Национальный центр компьютерной безопасности (NCSC)

Национальный центр компьютерной безопасности (National Computer Security Center,NCSC), отделение NSA, отвечает за доверенную правительственную компьютерную программу. В настоящее время центр проводит оценку продуктов компьютерной безопасности (программных и аппаратных), финансирует исследования и публикует их резаультаты, разрабатывает технические руководства и обеспечивает общую поддержку и обучение.

NCSC издает скандально известную "Оранжевую книгу" [465]. Ее настоящее название - Department of Defense Trusted Computer System Evaluation Criteria (Критерии оценки департамента оборонных доверенных компьютерных систем), но это так трудно выговаривать, и к тому же у книги оранжевая обложка. Оранжевая книга пытается определить требования к безопасности, дает производителям компьютеров объективный способ измерить безопасность их систем и указывает им, что необходимо встраивать в безопасные продукты. Книга посвящена компьютерной безопасности, о криптографии в ней по сути говорится не очень много.

Оранжевая книга определяет четыре широких категории защиты безопасности. В ней также определяются классы защиты внутри некоторых из этих категорий. Они сведены в Табл. 23-2.

Табл. 23-2.
Классификация Оранжевой книги

D: Minimal Security (Минимальная безопасность)

C: Discretionary Protection (Защита по усмотрению)

C1: Discretionary Security Protection (Защита безопасности по усмотрению)

C2: Controlled Access Protection (Защита управляемого доступа)

B: Обязательная защита

B1: Labeled Security Protection

B2: Structured Protection (Структурная защита)

B3: Security Domains (Области безопасности)

A: Verified Protection (Достоверная защита)

A1: Verified Design (Достоверная разработка)

Иногда производители любят говорить "мы обеспечиваем безопасность C2". В виду они имеют классификацию Оранжевой книги. За более подробной информацией обращайтесь к [1365]. Модель компьютерной безопасности, используемая в этих критериях, называется моделью Bell-LaPadula [100, 101, 102, 103].

NCSC издал целую серию книг по компьютерной безопасности, иногда называемую Радугой книг (все обложки имеют различные цвета). Например, Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria[1146] (Интерпретация критериев оценки доверенных компьютерных систем в отношении доверенных сетей), иногда называемая Красной книгой, толкует положения Оранжевой книги по отношению к сетям и сетевому оборудованию. Trusted Database Management System Interpretation of the Trusted Computer System Evaluation Criteria [1147] (Интерпретация критериев оценки доверенных компьютерных систем в отношении систем управления базами данных) - я даже не пытаюсь описать цвет обложки - делает то же самое для баз данных. Сегодня существует свыше 30 таких книг, цвет обложек некоторых из них отвратителен.

За полным комплектом Радуги книг обращайтесь по адресу Director, National Security Agency, INFOSEC Awareness, Attention: C81, 9800 Savage Road, Fort George G. Meade, MD 2,0755-6000; (301 ) 766-8729. Не говорите им, что вас послал я.