home *** CD-ROM | disk | FTP | other *** search

---

/ Group 42-Sells Out! - The Information Archive / Group 42 Sells Out (Group 42) (1996).iso / security / orange.txt

< prev

next >

Wrap

Text File  |  1995-11-30  |  328KB  |  6,525 lines

---

1.                                                                  CSC-STD-001-83
2.                                                            Library No. S225,711
3.  
4.                              DEPARTMENT OF DEFENSE
5.  
6.                 TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA
7.  
8.                                FOREWORD
9.  
10.  
11. This publication, "Department of Defense Trusted Computer System Evaluation
12. Criteria," is being issued by the DoD Computer Security Center under the
13. authority of and in accordance with DoD Directive 5215.1, "Computer Security
14. Evaluation Center." The criteria defined in this document constitute a uniform
15. set of basic requirements and evaluation classes for assessing the
16. effectiveness of security controls built into Automatic Data Processing (ADP)
17. systems.  These criteria are intended for use in the evaluation and selection
18. of ADP systems being considered for the processing and/or storage and
19. retrieval of sensitive or classified information by the Department of Defense.
20. Point of contact concerning this publication is the Office of Standards and
21. Products, Attention: Chief, Computer Security Standards.
22.  
23.  
24.  
25.  
26.  
27. ____________________________ 
28. Melville H. Klein
29. Director
30. DoD Computer Security Center
31.  
32.  
33.  
34.  
35.                            ACKNOWLEDGMENTS
36.  
37.  
38. Special recognition is extended to Sheila L. Brand, DoD Computer Security
39. Center (DoDCSC), who integrated theory, policy, and practice into and directed
40. the production of this document.
41.  
42. Acknowledgment is also given for the contributions of: Grace Hammonds and
43. Peter S. Tasker, the MITRE Corp., Daniel J. Edwards, Col. Roger R. Schell,
44. Marvin Schaefer, DoDCSC, and Theodore M. P. Lee, Sperry UNIVAC, who as
45. original architects formulated and articulated the technical issues and
46. solutions presented in this document; Jeff Makey and Warren F. Shadle,
47. DoDCSC, who assisted in the preparation of this document; James P. Anderson,
48. James P. Anderson & Co., Steven B. Lipner, Digital Equipment Corp., Clark
49. Weissman, System Development Corp., LTC Lawrence A. Noble, formerly U.S. Air
50. Force, Stephen T. Walker, formerly DoD, Eugene V. Epperly, DoD, and James E.
51. Studer, formerly Dept. of the Army, who gave generously of their time and
52. expertise in the review and critique of this document; and finally, thanks are
53. given to the computer industry and others interested in trusted computing for
54. their enthusiastic advice and assistance throughout this effort.
55.  
56.  
57.  
58.  
59.                           TABLE OF CONTENTS
60.  
61. FOREWORD. . . . . . . . . . . . . . . . . . . . . . . . . . . .i
62. ACKNOWLEDGMENTS . . . . . . . . . . . . . . . . . . . . . . . ii
63. PREFACE . . . . . . . . . . . . . . . . . . . . . . . . . . . .v
64. INTRODUCTION. . . . . . . . . . . . . . . . . . . . . . . . . .1
65.  
66.                         PART I: THE CRITERIA
67. Section
68. 1.0  DIVISION D:    MINIMAL PROTECTION. . . . . . . . . . . . .9
69. 2.0  DIVISION C:    DISCRETIONARY PROTECTION. . . . . . . . . 11
70.      2.1   Class (C1):  Discretionary Security Protection . . 12
71.      2.2   Class (C2):  Controlled Access Protection. . . . . 15
72. 3.0  DIVISION B:    MANDATORY PROTECTION. . . . . . . . . . . 19
73.      3.1   Class (B1):  Labeled Security Protection . . . . . 20
74.      3.2   Class (B2):  Structured Protection . . . . . . . . 26
75.      3.3   Class (B3):  Security Domains. . . . . . . . . . . 33
76. 4.0  DIVISION A:    VERIFIED PROTECTION . . . . . . . . . . . 41
77.      4.1   Class (A1):  Verified Design . . . . . . . . . . . 42
78.      4.2   Beyond Class (A1). . . . . . . . . . . . . . . . . 51
79.  
80.                  PART II: RATIONALE AND GUIDELINES
81.  
82. 5.0  CONTROL OBJECTIVES FOR TRUSTED COMPUTER SYSTEMS. . . . . 55
83.      5.1   A Need for Consensus . . . . . . . . . . . . . . . 56
84.      5.2   Definition and Usefulness. . . . . . . . . . . . . 56
85.      5.3   Criteria Control Objective . . . . . . . . . . . . 56
86. 6.0  RATIONALE BEHIND THE EVALUATION CLASSES. . . . . . . . . 63
87.      6.1   The Reference Monitor Concept. . . . . . . . . . . 64
88.      6.2   A Formal Security Policy Model . . . . . . . . . . 64
89.      6.3   The Trusted Computing Base . . . . . . . . . . . . 65
90.      6.4   Assurance. . . . . . . . . . . . . . . . . . . . . 65
91.      6.5   The Classes. . . . . . . . . . . . . . . . . . . . 66
92. 7.0  THE RELATIONSHIP BETWEEN POLICY AND THE CRITERIA . . . . 69
93.      7.1   Established Federal Policies . . . . . . . . . . . 70
94.      7.2   DoD Policies . . . . . . . . . . . . . . . . . . . 70
95.      7.3   Criteria Control Objective For Security Policy . . 71
96.      7.4   Criteria Control Objective for Accountability. . . 74
97.      7.5   Criteria Control Objective for Assurance . . . . . 76
98. 8.0  A GUIDELINE ON COVERT CHANNELS . . . . . . . . . . . . . 79
99. 9.0  A GUIDELINE ON CONFIGURING MANDATORY ACCESS CONTROL
100.      FEATURES . . . . . . . . . . . . . . . . . . . . . . . . 81
101. 10.0  A GUIDELINE ON SECURITY TESTING . . . . . . . . . . . . 83
102.       10.1 Testing for Division C . . . . . . . . . . . . . . 84
103.       10.2 Testing for Division B . . . . . . . . . . . . . . 84
104.       10.3 Testing for Division A . . . . . . . . . . . . . . 85
105. APPENDIX A:  Commercial Product Evaluation Process. . . . . . 87
106. APPENDIX B:  Summary of Evaluation Criteria Divisions . . . . 89
107. APPENDIX C:  Sumary of Evaluation Criteria Classes. . . . . . 91
108. APPENDIX D:  Requirement Directory. . . . . . . . . . . . . . 93
109.  
110. GLOSSARY. . . . . . . . . . . . . . . . . . . . . . . . . . .109
111.  
112. REFERENCES. . . . . . . . . . . . . . . . . . . . . . . . . .115
113.  
114.  
115.  
116.  
117.                                 PREFACE
118.  
119.  
120. The trusted computer system evaluation criteria defined in this document
121. classify systems into four broad hierarchical divisions of enhanced security
122. protection.  They provide a basis for the evaluation of effectiveness of
123. security controls built into automatic data processing system products.  The
124. criteria were developed with three objectives in mind: (a) to provide users
125. with a yardstick with which to assess the degree of trust that can be placed
126. in computer systems for the secure processing of classified or other sensitive
127. information; (b) to provide guidance to manufacturers as to what to build into
128. their new, widely-available trusted commercial products in order to satisfy
129. trust requirements for sensitive applications; and (c) to provide a basis for
130. specifying security requirements in acquisition specifications.  Two types of
131. requirements are delineated for secure processing: (a) specific security
132. feature requirements and (b) assurance requirements.  Some of the latter
133. requirements enable evaluation personnel to determine if the required features
134. are present and functioning as intended.  Though the criteria are
135. application-independent, it is recognized that the specific security feature
136. requirements may have to be interpreted when applying the criteria to specific
137. applications or other special processing environments.  The underlying
138. assurance requirements can be applied across the entire spectrum of ADP system
139. or application processing environments without special interpretation.
140.  
141.  
142. INTRODUCTION
143.  
144. Historical Perspective
145.  
146. In October 1967, a task force was assembled under the auspices of the Defense
147. Science Board to address computer security safeguards that would protect
148. classified information in remote-access, resource-sharing computer systems.
149. The Task Force report, "Security Controls for Computer Systems," published in
150. February 1970, made a number of policy and technical recommendations on
151. actions to be taken to reduce the threat of compromise of classified
152. information processed on remote-access computer systems.[34]  Department of
153. Defense Directive 5200.28 and its accompanying manual DoD 5200.28-M, published
154. in 1972 and 1973 respectivley, responded to one of these recommendations by
155. establishing uniform DoD policy, security requirements, administrative
156. controls, and technical measures to protect classified information processed
157. by DoD computer systems.[8;9]  Research and development work undertaken by the
158. Air Force, Advanced Research Projects Agency, and other defense agencies in
159. the early and mid 70's developed and demonstrated solution approaches for the
160. technical problems associated with controlling the flow of information in
161. resource and information sharing computer systems.[1]  The DoD Computer
162. Security Initiative was started in 1977 under the auspices of the Under
163. Secretary of Defense for Research and Engineering to focus DoD efforts
164. addressing computer security issues.[33]
165.  
166. Concurrent with DoD efforts to address computer security issues, work was
167. begun under the leadership of the National Bureau of Standards (NBS) to define
168. problems and solutions for building, evaluating, and auditing secure computer
169. systems.[17]  As part of this work NBS held two invitational workshops on the
170. subject of audit and evaluation of computer security.[20;28]  The first was
171. held in March 1977, and the second in November of 1978.  One of the products
172. of the second workshop was a definitive paper on the problems related to
173. providing criteria for the evaluation of technical computer security
174. effectiveness.[20]  As an outgrowth of recommendations from this report, and in
175. support of the DoD Computer Security Initiative, the MITRE Corporation began
176. work on a set of computer security evaluation criteria that could be used to
177. assess the degree of trust one could place in a computer system to protect
178. classified data.[24;25;31]  The preliminary concepts for computer security
179. evaluation were defined and expanded upon at invitational workshops and
180. symposia whose participants represented computer security expertise drawn from
181. industry and academia in addition to the government.  Their work has since
182. been subjected to much peer review and constructive technical criticism from
183. the DoD, industrial research and development organizations, universities, and
184. computer manufacturers.
185.  
186. The DoD Computer Security Center (the Center) was formed in January 1981 to
187. staff and expand on the work started by the DoD Computer Security
188. Initiative.[15]  A major goal of the Center as given in its DoD Charter is to
189. encourage the widespread availability of trusted computer systems for use by
190. those who process classified or other sensitive information.[10]  The criteria
191. presented in this document have evolved from the earlier NBS and MITRE
192. evaluation material.
193.  
194.  
195. Scope
196.  
197. The trusted computer system evaluation criteria defined in this document apply
198. to both trusted general-purpose and trusted embedded (e.g., those dedicated to
199. a specific application) automatic data processing (ADP) systems.  Included are
200. two distinct sets of requirements: 1) specific security feature requirements;
201. and 2) assurance requirements.  The specific feature requirements encompass
202. the capabilities typically found in information processing systems employing
203. general-purpose operating systems that are distinct from the applications
204. programs being supported.  The assurance requirements, on the other hand,
205. apply to systems that cover the full range of computing environments from
206. dedicated controllers to full range multilevel secure resource sharing
207. systems.
208.  
209.  
210. Purpose
211.  
212. As outlined in the Preface, the criteria have been developed for a number of
213. reasons:
214.  
215.            * To provide users with a metric with which to evaluate the
216.            degree of trust that can be placed in computer systems for
217.            the secure processing of classified and other sensitive
218.            information.
219.  
220.            * To provide guidance to manufacturers as to what security
221.            features to build into their new and planned, commercial
222.            products in order to provide widely available systems that
223.            satisfy trust requirements for sensitive applications.
224.  
225.            * To provide a basis for specifying security requirements in
226.            acquisition specifications.
227.  
228. With respect to the first purpose for development of the criteria, i.e.,
229. providing users with a security evaluation metric, evaluations can be
230. delineated into two types: (a) an evaluation can be performed on a computer
231. product from a perspective that excludes the application environment; or, (b)
232. it can be done to assess whether appropriate security measures have been taken
233. to permit the system to be used operationally in a specific environment.  The
234. former type of evaluation is done by the Computer Security Center through the
235. Commercial Product Evaluation Process.  That process is described in Appendix
236. A.
237.  
238. The latter type of evaluation, i.e., those done for the purpose of assessing a
239. system's security attributes with respect to a specific operational mission,
240. is known as a certification evaluation.  It must be understood that the
241. completion of a formal product evaluation does not constitute certification or
242. accreditation for the system to be used in any specific application
243. environment.  On the contrary, the evaluation report only provides a trusted
244. computer system's evaluation rating along with supporting data describing the
245. product system's strengths and weaknesses from a computer security point of
246. view.  The system security certification and the formal approval/accreditation
247. procedure, done in accordance with the applicable policies of the issuing
248. agencies, must still be followed-before a system can be approved for use in
249. processing or handling classified information.[8;9]
250.  
251. The trusted computer system evaluation criteria will be used directly and
252. indirectly in the certification process.  Along with applicable policy, it
253. will be used directly as the basis for evaluation of the total system and for
254. specifying system security and certification requirements for new
255. acquisitions.  Where a system being evaluated for certification employs a
256. product that has undergone a Commercial Product Evaluation, reports from that
257. process will be used as input to the certification evaluation.  Technical data
258. will be furnished to designers, evaluators and the Designated Approving
259. Authorities to support their needs for making decisions.
260.  
261.  
262. Fundamental Computer Security Requirements
263.  
264. Any discussion of computer security necessarily starts from a statement of
265. requirements, i.e., what it really means to call a computer system "secure."
266. In general, secure systems will control, through use of specific security
267. features, access to information such that only properly authorized
268. individuals, or processes operating on their behalf, will have access to read,
269. write, create, or delete information.  Six fundamental requirements are
270. derived from this basic statement of objective: four deal with what needs to
271. be provided to control access to information; and two deal with how one can
272. obtain credible assurances that this is accomplished in a trusted computer
273. system.
274.  
275.                                 POLICY
276.  
277. Requirement 1 - SECURITY POLICY - There must be an explicit and well-defined
278. security policy enforced by the system.  Given identified subjects and
279. objects, there must be a set of rules that are used by the system to determine
280. whether a given subject can be permitted to gain access to a specific object.
281. Computer systems of interest must enforce a mandatory security policy that can
282. effectively implement access rules for handling sensitive (e.g., classified)
283. information.[7]  These rules include requirements such as: No person lacking
284. proper personnel security clearance shall obtain access to classified
285. information.  In addition, discretionary security controls are required to
286. ensure that only selected users or groups of users may obtain access to data
287. (e.g., based on a need-to-know).
288.  
289. Requirement 2 - MARKING - Access control labels must be associated with
290. objects.  In order to control access to information stored in a computer,
291. according to the rules of a mandatory security policy, it must be possible to
292. mark every object with a label that reliably identifies the object's
293. sensitivity level (e.g., classification), and/or the modes of access accorded
294. those subjects who may potentially access the object.
295.  
296.                           ACCOUNTABILITY
297.  
298. Requirement 3 - IDENTIFICATION - Individual subjects must be identified.  Each
299. access to information must be mediated based on who is accessing the
300. information and what classes of information they are authorized to deal with.
301. This identification and authorization information must be securely maintained
302. by the computer system and be associated with every active element that
303. performs some security-relevant action in the system.
304.  
305. Requirement 4 - ACCOUNTABILITY - Audit information must be selectively kept
306. and protected so that actions affecting security can be traced to the
307. responsible party.  A trusted system must be able to record the occurrences of
308. security-relevant events in an audit log.  The capability to select the audit
309. events to be recorded is necessary to minimize the expense of auditing and to
310. allow efficient analysis.  Audit data must be protected from modification and
311. unauthorized destruction to permit detection and after-the-fact investigations
312. of security violations.
313.  
314.                              ASSURANCE
315.  
316. Requirement 5 - ASSURANCE - The computer system must contain hardware/software
317. mechanisms that can be independently evaluated to provide sufficient assurance
318. that the system enforces requirements 1 through 4 above.  In order to assure
319. that the four requirements of Security Policy, Marking, Identification, and
320. Accountability are enforced by a computer system, there must be some
321. identified and unified collection of hardware and software controls that
322. perform those functions.  These mechanisms are typically embedded in the
323. operating system and are designed to carry out the assigned tasks in a secure
324. manner.  The basis for trusting such system mechanisms in their operational
325. setting must be clearly documented such that it is possible to independently
326. examine the evidence to evaluate their sufficiency.
327.  
328. Requirement 6 - CONTINUOUS PROTECTION - The trusted mechanisms that enforce
329. these basic requirements must be continuously protected against tampering
330. and/or unauthorized changes.  No computer system can be considered truly
331. secure if the basic hardware and software mechanisms that enforce the security
332. policy are themselves subject to unauthorized modification or subversion.  The
333. continuous protection requirement has direct implications throughout the
334. computer system's life-cycle.
335.  
336. These fundamental requirements form the basis for the individual evaluation
337. criteria applicable for each evaluation division and class.  The interested
338. reader is referred to Section 5 of this document, "Control Objectives for
339. Trusted Computer Systems," for a more complete discussion and further
340. amplification of these fundamental requirements as they apply to
341. general-purpose information processing systems and to Section 7 for
342. amplification of the relationship between Policy and these requirements.
343.  
344.  
345. Structure of the Document
346.  
347. The remainder of this document is divided into two parts, four appendices, and
348. a glossary.  Part I (Sections 1 through 4) presents the detailed criteria
349. derived from the fundamental requirements described above and relevant to the
350. rationale and policy excerpts contained in Part II.
351.  
352. Part II (Sections 5 through 10) provides a discussion of basic objectives,
353. rationale, and national policy behind the development of the criteria, and
354. guidelines for developers pertaining to: mandatory access control rules
355. implementation, the covert channel problem, and security testing.  It is
356. divided into six sections.  Section 5 discusses the use of control objectives
357. in general and presents the three basic control objectives of the criteria.
358. Section 6 provides the theoretical basis behind the criteria.  Section 7 gives
359. excerpts from pertinent regulations, directives, OMB Circulars, and Executive
360. Orders which provide the basis for many trust requirements for processing
361. nationally sensitive and classified information with computer systems.
362. Section 8 provides guidance to system developers on expectations in dealing
363. with the covert channel problem.  Section 9 provides guidelines dealing with
364. mandatory security.  Section 10 provides guidelines for security testing.
365. There are four appendices, including a description of the Trusted Computer
366. System Commercial Products Evaluation Process (Appendix A), summaries of the
367. evaluation divisions (Appendix B) and classes (Appendix C), and finally a
368. directory of requirements ordered alphabetically.  In addition, there is a
369. glossary.
370.  
371.  
372. Structure of the Criteria
373.  
374. The criteria are divided into four divisions: D, C, B, and A ordered in a
375. hierarchical manner with the highest division (A) being reserved for systems
376. providing the most comprehensive security.  Each division represents a major
377. improvement in the overall confidence one can place in the system for the
378. protection of sensitive information.  Within divisions C and B there are a
379. number of subdivisions known as classes.  The classes are also ordered in a
380. hierarchical manner with systems representative of division C and lower
381. classes of division B being characterized by the set of computer security
382. mechanisms that they possess.  Assurance of correct and complete design and
383. implementation for these systems is gained mostly through testing of the
384. security- relevant portions of the system.  The security-relevant portions of
385. a system are referred to throughout this document as the Trusted Computing
386. Base (TCB).  Systems representative of higher classes in division B and
387. division A derive their security attributes more from their design and
388. implementation structure.  Increased assurance that the required features are
389. operative, correct, and tamperproof under all circumstances is gained through
390. progressively more rigorous analysis during the design process.
391.  
392. Within each class, four major sets of criteria are addressed.  The first three
393. represent features necessary to satisfy the broad control objectives of
394. Security Policy, Accountability, and Assurance that are discussed in Part II,
395. Section 5.  The fourth set, Documentation, describes the type of written
396. evidence in the form of user guides, manuals, and the test and design
397. documentation required for each class.
398.  
399. A reader using this publication for the first time may find it helpful to
400. first read Part II, before continuing on with Part I.
401.  
402.  
403.  
404.  
405.                         PART I:  THE CRITERIA
406.  
407. Highlighting (UPPERCASE) is used in Part I to indicate criteria not contained
408. in a lower class or changes and additions to already defined criteria.  Where
409. there is no highlighting, requirements have been carried over from lower
410. classes without addition or modification.
411.  
412.  
413.  
414. 1.0  DIVISION D:    MINIMAL PROTECTION
415.  
416. This division contains only one class.  It is reserved for those systems that
417. have been evaluated but that fail to meet the requirements for a higher
418. evaluation class.
419.  
420.  
421.  
422. 2.0 DIVISION C:  DISCRETIONARY PROTECTION
423.  
424. Classes in this division provide for discretionary (need-to-know) protection
425. and, through the inclusion of audit capabilities, for accountability of
426. subjects and the actions they initiate.
427.  
428.  
429. 2.1  CLASS (C1):   DISCRETIONARY SECURITY PROTECTION
430.  
431. The Trusted Computing Base (TCB) of a class (C1) system nominally satisfies
432. the discretionary security requirements by providing separation of users and
433. data.  It incorporates some form of credible controls capable of enforcing
434. access limitations on an individual basis, i.e., ostensibly suitable for
435. allowing users to be able to protect project or private information and to
436. keep other users from accidentally reading or destroying their data.  The
437. class (C1) environment is expected to be one of cooperating users processing
438. data at the same level(s) of sensitivity.  The following are minimal
439. requirements for systems assigned a class (C1) rating:
440.  
441. 2.1.1  SECURITY POLICY
442.  
443.      2.1.1.1   Discretionary Access Control
444.  
445.                THE TCB SHALL DEFINE AND CONTROL ACCESS BETWEEN NAMED USERS AND
446.              NAMED OBJECTS (E.G., FILES AND PROGRAMS) IN THE ADP SYSTEM.  THE
447.              ENFORCEMENT MECHANISM (E.G., SELF/GROUP/PUBLIC CONTROLS, ACCESS 
448.              CONTROL LISTS) SHALL ALLOW USERS TO SPECIFY AND CONTROL SHARING 
449.              OF THOSE OBJECTS BY NAMED INDIVIDUALS OR DEFINED GROUPS OR BOTH.
450.  
451. 2.1.2  ACCOUNTABILITY
452.  
453.      2.1.2.1   Identification and Authentication
454.  
455.                THE TCB SHALL REQUIRE USERS TO IDENTIFY THEMSELVES TO IT BEFORE
456.              BEGINNING TO PERFORM ANY OTHER ACTIONS THAT THE TCB IS EXPECTED 
457.              TO MEDIATE.  FURTHERMORE, THE TCB SHALL USE A PROTECTED 
458.              MECHANISM (E.G., PASSWORDS) TO AUTHENTICATE THE USER'S IDENTITY.
459.              THE TCB SHALL PROTECT AUTHENTICATION DATA SO THAT IT CANNOT BE 
460.              ACCESSED BY ANY UNAUTHORIZED USER.
461.  
462. 2.1.3  ASSURANCE
463.  
464.      2.1.3.1   Operational Assurance
465.  
466.         2.1.3.1.1  System Architecture
467.  
468.                      THE TCB SHALL MAINTAIN A DOMAIN FOR ITS OWN EXECUTION
469.                  THAT PROTECTS IT FROM EXTERNAL INTERFERENCE OR TAMPERING
470.                  (E.G., BY MODIFICATION OF ITS CODE OR DATA STRUCTURES). 
471.                  RESOURCES CONTROLLED BY THE TCB MAY BE A DEFINED SUBSET 
472.                  OF THE SUBJECTS AND OBJECTS IN THE ADP SYSTEM.
473.  
474.         2.1.3.1.2  System Integrity
475.  
476.                      HARDWARE AND/OR SOFTWARE FEATURES SHALL BE PROVIDED THAT
477.                  CAN BE USED TO PERIODICALLY VALIDATE THE CORRECT OPERATION
478.                  OF THE ON-SITE HARDWARE AND FIRMWARE ELEMENTS OF THE TCB.
479.  
480.      2.1.3.2   Life-Cycle Assurance
481.  
482.         2.1.3.2.1  Security Testing
483.  
484.                      THE SECURITY MECHANISMS OF THE ADP SYSTEM SHALL BE TESTED
485.                  AND FOUND TO WORK AS CLAIMED IN THE SYSTEM DOCUMENTATION. 
486.                  TESTING SHALL BE DONE TO ASSURE THAT THERE ARE NO OBVIOUS
487.                  WAYS FOR AN UNAUTHORIZED USER TO BYPASS OR OTHERWISE 
488.                  DEFEAT THE SECURITY PROTECTION MECHANISMS OF THE TCB.
489.                  (SEE THE SECURITY TESTING GUIDELINES.)
490.  
491. 2.1.4  DOCUMENTATION
492.  
493.      2.1.4.1   Security Features User's Guide
494.  
495.                A SINGLE SUMMARY, CHAPTER, OR MANUAL IN USER DOCUMENTATION
496.              SHALL DESCRIBE THE PROTECTION MECHANISMS PROVIDED BY THE TCB,
497.              GUIDELINES ON THEIR USE, AND HOW THEY INTERACT WITH ONE ANOTHER.
498.  
499.      2.1.4.2   Trusted Facility Manual
500.  
501.                A MANUAL ADDRESSED TO THE ADP SYSTEM ADMINISTRATOR SHALL
502.              PRESENT CAUTIONS ABOUT FUNCTIONS AND PRIVILEGES THAT SHOULD BE 
503.              CONTROLLED WHEN RUNNING A SECURE FACILITY.
504.  
505.      2.1.4.3   Test Documentation
506.  
507.                THE SYSTEM DEVELOPER SHALL PROVIDE TO THE EVALUATORS A DOCUMENT
508.              THAT DESCRIBES THE TEST PLAN AND RESULTS OF THE SECURITY 
509.              MECHANISMS' FUNCTIONAL TESTING.
510.  
511.      2.1.4.4   Design Documentation
512.  
513.                DOCUMENTATION SHALL BE AVAILABLE THAT PROVIDES A DESCRIPTION OF
514.              THE MANUFACTURER'S PHILOSOPHY OF PROTECTION AND AN EXPLANATION 
515.              OF HOW THIS PHILOSOPHY IS TRANSLATED INTO THE TCB.  IF THE TCB 
516.              IS COMPOSED OF DISTINCT MODULES, THE INTERFACES BETWEEN THESE 
517.              MODULES SHALL BE DESCRIBED.
518.  
519.  
520. 2.2  CLASS (C2):    CONTROLLED ACCESS PROTECTION
521.  
522. Systems in this class enforce a more finely grained discretionary access
523. control than (C1) systems, making users individually accountable for their
524. actions through login procedures, auditing of security-relevant events, and
525. resource isolation.  The following are minimal requirements for systems
526. assigned a class (C2) rating:
527.  
528. 2.2.1  SECURITY POLICY
529.  
530.      2.2.1.1   Discretionary Access Control
531.  
532.                The TCB shall define and control access between named users and
533.              named objects (e.g., files and programs) in the ADP system.  The
534.              enforcement mechanism (e.g., self/group/public controls, access
535.              control lists) shall allow users to specify and control sharing
536.              of those objects by named individuals, or defined groups OF 
537.              INDIVIDUALS, or by both.  THE DISCRETIONARY ACCESS CONTROL
538.              MECHANISM SHALL, EITHER BY EXPLICIT USER ACTION OR BY DEFAULT,
539.              PROVIDE THAT OBJECTS ARE PROTECTED FROM UNAUTHORIZED ACCESS. 
540.              THESE ACCESS CONTROLS SHALL BE CAPABLE OF INCLUDING OR EXCLUDING
541.              ACCESS TO THE GRANULARITY OF A SINGLE USER.  ACCESS PERMISSION 
542.              TO AN OBJECT BY USERS NOT ALREADY POSSESSING ACCESS PERMISSION
543.              SHALL ONLY BE ASSIGNED BY AUTHORIZED USERS.
544.  
545.      2.2.1.2   Object Reuse
546.  
547.                WHEN A STORAGE OBJECT IS INITIALLY ASSIGNED, ALLOCATED, OR
548.              REALLOCATED TO A SUBJECT FROM THE TCB'S POOL OF UNUSED STORAGE
549.              OBJECTS, THE TCB SHALL ASSURE THAT THE OBJECT CONTAINS NO DATA
550.              FOR WHICH THE SUBJECT IS NOT AUTHORIZED.
551.  
552. 2.2.2  ACCOUNTABILITY
553.  
554.      2.2.2.1   Identification and Authentication
555.  
556.                The TCB shall require users to identify themselves to it before
557.              beginning to perform any other actions that the TCB is expected
558.              to mediate.  Furthermore, the TCB shall use a protected 
559.              mechanism (e.g., passwords) to authenticate the user's identity.
560.              The TCB shall protect authentication data so that it cannot be
561.              accessed by any unauthorized user.  THE TCB SHALL BE ABLE TO
562.              ENFORCE INDIVIDUAL ACCOUNTABILITY BY PROVIDING THE CAPABILITY TO
563.              UNIQUELY IDENTIFY EACH INDIVIDUAL ADP SYSTEM USER.  THE TCB 
564.              SHALL ALSO PROVIDE THE CAPABILITY OF ASSOCIATING THIS IDENTITY
565.              WITH ALL AUDITABLE ACTIONS TAKEN BY THAT INDIVIDUAL.
566.  
567.      2.2.2.2   Audit
568.  
569.                THE TCB SHALL BE ABLE TO CREATE, MAINTAIN, AND PROTECT FROM
570.              MODIFICATION OR UNAUTHORIZED ACCESS OR DESTRUCTION AN AUDIT 
571.              TRAIL OF ACCESSES TO THE OBJECTS IT PROTECTS.  THE AUDIT DATA
572.              SHALL BE PROTECTED BY THE TCB SO THAT READ ACCESS TO IT IS
573.              LIMITED TO THOSE WHO ARE AUTHORIZED FOR AUDIT DATA.  THE TCB
574.              SHALL BE ABLE TO RECORD THE FOLLOWING TYPES OF EVENTS: USE OF
575.              IDENTIFICATION AND AUTHENTICATION MECHANISMS, INTRODUCTION OF 
576.              OBJECTS INTO A USER'S ADDRESS SPACE (E.G., FILE OPEN, PROGRAM
577.              INITIATION), DELETION OF OBJECTS, AND ACTIONS TAKEN BY
578.              COMPUTER OPERATORS AND SYSTEM ADMINISTRATORS AND/OR SYSTEM
579.              SECURITY OFFICERS.  FOR EACH RECORDED EVENT, THE AUDIT RECORD
580.              SHALL IDENTIFY: DATE AND TIME OF THE EVENT, USER, TYPE OF 
581.              EVENT, AND SUCCESS OR FAILURE OF THE EVENT.  FOR 
582.              IDENTIFICATION/AUTHENTICATION EVENTS THE ORIGIN OF REQUEST
583.              (E.G., TERMINAL ID) SHALL BE INCLUDED IN THE AUDIT RECORD.  FOR
584.              EVENTS THAT INTRODUCE AN OBJECT INTO A USER'S ADDRESS SPACE AND
585.              FOR OBJECT DELETION EVENTS THE AUDIT RECORD SHALL INCLUDE THE 
586.              NAME OF THE OBJECT.  THE ADP SYSTEM ADMINISTRATOR SHALL BE ABLE
587.              TO SELECTIVELY AUDIT THE ACTIONS OF ANY ONE OR MORE USERS BASED
588.              ON INDIVIDUAL IDENTITY.
589.  
590. 2.2.3  ASSURANCE
591.  
592.      2.2.3.1   Operational Assurance
593.  
594.         2.2.3.1.1  System Architecture
595.  
596.                      The TCB shall maintain a domain for its own execution
597.                  that protects it from external interference or tampering
598.                  (e.g., by modification of its code or data structures). 
599.                  Resources controlled by the TCB may be a defined subset
600.                  of the subjects and objects in the ADP system.  THE TCB
601.                  SHALL ISOLATE THE RESOURCES TO BE PROTECTED SO THAT THEY
602.                  ARE SUBJECT TO THE ACCESS CONTROL AND AUDITING 
603.                  REQUIREMENTS.
604.  
605.         2.2.3.1.2  System Integrity
606.  
607.                      Hardware and/or software features shall be provided that
608.                  can be used to periodically validate the correct operation
609.                  of the on-site hardware and firmware elements of the TCB.
610.  
611.      2.2.3.2   Life-Cycle Assurance
612.  
613.         2.2.3.2.1  Security Testing
614.  
615.                      The security mechanisms of the ADP system shall be tested
616.                  and found to work as claimed in the system documentation.
617.                  Testing shall be done to assure that there are no obvious
618.                  ways for an unauthorized user to bypass or otherwise
619.                  defeat the security protection mechanisms of the TCB.
620.                  TESTING SHALL ALSO INCLUDE A SEARCH FOR OBVIOUS FLAWS THAT
621.                  WOULD ALLOW VIOLATION OF RESOURCE ISOLATION, OR THAT WOULD
622.                  PERMIT UNAUTHORIZED ACCESS TO THE AUDIT OR AUTHENTICATION
623.                  DATA.  (See the Security Testing guidelines.)
624.  
625. 2.2.4  DOCUMENTATION
626.  
627.      2.2.4.1   Security Features User's Guide
628.  
629.                A single summary, chapter, or manual in user documentation
630.              shall describe the protection mechanisms provided by the TCB, 
631.              guidelines on their use, and how they interact with one another.
632.  
633.      2.2.4.2   Trusted Facility Manual
634.  
635.                A manual addressed to the ADP system administrator shall
636.              present cautions about functions and privileges that should be
637.              controlled when running a secure facility.  THE PROCEDURES FOR
638.              EXAMINING AND MAINTAINING THE AUDIT FILES AS WELL AS THE
639.              DETAILED AUDIT RECORD STRUCTURE FOR EACH TYPE OF AUDIT EVENT
640.              SHALL BE GIVEN.
641.  
642.      2.2.4.3   Test Documentation
643.  
644.                The system developer shall provide to the evaluators a document
645.              that describes the test plan and results of the security 
646.              mechanisms' functional testing.
647.  
648.      2.2.4.4   Design Documentation
649.  
650.                Documentation shall be available that provides a description of
651.              the manufacturer's philosophy of protection and an explanation
652.              of how this philosophy is translated into the TCB.  If the TCB
653.              is composed of distinct modules, the interfaces between these
654.              modules shall be described.
655.  
656.  
657.  
658. 3.0  DIVISION B:    MANDATORY PROTECTION
659.  
660. The notion of a TCB that preserves the integrity of sensitivity labels and
661. uses them to enforce a set of mandatory access control rules is a major
662. requirement in this division.  Systems in this division must carry the
663. sensitivity labels with major data structures in the system.  The system
664. developer also provides the security policy model on which the TCB is based
665. and furnishes a specification of the TCB.  Evidence must be provided to
666. demonstrate that the reference monitor concept has been implemented.
667.  
668.  
669. 3.1  CLASS (B1):    LABELED SECURITY PROTECTION
670.  
671. Class (B1) systems require all the features required for class (C2).  In
672. addition, an informal statement of the security policy model, data labeling,
673. and mandatory access control over named subjects and objects must be present.
674. The capability must exist for accurately labeling exported information.  Any
675. flaws identified by testing must be removed.  The following are minimal
676. requirements for systems assigned a class (B1) rating:
677.  
678. 3.1.1  SECURITY POLICY
679.  
680.      3.1.1.1   Discretionary Access Control
681.  
682.                The TCB shall define and control access between named users and
683.              named objects (e.g., files and programs) in the ADP system.  
684.              The enforcement mechanism (e.g., self/group/public controls, 
685.              access control lists) shall allow users to specify and control
686.              sharing of those objects by named individuals, or defined groups
687.              of individuals, or by both.  The discretionary access control
688.              mechanism shall, either by explicit user action or by default,
689.              provide that objects are protected from unauthorized access. 
690.              These access controls shall be capable of including or excluding
691.              access to the granularity of a single user.  Access permission
692.              to an object by users not already possessing access permission
693.              shall only be assigned by authorized users.
694.  
695.      3.1.1.2   Object Reuse
696.  
697.                When a storage object is initially assigned, allocated, or
698.              reallocated to a subject from the TCB's pool of unused storage
699.              objects, the TCB shall assure that the object contains no data
700.              for which the subject is not authorized.
701.  
702.      3.1.1.3   Labels
703.  
704.                SENSITIVITY LABELS ASSOCIATED WITH EACH SUBJECT AND STORAGE
705.              OBJECT UNDER ITS CONTROL (E.G., PROCESS, FILE, SEGMENT, DEVICE)
706.              SHALL BE MAINTAINED BY THE TCB.  THESE LABELS SHALL BE USED AS
707.              THE BASIS FOR MANDATORY ACCESS CONTROL DECISIONS.  IN ORDER TO
708.              IMPORT NON-LABELED DATA, THE TCB SHALL REQUEST AND RECEIVE FROM
709.              AN AUTHORIZED USER THE SECURITY LEVEL OF THE DATA, AND ALL SUCH
710.              ACTIONS SHALL BE AUDITABLE BY THE TCB.
711.  
712.         3.1.1.3.1  Label Integrity
713.  
714.                      SENSITIVITY LABELS SHALL ACCURATELY REPRESENT SECURITY
715.                  LEVELS OF THE SPECIFIC SUBJECTS OR OBJECTS WITH WHICH THEY
716.                  ARE ASSOCIATED.  WHEN EXPORTED BY THE TCB, SENSITIVITY
717.                  LABELS SHALL ACCURATELY AND UNAMBIGUOUSLY REPRESENT THE
718.                  INTERNAL LABELS AND SHALL BE ASSOCIATED WITH THE 
719.                  INFORMATION BEING EXPORTED.
720.  
721.         3.1.1.3.2  Exportation of Labeled Information
722.  
723.                      THE TCB SHALL DESIGNATE EACH COMMUNICATION CHANNEL AND
724.                  I/O DEVICE AS EITHER SINGLE-LEVEL OR MULTILEVEL.  ANY
725.                  CHANGE IN THIS DESIGNATION SHALL BE DONE MANUALLY AND
726.                  SHALL BE AUDITABLE BY THE TCB.  THE TCB SHALL MAINTAIN
727.                  AND BE ABLE TO AUDIT ANY CHANGE IN THE CURRENT SECURITY
728.                  LEVEL ASSOCIATED WITH A SINGLE-LEVEL COMMUNICATION 
729.                  CHANNEL OR I/O DEVICE.
730.  
731.              3.1.1.3.2.1  Exportation to Multilevel Devices
732.  
733.                             WHEN THE TCB EXPORTS AN OBJECT TO A MULTILEVEL I/O
734.                         DEVICE, THE SENSITIVITY LABEL ASSOCIATED WITH THAT
735.                         OBJECT SHALL ALSO BE EXPORTED AND SHALL RESIDE ON
736.                         THE SAME PHYSICAL MEDIUM AS THE EXPORTED 
737.                         INFORMATION AND SHALL BE IN THE SAME FORM 
738.                         (I.E., MACHINE-READABLE OR  HUMAN-READABLE FORM).
739.                         WHEN THE TCB EXPORTS OR IMPORTS AN OBJECT OVER A
740.                         MULTILEVEL COMMUNICATION CHANNEL, THE PROTOCOL 
741.                         USED ON THAT CHANNEL SHALL PROVIDE FOR THE
742.                         UNAMBIGUOUS PAIRING BETWEEN THE SENSITIVITY LABELS
743.                         AND THE ASSOCIATED INFORMATION THAT IS SENT OR 
744.                         RECEIVED.
745.  
746.              3.1.1.3.2.2  Exportation to Single-Level Devices
747.  
748.                         SINGLE-LEVEL I/O DEVICES AND SINGLE-LEVEL
749.                         COMMUNICATION CHANNELS ARE NOT REQUIRED TO 
750.                         MAINTAIN THE SENSITIVITY LABELS OF THE INFORMATION
751.                         THEY PROCESS.  HOWEVER, THE TCB SHALL INCLUDE A 
752.                         MECHANISM BY WHICH THE TCB AND AN AUTHORIZED USER
753.                         RELIABLY COMMUNICATE TO DESIGNATE THE SINGLE
754.                         SECURITY LEVEL OF INFORMATION IMPORTED OR EXPORTED
755.                         VIA SINGLE-LEVEL COMMUNICATION CHANNELS OR I/O 
756.                         DEVICES.
757.  
758.              3.1.1.3.2.3  Labeling Human-Readable Output
759.  
760.                         THE ADP SYSTEM ADMINISTRATOR SHALL BE ABLE TO
761.                         SPECIFY THE PRINTABLE LABEL NAMES ASSOCIATED WITH
762.                         EXPORTED SENSITIVITY LABELS.  THE TCB SHALL MARK
763.                         THE BEGINNING AND END OF ALL HUMAN-READABLE, PAGED,
764.                         HARDCOPY OUTPUT (E.G., LINE PRINTER OUTPUT) WITH
765.                         HUMAN-READABLE SENSITIVITY LABELS THAT PROPERLY*
766.                         REPRESENT THE SENSITIVITY OF THE OUTPUT.  THE TCB
767.                         SHALL, BY DEFAULT, MARK THE TOP AND BOTTOM OF EACH
768.                         PAGE OF HUMAN-READABLE, PAGED, HARDCOPY OUTPUT
769.                         (E.G., LINE PRINTER OUTPUT) WITH HUMAN-READABLE
770.                         SENSITIVITY LABELS THAT PROPERLY* REPRESENT THE
771.                         OVERALL SENSITIVITY OF THE OUTPUT OR THAT PROPERLY*
772.                         REPRESENT THE SENSITIVITY OF THE INFORMATION ON THE
773.                         PAGE.  THE TCB SHALL, BY DEFAULT AND IN AN
774.                         APPROPRIATE MANNER, MARK OTHER FORMS OF HUMAN-
775.                         READABLE OUTPUT (E.G., MAPS, GRAPHICS) WITH HUMAN-
776.                         READABLE SENSITIVITY LABELS THAT PROPERLY*
777.                         REPRESENT THE SENSITIVITY OF THE OUTPUT.  ANY 
778.                         OVERRIDE OF THESE MARKING DEFAULTS SHALL BE 
779.                         AUDITABLE BY THE TCB.
780.  
781.  
782.            _____________________________________________________________
783.            * THE HIERARCHICAL CLASSIFICATION COMPONENT IN HUMAN-READABLE
784.            SENSITIVITY LABELS SHALL BE EQUAL TO THE GREATEST
785.            HIERARCHICAL CLASSIFICATION OF ANY OF THE INFORMATION IN THE
786.            OUTPUT THAT THE LABELS REFER TO;  THE NON-HIERARCHICAL
787.            CATEGORY COMPONENT SHALL INCLUDE ALL OF THE NON-HIERARCHICAL
788.            CATEGORIES OF THE INFORMATION IN THE OUTPUT THE LABELS REFER
789.            TO, BUT NO OTHER NON-HIERARCHICAL CATEGORIES.
790.            _____________________________________________________________
791.  
792.  
793.      3.1.1.4   Mandatory Access Control
794.  
795.                THE TCB SHALL ENFORCE A MANDATORY ACCESS CONTROL POLICY OVER
796.              ALL SUBJECTS AND STORAGE OBJECTS UNDER ITS CONTROL (E.G., 
797.              PROCESSES, FILES, SEGMENTS, DEVICES).  THESE SUBJECTS AND 
798.              OBJECTS SHALL BE ASSIGNED SENSITIVITY LABELS THAT ARE A
799.              COMBINATION OF HIERARCHICAL CLASSIFICATION LEVELS AND
800.              NON-HIERARCHICAL CATEGORIES, AND THE LABELS SHALL BE USED AS
801.              THE BASIS FOR MANDATORY ACCESS CONTROL DECISIONS.  THE TCB 
802.              SHALL BE ABLE TO SUPPORT TWO OR MORE SUCH SECURITY LEVELS.
803.              (SEE THE MANDATORY ACCESS CONTROL GUIDELINES.) THE FOLLOWING
804.              REQUIREMENTS SHALL HOLD FOR ALL ACCESSES BETWEEN SUBJECTS AND
805.              OBJECTS CONTROLLED BY THE TCB: A SUBJECT CAN READ AN OBJECT
806.              ONLY IF THE HIERARCHICAL CLASSIFICATION IN THE SUBJECT'S
807.              SECURITY LEVEL IS GREATER THAN OR EQUAL TO THE HIERARCHICAL
808.              CLASSIFICATION IN THE OBJECT'S SECURITY LEVEL AND THE NON-
809.              HIERARCHICAL CATEGORIES IN THE SUBJECT'S SECURITY LEVEL INCLUDE
810.              ALL THE NON-HIERARCHICAL CATEGORIES IN THE OBJECT'S SECURITY
811.              LEVEL.  A SUBJECT CAN WRITE AN OBJECT ONLY IF THE HIERARCHICAL
812.              CLASSIFICATION IN THE SUBJECT'S SECURITY LEVEL IS LESS THAN OR
813.              EQUAL TO THE HIERARCHICAL CLASSIFICATION IN THE OBJECT'S
814.              SECURITY LEVEL AND ALL THE NON-HIERARCHICAL CATEGORIES IN THE
815.              SUBJECT'S SECURITY LEVEL ARE INCLUDED IN THE NON- HIERARCHICAL
816.              CATEGORIES IN THE OBJECT'S SECURITY LEVEL.
817.  
818. 3.1.2  ACCOUNTABILITY
819.  
820.      3.1.2.1   Identification and Authentication
821.  
822.                The TCB shall require users to identify themselves to it before
823.              beginning to perform any other actions that the TCB is expected
824.              to mediate.  Furthermore, the TCB shall MAINTAIN AUTHENTICATION
825.              DATA THAT INCLUDES INFORMATION FOR VERIFYING THE IDENTITY OF 
826.              INDIVIDUAL USERS (E.G., PASSWORDS) AS WELL AS INFORMATION FOR
827.              DETERMINING THE CLEARANCE AND AUTHORIZATIONS OF INDIVIDUAL
828.              USERS.  THIS DATA SHALL BE USED BY THE TCB TO AUTHENTICATE the
829.              user's identity AND TO DETERMINE THE SECURITY LEVEL AND 
830.              AUTHORIZATIONS OF SUBJECTS THAT MAY BE CREATED TO ACT ON BEHALF
831.              OF THE INDIVIDUAL USER.  The TCB shall protect authentication
832.              data so that it cannot be accessed by any unauthorized user.  
833.              The TCB shall be able to enforce individual accountability by
834.              providing the capability to uniquely identify each individual
835.              ADP system user.  The TCB shall also provide the capability of
836.              associating this identity with all auditable actions taken by
837.              that individual.
838.  
839.      3.1.2.2   Audit
840.  
841.                The TCB shall be able to create, maintain, and protect from
842.              modification or unauthorized access or destruction an audit
843.              trail of accesses to the objects it protects.  The audit data
844.              shall be protected by the TCB so that read access to it is
845.              limited to those who are authorized for audit data.  The TCB
846.              shall be able to record the following types of events: use of
847.              identification and authentication mechanisms, introduction of
848.              objects into a user's address space (e.g., file open, program
849.              initiation), deletion of objects, and actions taken by computer
850.              operators and system administrators and/or system security
851.              officers.  THE TCB SHALL ALSO BE ABLE TO AUDIT ANY OVERRIDE OF
852.              HUMAN-READABLE OUTPUT MARKINGS.  FOR each recorded event, the
853.              audit record shall identify: date and time of the event, user,
854.              type of event, and success or failure of the event.  For 
855.              identification/authentication events the origin of request
856.              (e.g., terminal ID) shall be included in the audit record.
857.              For events that introduce an object into a user's address space
858.              and for object deletion events the audit record shall include
859.              the name of the object AND THE OBJECT'S SECURITY LEVEL.  The 
860.              ADP system administrator shall be able to selectively audit the
861.              actions of any one or more users based on individual identity
862.              AND/OR OBJECT SECURITY LEVEL.
863.  
864. 3.1.3  ASSURANCE
865.  
866.      3.1.3.1   Operational Assurance
867.  
868.         3.1.3.1.1  System Architecture
869.  
870.                      The TCB shall maintain a domain for its own execution
871.                  that protects it from external interference or tampering
872.                  (e.g., by modification of its code or data structures). 
873.                  Resources controlled by the TCB may be a defined subset
874.                  of the subjects and objects in the ADP system.  THE TCB
875.                  SHALL MAINTAIN PROCESS ISOLATION THROUGH THE PROVISION OF
876.                  DISTINCT ADDRESS SPACES UNDER ITS CONTROL.  The TCB shall
877.                  isolate the resources to be protected so that they are
878.                  subject to the access control and auditing requirements.
879.  
880.         3.1.3.1.2  System Integrity
881.  
882.                      Hardware and/or software features shall be provided that
883.                  can be used to periodically validate the correct operation
884.                  of the on-site hardware and firmware elements of the TCB.
885.  
886.      3.1.3.2   Life-Cycle Assurance
887.  
888.         3.1.3.2.1  Security Testing
889.  
890.                      THE SECURITY MECHANISMS OF THE ADP SYSTEM SHALL BE TESTED
891.                  AND FOUND TO WORK AS CLAIMED IN THE SYSTEM DOCUMENTATION. 
892.                  A TEAM OF INDIVIDUALS WHO THOROUGHLY UNDERSTAND THE
893.                  SPECIFIC IMPLEMENTATION OF THE TCB SHALL SUBJECT ITS
894.                  DESIGN DOCUMENTATION, SOURCE CODE, AND OBJECT CODE TO
895.                  THOROUGH ANALYSIS AND TESTING.  THEIR OBJECTIVES SHALL BE:
896.                  TO UNCOVER ALL DESIGN AND IMPLEMENTATION FLAWS THAT WOULD
897.                  PERMIT A SUBJECT EXTERNAL TO THE TCB TO READ, CHANGE, OR
898.                  DELETE DATA NORMALLY DENIED UNDER THE MANDATORY OR
899.                  DISCRETIONARY SECURITY POLICY ENFORCED BY THE TCB; AS WELL
900.                  AS TO ASSURE THAT NO SUBJECT (WITHOUT AUTHORIZATION TO DO
901.                  SO) IS ABLE TO CAUSE THE TCB TO ENTER A STATE SUCH THAT
902.                  IT IS UNABLE TO RESPOND TO COMMUNICATIONS INITIATED BY
903.                  OTHER USERS.  ALL DISCOVERED FLAWS SHALL BE REMOVED OR
904.                  NEUTRALIZED AND THE TCB RETESTED TO DEMONSTRATE THAT THEY
905.                  HAVE BEEN ELIMINATED AND THAT NEW FLAWS HAVE NOT BEEN
906.                  INTRODUCED.  (SEE THE SECURITY TESTING GUIDELINES.)
907.  
908.         3.1.3.2.2  Design Specification and Verification
909.  
910.                      AN INFORMAL OR FORMAL MODEL OF THE SECURITY POLICY
911.                  SUPPORTED BY THE TCB SHALL BE MAINTAINED THAT IS SHOWN TO
912.                  BE CONSISTENT WITH ITS AXIOMS.
913.  
914. 3.1.4  DOCUMENTATION
915.  
916.      3.1.4.1   Security Features User's Guide
917.  
918.                A single summary, chapter, or manual in user documentation
919.              shall describe the protection mechanisms provided by the TCB,
920.              guidelines on their use, and how they interact with one another.
921.  
922.      3.1.4.2   Trusted Facility Manual
923.  
924.                A manual addressed to the ADP system administrator shall
925.              present cautions about functions and privileges that should be
926.              controlled when running a secure facility.  The procedures for
927.              examining and maintaining the audit files as well as the
928.              detailed audit record structure for each type of audit event
929.              shall be given.  THE MANUAL SHALL DESCRIBE THE OPERATOR AND
930.              ADMINISTRATOR FUNCTIONS RELATED TO SECURITY, TO INCLUDE CHANGING
931.              THE SECURITY CHARACTERISTICS OF A USER.  IT SHALL PROVIDE 
932.              GUIDELINES ON THE CONSISTENT AND EFFECTIVE USE OF THE PROTECTION
933.              FEATURES OF THE SYSTEM, HOW THEY INTERACT, HOW TO SECURELY
934.              GENERATE A NEW TCB, AND FACILITY PROCEDURES, WARNINGS, AND
935.              PRIVILEGES THAT NEED TO BE CONTROLLED IN ORDER TO OPERATE THE 
936.              FACILITY IN A SECURE MANNER.
937.  
938.      3.1.4.3   Test Documentation
939.  
940.                The system developer shall provide to the evaluators a document
941.              that describes the test plan and results of the security 
942.              mechanisms' functional testing.
943.  
944.      3.1.4.4   Design Documentation
945.  
946.                Documentation shall be available that provides a description of
947.              the manufacturer's philosophy of protection and an explanation
948.              of how this philosophy is translated into the TCB.  If the TCB
949.              is composed of distinct modules, the interfaces between these
950.              modules shall be described.  AN INFORMAL OR FORMAL DESCRIPTION
951.              OF THE SECURITY POLICY MODEL ENFORCED BY THE TCB SHALL BE
952.              AVAILABLE AND AN EXPLANATION PROVIDED TO SHOW THAT IT IS 
953.              SUFFICIENT TO ENFORCE THE SECURITY POLICY.  THE SPECIFIC TCB 
954.              PROTECTION MECHANISMS SHALL BE IDENTIFIED AND AN EXPLANATION
955.              GIVEN TO SHOW THAT THEY SATISFY THE MODEL.
956.  
957.  
958. 3.2  CLASS (B2):    STRUCTURED PROTECTION
959.  
960. In class (B2) systems, the TCB is based on a clearly defined and documented
961. formal security policy model that requires the discretionary and mandatory
962. access control enforcement found in class (B1) systems be extended to all
963. subjects and objects in the ADP system.  In addition, covert channels are
964. addressed.  The TCB must be carefully structured into protection-critical and
965. non- protection-critical elements.  The TCB interface is well-defined and the
966. TCB design and implementation enable it to be subjected to more thorough
967. testing and more complete review.  Authentication mechanisms are strengthened,
968. trusted facility management is provided in the form of support for system
969. administrator and operator functions, and stringent configuration management
970. controls are imposed.  The system is relatively resistant to penetration.  The
971. following are minimal requirements for systems assigned a class (B2) rating:
972.  
973. 3.2.1  SECURITY POLICY
974.  
975.      3.2.1.1   Discretionary Access Control
976.  
977.                The TCB shall define and control access between named users and
978.              named objects (e.g., files and programs) in the ADP system.
979.              The enforcement mechanism (e.g., self/group/public controls,
980.              access control lists) shall allow users to specify and control
981.              sharing of those objects by named individuals, or defined
982.              groups of individuals, or by both.  The discretionary access
983.              control mechanism shall, either by explicit user action or by
984.              default, provide that objects are protected from unauthorized
985.              access.  These access controls shall be capable of including
986.              or excluding access to the granularity of a single user.
987.              Access permission to an object by users not already possessing
988.              access permission shall only be assigned by authorized users.
989.  
990.      3.2.1.2   Object Reuse
991.  
992.                When a storage object is initially assigned, allocated, or
993.              reallocated to a subject from the TCB's pool of unused storage
994.              objects, the TCB shall assure that the object contains no data
995.              for which the subject is not authorized.
996.  
997.      3.2.1.3   Labels
998.  
999.                Sensitivity labels associated with each ADP SYSTEM RESOURCE
1000.              (E.G., SUBJECT, STORAGE OBJECT) THAT IS DIRECTLY OR INDIRECTLY
1001.              ACCESSIBLE BY SUBJECTS EXTERNAL TO THE TCB shall be maintained
1002.              by the TCB.  These labels shall be used as the basis for
1003.              mandatory access control decisions.  In order to import non-
1004.              labeled data, the TCB shall request and receive from an
1005.              authorized user the security level of the data, and all such
1006.              actions shall be auditable by the TCB.
1007.  
1008.         3.2.1.3.1  Label Integrity
1009.  
1010.                  Sensitivity labels shall accurately represent security
1011.                  levels of the specific subjects or objects with which
1012.                  they are associated.  When exported by the TCB,
1013.                  sensitivity labels shall accurately and unambiguously
1014.                  represent the internal labels and shall be associated
1015.                  with the information being exported.
1016.  
1017.         3.2.1.3.2  Exportation of Labeled Information
1018.  
1019.                  The TCB shall designate each communication channel and
1020.                  I/O device as either single-level or multilevel.  Any
1021.                  change in this designation shall be done manually and
1022.                  shall be auditable by the TCB.  The TCB shall maintain
1023.                  and be able to audit any change in the current security
1024.                  level associated with a single-level communication
1025.                  channel or I/O device.
1026.  
1027.              3.2.1.3.2.1  Exportation to Multilevel Devices
1028.  
1029.                         When the TCB exports an object to a multilevel I/O
1030.                         device, the sensitivity label associated with that
1031.                         object shall also be exported and shall reside on
1032.                         the same physical medium as the exported 
1033.                         information and shall be in the same form (i.e., 
1034.                         machine-readable or human-readable form).  When
1035.                         the TCB exports or imports an object over a
1036.                         multilevel communication channel, the protocol
1037.                         used on that channel shall provide for the
1038.                         unambiguous pairing between the sensitivity labels
1039.                         and the associated information that is sent or
1040.                         received.
1041.  
1042.              3.2.1.3.2.2  Exportation to Single-Level Devices
1043.  
1044.                         Single-level I/O devices and single-level
1045.                         communication channels are not required to 
1046.                         maintain the sensitivity labels of the
1047.                         information they process.  However, the TCB shall
1048.                         include a mechanism by which the TCB and an
1049.                         authorized user reliably communicate to designate
1050.                         the single security level of information imported
1051.                         or exported via single-level communication 
1052.                         channels or I/O devices.
1053.  
1054.              3.2.1.3.2.3  Labeling Human-Readable Output
1055.  
1056.                         The ADP system administrator shall be able to
1057.                         specify the printable label names associated with
1058.                         exported sensitivity labels.  The TCB shall mark
1059.                         the beginning and end of all human-readable, paged,
1060.                         hardcopy output (e.g., line printer output) with
1061.                         human-readable sensitivity labels that properly*
1062.                         represent the sensitivity of the output.  The TCB
1063.                         shall, by default, mark the top and bottom of each
1064.                         page of human-readable, paged, hardcopy output
1065.                         (e.g., line printer output) with human-readable
1066.                         sensitivity labels that properly* represent the
1067.                         overall sensitivity of the output or that 
1068.                         properly* represent the sensitivity of the
1069.                         information on the page.  The TCB shall, by
1070.                         default and in an appropriate manner, mark other
1071.                         forms of human-readable output (e.g., maps,
1072.                         graphics) with human-readable sensitivity labels
1073.                         that properly* represent the sensitivity of the
1074.                         output.  Any override of these marking defaults
1075.                         shall be auditable by the TCB.
1076.            _____________________________________________________________
1077.            * The hierarchical classification component in human-readable
1078.            sensitivity labels shall be equal to the greatest
1079.            hierarchical classification of any of the information in the
1080.            output that the labels refer to;  the non-hierarchical
1081.            category component shall include all of the non-hierarchical
1082.            categories of the information in the output the labels refer
1083.            to, but no other non-hierarchical categories.
1084.            _____________________________________________________________
1085.  
1086.  
1087.         3.2.1.3.3  Subject Sensitivity Labels
1088.  
1089.                  THE TCB SHALL IMMEDIATELY NOTIFY A TERMINAL USER OF EACH
1090.                  CHANGE IN THE SECURITY LEVEL ASSOCIATED WITH THAT USER
1091.                  DURING AN INTERACTIVE SESSION.  A TERMINAL USER SHALL BE
1092.                  ABLE TO QUERY THE TCB AS DESIRED FOR A DISPLAY OF THE
1093.                  SUBJECT'S COMPLETE SENSITIVITY LABEL.
1094.  
1095.         3.2.1.3.4  Device Labels
1096.  
1097.                  THE TCB SHALL SUPPORT THE ASSIGNMENT OF MINIMUM AND
1098.                  MAXIMUM SECURITY LEVELS TO ALL ATTACHED PHYSICAL DEVICES.
1099.                  THESE SECURITY LEVELS SHALL BE USED BY THE TCB TO ENFORCE
1100.                  CONSTRAINTS IMPOSED BY THE PHYSICAL ENVIRONMENTS IN WHICH
1101.                  THE DEVICES ARE LOCATED.
1102.  
1103.      3.2.1.4   Mandatory Access Control
1104.  
1105.                The TCB shall enforce a mandatory access control policy over
1106.              all RESOURCES (I.E., SUBJECTS, STORAGE OBJECTS, AND I/O DEVICES)
1107.              THAT ARE DIRECTLY OR INDIRECTLY ACCESSIBLE BY SUBJECTS EXTERNAL
1108.              TO THE TCB.  These subjects and objects shall be assigned
1109.              sensitivity labels that are a combination of hierarchical
1110.              classification levels and non-hierarchical categories, and the
1111.              labels shall be used as the basis for mandatory access control
1112.              decisions.  The TCB shall be able to support two or more such
1113.              security levels.  (See the Mandatory Access Control guidelines.)
1114.              The following requirements shall hold for all accesses between
1115.              ALL SUBJECTS EXTERNAL TO THE TCB AND ALL OBJECTS DIRECTLY OR
1116.              INDIRECTLY ACCESSIBLE BY THESE SUBJECTS: A subject can read an
1117.              object only if the hierarchical classification in the subject's
1118.              security level is greater than or equal to the hierarchical
1119.              classification in the object's security level and the non-
1120.              hierarchical categories in the subject's security level include
1121.              all the non-hierarchical categories in the object's security
1122.              level.  A subject can write an object only if the hierarchical
1123.              classification in the subject's security level is less than or
1124.              equal to the hierarchical classification in the object's
1125.              security level and all the non-hierarchical categories in the
1126.              subject's security level are included in the non-hierarchical
1127.              categories in the object's security level.
1128.  
1129. 3.2.2  ACCOUNTABILITY
1130.  
1131.      3.2.2.1   Identification and Authentication
1132.  
1133.                The TCB shall require users to identify themselves to it before
1134.              beginning to perform any other actions that the TCB is expected
1135.              to mediate.  Furthermore, the TCB shall maintain authentication
1136.              data that includes information for verifying the identity of
1137.              individual users (e.g., passwords) as well as information for
1138.              determining the clearance and authorizations of individual
1139.              users.  This data shall be used by the TCB to authenticate the
1140.              user's identity and to determine the security level and
1141.              authorizations of subjects that may be created to act on behalf
1142.              of the individual user.  The TCB shall protect authentication
1143.              data so that it cannot be accessed by any unauthorized user.
1144.              The TCB shall be able to enforce individual accountability by
1145.              providing the capability to uniquely identify each individual
1146.              ADP system user.  The TCB shall also provide the capability of
1147.              associating this identity with all auditable actions taken by
1148.              that individual.
1149.  
1150.         3.2.2.1.1  Trusted Path
1151.  
1152.                  THE TCB SHALL SUPPORT A TRUSTED COMMUNICATION PATH
1153.                  BETWEEN ITSELF AND USER FOR INITIAL LOGIN AND
1154.                  AUTHENTICATION.  COMMUNICATIONS VIA THIS PATH SHALL BE
1155.                  INITIATED EXCLUSIVELY BY A USER.
1156.  
1157.      3.2.2.2   Audit
1158.  
1159.                The TCB shall be able to create, maintain, and protect from
1160.              modification or unauthorized access or destruction an audit
1161.              trail of accesses to the objects it protects.  The audit data
1162.              shall be protected by the TCB so that read access to it is
1163.              limited to those who are authorized for audit data.  The TCB
1164.              shall be able to record the following types of events: use of
1165.              identification and authentication mechanisms, introduction of
1166.              objects into a user's address space (e.g., file open, program
1167.              initiation), deletion of objects, and actions taken by computer
1168.              operators and system administrators and/or system security
1169.              officers.  The TCB shall also be able to audit any override of
1170.              human-readable output markings.  For each recorded event, the
1171.              audit record shall identify: date and time of the event, user,
1172.              type of event, and success or failure of the event.  For
1173.              identification/authentication events the origin of request
1174.              (e.g., terminal ID) shall be included in the audit record.  For
1175.              events that introduce an object into a user's address space and
1176.              for object deletion events the audit record shall include the
1177.              name of the object and the object's security level.  The ADP
1178.              system administrator shall be able to selectively audit the
1179.              actions of any one or more users based on individual identity
1180.              and/or object security level.  THE TCB SHALL BE ABLE TO AUDIT
1181.              THE IDENTIFIED EVENTS THAT MAY BE USED IN THE EXPLOITATION OF
1182.              COVERT STORAGE CHANNELS.
1183.  
1184. 3.2.3  ASSURANCE
1185.  
1186.      3.2.3.1   Operational Assurance
1187.  
1188.         3.2.3.1.1  System Architecture
1189.  
1190.                  THE TCB SHALL MAINTAIN A DOMAIN FOR ITS OWN EXECUTION
1191.                  THAT PROTECTS IT FROM EXTERNAL INTERFERENCE OR TAMPERING
1192.                  (E.G., BY MODIFICATION OF ITS CODE OR DATA STRUCTURES).
1193.                    THE TCB SHALL MAINTAIN PROCESS ISOLATION THROUGH THE
1194.                  PROVISION OF DISTINCT ADDRESS SPACES UNDER ITS CONTROL.
1195.                  THE TCB SHALL BE INTERNALLY STRUCTURED INTO WELL-DEFINED
1196.                  LARGELY INDEPENDENT MODULES.  IT SHALL MAKE EFFECTIVE USE
1197.                  OF AVAILABLE HARDWARE TO SEPARATE THOSE ELEMENTS THAT ARE
1198.                  PROTECTION-CRITICAL FROM THOSE THAT ARE NOT.  THE TCB
1199.                  MODULES SHALL BE DESIGNED SUCH THAT THE PRINCIPLE OF LEAST
1200.                  PRIVILEGE IS ENFORCED.  FEATURES IN HARDWARE, SUCH AS
1201.                  SEGMENTATION, SHALL BE USED TO SUPPORT LOGICALLY DISTINCT
1202.                  STORAGE OBJECTS WITH SEPARATE ATTRIBUTES (NAMELY:
1203.                  READABLE, WRITEABLE).  THE USER INTERFACE TO THE TCB 
1204.                  SHALL BE COMPLETELY DEFINED AND ALL ELEMENTS OF THE TCB
1205.                  IDENTIFIED.
1206.  
1207.         3.2.3.1.2  System Integrity
1208.  
1209.                  Hardware and/or software features shall be provided that
1210.                  can be used to periodically validate the correct 
1211.                  operation of the on-site hardware and firmware elements 
1212.                  of the TCB.
1213.  
1214.         3.2.3.1.3  Covert Channel Analysis
1215.  
1216.                  THE SYSTEM DEVELOPER SHALL CONDUCT A THOROUGH SEARCH FOR
1217.                  COVERT STORAGE CHANNELS AND MAKE A DETERMINATION (EITHER
1218.                  BY ACTUAL MEASUREMENT OR BY ENGINEERING ESTIMATION) OF
1219.                  THE MAXIMUM BANDWIDTH OF EACH IDENTIFIED CHANNEL.  (SEE
1220.                  THE COVERT CHANNELS GUIDELINE SECTION.)
1221.  
1222.         3.2.3.1.4  Trusted Facility Management
1223.  
1224.                  THE TCB SHALL SUPPORT SEPARATE OPERATOR AND ADMINISTRATOR
1225.                  FUNCTIONS.
1226.  
1227.      3.2.3.2   Life-Cycle Assurance
1228.  
1229.         3.2.3.2.1  Security Testing
1230.  
1231.                  The security mechanisms of the ADP system shall be tested
1232.                  and found to work as claimed in the system documentation. 
1233.                  A team of individuals who thoroughly understand the
1234.                  specific implementation of the TCB shall subject its
1235.                  design documentation, source code, and object code to
1236.                  thorough analysis and testing.  Their objectives shall be:
1237.                  to uncover all design and implementation flaws that would
1238.                  permit a subject external to the TCB to read, change, or
1239.                  delete data normally denied under the mandatory or
1240.                  discretionary security policy enforced by the TCB; as well
1241.                  as to assure that no subject (without authorization to do
1242.                  so) is able to cause the TCB to enter a state such that it
1243.                  is unable to respond to communications initiated by other
1244.                  users.  THE TCB SHALL BE FOUND RELATIVELY RESISTANT TO
1245.                  PENETRATION.  All discovered flaws shall be CORRECTED and
1246.                  the TCB retested to demonstrate that they have been
1247.                  eliminated and that new flaws have not been introduced.
1248.                  TESTING SHALL DEMONSTRATE THAT THE TCB IMPLEMENTATION IS
1249.                  CONSISTENT WITH THE DESCRIPTIVE TOP-LEVEL SPECIFICATION. 
1250.                  (See the Security Testing Guidelines.)
1251.  
1252.         3.2.3.2.2  Design Specification and Verification
1253.  
1254.                  A FORMAL model of the security policy supported by the
1255.                  TCB shall be maintained that is PROVEN consistent with
1256.                  its axioms.  A DESCRIPTIVE TOP-LEVEL SPECIFICATION (DTLS)
1257.                  OF THE TCB SHALL BE MAINTAINED THAT COMPLETELY AND
1258.                  ACCURATELY DESCRIBES THE TCB IN TERMS OF EXCEPTIONS, ERROR
1259.                  MESSAGES, AND EFFECTS.  IT SHALL BE SHOWN TO BE AN
1260.                  ACCURATE DESCRIPTION OF THE TCB INTERFACE.
1261.  
1262.         3.2.3.2.3  Configuration Management
1263.  
1264.                  DURING DEVELOPMENT AND MAINTENANCE OF THE TCB, A
1265.                  CONFIGURATION MANAGEMENT SYSTEM SHALL BE IN PLACE THAT
1266.                  MAINTAINS CONTROL OF CHANGES TO THE DESCRIPTIVE TOP-LEVEL
1267.                  SPECIFICATION, OTHER DESIGN DATA, IMPLEMENTATION
1268.                  DOCUMENTATION, SOURCE CODE, THE RUNNING VERSION OF THE
1269.                  OBJECT CODE, AND TEST FIXTURES AND DOCUMENTATION.  THE
1270.                  CONFIGURATION MANAGEMENT SYSTEM SHALL ASSURE A CONSISTENT
1271.                  MAPPING AMONG ALL DOCUMENTATION AND CODE ASSOCIATED WITH
1272.                  THE CURRENT VERSION OF THE TCB.  TOOLS SHALL BE PROVIDED
1273.                  FOR GENERATION OF A NEW VERSION OF THE TCB FROM SOURCE
1274.                  CODE.  ALSO AVAILABLE SHALL BE TOOLS FOR COMPARING A 
1275.                  NEWLY GENERATED VERSION WITH THE PREVIOUS TCB VERSION IN
1276.                  ORDER TO ASCERTAIN THAT ONLY THE INTENDED CHANGES HAVE
1277.                  BEEN MADE IN THE CODE THAT WILL ACTUALLY BE USED AS THE
1278.                  NEW VERSION OF THE TCB.
1279.  
1280. 3.2.4  DOCUMENTATION
1281.  
1282.      3.2.4.1   Security Features User's Guide
1283.  
1284.                A single summary, chapter, or manual in user documentation
1285.              shall describe the protection mechanisms provided by the TCB,
1286.              guidelines on their use, and how they interact with one another.
1287.  
1288.      3.2.4.2   Trusted Facility Manual
1289.  
1290.                A manual addressed to the ADP system administrator shall
1291.              present cautions about functions and privileges that should be
1292.              controlled when running a secure facility.  The procedures for
1293.              examining and maintaining the audit files as well as the
1294.              detailed audit record structure for each type of audit event
1295.              shall be given.  The manual shall describe the operator and
1296.              administrator functions related to security, to include 
1297.              changing the security characteristics of a user.  It shall
1298.              provide guidelines on the consistent and effective use of the
1299.              protection features of the system, how they interact, how to
1300.              securely generate a new TCB, and facility procedures, warnings,
1301.              and privileges that need to be controlled in order to operate
1302.              the facility in a secure manner.  THE TCB MODULES THAT CONTAIN
1303.              THE REFERENCE VALIDATION MECHANISM SHALL BE IDENTIFIED.  THE
1304.              PROCEDURES FOR SECURE GENERATION OF A NEW TCB FROM SOURCE AFTER
1305.              MODIFICATION OF ANY MODULES IN THE TCB SHALL BE DESCRIBED.
1306.  
1307.      3.2.4.3   Test Documentation
1308.  
1309.                The system developer shall provide to the evaluators a document
1310.              that describes the test plan and results of the security
1311.              mechanisms' functional testing.  IT SHALL INCLUDE RESULTS OF
1312.              TESTING THE EFFECTIVENESS OF THE METHODS USED TO REDUCE COVERT
1313.              CHANNEL BANDWIDTHS.
1314.  
1315.      3.2.4.4   Design Documentation
1316.  
1317.                Documentation shall be available that provides a description of
1318.              the manufacturer's philosophy of protection and an explanation
1319.              of how this philosophy is translated into the TCB.  THE
1320.              interfaces between THE TCB modules shall be described.  A
1321.              FORMAL description of the security policy model enforced by the
1322.              TCB shall be available and PROVEN that it is sufficient to
1323.              enforce the security policy.  The specific TCB protection 
1324.              mechanisms shall be identified and an explanation given to show
1325.              that they satisfy the model.  THE DESCRIPTIVE TOP-LEVEL
1326.              SPECIFICATION (DTLS) SHALL BE SHOWN TO BE AN ACCURATE 
1327.              DESCRIPTION OF THE TCB INTERFACE.  DOCUMENTATION SHALL DESCRIBE
1328.              HOW THE TCB IMPLEMENTS THE REFERENCE MONITOR CONCEPT AND GIVE
1329.              AN EXPLANATION WHY IT IS TAMPERPROOF, CANNOT BE BYPASSED, AND
1330.              IS CORRECTLY IMPLEMENTED.  DOCUMENTATION SHALL DESCRIBE HOW THE
1331.              TCB IS STRUCTURED TO FACILITATE TESTING AND TO ENFORCE LEAST
1332.              PRIVILEGE.  THIS DOCUMENTATION SHALL ALSO PRESENT THE RESULTS
1333.              OF THE COVERT CHANNEL ANALYSIS AND THE TRADEOFFS INVOLVED IN
1334.              RESTRICTING THE CHANNELS.  ALL AUDITABLE EVENTS THAT MAY BE
1335.              USED IN THE EXPLOITATION OF KNOWN COVERT STORAGE CHANNELS SHALL
1336.              BE IDENTIFIED.  THE BANDWIDTHS OF KNOWN COVERT STORAGE CHANNELS,
1337.              THE USE OF WHICH IS NOT DETECTABLE BY THE AUDITING MECHANISMS,
1338.              SHALL BE PROVIDED.  (SEE THE COVERT CHANNEL GUIDELINE SECTION.)
1339.  
1340.  
1341. 3.3  CLASS (B3):    SECURITY DOMAINS
1342.  
1343. The class (B3) TCB must satisfy the reference monitor requirements that it
1344. mediate all accesses of subjects to objects, be tamperproof, and be small
1345. enough to be subjected to analysis and tests.  To this end, the TCB is
1346. structured to exclude code not essential to security policy enforcement, with
1347. significant system engineering during TCB design and implementation directed
1348. toward minimizing its complexity.  A security administrator is supported,
1349. audit mechanisms are expanded to signal security- relevant events, and system
1350. recovery procedures are required.  The system is highly resistant to
1351. penetration.  The following are minimal requirements for systems assigned a
1352. class (B3) rating:
1353.  
1354. 3.3.1  SECURITY POLICY
1355.  
1356.      3.3.1.1   Discretionary Access Control
1357.  
1358.                The TCB shall define and control access between named users and
1359.              named objects (e.g., files and programs) in the ADP system.
1360.              The enforcement mechanism (E.G., ACCESS CONTROL LISTS) shall
1361.              allow users to specify and control sharing of those OBJECTS.
1362.              The discretionary access control mechanism shall, either by
1363.              explicit user action or by default, provide that objects are
1364.              protected from unauthorized access.  These access controls shall
1365.              be capable of SPECIFYING, FOR EACH NAMED OBJECT, A LIST OF NAMED
1366.              INDIVIDUALS AND A LIST OF GROUPS OF NAMED INDIVIDUALS WITH THEIR
1367.              RESPECTIVE MODES OF ACCESS TO THAT OBJECT.  FURTHERMORE, FOR
1368.              EACH SUCH NAMED OBJECT, IT SHALL BE POSSIBLE TO SPECIFY A LIST
1369.              OF NAMED INDIVIDUALS AND A LIST OF GROUPS OF NAMED INDIVIDUALS
1370.              FOR WHICH NO ACCESS TO THE OBJECT IS TO BE GIVEN.  Access
1371.              permission to an object by users not already possessing access
1372.              permission shall only be assigned by authorized users.
1373.  
1374.      3.3.1.2   Object Reuse
1375.  
1376.                When a storage object is initially assigned, allocated, or
1377.              reallocated to a subject from the TCB's pool of unused storage
1378.              objects, the TCB shall assure that the object contains no data
1379.              for which the subject is not authorized.
1380.  
1381.      3.3.1.3   Labels
1382.  
1383.                Sensitivity labels associated with each ADP system resource
1384.              (e.g., subject, storage object) that is directly or indirectly
1385.              accessible by subjects external to the TCB shall be maintained
1386.              by the TCB.  These labels shall be used as the basis for
1387.              mandatory access control decisions.  In order to import non-
1388.              labeled data, the TCB shall request and receive from an
1389.              authorized user the security level of the data, and all such
1390.              actions shall be auditable by the TCB.
1391.  
1392.         3.3.1.3.1  Label Integrity
1393.  
1394.                  Sensitivity labels shall accurately represent security
1395.                  levels of the specific subjects or objects with which
1396.                  they are associated.  When exported by the TCB,
1397.                  sensitivity labels shall accurately and unambiguously
1398.                  represent the internal labels and shall be associated
1399.                  with the information being exported.
1400.  
1401.         3.3.1.3.2  Exportation of Labeled Information
1402.  
1403.                  The TCB shall designate each communication channel and
1404.                  I/O device as either single-level or multilevel.  Any
1405.                  change in this designation shall be done manually and
1406.                  shall be auditable by the TCB.  The TCB shall maintain
1407.                  and be able to audit any change in the current security
1408.                  level associated with a single-level communication
1409.                  channel or I/O device.
1410.  
1411.              3.3.1.3.2.1  Exportation to Multilevel Devices
1412.  
1413.                         When the TCB exports an object to a multilevel I/O
1414.                         device, the sensitivity label associated with that
1415.                         object shall also be exported and shall reside on
1416.                         the same physical medium as the exported 
1417.                         information and shall be in the same form (i.e., 
1418.                         machine-readable or human-readable form).  When
1419.                         the TCB exports or imports an object over a
1420.                         multilevel communication channel, the protocol 
1421.                         used on that channel shall provide for the
1422.                         unambiguous pairing between the sensitivity labels
1423.                         and the associated information that is sent or
1424.                         received.
1425.  
1426.              3.3.1.3.2.2  Exportation to Single-Level Devices
1427.  
1428.                         Single-level I/O devices and single-level
1429.                         communication channels are not required to 
1430.                         maintain the sensitivity labels of the information
1431.                         they process.  However, the TCB shall include a 
1432.                         mechanism by which the TCB and an authorized user
1433.                         reliably communicate to designate the single
1434.                         security level of information imported or exported
1435.                         via single-level communication channels or I/O
1436.                         devices.
1437.  
1438.              3.3.1.3.2.3  Labeling Human-Readable Output
1439.  
1440.                         The ADP system administrator shall be able to
1441.                         specify the printable label names associated with
1442.                         exported sensitivity labels.  The TCB shall mark
1443.                         the beginning and end of all human-readable, paged,
1444.                         hardcopy output (e.g., line printer output) with
1445.                         human-readable sensitivity labels that properly*
1446.                         represent the sensitivity of the output.  The TCB
1447.                         shall, by default, mark the top and bottom of each
1448.                         page of human-readable, paged, hardcopy output
1449.                         (e.g., line printer output) with human-readable
1450.                         sensitivity labels that properly* represent the
1451.                         overall sensitivity of the output or that
1452.                         properly* represent the sensitivity of the 
1453.                         information on the page.  The TCB shall, by
1454.                         default and in an appropriate manner, mark other
1455.                         forms of human-readable output (e.g., maps,
1456.                         graphics) with human-readable sensitivity labels
1457.                         that properly* represent the sensitivity of the 
1458.                         output.  Any override of these marking defaults
1459.                         shall be auditable by the TCB.
1460.  
1461.            _____________________________________________________________
1462.            * The hierarchical classification component in human-readable
1463.            sensitivity labels shall be equal to the greatest
1464.            hierarchical classification of any of the information in the
1465.            output that the labels refer to;  the non-hierarchical
1466.            category component shall include all of the non-hierarchical
1467.            categories of the information in the output the labels refer
1468.            to, but no other non-hierarchical categories.
1469.          _____________________________________________________________
1470.  
1471.  
1472.         3.3.1.3.3  Subject Sensitivity Labels
1473.  
1474.                  The TCB shall immediately notify a terminal user of each
1475.                  change in the security level associated with that user
1476.                  during an interactive session.  A terminal user shall be
1477.                  able to query the TCB as desired for a display of the
1478.                  subject's complete sensitivity label.
1479.  
1480.         3.3.1.3.4  Device Labels
1481.  
1482.                  The TCB shall support the assignment of minimum and
1483.                  maximum security levels to all attached physical devices.
1484.                  These security levels shall be used by the TCB to enforce
1485.                  constraints imposed by the physical environments in which
1486.                  the devices are located.
1487.  
1488.      3.3.1.4   Mandatory Access Control
1489.  
1490.                The TCB shall enforce a mandatory access control policy over
1491.              all resources (i.e., subjects, storage objects, and I/O 
1492.              devices) that are directly or indirectly accessible by subjects
1493.              external to the TCB.  These subjects and objects shall be
1494.              assigned sensitivity labels that are a combination of
1495.              hierarchical classification levels and non-hierarchical
1496.              categories, and the labels shall be used as the basis for 
1497.              mandatory access control decisions.  The TCB shall be able to
1498.              support two or more such security levels.  (See the Mandatory
1499.              Access Control guidelines.) The following requirements shall
1500.              hold for all accesses between all subjects external to the TCB
1501.              and all objects directly or indirectly accessible by these 
1502.              subjects: A subject can read an object only if the hierarchical
1503.              classification in the subject's security level is greater than
1504.              or equal to the hierarchical classification in the object's
1505.              security level and the non-hierarchical categories in the
1506.              subject's security level include all the non-hierarchical
1507.              categories in the object's security level.  A subject can write
1508.              an object only if the hierarchical classification in the 
1509.              subject's security level is less than or equal to the
1510.              hierarchical classification in the object's security level and
1511.              all the non-hierarchical categories in the subject's security 
1512.              level are included in the non- hierarchical categories in the 
1513.              object's security level.
1514.  
1515. 3.3.2  ACCOUNTABILITY
1516.  
1517.      3.3.2.1   Identification and Authentication
1518.  
1519.                The TCB shall require users to identify themselves to it before
1520.              beginning to perform any other actions that the TCB is expected
1521.              to mediate.  Furthermore, the TCB shall maintain authentication
1522.              data that includes information for verifying the identity of
1523.              individual users (e.g., passwords) as well as information for
1524.              determining the clearance and authorizations of individual
1525.              users.  This data shall be used by the TCB to authenticate the
1526.              user's identity and to determine the security level and 
1527.              authorizations of subjects that may be created to act on behalf
1528.              of the individual user.  The TCB shall protect authentication
1529.              data so that it cannot be accessed by any unauthorized user.
1530.              The TCB shall be able to enforce individual accountability by
1531.              providing the capability to uniquely identify each individual 
1532.              ADP system user.  The TCB shall also provide the capability of
1533.              associating this identity with all auditable actions taken by
1534.              that individual.
1535.  
1536.         3.3.2.1.1  Trusted Path
1537.  
1538.                  The TCB shall support a trusted communication path
1539.                  between itself and USERS for USE WHEN A POSITIVE TCB-TO-
1540.                  USER CONNECTION IS REQUIRED (E.G., LOGIN, CHANGE SUBJECT
1541.                  SECURITY LEVEL).  Communications via this TRUSTED path
1542.                  shall be ACTIVATED exclusively by a user OR THE TCB AND
1543.                  SHALL BE LOGICALLY ISOLATED AND UNMISTAKABLY 
1544.                  DISTINGUISHABLE FROM OTHER PATHS.
1545.  
1546.      3.3.2.2   Audit
1547.  
1548.                The TCB shall be able to create, maintain, and protect from
1549.              modification or unauthorized access or destruction an audit 
1550.              trail of accesses to the objects it protects.  The audit data
1551.              shall be protected by the TCB so that read access to it is
1552.              limited to those who are authorized for audit data.  The TCB
1553.              shall be able to record the following types of events: use of
1554.              identification and authentication mechanisms, introduction of
1555.              objects into a user's address space (e.g., file open, program
1556.              initiation), deletion of objects, and actions taken by computer
1557.              operators and system administrators and/or system security
1558.              officers.  The TCB shall also be able to audit any override of
1559.              human-readable output markings.  For each recorded event, the
1560.              audit record shall identify: date and time of the event, user,
1561.              type of event, and success or failure of the event.  For 
1562.              identification/authentication events the origin of request
1563.              (e.g., terminal ID) shall be included in the audit record.
1564.              For events that introduce an object into a user's address 
1565.              space and for object deletion events the audit record shall 
1566.              include the name of the object and the object's security level.
1567.              The ADP system administrator shall be able to selectively audit
1568.              the actions of any one or more users based on individual
1569.              identity and/or object security level.  The TCB shall be able to
1570.              audit the identified events that may be used in the exploitation
1571.              of covert storage channels.  THE TCB SHALL CONTAIN A MECHANISM
1572.              THAT IS ABLE TO MONITOR THE OCCURRENCE OR ACCUMULATION OF
1573.              SECURITY AUDITABLE EVENTS THAT MAY INDICATE AN IMMINENT
1574.              VIOLATION OF SECURITY POLICY.  THIS MECHANISM SHALL BE ABLE TO
1575.              IMMEDIATELY NOTIFY THE SECURITY ADMINISTRATOR WHEN THRESHOLDS
1576.              ARE EXCEEDED.
1577.  
1578. 3.3.3  ASSURANCE
1579.  
1580.      3.3.3.1   Operational Assurance
1581.  
1582.         3.3.3.1.1  System Architecture
1583.  
1584.                  The TCB shall maintain a domain for its own execution
1585.                  that protects it from external interference or tampering
1586.                  (e.g., by modification of its code or data structures).
1587.                  The TCB shall maintain process isolation through the
1588.                  provision of distinct address spaces under its control.
1589.                  The TCB shall be internally structured into well-defined
1590.                  largely independent modules.  It shall make effective use
1591.                  of available hardware to separate those elements that are
1592.                  protection-critical from those that are not.  The TCB
1593.                  modules shall be designed such that the principle of 
1594.                  least privilege is enforced.  Features in hardware, such
1595.                  as segmentation, shall be used to support logically
1596.                  distinct storage objects with separate attributes (namely:
1597.                  readable, writeable).  The user interface to the TCB shall
1598.                  be completely defined and all elements of the TCB
1599.                  identified.  THE TCB SHALL BE DESIGNED AND STRUCTURED TO
1600.                  USE A COMPLETE, CONCEPTUALLY SIMPLE PROTECTION MECHANISM
1601.                  WITH PRECISELY DEFINED SEMANTICS.  THIS MECHANISM SHALL
1602.                  PLAY A CENTRAL ROLE IN ENFORCING THE INTERNAL STRUCTURING
1603.                  OF THE TCB AND THE SYSTEM.  THE TCB SHALL INCORPORATE
1604.                  SIGNIFICANT USE OF LAYERING, ABSTRACTION AND DATA HIDING.
1605.                  SIGNIFICANT SYSTEM ENGINEERING SHALL BE DIRECTED TOWARD
1606.                  MINIMIZING THE COMPLEXITY OF THE TCB AND EXCLUDING FROM
1607.                  THE TCB MODULES THAT ARE NOT PROTECTION-CRITICAL.
1608.  
1609.         3.3.3.1.2  System Integrity
1610.  
1611.                  Hardware and/or software features shall be provided that
1612.                  can be used to periodically validate the correct 
1613.                  operation of the on-site hardware and firmware elements 
1614.                  of the TCB.
1615.  
1616.         3.3.3.1.3  Covert Channel Analysis
1617.  
1618.                  The system developer shall conduct a thorough search for
1619.                  COVERT CHANNELS and make a determination (either by 
1620.                  actual measurement or by engineering estimation) of the
1621.                  maximum bandwidth of each identified channel.  (See the
1622.                  Covert Channels Guideline section.)
1623.  
1624.         3.3.3.1.4  Trusted Facility Management
1625.  
1626.                  The TCB shall support separate operator and administrator
1627.                  functions.  THE FUNCTIONS PERFORMED IN THE ROLE OF A 
1628.                  SECURITY ADMINISTRATOR SHALL BE IDENTIFIED.  THE ADP
1629.                  SYSTEM ADMINISTRATIVE PERSONNEL SHALL ONLY BE ABLE TO
1630.                  PERFORM SECURITY ADMINISTRATOR FUNCTIONS AFTER TAKING A 
1631.                  DISTINCT AUDITABLE ACTION TO ASSUME THE SECURITY
1632.                  ADMINISTRATOR ROLE ON THE ADP SYSTEM.  NON-SECURITY
1633.                  FUNCTIONS THAT CAN BE PERFORMED IN THE SECURITY 
1634.                  ADMINISTRATION ROLE SHALL BE LIMITED STRICTLY TO THOSE
1635.                  ESSENTIAL TO PERFORMING THE SECURITY ROLE EFFECTIVELY.
1636.  
1637.         3.3.3.1.5  Trusted Recovery
1638.  
1639.                  PROCEDURES AND/OR MECHANISMS SHALL BE PROVIDED TO ASSURE
1640.                  THAT, AFTER AN ADP SYSTEM FAILURE OR OTHER DISCONTINUITY,
1641.                  RECOVERY WITHOUT A PROTECTION COMPROMISE IS OBTAINED.
1642.  
1643.      3.3.3.2   Life-Cycle Assurance
1644.  
1645.         3.3.3.2.1  Security Testing
1646.  
1647.                  The security mechanisms of the ADP system shall be tested
1648.                  and found to work as claimed in the system documentation.
1649.                  A team of individuals who thoroughly understand the
1650.                  specific implementation of the TCB shall subject its
1651.                  design documentation, source code, and object code to
1652.                  thorough analysis and testing.  Their objectives shall 
1653.                  be: to uncover all design and implementation flaws that
1654.                  would permit a subject external to the TCB to read,
1655.                  change, or delete data normally denied under the 
1656.                  mandatory or discretionary security policy enforced by
1657.                  the TCB; as well as to assure that no subject (without
1658.                  authorization to do so) is able to cause the TCB to enter
1659.                  a state such that it is unable to respond to 
1660.                  communications initiated by other users.  The TCB shall
1661.                  be FOUND RESISTANT TO penetration.  All discovered flaws
1662.                  shall be corrected and the TCB retested to demonstrate 
1663.                  that they have been eliminated and that new flaws have
1664.                  not been introduced.  Testing shall demonstrate that the
1665.                  TCB implementation is consistent with the descriptive
1666.                  top-level specification.  (See the Security Testing 
1667.                  Guidelines.)  NO DESIGN FLAWS AND NO MORE THAN A FEW
1668.                  CORRECTABLE IMPLEMENTATION FLAWS MAY BE FOUND DURING
1669.                  TESTING AND THERE SHALL BE REASONABLE CONFIDENCE THAT 
1670.                  FEW REMAIN.
1671.  
1672.         3.3.3.2.2  Design Specification and Verification
1673.  
1674.                  A formal model of the security policy supported by the
1675.                  TCB shall be maintained that is proven consistent with 
1676.                  its axioms.  A descriptive top-level specification (DTLS)
1677.                  of the TCB shall be maintained that completely and
1678.                  accurately describes the TCB in terms of exceptions, error
1679.                  messages, and effects.  It shall be shown to be an 
1680.                  accurate description of the TCB interface.  A CONVINCING
1681.                  ARGUMENT SHALL BE GIVEN THAT THE DTLS IS CONSISTENT WITH
1682.                  THE MODEL.
1683.  
1684.         3.3.3.2.3  Configuration Management
1685.  
1686.                  During development and maintenance of the TCB, a
1687.                  configuration management system shall be in place that 
1688.                  maintains control of changes to the descriptive top-level
1689.                  specification, other design data, implementation
1690.                  documentation, source code, the running version of the
1691.                  object code, and test fixtures and documentation.  The
1692.                  configuration management system shall assure a consistent
1693.                  mapping among all documentation and code associated with
1694.                  the current version of the TCB.  Tools shall be provided
1695.                  for generation of a new version of the TCB from source 
1696.                  code.  Also available shall be tools for comparing a
1697.                  newly generated version with the previous TCB version in
1698.                  order to ascertain that only the intended changes have 
1699.                  been made in the code that will actually be used as the
1700.                  new version of the TCB.
1701.  
1702. 3.3.4  DOCUMENTATION
1703.  
1704.      3.3.4.1   Security Features User's Guide
1705.  
1706.              A single summary, chapter, or manual in user documentation
1707.              shall describe the protection mechanisms provided by the TCB,
1708.              guidelines on their use, and how they interact with one another.
1709.  
1710.      3.3.4.2   Trusted Facility Manual
1711.  
1712.                A manual addressed to the ADP system administrator shall
1713.              present cautions about functions and privileges that should be
1714.              controlled when running a secure facility.  The procedures for
1715.              examining and maintaining the audit files as well as the
1716.              detailed audit record structure for each type of audit event
1717.              shall be given.  The manual shall describe the operator and
1718.              administrator functions related to security, to include 
1719.              changing the security characteristics of a user.  It shall
1720.              provide guidelines on the consistent and effective use of the
1721.              protection features of the system, how they interact, how to
1722.              securely generate a new TCB, and facility procedures, warnings,
1723.              and privileges that need to be controlled in order to operate
1724.              the facility in a secure manner.  The TCB modules that contain
1725.              the reference validation mechanism shall be identified.  The
1726.              procedures for secure generation of a new TCB from source after
1727.              modification of any modules in the TCB shall be described.  IT
1728.              SHALL INCLUDE THE PROCEDURES TO ENSURE THAT THE SYSTEM IS
1729.              INITIALLY STARTED IN A SECURE MANNER.  PROCEDURES SHALL ALSO BE
1730.              INCLUDED TO RESUME SECURE SYSTEM OPERATION AFTER ANY LAPSE IN 
1731.              SYSTEM OPERATION.
1732.  
1733.      3.3.4.3   Test Documentation
1734.  
1735.                The system developer shall provide to the evaluators a document
1736.              that describes the test plan and results of the security 
1737.              mechanisms' functional testing.  It shall include results of
1738.              testing the effectiveness of the methods used to reduce covert
1739.              channel bandwidths.
1740.  
1741.      3.3.4.4   Design Documentation
1742.  
1743.                Documentation shall be available that provides a description of
1744.              the manufacturer's philosophy of protection and an explanation
1745.              of how this philosophy is translated into the TCB.  The
1746.              interfaces between the TCB modules shall be described.  A
1747.              formal description of the security policy model enforced by the
1748.              TCB shall be available and proven that it is sufficient to
1749.              enforce the security policy.  The specific TCB protection 
1750.              mechanisms shall be identified and an explanation given to show
1751.              that they satisfy the model.  The descriptive top-level
1752.              specification (DTLS) shall be shown to be an accurate 
1753.              description of the TCB interface.  Documentation shall describe
1754.              how the TCB implements the reference monitor concept and give 
1755.              an explanation why it is tamperproof, cannot be bypassed, and
1756.              is correctly implemented.  THE TCB IMPLEMENTATION (I.E., IN
1757.              HARDWARE, FIRMWARE, AND SOFTWARE) SHALL BE INFORMALLY SHOWN TO
1758.              BE CONSISTENT WITH THE DTLS.  THE ELEMENTS OF THE DTLS SHALL BE
1759.              SHOWN, USING INFORMAL TECHNIQUES, TO CORRESPOND TO THE ELEMENTS
1760.              OF THE TCB.  Documentation shall describe how the TCB is
1761.              structured to facilitate testing and to enforce least privilege.
1762.              This documentation shall also present the results of the covert
1763.              channel analysis and the tradeoffs involved in restricting the
1764.              channels.  All auditable events that may be used in the 
1765.              exploitation of known covert storage channels shall be 
1766.              identified.  The bandwidths of known covert storage channels,
1767.              the use of which is not detectable by the auditing mechanisms,
1768.              shall be provided.  (See the Covert Channel Guideline section.)
1769.  
1770.  
1771. 4.0  DIVISION A:    VERIFIED PROTECTION
1772.  
1773. This division is characterized by the use of formal security verification
1774. methods to assure that the mandatory and discretionary security controls
1775. employed in the system can effectively protect classified or other sensitive
1776. information stored or processed by the system.  Extensive documentation is
1777. required to demonstrate that the TCB meets the security requirements in all
1778. aspects of design, development and implementation.
1779.  
1780.  
1781. 4.1  CLASS (A1):    VERIFIED DESIGN
1782.  
1783. Systems in class (A1) are functionally equivalent to those in class (B3) in
1784. that no additional architectural features or policy requirements are added.
1785. The distinguishing feature of systems in this class is the analysis derived
1786. from formal design specification and verification techniques and the resulting
1787. high degree of assurance that the TCB is correctly implemented.  This
1788. assurance is developmental in nature, starting with a formal model of the
1789. security policy and a formal top-level specification (FTLS) of the design.
1790. Independent of the particular specification language or verification system
1791. used, there are five important criteria for class (A1) design verification:
1792.  
1793.         * A formal model of the security policy must be clearly
1794.         identified and documented, including a mathematical proof
1795.         that the model is consistent with its axioms and is
1796.         sufficient to support the security policy.
1797.  
1798.         * An FTLS must be produced that includes abstract definitions
1799.         of the functions the TCB performs and of the hardware and/or
1800.         firmware mechanisms that are used to support separate
1801.         execution domains.
1802.  
1803.         * The FTLS of the TCB must be shown to be consistent with the
1804.         model by formal techniques where possible (i.e., where
1805.         verification tools exist) and informal ones otherwise.
1806.  
1807.         * The TCB implementation (i.e., in hardware, firmware, and
1808.         software) must be informally shown to be consistent with the
1809.         FTLS.  The elements of the FTLS must be shown, using
1810.         informal techniques, to correspond to the elements of the
1811.         TCB.  The FTLS must express the unified protection mechanism
1812.         required to satisfy the security policy, and it is the
1813.         elements of this protection mechanism that are mapped to the
1814.         elements of the TCB.
1815.  
1816.         * Formal analysis techniques must be used to identify and
1817.         analyze covert channels.  Informal techniques may be used to
1818.         identify covert timing channels.  The continued existence of
1819.         identified covert channels in the system must be justified.
1820.  
1821. In keeping with the extensive design and development analysis of the TCB
1822. required of systems in class (A1), more stringent configuration management is
1823. required and procedures are established for securely distributing the system
1824. to sites.  A system security administrator is supported.
1825.  
1826. The following are minimal requirements for systems assigned a class (A1)
1827. rating:
1828.  
1829. 4.1.1  SECURITY POLICY
1830.  
1831.      4.1.1.1   Discretionary Access Control
1832.  
1833.              The TCB shall define and control access between named users and
1834.              named objects (e.g., files and programs) in the ADP system.  
1835.              The enforcement mechanism (e.g., access control lists) shall 
1836.              allow users to specify and control sharing of those objects.
1837.              The discretionary access control mechanism shall, either by
1838.              explicit user action or by default, provide that objects are
1839.              protected from unauthorized access.  These access controls 
1840.              shall be capable of specifying, for each named object, a list 
1841.              of named individuals and a list of groups of named individuals
1842.              with their respective modes of access to that object.
1843.              Furthermore, for each such named object, it shall be possible to
1844.              specify a list of named individuals and a list of groups of 
1845.              named individuals for which no access to the object is to be 
1846.              given.  Access permission to an object by users not already
1847.              possessing access permission shall only be assigned by
1848.              authorized users.
1849.  
1850.      4.1.1.2   Object Reuse
1851.  
1852.              When a storage object is initially assigned, allocated, or
1853.              reallocated to a subject from the TCB's pool of unused storage
1854.              objects, the TCB shall assure that the object contains no data
1855.              for which the subject is not authorized.
1856.  
1857.      4.1.1.3   Labels
1858.  
1859.              Sensitivity labels associated with each ADP system resource
1860.              (e.g., subject, storage object) that is directly or indirectly
1861.              accessible by subjects external to the TCB shall be maintained
1862.              by the TCB.  These labels shall be used as the basis for
1863.              mandatory access control decisions.  In order to import non-
1864.              labeled data, the TCB shall request and receive from an 
1865.              authorized user the security level of the data, and all such
1866.              actions shall be auditable by the TCB.
1867.  
1868.         4.1.1.3.1  Label Integrity
1869.  
1870.                  Sensitivity labels shall accurately represent security
1871.                  levels of the specific subjects or objects with which 
1872.                  they are associated.  When exported by the TCB,
1873.                  sensitivity labels shall accurately and unambiguously
1874.                  represent the internal labels and shall be associated 
1875.                  with the information being exported.
1876.  
1877.         4.1.1.3.2  Exportation of Labeled Information
1878.  
1879.                  The TCB shall designate each communication channel and
1880.                  I/O device as either single-level or multilevel.  Any 
1881.                  change in this designation shall be done manually and
1882.                  shall be auditable by the TCB.  The TCB shall maintain
1883.                  and be able to audit any change in the current security
1884.                  level associated with a single-level communication
1885.                  channel or I/O device.
1886.  
1887.              4.1.1.3.2.1  Exportation to Multilevel Devices
1888.  
1889.                         When the TCB exports an object to a multilevel I/O
1890.                         device, the sensitivity label associated with that
1891.                         object shall also be exported and shall reside on
1892.                         the same physical medium as the exported 
1893.                         information and shall be in the same form (i.e., 
1894.                         machine-readable or human-readable form).  When
1895.                         the TCB exports or imports an object over a
1896.                         multilevel communication channel, the protocol 
1897.                         used on that channel shall provide for the
1898.                         unambiguous pairing between the sensitivity labels
1899.                         and the associated information that is sent or 
1900.                         received.
1901.  
1902.              4.1.1.3.2.2  Exportation to Single-Level Devices
1903.  
1904.                         Single-level I/O devices and single-level
1905.                         communication channels are not required to 
1906.                         maintain the sensitivity labels of the information
1907.                         they process.  However, the TCB shall include a 
1908.                         mechanism by which the TCB and an authorized user
1909.                         reliably communicate to designate the single
1910.                         security level of information imported or exported
1911.                         via single-level communication channels or I/O 
1912.                         devices.
1913.  
1914.              4.1.1.3.2.3  Labeling Human-Readable Output
1915.  
1916.                         The ADP system administrator shall be able to
1917.                         specify the printable label names associated with
1918.                         exported sensitivity labels.  The TCB shall mark
1919.                         the beginning and end of all human-readable, paged,
1920.                         hardcopy output (e.g., line printer output) with 
1921.                         human-readable sensitivity labels that properly*
1922.                         represent the sensitivity of the output.  The TCB
1923.                         shall, by default, mark the top and bottom of each
1924.                         page of human-readable, paged, hardcopy output
1925.                         (e.g., line printer output) with human-readable 
1926.                         sensitivity labels that properly* represent the
1927.                         overall sensitivity of the output or that 
1928.                         properly* represent the sensitivity of the 
1929.                         information on the page.  The TCB shall, by
1930.                         default and in an appropriate manner, mark other
1931.                         forms of human-readable output (e.g., maps,
1932.                         graphics) with human-readable sensitivity labels
1933.                         that properly* represent the sensitivity of the 
1934.                         output.  Any override of these marking defaults
1935.                         shall be auditable by the TCB.
1936.  
1937.            ____________________________________________________________________
1938.            * The hierarchical classification component in human-readable
1939.            sensitivity labels shall be equal to the greatest
1940.            hierarchical classification of any of the information in the
1941.            output that the labels refer to;  the non-hierarchical
1942.            category component shall include all of the non-hierarchical
1943.            categories of the information in the output the labels refer
1944.            to, but no other non-hierarchical categories.
1945.            ____________________________________________________________________
1946.  
1947.  
1948.         4.1.1.3.3  Subject Sensitivity Labels
1949.  
1950.                  The TCB shall immediately notify a terminal user of each
1951.                  change in the security level associated with that user 
1952.                  during an interactive session.  A terminal user shall be
1953.                  able to query the TCB as desired for a display of the
1954.                  subject's complete sensitivity label.
1955.  
1956.         4.1.1.3.4  Device Labels
1957.  
1958.                  The TCB shall support the assignment of minimum and
1959.                  maximum security levels to all attached physical devices.
1960.                  These security levels shall be used by the TCB to enforce
1961.                  constraints imposed by the physical environments in which
1962.                  the devices are located.
1963.  
1964.      4.1.1.4   Mandatory Access Control
1965.  
1966.              The TCB shall enforce a mandatory access control policy over
1967.              all resources (i.e., subjects, storage objects, and I/O 
1968.              devices) that are directly or indirectly accessible by subjects
1969.              external to the TCB.  These subjects and objects shall be
1970.              assigned sensitivity labels that are a combination of
1971.              hierarchical classification levels and non-hierarchical
1972.              categories, and the labels shall be used as the basis for 
1973.              mandatory access control decisions.  The TCB shall be able to
1974.              support two or more such security levels.  (See the Mandatory
1975.              Access Control guidelines.) The following requirements shall
1976.              hold for all accesses between all subjects external to the TCB
1977.              and all objects directly or indirectly accessible by these 
1978.              subjects: A subject can read an object only if the hierarchical
1979.              classification in the subject's security level is greater than
1980.              or equal to the hierarchical classification in the object's
1981.              security level and the non-hierarchical categories in the
1982.              subject's security level include all the non-hierarchical
1983.              categories in the object's security level.  A subject can write
1984.              an object only if the hierarchical classification in the 
1985.              subject's security level is less than or equal to the
1986.              hierarchical classification in the object's security level and
1987.              all the non-hierarchical categories in the subject's security 
1988.              level are included in the non- hierarchical categories in the 
1989.              object's security level.
1990.  
1991. 4.1.2  ACCOUNTABILITY
1992.  
1993.      4.1.2.1   Identification and Authentication
1994.  
1995.              The TCB shall require users to identify themselves to it before
1996.              beginning to perform any other actions that the TCB is expected
1997.              to mediate.  Furthermore, the TCB shall maintain authentication
1998.              data that includes information for verifying the identity of
1999.              individual users (e.g., passwords) as well as information for
2000.              determining the clearance and authorizations of individual
2001.              users.  This data shall be used by the TCB to authenticate the
2002.              user's identity and to determine the security level and 
2003.              authorizations of subjects that may be created to act on behalf
2004.              of the individual user.  The TCB shall protect authentication
2005.              data so that it cannot be accessed by any unauthorized user.
2006.              The TCB shall be able to enforce individual accountability by
2007.              providing the capability to uniquely identify each individual 
2008.              ADP system user.  The TCB shall also provide the capability of
2009.              associating this identity with all auditable actions taken by
2010.              that individual.
2011.  
2012.         4.1.2.1.1  Trusted Path
2013.  
2014.                  The TCB shall support a trusted communication path
2015.                  between itself and users for use when a positive TCB-to-
2016.                  user connection is required (e.g., login, change subject
2017.                  security level).  Communications via this trusted path
2018.                  shall be activated exclusively by a user or the TCB and
2019.                  shall be logically isolated and unmistakably 
2020.                  distinguishable from other paths.
2021.  
2022.      4.1.2.2   Audit
2023.  
2024.              The TCB shall be able to create, maintain, and protect from
2025.              modification or unauthorized access or destruction an audit 
2026.              trail of accesses to the objects it protects.  The audit data
2027.              shall be protected by the TCB so that read access to it is
2028.              limited to those who are authorized for audit data.  The TCB
2029.              shall be able to record the following types of events: use of
2030.              identification and authentication mechanisms, introduction of
2031.              objects into a user's address space (e.g., file open, program
2032.              initiation), deletion of objects, and actions taken by computer
2033.              operators and system administrators and/or system security
2034.              officers.  The TCB shall also be able to audit any override of
2035.              human-readable output markings.  For each recorded event, the
2036.              audit record shall identify: date and time of the event, user,
2037.              type of event, and success or failure of the event.  For
2038.              identification/authentication events the origin of request
2039.              (e.g., terminal ID) shall be included in the audit record.  For
2040.              events that introduce an object into a user's address space and
2041.              for object deletion events the audit record shall include the 
2042.              name of the object and the object's security level.  The ADP
2043.              system administrator shall be able to selectively audit the
2044.              actions of any one or more users based on individual identity
2045.              and/or object security level.  The TCB shall be able to audit
2046.              the identified events that may be used in the exploitation of
2047.              covert storage channels.  The TCB shall contain a mechanism 
2048.              that is able to monitor the occurrence or accumulation of 
2049.              security auditable events that may indicate an imminent
2050.              violation of security policy.  This mechanism shall be able to
2051.              immediately notify the security administrator when thresholds 
2052.              are exceeded.
2053.  
2054. 4.1.3  ASSURANCE
2055.  
2056.      4.1.3.1   Operational Assurance
2057.  
2058.         4.1.3.1.1  System Architecture
2059.  
2060.                  The TCB shall maintain a domain for its own execution
2061.                  that protects it from external interference or tampering
2062.                  (e.g., by modification of its code or data structures).
2063.                  The TCB shall maintain process isolation through the
2064.                  provision of distinct address spaces under its control.
2065.                  The TCB shall be internally structured into well-defined
2066.                  largely independent modules.  It shall make effective use
2067.                  of available hardware to separate those elements that are
2068.                  protection-critical from those that are not.  The TCB
2069.                  modules shall be designed such that the principle of 
2070.                  least privilege is enforced.  Features in hardware, such
2071.                  as segmentation, shall be used to support logically 
2072.                  distinct storage objects with separate attributes (namely:
2073.                  readable, writeable).  The user interface to the TCB 
2074.                  shall be completely defined and all elements of the TCB 
2075.                  identified.  The TCB shall be designed and structured to
2076.                  use a complete, conceptually simple protection mechanism
2077.                  with precisely defined semantics.  This mechanism shall 
2078.                  play a central role in enforcing the internal structuring
2079.                  of the TCB and the system.  The TCB shall incorporate
2080.                  significant use of layering, abstraction and data hiding.
2081.                  Significant system engineering shall be directed toward 
2082.                  minimizing the complexity of the TCB and excluding from
2083.                  the TCB modules that are not protection-critical.
2084.  
2085.         4.1.3.1.2  System Integrity
2086.  
2087.                  Hardware and/or software features shall be provided that
2088.                  can be used to periodically validate the correct 
2089.                  operation of the on-site hardware and firmware elements
2090.                  of the TCB.
2091.  
2092.         4.1.3.1.3  Covert Channel Analysis
2093.  
2094.                  The system developer shall conduct a thorough search for
2095.                  COVERT CHANNELS and make a determination (either by 
2096.                  actual measurement or by engineering estimation) of the
2097.                  maximum bandwidth of each identified channel.  (See the
2098.                  Covert Channels Guideline section.)  FORMAL METHODS SHALL
2099.                  BE USED IN THE ANALYSIS.
2100.  
2101.         4.1.3.1.4  Trusted Facility Management
2102.  
2103.                  The TCB shall support separate operator and administrator
2104.                  functions.  The functions performed in the role of a 
2105.                  security administrator shall be identified.  The ADP
2106.                  system administrative personnel shall only be able to
2107.                  perform security administrator functions after taking a 
2108.                  distinct auditable action to assume the security
2109.                  administrator role on the ADP system.  Non-security
2110.                  functions that can be performed in the security 
2111.                  administration role shall be limited strictly to those
2112.                  essential to performing the security role effectively.
2113.  
2114.         4.1.3.1.5  Trusted Recovery
2115.  
2116.                  Procedures and/or mechanisms shall be provided to assure
2117.                  that, after an ADP system failure or other discontinuity,
2118.                  recovery without a protection compromise is obtained.
2119.  
2120.      4.1.3.2   Life-Cycle Assurance
2121.  
2122.         4.1.3.2.1  Security Testing
2123.  
2124.                  The security mechanisms of the ADP system shall be tested
2125.                  and found to work as claimed in the system documentation.
2126.                  A team of individuals who thoroughly understand the
2127.                  specific implementation of the TCB shall subject its
2128.                  design documentation, source code, and object code to
2129.                  thorough analysis and testing.  Their objectives shall 
2130.                  be: to uncover all design and implementation flaws that
2131.                  would permit a subject external to the TCB to read,
2132.                  change, or delete data normally denied under the 
2133.                  mandatory or discretionary security policy enforced by 
2134.                  the TCB; as well as to assure that no subject (without
2135.                  authorization to do so) is able to cause the TCB to enter
2136.                  a state such that it is unable to respond to 
2137.                  communications initiated by other users.  The TCB shall 
2138.                  be found resistant to penetration.  All discovered flaws
2139.                  shall be corrected and the TCB retested to demonstrate 
2140.                  that they have been eliminated and that new flaws have
2141.                  not been introduced.  Testing shall demonstrate that the
2142.                  TCB implementation is consistent with the FORMAL top-
2143.                  level specification.  (See the Security Testing 
2144.                  Guidelines.)  No design flaws and no more than a few
2145.                  correctable implementation flaws may be found during
2146.                  testing and there shall be reasonable confidence that few
2147.                  remain.  MANUAL OR OTHER MAPPING OF THE FTLS TO THE 
2148.                  SOURCE CODE MAY FORM A BASIS FOR PENETRATION TESTING.
2149.  
2150.         4.1.3.2.2  Design Specification and Verification
2151.  
2152.                  A formal model of the security policy supported by the
2153.                  TCB shall be maintained that is proven consistent with 
2154.                  its axioms.  A descriptive top-level specification (DTLS)
2155.                  of the TCB shall be maintained that completely and
2156.                  accurately describes the TCB in terms of exceptions, error
2157.                  messages, and effects.  A FORMAL TOP-LEVEL SPECIFICATION
2158.                  (FTLS) OF THE TCB SHALL BE MAINTAINED THAT ACCURATELY
2159.                  DESCRIBES THE TCB IN TERMS OF EXCEPTIONS, ERROR MESSAGES,
2160.                  AND EFFECTS.  THE DTLS AND FTLS SHALL INCLUDE THOSE 
2161.                  COMPONENTS OF THE TCB THAT ARE IMPLEMENTED AS HARDWARE
2162.                  AND/OR FIRMWARE IF THEIR PROPERTIES ARE VISIBLE AT THE
2163.                  TCB INTERFACE.  THE FTLS shall be shown to be an accurate
2164.                  description of the TCB interface.  A convincing argument
2165.                  shall be given that the DTLS is consistent with the model
2166.                  AND A COMBINATION OF FORMAL AND INFORMAL TECHNIQUES SHALL
2167.                  BE USED TO SHOW THAT THE FTLS IS CONSISTENT WITH THE
2168.                  MODEL.  THIS VERIFICATION EVIDENCE SHALL BE CONSISTENT 
2169.                  WITH THAT PROVIDED WITHIN THE STATE-OF-THE-ART OF THE 
2170.                  PARTICULAR COMPUTER SECURITY CENTER-ENDORSED FORMAL
2171.                  SPECIFICATION AND VERIFICATION SYSTEM USED.  MANUAL OR
2172.                  OTHER MAPPING OF THE FTLS TO THE TCB SOURCE CODE SHALL BE
2173.                  PERFORMED TO PROVIDE EVIDENCE OF CORRECT IMPLEMENTATION.
2174.  
2175.         4.1.3.2.3  Configuration Management
2176.  
2177.                  During THE ENTIRE LIFE-CYCLE, I.E., DURING THE DESIGN,
2178.                  DEVELOPMENT, and maintenance of the TCB, a configuration
2179.                  management system shall be in place FOR ALL SECURITY-
2180.                  RELEVANT HARDWARE, FIRMWARE, AND SOFTWARE that maintains
2181.                  control of changes to THE FORMAL MODEL, the descriptive 
2182.                  AND FORMAL top-level SPECIFICATIONS, other design data, 
2183.                  implementation documentation, source code, the running
2184.                  version of the object code, and test fixtures and
2185.                  documentation.  The configuration management system shall
2186.                  assure a consistent mapping among all documentation and 
2187.                  code associated with the current version of the TCB.
2188.                  Tools shall be provided for generation of a new version
2189.                  of the TCB from source code.  Also available shall be 
2190.                  tools, MAINTAINED UNDER STRICT CONFIGURATION CONTROL, for
2191.                  comparing a newly generated version with the previous TCB
2192.                  version in order to ascertain that only the intended
2193.                  changes have been made in the code that will actually be
2194.                  used as the new version of the TCB.  A COMBINATION OF
2195.                  TECHNICAL, PHYSICAL, AND PROCEDURAL SAFEGUARDS SHALL BE
2196.                  USED TO PROTECT FROM UNAUTHORIZED MODIFICATION OR
2197.                  DESTRUCTION THE MASTER COPY OR COPIES OF ALL MATERIAL 
2198.                  USED TO GENERATE THE TCB.
2199.  
2200.         4.1.3.2.4  Trusted Distribution
2201.  
2202.                  A TRUSTED ADP SYSTEM CONTROL AND DISTRIBUTION FACILITY
2203.                  SHALL BE PROVIDED FOR MAINTAINING THE INTEGRITY OF THE 
2204.                  MAPPING BETWEEN THE MASTER DATA DESCRIBING THE CURRENT
2205.                  VERSION OF THE TCB AND THE ON-SITE MASTER COPY OF THE
2206.                  CODE FOR THE CURRENT VERSION.  PROCEDURES (E.G., SITE 
2207.                  SECURITY ACCEPTANCE TESTING) SHALL EXIST FOR ASSURING
2208.                  THAT THE TCB SOFTWARE, FIRMWARE, AND HARDWARE UPDATES
2209.                  DISTRIBUTED TO A CUSTOMER ARE EXACTLY AS SPECIFIED BY 
2210.                  THE MASTER COPIES.
2211.  
2212. 4.1.4  DOCUMENTATION
2213.  
2214.      4.1.4.1   Security Features User's Guide
2215.  
2216.              A single summary, chapter, or manual in user documentation
2217.              shall describe the protection mechanisms provided by the TCB,
2218.              guidelines on their use, and how they interact with one another.
2219.  
2220.      4.1.4.2   Trusted Facility Manual
2221.  
2222.                A manual addressed to the ADP system administrator shall
2223.              present cautions about functions and privileges that should be
2224.              controlled when running a secure facility.  The procedures for
2225.              examining and maintaining the audit files as well as the
2226.              detailed audit record structure for each type of audit event
2227.              shall be given.  The manual shall describe the operator and
2228.              administrator functions related to security, to include 
2229.              changing the security characteristics of a user.  It shall
2230.              provide guidelines on the consistent and effective use of the
2231.              protection features of the system, how they interact, how to
2232.              securely generate a new TCB, and facility procedures, warnings,
2233.              and privileges that need to be controlled in order to operate
2234.              the facility in a secure manner.  The TCB modules that contain
2235.              the reference validation mechanism shall be identified.  The 
2236.              procedures for secure generation of a new TCB from source after
2237.              modification of any modules in the TCB shall be described.  It
2238.              shall include the procedures to ensure that the system is 
2239.              initially started in a secure manner.  Procedures shall also be
2240.              included to resume secure system operation after any lapse in 
2241.              system operation.  
2242.  
2243.      4.1.4.3   Test Documentation
2244.  
2245.              The system developer shall provide to the evaluators a document
2246.              that describes the test plan and results of the security
2247.              mechanisms' functional testing.  It shall include results of 
2248.              testing the effectiveness of the methods used to reduce covert
2249.              channel bandwidths.  THE RESULTS OF THE MAPPING BETWEEN THE
2250.              FORMAL TOP-LEVEL SPECIFICATION AND THE TCB SOURCE CODE SHALL BE
2251.              GIVEN.
2252.  
2253.      4.1.4.4   Design Documentation
2254.  
2255.              Documentation shall be available that provides a description of
2256.              the manufacturer's philosophy of protection and an explanation
2257.              of how this philosophy is translated into the TCB.  The 
2258.              interfaces between the TCB modules shall be described.  A
2259.              formal description of the security policy model enforced by the
2260.              TCB shall be available and proven that it is sufficient to 
2261.              enforce the security policy.  The specific TCB protection 
2262.              mechanisms shall be identified and an explanation given to show
2263.              that they satisfy the model.  The descriptive top-level
2264.              specification (DTLS) shall be shown to be an accurate 
2265.              description of the TCB interface.  Documentation shall describe
2266.              how the TCB implements the reference monitor concept and give 
2267.              an explanation why it is tamperproof, cannot be bypassed, and
2268.              is correctly implemented.  The TCB implementation (i.e., in
2269.              hardware, firmware, and software) shall be informally shown to
2270.              be consistent with the FORMAL TOP- LEVEL SPECIFICATION (FTLS).
2271.              The elements of the FTLS shall be shown, using informal 
2272.              techniques, to correspond to the elements of the TCB.  
2273.              Documentation shall describe how the TCB is structured to
2274.              facilitate testing and to enforce least privilege.  This
2275.              documentation shall also present the results of the covert 
2276.              channel analysis and the tradeoffs involved in restricting the
2277.              channels.  All auditable events that may be used in the
2278.              exploitation of known covert storage channels shall be 
2279.              identified.  The bandwidths of known covert storage channels,
2280.              the use of which is not detectable by the auditing mechanisms,
2281.              shall be provided.  (See the Covert Channel Guideline section.)
2282.              HARDWARE, FIRMWARE, AND SOFTWARE MECHANISMS NOT DEALT WITH IN
2283.              THE FTLS BUT STRICTLY INTERNAL TO THE TCB (E.G., MAPPING
2284.              REGISTERS, DIRECT MEMORY ACCESS I/O) SHALL BE CLEARLY DESCRIBED.
2285.  
2286. 4.2  BEYOND CLASS (A1)
2287.  
2288. Most of the security enhancements envisioned for systems that will provide
2289. features and assurance in addition to that already provided by class (Al)
2290. systems are beyond current technology.  The discussion below is intended to
2291. guide future work and is derived from research and development activities
2292. already underway in both the public and private sectors.  As more and better
2293. analysis techniques are developed, the requirements for these systems will
2294. become more explicit.  In the future, use of formal verification will be
2295. extended to the source level and covert timing channels will be more fully
2296. addressed.  At this level the design environment will become important and
2297. testing will be aided by analysis of the formal top-level specification.
2298. Consideration will be given to the correctness of the tools used in TCB
2299. development (e.g., compilers, assemblers, loaders) and to the correct
2300. functioning of the hardware/firmware on which the TCB will run.  Areas to be
2301. addressed by systems beyond class (A1) include:
2302.  
2303.            * System Architecture
2304.  
2305.            A demonstration (formal or otherwise) must be given showing
2306.            that requirements of self-protection and completeness for
2307.            reference monitors have been implemented in the TCB.
2308.  
2309.            * Security Testing
2310.  
2311.            Although beyond the current state-of-the-art, it is
2312.            envisioned that some test-case generation will be done
2313.            automatically from the formal top-level specification or
2314.            formal lower-level specifications.
2315.  
2316.            * Formal Specification and Verification
2317.  
2318.            The TCB must be verified down to the source code level,
2319.            using formal verification methods where feasible.  Formal
2320.            verification of the source code of the security-relevant
2321.            portions of an operating system has proven to be a difficult
2322.            task.  Two important considerations are the choice of a
2323.            high-level language whose semantics can be fully and
2324.            formally expressed, and a careful mapping, through
2325.            successive stages, of the abstract formal design to a
2326.            formalization of the implementation in low-level
2327.            specifications.    Experience has shown that only when the
2328.            lowest level specifications closely correspond to the actual
2329.            code can code proofs be successfully accomplished.
2330.  
2331.            * Trusted Design Environment
2332.  
2333.            The TCB must be designed in a trusted facility with only
2334.          trusted (cleared) personnel.
2335.  
2336.  
2337.  
2338.  
2339.                                PART II:
2340.  
2341.  
2342. 5.0  CONTROL OBJECTIVES FOR TRUSTED COMPUTER SYSTEMS
2343.  
2344. The criteria are divided within each class into groups of requirements.  These
2345. groupings were developed to assure that three basic control objectives for
2346. computer security are satisfied and not overlooked.  These control objectives
2347. deal with:
2348.  
2349.                       * Security Policy
2350.                       * Accountability
2351.                       * Assurance
2352.  
2353. This section provides a discussion of these general control objectives and
2354. their implication in terms of designing trusted systems.
2355.  
2356. 5.1  A Need for Consensus
2357.  
2358. A major goal of the DoD Computer Security Center is to encourage the Computer
2359. Industry to develop trusted computer systems and products, making them widely
2360. available in the commercial market place.  Achievement of this goal will
2361. require recognition and articulation by both the public and private sectors of
2362. a need and demand for such products.
2363.  
2364. As described in the introduction to this document, efforts to define the
2365. problems and develop solutions associated with processing nationally sensitive
2366. information, as well as other sensitive data such as financial, medical, and
2367. personnel information used by the National Security Establishment, have been
2368. underway for a number of years.  The criteria, as described in Part I,
2369. represent the culmination of these efforts and describe basic requirements for
2370. building trusted computer systems.  To date, however, these systems have been
2371. viewed by many as only satisfying National Security needs.  As long as this
2372. perception continues the consensus needed to motivate manufacture of trusted
2373. systems will be lacking.
2374.  
2375. The purpose of this section is to describe, in some detail, the fundamental
2376. control objectives that lay the foundations for requirements delineated in the
2377. criteria.  The goal is to explain the foundations so that those outside the
2378. National Security Establishment can assess their universality and, by
2379. extension, the universal applicability of the criteria requirements to
2380. processing all types of sensitive applications whether they be for National
2381. Security or the private sector.
2382.  
2383. 5.2  Definition and Usefulness
2384.  
2385. The term "control objective" refers to a statement of intent with respect to
2386. control over some aspect of an organization's resources, or processes, or
2387. both.  In terms of a computer system, control objectives provide a framework
2388. for developing a strategy for fulfilling a set of security requirements for
2389. any given system.  Developed in response to generic vulnerabilities, such as
2390. the need to manage and handle sensitive data in order to prevent compromise,
2391. or the need to provide accountability in order to detect fraud, control
2392. objectives have been identified as a useful method of expressing security
2393. goals.[3]
2394.  
2395. Examples of control objectives include the three basic design requirements for
2396. implementing the reference monitor concept discussed in Section 6.  They are:
2397.  
2398.         * The reference validation mechanism must be tamperproof.
2399.  
2400.         * The reference validation mechanism must always be invoked.
2401.  
2402.         * The reference validation mechanism must be small enough to be
2403.           subjected to analysis and tests, the completeness of which can 
2404.           be assured.[1]
2405.  
2406. 5.3  Criteria Control Objectives
2407.  
2408. The three basic control objectives of the criteria are concerned with security
2409. policy, accountability, and assurance.  The remainder of this section provides
2410. a discussion of these basic requirements.
2411.  
2412.      5.3.1  Security Policy
2413.  
2414.           In the most general sense, computer security is concerned with
2415.           controlling the way in which a computer can be used, i.e., 
2416.           controlling how information processed by it can be accessed and 
2417.           manipulated.  However, at closer examination, computer security 
2418.           can refer to a number of areas.  Symptomatic of this, FIPS PUB 39,
2419.           Glossary For Computer Systems Security, does not have a unique
2420.           definition for computer security.[16]  Instead there are eleven
2421.           separate definitions for security which include: ADP systems 
2422.           security, administrative security, data security, etc.  A common 
2423.           thread running through these definitions is the word "protection."
2424.           Further declarations of protection requirements can be found in
2425.           DoD Directive 5200.28 which describes an acceptable level of
2426.           protection for classified data to be one that will "assure that
2427.           systems which process, store, or use classified data and produce
2428.           classified information will, with reasonable dependability, 
2429.           prevent: a. Deliberate or inadvertent access to classified 
2430.           material by unauthorized persons, and b.  Unauthorized 
2431.           manipulation of the computer and its associated peripheral 
2432.           devices."[8]
2433.  
2434.           In summary, protection requirements must be defined in terms of
2435.           the perceived threats, risks, and goals of an organization.  This
2436.           is often stated in terms of a security policy.  It has been 
2437.           pointed out in the literature that it is external laws, rules, 
2438.           regulations, etc.  that establish what access to information is to
2439.           be permitted, independent of the use of a computer.  In particular,
2440.           a given system can only be said to be secure with respect to its
2441.           enforcement of some specific policy.[30]  Thus, the control 
2442.           objective for security policy is:
2443.  
2444.           SECURITY POLICY CONTROL OBJECTIVE
2445.  
2446.           A STATEMENT OF INTENT WITH REGARD TO CONTROL OVER ACCESS TO AND
2447.           DISSEMINATION OF INFORMATION, TO BE KNOWN AS THE SECURITY POLICY,
2448.           MUST BE PRECISELY DEFINED AND IMPLEMENTED FOR EACH SYSTEM THAT IS
2449.           USED TO PROCESS SENSITIVE INFORMATION.  THE SECURITY POLICY MUST 
2450.           ACCURATELY REFLECT THE LAWS, REGULATIONS, AND GENERAL POLICIES
2451.           FROM WHICH IT IS DERIVED.
2452.  
2453.         5.3.1.1  Mandatory Security Policy
2454.  
2455.                  Where a security policy is developed that is to be applied
2456.                  to control of classified or other specifically designated 
2457.                  sensitive information, the policy must include detailed 
2458.                  rules on how to handle that information throughout its
2459.                  life-cycle.  These rules are a function of the various
2460.                  sensitivity designations that the information can assume 
2461.                  and the various forms of access supported by the system.
2462.                  Mandatory security refers to the enforcement of a set of
2463.                  access control rules that constrains a subject's access to
2464.                  information on the basis of a comparison of that 
2465.                  individual's clearance/authorization to the information,
2466.                  the classification/sensitivity designation of the
2467.                  information, and the form of access being mediated.
2468.                  Mandatory policies either require or can be satisfied by 
2469.                  systems that can enforce a partial ordering of 
2470.                  designations, namely, the designations must form what is
2471.                  mathematically known as a "lattice."[5]
2472.  
2473.                  A clear implication of the above is that the system must
2474.                  assure that the designations associated with sensitive data
2475.                  cannot be arbitrarily changed, since this could permit 
2476.                  individuals who lack the appropriate authorization to 
2477.                  access sensitive information.  Also implied is the
2478.                  requirement that the system control the flow of information
2479.                  so that data cannot be stored with lower sensitivity 
2480.                  designations unless its "downgrading" has been authorized.
2481.                  The control objective is:
2482.  
2483.                  MANDATORY SECURITY CONTROL OBJECTIVE
2484.  
2485.                  SECURITY POLICIES DEFINED FOR SYSTEMS THAT ARE USED TO
2486.                  PROCESS CLASSIFIED OR OTHER SPECIFICALLY CATEGORIZED 
2487.                  SENSITIVE INFORMATION MUST INCLUDE PROVISIONS FOR THE 
2488.                  ENFORCEMENT OF MANDATORY ACCESS CONTROL RULES.  THAT IS,
2489.                  THEY MUST INCLUDE A SET OF RULES FOR CONTROLLING ACCESS 
2490.                  BASED DIRECTLY ON A COMPARISON OF THE INDIVIDUAL'S 
2491.                  CLEARANCE OR AUTHORIZATION FOR THE INFORMATION AND THE 
2492.                  CLASSIFICATION OR SENSITIVITY DESIGNATION OF THE
2493.                  INFORMATION BEING SOUGHT, AND INDIRECTLY ON CONSIDERATIONS
2494.                  OF PHYSICAL AND OTHER ENVIRONMENTAL FACTORS OF CONTROL.  
2495.                  THE MANDATORY ACCESS CONTROL RULES MUST ACCURATELY REFLECT
2496.                  THE LAWS, REGULATIONS, AND GENERAL POLICIES FROM WHICH
2497.                  THEY ARE DERIVED.
2498.  
2499.         5.3.1.2  Discretionary Security Policy
2500.  
2501.                  Discretionary security is the principal type of access
2502.                  control available in computer systems today.  The basis of
2503.                  this kind of security is that an individual user, or
2504.                  program operating on his behalf, is allowed to specify
2505.                  explicitly the types of access other users may have to
2506.                  information under his control.  Discretionary security
2507.                  differs from mandatory security in that it implements an
2508.                  access control policy on the basis of an individual's
2509.                  need-to-know as opposed to mandatory controls which are
2510.                  driven by the classification or sensitivity designation of
2511.                  the information.
2512.  
2513.                  Discretionary controls are not a replacement for mandatory
2514.                  controls.  In an environment in which information is 
2515.                  classified (as in the DoD) discretionary security provides
2516.                  for a finer granularity of control within the overall
2517.                  constraints of the mandatory policy.  Access to classified
2518.                  information requires effective implementation of both types
2519.                  of controls as precondition to granting that access.  In 
2520.                  general, no person may have access to classified
2521.                  information unless: (a) that person has been determined to
2522.                  be trustworthy, i.e., granted a personnel security 
2523.                  clearance -- MANDATORY, and (b) access is necessary for the
2524.                  performance of official duties, i.e., determined to have a
2525.                  need-to-know -- DISCRETIONARY.  In other words, 
2526.                  discretionary controls give individuals discretion to 
2527.                  decide on which of the permissible accesses will actually
2528.                  be allowed to which users, consistent with overriding
2529.                  mandatory policy restrictions.  The control objective is:
2530.  
2531.                  DISCRETIONARY SECURITY CONTROL OBJECTIVE
2532.  
2533.                  SECURITY POLICIES DEFINED FOR SYSTEMS THAT ARE USED TO
2534.                  PROCESS CLASSIFIED OR OTHER SENSITIVE INFORMATION MUST 
2535.                  INCLUDE PROVISIONS FOR THE ENFORCEMENT OF DISCRETIONARY
2536.                  ACCESS CONTROL RULES.  THAT IS, THEY MUST INCLUDE A
2537.                  CONSISTENT SET OF RULES FOR CONTROLLING AND LIMITING ACCESS
2538.                  BASED ON IDENTIFIED INDIVIDUALS WHO HAVE BEEN DETERMINED TO
2539.                  HAVE A NEED-TO-KNOW FOR THE INFORMATION.
2540.  
2541.         5.3.1.3  Marking
2542.  
2543.                  To implement a set of mechanisms that will put into effect
2544.                  a mandatory security policy, it is necessary that the 
2545.                  system mark information with appropriate classification or
2546.                  sensitivity labels and maintain these markings as the
2547.                  information moves through the system.  Once information is
2548.                  unalterably and accurately marked, comparisons required by
2549.                  the mandatory access control rules can be accurately and
2550.                  consistently made.  An additional benefit of having the
2551.                  system maintain the classification or sensitivity label
2552.                  internally is the ability to automatically generate 
2553.                  properly "labeled" output.  The labels, if accurately and
2554.                  integrally maintained by the system, remain accurate when
2555.                  output from the system.  The control objective is:
2556.  
2557.                  MARKING CONTROL OBJECTIVE
2558.  
2559.                  SYSTEMS THAT ARE DESIGNED TO ENFORCE A MANDATORY SECURITY
2560.                  POLICY MUST STORE AND PRESERVE THE INTEGRITY OF 
2561.                  CLASSIFICATION OR OTHER SENSITIVITY LABELS FOR ALL 
2562.                  INFORMATION.  LABELS EXPORTED FROM THE SYSTEM MUST BE
2563.                  ACCURATE REPRESENTATIONS OF THE CORRESPONDING INTERNAL 
2564.                  SENSITIVITY LABELS BEING EXPORTED.
2565.  
2566.      5.3.2  Accountability
2567.  
2568.           The second basic control objective addresses one of the
2569.           fundamental principles of security, i.e., individual 
2570.           accountability.  Individual accountability is the key to securing
2571.           and controlling any system that processes information on behalf
2572.           of individuals or groups of individuals.  A number of requirements
2573.           must be met in order to satisfy this objective.
2574.  
2575.           The first requirement is for individual user identification.
2576.           Second, there is a need for authentication of the identification.
2577.           Identification is functionally dependent on authentication.  
2578.           Without authentication, user identification has no credibility.  
2579.           Without a credible identity, neither mandatory nor discretionary
2580.           security policies can be properly invoked because there is no
2581.           assurance that proper authorizations can be made.
2582.  
2583.           The third requirement is for dependable audit capabilities.  That
2584.           is, a trusted computer system must provide authorized personnel 
2585.           with the ability to audit any action that can potentially cause
2586.           access to, generation of, or effect the release of classified or
2587.           sensitive information.  The audit data will be selectively 
2588.           acquired based on the auditing needs of a particular installation
2589.           and/or application.  However, there must be sufficient granularity
2590.           in the audit data to support tracing the auditable events to a
2591.           specific individual who has taken the actions or on whose behalf
2592.           the actions were taken.  The control objective is:
2593.  
2594.           ACCOUNTABILITY CONTROL OBJECTIVE
2595.  
2596.           SYSTEMS THAT ARE USED TO PROCESS OR HANDLE CLASSIFIED OR OTHER
2597.           SENSITIVE INFORMATION MUST ASSURE INDIVIDUAL ACCOUNTABILITY 
2598.           WHENEVER EITHER A MANDATORY OR DISCRETIONARY SECURITY POLICY IS
2599.           INVOKED.  FURTHERMORE, TO ASSURE ACCOUNTABILITY THE CAPABILITY 
2600.           MUST EXIST FOR AN AUTHORIZED AND COMPETENT AGENT TO ACCESS AND
2601.           EVALUATE ACCOUNTABILITY INFORMATION BY A SECURE MEANS, WITHIN A
2602.           REASONABLE AMOUNT OF TIME, AND WITHOUT UNDUE DIFFICULTY.
2603.  
2604.      5.3.3  Assurance
2605.  
2606.           The third basic control objective is concerned with guaranteeing
2607.           or providing confidence that the security policy has been 
2608.           implemented correctly and that the protection-relevant elements of
2609.           the system do, indeed, accurately mediate and enforce the intent
2610.           of that policy.  By extension, assurance must include a guarantee
2611.           that the trusted portion of the system works only as intended.  To
2612.           accomplish these objectives, two types of assurance are needed.
2613.           They are life-cycle assurance and operational assurance.
2614.  
2615.           Life-cycle assurance refers to steps taken by an organization to
2616.           ensure that the system is designed, developed, and maintained 
2617.           using formalized and rigorous controls and standards.[17]  
2618.           Computer systems that process and store sensitive or classified
2619.           information depend on the hardware and software to protect that
2620.           information.  It follows that the hardware and software themselves
2621.           must be protected against unauthorized changes that could cause
2622.           protection mechanisms to malfunction or be bypassed completely.  
2623.           For this reason trusted computer systems must be carefully 
2624.           evaluated and tested during the design and development phases and
2625.           reevaluated whenever changes are made that could affect the
2626.           integrity of the protection mechanisms.  Only in this way can
2627.           confidence be provided that the hardware and software 
2628.           interpretation of the security policy is maintained accurately 
2629.           and without distortion.
2630.  
2631.           While life-cycle assurance is concerned with procedures for
2632.           managing system design, development, and maintenance; operational
2633.           assurance focuses on features and system architecture used to
2634.           ensure that the security policy is uncircumventably enforced
2635.           during system operation.  That is, the security policy must be
2636.           integrated into the hardware and software protection features of
2637.           the system.  Examples of steps taken to provide this kind of
2638.           confidence include: methods for testing the operational hardware 
2639.           and software for correct operation, isolation of protection-
2640.           critical code, and the use of hardware and software to provide
2641.           distinct domains.  The control objective is:
2642.  
2643.           ASSURANCE CONTROL OBJECTIVE
2644.  
2645.           SYSTEMS THAT ARE USED TO PROCESS OR HANDLE CLASSIFIED OR OTHER
2646.           SENSITIVE INFORMATION MUST BE DESIGNED TO GUARANTEE CORRECT AND
2647.           ACCURATE INTERPRETATION OF THE SECURITY POLICY AND MUST NOT 
2648.           DISTORT THE INTENT OF THAT POLICY.  ASSURANCE MUST BE PROVIDED
2649.           THAT CORRECT IMPLEMENTATION AND OPERATION OF THE POLICY EXISTS
2650.           THROUGHOUT THE SYSTEM'S LIFE-CYCLE.  
2651.  
2652.  
2653. 6.0 RATIONALE BEHIND THE EVALUATION CLASSES
2654.  
2655. 6.1  The Reference Monitor Concept
2656.  
2657. In October of 1972, the Computer Security Technology Planning Study, conducted
2658. by James P.  Anderson & Co., produced a report for the Electronic Systems
2659. Division (ESD) of the United States Air Force.[1]  In that report, the concept
2660. of "a reference monitor which enforces the authorized access relationships
2661. between subjects and objects of a system" was introduced.  The reference
2662. monitor concept was found to be an essential element of any system that would
2663. provide multilevel secure computing facilities and controls.
2664.  
2665. The Anderson report went on to define the reference validation mechanism as
2666. "an implementation of the reference monitor concept .  .  .  that validates
2667. each reference to data or programs by any user (program) against a list of
2668. authorized types of reference for that user." It then listed the three design
2669. requirements that must be met by a reference validation mechanism:
2670.  
2671.         a. The reference validation mechanism must be tamper proof.
2672.  
2673.         b. The reference validation mechanism must always be invoked.
2674.  
2675.         c. The reference validation mechanism must be small enough to be
2676.            subject to analysis and tests, the completeness of which can 
2677.            be assured."[1]
2678.  
2679. Extensive peer review and continuing research and development activities have
2680. sustained the validity of the Anderson Committee's findings.  Early examples
2681. of the reference validation mechanism were known as security kernels.  The
2682. Anderson Report described the security kernel as "that combination of hardware
2683. and software which implements the reference monitor concept."[1]  In this vein,
2684. it will be noted that the security kernel must support the three reference
2685. monitor requirements listed above.
2686.  
2687. 6.2  A Formal Security Policy Model
2688.  
2689. Following the publication of the Anderson report, considerable research was
2690. initiated into formal models of security policy requirements and of the
2691. mechanisms that would implement and enforce those policy models as a security
2692. kernel.  Prominent among these efforts was the ESD-sponsored development of
2693. the Bell and LaPadula model, an abstract formal treatment of DoD security
2694. policy.[2]  Using mathematics and set theory, the model precisely defines the
2695. notion of secure state, fundamental modes of access, and the rules for
2696. granting subjects specific modes of access to objects.  Finally, a theorem is
2697. proven to demonstrate that the rules are security-preserving operations, so
2698. that the application of any sequence of the rules to a system that is in a
2699. secure state will result in the system entering a new state that is also
2700. secure.  This theorem is known as the Basic Security Theorem.
2701.  
2702. The Bell and LaPadula model defines a relationship between clearances of
2703. subjects and classifications of system objects, now referenced as the
2704. "dominance relation." From this definition, accesses permitted between
2705. subjects and objects are explicitly defined for the fundamental modes of
2706. access, including read-only access, read/write access, and write-only access.
2707. The model defines the Simple Security Condition to control granting a subject
2708. read access to a specific object, and the *-Property (read "Star Property") to
2709. control granting a subject write access to a specific object.  Both the Simple
2710. Security Condition and the *-Property include mandatory security provisions
2711. based on the dominance relation between the clearance of the subject and the
2712. classification of the object.  The Discretionary Security Property is also
2713. defined, and requires that a specific subject be authorized for the particular
2714. mode of access required for the state transition.  In its treatment of
2715. subjects (processes acting on behalf of a user), the model distinguishes
2716. between trusted subjects (i.e., not constrained within the model by the
2717. *-Property) and untrusted subjects (those that are constrained by the
2718. *-Property).
2719.  
2720. From the Bell and LaPadula model there evolved a model of the method of proof
2721. required to formally demonstrate that all arbitrary sequences of state
2722. transitions are security-preserving.  It was also shown that the *- Property
2723. is sufficient to prevent the compromise of information by Trojan Horse
2724. attacks.
2725.  
2726. 6.3  The Trusted Computing Base
2727.  
2728. In order to encourage the widespread commercial availability of trusted
2729. computer systems, these evaluation criteria have been designed to address
2730. those systems in which a security kernel is specifically implemented as well
2731. as those in which a security kernel has not been implemented.  The latter case
2732. includes those systems in which objective (c) is not fully supported because
2733. of the size or complexity of the reference validation mechanism.  For
2734. convenience, these evaluation criteria use the term Trusted Computing Base to
2735. refer to the reference validation mechanism, be it a security kernel,
2736. front-end security filter, or the entire trusted computer system.
2737.  
2738. The heart of a trusted computer system is the Trusted Computing Base (TCB)
2739. which contains all of the elements of the system responsible for supporting
2740. the security policy and supporting the isolation of objects (code and data) on
2741. which the protection is based.  The bounds of the TCB equate to the "security
2742. perimeter" referenced in some computer security literature.  In the interest
2743. of understandable and maintainable protection, a TCB should be as simple as
2744. possible consistent with the functions it has to perform.  Thus, the TCB
2745. includes hardware, firmware, and software critical to protection and must be
2746. designed and implemented such that system elements excluded from it need not
2747. be trusted to maintain protection.  Identification of the interface and
2748. elements of the TCB along with their correct functionality therefore forms the
2749. basis for evaluation.
2750.  
2751. For general-purpose systems, the TCB will include key elements of the
2752. operating system and may include all of the operating system.  For embedded
2753. systems, the security policy may deal with objects in a way that is meaningful
2754. at the application level rather than at the operating system level.  Thus, the
2755. protection policy may be enforced in the application software rather than in
2756. the underlying operating system.  The TCB will necessarily include all those
2757. portions of the operating system and application software essential to the
2758. support of the policy.  Note that, as the amount of code in the TCB increases,
2759. it becomes harder to be confident that the TCB enforces the reference monitor
2760. requirements under all circumstances.
2761.  
2762. 6.4  Assurance
2763.  
2764. The third reference monitor design objective is currently interpreted as
2765. meaning that the TCB "must be of sufficiently simple organization and
2766. complexity to be subjected to analysis and tests, the completeness of which
2767. can be assured."
2768.  
2769. Clearly, as the perceived degree of risk increases (e.g., the range of
2770. sensitivity of the system's protected data, along with the range of clearances
2771. held by the system's user population) for a particular system's operational
2772. application and environment, so also must the assurances be increased to
2773. substantiate the degree of trust that will be placed in the system.  The
2774. hierarchy of requirements that are presented for the evaluation classes in the
2775. trusted computer system evaluation criteria reflect the need for these
2776. assurances.
2777.  
2778. As discussed in Section 5.3, the evaluation criteria uniformly require a
2779. statement of the security policy that is enforced by each trusted computer
2780. system.  In addition, it is required that a convincing argument be presented
2781. that explains why the TCB satisfies the first two design requirements for a
2782. reference monitor.  It is not expected that this argument will be entirely
2783. formal.  This argument is required for each candidate system in order to
2784. satisfy the assurance control objective.
2785.  
2786. The systems to which security enforcement mechanisms have been added, rather
2787. than built-in as fundamental design objectives, are not readily amenable to
2788. extensive analysis since they lack the requisite conceptual simplicity of a
2789. security kernel.  This is because their TCB extends to cover much of the
2790. entire system.  Hence, their degree of trustworthiness can best be ascertained
2791. only by obtaining test results.  Since no test procedure for something as
2792. complex as a computer system can be truly exhaustive, there is always the
2793. possibility that a subsequent penetration attempt could succeed.  It is for
2794. this reason that such systems must fall into the lower evaluation classes.
2795.  
2796. On the other hand, those systems that are designed and engineered to support
2797. the TCB concepts are more amenable to analysis and structured testing.  Formal
2798. methods can be used to analyze the correctness of their reference validation
2799. mechanisms in enforcing the system's security policy.  Other methods,
2800. including less-formal arguments, can be used in order to substantiate claims
2801. for the completeness of their access mediation and their degree of
2802. tamper-resistance.  More confidence can be placed in the results of this
2803. analysis and in the thoroughness of the structured testing than can be placed
2804. in the results for less methodically structured systems.  For these reasons,
2805. it appears reasonable to conclude that these systems could be used in
2806. higher-risk environments.  Successful implementations of such systems would be
2807. placed in the higher evaluation classes.
2808.  
2809. 6.5  The Classes
2810.  
2811. It is highly desirable that there be only a small number of overall evaluation
2812. classes.  Three major divisions have been identified in the evaluation
2813. criteria with a fourth division reserved for those systems that have been
2814. evaluated and found to offer unacceptable security protection.  Within each
2815. major evaluation division, it was found that "intermediate" classes of trusted
2816. system design and development could meaningfully be defined.  These
2817. intermediate classes have been designated in the criteria because they
2818. identify systems that:
2819.  
2820.         * are viewed to offer significantly better protection and assurance
2821.           than would systems that satisfy the basic requirements for their
2822.           evaluation class; and
2823.  
2824.         * there is reason to believe that systems in the intermediate
2825.           evaluation classes could eventually be evolved such that they 
2826.           would satisfy the requirements for the next higher evaluation 
2827.           class.
2828.  
2829. Except within division A it is not anticipated that additional "intermediate"
2830. evaluation classes satisfying the two characteristics described above will be
2831. identified.
2832.  
2833. Distinctions in terms of system architecture, security policy enforcement, and
2834. evidence of credibility between evaluation classes have been defined such that
2835. the "jump" between evaluation classes would require a considerable investment
2836. of effort on the part of implementors.  Correspondingly, there are expected to
2837. be significant differentials of risk to which systems from the higher
2838. evaluation classes will be exposed.
2839.  
2840.  
2841. 7.0  THE RELATIONSHIP BETWEEN POLICY AND THE CRITERIA
2842.  
2843. Section 1 presents fundamental computer security requirements and Section 5
2844. presents the control objectives for Trusted Computer Systems.  They are
2845. general requirements, useful and necessary, for the development of all secure
2846. systems.  However, when designing systems that will be used to process
2847. classified or other sensitive information, functional requirements for meeting
2848. the Control Objectives become more specific.  There is a large body of policy
2849. laid down in the form of Regulations, Directives, Presidential Executive
2850. Orders, and OMB Circulars that form the basis of the procedures for the
2851. handling and processing of Federal information in general and classified
2852. information specifically.  This section presents pertinent excerpts from these
2853. policy statements and discusses their relationship to the Control Objectives.
2854.  
2855.  
2856. 7.1  Established Federal Policies
2857.  
2858. A significant number of computer security policies and associated requirements
2859. have been promulgated by Federal government elements.  The interested reader
2860. is referred to reference [32] which analyzes the need for trusted systems in
2861. the civilian agencies of the Federal government, as well as in state and local
2862. governments and in the private sector.  This reference also details a number
2863. of relevant Federal statutes, policies and requirements not treated further
2864. below.
2865.  
2866. Security guidance for Federal automated information systems is provided by the
2867. Office of Management and Budget.  Two specifically applicable Circulars have
2868. been issued.  OMB Circular No.  A-71, Transmittal Memorandum No.  1, "Security
2869. of Federal Automated Information Systems,"[26] directs each executive agency
2870. to establish and maintain a computer security program.  It makes the head of
2871. each executive branch, department and agency responsible "for assuring an
2872. adequate level of security for all agency data whether processed in-house or
2873. commercially.  This includes responsibility for the establishment of physical,
2874. administrative and technical safeguards required to adequately protect
2875. personal, proprietary or other sensitive data not subject to national security
2876. regulations, as well as national security data."[26, para. 4 p. 2]
2877.  
2878. OMB Circular No.  A-123, "Internal Control Systems,"[27] issued to help
2879. eliminate fraud, waste, and abuse in government programs requires: (a) agency
2880. heads to issue internal control directives and assign responsibility, (b)
2881. managers to review programs for vulnerability, and (c) managers to perform
2882. periodic reviews to evaluate strengths and update controls.  Soon after
2883. promulgation of OMB Circular A-123, the relationship of its internal control
2884. requirements to building secure computer systems was recognized.[4] While not
2885. stipulating computer controls specifically, the definition of Internal
2886. Controls in A-123 makes it clear that computer systems are to be included:
2887.  
2888.      "Internal Controls - The plan of organization and all of the methods and
2889.       measures adopted within an agency to safeguard its resources, assure the
2890.       accuracy and reliability of its information, assure adherence to 
2891.       applicable laws, regulations and policies, and promote operational 
2892.       economy and efficiency."[27, sec. 4.C]
2893.  
2894. The matter of classified national security information processed by ADP
2895. systems was one of the first areas given serious and extensive concern in
2896. computer security.  The computer security policy documents promulgated as a
2897. result contain generally more specific and structured requirements than most,
2898. keyed in turn to an authoritative basis that itself provides a rather clearly
2899. articulated and structured information security policy.  This basis, Executive
2900. Order 12356, "National Security Information," sets forth requirements for the
2901. classification, declassification and safeguarding of "national security
2902. information" per se.[14]
2903.  
2904. 7.2  DoD Policies
2905.  
2906. Within the Department of Defense, these broad requirements are implemented and
2907. further specified primarily through two vehicles: 1) DoD Regulation 5200.1-R
2908. [7], which applies to all components of the DoD as such, and 2) DoD 5220.22-M,
2909. "Industrial Security Manual for Safeguarding Classified Information" [11],
2910. which applies to contractors included within the Defense Industrial Security
2911. Program.  Note that the latter transcends DoD as such, since it applies not
2912. only to any contractors handling classified information for any DoD component,
2913. but also to the contractors of eighteen other Federal organizations for whom
2914. the Secretary of Defense is authorized to act in rendering industrial security
2915. services.*
2916.  
2917.            ____________________________________________________________
2918.            * i.e., NASA, Commerce Department, GSA, State Department,
2919.            Small Business Administration, National Science Foundation,
2920.            Treasury Department, Transportation Department, Interior
2921.            Department, Agriculture Department, Health and Human
2922.            Services Department, Labor Department, Environmental
2923.            Protection Agency, Justice Department, U.S. Arms Control and
2924.            Disarmament Agency, Federal Emergency Management Agency,
2925.            Federal Reserve System, and U.S. General Accounting Office.
2926.            ____________________________________________________________
2927.  
2928.  
2929. For ADP systems, these information security requirements are further amplified
2930. and specified in: 1) DoD Directive 5200.28 [8] and DoD Manual 5200.28-M [9],
2931. for DoD components; and 2) Section XIII of DoD 5220.22-M [11] for contractors.
2932. DoD Directive 5200.28, "Security Requirements for Automatic Data Processing
2933. (ADP) Systems," stipulates: "Classified material contained in an ADP system
2934. shall be safeguarded by the continuous employment of protective features in
2935. the system's hardware and software design and configuration .  .  .  ."[8,
2936. sec.  IV] Furthermore, it is required that ADP systems that "process, store,
2937. or use classified data and produce classified information will, with
2938. reasonable dependability, prevent:
2939.  
2940.      a.  Deliberate or inadvertent access to classified material by
2941.          unauthorized persons, and
2942.  
2943.      b.  Unauthorized manipulation of the computer and its associated
2944.          peripheral devices."[8, sec. I B.3]
2945.  
2946. Requirements equivalent to these appear within DoD 5200.28-M [9] and in DoD
2947. 5220.22-M [11].
2948.  
2949. From requirements imposed by these regulations, directives and circulars, the
2950. three components of the Security Policy Control Objective, i.e., Mandatory and
2951. Discretionary Security and Marking, as well as the Accountability and
2952. Assurance Control Objectives, can be functionally defined for DoD
2953. applications.  The following discussion provides further specificity in Policy
2954. for these Control Objectives.
2955.  
2956. 7.3  Criteria Control Objective for Security Policy
2957.  
2958.      7.3.1  Marking
2959.  
2960.           The control objective for marking is: "Systems that are designed
2961.           to enforce a mandatory security policy must store and preserve the
2962.           integrity of classification or other sensitivity labels for all 
2963.           information.  Labels exported from the system must be accurate 
2964.           representations of the corresonding internal sensitivity labels
2965.           being exported."
2966.  
2967.           DoD 5220.22-M, "Industrial Security Manual for Safeguarding
2968.           Classified Information," explains in paragraph 11 the reasons for 
2969.           marking information:
2970.  
2971.                "Designation by physical marking, notation or other means
2972.                serves to inform and to warn the holder about the 
2973.                classification designation of the information which requires
2974.                protection in the interest of national security.  The degree
2975.                of protection against unauthorized disclosure which will be
2976.                required for a particular level of classification is directly
2977.                commensurate with the marking designation which is assigned 
2978.                to the material."[11]
2979.  
2980.           Marking requirements are given in a number of policy statements.
2981.  
2982.           Executive Order 12356 (Sections 1.5.a and 1.5.a.1) requires that
2983.           classification markings "shall be shown on the face of all 
2984.           classified documents, or clearly associated with other forms of 
2985.           classified information in a manner appropriate to the medium 
2986.           involved."[14]
2987.  
2988.           DoD Regulation 5200.1-R (Section 1-500) requires that: ".  .  .
2989.           information or material that requires protection against 
2990.           unauthorized disclosure in the interest of national security shall
2991.           be classified in one of three designations, namely: 'Top Secret,'
2992.           'Secret' or 'Confidential.'"[7] (By extension, for use in computer
2993.           processing, the unofficial designation "Unclassified" is used to
2994.           indicate information that does not fall under one of the other
2995.           three designations of classified information.)
2996.  
2997.           DoD Regulation 5200.1-R (Section 4-304b) requires that: "ADP
2998.           systems and word processing systems employing such media shall 
2999.           provide for internal classification marking to assure that 
3000.           classified information contained therein that is reproduced or 
3001.           generated, will bear applicable classification and associated
3002.           markings." (This regulation provides for the exemption of certain
3003.           existing systems where "internal classification and applicable
3004.           associated markings cannot be implemented without extensive system
3005.           modifications."[7]  However, it is clear that future DoD ADP 
3006.           systems must be able to provide applicable and accurate labels for
3007.           classified and other sensitive information.)
3008.  
3009.           DoD Manual 5200.28-M (Section IV, 4-305d) requires the following:
3010.           "Security Labels - All classified material accessible by or within
3011.           the ADP system shall be identified as to its security 
3012.           classification and access or dissemination limitations, and all
3013.           output of the ADP system shall be appropriately marked."[9]
3014.  
3015.      7.3.2  Mandatory Security
3016.  
3017.           The control objective for mandatory security is: "Security
3018.           policies defined for systems that are used to process classified
3019.           or other specifically categorized sensitive information must 
3020.           include provisions for the enforcement of mandatory access control
3021.           rules.  That is, they must include a set of rules for controlling
3022.           access based directly on a comparison of the individual's
3023.           clearance or authorization for the information and the 
3024.           classification or sensitivity designation of the information being
3025.           sought, and indirectly on considerations of physical and other 
3026.           environmental factors of control.  The mandatory access control
3027.           rules must accurately reflect the laws, regulations, and general
3028.           policies from which they are derived."
3029.  
3030.           There are a number of policy statements that are related to
3031.           mandatory security.
3032.  
3033.           Executive Order 12356 (Section 4.1.a) states that "a person is
3034.           eligible for access to classified information provided that a 
3035.           determination of trustworthiness has been made by agency heads or
3036.           designated officials and provided that such access is essential
3037.           to the accomplishment of lawful and authorized Government
3038.           purposes."[14]
3039.  
3040.           DoD Regulation 5200.1-R (Chapter I, Section 3) defines a Special
3041.           Access Program as "any program imposing 'need-to-know' or access
3042.           controls beyond those normally provided for access to 
3043.           Confidential, Secret, or Top Secret information.  Such a program
3044.           includes, but is not limited to, special clearance, adjudication,
3045.           or investigative requirements, special designation of officials
3046.           authorized to determine 'need-to-know', or special lists of persons
3047.           determined to have a 'need-to- know.'"[7, para.  1-328] This
3048.           passage distinguishes between a 'discretionary' determination of
3049.           need-to-know and formal need-to-know which is implemented through
3050.           Special Access Programs.  DoD Regulation 5200.1-R, paragraph 7-100
3051.           describes general requirements for trustworthiness (clearance) and
3052.           need-to-know, and states that the individual with possession,
3053.           knowledge or control of classified information has final
3054.           responsibility for determining if conditions for access have been
3055.           met.  This regulation further stipulates that "no one has a right
3056.           to have access to classified information solely by virtue of rank
3057.           or position." [7, para. 7-100])
3058.  
3059.           DoD Manual 5200.28-M (Section II 2-100) states that, "Personnel
3060.           who develop, test (debug), maintain, or use programs which are 
3061.           classified or which will be used to access or develop classified
3062.           material shall have a personnel security clearance and an access
3063.           authorization (need-to-know), as appropriate for the highest
3064.           classified and most restrictive category of classified material
3065.           which they will access under system constraints."[9]
3066.  
3067.           DoD Manual 5220.22-M (Paragraph 3.a) defines access as "the
3068.           ability and opportunity to obtain knowledge of classified 
3069.           information.  An individual, in fact, may have access to 
3070.           classified information by being in a place where such information
3071.           is kept, if the security measures which are in force do not
3072.           prevent him from gaining knowledge of the classified 
3073.           information."[11]
3074.  
3075.           The above mentioned Executive Order, Manual, Directives and
3076.           Regulations clearly imply that a trusted computer system must 
3077.           assure that the classification labels associated with sensitive
3078.           data cannot be arbitrarily changed, since this could permit
3079.           individuals who lack the appropriate clearance to access
3080.           classified information.  Also implied is the requirement that a
3081.           trusted computer system must control the flow of information so 
3082.           that data from a higher classification cannot be placed in a 
3083.           storage object of lower classification unless its "downgrading" 
3084.           has been authorized.
3085.  
3086.      7.3.3  Discretionary Security
3087.  
3088.           The term discretionary security refers to a computer system's
3089.           ability to control information on an individual basis.  It stems
3090.           from the fact that even though an individual has all the formal 
3091.           clearances for access to specific classified information, each
3092.           individual's access to information must be based on a demonstrated
3093.           need-to-know.  Because of this, it must be made clear that this
3094.           requirement is not discretionary in a "take it or leave it" sense.
3095.           The directives and regulations are explicit in stating that the
3096.           need-to-know test must be satisfied before access can be granted 
3097.           to the classified information.  The control objective for 
3098.           discretionary security is: "Security policies defined for systems
3099.           that are used to process classified or other sensitive information
3100.           must include provisions for the enforcement of discretionary
3101.           access control rules.  That is, they must include a consistent set
3102.           of rules for controlling and limiting access based on identified
3103.           individuals who have been determined to have a need-to-know for the
3104.           information."
3105.  
3106.           DoD Regulation 5200.1-R (Paragraph 7-100) In addition to excerpts
3107.           already provided that touch on need-to- know, this section of the
3108.           regulation stresses the need- to-know principle when it states "no
3109.           person may have access to classified information unless .  .  .  
3110.           access is necessary for the performance of official duties."[7]
3111.  
3112.           Also, DoD Manual 5220.22-M (Section III 20.a) states that "an
3113.           individual shall be permitted to have access to classified
3114.           information only . . . when the contractor determines that access
3115.           is necessary in the performance of tasks or services essential to
3116.           the fulfillment of a contract or program, i.e., the individual has
3117.           a need-to-know."[11]
3118.  
3119. 7.4  Criteria Control Objective for Accountability
3120.  
3121.      The control objective for accountability is: "Systems that are used to
3122.      process or handle classified or other sensitive information must assure
3123.      individual accountability whenever either a mandatory or discretionary
3124.      security policy is invoked.  Furthermore, to assure accountability the
3125.      capability must exist for an authorized and competent agent to access and
3126.      evaluate accountability information by a secure means, within a reasonable
3127.      amount of time, and without undue difficulty."
3128.  
3129.      This control objective is supported by the following citations:
3130.  
3131.      DoD Directive 5200.28 (VI.A.1) states: "Each user's identity shall be
3132.      positively established, and his access to the system, and his activity in
3133.      the system (including material accessed and actions taken) controlled and
3134.      open to scrutiny."[8]
3135.  
3136.      DoD Manual 5200.28-M (Section V 5-100) states: "An audit log or file
3137.      (manual, machine, or a combination of both) shall be maintained as a 
3138.      history of the use of the ADP System to permit a regular security review
3139.      of system activity.  (e.g., The log should record security related 
3140.      transactions, including each access to a classified file and the nature 
3141.      of the access, e.g., logins, production of accountable classified 
3142.      outputs, and creation of new classified files.  Each classified file
3143.      successfully accessed [regardless of the number of individual references]
3144.      during each 'job' or 'interactive session' should also be recorded in the
3145.      audit log.  Much of the material in this log may also be required to 
3146.      assure that the system preserves information entrusted to it.)"[9]
3147.  
3148.      DoD Manual 5200.28-M (Section IV 4-305f) states: "Where needed to assure
3149.      control of access and individual accountability, each user or specific 
3150.      group of users shall be identified to the ADP System by appropriate 
3151.      administrative or hardware/software measures.  Such identification 
3152.      measures must be in sufficient detail to enable the ADP System to provide
3153.      the user only that material which he is authorized."[9]
3154.  
3155.      DoD Manual 5200.28-M (Section I 1-102b) states: 
3156.  
3157.         "Component's Designated Approving Authorities, or their designees
3158.          for this purpose .  .  .  will assure:
3159.  
3160.                  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3161.  
3162.            (4) Maintenance of documentation on operating systems (O/S)
3163.            and all modifications thereto, and its retention for a
3164.            sufficient period of time to enable tracing of security-
3165.            related defects to their point of origin or inclusion in the
3166.            system.
3167.  
3168.                  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3169.  
3170.            (6) Establishment of procedures to discover, recover,
3171.            handle, and dispose of classified material improperly
3172.            disclosed through system malfunction or personnel action.
3173.  
3174.            (7) Proper disposition and correction of security
3175.            deficiencies in all approved ADP Systems, and the effective
3176.            use and disposition of system housekeeping or audit records,
3177.            records of security violations or security-related system
3178.            malfunctions, and records of tests of the security features
3179.            of an ADP System."[9]
3180.  
3181.      DoD Manual 5220.22-M (Section XIII 111) states: "Audit Trails
3182.  
3183.            a. The general security requirement for any ADP system audit
3184.            trail is that it provide a documented history of the use of
3185.            the system.  An approved audit trail will permit review of
3186.            classified system activity and will provide a detailed
3187.            activity record to facilitate reconstruction of events to
3188.            determine the magnitude of compromise (if any) should a
3189.            security malfunction occur.  To fulfill this basic
3190.            requirement, audit trail systems, manual, automated or a
3191.            combination of both must document significant events
3192.            occurring in the following areas of concern: (i) preparation
3193.            of input data and dissemination of output data (i.e.,
3194.            reportable interactivity between users and system support
3195.            personnel), (ii) activity involved within an ADP environment
3196.            (e.g., ADP support personnel modification of security and
3197.            related controls), and (iii) internal machine activity.
3198.  
3199.            b. The audit trail for an ADP system approved to process
3200.            classified information must be based on the above three
3201.            areas and may be stylized to the particular system.  All
3202.            systems approved for classified processing should contain
3203.            most if not all of the audit trail records listed below. The
3204.            contractor's SPP documentation must identify and describe
3205.            those applicable:
3206.  
3207.                       1. Personnel access;
3208.  
3209.                       2. Unauthorized and surreptitious entry into the
3210.            central computer facility or remote terminal areas;
3211.  
3212.                       3. Start/stop time of classified processing indicating
3213.            pertinent systems security initiation and termination events
3214.            (e.g., upgrading/downgrading actions pursuant to paragraph
3215.            107);
3216.  
3217.                       4. All functions initiated by ADP system console
3218.            operators;
3219.  
3220.                       5. Disconnects of remote terminals and peripheral
3221.            devices (paragraph 107c);
3222.  
3223.                       6. Log-on and log-off user activity;
3224.  
3225.                       7. Unauthorized attempts to access files or programs,
3226.            as well as all open, close, create, and file destroy
3227.            actions;
3228.  
3229.                       8. Program aborts and anomalies including
3230.            identification information (i.e., user/program name, time
3231.            and location of incident, etc.);
3232.  
3233.                       9. System hardware additions, deletions and maintenance
3234.            actions;
3235.  
3236.                       10. Generations and modifications affecting the
3237.            security features of the system software.
3238.  
3239.            c. The ADP system security supervisor or designee shall
3240.            review the audit trail logs at least weekly to assure that
3241.            all pertinent activity is properly recorded and that
3242.            appropriate action has been taken to correct any anomaly.
3243.            The majority of ADP systems in use today can develop audit
3244.            trail systems in accord with the above; however, special
3245.            systems such as weapons, communications, communications
3246.            security, and tactical data exchange and display systems,
3247.            may not be able to comply with all aspects of the above and
3248.            may require individualized consideration by the cognizant
3249.            security office.
3250.  
3251.            d. Audit trail records shall be retained for a period of one
3252.            inspection cycle."[11]
3253.  
3254. 7.5  Criteria Control Objective for Assurance
3255.  
3256.      The control objective for assurance is: "Systems that are used to process
3257.      or handle classified or other sensitive information must be designed to
3258.      guarantee correct and accurate interpretation of the security policy and
3259.      must not distort the intent of that policy.  Assurance must be provided
3260.      that correct implementation and operation of the policy exists throughout
3261.      the system's life-cycle."
3262.  
3263.      A basis for this objective can be found in the following sections of DoD
3264.      Directive 5200.28:
3265.  
3266.      DoD Directive 5200.28 (IV.B.1) stipulates: "Generally, security of an ADP
3267.      system is most effective and economical if the system is designed 
3268.      originally to provide it.  Each Department of Defense Component 
3269.      undertaking design of an ADP system which is expected to process, store,
3270.      use, or produce classified material shall:  From the beginning of the 
3271.      design process, consider the security policies, concepts, and measures
3272.      prescribed in this Directive."[8]
3273.  
3274.      DoD Directive 5200.28 (IV.C.5.a) states: "Provision may be made to permit
3275.      adjustment of ADP system area controls to the level of protection 
3276.      required for the classification category and type(s) of material actually
3277.      being handled by the system, provided change procedures are developed and
3278.      implemented which will prevent both the unauthorized access to classified
3279.      material handled by the system and the unauthorized manipulation of the
3280.      system and its components.  Particular attention shall be given to the
3281.      continuous protection of automated system security measures, techniques
3282.      and procedures when the personnel security clearance level of users
3283.      having access to the system changes."[8]
3284.  
3285.      DoD Directive 5200.28 (VI.A.2) states: "Environmental Control.  The ADP
3286.      System shall be externally protected to minimize the likelihood of
3287.      unauthorized access to system entry points, access to classified 
3288.      information in the system, or damage to the system."[8]
3289.  
3290.      DoD Manual 5200.28-M (Section I 1-102b) states: 
3291.  
3292.         "Component's Designated Approving Authorities, or their designees
3293.         for this purpose .  .  .  will assure:
3294.  
3295.                   .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3296.  
3297.               (5) Supervision, monitoring, and testing, as appropriate, of
3298.           changes in an approved ADP System which could affect the
3299.           security features of the system, so that a secure system is
3300.           maintained.
3301.  
3302.                   .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3303.  
3304.               (7) Proper disposition and correction of security
3305.           deficiencies in all approved ADP Systems, and the effective
3306.           use and disposition of system housekeeping or audit records,
3307.           records of security violations or security-related system
3308.           malfunctions, and records of tests of the security features
3309.           of an ADP System.
3310.  
3311.               (8) Conduct of competent system ST&E, timely review of
3312.           system ST&E reports, and correction of deficiencies needed
3313.           to support conditional or final approval or disapproval of
3314.           an ADP System for the processing of classified information.
3315.  
3316.               (9) Establishment, where appropriate, of a central ST&E
3317.           coordination point for the maintenance of records of
3318.           selected techniques, procedures, standards, and tests used
3319.           in the testing and evaluation of security features of ADP
3320.           Systems which may be suitable for validation and use by
3321.           other Department of Defense Components."[9]
3322.  
3323.      DoD Manual 5220.22-M (Section XIII 103a) requires: "the initial approval,
3324.      in writing, of the cognizant security office prior to processing any
3325.      classified information in an ADP system.  This section requires 
3326.      reapproval by the cognizant security office for major system 
3327.      modifications made subsequent to initial approval.  Reapprovals will be 
3328.      required because of (i) major changes in personnel access requirements,
3329.      (ii) relocation or structural modification of the central computer
3330.      facility, (iii) additions, deletions or changes to main frame, storage or
3331.      input/output devices, (iv) system software changes impacting security
3332.      protection features, (v) any change in clearance, declassification, audit
3333.      trail or hardware/software maintenance procedures, and (vi) other system
3334.      changes as determined by the cognizant security office."[11]
3335.  
3336.      A major component of assurance, life-cycle assurance, is concerned with
3337.      testing ADP systems both in the development phase as well as during 
3338.      operation.  DoD Directive 5215.1 (Section F.2.C.(2)) requires 
3339.      "evaluations of selected industry and government-developed trusted 
3340.      computer systems against these criteria."[10]
3341.  
3342.  
3343.  
3344. 8.0  A GUIDELINE ON COVERT CHANNELS
3345.  
3346. A covert channel is any communication channel that can be exploited by a
3347. process to transfer information in a manner that violates the system's
3348. security policy.  There are two types of covert channels: storage channels and
3349. timing channels.  Covert storage channels include all vehicles that would
3350. allow the direct or indirect writing of a storage location by one process and
3351. the direct or indirect reading of it by another.  Covert timing channels
3352. include all vehicles that would allow one process to signal information to
3353. another process by modulating its own use of system resources in such a way
3354. that the change in response time observed by the second process would provide
3355. information.
3356.  
3357. From a security perspective, covert channels with low bandwidths represent a
3358. lower threat than those with high bandwidths.  However, for many types of
3359. covert channels, techniques used to reduce the bandwidth below a certain rate
3360. (which depends on the specific channel mechanism and the system architecture)
3361. also have the effect of degrading the performance provided to legitimate
3362. system users.  Hence, a trade-off between system performance and covert
3363. channel bandwidth must be made.  Because of the threat of compromise that
3364. would be present in any multilevel computer system containing classified or
3365. sensitive information, such systems should not contain covert channels with
3366. high bandwidths.  This guideline is intended to provide system developers with
3367. an idea of just how high a "high" covert channel bandwidth is.
3368.  
3369. A covert channel bandwidth that exceeds a rate of one hundred (100) bits per
3370. second is considered "high" because 100 bits per second is the approximate
3371. rate at which many computer terminals are run.  It does not seem appropriate
3372. to call a computer system "secure" if information can be compromised at a rate
3373. equal to the normal output rate of some commonly used device.
3374.  
3375. In any multilevel computer system there are a number of relatively
3376. low-bandwidth covert channels whose existence is deeply ingrained in the
3377. system design.  Faced with the large potential cost of reducing the bandwidths
3378. of such covert channels, it is felt that those with maximum bandwidths of less
3379. than one (1) bit per second are acceptable in most application environments.
3380. Though maintaining acceptable performance in some systems may make it
3381. impractical to eliminate all covert channels with bandwidths of 1 or more bits
3382. per second, it is possible to audit their use without adversely affecting
3383. system performance.  This audit capability provides the system administration
3384. with a means of detecting -- and procedurally correcting -- significant
3385. compromise.  Therefore, a Trusted Computing Base should provide, wherever
3386. possible, the capability to audit the use of covert channel mechanisms with
3387. bandwidths that may exceed a rate of one (1) bit in ten (10) seconds.
3388.  
3389. The covert channel problem has been addressed by a number of authors.  The
3390. interested reader is referred to references [5], [6], [19], [21], [22], [23],
3391. and [29].
3392.  
3393.  
3394.  
3395. 9.0  A GUIDELINE ON CONFIGURING MANDATORY ACCESS CONTROL FEATURES
3396.  
3397. The Mandatory Access Control requirement includes a capability to support an
3398. unspecified number of hierarchical classifications and an unspecified number
3399. of non-hierarchical categories at each hierarchical level.  To encourage
3400. consistency and portability in the design and development of the National
3401. Security Establishment trusted computer systems, it is desirable for all such
3402. systems to be able to support a minimum number of levels and categories.  The
3403. following suggestions are provided for this purpose:
3404.  
3405.      * The number of hierarchical classifications should be greater than or
3406.        equal to eight (8).
3407.  
3408.      * The number of non-hierarchical categories should be greater than or
3409.        equal to twenty-nine (29).
3410.  
3411.  
3412.  
3413. 10.0  A GUIDELINE ON SECURITY TESTING
3414.  
3415. These guidelines are provided to give an indication of the extent and
3416. sophistication of testing undertaken by the DoD Computer Security Center
3417. during the Formal Product Evaluation process.  Organizations wishing to use
3418. "Department of Defense Trusted Computer System Evaluation Criteria" for
3419. performing their own evaluations may find this section useful for planning
3420. purposes.
3421.  
3422. As in Part I, highlighting is used to indicate changes in the guidelines from
3423. the next lower division.
3424.  
3425. 10.1  Testing for Division C
3426.  
3427.      10.1.1   Personnel
3428.  
3429.             The security testing team shall consist of at least two
3430.             individuals with bachelor degrees in Computer Science or the
3431.             equivalent.  Team members shall be able to follow test plans
3432.             prepared by the system developer and suggest additions, shall
3433.             be familiar with the "flaw hypothesis" or equivalent security
3434.             testing methodology, and shall have assembly level programming
3435.             experience.  Before testing begins, the team members shall have
3436.             functional knowledge of, and shall have completed the system 
3437.             developer's internals course for, the system being evaluated.
3438.  
3439.      10.1.2   Testing
3440.  
3441.             The team shall have "hands-on" involvement in an independent run
3442.             of the tests used by the system developer.  The team shall 
3443.             independently design and implement at least five system-specific
3444.             tests in an attempt to circumvent the security mechanisms of the
3445.             system.  The elapsed time devoted to testing shall be at least
3446.             one month and need not exceed three months.  There shall be no
3447.             fewer than twenty hands-on hours spent carrying out system
3448.             developer-defined tests and test team-defined tests.
3449.  
3450. 10.2  Testing for Division B
3451.  
3452.      10.2.1   Personnel
3453.  
3454.             The security testing team shall consist of at least two
3455.             individuals with bachelor degrees in Computer Science or the 
3456.             equivalent and at least one individual with a master's degree in
3457.             Computer Science or equivalent.  Team members shall be able to
3458.             follow test plans prepared by the system developer and suggest
3459.             additions, shall be conversant with the "flaw hypothesis" or
3460.             equivalent security testing methodology, shall be fluent in the
3461.             TCB implementation language(s), and shall have assembly level 
3462.             programming experience.  Before testing begins, the team members
3463.             shall have functional knowledge of, and shall have completed the
3464.             system developer's internals course for, the system being
3465.             evaluated.  At least one team member shall have previously
3466.             completed a security test on another system.
3467.  
3468.      10.2.2   Testing
3469.  
3470.             The team shall have "hands-on" involvement in an independent run
3471.             of the test package used by the system developer to test 
3472.             security-relevant hardware and software.  The team shall
3473.             independently design and implement at least fifteen system-
3474.             specific tests in an attempt to circumvent the security
3475.             mechanisms of the system.  The elapsed time devoted to testing 
3476.             shall be at least two months and need not exceed four months.  
3477.             There shall be no fewer than thirty hands-on hours per team
3478.             member spent carrying out system developer-defined tests and
3479.             test team-defined tests.
3480.  
3481. 10.3  Testing for Division A
3482.  
3483.      10.3.1   Personnel
3484.  
3485.             The security testing team shall consist of at least one
3486.             individual with a bachelor's degree in Computer Science or the 
3487.             equivalent and at least two individuals with masters' degrees in
3488.             Computer Science or equivalent.  Team members shall be able to 
3489.             follow test plans prepared by the system developer and suggest
3490.             additions, shall be conversant with the "flaw hypothesis" or
3491.             equivalent security testing methodology, shall be fluent in the
3492.             TCB implementation language(s), and shall have assembly level 
3493.             programming experience.  Before testing begins, the team members
3494.             shall have functional knowledge of, and shall have completed the
3495.             system developer's internals course for, the system being
3496.             evaluated.  At least one team member shall be familiar enough
3497.             with the system hardware to understand the maintenance diagnostic
3498.             programs and supporting hardware documentation.  At least two 
3499.             team members shall have previously completed a security test on
3500.             another system.  At least one team member shall have 
3501.             demonstrated system level programming competence on the system
3502.             under test to a level of complexity equivalent to adding a device
3503.             driver to the system.
3504.  
3505.      10.3.2   Testing
3506.  
3507.             The team shall have "hands-on" involvement in an independent run
3508.             of the test package used by the system developer to test 
3509.             security-relevant hardware and software.  The team shall 
3510.             independently design and implement at least twenty-five system-
3511.             specific tests in an attempt to circumvent the security
3512.             mechanisms of the system.  The elapsed time devoted to testing 
3513.             shall be at least three months and need not exceed six months.  
3514.             There shall be no fewer than fifty hands-on hours per team 
3515.             member spent carrying out system developer-defined tests and
3516.             test team-defined tests.
3517.  
3518.  
3519.  
3520.  
3521.                                     APPENDIX A
3522.  
3523.                      Commercial Product Evaluation Process
3524.  
3525.  
3526. "Department of Defense Trusted Computer System Evaluation Criteria" forms the
3527. basis upon which the Computer Security Center will carry out the commercial
3528. computer security evaluation process.  This process is focused on commercially
3529. produced and supported general-purpose operating system products that meet the
3530. needs of government departments and agencies.  The formal evaluation is aimed
3531. at "off-the-shelf" commercially supported products and is completely divorced
3532. from any consideration of overall system performance, potential applications,
3533. or particular processing environments.  The evaluation provides a key input to
3534. a computer system security approval/accreditation.  However, it does not
3535. constitute a complete computer system security evaluation.  A complete study
3536. (e.g., as in reference [18]) must consider additional factors dealing with the
3537. system in its unique environment, such as it's proposed security mode of
3538. operation, specific users, applications, data sensitivity, physical and
3539. personnel security, administrative and procedural security, TEMPEST, and
3540. communications security.
3541.  
3542. The product evaluation process carried out by the Computer Security Center has
3543. three distinct elements:
3544.  
3545.      * Preliminary Product Evaluation - An informal dialogue between a vendor
3546.        and the Center in which technical information is exchanged to create a
3547.        common understanding of the vendor's product, the criteria, and the 
3548.        rating that may be expected to result from a formal product evaluation.
3549.  
3550.      * Formal Product Evaluation - A formal evaluation, by the Center, of a
3551.        product that is available to the DoD, and that results in that product
3552.        and its assigned rating being placed on the Evaluated Products List.
3553.  
3554.      * Evaluated Products List - A list of products that have been subjected
3555.        to formal product evaluation and their assigned ratings.
3556.  
3557.  
3558. PRELIMINARY PRODUCT EVALUATION
3559.  
3560. Since it is generally very difficult to add effective security measures late
3561. in a product's life cycle, the Center is interested in working with system
3562. vendors in the early stages of product design.  A preliminary product
3563. evaluation allows the Center to consult with computer vendors on computer
3564. security issues found in products that have not yet been formally announced.
3565.  
3566. A preliminary evaluation is typically initiated by computer system vendors who
3567. are planning new computer products that feature security or major
3568. security-related upgrades to existing products.  After an initial meeting
3569. between the vendor and the Center, appropriate non-disclosure agreements are
3570. executed that require the Center to maintain the confidentiality of any
3571. proprietary information disclosed to it.  Technical exchange meetings follow
3572. in which the vendor provides details about the proposed product (particularly
3573. its internal designs and goals) and the Center provides expert feedback to the
3574. vendor on potential computer security strengths and weaknesses of the vendor's
3575. design choices, as well as relevant interpretation of the criteria.  The
3576. preliminary evaluation is typically terminated when the product is completed
3577. and ready for field release by the vendor.  Upon termination, the Center
3578. prepares a wrap-up report for the vendor and for internal distribution within
3579. the Center.  Those reports containing proprietary information are not
3580. available to the public.
3581.  
3582. During preliminary evaluation, the vendor is under no obligation to actually
3583. complete or market the potential product.  The Center is, likewise, not
3584. committed to conduct a formal product evaluation.  A preliminary evaluation
3585. may be terminated by either the Center or the vendor when one notifies the
3586. other, in writing, that it is no longer advantageous to continue the
3587. evaluation.
3588.  
3589.  
3590. FORMAL PRODUCT EVALUATION
3591.  
3592. The formal product evaluation provides a key input to certification of a
3593. computer system for use in National Security Establishment applications and is
3594. the sole basis for a product being placed on the Evaluated Products List.
3595.  
3596. A formal product evaluation begins with a request by a vendor for the Center
3597. to evaluate a product for which the product itself and accompanying
3598. documentation needed to meet the requirements defined by this publication are
3599. complete.  Non-disclosure agreements are executed and a formal product
3600. evaluation team is formed by the Center.  An initial meeting is then held with
3601. the vendor to work out the schedule for the formal evaluation.  Since testing
3602. of the implemented product forms an important part of the evaluation process,
3603. access by the evaluation team to a working version of the system is negotiated
3604. with the vendor.  Additional support required from the vendor includes
3605. complete design documentation, source code, and access to vendor personnel who
3606. can answer detailed questions about specific portions of the product.  The
3607. evaluation team tests the product against each requirement, making any
3608. necessary interpretations of the criteria with respect to the product being
3609. evaluated.
3610.  
3611. The evaluation team writes a two-part final report on their findings about the
3612. system.  The first part is publicly available (containing no proprietary
3613. information) and contains the overall class rating assigned to the system and
3614. the details of the evaluation team's findings when comparing the product
3615. against the evaluation criteria.  The second part of the evaluation report
3616. contains vulnerability analyses and other detailed information supporting the
3617. rating decision.  Since this part may contain proprietary or other sensitive
3618. information it will be distributed only within the U.S.  Government on a
3619. strict need-to-know and non- disclosure basis, and to the vendor.  No portion
3620. of the evaluation results will be withheld from the vendor.
3621.  
3622.  
3623.  
3624.  
3625.  
3626.  
3627.  
3628.                                    APPENDIX B
3629.  
3630.                    Summary of Evaluation Criteria Divisions
3631.  
3632. The divisions of systems recognized under the trusted computer system
3633. evaluation criteria are as follows.  Each division represents a major
3634. improvement in the overall confidence one can place in the system to protect
3635. classified and other sensitive information.
3636.  
3637. Division (D):  Minimal Protection
3638.  
3639. This division contains only one class.  It is reserved for those systems that
3640. have been evaluated but that fail to meet the requirements for a higher
3641. evaluation class.
3642.  
3643. Division (C):  Discretionary Protection
3644.  
3645. Classes in this division provide for discretionary (need-to-know) protection
3646. and, through the inclusion of audit capabilities, for accountability of
3647. subjects and the actions they initiate.
3648.  
3649. Division (B):  Mandatory Protection
3650.  
3651. The notion of a TCB that preserves the integrity of sensitivity labels and
3652. uses them to enforce a set of mandatory access control rules is a major
3653. requirement in this division.  Systems in this division must carry the
3654. sensitivity labels with major data structures in the system.  The system
3655. developer also provides the security policy model on which the TCB is based
3656. and furnishes a specification of the TCB.  Evidence must be provided to
3657. demonstrate that the reference monitor concept has been implemented.
3658.  
3659. Division (A):  Verified Protection
3660.  
3661. This division is characterized by the use of formal security verification
3662. methods to assure that the mandatory and discretionary security controls
3663. employed in the system can effectively protect classified or other sensitive
3664. information stored or processed by the system.  Extensive documentation is
3665. required to demonstrate that the TCB meets the security requirements in all
3666. aspects of design, development and implementation.
3667.  
3668.  
3669.  
3670.  
3671.  
3672.                                    APPENDIX C
3673.  
3674.                     Summary of Evaluation Criteria Classes
3675.  
3676. The classes of systems recognized under the trusted computer system evaluation
3677. criteria are as follows.  They are presented in the order of increasing
3678. desirablity from a computer security point of view.
3679.  
3680. Class (D):  Minimal Protection
3681.  
3682. This class is reserved for those systems that have been evaluated but that
3683. fail to meet the requirements for a higher evaluation class.
3684.  
3685. Class (C1):  Discretionary Security Protection
3686.  
3687. The Trusted Computing Base (TCB) of a class (C1) system nominally satisfies
3688. the discretionary security requirements by providing separation of users and
3689. data.  It incorporates some form of credible controls capable of enforcing
3690. access limitations on an individual basis, i.e., ostensibly suitable for
3691. allowing users to be able to protect project or private information and to
3692. keep other users from accidentally reading or destroying their data.  The
3693. class (C1) environment is expected to be one of cooperating users processing
3694. data at the same level(s) of sensitivity.
3695.  
3696. Class (C2):  Controlled Access Protection
3697.  
3698. Systems in this class enforce a more finely grained discretionary access
3699. control than (C1) systems, making users individually accountable for their
3700. actions through login procedures, auditing of security-relevant events, and
3701. resource isolation.
3702.  
3703. Class (B1):  Labeled Security Protection
3704.  
3705. Class (B1) systems require all the features required for class (C2).  In
3706. addition, an informal statement of the security policy model, data labeling,
3707. and mandatory access control over named subjects and objects must be present.
3708. The capability must exist for accurately labeling exported information.  Any
3709. flaws identified by testing must be removed.
3710.  
3711. Class (B2):  Structured Protection
3712.  
3713. In class (B2) systems, the TCB is based on a clearly defined and documented
3714. formal security policy model that requires the discretionary and mandatory
3715. access control enforcement found in class (B1) systems be extended to all
3716. subjects and objects in the ADP system.  In addition, covert channels are
3717. addressed.  The TCB must be carefully structured into protection-critical and
3718. non- protection-critical elements.  The TCB interface is well-defined and the
3719. TCB design and implementation enable it to be subjected to more thorough
3720. testing and more complete review.  Authentication mechanisms are strengthened,
3721. trusted facility management is provided in the form of support for system
3722. administrator and operator functions, and stringent configuration management
3723. controls are imposed.  The system is relatively resistant to penetration.
3724.  
3725. Class (B3):  Security Domains
3726.  
3727. The class (B3) TCB must satisfy the reference monitor requirements that it
3728. mediate all accesses of subjects to objects, be tamperproof, and be small
3729. enough to be subjected to analysis and tests.  To this end, the TCB is
3730. structured to exclude code not essential to security policy enforcement, with
3731. significant system engineering during TCB design and implementation directed
3732. toward minimizing its complexity.  A security administrator is supported,
3733. audit mechanisms are expanded to signal security- relevant events, and system
3734. recovery procedures are required.  The system is highly resistant to
3735. penetration.
3736.  
3737. Class (A1):  Verified Design
3738.  
3739. Systems in class (A1) are functionally equivalent to those in class (B3) in
3740. that no additional architectural features or policy requirements are added.
3741. The distinguishing feature of systems in this class is the analysis derived
3742. from formal design specification and verification techniques and the resulting
3743. high degree of assurance that the TCB is correctly implemented.  This
3744. assurance is developmental in nature, starting with a formal model of the
3745. security policy and a formal top-level specification (FTLS) of the design.  In
3746. keeping with the extensive design and development analysis of the TCB required
3747. of systems in class (A1), more stringent configuration management is required
3748. and procedures are established for securely distributing the system to sites.
3749. A system security administrator is supported.
3750.  
3751.  
3752.  
3753.  
3754.  
3755.                                    APPENDIX D
3756.  
3757.                               Requirement Directory
3758.  
3759. This appendix lists requirements defined in "Department of Defense Trusted
3760. Computer System Evaluation Criteria" alphabetically rather than by class.  It
3761. is provided to assist in following the evolution of a requirement through the
3762. classes.  For each requirement, three types of criteria may be present.  Each
3763. will be preceded by the word: NEW, CHANGE, or ADD to indicate the following:
3764.  
3765.               NEW: Any criteria appearing in a lower class are superseded
3766.                    by the criteria that follow.
3767.  
3768.            CHANGE: The criteria that follow have appeared in a lower class
3769.                    but are changed for this class.  Highlighting is used
3770.                    to indicate the specific changes to previously stated
3771.                    criteria.
3772.  
3773.               ADD: The criteria that follow have not been required for any
3774.                    lower class, and are added in this class to the
3775.                    previously stated criteria for this requirement.
3776.  
3777. Abbreviations are used as follows:
3778.  
3779.                NR: (No Requirement) This requirement is not included in
3780.                    this class.
3781.  
3782.               NAR: (No Additional Requirements) This requirement does not
3783.                    change from the previous class.
3784.  
3785. The reader is referred to Part I of this document when placing new criteria
3786. for a requirement into the complete context for that class.
3787.  
3788. Figure 1 provides a pictorial summary of the evolution of requirements through
3789. the classes.
3790.  
3791.  
3792. Audit
3793.  
3794.      C1: NR.
3795.  
3796.      C2: NEW: The TCB shall be able to create, maintain, and protect from
3797.          modification or unauthorized access or destruction an audit trail of
3798.          accesses to the objects it protects.  The audit data shall be 
3799.          protected by the TCB so that read access to it is limited to those 
3800.          who are authorized for audit data.  The TCB shall be able to record
3801.          the following types of events:  use of identification and
3802.          authentication mechanisms, introduction of objects into a user's
3803.          address space (e.g., file open, program initiation), deletion of
3804.          objects, and actions taken by computer operators and system 
3805.          administrators and/or system security officers.  For each recorded 
3806.          event, the audit record shall identify: date and time of the event,
3807.          user, type of event, and success or failure of the event.  For
3808.          identification/authentication events the origin of request (e.g.,
3809.          terminal ID) shall be included in the audit record.  For events that
3810.          introduce an object into a user's address space and for object
3811.          deletion events the audit record shall include the name of the object.
3812.          The ADP system administrator shall be able to selectively audit the 
3813.          actions of any one or more users based on individual identity.
3814.  
3815.      B1: CHANGE: For events that introduce an object into a user's address
3816.          space and for object deletion events the audit record shall include
3817.          the name of the object and the object's security level.  The ADP 
3818.          system administrator shall be able to selectively audit the actions 
3819.          of any one or more users based on individual identity and/or object
3820.          security level.
3821.  
3822.          ADD: The TCB shall also be able to audit any override of
3823.          human-readable output markings.
3824.  
3825.      B2: ADD: The TCB shall be able to audit the identified events that may be
3826.          used in the exploitation of covert storage channels.
3827.  
3828.      B3: ADD: The TCB shall contain a mechanism that is able to monitor the
3829.          occurrence or accumulation of security auditable events that may 
3830.          indicate an imminent violation of security policy.  This mechanism 
3831.          shall be able to immediately notify the security administrator when
3832.          thresholds are exceeded.
3833.  
3834.      A1: NAR.
3835.  
3836. Configuration Management
3837.  
3838.      C1: NR.
3839.  
3840.      C2: NR.
3841.  
3842.      B1: NR.
3843.  
3844.      B2: NEW: During development and maintenance of the TCB, a configuration
3845.          management system shall be in place that maintains control of changes
3846.          to the descriptive top-level specification, other design data, 
3847.          implementation documentation, source code, the running version of the
3848.          object code, and test fixtures and documentation.  The configuration
3849.          management system shall assure a consistent mapping among all
3850.          documentation and code associated with the current version of the TCB.
3851.          Tools shall be provided for generation of a new version of the TCB
3852.          from source code.  Also available shall be tools for comparing a 
3853.          newly generated version with the previous TCB version in order to
3854.          ascertain that only the intended changes have been made in the code 
3855.          that will actually be used as the new version of the TCB.
3856.  
3857.      B3: NAR.
3858.  
3859.      A1: CHANGE: During the entire life-cycle, i.e., during the design,
3860.          development, and maintenance of the TCB, a configuration management
3861.          system shall be in place for all security-relevant hardware, firmware,
3862.          and software that maintains control of changes to the formal model, 
3863.          the descriptive and formal top-level specifications, other design
3864.          data, implementation documentation, source code, the running version
3865.          of the object code, and test fixtures and documentation.  Also
3866.          available shall be tools, maintained under strict configuration
3867.          control, for comparing a newly generated version with the previous
3868.          TCB version in order to ascertain that only the intended changes have
3869.          been made in the code that will actually be used as the new version 
3870.          of the TCB.
3871.  
3872.     ADD: A combination of technical, physical, and procedural safeguards
3873.          shall be used to protect from unauthorized modification or 
3874.          destruction the master copy or copies of all material used to 
3875.          generate the TCB.
3876.  
3877. Covert Channel Analysis
3878.  
3879.      C1: NR.
3880.  
3881.      C2: NR.
3882.  
3883.      B1: NR.
3884.  
3885.      B2: NEW: The system developer shall conduct a thorough search for covert
3886.          storage channels and make a determination (either by actual 
3887.          measurement or by engineering estimation) of the maximum bandwidth of
3888.          each identified channel.  (See the Covert Channels Guideline section.)
3889.  
3890.      B3: CHANGE: The system developer shall conduct a thorough search for
3891.          covert channels and make a determination (either by actual 
3892.          measurement or by engineering estimation) of the maximum bandwidth 
3893.          of each identified channel.
3894.  
3895.      A1: ADD: Formal methods shall be used in the analysis.
3896.  
3897. Design Documentation
3898.  
3899.      C1: NEW: Documentation shall be available that provides a description of
3900.          the manufacturer's philosophy of protection and an explanation of how
3901.          this philosophy is translated into the TCB.  If the TCB is composed 
3902.          of distinct modules, the interfaces between these modules shall be 
3903.          described.
3904.  
3905.      C2: NAR.
3906.  
3907.      B1: ADD: An informal or formal description of the security policy model
3908.          enforced by the TCB shall be available and an explanation provided to
3909.          show that it is sufficient to enforce the security policy.  The 
3910.          specific TCB protection mechanisms shall be identified and an 
3911.          explanation given to show that they satisfy the model.
3912.  
3913.      B2: CHANGE: The interfaces between the TCB modules shall be described.  A
3914.          formal description of the security policy model enforced by the TCB 
3915.          shall be available and proven that it is sufficient to enforce the 
3916.          security policy.
3917.  
3918.          ADD: The descriptive top-level specification (DTLS) shall be shown to
3919.          be an accurate description of the TCB interface.  Documentation shall
3920.          describe how the TCB implements the reference monitor concept and 
3921.          give an explanation why it is tamperproof, cannot be bypassed, and is
3922.          correctly implemented.  Documentation shall describe how the TCB is 
3923.          structured to facilitate testing and to enforce least privilege.
3924.          This documentation shall also present the results of the covert
3925.          channel analysis and the tradeoffs involved in restricting the
3926.          channels.  All auditable events that may be used in the exploitation
3927.          of known covert storage channels shall be identified.  The bandwidths
3928.          of known covert storage channels, the use of which is not detectable
3929.          by the auditing mechanisms, shall be provided.  (See the Covert 
3930.          Channel Guideline section.)
3931.  
3932.      B3: ADD: The TCB implementation (i.e., in hardware, firmware, and
3933.          software) shall be informally shown to be consistent with the DTLS.
3934.          The elements of the DTLS shall be shown, using informal techniques, 
3935.          to correspond to the elements of the TCB.
3936.  
3937.      A1: CHANGE: The TCB implementation (i.e., in hardware, firmware, and
3938.          software) shall be informally shown to be consistent with the formal
3939.          top-level specification (FTLS).  The elements of the FTLS shall be 
3940.          shown, using informal techniques, to correspond to the elements of 
3941.          the TCB.
3942.  
3943.          ADD: Hardware, firmware, and software mechanisms not dealt with in
3944.          the FTLS but strictly internal to the TCB (e.g., mapping registers,
3945.          direct memory access I/O) shall be clearly described.
3946.  
3947. Design Specification and Verification
3948.  
3949.      C1: NR.
3950.  
3951.      C2: NR.
3952.  
3953.      B1: NEW: An informal or formal model of the security policy supported by
3954.          the TCB shall be maintained that is shown to be consistent with its 
3955.          axioms.
3956.  
3957.      B2: CHANGE: A formal model of the security policy supported by the TCB
3958.          shall be maintained that is proven consistent with its axioms.
3959.  
3960.          ADD: A descriptive top-level specification (DTLS) of the TCB shall be
3961.          maintained that completely and accurately describes the TCB in terms
3962.          of exceptions, error messages, and effects.  It shall be shown to be
3963.          an accurate description of the TCB interface.
3964.  
3965.      B3: ADD: A convincing argument shall be given that the DTLS is consistent
3966.          with the model.
3967.  
3968.      A1: CHANGE: The FTLS shall be shown to be an accurate description of the
3969.          TCB interface.  A convincing argument shall be given that the DTLS is
3970.          consistent with the model and a combination of formal and informal 
3971.          techniques shall be used to show that the FTLS is consistent with the
3972.          model.
3973.  
3974.          ADD: A formal top-level specification (FTLS) of the TCB shall be
3975.          maintained that accurately describes the TCB in terms of exceptions,
3976.          error messages, and effects.  The DTLS and FTLS shall include those
3977.          components of the TCB that are implemented as hardware and/or 
3978.          firmware if their properties are visible at the TCB interface.  This
3979.          verification evidence shall be consistent with that provided within
3980.          the state-of-the-art of the particular Computer Security Center-
3981.          endorsed formal specification and verification system used.  Manual
3982.          or other mapping of the FTLS to the TCB source code shall be
3983.          performed to provide evidence of correct implementation.
3984.  
3985. Device Labels
3986.  
3987.      C1: NR.
3988.  
3989.      C2: NR.
3990.  
3991.      B1: NR.
3992.  
3993.      B2: NEW: The TCB shall support the assignment of minimum and maximum
3994.          security levels to all attached physical devices.  These security
3995.          levels shall be used by the TCB to enforce constraints imposed by 
3996.          the physical environments in which the devices are located.
3997.  
3998.      B3: NAR.
3999.  
4000.      A1: NAR.
4001.  
4002. Discretionary Access Control
4003.  
4004.      C1: NEW: The TCB shall define and control access between named users and
4005.          named objects (e.g., files and programs) in the ADP system.  The 
4006.          enforcement mechanism (e.g., self/group/public controls, access 
4007.          control lists) shall allow users to specify and control sharing of
4008.          those objects by named individuals or defined groups or both.
4009.  
4010.      C2: CHANGE: The enforcement mechanism (e.g., self/group/public controls,
4011.          access control lists) shall allow users to specify and control 
4012.          sharing of those objects by named individuals, or defined groups of
4013.          individuals, or by both.
4014.  
4015.     ADD: The discretionary access control mechanism shall, either by explicit
4016.          user action or by default, provide that objects are protected from
4017.          unauthorized access.  These access controls shall be capable of 
4018.          including or excluding access to the granularity of a single user.  
4019.          Access permission to an object by users not already possessing access
4020.          permission shall only be assigned by authorized users.
4021.  
4022.      B1: NAR.
4023.  
4024.      B2: NAR.
4025.  
4026.      B3: CHANGE: The enforcement mechanism (e.g., access control lists) shall
4027.          allow users to specify and control sharing of those objects.  These 
4028.          access controls shall be capable of specifying, for each named 
4029.          object, a list of named individuals and a list of groups of named 
4030.          individuals with their respective modes of access to that object.
4031.  
4032.     ADD: Furthermore, for each such named object, it shall be possible to
4033.          specify a list of named individuals and a list of groups of named 
4034.          individuals for which no access to the object is to be given.
4035.  
4036.      A1: NAR.
4037.  
4038. Exportation of Labeled Information
4039.  
4040.      C1: NR.
4041.  
4042.      C2: NR.
4043.  
4044.      B1: NEW: The TCB shall designate each communication channel and I/O
4045.          device as either single-level or multilevel.  Any change in this 
4046.          designation shall be done manually and shall be auditable by the 
4047.          TCB.  The TCB shall maintain and be able to audit any change in the
4048.          current security level associated with a single-level communication
4049.          channel or I/O device.
4050.  
4051.      B2: NAR.
4052.  
4053.      B3: NAR.
4054.  
4055.      A1: NAR.
4056.  
4057. Exportation to Multilevel Devices
4058.  
4059.      C1: NR.
4060.  
4061.      C2: NR.
4062.  
4063.      B1: NEW: When the TCB exports an object to a multilevel I/O device, the
4064.          sensitivity label associated with that object shall also be exported
4065.          and shall reside on the same physical medium as the exported 
4066.          information and shall be in the same form (i.e., machine-readable or
4067.          human-readable form).  When the TCB exports or imports an object over
4068.          a multilevel communication channel, the protocol used on that channel
4069.          shall provide for the unambiguous pairing between the sensitivity
4070.          labels and the associated information that is sent or received.
4071.  
4072.      B2: NAR.
4073.  
4074.      B3: NAR.
4075.  
4076.      A1: NAR.
4077.  
4078. Exportation to Single-Level Devices
4079.  
4080.      C1: NR.
4081.  
4082.      C2: NR.
4083.  
4084.      B1: NEW: Single-level I/O devices and single-level communication channels
4085.          are not required to maintain the sensitivity labels of the 
4086.          information they process.  However, the TCB shall include a mechanism
4087.          by which the TCB and an authorized user reliably communicate to
4088.          designate the single security level of information imported or 
4089.          exported via single-level communication channels or I/O devices.
4090.  
4091.      B2: NAR.
4092.  
4093.      B3: NAR.
4094.  
4095.      A1: NAR.
4096.  
4097. Identification and Authentication
4098.  
4099.      C1: NEW: The TCB shall require users to identify themselves to it before
4100.          beginning to perform any other actions that the TCB is expected to 
4101.          mediate.  Furthermore, the TCB shall use a protected mechanism (e.g.,
4102.          passwords) to authenticate the user's identity.  The TCB shall 
4103.          protect authentication data so that it cannot be accessed by any 
4104.          unauthorized user.
4105.  
4106.      C2: ADD: The TCB shall be able to enforce individual accountability by
4107.          providing the capability to uniquely identify each individual ADP 
4108.          system user.  The TCB shall also provide the capability of 
4109.          associating this identity with all auditable actions taken by that 
4110.          individual.
4111.  
4112.      B1: CHANGE: Furthermore, the TCB shall maintain authentication data that
4113.          includes information for verifying the identity of individual users
4114.          (e.g., passwords) as well as information for determining the 
4115.          clearance and authorizations of individual users.  This data shall be
4116.          used by the TCB to authenticate the user's identity and to determine 
4117.          the security level and authorizations of subjects that may be created
4118.          to act on behalf of the individual user.
4119.  
4120.      B2: NAR.
4121.  
4122.      B3: NAR.
4123.  
4124.      A1: NAR.
4125.  
4126. Label Integrity
4127.  
4128.      C1: NR.
4129.  
4130.      C2: NR.
4131.  
4132.      B1: NEW: Sensitivity labels shall accurately represent security levels of
4133.          the specific subjects or objects with which they are associated.  When
4134.          exported by the TCB, sensitivity labels shall accurately and 
4135.          unambiguously represent the internal labels and shall be associated 
4136.          with the information being exported.
4137.  
4138.      B2: NAR.
4139.  
4140.      B3: NAR.
4141.  
4142.      A1: NAR.
4143.  
4144. Labeling Human-Readable Output
4145.  
4146.      C1: NR.
4147.  
4148.      C2: NR.
4149.  
4150.      B1: NEW: The ADP system administrator shall be able to specify the
4151.          printable label names associated with exported sensitivity labels.
4152.          The TCB shall mark the beginning and end of all human-readable, 
4153.          paged, hardcopy output (e.g., line printer output) with human-
4154.          readable sensitivity labels that properly* represent the sensitivity
4155.          of the output.  The TCB shall, by default, mark the top and bottom of
4156.          each page of human-readable, paged, hardcopy output (e.g., line
4157.          printer output) with human-readable sensitivity labels that
4158.          properly* represent the overall sensitivity of the output or that 
4159.          properly* represent the sensitivity of the information on the page.
4160.          The TCB shall, by default and in an appropriate manner, mark other 
4161.          forms of human-readable output (e.g., maps, graphics) with human-
4162.          readable sensitivity labels that properly* represent the sensitivity
4163.          of the output.  Any override of these marking defaults shall be
4164.          auditable by the TCB.
4165.  
4166.      B2: NAR.
4167.  
4168.      B3: NAR.
4169.  
4170.      A1: NAR.
4171.  
4172.            ____________________________________________________________
4173.            * The hierarchical classification component in human-readable
4174.            sensitivity labels shall be equal to the greatest
4175.            hierarchical classification of any of the information in the
4176.            output that the labels refer to;  the non-hierarchical
4177.            category component shall include all of the non-hierarchical
4178.            categories of the information in the output the labels refer
4179.            to, but no other non-hierarchical categories.
4180.            ____________________________________________________________
4181.  
4182.  
4183. Labels
4184.  
4185.      C1: NR.
4186.  
4187.      C2: NR.
4188.  
4189.      B1: NEW: Sensitivity labels associated with each subject and storage
4190.          object under its control (e.g., process, file, segment, device) shall
4191.          be maintained by the TCB.  These labels shall be used as the basis 
4192.          for mandatory access control decisions.  In order to import non-
4193.          labeled data, the TCB shall request and receive from an authorized 
4194.          user the security level of the data, and all such actions shall be
4195.          auditable by the TCB.
4196.  
4197.      B2: CHANGE: Sensitivity labels associated with each ADP system resource
4198.          (e.g., subject, storage object) that is directly or indirectly 
4199.          accessible by subjects external to the TCB shall be maintained by 
4200.          the TCB.
4201.  
4202.      B3: NAR.
4203.  
4204.      A1: NAR.
4205.  
4206. Mandatory Access Control
4207.  
4208.      C1: NR.
4209.  
4210.      C2: NR.
4211.  
4212.      B1: NEW: The TCB shall enforce a mandatory access control policy over all
4213.          subjects and storage objects under its control (e.g., processes, 
4214.          files, segments, devices).  These subjects and objects shall be 
4215.          assigned sensitivity labels that are a combination of hierarchical 
4216.          classification levels and non-hierarchical categories, and the labels
4217.          shall be used as the basis for mandatory access control decisions.
4218.          The TCB shall be able to support two or more such security levels.
4219.          (See the Mandatory Access Control guidelines.)  The following
4220.          requirements shall hold for all accesses between subjects and objects
4221.          controlled by the TCB: A subject can read an object only if the
4222.          hierarchical classification in the subject's security level is 
4223.          greater than or equal to the hierarchical classification in the 
4224.          object's security level and the non-hierarchical categories in the
4225.          subject's security level include all the non-hierarchical categories
4226.          in the object's security level.  A subject can write an object only
4227.          if the hierarchical classification in the subject's security level is
4228.          less than or equal to the hierarchical classification in the object's
4229.          security level and all the non-hierarchical categories in the 
4230.          subject's security level are included in the non-hierarchical 
4231.          categories in the object's security level.
4232.  
4233.      B2: CHANGE: The TCB shall enforce a mandatory access control policy over
4234.          all resources (i.e., subjects, storage objects, and I/O devices) that
4235.          are directly or indirectly accessible by subjects external to the TCB.
4236.          The following requirements shall hold for all accesses between all
4237.          subjects external to the TCB and all objects directly or indirectly 
4238.          accessible by these subjects:
4239.  
4240.      B3: NAR.
4241.  
4242.      A1: NAR.
4243.  
4244. Object Reuse
4245.  
4246.      C1: NR.
4247.  
4248.      C2: NEW: When a storage object is initially assigned, allocated, or
4249.          reallocated to a subject from the TCB's pool of unused storage 
4250.          objects, the TCB shall assure that the object contains no data for 
4251.          which the subject is not authorized.
4252.  
4253.      B1: NAR.
4254.  
4255.      B2: NAR.
4256.  
4257.      B3: NAR.
4258.  
4259.      A1: NAR.
4260.  
4261. Security Features User's Guide
4262.  
4263.      C1: NEW: A single summary, chapter, or manual in user documentation shall
4264.          describe the protection mechanisms provided by the TCB, guidelines on
4265.          their use, and how they interact with one another.
4266.  
4267.      C2: NAR.
4268.  
4269.      B1: NAR.
4270.  
4271.      B2: NAR.
4272.  
4273.      B3: NAR.
4274.  
4275.      A1: NAR.
4276.  
4277. Security Testing
4278.  
4279.      C1: NEW: The security mechanisms of the ADP system shall be tested and
4280.          found to work as claimed in the system documentation.  Testing shall 
4281.          be done to assure that there are no obvious ways for an unauthorized
4282.          user to bypass or otherwise defeat the security protection mechanisms
4283.          of the TCB.  (See the Security Testing guidelines.)
4284.  
4285.      C2: ADD: Testing shall also include a search for obvious flaws that would
4286.          allow violation of resource isolation, or that would permit 
4287.          unauthorized access to the audit or authentication data.
4288.  
4289.      B1: NEW: The security mechanisms of the ADP system shall be tested and
4290.          found to work as claimed in the system documentation.  A team of 
4291.          individuals who thoroughly understand the specific implementation of
4292.          the TCB shall subject its design documentation, source code, and 
4293.          object code to thorough analysis and testing.  Their objectives shall
4294.          be: to uncover all design and implementation flaws that would permit
4295.          a subject external to the TCB to read, change, or delete data
4296.          normally denied under the mandatory or discretionary security policy 
4297.          enforced by the TCB; as well as to assure that no subject (without
4298.          authorization to do so) is able to cause the TCB to enter a state
4299.          such that it is unable to respond to communications initiated by 
4300.          other users.  All discovered flaws shall be removed or neutralized 
4301.          and the TCB retested to demonstrate that they have been eliminated 
4302.          and that new flaws have not been introduced.  (See the Security 
4303.          Testing Guidelines.)
4304.  
4305.      B2: CHANGE: All discovered flaws shall be corrected and the TCB retested
4306.          to demonstrate that they have been eliminated and that new flaws have
4307.          not been introduced.
4308.  
4309.          ADD: The TCB shall be found relatively resistant to penetration.
4310.          Testing shall demonstrate that the TCB implementation is consistent 
4311.          with the descriptive top-level specification.
4312.  
4313.      B3: CHANGE: The TCB shall be found resistant to penetration.
4314.  
4315.          ADD: No design flaws and no more than a few correctable
4316.          implementation flaws may be found during testing and there shall be 
4317.          reasonable confidence that few remain.
4318.  
4319.      A1: CHANGE: Testing shall demonstrate that the TCB implementation is
4320.          consistent with the formal top-level specification.
4321.  
4322.          ADD: Manual or other mapping of the FTLS to the source code may form
4323.          a basis for penetration testing.
4324.  
4325. Subject Sensitivity Labels
4326.  
4327.      C1: NR.
4328.  
4329.      C2: NR.
4330.  
4331.      B1: NR.
4332.  
4333.      B2: NEW: The TCB shall immediately notify a terminal user of each change
4334.          in the security level associated with that user during an interactive
4335.          session.  A terminal user shall be able to query the TCB as desired 
4336.          for a display of the subject's complete sensitivity label.
4337.  
4338.      B3: NAR.
4339.  
4340.      A1: NAR.
4341.  
4342. System Architecture
4343.  
4344.      C1: NEW: The TCB shall maintain a domain for its own execution that
4345.          protects it from external interference or tampering (e.g., by 
4346.          modification of its code or data structures).  Resources controlled 
4347.          by the TCB may be a defined subset of the subjects and objects in 
4348.          the ADP system.
4349.  
4350.      C2: ADD: The TCB shall isolate the resources to be protected so that they
4351.          are subject to the access control and auditing requirements.
4352.  
4353.      B1: ADD: The TCB shall maintain process isolation through the provision
4354.          of distinct address spaces under its control.
4355.  
4356.      B2: NEW: The TCB shall maintain a domain for its own execution that
4357.          protects it from external interference or tampering (e.g., by 
4358.          modification of its code or data structures).  The TCB shall maintain
4359.          process isolation through the provision of distinct address spaces 
4360.          under its control.  The TCB shall be internally structured into well-
4361.          defined largely independent modules.  It shall make effective use of
4362.          available hardware to separate those elements that are protection-
4363.          critical from those that are not.  The TCB modules shall be designed
4364.          such that the principle of least privilege is enforced.  Features in
4365.          hardware, such as segmentation, shall be used to support logically 
4366.          distinct storage objects with separate attributes (namely: readable, 
4367.          writeable).  The user interface to the TCB shall be completely 
4368.          defined and all elements of the TCB identified.
4369.  
4370.      B3: ADD: The TCB shall be designed and structured to use a complete,
4371.          conceptually simple protection mechanism with precisely defined 
4372.          semantics.  This mechanism shall play a central role in enforcing the
4373.          internal structuring of the TCB and the system.  The TCB shall
4374.          incorporate significant use of layering, abstraction and data hiding.
4375.          Significant system engineering shall be directed toward minimizing
4376.          the complexity of the TCB and excluding from the TCB modules that are
4377.          not protection-critical.
4378.  
4379.      A1: NAR.
4380.  
4381. System Integrity
4382.  
4383.      C1: NEW: Hardware and/or software features shall be provided that can be
4384.          used to periodically validate the correct operation of the on-site 
4385.          hardware and firmware elements of the TCB.
4386.  
4387.      C2: NAR.
4388.  
4389.      B1: NAR.
4390.  
4391.      B2: NAR.
4392.  
4393.      B3: NAR.
4394.  
4395.      A1: NAR.
4396.  
4397. Test Documentation
4398.  
4399.      C1: NEW: The system developer shall provide to the evaluators a document
4400.          that describes the test plan and results of the security mechanisms'
4401.          functional testing.
4402.  
4403.      C2: NAR.
4404.  
4405.      B1: NAR.
4406.  
4407.      B2: ADD: It shall include results of testing the effectiveness of the
4408.          methods used to reduce covert channel bandwidths.
4409.  
4410.      B3: NAR.
4411.  
4412.      A1: ADD: The results of the mapping between the formal top-level
4413.          specification and the TCB source code shall be given.
4414.  
4415. Trusted Distribution
4416.  
4417.      C1: NR.
4418.  
4419.      C2: NR.
4420.  
4421.      B1: NR.
4422.  
4423.      B2: NR.
4424.  
4425.      B3: NR.
4426.  
4427.      A1: NEW: A trusted ADP system control and distribution facility shall be
4428.          provided for maintaining the integrity of the mapping between the 
4429.          master data describing the current version of the TCB and the on-site
4430.          master copy of the code for the current version.  Procedures (e.g.,
4431.          site security acceptance testing) shall exist for assuring that the
4432.          TCB software, firmware, and hardware updates distributed to a
4433.          customer are exactly as specified by the master copies.
4434.  
4435. Trusted Facility Management
4436.  
4437.      C1: NR.
4438.  
4439.      C2: NR.
4440.  
4441.      B1: NR.
4442.  
4443.      B2: NEW: The TCB shall support separate operator and administrator
4444.          functions.
4445.  
4446.      B3: ADD: The functions performed in the role of a security administrator
4447.          shall be identified.  The ADP system administrative personnel shall 
4448.          only be able to perform security administrator functions after taking
4449.          a distinct auditable action to assume the security administrator role
4450.          on the ADP system.  Non-security functions that can be performed in
4451.          the security administration role shall be limited strictly to those
4452.          essential to performing the security role effectively.
4453.  
4454.      A1: NAR.
4455.  
4456. Trusted Facility Manual
4457.  
4458.      C1: NEW: A manual addressed to the ADP system administrator shall present
4459.          cautions about functions and privileges that should be controlled 
4460.          when running a secure facility.
4461.  
4462.      C2: ADD: The procedures for examining and maintaining the audit files as
4463.          well as the detailed audit record structure for each type of audit 
4464.          event shall be given.
4465.  
4466.      B1: ADD: The manual shall describe the operator and administrator
4467.          functions related to security, to include changing the 
4468.          characteristics of a user.  It shall provide guidelines on the 
4469.          consistent and effective use of the protection features of the
4470.          system, how they interact, how to securely generate a new TCB, and
4471.          facility procedures, warnings, and privileges that need to be
4472.          controlled in order to operate the facility in a secure manner.
4473.  
4474.      B2: ADD: The TCB modules that contain the reference validation mechanism
4475.          shall be identified.  The procedures for secure generation of a new 
4476.          TCB from source after modification of any modules in the TCB shall 
4477.          be described.
4478.  
4479.      B3: ADD: It shall include the procedures to ensure that the system is
4480.          initially started in a secure manner.  Procedures shall also be 
4481.          included to resume secure system operation after any lapse in system
4482.          operation.
4483.  
4484.      A1: NAR.
4485.  
4486. Trusted Path
4487.  
4488.      C1: NR.
4489.  
4490.      C2: NR.
4491.  
4492.      B1: NR.
4493.  
4494.      B2: NEW: The TCB shall support a trusted communication path between
4495.          itself and user for initial login and authentication.  Communications
4496.          via this path shall be initiated exclusively by a user.
4497.  
4498.      B3: CHANGE: The TCB shall support a trusted communication path between
4499.          itself and users for use when a positive TCB-to-user connection is 
4500.          required (e.g., login, change subject security level).  
4501.          Communications via this trusted path shall be activated exclusively
4502.          by a user or the TCB and shall be logically isolated and unmistakably
4503.          distinguishable from other paths.
4504.  
4505.      A1: NAR.
4506.  
4507. Trusted Recovery
4508.  
4509.      C1: NR.
4510.  
4511.      C2: NR.
4512.  
4513.      B1: NR.
4514.  
4515.      B2: NR.
4516.  
4517.      B3: NEW: Procedures and/or mechanisms shall be provided to assure that,
4518.          after an ADP system failure or other discontinuity, recovery without a
4519.          protection compromise is obtained.
4520.  
4521.      A1: NAR.
4522.  
4523.  
4524.  
4525.  
4526.  
4527.     (this page is reserved for Figure 1)
4528.  
4529.  
4530.  
4531.  
4532.                                  GLOSSARY
4533.  
4534.  
4535. Access - A specific type of interaction between a subject and an object 
4536.      that results in the flow of information from one to the other.
4537.  
4538. Approval/Accreditation - The official authorization that is
4539.      granted to an ADP system to process sensitive information in
4540.      its operational environment, based upon comprehensive
4541.      security evaluation of the system's hardware, firmware, and
4542.      software security design, configuration, and implementation
4543.      and of the other system procedural, administrative,
4544.      physical, TEMPEST, personnel, and communications security
4545.      controls.
4546.  
4547. Audit Trail - A set of records that collectively provide
4548.      documentary evidence of processing used to aid in tracing
4549.      from original transactions forward to related records and
4550.      reports, and/or backwards from records and reports to their
4551.      component source transactions.
4552.  
4553. Authenticate - To establish the validity of a claimed identity.
4554.  
4555. Automatic Data Processing (ADP) System - An assembly of computer
4556.      hardware, firmware, and software configured for the purpose
4557.      of classifying, sorting, calculating, computing,
4558.      summarizing, transmitting and receiving, storing, and
4559.      retrieving data with a minimum of human intervention.
4560.  
4561. Bandwidth - A characteristic of a communication channel that is
4562.      the amount of information that can be passed through it in a
4563.      given amount of time, usually expressed in bits per second.
4564.  
4565. Bell-LaPadula Model - A formal state transition model of computer
4566.      security policy that describes a set of access control
4567.      rules.  In this formal model, the entities in a computer
4568.      system are divided into abstract sets of subjects and
4569.      objects.  The notion of a secure state is defined and it is
4570.      proven that each state transition preserves security by
4571.      moving from secure state to secure state; thus, inductively
4572.      proving that the system is secure.  A system state is
4573.      defined to be "secure" if the only permitted access modes of
4574.      subjects to objects are in accordance with a specific
4575.      security policy.  In order to determine whether or not a
4576.      specific access mode is allowed, the clearance of a subject
4577.      is compared to the classification of the object and a
4578.      determination is made as to whether the subject is
4579.      authorized for the specific access mode.  The
4580.      clearance/classification scheme is expressed in terms of a
4581.      lattice.  See also: Lattice, Simple Security Property, *-
4582.      Property.
4583.  
4584. Certification - The technical evaluation of a system's security
4585.      features, made as part of and in support of the
4586.      approval/accreditation process, that establishes the extent
4587.      to which a particular computer system's design and
4588.      implementation meet a set of specified security
4589.      requirements.
4590.  
4591. Channel - An information transfer path within a system.  May also
4592.      refer to the mechanism by which the path is effected.
4593.  
4594. Covert Channel - A communication channel that allows a process to
4595.      transfer information in a manner that violates the system's
4596.      security policy.  See also:  Covert Storage Channel, Covert
4597.      Timing Channel.
4598.  
4599. Covert Storage Channel - A covert channel that involves the
4600.      direct or indirect writing of a storage location by one
4601.      process and the direct or indirect reading of the storage
4602.      location by another process.  Covert storage channels
4603.      typically involve a finite resource (e.g., sectors on a
4604.      disk) that is shared by two subjects at different security
4605.      levels.
4606.  
4607. Covert Timing Channel - A covert channel in which one process
4608.      signals information to another by modulating its own use of
4609.      system resources (e.g., CPU time) in such a way that this
4610.      manipulation affects the real response time observed by the
4611.      second process.
4612.  
4613. Data - Information with a specific physical representation.
4614.  
4615. Data Integrity - The state that exists when computerized data is
4616.      the same as that in the source documents and has not been
4617.      exposed to accidental or malicious alteration or
4618.      destruction.
4619.  
4620. Descriptive Top-Level Specification (DTLS) - A top-level
4621.      specification that is written in a natural language (e.g.,
4622.      English), an informal program design notation, or a
4623.      combination of the two.
4624.  
4625. Discretionary Access Control - A means of restricting access to
4626.      objects based on the identity of subjects and/or groups to
4627.      which they belong.  The controls are discretionary in the
4628.      sense that a subject with a certain access permission is
4629.      capable of passing that permission (perhaps indirectly) on
4630.      to any other subject.
4631.  
4632. Domain - The set of objects that a subject has the ability to
4633.      access.
4634.  
4635. Dominate - Security level S1 is said to dominate security level
4636.      S2 if the hierarchical classification of S1 is greater than
4637.      or equal to that of S2 and the non-hierarchical categories
4638.      of S1 include all those of S2 as a subset.
4639.  
4640. Exploitable Channel - Any channel that is useable or detectable
4641.      by subjects external to the Trusted Computing Base.
4642.  
4643. Flaw Hypothesis Methodology - A system analysis and penetration
4644.      technique where specifications and documentation for the
4645.      system are analyzed and then flaws in the system are
4646.      hypothesized.  The list of hypothesized flaws is then
4647.      prioritized on the basis of the estimated probability that a
4648.      flaw actually exists and, assuming a flaw does exist, on the
4649.      ease of exploiting it and on the extent of control or
4650.      compromise it would provide.  The prioritized list is used
4651.      to direct the actual testing of the system.
4652.  
4653. Flaw - An error of commission, omission, or oversight in a system
4654.      that allows protection mechanisms to be bypassed.
4655.  
4656. Formal Proof - A complete and convincing mathematical argument,
4657.      presenting the full logical justification for each proof
4658.      step, for the truth of a theorem or set of theorems.  The
4659.      formal verification process uses formal proofs to show the
4660.      truth of certain properties of formal specification and for
4661.      showing that computer programs satisfy their specifications.
4662.  
4663. Formal Security Policy Model - A mathematically precise statement
4664.      of a security policy.  To be adequately precise, such a
4665.      model must represent the initial state of a system, the way
4666.      in which the system progresses from one state to another,
4667.      and a definition of a "secure" state of the system.  To be
4668.      acceptable as a basis for a TCB, the model must be supported
4669.      by a formal proof that if the initial state of the system
4670.      satisfies the definition of a "secure" state and if all
4671.      assumptions required by the model hold, then all future
4672.      states of the system will be secure.  Some formal modeling
4673.      techniques include:  state transition models, temporal logic
4674.      models, denotational semantics models, algebraic
4675.      specification models.  An example is the model described by
4676.      Bell and LaPadula in reference [2].  See also:  Bell-
4677.      LaPadula Model, Security Policy Model.
4678.  
4679. Formal Top-Level Specification (FTLS) - A Top-Level Specification
4680.      that is written in a formal mathematical language to allow
4681.      theorems showing the correspondence of the system
4682.      specification to its formal requirements to be hypothesized
4683.      and formally proven.
4684.  
4685. Formal Verification - The process of using formal proofs to
4686.      demonstrate the consistency (design verification) between a
4687.      formal specification of a system and a formal security
4688.      policy model or (implementation verification) between the
4689.      formal specification and its program implementation.
4690.  
4691. Functional Testing - The portion of security testing in which the
4692.      advertised features of a system are tested for correct
4693.      operation.
4694.  
4695. General-Purpose System - A computer system that is designed to
4696.      aid in solving a wide variety of problems.
4697.  
4698. Lattice - A partially ordered set for which every pair of
4699.      elements has a greatest lower bound and a least upper bound.
4700.  
4701. Least Privilege - This principle requires that each subject in a
4702.      system be granted the most restrictive set of privileges (or
4703.      lowest clearance) needed for the performance of authorized
4704.      tasks.  The application of this principle limits the damage
4705.      that can result from accident, error, or unauthorized use.
4706.  
4707. Mandatory Access Control - A means of restricting access to
4708.      objects based on the sensitivity (as represented by a label)
4709.      of the information contained in the objects and the formal
4710.      authorization (i.e., clearance) of subjects to access
4711.      information of such sensitivity.
4712.  
4713. Multilevel Device - A device that is used in a manner that
4714.      permits it to simultaneously process data of two or more
4715.      security levels without risk of compromise.  To accomplish
4716.      this, sensitivity labels are normally stored on the same
4717.      physical medium and in the same form (i.e., machine-readable
4718.      or human-readable) as the data being processed.
4719.  
4720. Multilevel Secure - A class of system containing information with
4721.      different sensitivities that simultaneously permits access
4722.      by users with different security clearances and needs-to-
4723.      know, but prevents users from obtaining access to
4724.      information for which they lack authorization.
4725.  
4726. Object - A passive entity that contains or receives information.
4727.      Access to an object potentially implies access to the
4728.      information it contains.  Examples of objects are:  records,
4729.      blocks, pages, segments, files, directories, directory
4730.      trees, and programs, as well as bits, bytes, words, fields,
4731.      processors, video displays, keyboards, clocks, printers,
4732.      network nodes, etc.
4733.  
4734. Object Reuse - The reassignment to some subject of a medium
4735.      (e.g., page frame, disk sector, magnetic tape) that
4736.      contained one or more objects.  To be securely reassigned,
4737.      such media must contain no residual data from the previously
4738.      contained object(s).
4739.  
4740. Output - Information that has been exported by a TCB.
4741.  
4742. Password - A private character string that is used to
4743.      authenticate an identity.
4744.  
4745. Penetration Testing - The portion of security testing in which
4746.      the penetrators attempt to circumvent the security features
4747.      of a system.  The penetrators may be assumed to use all
4748.      system design and implementation documentation, which may
4749.      include listings of system source code, manuals, and circuit
4750.      diagrams.  The penetrators work under no constraints other
4751.      than those that would be applied to ordinary users.
4752.  
4753. Process - A program in execution.  It is completely characterized
4754.      by a single current execution point (represented by the
4755.      machine state) and address space.
4756.  
4757. Protection-Critical Portions of the TCB - Those portions of the
4758.      TCB whose normal function is to deal with the control of
4759.      access between subjects and objects.
4760.  
4761. Protection Philosophy - An informal description of the overall
4762.      design of a system that delineates each of the protection
4763.      mechanisms employed.  A combination (appropriate to the
4764.      evaluation class) of formal and informal techniques is used
4765.      to show that the mechanisms are adequate to enforce the
4766.      security policy.
4767.  
4768. Read - A fundamental operation that results only in the flow of
4769.      information from an object to a subject.
4770.  
4771. Read Access - Permission to read information.
4772.  
4773. Reference Monitor Concept - An access control concept that refers
4774.      to an abstract machine that mediates all accesses to objects
4775.      by subjects.
4776.  
4777. Resource - Anything used or consumed while performing a function.
4778.      The categories of resources are: time, information, objects
4779.      (information containers), or processors (the ability to use
4780.      information).  Specific examples are: CPU time; terminal
4781.      connect time; amount of directly-addressable memory; disk
4782.      space; number of I/O requests per minute, etc.
4783.  
4784. Security Kernel - The hardware, firmware, and software elements
4785.      of a Trusted Computing Base that implement the reference
4786.      monitor concept.  It must mediate all accesses, be protected
4787.      from modification, and be verifiable as correct.
4788.  
4789. Security Level - The combination of a hierarchical classification
4790.      and a set of non-hierarchical categories that represents the
4791.      sensitivity of information.
4792.  
4793. Security Policy - The set of laws, rules, and practices that
4794.      regulate how an organization manages, protects, and
4795.      distributes sensitive information.
4796.  
4797. Security Policy Model - An informal presentation of a formal
4798.      security policy model.
4799.  
4800. Security Testing - A process used to determine that the security
4801.      features of a system are implemented as designed and that
4802.      they are adequate for a proposed application environment.
4803.      This process includes hands-on functional testing,
4804.      penetration testing, and verification.  See also: Functional
4805.      Testing, Penetration Testing, Verification.
4806.  
4807. Sensitive Information - Information that, as determined by a
4808.      competent authority, must be protected because its
4809.      unauthorized disclosure, alteration, loss, or destruction
4810.      will at least cause perceivable damage to someone or
4811.      something.
4812.  
4813. Sensitivity Label - A piece of information that represents the
4814.      security level of an object and that describes the
4815.      sensitivity (e.g., classification) of the data in the
4816.      object.   Sensitivity labels are used by the TCB as the basis
4817.      for mandatory access control decisions.
4818.  
4819. Simple Security Property - A Bell-LaPadula security model rule
4820.      allowing a subject read access to an object only if the
4821.      security level of the subject dominates the security level
4822.      of the object.
4823.  
4824. Single-Level Device - A device that is used to process data of a
4825.      single security level at any one time.  Since the device
4826.      need not be trusted to separate data of different security
4827.      levels, sensitivity labels do not have to be stored with the
4828.      data being processed.
4829.  
4830. *-Property (Star Property) - A Bell-LaPadula security model rule
4831.      allowing a subject write access to an object only if the
4832.      security level of the subject is dominated by the security
4833.      level of the object.  Also known as the Confinement
4834.      Property.
4835.  
4836. Storage Object - An object that supports both read and write
4837.      accesses.
4838.  
4839. Subject - An active entity, generally in the form of a person,
4840.      process, or device that causes information to flow among
4841.      objects or changes the system state.  Technically, a
4842.      process/domain pair.
4843.  
4844. Subject Security Level - A subject's security level is equal to
4845.      the security level of the objects to which it has both read
4846.      and write access.  A subject's security level must always be
4847.      dominated by the clearance of the user the subject is
4848.      associated with.
4849.  
4850. TEMPEST - The study and control of spurious electronic signals
4851.      emitted from ADP equipment.
4852.  
4853. Top-Level Specification (TLS) - A non-procedural description of
4854.      system behavior at the most abstract level.  Typically a
4855.      functional specification that omits all implementation
4856.      details.
4857.  
4858. Trap Door - A hidden software or hardware mechanism that permits
4859.      system protection mechanisms to be circumvented.  It is
4860.      activated in some non-apparent manner (e.g., special
4861.      "random" key sequence at a terminal).
4862.  
4863. Trojan Horse - A computer program with an apparently or actually
4864.      useful function that contains additional (hidden) functions
4865.      that surreptitiously exploit the legitimate authorizations
4866.      of the invoking process to the detriment of security.  For
4867.      example, making a "blind copy" of a sensitive file for the
4868.      creator of the Trojan Horse.
4869.  
4870. Trusted Computer System - A system that employs sufficient
4871.      hardware and software integrity measures to allow its use
4872.      for processing simultaneously a range of sensitive or
4873.      classified information.
4874.  
4875. Trusted Computing Base (TCB) - The totality of protection
4876.      mechanisms within a computer system -- including hardware,
4877.      firmware, and software -- the combination of which is
4878.      responsible for enforcing a security policy.  It creates a
4879.      basic protection environment and provides additional user
4880.      services required for a trusted computer system.  The
4881.      ability of a trusted computing base to correctly enforce a
4882.      security policy depends solely on the mechanisms within the
4883.      TCB and on the correct input by system administrative
4884.      personnel of parameters (e.g., a user's clearance) related
4885.      to the security policy.
4886.  
4887. Trusted Path - A mechanism by which a person at a terminal can
4888.      communicate directly with the Trusted Computing Base.  This
4889.      mechanism can only be activated by the person or the Trusted
4890.      Computing Base and cannot be imitated by untrusted software.
4891.  
4892. Trusted Software - The software portion of a Trusted Computing
4893.      Base.
4894.  
4895. User - Any person who interacts directly with a computer system.
4896.  
4897. Verification - The process of comparing two levels of system
4898.      specification for proper correspondence (e.g., security
4899.      policy model with top-level specification, TLS with source
4900.      code, or source code with object code).  This process may or
4901.      may not be automated.
4902.  
4903. Write - A fundamental operation that results only in the flow of
4904.      information from a subject to an object.
4905.  
4906. Write Access - Permission to write an object.
4907.  
4908.  
4909.  
4910.  
4911.  
4912.                               REFERENCES
4913.  
4914.  
4915. 1.  Anderson, J. P.  Computer Security Technology Planning
4916.          Study, ESD-TR-73-51, vol. I, ESD/AFSC, Hanscom AFB,
4917.          Bedford, Mass., October 1972 (NTIS AD-758 206).
4918.  
4919. 2.  Bell, D. E. and LaPadula, L. J.  Secure Computer Systems:
4920.          Unified Exposition and Multics Interpretation, MTR-2997
4921.          Rev. 1, MITRE Corp., Bedford, Mass., March 1976.
4922.  
4923. 3.  Brand, S. L.    "An Approach to Identification and Audit of
4924.          Vulnerabilities and Control in Application Systems," in
4925.          Audit and Evaluation of Computer Security II: System
4926.          Vulnerabilities and Controls, Z. Ruthberg, ed., NBS
4927.          Special Publication #500-57, MD78733, April 1980.
4928.  
4929. 4.  Brand, S. L.    "Data Processing and A-123," in Proceedings of
4930.          the Computer Performance Evaluation User's Group 18th
4931.          Meeting, C. B. Wilson, ed., NBS Special Publication
4932.          #500-95, October 1982.
4933.  
4934. 5.  Denning, D. E.  "A Lattice Model of Secure Information
4935.          Flow," in Communications of the ACM, vol. 19, no. 5
4936.          (May 1976), pp. 236-243.
4937.  
4938. 6.  Denning, D. E.  Secure Information Flow in Computer Systems,
4939.          Ph.D. dissertation, Purdue Univ., West Lafayette, Ind.,
4940.          May 1975.
4941.  
4942. 7.  DoD 5200.1-R, Information Security Program Regulation,
4943.          August 1982.
4944.  
4945. 8.  DoD Directive 5200.28, Security Requirements for Automatic
4946.          Data Processing (ADP) Systems, revised April 1978.
4947.  
4948. 9.  DoD 5200.28-M, ADP Security Manual -- Techniques and
4949.          Procedures for Implementing, Deactivating, Testing, and
4950.          Evaluating Secure Resource-Sharing ADP Systems, revised
4951.          June 1979.
4952.  
4953. 10. DoD Directive 5215.1, Computer Security Evaluation Center,
4954.          25 October 1982.
4955.  
4956. 11. DoD 5220.22-M, Industrial Security Manual for Safeguarding
4957.          Classified Information, January 1983.
4958.  
4959. 12. DoD 5220.22-R, Industrial Security Regulation, January 1983.
4960.  
4961. 13. DoD Directive 5400.11, Department of Defense Privacy
4962.          Program, 9 June 1982.
4963.  
4964. 14. Executive Order 12356, National Security Information,
4965.          6 April 1982.
4966.  
4967. 15. Faurer, L. D.    "Keeping the Secrets Secret," in Government
4968.          Data Systems, November - December 1981, pp. 14-17.
4969.  
4970. 16. Federal Information Processing Standards Publication (FIPS
4971.          PUB) 39, Glossary for Computer Systems Security,
4972.          15 February 1976.
4973.  
4974. 17. Federal Information Processing Standards Publication (FIPS
4975.          PUB) 73, Guidelines for Security of Computer
4976.          Applications, 30 June 1980.
4977.  
4978. 18. Federal Information Processing Standards Publication (FIPS
4979.          PUB) 102, Guideline for Computer Security Certification
4980.          and Accreditation.
4981.  
4982. 19. Lampson, B. W.  "A Note on the Confinement Problem," in
4983.          Communications of the ACM, vol. 16, no. 10 (October
4984.          1973), pp. 613-615.
4985.  
4986. 20. Lee, T. M. P., et al.     "Processors, Operating Systems and
4987.          Nearby Peripherals: A Consensus Report," in Audit and
4988.          Evaluation of Computer Security II: System
4989.          Vulnerabilities and Controls, Z. Ruthberg, ed., NBS
4990.          Special Publication #500-57, MD78733, April 1980.
4991.  
4992. 21. Lipner, S. B.    A Comment on the Confinement Problem, MITRE
4993.          Corp., Bedford, Mass.
4994.  
4995. 22. Millen, J. K.    "An Example of a Formal Flow Violation," in
4996.          Proceedings of the IEEE Computer Society 2nd
4997.          International Computer Software and Applications
4998.          Conference, November 1978, pp. 204-208.
4999.  
5000. 23. Millen, J. K.    "Security Kernel Validation in Practice," in
5001.          Communications of the ACM, vol. 19, no. 5 (May 1976),
5002.          pp. 243-250.
5003.  
5004. 24. Nibaldi, G. H.  Proposed Technical Evaluation Criteria for
5005.          Trusted Computer Systems, MITRE Corp., Bedford, Mass.,
5006.          M79-225, AD-A108-832, 25 October 1979.
5007.  
5008. 25. Nibaldi, G. H.  Specification of A Trusted Computing Base,
5009.          (TCB), MITRE Corp., Bedford, Mass., M79-228, AD-A108-
5010.          831, 30 November 1979.
5011.  
5012. 26. OMB Circular A-71, Transmittal Memorandum No. 1, Security of
5013.          Federal Automated Information Systems, 27 July 1978.
5014.  
5015. 27. OMB Circular A-123, Internal Control Systems, 5 November
5016.          1981.
5017.  
5018. 28. Ruthberg, Z. and McKenzie, R., eds.  Audit and Evaluation of
5019.          Computer Security, in NBS Special Publication #500-19,
5020.          October 1977.
5021.  
5022. 29. Schaefer, M., Linde, R. R., et al.  "Program Confinement in
5023.          KVM/370," in Proceedings of the ACM National
5024.          Conference, October 1977, Seattle.
5025.  
5026. 30. Schell, R. R.    "Security Kernels: A Methodical Design of
5027.          System Security," in Technical Papers, USE Inc. Spring
5028.          Conference, 5-9 March 1979, pp. 245-250.
5029.  
5030. 31. Trotter, E. T. and Tasker, P. S.  Industry Trusted Computer
5031.          Systems Evaluation Process, MITRE Corp., Bedford,
5032.          Mass., MTR-3931, 1 May 1980.
5033.  
5034. 32. Turn, R.  Trusted Computer Systems: Needs and Incentives for
5035.          Use in government and Private Sector, (AD # A103399),
5036.          Rand Corporation (R-28811-DR&E), June 1981.
5037.  
5038. 33. Walker, S. T.    "The Advent of Trusted Computer Operating
5039.          Systems," in National Computer Conference Proceedings,
5040.          May 1980, pp. 655-665.
5041.  
5042. 34. Ware, W. H., ed., Security Controls for Computer Systems:
5043.          Report of Defense Science Board Task Force on Computer
5044.          Security, AD # A076617/0, Rand Corporation, Santa
5045.          Monica, Calif., February 1970, reissued October 1979.
5046.  
5047.    DoD STANDARD 5200.28:  SUMMARY OF THE DIFFERENCES 
5048.                           BETWEEN IT AND CSC-STD-001-83
5049.  
5050.  
5051. Note: Text which has been added or changed is indented and preceded by > sign.
5052. Text which has been deleted is enclosed in slashes (/).  "Computer Security
5053. Center" was changed to "National Computer Security Center" throughout the
5054. document.
5055.  
5056. The FOREWORD Section was rewritten and signed by Mr. Don Latham on
5057. 26 Dec 85.  The ACKNOWLEDGEMENTS Section was updated.
5058.                                      
5059. The PREFACE was changed as follows: 
5060.  
5061.                                  PREFACE 
5062.  
5063.  
5064. The trusted computer system evaluation criteria defined in this 
5065. document classify systems into four broad hierarchical divisions 
5066. of enhanced security protection.  The criteria provide a basis 
5067. for the evaluation of effectiveness of security controls built 
5068. into automatic data processing system products.  The criteria 
5069. were developed with three objectives in mind:  (a) to provide 
5070. users with a yardstick with which to assess the degree of trust 
5071. that can be placed in computer systems for the secure processing 
5072. of classified or other sensitive information; (b) to provide 
5073. guidance to manufacturers as to what to build into their new, 
5074. widely-available trusted commercial products in order to satisfy 
5075. trust requirements for sensitive applications; and (c) to provide 
5076. a basis for specifying security requirements in acquisition 
5077. specifications.  Two types of requirements are delineated for 
5078. secure processing: (a) specific security feature requirements and 
5079. (b) assurance requirements.  Some of the latter requirements 
5080. enable evaluation personnel to determine if the required features 
5081. are present and functioning as intended.  
5082.  
5083.         >The scope of these criteria is to be applied to
5084.         >the set of components comprising a trusted system, and is
5085.         >not necessarily to be applied to each system component
5086.         >individually.  Hence, some components of a system may be
5087.         >completely untrusted, while others may be individually
5088.         >evaluated to a lower or higher evaluation class than the
5089.         >trusted product considered as a whole system.  In trusted
5090.         >products at the high end of the range, the strength of the
5091.         >reference monitor is such that most of the system
5092.         >components can be completely untrusted.  
5093.  
5094. Though the criteria are 
5095.  
5096.         >intended to be
5097.  
5098. application-independent, /it is recognized that/ the
5099. specific security feature requirements may have to be
5100. interpreted when applying the criteria to specific 
5101.  
5102.         >systems with their own functional requirements,
5103.         >applications or special environments (e.g., communications
5104.         >processors, process control computers, and embedded systems
5105.         >in general).
5106.  
5107. The underlying assurance requirements can be
5108. applied across the entire spectrum of ADP system or
5109. application processing environments without special
5110. interpretation.
5111.  
5112.                                      
5113. The SCOPE Section was changed as follows:
5114.  
5115. Scope
5116.  
5117. The trusted computer system evaluation criteria defined in this 
5118. document apply 
5119.  
5120.         >primarily
5121.  
5122. to /both/ trusted, commercially available 
5123. automatic data processing (ADP) systems.  
5124.  
5125.         >They are also applicable, as amplified below, to the
5126.         >evaluation of existing systems and to the specification of
5127.         >security requirements for ADP systems acquisition.
5128.  
5129. Included are two distinct sets of requirements: l) specific security
5130. feature requirements; and 2) assurance requirements.  The specific 
5131. feature requirements encompass the capabilities typically found 
5132. in information processing systems employing general-purpose 
5133. operating systems that are distinct from the applications programs
5134. being supported.  
5135.  
5136.         >However, specific security feature requirements
5137.         >may also apply to specific systems with their own functional
5138.         >requirements, applications or special environments (e.g.,
5139.         >communications processors, process control computers, and embedded
5140.         >systems in general).  
5141.  
5142. The assurance requirements, on the other hand,
5143. apply to systems that cover the full range of computing environments
5144. from dedicated controllers to full range multilevel secure resource
5145. sharing systems.
5146.  
5147.                                      
5148. Changed the Purpose Section as follows:  
5149.  
5150. Purpose
5151.  
5152. As outlined in the Preface, the criteria have been developed to
5153. serve a number of intended purposes: 
5154.  
5155.      To provide 
5156.  
5157.             >a standard 
5158.  
5159.      to manufacturers as to what security features to build
5160.      into their new and planned, ... trust requirements      
5161.  
5162.            >(with particular emphasis on preventing the       
5163.          >disclosure of data)
5164.  
5165.      for sensitive applications.
5166.  
5167.      To provide 
5168.  
5169.                 >DoD components 
5170.  
5171.      with a metric with which to evaluate 
5172.      the degree of trust that can be placed in ...
5173.  
5174.      To provide a basis for specifying security requirements in 
5175.      acquisition specifications.
5176.  
5177. With respect to the 
5178.  
5179.         >second
5180.  
5181. purpose for development of the criteria, i.e., providing
5182.  
5183.         >DoD components 
5184.  
5185. with a security evaluation metric, evaluations can be
5186. delineated into two types: (a) an evaluation can be
5187. performed on a computer product from a perspective that
5188. excludes the application environment; or, (b) it can be
5189. done to assess whether appropriate security measures ...
5190.  
5191. The latter type of evaluation, i.e., those done for the purpose 
5192. of assessing a system's security attributes with respect to a 
5193. specific operational mission, is known as a certification 
5194. evaluation.  It must be understood that the completion of a 
5195. formal product evaluation does not constitute certification or 
5196. accreditation for the system to be used in any specific 
5197. application environment.  On the contrary, the evaluation report 
5198. only provides a trusted computer system's evaluation rating along 
5199. with supporting data describing the product system's strengths 
5200. and weaknesses from a computer security point of view.  The 
5201. system security certification and the formal 
5202. approval/accreditation procedure, done in accordance with the 
5203. applicable policies of the issuing agencies, must still be 
5204. followed before a system can be approved for use in processing or 
5205. handling classified information.,8;9.  
5206.  
5207.         >Designated Approving Authorities (DAAs) remain ultimately
5208.         >responsible for specifying security of systems they
5209.         >accredit.      
5210.  
5211. The trusted computer system evaluation criteria will be used 
5212. directly and indirectly in the certification process.  Along with 
5213. applicable policy, it will be used directly as 
5214.  
5215.         >technical guidance
5216.  
5217. for evaluation of the total system and for specifying system
5218. security and certification requirements for new acquisitions.  Where
5219. a system being evaluated for certification employs a product that 
5220. has undergone a Commercial Product Evaluation, reports from that 
5221. process will be used as input to the certification evaluation. 
5222. Technical data will be furnished to designers, evaluators and the 
5223. Designated Approving Authorities to support their needs for 
5224. making decisions.
5225.  
5226.  
5227.                                      
5228.      2.1.4.3  Test Documentation
5229.  
5230.           The system developer will provide to the evaluators a 
5231.           document that describes the test plan, 
5232.  
5233.             >test procedures that show how the security mechanisms were tested,
5234.  
5235.           and results of the security mechanisms' functional testing.
5236.  
5237.  
5238.  
5239.  
5240. Changed Section 2.2.1.1 as follows:  
5241.  
5242.      2.2.1.1  Discretionary Access Control
5243.  
5244.           The TCB shall define and control access between named 
5245.           users and named objects (e.g., files and programs) in 
5246.           the ADP system.  The enforcement mechanism (e.g., 
5247.           self/group/public controls, access control lists) shall 
5248.           allow users to specify and control sharing of those 
5249.           objects by named individuals, or defined groups of 
5250.           individuals, or by both, 
5251.  
5252.                 >and shall provide controls to 
5253.                 >limit propagation of access rights.  
5254.  
5255.           The discretionary access control mechanism shall,
5256.           either by explicit user action or by default, provide that
5257.         objects are protected from unauthorized access.  These
5258.         access controls shall be capable of including or excluding
5259.         access to the granularity of a single user.  Access
5260.         permission to an object by users not already possessing
5261.         access permission shall only be assigned by authorized
5262.         users.
5263.  
5264.                                      
5265.  
5266. Completely Reworded Section 2.2.1.2 as follows:  
5267.  
5268.      2.2.1.2  Object Reuse
5269.  
5270.  
5271.           All authorizations to the information contained within 
5272.           a storage object shall be revoked prior to initial 
5273.           assignment, allocation or reallocation to a subject 
5274.           from the TCB's pool of unused storage objects.  No 
5275.           information, including encrypted representations of 
5276.           information, produced by a prior subject's actions is 
5277.           to be available to any subject that obtains access to 
5278.           an object that has been released back to the system.  
5279.  
5280.  
5281.                                      
5282.  
5283. Reworded Section 2.2.2.2 as follows:  
5284.  
5285.      2.2.2.2  Audit
5286.  
5287.           The TCB shall be able to create, maintain, and protect 
5288.           from modification or unauthorized access or destruction 
5289.           an audit trail of accesses to the objects it protects. 
5290.           The audit data shall be protected by the TCB so that 
5291.           read access to it is limited to those who are 
5292.           authorized for audit data.  The TCB shall be able to 
5293.           record the following types of events:  use of 
5294.           identification and authentication mechanisms, 
5295.           introduction of objects into a user's address space 
5296.           (e.g., file open, program initiation), deletion of 
5297.           objects, actions taken by computer operators and system 
5298.           administrators and/or system security officers, 
5299.  
5300.                 >and other security relevant events.
5301.  
5302.           For each recorded event, the audit record shall
5303.         identify: date and time of the event, user, type of event,
5304.         and success or failure of the event.  For
5305.         identification/authentication events the origin of request
5306.         (e.g., terminal ID) shall be included in the audit record.
5307.         For events that introduce an object into a user's address
5308.         space and for object deletion events the audit record shall
5309.         include the name of the object.  The ADP system
5310.         administrator shall be able to selectively audit the
5311.         actions of any one or more users based on individual
5312.         identity.
5313.  
5314.                                      
5315.  
5316.  
5317.  
5318. Changed Section 2.2.4.3 as follows: 
5319.  
5320.     2.2.4.3  Test Documentation
5321.  
5322.           The system developer will provide to the evaluators a 
5323.           document that describes the test plan, 
5324.  
5325.                 >test procedures that show how the
5326.                 >security mechanisms were tested, 
5327.  
5328.           and results of the security mechanisms' functional testing.
5329.  
5330.  
5331.  
5332. Changed Section 3.1.1.1 as follows: 
5333.  
5334.      3.1.1.1  Discretionary Access Control
5335.  
5336.           The TCB shall define and control access between named 
5337.           users and named objects (e.g., files and programs) in 
5338.           the ADP system.  The enforcement mechanism (e.g., 
5339.           self/group/public controls, access control lists) shall 
5340.           allow users to specify and control sharing of those 
5341.           objects by named individuals, or defined groups of 
5342.           individuals, or by both, 
5343.  
5344.                 >and shall provide controls to 
5345.                   >limit propagation of access rights.
5346.  
5347.           The discretionary access control mechanism shall,
5348.         either by explicit user action or by default, provide that
5349.         objects are protected from unauthorized access.  These
5350.         access controls shall be capable of including or excluding
5351.         access to the granularity of a single user.  Access
5352.         permission to an object by users not already possessing
5353.         access permission shall only be assigned by authorized
5354.         users.
5355.  
5356.                                      
5357.  
5358. Completely reworded Section 3.1.1.2 as follows:  
5359.  
5360.      3.1.1.2  Object Reuse
5361.  
5362.           All authorizations to the information contained within 
5363.           a storage object shall be revoked prior to initial 
5364.           assignment, allocation or reallocation to a subject 
5365.           from the TCB's pool of unused storage objects.  No 
5366.           information, including encrypted representations of 
5367.           information, produced by a prior subject's actions is 
5368.           to be available to any subject that obtains access to 
5369.           an object that has been released back to the system.  
5370.  
5371.  
5372.  
5373.  
5374. Changed Section 3.1.1.3.2 as follows: 
5375.  
5376.           3.1.1.3.2  Exportation of Labeled Information
5377.  
5378.                The TCB shall designate each communication channel 
5379.                and I/O device as either single-level or 
5380.                multilevel.  Any change in this designation shall 
5381.                be done manually and shall be auditable by the 
5382.                TCB.  The TCB shall maintain and be able to audit 
5383.                any change in the /current/ security level or 
5384.                levels associated with a /single-level/ communication 
5385.                channel or I/O device.
5386.  
5387.  
5388. Appended a sentence to Section 3.1.1.4 as follows:
5389.  
5390.                 3.1.1.4  Mandatory Access Control
5391.  
5392.                 ... Identification and authentication data shall be used
5393.                     by the TCB to authenticate the user's identity 
5394.                 and to ensure that the security level and authorization
5395.                 of subjects external to the TCB that may be created to
5396.                 act on behalf of the individual user are dominated by
5397.                 the clearance and authorization of that user.
5398.  
5399.  
5400. Changed one sentence in Section 3.1.2.1 as follows:
5401.  
5402.                 3.1.2.1.  Identification and Authentication
5403.  
5404.                 ... This data shall be used by the TCB to authenticate
5405.                 the user's identity and /to determine/ 
5406.  
5407.                         >to ensure that
5408.  
5409.                 the security level and authorizations of subjects
5410.  
5411.                         >external to the TCB 
5412.  
5413.                 that may be created to act on
5414.                 behalf of the individual user 
5415.  
5416.                         >are dominated by the clearance 
5417.                         >and authorization of that user.                 
5418.                    
5419.                                      
5420. Reworded Section 3.1.2.2 as follows: 
5421.  
5422.      3.1.2.2  Audit
5423.  
5424.           The TCB shall be able to create, maintain, and protect 
5425.           from modification or unauthorized access or destruction 
5426.           an audit trail of accesses to the objects it protects. 
5427.           The audit data shall be protected by the TCB so that 
5428.           read access to it is limited to those who are 
5429.           authorized for audit data.  The TCB shall be able to 
5430.           record the following types of events:  use of 
5431.           identification and authentication mechanisms, 
5432.           introduction of objects into a user's address space 
5433.           (e.g., file open, program initiation), deletion of 
5434.           objects, actions taken by computer operators and system 
5435.           administrators and/or system security officers,
5436.  
5437.                 > and other security relevant events. 
5438.  
5439.         The TCB shall also be able to audit any override
5440.         of human-readable output markings.  For each recorded
5441.         event, the audit record shall identify: date and time of
5442.         the event, user, type of event, and success or failure of
5443.         the event.  For identification/authentication events the
5444.         origin of request (e.g., terminal ID) shall be included in
5445.         the audit record.  For events that introduce an object into
5446.         a user's address space and for object deletion events the
5447.         audit record shall include the name of the object and the
5448.         object's security level.  The ADP system administrator
5449.         shall be able to selectively audit the actions of any one
5450.         or more users based on individual identity and/or object
5451.         security level.
5452.  
5453.  
5454. 'Unbolded' the first sentence of Section 3.1.3.2.1.
5455.  
5456.  
5457. Reworded Section 3.1.3.2.2 as follows: 
5458.  
5459.           3.1.3.2.2  Design Specification and Verification
5460.  
5461.                An informal or formal model of the security policy 
5462.                supported by the TCB shall be maintained  
5463.  
5464.                 >over the life cycle of the ADP system and demonstrated 
5465.  
5466.              to be consistent with its axioms.
5467.  
5468.  
5469. Changed sentence as follows: 
5470.  
5471.      3.1.4.3  Test Documentation
5472.  
5473.           The system developer will provide to the evaluators a 
5474.           document that describes the test plan, 
5475.  
5476.                 >test procedures that show how the security 
5477.                 >mechanisms were tested, 
5478.  
5479.         and results of the security mechanisms' functional testing.
5480.  
5481.  
5482. Changed Section 3.2.1.1 as follows: 
5483.  
5484.      3.2.1.1  Discretionary Access Control
5485.  
5486.           The TCB shall define and control access between named 
5487.           users and named objects (e.g., files and programs) in 
5488.           the ADP system.  The enforcement mechanism (e.g., 
5489.           self/group/public controls, access control lists) shall 
5490.           allow users to specify and control sharing of those 
5491.           objects by named individuals, or defined groups of 
5492.           individuals, or by both, 
5493.  
5494.                 >and shall provide controls to 
5495.                 >limit propagation of access rights.  
5496.  
5497.         The discretionary access control mechanism shall,
5498.         either by explicit user action or by default, provide that
5499.         objects are protected from unauthorized access.  These
5500.         access controls shall be capable of including or excluding
5501.         access to the granularity of a single user.  Access
5502.         permission to an object by users not already possessing
5503.         access permission shall only be assigned by authorized
5504.         users.
5505.  
5506.                                      
5507. Completely reworded Section 3.2.1.2 as follows: 
5508.  
5509.      3.2.1.2  Object Reuse
5510.  
5511.           All authorizations to the information contained within 
5512.           a storage object shall be revoked prior to initial 
5513.           assignment, allocation or reallocation to a subject 
5514.           from the TCB's pool of unused storage objects.  No 
5515.           information, including encrypted representations of 
5516.           information, produced by a prior subject's actions is 
5517.           to be available to any subject that obtains access to 
5518.           an object that has been released back to the system.  
5519.  
5520.  
5521.  
5522.  
5523. Changed Section 3.2.1.3 as follows: 
5524.  
5525.      3.2.1.3  Labels
5526.  
5527.           Sensitivity labels associated with each ADP system 
5528.           resource (e.g., subject, storage object, ROM) that is 
5529.           directly or indirectly accessible by subjects external 
5530.           to the TCB shall be maintained by the TCB.  These 
5531.           labels shall be used as the basis for mandatory access 
5532.           control decisions.  In order to import non-labeled 
5533.           data, the TCB shall request and receive from an 
5534.           authorized user the security level of the data, and all 
5535.           such actions shall be auditable by the TCB.
5536.  
5537.                                      
5538.  
5539. Changed Section 3.2.1.3.2 as follows: 
5540.  
5541.           3.2.1.3.2  Exportation of Labeled Information
5542.  
5543.                The TCB shall designate each communication channel 
5544.                and I/O device as either single-level or 
5545.                multilevel.  Any change in this designation shall 
5546.                be done manually and shall be auditable by the 
5547.                TCB.  The TCB shall maintain and be able to audit 
5548.                any change in the /current/ security level or 
5549.                levels associated with a /single-level/ 
5550.                communication channel or I/O device.
5551.  
5552.  
5553. Appended Sectence to Section 3.2.1.4 as follows:
5554.  
5555.                 3.2.1.4  Mandatory Access Control
5556.  
5557.                 ... Identification and authentication data shall be
5558.                 used by the TCB to authenticate the user's identity
5559.                 and to ensure that the security level and authorization
5560.                 of subjects external to the TCB that may be created to
5561.                 act on behalf of the individual user are dominated by
5562.                 the clearance and authorization of that user.
5563.  
5564. Changed Section 3.2.2.1 as follows:
5565.  
5566.                 3.2.2.1  Identification and Authentication
5567.  
5568.                 ... This data shall be used by the TCB to authenticate
5569.                 the user's identity and /to determine/
5570.  
5571.                         >to ensure that
5572.  
5573.                 the security level and authorizations of subjects
5574.  
5575.                         >external to the TCB 
5576.  
5577.                 that may be created to act on
5578.                 behalf of the individual user 
5579.  
5580.                         >are dominated by the clearance
5581.                         >and authorization of that user.                 
5582.             
5583.  
5584.                                      
5585. Reworded section 3.2.2.2 as follows:  
5586.  
5587.      3.2.2.2  Audit
5588.  
5589.           The TCB shall be able to create, maintain, and protect 
5590.           from modification or unauthorized access or destruction 
5591.           an audit trail of accesses to the objects it protects. 
5592.           The audit data shall be protected by the TCB so that 
5593.           read access to it is limited to those who are 
5594.           authorized for audit data.  The TCB shall be able to 
5595.           record the following types of events:  use of 
5596.           identification and authentication mechanisms, 
5597.           introduction of objects into a user's address space 
5598.           (e.g., file open, program initiation), deletion of 
5599.           objects, actions taken by computer operators and system 
5600.           administrators and/or system security officers, 
5601.  
5602.                 >and other security relevant events. 
5603.  
5604.         The TCB shall also be able to audit any override
5605.         of human-readable output markings.  For each recorded
5606.         event, the audit record shall identify: date and time of
5607.         the event, user, type of event, and success or failure of
5608.         the event.  For identification/authentication events the
5609.         origin of request (e.g., terminal ID) shall be included in
5610.         the audit record.  For events that introduce an object into
5611.         a user's address space and for object deletion events the
5612.         audit record shall include the name of the object and the
5613.         object's security level.  The ADP system administrator
5614.         shall be able to selectively audit the actions of any one
5615.         or more users based on individual identity and/or object
5616.         security level.  The TCB shall be able to audit the
5617.         identified events that may be used in the exploitation of
5618.         covert storage channels.
5619.  
5620.                                      
5621.  
5622. Changed Section 3.2.3.2.2 as follows: 
5623.  
5624.           3.2.3.2.2  Design Specification and Verification
5625.  
5626.                A formal model of the security policy supported by 
5627.                the TCB shall be maintained 
5628.  
5629.                 >over the life cycle of the ADP system 
5630.  
5631.                that is proven consistent with its 
5632.                axioms.  A descriptive top-level specification 
5633.                (DTLS) of the TCB shall be maintained that 
5634.                completely and accurately describes the TCB in 
5635.                terms of exceptions, error messages, and effects. 
5636.                It shall be shown to be an accurate description of 
5637.                the TCB interface.
5638.  
5639.  
5640.  
5641. Changed Section 3.2.4.3 as follows: 
5642.  
5643.      3.2.4.3  Test Documentation
5644.  
5645.           The system developer shall provide to the evaluators a 
5646.           document that describes the test plan, 
5647.  
5648.                 >test procedures that show how the 
5649.                 >security mechanisms were tested, 
5650.  
5651.         and results of the security mechanisms' functional testing. 
5652.           It shall include results of testing the effectiveness 
5653.           of the methods used to reduce covert channel 
5654.           bandwidths.
5655.  
5656.                                      
5657.  
5658. Replaced "tamperproof" with "tamper resistant":  
5659.  
5660.      3.2.4.4  Design Documentation
5661.  
5662.           Documentation shall be available that provides a 
5663.           description of the manufacturer's philosophy of 
5664.           protection and an explanation of how this philosophy is 
5665.           translated into the TCB.  The interfaces between the 
5666.           TCB modules shall be described.  A formal description 
5667.           of the security policy model enforced by the TCB shall 
5668.           be available and proven that it is sufficient to 
5669.           enforce the security policy.  The specific TCB 
5670.           protection mechanisms shall be identified and an 
5671.           explanation given to show that they satisfy the model. 
5672.           The descriptive top-level specification (DTLS) shall be 
5673.           shown to be an accurate description of the TCB 
5674.           interface.  Documentation shall describe how the TCB 
5675.           implements the reference monitor concept and give an 
5676.           explanation why it is 
5677.  
5678.                 >tamper resistant, 
5679.  
5680.         cannot be bypassed, and is correctly implemented.
5681.         Documentation shall describe how the TCB is structured to
5682.         facilitate testing and to enforce least privilege.  This
5683.         documentation shall also present the results of the covert
5684.         channel analysis and the tradeoffs involved in restricting
5685.         the channels.  All auditable events that may be used in the
5686.         exploitation of known covert storage channels shall be
5687.         identified.  The bandwidths of known covert storage
5688.         channels, the use of which is not detectable by the
5689.         auditing mechanisms, shall be provided.  (See the Covert
5690.         Channel Guideline section.)
5691.  
5692.                                      
5693.  
5694. Changed Section 3.3.1.1 as follows: 
5695.  
5696.      3.3.1.1  Discretionary Access Control
5697.  
5698.           The TCB shall define and control access between named 
5699.           users and named objects (e.g., files and programs) in 
5700.           the ADP system.  The enforcement mechanism (e.g., 
5701.           access control lists) shall allow users to specify and 
5702.           control sharing of those objects, 
5703.  
5704.                 >and shall provide controls to limit 
5705.                 >propagation of access rights.  
5706.  
5707.         The discretionary access control mechanism shall, either by 
5708.           explicit user action or by default, provide that 
5709.           objects are protected from unauthorized access.  These 
5710.           access controls shall be capable of specifying, for 
5711.           each named object, a list of named individuals and a 
5712.           list of groups of named individuals with their 
5713.           respective modes of access to that object. 
5714.           Furthermore, for each such named object, it shall be 
5715.           possible to specify a list of named individuals and a 
5716.           list of groups of named individuals for which no access 
5717.           to the object is to be given.  Access permission to an 
5718.           object by users not already possessing access 
5719.           permission shall only be assigned by authorized users.
5720.  
5721.  
5722.  
5723. Completely reworded Section 3.3.1.2 as follows:  
5724.  
5725.      3.3.1.2  Object Reuse
5726.  
5727.           All authorizations to the information contained within 
5728.           a storage object shall be revoked prior to initial 
5729.           assignment, allocation or reallocation to a subject 
5730.           from the TCB's pool of unused storage objects.  No 
5731.           information, including encrypted representations of 
5732.           information, produced by a prior subject's actions is 
5733.           to be available to any subject that obtains access to 
5734.           an object that has been released back to the system.  
5735.  
5736.  
5737.  
5738.  
5739. Changed Section 3.3.1.3 as follows: 
5740.  
5741.      3.3.1.3  Labels
5742.  
5743.           Sensitivity labels associated with each ADP system 
5744.           resource (e.g., subject, storage object, ROM) that is 
5745.           directly or indirectly accessible by subjects external 
5746.           to the TCB shall be maintained by the TCB.  These 
5747.           labels shall be used as the basis for mandatory access 
5748.           control decisions.  In order to import non-labeled 
5749.           data, the TCB shall request and receive from an 
5750.           authorized user the security level of the data, and all 
5751.           such actions shall be auditable by the TCB.
5752.  
5753.  
5754.                                      
5755. Changed Section 3.3.1.3.2 as follows: 
5756.  
5757.           3.3.1.3.2  Exportation of Labeled Information
5758.  
5759.                The TCB shall designate each communication channel 
5760.                and I/O device as either single-level or 
5761.                multilevel.  Any change in this designation shall 
5762.                be done manually and shall be auditable by the 
5763.                TCB.  The TCB shall maintain and be able to audit 
5764.                any change in the /current/ security level or 
5765.                levels associated with a /single-level/ 
5766.                communication channel or I/O device.
5767.                                      
5768.  
5769. Appended Sentence to Section 3.3.1.4 as follows:
5770.  
5771.                 3.3.1.4  Mandatory Access Control
5772.  
5773.                 ... Identification and authentication data shall be used
5774.                     by the TCB to authenticate the user's identity 
5775.                 and to ensure that the security level and authorization
5776.                 of subjects external to the TCB that may be created to
5777.                 act on behalf of the individual user are dominated by
5778.                 the clearance and authorization of that user.
5779.  
5780.  
5781.  
5782. Changed Section 3.3.2.1 as follows:
5783.  
5784.                 3.3.2.1  Identification and Authentication
5785.  
5786.                 ... This data shall be used by the TCB to authenticate
5787.                 the user's identity and /to determine/ 
5788.  
5789.                         >to ensure that
5790.  
5791.                 the security level and authorizations of subjects
5792.  
5793.                         >external to the TCB 
5794.  
5795.                 that may be created to act on
5796.                 behalf of the individual user 
5797.  
5798.                         >are dominated by the clearance 
5799.                         >and authorization of that user.                 
5800.             
5801.  
5802.  
5803.                                      
5804. Changed Section 3.3.2.2 as follows: 
5805.  
5806.      3.3.2.2  Audit
5807.  
5808.           The TCB shall be able to create, maintain, and protect 
5809.           from modification or unauthorized access or destruction 
5810.           an audit trail of accesses to the objects it protects. 
5811.           The audit data shall be protected by the TCB so that 
5812.           read access to it is limited to those who are 
5813.           authorized for audit data.  The TCB shall be able to 
5814.           record the following types of events:  use of 
5815.           identification and authentication mechanisms, 
5816.           introduction of objects into a user's address space 
5817.           (e.g., file open, program initiation), deletion of 
5818.           objects, actions taken by computer operators and system 
5819.           administrators and/or system security officers, 
5820.         
5821.                 >and other security relevant events.  
5822.         
5823.         The TCB shall also be able to audit any override
5824.         of human-readable output markings.  For each recorded
5825.         event, the audit record shall identify: date and time of
5826.         the event, user, type of event, and success or failure of
5827.         the event.  For identification/authentication events the
5828.         origin of request (e.g., terminal ID) shall be included in
5829.         the audit record.  For events that introduce an object into
5830.         a user's address space and for object deletion events the
5831.         audit record shall include the name of the object and the
5832.         object's security level.  The ADP system administrator
5833.         shall be able to selectively audit the actions of any one
5834.         or more users based on individual identity and/or object
5835.         security level.  The TCB shall be able to audit the
5836.         identified events that may be used in the exploitation of
5837.         covert storage channels.  The TCB shall contain a mechanism
5838.         that is able to monitor the occurrence or accumulation of
5839.         security auditable events that may indicate an imminent
5840.         violation of security policy.  This mechanism shall be able
5841.         to immediately notify the security administrator when
5842.         thresholds are exceeded, 
5843.  
5844.                 >and if the occurrence or accumulation
5845.                 >of these security relevant events continues, 
5846.                 >the system shall take the least disruptive 
5847.                 >action to terminate the event.
5848.  
5849.  
5850. Changed the first sentence of Section 3.3.3.2.2 as follows:
5851.  
5852.         3.3.3.2.2  Design Specification and Verification
5853.  
5854.                 A formal model of the security policy supported by
5855.                 the TCB shall be maintained 
5856.  
5857.                         >over the life cycle of
5858.                         >the ADP system 
5859.  
5860.                 that is proven consistent with its axioms. ...
5861.  
5862. Changed Section 3.3.4.3 as follows:  
5863.  
5864.      3.3.4.3  Test Documentation
5865.  
5866.           The system developer shall provide to the evaluators a 
5867.           document that describes the test plan, 
5868.  
5869.                 >test procedures that show how the 
5870.                 >security mechanisms were tested, 
5871.  
5872.         and results of the security mechanisms' functional testing. 
5873.           It shall include results of testing the effectiveness 
5874.           of the methods used to reduce covert channel 
5875.           bandwidths.
5876.  
5877. Replaced "tamperproof" with "tamper resistant" in Section 3.3.4.4.
5878.  
5879.                                      
5880.  
5881. Changed Section 4.1.1.1 as follows:  
5882.  
5883.      4.1.1.1  Discretionary Access Control
5884.  
5885.           The TCB shall define and control access between named 
5886.           users and named objects (e.g., files and programs) in 
5887.           the ADP system.  The enforcement mechanism (e.g., 
5888.           access control lists) shall allow users to specify and 
5889.           control sharing of those objects, 
5890.  
5891.                 >and shall provide controls to 
5892.                 >limit propagation of access rights.  
5893.  
5894.         The discretionary access control mechanism shall, either by 
5895.           explicit user action or by default, provide that 
5896.           objects are protected from unauthorized access.  These 
5897.           access controls shall be capable of specifying, for 
5898.           each named object, a list of named individuals and a 
5899.           list of groups of named individuals with their 
5900.           respective modes of access to that object. 
5901.           Furthermore, for each such named object, it shall be 
5902.           possible to specify a list of named individuals and a 
5903.           list of groups of named individuals for which no access 
5904.           to the object is to be given.  Access permission to an 
5905.           object by users not already possessing access 
5906.           permission shall only be assigned by authorized users.
5907.                                      
5908.  
5909.  
5910. Completely reworded Section 4.1.1.2 as follows:  
5911.  
5912.      4.1.1.2  Object Reuse
5913.  
5914.           All authorizations to the information contained within 
5915.           a storage object shall be revoked prior to initial 
5916.           assignment, allocation or reallocation to a subject 
5917.           from the TCB's pool of unused storage objects.  No 
5918.           information, including encrypted representations of 
5919.           information, produced by a prior subject's actions is 
5920.           to be available to any subject that obtains access to 
5921.           an object that has been released back to the system.  
5922.  
5923.  
5924.  
5925.  
5926. Changed Section 4.1.1.3 as follows:  
5927.  
5928.      4.1.1.3  Labels
5929.  
5930.           Sensitivity labels associated with each ADP system 
5931.           resource (e.g., subject, storage object, 
5932.  
5933.                 >ROM) 
5934.  
5935.         that is directly or indirectly accessible by subjects 
5936.         external to the TCB shall be maintained by the TCB.  These 
5937.           labels shall be used as the basis for mandatory access 
5938.           control decisions.  In order to import non-labeled 
5939.           data, the TCB shall request and receive from an 
5940.           authorized user the security level of the data, and all 
5941.           such actions shall be auditable by the TCB.
5942.  
5943.                                      
5944.  
5945. Changed Section 4.1.1.3.2 as follows: 
5946.  
5947.           4.1.1.3.2  Exportation of Labeled Information
5948.  
5949.                The TCB shall designate each communication channel 
5950.                and I/O device as either single-level or 
5951.                multilevel.  Any change in this designation shall 
5952.                be done manually and shall be auditable by the 
5953.                TCB.  The TCB shall maintain and be able to audit 
5954.                any change in the /current/ security level 
5955.  
5956.                 >or levels 
5957.  
5958.              associated with a /single-level/ 
5959.                communication channel or I/O device.
5960.  
5961.  
5962. Appended Sentence to Section 4.1.1.4 as follows:
5963.  
5964.                 4.1.1.4  Mandatory Access Control
5965.  
5966.                 ... Identification and authentication data shall be used
5967.                 by the TCB to authenticate the user's identity 
5968.                 and to ensure that the security level and authorization 
5969.                 of subjects external to the TCB that may be created to 
5970.                 act on behalf of the individual user are dominated by 
5971.                 the clearance and authorization of that user.
5972.  
5973.  
5974.  
5975. Changed Section 4.1.2.1 as follows:
5976.  
5977.                 4.1.2.1  Identification and Authentication
5978.  
5979.                 ... This data shall be used by the TCB to authenticate
5980.                 the user's identity and /to determine/ 
5981.  
5982.                         >to ensure that
5983.  
5984.                 the security level and authorizations of subjects
5985.  
5986.                         >external to the TCB 
5987.  
5988.                 that may be created to act on
5989.                 behalf of the individual user 
5990.  
5991.                         >are dominated by the clearance 
5992.                         >and authorization of that user.                 
5993.                
5994.  
5995.  
5996. Changed Section 4.1.2.2 as follows: 
5997.  
5998.  
5999.      4.1.2.2  Audit
6000.  
6001.           The TCB shall be able to create, maintain, and protect 
6002.           from modification or unauthorized access or destruction 
6003.           an audit trail of accesses to the objects it protects. 
6004.           The audit data shall be protected by the TCB so that 
6005.           read access to it is limited to those who are 
6006.           authorized for audit data.  The TCB shall be able to 
6007.           record the following types of events:  use of 
6008.           identification and authentication mechanisms, 
6009.           introduction of objects into a user's address space 
6010.           (e.g., file open, program initiation), deletion of 
6011.           objects, actions taken by computer operators and system 
6012.           administrators and/or system security officers, 
6013.  
6014.                 >and other security relevant events.  
6015.  
6016.         The TCB shall also be able to audit any override
6017.         of human-readable output markings.  For each recorded
6018.         event, the audit record shall identify: date and time of
6019.         the event, user, type of event, and success or failure of
6020.         the event.  For identification/authentication events the
6021.         origin of request (e.g., terminal ID) shall be included in
6022.         the audit record.  For events that introduce an object into
6023.         a user's address space and for object deletion events the
6024.         audit record shall include the name of the object and the
6025.         object's security level.  The ADP system administrator
6026.         shall be able to selectively audit the actions of any one
6027.         or more users based on individual identity and/or object
6028.         security level.  The TCB shall be able to audit the
6029.         identified events that may be used in the exploitation of
6030.         covert storage channels.  The TCB shall contain a mechanism
6031.         that is able to monitor the occurrence or accumulation of
6032.         security auditable events that may indicate an imminent
6033.         violation of security policy.  This mechanism shall be able
6034.         to immediately notify the security administrator when
6035.         thresholds are exceeded, 
6036.  
6037.                 >and, if the occurrence or accumulation of these 
6038.                 >security relevant events continues, the system 
6039.                 >shall take the least disruptive action to
6040.                 >terminate the event.
6041.  
6042.                                      
6043. 'Unbolded' the words "covert channels" in Section 4.1.3.1.3.
6044.  
6045.  
6046. Changed the first sentence of Section 4.1.3.2.2 as follows:
6047.  
6048.         4.1.3.2.2  Design Specification and Verification
6049.  
6050.                 A formal model of the security policy supported by
6051.                 the TCB shall be maintained 
6052.  
6053.                         >over the life cycle of the ADP system 
6054.  
6055.                 that is proven consistent with its axioms. ...
6056.  
6057.  
6058.  
6059. Changed Section 4.1.4.3 as follows: 
6060.  
6061.      4.1.4.3  Test Documentation
6062.  
6063.           The system developer shall provide to the evaluators a 
6064.           document that describes the test plan, 
6065.  
6066.                 >test procedures that show how the security 
6067.                 >mechanisms were tested, and 
6068.  
6069.           results of the security mechanisms' functional testing. 
6070.           It shall include results of testing the effectiveness 
6071.           of the methods used to reduce covert channel 
6072.           bandwidths.  The results of the mapping between the 
6073.           formal top-level specification and the TCB source code 
6074.           shall be given.
6075.  
6076.  
6077.  
6078. Replaced "tamperproof" with "tamper resistant" in Section 4.1.4.4.
6079.  
6080.  
6081. Changed the last paragraph of Section 5.1 as follows:
6082.  
6083.                                      
6084. 5.1  A Need for Consensus
6085.  
6086.      A major goal of ... 
6087.  
6088.      As described ... 
6089.  
6090.         >The Purpose of this section is to describe in detail the 
6091.         >fundamental control objectives.  These objectives lay the 
6092.         >foundation for the requirements outlined in the criteria. 
6093.  
6094.      The goal is to explain the foundations so that those outside 
6095.      the National Security Establishment can assess their 
6096.      universality and, by extension, the universal applicability 
6097.      of the criteria requirements to processing all types of 
6098.      sensitive applications whether they be for National Security 
6099.      or the private sector.
6100.  
6101.  
6102.  
6103. Changed the second paragraph of Section 6.2 as follows:
6104.  
6105. 6.2  A Formal Policy Model
6106.  
6107.         Following the publication of ...
6108.  
6109.                 >A subject can act on behalf of a user or another 
6110.                 >subject.  The subject is created as a surrogate 
6111.                 >for the cleared user and is assigned a formal 
6112.                 >security level based on their classification.
6113.                 >The state transitions and invariants of the formal 
6114.                 >policy model define the invariant relationships 
6115.                 >that must hold between the clearance of the user, 
6116.                 >the formal security level of any process that can 
6117.                 >act on the user's behalf, and the formal security 
6118.                 >level of the devices and other objects to which any 
6119.                 >process can obtain specific modes of access.  
6120.  
6121.         The Bell and LaPadula model, 
6122.  
6123.                 >for example, 
6124.  
6125.         defines a relationship between 
6126.  
6127.                 >formal security levels of subjects and objects, 
6128.  
6129.         now referenced as the "dominance relation."  From this definition ...
6130.         ... Both the Simple Security Condition and the *-Property 
6131.         include mandatory security provisions based on the dominance
6132.         relation between the 
6133.  
6134.                 >formal security levels of subjects and objects.  
6135.  
6136.         The Discretionary Security Property ...
6137.  
6138.                                      
6139.  
6140.  
6141. Added a sentence to the end of Section 7.0: 
6142.  
6143.  
6144. 7.0  THE RELATIONSHIP BETWEEN POLICY AND THE CRITERIA
6145.  
6146.      Section 1 presents fundamental computer security 
6147.      requirements and Section 5 presents the control objectives 
6148.      for Trusted Computer Systems.  They are general 
6149.      requirements, useful and necessary, for the development of 
6150.      all secure systems.  However, when designing systems that 
6151.      will be used to process classified or other sensitive 
6152.      information, functional requirements for meeting the Control 
6153.      Objectives become more specific.  There is a large body of 
6154.      policy laid down in the form of Regulations, Directives, 
6155.      Presidential Executive Orders, and OMB Circulars that form 
6156.      the basis of the procedures for the handling and processing 
6157.      of Federal information in general and classified information 
6158.      specifically.  This section presents pertinent excerpts from 
6159.      these policy statements and discusses their relationship to 
6160.      the Control Objectives.  
6161.  
6162.         >These excerpts are examples to illustrate the relationship 
6163.         >of the policies to criteria and may not be complete.
6164.  
6165.  
6166.  
6167.                                      
6168. Inserted the following 
6169.  
6170.         >as the next to last paragraph 
6171.  
6172. of Section 7.2:    
6173.  
6174.         >DoD Directive 5200.28 provides the security requirements for 
6175.         >ADP systems.  For some types of information, such as 
6176.         >Sensitive Compartmented Information (SCI), DoD Directive 
6177.         >5200.28 states that other minimum security requirements also 
6178.         >apply.  These minima are found in DCID 1/16 (new reference 
6179.         >number 5) which is implemented in DIAM 50-4 (new reference 
6180.         >number 6) for DoD and DoD contractor ADP systems.
6181.  
6182.      From requirements imposed by ... 
6183.  
6184.  
6185. Changed Footnote #1 referenced by Section 7.2 as follows:
6186.  
6187.         Replaced "Health and Human Services Department" with "U.S. 
6188.         Information Agency."
6189.  
6190.  
6191.  
6192. Changed (updated) the quote from DoD 5220.22-M, Section 7.3.1, as 
6193. follows:
6194.                                      
6195. 7.3  Criteria Control Objective for Security Policy
6196.  
6197.      7.3.1  Marking
6198.  
6199.           The control objective for marking ... 
6200.  
6201.           DoD 5220.22-M, "Industrial Security ... 
6202.  
6203.                   >"a.  General.  Classification designation by physical 
6204.                   >marking, notation or other means serves to warn and to 
6205.                   >inform the holder what degree of protection against 
6206.                   >unauthorized disclosure is required for that 
6207.                   >information or material." (14)
6208.  
6209.  
6210.  
6211. Changed the 
6212.  
6213.         >last paragraph 
6214.  
6215. of Section 7.5 as follows:
6216.  
6217.         A major component of assurance, life-cycle assurance, 
6218.  
6219.                 >as described in DoD Directive 7920.1, 
6220.  
6221. is concerned with testing ADP systems both in the
6222. development phase as well as during operation.
6223.  
6224.         >(17) 
6225.  
6226. DoD Directive 5215.1 ...
6227.  
6228.  
6229.  
6230. Changed Section 9.0 as follows:
6231.                                      
6232.  
6233. 9.0  A GUIDELINE ON CONFIGURING MANDATORY ACCESS CONTROL FEATURES
6234.  
6235.      The Mandatory Access Control requirement ... 
6236.  
6237.      *    The number of hierarchical classifications should be 
6238.           greater than or equal to 
6239.  
6240.                 >sixteen (16).
6241.  
6242.      *    The number of non-hierarchical categories should be 
6243.           greater than or equal to 
6244.  
6245.                 >sixty-four (64)..
6246.  
6247.  
6248.  
6249. Completely reworded the third paragraph of Formal Product
6250. Evaluation, in Appendix A, as follows:
6251.                                      
6252. Formal Product Evaluation
6253.  
6254. The formal product evaluation provides ... 
6255.  
6256. A formal product evaluation begins with ...   
6257.  
6258.         >The evaluation team writes a final report on their findings about 
6259.         >the system.  The report is publicly available (containing no 
6260.         >proprietary or sensitive information) and contains the overall 
6261.         >class rating assigned to the system and the details of the 
6262.         >evaluation team's findings when comparing the product against the 
6263.         >evaluation criteria.  Detailed information concerning 
6264.         >vulnerabilities found by the evaluation team is furnished to the 
6265.         >system developers and designers as each is found so that the 
6266.         >vendor has a chance to eliminate as many of them as possible 
6267.         >prior to the completion of the Formal Product Evaluation. 
6268.         >Vulnerability analyses and other proprietary or sensitive 
6269.         >information are controlled within the Center through the 
6270.         >Vulnerability Reporting Program and are distributed only within 
6271.         >the U.S. Government on a strict need-to-know and non-disclosure 
6272.         >basis, and to the vendor.
6273.  
6274.  
6275.  
6276. Changed two paragraphs in Audit (Appendix D) as follows: 
6277.  
6278.  
6279.  C2: NEW: The TCB shall be able to create, maintain, and protect 
6280.      from modification or unauthorized access or destruction an 
6281.      audit trail of accesses to the objects it protects.  The 
6282.      audit data shall be protected by the TCB so that read access 
6283.      to it is limited to those who are authorized for audit data. 
6284.      The TCB shall be able to record the following types of 
6285.      events: use of identification and authentication mechanisms, 
6286.      introduction of objects into a user's address space (e.g., 
6287.      file open, program initiation), deletion of objects, actions 
6288.      taken by computer operators and system administrators and/or 
6289.      system security officers, 
6290.  
6291.         >and other security relevant events.  
6292.  
6293.      or each recorded event, the audit record shall 
6294.      identify:  date and time of the event, user, type of event, 
6295.      and success or failure of the event.  For 
6296.      identification/authentication events the origin of request 
6297.      (e.g., terminal ID) shall be included in the audit record. 
6298.      For events that introduce an object into a user's  address 
6299.      space and for object deletion events the audit record shall 
6300.      include the name of the object.  The ADP system 
6301.      administrator shall be able to selectively audit the actions 
6302.      of any one or more users based on individual identity.
6303.  
6304.  B3: ADD: ...when thresholds are exceeded, 
6305.  
6306.                 >and, if the occurrence or accumulation of these 
6307.                 >security relevant events continues, the system 
6308.                 >shall take the least disruptive action to terminate
6309.                 >the event.
6310.  
6311.  
6312. Changed one paragraph in Design Documentation (Appendix D):
6313.  
6314.  B2: ADD: Change "tamperproof" to "tamper resistant." 
6315.  
6316.  
6317. Changed two paragraphs in Design Specification and Verification:
6318.  
6319.  B1: NEW: An informal or formal model of the security policy
6320.         supported by the TCB shall be maintained 
6321.  
6322.               >over the life cycle of the ADP system and demonstrated 
6323.  
6324.         to be consistent with its axioms.
6325.  
6326.  B2: CHANGE: A formal model of the security policy supported by
6327.         the TCB shall be maintained 
6328.  
6329.                 >over the life cycle of the ADP system 
6330.  
6331.           that is proven consistent with its axioms.
6332.  
6333.  
6334.  
6335. Changed two paragraphs in Discretionary Access Control as follows:  
6336.  
6337.  C2: CHANGE: The enforcement mechanism (e.g., self/group/public 
6338.      controls, access control lists) shall allow users to specify 
6339.      and control sharing of those objects by named individuals, 
6340.      or defined groups of individuals, or by both, 
6341.  
6342.         >and shall provide controls to limit propagation of access rights.  
6343.  
6344.  B3: CHANGE: The enforcement mechanism (e.g., access control 
6345.      lists) shall allow users to specify and control sharing of 
6346.      those objects, 
6347.  
6348.         >and shall provide controls to limit propagation of access rights.  
6349.  
6350.      These access controls shall be capable of specifying, for each 
6351.      named object, a list of named individuals and a list of groups of
6352.      named individuals with their respective modes of access to that object.
6353.  
6354.                                      
6355. Changed 1 paragraph in Exportation of Labeled Information:
6356.  
6357.  
6358.  B1: NEW: The TCB shall designate each communication channel and 
6359.      I/O device as either single-level or multilevel.  Any change 
6360.      in this designation shall be done manually and shall be 
6361.      auditable by the TCB.  The TCB shall maintain and be able to 
6362.      audit any change in the /current/ security level 
6363.  
6364.         >or levels 
6365.  
6366.      associated with a /single-level/ communication channel or 
6367.      I/O device.
6368.  
6369.  
6370. Changed 1 paragraph in Identification and Authorization:
6371.  
6372.  B1: CHANGE: ... This data shall be used by the TCB to authenticate
6373.         the user's identity and 
6374.  
6375.                 >to ensure that 
6376.  
6377.         the security level and authorizations of subjects external to 
6378.         the TCB that may be     created to act on behalf of the individual 
6379.         user 
6380.  
6381.                 >are dominated by the clearance and authorization 
6382.                 >of that user.
6383.  
6384.  
6385. Changed 1 paragraph in Labels:
6386.  
6387.  B2: CHANGE: ... (e.g., subject, storage object, ROM) ...
6388.  
6389.  
6390. Changed 1 paragraph in Mandatory Access Control:
6391.  
6392.  B1: NEW: ... Identification and authentication data shall be used
6393.  
6394.         >by the TCB to authenticate the user's identity and to ensure
6395.         >that the security level and authorization of subjects external
6396.         >to the TCB that may be created to act on behalf of the
6397.         >individual user are dominated by the clearance and authoriza-
6398.         >tion of that user.
6399.  
6400.  
6401. Rewrote 1 paragraph in Object Reuse:
6402.  
6403.  C2: NEW: 
6404.         >All authorizations to the information contained 
6405.      >within a storage object shall be revoked prior to initial 
6406.      >assignment, allocation or reallocation to a subject from the 
6407.      >TCB's pool of unused storage objects.  No information, 
6408.      >including encrypted representations of information, produced 
6409.      >by a prior subject's actions is to be available to any 
6410.      >subject that obtains access to an object that has been 
6411.      >released back to the system.
6412.  
6413.  
6414. Changed l paragraph in Test Documentation:
6415.  
6416.  C1: NEW: The system developer shall provide to the evaluators a
6417.         document that describes the test plan, 
6418.  
6419.                 >test procedures that show how the security 
6420.                 >mechanisms were tested, 
6421.  
6422.         and results of the security mechanisms' functional testing.
6423.  
6424.  
6425.                                      
6426.                                  GLOSSARY 
6427.  
6428.  
6429.  
6430. Changed Discretionary Access Control: 
6431.  
6432. Discretionary Access Control - A means of restricting access to 
6433.      objects based on the identity of subjects and/or groups to 
6434.      which they belong.  The controls are discretionary in the 
6435.      sense that a subject with a certain access permission is 
6436.      capable of passing that permission (perhaps indirectly) on 
6437.      to any other subject 
6438.  
6439.         (unless restrained by mandatory access control).
6440.  
6441. Added:
6442.  
6443. Front-End Security Filter - A process that is invoked to process 
6444.      data according to a specified security policy prior to 
6445.      releasing the data outside the processing environment or 
6446.      upon receiving data from an external source.
6447.  
6448.  
6449. Granularity - The relative fineness or coarseness by which a 
6450.      mechanism can be adjusted.  The phrase "the granularity of 
6451.      a single user" means the access control mechanism can be 
6452.      adjusted to include or exclude any single user. 
6453.  
6454.  
6455. Read-Only Memory (ROM) - A storage area in which the contents 
6456.      can be read but not altered during normal computer 
6457.      processing.
6458.  
6459.                                     
6460. Security Relevant Event - Any event that attempts to change the 
6461.      security state of the system, (e.g., change discretionary 
6462.      access controls, change the security level of the subject, 
6463.      change user password, etc.).  Also, any event that attempts 
6464.      to violate the security policy of the system, (e.g., too 
6465.      many attempts to login, attempts to violate the mandatory 
6466.      access control limits of a device, attempts to downgrade a 
6467.      file, etc.).
6468.  
6469.  
6470. Changed the name of the term:
6471.  
6472. Simple Security /Property/ 
6473.  
6474.         >Condition 
6475.  
6476. - A Bell-LaPadula security model rule allowing a subject
6477. read access to an object only if the security level of the
6478. subject dominates the security level of the object.
6479.  
6480.  
6481. Changed definition:  
6482.  
6483.  Trusted Computing Base (TCB) - The totality of protection 
6484.      mechanisms within a computer system --including hardware, 
6485.      firmware, and software -- the combination of which is 
6486.      responsible for enforcing a security policy.  
6487.  
6488.         >A TCB consists of one or more components that together enforce 
6489.         >a unified security policy over a product or system.  
6490.  
6491.      The ability of a TCB to correctly enforce a security
6492.      policy depends solely on the mechanisms within the TCB and
6493.      on the correct input by system administrative personnel of
6494.      parameters (e.g., a user's clearance) related to the
6495.      security policy.
6496.  
6497.                                      
6498.                                 REFERENCES 
6499.  
6500.  
6501. Added:  (References were renumbered as necessary)
6502.  
6503. 5.   DCID 1/16, Security of Foreign Intelligence in Automated 
6504.      Data Processing Systems and Networks (U), 4 January 1983. 
6505.  
6506. 6.   DIAM 50-4, Security of Compartmented Computer Operations (U),  
6507.      24 June 1980. 
6508.  
6509. 9.   DoD Directive 5000.29, Management of Computer Resources in     
6510.      Major Defense Systems, 26 April 1976.
6511.  
6512. 17.  DoD Directive 7920.1, Life Cycle Management of Automated 
6513.      Information Systems (AIS), 17 October 1978.
6514.  
6515.  
6516. Corrected dates on the following References:
6517.  
6518. 14.  DoD 5220.22-M, Industrial Security Manual for Safeguarding 
6519.      Classified Information, March 1984.
6520.  
6521. 15.  DoD 5220.22-R, Industrial Security Regulation, February 
6522.      1984.
6523.  
6524.  
6525.