home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Tools (InfoMagic) / Internet Tools.iso / security / rainbow-series

< prev

next >

Wrap

Internet Message Format  |  1994-03-07  |  11KB

---

1. Path: wzv.win.tue.nl!news.win.tue.nl!tuegate.tue.nl!news.nic.surfnet.nl!sun4nl!EU.net!howland.reston.ans.net!vixen.cso.uiuc.edu!sdd.hp.com!ihnp4.ucsd.edu!pacbell.com!decwrl!decwrl!waikato!comp.vuw.ac.nz!gcs.co.nz!dave
2. From: dave@gcs.co.nz (David Carmine)
3. Subject: Responces to Post about the 'Rainbow Series'
4. Organization: GCS Limited, Wellington, New Zealand
5. Date: Mon, 7 Mar 1994 03:21:25 GMT
6. Message-ID: <CM9ynr.6FC@gcs.co.nz>
7. Followup-To: dave@gcs.co.nz
8. Keywords: security Rainbow 
9. Lines: 219
10.  
11.  
12. From a post I did last week about the Rainbow Series, I hope the
13. follwing is useful, as this is some of the excerpts from 
14. what I recieved. Thank you to all those who provided plenty of 
15. information.
16.  
17. -----stuff cut out--------
18.  
19.  
20. Internet E-mail: cert@cert.org
21. Telephone: 412-268-7090 24-hour hotline:
22.            CERT personnel answer 8:30a.m.-5:00p.m. EST(GMT-5)/EDT(GMT-4),
23.            on call for emergencies during other hours.
24.  
25.  
26. ==============================================================================
27. COMPUSEC DOCUMENTS                               February 1993
28.  
29. DISTRIBUTION POLICY: To receive one complimentary copy of the following
30. publications, call or write the INFOSEC Awareness Office as follows:
31.  
32. INFOSEC Awareness Division
33. ATTN:  X711/IAOC
34. Ft. George G. Meade, MD  20755-6000
35. (410) 766-8729
36.  
37.  
38. Additional copies can be ordered from the Government Printing Office.
39.  
40. WRITTEN REQUESTS:
41.  
42. Superintendent of Documents
43. U.S. Government Printing Office
44. Washington, DC  20402
45.  
46. PHONE REQUESTS
47.  
48. (202)  783-3238
49. Hours:  0800-1600 (Mastercard, VISA, CHOICE)
50.  
51.  
52.  
53. DoD Trusted Computer System Evaluation Criteria
54. (DoD 5200.28 STD)   (Orange Book)
55. GPO STOCK NUMBER:  008-000-00461-7
56. COST:    $6.00
57.  
58. DoD Password Management Guidelines
59. (CSC-STD-002-85)  (Green Book)
60. GPO STOCK NUMBER:  008-000-00443-9
61. COST:    $1.75
62.  
63. Guidance for Applying the DoD Trusted Computer
64. System Evaluation Criteria in specific
65. Environments  (CSC-STD-003-85)  (Yellow Book)
66. GPO STOCK NUMBER:  008-000-00442-1
67. COST:    $1.00
68.  
69. Technical Rationale Behind CSC-STD-003-85:
70. Computer Security Requirements  (CSC-STD-004-85)
71. (Yellow Book)
72. GPO STOCK NUMBER:  008-000-00441-2
73. COST:    $2.00
74.  
75. Advisory Memorandum on Office Automation
76. Security Guideline (NTISSAM COMPUSEC/1-87)
77. (White Document)
78. NOT AVAILABLE FROM GPO
79.  
80. A Guide to Understanding Audit in Trusted
81. Systems  (NCSC-TG-001, Version-2)   (Tan Book)
82. GPO STOCK NUMBER:  008-000-00508-7
83. COST:    $2.00
84.  
85. Trusted Product Evaluations - A Guide for Vendors
86. (NCSC-TG-002, Version-1)  (Bright Blue Book)
87. GPO STOCK NUMBER: 008-000-00569-9
88. COST: $2.50
89.  
90. A Guide to Understanding Discretionary Access
91. Control in Trusted Systems  (NCSC-TG-003, Version-1)
92. (Orange Book)
93. GPO STOCK NUMBER:  008-000-00539-7
94. COST:    $2.00
95.  
96. Glossary of Computer Security Terms
97. (NCSC-TG-004, Version-1)   (Aqua Book)
98. GPO STOCK NUMBER:  008-000-00522-2
99. COST:    $3.25
100.  
101. Trusted Network Interpretation (NCSC-TG-005,
102. Version-l)   (Red Book)
103. GPO STOCK NUMBER:  008-000-00486-2
104. COST:   $13.00
105.  
106. A Guide to Understanding Configuration
107. Management in Trusted Systems  (NCSC-TG-006,
108. Version 1)   (Orange Book)
109. GPO STOCK NUMBER      008-000-00507-9
110. COST:    $2.00
111.  
112. A Guide to Understanding Design Documentation 
113. in Trusted Systems (NCSC-TG-007, Version 1) 
114. (Burgundy Book) 
115. GPO STOCK NUMBER 008-000-00518-4 
116. COST: $2.25
117.  
118. A Guide to Understanding Trusted Distribution 
119. in Trusted Systems (NCSC-TG-008, Version 1) (Lavender Book) 
120. GPO STOCK NUMBER:    008-000-00536-2
121. COST:    $2.00
122.  
123. Computer Security Subsystem Interpretation of 
124. the Trusted Computer System Evaluation Criteria 
125. (NCSC-TG-009) (Venice Blue Book) 
126. GPO STOCK NUMBER:    008-000-00510-9
127. COST:    $2.25
128.  
129. Trusted Network Interpretation Environments
130. Guideline -- Guidance for Applying the Trusted
131. Network Interpretation  (NCSC-TG-011, Version 1)
132. GPO STOCK NUMBER:  008-000-00566-4
133. COST:    $4.00
134.  
135. Rating Maintenance Phase Program Document
136. (NCSC-TG-013, Version 1)  (Hot Pink Book)
137. GPO STOCK NUMBER:  008-000-00542-7
138. COST:    $5.00
139.  
140. Guidelines for Formal Verification Systems
141. (NCSC-TG-014)   (Purple Book)
142. GPO STOCK NUMBER:  008-000-00540-1
143. COST:    $2.00
144.  
145. A Guide to Understanding Trusted Facility
146. Management  (NCSC-TG-015, Version 1)
147. (Brown Book)
148. GPO STOCK NUMBER:  008-000-00560-5
149. COST:    $3.50
150.  
151. Guidelines for Writing Trusted Facility
152. Manuals (NCSC-TG-0l6, Version 1)
153. (Yellow-Green Book)
154. NOT AVAILABLE FROM GPO
155.  
156. A Guide to Understanding Identification and
157. Authentication in Trusted Systems
158. (NCSC-TG-017, Version 1) (Lt. Blue Book)
159. NOT AVAILABLE FROM GPO
160.  
161. A Guide to Understanding Object Reuse in
162. Trusted Systems (NCSC-TG-018) (Lt Blue Book)
163. GPO STOCK NUMBER: 008-000-00617-2
164. COST:    $1.75
165.  
166. Trusted Product Evaluation Questionnaire
167. (NCSC-TG-019, Version 2) (Blue Book)
168. GPO STOCK NUMBER: 008-000-00613-0
169. COST:    $3.00
170.  
171. Trusted UNIX Working Group (TRUSIX) Rationale for 
172. Selecting Access Control List Features for the 
173. UNIX* System (NCSC-TG-020A, Version 1) (Gray Book) 
174. GPO STOCK NUMBER: 008-000-00559-1
175. COST: $4.25
176.  
177. Trusted Database Management System Interpretation
178. (NCSC-TG-021, Version 1)  (Lavender Book)
179. GPO STOCK NUMBER:  008-000-00582-6
180. COST:    $8.50
181.  
182. A Guide to Understanding Trusted Recovery in 
183. Trusted Systems (NCSC-TG-022) (Yellow Book) 
184. GPO STOCK NUMBER: 008-000-00611-3
185. COST:    $4.00
186.  
187. A Guide to Understanding Data Remanence in
188. Automated Information Systems
189. (NCSC-TG-025, Version-2) (Green Book)
190. NOT AVAILABLE FROM GPO
191.  
192. A Guide to Writing the Security Features User's
193. Guide for Trusted Systems (NCSC-TG-026, Version 1)
194. (Hot Peach Book)
195. GPO STOCK NUMBER: 008-000-00593-1
196. COST: $2.25
197.  
198. A Guide to Understanding Information System
199. Security Officer Responsibilities for Automated
200. Information Systems  (NCSC-TG-027, Version 1)
201. (Turquoise Book)
202. NOT AVAILABLE FROM GPO
203.  
204. Assessing Controlled Access Protection
205. (NCSC-TG-028, Version 1) (Violet Book)
206. GPO STOCK NUMBER:  008-000-00615-6
207. COST:    $5.00
208.  
209. Status: updated Wed Aug 25 17:41:21 EDT 1993
210.  
211.  
212. -----stuff cut out--------
213.  
214. The Green and Red books can be obtained via anonymous ftp
215. from
216.       csrc.ncsl.nist.gov
217.  
218. in directory pub/secpubs.  The filenames are tg005.txt and std002.txt.
219. I don't believe the others are there, though...
220.  
221. -----stuff cut out--------
222.  
223. ftp to csrc.ncsl.nist.gov (129.6.54.11).  The documents you want will
224. be in pub/nistpubs and pub/secpubs.  You can use the index file to map
225. document titles to file names.
226.  
227.  
228.  
229. Regards Dave.
230.  
231. Path: wzv!svin02!tuegate.tue.nl!sun4nl!mcsun!uunet!cs.utexas.edu!asuvax!ukma!morgan
232. From: morgan@ms.uky.edu (Wes Morgan)
233. Newsgroups: alt.security
234. Subject: Re: covert channels
235. Message-ID: <1991Dec19.132858.21031@ms.uky.edu>
236. Date: 19 Dec 91 18:28:58 GMT
237. References: <kdHpH4S00j5uQodsNS@andrew.cmu.edu> 
238.     <kl02qdINN9e2@early-bird.think.com> <85834150@bfmny0.BFM.COM>
239. Organization: The Puzzle Palace, UKentucky
240. Lines: 82
241. X-Bytes: 3943
242.  
243. In article <85834150@bfmny0.BFM.COM> tneff@bfmny0.BFM.COM (Tom Neff) writes:
244. >
245. >I mean, if B2 requires covert channels be blocked, and N different
246. >products make the grade and get their little gold stars etc, then
247. >someone thinks of a radically clever new channel! -- are all the little
248. >gold stars automatically revoked until the gurus catch up, or what?
249. >
250.  
251.  
252. Whenever the subject of NCSC security ratings (B1,C2, et cetera) comes up,
253. there's one thing you need to remember.  The NCSC certifications are given
254. on SPECIFIC hardware/software/physical environments.  For instance, an 
255. AT&T 3B2/600 running System V Unix 3.1.1 with the MLS add-on might be cer-
256. tified as B1 *in the testing laboratory*.  As soon as I take that IDENTICAL
257. system and place it in my machine room, it drops all the way down to a
258. rating of D.  Why?  In this case, because access to the machine room (the
259. physical security environment) is not adequately controlled; the custodial 
260. staff's passkeys will give them access.  Software and hardware cannot, in
261. and of themselves, sustain a given rating (other than D, of course).
262.  
263. For instance, the NCSC guidelines indicate that no site participating in
264. Usenet can claim a security rating; the proof is left as an exercise for the
265. reader.
266.  
267. If you're interested in the NCSC criteria, you should get a set of the 
268. "Rainbow Series".  While the "Orange Book" is the most widely known, the
269. other volumes in the set are equally informative.  Here's the list:
270.  
271.     -- Department of Defense Trusted Computer System Evaluation Criteria
272.        (TCSEC), aka the "Orange Book"
273.     -- Computer Security Subsystem Interpretation of the TCSEC
274.     -- Trusted Data Base Management System Interpretation of the TCSEC
275.     -- Trusted Network Interpretation of the TCSEC
276.     -- Trusted Network Interpretation Environments Guideline -- Guidance
277.        for Applying the Trusted Network Interpretation
278.     -- Trusted Unix Working Group (TRUSIX) Rationale for Selecting
279.        Access Control List Features for the Unix System
280.     -- Trusted Product Evaulations -- A Guide for Vendors
281.     -- Computer Security Requirements -- Guidance for Applying the DoD
282.        TCSEC in Specific Environments
283.     -- Technical Rationale Behind CSC-STD-003-85: Computer Security
284.        Requirements
285.     -- Trusted Product Evaluation Questionnaire
286.     -- Rating Maintenance Phase -- Program Document
287.     -- Guidelines for Formal Verification Systems
288.     -- A Guide to Understanding Audit in Trusted Systems
289.     -- A Guide to Understanding Trusted Facility Management
290.     -- A Guide to Understanding Discretionary Access Control in Trusted
291.        Systems
292.     -- A Guide to Understanding Configuration Management in Trusted Systems
293.     -- A Guide to Understanding Design Documentation in Trusted Systems
294.     -- A Guide to Understanding Trusted Distribution in Trusted Systems
295.     -- Department of Defense Password Management Guideline
296.     -- Glossary of Computer Security Terms
297.  
298. A complete set may be obtained, at no cost, by contacting:
299.  
300.     INFOSEC Awareness Office
301.     Department of Defense/National Security Agency
302.     Attn: S332
303.     9800 Savage Road
304.     Ft. George G. Meade, MD  20755-6000
305.  
306.     Phone: (301) 688-8742
307.  
308. If you're serious about security (or just want to get down in the bowels of
309. the topic), I'd recommend getting this series.  The reading does get a bit
310. tedious, but you'll develop a keen awareness of security needs/problems.  In
311. addition, you'll be placed on their mailing list for new volumes in the series,
312. as well as updates and conference/seminar annoucements.
313.  
314. I understand that there is a parallel volume in Great Britain, developed by 
315. the British analogue of the NCSC; however, I have not seen it.  If anyone 
316. knows how to obtain a copy (either online or hard copy), please let me know.
317.  
318. Wes
319.  
320. -- 
321.  morgan@ms.uky.edu    |Wes Morgan, not speaking for|     ....!ukma!ukecc!morgan
322.  morgan@engr.uky.edu  |the University of Kentucky's|   morgan%engr.uky.edu@UKCC
323.  morgan@ie.pa.uky.edu |Engineering Computing Center| morgan@wuarchive.wustl.edu
324.  
325.