home *** CD-ROM | disk | FTP | other *** search

---

/ Hackers Toolkit v2.0 / Hackers_Toolkit_v2.0.iso / HTML / archive / Rainbow / ncsc / violetncsc.txt

< prev

next >

Wrap

Text File  |  1999-11-04  |  134KB  |  2,380 lines

---

1. NCSC-TG-028
2.  
3. Library No. S-238,986
4.  
5. Version 1
6.  
7. FOREWORD
8.  
9. The National Computer Security Center is publishing Assessing Controlled Access Protection as 
10. part of the "Rainbow Series" of documents our Technical Guidelines Program produces. In the 
11. Rainbow Series, we discuss in detail the features of the Department of Defense Trusted Computer 
12. System Evaluation Criteria (DoD 5200.28-STD) and provide guidance for meeting each 
13. requirement. The National Computer Security Center, through its Trusted Product Evaluation 
14. Program, evaluates the security features of commercially-produced computer systems. Together, 
15. these programs ensure that organizations are capable of protecting their important data with trusted 
16. computer systems.
17.  
18. Assessing Controlled Access Protection explains the controlled access protection requirements of 
19. the Trusted Computer System Evaluation Criteria. The guide's target audience is the technical 
20. analysts tasked by the Department of Defense components to determine whether a system meets 
21. these requirements.
22.  
23. As the Director, National Computer Security Center, I invite your recommendations for revision 
24. to this technical guideline. We plan to review and update this document periodically in response to 
25. the needs of the community. Please address any proposals for revision through appropriate 
26. channels to:
27.  
28. National Computer Security Center
29.  
30. 9800 Savage Road
31.  
32. Ft. George G. Meade, MD 20755-6000
33.  
34. Attention: Chief, Standards, Criteria, and Guidelines Division
35.  
36.         ACKNOWLEDGMENTS
37.  
38. The National Computer Security Center expresses appreciation to Dr. Dixie B. Baker, of The 
39. Aerospace Corporation, as the principal author of this document, and Ms. Caralyn Crescenzi as 
40. project manager.
41.  
42. We also thank the evaluators, vendors, and users in the United States computer security community 
43. who contributed their time and expertise to the review of this document.
44.  
45. Executive Summary
46.  
47. Assessing Controlled Access Protection provides guidance to the Department of Defense 
48. components charged with ensuring that the automated information systems (AISs) used for 
49. processing sensitive or classified information provide at least controlled access protection.
50.  
51. The objectives of this guideline and its supporting documentation set are:
52.  
53. 1.      To provide a methodology for performing a technical analysis to support the certification 
54. of controlled access protection in AISs submitted for accreditation;
55.  
56. 2.      To provide an interim approach for achieving controlled access protection until a suitable 
57. NSA-evaluated product is available; and
58.  
59. 3.      To clarify the intent, security functionality, and level of assured protection that controlled 
60. access protection provides.
61.  
62. The guidance provided in this document is targeted toward multi-user AISs designed for DoD 
63. operations in system-high security mode and in dedicated mode, where directed by the DAA. This 
64. guidance does not specifically address connectivity with a local-area or wide-area network. Nor 
65. does it address related areas such as physical security, TEMPEST, communications security, or 
66. administrative security (e.g., trusted distribution).
67.  
68. This guideline is written to serve as the synergist that integrates and consolidates information 
69. contained in the following documents into a unified explanation of the requirements for and intent 
70. of controlled access protection.
71.  
72. ╖       A Guide to Understanding Audit in Trusted Systems
73.  
74. ╖       A Guide to Understanding Configuration Management in Trusted Systems
75.  
76. ╖       A Guide to Understanding Design Documentation in Trusted Systems
77.  
78. ╖       A Guide to Understanding Discretionary Access Control in Trusted Systems
79.  
80. ╖       A Guide to Understanding Identification and Authentication in Trusted Systems
81.  
82. ╖       A Guide to Understanding Object Reuse in Trusted Systems
83.  
84. ╖       A Guide to Writing the Security Features User's Guide for Trusted Systems
85.  
86. ╖       Guidelines for Writing Trusted Facility Manuals
87.  
88. ╖       Trusted Product Evaluation Questionnaire
89.  
90. The National Computer Security Center (NCSC) publishes and distributes these documents to 
91. support the certification and accreditation of AISs required to provide controlled access protection. 
92. To request copies of these documents, contact the National Technical Information Service (NTIS).
93.  
94. Contents
95.  
96. l       BACKGROUND      1
97.  
98. 1.1     NATIONAL POLICY 1
99.  
100. 1.2     SECURITY ACCREDITATION  2
101.  
102. 1.3     TRUSTED PRODUCT EVALUATION      3
103.  
104. 1.4     SCOPE AND PURPOSE       5
105.  
106. 2       CONTROLLED ACCESS PROTECTION    9
107.  
108. 3       ARCHITECTURAL FOUNDATION        13
109.  
110. 3.1     TRUSTED COMPUTING BASE  13
111.  
112. 3.2     ENFORCEMENT     17
113.  
114. 3.3     DOMAIN SEPARATION       18
115.  
116. 3.4     DEFINED SUBSET  20
117.  
118. 3.5     RESOURCE ISOLATION      20
119.  
120. 4       PROTECTION MECHANISMS   22
121.  
122. 4.1     IDENTIFICATION & AUTHENTICATION 22
123.  
124. 4.2     DISCRETIONARY ACCESS CONTROL    24
125.  
126. 4.3     OBJECT REUSE    28
127.  
128. 4.4     AUDIT   29
129.  
130. 5       DOCUMENTATION AND LIFE-CYCLE ASSURANCE  33
131.  
132. 5.1     DESIGN DOCUMENTATION    33
133.  
134. 5.2     SYSTEM INTEGRITY        34
135.  
136. 5.3     CONFIGURATION MANAGEMENT        35
137.  
138. 5.4     TRUSTED FACILITY MANUAL 37
139.  
140. 5.5     SECURITY FEATURES USER'S GUIDE  38
141.  
142. 5.6     TESTING 39
143.  
144. 6       TECHNICAL ANALYSIS      41
145.  
146. 6.1     SELECTION OF ANALYSTS   41
147.  
148. 6.2     TECHNICAL ANALYSIS PROCESS      42
149.  
150. 7       RISK MANAGEMENT 53
151.  
152. 7.1     PROTECTION LIMITATIONS  54
153.  
154. 7.2     IDENTIFIED DEFICIENCIES 55
155.  
156. 7.2.1   SYSTEM ARCHITECTURE     55
157.  
158. 7.2.2   IDENTIFICATION AND AUTHENTICATION       56
159.  
160. 7.2.3   DISCRETIONARY ACCESS CONTROL    56
161.  
162. 7.2.4   OBJECT REUSE    56
163.  
164. 7.2.5   AUDIT   56
165.  
166. 7.2.6   SYSTEM INTEGRITY        57
167.  
168. 8       ACRONYMS        63
169.  
170. 9       GLOSSARY        65
171.  
172. List of Figures
173.  
174. 1.1     National Policy on Controlled Access Protection 1
175.  
176. 1.2     DoDD 5200.28 Timetable for C2   2
177.  
178. 3.1     Trust Hierarchy in an AIS       13
179.  
180. 3.2     Relationship between System Engineering and Assurance   16
181.  
182. 3.3     TCSEC C2 System Architecture Criterion  17
183.  
184. 4.1     TCSEC C2 Identification and Authentication Criterion    23
185.  
186. 4.2     TCSEC C2 Discretionary Access Control Criterion 24
187.  
188. 4.3     ACL for File georges_data       26
189.  
190. 4.4     Output from Directory Study     27
191.  
192. 4.5     Unix Command Sequence   27
193.  
194. 4.6     TCSEC C2 Object Reuse Criterion 28
195.  
196. 4.7     TCSEC C2 Audit Criterion        30
197.  
198. 5.1     TCSEC C2 Design Documentation Criterion 33
199.  
200. 5.2     TCSEC C2 System Integrity Criterion     35
201.  
202. 5.3     TCSEC C2 Trusted Facility Manual Criterion      37
203.  
204. 5.4     TCSEC C2 Security Features User's Guide Criterion       38
205.  
206. 5.5     TCSEC C2 System Testing Criterion       39
207.  
208. 6.1     Controlled Access Protection Technical Analysis Process 43
209.  
210. List of Tables
211.  
212. 2.1     Security Policy Control Objectives and Implementation Requirements      11
213.  
214. 4.1     Object Reuse Mechanisms 29
215.  
216. Chapter 1
217.  
218. BACKGROUND
219.  
220. 1.1     NATIONAL POLICY
221.  
222. In July of 1987, the Federal government issued the National Policy on Controlled Access 
223. Protection [36], establishing the policy for automated information systems (AISs) that are accessed 
224. by multiple users with different authorizations to the information contained in the system. The 
225. Policy, shown in Figure 1.1, mandates that these systems provide automated controlled access 
226. protection and that this minimal level of protection be provided within five years of the Policy's 
227. issuance. The Policy gives the Federal agencies responsibility for ensuring that its provisions are 
228. carried out.
229.  
230. All automated information systems that are accessed by more than one user, when those users do 
231. not have the same authorization to use all of the classified or sensitive unclassified information 
232. processed or maintained by the automated information system, shall provide automated Controlled 
233. Access Protection for all classified and sensitive unclassified information. This minimum level of 
234. protection shall be provided within five years of the promulgation of this policy.
235.  
236. Figure 1.1: National Policy on Controlled Access Protection
237.  
238. The Department of Defense (DoD) carries the Policy forward in Directive 5200.28, Security 
239. Requirements for Automated Information Systems (AISs) [38], which specifies requirements for 
240. AISs that handle classified, sensitive unclassified, or unclassified information. The Directive 
241. provides a risk-assessment procedure, extracted from CSC-STD-003-85 [11], which is used to 
242. determine the minimum Trusted Computer System Evaluation Criteria (TCSEC) [14] evaluation 
243. class required for an AIS, based on the sensitivity of the information stored in or processed by the 
244. AIS and on the clearances of its users. For AISs that process or handle classified and/or sensitive 
245. unclassified information, and that, based upon the prescribed risk-assessment procedure, require at 
246. least controlled access protection, the Directive mandates an implementation timetable of 1992, as 
247. shown in Figure 1.2.
248.  
249. All AISs that process or handle classified and/or sensitive unclassified information and that require 
250. at least controlled access protection (i.e., class C2 security), based on the risk assessment procedure 
251. described in enclosure 4, shall implement required security features by 1992.
252.  
253. Figure 1.2: DoDD 5200.28 Timetable for C2
254.  
255. The National Security Agency (NSA) evaluates commercial products designed to meet the TCSEC 
256. requirements and lists them in its Evaluated Products List (EPL) [34] maintained by the National 
257. Computer Security Center (NCSC). The Directive tasks the NSA to serve as a focal point for 
258. technical matters relating to the use of trusted computer products and to provide to the Department 
259. of Defense (DoD) components, as requested, technical assistance in evaluating and certifying 
260. computer-based security features of AISs used in operational environments. This guideline is 
261. responsive to this tasking; its purpose is to provide the DoD components technical guidance to 
262. support the certification and accreditation of operational systems.
263.  
264. 1.2     SECURITY ACCREDITATION
265.  
266. Prior to allowing an AIS to handle any classified or sensitive information, a Designated Approving 
267. Authority (DAA) must accredit it to operate in one of three security modes: dedicated, system high, 
268. or multilevel. In dedicated mode, all users have the clearance or authorization and a need-to-know 
269. for all data handled by the AIS. In system high mode, all users have a security clearance or 
270. authorization, but not necessarily a need-to-know, for all data handled by the AIS. Multilevel mode 
271. allows two or more classification levels to be processed simultaneously within the same AIS when 
272. not all users have a clearance or formal access approval for all data handled by the AIS.
273.  
274. A program for conducting periodic review of the adequacy of the safeguards for operational, 
275. accredited AISs also must be established. [38] The DAA should be involved in all phases of the 
276. system acquisition, beginning with the development of the security policy and operations concept, 
277. and including the specification of the security requirements, reviews conducted during the design 
278. and development phases, and security testing, to ensure that he or she understands the operational 
279. needs, how system components work together, how the system interfaces with other systems and 
280. organizations, and the risks associated with the system.
281.  
282. The technical evaluation of an AIS's security features and other safeguards, made in support of the 
283. accreditation process, is called certification. Certification establishes the extent to which a 
284. particular AIS's design and implementation meet a set of specified security requirements. 
285. Accreditation is the DAA's formal declaration that an AIS is approved to operate in a particular 
286. security mode, using a prescribed set of safeguards. Accreditation is the official management 
287. authorization for operation of an AIS and is based on the certification process as well as other 
288. management considerations. The accreditation statement affixes security responsibility with the 
289. DAA and shows that due care has been taken for security. [38] Although certification involves a 
290. great deal more than the technical analysis described in this document, the guidance contained 
291. herein can provide a technical basis for the certification portion of the accreditation process.
292.  
293. 1.3     TRUSTED PRODUCT EVALUATION
294.  
295. The DoD policy specified in DoDD 5200.28 states that:
296.  
297. Computer security features of commercially produced products and Government- 
298. developed or -derived products shall be evaluated (as requested) for designation as trusted 
299. computer products for inclusion on the Evaluated Products List (EPL). Evaluated products 
300. shall be designated as meeting security criteria maintained by the National Computer 
301. Security Center (NCSC) at NSA defined by the security division, class, and feature (e.g., 
302. B, B1, access control) described in DoD 5200.28-STD.
303.  
304. The NCSC maintains the EPL and, using technical support from NSA, evaluates, assigns ratings 
305. to, and enters onto the EPL products designed and developed in accordance with the TCSEC. NSA 
306. maintains a cadre of trusted-product evaluators both from within the agency and from Federally 
307. Funded Research and Development Corporations (FFRDCs). The trusted product evaluation 
308. program (TPEP), described in detail in Trusted Product Evaluations: A Guide for Vendors [41], 
309. comprises the following five phases:
310.  
311. 1.      Proposal Review. When a vendor requests that its product be evaluated for possible 
312. inclusion on the EPL, NSA prescreens the proposed product relative to its usefulness to 
313. DoD components, its technical merit (through an intensive Preliminary Technical Review), 
314. and the vendor's commitment to the product.
315.  
316. 2.      Vendor Assistance. If NSA decides that the product has potential merit, it signs a 
317. Memorandum of Understanding (MOU) with the vendor. Through this MOU, the vendor 
318. agrees (among other things) to give NSA evaluators access to the highly proprietary 
319. hardware and software design documentation needed to perform an evaluation. Once the 
320. MOU is signed, NSA assigns a small evaluation team to track the product through its 
321. development and to provide assistance in the interpretation and application of TCSEC 
322. requirements for the targeted class. This team works closely with the vendor throughout the 
323. development of the product to help determine the targeted division and class and to ensure 
324. that the design and developmental approach are compliant with the requirements of the 
325. TCSEC for that class.
326.  
327. 3.      Design Analysis. When development is complete, and all of the required documentation is 
328. nearing completion, the product enters Design Analysis. During this phase, an expanded 
329. evaluation team completes training (to the level of an applications programmer, for systems 
330. targeted for up to class B1, and to the level of a system programmer, for systems targeted 
331. for the higher classes). The team analyzes the product relative to the TCSEC requirements 
332. and writes a detailed Initial Product Assessment Report (IPAR). For products targeted at 
333. B2 and above, a preliminary architecture study is conducted, and at Al, the team begins 
334. examining the formal verification during this phase. Information necessary for design 
335. analysis is gained through thorough review of the hardware and software design 
336. documentation, examination of drafts of TCSEC-required documentation (e.g., Security 
337. Features Users' Guide, Trusted Facility Manual, test plans and procedures), and 
338. interactions with the vendor. Because both team members and vendor personnel are likely 
339. to be widely dispersed geographically, electronic communications are relied upon heavily 
340. for team and vendor communications. Once the analysis is completed, the team presents 
341. the IPAR to NSA's Technical Review Board (TRB), which serves as one of the TPEP's 
342. primary quality-control mechanisms. Based upon the IPAR and the team's presentation, the 
343. TRB provides to NSA management a recommendation as to whether the product is ready 
344. to begin the Evaluation Phase.
345.  
346. 4.      Evaluation. This phase is the actual security evaluation of the product. During this phase, 
347. the evaluation team completes the design analysis, building upon the information contained 
348. in the IPAR. Prior to beginning functional testing, the team presents its assessment to the 
349. TRB, with a request that the evaluation be allowed to proceed to testing. The team then 
350. conducts functional testing (all classes) and penetration testing (class B2 and above), 
351. examines the final versions of required documentation, and completes the Final Evaluation 
352. Report. At class B2 and above, a system architecture study and covert channel analysis are 
353. conducted, and at Al, the formal verification is validated. At the end of this phase, the 
354. evaluation team again appears before the TRB to present its findings and to recommend a 
355. final rating. Successful completion of this phase results in placement of the vendor's 
356. product on the EPL.
357.  
358. 5.      Rating Maintenance. NSA's RAting Maintenance Phase (RAMP) provides a mechanism 
359. for ensuring the continuing validity of a rating extended to successive versions of the rated 
360. product.
361.  
362. The EPL, published semi-annually as part of the Information Systems Security Products and 
363. Services Catalogue and updated quarterly, provides system acquisition agents a good selection of 
364. C2-rated products from which to select platforms for their applications. In addition, the EPL 
365. contains a number of products that have been rated B1 and above; all of these contain acceptable 
366. controlled access protection mechanisms and, if appropriately configured, could be used in a 
367. system-high or dedicated environment. In fact, some system-high environments, particularly those 
368. with external interfaces to systems at different levels, might benefit from the additional labeling 
369. capability that Divisions B and A systems provide. Further, more and more computer vendors are 
370. bringing their products to the NSA with the request that they be considered for evaluation. This 
371. being the case, a reasonable expectation is that the EPL will continue to expand as more vendors 
372. recognize the commercial value of NSA-rated products.
373.  
374. However, an assessment methodology and trained analysts are needed for those DoD programs for 
375. which a suitable NSA-rated C2 (or above) product does not exist or that do not currently have the 
376. resources necessary to rehost their software on a rated product. This guideline addresses these 
377. needs.
378.  
379. 1.4     SCOPE AND PURPOSE
380.  
381. This document is intended to be used by individuals tasked to perform a technical analysis of an 
382. AIS in support of its certification and accreditation. The distinction between the terms "automated 
383. information system" and "trusted product" is important in this context. As defined in the Directive, 
384. an automated information system is any assembly of computer hardware, software, and/or 
385. firmware configured to collect, create, communicate, compute, disseminate, process, store, and/or 
386. control data or information. [38] In this guideline, the term "AIS" (or "system") refers to an AIS 
387. that is configured for a specific purpose relevant to the DoD component for which it is being 
388. accredited. The Directive defines a trusted product as a product that has been evaluated and 
389. approved for inclusion on the Evaluated Products List (EPL). [38] An AIS may be built on a 
390. trusted product (or "EPL product").
391.  
392. This guideline serves to unify, interpret, and apply information contained in other documents 
393. published by the NCSC. The following documents are incorporated by reference to support the 
394. technical analysis of controlled access protection.
395.  
396. ╖       A Guide to Understanding Audit in Trusted Systems discusses issues involved in 
397. implementing and evaluating an audit mechanism. It provides guidance to vendors on how 
398. to design and incorporate effective audit mechanisms into their systems, and it contains 
399. guidance to implementors on how to make effective use of the audit capabilities that trusted 
400. systems provide. [1]
401.  
402. ╖       A Guide to Understanding Configuration Management in Trusted Systems provides 
403. guidance to developers of trusted systems on what configuration management is and how 
404. it may be implemented in the system's development and life cycle. It stresses the 
405. importance of configuration management for all systems and suggests how it can be 
406. implemented. [2]
407.  
408. ╖       A Guide to Understanding Design Documentation in Trusted Systems provides guidance in 
409. understanding and meeting the TCSEC's design documentation requirements. It stresses 
410. the importance of good design documentation in maintaining security throughout a 
411. system's life cycle and describes the design documentation necessary to support product 
412. review and evaluation. [4]
413.  
414. ╖       A Guide to Understanding Discretionary Access Control in Trusted Systems discusses 
415. issues involved in designing, implementing, and evaluating discretionary access control 
416. (DAC) mechanisms. [5]
417.  
418. ╖       A Guide to Understanding Identification and Authentication in Trusted Systems describes 
419. the identification and authentication (I&A) requirements and provides guidance to vendors 
420. on how to design and incorporate effective I&A mechanisms into their systems. [6]
421.  
422. ╖       A Guide to Understanding Object Reuse in Trusted Systems describes the object reuse 
423. requirement and provides guidance to vendors on how to design and incorporate effective 
424. object reuse mechanisms into their systems. [7]
425.  
426. ╖       A Guide to Writing the Security Features User's Guide for Trusted Systems explains the 
427. motivation and meaning of the TCSEC requirement for a Security Features Users' Guide 
428. (SFUG) in terms of audience, content, and organization. It is addressed to potential SFUG 
429. authors. [8]
430.  
431. ╖       Guidelines for Writing Trusted Facility Manuals presents issues involved in writing a 
432. Trusted Facility Manual (TFM). It provides guidance to vendors on how to document 
433. functions of trusted facility management and recommends structure, format, and content to 
434. satisfy the TCSEC requirements. [32]
435.  
436. ╖       Trusted Product Evaluation Questionnaire contains a list of questions that address the 
437. TCSEC criteria from class C1 through Al. It was developed to serve as a tool for 
438. formalizing the data-gathering process required during various phases of the TPEP. [40]
439.  
440. The objectives of this guideline and its supporting documentation set are:
441.  
442. ╖       To provide a methodology for performing a technical analysis to support the certification 
443. of controlled access protection in AISs submitted for accreditation.
444.  
445. ╖       To provide an interim approach for achieving controlled access protection until a suitable 
446. NSA-evaluated product is available.
447.  
448. ╖       To clarify the intent, security functionality, and level of assured protection that controlled 
449. access protection provides.
450.  
451. The results of this analysis also can provide valuable information to system developers and 
452. integrators attempting to compose components into complex systems. In composed systems (e.g., 
453. networks), this assessment will provide assurance that each individual AIS provides the required 
454. level of controlled access protection. Thus this analysis will be useful in conducting an evaluation 
455. by parts [39] of the total system.
456.  
457. The guidance provided in this document is targeted toward multi-user AISs designed for DoD 
458. operations in system-high security mode and in dedicated mode, where directed by the DAA. This 
459. guidance does not specifically address connectivity with a local-area or wide-area network. Nor 
460. does it address related areas such as physical security, TEMPEST, communications security, or 
461. administrative security (e.g., trusted distribution).
462.  
463. This guide's primary audience is the analysts tasked to perform a technical assessment of an AIS's 
464. controlled access protection features and assurances. The analyst should begin by reading Chapter 
465. 2, which defines the security policies enforced by controlled access protection and explains how 
466. the requirements are derived from these policies. The analyst then should review Chapter 3, which 
467. discusses the architectural foundation necessary for controlled access protection, and Chapter 4, 
468. which describes the security mechanisms that are built upon it. A good understanding of the 
469. information contained in Chapters 3 and 4 is critical to the technical analysis process.
470.  
471. To gain an understanding of the documentation required as evidence that the system was built 
472. securely and that it can be operated and maintained without jeopardizing its inherent security, the 
473. analyst should next review Chapter 5, which addresses life-cycle assurances. Building upon the 
474. information contained in these chapters, Chapter 6 describes a process for performing a technical 
475. analysis to determine whether an AIS provides adequate controlled access protection. This analysis 
476. is intended to serve as the technical basis for certification to support system accreditation. Any 
477. security analysis involves a trade-off between provided protection and assumed risk. Finally, 
478. Chapter 7 discusses risk management and identifies risks that controlled access protection is 
479. incapable of countering and risks resulting from deficiencies which may be identified during the 
480. technical analysis. Important terms are italicized in the text and defined in the Glossary (Appendix 
481. 9).
482.  
483. Chapter 2
484.  
485. CONTROLLED ACCESS PROTECTION
486.  
487. AIS security is concerned with controlling the way in which an AIS can be used; that is, controlling 
488. how users can access and manipulate the information it processes. Deriving the security 
489. requirements for a given AIS requires precise definition of the objectives of the desired control; 
490. i.e., the system's security policy. These control objectives will vary depending upon the perceived 
491. threats, risks, and goals of the organization for which the AIS is being accredited. Controlled access 
492. protection (as defined in the TCSEC) is founded on objectives relating to three basic types of 
493. control: security policy enforcement, accountability, and assurance. All of the requirements for 
494. AISs providing controlled access protection are derived from these objectives [14], as shown in 
495. Table 2.1 on page 11.
496.  
497. Controlled access protection policies are based upon a fundamental assumption that the AIS 
498. processing environment is one of mutually trusting and cooperating users. Recognition of this fact 
499. is critical to understanding the objectives of controlled access protection. The features, assurances, 
500. and most importantly the underlying system architecture of an AIS that provides controlled access 
501. protection are not intended and do not purport to prevent malicious or concerted actions aimed at 
502. circumventing the protection provided.
503.  
504. Controlled access protection asserts that the AIS provides:
505.  
506. ╖       Protection and control over who can logon to the system.
507.  
508. ╖       Mechanisms that will enable the AIS to make decisions regarding access to resources based 
509. upon the expressed wishes of its users (with no assurance that concerted, malicious actions 
510. cannot circumvent this mechanism).
511.  
512. ╖       The capability to generate a reliable log of user actions and to guarantee its correctness.
513.  
514. Controlled access protection is sufficient for AISs operating in system-high or dedicated security 
515. modes. However, if the AIS exports classified information that requires assured classification 
516. labeling or information that is sent to a dedicated or system high AIS at a lower classification level, 
517. controlled access protection is not sufficient. Adequate treatment of these cases is beyond the scope 
518. of this guidance.
519.  
520.  
521.  
522. Control Objectives
523.  
524. Derived Requirements
525.  
526. Security Policy: A statement of intent with 
527. regard to control over access to and dissemination 
528. of information, to be known as the security policy, 
529. must be precisely defined and implemented for 
530. each system that is used to process sensitive 
531. information. The security policy must accurately 
532. reflect the laws, regulations, and general policies 
533. from which it is derived.
534.  
535. System Security Policy
536.  
537. Discretionary Security: Security policies 
538. defined for systems that are used to process 
539. classified or other sensitive information must 
540. include provisions for the enforcement of 
541. discretionary access control rules. That is, they 
542. must include a consistent set of rules for 
543. controlling and limiting access based on identified 
544. individuals who have been determined to have a 
545. need-to-know for the information.
546.  
547. Discretionary Access Control
548.  
549. Object Reuse
550.  
551. Accountability: Systems that are used to process 
552. or handle classified or other sensitive information 
553. must assure individual accountability whenever a 
554. discretionary security policy in invoked. 
555. Furthermore, to assure accountability the 
556. capability must exist for an authorized and 
557. competent agent to access and evaluate 
558. accountability information by a secure means, 
559. within a reasonable amount of time, and without 
560. undue difficulty.
561.  
562. Identification and Authentication
563.  
564. Audit
565.  
566. Assurance: Systems that are used to process or 
567. handle classified or other sensitive information 
568. must be designed to guarantee correct and 
569. accurate interpretation of the security policy and 
570. must not distort the intent of that policy. 
571. Assurance must be provided that correct 
572. implementation and operation of the policy exists 
573. throughout the system's life-cycle.
574.  
575. System Architecture
576.  
577. System Integrity
578.  
579. Security Testing
580.  
581. Configuration Management
582.  
583. Design Documentation
584.  
585. Trusted Facility Manual
586.  
587. Security Features User's Guide
588.  
589. Table 2.1: Security Policy Control Objectives and Implementation Requirements
590.  
591. Chapter 3
592.  
593. ARCHITECTURAL FOUNDATION
594.  
595. Computer system architecture is the foundation upon which all AIS trustworthiness is built. This 
596. chapter discusses system architecture as it relates to trust and the concept of a Trusted Computing 
597. Base.
598.  
599. 3.1     TRUSTED COMPUTING BASE
600.  
601. Inherent in the concept of trust is some assurance that the trusted person or entity possesses the 
602. required strength, capability, and integrity to merit that trust. In the case of AISs, trust is built from 
603. the bottom (i.e., hardware) up, with each layer "trusting" its underlying layer to perform the 
604. expected services in a reliable and trustworthy manner, as shown in Figure 3.1.
605.  
606. Figure 3.1: Trust Hierarchy in an AIS
607.  
608. Each layer trusts all of its underlying layers to reliably provide the expected services and behavior. 
609. The users trust the applications they run to behave in the manner they expect; the application trusts 
610. the system calls it makes to the operating system to produce the documented results; and the 
611. operating system trusts the hardware to behave in a consistent and safe manner. Note that trust is 
612. meaningful only relative to the behaviors and strengths expected; for example, the application 
613. layer cannot expect the operating system to detect all bugs in user programs. This is particularly 
614. important relative to the trust implied for controlled access protection.
615.  
616. This trust hierarchy is the basis for the concept of a Trusted Computing Base (TCB) that cannot be 
617. compromised from above and that is always invoked to enforce a security policy with some degree 
618. of assurance. For any AIS, the TCB includes all of the software, firmware, and hardware 
619. components responsible for enforcing the security policy and all components capable of affecting 
620. the correct operation of the security mechanisms (see Chapter 4). Thus the TCB includes 
621. components whose job is to perform some function required to enforce the security policy (e.g., 
622. programs that check access-control settings on files) and components that have no direct 
623. functionality relative to the security policy, but require the capability to violate some part of the 
624. security policy of the system (i.e., privilege) in order to operate and therefore must be trusted (e.g., 
625. an I/O driver).
626.  
627. The TCSEC asserts that a trusted system architecture must exhibit protection properties that will 
628. enforce this trust hierarchy. Thus the concept of a reference monitor (or reference validation 
629. mechanism) is introduced. The term reference monitor represents an abstraction of the portion of 
630. the TCB that actually validates references to objects and grants (or denies) access to them. Among 
631. the properties that the reference monitor should exhibit are that it be noncircumventable (i.e., 
632. always invoked), tamperproof, and small enough to be analyzed and tested. The TCSEC imposes 
633. increasingly strict architectural and system engineering requirements on the TCB at higher and 
634. higher classes of trustworthiness. As shown in Figure 3.2, the more system engineering goes into 
635. designing the TCB, the more assured is the trust that it provides. In this figure, the increasing 
636. system engineering requirements are shown in italics beside each conceptual machine class. For 
637. classes C2 and B1, the reference monitor need not be differentiated from the rest of the TCB (which 
638. comprises the entire operating system), so that applications must trust essentially all of the 
639. operating system and hardware. Class B2 requires more system engineering to ensure that the TCB 
640. comprises largely independent modules, thus producing an additional layer of trust, as the TCB is 
641. isolated from non-security-relevant operating-system services. Classes B3 and A1 system 
642. architectures provide layered protection, with all layers ultimately reliant upon a small, 
643. conceptually simple, tamperproof, and noncompromisable reference monitor that plays a central 
644. role in enforcing the internal structuring of the TCB and the system. As the illustration shows, 
645. applications running on a class-C2 AIS (i.e., one designed to provide only controlled access 
646. protection) must trust the entire operating system and all of the hardware (i.e., all physical 
647. resources) and firmware upon which it depends.
648.  
649.  
650.  
651. Figure 3.2: Relationship between System Engineering and Assurance
652.  
653. The objective and result of the TCSEC's conceptual hierarchy of trust are that demonstrating 
654. assurance in the trustworthiness of the TCB becomes increasingly tractable and assured as one 
655. progresses up the TCSEC hierarchy of trust. At class C2, the TCB may be large, dispersed, and 
656. generally unstructured; as a result, it presents a great challenge to both evaluators and persons 
657. responsible for maintaining the system's security. At class B2, the TCB still may be large, but the 
658. fact that it is modular and the result of sound software engineering practices makes it easier to 
659. understand, evaluate, and maintain than lower-rated products; thus, added assurance in its 
660. trustworthiness results. At classes B3 and A1, the TCB is small, layered, and highly structured, 
661. thus lending itself to rigorous analysis and testing, and to formal verification (A1).
662.  
663. 3.2     ENFORCEMENT
664.  
665. Assurance of trust requires enforcement of the AIS's security policy. "Enforcement" implies 
666. consistency, reliability, and effectiveness. In order for a TCB to enforce the security policy, it must 
667. be both tamperproof and noncompromisable. The System Architecture criterion shown in Figure 
668. 3.3 addresses these attributes.
669.  
670. TCB shall maintain a domain for its own execution that protects it from external interference or 
671. tampering (e.g., by modification of its code or data structures). Resources controlled by the TCB 
672. may be a defined subset of the subjects and objects in the ADP system. The TCB shall isolate the 
673. resources to be protected so they are subject to the access control and auditing requirements.
674.  
675. Figure 3.3: TCSEC C2 System Architecture Criterion
676.  
677. The term object refers to any passive entity that contains or receives information (e.g., files, 
678. directories, records, blocks, pages, segments, programs, video displays, printers), and access to an 
679. object implies access to the information it contains. A subject is any active entity in the system 
680. (e.g., person, process, device) that causes information to flow among objects or changes the system 
681. state (e.g., from operating on behalf of the system to operating on behalf of the user).
682.  
683. The System Architecture criterion addresses the most critical aspect of trusted computing: the 
684. ability of the TCB to protect itself from untrusted processes. The C2 System Architecture criterion 
685. embodies three requirements:
686.  
687. 1.      The TCB must maintain for its own execution a domain (see section 3.3 below) that 
688. protects it from external interference and tampering.
689.  
690. 2.      Resources controlled by the TCB may be a defined subset of subjects and objects.
691.  
692. 3.      The TCB must isolate the resources to be protected so that they are subject to access control 
693. and auditing.
694.  
695. 3.3     DOMAIN SEPARATION
696.  
697. As used in the TCSEC, the term domain refers to the set of objects that a subject is able to access. 
698. [14] Domain separation relates to the mechanisms that protect objects in the system. For address 
699. translation purposes, the domain separation mechanism might be execution rings, base address 
700. registers, or segmentation descriptors. In an AIS that copies files into memory, several domain-
701. separation schemes can prevent data transfers from beyond the end of the file or accesses to 
702. arbitrary locations on the disk.
703.  
704. The requirement for TCB domain separation is based on the fact that if untrusted subjects are able 
705. to change the TCB, then any security mechanisms that TCB provides are useless! Therefore, this 
706. requirement addresses two essential attributes: nontamperability and noncompromisibility. [37] 
707. Tampering generally refers to improper alterations; in this context, it involves changing the system 
708. in such a way that the intended behavior of the TCB itself is modified with respect to the 
709. enforcement of its security properties. This could happen, for example, if TCB code, data 
710. structures, or control parameters were modified. The domain of the TCB also must be self-
711. protecting so that processes in the user domain cannot tamper with TCB code, data structures, 
712. control parameters, hardware, or firmware.
713.  
714. Compromise can be examined from three perspectives: compromise from above, compromise 
715. from within, and compromise from below. Compromise from above occurs when an unprivileged 
716. user is able to write untrusted code that exploits a vulnerability; e.g., finding an escape from a 
717. highly-restricted menu interface, installing or modifying a rule in an untrusted rule base that 
718. subverts a trusted rule base, or causing a denial of service. The compromise resulting from the 
719. execution of a Trojan horse (see section 4.2) that misuses the discretionary access control 
720. mechanism is another example of compromise from above. Compromise from within occurs when 
721. a privileged user or process misuses the allocated privileges, or when a programming error is made 
722. in the implementation of a trusted program. For example, compromise from within could result 
723. from a system administrator's accidentally or intentionally configuring the access tables 
724. incorrectly. Compromise from below occurs as a result of malicious or accidental failure of an 
725. underlying component that is trusted and can result from faults in the compiler or modifications to 
726. the hardware. [37]
727.  
728. Although the TCSEC criterion requires only that the TCB "maintain a domain for its own 
729. execution," compromise from within must be considered even for the singlelayered TCB. To 
730. enable a TCB to enforce the security policy, some subjects internal to the TCB must be "trusted;" 
731. i.e., they must run with privileges that allow them to bypass one or more of the security 
732. mechanisms. For example, the login program must run with privilege, since until it completes its 
733. function, the user on whose behalf it is running is not yet known (or at least has not been 
734. authenticated). Trusted programs must be analyzed and tested just as thoroughly as the 
735. mechanisms that enforce the security policy, to ensure that they behave as specified and do not 
736. compromise the integrity of the TCB from within.
737.  
738. An important aspect of domain separation within the CPU is "execution state" or "mode of 
739. operations." Most multi-user computer systems have at least two execution states or modes of 
740. operation: privileged and unprivileged. The TCSEC requires that the TCB maintain for itself a 
741. distinct execution state that protects it from the actions of untrusted users. Some common 
742. privileged domains are those referred to as "executive," "master," "system," "kernel," or 
743. "supervisor" modes; unprivileged domains are sometimes called "user," "application," or 
744. "problem" states. In a two-state machine, processes running in a privileged domain may execute 
745. any machine instruction and access any location in memory. Processes running in the unprivileged 
746. domain are prevented from executing certain machine instructions and accessing certain areas of 
747. memory.
748.  
749. Probably the most straightforward approach for implementing domain separation is to design a 
750. TCB that takes advantage of multi-state hardware; i.e., a CPU that provides two or more hardware 
751. states (rings, modes, domains). IBM's Multiple Virtual Storage/System Product (MVS/SP), 
752. Digital Equipment Corporation's VAX/VMS, and Data General Corporation's AOS/VS illustrate 
753. the diversity in hardware-based domain separation. MVS/SP provides two execution states: 
754. problem state for user programs and supervisor state for system programs. [21] VAX/VMS 
755. provides four processor access modes, which are used to provide read/write protection between 
756. user software and system software. [18] The MV/ECLIPSE architecture of AOS/VS provides eight 
757. execution "rings," ranging from ring 0 (most privileged) to ring 7 (least privileged), with the AOS/
758. VS kernel running in ring 0 and user programs in ring 7, and with firmware-implemented gates 
759. protecting ring boundaries. [17]
760.  
761. For most hardware platforms, the domain separation requirement will mean that at least two 
762. hardware states are provided, where one state permits access of privileged instructions necessary 
763. to manipulate memory-mapping registers. Memory mapping alone is not sufficient to meet this 
764. requirement, but may be used to enhance hardware isolation. For example, Unisys' OS 1100 
765. Security Release I provides domain isolation through the use of hardware and software 
766. mechanisms that include per-process virtual address spaces, per-process stacks, and hardware-
767. based state changes. [27]
768.  
769. However, the multi-state mechanism need not be totally implemented in hardware.
770.  
771. The Unisys A Series MCP/AS with InfoGuard successfully achieved a C2 rating by implementing 
772. the two-state concept with a combination of "capability-like" hardware mechanisms and TCB 
773. software, including the compilers. [26] In capability-based systems, the TCB can be protected by 
774. having TCB and user domains created when the system is initialized. Since part of the domain 
775. definition is the ability to access and modify the data structures needed for domain transition, 
776. multiple states can be created on single-state hardware.
777.  
778. Another approach for meeting this requirement is to have all user actions interpreted by the TCB 
779. before it acts upon them. Obviously, this entails assuring that no means exist for an untrusted user 
780. to modify the TCB. To protect against compromise from below, the requirement for domain 
781. separation implies physical protection of the hardware (even though the example cited in the 
782. TCSEC requirement is software oriented). [9]
783.  
784. 3.4     DEFINED SUBSET
785.  
786. The writers of the TCSEC intended the second sentence of the System Architecture requirement to 
787. be a "grandfather clause" to enable systems designed before the TCSEC existed and add-on 
788. packages such as RACF [23] and ACF2 [15] to meet the C2 criterion even though they were not 
789. capable of controlling all subjects and objects in the system.
790.  
791. The evaluation community has interpreted this requirement to mean that:
792.  
793. 1.      Only TCB-controlled subjects can access all objects.
794.  
795. 2.      Subjects not under TCB control can access only objects that are not under TCB control.
796.  
797. These constraints prevent uncontrolled subjects from performing raw input-output (I/O) to 
798. (controlled and uncontrolled) devices and from accessing (controlled and uncontrolled) memory. 
799. If uncontrolled subjects were allowed to perform such operations, the TCB would be unable to 
800. enforce the system security policy with respect to controlled resources. [9]
801.  
802. 3.5     RESOURCE ISOLATION
803.  
804. The third sentence of the System Architecture requirement relates to subject and object subsetting 
805. discussed in section 3.4 and simply assures that the TCB imposes its discretionary access controls 
806. and auditing on all of the subjects and objects under its control.
807.  
808. Chapter 4
809.  
810. PROTECTION MECHANISMS
811.  
812. The requirements for controlled access protection comprise both mechanisms and assurances. The 
813. mechanisms are functional features designed to enforce the security policy and accountability 
814. objectives discussed in Chapter 2 and include: identification and authentication, discretionary 
815. access control, object reuse, and audit (see Table 2.1 on page 11).
816.  
817. 4.1     IDENTIFICATION & AUTHENTICATION
818.  
819. Controlled access protection mechanisms ultimately are tied to the trustworthiness of the AIS's 
820. identification and authentication mechanisms. One must be able to trust the system's ability to 
821. accurately, consistently, and positively identify each user, and to maintain that positive 
822. identification throughout the user's login session. Otherwise, controlled access protection cannot 
823. be assured, and any audit data collected are rendered useless. For this reason, if the system lacks 
824. acceptable identification and authentication mechanisms, it cannot be recommended for 
825. accreditation.
826.  
827. The Identification and Authentication criterion is shown in Figure 4.1. A Guide to Understanding 
828. Identification and Authentication in Trusted Systems [6] discusses the identification and 
829. authentication (I&A) requirement at length and provides guidance on how to design and implement 
830. effective I&A mechanisms.
831.  
832. Controlled access protection seeks to control users' access to information in the AIS; specifically, 
833. information contained in objects to which users can refer by name. All forms of access control 
834. (discretionary and mandatory) rely on the system's ability to identify users and to "prove" their 
835. identity when they log onto the system, and to maintain a positive association between each 
836. individual user and the actions for which he or she is responsible.
837.  
838. The TCB shall require users to identify themselves to it before beginning to perform any other 
839. actions that the TCB is expected to mediate. Furthermore, the TCB shall use a protected 
840. mechanisms (e.g., passwords) to authenticate the user's identity. The TCB shall protect 
841. authentication data so that it cannot be accessed by any unauthorized user. The TCB shall be able 
842. to enforce individual accountability by providing the capability to uniquely identify each 
843. individual APP system user. The TCB shall also provide the capability of associating this identity 
844. with all auditable actions taken by that individual.
845.  
846. Figure 4.1: TCSEC C2 Identification and Authentication Criterion
847.  
848. Identification is generally implemented by simply asking for a login name, usually associated in 
849. some way with the person's identity. The system checks this name against its list of authorized 
850. users. Then, to protect against an unauthorized user's masquerading as the authorized user, the 
851. system asks for some "proof" (authentication) that the user is whom he or she claims to be. 
852. Authentication generally involves one or more of three types of "proof:" (1) something the user 
853. knows (e.g., a password), (2) something the user has (e.g., an authentication device), or (3) 
854. something the user is (e.g., a retinal scan).
855.  
856. Most EPL products implement I&A using the simple login name and password, and this approach 
857. is acceptable. Some products strengthen their password mechanisms by enforcing rules such as 
858. aging and length requirements (e.g., Hewlett Packard's MPE V/E [19]) or case restrictions and 
859. requirements for special characters (e.g., IBM's MVS/XA with RACF [22]), or by providing 
860. random-password generators (e.g., AT&T's System V/MLS and Wang's SVS/OS [16] [28]). 
861. However, as with any mechanism, the integrity of password protection is only as strong as the 
862. integrity and responsibility of its users. Regardless of whether an AIS is built on an EPL product, 
863. the Trusted Facilities Manual (see section 5.4), the Security Features Users Guide (see section 5.5), 
864. the system administrator, and user training should all stress users' responsibilities in ensuring that 
865. their passwords are difficult to guess, protected, and changed regularly. The Department of 
866. Defense Password Management Guideline [13] discusses issues relating to the use of passwords 
867. for user authentication, and the Information System Security Officer Guideline [33] discusses user 
868. training and password management.
869.  
870. NSA has examined a number of subsystems designed to provide I&A, including password devices, 
871. challenge-response personal authentication devices, and biometric devices. The Information 
872. Systems Security Products and Services Catalogue [34] contains information regarding these 
873. devices. These products may offer an interim solution for a system that is not built on an EPL 
874. product and that lacks I&A mechanisms. However, the use of one or more separately-rated 
875. subsystems such as these does not imply an overall product rating as defined in the TCSEC. 
876. Mechanisms, interfaces, and the extent of required supporting functions for each subsystem may 
877. differ substantially and may introduce significant vulnerabilities that are not present in products 
878. whose security features are designed with full knowledge of interfaces, and hardware and software 
879. support. Therefore, incorporation of one or more evaluated subsystems into an AIS is not 
880. equivalent to building an AIS on an EPL product.
881.  
882. 4.2.    DISCRETIONARY ACCESS CONTROL
883.  
884. Controlled access protection enforces a security policy known as discretionary access control 
885. (DAC), which is a means of restricting access to named objects based upon the identity of subjects 
886. and/or groups to which they belong. Systems that provide DAC assure that access to objects that 
887. are available to users (i.e., "named" objects) are controlled at the "discretion" of the user (or group) 
888. with whom the object is associated (sometimes called the "owner" of the object). The DAC 
889. criterion is shown in Figure 4.2.
890.  
891. The TCB shall define and control access between named users and named objects (e.g., files and 
892. programs) in the ADP system. The enforcement mechanisms (e.g., self/group/public controls, 
893. access control lists) shall allow users to specify and control sharing of those objects by named 
894. individuals or defined groups of individuals, or by both, and shall provide controls to limit 
895. propagation of access rights. The discretionary access control mechanism shall, either by explicit 
896. user action or by default, provide that objects are protected from unauthorized access. These access 
897. controls shall be capable of including or excluding access to the granularity of a single user. Access 
898. permission to an object by users not already possessing access permission shall only be assigned 
899. by authorized users.
900.  
901. Figure 4.2: TCSEC C2 Discretionary Access Control Criterion
902.  
903. Five basic mechanisms have been used to implement DAC.
904.  
905. 1.      Access Control Lists (ACLs) implement an access control matrix (wherein the columns 
906. represent users, the rows protected objects, and each cell indicates the type of access to be 
907. granted for the subject/object pair) by representing the columns as lists of users attached to 
908. the protected object.
909.  
910. 2.      Protection Bits use a bit vector, with each bit representing a type of access. The most 
911. common example is the Unix« implementation of a nine-bit vector representing read, 
912. write, and execute accesses to be granted to the object's owner, its group, and everyone else.
913.  
914. 3.      Capabilities allow access to a protected object if the requester possesses the appropriate 
915. protected "capability," which both identifies the object and specifies the access rights to be 
916. allowed to the user who possesses that capability.
917.  
918. 4.      Profiles associate with each user a list of protected objects that the user may access.
919.  
920. 5.      Passwords associate one (all types of access) or more (different types of access) passwords 
921. with each object.
922.  
923. A Guide to Understanding Discretionary Access Control in Trusted Systems [5] describes in 
924. greater depth each of these mechanisms and discusses issues involved in designing, implementing, 
925. and evaluating them. Most of the products evaluated to date, including Honeywell's Multics [20], 
926. DEC's VAX/VMS [18], Hewlett Packard's MPE/VE [19], Data General's AOS/VS [17], Unisys' 
927. OS 1100 [27], and IBM's MVS/SP [21], have implemented DAC through the use of ACLs. 
928. AT&T's System V/MLS [16] uses the traditional Unix«  protection bits, and Trusted Information 
929. Systems' Trusted XENIX [25] implements both protection bits (by default) and ACLs (at the 
930. user's discretion).
931.  
932. DAC provides to individual users and groups the capability to specify for each of their objects (e.g., 
933. files and directories) the kinds of access the system will grant to other users and groups. This 
934. capability is very useful for both ordinary users and system administrators. It allows each user to 
935. decide for himself or herself what individuals and groups of individuals the system should allow 
936. to read, write, or execute the directories and files he or she creates. System administrators 
937. commonly use DAC to protect system directories and files so that ordinary users can read or 
938. execute (or search, in the case of directories) them, but only system administrators can modify 
939. them. For example, DAC enables ordinary users to spool print jobs (i.e., write into the print queue) 
940. but does not allow them to read, reorder, modify, or remove other users' queued jobs. Only a 
941. program acting on behalf of a user or group with system privileges (i.e., individual or group to 
942. which the print queue belongs) can perform these actions.
943.  
944. However, most DAC implementations contain a flaw that renders them susceptible to Trojan 
945. horses. This is due to the fact that when a user executes a program, it runs with the DAC accesses 
946. of that user. This enables the following scenario to occur.
947.  
948. 1.      Dan Devious writes a program that performs a very useful function, say travel expense 
949. accounting, and attaches some lines of code that copy all of the files in the mail directory 
950. of the user who executes it into a directory that Dan owns.
951.  
952. 2.      Dan gives everyone execute access to his program and tells everyone about its utility. (He 
953. also gives everyone write access to his directory, but does not mention this.)
954.  
955. 3.      Nick Naive executes Dan's program to calculate his travel expenses. The program works 
956. just as Dan described it, and Nick is elated. However, unknown to him, the program has 
957. also copied all of Nick's mail files into Dan's directory!
958.  
959. Because of this vulnerability and the "discretionary" nature of DAC, this access control 
960. mechanism is not useful for segregating objects with different classification levels or categories. 
961. Mandatory access control mechanisms are necessary to provide classification-level separation.
962.  
963. Some operational systems have attempted to use DAC to enforce strict need-to-know separation 
964. by assigning different need-to-know categories to different groups. DAC is neither intended to be, 
965. nor effective as, a mechanism for strictly enforcing need-to-know separation. Under DAC, any 
966. user who has or can usurp the appropriate permission is able to transfer access rights to another 
967. user to whom direct access would otherwise be forbidden. The following two examples illustrate 
968. how this might occur.
969.  
970. 1.      George puts the results of his latest project experiment into georges_data. To ensure that 
971. Zelda and Fran, who are working on the same project and assigned to group project, can 
972. read the results, he assigns it the ACL shown in Figure 4.3.
973.  
974. Figure 4.3: ACL for File georges_data
975.  
976. Zelda wants to share George's results with her friend Neil, who is not working on the 
977. project. So she copies georges_data into a file named zeldas_data and sets its ACL to allow 
978. both herself and Neil to read it. She then tells Neil where he can find the file, and he 
979. continues to spread access to others in a similar manner.
980.  
981. While this ACL may look like it would provide the needed protection, "read" access also 
982. enables any user in group project to copy georqes_data into another file with its own ACL 
983. and to assign to it whatever accesses that user wishes. Thus a file whose contents are 
984. intended to be protected from disclosure can be disclosed to supposedly "unauthorized" 
985. users.
986.  
987. 2.      On most Unix« systems, typing "is -gla" (list all entries in long format, giving mode, 
988. number of links, owner, group, size in bytes, and time of last modification) in directory 
989. study produces the output shown in Figure 4.4.
990.  
991.  
992.  
993. Figure 4.4: Output from Directory Study
994.  
995. Group hackers includes Ted, Sally, and Ollie. Ted wants to modify Sally's progress file, 
996. but she has given him (i.e., group hackers) only read permission. Although Ted does not 
997. have write access to progress, he knows that since he has write access to its containing 
998. directory study and read access to the file, he can give himself write access by executing 
999. the sequence of commands shown in Figure 4.5 to virtually change the file's permission 
1000. bits.
1001.  
1002. Figure 4.5: Unix Command Sequence
1003.  
1004. In this case, Sally believes she has sufficiently protected her file progress so that only she 
1005. is able to write to it. However, because group hackers has read access to the containing 
1006. directory, any user in group hackers is able to see that a file named progress exists. Further, 
1007. write access to directory study enables any user of group hackers to modify the directory's 
1008. contents. So any user in group hackers is able to add files to and delete files from study and 
1009. to virtually change the DAC permission on any of its files to which they have read (i.e., 
1010. copy) access. Thus, any user in group hackers can modify Sally's progress file.
1011.  
1012. As is apparent, reliance on DAC control could very quickly result in a breakdown of need-to-know 
1013. protection. While an AIS with mandatory access controls could contain the same DAC 
1014. vulnerability, those controls would confine the propagation to a single classification level and 
1015. category. DAC should not be used for separation that requires strong enforcement and assurance.
1016.  
1017. 4.3     OBJECT REUSE
1018.  
1019. One could view the Object Reuse criterion shown in Figure 4.6 as a "negative" requirement in that 
1020. it requires that something be "not present." To meet the object reuse criterion, the AIS must ensure 
1021. that no information generated by one user's process is available to the next user s process when the 
1022. object containing that information is reallocated.
1023.  
1024. All authorizations to the information contained within a storage object shall be revoked prior to 
1025. initial assignment, allocation or reallocation to a subject from the TCB's pool of unused storage 
1026. objects. No information, including encrypted representations of information, produced by a prior 
1027. subject's actions is to be available to any subject that obtains access to an object that has been 
1028. released back to the system.
1029.  
1030. Figure 4.6: TCSEC C2 Object Reuse Criterion
1031.  
1032. Note that the object reuse criterion refers to "storage" objects, as contrasted with the "named 
1033. objects" to which the DAC criterion applies. A storage object is an object that supports both read 
1034. and write accesses and may or may not be "named." A Guide to Understanding Object Reuse in 
1035. Trusted Systems [7] explains the object reuse criterion and provides guidance on how to design and 
1036. incorporate effective object reuse mechanisms into an AIS.
1037.  
1038. The objective behind the object reuse requirement is to prevent information from being 
1039. inadvertently (and by extension, deliberately) disclosed to users not authorized to see it. In contrast 
1040. with the DAC mechanism, which seeks to protect the containers of information (i.e., named 
1041. objects), the object reuse requirement seeks to protect the information contained in the AIS's 
1042. storage objects. Thus object reuse requires that each container be initialized before it is allocated 
1043. to a subject.
1044.  
1045. However, although the level of abstraction at which the object reuse mechanism is implemented is 
1046. that of storage objects, ensuring complete and effective implementation requires consideration of 
1047. how named objects are mapped into physical storage objects. The object reuse guideline describes 
1048. a methodology for doing this.
1049.  
1050. A number of approaches for meeting the object reuse requirement exist and are specific to the 
1051. storage objects being considered. Whether the object reuse mechanism operates at allocation or 
1052. deallocation is left to the discretion of the implementer. The system may initialize a storage object 
1053. any time between when it releases the object when it reallocates it. However, if the system does 
1054. not initialize the object immediately, it must protect as a system resource any information it 
1055. contains. Table 4.1 identifies some examples of possible object reuse mechanisms. Note that a 
1056. given type of storage object may require one or more mechanisms. The object reuse guideline 
1057. discusses these mechanisms more fully.
1058.  
1059.  
1060.  
1061. Storage Object
1062.  
1063. Implementation
1064.  
1065. Primary Storage
1066.  
1067. (e.g., random access memory, cache, 
1068. translation buffer)
1069.  
1070. ╖ Overwriting memory page with fixed or 
1071. random pattern and/or (for efficiency) new 
1072. data
1073.  
1074. Fixed Media
1075.  
1076. (e.g., fixed disk, terminal, operator console)
1077.  
1078. ╖ Overwriting physical data blocks
1079.  
1080. ╖ Purging associated entries in page 
1081. management table
1082.  
1083. ╖ Purging directory information residing on 
1084. media
1085.  
1086. Removable Media
1087.  
1088. ╖ On-line overwriting with approved fixed or 
1089. random patter
1090.  
1091. ╖ Degaussing
1092.  
1093. ╖ Off-line overwriting
1094.  
1095. Table 4.1: Object Reuse Mechanisms
1096.  
1097. 4.4     AUDIT
1098.  
1099. The Audit criterion requires the capability to collect information regarding system events, thus 
1100. supporting the monitoring of system use and the investigation of possible attempts to breach 
1101. security. Importantly, the Audit criterion, shown in Figure 4.7 on page 30 requires that the AIS be 
1102. capable of auditing, and not that the system actually perform auditing. The accreditor is 
1103. responsible for determining what events the system must audit and any additional mission-specific 
1104. audit requirements. The Information System Security Officer (ISSO) or designated auditor is 
1105. responsible for configuring and administering audit.
1106.  
1107. The TCB shall be able to create, maintain, and protect from modification or unauthorized access 
1108. or destruction an audit trail of access to the objects it protects. The audit data shall be protected by 
1109. the TCB so that read access to it is limited to those who are authorized for audit data. The TCB 
1110. shall be able to record the following types of events: use of identification and authentication 
1111. mechanisms, introduction of objects into the user's address space (e.g., file open, program 
1112. initiation), deletion of objects, actions taken by computer operators and system administrators and/
1113. or system security officers, and other security relevant events. For each recorded event, the audit 
1114. record shall identify: data and time of the event, user, type of event, and success or failure of the 
1115. event. For identification/authentication events the origin of request (e.g., terminal ID) shall be 
1116. included in the audit record. For events that introduce an object into a user's address space and for 
1117. object deletion events the audit record shall include the name of the object. The APP system 
1118. administrator shall be able to selectively audit the actions of any one or more users based on 
1119. individual identity.
1120.  
1121. Figure 4.7: TCSEC C2 Audit Criterion
1122.  
1123. Audit features provide the capability to record, examine, and review security-relevant activities on 
1124. the system either as they are occurring or retrospectively. The capability to perform real-time 
1125. auditing is not among the minimal requirements for controlled access protection. Rather, the 
1126. system must provide the capability to configure the system to audit the set of events the ISSO 
1127. specifies, to present this information in a manner that is useful in investigating security incidents 
1128. after they have occurred, and to monitor users' actions in order to anticipate and potentially 
1129. neutralize impending security attacks.
1130.  
1131. A Guide to Understanding Audit in Trusted Systems [1] discusses five objectives of the audit 
1132. mechanism:
1133.  
1134. 1.      To allow review of patterns of access to individual objects, access histories of specific 
1135. processes and users, and the use of various protection mechanisms and their effectiveness.
1136.  
1137. 2.      To detect repeated attempts to bypass protection mechanisms.
1138.  
1139. 3.      To monitor use of privileges.
1140.  
1141. 4.      To deter habitual attempts to bypass the system protection mechanisms (which requires that 
1142. users know that their actions are being audited).
1143.  
1144. 5.      To provide additional assurance that the protection mechanisms are working.
1145.  
1146. As pointed out in section 4.1, the integrity of the audit mechanism is highly dependent upon the 
1147. integrity of the I&A mechanisms. Unless the system positively identifies users, it cannot correctly 
1148. associate their actions with them, and no audit mechanism can be effective. As with all controlled 
1149. access protection mechanisms, the TCB must implement the audit-collection function, and only 
1150. ISSOs or their designees should be able to enable or disable auditing, and to configure the audit 
1151. mechanism (i.e., to set the events to be recorded, the users for which data are to be collected, etc.) 
1152. in accordance with the security policy. The TCB must protect the data the audit mechanism 
1153. collects; only audit personnel should be able to read audit data. Further, the TCB must protect the 
1154. audit trail from unauthorized modification and from loss due to overwriting (such as might occur 
1155. if a circular file were used to store audit data), exhaustion of physical memory reserved for storage 
1156. of audit data, or a system crash.
1157.  
1158. The system must be able to record the following types of events:
1159.  
1160. ╖       Use of identification and authentication mechanisms (i.e., login).
1161.  
1162. ╖       Introduction of objects into a user's address space (e.g., file open, file creation, program 
1163. execution, file copy).
1164.  
1165. ╖       Deletion of objects from a user's address space (e.g., file close, completion of program 
1166. execution, file deletion).
1167.  
1168. ╖       Actions taken by computer operators and system administrators and/or system security 
1169. administrators (e.g., adding a user).
1170.  
1171. ╖       All security-relevant events (e.g., use of privileges, changes to DAC parameters).
1172.  
1173. ╖       Production of printed output.
1174.  
1175. For each auditable event, the TCB must be able to record the following information:
1176.  
1177. ╖       Date and time of the event.
1178.  
1179. ╖       Unique identifier of the user on whose behalf the subject generating the event was 
1180. operating.
1181.  
1182. ╖       Type of event (one of the above).
1183.  
1184. ╖       Success or failure of the event.
1185.  
1186. ╖       Origin of the request (e.g.,terminal identifier) for identification and authentication events.
1187.  
1188. ╖       Name of the object that was introduced into or deleted from the user's address space.
1189.  
1190. ╖       Description of actions taken by the system administrator (e.g., modifications to the security 
1191. databases).
1192.  
1193. The ISSO or designee must be able to audit based on individual identity and on object identity. 
1194. Whether the system allows the ISSO to pre-specify individuals and/or objects, or provides a post-
1195. processor to extract data associated with specified individuals and/or objects, is a design decision. 
1196. From a security perspective, either approach could be deemed acceptable. Data compression and 
1197. reduction tools are also desirable (but not required) features. A number of vendors have 
1198. implemented extensive audit-processing capabilities in their products. For example, Prime 
1199. Computer, Inc.'s Primos [24] and Unisys Corporation's OS 1100 Security Release I [27] provide 
1200. auditing facilities which include collection, reduction/reporting, backup, and crash-recovery 
1201. capabilities.
1202.  
1203. Chapter 5
1204.  
1205. DOCUMENTATION AND LIFE-CYCLE ASSURANCE
1206.  
1207. A number of requirements are derived not from the security policy per se, but from the assurance 
1208. control objective (see Table 2.1 on page 11) and from the needs for evaluation evidence and 
1209. documentation to support continuing maintenance of the evaluated trust. This chapter discusses 
1210. these documentation and life-cycle support requirements.
1211.  
1212. 5.1     DESIGN DOCUMENTATION
1213.  
1214. The Design Documentation criterion, shown in Figure 5.1, focuses on the need to document 
1215. coverage of the protection philosophy. While this information is useful in understanding how the 
1216. system provides trust, it is not sufficient to enable an analyst to understand the design of the AIS. 
1217. More detailed design documentation is needed to ensure that the system can be understood and 
1218. maintained securely.
1219.  
1220. Documentation shall be available that provides a description of the manufacturer's philosophy of 
1221. protection and an explanation of how this philosophy is translated into the TCB. If the TCB is 
1222. composed of distinct modules, the interfaces between these modules shall be described.
1223.  
1224. Figure 5.1: TCSEC C2 Design Documentation Criterion
1225.  
1226. The primary purposes of design documentation are:
1227.  
1228. ╖       To help evaluators (e.g., NSA product evaluators, technical analysts) achieve a sufficient 
1229. understanding of the system to enable them to assess the completeness and correctness of 
1230. the design, and to give them enough confidence in the developer's understanding and 
1231. capabilities to warrant a recommendation that the system be approved (e.g., for an NSA 
1232. rating or DAA accreditation).
1233.  
1234. ╖       To enable developers and maintainers to understand the design of the AIS well enough so 
1235. that they can make any necessary changes to the AIS without adversely affecting the 
1236. system's trustworthiness.
1237.  
1238. In order to serve these purposes, the design documentation must describe all of the protection 
1239. mechanisms of the TCB. In other words, the design documentation must accurately and completely 
1240. describe all of the software, firmware, and hardware components and how they work together. 
1241. These descriptions should be in sufficient detail to enable an evaluator, system programmer, or 
1242. certifier to understand the security design and implementation such that he or she can predict the 
1243. security impacts of a hypothesized or proposed modification.
1244.  
1245. As discussed in Chapter 3, each conceptual "layer" of the TCB must be trustworthy from the 
1246. perspective of its overlying layers. The hardware and software design documentation needs to 
1247. clearly describe how this trustworthiness is assured. For example, the hardware design 
1248. documentation should describe the interface between the hardware and the operating system in 
1249. sufficient detail to enable someone analyzing the system to feel assured that the TCB cannot be 
1250. circumvented (i.e., compromised from below), enabling an unprivileged user to gain direct access 
1251. to the system's physical resources (e.g., disk blocks, physical I/O). Similarly, the software design 
1252. documentation must describe how the TCB provides self-protection and isolation from user 
1253. processes (i.e., prevents compromise from within and from above).
1254.  
1255. Good design documentation describes how the protection mechanisms relate to the overall 
1256. architecture of the system. A Guide to Understanding Design Documentation in Trusted Systems 
1257. [4] provides guidance that developers can use in assuring that their design documentation is 
1258. acceptable, and that analysts can use in their evaluation.
1259.  
1260. 5.2     SYSTEM INTEGRITY
1261.  
1262. The System Integrity criterion, shown in Figure 5.2, is levied upon the hardware and firmware 
1263. components of the TCB.
1264.  
1265. "Integrity" implies that something is maintained in an unimpaired condition, and system integrity 
1266. implies that an AIS and the system data upon which its operation depends are maintained in a 
1267. sufficiently correct and consistent condition. [37] The intent of the system integrity requirement is 
1268. to ensure that some mechanism exists to validate the correct operation of all TCB hardware and 
1269. firmware (including peripheral devices). 
1270.  
1271. Hardware and/or software features shall be provided that can be used to periodically validate the 
1272. correct operation of the on-site hardware and firmware elements of the TCB.
1273.  
1274. Figure 5.2: TCSEC C2 System Integrity Criterion
1275.  
1276. Typically, the first time this requirement comes into play is at system boot time. The system should 
1277. provide some mechanism for assuring that the TCB (i.e., all security-relevant hardware and 
1278. firmware, including peripheral devices) is initialized correctly. This should not impose a problem 
1279. for most systems, since most commercially available computer systems provide a mechanism and 
1280. procedures for performing a comprehensive diagnostic routine when they are powered on.
1281.  
1282. The system also should provide mechanisms for periodically validating the correct operation of its 
1283. hardware and firmware. For example, tools for performing comprehensive diagnostics following 
1284. preventive maintenance actions and to ensure secure system shut-down should be available. 
1285. Documentation describing the functionality and operations of all integrity mechanisms should be 
1286. provided.
1287.  
1288. 5.3     CONFIGURATION MANAGEMENT
1289.  
1290. Changes to an existing AIS are inevitable, and the purpose of configuration management (CM) is 
1291. to ensure that these changes take place in a controlled environment and that they do not adversely 
1292. affect any trust properties of the system. CM provides assurance that additions, deletions, and 
1293. changes to the AIS do not compromise its inherent trust. CM therefore is of critical importance 
1294. with regard to life-cycle assurance. During development and in operation, the AIS's software and 
1295. hardware must not be changed improperly or without authorization, control, and accountability.
1296.  
1297. The TCSEC does not specify a Configuration Management criterion for classes lower than B2. 
1298. However, the AIS organization should recognize the important role that CM plays both in 
1299. performing the technical analysis and in assuring the continued secure operation of the system. 
1300. Although CM is not a controlled-access-protection requirement, requiring sound CM policy and 
1301. procedures, and subjecting them to technical assessment, are strongly recommended.
1302.  
1303. AISs being analyzed for certification and accreditation should provide documentation and 
1304. compliance evidence demonstrating that an effective CM program exists and that configuration 
1305. control is enforced.
1306.  
1307. A Guide to Understanding Configuration Management in Trusted Systems [2] discusses the 
1308. Configuration Management criterion imposed on products submitted for a B2 or above rating and 
1309. provides a good overview of the CM process and the functions involved: configuration 
1310. identification, configuration control, configuration status accounting, and configuration audit. 
1311. MIL-STD-483, Configuration Management Practices for Systems, Equipment, Munitions, and 
1312. Computer Programs [12], provides CM standards to be applied to DoD systems.
1313.  
1314. Suggested items to cover in the AIS's CM plan are:
1315.  
1316. ╖       Unified discussion of configuration control as implemented by the developer; description 
1317. of the process for handling a change from entry into the process through final approval and 
1318. implementation.
1319.  
1320. - Description of the approach used to determine configuration items (CIs), including a 
1321. rationale for the chosen granularity.
1322.  
1323. - Naming conventions for CIs.
1324.  
1325. - Policies for creating new CIs or changing CIs.
1326.  
1327. - Decomposition of the following system components into CIs, with unique identifiers 
1328. for each:
1329.  
1330. 1.      The TCB.
1331.  
1332. 2.      Any hardware and/or software features that are used to periodically validate the 
1333. correct operation of the TCB.
1334.  
1335. 3.      The Security Features User's Guide.
1336.  
1337. 4.      The Trusted Facility Manual.
1338.  
1339. 5.      The test plan, the test procedures that show how the security mechanisms were 
1340. tested, and the expected results of the security mechanisms' functional testing.
1341.  
1342. 6.      The design documentation.
1343.  
1344. 7.      The CM Plan.
1345.  
1346. ╖       Explanation of the results of the preliminary screening of proposed changes and a 
1347. discussion of any identified potential effects on the TCB.
1348.  
1349. ╖       Description of safeguards against the incorrect categorization of changes.
1350.  
1351. ╖       Detailed discussion of security analysis for changes affecting the TCB.
1352.  
1353. ╖       Description of how the Configuration Control Board (CCB) coordinates security and 
1354. design analyses and reviews system changes, including CCB composition, lines of 
1355. authority, and identification of security specialists and their roles.
1356.  
1357. ╖       Description of the content of engineering change orders and a discussion of how they are 
1358. generated and handled within the CM system.
1359.  
1360. ╖       Description of procedures for assuring that all approved changes are implemented correctly 
1361. and that only approved changes are made, including the structure and interactions of the 
1362. implementation and test groups and the management of system code.
1363.  
1364. ╖       Description of the nature and operation of the Configuration Review Board (CRB).
1365.  
1366. ╖       Discussion of the final review process.
1367.  
1368. ╖       Identification of any limitations or constraints on the CM process.
1369.  
1370. 5.4     TRUSTED FACILITY MANUAL
1371.  
1372. No matter how strong the security architecture and mechanisms are, and how trustworthy the users 
1373. are, an AIS's "weakest link" is its administration and operations. Even if the AIS is built on an EPL 
1374. product, the protection the product is capable of delivering is actually provided only if the system 
1375. is configured in one of the evaluated configurations indicated in the product's EPL entry and is 
1376. operated as described in the Trusted Facility Manual (TFM). The TFM criterion shown in Figure 
1377. 5.3 addresses this critical need.
1378.  
1379. A manual addressed to the ADP system administrator shall present cautions about functions and 
1380. privileges that should be controlled when running a secure facility. The procedures for examining 
1381. and maintaining the audit files as well as the detailed audit record structure for each type of audit 
1382. event shall be given.
1383.  
1384. Figure 5.3: TCSEC C2 Trusted Facility Manual Criterion
1385.  
1386. The TFM is written for AIS administrators (e.g., ISSOs) responsible for configuring, operating, 
1387. and monitoring the system and for investigating potential violations of the security policy. For 
1388. some systems (in particular, products rated B3 and A1), the administrative role is broken down into 
1389. unique privilege classes (e.g., operator, security administrator, auditor). However, for controlled 
1390. access protection, a single privileged role is acceptable. This fact renders the TFM even more 
1391. important.
1392.  
1393. Guidelines for Writing Trusted Facility Manuals [32] provides a detailed discussion of the TFM 
1394. criterion and the important role the TFM plays in ensuring the trustworthiness of the system, and 
1395. Information System Security Officer Guideline [33] discusses the overall role of the ISSO. The 
1396. TFM generally is not intended to be part of the DAA accreditation package, but is required for 
1397. controlled access protection and should be examined during the technical analysis. The TFM is 
1398. prepared to support life-cycle trusted system operations, and its goal is to provide detailed, accurate 
1399. information on how to:
1400.  
1401. 1.      Configure and install the system to a secure state.
1402.  
1403. 2.      Operate the system in a secure manner.
1404.  
1405. 3.      Make effective use of the system privileges and protection mechanisms to control access 
1406. to administrative functions and databases.
1407.  
1408. 4.      Avoid pitfalls and improper use of administrative functions that would compromise the 
1409. TCB and user security.
1410.  
1411. TFMs distributed with EPL products contain information addressing these goals, and if the AIS is 
1412. built on an EPL product, this document should be part of the system's TFM. In addition, the 
1413. system's TFM should contain information regarding site-specific operations, including the 
1414. security policy to be enforced in configuring and operating the AIS in its unique environment under 
1415. both routine and emergency situations.
1416.  
1417. 5.5     SECURITY FEATURES USER'S GUIDE
1418.  
1419. Whereas the TFM is written for system administrators, the Security Features Users Guide (SFUG) 
1420. is written for the general, unprivileged users of the AIS. The SFUG criterion is shown in Figure 
1421. 5.4. Using terminology a user unfamiliar with the operating system can understand, the SFUG 
1422. should describe the security mechanisms the system provides to the general user. For example, the 
1423. SFUG should explain how login works, provide guidance and warnings regarding the selection and 
1424. use of passwords, explain how to set the DAC permissions on files and directories, and briefly 
1425. discuss the role auditing plays in the operation of the AIS. The objective of the SFUG is to provide 
1426. information and warnings to help assure that the system's protective features are used 
1427. appropriately and consistently.
1428.  
1429. A single summary, chapter, or manual in user documentation shall describe the protection 
1430. mechanisms provided by the TCB, guidelines on their use, and how they interact with one another.
1431.  
1432. Figure 5.4: TCSEC C2 Security Features User's Guide Criterion
1433.  
1434. A Guide to Writing the Security Features User's Guide for Trusted Systems [8] provides guidance 
1435. for potential authors of SFUGs and includes some illustrative annotated outlines.
1436.  
1437. The security mechanisms of the ADP system shall be tested and found to work as claimed in the 
1438. system documentation. Testing shall be done to assure that there are no obvious ways for an 
1439. unauthorized user to bypass or otherwise defeat the security protection mechanisms of the TCB. 
1440. Testing shall also include a search for obvious flaws that would allow violation of resource 
1441. isolation, or that would permit unauthorized access to the audit or authentication data.
1442.  
1443. Figure 5.5: TCSEC C2 System Testing Criterion
1444.  
1445. 5.6     TESTING
1446.  
1447. The final step in the technical analysis (see Chapter 6) is testing, which includes both test planning 
1448. and running the functional tests. The test objective with respect to controlled access protection is 
1449. to ascertain whether the documented security mechanisms work as they are described. Note that 
1450. the TCSEC System Testing criterion (see Figure 5.5) requires assurances that no "obvious ways" 
1451. exist to bypass or otherwise defeat the security protection mechanisms, and a search for "obvious" 
1452. flaws. Thus, the technical analysis to support certification involves testing to ensure that the 
1453. documented security functionality exists and works as claimed; this level of testing does not 
1454. require an in-depth penetration effort, which would involve the generation of hypotheses to 
1455. ascertain whether "non-obvious" penetrations are possible.
1456.  
1457. Note that the TCSEC does not precisely define "obvious," and what is "obvious" to one analyst 
1458. may be enigmatic to another. The analysts should interpret "obvious" based on the identified 
1459. threats to the system. For example, some Unix« vulnerabilities that are well-known (i.e., 
1460. "obvious") within campus computing centers may be far less threatening (i.e., "obvious") in a 
1461. closed DoD environment.
1462.  
1463. The analysts should conduct functional testing at the user interface of the system. That is, they 
1464. should test all of the security functionality available to the general, unprivileged user. All of the 
1465. mechanisms discussed in Chapter 4 should be tested to ensure that they do what they are intended 
1466. to do and that they do not contain "obvious" flaws in their design or implementation. If the system 
1467. is built on an EPL product, the test suite provided with the product may be useful for this purpose. 
1468. Further, the system integrity mechanisms discussed in section 5.2 should be tested to ensure that 
1469. they work as claimed.
1470.  
1471. Chapter 6
1472.  
1473. TECHNICAL ANALYSIS
1474.  
1475. 6.1     SELECTION OF ANALYSTS
1476.  
1477. A team of qualified individuals should be selected to analyze the AIS to ensure that it provides the 
1478. required levels of controlled access protection. All members of the team should have the equivalent 
1479. of at least a bachelor's degree in Computer Science or Computer Engineering. At least one team 
1480. member should possess technical expertise in computer hardware architectures, and all members 
1481. should possess technical expertise in operating systems. All team members should be familiar with 
1482. and understand security issues related to computer hardware and operating systems. In addition, 
1483. the analysts should understand the system's mission, its environment, its security policy, and its 
1484. identified threats.
1485.  
1486. Before beginning the technical analysis, all members of the team should have received training in 
1487. the methodology described in this document and in the operations and internal architecture of the 
1488. AIS to be analyzed. If the system is built on an EPL product, the analysts should have obtained and 
1489. become familiar with the product's Final Evaluation Report. All team members should feel 
1490. comfortable on the system as both administrators and general users and should be able to design 
1491. and implement test programs for the system.
1492.  
1493. 6.2     TECHNICAL ANALYSIS PROCESS
1494.  
1495. Figure 6.1 depicts the steps (described below) involved in performing a technical analysis of an 
1496. AIS to ensure that it provides the functionality and assurances necessary for controlled access 
1497. protection. Although this process is correct and complete with respect to its objectives, it cannot 
1498. predict and does not address many issues that may arise when analyzing a complex system (e.g., 
1499. issues relating to the composition of networks). Also note that the order of some steps of the 
1500. process are arbitrary and could be conducted in a different order or in parallel (e.g., DAC and audit 
1501. assessments). Steps in which dependencies exist and order is important are identified. As noted 
1502. above, the analysts should have a clear understanding of the system's mission and policy, security 
1503. requirements, concept of operations, and operational environment before beginning this process.
1504.  
1505. In the process flow shown in Figure 6.1, each rectangle represents an activity, and each edge 
1506. represents a possible course of action, with the conditions associated with that action noted 
1507. alongside the edge. For every activity, only one set of entry and exit conditions applies in any given 
1508. instance. If an incoming conditional arc (i.e., one on the left side of a rectangle) is labeled "OR," 
1509. then the occurrence of one of the edges associated with that conditional will result in the activity's 
1510. being initiated. If an outgoing conditional arc (i.e., one on the right side of a rectangle) is labeled 
1511. "OR," then the activity effects one of the actions identified on the outgoing edges.
1512.  
1513. Each "Fix" task is assumed to include the CM process, which will assure that the correction does 
1514. not adversely affect preceding analyses. If a fix affects a mechanism that has already been 
1515. analyzed, the process should revert to the point at which the affected mechanism is analyzed. For 
1516. example, if a fix to correct an audit deficiency affects the implementation of I&A, the analysis 
1517. should return to the "Assess I&A" task.
1518.  
1519. The Trusted Product Evaluation Questionnaire [40] is referenced frequently in the following task 
1520. descriptions. This questionnaire was designed as an instrument for gathering from vendors 
1521. preliminary information about products submitted to NSA for evaluation. However, the referenced 
1522. items are equally applicable in the context of this analysis.
1523.  
1524. As this process flow shows, by far the easiest and most direct way to attain controlled access 
1525. protection is to build the system on a product that has been evaluated by NSA and rated C2 or 
1526. higher (assuming it is correctly configured, including no modifications to the TCB).
1527.  
1528.  
1529.  
1530. Figure 6.1: Controlled Access Protection Technical Analysis Process
1531.  
1532.  
1533.  
1534. Figure 6.1: (cont.) Controlled Access Protection Technical Analysis Process
1535.  
1536.  
1537.  
1538. Figure 6.1: (cont.) Controlled Access Protection Technical Analysis Process
1539.  
1540. Step    1. Assess Configuration Management. The first step in the assessment is to gain 
1541. assurance that a sound configuration management program is in place. This step should be 
1542. performed before any analysis of the system itself begins to ensure that all changes that are 
1543. made to the system software and documentation are controlled. The configuration 
1544. management requirement is discussed in section 5.3. The analysts review the 
1545. documentation describing the plans and procedures for providing CM and control, and 
1546. complete items 1 through 4 in Section 2.13 of the Trusted Product Evaluation 
1547. Questionnaire. An acceptable CM system will cover all of the items discussed in section 
1548. 5.3.
1549.  
1550. The analysts ascertain whether the CM system as documented is acceptable and is enforced 
1551. as documented; if not, the developer changes the CM program as required.
1552.  
1553. Step    2. Assess Design Documentation. The second step, which must be performed before and 
1554. in parallel with the system architecture assessment, is to review the design documentation. 
1555. Regardless of whether an EPL product is used, the analysts evaluate the hardware and 
1556. software design documentation to gain an understanding of the system and to determine 
1557. whether it meets the Design Documentation criterion shown in Figure 5.1 and discussed in 
1558. section 5.1.
1559.  
1560. The analysts ensure that the design documentation for the hardware and software addresses 
1561. all of the functionality needed to support the security policy enforced by the AIS. To 
1562. ascertain whether this requirement is met, the analysts answer item 1 in Section 2.3, items 
1563. 1 and 15 in Section 2.4, and item 1 in Section 2.14 of the Trusted Product Evaluation 
1564. Questionnaire.
1565.  
1566. If the design documentation is incomplete or deficient, it is developed and revised until it 
1567. accurately and completely describes the system's design and implementation.
1568.  
1569. Step    3. Assess System Architecture. The next step, which should be performed before and in 
1570. parallel with analyzing the security control mechanisms, is to gain a thorough 
1571. understanding of the system architecture. During this step, the analysts become familiar 
1572. with the architectural foundation upon which the security mechanisms are built and 
1573. determine whether the AIS meets the System Architecture criterion discussed in Chapter 3 
1574. and shown in Figure 3.3. If the security policy for the AIS includes more than controlled 
1575. access protection, the analysts also need to determine how the extension to the security 
1576. policy fits into the overall security architecture. For example, many DoD systems are 
1577. designed to provide a restricted user interface comprising a set of menus from which an 
1578. operator (unprivileged user) selects the function he or she wishes to perform, response 
1579. fields or windows in which the operator enters requested data, and output fields or 
1580. windows, where output and system status messages may appear. These restricted interfaces 
1581. may be implemented by an untrusted application built on top of the TCB (i.e., without 
1582. modifying the operating system) or as an extension to the TCB. The analysts must examine 
1583. the implementation to determine which method is used. If the restricted interface is an 
1584. unprivileged program residing in the user domain (see discussion in Chapter 3), then the 
1585. analysts must ensure that its discretionary access control (see section 4.2) settings are 
1586. correct and that it is included in system testing, but need make no assertions regarding its 
1587. trustworthiness relative to the overall system architecture. If the interface is part of the TCB 
1588. interface, then its mechanisms and assurances should be analyzed along with (and in 
1589. addition to) the mechanisms and assurances discussed in this guideline.
1590.  
1591. ╖       If the system is built on a product rated C2 or above on the EPL, the analysts can assume 
1592. that an NSA evaluation team has conducted an in-depth analysis of the vendor's 
1593. proprietary design documentation and has determined that the product meets the 
1594. System Architecture requirement. At this point, the analysts need to ensure that all of 
1595. the following conditions are satisfied:
1596.  
1597. 1.      The system is built on the evaluated configuration.
1598.  
1599. 2.      The TCB has not been modified (i.e., no modifications to system code have been 
1600. made, and no applications use privileged system calls intended only for internal 
1601. TCB use). (Answer questions 5 and 6 in Section 2.13 of the Trusted Product 
1602. Evaluation Questionnaire.)
1603.  
1604. 3.      The mechanisms discussed in Chapter 4 are configured in accordance with the 
1605. Trusted Facility Manual (see section 5.4) and the AIS's security policy.
1606.  
1607. If any of these conditions does not hold, and the deficiency cannot be corrected, the process 
1608. proceeds as if a non-EPL product were used. If all of these conditions are satisfied, the 
1609. analysis proceeds to step 6.
1610.  
1611. ╖       If the system is not built on an EPL product or is built on an EPL product in other than 
1612. its evaluated configuration, the analysts begin the architecture evaluation by 
1613. completing the C1 and C2 items in Sections 2.1 and 2.2 and items 5 and 6 in Section 
1614. 2.13 of the Trusted Product Evaluation Questionnaire [40] to gain a full understanding 
1615. of all of the subjects and objects in the system.
1616.  
1617. The analysts then attempt to gain a full understanding of the hardware and software upon 
1618. which the system's protection mechanisms depend. The analysts review the design 
1619. documentation (see section 5.1) for the hardware and software and complete items 2 
1620. through 10 in Section 2.3 and items 16 through 18 in Section 2.4 of the Trusted Product 
1621. Evaluation Questionnaire.
1622.  
1623. As noted in section 1.3, a precondition of NSA evaluation is that the vendor must sign an 
1624. MOU giving NSA evaluators access to highly proprietary hardware and software design 
1625. documentation. Had the system been built on an EPL product, the analysts could have 
1626. assumed that an NSA evaluation team had conducted an in-depth analysis of the vendor's 
1627. proprietary design documentation and had determined that the product met this 
1628. requirement. However, because the system is not built on an EPL product or is built on an 
1629. EPL product in other than its evaluated configuration, the analysts may not have access to 
1630. detailed proprietary design documentation. In this case, they will need to rely on 
1631. commercial documentation distributed with the unevaluated product, documentation 
1632. provided by the contractor, information they are able to glean from talking with the vendor 
1633. and contractor, and any other available information.
1634.  
1635. This limited visibility into the hardware and software design is one of the most critical 
1636. constraints associated with analyzing a system built on a non-EPL product or an EPL 
1637. product in other than its evaluated configuration.
1638.  
1639. During this analysis, the analysts ascertain whether the System Architecture criterion is met 
1640. (see Chapter 3) and whether the features discussed in Chapter 4 are present. If any 
1641. deficiencies are noted and are judged "fixable," the developer ensures that the necessary 
1642. modifications are made to both the system architecture and the design documentation, and 
1643. the technical analysis is reinitiated. If uncorrectable system architecture deficiencies are 
1644. identified, the AIS is deemed unacceptable, and the technical analysis is terminated with a 
1645. recommendation that the system not be certified or accredited (see Reference [38], D.7, for 
1646. exception conditions).
1647.  
1648. Step    4. Perform Fixes. If correctable architectural deficiencies are identified, the developer 
1649. ensures that the necessary modifications are implemented.
1650.  
1651. Step    5. Perform Steps Required for Non-EPL-Based Systems. If the system architecture is 
1652. acceptable, and the system is built on a non-EPL product or an EPL product in other than 
1653. its evaluated configuration:
1654.  
1655. 1.      Assess Identification and Authentication. The analysts study the design to determine 
1656. how well the AIS meets the I&A criterion shown in Figure 4.1 and discussed in section 
1657. 4.1.
1658.  
1659. To determine whether the system meets this requirement, the analysts complete the C1 
1660. and C2 items in Section 2.6 of the Trusted Product Evaluation Questionnaire. If any 
1661. deficiences are noted, the analysts determine whether they can be corrected; if so, the 
1662. required changes are implemented. If the AIS does not provide acceptable I&A 
1663. mechanisms, it must be deemed unacceptable, since this mechanism is of critical 
1664. importance to controlled access protection. Unless users are positively identified and 
1665. authenticated, the TCB cannot assuredly enforce the security policy. Therefore, if the 
1666. AIS lacks acceptable I&A mechanisms, the technical analysis is terminated with a 
1667. recommendation that the system not be certified or accredited (see Reference [38], D.7, 
1668. for exception conditions).
1669.  
1670. 2.      Assess Discretionary Access Control. The analysts study the design to determine how 
1671. well the AIS meets the DAC criterion shown in Figure 4.2 and discussed in section 4.2.
1672.  
1673. To ascertain whether the system meets this requirement, the analysts complete the C1 
1674. and C2 items in Section 2.5 of the Trusted Product Evaluation Questionnaire. If any 
1675. deficiencies are noted, the analysts assess the associated risks (see section 7.2) and take 
1676. appropriate action as shown in Figure 6.1.
1677.  
1678. 3.      Assess Object Reuse. The analysts study the design to determine how well the AIS 
1679. meets the Object Reuse criterion shown in Figure 4.6 and discussed in section 4.3.
1680.  
1681. To ascertain whether the system meets this requirement, the analysts complete the C2 
1682. items in Section 2.7 of the Trusted Product Evaluation Questionnaire. If any 
1683. deficiencies are noted, the analysts assess the associated risks (see section 7.2) and take 
1684. appropriate action as shown in Figure 6.1.
1685.  
1686. 4.      Assess Audit. The analysts study the design to determine how well the AIS meets the 
1687. Audit criterion shown in Figure 4.7 and discussed insection4.4.
1688.  
1689. To ascertain whether the system meets this requirement, the analysts complete the C2 
1690. items in Section 2.8 of the Trusted Product Evaluation Questionnaire.
1691.  
1692. If any deficiencies are noted, the analysts assess the associated risks (see section 7.2) 
1693. and take appropriate action as shown in Figure 6.1.
1694.  
1695. 5.      Assess System Integrity. The analysts study the design to determine how well the AIS 
1696. meets the System Integrity criterion shown in Figure 5.2 and discussed in section 5.2.
1697.  
1698. To ascertain whether the system meets this requirement, the analysts answer questions 
1699. 1 through 3 in Section 2.11 and item 7 in Section 2.13 of the Trusted Product 
1700. Evaluation Questionnaire.
1701.  
1702. If any deficiencies are noted, the analysts assess the associated risks (see section 7.2) 
1703. and take appropriate action as shown in Figure 6.1.
1704.  
1705. Step    6. Evaluate Trusted Facility Manual. The analysts evaluate the documentation provided 
1706. to instruct system administrators in how to configure and operate the AIS securely, as 
1707. required in the TFM criterion shown in Figure 5.3 and discussed in section 5.4.
1708.  
1709. To ascertain whether this requirement is met, the analysts answer the following questions.
1710.  
1711. ╖       If the system is built on an EPL product:
1712.  
1713. - Is the evaluated TFM included in the TFM for the AIS?
1714.  
1715. - Does the TFM stress the importance of configuring the system into its evaluated 
1716. configuration and provide pointers to procedures for accomplishing this?
1717.  
1718. - Does the TFM provide appropriately highlighted site-specific warnings with 
1719. respect to actions that would invalidate the NSA rating?
1720.  
1721. - Does the TFM provide site-specific procedures for collecting, reviewing, 
1722. analyzing, and storing audit information?
1723.  
1724. - Item 15 in Section 14 of the Trusted Product Evaluation Questionnaire.
1725.  
1726. ╖       If the system is not built on an EPL product or is built on an EPL product in other than 
1727. its evaluated configuration:
1728.  
1729. - Items II through 16 in Section 2.14 of the Trusted Product Evaluation 
1730. Questionnaire.
1731.  
1732. If any deficiencies are noted, the TFM is revised until it is acceptable.
1733.  
1734. Step    7. Evaluate Security Features User's Guide. The analysts evaluate the documentation 
1735. provided to guide users in using the AIS securely, as required in the SFUG criterion shown 
1736. in Figure 5.4 and discussed in section 5.5.
1737.  
1738. To ascertain whether this requirement is met, the analysts answer the following questions:
1739.  
1740. ╖       If the system is built on an EPL product:
1741.  
1742. - Is the evaluated SFUG included in the SFUG for the AIS?
1743.  
1744. - Are any additional instructions or warnings for users necessary? If so, is the SFUG 
1745. for the EPL product appropriately supplemented?
1746.  
1747. ╖       If the system is not built on an EPL product or is built on an EPL product in other than 
1748. its evaluated configuration:
1749.  
1750. - Items 2 through 10 in Section 2.14 of the Trusted Product Evaluation 
1751. Questionnaire.
1752.  
1753. If any deficiencies are noted, the documentation is revised until it is acceptable.
1754.  
1755. Step    8. Review Security Test Plan. The analysts review the plan for testing the security features 
1756. of the AIS as required in the System Testing criterion shown in Figure 5.5 and discussed in 
1757. section 5.6.
1758.  
1759. To ascertain whether this requirement is met, the analysts answer the following questions:
1760.  
1761. ╖       If the system is built on an EPL product:
1762.  
1763. - Is the vendor-provided test suite included?
1764.  
1765. - Does the test plan address assurances that the applications do not affect the TCB?
1766.  
1767. - Does the test plan ensure that the system is configured as specified in the EPL and 
1768. TFM and in site-specific requirements and operation-concept documentation?
1769.  
1770. - Does the test plan test all additional security-related functionality built on top of the 
1771. evaluated TCB?
1772.  
1773. - Items 4 through 8 in Section 2.11 of the Trusted Product Evaluation Questionnaire.
1774.  
1775. ╖       If the system is not built on an EPL product or is built on an EPL product in other than 
1776. its evaluated configuration:
1777.  
1778. - Items 4 through 8 in Section 2.11 of the Trusted Product Evaluation Questionnaire.
1779.  
1780. All identified deficiencies in the test plan must be corrected.
1781.  
1782. Step    9. Review Security Test Procedures. Once the test plan is accept-able, the analysts review 
1783. the test procedures to ensure that they are clear, appropriate, and complete. Although the 
1784. format and media may vary (e.g., on-line, hard copy), the test procedures generally should 
1785. include the following information for each test described in the test plan.
1786.  
1787. Test Name
1788.  
1789. Brief Description
1790.  
1791. Requirement Being Tested
1792.  
1793. Test Environment (equipment configuration, test programs, etc.)
1794.  
1795. Inputs
1796.  
1797. Expected Outputs
1798.  
1799. Test Script
1800.  
1801. If the procedures are not acceptable, they must be corrected before proceeding.
1802.  
1803. Step    10. Conduct Security Testing. Once the test plans and procedures are acceptable, the 
1804. analysts conduct the tests. In addition, they should implement at least five system-specific 
1805. tests in an attempt to circumvent the security mechanisms of the system be exploiting 
1806. "obvious" flaws (see section 5.6). If deficiencies are identified, the analysts identify the 
1807. risks associated with the deficiencies (see section 7.2) to assess the impact to the security 
1808. of the AIS and to determine whether the problems can and should be corrected. If so, the 
1809. required changes are made, and the tests are rerun. If no fix is possible, the analysts 
1810. determine whether the problems can be handled via procedural work-arounds. If so, the 
1811. analysts document the procedures necessary to minimize the risk, and describe any residual 
1812. risk that remains despite the work-around. If neither a fix nor a procedural work-around is 
1813. possible, the analysts document the risk.
1814.  
1815. Step    11. Summarize Findings. The analysts summarize their findings and recommendations. 
1816. The summary should include a discussion of risks identified during the assessment and 
1817. measures developed to counter or lessen those risks. If the system is built on an EPL 
1818. product, and the test results and additional assurances are acceptable, the analysts 
1819. recommend approval. If the system appears to adequately provide the required controlled 
1820. access protection mechanisms and assurances, but is not built on an EPL product or is built 
1821. on an EPL product in other than its evaluated configuration, the analysts recommend 
1822. interim acceptance and specify an effectiveness time period.
1823.  
1824. Chapter 7
1825.  
1826. RISK MANAGEMENT
1827.  
1828. Because absolute security is neither technically nor theoretically attainable in a multi-user system, 
1829. determining whether an AIS is "secure" is essentially an exercise in identifying risks and 
1830. counterbalancing those risks against protection mechanisms. So the ultimate objective of any 
1831. security program is risk management.
1832.  
1833. Risk analysis is the part of risk management used to minimize risk by effectively applying security 
1834. measures commensurate with the relative threats, vulnerabilities, and values of the resources to be 
1835. protected. The value of a resource (e.g., AIS, data, facility) considers both its role in the 
1836. organization to which it belongs and the impact that would result from its loss or unauthorized 
1837. modification. Risk analysis provides a systematic way for managers to evaluate the relative costs 
1838. and benefits of various security measures and to identify those that are necessary to reduce system 
1839. risks to an acceptable level ("acceptable" being system specific). Risk is a measure of the potential 
1840. for loss resulting from a threat and the system's vulnerability to that threat. A threat is a means by 
1841. which a person (intentionally or unintentionally) or an event (natural or fabricated) can exploit a 
1842. vulnerability to adversely affect the system. A vulnerability is a weakness that could be exploited 
1843. to cause some degradation or loss of ability to perform the designated mission [10], [31], [30], [35].
1844.  
1845. To illustrate these terms, consider the case of the Trojan horse described in section 4.2. Here, the 
1846. vulnerability is the DAC mechanism; the threat is a user who writes the malicious Trojan horse; 
1847. and the risk is the probability that protected information will be lost as a result of the malicious 
1848. program's being executed. As this example illustrates, the amount of risk is relative to the value of 
1849. the information that could be compromised. If the value of the information is minimal (say, 
1850. sensitive unclassified information), then the risk (probability of being exposed to unauthorized 
1851. users) may be acceptable, and DAC protection will be adequate (i.e., an acceptable balance of risk 
1852. versus cost is attained). However, if the value of the information is high (say, TOP SECRET), then 
1853. the risk (say, the probability of the information's being exposed to SECRET-cleared users) may 
1854. not be acceptable, and more stringent security controls (i.e., mandatory access controls) may be 
1855. necessary.
1856.  
1857. Risk analysis occurs throughout the system's life cycle to ensure that the security policy enforced 
1858. is appropriate relative to the assumed risk. During the technical analysis described in Chapter 6, 
1859. whenever a deficiency in a required security mechanism is identified, the analysts assess the risk 
1860. associated with any vulnerability produced by that deficiency. When security testing is completed, 
1861. the analysts assess risk on a global, system level. Three categories of risks are:
1862.  
1863. 1.      Risks external to the AIS.
1864.  
1865. 2.      Risks related to the threats that controlled access protection addresses but is not capable of 
1866. countering.
1867.  
1868. 3.      Risks associated with shortfalls uncovered during the technical analysis.
1869.  
1870. The first two categories concern risks that the AIS organization must consider when specifying the 
1871. security policy and requirements. The first category may be handled through the application of 
1872. other security disciplines such as physical, communications (e.g., encryption), and operations 
1873. security, or TEMPEST isolation. In specifying requirements, the AIS organization must consider 
1874. the risks that these disciplines address as well as AIS risks. Category two involves specific, known 
1875. limitations of controlled access protection; these limitations are discussed in section 7.1 below. The 
1876. third category, addressed in section 7.2, includes risks associated with vulnerabilities that 
1877. controlled access protection is intended to counter, but does not adequately do so in the AIS being 
1878. analyzed.
1879.  
1880. 7.1     PROTECTION LIMITATIONS
1881.  
1882. As pointed out in Chapter 2, controlled access protection (or a C2-rated product) is designed to 
1883. provide security features to control sharing among mutually-trusting, cooperative users; it is not 
1884. intended to provide protection sufficient to isolate separate classification levels or to counter active 
1885. attempts to subvert or penetrate the system.
1886.  
1887. During risk assessment, the AIS organization identifies the levels and criticality of information to 
1888. be stored and processed in the AIS, and characterizes the user environment. If the AIS will store 
1889. or process information from more than one classification level or special-access compartment, and 
1890. if some users will not be cleared for all levels and categories or if output needs to be accurately 
1891. labeled relative to its sensitivity, then the mechanisms and assurances provided by controlled 
1892. access protection are not sufficient. Also, if the risks associated with susceptibility to Trojan horses 
1893. are not acceptable, more protection may be needed.
1894.  
1895. A type of Trojan horse that has gained popular notoriety in recent years is the computer virus, 
1896. which behaves similarly to a Trojan horse with the additional property that it attaches itself to 
1897. executable programs. As with any other Trojan horse, DAC cannot prevent viruses from affecting 
1898. the files to which the victims have legitimate access (even though those victims may be oblivious 
1899. to the malicious actions they are triggering). However, the I&A mechanism will ensure that the 
1900. only individuals given access to the system are those who can supply an authorized user identifier 
1901. and can provide the evidence the system requires to authenticate their identity. Also, auditing of 
1902. users' actions should serve to discourage such antisocial behavior and provides a useful tool for 
1903. investigating suspicious (or malicious) behavior should it occur.
1904.  
1905. 7.2     IDENTIFIED DEFICIENCIES
1906.  
1907. The analysts can determine risks associated with deficiencies identified during the technical 
1908. analysis by considering the vulnerabilities that these deficiencies present. Some vulnerabilities 
1909. associated with each type of deficiency the analysts may encounter during the technical analysis 
1910. (see Figure 6.1) are discussed below. If the AIS is built on an EPL product, a good source of 
1911. information regarding deficiencies during the product evaluation is the Evaluators' Comments 
1912. section of the FER. This section may identify deficiencies that are important in the environment 
1913. under consideration.
1914.  
1915. 7.2.1   SYSTEM ARCHITECTURE
1916.  
1917. If the system architecture does not provide isolation and protection of the TCB, then the integrity 
1918. of the TCB may be compromised, and any security mechanisms that the AIS purports to provide 
1919. cannot be trusted to perform as claimed. In other words, if the system architecture is not sound, 
1920. anything can happen. For example, if a user's application program can overwrite TCB code, data, 
1921. or control parameters, then the AIS organization cannot rely upon the TCB's security mechanisms 
1922. to work as claimed. Therefore, an AIS with "obvious" architectural vulnerabilities cannot be 
1923. recommended for certification and should not be accredited. (See Reference [38], D.7, for 
1924. exception conditions.)
1925.  
1926. 7.2.2   IDENTIFICATION AND AUTHENTICATION
1927.  
1928. If the mechanisms for identifying and authenticating users are not sound, then the mechanisms that 
1929. depend upon I&A integrity (e.g., discretionary access control and audit mechanisms) cannot be 
1930. sound either. For example, if the audit mechanism uses erroneous user identities, then the data it 
1931. collects are essentially useless. So even if the system provides TCB isolation, no individual 
1932. accountability is possible. Therefore, an AIS with "obvious" vulnerabilities in its I&A mechanisms 
1933. cannot be recommended for certification and should not be accredited. (See Reference [38], D.7, 
1934. for exception conditions.)
1935.  
1936. 7.2.3   DISCRETIONARY ACCESS CONTROL
1937.  
1938. The DAC mechanism may be deficient for a number of reasons (e.g., not enforced to the 
1939. granularity of a single user, not enforced on all named objects controlled by the TCB), and the 
1940. attendant risks will depend upon the specific deficiency and the processing environment. For 
1941. example, if each user is confined to a restricted menu-driven environment, then the fact that DAC 
1942. is not enforced on every object may be of little consequence. However, the lack of enforcement to 
1943. the granularity of a single user may be a problem. On the other hand, if the installation's concept 
1944. of operations is based on the allocation of responsibility to groups of individuals, then a group-
1945. based DAC mechanism may be adequate.
1946.  
1947. 7.2.4   OBJECT REUSE
1948.  
1949. As with DAC, the object reuse mechanism may be deficient for a number of reasons. For example, 
1950. the TCB may clear some storage objects (e.g., memory pages, disk blocks), but may not clear all 
1951. storage objects (e.g., registers, buffers). The risk will be related to the system design, and the risk 
1952. assessment should seek to determine under what conditions users may be able to see information 
1953. left from a previous user's process (including the possible inclusion of this information in objects 
1954. that are output from the system) and the consequences should this actually happen.
1955.  
1956. 7.2.5   AUDIT
1957.  
1958. A common deficiency in the auditing mechanism is the failure of the mechanism to ensure that 
1959. audit data cannot be overwritten or otherwise lost (e.g., in the case of a system crash). Usually, the 
1960. effect of this deficiency can be countered with operational procedures (e.g., saving the audit trail 
1961. regularly and well before it is likely to be full) or by having the system halt when the storage space 
1962. reserved for the audit trail is approaching saturation (which will result in denial of service and 
1963. possible loss of some audit data). Also, AISs frequently lack good tools for audit reduction and 
1964. analysis. The risks associated with these deficiencies depend upon how reliant the system is on 
1965. auditing as a deterrent to malicious behavior and as a means of investigating possible misuse or 
1966. abuse of the AIS.
1967.  
1968. 7.2.6   SYSTEM INTEGRITY
1969.  
1970. The capability to assure that the TCB hardware has been correctly initialized and can be 
1971. periodically validated is critical. Unless a mechanism exists for gaining this assurance, the 
1972. requirement for TCB isolation cannot be met, and the vulnerability is the same as if the System 
1973. Architecture criterion had not been met. If no system-integrity mechanism is provided, a procedure 
1974. for assuring the integrity of the TCB hardware at system initialization and for validating correct 
1975. operation should be implemented.
1976.  
1977. Bibliography
1978.  
1979. [1]     A Guide to Understanding Audit in Trusted Systems, Report No. NCSC-TG-001, National 
1980. Computer Security Center, Ft. George G. Meade, MD, 1 June 1988.
1981.  
1982. [2]     A Guide to Understanding Configuration Management in Trusted Systems, Report No. 
1983. NCSC-TG-006, National Computer Security Center, Ft. George G. Meade, MD, 28 March 
1984. 1988.
1985.  
1986. [3]     A Guide to Understanding Date, Remanence in Automated Information Systems, Report 
1987. No. NCSC-TG-025, National Computer Security Center, Ft. George G. Meade, MD, June 
1988. 1991.
1989.  
1990. [4]     A Guide to Understanding Design Documentation in Trusted Systems, Report No. NCSC-
1991. TG-007, National Computer  Security Center, Ft. George G. Meade, MD, 2 October 1988.
1992.  
1993. [5]     A Guide to Understanding Discretionary Access Control in Trusted Systems, Report No. 
1994. NCSC-TG-003, National Computer Security Center, Ft. George G. Meade, MD, 30 
1995. September 1987.
1996.  
1997. [6]     A Guide to Understanding Identification arid Authentication in Trusted Systems, Report 
1998. No. NCSC-TC-017, National Computer Security Center, Ft. George G. Meade, MD, 
1999. September 1991.
2000.  
2001. [7]     A Guide to Understanding Object Reuse in Trusted Systems, Report No. NCSC TG-018, 
2002. National Computer Security Center, Ft. George G. Meade, MD, 1 July 1991.
2003.  
2004. [8]     A Guide to Writing the Security Features User's Guide for Trusted Systems, Report No. 
2005. NCSC-TG-026, National Computer Security Center, Ft. George G. Meade, MD, 
2006. September 1991.
2007.  
2008. [9]     Chokhani, S. "System Architecture Requirements in Trusted Computing Bases," MITRE 
2009. Working Paper No. 89W00262, August 1989.
2010.  
2011. [10]    Computer Security Policy, AFR 205-16, Department of the Air Force, 28 April 1989.
2012.  
2013. [11]    Computer Security Requirements: Guidance for Applying the Department of Defense 
2014. Trusted Computer System Evaluation Criteria in Specific Environments, Report No. CSC-
2015. STD-003-85, Department of Defense, June 25,1985.
2016.  
2017. [12]    Configuration Management Practices for Systems, Equipment, Munitions, and Computer 
2018. Programs, MIL-STD-483, Department of Defense, 4 June 1985.
2019.  
2020. [13]    Department of Defense Password Management Guideline, Report No. CSC-STD 002-85, 
2021. Department of Defense, 12 April 1985.
2022.  
2023. [14]    Department of Defense Trusted Computer System Evaluation Criteria, DOD 5200.28-
2024. STD, Department of Defense, December 1985.
2025.  
2026. [15]    Final Evaluation Report, SKK, Incorporated, Access Control Facility 2 (ACF2), Report 
2027. No. CSC-EPL-84/002, National Computer Security Center, Ft. George G. Meade, MD, 
2028. 1984.
2029.  
2030. [16]    Final Evaluation Report, American Telephone and Telegraph Co. (AT&T), System V/MLS, 
2031. Report No. CSC-EPL-90/003, National Computer Security Center, Ft. George G. Meade, 
2032. MD, 1990.
2033.  
2034. [17]    Final Evaluation Report, Data General Corporation, AOS/VS Revision 7.60 Running on 
2035. MV/ECLIPSE Series Processors, Report No. CSC-EPL-89/001, National Computer 
2036. Security Center, Ft. George G. Meade, MD, 1989.
2037.  
2038. [18]    Final Evaluation Report, Digital Equipment Corporation, VAX/VMS  Version 4.3, Report 
2039. No. CSC-EPL-86/004, National Computer Security Center, Ft. George G. Meade, MD, 
2040. 1986.
2041.  
2042. [19]    Final Evaluation Report, Hewlett Packard Computer Systems Division, MPE V/E, Report 
2043. No. CSC-EPL-88/010, National Computer Security Center, Ft. George G. Meade, MD, 
2044. 1988.
2045.  
2046. [20]    Final Evaluation Report, Honeywell Information Systems Multics MR11.0, Report No. 
2047. CSC-EPL-85/003, 1985.
2048.  
2049. [21]    Final Evaluation Report, International Business Machines Corporation Multiple Virtual 
2050. Storage/System Product (MVS/SP), Report No. CSC-EPL-90/002, National Computer 
2051. Security Center, Ft. George G. Meade, MD, 1990.
2052.  
2053. [22]    Final Evaluation Report of International Business Machines Corporation MVS/XA with 
2054. RACF Version 1.8, CSC-EPL-88/003, National Computer Security Center, Ft. George G. 
2055. Meade, MD, 15 June 1988.
2056.  
2057. [23]    Final Evaluation Report, International Business Machines Corporation, Resource Access 
2058. Control Facility (RACF), Report No. CSC-EPL-84/001, National Computer Security 
2059. Center, Ft. George G. Meade, MD, 23 July 1984.
2060.  
2061. [24]    Final Evaluation Report, Prime Computer Corporation, Primos revision 21.0.1DODC2A, 
2062. Report No. CSC-EPL-88/009, 1988.
2063.  
2064. [25]    Final Evaluation Report, Trusted Information Systems, Trusted XENIX, Report No. CSC-
2065. EPL-91/003, National Computer Security Center, Ft. George G. Meade, MD, 1990.
2066.  
2067. [26]    Final Evaluation Report, Unisys Corporation A Series MCP/AS, Report No. CSC-EPL-18/
2068. 003, National Computer Security Center, Ft. George G. Meade, MD, 1987.
2069.  
2070. [27]    Final Evaluation Report, Unisys OS 1100 Security Release 1, Report No. CSC EPL-89/
2071. 004, National Computer Security Center, Ft. George G. Meade, MD, 1989.
2072.  
2073. [28]    Final Evaluation Report, Wang Laboratories, Inc., SVS/OS CAP 1.0, Report No. CSC-
2074. EPL-90/004, National Computer Security Center, Ft. George G. Meade, MD, 1990.
2075.  
2076. [29]    Glossary of Computer Security Terms, NCSC-TG-004, National Computer Security 
2077. Center, Ft. George G. Meade, MD, 21 October 1988.
2078.  
2079. [30]    Guideline for Computer Security Certification and Accreditation, FIPS PUB 140, 17 
2080. September 1983.
2081.  
2082. [31]    Guidelines for Automatic Data Processing Physical Security and Risk Management, FIPS 
2083. PUB 31, June 1974.
2084.  
2085. [32]    Guidelines for Writing Trusted Facility Manuals, Report No. NCSC-TG-016, National 
2086. Computer Security Center, Ft. George G. Meade, MD, date TBD.
2087.  
2088. [33]    Information System Security Officer Guideline, Report No. NCSC-TG-0, National 
2089. Computer Security Center, Ft. George G. Meade, MD, June 1991.
2090.  
2091. [34]    Information Systems Security Products and Services Catalogue, National Security Agency, 
2092. Ft. George G. Meade, MD, published quarterly.
2093.  
2094. [35]    Management of Federal Information Resources, 12 December 1985.
2095.  
2096. [36]    National Policy on Controlled Access Protection, NTISSP No. 200,15 July 1987.
2097.  
2098. [37]    Neumann, Peter G. On the Design of Dependable Computer Systems for Critical 
2099. Applications, SRI International, Computer Science Laboratory, SRI-CSL-90-10, October 
2100. 1990.
2101.  
2102. [38]    Security Requirements for Automated Information Systems (AISs), Department of Defense 
2103. Directive 5200.28, March 21,1988.
2104.  
2105. [39]    Trusted Database Management System Interpretation of the Trusted Computer System 
2106. Evaluation Criteria, NCSC-TG-021, National Computer Security Center, Ft. George G. 
2107. Meade, MD, April 1991.
2108.  
2109. [40]    Trusted Product Evaluation Questionnaire, Report No. NCSC-TG-019, National 
2110. Computer Security Center, Ft. George G. Meade, MD, 2 May 1992.
2111.  
2112. [41]    Trusted Product Evaluations: A Guide for Vendors, Report No. NCSC-TG-002, National 
2113. Computer Security Center, Ft. George G. Meade, MD, 22 June 1990.
2114.  
2115. Chapter 8
2116.  
2117. ACRONYMS
2118.  
2119. ACL     Access Control List
2120.  
2121. AIS     Automated Information System
2122.  
2123. CCB     Configuration Control Board
2124.  
2125. CI      Configuration Item
2126.  
2127. CM      Configuration Management
2128.  
2129. CRB     Configuration Review Board
2130.  
2131. DAA     Designated Approving Authority
2132.  
2133. DAC     Discretionary Access Control
2134.  
2135. DoD     Department of Defense
2136.  
2137. EPL     Evaluated Product List
2138.  
2139. FOCI    Foreign Ownership, Control, or Influence
2140.  
2141. FFRDC   Federally Funded Research and Development Corporation
2142.  
2143. I&A     Identification and Authentication
2144.  
2145. 1/0     Input/Output
2146.  
2147. IPAR    Initial Product Assessment Report
2148.  
2149. ISSO    Information System Security Officer
2150.  
2151. MOU     Memorandum of Understanding
2152.  
2153. NCSC    National Computer Security Center
2154.  
2155. NSA     National Security Agency
2156.  
2157. NTIS    National Technical Information Service
2158.  
2159. RAMP    RAting Maintenance Phase
2160.  
2161. SFUG    Security Features User's Guide
2162.  
2163. TCB     Trusted Computing Base
2164.  
2165. TCSEC   Trusted Computer System Evaluation Criteria
2166.  
2167. TFM     Trusted Facility Manual
2168.  
2169. TPEP    Trusted Product Evaluation Program
2170.  
2171. TRB     Technical Review Board
2172.  
2173. Chapter 9
2174.  
2175. GLOSSARY
2176.  
2177. Except for "technical analysis," the following definitions are derived from a number of sources. 
2178. [10] [2] [5] [29] [38] [14]
2179.  
2180. access A specific type of interaction that results in the flow of information between a subject and 
2181. an object.
2182.  
2183. access control list A discretionary access control mechanism that implements an access control 
2184. matrix by representing the columns as lists of users attached to the protected objects.
2185.  
2186. access control matrix A two-dimensional matrix representing users on the rows and objects on 
2187. the columns. Each entry in the matrix represents the access type held by that user to that 
2188. object. Access control matrices are usually sparely populated and are represented in 
2189. memory by row or by column, eliminating storage requirements for empty entries.
2190.  
2191. accountability The property that enables activities on an AIS to be traced to individuals who may 
2192. then be held responsible for their actions.
2193.  
2194. accreditation The formal declaration by a Designated Approving Authority (DAA) that an AIS is 
2195. approved to operate in a particular security mode, using a prescribed set of safeguards. 
2196. Accreditation is the official management authorization for operation of an AIS and is based 
2197. on the certification process as well as other management considerations. The accreditation 
2198. statement affixes security responsibility with the DAA and shows that due care has been 
2199. taken for security.
2200.  
2201. assurance A measure of confidence that the security features and architecture of an AIS accurately 
2202. mediate and enforce the security policy. If the security features of an AIS are relied on to 
2203. protect classified or sensitive unclassified information and restrict user access, the features 
2204. must be tested to ensure that the security policy is enforced and may not be circumvented 
2205. during AIS operation.
2206.  
2207. automated information system (AIS) An assembly of computer hardware, software, and/or 
2208. firmware configured to collect, create, communicate, compute, disseminate, process, store, 
2209. and/or control data or information.
2210.  
2211. capability A protected identifier that both identifies the object and specifies the access rights to be 
2212. allowed to the accessor who possesses the capability. Two fundamental properties of 
2213. capabilities are that they may be passed from one accessor (subject) to another, and that the 
2214. accessor who possesses capabilities may not alter or fabricate capabilities without the 
2215. mediation of the operating system TCB.
2216.  
2217. certification The technical evaluation of an AIS's security features and other safeguards, made in 
2218. support of the accreditation process, which establishes the extent to which a particular AIS 
2219. design and implementation meet a set of specified security requirements.
2220.  
2221. configuration management The management of changes made to a system's hardware, software, 
2222. firmware, documentation, tests, test fixtures, and test documentation throughout the 
2223. development and operational life of the system.
2224.  
2225. controlled access protection The provision of security mechanisms and assurances that enforce a 
2226. finely grained discretionary access control policy, making users individually accountable 
2227. for their actions through login procedures, auditing of security-relevant events, and 
2228. resource isolation.
2229.  
2230. dedicated security mode A mode of operation wherein all users have the clearance or 
2231. authorization and need-to-know for all data handled by the AIS. If the AIS processes 
2232. special access information, all users require formal access approval. In the dedicated mode, 
2233. an AIS may handle a single classification level and/or category of information or a range 
2234. of classification levels and/or categories.
2235.  
2236. Designated Approving Authority (DAA) The official who has the authority to decide on 
2237. accepting the security safeguards prescribed for an AIS or the official who may be 
2238. responsible for issuing an accreditation statement that records the decision to accept those 
2239. safeguards. The DAA must be at an organizational level, and must have authority to 
2240. evaluate the overall mission requirements of an AIS and to provide definitive directions to 
2241. AIS developers or owners relative to the risk in the security posture of the AIS.
2242.  
2243. discretionary access control (DAC) A means of restricting access to objects based upon the 
2244. identity of subjects and/or groups to which they belong. The controls are discretionary in 
2245. the sense that a subject with a certain access permission is capable of passing that 
2246. permission (perhaps indirectly) on to any other subject (unless restrained by mandatory 
2247. access control).
2248.  
2249. domain The set of objects that a subject has the ability to access.
2250.  
2251. Evaluated Products List (EPL) A documented inventory of equipment, hardware, software, and/
2252. or firmware that have been evaluated by the National Security Agency against the 
2253. evaluation criteria found in DoD 5200.28-STD. The EPL is maintained by the NSA's 
2254. National Computer Security Center (NCSC).
2255.  
2256. identification and authentication (I&A) The combination of a process that enables recognition 
2257. of an entity by a system, generally by the use of unique machine-readable user names 
2258. (identification) and the verification of the identity of a user, device, or other entity in a 
2259. computer system, often as a prerequisite to allowing access to resources in a system 
2260. (authentication).
2261.  
2262. Information System Security Officer (ISSO) The person responsible to the DAA for ensuring 
2263. that security is provided for and implemented throughout the life cycle of an AIS from the 
2264. beginning of the concept development phase through its design, development, operation, 
2265. maintenance, and secure disposal.
2266.  
2267. mandatory access control (MAC) A means of restricting access to objects based on the 
2268. sensitivity (as represented by a label) of the information contained in the objects and the 
2269. formal authorization (i.e., clearance) of subjects to access information of such sensitivity.
2270.  
2271. multilevel security mode A mode of operation that allows two or more classification levels of 
2272. information to be processed simultaneously within the same system when not all users have 
2273. a clearance or formal access approval for all data handled by the AIS.
2274.  
2275. object A passive entity that contains or receives information. Access to an object potentially 
2276. implies access to the information it contains. Examples of objects are: records, blocks, 
2277. pages, segments, files, directories, directory trees, and programs, as well as bits, bytes, 
2278. words, fields, processors, video displays, keyboards, clocks, printers, and network nodes.
2279.  
2280. object reuse The reassignment to some subject of a medium (e.g., page frame, disk sector, 
2281. magnetic tape) that contained one or more objects. To be securely reassigned, such media 
2282. must contain no residual data from the objects they previously contained.
2283.  
2284. password (1) A protected/private character string used to authenticate an identity. (2) A 
2285. discretionary access control mechanism that represents the access control matrix by row by 
2286. attaching passwords to protected objects.
2287.  
2288. profile A discretionary access control mechanism that associates a list of protected objects with 
2289. each user.
2290.  
2291. protection bits An incomplete attempt to represent the access control matrix by column. 
2292. Implementation of protection bits include systems such as Unix, which use protection bits 
2293. associated with objects instead of a list of users who may access an object.
2294.  
2295. privileged instructions A set of instructions (e.g., interrupt handling or special computer 
2296. instructions) that control features (such as storage protection features) and that are 
2297. generally executable only when the automated system is operating in the executive state.
2298.  
2299. reference monitor concept An access control concept that refers to an abstract machine that 
2300. mediates all accesses to objects by subjects.
2301.  
2302. risk A combination of the likelihood that a threat shall occur, the likelihood that a threat occurrence 
2303. shall result in an adverse impact, and the severity of the resulting adverse impact.
2304.  
2305. risk analysis An analysis of system assets and vulnerabilities to establish an expected loss from 
2306. certain events based on estimated probabilities of occurrence.
2307.  
2308. risk management The total process of identifying, measuring, and minimizing uncertain events 
2309. affecting AIS resources. This process includes risk analysis, cost benefit analysis, 
2310. safeguard selection, security test and evaluation, safeguard implementation, and systems 
2311. review.
2312.  
2313. security policy The set of laws, rules, and practices that regulate how an organization manages, 
2314. protects, and distributes sensitive information.
2315.  
2316. storage object An object that supports both read and write accesses.
2317.  
2318. subject An active entity, generally in the form of a person, process, or device that causes 
2319. information to flow among objects or changes the system state. Technically, a process/
2320. domain pair.
2321.  
2322. system high security mode A mode of operation wherein all users having access to the AIS 
2323. possess a security clearance or authorization, but not necessarily a need-to-know, for all 
2324. data handled by the AIS. If the AIS processes special access information, all users must 
2325. have formal access approval.
2326.  
2327. system integrity The quality that a system has when it performs its intended function in an 
2328. unimpaired manner, free from deliberate or inadvertent unauthorized manipulation of the 
2329. system.
2330.  
2331. technical analysis The process of examining an AIS to ensure that it meets its functional, 
2332. assurance, and documentation requirements; within the context of this guidance, 
2333. specifically relative to controlled access protection (see "certification").
2334.  
2335. threat The means through which the ability or intent of a threat agent to adversely affect an 
2336. automated system, facility, or operation can be manifest. Threats may be categorized and 
2337. classified as: intentional or unintentional human threats; or natural or fabricated 
2338. environmental threats.
2339.  
2340. Trojan horse A computer program with an apparently or actually useful function that contains 
2341. additional (hidden) functions that surreptitiously exploit the legitimate authorizations of the 
2342. invoking process to the detriment of security; for example, making a "blind copy" of a 
2343. sensitive file for the creator of the Trojan-horse program.
2344.  
2345. Trusted Computing Base (TCB) The totality of protection mechanisms within a computer system 
2346. including hardware, firmware, and software the combination of which is responsible for 
2347. enforcing a security policy. A TCB consists of one or more components that together 
2348. enforce a unified security policy over a product or system. The ability of a TCB to correctly 
2349. enforce a security policy depends solely on the mechanisms within the TCB and on the 
2350. correct input by system administrative personnel of parameters (e.g., a user's clearance) 
2351. related to the security policy.
2352.  
2353. trusted product A product that has been evaluated and approved for inclusion on the Evaluated 
2354. Products List.
2355.  
2356. user Any person who interacts directly with a computer system.
2357.  
2358. virus A self-propagating Trojan horse, composed of a mission component, a trigger component, 
2359. and a self-propagating component.
2360.  
2361. vulnerability The characteristic of a system that causes it to suffer a definite degradation (inability 
2362. to perform the designated mission) as a result of having been subjected to a certain level of 
2363. effects in the unnatural (human-made) hostile environment. For computers, it is a weakness 
2364. in automated system security procedures, administrative controls, internal controls, etc., 
2365. that could be exploited to gain unauthorized access to information or disrupt critical 
2366. processing.
2367.  
2368. * U.S. G0VERNMENT PRINTING 0FFlCE: 1995 - 71- 592 / 82524
2369. Patrick R. Gallagher, Jr.,      May 1992
2370.  
2371. Director
2372.  
2373. National Computer Security Center
2374.  
2375.  
2376.  
2377.  
2378.  
2379.  
2380.