5.3 安全標記保護級

5.3.1自主訪問控制

操作系統安全功能應實施安全機制，控制用戶對客體的訪問，其方法可以是：
——基于用戶的權能表，為用戶規定是否可以對客體進行訪問；
——基于客體的訪問控制表。
操作系統安全功能的訪問控制粒度應是單個用戶。

5.3.2強制訪問控制

操作系統安全功能應通過主客體的敏感標記，控制用戶對相關客體的直接訪問。

5.3.3標記

5.3.3.1標記定義

操作系統安全功能應給出其控制范圍內所有主體及控制的客體的敏感標記。

5.3.3.2標記管理

操作系統安全功能應執行訪問控制策略，僅允許授權管理員管理敏感標記。

5.3.3.3帶標記數據輸入

從操作系統安全功能控制范圍之外輸入帶標記的數據時，操作系統安全功能應確保標記和接受的用戶數據相關。

5.3.4身份鑒別

5.3.4.1用戶屬性定義

操作系統安全功能應給出每一個用戶與標識相關的安全屬性（如：組、標識符等）。

5.3.4.2用戶標識

操作系統安全功能應預先設定操作系統代表用戶執行的、與操作系統安全功能相關的動作，在用戶被標識之前，允許操作系統執行這些預設動作。在操作系統安全功能的其他動作之前，應成功地標識每個用戶。

5.3.4.3用戶鑒別

操作系統安全功能應預先設定操作系統代表用戶執行的、與操作系統安全功能相關的動作，在用戶被鑒別之前，允許操作系統執行這些預設動作，在操作系統安全功能的其他動作之前，應成功地鑒別每個用戶。
當進行鑒別時，操作系統安全功能應僅將最少的反饋（如：打入的字符數，鑒別的成功或失敗）提供給用戶。
操作系統安全功能應提供多鑒別機制以支持用戶多鑒別。

5.3.4.4鑒別失敗處理

操作系統安全功能應檢測出不成功的鑒別嘗試，當嘗試的次數達到或超過了定義的界限時，應能終止會話建立的進程。
在會話建立的進程終止后，操作系統安全功能應能使得該用戶賬戶無效，或是進行鑒別嘗試的登錄站點無效。

5.3.4.5訪問歷史

操作系統安全功能在會話成功建立的基礎上，應顯示用戶上一次成功會話建立的日期、時間、方法、位置等。
操作系統安全功能應顯示用戶上一次不成功的會話嘗試的日期、時間、方法、位置等，以及從上一次成功的會話建立以來的不成功的嘗試次數。

5.3.5客體重用

對于操作系統中的所有客體，在指定、分配或再分配給一個主體時，操作系統安全功能應確保其中沒有上一次分配的剩余信息。

5.3.6審計

5.3.6.1內容

操作系統安全功能應能為操作系統的可審計事件生成一個審計記錄，并在每一個審計記錄中至少記錄以下信息：
——事件發生的日期和時間；
——事件的類型；
——用戶身份；
——事件的結果（成功或失敗）。
操作系統安全功能應能維護操作系統的可審計事件，但其中至少包括：
——開啟和關閉審計功能；
——客體創建與刪除；
——使用鑒別機制；
——將客體引入用戶地址空間；
——安全屬性的操作等。

5.3.6.2查閱

操作系統安全功能應為授權用戶提供從審計記錄中讀取一定類型的審計信息的能力。
操作系統安全功能應提供對審計數據進行基于一定準則的選擇查閱的能力，并能對結果進行搜索、分類或排序。

5.3.6.3存儲保護

操作系統安全功能應保護已存儲的審計記錄，以避免未授權的刪除，并監測對審計記錄的修改，當審計存儲已滿、失敗或受到攻擊時，操作系統安全功能應確保審計記錄保持一定的記錄數和維持的時間。

5.3.6.4分析

操作系統安全功能應能用一定的規則去監控審計事件，并指出潛在的侵害。

5.3.6.5自動響應

在檢測到可能的安全侵害時，操作系統安全功能應做出響應，如：
——通知授權用戶；
——向授權用戶提供一組遏制侵害的或采取校正的行動。

5.3.7數據完整性

5.3.7.1數據鑒別

操作系統安全功能能為用戶數據產生真實性證據（如：校驗碼、單向函數、數字簽名）。

5.3.7.2回退

在規定的客體上，操作系統安全功能應允許特定操作的回退。
操作系統安全功能能規定回退可以實施的嚴格條件，包括：
——回退的操作時限；
——回退的次數限制；
——實施回退的角色要求等。

5.3.7.3完整性監視

對于特定的客體，操作系統安全功能能監視所存儲的用戶數據是否出現完整性錯誤，如：磁盤設備的掃描程序。
當檢測到完整性錯誤時，操作系統安全功能應采取行動（如：提示管理員）。

5.3.8數據傳輸

5.3.8.1內部傳輸

在各部分（如：通過網絡連接、總線連接的各部分）之間傳遞用戶數據時，操作系統安全功能應執行特定的安全功能策略。
操作系統安全功能應監視是否有完整性錯誤出現。

5.3.8.2數據外部輸出

向操作系統安全功能控制范圍之外輸出用戶數據時，操作系統安全功能應在訪問控制機制允許的前提下，執行特定的安全功能策略，進行用戶數據輸出。
向操作系統安全功能控制范圍之外輸出與用戶數據相關的安全屬性時，操作系統安全功能應確保安全屬性與輸出的用戶數據相關。

5.3.8.3數據外部輸入

從操作系統安全功能控制范圍之外輸入用戶數據時，操作系統安全功能應執行特定的安全功能策略。
操作系統安全功能應使用與輸入的數據相關的安全屬性，確保在安全屬性和接受的用戶數據之間提供了確切的關聯。

5.3.8.4原發證明

操作系統安全功能應能對發出的信息產生原發證據。
操作系統安全功能應能將信息原發者的相關屬性與證據適用的信息內容相關聯。

5.3.8.5接收證明

操作系統安全功能應能對接收的信息產生接收證據。
操作系統安全功能應能將信息接收者的相關屬性與證據適用的信息內容相關聯。

5.3.9密碼支持

5.3.9.1密鑰管理

操作系統安全功能能根據符合國家規定的方法來管理密鑰，包括：密鑰的產生、分發、訪問及銷毀。

5.3.9.2密碼運算

操作系統安全功能能根據符合國家規定的密碼算法和密鑰長度來執行密碼運算。

5.3.10資源利用

5.3.10.1容錯

操作系統安全功能能檢測出已規定的操作系統故障。

5.3.10.2服務優先級

操作系統安全功能應為其中的每個主體規定一種優先級，對于特定的資源的訪問，能根據主體的優先級進行協調。

5.3.10.3資源分配

操作系統安全功能能為主體規定并執行某些受控資源的最高配額和使用時間，并確保主體至少獲得規定的最低配額。

5.3.10.4并發會話

操作系統安全功能能限制屬于同一用戶的并發會話的最大數目。

5.3.11安全功能保護

5.3.11.1自檢

操作系統安全功能應在操作系統的特定狀態中，運行一套自檢來演示操作系統安全功能的正確執行。這些狀態應包括：
——操作系統啟動時；
——授權用戶要求時。
操作系統安全功能應為授權用戶提供對操作系統安全功能數據完整性的驗證能力。

5.3.11.2時間戳

操作系統安全功能應為自身的應用提供可靠的時間戳。

5.3.11.3域分離

操作系統安全功能應分離在操作系統安全功能控制范圍內各主體安全域，用戶進程之間是彼此隔離的。

5.3.11.4數據一致性

操作系統安全功能應確保操作系統各部分間的安全功能數據的復制一致性。

5.3.11.5安全功能數據傳輸

在各部分間傳輸操作系統安全功能數據時，操作系統安全功能能保護安全功能數據，防止被泄漏及修改。
操作系統安全功能應分離傳送用戶數據與安全功能數據。
操作系統安全功能能檢測出安全功能數據的完整性錯誤。

5.3.11.6系統恢復

當操作系統發生失敗或服務中斷后，操作系統安全功能應進入維護方式，并提供將操作系統返回到一個安全狀態的能力。
操作系統安全功能應具備從失敗或服務中斷狀態中自動恢復的能力，并能在操作系統安全功能數據和用戶數據無超量丟失的情況下恢復到初始安全狀態。

5.3.11.7不可旁路

在操作系統安全功能控制范圍的每一項功能執行之前，操作系統安全功能應確保安全功能被成功地激活。

5.3.11.8物理保護

操作系統安全功能應對可能危及操作系統安全功能安全的物理篡改提供明確的檢測，并能判斷出特定的物理篡改。

5.3.12安全管理

5.3.12.1功能管理

操作系統安全功能應限制管理員對安全功能的啟動、關閉和修改的能力。

5.3.12.2屬性管理

操作系統安全功能應執行訪問控制策略，僅允許授權管理員管理安全屬性。
操作系統安全功能應提供安全屬性的默認值，僅允許授權管理員為生成的客體或信息規定新的初始值以代替原來的默認值。

5.3.12.3安全功能數據管理

操作系統安全功能應限制管理員查詢、修改或刪除操作系統安全功能數據的能力。僅允許授權管理員管理這些數據。

5.3.12.4角色管理

操作系統安全功能應支持維護授權角色。

5.3.13生存周期支持

5.3.13.1開發安全

開發者提供的開發安全文件應描述在操作系統開發環境中在物理上、程序上、人員上以及其他方面的安全措施。

5.3.13.2缺陷糾正

開發者提供的缺陷糾正程序文檔，應描述用以接受用戶對于安全缺陷報告的程序，以及更正這些缺陷的程序，并說明已采取的糾正措施。

5.3.13.3工具和技術

開發者提供的開發工具文檔應標識在開發操作系統中使用的工具和參照的標準，并描述有關實現的開發工具的選項。

5.3.14配置管理

5.3.14.1能力

開發者提供的配置管理文檔應以版本號做標簽，為操作系統提供引用，使一個版本號對應操作系統的唯一版本。

5.3.14.2范圍

開發者提供的配置管理文檔應描述配置管理系統是如何跟蹤配置項的，并說明至少能跟蹤：操作系統實現表示、設計文檔、測試文檔、用戶文檔、管理員文檔和配置管理文檔。

5.3.15安全功能開發過程

5.3.15.1安全策略模型

開發者提供的安全策略模型應描述所有可以模型化的安全策略的規則和特性。

5.3.15.2功能規約

開發者提供的操作系統安全功能的功能規約應描述安全功能及其與外部的接口。

5.3.15.3高層設計

開發者提供的操作系統安全功能的高層設計，應按子系統方式描述安全功能及其結構，并標識安全功能子系統的所有接口。

5.3.15.4低層設計

開發者提供的操作系統安全功能的低層設計應以模塊術語描述安全功能，并描述每一個模塊的目的、接口。

5.3.15.5實現

開發者提供的操作系統安全功能的實現表示（如：源代碼、硬件圖）文檔應是內在一致的，并且無歧義地定義了詳細的操作系統安全功能。

5.3.15.6表示對應性

對于所提供的安全策略表示的每個相鄰對，開發者應提供相鄰兩階段開發文檔之間的對應性分析，并闡明上一階段的安全策略表示在下一階段文檔中得到正確而完備地細化。

5.3.16測試

5.3.16.1功能測試

開發者提供的測試文檔應包含測試計劃、測試過程描述、預期的測試結果和實際測試結果，其中的測試計劃應標識要測試的安全功能、描述要執行的測試目標，測試過程描述應標識要執行的測試、測試概況。

5.3.16.2覆蓋分析

開發者提供的測試覆蓋的證據，應表明測試文檔中所標識的測試和功能規約中所描述的安全功能之間的對應性。

5.3.16.3深度

開發者提供的測試深度分析文檔應說明測試文檔中所標識的測試足以說明該安全功能動作和高層設計是一致的。

5.3.17指導性文檔

5.3.17.1管理員指南

開發者提供的管理員指南應描述對于授權安全管理角色可使用的管理功能和接口、安全管理操作系統的方式、受控制的安全參數以及與安全操作有關的用戶行為的假設。同時，應描述與為評估而提供的其他所有文件的一致性。

5.3.17.2用戶指南

開發者提供的用戶指南，應描述用戶可獲取的安全功能和接口的用法以及安全操作中用戶的職責，包括用戶行為假設。同時，應描述與為評估而提供的其它所有文件的一致性。

5.3.18脆弱性

開發者提供的脆弱性分析文檔應標識脆弱性的分布，并說明在所期望的環境中這些脆弱性不會被利用。

5.3.19交付和運行

5.3.19.1交付

開發者提供的交付文檔應向用戶說明維護安全所應具有的交付程序。

5.3.19.2安裝生成

開發者提供的安全安裝過程的文檔應說明用于操作系統的安全安裝、生成和啟動的過程所必需的步驟，并應描述一個啟動程序，它包含了用以生成操作系統的選項，從而能決定操作系統是如何以及何時產生的。