国产草草浮力影院|亚洲无码在线入口|超碰免频在线播放|成人深夜视频在线|亚洲美国毛片观看|69无码精品视频|精品有码一区二区|69式人人超人人|国产人人人人人操|欧美久久天天综合

發(fā)文機(jī)關(guān)公安部

發(fā)文日期1998年06月01日

時(shí)效性現(xiàn)行有效

施行日期1998年06月01日

效力級(jí)別部門(mén)規(guī)范性文件

基于DOS的信息安全產(chǎn)品評(píng)級(jí)準(zhǔn)則GA174－1998EvaluationCriteriaforDOS－basedInformationSecurityProducts（公安部1998年6月1日）

前言

為了貫徹《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的精神，并配合計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的銷(xiāo)售許可證制度的實(shí)施，公安部計(jì)算機(jī)管理監(jiān)察司委托天津市公安局計(jì)算機(jī)管理監(jiān)察處和海軍計(jì)算技術(shù)研究所共同編寫(xiě)《基于DOS的信息安全產(chǎn)品評(píng)級(jí)準(zhǔn)則》。

本標(biāo)準(zhǔn)在技術(shù)上參照了美國(guó)DOD5200．28－STD可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則。

本標(biāo)準(zhǔn)由公安部計(jì)算機(jī)管理監(jiān)察司提出；

本標(biāo)準(zhǔn)由公安部信息標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口；

本標(biāo)準(zhǔn)起草單位：天津市公安局計(jì)算機(jī)管理監(jiān)察處

海軍計(jì)算技術(shù)研究所

本標(biāo)準(zhǔn)主要起草人：張健，周瑞平，王學(xué)海，張雙橋，高新宇

1．范圍

本標(biāo)準(zhǔn)的適用對(duì)象為基于DOS操作系統(tǒng)的信息安全產(chǎn)品?；贒OS的信息安全產(chǎn)品是指保護(hù)DOS操作系統(tǒng)環(huán)境下的信息免受故意的或偶然的非授權(quán)的泄漏、篡改和破壞的軟件、硬件或軟硬件結(jié)合產(chǎn)品，以及用于產(chǎn)品安裝、執(zhí)行、恢復(fù)的相關(guān)設(shè)施。在本標(biāo)準(zhǔn)中，對(duì)安全產(chǎn)品的評(píng)級(jí)等同于對(duì)加裝了該安全產(chǎn)品的DOS操作系統(tǒng)的安全性能的評(píng)級(jí)。

標(biāo)準(zhǔn)根據(jù)安全產(chǎn)品的性能將其分為三個(gè)等級(jí)。從最低級(jí)d到最高級(jí)b，其安全保護(hù)性能逐級(jí)增加。

2．引用標(biāo)準(zhǔn)

美國(guó)DOD5200．28－STD可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則。

3．術(shù)語(yǔ)

3．1 客體 Object

含有或接收信息的被動(dòng)實(shí)體。客體的例子如：文件、記錄、顯示器、鍵盤(pán)等。

3．2 主體 Subject

引起信息在客體之間流動(dòng)的人、進(jìn)程或裝置等。

3．3 安全策略 Security policy

有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)章和技術(shù)標(biāo)準(zhǔn)。

3．4 可信計(jì)算基 Trusted ComPuting Base－TCB

操作系統(tǒng)中用于實(shí)現(xiàn)安全策略的一個(gè)集合體（包含軟件、固件和硬件），該集合體根據(jù)安全策略來(lái)處理主體對(duì)客體的訪問(wèn)，并滿足以下特征：

a．TCB實(shí)施主體對(duì)客體的安全訪問(wèn)；

b．TCB是抗篡改的；

C．TCB的結(jié)構(gòu)易于分析和測(cè)試。

3．5 安全策略模型 Security Policy Model

用于實(shí)施系統(tǒng)安全策略的模型，它表明信息的訪問(wèn)控制方式，以及信息的流程。

3．6 敏感標(biāo)記 Sensitivity Label

表明一個(gè)客體的安全級(jí)并描述該客體中數(shù)據(jù)的敏感度（例如：密級(jí)）的一條信息。TCB依據(jù)敏感標(biāo)記進(jìn)行強(qiáng)制性訪問(wèn)控制。

3．7 用戶訪問(wèn)級(jí) User’s Clearance

用戶訪問(wèn)敏感信息的級(jí)別。

3．8 最小特權(quán)原理 Least Provilege Theorem

系統(tǒng)中的每個(gè)主體執(zhí)行授權(quán)任務(wù)時(shí)，僅被授予完成任務(wù)所必需的最小訪問(wèn)權(quán)。

3．9 關(guān)鍵保護(hù)元素 Protection Critical Element

有TCB中，用來(lái)處理主體和客體間的訪問(wèn)控制的關(guān)鍵元素。

3．10 審計(jì)蹤跡 Audit Trail

能提供客觀證明的一組記錄，用于從原始事務(wù)追蹤到有關(guān)的記錄，或從記錄追蹤到其原始事務(wù)。

3．11 信道 Channel

系統(tǒng)內(nèi)的信息傳輸路徑。

3．12 可信信道 Trusted Channel

符合系統(tǒng)安全策略的信道。

3．13 隱蔽信道 Covert Channel

違反系統(tǒng)安全策略的信道。

3．14 自主訪問(wèn)控制 Discretionary Access Control

根據(jù)主體身份或者主體所屬組的身份或者二者的結(jié)合，對(duì)客體訪問(wèn)進(jìn)行限制的一種方法。具有某種訪問(wèn)權(quán)的主體能夠自行決定將其訪問(wèn)權(quán)直接或間接地轉(zhuǎn)授給其它主體。

3．15 強(qiáng)制訪問(wèn)控制 Mandatory Access Control

根據(jù)客體中信息的敏感標(biāo)記和訪問(wèn)敏感信息的主體的訪問(wèn)級(jí)對(duì)客體訪問(wèn)實(shí)行限制的一種方法。

4．評(píng)級(jí)等級(jí)

本標(biāo)準(zhǔn)將安全產(chǎn)品分為局部保護(hù)級(jí)、自主保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)三個(gè)等級(jí)。為便于和可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則互為參照，又表示有別于該標(biāo)準(zhǔn)，用d，c，b表示。

4．1 局部保護(hù)級(jí)（d）

提供一種或幾種安全功能，但又未能達(dá)到c級(jí)標(biāo)準(zhǔn)的產(chǎn)品。

4．1．1 安全功能

必須明確定義每項(xiàng)安全功能預(yù)期達(dá)到的目標(biāo)，描述為達(dá)到此目標(biāo)而采用的TCB的安全機(jī)制及實(shí)現(xiàn)技術(shù)。

4．1．2 安全測(cè)試

必須對(duì)產(chǎn)品文檔所述的安全功能進(jìn)行測(cè)試，以確認(rèn)其功能與文檔描述相一致。

4．1．3 文檔

安全特征用戶指南文檔要清楚地描述產(chǎn)品的保護(hù)原理、使用方法、使用限制及適用范圍。

要提供一個(gè)測(cè)試文檔，描述該產(chǎn)品的測(cè)試計(jì)劃、安全機(jī)制的測(cè)試過(guò)程及安全功能測(cè)試的結(jié)果。

4．2 自主保護(hù)級(jí)（c）

c級(jí)主要提供自主訪問(wèn)控制功能，并通過(guò)審計(jì)手段，能對(duì)主體行為進(jìn)行審查。

4．2．1 安全策略

4．2．1．1 自主訪問(wèn)控制

TCB需定義并控制系統(tǒng)中主體對(duì)客體的訪問(wèn)機(jī)制，所采用的機(jī)制（如訪問(wèn)控制表）要明確規(guī)定特定主體對(duì)其它主體控制下的信息的訪問(wèn)類型。系統(tǒng)和用戶設(shè)定的自主訪問(wèn)控制機(jī)制，能保證受保護(hù)的客體不會(huì)被未經(jīng)授權(quán)的用戶訪問(wèn)。對(duì)客體沒(méi)有訪問(wèn)權(quán)限的用戶，只有對(duì)該客體有授權(quán)能力的用戶才能為其指定訪問(wèn)權(quán)限。

4．2．1．2 客體再用

在將TCB的空閑存儲(chǔ)客體池中客體初始指定、分配或再分配給一個(gè)主體之前，所有對(duì)于存儲(chǔ)客體所含信息的授權(quán)都必須被撤銷(xiāo)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的存儲(chǔ)客體的訪問(wèn)權(quán)時(shí)，由原主體活動(dòng)所產(chǎn)生的任何信息對(duì)當(dāng)前主體都是不可獲得的。

4．2．2 責(zé)任核查

4．2．2．1 身份鑒別

用戶在要求TCB執(zhí)行任何動(dòng)作之前，必須首先向TCB表明自己的身份；TCB要使用保護(hù)機(jī)制（如：口令）來(lái)鑒別用戶身份。為了防止任何未經(jīng)授權(quán)的用戶對(duì)鑒別數(shù)據(jù)進(jìn)行訪問(wèn)，TCB要對(duì)鑒別數(shù)據(jù)進(jìn)行保護(hù)。TCB需提供唯一標(biāo)識(shí)每個(gè)系統(tǒng)用戶的機(jī)制，并將用戶的所有可審計(jì)行為與用戶的標(biāo)識(shí)聯(lián)系起來(lái)。

4．2．2．2 審計(jì)

TCB必須能創(chuàng)建、維護(hù)由主體實(shí)施的操作（例如：讀、刪和改等）的審計(jì)記錄。TCB要記錄下列類型的事件：使用身份鑒別機(jī)制；客體的引用；客體的刪除；以及其它與安全有關(guān)的事件。對(duì)于每一個(gè)記錄事件，審計(jì)記錄需標(biāo)識(shí)：事件發(fā)生的日期和時(shí)間、用戶、事件類型及事件的成功和失敗。由可信軟件執(zhí)行的單個(gè)操作，如果對(duì)用戶是完全透明的，則不必進(jìn)行審計(jì)。TCB要保護(hù)審計(jì)數(shù)據(jù)，使得只有授權(quán)用戶才能訪問(wèn)。

4．2．3 保證

4．2．3．1 操作保證

4．2．3．1．1 系統(tǒng)體系結(jié)構(gòu)

TCB要在封閉的域中運(yùn)行，使其不受外部干擾或篡改（例如：代碼或數(shù)據(jù)結(jié)構(gòu)的修改）。TCB要隔離受保護(hù)資源，以滿足訪問(wèn)控制和審計(jì)的需求。

4．2．3．1．2 系統(tǒng)完整性

要提供相應(yīng)的硬件或軟件，用于定期確認(rèn)TCB中硬件或固件元素的正常運(yùn)行。

4．2．3．1．3 數(shù)據(jù)完整性

TCB要提供控制機(jī)制，以保證多個(gè)主體對(duì)同一客體訪問(wèn)時(shí)客體中數(shù)據(jù)的正確性和完整性，并且不影響系統(tǒng)的正常運(yùn)行。

4．2．3．2 生命周期保證

4．2．3．2．1 安全測(cè)試

必須對(duì)產(chǎn)品文檔所述的安全功能進(jìn)行測(cè)試，以確認(rèn)其功能與文檔描述相一致。測(cè)試要證實(shí)未經(jīng)授權(quán)的用戶沒(méi)有明顯的辦法可以繞過(guò)或攻破TCB的安全保護(hù)機(jī)制。測(cè)試還要搜索TCB中明顯的缺陷，這些缺陷可能導(dǎo)致TCB中的外部主體能夠違背資源隔離原則，或者對(duì)審計(jì)數(shù)據(jù)或鑒別數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的訪問(wèn)。

4．2．4 文檔

4．2．4．1 安全特征用戶指南

安全特征用戶指南要描述TCB提供的保護(hù)機(jī)制、使用指南、以及保護(hù)機(jī)制之間的配合方法，必須清楚地描述TCB中安全機(jī)制之間的交互作用。

4．2．4．2 可信設(shè)施手冊(cè)

在可信設(shè)施手冊(cè)中，要明確描述TCB所支持的任何預(yù)定義用戶或主體（例如：系統(tǒng)管理員），要對(duì)運(yùn)行安全功能時(shí)必須受到控制的功能和特權(quán)提出警告，并清楚地描述上述受控功能和特權(quán)之間的關(guān)系。如果存在TCB的安全操作的配置選項(xiàng)，應(yīng)該予以標(biāo)識(shí)。

要提供用于檢查和維護(hù)審計(jì)文件的規(guī)程。對(duì)每類審計(jì)事件，還要提供詳細(xì)的審計(jì)記錄結(jié)構(gòu)。

4．2．4．3 測(cè)試文檔

測(cè)試文檔要描述安全保護(hù)機(jī)制的測(cè)試計(jì)劃、測(cè)試步驟及其功能測(cè)試結(jié)果。

4．2．4．4 設(shè)計(jì)文檔

設(shè)計(jì)文檔要描述產(chǎn)品的保護(hù)原理，并解釋該原理在TCB中的實(shí)現(xiàn)，如果TCB由多個(gè)不同的模塊組成，還應(yīng)描述各模塊間的接口。

4．3 強(qiáng)制保護(hù)級(jí)（b）

b級(jí)的主要要求是：TCB能維護(hù)敏感標(biāo)記及其完整性，并利用敏感標(biāo)記來(lái)實(shí)施強(qiáng)制訪問(wèn)控制規(guī)則，b級(jí)的系統(tǒng)必須使系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)帶有敏感標(biāo)記。系統(tǒng)開(kāi)發(fā)者必須提供作為T(mén)CB基礎(chǔ)的安全策略實(shí)現(xiàn)模型以及TCB的規(guī)約。

4．3．1 安全策略

4．3．1．1 自主訪問(wèn)控制

TCB需定義并控制系統(tǒng)中主體對(duì)客體的訪問(wèn)控制，所采用的機(jī)制（如訪問(wèn)控制表）要明確規(guī)定特定主體對(duì)其它主體控制下的信息的訪問(wèn)類型。自主訪問(wèn)控制機(jī)制應(yīng)限制訪問(wèn)權(quán)限的擴(kuò)展。系統(tǒng)和用戶設(shè)定的自主訪問(wèn)控制機(jī)制，能保證受保護(hù)的客體不會(huì)被未經(jīng)授權(quán)的用戶訪問(wèn)。對(duì)客體沒(méi)有訪問(wèn)權(quán)限的用戶，只有對(duì)客體有授權(quán)能力的用戶才能為其指定訪問(wèn)權(quán)限。

4．3．1．2 客體再用

在將TCB的空閑存儲(chǔ)客體池中客體初始指定、分配或再分配給一個(gè)主體之前，所有對(duì)于存儲(chǔ)客體所含信息的授權(quán)都必須被撤銷(xiāo)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的存儲(chǔ)客體的訪問(wèn)權(quán)時(shí)，由原主體活動(dòng)所產(chǎn)生的任何信息對(duì)當(dāng)前主體都是不可獲得的。

4．3．1．3 標(biāo)記

TCB要維護(hù)與每一主體及其可能訪問(wèn)的系統(tǒng)資源相關(guān)的敏感標(biāo)記，以此作為強(qiáng)制訪問(wèn)控制決策的基礎(chǔ)。系統(tǒng)必須明確規(guī)定需要標(biāo)記的客體（如文件、外部設(shè)備等）與不需要標(biāo)記的客體（如：用戶不可見(jiàn)的內(nèi)部資源）。對(duì)于需要標(biāo)記的客體，系統(tǒng)要明確定義客體標(biāo)記的粒度。除了不需要標(biāo)記的客體外，所有其它客體從TCB外部觀點(diǎn)看都要有明顯標(biāo)記。在輸入未標(biāo)記數(shù)據(jù)時(shí)，必須由授權(quán)用戶向TCB提供這些數(shù)據(jù)的安全級(jí)別，而且所有這些行為都可以由TCB進(jìn)行審計(jì)。

4．3．1．3．1 標(biāo)記完整性

敏感標(biāo)記必須準(zhǔn)確地表示出與其相關(guān)的具體主體或客體的安全級(jí)別。當(dāng)TCB輸出敏感標(biāo)記時(shí)，輸出標(biāo)記的外部表示要與其內(nèi)部標(biāo)記一致，并與輸出的信息相關(guān)聯(lián)。

4．3．1．3．2 標(biāo)記信息的輸出

TCB要能維護(hù)并審計(jì)與通信信道或I／O設(shè)備相關(guān)聯(lián)的安全級(jí)別的任何變動(dòng)。

4．3．1．3．3 主體標(biāo)記

在TCB與用戶交互期間，如果與用戶有關(guān)的安全級(jí)發(fā)生任何變化，TCB應(yīng)立刻通知用戶。

4．3．1．3．4 設(shè)備標(biāo)記

TCB應(yīng)能對(duì)所轄的物理設(shè)備指定最小和最大安全級(jí)。TCB要使用這些安全級(jí)，在設(shè)備所處的物理環(huán)境中對(duì)設(shè)備的使用施加約束。

4．3．1．4 強(qiáng)制訪問(wèn)控制

TCB必須對(duì)所有可被TCB外部主體直接或間接訪問(wèn)的資源（例如：主體、存儲(chǔ)客體、物理設(shè)備等）實(shí)施強(qiáng)制訪問(wèn)控制策略。必須為這些主體和資源指定敏感標(biāo)記（它們是級(jí)別和類別的組合），這些標(biāo)記將作為強(qiáng)制訪問(wèn)控制決策的基礎(chǔ)。所有由TCB所控制的主體對(duì)客體的訪問(wèn)必須遵循以下規(guī)則：僅當(dāng)主體的級(jí)別高于或等于客體的級(jí)別，且主體安全等級(jí)中的類別包含客體安全等級(jí)中的所有類別時(shí)，主體才能讀客體；僅當(dāng)主體的級(jí)別低于或等于客體的級(jí)別，且主體安全等級(jí)中的所有類別包含于客體安全等級(jí)中的類別時(shí)，主體才能寫(xiě)客體。TCB要使用標(biāo)識(shí)和鑒別數(shù)據(jù)來(lái)鑒別用戶的身份，并確保用戶的訪問(wèn)級(jí)和授權(quán)高于或等于代表該用戶的TCB外部主體的安全等級(jí)和授權(quán)。

4．3．2 責(zé)任核查

4．3．2．1 身份鑒別

用戶在要求TCB執(zhí)行任何動(dòng)作之前，必須首先向TCB表明自己的身份。TCB要使用保護(hù)機(jī)制（如：口令）來(lái)鑒別用戶身份。TCB必須保護(hù)鑒別數(shù)據(jù)，該數(shù)據(jù)不僅包含驗(yàn)證用戶身份的信息（例如：口令），也包含確定用戶訪問(wèn)級(jí)與授權(quán)的信息。TCB要使用這些數(shù)據(jù)來(lái)鑒別用戶的身份，并確保用戶的訪問(wèn)級(jí)和授權(quán)高于或等于代表該用戶的TCB外部主體的安全等級(jí)和授權(quán)。為了防止任何未經(jīng)授權(quán)的用戶對(duì)鑒別數(shù)據(jù)進(jìn)行訪問(wèn)，TCB必須對(duì)鑒別數(shù)據(jù)進(jìn)行保護(hù)。TCB需提供唯一標(biāo)識(shí)每個(gè)操作系統(tǒng)用戶的機(jī)制，并將用戶的所有可審計(jì)行為與用戶的標(biāo)識(shí)聯(lián)系起來(lái)。

4．3．2．2 可信路徑

在對(duì)初始登錄的用戶進(jìn)行鑒別時(shí)，TCB要在它和用戶之間維持一條可信信道。經(jīng)由該路徑的通信必須由專門(mén)用戶或TCB進(jìn)行初始化。

4．3．2．3 審計(jì)

TCB必須能創(chuàng)建、維護(hù)由主體實(shí)施的操作（例如：讀、刪和改等）的審計(jì)記錄。TCB要記錄下列類型的事件：使用身份鑒別機(jī)制；客體的引用；客體的刪除；安全管理員的操作；以及其它與安全有關(guān)的事件。對(duì)于每一個(gè)記錄事件，審計(jì)記錄要標(biāo)識(shí)：事件發(fā)生的日期和時(shí)間、主體、事件類型及事件的成功和失敗。對(duì)于客體的引用及刪除事件，審計(jì)記錄還要包含客體名稱。安全管理員應(yīng)能夠根據(jù)個(gè)體身份或個(gè)體安全等級(jí)有選擇地審計(jì)一個(gè)或多個(gè)用戶的行為。由可信軟件執(zhí)行的單個(gè)操作，如果對(duì)用戶是完全透明的，則不必進(jìn)行審計(jì)。TCB必須保護(hù)審計(jì)數(shù)據(jù)，使得只有授權(quán)用戶才能對(duì)它進(jìn)行讀訪問(wèn)。當(dāng)發(fā)生與安全有關(guān)的事件時(shí)，TCB要做到：（1）檢測(cè)事件的發(fā)生；（2）記錄審計(jì)蹤跡條目；（3）通知安全管理員。

4．3．3 保證

4．3．3．1 操作保證

4．3．3．1．1 系統(tǒng)體系結(jié)構(gòu)

TCB要在封閉的域中運(yùn)行，使其不受外部干擾或篡改（例如：代碼或數(shù)據(jù)結(jié)構(gòu)的修改）。由TCB控制的資源可以是系統(tǒng)中主體和客體的一個(gè)子集。TCB要隔離受保護(hù)資源，以滿足訪問(wèn)控制和審計(jì)的需求。TCB要通過(guò)不同的地址空間來(lái)維護(hù)進(jìn)程隔離。TCB的內(nèi)部要構(gòu)造成定義良好的獨(dú)立模塊。TCB的模塊設(shè)計(jì)要保證使最小特權(quán)原理得以實(shí)現(xiàn)。TCB需完整定義其用戶接口，并且標(biāo)識(shí)TCB的所有元素。TCB要有效地利用相關(guān)硬件把關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素分隔開(kāi)。

4．3．3．1．2 系統(tǒng)完整性

要提供相應(yīng)的硬件或軟件，用于定期確認(rèn)TCB中硬件或固件元素的正常運(yùn)行。

4．3．3．1．3 可信設(shè)施管理

TCB能支持獨(dú)立的操作員和管理員功能。

4．3．3．1．4 可信恢復(fù)

TCB要提供諸如轉(zhuǎn)貯和日志文件等機(jī)制，以保證在系統(tǒng)失效或其它中斷發(fā)生后的數(shù)據(jù)恢復(fù)過(guò)程中不會(huì)導(dǎo)致任何安全泄漏。

4．3．3．1．5 數(shù)據(jù)完整性

TCB要定義及驗(yàn)證完整性約束條件的功能，以維護(hù)客體及敏感標(biāo)記的完整性。

4．3．3．2 生命周期保證

4．3．3．2．1 安全測(cè)試

必須對(duì)產(chǎn)品文檔所述的安全功能進(jìn)行測(cè)試，以確認(rèn)其功能與文檔描述相一致。測(cè)試組應(yīng)充分了解TCB的安全功能的實(shí)現(xiàn)，并徹底分析其測(cè)試設(shè)計(jì)文檔、源碼和目標(biāo)碼，其目標(biāo)是：發(fā)現(xiàn)設(shè)計(jì)和實(shí)現(xiàn)中的所有缺陷，這些缺陷會(huì)引起TCB的外部主體能夠?qū)嵤┻`背強(qiáng)制或自主安全策略的某種操作；同時(shí)保證沒(méi)有任何未授權(quán)主體能使TCB進(jìn)入一種不能響應(yīng)其它主體發(fā)起的通訊的狀態(tài)。TCB應(yīng)具有一定的抗?jié)B透能力。必須消除所有被發(fā)現(xiàn)的缺陷，重新測(cè)試TCB要證實(shí)這些缺陷已不再存在且沒(méi)有引入新的錯(cuò)誤。

4．3．3．2．2 設(shè)計(jì)規(guī)約和驗(yàn)證

要證實(shí)TCB所支持的安全策略模型符合其安全策略，并在產(chǎn)品運(yùn)行的整個(gè)生命周期中維護(hù)這一模型。

4．3．3．2．3 配置管理

在TCB的整個(gè)生命周期期間，即TCB的設(shè)計(jì)、開(kāi)發(fā)和維護(hù)期間，要使用配置管理系統(tǒng)來(lái)控制對(duì)設(shè)計(jì)數(shù)據(jù)、實(shí)現(xiàn)文檔、源代碼、目標(biāo)代碼的運(yùn)行版本、測(cè)試裝置以及文檔的任何更改。配置管理系統(tǒng)要保證與TCB當(dāng)前版本相關(guān)聯(lián)的所有文檔和代碼之間的一致映射。要提供從源代碼生成TCB新版本的工具。要提供比較新版TCB和原版TCB的工具，只有在確定已按預(yù)期方案完成了修改后，才能啟用新的TCB版本。

4．3．4 文檔

4．3．4．1 安全特征用戶指南

安全特征用戶指南要描述TCB提供的保護(hù)機(jī)制、使用指南、以及保護(hù)機(jī)制之間的配合方法，必須清楚地描述TCB中完全機(jī)制之間的交互作用。

4．3．4．2 可信設(shè)施手冊(cè)

在可信設(shè)施手冊(cè)中，必須明確描述TCB所支持的任何預(yù)定義用戶或主體（例如：系統(tǒng)管理員），要對(duì)運(yùn)行安全功能時(shí)必須受到控制的功能和特權(quán)提出警告，并清楚地描述上述受控功能和特權(quán)之間的關(guān)系。如果存在TCB的安全操作的配置選項(xiàng)，應(yīng)該予以標(biāo)識(shí)。

要提供用于檢查和維護(hù)審計(jì)文件的規(guī)程。對(duì)每類審計(jì)事件，還要提供詳細(xì)的審計(jì)記錄結(jié)構(gòu)。

手冊(cè)必須描述與操作員和管理員有關(guān)的安全功能，包括修改用戶安全特征的方法。手冊(cè)還要提供以下信息：如何一致地、有效地使用產(chǎn)品安全功能，安全功能之間的相互作用，以及操作規(guī)程、警告和特權(quán)。

4．3．4．3 測(cè)試文檔

測(cè)試文檔要描述安全保護(hù)機(jī)制的測(cè)試計(jì)劃、測(cè)試步驟及其功能測(cè)試結(jié)果。

4．3．4．4 設(shè)計(jì)文檔

設(shè)計(jì)文檔要描述產(chǎn)品的保護(hù)原理，并解釋該原理在TCB中的實(shí)現(xiàn)方法，如果TCB由多個(gè)不同的模塊組成，還應(yīng)描述各模塊間的接口。應(yīng)該具有TCB所實(shí)施的安全策略模型的非形式化或形式化描述，并給出它足以實(shí)施該安全策略的理由。要標(biāo)識(shí)特定的TCB保護(hù)機(jī)制，并給出一個(gè)解釋以證明它們滿足模型。