5.5 訪問驗證保護級

5.5.1自主訪問控制

操作系統安全功能應實施安全機制，控制用戶對客體的訪問，其方法可以是：
——基于用戶的權能表，為用戶規定是否可以對客體進行訪問；
——基于客體的訪問控制表。
操作系統安全功能的訪問控制粒度應是單個用戶。
操作系統安全功能能規定用戶對客體的訪問模式。

5.5.2強制訪問控制

操作系統安全功能應通過主客體的敏感標記，控制用戶對相關客體的直接訪問。
操作系統安全功能應實施安全機制，控制所有主客體之間的訪問。

5.5.3標記

5.5.3.1標記定義

操作系統安全功能應給出其控制范圍內所有主體和客體的敏感標記。

5.5.3.2標記管理

操作系統安全功能應執行訪問控制策略，僅允許授權管理員管理敏感標記。

5.5.3.3帶標記數據輸入

從操作系統安全功能控制范圍之外輸入帶標記的數據時，操作系統安全功能應確保標記和接受的用戶數據相關。

5.5.4身份鑒別

5.5.4.1用戶屬性定義

操作系統安全功能應給出每一個用戶與標識相關的安全屬性（如：組、標識符等）。

5.5.4.2用戶標識

操作系統安全功能應預先設定操作系統代表用戶執行的、與操作系統安全功能相關的動作，在用戶被標識之前，允許操作系統執行這些預設動作。在操作系統安全功能的其他動作之前，應成功地標識每個用戶。

5.5.4.3用戶鑒別

操作系統安全功能應預先設定操作系統代表用戶執行的、與操作系統安全功能相關的動作，在用戶被鑒別之前，允許操作系統執行這些預設動作，在操作系統安全功能的其他動作之前，應成功地鑒別每個用戶。
當進行鑒別時，操作系統安全功能應僅將最少的反饋（如：打入的字符數，鑒別的成功或失敗）提供給用戶。
操作系統安全功能應提供多鑒別機制以支持用戶多鑒別。

5.5.4.4鑒別失敗處理

操作系統安全功能應檢測出不成功的鑒別嘗試，當嘗試的次數達到或超過了定義的界限時，應能終止會話建立的進程。
在會話建立的進程終止后，操作系統安全功能應能使得該用戶賬戶無效，或是進行鑒別嘗試的登錄站點無效。

5.5.4.5訪問歷史

操作系統安全功能在會話成功建立的基礎上，應顯示用戶上一次成功會話建立的日期、時間、方法、位置等。
操作系統安全功能應顯示用戶上一次不成功的會話嘗試的日期、時間、方法、位置等，以及從上一次成功的會話建立以來的不成功的嘗試次數。

5.5.4.6不可觀察性

對于由操作系統安全功能規定的受保護用戶進行的操作，操作系統安全功能應確保未授權用戶不能觀察到。

5.5.5客體重用

對于操作系統中的所有客體，在指定、分配或再分配給一個主體時，操作系統安全功能應確保其中沒有上一次分配的剩余信息。

5.5.6審計

5.5.6.1內容

操作系統安全功能應能為操作系統的可審計事件生成一個審計記錄，并在每一個審計記錄中至少記錄以下信息：
——事件發生的日期和時間；
——事件的類型；
——用戶身份；
——事件的結果（成功或失敗）。
操作系統安全功能應能維護操作系統的可審計事件，但其中至少包括：
——開啟和關閉審計功能；
——客體創建與刪除；
——使用鑒別機制；
——將客體引入用戶地址空間；
——安全屬性的操作等。

5.5.6.2查閱

操作系統安全功能應為授權用戶提供從審計記錄中讀取一定類型的審計信息的能力。
操作系統安全功能應提供對審計數據進行基于一定準則的選擇查閱的能力，并能對結果進行搜索、分類或排序。

5.5.6.3存儲保護

操作系統安全功能應保護已存儲的審計記錄，以避免未授權的刪除，并監測對審計記錄的修改，當審計存儲已滿、失敗或受到攻擊時，操作系統安全功能應確保審計記錄保持一定的記錄數和維持的時間。
當審計記錄超過預定的限制值時，操作系統安全功能應采取相應的行動，如：給授權管理員產生警告。
當審計記錄已滿時，操作系統安全功能應阻止除具有特殊權限的授權用戶外產生的所有可審計事件，并且一旦審計存儲失敗就采取其它行動，如：通知授權管理員。

5.5.6.4分析

操作系統安全功能應能用一定的規則去監控審計事件，并指出潛在的侵害。
操作系統安全功能應能維護系統的使用輪廓（一個表征用戶或主體活動特征的結構，它表現了用戶或主體怎樣用不同的方法與操作系統安全功能交互），對于那些其行動已記錄在輪廓中的用戶，維護其相對應的置疑等級，當用戶的置疑等級超過限制條件時，操作系統安全功能應能指出可能發生的侵害。
操作系統安全功能應能維護有侵害性的系統事件序列的內部表示，當一個系統事件或事件序列被發現并與內部表示匹配時，應指出即將到來的攻擊。

5.5.6.5自動響應

在檢測到可能的安全侵害時，操作系統安全功能應做出響應，如：
——通知授權用戶；
——向授權用戶提供一組遏制侵害的或采取校正的行動。

5.5.7數據完整性

5.5.7.1數據鑒別

操作系統安全功能能為用戶數據產生真實性證據（如：校驗碼、單向函數、數字簽名）。
操作系統安全功能能提供支持，用以驗證真實性證據和產生證據的用戶身份。

5.5.7.2回退

在規定的客體上，操作系統安全功能應允許特定操作的回退。
操作系統安全功能能規定回退可以實施的嚴格條件，包括：
——回退的操作時限；
——回退的次數限制；
——實施回退的角色要求等。

5.5.7.3完整性監視

對于特定的客體，操作系統安全功能能監視所存儲的用戶數據是否出現完整性錯誤，如：磁盤設備的掃描程序。
當檢測到完整性錯誤時，操作系統安全功能應采取行動（如：提示管理員）。

5.5.8數據傳輸

5.5.8.1內部傳輸

在各部分（如：通過網絡連接、總線連接的各部分）之間傳遞用戶數據時，操作系統安全功能應執行特定的安全功能策略。
操作系統安全功能應監視是否有完整性錯誤出現。
操作系統安全功能應能支持規定對完整性錯誤將采取的動作。

5.5.8.2數據外部輸出

向操作系統安全功能控制范圍之外輸出用戶數據時，操作系統安全功能應在訪問控制機制允許的前提下，執行特定的安全功能策略，進行用戶數據輸出。
向操作系統安全功能控制范圍之外輸出與用戶數據相關的安全屬性時，操作系統安全功能應確保安全屬性與輸出的用戶數據相關。
對于某些特定的安全屬性，操作系統安全功能應保證無論何時都不會被輸出。

5.5.8.3數據外部輸入

從操作系統安全功能控制范圍之外輸入用戶數據時，操作系統安全功能應執行特定的安全功能策略。
操作系統安全功能應使用與輸入的數據相關的安全屬性，確保在安全屬性和接受的用戶數據之間提供了確切的關聯。
操作系統安全功能應確保對其安全屬性的解析與用戶數據源的解析是一致的。

5.5.8.4可信路徑

操作系統安全功能應在它和用戶之間提供一條可信的通信路徑，此路徑在邏輯上明顯不同于其它路徑，并能保護通信數據免遭修改和泄露。

5.5.8.5原發證明

操作系統安全功能應能對發出的信息產生原發證據。
操作系統安全功能應能將信息原發者的相關屬性與證據適用的信息內容相關聯。

5.5.8.6接收證明

操作系統安全功能應能對接收的信息產生接收證據。
操作系統安全功能應能將信息接收者的相關屬性與證據適用的信息內容相關聯。
操作系統安全功能應能驗證信息接收證據的真實性。

5.5.9密碼支持

5.5.9.1密鑰管理

操作系統安全功能能根據符合國家規定的方法來管理密鑰，包括：密鑰的產生、分發、訪問及銷毀。

5.5.9.2密碼運算

操作系統安全功能能根據符合國家規定的密碼算法和密鑰長度來執行密碼運算。

5.5.10資源利用

5.5.10.1容錯

操作系統安全功能能檢測出已規定的操作系統故障。
當相應故障發生時，操作系統安全功能應確保操作系統未受影響部分的能力均能實現。

5.5.10.2服務優先級

操作系統安全功能應為其中的每個主體規定一種優先級，對于特定的資源的訪問，能根據主體的優先級進行協調。
對于所有共享資源的每次訪問，操作系統安全功能應能根據主體的優先級進行協調。

5.5.10.3資源分配

操作系統安全功能能為主體規定并執行某些受控資源的最高配額和使用時間，并確保主體至少獲得規定的最低配額。

5.5.10.4并發會話

操作系統安全功能能限制屬于同一用戶的并發會話的最大數目。

5.5.11安全功能保護

5.5.11.1自檢

操作系統安全功能應在操作系統的特定狀態中，運行一套自檢來演示操作系統安全功能的正確執行。這些狀態應包括：
——操作系統啟動時；
——授權用戶要求時。
操作系統安全功能應為授權用戶提供對操作系統安全功能數據完整性的驗證能力。
操作系統安全功能應為授權用戶提供對存儲的操作系統安全功能可執行碼完整性的驗證能力。

5.5.11.2時間戳

操作系統安全功能應為自身的應用提供可靠的時間戳。

5.5.11.3域分離

操作系統安全功能應分離在操作系統安全功能控制范圍內各主體安全域，用戶進程之間是彼此隔離的。
操作系統安全功能同用戶隔離的部分執行時，操作系統安全功能應為其維護一個獨立的地址空間，防止不可信主體進行干擾和篡改。
操作系統安全功能應對操作系統安全功能中與訪問控制有關的部分，維護一個自身執行時的安全域，防止被操作系統安全功能的其余部分和不可信主體的干擾和篡改。

5.5.11.4數據一致性

操作系統安全功能應確保操作系統各部分間的安全功能數據的復制一致性。
當包含復制的安全功能數據的操作系統的一部分被斷開，而又重新建立連接后，在處理任何依賴于操作系統安全功能數據復制一致性的安全功能請求之前，操作系統安全功能應確保該部分的操作系統安全功能數據的復制一致性。
當與其他可信IT產品共享操作系統安全功能數據時，操作系統安全功能應具備對數據的一致性解析能力。

5.5.11.5安全功能數據傳輸

在各部分間傳輸操作系統安全功能數據時，操作系統安全功能能保護安全功能數據，防止被泄漏及修改。
操作系統安全功能應分離傳送用戶數據與安全功能數據。
操作系統安全功能能檢測出安全功能數據的完整性錯誤。
操作系統安全功能應支持規定對完整性錯誤將采取的動作。

5.5.11.6系統恢復

當操作系統發生失敗或服務中斷后，操作系統安全功能應進入維護方式，并提供將操作系統返回到一個安全狀態的能力。
操作系統安全功能應具備從失敗或服務中斷狀態中自動恢復的能力，并能在操作系統安全功能數據和用戶數據無超量丟失的情況下恢復到初始安全狀態。

5.5.11.7可信恢復

操作系統安全功能應確保安全功能或者被成功完成，或者在失敗時恢復到前后一致的狀態。

5.5.11.8不可旁路

在操作系統安全功能控制范圍的每一項功能執行之前，操作系統安全功能應確保安全功能被成功地激活。

5.5.11.9物理保護

操作系統安全功能應對可能危及操作系統安全功能安全的物理篡改提供明確的檢測，并能判斷出特定的物理篡改。
操作系統安全功能應監視需主動檢測的操作系統安全功能設備及要素，當其發生物理篡改時，操作系統安全功能應采取行動，如：通知指定的管理員。

5.5.12安全管理

5.5.12.1功能管理

操作系統安全功能應限制管理員對安全功能的啟動、關閉和修改的能力。

5.5.12.2屬性管理

操作系統安全功能應執行訪問控制策略，僅允許授權管理員管理安全屬性。
操作系統安全功能應提供安全屬性的默認值，僅允許授權管理員為生成的客體或信息規定新的初始值以代替原來的默認值。
操作系統安全功能應確保安全屬性只接受安全的值。

5.5.12.3安全功能數據管理

操作系統安全功能應限制管理員查詢、修改或刪除操作系統安全功能數據的能力。僅允許授權管理員管理這些數據。
操作系統安全功能應支持規定對操作系統安全功能數據的限制，以及限制值（如：用戶登錄數），當操作系統安全功能數據值超出了指定的限制時，應采取特定的動作。
操作系統安全功能應確保操作系統安全功能數據只接受安全的值。

5.5.12.4時限授權

對于支持有效期的各種安全屬性，操作系統安全功能應限制授權管理員規定其有效期的能力。
操作系統安全功能應支持授權管理員規定在有效期后將要采取的一系列活動。

5.5.12.5角色管理

操作系統安全功能應支持維護授權角色。
操作系統安全功能應將角色與用戶關聯起來，并確保用戶的不同角色應滿足的條件，如：一個賬號不能同時具有審計員和管理員角色。

5.5.13生存周期支持

5.5.13.1開發安全

開發者提供的開發安全文件應描述在操作系統開發環境中在物理上、程序上、人員上以及其他方面的安全措施。
開發者提供的開發安全文件應提供證據，證明安全措施對維護操作系統的機密性和完整性提供了必要的保護級別。

5.5.13.2缺陷糾正

開發者提供的缺陷糾正程序文檔，應描述用以接受用戶對于安全缺陷報告的程序，以及更正這些缺陷的程序，并說明已采取的糾正措施。
開發者提供的缺陷糾正程序文檔，應描述用以跟蹤所有操作系統版本里安全缺陷的程序，標識對安全缺陷所采取的糾正措施。

5.5.13.3生存周期模型

開發者提供的生存周期定義文檔應描述所建立的用于開發和維護操作系統的生存周期模型。
開發者提供的生存周期定義文檔應說明選擇該模型的原因。

5.5.13.4工具和技術

開發者提供的開發工具文檔應標識在開發操作系統中使用的工具和參照的標準，并描述有關實現的開發工具的選項。
開發者提供的開發工具文檔應明確定義所有基于實現的選項的含義。

5.5.14配置管理

5.5.14.1自動化

開發者提供的配置管理文檔應描述在配置管理系統中使用的自動生成工具。
開發者提供的配置管理文檔，應說明該生成工具能自動地確定操作系統與以前版本之間的變化，以及因給定的配置項的修改而受到影響的其他所有配置項。

5.5.14.2能力

開發者提供的配置管理文檔應以版本號做標簽，為操作系統提供引用，使一個版本號對應操作系統的唯一版本。
開發者提供的配置管理文檔應包括配置清單、配置管理計劃和接受計劃，其中配置清單應描述對配置項進行唯一標識的方法，并清楚地標識出組成安全功能的配置項，并提供保證對配置項只進行授權修改的方法。
應在配置管理計劃中描述配置管理系統是如何使用的，并闡明實施中的配置管理與配置管理計劃的一致性。
開發者提供的配置管理文檔應描述對修改過的或新建的配置項進行的接受程序。

5.5.14.3范圍

開發者提供的配置管理文檔應描述配置管理系統是如何跟蹤配置項的，并說明至少能跟蹤：操作系統實現表示、設計文檔、測試文檔、用戶文檔、管理員文檔和配置管理文檔。
開發者提供的配置管理文檔應說明配置管理系統能跟蹤安全缺陷。

5.5.15安全功能開發過程

5.5.15.1安全策略模型

開發者提供的安全策略模型應描述所有可以模型化的安全策略的規則和特性。
開發者提供形式化的安全策略模型，并闡明或適當時嚴格證明功能規約和安全策略模型之間的對應性，并說明功能規約中的安全功能對于安全策略模型來說，是一致的而且是完備的。
當功能規約是半形式化或形式化時，與功能規約之間的對應性的闡明也應是半形式化或形式化的。

5.5.15.2功能規約

開發者提供的操作系統安全功能的功能規約應描述安全功能及其與外部的接口。
開發者提供的操作系統安全功能的功能規約應完備地表示安全功能。
開發者應提供形式化的操作系統安全功能的功能規約。使用半形式化風格來描述安全功能與其外部接口，可以由非形式化的、解釋性的文字來支持。

5.5.15.3高層設計

開發者提供的操作系統安全功能的高層設計，應按子系統方式描述安全功能及其結構，并標識安全功能子系統的所有接口。
開發者提供的操作系統安全功能的高層設計，應將有關安全功能策略實施的子系統與其他子系統分離。
開發者提供的操作系統安全功能的高層設計應是形式化的。

5.5.15.4低層設計

開發者提供的操作系統安全功能的低層設計應以模塊術語描述安全功能，并描述每一個模塊的目的、接口。
開發者提供的操作系統安全功能的低層設計應是半形式化的，并詳細描述操作系統安全功能模塊所有接口的目的與方法。

5.5.15.5實現

開發者提供的操作系統安全功能的實現表示（如：源代碼、硬件圖）文檔應是內在一致的，并且無歧義地定義了詳細的操作系統安全功能。
開發者提供的操作系統安全功能的實現表示文檔應描述實現的各部分之間的關系。
開發者提供的操作系統安全功能的實現表示文檔應是構造較小的且易于理解的。

5.5.15.6表示對應性

對于所提供的安全策略表示的每個相鄰對，開發者應提供相鄰兩階段開發文檔之間的對應性分析，并闡明上一階段的安全策略表示在下一階段文檔中得到正確而完備地細化。
當安全策略表示的相鄰對是半形式化或形式化的時候，對應性闡明也應是半形式化或形式化的。

5.5.16測試

5.5.16.1功能測試

開發者提供的測試文檔應包含測試計劃、測試過程描述、預期的測試結果和實際測試結果，其中的測試計劃應標識要測試的安全功能、描述要執行的測試目標，測試過程描述應標識要執行的測試、測試概況。
開發者提供的測試文檔應包含對順序依賴性的分析。

5.5.16.2覆蓋分析

開發者提供的測試覆蓋的證據，應表明測試文檔中所標識的測試和功能規約中所描述的安全功能之間的對應性。
開發者提供的測試覆蓋的證據，應闡明測試文檔所標識的測試和功能規約中所描述的安全功能之間的對應性是完備的。
開發者提供的測試覆蓋的證據，應嚴格地闡明功能規約所標識的安全功能的所有外部接口均已經被完全測試。

5.5.16.3深度

開發者提供的測試深度分析文檔，應說明測試文檔中所標識的測試足以說明該安全功能動作和高層設計是一致的。
開發者提供的測試深度分析文檔，應說明測試文檔中所標識的測試足以闡明該安全功能動作與高層設計和低層設計一致的。

5.5.17指導性文檔

5.5.17.1管理員指南

開發者提供的管理員指南，應描述對于授權安全管理角色可使用的管理功能和接口、安全管理操作系統的方式、受控制的安全參數以及與安全操作有關的用戶行為的假設。同時，應描述與為評估而提供的其他所有文件的一致性。

5.5.17.2用戶指南

開發者提供的用戶指南，應描述用戶可獲取的安全功能和接口的用法以及安全操作中用戶的職責，包括用戶行為假設。同時，應描述與為評估而提供的其它所有文件的一致性。

5.5.18脆弱性

5.5.18.1隱蔽信道分析

開發者提供的隱蔽信道分析的文檔應標識出隱蔽信道并且估計它們的容量。

5.5.18.2安全功能強度

開發者提供的安全功能強度的分析文檔應對每個具有安全功能強度聲明的安全機制，進行安全功能強度的分析。

5.5.18.3脆弱性分析

開發者提供的脆弱性分析文檔應標識脆弱性的分布，并說明在所期望的環境中這些脆弱性不會被利用。
開發者提供的脆弱性分析文檔應能說明對脆弱性的搜索是系統化的。

5.5.19交付和運行

5.5.19.1交付

開發者提供的交付文檔應向用戶說明維護安全所應具有的交付程序。
開發者提供的交付文檔應描述如何用各種方法和技術措施來檢測修改，或檢測描述開發者的主拷貝和用戶方收到的版本之間的差異。

5.5.19.2安裝生成

開發者提供的安全安裝過程的文檔應說明用于操作系統的安全安裝、生成和啟動的過程所必需的步驟，并應描述一個啟動程序，它包含了用以生成操作系統的選項，從而能決定操作系統是如何以及何時產生的。