軍用計算機安全評估準則GJB2646－96Militarycomputersecurityevaluationcriteria（國防科學技術(shù)工業(yè)委員會1996年6月4日發(fā)布1996年12月1日實施）一范圍1.1主題內(nèi)容本標準規(guī)定了評估計算機安全的準則，等級劃分及每個等級的安全要求。1.2適用范圍本標準適用于軍用計算機安全評估，主要面向操作系統(tǒng)，也適用于其他需要進行安全評估的計算機。二引用文件GJB2255-95軍用計算機安全術(shù)語三定義3.1術(shù)語本章未列入的術(shù)語,見GJB2255。3.1.1自主保護discretionaryprotection辨識用戶身份和他們的需求,限制用戶使用信息的訪問控制的方法。3.1.2強制訪問控制mandatoryaccesscontrol根據(jù)客體所包含信息的敏感性以及主體訪問此類敏感信息的權(quán)限,限制主體訪問客體的方法。3.1.3安全等級securitylevel為表示信息的不同敏感度,按保密程度不同對信息進行層次劃分的組合或集合。3.1.4審計audit對影響系統(tǒng)安全的各種活動進行記錄并為系統(tǒng)安全員提供安全管理依據(jù)的程序。3.1.5隔離isolation為防止其他用戶或程序的非授權(quán)訪問,把操作系統(tǒng)、用戶程序、數(shù)據(jù)文件加以彼此獨立存儲的行為。3.1.6可信計算基(TCB)trustedcomputingbase計算機系統(tǒng)內(nèi)保護裝置的總體,包括硬件、固體、軟件和負責執(zhí)行安全策略的組合體。它建立了一個基本的保護環(huán)境并提供一個可信計算系統(tǒng)所要求的附加用戶服務(wù)。3.1.7敏感標號sensitivitylabel表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息,可信計算基中把敏感標號作為強制訪問控制決策的依據(jù)。3.1.8系統(tǒng)完整性systemintegrity系統(tǒng)不能以非授權(quán)手段被破壞或修改的性質(zhì)。3.1.9描述性頂層規(guī)格說明(DTLS)descriptivetop-levelspecification用自然語言、形式化程序設(shè)計符號,或兩者結(jié)合寫在的一種最高層的設(shè)計規(guī)格說明書。3.1.10形式化頂層規(guī)格說明(FILS)formaltop-levelspecification用形式化數(shù)學語言寫成的一種高層規(guī)格說明書。使用這種規(guī)格,可以從理論上證明假定的形式化要求與系統(tǒng)規(guī)格的一致性。3.1.11最小特權(quán)原則principleofleastprivilege為完成特定任務(wù),授予主體所需要的最小訪問特權(quán)的過程、策略。3.1.12分層密級hierarchicalclassification用層次結(jié)構(gòu)的方式將主體和客體分成不同的保密等級。3.1.13粒度granularity一次訪問操作所涉及到的訪問對象的大小。四一般要求計算機系統(tǒng)安全將通過使用特定的安全特性控制對信息的訪問,只有被授權(quán)的人或為人服務(wù)的操作過程可以對信息進行訪問。在本準則中提出了以下六條要求。4.1安全策略必須有一種由系統(tǒng)實施的、明確的和定義好的安全策略。對于主體和客體,必須有一個由系統(tǒng)使用的規(guī)則集合。利用這個規(guī)則合來決定是否允許一個給定的主體對一特定客體訪問。對于處理敏感信息的計算機系統(tǒng)必須施加一種強制安全策略來有效地實現(xiàn)訪問規(guī)則。這些規(guī)則要求包括:任何人如果缺少適當?shù)陌踩S可證都不能獲得對敏感信息的訪問;同時也要求有自主的安全控制,以保證只有指定的用戶或用戶組才可以獲得對數(shù)據(jù)的訪問。4.4.2標號客體應當按敏感程度加以標號,訪問控制標號必須與客體聯(lián)系起來。為了控制對存儲在計算機內(nèi)的信息進行訪問,根據(jù)強制安全策略規(guī)則,每個客體必須有一個標號,這個標號表示客體的敏感級別并記錄哪些主體可以對特定的客體進行訪問的方式。4.3標識每個主體都必須在驗明身份(身份標識)后才能對客體進行訪問。每次對信息的訪問都應標識誰在要求訪問,他有權(quán)訪問什么信息？標識和授權(quán)信息必須由計算機系統(tǒng)在秘密情況下進行維護并與完成某些與安全有關(guān)動作的每個活動元素結(jié)合起來。4.4責任對審計信息應有選擇地保存并妥善加以保護,以便以后對影響安全的動作進行跟蹤,查清責任。一個可信系統(tǒng)應將與安全有關(guān)的事件記錄在一個審計日志中,為了降低審計費用并提高分析效率,必須具有選擇審計事件的能力。審計信息必須很好地保護,以防修改和未經(jīng)授權(quán)的毀壞。4.5保證計算機系統(tǒng)應包括能使上述各條要求實現(xiàn)所必須的硬件和軟件機制,必須有一批硬件和軟件控制,這些機制可嵌入操作系統(tǒng)內(nèi),并用秘密方法執(zhí)行指定的任務(wù)。這些機制應在文件中寫清楚并能獨立檢驗其結(jié)果,以便能獨立地考評它們是否充分。4.6連續(xù)保護對實現(xiàn)上述基本要求的可信機制必須能連續(xù)地提供保護,以對抗未授權(quán)的篡改。如果實現(xiàn)上述策略的硬件和軟件機制本身遭到未授權(quán)的修改或破壞,那么這個計算機系統(tǒng)是做不到真正安全的。連續(xù)保護要求與計算機系統(tǒng)的整個生存周期有著直接的關(guān)系。五詳細要求本準則根據(jù)上述六條要求,按處理的信息等級和采取的相應措施,將計算機系統(tǒng)的安全分為四等八級別。D為最低等級,隨著等級的提高,系統(tǒng)可信度也隨之增加,風險逐漸減少。注:在本標準中,凡是使用黑體字的部分均表示在較低等級中不包含那些要求,或表示對已定義要求的變動和增加;凡是不使用黑體字的部分均表示這些要求與較低等級的那些對應要求相同。5.1D等:最小保護本等只含一級,它是為那些已作評估,但不能滿足較高評估等級要求的系統(tǒng)而準備的。5.2C等:自主保護本等分為C1和C1兩個級別,它主要提供自主訪問控制保護,并具有對主體責任和他們的初始動作審計的能力。5.2.1C1級:自主安全保護C1級的可信計算基(TCB)通過提供用戶與數(shù)據(jù)的分離來標稱滿足無條件安全要求。它包括某種形式的可信控制,以便能在個體基礎(chǔ)上執(zhí)行訪問限制,即外表上允許用戶保護項目和保護私有數(shù)據(jù),并阻止其他用戶意外地讀取或破壞他們的數(shù)據(jù)。C1級環(huán)境是在同一敏感等級上處理數(shù)據(jù)的那些協(xié)同用戶所要求的。下述是C1級的最低要求。5.2.1.1安全策略5.2.1.1.1自主訪問控制TCB應在計算機系統(tǒng)已命名的用戶和已命名的客體(如文件和程序)之間進行定義和控制訪問。實施機制(如自身/組/公共控制,訪問控制表)應允許用戶通過已命名的單個用戶或已定義的組或兩者來規(guī)定和控制這些客體的共享。5.2.1.2責任5.2.1.2.1標識和鑒別在開始執(zhí)行TCB仲裁的任何其他動作之前,TCB要求用戶自己向TCB作出標識。因此,TCB應使用一種受保護的機制(如口令)來鑒別用戶的身份。TCB應保護鑒別數(shù)據(jù),以使它不能被任何未授權(quán)用戶訪問。5.2.1.3保證5.2.1.3.1操作保證5.2.1.3.1.1系統(tǒng)體系結(jié)構(gòu)TCB應維持它自己執(zhí)行的區(qū)域,以保護它免受外部干預或篡改(如對它代碼或數(shù)據(jù)結(jié)構(gòu)的修改)。由TCB控制的資源可以是計算機系統(tǒng)中已定義的主體和客體的子集。5.2.1.3.1.2系統(tǒng)完整性應提供硬件特性或軟件特性或同時提供兩者,用于定期地驗證TCB硬件和固件單元的運行正確性。5.2.1.3.2生存周期保證5.2.1.3.2.1安全測試應對計算機系統(tǒng)的安全機制進行測試,并按系統(tǒng)文檔的要求工作。測試應當保證:沒有明顯的讓未授權(quán)用戶旁越的途徑,或沒有其他擊敗TCB安全保護機制的方法,見附錄C(補充件)。5.2.1.4文檔5.2.1.4.1安全特性的用戶指南用戶文檔中的摘要、章節(jié)或手冊應描述由TCB提供的保護機制,有關(guān)它們使用的指南以及它們?nèi)绾蜗嗷プ饔谩?.2.1.4.2可信設(shè)施手冊向計算機系統(tǒng)管理員提供的手冊應提出有關(guān)功能和特權(quán)的警告,這種特權(quán)在一個安全設(shè)施運行時應受到控制。5.2.1.4.3測試文檔系統(tǒng)開發(fā)者應向評估者提供一個文檔,該文檔描述測試計劃,怎樣測試安全機制的測試過程,以及安全機制的功能測試結(jié)果。5.2.1.4.4設(shè)計文檔設(shè)計文檔應當具有描述制造廠家的保護宗旨以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。如果TCB是由不同的模塊組成,則應描述這些模塊之間的接口。5.2.2C2級:可控制訪問保護這一級實施一種比C1級粒度更細的自主訪問控制。可通過注冊過程、與安全相關(guān)事件的審計以及資源隔離等措施,使用戶對它們的活動分別負責。下述是C2級的最低要求。5.2.2.1安全策略5.2.2.1.1自主訪問控制TCB應在計算機系統(tǒng)已命名的用戶和已命名的客體(如文件和程序)之間進行定義和控制訪問。實施機制(如自身/組/公共控制,訪問控制表)應允許用戶通過已命名的單個用戶或已定義的單個用戶組或兩者來規(guī)定和控制這些客體的共享,同時應提供控制,以限制訪問權(quán)利的擴散。自主訪問控制機制應當按明確的用戶動作或按默認值向客體提供保護,避免無授權(quán)的訪問。這些訪問控制應既能包括或又能排除單用戶粒度的訪問。如已不具有訪問許可的用戶要得到對一個客體的訪問許可,只應當由授權(quán)用戶分配。5.2.2.1.2客體重用在向一個主體初始轉(zhuǎn)讓、分配或重分配TCB的未使用存儲器客體池之前,應廢除所有包含在存儲器客體內(nèi)的信息授權(quán)。對已釋放回系統(tǒng)的客體,有訪問權(quán)的任何主體都不能使用任何先前主體動作產(chǎn)生的信息,包括已加密表示的信息。5.2.2.2責任5.2.2.2.1標識和鑒別在開始執(zhí)行TCB仲裁的任何其他動作之前,TCB要求用戶自己向TCB作出標識。因此,TCB應使用一種受保護的機制(如口令)來鑒別用戶的身份,TCB應保護鑒別數(shù)據(jù),以使它不能被任何未授權(quán)用戶訪問。TCB應通過提供極好的保護計算機系統(tǒng)各個單個用戶的能力來實現(xiàn)其責任。TCB還應當提供把這種身份與該單個用戶發(fā)生的所有可審計動作相聯(lián)系的能力。5.2.2.2.2審計TCB應能建立、維持和保護對它所保護的客體訪問的審計跟蹤,防止修改、未授權(quán)訪問或破壞。審計數(shù)據(jù)應受TCB保護,以便對它的讀訪問被限制在對審計數(shù)據(jù)已授權(quán)的那些用戶上。TCB應能記錄下述類型的事件:標識和鑒別機制的使用;把客體引入到一個用戶的地址空間(如打開文件,起動程序);刪除客體;計算機操作員、系統(tǒng)管理員或系統(tǒng)安全員或后兩者同時所發(fā)生的動作;以及其他有關(guān)的安全事件。對每個已記錄的事件,審計記錄應標出:事件發(fā)生的日期和時間;用戶、事件的類型;事件的成功或失敗。對于標識和鑒別事件,請求源(如終端ID)也應包括在審計記錄中。對于把客體引入用戶地址空間的事件和客體刪除事件,審計記錄也應包括客體名。計算機系統(tǒng)管理員應能基于單個用戶身份有選擇地審計任一或多個用戶的活動。5.2.2.3保證5.2.2.3.1操作保證5.2.2.3.1.1系統(tǒng)體系結(jié)構(gòu)TCB應維持它自己執(zhí)行的區(qū)域,以保護它免受外部干預或篡改(如對它的代碼或數(shù)據(jù)結(jié)構(gòu)進行修改)。由TCB控制的資源可以是計算機系統(tǒng)中已定義的主體和客體的子集。TCB應隔離被保護的資源,以使它們易受訪問控制,并達到審計要求。5.2.2.3.1.2系統(tǒng)完整性應提供硬件特性或軟件特性或同時提供兩者,用于定期地驗證TCB硬件和固件單元的運行正確性。5.2.2.3.2生存周期保證5.2.2.3.2.1安全測試應對計算機系統(tǒng)的安全機制進行測試,并按系統(tǒng)文檔的要求工作,測試應當保證;沒有明顯的讓未授權(quán)用戶旁越的途徑,或沒有其他擊敗TCB安全保護機制的方法。測試還應包括搜索明顯的缺陷,這些缺陷會使資源隔離破壞或會允許對審計或鑒別數(shù)據(jù)的未授權(quán)訪問,見附錄C(補充件)。5.2.2.4文檔5.2.2.4.1安全特性的用戶指南用戶文檔中的摘要,章節(jié)或手冊應描述由TCB提供的保護機制,有關(guān)它們使用的指南以及它們?nèi)绾蜗嗷プ饔谩?.2.2.4.2可信設(shè)施手冊向計算機系統(tǒng)管理員提供的手冊應提出有關(guān)功能和特權(quán)的警告,這種特權(quán)在一個安全設(shè)施運行時應受到控制。對各類審計事件,應給出供檢查和維護審計文件以及詳細審計記錄結(jié)構(gòu)用的規(guī)程。5.2.2.4.3測試文檔系統(tǒng)開發(fā)者應向評估者提供一個文檔,該文檔描述測試計劃、如何測試安全機制的測試過程以及安全機制的功能測試結(jié)果。5.2.2.4.4設(shè)計文檔設(shè)計文檔應當具有描述制造廠家的保護宗旨以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。如果TCB是由不同的模塊組成,則應描述這些模塊之間的接口。5.3B等:強制保護本等分為B1,B2和B3三個級別,它主要要求客體必須保留敏感標號,TCB利用它去施加強制訪問控制保護。在本等級中,對于計算機系統(tǒng)中大多數(shù)數(shù)據(jù)結(jié)構(gòu)都必須帶有敏感標號;系統(tǒng)開發(fā)者要提供安全策略模型,根據(jù)此模型生成TCB。同時系統(tǒng)開發(fā)者也要提供TCB的技術(shù)規(guī)范說明并提供基準監(jiān)控器概念已被實現(xiàn)的證據(jù)。5.3.1B1級:有標號的安全保護B1級要求具有C2級的全部特征。另外,必須提出安全策略模型的非形式化說明、數(shù)據(jù)標號以及已命名主體對客體的強制訪問控制。對輸出信息必須有正確的標號能力;必須排除任何經(jīng)測試而標識的缺陷。下述是B1級的最低要求。5.3.1.1安全策略5.3.1.1.1自主訪問控制TCB應在計算機系統(tǒng)已命名的用戶和已命名的客體(如文件和程序)之間進行定義和控制訪問。實施機制(如自身/組/公共控制,訪問控制表)應允許用戶通過已命名的單個用戶或已定義的單個用戶組或兩者來規(guī)定和控制這些客體的共享,同時應提供控制,以限制訪問權(quán)利的擴散。自主訪問控制應既能包括或又能排除單用戶粒度的訪問。如已不具有訪問許可的用戶要得到對一個客體的訪問許可,只應當由授權(quán)用戶分配。5.3.1.1.2客體重用在向一個主體初始轉(zhuǎn)讓、分配或重分配TCB的未使用存儲器客體池之前,應廢除所有包含在存儲器客體內(nèi)的信息授權(quán)。對已釋放回系統(tǒng)的客體,有訪問權(quán)的任何主體都不能使用任何先前主體動作產(chǎn)生的信息,包括已加密表示的信息。5.3.1.1.3標號與每個主體及在其控制下的存儲器客體(如進程、文件、段、設(shè)備)有關(guān)的敏感標號應由TCB維護。這些標號應被用作強制訪問控制判斷的依據(jù)。為了輸入無標號的數(shù)據(jù),TCB應提出要求,并從授權(quán)用戶那里接受該數(shù)據(jù)的安全等級,而且TCB應對主體的所有這類活動都能進行審計。5.3.1.1.3.1標號完整性敏感標號應能準確地表示特定主體或客體的安全等級,主體和客體應以此發(fā)生關(guān)聯(lián)。當TCB輸出時,敏感標號應能準確地和明確地表示內(nèi)部標號,而且應與正在輸出的信息發(fā)生聯(lián)系。5.3.1.1.3.2有標號信息的輸出TCB應對每個通信信道和I/O設(shè)備標明單級或多級。這個標志的任何變化都應由人工實現(xiàn),并可由TCB審計。TCB應維持并且能夠?qū)Π踩燃壍娜魏巫兓M行審定,或?qū)εc通信信道或I/O設(shè)備有關(guān)的等級進行審計。5.3.1.1.3.2.1向多級設(shè)備的輸出當TCB將一客體輸出到一個多級I/O設(shè)備時,與該客體有關(guān)的敏感標號也應輸出。應與輸出信息相同的形式(如機器可讀或人可讀形式)駐留在同一物理媒體上。當TCB在多級通信信道上輸出或輸入一客體時,該信道使用的協(xié)議應在敏感標號和被發(fā)送或被接收的有關(guān)信息之間提供明確的配對關(guān)系。5.3.1.1.3.2.2向單級設(shè)備的輸出單級I/O設(shè)備和單級通信信道不需要維持其處理信息的敏感標號。但是TCB應包含一種機制,TCB和一個授權(quán)用戶按該機制可靠地與指定的單安全級的信息通信。這種信息經(jīng)由單級通信信道或I/O設(shè)備輸入/輸出。5.3.1.1.3.2.3人可讀標記的輸出計算機系統(tǒng)管理員應能規(guī)定與輸出敏感標號有關(guān)的可打印標號名。TCB應標記所有人可讀的、編頁的、具有人可讀的敏感標號的硬拷貝輸出(如行打印機輸出)的開始和結(jié)束,它適當?shù)?)表示輸出敏感性。TCB應按默認值標記人可讀的、編頁的、具有人可讀的敏感標號的硬拷貝輸出(如行打印機輸出)每頁的頂部和底部,它適當?shù)?)表示該輸出總的敏感性,或適當?shù)?)表示該頁信息的敏感性。TCB應該按默認值，并以一種適當方法標記具有人可讀的敏感標號的其他形式的人可讀的輸出(如圖、圖形),它適當?shù)?)表示該輸出的敏感性。這些標記默認值的任何濫用都應由TCB審計。注:1)人可讀敏感標號的分層密級應等于與該標號輸出有關(guān)的任何信息的最大分層密級;非分層等級應包括與該標號輸出有關(guān)信息的全部非分層等級,但不包括其他非分層等級。5.3.1.1.4強制訪問控制TCB應對全部主體及在其控制下的存儲器客體(如進程、文件、段、設(shè)備)實施強制訪問控制策略。這些主體和客體,應給予敏感標號,這些標號是分層密級和非分層等級的結(jié)合,而且應作為強制訪問控制判斷的依據(jù)。TCB應能支持兩種或兩種以上安全等級,見附錄B(補充件)。對于在受TCB控制的主體和客體之間的全部訪問應遵循下列要求:僅當主體安全級中的分層密級大于或等于客體安全級中的分層密級,而且主體安全級中非分層等級包括了客體安全級中全部非分層等級時,主體才能讀一個客體。僅當主體安全級中分層密級小于等于客體安全級中分層密級,而且主體安全級中非分層等級被包含在客體安全級中非分層等級時,主體才能寫一個客體。TCB應該用標識和鑒別數(shù)據(jù)來鑒別用戶的身份,并用來保證那些相對于TCB外部的可代表單個用戶建立動作的主體的安全等級和授權(quán),并且受批準和授權(quán)的那個用戶支配。5.3.1.2責任5.3.1.2.1標識和鑒別在開始執(zhí)行TCB仲裁的任何其他動作之前,TCB要求用戶自己向TCB作出標識。因此,TCB應維持鑒別數(shù)據(jù),該數(shù)據(jù)包括用于驗證單個用戶身份的信息以及用于確定批準和授權(quán)單個用戶的信息,這種數(shù)據(jù)應被TCB用來鑒別用戶身份,以及保證那些相對于TCB外部的可代表單個用戶建立動作的主體的安全等級和授權(quán),并且受批準和授權(quán)那個用戶支配.TCB應保護鑒別數(shù)據(jù),以使它不能被任何未授權(quán)用戶訪問.TCB應通過提供極好的標識計算機系統(tǒng)各個單個用戶的能力來實現(xiàn)其責任。TCB還應具有把這種身份與該單個用戶發(fā)生的所有可審計動作相聯(lián)系的能力。5.3.1.2.2審計TCB應能建立、維持和保護對它所保護的客體訪問的審計跟蹤,防止修改、未授權(quán)訪問或破壞。審計數(shù)據(jù)應受TCB保護,以便對它的讀訪問被限制在對審計數(shù)據(jù)已授權(quán)的那些用戶上。TCB應能記錄下述類型的事件:標識和鑒別機制的作用;把客體引入到一個用戶的地址空間(如打開文件,起動程序);刪除客體;計算機操作員、系統(tǒng)管理員或系統(tǒng)安全員或后兩者同時所發(fā)生的動作;以及其他有關(guān)的安全事件。TCB還應能審計人可讀標記的輸出的任何濫用。對每個記錄的事件,審計記錄應標出:事件發(fā)生的日期和時間;用戶事件的類型;事件的成功或失敗。對于標識和鑒別事件,請求源(如終端ID)應包括在審計記錄中。對于把客體引入用戶地址空間的事件和客體刪除事件,審計記錄應包括客體名和客體的安全等級。計算機系統(tǒng)管理員應能基于每個用戶身份或客體安全級或同時基于兩者有選擇地審計任一或多個用戶的活動。5.3.1.3保證5.3.1.3.1操作保證5.3.1.3.1.1系統(tǒng)體系結(jié)構(gòu)TCB應維持它自己執(zhí)行的區(qū)域,以保護它免受外部干預或篡改(如對它的代碼或數(shù)據(jù)結(jié)構(gòu)進行修改)。由TCB控制的資源可以是計算機系統(tǒng)中已定義的主體和客體的子集。TCB應在其控制下通過提供不同的地址空間來維護進程隔離。TCB應隔離被保護的資源,以使它們易受訪問控制,并達到審計要求。5.3.1.3.1.2系統(tǒng)完整性應提供硬件特性或軟件特性或同時提供兩者,用于定期地驗證TCB硬件和固件單元的運行正確性。5.3.1.3.2生存周期保證5.3.1.3.2.1安全測試應對計算機系統(tǒng)的安全機制進行測試,并按系統(tǒng)文檔的要求工作。一個充分熟悉TCB特定實現(xiàn)的小組應詳細分析和測試它的設(shè)計文檔、源代碼和目標代碼。他們的目標應是:暴露全部設(shè)計和實現(xiàn)的缺陷,這些缺陷將允許一個TCB外的主體去讀、更改或刪除通常在TCB執(zhí)行強制或自主安全策略時拒絕的數(shù)據(jù),并且保證沒有主體(尚未授權(quán))能使TCB進入一種對其它用戶發(fā)起的通信作出響應的狀態(tài)。所有已發(fā)現(xiàn)的缺陷應被糾正,或者其無效,而且TCB應重新測試,以驗證已缺陷,并證明沒有產(chǎn)生新的缺陷,見附錄C(補充件)。5.3.1.3.2.2設(shè)計規(guī)格說明和驗證應在計算機系統(tǒng)的整個生命周期內(nèi)維持由TCB支撐的安全策略的非形式化或形式化模型,并應證實與它的原理相一致。5.3.1.4文檔5.3.1.4.1安全特性的用戶指南用戶文檔中的摘要、章節(jié)或手冊應描述由TCB提供的保護機制、有關(guān)它們使用的指南以及它們?nèi)绾蜗嗷プ饔谩?.3.1.4.2可信設(shè)施手冊向計算機系統(tǒng)管理員提供的手冊應提出有關(guān)功能和特權(quán)的警告,這種特權(quán)在一個安全設(shè)施運行時應受到控制。對各類審計事件,應給出供檢查和維護審計文件以及詳細審計記錄結(jié)構(gòu)用的規(guī)程。手冊應描述操作員和管理員有關(guān)安全功能和用戶安全特征的變化。它應提供有關(guān)系統(tǒng)保護特性的一致和有效的用法。如他們怎樣互相作用,怎樣安全地生成一個新的TCB;提供設(shè)施規(guī)程、警告和需要受控的特權(quán),以便安全地操作該設(shè)施。5.3.1.4.3測試文檔系統(tǒng)開發(fā)者應向評估者提供一個文檔,該文檔描述測試計劃,如何測試安全機制的測試過程,以及安全機制的功能測試結(jié)果。5.3.1.4.4設(shè)計文檔設(shè)計文檔應當具有制造廠家的保護宗旨說明以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。如果TCB是由不同的模塊組成,則應描述這些模塊之間的接口。由TCB實施的安全策略模型的非形式化或形式化描述應是可用的,而且提供一種解釋來表示實施安全策略是足夠的。應當標識特定的TCB保護機制,而且給出一種解釋表示它們滿足該模型。5.3.2B2級:結(jié)構(gòu)化保護在B2級中,TCB是建立在對形式化安全策略模型清晰定義和提供文檔的基礎(chǔ)之上的。該模型要求執(zhí)行B1級所建立的自主和強制訪問控制,并擴展到計算機系統(tǒng)的全部主體和客體。另外,提出了隱蔽信道。TCB必須是仔細地構(gòu)成嚴格保護和非嚴格保護的單元。TCB接口應定義恰當,而且TCB設(shè)計和實現(xiàn)能使它經(jīng)受比較徹底的測試和比較安全的檢查。要加強鑒別機制,以支撐系統(tǒng)管理員和操作員功能的方式提供可信設(shè)施管理,而且要加強嚴格的配置管理控制。該系統(tǒng)有相對的抗?jié)B透能力。下述是B2級的最低要求。5.3.2.1安全策略5.3.2.1.1自主訪問控制TCB應在計算機系統(tǒng)已命名的用戶和已命名的客體(如文件和程序)之間進行定義和控制訪問。實施機制(如自身/組/公共控制,訪問控制表)應允許用戶通過已命名的單個用戶或已定義的單個用戶組或兩者來規(guī)定和控制這些客體的共享,同時應提供控制,以限制訪問權(quán)利的擴散。自主訪問控制機制應當按明確的用戶動作或按默認值向客體提供保護,避免無授權(quán)的訪問。這些訪問控制應既能包括或又能排除單用戶粒度的訪問。如已不具有訪問許可的用戶要得到對一個客體的訪問許可,只應當由授權(quán)用戶分配。5.3.2.1.2客體重用在向一個主體初始轉(zhuǎn)讓、分配或重分配TCB的未使用存儲器客體池之前,應廢除所有包含在存儲器客體內(nèi)的信息授權(quán)。對已釋放回系統(tǒng)的客體,有訪問權(quán)的任何主體都不能使用任何先前主體動作產(chǎn)生的信息,包括已加密表示的信息。5.3.2.1.3標號與每個由TCB外部主體直接或間接訪問的計算機系統(tǒng)資源(如主體、存儲器客體、ROM)有關(guān)的敏感標號應由TCB維護。這些標號應被用作強制訪問控制判斷的依據(jù)。為了輸入無標號的數(shù)據(jù),TCB應提出請求,并從授權(quán)用戶那里接受該數(shù)據(jù)的安全等級,而且TCB應對所有這類活動進行審計。5.3.2.1.3.1標號完整性敏感標號應能準確地表示特定主體或客體的安全等級,主體和客體應以此發(fā)生關(guān)聯(lián),當TCB輸出時,敏感標號應能準確地和明確地表示內(nèi)部標號,而且應與正在輸出的信息發(fā)生聯(lián)系。5.3.2.1.3.2有標號信息的輸出TCB應對每一個通信信道和I/O設(shè)備標明單級或多級。這個標志的任何變化都應由人工實現(xiàn),并可由TCB審計。TCB應維持并且能夠地安全等級的任何變化進行審計,或?qū)εc通信信道或I/O設(shè)備有關(guān)的等級進行審計。5.3.2.1.3.2.1向多級設(shè)備的輸出當TCB將一客體輸出到一個多級I/O設(shè)備時,與該客體有關(guān)的敏感標號也應輸出。應與輸出信息相同的形式(如機器可讀或人可讀形式)駐留在同一物理媒體上。當TCB在多級通信信道上輸出或輸入一客體時,該信道使用的協(xié)議應在敏感標號和被發(fā)送或被接收的有關(guān)信息之間提供明確的配對關(guān)系。5.3.2.1.3.2.2向單級設(shè)備的輸出單級I/O設(shè)備和單級通信信道不需要維持其處理信息的敏感標號。但是TCB應包含一種機制,TCB和一個授權(quán)用戶按該機制可靠地與指定的單安全級的信息通信。這種信息經(jīng)由單級通信信道或I/O設(shè)備輸入/輸出。5.3.2.1.3.2.3人可讀標記的輸出計算機系統(tǒng)管理員應能指定與輸出敏感標號有關(guān)的可打印標號名。TCB應標記所有人可讀的、編頁的、具有人可讀敏感標號的硬拷貝輸出(如行打印機輸出)的開始和結(jié)束,它適當?shù)?)表示輸出敏感性。TCB應按默認值標記人可讀的、編頁的、具有人可讀的敏感度標記的硬拷貝輸出(如行打印機輸出)每頁的頂部和底部,它適當?shù)?)表示該輸出總的敏感性,或適當?shù)?)表示該頁信息的敏感性。TCB應該按默認值,并以一種適當方法標記具有人可讀的敏感標號的其他形式的人可讀輸出(如圖、圖形),它適當?shù)?)表示該輸出的敏感性。這些標記默認值的任何濫用都應由TCB審計。注:1)人可讀敏感標號的分層密級應等于與該標號輸出有關(guān)的任何信息的最大分層密級;非分層等級應包括與該標號輸出有關(guān)信息的全部非分層等級,但不包括其他非分層等級。5.3.2.1.3.3主體敏感標號在終端用戶交互對話期內(nèi),與該用戶有關(guān)的安全等級的各種變化,TCB應立即通知該用戶。當需要顯示完整的主體敏感標號時,終端用戶應能向TCB提出詢問。5.3.2.1.3.4設(shè)備標號對各種附加物理設(shè)備,TCB應能支持最小和最大安全等級的分配。TCB應利用這些安全等級來實施由該設(shè)備安放的物理環(huán)境的強加的約速。5.3.2.1.4強制訪問控制TCB應對所有被TCB外部主體直接或間接存取的資源(如主體、存儲器客體以及I/O設(shè)備)實施強制訪問控制策略。這些主體和客體應給予敏感標號。這些標號是分層密級和非分層等級的結(jié)合,而且應作為強制訪問控制判斷的依據(jù)。TCB應能支持兩種或兩種以上安全等級,見附錄B(補充件)。對TCB外部的全部主體和由這些主體直接或間接存取的全部客體之間的所有訪問應遵循下列要求:僅當主體安全級中的分層密級大于等于客體安全級中的分層密級,而且主體安全級中非分層等級包括了客體安全級中全部非分層等級時,主體才能讀一個客體.僅當主體安全級中分層密級小于等于客體安全級中分層密級,而且主體安全級中非分層等級被包括在客體安全級中非分層等級時,主體才能寫一個客體。TCB應該用標識和鑒別數(shù)據(jù)來鑒別用戶的身份,并用來保證那些相對于TCB外部可代表單個用戶建立動作的主體的安全等級和授權(quán),并且受批準和授權(quán)的那個用戶支配。5.3.2.2責任5.3.2.2.1標識和鑒別在開始執(zhí)行TCB仲裁任何其他動作之前,TCB要求用戶自己向TCB作出標識。因此,TCB應維持鑒別數(shù)據(jù),該數(shù)據(jù)包括用于驗證單個用戶身份的信息以及用于確定批準和授權(quán)單個用戶的信息。這種數(shù)據(jù)應被TCB用來鑒別用戶身份,以及保證那些相對于TCB外部可代表單個用戶建立動作的主體的安全等級和授權(quán),并且受批準和授權(quán)的那個用戶支配。TCB應保護鑒別數(shù)據(jù),以使它不能被任何未授權(quán)用戶訪問。TCB應通過提供極好的標識計算機系統(tǒng)每個單個用戶的能力來實現(xiàn)其責任。TCB還應具有把這種身份與該單個用戶發(fā)生的所有可審計動作相聯(lián)系的能力。5.3.2.2.1.1可信路徑TCB應在它自身與初始注冊及鑒別用戶之間支持一個可信的通信路徑,經(jīng)由這種路徑的通信應由一個用戶獨占地啟動。5.3.2.2.2審計TCB應能建立、維護和保護對它所保護的客體訪問的審計跟蹤,防止修改、未授權(quán)訪問或破壞。審計數(shù)據(jù)應受TCB保護,以便對它的讀訪問被限制在對審計數(shù)據(jù)已授權(quán)的那些用戶上。TCB應能記當下述類型的事件:標識和鑒別機制的使用;把客體引入到一個用戶的地址空間(如打開文件、啟動程序);刪除客體;計算機操作員、系統(tǒng)管理員或系統(tǒng)安全員或后兩者同時所發(fā)生的動作;以及其他有關(guān)的安全事件。TCB還應能審計人可讀標記輸出的任何濫用。對每個已記錄的事件,審計記錄應標出:事件發(fā)生的日期和時間;用戶、事件的類型;事件的成功或失敗。對于標識和鑒別事件,請求源(如終端ID)應包括在審計記錄中。對于把客體引入用戶地址空間的事件和客體刪除事件,審計記錄應包括客體名和客體的安全等級。計算機系統(tǒng)管理員應能基于單個用戶身份或客體安全級或同時基于兩者有選擇地審計任一或多個用戶的活動。TCB應能審計利用隱蔽存儲信道的標識事件。5.3.2.3保證5.3.2.3.1操作保證5.3.2.3.1.1系統(tǒng)體系結(jié)構(gòu)TCB應維護它自己執(zhí)行的區(qū)域,以保護它免受外來干預或篡改(如對它代碼或數(shù)據(jù)結(jié)構(gòu)修改)。TCB應在其控制下,通過提供不同的地址空間來維護進行隔離。TCB內(nèi)部應由定義恰當?shù)?、基本上獨立的模塊構(gòu)成。它應有效地使用可獲得的硬件,把那些嚴格保護的單元與那些不嚴格保護的單元分離開來。TCB模塊應如此設(shè)計,以便它能實施最小特權(quán)原則。硬件中諸如分段的特性,應被用來支持邏輯上截然不同的存儲器客體,這些客體具有分離的屬性(如:可讀、可寫)。應完整地定義用戶與TCB的接口,并標識所有TCB的單元。5.3.2.3.1.2系統(tǒng)完整性應提供硬件特性或軟件特性或同時提供兩者,用于定期地驗證TCB硬件和固件單元的運行正確性。5.3.2.3.1.3隱蔽信道分析系統(tǒng)開發(fā)者應對隱蔽存儲信道作徹底地搜查,并且通過實際測量或通過工程估計確定每個已標識信道的最大帶寬,見附錄A(補充件)。5.3.2.1.4可信設(shè)施管理TCB應支持操作員和管理員的職能分隔。5.3.2.3.2生存周期保證5.3.2.3.2.1安全測試應對計算機系統(tǒng)的安全機制進行測試,并按系統(tǒng)文檔的要求工作。一個充分熟悉TCB特定實現(xiàn)的小組應詳細分析和測試它的設(shè)計文檔、源代碼和目標代碼。它們的目標應是:暴露全部設(shè)計和實現(xiàn)的缺陷,這些缺陷將允許一個TCB外的主體去讀、更改或刪除通常在TCB實施強制或自主安全策略時拒絕的數(shù)據(jù),并且保證沒有主體(尚未授權(quán))能使TCB進入一種對其它用戶啟動的通信作出響應的狀態(tài)。TCB應建立相對的抗?jié)B透能力。所有已發(fā)現(xiàn)的缺陷應被糾正,而且TCB應重新測試,以驗證已排除缺陷,并證明沒有產(chǎn)生新的缺陷。測試應證明TCB的實現(xiàn)與描述性頂層規(guī)格說明相一致,見附錄C(補充件)。5.3.2.3.2.2設(shè)計規(guī)格說明和驗證應在計算機系統(tǒng)的整個生命周期內(nèi)維持由TCB支撐的安全策略形式化模型、并證明與它的原理相一致。應維持TCB的描述性頂層規(guī)格說明(DTLS),以使用異常、出錯消息和影響等方面來完整地和準確地描述TCB,還應說明描述性頂層規(guī)格說明是TCB接口的準確描述。5.3.2.3.2.3配置管理在TCB開發(fā)和維護期間,應把配置管理系統(tǒng)放在適當?shù)奈恢?以維持對描述性頂層規(guī)格說明、其他設(shè)計數(shù)據(jù)、實現(xiàn)文檔、源代碼、目標代碼的運行版本以及測試夾具和文檔等方面改變的控制。配置管理系統(tǒng)應保證與當前TCB版本相關(guān)聯(lián)的所有文檔和代碼之間的一致的映射。應提供由源代碼生成新的TCB版本的工具。另外,還應獲得TCB新舊版本比較的工具,以便查明實際用作新版本的TCB的代碼只發(fā)生了所需的改動。5.3.2.4文檔5.3.2.4.1安全特性的用戶指南用戶文檔中的摘要、章節(jié)或手冊應描述由TCB提供的保護機制、有關(guān)它們使用的指南以及它們?nèi)绾蜗嗷プ饔谩?.3.2.4.2可信設(shè)施手冊向計算機系統(tǒng)管理員提供的手冊應提出有關(guān)功能和特權(quán)的警告,這種特權(quán)在一個安全設(shè)施運行時應受到控制。對各類審計事件,應給出供檢查和維護審計文件以及詳細審計記錄結(jié)構(gòu)用的規(guī)程。手冊應描述操作員和管理員有關(guān)安全功能和用戶安全特征的變化。它應提供有關(guān)系統(tǒng)保護特性的一致和有效的用法。如它們怎樣互相作用,怎樣安全地生成一個新的TCB;提供設(shè)施規(guī)程、警告和需要受控的特權(quán),以便安全地操作該設(shè)施。應標識基準確認機制的TCB模塊。TCB的任何模塊修改后,應描述由源代碼安全生成新TCB過程。5.3.2.4.3測試文檔系統(tǒng)開發(fā)者應向評估者提供一個文檔。該文檔描述測試計劃,怎樣測試安全機制的測試過程,以及安全機制的功能測試結(jié)果;它應包括用來減少隱蔽信道帶寬方法的有效性測試結(jié)果。5.3.2.4.4設(shè)計文檔設(shè)計文檔應當具有制造廠家的保護宗旨說明以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。也應描述TCB模塊之間的接口。由TCB實施的安全策略模型形式化描述應是可用的,并且證明它對于實施安全策略是足夠的。應當標識特定的TCB保護機制,而且給出一種解釋表示它們滿足該模型。描述性頂層規(guī)格說明應當表明TCB接口的準確描述。文檔應描述TCB怎樣實現(xiàn)基準監(jiān)控器概念,并解釋它為什么能防篡改,為什么不能被旁越,以及為什么它能被正確地實現(xiàn)。文檔應描述如何構(gòu)造TCB才便于測試和實施最小特權(quán)。該文檔還應給出隱蔽信道分析的結(jié)果和與限定該信道有關(guān)的折衷方案。應當標識可用來利用已知隱蔽存儲信道的所有可審計事件。由于已知隱蔽存儲信道的使用不是用審計機制可檢測的,所以應提供已知隱蔽存儲信道的帶寬,見附錄A(補充件)。5.3.3B3級:安全域B3級TCB必須滿足基準監(jiān)控器的要求,以便它能仲裁所有主體向客體的訪問。它必須是防篡改的,而且是小到足以提供分析和測試。為此,在TCB設(shè)計及實現(xiàn)期間,要用有效的系統(tǒng)工程方法,使構(gòu)造的TCB能排除與安全策略實施無關(guān)的代碼,從而使其復雜性達到最小。要支持安全管理員;要把審計機制擴展到用信號報知與安全有關(guān)的事件;并且要提供系統(tǒng)恢復過程。該系統(tǒng)有高度的抗?jié)B透能力。下述是B3級的最低要求:5.3.3.1安全策略5.3.3.1.1自主訪問控制TCB應在計算機系統(tǒng)已命名的用戶和已命名的客體(如文件和程序)之間進行定義和控制訪問。實施機制(如訪問控制表)應允許用戶通過已命名的單個用戶或已定義的單個用戶組或兩者來規(guī)定和控制這些客體的共享,同時應提供控制,以限制訪問權(quán)利的擴散。自主訪問控制機制應當按明確的用戶動作或按默認值向客體提供保護,避免無授權(quán)的訪問。對于每個已命名的客體,這些訪問控制應能規(guī)定一份已命名的單個用戶表和一份已命名的單個用戶組表,以表示它們對該客體相應的訪問方式。此外,對于每個已如此命名的客體,應能規(guī)定不能訪問該客體的已命名單個用戶表和已命名單個用戶組表。如已不擁有訪問許可的用戶要得到對一個客體的訪問許可,只應當由授權(quán)用戶分配。5.3.3.1.2客體重用在向一個主體初始轉(zhuǎn)讓、分配或重分析TCB的未使用存儲器客體池之前,應廢除所有包含在存儲器客體內(nèi)的信息授權(quán)。對已釋放回系統(tǒng)的客體,有訪問權(quán)的任何主體都不能使用任何先前主體動作產(chǎn)生的信息,包括已加密表示的信息。5.3.3.1.3標號與每個由TCB外部主體直接或間接訪問的計算機系統(tǒng)資源(如主體、存儲器客體、ROM)有關(guān)的敏感標號應由TCB維護。這些標號應被用作強制訪問控制判斷的依據(jù)。為了輸入無標號的數(shù)據(jù)。TCB應提出請求,并從授權(quán)用戶那里接受該數(shù)據(jù)的安全等級,而且TCB應對所有這類活動進行審計。5.3.3.1.3.1標號完整性敏感標號應能準確地表示特定主體或客體的安全等級,主體和客體應以此發(fā)生關(guān)聯(lián)。當TCB輸出時,敏感標號應能準確地和明確地表示內(nèi)部標號,而且應與正在輸出的信息發(fā)生聯(lián)系。5.3.3.1.3.2有標號信息的輸出TCB應對每個通信信道和I/O設(shè)備標明單級或多級。這個標志的任何變化都應由人工實現(xiàn),并可由TCB審計。TCB應維持并且能夠?qū)Π踩燃壍娜魏巫兓M行審計,或?qū)εc通信信道或I/O設(shè)備有在的等級進行審計。5.3.3.1.3.2.1向多級設(shè)備的輸出當TCB將一客體輸出到一個多級I/O設(shè)備時，與該客體有關(guān)的敏感標號也應輸出。應與輸出信息相同的形式（如機器可讀或人可讀形式）駐留在同一物理媒體上。當TCB在多級通信信道上輸出或輸入一客體時，該信道使用的協(xié)議應在敏感標號和被發(fā)送或被接收的有關(guān)信息之間提供明確的配對關(guān)系。5.3.3.1.3.2.2向單級設(shè)備的輸出單級I/O設(shè)備和單級通信信道不需要維持其處理信息的敏感標號。但是TCB應包含一種機制,TCB和一個授權(quán)用戶應按該機制可靠地與指定的單安全級的信息通信。這種信息經(jīng)由單級通信信道或I/O設(shè)備輸入/輸出。5.3.3.1.3.2.3人可讀標記的輸出計算機系統(tǒng)管理員應能指定與輸出敏感標號有關(guān)的可打印標號名。TCB應標記所有人可讀的、編頁的、具有人可讀敏感標號的硬拷貝輸出(如行打印機輸出)的開始和結(jié)束,它適當?shù)?)表示輸出敏感性。TCB應按默認值標記人可讀的、編頁的,具有人可讀的敏感標記的硬拷貝輸出(如行打印機輸出)每頁的頂部和底部,它適當?shù)?)表示該輸出總的敏感性,或適當?shù)?)表示該頁信息的敏感性。TCB應該按默認值,并以一種適當方法標記具有人可讀敏感標號的其他形式的人可讀輸出(如圖、圖形),它適當?shù)?)表示該輸出敏感性。這些默認值的任何濫用都應由TCB審計。注:1)人可讀敏感標號的分層密級應等于與該標號輸出有關(guān)的任何信息的最大分層密級;非分層等級應包括與該標號輸出有關(guān)信息的全部非分層等級,但不包括其他非分層等級。5.3.3.1.3.3主體敏感標號在終端用戶交互對話期內(nèi),與該用戶有關(guān)的安全等級的各種變化TCB應立即通知該用戶。當需要顯示完整的主體敏感標號時,終端用戶應能向TCB提出詢問。5.3.3.1.3.4設(shè)備標號對各種附加物理設(shè)備,TCB應能支持最小和最大安全等級的分配。TCB應利用這些安全等級來實施由該設(shè)備安放的物理環(huán)境所強加的約束。5.3.3.1.4強制訪問控制TCB應對所有被TCB外部主體直接或間接訪問的資源(如主體、存儲器客體以及I/O設(shè)備)實施強制訪問控制策略,這些主體和客體應給予敏感標號。這些標號是分層密級和非分層等級的結(jié)合,而且應作為強制訪問控制判斷的依據(jù)。TCB應能支持兩種或兩種以上安全等級,見附錄B(補充件)。對TCB外部的全部主體和由這些主體直接或間接存取的全部客體之間的所有訪問應遵循下列要求:僅當主體安全級中的分層密級大于等于客體安全級中的分層密級,而且主體安全級中非分層等級包括了客體安全級中全部非分層等級時,主體才能讀一個客全。僅當主體安全級中分層密級小于等于客體安全級中分層密級,而且主體安全級中非分層等級被包含在客體安全級中非分層等級時,主體才能寫一個客體。TCB應該用標識和鑒別數(shù)據(jù)來鑒別用戶的身份,并用來保證那些相對于TCB外部可代表單個用戶建立動作的主體的安全等級和授權(quán),并且受批準和授權(quán)的那個用戶支配。5.3.3.2責任5.3.3.2.1標識和鑒別在開始執(zhí)行TCB仲裁任何其他動作之前,應要求用戶自己向TCB作出標識。因此,TCB應維護鑒別數(shù)據(jù),該數(shù)據(jù)包括用于驗證單個用戶身份的信息以及為確定批準和授權(quán)單個用戶的信息。這種數(shù)據(jù)應被TCB用來鑒別用戶身份,以及保證那些相對于TCB外部的可代表單個用戶建立動作的主體的安全等級和授權(quán),并且受批準和授權(quán)那個用戶支配。TCB應保護鑒別數(shù)據(jù),以使它不能被任何未授權(quán)用戶訪問。TCB應通過提供極好的標識計算機系統(tǒng)每個單個用戶的能力來實現(xiàn)其責任。TCB還應具有把這種身份與該單個用戶所發(fā)生的所有可審計動作相聯(lián)系的能力。5.3.3.2.1.1可信路徑TCB應支持自身與諸用戶之間的可信通信路徑,以供TCB與用戶需要可靠連接(如注冊、改變主體安全等級)時使用。經(jīng)由這種可信路徑的通信安全由一個用戶或TCB獨占地激活。這種路徑邏輯上應與其他路徑隔離,并與其他路徑截然地區(qū)分開來。5.3.3.2.2審計TCB應能建立、維持和保護對它所保護的客體訪問的審計跟蹤,防止修改、未授權(quán)訪問或破壞。審計數(shù)據(jù)應受TCB保護,對便對它的讀訪問被限制在對審計數(shù)據(jù)已授權(quán)的那些用戶上。TCB應能記錄下述類型的事件:標識和鑒別機制的使用;把客體引入到一個用戶地址空間(如打開文件,啟動程序);刪除客體;計算機操作員、系統(tǒng)管理員或系統(tǒng)安全員或后兩者同時所發(fā)生的動作;以及其他有關(guān)的安全事件。TCB還應能審計人可讀標記輸出的任何濫用。對每個已記錄的事件,審計記錄應標出:事件發(fā)生的日期和時間;用戶、事件的類型;理件的成功或失敗。對于標識和鑒別事件,請求源(如終端ID)應包括在審計記錄中。對于把客體引入用戶地址空間的事件和客體刪除事件,審計記錄應包括客體名和客體的安全等級。計算機系統(tǒng)管理員應能基于單個用戶身份或客體安全級或同時基于兩者有選擇地審計任一或多個用戶的活動。TCB應能審計利用隱蔽存儲通道的標識事件。TCB應包含一種機制,它能監(jiān)控安全可審計事件的發(fā)生或累積,從而可以指出安全策略迫在眉睫的破壞。當閾值超過時,這種機制應能立即通知安全管理員,而且當這些有關(guān)安全事件的發(fā)生或積累再繼續(xù)下去時,則系統(tǒng)應采取最小破壞的操作終止該事件。5.3.3.3保證5.3.3.3.1操作保證5.3.3.3.1.1系統(tǒng)體系結(jié)構(gòu)TCB應維持它自己執(zhí)行的區(qū)域,以保護它免受外來干預或篡改(如對它代碼或數(shù)據(jù)結(jié)構(gòu)修改)。TCB應在其控制下,通過提供不同的地址空間來維護進程隔離,TCB內(nèi)部應由定義恰當?shù)?、基本上獨立的模塊構(gòu)成。它應有效地使用可獲得的硬件,把那些嚴格保護的單元與那些不嚴格保護的單元分離開來。TCB模塊應如此設(shè)計,以便它能執(zhí)行最小特權(quán)原則。硬件中諸如分段的特性,應被用來支持邏輯上截然不同的存儲器客體,這些客體具有分離的屬性(如可讀、可寫)。應完整地定義用戶與TCB的接口,并標識所有TCB的單元。TCB的設(shè)計和構(gòu)造應使用一種完整的、原理簡單的、具有精確定義語義的保護機制,這種機制在實現(xiàn)TCB和系統(tǒng)內(nèi)部結(jié)構(gòu)時將起中心的作用。TCB應把分層、抽象和數(shù)據(jù)隱蔽等方面的有效使用結(jié)合起來。有效的系統(tǒng)工程應以TCB的復雜度極小化為目標,而且應排除沒有嚴格保護的TCB模塊。5.3.3.3.1.2系統(tǒng)完整性應提供硬件特性或軟件特性或同時提供兩者,用于定期地驗證TCB硬件和固件單元的運行正確性。5.3.3.3.1.3隱蔽信道分析系統(tǒng)開發(fā)者應對隱蔽信道作徹底的搜查,并且通過實際測量或通過工程估計確定每個已標識信道的最大帶寬,見附錄A(補充件)。5.3.3.3.1.4可信設(shè)施管理TCB應支持操作員和管理員的職能分隔。應標識在安全管理員任務(wù)中所執(zhí)行的職能。只有在計算機系統(tǒng)上發(fā)生了與安全管理員任務(wù)截然不同的可審計活動后,計算機系統(tǒng)管理員才能執(zhí)行安全管理員職能。在安全管理任務(wù)中所能執(zhí)行的非安全職能應嚴格限制在那些對有效執(zhí)行完全任務(wù)必不可少的職能。5.3.3.3.1.5可信恢復在計算機系統(tǒng)故障或其它間斷后,應提供規(guī)程或機制或同時提供兩者,以保證在不危及保護情況下,使系統(tǒng)得到恢復。5.3.3.3.2生存周期保證5.3.3.3.2.1安全測試應對計算機系統(tǒng)的安全機制進行測試,并按系統(tǒng)文檔的要求工作。一個充分熟悉TCB特定實現(xiàn)的小組應詳細分析和測試它的設(shè)計文檔、源代碼和目標代碼。它們的自然應是:暴露全部設(shè)計和實現(xiàn)的缺陷,這些缺陷將允許一個TCB外的主體去讀、更改或刪除通常由TCB實施強制或自主安全策略時拒絕的數(shù)據(jù),并且保證沒有主體(尚未授權(quán))能使TCB進入一種對其它用戶啟動的通信作出響應的狀態(tài)。TCB應建立相對的抗?jié)B透能力.所有已發(fā)現(xiàn)的缺陷應被糾正,而且TCB應重新測試,以驗證TCB已排除缺陷,并證明沒有產(chǎn)生新的缺陷。測試應證明TCB的實現(xiàn)與描述性頂層規(guī)格說明相一致,見附錄C(補充件)。在測試中,沒有發(fā)現(xiàn)設(shè)計缺陷,也許發(fā)現(xiàn)少量可校正的實現(xiàn)缺陷,而應該確信這少量缺陷的存在是合理的。5.3.3.3.2.2設(shè)計規(guī)格說明和驗證應在計算機系統(tǒng)的整個生命周期內(nèi)維持由TCB支撐的安全策略的形式化模型,并證明與它的原理是一致的。應維持TCB的描述性頂層規(guī)格說明,以便用異常、出錯消息和影響等方面來完整地和準確地描述TCB,還應說明描述性頂層規(guī)格說明是TCB接口的準確描述。應給出有說服力的證據(jù),以表明描述性頂層規(guī)格說明與該模型的一致性。5.3.3.3.2.3配置管理在TCB開發(fā)和維護期間,應把配置管理系統(tǒng)放在適當?shù)奈恢?以維護對描述性頂層規(guī)格說明、其他設(shè)計數(shù)據(jù)、實現(xiàn)文檔、源代碼、目標代碼的運行版本以及測試夾具和文檔等方面改變的控制。配置管理系統(tǒng)應保證與當前TCB版本相關(guān)聯(lián)的所有文檔和代碼之間一致的映射,應提供由源代碼生成新的TCB版本的工具。另外,還應獲得TCB新舊版本比較的工具,以便查明實際用作新版本的TCB的代碼只發(fā)生了所需的改動。5.3.3.4文檔5.3.3.4.1安全特性的用戶指南用戶文檔中的摘要、章節(jié)或手冊應描述由TCB提供的保護機制,有關(guān)它們使用的指南以及它們?nèi)绾蜗嗷プ饔谩?.3.3.4.2可信設(shè)施手冊向計算機系統(tǒng)管理員提供的手冊應提出有關(guān)功能和特權(quán)的警告,這種特權(quán)在一個安全設(shè)施運行時應受到控制。對各類審計事件,應給出供檢查和維護審計文件以及詳細審計記錄結(jié)構(gòu)用的規(guī)程。手冊應描述操作員和管理員有關(guān)安全功能和用戶安全特性的變化。它應提供有關(guān)系統(tǒng)保護特性的一致和有效的用法。如它們怎樣互相作用,怎樣安全地生成一個新的TCB,提供設(shè)施規(guī)程,警告和需要受控的特權(quán),以便安全地操作該設(shè)施。應標識基準確認機制的TCB模塊,TCB的任何模塊修改后,應描述由源代碼安全生成新TCB的過程。它應包括保證系統(tǒng)以安全方式啟動的過程,還應包括那些在系統(tǒng)運行間斷后,重新開始安全運行的過程。5.3.3.4.3測試文檔系統(tǒng)開發(fā)者應向評估者提供一個文檔,該文檔描述測試計劃,怎樣測試安全機制的測試過程以及安全機制的功能測試結(jié)果。它應包括用來減少隱蔽信道帶寬方法的有效性測試結(jié)果。5.3.3.4.4設(shè)計文檔設(shè)計文檔應當具有制造廠家的保護宗旨說明以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。也應描述TCB模塊之間的接口。由TCB實施的安全策略模型形式化描述應是可用的,并且證明它對實施安全策略是足夠的。應當標識特定的TCB保護機制,而且給出一種解釋表示它們滿足該模型。應當表明描述性頂層規(guī)格說明是TCB接口的準確描述。文檔應描述TCB怎樣實施基準監(jiān)控器概念,并解釋它為什么能防篡改,為什么不能被旁越,以及為什么它能被正確地實現(xiàn)。TCB的實現(xiàn)(如硬件、固件和軟件方式)應非形式化地表明與描述性頂層規(guī)格說明相一致。應使用非形式化技術(shù)表明描述性頂層規(guī)格說明的要素與TCB單元相一致。文檔應描述如何構(gòu)造TCB才便于測試和實施最小特權(quán)。該文檔還應給出隱蔽信道分析的結(jié)果和與限定該信道有關(guān)的折衷方案。應當標識可用來利用已知隱蔽存儲信道的所有可審計事件。由于已知隱蔽存儲信道的使用不是用審計機制可檢測的,所以應提供已知隱蔽存儲信道的帶寬,見附錄A(補充件)。5.4A等:驗證保護本等級的特征是使用形式化安全驗證方法,以保證系統(tǒng)采用的強制和自主安全控制能有效地保護該系統(tǒng)存儲或處理的保密或其它敏感信息。為了證明TCB滿足設(shè)計、開發(fā)和實現(xiàn)各方面的安全要求,需要擴展文件。該等分為A1和超A1兩級。5.4.1A1級:驗證設(shè)計A1級在功能上與B3級相同,不必增加任何關(guān)于策略或結(jié)構(gòu)特性的要求。本等級的顯著特點是用形式化頂層規(guī)范說明(FTLS0和驗證技術(shù)來進行分析,以確保TCB完全正確地實現(xiàn)。實際上,由于這種保證是開始于安全策略的形式化模型和設(shè)計形式化頂層規(guī)格說明,所以它是不斷發(fā)展的。在這里,無論使用何種特殊規(guī)格語言或驗證系統(tǒng),對該級的設(shè)計驗證必須遵循以下五條原則:a.必須能對安全策略的形式化模型進行清晰地驗證和文件化,包括要求用數(shù)學方法證明模型與公理的一致性，模型對安全策略支持的有效性。b.形式化頂層規(guī)格說明必須提出包括TCB完成功能的同象定義和用于支持隔離執(zhí)行區(qū)域的硬件或固件機制或硬件和固件機制的抽象定義。c.如有驗證工具,應使用形式化技術(shù)證明TCB的形式化頂層規(guī)格說明和模型的一致性,否則可采用非形式化技術(shù)。d.必須能用非形式化技術(shù)證明TCB的工具(如:硬件、固件和軟件)與形式化頂層規(guī)格說明的一致性。還能用非形式化技術(shù)證明形式化頂層規(guī)格說明的各要素對應于TCB的各單位。形式化頂層規(guī)格說明必須能表示符合安全策略要求的統(tǒng)一的保護機制,而且TCB各單元的映射正是保護機制的要素。e.必須使用形式化分析技術(shù)去標識和分析隱蔽信道,非形式化技術(shù)可用于標識隱蔽定時信道,在系統(tǒng)中,必須對被標識的隱蔽信道的連續(xù)存在加以說明。為了配合A1級所要求的TCB擴展設(shè)計和開發(fā)分析,需要更嚴格的配置管理,并建立把該級安全地分配到現(xiàn)場的過程。要支持系統(tǒng)安全管理員。下述是A1級的最低要求5.4.1.1安全策略5.4.1.1.1自主訪問控制TCB應在計算機系統(tǒng)已命名的用戶和已命名的客體(如事件和程序)之間進行定義和控制訪問。實施機制(如訪問控制表)應允許用戶通過已命名的單個用戶或已定義的單個用戶組或兩者來規(guī)定和控制這些客體的共享,同時應提供控制,以限制訪問權(quán)利的擴散。自主訪問控制機制應當按明確的用戶動作或按默認值向客體提供保護,避免無授權(quán)的訪問。對于每個命名的客體,這些訪問控制應能指定一份已命名的單個用戶表和一份已命名的單個用戶組表,以表示它們對該客體相應的訪問方式。此外,對于每個已如此命名的客體,應能規(guī)定不能訪問該客體的已命名單個用戶表和已命名單個用戶組表。如已不擁有訪問許可的用戶要得到對一個客體的訪問許可,只應當由授權(quán)用戶分配。5.4.1.1.2客體重用在向一個主體初次轉(zhuǎn)讓、分配或重分配TCB的未使用存儲器客體池之前,應廢除所有包含在存儲器客體內(nèi)的信息授權(quán)。對已釋放回系統(tǒng)的客體,有訪問權(quán)的任何主體都不能使用任何先前主體動作產(chǎn)生的信息,包括已加密表示的信息。5.4.1.1.3標號與每個由TCB外部主體直接或間接訪問的計算機系統(tǒng)資源(如主體,存儲器客體、ROM)有關(guān)的敏感標號應由TCB維護。這些標號應被用作強制訪問控制判斷的依據(jù)。為了輸入無標號的數(shù)據(jù),TCB應提出請求,并從授權(quán)用戶那里接受該數(shù)據(jù)的安全等級,而且TCB應對所有這類活動進行審計。5.4.1.1.3.1標號完整性敏感標號應能準確地表示特定主體或客體的安全等級,主體和客體應以此發(fā)生關(guān)聯(lián)。當TCB輸出時,敏感標號應能準確地和明確地表示內(nèi)部標號,而且與正在輸出的信息發(fā)生聯(lián)系。5.4.1.1.3.2有標號信息的輸出TCB應對每個通信信道和I/O設(shè)備標明單級或多級。這個標志的任何變化都應由人工實現(xiàn),并可由TCB審計。TCB應維持并且能夠?qū)Π踩燃壍娜魏巫兓M行審計,或?qū)εc通信信道或I/O設(shè)備有關(guān)的等級進行審計。5.4.1.1.3.2.1向多級設(shè)備的輸出當TCB將一客體輸出到一個多級I/O設(shè)備時,與該客體有關(guān)的敏感標號也應輸出。應與輸出信息相同的形式(如機器可讀或人可讀形式)駐留在同一物理媒體上。當TCB在多級通信信道上輸出或輸入一客體時,該信道使用的協(xié)議應在敏感標號和被發(fā)送或被接收的有關(guān)信息之間提供明確的配對關(guān)系。5.4.1.1.3.2.2向單級設(shè)備的輸出單級I/O設(shè)備和單級通信信道不需要維持其處理信息的敏感標號。但是TCB應包含一種機制,TCB和一個授權(quán)用戶應按該機制可靠地與指定的單安全級的信息通信。這種信息經(jīng)由單級通信信道I/O設(shè)備輸入/輸出。5.4.1.1.3.2.3人可讀標記的輸出計算機系統(tǒng)管理員應能指定與輸出敏感標號有關(guān)的可打印標號名。TCB應標記的有人可讀的、編頁的、具有人可讀的敏感標號的硬拷貝輸出(如行打印機輸出)的開始和結(jié)束,它適當?shù)?)表示輸出敏感性。TCB應按默認值標記人可讀的、編頁的、具有人可讀的敏感標記的硬拷貝輸出(如行打印機輸出)每頁的頂部和底部,它適當?shù)?)表示該輸出總的敏感性。或適當?shù)?)表示該頁信息的敏感性。TCB應該按默認值,并以一個適當方法標記具有人可讀的敏感標號的其他形式的人可讀的輸出(如圖、圖形),它適當?shù)?)表示該輸出敏感性。這些標記默認值的任何濫有都應由TCB審計。注:1)人可讀的敏感標號的分層密級應等于與該標號輸出有關(guān)的任何信息的最大分層密級,非分層等級應包括與該標號輸出有關(guān)信息的全部非分層等級,但不包括其他非分層等級。5.4.1.1.3.3主體敏感標號在終端用戶交互對話期內(nèi),與該用戶有關(guān)的安全等級的各種變化TCB應立即通知該用戶。當需要顯示完整的主體敏感標號時,終端用戶應能向TCB提出詢問。5.4.1.1.3.4設(shè)備標號對各種附加物理設(shè)備,TCB應能支持最小和最大安全等級的分配。TCB應利用這些安全等級來執(zhí)行由該設(shè)備安放的物理環(huán)境所強加的約束。5.4.1.1.4強制訪問控制TCB應對所有被TCB外部主體直接或間接訪問的資源(如主體、存儲器客體以及I/O設(shè)備)實施強制訪問控制策略,這些主體和客體應給予敏感標號。這些標號是分層密級和非分層等級的結(jié)合,而且應作為強制訪問控制判斷的依據(jù)。TCB應能支持兩種或兩種以上安全等級,見附錄B(補充件)。對TCB外部的全部主體和由這些主體直接或間接訪問的全部客體之間的所有存取應遵循下列要求:僅當主體安全級中的分層密級大于等于客體安全級中的分層密級,而且主體安全級中非分層等級包括了客體安全級中全部非分層等級時,主體才能讀一個客體。僅當主體安全級中分層密級小于等于客體安全級中分層密級,而且主體安全級中非分層等級被包含在客體安全級中非分層等級時,主體才能寫一個名稱。TCB應該用標識和鑒別數(shù)據(jù)來鑒別用戶的身份,并用來保證那些相對于TCB外部可代表單個用戶建立動作的主體的安全等級和授權(quán),并且受批準和授權(quán)的那個用戶支配。5.4.1.2責任5.4.1.2.1標識和鑒別在開始執(zhí)行TCB仲裁的任何其他動作之前,應要求用戶自己向TCB作出標識。因此,TCB應維持鑒別數(shù)據(jù),該數(shù)據(jù)包括用于檢驗單個用戶身份的信息和為確定批準和授權(quán)單個用戶的信息。這種數(shù)據(jù)應被TCB用來鑒別用戶身份,以及保證那些相對于TCB外部可代表單個用戶建立動作的主體的安全等級和授權(quán),并且受批準和授權(quán)那個用戶支配。TCB應保護鑒別數(shù)據(jù),以使它不能被任何未授權(quán)用戶訪問。TCB應通過提供極好的標識計算機系統(tǒng)每個單個用戶的能力來實現(xiàn)其責任。TCB還應具有把這種身份與該單個用戶發(fā)生的所有可審計動用相聯(lián)系的能力。5.4.1.2.1.1可信路徑TCB應支持自身與諸用戶之間的可信通信路徑,以供TCB與用戶需要可靠連接(如注冊、改變主體安全等級)時使用,經(jīng)由這種可信路徑的通信安全由一個用戶或TCB獨占地激活。這種路徑邏輯上應與其他路徑隔離,并與其他路徑截然區(qū)分開來。5.4.1.2.2審計TCB應能建立、維持和保護對它所保護的客體訪問的審計跟蹤,防止修改、未授權(quán)訪問或破壞。審計數(shù)據(jù)應受TCB保護,以便對它的讀訪問被限制在對審計數(shù)據(jù)已授權(quán)的那些用戶上。TCB應能記錄下述類型的事件:標識和鑒別機制的使用;把客體引入到一個用戶地址空間(如打開文件、啟動程序);刪除客體;計算機操作員、系統(tǒng)管理員或系統(tǒng)安全員或后兩者同時所發(fā)生的動作;以及其他有關(guān)的安全事件,TCB還應能審計人可讀標記輸出的任何濫用。對每個已記錄的事件,審計記錄應標出;事件發(fā)生的日期和時間;用戶、事件的類型;事件的成功或失敗。對于標識和鑒別事件。請求源(如終端ID)應包括在審計記錄中。對于把客體引入用戶地址空間的事件和客體刪除事件,審計記錄應包括客體名和客體的安全等級。計算機系統(tǒng)管理員應能基于單個用戶身份或客體安全級或同時基于兩者有選擇地審計任一或多個用戶的活動。TCB應能審計利用隱蔽存儲通道的標識事件。TCB應包含一種機制,它能監(jiān)控安全可審計事件的發(fā)生或累積,從而可以指出安全策略迫在眉睫的破壞。當閾值超過時,這種機制應能立即通知安全管理員,而且當這些有關(guān)安全事件的發(fā)生或積累再繼續(xù)下去時,則系統(tǒng)應采以最小破壞的操作來終止該事件。5.4.1.3保證5.4.1.3.1操作保證5.4.1.3.1.1系統(tǒng)體系結(jié)構(gòu)TCB應維持它自己執(zhí)行的區(qū)域,以保護它免受外來干預或篡改(如對它代碼或數(shù)據(jù)結(jié)構(gòu)修改)。TCB應在其控制下,通過提供不同的地址空間來維護進程隔離。TCB內(nèi)部應由定義恰當?shù)?、基本上獨立的模塊構(gòu)成。它應有效地使用可獲得的硬件,把那些嚴格保護的單元與那些不嚴格保護的單元分離開來。TCB模塊應如此設(shè)計,以便它能執(zhí)行最小特權(quán)原則。硬件中諸如分段的特性,應被用來支持邏輯上截然不同的存儲器客體,這些客體具有分離的屬性(如可讀、可寫)。應完整地定義用戶與TCB的接口,并標識所有TCB的單元,TCB的設(shè)計和結(jié)構(gòu)應使用一種完整的、原理簡單的、具有精確定義語義的保護機制,這種機制在實現(xiàn)TCB和系統(tǒng)內(nèi)部結(jié)構(gòu)時將起中心的作用。TCB應把分層、抽象和數(shù)據(jù)隱蔽等方面的有效使用結(jié)合起來,有效的系統(tǒng)工程應以TCB的復雜度極小化為目標,而且應排除沒有嚴格保護的TCB模塊。5.4.1.3.1.2系統(tǒng)完整性應提供硬件特性或軟件特性或同時提供兩者,用于定期地驗證TCB硬件和固件單元的運行正確性。5.4.1.3.1.3隱蔽信道分析系統(tǒng)開發(fā)者都應對隱蔽信道作徹底的搜查,并且通過實際測量或通過工程估計確定每個已標識信道的最大帶寬,見附錄A(補充件)。應當將形式化方法用于分析。5.4.1.3.1.4可信設(shè)施管理TCB應支持操作員和管理員的職能分隔。應標識在安全管理員任務(wù)中所執(zhí)行的職能,只有在計算機系統(tǒng)上發(fā)生了與安全管理員任務(wù)截然不同的可審計活動后,計算機系統(tǒng)管理員才能執(zhí)行安全管理員職能。在安全管理任務(wù)中所能執(zhí)行的非安全職能應嚴格限制在那些對有效執(zhí)行安全任務(wù)必不可少的職能。5.4.1.3.1.5可信恢復在計算機系統(tǒng)故障或其它間斷后,應提供規(guī)程或機制或同時提供兩者,以保證在不危及保護情況下,使系統(tǒng)獲得恢復。5.4.1.3.2生存周期保證5.4.1.3.2.1安全測試應對計算機系統(tǒng)的安全機制進行測試,并按系統(tǒng)文檔的要求工作。一個充分熟悉TCB特定實現(xiàn)的小組應詳細分析和測試它的設(shè)計文檔、源代碼和目標代碼。它們的目標應是:暴露全部設(shè)計和實現(xiàn)的缺陷。這些缺陷將允許一個TCB外的主體去讀,更改或刪除通常由TCB實施強制或自主安全策略時拒絕的數(shù)據(jù),并且保證沒有主體(尚未授權(quán))能使TCB進入一種對其它用戶啟動的通信作出響應的狀態(tài)。TCB應建立相對的抗?jié)B透能力。所有已發(fā)現(xiàn)的缺陷應被糾正,而且TCB應重新測試,以驗證已排除缺陷,并證明沒有產(chǎn)生新的缺陷。測試應證明TCB的實現(xiàn)與形式化頂層規(guī)格說明相一致,見附錄C(補充件)。在測試中,沒有發(fā)現(xiàn)設(shè)計缺陷,也許發(fā)現(xiàn)少量可校正的實現(xiàn)缺陷,而應該確信這少量缺陷的存在是合理的。形式化頂層規(guī)格說明到源代碼的人工的或其他的映射,可形成滲透測試的依據(jù)。5.4.1.3.2.2設(shè)計規(guī)格說明和驗證應在計算機系統(tǒng)的整個生存周期內(nèi)維持由TCB支撐的安全策略的形式化模型,并證明與它的原理是一致的。應維持TCB的描述性頂層規(guī)格說明,以便用異常、出錯信息和影響等方面來完整地和準確地描述TCB。還應維持TCB的形式化頂層規(guī)格說明,以便用異常、出錯信息和影響等方面來準確地描述TCB。要是描述性頂層規(guī)格說明和形式化頂層規(guī)格說明的特性在TCB接口上是可見的,則它們應包括TCB按硬件或固件或硬件和固件實現(xiàn)的那些組成部分。應說明形式化頂層規(guī)格說明是TCB接口的準確描述。應給出有說服力的證據(jù),以表明描述性頂層規(guī)格說明與該模型的一致性,而且應把形式化和非形式化技術(shù)結(jié)合起來使用,以表明形式化頂層規(guī)格說明與該模型的一致性。這種驗證證據(jù)應與形式化規(guī)格說明和已用的驗證系統(tǒng)所提供的證據(jù)相一致,形式化規(guī)格說明及驗證系統(tǒng)是經(jīng)國家相應機構(gòu)在現(xiàn)代技術(shù)范圍內(nèi)認可的,應執(zhí)行形式化頂層規(guī)格說明到TCB源代碼的人工的或其他的映射,以提供正確實現(xiàn)的證據(jù)。5.4.1.3.2.3配置管理在整個生存周期中,即在TCB設(shè)計、開發(fā)和維護期間,應把配置管理系統(tǒng)放在適當?shù)奈恢?供所有與安全相關(guān)的硬件、固件和軟件來維護對下列各項改變的控制:形式化模型,描述性或形式化的頂層規(guī)格說明,其它設(shè)計數(shù)據(jù)、實現(xiàn)文檔、源代碼、目標代碼的運行版本以及測試夾具和文檔等。配置管理系統(tǒng)應保證與當前TCB版本相關(guān)聯(lián)的所有文檔和代碼之間的一致映射。應提供由源代碼生成新的TCB版本的工具。另外,還應在嚴格的配置控制下,獲得TCB新舊版本比較的工具,以便查明實際用作新版本的TCB的代碼只發(fā)生了所需的改動。應把技術(shù)上、物理上和過程化的安全措施結(jié)合起來,用于保護所有用來生成TCB的主資料拷貝或所有資料的拷貝免遭非授權(quán)修改或破壞。5.4.1.3.2.4可信分配應提供可信的計算機系統(tǒng)控制和分配設(shè)備,用來維護描述當前TCB版本的主數(shù)據(jù)和適合當前版本的現(xiàn)場的主拷貝代碼之間映射的完整性。還應有一些過程(如現(xiàn)場安全驗收測試)以保證分配給客戶的TCB軟件,固件和硬件的更新完全是由主拷貝限定的。5.4.1.4文檔5.4.1.4.1安全特性的用戶指南用戶文檔中的摘要,章節(jié)或手冊應描述由TCB提供的保護機制,有關(guān)它們使用的指南以及它們?nèi)绾蜗嗷プ饔谩?.4.1.4.2可信設(shè)施手冊向計算機系統(tǒng)管理員提供的手冊應提出有關(guān)功能和特權(quán)的警告,這種特權(quán)在一個安全設(shè)施運行時應受到控制。對各類審計事件,應給出供檢查和維護審計文件以及詳細審計記錄結(jié)構(gòu)用的規(guī)程。手冊應描述操作員和管理員有關(guān)安全功能和用戶安全特性的變化,它應提供有關(guān)系統(tǒng)保護特性的一致和有效的用法。如它們怎樣互相作用,怎樣安全地生成一個新的TCB,提供設(shè)施規(guī)程、警告和需要受控的特權(quán),以便安全地操作該設(shè)施。應標識基準確認機制的TCB模塊。TCB的任何模塊修改后,應描述由源代碼安全生成新TCB的過程,它應包括保證系統(tǒng)以安全方式啟動的過程,還應包括那些在系統(tǒng)運行間斷后,重新開始安全運行的過程。5.4.1.4.3測試文檔系統(tǒng)開發(fā)者應向評估者提供一個文檔,該文檔描述測試計劃,怎樣測試安全機制的測試過程,以及安全機制的功能測試結(jié)果。它應包括用來減少隱蔽信道帶寬方法的有效性測試結(jié)果。還應給出形式化頂層規(guī)格說明與TCB源代碼之間映射的結(jié)果。5.4.1.4.4設(shè)計文檔設(shè)計文檔應當具有描述說明制造廠家的保護宗旨以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。也應描述TCB模塊之間的接口。由TCB實施的安全策略模型形式化描述應是可用的,且證明它對實施安全策略是足夠的。應當標識特定的TCB保護機制,而且給出一種解釋表示它們滿足該模型。應當表明描述性頂層規(guī)格說明是TCB接口的準確描述。文檔應描述TCB怎樣實現(xiàn)基準監(jiān)控器概念,并解釋它為什么能防篡改、為什么不能被旁越、以及為什么它能被正確地實現(xiàn)。TCB的實現(xiàn)(如硬件、固件和軟件方式)應非形式化地表明與形式化頂層規(guī)格說明相一致。應使用非形式化技術(shù)表明形式化頂層規(guī)范說明的要素與TCB的單元