5.2 系統審計保護級

5.2.1自主訪問控制

安全功能將執行自主訪問控制策略。通過管理員屬性表，控制不同管理員對路由器的配置數據和其它數據的查看、修改，以及對路由器上程序的執行，阻止非授權管理員進行上述活動。

5.2.2身份鑒別

在管理員進入與系統會話之前，安全功能應鑒別用戶身份。對于遠程會話，需要被鑒別的信息包括網絡接入的管理員身份、遠程管理站身份等。

5.2.3客體重用

安全功能應確保數據包在被路由器系統成功轉發后，沒有可用的遺留信息。一般利用多次重寫的辦法來實現。

5.2.4審計

路由器安全功能應能為路由器的可審計事件生成一個審計記錄，并在每一個審計記錄中至少記錄以下信息：
——事件發生的日期和時間；
——事件的類型；
——用戶身份；
——事件的結果（成功或失敗）。
路由器安全功能應能維護路由器的可審計事件，但其中至少包括：
——審計功能的啟動和終止事件；
——帳戶管理的成功和失敗；
——登錄事件的成功和失敗；
——對象（例如：路由表、訪問控制表等）訪問失敗；
——系統事件的成功和失敗等。
路由器安全功能應提供給已授權的管理員從審計記錄中讀取審計信息的能力，安全功能為管理員提供的審計記錄具有唯一、明確的定義和方便閱讀的格式。
路由器安全功能應能保護已存儲的審計記錄，避免未經授權的刪除，并能監測和防止對審計記錄的修改。當審計存儲耗盡、失敗或受到攻擊時，安全功能應確保最近的審計記錄在一定的時間內不會被破壞。
路由器安全功能在檢測到可能有安全侵害發生時，應做出響應，如：通知管理員，向管理員提供一組遏制侵害的或采取校正的行動。

5.2.5用戶數據保護

路由器運行過程中，安全功能提供對特定類型數據包的鑒別功能，以確認數據包的有效性。
對于路由器轉發的數據包，安全功能應監視數據包中用戶數據的完整性，防止用戶數據在路由器上存儲轉發期間被破壞。
對于提供IP包過濾功能的路由器，應滿足以下要求：
a) 為了實現基于IP地址的過濾，管理員可以使用地址通配符進行過濾表的設置，實現如對IP協議、TCP協議、UDP協議、ICMP協議和相應協議端口的過濾；
b) 具有識別內外網絡地址的能力，防止外部網絡冒用內部地址；
c) 具有識別低層網絡地址假冒的能力；
d) 過濾表的大小只受系統資源的限制；
e) 能設置告警策略；
f) 管理員可以設置以下功能是否起作用：
1) 禁止分段過小的數據包通過，最小長度可以設置，并有一個建議值，在管理員 設置值小于該值時予以提示；
2) 禁止源端路由的數據包通過；
3) 禁止數據包分段偏移值異常的數據包通過，異常偏移值可以設置，并有一個建議值，在管理員設置值小于該值時予以提示。
安全功能具備用加密的方式轉發路由器運行中的數據包的能力。

5.2.6安全功能保護

路由器應有自引導功能，在初始啟動期間，不能在安全功能發揮作用之前從網絡獲取引導信息。路由器初始化的選項由管理員進行管理，如開放或關閉某些應用程序等。

5.2.7安全管理

路由器的安全配置參數要有初始值。路由器安裝后，安全功能應能及時提醒管理員修改配置，并能周期性地提醒管理員維護配置。
安全功能應具備劃分管理員級別和規定相關權限（如監視、維護配置等）的能力。例如，將管理員劃分為高、低兩個級別：
a) 低級別管理員對路由器的運行實施監視，并能查詢路由器的當前配置；
b) 高級別管理員對路由器的運行實施監視，并能維護路由器的當前配置。

5.2.8配置管理

開發者用路由器版本號作為它的引用標簽，并使用配置管理系統、提供管理文檔。對路由器的每一個版本，版本號應是唯一的。配置管理文檔應包括配置清單，它描述生成路由器的配置項。
開發者應提供配置管理文檔。配置管理文檔應說明配置管理系統至少能跟蹤以下幾項：路由器實現的表示、設計文檔、測試文檔、用戶文檔、管理員文檔和配置管理文檔。配置管理文檔應描述配置管理系統是如何跟蹤配置項的。

5.2.9安全功能開發過程

開發者應提供路由器的功能規約。功能規約以非形式化風格來描述安全功能以及其外部接口，并完備地、一致地表示安全功能。
開發者應提供路由器安全功能的高層設計。高層設計應按子系統描述安全功能及其結構，并標識安全功能子系統的所有接口。高層設計還應標識實現安全功能所要求的基礎性的硬件、固件和軟件。
開發者應提供路由器安全功能的功能規約與高層設計之間的對應性分析，該分析應證明功能規約表示的所有相關安全功能都在高層設計中得到正確且完備的細化。

5.2.10指導性文檔

開發者應提供系統管理員的管理員指南。管理員指南應描述對于授權安全管理角色可使用的管理功能和接口、對路由器進行安全管理的方式、受控制的安全參數以及與安全操作有關的用戶行為的假設。管理員指南應與為路由器評估而提供的其它所有文件保持一致。

5.2.11生存周期支持

開發者提供開發安全文件。開發安全文件應描述在路由器的開發環境中，用以在物理上、程序上、人員上以及其他方面上保護路由器設計和實現的保密性和完整性所必要的安全措施，并提供執行安全措施的證據。

5.2.12測試

開發者應提供測試覆蓋的證據。測試覆蓋的證據應表明測試文檔中所標識的測試和功能規約中所描述的安全功能之間的對應性。
開發者應提供測試深度的分析。在深度分析中應給出：對于測試文檔所標識的測試，足以說明安全功能的實現和高層設計是一致的。
開發者應測試安全功能，并提供測試結果的文檔。測試文檔應包括測試計劃、測試程序描述，預期的測試結果和實際測試結果；測試計劃應標識要測試的安全功能，描述要執行的安全目標；測試過程描述應標識要執行的測試，并描述每個安全功能的測試概況，這些概況包括對于其它測試結果的順序依賴性；期望的測試結果應表明成功測試運行后的預期輸出；實際測試的結果應闡明了每個被測試的安全功能已按照規定進行運作了。

5.2.13脆弱性分析

開發者應提供指南性文檔和分析文檔。指南性文檔應確定對路由器的所有可能的操作方式（包括失敗和操作失誤后的操作）的后果以及對于保持安全操作的意義，并列出所有目標環境的假設和所有的外部安全措施（包括外部程序的、物理的或人員控制）要求。所述內容應是完備的、清晰的、一致的、合理的，并在分析文檔應闡明指南性文檔是完備的。
開發者應對用于路由器的、并具有安全功能強度聲明的安全機制（例如口令機制）進行安全功能強度分析。安全功能強度分析應證明安全機制達到了所聲明的強度。
開發者應實施脆弱性分析，并提供脆弱性分布的文檔。對所有已標識的脆弱性，文檔應說明它們在所期望的路由器使用環境中不能被利用。

5.2.14交付和運行

開發者應以文檔方式描述對路由器進行安全的安裝、生成和啟動的過程。
開發者以文檔的形式將路由器（系統）或其部分提供給用戶，為維護安全性應使用一定的分發程序。分發文檔應向用戶說明這一程序。