5.1 用戶自主保護級

5.1.1自主訪問控制

操作系統安全功能應實施安全機制，控制用戶對客體的訪問，其方法可以是：
——基于用戶的權能表，為用戶規定是否可以對客體進行訪問；
——基于客體的訪問控制表。

5.1.2身份鑒別

5.1.2.1用戶屬性定義

操作系統安全功能應給出每一個用戶與標識相關的安全屬性（如：組、標識符等）。

5.1.2.2用戶標識

操作系統安全功能應預先設定操作系統代表用戶執行的、與操作系統安全功能相關的動作，在用戶被標識之前，允許操作系統執行這些預設動作。在操作系統安全功能的其他動作之前，應成功地標識每個用戶。

5.1.2.3用戶鑒別

操作系統安全功能應預先設定操作系統代表用戶執行的、與操作系統安全功能相關的動作，在用戶被鑒別之前，允許操作系統執行這些預設動作，在操作系統安全功能的其他動作之前，應成功地鑒別每個用戶。

5.1.2.4鑒別失敗處理

操作系統安全功能應檢測出不成功的鑒別嘗試，當嘗試的次數達到或超過了定義的界限時，應能終止會話建立的進程。

5.1.2.5訪問歷史

操作系統安全功能在會話成功建立的基礎上，應顯示用戶上一次成功會話建立的日期、時間、方法、位置等。

5.1.3數據完整性

在規定的客體上，操作系統安全功能應允許特定操作的回退。

5.1.4數據傳輸

5.1.4.1內部傳輸

在各部分（如：通過網絡連接、總線連接的各部分）之間傳遞用戶數據時，操作系統安全功能應執行特定的安全功能策略。

5.1.4.2數據外部輸出

向操作系統安全功能控制范圍之外輸出用戶數據時，操作系統安全功能應在訪問控制機制允許的前提下，執行特定的安全功能策略，進行用戶數據輸出。

5.1.4.3數據外部輸入

從操作系統安全功能控制范圍之外輸入用戶數據時，操作系統安全功能應執行特定的安全功能策略。

5.1.5密碼支持

5.1.5.1密鑰管理

操作系統安全功能能根據符合國家規定的方法來管理密鑰，包括：密鑰的產生、分發、訪問及銷毀。

5.1.5.2密碼運算

操作系統安全功能能根據符合國家規定的密碼算法和密鑰長度來執行密碼運算。

5.1.6資源利用

5.1.6.1資源分配

操作系統安全功能能為主體規定并執行某些受控資源的最高配額和使用時間，并確保主體至少獲得規定的最低配額。

5.1.6.2并發會話

操作系統安全功能能限制屬于同一用戶的并發會話的最大數目。

5.1.7安全功能保護

5.1.7.1時間戳

操作系統安全功能應為自身的應用提供可靠的時間戳。

5.1.7.2安全功能數據傳輸

在各部分間傳輸操作系統安全功能數據時，操作系統安全功能能保護安全功能數據，防止被泄漏及修改。

5.1.7.3系統恢復

當操作系統發生失敗或服務中斷后，操作系統安全功能應進入維護方式，并提供將操作系統返回到一個安全狀態的能力。

5.1.8安全管理

5.1.8.1功能管理

操作系統安全功能應限制管理員對安全功能的啟動、關閉和修改的能力。

5.1.8.2屬性管理

操作系統安全功能應執行訪問控制策略，僅允許授權管理員管理安全屬性。

5.1.8.3安全功能數據管理

操作系統安全功能應限制管理員查詢、修改或刪除操作系統安全功能數據的能力。僅允許授權管理員管理這些數據。

5.1.9配置管理

開發者提供的配置管理文檔應以版本號做標簽，為操作系統提供引用，使一個版本號對應操作系統的唯一版本。

5.1.10安全功能開發過程

開發者提供的操作系統安全功能的功能規約應描述安全功能及其與外部的接口。

5.1.11測試

5.1.11.1功能測試

開發者提供的測試文檔應包含測試計劃、測試過程描述、預期的測試結果和實際測試結果，其中的測試計劃應標識要測試的安全功能、描述要執行的測試目標，測試過程描述應標識要執行的測試、測試概況。

5.1.11.2覆蓋分析

開發者提供的測試覆蓋的證據，應表明測試文檔中所標識的測試和功能規約中所描述的安全功能之間的對應性。

5.1.12指導性文檔

5.1.12.1管理員指南

開發者提供的管理員指南應描述對于授權安全管理角色可使用的管理功能和接口、安全管理操作系統的方式、受控制的安全參數以及與安全操作有關的用戶行為的假設。同時，應描述與為評估而提供的其他所有文件的一致性。

5.1.12.2用戶指南

開發者提供的用戶指南，應描述用戶可獲取的安全功能和接口的用法以及安全操作中用戶的職責，包括用戶行為假設。同時，應描述與為評估而提供的其它所有文件的一致性。

5.1.13交付和運行

開發者提供的安全安裝過程的文檔應說明用于操作系統的安全安裝、生成和啟動的過程所必需的步驟，并應描述一個啟動程序，它包含了用以生成操作系統的選項，從而能決定操作系統是如何以及何時產生的。