home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / os / os2 / programm / 3759 < prev    next >
Encoding:
Internet Message Format  |  1992-07-25  |  2.3 KB

  1. Path: sparky!uunet!dtix!darwin.sura.net!wupost!zaphod.mps.ohio-state.edu!cs.utexas.edu!hermes.chpc.utexas.edu!apas611
  2. From: apas611@chpc.utexas.edu (David Boles)
  3. Newsgroups: comp.os.os2.programmer
  4. Subject: Re: C2 Security
  5. Message-ID: <1992Jul24.201426.5137@chpc.utexas.edu>
  6. Date: 24 Jul 92 20:14:26 GMT
  7. References: <976@engcon.marshall.ltv.com> <terryk.711987309@cc.gatech.edu>
  8. Organization: The University of Texas System - CHPC
  9. Lines: 38
  10.  
  11. In article <terryk.711987309@cc.gatech.edu> terryk@terminus.gatech.edu (Terry Kane) writes:
  12. >
  13. >Orange book ratings used in general computing are overkill.
  14. >Basically, I think that non-defense users are looking at two or three
  15. >categories: unsecure and generally secure.  The protection that's
  16. >desired is protection against malicious or ignorant attacks on the
  17. >integrity of the system.  ACLs on the file system and device drivers
  18. >provide this, and ACLs are provided at the C2 level.
  19. >
  20. >Hence - I want C2 from my operating system.  I'll provide physical
  21. >security, and if anybody wants to steal my data by monitoring
  22. >electromagnetic emissions - Hey, more power to 'em.
  23.  
  24. Sorry to disappoint, but C2 does not requires ACL's for devices.  That
  25. is a B1 feature.  C2 is the _minimal_ level of security that provides
  26. even a reasonable level of security in the face of an attack.  
  27.  
  28. Nevertheless, your point about orange book ratings typically being
  29. overkill is correct.  Even something as "wimpy" as C2 can be extremely
  30. limiting in a shared computing environment.  Unfortunately, Msoft is
  31. setting up NT as being a replacement for server-type OS's at large
  32. sites.  As a result, I guess they felt that they would have to make
  33. some noise about security issues to sound like they knew what they
  34. were doing.  However, they started saying C2 before they apparently
  35. knew what was involved, then backpedaled on it saying that the government
  36. (NCSC) was moving too slowly.  Given that the pre-beta SDK just shipped
  37. doesn't even include the filesystem, we can all tell who didn't have
  38. their act together.
  39.  
  40. It seems that security in the orange book sense doesn't make much sense
  41. for most folks however.  It focuses on things like loss or alteration
  42. of information.  While these things are certainly important, for most
  43. non-military related systems, attacks (malicious or inadvertant) that
  44. result in denial of service are just as important.
  45.  
  46. Cheers,
  47.  
  48. David Boles
  49.