2023年軍用計算機(jī)安全評估準(zhǔn)則

軍用計算機(jī)安全評估準(zhǔn)則

GJB2646-96

Militarycomputersecurityevaluationcriteria

（國防科學(xué)技術(shù)工業(yè)委員會1996年6月4E發(fā)布1996年12月1口實施）

一范圍

1.1主題內(nèi)容

本標(biāo)準(zhǔn)規(guī)定了評估計算機(jī)安全的準(zhǔn)則，等級劃分及每個等級的安全要求。

1.2適用范圍

本標(biāo)準(zhǔn)適用于軍用計算機(jī)安全評估，主要面向操作系統(tǒng)，也適用于其他需要進(jìn)行安全評

估的計算機(jī)。

二引用文件

GJB2255-95軍用計算機(jī)安全術(shù)語

三定義

3.1術(shù)語

本章未列入的術(shù)語，見GJK2255。

3.1.1自主保護(hù)discretionaryprotection

辨識用戶身份和他們的需求，限制用戶使用信息的訪問控制的方法。

3.1.2強(qiáng)制訪問控制mandatoryaccesscontrol

根據(jù)客體所包含信息的敏感性以及主體訪問此類敏感信息的權(quán)限,限制主體訪問客體的

方法。

3.1.3安全等級securitylevel

為表示信息的不同敏感度，按保密程度不同對信息進(jìn)行層次劃分的組合或集合。

3.1.4審計audit

對影響系統(tǒng)安全的各種活動進(jìn)行記錄并為系統(tǒng)安全員提供安全管理依據(jù)的程序。

3.1.5隔離isolation

為防止其他用戶或程序的非授權(quán)訪問，把操作系統(tǒng)、用戶程序、數(shù)據(jù)文件加以彼此獨立

存儲的行為。

3.1.6可信計算基(TCB)trustedcomputingbase

計算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固體、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。

它建立了一-個基本的保護(hù)環(huán)境并提供一個可信計算系統(tǒng)所要求的附加用戶服務(wù)。

3.1.7敏感標(biāo)號sensitivitylabel

表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算基中把敏感標(biāo)號作為

強(qiáng)制訪問控制決策的依據(jù)，

3.1.8系統(tǒng)完整性systemintegrity

系統(tǒng)不能以非授權(quán)手段被破壞或修改的性質(zhì)。

3.1.9描述性頂層規(guī)格說明(DTLS)descriptivetop-levelspecification

用自然語言、形式化程序設(shè)計符號，或兩者結(jié)合寫在的一種最高層的設(shè)計規(guī)格說明書。

3.1.10形式化頂層規(guī)格說明(FILS)formaltop-levelspecification

用形式化數(shù)學(xué)語言寫成的一種高層規(guī)格說明書。使用這種規(guī)格，可以從理論上證明假定

的形式化要求與系統(tǒng)規(guī)格的一致性。

3.1.11最小特權(quán)原則principleofleastprivilege

為完成特定任務(wù)，授予主體所需要的最小訪問特權(quán)的過程、策略。

3.1.12分層密級hierarchicalclassification

用層次結(jié)構(gòu)的方式將主體和客體分成不同的保密等級。

3.1.13粒度granularity

一次訪問操作所涉及到的訪問對象的大小。

四一般要求

計算機(jī)系統(tǒng)安全將通過使用特定的安全特性控制對信息的訪問，只有被授權(quán)的人或為

人服務(wù)的操作過程可以對信息進(jìn)行訪問。在本準(zhǔn)則中提出了以下六條要求。4.1安全策略

必須有一種由系統(tǒng)實施的、明確的和定義好的安全黃略。對于主體和客體，必須有一個

由系統(tǒng)使用的規(guī)則集合。利用這個規(guī)則合來決定是否允許一個給定的主體對一特定客體訪問。

對于處理敏感信息的計算機(jī)系統(tǒng)必須施加一種強(qiáng)制安全策略來有效地實現(xiàn)訪問規(guī)則。這些規(guī)

則要求包括：任何人如果缺少適當(dāng)?shù)陌踩S可證都不能獲得對敏感信息的訪問；同時也要

求有自主的安全控制，以保證只有指定的用戶或用戶組才可以獲得對數(shù)據(jù)的訪問。

4.4.2標(biāo)號

客體應(yīng)當(dāng)按敏感程度加以標(biāo)號，訪問控制標(biāo)號必須與客體聯(lián)系起來。為了控制對存儲在

計算機(jī)內(nèi)的信息進(jìn)行訪問，根據(jù)強(qiáng)制安全策略規(guī)則，每個客體必須有一個標(biāo)號，這個標(biāo)號

表示客體的敏感級別并記錄哪些主體可以對特定的客體進(jìn)行訪問的方式。

4.3標(biāo)識

每個主體都必須在驗明身份（身份標(biāo)識）后才能對客體進(jìn)行訪問。每次對信息的訪問都應(yīng)

標(biāo)識誰在要求訪問，他有權(quán)訪問什么信息？標(biāo)識和授權(quán)信息必須由計算機(jī)系統(tǒng)在秘密情況

下進(jìn)行維護(hù)并與完成某些與安全有關(guān)動作的每個活動元素結(jié)合起來。

4.4責(zé)任

對審計信息應(yīng)有選擇地保存并妥善加以保護(hù)，以便以后對影響安全的動作進(jìn)行跟蹤,

查清責(zé)任。一個可信系統(tǒng)應(yīng)將與安全有關(guān)的事件記錄在一個審計日志中，為了降低審計費用

并提高分析效率，必須具有選擇審計事件的能力。審計信息必須很好地保護(hù)，以防修改和未

經(jīng)授權(quán)的毀壞。

4.5保證

計算機(jī)系統(tǒng)應(yīng)包括能使上述各條要求實現(xiàn)所必須的硬件和軟件機(jī)制，必須有一批硬件

和軟件控制，這些機(jī)制可嵌入操作系統(tǒng)內(nèi)，并用秘密方法執(zhí)行指定的任務(wù)。這些機(jī)制應(yīng)在文

件中寫清楚并能獨立檢驗其結(jié)果，以便能獨立地考評它們是否充分。

4.6連續(xù)保護(hù)

對實現(xiàn)上述基本要求的可信機(jī)制必須能連續(xù)地提供保護(hù)，以對抗未授權(quán)的篡改.圻果實

現(xiàn)上述策略的硬件和軟件機(jī)制本身遭到未授權(quán)的修改或破壞，那么這個計算機(jī)系統(tǒng)是做不

到真正安全的。連續(xù)保護(hù)要求與計算機(jī)系統(tǒng)的整個生存周期有著直接的關(guān)系。

五詳細(xì)要求

本準(zhǔn)則根據(jù)上述六條要求，按處理的信息等級和采取的相應(yīng)措施，將計算機(jī)系統(tǒng)的安

全分為四等八級別。D為最低等級，隨著等級的提高，系統(tǒng)可信度也隨之增加，風(fēng)險逐漸減

少。

注：在本標(biāo)準(zhǔn)中，凡是使用黑體字的部分均表示在較低等級中不包含那些要求，或表

示對已定義要求的變動和增加；凡是不使用黑體字的部分均表示這些要求與較低等級的那

些對應(yīng)要求相同。

5.1D等：最小保護(hù)

本等只含一級，它是為那些已作評估，但不能滿足紋高評估等級要求的系統(tǒng)而準(zhǔn)備的。

5.2C等：自主保護(hù)

本等分為C1和C1兩個級別，它主要提供自主訪問控制保護(hù)，并具有對主體責(zé)任和他們

的初始動作審計的能力。

5.2.1C1級：自主安全保護(hù)

Cl級的可信計算基（TCB）通過提供用戶與數(shù)據(jù)的分離來標(biāo)稱滿足無條件安全要求。它包

括某種形式的可信控制，以便能在個體基礎(chǔ)上執(zhí)行訪問限制，即外表上允許用戶保護(hù)項目

和保護(hù)私有數(shù)據(jù)，并阻止其他用戶意外地讀取或破壞他們的數(shù)據(jù)。C1級環(huán)境是在同一敏感等

級上處理數(shù)據(jù)的那些協(xié)同用戶所要求的。卜.述是C1級的最低要求。

5.2.1.1安全策略

5.2.1.1.1自主訪問控制

TCB應(yīng)在計算機(jī)系統(tǒng)已命名的用戶和已命名的客體（如文件和程序）之間進(jìn)行定義和控

制訪問。實施機(jī)制（如自身/組/公共控制，訪問控制表）應(yīng)允許用戶通過己命名的單個用戶或

已定義的組或兩者來規(guī)定和控制這些客體的共享。

5.2.1.2責(zé)任

5.2.1.2.1標(biāo)識和鑒別

在開始執(zhí)行TCB仲裁的任何其他動作之前，TCB要求用戶自己向TCB作出標(biāo)識。因此,

TCB應(yīng)使用?種受保護(hù)的機(jī)制（如口令）來鑒別用戶的身份。TCB應(yīng)保護(hù)鑒別數(shù)據(jù)，以使它不

能被任何未授權(quán)用戶訪問，

5.2.1.3保證

5.2.1.3.1操作保證

5.2.1.3.1.1系統(tǒng)體系結(jié)構(gòu)

TCB應(yīng)維持它自己執(zhí)行的區(qū)域，以保護(hù)它免受外部干預(yù)或篡改（如它代碼或數(shù)據(jù)結(jié)構(gòu)

的修改）。由TCB控制的資源可以是計算機(jī)系統(tǒng)中已定義的主體和客體的子集。

5.2.1.3.1.2系統(tǒng)完整性

應(yīng)提供硬件特性或軟件特性或同時提供兩者，用于定期地驗證TCB硬件和固件單元的

運行正確性。

5.2.1.3.2生存周期保證

5.2.1.3.2.1安全測試

應(yīng)對計算機(jī)系統(tǒng)的安全機(jī)制進(jìn)行測試，并按系統(tǒng)文檔的要求工作。測試應(yīng)當(dāng)保證：沒有

明顯的讓未授權(quán)用戶旁越的途徑，或沒有其他擊敗TCB安全保護(hù)機(jī)制的方法，見附錄C（補(bǔ)

充件）。

5.2.1.4文檔

5.2.1.4.1安全特性為用戶指南

用戶文檔中的摘要、章節(jié)或手冊應(yīng)描述由TCB提供的保護(hù)機(jī)制，有關(guān)它們使用的指南以

及它們?nèi)绾蜗嗷プ饔谩?/p>

5.2.1.4.2可信設(shè)施手冊

向計算機(jī)系統(tǒng)管理員提供的手冊應(yīng)提出有關(guān)功能和特權(quán)的警告，這種特權(quán)在一個安全

設(shè)施運行時應(yīng)受到控制。

5.2.1.4.3測試文檔

系統(tǒng)開發(fā)者應(yīng)向評估者提供一個文檔，該文檔描述測試計劃，怎樣測試安全機(jī)制的測

試過程，以及安全機(jī)制的功能測試結(jié)果。

5.2.1.4.4設(shè)計文檔

設(shè)計文檔應(yīng)當(dāng)具有描述制造廠家的保護(hù)宗旨以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。如

果TCB是由不同的模塊組成，則應(yīng)描述這些模塊之間的接口。

5.2.2C2級:可控制訪問保護(hù)

這一級實施一種比C1級粒度更細(xì)的自主訪問控制?？赏ㄟ^注冊過程、與安全相關(guān)事件

的審計以及資源隔離等措施，使用戶對它們的活動分別負(fù)責(zé)。下述是C2級的最低要求。

5.2.2.1安全策略

5.2.2.1.1自主訪問控制

TCB應(yīng)在計算機(jī)系統(tǒng)已命名的用戶和已命名的客體（如文件和程序）之間進(jìn)行定義和控

制訪問。實施機(jī)制（如自身/組/公共控制，訪問控制表）應(yīng)允許用戶通過已命名的單個用戶或

已定義的單個用戶組或兩者來規(guī)定和控制這些客體的共享，同時應(yīng)提供控制，以限制訪問

權(quán)利的擴(kuò)散。自主訪問控制機(jī)制應(yīng)當(dāng)按明確的用戶動作或按默認(rèn)值向客體提供保護(hù)，避免無

授權(quán)的訪問。這些訪問控制應(yīng)既能包括或乂能排除單用戶粒度的訪問。如已不具有訪問許可

的用戶要得到對一個客體的訪問許可，只應(yīng)當(dāng)由授權(quán)用戶分配。

5.2.2.1.2客體重用

在向一個主體初始轉(zhuǎn)讓、分配或重分配TCB的未使用存儲器客體池之前，應(yīng)廢除所有包

含在存儲器客體內(nèi)的信息授權(quán)。對已釋放回系統(tǒng)的客體，有訪問權(quán)的任何主體都不能使用任

何先前主體動作產(chǎn)生的信息，包括已加密表示的信息。

5.2.2.2責(zé)任

5.2.2.2.1標(biāo)識和鑒別

在開始執(zhí)行TCB仲裁的任何其他動作之前，TCB要求用戶自己向TCB作出標(biāo)識。因此,

TCB應(yīng)使用一種受保護(hù)的機(jī)制（如口令）來鑒別用戶的身份，TCB應(yīng)保護(hù)鑒別數(shù)據(jù)，以使它不

能被任何未授權(quán)用戶訪問，TCB應(yīng)通過提供極好的保護(hù)計算機(jī)系統(tǒng)各個單個用戶的能力來實

現(xiàn)其責(zé)任。TCB還應(yīng)當(dāng)提供把這種身份與該單個用戶發(fā)生的所有可審計動作相聯(lián)系的能力。

5.2.2.2.2審計

TCB應(yīng)能建立、維持和保護(hù)對它所保護(hù)的客體訪問的審計跟蹤，防止修改、未授權(quán)訪問

或破壞。審計數(shù)據(jù)應(yīng)受TCB保護(hù)，以便對它的讀訪問被限制在對審計數(shù)據(jù)已授權(quán)的那些用戶

上。TCB應(yīng)能記錄下述類型的事件：標(biāo)識和鑒別機(jī)制的使用;把客體引入到一個用戶佗地址

空間（如打開文件，起動程序）；刪除客體；計算機(jī)操作員、系統(tǒng)管理員或系統(tǒng)安全員或后兩者

同時所發(fā)生的動作；以及其他有關(guān)的安全事件。對每個己汜錄的事件，審計記錄應(yīng)標(biāo)出:事件

發(fā)生的口期和時間；用戶、事件的類型；事件的成功或失敗。對于標(biāo)識和鑒別事件，請求源

（如終端ID）也應(yīng)包括在審計記錄中。對于把客體引入用戶地址空間的事件和客體刪除事件，

審計記錄也應(yīng)包括客體名。計算機(jī)系統(tǒng)管理員應(yīng)能基于單個用戶身份有選擇地審計任一或多

個用戶的活動。

5.2.2.3保證

5.2.2.3.1操作保證

5.2.2.3.1.1系統(tǒng)體系結(jié)構(gòu)

TCB應(yīng)維持它自己執(zhí)行的區(qū)域，以保護(hù)它免受外部干預(yù)或篡改（如對它的代碼或數(shù)據(jù)結(jié)

構(gòu)進(jìn)行修改）。由TCB控制的資源可以是計算機(jī)系統(tǒng)中已定義的主體和客體的子集。TCB應(yīng)

隔離被保護(hù)的資源，以使它們易受訪問控制，并達(dá)到審計要求。

5.2.2.3.1.2系統(tǒng)完整性

應(yīng)提供硬件特性或軟件特性或同時提供兩者，用于定期地驗證TCB硬件和固件單元的

運行正確性。

5.2.2.3.2生存周期保證

5.2.2.3.2.1安全測試

應(yīng)對計算機(jī)系統(tǒng)的安全機(jī)制進(jìn)行測試，并按系統(tǒng)文檔的要求工作，測試應(yīng)當(dāng)保證；沒

有明顯的讓未授權(quán)用戶旁越的途徑，或沒有其他擊敗TCB安全保護(hù)機(jī)制的方法。測試還應(yīng)包

括搜索明顯的缺陷，這些缺陷會使資源隔離破壞或會允許對審計或鑒別數(shù)據(jù)的未授權(quán)訪問，

見附錄C（補(bǔ)充件）。

5.2.2.4文檔

5.2.2.4.1安全特性的用戶指南

用戶文檔中的摘要，章節(jié)或手冊應(yīng)描述由TCB提供的保護(hù)機(jī)制，有關(guān)它們使用的指南

以及它們?nèi)绾蜗嗷プ饔谩?/p>

5.2.2.4.2可信設(shè)施手冊

向計算機(jī)系統(tǒng)管理員提供的手冊應(yīng)提出有關(guān)功能和特權(quán)的警告，這種特權(quán)在一個安全

設(shè)施運行時應(yīng)受到控制。對各類審計事件，應(yīng)給出供檢查和維護(hù)審計文件以及詳細(xì)審計記錄

結(jié)構(gòu)用的規(guī)程。

5.2.2.4.3測試文檔

系統(tǒng)開發(fā)者應(yīng)向評估者提供?個文檔，該文檔描述測試計劃、如何測試安全機(jī)制的測試

過程以及安全機(jī)制的功能測試結(jié)果。

5.2.2.4.4設(shè)計文檔

設(shè)計文檔應(yīng)當(dāng)具有描述制造廠家的保護(hù)宗旨以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解糅。如

果TCB是由不同的模塊組成，則應(yīng)描述這些模塊之間的接口。

5.3B等：強(qiáng)制保護(hù)

本等分為Bl,B2和B3三個級別，它主要要求客體必須保留敏感標(biāo)號,TCB利用它去施

加強(qiáng)制訪問控制保護(hù)。在本等級中，對于計算機(jī)系統(tǒng)中大多數(shù)數(shù)據(jù)結(jié)構(gòu)都必須帶有敏感標(biāo)號;

系統(tǒng)開發(fā)者要提供安全策略模型，根據(jù)此模型生成TCB。同時系統(tǒng)開發(fā)者也要提供TCB的技

術(shù)規(guī)范說明并提供基準(zhǔn)監(jiān)控器概念J被實現(xiàn)的證據(jù)。

5.3.1B1級：有標(biāo)號的安全保護(hù)

B1級要求具有C2級的全部特征。另外，必須提出安全策略模型的非形式化說明、數(shù)據(jù)

標(biāo)號以及已命名主體對客體的強(qiáng)制訪問控制。對輸出信息必須有正確的標(biāo)號能力；必須排除

任何經(jīng)測試而標(biāo)識的缺陷,下述是B1級的最低要求。

5.3.1.1安全策略

5.3.1.1.1自主訪問控制

TCB應(yīng)在計算機(jī)系統(tǒng)已命名的用戶和已命名的客體（如文件和程序）之間進(jìn)行定義和控

制訪問。實施機(jī)制（如自身/組/公共控制，訪問控制表）應(yīng)允許用戶通過已命名的單個用戶或

已定義的單個用戶組或兩者來規(guī)定和控制這些客體的共享，同時應(yīng)提供控制，以限制訪問

權(quán)利的擴(kuò)散。自主訪問控制應(yīng)既能包括或乂能排除單用戶粒度的訪問。如已不具有訪問許可

的用戶要得到對一個客體的訪問許可，只應(yīng)當(dāng)由授權(quán)用戶分配。

5.3.1.1.2客體重用

在向一個主體初始轉(zhuǎn)讓、分配或重分配TCB的未使用存儲器客體池之前，應(yīng)廢除所有包

含在存儲器客體內(nèi)的信息授權(quán)。對已釋放回系統(tǒng)的客體，有訪問權(quán)的任何主體都不能使用任

何先前主體動作產(chǎn)生的信息，包括已加密表示的信息。

5.3.1.1.3標(biāo)號

與每個主體及在其控制下的存儲器客體（如進(jìn)程、文件、段、設(shè)備）有關(guān)的敏感標(biāo)號應(yīng)由

TCB維護(hù)。這些標(biāo)號應(yīng)被用作強(qiáng)制訪問控制判斷的依據(jù)。為了輸入無標(biāo)號的數(shù)據(jù)，TCB應(yīng)提

出要求，并從授權(quán)用戶那里接受該數(shù)據(jù)的安全等級，而且TCB應(yīng)對主體的所有這類活動都

能

進(jìn)行審計。

5.3.1.1.3.1標(biāo)號完整性

敏感標(biāo)號應(yīng)能準(zhǔn)確地表示特定主體或客體的安全等級，主體和客體應(yīng)以此發(fā)生關(guān)聯(lián)。當(dāng)

TCB輸出時，敏感標(biāo)號應(yīng)能準(zhǔn)確地和明確地表示內(nèi)部標(biāo)號，而且應(yīng)與正在輸出的信息發(fā)生

聯(lián)系。

5.3.1.1.3.2有標(biāo)號信息的輸出

TCB應(yīng)對每個通信信道和1/（）設(shè)備標(biāo)明單級或多級。這個標(biāo)志的任何變化都應(yīng)由人工實

現(xiàn)，并可由TCB審計。TCB應(yīng)維持并且能夠?qū)Π踩燃壍娜魏巫兓M(jìn)行審定，或?qū)εc通信信

道或I/O設(shè)備有關(guān)的等級進(jìn)行審計。

5.3.1.1.3.2.1向多級設(shè)備的輸出

當(dāng)TCB將一客體輸出到一個多級I/O設(shè)備時，與該客體有關(guān)的敏感標(biāo)號也應(yīng)輸出。應(yīng)與

輸出信息相同的形式（如機(jī)器可讀或人可讀形式）駐留在同一物理媒體上。當(dāng)TCB在多級通信

信道上輸出或輸入一客體時，該信道使用的協(xié)議應(yīng)在敏感標(biāo)號和被發(fā)送或被接收的有關(guān)信

息之間提供明確的配對關(guān)系。

5.3.1.1.3.2.2向單級設(shè)備的輸出

單級I/O設(shè)備和單級通信信道不需要維持其處理信總的敏感標(biāo)號。但是TCB應(yīng)包含一種

機(jī)制，TCB和一個授權(quán)用戶按該機(jī)制可靠地與指定的單安全級的信息通信。這種信息經(jīng)由單

級通信信道或I/O設(shè)備輸入/輸出。

5.3.1.1.3.2.3人可讀標(biāo)記的輸出

計算機(jī)系統(tǒng)管理員應(yīng)能規(guī)定與輸出敏感標(biāo)號有關(guān)的可打印標(biāo)號名。TCB應(yīng)標(biāo)記所有人可

讀的、編頁的、具有人可溟的敏感標(biāo)號的硬拷貝輸出（如行打E「J機(jī)輸出）的開始和結(jié)束，它適

當(dāng)?shù)谼表示輸出敏感性。TCB應(yīng)按默認(rèn)值標(biāo)記人可讀的、編頁的、具有人可讀的敏感標(biāo)號的

硬拷貝輸出（如行打印機(jī)輸出）每頁的頂部和底部，它適當(dāng)?shù)?）表示該輸出總的敏感性，或

適當(dāng)?shù)?）表示該頁信息的敏感性。TCB應(yīng)該按默認(rèn)值，弁以-一種適當(dāng)方法標(biāo)記具有人可讀的

敏感標(biāo)號的其他形式的人可讀的輸出（如圖、圖形），它適當(dāng)?shù)?）表示該輸出的敏感性。這

些標(biāo)記默認(rèn)值的任何濫用都應(yīng)由TCB審計。

注：1）人可讀敏感標(biāo)號的分層密級應(yīng)等于與該標(biāo)號輸出有關(guān)的任何信息的最大分層密

級；非分層等級應(yīng)包括與該標(biāo)號輸出有關(guān)信息的全部非分層等級，但不包括其他非分層等

級。

5.3.1.1.4強(qiáng)制訪問控制

TCB應(yīng)對全部主體及在其控制下的存儲器客體（如進(jìn)程、文件、段、設(shè)備）實施強(qiáng)制訪問

控制策略。這些主體和客體，應(yīng)給予敏感標(biāo)號，這些標(biāo)號是分層密級和非分層等級的結(jié)合,

而且應(yīng)作為強(qiáng)制訪問控制判斷的依據(jù)。TCB應(yīng)能支持兩種或兩種以上安全等級，見附錄B（補(bǔ)

充件）。對于在受TCB控制的主體和客體之間的全部訪問應(yīng)遵循下列要求：僅當(dāng)主體安全級

中的分層密級大于或等于客體安全級中的分層密級，而主體安全級中非分層等級包括了

客體安全級中全部非分層等級時，主體才能讀一個客體。僅當(dāng)主體安全級中分層密級小于等

于客體安全級中分層密級，而且主體安全級中非分層等級被包含在客體安全級中非分層等

級時，主體才能寫一個客體。TCB應(yīng)該用標(biāo)識和鑒別數(shù)據(jù)來鑒別用戶的身份，并用來保證那

些相對于TCB外部的可代表單個用戶建立動作的主體的安全等級和授權(quán)，并且受批準(zhǔn)和授

權(quán)的那個用戶支配。

5.3.1.2責(zé)任

5.3.1.2.1標(biāo)識和鑒別

在開始執(zhí)行TCB仲裁的任何其他動作之前，TCB要求用戶自己向TCB作出標(biāo)識。因此,

TCB應(yīng)維持鑒別數(shù)據(jù)，該數(shù)據(jù)包括用于驗證單個用戶身份的信息以及用于確定批準(zhǔn)和授權(quán)

單個用戶的信息，這種數(shù)據(jù)應(yīng)被TCB用來鑒別用戶身份，以及保證那些相對于TCB外部的可

代表單個用戶建立動作的主體的安全等級和授權(quán)，并且受批準(zhǔn)和授權(quán)那個用戶支配.TCB應(yīng)

保護(hù)鑒別數(shù)據(jù)，以使它不能被任何未授權(quán)用戶訪問.TCB應(yīng)通過提供極好的標(biāo)識計算機(jī)系統(tǒng)

各個單個用戶的能力來實現(xiàn)其責(zé)任。TCB還應(yīng)具有把這種身份與該單個用戶發(fā)生的所有可審

計動作相聯(lián)系的能力。

5.3.1.2.2審計

TCB應(yīng)能建立、維持和保護(hù)對它所保護(hù)的客體訪問的審計跟蹤，防止修改、未授權(quán)訪問

或破壞。審計數(shù)據(jù)應(yīng)受TCB保護(hù)，以便對它的讀訪問被限制在對審計數(shù)據(jù)已授權(quán)的那些用戶

上。TCB應(yīng)能記錄下述類型的事件：標(biāo)識和鑒別機(jī)制的作用；把客體引入到一個用戶的地址

空間（如打開文件，起動程序）；刪除客體；計算機(jī)操作員、系統(tǒng)管理員或系統(tǒng)安全員或后兩

者同時所發(fā)生的動作；以及其他有關(guān)的安全事件。TCB還應(yīng)能審計人可讀標(biāo)記的輸出的任何

濫用。對每個記錄的事件，審計記錄應(yīng)標(biāo)出：事件發(fā)生的日期和時間；用戶事件的類型；事件

的成功或失敗。對于標(biāo)識和鑒別事件，請求源（如終端：D）應(yīng)包括在審計記錄中。對于把客

體引入用戶地址空間的事件和客體刪除事件，審計記錄應(yīng)包括客體名和客體的安全等級。計

算機(jī)系統(tǒng)管理員應(yīng)能基于每個用戶身份或客體安全級或同時基于兩者有選擇地審計任一或

多個用戶的活動。

5.3.1.3保證

5.3.1.3.1操作保證

5.3.1.3.1.1系統(tǒng)體系結(jié)構(gòu)

TCB應(yīng)維持它自己執(zhí)行的區(qū)域，以保護(hù)它免受外部干預(yù)或篡改（如對它的代碼或數(shù)據(jù)結(jié)

構(gòu)進(jìn)行修改）。由TCB控制的資源可以是計算機(jī)系統(tǒng)中已定義的主體和客體的子集。TCB應(yīng)

在其控制下通過提供不同的地址空間來維護(hù)進(jìn)程隔離。TCB應(yīng)隔離被保護(hù)的資源，以使它們

易受訪問控制，并達(dá)到審計要求。

5.3.1.3.1.2系統(tǒng)完整性

應(yīng)提供硬件特性或軟件特性或同時提供兩者，用于定期地驗證TCB硬件和固件單元的

運行正確性。

5.3.1.3.2生存周期保證

5.3.1.3.2.1安全測試

應(yīng)對計算機(jī)系統(tǒng)的安全機(jī)制進(jìn)行測試，并按系統(tǒng)文檔的要求工作。一個充分熟悉TCB

特定實現(xiàn)的小組應(yīng)詳細(xì)分析和測試它的設(shè)計文檔、源代碼和目標(biāo)代碼。他們的目標(biāo)應(yīng)是：暴

露全部設(shè)計和實現(xiàn)的缺陷，這些缺陷將允許一個TCB外H勺主體去讀、更改或刪除通常在TCB

執(zhí)行強(qiáng)制或自主安全策略時拒絕的數(shù)據(jù)，并且保證沒有主體（尚未授權(quán)）能使TCB進(jìn)入一種

對其它用戶發(fā)起的通信作出響應(yīng)的狀態(tài)。所有已發(fā)現(xiàn)的缺陷應(yīng)被糾正，或者其無效，而且

TCB應(yīng)重新測試，以驗證已缺陷，并證明沒有產(chǎn)生新的缺陷，見附錄C（補(bǔ)充件）。

5.3.1.3.2.2設(shè)計規(guī)格說明和驗證

應(yīng)在計算機(jī)系統(tǒng)的整個生命周期內(nèi)維持由TCB支撐的安全策略的非形式化或形式化模

型，并應(yīng)證實與它的原理相一致。

5.3.1.4文檔

5.3.1.4.1安全特性的用戶指南

用戶文檔中的摘要、章節(jié)或手冊應(yīng)描述由TCB提供的保護(hù)機(jī)制、有關(guān)它們使用的指南以

及它們?nèi)绾蜗嗷プ饔谩?/p>

5.3.1.4.2可信設(shè)施手冊

向計算機(jī)系統(tǒng)管理員提供的手冊應(yīng)提出有關(guān)功能和特權(quán)的警告，這種特權(quán)在一個安全

設(shè)施運行時應(yīng)受到控制。對各類審計事件，應(yīng)給出供檢查和維護(hù)審計文件以及詳細(xì)審計記錄

結(jié)構(gòu)用的規(guī)程。手冊應(yīng)描述操作員和管理員有關(guān)安全功能和用戶安全特征的變化。它應(yīng)提供

有關(guān)系統(tǒng)保護(hù)特性的一致和有效的用法。如他們怎樣互相作用，怎樣安全地生成一個新的

TCB;提供設(shè)施規(guī)程、警告和需要受控的特權(quán)，以便安全地操作該設(shè)施。

5.3.1.4.3測試文檔

系統(tǒng)開發(fā)者應(yīng)向評估者提供一個文檔，該文檔描述測試計劃，如何測試安全機(jī)制的測

試過程，以及安全機(jī)制的功能測試結(jié)果。

5.3.1.4.4設(shè)計文檔

設(shè)計文檔應(yīng)當(dāng)具有制造廠家的保護(hù)宗旨說明以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。如

果TCB是由不同的模塊組成，則應(yīng)描述這些模塊之間的接口。由TCB實施的安全策略模型的

非形式化或形式化描述應(yīng)是可用的，而且提供一種解釋來表示實施安全策略是足夠的.應(yīng)當(dāng)

標(biāo)識特定的TCB保護(hù)機(jī)制.而且給出一種解釋表示它們滿足該模型。

5.3.2B2級：結(jié)構(gòu)化保護(hù)

在B2級中，TCB是是立在對形式化安全策略模型清晰定義和提供文檔的基礎(chǔ)之上的。

該模型要求執(zhí)行B1級所是立的自主和強(qiáng)制訪問控制，并擴(kuò)展到計算機(jī)系統(tǒng)的全部主體和客

體。另外，提出了隱蔽信道。TCB必須是仔細(xì)地構(gòu)成嚴(yán)格保護(hù)和非嚴(yán)格保護(hù)的單元。TCB接

口應(yīng)定義恰當(dāng)，而且TCB設(shè)計和實現(xiàn)能使它經(jīng)受比較徹底的測試和比較安全的檢查。要加強(qiáng)

鑒別機(jī)制，以支撐系統(tǒng)管理員和操作員功能的方式提供可信設(shè)施管理，而且要加強(qiáng)嚴(yán)格的

配置管理控制。該系統(tǒng)有相對的抗?jié)B透能力。下述是B2級的最低要求。

5.3.2.1安全策略

5.3.2.1.1自主訪問控制

TCB應(yīng)在計算機(jī)系統(tǒng)已命名的用戶和已命名的客體（如文件和程序）之間進(jìn)行定義和控

制訪問。實施機(jī)制（如自身/組/公共控制，訪問控制表）應(yīng)允許用戶通過已命名的單個用戶或

己定義的單個用戶組或兩者來規(guī)定和控制這些客體的共享，同時應(yīng)提供控制，以限制訪問

權(quán)利的擴(kuò)散。自主訪問控制機(jī)制應(yīng)當(dāng)按明確的用戶動作或按默認(rèn)值向客體提供保護(hù)，避免無

授權(quán)的訪問。這些訪問控制應(yīng)既能包括或乂能排除單用戶粒度的訪問。如已不具有訪問許可

的用戶要得到對一個客體的訪問許可，只應(yīng)當(dāng)由授權(quán)川戶分配。

5.3.2.1.2客體重用

在向一個主體初始轉(zhuǎn)讓、分配或重分配TCB的未使用存儲器客體池之前，應(yīng)廢除所有包

含在存儲器客體內(nèi)的信息授權(quán)。對已釋放回系統(tǒng)的客體，有訪問權(quán)的任何主體都不能使用任

何先前主體動作產(chǎn)生的信息，包括已加密表示的信息。

5.3.2.1.3標(biāo)號

與每個由TCB外部主體直接或間接訪問的計算機(jī)系統(tǒng)資源（如主體、存儲器客體、ROM）

有關(guān)的敏感標(biāo)號應(yīng)由TCB維護(hù)。這些標(biāo)號應(yīng)被用作強(qiáng)制訪問控制判斷的依據(jù)。為了輸入無標(biāo)

號的數(shù)據(jù)，TCB應(yīng)提出請求，并從授權(quán)用戶那里接受該數(shù)據(jù)的安全等級，而且TCB應(yīng)對所有

這類活動進(jìn)行審計。

5.3.2.1.3.1標(biāo)號完整性

敏感標(biāo)號應(yīng)能準(zhǔn)確地表示特定主體或客體的安全等級，主體和客體應(yīng)以此發(fā)生關(guān)聯(lián),

當(dāng)TCB輸出時，敏感標(biāo)號應(yīng)能準(zhǔn)確地和明確地表示內(nèi)部標(biāo)號，而且應(yīng)與正在輸出的信息發(fā)

生聯(lián)系。

5.3.2.1.3.2有標(biāo)號信息的輸出

TCB應(yīng)對每?個通信信道和I/O設(shè)備標(biāo)明單級或多級。這個標(biāo)志的任何變化都應(yīng)由人工

實現(xiàn)，并可由TCB審計。TCB應(yīng)維持并且能夠地安全等級的任何變化進(jìn)行審計，或?qū)εc通信

信道或I/O設(shè)備有關(guān)的等級進(jìn)行審計。

5.3.2.1.3.2.1向多級設(shè)備的輸出

當(dāng)TCB將一客體輸出到一個多級I/O設(shè)備時，與該客體有關(guān)的敏感標(biāo)號也應(yīng)輸出。應(yīng)與

輸出信息相同的形式（如機(jī)器可讀或人可讀形式）駐留在同一物理媒體上,當(dāng)TCB在多級通信

信道上輸出或輸入一客體時，該信道使用的協(xié)議應(yīng)在敏感標(biāo)號和被發(fā)送或被接收的有關(guān)信

息之間提供明確的配對關(guān)系。

5.3.2.1.3.2.2向單級設(shè)備的輸出

單級I/O設(shè)備和單級通信信道不需要維持其處理信息的敏感標(biāo)號。但是TCB應(yīng)包含一種

機(jī)制，TCB和一個授權(quán)用戶按該機(jī)制可靠地與指定的單安全級的信息通信。這種信息經(jīng)由單

級通信信道或I/O設(shè)備輸入/輸出。

5.3.2.1.3.2.3人可讀標(biāo)記的輸出

計算機(jī)系統(tǒng)管理員應(yīng)能指定與輸出敏感標(biāo)號有關(guān)的可打印標(biāo)號名。TCB應(yīng)標(biāo)記所有人可

讀的、編頁的、具有人可讀敏感標(biāo)號的硬拷貝輸出（如行打印機(jī)輸出）的開始和結(jié)束，它適當(dāng)

地D表示輸出敏感性。TCB應(yīng)按默認(rèn)值標(biāo)記人可讀的、編頁的、具有人可讀的敏感度標(biāo)記的

硬拷貝輸出（如行打印機(jī)輸出）每頁的頂部和底部，它適當(dāng)?shù)?）表示該輸出總的敏感性，或

適當(dāng)?shù)?）表示該頁信息的敏感性。TCB應(yīng)該按默認(rèn)值，并以一種適當(dāng)方法標(biāo)記具有人可讀的

敏感標(biāo)號的其他形式的人可讀輸出（如圖、圖形），它適當(dāng)?shù)?）表示該輸出的械感性。這些

標(biāo)記默認(rèn)值的任何濫用都應(yīng)由TCB審計。

注：1）人可讀敏感標(biāo)號的分層密級應(yīng)等于與該標(biāo)號輸出有關(guān)的任何信息的最大分層密

級；非分層等級應(yīng)包括與該標(biāo)號輸出有關(guān)信息的全部非分層等級，但不包括其他非分層等

級。

5.3.2.1.3.3主體敏感標(biāo)號

在終端用戶交互對話期內(nèi)，與該用戶有關(guān)的安全等級的各種變化，TCB應(yīng)立即通知該用

戶。當(dāng)需要顯示完整的主體敏感標(biāo)號時，終端用戶應(yīng)能向TCB提出詢問。

5.3.2.1.3.4設(shè)備標(biāo)號

對各種附加物理設(shè)備：TCB應(yīng)能支持最小和最大安全等級的分配。TCB應(yīng)利用這些安全

等級來實施由該設(shè)備安放的物理環(huán)境的強(qiáng)加的約速。

5.3.2.1.4強(qiáng)制訪問控制

TCB應(yīng)對所有被TCB外部主體直接或間接存取的資源（如主體、存儲器客體以及I/O設(shè)

備）實施強(qiáng)制訪問控制策略。這些主體和客體應(yīng)給予敏感標(biāo)號。這些標(biāo)號是分層密級和非分

層等級的結(jié)合，而且應(yīng)作為強(qiáng)制訪問控制判斷的依據(jù)。TCB應(yīng)能支持兩種或兩種以上安全等

級，見附錄B（補(bǔ)充件）。對TCB外部的全部主體和由這些主體直接或間接存取的全部客體之

間的所有訪問應(yīng)遵循下列要求：僅當(dāng)主體安全級中的分層密級大于等于客體安全級中的分

層密級，而且主體安全級中非分層等級包括了客體安全級中全部非分層等級時，主體才能

讀一個客體僅當(dāng)主體安全級中分層密級小于等于客體安全級中分層密級，而且主體安全級

中非分層等級被包括在客體安全級中非分層等級時，主體才能寫一個客體。TCB應(yīng)該用標(biāo)識

和鑒別數(shù)據(jù)來鑒別用戶的身份，并用來保證那些相對于TCB外部可代表單個用戶建立動作

的主體的安全等級和授權(quán)：并且受批準(zhǔn)和授權(quán)的那個用戶支配。

5.3.2.2責(zé)任

5.3.2.2.1標(biāo)識和鑒別

在開始執(zhí)行TCB仲裁任何其他動作之前，TCB要求用戶自己向TCB作出標(biāo)識。因此，TCB

應(yīng)維持鑒別數(shù)據(jù)，該數(shù)據(jù)包括用于驗證單個用戶身份的信息以及用于確定批準(zhǔn)和授權(quán)單個

用戶的信息。這種數(shù)據(jù)應(yīng)被TCB用來鑒別用戶身份，以及保證那些相對于TCB外部可代表單

個用戶建立動作的主體的安全等級和授權(quán)，并旦受批準(zhǔn)和授權(quán)的那個用戶支配。TCB應(yīng)保護(hù)

鑒別數(shù)據(jù)，以使它不能被任何未授權(quán)用戶訪問。TCB應(yīng)通過提供極好的標(biāo)識計算機(jī)系統(tǒng)每個

單個用戶的能力來實現(xiàn)其責(zé)?任。TCB還應(yīng)具有把這種身份與該單個用戶發(fā)生的所有可審計動

作相聯(lián)系的能力。

5.3.2.2.1.1可信路徑

TCB應(yīng)在它自身與初始注冊及鑒別用戶之間支持一個可信的通信路徑，經(jīng)由這種路徑

的通信應(yīng)由一個用戶獨占地啟動。

5.3.2.2.2審計

TCB應(yīng)能建立、維護(hù)和保護(hù)對它所保護(hù)的客體訪問的審計跟蹤，防止修改、未授權(quán)訪問

或破壞。審計數(shù)據(jù)應(yīng)受TCB保護(hù)，以便對它的讀訪問被限制在對審計數(shù)據(jù)已授權(quán)的那些用戶

l-.oTCB應(yīng)能記當(dāng)下述類型的事件：標(biāo)識和鑒別機(jī)制的速用；把客體引入到一個用戶的地址

空間（如打開文件、啟動程序）；刪除客體;計算機(jī)操作員、系統(tǒng)管理員或系統(tǒng)安全員或后兩者

同時所發(fā)生的動作；以及其他有關(guān)的安全事件。TCB還應(yīng)能審計人可讀標(biāo)記輸出的任何潴用。

對每個已記錄的事件，審計記錄應(yīng)標(biāo)出：事件發(fā)生的日期和時間；用戶、事件的類型；事件

的成功或失敗。對于標(biāo)識和鑒別事件，請求源（如終端1D）應(yīng)包括在審計記錄中。對于把客

體引入用戶地址空間的事件和客體刪除事件，審計記錄應(yīng)包括客體名和客體的安全等級。計

算機(jī)系統(tǒng)管理員應(yīng)能基于單個用戶身份或客體安全級或同時基于兩者有選擇地審計任一或

多個用戶的活動。TCB應(yīng)能審計利用隱蔽存儲信道的標(biāo)識事件。

5.3.2.3保證

5.3.2.3.1操作保證

5.3.2.3.1.1系統(tǒng)體系結(jié)構(gòu)

TCB應(yīng)維護(hù)它自己執(zhí)行的區(qū)域，以保護(hù)它免受外來干預(yù)或篡改（如對它代碼或數(shù)據(jù)結(jié)構(gòu)

修改）oTCB應(yīng)在其控制下，通過提供不同的地址空間來維護(hù)進(jìn)行隔離。TCB內(nèi)部應(yīng)由定義恰

當(dāng)?shù)?、基本上獨立的模塊構(gòu)成。它應(yīng)有效地使用可獲得的硬件，把那些嚴(yán)格保護(hù)的單元與那

些不嚴(yán)格保護(hù)的單元分離開來。TCB模塊應(yīng)如此設(shè)計，以便它能實施最小特權(quán)原則。硬件中

諸如分段的特性，應(yīng)被用來支持邏輯上截然不同的存儲器客體，這些客體具有分離的屬性

（如：可讀、可寫）。應(yīng)完整地定義用戶與TCB的接口，并標(biāo)識所有TCB的單元。

5.3.2.3.1.2系統(tǒng)完整性

應(yīng)提供硬件特性或軟件特性或同時提供兩者，用于定期地驗證TCB硬件和固件單元的

運行正確性。

5.3.2.3.1.3隱蔽信道分析

系統(tǒng)開發(fā)者應(yīng)對隱蔽存儲信道作徹底地搜查，并且通過實際測量或通過工程估計確定

每個已標(biāo)識信道的最大帶寬，見附錄A（補(bǔ)充件）。

5.3.2.1.4可信設(shè)施管理

TCB應(yīng)支持操作員和管理員的職能分隔。

5.3.2.3.2生存周期保證

5.3.2.3.2.1安全測試

應(yīng)對計算機(jī)系統(tǒng)的安全機(jī)制進(jìn)行測試，并按系統(tǒng)文檔的要求工作。一個充分熟悉TCB

特定實現(xiàn)的小組應(yīng)詳細(xì)分析和測試它的設(shè)計文檔、源代碼和目標(biāo)代碼。它們的目標(biāo)應(yīng)是：暴

露全部設(shè)計和實現(xiàn)的缺陷：這些缺陷將允許一個TCB外的主體去讀、更改或刪除通常在TCB

實施強(qiáng)制或自主安全策略時拒絕的數(shù)據(jù)，并且保證沒有主體（尚未授權(quán)）能使TCB進(jìn)入一種

對其它用戶啟動的通信作出響應(yīng)的狀態(tài)。TCB應(yīng)建立相對的抗?jié)B透能力。所有已發(fā)現(xiàn)的缺陷

應(yīng)被糾正，而且TCB應(yīng)重新測試，以驗證已排除缺陷，并證明沒有產(chǎn)生新的缺陷。測試應(yīng)證

明TCB的實現(xiàn)與描述性頂層規(guī)格說明相一致，見附錄C（補(bǔ)充件）。

5.3.2.3.2.2設(shè)計規(guī)格說明和驗證

應(yīng)在計算機(jī)系統(tǒng)的整個生命周期內(nèi)維持由TCB支撐的安全策略形式化模型、并證明與它

的原理相一致。應(yīng)維持TC3的描述性頂層規(guī)格說明（DTLS）,以使用異常、出錯消息和影響等

方面來完整地和準(zhǔn)確地描述TCB,還應(yīng)說明描述性頂層規(guī)格說明是TCB接口的準(zhǔn)確描述。

5.3.2.3.2.3配置管理

在TCB開發(fā)和維護(hù)期間，應(yīng)把配置管理系統(tǒng)放在適當(dāng)?shù)奈恢?，以維持對描述性頂層規(guī)

格說明、其他設(shè)計數(shù)據(jù)、實現(xiàn)文檔、源代碼、目標(biāo)代碼的運行版本以及測試夾具和文檔等方

面改變的控制。配置管理系統(tǒng)應(yīng)保證與當(dāng)前TCB版本相關(guān)聯(lián)的所有文檔和代碼之間的一致的

映射。應(yīng)提供由源代碼生成新的TCB版本的工具。另外，本應(yīng)獲得TCB新舊版本比較的工具，

以便查明實際用作新版本的TCB的代碼只發(fā)生了所需的改動。

5.3.2.4文檔

5.3.2.4.1安全特性的用戶指南

用戶文檔中的摘要、章節(jié)或手冊應(yīng)描述由TCB提供的保護(hù)機(jī)制、有關(guān)它們使用的指南以

及它們?nèi)绾蜗嗷プ饔谩?/p>

5.3.2.4.2可信設(shè)施手冊

向計算機(jī)系統(tǒng)管理員提供的手冊應(yīng)提出有關(guān)功能和特權(quán)的警告，這種特權(quán)在一個安全

設(shè)施運行時應(yīng)受到控制。對各類審計事件，應(yīng)給出供檢查和維護(hù)審計文件以及詳細(xì)審計記錄

結(jié)構(gòu)用的規(guī)程。手冊應(yīng)描述操作員和管理員有關(guān)安全功能和用戶

安全特征的變化。它應(yīng)提供有關(guān)系統(tǒng)保護(hù)特性的一致和有效的用法。如它們怎樣互?相作

用，怎樣安全地生成一個新的TCB;提供設(shè)施規(guī)程、警告和需要受控的特權(quán)，以便安全地操

作該設(shè)施。應(yīng)標(biāo)識基準(zhǔn)確認(rèn)機(jī)制的TCB模塊。TCB的任何模塊修改后，應(yīng)描述由源代碼安全

生成新TCB過程。

5.3.2.4.3測試文檔

系統(tǒng)開發(fā)者應(yīng)向評估者提供一個文檔。該文檔描述測試計劃，怎樣測試安全機(jī)制的測試

過程，以及安全機(jī)制的功能測試結(jié)果；它應(yīng)包括用來減少隱蔽信道帶寬方法的有效性測試

結(jié)果。

5.3.2.4.4設(shè)計文檔

設(shè)計文檔應(yīng)當(dāng)具有制造廠家的保護(hù)宗旨說明以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。也

應(yīng)描述TCB模塊之間的接口。由TCB實施的安全策略模型形式化描述應(yīng)是可用的，并且證明

它對于實施安全策略是足夠的。應(yīng)當(dāng)標(biāo)識特定的TCB保護(hù)機(jī)制，而且給出一種解釋表示它們

滿足該模型。描述性頂層規(guī)格說明應(yīng)當(dāng)表明TCB接口的準(zhǔn)確描述。文檔應(yīng)描述TCB怎樣實現(xiàn)

基準(zhǔn)監(jiān)控器概念，并解稱它為什么能防篡改，為什么不能被旁越，以及為什么它能被正確

地實現(xiàn)。文檔應(yīng)描述如何物造TCB才便于測試和實施最小特權(quán)。該文檔還應(yīng)給出隱蔽信道分

析的結(jié)果和與限定該信道有關(guān)的折衷方案。應(yīng)當(dāng)標(biāo)識可用來利用已知隱蔽存儲信道的所有可

審計事件。由于已知隱蔽存儲信道的使用不是用審計機(jī)制可檢測的，所以應(yīng)提供已知隱蔽存

儲信道的帶寬，見附錄A（補(bǔ)充件）。

5.3.3B3級:安全域

B3級TCB必須滿足基準(zhǔn)監(jiān)控器的要求，以便它能仲裁所有主體向客體的訪問。它必須

是防篡改的，而且是小到足以提供分析和測試。為此，在TCB設(shè)計及實現(xiàn)期間，要用有效的

系統(tǒng)工程方法，使構(gòu)造的TCB能排除與安全策略實施無關(guān)的代碼，從而使其復(fù)雜性達(dá)到最

小。要支持安全管理員；要把審計機(jī)制擴(kuò)展到用信號報知與安全有關(guān)的事件；并且要提供系

統(tǒng)恢及過程。該系統(tǒng)有高度的抗?jié)B透能力。下述是B3級的最低要求：

5.3.3.1安全策略

5.3.3.1.1自主訪問控制

TCB應(yīng)在計算機(jī)系統(tǒng)已命名的用戶和已命名的客體（如文件和程序）之間進(jìn)行定義和控

制訪問。實施機(jī)制（如訪問控制表）應(yīng)允許用戶通過已命名的單個用戶或已定義的單個用戶組

或兩者來規(guī)定和控制這些客體的共享，同時應(yīng)提供控制，以限制訪問權(quán)利的擴(kuò)散。自主訪問

控制機(jī)制應(yīng)當(dāng)按明確的用戶動作或按默認(rèn)值向客體提供保護(hù)，避免無授權(quán)的訪問。對于每個

、命名的客體，這些訪問控制應(yīng)能規(guī)定一份」命名的單個用戶表和一份己命名的單個用戶

組表，以表示它們對該客體相應(yīng)的訪問方式。此外，對于每個已如此命名的客體，應(yīng)能規(guī)定

不能訪問該客體的已命名單個用戶表和已命名單個用戶組表。如已不擁有訪問許可的用戶要

得到對一個客體的訪問許可，只應(yīng)當(dāng)由授權(quán)用戶分配。

5.3.3.1.2客體重用

在向一個主體初始轉(zhuǎn)讓、分配或重分析TCB的未使用存儲器客體池之前，應(yīng)廢除所有包

含在存儲器客體內(nèi)的信息授權(quán)。對已釋放回系統(tǒng)的客體，有訪問權(quán)的任何主體都不能使用任

何先前主體動作產(chǎn)生的信息，包括已加密表示的信息。

5.3.3.1.3標(biāo)號

與每個由TCB外部主體直接或間接訪問的計算機(jī)系統(tǒng)資源（如主體、存儲器客體、ROM）

有關(guān)的敏感標(biāo)號應(yīng)由TCB維護(hù)。這些標(biāo)號應(yīng)被用作強(qiáng)制訪問控制判斷的依據(jù)。為了輸入無標(biāo)

號的數(shù)據(jù)。TCB應(yīng)提出請求，并從授權(quán)用戶那里接受該數(shù)據(jù)的安全等級，而且TCB應(yīng)對所有

這類活動進(jìn)行審計。

5.3.3.1.3.1標(biāo)號完整性

敏感標(biāo)號應(yīng)能準(zhǔn)確地表示特定主體或客體的安全等級，主體和客體應(yīng)以此發(fā)生關(guān)聯(lián)。當(dāng)

TCB輸出時，敏感標(biāo)號應(yīng)能準(zhǔn)確地和明確地表示內(nèi)部標(biāo)號，而且應(yīng)與止在輸出的信息發(fā)生

聯(lián)系。

5.3.3.1.3.2有標(biāo)號信息的輸出

TCB應(yīng)對每個通信信道和1/（）設(shè)備標(biāo)明單級或多級。這個標(biāo)志的任何變化都應(yīng)由人工實

現(xiàn)，并可由TCB審計。TCB應(yīng)維持并且能夠?qū)Π踩燃壍娜魏巫兓M(jìn)行審計，或?qū)εc通信信

道或I/O設(shè)備有在的等級進(jìn)行審計。

5.3.3.1.3.2.1向多級設(shè)備的輸出

當(dāng)TCB將一客體輸出到一個多級I/O設(shè)備時，與該客體有關(guān)的敏感標(biāo)號也應(yīng)輸出。應(yīng)與

輸出信息相同的形式（如機(jī)器可讀或人可讀形式）駐留在同一物理媒體上。當(dāng)TCB在多級通

信信道上輸出或輸入一客體時，該信道使用的協(xié)議應(yīng)在敏感標(biāo)號和被發(fā)送或被接收的有關(guān)信

息之間提供明確的配對關(guān)系。

5.3.3.1.3.2.2向單級設(shè)備的輸出

單級I/O設(shè)備和單級通信信道不需要維持其處理信息的敏感標(biāo)號。但是TCB應(yīng)包含一種

機(jī)制，TCB和一個授權(quán)用戶應(yīng)按該機(jī)制可靠地與指定的單安全級的信息通信。這種信息經(jīng)由

單級通信信道或I/O設(shè)備輸入/輸出。

5.3.3.1.3.2.3人可讀標(biāo)記的輸出

計算機(jī)系統(tǒng)管理員應(yīng)能指定與輸出敏感標(biāo)號有關(guān)的可打印標(biāo)號名。TCB應(yīng)標(biāo)記所有人可

讀的、編頁的、具有人可讀敏感標(biāo)號的硬拷貝輸出（如行打印機(jī)輸出）的開始和結(jié)束，它適當(dāng)

地1）表示輸出敏感性。TC3應(yīng)按默認(rèn)值標(biāo)記人可讀的、編頁的，具有人可讀的敏感標(biāo)記的硬

拷貝輸出（如行打印機(jī)輸出）每頁的頂部和底部，它適當(dāng)?shù)谼表示該輸出總的敏感性，或適

當(dāng)?shù)?）表示該頁信息的敏感性。TCB應(yīng)該按默認(rèn)值，并以一種適當(dāng)方法標(biāo)記具有人可讀敏感

標(biāo)號的其他形式的人可讀輸出（如圖、圖形），它適當(dāng)?shù)?）表示該輸出敏感性。這些默認(rèn)值

的任何濫用都應(yīng)由TCB審計。

注：1）人可讀敏感標(biāo)號的分層密級應(yīng)等于與該標(biāo)號輸出有關(guān)的任何信息的最大分層密

級；非分層等級應(yīng)包括與該標(biāo)號輸出有關(guān)信息的全部非分層等級，但不包括其他非分層等

級。

5.3.3.1.3.3主體敏感標(biāo)號

在終端用戶交互對話期內(nèi)，與該用戶有關(guān)的安全等級的各種變化TCB應(yīng)立即通知該用

戶。當(dāng)需要顯示完整的主體敏感標(biāo)號時，終端用戶應(yīng)能向TCB提出詢問。

5.3.3.1.3.4設(shè)備標(biāo)號

對各種附加物理設(shè)備.TCB應(yīng)能支持最小和最大安全等級的分配。TCB應(yīng)利用這些安全

等級來實施由該設(shè)備安放的物理環(huán)境所強(qiáng)加的約束。

5.3.3.1.4強(qiáng)制訪問控制

TCB應(yīng)對所有被TCB外部主體直接或間接訪問的資源（如主體、存儲器客體以及I/O設(shè)

備）實施強(qiáng)制訪問控制策略，這些主體和客體應(yīng)給予敏感標(biāo)號。這些標(biāo)號是分層密級和非分

層等級的結(jié)合，而且應(yīng)作為強(qiáng)制訪問控制判斷的依據(jù)。TCB應(yīng)能支持兩種或兩種以上安全等

級，見附錄B（補(bǔ)充件）。對TCB外部的全部主體和由這些主體直接或間接存取的全部客體之

間的所有訪問應(yīng)遵循下列要求：僅當(dāng)主體安全級中的分層密級大于等于客體安全級中的分

層密級，而且主體安全級中非分層等級包括「客體安全級中全部非分層等級時，主體才能

讀一個客全。僅當(dāng)主體安全級中分層密級小于等于客體安全級中分層密級，而且主體安全級

中非分層等級被包含在客體安全級中非分層等級時，主體才能寫一個客體。TCB應(yīng)該用標(biāo)識

和鑒別數(shù)據(jù)來鑒別用戶的身份，并用來保證那些相對于TCB外部可代表單個用戶建立動作

的主體的安全等級和授權(quán)、并且受批準(zhǔn)和授權(quán)的那個用戶支配。

5.3.3.2責(zé)任

5.3.3.2.1標(biāo)識和鑒別

在開始執(zhí)行TCB仲裁任何其他動作之前，應(yīng)要求用戶自己向TCB作出標(biāo)識。因此，TCB

應(yīng)維護(hù)鑒別數(shù)據(jù)，該數(shù)據(jù)包括用于驗證單個用戶身份的信息以及為確定批準(zhǔn)和授權(quán)單個用

戶的信息。這種數(shù)據(jù)應(yīng)被TCB用來鑒別用戶身份，以及保證那些相對于TCB外部的可代表單

個用戶建立動作的主體的安全等級和授權(quán)，并且受批準(zhǔn)和授權(quán)那個用戶支配。TCB應(yīng)保護(hù)鑒

別數(shù)據(jù)，以使它不能被任何未授權(quán)用戶訪問。TCB應(yīng)通過提供極好的標(biāo)識計算機(jī)系統(tǒng)每個單

個用戶的能力來實現(xiàn)其責(zé)任。TCB還應(yīng)具有把這種身份與該單個用戶所發(fā)生的所有可審計動

作相聯(lián)系的能力。

5.3.3.2.1.1可信路徑

TCB應(yīng)支持自身與諸用戶之間的可信通信路徑，以供TCB與用戶需要可靠連接（如注冊、

改變主體安全等級）時使用。經(jīng)由這種可信路徑的通信安全由一個用戶或TCB獨占地激活。

這種路徑邏輯上應(yīng)與其他路徑隔離，并與其他路徑截然地區(qū)分開來。

5.3.3.2.2審計

TCB應(yīng)能建立、維持和保護(hù)對它所保護(hù)的客體訪問的審計跟蹤，防止修改、未授權(quán)訪問

或破壞。審計數(shù)據(jù)應(yīng)受TCB保護(hù)，對便對它的讀訪問被限制在對審計數(shù)據(jù)已授權(quán)的那些用戶

上。TCB應(yīng)能記錄下述類型的事件：標(biāo)識和鑒別機(jī)制的使用；把客體引入到一個用戶地址空

間（如打開文件.啟幻程序）：刪除客體：計算機(jī)操作員、系統(tǒng)管理員或系統(tǒng)安全員或后

兩者同時所發(fā)生的動作；以及其他有關(guān)的安全事件。TCB還應(yīng)能審計人可讀標(biāo)記輸出的任何

濫用。對每個已記錄的事件，審計記錄應(yīng)標(biāo)出：事件發(fā)生的日期和時間；用戶、事件的類型；

理件的成功或失敗。對于標(biāo)識和鑒別事件，請求源（如終端ID）應(yīng)包括在審計記錄中。對于

把客體引入用戶地址空間的事件和客體刪除事件，審計記錄應(yīng)包括客體名和客體的安全等

級。計算機(jī)系統(tǒng)管理員應(yīng)能基于單個用戶身份或客體安全級或同時基于兩者有選擇地審計任

一或多個用戶的活動°TCB應(yīng)能審計利用隱蔽存儲通道的標(biāo)識事件。TCB應(yīng)包含一種機(jī)制，它

能監(jiān)控安全可審計事件的發(fā)生或累積，從而可以指出安全策略迫在眉睫的破壞。當(dāng)閾值超過

時，這種機(jī)制應(yīng)能立即通知安全管理員，而且當(dāng)這些有關(guān)安全事件的發(fā)生或積累再繼續(xù)下

去時，則系統(tǒng)應(yīng)采取最小破壞的操作終止該事件。

5.3.3.3保證

5.3.3.3.1操作保證

5.3.3.3.1.1系統(tǒng)體系結(jié)構(gòu)

TCB應(yīng)維持它自己執(zhí)行的區(qū)域，以保護(hù)它免受外來干預(yù)或篡改（如時它代碼或數(shù)據(jù)結(jié)構(gòu)

修改）。TCB應(yīng)在其控制下，通過提供不同的地址空間來維護(hù)進(jìn)程隔離，TCB內(nèi)部應(yīng)由定義恰

當(dāng)?shù)?、基本上獨立的模塊構(gòu)成。它應(yīng)有效地使用可獲得的硬件，把那些嚴(yán)格保護(hù)的單元與那

些不嚴(yán)格保護(hù)的單元分離開來。TCB模塊應(yīng)如此設(shè)計，以便它能執(zhí)行最小特權(quán)原則。硬件中

諸如分段的特性，應(yīng)被用來支持邏輯上截然不同的存儲器客體,這些客體具有分離的屬性

（如可讀、可寫）。應(yīng)完整地定義用戶與TCB的接口，并標(biāo)識所有TCB的單元。TCB的設(shè)計和

構(gòu)造應(yīng)使用一種完整的、原理簡單的、具有精確定義語義的保護(hù)機(jī)制，這種機(jī)制在實現(xiàn)TCB

和系統(tǒng)內(nèi)部結(jié)構(gòu)時將起中心的作用。TCB應(yīng)把分層、抽象和數(shù)據(jù)隱蔽等方面的有效使用結(jié)合

起來。有效的系統(tǒng)工程應(yīng)以TCB的復(fù)雜度極小化為目標(biāo)，而且應(yīng)排除沒有嚴(yán)格保護(hù)的TCB

模塊。

5.3.3.3.1.2系統(tǒng)完整性

應(yīng)提供硬件特性或軟件特性或同時提供兩者，用于定期地驗證TCB硬件和固件單元的

運行正確性。

5.3.3.3.1.3隱蔽信道分析

系統(tǒng)開發(fā)者應(yīng)對隱蔽信道作徹底的搜杳，并且通過實際測量或通過工程估計確定每個

己標(biāo)識信道的最大帶寬，見附錄A（補(bǔ)充件）。

5.3.3.3.1.4可信設(shè)施管理

TCB應(yīng)支持操作員和管理員的職能分隔。應(yīng)標(biāo)識在安全管理員任務(wù)中所執(zhí)行的職能。只

有在計算機(jī)系統(tǒng)上發(fā)生了與安全管理員任務(wù)截然不同的可審計活動后，計算機(jī)系統(tǒng)管理員

才能執(zhí)行安全管理員職能。在安全管理任務(wù)中所能執(zhí)行的非安全職能應(yīng)嚴(yán)格限制在那些對有

效執(zhí)行完全任務(wù)必不可少的職能。

5.3.3.3.1.5可信恢復(fù)

在計算機(jī)系統(tǒng)故障或其它間斷后，應(yīng)提供規(guī)程或機(jī)制或同時提供兩者，以保證在不危

及保護(hù)情況下，使系統(tǒng)得到恢復(fù)。

5.3.3.3.2生存周期保證

5.3.3.3.2.1安全測試

應(yīng)對計算機(jī)系統(tǒng)的安全機(jī)制進(jìn)行測試，并按系統(tǒng)文檔的要求工作。一個充分熟悉TCB

特定實現(xiàn)的小組應(yīng)詳細(xì)分析和測試它的設(shè)計文檔、源代碼和目標(biāo)代碼。它們的臼然應(yīng)是：暴

露全部設(shè)計和實現(xiàn)的缺陷，這些缺陷將允許一個TCB外的主體去讀、更改或刪除通常由TCB

實施強(qiáng)制或自主安全策略時拒絕的數(shù)據(jù)，并且保證沒有主體（尚未授權(quán)）能使TCB進(jìn)入一種

對其它用戶啟動的通信作出響應(yīng)的狀態(tài)。TCB應(yīng)建立相對?的抗?jié)B透能力.所有已發(fā)現(xiàn)的缺陷

應(yīng)被糾正，而且TCB應(yīng)重新測試，以驗證TCB已排除缺陷，并證明沒有產(chǎn)生新的缺陷,測試

應(yīng)證明TCB的實現(xiàn)與描述性頂層規(guī)格說明相一致，見附錄C（補(bǔ)充件）。在測試中，沒有發(fā)現(xiàn)

設(shè)計缺陷，也許發(fā)現(xiàn)少量可校正的實現(xiàn)缺陷，而應(yīng)該確信這少量缺陷的存在是合理的。

5.3.3.3.2.2設(shè)計規(guī)格說明和驗證

應(yīng)在計算機(jī)系統(tǒng)的整個生命周期內(nèi)維持由TCB支撐的安全策略的形式化模型，并證明

與它的原理是一致的。應(yīng)維持TCB的描述性頂層規(guī)格說明，以便用異常、出錯消息和影響等

方面來完整地和準(zhǔn)確地描述TCB,還應(yīng)說明描述性頂層規(guī)格說明是TCB接口的準(zhǔn)確描述。應(yīng)

給出有說服力的證據(jù)，以表明描述性頂層規(guī)格說明與該模型的一致性。

5.3.3.3.2.3配置管理在TCB開發(fā)和維護(hù)期間，應(yīng)把配置管理系統(tǒng)放在適當(dāng)?shù)奈恢茫?/p>

以維護(hù)對描述性頂層規(guī)格說明、其他設(shè)計數(shù)據(jù)、實現(xiàn)文檔、源代碼、目標(biāo)代碼的運行版本以

及測試夾具和文檔等方面改變的控制1。配置管理系統(tǒng)應(yīng)保證與當(dāng)前TCB版本相關(guān)聯(lián)的所有文

檔和代碼之間一致的映射，應(yīng)提供由源代碼生成新的TCB版本的工具。另外，還應(yīng)獲得TCB

新舊版本比較的工具，以便查明實際用作新版本的TCBH勺代碼只發(fā)生了所需的改動。

5.3.3.4文檔

5.3.3.4.1安全特性的用戶指南

用戶文檔中的摘要、章節(jié)或手冊應(yīng)描述由TCB提供的保護(hù)機(jī)制，有關(guān)它們使用的指南以

及它們?nèi)绾蜗嗷プ饔谩?/p>

5.3.3.4.2可信設(shè)施手冊

向計算機(jī)系統(tǒng)管理員提供的手冊應(yīng)提出有關(guān)功能和特權(quán)的警告，這種特權(quán)在一個安全

設(shè)施運行時應(yīng)受到控制。對各類審計事件，應(yīng)給出供檢查和維護(hù)審計文件以及詳細(xì)審計記錄

結(jié)構(gòu)用的規(guī)程。手冊應(yīng)描述操作員和管理員有關(guān)安全功能和用戶安全特性的變化。它應(yīng)提供

有關(guān)系統(tǒng)保護(hù)特性的一致和有效的用法。如它們怎樣互相作用，怎樣安全地生成一個新的

TCB,提供設(shè)施規(guī)程，警告和需要受控的特權(quán)，以便安全地操作該設(shè)施。應(yīng)標(biāo)識基準(zhǔn)確認(rèn)機(jī)

制的TCB模塊，TCB的任何模塊修改后，應(yīng)描述由源代碼安全生成新TCB的過程。它應(yīng)包括

保證系統(tǒng)以安全方式啟動的過程，還應(yīng)包括那些在系統(tǒng)運行間斷后，重新開始安全運行的

過程。

5.3.3.4.3測試文檔

系統(tǒng)開發(fā)者應(yīng)向評估者提供一個文檔，該文檔描述測試計劃，怎樣測試安全機(jī)制的測

試過程以及安全機(jī)制的功能測試結(jié)果。它應(yīng)包括用來減少隱蔽信道帶寬方法的有效性測試結(jié)

果。

5.3.3.4.4設(shè)計文檔

設(shè)計文檔應(yīng)當(dāng)具有制造廠家的保護(hù)宗旨說明以及怎樣把這種宗旨轉(zhuǎn)換成TCB的解釋。也

應(yīng)描述TCB模塊之間的接口。由TCB實施的安全策略模型形式化描述應(yīng)是可用的，并且證明

它對實施安全策略是足夠的。應(yīng)當(dāng)標(biāo)識特定的TCB保護(hù)機(jī)制，而目.給出一種解釋表示它們滿

足該模型。應(yīng)當(dāng)表明描述性頂層規(guī)格說明是TCB接口的準(zhǔn)確描述。文檔應(yīng)描述TCB怎樣實施

基準(zhǔn)監(jiān)控器概念，并解釋它為什么能防篡改，為什么不能被旁越，以及為什么它能被正確

地實現(xiàn)。TCB的實現(xiàn)（如硬件、固件和軟件方式）應(yīng)非形式化地表明與描述性頂層規(guī)格說明相

一致。應(yīng)使用非形式化技術(shù)表明描述性頂層規(guī)格說明的要素與TCB單元相一致。文檔應(yīng)描述

如何構(gòu)造TCB才便于測試和實施最小特權(quán)。該文檔還應(yīng)給出隱蔽信道分析的結(jié)果和與限定該

信道有關(guān)的折衷方案。應(yīng)當(dāng)標(biāo)識可用來利用已知隱蔽存儲信道的所有可審計事件。由于已知

隱蔽存儲信道的使用不是用審計機(jī)制可檢測的，所以應(yīng)提供己知隱蔽存儲信道的帶寬，見

附錄A（補(bǔ)充件）。

5.4A等：驗證保護(hù)

本等級的特征是使用形式化安全驗證方法，以保證系統(tǒng)采用的強(qiáng)制和自主安全控制能

有效地保護(hù)該系統(tǒng)存儲或處理的保密或其它敏感信息。為了證明TCB滿足設(shè)計、開發(fā)和實現(xiàn)

各方面的安全要求，需要擴(kuò)展文件。該等分為A1和超A1兩級。

5.4.1A1級：驗證設(shè)計

A1級在功能上與B3級相同，不必增加任何關(guān)于策略或結(jié)構(gòu)特性的要求。本等級佗顯著

特點是用形式化頂層規(guī)范說明（FTLSO和驗證技術(shù)來進(jìn)行分析?，以確保TCB完全正確地實現(xiàn)。

實際上，由于這種保證是開始于安全策略的形式化模型和設(shè)計形式化頂層規(guī)格說明，所以

它是不斷發(fā)展的。

在這里，無論使用何種特殊規(guī)格語言或驗證系統(tǒng)，對該級的設(shè)計驗證必須遵循以下五

條原則：

a.必須能對安全策略的形式化模型進(jìn)行清晰地驗證和文件化，包括要求用數(shù)學(xué)方法證

明模型與公理的一致性，模型對安全策略支持的有效性。

b.形式化頂層規(guī)格說明必須提出包括TCB完成功能的同象定義和用于支持隔離執(zhí)行區(qū)

域的硬件或固件機(jī)制或硬件和固件機(jī)制的抽象定義。

c.如有驗證工具，應(yīng)使用形式化技術(shù)證明TCB的形式化頂層規(guī)格說明和模型的一致性,

否則可采用非形式化技術(shù)。

d.必須能用非形式化技術(shù)證明TCB的工具（如：硬件、固件和軟件）與形式化頂層規(guī)格

說明的一致性。還能用非形式化技術(shù)證明形式化頂層規(guī)格說明的各要素對應(yīng)于TCB的各單位。

形式化頂層規(guī)格說明必須能表示符合安全策略要求的統(tǒng)一的保護(hù)機(jī)制，而且TCB各單元的

映射正是保護(hù)機(jī)制的要素。

e.必須使用形式化分析技術(shù)去標(biāo)識和分析隱蔽信道，非形式化技術(shù)可用于標(biāo)識隱蔽定

時信道，在系統(tǒng)中，必須對被標(biāo)識的隱蔽信道的連續(xù)存在加以說明。

為了配合A1級所要求的TCB擴(kuò)展設(shè)計和開發(fā)分析，需要更嚴(yán)格的配置管理，并建立把

該級安全地分配到現(xiàn)場的過程。要支持系統(tǒng)安全管理員。

下述是A1級的最低要求

5.4.1.1安全策略

5.4.1.1.1自主訪問控制

TCB應(yīng)在計算機(jī)系統(tǒng)已命名的用戶和已命