home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / coloredbooks / VeniceBlueBook.sit.hqx / Venice Blue Book

Wrap

Text File  |  1997-11-17  |  63KB  |  2,072 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7.  
8.  
9. NCSC-TG-009 - Computer Security Subsystems
10.  
11.  
12.  
13.  
14.  
15. NCSC-TG-009 - Computer Security Subsystems
16.  
17.  
18.  • Library No. S230,512
19.  • Version 1
20.  
21.  
22.  
23.  
24.  
25. FOREWORD
26.  
27.  
28.  
29. This publication is issued by the National Computer Security Center
30. (NCSC) as part of its program to promulgate technical computer
31. security guidelines. This interpretation extends the Department
32. of Defense Trusted Computer System Evaluation Criteria (DOD 5200.28-STD)
33. to computer security subsystems.
34.  
35.  
36. This document will be used for a period of at least one year after
37. date of signature. During this period the NCSC will gain experience
38. using the Computer Security Subsystem Interpretation in several
39. subsystem evaluations. After this trial period, necessary changes
40. to the document will be made and a revised version issued.
41.  
42.  
43. Anyone wishing more information, or wishing to provide comments
44. on the usefulness or correctness of the Computer Security Subsystem
45. Interpretation may contact: Chief Technical Guidelines Division,
46. National Computer Security Center, Fort George G. Meade, MD 20755-6000,
47. ATTN: Cll.
48.  
49.  
50. PATRICK R GALLAGHER, JR.                       16 September 1988
51.  
52.  
53. Director          National Computer Security Center
54.  
55.  
56. Computer Security Subsystems                 ACKNOWLEDGEMENT
57. ACKNOWLEDGEMENT
58.  
59.  
60.  
61. Acknowledgment is extended to the members of the working group
62. who produced this Interpretation. Members were: Michael W. Hale,
63. National Computer Security Center (Chair); James P. Anderson;
64. Terry Mayfie!d, Institute For Defense Analyses; Alfred W. Arsenault,
65. NCSC; William Geer, NCSC; John C.  Inglis, NCSC; Dennis Steinauer,
66. National Bureau of Standards; Mario Tinto, NCSC; Grant Wagner,
67. NCSC; and Chris Wilcox, NCSC.
68.  
69.  
70. Acknowledgement is further extended to those individuals who conducted
71. thorough reviews and and provided constructive comments on this
72. document.  Reviewers included: Steve Lipner, Earl Boebert, Virgil
73. Gligor, Debbie Downs, Len Brown, Doug Hardie, Steve Covington,
74. Jill Sole and Bob Morris.
75. 1. INTRODUCTION
76.  
77.  
78.  
79. This document provides interpretations of the Department of Defense
80. Trusted Computer System Evaluation Criteria (DoD 5200.28-STD or
81. TCSEC) for computer security subsystems.  A computer security
82. subsystem (subsystem) is defined, herein, as hardware, firmware
83. and/or software which can be added to a computer system to enhance
84. the security of the overall system.  A subsystem's primary utility
85. is to increase the security of a computer system.  The computer
86. system that the subsystem is to protect is referred to as the
87. protected system in this Interpretation.
88.  
89.  
90. When incorporated into a system environment, evaluated computer
91. security subsystems may be very effective in reducing or eliminating
92. certain types of vulnerabilities whenever entire evaluated systems
93. are unavailable or impractical.
94. 1.1 PURPOSE
95.  
96.  
97.  
98. This Interpretation has been prepared for the following purposes:
99.  
100.  • 1. to establish a standard for manufacturers as to what security
101. features and assurance levels to build into their new and planned
102. computer security subsystem products to provide widely available
103. products that satisfy trust requirements for sensitive applications;
104.  • 2. to provide a metric to evaluate the degree of trust that
105. can be placed in a subsystem for protecting classified and sensitive
106. information;
107.  • 3. to lend consistency to evaluations of these products by
108. explicitly stating the implications that are in the TCSEC; and
109.  • 4. to provide the security requirements for subsystems in
110. acquisition specifications.
111.  
112.  
113. 1.2 BACKGROUND
114.  
115.  
116.  
117. The Department of Defense Trusted Computer System Evaluation Criteria
118. (DoD 5200.28-STD or TCSEC) was developed to establish uniform
119. DoD policy and security requirements for "trusted, commercially
120. available, automatic data processing (ADP) systems." Evaluation
121. criteria defined in the TCSEC provides a standard to manufacturers
122. as to what security features to build into their commercial products
123. to satisfy trust requirements for sensitive applications, and
124. serves as a metric with which to evaluate the degree of trust
125. that can be placed in a computer system for the secure processing
126. of classified or other sensitive information.
127.  
128.  
129. The TCSEC specifies a variety of features that a computer system
130. must provide to constitute a complete security system.  The security
131. requirements specified in the TCSEC depend on and complement one
132. another to provide the basis for effective implementation of a
133. security policy in a trusted computer system.  The effectiveness
134. of any one security feature present within a system is, therefore,
135. dependent to some degree on the presence and effectiveness of
136. other security features found within the same system.  Because
137. it was intended to be used only for systems which incorporated
138. all the security features of a particular evaluation class, the
139. TCSEC does not, in all cases, completely specify these interdependencies
140. among security features.
141.  
142.  
143. In addition to the class of trusted system products, there exists
144. a recognized need for a class of computer security products which
145. may not individually meet all of the security features and assurances
146. of the TCSEC.  Instead, these products may implement some subset
147. of the features enumerated in the TCSEC and can potentially improve
148. the security posture in existing systems.  These products are
149. collectively known as computer security subsystems.
150.  
151.  
152. Evaluation of computer security subsystems against a subset of
153. the requirements given in the TCSEC has proven an extremely difficult
154. task because of the implied dependencies among the various features
155. discussed in the TCSEC.  As a consequence, interpretations of
156. these interdependencies and the relative merits of specific subsystem
157. implementations have been highly subjective and given to considerable
158. variation.
159.  
160.  
161. This document provides interpretations of the TCSEC for computer
162. security subsystems in an effort to lend consistency to evaluations
163. of these products by explicitly stating the implications in the
164. TCSEC.
165.  
166.  
167. Evaluations can be divided into two types: (l) a product evaluation
168. can be perforrned on a subsystem from a perspective that excludes
169. the application environment, or (2) a certification evaluation
170. can be done to assess whether appropriate security measures have
171. been taken to permit an entire system to be used operationally
172. in a specific environment.  The product evaluation type is done
173. by the National Computer Security Center (NCSC) through the Trusted
174. Product Evaluation Process using this interpretation for subsystems.
175.  The certification type of evaluation lS done in support of a
176. formal accreditation for a system to operate in a specific environment
177. using the TCSEC.
178. 1.3 SCOPE
179.  
180.  
181.  
182. This document interprets the security feature, assurance and documentation
183. requirements of the TCSEC for subsystem evaluations.  In this
184. interpretation, the functional requirements of the TCSEC are divided
185. into four general categories:
186.  
187.  • 1. Discretionary Access Control (DAC)
188.  • 2. Object Reuse (OR).
189.  • 3. Identification and Authentication (I&A)
190.  • 4. Audit (AUD)
191.  
192.  
193.  
194.  
195.  
196.  
197.  
198. These categories form the basis for classifying products to be
199. evaluated as computer security subsystems.
200.  
201.  
202. The document, in addition to this introductory section, is organized
203. into three major sections and a glossary.  Section 2 contains
204. the feature requirements for each of the above four categories
205. on which subsystems evaluations are based.  The requirements in
206. this section are listed in increments, with only new or changed
207. requirements being added for each subsequent class of the same
208. feature.  All requirements that are quoted from the TCSEC are
209. in bold print for easy identification and are clarified, in the
210. context of subsystems, by interpretation paragraphs.
211.  
212.  
213. Section 3 contains the assurance requirements for all subsystems.
214.  The assurances that are relevant to each category are listed
215. here in the same format as the requirements in Section 2.  Section
216. 4 contains the requirements and interpretations for subsystem
217. documentation, again, in the same forrnat as Section 2.
218.  
219.  
220. The TCSEC-related feature and assurance requirements described
221. herein are intended for the evaluation of computer security subsystems
222. designed to protect sensitive information.  This Interpretation,
223. like the TCSEC, assumes that physical, administrative, and procedural
224. protection measures adequate to protect the inforrnation being
225. handled are already in place.
226.  
227.  
228. This Interpretation can be used to support a certification evaluation.
229.  In fact, it would be helpful whenever subsystems are a part of
230. the overall system being certified.
231. 1.4 EVALUATION OF SUBSYSTEMS
232.  
233. 1.4.1 Basis for Evaluation
234.  
235.  
236.  
237. Subsystems are evaluated for the specific security-relevant functions
238. they perforrn.  This Interpretation interprets the relevant TCSEC
239. requirements for each function evaluated.  So the function(s)
240. for which subsystems are evaluated will be identified within its
241. ratings.  Each function has its own set of ratings as identified
242. in Table 1.1.  Subsystems that are evaluated for more than one
243. function will receive a separate rating for each function evaluated.
244.  
245.  
246. TABLE 1.1. Possible Subsystem Ratings
247.  
248. SUBSYSTEM FUNCTION                   POSSIBLE RATINGS                      
249.  
250. Discretionary Access Control         DAC/D, DAC/Dl, DAC/D2, DAC/D3         
251.  
252. Object Reuse                         OR/D,OR/D2                            
253.  
254. Identification & Authentication      I&A/D, I&A/Dl, I&A/D2                 
255.  
256. Audit                                AUD/D, AUD/D2, AUD/D3                 
257.  
258.  
259.  
260.  
261.  
262.  
263. Although the requirements for subsystems are derived from the
264. TCSEC, the ratings for subsystems will not directly reflect the
265. TCSEC class they are derived from.  Since subsystems, by their
266. very nature, do not meet all of the requirements for a class Cl
267. or higher computer system, it is most appropriate to associate
268. subsystem ratings with the D division of the TCSEC.  This Interpretation
269. defines the Dl, D2 and D3 classes within the D division for subsystems.
270.  The Dl class is assigned to subsystems that meet the interpretations
271. for requirements drawn from the Cl TCSEC class.  Likewise, the
272. D2 class consists of requirements and interpretations that are
273. drawn from the C2 TCSEC class.  The D3 subsystem class is reserved
274. for DAC subsystems and audit subsystems that meet the B3 functionality
275. requirements for those functions.
276.  
277.  
278. In addition to meeting the functionality requirements and interpretations,
279. subsystems must also meet the assurance and documentation requirements
280. in sections 3 and 4 of this document.  The Dl and D2 classes have
281. requirements and interpretations for ~ssurances and documentation
282. as well as functionality.
283.  
284.  
285. The D3 class contains additional requirements and interpretations
286. only for functionality, not for assurances or documentation. 
287. So, subsystems with this rating will adhere to the D2 assurance
288. and documentation requirements and interpretations.
289.  
290.  
291. Like the classes within the TCSEC, the Dl, D2 and D3 classes are
292. ordered hierarchically.  Subsystems being evaluated for the Dl
293. class must meet the requirements and interpretations for the Dl
294. class.  Subsystems being evaluated for the D2 class must meet
295. the requirements and interpretations for the Dl class plus the
296. additional requirements and interpretations for the D2 class.
297.  Subsystems being evaluated for the D3 class must meet the additional
298. requirements and interpretations associated with the functionality
299. at D3.
300.  
301.  
302. Although the subsystem requirements and interpretations are derived
303. directly from the TCSEC, subsystems are not considered to be complete
304. computer security solutions.  There is no general algorithm to
305. derive a system rating from an arbitrary collection of computer
306. security subsystems.  Any collection of individually evaluated
307. subsystems must be evaluated as a whole to determine the rating
308. of the resulting system.  The ratings of the individual subsystems
309. in a complete system are not a factor in the rating of that system.
310. 1.4.2 Integration Requirements
311.  
312.  
313.  
314. Because all of the TCSEC requirements for a given rating class
315. were intended to be implemented in a complete computer security
316. system, many of the security features are dependent upon each
317. other for support within the system.  This poses a certain degree
318. of difficulty with extracting only the relevant requirements from
319. the TCSEC for a given feature.  Further, this poses a fundamental
320. problem for subsystems because there is an explicit dependency
321. between security features that restricts the "independent"
322. incorporation of subsystems into the system's environment.  The
323. problem has been handled in this Interpretation by discussing
324. the integration requirements for each type of subsystem.  The
325. requirements for integration are discussed for each type of subsystem
326. in a sub-section entitled, "Role Within Complete Security
327. System." Furthermore, explicit requirements for integration
328. are stated in the interpretations at appropriate points.  The
329. developer must show, and the evaluation shall validate, that the
330. subsystem can be integrated into a system to fulfill its designated
331. role.
332.  
333.  
334. Most all computer security subsystems will rely on other security-relevant
335. functions in the enviromnent where they are implemented.  Audit
336. subsystems, for example, depend on an identification and authentication
337. function to provide the unique user identities that are necessary
338. for individual accountability.  Also, it is important to realize
339. that some of these functions may be dependent on each other in
340. a cyclic fashion (e.g., I&A depends on DAC and DAC depends
341. on I&A).  In these cases, the cyclic dependencies should be
342. removed either by complete integration of the functions or by
343. modularizing the functions in a way that allows linear dependencies.
344.  Tl~is latter method is termed "sandwiching" and it
345. requires the splitting of one function and surroundmg the other
346. dependent function with the two functions resulting from the split.
347.  For example, in the case of DAC and I&A cyclic dependencies,
348. one might split I&A into two parts so that there is a system
349. I&A, a DAC subsystem, and a DAC module containing its own
350. I&A functionality.
351.  
352.  
353. With the exception of object reuse, all functions implemented
354. by subsystems will be dependent on other functions as shown in
355. Table 1.2.  The functions upon which any subsystem is dependent
356. will be referred to as that subsystem's required supporting functions.
357.  These required supporting functions must be present in the subsystem's
358. environment for the effective integration of the subsystem.
359.  
360.  
361. TABLE 1.2. Required Supporting Functions
362.  
363. SUBSYSTEM FUNCTION                   REQUIRED SUPPORTING FUNCTIONS         
364.  
365. Discretionary Access Control         I&A, Audit                            
366.  
367. Object Reuse                         None                                  
368.  
369. Identification & Authentication      Audit,DAC2, Audit, I&A, DAC2          
370.  
371.  
372.  
373.  
374.  
375.  
376. Subsystems that are not self-sufficient in providing required
377. supporting functions must, at a minimum, provide an interface
378. to their required
379.  
380.  
381. supporting functions.  The evaluation team will perform tests
382. to show whether the interface to the required supporting functions
383. is reliable and works properly.  The robustness of the required
384. supporting functions on the other side of the interface will not
385. be tested, as the scope of the subsystem evaluation is bounded
386. by the interface.
387.  
388.  
389. A more integrated solution is for subsystems to be self- su~cient
390. in providing all of their required supporting functions.  Such
391. subsystems w_ill be evaluated and assigned a separate rating for
392. each function they provide.  Unlike the previous solution, where
393. only an interface is provided, each required supporting function
394. is performed by the subsystem and must be a part of the subsystem
395. evaluation.
396.  
397.  
398. The audit supporting functions are required at D2.  2 Audit and/or
399. authentication data must be protected through domain isolation
400. or DAC.
401. 1.4.3 WARNING
402.  
403.  
404.  
405. An overan system rating, such as that provided by the TCSEC, cannot
406. be inferred from the application of one or more separately-rated
407. subsystems.  Mechanisms, interfaces, and the extent of required
408. supporting functions for each subsystem may differ substantiany
409. and may introduce significant vulnerabilities that are not present
410. in systems where security features are designed with fun knowledge
411. of interfaces and host system support.  Therefore, incorporation
412. of an evaluated subsystem into any system environment does not
413. automaticany confer any rating to the resulting system.  
414. 2. FEATURE REQUIREMENTS
415.  
416. 2.1 DISCRETIONARY ACCESS CONTROL DAC) SUBSYSTEMS
417.  
418. 2.1.1 Global Description of Subsystem Features
419.  
420. 2.1.1.1 Purpose
421.  
422.  
423.  
424. This subsystem provides user-specified, controlled sharing of
425. resources.
426.  
427.  
428. This control is established from security policies which define,
429. given identified subjects and objects, the set of rules that are
430. used by the system to determine whether a given subject is authorized
431. to gain access to a specific object.
432.  
433.  
434. DAC features include the means for restricting access to objects;
435. the means for instantiating authorizations for objects; and the
436. mechanisms for distribution, review, and revocation of access
437. privileges, especially during object creation and deletion.
438. 2.1.1.2 Role Within Complete Security System
439.  
440.  
441.  
442. The requirement is to give individual users the ability to restrict
443. access to objects created or controlled by them.  Thus, given
444. identified subjects and objects, DAC includes the set of rules
445. (group-oriented and/or individually-oriented) used by the subsystem
446. to ensure that only specified users or groups of users may obtain
447. access to data (e.g., based on a need-to-know).
448.  
449.  
450. A DAC subsystem controls access to resowces.  As such, it shall
451. be integrable with the operating system of the protected system
452. and shall mediate all accesses to the protected resources.  To
453. fully protect itself and the resources it controls, the DAC subsystem
454. must be interfaced to the protected system in such a way that
455. it is tamperproof and always invoked.
456.  
457.  
458. DAC subsystems use the identifiers of both subjects and DAC-controlled
459. objects as a basis for access control decisions.  Thus, they must
460. be supplied with the identifiers in a reliable manner.  The DAC
461. subsystem may supply subject identification for itself or it may
462. rely on an I&A mechanism in the protected system or in another
463. subsystem.  It is also essential that DAC subsystems be implemented
464. in an environment where the objects it protects are well defined
465. and uniquely identified.
466.  
467.  
468. At the DAC/D2 class, the DAC subsystem must interface with an
469. auditing mechanism.  This auditing mechanism can be included within
470. the DAC subsystem, or it may reside elsewhere in the subsystem's
471. environment.  
472. 2.1.2 Evaluation of DAC Subsystems
473.  
474.  
475.  
476. Subsystems which are designed to implement discretionary access
477. controls to assist a host in controlling the sharing of a collection
478. of objects must comply with all of the TCSEC requirements as outlined
479. below for features, assurances and documentation.  Compliance
480. with these requirements will assure that the subsystem can enforce
481. a specifically defined group-oriented and/or individually-oriented
482. discretionary access control policy.
483.  
484.  
485. As a part of the evaluation, the subsystem vendor shall set up
486. the subsystem in a typical functional configuration for security
487. testing.  This will show that the subsystem interfaces correctly
488. with the protected system to meet all of the feature requirements
489. in this section and ali of the assurance and documentation requirements
490. in Sections 3 and 4.  It will also show that the subsystem can
491. be integrated into a larger system environment.
492.  
493.  
494. The interpretations for applying the feature requirements to DAC
495. subsystems are explained in the subsequent interpretations sections.
496.  The application of the assurances requirements and documentation
497. requirements is explained in Sections 3 and 4, respectively.
498. 2.1.3 Feature Requirements For DAC Subsystems
499.  
500. 2.1.3.1 DAC/Dl
501.  
502.  
503.  • TCSEC Quote:
504.  
505.  
506.  
507.  
508.  
509.  
510.  
511. "Cl: New: The TCB shall define and control access between
512. named users and named objects (e.g., files and programs) in the
513. ADP system.  The enforcement mechanism (e.g., self/group/public
514. controls, access control lists) shall allow users to special and
515. control sharing of those objects by named indinduals or defined
516. groups or both."
517.  
518.  • Interpretation:
519.  
520.  
521.  
522.  
523.  
524.  
525.  
526. In the TCSEC quote, "TCB" is interpreted to mean "DAC
527. subsystem".
528. 2.1.3.1.1 Identified users and objects
529.  
530.  
531.  
532. DAC subsystems must use some mechanism to determine whether users
533. are authorized for each access attempted.  At DAC/Dl, this mechanism
534. must control access by groups of users.  The mechanisms that can
535. meet this requirement include, but are not limited to: access
536. control lists, capabilities, descriptors, user profiles, and protection
537. bits.  The DAC mechanism uses the identification of subjects and
538. objects to perform access control decisions.  This implies that
539. the DAC subsystem must interface with or provide some I&A
540. mechanism.  The evaluation shall show that user identities are
541. available to DAC.
542. 2.1.3.1.2 User-specified object sharing
543.  
544.  
545.  
546. The DAC subsystem must provide the capability for users to specify
547. how other users or groups may access the objects they control.
548.  This requires that the user have a means to specify the set of
549. authorizations (e.g., access control list) of all users or groups
550. permitted to access an object and/or the set of all objects accessible
551. to a user or group (e.g., capabilities).
552. 2.1.3.1.3  Mediation
553.  
554.  
555.  
556. The checking of the specified authorizations of a user prior to
557. granting access to an object is the essential function of DAC
558. which must be provided.  Mediation either allows or disallows
559. the access.
560. 2.1.3.2 DAC/D2
561.  
562.  
563.  • TCSEC Quote:
564.  
565.  
566.  
567.  
568.  
569.  
570.  
571. "C2: Change: The enforcement mechanism (e.g.  self/group/public
572. controls, access control lists) shall allow users to specify and
573. control sharing of those objects by named individuals, or defined
574. groups of individuals, or by both, and shan provide controls to
575. limit propagation of access rights."
576.  
577.  
578. "C2: Add: The discretionary access control mechamsm shan,
579. either by explicit user action or by default, provide that objects
580. are protected from unauthorized access.  These access controls
581. s~ll be capable of including or excluding access to the granularity
582. of a single wer.  Access permission to an object by users not
583. already possessing access pernlission shan only be assigned by
584. authorized users."
585.  
586.  • Interpretation:
587.  
588.  
589.  
590.  
591.  
592.  
593.  
594. The following interpretations, in addition to the interpretations
595. for the DAC/Dl Class, shall be satisfied at the DAC/D2 Class.
596. 2.1.3.2.1 DAC/D2
597.  
598.  
599.  
600. The DAC/D2 class requires mdividual access controls; therefore,
601. the granularity of user identification must enable the capabili~
602. to discern an individual user.  That is, access control based
603. upon group identi~ alone is insufflcient.  To comply with the
604. requirement, the DAC subsystem must either provide unique user
605. identities through its own I&A mechanism or Mterface with
606. an I&A mechanism that provides unique user identities.  The
607. DAC subsystem must be able to interface to an auditing mechanism
608. that records data about access mediation events.  The evaluation
609. shall show that audit data is created and is available to the
610. auditing mechanism.
611. 2.1.3.2.2 Authorized user-specified object sharing
612.  
613.  
614.  
615. The ability to propagate access rights to objects must be lirnited
616. to authorized users.  This additional feature is incorporated
617. to limit access rights propagation.  This distribution of privileges
618. encompasses granting, reviewing, and revoking of access.  The
619. ability to grant the right to grant propagation of access will
620. itself be limited to authorized users.
621. 2.1.3.2.3 Default protection
622.  
623.  
624.  
625. The DAC mechanism must deny all users access to objects when no
626. explicit action has been taken by the authorized user to allow
627. access.
628. 2.1.3.3 DAC/D3
629.  
630.  
631.  •  TCSEC Quote:
632.  
633.  
634.  
635.  
636.  
637.  
638.  
639. "B3: Change: The enforcement mechanism (e.g., access control
640. lists) shall allow users to specify and control sharing of those
641. objects, and shall provide controls to limit propagation of access
642. rights.  These access controls shall be capable of specifying,
643. for each named object, a list of named individuals and a list
644. of groups of named individuals with their respective modes of
645. access to that object."
646.  
647.  
648. "Add: Furtherrnore, for each such named object, it shall
649. be possible to specify a list of named individuals and a list
650. of groups of named individuals for which no access to the object
651. is to be given."
652.  
653.  •  Interpretation:
654.  
655.  
656.  
657.  
658.  
659.  
660.  
661. The following interpretation, in addition to the interpretations
662. and
663.  
664.  
665. requirements for the DAC/D2 class, shall be satisfied for the
666. DACID3 class.
667. 2.1.3.3.1 Access control lists for each object
668.  
669.  
670.  
671. The DAC subsystem shan anow users to specify the list of individuals
672. or groups of individuals who can access each object.  The list
673. shan additionally specify the mode(s) of access that is anowed
674. each user or group.  This implies that access control lists associated
675. with each object is the only acceptable mechanism to satisfy the
676. DAC/D3 requirement.
677. 2.1.4 Assurance Requirements for DAC Subsystems
678.  
679.  
680.  
681. DAC subsystems must comply with an of the assurance requirements
682. for their given class as indicated below.  The interpretations
683. for these assurance requirements are contained in Section 3.
684.  
685.  
686. Subsystems at the DAC/Dl class must comply with:
687.  
688.  •  System Architecture (Dl)
689.  •  System Integrity (Dl)
690.  •  Security Testing (Dl)
691.  
692.  
693.  
694.  
695.  
696.  
697.  
698. Subsystems at the DAC/D2 and DAC/D3 classes must comply with:
699.  
700.  •  System Architecture (D2)
701.  •  System Integrity (D2)
702.  •  Security Testing (D2)
703.  
704.  
705.  
706.  
707.  
708. 2.1.5 Documentation Requirements for DAC Subsystems
709.  
710.  
711.  
712. DAC subsystems must meet the documentation requirements listed
713. below for their target rating class.  The interpretations for
714. these documentation requirements are contained in Section 4.
715.  
716.  
717. Subsystems at the DAC/Dl class must comply with:
718.  
719.  •  Security Features User's Guide (Dl)
720.  •  Trusted Facility Manual (Dl)
721.  •  Test Documentation (Dl)
722.  •  Desi~ Documentation (Dl)
723.  
724.  
725.  
726.  
727.  
728.  
729.  
730. Subsystems at the DAC/D2 and DAC/D3 classes must comply with:
731.  
732.  •  Security Features User's Guide (D2)
733.  •  Trusted Facility Manual (D2)
734.  •  Test Documentation (D2)
735.  •  Design Documentation (D2)
736.  
737.  
738.  
739.  
740.  
741. 2.2 OBJECT REUSE SUBSYSTEMS
742.  
743. 2.2.1 Global Description of Subsystem Features
744.  
745. 2.2.1.1 Purpose
746.  
747.  
748.  
749. Object reuse subsystems clear storage objects to prevent subjects
750. from scavenging data from storage objects which have been previously
751. used.
752. 2.2.1.2 Role Within the Complete Security System
753.  
754.  
755.  
756. Object reuse can be used to prevent information scavenging by
757. erasing information residue contained in previously used storage
758. objects that have been released by the storage management system.
759.  Object reuse subsystems are most effective in environments where
760. some security policy is implemented on the system.
761.  
762.  
763. To prevent scavenging of information from previously used storage
764. objects, object reuse subsystems must be fully integrable with
765. the operating system of the protected system.  The object reuse
766. subsystem must perform its function for all reusable storage objects
767. on the protected system (i.e., main memory, disk storage, tape
768. storage, I/O buffers, etc.).
769.  
770.  
771. Object reuse subsystems must be interfaced with the protected
772. system in such a way that they are tamperproof and always invoked.
773. 2.2.2 Evaluation of Object Reuse Subsystems
774.  
775.  
776.  
777. Subsystems which implement object reuse must comply with all of
778. the TCSEC requirements as outlined below for features, assurances,
779. and documentation.  Compliance with these requirements will show
780. that the subsystem can enforce object reuse adequately to receive
781. an OR/D2 rating for object reuse.
782.  
783.  
784. As a part of the evaluation, the subsystem vendor shall set up
785. the subsystem in a typical functional connguration for security
786. testing.  This will show that the subsystem interfaces correctly
787. with the protected system to meet all of the feature requirements
788. in this section and all of the assurance and documentation requirements
789. in Sections 3 and 4.  It will also show that the subsystem can
790. be integrated into a larger system environment.
791.  
792.  
793. The interpretations for applying the feature requirements of object
794. reuse subsystems are explained in the subsequent interpretations
795. section.  The application of the assurance requirements listed
796. below is explained in Sections 3 and 4, respectively.
797. 2.2.3 Feature Requirements for Object Reuse Subsystems
798.  
799. 2.2.3.1 OR/D2
800.  
801.  
802.  • TCSEC Quote:
803.  
804.  
805.  
806.  
807.  
808.  
809.  
810. "C2: New: all authorizations to the information contained
811. within a storage object shall be revoked prior to initial assignment,
812. allocation or reallocation to a subject from the TCB's pool of
813. unused storage objects.  No information, including encrypted representations
814. of information, produced by a prior subject's actions is to be
815. available to any subject that obtains access to an object that
816. has been released back to the system." 
817.  
818.  • Interpretation:                                          
819.   
820.  
821.  
822.  
823.  
824.  
825.  
826.  
827. In the TCSEC quote, "TCB" is interpreted to mean "protected
828. system".  Otherwise, this requirement applies as stated.
829.  The object reuse subsystem shall perform its function for all
830. storage objects on the protected system that are accessible to
831. users.
832.  
833.  • Rationale/Discussion:
834.  
835.  
836.  
837.  
838.  
839.  
840.  
841. Object reuse subsystems must assure that no previously used storage
842. objects (e.g., message buffers, page frames, disk sectors, magnetic
843. tape, memory registers, etc.) can be used to scavenge residual
844. information.  Information remaining in previously used storage
845. objects can be destroyed by overwriting it with meaningless or
846. unintelligible bit patterns.  An alternative way of approaching
847. the problem is to deny read access to previously used storage
848. objects until the user who has just acquired them has overwritten
849. them with his own data.
850.  
851.  
852. Object reuse subsystems do not equate to systems used to eliminate
853. magnetic remnance.
854. 2.2.4 Assurance Requirements for Object Reuse Subsystems
855.  
856.  
857.  
858. Object reuse subsystems must comply with all of the assurance
859. requirements shown below for the D2 class.  The interpretations
860. for these assurance requirements for Object Reuse subsystems are
861. contained in Section 3.
862.  
863.  •  System Architecture (D2)
864.  •  System Integrity (D2)
865.  •  Security Testing (D2)
866.  
867.  
868.  
869.  
870.  
871. 2.2.5 Documentation Requirements for Object ReuseSubsystems
872.  
873.  
874.  
875.  
876. Object reuse subsystems must meet the documentation requirements
877. shown below for the D2 class.  The interpretations for these documentation
878. requirements are contained in Section 4.
879.  
880.  •  Security Features User's Guide (D2)
881.  •  Trusted Facility Manual (D2)
882.  •  Test Documentation (D2)
883.  •  Design Documentation (D2)
884.  
885.  
886.  
887.  
888.  
889. 2.3 IDENTICATION & AUTHENTICATION (I&A) SUBSYSTEMS
890.  
891.  
892. 2.3.1 Global Description of Subsystem Features
893.  
894. 2.3.1.1 Purpose
895.  
896.  
897.  
898. This subsystem provides the authenticated identification of a
899. user seeking to gain access to any resources under the control
900. of the protected system.
901. 2.3.1.2 Role Within Complete Security System
902.  
903.  
904.  
905. The I&A subsystem provides an authenticated user identification
906. needed to provide accountability for and control access to the
907. protected system.  The granularity of user identification is determined
908. by the requirements in this interpretation.  The granularity increases
909. from group identification at I&A/Dl to individual identification
910. at I&A/D2.
911.  
912.  
913. The requirement is to be able to accurately authenticate the claimed
914. identity of a user.  The I&A subsystem must determine whether
915. a user is authorized to use the protected system.  For all authorized
916. users, the I&A subsystem communicates the identity of the
917. user to the protected system.  This identity can then be used
918. by the protected system or other subsystems to provide accountability
919. for use of the system and access controls to protected objects
920. on the system.  To be effective and to protect the authentication
921. data it uses, the I&A subsystem must be tamperproof and always
922. invoked.
923.  
924.  
925. At I&A/D2, it is important that all uses of the I&A subsystem
926. be recorded in an audit trail.  The auditing of these actions
927. may be performed entirely by the auditing mechanism on the I&A
928. subsystem, or through an interface with an auditing mechanism
929. in the protected system or another subsystem.
930. 2.3.2 Evaluation of I&A Subsystems
931.  
932.  
933.  
934. Subsystems which are designed to implement I&A must comply
935. with all of the TCSEC requirements outlined below for features,
936. assurances, and documentation.  Compliance with these requirements
937. will assure that the subsystem can enforce, either wholly or in
938. part, a specific I&A policy. As a part of the evaluation,
939. the subsystem vendor shall set up the subsystem in a typical functional
940. configuration for security testing.  This will show that the subsystem
941. interfaces correctly with the protected system to meet all of
942. the feature requirements  in this section and all of the assurance
943. and documentation requirements in Sections 3 and 4.  It will also
944. show that the subsystem can be integrated into a larger system
945. environment.
946.  
947.  
948. The interetations for applying the feature requirements to I&A
949. subsystems are explained in the subsequent interpretations sections.
950.  The application of the assurance requirements and documentation
951. requirements listed in the next section is explained in Sections
952. 3 and 4, respectively.
953. 2.3.3 Feature Requirement for I&A Subsystems
954.  
955. 2.3.3.1 I&A/Dl
956.  
957.  
958.  • TCSEC Quote: 
959.  
960.  
961.  
962.  
963.  
964.  
965.  
966. "Cl: New: The TCB shall require users to identify themselves
967. to it before beginning to perform any other actions that the TCB
968. is expected to mediate.  Furthermore, the - TCB shall use a protected
969. mechanism (e.g., passwords) to authenticate the user's identity.
970.  The TCB shall protect authentication data so that it cannot be
971. accessed by any unauthorized user."
972.  
973.  • Interpretation:
974.  
975.  
976.  
977.  
978.  
979.  
980.  
981. The I&A subsystem shall require users to identify themselves
982. to it before beginning to perforrn any other actions that the
983. system is expected to mediate.  Furthermore, the I&A subsystem
984. shall use a protected mechanism (e.g., passwords) to authenticate
985. the user's identity.  The I&A subsystem shall protect authentication
986. data so that it cannot be accessed by any unauthorized user.
987.  
988.  
989. The I&A subsystem shall, at a minimum, identify and authenticate
990. system users.  At I&A/Dl, users need not be individually identified.
991.  
992.  • Rationale/Discussion:
993.  
994.  
995.  
996.  
997.  
998.  
999.  
1000. Identification and Authentication must be based on at least a
1001. two-step process, which is derived from a combination of something
1002. the user possesses (e.g., smart card, magnetic stripe card), some
1003. physical attribute about the user (e.g., fingerprint, voiceprint),
1004. something the user knows (e.g., password, passphrase).  The claimed
1005. identification of a user must be authenticated by an explicit
1006. action of the user.  It is not acceptable for one step to be used
1007. as both identification and authentication.  The claimed identity
1008. can be public.  The measure used for authentication must be resistant
1009. to forging, guessing, and fabricating.
1010.  
1011.  
1012. The I&A subsystem must interface to the protected system in
1013. such a way that it can reliably pass authenticated user identities
1014. to the protected system.  The evaluation shall show that authenticated
1015. user identities can be passed to the protected system.
1016. 2.3.3.2 I&A/D2
1017.  
1018.  
1019.  • TCSEC Quote: -
1020.  
1021.  
1022.  
1023.  
1024.  
1025.  
1026.  
1027. "C2: Add: The TCB shan be able to enforce individual accountability
1028. by providing the capability to uniqueb identify each individual
1029. ADP system user.  The TCB shall also ; provide the capabmty of
1030. associa~ ~is identity ~nth an auditable actiol~ taken by ; that
1031. indindual."
1032.  
1033.  • Interpretation ~
1034.  
1035.  
1036.  
1037.  
1038.  
1039.  
1040.  
1041. The following interpretations, in addition to those interpretations
1042. for I&A/Dl, shall be satisfied at the I&A/D2 Class.
1043.  
1044.  
1045. In the TCSEC quote, "TCB" is interpreted to mean "I&A
1046. subsystem." The I&A subsystem shall pass to the protected
1047. system a unique identifier for each individual.
1048.  
1049.  
1050. The I&A subsystem shall be able to uniquely identify each
1051. individual user.  This includes the ability to identify individual
1052. members within an authorized user group and the ability to identify
1053. specific system users such as operators, system administrators,
1054. etc.
1055.  
1056.  
1057. The I&A subsystem shall provide for the audit logging of security-relevant
1058. I&A events.  For I&A, the origin of the request (e.g.,
1059. terminal ID, etc.), the date and time  of the event, user ID (to
1060. the extent recorded), type of event, and the success or failure
1061. of the event shall be recorded.  The I&A subsystem may meet
1062. this requirement  either through its own auditing mechanism or
1063. by providing an interface for passing the necessary data to another
1064. auditing mechanism.  ,
1065.  
1066.  • Rationale/Discussion: 
1067.  
1068.  
1069.  
1070.  
1071.  
1072.  
1073.  
1074. The intent of this requirement is for the I&A subsystem to
1075. supply a unique identity for each user to the protected system.
1076.  The subsystem supplies a unique user identity  which may or may
1077. not be used by an auditing mechanism.  This auditing support is
1078. : required to maintain consistency with the C2 level of trust
1079. as defined by the TCSEC.  
1080. 2.3.4 Assurance Requirements for I&A Subsystems
1081.  
1082.  
1083.  
1084. I&A subsystems must comply with all of the assurance requirements
1085. listed below  for their given class.  The interpretations for
1086. these assurance requirements to I&A subsystems are contained
1087. in Section 3.
1088.  
1089.  
1090. Subsystems at the I&A/Dl class shall comply with: 
1091.  
1092.  •  System Architecture (Dl) 
1093.  •  System Integrity (Dl) 
1094.  •  Security Testing (Dl) .
1095.  
1096.  
1097.  
1098.  
1099.  
1100.  
1101.  
1102. Subsystems at the I&A/D2 class shall comply with:
1103.  
1104.  •  System Architecture (D2) 
1105.  •  System Integrity (D2)
1106.  •  Security Testing(D2)
1107.  
1108.  
1109.  
1110.  
1111.  
1112. 2.3.5 Documentation Requirements for I&A Subsystems
1113.  
1114.  
1115.  
1116. I&A subsystems must meet the documentation requirements listed
1117. below for their target rating class.  The interpretations for
1118. these documentation requirements are contained in Section 4.
1119.  
1120.  
1121. Subsystems at the I&A/Dl class shall comply with:
1122.  
1123.  •  Security Features User's Guide (Dl)
1124.  •  Trusted Facility Manual (Dl)
1125.  •  Test Documentation (Dl)
1126.  •  Design Documentation (Dl)
1127.  
1128.  
1129.  
1130.  
1131.  
1132.  
1133.  
1134. Subsystems at the I&A/D2 class shall comply with:
1135.  
1136.  •  Security Features User's Guide (D2)
1137.  •  Trusted Facility Manual (D2)
1138.  •  Test Documentation (D2) 
1139.  •  Design Documentation (D2) 
1140.  
1141.  
1142. 2.4 AUDlT SUBSYSTEMS
1143.  
1144. 2.4.1 Global Description of Subsystem Features
1145.  
1146. 2.4.1.1 Purpose
1147.  
1148.  
1149.  
1150. Accountability is partly achieved through auditing.  That is,
1151. data from security- relevant events is captured and passed to
1152. the audit mechanism to be recorded for use in detecting possible
1153. security breaches and providing a trace to the party responsible.
1154. 2.4.1.2 Role Within Complete Security System
1155.  
1156.  
1157.  
1158. The requirement is to be able to record security-relevant events
1159. in a manner that will allow detection and/or after-the-fact investigations
1160. to trace security violations to the responsible party.
1161.  
1162.  
1163. An auditing subsystem must be capable of recording all security-relevant
1164. actions -i - that take place throughout the computer system. 
1165. To accomplish this goal, it must integrate itself into the mechanisms
1166. that mediate access and perform user identification and authentication,
1167. and capture data about the events they control.  Additionally,
1168. an audit subsystem must be interfaced with the protected system
1169. in such a way that it is tamperproof and always invoked.
1170.  
1171.  
1172. The auditing subsystem must be provided all of the necessary data
1173. associated with actions as specified in Section 2.4.3.  The necessary
1174. data includes the unique identity of the user that is responsible
1175. for each action.  This implies that an auditing subsystem must
1176. be augmented by an identification and authentication mechanism
1177. either within the subsystem itself or elsewhere on the system.
1178. 2.4.2 Evaluation of Auditing Subsystems
1179.  
1180.  
1181.  
1182. Subsystems which are designed to implement audit data collection
1183. and control functions for a host must comply with all of the TCSEC
1184. requirements as outlined below for features, assurances and documentatioi.
1185.  Compliance with these features will assure that the subsystem,
1186. through its integration, can detect or generate the relevant audit
1187. data or can record all relevant audit data passed to it by the
1188. host or other subsystems.
1189.  
1190.  
1191. As a part of the evaluation, the subsystem vendor shall set up
1192. the subsystem in a typical functional configuration for security
1193. testing.  This will show that the subsystem interfaces correctly
1194. with the protected system to meet all of the feature requirements
1195. in this section and all of the assurance and documentation requirements
1196. in Sections 3  and 4.  It will also show that the subsystem can
1197. be integrated into a larger system environrnent.  
1198.  
1199.  
1200. The interpretations for applying the feature requirements to auditing
1201. subsystems are explained in the subsequent interpretations sections.
1202.  The application of the assurance requirements and documentation
1203. requirements is explained in Sections 3  and 4, respectively.
1204. 2.4.3 Feature Requirements For Auditing Subsystems
1205.  
1206. 2.4.3.1 AUD/D2
1207.  
1208.  
1209.  • TCSEC Quote:
1210.  
1211.  
1212.  
1213.  
1214.  
1215.  
1216.  
1217. "C2: New: The TCB shan be able to create, maintain, and protect
1218. from modification or unauthorized access or destruction an audit
1219. trail of accesses to the objects it protects.  The audit data
1220. shan be protected by the TCB so that read access to it is limited
1221. to those who are authorized for audit data.  The TCB shall be
1222. able to record the following types of events: use of identification
1223. and authentication mechanisms introduction of objects into a user's
1224. address space (e.g., file open, program ~.  initiation), deletion
1225. of objects, actions taken by computer operators and system administrators
1226. and/or system security officers, and other security relevant events.
1227.  For each recorded event, the audit record shall identify: date
1228. and time of the event, ~ user, type of event, and success or failure
1229. of the event.  For identincation/authentication events the origin
1230. of request (e.g., terminal ID) shan be - included in the audit
1231. record.  For events that introduce an object into a user's address
1232. space and for object deletion events the audit record shall include
1233. the name of the object.  rne ADP system administrator shall be
1234. able to selectively audit the actions of any one or more users
1235. based on individual identity."
1236.  
1237.  • Interpretations:
1238.  
1239.  
1240.  
1241.  
1242.  
1243.  
1244.  
1245. The following subsections provide interpretations of the TCSEC
1246. requirements which shall be satisfied by auditing subsystems at
1247. AUD/D2.  
1248. 2.4.3.1.1 Creation and management of audit trail
1249.  
1250.  
1251.  
1252. The auditing subsystem shall create and manage the audit trail
1253. of security-relevant " events in the system.  If the other
1254. portions of the system are unable to capture data about such events,
1255. the auditiug subsystem shaU coutain the necessary interfaces into
1256. the system to perform this function.  Alternatively, the auditing
1257. subsystem might simply accept and store data about events if the
1258. other portions of the system are capable of creating such data
1259. and passing them on.
1260.  
1261.  • Rationale/Discussion:
1262.  
1263.  
1264.  
1265.  
1266.  
1267.  
1268.  
1269. To meet this requirement, it is sufficient that the audit subsystem
1270. provides a set of calls which permit the system to supply the
1271. needed data as parameters that the audit subsystem puts into a
1272. data structure and routes to audit storage (or transmits securely
1273. to an audit logger).
1274. 2.4.3.1.2 Protection of audit data
1275.  
1276.  
1277.  
1278. It shall be demonstrated that the audit data is protected from
1279. unauthorized modification.  This protection will be provided either
1280. by the subsystem itself or by its integration with the protected
1281. system.
1282.  
1283.  • Rationale/Discussion:
1284.  
1285.  
1286.  
1287.  
1288.  
1289.  
1290.  
1291. The auditing subsystem might store the audit data in a dedicated
1292. data storage area that cannot be accessed by any subject on the
1293. system except the auditing subsystem itself and the system security
1294. officer (or system administrator through the auditing subsystem.
1295.  Or, if the protected system has adequate access control facilities,
1296. the audit data might be stored on the protected system, using
1297. its access control mechanisms for protection.
1298. 2.4.3.1.3 Access control to audit
1299.  
1300.  
1301.  
1302. The audit mechanism, auditing parameters, and the audit data storage
1303. media shall be protected to ensure access is allowed only to authorized
1304. individuals.  Individuals who are authorized to access the audit
1305. data shall be able to gain access only through the auditing subsystem.
1306.  
1307.  
1308.  • Rationale/Discussion:
1309.  
1310.  
1311.  
1312.  
1313.  
1314.  
1315.  
1316. This interpretation assumes that discretionary access controls
1317. or physical controls will be in place to keep unauthorized individuals
1318. from gaining access to the audit data.
1319. 2.4.3.1.4 Specific types of events
1320.  
1321.  
1322.  
1323. Data about all security relevant events must be recorded.  The
1324. other portions of the system shall be able to pass data concerning
1325. these events to the auditing subsystem, or the auditing subsystem
1326. shall have the necessary code integrated into the other portions
1327. of the system to pass the data to the collection point.
1328. 2.4.3.1.5 Specific infolmation per event
1329.  
1330.  
1331.  
1332. All of the specific information enumerated in the TCSEC quote
1333. shall be captured for each recorded event.  Of particular concern,
1334. is the recording of the user identity with each recorded event.
1335.  
1336.  • Rationale/Discussion: 
1337.  
1338.  
1339.  
1340.  
1341.  
1342.  
1343.  
1344. This implies that the audit subsystem must be able to acquire
1345. user identities from an I&A mechanism, which may be provided
1346. on the audit subsystem itself, on the protected system, or in
1347. a separate I&A subsystem.  Whichever is the case, the evaluation
1348. shall show that the audit subsystem has a working interface to
1349. an I&A mechanism.
1350. 2.4.3.1.6 Ability to selectively audit individuals
1351.  
1352.  
1353.  
1354. The auditing subsystem shall have the ability to perform selection
1355. of audit data based on individual users.
1356.  
1357.  • Rationale/Discussion: 
1358.  
1359.  
1360.  
1361.  
1362.  
1363.  
1364.  
1365. This requirement can be satisfied by pre-selection of the information
1366. to be recorded in the audit log (selective logging) and/or by
1367. post-selection of information to be extracted from the audit log
1368. (selective reduction).  The reduction of the audit log must be
1369. able to show all of the security-relevant actions performed by
1370. any specified individual.  The intent of selective logging is
1371. to reduce the volume of audit data to be recorded by only recording
1372. audit data for those specific individuals that the systcm security
1373. officer (or system administrator) specifies.  The intent of selective
1374. reduction is to reduce the large volume of audit data into a collection
1375. of intelligible information which can be more efficiently used
1376. by the system administrator.
1377. 2.4.3.2 AUD/D3
1378.  
1379.  
1380.  •  TCSEC Quote: 
1381.  
1382.  
1383.  
1384.  
1385.  
1386.  
1387.  
1388. "B3: Add: The TCB shal~ contain a mechanism that is able
1389. to monitor the occurrence or accumulation of security auditable
1390. events that may indicate an imminent violation of security policy.
1391.  This mechanism shall be able to immediately notify the security
1392. administrator when thresholds are exceeded and, if the occurrence
1393. or accumulation of these securib relevant events continues, the
1394. system shall take the least disruptive action to terminate the
1395. event."
1396.  
1397.  •  Interpretation: The following interpretation, in addition
1398. to the interpretation and requirement for AUD/D2, shall be satisfied
1399. for the AUD/D3 class.  
1400.  
1401.  
1402. 2.4.3.2.1 Real-time alarms
1403.  
1404. The auditing subsystem shall provide the capability for the
1405. security administrator to set thresholds for certain auditable
1406. events.  Furthermore, when the thresholds are exceeded, the audit
1407. subsystem shall immediately notify the security administrator
1408. of an imminent security violation.  
1409.  
1410. 2.4.4 Assurance Requirements for Auditing Subsystems
1411.  
1412.  
1413.  
1414. Audit subsystems, whether being evaluated at AUD/D2 or AUD/D3,
1415. must comply with the assurance requirements listed below for the
1416. D2 class.  The interpretations for these assurance requirements
1417. are contained in Section 3.
1418.  
1419.  •  System Architecture (D2)
1420.  •  System Integrity (D2)
1421.  •  Security Testing (D2) 
1422.  
1423.  
1424.  
1425.  
1426.  
1427. 2.4.5 Documentation Requirements for Auditing Subsystems
1428.  
1429.  
1430.  
1431. Audit subsystems, whether being evaluated at AUD/D2 or AUD/D3,
1432. must meet the documentation requirements listed below for the
1433. D2 class.  The interpretations for these documentation requirements
1434. are contained in Section 4.
1435.  
1436.  •  Security Features User's Guide (D2)
1437.  •  Trusted Facility Manual (D2)
1438.  •  Test Documentation (D2)
1439.  •  Design Documentation (D2)
1440.  
1441.  
1442.  
1443.  
1444.  
1445. 3. ASSURANCE REQUIREMENTS
1446.  
1447.  
1448.  
1449. Rated subsystems must provide correct and accurate operations.
1450.  Assurance must be provided that correct implementation and operation
1451. of the subsystem's function exist throughout the subsystem's life
1452. cycle.  The objective in applying these assurance requirements
1453. is to develop confidence that the subsystem has been implemented
1454. correctly and that it is protected from tampering and circumvention.
1455.  
1456.  
1457. The requirement is that the subsystem must contain hardware/software
1458. mechanisms that can be independently evaluated through a combination
1459. of inspection and testing to provide sufficient assurance that
1460. the subsystem features enforce or support the functions for which
1461. the subsystem is intended.  To receive a rating, a subsystem must
1462. meet the assurance requirements at the same level of trust as
1463. it has I met the requirements for functionality.  The assurances
1464. must be applied to the different types of subsystems as described
1465. in the previous sections.
1466. 3.1 SUBSYSTEM ARCHITECTURE
1467.  
1468.  
1469.  
1470. Subsystem architecture evaluation is designed to provide operational
1471. assurances with regard to the design and implementation of the
1472. protection mechanisms of the subsystem and its interfaces to the
1473. host/host TCB.
1474. 3.1.1 Arch:D1
1475.  
1476.  
1477.  • TCSEC Quote: 
1478.  
1479.  
1480.  
1481.  
1482.  
1483.  
1484.  
1485. "Cl: New: The TCB shall maintain a domain for its own execution
1486. that protects it from external interference or tampering (e.g.,
1487. by modification of its code or data structures).  Resources controned
1488. by the TCB may be a defined subset of the subjects and objects
1489. in the ADP system."
1490.  
1491.  • Interpretation:
1492.  
1493.  
1494.  
1495.  
1496.  
1497.  
1498.  
1499. This requirement applies to all subsystems evaluated at all classes,
1500. regardless of the function(s) they perform.  There are two specific
1501. elements of this requirement: Execution Domain Protection and
1502. Defined Subsets.
1503. 3.1.1.1 Execution Domain Protection
1504.  
1505.  
1506.  
1507. Protection of the subsystem's mechanism and data from external
1508. interference or tampering must be provided.  The code and data
1509. of the subsystem may be protected' through physical protection
1510. (e.g., by the subsystem's dedicated hardware base) or by 
1511.  
1512.  
1513. logical isolation (e.g., using the protected system's domain mechanism).
1514.  
1515.  • Rationale and Discussion:
1516.  
1517.  
1518.  
1519.  
1520.  
1521.  
1522.  
1523. The subsystem may be contained entirely on its own hardware base
1524. which must protect the operational elements of the mechanisms.
1525.  Alternatively, all or a portion of the subsystem may be implemented
1526. on the hardware of the host, in which case the host system's architecture
1527. must protect this portion from external interference or tampering.
1528. 3.1.1.2 Defined Subsets
1529.  
1530.  
1531.  
1532. I&A subsystems, when used for the system's I&A, define
1533. the subset of subjects under the control of the system's TCB.
1534. DAC subsystems may protect a subset of the total collection of
1535. objects on the protected system.
1536. 3.1.2 Arch:D2
1537.  
1538.  
1539.  • TCSEC Quotes:
1540.  
1541.  
1542.  
1543.  
1544.  
1545.  
1546.  
1547. "C2: Add: The TCB shall isolate the resources to be protected
1548. so that they are subject to the access control and auditing requirements."
1549.  
1550.  • Interpretation:
1551.  
1552.  
1553.  
1554.  
1555.  
1556.  
1557.  
1558. In the TCSEC quote, "TCB" is interpreted to mean "subsystem".
1559.  
1560.  
1561. This requirement applies to all subsystems evaluated at the D2
1562. class or the D3 class.  The following interpretations explain
1563. how this requirement applies to specific functions performed by
1564. subsystems.
1565.  
1566.  •  Interpretation for DAC Subsystems:
1567.  
1568.  
1569.  
1570.  
1571.  
1572.  
1573.  
1574. All named objects which are in the defined subset of protected
1575. objects shall be isolated such that the DAC subsystem mediates
1576. all access to those objects.
1577.  
1578.  •  Interpretation for Auditing Subsystems:
1579.  
1580.  
1581.  
1582.  
1583.  
1584.  
1585.  
1586. The system's architecture shall ensure that the auditing mechanism
1587. cannot be bypassed by any subjects accessing those objects under
1588. the system's control.
1589.  
1590.  •  Interpretation for Object Reuse Subsystems
1591.  
1592.  
1593.  
1594.  
1595.  
1596.  
1597.  
1598. The notion of subsetting objects is not applicable to object reuse
1599. subsystems.  Object reuse subsystems shall perform their function
1600. for all storage objects on the protected system that are accessible
1601. to users.
1602.  
1603.  •  Interpretation for I&A Subsystems:
1604.  
1605.  
1606.  
1607.  
1608.  
1609.  
1610.  
1611. This requirement applies to I&A subsystems.  Authentication
1612. data shall be protected from unauthorized access.  Access to the
1613. authentication data shall also be recorded in the audit trail.
1614.  
1615. 3.2 SUBSYSTEM INTEGRITY
1616.  
1617.  
1618.  
1619. Subsystem integrity evaluation is designed to provide operational
1620. assurances with regard to the correct operation of the protection
1621. mechanisms of the subsystem and its interfaces to the protected
1622. system.
1623. 3.2.1 Integity:D1
1624.  
1625.  
1626.  • TCSEC Quote 
1627.  
1628.  
1629.  
1630.  
1631.  
1632.  
1633.  
1634. "Cl: New: Hardware and/or software features shan be provided
1635. that can be used to periodicany ~aUdate the correct operation
1636. of the on site hardware and firmware elements of the TCB."
1637.  
1638.  • Interpretation:
1639.  
1640.  
1641.  
1642.  
1643.  
1644.  
1645.  
1646. In the TCSEC quote, "TCB" is interpreted to mean "subsystem".
1647.  
1648.  
1649. This requirement applies to an subsystems evaluated at any class,
1650. regardless of the functions they perform.
1651.  
1652.  • Rationale/Discussion 
1653.  
1654.  
1655.  
1656.  
1657.  
1658.  
1659.  
1660. The capability must exist to validate the correct operation of
1661. all hardware and firrnware elements of the system regardless of
1662. whether they reside within the subsystem, the protected system,
1663. or other interfacing subsystems.  If the hardware and/or firmware
1664. elements of the protected system or other interfacing subsystems
1665. play an integral role in the protection and/or correct operation
1666. of the subsystem, then they must comply with this requirement
1667. as though they were part of the subsystem.  
1668. 3.2.2 Integrity:D2
1669.  
1670.  
1671.  
1672. There are no additional requirements for System Integrity at D2.
1673. 3.3 SECURITY TESTING
1674.  
1675.  
1676.  
1677. Testing, as part of the evaluation, is designed to provide life
1678. cycle assurances with regard to the integrity of the subsystem.
1679.  Further, testing provides additional assurances regarding the
1680. correct operation of the protection mechanisms of the subsystem
1681. and the subsystem's interfaces to the protected system.  These
1682. mechanisms and their interfaces to the protected system, are termed
1683. the Subsystem's Security- Relevant Portion (SRP).
1684. 3.3.1 Test:Dl
1685.  
1686.  
1687.  • TCSEC Quote:
1688.  
1689.  
1690.  
1691.  
1692.  
1693.  
1694.  
1695. "Cl: New: The securib mechanisms of the ADP system shan be
1696. tested and found to work as claimed in the system documentation.
1697.  Testing shan be done to assure that there are no ob~ious ways
1698. for an unauthorized wer to bypass or otherwise defeat the security
1699. protection mechanisms of the TCB.  (See the Security Testing Guidelines.)
1700. "
1701.  
1702.  • Interpretation 
1703.  
1704.  
1705.  
1706.  
1707.  
1708.  
1709.  
1710. This requirement applies to all subsystems evaluated at any class,
1711. regardless of the function(s) they perform.  In the TCSEC quote,
1712. "TCB" is interpreted to mean subsystem.  
1713.  
1714.  
1715. The subsystem's SRP shall be tested and found to work as claimed
1716. in the subsystem's documentation.  The addition of a subsystem
1717. to a protected system shall not cause obvious flaws to the resulting
1718. system.  _
1719.  
1720.  
1721. Test results shall show that there are no obvious ways for an
1722. unauthorized user to bypass or otherwise defeat the subsystem's
1723. SRP.
1724.  
1725.  • Rational/Discussion:
1726.  
1727.  
1728.  
1729.  
1730.  
1731.  
1732.  
1733. Security testing is a very important part of subsystem evaluations.
1734.  It is essential that the subsystem be demonstrated to operate
1735. securely.
1736. 3.3.2 Test:D2
1737.  
1738.  
1739.  • TCSEC Quote:
1740.  
1741.  
1742.  
1743.  
1744.  
1745.  
1746.  
1747. "C2: Add: Testing shan also include a search for obvious
1748. flaws that would anow nolation of resource isolation, or that
1749. would permit unauthorized access to the audit or authentication
1750. data."
1751.  
1752.  • Interpretation:
1753.  
1754.  
1755.  
1756.  
1757.  
1758.  
1759.  
1760. This requirement applies to the testing of the SRP of any subsystem
1761. evaluated at the D2 class or the D3 class.  
1762.  
1763.  • Rationale/Discussion 
1764.  
1765.  
1766.  
1767.  
1768.  
1769.  
1770.  
1771. The requirement as written in the TCSEC quote is directly applicable.
1772.  This requirement is to ensure that subsystems at D2 cannot be
1773. circumvented or tampered with.
1774. 4. DOCUMENTATION REQUIREMENTS
1775.  
1776.  
1777.  
1778. Documentation shan produce evidence that the subsystem can and
1779. does provide specified security features.  The evaluation will
1780. focus on the completeness of this evidence through inspection
1781. of documentation structure and content and through a mapping of
1782. the documentation to the subsystem's implementation and its operation.
1783. 4.1 SECURITY FEATURES USER'S GUIDE
1784.  
1785. 4.1.1 SFUG:Dl
1786.  
1787.  
1788.  • TCSEC Quote:
1789.  
1790.  
1791.  
1792.  
1793.  
1794.  
1795.  
1796. "Cl: New: A single summaIy, chapter, or manual in user documentation
1797. shall describe the protection mechanisms provided by the TCB,
1798. guidelines on their use, and how they interact with one another."
1799.  
1800.  • Interpretation:
1801.  
1802.  
1803.  
1804.  
1805.  
1806.  
1807.  
1808. All subsystems shall meet this requirement in that they shall
1809. describe the protection mechanisms provided by the subsystem.
1810.  
1811.  • Rationale/Discussion:
1812.  
1813.  
1814.  
1815.  
1816.  
1817.  
1818.  
1819. It is recognized that some subsystems may be partially or completely
1820. transparent to the general user.  In such cases, this requirement
1821. can be met by documenting the functions the subsystem performs
1822. so users will be aware of what the subsystem does.  Other subsystems
1823. which have a very limited user interface may not need to be accompanied
1824. by more than a pocketsize card available to every user.  In short,
1825. the documentation required to meet this requirement need not be
1826. elaborate, but must be clear and comprehenslve.
1827. 4.1.2 SFUG:D2
1828.  
1829.  
1830.  • Interpretation: 
1831.  
1832.  
1833.  
1834.  
1835.  
1836.  
1837.  
1838. There are no additional requirements at the D2 class.
1839. 4.2 TRUSTED FACILITY MANUAL
1840.  
1841. 4.2.1 TFM:Dl
1842.  
1843.  
1844.  • TCSEC Quote :
1845.  
1846.  
1847.  
1848.  
1849.  
1850.  
1851.  
1852. "Cl: New: A manual addressed to the ADP system admmistrator
1853. shan present cautions about functions and prvileges that should
1854. be controlled when running a secure facility."
1855.  
1856.  • Interpretation:
1857.  
1858.  
1859.  
1860.  
1861.  
1862.  
1863.  
1864. This requirement applies to all subsystems in that the manual
1865. shall present cautions about functions and privileges provided
1866. by the subsystem.  Further, this manual shall present specific
1867. and precise direction for effectively integrating the subsystem
1868. into the overall system.
1869. 4.2.2 TFM:D2
1870.  
1871.  
1872.  • TCSEC Quote:
1873.  
1874.  
1875.  
1876.  
1877.  
1878.  
1879.  
1880. "C2: Add: The procedures for examining and maintaMing the
1881. audit files as well as the detailed audit record structure for
1882. each type of audit event shall be given."
1883.  
1884.  • Interpretation:
1885.  
1886.  
1887.  
1888.  
1889.  
1890.  
1891.  
1892. This requirement applies directly to all auditing subsystems and
1893. to other subsystems that maintain their own audit data concerning
1894. events that happen under their control.  For subsystems that create
1895. audit data and pass it to an external auditing collection and
1896. maintenance facility, the audit record structure shall be documented;
1897. however, the procedures for examination and maintenance of audit
1898. files may be left to the external auditing facility.
1899. 4.3 TEST DOCUMENTATION
1900.  
1901. 4.3.1 TD:Dl
1902.  
1903.  
1904.  • TCSEC Quote:
1905.  
1906.  
1907.  
1908.  
1909.  
1910.  
1911.  
1912. "Cl: New: The system developer shall provide to the evaluators
1913. a document that describes the test plan, test procedures that
1914. show how the securib mechanisms were tested, and results of the
1915. security mechanisms' functional testing."
1916.  
1917.  • Interpretation:
1918.  
1919.  
1920.  
1921.  
1922.  
1923.  
1924.  
1925. The document shall explain the exact configuration used for security
1926. testing.  All mechanisms supplying the required supporting functions
1927. shall be identified.  All interfaces between the subsystem being
1928. tested, the protected system, and other subsystems shall be described.
1929. 4.3.2 TD:D2
1930.  
1931.  
1932.  • Interpretation
1933.  
1934.  
1935.  
1936.  
1937.  
1938.  
1939.  
1940. There are no additional requirements at the D2 class.
1941. 4.4 DESIGN DOCUMENTATION
1942.  
1943. 4.4.1 DD:Dl
1944.  
1945.  
1946.  • TCSEC Quote:
1947.  
1948.  
1949.  
1950.  
1951.  
1952.  
1953.  
1954. "Cl: New: Documentation shall be available that provides
1955. a description of the manufacturer's philosophy of protection and
1956. an explanation of how this philosophy is translated into the TCB.
1957.  If the TCB is composed of distinct modules, the interfaces between
1958. these modules shall be described.  "
1959.  
1960.  • Interpretation:
1961.  
1962.  
1963.  
1964.  
1965.  
1966.  
1967.  
1968. This requirement applies directly to all subsystems.  Specifically,
1969. the design documentation shall state what types of threats the
1970. subsystem is designed to protect against (e.g., casual browsing,
1971. determined attacks, accidents).  This documentation shan show
1972. how the protection philosophy is translated into the subsystem's
1973. SRP.  Design documentation shan also specify how the subsystem
1974. is to interact with the protected system and other subsystems
1975. to provide a complete computer security system.  If the SRP is
1976. modularized, the interfaces between these modules shall be described.
1977. 4.4.2 DD:D2
1978.  
1979.  
1980.  
1981. There are no additional requirements for Design Documentation
1982. at the D2 class.
1983. 5- GLOSSARY
1984.  
1985.  
1986.  
1987. Accreditation - The offlcial authorization that is granted to
1988. an ADP system to process sensitive information in its operational
1989. environment, based upon , comprehensive security evaluation of
1990. the system's hardware, firmware, and software .  security design,
1991. configuration and implementation of the other system procedural,
1992. administrative, physical, TEMPEST, personnel, and comrnunications
1993. controls.
1994.  
1995.  
1996. Audit - The procedure of capturing, storing, maintaining, and
1997. managing data concerning security-relevant events that occur on
1998. a computer system.  The data recorded are intended for use in
1999. detecting security violations and tracing thosc violations to
2000. the responsible individual.
2001.  
2002.  
2003. Audit trail - A set of records that collectively provide documentary
2004. evidence of processing users to aid in tracing from original transactions
2005. forward to related records and reports, and/or backwards from
2006. records and reports to their component source transactions.
2007.  
2008.  
2009. Authenticate - To establish the validity of a claimed identity.
2010.  
2011.  
2012. Authorization - Permission which establishes right to access information.
2013.  
2014.  
2015. Certification evaluation - The technical evaluation of a system's
2016. security features, made as part of and in support of the approval/accreditation
2017. process, that establishes " the extent to which a particular
2018. computer system's design and implementation meet a set of specified
2019. security requirements.
2020.  
2021.  
2022. Computer security subsystem - Hardware, firmware and/or software
2023. which are added to a computer system to enhance the security of
2024. the overall system.
2025.  
2026.  
2027. Group user - A user of a computer system whose system identification
2028. is the name of a defined group of users on that system.
2029.  
2030.  
2031. Individual user - A user of a computer system whose system identification
2032. is unique, in that no other user on that system has that same
2033. identification.
2034.  
2035.  
2036. Named object - An object which is directly manipulable at the
2037. TCB interface.  Thc object must have meaning to more than one
2038. process.
2039.  
2040.  
2041. Product evaluation - Thc technical evaluation of a product's security
2042. features to determine the level of trust that can be placed in
2043. that product as defined by thc NCSC. evaluation criteria for that
2044. type of product (e.g., operating system, database management system,
2045. computer network, computer security subsystem).  Product evaluations
2046. do not consider the application of the product in the evaluation.
2047.  
2048.  
2049. Protected system - The system being protected.  In the context
2050. of computer security subsystems, a stand-alone computer system
2051. or a computer network to which a subsystem is attached to pronde
2052. some computer security function.
2053.  
2054.  
2055. Security Relevant Portion (SRP) - The protection-critical mechanism
2056. of the subsystem, the subsystem's interface(s) to the protected
2057. system, and interfaces to the mechanisms providing required supporting
2058. functions.  For most cases, the SRP encompasses the entire subsystem.
2059.  
2060.  
2061. Subsystem - See "computer security subsystem."
2062.  
2063.  
2064. System - The combination of the protected system and the computer
2065. security subsystem.
2066.  
2067.  
2068. *U.S. GOVERNMENT PRINTING OFFICE: 1989-225-703
2069.  
2070.  
2071.  
2072. 5