5.3 安全標記保護級

5.3.1自主訪問控制

安全功能將執行自主訪問控制策略。通過管理員屬性表，控制不同管理員對路由器的配置數據和其它數據的查看、修改，以及對路由器上程序的執行，阻止非授權管理員進行上述活動。

5.3.2強制訪問控制

路由器安全功能應通過管理員和路由器安全功能數據的敏感標記，控制管理員對相關安全功能數據的直接訪問。

5.3.3標記

路由器對所有客體（路由表、訪問表、審計記錄、管理員屬性表等）和主體（管理員以及所啟動的程序）都指定并維護敏感標記。

5.3.4身份鑒別

在管理員進入與系統會話之前，安全功能應鑒別管理員身份。對于遠程會話，需要被鑒別的信息包括網絡接入管理員身份、遠程管理站身份等。
安全功能應對所有鑒別信息提供安全保護措施（如對管理員身份進行加密），以防止管理員身份鑒別數據的泄露。
安全功能應周期性地確認管理員身份，如果管理員未進行操作的時間超過一定時限，當管理員再次操作時，安全功能應對管理員身份重新進行鑒別。時限由授權管理員設置。
當管理員被鑒別時，安全功能僅反饋鑒別是否成功或其它簡單信息。
安全功能應檢測到管理員登錄鑒別失敗的出現，當達到預先所規定的次數時，安全功能應采取一定的措施如鎖定界面、中斷鏈接或鎖定賬號。

5.3.5客體重用

安全功能應確保數據包在被路由器系統成功轉發后，沒有可用的遺留信息。一般利用多次重寫的辦法來實現。

5.3.6審計

路由器安全功能應能為路由器的可審計事件生成一個審計記錄，并在每一個審計記錄中至少記錄以下信息：
——事件發生的日期和時間；
——事件的類型；
——用戶身份；
——事件的結果（成功或失敗）。
路由器安全功能應能維護路由器的可審計事件，但其中至少包括：
——審計功能的啟動和終止事件；
——帳戶管理的成功和失敗；
——登錄事件的成功和失敗；
——對象（例如：路由表、訪問控制表等）訪問失敗；
——系統事件的成功和失敗等。
路由器安全功能應提供給已授權的管理員從審計記錄中讀取審計信息的能力，安全功能為管理員提供的審計記錄具有唯一、明確的定義和方便閱讀的格式。
路由器安全功能應能保護已存儲的審計記錄，避免未經授權的刪除，并能監測和防止對審計記錄的修改。當審計存儲耗盡、失敗或受到攻擊時，安全功能應確保最近的審計記錄在一定的時間內不會被破壞。
當審計記錄超過預定的限制值時，路由器安全功能應采取相應的行動，如：給授權管理員產生警告。
路由器安全功能應能監控可審計事件，并指出潛在的侵害。
路由器安全功能在檢測到可能有安全侵害發生時，應做出響應，如：通知管理員，向管理員提供一組遏制侵害的或采取校正的行動。

5.3.7用戶數據保護

路由器運行過程中，安全功能提供對特定類型數據包的鑒別功能，以確認數據包的有效性。
對于路由器轉發的數據包，安全功能應監視數據包中用戶數據的完整性，防止用戶數據在路由器上存儲轉發期間被破壞。
對于提供IP包過濾功能的路由器，應滿足以下要求：
a) 為了實現基于IP地址的過濾，管理員可以使用地址通配符進行過濾表的設置，實現如對IP協議、TCP協議、UDP協議、ICMP協議和相應協議端口的過濾；
b) 具有識別內外網絡地址的能力，防止外部網絡冒用內部地址；
c) 具有識別低層網絡地址假冒的能力；
d) 過濾表的大小只受系統資源的限制；
e) 能設置告警策略；
f) 管理員可以設置以下功能是否起作用：
1) 禁止分段過小的數據包通過，最小長度可以設置，并有一個建議值，在管理員設置的值小于該值時給予提示；
2) 禁止源端路由的數據包通過；
3) 禁止數據包分段偏移值異常的數據包通過，異常偏移值可以設置，并有一個建議值，在管理員設置值小于該值時予以提示。
安全功能具備用加密的方式轉發路由器運行中的數據包的能力。
通過實施一定的信息流控制策略（例如禁止一切沒有得到明確允許的信息流），安全功能防止數據包規避IP包過濾策略而流經路由器。
安全功能應能為傳送的數據包產生完整性標記，并能建立一定機制（如可信信道），來判別并保護數據包交換的完整性。

5.3.8可信路徑

安全功能應在已達到二級的路由器之間建立一條可信路徑，該路徑具有對安全數據的保護能力。對于要求安全性的數據包，應通過此路徑進行傳輸。
安全功能應能和（遠程）用戶間建立一條可信路徑，它提供數據保護，并在邏輯上明顯不同于其它路徑，從而實現用戶的（遠程）接入、（遠程）管理等功能。
安全功能應能對路由器轉發的數據包產生原發證據，并能驗證它的有效性。原發證據是與發送數據包的路由器的屬性相關聯的。
安全功能應能對路由器接受的數據包產生接收證據，并能驗證它的有效性。接收證據是與接收數據包的路由器的屬性相關聯的。

5.3.9安全功能保護

路由器應有自引導功能，在初始啟動期間，不能在安全功能發揮作用之前從網絡獲取引導信息。路由器初始化的選項由管理員進行管理，如開放或關閉某些應用程序等。
路由器安全功能應保護需經過網絡傳輸的路由器安全功能數據（如：路由表數據，訪問控制表數據等），防止此類數據被泄漏及篡改。路由器安全功能應能支持路由器間的可信鑒別。
路由器發生失敗或中斷后，安全功能應使其進入維護方式，并具備將路由器返回到一個安全狀態的能力。
安全功能應能為自身的應用提供可靠的時間戳，以支持身份鑒別、安全審計等其它各種安全功能的實現。

5.3.10安全管理

路由器的安全配置參數要有初始值。路由器安裝后，安全功能應能及時提醒管理員修改配置，并能周期性地提醒管理員維護配置。
安全功能應具備劃分管理員級別和規定相關權限（如監視、維護配置等）的能力。例如，將管理員劃分為高、中、低三個級別：
a) 低級別管理員只能對路由器的運行實施監視；
b) 中級別管理員對路由器的運行實施監視，并能查詢路由器的當前配置；
c) 高級別管理員對路由器的運行實施監視，并能維護路由器的當前配置。
安全功能支持將管理員的權限范圍進行分工，即限定管理員只能完成某一方面的工作，各項工作之間不可互相替代。
對于路由器中主體和客體所具有的敏感標記，安全功能只允許授權的管理員建立和維護這些敏感標記。

5.3.11配置管理

開發者應使用配置管理系統，并提供配置管理計劃。配置管理系統應確保對路由器的實現表示只能進行已授權的改變；配置管理計劃應描述在配置管理系統中使用的工具軟件，并描述如何使用這些工具。
開發者用路由器版本號作為它的引用標簽，并使用配置管理系統、提供管理文檔。對路由器的每一個版本，版本號應是唯一的。配置管理文檔應包括配置清單和一個配置管理計劃和接受計劃。配置清單描述生成路由器的配置項，配置管理計劃描述系統是怎樣使用的，接受計劃描述用來接受修改過的或新建的配置項的程序。
開發者應提供配置管理文檔。配置管理文檔應說明配置管理系統至少能跟蹤以下幾項：路由器實現的表示、設計文檔、測試文檔、用戶文檔、管理員文檔和配置管理文檔。配置管理文檔應描述配置管理系統是如何跟蹤配置項的。

5.3.12安全功能開發過程

開發者應提供路由器的功能規約。功能規約以非形式化風格來描述安全功能以及其外部接口，并完備地、一致地表示安全功能。功能規約應給出每一安全功能的接口定義，用以證明完備地描述了路由器安全功能。
開發者應提供路由器安全功能的實現表示。實現表示應是內在一致的，并且無歧義地定義了詳細的路由器安全功能。
開發者應提供路由器安全功能的高層設計。高層設計應按子系統描述安全功能及其結構，并標識安全功能子系統的所有接口。高層設計還應標識實現安全功能所要求的基礎性的硬件、固件和軟件。高層設計還應描述安全功能子系統所有接口及使用接口的目的和方法，并詳細描述接口的返回結果、例外情況和錯誤信息等，以及如何將路由器中有助于增強安全策略的子系統分離出來。
開發者應提供路由器安全功能的低層設計。低層設計應以模塊術語描述安全功能，并描述每一個模塊的目的、接口和相互間的關系。低層設計還應描述如何將路由器中有助于增強安全策略的模塊分離出來。
開發者提供的相鄰兩階段開發文檔應提供對相鄰的路由器安全功能表示之間的對應性分析，該對應性分析應闡明上一階段的安全功能表示在下一階段文檔中得到正確而完備地細化。
開發者應提供安全策略模型，并闡明該模型和路由器功能規約之間的對應性，這一對應性是一致和完備的。安全策略模型是非形式化的。該模型應描述所有可以模型化的安全策略的規則和特征，并包括一個基本原理，即闡明該模型對于所有可模型化的安全策略來說，是與其一致的，而且是完備的。

5.3.13指導性文檔

開發者應提供系統管理員的管理員指南。管理員指南應描述對于授權安全管理角色可使用的管理功能和接口、對路由器進行安全管理的方式、受控制的安全參數以及與安全操作有關的用戶行為的假設。管理員指南應與為路由器評估而提供的其它所有文件保持一致。

5.3.14生存周期支持

開發者應提供開發安全文件。開發安全文件應描述在路由器的開發環境中，用以在物理上、程序上、人員上以及其他方面上保護路由器設計和實現的保密性和完整性所必要的安全措施，并提供執行安全措施的證據。
開發者應建立用于開發和維護路由器的生存周期模型，并提供生存周期定義文檔。生存周期定義文件應描述用于開發和維護路由器的模型，該模型應給出開發和維護路由器的必要的控制。
開發者應描述用于開發路由器所使用的工具和參照標準，并提供關于已選擇的開發工具選項的描述文檔。開發工具文檔應明確說明所有開發工具選項的含義。

5.3.15測試

開發者應提供測試覆蓋的分析。測試覆蓋的分析應表明測試文檔中所標識的測試和功能規約中所描述的安全功能之間的對應性，并說明該對應性是完備的。
開發者應提供測試深度的分析。在深度分析中應給出：對于測試文檔所標識的測試，足以說明安全功能的實現和高層設計是一致的。
開發者應測試安全功能，并提供測試結果的文檔。測試文檔應包括測試計劃、測試程序描述，預期的測試結果和實際測試結果；測試計劃應標識要測試的安全功能，描述要執行的安全目標；測試過程描述應標識要執行的測試，并描述每個安全功能的測試概況，這些概況包括對于其它測試結果的順序依賴性；期望的測試結果應表明成功測試運行后的預期輸出；實際測試的結果應闡明了每個被測試的安全功能已按照規定進行運作了。

5.3.16脆弱性分析

開發者應提供指南性文檔和分析文檔。指南性文檔應確定對路由器的所有可能的操作方式（包括失敗和操作失誤后的操作）的后果以及對于保持安全操作的意義，并列出所有目標環境的假設和所有的外部安全措施（包括外部程序的、物理的或人員控制）要求。所述內容應是完備的、清晰的、一致的、合理的，并在分析文檔應闡明指南性文檔是完備的。
開發者應對用于路由器的、并具有安全功能強度聲明的安全機制（例如口令機制）進行安全功能強度分析。安全功能強度分析應證明安全機制達到了所聲明的強度。
開發者應實施脆弱性分析，并提供脆弱性分布的文檔。對所有已標識的脆弱性，文檔應說明它們在所期望的路由器使用環境中不能被利用。

5.3.17交付和運行

開發者應以文檔方式描述對路由器進行安全的安裝、生成和啟動的過程。
開發者以文檔的形式將路由器（系統）或其部分提供給用戶，為維護安全性應使用一定的分發程序。分發文檔應向用戶說明這一程序，并描述如何使用各種方法和技術措施來監測對系統的修改，或者描述開發者的主拷貝和用戶所收到的版本之間的差異。