TCSEC (Trusted Computer System Evaluation Criteria; im Allgemeinen als Orange Book bezeichnet) war ein von der US-Regierung herausgegebener Standard für die Bewertung und Zertifizierung der Sicherheit von Computersystemen.
1983 veröffentlichte das Department of Defense (DoD) Computer Security Center (CSC) ihre ersten Bewertungskriterien (englisch: evaluation criteria). Das Werk trug den Namen Department of Defense Trusted Computer System Evaluation Criteria. Zwei Jahre später wurde das Buch nach einigen kleinen Änderungen zum DoD-Standard TCSEC (DoD 5200.28-STD). TCSEC wurde vor allem in den USA verwendet, in Kanada war seit 1989 CTCPEC verbreitet. In Westdeutschland, Frankreich und Großbritannien entwickelte man um 1989 zunächst eigene Kriterien, zum Beispiel die ITSK. 1990 führten Deutschland, Frankreich, die Niederlande und Großbritannien einen gemeinsamen Standard ein, die Information Technology Security Evaluation Criteria (ITSEC). Alle diese Standards sind 1996 in einem neuen, internationalen Standard aufgegangen, den Common Criteria.[1]
TCSEC kategorisiert die Sicherheit von Computersystemen in ein hierarchisches System mit vier Hauptstufen: in A, B, C und D.
Die meisten Unix-Systeme erfüllen C1, lassen sich aber ohne viel Aufwand so konfigurieren, dass auch C2 erfüllt wird.
TCSEC | Bedeutung | ITSK | ||
---|---|---|---|---|
D | unsicheres System | ungeeignet | ||
C | einfacher Schutz mit Benutzerlogin. | |||
C1 | Login nötig Discretionary Access Control, dies kann auch ein Gruppenaccount sein. Es wird von kooperativen Benutzern ausgegangen. Beispielsweise das HRU-Modell (Access Control Matrix). | mittelstark | ||
C2 | benötigt einen individuellen Login mit Passwort und Authentifizierungsmechanismus. Daten verschiedener Benutzer sind voneinander getrennt, sicherheitsrelevante Vorgänge werden protokolliert. (Controlled Access Protection) | F2 | ||
B | Zugriffsrechte nach Schutzstufe, Sicherheitsmodell | |||
B1 | informelles Sicherheitsmodell, Daten (vor allem exportierte) in Schutzstufen (labeled security protection) sowie Mandatory Access Control. Beispielsweise Bell-LaPadula. | F3 | stark | |
B2 | formales Modell (Security Policy) des Sicherheitssystems, wohldefinierte Schnittstelle (structured protection) sowie eine Covert-Channels-Analyse | F4 | ||
B3 | fordert zusätzlich Referenzmonitor-Eigenschaft und Übersichtlichkeit des Systems, sowie sichere Mechanismen der Protokollierung und für das Rollback von Schäden. (security domains) | F5 | sehr stark | |
A | wie B3, das Gesamtsystem muss aber formal verifizierbar, also mathematisch beweisbar sein. |