home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / comp / security / misc / 2262 < prev    next >
Encoding:
Internet Message Format  |  1992-12-15  |  2.7 KB
  1. Path: sparky!uunet!usc!news.aero.org!faigin
  2. From: faigin@aero.org (Daniel P. Faigin)
  3. Newsgroups: comp.security.misc
  4. Subject: Re: Security Levels
  5. Date: 15 Dec 92 07:51:48
  6. Organization: The Aerospace Corporation, El Segundo, CA
  7. Lines: 58
  8. Distribution: usa
  9. Message-ID: <FAIGIN.92Dec15075148@soldan.aero.org>
  10. References: <1992Dec14.232220.8343@cbis.ece.drexel.edu>
  11. NNTP-Posting-Host: soldan.aero.org
  12. In-reply-to: jpw@lorelei.ece.drexel.edu's message of 14 Dec 92 23:22:20 GMT
  13.  
  14. On 14 Dec 92 23:22:20 GMT, jpw@lorelei.ece.drexel.edu (Joseph Wetstein) said:
  15.  
  16. > Could somebody be kind enough to post (or mail) the definitions (with
  17. > examples, in clear english) of the NSCS security levels/criteria,
  18. > i.e. D, C1, C2, B1, ... etc.
  19.  
  20. Unfortunately, if we had clear English, our job of evaluating to those levels
  21. would be much easier!
  22.  
  23. In any case, let me try a summary. These funny digraphs (C2, etc.) are ratings
  24. of commercial products that are evaluated by an *unclassified* branch of the
  25. NSA, the Trusted Product Evaluation Program, with help from some Federal
  26. Contract Research Centers: Mitre, IDA, and Aerospace. The digraphs specify a
  27. particular level of security functionality and assurance in a product.
  28.  
  29. D is for products that have no security functionality
  30.  
  31. The C division is for products with discretionary protection (like Unix access
  32. control ONLY) C1 really isn't used: it has minimal functionality. C2 provides
  33. audit, discrationary controls, object reuse, and identification and
  34. authentication. Assurance is primarily through testing.
  35.  
  36. The B division adds mandatory labels (UNCLASSIFIED, etc.) to the DAC
  37. protection. B1 is basically C2 with training wheels. B2 increases assurance by
  38. requiring the code to be highly modular; B3 increases the assurance by
  39. requiring minimal kernels, and formal models.
  40.  
  41. The A division adds formal verification to the mix
  42.  
  43. > If there are any gov't publications available, how would I get them?
  44.  
  45. A good synopsis of the digraphs can be found in Debby Russell's book "Computer
  46. Security Basics" from O'Reilly Press. You can also obtain the relevant NSA
  47. publications:
  48.  
  49. To order them, call
  50. 301.766.8729 or 301.688.8742 or write:
  51.  
  52.   Department of Defense
  53.   National Security Agency
  54.   ATTN: S332
  55.   9800 Savage Road
  56.   Ft George G. Meade, MD 20755-6000
  57.  
  58. Daniel Faigin
  59. Chair, ACM/SIGSAC
  60.  
  61.  
  62.  
  63. > -- 
  64. > Joseph P. Wetstein                  __|__          "I may be Captain by
  65. > jpw@coe.drexel.edu              ---o-(_)-o---       rank, but I never wanted
  66. >                                                     to be anything else but 
  67. > KA3VJY                            an engineer" - Scotty
  68. --
  69. [W]:The Aerospace Corp. M1/055 * POB 92957 * LA, CA 90009-2957 * 310/336-8228
  70. [Email]:faigin@aerospace.aero.org              [Vmail]:310/336-5454 Box#13149
  71.             "And as they say, the rest is compost"
  72.