home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / scc / DCA_Circular.310-P115-1 < prev    next >
Encoding:
Text File  |  1992-02-03  |  73.0 KB  |  2,235 lines
  1. DCA Circular 310-P115-1
  2.  
  3.                     COMMUNICATIONS SECURITY
  4.  
  5.               DDN Security Management Procedures
  6.                     for Host Administrators
  7.  
  8.                            VOLUME I
  9.  
  10. 1.  Purpose.  This Circular is the first of two volumes
  11. describing security management procedures for the Defense Data
  12. Network (DDN).  Volume I provides operational security
  13. guidance for the DDN and describes the Host Administrator's
  14. management responsibilities.  It is based on review of
  15. Government and industry documents on the DDN, local area
  16. networks, and computer security.  Volume I establishes methods
  17. and procedures for detecting and reporting unauthorized
  18. activity.  It describes the resources and tools available to
  19. the Host Administrator for investigating local incidents.
  20. Additionally, it discusses the procedures and tools needed for
  21. reporting network related incidents to the DDN Network
  22. Security Officer (NSO).  Volume II prescribes the policy for
  23. enforcing network operational security and describes the
  24. management responsibilities of the DDN Network Security
  25. Officer (NSO).  Volume II will receive limited distribution.
  26.  
  27. 2.  Applicability.  This Circular applies to DCA Headquarters,
  28. DCA field activities, and Government and commercial activities
  29. using or managing the operation of the DDN.
  30.  
  31. 3.  Policy.  DCA continually strives to improve its resources
  32. for providing a reasonable level of security for the DDN.
  33. These resources include the network access control system and
  34. its audit trial analysis capabilities for detecting
  35. unauthorized and illegal network activities.  These detection
  36. and audit capabilities will be used to identify and prosecute
  37. unauthorized individuals who access or attempt to access
  38. databases or system software of host computers connected to
  39. the DDN.  In addition, DCA has created the DDN Security
  40. Coordination Center (SCC) to gather information regarding DDN
  41. security problems and to disseminate problem definition,
  42. status, and resolution information under the direction of the
  43. NSO.  These resources and tools alone are not sufficient.
  44. Site personnel such as the Host Administrators need to assume
  45. an active role and assure their constituents and the DDN that
  46. they are providing for a reasonable level of protection of the
  47. ___________
  48.  
  49. OPR: DODM
  50. Distribution: B,J,Special
  51.  
  52.  
  53.  
  54. ii                                             DCAC 310-P115-1
  55.  
  56. network and computing resources under their jurisdiction.
  57. Host Administrators are required to report suspicious
  58. activities to their network manager.  Formal investigations of
  59. unauthorized or illegal activities occurring on the DDN must
  60. be coordinated with the DDN Network Security Officer.
  61. Individuals suspected of unauthorized access or use of host
  62. computers over the DDN will be subject to prosecution under
  63. Title 18 of the Federal Criminal Code.
  64.  
  65. 4.  Procedures.  Chapters 4 and 5 describe the procedures for
  66. performing the security functions of the Host Administrator.
  67.  
  68. 5.  Responsibilities.  Chapter 1 describes the
  69. responsibilities of the Host Administrator in performing the
  70. security functions.
  71.  
  72. 6.  Related_Documents.  The following documents are
  73. recommended reference materials to supplement this document.
  74.  
  75.     a.  DoD Directive 5200.28, Security_Requirements_for
  76. Automated_Information_Systems_(AISs), dated 21 March 1988.
  77.  
  78.     b.  DCAI 630-230-19, Security_Requirements_for_Automated
  79. Information_Systems (draft), dated 18 October 1990.
  80.  
  81.     c.  Defense_Data_Network_Subscriber_Guide_to_Security
  82. Services_1986-1992 (includes the DDN Security Classification
  83. Guide at Appendix I).
  84.  
  85.     d.  Internet_Site_Security_Policy_Handbook (Internet
  86. Draft).  This document can be obtained by contacting the
  87. Network Information Center (NIC), SRI International, 333
  88. Ravenswood Ave., Menlo Park, CA 94025.
  89.  
  90.     e.  Computer Security Center (CSC-STD-002-85), Department
  91. of_Defense_Password_Management_Guideline, aka "The Green
  92. Book", dated 12 April 1985.
  93.  
  94. FOR THE DIRECTOR:
  95.  
  96.  
  97.  
  98.  
  99.                               EDWARD J. HENDERSON, JR.
  100.                               Colonel, USAF
  101.                               Chief of Staff
  102.  
  103.  
  104.  
  105.  
  106.  
  107.  
  108.  
  109.  
  110. DCAC 310-P115-1                                            iii
  111.  
  112.                            CONTENTS
  113.  
  114. BASIC CIRCULAR                                 Paragraph__Page
  115.  
  116.      Purpose.................................       1        i
  117.      Applicability...........................       2        i
  118.      Policy..................................       3        i
  119.      Procedures..............................       4       ii
  120.      Responsibilities........................       5       ii
  121.      Related Documents.......................       6       ii
  122.      Illustrations...........................                v
  123.      Glossary of Terms and Definitions.......              vii
  124.  
  125.  
  126.         VOLUME I.  DDN SECURITY MANAGEMENT PROCEDURES
  127.                    FOR HOST ADMINISTRATORS
  128.  
  129. Chapter                                        Paragraph__Page
  130.  
  131. 1.  INTRODUCTION
  132.  
  133.        The DDN Security Resources............       1      1-1
  134.        Responsibilities of the Host
  135.          Administrator.......................       2      1-2
  136.        Responsibilities of Other Site
  137.          Representatives.....................       3      1-2
  138.  
  139. 2.  THE DDN SECURITY PROBLEM
  140.  
  141.        General...............................       1      2-1
  142.        Attack Points.........................       2      2-1
  143.        Categories of Network Abusers.........       3      2-1
  144.        Common Penetration Techniques.........       4      2-2
  145.        Necessary Precautions.................       5      2-4
  146.  
  147. 3.  NETWORK ACCESS SECURITY
  148.  
  149.        General...............................       1      3-1
  150.        TAC Access Control System (TACACS)....       2      3-1
  151.  
  152. 4.  OPERATIONAL SECURITY MANAGEMENT OF
  153.        UNCLASSIFIED NETS
  154.  
  155.        General...............................       1      4-1
  156.        Access Vulnerability..................       2      4-1
  157.        Risk Assessment.......................       3      4-2
  158.        Security Policies and Procedures......       4      4-2
  159.        Education Program.....................       5      4-5
  160.  
  161. 5.  OPERATIONAL SECURITY MANAGEMENT OF
  162.        CLASSIFIED NETS
  163.  
  164.        General...............................       1      5-1
  165.        Limited Terminal Access Controls......       2      5-1
  166.        Closed Community Characteristics......       3      5-1
  167. iv                                             DCAC 310-P115-1
  168.  
  169. Chapter                                        Paragraph__Page
  170.  
  171.        Security Awareness....................       4      5-1
  172.  
  173. 6.  DETECTION OF UNAUTHORIZED HOST ACCESS
  174.  
  175.        General...............................       1      6-1
  176.        Detection Training....................       2      6-1
  177.        Logging Events........................       3      6-1
  178.        Peculiar Behavior.....................       4      6-1
  179.        Legal Recourse........................       5      6-2
  180.        Prosecution as a Deterrent............       6      6-2
  181.        Incident Reporting by Subscriber......       7      6-2
  182.        Contacts..............................       8      6-2
  183.        What Information To Report............       9      6-3
  184.        Follow-up Information.................      10      6-3
  185.  
  186. 7.  TOOLS FOR INVESTIGATING INCIDENTS AT THE
  187.        HOST LEVEL
  188.  
  189.        General...............................       1      7-1
  190.        Host System Logs......................       2      7-1
  191.        Other Tools...........................       3      7-1
  192.        TACACS Reports........................       4      7-1
  193.  
  194. 8.  SUMMARY
  195.  
  196.        Penetration Techniques................       1      8-1
  197.        Other Topics..........................       2      8-1
  198.  
  199.  
  200.  
  201.  
  202.  
  203.  
  204.  
  205.  
  206.  
  207.  
  208.  
  209.  
  210.  
  211.  
  212.  
  213.  
  214.  
  215.  
  216.  
  217.  
  218.  
  219.  
  220.  
  221.  
  222.  
  223. DCAC 310-P115-1                                              v
  224.  
  225.                         ILLUSTRATIONS
  226.  
  227. Table                                                     Page
  228.  
  229. 1        Vulnerability Analysis/
  230.            Operations Management and
  231.              Processing......................              9-1
  232.  
  233. 2        Vulnerability Analysis/
  234.            Communications....................              9-3
  235.  
  236. 3        Vulnerability Analysis/
  237.            Disasters.........................              9-4
  238.  
  239. 4        Vulnerability Analysis/
  240.            Personnel.........................              9-5
  241.  
  242. 5        Vulnerability Analysis/
  243.            Training..........................              9-7
  244.  
  245. 6        Vulnerability Analysis/
  246.            People Errors and Omissions.......              9-8
  247.  
  248. 7        Tabulation of Vulnerability
  249.            Analysis/Self-Assessment
  250.             Results..........................              9-9
  251.  
  252.  
  253.  
  254.  
  255.  
  256.  
  257.  
  258.  
  259.  
  260.  
  261.  
  262.  
  263.  
  264.  
  265.  
  266.  
  267.  
  268.  
  269.  
  270.  
  271.  
  272.  
  273.  
  274.  
  275.  
  276.  
  277.  
  278.  
  279. vi                                             DCAC 310-P115-1
  280.  
  281.  
  282.  
  283.  
  284.  
  285.  
  286.  
  287.  
  288.  
  289.  
  290.  
  291.  
  292.  
  293.  
  294.  
  295.  
  296.  
  297.  
  298.  
  299.  
  300.  
  301.  
  302.               THIS PAGE INTENTIONALLY LEFT BLANK
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.  
  328.  
  329.  
  330.  
  331.  
  332.  
  333.  
  334.  
  335. DCAC 310-P115-1                                            vii
  336.  
  337.                GLOSSARY OF TERMS AND DEFINITIONS
  338.  
  339. ADP       Automatic Data Processing.
  340.  
  341. CERT      Computer Emergency Response Team.
  342.  
  343. DCA       Defense Communications Agency.
  344.  
  345. DCS       Defense Communications System.
  346.  
  347. FBI       Federal Bureau of Investigation.
  348.  
  349. HOTLIST   A list of all TAC user identifications which have
  350.           been stolen, have expired or which otherwise have
  351.           been compromised.
  352.  
  353. IPTO      Information Processing Techniques Office.
  354.  
  355. LAN       Local Area Network.
  356.  
  357. MILNET    Military Network.
  358.  
  359. NAURS     Network Auditing and Usage Reporting System.
  360.  
  361. NIC       Network Information Center.
  362.  
  363. NSO       Network Security Officer. Focal point for network
  364.           related operational security matters.
  365.  
  366. OSI       Office of Special Investigations.
  367.  
  368. SCC       DDN Security Coordination Center.
  369.  
  370. TAC       Terminal Access Controller. C/30 computer that
  371.           connects end user terminals to the network and
  372.           provides an interface to the DDN.  In this document
  373.           it also refers to a miniTAC which serves the same
  374.           function as a TAC.
  375.  
  376. TACACS    TAC Access Control System.  A system that controls
  377.           terminal access to the MILNET.
  378.  
  379. TACACS
  380. GUEST
  381. CARDS     A temporary TACACS card given to a user who does not
  382.           have TACACS privileges but temporarily needs them.
  383.           A guest TACACS card may also be given to an
  384.           authorized new user who has not yet received a UID
  385.           or password.
  386.  
  387. TAC CARD  A card authorizing the user TAC Access to the
  388.           MILNET.
  389.  
  390.  
  391. viii                                           DCAC 310-P115-1
  392.  
  393. TAC PORT  Point where an end user terminal or modem is
  394.           connected to the TAC.
  395.  
  396. TASO      Terminal Area Security Officer.  Responsible for
  397.           enforcing all security requirements implemented by
  398.           the NSO for remote terminal areas.  Also responsible
  399.           for ensuring that all countermeasures required to
  400.           protect the remote areas are in place.
  401.  
  402. UID       User Identification.
  403.  
  404. WIN       WWMCCS Intercomputer Network.
  405.  
  406. WWMCCS    Worldwide Military Command and Control System.
  407.  
  408.  
  409.  
  410.  
  411.  
  412.  
  413.  
  414.  
  415.  
  416.  
  417.  
  418.  
  419.  
  420.  
  421.  
  422.  
  423.  
  424.  
  425.  
  426.  
  427.  
  428.  
  429.  
  430.  
  431.  
  432.  
  433.  
  434.  
  435.  
  436.  
  437.  
  438.  
  439.  
  440.  
  441.  
  442.  
  443.  
  444.  
  445.  
  446.  
  447. DCAC 310-P115-1                                            1-1
  448.  
  449.                    CHAPTER 1.  INTRODUCTION
  450.  
  451. 1.  The_DDN_Security_Resources.  This Circular is intended to
  452. provide Host Administrators a set of security guidelines to
  453. operate on the Defense Data Network (DDN).  This Circular will
  454. assist you in maintaining the security of your local host
  455. computer site, as well as the overall DDN.  It does not in any
  456. way supersede any current Service Regulations or Procedures
  457. governing the security of ADP facilities not related to the
  458. DDN.  This Chapter provides you with a definition of your
  459. security responsibilities as a Host Administrator.  You must
  460. have contact with certain offices to fulfill these
  461. responsibilities.  The duties of these offices are discussed
  462. here to assist you in understanding their missions.
  463.  
  464.     a.  DDN_NSO_(Network_Security_Officer).  The DDN NSO is
  465. the single point of contact for dealing with network-related
  466. operational security issues.  The DDN NSO also implements
  467. applicable policies included in DCAI 630-230-19, Security
  468. Requirements for Automated Information Systems.  The NSO
  469. recommends security policy affecting the DDN and is
  470. responsible for its general enforcement.  The NSO also works
  471. closely with Host Administrators to resolve network and
  472. related computer security problems and incidents affecting
  473. their sites.
  474.  
  475.     b.  Host_Administrator.  A Host Administrator is the
  476. person who has administrative responsibility for the policies,
  477. practices, and concerns of a host, or hosts, connected to the
  478. DDN, including responsibility for that host's DDN users.
  479. Specifically, the Host Administrator is responsible for the
  480. following activities:
  481.  
  482.         (1)  Assisting with network management by ensuring
  483. that network policies and procedures are observed by the
  484. users.  Locally administering the TAC access control system
  485. (TACACS), ensuring that all of their host users have been
  486. authorized for DDN and TAC access and are registered in the
  487. NIC user registration database (WHOIS/NICNAME).
  488.  
  489.         (2)  Locally managing the network access control
  490. procedures and password system.  Reporting network-related
  491. host break-ins and assisting with investigations as needed.
  492.  
  493.     c.  NSC_(Node_Site_Coordinator).  The NSC has physical
  494. control over hardware and software, and coordination
  495. responsibility for the DDN circuits and equipment located at
  496. the DDN node site.
  497.  
  498.     d.  NIC_(Network_Information_Center).  The NIC registers
  499. all users in the WHOIS/NICNAME database and operates the
  500. Network Auditing and Usage Reporting System (NAURS) computer
  501. system that produces the MILNET TACACS audit and incident
  502. reports.  Call (800) 235-3155 for more information.
  503.  
  504.  
  505. 1-2                                            DCAC 310-P115-1
  506.  
  507.     e.  DDN_SCC_(Security_Coordination_Center).  The SCC
  508. gathers information about DDN computer and network security
  509. incidents and works closely with the NSO to disseminate the
  510. information necessary to contain, control, and resolve these
  511. problems mainly through the DDN Security Bulletins.  The
  512. hotline number is (800) 235-3155.
  513.  
  514.     f.  CERT_(Computer_Emergency_Response_Team).  The CERT
  515. gathers and distributes information about Internet security
  516. incidents.  They work closely with the NSO and SCC on DDN-
  517. related security problems.  The hotline number is (412) 268-
  518. 7090.
  519.  
  520. 2.  Responsibilities_of_the_Host_Administrator.  Host
  521. administrators have the overall responsibility to provide a
  522. reasonable level of protection to host sites from the
  523. possibility of network compromises.  They must act as liaisons
  524. with the NSO, SCC, vendors, law enforcement bodies, and other
  525. appropriate agencies to resolve any outstanding security
  526. problems and prevent their future recurrence.  They are
  527. responsible for the enforcement of DDN policy at their site.
  528. Because information acquisition and distribution is such a
  529. vital part of the responsibility of the Host Administrator,
  530. the use of electronic mail is a basic tool to support this
  531. function and should be used whenever possible.  Not all Host
  532. Administrators have access to this valuable tool, but given
  533. its value, these sites are strongly encouraged to implement
  534. this capability.
  535.  
  536. 3.  Responsibilities_of_Other_Site_Representatives.  There are
  537. several other levels of responsibilities for the provision of
  538. security for the DDN.  At the most basic level, the individual
  539. users should take the necessary precautions to minimize the
  540. chances that their accounts could be compromised.  They bear
  541. the primary responsibility for the protection of their
  542. information.  If users took this responsibility seriously and
  543. acted accordingly, the majority of computer incidents could
  544. not occur.  System managers have the responsibility to
  545. maintain the resources and procedures to establish an
  546. environment for "safe" computing (e.g., implementing
  547. procedures for proper installation and testing of system
  548. software, adequate backups, and reasonable system monitoring).
  549. Vendors have the responsibility to notify their customers of
  550. problems with their software (especially problems which could
  551. compromise system security) and to distribute timely fixes.
  552.  
  553.  
  554.  
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561. DCAC 310-P115-1                                            2-1
  562.  
  563.              CHAPTER 2.  THE DDN SECURITY PROBLEM
  564.  
  565. 1.  General.
  566.  
  567.     a.  A computer network is a telecommunications system
  568. primarily designed to allow a number of independent devices
  569. (i.e., host computers, workstations, terminals, or
  570. peripherals) to communicate with each other.  Essentially, the
  571. DDN is a worldwide collection of computer networks.  As the
  572. DDN expands its capabilities and resources, and as more
  573. consitituents gain DDN access, the risk increases to the
  574. overall security of the information and data flowing in the
  575. network.  Therefore, a major concern is that security problems
  576. will rise in response to this expansion.  Additionally, the
  577. possibility of espionage activity also increases as the
  578. network gets larger.
  579.  
  580.     b.  On November 2, 1988, Robert Tappan Morris, Jr.,
  581. drastically changed the attitude of network users and
  582. administrators regarding security network and computer
  583. security problems.  He unleashed his infamous Internet Worm
  584. which afflicted over 6,000 MILNET and other Internet hosts.
  585. The incident caused a fair amount of panic because most of the
  586. sites were ill-prepared for such a massive scale of
  587. intrusions.  It was fortunate that, due to a miscalculation,
  588. the attack was unrestrained.  In its original manifestation,
  589. Morris' Worm might have gone undetected at many sites.  The
  590. main lesson to be learned from that incident is that everyone
  591. connected with the use of network and computing facilities
  592. must always take into account the vulnerabilities of network
  593. resources to compromise or attack.
  594.  
  595. 2.  Attack_Points.  The DDN security problem is defined as the
  596. accidental or intentional disclosure, destruction, or
  597. modification of information flowing or accessed through the
  598. DDN.  Potential points of attack include terminal-to-network
  599. interface connections, terminal-to-terminal interface
  600. connections, terminal-to-host interface connections, and
  601. interfaces or circuits themselves.
  602.  
  603. 3.  Categories_of_Network_Abusers.  Identifying the security
  604. problem or threat is a key element in determining security
  605. risks.  Consider the fundamental characteristics of the
  606. threats to your assets before you worry about specific
  607. techniques (to be discussed in the following section).  For
  608. example:
  609.  
  610.     a.  Unauthorized access by persons or programs which
  611. amounts to the use of any network or computer resource without
  612. prior permission.  Such unauthorized access may open the door
  613. to other security threats including the use of your facility
  614. to access other sites on a network.
  615.  
  616.  
  617. 2-2                                            DCAC 310-P115-1
  618.  
  619.     b.  Disclosure or corruption of information.  Depending on
  620. the sensitivity of the information, disclosure without
  621. modification may have more damaging consequences if the event
  622. goes unnoticed.
  623.  
  624.     c.  Denial of service which prevents users from performing
  625. their work.  In fact, an entire network may be made unusable
  626. by a rogue packet, jamming, or by a disabled network
  627. component.  (The Morris Worm contained all of these
  628. characteristics.  If you have considered options to address
  629. these general characteristics, you may be well-equipped to
  630. handle variations of historic penetration strategies that may
  631. evolve in the future.)
  632.  
  633. 4.  Common_Penetration_Techniques.  In evaluating the security
  634. relationships between the security of your host computer and
  635. the DDN, you may wish to consider the following penetration
  636. techniques.  These are methods that may be used to penetrate
  637. your computers.  Therefore, you must take precaution to
  638. prevent the possible success of these types of attacks.
  639. Several techniques exist to aid in the unauthorized access to
  640. computer system components.  These techniques are closely
  641. associated with a system's vulnerabilities.  Therefore, their
  642. successful application first requires identifying a system's
  643. vulnerabilities.  Through analyzing a systems protection
  644. mechanisms (or lack thereof), how they function, and their
  645. deficiencies, consideration can be given to how such
  646. mechanisms can be circumvented, nullified, or deceived.  Many
  647. of these techniques can be categorized by the types of
  648. activity they involve and the system vulnerabilities they
  649. exploit.  A particular type of technique may be used to
  650. exploit more than one vulnerability, and a vulnerability may
  651. be exploited by more than one technique.  Some techniques
  652. leave signatures (i.e., traces of their utilization), others
  653. do not.  Such signatures, their detection, and analysis are
  654. fundamental to threat monitoring and security auditing.
  655.  
  656.     a.  Browsing.  An individual gains unauthorized access to
  657. a user's files by exploiting the vulnerability of a file
  658. access authorization mechanism in the operating system.
  659. "Browsing" requires knowledge of file names and use of a
  660. program, and it characteristically includes the following
  661. operations:
  662.  
  663.         (1)  User's program A references a file not authorized
  664. for such use.
  665.  
  666.         (2)  The operating system does not check the activity
  667. and permits access.
  668.  
  669.         (3)  Program A gains access to the file, reads it, and
  670. formats it for printout, or deposits it into a local file
  671. under the penetrator's control.  Unauthorized system users (if
  672. they know all the file names in a system) can use this
  673. DCAC 310-P115-1                                            2-3
  674.  
  675. technique numerous times to browse through all the files
  676. looking for classified or sensitive information.  This is not
  677. generally possible, however, when files are protected by
  678. passwords.
  679.  
  680.     b.  Masquerading.  Gaining unauthorized access to a system
  681. component by assuming the identity of another authorized user
  682. is called "masquerading".  Success of this technique stems
  683. from a computer system having no means of establishing a
  684. user's identity other than through symbolic identifiers.  The
  685. easiest method of masquerading is to obtain the password and
  686. other identifiers of an authorized user from some report or
  687. document that was carelessly left exposed.  This situation is
  688. most likely to occur in installations that support remote
  689. terminals where no option exists to have such identifiers
  690. suppressed by the terminal during the SIGN-ON procedure.  Even
  691. when a suppression capability is provided by the terminal that
  692. overtypes any such identifiers before or after their printing,
  693. they can still possibly be discerned.  A more sophisticated
  694. technique for gaining access to an authorized user's
  695. identifiers is to wiretap the terminal and intercept the
  696. identifiers when they are transmitted in the clear over
  697. communication lines.
  698.  
  699.     c.  Scavenging.  This penetration technique exploits the
  700. vulnerability of unerased residual data.  Both primary and
  701. secondary storage media used for processing sensitive
  702. information may continue to retain that information after
  703. they have been released for reallocation to another use.  The
  704. latter may then "scavenge" the information by reading the
  705. storage media before making any other use of it.
  706.  
  707.     d.  Unknown_System-State_Exploitation.  This method takes
  708. advantage of certain conditions that occur after a partial or
  709. total system crash.  For example, some user files may remain
  710. open without an "end-of-file" indication.  The user can then
  711. obtain unauthorized access to other files by reading beyond
  712. that indicator when the system resumes operation.
  713.  
  714.     e.  Asynchronous_Interrupt.  This technique exploits
  715. system vulnerabilities arising from deficiencies in the
  716. interrupt management facilities of an operating system.  If a
  717. processor suspends execution of a protection mechanism to
  718. process an interrupt and is then erroneously returned to a
  719. user program without completing the security check then the
  720. protection has been circumvented.
  721.  
  722.     f.  Spoofing.  Spoofing exploits the inability of a
  723. system's remote terminal users to verify that at any given
  724. time they are actually communicating with the intended system
  725. rather than some masquerading system.  This deception, also
  726. known as a "Mockingbird Attack," can be perpetrated by
  727. intercepting the terminal's communication lines and providing
  728. system-like responses to the user.  A variation of spoofing is
  729.  
  730.  
  731. 2-4                                            DCAC 310-P115-1
  732.  
  733. the use of an application program to provide responses similar
  734. to the operating system, so the operator will unknowingly
  735. provide the passwords to an applications program and not to
  736. the operating system.
  737.  
  738.     g.  Trojan_Horse.  In this technique computer processing
  739. is covertly altered by either modifying existing program
  740. instructions or inserting new instructions.  Once this has
  741. been accomplished, whenever the altered processes are used the
  742. perpetrator will automatically benefit from unauthorized
  743. functions performed in addition to the routine output.  This
  744. modification is usually done by hiding secret instructions in
  745. either the original source-code or the machine-code version of
  746. a lengthy program.  An even harder to detect method would be
  747. to alter the operating and utility system programs so that
  748. they make only temporary changes in the target program as it
  749. is executing.  The hardware version of the Trojan Horse
  750. technique is relatively rare.  However, the replacement of
  751. valid micro-chips with slightly altered counterfeit chips is
  752. entirely possible and would be very hard to detect.  In either
  753. the software or hardware Trojan Horse method, only someone
  754. with access to a program or the computer system could become a
  755. perpetrator.
  756.  
  757.     h.  Clandestine_Machine_Code_Change.  This technique is
  758. closely related to the Trojan Horse technique.  This method
  759. allows system programmers to insert code into the system that
  760. creates trapdoors.  At specific times based on certain
  761. combinations, these trapdoors can be activated by a user from
  762. the user's program.  Individuals who initially design the
  763. system, contract maintenance personnel who fix the system, or
  764. people who are able to gain access to the supervisory state
  765. also have this opportunity.  The technique could be as simple
  766. as users stealing job card information on work that has
  767. already gone through the system.  They then resubmit this
  768. information to the system on their own job card along with
  769. another program.  This particular job may have dealt with
  770. sensitive data and therefore a security violation would have
  771. occurred.
  772.  
  773. 5.  Necessary_Precautions.  The aforementioned techniques are
  774. only a few ways that unauthorized access or usage of your host
  775. computer system may be obtained.  You must enforce proper
  776. access control on remote terminals to prevent unauthorized
  777. personnel from abusing unattended terminals used for input or
  778. data modification.  You must also emphasize the physical
  779. protection of the terminal and the administration and control
  780. of password access and use.  Terminal users must be instructed
  781. on the importance of protecting their user identification
  782. (UID)/password.
  783.  
  784.  
  785.  
  786.  
  787. DCAC 310-P115-1                                            3-1
  788.  
  789.               CHAPTER 3.  NETWORK ACCESS SECURITY
  790.  
  791. 1.  General.  Access control is the primary method of
  792. providing protection from unauthorized access into the DDN.
  793. There are two basic kinds of access control systems -- those
  794. that detect intrusion and those that stop an intruder from
  795. gaining access to the network.  Both intrusion detection and
  796. network access control are functions of the TAC Access Control
  797. System (TACACS) which monitors terminal network access.  The
  798. security of both the network and connected hosts is greatly
  799. enhanced if the Host Administrator can provide local security
  800. systems which can complement the TACACS.  Possibilities
  801. include installing security systems which limit physical
  802. access to terminals connected to their hosts.  Another weak
  803. link in the security chain is dial-up access and host-to-host
  804. connections (not under TACACS control).  There is a great need
  805. to establish some manner of access control with auditing
  806. capabilities to cover these situations.
  807.  
  808. 2.  TAC_Access_Control_System_(TACACS).  This section on
  809. TACACS is provided to inform you of the tracking capability
  810. that exists if your computer terminal is connected to a
  811. Terminal Access Controller (TAC).  The information obtained by
  812. the TACACS will be quite useful in enforcing proper access
  813. control for those users entering the MILNET through TACs.
  814. TACACS uses a login procedure to control access to MILNET.
  815. When a MILNET user attempts to open a connection to a host,
  816. the TAC prompts for the user's TAC user ID and access code.
  817. TACACS is automatically monitored; a variety of reports are
  818. available for use by the NSO.
  819.  
  820.     a.  User_Registration.  DCA's Data Network Operations
  821. Division establishes policy for the MILNET and administers the
  822. MILNET TAC access and control system through the Network
  823. Information Center (NIC).  TACs are used on MILNET to provide
  824. controlled network access to most locations.  The Host
  825. Administrator is responsible for registering all users of
  826. their hosts who have network access and who have been
  827. authorized for MILNET TAC access through MILNET TACS.  All of
  828. those users must be registered and given TAC access cards by
  829. the NIC.  The access cards are valid for one year at which
  830. time the TAC User must request a renewal from the Host
  831. Administrator.  If a password is compromised, the UID/password
  832. can be invalidated (hotlisted).
  833.  
  834.     b.  Guest_Accounts.  A limited number of temporary guest
  835. cards are available for distribution by each Host
  836. Administrator on MILNET.  These cards have a limited lifetime
  837. and are not for permanent use.  They are for users without
  838. TACACS privileges who temporarily need network access, or for
  839. new users at startup time before they receive their own UID
  840. and password.
  841.  
  842.  
  843. 3-2                                            DCAC 310-P115-1
  844.  
  845.     c.  WHOIS/NICNAME_Database.  Every request to authorize a
  846. new TAC user or renew an existing TAC user must come from a
  847. MILNET Host Administrator.  Information about authorized users
  848. is kept in the WHOIS/NICNAME database on a host at the NIC.
  849. Host Administrators can request information on authorized TAC
  850. users that are changed or deleted from the database.  The
  851. WHOIS/NICNAME database can be accessed by anyone on the MILNET
  852. but can be changed only by operators at the NIC.
  853.  
  854.  
  855.  
  856.  
  857.  
  858.  
  859.  
  860.  
  861.  
  862.  
  863.  
  864.  
  865.  
  866.  
  867.  
  868.  
  869.  
  870.  
  871.  
  872.  
  873.  
  874.  
  875.  
  876.  
  877.  
  878.  
  879.  
  880.  
  881.  
  882.  
  883.  
  884.  
  885.  
  886.  
  887.  
  888.  
  889.  
  890.  
  891.  
  892.  
  893.  
  894.  
  895.  
  896.  
  897.  
  898.  
  899.  
  900. DCAC 310-P115-1                                            4-1
  901.  
  902.         CHAPTER 4.  OPERATIONAL SECURITY MANAGEMENT OF
  903.                        UNCLASSIFIED NETS
  904.  
  905. 1.  General.
  906.  
  907.     a.  This Chapter provides operational guidance on security
  908. management of an unclassified network.  Chapter 5 provides
  909. guidance for operating on a classified net.  The potential
  910. exists for authorized and unauthorized users to conduct
  911. illegal activities on shared communications networks such as
  912. the DDN.  Network abusers fall into three categories:
  913.  
  914.         (1)  A person sponsored and authorized on the DDN who
  915. engages in an unauthorized activity.
  916.  
  917.         (2)  A person accessing the network illegally.
  918.  
  919.         (3)  A person with access to a host system who need
  920. not log-in through a TAC and engages in unauthorized activity.
  921.  
  922.     b.  While your individual databases may be unclassified,
  923. compiling large amounts of unclassified data may result in the
  924. creation of sensitive information.  [SENSITIVE UNCLASSIFIED
  925. INFORMATION is defined as any information the loss, misuse, or
  926. unauthorized access to, or modification of which adversely
  927. might affect U.S. national interest, the conduct of DoD
  928. programs, or the privacy of DoD personnel (e.g., FOIA exempt
  929. information and information whose distribution is limited by
  930. DoD Directive 5230.24.)]  Network security can only be as
  931. effective as what the local Host Administrator/ADP system
  932. security officer does to enforce strict access control
  933. procedures.  Network security is a principle responsibility of
  934. Host Administrators.
  935.  
  936.     c.  You may wish to investigate additional authentication
  937. systems to protect local computing assets (i.e., systems such
  938. as smart cards or Kerberos, developed at MIT.  This is a
  939. collection of software used in a network to establish a user's
  940. claimed identity and to control access to a large number of
  941. interconnected workstations).
  942.  
  943. 2.  Access_Vulnerability.  Connection to the DDN will require
  944. a reevaluation of the risk assessment concerning threat and
  945. vulnerability of your host locations.  Users accessing these
  946. hosts should be told what level of data security will be
  947. provided.  For example, do maintenance contracts exist with
  948. the system software vendors to fix defects that might
  949. otherwise compromise the resources?  You should consider what
  950. is the level of sensitivity of data that users should store on
  951. your systems.  It would be unwise for users to store very
  952. sensitive information on a vulnerable system whether the
  953. information was classified or not.  It is also very important
  954. that your site does not seem to encourage penetration attempts
  955. through the use of a welcome banner as part of the login  
  956. 4-2                                            DCAC 310-P115-1
  957.  
  958. request response of the host.  The courts have given great
  959. leeway to intruder defendants who claimed that they were
  960. encouraged to browse by the banner.  Additionally, your login
  961. challenge should not include information about the operating
  962. system.  It helps a would-be abuser determine which
  963. penetration techniques would probably be most effective.
  964.  
  965. 3.  Risk_Assessment.  Risk assessment is a requirement of DCAI
  966. 630-230-19.  A checklist providing guidelines for reevaluating
  967. the threat and vulnerability that results from connecting to
  968. the DDN has been included (see Tables 1-6, Vulnerability
  969. Analysis).
  970.  
  971. 4.  Security_Policies_and_Procedures.  This section covers
  972. many diverse aspects such as physical security and data
  973. security, authorizations, education, and training.
  974.  
  975.     a.  Physical_Security.  Physical security includes the
  976. facilities that house computers as well as remote computer
  977. terminals.  Within security parameters established by the Host
  978. Administrator, work areas must be restricted with physical
  979. barriers, appropriate placement and storage of equipment and
  980. supplies, and universal wearing of identification badges, as
  981. applicable.
  982.  
  983.     b.  Authorization.  Another crucial factor that must be
  984. considered in devising a security program is user
  985. authorization.  Only people with a "need to know" and with a
  986. realization of proper precautions can be given access to
  987. sensitive or proprietary information or to ADP facilities.
  988. The use of passwords and terminal access restrictions can
  989. provide extra security for highly sensitive information.
  990. Passwords can be used to reduce accidental or non-accidental
  991. modification by authorized personnel by restricting access to
  992. their respective database files.
  993.  
  994.     c.  Data_Security.  Although it is not foolproof, the best
  995. known identification/authentication scheme is the use of
  996. passwords.  The Host Administrator must assure that passwords
  997. are kept secret by their users.  The Host Administrator must
  998. also assure that passwords are long enough to thwart
  999. exhaustive attack by changing them often and by adequately
  1000. protecting password files.  (In the case of MILNET TAC Users,
  1001. the TACACS generates passwords with the proper attributes.
  1002. The users are not given the option to create their own TAC
  1003. passwords.)  When creating passwords, the following
  1004. restrictions should be observed.  Failure to do so will result
  1005. in passwords that could be found in a database dictionary, or
  1006. otherwise easily discovered.
  1007.  
  1008.         (1)  Don't use words that can be found in a
  1009. dictionary.
  1010.  
  1011.  
  1012. DCAC 310-P115-1                                            4-3
  1013.  
  1014.         (2)  Don't use traceable personal data.
  1015.  
  1016.         (3)  Don't allow users to create their own passwords.
  1017.  
  1018.         (4)  Change passwords frequently.
  1019.  
  1020.         (5)  Keep passwords private.
  1021.  
  1022.     d.  One-Time_Passwords.  [The following is excerpted from
  1023. CSC-STD-002-85.]  One-time passwords (i.e., those that are
  1024. changed after each use) are useful when the password is not
  1025. adequately protected from compromise during login (e.g., the
  1026. communication line is suspected of being tapped).  The
  1027. difficult part of using one-time passwords is in the
  1028. distribution of new passwords.  If a one-time password is
  1029. changed often because of frequent use, the distribution of new
  1030. one-time passwords becomes a significant point of
  1031. vulnerability.  There are products on the market that generate
  1032. such passwords through a cryptographic protocol between the
  1033. destination host and a hand-held device the user can carry.
  1034.  
  1035.     e.  Failed_Login_Attempt_Limits.  [The following is
  1036. excerpted from CSC-STD-002-85.]  In some instances, it may be
  1037. desirable to count the number of unsuccessful login attempts
  1038. for each user ID, and base password expiration and user
  1039. locking on the actual number of failed attempts.  (Changing a
  1040. password would reset the count for that user ID to zero.)
  1041.  
  1042.     f.  Monitoring_Terminal_Use.  The Host Administrator
  1043. should also have some method of monitoring terminal use.  A
  1044. log-in sheet is convenient to provide an audit trail if the
  1045. host has no automated access control and audit capability.
  1046. This record should contain such information as login and
  1047. logout times, purpose, project being worked on, project
  1048. classification, and anything else deemed necessary by you as
  1049. the Host Administrator.  Additionally, the classification
  1050. level at which the terminal may be used should be prominently
  1051. displayed at the terminal location.  You will need to work
  1052. closely with the system manager to assure that host activities
  1053. are monitored as well.  This information will be extremely
  1054. valuable in conjunction with TAC connections and will be the
  1055. primary information for incidents where access originated from
  1056. an external host and no network audit data is available.
  1057.  
  1058.     g.  Terminal_Usage.  You must also ensure that proper
  1059. procedures are enforced when using computer terminals.  The 4-
  1060. following points should be considered:
  1061.  
  1062.         (1)  Automated login procedures that include the use
  1063. of stored passwords should not be allowed.
  1064.  
  1065.         (2)  Terminals logged onto the DDN network or to the
  1066. host computer should not be left unattended.
  1067.  
  1068. 4-4                                            DCAC 310-P115-1
  1069.  
  1070.         (3)  Some form of access control for dial-up telephone
  1071. connections, such as dial-back procedures, should be used.
  1072. [Note: Dial-back is not acceptable on lines that may be
  1073. subject to Call Forwarding.]
  1074.  
  1075.         (4)  Unclassified sensitive information in printed
  1076. form or in terminal display should be revealed on a "need to
  1077. know" basis only.
  1078.  
  1079.         (5)  Proper disposal of printed information (i.e.,
  1080. tearing, shredding, or otherwise obliterating such material)
  1081. is mandatory.
  1082.  
  1083.         (6)  Securing of terminals and access lines during
  1084. non-business hours.
  1085.  
  1086.         (7)  Securing of software programs and stored data
  1087. during non-business hours.
  1088.  
  1089.         (8)  Recording of equipment, custodians, serial
  1090. numbers, and equipment locations to aid in identifying lost or
  1091. stolen equipment.
  1092.  
  1093.     h.  Electronic_Mail.  Any electronic mail host
  1094. administrator should have written procedures for users to
  1095. follow in the event that any mail in the host is determined to
  1096. be classified.  The Host Administrator must be notified
  1097. immediately to purge any backup files containing the
  1098. classified mail, retrieve it from addresses and mail boxes,
  1099. and remove it from the active data base.  Such an event is an
  1100. administrative security violation that must be reported to the
  1101. offender's organization security officer immediately.
  1102.  
  1103.     i.  Internal_Controls.  Even the most sophisticated access
  1104. control system is ineffective if an organization has weak
  1105. internal controls.  Case studies of commercial firms often
  1106. describe abuses made by employees who have resigned from a
  1107. company, but still have active user IDs and passwords.  It is
  1108. just as important for Military or DoD organizations to remove
  1109. network access, as well as local host computer access, from
  1110. anyone being transferred, retired, or otherwise leaving the
  1111. organization.  Changing (all of) the password(s) associated
  1112. with a user's account(s) should be part of the local exit
  1113. procedures.  Every Host Administrator should have written
  1114. procedures for retiring e-mail accounts.  Consideration should
  1115. also be given to establishing a procedure to reevaluate an
  1116. individual's requirement to access the network when the person
  1117. is transferred within the organization.  It is the Host
  1118. Administrator's responsibility to enact the following:
  1119.  
  1120.         (1)  Procedures to remove individuals' access to the
  1121. DDN upon that individual's departure.
  1122.  
  1123.  
  1124.  
  1125.  
  1126.  
  1127.  
  1128.  
  1129.  
  1130.  
  1131.  
  1132.  
  1133.  
  1134.  
  1135.  
  1136.  
  1137.  
  1138. DCAC 310-P115-1                                            4-5
  1139.  
  1140.         (2)  If sponsoring a non-DOD organization's access to
  1141. the DDN, procedures must be established to require a written
  1142. agreement that the non-DOD organization will have an
  1143. individual's access to the DDN removed upon that individual's
  1144. departure.
  1145.  
  1146.     j.  Encryption.  Another method of securing data is
  1147. encryption, a powerful method of protecting information
  1148. transmitted between the host computer and remote terminals.
  1149. It limits access to information stored in the computer's data
  1150. base.  An individual user not possessing the proper encryption
  1151. key has little chance of gaining usable information from a
  1152. computer protected in this manner.
  1153.  
  1154. 5.  Education_Program.  Security training is a key element of
  1155. a security program.  Evaluating the risks within a DDN
  1156. environment and implementing an active DDN security program
  1157. requires properly trained personnel.  An effective training
  1158. program will provide both formal and informal instruction.
  1159. Depending on the size and complexity of the ADP environment
  1160. and the level of data being processed, the instruction will
  1161. range from security awareness education for top-level
  1162. management, to highly technical security training for DDN
  1163. operations personnel.  (See DCAI 630-230-19).
  1164.  
  1165.     a.  General_Information.  Users of the host system should
  1166. be provided with information regarding their computing and
  1167. network environment and their responsibilities within that
  1168. setting.  Users should be made aware of the security problems
  1169. associated with access to the systems via local and wide-area
  1170. networks.  They should be told how to properly manage their
  1171. account and workstation.  This includes explaining how to
  1172. protect files stored on the system, and how to log out or lock
  1173. the terminal/workstation.  Policy on passwords must be
  1174. emphasized.  An especially important point that must be
  1175. emphasized is that passwords are not to be shared.
  1176.  
  1177.     b.  Specific_Topics.  The below listed training areas must
  1178. be taught at the appropriate administrative, management, and
  1179. staff levels.  You must also implement testing plans to assure
  1180. that personnel will know their responsibilities in emergency
  1181. situations.  Drills should be scheduled periodically to
  1182. determine that the emergency procedures are adequate for the
  1183. threat to be countered.  The Host Administrator's security
  1184. training program should include specifics in the following
  1185. areas as applicable:
  1186.  
  1187.         (1)  General security awareness.
  1188.  
  1189.         (2)  User security.
  1190.  
  1191.         (3)  Security administration.
  1192.  
  1193.         (4)  Transition control and computer abuse.
  1194. 4-6                                            DCAC 310-P115-1
  1195.  
  1196.         (5)  Software security.
  1197.  
  1198.         (6)  Telecommunications security.
  1199.  
  1200.         (7)  Terminal/device security.
  1201.  
  1202.         (8)  System design security.
  1203.  
  1204.         (9)  Hardware security.
  1205.  
  1206.         (10) Physical security.
  1207.  
  1208.         (11) Personnel security.
  1209.  
  1210.         (12) Audit.
  1211.  
  1212.         (13) Data security.
  1213.  
  1214.         (14) Risk assessment.
  1215.  
  1216.         (15) Contingency/backup planning.
  1217.  
  1218.         (16) Disaster recovery.
  1219.  
  1220.         (17) Security accreditation.
  1221.  
  1222.         (18) Security test and evaluation (ST&E).
  1223.  
  1224.         (19) DDN security and contractor interface.
  1225.  
  1226.         (20) Common penetration techniques.
  1227.  
  1228.  
  1229.  
  1230.  
  1231.  
  1232.  
  1233.  
  1234.  
  1235.  
  1236.  
  1237.  
  1238.  
  1239.  
  1240.  
  1241.  
  1242.  
  1243.  
  1244.  
  1245.  
  1246.  
  1247.  
  1248.  
  1249.  
  1250. DCAC 310-P115-1                                            5-1
  1251.  
  1252.         CHAPTER 5.  OPERATIONAL SECURITY MANAGEMENT OF
  1253.                         CLASSIFIED NETS
  1254.  
  1255. 1.  General.  Unauthorized user activities obviously pose a
  1256. greater threat to the classified nets.  Since the classified
  1257. communications nets are closed communities, classified hosts
  1258. must maintain their own access control and audit system to
  1259. detect and analyze problems.  For specific details concerning
  1260. security in the WIN Communications System (DSNET 1), refer to
  1261. JCS Pub 6-03.7, Security_Policy_for_the_WWMCCS_Intercomputer
  1262. Network (Unclas), dated April 88.  For specific details
  1263. concerning security in the Sensitive Compartmented Information
  1264. Network (DSNET 3), refer to the following documents: DIAM 50-
  1265. 3, Physical_Security_Standards_for_SCI_Facilities (FOUO); DIAM
  1266. 50-4, Security_of_Compartmented_Computer_Operations (C), dated
  1267. June 80; and DCID 1/16, Security_Policy_for_Uniform_Protection
  1268. of_Intelligence_Processed_in_Automated_Information_Systems_and
  1269. Networks (S), dated July 88.
  1270.  
  1271. 2.  Limited_Terminal_Access_Controls.  Terminal access
  1272. controllers, when used on the classified subnetworks, are
  1273. currently limited to controlling access into the network.  The
  1274. TACs do not collect and forward audit information of network
  1275. activity to a central location for analysis, usage data
  1276. collection, and processing as is done on the unclassified
  1277. networks.  The TAC Access Control System (TACACS), necessary
  1278. for dial-in access, has not been implemented on the classified
  1279. networks because there is no dial-in access.  In the WIN
  1280. Communications System, for example, TACs are not used; network
  1281. access is controlled by the interconnected hosts.  The WWMCCS
  1282. Intercomputer Network (WIN) hosts also collect audit data of
  1283. user activity at each host location.
  1284.  
  1285. 3.  Closed_Community_Characteristics.  Most, if not all, of
  1286. the guidance given in Chapter 4 is incorporated in creating a
  1287. "closed" community.  A major difference in access control of
  1288. classified networks is that no dial-up access is allowed.
  1289. Also, personnel having access to a facility will have, as a
  1290. minimum, a system high clearance level for their site.  There
  1291. are multiple classification levels at some locations.  The
  1292. Host Administrator must take special precautions to ensure
  1293. that the classification of passwords and the access authority
  1294. of operating personnel are at or above the classification
  1295. level of the operation being performed.
  1296.  
  1297. 4.  Security_Awareness.  Because of the nature of classified
  1298. systems and the greater threat that security infractions can
  1299. cause, it is incumbent that the host administrator assure that
  1300. there exists sufficient exposure to security awareness and
  1301. training.  The listed training areas must be taught at the
  1302. appropriate administrative, management, and staff levels.  You
  1303. must also implement testing plans to assure that personnel
  1304. will know their responsibilities in emergency situations.
  1305. The Host Administrator's security training program must
  1306. 5-2                                            DCAC 310-P115-1
  1307.  
  1308. include specifics in the following areas:
  1309.  
  1310.         (1)  General security awareness.
  1311.  
  1312.         (2)  User security.
  1313.  
  1314.         (3)  Security administration.
  1315.  
  1316.         (4)  Transition control and computer abuse.
  1317.  
  1318.         (5)  Software security.
  1319.  
  1320.         (6)  Telecommunication security.
  1321.  
  1322.         (7)  Terminal/device security.
  1323.  
  1324.         (8)  System design security.
  1325.  
  1326.         (9)  Hardware security.
  1327.  
  1328.         (10) Physical security.
  1329.  
  1330.         (11) Personnel security.
  1331.  
  1332.         (12) Audit.
  1333.  
  1334.         (13) Data security.
  1335.  
  1336.         (14) Risk assessment.
  1337.  
  1338.         (15) Contingency/backup planning.
  1339.  
  1340.         (16) Disaster recovery.
  1341.  
  1342.         (17) Security accreditation.
  1343.  
  1344.         (18) Security test and evaluation (ST&E).
  1345.  
  1346.         (19) DDN security and contractor interface.
  1347.  
  1348.         (20) Most common penetration techniques.
  1349.  
  1350.  
  1351.  
  1352.  
  1353.  
  1354.  
  1355.  
  1356.  
  1357.  
  1358.  
  1359.  
  1360.  
  1361.  
  1362. DCAC 310-P115-1                                            6-1
  1363.  
  1364.        CHAPTER 6.  DETECTION OF UNAUTHORIZED HOST ACCESS
  1365.  
  1366. 1.  General.  Because you, as the Host Administrator, are
  1367. responsible for the security of the host computer, early
  1368. detection of potential abuse will serve to prohibit losses.
  1369. Effective monitoring will also deter potential perpetrators
  1370. from attempting to experiment with illegal schemes if the
  1371. probability of detection is high.  The following points
  1372. provide guidance for the types of events you should look for
  1373. to detect unauthorized activity:
  1374.  
  1375.     a.  Unexplained use of disk space.
  1376.  
  1377.     b.  Unknown files listed in the directory.
  1378.  
  1379.     c.  Repeated failed attempts to access the host.
  1380.  
  1381.     d.  Unusual log-in times.
  1382.  
  1383.     e.  A file being accessed by someone who has no
  1384. authorization to be in that file.
  1385.  
  1386.     f.  Excessive time (hours) on line or a pattern of
  1387. unusually short access times (less than one minute).
  1388.  
  1389. 2.  Detection_Training.  Detection of unauthorized activities
  1390. at host locations is a responsibility shared by all personnel
  1391. within the work place.  The Host Administrator, however, may
  1392. find it necessary to educate personnel on this point and
  1393. delegate responsibilities.  Apart from the measures taken to
  1394. manage the security environment, Host Administrators must act
  1395. with diligence regarding technical or quasi-technical areas
  1396. affecting security.  For example, their responsibilities might
  1397. include enforced cycling of password changes,
  1398. compartmentalizing proprietary information away from the
  1399. generally accessible system and limiting its accessibility to
  1400. those with a bona fide "need-to-know," monitoring access logs
  1401. and maintaining audit trails to facilitate detection of
  1402. unusual activity, and using security systems and services
  1403. offered by their network systems and service providers.
  1404.  
  1405. 3.  Logging_Events.  Illegal attempts to gain access into
  1406. sensitive areas (i.e., trespassing or guessing at passwords in
  1407. order to sign on or access files from remote terminals) should
  1408. be logged and reviewed regularly.  One effective detection of
  1409. unauthorized activities is to display the last log-on time and
  1410. date on the screen after the user has successfully logged onto
  1411. the system.  Statistics of access violations should be
  1412. collected with regard to details of the particular terminals
  1413. being abused and the files being accessed.  The results should
  1414. be reviewed by the NSO.
  1415.  
  1416. 4.  Peculiar_Behavior.  If not typical of or appropriate for
  1417. your organization, beware of unsupervised work especially if a
  1418. 6-2                                            DCAC 310-P115-1
  1419.  
  1420. person regularly volunteers for overtime work and is allowed
  1421. to stay on the premises unsupervised.  Have two-man control
  1422. procedures for sensitive information work.  In addition, be
  1423. advised that many computer crimes occur during holiday
  1424. periods, or during times when host computers are experiencing
  1425. low traffic.  Pay particular attention to peculiar activities
  1426. during these periods.
  1427.  
  1428. 5.  Legal_Recourse.  Public Law 98-473, known as the
  1429. "Counterfeit Access Device and Computer Fraud and Abuse Act of
  1430. 1984" added Section 1030 to Title 18 United States Code on
  1431. October 12, 1984.  It was the first federal computer crime law
  1432. that criminalized unauthorized access to classified national
  1433. security information or information in certain financial
  1434. records.  Additionally, it criminalized certain unauthorized
  1435. accesses to computers operated on behalf of the Government.
  1436.  
  1437. 6.  Prosecution_as_a_Deterrent.  When there is adequate
  1438. evidence collected for conviction, the perpetrator should
  1439. always be prosecuted.  This action would serve as a serious
  1440. warning to others contemplating making similar attempts and
  1441. can be extremely effective as a deterrent.  However, as recent
  1442. world events have revealed, this really doesn't deter abuse
  1443. adequately.  Therefore, you must assure proper protection of
  1444. your computer systems.
  1445.  
  1446. 7.  Incident_Reporting_by_Subscriber.  The flow of security
  1447. incident reporting should be from the end user to the Host
  1448. Administrator, or other appropriate individual who determines
  1449. if the problem is local or network related.  If the problem is
  1450. network related, the problem should be referred to the
  1451. appropriate Network Manager/Security Officer.  The Network
  1452. Manager/Security Officer would contact the DDN NSO, if
  1453. appropriate, for assistance in obtaining audit trail data from
  1454. the NIC for MILNET.  Depending on the seriousness of the
  1455. incident, the DDN NSO would assure that the appropriate
  1456. investigating agency was involved, and support requests for
  1457. information for formal investigations.
  1458.  
  1459. 8.  Contacts.  To correspond with the DDN NSO, use any one of
  1460. the following methods of contact:
  1461.  
  1462.     a.  Via network mail to: SCC@NIC.DDN.MIL or
  1463. DCA-MMC@DCA-EMS.DCA.MIL
  1464.  
  1465.     b.  Via U.S. mail to: HQ Defense Communications Agency,
  1466. Code: DODM, Attn: DDN-NSO, Washington, DC 20305-2000
  1467.  
  1468.     c.  Via commercial phone to: (800) 451-7413, or
  1469. (800) 235-3155 for the SCC
  1470.  
  1471.     d.  Via DSN/AUTOVON to: 312-222-2714/5726
  1472.  
  1473.     e.  Via AUTODIN to: DCA WASHINGTON DC//DODM//
  1474. DCAC 310-P115-1                                            6-3
  1475.  
  1476.     f.  Classified correspondence must be forwarded via
  1477. AUTODIN or U.S. mail using procedures appropriate for its
  1478. classification level.
  1479.  
  1480. 9.  What_Information_To_Report.  Your incident reports must
  1481. include certain minimal information to enable the DDN NSO to
  1482. take action.  The DDN NSO requires a brief, unclassified
  1483. description of the incident and the name, telephone number,
  1484. and organization of the person reporting the incident.  If the
  1485. incident's occurrence is classified, the report and any
  1486. classified discussions between the DDN NSO and officials at
  1487. the affected organization must take place using secure modes
  1488. of communication.  The following is the minimum information
  1489. necessary for an incident report:
  1490.  
  1491.     a.  Date of report (Day-Month-Year, e.g., 01 Jan 87)
  1492.  
  1493.     b.  Date and time period of incident(s) (Zulu time)
  1494.  
  1495.     c.  Personal data of person reporting the incident:
  1496.  
  1497.         (1)  Name
  1498.  
  1499.         (2)  Telephone number
  1500.  
  1501.         (3)  Organization
  1502.  
  1503.     d.  Network involved (e.g., MILNET, DSNET 1, 2, or 3)
  1504.  
  1505.     e.  Did unauthorized access come from the DDN, if known?
  1506. (If not, refer reporting person to his/her Host
  1507. Administrator).
  1508.  
  1509.     f.  Presumed classification of incident (i.e.,
  1510. Unclassified, Confidential, Secret, Top Secret, Top
  1511. Secret/Sensitive Compartmented Information.  [Note: Contact
  1512. the DDN NSO should you have any questions concerning the level
  1513. of classification of a particular incident.]
  1514.  
  1515.     g.  Brief description of incident (Unclassified).
  1516.  
  1517. 10.  Follow-up_Information.  Follow-up contact with Host
  1518. Administrators might be required to obtain more detailed
  1519. information that may not have been initially available.  The
  1520. DDN NSO would try to determine the following factors:
  1521.  
  1522.     a.  Where the activity was initiated (i.e., at another
  1523. host or specific TAC)
  1524.  
  1525.     b.  What routines the intruder ran on the host system
  1526.  
  1527.     c.  What files the intruder accessed on the host system
  1528.  
  1529.  
  1530. 6-4                                            DCAC 310-P115-1
  1531.  
  1532.     d.  What user identification log-in was used.  For
  1533. example, was there a password?  Was the password the same as
  1534. the log-in?  Was the account password protected?  Did the user
  1535. change the password initially provided?  Security incidents
  1536. that are discovered to be a local problem will be investigated
  1537. at the Host Administrator level.
  1538.  
  1539.  
  1540.  
  1541.  
  1542.  
  1543.  
  1544.  
  1545.  
  1546.  
  1547.  
  1548.  
  1549.  
  1550.  
  1551.  
  1552.  
  1553.  
  1554.  
  1555.  
  1556.  
  1557.  
  1558.  
  1559.  
  1560.  
  1561.  
  1562.  
  1563.  
  1564.  
  1565.  
  1566.  
  1567.  
  1568.  
  1569.  
  1570.  
  1571.  
  1572.  
  1573.  
  1574.  
  1575.  
  1576.  
  1577.  
  1578.  
  1579.  
  1580.  
  1581.  
  1582.  
  1583.  
  1584.  
  1585.  
  1586. DCAC 310-P115-1                                            7-1
  1587.  
  1588.          CHAPTER 7.  TOOLS FOR INVESTIGATING INCIDENTS
  1589.                        AT THE HOST LEVEL
  1590.  
  1591. 1.  General.  This Chapter will help you, the Host
  1592. Administrator, with investigations of security incidents that
  1593. are determined to be a local problem.  The tools available for
  1594. investigating network incidents are products of audit trail
  1595. data collected in the TAC Access and Control System for the
  1596. unclassified networks and in the audit data collection systems
  1597. of the individual hosts (if they exist) in both the classified
  1598. and unclassified networks.  The network traffic data collected
  1599. by the network utilities at the community of interest
  1600. monitoring centers is useful for network control and design
  1601. purposes, but its use for network security investigative
  1602. purposes is limited.
  1603.  
  1604. 2.  Host_System_Logs.  The host system can provide a wealth of
  1605. information that can complement the network data.  Most
  1606. operating systems automatically store numerous bits of
  1607. information in log files.  Examination of these log files on a
  1608. regular basis is often the first line of defense in detecting
  1609. unauthorized use of the system.  Lists of currently logged in
  1610. users and past login histories can be compared.  Most users
  1611. typically log in and out at roughly the same time each day.
  1612. An account logged in outside the "normal" time for the account
  1613. may be in use by an intruder.  System logging facilities, such
  1614. as the UNIX "syslog" utility, should be checked for unusual
  1615. error messages from system software.  For example, a large
  1616. number of failed login attempts in a short period of time may
  1617. indicate someone trying to guess passwords.  Operating system
  1618. commands which list currently executing processes can be used
  1619. to detect users running programs they are not authorized to
  1620. use, as well as to detect unauthorized programs which have
  1621. been started by a cracker.
  1622.  
  1623. 3.  Other_Tools.  The tools available for conducting an
  1624. incident investigation on unclassified nets consist of the
  1625. TACACS reports, provided to the DDN NSO, and the Host audit
  1626. and log book, if used.  Additionally, personnel may be
  1627. interviewed to provide necessary insight.  The tools available
  1628. for conducting an investigation on classified nets include the
  1629. Host audit, system logs, physical log book, and personnel as
  1630. well.  Additionally, the UID/password and the specific
  1631. terminal will provide further useful information.  No TACACS
  1632. reports are available for the classified nets.
  1633.  
  1634. 4.  TACACS_Reports.  TACACS incident reports are reviewed by
  1635. the DDN NSO for unauthorized network activity.  Other TACACS
  1636. reports are available to the DDN NSO to help investigate
  1637. illegal or unauthorized network activity.  You as the Host
  1638. administrator can request investigative assistance from the
  1639. DDN NSO to obtain TACACS audit data for MILNET.  Assistance
  1640. may also be requested by the Host Administrator to involve an
  1641. investigating agency (e.g., FBI, OSI, NIS, MI, etc.).
  1642. 7-2                                            DCAC 310-P115-1
  1643.  
  1644.  
  1645.  
  1646.  
  1647.  
  1648.  
  1649.  
  1650.  
  1651.  
  1652.  
  1653.  
  1654.  
  1655.  
  1656.  
  1657.  
  1658.  
  1659.  
  1660.  
  1661.  
  1662.  
  1663.  
  1664.  
  1665.               THIS PAGE INTENTIONALLY LEFT BLANK
  1666.  
  1667.  
  1668.  
  1669.  
  1670.  
  1671.  
  1672.  
  1673.  
  1674.  
  1675.  
  1676.  
  1677.  
  1678.  
  1679.  
  1680.  
  1681.  
  1682.  
  1683.  
  1684.  
  1685.  
  1686.  
  1687.  
  1688.  
  1689.  
  1690.  
  1691.  
  1692.  
  1693.  
  1694.  
  1695.  
  1696.  
  1697.  
  1698. DCAC 310-P115-1                                            8-1
  1699.  
  1700.                       CHAPTER 8.  SUMMARY
  1701.  
  1702. 1.  Penetration_Techniques.  This document has provided you,
  1703. as Host Administrators, guidelines for securing your host
  1704. computer locations.  Security problems arise and espionage
  1705. activity may increase as access to computers increases.
  1706. Therefore, you must apply these instructions because you are
  1707. ultimately responsible for the security of the DDN.  This
  1708. instruction has covered common penetration techniques you must
  1709. guard against.
  1710.  
  1711. 2.  Other_Topics.  The major items this document emphasizes
  1712. are the following:
  1713.  
  1714.     a.  Proper access control procedures
  1715.  
  1716.     b.  Reevaluation of the risk assessment of your host site
  1717.  
  1718.     c.  Security education training
  1719.  
  1720.     d.  Detection of unauthorized or suspected unauthorized
  1721. access
  1722.  
  1723.     e.  Incident reporting
  1724.  
  1725.     f.  Tools for local incident investigation
  1726.  
  1727.     g.  Assistance from the DDN NSO for network incident
  1728. investigations
  1729.  
  1730.  
  1731.  
  1732.  
  1733.  
  1734.  
  1735.  
  1736.  
  1737.  
  1738.  
  1739.  
  1740.  
  1741.  
  1742.  
  1743.  
  1744.  
  1745.  
  1746.  
  1747.  
  1748.  
  1749.  
  1750.  
  1751.  
  1752.  
  1753.  
  1754. 8-2                                            DCAC 310-P115-1
  1755.  
  1756.  
  1757.  
  1758.  
  1759.  
  1760.  
  1761.  
  1762.  
  1763.  
  1764.  
  1765.  
  1766.  
  1767.  
  1768.  
  1769.  
  1770.  
  1771.  
  1772.  
  1773.  
  1774.  
  1775.  
  1776.  
  1777.               THIS PAGE INTENTIONALLY LEFT BLANK
  1778.  
  1779.  
  1780.  
  1781.  
  1782.  
  1783.  
  1784.  
  1785.  
  1786.  
  1787.  
  1788.  
  1789.  
  1790.  
  1791.  
  1792.  
  1793.  
  1794.  
  1795.  
  1796.  
  1797.  
  1798.  
  1799.  
  1800.  
  1801.  
  1802.  
  1803.  
  1804.  
  1805.  
  1806.  
  1807.  
  1808.  
  1809.  
  1810. DCAC 310-P115-1                                            9-1
  1811.  
  1812.                TABLE 1:  VULNERABILITY ANALYSIS
  1813.  
  1814. -------------------------------------------------------------
  1815.            **Operations Management and Processing**
  1816. -------------------------------------------------------------
  1817.            Item                         Response
  1818. Comments                             (Yes, No, N/A)
  1819. -------------------------------------------------------------
  1820. Has a systems security officer       |           |
  1821. been appointed?                      |           |
  1822. -------------------------------------------------------------
  1823. Have procedures been developed       |           |
  1824. defining who can access the          |           |
  1825. computer facility, and how and       |           |
  1826. when that access can occur?          |           |
  1827. -------------------------------------------------------------
  1828. Have procedures been established     |           |
  1829. to provide physical protection of    |           |
  1830. local and remote terminal access     |           |
  1831. equipment?                           |           |
  1832. -------------------------------------------------------------
  1833. Have procedures been established     |           |
  1834. to provide physical protection of    |           |
  1835. host computers?
  1836. -------------------------------------------------------------
  1837. Is someone designated as a terminal  |           |
  1838. area security officer?               |           |
  1839. -------------------------------------------------------------
  1840. Have procedures been established to  |           |
  1841. positively identify transactions     |           |
  1842. occurring to and from remote         |           |
  1843. locations?                           |           |
  1844. -------------------------------------------------------------
  1845. Have security procedures been        |           |
  1846. established for the microcomputers   |           |
  1847. which will communicate with the DDN? |           |
  1848. -------------------------------------------------------------
  1849. Have procedures been established     |           |
  1850. for providing physical security over |           |
  1851. these microcomputers and the data    |           |
  1852. processed by them?                   |           |
  1853. -------------------------------------------------------------
  1854. Have procedures been established     |           |
  1855. to protect data within the custody   |           |
  1856. of the microcomputer user?           |           |
  1857. -------------------------------------------------------------
  1858. Have alternate means of processing   |           |
  1859. been established in the event either |           |
  1860. the individual or the personal       |           |
  1861. computer is lost?                    |           |
  1862. -------------------------------------------------------------
  1863.  
  1864.  
  1865.  
  1866. 9-2                                            DCAC 310-P115-1
  1867.  
  1868.            TABLE 1:  VULNERABILITY ANALYSIS (con't)
  1869.  
  1870. -------------------------------------------------------------
  1871.            Item                         Response
  1872. Comments                             (Yes, No, N/A)
  1873. -------------------------------------------------------------
  1874. Is the security over the micro-      |           |
  1875. computer environment regularly       |           |
  1876. reviewed?                            |           |
  1877. -------------------------------------------------------------
  1878. Have the vendor installed pass-      |           |
  1879. words been changed?                  |           |
  1880. -------------------------------------------------------------
  1881. Does someone verify that all current |           |
  1882. passwords are different from a list  |           |
  1883. of commonly used or vendor installed |           |
  1884. passwords?                           |           |
  1885. -------------------------------------------------------------
  1886.  
  1887.  
  1888.  
  1889.  
  1890.  
  1891.  
  1892.  
  1893.  
  1894.  
  1895.  
  1896.  
  1897.  
  1898.  
  1899.  
  1900.  
  1901.  
  1902.  
  1903.  
  1904.  
  1905.  
  1906.  
  1907.  
  1908.  
  1909.  
  1910.  
  1911.  
  1912.  
  1913.  
  1914.  
  1915.  
  1916.  
  1917.  
  1918.  
  1919.  
  1920.  
  1921.  
  1922. DCAC 310-P115-1                                            9-3
  1923.  
  1924.                TABLE 2:  VULNERABILITY ANALYSIS
  1925.  
  1926. -------------------------------------------------------------
  1927.                       **Communications**
  1928. -------------------------------------------------------------
  1929.            Item                         Response
  1930. Comments                             (Yes, No, N/A)
  1931. -------------------------------------------------------------
  1932. Is sensitive information transmitted |           |
  1933. over common carrier lines protected  |           |
  1934. (e.g., through cryptography)?        |           |
  1935. -------------------------------------------------------------
  1936. Can data being transmitted or        |           |
  1937. processed be reconstructed in        |           |
  1938. the event either main processing     |           |
  1939. or remote processing loses integrity?|           |
  1940. -------------------------------------------------------------
  1941. Are processing actions restricted    |           |
  1942. based on the point of origin or the  |           |
  1943. individual making the request?       |           |
  1944. -------------------------------------------------------------
  1945. Have procedures been established     |           |
  1946. for providing host connection        |           |
  1947. access control over remote terminals |           |
  1948. and on-site terminals?               |           |
  1949. -------------------------------------------------------------
  1950. Is a log maintained of accesses      |           |
  1951. to computer resources?               |           |
  1952. -------------------------------------------------------------
  1953. Do non-employees have access to      |           |
  1954. communications facilities (except    |           |
  1955. where the system specifically is     |           |
  1956. designed for those non-employees)?   |           |
  1957. -------------------------------------------------------------
  1958.  
  1959.  
  1960.  
  1961.  
  1962.  
  1963.  
  1964.  
  1965.  
  1966.  
  1967.  
  1968.  
  1969.  
  1970.  
  1971.  
  1972.  
  1973.  
  1974.  
  1975.  
  1976.  
  1977.  
  1978. 9-4                                            DCAC 310-P115-1
  1979.  
  1980.                TABLE 3:  VULNERABILITY ANALYSIS
  1981.  
  1982. -------------------------------------------------------------
  1983.                          **Disasters**
  1984. -------------------------------------------------------------
  1985.             Item                        Response
  1986. Comments                             (Yes, No, N/A)
  1987. -------------------------------------------------------------
  1988. Have the types of potential          |           |
  1989. disasters been identified?           |           |
  1990. -------------------------------------------------------------
  1991. Has equipment been provided to       |           |
  1992. deal with minor disasters, such      |           |
  1993. as fire and water damage?            |           |
  1994. -------------------------------------------------------------
  1995. Have alternate processing            |           |
  1996. arrangements been made in the        |           |
  1997. event of a disaster?                 |           |
  1998. -------------------------------------------------------------
  1999. Have procedures been established     |           |
  2000. to provide back-up equipment or      |           |
  2001. automatic data processing (ADP)      |           |
  2002. processing capabilities in event of  |           |
  2003. loss of primary ADP resources?       |           |
  2004. -------------------------------------------------------------
  2005. Have simulated disasters been        |           |
  2006. conducted to ensure that disaster    |           |
  2007. procedures work?                     |           |
  2008. -------------------------------------------------------------
  2009. Are critical programs and data       |           |
  2010. retained in off-site storage         |           |
  2011. locations?                           |           |
  2012. -------------------------------------------------------------
  2013. Have users been heavily involved     |           |
  2014. in developing disaster plans for     |           |
  2015. applications that affect their areas?|           |
  2016. -------------------------------------------------------------
  2017.  
  2018.  
  2019.  
  2020.  
  2021.  
  2022.  
  2023.  
  2024.  
  2025.  
  2026.  
  2027.  
  2028.  
  2029.  
  2030.  
  2031.  
  2032.  
  2033.  
  2034. DCAC 310-P115-1                                            9-5
  2035.  
  2036.                TABLE 4:  VULNERABILITY ANALYSIS
  2037.  
  2038. -------------------------------------------------------------
  2039.                          **Personnel**
  2040. -------------------------------------------------------------
  2041.            Item                         Response
  2042. Comments                             (Yes, No, N/A)
  2043. -------------------------------------------------------------
  2044. Are formal reports required for      |           |
  2045. each reported instance of computer   |           |
  2046. penetration?                         |           |
  2047. -------------------------------------------------------------
  2048. Are records maintained on the most   |           |
  2049. common methods of computer           |           |
  2050. penetration?                         |           |
  2051. -------------------------------------------------------------
  2052. Are records maintained on damage     |           |
  2053. caused to computer equipment and     |           |
  2054. facilities?                          |           |
  2055. -------------------------------------------------------------
  2056. Is one individual held accountable   |           |
  2057. for each data processing resource?   |           |
  2058. -------------------------------------------------------------
  2059. Does management understand threats   |           |
  2060. posed by host connection to DDN?     |           |
  2061. -------------------------------------------------------------
  2062. Is management evaluated on its       |           |
  2063. ability to maintain a secure computer|           |
  2064. facility?                            |           |
  2065. -------------------------------------------------------------
  2066. Are the activities of any non-       |           |
  2067. employees in the computer center     |           |
  2068. monitored? Is an escort policy       |           |
  2069. enforced?                            |           |
  2070. -------------------------------------------------------------
  2071. Are contractor personnel subject to  |           |
  2072. the same security procedures as other|           |
  2073. non-employees?                       |           |
  2074. -------------------------------------------------------------
  2075. Are procedures installed to restrict |           |
  2076. personnel without a "need to know"?  |           |
  2077. -------------------------------------------------------------
  2078. Have procedures been established     |           |
  2079. to limit the damage, corruption, or  |           |
  2080. destruction of data base information?|           |
  2081. -------------------------------------------------------------
  2082. Has a security incident report form  |           |
  2083. been created?                        |           |
  2084. -------------------------------------------------------------
  2085.  
  2086.  
  2087.  
  2088.  
  2089.  
  2090. 9-6                                            DCAC 310-P115-1
  2091.  
  2092.                TABLE 5:  VULNERABILITY ANALYSIS
  2093.  
  2094. -------------------------------------------------------------
  2095.                          **Training**
  2096. -------------------------------------------------------------
  2097.            Item                         Response
  2098. Comments                             (Yes, No, N/A)
  2099. -------------------------------------------------------------
  2100. Are employees instructed on how to   |           |
  2101. deal with inquiries and requests     |           |
  2102. originating from individuals without |           |
  2103. a "need to know"?                    |           |
  2104. -------------------------------------------------------------
  2105. Has an adequate training program     |           |
  2106. been devised to ensure that employees|           |
  2107. are aware of the requirements to pro-|           |
  2108. tect their equipment from unauthor-  |           |
  2109. ized use or unauthorized purposes?   |           |
  2110. -------------------------------------------------------------
  2111. Have personnel been advised on       |           |
  2112. penalties of the Federal Computer    |           |
  2113. Crime Law for unauthorized access to |           |
  2114. Government ADP systems?              |           |
  2115. -------------------------------------------------------------
  2116.  
  2117.  
  2118.  
  2119.  
  2120.  
  2121.  
  2122.  
  2123.  
  2124.  
  2125.  
  2126.  
  2127.  
  2128.  
  2129.  
  2130.  
  2131.  
  2132.  
  2133.  
  2134.  
  2135.  
  2136.  
  2137.  
  2138.  
  2139.  
  2140.  
  2141.  
  2142.  
  2143.  
  2144.  
  2145.  
  2146. DCAC 310-P115-1                                            9-7
  2147.  
  2148.                TABLE 6:  VULNERABILITY ANALYSIS
  2149.  
  2150. -------------------------------------------------------------
  2151.                 **People Errors and Omissions**
  2152. -------------------------------------------------------------
  2153.         Item                            Response
  2154. Comments                             (Yes, No, N/A)
  2155. -------------------------------------------------------------
  2156. Are errors made by the computer      |           |
  2157. department categorized by type       |           |
  2158. and frequency, such as programming   |           |
  2159. errors?                              |           |
  2160. -------------------------------------------------------------
  2161. Are records maintained on the        |           |
  2162. frequency and type of errors         |           |
  2163. incurred by users of data            |           |
  2164. processing systems?                  |           |
  2165. -------------------------------------------------------------
  2166. Are users provided a summary of      |           |
  2167. the frequency and types of user-     |           |
  2168. caused errors identified by the      |           |
  2169. application system?                  |           |
  2170. -------------------------------------------------------------
  2171. Are the losses associated with       |           |
  2172. data processing errors quantified?   |           |
  2173. -------------------------------------------------------------
  2174. Are records maintained on the        |           |
  2175. frequency and type of problems       |           |
  2176. occurring in operating systems?      |           |
  2177. -------------------------------------------------------------
  2178. Are abnormal program terminations    |           |
  2179. on computer software summarized      |           |
  2180. by type and frequency so that        |           |
  2181. appropriate action can be taken?     |           |
  2182. -------------------------------------------------------------
  2183. Are personnel trained to recognize   |           |
  2184. attempts to access their system by   |           |
  2185. common penetration techniques?       |           |
  2186. -------------------------------------------------------------
  2187.  
  2188.  
  2189.  
  2190.  
  2191.  
  2192.  
  2193.  
  2194.  
  2195.  
  2196.  
  2197.  
  2198.  
  2199.  
  2200.  
  2201.  
  2202. 9-8                                            DCAC 310-P115-1
  2203.  
  2204.         TABLE 7:  TABULATION OF VULNERABILITY ANALYSIS
  2205.  
  2206. -------------------------------------------------------------
  2207.                   **Self-Assessment Results**
  2208.                  ---------------------------
  2209.                 HOW TO IDENTIFY VULNERABILITIES
  2210. -------------------------------------------------------------
  2211.                          |  # of   | Rank for |
  2212. Component                | "No's"  |  Action  |   Comments
  2213. -------------------------------------------------------------
  2214. Operations Management    |         |          |
  2215.   and Processing         |         |          |
  2216. -------------------------------------------------------------
  2217.                          |         |          |
  2218. Communications           |         |          |
  2219. -------------------------------------------------------------
  2220.                          |         |          |
  2221. Disasters                |         |          |
  2222. -------------------------------------------------------------
  2223.                          |         |          |
  2224. Personnel                |         |          |
  2225. -------------------------------------------------------------
  2226.                          |         |          |
  2227. Training                 |         |          |
  2228. -------------------------------------------------------------
  2229. People Errors and        |         |          |
  2230.   Omissions              |         |          |
  2231. -------------------------------------------------------------
  2232.  
  2233.  
  2234.  
  2235.