home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / info / orange-book.OLD < prev    next >
Encoding:
Text File  |  1992-03-04  |  294.7 KB  |  6,546 lines
  1.                                                                  CSC-STD-001-83
  2.                                                            Library No. S225,711
  3.  
  4.  
  5.  
  6.  
  7.  
  8.                          DEPARTMENT OF DEFENSE
  9.  
  10.             TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA
  11.  
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
  18.                             15 August 1983
  19.  
  20.  
  21.  
  22.                                                                  CSC-STD-001-83
  23.  
  24.  
  25.  
  26.  
  27.  
  28.  
  29.                                FOREWORD
  30.  
  31.  
  32. This publication, "Department of Defense Trusted Computer System Evaluation
  33. Criteria," is being issued by the DoD Computer Security Center under the
  34. authority of and in accordance with DoD Directive 5215.1, "Computer Security
  35. Evaluation Center." The criteria defined in this document constitute a uniform
  36. set of basic requirements and evaluation classes for assessing the
  37. effectiveness of security controls built into Automatic Data Processing (ADP)
  38. systems.  These criteria are intended for use in the evaluation and selection
  39. of ADP systems being considered for the processing and/or storage and
  40. retrieval of sensitive or classified information by the Department of Defense.
  41. Point of contact concerning this publication is the Office of Standards and
  42. Products, Attention: Chief, Computer Security Standards.
  43.  
  44.  
  45.  
  46.  
  47.  
  48. ____________________________                                     15 August 1983
  49. Melville H. Klein
  50. Director
  51. DoD Computer Security Center
  52.  
  53.  
  54.  
  55.  
  56.                            ACKNOWLEDGMENTS
  57.  
  58.  
  59. Special recognition is extended to Sheila L. Brand, DoD Computer Security
  60. Center (DoDCSC), who integrated theory, policy, and practice into and directed
  61. the production of this document.
  62.  
  63. Acknowledgment is also given for the contributions of: Grace Hammonds and
  64. Peter S. Tasker, the MITRE Corp., Daniel J. Edwards, Col. Roger R. Schell,
  65. Marvin Schaefer, DoDCSC, and Theodore M. P. Lee, Sperry UNIVAC, who as
  66. original architects formulated and articulated the technical issues and
  67. solutions presented in this document; Jeff Makey and Warren F. Shadle,
  68. DoDCSC, who assisted in the preparation of this document; James P. Anderson,
  69. James P. Anderson & Co., Steven B. Lipner, Digital Equipment Corp., Clark
  70. Weissman, System Development Corp., LTC Lawrence A. Noble, formerly U.S. Air
  71. Force, Stephen T. Walker, formerly DoD, Eugene V. Epperly, DoD, and James E.
  72. Studer, formerly Dept. of the Army, who gave generously of their time and
  73. expertise in the review and critique of this document; and finally, thanks are
  74. given to the computer industry and others interested in trusted computing for
  75. their enthusiastic advice and assistance throughout this effort.
  76.  
  77.  
  78.  
  79.  
  80.                           TABLE OF CONTENTS
  81.  
  82. FOREWORD. . . . . . . . . . . . . . . . . . . . . . . . . . . .i
  83. ACKNOWLEDGMENTS . . . . . . . . . . . . . . . . . . . . . . . ii
  84. PREFACE . . . . . . . . . . . . . . . . . . . . . . . . . . . .v
  85. INTRODUCTION. . . . . . . . . . . . . . . . . . . . . . . . . .1
  86.  
  87.                         PART I: THE CRITERIA
  88. Section
  89. 1.0  DIVISION D:    MINIMAL PROTECTION. . . . . . . . . . . . .9
  90. 2.0  DIVISION C:    DISCRETIONARY PROTECTION. . . . . . . . . 11
  91.      2.1   Class (C1):  Discretionary Security Protection . . 12
  92.      2.2   Class (C2):  Controlled Access Protection. . . . . 15
  93. 3.0  DIVISION B:    MANDATORY PROTECTION. . . . . . . . . . . 19
  94.      3.1   Class (B1):  Labeled Security Protection . . . . . 20
  95.      3.2   Class (B2):  Structured Protection . . . . . . . . 26
  96.      3.3   Class (B3):  Security Domains. . . . . . . . . . . 33
  97. 4.0  DIVISION A:    VERIFIED PROTECTION . . . . . . . . . . . 41
  98.      4.1   Class (A1):  Verified Design . . . . . . . . . . . 42
  99.      4.2   Beyond Class (A1). . . . . . . . . . . . . . . . . 51
  100.  
  101.                  PART II: RATIONALE AND GUIDELINES
  102.  
  103. 5.0  CONTROL OBJECTIVES FOR TRUSTED COMPUTER SYSTEMS. . . . . 55
  104.      5.1   A Need for Consensus . . . . . . . . . . . . . . . 56
  105.      5.2   Definition and Usefulness. . . . . . . . . . . . . 56
  106.      5.3   Criteria Control Objective . . . . . . . . . . . . 56
  107. 6.0  RATIONALE BEHIND THE EVALUATION CLASSES. . . . . . . . . 63
  108.      6.1   The Reference Monitor Concept. . . . . . . . . . . 64
  109.      6.2   A Formal Security Policy Model . . . . . . . . . . 64
  110.      6.3   The Trusted Computing Base . . . . . . . . . . . . 65
  111.      6.4   Assurance. . . . . . . . . . . . . . . . . . . . . 65
  112.      6.5   The Classes. . . . . . . . . . . . . . . . . . . . 66
  113. 7.0  THE RELATIONSHIP BETWEEN POLICY AND THE CRITERIA . . . . 69
  114.      7.1   Established Federal Policies . . . . . . . . . . . 70
  115.      7.2   DoD Policies . . . . . . . . . . . . . . . . . . . 70
  116.      7.3   Criteria Control Objective For Security Policy . . 71
  117.      7.4   Criteria Control Objective for Accountability. . . 74
  118.      7.5   Criteria Control Objective for Assurance . . . . . 76
  119. 8.0  A GUIDELINE ON COVERT CHANNELS . . . . . . . . . . . . . 79
  120. 9.0  A GUIDELINE ON CONFIGURING MANDATORY ACCESS CONTROL
  121.      FEATURES . . . . . . . . . . . . . . . . . . . . . . . . 81
  122. 10.0  A GUIDELINE ON SECURITY TESTING . . . . . . . . . . . . 83
  123.       10.1 Testing for Division C . . . . . . . . . . . . . . 84
  124.       10.2 Testing for Division B . . . . . . . . . . . . . . 84
  125.       10.3 Testing for Division A . . . . . . . . . . . . . . 85
  126. APPENDIX A:  Commercial Product Evaluation Process. . . . . . 87
  127. APPENDIX B:  Summary of Evaluation Criteria Divisions . . . . 89
  128. APPENDIX C:  Sumary of Evaluation Criteria Classes. . . . . . 91
  129. APPENDIX D:  Requirement Directory. . . . . . . . . . . . . . 93
  130.  
  131. GLOSSARY. . . . . . . . . . . . . . . . . . . . . . . . . . .109
  132.  
  133. REFERENCES. . . . . . . . . . . . . . . . . . . . . . . . . .115
  134.  
  135.  
  136.  
  137.  
  138.                                 PREFACE
  139.  
  140.  
  141. The trusted computer system evaluation criteria defined in this document
  142. classify systems into four broad hierarchical divisions of enhanced security
  143. protection.  They provide a basis for the evaluation of effectiveness of
  144. security controls built into automatic data processing system products.  The
  145. criteria were developed with three objectives in mind: (a) to provide users
  146. with a yardstick with which to assess the degree of trust that can be placed
  147. in computer systems for the secure processing of classified or other sensitive
  148. information; (b) to provide guidance to manufacturers as to what to build into
  149. their new, widely-available trusted commercial products in order to satisfy
  150. trust requirements for sensitive applications; and (c) to provide a basis for
  151. specifying security requirements in acquisition specifications.  Two types of
  152. requirements are delineated for secure processing: (a) specific security
  153. feature requirements and (b) assurance requirements.  Some of the latter
  154. requirements enable evaluation personnel to determine if the required features
  155. are present and functioning as intended.  Though the criteria are
  156. application-independent, it is recognized that the specific security feature
  157. requirements may have to be interpreted when applying the criteria to specific
  158. applications or other special processing environments.  The underlying
  159. assurance requirements can be applied across the entire spectrum of ADP system
  160. or application processing environments without special interpretation.
  161.  
  162.  
  163. INTRODUCTION
  164.  
  165. Historical Perspective
  166.  
  167. In October 1967, a task force was assembled under the auspices of the Defense
  168. Science Board to address computer security safeguards that would protect
  169. classified information in remote-access, resource-sharing computer systems.
  170. The Task Force report, "Security Controls for Computer Systems," published in
  171. February 1970, made a number of policy and technical recommendations on
  172. actions to be taken to reduce the threat of compromise of classified
  173. information processed on remote-access computer systems.[34]  Department of
  174. Defense Directive 5200.28 and its accompanying manual DoD 5200.28-M, published
  175. in 1972 and 1973 respectivley, responded to one of these recommendations by
  176. establishing uniform DoD policy, security requirements, administrative
  177. controls, and technical measures to protect classified information processed
  178. by DoD computer systems.[8;9]  Research and development work undertaken by the
  179. Air Force, Advanced Research Projects Agency, and other defense agencies in
  180. the early and mid 70's developed and demonstrated solution approaches for the
  181. technical problems associated with controlling the flow of information in
  182. resource and information sharing computer systems.[1]  The DoD Computer
  183. Security Initiative was started in 1977 under the auspices of the Under
  184. Secretary of Defense for Research and Engineering to focus DoD efforts
  185. addressing computer security issues.[33]
  186.  
  187. Concurrent with DoD efforts to address computer security issues, work was
  188. begun under the leadership of the National Bureau of Standards (NBS) to define
  189. problems and solutions for building, evaluating, and auditing secure computer
  190. systems.[17]  As part of this work NBS held two invitational workshops on the
  191. subject of audit and evaluation of computer security.[20;28]  The first was
  192. held in March 1977, and the second in November of 1978.  One of the products
  193. of the second workshop was a definitive paper on the problems related to
  194. providing criteria for the evaluation of technical computer security
  195. effectiveness.[20]  As an outgrowth of recommendations from this report, and in
  196. support of the DoD Computer Security Initiative, the MITRE Corporation began
  197. work on a set of computer security evaluation criteria that could be used to
  198. assess the degree of trust one could place in a computer system to protect
  199. classified data.[24;25;31]  The preliminary concepts for computer security
  200. evaluation were defined and expanded upon at invitational workshops and
  201. symposia whose participants represented computer security expertise drawn from
  202. industry and academia in addition to the government.  Their work has since
  203. been subjected to much peer review and constructive technical criticism from
  204. the DoD, industrial research and development organizations, universities, and
  205. computer manufacturers.
  206.  
  207. The DoD Computer Security Center (the Center) was formed in January 1981 to
  208. staff and expand on the work started by the DoD Computer Security
  209. Initiative.[15]  A major goal of the Center as given in its DoD Charter is to
  210. encourage the widespread availability of trusted computer systems for use by
  211. those who process classified or other sensitive information.[10]  The criteria
  212. presented in this document have evolved from the earlier NBS and MITRE
  213. evaluation material.
  214.  
  215.  
  216. Scope
  217.  
  218. The trusted computer system evaluation criteria defined in this document apply
  219. to both trusted general-purpose and trusted embedded (e.g., those dedicated to
  220. a specific application) automatic data processing (ADP) systems.  Included are
  221. two distinct sets of requirements: 1) specific security feature requirements;
  222. and 2) assurance requirements.  The specific feature requirements encompass
  223. the capabilities typically found in information processing systems employing
  224. general-purpose operating systems that are distinct from the applications
  225. programs being supported.  The assurance requirements, on the other hand,
  226. apply to systems that cover the full range of computing environments from
  227. dedicated controllers to full range multilevel secure resource sharing
  228. systems.
  229.  
  230.  
  231. Purpose
  232.  
  233. As outlined in the Preface, the criteria have been developed for a number of
  234. reasons:
  235.  
  236.            * To provide users with a metric with which to evaluate the
  237.            degree of trust that can be placed in computer systems for
  238.            the secure processing of classified and other sensitive
  239.            information.
  240.  
  241.            * To provide guidance to manufacturers as to what security
  242.            features to build into their new and planned, commercial
  243.            products in order to provide widely available systems that
  244.            satisfy trust requirements for sensitive applications.
  245.  
  246.            * To provide a basis for specifying security requirements in
  247.            acquisition specifications.
  248.  
  249. With respect to the first purpose for development of the criteria, i.e.,
  250. providing users with a security evaluation metric, evaluations can be
  251. delineated into two types: (a) an evaluation can be performed on a computer
  252. product from a perspective that excludes the application environment; or, (b)
  253. it can be done to assess whether appropriate security measures have been taken
  254. to permit the system to be used operationally in a specific environment.  The
  255. former type of evaluation is done by the Computer Security Center through the
  256. Commercial Product Evaluation Process.  That process is described in Appendix
  257. A.
  258.  
  259. The latter type of evaluation, i.e., those done for the purpose of assessing a
  260. system's security attributes with respect to a specific operational mission,
  261. is known as a certification evaluation.  It must be understood that the
  262. completion of a formal product evaluation does not constitute certification or
  263. accreditation for the system to be used in any specific application
  264. environment.  On the contrary, the evaluation report only provides a trusted
  265. computer system's evaluation rating along with supporting data describing the
  266. product system's strengths and weaknesses from a computer security point of
  267. view.  The system security certification and the formal approval/accreditation
  268. procedure, done in accordance with the applicable policies of the issuing
  269. agencies, must still be followed-before a system can be approved for use in
  270. processing or handling classified information.[8;9]
  271.  
  272. The trusted computer system evaluation criteria will be used directly and
  273. indirectly in the certification process.  Along with applicable policy, it
  274. will be used directly as the basis for evaluation of the total system and for
  275. specifying system security and certification requirements for new
  276. acquisitions.  Where a system being evaluated for certification employs a
  277. product that has undergone a Commercial Product Evaluation, reports from that
  278. process will be used as input to the certification evaluation.  Technical data
  279. will be furnished to designers, evaluators and the Designated Approving
  280. Authorities to support their needs for making decisions.
  281.  
  282.  
  283. Fundamental Computer Security Requirements
  284.  
  285. Any discussion of computer security necessarily starts from a statement of
  286. requirements, i.e., what it really means to call a computer system "secure."
  287. In general, secure systems will control, through use of specific security
  288. features, access to information such that only properly authorized
  289. individuals, or processes operating on their behalf, will have access to read,
  290. write, create, or delete information.  Six fundamental requirements are
  291. derived from this basic statement of objective: four deal with what needs to
  292. be provided to control access to information; and two deal with how one can
  293. obtain credible assurances that this is accomplished in a trusted computer
  294. system.
  295.  
  296.                                 POLICY
  297.  
  298. Requirement 1 - SECURITY POLICY - There must be an explicit and well-defined
  299. security policy enforced by the system.  Given identified subjects and
  300. objects, there must be a set of rules that are used by the system to determine
  301. whether a given subject can be permitted to gain access to a specific object.
  302. Computer systems of interest must enforce a mandatory security policy that can
  303. effectively implement access rules for handling sensitive (e.g., classified)
  304. information.[7]  These rules include requirements such as: No person lacking
  305. proper personnel security clearance shall obtain access to classified
  306. information.  In addition, discretionary security controls are required to
  307. ensure that only selected users or groups of users may obtain access to data
  308. (e.g., based on a need-to-know).
  309.  
  310. Requirement 2 - MARKING - Access control labels must be associated with
  311. objects.  In order to control access to information stored in a computer,
  312. according to the rules of a mandatory security policy, it must be possible to
  313. mark every object with a label that reliably identifies the object's
  314. sensitivity level (e.g., classification), and/or the modes of access accorded
  315. those subjects who may potentially access the object.
  316.  
  317.                           ACCOUNTABILITY
  318.  
  319. Requirement 3 - IDENTIFICATION - Individual subjects must be identified.  Each
  320. access to information must be mediated based on who is accessing the
  321. information and what classes of information they are authorized to deal with.
  322. This identification and authorization information must be securely maintained
  323. by the computer system and be associated with every active element that
  324. performs some security-relevant action in the system.
  325.  
  326. Requirement 4 - ACCOUNTABILITY - Audit information must be selectively kept
  327. and protected so that actions affecting security can be traced to the
  328. responsible party.  A trusted system must be able to record the occurrences of
  329. security-relevant events in an audit log.  The capability to select the audit
  330. events to be recorded is necessary to minimize the expense of auditing and to
  331. allow efficient analysis.  Audit data must be protected from modification and
  332. unauthorized destruction to permit detection and after-the-fact investigations
  333. of security violations.
  334.  
  335.                              ASSURANCE
  336.  
  337. Requirement 5 - ASSURANCE - The computer system must contain hardware/software
  338. mechanisms that can be independently evaluated to provide sufficient assurance
  339. that the system enforces requirements 1 through 4 above.  In order to assure
  340. that the four requirements of Security Policy, Marking, Identification, and
  341. Accountability are enforced by a computer system, there must be some
  342. identified and unified collection of hardware and software controls that
  343. perform those functions.  These mechanisms are typically embedded in the
  344. operating system and are designed to carry out the assigned tasks in a secure
  345. manner.  The basis for trusting such system mechanisms in their operational
  346. setting must be clearly documented such that it is possible to independently
  347. examine the evidence to evaluate their sufficiency.
  348.  
  349. Requirement 6 - CONTINUOUS PROTECTION - The trusted mechanisms that enforce
  350. these basic requirements must be continuously protected against tampering
  351. and/or unauthorized changes.  No computer system can be considered truly
  352. secure if the basic hardware and software mechanisms that enforce the security
  353. policy are themselves subject to unauthorized modification or subversion.  The
  354. continuous protection requirement has direct implications throughout the
  355. computer system's life-cycle.
  356.  
  357. These fundamental requirements form the basis for the individual evaluation
  358. criteria applicable for each evaluation division and class.  The interested
  359. reader is referred to Section 5 of this document, "Control Objectives for
  360. Trusted Computer Systems," for a more complete discussion and further
  361. amplification of these fundamental requirements as they apply to
  362. general-purpose information processing systems and to Section 7 for
  363. amplification of the relationship between Policy and these requirements.
  364.  
  365.  
  366. Structure of the Document
  367.  
  368. The remainder of this document is divided into two parts, four appendices, and
  369. a glossary.  Part I (Sections 1 through 4) presents the detailed criteria
  370. derived from the fundamental requirements described above and relevant to the
  371. rationale and policy excerpts contained in Part II.
  372.  
  373. Part II (Sections 5 through 10) provides a discussion of basic objectives,
  374. rationale, and national policy behind the development of the criteria, and
  375. guidelines for developers pertaining to: mandatory access control rules
  376. implementation, the covert channel problem, and security testing.  It is
  377. divided into six sections.  Section 5 discusses the use of control objectives
  378. in general and presents the three basic control objectives of the criteria.
  379. Section 6 provides the theoretical basis behind the criteria.  Section 7 gives
  380. excerpts from pertinent regulations, directives, OMB Circulars, and Executive
  381. Orders which provide the basis for many trust requirements for processing
  382. nationally sensitive and classified information with computer systems.
  383. Section 8 provides guidance to system developers on expectations in dealing
  384. with the covert channel problem.  Section 9 provides guidelines dealing with
  385. mandatory security.  Section 10 provides guidelines for security testing.
  386. There are four appendices, including a description of the Trusted Computer
  387. System Commercial Products Evaluation Process (Appendix A), summaries of the
  388. evaluation divisions (Appendix B) and classes (Appendix C), and finally a
  389. directory of requirements ordered alphabetically.  In addition, there is a
  390. glossary.
  391.  
  392.  
  393. Structure of the Criteria
  394.  
  395. The criteria are divided into four divisions: D, C, B, and A ordered in a
  396. hierarchical manner with the highest division (A) being reserved for systems
  397. providing the most comprehensive security.  Each division represents a major
  398. improvement in the overall confidence one can place in the system for the
  399. protection of sensitive information.  Within divisions C and B there are a
  400. number of subdivisions known as classes.  The classes are also ordered in a
  401. hierarchical manner with systems representative of division C and lower
  402. classes of division B being characterized by the set of computer security
  403. mechanisms that they possess.  Assurance of correct and complete design and
  404. implementation for these systems is gained mostly through testing of the
  405. security- relevant portions of the system.  The security-relevant portions of
  406. a system are referred to throughout this document as the Trusted Computing
  407. Base (TCB).  Systems representative of higher classes in division B and
  408. division A derive their security attributes more from their design and
  409. implementation structure.  Increased assurance that the required features are
  410. operative, correct, and tamperproof under all circumstances is gained through
  411. progressively more rigorous analysis during the design process.
  412.  
  413. Within each class, four major sets of criteria are addressed.  The first three
  414. represent features necessary to satisfy the broad control objectives of
  415. Security Policy, Accountability, and Assurance that are discussed in Part II,
  416. Section 5.  The fourth set, Documentation, describes the type of written
  417. evidence in the form of user guides, manuals, and the test and design
  418. documentation required for each class.
  419.  
  420. A reader using this publication for the first time may find it helpful to
  421. first read Part II, before continuing on with Part I.
  422.  
  423.  
  424.  
  425.  
  426.                         PART I:  THE CRITERIA
  427.  
  428. Highlighting (UPPERCASE) is used in Part I to indicate criteria not contained
  429. in a lower class or changes and additions to already defined criteria.  Where
  430. there is no highlighting, requirements have been carried over from lower
  431. classes without addition or modification.
  432.  
  433.  
  434.  
  435. 1.0  DIVISION D:    MINIMAL PROTECTION
  436.  
  437. This division contains only one class.  It is reserved for those systems that
  438. have been evaluated but that fail to meet the requirements for a higher
  439. evaluation class.
  440.  
  441.  
  442.  
  443. 2.0 DIVISION C:  DISCRETIONARY PROTECTION
  444.  
  445. Classes in this division provide for discretionary (need-to-know) protection
  446. and, through the inclusion of audit capabilities, for accountability of
  447. subjects and the actions they initiate.
  448.  
  449.  
  450. 2.1  CLASS (C1):   DISCRETIONARY SECURITY PROTECTION
  451.  
  452. The Trusted Computing Base (TCB) of a class (C1) system nominally satisfies
  453. the discretionary security requirements by providing separation of users and
  454. data.  It incorporates some form of credible controls capable of enforcing
  455. access limitations on an individual basis, i.e., ostensibly suitable for
  456. allowing users to be able to protect project or private information and to
  457. keep other users from accidentally reading or destroying their data.  The
  458. class (C1) environment is expected to be one of cooperating users processing
  459. data at the same level(s) of sensitivity.  The following are minimal
  460. requirements for systems assigned a class (C1) rating:
  461.  
  462. 2.1.1  SECURITY POLICY
  463.  
  464.      2.1.1.1   Discretionary Access Control
  465.  
  466.                THE TCB SHALL DEFINE AND CONTROL ACCESS BETWEEN NAMED USERS AND
  467.          NAMED OBJECTS (E.G., FILES AND PROGRAMS) IN THE ADP SYSTEM.  THE
  468.          ENFORCEMENT MECHANISM (E.G., SELF/GROUP/PUBLIC CONTROLS, ACCESS 
  469.          CONTROL LISTS) SHALL ALLOW USERS TO SPECIFY AND CONTROL SHARING 
  470.          OF THOSE OBJECTS BY NAMED INDIVIDUALS OR DEFINED GROUPS OR BOTH.
  471.  
  472. 2.1.2  ACCOUNTABILITY
  473.  
  474.      2.1.2.1   Identification and Authentication
  475.  
  476.                THE TCB SHALL REQUIRE USERS TO IDENTIFY THEMSELVES TO IT BEFORE
  477.          BEGINNING TO PERFORM ANY OTHER ACTIONS THAT THE TCB IS EXPECTED 
  478.          TO MEDIATE.  FURTHERMORE, THE TCB SHALL USE A PROTECTED 
  479.          MECHANISM (E.G., PASSWORDS) TO AUTHENTICATE THE USER'S IDENTITY.
  480.          THE TCB SHALL PROTECT AUTHENTICATION DATA SO THAT IT CANNOT BE 
  481.          ACCESSED BY ANY UNAUTHORIZED USER.
  482.  
  483. 2.1.3  ASSURANCE
  484.  
  485.      2.1.3.1   Operational Assurance
  486.  
  487.     2.1.3.1.1  System Architecture
  488.  
  489.                      THE TCB SHALL MAINTAIN A DOMAIN FOR ITS OWN EXECUTION
  490.          THAT PROTECTS IT FROM EXTERNAL INTERFERENCE OR TAMPERING
  491.          (E.G., BY MODIFICATION OF ITS CODE OR DATA STRUCTURES). 
  492.          RESOURCES CONTROLLED BY THE TCB MAY BE A DEFINED SUBSET 
  493.          OF THE SUBJECTS AND OBJECTS IN THE ADP SYSTEM.
  494.  
  495.     2.1.3.1.2  System Integrity
  496.  
  497.                      HARDWARE AND/OR SOFTWARE FEATURES SHALL BE PROVIDED THAT
  498.          CAN BE USED TO PERIODICALLY VALIDATE THE CORRECT OPERATION
  499.          OF THE ON-SITE HARDWARE AND FIRMWARE ELEMENTS OF THE TCB.
  500.  
  501.      2.1.3.2   Life-Cycle Assurance
  502.  
  503.     2.1.3.2.1  Security Testing
  504.  
  505.                      THE SECURITY MECHANISMS OF THE ADP SYSTEM SHALL BE TESTED
  506.          AND FOUND TO WORK AS CLAIMED IN THE SYSTEM DOCUMENTATION. 
  507.          TESTING SHALL BE DONE TO ASSURE THAT THERE ARE NO OBVIOUS
  508.          WAYS FOR AN UNAUTHORIZED USER TO BYPASS OR OTHERWISE 
  509.          DEFEAT THE SECURITY PROTECTION MECHANISMS OF THE TCB.
  510.          (SEE THE SECURITY TESTING GUIDELINES.)
  511.  
  512. 2.1.4  DOCUMENTATION
  513.  
  514.      2.1.4.1   Security Features User's Guide
  515.  
  516.                A SINGLE SUMMARY, CHAPTER, OR MANUAL IN USER DOCUMENTATION
  517.          SHALL DESCRIBE THE PROTECTION MECHANISMS PROVIDED BY THE TCB,
  518.          GUIDELINES ON THEIR USE, AND HOW THEY INTERACT WITH ONE ANOTHER.
  519.  
  520.      2.1.4.2   Trusted Facility Manual
  521.  
  522.                A MANUAL ADDRESSED TO THE ADP SYSTEM ADMINISTRATOR SHALL
  523.          PRESENT CAUTIONS ABOUT FUNCTIONS AND PRIVILEGES THAT SHOULD BE 
  524.          CONTROLLED WHEN RUNNING A SECURE FACILITY.
  525.  
  526.      2.1.4.3   Test Documentation
  527.  
  528.                THE SYSTEM DEVELOPER SHALL PROVIDE TO THE EVALUATORS A DOCUMENT
  529.          THAT DESCRIBES THE TEST PLAN AND RESULTS OF THE SECURITY 
  530.          MECHANISMS' FUNCTIONAL TESTING.
  531.  
  532.      2.1.4.4   Design Documentation
  533.  
  534.                DOCUMENTATION SHALL BE AVAILABLE THAT PROVIDES A DESCRIPTION OF
  535.          THE MANUFACTURER'S PHILOSOPHY OF PROTECTION AND AN EXPLANATION 
  536.          OF HOW THIS PHILOSOPHY IS TRANSLATED INTO THE TCB.  IF THE TCB 
  537.          IS COMPOSED OF DISTINCT MODULES, THE INTERFACES BETWEEN THESE 
  538.          MODULES SHALL BE DESCRIBED.
  539.  
  540.  
  541. 2.2  CLASS (C2):    CONTROLLED ACCESS PROTECTION
  542.  
  543. Systems in this class enforce a more finely grained discretionary access
  544. control than (C1) systems, making users individually accountable for their
  545. actions through login procedures, auditing of security-relevant events, and
  546. resource isolation.  The following are minimal requirements for systems
  547. assigned a class (C2) rating:
  548.  
  549. 2.2.1  SECURITY POLICY
  550.  
  551.      2.2.1.1   Discretionary Access Control
  552.  
  553.                The TCB shall define and control access between named users and
  554.          named objects (e.g., files and programs) in the ADP system.  The
  555.          enforcement mechanism (e.g., self/group/public controls, access
  556.          control lists) shall allow users to specify and control sharing
  557.          of those objects by named individuals, or defined groups OF 
  558.          INDIVIDUALS, or by both.  THE DISCRETIONARY ACCESS CONTROL
  559.          MECHANISM SHALL, EITHER BY EXPLICIT USER ACTION OR BY DEFAULT,
  560.          PROVIDE THAT OBJECTS ARE PROTECTED FROM UNAUTHORIZED ACCESS. 
  561.          THESE ACCESS CONTROLS SHALL BE CAPABLE OF INCLUDING OR EXCLUDING
  562.          ACCESS TO THE GRANULARITY OF A SINGLE USER.  ACCESS PERMISSION 
  563.          TO AN OBJECT BY USERS NOT ALREADY POSSESSING ACCESS PERMISSION
  564.          SHALL ONLY BE ASSIGNED BY AUTHORIZED USERS.
  565.  
  566.      2.2.1.2   Object Reuse
  567.  
  568.                WHEN A STORAGE OBJECT IS INITIALLY ASSIGNED, ALLOCATED, OR
  569.          REALLOCATED TO A SUBJECT FROM THE TCB'S POOL OF UNUSED STORAGE
  570.          OBJECTS, THE TCB SHALL ASSURE THAT THE OBJECT CONTAINS NO DATA
  571.          FOR WHICH THE SUBJECT IS NOT AUTHORIZED.
  572.  
  573. 2.2.2  ACCOUNTABILITY
  574.  
  575.      2.2.2.1   Identification and Authentication
  576.  
  577.                The TCB shall require users to identify themselves to it before
  578.          beginning to perform any other actions that the TCB is expected
  579.          to mediate.  Furthermore, the TCB shall use a protected 
  580.          mechanism (e.g., passwords) to authenticate the user's identity.
  581.          The TCB shall protect authentication data so that it cannot be
  582.          accessed by any unauthorized user.  THE TCB SHALL BE ABLE TO
  583.          ENFORCE INDIVIDUAL ACCOUNTABILITY BY PROVIDING THE CAPABILITY TO
  584.          UNIQUELY IDENTIFY EACH INDIVIDUAL ADP SYSTEM USER.  THE TCB 
  585.          SHALL ALSO PROVIDE THE CAPABILITY OF ASSOCIATING THIS IDENTITY
  586.          WITH ALL AUDITABLE ACTIONS TAKEN BY THAT INDIVIDUAL.
  587.  
  588.      2.2.2.2   Audit
  589.  
  590.                THE TCB SHALL BE ABLE TO CREATE, MAINTAIN, AND PROTECT FROM
  591.          MODIFICATION OR UNAUTHORIZED ACCESS OR DESTRUCTION AN AUDIT 
  592.          TRAIL OF ACCESSES TO THE OBJECTS IT PROTECTS.  THE AUDIT DATA
  593.          SHALL BE PROTECTED BY THE TCB SO THAT READ ACCESS TO IT IS
  594.          LIMITED TO THOSE WHO ARE AUTHORIZED FOR AUDIT DATA.  THE TCB
  595.          SHALL BE ABLE TO RECORD THE FOLLOWING TYPES OF EVENTS: USE OF
  596.          IDENTIFICATION AND AUTHENTICATION MECHANISMS, INTRODUCTION OF 
  597.          OBJECTS INTO A USER'S ADDRESS SPACE (E.G., FILE OPEN, PROGRAM
  598.          INITIATION), DELETION OF OBJECTS, AND ACTIONS TAKEN BY
  599.          COMPUTER OPERATORS AND SYSTEM ADMINISTRATORS AND/OR SYSTEM
  600.          SECURITY OFFICERS.  FOR EACH RECORDED EVENT, THE AUDIT RECORD
  601.          SHALL IDENTIFY: DATE AND TIME OF THE EVENT, USER, TYPE OF 
  602.          EVENT, AND SUCCESS OR FAILURE OF THE EVENT.  FOR 
  603.          IDENTIFICATION/AUTHENTICATION EVENTS THE ORIGIN OF REQUEST
  604.          (E.G., TERMINAL ID) SHALL BE INCLUDED IN THE AUDIT RECORD.  FOR
  605.          EVENTS THAT INTRODUCE AN OBJECT INTO A USER'S ADDRESS SPACE AND
  606.          FOR OBJECT DELETION EVENTS THE AUDIT RECORD SHALL INCLUDE THE 
  607.          NAME OF THE OBJECT.  THE ADP SYSTEM ADMINISTRATOR SHALL BE ABLE
  608.          TO SELECTIVELY AUDIT THE ACTIONS OF ANY ONE OR MORE USERS BASED
  609.          ON INDIVIDUAL IDENTITY.
  610.  
  611. 2.2.3  ASSURANCE
  612.  
  613.      2.2.3.1   Operational Assurance
  614.  
  615.     2.2.3.1.1  System Architecture
  616.  
  617.                      The TCB shall maintain a domain for its own execution
  618.          that protects it from external interference or tampering
  619.          (e.g., by modification of its code or data structures). 
  620.          Resources controlled by the TCB may be a defined subset
  621.          of the subjects and objects in the ADP system.  THE TCB
  622.          SHALL ISOLATE THE RESOURCES TO BE PROTECTED SO THAT THEY
  623.          ARE SUBJECT TO THE ACCESS CONTROL AND AUDITING 
  624.          REQUIREMENTS.
  625.  
  626.     2.2.3.1.2  System Integrity
  627.  
  628.                      Hardware and/or software features shall be provided that
  629.          can be used to periodically validate the correct operation
  630.          of the on-site hardware and firmware elements of the TCB.
  631.  
  632.      2.2.3.2   Life-Cycle Assurance
  633.  
  634.     2.2.3.2.1  Security Testing
  635.  
  636.                      The security mechanisms of the ADP system shall be tested
  637.          and found to work as claimed in the system documentation.
  638.          Testing shall be done to assure that there are no obvious
  639.          ways for an unauthorized user to bypass or otherwise
  640.          defeat the security protection mechanisms of the TCB.
  641.          TESTING SHALL ALSO INCLUDE A SEARCH FOR OBVIOUS FLAWS THAT
  642.          WOULD ALLOW VIOLATION OF RESOURCE ISOLATION, OR THAT WOULD
  643.           PERMIT UNAUTHORIZED ACCESS TO THE AUDIT OR AUTHENTICATION
  644.          DATA.  (See the Security Testing guidelines.)
  645.  
  646. 2.2.4  DOCUMENTATION
  647.  
  648.      2.2.4.1   Security Features User's Guide
  649.  
  650.                A single summary, chapter, or manual in user documentation
  651.          shall describe the protection mechanisms provided by the TCB, 
  652.          guidelines on their use, and how they interact with one another.
  653.  
  654.      2.2.4.2   Trusted Facility Manual
  655.  
  656.                A manual addressed to the ADP system administrator shall
  657.          present cautions about functions and privileges that should be
  658.          controlled when running a secure facility.  THE PROCEDURES FOR
  659.          EXAMINING AND MAINTAINING THE AUDIT FILES AS WELL AS THE
  660.          DETAILED AUDIT RECORD STRUCTURE FOR EACH TYPE OF AUDIT EVENT
  661.          SHALL BE GIVEN.
  662.  
  663.      2.2.4.3   Test Documentation
  664.  
  665.                The system developer shall provide to the evaluators a document
  666.          that describes the test plan and results of the security 
  667.          mechanisms' functional testing.
  668.  
  669.      2.2.4.4   Design Documentation
  670.  
  671.                Documentation shall be available that provides a description of
  672.          the manufacturer's philosophy of protection and an explanation
  673.          of how this philosophy is translated into the TCB.  If the TCB
  674.          is composed of distinct modules, the interfaces between these
  675.          modules shall be described.
  676.  
  677.  
  678.  
  679. 3.0  DIVISION B:    MANDATORY PROTECTION
  680.  
  681. The notion of a TCB that preserves the integrity of sensitivity labels and
  682. uses them to enforce a set of mandatory access control rules is a major
  683. requirement in this division.  Systems in this division must carry the
  684. sensitivity labels with major data structures in the system.  The system
  685. developer also provides the security policy model on which the TCB is based
  686. and furnishes a specification of the TCB.  Evidence must be provided to
  687. demonstrate that the reference monitor concept has been implemented.
  688.  
  689.  
  690. 3.1  CLASS (B1):    LABELED SECURITY PROTECTION
  691.  
  692. Class (B1) systems require all the features required for class (C2).  In
  693. addition, an informal statement of the security policy model, data labeling,
  694. and mandatory access control over named subjects and objects must be present.
  695. The capability must exist for accurately labeling exported information.  Any
  696. flaws identified by testing must be removed.  The following are minimal
  697. requirements for systems assigned a class (B1) rating:
  698.  
  699. 3.1.1  SECURITY POLICY
  700.  
  701.      3.1.1.1   Discretionary Access Control
  702.  
  703.                The TCB shall define and control access between named users and
  704.          named objects (e.g., files and programs) in the ADP system.  
  705.          The enforcement mechanism (e.g., self/group/public controls, 
  706.          access control lists) shall allow users to specify and control
  707.               sharing of those objects by named individuals, or defined groups
  708.          of individuals, or by both.  The discretionary access control
  709.          mechanism shall, either by explicit user action or by default,
  710.          provide that objects are protected from unauthorized access. 
  711.          These access controls shall be capable of including or excluding
  712.          access to the granularity of a single user.  Access permission
  713.          to an object by users not already possessing access permission
  714.          shall only be assigned by authorized users.
  715.  
  716.      3.1.1.2   Object Reuse
  717.  
  718.                When a storage object is initially assigned, allocated, or
  719.          reallocated to a subject from the TCB's pool of unused storage
  720.          objects, the TCB shall assure that the object contains no data
  721.          for which the subject is not authorized.
  722.  
  723.      3.1.1.3   Labels
  724.  
  725.                SENSITIVITY LABELS ASSOCIATED WITH EACH SUBJECT AND STORAGE
  726.          OBJECT UNDER ITS CONTROL (E.G., PROCESS, FILE, SEGMENT, DEVICE)
  727.          SHALL BE MAINTAINED BY THE TCB.  THESE LABELS SHALL BE USED AS
  728.          THE BASIS FOR MANDATORY ACCESS CONTROL DECISIONS.  IN ORDER TO
  729.          IMPORT NON-LABELED DATA, THE TCB SHALL REQUEST AND RECEIVE FROM
  730.          AN AUTHORIZED USER THE SECURITY LEVEL OF THE DATA, AND ALL SUCH
  731.          ACTIONS SHALL BE AUDITABLE BY THE TCB.
  732.  
  733.     3.1.1.3.1  Label Integrity
  734.  
  735.                      SENSITIVITY LABELS SHALL ACCURATELY REPRESENT SECURITY
  736.          LEVELS OF THE SPECIFIC SUBJECTS OR OBJECTS WITH WHICH THEY
  737.          ARE ASSOCIATED.  WHEN EXPORTED BY THE TCB, SENSITIVITY
  738.          LABELS SHALL ACCURATELY AND UNAMBIGUOUSLY REPRESENT THE
  739.          INTERNAL LABELS AND SHALL BE ASSOCIATED WITH THE 
  740.          INFORMATION BEING EXPORTED.
  741.  
  742.     3.1.1.3.2  Exportation of Labeled Information
  743.  
  744.                      THE TCB SHALL DESIGNATE EACH COMMUNICATION CHANNEL AND
  745.          I/O DEVICE AS EITHER SINGLE-LEVEL OR MULTILEVEL.  ANY
  746.          CHANGE IN THIS DESIGNATION SHALL BE DONE MANUALLY AND
  747.          SHALL BE AUDITABLE BY THE TCB.  THE TCB SHALL MAINTAIN
  748.          AND BE ABLE TO AUDIT ANY CHANGE IN THE CURRENT SECURITY
  749.          LEVEL ASSOCIATED WITH A SINGLE-LEVEL COMMUNICATION 
  750.          CHANNEL OR I/O DEVICE.
  751.  
  752.          3.1.1.3.2.1  Exportation to Multilevel Devices
  753.  
  754.                             WHEN THE TCB EXPORTS AN OBJECT TO A MULTILEVEL I/O
  755.                 DEVICE, THE SENSITIVITY LABEL ASSOCIATED WITH THAT
  756.                 OBJECT SHALL ALSO BE EXPORTED AND SHALL RESIDE ON
  757.                 THE SAME PHYSICAL MEDIUM AS THE EXPORTED 
  758.                 INFORMATION AND SHALL BE IN THE SAME FORM 
  759.                 (I.E., MACHINE-READABLE OR  HUMAN-READABLE FORM).
  760.                 WHEN THE TCB EXPORTS OR IMPORTS AN OBJECT OVER A
  761.                 MULTILEVEL COMMUNICATION CHANNEL, THE PROTOCOL 
  762.                 USED ON THAT CHANNEL SHALL PROVIDE FOR THE
  763.                 UNAMBIGUOUS PAIRING BETWEEN THE SENSITIVITY LABELS
  764.                 AND THE ASSOCIATED INFORMATION THAT IS SENT OR 
  765.                 RECEIVED.
  766.  
  767.          3.1.1.3.2.2  Exportation to Single-Level Devices
  768.  
  769.                 SINGLE-LEVEL I/O DEVICES AND SINGLE-LEVEL
  770.                 COMMUNICATION CHANNELS ARE NOT REQUIRED TO 
  771.                 MAINTAIN THE SENSITIVITY LABELS OF THE INFORMATION
  772.                 THEY PROCESS.  HOWEVER, THE TCB SHALL INCLUDE A 
  773.                 MECHANISM BY WHICH THE TCB AND AN AUTHORIZED USER
  774.                 RELIABLY COMMUNICATE TO DESIGNATE THE SINGLE
  775.                 SECURITY LEVEL OF INFORMATION IMPORTED OR EXPORTED
  776.                 VIA SINGLE-LEVEL COMMUNICATION CHANNELS OR I/O 
  777.                 DEVICES.
  778.  
  779.          3.1.1.3.2.3  Labeling Human-Readable Output
  780.  
  781.                      THE ADP SYSTEM ADMINISTRATOR SHALL BE ABLE TO
  782.                 SPECIFY THE PRINTABLE LABEL NAMES ASSOCIATED WITH
  783.                 EXPORTED SENSITIVITY LABELS.  THE TCB SHALL MARK
  784.                 THE BEGINNING AND END OF ALL HUMAN-READABLE, PAGED,
  785.                 HARDCOPY OUTPUT (E.G., LINE PRINTER OUTPUT) WITH
  786.                 HUMAN-READABLE SENSITIVITY LABELS THAT PROPERLY*
  787.                 REPRESENT THE SENSITIVITY OF THE OUTPUT.  THE TCB
  788.                 SHALL, BY DEFAULT, MARK THE TOP AND BOTTOM OF EACH
  789.                 PAGE OF HUMAN-READABLE, PAGED, HARDCOPY OUTPUT
  790.                 (E.G., LINE PRINTER OUTPUT) WITH HUMAN-READABLE
  791.                 SENSITIVITY LABELS THAT PROPERLY* REPRESENT THE
  792.                 OVERALL SENSITIVITY OF THE OUTPUT OR THAT PROPERLY*
  793.                 REPRESENT THE SENSITIVITY OF THE INFORMATION ON THE
  794.                 PAGE.  THE TCB SHALL, BY DEFAULT AND IN AN
  795.                 APPROPRIATE MANNER, MARK OTHER FORMS OF HUMAN-
  796.                 READABLE OUTPUT (E.G., MAPS, GRAPHICS) WITH HUMAN-
  797.                 READABLE SENSITIVITY LABELS THAT PROPERLY*
  798.                 REPRESENT THE SENSITIVITY OF THE OUTPUT.  ANY 
  799.                 OVERRIDE OF THESE MARKING DEFAULTS SHALL BE 
  800.                 AUDITABLE BY THE TCB.
  801.  
  802.  
  803.            _____________________________________________________________
  804.            * THE HIERARCHICAL CLASSIFICATION COMPONENT IN HUMAN-READABLE
  805.            SENSITIVITY LABELS SHALL BE EQUAL TO THE GREATEST
  806.            HIERARCHICAL CLASSIFICATION OF ANY OF THE INFORMATION IN THE
  807.            OUTPUT THAT THE LABELS REFER TO;  THE NON-HIERARCHICAL
  808.            CATEGORY COMPONENT SHALL INCLUDE ALL OF THE NON-HIERARCHICAL
  809.            CATEGORIES OF THE INFORMATION IN THE OUTPUT THE LABELS REFER
  810.            TO, BUT NO OTHER NON-HIERARCHICAL CATEGORIES.
  811.            _____________________________________________________________
  812.  
  813.  
  814.      3.1.1.4   Mandatory Access Control
  815.  
  816.                THE TCB SHALL ENFORCE A MANDATORY ACCESS CONTROL POLICY OVER
  817.          ALL SUBJECTS AND STORAGE OBJECTS UNDER ITS CONTROL (E.G., 
  818.          PROCESSES, FILES, SEGMENTS, DEVICES).  THESE SUBJECTS AND 
  819.          OBJECTS SHALL BE ASSIGNED SENSITIVITY LABELS THAT ARE A
  820.          COMBINATION OF HIERARCHICAL CLASSIFICATION LEVELS AND
  821.          NON-HIERARCHICAL CATEGORIES, AND THE LABELS SHALL BE USED AS
  822.          THE BASIS FOR MANDATORY ACCESS CONTROL DECISIONS.  THE TCB 
  823.          SHALL BE ABLE TO SUPPORT TWO OR MORE SUCH SECURITY LEVELS.
  824.          (SEE THE MANDATORY ACCESS CONTROL GUIDELINES.) THE FOLLOWING
  825.          REQUIREMENTS SHALL HOLD FOR ALL ACCESSES BETWEEN SUBJECTS AND
  826.          OBJECTS CONTROLLED BY THE TCB: A SUBJECT CAN READ AN OBJECT
  827.          ONLY IF THE HIERARCHICAL CLASSIFICATION IN THE SUBJECT'S
  828.          SECURITY LEVEL IS GREATER THAN OR EQUAL TO THE HIERARCHICAL
  829.          CLASSIFICATION IN THE OBJECT'S SECURITY LEVEL AND THE NON-
  830.          HIERARCHICAL CATEGORIES IN THE SUBJECT'S SECURITY LEVEL INCLUDE
  831.          ALL THE NON-HIERARCHICAL CATEGORIES IN THE OBJECT'S SECURITY
  832.          LEVEL.  A SUBJECT CAN WRITE AN OBJECT ONLY IF THE HIERARCHICAL
  833.          CLASSIFICATION IN THE SUBJECT'S SECURITY LEVEL IS LESS THAN OR
  834.          EQUAL TO THE HIERARCHICAL CLASSIFICATION IN THE OBJECT'S
  835.          SECURITY LEVEL AND ALL THE NON-HIERARCHICAL CATEGORIES IN THE
  836.          SUBJECT'S SECURITY LEVEL ARE INCLUDED IN THE NON- HIERARCHICAL
  837.          CATEGORIES IN THE OBJECT'S SECURITY LEVEL.
  838.  
  839. 3.1.2  ACCOUNTABILITY
  840.  
  841.      3.1.2.1   Identification and Authentication
  842.  
  843.                The TCB shall require users to identify themselves to it before
  844.          beginning to perform any other actions that the TCB is expected
  845.          to mediate.  Furthermore, the TCB shall MAINTAIN AUTHENTICATION
  846.          DATA THAT INCLUDES INFORMATION FOR VERIFYING THE IDENTITY OF 
  847.          INDIVIDUAL USERS (E.G., PASSWORDS) AS WELL AS INFORMATION FOR
  848.          DETERMINING THE CLEARANCE AND AUTHORIZATIONS OF INDIVIDUAL
  849.          USERS.  THIS DATA SHALL BE USED BY THE TCB TO AUTHENTICATE the
  850.          user's identity AND TO DETERMINE THE SECURITY LEVEL AND 
  851.          AUTHORIZATIONS OF SUBJECTS THAT MAY BE CREATED TO ACT ON BEHALF
  852.          OF THE INDIVIDUAL USER.  The TCB shall protect authentication
  853.          data so that it cannot be accessed by any unauthorized user.  
  854.          The TCB shall be able to enforce individual accountability by
  855.          providing the capability to uniquely identify each individual
  856.          ADP system user.  The TCB shall also provide the capability of
  857.          associating this identity with all auditable actions taken by
  858.          that individual.
  859.  
  860.      3.1.2.2   Audit
  861.  
  862.                The TCB shall be able to create, maintain, and protect from
  863.          modification or unauthorized access or destruction an audit
  864.          trail of accesses to the objects it protects.  The audit data
  865.          shall be protected by the TCB so that read access to it is
  866.          limited to those who are authorized for audit data.  The TCB
  867.          shall be able to record the following types of events: use of
  868.          identification and authentication mechanisms, introduction of
  869.          objects into a user's address space (e.g., file open, program
  870.          initiation), deletion of objects, and actions taken by computer
  871.          operators and system administrators and/or system security
  872.          officers.  THE TCB SHALL ALSO BE ABLE TO AUDIT ANY OVERRIDE OF
  873.          HUMAN-READABLE OUTPUT MARKINGS.  FOR each recorded event, the
  874.          audit record shall identify: date and time of the event, user,
  875.          type of event, and success or failure of the event.  For 
  876.          identification/authentication events the origin of request
  877.          (e.g., terminal ID) shall be included in the audit record.
  878.          For events that introduce an object into a user's address space
  879.          and for object deletion events the audit record shall include
  880.          the name of the object AND THE OBJECT'S SECURITY LEVEL.  The 
  881.          ADP system administrator shall be able to selectively audit the
  882.          actions of any one or more users based on individual identity
  883.          AND/OR OBJECT SECURITY LEVEL.
  884.  
  885. 3.1.3  ASSURANCE
  886.  
  887.      3.1.3.1   Operational Assurance
  888.  
  889.     3.1.3.1.1  System Architecture
  890.  
  891.                      The TCB shall maintain a domain for its own execution
  892.          that protects it from external interference or tampering
  893.          (e.g., by modification of its code or data structures). 
  894.          Resources controlled by the TCB may be a defined subset
  895.          of the subjects and objects in the ADP system.  THE TCB
  896.          SHALL MAINTAIN PROCESS ISOLATION THROUGH THE PROVISION OF
  897.          DISTINCT ADDRESS SPACES UNDER ITS CONTROL.  The TCB shall
  898.          isolate the resources to be protected so that they are
  899.          subject to the access control and auditing requirements.
  900.  
  901.     3.1.3.1.2  System Integrity
  902.  
  903.                      Hardware and/or software features shall be provided that
  904.          can be used to periodically validate the correct operation
  905.          of the on-site hardware and firmware elements of the TCB.
  906.  
  907.      3.1.3.2   Life-Cycle Assurance
  908.  
  909.     3.1.3.2.1  Security Testing
  910.  
  911.                      THE SECURITY MECHANISMS OF THE ADP SYSTEM SHALL BE TESTED
  912.          AND FOUND TO WORK AS CLAIMED IN THE SYSTEM DOCUMENTATION. 
  913.          A TEAM OF INDIVIDUALS WHO THOROUGHLY UNDERSTAND THE
  914.          SPECIFIC IMPLEMENTATION OF THE TCB SHALL SUBJECT ITS
  915.          DESIGN DOCUMENTATION, SOURCE CODE, AND OBJECT CODE TO
  916.          THOROUGH ANALYSIS AND TESTING.  THEIR OBJECTIVES SHALL BE:
  917.          TO UNCOVER ALL DESIGN AND IMPLEMENTATION FLAWS THAT WOULD
  918.          PERMIT A SUBJECT EXTERNAL TO THE TCB TO READ, CHANGE, OR
  919.          DELETE DATA NORMALLY DENIED UNDER THE MANDATORY OR
  920.          DISCRETIONARY SECURITY POLICY ENFORCED BY THE TCB; AS WELL
  921.          AS TO ASSURE THAT NO SUBJECT (WITHOUT AUTHORIZATION TO DO
  922.          SO) IS ABLE TO CAUSE THE TCB TO ENTER A STATE SUCH THAT
  923.          IT IS UNABLE TO RESPOND TO COMMUNICATIONS INITIATED BY
  924.          OTHER USERS.  ALL DISCOVERED FLAWS SHALL BE REMOVED OR
  925.          NEUTRALIZED AND THE TCB RETESTED TO DEMONSTRATE THAT THEY
  926.          HAVE BEEN ELIMINATED AND THAT NEW FLAWS HAVE NOT BEEN
  927.          INTRODUCED.  (SEE THE SECURITY TESTING GUIDELINES.)
  928.  
  929.     3.1.3.2.2  Design Specification and Verification
  930.  
  931.                      AN INFORMAL OR FORMAL MODEL OF THE SECURITY POLICY
  932.          SUPPORTED BY THE TCB SHALL BE MAINTAINED THAT IS SHOWN TO
  933.          BE CONSISTENT WITH ITS AXIOMS.
  934.  
  935. 3.1.4  DOCUMENTATION
  936.  
  937.      3.1.4.1   Security Features User's Guide
  938.  
  939.                A single summary, chapter, or manual in user documentation
  940.          shall describe the protection mechanisms provided by the TCB,
  941.          guidelines on their use, and how they interact with one another.
  942.  
  943.      3.1.4.2   Trusted Facility Manual
  944.  
  945.                A manual addressed to the ADP system administrator shall
  946.          present cautions about functions and privileges that should be
  947.          controlled when running a secure facility.  The procedures for
  948.          examining and maintaining the audit files as well as the
  949.          detailed audit record structure for each type of audit event
  950.          shall be given.  THE MANUAL SHALL DESCRIBE THE OPERATOR AND
  951.          ADMINISTRATOR FUNCTIONS RELATED TO SECURITY, TO INCLUDE CHANGING
  952.          THE SECURITY CHARACTERISTICS OF A USER.  IT SHALL PROVIDE 
  953.          GUIDELINES ON THE CONSISTENT AND EFFECTIVE USE OF THE PROTECTION
  954.          FEATURES OF THE SYSTEM, HOW THEY INTERACT, HOW TO SECURELY
  955.          GENERATE A NEW TCB, AND FACILITY PROCEDURES, WARNINGS, AND
  956.          PRIVILEGES THAT NEED TO BE CONTROLLED IN ORDER TO OPERATE THE 
  957.          FACILITY IN A SECURE MANNER.
  958.  
  959.      3.1.4.3   Test Documentation
  960.  
  961.                The system developer shall provide to the evaluators a document
  962.          that describes the test plan and results of the security 
  963.          mechanisms' functional testing.
  964.  
  965.      3.1.4.4   Design Documentation
  966.  
  967.                Documentation shall be available that provides a description of
  968.          the manufacturer's philosophy of protection and an explanation
  969.          of how this philosophy is translated into the TCB.  If the TCB
  970.          is composed of distinct modules, the interfaces between these
  971.          modules shall be described.  AN INFORMAL OR FORMAL DESCRIPTION
  972.          OF THE SECURITY POLICY MODEL ENFORCED BY THE TCB SHALL BE
  973.          AVAILABLE AND AN EXPLANATION PROVIDED TO SHOW THAT IT IS 
  974.          SUFFICIENT TO ENFORCE THE SECURITY POLICY.  THE SPECIFIC TCB 
  975.          PROTECTION MECHANISMS SHALL BE IDENTIFIED AND AN EXPLANATION
  976.          GIVEN TO SHOW THAT THEY SATISFY THE MODEL.
  977.  
  978.  
  979. 3.2  CLASS (B2):    STRUCTURED PROTECTION
  980.  
  981. In class (B2) systems, the TCB is based on a clearly defined and documented
  982. formal security policy model that requires the discretionary and mandatory
  983. access control enforcement found in class (B1) systems be extended to all
  984. subjects and objects in the ADP system.  In addition, covert channels are
  985. addressed.  The TCB must be carefully structured into protection-critical and
  986. non- protection-critical elements.  The TCB interface is well-defined and the
  987. TCB design and implementation enable it to be subjected to more thorough
  988. testing and more complete review.  Authentication mechanisms are strengthened,
  989. trusted facility management is provided in the form of support for system
  990. administrator and operator functions, and stringent configuration management
  991. controls are imposed.  The system is relatively resistant to penetration.  The
  992. following are minimal requirements for systems assigned a class (B2) rating:
  993.  
  994. 3.2.1  SECURITY POLICY
  995.  
  996.      3.2.1.1   Discretionary Access Control
  997.  
  998.                The TCB shall define and control access between named users and
  999.          named objects (e.g., files and programs) in the ADP system.
  1000.          The enforcement mechanism (e.g., self/group/public controls,
  1001.          access control lists) shall allow users to specify and control
  1002.          sharing of those objects by named individuals, or defined
  1003.          groups of individuals, or by both.  The discretionary access
  1004.          control mechanism shall, either by explicit user action or by
  1005.          default, provide that objects are protected from unauthorized
  1006.          access.  These access controls shall be capable of including
  1007.          or excluding access to the granularity of a single user.
  1008.          Access permission to an object by users not already possessing
  1009.          access permission shall only be assigned by authorized users.
  1010.  
  1011.      3.2.1.2   Object Reuse
  1012.  
  1013.                When a storage object is initially assigned, allocated, or
  1014.          reallocated to a subject from the TCB's pool of unused storage
  1015.          objects, the TCB shall assure that the object contains no data
  1016.          for which the subject is not authorized.
  1017.  
  1018.      3.2.1.3   Labels
  1019.  
  1020.                Sensitivity labels associated with each ADP SYSTEM RESOURCE
  1021.          (E.G., SUBJECT, STORAGE OBJECT) THAT IS DIRECTLY OR INDIRECTLY
  1022.          ACCESSIBLE BY SUBJECTS EXTERNAL TO THE TCB shall be maintained
  1023.          by the TCB.  These labels shall be used as the basis for
  1024.          mandatory access control decisions.  In order to import non-
  1025.          labeled data, the TCB shall request and receive from an
  1026.          authorized user the security level of the data, and all such
  1027.          actions shall be auditable by the TCB.
  1028.  
  1029.     3.2.1.3.1  Label Integrity
  1030.  
  1031.          Sensitivity labels shall accurately represent security
  1032.          levels of the specific subjects or objects with which
  1033.          they are associated.  When exported by the TCB,
  1034.          sensitivity labels shall accurately and unambiguously
  1035.          represent the internal labels and shall be associated
  1036.          with the information being exported.
  1037.  
  1038.     3.2.1.3.2  Exportation of Labeled Information
  1039.  
  1040.          The TCB shall designate each communication channel and
  1041.          I/O device as either single-level or multilevel.  Any
  1042.          change in this designation shall be done manually and
  1043.          shall be auditable by the TCB.  The TCB shall maintain
  1044.          and be able to audit any change in the current security
  1045.          level associated with a single-level communication
  1046.          channel or I/O device.
  1047.  
  1048.          3.2.1.3.2.1  Exportation to Multilevel Devices
  1049.  
  1050.                 When the TCB exports an object to a multilevel I/O
  1051.                 device, the sensitivity label associated with that
  1052.                 object shall also be exported and shall reside on
  1053.                 the same physical medium as the exported 
  1054.                 information and shall be in the same form (i.e., 
  1055.                 machine-readable or human-readable form).  When
  1056.                 the TCB exports or imports an object over a
  1057.                 multilevel communication channel, the protocol
  1058.                 used on that channel shall provide for the
  1059.                 unambiguous pairing between the sensitivity labels
  1060.                 and the associated information that is sent or
  1061.                 received.
  1062.  
  1063.          3.2.1.3.2.2  Exportation to Single-Level Devices
  1064.  
  1065.                 Single-level I/O devices and single-level
  1066.                 communication channels are not required to 
  1067.                 maintain the sensitivity labels of the
  1068.                 information they process.  However, the TCB shall
  1069.                 include a mechanism by which the TCB and an
  1070.                 authorized user reliably communicate to designate
  1071.                 the single security level of information imported
  1072.                 or exported via single-level communication 
  1073.                 channels or I/O devices.
  1074.  
  1075.          3.2.1.3.2.3  Labeling Human-Readable Output
  1076.  
  1077.                 The ADP system administrator shall be able to
  1078.                 specify the printable label names associated with
  1079.                 exported sensitivity labels.  The TCB shall mark
  1080.                 the beginning and end of all human-readable, paged,
  1081.                 hardcopy output (e.g., line printer output) with
  1082.                 human-readable sensitivity labels that properly*
  1083.                 represent the sensitivity of the output.  The TCB
  1084.                 shall, by default, mark the top and bottom of each
  1085.                 page of human-readable, paged, hardcopy output
  1086.                 (e.g., line printer output) with human-readable
  1087.                 sensitivity labels that properly* represent the
  1088.                 overall sensitivity of the output or that 
  1089.                 properly* represent the sensitivity of the
  1090.                 information on the page.  The TCB shall, by
  1091.                 default and in an appropriate manner, mark other
  1092.                 forms of human-readable output (e.g., maps,
  1093.                 graphics) with human-readable sensitivity labels
  1094.                 that properly* represent the sensitivity of the
  1095.                 output.  Any override of these marking defaults
  1096.                 shall be auditable by the TCB.
  1097.            _____________________________________________________________
  1098.            * The hierarchical classification component in human-readable
  1099.            sensitivity labels shall be equal to the greatest
  1100.            hierarchical classification of any of the information in the
  1101.            output that the labels refer to;  the non-hierarchical
  1102.            category component shall include all of the non-hierarchical
  1103.            categories of the information in the output the labels refer
  1104.            to, but no other non-hierarchical categories.
  1105.            _____________________________________________________________
  1106.  
  1107.  
  1108.     3.2.1.3.3  Subject Sensitivity Labels
  1109.  
  1110.          THE TCB SHALL IMMEDIATELY NOTIFY A TERMINAL USER OF EACH
  1111.          CHANGE IN THE SECURITY LEVEL ASSOCIATED WITH THAT USER
  1112.          DURING AN INTERACTIVE SESSION.  A TERMINAL USER SHALL BE
  1113.          ABLE TO QUERY THE TCB AS DESIRED FOR A DISPLAY OF THE
  1114.          SUBJECT'S COMPLETE SENSITIVITY LABEL.
  1115.  
  1116.     3.2.1.3.4  Device Labels
  1117.  
  1118.          THE TCB SHALL SUPPORT THE ASSIGNMENT OF MINIMUM AND
  1119.          MAXIMUM SECURITY LEVELS TO ALL ATTACHED PHYSICAL DEVICES.
  1120.          THESE SECURITY LEVELS SHALL BE USED BY THE TCB TO ENFORCE
  1121.          CONSTRAINTS IMPOSED BY THE PHYSICAL ENVIRONMENTS IN WHICH
  1122.          THE DEVICES ARE LOCATED.
  1123.  
  1124.      3.2.1.4   Mandatory Access Control
  1125.  
  1126.                The TCB shall enforce a mandatory access control policy over
  1127.          all RESOURCES (I.E., SUBJECTS, STORAGE OBJECTS, AND I/O DEVICES)
  1128.          THAT ARE DIRECTLY OR INDIRECTLY ACCESSIBLE BY SUBJECTS EXTERNAL
  1129.          TO THE TCB.  These subjects and objects shall be assigned
  1130.          sensitivity labels that are a combination of hierarchical
  1131.          classification levels and non-hierarchical categories, and the
  1132.          labels shall be used as the basis for mandatory access control
  1133.          decisions.  The TCB shall be able to support two or more such
  1134.          security levels.  (See the Mandatory Access Control guidelines.)
  1135.          The following requirements shall hold for all accesses between
  1136.          ALL SUBJECTS EXTERNAL TO THE TCB AND ALL OBJECTS DIRECTLY OR
  1137.          INDIRECTLY ACCESSIBLE BY THESE SUBJECTS: A subject can read an
  1138.          object only if the hierarchical classification in the subject's
  1139.          security level is greater than or equal to the hierarchical
  1140.          classification in the object's security level and the non-
  1141.          hierarchical categories in the subject's security level include
  1142.          all the non-hierarchical categories in the object's security
  1143.          level.  A subject can write an object only if the hierarchical
  1144.          classification in the subject's security level is less than or
  1145.          equal to the hierarchical classification in the object's
  1146.          security level and all the non-hierarchical categories in the
  1147.          subject's security level are included in the non-hierarchical
  1148.          categories in the object's security level.
  1149.  
  1150. 3.2.2  ACCOUNTABILITY
  1151.  
  1152.      3.2.2.1   Identification and Authentication
  1153.  
  1154.                The TCB shall require users to identify themselves to it before
  1155.          beginning to perform any other actions that the TCB is expected
  1156.          to mediate.  Furthermore, the TCB shall maintain authentication
  1157.          data that includes information for verifying the identity of
  1158.          individual users (e.g., passwords) as well as information for
  1159.          determining the clearance and authorizations of individual
  1160.          users.  This data shall be used by the TCB to authenticate the
  1161.          user's identity and to determine the security level and
  1162.          authorizations of subjects that may be created to act on behalf
  1163.          of the individual user.  The TCB shall protect authentication
  1164.          data so that it cannot be accessed by any unauthorized user.
  1165.          The TCB shall be able to enforce individual accountability by
  1166.          providing the capability to uniquely identify each individual
  1167.          ADP system user.  The TCB shall also provide the capability of
  1168.          associating this identity with all auditable actions taken by
  1169.          that individual.
  1170.  
  1171.     3.2.2.1.1  Trusted Path
  1172.  
  1173.          THE TCB SHALL SUPPORT A TRUSTED COMMUNICATION PATH
  1174.          BETWEEN ITSELF AND USER FOR INITIAL LOGIN AND
  1175.          AUTHENTICATION.  COMMUNICATIONS VIA THIS PATH SHALL BE
  1176.          INITIATED EXCLUSIVELY BY A USER.
  1177.  
  1178.      3.2.2.2   Audit
  1179.  
  1180.                The TCB shall be able to create, maintain, and protect from
  1181.          modification or unauthorized access or destruction an audit
  1182.          trail of accesses to the objects it protects.  The audit data
  1183.          shall be protected by the TCB so that read access to it is
  1184.          limited to those who are authorized for audit data.  The TCB
  1185.          shall be able to record the following types of events: use of
  1186.          identification and authentication mechanisms, introduction of
  1187.          objects into a user's address space (e.g., file open, program
  1188.          initiation), deletion of objects, and actions taken by computer
  1189.          operators and system administrators and/or system security
  1190.          officers.  The TCB shall also be able to audit any override of
  1191.          human-readable output markings.  For each recorded event, the
  1192.          audit record shall identify: date and time of the event, user,
  1193.          type of event, and success or failure of the event.  For
  1194.          identification/authentication events the origin of request
  1195.          (e.g., terminal ID) shall be included in the audit record.  For
  1196.          events that introduce an object into a user's address space and
  1197.          for object deletion events the audit record shall include the
  1198.          name of the object and the object's security level.  The ADP
  1199.          system administrator shall be able to selectively audit the
  1200.          actions of any one or more users based on individual identity
  1201.          and/or object security level.  THE TCB SHALL BE ABLE TO AUDIT
  1202.          THE IDENTIFIED EVENTS THAT MAY BE USED IN THE EXPLOITATION OF
  1203.          COVERT STORAGE CHANNELS.
  1204.  
  1205. 3.2.3  ASSURANCE
  1206.  
  1207.      3.2.3.1   Operational Assurance
  1208.  
  1209.     3.2.3.1.1  System Architecture
  1210.  
  1211.          THE TCB SHALL MAINTAIN A DOMAIN FOR ITS OWN EXECUTION
  1212.          THAT PROTECTS IT FROM EXTERNAL INTERFERENCE OR TAMPERING
  1213.          (E.G., BY MODIFICATION OF ITS CODE OR DATA STRUCTURES).
  1214.                THE TCB SHALL MAINTAIN PROCESS ISOLATION THROUGH THE
  1215.          PROVISION OF DISTINCT ADDRESS SPACES UNDER ITS CONTROL.
  1216.          THE TCB SHALL BE INTERNALLY STRUCTURED INTO WELL-DEFINED
  1217.          LARGELY INDEPENDENT MODULES.  IT SHALL MAKE EFFECTIVE USE
  1218.          OF AVAILABLE HARDWARE TO SEPARATE THOSE ELEMENTS THAT ARE
  1219.          PROTECTION-CRITICAL FROM THOSE THAT ARE NOT.  THE TCB
  1220.          MODULES SHALL BE DESIGNED SUCH THAT THE PRINCIPLE OF LEAST
  1221.          PRIVILEGE IS ENFORCED.  FEATURES IN HARDWARE, SUCH AS
  1222.          SEGMENTATION, SHALL BE USED TO SUPPORT LOGICALLY DISTINCT
  1223.          STORAGE OBJECTS WITH SEPARATE ATTRIBUTES (NAMELY:
  1224.          READABLE, WRITEABLE).  THE USER INTERFACE TO THE TCB 
  1225.          SHALL BE COMPLETELY DEFINED AND ALL ELEMENTS OF THE TCB
  1226.          IDENTIFIED.
  1227.  
  1228.     3.2.3.1.2  System Integrity
  1229.  
  1230.          Hardware and/or software features shall be provided that
  1231.          can be used to periodically validate the correct 
  1232.          operation of the on-site hardware and firmware elements 
  1233.          of the TCB.
  1234.  
  1235.     3.2.3.1.3  Covert Channel Analysis
  1236.  
  1237.          THE SYSTEM DEVELOPER SHALL CONDUCT A THOROUGH SEARCH FOR
  1238.          COVERT STORAGE CHANNELS AND MAKE A DETERMINATION (EITHER
  1239.          BY ACTUAL MEASUREMENT OR BY ENGINEERING ESTIMATION) OF
  1240.          THE MAXIMUM BANDWIDTH OF EACH IDENTIFIED CHANNEL.  (SEE
  1241.          THE COVERT CHANNELS GUIDELINE SECTION.)
  1242.  
  1243.     3.2.3.1.4  Trusted Facility Management
  1244.  
  1245.          THE TCB SHALL SUPPORT SEPARATE OPERATOR AND ADMINISTRATOR
  1246.          FUNCTIONS.
  1247.  
  1248.      3.2.3.2   Life-Cycle Assurance
  1249.  
  1250.     3.2.3.2.1  Security Testing
  1251.  
  1252.          The security mechanisms of the ADP system shall be tested
  1253.          and found to work as claimed in the system documentation. 
  1254.          A team of individuals who thoroughly understand the
  1255.          specific implementation of the TCB shall subject its
  1256.          design documentation, source code, and object code to
  1257.          thorough analysis and testing.  Their objectives shall be:
  1258.          to uncover all design and implementation flaws that would
  1259.          permit a subject external to the TCB to read, change, or
  1260.          delete data normally denied under the mandatory or
  1261.          discretionary security policy enforced by the TCB; as well
  1262.          as to assure that no subject (without authorization to do
  1263.          so) is able to cause the TCB to enter a state such that it
  1264.          is unable to respond to communications initiated by other
  1265.          users.  THE TCB SHALL BE FOUND RELATIVELY RESISTANT TO
  1266.          PENETRATION.  All discovered flaws shall be CORRECTED and
  1267.          the TCB retested to demonstrate that they have been
  1268.          eliminated and that new flaws have not been introduced.
  1269.          TESTING SHALL DEMONSTRATE THAT THE TCB IMPLEMENTATION IS
  1270.          CONSISTENT WITH THE DESCRIPTIVE TOP-LEVEL SPECIFICATION. 
  1271.          (See the Security Testing Guidelines.)
  1272.  
  1273.     3.2.3.2.2  Design Specification and Verification
  1274.  
  1275.          A FORMAL model of the security policy supported by the
  1276.          TCB shall be maintained that is PROVEN consistent with
  1277.          its axioms.  A DESCRIPTIVE TOP-LEVEL SPECIFICATION (DTLS)
  1278.          OF THE TCB SHALL BE MAINTAINED THAT COMPLETELY AND
  1279.          ACCURATELY DESCRIBES THE TCB IN TERMS OF EXCEPTIONS, ERROR
  1280.          MESSAGES, AND EFFECTS.  IT SHALL BE SHOWN TO BE AN
  1281.          ACCURATE DESCRIPTION OF THE TCB INTERFACE.
  1282.  
  1283.     3.2.3.2.3  Configuration Management
  1284.  
  1285.          DURING DEVELOPMENT AND MAINTENANCE OF THE TCB, A
  1286.          CONFIGURATION MANAGEMENT SYSTEM SHALL BE IN PLACE THAT
  1287.          MAINTAINS CONTROL OF CHANGES TO THE DESCRIPTIVE TOP-LEVEL
  1288.          SPECIFICATION, OTHER DESIGN DATA, IMPLEMENTATION
  1289.          DOCUMENTATION, SOURCE CODE, THE RUNNING VERSION OF THE
  1290.          OBJECT CODE, AND TEST FIXTURES AND DOCUMENTATION.  THE
  1291.          CONFIGURATION MANAGEMENT SYSTEM SHALL ASSURE A CONSISTENT
  1292.          MAPPING AMONG ALL DOCUMENTATION AND CODE ASSOCIATED WITH
  1293.          THE CURRENT VERSION OF THE TCB.  TOOLS SHALL BE PROVIDED
  1294.          FOR GENERATION OF A NEW VERSION OF THE TCB FROM SOURCE
  1295.          CODE.  ALSO AVAILABLE SHALL BE TOOLS FOR COMPARING A 
  1296.          NEWLY GENERATED VERSION WITH THE PREVIOUS TCB VERSION IN
  1297.          ORDER TO ASCERTAIN THAT ONLY THE INTENDED CHANGES HAVE
  1298.          BEEN MADE IN THE CODE THAT WILL ACTUALLY BE USED AS THE
  1299.          NEW VERSION OF THE TCB.
  1300.  
  1301. 3.2.4  DOCUMENTATION
  1302.  
  1303.      3.2.4.1   Security Features User's Guide
  1304.  
  1305.                A single summary, chapter, or manual in user documentation
  1306.          shall describe the protection mechanisms provided by the TCB,
  1307.          guidelines on their use, and how they interact with one another.
  1308.  
  1309.      3.2.4.2   Trusted Facility Manual
  1310.  
  1311.                A manual addressed to the ADP system administrator shall
  1312.          present cautions about functions and privileges that should be
  1313.          controlled when running a secure facility.  The procedures for
  1314.          examining and maintaining the audit files as well as the
  1315.          detailed audit record structure for each type of audit event
  1316.          shall be given.  The manual shall describe the operator and
  1317.          administrator functions related to security, to include 
  1318.          changing the security characteristics of a user.  It shall
  1319.          provide guidelines on the consistent and effective use of the
  1320.          protection features of the system, how they interact, how to
  1321.          securely generate a new TCB, and facility procedures, warnings,
  1322.          and privileges that need to be controlled in order to operate
  1323.          the facility in a secure manner.  THE TCB MODULES THAT CONTAIN
  1324.          THE REFERENCE VALIDATION MECHANISM SHALL BE IDENTIFIED.  THE
  1325.          PROCEDURES FOR SECURE GENERATION OF A NEW TCB FROM SOURCE AFTER
  1326.          MODIFICATION OF ANY MODULES IN THE TCB SHALL BE DESCRIBED.
  1327.  
  1328.      3.2.4.3   Test Documentation
  1329.  
  1330.                The system developer shall provide to the evaluators a document
  1331.          that describes the test plan and results of the security
  1332.          mechanisms' functional testing.  IT SHALL INCLUDE RESULTS OF
  1333.          TESTING THE EFFECTIVENESS OF THE METHODS USED TO REDUCE COVERT
  1334.          CHANNEL BANDWIDTHS.
  1335.  
  1336.      3.2.4.4   Design Documentation
  1337.  
  1338.                Documentation shall be available that provides a description of
  1339.          the manufacturer's philosophy of protection and an explanation
  1340.          of how this philosophy is translated into the TCB.  THE
  1341.          interfaces between THE TCB modules shall be described.  A
  1342.          FORMAL description of the security policy model enforced by the
  1343.          TCB shall be available and PROVEN that it is sufficient to
  1344.          enforce the security policy.  The specific TCB protection 
  1345.          mechanisms shall be identified and an explanation given to show
  1346.          that they satisfy the model.  THE DESCRIPTIVE TOP-LEVEL
  1347.          SPECIFICATION (DTLS) SHALL BE SHOWN TO BE AN ACCURATE 
  1348.          DESCRIPTION OF THE TCB INTERFACE.  DOCUMENTATION SHALL DESCRIBE
  1349.          HOW THE TCB IMPLEMENTS THE REFERENCE MONITOR CONCEPT AND GIVE
  1350.          AN EXPLANATION WHY IT IS TAMPERPROOF, CANNOT BE BYPASSED, AND
  1351.          IS CORRECTLY IMPLEMENTED.  DOCUMENTATION SHALL DESCRIBE HOW THE
  1352.          TCB IS STRUCTURED TO FACILITATE TESTING AND TO ENFORCE LEAST
  1353.          PRIVILEGE.  THIS DOCUMENTATION SHALL ALSO PRESENT THE RESULTS
  1354.          OF THE COVERT CHANNEL ANALYSIS AND THE TRADEOFFS INVOLVED IN
  1355.          RESTRICTING THE CHANNELS.  ALL AUDITABLE EVENTS THAT MAY BE
  1356.          USED IN THE EXPLOITATION OF KNOWN COVERT STORAGE CHANNELS SHALL
  1357.          BE IDENTIFIED.  THE BANDWIDTHS OF KNOWN COVERT STORAGE CHANNELS,
  1358.          THE USE OF WHICH IS NOT DETECTABLE BY THE AUDITING MECHANISMS,
  1359.          SHALL BE PROVIDED.  (SEE THE COVERT CHANNEL GUIDELINE SECTION.)
  1360.  
  1361.  
  1362. 3.3  CLASS (B3):    SECURITY DOMAINS
  1363.  
  1364. The class (B3) TCB must satisfy the reference monitor requirements that it
  1365. mediate all accesses of subjects to objects, be tamperproof, and be small
  1366. enough to be subjected to analysis and tests.  To this end, the TCB is
  1367. structured to exclude code not essential to security policy enforcement, with
  1368. significant system engineering during TCB design and implementation directed
  1369. toward minimizing its complexity.  A security administrator is supported,
  1370. audit mechanisms are expanded to signal security- relevant events, and system
  1371. recovery procedures are required.  The system is highly resistant to
  1372. penetration.  The following are minimal requirements for systems assigned a
  1373. class (B3) rating:
  1374.  
  1375. 3.3.1  SECURITY POLICY
  1376.  
  1377.      3.3.1.1   Discretionary Access Control
  1378.  
  1379.                The TCB shall define and control access between named users and
  1380.          named objects (e.g., files and programs) in the ADP system.
  1381.          The enforcement mechanism (E.G., ACCESS CONTROL LISTS) shall
  1382.          allow users to specify and control sharing of those OBJECTS.
  1383.          The discretionary access control mechanism shall, either by
  1384.          explicit user action or by default, provide that objects are
  1385.          protected from unauthorized access.  These access controls shall
  1386.          be capable of SPECIFYING, FOR EACH NAMED OBJECT, A LIST OF NAMED
  1387.          INDIVIDUALS AND A LIST OF GROUPS OF NAMED INDIVIDUALS WITH THEIR
  1388.          RESPECTIVE MODES OF ACCESS TO THAT OBJECT.  FURTHERMORE, FOR
  1389.          EACH SUCH NAMED OBJECT, IT SHALL BE POSSIBLE TO SPECIFY A LIST
  1390.          OF NAMED INDIVIDUALS AND A LIST OF GROUPS OF NAMED INDIVIDUALS
  1391.          FOR WHICH NO ACCESS TO THE OBJECT IS TO BE GIVEN.  Access
  1392.          permission to an object by users not already possessing access
  1393.          permission shall only be assigned by authorized users.
  1394.  
  1395.      3.3.1.2   Object Reuse
  1396.  
  1397.                When a storage object is initially assigned, allocated, or
  1398.          reallocated to a subject from the TCB's pool of unused storage
  1399.          objects, the TCB shall assure that the object contains no data
  1400.          for which the subject is not authorized.
  1401.  
  1402.      3.3.1.3   Labels
  1403.  
  1404.                Sensitivity labels associated with each ADP system resource
  1405.          (e.g., subject, storage object) that is directly or indirectly
  1406.          accessible by subjects external to the TCB shall be maintained
  1407.          by the TCB.  These labels shall be used as the basis for
  1408.          mandatory access control decisions.  In order to import non-
  1409.          labeled data, the TCB shall request and receive from an
  1410.          authorized user the security level of the data, and all such
  1411.          actions shall be auditable by the TCB.
  1412.  
  1413.     3.3.1.3.1  Label Integrity
  1414.  
  1415.          Sensitivity labels shall accurately represent security
  1416.          levels of the specific subjects or objects with which
  1417.          they are associated.  When exported by the TCB,
  1418.          sensitivity labels shall accurately and unambiguously
  1419.          represent the internal labels and shall be associated
  1420.          with the information being exported.
  1421.  
  1422.     3.3.1.3.2  Exportation of Labeled Information
  1423.  
  1424.          The TCB shall designate each communication channel and
  1425.          I/O device as either single-level or multilevel.  Any
  1426.          change in this designation shall be done manually and
  1427.          shall be auditable by the TCB.  The TCB shall maintain
  1428.          and be able to audit any change in the current security
  1429.          level associated with a single-level communication
  1430.          channel or I/O device.
  1431.  
  1432.          3.3.1.3.2.1  Exportation to Multilevel Devices
  1433.  
  1434.                 When the TCB exports an object to a multilevel I/O
  1435.                 device, the sensitivity label associated with that
  1436.                 object shall also be exported and shall reside on
  1437.                 the same physical medium as the exported 
  1438.                 information and shall be in the same form (i.e., 
  1439.                 machine-readable or human-readable form).  When
  1440.                 the TCB exports or imports an object over a
  1441.                 multilevel communication channel, the protocol 
  1442.                 used on that channel shall provide for the
  1443.                 unambiguous pairing between the sensitivity labels
  1444.                 and the associated information that is sent or
  1445.                 received.
  1446.  
  1447.          3.3.1.3.2.2  Exportation to Single-Level Devices
  1448.  
  1449.                 Single-level I/O devices and single-level
  1450.                 communication channels are not required to 
  1451.                 maintain the sensitivity labels of the information
  1452.                 they process.  However, the TCB shall include a 
  1453.                 mechanism by which the TCB and an authorized user
  1454.                 reliably communicate to designate the single
  1455.                 security level of information imported or exported
  1456.                 via single-level communication channels or I/O
  1457.                 devices.
  1458.  
  1459.          3.3.1.3.2.3  Labeling Human-Readable Output
  1460.  
  1461.                 The ADP system administrator shall be able to
  1462.                 specify the printable label names associated with
  1463.                 exported sensitivity labels.  The TCB shall mark
  1464.                 the beginning and end of all human-readable, paged,
  1465.                 hardcopy output (e.g., line printer output) with
  1466.                 human-readable sensitivity labels that properly*
  1467.                 represent the sensitivity of the output.  The TCB
  1468.                 shall, by default, mark the top and bottom of each
  1469.                 page of human-readable, paged, hardcopy output
  1470.                 (e.g., line printer output) with human-readable
  1471.                 sensitivity labels that properly* represent the
  1472.                 overall sensitivity of the output or that
  1473.                 properly* represent the sensitivity of the 
  1474.                 information on the page.  The TCB shall, by
  1475.                 default and in an appropriate manner, mark other
  1476.                 forms of human-readable output (e.g., maps,
  1477.                 graphics) with human-readable sensitivity labels
  1478.                 that properly* represent the sensitivity of the 
  1479.                 output.  Any override of these marking defaults
  1480.                 shall be auditable by the TCB.
  1481.  
  1482.            _____________________________________________________________
  1483.            * The hierarchical classification component in human-readable
  1484.            sensitivity labels shall be equal to the greatest
  1485.            hierarchical classification of any of the information in the
  1486.            output that the labels refer to;  the non-hierarchical
  1487.            category component shall include all of the non-hierarchical
  1488.            categories of the information in the output the labels refer
  1489.            to, but no other non-hierarchical categories.
  1490.      _____________________________________________________________
  1491.  
  1492.  
  1493.     3.3.1.3.3  Subject Sensitivity Labels
  1494.  
  1495.          The TCB shall immediately notify a terminal user of each
  1496.          change in the security level associated with that user
  1497.          during an interactive session.  A terminal user shall be
  1498.          able to query the TCB as desired for a display of the
  1499.          subject's complete sensitivity label.
  1500.  
  1501.     3.3.1.3.4  Device Labels
  1502.  
  1503.          The TCB shall support the assignment of minimum and
  1504.          maximum security levels to all attached physical devices.
  1505.          These security levels shall be used by the TCB to enforce
  1506.          constraints imposed by the physical environments in which
  1507.          the devices are located.
  1508.  
  1509.      3.3.1.4   Mandatory Access Control
  1510.  
  1511.                The TCB shall enforce a mandatory access control policy over
  1512.          all resources (i.e., subjects, storage objects, and I/O 
  1513.          devices) that are directly or indirectly accessible by subjects
  1514.          external to the TCB.  These subjects and objects shall be
  1515.          assigned sensitivity labels that are a combination of
  1516.          hierarchical classification levels and non-hierarchical
  1517.          categories, and the labels shall be used as the basis for 
  1518.          mandatory access control decisions.  The TCB shall be able to
  1519.          support two or more such security levels.  (See the Mandatory
  1520.          Access Control guidelines.) The following requirements shall
  1521.          hold for all accesses between all subjects external to the TCB
  1522.          and all objects directly or indirectly accessible by these 
  1523.          subjects: A subject can read an object only if the hierarchical
  1524.          classification in the subject's security level is greater than
  1525.          or equal to the hierarchical classification in the object's
  1526.          security level and the non-hierarchical categories in the
  1527.          subject's security level include all the non-hierarchical
  1528.          categories in the object's security level.  A subject can write
  1529.          an object only if the hierarchical classification in the 
  1530.          subject's security level is less than or equal to the
  1531.          hierarchical classification in the object's security level and
  1532.          all the non-hierarchical categories in the subject's security 
  1533.          level are included in the non- hierarchical categories in the 
  1534.          object's security level.
  1535.  
  1536. 3.3.2  ACCOUNTABILITY
  1537.  
  1538.      3.3.2.1   Identification and Authentication
  1539.  
  1540.                The TCB shall require users to identify themselves to it before
  1541.          beginning to perform any other actions that the TCB is expected
  1542.          to mediate.  Furthermore, the TCB shall maintain authentication
  1543.          data that includes information for verifying the identity of
  1544.          individual users (e.g., passwords) as well as information for
  1545.          determining the clearance and authorizations of individual
  1546.          users.  This data shall be used by the TCB to authenticate the
  1547.          user's identity and to determine the security level and 
  1548.          authorizations of subjects that may be created to act on behalf
  1549.          of the individual user.  The TCB shall protect authentication
  1550.          data so that it cannot be accessed by any unauthorized user.
  1551.          The TCB shall be able to enforce individual accountability by
  1552.          providing the capability to uniquely identify each individual 
  1553.          ADP system user.  The TCB shall also provide the capability of
  1554.          associating this identity with all auditable actions taken by
  1555.          that individual.
  1556.  
  1557.     3.3.2.1.1  Trusted Path
  1558.  
  1559.          The TCB shall support a trusted communication path
  1560.          between itself and USERS for USE WHEN A POSITIVE TCB-TO-
  1561.          USER CONNECTION IS REQUIRED (E.G., LOGIN, CHANGE SUBJECT
  1562.          SECURITY LEVEL).  Communications via this TRUSTED path
  1563.          shall be ACTIVATED exclusively by a user OR THE TCB AND
  1564.          SHALL BE LOGICALLY ISOLATED AND UNMISTAKABLY 
  1565.          DISTINGUISHABLE FROM OTHER PATHS.
  1566.  
  1567.      3.3.2.2   Audit
  1568.  
  1569.                The TCB shall be able to create, maintain, and protect from
  1570.          modification or unauthorized access or destruction an audit 
  1571.          trail of accesses to the objects it protects.  The audit data
  1572.          shall be protected by the TCB so that read access to it is
  1573.          limited to those who are authorized for audit data.  The TCB
  1574.          shall be able to record the following types of events: use of
  1575.          identification and authentication mechanisms, introduction of
  1576.          objects into a user's address space (e.g., file open, program
  1577.          initiation), deletion of objects, and actions taken by computer
  1578.          operators and system administrators and/or system security
  1579.          officers.  The TCB shall also be able to audit any override of
  1580.          human-readable output markings.  For each recorded event, the
  1581.          audit record shall identify: date and time of the event, user,
  1582.          type of event, and success or failure of the event.  For 
  1583.          identification/authentication events the origin of request
  1584.          (e.g., terminal ID) shall be included in the audit record.
  1585.          For events that introduce an object into a user's address 
  1586.          space and for object deletion events the audit record shall 
  1587.          include the name of the object and the object's security level.
  1588.          The ADP system administrator shall be able to selectively audit
  1589.          the actions of any one or more users based on individual
  1590.          identity and/or object security level.  The TCB shall be able to
  1591.          audit the identified events that may be used in the exploitation
  1592.          of covert storage channels.  THE TCB SHALL CONTAIN A MECHANISM
  1593.          THAT IS ABLE TO MONITOR THE OCCURRENCE OR ACCUMULATION OF
  1594.          SECURITY AUDITABLE EVENTS THAT MAY INDICATE AN IMMINENT
  1595.          VIOLATION OF SECURITY POLICY.  THIS MECHANISM SHALL BE ABLE TO
  1596.          IMMEDIATELY NOTIFY THE SECURITY ADMINISTRATOR WHEN THRESHOLDS
  1597.          ARE EXCEEDED.
  1598.  
  1599. 3.3.3  ASSURANCE
  1600.  
  1601.      3.3.3.1   Operational Assurance
  1602.  
  1603.     3.3.3.1.1  System Architecture
  1604.  
  1605.          The TCB shall maintain a domain for its own execution
  1606.          that protects it from external interference or tampering
  1607.          (e.g., by modification of its code or data structures).
  1608.          The TCB shall maintain process isolation through the
  1609.          provision of distinct address spaces under its control.
  1610.          The TCB shall be internally structured into well-defined
  1611.          largely independent modules.  It shall make effective use
  1612.          of available hardware to separate those elements that are
  1613.          protection-critical from those that are not.  The TCB
  1614.          modules shall be designed such that the principle of 
  1615.          least privilege is enforced.  Features in hardware, such
  1616.          as segmentation, shall be used to support logically
  1617.          distinct storage objects with separate attributes (namely:
  1618.          readable, writeable).  The user interface to the TCB shall
  1619.          be completely defined and all elements of the TCB
  1620.          identified.  THE TCB SHALL BE DESIGNED AND STRUCTURED TO
  1621.          USE A COMPLETE, CONCEPTUALLY SIMPLE PROTECTION MECHANISM
  1622.          WITH PRECISELY DEFINED SEMANTICS.  THIS MECHANISM SHALL
  1623.          PLAY A CENTRAL ROLE IN ENFORCING THE INTERNAL STRUCTURING
  1624.          OF THE TCB AND THE SYSTEM.  THE TCB SHALL INCORPORATE
  1625.          SIGNIFICANT USE OF LAYERING, ABSTRACTION AND DATA HIDING.
  1626.          SIGNIFICANT SYSTEM ENGINEERING SHALL BE DIRECTED TOWARD
  1627.          MINIMIZING THE COMPLEXITY OF THE TCB AND EXCLUDING FROM
  1628.          THE TCB MODULES THAT ARE NOT PROTECTION-CRITICAL.
  1629.  
  1630.     3.3.3.1.2  System Integrity
  1631.  
  1632.          Hardware and/or software features shall be provided that
  1633.          can be used to periodically validate the correct 
  1634.          operation of the on-site hardware and firmware elements 
  1635.          of the TCB.
  1636.  
  1637.     3.3.3.1.3  Covert Channel Analysis
  1638.  
  1639.          The system developer shall conduct a thorough search for
  1640.          COVERT CHANNELS and make a determination (either by 
  1641.          actual measurement or by engineering estimation) of the
  1642.          maximum bandwidth of each identified channel.  (See the
  1643.          Covert Channels Guideline section.)
  1644.  
  1645.     3.3.3.1.4  Trusted Facility Management
  1646.  
  1647.          The TCB shall support separate operator and administrator
  1648.          functions.  THE FUNCTIONS PERFORMED IN THE ROLE OF A 
  1649.          SECURITY ADMINISTRATOR SHALL BE IDENTIFIED.  THE ADP
  1650.          SYSTEM ADMINISTRATIVE PERSONNEL SHALL ONLY BE ABLE TO
  1651.          PERFORM SECURITY ADMINISTRATOR FUNCTIONS AFTER TAKING A 
  1652.          DISTINCT AUDITABLE ACTION TO ASSUME THE SECURITY
  1653.          ADMINISTRATOR ROLE ON THE ADP SYSTEM.  NON-SECURITY
  1654.          FUNCTIONS THAT CAN BE PERFORMED IN THE SECURITY 
  1655.          ADMINISTRATION ROLE SHALL BE LIMITED STRICTLY TO THOSE
  1656.          ESSENTIAL TO PERFORMING THE SECURITY ROLE EFFECTIVELY.
  1657.  
  1658.     3.3.3.1.5  Trusted Recovery
  1659.  
  1660.          PROCEDURES AND/OR MECHANISMS SHALL BE PROVIDED TO ASSURE
  1661.          THAT, AFTER AN ADP SYSTEM FAILURE OR OTHER DISCONTINUITY,
  1662.          RECOVERY WITHOUT A PROTECTION COMPROMISE IS OBTAINED.
  1663.  
  1664.      3.3.3.2   Life-Cycle Assurance
  1665.  
  1666.     3.3.3.2.1  Security Testing
  1667.  
  1668.          The security mechanisms of the ADP system shall be tested
  1669.          and found to work as claimed in the system documentation.
  1670.          A team of individuals who thoroughly understand the
  1671.          specific implementation of the TCB shall subject its
  1672.          design documentation, source code, and object code to
  1673.          thorough analysis and testing.  Their objectives shall 
  1674.          be: to uncover all design and implementation flaws that
  1675.          would permit a subject external to the TCB to read,
  1676.          change, or delete data normally denied under the 
  1677.          mandatory or discretionary security policy enforced by
  1678.          the TCB; as well as to assure that no subject (without
  1679.          authorization to do so) is able to cause the TCB to enter
  1680.          a state such that it is unable to respond to 
  1681.          communications initiated by other users.  The TCB shall
  1682.          be FOUND RESISTANT TO penetration.  All discovered flaws
  1683.          shall be corrected and the TCB retested to demonstrate 
  1684.          that they have been eliminated and that new flaws have
  1685.          not been introduced.  Testing shall demonstrate that the
  1686.          TCB implementation is consistent with the descriptive
  1687.          top-level specification.  (See the Security Testing 
  1688.          Guidelines.)  NO DESIGN FLAWS AND NO MORE THAN A FEW
  1689.          CORRECTABLE IMPLEMENTATION FLAWS MAY BE FOUND DURING
  1690.          TESTING AND THERE SHALL BE REASONABLE CONFIDENCE THAT 
  1691.          FEW REMAIN.
  1692.  
  1693.     3.3.3.2.2  Design Specification and Verification
  1694.  
  1695.          A formal model of the security policy supported by the
  1696.          TCB shall be maintained that is proven consistent with 
  1697.          its axioms.  A descriptive top-level specification (DTLS)
  1698.          of the TCB shall be maintained that completely and
  1699.          accurately describes the TCB in terms of exceptions, error
  1700.          messages, and effects.  It shall be shown to be an 
  1701.          accurate description of the TCB interface.  A CONVINCING
  1702.          ARGUMENT SHALL BE GIVEN THAT THE DTLS IS CONSISTENT WITH
  1703.          THE MODEL.
  1704.  
  1705.     3.3.3.2.3  Configuration Management
  1706.  
  1707.          During development and maintenance of the TCB, a
  1708.          configuration management system shall be in place that 
  1709.          maintains control of changes to the descriptive top-level
  1710.          specification, other design data, implementation
  1711.          documentation, source code, the running version of the
  1712.          object code, and test fixtures and documentation.  The
  1713.          configuration management system shall assure a consistent
  1714.          mapping among all documentation and code associated with
  1715.          the current version of the TCB.  Tools shall be provided
  1716.          for generation of a new version of the TCB from source 
  1717.          code.  Also available shall be tools for comparing a
  1718.          newly generated version with the previous TCB version in
  1719.          order to ascertain that only the intended changes have 
  1720.          been made in the code that will actually be used as the
  1721.          new version of the TCB.
  1722.  
  1723. 3.3.4  DOCUMENTATION
  1724.  
  1725.      3.3.4.1   Security Features User's Guide
  1726.  
  1727.          A single summary, chapter, or manual in user documentation
  1728.          shall describe the protection mechanisms provided by the TCB,
  1729.          guidelines on their use, and how they interact with one another.
  1730.  
  1731.      3.3.4.2   Trusted Facility Manual
  1732.  
  1733.                A manual addressed to the ADP system administrator shall
  1734.          present cautions about functions and privileges that should be
  1735.          controlled when running a secure facility.  The procedures for
  1736.          examining and maintaining the audit files as well as the
  1737.          detailed audit record structure for each type of audit event
  1738.          shall be given.  The manual shall describe the operator and
  1739.          administrator functions related to security, to include 
  1740.          changing the security characteristics of a user.  It shall
  1741.          provide guidelines on the consistent and effective use of the
  1742.          protection features of the system, how they interact, how to
  1743.          securely generate a new TCB, and facility procedures, warnings,
  1744.          and privileges that need to be controlled in order to operate
  1745.          the facility in a secure manner.  The TCB modules that contain
  1746.          the reference validation mechanism shall be identified.  The
  1747.          procedures for secure generation of a new TCB from source after
  1748.          modification of any modules in the TCB shall be described.  IT
  1749.          SHALL INCLUDE THE PROCEDURES TO ENSURE THAT THE SYSTEM IS
  1750.          INITIALLY STARTED IN A SECURE MANNER.  PROCEDURES SHALL ALSO BE
  1751.          INCLUDED TO RESUME SECURE SYSTEM OPERATION AFTER ANY LAPSE IN 
  1752.          SYSTEM OPERATION.
  1753.  
  1754.      3.3.4.3   Test Documentation
  1755.  
  1756.                The system developer shall provide to the evaluators a document
  1757.          that describes the test plan and results of the security 
  1758.          mechanisms' functional testing.  It shall include results of
  1759.          testing the effectiveness of the methods used to reduce covert
  1760.          channel bandwidths.
  1761.  
  1762.      3.3.4.4   Design Documentation
  1763.  
  1764.                Documentation shall be available that provides a description of
  1765.          the manufacturer's philosophy of protection and an explanation
  1766.          of how this philosophy is translated into the TCB.  The
  1767.          interfaces between the TCB modules shall be described.  A
  1768.          formal description of the security policy model enforced by the
  1769.          TCB shall be available and proven that it is sufficient to
  1770.          enforce the security policy.  The specific TCB protection 
  1771.          mechanisms shall be identified and an explanation given to show
  1772.          that they satisfy the model.  The descriptive top-level
  1773.          specification (DTLS) shall be shown to be an accurate 
  1774.          description of the TCB interface.  Documentation shall describe
  1775.          how the TCB implements the reference monitor concept and give 
  1776.          an explanation why it is tamperproof, cannot be bypassed, and
  1777.          is correctly implemented.  THE TCB IMPLEMENTATION (I.E., IN
  1778.          HARDWARE, FIRMWARE, AND SOFTWARE) SHALL BE INFORMALLY SHOWN TO
  1779.          BE CONSISTENT WITH THE DTLS.  THE ELEMENTS OF THE DTLS SHALL BE
  1780.          SHOWN, USING INFORMAL TECHNIQUES, TO CORRESPOND TO THE ELEMENTS
  1781.          OF THE TCB.  Documentation shall describe how the TCB is
  1782.          structured to facilitate testing and to enforce least privilege.
  1783.          This documentation shall also present the results of the covert
  1784.          channel analysis and the tradeoffs involved in restricting the
  1785.          channels.  All auditable events that may be used in the 
  1786.          exploitation of known covert storage channels shall be 
  1787.          identified.  The bandwidths of known covert storage channels,
  1788.          the use of which is not detectable by the auditing mechanisms,
  1789.          shall be provided.  (See the Covert Channel Guideline section.)
  1790.  
  1791.  
  1792. 4.0  DIVISION A:    VERIFIED PROTECTION
  1793.  
  1794. This division is characterized by the use of formal security verification
  1795. methods to assure that the mandatory and discretionary security controls
  1796. employed in the system can effectively protect classified or other sensitive
  1797. information stored or processed by the system.  Extensive documentation is
  1798. required to demonstrate that the TCB meets the security requirements in all
  1799. aspects of design, development and implementation.
  1800.  
  1801.  
  1802. 4.1  CLASS (A1):    VERIFIED DESIGN
  1803.  
  1804. Systems in class (A1) are functionally equivalent to those in class (B3) in
  1805. that no additional architectural features or policy requirements are added.
  1806. The distinguishing feature of systems in this class is the analysis derived
  1807. from formal design specification and verification techniques and the resulting
  1808. high degree of assurance that the TCB is correctly implemented.  This
  1809. assurance is developmental in nature, starting with a formal model of the
  1810. security policy and a formal top-level specification (FTLS) of the design.
  1811. Independent of the particular specification language or verification system
  1812. used, there are five important criteria for class (A1) design verification:
  1813.  
  1814.     * A formal model of the security policy must be clearly
  1815.     identified and documented, including a mathematical proof
  1816.     that the model is consistent with its axioms and is
  1817.     sufficient to support the security policy.
  1818.  
  1819.     * An FTLS must be produced that includes abstract definitions
  1820.     of the functions the TCB performs and of the hardware and/or
  1821.     firmware mechanisms that are used to support separate
  1822.     execution domains.
  1823.  
  1824.     * The FTLS of the TCB must be shown to be consistent with the
  1825.     model by formal techniques where possible (i.e., where
  1826.     verification tools exist) and informal ones otherwise.
  1827.  
  1828.     * The TCB implementation (i.e., in hardware, firmware, and
  1829.     software) must be informally shown to be consistent with the
  1830.     FTLS.  The elements of the FTLS must be shown, using
  1831.     informal techniques, to correspond to the elements of the
  1832.     TCB.  The FTLS must express the unified protection mechanism
  1833.     required to satisfy the security policy, and it is the
  1834.     elements of this protection mechanism that are mapped to the
  1835.     elements of the TCB.
  1836.  
  1837.     * Formal analysis techniques must be used to identify and
  1838.     analyze covert channels.  Informal techniques may be used to
  1839.     identify covert timing channels.  The continued existence of
  1840.     identified covert channels in the system must be justified.
  1841.  
  1842. In keeping with the extensive design and development analysis of the TCB
  1843. required of systems in class (A1), more stringent configuration management is
  1844. required and procedures are established for securely distributing the system
  1845. to sites.  A system security administrator is supported.
  1846.  
  1847. The following are minimal requirements for systems assigned a class (A1)
  1848. rating:
  1849.  
  1850. 4.1.1  SECURITY POLICY
  1851.  
  1852.      4.1.1.1   Discretionary Access Control
  1853.  
  1854.          The TCB shall define and control access between named users and
  1855.          named objects (e.g., files and programs) in the ADP system.  
  1856.          The enforcement mechanism (e.g., access control lists) shall 
  1857.          allow users to specify and control sharing of those objects.
  1858.          The discretionary access control mechanism shall, either by
  1859.          explicit user action or by default, provide that objects are
  1860.          protected from unauthorized access.  These access controls 
  1861.          shall be capable of specifying, for each named object, a list 
  1862.          of named individuals and a list of groups of named individuals
  1863.          with their respective modes of access to that object.
  1864.          Furthermore, for each such named object, it shall be possible to
  1865.          specify a list of named individuals and a list of groups of 
  1866.          named individuals for which no access to the object is to be 
  1867.          given.  Access permission to an object by users not already
  1868.          possessing access permission shall only be assigned by
  1869.          authorized users.
  1870.  
  1871.      4.1.1.2   Object Reuse
  1872.  
  1873.          When a storage object is initially assigned, allocated, or
  1874.          reallocated to a subject from the TCB's pool of unused storage
  1875.          objects, the TCB shall assure that the object contains no data
  1876.          for which the subject is not authorized.
  1877.  
  1878.      4.1.1.3   Labels
  1879.  
  1880.          Sensitivity labels associated with each ADP system resource
  1881.          (e.g., subject, storage object) that is directly or indirectly
  1882.          accessible by subjects external to the TCB shall be maintained
  1883.          by the TCB.  These labels shall be used as the basis for
  1884.          mandatory access control decisions.  In order to import non-
  1885.          labeled data, the TCB shall request and receive from an 
  1886.          authorized user the security level of the data, and all such
  1887.          actions shall be auditable by the TCB.
  1888.  
  1889.     4.1.1.3.1  Label Integrity
  1890.  
  1891.          Sensitivity labels shall accurately represent security
  1892.          levels of the specific subjects or objects with which 
  1893.          they are associated.  When exported by the TCB,
  1894.          sensitivity labels shall accurately and unambiguously
  1895.          represent the internal labels and shall be associated 
  1896.          with the information being exported.
  1897.  
  1898.     4.1.1.3.2  Exportation of Labeled Information
  1899.  
  1900.          The TCB shall designate each communication channel and
  1901.          I/O device as either single-level or multilevel.  Any 
  1902.          change in this designation shall be done manually and
  1903.          shall be auditable by the TCB.  The TCB shall maintain
  1904.          and be able to audit any change in the current security
  1905.          level associated with a single-level communication
  1906.          channel or I/O device.
  1907.  
  1908.          4.1.1.3.2.1  Exportation to Multilevel Devices
  1909.  
  1910.                 When the TCB exports an object to a multilevel I/O
  1911.                 device, the sensitivity label associated with that
  1912.                 object shall also be exported and shall reside on
  1913.                 the same physical medium as the exported 
  1914.                 information and shall be in the same form (i.e., 
  1915.                 machine-readable or human-readable form).  When
  1916.                 the TCB exports or imports an object over a
  1917.                 multilevel communication channel, the protocol 
  1918.                 used on that channel shall provide for the
  1919.                 unambiguous pairing between the sensitivity labels
  1920.                 and the associated information that is sent or 
  1921.                 received.
  1922.  
  1923.          4.1.1.3.2.2  Exportation to Single-Level Devices
  1924.  
  1925.                 Single-level I/O devices and single-level
  1926.                 communication channels are not required to 
  1927.                 maintain the sensitivity labels of the information
  1928.                 they process.  However, the TCB shall include a 
  1929.                 mechanism by which the TCB and an authorized user
  1930.                 reliably communicate to designate the single
  1931.                 security level of information imported or exported
  1932.                 via single-level communication channels or I/O 
  1933.                 devices.
  1934.  
  1935.          4.1.1.3.2.3  Labeling Human-Readable Output
  1936.  
  1937.                 The ADP system administrator shall be able to
  1938.                 specify the printable label names associated with
  1939.                 exported sensitivity labels.  The TCB shall mark
  1940.                 the beginning and end of all human-readable, paged,
  1941.                 hardcopy output (e.g., line printer output) with 
  1942.                 human-readable sensitivity labels that properly*
  1943.                 represent the sensitivity of the output.  The TCB
  1944.                 shall, by default, mark the top and bottom of each
  1945.                 page of human-readable, paged, hardcopy output
  1946.                 (e.g., line printer output) with human-readable 
  1947.                 sensitivity labels that properly* represent the
  1948.                 overall sensitivity of the output or that 
  1949.                 properly* represent the sensitivity of the 
  1950.                 information on the page.  The TCB shall, by
  1951.                 default and in an appropriate manner, mark other
  1952.                 forms of human-readable output (e.g., maps,
  1953.                 graphics) with human-readable sensitivity labels
  1954.                 that properly* represent the sensitivity of the 
  1955.                 output.  Any override of these marking defaults
  1956.                 shall be auditable by the TCB.
  1957.  
  1958.            ____________________________________________________________________
  1959.            * The hierarchical classification component in human-readable
  1960.            sensitivity labels shall be equal to the greatest
  1961.            hierarchical classification of any of the information in the
  1962.            output that the labels refer to;  the non-hierarchical
  1963.            category component shall include all of the non-hierarchical
  1964.            categories of the information in the output the labels refer
  1965.            to, but no other non-hierarchical categories.
  1966.            ____________________________________________________________________
  1967.  
  1968.  
  1969.     4.1.1.3.3  Subject Sensitivity Labels
  1970.  
  1971.          The TCB shall immediately notify a terminal user of each
  1972.          change in the security level associated with that user 
  1973.          during an interactive session.  A terminal user shall be
  1974.          able to query the TCB as desired for a display of the
  1975.          subject's complete sensitivity label.
  1976.  
  1977.     4.1.1.3.4  Device Labels
  1978.  
  1979.          The TCB shall support the assignment of minimum and
  1980.          maximum security levels to all attached physical devices.
  1981.          These security levels shall be used by the TCB to enforce
  1982.          constraints imposed by the physical environments in which
  1983.          the devices are located.
  1984.  
  1985.      4.1.1.4   Mandatory Access Control
  1986.  
  1987.          The TCB shall enforce a mandatory access control policy over
  1988.          all resources (i.e., subjects, storage objects, and I/O 
  1989.          devices) that are directly or indirectly accessible by subjects
  1990.          external to the TCB.  These subjects and objects shall be
  1991.          assigned sensitivity labels that are a combination of
  1992.          hierarchical classification levels and non-hierarchical
  1993.          categories, and the labels shall be used as the basis for 
  1994.          mandatory access control decisions.  The TCB shall be able to
  1995.          support two or more such security levels.  (See the Mandatory
  1996.          Access Control guidelines.) The following requirements shall
  1997.          hold for all accesses between all subjects external to the TCB
  1998.          and all objects directly or indirectly accessible by these 
  1999.          subjects: A subject can read an object only if the hierarchical
  2000.          classification in the subject's security level is greater than
  2001.          or equal to the hierarchical classification in the object's
  2002.          security level and the non-hierarchical categories in the
  2003.          subject's security level include all the non-hierarchical
  2004.          categories in the object's security level.  A subject can write
  2005.          an object only if the hierarchical classification in the 
  2006.          subject's security level is less than or equal to the
  2007.          hierarchical classification in the object's security level and
  2008.          all the non-hierarchical categories in the subject's security 
  2009.          level are included in the non- hierarchical categories in the 
  2010.          object's security level.
  2011.  
  2012. 4.1.2  ACCOUNTABILITY
  2013.  
  2014.      4.1.2.1   Identification and Authentication
  2015.  
  2016.          The TCB shall require users to identify themselves to it before
  2017.          beginning to perform any other actions that the TCB is expected
  2018.          to mediate.  Furthermore, the TCB shall maintain authentication
  2019.          data that includes information for verifying the identity of
  2020.          individual users (e.g., passwords) as well as information for
  2021.          determining the clearance and authorizations of individual
  2022.          users.  This data shall be used by the TCB to authenticate the
  2023.          user's identity and to determine the security level and 
  2024.          authorizations of subjects that may be created to act on behalf
  2025.          of the individual user.  The TCB shall protect authentication
  2026.          data so that it cannot be accessed by any unauthorized user.
  2027.          The TCB shall be able to enforce individual accountability by
  2028.          providing the capability to uniquely identify each individual 
  2029.          ADP system user.  The TCB shall also provide the capability of
  2030.          associating this identity with all auditable actions taken by
  2031.          that individual.
  2032.  
  2033.     4.1.2.1.1  Trusted Path
  2034.  
  2035.          The TCB shall support a trusted communication path
  2036.          between itself and users for use when a positive TCB-to-
  2037.          user connection is required (e.g., login, change subject
  2038.          security level).  Communications via this trusted path
  2039.          shall be activated exclusively by a user or the TCB and
  2040.          shall be logically isolated and unmistakably 
  2041.          distinguishable from other paths.
  2042.  
  2043.      4.1.2.2   Audit
  2044.  
  2045.          The TCB shall be able to create, maintain, and protect from
  2046.          modification or unauthorized access or destruction an audit 
  2047.          trail of accesses to the objects it protects.  The audit data
  2048.          shall be protected by the TCB so that read access to it is
  2049.          limited to those who are authorized for audit data.  The TCB
  2050.          shall be able to record the following types of events: use of
  2051.          identification and authentication mechanisms, introduction of
  2052.          objects into a user's address space (e.g., file open, program
  2053.          initiation), deletion of objects, and actions taken by computer
  2054.          operators and system administrators and/or system security
  2055.          officers.  The TCB shall also be able to audit any override of
  2056.          human-readable output markings.  For each recorded event, the
  2057.          audit record shall identify: date and time of the event, user,
  2058.          type of event, and success or failure of the event.  For
  2059.          identification/authentication events the origin of request
  2060.          (e.g., terminal ID) shall be included in the audit record.  For
  2061.          events that introduce an object into a user's address space and
  2062.          for object deletion events the audit record shall include the 
  2063.          name of the object and the object's security level.  The ADP
  2064.          system administrator shall be able to selectively audit the
  2065.          actions of any one or more users based on individual identity
  2066.          and/or object security level.  The TCB shall be able to audit
  2067.          the identified events that may be used in the exploitation of
  2068.          covert storage channels.  The TCB shall contain a mechanism 
  2069.          that is able to monitor the occurrence or accumulation of 
  2070.          security auditable events that may indicate an imminent
  2071.          violation of security policy.  This mechanism shall be able to
  2072.          immediately notify the security administrator when thresholds 
  2073.          are exceeded.
  2074.  
  2075. 4.1.3  ASSURANCE
  2076.  
  2077.      4.1.3.1   Operational Assurance
  2078.  
  2079.     4.1.3.1.1  System Architecture
  2080.  
  2081.          The TCB shall maintain a domain for its own execution
  2082.          that protects it from external interference or tampering
  2083.          (e.g., by modification of its code or data structures).
  2084.          The TCB shall maintain process isolation through the
  2085.          provision of distinct address spaces under its control.
  2086.          The TCB shall be internally structured into well-defined
  2087.          largely independent modules.  It shall make effective use
  2088.          of available hardware to separate those elements that are
  2089.          protection-critical from those that are not.  The TCB
  2090.          modules shall be designed such that the principle of 
  2091.          least privilege is enforced.  Features in hardware, such
  2092.          as segmentation, shall be used to support logically 
  2093.          distinct storage objects with separate attributes (namely:
  2094.          readable, writeable).  The user interface to the TCB 
  2095.          shall be completely defined and all elements of the TCB 
  2096.          identified.  The TCB shall be designed and structured to
  2097.          use a complete, conceptually simple protection mechanism
  2098.          with precisely defined semantics.  This mechanism shall 
  2099.          play a central role in enforcing the internal structuring
  2100.          of the TCB and the system.  The TCB shall incorporate
  2101.          significant use of layering, abstraction and data hiding.
  2102.          Significant system engineering shall be directed toward 
  2103.          minimizing the complexity of the TCB and excluding from
  2104.          the TCB modules that are not protection-critical.
  2105.  
  2106.     4.1.3.1.2  System Integrity
  2107.  
  2108.          Hardware and/or software features shall be provided that
  2109.          can be used to periodically validate the correct 
  2110.          operation of the on-site hardware and firmware elements
  2111.          of the TCB.
  2112.  
  2113.     4.1.3.1.3  Covert Channel Analysis
  2114.  
  2115.          The system developer shall conduct a thorough search for
  2116.          COVERT CHANNELS and make a determination (either by 
  2117.          actual measurement or by engineering estimation) of the
  2118.          maximum bandwidth of each identified channel.  (See the
  2119.          Covert Channels Guideline section.)  FORMAL METHODS SHALL
  2120.          BE USED IN THE ANALYSIS.
  2121.  
  2122.     4.1.3.1.4  Trusted Facility Management
  2123.  
  2124.          The TCB shall support separate operator and administrator
  2125.          functions.  The functions performed in the role of a 
  2126.          security administrator shall be identified.  The ADP
  2127.          system administrative personnel shall only be able to
  2128.          perform security administrator functions after taking a 
  2129.          distinct auditable action to assume the security
  2130.          administrator role on the ADP system.  Non-security
  2131.          functions that can be performed in the security 
  2132.          administration role shall be limited strictly to those
  2133.          essential to performing the security role effectively.
  2134.  
  2135.     4.1.3.1.5  Trusted Recovery
  2136.  
  2137.          Procedures and/or mechanisms shall be provided to assure
  2138.          that, after an ADP system failure or other discontinuity,
  2139.          recovery without a protection compromise is obtained.
  2140.  
  2141.      4.1.3.2   Life-Cycle Assurance
  2142.  
  2143.     4.1.3.2.1  Security Testing
  2144.  
  2145.          The security mechanisms of the ADP system shall be tested
  2146.          and found to work as claimed in the system documentation.
  2147.          A team of individuals who thoroughly understand the
  2148.          specific implementation of the TCB shall subject its
  2149.          design documentation, source code, and object code to
  2150.          thorough analysis and testing.  Their objectives shall 
  2151.          be: to uncover all design and implementation flaws that
  2152.          would permit a subject external to the TCB to read,
  2153.          change, or delete data normally denied under the 
  2154.          mandatory or discretionary security policy enforced by 
  2155.          the TCB; as well as to assure that no subject (without
  2156.          authorization to do so) is able to cause the TCB to enter
  2157.          a state such that it is unable to respond to 
  2158.          communications initiated by other users.  The TCB shall 
  2159.          be found resistant to penetration.  All discovered flaws
  2160.          shall be corrected and the TCB retested to demonstrate 
  2161.          that they have been eliminated and that new flaws have
  2162.          not been introduced.  Testing shall demonstrate that the
  2163.          TCB implementation is consistent with the FORMAL top-
  2164.          level specification.  (See the Security Testing 
  2165.          Guidelines.)  No design flaws and no more than a few
  2166.          correctable implementation flaws may be found during
  2167.          testing and there shall be reasonable confidence that few
  2168.          remain.  MANUAL OR OTHER MAPPING OF THE FTLS TO THE 
  2169.          SOURCE CODE MAY FORM A BASIS FOR PENETRATION TESTING.
  2170.  
  2171.     4.1.3.2.2  Design Specification and Verification
  2172.  
  2173.          A formal model of the security policy supported by the
  2174.          TCB shall be maintained that is proven consistent with 
  2175.          its axioms.  A descriptive top-level specification (DTLS)
  2176.          of the TCB shall be maintained that completely and
  2177.          accurately describes the TCB in terms of exceptions, error
  2178.          messages, and effects.  A FORMAL TOP-LEVEL SPECIFICATION
  2179.          (FTLS) OF THE TCB SHALL BE MAINTAINED THAT ACCURATELY
  2180.          DESCRIBES THE TCB IN TERMS OF EXCEPTIONS, ERROR MESSAGES,
  2181.          AND EFFECTS.  THE DTLS AND FTLS SHALL INCLUDE THOSE 
  2182.          COMPONENTS OF THE TCB THAT ARE IMPLEMENTED AS HARDWARE
  2183.          AND/OR FIRMWARE IF THEIR PROPERTIES ARE VISIBLE AT THE
  2184.          TCB INTERFACE.  THE FTLS shall be shown to be an accurate
  2185.          description of the TCB interface.  A convincing argument
  2186.          shall be given that the DTLS is consistent with the model
  2187.          AND A COMBINATION OF FORMAL AND INFORMAL TECHNIQUES SHALL
  2188.          BE USED TO SHOW THAT THE FTLS IS CONSISTENT WITH THE
  2189.          MODEL.  THIS VERIFICATION EVIDENCE SHALL BE CONSISTENT 
  2190.          WITH THAT PROVIDED WITHIN THE STATE-OF-THE-ART OF THE 
  2191.          PARTICULAR COMPUTER SECURITY CENTER-ENDORSED FORMAL
  2192.          SPECIFICATION AND VERIFICATION SYSTEM USED.  MANUAL OR
  2193.          OTHER MAPPING OF THE FTLS TO THE TCB SOURCE CODE SHALL BE
  2194.          PERFORMED TO PROVIDE EVIDENCE OF CORRECT IMPLEMENTATION.
  2195.  
  2196.     4.1.3.2.3  Configuration Management
  2197.  
  2198.          During THE ENTIRE LIFE-CYCLE, I.E., DURING THE DESIGN,
  2199.          DEVELOPMENT, and maintenance of the TCB, a configuration
  2200.          management system shall be in place FOR ALL SECURITY-
  2201.          RELEVANT HARDWARE, FIRMWARE, AND SOFTWARE that maintains
  2202.          control of changes to THE FORMAL MODEL, the descriptive 
  2203.          AND FORMAL top-level SPECIFICATIONS, other design data, 
  2204.          implementation documentation, source code, the running
  2205.          version of the object code, and test fixtures and
  2206.          documentation.  The configuration management system shall
  2207.          assure a consistent mapping among all documentation and 
  2208.          code associated with the current version of the TCB.
  2209.          Tools shall be provided for generation of a new version
  2210.          of the TCB from source code.  Also available shall be 
  2211.          tools, MAINTAINED UNDER STRICT CONFIGURATION CONTROL, for
  2212.          comparing a newly generated version with the previous TCB
  2213.          version in order to ascertain that only the intended
  2214.          changes have been made in the code that will actually be
  2215.          used as the new version of the TCB.  A COMBINATION OF
  2216.          TECHNICAL, PHYSICAL, AND PROCEDURAL SAFEGUARDS SHALL BE
  2217.          USED TO PROTECT FROM UNAUTHORIZED MODIFICATION OR
  2218.          DESTRUCTION THE MASTER COPY OR COPIES OF ALL MATERIAL 
  2219.          USED TO GENERATE THE TCB.
  2220.  
  2221.     4.1.3.2.4  Trusted Distribution
  2222.  
  2223.          A TRUSTED ADP SYSTEM CONTROL AND DISTRIBUTION FACILITY
  2224.          SHALL BE PROVIDED FOR MAINTAINING THE INTEGRITY OF THE 
  2225.          MAPPING BETWEEN THE MASTER DATA DESCRIBING THE CURRENT
  2226.          VERSION OF THE TCB AND THE ON-SITE MASTER COPY OF THE
  2227.          CODE FOR THE CURRENT VERSION.  PROCEDURES (E.G., SITE 
  2228.          SECURITY ACCEPTANCE TESTING) SHALL EXIST FOR ASSURING
  2229.          THAT THE TCB SOFTWARE, FIRMWARE, AND HARDWARE UPDATES
  2230.          DISTRIBUTED TO A CUSTOMER ARE EXACTLY AS SPECIFIED BY 
  2231.          THE MASTER COPIES.
  2232.  
  2233. 4.1.4  DOCUMENTATION
  2234.  
  2235.      4.1.4.1   Security Features User's Guide
  2236.  
  2237.          A single summary, chapter, or manual in user documentation
  2238.          shall describe the protection mechanisms provided by the TCB,
  2239.          guidelines on their use, and how they interact with one another.
  2240.  
  2241.      4.1.4.2   Trusted Facility Manual
  2242.  
  2243.                A manual addressed to the ADP system administrator shall
  2244.          present cautions about functions and privileges that should be
  2245.          controlled when running a secure facility.  The procedures for
  2246.          examining and maintaining the audit files as well as the
  2247.          detailed audit record structure for each type of audit event
  2248.          shall be given.  The manual shall describe the operator and
  2249.          administrator functions related to security, to include 
  2250.          changing the security characteristics of a user.  It shall
  2251.          provide guidelines on the consistent and effective use of the
  2252.          protection features of the system, how they interact, how to
  2253.          securely generate a new TCB, and facility procedures, warnings,
  2254.          and privileges that need to be controlled in order to operate
  2255.          the facility in a secure manner.  The TCB modules that contain
  2256.          the reference validation mechanism shall be identified.  The 
  2257.          procedures for secure generation of a new TCB from source after
  2258.          modification of any modules in the TCB shall be described.  It
  2259.          shall include the procedures to ensure that the system is 
  2260.          initially started in a secure manner.  Procedures shall also be
  2261.          included to resume secure system operation after any lapse in 
  2262.          system operation.  
  2263.  
  2264.      4.1.4.3   Test Documentation
  2265.  
  2266.          The system developer shall provide to the evaluators a document
  2267.          that describes the test plan and results of the security
  2268.          mechanisms' functional testing.  It shall include results of 
  2269.          testing the effectiveness of the methods used to reduce covert
  2270.          channel bandwidths.  THE RESULTS OF THE MAPPING BETWEEN THE
  2271.          FORMAL TOP-LEVEL SPECIFICATION AND THE TCB SOURCE CODE SHALL BE
  2272.          GIVEN.
  2273.  
  2274.      4.1.4.4   Design Documentation
  2275.  
  2276.          Documentation shall be available that provides a description of
  2277.          the manufacturer's philosophy of protection and an explanation
  2278.          of how this philosophy is translated into the TCB.  The 
  2279.          interfaces between the TCB modules shall be described.  A
  2280.          formal description of the security policy model enforced by the
  2281.          TCB shall be available and proven that it is sufficient to 
  2282.          enforce the security policy.  The specific TCB protection 
  2283.          mechanisms shall be identified and an explanation given to show
  2284.          that they satisfy the model.  The descriptive top-level
  2285.          specification (DTLS) shall be shown to be an accurate 
  2286.          description of the TCB interface.  Documentation shall describe
  2287.          how the TCB implements the reference monitor concept and give 
  2288.          an explanation why it is tamperproof, cannot be bypassed, and
  2289.          is correctly implemented.  The TCB implementation (i.e., in
  2290.          hardware, firmware, and software) shall be informally shown to
  2291.          be consistent with the FORMAL TOP- LEVEL SPECIFICATION (FTLS).
  2292.          The elements of the FTLS shall be shown, using informal 
  2293.          techniques, to correspond to the elements of the TCB.  
  2294.          Documentation shall describe how the TCB is structured to
  2295.          facilitate testing and to enforce least privilege.  This
  2296.          documentation shall also present the results of the covert 
  2297.          channel analysis and the tradeoffs involved in restricting the
  2298.          channels.  All auditable events that may be used in the
  2299.          exploitation of known covert storage channels shall be 
  2300.          identified.  The bandwidths of known covert storage channels,
  2301.          the use of which is not detectable by the auditing mechanisms,
  2302.          shall be provided.  (See the Covert Channel Guideline section.)
  2303.          HARDWARE, FIRMWARE, AND SOFTWARE MECHANISMS NOT DEALT WITH IN
  2304.          THE FTLS BUT STRICTLY INTERNAL TO THE TCB (E.G., MAPPING
  2305.          REGISTERS, DIRECT MEMORY ACCESS I/O) SHALL BE CLEARLY DESCRIBED.
  2306.  
  2307. 4.2  BEYOND CLASS (A1)
  2308.  
  2309. Most of the security enhancements envisioned for systems that will provide
  2310. features and assurance in addition to that already provided by class (Al)
  2311. systems are beyond current technology.  The discussion below is intended to
  2312. guide future work and is derived from research and development activities
  2313. already underway in both the public and private sectors.  As more and better
  2314. analysis techniques are developed, the requirements for these systems will
  2315. become more explicit.  In the future, use of formal verification will be
  2316. extended to the source level and covert timing channels will be more fully
  2317. addressed.  At this level the design environment will become important and
  2318. testing will be aided by analysis of the formal top-level specification.
  2319. Consideration will be given to the correctness of the tools used in TCB
  2320. development (e.g., compilers, assemblers, loaders) and to the correct
  2321. functioning of the hardware/firmware on which the TCB will run.  Areas to be
  2322. addressed by systems beyond class (A1) include:
  2323.  
  2324.            * System Architecture
  2325.  
  2326.            A demonstration (formal or otherwise) must be given showing
  2327.            that requirements of self-protection and completeness for
  2328.            reference monitors have been implemented in the TCB.
  2329.  
  2330.            * Security Testing
  2331.  
  2332.            Although beyond the current state-of-the-art, it is
  2333.            envisioned that some test-case generation will be done
  2334.            automatically from the formal top-level specification or
  2335.            formal lower-level specifications.
  2336.  
  2337.            * Formal Specification and Verification
  2338.  
  2339.            The TCB must be verified down to the source code level,
  2340.            using formal verification methods where feasible.  Formal
  2341.            verification of the source code of the security-relevant
  2342.            portions of an operating system has proven to be a difficult
  2343.            task.  Two important considerations are the choice of a
  2344.            high-level language whose semantics can be fully and
  2345.            formally expressed, and a careful mapping, through
  2346.            successive stages, of the abstract formal design to a
  2347.            formalization of the implementation in low-level
  2348.            specifications.    Experience has shown that only when the
  2349.            lowest level specifications closely correspond to the actual
  2350.            code can code proofs be successfully accomplished.
  2351.  
  2352.            * Trusted Design Environment
  2353.  
  2354.            The TCB must be designed in a trusted facility with only
  2355.      trusted (cleared) personnel.
  2356.  
  2357.  
  2358.  
  2359.  
  2360.                                PART II:
  2361.  
  2362.  
  2363. 5.0  CONTROL OBJECTIVES FOR TRUSTED COMPUTER SYSTEMS
  2364.  
  2365. The criteria are divided within each class into groups of requirements.  These
  2366. groupings were developed to assure that three basic control objectives for
  2367. computer security are satisfied and not overlooked.  These control objectives
  2368. deal with:
  2369.  
  2370.                       * Security Policy
  2371.                       * Accountability
  2372.                       * Assurance
  2373.  
  2374. This section provides a discussion of these general control objectives and
  2375. their implication in terms of designing trusted systems.
  2376.  
  2377. 5.1  A Need for Consensus
  2378.  
  2379. A major goal of the DoD Computer Security Center is to encourage the Computer
  2380. Industry to develop trusted computer systems and products, making them widely
  2381. available in the commercial market place.  Achievement of this goal will
  2382. require recognition and articulation by both the public and private sectors of
  2383. a need and demand for such products.
  2384.  
  2385. As described in the introduction to this document, efforts to define the
  2386. problems and develop solutions associated with processing nationally sensitive
  2387. information, as well as other sensitive data such as financial, medical, and
  2388. personnel information used by the National Security Establishment, have been
  2389. underway for a number of years.  The criteria, as described in Part I,
  2390. represent the culmination of these efforts and describe basic requirements for
  2391. building trusted computer systems.  To date, however, these systems have been
  2392. viewed by many as only satisfying National Security needs.  As long as this
  2393. perception continues the consensus needed to motivate manufacture of trusted
  2394. systems will be lacking.
  2395.  
  2396. The purpose of this section is to describe, in some detail, the fundamental
  2397. control objectives that lay the foundations for requirements delineated in the
  2398. criteria.  The goal is to explain the foundations so that those outside the
  2399. National Security Establishment can assess their universality and, by
  2400. extension, the universal applicability of the criteria requirements to
  2401. processing all types of sensitive applications whether they be for National
  2402. Security or the private sector.
  2403.  
  2404. 5.2  Definition and Usefulness
  2405.  
  2406. The term "control objective" refers to a statement of intent with respect to
  2407. control over some aspect of an organization's resources, or processes, or
  2408. both.  In terms of a computer system, control objectives provide a framework
  2409. for developing a strategy for fulfilling a set of security requirements for
  2410. any given system.  Developed in response to generic vulnerabilities, such as
  2411. the need to manage and handle sensitive data in order to prevent compromise,
  2412. or the need to provide accountability in order to detect fraud, control
  2413. objectives have been identified as a useful method of expressing security
  2414. goals.[3]
  2415.  
  2416. Examples of control objectives include the three basic design requirements for
  2417. implementing the reference monitor concept discussed in Section 6.  They are:
  2418.  
  2419.     * The reference validation mechanism must be tamperproof.
  2420.  
  2421.     * The reference validation mechanism must always be invoked.
  2422.  
  2423.     * The reference validation mechanism must be small enough to be
  2424.       subjected to analysis and tests, the completeness of which can 
  2425.       be assured.[1]
  2426.  
  2427. 5.3  Criteria Control Objectives
  2428.  
  2429. The three basic control objectives of the criteria are concerned with security
  2430. policy, accountability, and assurance.  The remainder of this section provides
  2431. a discussion of these basic requirements.
  2432.  
  2433.      5.3.1  Security Policy
  2434.  
  2435.       In the most general sense, computer security is concerned with
  2436.       controlling the way in which a computer can be used, i.e., 
  2437.       controlling how information processed by it can be accessed and 
  2438.       manipulated.  However, at closer examination, computer security 
  2439.       can refer to a number of areas.  Symptomatic of this, FIPS PUB 39,
  2440.       Glossary For Computer Systems Security, does not have a unique
  2441.       definition for computer security.[16]  Instead there are eleven
  2442.       separate definitions for security which include: ADP systems 
  2443.       security, administrative security, data security, etc.  A common 
  2444.       thread running through these definitions is the word "protection."
  2445.       Further declarations of protection requirements can be found in
  2446.       DoD Directive 5200.28 which describes an acceptable level of
  2447.       protection for classified data to be one that will "assure that
  2448.       systems which process, store, or use classified data and produce
  2449.       classified information will, with reasonable dependability, 
  2450.       prevent: a. Deliberate or inadvertent access to classified 
  2451.       material by unauthorized persons, and b.  Unauthorized 
  2452.       manipulation of the computer and its associated peripheral 
  2453.       devices."[8]
  2454.  
  2455.       In summary, protection requirements must be defined in terms of
  2456.       the perceived threats, risks, and goals of an organization.  This
  2457.       is often stated in terms of a security policy.  It has been 
  2458.       pointed out in the literature that it is external laws, rules, 
  2459.       regulations, etc.  that establish what access to information is to
  2460.       be permitted, independent of the use of a computer.  In particular,
  2461.       a given system can only be said to be secure with respect to its
  2462.       enforcement of some specific policy.[30]  Thus, the control 
  2463.       objective for security policy is:
  2464.  
  2465.       SECURITY POLICY CONTROL OBJECTIVE
  2466.  
  2467.       A STATEMENT OF INTENT WITH REGARD TO CONTROL OVER ACCESS TO AND
  2468.       DISSEMINATION OF INFORMATION, TO BE KNOWN AS THE SECURITY POLICY,
  2469.       MUST BE PRECISELY DEFINED AND IMPLEMENTED FOR EACH SYSTEM THAT IS
  2470.       USED TO PROCESS SENSITIVE INFORMATION.  THE SECURITY POLICY MUST 
  2471.       ACCURATELY REFLECT THE LAWS, REGULATIONS, AND GENERAL POLICIES
  2472.       FROM WHICH IT IS DERIVED.
  2473.  
  2474.     5.3.1.1  Mandatory Security Policy
  2475.  
  2476.              Where a security policy is developed that is to be applied
  2477.              to control of classified or other specifically designated 
  2478.              sensitive information, the policy must include detailed 
  2479.              rules on how to handle that information throughout its
  2480.              life-cycle.  These rules are a function of the various
  2481.              sensitivity designations that the information can assume 
  2482.              and the various forms of access supported by the system.
  2483.              Mandatory security refers to the enforcement of a set of
  2484.              access control rules that constrains a subject's access to
  2485.              information on the basis of a comparison of that 
  2486.              individual's clearance/authorization to the information,
  2487.              the classification/sensitivity designation of the
  2488.              information, and the form of access being mediated.
  2489.              Mandatory policies either require or can be satisfied by 
  2490.              systems that can enforce a partial ordering of 
  2491.              designations, namely, the designations must form what is
  2492.              mathematically known as a "lattice."[5]
  2493.  
  2494.              A clear implication of the above is that the system must
  2495.              assure that the designations associated with sensitive data
  2496.              cannot be arbitrarily changed, since this could permit 
  2497.              individuals who lack the appropriate authorization to 
  2498.              access sensitive information.  Also implied is the
  2499.              requirement that the system control the flow of information
  2500.              so that data cannot be stored with lower sensitivity 
  2501.              designations unless its "downgrading" has been authorized.
  2502.              The control objective is:
  2503.  
  2504.              MANDATORY SECURITY CONTROL OBJECTIVE
  2505.  
  2506.              SECURITY POLICIES DEFINED FOR SYSTEMS THAT ARE USED TO
  2507.              PROCESS CLASSIFIED OR OTHER SPECIFICALLY CATEGORIZED 
  2508.              SENSITIVE INFORMATION MUST INCLUDE PROVISIONS FOR THE 
  2509.              ENFORCEMENT OF MANDATORY ACCESS CONTROL RULES.  THAT IS,
  2510.              THEY MUST INCLUDE A SET OF RULES FOR CONTROLLING ACCESS 
  2511.              BASED DIRECTLY ON A COMPARISON OF THE INDIVIDUAL'S 
  2512.              CLEARANCE OR AUTHORIZATION FOR THE INFORMATION AND THE 
  2513.              CLASSIFICATION OR SENSITIVITY DESIGNATION OF THE
  2514.              INFORMATION BEING SOUGHT, AND INDIRECTLY ON CONSIDERATIONS
  2515.              OF PHYSICAL AND OTHER ENVIRONMENTAL FACTORS OF CONTROL.  
  2516.              THE MANDATORY ACCESS CONTROL RULES MUST ACCURATELY REFLECT
  2517.              THE LAWS, REGULATIONS, AND GENERAL POLICIES FROM WHICH
  2518.              THEY ARE DERIVED.
  2519.  
  2520.     5.3.1.2  Discretionary Security Policy
  2521.  
  2522.              Discretionary security is the principal type of access
  2523.              control available in computer systems today.  The basis of
  2524.              this kind of security is that an individual user, or
  2525.              program operating on his behalf, is allowed to specify
  2526.              explicitly the types of access other users may have to
  2527.              information under his control.  Discretionary security
  2528.              differs from mandatory security in that it implements an
  2529.              access control policy on the basis of an individual's
  2530.              need-to-know as opposed to mandatory controls which are
  2531.              driven by the classification or sensitivity designation of
  2532.              the information.
  2533.  
  2534.              Discretionary controls are not a replacement for mandatory
  2535.              controls.  In an environment in which information is 
  2536.              classified (as in the DoD) discretionary security provides
  2537.              for a finer granularity of control within the overall
  2538.              constraints of the mandatory policy.  Access to classified
  2539.              information requires effective implementation of both types
  2540.              of controls as precondition to granting that access.  In 
  2541.              general, no person may have access to classified
  2542.              information unless: (a) that person has been determined to
  2543.              be trustworthy, i.e., granted a personnel security 
  2544.              clearance -- MANDATORY, and (b) access is necessary for the
  2545.              performance of official duties, i.e., determined to have a
  2546.              need-to-know -- DISCRETIONARY.  In other words, 
  2547.              discretionary controls give individuals discretion to 
  2548.              decide on which of the permissible accesses will actually
  2549.              be allowed to which users, consistent with overriding
  2550.              mandatory policy restrictions.  The control objective is:
  2551.  
  2552.              DISCRETIONARY SECURITY CONTROL OBJECTIVE
  2553.  
  2554.              SECURITY POLICIES DEFINED FOR SYSTEMS THAT ARE USED TO
  2555.              PROCESS CLASSIFIED OR OTHER SENSITIVE INFORMATION MUST 
  2556.              INCLUDE PROVISIONS FOR THE ENFORCEMENT OF DISCRETIONARY
  2557.              ACCESS CONTROL RULES.  THAT IS, THEY MUST INCLUDE A
  2558.              CONSISTENT SET OF RULES FOR CONTROLLING AND LIMITING ACCESS
  2559.              BASED ON IDENTIFIED INDIVIDUALS WHO HAVE BEEN DETERMINED TO
  2560.              HAVE A NEED-TO-KNOW FOR THE INFORMATION.
  2561.  
  2562.     5.3.1.3  Marking
  2563.  
  2564.              To implement a set of mechanisms that will put into effect
  2565.              a mandatory security policy, it is necessary that the 
  2566.              system mark information with appropriate classification or
  2567.              sensitivity labels and maintain these markings as the
  2568.              information moves through the system.  Once information is
  2569.              unalterably and accurately marked, comparisons required by
  2570.              the mandatory access control rules can be accurately and
  2571.              consistently made.  An additional benefit of having the
  2572.              system maintain the classification or sensitivity label
  2573.              internally is the ability to automatically generate 
  2574.              properly "labeled" output.  The labels, if accurately and
  2575.              integrally maintained by the system, remain accurate when
  2576.              output from the system.  The control objective is:
  2577.  
  2578.              MARKING CONTROL OBJECTIVE
  2579.  
  2580.              SYSTEMS THAT ARE DESIGNED TO ENFORCE A MANDATORY SECURITY
  2581.              POLICY MUST STORE AND PRESERVE THE INTEGRITY OF 
  2582.              CLASSIFICATION OR OTHER SENSITIVITY LABELS FOR ALL 
  2583.              INFORMATION.  LABELS EXPORTED FROM THE SYSTEM MUST BE
  2584.              ACCURATE REPRESENTATIONS OF THE CORRESPONDING INTERNAL 
  2585.              SENSITIVITY LABELS BEING EXPORTED.
  2586.  
  2587.      5.3.2  Accountability
  2588.  
  2589.       The second basic control objective addresses one of the
  2590.       fundamental principles of security, i.e., individual 
  2591.       accountability.  Individual accountability is the key to securing
  2592.       and controlling any system that processes information on behalf
  2593.       of individuals or groups of individuals.  A number of requirements
  2594.       must be met in order to satisfy this objective.
  2595.  
  2596.       The first requirement is for individual user identification.
  2597.       Second, there is a need for authentication of the identification.
  2598.       Identification is functionally dependent on authentication.  
  2599.       Without authentication, user identification has no credibility.  
  2600.       Without a credible identity, neither mandatory nor discretionary
  2601.       security policies can be properly invoked because there is no
  2602.       assurance that proper authorizations can be made.
  2603.  
  2604.       The third requirement is for dependable audit capabilities.  That
  2605.       is, a trusted computer system must provide authorized personnel 
  2606.       with the ability to audit any action that can potentially cause
  2607.       access to, generation of, or effect the release of classified or
  2608.       sensitive information.  The audit data will be selectively 
  2609.       acquired based on the auditing needs of a particular installation
  2610.       and/or application.  However, there must be sufficient granularity
  2611.       in the audit data to support tracing the auditable events to a
  2612.       specific individual who has taken the actions or on whose behalf
  2613.       the actions were taken.  The control objective is:
  2614.  
  2615.       ACCOUNTABILITY CONTROL OBJECTIVE
  2616.  
  2617.       SYSTEMS THAT ARE USED TO PROCESS OR HANDLE CLASSIFIED OR OTHER
  2618.       SENSITIVE INFORMATION MUST ASSURE INDIVIDUAL ACCOUNTABILITY 
  2619.       WHENEVER EITHER A MANDATORY OR DISCRETIONARY SECURITY POLICY IS
  2620.       INVOKED.  FURTHERMORE, TO ASSURE ACCOUNTABILITY THE CAPABILITY 
  2621.       MUST EXIST FOR AN AUTHORIZED AND COMPETENT AGENT TO ACCESS AND
  2622.       EVALUATE ACCOUNTABILITY INFORMATION BY A SECURE MEANS, WITHIN A
  2623.       REASONABLE AMOUNT OF TIME, AND WITHOUT UNDUE DIFFICULTY.
  2624.  
  2625.      5.3.3  Assurance
  2626.  
  2627.       The third basic control objective is concerned with guaranteeing
  2628.       or providing confidence that the security policy has been 
  2629.       implemented correctly and that the protection-relevant elements of
  2630.       the system do, indeed, accurately mediate and enforce the intent
  2631.       of that policy.  By extension, assurance must include a guarantee
  2632.       that the trusted portion of the system works only as intended.  To
  2633.       accomplish these objectives, two types of assurance are needed.
  2634.       They are life-cycle assurance and operational assurance.
  2635.  
  2636.       Life-cycle assurance refers to steps taken by an organization to
  2637.       ensure that the system is designed, developed, and maintained 
  2638.       using formalized and rigorous controls and standards.[17]  
  2639.       Computer systems that process and store sensitive or classified
  2640.       information depend on the hardware and software to protect that
  2641.       information.  It follows that the hardware and software themselves
  2642.       must be protected against unauthorized changes that could cause
  2643.       protection mechanisms to malfunction or be bypassed completely.  
  2644.       For this reason trusted computer systems must be carefully 
  2645.       evaluated and tested during the design and development phases and
  2646.       reevaluated whenever changes are made that could affect the
  2647.       integrity of the protection mechanisms.  Only in this way can
  2648.       confidence be provided that the hardware and software 
  2649.       interpretation of the security policy is maintained accurately 
  2650.       and without distortion.
  2651.  
  2652.       While life-cycle assurance is concerned with procedures for
  2653.       managing system design, development, and maintenance; operational
  2654.       assurance focuses on features and system architecture used to
  2655.       ensure that the security policy is uncircumventably enforced
  2656.       during system operation.  That is, the security policy must be
  2657.       integrated into the hardware and software protection features of
  2658.       the system.  Examples of steps taken to provide this kind of
  2659.       confidence include: methods for testing the operational hardware 
  2660.       and software for correct operation, isolation of protection-
  2661.       critical code, and the use of hardware and software to provide
  2662.       distinct domains.  The control objective is:
  2663.  
  2664.       ASSURANCE CONTROL OBJECTIVE
  2665.  
  2666.       SYSTEMS THAT ARE USED TO PROCESS OR HANDLE CLASSIFIED OR OTHER
  2667.       SENSITIVE INFORMATION MUST BE DESIGNED TO GUARANTEE CORRECT AND
  2668.       ACCURATE INTERPRETATION OF THE SECURITY POLICY AND MUST NOT 
  2669.       DISTORT THE INTENT OF THAT POLICY.  ASSURANCE MUST BE PROVIDED
  2670.       THAT CORRECT IMPLEMENTATION AND OPERATION OF THE POLICY EXISTS
  2671.       THROUGHOUT THE SYSTEM'S LIFE-CYCLE.  
  2672.  
  2673.  
  2674. 6.0 RATIONALE BEHIND THE EVALUATION CLASSES
  2675.  
  2676. 6.1  The Reference Monitor Concept
  2677.  
  2678. In October of 1972, the Computer Security Technology Planning Study, conducted
  2679. by James P.  Anderson & Co., produced a report for the Electronic Systems
  2680. Division (ESD) of the United States Air Force.[1]  In that report, the concept
  2681. of "a reference monitor which enforces the authorized access relationships
  2682. between subjects and objects of a system" was introduced.  The reference
  2683. monitor concept was found to be an essential element of any system that would
  2684. provide multilevel secure computing facilities and controls.
  2685.  
  2686. The Anderson report went on to define the reference validation mechanism as
  2687. "an implementation of the reference monitor concept .  .  .  that validates
  2688. each reference to data or programs by any user (program) against a list of
  2689. authorized types of reference for that user." It then listed the three design
  2690. requirements that must be met by a reference validation mechanism:
  2691.  
  2692.     a. The reference validation mechanism must be tamper proof.
  2693.  
  2694.     b. The reference validation mechanism must always be invoked.
  2695.  
  2696.     c. The reference validation mechanism must be small enough to be
  2697.        subject to analysis and tests, the completeness of which can 
  2698.        be assured."[1]
  2699.  
  2700. Extensive peer review and continuing research and development activities have
  2701. sustained the validity of the Anderson Committee's findings.  Early examples
  2702. of the reference validation mechanism were known as security kernels.  The
  2703. Anderson Report described the security kernel as "that combination of hardware
  2704. and software which implements the reference monitor concept."[1]  In this vein,
  2705. it will be noted that the security kernel must support the three reference
  2706. monitor requirements listed above.
  2707.  
  2708. 6.2  A Formal Security Policy Model
  2709.  
  2710. Following the publication of the Anderson report, considerable research was
  2711. initiated into formal models of security policy requirements and of the
  2712. mechanisms that would implement and enforce those policy models as a security
  2713. kernel.  Prominent among these efforts was the ESD-sponsored development of
  2714. the Bell and LaPadula model, an abstract formal treatment of DoD security
  2715. policy.[2]  Using mathematics and set theory, the model precisely defines the
  2716. notion of secure state, fundamental modes of access, and the rules for
  2717. granting subjects specific modes of access to objects.  Finally, a theorem is
  2718. proven to demonstrate that the rules are security-preserving operations, so
  2719. that the application of any sequence of the rules to a system that is in a
  2720. secure state will result in the system entering a new state that is also
  2721. secure.  This theorem is known as the Basic Security Theorem.
  2722.  
  2723. The Bell and LaPadula model defines a relationship between clearances of
  2724. subjects and classifications of system objects, now referenced as the
  2725. "dominance relation." From this definition, accesses permitted between
  2726. subjects and objects are explicitly defined for the fundamental modes of
  2727. access, including read-only access, read/write access, and write-only access.
  2728. The model defines the Simple Security Condition to control granting a subject
  2729. read access to a specific object, and the *-Property (read "Star Property") to
  2730. control granting a subject write access to a specific object.  Both the Simple
  2731. Security Condition and the *-Property include mandatory security provisions
  2732. based on the dominance relation between the clearance of the subject and the
  2733. classification of the object.  The Discretionary Security Property is also
  2734. defined, and requires that a specific subject be authorized for the particular
  2735. mode of access required for the state transition.  In its treatment of
  2736. subjects (processes acting on behalf of a user), the model distinguishes
  2737. between trusted subjects (i.e., not constrained within the model by the
  2738. *-Property) and untrusted subjects (those that are constrained by the
  2739. *-Property).
  2740.  
  2741. From the Bell and LaPadula model there evolved a model of the method of proof
  2742. required to formally demonstrate that all arbitrary sequences of state
  2743. transitions are security-preserving.  It was also shown that the *- Property
  2744. is sufficient to prevent the compromise of information by Trojan Horse
  2745. attacks.
  2746.  
  2747. 6.3  The Trusted Computing Base
  2748.  
  2749. In order to encourage the widespread commercial availability of trusted
  2750. computer systems, these evaluation criteria have been designed to address
  2751. those systems in which a security kernel is specifically implemented as well
  2752. as those in which a security kernel has not been implemented.  The latter case
  2753. includes those systems in which objective (c) is not fully supported because
  2754. of the size or complexity of the reference validation mechanism.  For
  2755. convenience, these evaluation criteria use the term Trusted Computing Base to
  2756. refer to the reference validation mechanism, be it a security kernel,
  2757. front-end security filter, or the entire trusted computer system.
  2758.  
  2759. The heart of a trusted computer system is the Trusted Computing Base (TCB)
  2760. which contains all of the elements of the system responsible for supporting
  2761. the security policy and supporting the isolation of objects (code and data) on
  2762. which the protection is based.  The bounds of the TCB equate to the "security
  2763. perimeter" referenced in some computer security literature.  In the interest
  2764. of understandable and maintainable protection, a TCB should be as simple as
  2765. possible consistent with the functions it has to perform.  Thus, the TCB
  2766. includes hardware, firmware, and software critical to protection and must be
  2767. designed and implemented such that system elements excluded from it need not
  2768. be trusted to maintain protection.  Identification of the interface and
  2769. elements of the TCB along with their correct functionality therefore forms the
  2770. basis for evaluation.
  2771.  
  2772. For general-purpose systems, the TCB will include key elements of the
  2773. operating system and may include all of the operating system.  For embedded
  2774. systems, the security policy may deal with objects in a way that is meaningful
  2775. at the application level rather than at the operating system level.  Thus, the
  2776. protection policy may be enforced in the application software rather than in
  2777. the underlying operating system.  The TCB will necessarily include all those
  2778. portions of the operating system and application software essential to the
  2779. support of the policy.  Note that, as the amount of code in the TCB increases,
  2780. it becomes harder to be confident that the TCB enforces the reference monitor
  2781. requirements under all circumstances.
  2782.  
  2783. 6.4  Assurance
  2784.  
  2785. The third reference monitor design objective is currently interpreted as
  2786. meaning that the TCB "must be of sufficiently simple organization and
  2787. complexity to be subjected to analysis and tests, the completeness of which
  2788. can be assured."
  2789.  
  2790. Clearly, as the perceived degree of risk increases (e.g., the range of
  2791. sensitivity of the system's protected data, along with the range of clearances
  2792. held by the system's user population) for a particular system's operational
  2793. application and environment, so also must the assurances be increased to
  2794. substantiate the degree of trust that will be placed in the system.  The
  2795. hierarchy of requirements that are presented for the evaluation classes in the
  2796. trusted computer system evaluation criteria reflect the need for these
  2797. assurances.
  2798.  
  2799. As discussed in Section 5.3, the evaluation criteria uniformly require a
  2800. statement of the security policy that is enforced by each trusted computer
  2801. system.  In addition, it is required that a convincing argument be presented
  2802. that explains why the TCB satisfies the first two design requirements for a
  2803. reference monitor.  It is not expected that this argument will be entirely
  2804. formal.  This argument is required for each candidate system in order to
  2805. satisfy the assurance control objective.
  2806.  
  2807. The systems to which security enforcement mechanisms have been added, rather
  2808. than built-in as fundamental design objectives, are not readily amenable to
  2809. extensive analysis since they lack the requisite conceptual simplicity of a
  2810. security kernel.  This is because their TCB extends to cover much of the
  2811. entire system.  Hence, their degree of trustworthiness can best be ascertained
  2812. only by obtaining test results.  Since no test procedure for something as
  2813. complex as a computer system can be truly exhaustive, there is always the
  2814. possibility that a subsequent penetration attempt could succeed.  It is for
  2815. this reason that such systems must fall into the lower evaluation classes.
  2816.  
  2817. On the other hand, those systems that are designed and engineered to support
  2818. the TCB concepts are more amenable to analysis and structured testing.  Formal
  2819. methods can be used to analyze the correctness of their reference validation
  2820. mechanisms in enforcing the system's security policy.  Other methods,
  2821. including less-formal arguments, can be used in order to substantiate claims
  2822. for the completeness of their access mediation and their degree of
  2823. tamper-resistance.  More confidence can be placed in the results of this
  2824. analysis and in the thoroughness of the structured testing than can be placed
  2825. in the results for less methodically structured systems.  For these reasons,
  2826. it appears reasonable to conclude that these systems could be used in
  2827. higher-risk environments.  Successful implementations of such systems would be
  2828. placed in the higher evaluation classes.
  2829.  
  2830. 6.5  The Classes
  2831.  
  2832. It is highly desirable that there be only a small number of overall evaluation
  2833. classes.  Three major divisions have been identified in the evaluation
  2834. criteria with a fourth division reserved for those systems that have been
  2835. evaluated and found to offer unacceptable security protection.  Within each
  2836. major evaluation division, it was found that "intermediate" classes of trusted
  2837. system design and development could meaningfully be defined.  These
  2838. intermediate classes have been designated in the criteria because they
  2839. identify systems that:
  2840.  
  2841.     * are viewed to offer significantly better protection and assurance
  2842.       than would systems that satisfy the basic requirements for their
  2843.       evaluation class; and
  2844.  
  2845.     * there is reason to believe that systems in the intermediate
  2846.       evaluation classes could eventually be evolved such that they 
  2847.       would satisfy the requirements for the next higher evaluation 
  2848.       class.
  2849.  
  2850. Except within division A it is not anticipated that additional "intermediate"
  2851. evaluation classes satisfying the two characteristics described above will be
  2852. identified.
  2853.  
  2854. Distinctions in terms of system architecture, security policy enforcement, and
  2855. evidence of credibility between evaluation classes have been defined such that
  2856. the "jump" between evaluation classes would require a considerable investment
  2857. of effort on the part of implementors.  Correspondingly, there are expected to
  2858. be significant differentials of risk to which systems from the higher
  2859. evaluation classes will be exposed.
  2860.  
  2861.  
  2862. 7.0  THE RELATIONSHIP BETWEEN POLICY AND THE CRITERIA
  2863.  
  2864. Section 1 presents fundamental computer security requirements and Section 5
  2865. presents the control objectives for Trusted Computer Systems.  They are
  2866. general requirements, useful and necessary, for the development of all secure
  2867. systems.  However, when designing systems that will be used to process
  2868. classified or other sensitive information, functional requirements for meeting
  2869. the Control Objectives become more specific.  There is a large body of policy
  2870. laid down in the form of Regulations, Directives, Presidential Executive
  2871. Orders, and OMB Circulars that form the basis of the procedures for the
  2872. handling and processing of Federal information in general and classified
  2873. information specifically.  This section presents pertinent excerpts from these
  2874. policy statements and discusses their relationship to the Control Objectives.
  2875.  
  2876.  
  2877. 7.1  Established Federal Policies
  2878.  
  2879. A significant number of computer security policies and associated requirements
  2880. have been promulgated by Federal government elements.  The interested reader
  2881. is referred to reference [32] which analyzes the need for trusted systems in
  2882. the civilian agencies of the Federal government, as well as in state and local
  2883. governments and in the private sector.  This reference also details a number
  2884. of relevant Federal statutes, policies and requirements not treated further
  2885. below.
  2886.  
  2887. Security guidance for Federal automated information systems is provided by the
  2888. Office of Management and Budget.  Two specifically applicable Circulars have
  2889. been issued.  OMB Circular No.  A-71, Transmittal Memorandum No.  1, "Security
  2890. of Federal Automated Information Systems,"[26] directs each executive agency
  2891. to establish and maintain a computer security program.  It makes the head of
  2892. each executive branch, department and agency responsible "for assuring an
  2893. adequate level of security for all agency data whether processed in-house or
  2894. commercially.  This includes responsibility for the establishment of physical,
  2895. administrative and technical safeguards required to adequately protect
  2896. personal, proprietary or other sensitive data not subject to national security
  2897. regulations, as well as national security data."[26, para. 4 p. 2]
  2898.  
  2899. OMB Circular No.  A-123, "Internal Control Systems,"[27] issued to help
  2900. eliminate fraud, waste, and abuse in government programs requires: (a) agency
  2901. heads to issue internal control directives and assign responsibility, (b)
  2902. managers to review programs for vulnerability, and (c) managers to perform
  2903. periodic reviews to evaluate strengths and update controls.  Soon after
  2904. promulgation of OMB Circular A-123, the relationship of its internal control
  2905. requirements to building secure computer systems was recognized.[4] While not
  2906. stipulating computer controls specifically, the definition of Internal
  2907. Controls in A-123 makes it clear that computer systems are to be included:
  2908.  
  2909.      "Internal Controls - The plan of organization and all of the methods and
  2910.       measures adopted within an agency to safeguard its resources, assure the
  2911.       accuracy and reliability of its information, assure adherence to 
  2912.       applicable laws, regulations and policies, and promote operational 
  2913.       economy and efficiency."[27, sec. 4.C]
  2914.  
  2915. The matter of classified national security information processed by ADP
  2916. systems was one of the first areas given serious and extensive concern in
  2917. computer security.  The computer security policy documents promulgated as a
  2918. result contain generally more specific and structured requirements than most,
  2919. keyed in turn to an authoritative basis that itself provides a rather clearly
  2920. articulated and structured information security policy.  This basis, Executive
  2921. Order 12356, "National Security Information," sets forth requirements for the
  2922. classification, declassification and safeguarding of "national security
  2923. information" per se.[14]
  2924.  
  2925. 7.2  DoD Policies
  2926.  
  2927. Within the Department of Defense, these broad requirements are implemented and
  2928. further specified primarily through two vehicles: 1) DoD Regulation 5200.1-R
  2929. [7], which applies to all components of the DoD as such, and 2) DoD 5220.22-M,
  2930. "Industrial Security Manual for Safeguarding Classified Information" [11],
  2931. which applies to contractors included within the Defense Industrial Security
  2932. Program.  Note that the latter transcends DoD as such, since it applies not
  2933. only to any contractors handling classified information for any DoD component,
  2934. but also to the contractors of eighteen other Federal organizations for whom
  2935. the Secretary of Defense is authorized to act in rendering industrial security
  2936. services.*
  2937.  
  2938.            ____________________________________________________________
  2939.            * i.e., NASA, Commerce Department, GSA, State Department,
  2940.            Small Business Administration, National Science Foundation,
  2941.            Treasury Department, Transportation Department, Interior
  2942.            Department, Agriculture Department, Health and Human
  2943.            Services Department, Labor Department, Environmental
  2944.            Protection Agency, Justice Department, U.S. Arms Control and
  2945.            Disarmament Agency, Federal Emergency Management Agency,
  2946.            Federal Reserve System, and U.S. General Accounting Office.
  2947.            ____________________________________________________________
  2948.  
  2949.  
  2950. For ADP systems, these information security requirements are further amplified
  2951. and specified in: 1) DoD Directive 5200.28 [8] and DoD Manual 5200.28-M [9],
  2952. for DoD components; and 2) Section XIII of DoD 5220.22-M [11] for contractors.
  2953. DoD Directive 5200.28, "Security Requirements for Automatic Data Processing
  2954. (ADP) Systems," stipulates: "Classified material contained in an ADP system
  2955. shall be safeguarded by the continuous employment of protective features in
  2956. the system's hardware and software design and configuration .  .  .  ."[8,
  2957. sec.  IV] Furthermore, it is required that ADP systems that "process, store,
  2958. or use classified data and produce classified information will, with
  2959. reasonable dependability, prevent:
  2960.  
  2961.      a.  Deliberate or inadvertent access to classified material by
  2962.          unauthorized persons, and
  2963.  
  2964.      b.  Unauthorized manipulation of the computer and its associated
  2965.          peripheral devices."[8, sec. I B.3]
  2966.  
  2967. Requirements equivalent to these appear within DoD 5200.28-M [9] and in DoD
  2968. 5220.22-M [11].
  2969.  
  2970. From requirements imposed by these regulations, directives and circulars, the
  2971. three components of the Security Policy Control Objective, i.e., Mandatory and
  2972. Discretionary Security and Marking, as well as the Accountability and
  2973. Assurance Control Objectives, can be functionally defined for DoD
  2974. applications.  The following discussion provides further specificity in Policy
  2975. for these Control Objectives.
  2976.  
  2977. 7.3  Criteria Control Objective for Security Policy
  2978.  
  2979.      7.3.1  Marking
  2980.  
  2981.       The control objective for marking is: "Systems that are designed
  2982.       to enforce a mandatory security policy must store and preserve the
  2983.       integrity of classification or other sensitivity labels for all 
  2984.       information.  Labels exported from the system must be accurate 
  2985.       representations of the corresonding internal sensitivity labels
  2986.       being exported."
  2987.  
  2988.       DoD 5220.22-M, "Industrial Security Manual for Safeguarding
  2989.       Classified Information," explains in paragraph 11 the reasons for 
  2990.       marking information:
  2991.  
  2992.            "Designation by physical marking, notation or other means
  2993.            serves to inform and to warn the holder about the 
  2994.            classification designation of the information which requires
  2995.            protection in the interest of national security.  The degree
  2996.            of protection against unauthorized disclosure which will be
  2997.            required for a particular level of classification is directly
  2998.            commensurate with the marking designation which is assigned 
  2999.            to the material."[11]
  3000.  
  3001.       Marking requirements are given in a number of policy statements.
  3002.  
  3003.       Executive Order 12356 (Sections 1.5.a and 1.5.a.1) requires that
  3004.       classification markings "shall be shown on the face of all 
  3005.       classified documents, or clearly associated with other forms of 
  3006.       classified information in a manner appropriate to the medium 
  3007.       involved."[14]
  3008.  
  3009.       DoD Regulation 5200.1-R (Section 1-500) requires that: ".  .  .
  3010.       information or material that requires protection against 
  3011.       unauthorized disclosure in the interest of national security shall
  3012.       be classified in one of three designations, namely: 'Top Secret,'
  3013.       'Secret' or 'Confidential.'"[7] (By extension, for use in computer
  3014.       processing, the unofficial designation "Unclassified" is used to
  3015.       indicate information that does not fall under one of the other
  3016.       three designations of classified information.)
  3017.  
  3018.       DoD Regulation 5200.1-R (Section 4-304b) requires that: "ADP
  3019.       systems and word processing systems employing such media shall 
  3020.       provide for internal classification marking to assure that 
  3021.       classified information contained therein that is reproduced or 
  3022.       generated, will bear applicable classification and associated
  3023.       markings." (This regulation provides for the exemption of certain
  3024.       existing systems where "internal classification and applicable
  3025.       associated markings cannot be implemented without extensive system
  3026.       modifications."[7]  However, it is clear that future DoD ADP 
  3027.       systems must be able to provide applicable and accurate labels for
  3028.       classified and other sensitive information.)
  3029.  
  3030.       DoD Manual 5200.28-M (Section IV, 4-305d) requires the following:
  3031.       "Security Labels - All classified material accessible by or within
  3032.       the ADP system shall be identified as to its security 
  3033.       classification and access or dissemination limitations, and all
  3034.       output of the ADP system shall be appropriately marked."[9]
  3035.  
  3036.      7.3.2  Mandatory Security
  3037.  
  3038.       The control objective for mandatory security is: "Security
  3039.       policies defined for systems that are used to process classified
  3040.       or other specifically categorized sensitive information must 
  3041.       include provisions for the enforcement of mandatory access control
  3042.       rules.  That is, they must include a set of rules for controlling
  3043.       access based directly on a comparison of the individual's
  3044.       clearance or authorization for the information and the 
  3045.       classification or sensitivity designation of the information being
  3046.       sought, and indirectly on considerations of physical and other 
  3047.       environmental factors of control.  The mandatory access control
  3048.       rules must accurately reflect the laws, regulations, and general
  3049.       policies from which they are derived."
  3050.  
  3051.       There are a number of policy statements that are related to
  3052.       mandatory security.
  3053.  
  3054.       Executive Order 12356 (Section 4.1.a) states that "a person is
  3055.       eligible for access to classified information provided that a 
  3056.       determination of trustworthiness has been made by agency heads or
  3057.       designated officials and provided that such access is essential
  3058.       to the accomplishment of lawful and authorized Government
  3059.       purposes."[14]
  3060.  
  3061.       DoD Regulation 5200.1-R (Chapter I, Section 3) defines a Special
  3062.       Access Program as "any program imposing 'need-to-know' or access
  3063.       controls beyond those normally provided for access to 
  3064.       Confidential, Secret, or Top Secret information.  Such a program
  3065.       includes, but is not limited to, special clearance, adjudication,
  3066.       or investigative requirements, special designation of officials
  3067.       authorized to determine 'need-to-know', or special lists of persons
  3068.       determined to have a 'need-to- know.'"[7, para.  1-328] This
  3069.       passage distinguishes between a 'discretionary' determination of
  3070.       need-to-know and formal need-to-know which is implemented through
  3071.       Special Access Programs.  DoD Regulation 5200.1-R, paragraph 7-100
  3072.       describes general requirements for trustworthiness (clearance) and
  3073.       need-to-know, and states that the individual with possession,
  3074.       knowledge or control of classified information has final
  3075.       responsibility for determining if conditions for access have been
  3076.       met.  This regulation further stipulates that "no one has a right
  3077.       to have access to classified information solely by virtue of rank
  3078.       or position." [7, para. 7-100])
  3079.  
  3080.       DoD Manual 5200.28-M (Section II 2-100) states that, "Personnel
  3081.       who develop, test (debug), maintain, or use programs which are 
  3082.       classified or which will be used to access or develop classified
  3083.       material shall have a personnel security clearance and an access
  3084.       authorization (need-to-know), as appropriate for the highest
  3085.       classified and most restrictive category of classified material
  3086.       which they will access under system constraints."[9]
  3087.  
  3088.       DoD Manual 5220.22-M (Paragraph 3.a) defines access as "the
  3089.       ability and opportunity to obtain knowledge of classified 
  3090.       information.  An individual, in fact, may have access to 
  3091.       classified information by being in a place where such information
  3092.       is kept, if the security measures which are in force do not
  3093.       prevent him from gaining knowledge of the classified 
  3094.       information."[11]
  3095.  
  3096.       The above mentioned Executive Order, Manual, Directives and
  3097.       Regulations clearly imply that a trusted computer system must 
  3098.       assure that the classification labels associated with sensitive
  3099.       data cannot be arbitrarily changed, since this could permit
  3100.       individuals who lack the appropriate clearance to access
  3101.       classified information.  Also implied is the requirement that a
  3102.       trusted computer system must control the flow of information so 
  3103.       that data from a higher classification cannot be placed in a 
  3104.       storage object of lower classification unless its "downgrading" 
  3105.       has been authorized.
  3106.  
  3107.      7.3.3  Discretionary Security
  3108.  
  3109.       The term discretionary security refers to a computer system's
  3110.       ability to control information on an individual basis.  It stems
  3111.       from the fact that even though an individual has all the formal 
  3112.       clearances for access to specific classified information, each
  3113.       individual's access to information must be based on a demonstrated
  3114.       need-to-know.  Because of this, it must be made clear that this
  3115.       requirement is not discretionary in a "take it or leave it" sense.
  3116.       The directives and regulations are explicit in stating that the
  3117.       need-to-know test must be satisfied before access can be granted 
  3118.       to the classified information.  The control objective for 
  3119.       discretionary security is: "Security policies defined for systems
  3120.       that are used to process classified or other sensitive information
  3121.       must include provisions for the enforcement of discretionary
  3122.       access control rules.  That is, they must include a consistent set
  3123.       of rules for controlling and limiting access based on identified
  3124.       individuals who have been determined to have a need-to-know for the
  3125.       information."
  3126.  
  3127.       DoD Regulation 5200.1-R (Paragraph 7-100) In addition to excerpts
  3128.       already provided that touch on need-to- know, this section of the
  3129.       regulation stresses the need- to-know principle when it states "no
  3130.       person may have access to classified information unless .  .  .  
  3131.       access is necessary for the performance of official duties."[7]
  3132.  
  3133.       Also, DoD Manual 5220.22-M (Section III 20.a) states that "an
  3134.       individual shall be permitted to have access to classified
  3135.       information only . . . when the contractor determines that access
  3136.       is necessary in the performance of tasks or services essential to
  3137.       the fulfillment of a contract or program, i.e., the individual has
  3138.       a need-to-know."[11]
  3139.  
  3140. 7.4  Criteria Control Objective for Accountability
  3141.  
  3142.      The control objective for accountability is: "Systems that are used to
  3143.      process or handle classified or other sensitive information must assure
  3144.      individual accountability whenever either a mandatory or discretionary
  3145.      security policy is invoked.  Furthermore, to assure accountability the
  3146.      capability must exist for an authorized and competent agent to access and
  3147.      evaluate accountability information by a secure means, within a reasonable
  3148.      amount of time, and without undue difficulty."
  3149.  
  3150.      This control objective is supported by the following citations:
  3151.  
  3152.      DoD Directive 5200.28 (VI.A.1) states: "Each user's identity shall be
  3153.      positively established, and his access to the system, and his activity in
  3154.      the system (including material accessed and actions taken) controlled and
  3155.      open to scrutiny."[8]
  3156.  
  3157.      DoD Manual 5200.28-M (Section V 5-100) states: "An audit log or file
  3158.      (manual, machine, or a combination of both) shall be maintained as a 
  3159.      history of the use of the ADP System to permit a regular security review
  3160.      of system activity.  (e.g., The log should record security related 
  3161.      transactions, including each access to a classified file and the nature 
  3162.      of the access, e.g., logins, production of accountable classified 
  3163.      outputs, and creation of new classified files.  Each classified file
  3164.      successfully accessed [regardless of the number of individual references]
  3165.      during each 'job' or 'interactive session' should also be recorded in the
  3166.      audit log.  Much of the material in this log may also be required to 
  3167.      assure that the system preserves information entrusted to it.)"[9]
  3168.  
  3169.      DoD Manual 5200.28-M (Section IV 4-305f) states: "Where needed to assure
  3170.      control of access and individual accountability, each user or specific 
  3171.      group of users shall be identified to the ADP System by appropriate 
  3172.      administrative or hardware/software measures.  Such identification 
  3173.      measures must be in sufficient detail to enable the ADP System to provide
  3174.      the user only that material which he is authorized."[9]
  3175.  
  3176.      DoD Manual 5200.28-M (Section I 1-102b) states: 
  3177.  
  3178.     "Component's Designated Approving Authorities, or their designees
  3179.      for this purpose .  .  .  will assure:
  3180.  
  3181.                  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
  3182.  
  3183.            (4) Maintenance of documentation on operating systems (O/S)
  3184.            and all modifications thereto, and its retention for a
  3185.            sufficient period of time to enable tracing of security-
  3186.            related defects to their point of origin or inclusion in the
  3187.            system.
  3188.  
  3189.                  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
  3190.  
  3191.            (6) Establishment of procedures to discover, recover,
  3192.            handle, and dispose of classified material improperly
  3193.            disclosed through system malfunction or personnel action.
  3194.  
  3195.            (7) Proper disposition and correction of security
  3196.            deficiencies in all approved ADP Systems, and the effective
  3197.            use and disposition of system housekeeping or audit records,
  3198.            records of security violations or security-related system
  3199.            malfunctions, and records of tests of the security features
  3200.            of an ADP System."[9]
  3201.  
  3202.      DoD Manual 5220.22-M (Section XIII 111) states: "Audit Trails
  3203.  
  3204.            a. The general security requirement for any ADP system audit
  3205.            trail is that it provide a documented history of the use of
  3206.            the system.  An approved audit trail will permit review of
  3207.            classified system activity and will provide a detailed
  3208.            activity record to facilitate reconstruction of events to
  3209.            determine the magnitude of compromise (if any) should a
  3210.            security malfunction occur.  To fulfill this basic
  3211.            requirement, audit trail systems, manual, automated or a
  3212.            combination of both must document significant events
  3213.            occurring in the following areas of concern: (i) preparation
  3214.            of input data and dissemination of output data (i.e.,
  3215.            reportable interactivity between users and system support
  3216.            personnel), (ii) activity involved within an ADP environment
  3217.            (e.g., ADP support personnel modification of security and
  3218.            related controls), and (iii) internal machine activity.
  3219.  
  3220.            b. The audit trail for an ADP system approved to process
  3221.            classified information must be based on the above three
  3222.            areas and may be stylized to the particular system.  All
  3223.            systems approved for classified processing should contain
  3224.            most if not all of the audit trail records listed below. The
  3225.            contractor's SPP documentation must identify and describe
  3226.            those applicable:
  3227.  
  3228.                       1. Personnel access;
  3229.  
  3230.                       2. Unauthorized and surreptitious entry into the
  3231.            central computer facility or remote terminal areas;
  3232.  
  3233.                       3. Start/stop time of classified processing indicating
  3234.            pertinent systems security initiation and termination events
  3235.            (e.g., upgrading/downgrading actions pursuant to paragraph
  3236.            107);
  3237.  
  3238.                       4. All functions initiated by ADP system console
  3239.            operators;
  3240.  
  3241.                       5. Disconnects of remote terminals and peripheral
  3242.            devices (paragraph 107c);
  3243.  
  3244.                       6. Log-on and log-off user activity;
  3245.  
  3246.                       7. Unauthorized attempts to access files or programs,
  3247.            as well as all open, close, create, and file destroy
  3248.            actions;
  3249.  
  3250.                       8. Program aborts and anomalies including
  3251.            identification information (i.e., user/program name, time
  3252.            and location of incident, etc.);
  3253.  
  3254.                       9. System hardware additions, deletions and maintenance
  3255.            actions;
  3256.  
  3257.                       10. Generations and modifications affecting the
  3258.            security features of the system software.
  3259.  
  3260.            c. The ADP system security supervisor or designee shall
  3261.            review the audit trail logs at least weekly to assure that
  3262.            all pertinent activity is properly recorded and that
  3263.            appropriate action has been taken to correct any anomaly.
  3264.            The majority of ADP systems in use today can develop audit
  3265.            trail systems in accord with the above; however, special
  3266.            systems such as weapons, communications, communications
  3267.            security, and tactical data exchange and display systems,
  3268.            may not be able to comply with all aspects of the above and
  3269.            may require individualized consideration by the cognizant
  3270.            security office.
  3271.  
  3272.            d. Audit trail records shall be retained for a period of one
  3273.            inspection cycle."[11]
  3274.  
  3275. 7.5  Criteria Control Objective for Assurance
  3276.  
  3277.      The control objective for assurance is: "Systems that are used to process
  3278.      or handle classified or other sensitive information must be designed to
  3279.      guarantee correct and accurate interpretation of the security policy and
  3280.      must not distort the intent of that policy.  Assurance must be provided
  3281.      that correct implementation and operation of the policy exists throughout
  3282.      the system's life-cycle."
  3283.  
  3284.      A basis for this objective can be found in the following sections of DoD
  3285.      Directive 5200.28:
  3286.  
  3287.      DoD Directive 5200.28 (IV.B.1) stipulates: "Generally, security of an ADP
  3288.      system is most effective and economical if the system is designed 
  3289.      originally to provide it.  Each Department of Defense Component 
  3290.      undertaking design of an ADP system which is expected to process, store,
  3291.      use, or produce classified material shall:  From the beginning of the 
  3292.      design process, consider the security policies, concepts, and measures
  3293.      prescribed in this Directive."[8]
  3294.  
  3295.      DoD Directive 5200.28 (IV.C.5.a) states: "Provision may be made to permit
  3296.      adjustment of ADP system area controls to the level of protection 
  3297.      required for the classification category and type(s) of material actually
  3298.      being handled by the system, provided change procedures are developed and
  3299.      implemented which will prevent both the unauthorized access to classified
  3300.      material handled by the system and the unauthorized manipulation of the
  3301.      system and its components.  Particular attention shall be given to the
  3302.      continuous protection of automated system security measures, techniques
  3303.      and procedures when the personnel security clearance level of users
  3304.      having access to the system changes."[8]
  3305.  
  3306.      DoD Directive 5200.28 (VI.A.2) states: "Environmental Control.  The ADP
  3307.      System shall be externally protected to minimize the likelihood of
  3308.      unauthorized access to system entry points, access to classified 
  3309.      information in the system, or damage to the system."[8]
  3310.  
  3311.      DoD Manual 5200.28-M (Section I 1-102b) states: 
  3312.  
  3313.     "Component's Designated Approving Authorities, or their designees
  3314.     for this purpose .  .  .  will assure:
  3315.  
  3316.                   .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
  3317.  
  3318.               (5) Supervision, monitoring, and testing, as appropriate, of
  3319.           changes in an approved ADP System which could affect the
  3320.           security features of the system, so that a secure system is
  3321.           maintained.
  3322.  
  3323.                   .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
  3324.  
  3325.               (7) Proper disposition and correction of security
  3326.           deficiencies in all approved ADP Systems, and the effective
  3327.           use and disposition of system housekeeping or audit records,
  3328.           records of security violations or security-related system
  3329.           malfunctions, and records of tests of the security features
  3330.           of an ADP System.
  3331.  
  3332.               (8) Conduct of competent system ST&E, timely review of
  3333.           system ST&E reports, and correction of deficiencies needed
  3334.           to support conditional or final approval or disapproval of
  3335.           an ADP System for the processing of classified information.
  3336.  
  3337.               (9) Establishment, where appropriate, of a central ST&E
  3338.           coordination point for the maintenance of records of
  3339.           selected techniques, procedures, standards, and tests used
  3340.           in the testing and evaluation of security features of ADP
  3341.           Systems which may be suitable for validation and use by
  3342.           other Department of Defense Components."[9]
  3343.  
  3344.      DoD Manual 5220.22-M (Section XIII 103a) requires: "the initial approval,
  3345.      in writing, of the cognizant security office prior to processing any
  3346.      classified information in an ADP system.  This section requires 
  3347.      reapproval by the cognizant security office for major system 
  3348.      modifications made subsequent to initial approval.  Reapprovals will be 
  3349.      required because of (i) major changes in personnel access requirements,
  3350.      (ii) relocation or structural modification of the central computer
  3351.      facility, (iii) additions, deletions or changes to main frame, storage or
  3352.      input/output devices, (iv) system software changes impacting security
  3353.      protection features, (v) any change in clearance, declassification, audit
  3354.      trail or hardware/software maintenance procedures, and (vi) other system
  3355.      changes as determined by the cognizant security office."[11]
  3356.  
  3357.      A major component of assurance, life-cycle assurance, is concerned with
  3358.      testing ADP systems both in the development phase as well as during 
  3359.      operation.  DoD Directive 5215.1 (Section F.2.C.(2)) requires 
  3360.      "evaluations of selected industry and government-developed trusted 
  3361.      computer systems against these criteria."[10]
  3362.  
  3363.  
  3364.  
  3365. 8.0  A GUIDELINE ON COVERT CHANNELS
  3366.  
  3367. A covert channel is any communication channel that can be exploited by a
  3368. process to transfer information in a manner that violates the system's
  3369. security policy.  There are two types of covert channels: storage channels and
  3370. timing channels.  Covert storage channels include all vehicles that would
  3371. allow the direct or indirect writing of a storage location by one process and
  3372. the direct or indirect reading of it by another.  Covert timing channels
  3373. include all vehicles that would allow one process to signal information to
  3374. another process by modulating its own use of system resources in such a way
  3375. that the change in response time observed by the second process would provide
  3376. information.
  3377.  
  3378. From a security perspective, covert channels with low bandwidths represent a
  3379. lower threat than those with high bandwidths.  However, for many types of
  3380. covert channels, techniques used to reduce the bandwidth below a certain rate
  3381. (which depends on the specific channel mechanism and the system architecture)
  3382. also have the effect of degrading the performance provided to legitimate
  3383. system users.  Hence, a trade-off between system performance and covert
  3384. channel bandwidth must be made.  Because of the threat of compromise that
  3385. would be present in any multilevel computer system containing classified or
  3386. sensitive information, such systems should not contain covert channels with
  3387. high bandwidths.  This guideline is intended to provide system developers with
  3388. an idea of just how high a "high" covert channel bandwidth is.
  3389.  
  3390. A covert channel bandwidth that exceeds a rate of one hundred (100) bits per
  3391. second is considered "high" because 100 bits per second is the approximate
  3392. rate at which many computer terminals are run.  It does not seem appropriate
  3393. to call a computer system "secure" if information can be compromised at a rate
  3394. equal to the normal output rate of some commonly used device.
  3395.  
  3396. In any multilevel computer system there are a number of relatively
  3397. low-bandwidth covert channels whose existence is deeply ingrained in the
  3398. system design.  Faced with the large potential cost of reducing the bandwidths
  3399. of such covert channels, it is felt that those with maximum bandwidths of less
  3400. than one (1) bit per second are acceptable in most application environments.
  3401. Though maintaining acceptable performance in some systems may make it
  3402. impractical to eliminate all covert channels with bandwidths of 1 or more bits
  3403. per second, it is possible to audit their use without adversely affecting
  3404. system performance.  This audit capability provides the system administration
  3405. with a means of detecting -- and procedurally correcting -- significant
  3406. compromise.  Therefore, a Trusted Computing Base should provide, wherever
  3407. possible, the capability to audit the use of covert channel mechanisms with
  3408. bandwidths that may exceed a rate of one (1) bit in ten (10) seconds.
  3409.  
  3410. The covert channel problem has been addressed by a number of authors.  The
  3411. interested reader is referred to references [5], [6], [19], [21], [22], [23],
  3412. and [29].
  3413.  
  3414.  
  3415.  
  3416. 9.0  A GUIDELINE ON CONFIGURING MANDATORY ACCESS CONTROL FEATURES
  3417.  
  3418. The Mandatory Access Control requirement includes a capability to support an
  3419. unspecified number of hierarchical classifications and an unspecified number
  3420. of non-hierarchical categories at each hierarchical level.  To encourage
  3421. consistency and portability in the design and development of the National
  3422. Security Establishment trusted computer systems, it is desirable for all such
  3423. systems to be able to support a minimum number of levels and categories.  The
  3424. following suggestions are provided for this purpose:
  3425.  
  3426.      * The number of hierarchical classifications should be greater than or
  3427.        equal to eight (8).
  3428.  
  3429.      * The number of non-hierarchical categories should be greater than or
  3430.        equal to twenty-nine (29).
  3431.  
  3432.  
  3433.  
  3434. 10.0  A GUIDELINE ON SECURITY TESTING
  3435.  
  3436. These guidelines are provided to give an indication of the extent and
  3437. sophistication of testing undertaken by the DoD Computer Security Center
  3438. during the Formal Product Evaluation process.  Organizations wishing to use
  3439. "Department of Defense Trusted Computer System Evaluation Criteria" for
  3440. performing their own evaluations may find this section useful for planning
  3441. purposes.
  3442.  
  3443. As in Part I, highlighting is used to indicate changes in the guidelines from
  3444. the next lower division.
  3445.  
  3446. 10.1  Testing for Division C
  3447.  
  3448.      10.1.1   Personnel
  3449.  
  3450.         The security testing team shall consist of at least two
  3451.         individuals with bachelor degrees in Computer Science or the
  3452.         equivalent.  Team members shall be able to follow test plans
  3453.         prepared by the system developer and suggest additions, shall
  3454.         be familiar with the "flaw hypothesis" or equivalent security
  3455.         testing methodology, and shall have assembly level programming
  3456.         experience.  Before testing begins, the team members shall have
  3457.         functional knowledge of, and shall have completed the system 
  3458.         developer's internals course for, the system being evaluated.
  3459.  
  3460.      10.1.2   Testing
  3461.  
  3462.         The team shall have "hands-on" involvement in an independent run
  3463.         of the tests used by the system developer.  The team shall 
  3464.         independently design and implement at least five system-specific
  3465.         tests in an attempt to circumvent the security mechanisms of the
  3466.         system.  The elapsed time devoted to testing shall be at least
  3467.         one month and need not exceed three months.  There shall be no
  3468.         fewer than twenty hands-on hours spent carrying out system
  3469.         developer-defined tests and test team-defined tests.
  3470.  
  3471. 10.2  Testing for Division B
  3472.  
  3473.      10.2.1   Personnel
  3474.  
  3475.         The security testing team shall consist of at least two
  3476.         individuals with bachelor degrees in Computer Science or the 
  3477.         equivalent and at least one individual with a master's degree in
  3478.         Computer Science or equivalent.  Team members shall be able to
  3479.         follow test plans prepared by the system developer and suggest
  3480.         additions, shall be conversant with the "flaw hypothesis" or
  3481.         equivalent security testing methodology, shall be fluent in the
  3482.         TCB implementation language(s), and shall have assembly level 
  3483.         programming experience.  Before testing begins, the team members
  3484.         shall have functional knowledge of, and shall have completed the
  3485.         system developer's internals course for, the system being
  3486.         evaluated.  At least one team member shall have previously
  3487.         completed a security test on another system.
  3488.  
  3489.      10.2.2   Testing
  3490.  
  3491.         The team shall have "hands-on" involvement in an independent run
  3492.         of the test package used by the system developer to test 
  3493.         security-relevant hardware and software.  The team shall
  3494.         independently design and implement at least fifteen system-
  3495.         specific tests in an attempt to circumvent the security
  3496.         mechanisms of the system.  The elapsed time devoted to testing 
  3497.         shall be at least two months and need not exceed four months.  
  3498.         There shall be no fewer than thirty hands-on hours per team
  3499.         member spent carrying out system developer-defined tests and
  3500.         test team-defined tests.
  3501.  
  3502. 10.3  Testing for Division A
  3503.  
  3504.      10.3.1   Personnel
  3505.  
  3506.         The security testing team shall consist of at least one
  3507.         individual with a bachelor's degree in Computer Science or the 
  3508.         equivalent and at least two individuals with masters' degrees in
  3509.         Computer Science or equivalent.  Team members shall be able to 
  3510.         follow test plans prepared by the system developer and suggest
  3511.         additions, shall be conversant with the "flaw hypothesis" or
  3512.         equivalent security testing methodology, shall be fluent in the
  3513.         TCB implementation language(s), and shall have assembly level 
  3514.         programming experience.  Before testing begins, the team members
  3515.         shall have functional knowledge of, and shall have completed the
  3516.         system developer's internals course for, the system being
  3517.         evaluated.  At least one team member shall be familiar enough
  3518.         with the system hardware to understand the maintenance diagnostic
  3519.         programs and supporting hardware documentation.  At least two 
  3520.         team members shall have previously completed a security test on
  3521.         another system.  At least one team member shall have 
  3522.         demonstrated system level programming competence on the system
  3523.         under test to a level of complexity equivalent to adding a device
  3524.         driver to the system.
  3525.  
  3526.      10.3.2   Testing
  3527.  
  3528.         The team shall have "hands-on" involvement in an independent run
  3529.         of the test package used by the system developer to test 
  3530.         security-relevant hardware and software.  The team shall 
  3531.         independently design and implement at least twenty-five system-
  3532.         specific tests in an attempt to circumvent the security
  3533.         mechanisms of the system.  The elapsed time devoted to testing 
  3534.         shall be at least three months and need not exceed six months.  
  3535.         There shall be no fewer than fifty hands-on hours per team 
  3536.         member spent carrying out system developer-defined tests and
  3537.         test team-defined tests.
  3538.  
  3539.  
  3540.  
  3541.  
  3542.                                     APPENDIX A
  3543.  
  3544.                      Commercial Product Evaluation Process
  3545.  
  3546.  
  3547. "Department of Defense Trusted Computer System Evaluation Criteria" forms the
  3548. basis upon which the Computer Security Center will carry out the commercial
  3549. computer security evaluation process.  This process is focused on commercially
  3550. produced and supported general-purpose operating system products that meet the
  3551. needs of government departments and agencies.  The formal evaluation is aimed
  3552. at "off-the-shelf" commercially supported products and is completely divorced
  3553. from any consideration of overall system performance, potential applications,
  3554. or particular processing environments.  The evaluation provides a key input to
  3555. a computer system security approval/accreditation.  However, it does not
  3556. constitute a complete computer system security evaluation.  A complete study
  3557. (e.g., as in reference [18]) must consider additional factors dealing with the
  3558. system in its unique environment, such as it's proposed security mode of
  3559. operation, specific users, applications, data sensitivity, physical and
  3560. personnel security, administrative and procedural security, TEMPEST, and
  3561. communications security.
  3562.  
  3563. The product evaluation process carried out by the Computer Security Center has
  3564. three distinct elements:
  3565.  
  3566.      * Preliminary Product Evaluation - An informal dialogue between a vendor
  3567.        and the Center in which technical information is exchanged to create a
  3568.        common understanding of the vendor's product, the criteria, and the 
  3569.        rating that may be expected to result from a formal product evaluation.
  3570.  
  3571.      * Formal Product Evaluation - A formal evaluation, by the Center, of a
  3572.        product that is available to the DoD, and that results in that product
  3573.        and its assigned rating being placed on the Evaluated Products List.
  3574.  
  3575.      * Evaluated Products List - A list of products that have been subjected
  3576.        to formal product evaluation and their assigned ratings.
  3577.  
  3578.  
  3579. PRELIMINARY PRODUCT EVALUATION
  3580.  
  3581. Since it is generally very difficult to add effective security measures late
  3582. in a product's life cycle, the Center is interested in working with system
  3583. vendors in the early stages of product design.  A preliminary product
  3584. evaluation allows the Center to consult with computer vendors on computer
  3585. security issues found in products that have not yet been formally announced.
  3586.  
  3587. A preliminary evaluation is typically initiated by computer system vendors who
  3588. are planning new computer products that feature security or major
  3589. security-related upgrades to existing products.  After an initial meeting
  3590. between the vendor and the Center, appropriate non-disclosure agreements are
  3591. executed that require the Center to maintain the confidentiality of any
  3592. proprietary information disclosed to it.  Technical exchange meetings follow
  3593. in which the vendor provides details about the proposed product (particularly
  3594. its internal designs and goals) and the Center provides expert feedback to the
  3595. vendor on potential computer security strengths and weaknesses of the vendor's
  3596. design choices, as well as relevant interpretation of the criteria.  The
  3597. preliminary evaluation is typically terminated when the product is completed
  3598. and ready for field release by the vendor.  Upon termination, the Center
  3599. prepares a wrap-up report for the vendor and for internal distribution within
  3600. the Center.  Those reports containing proprietary information are not
  3601. available to the public.
  3602.  
  3603. During preliminary evaluation, the vendor is under no obligation to actually
  3604. complete or market the potential product.  The Center is, likewise, not
  3605. committed to conduct a formal product evaluation.  A preliminary evaluation
  3606. may be terminated by either the Center or the vendor when one notifies the
  3607. other, in writing, that it is no longer advantageous to continue the
  3608. evaluation.
  3609.  
  3610.  
  3611. FORMAL PRODUCT EVALUATION
  3612.  
  3613. The formal product evaluation provides a key input to certification of a
  3614. computer system for use in National Security Establishment applications and is
  3615. the sole basis for a product being placed on the Evaluated Products List.
  3616.  
  3617. A formal product evaluation begins with a request by a vendor for the Center
  3618. to evaluate a product for which the product itself and accompanying
  3619. documentation needed to meet the requirements defined by this publication are
  3620. complete.  Non-disclosure agreements are executed and a formal product
  3621. evaluation team is formed by the Center.  An initial meeting is then held with
  3622. the vendor to work out the schedule for the formal evaluation.  Since testing
  3623. of the implemented product forms an important part of the evaluation process,
  3624. access by the evaluation team to a working version of the system is negotiated
  3625. with the vendor.  Additional support required from the vendor includes
  3626. complete design documentation, source code, and access to vendor personnel who
  3627. can answer detailed questions about specific portions of the product.  The
  3628. evaluation team tests the product against each requirement, making any
  3629. necessary interpretations of the criteria with respect to the product being
  3630. evaluated.
  3631.  
  3632. The evaluation team writes a two-part final report on their findings about the
  3633. system.  The first part is publicly available (containing no proprietary
  3634. information) and contains the overall class rating assigned to the system and
  3635. the details of the evaluation team's findings when comparing the product
  3636. against the evaluation criteria.  The second part of the evaluation report
  3637. contains vulnerability analyses and other detailed information supporting the
  3638. rating decision.  Since this part may contain proprietary or other sensitive
  3639. information it will be distributed only within the U.S.  Government on a
  3640. strict need-to-know and non- disclosure basis, and to the vendor.  No portion
  3641. of the evaluation results will be withheld from the vendor.
  3642.  
  3643.  
  3644.  
  3645.  
  3646.  
  3647.  
  3648.  
  3649.                                    APPENDIX B
  3650.  
  3651.                    Summary of Evaluation Criteria Divisions
  3652.  
  3653. The divisions of systems recognized under the trusted computer system
  3654. evaluation criteria are as follows.  Each division represents a major
  3655. improvement in the overall confidence one can place in the system to protect
  3656. classified and other sensitive information.
  3657.  
  3658. Division (D):  Minimal Protection
  3659.  
  3660. This division contains only one class.  It is reserved for those systems that
  3661. have been evaluated but that fail to meet the requirements for a higher
  3662. evaluation class.
  3663.  
  3664. Division (C):  Discretionary Protection
  3665.  
  3666. Classes in this division provide for discretionary (need-to-know) protection
  3667. and, through the inclusion of audit capabilities, for accountability of
  3668. subjects and the actions they initiate.
  3669.  
  3670. Division (B):  Mandatory Protection
  3671.  
  3672. The notion of a TCB that preserves the integrity of sensitivity labels and
  3673. uses them to enforce a set of mandatory access control rules is a major
  3674. requirement in this division.  Systems in this division must carry the
  3675. sensitivity labels with major data structures in the system.  The system
  3676. developer also provides the security policy model on which the TCB is based
  3677. and furnishes a specification of the TCB.  Evidence must be provided to
  3678. demonstrate that the reference monitor concept has been implemented.
  3679.  
  3680. Division (A):  Verified Protection
  3681.  
  3682. This division is characterized by the use of formal security verification
  3683. methods to assure that the mandatory and discretionary security controls
  3684. employed in the system can effectively protect classified or other sensitive
  3685. information stored or processed by the system.  Extensive documentation is
  3686. required to demonstrate that the TCB meets the security requirements in all
  3687. aspects of design, development and implementation.
  3688.  
  3689.  
  3690.  
  3691.  
  3692.  
  3693.                                    APPENDIX C
  3694.  
  3695.                     Summary of Evaluation Criteria Classes
  3696.  
  3697. The classes of systems recognized under the trusted computer system evaluation
  3698. criteria are as follows.  They are presented in the order of increasing
  3699. desirablity from a computer security point of view.
  3700.  
  3701. Class (D):  Minimal Protection
  3702.  
  3703. This class is reserved for those systems that have been evaluated but that
  3704. fail to meet the requirements for a higher evaluation class.
  3705.  
  3706. Class (C1):  Discretionary Security Protection
  3707.  
  3708. The Trusted Computing Base (TCB) of a class (C1) system nominally satisfies
  3709. the discretionary security requirements by providing separation of users and
  3710. data.  It incorporates some form of credible controls capable of enforcing
  3711. access limitations on an individual basis, i.e., ostensibly suitable for
  3712. allowing users to be able to protect project or private information and to
  3713. keep other users from accidentally reading or destroying their data.  The
  3714. class (C1) environment is expected to be one of cooperating users processing
  3715. data at the same level(s) of sensitivity.
  3716.  
  3717. Class (C2):  Controlled Access Protection
  3718.  
  3719. Systems in this class enforce a more finely grained discretionary access
  3720. control than (C1) systems, making users individually accountable for their
  3721. actions through login procedures, auditing of security-relevant events, and
  3722. resource isolation.
  3723.  
  3724. Class (B1):  Labeled Security Protection
  3725.  
  3726. Class (B1) systems require all the features required for class (C2).  In
  3727. addition, an informal statement of the security policy model, data labeling,
  3728. and mandatory access control over named subjects and objects must be present.
  3729. The capability must exist for accurately labeling exported information.  Any
  3730. flaws identified by testing must be removed.
  3731.  
  3732. Class (B2):  Structured Protection
  3733.  
  3734. In class (B2) systems, the TCB is based on a clearly defined and documented
  3735. formal security policy model that requires the discretionary and mandatory
  3736. access control enforcement found in class (B1) systems be extended to all
  3737. subjects and objects in the ADP system.  In addition, covert channels are
  3738. addressed.  The TCB must be carefully structured into protection-critical and
  3739. non- protection-critical elements.  The TCB interface is well-defined and the
  3740. TCB design and implementation enable it to be subjected to more thorough
  3741. testing and more complete review.  Authentication mechanisms are strengthened,
  3742. trusted facility management is provided in the form of support for system
  3743. administrator and operator functions, and stringent configuration management
  3744. controls are imposed.  The system is relatively resistant to penetration.
  3745.  
  3746. Class (B3):  Security Domains
  3747.  
  3748. The class (B3) TCB must satisfy the reference monitor requirements that it
  3749. mediate all accesses of subjects to objects, be tamperproof, and be small
  3750. enough to be subjected to analysis and tests.  To this end, the TCB is
  3751. structured to exclude code not essential to security policy enforcement, with
  3752. significant system engineering during TCB design and implementation directed
  3753. toward minimizing its complexity.  A security administrator is supported,
  3754. audit mechanisms are expanded to signal security- relevant events, and system
  3755. recovery procedures are required.  The system is highly resistant to
  3756. penetration.
  3757.  
  3758. Class (A1):  Verified Design
  3759.  
  3760. Systems in class (A1) are functionally equivalent to those in class (B3) in
  3761. that no additional architectural features or policy requirements are added.
  3762. The distinguishing feature of systems in this class is the analysis derived
  3763. from formal design specification and verification techniques and the resulting
  3764. high degree of assurance that the TCB is correctly implemented.  This
  3765. assurance is developmental in nature, starting with a formal model of the
  3766. security policy and a formal top-level specification (FTLS) of the design.  In
  3767. keeping with the extensive design and development analysis of the TCB required
  3768. of systems in class (A1), more stringent configuration management is required
  3769. and procedures are established for securely distributing the system to sites.
  3770. A system security administrator is supported.
  3771.  
  3772.  
  3773.  
  3774.  
  3775.  
  3776.                                    APPENDIX D
  3777.  
  3778.                               Requirement Directory
  3779.  
  3780. This appendix lists requirements defined in "Department of Defense Trusted
  3781. Computer System Evaluation Criteria" alphabetically rather than by class.  It
  3782. is provided to assist in following the evolution of a requirement through the
  3783. classes.  For each requirement, three types of criteria may be present.  Each
  3784. will be preceded by the word: NEW, CHANGE, or ADD to indicate the following:
  3785.  
  3786.               NEW: Any criteria appearing in a lower class are superseded
  3787.                    by the criteria that follow.
  3788.  
  3789.            CHANGE: The criteria that follow have appeared in a lower class
  3790.                    but are changed for this class.  Highlighting is used
  3791.                    to indicate the specific changes to previously stated
  3792.                    criteria.
  3793.  
  3794.               ADD: The criteria that follow have not been required for any
  3795.                    lower class, and are added in this class to the
  3796.                    previously stated criteria for this requirement.
  3797.  
  3798. Abbreviations are used as follows:
  3799.  
  3800.                NR: (No Requirement) This requirement is not included in
  3801.                    this class.
  3802.  
  3803.               NAR: (No Additional Requirements) This requirement does not
  3804.                    change from the previous class.
  3805.  
  3806. The reader is referred to Part I of this document when placing new criteria
  3807. for a requirement into the complete context for that class.
  3808.  
  3809. Figure 1 provides a pictorial summary of the evolution of requirements through
  3810. the classes.
  3811.  
  3812.  
  3813. Audit
  3814.  
  3815.      C1: NR.
  3816.  
  3817.      C2: NEW: The TCB shall be able to create, maintain, and protect from
  3818.          modification or unauthorized access or destruction an audit trail of
  3819.          accesses to the objects it protects.  The audit data shall be 
  3820.          protected by the TCB so that read access to it is limited to those 
  3821.          who are authorized for audit data.  The TCB shall be able to record
  3822.          the following types of events:  use of identification and
  3823.          authentication mechanisms, introduction of objects into a user's
  3824.          address space (e.g., file open, program initiation), deletion of
  3825.          objects, and actions taken by computer operators and system 
  3826.          administrators and/or system security officers.  For each recorded 
  3827.          event, the audit record shall identify: date and time of the event,
  3828.          user, type of event, and success or failure of the event.  For
  3829.          identification/authentication events the origin of request (e.g.,
  3830.          terminal ID) shall be included in the audit record.  For events that
  3831.          introduce an object into a user's address space and for object
  3832.          deletion events the audit record shall include the name of the object.
  3833.          The ADP system administrator shall be able to selectively audit the 
  3834.          actions of any one or more users based on individual identity.
  3835.  
  3836.      B1: CHANGE: For events that introduce an object into a user's address
  3837.          space and for object deletion events the audit record shall include
  3838.          the name of the object and the object's security level.  The ADP 
  3839.          system administrator shall be able to selectively audit the actions 
  3840.          of any one or more users based on individual identity and/or object
  3841.          security level.
  3842.  
  3843.          ADD: The TCB shall also be able to audit any override of
  3844.          human-readable output markings.
  3845.  
  3846.      B2: ADD: The TCB shall be able to audit the identified events that may be
  3847.          used in the exploitation of covert storage channels.
  3848.  
  3849.      B3: ADD: The TCB shall contain a mechanism that is able to monitor the
  3850.          occurrence or accumulation of security auditable events that may 
  3851.          indicate an imminent violation of security policy.  This mechanism 
  3852.          shall be able to immediately notify the security administrator when
  3853.          thresholds are exceeded.
  3854.  
  3855.      A1: NAR.
  3856.  
  3857. Configuration Management
  3858.  
  3859.      C1: NR.
  3860.  
  3861.      C2: NR.
  3862.  
  3863.      B1: NR.
  3864.  
  3865.      B2: NEW: During development and maintenance of the TCB, a configuration
  3866.          management system shall be in place that maintains control of changes
  3867.          to the descriptive top-level specification, other design data, 
  3868.          implementation documentation, source code, the running version of the
  3869.          object code, and test fixtures and documentation.  The configuration
  3870.          management system shall assure a consistent mapping among all
  3871.          documentation and code associated with the current version of the TCB.
  3872.          Tools shall be provided for generation of a new version of the TCB
  3873.          from source code.  Also available shall be tools for comparing a 
  3874.          newly generated version with the previous TCB version in order to
  3875.          ascertain that only the intended changes have been made in the code 
  3876.          that will actually be used as the new version of the TCB.
  3877.  
  3878.      B3: NAR.
  3879.  
  3880.      A1: CHANGE: During the entire life-cycle, i.e., during the design,
  3881.          development, and maintenance of the TCB, a configuration management
  3882.          system shall be in place for all security-relevant hardware, firmware,
  3883.          and software that maintains control of changes to the formal model, 
  3884.          the descriptive and formal top-level specifications, other design
  3885.          data, implementation documentation, source code, the running version
  3886.          of the object code, and test fixtures and documentation.  Also
  3887.          available shall be tools, maintained under strict configuration
  3888.          control, for comparing a newly generated version with the previous
  3889.          TCB version in order to ascertain that only the intended changes have
  3890.          been made in the code that will actually be used as the new version 
  3891.          of the TCB.
  3892.  
  3893.     ADD: A combination of technical, physical, and procedural safeguards
  3894.          shall be used to protect from unauthorized modification or 
  3895.          destruction the master copy or copies of all material used to 
  3896.          generate the TCB.
  3897.  
  3898. Covert Channel Analysis
  3899.  
  3900.      C1: NR.
  3901.  
  3902.      C2: NR.
  3903.  
  3904.      B1: NR.
  3905.  
  3906.      B2: NEW: The system developer shall conduct a thorough search for covert
  3907.          storage channels and make a determination (either by actual 
  3908.          measurement or by engineering estimation) of the maximum bandwidth of
  3909.          each identified channel.  (See the Covert Channels Guideline section.)
  3910.  
  3911.      B3: CHANGE: The system developer shall conduct a thorough search for
  3912.          covert channels and make a determination (either by actual 
  3913.          measurement or by engineering estimation) of the maximum bandwidth 
  3914.          of each identified channel.
  3915.  
  3916.      A1: ADD: Formal methods shall be used in the analysis.
  3917.  
  3918. Design Documentation
  3919.  
  3920.      C1: NEW: Documentation shall be available that provides a description of
  3921.          the manufacturer's philosophy of protection and an explanation of how
  3922.          this philosophy is translated into the TCB.  If the TCB is composed 
  3923.          of distinct modules, the interfaces between these modules shall be 
  3924.          described.
  3925.  
  3926.      C2: NAR.
  3927.  
  3928.      B1: ADD: An informal or formal description of the security policy model
  3929.          enforced by the TCB shall be available and an explanation provided to
  3930.          show that it is sufficient to enforce the security policy.  The 
  3931.          specific TCB protection mechanisms shall be identified and an 
  3932.          explanation given to show that they satisfy the model.
  3933.  
  3934.      B2: CHANGE: The interfaces between the TCB modules shall be described.  A
  3935.          formal description of the security policy model enforced by the TCB 
  3936.          shall be available and proven that it is sufficient to enforce the 
  3937.          security policy.
  3938.  
  3939.          ADD: The descriptive top-level specification (DTLS) shall be shown to
  3940.          be an accurate description of the TCB interface.  Documentation shall
  3941.          describe how the TCB implements the reference monitor concept and 
  3942.          give an explanation why it is tamperproof, cannot be bypassed, and is
  3943.          correctly implemented.  Documentation shall describe how the TCB is 
  3944.          structured to facilitate testing and to enforce least privilege.
  3945.          This documentation shall also present the results of the covert
  3946.          channel analysis and the tradeoffs involved in restricting the
  3947.          channels.  All auditable events that may be used in the exploitation
  3948.          of known covert storage channels shall be identified.  The bandwidths
  3949.          of known covert storage channels, the use of which is not detectable
  3950.          by the auditing mechanisms, shall be provided.  (See the Covert 
  3951.          Channel Guideline section.)
  3952.  
  3953.      B3: ADD: The TCB implementation (i.e., in hardware, firmware, and
  3954.          software) shall be informally shown to be consistent with the DTLS.
  3955.          The elements of the DTLS shall be shown, using informal techniques, 
  3956.          to correspond to the elements of the TCB.
  3957.  
  3958.      A1: CHANGE: The TCB implementation (i.e., in hardware, firmware, and
  3959.          software) shall be informally shown to be consistent with the formal
  3960.          top-level specification (FTLS).  The elements of the FTLS shall be 
  3961.          shown, using informal techniques, to correspond to the elements of 
  3962.          the TCB.
  3963.  
  3964.          ADD: Hardware, firmware, and software mechanisms not dealt with in
  3965.          the FTLS but strictly internal to the TCB (e.g., mapping registers,
  3966.          direct memory access I/O) shall be clearly described.
  3967.  
  3968. Design Specification and Verification
  3969.  
  3970.      C1: NR.
  3971.  
  3972.      C2: NR.
  3973.  
  3974.      B1: NEW: An informal or formal model of the security policy supported by
  3975.          the TCB shall be maintained that is shown to be consistent with its 
  3976.          axioms.
  3977.  
  3978.      B2: CHANGE: A formal model of the security policy supported by the TCB
  3979.          shall be maintained that is proven consistent with its axioms.
  3980.  
  3981.          ADD: A descriptive top-level specification (DTLS) of the TCB shall be
  3982.          maintained that completely and accurately describes the TCB in terms
  3983.          of exceptions, error messages, and effects.  It shall be shown to be
  3984.          an accurate description of the TCB interface.
  3985.  
  3986.      B3: ADD: A convincing argument shall be given that the DTLS is consistent
  3987.          with the model.
  3988.  
  3989.      A1: CHANGE: The FTLS shall be shown to be an accurate description of the
  3990.          TCB interface.  A convincing argument shall be given that the DTLS is
  3991.          consistent with the model and a combination of formal and informal 
  3992.          techniques shall be used to show that the FTLS is consistent with the
  3993.          model.
  3994.  
  3995.          ADD: A formal top-level specification (FTLS) of the TCB shall be
  3996.          maintained that accurately describes the TCB in terms of exceptions,
  3997.          error messages, and effects.  The DTLS and FTLS shall include those
  3998.          components of the TCB that are implemented as hardware and/or 
  3999.          firmware if their properties are visible at the TCB interface.  This
  4000.          verification evidence shall be consistent with that provided within
  4001.          the state-of-the-art of the particular Computer Security Center-
  4002.          endorsed formal specification and verification system used.  Manual
  4003.          or other mapping of the FTLS to the TCB source code shall be
  4004.          performed to provide evidence of correct implementation.
  4005.  
  4006. Device Labels
  4007.  
  4008.      C1: NR.
  4009.  
  4010.      C2: NR.
  4011.  
  4012.      B1: NR.
  4013.  
  4014.      B2: NEW: The TCB shall support the assignment of minimum and maximum
  4015.          security levels to all attached physical devices.  These security
  4016.          levels shall be used by the TCB to enforce constraints imposed by 
  4017.          the physical environments in which the devices are located.
  4018.  
  4019.      B3: NAR.
  4020.  
  4021.      A1: NAR.
  4022.  
  4023. Discretionary Access Control
  4024.  
  4025.      C1: NEW: The TCB shall define and control access between named users and
  4026.          named objects (e.g., files and programs) in the ADP system.  The 
  4027.          enforcement mechanism (e.g., self/group/public controls, access 
  4028.          control lists) shall allow users to specify and control sharing of
  4029.          those objects by named individuals or defined groups or both.
  4030.  
  4031.      C2: CHANGE: The enforcement mechanism (e.g., self/group/public controls,
  4032.          access control lists) shall allow users to specify and control 
  4033.          sharing of those objects by named individuals, or defined groups of
  4034.          individuals, or by both.
  4035.  
  4036.     ADD: The discretionary access control mechanism shall, either by explicit
  4037.          user action or by default, provide that objects are protected from
  4038.          unauthorized access.  These access controls shall be capable of 
  4039.          including or excluding access to the granularity of a single user.  
  4040.          Access permission to an object by users not already possessing access
  4041.          permission shall only be assigned by authorized users.
  4042.  
  4043.      B1: NAR.
  4044.  
  4045.      B2: NAR.
  4046.  
  4047.      B3: CHANGE: The enforcement mechanism (e.g., access control lists) shall
  4048.          allow users to specify and control sharing of those objects.  These 
  4049.          access controls shall be capable of specifying, for each named 
  4050.          object, a list of named individuals and a list of groups of named 
  4051.          individuals with their respective modes of access to that object.
  4052.  
  4053.     ADD: Furthermore, for each such named object, it shall be possible to
  4054.          specify a list of named individuals and a list of groups of named 
  4055.          individuals for which no access to the object is to be given.
  4056.  
  4057.      A1: NAR.
  4058.  
  4059. Exportation of Labeled Information
  4060.  
  4061.      C1: NR.
  4062.  
  4063.      C2: NR.
  4064.  
  4065.      B1: NEW: The TCB shall designate each communication channel and I/O
  4066.          device as either single-level or multilevel.  Any change in this 
  4067.          designation shall be done manually and shall be auditable by the 
  4068.          TCB.  The TCB shall maintain and be able to audit any change in the
  4069.          current security level associated with a single-level communication
  4070.          channel or I/O device.
  4071.  
  4072.      B2: NAR.
  4073.  
  4074.      B3: NAR.
  4075.  
  4076.      A1: NAR.
  4077.  
  4078. Exportation to Multilevel Devices
  4079.  
  4080.      C1: NR.
  4081.  
  4082.      C2: NR.
  4083.  
  4084.      B1: NEW: When the TCB exports an object to a multilevel I/O device, the
  4085.          sensitivity label associated with that object shall also be exported
  4086.          and shall reside on the same physical medium as the exported 
  4087.          information and shall be in the same form (i.e., machine-readable or
  4088.          human-readable form).  When the TCB exports or imports an object over
  4089.          a multilevel communication channel, the protocol used on that channel
  4090.          shall provide for the unambiguous pairing between the sensitivity
  4091.          labels and the associated information that is sent or received.
  4092.  
  4093.      B2: NAR.
  4094.  
  4095.      B3: NAR.
  4096.  
  4097.      A1: NAR.
  4098.  
  4099. Exportation to Single-Level Devices
  4100.  
  4101.      C1: NR.
  4102.  
  4103.      C2: NR.
  4104.  
  4105.      B1: NEW: Single-level I/O devices and single-level communication channels
  4106.          are not required to maintain the sensitivity labels of the 
  4107.          information they process.  However, the TCB shall include a mechanism
  4108.          by which the TCB and an authorized user reliably communicate to
  4109.          designate the single security level of information imported or 
  4110.          exported via single-level communication channels or I/O devices.
  4111.  
  4112.      B2: NAR.
  4113.  
  4114.      B3: NAR.
  4115.  
  4116.      A1: NAR.
  4117.  
  4118. Identification and Authentication
  4119.  
  4120.      C1: NEW: The TCB shall require users to identify themselves to it before
  4121.          beginning to perform any other actions that the TCB is expected to 
  4122.          mediate.  Furthermore, the TCB shall use a protected mechanism (e.g.,
  4123.          passwords) to authenticate the user's identity.  The TCB shall 
  4124.          protect authentication data so that it cannot be accessed by any 
  4125.          unauthorized user.
  4126.  
  4127.      C2: ADD: The TCB shall be able to enforce individual accountability by
  4128.          providing the capability to uniquely identify each individual ADP 
  4129.          system user.  The TCB shall also provide the capability of 
  4130.          associating this identity with all auditable actions taken by that 
  4131.          individual.
  4132.  
  4133.      B1: CHANGE: Furthermore, the TCB shall maintain authentication data that
  4134.          includes information for verifying the identity of individual users
  4135.          (e.g., passwords) as well as information for determining the 
  4136.          clearance and authorizations of individual users.  This data shall be
  4137.          used by the TCB to authenticate the user's identity and to determine 
  4138.          the security level and authorizations of subjects that may be created
  4139.          to act on behalf of the individual user.
  4140.  
  4141.      B2: NAR.
  4142.  
  4143.      B3: NAR.
  4144.  
  4145.      A1: NAR.
  4146.  
  4147. Label Integrity
  4148.  
  4149.      C1: NR.
  4150.  
  4151.      C2: NR.
  4152.  
  4153.      B1: NEW: Sensitivity labels shall accurately represent security levels of
  4154.          the specific subjects or objects with which they are associated.  When
  4155.          exported by the TCB, sensitivity labels shall accurately and 
  4156.          unambiguously represent the internal labels and shall be associated 
  4157.          with the information being exported.
  4158.  
  4159.      B2: NAR.
  4160.  
  4161.      B3: NAR.
  4162.  
  4163.      A1: NAR.
  4164.  
  4165. Labeling Human-Readable Output
  4166.  
  4167.      C1: NR.
  4168.  
  4169.      C2: NR.
  4170.  
  4171.      B1: NEW: The ADP system administrator shall be able to specify the
  4172.          printable label names associated with exported sensitivity labels.
  4173.          The TCB shall mark the beginning and end of all human-readable, 
  4174.          paged, hardcopy output (e.g., line printer output) with human-
  4175.          readable sensitivity labels that properly* represent the sensitivity
  4176.          of the output.  The TCB shall, by default, mark the top and bottom of
  4177.          each page of human-readable, paged, hardcopy output (e.g., line
  4178.          printer output) with human-readable sensitivity labels that
  4179.          properly* represent the overall sensitivity of the output or that 
  4180.          properly* represent the sensitivity of the information on the page.
  4181.          The TCB shall, by default and in an appropriate manner, mark other 
  4182.          forms of human-readable output (e.g., maps, graphics) with human-
  4183.          readable sensitivity labels that properly* represent the sensitivity
  4184.          of the output.  Any override of these marking defaults shall be
  4185.          auditable by the TCB.
  4186.  
  4187.      B2: NAR.
  4188.  
  4189.      B3: NAR.
  4190.  
  4191.      A1: NAR.
  4192.  
  4193.            ____________________________________________________________
  4194.            * The hierarchical classification component in human-readable
  4195.            sensitivity labels shall be equal to the greatest
  4196.            hierarchical classification of any of the information in the
  4197.            output that the labels refer to;  the non-hierarchical
  4198.            category component shall include all of the non-hierarchical
  4199.            categories of the information in the output the labels refer
  4200.            to, but no other non-hierarchical categories.
  4201.            ____________________________________________________________
  4202.  
  4203.  
  4204. Labels
  4205.  
  4206.      C1: NR.
  4207.  
  4208.      C2: NR.
  4209.  
  4210.      B1: NEW: Sensitivity labels associated with each subject and storage
  4211.          object under its control (e.g., process, file, segment, device) shall
  4212.          be maintained by the TCB.  These labels shall be used as the basis 
  4213.          for mandatory access control decisions.  In order to import non-
  4214.          labeled data, the TCB shall request and receive from an authorized 
  4215.          user the security level of the data, and all such actions shall be
  4216.          auditable by the TCB.
  4217.  
  4218.      B2: CHANGE: Sensitivity labels associated with each ADP system resource
  4219.          (e.g., subject, storage object) that is directly or indirectly 
  4220.          accessible by subjects external to the TCB shall be maintained by 
  4221.          the TCB.
  4222.  
  4223.      B3: NAR.
  4224.  
  4225.      A1: NAR.
  4226.  
  4227. Mandatory Access Control
  4228.  
  4229.      C1: NR.
  4230.  
  4231.      C2: NR.
  4232.  
  4233.      B1: NEW: The TCB shall enforce a mandatory access control policy over all
  4234.          subjects and storage objects under its control (e.g., processes, 
  4235.          files, segments, devices).  These subjects and objects shall be 
  4236.          assigned sensitivity labels that are a combination of hierarchical 
  4237.          classification levels and non-hierarchical categories, and the labels
  4238.          shall be used as the basis for mandatory access control decisions.
  4239.          The TCB shall be able to support two or more such security levels.
  4240.          (See the Mandatory Access Control guidelines.)  The following
  4241.          requirements shall hold for all accesses between subjects and objects
  4242.          controlled by the TCB: A subject can read an object only if the
  4243.          hierarchical classification in the subject's security level is 
  4244.          greater than or equal to the hierarchical classification in the 
  4245.          object's security level and the non-hierarchical categories in the
  4246.          subject's security level include all the non-hierarchical categories
  4247.          in the object's security level.  A subject can write an object only
  4248.          if the hierarchical classification in the subject's security level is
  4249.          less than or equal to the hierarchical classification in the object's
  4250.          security level and all the non-hierarchical categories in the 
  4251.          subject's security level are included in the non-hierarchical 
  4252.          categories in the object's security level.
  4253.  
  4254.      B2: CHANGE: The TCB shall enforce a mandatory access control policy over
  4255.          all resources (i.e., subjects, storage objects, and I/O devices) that
  4256.          are directly or indirectly accessible by subjects external to the TCB.
  4257.          The following requirements shall hold for all accesses between all
  4258.          subjects external to the TCB and all objects directly or indirectly 
  4259.          accessible by these subjects:
  4260.  
  4261.      B3: NAR.
  4262.  
  4263.      A1: NAR.
  4264.  
  4265. Object Reuse
  4266.  
  4267.      C1: NR.
  4268.  
  4269.      C2: NEW: When a storage object is initially assigned, allocated, or
  4270.          reallocated to a subject from the TCB's pool of unused storage 
  4271.          objects, the TCB shall assure that the object contains no data for 
  4272.          which the subject is not authorized.
  4273.  
  4274.      B1: NAR.
  4275.  
  4276.      B2: NAR.
  4277.  
  4278.      B3: NAR.
  4279.  
  4280.      A1: NAR.
  4281.  
  4282. Security Features User's Guide
  4283.  
  4284.      C1: NEW: A single summary, chapter, or manual in user documentation shall
  4285.          describe the protection mechanisms provided by the TCB, guidelines on
  4286.          their use, and how they interact with one another.
  4287.  
  4288.      C2: NAR.
  4289.  
  4290.      B1: NAR.
  4291.  
  4292.      B2: NAR.
  4293.  
  4294.      B3: NAR.
  4295.  
  4296.      A1: NAR.
  4297.  
  4298. Security Testing
  4299.  
  4300.      C1: NEW: The security mechanisms of the ADP system shall be tested and
  4301.          found to work as claimed in the system documentation.  Testing shall 
  4302.          be done to assure that there are no obvious ways for an unauthorized
  4303.          user to bypass or otherwise defeat the security protection mechanisms
  4304.          of the TCB.  (See the Security Testing guidelines.)
  4305.  
  4306.      C2: ADD: Testing shall also include a search for obvious flaws that would
  4307.          allow violation of resource isolation, or that would permit 
  4308.          unauthorized access to the audit or authentication data.
  4309.  
  4310.      B1: NEW: The security mechanisms of the ADP system shall be tested and
  4311.          found to work as claimed in the system documentation.  A team of 
  4312.          individuals who thoroughly understand the specific implementation of
  4313.          the TCB shall subject its design documentation, source code, and 
  4314.          object code to thorough analysis and testing.  Their objectives shall
  4315.          be: to uncover all design and implementation flaws that would permit
  4316.          a subject external to the TCB to read, change, or delete data
  4317.          normally denied under the mandatory or discretionary security policy 
  4318.          enforced by the TCB; as well as to assure that no subject (without
  4319.          authorization to do so) is able to cause the TCB to enter a state
  4320.          such that it is unable to respond to communications initiated by 
  4321.          other users.  All discovered flaws shall be removed or neutralized 
  4322.          and the TCB retested to demonstrate that they have been eliminated 
  4323.          and that new flaws have not been introduced.  (See the Security 
  4324.          Testing Guidelines.)
  4325.  
  4326.      B2: CHANGE: All discovered flaws shall be corrected and the TCB retested
  4327.          to demonstrate that they have been eliminated and that new flaws have
  4328.          not been introduced.
  4329.  
  4330.          ADD: The TCB shall be found relatively resistant to penetration.
  4331.          Testing shall demonstrate that the TCB implementation is consistent 
  4332.          with the descriptive top-level specification.
  4333.  
  4334.      B3: CHANGE: The TCB shall be found resistant to penetration.
  4335.  
  4336.          ADD: No design flaws and no more than a few correctable
  4337.          implementation flaws may be found during testing and there shall be 
  4338.          reasonable confidence that few remain.
  4339.  
  4340.      A1: CHANGE: Testing shall demonstrate that the TCB implementation is
  4341.          consistent with the formal top-level specification.
  4342.  
  4343.          ADD: Manual or other mapping of the FTLS to the source code may form
  4344.          a basis for penetration testing.
  4345.  
  4346. Subject Sensitivity Labels
  4347.  
  4348.      C1: NR.
  4349.  
  4350.      C2: NR.
  4351.  
  4352.      B1: NR.
  4353.  
  4354.      B2: NEW: The TCB shall immediately notify a terminal user of each change
  4355.          in the security level associated with that user during an interactive
  4356.          session.  A terminal user shall be able to query the TCB as desired 
  4357.          for a display of the subject's complete sensitivity label.
  4358.  
  4359.      B3: NAR.
  4360.  
  4361.      A1: NAR.
  4362.  
  4363. System Architecture
  4364.  
  4365.      C1: NEW: The TCB shall maintain a domain for its own execution that
  4366.          protects it from external interference or tampering (e.g., by 
  4367.          modification of its code or data structures).  Resources controlled 
  4368.          by the TCB may be a defined subset of the subjects and objects in 
  4369.          the ADP system.
  4370.  
  4371.      C2: ADD: The TCB shall isolate the resources to be protected so that they
  4372.          are subject to the access control and auditing requirements.
  4373.  
  4374.      B1: ADD: The TCB shall maintain process isolation through the provision
  4375.          of distinct address spaces under its control.
  4376.  
  4377.      B2: NEW: The TCB shall maintain a domain for its own execution that
  4378.          protects it from external interference or tampering (e.g., by 
  4379.          modification of its code or data structures).  The TCB shall maintain
  4380.          process isolation through the provision of distinct address spaces 
  4381.          under its control.  The TCB shall be internally structured into well-
  4382.          defined largely independent modules.  It shall make effective use of
  4383.          available hardware to separate those elements that are protection-
  4384.          critical from those that are not.  The TCB modules shall be designed
  4385.          such that the principle of least privilege is enforced.  Features in
  4386.          hardware, such as segmentation, shall be used to support logically 
  4387.          distinct storage objects with separate attributes (namely: readable, 
  4388.          writeable).  The user interface to the TCB shall be completely 
  4389.          defined and all elements of the TCB identified.
  4390.  
  4391.      B3: ADD: The TCB shall be designed and structured to use a complete,
  4392.          conceptually simple protection mechanism with precisely defined 
  4393.          semantics.  This mechanism shall play a central role in enforcing the
  4394.          internal structuring of the TCB and the system.  The TCB shall
  4395.          incorporate significant use of layering, abstraction and data hiding.
  4396.          Significant system engineering shall be directed toward minimizing
  4397.          the complexity of the TCB and excluding from the TCB modules that are
  4398.          not protection-critical.
  4399.  
  4400.      A1: NAR.
  4401.  
  4402. System Integrity
  4403.  
  4404.      C1: NEW: Hardware and/or software features shall be provided that can be
  4405.          used to periodically validate the correct operation of the on-site 
  4406.          hardware and firmware elements of the TCB.
  4407.  
  4408.      C2: NAR.
  4409.  
  4410.      B1: NAR.
  4411.  
  4412.      B2: NAR.
  4413.  
  4414.      B3: NAR.
  4415.  
  4416.      A1: NAR.
  4417.  
  4418. Test Documentation
  4419.  
  4420.      C1: NEW: The system developer shall provide to the evaluators a document
  4421.          that describes the test plan and results of the security mechanisms'
  4422.          functional testing.
  4423.  
  4424.      C2: NAR.
  4425.  
  4426.      B1: NAR.
  4427.  
  4428.      B2: ADD: It shall include results of testing the effectiveness of the
  4429.          methods used to reduce covert channel bandwidths.
  4430.  
  4431.      B3: NAR.
  4432.  
  4433.      A1: ADD: The results of the mapping between the formal top-level
  4434.          specification and the TCB source code shall be given.
  4435.  
  4436. Trusted Distribution
  4437.  
  4438.      C1: NR.
  4439.  
  4440.      C2: NR.
  4441.  
  4442.      B1: NR.
  4443.  
  4444.      B2: NR.
  4445.  
  4446.      B3: NR.
  4447.  
  4448.      A1: NEW: A trusted ADP system control and distribution facility shall be
  4449.          provided for maintaining the integrity of the mapping between the 
  4450.          master data describing the current version of the TCB and the on-site
  4451.          master copy of the code for the current version.  Procedures (e.g.,
  4452.          site security acceptance testing) shall exist for assuring that the
  4453.          TCB software, firmware, and hardware updates distributed to a
  4454.          customer are exactly as specified by the master copies.
  4455.  
  4456. Trusted Facility Management
  4457.  
  4458.      C1: NR.
  4459.  
  4460.      C2: NR.
  4461.  
  4462.      B1: NR.
  4463.  
  4464.      B2: NEW: The TCB shall support separate operator and administrator
  4465.          functions.
  4466.  
  4467.      B3: ADD: The functions performed in the role of a security administrator
  4468.          shall be identified.  The ADP system administrative personnel shall 
  4469.          only be able to perform security administrator functions after taking
  4470.          a distinct auditable action to assume the security administrator role
  4471.          on the ADP system.  Non-security functions that can be performed in
  4472.          the security administration role shall be limited strictly to those
  4473.          essential to performing the security role effectively.
  4474.  
  4475.      A1: NAR.
  4476.  
  4477. Trusted Facility Manual
  4478.  
  4479.      C1: NEW: A manual addressed to the ADP system administrator shall present
  4480.          cautions about functions and privileges that should be controlled 
  4481.          when running a secure facility.
  4482.  
  4483.      C2: ADD: The procedures for examining and maintaining the audit files as
  4484.          well as the detailed audit record structure for each type of audit 
  4485.          event shall be given.
  4486.  
  4487.      B1: ADD: The manual shall describe the operator and administrator
  4488.          functions related to security, to include changing the 
  4489.          characteristics of a user.  It shall provide guidelines on the 
  4490.          consistent and effective use of the protection features of the
  4491.          system, how they interact, how to securely generate a new TCB, and
  4492.          facility procedures, warnings, and privileges that need to be
  4493.          controlled in order to operate the facility in a secure manner.
  4494.  
  4495.      B2: ADD: The TCB modules that contain the reference validation mechanism
  4496.          shall be identified.  The procedures for secure generation of a new 
  4497.          TCB from source after modification of any modules in the TCB shall 
  4498.          be described.
  4499.  
  4500.      B3: ADD: It shall include the procedures to ensure that the system is
  4501.          initially started in a secure manner.  Procedures shall also be 
  4502.          included to resume secure system operation after any lapse in system
  4503.          operation.
  4504.  
  4505.      A1: NAR.
  4506.  
  4507. Trusted Path
  4508.  
  4509.      C1: NR.
  4510.  
  4511.      C2: NR.
  4512.  
  4513.      B1: NR.
  4514.  
  4515.      B2: NEW: The TCB shall support a trusted communication path between
  4516.          itself and user for initial login and authentication.  Communications
  4517.          via this path shall be initiated exclusively by a user.
  4518.  
  4519.      B3: CHANGE: The TCB shall support a trusted communication path between
  4520.          itself and users for use when a positive TCB-to-user connection is 
  4521.          required (e.g., login, change subject security level).  
  4522.          Communications via this trusted path shall be activated exclusively
  4523.          by a user or the TCB and shall be logically isolated and unmistakably
  4524.          distinguishable from other paths.
  4525.  
  4526.      A1: NAR.
  4527.  
  4528. Trusted Recovery
  4529.  
  4530.      C1: NR.
  4531.  
  4532.      C2: NR.
  4533.  
  4534.      B1: NR.
  4535.  
  4536.      B2: NR.
  4537.  
  4538.      B3: NEW: Procedures and/or mechanisms shall be provided to assure that,
  4539.          after an ADP system failure or other discontinuity, recovery without a
  4540.          protection compromise is obtained.
  4541.  
  4542.      A1: NAR.
  4543.  
  4544.  
  4545.  
  4546.  
  4547.  
  4548.     (this page is reserved for Figure 1)
  4549.  
  4550.  
  4551.  
  4552.  
  4553.                                  GLOSSARY
  4554.  
  4555.  
  4556. Access - A specific type of interaction between a subject and an object 
  4557.      that results in the flow of information from one to the other.
  4558.  
  4559. Approval/Accreditation - The official authorization that is
  4560.      granted to an ADP system to process sensitive information in
  4561.      its operational environment, based upon comprehensive
  4562.      security evaluation of the system's hardware, firmware, and
  4563.      software security design, configuration, and implementation
  4564.      and of the other system procedural, administrative,
  4565.      physical, TEMPEST, personnel, and communications security
  4566.      controls.
  4567.  
  4568. Audit Trail - A set of records that collectively provide
  4569.      documentary evidence of processing used to aid in tracing
  4570.      from original transactions forward to related records and
  4571.      reports, and/or backwards from records and reports to their
  4572.      component source transactions.
  4573.  
  4574. Authenticate - To establish the validity of a claimed identity.
  4575.  
  4576. Automatic Data Processing (ADP) System - An assembly of computer
  4577.      hardware, firmware, and software configured for the purpose
  4578.      of classifying, sorting, calculating, computing,
  4579.      summarizing, transmitting and receiving, storing, and
  4580.      retrieving data with a minimum of human intervention.
  4581.  
  4582. Bandwidth - A characteristic of a communication channel that is
  4583.      the amount of information that can be passed through it in a
  4584.      given amount of time, usually expressed in bits per second.
  4585.  
  4586. Bell-LaPadula Model - A formal state transition model of computer
  4587.      security policy that describes a set of access control
  4588.      rules.  In this formal model, the entities in a computer
  4589.      system are divided into abstract sets of subjects and
  4590.      objects.  The notion of a secure state is defined and it is
  4591.      proven that each state transition preserves security by
  4592.      moving from secure state to secure state; thus, inductively
  4593.      proving that the system is secure.  A system state is
  4594.      defined to be "secure" if the only permitted access modes of
  4595.      subjects to objects are in accordance with a specific
  4596.      security policy.  In order to determine whether or not a
  4597.      specific access mode is allowed, the clearance of a subject
  4598.      is compared to the classification of the object and a
  4599.      determination is made as to whether the subject is
  4600.      authorized for the specific access mode.  The
  4601.      clearance/classification scheme is expressed in terms of a
  4602.      lattice.  See also: Lattice, Simple Security Property, *-
  4603.      Property.
  4604.  
  4605. Certification - The technical evaluation of a system's security
  4606.      features, made as part of and in support of the
  4607.      approval/accreditation process, that establishes the extent
  4608.      to which a particular computer system's design and
  4609.      implementation meet a set of specified security
  4610.      requirements.
  4611.  
  4612. Channel - An information transfer path within a system.  May also
  4613.      refer to the mechanism by which the path is effected.
  4614.  
  4615. Covert Channel - A communication channel that allows a process to
  4616.      transfer information in a manner that violates the system's
  4617.      security policy.  See also:  Covert Storage Channel, Covert
  4618.      Timing Channel.
  4619.  
  4620. Covert Storage Channel - A covert channel that involves the
  4621.      direct or indirect writing of a storage location by one
  4622.      process and the direct or indirect reading of the storage
  4623.      location by another process.  Covert storage channels
  4624.      typically involve a finite resource (e.g., sectors on a
  4625.      disk) that is shared by two subjects at different security
  4626.      levels.
  4627.  
  4628. Covert Timing Channel - A covert channel in which one process
  4629.      signals information to another by modulating its own use of
  4630.      system resources (e.g., CPU time) in such a way that this
  4631.      manipulation affects the real response time observed by the
  4632.      second process.
  4633.  
  4634. Data - Information with a specific physical representation.
  4635.  
  4636. Data Integrity - The state that exists when computerized data is
  4637.      the same as that in the source documents and has not been
  4638.      exposed to accidental or malicious alteration or
  4639.      destruction.
  4640.  
  4641. Descriptive Top-Level Specification (DTLS) - A top-level
  4642.      specification that is written in a natural language (e.g.,
  4643.      English), an informal program design notation, or a
  4644.      combination of the two.
  4645.  
  4646. Discretionary Access Control - A means of restricting access to
  4647.      objects based on the identity of subjects and/or groups to
  4648.      which they belong.  The controls are discretionary in the
  4649.      sense that a subject with a certain access permission is
  4650.      capable of passing that permission (perhaps indirectly) on
  4651.      to any other subject.
  4652.  
  4653. Domain - The set of objects that a subject has the ability to
  4654.      access.
  4655.  
  4656. Dominate - Security level S1 is said to dominate security level
  4657.      S2 if the hierarchical classification of S1 is greater than
  4658.      or equal to that of S2 and the non-hierarchical categories
  4659.      of S1 include all those of S2 as a subset.
  4660.  
  4661. Exploitable Channel - Any channel that is useable or detectable
  4662.      by subjects external to the Trusted Computing Base.
  4663.  
  4664. Flaw Hypothesis Methodology - A system analysis and penetration
  4665.      technique where specifications and documentation for the
  4666.      system are analyzed and then flaws in the system are
  4667.      hypothesized.  The list of hypothesized flaws is then
  4668.      prioritized on the basis of the estimated probability that a
  4669.      flaw actually exists and, assuming a flaw does exist, on the
  4670.      ease of exploiting it and on the extent of control or
  4671.      compromise it would provide.  The prioritized list is used
  4672.      to direct the actual testing of the system.
  4673.  
  4674. Flaw - An error of commission, omission, or oversight in a system
  4675.      that allows protection mechanisms to be bypassed.
  4676.  
  4677. Formal Proof - A complete and convincing mathematical argument,
  4678.      presenting the full logical justification for each proof
  4679.      step, for the truth of a theorem or set of theorems.  The
  4680.      formal verification process uses formal proofs to show the
  4681.      truth of certain properties of formal specification and for
  4682.      showing that computer programs satisfy their specifications.
  4683.  
  4684. Formal Security Policy Model - A mathematically precise statement
  4685.      of a security policy.  To be adequately precise, such a
  4686.      model must represent the initial state of a system, the way
  4687.      in which the system progresses from one state to another,
  4688.      and a definition of a "secure" state of the system.  To be
  4689.      acceptable as a basis for a TCB, the model must be supported
  4690.      by a formal proof that if the initial state of the system
  4691.      satisfies the definition of a "secure" state and if all
  4692.      assumptions required by the model hold, then all future
  4693.      states of the system will be secure.  Some formal modeling
  4694.      techniques include:  state transition models, temporal logic
  4695.      models, denotational semantics models, algebraic
  4696.      specification models.  An example is the model described by
  4697.      Bell and LaPadula in reference [2].  See also:  Bell-
  4698.      LaPadula Model, Security Policy Model.
  4699.  
  4700. Formal Top-Level Specification (FTLS) - A Top-Level Specification
  4701.      that is written in a formal mathematical language to allow
  4702.      theorems showing the correspondence of the system
  4703.      specification to its formal requirements to be hypothesized
  4704.      and formally proven.
  4705.  
  4706. Formal Verification - The process of using formal proofs to
  4707.      demonstrate the consistency (design verification) between a
  4708.      formal specification of a system and a formal security
  4709.      policy model or (implementation verification) between the
  4710.      formal specification and its program implementation.
  4711.  
  4712. Functional Testing - The portion of security testing in which the
  4713.      advertised features of a system are tested for correct
  4714.      operation.
  4715.  
  4716. General-Purpose System - A computer system that is designed to
  4717.      aid in solving a wide variety of problems.
  4718.  
  4719. Lattice - A partially ordered set for which every pair of
  4720.      elements has a greatest lower bound and a least upper bound.
  4721.  
  4722. Least Privilege - This principle requires that each subject in a
  4723.      system be granted the most restrictive set of privileges (or
  4724.      lowest clearance) needed for the performance of authorized
  4725.      tasks.  The application of this principle limits the damage
  4726.      that can result from accident, error, or unauthorized use.
  4727.  
  4728. Mandatory Access Control - A means of restricting access to
  4729.      objects based on the sensitivity (as represented by a label)
  4730.      of the information contained in the objects and the formal
  4731.      authorization (i.e., clearance) of subjects to access
  4732.      information of such sensitivity.
  4733.  
  4734. Multilevel Device - A device that is used in a manner that
  4735.      permits it to simultaneously process data of two or more
  4736.      security levels without risk of compromise.  To accomplish
  4737.      this, sensitivity labels are normally stored on the same
  4738.      physical medium and in the same form (i.e., machine-readable
  4739.      or human-readable) as the data being processed.
  4740.  
  4741. Multilevel Secure - A class of system containing information with
  4742.      different sensitivities that simultaneously permits access
  4743.      by users with different security clearances and needs-to-
  4744.      know, but prevents users from obtaining access to
  4745.      information for which they lack authorization.
  4746.  
  4747. Object - A passive entity that contains or receives information.
  4748.      Access to an object potentially implies access to the
  4749.      information it contains.  Examples of objects are:  records,
  4750.      blocks, pages, segments, files, directories, directory
  4751.      trees, and programs, as well as bits, bytes, words, fields,
  4752.      processors, video displays, keyboards, clocks, printers,
  4753.      network nodes, etc.
  4754.  
  4755. Object Reuse - The reassignment to some subject of a medium
  4756.      (e.g., page frame, disk sector, magnetic tape) that
  4757.      contained one or more objects.  To be securely reassigned,
  4758.      such media must contain no residual data from the previously
  4759.      contained object(s).
  4760.  
  4761. Output - Information that has been exported by a TCB.
  4762.  
  4763. Password - A private character string that is used to
  4764.      authenticate an identity.
  4765.  
  4766. Penetration Testing - The portion of security testing in which
  4767.      the penetrators attempt to circumvent the security features
  4768.      of a system.  The penetrators may be assumed to use all
  4769.      system design and implementation documentation, which may
  4770.      include listings of system source code, manuals, and circuit
  4771.      diagrams.  The penetrators work under no constraints other
  4772.      than those that would be applied to ordinary users.
  4773.  
  4774. Process - A program in execution.  It is completely characterized
  4775.      by a single current execution point (represented by the
  4776.      machine state) and address space.
  4777.  
  4778. Protection-Critical Portions of the TCB - Those portions of the
  4779.      TCB whose normal function is to deal with the control of
  4780.      access between subjects and objects.
  4781.  
  4782. Protection Philosophy - An informal description of the overall
  4783.      design of a system that delineates each of the protection
  4784.      mechanisms employed.  A combination (appropriate to the
  4785.      evaluation class) of formal and informal techniques is used
  4786.      to show that the mechanisms are adequate to enforce the
  4787.      security policy.
  4788.  
  4789. Read - A fundamental operation that results only in the flow of
  4790.      information from an object to a subject.
  4791.  
  4792. Read Access - Permission to read information.
  4793.  
  4794. Reference Monitor Concept - An access control concept that refers
  4795.      to an abstract machine that mediates all accesses to objects
  4796.      by subjects.
  4797.  
  4798. Resource - Anything used or consumed while performing a function.
  4799.      The categories of resources are: time, information, objects
  4800.      (information containers), or processors (the ability to use
  4801.      information).  Specific examples are: CPU time; terminal
  4802.      connect time; amount of directly-addressable memory; disk
  4803.      space; number of I/O requests per minute, etc.
  4804.  
  4805. Security Kernel - The hardware, firmware, and software elements
  4806.      of a Trusted Computing Base that implement the reference
  4807.      monitor concept.  It must mediate all accesses, be protected
  4808.      from modification, and be verifiable as correct.
  4809.  
  4810. Security Level - The combination of a hierarchical classification
  4811.      and a set of non-hierarchical categories that represents the
  4812.      sensitivity of information.
  4813.  
  4814. Security Policy - The set of laws, rules, and practices that
  4815.      regulate how an organization manages, protects, and
  4816.      distributes sensitive information.
  4817.  
  4818. Security Policy Model - An informal presentation of a formal
  4819.      security policy model.
  4820.  
  4821. Security Testing - A process used to determine that the security
  4822.      features of a system are implemented as designed and that
  4823.      they are adequate for a proposed application environment.
  4824.      This process includes hands-on functional testing,
  4825.      penetration testing, and verification.  See also: Functional
  4826.      Testing, Penetration Testing, Verification.
  4827.  
  4828. Sensitive Information - Information that, as determined by a
  4829.      competent authority, must be protected because its
  4830.      unauthorized disclosure, alteration, loss, or destruction
  4831.      will at least cause perceivable damage to someone or
  4832.      something.
  4833.  
  4834. Sensitivity Label - A piece of information that represents the
  4835.      security level of an object and that describes the
  4836.      sensitivity (e.g., classification) of the data in the
  4837.      object.   Sensitivity labels are used by the TCB as the basis
  4838.      for mandatory access control decisions.
  4839.  
  4840. Simple Security Property - A Bell-LaPadula security model rule
  4841.      allowing a subject read access to an object only if the
  4842.      security level of the subject dominates the security level
  4843.      of the object.
  4844.  
  4845. Single-Level Device - A device that is used to process data of a
  4846.      single security level at any one time.  Since the device
  4847.      need not be trusted to separate data of different security
  4848.      levels, sensitivity labels do not have to be stored with the
  4849.      data being processed.
  4850.  
  4851. *-Property (Star Property) - A Bell-LaPadula security model rule
  4852.      allowing a subject write access to an object only if the
  4853.      security level of the subject is dominated by the security
  4854.      level of the object.  Also known as the Confinement
  4855.      Property.
  4856.  
  4857. Storage Object - An object that supports both read and write
  4858.      accesses.
  4859.  
  4860. Subject - An active entity, generally in the form of a person,
  4861.      process, or device that causes information to flow among
  4862.      objects or changes the system state.  Technically, a
  4863.      process/domain pair.
  4864.  
  4865. Subject Security Level - A subject's security level is equal to
  4866.      the security level of the objects to which it has both read
  4867.      and write access.  A subject's security level must always be
  4868.      dominated by the clearance of the user the subject is
  4869.      associated with.
  4870.  
  4871. TEMPEST - The study and control of spurious electronic signals
  4872.      emitted from ADP equipment.
  4873.  
  4874. Top-Level Specification (TLS) - A non-procedural description of
  4875.      system behavior at the most abstract level.  Typically a
  4876.      functional specification that omits all implementation
  4877.      details.
  4878.  
  4879. Trap Door - A hidden software or hardware mechanism that permits
  4880.      system protection mechanisms to be circumvented.  It is
  4881.      activated in some non-apparent manner (e.g., special
  4882.      "random" key sequence at a terminal).
  4883.  
  4884. Trojan Horse - A computer program with an apparently or actually
  4885.      useful function that contains additional (hidden) functions
  4886.      that surreptitiously exploit the legitimate authorizations
  4887.      of the invoking process to the detriment of security.  For
  4888.      example, making a "blind copy" of a sensitive file for the
  4889.      creator of the Trojan Horse.
  4890.  
  4891. Trusted Computer System - A system that employs sufficient
  4892.      hardware and software integrity measures to allow its use
  4893.      for processing simultaneously a range of sensitive or
  4894.      classified information.
  4895.  
  4896. Trusted Computing Base (TCB) - The totality of protection
  4897.      mechanisms within a computer system -- including hardware,
  4898.      firmware, and software -- the combination of which is
  4899.      responsible for enforcing a security policy.  It creates a
  4900.      basic protection environment and provides additional user
  4901.      services required for a trusted computer system.  The
  4902.      ability of a trusted computing base to correctly enforce a
  4903.      security policy depends solely on the mechanisms within the
  4904.      TCB and on the correct input by system administrative
  4905.      personnel of parameters (e.g., a user's clearance) related
  4906.      to the security policy.
  4907.  
  4908. Trusted Path - A mechanism by which a person at a terminal can
  4909.      communicate directly with the Trusted Computing Base.  This
  4910.      mechanism can only be activated by the person or the Trusted
  4911.      Computing Base and cannot be imitated by untrusted software.
  4912.  
  4913. Trusted Software - The software portion of a Trusted Computing
  4914.      Base.
  4915.  
  4916. User - Any person who interacts directly with a computer system.
  4917.  
  4918. Verification - The process of comparing two levels of system
  4919.      specification for proper correspondence (e.g., security
  4920.      policy model with top-level specification, TLS with source
  4921.      code, or source code with object code).  This process may or
  4922.      may not be automated.
  4923.  
  4924. Write - A fundamental operation that results only in the flow of
  4925.      information from a subject to an object.
  4926.  
  4927. Write Access - Permission to write an object.
  4928.  
  4929.  
  4930.  
  4931.  
  4932.  
  4933.                               REFERENCES
  4934.  
  4935.  
  4936. 1.  Anderson, J. P.  Computer Security Technology Planning
  4937.          Study, ESD-TR-73-51, vol. I, ESD/AFSC, Hanscom AFB,
  4938.          Bedford, Mass., October 1972 (NTIS AD-758 206).
  4939.  
  4940. 2.  Bell, D. E. and LaPadula, L. J.  Secure Computer Systems:
  4941.          Unified Exposition and Multics Interpretation, MTR-2997
  4942.          Rev. 1, MITRE Corp., Bedford, Mass., March 1976.
  4943.  
  4944. 3.  Brand, S. L.    "An Approach to Identification and Audit of
  4945.          Vulnerabilities and Control in Application Systems," in
  4946.          Audit and Evaluation of Computer Security II: System
  4947.          Vulnerabilities and Controls, Z. Ruthberg, ed., NBS
  4948.          Special Publication #500-57, MD78733, April 1980.
  4949.  
  4950. 4.  Brand, S. L.    "Data Processing and A-123," in Proceedings of
  4951.          the Computer Performance Evaluation User's Group 18th
  4952.          Meeting, C. B. Wilson, ed., NBS Special Publication
  4953.          #500-95, October 1982.
  4954.  
  4955. 5.  Denning, D. E.  "A Lattice Model of Secure Information
  4956.          Flow," in Communications of the ACM, vol. 19, no. 5
  4957.          (May 1976), pp. 236-243.
  4958.  
  4959. 6.  Denning, D. E.  Secure Information Flow in Computer Systems,
  4960.          Ph.D. dissertation, Purdue Univ., West Lafayette, Ind.,
  4961.          May 1975.
  4962.  
  4963. 7.  DoD 5200.1-R, Information Security Program Regulation,
  4964.          August 1982.
  4965.  
  4966. 8.  DoD Directive 5200.28, Security Requirements for Automatic
  4967.          Data Processing (ADP) Systems, revised April 1978.
  4968.  
  4969. 9.  DoD 5200.28-M, ADP Security Manual -- Techniques and
  4970.          Procedures for Implementing, Deactivating, Testing, and
  4971.          Evaluating Secure Resource-Sharing ADP Systems, revised
  4972.          June 1979.
  4973.  
  4974. 10. DoD Directive 5215.1, Computer Security Evaluation Center,
  4975.          25 October 1982.
  4976.  
  4977. 11. DoD 5220.22-M, Industrial Security Manual for Safeguarding
  4978.          Classified Information, January 1983.
  4979.  
  4980. 12. DoD 5220.22-R, Industrial Security Regulation, January 1983.
  4981.  
  4982. 13. DoD Directive 5400.11, Department of Defense Privacy
  4983.          Program, 9 June 1982.
  4984.  
  4985. 14. Executive Order 12356, National Security Information,
  4986.          6 April 1982.
  4987.  
  4988. 15. Faurer, L. D.    "Keeping the Secrets Secret," in Government
  4989.          Data Systems, November - December 1981, pp. 14-17.
  4990.  
  4991. 16. Federal Information Processing Standards Publication (FIPS
  4992.          PUB) 39, Glossary for Computer Systems Security,
  4993.          15 February 1976.
  4994.  
  4995. 17. Federal Information Processing Standards Publication (FIPS
  4996.          PUB) 73, Guidelines for Security of Computer
  4997.          Applications, 30 June 1980.
  4998.  
  4999. 18. Federal Information Processing Standards Publication (FIPS
  5000.          PUB) 102, Guideline for Computer Security Certification
  5001.          and Accreditation.
  5002.  
  5003. 19. Lampson, B. W.  "A Note on the Confinement Problem," in
  5004.          Communications of the ACM, vol. 16, no. 10 (October
  5005.          1973), pp. 613-615.
  5006.  
  5007. 20. Lee, T. M. P., et al.     "Processors, Operating Systems and
  5008.          Nearby Peripherals: A Consensus Report," in Audit and
  5009.          Evaluation of Computer Security II: System
  5010.          Vulnerabilities and Controls, Z. Ruthberg, ed., NBS
  5011.          Special Publication #500-57, MD78733, April 1980.
  5012.  
  5013. 21. Lipner, S. B.    A Comment on the Confinement Problem, MITRE
  5014.          Corp., Bedford, Mass.
  5015.  
  5016. 22. Millen, J. K.    "An Example of a Formal Flow Violation," in
  5017.          Proceedings of the IEEE Computer Society 2nd
  5018.          International Computer Software and Applications
  5019.          Conference, November 1978, pp. 204-208.
  5020.  
  5021. 23. Millen, J. K.    "Security Kernel Validation in Practice," in
  5022.          Communications of the ACM, vol. 19, no. 5 (May 1976),
  5023.          pp. 243-250.
  5024.  
  5025. 24. Nibaldi, G. H.  Proposed Technical Evaluation Criteria for
  5026.          Trusted Computer Systems, MITRE Corp., Bedford, Mass.,
  5027.          M79-225, AD-A108-832, 25 October 1979.
  5028.  
  5029. 25. Nibaldi, G. H.  Specification of A Trusted Computing Base,
  5030.          (TCB), MITRE Corp., Bedford, Mass., M79-228, AD-A108-
  5031.          831, 30 November 1979.
  5032.  
  5033. 26. OMB Circular A-71, Transmittal Memorandum No. 1, Security of
  5034.          Federal Automated Information Systems, 27 July 1978.
  5035.  
  5036. 27. OMB Circular A-123, Internal Control Systems, 5 November
  5037.          1981.
  5038.  
  5039. 28. Ruthberg, Z. and McKenzie, R., eds.  Audit and Evaluation of
  5040.          Computer Security, in NBS Special Publication #500-19,
  5041.          October 1977.
  5042.  
  5043. 29. Schaefer, M., Linde, R. R., et al.  "Program Confinement in
  5044.          KVM/370," in Proceedings of the ACM National
  5045.          Conference, October 1977, Seattle.
  5046.  
  5047. 30. Schell, R. R.    "Security Kernels: A Methodical Design of
  5048.          System Security," in Technical Papers, USE Inc. Spring
  5049.          Conference, 5-9 March 1979, pp. 245-250.
  5050.  
  5051. 31. Trotter, E. T. and Tasker, P. S.  Industry Trusted Computer
  5052.          Systems Evaluation Process, MITRE Corp., Bedford,
  5053.          Mass., MTR-3931, 1 May 1980.
  5054.  
  5055. 32. Turn, R.  Trusted Computer Systems: Needs and Incentives for
  5056.          Use in government and Private Sector, (AD # A103399),
  5057.          Rand Corporation (R-28811-DR&E), June 1981.
  5058.  
  5059. 33. Walker, S. T.    "The Advent of Trusted Computer Operating
  5060.          Systems," in National Computer Conference Proceedings,
  5061.          May 1980, pp. 655-665.
  5062.  
  5063. 34. Ware, W. H., ed., Security Controls for Computer Systems:
  5064.          Report of Defense Science Board Task Force on Computer
  5065.          Security, AD # A076617/0, Rand Corporation, Santa
  5066.          Monica, Calif., February 1970, reissued October 1979.
  5067.  
  5068.    DoD STANDARD 5200.28:  SUMMARY OF THE DIFFERENCES 
  5069.                           BETWEEN IT AND CSC-STD-001-83
  5070.  
  5071.  
  5072. Note: Text which has been added or changed is indented and preceded by > sign.
  5073. Text which has been deleted is enclosed in slashes (/).  "Computer Security
  5074. Center" was changed to "National Computer Security Center" throughout the
  5075. document.
  5076.  
  5077. The FOREWORD Section was rewritten and signed by Mr. Don Latham on
  5078. 26 Dec 85.  The ACKNOWLEDGEMENTS Section was updated.
  5079.                                      
  5080. The PREFACE was changed as follows: 
  5081.  
  5082.                                  PREFACE 
  5083.  
  5084.  
  5085. The trusted computer system evaluation criteria defined in this 
  5086. document classify systems into four broad hierarchical divisions 
  5087. of enhanced security protection.  The criteria provide a basis 
  5088. for the evaluation of effectiveness of security controls built 
  5089. into automatic data processing system products.  The criteria 
  5090. were developed with three objectives in mind:  (a) to provide 
  5091. users with a yardstick with which to assess the degree of trust 
  5092. that can be placed in computer systems for the secure processing 
  5093. of classified or other sensitive information; (b) to provide 
  5094. guidance to manufacturers as to what to build into their new, 
  5095. widely-available trusted commercial products in order to satisfy 
  5096. trust requirements for sensitive applications; and (c) to provide 
  5097. a basis for specifying security requirements in acquisition 
  5098. specifications.  Two types of requirements are delineated for 
  5099. secure processing: (a) specific security feature requirements and 
  5100. (b) assurance requirements.  Some of the latter requirements 
  5101. enable evaluation personnel to determine if the required features 
  5102. are present and functioning as intended.  
  5103.  
  5104.     >The scope of these criteria is to be applied to
  5105.     >the set of components comprising a trusted system, and is
  5106.     >not necessarily to be applied to each system component
  5107.     >individually.  Hence, some components of a system may be
  5108.     >completely untrusted, while others may be individually
  5109.     >evaluated to a lower or higher evaluation class than the
  5110.     >trusted product considered as a whole system.  In trusted
  5111.     >products at the high end of the range, the strength of the
  5112.     >reference monitor is such that most of the system
  5113.     >components can be completely untrusted.  
  5114.  
  5115. Though the criteria are 
  5116.  
  5117.     >intended to be
  5118.  
  5119. application-independent, /it is recognized that/ the
  5120. specific security feature requirements may have to be
  5121. interpreted when applying the criteria to specific 
  5122.  
  5123.     >systems with their own functional requirements,
  5124.     >applications or special environments (e.g., communications
  5125.     >processors, process control computers, and embedded systems
  5126.     >in general).
  5127.  
  5128. The underlying assurance requirements can be
  5129. applied across the entire spectrum of ADP system or
  5130. application processing environments without special
  5131. interpretation.
  5132.  
  5133.                                      
  5134. The SCOPE Section was changed as follows:
  5135.  
  5136. Scope
  5137.  
  5138. The trusted computer system evaluation criteria defined in this 
  5139. document apply 
  5140.  
  5141.     >primarily
  5142.  
  5143. to /both/ trusted, commercially available 
  5144. automatic data processing (ADP) systems.  
  5145.  
  5146.     >They are also applicable, as amplified below, to the
  5147.     >evaluation of existing systems and to the specification of
  5148.     >security requirements for ADP systems acquisition.
  5149.  
  5150. Included are two distinct sets of requirements: l) specific security
  5151. feature requirements; and 2) assurance requirements.  The specific 
  5152. feature requirements encompass the capabilities typically found 
  5153. in information processing systems employing general-purpose 
  5154. operating systems that are distinct from the applications programs
  5155. being supported.  
  5156.  
  5157.     >However, specific security feature requirements
  5158.     >may also apply to specific systems with their own functional
  5159.     >requirements, applications or special environments (e.g.,
  5160.     >communications processors, process control computers, and embedded
  5161.     >systems in general).  
  5162.  
  5163. The assurance requirements, on the other hand,
  5164. apply to systems that cover the full range of computing environments
  5165. from dedicated controllers to full range multilevel secure resource
  5166. sharing systems.
  5167.  
  5168.                                      
  5169. Changed the Purpose Section as follows:  
  5170.  
  5171. Purpose
  5172.  
  5173. As outlined in the Preface, the criteria have been developed to
  5174. serve a number of intended purposes: 
  5175.  
  5176.      To provide 
  5177.  
  5178.             >a standard 
  5179.  
  5180.      to manufacturers as to what security features to build
  5181.      into their new and planned, ... trust requirements      
  5182.  
  5183.            >(with particular emphasis on preventing the       
  5184.      >disclosure of data)
  5185.  
  5186.      for sensitive applications.
  5187.  
  5188.      To provide 
  5189.  
  5190.         >DoD components 
  5191.  
  5192.      with a metric with which to evaluate 
  5193.      the degree of trust that can be placed in ...
  5194.  
  5195.      To provide a basis for specifying security requirements in 
  5196.      acquisition specifications.
  5197.  
  5198. With respect to the 
  5199.  
  5200.     >second
  5201.  
  5202. purpose for development of the criteria, i.e., providing
  5203.  
  5204.     >DoD components 
  5205.  
  5206. with a security evaluation metric, evaluations can be
  5207. delineated into two types: (a) an evaluation can be
  5208. performed on a computer product from a perspective that
  5209. excludes the application environment; or, (b) it can be
  5210. done to assess whether appropriate security measures ...
  5211.  
  5212. The latter type of evaluation, i.e., those done for the purpose 
  5213. of assessing a system's security attributes with respect to a 
  5214. specific operational mission, is known as a certification 
  5215. evaluation.  It must be understood that the completion of a 
  5216. formal product evaluation does not constitute certification or 
  5217. accreditation for the system to be used in any specific 
  5218. application environment.  On the contrary, the evaluation report 
  5219. only provides a trusted computer system's evaluation rating along 
  5220. with supporting data describing the product system's strengths 
  5221. and weaknesses from a computer security point of view.  The 
  5222. system security certification and the formal 
  5223. approval/accreditation procedure, done in accordance with the 
  5224. applicable policies of the issuing agencies, must still be 
  5225. followed before a system can be approved for use in processing or 
  5226. handling classified information.,8;9.  
  5227.  
  5228.     >Designated Approving Authorities (DAAs) remain ultimately
  5229.     >responsible for specifying security of systems they
  5230.     >accredit.    
  5231.  
  5232. The trusted computer system evaluation criteria will be used 
  5233. directly and indirectly in the certification process.  Along with 
  5234. applicable policy, it will be used directly as 
  5235.  
  5236.     >technical guidance
  5237.  
  5238. for evaluation of the total system and for specifying system
  5239. security and certification requirements for new acquisitions.  Where
  5240. a system being evaluated for certification employs a product that 
  5241. has undergone a Commercial Product Evaluation, reports from that 
  5242. process will be used as input to the certification evaluation. 
  5243. Technical data will be furnished to designers, evaluators and the 
  5244. Designated Approving Authorities to support their needs for 
  5245. making decisions.
  5246.  
  5247.  
  5248.                                      
  5249.      2.1.4.3  Test Documentation
  5250.  
  5251.           The system developer will provide to the evaluators a 
  5252.           document that describes the test plan, 
  5253.  
  5254.             >test procedures that show how the security mechanisms were tested,
  5255.  
  5256.           and results of the security mechanisms' functional testing.
  5257.  
  5258.  
  5259.  
  5260.  
  5261. Changed Section 2.2.1.1 as follows:  
  5262.  
  5263.      2.2.1.1  Discretionary Access Control
  5264.  
  5265.           The TCB shall define and control access between named 
  5266.           users and named objects (e.g., files and programs) in 
  5267.           the ADP system.  The enforcement mechanism (e.g., 
  5268.           self/group/public controls, access control lists) shall 
  5269.           allow users to specify and control sharing of those 
  5270.           objects by named individuals, or defined groups of 
  5271.           individuals, or by both, 
  5272.  
  5273.         >and shall provide controls to 
  5274.               >limit propagation of access rights.  
  5275.  
  5276.           The discretionary access control mechanism shall,
  5277.           either by explicit user action or by default, provide that
  5278.     objects are protected from unauthorized access.  These
  5279.     access controls shall be capable of including or excluding
  5280.     access to the granularity of a single user.  Access
  5281.     permission to an object by users not already possessing
  5282.     access permission shall only be assigned by authorized
  5283.     users.
  5284.  
  5285.                                      
  5286.  
  5287. Completely Reworded Section 2.2.1.2 as follows:  
  5288.  
  5289.      2.2.1.2  Object Reuse
  5290.  
  5291.  
  5292.           All authorizations to the information contained within 
  5293.           a storage object shall be revoked prior to initial 
  5294.           assignment, allocation or reallocation to a subject 
  5295.           from the TCB's pool of unused storage objects.  No 
  5296.           information, including encrypted representations of 
  5297.           information, produced by a prior subject's actions is 
  5298.           to be available to any subject that obtains access to 
  5299.           an object that has been released back to the system.  
  5300.  
  5301.  
  5302.                                      
  5303.  
  5304. Reworded Section 2.2.2.2 as follows:  
  5305.  
  5306.      2.2.2.2  Audit
  5307.  
  5308.           The TCB shall be able to create, maintain, and protect 
  5309.           from modification or unauthorized access or destruction 
  5310.           an audit trail of accesses to the objects it protects. 
  5311.           The audit data shall be protected by the TCB so that 
  5312.           read access to it is limited to those who are 
  5313.           authorized for audit data.  The TCB shall be able to 
  5314.           record the following types of events:  use of 
  5315.           identification and authentication mechanisms, 
  5316.           introduction of objects into a user's address space 
  5317.           (e.g., file open, program initiation), deletion of 
  5318.           objects, actions taken by computer operators and system 
  5319.           administrators and/or system security officers, 
  5320.  
  5321.         >and other security relevant events.
  5322.  
  5323.           For each recorded event, the audit record shall
  5324.     identify: date and time of the event, user, type of event,
  5325.     and success or failure of the event.  For
  5326.     identification/authentication events the origin of request
  5327.     (e.g., terminal ID) shall be included in the audit record.
  5328.     For events that introduce an object into a user's address
  5329.     space and for object deletion events the audit record shall
  5330.     include the name of the object.  The ADP system
  5331.     administrator shall be able to selectively audit the
  5332.     actions of any one or more users based on individual
  5333.     identity.
  5334.  
  5335.                                      
  5336.  
  5337.  
  5338.  
  5339. Changed Section 2.2.4.3 as follows: 
  5340.  
  5341.     2.2.4.3  Test Documentation
  5342.  
  5343.           The system developer will provide to the evaluators a 
  5344.           document that describes the test plan, 
  5345.  
  5346.         >test procedures that show how the
  5347.         >security mechanisms were tested, 
  5348.  
  5349.           and results of the security mechanisms' functional testing.
  5350.  
  5351.  
  5352.  
  5353. Changed Section 3.1.1.1 as follows: 
  5354.  
  5355.      3.1.1.1  Discretionary Access Control
  5356.  
  5357.           The TCB shall define and control access between named 
  5358.           users and named objects (e.g., files and programs) in 
  5359.           the ADP system.  The enforcement mechanism (e.g., 
  5360.           self/group/public controls, access control lists) shall 
  5361.           allow users to specify and control sharing of those 
  5362.           objects by named individuals, or defined groups of 
  5363.           individuals, or by both, 
  5364.  
  5365.         >and shall provide controls to 
  5366.               >limit propagation of access rights.
  5367.  
  5368.           The discretionary access control mechanism shall,
  5369.     either by explicit user action or by default, provide that
  5370.     objects are protected from unauthorized access.  These
  5371.     access controls shall be capable of including or excluding
  5372.     access to the granularity of a single user.  Access
  5373.     permission to an object by users not already possessing
  5374.     access permission shall only be assigned by authorized
  5375.     users.
  5376.  
  5377.                                      
  5378.  
  5379. Completely reworded Section 3.1.1.2 as follows:  
  5380.  
  5381.      3.1.1.2  Object Reuse
  5382.  
  5383.           All authorizations to the information contained within 
  5384.           a storage object shall be revoked prior to initial 
  5385.           assignment, allocation or reallocation to a subject 
  5386.           from the TCB's pool of unused storage objects.  No 
  5387.           information, including encrypted representations of 
  5388.           information, produced by a prior subject's actions is 
  5389.           to be available to any subject that obtains access to 
  5390.           an object that has been released back to the system.  
  5391.  
  5392.  
  5393.  
  5394.  
  5395. Changed Section 3.1.1.3.2 as follows: 
  5396.  
  5397.           3.1.1.3.2  Exportation of Labeled Information
  5398.  
  5399.                The TCB shall designate each communication channel 
  5400.                and I/O device as either single-level or 
  5401.                multilevel.  Any change in this designation shall 
  5402.                be done manually and shall be auditable by the 
  5403.                TCB.  The TCB shall maintain and be able to audit 
  5404.                any change in the /current/ security level or 
  5405.                levels associated with a /single-level/ communication 
  5406.                channel or I/O device.
  5407.  
  5408.  
  5409. Appended a sentence to Section 3.1.1.4 as follows:
  5410.  
  5411.         3.1.1.4  Mandatory Access Control
  5412.  
  5413.         ... Identification and authentication data shall be used
  5414.                     by the TCB to authenticate the user's identity 
  5415.         and to ensure that the security level and authorization
  5416.         of subjects external to the TCB that may be created to
  5417.         act on behalf of the individual user are dominated by
  5418.         the clearance and authorization of that user.
  5419.  
  5420.  
  5421. Changed one sentence in Section 3.1.2.1 as follows:
  5422.  
  5423.         3.1.2.1.  Identification and Authentication
  5424.  
  5425.         ... This data shall be used by the TCB to authenticate
  5426.         the user's identity and /to determine/ 
  5427.  
  5428.             >to ensure that
  5429.  
  5430.         the security level and authorizations of subjects
  5431.  
  5432.             >external to the TCB 
  5433.  
  5434.         that may be created to act on
  5435.         behalf of the individual user 
  5436.  
  5437.             >are dominated by the clearance 
  5438.             >and authorization of that user.                 
  5439.                    
  5440.                                      
  5441. Reworded Section 3.1.2.2 as follows: 
  5442.  
  5443.      3.1.2.2  Audit
  5444.  
  5445.           The TCB shall be able to create, maintain, and protect 
  5446.           from modification or unauthorized access or destruction 
  5447.           an audit trail of accesses to the objects it protects. 
  5448.           The audit data shall be protected by the TCB so that 
  5449.           read access to it is limited to those who are 
  5450.           authorized for audit data.  The TCB shall be able to 
  5451.           record the following types of events:  use of 
  5452.           identification and authentication mechanisms, 
  5453.           introduction of objects into a user's address space 
  5454.           (e.g., file open, program initiation), deletion of 
  5455.           objects, actions taken by computer operators and system 
  5456.           administrators and/or system security officers,
  5457.  
  5458.         > and other security relevant events. 
  5459.  
  5460.     The TCB shall also be able to audit any override
  5461.     of human-readable output markings.  For each recorded
  5462.     event, the audit record shall identify: date and time of
  5463.     the event, user, type of event, and success or failure of
  5464.     the event.  For identification/authentication events the
  5465.     origin of request (e.g., terminal ID) shall be included in
  5466.     the audit record.  For events that introduce an object into
  5467.     a user's address space and for object deletion events the
  5468.     audit record shall include the name of the object and the
  5469.     object's security level.  The ADP system administrator
  5470.     shall be able to selectively audit the actions of any one
  5471.     or more users based on individual identity and/or object
  5472.     security level.
  5473.  
  5474.  
  5475. 'Unbolded' the first sentence of Section 3.1.3.2.1.
  5476.  
  5477.  
  5478. Reworded Section 3.1.3.2.2 as follows: 
  5479.  
  5480.           3.1.3.2.2  Design Specification and Verification
  5481.  
  5482.                An informal or formal model of the security policy 
  5483.                supported by the TCB shall be maintained  
  5484.  
  5485.         >over the life cycle of the ADP system and demonstrated 
  5486.  
  5487.          to be consistent with its axioms.
  5488.  
  5489.  
  5490. Changed sentence as follows: 
  5491.  
  5492.      3.1.4.3  Test Documentation
  5493.  
  5494.           The system developer will provide to the evaluators a 
  5495.           document that describes the test plan, 
  5496.  
  5497.         >test procedures that show how the security 
  5498.         >mechanisms were tested, 
  5499.  
  5500.     and results of the security mechanisms' functional testing.
  5501.  
  5502.  
  5503. Changed Section 3.2.1.1 as follows: 
  5504.  
  5505.      3.2.1.1  Discretionary Access Control
  5506.  
  5507.           The TCB shall define and control access between named 
  5508.           users and named objects (e.g., files and programs) in 
  5509.           the ADP system.  The enforcement mechanism (e.g., 
  5510.           self/group/public controls, access control lists) shall 
  5511.           allow users to specify and control sharing of those 
  5512.           objects by named individuals, or defined groups of 
  5513.           individuals, or by both, 
  5514.  
  5515.         >and shall provide controls to 
  5516.         >limit propagation of access rights.  
  5517.  
  5518.     The discretionary access control mechanism shall,
  5519.     either by explicit user action or by default, provide that
  5520.     objects are protected from unauthorized access.  These
  5521.     access controls shall be capable of including or excluding
  5522.     access to the granularity of a single user.  Access
  5523.     permission to an object by users not already possessing
  5524.     access permission shall only be assigned by authorized
  5525.     users.
  5526.  
  5527.                                      
  5528. Completely reworded Section 3.2.1.2 as follows: 
  5529.  
  5530.      3.2.1.2  Object Reuse
  5531.  
  5532.           All authorizations to the information contained within 
  5533.           a storage object shall be revoked prior to initial 
  5534.           assignment, allocation or reallocation to a subject 
  5535.           from the TCB's pool of unused storage objects.  No 
  5536.           information, including encrypted representations of 
  5537.           information, produced by a prior subject's actions is 
  5538.           to be available to any subject that obtains access to 
  5539.           an object that has been released back to the system.  
  5540.  
  5541.  
  5542.  
  5543.  
  5544. Changed Section 3.2.1.3 as follows: 
  5545.  
  5546.      3.2.1.3  Labels
  5547.  
  5548.           Sensitivity labels associated with each ADP system 
  5549.           resource (e.g., subject, storage object, ROM) that is 
  5550.           directly or indirectly accessible by subjects external 
  5551.           to the TCB shall be maintained by the TCB.  These 
  5552.           labels shall be used as the basis for mandatory access 
  5553.           control decisions.  In order to import non-labeled 
  5554.           data, the TCB shall request and receive from an 
  5555.           authorized user the security level of the data, and all 
  5556.           such actions shall be auditable by the TCB.
  5557.  
  5558.                                      
  5559.  
  5560. Changed Section 3.2.1.3.2 as follows: 
  5561.  
  5562.           3.2.1.3.2  Exportation of Labeled Information
  5563.  
  5564.                The TCB shall designate each communication channel 
  5565.                and I/O device as either single-level or 
  5566.                multilevel.  Any change in this designation shall 
  5567.                be done manually and shall be auditable by the 
  5568.                TCB.  The TCB shall maintain and be able to audit 
  5569.                any change in the /current/ security level or 
  5570.                levels associated with a /single-level/ 
  5571.                communication channel or I/O device.
  5572.  
  5573.  
  5574. Appended Sectence to Section 3.2.1.4 as follows:
  5575.  
  5576.         3.2.1.4  Mandatory Access Control
  5577.  
  5578.         ... Identification and authentication data shall be
  5579.         used by the TCB to authenticate the user's identity
  5580.         and to ensure that the security level and authorization
  5581.         of subjects external to the TCB that may be created to
  5582.         act on behalf of the individual user are dominated by
  5583.         the clearance and authorization of that user.
  5584.  
  5585. Changed Section 3.2.2.1 as follows:
  5586.  
  5587.         3.2.2.1  Identification and Authentication
  5588.  
  5589.         ... This data shall be used by the TCB to authenticate
  5590.         the user's identity and /to determine/
  5591.  
  5592.             >to ensure that
  5593.  
  5594.         the security level and authorizations of subjects
  5595.  
  5596.             >external to the TCB 
  5597.  
  5598.         that may be created to act on
  5599.         behalf of the individual user 
  5600.  
  5601.             >are dominated by the clearance
  5602.             >and authorization of that user.                 
  5603.             
  5604.  
  5605.                                      
  5606. Reworded section 3.2.2.2 as follows:  
  5607.  
  5608.      3.2.2.2  Audit
  5609.  
  5610.           The TCB shall be able to create, maintain, and protect 
  5611.           from modification or unauthorized access or destruction 
  5612.           an audit trail of accesses to the objects it protects. 
  5613.           The audit data shall be protected by the TCB so that 
  5614.           read access to it is limited to those who are 
  5615.           authorized for audit data.  The TCB shall be able to 
  5616.           record the following types of events:  use of 
  5617.           identification and authentication mechanisms, 
  5618.           introduction of objects into a user's address space 
  5619.           (e.g., file open, program initiation), deletion of 
  5620.           objects, actions taken by computer operators and system 
  5621.           administrators and/or system security officers, 
  5622.  
  5623.         >and other security relevant events. 
  5624.  
  5625.     The TCB shall also be able to audit any override
  5626.     of human-readable output markings.  For each recorded
  5627.     event, the audit record shall identify: date and time of
  5628.     the event, user, type of event, and success or failure of
  5629.     the event.  For identification/authentication events the
  5630.     origin of request (e.g., terminal ID) shall be included in
  5631.     the audit record.  For events that introduce an object into
  5632.     a user's address space and for object deletion events the
  5633.     audit record shall include the name of the object and the
  5634.     object's security level.  The ADP system administrator
  5635.     shall be able to selectively audit the actions of any one
  5636.     or more users based on individual identity and/or object
  5637.     security level.  The TCB shall be able to audit the
  5638.     identified events that may be used in the exploitation of
  5639.     covert storage channels.
  5640.  
  5641.                                      
  5642.  
  5643. Changed Section 3.2.3.2.2 as follows: 
  5644.  
  5645.           3.2.3.2.2  Design Specification and Verification
  5646.  
  5647.                A formal model of the security policy supported by 
  5648.                the TCB shall be maintained 
  5649.  
  5650.         >over the life cycle of the ADP system 
  5651.  
  5652.                that is proven consistent with its 
  5653.                axioms.  A descriptive top-level specification 
  5654.                (DTLS) of the TCB shall be maintained that 
  5655.                completely and accurately describes the TCB in 
  5656.                terms of exceptions, error messages, and effects. 
  5657.                It shall be shown to be an accurate description of 
  5658.                the TCB interface.
  5659.  
  5660.  
  5661.  
  5662. Changed Section 3.2.4.3 as follows: 
  5663.  
  5664.      3.2.4.3  Test Documentation
  5665.  
  5666.           The system developer shall provide to the evaluators a 
  5667.           document that describes the test plan, 
  5668.  
  5669.         >test procedures that show how the 
  5670.         >security mechanisms were tested, 
  5671.  
  5672.     and results of the security mechanisms' functional testing. 
  5673.           It shall include results of testing the effectiveness 
  5674.           of the methods used to reduce covert channel 
  5675.           bandwidths.
  5676.  
  5677.                                      
  5678.  
  5679. Replaced "tamperproof" with "tamper resistant":  
  5680.  
  5681.      3.2.4.4  Design Documentation
  5682.  
  5683.           Documentation shall be available that provides a 
  5684.           description of the manufacturer's philosophy of 
  5685.           protection and an explanation of how this philosophy is 
  5686.           translated into the TCB.  The interfaces between the 
  5687.           TCB modules shall be described.  A formal description 
  5688.           of the security policy model enforced by the TCB shall 
  5689.           be available and proven that it is sufficient to 
  5690.           enforce the security policy.  The specific TCB 
  5691.           protection mechanisms shall be identified and an 
  5692.           explanation given to show that they satisfy the model. 
  5693.           The descriptive top-level specification (DTLS) shall be 
  5694.           shown to be an accurate description of the TCB 
  5695.           interface.  Documentation shall describe how the TCB 
  5696.           implements the reference monitor concept and give an 
  5697.           explanation why it is 
  5698.  
  5699.         >tamper resistant, 
  5700.  
  5701.     cannot be bypassed, and is correctly implemented.
  5702.     Documentation shall describe how the TCB is structured to
  5703.     facilitate testing and to enforce least privilege.  This
  5704.     documentation shall also present the results of the covert
  5705.     channel analysis and the tradeoffs involved in restricting
  5706.     the channels.  All auditable events that may be used in the
  5707.     exploitation of known covert storage channels shall be
  5708.     identified.  The bandwidths of known covert storage
  5709.     channels, the use of which is not detectable by the
  5710.     auditing mechanisms, shall be provided.  (See the Covert
  5711.     Channel Guideline section.)
  5712.  
  5713.                                      
  5714.  
  5715. Changed Section 3.3.1.1 as follows: 
  5716.  
  5717.      3.3.1.1  Discretionary Access Control
  5718.  
  5719.           The TCB shall define and control access between named 
  5720.           users and named objects (e.g., files and programs) in 
  5721.           the ADP system.  The enforcement mechanism (e.g., 
  5722.           access control lists) shall allow users to specify and 
  5723.           control sharing of those objects, 
  5724.  
  5725.         >and shall provide controls to limit 
  5726.         >propagation of access rights.  
  5727.  
  5728.     The discretionary access control mechanism shall, either by 
  5729.           explicit user action or by default, provide that 
  5730.           objects are protected from unauthorized access.  These 
  5731.           access controls shall be capable of specifying, for 
  5732.           each named object, a list of named individuals and a 
  5733.           list of groups of named individuals with their 
  5734.           respective modes of access to that object. 
  5735.           Furthermore, for each such named object, it shall be 
  5736.           possible to specify a list of named individuals and a 
  5737.           list of groups of named individuals for which no access 
  5738.           to the object is to be given.  Access permission to an 
  5739.           object by users not already possessing access 
  5740.           permission shall only be assigned by authorized users.
  5741.  
  5742.  
  5743.  
  5744. Completely reworded Section 3.3.1.2 as follows:  
  5745.  
  5746.      3.3.1.2  Object Reuse
  5747.  
  5748.           All authorizations to the information contained within 
  5749.           a storage object shall be revoked prior to initial 
  5750.           assignment, allocation or reallocation to a subject 
  5751.           from the TCB's pool of unused storage objects.  No 
  5752.           information, including encrypted representations of 
  5753.           information, produced by a prior subject's actions is 
  5754.           to be available to any subject that obtains access to 
  5755.           an object that has been released back to the system.  
  5756.  
  5757.  
  5758.  
  5759.  
  5760. Changed Section 3.3.1.3 as follows: 
  5761.  
  5762.      3.3.1.3  Labels
  5763.  
  5764.           Sensitivity labels associated with each ADP system 
  5765.           resource (e.g., subject, storage object, ROM) that is 
  5766.           directly or indirectly accessible by subjects external 
  5767.           to the TCB shall be maintained by the TCB.  These 
  5768.           labels shall be used as the basis for mandatory access 
  5769.           control decisions.  In order to import non-labeled 
  5770.           data, the TCB shall request and receive from an 
  5771.           authorized user the security level of the data, and all 
  5772.           such actions shall be auditable by the TCB.
  5773.  
  5774.  
  5775.                                      
  5776. Changed Section 3.3.1.3.2 as follows: 
  5777.  
  5778.           3.3.1.3.2  Exportation of Labeled Information
  5779.  
  5780.                The TCB shall designate each communication channel 
  5781.                and I/O device as either single-level or 
  5782.                multilevel.  Any change in this designation shall 
  5783.                be done manually and shall be auditable by the 
  5784.                TCB.  The TCB shall maintain and be able to audit 
  5785.                any change in the /current/ security level or 
  5786.                levels associated with a /single-level/ 
  5787.                communication channel or I/O device.
  5788.                                      
  5789.  
  5790. Appended Sentence to Section 3.3.1.4 as follows:
  5791.  
  5792.         3.3.1.4  Mandatory Access Control
  5793.  
  5794.         ... Identification and authentication data shall be used
  5795.                     by the TCB to authenticate the user's identity 
  5796.         and to ensure that the security level and authorization
  5797.         of subjects external to the TCB that may be created to
  5798.         act on behalf of the individual user are dominated by
  5799.         the clearance and authorization of that user.
  5800.  
  5801.  
  5802.  
  5803. Changed Section 3.3.2.1 as follows:
  5804.  
  5805.         3.3.2.1  Identification and Authentication
  5806.  
  5807.         ... This data shall be used by the TCB to authenticate
  5808.         the user's identity and /to determine/ 
  5809.  
  5810.             >to ensure that
  5811.  
  5812.         the security level and authorizations of subjects
  5813.  
  5814.             >external to the TCB 
  5815.  
  5816.         that may be created to act on
  5817.         behalf of the individual user 
  5818.  
  5819.             >are dominated by the clearance 
  5820.             >and authorization of that user.                 
  5821.             
  5822.  
  5823.  
  5824.                                      
  5825. Changed Section 3.3.2.2 as follows: 
  5826.  
  5827.      3.3.2.2  Audit
  5828.  
  5829.           The TCB shall be able to create, maintain, and protect 
  5830.           from modification or unauthorized access or destruction 
  5831.           an audit trail of accesses to the objects it protects. 
  5832.           The audit data shall be protected by the TCB so that 
  5833.           read access to it is limited to those who are 
  5834.           authorized for audit data.  The TCB shall be able to 
  5835.           record the following types of events:  use of 
  5836.           identification and authentication mechanisms, 
  5837.           introduction of objects into a user's address space 
  5838.           (e.g., file open, program initiation), deletion of 
  5839.           objects, actions taken by computer operators and system 
  5840.           administrators and/or system security officers, 
  5841.     
  5842.         >and other security relevant events.  
  5843.     
  5844.     The TCB shall also be able to audit any override
  5845.     of human-readable output markings.  For each recorded
  5846.     event, the audit record shall identify: date and time of
  5847.     the event, user, type of event, and success or failure of
  5848.     the event.  For identification/authentication events the
  5849.     origin of request (e.g., terminal ID) shall be included in
  5850.     the audit record.  For events that introduce an object into
  5851.     a user's address space and for object deletion events the
  5852.     audit record shall include the name of the object and the
  5853.     object's security level.  The ADP system administrator
  5854.     shall be able to selectively audit the actions of any one
  5855.     or more users based on individual identity and/or object
  5856.     security level.  The TCB shall be able to audit the
  5857.     identified events that may be used in the exploitation of
  5858.     covert storage channels.  The TCB shall contain a mechanism
  5859.     that is able to monitor the occurrence or accumulation of
  5860.     security auditable events that may indicate an imminent
  5861.     violation of security policy.  This mechanism shall be able
  5862.     to immediately notify the security administrator when
  5863.     thresholds are exceeded, 
  5864.  
  5865.         >and if the occurrence or accumulation
  5866.         >of these security relevant events continues, 
  5867.         >the system shall take the least disruptive 
  5868.         >action to terminate the event.
  5869.  
  5870.  
  5871. Changed the first sentence of Section 3.3.3.2.2 as follows:
  5872.  
  5873.     3.3.3.2.2  Design Specification and Verification
  5874.  
  5875.         A formal model of the security policy supported by
  5876.         the TCB shall be maintained 
  5877.  
  5878.             >over the life cycle of
  5879.             >the ADP system 
  5880.  
  5881.         that is proven consistent with its axioms. ...
  5882.  
  5883. Changed Section 3.3.4.3 as follows:  
  5884.  
  5885.      3.3.4.3  Test Documentation
  5886.  
  5887.           The system developer shall provide to the evaluators a 
  5888.           document that describes the test plan, 
  5889.  
  5890.         >test procedures that show how the 
  5891.         >security mechanisms were tested, 
  5892.  
  5893.     and results of the security mechanisms' functional testing. 
  5894.           It shall include results of testing the effectiveness 
  5895.           of the methods used to reduce covert channel 
  5896.           bandwidths.
  5897.  
  5898. Replaced "tamperproof" with "tamper resistant" in Section 3.3.4.4.
  5899.  
  5900.                                      
  5901.  
  5902. Changed Section 4.1.1.1 as follows:  
  5903.  
  5904.      4.1.1.1  Discretionary Access Control
  5905.  
  5906.           The TCB shall define and control access between named 
  5907.           users and named objects (e.g., files and programs) in 
  5908.           the ADP system.  The enforcement mechanism (e.g., 
  5909.           access control lists) shall allow users to specify and 
  5910.           control sharing of those objects, 
  5911.  
  5912.         >and shall provide controls to 
  5913.         >limit propagation of access rights.  
  5914.  
  5915.     The discretionary access control mechanism shall, either by 
  5916.           explicit user action or by default, provide that 
  5917.           objects are protected from unauthorized access.  These 
  5918.           access controls shall be capable of specifying, for 
  5919.           each named object, a list of named individuals and a 
  5920.           list of groups of named individuals with their 
  5921.           respective modes of access to that object. 
  5922.           Furthermore, for each such named object, it shall be 
  5923.           possible to specify a list of named individuals and a 
  5924.           list of groups of named individuals for which no access 
  5925.           to the object is to be given.  Access permission to an 
  5926.           object by users not already possessing access 
  5927.           permission shall only be assigned by authorized users.
  5928.                                      
  5929.  
  5930.  
  5931. Completely reworded Section 4.1.1.2 as follows:  
  5932.  
  5933.      4.1.1.2  Object Reuse
  5934.  
  5935.           All authorizations to the information contained within 
  5936.           a storage object shall be revoked prior to initial 
  5937.           assignment, allocation or reallocation to a subject 
  5938.           from the TCB's pool of unused storage objects.  No 
  5939.           information, including encrypted representations of 
  5940.           information, produced by a prior subject's actions is 
  5941.           to be available to any subject that obtains access to 
  5942.           an object that has been released back to the system.  
  5943.  
  5944.  
  5945.  
  5946.  
  5947. Changed Section 4.1.1.3 as follows:  
  5948.  
  5949.      4.1.1.3  Labels
  5950.  
  5951.           Sensitivity labels associated with each ADP system 
  5952.           resource (e.g., subject, storage object, 
  5953.  
  5954.         >ROM) 
  5955.  
  5956.     that is directly or indirectly accessible by subjects 
  5957.     external to the TCB shall be maintained by the TCB.  These 
  5958.           labels shall be used as the basis for mandatory access 
  5959.           control decisions.  In order to import non-labeled 
  5960.           data, the TCB shall request and receive from an 
  5961.           authorized user the security level of the data, and all 
  5962.           such actions shall be auditable by the TCB.
  5963.  
  5964.                                      
  5965.  
  5966. Changed Section 4.1.1.3.2 as follows: 
  5967.  
  5968.           4.1.1.3.2  Exportation of Labeled Information
  5969.  
  5970.                The TCB shall designate each communication channel 
  5971.                and I/O device as either single-level or 
  5972.                multilevel.  Any change in this designation shall 
  5973.                be done manually and shall be auditable by the 
  5974.                TCB.  The TCB shall maintain and be able to audit 
  5975.                any change in the /current/ security level 
  5976.  
  5977.         >or levels 
  5978.  
  5979.          associated with a /single-level/ 
  5980.                communication channel or I/O device.
  5981.  
  5982.  
  5983. Appended Sentence to Section 4.1.1.4 as follows:
  5984.  
  5985.         4.1.1.4  Mandatory Access Control
  5986.  
  5987.         ... Identification and authentication data shall be used
  5988.         by the TCB to authenticate the user's identity 
  5989.         and to ensure that the security level and authorization 
  5990.         of subjects external to the TCB that may be created to 
  5991.         act on behalf of the individual user are dominated by 
  5992.         the clearance and authorization of that user.
  5993.  
  5994.  
  5995.  
  5996. Changed Section 4.1.2.1 as follows:
  5997.  
  5998.         4.1.2.1  Identification and Authentication
  5999.  
  6000.         ... This data shall be used by the TCB to authenticate
  6001.         the user's identity and /to determine/ 
  6002.  
  6003.             >to ensure that
  6004.  
  6005.         the security level and authorizations of subjects
  6006.  
  6007.             >external to the TCB 
  6008.  
  6009.         that may be created to act on
  6010.         behalf of the individual user 
  6011.  
  6012.             >are dominated by the clearance 
  6013.             >and authorization of that user.                 
  6014.                
  6015.  
  6016.  
  6017. Changed Section 4.1.2.2 as follows: 
  6018.  
  6019.  
  6020.      4.1.2.2  Audit
  6021.  
  6022.           The TCB shall be able to create, maintain, and protect 
  6023.           from modification or unauthorized access or destruction 
  6024.           an audit trail of accesses to the objects it protects. 
  6025.           The audit data shall be protected by the TCB so that 
  6026.           read access to it is limited to those who are 
  6027.           authorized for audit data.  The TCB shall be able to 
  6028.           record the following types of events:  use of 
  6029.           identification and authentication mechanisms, 
  6030.           introduction of objects into a user's address space 
  6031.           (e.g., file open, program initiation), deletion of 
  6032.           objects, actions taken by computer operators and system 
  6033.           administrators and/or system security officers, 
  6034.  
  6035.         >and other security relevant events.  
  6036.  
  6037.     The TCB shall also be able to audit any override
  6038.     of human-readable output markings.  For each recorded
  6039.     event, the audit record shall identify: date and time of
  6040.     the event, user, type of event, and success or failure of
  6041.     the event.  For identification/authentication events the
  6042.     origin of request (e.g., terminal ID) shall be included in
  6043.     the audit record.  For events that introduce an object into
  6044.     a user's address space and for object deletion events the
  6045.     audit record shall include the name of the object and the
  6046.     object's security level.  The ADP system administrator
  6047.     shall be able to selectively audit the actions of any one
  6048.     or more users based on individual identity and/or object
  6049.     security level.  The TCB shall be able to audit the
  6050.     identified events that may be used in the exploitation of
  6051.     covert storage channels.  The TCB shall contain a mechanism
  6052.     that is able to monitor the occurrence or accumulation of
  6053.     security auditable events that may indicate an imminent
  6054.     violation of security policy.  This mechanism shall be able
  6055.     to immediately notify the security administrator when
  6056.     thresholds are exceeded, 
  6057.  
  6058.         >and, if the occurrence or accumulation of these 
  6059.         >security relevant events continues, the system 
  6060.         >shall take the least disruptive action to
  6061.         >terminate the event.
  6062.  
  6063.                                      
  6064. 'Unbolded' the words "covert channels" in Section 4.1.3.1.3.
  6065.  
  6066.  
  6067. Changed the first sentence of Section 4.1.3.2.2 as follows:
  6068.  
  6069.     4.1.3.2.2  Design Specification and Verification
  6070.  
  6071.         A formal model of the security policy supported by
  6072.         the TCB shall be maintained 
  6073.  
  6074.             >over the life cycle of the ADP system 
  6075.  
  6076.         that is proven consistent with its axioms. ...
  6077.  
  6078.  
  6079.  
  6080. Changed Section 4.1.4.3 as follows: 
  6081.  
  6082.      4.1.4.3  Test Documentation
  6083.  
  6084.           The system developer shall provide to the evaluators a 
  6085.           document that describes the test plan, 
  6086.  
  6087.         >test procedures that show how the security 
  6088.         >mechanisms were tested, and 
  6089.  
  6090.           results of the security mechanisms' functional testing. 
  6091.           It shall include results of testing the effectiveness 
  6092.           of the methods used to reduce covert channel 
  6093.           bandwidths.  The results of the mapping between the 
  6094.           formal top-level specification and the TCB source code 
  6095.           shall be given.
  6096.  
  6097.  
  6098.  
  6099. Replaced "tamperproof" with "tamper resistant" in Section 4.1.4.4.
  6100.  
  6101.  
  6102. Changed the last paragraph of Section 5.1 as follows:
  6103.  
  6104.                                      
  6105. 5.1  A Need for Consensus
  6106.  
  6107.      A major goal of ... 
  6108.  
  6109.      As described ... 
  6110.  
  6111.          >The Purpose of this section is to describe in detail the 
  6112.     >fundamental control objectives.  These objectives lay the 
  6113.          >foundation for the requirements outlined in the criteria. 
  6114.  
  6115.      The goal is to explain the foundations so that those outside 
  6116.      the National Security Establishment can assess their 
  6117.      universality and, by extension, the universal applicability 
  6118.      of the criteria requirements to processing all types of 
  6119.      sensitive applications whether they be for National Security 
  6120.      or the private sector.
  6121.  
  6122.  
  6123.  
  6124. Changed the second paragraph of Section 6.2 as follows:
  6125.  
  6126. 6.2  A Formal Policy Model
  6127.  
  6128.     Following the publication of ...
  6129.  
  6130.         >A subject can act on behalf of a user or another 
  6131.         >subject.  The subject is created as a surrogate 
  6132.         >for the cleared user and is assigned a formal 
  6133.         >security level based on their classification.
  6134.         >The state transitions and invariants of the formal 
  6135.         >policy model define the invariant relationships 
  6136.         >that must hold between the clearance of the user, 
  6137.         >the formal security level of any process that can 
  6138.         >act on the user's behalf, and the formal security 
  6139.         >level of the devices and other objects to which any 
  6140.         >process can obtain specific modes of access.  
  6141.  
  6142.     The Bell and LaPadula model, 
  6143.  
  6144.         >for example, 
  6145.  
  6146.     defines a relationship between 
  6147.  
  6148.         >formal security levels of subjects and objects, 
  6149.  
  6150.     now referenced as the "dominance relation."  From this definition ...
  6151.     ... Both the Simple Security Condition and the *-Property 
  6152.     include mandatory security provisions based on the dominance
  6153.     relation between the 
  6154.  
  6155.         >formal security levels of subjects and    objects.  
  6156.  
  6157.     The Discretionary Security Property ...
  6158.  
  6159.                                      
  6160.  
  6161.  
  6162. Added a sentence to the end of Section 7.0: 
  6163.  
  6164.  
  6165. 7.0  THE RELATIONSHIP BETWEEN POLICY AND THE CRITERIA
  6166.  
  6167.      Section 1 presents fundamental computer security 
  6168.      requirements and Section 5 presents the control objectives 
  6169.      for Trusted Computer Systems.  They are general 
  6170.      requirements, useful and necessary, for the development of 
  6171.      all secure systems.  However, when designing systems that 
  6172.      will be used to process classified or other sensitive 
  6173.      information, functional requirements for meeting the Control 
  6174.      Objectives become more specific.  There is a large body of 
  6175.      policy laid down in the form of Regulations, Directives, 
  6176.      Presidential Executive Orders, and OMB Circulars that form 
  6177.      the basis of the procedures for the handling and processing 
  6178.      of Federal information in general and classified information 
  6179.      specifically.  This section presents pertinent excerpts from 
  6180.      these policy statements and discusses their relationship to 
  6181.      the Control Objectives.  
  6182.  
  6183.     >These excerpts are examples to illustrate the relationship 
  6184.     >of the policies to criteria and may not be complete.
  6185.  
  6186.  
  6187.  
  6188.                                      
  6189. Inserted the following 
  6190.  
  6191.     >as the next to last paragraph 
  6192.  
  6193. of Section 7.2:    
  6194.  
  6195.          >DoD Directive 5200.28 provides the security requirements for 
  6196.     >ADP systems.  For some types of information, such as 
  6197.          >Sensitive Compartmented Information (SCI), DoD Directive 
  6198.     >5200.28 states that other minimum security requirements also 
  6199.          >apply.  These minima are found in DCID 1/16 (new reference 
  6200.         >number 5) which is implemented in DIAM 50-4 (new reference 
  6201.          >number 6) for DoD and DoD contractor ADP systems.
  6202.  
  6203.      From requirements imposed by ... 
  6204.  
  6205.  
  6206. Changed Footnote #1 referenced by Section 7.2 as follows:
  6207.  
  6208.     Replaced "Health and Human Services Department" with "U.S. 
  6209.     Information Agency."
  6210.  
  6211.  
  6212.  
  6213. Changed (updated) the quote from DoD 5220.22-M, Section 7.3.1, as 
  6214. follows:
  6215.                                      
  6216. 7.3  Criteria Control Objective for Security Policy
  6217.  
  6218.      7.3.1  Marking
  6219.  
  6220.           The control objective for marking ... 
  6221.  
  6222.           DoD 5220.22-M, "Industrial Security ... 
  6223.  
  6224.               >"a.  General.  Classification designation by physical 
  6225.               >marking, notation or other means serves to warn and to 
  6226.               >inform the holder what degree of protection against 
  6227.               >unauthorized disclosure is required for that 
  6228.               >information or material." (14)
  6229.  
  6230.  
  6231.  
  6232. Changed the 
  6233.  
  6234.     >last paragraph 
  6235.  
  6236. of Section 7.5 as follows:
  6237.  
  6238.     A major component of assurance, life-cycle assurance, 
  6239.  
  6240.         >as described in DoD Directive 7920.1, 
  6241.  
  6242. is concerned with testing ADP systems both in the
  6243. development phase as well as during operation.
  6244.  
  6245.     >(17) 
  6246.  
  6247. DoD Directive 5215.1 ...
  6248.  
  6249.  
  6250.  
  6251. Changed Section 9.0 as follows:
  6252.                                      
  6253.  
  6254. 9.0  A GUIDELINE ON CONFIGURING MANDATORY ACCESS CONTROL FEATURES
  6255.  
  6256.      The Mandatory Access Control requirement ... 
  6257.  
  6258.      *    The number of hierarchical classifications should be 
  6259.           greater than or equal to 
  6260.  
  6261.         >sixteen (16).
  6262.  
  6263.      *    The number of non-hierarchical categories should be 
  6264.           greater than or equal to 
  6265.  
  6266.         >sixty-four (64)..
  6267.  
  6268.  
  6269.  
  6270. Completely reworded the third paragraph of Formal Product
  6271. Evaluation, in Appendix A, as follows:
  6272.                                      
  6273. Formal Product Evaluation
  6274.  
  6275. The formal product evaluation provides ... 
  6276.  
  6277. A formal product evaluation begins with ...   
  6278.  
  6279.     >The evaluation team writes a final report on their findings about 
  6280.     >the system.  The report is publicly available (containing no 
  6281.     >proprietary or sensitive information) and contains the overall 
  6282.     >class rating assigned to the system and the details of the 
  6283.     >evaluation team's findings when comparing the product against the 
  6284.     >evaluation criteria.  Detailed information concerning 
  6285.     >vulnerabilities found by the evaluation team is furnished to the 
  6286.     >system developers and designers as each is found so that the 
  6287.     >vendor has a chance to eliminate as many of them as possible 
  6288.     >prior to the completion of the Formal Product Evaluation. 
  6289.     >Vulnerability analyses and other proprietary or sensitive 
  6290.     >information are controlled within the Center through the 
  6291.     >Vulnerability Reporting Program and are distributed only within 
  6292.     >the U.S. Government on a strict need-to-know and non-disclosure 
  6293.     >basis, and to the vendor.
  6294.  
  6295.  
  6296.  
  6297. Changed two paragraphs in Audit (Appendix D) as follows: 
  6298.  
  6299.  
  6300.  C2: NEW: The TCB shall be able to create, maintain, and protect 
  6301.      from modification or unauthorized access or destruction an 
  6302.      audit trail of accesses to the objects it protects.  The 
  6303.      audit data shall be protected by the TCB so that read access 
  6304.      to it is limited to those who are authorized for audit data. 
  6305.      The TCB shall be able to record the following types of 
  6306.      events: use of identification and authentication mechanisms, 
  6307.      introduction of objects into a user's address space (e.g., 
  6308.      file open, program initiation), deletion of objects, actions 
  6309.      taken by computer operators and system administrators and/or 
  6310.      system security officers, 
  6311.  
  6312.     >and other security relevant events.  
  6313.  
  6314.      or each recorded event, the audit record shall 
  6315.      identify:  date and time of the event, user, type of event, 
  6316.      and success or failure of the event.  For 
  6317.      identification/authentication events the origin of request 
  6318.      (e.g., terminal ID) shall be included in the audit record. 
  6319.      For events that introduce an object into a user's  address 
  6320.      space and for object deletion events the audit record shall 
  6321.      include the name of the object.  The ADP system 
  6322.      administrator shall be able to selectively audit the actions 
  6323.      of any one or more users based on individual identity.
  6324.  
  6325.  B3: ADD: ...when thresholds are exceeded, 
  6326.  
  6327.         >and, if the occurrence or accumulation of these 
  6328.         >security relevant events continues, the system 
  6329.         >shall take the least disruptive action to terminate
  6330.         >the event.
  6331.  
  6332.  
  6333. Changed one paragraph in Design Documentation (Appendix D):
  6334.  
  6335.  B2: ADD: Change "tamperproof" to "tamper resistant." 
  6336.  
  6337.  
  6338. Changed two paragraphs in Design Specification and Verification:
  6339.  
  6340.  B1: NEW: An informal or formal model of the security policy
  6341.     supported by the TCB shall be maintained 
  6342.  
  6343.               >over the life cycle of the ADP system and demonstrated 
  6344.  
  6345.     to be consistent with its axioms.
  6346.  
  6347.  B2: CHANGE: A formal model of the security policy supported by
  6348.     the TCB shall be maintained 
  6349.  
  6350.         >over the life cycle of the ADP system 
  6351.  
  6352.           that is proven consistent with its axioms.
  6353.  
  6354.  
  6355.  
  6356. Changed two paragraphs in Discretionary Access Control as follows:  
  6357.  
  6358.  C2: CHANGE: The enforcement mechanism (e.g., self/group/public 
  6359.      controls, access control lists) shall allow users to specify 
  6360.      and control sharing of those objects by named individuals, 
  6361.      or defined groups of individuals, or by both, 
  6362.  
  6363.     >and shall provide controls to limit propagation of access rights.  
  6364.  
  6365.  B3: CHANGE: The enforcement mechanism (e.g., access control 
  6366.      lists) shall allow users to specify and control sharing of 
  6367.      those objects, 
  6368.  
  6369.     >and shall provide controls to limit propagation of access rights.  
  6370.  
  6371.      These access controls shall be capable of specifying, for each 
  6372.      named object, a list of named individuals and a list of groups of
  6373.      named individuals with their respective modes of access to that object.
  6374.  
  6375.                                      
  6376. Changed 1 paragraph in Exportation of Labeled Information:
  6377.  
  6378.  
  6379.  B1: NEW: The TCB shall designate each communication channel and 
  6380.      I/O device as either single-level or multilevel.  Any change 
  6381.      in this designation shall be done manually and shall be 
  6382.      auditable by the TCB.  The TCB shall maintain and be able to 
  6383.      audit any change in the /current/ security level 
  6384.  
  6385.     >or levels 
  6386.  
  6387.      associated with a /single-level/ communication channel or 
  6388.      I/O device.
  6389.  
  6390.  
  6391. Changed 1 paragraph in Identification and Authorization:
  6392.  
  6393.  B1: CHANGE: ... This data shall be used by the TCB to authenticate
  6394.     the user's identity and 
  6395.  
  6396.         >to ensure that 
  6397.  
  6398.     the security level and authorizations of subjects external to 
  6399.     the TCB that may be    created to act on behalf of the individual 
  6400.     user 
  6401.  
  6402.         >are dominated by the clearance and authorization 
  6403.         >of that user.
  6404.  
  6405.  
  6406. Changed 1 paragraph in Labels:
  6407.  
  6408.  B2: CHANGE: ... (e.g., subject, storage object, ROM) ...
  6409.  
  6410.  
  6411. Changed 1 paragraph in Mandatory Access Control:
  6412.  
  6413.  B1: NEW: ... Identification and authentication data shall be used
  6414.  
  6415.     >by the TCB to authenticate the user's identity and to ensure
  6416.     >that the security level and authorization of subjects external
  6417.     >to the TCB that may be created to act on behalf of the
  6418.     >individual user are dominated by the clearance and authoriza-
  6419.     >tion of that user.
  6420.  
  6421.  
  6422. Rewrote 1 paragraph in Object Reuse:
  6423.  
  6424.  C2: NEW: 
  6425.     >All authorizations to the information contained 
  6426.      >within a storage object shall be revoked prior to initial 
  6427.      >assignment, allocation or reallocation to a subject from the 
  6428.      >TCB's pool of unused storage objects.  No information, 
  6429.      >including encrypted representations of information, produced 
  6430.      >by a prior subject's actions is to be available to any 
  6431.      >subject that obtains access to an object that has been 
  6432.      >released back to the system.
  6433.  
  6434.  
  6435. Changed l paragraph in Test Documentation:
  6436.  
  6437.  C1: NEW: The system developer shall provide to the evaluators a
  6438.     document that describes the test plan, 
  6439.  
  6440.         >test procedures that show how the security 
  6441.         >mechanisms were tested, 
  6442.  
  6443.     and results of the security mechanisms' functional testing.
  6444.  
  6445.  
  6446.                                      
  6447.                                  GLOSSARY 
  6448.  
  6449.  
  6450.  
  6451. Changed Discretionary Access Control: 
  6452.  
  6453. Discretionary Access Control - A means of restricting access to 
  6454.      objects based on the identity of subjects and/or groups to 
  6455.      which they belong.  The controls are discretionary in the 
  6456.      sense that a subject with a certain access permission is 
  6457.      capable of passing that permission (perhaps indirectly) on 
  6458.      to any other subject 
  6459.  
  6460.     (unless restrained by mandatory access control).
  6461.  
  6462. Added:
  6463.  
  6464. Front-End Security Filter - A process that is invoked to process 
  6465.      data according to a specified security policy prior to 
  6466.      releasing the data outside the processing environment or 
  6467.      upon receiving data from an external source.
  6468.  
  6469.  
  6470. Granularity - The relative fineness or coarseness by which a 
  6471.      mechanism can be adjusted.  The phrase "the granularity of 
  6472.      a single user" means the access control mechanism can be 
  6473.      adjusted to include or exclude any single user. 
  6474.  
  6475.  
  6476. Read-Only Memory (ROM) - A storage area in which the contents 
  6477.      can be read but not altered during normal computer 
  6478.      processing.
  6479.  
  6480.                                     
  6481. Security Relevant Event - Any event that attempts to change the 
  6482.      security state of the system, (e.g., change discretionary 
  6483.      access controls, change the security level of the subject, 
  6484.      change user password, etc.).  Also, any event that attempts 
  6485.      to violate the security policy of the system, (e.g., too 
  6486.      many attempts to login, attempts to violate the mandatory 
  6487.      access control limits of a device, attempts to downgrade a 
  6488.      file, etc.).
  6489.  
  6490.  
  6491. Changed the name of the term:
  6492.  
  6493. Simple Security /Property/ 
  6494.  
  6495.     >Condition 
  6496.  
  6497. - A Bell-LaPadula security model rule allowing a subject
  6498. read access to an object only if the security level of the
  6499. subject dominates the security level of the object.
  6500.  
  6501.  
  6502. Changed definition:  
  6503.  
  6504.  Trusted Computing Base (TCB) - The totality of protection 
  6505.      mechanisms within a computer system --including hardware, 
  6506.      firmware, and software -- the combination of which is 
  6507.      responsible for enforcing a security policy.  
  6508.  
  6509.     >A TCB consists of one or more components that together enforce 
  6510.     >a unified security policy over a product or system.  
  6511.  
  6512.      The ability of a TCB to correctly enforce a security
  6513.      policy depends solely on the mechanisms within the TCB and
  6514.      on the correct input by system administrative personnel of
  6515.      parameters (e.g., a user's clearance) related to the
  6516.      security policy.
  6517.  
  6518.                                      
  6519.                                 REFERENCES 
  6520.  
  6521.  
  6522. Added:  (References were renumbered as necessary)
  6523.  
  6524. 5.   DCID 1/16, Security of Foreign Intelligence in Automated 
  6525.      Data Processing Systems and Networks (U), 4 January 1983. 
  6526.  
  6527. 6.   DIAM 50-4, Security of Compartmented Computer Operations (U),  
  6528.      24 June 1980. 
  6529.  
  6530. 9.   DoD Directive 5000.29, Management of Computer Resources in     
  6531.      Major Defense Systems, 26 April 1976.
  6532.  
  6533. 17.  DoD Directive 7920.1, Life Cycle Management of Automated 
  6534.      Information Systems (AIS), 17 October 1978.
  6535.  
  6536.  
  6537. Corrected dates on the following References:
  6538.  
  6539. 14.  DoD 5220.22-M, Industrial Security Manual for Safeguarding 
  6540.      Classified Information, March 1984.
  6541.  
  6542. 15.  DoD 5220.22-R, Industrial Security Regulation, February 
  6543.      1984.
  6544.  
  6545.  
  6546.