5.2 系統審計保護級

5.2.1自主訪問控制

操作系統安全功能應實施安全機制，控制用戶對客體的訪問，其方法可以是：
——基于用戶的權能表，為用戶規定是否可以對客體進行訪問；
——基于客體的訪問控制表。
操作系統安全功能的訪問控制粒度應是單個用戶。

5.2.2身份鑒別

5.2.2.1用戶屬性定義

操作系統安全功能應給出每一個用戶與標識相關的安全屬性（如：組、標識符等）。

5.2.2.2用戶標識

操作系統安全功能應預先設定操作系統代表用戶執行的、與操作系統安全功能相關的動作，在用戶被標識之前，允許操作系統執行這些預設動作。在操作系統安全功能的其他動作之前，應成功地標識每個用戶。

5.2.2.3用戶鑒別

操作系統安全功能應預先設定操作系統代表用戶執行的、與操作系統安全功能相關的動作，在用戶被鑒別之前，允許操作系統執行這些預設動作，在操作系統安全功能的其他動作之前，應成功地鑒別每個用戶。
當進行鑒別時，操作系統安全功能應僅將最少的反饋（如：打入的字符數，鑒別的成功或失敗）提供給用戶。

5.2.2.4鑒別失敗處理

操作系統安全功能應檢測出不成功的鑒別嘗試，當嘗試的次數達到或超過了定義的界限時，應能終止會話建立的進程。

5.2.2.5訪問歷史

操作系統安全功能在會話成功建立的基礎上，應顯示用戶上一次成功會話建立的日期、時間、方法、位置等。
操作系統安全功能應顯示用戶上一次不成功的會話嘗試的日期、時間、方法、位置等，以及從上一次成功的會話建立以來的不成功的嘗試次數。

5.2.3客體重用

對于操作系統中的所有客體，在指定、分配或再分配給一個主體時，操作系統安全功能應確保其中沒有上一次分配的剩余信息。

5.2.4審計

5.2.4.1內容

操作系統安全功能應能為操作系統的可審計事件生成一個審計記錄，并在每一個審計記錄中至少記錄以下信息：
——事件發生的日期和時間；
——事件的類型；
——用戶身份；
——事件的結果（成功或失敗）。
操作系統安全功能應能維護操作系統的可審計事件，但其中至少包括：
——開啟和關閉審計功能；
——客體創建與刪除；
——使用鑒別機制；
——將客體引入用戶地址空間；
——安全屬性的操作等。

5.2.4.2查閱

操作系統安全功能應為授權用戶提供從審計記錄中讀取一定類型的審計信息的能力。

5.2.4.3存儲保護

操作系統安全功能應保護已存儲的審計記錄，以避免未授權的刪除，并監測對審計記錄的修改，當審計存儲已滿、失敗或受到攻擊時，操作系統安全功能應確保審計記錄保持一定的記錄數和維持的時間。

5.2.4.4自動響應

在檢測到可能的安全侵害時，操作系統安全功能應做出響應，如：
——通知授權用戶；
——向授權用戶提供一組遏制侵害的或采取校正的行動。

5.2.5數據完整性

5.2.5.1回退

在規定的客體上，操作系統安全功能應允許特定操作的回退。

5.2.5.2完整性監視

對于特定的客體，操作系統安全功能能監視所存儲的用戶數據是否出現完整性錯誤，如：磁盤設備的掃描程序。

5.2.6數據傳輸

5.2.6.1內部傳輸

在各部分（如：通過網絡連接、總線連接的各部分）之間傳遞用戶數據時，操作系統安全功能應執行特定的安全功能策略。

5.2.6.2數據外部輸出

向操作系統安全功能控制范圍之外輸出用戶數據時，操作系統安全功能應在訪問控制機制允許的前提下，執行特定的安全功能策略，進行用戶數據輸出。
向操作系統安全功能控制范圍之外輸出與用戶數據相關的安全屬性時，操作系統安全功能應確保安全屬性與輸出的用戶數據相關。

5.2.6.3數據外部輸入

從操作系統安全功能控制范圍之外輸入用戶數據時，操作系統安全功能應執行特定的安全功能策略。
操作系統安全功能應使用與輸入的數據相關的安全屬性，確保在安全屬性和接受的用戶數據之間提供了確切的關聯。

5.2.6.4原發證明

操作系統安全功能應能對發出的信息產生原發證據。

5.2.6.5接收證明

操作系統安全功能應能對接收的信息產生接收證據。

5.2.7密碼支持

5.2.7.1密鑰管理

操作系統安全功能能根據符合國家規定的方法來管理密鑰，包括：密鑰的產生、分發、訪問及銷毀。

5.2.7.2密碼運算

操作系統安全功能能根據符合國家規定的密碼算法和密鑰長度來執行密碼運算。

5.2.8資源利用

5.2.8.1容錯

操作系統安全功能能檢測出已規定的操作系統故障。

5.2.8.2服務優先級

操作系統安全功能應為其中的每個主體規定一種優先級，對于特定的資源的訪問，能根據主體的優先級進行協調。

5.2.8.3資源分配

操作系統安全功能能為主體規定并執行某些受控資源的最高配額和使用時間，并確保主體至少獲得規定的最低配額。

5.2.8.4并發會話

操作系統安全功能能限制屬于同一用戶的并發會話的最大數目。

5.2.9安全功能保護

5.2.9.1自檢

操作系統安全功能應在操作系統的特定狀態中，運行一套自檢來演示操作系統安全功能的正確執行。這些狀態應包括：
——操作系統啟動時；
——授權用戶要求時。

5.2.9.2時間戳

操作系統安全功能應為自身的應用提供可靠的時間戳。

5.2.9.3數據一致性

操作系統安全功能應確保操作系統各部分間的安全功能數據的復制一致性。

5.2.9.4安全功能數據傳輸

在各部分間傳輸操作系統安全功能數據時，操作系統安全功能能保護安全功能數據，防止被泄漏及修改。
操作系統安全功能應分離傳送用戶數據與安全功能數據。

5.2.9.5系統恢復

當操作系統發生失敗或服務中斷后，操作系統安全功能應進入維護方式，并提供將操作系統返回到一個安全狀態的能力。

5.2.9.6不可旁路

在操作系統安全功能控制范圍的每一項功能執行之前，操作系統安全功能應確保安全功能被成功地激活。

5.2.10安全管理

5.2.10.1功能管理

操作系統安全功能應限制管理員對安全功能的啟動、關閉和修改的能力。

5.2.10.2屬性管理

操作系統安全功能應執行訪問控制策略，僅允許授權管理員管理安全屬性。
操作系統安全功能應提供安全屬性的默認值，僅允許授權管理員為生成的客體或信息規定新的初始值以代替原來的默認值。

5.2.10.3安全功能數據管理

操作系統安全功能應限制管理員查詢、修改或刪除操作系統安全功能數據的能力。僅允許授權管理員管理這些數據。
操作系統安全功能應支持規定對操作系統安全功能數據的限制，以及限制值（如：用戶登錄數），當操作系統安全功能數據值超出了指定的限制時，應采取特定的動作。

5.2.11生存周期支持

開發者提供的缺陷糾正程序文檔，應描述用以接受用戶對于安全缺陷報告的程序，以及更正這些缺陷的程序，并說明已采取的糾正措施。

5.2.12配置管理

開發者提供的配置管理文檔應以版本號做標簽，為操作系統提供引用，使一個版本號對應操作系統的唯一版本。

5.2.13安全功能開發過程

5.2.13.1功能規約

開發者提供的操作系統安全功能的功能規約應描述安全功能及其與外部的接口。

5.2.13.2高層設計

開發者提供的操作系統安全功能的高層設計，應按子系統方式描述安全功能及其結構，并標識安全功能子系統的所有接口。

5.2.14測試

5.2.14.1功能測試

開發者提供的測試文檔應包含測試計劃、測試過程描述、預期的測試結果和實際測試結果，其中的測試計劃應標識要測試的安全功能、描述要執行的測試目標，測試過程描述應標識要執行的測試、測試概況。

5.2.14.2覆蓋分析

開發者提供的測試覆蓋的證據，應表明測試文檔中所標識的測試和功能規約中所描述的安全功能之間的對應性。
開發者提供的測試覆蓋的證據，應闡明測試文檔所標識的測試和功能規約中所描述的安全功能之間的對應性是完備的。

5.2.15指導性文檔

5.2.15.1管理員指南

開發者提供的管理員指南應描述對于授權安全管理角色可使用的管理功能和接口、安全管理操作系統的方式、受控制的安全參數以及與安全操作有關的用戶行為的假設。同時，應描述與為評估而提供的其他所有文件的一致性。

5.2.15.2用戶指南

開發者提供的用戶指南，應描述用戶可獲取的安全功能和接口的用法以及安全操作中用戶的職責，包括用戶行為假設。同時，應描述與為評估而提供的其它所有文件的一致性。

5.2.16交付和運行

5.2.16.1交付

開發者提供的交付文檔應向用戶說明維護安全所應具有的交付程序。

5.2.16.2安裝生成

開發者提供的安全安裝過程的文檔應說明用于操作系統的安全安裝、生成和啟動的過程所必需的步驟，并應描述一個啟動程序，它包含了用以生成操作系統的選項，從而能決定操作系統是如何以及何時產生的。