Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

"Vertrauenswürdigkeit" von Netzen und DB-Systemen:


08.01.1988 - 

Pentagon setzt neue Standards

WASHINGTON (CW) - Die Kriterien für die Sicherheit von Rechensystemen, wie sie das "Orange Book" des US-Verteidigungsministeriums enthält, werden zur Zeit, wie aus Washington verlautet, im Hinblick auf Datenbanksysteme erweitert. Grundlage sind die "Trusted Computersystem Evaluation Criteria (TCSEC)", mit denen bisher primär Betriebssysteme und Zugriffskontrollsoftware getestet wurden. Für "vertrauenswürdige Rechnernetze" wurde kürzlich ebenfalls eine Richtlinie herausgegeben.

Im Dezember 1985 hat das National Computer Security Center des amerikanischen Verteidigungsministeriums die überarbeitete Fassung der im Jahr 1983 erstmals veröffentlichten "Department of Defense Trusted Computer System Evaluation Criteria" erlassen. Diese Kriterien sind auch als "Orange Book" bekanntgeworden. Seit ihrer ersten Veröffentlichung orientieren sich die wesentlichen Aktivitäten zur Verbesserung der DV-Sicherheit in den USA an diesen Bewertungskriterien, und es sind bisher zehn Produkte nach diesen Kriterien überprüft und in eine der dort vorgesehenen Klassen eingestuft worden.

Mit Hilfe der "Trusted Computer System Evaluation Criteria (TCSEC)" wurden bisher primär Betriebssysteme und Zugriffskontrollsoftware überprüft. Im Juli 1987 wurde nun nach einer Vorbereitungszeit von mehr als zwei Jahren die erste Fassung einer Richtlinie herausgegeben, die die Anwendung der TCSEC auf die Bewertung von Rechnernetzen beschreibt (Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria, TNI), eine vergleichbare Richtlinie für die Bewertung von Datenbanksystemen wird gegenwärtig erarbeitet.

Mit der TNI sollen folgende Ziele erreicht werden:

- Den Herstellern soll ein Standard zur Verfügung gestellt werden, der vorschreibt, welche Sicherheitsfunktionen ihre kommerziellen Netzwerkprodukte enthalten sollen und mit welcher Qualität diese Funktionen realisiert werden müssen.

- Es soll ein Maßstab zur Verfügung gestellt werden, mit dessen Hilfe der Grad des Vertrauens ermittelt werden kann, der in ein Rechnernetz bezüglich der Behandlung sensitiver Informationen gesetzt werden kann.

- Den Anwendern soll eine Grundlage zur Formulierung von Sicherheitsforderungen in Pflichtenheften an Hand gegeben werden.

Mit Hilfe der neuen Richtlinen wird eine objektive Beurteilung der Vertrauenswürdigkeit von Rechnernetzen möglich. Als "vertrauenswürdig" werden solche Rechnernetze beziehungsweise die dazugehörigen Komponenten bezeichnet, die über ausreichende Schutzmechanismen verfügen, um gleichzeitig Informationen unterschiedlicher Sensitivität zu übertragen, ohne daß die Gefahr besteht, daß diese Informationen Unbefugten zur Kenntnis gelangen beziehungsweise durch Unbefugte geändert werden können.

Für die Bewertung eines Rechnernetzes sehen die TIN zwei unterschiedliche Ansätze vor. Zunächst kann ein Rechnernetz, bestehend aus Verarbeitungs- und Übertragungskomponenten, unter bestimmten Voraussetzungen als ein Gesamtsystem aufgefaßt und als solches bewertet werden. Ist dieser Ansatz aufgrund des Aufbaus des Rechnernetzes nicht möglich, so können die einzelnen Komponenten des Netzes bewertet werden, und die Vertrauenswürdigkeit des Netzes kann aus der Vertrauenswürdigkeit der einzelnen Komponenten ermittelt werden.

Grundsätzlich wurden die aus dem "Orange Book" bekannten Bewertungskriterien für die dort festgelegten Bewertungsklassen (D, C1, C2, B1, B2, B3 und A1) übernommen. Dazu kommen jedoch zusätzliche Kriterien, die aus den besonderen Eigenschaften von Rechnernetzen resultieren.

Die "Trusted Network Interpretation" soll mindestens bis zum Juli 1988 durch das National Computer Security Center bei der praktischen Bewertung von Rechnernetzen eingesetzt werden.