notarization mechanism
  12084. is needed.
  12085.  
  12086.      Both public-key and conventional private-key cryptosys-
  12087. tems can be utilized to generate digital signatures.  When a
  12088. message M is to be signed by a private-key cryptosystem, the
  12089. signature  is  a  computed  quantity catenated to M and sent
  12090. along with it.  In a public-key implementation, when a  mes-
  12091. sage  M  is  to be signed, a transformation using the secret
  12092. key is applied to M before transmitting it. Thus, the signa-
  12093. ture is presented by the resulting transformed message.
  12094.  
  12095.  
  12096. + Strength of Mechanism
  12097.   ________ __ _________
  12098.  
  12099.      Basis for  Rating:  The  strength  and  trustworthiness
  12100. given  to non-repudiation service is bounded by the trust in
  12101. the underlying cryptography implementing  digital  signature
  12102. mechanism,  the  correctness  of the protocol logic, and the
  12103. adequacy of protocol implementation. Additional  information
  12104. may  be found in the separate sections addressing these sub-
  12105. jects.
  12106.  
  12107.      Evaluation Range: None to good.
  12108.  
  12109. + Assurance
  12110.   _________
  12111.  
  12112.      Basis for Rating: Assurance is concerned  with  guaran-
  12113. teeing  or  providing  confidence  that  features to provide
  12114. non-repudiation service have been implemented correctly  and
  12115. that  the control objectives of each feature have been actu-
  12116. ally and accurately achieved.
  12117.  
  12118.      This assurance is addressed by analysis of the logic of
  12119. the  protocols  and the implementation of the digital signa-
  12120. ture mechanisms to show  correctness  and  effectiveness  by
  12121. formal  methods where possible (i.e., where tools exist) and
  12122. informal ones otherwise.
  12123.  
  12124.      The information in the  General  Assurance,  Encryption
  12125. Mechanisms, and Protocols sections also applies.
  12126.  
  12127.      Evaluation Range: None to good.
  12128.  
  12129. 9.2.  Denial of Service
  12130. _ _   ______ __ _______
  12131.  
  12132.      Assurance of communications availability would probably
  12133. be  more properly identified as a service,  while denial-of-
  12134. service (DOS) would be identified as a threat.  However,  it
  12135. is traditional to employ denial of service as the identifier
  12136. of this topic.
  12137.  
  12138.      DOS detection is highly  dependent  on  data  integrity
  12139. checking/detection mechanisms.  Other mechanisms relating to
  12140. data ordering, modification, loss, or replay (e.g., sequence
  12141. numbers, frame counts) are also measures of DOS protection.
  12142.  
  12143.      A  denial-of-service  condition  exists  whenever   the
  12144. throughput  falls  below  a  pre-established  threshold,  or
  12145. access to a remote entity is unavailable.  DOS  also  exists
  12146. when  resources  are  not available to users on an equitable
  12147. basis.  Priority and similar mechanisms should be taken into
  12148. account in determining equity.  If a connection is active, a
  12149. DOS condition can be detected by the  maximum  waiting  time
  12150. (MWT)  or  the  predetermined  minimum throughput.  However,
  12151. when a connection is quiescent, a protocol entity at one end
  12152. of  a  connection  has  no  way of determining when the next
  12153. packet should arrive from its corresponding peer entity.  It
  12154. is  thus  unable to detect a DOS attack that completely cuts
  12155. off the flow of packets from that entity.
  12156.  
  12157.      Denial of service conditions should be  considered  for
  12158. all  services  being  provided  by the network. As discussed
  12159. below for specific services, depending on  the  strength  of
  12160. mechanism  the  network  should  be able to detect, recover,
  12161. and/or resist denial of service  conditions.   The  specific
  12162. conditions,  which  the network will address, are determined
  12163. through the use  of  informal  models,  such  as  Mission(s)
  12164. Model,  Threat Model, Life Cycle Model, and Service Oriented
  12165. Model. The network manager or sponsor  shall  determine  the
  12166. network's denial of service requirements and shall establish
  12167. the desired service criteria accordingly.
  12168.  
  12169. 9.2.1.  Continuity of Operations
  12170. _ _ _   __________ __ __________
  12171.  
  12172. + Functionality
  12173.   _____________
  12174.  
  12175.      The security features providing resistance against  DOS
  12176. external  attacks  and the objectives that each feature will
  12177. achieve may include the following:
  12178.  
  12179. 1.      Use of active or passive replacement or other  forms
  12180.         of  redundancy  throughout  the  network  components
  12181.         (i.e.,  network  nodes,  connectivity,  and  control
  12182.         capability)  may enhance reliability, reduce single-
  12183.         point-of-failure, enhance survivability, and provide
  12184.         excess capacity.
  12185.  
  12186. 2.      Reconfiguration to provide network software  mainte-
  12187.         nance  and program down-loading to network nodes for
  12188.         software distribution, and to provide initialization
  12189.         and  reconfiguration after removing failed or faulty
  12190.         components and replacing  with  replaced  components
  12191.         can  isolate and/or confine network failures, accom-
  12192.         modate the addition and  deletion  of  network  com-
  12193.         ponents, and circumvent a detected fault.
  12194.  
  12195. 3.      Distribution  and  flexibility  of  network  control
  12196.         functions utilizing a distributed control capability
  12197.         to reduce or eliminate the possibility of  disabling
  12198.         the  network by destroying or disabling one or a few
  12199.         network control facilities, and a  flexible  control
  12200.         capability  which  is  able  to  respond promptly to
  12201.         emergency needs, such  as  increase  in  traffic  or
  12202.         quick  restoration,  can  improve  the capability to
  12203.         respond promptly to the changes in network  topology
  12204.         and network throughput thereby enhancing survivabil-
  12205.         ity and continuity of operation, perhaps by  enforc-
  12206.         ing precedence and preemption on traffic handling.
  12207.  
  12208. 4.      Fault tolerance mechanisms provide a  capability  to
  12209.         deal  with  network  failures  and  to maintain con-
  12210.         tinuity of operations of  a  network  including  the
  12211.         following  features:  error/fault  detection,  fault
  12212.         treatment, damage assessment (analysis on effects of
  12213.         failures), error/failure recovery, component/segment
  12214.         crash recovery, and whole network crash recovery.
  12215.  
  12216. 5.      Security  controls  could   include   community   of
  12217.         interest separation through creation of logical sub-
  12218.         nets with disjoint non-hierarchical mandatory access
  12219.         control categories, and protection of control infor-
  12220.         mation from active wiretapping.
  12221.  
  12222.      Basis  for  Rating:  The  network  should  ensure  some
  12223. minimum  specified continuing level of service.  The follow-
  12224. ing service would be considered minimum:
  12225.  
  12226.      a)   Detect conditions that would degrade service below
  12227.           a  pre-specified  minimum  and  would  report such
  12228.           degradation to its operators.
  12229.  
  12230. The following service would be considered fair:
  12231.  
  12232.      b)   Service that would continue in the event of equip-
  12233.           ment  failure and actions by persons and processes
  12234.           not authorized to alter the data.  The  resiliency
  12235.           may  be  provided by redundancy, alternate facili-
  12236.           ties, or other means.  The service provided may be
  12237.           degraded and/or may invoke priorities of service.
  12238.  
  12239. The following service would be considered good:
  12240.  
  12241.      c)   The same as (a), but with automatic adaptation.
  12242.  
  12243.      Evaluation Range: None to good.
  12244.  
  12245. + Strength of Mechanism
  12246.   ________ __ _________
  12247.  
  12248.      Network operational maintenance is based on  mechanisms
  12249. whose  robustness  may decrease inversely with network load-
  12250. ing. It may be nearly impossible to  guarantee  sufficiently
  12251. robust  testing,  regardless  of  whether done off-line with
  12252. simulated loading or operationally.
  12253.  
  12254.      In addition to rigorous analysis to assure  algorithmic
  12255. correctness  in  dealing with the "internal failures" (e.g.,
  12256. component, segment, or system failures caused by  errors  in
  12257. resource  allocation  policy  or  mechanism implementation),
  12258. countermeasures shall also  be  employed  against  "external
  12259. attacks" such as physical attacks.
  12260.  
  12261.      Basis for Rating: For each DOS feature  defined  above,
  12262. it  is  possible  to  assign a rating such as none, minimum,
  12263. fair, and good  for  the  assessment  of  a  network's  "DOS
  12264. strength" with respect to that particular feature.
  12265.  
  12266.      For example, major  ways  of  providing  fault-tolerant
  12267. mechanisms include:
  12268.  
  12269.      1.   Error/fault detection
  12270.  
  12271.      2.   Fault treatment
  12272.  
  12273.      3.   Damage  assessment   (analysis   on   effects   of
  12274.           failures)
  12275.  
  12276.      4.   Error/failure recovery
  12277.  
  12278.      5.   Component/segment crash recovery
  12279.  
  12280.      6.   Whole network crash recovery
  12281.  
  12282.      Evaluation Range: None to good.
  12283.  
  12284. + Assurance
  12285.   _________
  12286.  
  12287.      Assurance is concerned with guaranteeing  or  providing
  12288. confidence  that  features  to address DOS threats have been
  12289. implemented  correctly  and  that  the  objectives  of  each
  12290. feature have been actually and accurately achieved.
  12291.  
  12292.      This assurance may be addressed by analysis  for  weak-
  12293. ness  or  anomalous  behavior  of  the  resource  allocation
  12294. policy/mechanisms of the network using various formal models
  12295. such  as  queuing  theoretic  models,  hierarchical  service
  12296. models, protocol models, or resource allocation models which
  12297. can  be  analyzed for deadlock, liveness, and other security
  12298. properties.
  12299.  
  12300.      Basis for Rating: To provide assurance that the network
  12301. can  respond  to  various  forms of denial of service condi-
  12302. tions, the following methods may be employed:
  12303.  
  12304.      1.   Simulation
  12305.  
  12306.      2.   Testing
  12307.  
  12308.              a. Functional
  12309.  
  12310.              b. Periodic
  12311.  
  12312.              c. Penetration
  12313.  
  12314.      3.   Measurement under extreme conditions
  12315.  
  12316.      Distribution,  as  discussed  as  one  of  the  General
  12317. Assurance  Factors,  can  increase  the  assurance  that the
  12318. software deployed is authentic and appropriate in  the  con-
  12319. text  of  deployment  of new software and in crash recovery.
  12320. In  addition,  development  in  a  closed  environment   can
  12321. increase assurance.
  12322.  
  12323.      Evaluation Range: None to good.
  12324.  
  12325. 9.2.2.  Protocol Based DOS Protection Mechanisms
  12326. _ _ _   ________ _____ ___ __________ __________
  12327.  
  12328. + Functionality
  12329.   _____________
  12330.  
  12331.      Mechanisms for addressing DOS are often protocol  based
  12332. and  may  involve  testing  or  probing.  Any communications
  12333. availability service should consider using existing communi-
  12334. cations  protocol  mechanisms  where  feasible  so as not to
  12335. increase network overhead.  DOS mechanisms add overhead that
  12336. may  have  some  adverse impact on network performance.  The
  12337. benefits of value-added functions should offset  the  resul-
  12338. tant performance cost.
  12339.  
  12340.      For example, in order to detect  throughput  denial  of
  12341. service,  a  process  may exist to measures the transmission
  12342. rate between peer entities under conditions of  input  queu-
  12343. ing.   The measured transmission rate shall be compared with
  12344. a predetermined  minimum  to  detect  a  DOS  condition  and
  12345. activate an alarm.
  12346.  
  12347.      Another example is a  protocol  to  detect  failure  to
  12348. respond  within  a predetermined time between peer entities.
  12349. This protocol would determine the remote entity's ability to
  12350. respond to the protocol.
  12351.  
  12352.      A request-response mechanism  such  as  "are-you-there"
  12353. message  exchange  may  be employed to detect DOS conditions
  12354. when  the  connection  is  quiescent.  The  request-response
  12355. mechanism  involves  the  periodic  exchange of "hello", and
  12356. "are-you-there" messages between  peer  entities  to  verify
  12357. that  an  open  path  exists  between them; such a mechanism
  12358. should  be  protected  against  selective  message  passing.
  12359. Based on the ability to respond and the response time to the
  12360. request-response mechanism, the "availability" of  a  remote
  12361. entity  can  be  determined  and  the  DOS  condition can be
  12362. detected.
  12363.  
  12364.      Request-response mechanisms have been  known  to  crash
  12365. networks when coupled with hardware failures and/or abnormal
  12366. loading.  Incompatibilities also sometimes show up when dis-
  12367. similar  networks  are interconnected.  Any polling sequence
  12368. should probably be metered to prevent creating a DOS  condi-
  12369. tion.
  12370.  
  12371.      Basis for Rating: The number of protocol based  mechan-
  12372. isms  could  be  used for evaluation.  If only one mechanism
  12373. were provided, the functionality might be rated as  minimum.
  12374. If  two or three mechanisms were provided, the functionality
  12375. might be rated as fair.  If more than three mechanisms  were
  12376. provided, the functionality might be rated as good.
  12377.  
  12378.      Evaluation Range: None to good.
  12379.  
  12380. + Strength of Mechanism
  12381.   ________ __ _________
  12382.  
  12383.      Basis  for  Rating:  Network  protocol  robustness  may
  12384. decrease  inversely with network loading.  Testing, off-line
  12385. with  simulated  loading  or  operationally,  and   rigorous
  12386. analysis  to assure protocol correctness in dealing with the
  12387. "internal  failures"  and  against  "external  attacks"  are
  12388. appropriate ways of establishing strength of mechanism.
  12389.  
  12390.  
  12391.      Evaluation Range: None to good.
  12392.  
  12393. + Assurance
  12394.   _________
  12395.  
  12396.      Assurance is concerned with guaranteeing  or  providing
  12397. confidence  that  features  to address DOS threats have been
  12398. implemented  correctly  and  that  the  objectives  of  each
  12399. feature have been actually and accurately achieved.
  12400.  
  12401.      Basis for Rating: This assurance may  be  addressed  by
  12402. analysis  for  weakness or anomalous behavior of the network
  12403. protocols  using  various  formal  models  such  as  queuing
  12404. theoretic  models,  hierarchical service models, petri nets,
  12405. or resource allocation models  which  can  be  analyzed  for
  12406. deadlock, liveness, and other security properties.
  12407.  
  12408.      To provide assurance that the network can  response  to
  12409. various forms of external attacks, the following methods may
  12410. be employed:
  12411.  
  12412.      1.   simulation
  12413.  
  12414.      2.   testing
  12415.  
  12416.           -    functional
  12417.  
  12418.           -    periodic
  12419.  
  12420.           -    penetration
  12421.  
  12422.      3.   measurement under extreme conditions
  12423.  
  12424.      Distribution,  as  discussed  as  one  of  the  General
  12425. Assurance  Factors,  can  increase  the  assurance  that the
  12426. software deployed is authentic and appropriate in  the  con-
  12427. text  of  deployment  of new software and in crash recovery.
  12428. In  addition,  development  in  a  closed  environment   can
  12429. increase assurance.
  12430.  
  12431.      Evaluation Range: None to good.
  12432.  
  12433. 9.2.3.  Network Management
  12434. _ _ _   _______ __________
  12435.  
  12436. + Functionality
  12437.   _____________
  12438.  
  12439.      DOS resistance  based  on  a  system/message  integrity
  12440. measure  is two- tiered.  Tier one deals with communications
  12441. protocols.   Tier  two  addresses  network  management  (and
  12442. maintenance).    These  tiers  for  the  most  part  operate
  12443. independently.
  12444.  
  12445.      Network management and maintenance in  tier  two  deals
  12446. with  network health, detecting failures and overt acts that
  12447. result in denial or reduced service.  Simple throughput  may
  12448. not  necessarily  be  a  good measure of proper performance.
  12449. Loading above  capacity,  flooding,  replays,  and  protocol
  12450. retry  due  to noise in the channel can reduce service below
  12451. an acceptable level and/or cause selective outages.  Manage-
  12452. ment protocols, such as those which configure the network or
  12453. monitor its performance,  are  not  described  well  by  the
  12454. existing protocol reference models.
  12455.  
  12456.      A DOS attack may cause disruption of more than one peer
  12457. entity  association.   For this reason detection and correc-
  12458. tion may be implemented in tier two.   The  detection  of  a
  12459. potential  DOS condition by a peer entity should be reported
  12460. by the layer management functions of  those  entities.   The
  12461. determination  of  a DOS attack is an application management
  12462. function, and the corrective action is a  system  management
  12463. function.
  12464.  
  12465.      Basis for Rating: Presence or absence.
  12466.  
  12467.      Evaluation Range: None or present.
  12468.  
  12469. + Strength of Mechanism
  12470.   ________ __ _________
  12471.  
  12472.      Network operational maintenance is based on  mechanisms
  12473. whose robustness may decrease inversely with network loading
  12474. (e.g., update of routing tables).
  12475.  
  12476.      Basis for Rating: Integrity and adequacy of control  in
  12477. a network are the keys in coping with denial of service con-
  12478. ditions.  In addition to rigorous analysis to  assure  algo-
  12479. rithmic  correctness in dealing with the "internal failures"
  12480. (e.g., component, segment,  or  system  failures  caused  by
  12481. errors  in resource allocation policy or mechanism implemen-
  12482. tation), countermeasures  shall  also  be  employed  against
  12483. "external  attacks,"  such  as  physical attacks and attacks
  12484. against network control.
  12485.  
  12486.      Based on these characterizations, a set of ratings  can
  12487. be  assigned  to  each  category  under  the fault tolerance
  12488. feature and an overall rating can then be determined  for  a
  12489. network's  strength  in  providing  "fault tolerance mechan-
  12490. isms".
  12491.  
  12492.      Evaluation Range: None to good.
  12493.  
  12494. + Assurance
  12495.   _________
  12496.  
  12497.      Basis  for  Rating:  Assurance  may  be  addressed   by
  12498. analysis  for  weakness or anomalous behavior of the network
  12499. management policy/mechanisms of the  network  using  various
  12500. formal models such as queuing theoretic models, hierarchical
  12501. service models,  protocol  models,  or  resource  allocation
  12502. models  which  can  be  analyzed for deadlock, liveness, and
  12503. other security properties.
  12504.  
  12505.      Distribution,  as  discussed  as  one  of  the  General
  12506. Assurance  Factors,  can  increase  the  assurance  that the
  12507. software deployed is authentic and appropriate in  the  con-
  12508. text  of  deployment  of new software and in crash recovery.
  12509. In  addition,  development  in  a  closed  environment   can
  12510. increase assurance.
  12511.  
  12512.      Evaluation Range: None to good.
  12513.  
  12514. 9.3.  Compromise Protection
  12515. _ _   __________ __________
  12516.  
  12517.      Compromise protection is a collective term for a number
  12518. of  security services.  These services, described below, are
  12519. all concerned with the secrecy, or non-disclosure of  infor-
  12520. mation  transfer  between peer entities through the computer
  12521. communications network.  Physical  security,  such  as  pro-
  12522. tected wireways, can also provide transmission security. The
  12523. network manager  or  sponsor  must  decide  on  the  balance
  12524. between  physical,  administrative,  and technical security.
  12525. This document only addresses technical security.
  12526.  
  12527. 9.3.1.  Data Confidentiality
  12528. _ _ _   ____ _______________
  12529.  
  12530. + Functionality
  12531.   _____________
  12532.  
  12533.      Data  confidentiality  service  protects  data  against
  12534. unauthorized  disclosure.   Data  confidentiality  is mainly
  12535. compromised by passive wiretapping attacks.  Passive attacks
  12536. consist  of  observation  of  information passing on a link.
  12537. Release of message content to unauthorized users is the fun-
  12538. damental compromise.
  12539.  
  12540.      Prevention of release of message contents can be accom-
  12541. plished  by applying an encryption mechanism.  (See also the
  12542. Encryption Mechanism section.) The granularity of  key  dis-
  12543. tribution is a trade-off between convenience and protection.
  12544. Fine granularity would employ a unique key for  each  sensi-
  12545. tivity  level  for  each  session;  coarse granularity would
  12546. employ the same key for all sessions during a time period.
  12547.  
  12548.      The network must provide protection of data from  unau-
  12549. thorized disclosure.  Confidentiality can have the following
  12550. features:
  12551.  
  12552.      1.   Confidentiality of all  user-data  on  a  specific
  12553.           protocol layer connection.  Note: depending on use
  12554.           and layer, it may not be  appropriate  to  protect
  12555.           all  data,  e.g., expedited data or data in a con-
  12556.           nection request.
  12557.  
  12558.      2.   Confidentiality of all user-data in a single  con-
  12559.           nectionless datagram
  12560.  
  12561.      3.   Confidentiality  of  selected  fields  within  the
  12562.           user-data of an PDU
  12563.  
  12564.      Basis for Rating: Presence or absence of each feature.
  12565.  
  12566.      Evaluation Range: None or present.
  12567.  
  12568. + Strength of Mechanism
  12569.   ________ __ _________
  12570.  
  12571.      Physical protection and encryption are the  fundamental
  12572. techniques  for  protecting  data  from compromise.  Through
  12573. their use, release of message content and  traffic  analysis
  12574. can be prevented.
  12575.  
  12576.      Basis for Rating: The evaluation of data  confidential-
  12577. ity  mechanisms  is outside the scope of this document.  The
  12578. cognizant authorities will evaluate the mechanisms  relative
  12579. to  a  specific environment according to their own rules and
  12580. procedures.
  12581.  
  12582.      Evaluation Range: Sensitivity level of data approved to
  12583. protect.
  12584.  
  12585. + Assurance
  12586.   _________
  12587.  
  12588.      Basis of rating: Assurance is concerned with guarantee-
  12589.      _____ __ ______
  12590. ing  or  providing  confidence that features to address Data
  12591. Confidentiality threats have been implemented correctly  and
  12592. that  the control objectives of each feature have been actu-
  12593. ally and accurately achieved.  Blacker is an example of such
  12594. an application of a TCB for high assurance of data confiden-
  12595. tiality.
  12596.  
  12597.      Many of the assurance approaches for data confidential-
  12598. ity  are common to other security services.  See the General
  12599. Assurance section for further information.
  12600.  
  12601.      Evaluation Range: None to good.
  12602.  
  12603.  
  12604. 9.3.2.  Traffic Flow Confidentiality
  12605. _ _ _   _______ ____ _______________
  12606.  
  12607. + Functionality
  12608.   _____________
  12609.  
  12610.      Traffic  flow  confidentiality  service  protects  data
  12611. against  unauthorized  disclosure.  Traffic  analysis  is  a
  12612. compromise in which analysis of message  length,  frequency,
  12613. and  protocol  components  (such  as  addresses)  results in
  12614. information disclosure through inference.
  12615.  
  12616.      Traffic flow confidentiality is concerned with  masking
  12617. the  frequency,  length,  and origin-destination patterns of
  12618. communications between protocol  entities.   Encryption  can
  12619. effectively  and  efficiently  restrict disclosure above the
  12620. transport layer; that is, it can  conceal  the  process  and
  12621. application but not the host computer node.
  12622.  
  12623.      The OSI Addendum- notes:  "Traffic  padding  mechanisms
  12624. can  be used to provide various levels of protection against
  12625. traffic analysis.  This mechanism can be effective  only  if
  12626. the  traffic  padding  is  protected  by  a  confidentiality
  12627. _________________________
  12628.   - ISO 7498/Part 2 - Security Architecture, ISO  /  TC
  12629.     ___ ____ ____ _   ________ ____________
  12630. 97  /  SC  21  / N1528 / WG 1 Ad hoc group on Security,
  12631. Project 97.21.18, September 1986.
  12632.  
  12633.  
  12634. service."
  12635.  
  12636.      Basis for Rating: Presence or absence.
  12637.  
  12638.      Evaluation Range: None or present.
  12639.  
  12640. + Strength of Mechanism
  12641.   ________ __ _________
  12642.  
  12643.      Physical protection, encryption,  and  traffic  padding
  12644. are the fundamental countermeasures for traffic analysis.
  12645.  
  12646.      Basis for Rating: The evaluation of  traffic  confiden-
  12647.      _____ ___ ______
  12648. tiality  mechanisms  are outside the scope of this document.
  12649. The cognizant authorities will evaluate the mechanisms rela-
  12650. tive  to a specific environment according to their own rules
  12651. and procedures.
  12652.  
  12653.      Evaluation Range: Sensitivity level of data approved to
  12654. protect.
  12655.  
  12656. + Assurance
  12657.   _________
  12658.  
  12659.      Basis for rating: Assurance is concerned  with  guaran-
  12660.      _____ ___ ______
  12661. teeing  or  providing  confidence  that  features to address
  12662. Traffic  Confidentiality  threats  have   been   implemented
  12663. correctly  and  that  the control objectives of each feature
  12664. have been actually and accurately achieved.
  12665.  
  12666.      Many of the assurance approaches for traffic  confiden-
  12667. tiality are common to other security services.  See the Gen-
  12668. eral Assurance section for further information.
  12669.  
  12670.      Evaluation Range: None to good.
  12671.  
  12672.  
  12673. 9.3.3.  Selective Routing
  12674. _ _ _   _________ _______
  12675.  
  12676. + Functionality
  12677.   _____________
  12678.  
  12679.      "Routing control is the application of rules during the
  12680. process  of  routing  so as to choose or avoid specific net-
  12681. works, links or relays-....  Routes  can  be  chosen  either
  12682. dynamically  or  by  prearrangement so as to use only physi-
  12683. cally secure sub-networks, relays,  or  links.   End-systems
  12684. may,  on  detection of persistent manipulation attacks, wish
  12685. to instruct the network service provider to establish a con-
  12686. nection  via a different route.  Data carrying labels may be
  12687. forbidden by the security policy  to  pass  through  certain
  12688. sub-networks, relays or links.  Also the initiator of a con-
  12689. nection (or the sender of a connectionless  data  unit)  may
  12690. specify   routing  caveats  requesting  that  specific  sub-
  12691. networks, links or relays be avoided."
  12692. _________________________
  12693.   - ISO 7498/Part 2 - Security Architecture, ISO  /  TC
  12694.     ___ ____ ____ _   ________ ____________
  12695. 97  /  SC  21  / N1528 / WG 1 Ad hoc group on Security,
  12696. Project 97.21.18, September 1986.
  12697.  
  12698.  
  12699.      For  example,  there  are  national  laws  and  network
  12700. administration policies governing individual privacy rights,
  12701. encryption, and trans-border data flow.  A  user  in  a  end
  12702. system  may  wish to specify countries through which certain
  12703. information should not flow.
  12704.  
  12705.      Basis for Rating: Presence or absence.
  12706.  
  12707.      Evaluation Range: None or present.
  12708.  
  12709. + Strength of Mechanism
  12710.   ________ __ _________
  12711.  
  12712.      Basis for Rating: The factors discussed  under  Suppor-
  12713. tive Primitives (Section 7) apply.
  12714.  
  12715.      Evaluation Range: None to good.
  12716.  
  12717. + Assurance
  12718.   _________
  12719.  
  12720.      Basis for  Rating:  The  General  Assurance  Approaches
  12721. apply.
  12722.  
  12723.      Evaluation Range: None to good.
  12724.  
  12725.  
  12726.  Table II-1. Part II Assurance Rating Relationship to Part I Evaluation
  12727.  _____ __ _  ____ __ _________ ______ ____________ __ ____ _ __________
  12728.  
  12729.  
  12730. (note:  Table not included)
  12731.  
  12732.  
  12733.  
  12734.  
  12735.  
  12736.  Table II-2.  Evaluation Structure for the Network Security Services
  12737.  _____ __ _   __________ _________ ___ ___ _______ ________ ________
  12738.  
  12739.    (note:  Table not included)
  12740.  
  12741.  
  12742.  
  12743.  
  12744.                          Appendix A
  12745.                          ________ _
  12746.  
  12747.  
  12748.               Evaluation of Network Components
  12749.               __________ __ _______ __________
  12750.  
  12751.  
  12752.  
  12753.  
  12754.  
  12755.  
  12756.  
  12757. A.1.  Purpose
  12758. _ _   _______
  12759.  
  12760.      Part I of this  Trusted  Network  Interpretation  (TNI)
  12761. provides  interpretations  of  the Trusted Computer Security
  12762. Evaluation Criteria (TCSEC)  appropriate  for  evaluating  a
  12763. network  of  computer  and communication devices as a single
  12764. system with a single Trusted Computing  Base  (TCB),  called
  12765. the  Network  Trusted Computing Base (NTCB), which is physi-
  12766. cally and logically partitioned among the components of  the
  12767. network.   These  interpretations  stem from the recognition
  12768. that networks form an important and recognizable subclass of
  12769. ADP  systems with distinctive technical characteristics that
  12770. allow tailored interpretations of the TCSEC to be formulated
  12771. for them.
  12772.  
  12773.      An extension of this view of  networks  can  be  taken:
  12774. that  a  trusted network represents a composition of trusted
  12775. components.  This view is sound, consistent with the  first,
  12776. and  useful.   The  approach to evaluation of a network sug-
  12777. gested by this view is to partition  the  system  into  com-
  12778. ponents,  rate  each  component  to  determine its security-
  12779. relevant characteristics, and then evaluate the  composition
  12780. of  the  components to arrive at an overall rating class for
  12781. the network.  This approach aids  in  the  assigning  of  an
  12782. overall  network  evaluation class in two ways: 1) it allows
  12783. for the evaluation of components which in and of  themselves
  12784. do not support all the policies required by the TCSEC (which
  12785. will then contribute to the overall evaluation of  any  net-
  12786. work  which  uses the evaluated component), and 2) it allows
  12787. for the reuse of the evaluated component in  different  net-
  12788. works without the need for a re-evaluation of the component.
  12789.  
  12790.      This approach to evaluation does not negate or override
  12791. any of the interpretations presented in Part I of this docu-
  12792. ment, which describe the global characteristics of a trusted
  12793. network.   In order to present a unified and self-consistent
  12794. exposition within Part  I  of  the  document,  a  deliberate
  12795. choice was made to express the basic network interpretations
  12796. in terms of the view that networks are instances of ADP sys-
  12797. tems  to which the TCSEC are applied on a system-wide basis.
  12798. This choice allows  Part  I  to  follow  the  TCSEC  closely
  12799. because  the  basic  structural  model underlying the TCSEC,
  12800. that of a system with a single Trusted Computer Base  (TCB),
  12801. has not been altered.
  12802.  
  12803.      This appendix provides guidance for the  evaluation  of
  12804. the  individual  components  of a trusted network.  The com-
  12805. ponent evaluation guidelines  constitute  a  refinement  and
  12806. application  of  the total network interpretations expressed
  12807. within Part I and Part II of this document, and are intended
  12808. to  support  the eventual evaluation of a network or network
  12809. subsystem product to attain an overall network  class  using
  12810. the  Part  I  interpretations.  Note that Part II applies to
  12811. components without further interpretation.   No  implication
  12812. is  intended in this appendix that all networks must be com-
  12813. posed from evaluated components:  it is conceivable  that  a
  12814. complete  network  could  be  evaluated as a whole using the
  12815. system interpretations presented in Part I.  In many practi-
  12816. cal  cases,  however, the techniques presented here for con-
  12817. sidering first the individual  components,  and  then  their
  12818. composition  into an evaluatable whole, constitutes a viable
  12819. and attractive means for actually conducting the  evaluation
  12820. of the system under Part I interpretations.
  12821.  
  12822.      Three major issues must be confronted by the  architect
  12823. or  evaluator  of  a  trusted  system  when  the partitioned
  12824. viewpoint is applied:
  12825.  
  12826.      1.   How is the network to be partitioned in such a way
  12827.           that evaluation of individual components will sup-
  12828.           port eventual evaluation of the entire network?
  12829.  
  12830.      2.   What evaluation criteria should be applied to each
  12831.           component when rating that component?
  12832.  
  12833.      3.   How can the composition  of  rated  components  be
  12834.           evaluated?
  12835.  
  12836.      The first of these issues is addressed in the  separate
  12837. Appendix B, Rationale Behind NTCB Partitions.  The remaining
  12838. two issues are addressed in this Appendix:   the  first,  in
  12839. section A.1.1 and section A.3, and the last in section A.2.
  12840.  
  12841.      Section  A.1.1  presents  a  taxonomy   (classification
  12842. scheme)  for  processing  components  based upon subordinate
  12843. policy elements to be enforced, as well as the rating struc-
  12844. ture for individual components.
  12845.  
  12846.      Section A.2 presents techniques and guidelines for  the
  12847. composition  of  rated processing components to achieve par-
  12848. ticular system ratings for the assembled network.  This gui-
  12849. dance is based on characterizing each component according to
  12850. the policy elements supported where these are organized into
  12851. the  four  broad  policy areas of Mandatory Access Controls,
  12852. Discretionary Access Controls, Identification and  Authenti-
  12853. cation, and Audit support.
  12854.  
  12855.      Section A.3 presents specific  evaluation  guidance  in
  12856. terms  of  the network interpretations articulated in Part I
  12857. of this document, to allow individual processing  components
  12858. to  be  rated  preparatory to their utilization in a trusted
  12859. network.  The sections are organized according to  component
  12860. type, as defined in section A.1.1.  For each component type,
  12861. the applicable interpretations, from Part I,  are  provided,
  12862. organized according to rating class.
  12863.  
  12864. A.1.1.  Component Taxonomy and Rating Structure
  12865. _ _ _   _________ ________ ___ ______ _________
  12866.  
  12867.      The primary difference between a processing  component,
  12868. regarded as part of a larger network system, and regarded as
  12869. a stand-alone ADP system is that as a stand-alone system all
  12870. of  the  TCSEC  requirements  for a particular class must be
  12871. met:  for policy requirements (i.e., what features the  sys-
  12872. tem  must  support)  the intent of the TCSEC is to enforce a
  12873. collection of features which are felt  to  be  operationally
  12874. complete  and consistent for a total system.  In the context
  12875. of a larger system, however, it may well be (and usually is)
  12876. the  case that the set of policy-related features to be sup-
  12877. ported by  the  component  need  not  be  the  complete  set
  12878. required for a stand-alone system:  features not supplied by
  12879. one component for the system are supplied by another.
  12880.  
  12881.      In rating a product for potential use as a network com-
  12882. ponent, we would like, in theory, to be able to characterize
  12883. its security properties exactly:  in practice, we  shall  be
  12884. content  to  identify the component as being of a particular
  12885. type (which identifies the general policy elements the  com-
  12886. ponent supports) and of a particular evaluation class (which
  12887. identifies the assurance levels provided for each  supported
  12888. feature),  and  the target architecture.  The description of
  12889. the target architecture shall include a description  of  the
  12890. services that must be provided by other devices.
  12891.  
  12892.      In order to limit the  number  of  component  types  we
  12893. break   the  ``maximal''  set  of  policy-related  features,
  12894. defined by the TCSEC for A1 systems,  into  four  relatively
  12895. independent  categories  which  can be characterized as sup-
  12896. porting  Mandatory  Access  Controls  (MAC),   Discretionary
  12897. Access Controls (DAC), Audit, and Identification and Authen-
  12898. tication.  (In various tables and text in the  remainder  of
  12899. this appendix, these categories will be given the one-letter
  12900. designations M, D, A, and I, respectively).
  12901.  
  12902.      A given component can be  intended  (by  the  component
  12903. sponsor) or required (by the network sponsor) to provide any
  12904. combination of M, D, A or I functionality.  Logically, then,
  12905. there  are  sixteen  different  component types which can be
  12906. rated using the guidelines of section A.3, corresponding  to
  12907. the sixteen possible combinations of M, D, A, and I theoret-
  12908. ically possible.  Of these combinations one (no M, no D,  no
  12909. A,  no  I)  typifies  a  component intended (or required) to
  12910. enforce no security policy whatsoever, and therefore has  no
  12911. TCSEC  requirements to meet and need not be evaluated.  How-
  12912. ever, it is still possible to  utilize  such  components  as
  12913. part  of a secure network system, if the architecture of the
  12914. system induces a nil subordinate policy upon the  component.
  12915. The  remaining  component  types are denoted M, D, A, I, MD,
  12916. MA, MI, DA, DI, IA, MDA, MDI, MIA, IAD, and  MIAD  with  the
  12917. obvious  meanings  (for example, an "MIA component" supports
  12918. aspects of Mandatory, Audit, and Authentication and ID poli-
  12919. cies,  with  the  exact features provided being specified in
  12920. section A.3 depending upon both evaluation class and type).
  12921.  
  12922.     Table A1.  Component Type Maximum and Minimum Class
  12923.  
  12924. COMPONENT  TYPE  MIN CLASS       MAX CLASS       
  12925.        M           B1                A1
  12926.        D           C1                C2+  
  12927.        I           C1                C2 
  12928.        A           C2                C2+
  12929.        DI          C1                C2+ 
  12930.        DA          C2                C2+
  12931.        IA          C2                C2+
  12932.        IAD         C2                C2+ 
  12933.        MD          B1                A1  
  12934.        MA          B1                A1
  12935.        MI          B1                A1 
  12936.        MDA         B1                A1 
  12937.        MDI         B1                A1
  12938.        MIA         B1                A1 
  12939.        MIAD        B1                A1
  12940.  
  12941.  
  12942.  
  12943.      In addition to a type based upon  the  policy  elements
  12944. supported,  an  evaluated processing component is assigned a
  12945. single evaluation class.  In order to achieve  a  particular
  12946. class,  the  component  must  meet all of the guidelines for
  12947. that rating level for the applicable component type provided
  12948. in  section A.3.  In general, these guidelines are straight-
  12949. forward interpretations of the TCSEC for the subset of  pol-
  12950. icy features to be provided.  Each component type has a max-
  12951. imum and minimum class listed in Table A1 below.  To achieve
  12952. a  particular  class,  a  component  must  meet  appropriate
  12953. requirements  for  policy,  assurance,  accountability,  and
  12954. documentation.
  12955.  
  12956.      The maximum class for each component  type  is  derived
  12957. from  the  TCSEC, and is that evaluation class which imposes
  12958. the highest requirement  relevant  to  the  component  type.
  12959. Similarly,  the  lowest  class  available for each component
  12960. type is the TCSEC evaluation class  which  first  imposes  a
  12961. requirement relevant to that component type.
  12962.  
  12963.      Exceptions to this general approach have been made  for
  12964. the  requirements  for DAC and Audit support at the B3 level
  12965. as the additional support for  these  policy  categories  at
  12966. these levels (namely, the provision of ACL's for DAC and for
  12967. real-time alarms for Audit) are not at  the  high  level  of
  12968. assurance provided for the B3 MAC support.  It is considered
  12969. more appropriate to use the notation of  C2+  for  component
  12970. types  including D or A, but not M which meet the functional
  12971. requirements of the B3 system ratings for D or A.
  12972.  
  12973.      Components including support for I may be  required  to
  12974. provide  identification  and  authentication support for DAC
  12975. (at possibly relatively low levels of assurance) or both DAC
  12976. and  MAC  (at  relatively high levels of assurance).  There-
  12977. fore, rating levels ranging from C1 to A1 for  type  I  com-
  12978. ponents  have  been  provided.  The ratings above B2 reflect
  12979. the need for added assurance for the label integrity for the
  12980. MAC  label  information, rather than any additional require-
  12981. ments for features.
  12982.  
  12983.      Components including support for I are required to pro-
  12984. vide  Identification  and  Authentication which supports the
  12985. DAC   Policy.    The   TCSEC   Identification-Authentication
  12986. requirements for establishing a user clearance are reflected
  12987. in M Components, since this requirement is in essence estab-
  12988. lishing a security label for a user.
  12989.  
  12990.      Components of multiple types have  been  given  minimum
  12991. and maximum levels based upon meaningful combinations of the
  12992. included types.
  12993.  
  12994.      It might be noted in passing that a C1 stand-alone sys-
  12995. tem  has exactly the same certification requirements as a C1
  12996. DI component, a C2 system as a C2 IAD component,  and  B1-A1
  12997. systems as B1-A1 MIAD components.
  12998.  
  12999. A.2.  Composition Rules
  13000. _ _   ___________ _____
  13001.  
  13002. A.2.1.  Purpose
  13003. _ _ _   _______
  13004.  
  13005.      In order for a (sub)system composed of components to be
  13006. assigned  a  rating, the components that make up the network
  13007. must be interconnected in such a way that the connections do
  13008. not  violate the assumptions made at the time the components
  13009. were individually  evaluated.   This  section  presents  the
  13010. rules for the composition of evaluated components to form an
  13011. evaluatable (sub)system and the method for assigning a  rat-
  13012. ing to a (sub)system conforming to the rules.
  13013.  
  13014.      This section does not consider  the  relative  risk  of
  13015. utilizing  the  evaluated  (sub)system  to  separate data at
  13016. various levels of sensitivity:  that  is  the  role  of  the
  13017. environmental  security  requirements, such as those of Com-
  13018.                                                         ____
  13019. puter  Security  Requirements,  Guidance  for  applying  the
  13020. _____  ________  ____________   ________  ___  ________  ___
  13021. Department  of  Defense  Trusted  Computer System Evaluation
  13022. __________  __  _______  _______  ________ ______ __________
  13023. Criteria in  Specific  Environments,  CSC-STD-003-85.   This
  13024. ________ __  ________  ____________
  13025. section presents a technical basis for assigning a rating to
  13026. a (sub)system which is composed of more than one  component.
  13027. The rating assigned indicates a minimum level of security as
  13028. provided by the rated (sub)system as a whole.
  13029.  
  13030.      Components must provide interfaces to support the other
  13031. policies as required.
  13032.  
  13033.      The composition rules are divided up according  to  the
  13034. 15  possible  combinations of the four policies supported by
  13035. evaluated components (i.e., Mandatory Access  Control,  Dis-
  13036. cretionary   Access   Control,  Audit,  and  Identification-
  13037. Authentication).
  13038.  
  13039. A.2.2.  Discretionary Access  Control  (D-Only)  Composition
  13040. _ _ _   _____________ ______  _______   _ ____   ___________
  13041. Rules
  13042. _____
  13043.  
  13044.      The rules presented below are based on the  concept  of
  13045. properly composing a new component from previously evaluated
  13046. components.  Specifically, the rules presented in this  sec-
  13047. tion  deal  with the composition of a component with respect
  13048. to the DAC Policy of the Network.  It is expected  that  the
  13049. composition   of  a  D-Component  will  require  significant
  13050. engineering and system architectural consideration.
  13051.  
  13052.      When a D-Component is evaluated, it will  be  evaluated
  13053. against  some  stated Network DAC Policy and a stated target
  13054. Network Security Architecture.  Included  in  the  component
  13055. definition  will  be  a  statement of supported protocol for
  13056. passing Identifiers which will be used as the basis for mak-
  13057. ing DAC decisions.  The stated protocol will be evaluated to
  13058. assure that it is sufficient to support the  target  Network
  13059. DAC  Policy  (e.g., if the Network DAC Policy is that access
  13060. be designated down to the granularity of a single user, then
  13061. an  Identification Protocol which maps all users into a sin-
  13062. gle Network ID would not suffice).
  13063.  
  13064.      The type of Components discussed  below,  D-Components,
  13065. are  components  that have received a rating relative to DAC
  13066. (e.g., C1-C2+ D-Only Component, C1-C2+ DI  Component,  B1-A1
  13067. MD  Component,  etc.).   The  rules of this section are con-
  13068. cerned only with the composition of  these  components  with
  13069. respect to the DAC Policy.
  13070.  
  13071. A.2.2.1.  Composition of Two D-Components
  13072. _ _ _ _   ___________ __ ___ _ __________
  13073.  
  13074.      Whenever two D-Components are  directly  connected  the
  13075. Identification  Passing  Protocol  used  to pass identifiers
  13076. from one component to the other (for the purposes of  making
  13077. DAC decisions) must be the same in both components.  It must
  13078. be the case that the Identification  Passing  Protocol  pro-
  13079. vided by the composed component must support the Identifica-
  13080. tion Passing Protocol of the  target  Network  Architecture.
  13081. In  addition, the composed DAC Policy (defined by the combi-
  13082. nation of the DAC Policy provided by one component over  the
  13083. named  objects  under its control and by the DAC Policy pro-
  13084. vided by the other component over the  named  objects  under
  13085. its  control) must be shown to be able to support the target
  13086. Network DAC Policy.
  13087.  
  13088. A.2.2.2.  Discretionary Access  Control  Policy  Composition
  13089. _ _ _ _   _____________ ______  _______  ______  ___________
  13090. Rating
  13091. ______
  13092.  
  13093.      Given that a component is composed as described  above,
  13094. the  evaluation  class  assigned  to the composed component,
  13095. with relation to DAC, will be the rating of the lowest class
  13096. assigned to any D-Component within the composed component.
  13097.  
  13098. A.2.3.  Identification-Authentication  (I-Only)  Composition
  13099. _ _ _   ______________ ______________   _ ____   ___________
  13100. Rules
  13101. _____
  13102.  
  13103.      The rules presented below are based on the  concept  of
  13104. properly  composing  a  component from evaluated components.
  13105. Specifically, the rules presented in this section deal  with
  13106. the composition of a component with respect to the Identifi-
  13107. cation and Authentication Policy  of  the  Network.   It  is
  13108. expected that the composition of an I-Component will require
  13109. significant    engineering    and    system    architectural
  13110. consideration.
  13111.  
  13112.      When an I-Component is evaluated it will  be  evaluated
  13113. against  some  stated  Network Identification-Authentication
  13114. Policy and a stated target Network  architecture.   Included
  13115. in  the component definition will be a statement of the sup-
  13116. ported protocol for communicating  User  Identification  and
  13117. Authentication  Information,  and the interfaces provided by
  13118. the I-Component.  The composition of two  I-Components  must
  13119. maintain  the  protocol  which  supports the Identification-
  13120. Authentication Policy  of  the  Network.   In  addition  the
  13121. interfaces  provided by the composed I-Component, which sup-
  13122. port the stated protocol, must be identified.
  13123.  
  13124. A.2.3.1.  Identification-Authentication Composition Rating
  13125. _ _ _ _   ______________ ______________ ___________ ______
  13126.  
  13127.      Given that a component is composed as described  above,
  13128. the  evaluation  class  assigned  to the composed component,
  13129. with relation to Identification-Authentication, will be  the
  13130. rating  of  the  lowest  class  assigned  to any I-Component
  13131. within the composed component.
  13132.  
  13133. A.2.4.  Audit (A-Only) Composition Rules
  13134. _ _ _   _____  _ ____  ___________ _____
  13135.  
  13136.      The rules presented below are based on the  concept  of
  13137. properly  composing  a  component from evaluated components.
  13138. Specifically, the rules presented in this section deal  with
  13139. the  composition  of  a  component with respect to the Audit
  13140. Policy of the Network.  It is expected that the  composition
  13141. of  an  A-Component will require significant engineering and
  13142. system architectural consideration.
  13143.  
  13144.      When an A-Component is evaluated it will  be  evaluated
  13145. against some stated Network Audit Policy and a stated target
  13146. Network architecture.  Included in the component  definition
  13147. will  be a statement of the supported protocol that the com-
  13148. ponent uses for receiving Audit information.   The  composi-
  13149. tion  of  two  A-Components must maintain the protocol which
  13150. supports the Audit Policy of the Network.
  13151.  
  13152. A.2.4.1.  Audit Composition Rating
  13153. _ _ _ _   _____ ___________ ______
  13154.  
  13155.      Given that a component is composed as described  above,
  13156. the  evaluation  class  assigned  to the composed component,
  13157. with relation to Audit, will be the  rating  of  the  lowest
  13158. class  assigned  to any A-Component within the composed com-
  13159. ponent.
  13160.  
  13161. A.2.5.  Mandatory Access Control (M-Only) Composition Rules
  13162. _ _ _   _________ ______ _______  _ ____  ___________ _____
  13163.  
  13164.      The rules presented below are based on the  concept  of
  13165. properly  composing  a component from two directly connected
  13166. (at the physical layer) components.  Specifically, the rules
  13167. presented  in  this  section  deal with the composition of a
  13168. component with respect to the MAC Policy of the Network.
  13169.  
  13170.      The MAC Composition Rules provide  a  strong  guarantee
  13171. that  if  the  network  is  composed  of directly connected,
  13172. evaluated components,  and each  connection  meets  the  MAC
  13173. Composition Rules, the Network MAC Policy will be supported.
  13174. These rules permit the recursive definition of  a  component
  13175. based on the MAC Policy.
  13176.  
  13177.      The MAC Composition Rules are  divided  into  two  sec-
  13178. tions.   The  first  section addresses the  composition of a
  13179. component from two directly connected components  with  mul-
  13180. tilevel  devices  at each end of the connection.  The second
  13181. section addresses the composition of a  component  from  two
  13182. directly  connected  components with single-level devices at
  13183. each end of the connection.
  13184.  
  13185.      The type of Components discussed  below,  M-Components,
  13186. are  components which have received a rating relative to the
  13187. MAC  Policy  (e.g.,  B1-A1  M-Only  Components,  B1-A1   MD-
  13188. Components, B1-A1 MI-Components, etc.).
  13189.  
  13190. A.2.5.1.  Multilevel Devices
  13191. _ _ _ _   __________ _______
  13192.  
  13193.      Whenever two M-Components are directly connected, via a
  13194. communication  channel, with a multilevel device at each end
  13195. of the connection, the labeling protocol (as required by the
  13196. Exportation  to  Multilevel  Devices  requirements, sections
  13197. 3.1.1.3.2.1, 3.2.1.3.2.1, 3.3.1.3.2.1, and 4.1.1.3.2.1) must
  13198. be the same at the network interface to both devices.
  13199.  
  13200.      Whenever two Class B1  M-Component  are  directly  con-
  13201. nected,  the range of sensitivity labels denoted by the max-
  13202. imum and minimum levels (System High and System Low) associ-
  13203. ated  with  each  of  the  Class B1 M-Components must be the
  13204. same.  (This is because there are no explicit device  labels
  13205. for Class B1.)
  13206.  
  13207.      Whenever a Class B1 M-Component is  directly  connected
  13208. to  a  Class  B2-A1  M-Component,  the  range of sensitivity
  13209. labels denoted by the maximum  and  minimum  levels  (System
  13210. High  and  System  Low)  associated  with  the  Class  B1 M-
  13211. Component must be the  same  as  the  range  of  sensitivity
  13212. labels  denoted by the maximum and minimum levels associated
  13213. with the multilevel device of the Class B2-A1 M-Component.
  13214.  
  13215.      Whenever two Class B2-A1 M-Components are directly con-
  13216. nected  with  a multilevel device at each end of the connec-
  13217. tion, the range of sensitivity labels denoted by the maximum
  13218. and minimum levels associated with the each of the connected
  13219. devices must be the same.
  13220.  
  13221. A.2.5.2.  Single-Level Devices
  13222. _ _ _ _   ______ _____ _______
  13223.  
  13224.      Whenever two M-Components are directly connected with a
  13225. single-level  device at each end of the connection, the sen-
  13226. sitivity level associated with the two devices must  be  the
  13227. same.
  13228.  
  13229.      Whenever two Non-M-Components  are  directly  connected
  13230. the  maximum  sensitivity level of data processed by the two
  13231. Non-M-Components must be the same.
  13232.  
  13233. A.2.5.3.  Mandatory Access Control Policy Composition Rating
  13234. _ _ _ _   _________ ______ _______ ______ ___________ ______
  13235.  
  13236.      Given that a component is composed as described in sec-
  13237. tions  2.5.1  and 2.5.2 above, the evaluation class assigned
  13238. to the composed component, with regard to MAC, will  be  the
  13239. rating  of  the  lowest  class  assigned  to any M-Component
  13240. within the composed component.
  13241.  
  13242. A.2.6.  DI-Component (D-Only and I-Only) Composition Rules
  13243. _ _ _   __ _________  _ ____ ___ _ ____  ___________ _____
  13244.  
  13245.      The rules presented below are based on the  concept  of
  13246. properly  composing  a  component from evaluated components.
  13247. Specifically, the rules presented in this section deal  with
  13248. the  composition of a component with respect to the DAC Pol-
  13249. icy and the Identification-Authentication Policy of the Net-
  13250. work.  It is expected that the composition of a DI-Component
  13251. will require significant engineering  and  system  architec-
  13252. tural consideration.
  13253.  
  13254.      Whenever an I-Component and a D-Component are  composed
  13255. to  form  a  DI-Component the DI-Component must preserve the
  13256. Network DAC Policy of the D-Component.   This implies  that,
  13257. depending  on  the  DAC Policy, a protocol for receiving DAC
  13258. information and returning data might be  required  for  each
  13259. DAC  interface.   This  protocol must be able to support the
  13260. Network DAC policy.  (Note that if the Network DAC policy is
  13261. defined  such  that  access  decisions are based on the user
  13262. being a "member of the network group", i.e., is a legitimate
  13263. user  of  another  component, then the DAC interface may not
  13264. require any identifiers to be passed to the DI-Component.)
  13265.  
  13266.      In addition, for class C2 and above, the  composed  DI-
  13267. Component  must  preserve  the  Audit  Interface(s) used for
  13268. exporting audit information from the D-Component and the  I-
  13269. Component.   This implies that the DI-Component must provide
  13270. a means for exporting audit information generated by actions
  13271. taken within each of its parts.
  13272.  
  13273.      The   DI-Component    may    provide    Identification-
  13274. Authentication  support  services  to  other components.  In
  13275. this case the Identification Interface of  the  DI-Component
  13276. must  be  defined and a protocol established for this inter-
  13277. face which is able to support the Network  I/A  Policy.   In
  13278. this  case  the  DI-Component  may  be further composed with
  13279. other D-Only Components to form new DI-Components, using the
  13280. rules defined above.
  13281.  
  13282.      However, it is not necessary that the DI-Component pro-
  13283. vide  Identification-Authentication  services  to other com-
  13284. ponents.  In this case the DI-Component may only be composed
  13285. with other components (i.e., DI-Components, MIAD-Components,
  13286. MI-Components, etc.) which are  also  self  sufficient  with
  13287. respect to Identification-Authentication services.
  13288.  
  13289.      If the composed  DI-Component  supports  directly  con-
  13290. nected users then the DI-Component must, minimally, meet all
  13291. the requirements for a Class C1 Network System.
  13292.  
  13293. A.2.6.1.  DI-Component Composition Rating
  13294. _ _ _ _   __ _________ ___________ ______
  13295.  
  13296.      Given that a component is composed as described  above,
  13297. and  that the I-Component has an evaluation class of C1, the
  13298. evaluation class assigned to the composed DI-Component, will
  13299. be C1.
  13300.  
  13301.      Given that a component is composed as described  above,
  13302. and  that the I-Component has an evaluation class of C2, the
  13303. evaluation class assigned to the composed DI-Component, will
  13304. be equal to the evaluation class of the D-Component.
  13305.  
  13306. A.2.7.  DA (D-Only and A-Only) Composition Rules
  13307. _ _ _   __  _ ____ ___ _ ____  ___________ _____
  13308.  
  13309.      The rules presented below are based on the  concept  of
  13310. properly  composing  a  component from evaluated components.
  13311. Specifically, the rules presented in this section deal  with
  13312. the  composition of a component with respect to the DAC Pol-
  13313. icy and the Audit Policy of the  Network.   It  is  expected
  13314. that the composition of a DA-Component will require signifi-
  13315. cant engineering and system architectural consideration.
  13316.  
  13317.      Whenever an A-Component and a D-Component are  composed
  13318. to  form  a DA-Component, the DA-Component must preserve the
  13319. Network DAC Policy of the D-Component.   This implies  that,
  13320. depending  on  the  DAC Policy, a protocol for receiving DAC
  13321. information and returning data, might be required  for  each
  13322. DAC  interface.   This  protocol must be able to support the
  13323. Network DAC policy.  (Note that if the Network DAC policy is
  13324. defined  such  that  access  decisions are based on the user
  13325. being a "member of the network group", i.e., is a legitimate
  13326. user  of  another  component, then the DAC interface may not
  13327. require any identifiers to be passed to the DI-Component.)
  13328.  
  13329.      The DA-Component may provide Audit support services  to
  13330. other  components.   In this case the Audit Interface of the
  13331. DA-Component must be defined and a protocol established  for
  13332. this  interface,  which is able to support the Network Audit
  13333. Policy.  In this case the DA-Component may be  further  com-
  13334. posed   with   other  D-Only  Components  to  form  new  DA-
  13335. Components, using the rules defined above.
  13336.  
  13337.      However, it is not necessary that the DA-Component pro-
  13338. vide  Audit  services to other components.  In this case the
  13339. DA-Component may only  be  composed  with  other  components
  13340. (i.e.,  DA-Components, MIAD-Components, MA-Components, etc.)
  13341. that are also self sufficient with  respect  to  Audit  ser-
  13342. vices.
  13343.  
  13344. A.2.7.1.  DA-Component Composition Rating
  13345. _ _ _ _   __ _________ ___________ ______
  13346.  
  13347.      Given that a component is composed as described  above,
  13348. and that the D-Component has an evaluation class of at least
  13349. C2, the  evaluation  class  assigned  to  the  composed  DA-
  13350. Component,  will  be the rating of the lowest class assigned
  13351. to either of the two components which make up  the  composed
  13352. component.
  13353.  
  13354. A.2.8.  IA (I-Only and A-Only) Composition Rules
  13355. _ _ _   __  _ ____ ___ _ ____  ___________ _____
  13356.  
  13357.      The rules presented below are based on the  concept  of
  13358. properly  composing  a  component from evaluated components.
  13359. Specifically, the rules presented in this section deal  with
  13360. the   composition   of  a  component  with  respect  to  the
  13361. Identification-Authentication Policy and the Audit Policy of
  13362. the  Network.   It is expected that the composition of a IA-
  13363. Component will require significant  engineering  and  system
  13364. architectural consideration.
  13365.  
  13366.      Whenever an IA-Component is composed of an  I-Component
  13367. connected  to an A-Component, the IA-Component must preserve
  13368. both the Network Audit Interface  and  Protocol  of  the  A-
  13369. Component   and  the  Network  Identification-Authentication
  13370. Interface and Protocol of  the  I-Component.   This  implies
  13371. that  the composed IA-Component must provide an Audit Inter-
  13372. face as well as a Identification-Authentication Interface. A
  13373. protocol, for receiving Audit data, must be defined for each
  13374. Audit Interface.  This protocol must be able to support  the
  13375. Network  Audit Policy.  In addition, a protocol, for receiv-
  13376. ing Identification-Authentication data and returning authen-
  13377. ticated  user-ids,  must  be defined for each Identification
  13378. Interface.  This protocol must be able to support  the  Net-
  13379. work I/A policy.
  13380.  
  13381. A.2.8.1.  IA-Component Composition Rating
  13382. _ _ _ _   __ _________ ___________ ______
  13383.  
  13384.      Given that a component is composed as described  above,
  13385. and that the I-Component has an evaluation class of at least
  13386. C2, the  evaluation  class  assigned  to  the  composed  IA-
  13387. Component, will be the rating of the A-Component.
  13388.  
  13389. A.2.9.  MD (M-Only and D-Only) Composition Rules
  13390. _ _ _   __  _ ____ ___ _ ____  ___________ _____
  13391.  
  13392.      The rules presented below are based on the  concept  of
  13393. properly  composing  a  component from evaluated components.
  13394. Specifically, the rules presented in this section deal  with
  13395. the  composition of a component with respect to the MAC Pol-
  13396. icy and the DAC Policy of the Network. It is  expected  that
  13397. the  composition of an MD-Component will require significant
  13398. engineering and system architectural consideration.
  13399.  
  13400.      Whenever  an  MD-Component  is  composed  from  an   M-
  13401. Component  directly connected to a D-Component, the composi-
  13402. tion rules, with respect to the MAC Policy, are that the  M-
  13403. Component  must  only  connect  to  the  D-Component  via  a
  13404. single-level device, and the sensitivity level of the device
  13405. must  be  the  same as the maximum sensitivity level of data
  13406. processed by the D-Component.  Any network  interfaces  pro-
  13407. vided  by  the MD-Component via direct connections to the D-
  13408. Component must be at the level of the D-Component.
  13409.  
  13410.      The composition rules, with respect to the DAC  Policy,
  13411. are that any network interfaces provided by the MD-Component
  13412. (including those which only involve  direct  connections  to
  13413. the  M-Component)  must  support  the Identification Passing
  13414. Protocol used by the D-Component.  (Note that if the Network
  13415. DAC  policy  is defined such that access decisions are based
  13416. on the user being a ``member of the network  group'',  i.e.,
  13417. is  a  legitimate  user  of  another component, then the DAC
  13418. interface may not require any identifiers to  be  passed  to
  13419. the DI-Component.)
  13420.  
  13421.      In addition, the composed MD-Component must ensure that
  13422. any  external  requests for access to data under the control
  13423. of the composed component are subject to both  the  MAC  and
  13424. DAC Policies of the original M and D Components.
  13425.  
  13426. A.2.9.1.  MD-Component Composition Rating
  13427. _ _ _ _   __ _________ ___________ ______
  13428.  
  13429.      Given that a component is composed as described  above,
  13430. and  that the D-Component has an evaluation class of C2, the
  13431. evaluation class assigned to the composed MD-Component, will
  13432. be  either B1 (if the evaluation class of the M-Component is
  13433. B1) or B2 (if the evaluation class  of  the  M-Component  is
  13434. greater than B1).
  13435.  
  13436.      Given that a component is composed as described  above,
  13437. and that the D-Component has an evaluation class of C2+, the
  13438. evaluation class assigned to the composed MD-Component, will
  13439. be equal to the evaluation class of the M-Component.
  13440.  
  13441. A.2.10.  MI (M-Only and I-Only) Composition Rules
  13442. _ _ __   __  _ ____ ___ _ ____  ___________ _____
  13443.  
  13444.      The rules presented below are based on the  concept  of
  13445. properly  composing  a  component from evaluated components.
  13446. Specifically, the rules presented in this section deal  with
  13447. the  composition of a component with respect to the MAC Pol-
  13448. icy and the Identification-Authentication Policy of the Net-
  13449. work. It is expected that the composition of an MI-Component
  13450. will require significant engineering  and  system  architec-
  13451. tural consideration.
  13452.  
  13453.      Whenever  an  MI-Component  is  composed  from  an   M-
  13454. Component directly connected to an I-Component, the composi-
  13455. tion rules, with respect to the MAC Policy, are that the  M-
  13456. Component  must  only  connect  to  the  I-Component  via  a
  13457. single-level device, and the sensitivity level of the device
  13458. must  be  the  same as the maximum sensitivity level of data
  13459. processed by the I-Component.  Any network  interfaces  pro-
  13460. vided  by  the MI-Component via direct connections to the I-
  13461. Component must be at the level of the I-Component.
  13462.  
  13463.      In addition, the composed  MI-Component  must  preserve
  13464. the  Audit Interface(s) used for exporting audit information
  13465. from the M-Component and the I-Component.  This implies that
  13466. the  MI-Component  must  provide a means for exporting audit
  13467. information generated by actions taken within  each  of  its
  13468. parts.
  13469.  
  13470.      The   MI-Component    may    provide    Identification-
  13471. Authentication  support  services  to  other components.  In
  13472. this case the Identification Interface of  the  MI-Component
  13473. must  be  defined and a protocol established for this inter-
  13474. face, which is able to support the Network I/A  Policy.   In
  13475. this  case  the  MI-Component  may  be further composed with
  13476. other M-Only Components to form new MI-Components, using the
  13477. rules defined above.
  13478.  
  13479.      However, it is not necessary that the MI-Component pro-
  13480. vide  Identification-Authentication  services  to other com-
  13481. ponents.  In this case the MI-Component may only be composed
  13482. with other components (i.e., MI-Components, MIAD-Components,
  13483. DI-Components, etc.) that  are  also  self  sufficient  with
  13484. respect to Identification-Authentication services.
  13485.  
  13486.      The composed MI-Component must assure that  MAC  Policy
  13487. and  the Identification-Authentication Policy of the Network
  13488. is supported on any  direct  User  connections  to  the  MI-
  13489. Component.  This  implies  that  if the M-Component supports
  13490. direct User connections, the M-Component must support a pro-
  13491. tocol   on   these  connections  such  that  Identification-
  13492. Authentication information may be  exchanged  (with  the  I-
  13493. Component)  which  will  fully  support the IA Policy of the
  13494. Network.
  13495.  
  13496. A.2.10.1.  MI-Component Composition Rating
  13497. _ _ __ _   __ _________ ___________ ______
  13498.  
  13499.      Given that a component is composed as described  above,
  13500. and  that the I-Component has an evaluation class of C2, the
  13501. evaluation class assigned to the composed MI-Component  will
  13502. be equal to the evaluation class of the M-Component.
  13503.  
  13504. A.2.11.  MA (M-Only and A-Only) Composition Rules
  13505. _ _ __   __  _ ____ ___ _ ____  ___________ _____
  13506.  
  13507.      The rules presented below are based on the  concept  of
  13508. properly  composing  a  component from evaluated components.
  13509. Specifically, the rules presented in this section deal  with
  13510. the  composition of a component with respect to the MAC Pol-
  13511. icy and the Audit Policy of the  Network.   It  is  expected
  13512. that  the composition of an MA-Component will require signi-
  13513. ficant engineering and system architectural consideration.
  13514.  
  13515.      Whenever  an  MA-Component  is  composed  from  an   M-
  13516. Component directly connected to an A-Component, the composi-
  13517. tion rules, with respect to the MAC Policy, are that the  M-
  13518. Component  must  only  connect  to  the  A-Component  via  a
  13519. single-level device and the sensitivity level of the  device
  13520. must  be  the  same as the maximum sensitivity level of data
  13521. processed by the A-Component (probably Network  High).   Any
  13522. network  interfaces  provided by the MA-Component via direct
  13523. connections to the A-Component must be at the level  of  the
  13524. A-Component.
  13525.  
  13526.      The MA-Component may provide Audit support services  to
  13527. other  components.   In this case the Audit Interface of the
  13528. MA-Component must be defined and a protocol established  for
  13529. this  interface  which  is able to support the Network Audit
  13530. Policy.  In this case the MA-Component may be  further  com-
  13531. posed   with   other  M-Only  Components  to  form  new  MA-
  13532. Components, using the rules defined above.
  13533.  
  13534.      However, it  is not  necessary  that  the  MA-Component
  13535. provide  Audit  services  to other components.  In this case
  13536. the MA-Component may only be composed with other  components
  13537. (i.e.,  MA-Components, MIAD-Components, DA-Components, etc.)
  13538. which are also self sufficient with respect  to  Audit  ser-
  13539. vices.
  13540.  
  13541. A.2.11.1.  MA-Component Composition Rating
  13542. _ _ __ _   __ _________ ___________ ______
  13543.  
  13544.      Given that a component is composed as described  above,
  13545. and  that the A-Component has an evaluation class of C2, the
  13546. evaluation class assigned to the composed MA-Component, will
  13547. be  either B1 (if the evaluation class of the M-Component is
  13548. B1) or B2 (if the evaluation class  of  the  M-Component  is
  13549. greater than B1).
  13550.  
  13551.      Given that a component is composed as described  above,
  13552. and that the A-Component has an evaluation class of C2+, the
  13553. evaluation class assigned to the composed MA-Component  will
  13554. be equal to the evaluation class of the M-Component.
  13555.  
  13556. A.2.12.  IAD Composition Rules
  13557. _ _ __   ___ ___________ _____
  13558.  
  13559.      The rules presented below are based on the  concept  of
  13560. properly  composing  a  component from evaluated components.
  13561. Specifically, the rules presented in this section deal  with
  13562. the  composition of a component with respect to the DAC Pol-
  13563. icy, the Identification-Authentication Policy, and the Audit
  13564. Policy  of the Network.  It is expected that the composition
  13565. of a IAD-Component will require significant engineering  and
  13566. system architectural consideration.
  13567.  
  13568.      Whenever a IAD-Component is composed from directly con-
  13569. nected  components,  the  IAD-Component  must conform to the
  13570. composition rules for a DI-Component, a DA-Component, and an
  13571. IA-Component.  If  the  IAD-Component supports directly con-
  13572. nected users then the IAD-Component  must,  minimally,  meet
  13573. all the requirements for a Class C2 Network System.
  13574.  
  13575. A.2.12.1.  IAD-Component Composition Rating
  13576. _ _ __ _   ___ _________ ___________ ______
  13577.  
  13578.      Given that a component is composed as described  above,
  13579. and  that  the  I-Component  and  D-Component  each  have an
  13580. evaluation class of C2, the evaluation class assigned to the
  13581. composed IAD-Component will be C2.
  13582.  
  13583.      Given that a component is composed as described  above,
  13584. and  that  the I-Component has an evaluation class of C2 and
  13585. the D-Component has an evaluation class of C2+, the  evalua-
  13586. tion  class  assigned  to the composed IAD-Component will be
  13587. the evaluation class of the A-Component.
  13588.  
  13589. A.2.13.  MDA Composition Rules
  13590. _ _ __   ___ ___________ _____
  13591.  
  13592.      The rules presented below are based on the  concept  of
  13593. properly  composing  a  component from evaluated components.
  13594. Specifically, the rules presented in this section deal  with
  13595. the  composition of a component with respect to the MAC Pol-
  13596. icy, the DAC Policy, and the Audit Policy  of  the  Network.
  13597. It  is expected that the composition of a MDA-Component will
  13598. require significant  engineering  and  system  architectural
  13599. consideration.
  13600.  
  13601.      Whenever a MDA-Component is composed from directly con-
  13602. nected  components,  the  MDA-Component  must conform to the
  13603. composition rules for an MD-Component, an MA-Component,  and
  13604. a DA-Component.
  13605.  
  13606. A.2.13.1.  MDA-Component Composition Rating
  13607. _ _ __ _   ___ _________ ___________ ______
  13608.  
  13609.      Given that a component is composed as described  above,
  13610. and  that the A-Component has an evaluation class of C2, and
  13611. the D-Component has an evaluation class of C2 or higher, the
  13612. evaluation class assigned to the composed MDA-Component will
  13613. be either B1 (if the evaluation class of the M-Component  is
  13614. B1)  or  B2  (if  the evaluation class of the M-Component is
  13615. greater than B1).
  13616.  
  13617.      Given that a component is composed as described  above,
  13618. and  that  the  D-Component  and  A-Component  each  have an
  13619. evaluation class of C2+, the evaluation  class  assigned  to
  13620. the  composed  MDA-Component will be equal to the evaluation
  13621. class of the M-Component.
  13622.  
  13623. A.2.14.  MDI Composition Rules
  13624. _ _ __   ___ ___________ _____
  13625.  
  13626.      The rules presented below are based on the  concept  of
  13627. properly  composing  a  component from evaluated components.
  13628. Specifically, the rules presented in this section deal  with
  13629. the  composition of a component with respect to the MAC Pol-
  13630. icy, the DAC Policy, and  the  Identification-Authentication
  13631. Policy  of the Network.  It is expected that the composition
  13632. of a MDI-Component will require significant engineering  and
  13633. system architectural consideration.
  13634.  
  13635.      Whenever a MDI-Component is composed from directly con-
  13636. nected  components,  the  MDI-Component  must conform to the
  13637. composition rules for an MD-Component, an MI-Component,  and
  13638. a DI-Component.
  13639.  
  13640. A.2.14.1.  MDI-Component Composition Rating
  13641. _ _ __ _   ___ _________ ___________ ______
  13642.  
  13643.      Given that a component is composed as described  above,
  13644. and  that  the  I-Component and the D-Component each have an
  13645. evaluation class of C2, the evaluation class assigned to the
  13646. composed  MDA-Component will be either B1 (if the evaluation
  13647. class of the M-Component is B1) or  B2  (if  the  evaluation
  13648. class of the M-Component is greater than B1).
  13649.  
  13650.      Given that a component is composed as described  above,
  13651. and  that the I-Component has an evaluation class of C2, and
  13652. the D-Component has an evaluation class of C2+, the  evalua-
  13653. tion  class  assigned  to the composed MDI-Component will be
  13654. equal to the evaluation class of the M-Component.
  13655.  
  13656. A.2.15.  MIA Composition Rules
  13657. _ _ __   ___ ___________ _____
  13658.  
  13659.      The rules presented below are based on the  concept  of
  13660. properly  composing  a  component from evaluated components.
  13661. Specifically, the rules presented in this section deal  with
  13662. the  composition of a component with respect to the MAC Pol-
  13663. icy, the Identification-Authentication Policy, and the Audit
  13664. Policy  of the Network.  It is expected that the composition
  13665. of a MIA-Component will require significant engineering  and
  13666. system architectural consideration.
  13667.  
  13668.      Whenever a MIA-Component is composed from directly con-
  13669. nected  components,  the  MIA-Component  must conform to the
  13670. composition rules for an MI-Component, an MA-Component,  and
  13671. a IA-Component.
  13672.  
  13673. A.2.15.1.  MIA-Component Composition Rating
  13674. _ _ __ _   ___ _________ ___________ ______
  13675.  
  13676.      Given that a component is composed as described  above,
  13677. and  that  the  I-Component and the A-Component each have an
  13678. evaluation class of C2, the evaluation class assigned to the
  13679. composed MIA-Component, will be either B1 (if the evaluation
  13680. class of the M-Component is B1) or  B2  (if  the  evaluation
  13681. class of the M-Component is greater than B1).
  13682.  
  13683.      Given that a component is composed as described  above,
  13684. and  that  the I-Component has an evaluation class of C2 and
  13685. the A-Component has an evaluation class of C2+, the  evalua-
  13686. tion  class  assigned to the composed MIA-Component, will be
  13687. equal to the evaluation class of the M-Component.
  13688.  
  13689. A.2.16.  MIAD Composition Rules
  13690. _ _ __   ____ ___________ _____
  13691.  
  13692.      The rules presented below are based on the  concept  of
  13693. properly  composing  a  component from evaluated components.
  13694. Specifically, the rules presented in this section deal  with
  13695. the  composition of a component with respect to the MAC Pol-
  13696. icy, the DAC Policy, the Identification-Authentication  Pol-
  13697. icy,  and  the  Audit Policy of the Network.  It is expected
  13698. that the composition of a MIA-Component will require  signi-
  13699. ficant engineering and system architectural consideration.
  13700.  
  13701.      Whenever an MIAD-Component is  composed  from  directly
  13702. connected components, the MIAD-Component must conform to the
  13703. composition rules for an MIA-Component, an MDA-Component, an
  13704. MDI-Component,  and  a  IAD-Component. If the MIAD-Component
  13705. supports directly connected users  then  the  MIAD-Component
  13706. must,  minimally,  meet  all the requirements for a Class B1
  13707. Network System.
  13708.  
  13709. A.2.16.1.  MIAD-Component Composition Rating
  13710. _ _ __ _   ____ _________ ___________ ______
  13711.  
  13712.      Given that a component is composed as described  above,
  13713. and  that  the  I-Component and the D-Component each have an
  13714. evaluation class of C2, the evaluation class assigned to the
  13715. composed MIAD-Component will be either B1 (if the evaluation
  13716. class of the M-Component is B1) or  B2  (if  the  evaluation
  13717. class of the M-Component is greater than B1).
  13718.  
  13719.      Given that a component is composed as described  above,
  13720. and  that the I-Component has an evaluation class of C2, and
  13721. the D-Component and the A-Component each have an  evaluation
  13722. class  of C2+, the evaluation class assigned to the composed
  13723. MIAD-Component will be equal to the evaluation class of  the
  13724. M-Component.
  13725.  
  13726. A.3.  Guidelines for Specific Component Evaluation
  13727. _ _   __________ ___ ________ _________ __________
  13728.  
  13729. A.3.1.  Mandatory Only Components (M-Components)
  13730. _ _ _   _________ ____ __________  _ __________
  13731.  
  13732.      Mandatory Only Components are components  that  provide
  13733. network  support  of the MAC Policy as specified in the Net-
  13734. work Interpretation  of  the  DoD  Trusted  Computer  System
  13735. Evaluation  TCSEC.   M-Components do not include the mechan-
  13736. isms necessary to completely support any of the 3 other net-
  13737. work policies (i.e., DAC, Identification-Authentication, and
  13738. Audit) as defined in the Interpretation.
  13739.  
  13740.      M-Components belong to one of four classes B1, B2,  B3,
  13741. and A1 (as defined by the requirements below).
  13742.  
  13743.      M-Components are rated according to the  highest  level
  13744. for which all the requirements of a given class are met.
  13745.  
  13746. A.3.1.1.  Overall Interpretation
  13747. _ _ _ _   _______ ______________
  13748.  
  13749.      In the requirements referenced, TCB will be  understood
  13750. to refer to the NTCB Partition of the M-Component.  Also any
  13751. reference to audit for an M-Component will be interpreted to
  13752. mean  "the  M-Component  shall  produce audit data about any
  13753. auditable actions performed by the M-Component".   In  addi-
  13754. tion  the  M-Component  shall contain a mechanism for making
  13755. the audit data available to an audit collection component.
  13756.  
  13757. A.3.1.2.  Generally Interpreted Requirements
  13758. _ _ _ _   _________ ___________ ____________
  13759.  
  13760.      The requirements listed in the Table A2 apply  directly
  13761. to   M-Components   as   interpreted   in  Part  I  of  this
  13762. interpretation.
  13763.  
  13764.   Table A2.  M-Component Requirements That Can Be Applied
  13765.   _____ __   _ _________ ____________ ____ ___ __ _______
  13766.                Without Further Interpretation
  13767.                _______ _______ ______________
  13768. (NOTE:  Table not included)
  13769.  
  13770.  
  13771.  
  13772. A.3.1.3.  Specifically Interpreted Requirements
  13773. _ _ _ _   ____________ ___________ ____________
  13774.  
  13775.      The following requirements require additional interpre-
  13776. tation as indicated. -
  13777.  
  13778. A.3.1.3.1.  Subject Sensitivity Labels
  13779. _ _ _ _ _   _______ ___________ ______
  13780.  
  13781. + Criteria
  13782.      (Class   B2   - Section  3.2.1.3.3;    Class    B3    -
  13783.      Section 3.3.1.3.3; Class A1 - Section 4.1.1.3.3)
  13784.  
  13785. + Interpretation
  13786.  
  13787.      An M-Component need not support direct  terminal  input
  13788. in  which  case  this requirement is not applicable.  Any M-
  13789. Component which does support direct terminal input must meet
  13790. _________________________
  13791.   - For brevity, the following TCSEC  sections  contain
  13792. pointers  to  the sections of Part I of the Network In-
  13793. terpretation being interpreted, instead of  the  actual
  13794. requirements.
  13795.  
  13796.  
  13797. the requirement as stated.
  13798.  
  13799.  
  13800. + Rationale
  13801.  
  13802.      The only way that a user can change the  current  level
  13803. of  the  session  is to be directly connected to a component
  13804. that supports the MAC Policy.  If the user is directly  con-
  13805. nected  to  a component that does not support the MAC Policy
  13806. then the user will always operate at the level of  the  com-
  13807. ponent  to  which  he  is directly attached.  If the user is
  13808. directly connected to a M-Component  then  this  M-Component
  13809. must  meet  the  requirements as stated.  M-Components which
  13810. may be part of the network which do not directly communicate
  13811. with  users  need  not  support  this  requirement since the
  13812. requirement will be met by the M-Component  with  which  the
  13813. user is directly communicating.
  13814.  
  13815. A.3.1.3.2.  Trusted Path
  13816. _ _ _ _ _   _______ ____
  13817.  
  13818.  
  13819. + Criteria
  13820.  
  13821.      (Class   B2   - Section  3.2.2.1.1;    Class    B3    -
  13822.      Section 3.3.2.1.1; Class A1 - Section 4.1.2.1.1)
  13823.  
  13824.  
  13825. + Interpretation
  13826.  
  13827.      An M-Component  need  not  support  direct  user  input
  13828. (e.g.,  the  M-Component may not be attached to any user I/O
  13829. devices such as terminals) in which case this requirement is
  13830. not  applicable.   Any M-Component which does support direct
  13831. communication  with  users  must  meet  the  requirement  as
  13832. stated.  In addition, an M-Component with directly connected
  13833. users must provide mechanisms which establish the  clearance
  13834. of users and associate that clearance with the users current
  13835. session.
  13836.  
  13837.  
  13838. + Rationale
  13839.  
  13840.      Trusted Path is necessary in order to assure  that  the
  13841. user  is  communicating  with  the TCB and only the TCB when
  13842. security relevant activities are taking place (e.g., authen-
  13843. ticate  user, set current session security level).  However,
  13844. Trusted Path does not address communications within the TCB,
  13845. only  communications  between  the  user  and  the TCB.  If,
  13846. therefore, an M-Component does not support any  direct  user
  13847. communication  then the M-Component need not contain mechan-
  13848. isms for assuring direct TCB to user communications.
  13849.  
  13850.      In the case where an M-Component  does  support  direct
  13851. user  communication  the Clearance of the user must be esta-
  13852. blished by the M-Component.  There are three possible  means
  13853. of  providing  this support:  a) all direct user connections
  13854. are via single-level channels, where the  maximum  level  of
  13855. the  channel  equals  the  minimum level of the channel, and
  13856. physical access to the  channel  implies  clearance  to  the
  13857. level  of the channel; in this case there may exist no secu-
  13858. rity relevant activities so that the applicable trusted path
  13859. requirements  may  be  met  by  reason  of the device labels
  13860. alone, b) some direct user connections are via  single-level
  13861. channels,  where  the  maximum level of the channel does not
  13862. equal the minimum level of the channel, and physical  access
  13863. to the channel implies clearance to the maximum level of the
  13864. channel, c) some direct user  connections  are  via  single-
  13865. level  channels, where the maximum level of the channel does
  13866. not equal the minimum level  of  the  channel,  and  the  M-
  13867. Component  contains  some internal mechanism for mapping the
  13868. user clearance to the range on the channel.  The  first  two
  13869. options map the user clearance to the activities of the user
  13870. through external means.   The  third  option  requires  some
  13871. internal  mechanism.   Such  a  mechanism  might  be  a user
  13872. id/password/clearance  database   maintained   by   the   M-
  13873. Component.  Another acceptable mechanism might be a protocol
  13874. and interface definition within the M-Component for  obtain-
  13875. ing such information (via a multilevel channel - the channel
  13876. is multilevel because it is passing labels, i.e.,  the  user
  13877. clearance) from some other M-Component.
  13878.  
  13879. A.3.1.3.3.  System Architecture
  13880. _ _ _ _ _   ______ ____________
  13881.  
  13882. + Criteria
  13883.  
  13884.      (Class B1 -  Section  3.1.3.1.1;  Class  B2  -  Section
  13885.      3.2.3.1.1;  Class  B3  - Section  3.3.3.1.1; Class A1 -
  13886.      Section 4.1.3.1.1)
  13887.  
  13888. + Interpretation
  13889.  
  13890.      An M-Component must meet the requirement as stated.  In
  13891. this interpretation the words "The user interface to the TCB
  13892. shall be completely defined..." shall be interpreted to mean
  13893. the  interface  between  the  reference  monitor  of  the M-
  13894. Component and the subjects external to the reference monitor
  13895. shall be completely defined.
  13896.  
  13897. + Rationale
  13898.  
  13899.      The M-Component may not have a  direct  user  interface
  13900. but  is  expected  to support subjects which are not part of
  13901. the TCB.  It is important that the interface between the TCB
  13902. and  subjects  external  to  the  TCB be completely defined.
  13903. (Note that in such a case the subjects are  always  internal
  13904. to the component, viz., are "internal subjects").
  13905.  
  13906. A.3.1.3.4.  Covert Channel Analysis
  13907. _ _ _ _ _   ______ _______ ________
  13908.  
  13909. + Criteria
  13910.  
  13911.      (Class   B2   - Section  3.2.3.1.3;    Class    B3    -
  13912.      Section 3.3.3.1.3; Class A1 - Section 4.1.3.1.3)
  13913.  
  13914. + Interpretation
  13915.  
  13916.      An M-Component must meet the requirement as stated.  In
  13917. addition, if the analysis indicates that channels exist that
  13918. need to be audited (according to the Covert Channel Analysis
  13919. Guideline),  the  M-Component  shall contain a mechanism for
  13920. making audit data (related to possible use of  covert  chan-
  13921. nels) available outside of the M-Component (e.g., by passing
  13922. the data to an audit collection component).
  13923.  
  13924. + Rationale
  13925.  
  13926.      If an M-Component contains covert channels   that  need
  13927. to  be  audited  the M-Component must produce the audit data
  13928. such that auditing can be performed.  Since all covert chan-
  13929. nels in the network occur in an M-Component, the M-Component
  13930. must be the source of the audit  record  which  records  the
  13931. possible use of the covert channel.
  13932.  
  13933. A.3.1.3.5.  Security Testing
  13934. _ _ _ _ _   ________ _______
  13935.  
  13936. + Criteria
  13937.  
  13938.      (Class   B1   - Section  3.1.3.2.1;    Class    B2    -
  13939.      Section  3.2.3.2.1; Class B3 - Section 3.3.3.2.1; Class
  13940.      A1 - Section 4.1.3.2.1)
  13941.  
  13942. + Interpretation
  13943.  
  13944.      An M-Component must  meet  the  requirement  as  stated
  13945. except for the words ``normally denied under the ... discre-
  13946. tionary security policy,'' which are not  applicable  to  an
  13947. M-Component.
  13948.  
  13949. + Rationale
  13950.  
  13951.      An M-Component does not support a  discretionary  secu-
  13952. rity  policy, and therefore testing for violations of such a
  13953. policy is of no value.
  13954.  
  13955. A.3.1.3.6.  Design Specification and Verification
  13956. _ _ _ _ _   ______ _____________ ___ ____________
  13957.  
  13958.  
  13959. + Criteria
  13960.      (Class B1 -  Section  3.1.3.2.2;  Class  B2  -  Section
  13961.      3.2.3.2.2;  Class  B3  - Section  3.3.3.2.2; Class A1 -
  13962.      Section 4.1.3.2.2)
  13963.  
  13964.  
  13965. + Interpretation
  13966.  
  13967.      An M-Component must meet the requirement as stated.
  13968.  
  13969.      Security Policy is interpreted to mean the  MAC  Policy
  13970. supported  by  the  component.   Model  is interpreted to be
  13971. those  portions  of  a  reference  monitor  model  that  are
  13972. relevant to the MAC Policy supported by the Component (e.g.,
  13973. the representation of the current access set and the  sensi-
  13974. tivity  labels of subjects and objects, and the Simple Secu-
  13975. rity and Confinement Properties of  the  Bell  and  LaPadula
  13976. Model).
  13977.  
  13978. A.3.1.3.7.  Trusted Facility Manual
  13979. _ _ _ _ _   _______ ________ ______
  13980.  
  13981.  
  13982. + Criteria
  13983.  
  13984. (Class  B1 - Section 3.1.4.2;  Class B2 - Section   3.2.4.2;
  13985. Class B3 - Section  3.3.4.2; Class A1 - Section 4.1.4.2)
  13986.  
  13987.  
  13988. + Interpretation
  13989.  
  13990.      An M-Component must  meet  the  requirement  as  stated
  13991. except  for  the  words  ``The  procedures for examining and
  13992. maintaining the audit files as well as...''. These words are
  13993. interpreted to mean "the mechanisms and protocols associated
  13994. with exporting of audit data must be  defined."   Also,  the
  13995. words  "...to  include changing the security characteristics
  13996. of a user", shall not be applicable to an M-Component.
  13997.  
  13998. + Rationale
  13999.  
  14000.      An M-Component does not maintain the  audit  files  nor
  14001. does  it  provide  mechanisms  for examining them.  It must,
  14002. however provide mechanisms for exporting the audit files and
  14003. these  mechanisms need to be defined in the Trusted Facility
  14004. Manual.  The M-Component also does not maintain user  infor-
  14005. mation.
  14006.  
  14007. A.3.1.4.  Representative Application of M-Components
  14008. _ _ _ _   ______________ ___________ __ _ __________
  14009.  
  14010.      As an example of an M-Component, consider a MLS  packet
  14011. switch that provides MAC through a verified Security Kernel,
  14012. as shown in Figure A1.  This component  supports  16  levels
  14013. and 64 categories for non-discretionary access classes.  The
  14014. MLS packet switch is rated as an A1 M-Component against  the
  14015. requirements described above.
  14016.  
  14017.      Such an A1 M-Component may, as an example, be used in a
  14018. network  as  a  Multilevel  Packet  Switch.  The M-Component
  14019. could be configured with several single-level  channels  and
  14020. some  number of multilevel channels. As part of the example,
  14021. assume that the multilevel channels each have a  maximum  of
  14022. Top  Secret  and  a minimum of Secret. Also imagine that the
  14023. single-level channels are either Top Secret or Secret.   The
  14024. Multilevel  channels are directly connected to B2 hosts each
  14025. with a system high of Top Secret and a system low of Secret.
  14026. The single-level channels are directly connected to C2 hosts
  14027. with some of them running at dedicated Secret and some  run-
  14028. ning  at  dedicated  Top  Secret.   One of the Dedicated Top
  14029. Secret Hosts and one of the Dedicated Secret Hosts would  be
  14030. responsible  for collecting the audit messages sent from the
  14031. M-Component.  In this fashion one  could  create  a  network
  14032. which could permit the multilevel hosts to securely communi-
  14033. cate with each other as well as with the single-level hosts.
  14034. The  separation  necessary  for such communications would be
  14035. provided by the  M-Component  being  used  as  a  Multilevel
  14036. Secure  Packet  Switch.   It  is  noted that the composition
  14037. rules of Section A.2 (A.2.5  in  particular)  result  in  an
  14038. evaluation class of B2 for the overall NTCB.
  14039.  
  14040. A.3.2.  Discretionary Only Components (D-Components)
  14041. _ _ _   _____________ ____ __________  _ __________
  14042.  
  14043.      Discretionary Only Components are components that  pro-
  14044. vide  network  support of the DAC Policy as specified in the
  14045. Network Interpretation of the DoD  Trusted  Computer  System
  14046. Evaluation  TCSEC.   D-Components do not include the mechan-
  14047. isms necessary to completely support any of the three  other
  14048. network  policies (i.e., MAC, Identification-Authentication,
  14049. and Audit) as defined in the Interpretation.
  14050.  
  14051.      D-Components belong to one of three  classes,  C1,  C2,
  14052. and C2+ (as defined by the requirements below).
  14053.  
  14054.      D-Components are rated according to the  highest  level
  14055. for which all the requirements of a given class are met.
  14056.  
  14057. A.3.3.  Overall Interpretation
  14058. _ _ _   _______ ______________
  14059.  
  14060.      In the requirements referenced, TCB will be  understood
  14061. to refer to the NTCB Partition of the D-Component.  Also any
  14062. reference to audit for an D-Component will be interpreted to
  14063. mean  "the  D-Component  shall  produce audit data about any
  14064. auditable actions performed by the D-Component."   In  addi-
  14065. tion  the  D-Component  shall contain a mechanism for making
  14066. the audit data available to an audit collection component.
  14067.  
  14068. A.3.3.1.  Generally Interpreted Requirements
  14069. _ _ _ _   _________ ___________ ____________
  14070.  
  14071.      The requirements listed in Table A3 apply  directly  to
  14072. D-Components  as  interpreted  in Part I of this interpreta-
  14073. tion.
  14074.  
  14075. A.3.3.2.  Specifically Interpreted Requirements
  14076. _ _ _ _   ____________ ___________ ____________
  14077.  
  14078.      The following requirements require additional interpre-
  14079. tation as indicated. -
  14080.  
  14081.  
  14082. _________________________
  14083.   - For brevity, the following TCSEC  sections  contain
  14084. pointers  to  the sections of Part I of the Network In-
  14085. terpretation being interpreted, instead of  the  actual
  14086. requirements.
  14087.  
  14088.  
  14089.  
  14090.  
  14091.  
  14092. A.3.3.2.1.  Trusted Facility Manual
  14093. _ _ _ _ _   _______ ________ ______
  14094.  
  14095.  
  14096. + Criteria
  14097.  
  14098. (Class  C1  - Section 2.1.4.2;  Class C2 - Section  2.2.4.2;
  14099. Class C2+ - Section  2.2.4.2)
  14100.  
  14101.  
  14102. + Interpretation
  14103.  
  14104.      A D-Component  must  meet  the  requirement  as  stated
  14105. except  for  the  words  ``The  procedures for examining and
  14106. maintaining the audit files as well as...''. These words are
  14107. interpreted to mean "the mechanisms and protocols associated
  14108. with exporting of audit data must be defined."
  14109.  
  14110. + Rationale
  14111.  
  14112.      A D-Component does not maintain the  audit  files,  nor
  14113. does  it  provide  mechanisms  for examining them.  It must,
  14114. however provide mechanisms for exporting audit  data  to  an
  14115. audit  component, and these mechanisms need to be defined in
  14116. the Trusted Facility Manual.
  14117.  
  14118. A.3.3.2.2.  Design Documentation
  14119. _ _ _ _ _   ______ _____________
  14120.  
  14121.  
  14122. + Criteria
  14123.  
  14124. (Class  C1  - Section 2.1.4.4;  Class C2 - Section  2.2.4.4;
  14125. Class C2+ - Section  2.2.4.4)
  14126.  
  14127.  
  14128. + Interpretation
  14129.  
  14130.      A D-Component must meet the requirement as stated.   In
  14131. addition the Design Documentation must include a description
  14132. of the protocol used by the D-Component to communicate  Sub-
  14133. ject  permissions  (i.e.,  user ids), where applicable, with
  14134. other components.  This protocol must be shown to be  suffi-
  14135. cient to support the DAC policy enforced by the D-Component.
  14136.  
  14137. + Rationale
  14138.  
  14139.      A   D-Component   does   not    maintain    the    user
  14140. Identification-Authentication information.  It may, however,
  14141. use some form of  authenticated  user  identification  as  a
  14142. basis  for  making  DAC decisions.  Such information must be
  14143. provided to the D-Component through the identification  pro-
  14144. tocol.   The  protocol used by the D-Component may vary, but
  14145. it must be shown to be adequate to support  the  DAC  policy
  14146. supported by the D-Component.  As an example consider a sim-
  14147. ple DAC policy in which access is granted, or denied,  on  a
  14148. per  host basis.  In this case the protocol used might be to
  14149. staticly assign a host-id to each port.  All requests coming
  14150. in  from  a  given  port would be associated with the access
  14151. permissions allowed for that host. This protocol  would  not
  14152. be  adequate  to  support a DAC policy of access granted, or
  14153. denied, on a per user basis.)
  14154.  
  14155. A.3.3.3.  Representative Application of D-Components
  14156. _ _ _ _   ______________ ___________ __ _ __________
  14157.  
  14158.      As an example of a D-Component, consider a system  that
  14159. provides DAC through Access Control Lists on files, as shown
  14160. in Figure A2.  The system is  rated  as  a  C2+  D-Component
  14161. against the requirements described above.
  14162.  
  14163.    Figure A2.  Representative Application of D-Components
  14164.    ______ __   ______________ ___________ __ _ __________
  14165.  
  14166. B1: box wid 1.15i ht .95i "Class  B3"  "Host"  B2:  box  wid
  14167. 1.15i  ht  .96i "Class C2+" "Host" "(Network Audit" "Collec-
  14168. tion" "Facility)" at B1.e +(3i,0) B3: box wid 1.15i ht  .96i
  14169. "Class  C2+"  "D-Component" "(Single Level" "File Server" at
  14170. B2.s -(1.75i,.30i) B4: box wid  1.85i  ht  .96i  "Class  C2"
  14171. "Host" "(Network Identification &" "Authentication" "Facili-
  14172. ty)" at B1.s -(0,1.05i) B5: box wid 1.15i ht .96i "Class A1"
  14173. "Host"  at  B2.s  -(0,1.05i)  B6:  box  invis  "(S)" at B1.e
  14174. +(.50i,.30i) B7: box invis "(S)" at B2.w -(.50i, -.30i)  B8:
  14175. box  invis  "(S)"  at B4.e +(.50i,.2) B9: box invis "(S)" at
  14176. B5.w  -(.50i,.2)  A1:  arrow  <->  from  B4.e  to   (B3.s.x-
  14177. (B3.s.x+.2,B5.w.y) to (B3.s.x+.2,B3.s.y) A3: arrow  left  1i
  14178. from   B6.c  +(.48,-.15i)  A4:  arrow  right  1i  from  B7.c
  14179. -(.48i,.15i) A5: arrow down .39i from A4.w  A6:  arrow  down
  14180.  
  14181.  
  14182.      Such a C2+ D-Component may, as an example, be used in a
  14183. network  as  a  Single  Level  File Server.  The D-Component
  14184. could be  configured  with  several  communication  channels
  14185. (each  of  which  would be connected to single-level devices
  14186. with the same access class).  As part of the  example,  con-
  14187. sider  all files on the system to be secret and all channels
  14188. leaving the system to be  connected  to  other  single-level
  14189. secret components or, in the case of multi-level components,
  14190. to be connected to single-level secret devices.   The  docu-
  14191. mentation  associated  with the D-Component must specify the
  14192. protocol used to pass user-ids and filenames.  This protocol
  14193. must  be  followed  on each connection to the component.  In
  14194. addition the documentation must specify the protocol used to
  14195. output  audit  information.   The  audit  protocol  must  be
  14196. exactly the same as the protocol of the audit node to  which
  14197. it  is  attached.  It is noted that the composition rules of
  14198. Section A.2 result in an evaluation  class  of  B3  for  the
  14199. overall NTCB.
  14200.  
  14201. A.3.4.  Identification-Authentication  Only  Components  (I-
  14202. _ _ _   ______________ ______________  ____  __________   _
  14203. Components)
  14204. __________
  14205.  
  14206.      Identification-Authentication Only Components are  com-
  14207. ponents  that provide network support of the Identification-
  14208. Authentication Policy as specified in the Network  Interpre-
  14209. tation  of the DoD Trusted Computer System Evaluation TCSEC.
  14210. I-Components do not  include  the  mechanisms  necessary  to
  14211. completely  support  any of the three other network policies
  14212. (i.e., MAC, DAC, and Audit) as defined  in  the  Interpreta-
  14213. tion.
  14214.  
  14215.      I-Components belong to one of two classes,  C1  and  C2
  14216. (as defined by the requirements below).
  14217.  
  14218.      I-Components are rated according to the  highest  level
  14219. for which all the requirements of a given class are met.
  14220.  
  14221. A.3.4.1.  Overall Interpretation
  14222. _ _ _ _   _______ ______________
  14223.  
  14224.      In the requirements referenced, TCB will be  understood
  14225. to refer to the NTCB Partition of the I-Component.  Also any
  14226. reference to audit for an I-Component will be interpreted to
  14227. mean  "the  I-Component  shall  produce audit data about any
  14228. auditable actions performed by the I-Component.''  In  addi-
  14229. tion  the  I-Component  shall contain a mechanism for making
  14230. the audit data available to an audit collection component.
  14231.  
  14232. A.3.4.2.  Generally Interpreted Requirements
  14233. _ _ _ _   _________ ___________ ____________
  14234.  
  14235.      The requirements listed in Table A4 apply  directly  to
  14236. I-Components  as  interpreted  in Part I of this interpreta-
  14237. tion.
  14238.  
  14239.   Table A4.  I-Component Requirements That Can Be Applied
  14240.   _____ __   _ _________ ____________ ____ ___ __ _______
  14241.                Without Further Interpretation
  14242.                _______ _______ ______________
  14243. (Note:  Table not included)
  14244.  
  14245.  
  14246.  
  14247. A.3.4.3.  Specifically Interpreted Requirements
  14248. _ _ _ _   ____________ ___________ ____________
  14249.  
  14250.      The following requirements require additional interpre-
  14251. tation as indicated. -
  14252.  
  14253. A.3.4.3.1.  Trusted Facility Manual
  14254. _ _ _ _ _   _______ ________ ______
  14255.  
  14256.  
  14257.  
  14258. _________________________
  14259.   - For brevity, the following TCSEC  sections  contain
  14260. pointers  to  the sections of Part I of the Network In-
  14261. terpretation being interpreted, instead of  the  actual
  14262. requirements.
  14263.  
  14264.  
  14265. + Criteria
  14266.  
  14267. (Class  C1  - Section 2.1.4.2;  Class C2 - Section  2.2.4.2;
  14268. Class C2+ - Section  2.2.4.2)
  14269.  
  14270.  
  14271. + Interpretation
  14272.  
  14273.      An I-Component must  meet  the  requirement  as  stated
  14274. except  for  the  words  ``The  procedures for examining and
  14275. maintaining the audit files as well as...''. These words are
  14276. interpreted to mean "the mechanisms and protocols associated
  14277. with exporting of audit data must be defined."
  14278.  
  14279. + Rationale
  14280.  
  14281.      An I-Component does not maintain the audit  files,  nor
  14282. does  it  provide  mechanisms  for examining them.  It must,
  14283. however, provide mechanisms for exporting audit data  to  an
  14284. audit  component, and these mechanisms need to be defined in
  14285. the Trusted Facility Manual.
  14286.  
  14287. A.3.4.3.2.  Design Documentation
  14288. _ _ _ _ _   ______ _____________
  14289.  
  14290.  
  14291. + Criteria
  14292.  
  14293. (Class  C1  - Section 2.1.4.4;  Class C2 - Section  2.2.4.4;
  14294. Class C2+ - Section  2.2.4.4)
  14295.  
  14296.  
  14297. + Interpretation
  14298.  
  14299.      An I-Component must meet the requirement as stated.  In
  14300. addition the Design Documentation must include a description
  14301. of the protocol used by the I-Component to export  Authenti-
  14302. cated Subject Identifiers to other components.
  14303.  
  14304. + Rationale
  14305.  
  14306.      The  Authenticated  Identifiers  provided  by   an   I-
  14307. Component  will  not  be  primarily  used on the I-Component
  14308. itself but instead will be used by other Components  enforc-
  14309. ing  the  network DAC policy.  It is therefore necessary for
  14310. the I-Component to define the protocol which it will use  to
  14311. pass authenticated user-ids to other components.
  14312.  
  14313. A.3.4.4.  Representative Application of I-Components
  14314. _ _ _ _   ______________ ___________ __ _ __________
  14315.  
  14316.      As an example of  an  I-Component,  consider  a  system
  14317. which provides Identification and Authentication facilities,
  14318. such as a TAC with a name server, as shown in Figure A3. The
  14319. system is rated as a C2 I-Component against the requirements
  14320. described above.  The I-Component could be  configured  with
  14321. several  communication channels (each of which would be con-
  14322. nected to single-level devices with the same access  class).
  14323. As   part  of  the  example,  consider  the  TAC  to  be  an
  14324. unclassified TAC (i.e., accessible through the phone  system
  14325. without  any  encryption  support)  and all channels leaving
  14326. the system to be connected to other  single-level  unclassi-
  14327. fied  components  or, in the case of multi-level components,
  14328. to be connected to single-level unclassified  devices.   All
  14329. authentication is done in the TAC, and Authenticated Ids are
  14330. passed to the other nodes of the network to  be  used  as  a
  14331. basis  for  DAC decisions and audit entries.  The documenta-
  14332. tion associated with the I-Component must specify the proto-
  14333. col  used to pass user-ids to the attached components.  This
  14334. protocol must be supported on each connection  to  the  com-
  14335. ponent.  In addition the documentation must specify the pro-
  14336. tocol used to output audit information.  The audit  protocol
  14337. must  be  exactly the same as the protocol of the audit com-
  14338. ponent to which it is attached. It is noted that the  compo-
  14339. sition  rules  of Section 3 result in an evaluation class of
  14340. B3 for the overall NTCB.
  14341.  
  14342. A.3.5.  Audit Only Components (A-Components)
  14343. _ _ _   _____ ____ __________  _ __________
  14344.  
  14345.      Audit Only Components are components which provide net-
  14346. work support of the Audit Policy as specified in the Network
  14347. Interpretation of the DoD Trusted Computer System Evaluation
  14348. TCSEC.  A-Components do not include the mechanisms necessary
  14349. to completely support any of the three other  network  poli-
  14350. cies  (i.e., MAC, DAC, and Identification-Authentication) as
  14351. defined in the Interpretation.
  14352.  
  14353.      A-Components belong to one of two classes  C2  and  C2+
  14354. (as  defined  by  the  requirements below).  (The difference
  14355. between a C2 A-Component and a C2+ A-Component is  the  sup-
  14356. port of real time alarms required by class B3 Audit.)
  14357.  
  14358.      A-Components are rated according to the  highest  level
  14359. for which all the requirements of a given class are met.
  14360.  
  14361. A.3.5.1.  Overall Interpretation
  14362. _ _ _ _   _______ ______________
  14363.  
  14364.      In the requirements referenced, TCB will be  understood
  14365. to refer to the NTCB Partition of the A-Component.
  14366.  
  14367. A.3.5.2.  Generally Interpreted Requirements
  14368. _ _ _ _   _________ ___________ ____________
  14369.  
  14370.      The requirements listed in Table A5 apply  directly  to
  14371. A-Components  as  interpreted  in Part I of this interpreta-
  14372. tion.
  14373.  
  14374. A.3.5.3.  Specifically Interpreted Requirements
  14375. _ _ _ _   ____________ ___________ ____________
  14376.  
  14377.      The following requirements require additional interpre-
  14378. tation as indicated.  -
  14379.  
  14380. _________________________
  14381.   - For brevity, the following TCSEC  sections  contain
  14382. pointers to the sections of Part I of the TNI being in-
  14383. terpreted, instead of the actual requirements.
  14384.  
  14385.  
  14386. A.3.5.3.1.  Design Documentation
  14387. _ _ _ _ _   ______ _____________
  14388.  
  14389.  
  14390. + Criteria
  14391.  
  14392. (Class C2 - Section  2.2.4.4; Class C2+ - Section  2.2.4.4)
  14393.  
  14394.  
  14395. + Interpretation
  14396.  
  14397.      An A-Component must meet the requirement as stated.  In
  14398. addition the Design Documentation must include a description
  14399. of the protocol used by the A-Component to import Audit Data
  14400. from other nodes.
  14401.  
  14402. + Rationale
  14403.  
  14404.      The Audit component will potentially be used  for  col-
  14405. lection  of  audit  data  generated  on  many different com-
  14406. ponents.  Each of these components must be able to  transfer
  14407. the information to the A-component in a form that will allow
  14408. the A-Component to create an audit  record.   The  mechanism
  14409. for  defining the acceptable form of information is the pro-
  14410. tocol used by the audit component.
  14411.  
  14412. A.3.5.4.  Representative Application of A-Components
  14413. _ _ _ _   ______________ ___________ __ _ __________
  14414.  
  14415.      As an example of an A-Component, consider a system that
  14416. provides  Audit  Collection and review facilities for a net-
  14417. work environment, as illustrated in Figure A4.   The  system
  14418. is rate C2+ against the requirements described above.
  14419.  
  14420.      As part of the example, consider the A-Component to  be
  14421. operating at System High (Top Secret) collecting information
  14422. from several components through  single-level  (Top  Secret)
  14423. channels.   The  A-Component provides auditing functions for
  14424. the network as a whole.  The A-Component  defines  an  audit
  14425. protocol which is used by each of the components to communi-
  14426. cate information to the A-Component  which  results  in  the
  14427. creation  of  audit  records.  Note that in this example the
  14428. Auditor (i.e., the person responsible  for  reviewing  audit
  14429. files)  is  accessing  the  A-Component through an operators
  14430. console  attached  to  the  A-Component.   In  a   different
  14431. scenario, it might be the case that the Auditor accesses the
  14432. A-Component via another component,  in  which  case  the  A-
  14433. Component  would be responsible for enforcing an access con-
  14434. trol policy that defined which  users  (i.e.,  the  auditor)
  14435. could  view  audit data. This  would require the A-Component
  14436. to establish a user-id  passing  protocol  much  like  a  D-
  14437. Component.   It  is noted that the composition rules of Sec-
  14438. tion 3 result in an evaluation class of B3 for  the  overall
  14439. NTCB.
  14440.  
  14441.  
  14442.     Figure A1.  Representative Application of M-Components
  14443.     ______ __   ______________ ___________ __ _ __________
  14444.  
  14445. (Note: Figure not included)
  14446.  
  14447.  
  14448.    Table A3.  D-Component Requirements That Can Be Applied
  14449.    _____ __   _ _________ ____________ ____ ___ __ _______
  14450.                 Without Further Interpretation
  14451.                 _______ _______ ______________
  14452. (Note:  Table not included)
  14453.  
  14454.  
  14455.  
  14456.     Figure A3.  Representative Application of I-Component
  14457.     ______ __   ______________ ___________ __ _ _________
  14458.  
  14459. (Note:  Figure not included)
  14460.  
  14461.  
  14462.  Table A5.  Audit Component Requirements That Can Be Applied
  14463.  _____ __   _____ _________ ____________ ____ ___ __ _______
  14464.                 Without Further Interpretation
  14465.                 _______ _______ ______________
  14466.  
  14467. (Note:  Table not included)
  14468.  
  14469.  
  14470.  
  14471.                          Appendix B
  14472.                          ________ _
  14473.  
  14474.  
  14475.               Rationale Behind NTCB Partitions
  14476.               _________ ______ ____ __________
  14477.  
  14478.  
  14479.  
  14480.  
  14481.  
  14482. B.1.  Purpose
  14483. _ _   _______
  14484.  
  14485.      Part I of this  Trusted  Network  Interpretation  (TNI)
  14486. provides  interpretations  of  the Trusted Computer Security
  14487. Evaluation Criteria (TCSEC)  appropriate  for  evaluating  a
  14488. network  of  computer  and communication devices as a single
  14489. system with a single Trusted Computing  Base  (TCB),  called
  14490. the  Network  Trusted Computing Base (NTCB), which is physi-
  14491. cally and logically partitioned among the components of  the
  14492. network.   Implicit  to  this  approach is the view that the
  14493. network to be evaluated (including the interconnected hosts)
  14494. is  analogous  to  a single stand-alone computer system, and
  14495. can therefore be evaluated using the TCSEC under appropriate
  14496. interpretation.   It is the purpose of this appendix to pro-
  14497. vide the main technical rationale and illustrative  examples
  14498. supporting this view.  This underlying rationale may also be
  14499. of help to the sponsors and evaluators of networks and  net-
  14500. work  components  in  understanding  how  a  network  can be
  14501. cleanly partitioned into components  in  a  way   that  will
  14502. facilitate its eventual evaluation and certification.  It is
  14503. recognized that this appendix is in places quite theoretical
  14504. and  philosophical.   Therefore,  readers  whose interest is
  14505. primarily in applying the TNI without reviewing its  deriva-
  14506. tion may choose not to study this appendix in detail.
  14507.  
  14508.      The separate Appendix A, providing Interpretations  for
  14509. the  Evaluation  of Network Components, rests upon this view
  14510. as well: the evaluation of particular network components  is
  14511. viewed as a useful preliminary step for the eventual evalua-
  14512. tion of the network as a whole, which must proceed, however,
  14513. in  the context of an overall network architecture providing
  14514. a clean decomposition of an overall network security  policy
  14515. into  policies  for  the individual components.  The overall
  14516. architecture and  design  will,  once  individual  component
  14517. evaluations have been finished, support the final evaluation
  14518. of the network as a sound composition of  trusted  elements,
  14519. each  enforcing its allocated policy, and together enforcing
  14520. the policy defined for the entire network.  Specific  guide-
  14521. lines  for  actually partitioning the various network policy
  14522. elements to components  are  presented  under  the  relevant
  14523. headings  in  the separate Appendix A for Evaluation of Net-
  14524. work Components: the general rationale supporting  the  view
  14525. that such a partitioning is possible is presented here.
  14526.  
  14527.      It is emphasized that the view of  what  a  network  is
  14528. (and  how  its  NTCB may be partitioned into NTCB partitions
  14529. completely  contained  in  individual  network   components)
  14530. described in this appendix is adopted with one goal in mind:
  14531. the evaluation and assignment to the  network  of  a  single
  14532. certification  as  meeting  the  TCSEC  criteria for a given
  14533. evaluation class.  It is recognized that this goal  may  not
  14534. be  appropriate for every circumstance, or meet the needs of
  14535. sponsors wishing to interconnect already  existing  systems.
  14536. The  risk assessment and accreditation of such systems is an
  14537. important and interesting problem.  It is not, however,  the
  14538. problem  being  addressed  here,  viz., the evaluation of an
  14539. entire network which is to support a network security policy
  14540. given a priori.
  14541.       _ ______
  14542.  
  14543. B.2.  Background and Overview
  14544. _ _   __________ ___ ________
  14545.  
  14546. B.2.1.  Organization of this Appendix
  14547. _ _ _   ____________ __ ____ ________
  14548.  
  14549.      The material within this appendix is organized as  fol-
  14550. lows. Section B.3 discusses some considerations for properly
  14551. formulating the policy to be enforced by the  network  NTCB,
  14552. and its allocation to the various components of the network.
  14553. Section B.4 presents an argument supporting the adequacy  of
  14554. the partitioned NTCB view and the conclusion that the refer-
  14555. ence monitor for an entire network may be implemented  as  a
  14556. collection  of  locally autonomous reference monitors.  Sec-
  14557. tion B.5 discusses the idealization of  intercomponent  com-
  14558. munications channels, assumed as an axiom in Section B.4, in
  14559. the context of real communications  channels,  and  provides
  14560. insight into when the techniques of communications security,
  14561. and when the techniques of trusted  systems  technology  are
  14562. applicable.   Section B.6 provides additional rationale sup-
  14563. porting the partitioned NTCB view.
  14564.  
  14565. B.3.  Security Policy
  14566. _ _   ________ ______
  14567.  
  14568.      The TCSEC Glossary defines ``Security Policy'' as ``the
  14569. set  of  laws,  rules,  and  practices  that regulate how an
  14570. organization manages, protects,  and  distributes  sensitive
  14571. information''.   It should be noted that ``Security Policy''
  14572. is a distinct notion from that of ``Formal  Security  Policy
  14573. Model''  and  a  ``Security  Policy Model''.  The ``Security
  14574. Policy'' of an organization has the ultimate  goal  of  con-
  14575. trolling the access of people to information.
  14576.                        ______
  14577.  
  14578.      Because a Security Policy concerns, by definition,  the
  14579. access  of people to sensitive information and includes both
  14580. secrecy and integrity; it  can,  ideally,  be  stated  in  a
  14581. manner  that  is free of computer, network, or communication
  14582. jargon.  Moreover, we would observe that the evaluation of a
  14583. network  ultimately  is  possible  only if a single, uniform
  14584. network security policy can be adopted by the  organizations
  14585. whose information is to be stored, transmitted, or processed
  14586. by the network and its components.  The existence of such  a
  14587. policy  is  a precondition of any attempt to evaluate a net-
  14588. work or its components in the sense of this appendix.  If  a
  14589. network  is  to  be used to allow the sharing of information
  14590. among many  organizations,  the  definition  of  a  mutually
  14591. acceptable  Security  Policy applicable to that sharing must
  14592. be an early goal during the design of  the  network  if  the
  14593. successful  certification  of a network providing that capa-
  14594. bility is desired.
  14595.  
  14596. B.3.1.  Mandatory Access Control Policies
  14597. _ _ _   _________ ______ _______ ________
  14598.  
  14599.      One may observe that, for those  access  controls  nor-
  14600. mally  denoted as ``Mandatory Access Controls'', the defini-
  14601. tion of a mutually acceptable joint policy may  be  expected
  14602. to  be  relatively  straightforward,  as  such  controls are
  14603. based, by definition, upon the comparison of a label  denot-
  14604. ing  the  sensitivity of the information contained within an
  14605. information repository with a user  clearance  denoting  the
  14606. formal  authorization  of a user to access that information.
  14607. The definition of a jointly acceptable  policy  may  involve
  14608. the merging of several systems of classifications and clear-
  14609. ances into a unified system; in practice, if the systems  in
  14610. use  by the various organizations are not already identical,
  14611. those responsible for the protection of  information  within
  14612. each  organization must determine which external user clear-
  14613. ances will be honored as an  adequate  basis  for  providing
  14614. access to which classes of information.
  14615.  
  14616.      It may also be true that a particular organization  may
  14617. have  no explicit policy describable as ``mandatory'' in the
  14618.       __
  14619. sense defined by the TCSEC.  (In particular, many commercial
  14620. or  private  institutions  may be so characterized)-.  It is
  14621. possible to formulate a  trivial  mandatory  access  control
  14622. policy for such organizations, however, with a single access
  14623. class and clearance level (i.e., every user belonging to the
  14624. institution  has clearance to access all information belong-
  14625. ing to the institution, except as refined by  less  rigorous
  14626. access  controls).   Thus,  it could well be that an overall
  14627. system of mandatory access controls, at  the  policy  level,
  14628. for an arbitrary collection of institutions wishing to share
  14629. information using a network, can be resolved in a relatively
  14630. straightforward  way;  at least in the sense that the policy
  14631. issues and effects  of  particular  decisions  are  easy  to
  14632. understand.
  14633.  
  14634. B.3.2.  Discretionary Access Control Policies
  14635. _ _ _   _____________ ______ _______ ________
  14636.  
  14637.      Turning to those policies characterizable as  involving
  14638. Discretionary   Access  Controls,  one  finds  substantially
  14639. greater freedom in the sorts  of  policies  an  organization
  14640. might  adopt.   The  notion  of  ``Discretionary Access Con-
  14641. trols'', as defined in the TCSEC Glossary, involves the res-
  14642. triction  of  access  by users to information based upon the
  14643. identity of the users or their membership  in  a  particular
  14644. group,  as  well  as  the  ability of a user with authorized
  14645. access to an object  containing  information  to  pass  that
  14646. authorization  to  other users or groups either directly, or
  14647. _________________________
  14648.   - See,  for  example,  Steven   B.   Lipner,   ``Non-
  14649. Discretionary  Controls  for Commercial Applications'',
  14650. IEEE Proceedings of the 1982 Symposium on Security  and
  14651. ____ ___________ __ ___ ____ _________ __ ________  ___
  14652. Privacy, April 26-28, 1982, Oakland, CA.
  14653. _______
  14654.  
  14655.  
  14656. indirectly (viz., by copying it and providing  authorization
  14657. to  access  the  copy).   Within  these  limits, there is an
  14658. extremely broad range of permissible policies, differing  in
  14659. how  users  may  be  grouped, the sorts of named information
  14660. repositories that may form the basis  for  access  controls,
  14661. the  modes  of  access that may form the basis for controls,
  14662. and the mechanisms that may be defined for users to limit or
  14663. propagate  permission  to  access  information.   One  would
  14664. expect, therefore, that when designing a network, the formu-
  14665. lation  of  an  overall  Discretionary  Policy by a group of
  14666. organizations may require a period of intensive  generaliza-
  14667. tion of policy.  Moreover, the overall policy resulting from
  14668. this activity may be expected to  depend,  to  a  relatively
  14669. large  extent,  upon  the  underlying capabilities and func-
  14670. tionality ascribed to the network.
  14671.  
  14672. B.3.3.  Supporting Policies
  14673. _ _ _   __________ ________
  14674.  
  14675.      In addition to the basic access control policies  (man-
  14676. datory  and  discretionary) addressed by the TCSEC are addi-
  14677. tional capabilities relating to the accountability of  indi-
  14678. viduals for their security-relevant actions.  These capabil-
  14679. ities are usually thought of  as  comprising  ``supporting''
  14680. policy:  they  provide  an  environment  that allows for the
  14681. effective enforcement and monitoring  of  the  basic  access
  14682. policies enforced.
  14683.  
  14684.      Accountability requirements are comprised of two  major
  14685. policy subcategories: identification and authentication pol-
  14686. icy, and audit policy.  The former supports  both  mandatory
  14687. and  discretionary  access  control policy by specifying the
  14688. requirements for authenticating the identity  and  clearance
  14689. of  an  individual  prior to permitting access, is the basis
  14690. for determining the clearance of an individual in  the  case
  14691. of mandatory access policy, is the basis for determining the
  14692. group membership of an individual in the case of discretion-
  14693. ary  access policy, and is the basis for recording the iden-
  14694. tity of  the  individual  taking  or  causing  an  auditable
  14695. action.
  14696.  
  14697.      Audit policy proper provides for the recording of those
  14698. security-relevant  events  that  can  be uniquely associated
  14699. with an individual user, so that those responsible  for  the
  14700. security of sensitive information may hold users accountable
  14701. for the security-relevant actions they take.
  14702.  
  14703.      The supporting policies adopted by different  organiza-
  14704. tions  may differ even more widely than discretionary access
  14705. control  policies.   The  task  of  formulating  a  mutually
  14706. acceptable   set  of  overall  supporting  policies  may  be
  14707. expected to be even more challenging for the sponsors  of  a
  14708. network than for discretionary policy.
  14709.  
  14710. B.3.4.  Formal Security Policy Model
  14711. _ _ _   ______ ________ ______ _____
  14712.  
  14713.      As defined in the TCSEC, a Formal Security Policy Model
  14714. has a mathematically precise statement of a Security Policy.
  14715. Whereas the objective  of  stating  Security  Policy  is  to
  14716. reflect  the  requirements imposed upon a system by external
  14717. authority, the purpose of a Formal Security Policy Model  is
  14718. to  serve  as a precise starting point in the chain of argu-
  14719. ments leading to the higher levels of assurance required for
  14720. systems   of  the  higher  evaluation  classes.   Thus,  the
  14721. requirement to state a Formal  Security  Policy  Model  con-
  14722. sistent  with  its  axioms is first introduced at Evaluation
  14723. Class B2; it is not introduced earlier because the chain  of
  14724. arguments  needed  for  lower  evaluation  classes  does not
  14725. require mathematical precision at their onset.  The point of
  14726. this observation is that the definition of a Formal Security
  14727. Model is not a gratuitous requirement, but serves  the  pur-
  14728. pose  of facilitating construction of the chain of arguments
  14729. required for the higher evaluation Classes.
  14730.  
  14731.      Current practice  requires  a  formal  security  policy
  14732. model  only  for the access control policies to be enforced.
  14733. The model is a representation of the reference monitor for a
  14734. specific  class of systems.  The choice of model representa-
  14735. tion is strongly influenced by the technical characteristics
  14736. of the system to be built, as the feasibility and economy of
  14737. constructing the chain of assurance arguments needed to sup-
  14738. port  a  class  B2 or above evaluation is typically substan-
  14739. tially increased by utilizing a model  that  has  an  intui-
  14740. tively  attractive  resemblance  to the abstractions of sub-
  14741. ject, object, and access properties of the target system.
  14742.  
  14743.      As previously described, the reference  monitor  for  a
  14744. partitioned  NTCB  is  composed  of a collection of security
  14745. kernels for individual components.  In order to  obtain  the
  14746. required  levels of assurance that each such security kernel
  14747. works correctly, a Formal Security Policy Model must be for-
  14748. mulated  for  each such component.  We would argue, however,
  14749. that it is too restrictive to require that the formal  model
  14750. for  each  security  kernel  be the same, or that an overall
  14751. model be formulated for  the  network,  provided  that  each
  14752. model   is   shown  by  convincing  arguments  to  correctly
  14753. represent the overall Security Policy, as allocated  to  the
  14754. component.   As  the  only  function of a formal model is to
  14755. support the evaluation of a security  kernel,  the  sponsors
  14756. and designers of network components should be free to choose
  14757. that model which will most efficiently serve  this  purpose,
  14758. relative  to  the  engineering  characteristics  of the com-
  14759. ponent; subject, of course,  to  the  requirement  that  the
  14760. model  be  an accurate representation of the Security Policy
  14761. to be enforced by the component.
  14762.  
  14763. B.3.5.  Summary of Policy Considerations for a Network
  14764. _ _ _   _______ __ ______ ______________ ___ _ _______
  14765.  
  14766.      In summary, a precondition  for  the  evaluation  of  a
  14767. networked  system of computers is the formulation of overall
  14768. mandatory (when applicable), discretionary,  and  supporting
  14769. policies,  mutually  acceptable  to  the  managements of the
  14770. organizations  involved,  and  stated  in  terms  of  people
  14771. accessing  information  (i.e., free, to the extent feasible,
  14772. of computer and network jargon).  In the case  of  mandatory
  14773. policy, we would expect the formulation of an overall policy
  14774. to involve the  relatively  straightforward  issues  of  how
  14775. clearances  in  use by one organization are to relate to the
  14776. information access classes in use by  another  organization:
  14777. the  formulation of appropriate discretionary and supporting
  14778. policies may be expected to be more challenging and signifi-
  14779. cantly  influenced  by  the  particular network architecture
  14780. chosen.
  14781.  
  14782. B.4.  Derivation of the Partitioned NTCB View
  14783. _ _   __________ __ ___ ___________ ____ ____
  14784.  
  14785. B.4.1.  Introduction to the Partitioned NTCB Concept
  14786. _ _ _   ____________ __ ___ ___________ ____ _______
  14787.  
  14788.      Using the definitions  provided  above,  the  following
  14789. conclusion  may be stated: if it is supposed (1) that a sub-
  14790. ject is confined to a single component throughout its  life-
  14791. time,  (2)  that  it may directly access only objects within
  14792. its component, (3) that every component contains a component
  14793. reference  monitor  that  mediates all accesses made locally
  14794. (and enforce the same access control policy), and  (4)  that
  14795. all   communications  channels  linking  components  do  not
  14796. compromise the security  of  the  information  entrusted  to
  14797. them,  one  may  conclude  that the total collection of com-
  14798. ponent reference monitors is a  reference  monitor  for  the
  14799. network.   The  conclusion  follows  because (1) all network
  14800. accesses  are  mediated  (because  there  are  no  non-local
  14801. accesses);  and  (2) the network reference monitor cannot be
  14802. tampered with (because none of its component reference moni-
  14803. tors can be tampered with), and it is simple enough to vali-
  14804. date (its correct operation, under the  suppositions  given,
  14805. is assured if the correct operation of each of its component
  14806. reference monitors is individually assured -  the  stricture
  14807. against  access  across components prevents the introduction
  14808. of additional complexity).
  14809.  
  14810.      It is useful,  before  expanding  this  basic  argument
  14811. within  the  context  of  non-idealized  network systems, to
  14812. examine briefly the individual preconditions  (axioms)  that
  14813. must  be  met  in  order for the conclusion to be valid, and
  14814. state concisely why there is reason to believe that each can
  14815. be  achieved within the current state of network technology.
  14816. Generally, the crucial step the sponsors and architects of a
  14817. proposed  network  must perform (prior to its evaluation) is
  14818. its partitioning into components and communication  channels
  14819. in such a way that all of the axioms can be easily validated
  14820. by the evaluators.
  14821.  
  14822.      The first axiom is that regarding confinement  of  sub-
  14823. jects (to a single component).  Adoption of the conventional
  14824. notion of a subject as a <process, domain> pair is  adequate
  14825. to fulfill this axiom, provided it is recognized that limit-
  14826. ing the access of subjects to objects within the  same  com-
  14827. ponent  ensures that no domain encompasses objects from more
  14828. than one component.  It follows that no subject may ``move''
  14829. from  one  component  to  another.  Even if we permit (as is
  14830. sometimes done) the notion of  a  ``remote  process'',  once
  14831. execution  begins  in  a  remote component a new subject has
  14832. been introduced (because there has been a change in  protec-
  14833. tion domains).
  14834.  
  14835.      The second axiom requires that a  subject  be  able  to
  14836. directly access objects only within the component with which
  14837. the subject is associated.  The major theoretical  issue  to
  14838. be  confronted  is  to  understand  how  information  may be
  14839. transmitted  between  components  without  the  sharing   of
  14840. objects  between them.  This issue is explored in some depth
  14841. in Section B.5.  Logically, the connection of components  by
  14842. an  ideal  communication  channel is viewed as involving the
  14843. transfer of information from one device to  another  without
  14844. the  existence of an intermediate object. (i.e., information
  14845. ``in motion'' is not regarded as an object -  a  view  which
  14846. seems valid provided that no subjects may access it until it
  14847. ``comes to rest'' within the destination component - and  is
  14848. then  within an object again).  This view is consistent with
  14849. the TCSEC Glossary definition of ``object''  which  includes
  14850. the  sentence,  ``Access  to  an  object potentially implies
  14851. access to the information it contains''.   For  a  Security-
  14852. Compliant   communication   channel  (discussed  in  Section
  14853. B.6.2), there are no subjects with potential access  to  the
  14854. information  being transmitted while it is in transit: it is
  14855.                                _____ __ __ __ _______
  14856. therefore unnecessary (and misleading) to treat such  infor-
  14857. mation  as an object.  (This argument is invalid for complex
  14858. channels, which contain internal subjects, which is the rea-
  14859. son that such channels must be further partitioned.)
  14860.  
  14861.      The third axiom requires that every component contain a
  14862. component  reference monitor which enforces that part of the
  14863. network access  control  policy  relevant  to  subjects  and
  14864. objects  within the component.  In validating this axiom, it
  14865. is important to understand that for  certain  components,  a
  14866. degenerate  component  reference  monitor may suffice (e.g.,
  14867. for a dedicated component for which all subjects and objects
  14868. have, by virtue of the system architecture, the same author-
  14869. ization and sensitivity,  respectively,  so  that  no  local
  14870. access  attempts  need  be  denied  on  the  basis of policy
  14871. enforcement).  It is logically equivalent, in such cases, to
  14872. claim  that  there  is a reference monitor (which never does
  14873. anything) or that there is  no  reference  monitor  (because
  14874. nothing  ever  needs  to  be done).  It is also important to
  14875. understand that each reference monitor need only to  enforce
  14876. that  subset  of access control policy relevant (in terms of
  14877. the network system architecture) to the local accesses  pos-
  14878. sible within the component.
  14879.  
  14880.      The fourth axiom requires that communications  channels
  14881. between  components not compromise the security of sensitive
  14882. information entrusted to them.  Establishing that this axiom
  14883. is  actually met is a complex problem with some issues dealt
  14884. with during system evaluation, and others during  accredita-
  14885. tion  for  use. A detailed discussion of the issues involved
  14886. is provided in Section B.6 of  this  Appendix.   Until  that
  14887. discussion,  the validity of the axiom is assumed as a boun-
  14888. dary condition allowing the evaluation of individual trusted
  14889. components of the network, and their composition into a com-
  14890. plete system.
  14891.  
  14892. B.4.2.  Overview of the Argument for a Partitioned NTCB
  14893. _ _ _   ________ __ ___ ________ ___ _ ___________ ____
  14894.  
  14895.      To present the concept of a partitioned NTCB, and  show
  14896. how  the TCSEC Criteria may be applied to it, an application
  14897. analogous to a network of  ``loosely-coupled''  NTCB  parti-
  14898. tions  is  described  as  running upon a single, stand-alone
  14899. computer system with a TCB  assumed  to  be  evaluatable  in
  14900. terms of the existing Criteria.  A series of transformations
  14901. is then performed upon the simulation, that convert it  into
  14902. the  hypothesized  network  with a single, partitioned NTCB.
  14903. This argument is meant to demonstrate  that  the  notion  of
  14904. partitioning  a  single  NTCB  into a set of loosely-coupled
  14905. NTCB partitions is conceptually sound and does not require a
  14906. radical  departure  from  current  evaluation  practice.  In
  14907. effect,  the  argument  serves  as  a   constructive   proof
  14908. (although  informally stated) that a trusted network is sim-
  14909. ply an instance of a trusted computer system.
  14910.  
  14911. B.4.3.  Characterization of the Target Monolithic System
  14912. _ _ _   ________________ __ ___ ______ __________ ______
  14913.  
  14914.      Consider first a multiprocessor, multiprogrammed monol-
  14915. ithic computer system, presumed to conform to the TCSEC Cri-
  14916. teria at, for example, a Class B2 level or higher.  It has a
  14917. Formal  Security  Policy  Model, e.g., the Bell and LaPadula
  14918. model, and it has been shown that  the  system  is  a  valid
  14919. interpretation  of that model.  In the presumed system, sup-
  14920. pose that the code and data of the TCB is shared  among  the
  14921. concurrently executing processors, which are tightly-coupled
  14922. on a single bus.  (Worked examples of such systems  targeted
  14923. for  Class  B2 or higher exist).  Since this is a monolithic
  14924. system with (it is presumed)  an  ``ordinary''  secure  mul-
  14925. tiprogramming  operating system, it can support a given pro-
  14926. cess on any processor, which can  (potentially)  access  any
  14927. memory  segments it may need to share with any other process
  14928. on any other processor.  Additionally, each process can  use
  14929. devices  through  I/O  channels that are accessed by service
  14930. calls to the TCB.  In  particular,  assume  that  there  are
  14931. available multilevel I/O channels which can be controlled by
  14932. multilevel trusted processes executing under the control  of
  14933. the TCB.  Each multilevel channel conforms to the concept of
  14934. a connected multilevel device as  identified  in  the  TCSEC
  14935. Criteria.
  14936.  
  14937. B.4.4.  Characterization of the Loosely-Coupled Trusted Net-
  14938. _ _ _   ________________ __ ___ _______ _______ _______ ____
  14939. work
  14940. ____
  14941.  
  14942.      Next, consider an arbitrary network architecture,  con-
  14943. sisting  of  various  types of nodes (e.g., packet switches,
  14944. network interface units, hosts, etc.) processing information
  14945. at  various  levels,  connected with communication channels,
  14946. possibly multilevel.  It is  assumed  that  the  network  is
  14947. secure,  and  meets  the  axioms described in section B.3.1,
  14948. viz., (1) each subject is confined to  a  single  component,
  14949. (2)  no subject may access an object within a different com-
  14950. ponent, (3) each component possesses  a  locally  autonomous
  14951. reference  monitor,  (4)  the  communications  channels  are
  14952. secure, in the sense that they do not compromise  the  secu-
  14953. rity  of the information entrusted to them.  Host components
  14954. are interconnected via a  multilevel  communications  subnet
  14955. (which  may itself be composed of components and simple com-
  14956. munications channels.  Subjects within one component can (by
  14957. interacting  with  the  appropriate  device  drivers)  cause
  14958. information to be exchanged between components in  a  secure
  14959. way.
  14960.  
  14961.      Note that a point-to-point connection may be abstracted
  14962. as  a pair of devices (one at each end) linked by a communi-
  14963. cation medium.  A broadcast channel may be abstracted  as  a
  14964. set  of  devices (one for each host) linked by a shared com-
  14965. munication medium.  The  hypothesized  network  may  contain
  14966. both single-level and multi-level connections.
  14967.  
  14968. B.4.5.  Simulation of the Network on the Monolithic System
  14969. _ _ _   __________ __ ___ _______ __ ___ __________ ______
  14970.  
  14971.      The proposed system may be simulated in a very  natural
  14972. way on the evaluated monolithic computer system.
  14973.  
  14974.      Each component subject (in the network) is simulated as
  14975. a single subject (on the monolithic target system.) For rea-
  14976. sons that will become clear later, all of the  network  sub-
  14977. jects  within  a  single component are allocated to a single
  14978. processor of the monolithic system, and it is  assumed  that
  14979. there is a processor available for each network component.
  14980.  
  14981.      All of the communication devices are  provided  as  I/O
  14982. devices  within the computer system; single- or multi- level
  14983. as appropriate.  For each device, it is supposed that  there
  14984. is a server subject, which correctly implements the protocol
  14985. ascribed to the communication channel  and,  for  multilevel
  14986. devices,  has the trust properties required to function as a
  14987. trusted subject.  As each device is local  to  a  processing
  14988. node  in the network system, it is made local to the associ-
  14989. ated processor in the monolithic computer system  (i.e.,  it
  14990. is accessible only by that processor).
  14991.  
  14992.      Finally, the I/O devices are linked using the appropri-
  14993. ate  physical  media, (which is considered to be external to
  14994. the system): in pairs, for point-to-point channels,  and  in
  14995. sets, for broadcast channels.
  14996.  
  14997.      The simulation is now an accurate representation of the
  14998. hypothesized  network.  Since it runs on an evaluated monol-
  14999. ithic system, it  is  secure  to  the  degree  of  assurance
  15000. ascribed  to  the  monolithic system, subject, of course, to
  15001. the provision of appropriate levels of  communication  secu-
  15002. rity  to  the various communications channels.  The Criteria
  15003. Interpretations provided in the TNI may be viewed  (for  the
  15004. higher evaluation Classes) as specifying the characteristics
  15005. a network must have to be simulated in the way described.
  15006.  
  15007. B.4.6.  Transformation of the  Monolithic  Simulation  to  a
  15008. _ _ _   ______________ __ ___  __________  __________  __  _
  15009. Distributed System
  15010. ___________ ______
  15011.  
  15012.      It is instructive to examine certain of the  properties
  15013. of the network simulation.
  15014.  
  15015.      It may be observed that there are no application memory
  15016. segments  shared  by subjects allocated to different proces-
  15017. sors.  This stems from the allocation of all subjects within
  15018. a  single  network  component  to  a single processor of the
  15019. monolithic system, and from the rule (for the network)  that
  15020. no subjects access objects in a different component.
  15021.  
  15022.      Furthermore subjects executing on different  processors
  15023. do  not  utilize  any  of  the  inter-process communications
  15024. mechanisms provided by the TCB; all inter-processor communi-
  15025. cation  is  provided  by  means  of the I/O device protocols
  15026. embedded in the I/O device drivers, which are  part  of  the
  15027. TCB.   Moreover,  the (correct) operation of these protocols
  15028. does not depend upon the sharing of memory since  they  were
  15029. usable  in  the network being simulated, and thus presumably
  15030. provide for the cooperation of remote devices coupled  by  a
  15031. shared physical medium.
  15032.  
  15033.      Thus, outside of the security kernel,  no  memory  seg-
  15034. ments  are  shared by any two processes running on different
  15035. processors.  Assuming that each processor has local  memory,
  15036. all  application  segments  may be moved (without effect) to
  15037. the appropriate processor-local memory address space.   Sup-
  15038. posing the TCB code is ``pure'' (i.e., re-entrant), complete
  15039. copies of the TCB code may also  be  removed  to  the  local
  15040. memory  address  space  of  each  processor  without effect.
  15041. Similarly, internal TCB data structures that  have  elements
  15042. that  are accessed only by a single processor can be removed
  15043. to the local memory of that processor without effect.
  15044.  
  15045.      It may be noted (based upon available worked  examples)
  15046. that  the  only data structures within the TCB, that must be
  15047.                                                      ____
  15048. shared  by  processors,  are  those  representing  resources
  15049. shared by processes running on the various processors.  How-
  15050. ever, in the simulation just described, there  are  no  such
  15051. shared  resources.  Devices in the network are local to net-
  15052. work components and are therefore accessed only by  subjects
  15053. running  on one processor in the computer system.  No inter-
  15054. process communication takes place between processors (it  is
  15055. all  via  external  communication  channels),  and  the only
  15056. shared global memory required is for the  table  controlling
  15057. global  memory  allocated to the subjects, of which there is
  15058. none.
  15059.  
  15060.      Thus, in the particular network  simulation  described,
  15061. despite  the  potential  for shared resources assumed by the
  15062. underlying TCB, that potential is never exercised.  The par-
  15063. titioning  of  code  and  data described allows the internal
  15064. restructuring of the TCB in such a way that the TCB is  par-
  15065. titioned  and  removed to processor local memory throughout,
  15066. with no residual code or data in global memory.  This inter-
  15067. nal  restructuring  in  no  way affects the operation of the
  15068. system and in no way impacts its compliance with  the  TCSEC
  15069. Criteria (for the specific application).
  15070.  
  15071.      Another result of the described partitioning and local-
  15072. ization of the TCB is that no communication ever takes place
  15073. over the system bus: all of the TCB  tables  may  be  locked
  15074. locally  so that no inter-processor communication within the
  15075. TCB is required, and there are no  global  memory  segments.
  15076. It  follows  that  the bus may be completely severed without
  15077. affecting either the operation of the system or its  compli-
  15078. ance  (in  this  particular  case)  with  the  Criteria.  An
  15079. interesting observation is that no single step in  the  res-
  15080. tructuring  described  can  be regarded as changing the fact
  15081. that the collection of processors is utilizing a single TCB,
  15082. which  is  compliant with the Criteria.  It is this observa-
  15083. tion that impels one to conclude that a single  TCB  can  be
  15084. properly implemented as a collection of TCB partitions.
  15085.  
  15086.      The resulting partitioned TCB is now examined.   Within
  15087. the  TCB are a set of (trusted or untrusted, as appropriate)
  15088. I/O device drivers,  one  for  each  I/O  device.   As  con-
  15089. structed,  a  particular device is utilized only by the sub-
  15090. jects being executed by a single processor: the driver  sub-
  15091. ject  for that device exists, but is quiescent, on all other
  15092. processors (because none of  the  application  subjects  are
  15093. attempting to utilize that device).  The driver subject, its
  15094. code, and its data may therefore be  removed  from  the  TCB
  15095. partitions  for  all of the processors except that for which
  15096. the device is local.  Again,  the  system  remains  a  valid
  15097. interpretation  of the model, and remains compliant with the
  15098. Criteria.
  15099.  
  15100.      The resulting system still has  only  one  TCB,  parti-
  15101. tioned  among  a number of asynchronous processors, with the
  15102. code and data for supporting various devices  provided  only
  15103. within those TCB partitions where they are needed to support
  15104. local devices.  The only links between the physical  proces-
  15105.                     ____
  15106. sors  are  the various single- and multi-level communication
  15107. channels provided.  These channels are afforded, it has been
  15108. assumed, the appropriate levels of physical security by com-
  15109. munications security techniques, just as they  would  be  if
  15110. they  were media connecting a computer to a remote terminal:
  15111. the provision of this physical security is an axiom  in  the
  15112.                                               _____
  15113. context  of  evaluating  the  validity  of the system from a
  15114. ``computer security'' point of  view.   (This  is  discussed
  15115. fully  in  section  B.6, as the importance of communications
  15116. security techniques in the context of a network  of  systems
  15117. must not be trivialized).
  15118.  
  15119.      Each processor, and  its  associated  devices,  is  now
  15120. packaged  in  a  separate physical box.  There is now little
  15121. difference between the  hypothesized  ``monolithic  computer
  15122. system''  (with  an  admittedly very specialized application
  15123. running on it) and the network originally hypothesized.  The
  15124. single  TCB of the partitioned ``monolithic system'' remains
  15125. a single TCB, which has, however, been  transformed  into  a
  15126.   ______
  15127. collection  of  TCB partitions, each of which is responsible
  15128. for enforcing access control policy within its ``local  par-
  15129. tition'', or component.
  15130.  
  15131.      The TCB in a particular box may now be replaced  by  an
  15132. equivalent  TCB  (that  is,  a  TCB  with the same top-level
  15133. specifications, and with an equivalent degree of  assurance)
  15134. without  impacting the overall security of the system or its
  15135. adherence to the TCSEC Criteria.  In fact, both the hardware
  15136. and software TCB bases within a partition could be replaced,
  15137. as long as the replacement has the same (or greater) evalua-
  15138. tion  class  and  completely  honors the interface protocols
  15139. (and thus, for example,  correctly  receives  and  transmits
  15140. labeled  datagrams) defined for the devices connecting it it
  15141. with the other processors.
  15142.  
  15143.      Finally, the particular Formal Security  Policy  Models
  15144. upon  which  the  TCBs  within  each  box are based might be
  15145. allowed to differ without adverse impact, so  long  as  each
  15146. model  used was a valid representation of the single Network
  15147. Security Policy to be enforced, as allocated to the  activi-
  15148. ties of the application subjects within the box.
  15149.  
  15150. B.4.7.  Conclusions Regarding the Simulation Argument
  15151. _ _ _   ___________ _________ ___ __________ ________
  15152.  
  15153.      This informal argument shows how a network of  process-
  15154. ing nodes, which are ``locally autonomous'' (with respect to
  15155. their enforcement of a global  Security  Policy  for  access
  15156. controls),  can  be  simulated  upon  a  clearly evaluatable
  15157. monolithic system with a security kernel, and, in turn,  how
  15158. that  system can be physically partitioned into a confedera-
  15159. tion of components, each with its own  TCB  partition.   The
  15160. resulting system is the originally desired network in all of
  15161. its essential features, and is clearly in harmony  with  the
  15162. intent  of  the  TCSEC  Criteria.  This argument provides an
  15163. intuitive basis for the interpretation of the Criteria  pro-
  15164. vided in the TNI.  It also shows the sense in which the col-
  15165. lection of NTCB partitions may be viewed as forming a single
  15166.                                                       ______
  15167. NTCB: there is a single NTCB because there is a single Secu-
  15168. rity Policy for the network, which is  locally  enforced  by
  15169. each  NTCB  partition  upon  its  local subjects and objects
  15170. (i.e., upon the resources it controls).
  15171.  
  15172.      Of significance for the design and evaluation  of  net-
  15173. works targeted for the higher evaluation classes is the fact
  15174. that under the assumptions that an overall Network  Security
  15175. Policy has been defined, and that the communication channels
  15176. between components function correctly, (i.e.,  maintain  the
  15177. proper  associations  between  labels, user identifications,
  15178. clearances, and names of objects), there  is  no  compelling
  15179. reason  to  insist that the required assurance for each pro-
  15180. cessing node be obtained using the same Formal Security Pol-
  15181. icy Model.
  15182.  
  15183. B.5.  Cooperation Among Partitions
  15184. _ _   ___________ _____ __________
  15185.  
  15186.      In this section we focus on that part of the NTCB  out-
  15187. side  the  security  kernel, i.e., that part involved in the
  15188. implementation of supporting policies and typically  carried
  15189. out by trusted subjects.  Some non-kernel NTCB functions are
  15190. essentially the same as those normally provided  in  a  non-
  15191. networked trusted computer system, such as login authentica-
  15192. tion of local users.  Such functions in  an  NTCB  partition
  15193. can  be  understood  in  terms  of the services they perform
  15194. within the network component.
  15195.  
  15196.      Other non-kernel NTCB functions  provide  distinctively
  15197. network-related  services that can best be understood in the
  15198. context of the  network  security  architecture.   We  shall
  15199. refer  to these as trusted network services.  Very often, an
  15200. essential task of these functions is to implement a protocol
  15201. for  conveying security-critical information between trusted
  15202. subjects in different components.  The trusted  protocol  is
  15203. not an end in itself, but a means to accomplish services for
  15204. which cooperation between NTCB partitions is needed.  A sim-
  15205. ple  example  would be the need to change the security level
  15206. of a single-level communications channel.  While  each  com-
  15207. ponent  could internally relabel the I/O device connected to
  15208. its own end of a channel, a trusted protocol is required  to
  15209. coordinate the changes.
  15210.  
  15211.      In this section there will be two brief examples illus-
  15212. trating  the  relationship between a network security archi-
  15213. tecture and an  associated  trusted  network  service.   One
  15214. example  network  uses  trusted  network interface units and
  15215. protected wire distribution, and the other  uses  end-to-end
  15216. encryption.   After  the  examples, design specification and
  15217. verification of trusted network services will be discussed.
  15218.  
  15219. B.5.1.  Trusted Interface Unit Example
  15220. _ _ _   _______ _________ ____ _______
  15221.  
  15222.      Consider a network in which untrusted  hosts  operating
  15223. at   various  single  security  levels  communicate  through
  15224. trusted  network  interface  units  (TIU's)  that  send  and
  15225. receive  labeled messages in the clear over a protected com-
  15226. munication subnet.  The function of a TIU is to  place  mes-
  15227. sage  sensitivity  labels on outgoing messages, and to check
  15228. labels on incoming messages, so  that  hosts  may  send  and
  15229. receive  only  messages  labeled  in  accordance  with their
  15230. accreditation.
  15231.  
  15232.      Because the communication subnet  carries  messages  at
  15233. all levels, the I/O device connecting any TIU and the subnet
  15234. is single-level system-high.  But the connection between any
  15235. TIU  and  its host is at the level of the host.  Thus, a TIU
  15236. for a low-level host must contain  a  trusted  subject  that
  15237. reads high and writes low.
  15238.  
  15239.      There is a trusted protocol in this example, though  it
  15240. is  relatively  trivial, since it merely identifies a header
  15241. field in each message  that  should  contain  a  sensitivity
  15242. label,   and  perhaps  also  a  checksum  to  guard  against
  15243. transmission errors.  A protocol of this  kind  is  required
  15244. whenever  information  is  exported  or imported over a mul-
  15245. tilevel communications channel.  See section 3.1.1.3.2.1  of
  15246. Part I of this document.
  15247.  
  15248. B.5.2.  End-to-End Encryption Example
  15249. _ _ _   ___ __ ___ __________ _______
  15250.  
  15251.      Consider a network in which hosts operating at  various
  15252. security  levels  communicate through trusted front-end pro-
  15253. cessors (TFE's) that send  and  receive  encrypted  messages
  15254. over  a public communication subnet.  Suppose that the TFE's
  15255. obtain encryption keys at the level of the information to be
  15256. protected  from a central key distribution center (KDC) sup-
  15257. porting the various security levels of the network, attached
  15258. to  the  network  in  the same way as a host.  A key is sent
  15259. from the KDC to a TFE upon request, using  an  appropriately
  15260. certified protocol that authenticates both the requester and
  15261. the new key.
  15262.  
  15263.      The purpose of key distribution is really to support  a
  15264. trusted local service within the TFE, namely, the ability to
  15265. transform classified messages from the host  into  unclassi-
  15266. fied  encrypted  messages suitable for transmission over the
  15267. subnet.  In other words, there is  a  trusted  subject  that
  15268. reads high and writes low.
  15269.  
  15270.      Part of the  trusted  network  service  is  implemented
  15271. within  the  KDC, which must generate new keys for the level
  15272. of information being communicated, and must also decide,  on
  15273. the basis of an access control policy, which TFE's may share
  15274. keys.  A single level subject in the KDC at the level of the
  15275. information  which  the  key  is  for  does  not necessarily
  15276. require privileged treatment from the  kernel  in  the  KDC;
  15277. however,  such trusted network service subjects at the vari-
  15278. ous levels must correctly implement a certain policy  and  a
  15279. certain protocol.
  15280.  
  15281. B.5.3.  Design Specification and Documentation
  15282. _ _ _   ______ _____________ ___ _____________
  15283.  
  15284.      To obtain the level of assurance needed for systems  of
  15285. Evaluation Class A1, a formal top-level specification (FTLS)
  15286. of the NTCB is required, including a component FTLS for each
  15287. NTCB partition.  As in the case of stand-alone computer sys-
  15288. tems, non-kernel portions of the NTCB must be specified even
  15289. though they support policies that are not part of the access
  15290. control policy represented in  the  formal  security  policy
  15291. model.   In  particular, software supporting trusted network
  15292. services in each component must be specified.
  15293.  
  15294.      Where a trusted network service supporting  the  manda-
  15295. tory  policy depends on a protocol, the protocol will neces-
  15296. sarily appear in FTLS of some component(s) of  the  network.
  15297. As  a  minimum, the role of the trusted subject in each NTCB
  15298. partition will be implicit in each component  FTLS.   Trying
  15299. to  understand  a  protocol by looking at each participating
  15300. process separately, however, is like trying to read  a  play
  15301. in  which the lines have been sorted by character.  For pur-
  15302. poses  of  documentation,  it  is  desirable  to  provide  a
  15303. representation  of  each  trusted protocol in a fashion that
  15304. exhibits the  interactions  between  participants,  and  the
  15305. correspondence  between this representation and the relevant
  15306. parts of component FTLS's should be shown.
  15307.  
  15308.      Just  as  the  FTLS  of  a  stand-alone  TCB   contains
  15309. representations  of  operating  system  conceptual entities,
  15310. such as processes,  devices,  memory  segments,  and  access
  15311. tables, the FTLS of an NTCB contains representations of pro-
  15312. tocol entities and concepts, such as connections, where they
  15313. occur, such as in trusted network service specifications.
  15314.  
  15315.      In the end-to-end encryption example, correspondence of
  15316. the  FTLS  to the trusted network services supporting policy
  15317. should include the demonstration of at least the  properties
  15318. that  all  data transmitted over the communication subnet is
  15319. encrypted with the proper key (e.g., for the  correct  secu-
  15320. rity  level), and that the KDC allows keys to be shared only
  15321. in accordance with its access  control  restrictions.   Both
  15322. properties  might  be  stated and proved in terms of connec-
  15323. tions between hosts.  In the trusted interface unit example,
  15324. the  correspondence  should  show  that  each  TIU marks and
  15325. checks message labels in accordance with a given host label.
  15326.  
  15327. B.5.4.  Summary
  15328. _ _ _   _______
  15329.  
  15330.      Some non-kernel NTCB functions  in  a  network  may  be
  15331. characterized  as  trusted  network  services.  They provide
  15332. trusted protocols to implement security-critical cooperation
  15333. between  trusted  subjects  in  different  NTCB  partitions.
  15334. Showing correspondence between the FTLS for  these  services
  15335. and  their  supporting policies implies proving certain pro-
  15336. perties, expressed in terms  of  network-specific  concepts,
  15337. which  convey  essential  features  of  the network security
  15338. architecture.
  15339.  
  15340. B.6.  Communication Channels Between Components
  15341. _ _   _____________ ________ _______ __________
  15342.  
  15343.      In this section the communication channels used to con-
  15344. nect  components are examined more closely, with the goal of
  15345. understanding when the characteristics of a particular chan-
  15346. nel are relevant to the security characteristics of the sys-
  15347. tem, how the characteristics of such a  channel  are  to  be
  15348. evaluated  and related to the overall evaluation of the net-
  15349. work, and those factors that must be deferred to the assess-
  15350. ment  of the adequacy of the network to support a particular
  15351. application of it preceding its accreditation.
  15352.  
  15353.      The discussion is organized into  the  following  major
  15354. parts.   In  section  B.6.1, the notion of a ``communication
  15355. channel'' is related to the technical  terminology  provided
  15356. by  the  TCSEC  Glossary.  In section B.6.2, the notion of a
  15357. ``Security-Compliant  communication  channel''  is  defined.
  15358. The  remaining  parts  of  the section discuss the important
  15359. cases of channels that are single-level and  multilevel  (in
  15360. the mandatory policy sense).
  15361.  
  15362. B.6.1.  Basic Notion of A Communication Channel
  15363. _ _ _   _____ ______ __ _ _____________ _______
  15364.  
  15365.      For the purposes of the TNI the network is viewed as  a
  15366. system  of  components, connected (at the physical layer) by
  15367. communication channels.  The term ``communication  channel''
  15368. is  used as a refinement of the term ``channel'', defined in
  15369. the TCSEC Glossary as ``an information transfer path  within
  15370. a  system.''  The  term  may  also refer to the mechanism by
  15371. which the path is effected.  It is further required, for the
  15372. purposes  of applying the TNI to a network, that the network
  15373. architecture be formulated in  sufficient  detail  that  all
  15374. communication  channels  are  Security-Compliant  as defined
  15375. below.
  15376.  
  15377.      ``Point-to-point'' communication channels are discussed
  15378. first.  The  notions  of ``communication channel'' and ``I/O
  15379. device'' are distinct: a point-to-point communication  chan-
  15380. nel  is  viewed as consisting of two I/O devices (each local
  15381. to the component it is attached to) coupled by a  communica-
  15382. tions  medium  (which  may  in  reality consist of a complex
  15383. arrangement of internal devices,  switches,  and  communica-
  15384. tions  links).   From  the  point of view of the components,
  15385. information is transmitted via the transmitting and  receiv-
  15386. ing  devices in a sufficiently error-free, physically secure
  15387. fashion to merit the particular labels associated  with  the
  15388. device.  It  is,  of course, the concern of both the sponsor
  15389. and evaluator of a particular network to confirm  that  this
  15390. condition  is  met  to  an  appropriate  level of assurance,
  15391. depending upon the security policy allocated to the channel.
  15392. This  requirement,  which is a boundary condition upon which
  15393. the evaluation of the NTCB partition itself, will  typically
  15394. be  met  by  a  combination  of error-detection and recovery
  15395. techniques, cryptographic techniques, and  other  communica-
  15396. tions  security techniques as addressed in Section 9 of Part
  15397. II.
  15398.  
  15399.  
  15400. (Note:  Figure not included)
  15401.  
  15402.         Figure B1.  Point-to-point communication channel.
  15403.  
  15404.      For example, two processing nodes connected by a single
  15405. channel  would  be  modeled as shown in Figure B1.  Here, we
  15406. would speak of processing component P1 using I/O  Device  D1
  15407. to communicate, via I/O Device D2, with processing component
  15408. P2.  D1 and D2 are assumed to be linked by some sort of phy-
  15409. sical  medium  M  (perhaps a set of wires, perhaps something
  15410. more complicated.) Subject S1 in component P1  may  transmit
  15411. information  to  a subject S2 in P2 as follows: each subject
  15412. obtains an object of the appropriate  class  for  use  as  a
  15413. buffer.  Each subject attaches its locally available device.
  15414. Subject S1 in P1  then  transmits  the  information  in  its
  15415. buffer  to D1; subject S2 receives the information via D2 in
  15416. its buffer.  Note that in this  description,  it  was  quite
  15417. unnecessary  to  introduce  the  notion  of  either a shared
  15418. object or a shared device.  Of course, the  details  of  the
  15419. inter-communication will depend upon a shared communications
  15420. protocol.
  15421.  
  15422.      Broadcast communication channels are only slightly dif-
  15423. ferent,  from the point of view adopted within the TNI, from
  15424. point-to-point communication channels.  Instead of a pair of
  15425. I/O  devices  linked by a physical medium, there is a set of
  15426. I/O devices linked by a physical medium.  Each device may be
  15427. a  receiver,  a transmitter, or a transceiver in nature.  It
  15428. is assumed that anything transmitted by a transmitter can be
  15429. received  by any receiver.  (It is, of course, determined by
  15430. the communication protocols being executed  by  the  various
  15431. devices whether reception actually results in any meaningful
  15432. action by a particular receiver.)
  15433.  
  15434. B.6.2.  Security-Compliant Channels as the Basis for Evalua-
  15435. _ _ _   ________ _________ ________ __ ___ _____ ___ _______
  15436. tion
  15437. ____
  15438.  
  15439.      Communication channels in trusted network  architecture
  15440. must  be Security-Compliant. A channel is Security-Compliant
  15441.          ________ _________
  15442. if the enforcement of the network policy depends  only  upon
  15443. characteristics  of  the  channel either (1) included in the
  15444. evaluation, or (2) assumed as a installation constraint  and
  15445. clearly documented in the Trusted Facility Manual. The first
  15446. approach tends to produce evaluated  network  systems  whose
  15447. security  characteristics are relatively immune to installa-
  15448. tion or configuration choices. The  second  approach  yields
  15449. evaluated  network  systems  whose security is more strongly
  15450. conditioned upon the appropriateness of installation or con-
  15451. figuration  choices; however, the conditions and limitations
  15452. of the evaluation are clearly documented.
  15453.  
  15454.      The overall security of the network can be assessed  by
  15455. verifying the correctness of the NTCB partitions (an evalua-
  15456. tion issue) and by verifying that the required environmental
  15457. constraints  documented for all communications channels are,
  15458. in fact, met by the installation (an  accreditation  issue).
  15459. The thrust of this section is to show that channels that are
  15460. not Security-Compliant may be reduced to  Security-Compliant
  15461. channels  so  that the resulting architecture will support a
  15462. viable network  evaluation.  Three  general  techniques  are
  15463. available for rendering a channel Security-Compliant: 1) the
  15464. utilization of the channel for  security-critical  transmis-
  15465. sions  may  be  restricted by using controls internal to the
  15466. NTCB partitions of the components linked by the channel;  2)
  15467. end-to-end  communications technologies (such as encryption)
  15468. may be installed and evaluated as part of  the  linked  NTCB
  15469. partitions  to eliminate the influence of the channel's phy-
  15470. sical environment on the security properties of the channel;
  15471. and  3) constraints on the intrinsic characteristics assumed
  15472. for the channel may be documented in the Trusted  Facilities
  15473. Manual. The last approach, in effect, reserves determination
  15474. of the adequacy of a particular channel to  the  accreditor:
  15475. the  evaluation  proper  will be based upon a communications
  15476. channel, which will be assumed to have the  desired  charac-
  15477. teristics.
  15478.  
  15479.      The evaluation effort is focused upon establishing  the
  15480. correctness  of  the technique, or combination of techniques
  15481. employed. The adequacy of the mechanisms is an accreditation
  15482. issue.   For  example, the issues related to the adequacy of
  15483. data confidentiality service are discussed in Part II.
  15484.  
  15485.      A channel can be made  Security-Compliant  by  using  a
  15486. combination  of the above techniques: cryptographic sealing,
  15487. for example, addresses the  issues  of  both  prevention  of
  15488. unauthorized modification and error-detection. In evaluating
  15489. each channel,  three  vulnerabilities  related  to  external
  15490. environmental  factors and one related to internal exploita-
  15491. tion must be addressed. They are as follows:
  15492.  
  15493. 1.      Communication security - unauthorized disclosure  or
  15494.         modification of sensitive information in transit
  15495.  
  15496. 2.      Communication reliability - unreliable  delivery  of
  15497.         information,  (e.g.,  non-delivery, misdelivery, and
  15498.         delivery of erroneous data) the delivery of which is
  15499.         required for the correct operation of the NTCB (such
  15500.         as audit records or inter-partition security coordi-
  15501.         nation)
  15502.  
  15503. 3.      Communication  fidelity  -  changes   to   security-
  15504.         critical  data, such as transmitted security labels,
  15505.         due to noise.  (Note that changes due  to  unauthor-
  15506.         ized  modification  are  categorized as a communica-
  15507.         tions security problem)
  15508.  
  15509. 4.      Covert  signaling  -  manipulation  of  the  channel
  15510.         mechanisms to signal information covertly
  15511.  
  15512.      The use of a channel as a  covert  signaling  mechanism
  15513. will  be  evaluated  in  the  normal  course  of  events (if
  15514. required by the Criteria) when the required  covert  channel
  15515. analysis  of  the  channel  drivers,  which  are part of the
  15516. linked NTCB partitions, is performed.  See the Covert  Chan-
  15517. nel  Analysis  section in Part I.  Techniques for addressing
  15518. the remaining three vulnerabilities are listed below.
  15519.  
  15520.      The first vulnerability, to the security  of  sensitive
  15521. information  in transit, must be addressed by one or more of
  15522. the following techniques:
  15523.  
  15524. 1.      Documenting a constraint in the  Trusted  Facilities
  15525.         Manual that the installed channel be completely con-
  15526.         tained  within  an   adequate   security   perimeter
  15527.         (thereby  deferring  an  assessment of compliance to
  15528.         accreditation)
  15529.  
  15530. 2.      Providing, for the channel, suitable end-to-end com-
  15531.         munications security techniques which are documented
  15532.         and evaluated as part of the NTCB partitions  linked
  15533.         by the channel
  15534.  
  15535. 3.      Restricting  utilization  of  the  channel  to   the
  15536.         transmission  of  non-sensitive information by means
  15537.         of controls internal to the NTCB  partitions  linked
  15538.         by the channel
  15539.  
  15540.      Vulnerability of a channel to the  unreliable  delivery
  15541. of security-critical information must be addressed by one or
  15542. more of the following techniques:
  15543.  
  15544. 1.      Documenting a constraint in the  Trusted  Facilities
  15545.         Manual  that  the  channel be comprised of intrinsi-
  15546.         cally reliable media and devices (thereby  deferring
  15547.         an assessment of compliance to accreditation)
  15548.  
  15549. 2.      Providing for the channel suitable end-to-end proto-
  15550.         cols  for  the  reliable transmission of information
  15551.         within the NTCB partitions coupled by  the  channel,
  15552.         which will thereby be evaluated for correctness
  15553.  
  15554. 3.      Restricting use of the channel to transmissions, the
  15555.         delivery of which is not critical to the functioning
  15556.         of the NTCB, by means of controls  internal  to  the
  15557.         NTCB  partitions  linked  by the channel, which will
  15558.         thereby be evaluated for correctness
  15559.  
  15560.      Vulnerability of a channel to noise, which may comprom-
  15561. ise the correctness of security-relevant data (such as secu-
  15562. rity labels) must be addressed by one or more of the follow-
  15563. ing techniques:
  15564.  
  15565. 1.      Documenting a constraint in the  Trusted  Facilities
  15566.         Manual  that  the  channel be comprised of intrinsi-
  15567.         cally noise- free media and devices (thereby  defer-
  15568.         ring an assessment of compliance to accreditation)
  15569.  
  15570. 2.      Providing for the channel suitable end-to-end  noise
  15571.         reduction  techniques  within  the  NTCB  partitions
  15572.         linked  by  the  channel,  which  will  thereby   be
  15573.         evaluated for correctness
  15574.  
  15575. 3.      Restricting use of the channel to transmissions, the
  15576.         noise-free  delivery of which is not critical to the
  15577.         functioning of the NTCB, by means of controls inter-
  15578.         nal  to  the  NTCB partitions linked by the channel,
  15579.         which will thereby be evaluated for correctness
  15580.  
  15581.      Three example scenarios are provided below, showing how
  15582. these techniques might be employed.
  15583.  
  15584.      Example A.  Two loosely-coupled  trusted  coprocessors,
  15585.      _______ _
  15586. one  in  active use and the other in ``hot standby'', are to
  15587. be   linked   by   a   dedicated   communications   channel.
  15588. Significant  amounts of dynamic, security-relevant data will
  15589. be exchanged over this channel.  The channel must be trusted
  15590. to  preserve label integrity and provide reliable and noise-
  15591. free delivery of security-critical  data.  Noise  is  not  a
  15592. design issue. The channel must reside in a physically secure
  15593. environment.
  15594.  
  15595.      The simplest evaluation strategy would be  to  document
  15596. the required environmental constraints in the Trusted Facil-
  15597. ities  Manual:  that  the  channel  be  placed  within   the
  15598. ``system-high'' security perimeter, and that it be comprised
  15599. of intrinsically reliable and noise-free media and  devices.
  15600. During  evaluation  the  proper  documentation of these con-
  15601. straints would be verified. Compliance of the selected chan-
  15602. nel in the physical installation to them would be an accred-
  15603. itation issue which, in this  case,  would  (apparently)  be
  15604. easy  to  verify.  This  evaluation  approach would have the
  15605. advantage of allowing replacement of  the  original  channel
  15606. with  a  higher-performance  version  without  inducing  re-
  15607. evaluation (although the system would have to be  accredited
  15608. again).
  15609.  
  15610.      Example B.  Numerous  single-level  hosts  (at  several
  15611.      _______ _
  15612. levels)  are  interconnected via a multilevel packet switch,
  15613. which emulates multiple point-to-point networks between com-
  15614. munities  of hosts of the same level. Communications between
  15615. host and packet switch are  in  the  clear  the  sensitivity
  15616. level of each host is determined at the switch by internally
  15617. labeling the hard-wired communication ports. The  communica-
  15618. tion channel must be secure (separation of data of different
  15619. levels must be maintained), but it need be neither  reliable
  15620. nor noise-free (from the point of view of security).
  15621.  
  15622.      Two quite different approaches  might  be  regarded  as
  15623. suitable  for  the  evaluation  of this architecture. In the
  15624. first, (and most natural), the architecture would be  refor-
  15625. mulated  to  show  the packet switch as a network component,
  15626. connected to each host with a single-level channel.  Network
  15627. documentation would then indicate that each of the new chan-
  15628. nels be constrained to  be  located  within  an  appropriate
  15629. security  perimeter  (so  that  physical  security  is main-
  15630. tained), and that no security-critical information requiring
  15631. either reliability or fidelity is transmitted over them. The
  15632. second assertion would be verified  during  evaluation,  and
  15633. the first during accreditation.
  15634.  
  15635.      A second (radical) approach would be to insist that the
  15636. packet  switch is part of the communication channel. In this
  15637. case, it is difficult to  see  how  the  required  Security-
  15638. Compliance  is  to be attained while encompassing the packet
  15639. switch within the evaluation, as end-to-end  techniques  are
  15640. not  in use, and it is obvious that sensitive information is
  15641. being transmitted. The sponsor could document  a  constraint
  15642. upon  the  interconnection  of  hosts  that  the  (nominally
  15643. point-to-point) channels be each confined within a  security
  15644. perimeter,  thereby excluding the packet switch from evalua-
  15645. tion, but it is also then dropped from  the  description  of
  15646. the  network  being  evaluated,  and  is replaced by ``nomi-
  15647. nally'' Security-Compliant  point-to-point  channels,  docu-
  15648. mented in the Trusted Facilities Manual. The decision to use
  15649. a particular multilevel packet switch to meet the documented
  15650. requirement  for  an adequate security perimeter between the
  15651. point-to-point virtual channels would then be the  responsi-
  15652. bility  of the accreditor of such a system alone. In effect,
  15653. such a strategy when applied to the system  described  is  a
  15654. decision  to use the techniques described in Appendix C (the
  15655. system actually evaluated is an uninteresting subset of  the
  15656. originally envisioned system)
  15657.  
  15658.      Example C.  Two trusted multilevel systems are to  con-
  15659.      _______ _
  15660. duct  file  transfers over a channel, which is intrinsically
  15661. noisy, unreliable, and insecure. The data is to be encrypted
  15662. and   cryptographically  sealed.  Reliable  transmission  is
  15663. enforced  by  non-NTCB  software.  (This  is  not  security-
  15664. relevant,  however, because the loss of a data packet is not
  15665. an insecurity).
  15666.  
  15667.      The communications security and  cryptographic  sealing
  15668. techniques must be included within the evaluated NTCB parti-
  15669. tions. Assessment of their correctness will be part  of  the
  15670. evaluation, and assessment of their adequacy, based upon the
  15671. true sensitivity of the  information  transferred,  will  be
  15672. part of the accreditation. In order to address channel reli-
  15673. ability, the NTCB internal control mechanisms preventing the
  15674. utilization  of  the channel for security data needing to be
  15675. transmitted reliably must be documented  and  evaluated  (in
  15676. this  case,  the  argument  is probably the degenerate case:
  15677. that no such information  exists.)  See,  for  example,  the
  15678. Encryption Mechanism section in Part II.
  15679.  
  15680. B.6.3.  TCSEC Criteria for Multilevel Communication Channels
  15681. _ _ _   _____ ________ ___ __________ _____________ ________
  15682.  
  15683.      In this section, those TCSEC Criteria relevant  to  the
  15684. utilization  of  communication  channels within networks are
  15685. examined, from the point  of  view  of  countering  internal
  15686. threats.   As  the  Criteria  for  Class  A1  are  the  most
  15687. stringent and are a superset of the requirements  for  other
  15688. classes, they are the basis for the discussion.
  15689.  
  15690.      The Class A1 Criteria (Section 4.1.1.3.4) requires that
  15691. ``the  TCB  shall support the assignment of minimum and max-
  15692. imum security levels to all attached physical devices.'' The
  15693. basis  for making this designation is also stated in Section
  15694. 4.1.1.3.4: ``these sensitivity levels  [i.e.,  for  devices]
  15695. shall  be  used by the TCB to enforce constraints imposed by
  15696. the  physical  environments  in  which   the   devices   are
  15697. located''.
  15698.  
  15699.      In the case of a communication channel connecting  com-
  15700. ponents  of  a network, the ``physical environment'' must be
  15701. interpreted to include the environment of  the  devices  and
  15702. the  medium linking them.  The range of access classes (from
  15703. the Network Mandatory Access Control Policy) to be  assigned
  15704. to  the channel must take into account the physical security
  15705. afforded to the medium, the  communications  security  tech-
  15706. niques  that  have  been  applied  to the secure information
  15707. being transmitted through the medium, the physical  accessi-
  15708. bility  of  the  devices  involved  in  the channel, and the
  15709. intended use of the channel from an architectural  point  of
  15710. view  for  the  network.  Within these constraints, the Cri-
  15711. teria cited requires that the devices comprising the channel
  15712. be  appropriately labeled (with, it may be inferred, locally
  15713. ``appropriate'' internal labels).  For example, a particular
  15714. channel  may  be  designed  to  support  the transmission of
  15715. UNCLASSIFIED through SECRET information.  The receivers  and
  15716. transmitters  coupling  the transmission medium to the hosts
  15717. (assuming all hosts receive and transmit at all levels) must
  15718. be labeled within each host with whatever the local internal
  15719. labels  are  designating  the  UNCLASSIFIED  through  SECRET
  15720. range.  That such labels exist is guaranteed by the require-
  15721. ment to interpret properly a  network  Security  Policy  for
  15722. each NTCB partition.
  15723.  
  15724.      In addition to the labeling of devices coupling network
  15725. processing  components  to  the communication channels which
  15726. may exist, the TCSEC  requires,  for  multi-level  channels,
  15727. that  all  information  exported  to, and imported from, the
  15728. channel be properly labeled: ``when  exported  by  the  TCB,
  15729. sensitivity   labels   shall  accurately  and  unambiguously
  15730. represent the internal labels and shall be  associated  with
  15731. the information being exported'' (Section 4.1.1.3.2); furth-
  15732. ermore, ``when the TCB exports or imports  an  object  [sic]
  15733. over a multilevel channel, the protocol used on that channel
  15734. shall provide the unambiguous  pairing  between  the  sensi-
  15735. tivity labels and the associated information that is sent or
  15736. received'' (Section  4.1.1.3.2.1).   The  interpretation  of
  15737. these Criteria appears to be straightforward: in the context
  15738. of a network communication channel, they imply that informa-
  15739. tion  be properly labeled when it is exported, that there be
  15740. a shared protocol between the exporting and  importing  dev-
  15741. ices  which unambiguously and correctly maintains the label-
  15742.             _____________ ___ _________
  15743. information association, and  that  the  resulting  imported
  15744. label be honored by the receiving NTCB partition.  Note that
  15745. the requirement for integrity relative to label-data associ-
  15746. ations  is  clearly stated and need not be hypothesized as a
  15747. requirement specific to networks.
  15748.  
  15749. B.6.4.  Single-Level Communication Channels
  15750. _ _ _   ______ _____ _____________ ________
  15751.  
  15752.      The Criteria states that ``the TCB  shall  support  the
  15753. assignment  of  minimum  and  maximum security levels to all
  15754. attached  physical  devices''  which  ``enforce  constraints
  15755. imposed  by  the  physical environments in which devices are
  15756. located'' (Section 4.1.1.3.4).  Note that this capability is
  15757. required  to exist for all devices, whether ``single-level''
  15758.                        ___
  15759. or ``multilevel''.   The  distinguishing  characteristic  of
  15760. ``single-level  devices  and channels'' is stated in Section
  15761. 4.1.1.3.2.2, ``single-level I/O devices and channels are not
  15762. required  to maintain the sensitivity labels of the informa-
  15763. tion they process''.  Thus, a device  and/or  channel  which
  15764. does not support the transmission of labeled information is,
  15765. by definition, ``single-level''.
  15766.  
  15767.      There are two cases: the minimum and  maximum  security
  15768. levels of the devices coupling the channel to the processing
  15769. nodes may be all the same, or not.
  15770.  
  15771.      The case in which all of the minimum and maximum  secu-
  15772. rity  levels  are  identical is the normal case (for network
  15773. communication channels) of a channel which  is  to  transmit
  15774. information of a single, invariant, sensitivity level.
  15775.  
  15776.      It is also possible that the minimum and maximum ranges
  15777. of  the various devices associated with a single-level chan-
  15778. nel are not all the same.  In this  case,  the  channel  may
  15779. carry  unlabeled  information,  but  of only one sensitivity
  15780. level at a time.  It is the responsibility of each NTCB par-
  15781. tition coupled to the channel to prevent the transmission of
  15782. information  of  a  sensitivity  level  different  from  the
  15783. current  level  of  the  channel  in accordance with Section
  15784. 4.1.1.3.2.2, ``the TCB shall include a  mechanism  by  which
  15785. the  TCB  and  an  authorized  user  reliably communicate to
  15786. designate the single security level of information  imported
  15787. or  exported  via single-level communication channels or I/O
  15788. devices''.  In the context of a partitioned NTCB, this means
  15789. that  single-level  channels  may  be defined as part of the
  15790. network architecture which can be manually shifted from  the
  15791. transmission  of  one  level  of  unlabeled  information  to
  15792. another by an authorized user.  The  natural  interpretation
  15793. of  the  criterion  cited  above is that a reliable protocol
  15794. must exist for informing each  NTCB  partition  involved  in
  15795. controlling access to the channel that a change in level has
  15796. been ordered, prior to the transmission of  any  information
  15797. over  the  channel  (so  that  the  ``implied'' label can be
  15798. correctly assigned by each  NTCB  partition  to  information
  15799. received).
  15800.  
  15801. B.7.  Miscellaneous Considerations
  15802. _ _   _____________ ______________
  15803.  
  15804. B.7.1.  Reference Monitor, Security Kernel, and Trusted Com-
  15805. _ _ _   _________ _______  ________ ______  ___ _______ ____
  15806. puting Base
  15807. ______ ____
  15808.  
  15809.      The notion of a ``reference monitor''  is  the  primary
  15810. abstraction  allowing an orderly evaluation of a stand-alone
  15811. computer system with respect to  its  abilities  to  enforce
  15812. both  mandatory  and  discretionary  access controls for the
  15813. higher evaluation Classes.
  15814.  
  15815.      The TCSEC Glossary defines the ``Reference Monitor Con-
  15816. cept''  as  ``an  access  control  concept that refers to an
  15817. abstract machine that mediates all accesses  to  objects  by
  15818. subjects''.   Although  the  reference  monitor  abstraction
  15819. includes the notion of protection, the abstraction itself is
  15820. independent  of  any  particular access control policy.  The
  15821. abstraction assumes that a system is comprised of a  set  of
  15822. active  entities  called  ``subjects''  and a set of passive
  15823. entities called ``objects''.  The control over the relation-
  15824. ships  between  subjects  and  objects,  i.e., the access of
  15825. objects by subjects, is mediated by the reference monitor in
  15826. such  a  way that only accesses permitted by the access con-
  15827. trol policy being enforced, are permitted by  the  reference
  15828. monitor.   The  reference monitor is thus the manager of the
  15829. physical resources of a system.  A distinguishing feature of
  15830. the  monitor  is  that there is a well-defined interface, or
  15831. ``perimeter'', between the reference monitor itself and  the
  15832. subjects  and  objects it controls.  To be effective in pro-
  15833. viding protection, the implementation of a reference monitor
  15834. must be (1) tamper-proof, (2) always invoked, and (3) simple
  15835. enough to support the analysis leading to a high  degree  of
  15836. assurance that it is correct.
  15837.  
  15838.      The hardware and software components of a computer sys-
  15839. tem  implementing  a reference monitor meeting these princi-
  15840. ples is called a ``security kernel'', defined in  the  TCSEC
  15841. Glossary  as ``the hardware, firmware, and software elements
  15842. of a Trusted Computing Base  that  implement  the  reference
  15843. monitor concept.  It must mediate all accesses, be protected
  15844.                                   ___
  15845. from modification, and be verifiable as correct''.
  15846.  
  15847.      From this definition, it is apparent that a  ``security
  15848. kernel''  (if  there  is one) is always part of the TCB of a
  15849. computer system, defined as  ``the  totality  of  protection
  15850. mechanisms  within  a  computer system - including hardware,
  15851. firmware, and software - the combination of which is respon-
  15852. sible  for  enforcing a security policy ... the ability of a
  15853. Trusted Computing Base to correctly enforce a security  pol-
  15854. icy  depends  solely on the mechanisms within the TCB and on
  15855. the correct input  by  system  administrative  personnel  of
  15856. parameters  (e.g.,  a users' clearance) related to the secu-
  15857. rity policy.'' In particular, the TCB includes those mechan-
  15858. isms  involved in the implementation of supporting policies,
  15859. while the (included) security kernel (if there  is  one)  is
  15860. involved  only  with the enforcement of access control poli-
  15861. cies.
  15862.  
  15863. B.7.2.  Network Trusted Computer Base and Reference Monitor
  15864. _ _ _   _______ _______ ________ ____ ___ _________ _______
  15865.  
  15866.      The notions of a TCB, and, for  the  higher  evaluation
  15867. classes,  security  kernel  and  reference monitor can, with
  15868. suitable interpretation, be applied directly to the  evalua-
  15869. tion  of  trusted  networks  without significant change.  In
  15870. particular,  the  Network  Trusted  Computing  Base  can  be
  15871. defined  as the totality of protective mechanisms within the
  15872. network (including mechanisms  provided  by  connected  host
  15873. systems)  responsible  for  enforcing the (overall) security
  15874. policy.  Implied in this definition  is  the  strong  notion
  15875. that an evaluated network has a single NTCB, as the NTCB is,
  15876.                                 ______
  15877. by definition, the totality of  enforcement  mechanisms  for
  15878.                    ________
  15879. the stated policy.
  15880.  
  15881.      For the higher evaluation classes the  TCSEC  requires,
  15882. in  effect,  that a reference monitor be implemented as part
  15883. of the TCB.  This, at least in theory, is not the only  con-
  15884. ceivable technology for implementing a highly-assured system
  15885. (one  could  envision  a  completely  verified  system,  for
  15886. instance);  however, it appears to be the only current tech-
  15887. nology with a proven track record, and  within  the  current
  15888. state-of-the-art to be able to be implemented economically.
  15889.  
  15890.      For these reasons, the Part I of the TNI takes a  prag-
  15891. matic  stance  with regard to specifying interpretations for
  15892. Trusted Networks: that the TCSEC notions of ``reference mon-
  15893. itor''  and  ``security  kernel''  be applied in the network
  15894. system context with as little change  as  possible  for  the
  15895. higher  evaluation  classes.   We  therefore assume that the
  15896. NTCB of a Trusted Network of class B2 or above must  contain
  15897. the  physical realization of a reference monitor which medi-
  15898. ates all references within the networked system of  subjects
  15899. to  objects,  is tamperproof, and is small enough, in aggre-
  15900. gate, to validate.
  15901.  
  15902. B.7.3.  NTCB Partitions
  15903. _ _ _   ____ __________
  15904.  
  15905.      The view taken of a ``network system''  throughout  the
  15906. TNI  is  that  the  network  can  be partitioned into ``com-
  15907. ponents'', each of which has various processing and communi-
  15908. cation  capabilities.  Given such a decomposition, the func-
  15909. tions of the NTCB must be allocated in some coherent way  to
  15910. the various components of the network.
  15911.  
  15912.      The following terminology is introduced:  the  totality
  15913. of hardware, firmware, and software mechanisms within a sin-
  15914. gle network component which is responsible for enforcing the
  15915. security policy of the network, is called the NTCB partition
  15916. within that component.  As the collection  of  network  com-
  15917. ponents and communication channels is meant to be exhaustive
  15918. (i.e., every part of the network system, including hosts, is
  15919. accounted  for)  and  disjoint  (i.e.,  no  parts are shared
  15920. between components), the NTCB partitions collectively are  a
  15921. true  partition  of  the  NTCB; they are non-overlapping and
  15922. complete.
  15923.  
  15924.      For Mandatory Access Control Policy, a large and useful
  15925. class  of  networks  can be envisioned, which allows a clean
  15926. decomposition of the NTCB into NTCB partitions.  The result-
  15927. ing  partitions  can be evaluated relative to enforcement of
  15928. mandatory access controls using conservative interpretations
  15929. of  the  TCSEC,  and  the  correctness of the composition of
  15930. these components into a network enforcing the overall policy
  15931. for mandatory access controls is easily confirmable as well.
  15932. For sponsors wishing to obtain an overall  evaluation  class
  15933. for  a  network  system,  such  a  ``partitionable'' network
  15934. architecture should be chosen.
  15935.  
  15936.      Concisely, the network architecture must have the  fol-
  15937. lowing  salient  features:  (1)  subjects and objects within
  15938. multilevel processing components are given the  usual  TCSEC
  15939. interpretation;   (2)  subjects  and  objects  are  confined
  15940. within their individual components, i.e.,  no  subjects  may
  15941. directly  access  information  within  a different component
  15942. ________
  15943. (In practice, this means there are no  directly  accessible,
  15944. shared  memory  registers); and (3) information representing
  15945. the access-relevant  security  state  of  the  subjects  and
  15946. objects  within  a  component,  is maintained locally by the
  15947. NTCB partition of that component.  (It may be the case  that
  15948. information representing the components state may be distri-
  15949. buted to other components for the purpose of overall network
  15950. control,  recovery,  etc.   but  the  decision  to permit or
  15951. prohibit access is always made  locally,  based  on  locally
  15952. available state information.
  15953.  
  15954.      A network of host processors and peripherals, intercon-
  15955. nected  according  to these rules, may be roughly described,
  15956. with regard to security, as a network of ``loosely-coupled''
  15957. security  kernels.   Each security kernel is autonomous with
  15958. regard to the accesses made locally (i.e., within  the  com-
  15959. ponent  whose  resources the reference monitor controls).  A
  15960. subject within one component may transmit  data,  under  the
  15961. control of the two security kernels, to a subject in another
  15962. component.  However, the basic principle to be seen at  this
  15963. point  is  the  following:  because  all  accesses are local
  15964. (i.e., constrained to be by a subject within a component  to
  15965. an  object within that component), all accesses are mediated
  15966. by the security kernel within a component.  Thus, the total-
  15967. ity of all of the security kernels within the system is ade-
  15968. quate to mediate all accesses made within the system.
  15969.  
  15970. B.8.  Summary and Conclusions
  15971. _ _   _______ ___ ___________
  15972.  
  15973.      In this Appendix, the rationale for the partitioning of
  15974. the  NTCB  into  a  set of cooperating, loosely-coupled NTCB
  15975. partitions has been presented.  Each NTCB partition  may  be
  15976. viewed  as a locally autonomous reference monitor, enforcing
  15977. the access of local subjects to local objects  and  devices.
  15978. Because the partitioning is carefully constrained to reflect
  15979. the lack of sharing  of  objects  among  components,  (while
  15980. allowing  the transmission of information between components
  15981. through shared physical media),  the  aggregate  of  locally
  15982. autonomous  NTCB  partitions  is  adequate  to  mediate  all
  15983. accesses of subjects to objects and thus is adequate to form
  15984. the  basis  for  a  reference monitor for the entire network
  15985. system.  Under the conditions of loose coupling assumed, the
  15986. specification  of  a  network-wide Security Policy, properly
  15987. interpreted as an individual Formal  Security  Policy  Model
  15988. for  each  component  enforcing access controls, suffices to
  15989. provide the basis for  demonstrations  that  each  component
  15990. meets  the  requirements of the Security Policy.  The postu-
  15991. lated network architecture and design (that are presented by
  15992. the  network  sponsor)  suffices  to allow evaluation of the
  15993. supporting policy capabilities required to attain  the  tar-
  15994. geted evaluation class.
  15995.  
  15996.  
  15997.                         APPENDIX C
  15998.                         ________ _
  15999.  
  16000.  
  16001.              Interconnection of Accredited AIS
  16002.              _______________ __ __________ ___
  16003.  
  16004.  
  16005.  
  16006. C.1.  Purpose
  16007. _ _   _______
  16008.  
  16009.      As was discussed in the Introduction to this  document,
  16010. there  are  many  "networks"  that  can  not be meaningfully
  16011. evaluated as a ``single trusted system''  because  they  are
  16012. sufficiently   complex  and  heterogeneous  that  no  single
  16013. evaluation rating can adequately reflect the trust that  can
  16014. be  placed in the "network". The purpose of this Appendix is
  16015. to provide guidance concerning how to  interconnect  systems
  16016. in  such  a  way  that  mandatory  security policies are not
  16017. violated.
  16018.  
  16019. C.1.1.  Problem Statement
  16020. _ _ _   _______ _________
  16021.  
  16022.      The  interconnected  accredited  Automated  Information
  16023. System (AIS) view is an operational perspective which recog-
  16024. nizes  that  parts  of  the  network  may  be  independently
  16025. created, managed, and accredited.  Interconnected accredited
  16026. AIS consist of  multiple  systems  (some  of  which  may  be
  16027. trusted) that have been independently assigned accreditation
  16028. ranges, reflecting the various sensitivity levels of  infor-
  16029. mation  that may be simultaneously processed on that system.
  16030. In this view, the individual AIS may be thought of as  "dev-
  16031. ices"  with  which  neighboring systems can send and receive
  16032. information.  Each AIS is  accredited  to  handle  sensitive
  16033. information at a single level or over a range of levels.
  16034.  
  16035.      An example of when the  interconnected  accredited  AIS
  16036. view  is necessary is a network consisting of two A1 systems
  16037. and two B2 systems, all of which are interconnected and  all
  16038. of  which may be accessed locally by some users.  It is easy
  16039. to see that, if we regard this as a single  trusted  system,
  16040. it  would  be  impossible for it to achieve a rating against
  16041. Part I of this document higher than B2. This might not be an
  16042. accurate reflection of the trust that could be placed in the
  16043. two A1 systems and interconnections between them.  The  sin-
  16044. gle  rating of B2 assigned to this network could be mislead-
  16045. ing.
  16046.  
  16047.      While it provides much less information about a  system
  16048. than  does a meaningful evaluation rating, taking the inter-
  16049. connected accredited AIS view of the network  provides  gui-
  16050. dance on appropriate interconnection strategies.
  16051.  
  16052. C.1.2.  Component Connection View and Global Network View
  16053. _ _ _   _________ __________ ____ ___ ______ _______ ____
  16054.  
  16055.      There are two aspects of the Interconnected  Accredited
  16056. AIS view of a network that must be addressed:  the component
  16057. connection view and the  global  network  view.   These  two
  16058. views  are  discussed  below and will be examined in greater
  16059. detail later in this Appendix.
  16060.  
  16061.      Any AIS that is connected to other AIS must enforce  an
  16062. "Interconnection Rule" that limits the sensitivity levels of
  16063. information that it may send or  receive.   Using  the  com-
  16064. ponent connection view, each component responsible for main-
  16065. taining the separation of  multiple  levels  of  information
  16066. must  decide  locally whether or not information can be sent
  16067. or received.  This view, then, does not require a  component
  16068. to  know the accreditation ranges of all other components on
  16069. the network; only of its immediate  neighbors  (i.e.,  those
  16070. with which it can communicate without an intermediary).
  16071.  
  16072.      In addition to the Interconnection Rule, there  may  be
  16073. other  constraints  placed  on a network to combat potential
  16074. security problems.  The global network  view  is  a  way  of
  16075. addressing  some  of  the other constraints placed on a net-
  16076. work.  This view requires one to have  a  knowledge  of  the
  16077. accreditation ranges of all components of the system.  These
  16078. accreditation ranges are taken into account when determining
  16079. whether  or  not a component should be allowed to connect to
  16080. the system.  In this way,  the  potential  damage  that  can
  16081. occur  when  information  is  compromised or modified can be
  16082. limited to an acceptable level.
  16083.  
  16084.      An example of a problem for which  constraints  may  be
  16085. placed on the network is what is called the "Cascading Prob-
  16086. lem."  This occurs when AIS are interconnected in such a way
  16087. that  the  potential  damage from unauthorized disclosure or
  16088. modification is above  an  acceptable  level.   The  network
  16089. sponsor  may wish to limit the damage that can occur by lim-
  16090. iting the accreditation ranges of AISs that can be intercon-
  16091. nected.
  16092.  
  16093. C.2.  Accreditation Ranges and the Interconnection Rule
  16094. _ _   _____________ ______ ___ ___ _______________ ____
  16095.  
  16096. C.2.1.  Accreditation Ranges
  16097. _ _ _   _____________ ______
  16098.  
  16099.      The AIS accreditation range reflects the  judgement  of
  16100. the  accreditor on the ability of the component to appropri-
  16101. ately segregate and manage information with respect  to  its
  16102. network  connections  in  accord  with the designated sensi-
  16103. tivity levels.  An ADP system that has been  accredited  for
  16104. (stand-alone)  system  high  operation  would be assigned an
  16105. accreditation range having a single sensitivity level  equal
  16106. to  the  system high sensitivity level of the system. Such a
  16107. system is not relied upon to segregate  the  several  actual
  16108. levels   of  information  processed.   All  the  information
  16109. exported from  such  a  system  must  be  labeled  with  the
  16110. system-high  sensitivity  label  until  there is a competent
  16111. manual  review  to  assign  a  lower  level.   A  multilevel
  16112. (stand-alone)  AIS  might be assigned an accreditation range
  16113. equal to the entire set of levels processed.  In this  case,
  16114. the  label of the exported data is equal to the actual level
  16115. of the data processed within the accredited range.
  16116.  
  16117.      In a network context, the  accreditation  range  bounds
  16118. the  sensitivity  levels  of  information  that  may be sent
  16119. (exported) to or received (imported) from other  components.
  16120. If  a network has only dedicated and system-high components,
  16121. each component will be assigned single-valued  accreditation
  16122. ranges  (i.e., an accreditation range consisting of one sen-
  16123. sitivity level).
  16124.  
  16125.      Consider an example, illustrated in  Figure  C1,  which
  16126. uses  accreditation  ranges  along with an approach based on
  16127. the Environmental Guidelines.- Component A  is  a  class  B2
  16128.     _____________ __________
  16129. system  and  has  an  accreditation  range  of  CONFIDENTIAL
  16130. through SECRET.  Component B is a class A1 system and has an
  16131. accreditation  range  of  CONFIDENTIAL  through  TOP SECRET.
  16132. Thus, if Component A has a direct connection to Component B,
  16133. the accreditation ranges provide a basis for both components
  16134. to be assured that  any  data  sent  or  received  will  not
  16135. "exceed" (that is, will be dominated by) SECRET in its clas-
  16136. sification.
  16137.  
  16138.        Figure C1.  Accreditation Ranges Illustrated
  16139.        ______ __   _____________ ______ ___________
  16140.  
  16141. (Note:  Figure not included)
  16142.  
  16143.  
  16144.  
  16145. C.2.2.  Interconnection Rule
  16146. _ _ _   _______________ ____
  16147.  
  16148.      A multilevel network is one in which some users do  not
  16149. have the necessary clearances for all information processed.
  16150. A multilevel network therefore is one that processes a range
  16151. of sensitive information, which must be protected from unau-
  16152. thorized disclosure or modification.
  16153.  
  16154.      Each  component  of  the  network  must  be  separately
  16155. accredited to operate in an approved security mode of opera-
  16156. tion and for a specific accreditation range.  The  component
  16157. is  accredited to participate in the network at those levels
  16158. and only those levels.
  16159.  
  16160.      According to this definition, a multilevel network  may
  16161. comprise a mixture of dedicated, system high, compartmented,
  16162. controlled, and multilevel components,  where  two  or  more
  16163. differ  in  their  classification categories and/or compart-
  16164. ments, and/or some users  do  not  have  all  formal  access
  16165. approvals.
  16166.  
  16167.      The following requirement must  be  met  in  multilevel
  16168. networks.
  16169. _________________________
  16170.   - Security Requirements:  Guidance for  Applying  the
  16171.     ________ ____________   ________ ___  ________  ___
  16172. Department  of  Defense Trusted Computer System Evalua-
  16173. __________  __  _______ _______ ________ ______ ______
  16174. tion Criteria in Specific Environments,CSC-STD-003-85
  16175. ____ ________ __ ________ ____________
  16176.  
  16177.  
  16178.  
  16179. C.2.2.1.  Information Transfer Restrictions
  16180. _ _ _ _   ___________ ________ ____________
  16181.  
  16182.      Each I/O device used by  an  AIS  to  communicate  with
  16183. other  AIS must have a device range associated with it.  The
  16184. device range may be a single level, or it may be  a  set  of
  16185. levels  (in  which  case  the  device is referred to as mul-
  16186. tilevel), and it must be included within the AIS  accredita-
  16187. tion range.
  16188.  
  16189.      Information exported or imported using  a  single-level
  16190. device  is  labeled  implicitly by the security level of the
  16191. device.  Information exported from one multilevel device and
  16192. imported  at  another must be labeled through an agreed-upon
  16193. protocol, unless it is labeled implicitly by using a commun-
  16194. ication link that always carries a single level.
  16195.  
  16196.      Information exported at a given security level  can  be
  16197. sent only to an importing device whose device range contains
  16198. that level or a higher level.  If the importing device range
  16199. does  not  contain the given level, the information is rela-
  16200. beled upon reception at a higher level within the  importing
  16201. device range.  Relabeling should not occur otherwise.
  16202.  
  16203. C.2.2.2.  Discussion
  16204. _ _ _ _   __________
  16205.  
  16206.      The purpose of device labels is  to  reflect  and  con-
  16207. strain the security levels of information authorized for the
  16208. physical environment in which the devices are located.
  16209.  
  16210.      The information transfer  restrictions  permit  one-way
  16211. communication (i.e., no acknowledgements) from one device to
  16212. another whose ranges have no level in  common,  as  long  as
  16213. each  level in the sending device range is dominated by some
  16214. level in the receiving device range.  It is never  permitted
  16215. to send information at a given level to a device whose range
  16216. does not contain a dominating level.
  16217.  
  16218.      It is not necessary for an AIS sending  information  to
  16219. another  AIS through several other AISs to know the accredi-
  16220. tation range of the destination system, but it may be  bene-
  16221. ficial  to network performance; if the originator knows that
  16222. the information cannot be delivered, then it will not try to
  16223. send it and network resources will not be used fruitlessly.
  16224.  
  16225.      In the case  of  interconnected  accredited  AISs,  the
  16226. accreditation of a component system and the device ranges of
  16227. its  network  interface  devices  are  set  by  a  component
  16228. administrator  in  agreement with the network administrator.
  16229. These ranges are generally static, and any change in them is
  16230. considered to be a reconfiguration of the network.
  16231.  
  16232.      In summary, then, if the Interconnection Rule  is  fol-
  16233. lowed,  information  will never be improperly sent to a com-
  16234. ponent that is not accredited to handle information of  that
  16235. sensitivity.
  16236.  
  16237.  
  16238. C.3.  The Global Network View
  16239. _ _   ___ ______ _______ ____
  16240.  
  16241.      The above rule applies for  communication  between  any
  16242. two  (or  more)  accredited  systems.   However, it does not
  16243. enforce any of the additional constraints that may be placed
  16244. on  a network.  Even when all components have been evaluated
  16245. (either against the TCSEC, or against  Appendix  A  of  this
  16246. document),  and  the interconnection rule is followed, there
  16247. may be  other  potential  security  problems.  In  order  to
  16248. address  these  problems,  it is necessary to adopt a global
  16249. view of the network.  That is, it is no longer  determinable
  16250. locally whether or not a constraint is being satisfied.
  16251.  
  16252.      Two global concerns will be discussed below.  One  con-
  16253. cern is the propagation of local risk; the other is the cas-
  16254. cading problem.
  16255.  
  16256. C.3.1.  Propagation of Local Risk
  16257. _ _ _   ___________ __ _____ ____
  16258.  
  16259.      The Environmental Guidelines recommend minimum  classes
  16260. of trusted systems for specific environments.  The recommen-
  16261. dations represent an  informed  technical  judgment  on  the
  16262. minimum architectural requirements and assurance appropriate
  16263. to counter a specific level of risk.
  16264.  
  16265.      In many  cases,  operational  needs  have  led  to  the
  16266. accreditation of systems for multilevel operation that would
  16267. not meet the requirements of the recommended  class.   While
  16268. the increased risk may be accepted by the users of a partic-
  16269. ular AIS, connection of such an AIS  to  a  network  exposes
  16270. users  of  all  other  AISs in the network to the additional
  16271. risk.
  16272.  
  16273.      Consequently, when an unevaluated AIS, or one that does
  16274. not  meet  the  class  recommended for its accreditation, is
  16275. proposed for connection to a network, constraints should  be
  16276. considered,  such  as  one-way connections, manual review of
  16277. transmissions, cryptographic isolation, or other measures to
  16278. limit the risk it introduces.
  16279.  
  16280. C.3.2.  The Cascading Problem
  16281. _ _ _   ___ _________ _______
  16282.  
  16283.      One of the problems that the interconnection rule  does
  16284. not address is the cascading problem.  The cascading problem
  16285.                    _________ _______
  16286. exists when a penetrator can take advantage of network  con-
  16287. nections  to  compromise information across a range of secu-
  16288. rity levels that is greater than the accreditation range  of
  16289. any  of the component systems he must defeat to do so.  Cas-
  16290. cading is possible in any connected network that processes a
  16291. greater  range  of  security levels than any one of its com-
  16292. ponent systems is accredited to handle, and it  is  possible
  16293. in others as well.
  16294.  
  16295.      As an example of the cascading  problem,  consider  two
  16296. systems,  each of which is accredited to handle two adjacent
  16297. classifications of  information,  as  shown  in  Figure  C2.
  16298. System  A  processes  SECRET and TOP SECRET information, and
  16299. all users are cleared to at least the SECRET level.   System
  16300. B  processes  CONFIDENTIAL  and  SECRET information, and all
  16301. users are cleared to at least the CONFIDENTIAL level.
  16302.  
  16303.      While the risk of compromise in each of  these  systems
  16304. is  small  enough  to  justify  their use with two levels of
  16305. information, the system as  a  whole  has  three  levels  of
  16306. information,  increasing  the  potential  harm that could be
  16307. caused by a compromise.  When they  are  connected  so  that
  16308. SECRET  information  can pass from one to the other, a pene-
  16309. trator able to defeat the  protection  mechanisms  in  these
  16310. systems  can  make  TOP  SECRET information available at the
  16311. CONFIDENTIAL level.
  16312.  
  16313.         Figure C2.  Cascade Problem, Illustration 1
  16314.         ______ __   _______ _______  ____________ _
  16315.  
  16316. (Note:  Figure not included)
  16317.  
  16318.  
  16319.  
  16320.      Consider this chain of events:  a penetrator (1)  over-
  16321. comes the protection mechanism in System A to downgrade some
  16322. TOP SECRET information to SECRET; (2) causes  this  informa-
  16323. tion  to be sent over the network to System B; and (3) over-
  16324. comes the protection mechanism in System B to downgrade that
  16325. same  information  to  CONFIDENTIAL.   This is the cascading
  16326. problem.
  16327.  
  16328. C.3.2.1.  Problem Identification
  16329. _ _ _ _   _______ ______________
  16330.  
  16331.      There are various approaches, with different degrees of
  16332. complexity  and  precision, for recognizing a potential cas-
  16333. cading problem.  Two of these approaches will  be  addressed
  16334. in  this  Appendix.   The first is a fairly simple test that
  16335. can ensure that a network does not have a cascading problem:
  16336.                                ___
  16337. the  nesting  condition.   The  second, discussed in Section
  16338.      _______  _________
  16339. C.4, is a less conservative but much more complex  heuristic
  16340. that  takes into account the connectivity of the network and
  16341. the evaluation classes of the component AIS.
  16342.  
  16343.      The nesting condition is satisfied if the accreditation
  16344. ranges  of every two AISs are either disjoint (have no level
  16345. in common) or nested,  i.e.,  one  is  included  within  the
  16346. other.   In  most  cases, the nesting condition is enough to
  16347. determine whether there is a  cascading  problem.   However,
  16348. this  is a somewhat conservative test; there are cases where
  16349. the nesting condition fails, but there is actually  no  cas-
  16350. cading problem.
  16351.  
  16352.      Example 1:  Consider the situation illustrated in  Fig-
  16353. ure  C1.   The  accreditation range of Component A is nested
  16354. within that of Component B (i.e.,  C-S  is  completely  con-
  16355. tained  within  C-TS).   Therefore, the nesting condition is
  16356. satisfied, and there is no cascading problem.
  16357.  
  16358.      Example 2:  Consider the situation illustrated in  Fig-
  16359. ure  C2.   The accreditation ranges of System A and System B
  16360. are not disjoint; neither is one completely contained within
  16361. the  other.   Therefore,  the nesting condition fails, and a
  16362. cascading condition is indicated.
  16363.  
  16364.      Example 3:  Consider the situation illustrated in  Fig-
  16365. ure  C3. Again, the nesting condition does not hold, because
  16366. the accreditation range of System B is neither disjoint from
  16367. nor  contained in that of Systems A and C.  A cascading con-
  16368. dition is thus indicated.  However, it will be  shown  below
  16369. in  this Appendix that Figure C3 actually does not contain a
  16370. cascading condition, due to the presence of  the  end-to-end
  16371. encryption devices.
  16372.  
  16373. C.3.2.2.  Solutions
  16374. _ _ _ _   _________
  16375.  
  16376.      When a cascading problem is to be addressed, there  are
  16377. several  ways  to  do  so.   One  solution  is to use a more
  16378. trusted system at appropriate nodes in the network, so  that
  16379. a penetrator will be forced to overcome a protection mechan-
  16380. ism commensurate  with  the  seriousness  of  the  potential
  16381. compromise.  In the example depicted in Figure C2, If either
  16382. system A or system B is evaluated at class B3, which is suf-
  16383. ficient  according  to  the  Environmental  Guidelines for a
  16384. range of TOP SECRET to CONFIDENTIAL, then the penetrator  is
  16385. presented with an acceptable level of difficulty.
  16386.  
  16387.      Another possible solution is to eliminate certain  net-
  16388. work  connections,  either physically or by means of end-to-
  16389. end encryption. End-to-end encryption allows hosts that need
  16390. to  communicate  to  do  so,  while  eliminating  additional
  16391. unnecessary cascading risk on  the  path  from  one  to  the
  16392. other.
  16393.  
  16394. Figure C3.  Cascade Problem, Illustration 2 (End-to-End Encryption)
  16395. ______ __   _______ _______  ____________ _  ___ __ ___ __________
  16396.  
  16397. (Note:  Figure not included)
  16398.  
  16399.  
  16400.  
  16401.      In Figure C3, suppose that System A needs only to  com-
  16402. municate  with System C, and B is just an intermediate node.
  16403. The possible cascade from TOP SECRET in A to CONFIDENTIAL in
  16404. B can be avoided by applying end-to-end encryption from A to
  16405. C, since encrypted data from A can be released at the CONFI-
  16406. DENTIAL level in B without compromise.
  16407.  
  16408.      Note that end-to-end encryption is of no  help  in  the
  16409. Figure  C2  example,  since the systems participating in the
  16410. cascade were required to communicate.
  16411.  
  16412.      In some situations where the potential for a  cascading
  16413. problem  exists,  the risk of its occurrence is actually not
  16414. significant. A penetration making  use  of  network  connec-
  16415. tions,  as  described above, generally requires coordination
  16416. between attacks on two connected systems.  It may be  possi-
  16417. ble  to  determine,  in individual cases, that opportunities
  16418. for this  kind  of  coordination,  in  the  form  of  common
  16419. software  or  common  users,  are  unlikely.  One might then
  16420. disregard cascading over the connections in question.
  16421.  
  16422.      On a more global scale, one might  divide  the  network
  16423. into communities, with respect to the possibility of cascad-
  16424. ing.  If connections between one community and another  were
  16425. believed  not  to support a cascade threat, then a cascading
  16426. analysis would be performed only within each community.
  16427.  
  16428. C.3.2.3.  Networks of Evaluated Systems
  16429. _ _ _ _   ________ __ _________ _______
  16430.  
  16431.      If the systems to be  interconnected  can  be  assigned
  16432. evaluation classes, the ratings of these systems can be used
  16433. as input to analysis procedures for  detecting  the  cascade
  16434. problem  and  testing proposed solutions.  The first step in
  16435. developing analysis procedures is  to  define  formally  the
  16436. conditions  necessary  for the absence or presence of a cas-
  16437. cade problem.
  16438.  
  16439.      An assertion  called  the  Cascade  Condition  will  be
  16440.                                 _______  _________
  16441. defined  below.   A network satisfying the Cascade Condition
  16442. does not have a cascade problem.  This condition  is  stated
  16443. in  terms  of  the  evaluation ratings of the interconnected
  16444. systems and the direction and sensitivity level  of  connec-
  16445. tions between them.
  16446.  
  16447.      Some definitions are needed in order to state the  cas-
  16448. cade  condition  formally.   The  terminology given below is
  16449. meant to be used only in the context of this section.
  16450.  
  16451.      A protection region is a pair (h,s) such that  h  is  a
  16452.        __________ ______            _ _             _
  16453. network  component and s is a sensitivity level processed by
  16454.                        _
  16455. component h.
  16456.           _
  16457.  
  16458.      A  step  is  an  ordered  pair  of  protection  regions
  16459.         ____
  16460. (h1,s1), (h2,s2) such that either
  16461.  __ __    __ __
  16462.  
  16463. 1.      s1 = s2 and h1 sends to h2 at level  s1  (a  network
  16464.         __   __     __          __           __
  16465.         link), or
  16466.  
  16467. 2.      h1 = h2 (an information flow within a component).
  16468.         __   __
  16469.  
  16470.      A path is a sequence of protection  regions  such  that
  16471.        ____
  16472. each consecutive pair of regions is a step.
  16473.  
  16474.      A path is a sequence of protection regions that may  be
  16475. traversed,  step  by  step, by data.  A step along a network
  16476. link is possible either when there is  a  direct  communica-
  16477. tions   link  from  one  component  to  the  other  carrying
  16478. information at a given level, or when there is an  indirect,
  16479. end-to-end  encrypted  connection in which intermediate com-
  16480. ponents are unable to read the data.   A  step  between  two
  16481. regions  in  the same component may be (but does not have to
  16482. be) a covert channel.
  16483.  
  16484.      Given a host h, let L(h) be the  minimum  clearance  of
  16485.                   _      _ _
  16486. users  of  h.   Given a sensitivity level s, one can use the
  16487.            _                              _
  16488. Environmental Guidelines to determine the minimum evaluation
  16489. class  C(s,h) required for a system with the associated risk
  16490.        _ _ _
  16491. index. The requirement for open environments should be  used
  16492. unless  all systems on the path are closed. Note that C(s,h)
  16493.                                                       _ _ _
  16494. will be at least B1 if the risk index associated with s  and
  16495.                                                       _
  16496. L(h) is greater than zero.
  16497. _ _
  16498.  
  16499.      With these definitions, we can now  state  the  Cascade
  16500.                                                      _______
  16501. Condition:
  16502. _________
  16503.  
  16504.      For any path (h1,s1),...,(hn,sn) such that sn  =  L(hn)
  16505.                    __ __       __ __            __     _ __
  16506. and  C(s1,hn)  is at least B1, there must exist at least one
  16507.      _ __ __
  16508. step (hi,si),(hi+1,si+1) such that hi = hi+1, the evaluation
  16509.       __ __   __ _ __ _            __   __ _
  16510. class of hi is at least C(s1,hn), and si is not dominated by
  16511.          __             _ __ __       __
  16512. si+1.
  16513. __ _
  16514.  
  16515.      This condition can be paraphrased by saying that  every
  16516. path  that  might  compromise  data of level s1 by making it
  16517.                                              __
  16518. available to an insufficiently cleared user of hn must over-
  16519.                                                __
  16520. come  the  protection  mechanism  in a component of class at
  16521. least C(s1,hn).
  16522.       _ __ __
  16523.  
  16524. C.4.  EXAMPLE: An Heuristic Procedure for Determining if an
  16525. _ _   _______  __ _________ _________ ___ ___________ __ __
  16526. Interconnection Should Be Allowed
  16527. _______________ ______ __ _______
  16528.  
  16529.      There should be some way of determining whether a  sys-
  16530. tem  has  a  risk index that is too great for its evaluation
  16531. rating (and  the  evaluation  ratings  of  its  components).
  16532. Given the goal of not allowing a greater risk than is recom-
  16533. mended by the Environmental Guidelines, the following is  an
  16534. heuristic  algorithm that has been developed to examine sys-
  16535. tems and determine if they fall within the bounds prescribed
  16536. by  the  Environmental  Guidelines.   (In formal terms, this
  16537. algorithm is an approximate test for the Cascade  Condition,
  16538. described above.)  It should be noted that this algorithm is
  16539. not intended to be prescriptive:  it is merely  one  way  of
  16540. examining  the problem.  There are doubtless many other ways
  16541. that are just as valid.
  16542.  
  16543.      Furthermore, as any heuristic algorithm, this cannot be
  16544. derived  from first principles.  It has been derived largely
  16545. through trial and  error;  it  produces  reasonable  results
  16546. (e.g., it disallows systems when it seems prudent; it recom-
  16547. mends levels  of  security  that  are  consistent  with  the
  16548. Environmental Guidelines).
  16549.  
  16550.      This algorithm should not be taken to be anything  more
  16551. than intended; it does not magically solve all network secu-
  16552. rity problems. It does, however, provide useful guidance and
  16553. recommendations  as to the prudence of interconnecting vari-
  16554. ous systems.
  16555.  
  16556.      The following describes an  algorithm  for  determining
  16557. whether  or  not a given network, composed of evaluated com-
  16558. ponents, meets the  risk  categories  of  the  Environmental
  16559. Guidelines.   The algorithm is based on the idea of dividing
  16560. up a network into groups (where a group is defined to  be  a
  16561. group  of  components that can potentially exchange informa-
  16562. tion i.e., send and receive data  at  a  common  sensitivity
  16563. level,  and  have  an  evaluation  Class at or below a given
  16564. level).
  16565.  
  16566.      The risk presented by any given group can  be  compared
  16567. to  the  maximum allowed risk, as defined by the Yellow Book
  16568. for a system at the given evaluation class, to determine  if
  16569. any community presents an unacceptable risk.
  16570.  
  16571. 1.      Create a Network Table listing all components within
  16572.         the  network.  This  table, illustrated in Table C1,
  16573.         should include  for  each  component  the  following
  16574.         information:   Component ID, Evaluation Class, Range
  16575.         of Security Classifications at which  the  component
  16576.         sends data to the network, List of Security Classif-
  16577.         ications at which the component receives  data  from
  16578.         the  network,  Maximum  of  (highest  level  of data
  16579.         received from network and highest level of data pro-
  16580.         cessed  by  component), Minimum of (clearance of the
  16581.         user with the lowest clearance  of  the  users  with
  16582.         direct  access  to the component and lowest level of
  16583.         data sent to the network from the component).
  16584.  
  16585.                     Table C1.  Example Entry:
  16586.                     _____ __   _______ _____
  16587.  
  16588.  
  16589.               (Note:  Table not included)
  16590.  
  16591.  
  16592.  
  16593. 2.      Produce a Network Table Evaluation Class, a  Network
  16594.         Table Maximum and a Network Table Minimum.  The Net-
  16595.         work Table Evaluation  Class  will  be  the  highest
  16596.         evaluation  class  of  any  component  listed in the
  16597.         table.  (In Table C1,  this  is  A1.)   The  Network
  16598.         Table  Maximum  will  be the maximum of the Maximums
  16599.         associated with all the  components  listed  in  the
  16600.         table  which  send  data  to  the network.  (This is
  16601.         determined by taking the highest entry in the  "Max-
  16602.         imum"  column;  in Table C1, it is TS.)  The Network
  16603.         Table Minimum will be the minimum  of  the  Minimums
  16604.         associated  with  all  the  components listed in the
  16605.         table which receive data from the network. (This  is
  16606.         determined   by  taking  the  lowest  entry  in  the
  16607.         "Minimum" column; in Table C1, this is FOUO.)
  16608.  
  16609. 3.      If the Network Table  Evaluation  Class  is  greater
  16610.         than  B1, (i.e,  A1, B3, or B2) then tables for each
  16611.         evaluation class lower than the Class of the Network
  16612.         Table, must be produced, down to table(s) for the C1
  16613.         class.  These  tables  will  be  produced  for  each
  16614.         evaluation  class by first listing any one component
  16615.         whose evaluation class is less than or equal to  the
  16616.         evaluation  class  for  the table.  Then, add to the
  16617.         table all components that meet all of the  following
  16618.         conditions:
  16619.  
  16620.         a)   They have an  evaluation  class  less  than  or
  16621.              equal to the class of the table.
  16622.  
  16623.         b)   They receive data from the network at  a  level
  16624.              that  is  being  sent  by  a  component  who is
  16625.              already in the table.
  16626.  
  16627.         c)   They send data to the network at a  level  that
  16628.              is  equal  to  or less than any node already in
  16629.              the table.
  16630.  
  16631. 4.      After all the tables have been constructed then  the
  16632.         Network Table Evaluation Class of each table is com-
  16633.         pared to the Maximum and Minimum for the Table  with
  16634.         regard  to  the rules specified by the Environmental
  16635.         Guidelines.
  16636.  
  16637. 5.      If all Tables satisfy the assurance requirements for
  16638.         the Environmental Guidelines then the Network passes
  16639.         the assurance requirements.  If any  of  the  Tables
  16640.         provide  a  greater  risk index than is permitted by
  16641.         the Environmental Guidelines then the  Network  pro-
  16642.         vides  a  high level of risk, and should not be con-
  16643.         nected as currently designed.
  16644.  
  16645.                       Table C2.  B2 TABLE 1
  16646.                       _____ __   __ _____ _
  16647.  
  16648.  
  16649.                    (Note:  Table not included)
  16650.  
  16651.  
  16652.  
  16653.                  Table C3. B2 TABLE 1, EXTENDED
  16654.                  _____ __  __ _____ _  ________
  16655.  
  16656.                    (Note:  Table not included)
  16657.  
  16658.  
  16659.                              Table C4:
  16660.                              _____ __
  16661.  
  16662.                      Table C4(a).  B2 TABLE 1
  16663.                      _____ __ _    __ _____ _
  16664.  
  16665.                    (Note:  Table not included)
  16666.  
  16667.  
  16668.                      Table C4(b).  B2 TABLE 2
  16669.                      _____ __ _    __ _____ _
  16670.  
  16671.                    (Note:  Table not included)
  16672.  
  16673.  
  16674. C.4.1.  Example B2 Table
  16675. _ _ _   _______ __ _____
  16676.  
  16677.      As an example consider Table C2.  This represents a  B2
  16678. table under construction with a single entry. If in the net-
  16679. work there existed another node which was  evaluated  at  B2
  16680. and  could receive and send at C-S, this node would be added
  16681. to the table, producing  Table  C3.  In  contrast  if  there
  16682. existed  in the network a B2 node that could receive at S-TS
  16683. but could only send at TS, this node would not be  added  to
  16684. Table  C3  but  could  be  used  to start a second B2 table.
  16685. There would then be a set  of  two  tables,  represented  in
  16686. Table C4.
  16687.  
  16688. C.4.2.  Sample Network and Tables
  16689. _ _ _   ______ _______ ___ ______
  16690.  
  16691.      A sample network is  illustrated  in  Figure  C4.   The
  16692. tables  that  are  produced for it are given in Tables C5(a)
  16693. through C5(h).
  16694.  
  16695.      Notice at the B2 level the network  is  represented  by
  16696. two  tables,  C5(b) and C5(c).  This is due to the fact that
  16697. one of the components (Component C) is a  receive-only  com-
  16698. ponent.   Such  components  will always end up in a table by
  16699. themselves due to the fact that they never  can  affect  the
  16700. security  of other nodes on the network.  (The only security
  16701. consideration to make with such components is  whether  they
  16702. are receiving data at a level dominated by the approved max-
  16703. imum processing level for the component.)
  16704.  
  16705.      Notice at the B1 level the components  are  each  in  a
  16706. table  by themselves (Tables C5(d), C5(e), and C5(f)).  This
  16707. is due to the fact that although  Component  B  may  receive
  16708. data from Component E, it never sends data to the network at
  16709. a level lower than that sent by E (i.e., B can only send TS,
  16710. never  Confidential  or  Unclassified).  Thus  there  is  no
  16711. "added" risk in having B receive data from E. If it were the
  16712. case  the  B could send data at a level lower than (or equal
  16713. to) E then they would be included in the  same  table  since
  16714. they present an added (or equal) risk.
  16715.  
  16716. C.5.  Environmental Considerations
  16717. _ _   _____________ ______________
  16718.  
  16719.      Because of the very nature of networks, it is necessary
  16720. to  say something about the assumptions made with respect to
  16721. physical and logical protection of network links.  While the
  16722. requirements stated in Part II of this document apply to the
  16723. single  trusted  system  view,  and  not  to  the   networks
  16724. addressed by this Appendix, the issues are also important in
  16725. the interconnected accredited AIS view. Therefore, this sec-
  16726. tion  presents  a brief description of some of the important
  16727. considerations.  The interested reader is referred  to  Part
  16728. II of this document for further detail.
  16729.  
  16730.      It is not, repeat, NOT the intent of this  Appendix  to
  16731. define  the  measures that are considered adequate under all
  16732. circumstances. Rather, it is to identify  the  requirements,
  16733. and  where  known,  common  methods of achieving the desired
  16734. protection.
  16735.  
  16736.      This Appendix establishes the requirement for integrity
  16737. protection  of  control information in unclassified networks
  16738. and the requirement to preserve the integrity of  both  con-
  16739. trol data and information in any other network.
  16740.  
  16741. C.5.1.  Communications Integrity
  16742. _ _ _   ______________ _________
  16743.  
  16744.      The accreditor(s)  will  define  transmission  accuracy
  16745. requirements  for  interconnecting two components.  All ele-
  16746. ments involved in the interconnection of the components will
  16747. demonstrate  either  by  testing  or by otherwise convincing
  16748. argument that they meet  the  requirements.  Since  absolute
  16749. transmission accuracy is not possible, a capability of test-
  16750. ing for, detecting  and  reporting  errors  will  be  demon-
  16751. strated.  Acceptable  methods of limiting errors include use
  16752. of cryptographic checksums, protected wireways, and reliable
  16753. delivery protocols used separately or in combination.
  16754.  
  16755.      Hardware and/or software will be provided that  can  be
  16756. used  to  periodically validate the correct operation of all
  16757. elements involved in  interconnecting  two  accredited  com-
  16758. ponents.
  16759.  
  16760.      Trusted communications paths will be  provided  between
  16761. network elements whenever secure element-to-element communi-
  16762. cations are  required.  (Initialization,  cryptographic  key
  16763. management,  change  of subject or object security levels or
  16764. access authorizations, etc.)
  16765.  
  16766. C.5.2.  Denial of Service
  16767. _ _ _   ______ __ _______
  16768.  
  16769.      The accreditor(s) will define denial of service  condi-
  16770. tions  relative to the services being provided by the inter-
  16771. connected components. Hardware and or software will be  pro-
  16772. vided to periodically assure the accessibility of the inter-
  16773. connected components.
  16774.  
  16775. C.5.3.  Data Content Protection
  16776. _ _ _   ____ _______ __________
  16777.  
  16778.      Where classified information or sensitive but unclassi-
  16779. fied  information  is to be exchanged between logically con-
  16780. nected components, it is the responsibility of each  of  the
  16781. DAAs  to  assure  that the content of their communication is
  16782.                            _______
  16783. protected from unauthorized observation.   Acceptable  means
  16784. of  providing this protection include cryptography, and Pro-
  16785. tected Wireline Distribution Systems (PWDS).
  16786.  
  16787.      Where the connection infrastructure is  operated  by  a
  16788. services organization for a number of different subscribers,
  16789. suitable communications protection may  be  offered  by  the
  16790. service  organization.  Regardless, it is the responsibility
  16791. of the individual DAA to determine whether  this  protection
  16792. is adequate for the information to be exchanged.
  16793.  
  16794.                 Figure C4.  A Sample Network
  16795.                 ______ __   _ ______ _______
  16796.  
  16797.                  (Note:  Figure not included)
  16798.  
  16799.  
  16800.  
  16801.          Component ID   Permitted Operations
  16802.  
  16803.             A           Send and Receive data from C through TS
  16804.             B           Send and Receive TS-only
  16805.             C           Can Receive only audit records,
  16806.                           all of which are treated as TS
  16807.             D           Can Send and Receive C through TS
  16808.             E           Can Send and Receive S-only
  16809.             F           Send and Receive S and TS data
  16810.  
  16811.  
  16812.  
  16813.                  Table C5(a).  NETWORK TABLE
  16814.                  _____ __ _    _______ _____
  16815.  
  16816.                      NETWORK TABLE EVAL CLASS = A1
  16817.                      NETWORK TABLE MAXIMUM = TS
  16818.                      NETWORK TABLE MINIMUM = C
  16819.                      ENVIRONMENTAL GUIDELINES RULING = OK
  16820.  
  16821.                  (Note:  Table not included)
  16822.  
  16823.  
  16824.  (Note:  since there are no B3 components, the B3 tables  are
  16825.  identical  to the B2 tables and are therefore not reproduced
  16826.  here.)
  16827.  
  16828.  
  16829.  Table C5(b).  B2 TABLE 1           Table C5(c). B2 TABLE 2
  16830.  _____ __ _    __ _____ _           _____ __ _   __ _____ _
  16831.  
  16832.  TABLE EVAL CLASS = B2              TABLE EVAL CLASS = B2
  16833.  TABLE MAXIMUM = TS                 TABLE MAXIMUM = TS
  16834.  TABLE MINIMUM = S                  TABLE MINIMUM = TS
  16835.  ENV. GUIDELINES RULING= OK         ENV. GUIDELINES RULING= OK
  16836.  
  16837.                         (Note:  Tables not included)
  16838.  
  16839.  
  16840.  
  16841.  Table C5(d). B1 TABLE 1              Table C5(e).  B1 TABLE 2
  16842.  _____ __ _   __ _____ _              _____ __ _    __ _____ _
  16843.  
  16844.  TABLE EVAL CLASS = B1              TABLE EVAL CLASS = B1
  16845.  TABLE MAXIMUM = S                  TABLE MAXIMUM = TS
  16846.  TABLE MINIMUM = S                  TABLE MINIMUM = TS
  16847.  ENV. GUIDELINES RULING = OK        ENV. GUIDELINES RULING = OK
  16848.  
  16849.  
  16850.                         (Note:  Table not included)
  16851.  
  16852.  
  16853.  
  16854.  
  16855.  
  16856.  
  16857.  
  16858.  
  16859.  
  16860.  
  16861.                           Acronyms
  16862.                           ________
  16863.  
  16864.  
  16865. ACL             -       Access Control List
  16866. ADP             -       Automatic Data Processing
  16867. AIS             -       Automated Information System
  16868. ARPANET         -       Advanced Research Projects Agency Network
  16869. COMSEC          -       Communications Security
  16870. CPU             -       Central Processing Unit
  16871. CRC             -       Cyclic Redundancy Code or Cyclic Redundancy Check
  16872. DAA             -       Designated Approving Authority
  16873. DBMS            -       Data Base Management System
  16874. DAC             -       Discretionary Access Control
  16875. DDN             -       Defense Data Network
  16876. DoD             -       Department of Defense
  16877. DoDIIS          -       Department of Defense Intelligence Information System
  16878. DOS             -       Denial-of-service
  16879. DTLS            -       Descriptive Top-Level Specification
  16880. E3              -       End-to-end Encryption
  16881. FTLS            -       Formal Top-Level Specification
  16882. FTP             -       File Transfer Protocol
  16883. IP              -       Internet Protocol
  16884. I S/A AMPE      -       Inter-Service/Agency Automatic Message Processing Exchange
  16885. ISDN            -       Integrated Services Digital Network
  16886. ISO             -       International Standards Organization
  16887. KDC             -       Key Distribution Center
  16888. LAN             -       Local Area Network
  16889. LRC             -       Longitudinal Redundancy Check
  16890. MAC             -       Mandatory Access Control
  16891. MDC             -       Manipulation Detection Code
  16892. MSM             -       Message Stream Modification
  16893. MWT             -       Maximum Waiting Time
  16894. NSA             -       National Security Agency
  16895. NTCB            -       Network Trusted Computing Base
  16896. OSI             -       Open System Interconnection
  16897. PABX            -       Private Automated Branch Exchange
  16898. PDU             -       Protocol Data Unit (a.k.a. packet, datagram)
  16899. PKC             -       Public Key Cryptosystem
  16900. PWDS            -       Protected Wireline Distribution System
  16901. ROM             -       Read Only Memory
  16902. SACDIN          -       Strategic Air Command Digital Network
  16903. TAC             -       Terminal Access Controller
  16904. TCB             -       Trusted Computer Base
  16905. TCP             -       Transmission Control Protocol
  16906. TELNET          -       Network Virtual Terminal Protocol
  16907. TLS             -       Top Level Specification
  16908. TCSEC           -       Trusted Computer System Evaluation Criteria
  16909. TFE             -       Trusted Front-end Processor
  16910. TIU             -       Trusted Network Interface Unit
  16911. TNI             -       Trusted Network Interpretations
  16912. VMM             -       Virtual Machine Monitor
  16913.  
  16914.  
  16915.  
  16916.                           Glossary
  16917.                           ________
  16918.  
  16919.  
  16920.  
  16921.  
  16922.  
  16923.                            - A -
  16924.                              _
  16925.  
  16926.      Access - (1) A specific type of interaction  between  a
  16927. subject  and  an object that results in the flow of informa-
  16928. tion from one to the other. (2) The ability  and  the  means
  16929. necessary to approach, to store or retrieve data, to commun-
  16930. icate with, or to make use of any resource of an ADP system.
  16931.  
  16932.      Access control - (1) The limiting of rights or capabil-
  16933. ities of a subject to communicate with other subjects, or to
  16934. use functions or services in a computer system  or  network.
  16935. (2)  Restrictions  controlling  a  subject's  access  to  an
  16936. object.
  16937.  
  16938.      Access control list - (1) A list of subjects authorized
  16939. for  specific  access  to an object. (2) A list of entities,
  16940. together with their access rights, which are  authorized  to
  16941. have access to a resource.
  16942.  
  16943.      Accountability - the quality  or  state  which  enables
  16944. actions on an ADP system to be traced to individuals who may
  16945. then be held responsible.   These actions include violations
  16946. and  attempted violations of the security policy, as well as
  16947. allowed actions.
  16948.  
  16949.      Accreditation - the managerial authorization and appro-
  16950. val,  granted  to an ADP system or network to process sensi-
  16951. tive data in an operational environment, made on  the  basis
  16952. of  a certification by designated technical personnel of the
  16953. extent to which design and implementation of the system meet
  16954. pre-specified   technical  requirements,  e.g.,  TCSEC,  for
  16955. achieving adequate data security. Management can accredit  a
  16956. system  to  operate  at  a  higher/lower level than the risk
  16957. level recommended (e.g., by the Requirements Guideline-) for
  16958. the  certification  level  of  the  system.   If  management
  16959. accredits the system to operate at a higher  level  than  is
  16960. appropriate  for  the  certification  level,  management  is
  16961. accepting the additional risk incurred.
  16962.  
  16963.      Accreditation range - of a host with respect to a  par-
  16964. ticular network, is a set of mandatory access control levels
  16965. _________________________
  16966.   - Security Requirements:  Guidance for  Applying  the
  16967.     ________ ____________   ________ ___  ________  ___
  16968. Department  of  Defense Trusted Computer System Evalua-
  16969. __________  __  _______ _______ ________ ______ ______
  16970. tion Criteria in Specific Environments,CSC-STD-003-85
  16971. ____ ________ __ ________ ____________
  16972.  
  16973.  
  16974. for data storage, processing, and transmission. The accredi-
  16975. tation  range  will generally reflect the sensitivity levels
  16976. of data that the accreditation authority believes  the  host
  16977. can  reliably  keep  segregated  with an acceptable level of
  16978. risk in the context of the particular network for which  the
  16979. accreditation  range  is given. Thus, although a host system
  16980. might be accredited to employ the mandatory  access  control
  16981. levels  CONFIDENTIAL,  SECRET, and TOP SECRET in stand-alone
  16982. operation, it might have an accreditation  range  consisting
  16983. of  the  single value TOP SECRET for attachment to some net-
  16984. work.
  16985.  
  16986.      Audit trail - (1)  A set of records  that  collectively
  16987. provide  documentary  evidence  of processing used to aid in
  16988. tracing  from  original  transactions  forward  to   related
  16989. records  and  reports,  and/or  backwards  from  records and
  16990. reports to their component source transactions.  (2)  Infor-
  16991. mation collected or used to facilitate a Security Audit.
  16992.  
  16993.      Authentication - (1) To establish  the  validity  of  a
  16994. claimed  identity. (2) To provide protection against fraudu-
  16995. lent transactions by establishing the validity  of  message,
  16996. station, individual, or originator.
  16997.  
  16998.  
  16999.                           -  B  -
  17000.  
  17001.      Bell-LaPadula Model - a formal state  transition  model
  17002. of  computer  security policy that describes a set of access
  17003. control rules.  In this formal model, the entities in a com-
  17004. puter  system are divided into abstract sets of subjects and
  17005. objects.  The notion of a secure state is defined and it  is
  17006. proven that each state transition preserves security by mov-
  17007. ing from secure state to  secure  state;  thus,  inductively
  17008. proving  that  the  system  is  secure.   A  system state is
  17009. defined to be "secure" if the only permitted access modes of
  17010. subjects  to objects are in accordance with a specific secu-
  17011. rity policy.   In  order  to  determine  whether  or  not  a
  17012. specific  access mode is allowed, the clearance of a subject
  17013. is compared to the classification of the object and a deter-
  17014. mination is made as to whether the subject is authorized for
  17015. the specific  access  mode.   The  clearance/classifications
  17016. scheme  is expressed in terms of a lattice.  See also:  Lat-
  17017. tice, Simple  Security  Property,  *-Property.  For  further
  17018. information  see  Bell, D. Elliott and LaPadula, Leonard J.,
  17019. Secure Computer  Systems:  Unified  Exposition  and  MULTICS
  17020. ______ ________  _______   _______  __________  ___  _______
  17021. Interpretation, MTR 2997, The MITRE Corporation, April 1974.
  17022. ______________
  17023. (AD/A 020 445)
  17024.  
  17025.  
  17026.                           -  C  -
  17027.  
  17028.      Category - a grouping  of  objects  to  which  an  non-
  17029. hierarchical    restrictive    label   is   applied   (e.g.,
  17030. proprietary, compartmented information).  Subjects  must  be
  17031. privileged to access a category.
  17032.  
  17033.      Certification - the technical evaluation of a  system's
  17034. security  features,  made  as  part of and in support of the
  17035. approval/accreditation process, that establishes the  extent
  17036. to  which  a  particular  system's design and implementation
  17037. meet a set of specified security requirements.
  17038.  
  17039.      Closed user group - a closed user group  permits  users
  17040. belonging  to  a  group  to communicate with each other, but
  17041. precludes  communications  with  other  users  who  are  not
  17042. members of the group.
  17043.  
  17044.      Communication channel - the physical media and  devices
  17045. which  provide  the  means for transmitting information from
  17046. one component of a network  to  (one  or  more)  other  com-
  17047. ponents.
  17048.  
  17049.      Communication link - the physical means  of  connecting
  17050. one  location  to  another  for  the purpose of transmitting
  17051. and/or receiving data.
  17052.  
  17053.      Compartment - a designation applied to a type of sensi-
  17054. tive information, indicating the special handling procedures
  17055. to be used for the information and the general class of peo-
  17056. ple  who may have access to the information. It can refer to
  17057. the designation of information  belonging  to  one  or  more
  17058. categories.
  17059.  
  17060.      Component - a device or set of devices,  consisting  of
  17061. hardware,  along  with  its  firmware, and/or  software that
  17062. performs a specific function on  a  computer  communications
  17063. network.   A  component  is a part of the larger system, and
  17064. may itself consist of other  components.   Examples  include
  17065. modems,  telecommunications  controllers,  message switches,
  17066. technical control devices, host computers, gateways, commun-
  17067. ications subnets, etc.
  17068.  
  17069.      Component Reference Monitor - an access control concept
  17070. that  refers to an abstract machine that mediates all access
  17071. to objects within a component by subjects  within  the  com-
  17072. ponent.
  17073.  
  17074.      Compromise - a violation of the  security  system  such
  17075. that an unauthorized disclosure of sensitive information may
  17076. have occurred.
  17077.  
  17078.      Confidentiality - the property that information is  not
  17079. made  available  or  disclosed  to unauthorized individuals,
  17080. entities, or processes.
  17081.  
  17082.      Configuration control - management of changes made to a
  17083. system's  hardware,  software,  firmware,  and documentation
  17084. throughout the development and operational life of the  sys-
  17085. tem.
  17086.  
  17087.      Connection - a liaison,  in  the  sense  of  a  network
  17088. interrelationship,  between  two hosts for a period of time.
  17089. The liaison is established (by an initiating host)  for  the
  17090. purpose  of information transfer (with the associated host);
  17091. the period of time is the time required  to  carry  out  the
  17092. intent  of  the liaison (e.g., transfer of a file, a chatter
  17093. session, delivery of mail).  In many cases, a connection (in
  17094. the  sense  of this glossary) will coincide with a host-host
  17095. connection (in a special technical  sense)  established  via
  17096. TCP  or equivalent protocol.  However a connection (liaison)
  17097. can also exist when only a protocol such as IP is in use (IP
  17098. has no concept of a connection that persists for a period of
  17099. time).  Hence, the notion of  connection  as  used  here  is
  17100. independent  of  the  particular  protocols  in use during a
  17101. liaison of two hosts.
  17102.  
  17103.      Correctness - the extent to which a  program  satisfies
  17104. its specifications.
  17105.  
  17106.      Covert channel - a communications channel that allows a
  17107. process  to  transfer  information in a manner that violates
  17108. the system's security policy.  A  covert  channel  typically
  17109. communicates  by  exploiting  a mechanism not intended to be
  17110. used for communication.   See  Covert  storage  channel  and
  17111. Covert timing channel.  Compare Overt channel.
  17112.  
  17113.      Covert storage channel - a covert channel that involves
  17114. the  direct or indirect writing of a storage location by one
  17115. process and the direct or indirect reading  of  the  storage
  17116. location  by another process.  Covert storage channels typi-
  17117. cally involve a finite resource (e.g., sectors  on  a  disk)
  17118. that is shared by two subjects at different security levels.
  17119.  
  17120.      Covert timing channel - a covert channel in  which  one
  17121. process signals information to another by modulating its own
  17122. use of system resources (e.g., CPU time) in such a way  that
  17123. this manipulation affects the real response time observed by
  17124. the second process.
  17125.  
  17126.  
  17127.                           -  D  -
  17128.  
  17129.      Data confidentiality - the state that exists when  data
  17130. is  held  in  confidence  and is protected from unauthorized
  17131. disclosure.
  17132.  
  17133.      Data integrity - (1) The state that exists when  compu-
  17134. terized data is the same as that in the source documents and
  17135. has not been exposed to accidental or  malicious  alteration
  17136. or  destruction.   (2)  The  property that data has not been
  17137. exposed to accidental or malicious  alteration  or  destruc-
  17138. tion.
  17139.  
  17140.      Dedicated Security Mode -  the  mode  of  operation  in
  17141. which  the  system is specifically and exclusively dedicated
  17142. to and controlled for the processing of one particular  type
  17143. or  classification  of  information,  either  for  full-time
  17144. operation or for a specific period of  time.   Compare  Mul-
  17145. tilevel Security Mode, System High Security Mode.
  17146.  
  17147.      Denial of service - the prevention of authorized access
  17148. to system assets or services, or the delaying of time criti-
  17149. cal operations.
  17150.  
  17151.      Descriptive top-level specification  (DTLS)  -  a  top-
  17152. level  specification  that  is written in a natural language
  17153. (e.g., English), an informal program design notation,  or  a
  17154. combination of the two.
  17155.  
  17156.      Discretionary access control (DAC) - a  means  of  res-
  17157. tricting access to objects based on the identity of subjects
  17158. and/or groups to which they belong.  The controls  are  dis-
  17159. cretionary  in  the sense that: (a) A subject with a certain
  17160. access permission is  capable  of  passing  that  permission
  17161. (perhaps  indirectly)  on  to any other subject; (b)  DAC is
  17162. often employed to enforce need-to-know; (c)  Access  control
  17163. may  be changed by an authorized individual. Compare to Man-
  17164. datory Access Control.
  17165.  
  17166.      Domain - the set of objects  that  a  subject  has  the
  17167. ability to access.
  17168.  
  17169.      Dominated by (the relation) - a  security  level  A  is
  17170. dominated     by     security     level     B     if     the
  17171. clearance/classification in A is less than or equal  to  the
  17172. clearance/classification  in  B and the set of access appro-
  17173. vals (e.g., compartment designators) in A  is  contained  in
  17174. (the  set  relation) the set of access approvals in B (i.e.,
  17175. each access approval appearing in  A  also  appears  in  B).
  17176. Depending  upon  the  policy enforced (e.g., non-disclosure,
  17177. integrity) the definition of "less than  or  equal  to"  and
  17178. "contained  in"  may  vary.   For  example,  the level of an
  17179. object of high integrity (i.e., an object  which  should  be
  17180. modifiable  by  very trustworthy individuals) may be defined
  17181. to be "less than" the level of an object  of  low  integrity
  17182. (i.e., an object which is modifiable by everyone).
  17183.  
  17184.      Dominates (the relation) - security level  B  dominates
  17185. security level A if A is dominated by B.
  17186.  
  17187.  
  17188.                            - E -
  17189.  
  17190.      Exploitable channel - any channel  that  is  usable  or
  17191. detectable  by  subjects  external  to the Trusted Computing
  17192. Base.
  17193.  
  17194.  
  17195.                            - F -
  17196.  
  17197.      Flaw - an error of commission, omission,  or  oversight
  17198. in   a  system  that  allows  protection  mechanisms  to  be
  17199. bypassed.
  17200.  
  17201.      Flaw hypothesis methodology -  a  system  analysis  and
  17202. penetration technique where specifications and documentation
  17203. for the system are analyzed and then flaws in the system are
  17204. hypothesized.  The list of hypothesized flaws is then prior-
  17205. itized on the basis of the estimated probability that a flaw
  17206. actually exists and, assuming a flaw does exist, on the ease
  17207. of exploiting it and on the extent of control or  compromise
  17208. it  would  provide.   The prioritized list is used to direct
  17209. the actual testing of the system.
  17210.  
  17211.      Formal proof - a complete and  convincing  mathematical
  17212. argument, presenting the full logical justification for each
  17213. proof step, for the truth of a theorem or set  of  theorems.
  17214. The  formal  verification process uses formal proofs to show
  17215. the truth of certain properties of formal specification  and
  17216. for  showing that computer programs satisfy their specifica-
  17217. tions. Automated tools may (but need not) be used to  formu-
  17218. late and/or check the proof.
  17219.  
  17220.      Formal security policy model - a mathematically precise
  17221. statement  of  security  policy.   To be adequately precise,
  17222. such a model must represent the initial state of  a  system,
  17223. the  way  in  which  the system progresses from one state to
  17224. another, and a definition of a "secure" state of the system.
  17225. To  be  acceptable  as  a basis for a TCB, the model must be
  17226. supported by a formal proof that if the initial state of the
  17227. system  satisfies  the definition of a "secure" state and if
  17228. all assumptions required by the model hold, then all  future
  17229. states  of  the system will be secure.  Some formal modeling
  17230. techniques include: state transition models, temporal  logic
  17231. models,  denotational semantics models, algebraic specifica-
  17232. tion models.  See also:  Bell-LaPadula Model, Security  Pol-
  17233. icy Model.
  17234.  
  17235.      Formal top-level specification  (FTLS)  -  a  Top-Level
  17236. Specification  that  is  written  in  a  formal mathematical
  17237. language to allow theorems showing the correspondence of the
  17238. system  specification  to  its  formal  requirements  to  be
  17239. hypothesized and formally proven.
  17240.  
  17241.      Formal verification  -  the  process  of  using  formal
  17242. proofs  to demonstrate the consistency (design verification)
  17243. between a formal specification of  a  system  and  a  formal
  17244. security   policy  model  or  (implementation  verification)
  17245. between the formal specification and its program implementa-
  17246. tion.
  17247.  
  17248.      Functional testing - the portion of security testing in
  17249. which  the  advertised  features  of a system are tested for
  17250. correct operation.
  17251.  
  17252.  
  17253.                            - H -
  17254.  
  17255.      Hierarchical decomposition -  the  ordered,  structured
  17256. reduction of a system or a component to primitives.
  17257.  
  17258.      Host - any computer-based system connected to the  net-
  17259. work  and  containing  the  necessary  protocol  interpreter
  17260. software  to  initiate  network   access   and   carry   out
  17261. information  exchange  across  the  communications  network.
  17262. This definition encompasses typical "mainframe" hosts,  gen-
  17263. eric  terminal  support  machines (e.g., ARPANET TAC, DoDIIS
  17264. NTC), and workstations connected directly to the  communica-
  17265. tions  subnetwork and executing the intercomputer networking
  17266. protocols.  A terminal is not a host  because  it  does  not
  17267. contain  the protocol software needed to perform information
  17268. exchange; a workstation (by definition) is a host because it
  17269. does have such capability.
  17270.  
  17271.  
  17272.                            - I -
  17273.  
  17274.      Integrity - See data integrity and integrity policy.
  17275.  
  17276.      Integrity Policy - a security policy to  prevent  unau-
  17277. thorized  users  from  modifying,  viz.,  writing, sensitive
  17278. information. See also Security Policy.
  17279.  
  17280.      Internal subject - a subject which  is  not  acting  as
  17281. direct surrogate for a user.  A process which is not associ-
  17282. ated with any user but performs system-wide  functions  such
  17283. as packet switching, line printer spooling, and so on.  Also
  17284. known as a daemon or a service machine.
  17285.  
  17286.  
  17287.                            - L -
  17288.  
  17289.      Label - see Security Label and Sensitivity Label.
  17290.  
  17291.      Lattice - a partially ordered set for which every  pair
  17292. of  elements  has  a  greatest lower bound and a least upper
  17293. bound.
  17294.  
  17295.      Least privilege - this  principle  requires  that  each
  17296. subject  in  a system be granted the most restrictive set of
  17297. privileges (or lowest clearance) needed for the  performance
  17298. of authorized tasks.  The application of this principle lim-
  17299. its the damage that can  result  from  accident,  error,  or
  17300. unauthorized use.
  17301.  
  17302.  
  17303.                            - M -
  17304.  
  17305.      Mandatory access  control  -  a  means  of  restricting
  17306. access  to  objects based on the sensitivity (as represented
  17307. by a label) of the information contained in the objects  and
  17308. the  formal  authorization  (i.e., clearance) of subjects to
  17309. access information of such sensitivity.
  17310.  
  17311.      Multilevel device - a device that is used in  a  manner
  17312. that  permits  it  to  simultaneously process data of two or
  17313. more security levels without risk of compromise.  To  accom-
  17314. plish  this,  sensitivity  labels are normally stored on the
  17315. same physical medium and in the same  form  (i.e.,  machine-
  17316. readable or human-readable) as the data being processed.
  17317.  
  17318.      Multilevel secure - a class of system containing infor-
  17319. mation with different sensitivities that simultaneously per-
  17320. mits access by users with different security clearances  and
  17321. needs-to-know,  but  prevents users from obtaining access to
  17322. information for which they lack authorization.
  17323.  
  17324.      Multilevel Security Mode - the mode of  operation  that
  17325. allows  two  or more classification levels of information to
  17326. be processed simultaneously within the same system when some
  17327. users are not cleared for all levels of information present.
  17328. Compare Dedicated Security Mode, System High Security Mode.
  17329.  
  17330.  
  17331.                            - N -
  17332.  
  17333.      Network architecture -  the set of layers and protocols
  17334. (including    formats    and    standards   that   different
  17335. hardware/software must comply with to achieve stated  objec-
  17336. tives) which define a Network.
  17337.  
  17338.      Network  component  -  a  network  subsystem  which  is
  17339. evaluatable   for   compliance   with  the  trusted  network
  17340. interpretations, relative to that policy induced on the com-
  17341. ponent by the overall network policy.
  17342.  
  17343.      Network connection - A network connection is any  logi-
  17344. cal  or  physical  path  from one host to another that makes
  17345. possible the transmission of information from  one  host  to
  17346. the  other.  An example is a TCP connection.  But also, when
  17347. a host transmits an IP datagram employing only the  services
  17348. of its "connectionless" Internet Protocol interpreter, there
  17349. is considered to be a connection between the source and  the
  17350. destination hosts for this transaction.
  17351.  
  17352.      Network Reference Monitor - an access  control  concept
  17353. that  refers to an abstract machine that mediates all access
  17354. to objects within the network by subjects  within  the  net-
  17355. work.
  17356.  
  17357.      Network security - the protection of networks and their
  17358. services  from  unauthorized  modification,  destruction, or
  17359. disclosure. Providing an assurance that the network performs
  17360. its  critical  functions  correctly and there are no harmful
  17361. side-effects.  Includes providing for information accuracy.
  17362.  
  17363.      Network security architecture -  a  subset  of  network
  17364. architecture   specifically   addressing   security-relevant
  17365. issues.
  17366.  
  17367.      Network sponsor - the individual or  organization  that
  17368. is  responsible  for stating the security policy enforced by
  17369. the network, for designing the network security architecture
  17370. to  properly  enforce that policy, and for ensuring that the
  17371. network is implemented in such a  way  that  the  policy  is
  17372. enforced.   For commercial, off-the- shelf systems, the net-
  17373. work sponsor will normally be the  vendor.   For  a  fielded
  17374. network  system,  the  sponsor  will normally be the project
  17375. manager or system administrator.
  17376.  
  17377.      Network System - a system which is implemented  with  a
  17378. collection  of interconnected network components.  A network
  17379. system is based on  a  coherent  security  architecture  and
  17380. design.
  17381.  
  17382.      Network trusted computing base (NTCB) - the totality of
  17383. protection  mechanisms  within a network system -- including
  17384. hardware, firmware, and software -- the combination of which
  17385. is  responsible  for enforcing a security policy.  (See also
  17386. Trusted Computing Base.)
  17387.  
  17388.      NTCB Partition - the totality of  mechanisms  within  a
  17389. single  network  component for enforcing the network policy,
  17390. as allocated to that component; the part of the NTCB  within
  17391. a single network component.
  17392.  
  17393.  
  17394.                            - O -
  17395.  
  17396.      Object - a passive entity  that  contains  or  receives
  17397. information.  Access to an object potentially implies access
  17398. to the information it contains.  Examples  of  objects  are:
  17399. records, blocks, pages, segments, files, directories, direc-
  17400. tory trees, and programs, as well  as  bits,  bytes,  words,
  17401. fields,   processors,  video  displays,  keyboards,  clocks,
  17402. printers, etc.  See also Passive.
  17403.  
  17404.      Object reuse - the reassignment of a medium (e.g., page
  17405. frame,  disk  sector,  magnetic  tape) that contained one or
  17406. more objects to some subject.  To  be  securely  reassigned,
  17407. such media must contain no residual data from the previously
  17408. contained object(s).
  17409.  
  17410.      OSI Architecture - the International  Organization  for
  17411. Standardization  (ISO) provides a framework for defining the
  17412. communications  process  between  systems.   This  framework
  17413. includes a network architecture, consisting of seven layers.
  17414. The architecture is referred to as the Open  Systems  Inter-
  17415. connection (OSI) model or Reference Model.  Services and the
  17416. protocols to implement them for the different layers of  the
  17417. model  are  defined by international standards.  From a sys-
  17418. tems viewpoint, the bottom three  layers  support  the  com-
  17419. ponents  of the network necessary to transmit a message, the
  17420. next three layers generally pertain to  the  characteristics
  17421. of the communicating end systems, and the top layer supports
  17422. the end users.  The seven layers  are:  1.  Physical  Layer:
  17423. Includes the functions to activate, maintain, and deactivate
  17424. the physical connection.  It defines the functional and pro-
  17425. cedural  characteristics  of  the  interface to the physical
  17426. circuit: the electrical and  mechanical  specifications  are
  17427. considered  to  be  part  of the medium itself. 2. Data Link
  17428. Layer: Formats the  messages.   Covers  synchronization  and
  17429. error  control for the information transmitted over the phy-
  17430. sical link, regardless  of  the  content.   "Point-to  point
  17431. error  checking"  is  one  way  to  describe  this layer. 3.
  17432. Network Layer: Selects the appropriate facilities.  Includes
  17433. routing communications through network resources to the sys-
  17434. tem where the communicating application is: segmentation and
  17435. reassembly  of data units (packets) ; and some error correc-
  17436. tion. 4. Transport Layer: Includes such functions as  multi-
  17437. plexing  several  independent  message streams over a single
  17438. connection, and segmenting  data  into  appropriately  sized
  17439. packets  for processing by the Network Layer.  Provides end-
  17440. to-end control  of  data  reliability.   5.  Session  Layer:
  17441. Selects  the  type  of  service.   Manages  and synchronizes
  17442. conversations between two application processes.   Two  main
  17443. types  of dialogue are provided: two-way simultaneous (full-
  17444. duplex), or  two-way  alternating  (half-duplex).   Provides
  17445. control  functions  similar  to the control language in com-
  17446. puter system. 6. Presentation Layer: Ensures  that  informa-
  17447. tion  is  delivered  in a form that the receiving system can
  17448. understand and use. Communicating parties determine the for-
  17449. mat   and  language  (syntax)  of  messages:  translates  if
  17450. required, preserving the meaning (semantics). 7. Application
  17451. Layer:  Supports  distributed  applications  by manipulating
  17452. information.   Provides   resource   management   for   file
  17453. transfer,  virtual file and virtual terminal emulation, dis-
  17454. tributed processes and other applications.
  17455.  
  17456.      Overt channel - an overt channel is  a  path  within  a
  17457. network  which  is  designed  for the authorized transfer of
  17458. data.
  17459.  
  17460.  
  17461.                            - P -
  17462.  
  17463.      Passive - (1) A property of an object or network object
  17464. that  it  lacks  logical  or computational capability and is
  17465. unable to change the information  it  contains.   (2)  Those
  17466. threats  to  the confidentiality of data which, if realized,
  17467. would not result in any unauthorized change in the state  of
  17468. the  intercommunicating  systems  (e.g.,  monitoring  and/or
  17469. recording of data).
  17470.  
  17471.      Penetration - the successful violation of  a  protected
  17472. system.
  17473.  
  17474.      Penetration testing - the portion of  security  testing
  17475. in  which the penetrators attempt to circumvent the security
  17476. features of a system.  The penetrators may be assumed to use
  17477. all  system  design  and implementation documentation, which
  17478. may include listings of system  source  code,  manuals,  and
  17479. circuit diagrams.  The penetrators work under no constraints
  17480. other than those that would be applied to ordinary users  or
  17481. implementors of untrusted portions of the component.
  17482.  
  17483.      Privacy - (1) the ability of an individual or organiza-
  17484. tion  to  control the collection, storage, sharing, and dis-
  17485. semination of personal and organizational  information.  (2)
  17486. The  right  to insist on adequate security of, and to define
  17487. authorized users of, information or systems.  Note: The con-
  17488. cept of privacy cannot be very precise and its use should be
  17489. avoided in specifications except as a means to require secu-
  17490. rity,  because  privacy  relates  to "rights" that depend on
  17491. legislation.
  17492.  
  17493.      Process - a program in  execution.   It  is  completely
  17494. characterized   by   a   single   current   execution  point
  17495. (represented by the machine state) and address space.
  17496.  
  17497.      Protection-critical portions of the TCB  -  those  por-
  17498. tions  of  the TCB whose normal function is to deal with the
  17499. control of access between subjects  and  objects.  See  also
  17500. Subject, Object, Trusted Computer Base.
  17501.  
  17502.      Protection philosophy - an informal description of  the
  17503. overall  design of a system that delineates each of the pro-
  17504. tection mechanisms employed. A combination  (appropriate  to
  17505. the  evaluation  class) of formal and informal techniques is
  17506. used to show that the mechanisms are adequate to enforce the
  17507. security policy.
  17508.  
  17509.  
  17510.                            - R -
  17511.  
  17512.      Read - a fundamental operation that results only in the
  17513. flow of information from an object to a subject.
  17514.  
  17515.      Read access - permission to read information.
  17516.  
  17517.  
  17518.      Reference monitor concept - an access  control  concept
  17519. that  refers  to  an  abstract  machine  that  mediates  all
  17520. accesses to objects by subjects. See also Security Kernel.
  17521.  
  17522.      Reliability - the extent  to  which  a  system  can  be
  17523. expected to perform its intended function with required pre-
  17524. cision.
  17525.  
  17526.      Resource - anything used or consumed while performing a
  17527. function.   The categories of resources are:  time, informa-
  17528. tion, objects (information containers), or  processors  (the
  17529. ability  to  use  information).  specific examples are:  CPU
  17530. time; terminal connect time; amount of  directly-addressable
  17531. memory; disk space; number of I/O requests per minute, etc.
  17532.  
  17533.  
  17534.                            - S -
  17535.  
  17536.      Secrecy Policy - a security policy to prevent unauthor-
  17537. ized  users  from  reading  sensitive information.  See also
  17538. Security Policy
  17539.  
  17540.      Security architecture - the subset of  computer  archi-
  17541. tecture dealing with the security of the computer or network
  17542. system. See computer architecture, network architecture.
  17543.  
  17544.      Security-Compliant Channel -  A  channel  is  Security-
  17545. Compliant  if  the enforcement of the network policy depends
  17546. only upon characteristics of the channel either (1) included
  17547. in  the  evaluation,  or  (2) assumed as a installation con-
  17548. straint and  clearly  documented  in  the  Trusted  Facility
  17549. Manual.
  17550.  
  17551.      Security Kernel - the hardware, firmware, and  software
  17552. elements  of  a  Trusted  Computing Base (or Network Trusted
  17553. Computing Base partition) that implement the reference moni-
  17554. tor  concept.   It  must  mediate all accesses, be protected
  17555.                                   ___
  17556. from modification, and be verifiable as correct.
  17557.  
  17558.      Security label - see Sensitivity label.
  17559.  
  17560.      Security level - the combination of hierarchical  clas-
  17561. sification  and  a  set  of non-hierarchical categories that
  17562. represents the sensitivity of information.
  17563.  
  17564.      Security policy - the set of laws, rules, and practices
  17565. that  regulate  how  an  organization manages, protects, and
  17566. distributes sensitive information.
  17567.  
  17568.      Security policy model - an informal presentation  of  a
  17569. formal security policy model.
  17570.  
  17571.      Security testing - a process used to determine that the
  17572. security  features  of  a system are implemented as designed
  17573. and that  they  are  adequate  for  a  proposed  application
  17574. environment.   This  process  includes  hands-on  functional
  17575. testing, penetration testing, and  verification.  See  also:
  17576. Functional Testing, Penetration Testing, Verification.
  17577.  
  17578.      Sensitivity  label  -  A  piece  of  information   that
  17579. represents   the  security  level  of  an  object  and  that
  17580. describes the sensitivity (e.g., classification) of the data
  17581. in  the  object.  Sensitivity labels are used by the NTCB as
  17582. the basis for mandatory access control decisions.
  17583.  
  17584.      Sensitivity level - See Security level.
  17585.  
  17586.      Simple security property  -  a  Bell-LaPadula  security
  17587. model  rule allowing a subject read access to an object only
  17588. if the security level of the subject dominates the  security
  17589. level of the object.
  17590.  
  17591.      Single-level device - a device that is used to  process
  17592. data  of  a single security level at any one time. Since the
  17593. device need not be trusted to  separate  data  of  different
  17594. security levels, sensitivity labels do not have to be stored
  17595. with the data being processed.
  17596.  
  17597.      *-property (star property) - a  Bell-LaPadula  security
  17598. model rule allowing a subject write access to an object only
  17599. if the security level of the subject  is  dominated  by  the
  17600. security level of the object.  Also known as the Confinement
  17601. Property.
  17602.  
  17603.      Storage object - an object that supports both read  and
  17604. write accesses.
  17605.  
  17606.      Subject - an active entity, generally in the form of  a
  17607. person,  process,  or device that causes information to flow
  17608. among objects or changes the system state.   Technically,  a
  17609. process/domain pair.
  17610.  
  17611.      Subject security level - a subject's security level  is
  17612. equal  to  the security level of the objects to which it has
  17613. both read and write access.  A subject's security level must
  17614. always be dominated by the clearance of the user the subject
  17615. is associated with.
  17616.  
  17617.      System - an assembly of computer and/or  communications
  17618. hardware,  software, and firmware configured for the purpose
  17619. of classifying, sorting, calculating,  computing,  summariz-
  17620. ing, transmitting and receiving, storing and retrieving data
  17621. with the purpose of supporting users.
  17622.  
  17623.      System High - the highest security level supported by a
  17624. system at a particular time or in a particular environment.
  17625.  
  17626.      System High Security Mode - the mode  of  operation  in
  17627. which  system  hardware and software is only trusted to pro-
  17628. vide discretionary protection between users.  In this  mode,
  17629. the  entire  system,  to include all components electrically
  17630. and/or physically  connected,  must  operate  with  security
  17631. measures  commensurate  with  the highest classification and
  17632. sensitivity  of  the  information  being  processed   and/or
  17633. stored.   All  system users in this environment must possess
  17634. clearances and authorization for all  information  contained
  17635. in  the  system.   All  system output must be clearly marked
  17636. with the highest classification and all system caveats until
  17637. the  information has been reviewed manually by an authorized
  17638. individual to ensure appropriate  classifications  and  that
  17639. caveats have been affixed.  Compare Dedicated Security Mode,
  17640. Multilevel Security Mode.
  17641.  
  17642.      System Low - the lowest security level supported  by  a
  17643. system at a particular time or in a particular environment.
  17644.  
  17645.      System Security Officer (SSO) - the person  responsible
  17646. for  the security of a system.  The SSO is authorized to act
  17647. in the "security administrator" role.   Functions  that  the
  17648. SSO  is  expected  to perform include: auditing and changing
  17649. security characteristics of a user.
  17650.  
  17651.  
  17652.                            - T -
  17653.  
  17654.      Top-level  specification  (TLS)  -   a   non-procedural
  17655. description  of  system behavior at the most abstract level.
  17656. Typically a functional specification that omits  all  imple-
  17657. mentation details.
  17658.  
  17659.      Trap-door - a hidden  software  or  hardware  mechanism
  17660. that  permits  system  protection  mechanisms  to be circum-
  17661. vented.  It is activated in some non-apparent manner  (e.g.,
  17662. special "random" key sequence at a terminal.
  17663.  
  17664.      Trojan horse - a computer program with an apparently or
  17665. actually  useful  function that contains additional (hidden)
  17666. functions  that  surreptitiously  exploit   the   legitimate
  17667. authorizations  of  the invoking process to the detriment of
  17668. security.  For example, making a "blind copy" of a sensitive
  17669. file for the creator of the Trojan Horse.
  17670.  
  17671.      Trusted channel - a mechanism by which two NTCB  parti-
  17672. tions  can  communicate  directly.   This  mechanism  can be
  17673. activated by either of the NTCB partitions, cannot  be  imi-
  17674. tated  by untrusted software, and maintains the integrity of
  17675. information that is sent over it.  A trusted channel may  be
  17676. needed  for  the correct operation of other security mechan-
  17677. isms.
  17678.  
  17679.      Trusted computer system - a system that employs  suffi-
  17680. cient  hardware and software integrity measures to allow its
  17681. use for processing simultaneously a range  of  sensitive  or
  17682. classified information.
  17683.  
  17684.      Trusted computing base (TCB) - the totality of  protec-
  17685. tion  mechanisms  within  a  computer  system  --  including
  17686. hardware, firmware, and software -- the combination of which
  17687. is  responsible for enforcing a security policy.  It creates
  17688. a basic protection environment and provides additional  user
  17689. services  required for a trusted computer system.  The abil-
  17690. ity of a trusted computing base to correctly enforce a secu-
  17691. rity  policy depends solely on the mechanisms within the TCB
  17692. and on the correct input by system administrative  personnel
  17693. of  parameters  (e.g.,  a  user's  clearance) related to the
  17694. security policy.
  17695.  
  17696.      Trusted functionality - that which is determined to  be
  17697. correct  with  respect to some criteria, e.g. as established
  17698. by a security policy.  The functionality shall neither  fall
  17699. short of nor exceed the criteria.
  17700.  
  17701.      Trusted path - a mechanism by which a person at a  ter-
  17702. minal  can  communicate  directly with the Trusted Computing
  17703. Base.  This mechanism can only be activated by the person or
  17704. the  Trusted  Computing  Base  and  cannot  be  imitated  by
  17705. untrusted software.
  17706.  
  17707.      Trusted software - the software portion  of  a  Trusted
  17708. Computing Base.
  17709.  
  17710.      Trusted subject - a subject that is part  of  the  TCB.
  17711. It  has  the  ability to violate the security policy, but is
  17712. trusted not to actually do so.  For  example  in  the  Bell-
  17713. LaPadulla  model a trusted subject is not constrained by the
  17714. *-property and thus  has  the  ability  to  write  sensitive
  17715. information  into  an object whose level is not dominated by
  17716. the (maximum) level of the subject, but  it  is  trusted  to
  17717. only write information into objects with a label appropriate
  17718. for the actual level of the information.
  17719.  
  17720.  
  17721.                            - U -
  17722.  
  17723.      User - any person who interacts directly with a network
  17724. system.  This includes both those persons who are authorized
  17725. to interact with the system and those  people  who  interact
  17726. without authorization (e.g., active or passive wiretappers).
  17727. Note that "users" does not include "operators," "system pro-
  17728. grammers,"  "technical  control  officers," "system security
  17729. officers," and other system  support  personnel.   They  are
  17730. distinct  from users and are subject to the Trusted Facility
  17731. Manual and the System Architecture requirements.  Such indi-
  17732. viduals may change the system parameters of the network sys-
  17733. tem, for example by defining membership of a  group.   These
  17734. individuals may also have the separate role of users.
  17735.  
  17736.  
  17737.                            - V -
  17738.  
  17739.      Verification - the process of comparing two  levels  of
  17740. system  specification for proper correspondence (e.g., secu-
  17741. rity policy model with top-level  specification  (TLS),  TLS
  17742. with  source  code,  or source code with object code).  This
  17743. process may or may not be automated.
  17744.  
  17745.      Virus - malicious software, a  form  of  Trojan  horse,
  17746. which reproduces itself in other executable code.
  17747.  
  17748.  
  17749.                            - W -
  17750.  
  17751.      Write - a fundamental operation that  results  only  in
  17752. the flow of information from a subject to an object.
  17753.  
  17754.      Write access - permission to write an object.
  17755.  
  17756.  
  17757.  
  17758.  
  17759.                          References
  17760.                          __________
  17761.  
  17762.  
  17763. Abrams, M. D. and H. J. Podell, Tutorial: Computer and  Net-
  17764.                                 ________  ________ ___  ____
  17765. work Security, IEEE Computer Society Press, 1987.
  17766. ____ ________
  17767.  
  17768. Addendum to the Transport Layer Protocol Definition for Pro-
  17769. ________ __ ___ _________ _____ ________ __________ ___ ____
  17770. viding  Connection  Oriented  End-to-End  Cryptographic Data
  17771. ______  __________  ________  ___ __ ___  _____________ ____
  17772. Protection Using A 64-bit Block Cipher, ISO TC 97 / SC 20  /
  17773. __________ _____ _ __ ___ _____ ______
  17774. WG 3, N 37, January 10, 1986.
  17775.  
  17776. Biba K. J., Integrity  Considerations  for  Secure  Computer
  17777.             _________  ______________  ___  ______  ________
  17778. Systems,  MTR-3153,  The  MITRE Corporation, June 1975; ESD-
  17779. _______
  17780. TR-76-372, April 1977.
  17781.  
  17782. Bell, D. Elliot and LaPadula, Leonard  J.,  Secure  Computer
  17783.                                             ______  ________
  17784. Systems:  Unified Exposition and Multics Interpretation, MTR
  17785. _______   _______ __________ ___ _______ ______________
  17786. 2997, The MITRE Corporation, April 1974. (AD/A 020 445)
  17787.  
  17788. Denning, D .E., Lunt, T. F., Neumann, P. G., Schell, R.  R.,
  17789. Heckman,  M.   and  Shockley,  W.,  Secure  Distributed Data
  17790.                                     ______  ___________ ____
  17791. Views, Security Policy and Interpretation  for  a  Class  A1
  17792. _____  ________ ______ ___ ______________  ___  _  _____  __
  17793. Multilevel  Secure  Relational Database System, SRI Interna-
  17794. __________  ______  __________ ________ ______
  17795. tional, November 1986.
  17796.  
  17797. Girling, C. G., "Covert Channels in  LAN's,"  IEEE  Transac-
  17798.                                               ____  ________
  17799. tions  on  Software Engineering, Vol. SE-13, No. 2, February
  17800. _____  __  ________ ___________
  17801. 1987.
  17802.  
  17803. Grohn, M.  J., A Model of a Protected Data  Management  Sys-
  17804.                _ _____ __ _ _________ ____  __________  ____
  17805. tem, ESD-TR-76-289, I.  P.  Sharp Assoc.  Ltd., June, 1976.
  17806. ___
  17807.  
  17808. ``Integrity and Inference Group Report,'' Proceedings of the
  17809.                                           ___________ __ ___
  17810. National  Computer  Security Center Invitational Workshop on
  17811. ________  ________  ________ ______ ____________ ________ __
  17812. Database Security, Baltimore, MD, 17-20 June 1986.
  17813. ________ ________
  17814.  
  17815. ISO 7498/Part 2 - Security Architecture, ISO / TC 97 / SC 21
  17816. ___ ____ ____ _   ________ ____________
  17817. /  N1528  / WG 1 Ad hoc group on Security, Project 97.21.18,
  17818. September 1986.
  17819.  
  17820. Jueneman, R. R, "Electronic Document  Authentication,"  IEEE
  17821.                                                         ____
  17822. Network Magazine, April 1987, pp 17-23.
  17823. _______ ________
  17824.  
  17825.  Lipner, Steven B., ``Non-Discretionary Controls for Commer-
  17826. cial  Applications'', IEEE Proceedings of the 1982 Symposium
  17827.                       ____ ___________ __ ___ ____ _________
  17828. on Security and Privacy, April 26-28, 1982, Oakland, CA.
  17829. __ ________ ___ _______
  17830.  
  17831. National Computer Security  Center,  Department  of  Defense
  17832.                                      __________  __  _______
  17833. Password  Management  Guideline,  CSC-STD-002-85,  12  April
  17834. ________  __________  _________
  17835. 1985.
  17836.  
  17837. National Computer Security  Center,  Department  of  Defense
  17838.                                      __________  __  _______
  17839. Trusted  Computer Security Evaluation Criteria, DOD 5200.28-
  17840. _______  ________ ________ __________ ________
  17841. STD, December 1985.
  17842.  
  17843. National Computer Security  Center,  Security  Requirements:
  17844.                                      ________  ____________
  17845. Guidance for Applying the Department of Defense Trusted Com-
  17846. ________ ___ ________ ___ __________ __ _______ _______ ____
  17847. puter System Evaluation Criteria in  Specific  Environments,
  17848. _____ ______ __________ ________ __  ________  ____________
  17849. CSC-STD-003-85, 25 June 1985.
  17850.  
  17851. Padlipsky, M. A., Snow, D. P., and Karger,  P.  A.,  Limita-
  17852.                                                      _______
  17853. tions  of End-to-End Encryption in Secure Computer Networks,
  17854. _____  __ ___ __ ___ __________ __ ______ ________ ________
  17855. The MITRE Corporation, MTR-3592, Vol. I, May  1978  (ESD  TR
  17856. 78-158, DTIC AD A059221).
  17857.  
  17858. The Directory - Authentication Framework  (Melbourne,  April
  17859. ___ _________   ______________ _________   _________   _____
  17860. 1986), ISO/CCITT Directory Convergence Document #3.
  17861. ____
  17862.  
  17863. Voydock, Victor L. and Stephen T. Kent, "Security Mechanisms
  17864. in  High-Level  Network  Protocols," Computing Surveys, Vol.
  17865.                                      _________ _______
  17866. 15, No.  2, June 1983, pp 135-171.
  17867.  
  17868.  
  17869. _________________________
  17870. ISO developmental documents are of limited lifetime  and  availa-
  17871. bility.
  17872.  
  17873.