2023年軍用計(jì)算機(jī)安全評(píng)估準(zhǔn)則

軍用計(jì)算機(jī)安全評(píng)估準(zhǔn)則

GJB2646-96

Militarycomputersecurityevaluationcriteria

（國防科學(xué)技術(shù)工業(yè)委員會(huì)1996年6月4E發(fā)布1996年12月1口實(shí)施）

一范圍

1.1主題內(nèi)容

本標(biāo)準(zhǔn)規(guī)定了評(píng)估計(jì)算機(jī)安全的準(zhǔn)則，等級(jí)劃分及每個(gè)等級(jí)的安全要求。

1.2適用范圍

本標(biāo)準(zhǔn)適用于軍用計(jì)算機(jī)安全評(píng)估，主要面向操作系統(tǒng)，也適用于其他需要進(jìn)行安全評(píng)

估的計(jì)算機(jī)。

二引用文件

GJB2255-95軍用計(jì)算機(jī)安全術(shù)語

三定義

3.1術(shù)語

本章未列入的術(shù)語，見GJK2255。

3.1.1自主保護(hù)discretionaryprotection

辨識(shí)用戶身份和他們的需求，限制用戶使用信息的訪問控制的方法。

3.1.2強(qiáng)制訪問控制mandatoryaccesscontrol

根據(jù)客體所包含信息的敏感性以及主體訪問此類敏感信息的權(quán)限,限制主體訪問客體的

方法。

3.1.3安全等級(jí)securitylevel

為表示信息的不同敏感度，按保密程度不同對(duì)信息進(jìn)行層次劃分的組合或集合。

3.1.4審計(jì)audit

對(duì)影響系統(tǒng)安全的各種活動(dòng)進(jìn)行記錄并為系統(tǒng)安全員提供安全管理依據(jù)的程序。

3.1.5隔離isolation

為防止其他用戶或程序的非授權(quán)訪問，把操作系統(tǒng)、用戶程序、數(shù)據(jù)文件加以彼此獨(dú)立

存儲(chǔ)的行為。

3.1.6可信計(jì)算基(TCB)trustedcomputingbase

計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固體、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。

它建立了一-個(gè)基本的保護(hù)環(huán)境并提供一個(gè)可信計(jì)算系統(tǒng)所要求的附加用戶服務(wù)。

3.1.7敏感標(biāo)號(hào)sensitivitylabel

表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，可信計(jì)算基中把敏感標(biāo)號(hào)作為

強(qiáng)制訪問控制決策的依據(jù)，

3.1.8系統(tǒng)完整性systemintegrity

系統(tǒng)不能以非授權(quán)手段被破壞或修改的性質(zhì)。

3.1.9描述性頂層規(guī)格說明(DTLS)descriptivetop-levelspecification

用自然語言、形式化程序設(shè)計(jì)符號(hào)，或兩者結(jié)合寫在的一種最高層的設(shè)計(jì)規(guī)格說明書。

3.1.10形式化頂層規(guī)格說明(FILS)formaltop-levelspecification

用形式化數(shù)學(xué)語言寫成的一種高層規(guī)格說明書。使用這種規(guī)格，可以從理論上證明假定

的形式化要求與系統(tǒng)規(guī)格的一致性。

3.1.11最小特權(quán)原則principleofleastprivilege

為完成特定任務(wù)，授予主體所需要的最小訪問特權(quán)的過程、策略。

3.1.12分層密級(jí)hierarchicalclassification

用層次結(jié)構(gòu)的方式將主體和客體分成不同的保密等級(jí)。

3.1.13粒度granularity

一次訪問操作所涉及到的訪問對(duì)象的大小。

四一般要求

計(jì)算機(jī)系統(tǒng)安全將通過使用特定的安全特性控制對(duì)信息的訪問，只有被授權(quán)的人或?yàn)?/p>

人服務(wù)的操作過程可以對(duì)信息進(jìn)行訪問。在本準(zhǔn)則中提出了以下六條要求。4.1安全策略

必須有一種由系統(tǒng)實(shí)施的、明確的和定義好的安全黃略。對(duì)于主體和客體，必須有一個(gè)

由系統(tǒng)使用的規(guī)則集合。利用這個(gè)規(guī)則合來決定是否允許一個(gè)給定的主體對(duì)一特定客體訪問。

對(duì)于處理敏感信息的計(jì)算機(jī)系統(tǒng)必須施加一種強(qiáng)制安全策略來有效地實(shí)現(xiàn)訪問規(guī)則。這些規(guī)

則要求包括：任何人如果缺少適當(dāng)?shù)陌踩S可證都不能獲得對(duì)敏感信息的訪問；同時(shí)也要

求有自主的安全控制，以保證只有指定的用戶或用戶組才可以獲得對(duì)數(shù)據(jù)的訪問。

4.4.2標(biāo)號(hào)

客體應(yīng)當(dāng)按敏感程度加以標(biāo)號(hào)，訪問控制標(biāo)號(hào)必須與客體聯(lián)系起來。為了控制對(duì)存儲(chǔ)在

計(jì)算機(jī)內(nèi)的信息進(jìn)行訪問，根據(jù)強(qiáng)制安全策略規(guī)則，每個(gè)客體必須有一個(gè)標(biāo)號(hào)，這個(gè)標(biāo)號(hào)

表示客體的敏感級(jí)別并記錄哪些主體可以對(duì)特定的客體進(jìn)行訪問的方式。

4.3標(biāo)識(shí)

每個(gè)主體都必須在驗(yàn)明身份（身份標(biāo)識(shí)）后才能對(duì)客體進(jìn)行訪問。每次對(duì)信息的訪問都應(yīng)

標(biāo)識(shí)誰在要求訪問，他有權(quán)訪問什么信息？標(biāo)識(shí)和授權(quán)信息必須由計(jì)算機(jī)系統(tǒng)在秘密情況

下進(jìn)行維護(hù)并與完成某些與安全有關(guān)動(dòng)作的每個(gè)活動(dòng)元素結(jié)合起來。

4.4責(zé)任

對(duì)審計(jì)信息應(yīng)有選擇地保存并妥善加以保護(hù)，以便以后對(duì)影響安全的動(dòng)作進(jìn)行跟蹤,

查清責(zé)任。一個(gè)可信系統(tǒng)應(yīng)將與安全有關(guān)的事件記錄在一個(gè)審計(jì)日志中，為了降低審計(jì)費(fèi)用

并提高分析效率，必須具有選擇審計(jì)事件的能力。審計(jì)信息必須很好地保護(hù)，以防修改和未

經(jīng)授權(quán)的毀壞。

4.5保證

計(jì)算機(jī)系統(tǒng)應(yīng)包括能使上述各條要求實(shí)現(xiàn)所必須的硬件和軟件機(jī)制，必須有一批硬件

和軟件控制，這些機(jī)制可嵌入操作系統(tǒng)內(nèi)，并用秘密方法執(zhí)行指定的任務(wù)。這些機(jī)制應(yīng)在文

件中寫清楚并能獨(dú)立檢驗(yàn)其結(jié)果，以便能獨(dú)立地考評(píng)它們是否充分。

4.6連續(xù)保護(hù)

對(duì)實(shí)現(xiàn)上述基本要求的可信機(jī)制必須能連續(xù)地提供保護(hù)，以對(duì)抗未授權(quán)的篡改.圻果實(shí)

現(xiàn)上述策略的硬件和軟件機(jī)制本身遭到未授權(quán)的修改或破壞，那么這個(gè)計(jì)算機(jī)系統(tǒng)是做不

到真正安全的。連續(xù)保護(hù)要求與計(jì)算機(jī)系統(tǒng)的整個(gè)生存周期有著直接的關(guān)系。

五詳細(xì)要求

本準(zhǔn)則根據(jù)上述六條要求，按處理的信息等級(jí)和采取的相應(yīng)措施，將計(jì)算機(jī)系統(tǒng)的安

全分為四等八級(jí)別。D為最低等級(jí)，隨著等級(jí)的提高，系統(tǒng)可信度也隨之增加，風(fēng)險(xiǎn)逐漸減

少。

注：在本標(biāo)準(zhǔn)中，凡是使用黑體字的部分均表示在較低等級(jí)中不包含那些要求，或表

示對(duì)已定義要求的變動(dòng)和增加；凡是不使用黑體字的部分均表示這些要求與較低等級(jí)的那

些對(duì)應(yīng)要求相同。

5.1D等：最小保護(hù)

本等只含一級(jí)，它是為那些已作評(píng)估，但不能滿足紋高評(píng)估等級(jí)要求的系統(tǒng)而準(zhǔn)備的。

5.2C等：自主保護(hù)

本等分為C1和C1兩個(gè)級(jí)別，它主要提供自主訪問控制保護(hù)，并具有對(duì)主體責(zé)任和他們

的初始動(dòng)作審計(jì)的能力。

5.2.1C1級(jí)：自主安全保護(hù)

Cl級(jí)的可信計(jì)算基（TCB）通過提供用戶與數(shù)據(jù)的分離來標(biāo)稱滿足無條件安全要求。它包

括某種形式的可信控制，以便能在個(gè)體基礎(chǔ)上執(zhí)行訪問限制，即外表上允許用戶保護(hù)項(xiàng)目

和保護(hù)私有數(shù)據(jù)，并阻止其他用戶意外地讀取或破壞他們的數(shù)據(jù)。C1級(jí)環(huán)境是在同一敏感等

級(jí)上處理數(shù)據(jù)的那些協(xié)同用戶所要求的。卜.述是C1級(jí)的最低要求。

5.2.1.1安全策略

5.2.1.1.1自主訪問控制

TCB應(yīng)在計(jì)算機(jī)系統(tǒng)已命名的用戶和已命名的客體（如文件和程序）之間進(jìn)行定義和控

制訪問。實(shí)施機(jī)制（如自身/組/公共控制，訪問控制表）應(yīng)允許用戶通過己命名的單個(gè)用戶或

已定義的組或兩者來規(guī)定和控制這些客體的共享。

5.2.1.2責(zé)任

5.2.1.2.1標(biāo)識(shí)和鑒別

在開始執(zhí)行TCB仲裁的任何其他動(dòng)作之前，TCB要求用戶自己向TCB作出標(biāo)識(shí)。因此,

TCB應(yīng)使用?種受保護(hù)的機(jī)制（如口令）來鑒別用戶的身份。TCB應(yīng)保護(hù)鑒別數(shù)據(jù)，以使它不

能被任何未授權(quán)用戶訪問，

5.2.1.3保證

5.2.1.3.1操作保證

5.2.1.3.1.1系統(tǒng)體系結(jié)構(gòu)

TCB應(yīng)維持它自己執(zhí)行的區(qū)域，以保護(hù)它免受外部干預(yù)或篡改（如它代碼或數(shù)據(jù)結(jié)構(gòu)

的修改）。由TCB控制的資源可以是計(jì)算機(jī)系統(tǒng)中已定義的主體和客體的子集。

5.2.1.3.1.2系統(tǒng)完整性

應(yīng)提供硬件特性或軟件特性或同時(shí)提供兩者，用于定期地驗(yàn)證TCB硬件和固件單元的

運(yùn)行正確性。

5.2.1.3.2生存周期保證

5.2.1.3.2.1安全測試

應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)的安全機(jī)制進(jìn)行測試，并按系統(tǒng)文檔的要求工作。測試應(yīng)當(dāng)保證：沒有

明顯的讓未授權(quán)用戶旁越的途徑，或沒有其他擊敗TCB安全保護(hù)機(jī)制的方法，見附錄C（補(bǔ)

充件）。

5.2.1.4文檔

5.2.1.4.1安全特性為用戶指南

用戶文檔中的摘要、章節(jié)或手冊(cè)應(yīng)描述由TCB提供的保護(hù)機(jī)制，有關(guān)它們使用的指南以

及它們?nèi)绾蜗嗷プ饔谩?/p>

5.2.1.4.2可信設(shè)施手冊(cè)

向計(jì)算機(jī)系統(tǒng)管理員提供的手冊(cè)應(yīng)提出有關(guān)功能和特權(quán)的警告，這種特權(quán)在一個(gè)安全

設(shè)施運(yùn)行時(shí)應(yīng)受到控制。

5.2.1.4.3測試文檔

系統(tǒng)開發(fā)者應(yīng)向評(píng)估者提供一個(gè)文檔，該文檔描述測試計(jì)劃，怎樣測試安全機(jī)制的測

試過程，以及安全機(jī)制的功能測試結(jié)果。

5.2.1.4.4設(shè)計(jì)文檔

設(shè)計(jì)文檔應(yīng)當(dāng)具有描述制造廠家的保護(hù)宗旨以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。如

果TCB是由不同的模塊組成，則應(yīng)描述這些模塊之間的接口。

5.2.2C2級(jí):可控制訪問保護(hù)

這一級(jí)實(shí)施一種比C1級(jí)粒度更細(xì)的自主訪問控制?？赏ㄟ^注冊(cè)過程、與安全相關(guān)事件

的審計(jì)以及資源隔離等措施，使用戶對(duì)它們的活動(dòng)分別負(fù)責(zé)。下述是C2級(jí)的最低要求。

5.2.2.1安全策略

5.2.2.1.1自主訪問控制

TCB應(yīng)在計(jì)算機(jī)系統(tǒng)已命名的用戶和已命名的客體（如文件和程序）之間進(jìn)行定義和控

制訪問。實(shí)施機(jī)制（如自身/組/公共控制，訪問控制表）應(yīng)允許用戶通過已命名的單個(gè)用戶或

已定義的單個(gè)用戶組或兩者來規(guī)定和控制這些客體的共享，同時(shí)應(yīng)提供控制，以限制訪問

權(quán)利的擴(kuò)散。自主訪問控制機(jī)制應(yīng)當(dāng)按明確的用戶動(dòng)作或按默認(rèn)值向客體提供保護(hù)，避免無

授權(quán)的訪問。這些訪問控制應(yīng)既能包括或乂能排除單用戶粒度的訪問。如已不具有訪問許可

的用戶要得到對(duì)一個(gè)客體的訪問許可，只應(yīng)當(dāng)由授權(quán)用戶分配。

5.2.2.1.2客體重用

在向一個(gè)主體初始轉(zhuǎn)讓、分配或重分配TCB的未使用存儲(chǔ)器客體池之前，應(yīng)廢除所有包

含在存儲(chǔ)器客體內(nèi)的信息授權(quán)。對(duì)已釋放回系統(tǒng)的客體，有訪問權(quán)的任何主體都不能使用任

何先前主體動(dòng)作產(chǎn)生的信息，包括已加密表示的信息。

5.2.2.2責(zé)任

5.2.2.2.1標(biāo)識(shí)和鑒別

在開始執(zhí)行TCB仲裁的任何其他動(dòng)作之前，TCB要求用戶自己向TCB作出標(biāo)識(shí)。因此,

TCB應(yīng)使用一種受保護(hù)的機(jī)制（如口令）來鑒別用戶的身份，TCB應(yīng)保護(hù)鑒別數(shù)據(jù)，以使它不

能被任何未授權(quán)用戶訪問，TCB應(yīng)通過提供極好的保護(hù)計(jì)算機(jī)系統(tǒng)各個(gè)單個(gè)用戶的能力來實(shí)

現(xiàn)其責(zé)任。TCB還應(yīng)當(dāng)提供把這種身份與該單個(gè)用戶發(fā)生的所有可審計(jì)動(dòng)作相聯(lián)系的能力。

5.2.2.2.2審計(jì)

TCB應(yīng)能建立、維持和保護(hù)對(duì)它所保護(hù)的客體訪問的審計(jì)跟蹤，防止修改、未授權(quán)訪問

或破壞。審計(jì)數(shù)據(jù)應(yīng)受TCB保護(hù)，以便對(duì)它的讀訪問被限制在對(duì)審計(jì)數(shù)據(jù)已授權(quán)的那些用戶

上。TCB應(yīng)能記錄下述類型的事件：標(biāo)識(shí)和鑒別機(jī)制的使用;把客體引入到一個(gè)用戶佗地址

空間（如打開文件，起動(dòng)程序）；刪除客體；計(jì)算機(jī)操作員、系統(tǒng)管理員或系統(tǒng)安全員或后兩者

同時(shí)所發(fā)生的動(dòng)作；以及其他有關(guān)的安全事件。對(duì)每個(gè)己汜錄的事件，審計(jì)記錄應(yīng)標(biāo)出:事件

發(fā)生的口期和時(shí)間；用戶、事件的類型；事件的成功或失敗。對(duì)于標(biāo)識(shí)和鑒別事件，請(qǐng)求源

（如終端ID）也應(yīng)包括在審計(jì)記錄中。對(duì)于把客體引入用戶地址空間的事件和客體刪除事件，

審計(jì)記錄也應(yīng)包括客體名。計(jì)算機(jī)系統(tǒng)管理員應(yīng)能基于單個(gè)用戶身份有選擇地審計(jì)任一或多

個(gè)用戶的活動(dòng)。

5.2.2.3保證

5.2.2.3.1操作保證

5.2.2.3.1.1系統(tǒng)體系結(jié)構(gòu)

TCB應(yīng)維持它自己執(zhí)行的區(qū)域，以保護(hù)它免受外部干預(yù)或篡改（如對(duì)它的代碼或數(shù)據(jù)結(jié)

構(gòu)進(jìn)行修改）。由TCB控制的資源可以是計(jì)算機(jī)系統(tǒng)中已定義的主體和客體的子集。TCB應(yīng)

隔離被保護(hù)的資源，以使它們易受訪問控制，并達(dá)到審計(jì)要求。

5.2.2.3.1.2系統(tǒng)完整性

應(yīng)提供硬件特性或軟件特性或同時(shí)提供兩者，用于定期地驗(yàn)證TCB硬件和固件單元的

運(yùn)行正確性。

5.2.2.3.2生存周期保證

5.2.2.3.2.1安全測試

應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)的安全機(jī)制進(jìn)行測試，并按系統(tǒng)文檔的要求工作，測試應(yīng)當(dāng)保證；沒

有明顯的讓未授權(quán)用戶旁越的途徑，或沒有其他擊敗TCB安全保護(hù)機(jī)制的方法。測試還應(yīng)包

括搜索明顯的缺陷，這些缺陷會(huì)使資源隔離破壞或會(huì)允許對(duì)審計(jì)或鑒別數(shù)據(jù)的未授權(quán)訪問，

見附錄C（補(bǔ)充件）。

5.2.2.4文檔

5.2.2.4.1安全特性的用戶指南

用戶文檔中的摘要，章節(jié)或手冊(cè)應(yīng)描述由TCB提供的保護(hù)機(jī)制，有關(guān)它們使用的指南

以及它們?nèi)绾蜗嗷プ饔谩?/p>

5.2.2.4.2可信設(shè)施手冊(cè)

向計(jì)算機(jī)系統(tǒng)管理員提供的手冊(cè)應(yīng)提出有關(guān)功能和特權(quán)的警告，這種特權(quán)在一個(gè)安全

設(shè)施運(yùn)行時(shí)應(yīng)受到控制。對(duì)各類審計(jì)事件，應(yīng)給出供檢查和維護(hù)審計(jì)文件以及詳細(xì)審計(jì)記錄

結(jié)構(gòu)用的規(guī)程。

5.2.2.4.3測試文檔

系統(tǒng)開發(fā)者應(yīng)向評(píng)估者提供?個(gè)文檔，該文檔描述測試計(jì)劃、如何測試安全機(jī)制的測試

過程以及安全機(jī)制的功能測試結(jié)果。

5.2.2.4.4設(shè)計(jì)文檔

設(shè)計(jì)文檔應(yīng)當(dāng)具有描述制造廠家的保護(hù)宗旨以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解糅。如

果TCB是由不同的模塊組成，則應(yīng)描述這些模塊之間的接口。

5.3B等：強(qiáng)制保護(hù)

本等分為Bl,B2和B3三個(gè)級(jí)別，它主要要求客體必須保留敏感標(biāo)號(hào),TCB利用它去施

加強(qiáng)制訪問控制保護(hù)。在本等級(jí)中，對(duì)于計(jì)算機(jī)系統(tǒng)中大多數(shù)數(shù)據(jù)結(jié)構(gòu)都必須帶有敏感標(biāo)號(hào);

系統(tǒng)開發(fā)者要提供安全策略模型，根據(jù)此模型生成TCB。同時(shí)系統(tǒng)開發(fā)者也要提供TCB的技

術(shù)規(guī)范說明并提供基準(zhǔn)監(jiān)控器概念J被實(shí)現(xiàn)的證據(jù)。

5.3.1B1級(jí)：有標(biāo)號(hào)的安全保護(hù)

B1級(jí)要求具有C2級(jí)的全部特征。另外，必須提出安全策略模型的非形式化說明、數(shù)據(jù)

標(biāo)號(hào)以及已命名主體對(duì)客體的強(qiáng)制訪問控制。對(duì)輸出信息必須有正確的標(biāo)號(hào)能力；必須排除

任何經(jīng)測試而標(biāo)識(shí)的缺陷,下述是B1級(jí)的最低要求。

5.3.1.1安全策略

5.3.1.1.1自主訪問控制

TCB應(yīng)在計(jì)算機(jī)系統(tǒng)已命名的用戶和已命名的客體（如文件和程序）之間進(jìn)行定義和控

制訪問。實(shí)施機(jī)制（如自身/組/公共控制，訪問控制表）應(yīng)允許用戶通過已命名的單個(gè)用戶或

已定義的單個(gè)用戶組或兩者來規(guī)定和控制這些客體的共享，同時(shí)應(yīng)提供控制，以限制訪問

權(quán)利的擴(kuò)散。自主訪問控制應(yīng)既能包括或乂能排除單用戶粒度的訪問。如已不具有訪問許可

的用戶要得到對(duì)一個(gè)客體的訪問許可，只應(yīng)當(dāng)由授權(quán)用戶分配。

5.3.1.1.2客體重用

在向一個(gè)主體初始轉(zhuǎn)讓、分配或重分配TCB的未使用存儲(chǔ)器客體池之前，應(yīng)廢除所有包

含在存儲(chǔ)器客體內(nèi)的信息授權(quán)。對(duì)已釋放回系統(tǒng)的客體，有訪問權(quán)的任何主體都不能使用任

何先前主體動(dòng)作產(chǎn)生的信息，包括已加密表示的信息。

5.3.1.1.3標(biāo)號(hào)

與每個(gè)主體及在其控制下的存儲(chǔ)器客體（如進(jìn)程、文件、段、設(shè)備）有關(guān)的敏感標(biāo)號(hào)應(yīng)由

TCB維護(hù)。這些標(biāo)號(hào)應(yīng)被用作強(qiáng)制訪問控制判斷的依據(jù)。為了輸入無標(biāo)號(hào)的數(shù)據(jù)，TCB應(yīng)提

出要求，并從授權(quán)用戶那里接受該數(shù)據(jù)的安全等級(jí)，而且TCB應(yīng)對(duì)主體的所有這類活動(dòng)都

能

進(jìn)行審計(jì)。

5.3.1.1.3.1標(biāo)號(hào)完整性

敏感標(biāo)號(hào)應(yīng)能準(zhǔn)確地表示特定主體或客體的安全等級(jí)，主體和客體應(yīng)以此發(fā)生關(guān)聯(lián)。當(dāng)

TCB輸出時(shí)，敏感標(biāo)號(hào)應(yīng)能準(zhǔn)確地和明確地表示內(nèi)部標(biāo)號(hào)，而且應(yīng)與正在輸出的信息發(fā)生

聯(lián)系。

5.3.1.1.3.2有標(biāo)號(hào)信息的輸出

TCB應(yīng)對(duì)每個(gè)通信信道和1/（）設(shè)備標(biāo)明單級(jí)或多級(jí)。這個(gè)標(biāo)志的任何變化都應(yīng)由人工實(shí)

現(xiàn)，并可由TCB審計(jì)。TCB應(yīng)維持并且能夠?qū)Π踩燃?jí)的任何變化進(jìn)行審定，或?qū)εc通信信

道或I/O設(shè)備有關(guān)的等級(jí)進(jìn)行審計(jì)。

5.3.1.1.3.2.1向多級(jí)設(shè)備的輸出

當(dāng)TCB將一客體輸出到一個(gè)多級(jí)I/O設(shè)備時(shí)，與該客體有關(guān)的敏感標(biāo)號(hào)也應(yīng)輸出。應(yīng)與

輸出信息相同的形式（如機(jī)器可讀或人可讀形式）駐留在同一物理媒體上。當(dāng)TCB在多級(jí)通信

信道上輸出或輸入一客體時(shí)，該信道使用的協(xié)議應(yīng)在敏感標(biāo)號(hào)和被發(fā)送或被接收的有關(guān)信

息之間提供明確的配對(duì)關(guān)系。

5.3.1.1.3.2.2向單級(jí)設(shè)備的輸出

單級(jí)I/O設(shè)備和單級(jí)通信信道不需要維持其處理信總的敏感標(biāo)號(hào)。但是TCB應(yīng)包含一種

機(jī)制，TCB和一個(gè)授權(quán)用戶按該機(jī)制可靠地與指定的單安全級(jí)的信息通信。這種信息經(jīng)由單

級(jí)通信信道或I/O設(shè)備輸入/輸出。

5.3.1.1.3.2.3人可讀標(biāo)記的輸出

計(jì)算機(jī)系統(tǒng)管理員應(yīng)能規(guī)定與輸出敏感標(biāo)號(hào)有關(guān)的可打印標(biāo)號(hào)名。TCB應(yīng)標(biāo)記所有人可

讀的、編頁的、具有人可溟的敏感標(biāo)號(hào)的硬拷貝輸出（如行打E「J機(jī)輸出）的開始和結(jié)束，它適

當(dāng)?shù)谼表示輸出敏感性。TCB應(yīng)按默認(rèn)值標(biāo)記人可讀的、編頁的、具有人可讀的敏感標(biāo)號(hào)的

硬拷貝輸出（如行打印機(jī)輸出）每頁的頂部和底部，它適當(dāng)?shù)?）表示該輸出總的敏感性，或

適當(dāng)?shù)?）表示該頁信息的敏感性。TCB應(yīng)該按默認(rèn)值，弁以-一種適當(dāng)方法標(biāo)記具有人可讀的

敏感標(biāo)號(hào)的其他形式的人可讀的輸出（如圖、圖形），它適當(dāng)?shù)?）表示該輸出的敏感性。這

些標(biāo)記默認(rèn)值的任何濫用都應(yīng)由TCB審計(jì)。

注：1）人可讀敏感標(biāo)號(hào)的分層密級(jí)應(yīng)等于與該標(biāo)號(hào)輸出有關(guān)的任何信息的最大分層密

級(jí)；非分層等級(jí)應(yīng)包括與該標(biāo)號(hào)輸出有關(guān)信息的全部非分層等級(jí)，但不包括其他非分層等

級(jí)。

5.3.1.1.4強(qiáng)制訪問控制

TCB應(yīng)對(duì)全部主體及在其控制下的存儲(chǔ)器客體（如進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪問

控制策略。這些主體和客體，應(yīng)給予敏感標(biāo)號(hào)，這些標(biāo)號(hào)是分層密級(jí)和非分層等級(jí)的結(jié)合,

而且應(yīng)作為強(qiáng)制訪問控制判斷的依據(jù)。TCB應(yīng)能支持兩種或兩種以上安全等級(jí)，見附錄B（補(bǔ)

充件）。對(duì)于在受TCB控制的主體和客體之間的全部訪問應(yīng)遵循下列要求：僅當(dāng)主體安全級(jí)

中的分層密級(jí)大于或等于客體安全級(jí)中的分層密級(jí)，而主體安全級(jí)中非分層等級(jí)包括了

客體安全級(jí)中全部非分層等級(jí)時(shí)，主體才能讀一個(gè)客體。僅當(dāng)主體安全級(jí)中分層密級(jí)小于等

于客體安全級(jí)中分層密級(jí)，而且主體安全級(jí)中非分層等級(jí)被包含在客體安全級(jí)中非分層等

級(jí)時(shí)，主體才能寫一個(gè)客體。TCB應(yīng)該用標(biāo)識(shí)和鑒別數(shù)據(jù)來鑒別用戶的身份，并用來保證那

些相對(duì)于TCB外部的可代表單個(gè)用戶建立動(dòng)作的主體的安全等級(jí)和授權(quán)，并且受批準(zhǔn)和授

權(quán)的那個(gè)用戶支配。

5.3.1.2責(zé)任

5.3.1.2.1標(biāo)識(shí)和鑒別

在開始執(zhí)行TCB仲裁的任何其他動(dòng)作之前，TCB要求用戶自己向TCB作出標(biāo)識(shí)。因此,

TCB應(yīng)維持鑒別數(shù)據(jù)，該數(shù)據(jù)包括用于驗(yàn)證單個(gè)用戶身份的信息以及用于確定批準(zhǔn)和授權(quán)

單個(gè)用戶的信息，這種數(shù)據(jù)應(yīng)被TCB用來鑒別用戶身份，以及保證那些相對(duì)于TCB外部的可

代表單個(gè)用戶建立動(dòng)作的主體的安全等級(jí)和授權(quán)，并且受批準(zhǔn)和授權(quán)那個(gè)用戶支配.TCB應(yīng)

保護(hù)鑒別數(shù)據(jù)，以使它不能被任何未授權(quán)用戶訪問.TCB應(yīng)通過提供極好的標(biāo)識(shí)計(jì)算機(jī)系統(tǒng)

各個(gè)單個(gè)用戶的能力來實(shí)現(xiàn)其責(zé)任。TCB還應(yīng)具有把這種身份與該單個(gè)用戶發(fā)生的所有可審

計(jì)動(dòng)作相聯(lián)系的能力。

5.3.1.2.2審計(jì)

TCB應(yīng)能建立、維持和保護(hù)對(duì)它所保護(hù)的客體訪問的審計(jì)跟蹤，防止修改、未授權(quán)訪問

或破壞。審計(jì)數(shù)據(jù)應(yīng)受TCB保護(hù)，以便對(duì)它的讀訪問被限制在對(duì)審計(jì)數(shù)據(jù)已授權(quán)的那些用戶

上。TCB應(yīng)能記錄下述類型的事件：標(biāo)識(shí)和鑒別機(jī)制的作用；把客體引入到一個(gè)用戶的地址

空間（如打開文件，起動(dòng)程序）；刪除客體；計(jì)算機(jī)操作員、系統(tǒng)管理員或系統(tǒng)安全員或后兩

者同時(shí)所發(fā)生的動(dòng)作；以及其他有關(guān)的安全事件。TCB還應(yīng)能審計(jì)人可讀標(biāo)記的輸出的任何

濫用。對(duì)每個(gè)記錄的事件，審計(jì)記錄應(yīng)標(biāo)出：事件發(fā)生的日期和時(shí)間；用戶事件的類型；事件

的成功或失敗。對(duì)于標(biāo)識(shí)和鑒別事件，請(qǐng)求源（如終端：D）應(yīng)包括在審計(jì)記錄中。對(duì)于把客

體引入用戶地址空間的事件和客體刪除事件，審計(jì)記錄應(yīng)包括客體名和客體的安全等級(jí)。計(jì)

算機(jī)系統(tǒng)管理員應(yīng)能基于每個(gè)用戶身份或客體安全級(jí)或同時(shí)基于兩者有選擇地審計(jì)任一或

多個(gè)用戶的活動(dòng)。

5.3.1.3保證

5.3.1.3.1操作保證

5.3.1.3.1.1系統(tǒng)體系結(jié)構(gòu)

TCB應(yīng)維持它自己執(zhí)行的區(qū)域，以保護(hù)它免受外部干預(yù)或篡改（如對(duì)它的代碼或數(shù)據(jù)結(jié)

構(gòu)進(jìn)行修改）。由TCB控制的資源可以是計(jì)算機(jī)系統(tǒng)中已定義的主體和客體的子集。TCB應(yīng)

在其控制下通過提供不同的地址空間來維護(hù)進(jìn)程隔離。TCB應(yīng)隔離被保護(hù)的資源，以使它們

易受訪問控制，并達(dá)到審計(jì)要求。

5.3.1.3.1.2系統(tǒng)完整性

應(yīng)提供硬件特性或軟件特性或同時(shí)提供兩者，用于定期地驗(yàn)證TCB硬件和固件單元的

運(yùn)行正確性。

5.3.1.3.2生存周期保證

5.3.1.3.2.1安全測試

應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)的安全機(jī)制進(jìn)行測試，并按系統(tǒng)文檔的要求工作。一個(gè)充分熟悉TCB

特定實(shí)現(xiàn)的小組應(yīng)詳細(xì)分析和測試它的設(shè)計(jì)文檔、源代碼和目標(biāo)代碼。他們的目標(biāo)應(yīng)是：暴

露全部設(shè)計(jì)和實(shí)現(xiàn)的缺陷，這些缺陷將允許一個(gè)TCB外H勺主體去讀、更改或刪除通常在TCB

執(zhí)行強(qiáng)制或自主安全策略時(shí)拒絕的數(shù)據(jù)，并且保證沒有主體（尚未授權(quán)）能使TCB進(jìn)入一種

對(duì)其它用戶發(fā)起的通信作出響應(yīng)的狀態(tài)。所有已發(fā)現(xiàn)的缺陷應(yīng)被糾正，或者其無效，而且

TCB應(yīng)重新測試，以驗(yàn)證已缺陷，并證明沒有產(chǎn)生新的缺陷，見附錄C（補(bǔ)充件）。

5.3.1.3.2.2設(shè)計(jì)規(guī)格說明和驗(yàn)證

應(yīng)在計(jì)算機(jī)系統(tǒng)的整個(gè)生命周期內(nèi)維持由TCB支撐的安全策略的非形式化或形式化模

型，并應(yīng)證實(shí)與它的原理相一致。

5.3.1.4文檔

5.3.1.4.1安全特性的用戶指南

用戶文檔中的摘要、章節(jié)或手冊(cè)應(yīng)描述由TCB提供的保護(hù)機(jī)制、有關(guān)它們使用的指南以

及它們?nèi)绾蜗嗷プ饔谩?/p>

5.3.1.4.2可信設(shè)施手冊(cè)

向計(jì)算機(jī)系統(tǒng)管理員提供的手冊(cè)應(yīng)提出有關(guān)功能和特權(quán)的警告，這種特權(quán)在一個(gè)安全

設(shè)施運(yùn)行時(shí)應(yīng)受到控制。對(duì)各類審計(jì)事件，應(yīng)給出供檢查和維護(hù)審計(jì)文件以及詳細(xì)審計(jì)記錄

結(jié)構(gòu)用的規(guī)程。手冊(cè)應(yīng)描述操作員和管理員有關(guān)安全功能和用戶安全特征的變化。它應(yīng)提供

有關(guān)系統(tǒng)保護(hù)特性的一致和有效的用法。如他們?cè)鯓踊ハ嘧饔?，怎樣安全地生成一個(gè)新的

TCB;提供設(shè)施規(guī)程、警告和需要受控的特權(quán)，以便安全地操作該設(shè)施。

5.3.1.4.3測試文檔

系統(tǒng)開發(fā)者應(yīng)向評(píng)估者提供一個(gè)文檔，該文檔描述測試計(jì)劃，如何測試安全機(jī)制的測

試過程，以及安全機(jī)制的功能測試結(jié)果。

5.3.1.4.4設(shè)計(jì)文檔

設(shè)計(jì)文檔應(yīng)當(dāng)具有制造廠家的保護(hù)宗旨說明以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。如

果TCB是由不同的模塊組成，則應(yīng)描述這些模塊之間的接口。由TCB實(shí)施的安全策略模型的

非形式化或形式化描述應(yīng)是可用的，而且提供一種解釋來表示實(shí)施安全策略是足夠的.應(yīng)當(dāng)

標(biāo)識(shí)特定的TCB保護(hù)機(jī)制.而且給出一種解釋表示它們滿足該模型。

5.3.2B2級(jí)：結(jié)構(gòu)化保護(hù)

在B2級(jí)中，TCB是是立在對(duì)形式化安全策略模型清晰定義和提供文檔的基礎(chǔ)之上的。

該模型要求執(zhí)行B1級(jí)所是立的自主和強(qiáng)制訪問控制，并擴(kuò)展到計(jì)算機(jī)系統(tǒng)的全部主體和客

體。另外，提出了隱蔽信道。TCB必須是仔細(xì)地構(gòu)成嚴(yán)格保護(hù)和非嚴(yán)格保護(hù)的單元。TCB接

口應(yīng)定義恰當(dāng)，而且TCB設(shè)計(jì)和實(shí)現(xiàn)能使它經(jīng)受比較徹底的測試和比較安全的檢查。要加強(qiáng)

鑒別機(jī)制，以支撐系統(tǒng)管理員和操作員功能的方式提供可信設(shè)施管理，而且要加強(qiáng)嚴(yán)格的

配置管理控制。該系統(tǒng)有相對(duì)的抗?jié)B透能力。下述是B2級(jí)的最低要求。

5.3.2.1安全策略

5.3.2.1.1自主訪問控制

TCB應(yīng)在計(jì)算機(jī)系統(tǒng)已命名的用戶和已命名的客體（如文件和程序）之間進(jìn)行定義和控

制訪問。實(shí)施機(jī)制（如自身/組/公共控制，訪問控制表）應(yīng)允許用戶通過已命名的單個(gè)用戶或

己定義的單個(gè)用戶組或兩者來規(guī)定和控制這些客體的共享，同時(shí)應(yīng)提供控制，以限制訪問

權(quán)利的擴(kuò)散。自主訪問控制機(jī)制應(yīng)當(dāng)按明確的用戶動(dòng)作或按默認(rèn)值向客體提供保護(hù)，避免無

授權(quán)的訪問。這些訪問控制應(yīng)既能包括或乂能排除單用戶粒度的訪問。如已不具有訪問許可

的用戶要得到對(duì)一個(gè)客體的訪問許可，只應(yīng)當(dāng)由授權(quán)川戶分配。

5.3.2.1.2客體重用

在向一個(gè)主體初始轉(zhuǎn)讓、分配或重分配TCB的未使用存儲(chǔ)器客體池之前，應(yīng)廢除所有包

含在存儲(chǔ)器客體內(nèi)的信息授權(quán)。對(duì)已釋放回系統(tǒng)的客體，有訪問權(quán)的任何主體都不能使用任

何先前主體動(dòng)作產(chǎn)生的信息，包括已加密表示的信息。

5.3.2.1.3標(biāo)號(hào)

與每個(gè)由TCB外部主體直接或間接訪問的計(jì)算機(jī)系統(tǒng)資源（如主體、存儲(chǔ)器客體、ROM）

有關(guān)的敏感標(biāo)號(hào)應(yīng)由TCB維護(hù)。這些標(biāo)號(hào)應(yīng)被用作強(qiáng)制訪問控制判斷的依據(jù)。為了輸入無標(biāo)

號(hào)的數(shù)據(jù)，TCB應(yīng)提出請(qǐng)求，并從授權(quán)用戶那里接受該數(shù)據(jù)的安全等級(jí)，而且TCB應(yīng)對(duì)所有

這類活動(dòng)進(jìn)行審計(jì)。

5.3.2.1.3.1標(biāo)號(hào)完整性

敏感標(biāo)號(hào)應(yīng)能準(zhǔn)確地表示特定主體或客體的安全等級(jí)，主體和客體應(yīng)以此發(fā)生關(guān)聯(lián),

當(dāng)TCB輸出時(shí)，敏感標(biāo)號(hào)應(yīng)能準(zhǔn)確地和明確地表示內(nèi)部標(biāo)號(hào)，而且應(yīng)與正在輸出的信息發(fā)

生聯(lián)系。

5.3.2.1.3.2有標(biāo)號(hào)信息的輸出

TCB應(yīng)對(duì)每?個(gè)通信信道和I/O設(shè)備標(biāo)明單級(jí)或多級(jí)。這個(gè)標(biāo)志的任何變化都應(yīng)由人工

實(shí)現(xiàn)，并可由TCB審計(jì)。TCB應(yīng)維持并且能夠地安全等級(jí)的任何變化進(jìn)行審計(jì)，或?qū)εc通信

信道或I/O設(shè)備有關(guān)的等級(jí)進(jìn)行審計(jì)。

5.3.2.1.3.2.1向多級(jí)設(shè)備的輸出

當(dāng)TCB將一客體輸出到一個(gè)多級(jí)I/O設(shè)備時(shí)，與該客體有關(guān)的敏感標(biāo)號(hào)也應(yīng)輸出。應(yīng)與

輸出信息相同的形式（如機(jī)器可讀或人可讀形式）駐留在同一物理媒體上,當(dāng)TCB在多級(jí)通信

信道上輸出或輸入一客體時(shí)，該信道使用的協(xié)議應(yīng)在敏感標(biāo)號(hào)和被發(fā)送或被接收的有關(guān)信

息之間提供明確的配對(duì)關(guān)系。

5.3.2.1.3.2.2向單級(jí)設(shè)備的輸出

單級(jí)I/O設(shè)備和單級(jí)通信信道不需要維持其處理信息的敏感標(biāo)號(hào)。但是TCB應(yīng)包含一種

機(jī)制，TCB和一個(gè)授權(quán)用戶按該機(jī)制可靠地與指定的單安全級(jí)的信息通信。這種信息經(jīng)由單

級(jí)通信信道或I/O設(shè)備輸入/輸出。

5.3.2.1.3.2.3人可讀標(biāo)記的輸出

計(jì)算機(jī)系統(tǒng)管理員應(yīng)能指定與輸出敏感標(biāo)號(hào)有關(guān)的可打印標(biāo)號(hào)名。TCB應(yīng)標(biāo)記所有人可

讀的、編頁的、具有人可讀敏感標(biāo)號(hào)的硬拷貝輸出（如行打印機(jī)輸出）的開始和結(jié)束，它適當(dāng)

地D表示輸出敏感性。TCB應(yīng)按默認(rèn)值標(biāo)記人可讀的、編頁的、具有人可讀的敏感度標(biāo)記的

硬拷貝輸出（如行打印機(jī)輸出）每頁的頂部和底部，它適當(dāng)?shù)?）表示該輸出總的敏感性，或

適當(dāng)?shù)?）表示該頁信息的敏感性。TCB應(yīng)該按默認(rèn)值，并以一種適當(dāng)方法標(biāo)記具有人可讀的

敏感標(biāo)號(hào)的其他形式的人可讀輸出（如圖、圖形），它適當(dāng)?shù)?）表示該輸出的械感性。這些

標(biāo)記默認(rèn)值的任何濫用都應(yīng)由TCB審計(jì)。

注：1）人可讀敏感標(biāo)號(hào)的分層密級(jí)應(yīng)等于與該標(biāo)號(hào)輸出有關(guān)的任何信息的最大分層密

級(jí)；非分層等級(jí)應(yīng)包括與該標(biāo)號(hào)輸出有關(guān)信息的全部非分層等級(jí)，但不包括其他非分層等

級(jí)。

5.3.2.1.3.3主體敏感標(biāo)號(hào)

在終端用戶交互對(duì)話期內(nèi)，與該用戶有關(guān)的安全等級(jí)的各種變化，TCB應(yīng)立即通知該用

戶。當(dāng)需要顯示完整的主體敏感標(biāo)號(hào)時(shí)，終端用戶應(yīng)能向TCB提出詢問。

5.3.2.1.3.4設(shè)備標(biāo)號(hào)

對(duì)各種附加物理設(shè)備：TCB應(yīng)能支持最小和最大安全等級(jí)的分配。TCB應(yīng)利用這些安全

等級(jí)來實(shí)施由該設(shè)備安放的物理環(huán)境的強(qiáng)加的約速。

5.3.2.1.4強(qiáng)制訪問控制

TCB應(yīng)對(duì)所有被TCB外部主體直接或間接存取的資源（如主體、存儲(chǔ)器客體以及I/O設(shè)

備）實(shí)施強(qiáng)制訪問控制策略。這些主體和客體應(yīng)給予敏感標(biāo)號(hào)。這些標(biāo)號(hào)是分層密級(jí)和非分

層等級(jí)的結(jié)合，而且應(yīng)作為強(qiáng)制訪問控制判斷的依據(jù)。TCB應(yīng)能支持兩種或兩種以上安全等

級(jí)，見附錄B（補(bǔ)充件）。對(duì)TCB外部的全部主體和由這些主體直接或間接存取的全部客體之

間的所有訪問應(yīng)遵循下列要求：僅當(dāng)主體安全級(jí)中的分層密級(jí)大于等于客體安全級(jí)中的分

層密級(jí)，而且主體安全級(jí)中非分層等級(jí)包括了客體安全級(jí)中全部非分層等級(jí)時(shí)，主體才能

讀一個(gè)客體僅當(dāng)主體安全級(jí)中分層密級(jí)小于等于客體安全級(jí)中分層密級(jí)，而且主體安全級(jí)

中非分層等級(jí)被包括在客體安全級(jí)中非分層等級(jí)時(shí)，主體才能寫一個(gè)客體。TCB應(yīng)該用標(biāo)識(shí)

和鑒別數(shù)據(jù)來鑒別用戶的身份，并用來保證那些相對(duì)于TCB外部可代表單個(gè)用戶建立動(dòng)作

的主體的安全等級(jí)和授權(quán)：并且受批準(zhǔn)和授權(quán)的那個(gè)用戶支配。

5.3.2.2責(zé)任

5.3.2.2.1標(biāo)識(shí)和鑒別

在開始執(zhí)行TCB仲裁任何其他動(dòng)作之前，TCB要求用戶自己向TCB作出標(biāo)識(shí)。因此，TCB

應(yīng)維持鑒別數(shù)據(jù)，該數(shù)據(jù)包括用于驗(yàn)證單個(gè)用戶身份的信息以及用于確定批準(zhǔn)和授權(quán)單個(gè)

用戶的信息。這種數(shù)據(jù)應(yīng)被TCB用來鑒別用戶身份，以及保證那些相對(duì)于TCB外部可代表單

個(gè)用戶建立動(dòng)作的主體的安全等級(jí)和授權(quán)，并旦受批準(zhǔn)和授權(quán)的那個(gè)用戶支配。TCB應(yīng)保護(hù)

鑒別數(shù)據(jù)，以使它不能被任何未授權(quán)用戶訪問。TCB應(yīng)通過提供極好的標(biāo)識(shí)計(jì)算機(jī)系統(tǒng)每個(gè)

單個(gè)用戶的能力來實(shí)現(xiàn)其責(zé)?任。TCB還應(yīng)具有把這種身份與該單個(gè)用戶發(fā)生的所有可審計(jì)動(dòng)

作相聯(lián)系的能力。

5.3.2.2.1.1可信路徑

TCB應(yīng)在它自身與初始注冊(cè)及鑒別用戶之間支持一個(gè)可信的通信路徑，經(jīng)由這種路徑

的通信應(yīng)由一個(gè)用戶獨(dú)占地啟動(dòng)。

5.3.2.2.2審計(jì)

TCB應(yīng)能建立、維護(hù)和保護(hù)對(duì)它所保護(hù)的客體訪問的審計(jì)跟蹤，防止修改、未授權(quán)訪問

或破壞。審計(jì)數(shù)據(jù)應(yīng)受TCB保護(hù)，以便對(duì)它的讀訪問被限制在對(duì)審計(jì)數(shù)據(jù)已授權(quán)的那些用戶

l-.oTCB應(yīng)能記當(dāng)下述類型的事件：標(biāo)識(shí)和鑒別機(jī)制的速用；把客體引入到一個(gè)用戶的地址

空間（如打開文件、啟動(dòng)程序）；刪除客體;計(jì)算機(jī)操作員、系統(tǒng)管理員或系統(tǒng)安全員或后兩者

同時(shí)所發(fā)生的動(dòng)作；以及其他有關(guān)的安全事件。TCB還應(yīng)能審計(jì)人可讀標(biāo)記輸出的任何潴用。

對(duì)每個(gè)已記錄的事件，審計(jì)記錄應(yīng)標(biāo)出：事件發(fā)生的日期和時(shí)間；用戶、事件的類型；事件

的成功或失敗。對(duì)于標(biāo)識(shí)和鑒別事件，請(qǐng)求源（如終端1D）應(yīng)包括在審計(jì)記錄中。對(duì)于把客

體引入用戶地址空間的事件和客體刪除事件，審計(jì)記錄應(yīng)包括客體名和客體的安全等級(jí)。計(jì)

算機(jī)系統(tǒng)管理員應(yīng)能基于單個(gè)用戶身份或客體安全級(jí)或同時(shí)基于兩者有選擇地審計(jì)任一或

多個(gè)用戶的活動(dòng)。TCB應(yīng)能審計(jì)利用隱蔽存儲(chǔ)信道的標(biāo)識(shí)事件。

5.3.2.3保證

5.3.2.3.1操作保證

5.3.2.3.1.1系統(tǒng)體系結(jié)構(gòu)

TCB應(yīng)維護(hù)它自己執(zhí)行的區(qū)域，以保護(hù)它免受外來干預(yù)或篡改（如對(duì)它代碼或數(shù)據(jù)結(jié)構(gòu)

修改）oTCB應(yīng)在其控制下，通過提供不同的地址空間來維護(hù)進(jìn)行隔離。TCB內(nèi)部應(yīng)由定義恰

當(dāng)?shù)?、基本上?dú)立的模塊構(gòu)成。它應(yīng)有效地使用可獲得的硬件，把那些嚴(yán)格保護(hù)的單元與那

些不嚴(yán)格保護(hù)的單元分離開來。TCB模塊應(yīng)如此設(shè)計(jì)，以便它能實(shí)施最小特權(quán)原則。硬件中

諸如分段的特性，應(yīng)被用來支持邏輯上截然不同的存儲(chǔ)器客體，這些客體具有分離的屬性

（如：可讀、可寫）。應(yīng)完整地定義用戶與TCB的接口，并標(biāo)識(shí)所有TCB的單元。

5.3.2.3.1.2系統(tǒng)完整性

應(yīng)提供硬件特性或軟件特性或同時(shí)提供兩者，用于定期地驗(yàn)證TCB硬件和固件單元的

運(yùn)行正確性。

5.3.2.3.1.3隱蔽信道分析

系統(tǒng)開發(fā)者應(yīng)對(duì)隱蔽存儲(chǔ)信道作徹底地搜查，并且通過實(shí)際測量或通過工程估計(jì)確定

每個(gè)已標(biāo)識(shí)信道的最大帶寬，見附錄A（補(bǔ)充件）。

5.3.2.1.4可信設(shè)施管理

TCB應(yīng)支持操作員和管理員的職能分隔。

5.3.2.3.2生存周期保證

5.3.2.3.2.1安全測試

應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)的安全機(jī)制進(jìn)行測試，并按系統(tǒng)文檔的要求工作。一個(gè)充分熟悉TCB

特定實(shí)現(xiàn)的小組應(yīng)詳細(xì)分析和測試它的設(shè)計(jì)文檔、源代碼和目標(biāo)代碼。它們的目標(biāo)應(yīng)是：暴

露全部設(shè)計(jì)和實(shí)現(xiàn)的缺陷：這些缺陷將允許一個(gè)TCB外的主體去讀、更改或刪除通常在TCB

實(shí)施強(qiáng)制或自主安全策略時(shí)拒絕的數(shù)據(jù)，并且保證沒有主體（尚未授權(quán)）能使TCB進(jìn)入一種

對(duì)其它用戶啟動(dòng)的通信作出響應(yīng)的狀態(tài)。TCB應(yīng)建立相對(duì)的抗?jié)B透能力。所有已發(fā)現(xiàn)的缺陷

應(yīng)被糾正，而且TCB應(yīng)重新測試，以驗(yàn)證已排除缺陷，并證明沒有產(chǎn)生新的缺陷。測試應(yīng)證

明TCB的實(shí)現(xiàn)與描述性頂層規(guī)格說明相一致，見附錄C（補(bǔ)充件）。

5.3.2.3.2.2設(shè)計(jì)規(guī)格說明和驗(yàn)證

應(yīng)在計(jì)算機(jī)系統(tǒng)的整個(gè)生命周期內(nèi)維持由TCB支撐的安全策略形式化模型、并證明與它

的原理相一致。應(yīng)維持TC3的描述性頂層規(guī)格說明（DTLS）,以使用異常、出錯(cuò)消息和影響等

方面來完整地和準(zhǔn)確地描述TCB,還應(yīng)說明描述性頂層規(guī)格說明是TCB接口的準(zhǔn)確描述。

5.3.2.3.2.3配置管理

在TCB開發(fā)和維護(hù)期間，應(yīng)把配置管理系統(tǒng)放在適當(dāng)?shù)奈恢?，以維持對(duì)描述性頂層規(guī)

格說明、其他設(shè)計(jì)數(shù)據(jù)、實(shí)現(xiàn)文檔、源代碼、目標(biāo)代碼的運(yùn)行版本以及測試夾具和文檔等方

面改變的控制。配置管理系統(tǒng)應(yīng)保證與當(dāng)前TCB版本相關(guān)聯(lián)的所有文檔和代碼之間的一致的

映射。應(yīng)提供由源代碼生成新的TCB版本的工具。另外，本應(yīng)獲得TCB新舊版本比較的工具，

以便查明實(shí)際用作新版本的TCB的代碼只發(fā)生了所需的改動(dòng)。

5.3.2.4文檔

5.3.2.4.1安全特性的用戶指南

用戶文檔中的摘要、章節(jié)或手冊(cè)應(yīng)描述由TCB提供的保護(hù)機(jī)制、有關(guān)它們使用的指南以

及它們?nèi)绾蜗嗷プ饔谩?/p>

5.3.2.4.2可信設(shè)施手冊(cè)

向計(jì)算機(jī)系統(tǒng)管理員提供的手冊(cè)應(yīng)提出有關(guān)功能和特權(quán)的警告，這種特權(quán)在一個(gè)安全

設(shè)施運(yùn)行時(shí)應(yīng)受到控制。對(duì)各類審計(jì)事件，應(yīng)給出供檢查和維護(hù)審計(jì)文件以及詳細(xì)審計(jì)記錄

結(jié)構(gòu)用的規(guī)程。手冊(cè)應(yīng)描述操作員和管理員有關(guān)安全功能和用戶

安全特征的變化。它應(yīng)提供有關(guān)系統(tǒng)保護(hù)特性的一致和有效的用法。如它們?cè)鯓踊?相作

用，怎樣安全地生成一個(gè)新的TCB;提供設(shè)施規(guī)程、警告和需要受控的特權(quán)，以便安全地操

作該設(shè)施。應(yīng)標(biāo)識(shí)基準(zhǔn)確認(rèn)機(jī)制的TCB模塊。TCB的任何模塊修改后，應(yīng)描述由源代碼安全

生成新TCB過程。

5.3.2.4.3測試文檔

系統(tǒng)開發(fā)者應(yīng)向評(píng)估者提供一個(gè)文檔。該文檔描述測試計(jì)劃，怎樣測試安全機(jī)制的測試

過程，以及安全機(jī)制的功能測試結(jié)果；它應(yīng)包括用來減少隱蔽信道帶寬方法的有效性測試

結(jié)果。

5.3.2.4.4設(shè)計(jì)文檔

設(shè)計(jì)文檔應(yīng)當(dāng)具有制造廠家的保護(hù)宗旨說明以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。也

應(yīng)描述TCB模塊之間的接口。由TCB實(shí)施的安全策略模型形式化描述應(yīng)是可用的，并且證明

它對(duì)于實(shí)施安全策略是足夠的。應(yīng)當(dāng)標(biāo)識(shí)特定的TCB保護(hù)機(jī)制，而且給出一種解釋表示它們

滿足該模型。描述性頂層規(guī)格說明應(yīng)當(dāng)表明TCB接口的準(zhǔn)確描述。文檔應(yīng)描述TCB怎樣實(shí)現(xiàn)

基準(zhǔn)監(jiān)控器概念，并解稱它為什么能防篡改，為什么不能被旁越，以及為什么它能被正確

地實(shí)現(xiàn)。文檔應(yīng)描述如何物造TCB才便于測試和實(shí)施最小特權(quán)。該文檔還應(yīng)給出隱蔽信道分

析的結(jié)果和與限定該信道有關(guān)的折衷方案。應(yīng)當(dāng)標(biāo)識(shí)可用來利用已知隱蔽存儲(chǔ)信道的所有可

審計(jì)事件。由于已知隱蔽存儲(chǔ)信道的使用不是用審計(jì)機(jī)制可檢測的，所以應(yīng)提供已知隱蔽存

儲(chǔ)信道的帶寬，見附錄A（補(bǔ)充件）。

5.3.3B3級(jí):安全域

B3級(jí)TCB必須滿足基準(zhǔn)監(jiān)控器的要求，以便它能仲裁所有主體向客體的訪問。它必須

是防篡改的，而且是小到足以提供分析和測試。為此，在TCB設(shè)計(jì)及實(shí)現(xiàn)期間，要用有效的

系統(tǒng)工程方法，使構(gòu)造的TCB能排除與安全策略實(shí)施無關(guān)的代碼，從而使其復(fù)雜性達(dá)到最

小。要支持安全管理員；要把審計(jì)機(jī)制擴(kuò)展到用信號(hào)報(bào)知與安全有關(guān)的事件；并且要提供系

統(tǒng)恢及過程。該系統(tǒng)有高度的抗?jié)B透能力。下述是B3級(jí)的最低要求：

5.3.3.1安全策略

5.3.3.1.1自主訪問控制

TCB應(yīng)在計(jì)算機(jī)系統(tǒng)已命名的用戶和已命名的客體（如文件和程序）之間進(jìn)行定義和控

制訪問。實(shí)施機(jī)制（如訪問控制表）應(yīng)允許用戶通過已命名的單個(gè)用戶或已定義的單個(gè)用戶組

或兩者來規(guī)定和控制這些客體的共享，同時(shí)應(yīng)提供控制，以限制訪問權(quán)利的擴(kuò)散。自主訪問

控制機(jī)制應(yīng)當(dāng)按明確的用戶動(dòng)作或按默認(rèn)值向客體提供保護(hù)，避免無授權(quán)的訪問。對(duì)于每個(gè)

、命名的客體，這些訪問控制應(yīng)能規(guī)定一份」命名的單個(gè)用戶表和一份己命名的單個(gè)用戶

組表，以表示它們對(duì)該客體相應(yīng)的訪問方式。此外，對(duì)于每個(gè)已如此命名的客體，應(yīng)能規(guī)定

不能訪問該客體的已命名單個(gè)用戶表和已命名單個(gè)用戶組表。如已不擁有訪問許可的用戶要

得到對(duì)一個(gè)客體的訪問許可，只應(yīng)當(dāng)由授權(quán)用戶分配。

5.3.3.1.2客體重用

在向一個(gè)主體初始轉(zhuǎn)讓、分配或重分析TCB的未使用存儲(chǔ)器客體池之前，應(yīng)廢除所有包

含在存儲(chǔ)器客體內(nèi)的信息授權(quán)。對(duì)已釋放回系統(tǒng)的客體，有訪問權(quán)的任何主體都不能使用任

何先前主體動(dòng)作產(chǎn)生的信息，包括已加密表示的信息。

5.3.3.1.3標(biāo)號(hào)

與每個(gè)由TCB外部主體直接或間接訪問的計(jì)算機(jī)系統(tǒng)資源（如主體、存儲(chǔ)器客體、ROM）

有關(guān)的敏感標(biāo)號(hào)應(yīng)由TCB維護(hù)。這些標(biāo)號(hào)應(yīng)被用作強(qiáng)制訪問控制判斷的依據(jù)。為了輸入無標(biāo)

號(hào)的數(shù)據(jù)。TCB應(yīng)提出請(qǐng)求，并從授權(quán)用戶那里接受該數(shù)據(jù)的安全等級(jí)，而且TCB應(yīng)對(duì)所有

這類活動(dòng)進(jìn)行審計(jì)。

5.3.3.1.3.1標(biāo)號(hào)完整性

敏感標(biāo)號(hào)應(yīng)能準(zhǔn)確地表示特定主體或客體的安全等級(jí)，主體和客體應(yīng)以此發(fā)生關(guān)聯(lián)。當(dāng)

TCB輸出時(shí)，敏感標(biāo)號(hào)應(yīng)能準(zhǔn)確地和明確地表示內(nèi)部標(biāo)號(hào)，而且應(yīng)與止在輸出的信息發(fā)生

聯(lián)系。

5.3.3.1.3.2有標(biāo)號(hào)信息的輸出

TCB應(yīng)對(duì)每個(gè)通信信道和1/（）設(shè)備標(biāo)明單級(jí)或多級(jí)。這個(gè)標(biāo)志的任何變化都應(yīng)由人工實(shí)

現(xiàn)，并可由TCB審計(jì)。TCB應(yīng)維持并且能夠?qū)Π踩燃?jí)的任何變化進(jìn)行審計(jì)，或?qū)εc通信信

道或I/O設(shè)備有在的等級(jí)進(jìn)行審計(jì)。

5.3.3.1.3.2.1向多級(jí)設(shè)備的輸出

當(dāng)TCB將一客體輸出到一個(gè)多級(jí)I/O設(shè)備時(shí)，與該客體有關(guān)的敏感標(biāo)號(hào)也應(yīng)輸出。應(yīng)與

輸出信息相同的形式（如機(jī)器可讀或人可讀形式）駐留在同一物理媒體上。當(dāng)TCB在多級(jí)通

信信道上輸出或輸入一客體時(shí)，該信道使用的協(xié)議應(yīng)在敏感標(biāo)號(hào)和被發(fā)送或被接收的有關(guān)信

息之間提供明確的配對(duì)關(guān)系。

5.3.3.1.3.2.2向單級(jí)設(shè)備的輸出

單級(jí)I/O設(shè)備和單級(jí)通信信道不需要維持其處理信息的敏感標(biāo)號(hào)。但是TCB應(yīng)包含一種

機(jī)制，TCB和一個(gè)授權(quán)用戶應(yīng)按該機(jī)制可靠地與指定的單安全級(jí)的信息通信。這種信息經(jīng)由

單級(jí)通信信道或I/O設(shè)備輸入/輸出。

5.3.3.1.3.2.3人可讀標(biāo)記的輸出

計(jì)算機(jī)系統(tǒng)管理員應(yīng)能指定與輸出敏感標(biāo)號(hào)有關(guān)的可打印標(biāo)號(hào)名。TCB應(yīng)標(biāo)記所有人可

讀的、編頁的、具有人可讀敏感標(biāo)號(hào)的硬拷貝輸出（如行打印機(jī)輸出）的開始和結(jié)束，它適當(dāng)

地1）表示輸出敏感性。TC3應(yīng)按默認(rèn)值標(biāo)記人可讀的、編頁的，具有人可讀的敏感標(biāo)記的硬

拷貝輸出（如行打印機(jī)輸出）每頁的頂部和底部，它適當(dāng)?shù)谼表示該輸出總的敏感性，或適

當(dāng)?shù)?）表示該頁信息的敏感性。TCB應(yīng)該按默認(rèn)值，并以一種適當(dāng)方法標(biāo)記具有人可讀敏感

標(biāo)號(hào)的其他形式的人可讀輸出（如圖、圖形），它適當(dāng)?shù)?）表示該輸出敏感性。這些默認(rèn)值

的任何濫用都應(yīng)由TCB審計(jì)。

注：1）人可讀敏感標(biāo)號(hào)的分層密級(jí)應(yīng)等于與該標(biāo)號(hào)輸出有關(guān)的任何信息的最大分層密

級(jí)；非分層等級(jí)應(yīng)包括與該標(biāo)號(hào)輸出有關(guān)信息的全部非分層等級(jí)，但不包括其他非分層等

級(jí)。

5.3.3.1.3.3主體敏感標(biāo)號(hào)

在終端用戶交互對(duì)話期內(nèi)，與該用戶有關(guān)的安全等級(jí)的各種變化TCB應(yīng)立即通知該用

戶。當(dāng)需要顯示完整的主體敏感標(biāo)號(hào)時(shí)，終端用戶應(yīng)能向TCB提出詢問。

5.3.3.1.3.4設(shè)備標(biāo)號(hào)

對(duì)各種附加物理設(shè)備.TCB應(yīng)能支持最小和最大安全等級(jí)的分配。TCB應(yīng)利用這些安全

等級(jí)來實(shí)施由該設(shè)備安放的物理環(huán)境所強(qiáng)加的約束。

5.3.3.1.4強(qiáng)制訪問控制

TCB應(yīng)對(duì)所有被TCB外部主體直接或間接訪問的資源（如主體、存儲(chǔ)器客體以及I/O設(shè)

備）實(shí)施強(qiáng)制訪問控制策略，這些主體和客體應(yīng)給予敏感標(biāo)號(hào)。這些標(biāo)號(hào)是分層密級(jí)和非分

層等級(jí)的結(jié)合，而且應(yīng)作為強(qiáng)制訪問控制判斷的依據(jù)。TCB應(yīng)能支持兩種或兩種以上安全等

級(jí)，見附錄B（補(bǔ)充件）。對(duì)TCB外部的全部主體和由這些主體直接或間接存取的全部客體之

間的所有訪問應(yīng)遵循下列要求：僅當(dāng)主體安全級(jí)中的分層密級(jí)大于等于客體安全級(jí)中的分

層密級(jí)，而且主體安全級(jí)中非分層等級(jí)包括「客體安全級(jí)中全部非分層等級(jí)時(shí)，主體才能

讀一個(gè)客全。僅當(dāng)主體安全級(jí)中分層密級(jí)小于等于客體安全級(jí)中分層密級(jí)，而且主體安全級(jí)

中非分層等級(jí)被包含在客體安全級(jí)中非分層等級(jí)時(shí)，主體才能寫一個(gè)客體。TCB應(yīng)該用標(biāo)識(shí)

和鑒別數(shù)據(jù)來鑒別用戶的身份，并用來保證那些相對(duì)于TCB外部可代表單個(gè)用戶建立動(dòng)作

的主體的安全等級(jí)和授權(quán)、并且受批準(zhǔn)和授權(quán)的那個(gè)用戶支配。

5.3.3.2責(zé)任

5.3.3.2.1標(biāo)識(shí)和鑒別

在開始執(zhí)行TCB仲裁任何其他動(dòng)作之前，應(yīng)要求用戶自己向TCB作出標(biāo)識(shí)。因此，TCB

應(yīng)維護(hù)鑒別數(shù)據(jù)，該數(shù)據(jù)包括用于驗(yàn)證單個(gè)用戶身份的信息以及為確定批準(zhǔn)和授權(quán)單個(gè)用

戶的信息。這種數(shù)據(jù)應(yīng)被TCB用來鑒別用戶身份，以及保證那些相對(duì)于TCB外部的可代表單

個(gè)用戶建立動(dòng)作的主體的安全等級(jí)和授權(quán)，并且受批準(zhǔn)和授權(quán)那個(gè)用戶支配。TCB應(yīng)保護(hù)鑒

別數(shù)據(jù)，以使它不能被任何未授權(quán)用戶訪問。TCB應(yīng)通過提供極好的標(biāo)識(shí)計(jì)算機(jī)系統(tǒng)每個(gè)單

個(gè)用戶的能力來實(shí)現(xiàn)其責(zé)任。TCB還應(yīng)具有把這種身份與該單個(gè)用戶所發(fā)生的所有可審計(jì)動(dòng)

作相聯(lián)系的能力。

5.3.3.2.1.1可信路徑

TCB應(yīng)支持自身與諸用戶之間的可信通信路徑，以供TCB與用戶需要可靠連接（如注冊(cè)、

改變主體安全等級(jí)）時(shí)使用。經(jīng)由這種可信路徑的通信安全由一個(gè)用戶或TCB獨(dú)占地激活。

這種路徑邏輯上應(yīng)與其他路徑隔離，并與其他路徑截然地區(qū)分開來。

5.3.3.2.2審計(jì)

TCB應(yīng)能建立、維持和保護(hù)對(duì)它所保護(hù)的客體訪問的審計(jì)跟蹤，防止修改、未授權(quán)訪問

或破壞。審計(jì)數(shù)據(jù)應(yīng)受TCB保護(hù)，對(duì)便對(duì)它的讀訪問被限制在對(duì)審計(jì)數(shù)據(jù)已授權(quán)的那些用戶

上。TCB應(yīng)能記錄下述類型的事件：標(biāo)識(shí)和鑒別機(jī)制的使用；把客體引入到一個(gè)用戶地址空

間（如打開文件.啟幻程序）：刪除客體：計(jì)算機(jī)操作員、系統(tǒng)管理員或系統(tǒng)安全員或后

兩者同時(shí)所發(fā)生的動(dòng)作；以及其他有關(guān)的安全事件。TCB還應(yīng)能審計(jì)人可讀標(biāo)記輸出的任何

濫用。對(duì)每個(gè)已記錄的事件，審計(jì)記錄應(yīng)標(biāo)出：事件發(fā)生的日期和時(shí)間；用戶、事件的類型；

理件的成功或失敗。對(duì)于標(biāo)識(shí)和鑒別事件，請(qǐng)求源（如終端ID）應(yīng)包括在審計(jì)記錄中。對(duì)于

把客體引入用戶地址空間的事件和客體刪除事件，審計(jì)記錄應(yīng)包括客體名和客體的安全等

級(jí)。計(jì)算機(jī)系統(tǒng)管理員應(yīng)能基于單個(gè)用戶身份或客體安全級(jí)或同時(shí)基于兩者有選擇地審計(jì)任

一或多個(gè)用戶的活動(dòng)°TCB應(yīng)能審計(jì)利用隱蔽存儲(chǔ)通道的標(biāo)識(shí)事件。TCB應(yīng)包含一種機(jī)制，它

能監(jiān)控安全可審計(jì)事件的發(fā)生或累積，從而可以指出安全策略迫在眉睫的破壞。當(dāng)閾值超過

時(shí)，這種機(jī)制應(yīng)能立即通知安全管理員，而且當(dāng)這些有關(guān)安全事件的發(fā)生或積累再繼續(xù)下

去時(shí)，則系統(tǒng)應(yīng)采取最小破壞的操作終止該事件。

5.3.3.3保證

5.3.3.3.1操作保證

5.3.3.3.1.1系統(tǒng)體系結(jié)構(gòu)

TCB應(yīng)維持它自己執(zhí)行的區(qū)域，以保護(hù)它免受外來干預(yù)或篡改（如時(shí)它代碼或數(shù)據(jù)結(jié)構(gòu)

修改）。TCB應(yīng)在其控制下，通過提供不同的地址空間來維護(hù)進(jìn)程隔離，TCB內(nèi)部應(yīng)由定義恰

當(dāng)?shù)摹⒒旧溪?dú)立的模塊構(gòu)成。它應(yīng)有效地使用可獲得的硬件，把那些嚴(yán)格保護(hù)的單元與那

些不嚴(yán)格保護(hù)的單元分離開來。TCB模塊應(yīng)如此設(shè)計(jì)，以便它能執(zhí)行最小特權(quán)原則。硬件中

諸如分段的特性，應(yīng)被用來支持邏輯上截然不同的存儲(chǔ)器客體,這些客體具有分離的屬性

（如可讀、可寫）。應(yīng)完整地定義用戶與TCB的接口，并標(biāo)識(shí)所有TCB的單元。TCB的設(shè)計(jì)和

構(gòu)造應(yīng)使用一種完整的、原理簡單的、具有精確定義語義的保護(hù)機(jī)制，這種機(jī)制在實(shí)現(xiàn)TCB

和系統(tǒng)內(nèi)部結(jié)構(gòu)時(shí)將起中心的作用。TCB應(yīng)把分層、抽象和數(shù)據(jù)隱蔽等方面的有效使用結(jié)合

起來。有效的系統(tǒng)工程應(yīng)以TCB的復(fù)雜度極小化為目標(biāo)，而且應(yīng)排除沒有嚴(yán)格保護(hù)的TCB

模塊。

5.3.3.3.1.2系統(tǒng)完整性

應(yīng)提供硬件特性或軟件特性或同時(shí)提供兩者，用于定期地驗(yàn)證TCB硬件和固件單元的

運(yùn)行正確性。

5.3.3.3.1.3隱蔽信道分析

系統(tǒng)開發(fā)者應(yīng)對(duì)隱蔽信道作徹底的搜杳，并且通過實(shí)際測量或通過工程估計(jì)確定每個(gè)

己標(biāo)識(shí)信道的最大帶寬，見附錄A（補(bǔ)充件）。

5.3.3.3.1.4可信設(shè)施管理

TCB應(yīng)支持操作員和管理員的職能分隔。應(yīng)標(biāo)識(shí)在安全管理員任務(wù)中所執(zhí)行的職能。只

有在計(jì)算機(jī)系統(tǒng)上發(fā)生了與安全管理員任務(wù)截然不同的可審計(jì)活動(dòng)后，計(jì)算機(jī)系統(tǒng)管理員

才能執(zhí)行安全管理員職能。在安全管理任務(wù)中所能執(zhí)行的非安全職能應(yīng)嚴(yán)格限制在那些對(duì)有

效執(zhí)行完全任務(wù)必不可少的職能。

5.3.3.3.1.5可信恢復(fù)

在計(jì)算機(jī)系統(tǒng)故障或其它間斷后，應(yīng)提供規(guī)程或機(jī)制或同時(shí)提供兩者，以保證在不危

及保護(hù)情況下，使系統(tǒng)得到恢復(fù)。

5.3.3.3.2生存周期保證

5.3.3.3.2.1安全測試

應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)的安全機(jī)制進(jìn)行測試，并按系統(tǒng)文檔的要求工作。一個(gè)充分熟悉TCB

特定實(shí)現(xiàn)的小組應(yīng)詳細(xì)分析和測試它的設(shè)計(jì)文檔、源代碼和目標(biāo)代碼。它們的臼然應(yīng)是：暴

露全部設(shè)計(jì)和實(shí)現(xiàn)的缺陷，這些缺陷將允許一個(gè)TCB外的主體去讀、更改或刪除通常由TCB

實(shí)施強(qiáng)制或自主安全策略時(shí)拒絕的數(shù)據(jù)，并且保證沒有主體（尚未授權(quán)）能使TCB進(jìn)入一種

對(duì)其它用戶啟動(dòng)的通信作出響應(yīng)的狀態(tài)。TCB應(yīng)建立相對(duì)?的抗?jié)B透能力.所有已發(fā)現(xiàn)的缺陷

應(yīng)被糾正，而且TCB應(yīng)重新測試，以驗(yàn)證TCB已排除缺陷，并證明沒有產(chǎn)生新的缺陷,測試

應(yīng)證明TCB的實(shí)現(xiàn)與描述性頂層規(guī)格說明相一致，見附錄C（補(bǔ)充件）。在測試中，沒有發(fā)現(xiàn)

設(shè)計(jì)缺陷，也許發(fā)現(xiàn)少量可校正的實(shí)現(xiàn)缺陷，而應(yīng)該確信這少量缺陷的存在是合理的。

5.3.3.3.2.2設(shè)計(jì)規(guī)格說明和驗(yàn)證

應(yīng)在計(jì)算機(jī)系統(tǒng)的整個(gè)生命周期內(nèi)維持由TCB支撐的安全策略的形式化模型，并證明

與它的原理是一致的。應(yīng)維持TCB的描述性頂層規(guī)格說明，以便用異常、出錯(cuò)消息和影響等

方面來完整地和準(zhǔn)確地描述TCB,還應(yīng)說明描述性頂層規(guī)格說明是TCB接口的準(zhǔn)確描述。應(yīng)

給出有說服力的證據(jù)，以表明描述性頂層規(guī)格說明與該模型的一致性。

5.3.3.3.2.3配置管理在TCB開發(fā)和維護(hù)期間，應(yīng)把配置管理系統(tǒng)放在適當(dāng)?shù)奈恢茫?/p>

以維護(hù)對(duì)描述性頂層規(guī)格說明、其他設(shè)計(jì)數(shù)據(jù)、實(shí)現(xiàn)文檔、源代碼、目標(biāo)代碼的運(yùn)行版本以

及測試夾具和文檔等方面改變的控制1。配置管理系統(tǒng)應(yīng)保證與當(dāng)前TCB版本相關(guān)聯(lián)的所有文

檔和代碼之間一致的映射，應(yīng)提供由源代碼生成新的TCB版本的工具。另外，還應(yīng)獲得TCB

新舊版本比較的工具，以便查明實(shí)際用作新版本的TCBH勺代碼只發(fā)生了所需的改動(dòng)。

5.3.3.4文檔

5.3.3.4.1安全特性的用戶指南

用戶文檔中的摘要、章節(jié)或手冊(cè)應(yīng)描述由TCB提供的保護(hù)機(jī)制，有關(guān)它們使用的指南以

及它們?nèi)绾蜗嗷プ饔谩?/p>

5.3.3.4.2可信設(shè)施手冊(cè)

向計(jì)算機(jī)系統(tǒng)管理員提供的手冊(cè)應(yīng)提出有關(guān)功能和特權(quán)的警告，這種特權(quán)在一個(gè)安全

設(shè)施運(yùn)行時(shí)應(yīng)受到控制。對(duì)各類審計(jì)事件，應(yīng)給出供檢查和維護(hù)審計(jì)文件以及詳細(xì)審計(jì)記錄

結(jié)構(gòu)用的規(guī)程。手冊(cè)應(yīng)描述操作員和管理員有關(guān)安全功能和用戶安全特性的變化。它應(yīng)提供

有關(guān)系統(tǒng)保護(hù)特性的一致和有效的用法。如它們?cè)鯓踊ハ嘧饔?，怎樣安全地生成一個(gè)新的

TCB,提供設(shè)施規(guī)程，警告和需要受控的特權(quán)，以便安全地操作該設(shè)施。應(yīng)標(biāo)識(shí)基準(zhǔn)確認(rèn)機(jī)

制的TCB模塊，TCB的任何模塊修改后，應(yīng)描述由源代碼安全生成新TCB的過程。它應(yīng)包括

保證系統(tǒng)以安全方式啟動(dòng)的過程，還應(yīng)包括那些在系統(tǒng)運(yùn)行間斷后，重新開始安全運(yùn)行的

過程。

5.3.3.4.3測試文檔

系統(tǒng)開發(fā)者應(yīng)向評(píng)估者提供一個(gè)文檔，該文檔描述測試計(jì)劃，怎樣測試安全機(jī)制的測

試過程以及安全機(jī)制的功能測試結(jié)果。它應(yīng)包括用來減少隱蔽信道帶寬方法的有效性測試結(jié)

果。

5.3.3.4.4設(shè)計(jì)文檔

設(shè)計(jì)文檔應(yīng)當(dāng)具有制造廠家的保護(hù)宗旨說明以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。也

應(yīng)描述TCB模塊之間的接口。由TCB實(shí)施的安全策略模型形式化描述應(yīng)是可用的，并且證明

它對(duì)實(shí)施安全策略是足夠的。應(yīng)當(dāng)標(biāo)識(shí)特定的TCB保護(hù)機(jī)制，而目.給出一種解釋表示它們滿

足該模型。應(yīng)當(dāng)表明描述性頂層規(guī)格說明是TCB接口的準(zhǔn)確描述。文檔應(yīng)描述TCB怎樣實(shí)施

基準(zhǔn)監(jiān)控器概念，并解釋它為什么能防篡改，為什么不能被旁越，以及為什么它能被正確

地實(shí)現(xiàn)。TCB的實(shí)現(xiàn)（如硬件、固件和軟件方式）應(yīng)非形式化地表明與描述性頂層規(guī)格說明相

一致。應(yīng)使用非形式化技術(shù)表明描述性頂層規(guī)格說明的要素與TCB單元相一致。文檔應(yīng)描述

如何構(gòu)造TCB才便于測試和實(shí)施最小特權(quán)。該文檔還應(yīng)給出隱蔽信道分析的結(jié)果和與限定該

信道有關(guān)的折衷方案。應(yīng)當(dāng)標(biāo)識(shí)可用來利用已知隱蔽存儲(chǔ)信道的所有可審計(jì)事件。由于已知

隱蔽存儲(chǔ)信道的使用不是用審計(jì)機(jī)制可檢測的，所以應(yīng)提供己知隱蔽存儲(chǔ)信道的帶寬，見

附錄A（補(bǔ)充件）。

5.4A等：驗(yàn)證保護(hù)

本等級(jí)的特征是使用形式化安全驗(yàn)證方法，以保證系統(tǒng)采用的強(qiáng)制和自主安全控制能

有效地保護(hù)該系統(tǒng)存儲(chǔ)或處理的保密或其它敏感信息。為了證明TCB滿足設(shè)計(jì)、開發(fā)和實(shí)現(xiàn)

各方面的安全要求，需要擴(kuò)展文件。該等分為A1和超A1兩級(jí)。

5.4.1A1級(jí)：驗(yàn)證設(shè)計(jì)

A1級(jí)在功能上與B3級(jí)相同，不必增加任何關(guān)于策略或結(jié)構(gòu)特性的要求。本等級(jí)佗顯著

特點(diǎn)是用形式化頂層規(guī)范說明（FTLSO和驗(yàn)證技術(shù)來進(jìn)行分析?，以確保TCB完全正確地實(shí)現(xiàn)。

實(shí)際上，由于這種保證是開始于安全策略的形式化模型和設(shè)計(jì)形式化頂層規(guī)格說明，所以

它是不斷發(fā)展的。

在這里，無論使用何種特殊規(guī)格語言或驗(yàn)證系統(tǒng)，對(duì)該級(jí)的設(shè)計(jì)驗(yàn)證必須遵循以下五

條原則：

a.必須能對(duì)安全策略的形式化模型進(jìn)行清晰地驗(yàn)證和文件化，包括要求用數(shù)學(xué)方法證

明模型與公理的一致性，模型對(duì)安全策略支持的有效性。

b.形式化頂層規(guī)格說明必須提出包括TCB完成功能的同象定義和用于支持隔離執(zhí)行區(qū)

域的硬件或固件機(jī)制或硬件和固件機(jī)制的抽象定義。

c.如有驗(yàn)證工具，應(yīng)使用形式化技術(shù)證明TCB的形式化頂層規(guī)格說明和模型的一致性,

否則可采用非形式化技術(shù)。

d.必須能用非形式化技術(shù)證明TCB的工具（如：硬件、固件和軟件）與形式化頂層規(guī)格

說明的一致性。還能用非形式化技術(shù)證明形式化頂層規(guī)格說明的各要素對(duì)應(yīng)于TCB的各單位。

形式化頂層規(guī)格說明必須能表示符合安全策略要求的統(tǒng)一的保護(hù)機(jī)制，而且TCB各單元的

映射正是保護(hù)機(jī)制的要素。

e.必須使用形式化分析技術(shù)去標(biāo)識(shí)和分析隱蔽信道，非形式化技術(shù)可用于標(biāo)識(shí)隱蔽定

時(shí)信道，在系統(tǒng)中，必須對(duì)被標(biāo)識(shí)的隱蔽信道的連續(xù)存在加以說明。

為了配合A1級(jí)所要求的TCB擴(kuò)展設(shè)計(jì)和開發(fā)分析，需要更嚴(yán)格的配置管理，并建立把

該級(jí)安全地分配到現(xiàn)場的過程。要支持系統(tǒng)安全管理員。

下述是A1級(jí)的最低要求

5.4.1.1安全策略

5.4.1.1.1自主訪問控制

TCB應(yīng)在計(jì)算機(jī)系統(tǒng)已命名的用戶和已命