home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / HACKING / POLICY.ASC < prev    next >
Text File  |  1994-07-17  |  21KB  |  623 lines
  1. A Draft Security Policy
  2.  
  3.  
  4.  
  5. This draft policy is provided as a model for your organization's consideration 
  6. and adoption. It was prepared by the National Computer Security Association. 
  7. We would appreciate your comments or revisions to it. You may write 
  8. us at Suite 309, 4401-A Connecticut Av NW, Washington, DC 20008. Or 
  9. you may call our BBS at 202-364-1304. Or you may call voice at 202-364-8252.
  10.  
  11.  
  12.  
  13.  
  14.  
  15. BASIC REQUIREMENTS
  16.  
  17.  
  18.  
  19. Each of the six basic requirements defined below are used by DoD in 
  20. evaluating system security, and are appropriate throughout all computer 
  21. systems, regardless of their actual security requirements.
  22.  
  23.  
  24.  
  25. Security Policy
  26.  
  27.  
  28.  
  29. <B>There must be an explicit and well-defined security policy enforced 
  30. by the system.<D> Given identified subjects and objects, there must 
  31. be a set of rules that are used by the system to determine whether 
  32. a given subject can be permitted to gain access to a specific object. 
  33. Computer systems of interest must enforce a mandatory security policy 
  34. that can effectively implement access rules for handling sensitive 
  35. information. These rules include requirements such as: <MI><169>No 
  36. person lacking proper personnel security clearance shall obtain access 
  37. to classified information.<170><D> In addition, discretionary security 
  38. controls are required to ensure that only selected users or groups 
  39. of users may obtain access to data <197> for instance, based on a 
  40. need-to-know basis.
  41.  
  42.  
  43.  
  44. Marking
  45.  
  46.  
  47.  
  48. <B>Access control labels must be associated with objects<D>. In order 
  49. to control access to information stored in a computer, according to 
  50. the rules of a mandatory security policy, it must be possible to mark 
  51. every object with a label that reliably identifies the object's sensitivity 
  52. level and/or the modes of access accorded those subjects who may potentially 
  53. access the object.
  54.  
  55.  
  56.  
  57. Identification
  58.  
  59.  
  60.  
  61. <B>Individual subjects must be identified<D>. Each access to information 
  62. must be mediated based on who is accessing the information and what 
  63. classes of information they are authorized to deal with. This identification 
  64. and authorization information must be securely maintained by the computer 
  65. system and be associated with every active element that performs some 
  66. security-relevant action in the system.
  67.  
  68.  
  69.  
  70. Accountability
  71.  
  72.  
  73.  
  74. <B>Audit information must be selectively kept and protected so that 
  75. actions affecting security can be traced to the responsible party.<D> 
  76. A trusted system must be able to record the occurrences of security-relevant 
  77. events in an audit log. The capability to select the audit events 
  78. to be recorded is necessary to minimize the expense of auditing and 
  79. to allow efficient analysis.  Audit data must be protected from modification 
  80. and unauthorized destruction to permit detection and after-the-fact 
  81. investigations of security violations.
  82.  
  83.  
  84.  
  85. Assurance
  86.  
  87.  
  88.  
  89. <B>The computer system must contain hardware/software mechanisms that 
  90. can be independently evaluated to provide sufficient assurance that 
  91. the system enforces the policy, marking, identification, and accountability 
  92. requirements described above.<D> In order to assure that the four 
  93. requirements are enforced by a computer system, there must be some 
  94. identified and unified collection of hardware and software controls 
  95. that perform these functions.  These mechanisms are typically embedded 
  96. in the operating system of mainframes, or a combination of operating 
  97. system features and added application software on LANs, and are designed 
  98. to carry out the assigned tasks in a secure manner.  The basis for 
  99. trusting such system mechanisms in their operational setting must 
  100. be clearly documented such that it is possible to independently examine 
  101. the evidence to evaluate their sufficiency.
  102.  
  103.  
  104.  
  105. Continuous Protection
  106.  
  107.  
  108.  
  109. <B>The trusted mechanisms that enforce these basic requirements must 
  110. be continuously protected against tampering and/or unauthorized changes.<D> 
  111. No computer system can be considered truly secure if the basic hardware 
  112. and software mechanisms that enforce the security policy are themselves 
  113. subject to unauthorized modification or subversion.  The continuous 
  114. protection requirement has direct implications throughout the computer 
  115. system's lifecycle.
  116.  
  117.  
  118.  
  119.  
  120.  
  121. IMPLEMENTATION CONCERNS
  122.  
  123.  
  124.  
  125. <MU>Creating<D> a security policy is fairly simple.  You can copy 
  126. the material that follows, for instance, and get the chief to sign 
  127. it. <MU>Implementing<D> a security policy is more difficult.
  128.  
  129.     *  The organizations with the most success in implementing security 
  130. policies with PC users are those who get away from a project orientation 
  131. and somehow convince all staff that security is an ongoing business 
  132. function.
  133.  
  134. While seemingly everyone concerned with security agree that a policy 
  135. is important, not everyone agrees that it should be agency-wide.  For 
  136. example, NASA's Richard W. Carr believes that a standard approach 
  137. like the NSA's C2 level of safeguarding is not cost-effective.  Because 
  138. so much of NASA's scientific data is made public, Carr has opted for 
  139. local approaches to safeguarding information, rather than an agency-wide 
  140. approach.
  141.  
  142.  
  143.  
  144.  
  145.  
  146. HARDWARE CONCERNS
  147.  
  148.  
  149.  
  150. Before reviewing sophisticated data security issues, it is necessary 
  151. to consider the basic physical protection of the equipment itself.
  152.  
  153.  
  154.  
  155. Access
  156.  
  157.  
  158.  
  159. Access to micros should be physically limited to authorized users.  Untrained 
  160. or malicious individuals could damage or make inappropriate use of 
  161. the equipment or the accessible data.  At some organizations, such 
  162. as GTE, the entire microcomputer is kept in a locked room.  If users 
  163. are reluctant to do this when they are finished with it, then they 
  164. are provided with an external hard disk that can be locked up.
  165.  
  166.     *  Do not permit users to leave workstations or micros unattended, 
  167. particularly if they are tied to a network.
  168.  
  169.     *  Install timelocks that activate after an interval of no keyboard 
  170. activity, and require password to resume entry.
  171.  
  172.     *  Change all passwords immediately whenever an employee leaves the 
  173. organization.
  174.  
  175.     *  Change passwords routinely - perhaps every other month - of all 
  176. employees.
  177.  
  178.  
  179.  
  180. Theft
  181.  
  182.  
  183.  
  184. Personal computers and their component parts are high-value items.  Secure 
  185. the rooms where the hardware is located, or install lockdown systems 
  186. securing the equipment to a table or desk.
  187.  
  188.  
  189.  
  190. Environmental Damage
  191.  
  192.  
  193.  
  194. Electrical Power
  195.  
  196.  
  197.  
  198. Computers are sensitive to the quality of electrical power.  Use surge 
  199. protectors.  Also, micros should be powered from a source isolated 
  200. from heavy appliances or office equipment.
  201.  
  202.  
  203.  
  204. Smoking, Eating, and Drinking
  205.  
  206.  
  207.  
  208. Smoke can damage disks.  Food and ashes that are dropped in the keyboard 
  209. can work down into the mechanism and cause malfunctions.  Smoking, 
  210. eating, and drinking should be prohibited in the vicinity of computers.
  211.  
  212.  
  213.  
  214. Static Electricity
  215.  
  216.  
  217.  
  218. Static electricity can badly damage a computer.  This danger can be 
  219. minimized through the use of anti-static sprays, carpets, or pads.
  220.  
  221.  
  222.  
  223. Magnetic Media Protection
  224.  
  225.  
  226.  
  227. Particular attention should be given to the protection of magnetic 
  228. media, as it is the primary means of data storage.
  229.  
  230.  
  231.  
  232. Floppy Disks
  233.  
  234.  
  235.  
  236. Floppy disks should be handled with care.
  237.  
  238.     *  Always store in the protective jacket.
  239.  
  240.     *  Protect from bending or similar handling.
  241.  
  242.     *  Maintain an acceptable temperature range (50-125 degrees F.)
  243.  
  244.     *  Avoid contact with magnetic fields, such as telephone handsets.
  245.  
  246.     *  Do not write on the diskette, either directly or through the jacket 
  247. or sleeve.
  248.  
  249.  
  250.  
  251. Hard Disks
  252.  
  253.  
  254.  
  255. Rough handling of hard disks may damage the device.  Take care not 
  256. to jostle the unit unnecessarily.  Never power off the system without 
  257. performing the recommended shutdown procedures.
  258.  
  259.  
  260.  
  261. Media Declassification or Destruction
  262.  
  263.  
  264.  
  265. Magnetic media, such as disks and tapes, that contain sensitive or 
  266. classified information should not be put in regular waste containers.  They 
  267. should be cleared by degaussing and reused, or rendered useless by 
  268. shredding