home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / coloredbooks / PeachBook.sit.hqx / Peach Book

Wrap

Text File  |  1997-11-17  |  60KB  |  1,797 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7.  
8.  A GUIDE TO WRITING THE SECURITY FEATURES USERS GUIDE FOR
9. TRUSTED SYSTEMS
10.  
11.  
12.  
13.  A GUIDE TO WRITING THE SECURITY FEATURES USERS GUIDE FOR
14. TRUSTED SYSTEMS
15.  
16.  
17.  
18. NCSC-TG-026
19.  
20.  
21. Library No. 5-237,294
22.  
23.  
24. Version t
25. FOREWORD
26.  
27.  
28.  
29. The National Computer Security Center is publishing A Guide to
30. Writing the Security Features User's Guide for Trusted Systems
31. as part of the "Rainbow Series" of documents our Technical
32. Guidelines Program produces. In the Rainbow Series, we discuss
33. in detail the features of the Department of Defense Trusted Computer
34. System Evaluation Criteria (DoD 5200.28-STD) and provide guidance
35. for meeting each requirement. The National Computer Security Center,
36. through its Trusted Product Evaluation Program, evaluates the
37. security features of commercially-produced computer systems. Together,
38. these programs ensure that organizations are capable of protecting
39. their important data with trusted computer systems.
40.  
41.  
42. A Guide to Writing the Security Features User's Guide for Trusted
43. Systems expands on the Trusted Computer System Evaluation Criteria
44. requirement for a Security Features User's Guide by discussing
45. the intent behind the requirement and the relationship it has
46. to other requirements in the Trusted Computer System Evaluation
47. Criteria. The guide's target audience is the author of the Security
48. Features User's Guide for a specific trusted system undergoing
49. evaluation as a trusted product; however, many of the recommendations
50. apply to any system that must satisfy the Trusted Computer System
51. Evaluation Criteria requirements.
52.  
53.  
54. As the Director, National Computer Security Center, 1 invite your
55. recommendations for revision to this technical guideline. We plan
56. to review and update this document periodically in response to
57. the needs of the community.
58.  
59.  
60. Please address any proposals for revision through appropriate
61. channels to:
62.  
63.  • National Computer Security Center
64.  • 9800 Savage Road
65.  
66.  
67.  
68.  
69. Ft. George G. Meade, MD 20755-6000
70.  
71.  
72. Attention: Chief, Standards, Criteria, and Guidelines Division
73.  
74.  • Patrick R. Gallagher, September 1991
75.  • Director
76.  • National Computer Security Center
77.  
78.  
79.  
80.  
81.  
82. INTRODUCTION
83.  
84. 1.1 PURPOSE
85.  
86.  
87.  
88. This guideline explains the motivation and meaning of the Department
89. of Defense Trusted Computer System Evaluation Criteria (TCSEC)
90. requirement for a Security Features Users Guide (SFUG), which
91. reads as follows:
92.  
93.  
94. "A single summary, chapter, or manual in user documentation
95. shall describe the protection mechanisms provided by the TCB,
96. guidelines on their use, and how they interact with one another."
97. [TCSEC; x.x.4.1]
98.  
99.  
100. The reader is assumed to be the potential author of a SFUG; to
101. be familiar with the basic principles of technical writing, computer
102. science, and trusted systems; and to have a detailed understanding
103. of the specific trusted system that will be described in the SFUG.
104. 1.2 SCOPE
105.  
106.  
107.  
108. This guideline identifies and discusses the considerations that
109. influence the development and evaluation of a SFUG, such as its
110. audience, content, and organization. It is intentionally descriptive,
111. as opposed to prescriptive, in its discussion of the SFUG requirement.
112. That is, it describes the various approaches to writing a SFUG
113. that have been accepted by trusted product evaluators in the past,
114. without making judgments about the "correct" ones to
115. choose - although preferred approaches may be noted.
116.  
117.  
118. Throughout this guideline there will be statements made that are
119. not included in the TCSEC as requirements.  These statements will
120. fall into three categories.  First, some describe a strongly recommended
121. course of action: these statements will be prefaced by the word
122. "should."  Second, others describe one of several equally
123. appropriate recommended courses of action: these statements will
124. be prefaced by the word "could."  Finally, a few suggest
125. an optional course of action: these statements will be prefaced
126. by the word "can."
127. 1.3 ORGANIZATION
128.  
129.  
130.  
131. The remainder of this guideline presents information that may
132. be useful to a writer developing a SFUG. Chapter 2 discusses the
133. developmental aspects of writing the SFUG, including the audience
134. and possible packaging options, presentation styles, and the security
135. topics that should be addressed in the SFUG (as derived from TCSEC
136. feature requirements). Chapter 3 contains two example annotated
137. outlines of SFUGs to illustrate some of the topics discussed in
138. the body of the guideline and provide a starting point for the
139. reader to develop a SFUG. The bibliography includes a list of
140. the documents accepted as SFUGs for all products on the Evaluated
141. Product List (EPL) at the time the guideline was published. 
142. 2. DEVELOPING THE SECURITY FEATURES USER'S  GUIDE
143.  
144.  
145.  
146.  The primary purpose of a SFUG is to explain how the security
147. mechanisms in a specific system work, so that users are able to
148. consistently and effectively protect their information. To properly
149. communicate this information, the SFUG author must identify the
150. audience for the SFUG and the information that audience needs
151. to use the security mechanisms in the system and then select an
152. appropriate way to present the information.
153. 2.1 AUDIENCE AND PACKAGING
154.  
155.  
156.  
157. The SFUG requirement starts with "A single summary, chapter,
158. or manual in user documentation . . .,, "User" in this
159. context refers to a person who uses the system, but has no special
160. privileges to affect the configuration of the system. The user
161. for most general purpose trusted systems is often assumed to be
162. a person with little or no computer experience, but this is not
163. always the case. For example, the users of the UNIX system
164. have traditionally been considered programmers or computer professionals
165. with fairly extensive knowledge of computer concepts. In any system,
166. the users are the audience for the SFUG and the SFUG author will
167. have to characterize them to determine both the format and the
168. level of discourse for the material presented in the SFUG.
169.  
170.  
171. In many cases, the SFUG requirement is satisfied by changing an
172. existing document, which is one of the reasons that the SFUG requirement
173. is so general.
174.  
175.  
176. As stated in the requirement, the SFUG could be:
177.  
178.  •  A summary of the security features and user responsibilities,
179.  •  A chapter devoted to these issues, or
180.  •  A whole manual devoted to security.
181.  
182.  
183.  
184.  
185.  
186.  
187.  
188. Some presentation schemes that previous participants in the Trusted
189. Product Evaluation Program have used include:
190.  
191.  
192. A separate manual devoted to the general user of the system that
193. covers the security features and responsibilities pertaining to
194. users. This is usually the best choice when a document of this
195. sort is already in place and the security functions have always
196. been present in the system in some form anyway. For a system in
197. which user services are provided by individual subsystems, one
198. of which provides all the security functionality, and the user
199. guide is the collection of user guides `for the individual subsystems,
200. the SFUG would most likely be a stand-alone manual addressing
201. only the security issues.
202.  
203.  •  A subsection of the manual produced to satisfy the
204. Trusted Facility Manual (TFM) requirement of the TCSEC. From a
205. security standpoint, this is considered unwise, since it tends
206. to make the system configuration and vulnerability information
207. available to anyone looking for information on how to use the
208. security features of the system. From a documentation standpoint,
209. it seems the easiest, since it places all of the security discussion
210. in one place and allows a certain amount of synergy in the writing
211. process, i.e., privileged users do many of the same activities
212. as general users. This approach eliminates the need to document
213. those facilities in two places.
214.  •  A chapter or an appendix of a user manual that discusses
215. the user's security responsibility and then provides an index
216. to the detailed discussions of individual functions that are already
217. part of the general user manual. An extension of this could be
218. a small pamphlet that does the same thing but can be reproduced
219. separately and given out as needed - something like a pocket guide
220. to system security.
221.  
222.  
223.  
224.  
225.  
226.  
227.  
228. Trusted product evaluators tend to favor centralization of information,
229. because that makes it easier to determine whether the system satisfies
230. the TCSEC (Orange Book) requirements. Given that bias, bullet
231. one would usually be the most preferred option, since it satisfies
232. the requirement in one unique place. Bullet two is a less desirable
233. option, because, in addition to the procedural security considerations,
234. it requires some discrimination to identify which parts of the
235. document satisfy the SFUG requirement and which parts satisfy
236. the TFM requirement. Bullet three is least desirable for two reasons.
237. First, it involves pointers to other information, making it more
238. cumbersome for both evaluators and users to get to some aspects
239. of the information. Second, there might be a tendency to make
240. the document so terse that it excludes some information that is
241. relevant to system security.
242. 2.2 PRESENTATION
243.  
244.  
245.  
246. The SFUG provides the users of the system with the necessary background
247. and specific information to use the protection features of the
248. system correctly. Its purpose is twofold. First, it provides the
249. information that a user needs to enter the system and start working-within
250. the system security constraints. Second, it explains the user's
251. role in maintaining the security of the system. Its scope should
252. be limited to documenting only the features available to all users
253. and only the responsibilities that all users have for system security.
254. To accomplish this purpose, within the scope, the SFUG should
255. explain what security means in the system, what security features
256. are present and why, how the features work, and how to use the
257. features properly. The SFUG should be clear, concise, and complete
258. to increase its readability.
259.  
260.  
261. This information can be organized either by the security features
262. present in the system or by the tasks performed by a user that
263. require the use of these features. A feature-oriented presentation
264. is more natural to a user who is already familiar with the system.
265. In the SFUG, this organization would usually look like the TCSEC
266. itself, with descriptions of each feature required by the TCSEC
267. and explanations of the commands that make those features available
268. to users. A task-oriented presentation is the more common approach
269. taken in most user manuals, since it is oriented towards the specific
270. actions that are necessary to enter a system and start working.
271. Such a presentation will often take the form of a tutorial that
272. describes the interactions that a user will usually have with
273. the system, e.g., logging on, setting file access, changing the
274. password, etc.
275. 2.3 CONTENT
276.  
277.  
278.  
279. Because this guideline is devoted to explaining a TCSEC requirement,
280. it will consider the content of a SFUG only from the perspective
281. of the features required by the TCSEC that should be documented
282. in the SFUG. OtheLr security-relevant features not addressed by
283. the TCSEC (e.g., object downgrading or network commands) might
284. also be included in the SFUG, but will not be discussed in this
285. guideline.
286.  
287.  
288. The remainder of this section will list the features required
289. by the TCSEC, identify the specific requirements that define them,
290. and discuss how they apply to the SFUG. Many of the requirements
291. cited use the acronym TCB, which expands to Trusted Computing
292. Base. As defined in the TCSEC, the TCB is:
293.  
294.  
295. "The totality of protection mechanisms within a computer
296. system-including hardware, firmware, and software-the combination
297. of which is responsible for enforcing a security policy. A TCB
298. consists of one or more components that together enforce a unified
299. security policy over a product or system. The ability of a TCB
300. to correctly enforce a security policy depends solely on the mechanisms
301. within the TCB and on the correct input by system administrative
302. personnel of parameters (e.g., a user's clearance) related to
303. the security policy." [TCSEC, p. 116]
304. 2.3.1 TECHNICAL SECURITY POLICY]
305.  
306.  
307.  
308. The technical security policy is the description of the access
309. control model that the system enforces. This description can be
310. either informal or formal for classes Cl through BI, but classes
311. B2 to Al must have a formal description. The TCSEC design documentation
312. requirement mandates that the informal description exist for all
313. criteria classes where it states:
314.  
315.  
316. "Documentation shall be available that provides a description
317. of the manufacturer's philosophy of protection . . .," [x.x.4.4]
318.  
319.  
320. Starting at BI, the design specification and verification requirement
321. strengthens this notion of a technical security policy with the
322. explicit requirement that:
323.  
324.  
325. "An informal or formal model of the security policy supported
326. by the TCB shall be maintained over the life cycle of the ADP
327. system and demonstrated to be consistent with its axioms."
328.  
329.  
330. [x.x.3.2.2]
331.  
332.  
333. At class B2, the design specification and verification requirement
334. is changed to mandate a formal technical security policy model.
335. Classes 83 and Al incorporate new requirements for additional
336. supporting documentation thatk makes it possible to trace the
337. basis for each feature in the system from the technical security
338. policy to the implementation.
339.  
340.  
341. In the context of the TCSEC, neither the philosophy of protection
342. nor the formal model have to be available to the user; however,
343. the fact that the features of the system flow from these fundamental
344. statements makes either one an appropriate starting point for
345. describing how the system works. The philosophy of protection
346. is probably the better choice for the SFUG, since it is usually
347. written in a more intuitive style than a precisely stated security
348. policy statement. In either case, the technical policy would be
349. presented early in the SFUG to provide the overall context for
350. the rest of the discussion, effectively becoming the thesis for
351. the SFUG.
352. 2.3.2 IDENTIFICATION AND AUTHENTlCATlON
353.  
354.  
355.  
356. The single largest and most crucial section of the SFUG, both
357. from the perspective of the TCSEC and of overall system documentation,is
358. the section that discusses how users identify and authenticate
359. themselves (i.e., logon) to the system. The process of identification
360. and authentication (l&A) defines the identity of the subject
361. that the TCB creates to act on the user's behalf. For division
362. B and A multilevel systems, the I&A process defines the upper
363. and lower bounds on the security level of the subject as well.
364. All subsequent access control decisions depend on this information
365. being correct. The SFUG should therefore be very specific in describing
366. both the l&A procedures and the user's responsibilities for
367. protecting any information that is expected to be kept secret
368. (e.g., passwords or personal identification numbers).
369.  
370.  
371. The TCSEC requirement for division C computer systems is shown
372. below, with bold type showing the C2 requirements that go beyond
373. those at Cl.
374.  
375.  
376. "The TCB shall require users to identify themselves to it
377. before beginning to perform any other actions that the TCB is
378. expected to mediate. Furthermore, the TCB shall use a protected
379. mechanism (e.g., passwords) to authenticate the user's identity.
380. The TCB shall protect authentication data so that it cannot be
381. accessed by any unauthorized user. The TCB shall be able to enforce
382. individual accountability by providing the capability to uniquely
383. identify each individual ADP system user. The TCB shall also provide
384. the capability of associating this identity with all auditable
385. actions taken by that individual." [2.2.2.1]
386.  
387.  
388. Based on this requirement, the SFUG for a division C system should
389. describe the identification process, including the use of a protected
390. authentication mechanism. To complement the protection that the
391. TCB must give the authentication data, the SFUG should make it
392. clear that the user must protect the data too, for example, by
393. not sharing a password with other users or writing it down on
394. a sheet of paper next to the terminal.
395.  
396.  
397. For divisions B and A, the addition of multiple security levels
398. changes the requirement, primarily by requiring the use of a user'sclearance
399. as a bound on the security label of any subject that the TCB creates
400. for that user. The BI requirement, which does not change for the
401. higher classes, is shown below, with bold type showing additional
402. wording and struck-out type showing wording that was deleted.
403.  
404.  
405. "The TCB shall require users to identify themselves to it
406. before beginning to perform any other actions that the TCB is
407. expected to mediate. Furthermore, the TCB shall maintain authentication
408. data that includes information for verifying the identity of individual
409. users (e.g., passwords) as well as information for determining
410. the clearance and authorizations of individual users. This data
411. shall be used by the TCB to authenticate the user's identity and
412. to ensure that the security level and authorization of subjects
413. external to the TCB that may be created to act on behalf of the
414. individual user are dominated by the clearance and authorization
415. of that user.
416.  
417.  
418. The TCB shall protect authentication data so that it cannot be
419. accessed by any unauthorized user. The TCB shall be able to enforce
420. individual accountability by providing the capability to uniquely
421. identify each individual ADP system user. The TCB shall also provide
422. the capability of associating this identity with all auditable
423. actions taken by that individual." [3.1.2.1]
424.  
425.  
426. For all division B and A systems, the SFUG should incorporate
427. a discussion of the relationship between a user's clearance (i.e.,
428. his or her general authorization to see information of a particular
429. sensitivity-whether or not it is electronic) and the security
430. level that the TCB associates with a particular subject (e.g.,
431. computer process or interactive session) that is acting on that
432. user's behalf. Additionally, the practical consideration of how
433. to establish the security level of that subject, for example,
434. by using a logon option or a specific terminal, should be explained
435. in the SFUG.
436.  
437.  
438. Starting at B2, there is an additional requirement for a trusted
439. path to strengthen the confidence of both the user and the TCB
440. that the l&A process is happening correctly. This requirement
441. is shown below in both the B2 and B3/Al forms.
442.  
443.  
444. "The TCB shall support a trusted communication path between
445. itself and user for initial login and authentication.
446.  
447.  
448. Communications via this path shall be initiated exclusively by
449. a
450.  
451.  
452. user." [3.2.2.1.1(B2)]
453.  
454.  
455. "The TCB shall support a trusted communication path between
456. itself and  users for use when a positive TCB-to-user connection
457. J5 required (e.g., Iogin, change subject security level). Communications
458. via this trusted path shall be activated exclusively by a user
459. or the TCB and shall be logically isolated and unmistakably distinguishable
460. from other paths." [3.3.2.1.1
461.  
462.  
463. (B3/Al)]
464.  
465.  
466. Trusted path is useless if it is not used; therefore, the SFUG
467. should be written so that the user understands how to initiate
468. the trusted path, especially at logon, and why it is important
469. to do so. For systems that satisfy the B3 trusted path requirement,
470. the SFUG should also explain how the initiation of a trusted path
471. during a session, whether by the user or the TCB, affects the
472. currently running subject, as well as how to recognize the trusted
473. path.
474. 2.3.3 DISCRETIONARY ACCESS CONTROL FACILITY
475.  
476.  
477.  
478. The discretionary access control (DAC) facility provides the mechanism
479. by which the individual user can control access to his or her
480. data. Some form of DAC is required for every class of the TCSEC.
481. After the procedures for identifying and authenticating themselves
482. to the system, the DAC facilities will be the aspects of the system
483. security of most interest to most users.
484.  
485.  
486. The DAC facility is first defined by the Cl DAC requirement that:
487. "The TCB shall define and control access between named users
488. and named objects (e.g., files and programs) in the ADP system.
489. The enforcement mechanism (e.g., self/group/public controls, access
490. control lists) shall allow users to specify and control sharing
491. of those objects by named individuals or defined groups or both."
492. [2.1.1.1] At C2 this requirement is enhanced to read (bold type
493. shows added words): "The TCB shall define and control access
494. between named users and named objects (e.g., files and programs)
495. in'the ADP system. The enforcement mechanism (e.g., self/group/public
496. controls, access control lists) shall allow users to specify and
497. control sharing of those objects by named individuals, or defined
498. groups of individuals, or by both, and shall provide controls
499. to limit propagation of access rights. The discretionary access
500. control mechanism shall, either by explicit user action or by
501. default, provide that objects are protected from unauthorized
502. access. These access controls shall be capable of including or
503. excluding access to the granularity of a single user. Access permission
504. to an object by users not already possessing access permission
505. shall only be assigned by authorized users." [2.2.1.1]
506.  
507.  
508. After this it remains the same until B3, when it is changed to
509. read (bold type shows added words, struck-out type shows deleted
510. words):
511.  
512.  
513. "The TCB shall define and control access between named users
514. and named objects (e.g.,files and programs) in the ADP system.
515. The enforcement mechanism (e.g., self/group/public controls, access
516. control lists) shall allow users to specify and control sharing
517. of those objects by named individuals, or defined groups of individuals,
518. or by both, and shall provide controls to limit propagation of
519. access rights. The discretionary access control mechanism shall,
520. either by explicit user action or by default, provide that objects
521. are protected from unauthorized access. These access controls
522. shall be capable of specifying, for each named object, a list
523. of named individuals and a list of groups of named individuals
524. with their respective modes of access to that object.
525.  
526.  
527. Furthermore, for each such named object, it shall be possible
528. to specify a list of named individuals and a list of groups of
529. named individuals for which no access to the object is to be given.
530. including or excluding access to the granularity of a single user.
531. Access permission to an object by users not already possessing,,access
532. permission shall only be assigned by authorized users. [3.3.1.1]
533.  
534.  
535. For any version of this requirement, the goal for the SFUG author
536. is the same -to describe to users how to use the DAC enforcement
537. mechanism to control access to the objects that they own. The
538. SFUG should provide enough information for the user to understand
539. what a named object, a named user, and a group are, as well as
540. what types of objects can be controlled with DAC. It should also
541. explain how a new user or group is defined to the system. The
542. SFUG should also describe the process by which access rights are
543. initially determined and then propagated. Finally, the SFUG should
544. describe the system commands and procedures for using the DAC
545. facility.
546. 2.3.4 ELECTRONIC LABELS
547.  
548.  
549.  
550. The distinguishing feature of all division B and A computer classes
551. is the electronic label. An electronic label is an attribute of
552. each subject and object under TCB control that indicates the sensitivity
553. of the information that a subject is authorized to see or that
554. is contained in an object. The real world equivalents of these
555. concepts are security clearances and classification markings.
556. Many users who are familiar with these real world examples have
557. trouble adapting to electronic labels; therefore, the SFUG written
558. for a multilevel system should discuss labels and their effect
559. on a user's actions. The basic label requirement is defined by
560. the following words at Bl: "Sensitivity labels associated
561. with each subject and storage object under its control (e.g.,
562. process, file, segment, device) shall be maintained by the TCB.
563. These labels shall be used as the basis for mandatory access control
564. decisions. In order to import non-labeled data, the TCB shall
565. request and receive from an authorized user the security level
566. of the data, and all such actions shall be auditable by the TCB."
567. [3.1.1.3] At B2, the first sentence is changed to read: "Sensitivity
568. labels associated with each ADP system resource (e.g., subject,
569. storage object, ROM) that is directly or indirectly accessible
570. by subjects external to the TCB shall be maintained by the TCB."
571. [3.2.1.3] This reflects the general B2 through Al requirement
572. that all computer resources be under the control of the TCB.
573.  
574.  
575. Another label-related requirement that affects the users of a
576. system is the one for labeling human-readable output, which states
577. that:
578.  
579.  
580. "The ADP system administrator shall be able to specify the
581. printable label names associated with exported sensitivity labels.
582. The TCB shall mark the beginning and end of all human-readable,
583. paged, hardcopy output (e.g., line printer output) with human-readable
584. sensitivity labels that properly represent the sensitivity of
585. the output. The TCB shall, by default, mark the top and bottom
586. of each page of human- readable, paged, hardcopy output (e.g.,
587. line printer output) with human-readable sensitivity labels that
588. properly represent the overall sensitivity of the output or that
589. properly represent the sensitivity of the information on the page.
590. The TCB shall, by default and in an appropriate manner, mark other
591. (forms of human-readable output (e.g., maps, graphics) with human-
592. readable sensitivity labels that properly represent the sensitivity
593. of the output. Any override of these marking defaults shall be
594. auditable by the TCB." [3.1.1.3.2.3] The above requirement
595. is the same for classes Bl through Al.
596.  
597.  
598. These two requirements, for subject sensitivity labels and labeled
599. human-readable output, apply to any multilevel system; therefore,
600. the SFUG for all B and A level systems should, at the least, explain:
601.  
602.  •  How labels are attached to subjects and objects,
603.  •  The relationship between the "clearance"
604. that a user has and the label that is associated with a particular
605. computer session, and
606.  •  The reason for job and page labels on printed output
607. and terminal or window labels on computer displays (as well as
608. cautions about disabling the display of such labels).
609.  
610.  
611.  
612.  
613.  
614.  
615.  
616. The last requirement that affects users is one for subject sensitivity
617. labels that requires that:
618.  
619.  
620. "The TCB shall immediately notify a terminal user of each
621. change in the security level associated with that user during
622. an interactive session. A terminal user shall be able to query
623. the TCB as desired for a display of the subject's complete sensitivity
624. label." [3.2.1.3.3]
625.  
626.  
627. The above requirement applies to classes B2 through Al; therefore,
628. the SFUG for these systems should explain the mechanism used to
629. notify a user of a security level change.
630. 2.3.5 MANDATORY ACCESS CONTROL FACILITY
631.  
632.  
633.  
634. Closely associated with, but separate from, the requirement for
635. labels is the requirement for mandatory access control (MAC).
636. MAC refers to the set of rules that control a subject's access
637. to an object based on the label attached to each.
638.  
639.  
640. The MAC facility is first defined by the BI MAC requirement that:
641. "The TCB shall enforce a mandatory access control policy
642. over all subjects and storage objects under its control (e.g.,
643. processes, files, segments, devices). These subjects and objects
644. shall be assigned sensitivity labels that are a combination of
645. hierarchical classification levels and non- hierarchical categories,
646. and the labels shall be used as the basis for mandatory access
647. control decisions. The TCB shall be able to support two or more
648. such security levels. The following requirements shall hold for
649. all accesses between subjects and objects controlled by the TCB:
650. A subject can read an object only if the hierarchical classification
651. in the subject's security level is greater than or equal to the
652. hierarchical classification in the object's security level and
653. the non- hierarchical categories in the subject's security level
654. include all the non-hierarchical categories in the object's security
655. level. A subject can write an object only if the hierarchical
656. classification in the subject's security level is less than or
657. equal to the hierarchical classification in the object's security
658. level and all the non-hierarchical categories in the subject's
659. security level are included in the non-hierarchical categories
660. in the object's security level. Identification and authentication
661. data shall be used by the TCB to authenticate the user's identity
662. and to ensure that the security level and authorization of subjects
663. external to the TC8 that may be created to act on behalf of the
664. individual user are dominated by the clearance and authorization
665. of that user." [3.1.1.4]
666.  
667.  
668. For classes B2 through Al, the requirement is enhanced to reflect
669. the pervasive TCB control required by these higher classes. (The
670. bold type in the following quote shows the additional wording,
671. while the struck-out type shows the phases deleted.)
672.  
673.  
674. "The TCB shall enforce a mandatory access control policy
675. over all resources (i.e., subjects, storage objects, and 1/0 devices)
676. that are directly or indirectly accessible by subjects external
677. to the TCB.
678.  
679.  
680. These subjects and objects shall be assigned sensitivity labels
681. that are a combination of hierarchical classification levels and
682. non-hierarchical categories, and the labels shall be used as the
683. basis for mandatory access control decisions. The TCB shall be
684. able to support two or more such security levels. The following
685. requirements shall hold for all accesses between all subjects
686. external to the TCB and all objects directly or indirectly accessible
687. by these subjects: A subject can read an object only if the hierarchical
688. classification in the subject's security level is greater than
689. or equal to the hierarchical classification in the object's security
690. level and the non-hierarchical categories in the subject's security
691. level include all the non-hierarchical categories in the object's
692. security level. A subject can write an object only if the hierarchical
693. classification in the subject's security level is less than or
694. equal to the hierarchical classification in the object's security
695. level and all -the non- hierarchical categories in the subject's
696. security level are included in the non-hierarchical categories
697. in the object's security level. Identification and authentication
698. data shall be used by the TCB to authenticate the user's identity
699. and to ensure that the security level and authorization of subjects
700. external to the TCB that may be created to act on behalf of the
701. individual user are dominated by the clearance and authorization
702. of that user." [3.2.1.4] 
703.  
704.  
705. Because the TCB, rather than the user, controls the actual interaction
706. between the labels of subjects and objects, the SFUG only needs
707. to explain to users how MAC constrains their actions. This discussion
708. is probably most natural under the section that addresses the
709. technical security policy. In most cases, a user can have only
710. one effect on the MAC policy-to change the label for a session,
711. which is already described under either the discussion of identification
712. and authentication or labels.
713. 2.3.6 TRUSTED FACILITY MANAGEMENT
714.  
715.  
716.  
717. Beginning at B2, there is a TCSEC requirement that: "The
718. TCB shall support separate operator and administrator functions."
719. [3.2.3.1.4]
720.  
721.  
722. This mandates a separation of duties in the administration of
723. computer systems that are supposed to be protecting information.
724. This corresponds to the natural separation of duties found in
725. most human activity. Although this is not a requirement until
726. B2, many sites that are concerned about security are instituting
727. programs `rvhere the responsibility for security administration
728. of the computer system is centralized in a person with the title
729. of computer, or information system, security officer (CSO or 1550,
730. respectively). Whether the computer system being described in
731. the SFUG satisfies the trusted facility management requirement
732. or not, the author of the SFUG for that system may want to postulate
733. the existence of such a position to represent the entity that
734. is responsible for security issues that are outside the control
735. of the users. This both allows the SFUG to be written in a more
736. active voice and simplifies the job of conveying distinctions
737. between user security responsibilities and site management security
738. responsibilities.
739. 3. EXAMPLES OF SFUG PRESENTATION STYLES
740.  
741.  
742.  
743. This chapter presents two sample stand-alone SFUGs to show what
744. could go into a SFUG and possibly give the reader some ideas for
745. organizing a system specific SFUG. The actual contents and organization
746. of a real SFUG will be different to reflect the specific mechanisms
747. of the individual system and the organization of the rest of the
748. system documentation. The first example uses a feature-oriented
749. style presentation, while the second shows a task-oriented style.
750.  
751.  
752. In addition to these generic examples, the reader may find it
753. helpful to review the SFUGs of previously evaluated systems to
754. see what worked for them. Entries 2 through 16 in the bibliography
755. list the Final Evaluation Reports (FERs) for products on the Evaluated
756. Products List that had published FERs at the time this guideline
757. was printed. Each entry is annotated with the document(s) identified
758. in the FER as satisfying the SFUG requirement for that product.
759. THE FEATURE-ORIENTED SFUG
760.  
761.  
762.  
763. At a high level, the feature-oriented example SFUG is arranged
764. in the following fashion:
765.  
766.  • 1. INTRODUCTION TO THE SFUG
767.  • 2. SYSTEM SECURITY OVERVIEW
768.  
769.  • 2.1 SYSTEM PHILOSOPHY OF PROTECTION
770.  • 2.2 DEFINITION OF TERMS AND SERVICES
771.  • 2.3 THE INFORMATION SYSTEM SECURITY OFFICER
772.  • 2.4 USER SECURITY RESPONSIBILITIES
773.  
774.  
775.  • 3. SECURITY-RELATED COMMANDS FOR USERS
776.  
777.  • 3.1 USER IDENTIFICATION AND AUTHENTICATION
778.  
779.  • 3.1.1 Trusted Path
780.  • 3.1.2 Logging On to the System
781.  • 3.1.3 Password Considerations
782.  • 3.1.4 Changing Group Membership
783.  • 3.1.5 Changing Current MAC Authorizations
784.  • 3.1.6 Logging Off of the System
785.  • 3.1.7 I&A Errors and Their Causes
786.  
787.  
788.  • 3.2 DISCRETIONARY ACCESS CONTROL FACILITIES
789.  
790.  • 3.2.1 Setting DAC on Named Objects
791.  • 3.2.2 Default DAC Protection
792.  • 3.2.3 DAC Groups
793.  • 3.2.4 DAC Errors and Their Causes
794.  
795.  
796.  • 3.3 MANDATORY ACCESS CONTROL FACILITIES
797.  
798.  • 3.3.1 Printing Labeled Objects
799.  • 3.3.2 Accessing Single-Level Devices
800.  • 3.3.3 Accessing Multilevel Devices
801.  • 3.3.4 Downgrading Labeled Objects
802.  • 3.3.5 MAC Errors and Their Causes
803.  
804.  
805.  • 3.4 OBJECT MANIPULATION FACILITIES
806.  
807.  • 3.4.1 Object Creation, Reuse, and Deletion
808.  • 3.4.2 Importing Machine-Readable Objects
809.  • 3.4.3 Exporting Machine-Readable Objects
810.  • 3.4.4 Determining the Properties of Objects
811.  • 3.4.5 Object Manipulation Errors and Their Causes
812.  
813.  
814.  
815.  
816.  
817.  
818.  
819.  
820.  
821.  
822.  
823. The annotated outline follows.
824. 1. INTRODUCTION TO THE SFUG
825.  
826.  
827.  •  This part of the SFUG should identify what the SFUG is, who
828. it is written for, what it will cover, and where to go for more
829. information, if needed.
830.  
831.  
832. 2. SYSTEM SECURITY OVERVIEW
833.  
834.  
835.  •  This section provides the background on the overall operation
836. of the security controls in the system so that users can then
837. understand the options and actions of individual security-relevant
838. commands.
839.  
840.  
841.  
842.  •  
843.  
844.  
845. 2.1 SYSTEM PHILOSOPHY OF PROTECTION
846.  
847.  
848.  •  This section should describe the general environment for
849. which the system is designed and briefly explain how this environment
850. motivates the approach to protecting information stored in the
851. system. The purpose of this section is to lay the foundation for
852. the user's understanding of the system's security features, with
853. later sections detailing what specific security services are available
854. and when and how to use them.
855.  
856.  
857.  
858.  •  
859.  
860.  
861. 2.2 DEFINITION OF TERMS AND SERVICES
862.  
863.  
864.  •  This section should first introduce the terms that will be
865. used to describe the security services available in the system
866. and then proceed to introduce those services, without detailing
867. exactly how they are used. Recommended topics for this section
868. are:
869.  
870.  •  An explanation of the general concepts of subjects
871. and objects, followed by the identification of the subjects and
872. objects in the system.
873.  •  An explanation of object reuse and its role in protecting
874. information in the system.
875.  •  An explanation of the components of the l&A (identification
876. and authentication) process (e.g., user-id, password, or smartcard)
877. in the system and the importance of l&A to system security.
878.  •  An explanation of DAC, groups, privileges, protection
879. bits/ACLs, and any other terms and concepts related to the system's
880. DAC policy, followed by a description of how the DAC policy applies
881. to the systern subjects and objects.
882.  •  An explanation of MAC, security labels, sensitivity
883. levels, categories, authorizations, and any other terms and concepts
884. related to the system's MAC policy, followed by a description
885. of how the MAC policy applies to the system subjects and objects.
886.  
887.  
888.  
889.  
890.  
891.  
892.  
893. 2.3 THE INFORMATION SYSTEM SECURITY OFFICER
894.  
895.  
896.  •  This section discusses the role of the Information System
897. Security Officer (1550) in maintaining the security of the system.
898. It can also explain which problems should be reported to the 1550
899. and which should be reported to the system administrator (if the
900. roles are separate). If the format of the SFUG allows it, this
901. section could have space for site-specific notes on the 1550/user
902. relationship. 
903.  •  
904.  
905.  
906.  
907.  
908.  
909.  
910.  
911.  
912. 2.4 USER SECURITY RESPONSlBlLlTlES
913.  
914.  
915.  •  This section discusses the user's responsibilities with respect
916. to properly using the system security features. This would optimally
917. be a tutorial that teaches effective use of the system security
918. services, but any presentation that relates the security services
919. to the user's day-to-day use of the system is appropriate. Some
920. issues that might be addressed are:
921.  
922.  
923.  
924.  •  Authentication token (e.g., password or smartcard)
925. protection.
926.  •  Warnings about leaving a terminal unattended.
927.  •  Procedures for "locking" a process when the
928. terminal must be left unattended, but logged in.
929.  •  Default DAC access for named objects (e.g., files andkdirectories).
930.  •  Cautions about using programs that are not part of
931. the standard system configuration (e.g., utilities or applications
932. that have not been reviewed and tested by the system administrator(s)).
933.  •  Cautions about the effect of network access on system
934. and data security.
935.  
936.  
937. 3.SECURITY-RELATED COMMANDS FOR USERS
938.  
939.  
940.  •  This section comprises the majority of the SFUG since it
941. describes in detail the commands and procedures for actually using
942. the system.
943.  
944.  
945.  
946.  
947.  
948. 3.1 USER IDENTIFICATION AND AUTHENTICATION
949.  
950.  
951.  •  This section should step through the procedures for logging
952. on to and off of the system and for manipulating privileges and
953. participation in the system. Additionally, any of the errors that
954. might occur during the use of these commands and the corrective
955. actions should be described here.
956.  
957.  
958. 3.1.1 Trusted Path
959.  
960.  
961.  •  In 82 and above systems, the first thing that a user will
962. have to do to Iogon is establish a trusted path between his terminal
963. and the system TCB. This section should describe that process.
964. For 83 and Al systems, this trusted path is available for any
965. direct interaction between the TC8 and the user; therefore, in-session
966. invocation of the trusted path and its effects on currently executing
967. processes should be described here.
968.  
969.  
970.  
971.  •  
972.  
973.  
974. 3.1.2 Logging On to the System
975.  
976.  
977.  •  The procedure for logging on to the system should be described.
978. If the system has MAC, the procedures for logging on with specific,
979. non-default authorizations should be described.
980.  
981.  
982. 3.1.3 Password Consideration
983.  
984.  
985.  •  The procedures and commands for setting, changing, and protecting
986. passwords should be described.
987.  
988.  
989. 3.1.4 Changing Group Membership
990.  
991.  
992.  •  In systems with the concept of DAC groups, the mechanisms
993. for users to specify the group membership(s) that should be used
994. in making DAC access decisions (if such capability is present)
995. should be described.
996.  
997.  
998.  
999.  
1000.  
1001. 3.1.5 Changing Current MAC Authorizations
1002.  
1003.  
1004.  •  In systems with MAC, if the user can change their current
1005. authorization level and category set without logging off, the
1006. mechanism and procedure should be described.
1007.  
1008.  
1009. 3.1.6 Logging Off of the System
1010.  
1011.  
1012.  •  The command or procedure for logging off the system should
1013. be described.
1014.  
1015.  
1016. 3.1.7 I&A Errors and Their Causes
1017.  
1018.  
1019.  
1020. The possible error messages that can occur when l&A commands
1021. are improperly invoked should be noted and the correct or expected
1022. inputs should be explained.
1023. 3.2 DISCRETIONARY ACCESS CONTROL FACILITIES
1024.  
1025.  
1026.  •  This section should describe the DAC-related commands and
1027. procedures for the system. This section will be present in some
1028. form at all levels of the criteria.
1029.  
1030.  
1031. 3.2.1 Setting DAC on Named Objects
1032.  
1033.  
1034.  •  This section should describe how users can set the discretionary
1035. access permissions, and what the permissions mean, for the different
1036. types of named objects in the system.
1037.  
1038.  
1039. 3.2.2 Default DAC Protection
1040.  
1041.  
1042.  •  The means for determining and setting the default discretionary
1043. access controls on user controlled or owned named objects should
1044. be described.
1045.  
1046.  
1047. 3.2.3 DAC Groups
1048.  
1049.  
1050.  •  When the capability exists for users to define groups of
1051. users for the purpose of lDAC, the mechanisms for defining these
1052. groups should be described.
1053.  
1054.  
1055.  
1056.  
1057.  
1058. 3.2.4 DAC Errors and Their Causes
1059.  
1060.  
1061.  •  The possible error messages that can occur when DAC commands
1062. are improperly invoked should be noted and the correct or expected
1063. inputs should be explained.
1064.  
1065.  
1066.  
1067.  •  
1068.  
1069.  
1070. 3.3 MANDATORY ACCESS CONTROL FACILITIES
1071.  
1072.  
1073.  •  This section is for systems in the B and A classes. It describes
1074. the commands that a general user will need for dealing with labeled
1075. objects.
1076.  
1077.  
1078. 3.3.1 Printing Labeled Objects
1079.  
1080.  
1081.  •  This section describes the mechanism for printing or otherwise
1082. producing non-electronic versions of labeled objects. Of specific
1083. interest is the mechanism that would be used for overriding the
1084. default printing of the object's label in human-readable form.
1085. The description of this capability could be accompanied by a discussion
1086. of the security considerations that go with its use.
1087.  
1088.  
1089. 3.3.2 Accessing Single-Level Devices
1090.  
1091.  
1092.  •  This section should discuss the constraints on the use of
1093. single-level devices in the presence of multiple authorization
1094. levels. For example, this section could discuss how the TCB determines
1095. a user's access to a single-level device based on the user's authorization
1096. level.
1097.  
1098.  
1099. 3.3.3 Accessing Multilevel Devices
1100.  
1101.  
1102.  •  This section should discuss the rules for the interaction
1103. between users at multiple authorization levels and multilevel
1104. devices.
1105.  
1106.  
1107. 3.3.4 Downgrading Labeled Objects
1108.  
1109.  
1110.  •  Although it is not a part of TCSEC evaluations, if the system
1111. offers an object downgrade facility that is available to the target
1112. audience of the SFUG, this facility and cautions on its proper
1113. use should be described.
1114.  
1115.  
1116.  
1117.  
1118.  
1119. 3.3.5 MAC Errors and Their Causes
1120.  
1121.  
1122.  •  The possible error messages that can occur `when MAC commands
1123. are improperly invoked should be noted and the correct or expected
1124. inputs should be explained.
1125.  
1126.  
1127.  
1128.  •  
1129.  
1130.  
1131.  
1132.  •  
1133.  
1134.  
1135. 3.4. OBJECT MANIPULATION FACILITIES
1136.  
1137.  
1138.  •  This section should discuss the commands and mechanisms available
1139. for dealing with objects.
1140.  
1141.  
1142. 3.4.1 Object Creation, Reuse, and Deletion
1143.  
1144.  
1145.  •  
1146.  
1147.  •  This section should discuss how the system creates, reuses,
1148. and deletes user visible objects. Any commands which allow the
1149. creation of user owned objects (e.g., mailboxes or blank files)
1150. should be described. The information on object reuse should be
1151. for informational purposes only, since all C2 and above systems
1152. are required to do object reuse without user intervention. For
1153. systems with MAC, this section should describe how sensitivity
1154. labels and discretionary access lists are assigned to an object.
1155.  
1156.  
1157.  
1158.  
1159. 3.4.2 Importing Machine-Readable Objects
1160.  
1161.  
1162.  •  The mechanisms for a user to introduce a machine-readable
1163. object into the system from an external source (e.g., tape, removable
1164. diskette, or network) and assign discretionary and mandatory access
1165. control properties to it should be described if such a facility
1166. exists.
1167.  
1168.  
1169. 3.4.3 Exporting Machine-Readable Objects
1170.  
1171.  
1172.  •  The mechanisms for a user to export a machine readable object
1173. from the system to an external source (e.g., tape, removable diskette,
1174. or,network), along with its discretionary and mandatory access
1175. control properties, should be described if such a facility exists.
1176.  
1177.  
1178. 3.4.4 Determining the Properties of Objects
1179.  
1180.  
1181.  •  The commands or mechanisms for determining the discretionary
1182. and mandatory access control properties of an object should be
1183. described.
1184.  
1185.  
1186.  
1187.  
1188.  
1189. 3.4.5 Object Manipulation Errors and Their Causes
1190.  
1191.  
1192.  •  The possible error messages that can occur when object manipulation
1193. commands are improperly invoked should be noted and the correct
1194. or expected inputs should be explained.
1195.  
1196.  
1197.  
1198.  
1199.  
1200. THE TASK-ORIENTED SFUG
1201.  
1202.  
1203.  
1204. At a high level, the task-oriented example SFUG is arranged in
1205. the following fashion:
1206.  
1207.  • 1. INTRODUCTION TO THE SFUG
1208.  • 2. SYSTEM SECURITY OVERVIEW
1209.  
1210.  • 2.1 SYSTEM PHILOSOPHY OF PROTECTION
1211.  • 2.2 DEFINITION OF TERMS AND SERVICES
1212.  • 2.3 THE SYSTEM SECURITY OFFICER
1213.  • 2.4 USER SECURITY RESPONSIBILITIES
1214.  
1215.  
1216.  • 3. SECURITY-RELATED COMMANDS FOR USERS
1217.  
1218.  • 3.1 SYSTEM ACCESS
1219.  
1220.  • 3.1.1 Session Initiation
1221.  • 3.1.2 Changing the Session Profile
1222.  • 3.1.3 Changing the User Profile
1223.  • 3.1.4 Potential Access Problems and Solutions
1224.  
1225.  
1226.  • 3.2 ACCESS CONTROL FACILITIES
1227.  • 3.3 PROTECTING REMOVABLE OBJECTS
1228.  • 3.4 LOGGING SECURITY-RELEVANT EVENTS
1229.  
1230.  
1231.  
1232.  
1233.  
1234.  
1235.  
1236.  
1237.  
1238. The annotated outline follows.
1239. 1. INTRODUCTION TO THE SFUG
1240.  
1241.  
1242.  •  This part of the SFUG should identify what the SFUG is, who
1243. it is written for, and what it will cover. It might also explain
1244. where the SFUG fits in with the rest of the user documentation.
1245. If appropriate, it can also describe the relationship between
1246. the SFUG and the TFM.
1247.  
1248.  
1249.  
1250.  •  
1251.  •  
1252.  
1253.  
1254. 2. SYSTEM SECURITY OVERVIEW
1255.  
1256.  
1257.  •  This section provides the background on the overall operation
1258. of the security controls in the system so that users can then
1259. understand the options and actions of individual security-relevant
1260. commands.
1261.  
1262.  
1263. 2.1 SYSTEM PHILOSOPHY OF PROTECTION
1264.  
1265.  
1266.  •  This section should describe the general environment for
1267. which the system is designed and briefly explain how this environment
1268. motivates the approach to protecting information stored in the
1269. system. The purpose of this section is to lay the foundation for
1270. the user's understanding of the system's security features, with
1271. later sections detailing what specific security services are available
1272. and when and how to use them.
1273.  
1274.  
1275. 2.2 DEFINITION OF TERMS AND SERVICES
1276.  
1277.  
1278.  •  This section should first introduce the terms that will be
1279. used to describe the security services available in the system
1280. and then proceed to introduce those services, without detailing
1281. exactly how they are used. Recommended topics (and the criteria
1282. classes for.which they are relevant) for this section are:
1283.  
1284.  •  An explanation of the general concepts of subjects
1285. and objects, followed by the identification of the subjects and
1286. objects in the system.
1287.  •  An explanation of object reuse and its role in protecting
1288. information in the system.
1289.  •  An explanation of the components of the I&A (identification
1290. and authentication) process (e.g., user-id, password, or smartcard)
1291. in the system and the importance of I&A to system security.
1292.  •  An explanation of DAC, groups, privileges, protection
1293. bits/ACLs (access control lists), and any other terms and concepts
1294. related to the system's DAC policy, followed by a description
1295. of how the DAC policy applies to the system subjects and objects.
1296.  •  An explanation of MAC, security labels, sensitivity
1297. levels, categories, authorizations, and any other terms and concepts
1298. related to the system's MAC policy, followed by a description
1299. of how the MAC policy applies to the system subjects and objects.
1300.  
1301.  
1302.  
1303.  
1304.  
1305.  
1306.  
1307. 2.3 THE INFORMATION SYSTEM SECURITY OFFICER
1308.  
1309.  
1310.  •  This section discusses the role of the information system
1311. security officer (1SS0) in maintaining the security of the system.
1312. It can also explain which problems should be reported to the 1SS0
1313. and which should be reported to the system administrator (if the
1314. roles are separate). If the format of the SFUG allows it, this
1315. section could have space for site-specific notes on the 1SS0/user
1316. relationship.
1317.  
1318.  
1319. 2.4 USER SECURITY RESPONSIBILITIES
1320.  
1321.  
1322.  •  This section discusses the user's responsibilities with respect
1323. to properly using the system security features. This would optimally
1324. be a tutorial that teaches effective use of the system security
1325. services, but any presentation that relates the security services
1326. to the user's day-to-day use of the system is appropriate. Some
1327. issues that might be addressed are:
1328.  
1329.  
1330.  
1331.  •  Authentication token (e.g., password or smartcard)
1332. protection.
1333.  •  Warnings about leaving a terminal unattended.
1334.  •  Procedures for "locking" a process when the
1335. terminal must be left unattended, but logged in.
1336.  •  Default DAC access for named objects (e.g., files and
1337. directories).
1338.  •  Cautions about using programs that are not part of
1339. the standard system configuration (e.g., utilities or applications
1340. that have not been reviewed and tested by the system administrator(s)).
1341.  •  Cautions about the effect of network access on system
1342. and data security.
1343.  
1344.  
1345.  
1346.  
1347.  
1348. 3. SECURITY-RELATED COMMANDS FOR USERS
1349.  
1350.  
1351.  •        This section comprises the majority of the SFUG since
1352. it describes in detail the commands and procedures for actually
1353. using the system. It should describe both the usage of the commands
1354. and reemphasize their role as tools to protect information stored
1355. on the system. For example, this part might consist of command
1356. reference pages (e.g., UNIX "man" pages) grouped by
1357. subject, possibly with a brief introduction at the beginning of
1358. each subject area.  Alternatively, this section could contain
1359. general descriptions of the operation and options of individual
1360. commands or groups of commands, along with pointers to the detailed
1361. documentation of the invocation sequence(s) for the commands.
1362.  
1363.  
1364.  
1365.  
1366.  
1367. 3.1 SYSTEM ACCESS
1368.  
1369.  
1370.  •  This section should explain the procedures for logging on
1371. and off the system. It should also discuss how the TCB assigns
1372. privileges and authorizations during the login process and how
1373. the user can change them during the session (if the system allows
1374. in-session changes). This section might also discuss how users
1375. can prevent and detect compromise of their accounts. For systems
1376. that provide trusted path during a session, this section of the
1377. SFUG should describe the mechanism for invoking the trusted path
1378. and the effect of the invocation on the currently running process.
1379. Finally, the errors that might occur during the use of these commands
1380. and corrective actions should be described here.
1381.  
1382.  
1383. 3.1.1 Session Initiation
1384.  
1385.  
1386.  •  This section should describe the procedures that a user goes
1387. through to establish a session with the system. In B2 nd above
1388. systems, this discussion will start by describing how a user establishes
1389. a trusted path between the terminal and the TCB. For any system,
1390. it will discuss the procedure for presenting the identification
1391. and authentication tokens (typically a user-id and password) to
1392. the system so that the system can establish a subject to act on
1393. behalf of the user. When the login process provides the means
1394. for overriding the default group/project and subject sensitivity
1395. level, the use of these options should be described.
1396.  
1397.  
1398.  
1399.  
1400.  
1401. 3.1.2 Changing the Session Profile
1402.  
1403.  
1404.  •  When the system provides the facilities for the user to dynamically
1405. modify his or her group/project participation and/or subject sensitivity
1406. level, this section should describe them.
1407.  
1408.  
1409. 3.1.3 Changing the User Profile
1410.  
1411.  
1412.  •  Many systems have the concept of a user profile, which contains
1413. the default settings for the creation of a user subject. Although
1414. it may actually be maintained separately, the user password is
1415. logically part of this profile. This section should provide information
1416. on how to modify the parts of the user profile over which the
1417. user has control. At a minimum, this section should show how the
1418. user can change his or her password (for systems where the password
1419. is the authentication token).
1420.  
1421.  
1422. 3.1.4 Potential Access Problems and Solutions
1423.  
1424.  
1425.  •  This section should discuss the possible problems that a
1426. user could encounter when logging into the system or modifying
1427. session and user profiles. This section could be organized as
1428. a troubleshooting guide, where each problem and its potential
1429. solution(s) is presented in a table format.
1430.  
1431.  
1432. 3.2 ACCESS CONTROL FACILITIES
1433.  
1434.  
1435.  •  This section describes the commands available to a user for
1436. managing the objects under his or her control. The major issue
1437. confronting the SFUG author in this section is how to organize
1438. the commands. Two possible options are:
1439.  
1440.  •  By security policy functionality, i.e., all commands
1441. that manipulate MAC attributes, DAC attributes, exportation to
1442. devices, labeled human-readable output etc.
1443.  •  By target object class, i.e., all security-relevant
1444. commands that manipulate files, directories, printers, tape drives,
1445. interprocess communication, floppy disks, etc.
1446.  
1447.  
1448.  
1449.  
1450.  
1451.  
1452.  
1453.  
1454.  •  Experience during previous evaluations indicates that the
1455. second option more closely matches the needs of the user, since
1456. it is closer to the organization expected when trying to search
1457. for a specific command to do a specific job.
1458.  
1459.  
1460.  
1461.  
1462.  
1463. 3.3 PROTECTING REMOVABLE OBJECTS
1464.  
1465.  
1466.  •  This section should discuss some of the basic actions that
1467. a user should take to ensure that the data contained in hardcopy
1468. or external storage form is protected as fully as when it is on
1469. the computer system. In a site-specific SFUG, this section could
1470. be an even stronger statement regarding the site's procedures
1471. for protecting information once it leaves the system.
1472.  
1473.  
1474. 3.4 LOGGING SECURITY-RELEVANT EVENTS
1475.  
1476.  
1477.  •  In some systems, it may be possible for users to do limited
1478. auditing on the objects over which they have control. In these
1479. cases, the commands available to the user for this purpose should
1480. be described.
1481.  
1482.  
1483.  
1484.  
1485.  
1486. BIBLIOGRAPHY
1487.  
1488.  
1489.  • 1. DoD Trusted Computer System Evaluation criteria, Natonal
1490. Computer Security Center, DoD 5200.28-STD, 1985.
1491.  • 2. American Telephone and Telegraph System V/MLS Release 1.1.2
1492. Running on UNIX System V Release 3.1.1 (Final Evaluation Report),
1493. National Computer Security Center, CSC-EPL-89/003, October 1989.
1494.  •  This FER identified the following four documents as the SFUG
1495. for this product:
1496.  
1497.  •  System V/MLS User's Guide and Reference Manual, August
1498. 1989,
1499.  •  630/MLS User's Guide, August 1989,
1500.  •  302 UNIX System V Programmer's Reference Manual, August
1501. 1989,
1502.  •  UNIX System V User's Guide, August 1989.
1503.  
1504.  
1505.  
1506.  
1507.  
1508.  
1509.  
1510.  
1511.  • 3. Computer Associates International CA-ACF2/VM, Release 3.1
1512. (Final Evaluation Report), National Computer Security Center,
1513. CSC-EPL-87/007, September 1987.
1514.  •  This FER identified the following four documents as the SFUG
1515. for this product:
1516.  
1517.  •  Overview for CA-ACF2/""M Release 3.1, Publication
1518. Number AAG0042, Sept
1519.  
1520.  
1521.  
1522.  •  1987,
1523.  
1524.  
1525.  
1526.  •  General Information Manual for CA-ACF2/""M
1527. Release 3.1, PN AAG0033,
1528.  
1529.  
1530.  
1531.  •  5ept1987,
1532.  
1533.  
1534.  
1535.  •  New Features and Enhancements Manual for CA-ACF2NM
1536. Release 3.1, PN
1537.  
1538.  
1539.  
1540.  •  AAP0073, Sept 1987,
1541.  
1542.  
1543.  
1544.  •  User's Guide for CA-ACF2NM Release 3.1, PN AAP0037,
1545. Sept 1987.
1546.  
1547.  
1548.  
1549.  
1550.  
1551.  
1552.  
1553.  
1554.  • 4. Computer Associates International Top Secret, Version 3.0
1555. (Final Evaluation Report), DoD Computer Security Center, CSC-EPL-85/002,,-
1556. April 1985.
1557.  •  This FER identified the following two documents as the SFUG
1558. for this product:
1559.  
1560.  •  TOP SECRET User's Guide, Document US-03, 1985,
1561.  •  TOP SECRET TSS Reference Manual, Document TS-03, 1985.
1562.  •  
1563.  
1564.  
1565.  
1566.  
1567.  
1568.  
1569.  
1570.  
1571.  
1572. 5. Control Data Corporation Network Operating System Security
1573. Evaluation Package (Final Evaluation Report), National Computer
1574. Security Center, CSC-EPL-86/003, May 1986.
1575.  
1576.  •  This FER identified the following document as the SFUG for
1577. this product:
1578.  
1579.  •  NOS Version 2 Reference Set, Volume 2: Guide to System
1580. Usage, Section 14, Publication Number 60459670, Revision D, 1986.
1581.  
1582.  
1583.  
1584.  
1585.  
1586.  
1587.  
1588.  
1589.  • 6. Digital Equipment Corporation VAX/VMS, Version 4.3 (Final
1590. Evaluation Report), National Computer Security Center, CSC-EPL-86/004,
1591. July 1986.
1592.  •  This FER identified the following document as the SFUG for
1593. this product:
1594.  
1595.  •  Guide to VAX/VMS System Security, Chapters 1-4, AA-Y51
1596. 0A-TE, AA-Y51 0A-Tl, VAX/VMS Version 4.2, July 1985.
1597.  
1598.  
1599.  
1600.  
1601.  
1602.  
1603.  
1604.  
1605.  • 7. Data General Corporation Advanced Operating System/Virtual
1606. Storage (A 05/VS) (Final Evaluation Report), National Computer
1607. Security Center, CSC-EPL-89/001, February 1989.
1608.  •  This FER identified the following two documents as the SFUG
1609. for this product:
1610.  
1611.  •  Learning to Use Your AOS/VS System, Product Number
1612. 069-000031-02,
1613.  
1614.  
1615.  
1616.  •  November 1088,
1617.  
1618.  
1619.  
1620.  •  AOS/VS System Calls Dictionary, Product Number 093-000241-03,
1621. September 1986.
1622.  
1623.  
1624.  
1625.  
1626.  
1627.  
1628.  
1629.  
1630.  • 8. Gould, Inc Computer Systems Division UTX/32S, Release 1.0
1631. (Final Evaluation Report), National Computer Security Center,
1632. CSC-EPL-86/007, December 1986.
1633.  •  This FER identified the following document as the SFUG for
1634. this product:
1635.  
1636.  •  Using Gould UTX/325, Release 1.0, which is Volume 1
1637. of Gould UTX/32S Document Set, Volume Order Number 323-005231-000,
1638. November 1986.
1639.  
1640.  
1641.  
1642.  
1643.  
1644.  
1645.  
1646.  
1647.  • 9. Hewlett Packard Commercial Systems Division MPE v/E (Final
1648. Evaluation Report), National Computer Security Center, CSC-EPL-88/01
1649. 0, October 1988.
1650.  •  This FER identified the following document as the SFUG for
1651. this product:
1652.  
1653.  •  MPE V/E Security and Account Structure User's Guide,
1654. Product Number 32033-90136, October 1988.
1655.  
1656.  
1657.  
1658.  
1659.  
1660.  
1661.  
1662.  
1663.  • 10. Honeywell MULTICS, MR1 1.0 (Final Evaluation Report),
1664. National Computer Security Center, CSC-EPL-85/003, June 1986.
1665.  •  This FER identified the following document as the SFUG for
1666. this product:
1667.  
1668.  •  Multics Programmers Reference Manual, Chapter 6, Order
1669. Number AG91 - 04,1986.
1670.  
1671.  
1672.  
1673.  
1674.  
1675.  
1676.  
1677.  
1678.  • 11. Honeywell SCOMP (Secure Communications Processor) STOP
1679. Release 2.1 (Final Evaluation Report), DoD Computer Security Center,
1680. CSC-EPL-85/001, September 1985.
1681.  •  This FER identified the following document as the SFUG for
1682. this product:
1683.  
1684.  •  SCOMP User's Reference Manual, STOP Release 2.1, November
1685. 1984.
1686.  
1687.  
1688.  
1689.  
1690.  
1691.  
1692.  
1693.  
1694.  • 12. International Business Machines Resource Access Control
1695. Facility (RACF), Version 1, Release 5 (Final Evaluation Report),
1696. DoD Computer Security Center, CSC-EPL-84/001, July 1984.
1697.  •  This FER identified the following document as the SFUG for
1698. this product:
1699.  
1700.  •  OS/VS2 MVS Resource Access Control Facility (RACF):
1701. General Information Manual, 5C28-0722-6, 1984.
1702.  
1703.  
1704.  
1705.  
1706.  
1707.  
1708.  
1709.  
1710.  • 13. International Business Machines Corporation VM/SP with
1711. RACF (Final Evaluation Report), National Computer Security Center,
1712. CSC-EPL-89/005, September 1989.
1713.  •  This FER identified the following six documents as the SFUG
1714. for this product:
1715.  
1716.  •  "Part Three: For General Users" in Virtual
1717. Machine/System Product C2 Security Guide VMISP Release 5 and VM/SP
1718. HPO Release 5, Library Number
1719.  
1720.  
1721.  
1722.  •  5C24-5384-0,' no date,
1723.  
1724.  
1725.  
1726.  •  RACF General User's Guide, Library Number 5C28-1341,
1727. December 1987,
1728.  •  VM/SP CMS Command Reference, Library Number SCl 9-6209,
1729. no date,
1730.  •  VM/Directory Maintenance Operation and Use, Library~Number
1731. 5C23-0437,
1732.  
1733.  
1734.  
1735.  •  March 1989,
1736.  
1737.  
1738.  
1739.  •  VMTAPE-MS User's Guide, Library Number 5H20-6245, September
1740. 1988,
1741.  •  The VM HELP Facility, online function.
1742.  
1743.  
1744.  
1745.  
1746.  
1747.  
1748.  
1749.  
1750.  
1751. 14. Prime Computer, Inc PRlMOS Rev 21.0.1. DODC2A (Final Evaluation
1752. Report), National Computer Security Center, CSC-EPL88/009, July
1753. 1988.
1754.  
1755.  •  This FER identified the following document as the SFUG for
1756. this product:
1757.  
1758.  •  Security Features User's Guide, 1st Edition for Revision
1759. 21.0, 1987.
1760.  
1761.  
1762.  
1763.  
1764.  
1765.  
1766.  
1767.  
1768.  • 15. UNlSYS Corporation A Series MCP/AS Release 3.7 (Final
1769. Evaluation Report), National Computer Security Center, CSC-EPL-87/003,
1770. August 1987.
1771.  •  This FER identified the following document as the SFUG for
1772. this product:
1773.  
1774.  •  A Series Security Features Operations and Programming
1775. Guide, Document Number 1195203, July 1987.
1776.  
1777.  
1778.  
1779.  
1780.  
1781.  
1782.  
1783.  
1784.  • 16. UNlSYS Corporation OS 1100 (Final Evaluation Report),
1785. National Computer Security Center, CSC-EPL-89/004, September 1989.
1786.  •  This FER identified the following document as the SFUG for
1787. this product:
1788.  
1789.  
1790.  
1791.  
1792. OS 1100 Security System Operations Guide, UP-I 3011.1, August
1793. 1989.
1794.  
1795.  
1796.  
1797. b