home *** CD-ROM | disk | FTP | other *** search

---

/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / ORANGE.ZIP / Hacking / Rainbow Books / Luscious Orange ... DoD Trusted Security Network Criteria.txt

Wrap

Text File  |  1997-01-24  |  248KB  |  5,068 lines

---

1.  
2.                                                                  CSC-STD-001-83
3.                                                            Library No. S225,711
4.  
5.  
6.  
7.  
8.  
9.                          DEPARTMENT OF DEFENSE
10.  
11.             TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA
12.  
13.  
14.  
15.  
16.  
17.  
18.  
19.                             15 August 1983
20.  
21.  
22.  
23.                                                                  CSC-STD-001-83
24.  
25.  
26.  
27.  
28.  
29.  
30.                                FOREWORD
31.  
32.  
33. This publication, "Department of Defense Trusted Computer System Evaluation
34. Criteria," is being issued by the DoD Computer Security Center under the
35. authority of and in accordance with DoD Directive 5215.1, "Computer Security
36. Evaluation Center." The criteria defined in this document constitute a uniform
37. set of basic requirements and evaluation classes for assessing the
38. effectiveness of security controls built into Automatic Data Processing (ADP)
39. systems.  These criteria are intended for use in the evaluation and selection
40. of ADP systems being considered for the processing and/or storage and
41. retrieval of sensitive or classified information by the Department of Defense.
42. Point of contact concerning this publication is the Office of Standards and
43. Products, Attention: Chief, Computer Security Standards.
44.  
45.  
46.  
47.  
48.  
49. ____________________________                                     15 August 1983
50. Melville H. Klein
51. Director
52. DoD Computer Security Center
53.  
54.  
55.  
56.  
57.                            ACKNOWLEDGMENTS
58.  
59.  
60. Special recognition is extended to Sheila L. Brand, DoD Computer Security
61. Center (DoDCSC), who integrated theory, policy, and practice into and directed
62. the production of this document.
63.  
64. Acknowledgment is also given for the contributions of: Grace Hammonds and
65. Peter S. Tasker, the MITRE Corp., Daniel J. Edwards, Col. Roger R. Schell,
66. Marvin Schaefer, DoDCSC, and Theodore M. P. Lee, Sperry UNIVAC, who as
67. original architects formulated and articulated the technical issues and
68. solutions presented in this document; Jeff Makey and Warren F. Shadle,
69. DoDCSC, who assisted in the preparation of this document; James P. Anderson,
70. James P. Anderson & Co., Steven B. Lipner, Digital Equipment Corp., Clark
71. Weissman, System Development Corp., LTC Lawrence A. Noble, formerly U.S. Air
72. Force, Stephen T. Walker, formerly DoD, Eugene V. Epperly, DoD, and James E.
73. Studer, formerly Dept. of the Army, who gave generously of their time and
74. expertise in the review and critique of this document; and finally, thanks are
75. given to the computer industry and others interested in trusted computing for
76. their enthusiastic advice and assistance throughout this effort.
77.  
78.  
79.  
80.  
81.                           TABLE OF CONTENTS
82.  
83. FOREWORD. . . . . . . . . . . . . . . . . . . . . . . . . . . .i
84. ACKNOWLEDGMENTS . . . . . . . . . . . . . . . . . . . . . . . ii
85. PREFACE . . . . . . . . . . . . . . . . . . . . . . . . . . . .v
86. INTRODUCTION. . . . . . . . . . . . . . . . . . . . . . . . . .1
87.  
88.                         PART I: THE CRITERIA
89. Section
90. 1.0  DIVISION D:    MINIMAL PROTECTION. . . . . . . . . . . . .9
91. 2.0  DIVISION C:    DISCRETIONARY PROTECTION. . . . . . . . . 11
92.      2.1   Class (C1):  Discretionary Security Protection . . 12
93.      2.2   Class (C2):  Controlled Access Protection. . . . . 15
94. 3.0  DIVISION B:    MANDATORY PROTECTION. . . . . . . . . . . 19
95.      3.1   Class (B1):  Labeled Security Protection . . . . . 20
96.      3.2   Class (B2):  Structured Protection . . . . . . . . 26
97.      3.3   Class (B3):  Security Domains. . . . . . . . . . . 33
98. 4.0  DIVISION A:    VERIFIED PROTECTION . . . . . . . . . . . 41
99.      4.1   Class (A1):  Verified Design . . . . . . . . . . . 42
100.      4.2   Beyond Class (A1). . . . . . . . . . . . . . . . . 51
101.  
102.                  PART II: RATIONALE AND GUIDELINES
103.  
104. 5.0  CONTROL OBJECTIVES FOR TRUSTED COMPUTER SYSTEMS. . . . . 55
105.      5.1   A Need for Consensus . . . . . . . . . . . . . . . 56
106.      5.2   Definition and Usefulness. . . . . . . . . . . . . 56
107.      5.3   Criteria Control Objective . . . . . . . . . . . . 56
108. 6.0  RATIONALE BEHIND THE EVALUATION CLASSES. . . . . . . . . 63
109.      6.1   The Reference Monitor Concept. . . . . . . . . . . 64
110.      6.2   A Formal Security Policy Model . . . . . . . . . . 64
111.      6.3   The Trusted Computing Base . . . . . . . . . . . . 65
112.      6.4   Assurance. . . . . . . . . . . . . . . . . . . . . 65
113.      6.5   The Classes. . . . . . . . . . . . . . . . . . . . 66
114. 7.0  THE RELATIONSHIP BETWEEN POLICY AND THE CRITERIA . . . . 69
115.      7.1   Established Federal Policies . . . . . . . . . . . 70
116.      7.2   DoD Policies . . . . . . . . . . . . . . . . . . . 70
117.      7.3   Criteria Control Objective For Security Policy . . 71
118.      7.4   Criteria Control Objective for Accountability. . . 74
119.      7.5   Criteria Control Objective for Assurance . . . . . 76
120. 8.0  A GUIDELINE ON COVERT CHANNELS . . . . . . . . . . . . . 79
121. 9.0  A GUIDELINE ON CONFIGURING MANDATORY ACCESS CONTROL
122.      FEATURES . . . . . . . . . . . . . . . . . . . . . . . . 81
123. 10.0  A GUIDELINE ON SECURITY TESTING . . . . . . . . . . . . 83
124.       10.1 Testing for Division C . . . . . . . . . . . . . . 84
125.       10.2 Testing for Division B . . . . . . . . . . . . . . 84
126.       10.3 Testing for Division A . . . . . . . . . . . . . . 85
127. APPENDIX A:  Commercial Product Evaluation Process. . . . . . 87
128. APPENDIX B:  Summary of Evaluation Criteria Divisions . . . . 89
129. APPENDIX C:  Sumary of Evaluation Criteria Classes. . . . . . 91
130. APPENDIX D:  Requirement Directory. . . . . . . . . . . . . . 93
131.  
132. GLOSSARY. . . . . . . . . . . . . . . . . . . . . . . . . . .109
133.  
134. REFERENCES. . . . . . . . . . . . . . . . . . . . . . . . . .115
135.  
136.  
137.  
138.  
139.                                 PREFACE
140.  
141.  
142. The trusted computer system evaluation criteria defined in this document
143. classify systems into four broad hierarchical divisions of enhanced security
144. protection.  They provide a basis for the evaluation of effectiveness of
145. security controls built into automatic data processing system products.  The
146. criteria were developed with three objectives in mind: (a) to provide users
147. with a yardstick with which to assess the degree of trust that can be placed
148. in computer systems for the secure processing of classified or other sensitive
149. information; (b) to provide guidance to manufacturers as to what to build into
150. their new, widely-available trusted commercial products in order to satisfy
151. trust requirements for sensitive applications; and (c) to provide a basis for
152. specifying security requirements in acquisition specifications.  Two types of
153. requirements are delineated for secure processing: (a) specific security
154. feature requirements and (b) assurance requirements.  Some of the latter
155. requirements enable evaluation personnel to determine if the required features
156. are present and functioning as intended.  Though the criteria are
157. application-independent, it is recognized that the specific security feature
158. requirements may have to be interpreted when applying the criteria to specific
159. applications or other special processing environments.  The underlying
160. assurance requirements can be applied across the entire spectrum of ADP system
161. or application processing environments without special interpretation.
162.  
163.  
164. INTRODUCTION
165.  
166. Historical Perspective
167.  
168. In October 1967, a task force was assembled under the auspices of the Defense
169. Science Board to address computer security safeguards that would protect
170. classified information in remote-access, resource-sharing computer systems.
171. The Task Force report, "Security Controls for Computer Systems," published in
172. February 1970, made a number of policy and technical recommendations on
173. actions to be taken to reduce the threat of compromise of classified
174. information processed on remote-access computer systems.[34]  Department of
175. Defense Directive 5200.28 and its accompanying manual DoD 5200.28-M, published
176. in 1972 and 1973 respectivley, responded to one of these recommendations by
177. establishing uniform DoD policy, security requirements, administrative
178. controls, and technical measures to protect classified information processed
179. by DoD computer systems.[8;9]  Research and development work undertaken by the
180. Air Force, Advanced Research Projects Agency, and other defense agencies in
181. the early and mid 70's developed and demonstrated solution approaches for the
182. technical problems associated with controlling the flow of information in
183. resource and information sharing computer systems.[1]  The DoD Computer
184. Security Initiative was started in 1977 under the auspices of the Under
185. Secretary of Defense for Research and Engineering to focus DoD efforts
186. addressing computer security issues.[33]
187.  
188. Concurrent with DoD efforts to address computer security issues, work was
189. begun under the leadership of the National Bureau of Standards (NBS) to define
190. problems and solutions for building, evaluating, and auditing secure computer
191. systems.[17]  As part of this work NBS held two invitational workshops on the
192. subject of audit and evaluation of computer security.[20;28]  The first was
193. held in March 1977, and the second in November of 1978.  One of the products
194. of the second workshop was a definitive paper on the problems related to
195. providing criteria for the evaluation of technical computer security
196. effectiveness.[20]  As an outgrowth of recommendations from this report, and in
197. support of the DoD Computer Security Initiative, the MITRE Corporation began
198. work on a set of computer security evaluation criteria that could be used to
199. assess the degree of trust one could place in a computer system to protect
200. classified data.[24;25;31]  The preliminary concepts for computer security
201. evaluation were defined and expanded upon at invitational workshops and
202. symposia whose participants represented computer security expertise drawn from
203. industry and academia in addition to the government.  Their work has since
204. been subjected to much peer review and constructive technical criticism from
205. the DoD, industrial research and development organizations, universities, and
206. computer manufacturers.
207.  
208. The DoD Computer Security Center (the Center) was formed in January 1981 to
209. staff and expand on the work started by the DoD Computer Security
210. Initiative.[15]  A major goal of the Center as given in its DoD Charter is to
211. encourage the widespread availability of trusted computer systems for use by
212. those who process classified or other sensitive information.[10]  The criteria
213. presented in this document have evolved from the earlier NBS and MITRE
214. evaluation material.
215.  
216.  
217. Scope
218.  
219. The trusted computer system evaluation criteria defined in this document apply
220. to both trusted general-purpose and trusted embedded (e.g., those dedicated to
221. a specific application) automatic data processing (ADP) systems.  Included are
222. two distinct sets of requirements: 1) specific security feature requirements;
223. and 2) assurance requirements.  The specific feature requirements encompass
224. the capabilities typically found in information processing systems employing
225. general-purpose operating systems that are distinct from the applications
226. programs being supported.  The assurance requirements, on the other hand,
227. apply to systems that cover the full range of computing environments from
228. dedicated controllers to full range multilevel secure resource sharing
229. systems.
230.  
231.  
232. Purpose
233.  
234. As outlined in the Preface, the criteria have been developed for a number of
235. reasons:
236.  
237.            * To provide users with a metric with which to evaluate the
238.            degree of trust that can be placed in computer systems for
239.            the secure processing of classified and other sensitive
240.            information.
241.  
242.            * To provide guidance to manufacturers as to what security
243.            features to build into their new and planned, commercial
244.            products in order to provide widely available systems that
245.            satisfy trust requirements for sensitive applications.
246.  
247.            * To provide a basis for specifying security requirements in
248.            acquisition specifications.
249.  
250. With respect to the first purpose for development of the criteria, i.e.,
251. providing users with a security evaluation metric, evaluations can be
252. delineated into two types: (a) an evaluation can be performed on a computer
253. product from a perspective that excludes the application environment; or, (b)
254. it can be done to assess whether appropriate security measures have been taken
255. to permit the system to be used operationally in a specific environment.  The
256. former type of evaluation is done by the Computer Security Center through the
257. Commercial Product Evaluation Process.  That process is described in Appendix
258. A.
259.  
260. The latter type of evaluation, i.e., those done for the purpose of assessing a
261. system's security attributes with respect to a specific operational mission,
262. is known as a certification evaluation.  It must be understood that the
263. completion of a formal product evaluation does not constitute certification or
264. accreditation for the system to be used in any specific application
265. environment.  On the contrary, the evaluation report only provides a trusted
266. computer system's evaluation rating along with supporting data describing the
267. product system's strengths and weaknesses from a computer security point of
268. view.  The system security certification and the formal approval/accreditation
269. procedure, done in accordance with the applicable policies of the issuing
270. agencies, must still be followed-before a system can be approved for use in
271. processing or handling classified information.[8;9]
272.  
273. The trusted computer system evaluation criteria will be used directly and
274. indirectly in the certification process.  Along with applicable policy, it
275. will be used directly as the basis for evaluation of the total system and for
276. specifying system security and certification requirements for new
277. acquisitions.  Where a system being evaluated for certification employs a
278. product that has undergone a Commercial Product Evaluation, reports from that
279. process will be used as input to the certification evaluation.  Technical data
280. will be furnished to designers, evaluators and the Designated Approving
281. Authorities to support their needs for making decisions.
282.  
283.  
284. Fundamental Computer Security Requirements
285.  
286. Any discussion of computer security necessarily starts from a statement of
287. requirements, i.e., what it really means to call a computer system "secure."
288. In general, secure systems will control, through use of specific security
289. features, access to information such that only properly authorized
290. individuals, or processes operating on their behalf, will have access to read,
291. write, create, or delete information.  Six fundamental requirements are
292. derived from this basic statement of objective: four deal with what needs to
293. be provided to control access to information; and two deal with how one can
294. obtain credible assurances that this is accomplished in a trusted computer
295. system.
296.  
297.                                 POLICY
298.  
299. Requirement 1 - SECURITY POLICY - There must be an explicit and well-defined
300. security policy enforced by the system.  Given identified subjects and
301. objects, there must be a set of rules that are used by the system to determine
302. whether a given subject can be permitted to gain access to a specific object.
303. Computer systems of interest must enforce a mandatory security policy that can
304. effectively implement access rules for handling sensitive (e.g., classified)
305. information.[7]  These rules include requirements such as: No person lacking
306. proper personnel security clearance shall obtain access to classified
307. information.  In addition, discretionary security controls are required to
308. ensure that only selected users or groups of users may obtain access to data
309. (e.g., based on a need-to-know).
310.  
311. Requirement 2 - MARKING - Access control labels must be associated with
312. objects.  In order to control access to information stored in a computer,
313. according to the rules of a mandatory security policy, it must be possible to
314. mark every object with a label that reliably identifies the object's
315. sensitivity level (e.g., classification), and/or the modes of access accorded
316. those subjects who may potentially access the object.
317.  
318.                           ACCOUNTABILITY
319.  
320. Requirement 3 - IDENTIFICATION - Individual subjects must be identified.  Each
321. access to information must be mediated based on who is accessing the
322. information and what classes of information they are authorized to deal with.
323. This identification and authorization information must be securely maintained
324. by the computer system and be associated with every active element that
325. performs some security-relevant action in the system.
326.  
327. Requirement 4 - ACCOUNTABILITY - Audit information must be selectively kept
328. and protected so that actions affecting security can be traced to the
329. responsible party.  A trusted system must be able to record the occurrences of
330. security-relevant events in an audit log.  The capability to select the audit
331. events to be recorded is necessary to minimize the expense of auditing and to
332. allow efficient analysis.  Audit data must be protected from modification and
333. unauthorized destruction to permit detection and after-the-fact investigations
334. of security violations.
335.  
336.                              ASSURANCE
337.  
338. Requirement 5 - ASSURANCE - The computer system must contain hardware/software
339. mechanisms that can be independently evaluated to provide sufficient assurance
340. that the system enforces requirements 1 through 4 above.  In order to assure
341. that the four requirements of Security Policy, Marking, Identification, and
342. Accountability are enforced by a computer system, there must be some
343. identified and unified collection of hardware and software controls that
344. perform those functions.  These mechanisms are typically embedded in the
345. operating system and are designed to carry out the assigned tasks in a secure
346. manner.  The basis for trusting such system mechanisms in their operational
347. setting must be clearly documented such that it is possible to independently
348. examine the evidence to evaluate their sufficiency.
349.  
350. Requirement 6 - CONTINUOUS PROTECTION - The trusted mechanisms that enforce
351. these basic requirements must be continuously protected against tampering
352. and/or unauthorized changes.  No computer system can be considered truly
353. secure if the basic hardware and software mechanisms that enforce the security
354. policy are themselves subject to unauthorized modification or subversion.  The
355. continuous protection requirement has direct implications throughout the
356. computer system's life-cycle.
357.  
358. These fundamental requirements form the basis for the individual evaluation
359. criteria applicable for each evaluation division and class.  The interested
360. reader is referred to Section 5 of this document, "Control Objectives for
361. Trusted Computer Systems," for a more complete discussion and further
362. amplification of these fundamental requirements as they apply to
363. general-purpose information processing systems and to Section 7 for
364. amplification of the relationship between Policy and these requirements.
365.  
366.  
367. Structure of the Document
368.  
369. The remainder of this document is divided into two parts, four appendices, and
370. a glossary.  Part I (Sections 1 through 4) presents the detailed criteria
371. derived from the fundamental requirements described above and relevant to the
372. rationale and policy excerpts contained in Part II.
373.  
374. Part II (Sections 5 through 10) provides a discussion of basic objectives,
375. rationale, and national policy behind the development of the criteria, and
376. guidelines for developers pertaining to: mandatory access control rules
377. implementation, the covert channel problem, and security testing.  It is
378. divided into six sections.  Section 5 discusses the use of control objectives
379. in general and presents the three basic control objectives of the criteria.
380. Section 6 provides the theoretical basis behind the criteria.  Section 7 gives
381. excerpts from pertinent regulations, directives, OMB Circulars, and Executive
382. Orders which provide the basis for many trust requirements for processing
383. nationally sensitive and classified information with computer systems.
384. Section 8 provides guidance to system developers on expectations in dealing
385. with the covert channel problem.  Section 9 provides guidelines dealing with
386. mandatory security.  Section 10 provides guidelines for security testing.
387. There are four appendices, including a description of the Trusted Computer
388. System Commercial Products Evaluation Process (Appendix A), summaries of the
389. evaluation divisions (Appendix B) and classes (Appendix C), and finally a
390. directory of requirements ordered alphabetically.  In addition, there is a
391. glossary.
392.  
393.  
394. Structure of the Criteria
395.  
396. The criteria are divided into four divisions: D, C, B, and A ordered in a
397. hierarchical manner with the highest division (A) being reserved for systems
398. providing the most comprehensive security.  Each division represents a major
399. improvement in the overall confidence one can place in the system for the
400. protection of sensitive information.  Within divisions C and B there are a
401. number of subdivisions known as classes.  The classes are also ordered in a
402. hierarchical manner with systems representative of division C and lower
403. classes of division B being characterized by the set of computer security
404. mechanisms that they possess.  Assurance of correct and complete design and
405. implementation for these systems is gained mostly through testing of the
406. security- relevant portions of the system.  The security-relevant portions of
407. a system are referred to throughout this document as the Trusted Computing
408. Base (TCB).  Systems representative of higher classes in division B and
409. division A derive their security attributes more from their design and
410. implementation structure.  Increased assurance that the required features are
411. operative, correct, and tamperproof under all circumstances is gained through
412. progressively more rigorous analysis during the design process.
413.  
414. Within each class, four major sets of criteria are addressed.  The first three
415. represent features necessary to satisfy the broad control objectives of
416. Security Policy, Accountability, and Assurance that are discussed in Part II,
417. Section 5.  The fourth set, Documentation, describes the type of written
418. evidence in the form of user guides, manuals, and the test and design
419. documentation required for each class.
420.  
421. A reader using this publication for the first time may find it helpful to
422. first read Part II, before continuing on with Part I.
423.  
424.  
425.  
426.  
427.                         PART I:  THE CRITERIA
428.  
429. Highlighting (UPPERCASE) is used in Part I to indicate criteria not contained
430. in a lower class or changes and additions to already defined criteria.  Where
431. there is no highlighting, requirements have been carried over from lower
432. classes without addition or modification.
433.  
434.  
435.  
436. 1.0  DIVISION D:    MINIMAL PROTECTION
437.  
438. This division contains only one class.  It is reserved for those systems that
439. have been evaluated but that fail to meet the requirements for a higher
440. evaluation class.
441.  
442.  
443.  
444. 2.0 DIVISION C:  DISCRETIONARY PROTECTION
445.  
446. Classes in this division provide for discretionary (need-to-know) protection
447. and, through the inclusion of audit capabilities, for accountability of
448. subjects and the actions they initiate.
449.  
450.  
451. 2.1  CLASS (C1):   DISCRETIONARY SECURITY PROTECTION
452.  
453. The Trusted Computing Base (TCB) of a class (C1) system nominally satisfies
454. the discretionary security requirements by providing separation of users and
455. data.  It incorporates some form of credible controls capable of enforcing
456. access limitations on an individual basis, i.e., ostensibly suitable for
457. allowing users to be able to protect project or private information and to
458. keep other users from accidentally reading or destroying their data.  The
459. class (C1) environment is expected to be one of cooperating users processing
460. data at the same level(s) of sensitivity.  The following are minimal
461. requirements for systems assigned a class (C1) rating:
462.  
463. 2.1.1  SECURITY POLICY
464.  
465.      2.1.1.1   Discretionary Access Control
466.  
467.                THE TCB SHALL DEFINE AND CONTROL ACCESS BETWEEN NAMED USERS AND
468.          NAMED OBJECTS (E.G., FILES AND PROGRAMS) IN THE ADP SYSTEM.  THE
469.          ENFORCEMENT MECHANISM (E.G., SELF/GROUP/PUBLIC CONTROLS, ACCESS 
470.          CONTROL LISTS) SHALL ALLOW USERS TO SPECIFY AND CONTROL SHARING 
471.          OF THOSE OBJECTS BY NAMED INDIVIDUALS OR DEFINED GROUPS OR BOTH.
472.  
473. 2.1.2  ACCOUNTABILITY
474.  
475.      2.1.2.1   Identification and Authentication
476.  
477.                THE TCB SHALL REQUIRE USERS TO IDENTIFY THEMSELVES TO IT BEFORE
478.          BEGINNING TO PERFORM ANY OTHER ACTIONS THAT THE TCB IS EXPECTED 
479.          TO MEDIATE.  FURTHERMORE, THE TCB SHALL USE A PROTECTED 
480.          MECHANISM (E.G., PASSWORDS) TO AUTHENTICATE THE USER'S IDENTITY.
481.          THE TCB SHALL PROTECT AUTHENTICATION DATA SO THAT IT CANNOT BE 
482.          ACCESSED BY ANY UNAUTHORIZED USER.
483.  
484. 2.1.3  ASSURANCE
485.  
486.      2.1.3.1   Operational Assurance
487.  
488.     2.1.3.1.1  System Architecture
489.  
490.                      THE TCB SHALL MAINTAIN A DOMAIN FOR ITS OWN EXECUTION
491.          THAT PROTECTS IT FROM EXTERNAL INTERFERENCE OR TAMPERING
492.          (E.G., BY MODIFICATION OF ITS CODE OR DATA STRUCTURES). 
493.          RESOURCES CONTROLLED BY THE TCB MAY BE A DEFINED SUBSET 
494.          OF THE SUBJECTS AND OBJECTS IN THE ADP SYSTEM.
495.  
496.     2.1.3.1.2  System Integrity
497.  
498.                      HARDWARE AND/OR SOFTWARE FEATURES SHALL BE PROVIDED THAT
499.          CAN BE USED TO PERIODICALLY VALIDATE THE CORRECT OPERATION
500.          OF THE ON-SITE HARDWARE AND FIRMWARE ELEMENTS OF THE TCB.
501.  
502.      2.1.3.2   Life-Cycle Assurance
503.  
504.     2.1.3.2.1  Security Testing
505.  
506.                      THE SECURITY MECHANISMS OF THE ADP SYSTEM SHALL BE TESTED
507.          AND FOUND TO WORK AS CLAIMED IN THE SYSTEM DOCUMENTATION. 
508.          TESTING SHALL BE DONE TO ASSURE THAT THERE ARE NO OBVIOUS
509.          WAYS FOR AN UNAUTHORIZED USER TO BYPASS OR OTHERWISE 
510.          DEFEAT THE SECURITY PROTECTION MECHANISMS OF THE TCB.
511.          (SEE THE SECURITY TESTING GUIDELINES.)
512.  
513. 2.1.4  DOCUMENTATION
514.  
515.      2.1.4.1   Security Features User's Guide
516.  
517.                A SINGLE SUMMARY, CHAPTER, OR MANUAL IN USER DOCUMENTATION
518.          SHALL DESCRIBE THE PROTECTION MECHANISMS PROVIDED BY THE TCB,
519.          GUIDELINES ON THEIR USE, AND HOW THEY INTERACT WITH ONE ANOTHER.
520.  
521.      2.1.4.2   Trusted Facility Manual
522.  
523.                A MANUAL ADDRESSED TO THE ADP SYSTEM ADMINISTRATOR SHALL
524.          PRESENT CAUTIONS ABOUT FUNCTIONS AND PRIVILEGES THAT SHOULD BE 
525.          CONTROLLED WHEN RUNNING A SECURE FACILITY.
526.  
527.      2.1.4.3   Test Documentation
528.  
529.                THE SYSTEM DEVELOPER SHALL PROVIDE TO THE EVALUATORS A DOCUMENT
530.          THAT DESCRIBES THE TEST PLAN AND RESULTS OF THE SECURITY 
531.          MECHANISMS' FUNCTIONAL TESTING.
532.  
533.      2.1.4.4   Design Documentation
534.  
535.                DOCUMENTATION SHALL BE AVAILABLE THAT PROVIDES A DESCRIPTION OF
536.          THE MANUFACTURER'S PHILOSOPHY OF PROTECTION AND AN EXPLANATION 
537.          OF HOW THIS PHILOSOPHY IS TRANSLATED INTO THE TCB.  IF THE TCB 
538.          IS COMPOSED OF DISTINCT MODULES, THE INTERFACES BETWEEN THESE 
539.          MODULES SHALL BE DESCRIBED.
540.  
541.  
542. 2.2  CLASS (C2):    CONTROLLED ACCESS PROTECTION
543.  
544. Systems in this class enforce a more finely grained discretionary access
545. control than (C1) systems, making users individually accountable for their
546. actions through login procedures, auditing of security-relevant events, and
547. resource isolation.  The following are minimal requirements for systems
548. assigned a class (C2) rating:
549.  
550. 2.2.1  SECURITY POLICY
551.  
552.      2.2.1.1   Discretionary Access Control
553.  
554.                The TCB shall define and control access between named users and
555.          named objects (e.g., files and programs) in the ADP system.  The
556.          enforcement mechanism (e.g., self/group/public controls, access
557.          control lists) shall allow users to specify and control sharing
558.          of those objects by named individuals, or defined groups OF 
559.          INDIVIDUALS, or by both.  THE DISCRETIONARY ACCESS CONTROL
560.          MECHANISM SHALL, EITHER BY EXPLICIT USER ACTION OR BY DEFAULT,
561.          PROVIDE THAT OBJECTS ARE PROTECTED FROM UNAUTHORIZED ACCESS. 
562.          THESE ACCESS CONTROLS SHALL BE CAPABLE OF INCLUDING OR EXCLUDING
563.          ACCESS TO THE GRANULARITY OF A SINGLE USER.  ACCESS PERMISSION 
564.          TO AN OBJECT BY USERS NOT ALREADY POSSESSING ACCESS PERMISSION
565.          SHALL ONLY BE ASSIGNED BY AUTHORIZED USERS.
566.  
567.      2.2.1.2   Object Reuse
568.  
569.                WHEN A STORAGE OBJECT IS INITIALLY ASSIGNED, ALLOCATED, OR
570.          REALLOCATED TO A SUBJECT FROM THE TCB'S POOL OF UNUSED STORAGE
571.          OBJECTS, THE TCB SHALL ASSURE THAT THE OBJECT CONTAINS NO DATA
572.          FOR WHICH THE SUBJECT IS NOT AUTHORIZED.
573.  
574. 2.2.2  ACCOUNTABILITY
575.  
576.      2.2.2.1   Identification and Authentication
577.  
578.                The TCB shall require users to identify themselves to it before
579.          beginning to perform any other actions that the TCB is expected
580.          to mediate.  Furthermore, the TCB shall use a protected 
581.          mechanism (e.g., passwords) to authenticate the user's identity.
582.          The TCB shall protect authentication data so that it cannot be
583.          accessed by any unauthorized user.  THE TCB SHALL BE ABLE TO
584.          ENFORCE INDIVIDUAL ACCOUNTABILITY BY PROVIDING THE CAPABILITY TO
585.          UNIQUELY IDENTIFY EACH INDIVIDUAL ADP SYSTEM USER.  THE TCB 
586.          SHALL ALSO PROVIDE THE CAPABILITY OF ASSOCIATING THIS IDENTITY
587.          WITH ALL AUDITABLE ACTIONS TAKEN BY THAT INDIVIDUAL.
588.  
589.      2.2.2.2   Audit
590.  
591.                THE TCB SHALL BE ABLE TO CREATE, MAINTAIN, AND PROTECT FROM
592.          MODIFICATION OR UNAUTHORIZED ACCESS OR DESTRUCTION AN AUDIT 
593.          TRAIL OF ACCESSES TO THE OBJECTS IT PROTECTS.  THE AUDIT DATA
594.          SHALL BE PROTECTED BY THE TCB SO THAT READ ACCESS TO IT IS
595.          LIMITED TO THOSE WHO ARE AUTHORIZED FOR AUDIT DATA.  THE TCB
596.          SHALL BE ABLE TO RECORD THE FOLLOWING TYPES OF EVENTS: USE OF
597.          IDENTIFICATION AND AUTHENTICATION MECHANISMS, INTRODUCTION OF 
598.          OBJECTS INTO A USER'S ADDRESS SPACE (E.G., FILE OPEN, PROGRAM
599.          INITIATION), DELETION OF OBJECTS, AND ACTIONS TAKEN BY
600.          COMPUTER OPERATORS AND SYSTEM ADMINISTRATORS AND/OR SYSTEM
601.          SECURITY OFFICERS.  FOR EACH RECORDED EVENT, THE AUDIT RECORD
602.          SHALL IDENTIFY: DATE AND TIME OF THE EVENT, USER, TYPE OF 
603.          EVENT, AND SUCCESS OR FAILURE OF THE EVENT.  FOR 
604.          IDENTIFICATION/AUTHENTICATION EVENTS THE ORIGIN OF REQUEST
605.          (E.G., TERMINAL ID) SHALL BE INCLUDED IN THE AUDIT RECORD.  FOR
606.          EVENTS THAT INTRODUCE AN OBJECT INTO A USER'S ADDRESS SPACE AND
607.          FOR OBJECT DELETION EVENTS THE AUDIT RECORD SHALL INCLUDE THE 
608.          NAME OF THE OBJECT.  THE ADP SYSTEM ADMINISTRATOR SHALL BE ABLE
609.          TO SELECTIVELY AUDIT THE ACTIONS OF ANY ONE OR MORE USERS BASED
610.          ON INDIVIDUAL IDENTITY.
611.  
612. 2.2.3  ASSURANCE
613.  
614.      2.2.3.1   Operational Assurance
615.  
616.     2.2.3.1.1  System Architecture
617.  
618.                      The TCB shall maintain a domain for its own execution
619.          that protects it from external interference or tampering
620.          (e.g., by modification of its code or data structures). 
621.          Resources controlled by the TCB may be a defined subset
622.          of the subjects and objects in the ADP system.  THE TCB
623.          SHALL ISOLATE THE RESOURCES TO BE PROTECTED SO THAT THEY
624.          ARE SUBJECT TO THE ACCESS CONTROL AND AUDITING 
625.          REQUIREMENTS.
626.  
627.     2.2.3.1.2  System Integrity
628.  
629.                      Hardware and/or software features shall be provided that
630.          can be used to periodically validate the correct operation
631.          of the on-site hardware and firmware elements of the TCB.
632.  
633.      2.2.3.2   Life-Cycle Assurance
634.  
635.     2.2.3.2.1  Security Testing
636.  
637.                      The security mechanisms of the ADP system shall be tested
638.          and found to work as claimed in the system documentation.
639.          Testing shall be done to assure that there are no obvious
640.          ways for an unauthorized user to bypass or otherwise
641.          defeat the security protection mechanisms of the TCB.
642.          TESTING SHALL ALSO INCLUDE A SEARCH FOR OBVIOUS FLAWS THAT
643.          WOULD ALLOW VIOLATION OF RESOURCE ISOLATION, OR THAT WOULD
644.           PERMIT UNAUTHORIZED ACCESS TO THE AUDIT OR AUTHENTICATION
645.          DATA.  (See the Security Testing guidelines.)
646.  
647. 2.2.4  DOCUMENTATION
648.  
649.      2.2.4.1   Security Features User's Guide
650.  
651.                A single summary, chapter, or manual in user documentation
652.          shall describe the protection mechanisms provided by the TCB, 
653.          guidelines on their use, and how they interact with one another.
654.  
655.      2.2.4.2   Trusted Facility Manual
656.  
657.                A manual addressed to the ADP system administrator shall
658.          present cautions about functions and privileges that should be
659.          controlled when running a secure facility.  THE PROCEDURES FOR
660.          EXAMINING AND MAINTAINING THE AUDIT FILES AS WELL AS THE
661.          DETAILED AUDIT RECORD STRUCTURE FOR EACH TYPE OF AUDIT EVENT
662.          SHALL BE GIVEN.
663.  
664.      2.2.4.3   Test Documentation
665.  
666.                The system developer shall provide to the evaluators a document
667.          that describes the test plan and results of the security 
668.          mechanisms' functional testing.
669.  
670.      2.2.4.4   Design Documentation
671.  
672.                Documentation shall be available that provides a description of
673.          the manufacturer's philosophy of protection and an explanation
674.          of how this philosophy is translated into the TCB.  If the TCB
675.          is composed of distinct modules, the interfaces between these
676.          modules shall be described.
677.  
678.  
679.  
680. 3.0  DIVISION B:    MANDATORY PROTECTION
681.  
682. The notion of a TCB that preserves the integrity of sensitivity labels and
683. uses them to enforce a set of mandatory access control rules is a major
684. requirement in this division.  Systems in this division must carry the
685. sensitivity labels with major data structures in the system.  The system
686. developer also provides the security policy model on which the TCB is based
687. and furnishes a specification of the TCB.  Evidence must be provided to
688. demonstrate that the reference monitor concept has been implemented.
689.  
690.  
691. 3.1  CLASS (B1):    LABELED SECURITY PROTECTION
692.  
693. Class (B1) systems require all the features required for class (C2).  In
694. addition, an informal statement of the security policy model, data labeling,
695. and mandatory access control over named subjects and objects must be present.
696. The capability must exist for accurately labeling exported information.  Any
697. flaws identified by testing must be removed.  The following are minimal
698. requirements for systems assigned a class (B1) rating:
699.  
700. 3.1.1  SECURITY POLICY
701.  
702.      3.1.1.1   Discretionary Access Control
703.  
704.                The TCB shall define and control access between named users and
705.          named objects (e.g., files and programs) in the ADP system.  
706.          The enforcement mechanism (e.g., self/group/public controls, 
707.          access control lists) shall allow users to specify and control
708.               sharing of those objects by named individuals, or defined groups
709.          of individuals, or by both.  The discretionary access control
710.          mechanism shall, either by explicit user action or by default,
711.          provide that objects are protected from unauthorized access. 
712.          These access controls shall be capable of including or excluding
713.          access to the granularity of a single user.  Access permission
714.          to an object by users not already possessing access permission
715.          shall only be assigned by authorized users.
716.  
717.      3.1.1.2   Object Reuse
718.  
719.                When a storage object is initially assigned, allocated, or
720.          reallocated to a subject from the TCB's pool of unused storage
721.          objects, the TCB shall assure that the object contains no data
722.          for which the subject is not authorized.
723.  
724.      3.1.1.3   Labels
725.  
726.                SENSITIVITY LABELS ASSOCIATED WITH EACH SUBJECT AND STORAGE
727.          OBJECT UNDER ITS CONTROL (E.G., PROCESS, FILE, SEGMENT, DEVICE)
728.          SHALL BE MAINTAINED BY THE TCB.  THESE LABELS SHALL BE USED AS
729.          THE BASIS FOR MANDATORY ACCESS CONTROL DECISIONS.  IN ORDER TO
730.          IMPORT NON-LABELED DATA, THE TCB SHALL REQUEST AND RECEIVE FROM
731.          AN AUTHORIZED USER THE SECURITY LEVEL OF THE DATA, AND ALL SUCH
732.          ACTIONS SHALL BE AUDITABLE BY THE TCB.
733.  
734.     3.1.1.3.1  Label Integrity
735.  
736.                      SENSITIVITY LABELS SHALL ACCURATELY REPRESENT SECURITY
737.          LEVELS OF THE SPECIFIC SUBJECTS OR OBJECTS WITH WHICH THEY
738.          ARE ASSOCIATED.  WHEN EXPORTED BY THE TCB, SENSITIVITY
739.          LABELS SHALL ACCURATELY AND UNAMBIGUOUSLY REPRESENT THE
740.          INTERNAL LABELS AND SHALL BE ASSOCIATED WITH THE 
741.          INFORMATION BEING EXPORTED.
742.  
743.     3.1.1.3.2  Exportation of Labeled Information
744.  
745.                      THE TCB SHALL DESIGNATE EACH COMMUNICATION CHANNEL AND
746.          I/O DEVICE AS EITHER SINGLE-LEVEL OR MULTILEVEL.  ANY
747.          CHANGE IN THIS DESIGNATION SHALL BE DONE MANUALLY AND
748.          SHALL BE AUDITABLE BY THE TCB.  THE TCB SHALL MAINTAIN
749.          AND BE ABLE TO AUDIT ANY CHANGE IN THE CURRENT SECURITY
750.          LEVEL ASSOCIATED WITH A SINGLE-LEVEL COMMUNICATION 
751.          CHANNEL OR I/O DEVICE.
752.  
753.          3.1.1.3.2.1  Exportation to Multilevel Devices
754.  
755.                             WHEN THE TCB EXPORTS AN OBJECT TO A MULTILEVEL I/O
756.                 DEVICE, THE SENSITIVITY LABEL ASSOCIATED WITH THAT
757.                 OBJECT SHALL ALSO BE EXPORTED AND SHALL RESIDE ON
758.                 THE SAME PHYSICAL MEDIUM AS THE EXPORTED 
759.                 INFORMATION AND SHALL BE IN THE SAME FORM 
760.                 (I.E., MACHINE-READABLE OR  HUMAN-READABLE FORM).
761.                 WHEN THE TCB EXPORTS OR IMPORTS AN OBJECT OVER A
762.                 MULTILEVEL COMMUNICATION CHANNEL, THE PROTOCOL 
763.                 USED ON THAT CHANNEL SHALL PROVIDE FOR THE
764.                 UNAMBIGUOUS PAIRING BETWEEN THE SENSITIVITY LABELS
765.                 AND THE ASSOCIATED INFORMATION THAT IS SENT OR 
766.                 RECEIVED.
767.  
768.          3.1.1.3.2.2  Exportation to Single-Level Devices
769.  
770.                 SINGLE-LEVEL I/O DEVICES AND SINGLE-LEVEL
771.                 COMMUNICATION CHANNELS ARE NOT REQUIRED TO 
772.                 MAINTAIN THE SENSITIVITY LABELS OF THE INFORMATION
773.                 THEY PROCESS.  HOWEVER, THE TCB SHALL INCLUDE A 
774.                 MECHANISM BY WHICH THE TCB AND AN AUTHORIZED USER
775.                 RELIABLY COMMUNICATE TO DESIGNATE THE SINGLE
776.                 SECURITY LEVEL OF INFORMATION IMPORTED OR EXPORTED
777.                 VIA SINGLE-LEVEL COMMUNICATION CHANNELS OR I/O 
778.                 DEVICES.
779.  
780.          3.1.1.3.2.3  Labeling Human-Readable Output
781.  
782.                      THE ADP SYSTEM ADMINISTRATOR SHALL BE ABLE TO
783.                 SPECIFY THE PRINTABLE LABEL NAMES ASSOCIATED WITH
784.                 EXPORTED SENSITIVITY LABELS.  THE TCB SHALL MARK
785.                 THE BEGINNING AND END OF ALL HUMAN-READABLE, PAGED,
786.                 HARDCOPY OUTPUT (E.G., LINE PRINTER OUTPUT) WITH
787.                 HUMAN-READABLE SENSITIVITY LABELS THAT PROPERLY*
788.                 REPRESENT THE SENSITIVITY OF THE OUTPUT.  THE TCB
789.                 SHALL, BY DEFAULT, MARK THE TOP AND BOTTOM OF EACH
790.                 PAGE OF HUMAN-READABLE, PAGED, HARDCOPY OUTPUT
791.                 (E.G., LINE PRINTER OUTPUT) WITH HUMAN-READABLE
792.                 SENSITIVITY LABELS THAT PROPERLY* REPRESENT THE
793.                 OVERALL SENSITIVITY OF THE OUTPUT OR THAT PROPERLY*
794.                 REPRESENT THE SENSITIVITY OF THE INFORMATION ON THE
795.                 PAGE.  THE TCB SHALL, BY DEFAULT AND IN AN
796.                 APPROPRIATE MANNER, MARK OTHER FORMS OF HUMAN-
797.                 READABLE OUTPUT (E.G., MAPS, GRAPHICS) WITH HUMAN-
798.                 READABLE SENSITIVITY LABELS THAT PROPERLY*
799.                 REPRESENT THE SENSITIVITY OF THE OUTPUT.  ANY 
800.                 OVERRIDE OF THESE MARKING DEFAULTS SHALL BE 
801.                 AUDITABLE BY THE TCB.
802.  
803.  
804.            _____________________________________________________________
805.            * THE HIERARCHICAL CLASSIFICATION COMPONENT IN HUMAN-READABLE
806.            SENSITIVITY LABELS SHALL BE EQUAL TO THE GREATEST
807.            HIERARCHICAL CLASSIFICATION OF ANY OF THE INFORMATION IN THE
808.            OUTPUT THAT THE LABELS REFER TO;  THE NON-HIERARCHICAL
809.            CATEGORY COMPONENT SHALL INCLUDE ALL OF THE NON-HIERARCHICAL
810.            CATEGORIES OF THE INFORMATION IN THE OUTPUT THE LABELS REFER
811.            TO, BUT NO OTHER NON-HIERARCHICAL CATEGORIES.
812.            _____________________________________________________________
813.  
814.  
815.      3.1.1.4   Mandatory Access Control
816.  
817.                THE TCB SHALL ENFORCE A MANDATORY ACCESS CONTROL POLICY OVER
818.          ALL SUBJECTS AND STORAGE OBJECTS UNDER ITS CONTROL (E.G., 
819.          PROCESSES, FILES, SEGMENTS, DEVICES).  THESE SUBJECTS AND 
820.          OBJECTS SHALL BE ASSIGNED SENSITIVITY LABELS THAT ARE A
821.          COMBINATION OF HIERARCHICAL CLASSIFICATION LEVELS AND
822.          NON-HIERARCHICAL CATEGORIES, AND THE LABELS SHALL BE USED AS
823.          THE BASIS FOR MANDATORY ACCESS CONTROL DECISIONS.  THE TCB 
824.          SHALL BE ABLE TO SUPPORT TWO OR MORE SUCH SECURITY LEVELS.
825.          (SEE THE MANDATORY ACCESS CONTROL GUIDELINES.) THE FOLLOWING
826.          REQUIREMENTS SHALL HOLD FOR ALL ACCESSES BETWEEN SUBJECTS AND
827.          OBJECTS CONTROLLED BY THE TCB: A SUBJECT CAN READ AN OBJECT
828.          ONLY IF THE HIERARCHICAL CLASSIFICATION IN THE SUBJECT'S
829.          SECURITY LEVEL IS GREATER THAN OR EQUAL TO THE HIERARCHICAL
830.          CLASSIFICATION IN THE OBJECT'S SECURITY LEVEL AND THE NON-
831.          HIERARCHICAL CATEGORIES IN THE SUBJECT'S SECURITY LEVEL INCLUDE
832.          ALL THE NON-HIERARCHICAL CATEGORIES IN THE OBJECT'S SECURITY
833.          LEVEL.  A SUBJECT CAN WRITE AN OBJECT ONLY IF THE HIERARCHICAL
834.          CLASSIFICATION IN THE SUBJECT'S SECURITY LEVEL IS LESS THAN OR
835.          EQUAL TO THE HIERARCHICAL CLASSIFICATION IN THE OBJECT'S
836.          SECURITY LEVEL AND ALL THE NON-HIERARCHICAL CATEGORIES IN THE
837.          SUBJECT'S SECURITY LEVEL ARE INCLUDED IN THE NON- HIERARCHICAL
838.          CATEGORIES IN THE OBJECT'S SECURITY LEVEL.
839.  
840. 3.1.2  ACCOUNTABILITY
841.  
842.      3.1.2.1   Identification and Authentication
843.  
844.                The TCB shall require users to identify themselves to it before
845.          beginning to perform any other actions that the TCB is expected
846.          to mediate.  Furthermore, the TCB shall MAINTAIN AUTHENTICATION
847.          DATA THAT INCLUDES INFORMATION FOR VERIFYING THE IDENTITY OF 
848.          INDIVIDUAL USERS (E.G., PASSWORDS) AS WELL AS INFORMATION FOR
849.          DETERMINING THE CLEARANCE AND AUTHORIZATIONS OF INDIVIDUAL
850.          USERS.  THIS DATA SHALL BE USED BY THE TCB TO AUTHENTICATE the
851.          user's identity AND TO DETERMINE THE SECURITY LEVEL AND 
852.          AUTHORIZATIONS OF SUBJECTS THAT MAY BE CREATED TO ACT ON BEHALF
853.          OF THE INDIVIDUAL USER.  The TCB shall protect authentication
854.          data so that it cannot be accessed by any unauthorized user.  
855.          The TCB shall be able to enforce individual accountability by
856.          providing the capability to uniquely identify each individual
857.          ADP system user.  The TCB shall also provide the capability of
858.          associating this identity with all auditable actions taken by
859.          that individual.
860.  
861.      3.1.2.2   Audit
862.  
863.                The TCB shall be able to create, maintain, and protect from
864.          modification or unauthorized access or destruction an audit
865.          trail of accesses to the objects it protects.  The audit data
866.          shall be protected by the TCB so that read access to it is
867.          limited to those who are authorized for audit data.  The TCB
868.          shall be able to record the following types of events: use of
869.          identification and authentication mechanisms, introduction of
870.          objects into a user's address space (e.g., file open, program
871.          initiation), deletion of objects, and actions taken by computer
872.          operators and system administrators and/or system security
873.          officers.  THE TCB SHALL ALSO BE ABLE TO AUDIT ANY OVERRIDE OF
874.          HUMAN-READABLE OUTPUT MARKINGS.  FOR each recorded event, the
875.          audit record shall identify: date and time of the event, user,
876.          type of event, and success or failure of the event.  For 
877.          identification/authentication events the origin of request
878.          (e.g., terminal ID) shall be included in the audit record.
879.          For events that introduce an object into a user's address space
880.          and for object deletion events the audit record shall include
881.          the name of the object AND THE OBJECT'S SECURITY LEVEL.  The 
882.          ADP system administrator shall be able to selectively audit the
883.          actions of any one or more users based on individual identity
884.          AND/OR OBJECT SECURITY LEVEL.
885.  
886. 3.1.3  ASSURANCE
887.  
888.      3.1.3.1   Operational Assurance
889.  
890.     3.1.3.1.1  System Architecture
891.  
892.                      The TCB shall maintain a domain for its own execution
893.          that protects it from external interference or tampering
894.          (e.g., by modification of its code or data structures). 
895.          Resources controlled by the TCB may be a defined subset
896.          of the subjects and objects in the ADP system.  THE TCB
897.          SHALL MAINTAIN PROCESS ISOLATION THROUGH THE PROVISION OF
898.          DISTINCT ADDRESS SPACES UNDER ITS CONTROL.  The TCB shall
899.          isolate the resources to be protected so that they are
900.          subject to the access control and auditing requirements.
901.  
902.     3.1.3.1.2  System Integrity
903.  
904.                      Hardware and/or software features shall be provided that
905.          can be used to periodically validate the correct operation
906.          of the on-site hardware and firmware elements of the TCB.
907.  
908.      3.1.3.2   Life-Cycle Assurance
909.  
910.     3.1.3.2.1  Security Testing
911.  
912.                      THE SECURITY MECHANISMS OF THE ADP SYSTEM SHALL BE TESTED
913.          AND FOUND TO WORK AS CLAIMED IN THE SYSTEM DOCUMENTATION. 
914.          A TEAM OF INDIVIDUALS WHO THOROUGHLY UNDERSTAND THE
915.          SPECIFIC IMPLEMENTATION OF THE TCB SHALL SUBJECT ITS
916.          DESIGN DOCUMENTATION, SOURCE CODE, AND OBJECT CODE TO
917.          THOROUGH ANALYSIS AND TESTING.  THEIR OBJECTIVES SHALL BE:
918.          TO UNCOVER ALL DESIGN AND IMPLEMENTATION FLAWS THAT WOULD
919.          PERMIT A SUBJECT EXTERNAL TO THE TCB TO READ, CHANGE, OR
920.          DELETE DATA NORMALLY DENIED UNDER THE MANDATORY OR
921.          DISCRETIONARY SECURITY POLICY ENFORCED BY THE TCB; AS WELL
922.          AS TO ASSURE THAT NO SUBJECT (WITHOUT AUTHORIZATION TO DO
923.          SO) IS ABLE TO CAUSE THE TCB TO ENTER A STATE SUCH THAT
924.          IT IS UNABLE TO RESPOND TO COMMUNICATIONS INITIATED BY
925.          OTHER USERS.  ALL DISCOVERED FLAWS SHALL BE REMOVED OR
926.          NEUTRALIZED AND THE TCB RETESTED TO DEMONSTRATE THAT THEY
927.          HAVE BEEN ELIMINATED AND THAT NEW FLAWS HAVE NOT BEEN
928.          INTRODUCED.  (SEE THE SECURITY TESTING GUIDELINES.)
929.  
930.     3.1.3.2.2  Design Specification and Verification
931.  
932.                      AN INFORMAL OR FORMAL MODEL OF THE SECURITY POLICY
933.          SUPPORTED BY THE TCB SHALL BE MAINTAINED THAT IS SHOWN TO
934.          BE CONSISTENT WITH ITS AXIOMS.
935.  
936. 3.1.4  DOCUMENTATION
937.  
938.      3.1.4.1   Security Features User's Guide
939.  
940.                A single summary, chapter, or manual in user documentation
941.          shall describe the protection mechanisms provided by the TCB,
942.          guidelines on their use, and how they interact with one another.
943.  
944.      3.1.4.2   Trusted Facility Manual
945.  
946.                A manual addressed to the ADP system administrator shall
947.          present cautions about functions and privileges that should be
948.          controlled when running a secure facility.  The procedures for
949.          examining and maintaining the audit files as well as the
950.          detailed audit record structure for each type of audit event
951.          shall be given.  THE MANUAL SHALL DESCRIBE THE OPERATOR AND
952.          ADMINISTRATOR FUNCTIONS RELATED TO SECURITY, TO INCLUDE CHANGING
953.          THE SECURITY CHARACTERISTICS OF A USER.  IT SHALL PROVIDE 
954.          GUIDELINES ON THE CONSISTENT AND EFFECTIVE USE OF THE PROTECTION
955.          FEATURES OF THE SYSTEM, HOW THEY INTERACT, HOW TO SECURELY
956.          GENERATE A NEW TCB, AND FACILITY PROCEDURES, WARNINGS, AND
957.          PRIVILEGES THAT NEED TO BE CONTROLLED IN ORDER TO OPERATE THE 
958.          FACILITY IN A SECURE MANNER.
959.  
960.      3.1.4.3   Test Documentation
961.  
962.                The system developer shall provide to the evaluators a document
963.          that describes the test plan and results of the security 
964.          mechanisms' functional testing.
965.  
966.      3.1.4.4   Design Documentation
967.  
968.                Documentation shall be available that provides a description of
969.          the manufacturer's philosophy of protection and an explanation
970.          of how this philosophy is translated into the TCB.  If the TCB
971.          is composed of distinct modules, the interfaces between these
972.          modules shall be described.  AN INFORMAL OR FORMAL DESCRIPTION
973.          OF THE SECURITY POLICY MODEL ENFORCED BY THE TCB SHALL BE
974.          AVAILABLE AND AN EXPLANATION PROVIDED TO SHOW THAT IT IS 
975.          SUFFICIENT TO ENFORCE THE SECURITY POLICY.  THE SPECIFIC TCB 
976.          PROTECTION MECHANISMS SHALL BE IDENTIFIED AND AN EXPLANATION
977.          GIVEN TO SHOW THAT THEY SATISFY THE MODEL.
978.  
979.  
980. 3.2  CLASS (B2):    STRUCTURED PROTECTION
981.  
982. In class (B2) systems, the TCB is based on a clearly defined and documented
983. formal security policy model that requires the discretionary and mandatory
984. access control enforcement found in class (B1) systems be extended to all
985. subjects and objects in the ADP system.  In addition, covert channels are
986. addressed.  The TCB must be carefully structured into protection-critical and
987. non- protection-critical elements.  The TCB interface is well-defined and the
988. TCB design and implementation enable it to be subjected to more thorough
989. testing and more complete review.  Authentication mechanisms are strengthened,
990. trusted facility management is provided in the form of support for system
991. administrator and operator functions, and stringent configuration management
992. controls are imposed.  The system is relatively resistant to penetration.  The
993. following are minimal requirements for systems assigned a class (B2) rating:
994.  
995. 3.2.1  SECURITY POLICY
996.  
997.      3.2.1.1   Discretionary Access Control
998.  
999.                The TCB shall define and control access between named users and
1000.          named objects (e.g., files and programs) in the ADP system.
1001.          The enforcement mechanism (e.g., self/group/public controls,
1002.          access control lists) shall allow users to specify and control
1003.          sharing of those objects by named individuals, or defined
1004.          groups of individuals, or by both.  The discretionary access
1005.          control mechanism shall, either by explicit user action or by
1006.          default, provide that objects are protected from unauthorized
1007.          access.  These access controls shall be capable of including
1008.          or excluding access to the granularity of a single user.
1009.          Access permission to an object by users not already possessing
1010.          access permission shall only be assigned by authorized users.
1011.  
1012.      3.2.1.2   Object Reuse
1013.  
1014.                When a storage object is initially assigned, allocated, or
1015.          reallocated to a subject from the TCB's pool of unused storage
1016.          objects, the TCB shall assure that the object contains no data
1017.          for which the subject is not authorized.
1018.  
1019.      3.2.1.3   Labels
1020.  
1021.                Sensitivity labels associated with each ADP SYSTEM RESOURCE
1022.          (E.G., SUBJECT, STORAGE OBJECT) THAT IS DIRECTLY OR INDIRECTLY
1023.          ACCESSIBLE BY SUBJECTS EXTERNAL TO THE TCB shall be maintained
1024.          by the TCB.  These labels shall be used as the basis for
1025.          mandatory access control decisions.  In order to import non-
1026.          labeled data, the TCB shall request and receive from an
1027.          authorized user the security level of the data, and all such
1028.          actions shall be auditable by the TCB.
1029.  
1030.     3.2.1.3.1  Label Integrity
1031.  
1032.          Sensitivity labels shall accurately represent security
1033.          levels of the specific subjects or objects with which
1034.          they are associated.  When exported by the TCB,
1035.          sensitivity labels shall accurately and unambiguously
1036.          represent the internal labels and shall be associated
1037.          with the information being exported.
1038.  
1039.     3.2.1.3.2  Exportation of Labeled Information
1040.  
1041.          The TCB shall designate each communication channel and
1042.          I/O device as either single-level or multilevel.  Any
1043.          change in this designation shall be done manually and
1044.          shall be auditable by the TCB.  The TCB shall maintain
1045.          and be able to audit any change in the current security
1046.          level associated with a single-level communication
1047.          channel or I/O device.
1048.  
1049.          3.2.1.3.2.1  Exportation to Multilevel Devices
1050.  
1051.                 When the TCB exports an object to a multilevel I/O
1052.                 device, the sensitivity label associated with that
1053.                 object shall also be exported and shall reside on
1054.                 the same physical medium as the exported 
1055.                 information and shall be in the same form (i.e., 
1056.                 machine-readable or human-readable form).  When
1057.                 the TCB exports or imports an object over a
1058.                 multilevel communication channel, the protocol
1059.                 used on that channel shall provide for the
1060.                 unambiguous pairing between the sensitivity labels
1061.                 and the associated information that is sent or
1062.                 received.
1063.  
1064.          3.2.1.3.2.2  Exportation to Single-Level Devices
1065.  
1066.                 Single-level I/O devices and single-level
1067.                 communication channels are not required to 
1068.                 maintain the sensitivity labels of the
1069.                 information they process.  However, the TCB shall
1070.                 include a mechanism by which the TCB and an
1071.                 authorized user reliably communicate to designate
1072.                 the single security level of information imported
1073.                 or exported via single-level communication 
1074.                 channels or I/O devices.
1075.  
1076.          3.2.1.3.2.3  Labeling Human-Readable Output
1077.  
1078.                 The ADP system administrator shall be able to
1079.                 specify the printable label names associated with
1080.                 exported sensitivity labels.  The TCB shall mark
1081.                 the beginning and end of all human-readable, paged,
1082.                 hardcopy output (e.g., line printer output) with
1083.                 human-readable sensitivity labels that properly*
1084.                 represent the sensitivity of the output.  The TCB
1085.                 shall, by default, mark the top and bottom of each
1086.                 page of human-readable, paged, hardcopy output
1087.                 (e.g., line printer output) with human-readable
1088.                 sensitivity labels that properly* represent the
1089.                 overall sensitivity of the output or that 
1090.                 properly* represent the sensitivity of the
1091.                 information on the page.  The TCB shall, by
1092.                 default and in an appropriate manner, mark other
1093.                 forms of human-readable output (e.g., maps,
1094.                 graphics) with human-readable sensitivity labels
1095.                 that properly* represent the sensitivity of the
1096.                 output.  Any override of these marking defaults
1097.                 shall be auditable by the TCB.
1098.            _____________________________________________________________
1099.            * The hierarchical classification component in human-readable
1100.            sensitivity labels shall be equal to the greatest
1101.            hierarchical classification of any of the information in the
1102.            output that the labels refer to;  the non-hierarchical
1103.            category component shall include all of the non-hierarchical
1104.            categories of the information in the output the labels refer
1105.            to, but no other non-hierarchical categories.
1106.            _____________________________________________________________
1107.  
1108.  
1109.     3.2.1.3.3  Subject Sensitivity Labels
1110.  
1111.          THE TCB SHALL IMMEDIATELY NOTIFY A TERMINAL USER OF EACH
1112.          CHANGE IN THE SECURITY LEVEL ASSOCIATED WITH THAT USER
1113.          DURING AN INTERACTIVE SESSION.  A TERMINAL USER SHALL BE
1114.          ABLE TO QUERY THE TCB AS DESIRED FOR A DISPLAY OF THE
1115.          SUBJECT'S COMPLETE SENSITIVITY LABEL.
1116.  
1117.     3.2.1.3.4  Device Labels
1118.  
1119.          THE TCB SHALL SUPPORT THE ASSIGNMENT OF MINIMUM AND
1120.          MAXIMUM SECURITY LEVELS TO ALL ATTACHED PHYSICAL DEVICES.
1121.          THESE SECURITY LEVELS SHALL BE USED BY THE TCB TO ENFORCE
1122.          CONSTRAINTS IMPOSED BY THE PHYSICAL ENVIRONMENTS IN WHICH
1123.          THE DEVICES ARE LOCATED.
1124.  
1125.      3.2.1.4   Mandatory Access Control
1126.  
1127.                The TCB shall enforce a mandatory access control policy over
1128.          all RESOURCES (I.E., SUBJECTS, STORAGE OBJECTS, AND I/O DEVICES)
1129.          THAT ARE DIRECTLY OR INDIRECTLY ACCESSIBLE BY SUBJECTS EXTERNAL
1130.          TO THE TCB.  These subjects and objects shall be assigned
1131.          sensitivity labels that are a combination of hierarchical
1132.          classification levels and non-hierarchical categories, and the
1133.          labels shall be used as the basis for mandatory access control
1134.          decisions.  The TCB shall be able to support two or more such
1135.          security levels.  (See the Mandatory Access Control guidelines.)
1136.          The following requirements shall hold for all accesses between
1137.          ALL SUBJECTS EXTERNAL TO THE TCB AND ALL OBJECTS DIRECTLY OR
1138.          INDIRECTLY ACCESSIBLE BY THESE SUBJECTS: A subject can read an
1139.          object only if the hierarchical classification in the subject's
1140.          security level is greater than or equal to the hierarchical
1141.          classification in the object's security level and the non-
1142.          hierarchical categories in the subject's security level include
1143.          all the non-hierarchical categories in the object's security
1144.          level.  A subject can write an object only if the hierarchical
1145.          classification in the subject's security level is less than or
1146.          equal to the hierarchical classification in the object's
1147.          security level and all the non-hierarchical categories in the
1148.          subject's security level are included in the non-hierarchical
1149.          categories in the object's security level.
1150.  
1151. 3.2.2  ACCOUNTABILITY
1152.  
1153.      3.2.2.1   Identification and Authentication
1154.  
1155.                The TCB shall require users to identify themselves to it before
1156.          beginning to perform any other actions that the TCB is expected
1157.          to mediate.  Furthermore, the TCB shall maintain authentication
1158.          data that includes information for verifying the identity of
1159.          individual users (e.g., passwords) as well as information for
1160.          determining the clearance and authorizations of individual
1161.          users.  This data shall be used by the TCB to authenticate the
1162.          user's identity and to determine the security level and
1163.          authorizations of subjects that may be created to act on behalf
1164.          of the individual user.  The TCB shall protect authentication
1165.          data so that it cannot be accessed by any unauthorized user.
1166.          The TCB shall be able to enforce individual accountability by
1167.          providing the capability to uniquely identify each individual
1168.          ADP system user.  The TCB shall also provide the capability of
1169.          associating this identity with all auditable actions taken by
1170.          that individual.
1171.  
1172.     3.2.2.1.1  Trusted Path
1173.  
1174.          THE TCB SHALL SUPPORT A TRUSTED COMMUNICATION PATH
1175.          BETWEEN ITSELF AND USER FOR INITIAL LOGIN AND
1176.          AUTHENTICATION.  COMMUNICATIONS VIA THIS PATH SHALL BE
1177.          INITIATED EXCLUSIVELY BY A USER.
1178.  
1179.      3.2.2.2   Audit
1180.  
1181.                The TCB shall be able to create, maintain, and protect from
1182.          modification or unauthorized access or destruction an audit
1183.          trail of accesses to the objects it protects.  The audit data
1184.          shall be protected by the TCB so that read access to it is
1185.          limited to those who are authorized for audit data.  The TCB
1186.          shall be able to record the following types of events: use of
1187.          identification and authentication mechanisms, introduction of
1188.          objects into a user's address space (e.g., file open, program
1189.          initiation), deletion of objects, and actions taken by computer
1190.          operators and system administrators and/or system security
1191.          officers.  The TCB shall also be able to audit any override of
1192.          human-readable output markings.  For each recorded event, the
1193.          audit record shall identify: date and time of the event, user,
1194.          type of event, and success or failure of the event.  For
1195.          identification/authentication events the origin of request
1196.          (e.g., terminal ID) shall be included in the audit record.  For
1197.          events that introduce an object into a user's address space and
1198.          for object deletion events the audit record shall include the
1199.          name of the object and the object's security level.  The ADP
1200.          system administrator shall be able to selectively audit the
1201.          actions of any one or more users based on individual identity
1202.          and/or object security level.  THE TCB SHALL BE ABLE TO AUDIT
1203.          THE IDENTIFIED EVENTS THAT MAY BE USED IN THE EXPLOITATION OF
1204.          COVERT STORAGE CHANNELS.
1205.  
1206. 3.2.3  ASSURANCE
1207.  
1208.      3.2.3.1   Operational Assurance
1209.  
1210.     3.2.3.1.1  System Architecture
1211.  
1212.          THE TCB SHALL MAINTAIN A DOMAIN FOR ITS OWN EXECUTION
1213.          THAT PROTECTS IT FROM EXTERNAL INTERFERENCE OR TAMPERING
1214.          (E.G., BY MODIFICATION OF ITS CODE OR DATA STRUCTURES).
1215.                THE TCB SHALL MAINTAIN PROCESS ISOLATION THROUGH THE
1216.          PROVISION OF DISTINCT ADDRESS SPACES UNDER ITS CONTROL.
1217.          THE TCB SHALL BE INTERNALLY STRUCTURED INTO WELL-DEFINED
1218.          LARGELY INDEPENDENT MODULES.  IT SHALL MAKE EFFECTIVE USE
1219.          OF AVAILABLE HARDWARE TO SEPARATE THOSE ELEMENTS THAT ARE
1220.          PROTECTION-CRITICAL FROM THOSE THAT ARE NOT.  THE TCB
1221.          MODULES SHALL BE DESIGNED SUCH THAT THE PRINCIPLE OF LEAST
1222.          PRIVILEGE IS ENFORCED.  FEATURES IN HARDWARE, SUCH AS
1223.          SEGMENTATION, SHALL BE USED TO SUPPORT LOGICALLY DISTINCT
1224.          STORAGE OBJECTS WITH SEPARATE ATTRIBUTES (NAMELY:
1225.          READABLE, WRITEABLE).  THE USER INTERFACE TO THE TCB 
1226.          SHALL BE COMPLETELY DEFINED AND ALL ELEMENTS OF THE TCB
1227.          IDENTIFIED.
1228.  
1229.     3.2.3.1.2  System Integrity
1230.  
1231.          Hardware and/or software features shall be provided that
1232.          can be used to periodically validate the correct 
1233.          operation of the on-site hardware and firmware elements 
1234.          of the TCB.
1235.  
1236.     3.2.3.1.3  Covert Channel Analysis
1237.  
1238.          THE SYSTEM DEVELOPER SHALL CONDUCT A THOROUGH SEARCH FOR
1239.          COVERT STORAGE CHANNELS AND MAKE A DETERMINATION (EITHER
1240.          BY ACTUAL MEASUREMENT OR BY ENGINEERING ESTIMATION) OF
1241.          THE MAXIMUM BANDWIDTH OF EACH IDENTIFIED CHANNEL.  (SEE
1242.          THE COVERT CHANNELS GUIDELINE SECTION.)
1243.  
1244.     3.2.3.1.4  Trusted Facility Management
1245.  
1246.          THE TCB SHALL SUPPORT SEPARATE OPERATOR AND ADMINISTRATOR
1247.          FUNCTIONS.
1248.  
1249.      3.2.3.2   Life-Cycle Assurance
1250.  
1251.     3.2.3.2.1  Security Testing
1252.  
1253.          The security mechanisms of the ADP system shall be tested
1254.          and found to work as claimed in the system documentation. 
1255.          A team of individuals who thoroughly understand the
1256.          specific implementation of the TCB shall subject its
1257.          design documentation, source code, and object code to
1258.          thorough analysis and testing.  Their objectives shall be:
1259.          to uncover all design and implementation flaws that would
1260.          permit a subject external to the TCB to read, change, or
1261.          delete data normally denied under the mandatory or
1262.          discretionary security policy enforced by the TCB; as well
1263.          as to assure that no subject (without authorization to do
1264.          so) is able to cause the TCB to enter a state such that it
1265.          is unable to respond to communications initiated by other
1266.          users.  THE TCB SHALL BE FOUND RELATIVELY RESISTANT TO
1267.          PENETRATION.  All discovered flaws shall be CORRECTED and
1268.          the TCB retested to demonstrate that they have been
1269.          eliminated and that new flaws have not been introduced.
1270.          TESTING SHALL DEMONSTRATE THAT THE TCB IMPLEMENTATION IS
1271.          CONSISTENT WITH THE DESCRIPTIVE TOP-LEVEL SPECIFICATION. 
1272.          (See the Security Testing Guidelines.)
1273.  
1274.     3.2.3.2.2  Design Specification and Verification
1275.  
1276.          A FORMAL model of the security policy supported by the
1277.          TCB shall be maintained that is PROVEN consistent with
1278.          its axioms.  A DESCRIPTIVE TOP-LEVEL SPECIFICATION (DTLS)
1279.          OF THE TCB SHALL BE MAINTAINED THAT COMPLETELY AND
1280.          ACCURATELY DESCRIBES THE TCB IN TERMS OF EXCEPTIONS, ERROR
1281.          MESSAGES, AND EFFECTS.  IT SHALL BE SHOWN TO BE AN
1282.          ACCURATE DESCRIPTION OF THE TCB INTERFACE.
1283.  
1284.     3.2.3.2.3  Configuration Management
1285.  
1286.          DURING DEVELOPMENT AND MAINTENANCE OF THE TCB, A
1287.          CONFIGURATION MANAGEMENT SYSTEM SHALL BE IN PLACE THAT
1288.          MAINTAINS CONTROL OF CHANGES TO THE DESCRIPTIVE TOP-LEVEL
1289.          SPECIFICATION, OTHER DESIGN DATA, IMPLEMENTATION
1290.          DOCUMENTATION, SOURCE CODE, THE RUNNING VERSION OF THE
1291.          OBJECT CODE, AND TEST FIXTURES AND DOCUMENTATION.  THE
1292.          CONFIGURATION MANAGEMENT SYSTEM SHALL ASSURE A CONSISTENT
1293.          MAPPING AMONG ALL DOCUMENTATION AND CODE ASSOCIATED WITH
1294.          THE CURRENT VERSION OF THE TCB.  TOOLS SHALL BE PROVIDED
1295.          FOR GENERATION OF A NEW VERSION OF THE TCB FROM SOURCE
1296.          CODE.  ALSO AVAILABLE SHALL BE TOOLS FOR COMPARING A 
1297.          NEWLY GENERATED VERSION WITH THE PREVIOUS TCB VERSION IN
1298.          ORDER TO ASCERTAIN THAT ONLY THE INTENDED CHANGES HAVE
1299.          BEEN MADE IN THE CODE THAT WILL ACTUALLY BE USED AS THE
1300.          NEW VERSION OF THE TCB.
1301.  
1302. 3.2.4  DOCUMENTATION
1303.  
1304.      3.2.4.1   Security Features User's Guide
1305.  
1306.                A single summary, chapter, or manual in user documentation
1307.          shall describe the protection mechanisms provided by the TCB,
1308.          guidelines on their use, and how they interact with one another.
1309.  
1310.      3.2.4.2   Trusted Facility Manual
1311.  
1312.                A manual addressed to the ADP system administrator shall
1313.          present cautions about functions and privileges that should be
1314.          controlled when running a secure facility.  The procedures for
1315.          examining and maintaining the audit files as well as the
1316.          detailed audit record structure for each type of audit event
1317.          shall be given.  The manual shall describe the operator and
1318.          administrator functions related to security, to include 
1319.          changing the security characteristics of a user.  It shall
1320.          provide guidelines on the consistent and effective use of the
1321.          protection features of the system, how they interact, how to
1322.          securely generate a new TCB, and facility procedures, warnings,
1323.          and privileges that need to be controlled in order to operate
1324.          the facility in a secure manner.  THE TCB MODULES THAT CONTAIN
1325.          THE REFERENCE VALIDATION MECHANISM SHALL BE IDENTIFIED.  THE
1326.          PROCEDURES FOR SECURE GENERATION OF A NEW TCB FROM SOURCE AFTER
1327.          MODIFICATION OF ANY MODULES IN THE TCB SHALL BE DESCRIBED.
1328.  
1329.      3.2.4.3   Test Documentation
1330.  
1331.                The system developer shall provide to the evaluators a document
1332.          that describes the test plan and results of the security
1333.          mechanisms' functional testing.  IT SHALL INCLUDE RESULTS OF
1334.          TESTING THE EFFECTIVENESS OF THE METHODS USED TO REDUCE COVERT
1335.          CHANNEL BANDWIDTHS.
1336.  
1337.      3.2.4.4   Design Documentation
1338.  
1339.                Documentation shall be available that provides a description of
1340.          the manufacturer's philosophy of protection and an explanation
1341.          of how this philosophy is translated into the TCB.  THE
1342.          interfaces between THE TCB modules shall be described.  A
1343.          FORMAL description of the security policy model enforced by the
1344.          TCB shall be available and PROVEN that it is sufficient to
1345.          enforce the security policy.  The specific TCB protection 
1346.          mechanisms shall be identified and an explanation given to show
1347.          that they satisfy the model.  THE DESCRIPTIVE TOP-LEVEL
1348.          SPECIFICATION (DTLS) SHALL BE SHOWN TO BE AN ACCURATE 
1349.          DESCRIPTION OF THE TCB INTERFACE.  DOCUMENTATION SHALL DESCRIBE
1350.          HOW THE TCB IMPLEMENTS THE REFERENCE MONITOR CONCEPT AND GIVE
1351.          AN EXPLANATION WHY IT IS TAMPERPROOF, CANNOT BE BYPASSED, AND
1352.          IS CORRECTLY IMPLEMENTED.  DOCUMENTATION SHALL DESCRIBE HOW THE
1353.          TCB IS STRUCTURED TO FACILITATE TESTING AND TO ENFORCE LEAST
1354.          PRIVILEGE.  THIS DOCUMENTATION SHALL ALSO PRESENT THE RESULTS
1355.          OF THE COVERT CHANNEL ANALYSIS AND THE TRADEOFFS INVOLVED IN
1356.          RESTRICTING THE CHANNELS.  ALL AUDITABLE EVENTS THAT MAY BE
1357.          USED IN THE EXPLOITATION OF KNOWN COVERT STORAGE CHANNELS SHALL
1358.          BE IDENTIFIED.  THE BANDWIDTHS OF KNOWN COVERT STORAGE CHANNELS,
1359.          THE USE OF WHICH IS NOT DETECTABLE BY THE AUDITING MECHANISMS,
1360.          SHALL BE PROVIDED.  (SEE THE COVERT CHANNEL GUIDELINE SECTION.)
1361.  
1362.  
1363. 3.3  CLASS (B3):    SECURITY DOMAINS
1364.  
1365. The class (B3) TCB must satisfy the reference monitor requirements that it
1366. mediate all accesses of subjects to objects, be tamperproof, and be small
1367. enough to be subjected to analysis and tests.  To this end, the TCB is
1368. structured to exclude code not essential to security policy enforcement, with
1369. significant system engineering during TCB design and implementation directed
1370. toward minimizing its complexity.  A security administrator is supported,
1371. audit mechanisms are expanded to signal security- relevant events, and system
1372. recovery procedures are required.  The system is highly resistant to
1373. penetration.  The following are minimal requirements for systems assigned a
1374. class (B3) rating:
1375.  
1376. 3.3.1  SECURITY POLICY
1377.  
1378.      3.3.1.1   Discretionary Access Control
1379.  
1380.                The TCB shall define and control access between named users and
1381.          named objects (e.g., files and programs) in the ADP system.
1382.          The enforcement mechanism (E.G., ACCESS CONTROL LISTS) shall
1383.          allow users to specify and control sharing of those OBJECTS.
1384.          The discretionary access control mechanism shall, either by
1385.          explicit user action or by default, provide that objects are
1386.          protected from unauthorized access.  These access controls shall
1387.          be capable of SPECIFYING, FOR EACH NAMED OBJECT, A LIST OF NAMED
1388.          INDIVIDUALS AND A LIST OF GROUPS OF NAMED INDIVIDUALS WITH THEIR
1389.          RESPECTIVE MODES OF ACCESS TO THAT OBJECT.  FURTHERMORE, FOR
1390.          EACH SUCH NAMED OBJECT, IT SHALL BE POSSIBLE TO SPECIFY A LIST
1391.          OF NAMED INDIVIDUALS AND A LIST OF GROUPS OF NAMED INDIVIDUALS
1392.          FOR WHICH NO ACCESS TO THE OBJECT IS TO BE GIVEN.  Access
1393.          permission to an object by users not already possessing access
1394.          permission shall only be assigned by authorized users.
1395.  
1396.      3.3.1.2   Object Reuse
1397.  
1398.                When a storage object is initially assigned, allocated, or
1399.          reallocated to a subject from the TCB's pool of unused storage
1400.          objects, the TCB shall assure that the object contains no data
1401.          for which the subject is not authorized.
1402.  
1403.      3.3.1.3   Labels
1404.  
1405.                Sensitivity labels associated with each ADP system resource
1406.          (e.g., subject, storage object) that is directly or indirectly
1407.          accessible by subjects external to the TCB shall be maintained
1408.          by the TCB.  These labels shall be used as the basis for
1409.          mandatory access control decisions.  In order to import non-
1410.          labeled data, the TCB shall request and receive from an
1411.          authorized user the security level of the data, and all such
1412.          actions shall be auditable by the TCB.
1413.  
1414.     3.3.1.3.1  Label Integrity
1415.  
1416.          Sensitivity labels shall accurately represent security
1417.          levels of the specific subjects or objects with which
1418.          they are associated.  When exported by the TCB,
1419.          sensitivity labels shall accurately and unambiguously
1420.          represent the internal labels and shall be associated
1421.          with the information being exported.
1422.  
1423.     3.3.1.3.2  Exportation of Labeled Information
1424.  
1425.          The TCB shall designate each communication channel and
1426.          I/O device as either single-level or multilevel.  Any
1427.          change in this designation shall be done manually and
1428.          shall be auditable by the TCB.  The TCB shall maintain
1429.          and be able to audit any change in the current security
1430.          level associated with a single-level communication
1431.          channel or I/O device.
1432.  
1433.          3.3.1.3.2.1  Exportation to Multilevel Devices
1434.  
1435.                 When the TCB exports an object to a multilevel I/O
1436.                 device, the sensitivity label associated with that
1437.                 object shall also be exported and shall reside on
1438.                 the same physical medium as the exported 
1439.                 information and shall be in the same form (i.e., 
1440.                 machine-readable or human-readable form).  When
1441.                 the TCB exports or imports an object over a
1442.                 multilevel communication channel, the protocol 
1443.                 used on that channel shall provide for the
1444.                 unambiguous pairing between the sensitivity labels
1445.                 and the associated information that is sent or
1446.                 received.
1447.  
1448.          3.3.1.3.2.2  Exportation to Single-Level Devices
1449.  
1450.                 Single-level I/O devices and single-level
1451.                 communication channels are not required to 
1452.                 maintain the sensitivity labels of the information
1453.                 they process.  However, the TCB shall include a 
1454.                 mechanism by which the TCB and an authorized user
1455.                 reliably communicate to designate the single
1456.                 security level of information imported or exported
1457.                 via single-level communication channels or I/O
1458.                 devices.
1459.  
1460.          3.3.1.3.2.3  Labeling Human-Readable Output
1461.  
1462.                 The ADP system administrator shall be able to
1463.                 specify the printable label names associated with
1464.                 exported sensitivity labels.  The TCB shall mark
1465.                 the beginning and end of all human-readable, paged,
1466.                 hardcopy output (e.g., line printer output) with
1467.                 human-readable sensitivity labels that properly*
1468.                 represent the sensitivity of the output.  The TCB
1469.                 shall, by default, mark the top and bottom of each
1470.                 page of human-readable, paged, hardcopy output
1471.                 (e.g., line printer output) with human-readable
1472.                 sensitivity labels that properly* represent the
1473.                 overall sensitivity of the output or that
1474.                 properly* represent the sensitivity of the 
1475.                 information on the page.  The TCB shall, by
1476.                 default and in an appropriate manner, mark other
1477.                 forms of human-readable output (e.g., maps,
1478.                 graphics) with human-readable sensitivity labels
1479.                 that properly* represent the sensitivity of the 
1480.                 output.  Any override of these marking defaults
1481.                 shall be auditable by the TCB.
1482.  
1483.            _____________________________________________________________
1484.            * The hierarchical classification component in human-readable
1485.            sensitivity labels shall be equal to the greatest
1486.            hierarchical classification of any of the information in the
1487.            output that the labels refer to;  the non-hierarchical
1488.            category component shall include all of the non-hierarchical
1489.            categories of the information in the output the labels refer
1490.            to, but no other non-hierarchical categories.
1491.      _____________________________________________________________
1492.  
1493.  
1494.     3.3.1.3.3  Subject Sensitivity Labels
1495.  
1496.          The TCB shall immediately notify a terminal user of each
1497.          change in the security level associated with that user
1498.          during an interactive session.  A terminal user shall be
1499.          able to query the TCB as desired for a display of the
1500.          subject's complete sensitivity label.
1501.  
1502.     3.3.1.3.4  Device Labels
1503.  
1504.          The TCB shall support the assignment of minimum and
1505.          maximum security levels to all attached physical devices.
1506.          These security levels shall be used by the TCB to enforce
1507.          constraints imposed by the physical environments in which
1508.          the devices are located.
1509.  
1510.      3.3.1.4   Mandatory Access Control
1511.  
1512.                The TCB shall enforce a mandatory access control policy over
1513.          all resources (i.e., subjects, storage objects, and I/O 
1514.          devices) that are directly or indirectly accessible by subjects
1515.          external to the TCB.  These subjects and objects shall be
1516.          assigned sensitivity labels that are a combination of
1517.          hierarchical classification levels and non-hierarchical
1518.          categories, and the labels shall be used as the basis for 
1519.          mandatory access control decisions.  The TCB shall be able to
1520.          support two or more such security levels.  (See the Mandatory
1521.          Access Control guidelines.) The following requirements shall
1522.          hold for all accesses between all subjects external to the TCB
1523.          and all objects directly or indirectly accessible by these 
1524.          subjects: A subject can read an object only if the hierarchical
1525.          classification in the subject's security level is greater than
1526.          or equal to the hierarchical classification in the object's
1527.          security level and the non-hierarchical categories in the
1528.          subject's security level include all the non-hierarchical
1529.          categories in the object's security level.  A subject can write
1530.          an object only if the hierarchical classification in the 
1531.          subject's security level is less than or equal to the
1532.          hierarchical classification in the object's security level and
1533.          all the non-hierarchical categories in the subject's security 
1534.          level are included in the non- hierarchical categories in the 
1535.          object's security level.
1536.  
1537. 3.3.2  ACCOUNTABILITY
1538.  
1539.      3.3.2.1   Identification and Authentication
1540.  
1541.                The TCB shall require users to identify themselves to it before
1542.          beginning to perform any other actions that the TCB is expected
1543.          to mediate.  Furthermore, the TCB shall maintain authentication
1544.          data that includes information for verifying the identity of
1545.          individual users (e.g., passwords) as well as information for
1546.          determining the clearance and authorizations of individual
1547.          users.  This data shall be used by the TCB to authenticate the
1548.          user's identity and to determine the security level and 
1549.          authorizations of subjects that may be created to act on behalf
1550.          of the individual user.  The TCB shall protect authentication
1551.          data so that it cannot be accessed by any unauthorized user.
1552.          The TCB shall be able to enforce individual accountability by
1553.          providing the capability to uniquely identify each individual 
1554.          ADP system user.  The TCB shall also provide the capability of
1555.          associating this identity with all auditable actions taken by
1556.          that individual.
1557.  
1558.     3.3.2.1.1  Trusted Path
1559.  
1560.          The TCB shall support a trusted communication path
1561.          between itself and USERS for USE WHEN A POSITIVE TCB-TO-
1562.          USER CONNECTION IS REQUIRED (E.G., LOGIN, CHANGE SUBJECT
1563.          SECURITY LEVEL).  Communications via this TRUSTED path
1564.          shall be ACTIVATED exclusively by a user OR THE TCB AND
1565.          SHALL BE LOGICALLY ISOLATED AND UNMISTAKABLY 
1566.          DISTINGUISHABLE FROM OTHER PATHS.
1567.  
1568.      3.3.2.2   Audit
1569.  
1570.                The TCB shall be able to create, maintain, and protect from
1571.          modification or unauthorized access or destruction an audit 
1572.          trail of accesses to the objects it protects.  The audit data
1573.          shall be protected by the TCB so that read access to it is
1574.          limited to those who are authorized for audit data.  The TCB
1575.          shall be able to record the following types of events: use of
1576.          identification and authentication mechanisms, introduction of
1577.          objects into a user's address space (e.g., file open, program
1578.          initiation), deletion of objects, and actions taken by computer
1579.          operators and system administrators and/or system security
1580.          officers.  The TCB shall also be able to audit any override of
1581.          human-readable output markings.  For each recorded event, the
1582.          audit record shall identify: date and time of the event, user,
1583.          type of event, and success or failure of the event.  For 
1584.          identification/authentication events the origin of request
1585.          (e.g., terminal ID) shall be included in the audit record.
1586.          For events that introduce an object into a user's address 
1587.          space and for object deletion events the audit record shall 
1588.          include the name of the object and the object's security level.
1589.          The ADP system administrator shall be able to selectively audit
1590.          the actions of any one or more users based on individual
1591.          identity and/or object security level.  The TCB shall be able to
1592.          audit the identified events that may be used in the exploitation
1593.          of covert storage channels.  THE TCB SHALL CONTAIN A MECHANISM
1594.          THAT IS ABLE TO MONITOR THE OCCURRENCE OR ACCUMULATION OF
1595.          SECURITY AUDITABLE EVENTS THAT MAY INDICATE AN IMMINENT
1596.          VIOLATION OF SECURITY POLICY.  THIS MECHANISM SHALL BE ABLE TO
1597.          IMMEDIATELY NOTIFY THE SECURITY ADMINISTRATOR WHEN THRESHOLDS
1598.          ARE EXCEEDED.
1599.  
1600. 3.3.3  ASSURANCE
1601.  
1602.      3.3.3.1   Operational Assurance
1603.  
1604.     3.3.3.1.1  System Architecture
1605.  
1606.          The TCB shall maintain a domain for its own execution
1607.          that protects it from external interference or tampering
1608.          (e.g., by modification of its code or data structures).
1609.          The TCB shall maintain process isolation through the
1610.          provision of distinct address spaces under its control.
1611.          The TCB shall be internally structured into well-defined
1612.          largely independent modules.  It shall make effective use
1613.          of available hardware to separate those elements that are
1614.          protection-critical from those that are not.  The TCB
1615.          modules shall be designed such that the principle of 
1616.          least privilege is enforced.  Features in hardware, such
1617.          as segmentation, shall be used to support logically
1618.          distinct storage objects with separate attributes (namely:
1619.          readable, writeable).  The user interface to the TCB shall
1620.          be completely defined and all elements of the TCB
1621.          identified.  THE TCB SHALL BE DESIGNED AND STRUCTURED TO
1622.          USE A COMPLETE, CONCEPTUALLY SIMPLE PROTECTION MECHANISM
1623.          WITH PRECISELY DEFINED SEMANTICS.  THIS MECHANISM SHALL
1624.          PLAY A CENTRAL ROLE IN ENFORCING THE INTERNAL STRUCTURING
1625.          OF THE TCB AND THE SYSTEM.  THE TCB SHALL INCORPORATE
1626.          SIGNIFICANT USE OF LAYERING, ABSTRACTION AND DATA HIDING.
1627.          SIGNIFICANT SYSTEM ENGINEERING SHALL BE DIRECTED TOWARD
1628.          MINIMIZING THE COMPLEXITY OF THE TCB AND EXCLUDING FROM
1629.          THE TCB MODULES THAT ARE NOT PROTECTION-CRITICAL.
1630.  
1631.     3.3.3.1.2  System Integrity
1632.  
1633.          Hardware and/or software features shall be provided that
1634.          can be used to periodically validate the correct 
1635.          operation of the on-site hardware and firmware elements 
1636.          of the TCB.
1637.  
1638.     3.3.3.1.3  Covert Channel Analysis
1639.  
1640.          The system developer shall conduct a thorough search for
1641.          COVERT CHANNELS and make a determination (either by 
1642.          actual measurement or by engineering estimation) of the
1643.          maximum bandwidth of each identified channel.  (See the
1644.          Covert Channels Guideline section.)
1645.  
1646.     3.3.3.1.4  Trusted Facility Management
1647.  
1648.          The TCB shall support separate operator and administrator
1649.          functions.  THE FUNCTIONS PERFORMED IN THE ROLE OF A 
1650.          SECURITY ADMINISTRATOR SHALL BE IDENTIFIED.  THE ADP
1651.          SYSTEM ADMINISTRATIVE PERSONNEL SHALL ONLY BE ABLE TO
1652.          PERFORM SECURITY ADMINISTRATOR FUNCTIONS AFTER TAKING A 
1653.          DISTINCT AUDITABLE ACTION TO ASSUME THE SECURITY
1654.          ADMINISTRATOR ROLE ON THE ADP SYSTEM.  NON-SECURITY
1655.          FUNCTIONS THAT CAN BE PERFORMED IN THE SECURITY 
1656.          ADMINISTRATION ROLE SHALL BE LIMITED STRICTLY TO THOSE
1657.          ESSENTIAL TO PERFORMING THE SECURITY ROLE EFFECTIVELY.
1658.  
1659.     3.3.3.1.5  Trusted Recovery
1660.  
1661.          PROCEDURES AND/OR MECHANISMS SHALL BE PROVIDED TO ASSURE
1662.          THAT, AFTER AN ADP SYSTEM FAILURE OR OTHER DISCONTINUITY,
1663.          RECOVERY WITHOUT A PROTECTION COMPROMISE IS OBTAINED.
1664.  
1665.      3.3.3.2   Life-Cycle Assurance
1666.  
1667.     3.3.3.2.1  Security Testing
1668.  
1669.          The security mechanisms of the ADP system shall be tested
1670.          and found to work as claimed in the system documentation.
1671.          A team of individuals who thoroughly understand the
1672.          specific implementation of the TCB shall subject its
1673.          design documentation, source code, and object code to
1674.          thorough analysis and testing.  Their objectives shall 
1675.          be: to uncover all design and implementation flaws that
1676.          would permit a subject external to the TCB to read,
1677.          change, or delete data normally denied under the 
1678.          mandatory or discretionary security policy enforced by
1679.          the TCB; as well as to assure that no subject (without
1680.          authorization to do so) is able to cause the TCB to enter
1681.          a state such that it is unable to respond to 
1682.          communications initiated by other users.  The TCB shall
1683.          be FOUND RESISTANT TO penetration.  All discovered flaws
1684.          shall be corrected and the TCB retested to demonstrate 
1685.          that they have been eliminated and that new flaws have
1686.          not been introduced.  Testing shall demonstrate that the
1687.          TCB implementation is consistent with the descriptive
1688.          top-level specification.  (See the Security Testing 
1689.          Guidelines.)  NO DESIGN FLAWS AND NO MORE THAN A FEW
1690.          CORRECTABLE IMPLEMENTATION FLAWS MAY BE FOUND DURING
1691.          TESTING AND THERE SHALL BE REASONABLE CONFIDENCE THAT 
1692.          FEW REMAIN.
1693.  
1694.     3.3.3.2.2  Design Specification and Verification
1695.  
1696.          A formal model of the security policy supported by the
1697.          TCB shall be maintained that is proven consistent with 
1698.          its axioms.  A descriptive top-level specification (DTLS)
1699.          of the TCB shall be maintained that completely and
1700.          accurately describes the TCB in terms of exceptions, error
1701.          messages, and effects.  It shall be shown to be an 
1702.          accurate description of the TCB interface.  A CONVINCING
1703.          ARGUMENT SHALL BE GIVEN THAT THE DTLS IS CONSISTENT WITH
1704.          THE MODEL.
1705.  
1706.     3.3.3.2.3  Configuration Management
1707.  
1708.          During development and maintenance of the TCB, a
1709.          configuration management system shall be in place that 
1710.          maintains control of changes to the descriptive top-level
1711.          specification, other design data, implementation
1712.          documentation, source code, the running version of the
1713.          object code, and test fixtures and documentation.  The
1714.          configuration management system shall assure a consistent
1715.          mapping among all documentation and code associated with
1716.          the current version of the TCB.  Tools shall be provided
1717.          for generation of a new version of the TCB from source 
1718.          code.  Also available shall be tools for comparing a
1719.          newly generated version with the previous TCB version in
1720.          order to ascertain that only the intended changes have 
1721.          been made in the code that will actually be used as the
1722.          new version of the TCB.
1723.  
1724. 3.3.4  DOCUMENTATION
1725.  
1726.      3.3.4.1   Security Features User's Guide
1727.  
1728.          A single summary, chapter, or manual in user documentation
1729.          shall describe the protection mechanisms provided by the TCB,
1730.          guidelines on their use, and how they interact with one another.
1731.  
1732.      3.3.4.2   Trusted Facility Manual
1733.  
1734.                A manual addressed to the ADP system administrator shall
1735.          present cautions about functions and privileges that should be
1736.          controlled when running a secure facility.  The procedures for
1737.          examining and maintaining the audit files as well as the
1738.          detailed audit record structure for each type of audit event
1739.          shall be given.  The manual shall describe the operator and
1740.          administrator functions related to security, to include 
1741.          changing the security characteristics of a user.  It shall
1742.          provide guidelines on the consistent and effective use of the
1743.          protection features of the system, how they interact, how to
1744.          securely generate a new TCB, and facility procedures, warnings,
1745.          and privileges that need to be controlled in order to operate
1746.          the facility in a secure manner.  The TCB modules that contain
1747.          the reference validation mechanism shall be identified.  The
1748.          procedures for secure generation of a new TCB from source after
1749.          modification of any modules in the TCB shall be described.  IT
1750.          SHALL INCLUDE THE PROCEDURES TO ENSURE THAT THE SYSTEM IS
1751.          INITIALLY STARTED IN A SECURE MANNER.  PROCEDURES SHALL ALSO BE
1752.          INCLUDED TO RESUME SECURE SYSTEM OPERATION AFTER ANY LAPSE IN 
1753.          SYSTEM OPERATION.
1754.  
1755.      3.3.4.3   Test Documentation
1756.  
1757.                The system developer shall provide to the evaluators a document
1758.          that describes the test plan and results of the security 
1759.          mechanisms' functional testing.  It shall include results of
1760.          testing the effectiveness of the methods used to reduce covert
1761.          channel bandwidths.
1762.  
1763.      3.3.4.4   Design Documentation
1764.  
1765.                Documentation shall be available that provides a description of
1766.          the manufacturer's philosophy of protection and an explanation
1767.          of how this philosophy is translated into the TCB.  The
1768.          interfaces between the TCB modules shall be described.  A
1769.          formal description of the security policy model enforced by the
1770.          TCB shall be available and proven that it is sufficient to
1771.          enforce the security policy.  The specific TCB protection 
1772.          mechanisms shall be identified and an explanation given to show
1773.          that they satisfy the model.  The descriptive top-level
1774.          specification (DTLS) shall be shown to be an accurate 
1775.          description of the TCB interface.  Documentation shall describe
1776.          how the TCB implements the reference monitor concept and give 
1777.          an explanation why it is tamperproof, cannot be bypassed, and
1778.          is correctly implemented.  THE TCB IMPLEMENTATION (I.E., IN
1779.          HARDWARE, FIRMWARE, AND SOFTWARE) SHALL BE INFORMALLY SHOWN TO
1780.          BE CONSISTENT WITH THE DTLS.  THE ELEMENTS OF THE DTLS SHALL BE
1781.          SHOWN, USING INFORMAL TECHNIQUES, TO CORRESPOND TO THE ELEMENTS
1782.          OF THE TCB.  Documentation shall describe how the TCB is
1783.          structured to facilitate testing and to enforce least privilege.
1784.          This documentation shall also present the results of the covert
1785.          channel analysis and the tradeoffs involved in restricting the
1786.          channels.  All auditable events that may be used in the 
1787.          exploitation of known covert storage channels shall be 
1788.          identified.  The bandwidths of known covert storage channels,
1789.          the use of which is not detectable by the auditing mechanisms,
1790.          shall be provided.  (See the Covert Channel Guideline section.)
1791.  
1792.  
1793. 4.0  DIVISION A:    VERIFIED PROTECTION
1794.  
1795. This division is characterized by the use of formal security verification
1796. methods to assure that the mandatory and discretionary security controls
1797. employed in the system can effectively protect classified or other sensitive
1798. information stored or processed by the system.  Extensive documentation is
1799. required to demonstrate that the TCB meets the security requirements in all
1800. aspects of design, development and implementation.
1801.  
1802.  
1803. 4.1  CLASS (A1):    VERIFIED DESIGN
1804.  
1805. Systems in class (A1) are functionally equivalent to those in class (B3) in
1806. that no additional architectural features or policy requirements are added.
1807. The distinguishing feature of systems in this class is the analysis derived
1808. from formal design specification and verification techniques and the resulting
1809. high degree of assurance that the TCB is correctly implemented.  This
1810. assurance is developmental in nature, starting with a formal model of the
1811. security policy and a formal top-level specification (FTLS) of the design.
1812. Independent of the particular specification language or verification system
1813. used, there are five important criteria for class (A1) design verification:
1814.  
1815.     * A formal model of the security policy must be clearly
1816.     identified and documented, including a mathematical proof
1817.     that the model is consistent with its axioms and is
1818.     sufficient to support the security policy.
1819.  
1820.     * An FTLS must be produced that includes abstract definitions
1821.     of the functions the TCB performs and of the hardware and/or
1822.     firmware mechanisms that are used to support separate
1823.     execution domains.
1824.  
1825.     * The FTLS of the TCB must be shown to be consistent with the
1826.     model by formal techniques where possible (i.e., where
1827.     verification tools exist) and informal ones otherwise.
1828.  
1829.     * The TCB implementation (i.e., in hardware, firmware, and
1830.     software) must be informally shown to be consistent with the
1831.     FTLS.  The elements of the FTLS must be shown, using
1832.     informal techniques, to correspond to the elements of the
1833.     TCB.  The FTLS must express the unified protection mechanism
1834.     required to satisfy the security policy, and it is the
1835.     elements of this protection mechanism that are mapped to the
1836.     elements of the TCB.
1837.  
1838.     * Formal analysis techniques must be used to identify and
1839.     analyze covert channels.  Informal techniques may be used to
1840.     identify covert timing channels.  The continued existence of
1841.     identified covert channels in the system must be justified.
1842.  
1843. In keeping with the extensive design and development analysis of the TCB
1844. required of systems in class (A1), more stringent configuration management is
1845. required and procedures are established for securely distributing the system
1846. to sites.  A system security administrator is supported.
1847.  
1848. The following are minimal requirements for systems assigned a class (A1)
1849. rating:
1850.  
1851. 4.1.1  SECURITY POLICY
1852.  
1853.      4.1.1.1   Discretionary Access Control
1854.  
1855.          The TCB shall define and control access between named users and
1856.          named objects (e.g., files and programs) in the ADP system.  
1857.          The enforcement mechanism (e.g., access control lists) shall 
1858.          allow users to specify and control sharing of those objects.
1859.          The discretionary access control mechanism shall, either by
1860.          explicit user action or by default, provide that objects are
1861.          protected from unauthorized access.  These access controls 
1862.          shall be capable of specifying, for each named object, a list 
1863.          of named individuals and a list of groups of named individuals
1864.          with their respective modes of access to that object.
1865.          Furthermore, for each such named object, it shall be possible to
1866.          specify a list of named individuals and a list of groups of 
1867.          named individuals for which no access to the object is to be 
1868.          given.  Access permission to an object by users not already
1869.          possessing access permission shall only be assigned by
1870.          authorized users.
1871.  
1872.      4.1.1.2   Object Reuse
1873.  
1874.          When a storage object is initially assigned, allocated, or
1875.          reallocated to a subject from the TCB's pool of unused storage
1876.          objects, the TCB shall assure that the object contains no data
1877.          for which the subject is not authorized.
1878.  
1879.      4.1.1.3   Labels
1880.  
1881.          Sensitivity labels associated with each ADP system resource
1882.          (e.g., subject, storage object) that is directly or indirectly
1883.          accessible by subjects external to the TCB shall be maintained
1884.          by the TCB.  These labels shall be used as the basis for
1885.          mandatory access control decisions.  In order to import non-
1886.          labeled data, the TCB shall request and receive from an 
1887.          authorized user the security level of the data, and all such
1888.          actions shall be auditable by the TCB.
1889.  
1890.     4.1.1.3.1  Label Integrity
1891.  
1892.          Sensitivity labels shall accurately represent security
1893.          levels of the specific subjects or objects with which 
1894.          they are associated.  When exported by the TCB,
1895.          sensitivity labels shall accurately and unambiguously
1896.          represent the internal labels and shall be associated 
1897.          with the information being exported.
1898.  
1899.     4.1.1.3.2  Exportation of Labeled Information
1900.  
1901.          The TCB shall designate each communication channel and
1902.          I/O device as either single-level or multilevel.  Any 
1903.          change in this designation shall be done manually and
1904.          shall be auditable by the TCB.  The TCB shall maintain
1905.          and be able to audit any change in the current security
1906.          level associated with a single-level communication
1907.          channel or I/O device.
1908.  
1909.          4.1.1.3.2.1  Exportation to Multilevel Devices
1910.  
1911.                 When the TCB exports an object to a multilevel I/O
1912.                 device, the sensitivity label associated with that
1913.                 object shall also be exported and shall reside on
1914.                 the same physical medium as the exported 
1915.                 information and shall be in the same form (i.e., 
1916.                 machine-readable or human-readable form).  When
1917.                 the TCB exports or imports an object over a
1918.                 multilevel communication channel, the protocol 
1919.                 used on that channel shall provide for the
1920.                 unambiguous pairing between the sensitivity labels
1921.                 and the associated information that is sent or 
1922.                 received.
1923.  
1924.          4.1.1.3.2.2  Exportation to Single-Level Devices
1925.  
1926.                 Single-level I/O devices and single-level
1927.                 communication channels are not required to 
1928.                 maintain the sensitivity labels of the information
1929.                 they process.  However, the TCB shall include a 
1930.                 mechanism by which the TCB and an authorized user
1931.                 reliably communicate to designate the single
1932.                 security level of information imported or exported
1933.                 via single-level communication channels or I/O 
1934.                 devices.
1935.  
1936.          4.1.1.3.2.3  Labeling Human-Readable Output
1937.  
1938.                 The ADP system administrator shall be able to
1939.                 specify the printable label names associated with
1940.                 exported sensitivity labels.  The TCB shall mark
1941.                 the beginning and end of all human-readable, paged,
1942.                 hardcopy output (e.g., line printer output) with 
1943.                 human-readable sensitivity labels that properly*
1944.                 represent the sensitivity of the output.  The TCB
1945.                 shall, by default, mark the top and bottom of each
1946.                 page of human-readable, paged, hardcopy output
1947.                 (e.g., line printer output) with human-readable 
1948.                 sensitivity labels that properly* represent the
1949.                 overall sensitivity of the output or that 
1950.                 properly* represent the sensitivity of the 
1951.                 information on the page.  The TCB shall, by
1952.                 default and in an appropriate manner, mark other
1953.                 forms of human-readable output (e.g., maps,
1954.                 graphics) with human-readable sensitivity labels
1955.                 that properly* represent the sensitivity of the 
1956.                 output.  Any override of these marking defaults
1957.                 shall be auditable by the TCB.
1958.  
1959.            ____________________________________________________________________
1960.            * The hierarchical classification component in human-readable
1961.            sensitivity labels shall be equal to the greatest
1962.            hierarchical classification of any of the information in the
1963.            output that the labels refer to;  the non-hierarchical
1964.            category component shall include all of the non-hierarchical
1965.            categories of the information in the output the labels refer
1966.            to, but no other non-hierarchical categories.
1967.            ____________________________________________________________________
1968.  
1969.  
1970.     4.1.1.3.3  Subject Sensitivity Labels
1971.  
1972.          The TCB shall immediately notify a terminal user of each
1973.          change in the security level associated with that user 
1974.          during an interactive session.  A terminal user shall be
1975.          able to query the TCB as desired for a display of the
1976.          subject's complete sensitivity label.
1977.  
1978.     4.1.1.3.4  Device Labels
1979.  
1980.          The TCB shall support the assignment of minimum and
1981.          maximum security levels to all attached physical devices.
1982.          These security levels shall be used by the TCB to enforce
1983.          constraints imposed by the physical environments in which
1984.          the devices are located.
1985.  
1986.      4.1.1.4   Mandatory Access Control
1987.  
1988.          The TCB shall enforce a mandatory access control policy over
1989.          all resources (i.e., subjects, storage objects, and I/O 
1990.          devices) that are directly or indirectly accessible by subjects
1991.          external to the TCB.  These subjects and objects shall be
1992.          assigned sensitivity labels that are a combination of
1993.          hierarchical classification levels and non-hierarchical
1994.          categories, and the labels shall be used as the basis for 
1995.          mandatory access control decisions.  The TCB shall be able to
1996.          support two or more such security levels.  (See the Mandatory
1997.          Access Control guidelines.) The following requirements shall
1998.          hold for all accesses between all subjects external to the TCB
1999.          and all objects directly or indirectly accessible by these 
2000.          subjects: A subject can read an object only if the hierarchical
2001.          classification in the subject's security level is greater than
2002.          or equal to the hierarchical classification in the object's
2003.          security level and the non-hierarchical categories in the
2004.          subject's security level include all the non-hierarchical
2005.          categories in the object's security level.  A subject can write
2006.          an object only if the hierarchical classification in the 
2007.          subject's security level is less than or equal to the
2008.          hierarchical classification in the object's security level and
2009.          all the non-hierarchical categories in the subject's security 
2010.          level are included in the non- hierarchical categories in the 
2011.          object's security level.
2012.  
2013. 4.1.2  ACCOUNTABILITY
2014.  
2015.      4.1.2.1   Identification and Authentication
2016.  
2017.          The TCB shall require users to identify themselves to it before
2018.          beginning to perform any other actions that the TCB is expected
2019.          to mediate.  Furthermore, the TCB shall maintain authentication
2020.          data that includes information for verifying the identity of
2021.          individual users (e.g., passwords) as well as information for
2022.          determining the clearance and authorizations of individual
2023.          users.  This data shall be used by the TCB to authenticate the
2024.          user's identity and to determine the security level and 
2025.          authorizations of subjects that may be created to act on behalf
2026.          of the individual user.  The TCB shall protect authentication
2027.          data so that it cannot be accessed by any unauthorized user.
2028.          The TCB shall be able to enforce individual accountability by
2029.          providing the capability to uniquely identify each individual 
2030.          ADP system user.  The TCB shall also provide the capability of
2031.          associating this identity with all auditable actions taken by
2032.          that individual.
2033.  
2034.     4.1.2.1.1  Trusted Path
2035.  
2036.          The TCB shall support a trusted communication path
2037.          between itself and users for use when a positive TCB-to-
2038.          user connection is required (e.g., login, change subject
2039.          security level).  Communications via this trusted path
2040.          shall be activated exclusively by a user or the TCB and
2041.          shall be logically isolated and unmistakably 
2042.          distinguishable from other paths.
2043.  
2044.      4.1.2.2   Audit
2045.  
2046.          The TCB shall be able to create, maintain, and protect from
2047.          modification or unauthorized access or destruction an audit 
2048.          trail of accesses to the objects it protects.  The audit data
2049.          shall be protected by the TCB so that read access to it is
2050.          limited to those who are authorized for audit data.  The TCB
2051.          shall be able to record the following types of events: use of
2052.          identification and authentication mechanisms, introduction of
2053.          objects into a user's address space (e.g., file open, program
2054.          initiation), deletion of objects, and actions taken by computer
2055.          operators and system administrators and/or system security
2056.          officers.  The TCB shall also be able to audit any override of
2057.          human-readable output markings.  For each recorded event, the
2058.          audit record shall identify: date and time of the event, user,
2059.          type of event, and success or failure of the event.  For
2060.          identification/authentication events the origin of request
2061.          (e.g., terminal ID) shall be included in the audit record.  For
2062.          events that introduce an object into a user's address space and
2063.          for object deletion events the audit record shall include the 
2064.          name of the object and the object's security level.  The ADP
2065.          system administrator shall be able to selectively audit the
2066.          actions of any one or more users based on individual identity
2067.          and/or object security level.  The TCB shall be able to audit
2068.          the identified events that may be used in the exploitation of
2069.          covert storage channels.  The TCB shall contain a mechanism 
2070.          that is able to monitor the occurrence or accumulation of 
2071.          security auditable events that may indicate an imminent
2072.          violation of security policy.  This mechanism shall be able to
2073.          immediately notify the security administrator when thresholds 
2074.          are exceeded.
2075.  
2076. 4.1.3  ASSURANCE
2077.  
2078.      4.1.3.1   Operational Assurance
2079.  
2080.     4.1.3.1.1  System Architecture
2081.  
2082.          The TCB shall maintain a domain for its own execution
2083.          that protects it from external interference or tampering
2084.          (e.g., by modification of its code or data structures).
2085.          The TCB shall maintain process isolation through the
2086.          provision of distinct address spaces under its control.
2087.          The TCB shall be internally structured into well-defined
2088.          largely independent modules.  It shall make effective use
2089.          of available hardware to separate those elements that are
2090.          protection-critical from those that are not.  The TCB
2091.          modules shall be designed such that the principle of 
2092.          least privilege is enforced.  Features in hardware, such
2093.          as segmentation, shall be used to support logically 
2094.          distinct storage objects with separate attributes (namely:
2095.          readable, writeable).  The user interface to the TCB 
2096.          shall be completely defined and all elements of the TCB 
2097.          identified.  The TCB shall be designed and structured to
2098.          use a complete, conceptually simple protection mechanism
2099.          with precisely defined semantics.  This mechanism shall 
2100.          play a central role in enforcing the internal structuring
2101.          of the TCB and the system.  The TCB shall incorporate
2102.          significant use of layering, abstraction and data hiding.
2103.          Significant system engineering shall be directed toward 
2104.          minimizing the complexity of the TCB and excluding from
2105.          the TCB modules that are not protection-critical.
2106.  
2107.     4.1.3.1.2  System Integrity
2108.  
2109.          Hardware and/or software features shall be provided that
2110.          can be used to periodically validate the correct 
2111.          operation of the on-site hardware and firmware elements
2112.          of the TCB.
2113.  
2114.     4.1.3.1.3  Covert Channel Analysis
2115.  
2116.          The system developer shall conduct a thorough search for
2117.          COVERT CHANNELS and make a determination (either by 
2118.          actual measurement or by engineering estimation) of the
2119.          maximum bandwidth of each identified channel.  (See the
2120.          Covert Channels Guideline section.)  FORMAL METHODS SHALL
2121.          BE USED IN THE ANALYSIS.
2122.  
2123.     4.1.3.1.4  Trusted Facility Management
2124.  
2125.          The TCB shall support separate operator and administrator
2126.          functions.  The functions performed in the role of a 
2127.          security administrator shall be identified.  The ADP
2128.          system administrative personnel shall only be able to
2129.          perform security administrator functions after taking a 
2130.          distinct auditable action to assume the security
2131.          administrator role on the ADP system.  Non-security
2132.          functions that can be performed in the security 
2133.          administration role shall be limited strictly to those
2134.          essential to performing the security role effectively.
2135.  
2136.     4.1.3.1.5  Trusted Recovery
2137.  
2138.          Procedures and/or mechanisms shall be provided to assure
2139.          that, after an ADP system failure or other discontinuity,
2140.          recovery without a protection compromise is obtained.
2141.  
2142.      4.1.3.2   Life-Cycle Assurance
2143.  
2144.     4.1.3.2.1  Security Testing
2145.  
2146.          The security mechanisms of the ADP system shall be tested
2147.          and found to work as claimed in the system documentation.
2148.          A team of individuals who thoroughly understand the
2149.          specific implementation of the TCB shall subject its
2150.          design documentation, source code, and object code to
2151.          thorough analysis and testing.  Their objectives shall 
2152.          be: to uncover all design and implementation flaws that
2153.          would permit a subject external to the TCB to read,
2154.          change, or delete data normally denied under the 
2155.          mandatory or discretionary security policy enforced by 
2156.          the TCB; as well as to assure that no subject (without
2157.          authorization to do so) is able to cause the TCB to enter
2158.          a state such that it is unable to respond to 
2159.          communications initiated by other users.  The TCB shall 
2160.          be found resistant to penetration.  All discovered flaws
2161.          shall be corrected and the TCB retested to demonstrate 
2162.          that they have been eliminated and that new flaws have
2163.          not been introduced.  Testing shall demonstrate that the
2164.          TCB implementation is consistent with the FORMAL top-
2165.          level specification.  (See the Security Testing 
2166.          Guidelines.)  No design flaws and no more than a few
2167.          correctable implementation flaws may be found during
2168.          testing and there shall be reasonable confidence that few
2169.          remain.  MANUAL OR OTHER MAPPING OF THE FTLS TO THE 
2170.          SOURCE CODE MAY FORM A BASIS FOR PENETRATION TESTING.
2171.  
2172.     4.1.3.2.2  Design Specification and Verification
2173.  
2174.          A formal model of the security policy supported by the
2175.          TCB shall be maintained that is proven consistent with 
2176.          its axioms.  A descriptive top-level specification (DTLS)
2177.          of the TCB shall be maintained that completely and
2178.          accurately describes the TCB in terms of exceptions, error
2179.          messages, and effects.  A FORMAL TOP-LEVEL SPECIFICATION
2180.          (FTLS) OF THE TCB SHALL BE MAINTAINED THAT ACCURATELY
2181.          DESCRIBES THE TCB IN TERMS OF EXCEPTIONS, ERROR MESSAGES,
2182.          AND EFFECTS.  THE DTLS AND FTLS SHALL INCLUDE THOSE 
2183.          COMPONENTS OF THE TCB THAT ARE IMPLEMENTED AS HARDWARE
2184.          AND/OR FIRMWARE IF THEIR PROPERTIES ARE VISIBLE AT THE
2185.          TCB INTERFACE.  THE FTLS shall be shown to be an accurate
2186.          description of the TCB interface.  A convincing argument
2187.          shall be given that the DTLS is consistent with the model
2188.          AND A COMBINATION OF FORMAL AND INFORMAL TECHNIQUES SHALL
2189.          BE USED TO SHOW THAT THE FTLS IS CONSISTENT WITH THE
2190.          MODEL.  THIS VERIFICATION EVIDENCE SHALL BE CONSISTENT 
2191.          WITH THAT PROVIDED WITHIN THE STATE-OF-THE-ART OF THE 
2192.          PARTICULAR COMPUTER SECURITY CENTER-ENDORSED FORMAL
2193.          SPECIFICATION AND VERIFICATION SYSTEM USED.  MANUAL OR
2194.          OTHER MAPPING OF THE FTLS TO THE TCB SOURCE CODE SHALL BE
2195.          PERFORMED TO PROVIDE EVIDENCE OF CORRECT IMPLEMENTATION.
2196.  
2197.     4.1.3.2.3  Configuration Management
2198.  
2199.          During THE ENTIRE LIFE-CYCLE, I.E., DURING THE DESIGN,
2200.          DEVELOPMENT, and maintenance of the TCB, a configuration
2201.          management system shall be in place FOR ALL SECURITY-
2202.          RELEVANT HARDWARE, FIRMWARE, AND SOFTWARE that maintains
2203.          control of changes to THE FORMAL MODEL, the descriptive 
2204.          AND FORMAL top-level SPECIFICATIONS, other design data, 
2205.          implementation documentation, source code, the running
2206.          version of the object code, and test fixtures and
2207.          documentation.  The configuration management system shall
2208.          assure a consistent mapping among all documentation and 
2209.          code associated with the current version of the TCB.
2210.          Tools shall be provided for generation of a new version
2211.          of the TCB from source code.  Also available shall be 
2212.          tools, MAINTAINED UNDER STRICT CONFIGURATION CONTROL, for
2213.          comparing a newly generated version with the previous TCB
2214.          version in order to ascertain that only the intended
2215.          changes have been made in the code that will actually be
2216.          used as the new version of the TCB.  A COMBINATION OF
2217.          TECHNICAL, PHYSICAL, AND PROCEDURAL SAFEGUARDS SHALL BE
2218.          USED TO PROTECT FROM UNAUTHORIZED MODIFICATION OR
2219.          DESTRUCTION THE MASTER COPY OR COPIES OF ALL MATERIAL 
2220.          USED TO GENERATE THE TCB.
2221.  
2222.     4.1.3.2.4  Trusted Distribution
2223.  
2224.          A TRUSTED ADP SYSTEM CONTROL AND DISTRIBUTION FACILITY
2225.          SHALL BE PROVIDED FOR MAINTAINING THE INTEGRITY OF THE 
2226.          MAPPING BETWEEN THE MASTER DATA DESCRIBING THE CURRENT
2227.          VERSION OF THE TCB AND THE ON-SITE MASTER COPY OF THE
2228.          CODE FOR THE CURRENT VERSION.  PROCEDURES (E.G., SITE 
2229.          SECURITY ACCEPTANCE TESTING) SHALL EXIST FOR ASSURING
2230.          THAT THE TCB SOFTWARE, FIRMWARE, AND HARDWARE UPDATES
2231.          DISTRIBUTED TO A CUSTOMER ARE EXACTLY AS SPECIFIED BY 
2232.          THE MASTER COPIES.
2233.  
2234. 4.1.4  DOCUMENTATION
2235.  
2236.      4.1.4.1   Security Features User's Guide
2237.  
2238.          A single summary, chapter, or manual in user documentation
2239.          shall describe the protection mechanisms provided by the TCB,
2240.          guidelines on their use, and how they interact with one another.
2241.  
2242.      4.1.4.2   Trusted Facility Manual
2243.  
2244.                A manual addressed to the ADP system administrator shall
2245.          present cautions about functions and privileges that should be
2246.          controlled when running a secure facility.  The procedures for
2247.          examining and maintaining the audit files as well as the
2248.          detailed audit record structure for each type of audit event
2249.          shall be given.  The manual shall describe the operator and
2250.          administrator functions related to security, to include 
2251.          changing the security characteristics of a user.  It shall
2252.          provide guidelines on the consistent and effective use of the
2253.          protection features of the system, how they interact, how to
2254.          securely generate a new TCB, and facility procedures, warnings,
2255.          and privileges that need to be controlled in order to operate
2256.          the facility in a secure manner.  The TCB modules that contain
2257.          the reference validation mechanism shall be identified.  The 
2258.          procedures for secure generation of a new TCB from source after
2259.          modification of any modules in the TCB shall be described.  It
2260.          shall include the procedures to ensure that the system is 
2261.          initially started in a secure manner.  Procedures shall also be
2262.          included to resume secure system operation after any lapse in 
2263.          system operation.  
2264.  
2265.      4.1.4.3   Test Documentation
2266.  
2267.          The system developer shall provide to the evaluators a document
2268.          that describes the test plan and results of the security
2269.          mechanisms' functional testing.  It shall include results of 
2270.          testing the effectiveness of the methods used to reduce covert
2271.          channel bandwidths.  THE RESULTS OF THE MAPPING BETWEEN THE
2272.          FORMAL TOP-LEVEL SPECIFICATION AND THE TCB SOURCE CODE SHALL BE
2273.          GIVEN.
2274.  
2275.      4.1.4.4   Design Documentation
2276.  
2277.          Documentation shall be available that provides a description of
2278.          the manufacturer's philosophy of protection and an explanation
2279.          of how this philosophy is translated into the TCB.  The 
2280.          interfaces between the TCB modules shall be described.  A
2281.          formal description of the security policy model enforced by the
2282.          TCB shall be available and proven that it is sufficient to 
2283.          enforce the security policy.  The specific TCB protection 
2284.          mechanisms shall be identified and an explanation given to show
2285.          that they satisfy the model.  The descriptive top-level
2286.          specification (DTLS) shall be shown to be an accurate 
2287.          description of the TCB interface.  Documentation shall describe
2288.          how the TCB implements the reference monitor concept and give 
2289.          an explanation why it is tamperproof, cannot be bypassed, and
2290.          is correctly implemented.  The TCB implementation (i.e., in
2291.          hardware, firmware, and software) shall be informally shown to
2292.          be consistent with the FORMAL TOP- LEVEL SPECIFICATION (FTLS).
2293.          The elements of the FTLS shall be shown, using informal 
2294.          techniques, to correspond to the elements of the TCB.  
2295.          Documentation shall describe how the TCB is structured to
2296.          facilitate testing and to enforce least privilege.  This
2297.          documentation shall also present the results of the covert 
2298.          channel analysis and the tradeoffs involved in restricting the
2299.          channels.  All auditable events that may be used in the
2300.          exploitation of known covert storage channels shall be 
2301.          identified.  The bandwidths of known covert storage channels,
2302.          the use of which is not detectable by the auditing mechanisms,
2303.          shall be provided.  (See the Covert Channel Guideline section.)
2304.          HARDWARE, FIRMWARE, AND SOFTWARE MECHANISMS NOT DEALT WITH IN
2305.          THE FTLS BUT STRICTLY INTERNAL TO THE TCB (E.G., MAPPING
2306.          REGISTERS, DIRECT MEMORY ACCESS I/O) SHALL BE CLEARLY DESCRIBED.
2307.  
2308. 4.2  BEYOND CLASS (A1)
2309.  
2310. Most of the security enhancements envisioned for systems that will provide
2311. features and assurance in addition to that already provided by class (Al)
2312. systems are beyond current technology.  The discussion below is intended to
2313. guide future work and is derived from research and development activities
2314. already underway in both the public and private sectors.  As more and better
2315. analysis techniques are developed, the requirements for these systems will
2316. become more explicit.  In the future, use of formal verification will be
2317. extended to the source level and covert timing channels will be more fully
2318. addressed.  At this level the design environment will become important and
2319. testing will be aided by analysis of the formal top-level specification.
2320. Consideration will be given to the correctness of the tools used in TCB
2321. development (e.g., compilers, assemblers, loaders) and to the correct
2322. functioning of the hardware/firmware on which the TCB will run.  Areas to be
2323. addressed by systems beyond class (A1) include:
2324.  
2325.            * System Architecture
2326.  
2327.            A demonstration (formal or otherwise) must be given showing
2328.            that requirements of self-protection and completeness for
2329.            reference monitors have been implemented in the TCB.
2330.  
2331.            * Security Testing
2332.  
2333.            Although beyond the current state-of-the-art, it is
2334.            envisioned that some test-case generation will be done
2335.            automatically from the formal top-level specification or
2336.            formal lower-level specifications.
2337.  
2338.            * Formal Specification and Verification
2339.  
2340.            The TCB must be verified down to the source code level,
2341.            using formal verification methods where feasible.  Formal
2342.            verification of the source code of the security-relevant
2343.            portions of an operating system has proven to be a difficult
2344.            task.  Two important considerations are the choice of a
2345.            high-level language whose semantics can be fully and
2346.            formally expressed, and a careful mapping, through
2347.            successive stages, of the abstract formal design to a
2348.            formalization of the implementation in low-level
2349.            specifications.    Experience has shown that only when the
2350.            lowest level specifications closely correspond to the actual
2351.            code can code proofs be successfully accomplished.
2352.  
2353.            * Trusted Design Environment
2354.  
2355.            The TCB must be designed in a trusted facility with only
2356.      trusted (cleared) personnel.
2357.  
2358.  
2359.  
2360.  
2361.                                PART II:
2362.  
2363.  
2364. 5.0  CONTROL OBJECTIVES FOR TRUSTED COMPUTER SYSTEMS
2365.  
2366. The criteria are divided within each class into groups of requirements.  These
2367. groupings were developed to assure that three basic control objectives for
2368. computer security are satisfied and not overlooked.  These control objectives
2369. deal with:
2370.  
2371.                       * Security Policy
2372.                       * Accountability
2373.                       * Assurance
2374.  
2375. This section provides a discussion of these general control objectives and
2376. their implication in terms of designing trusted systems.
2377.  
2378. 5.1  A Need for Consensus
2379.  
2380. A major goal of the DoD Computer Security Center is to encourage the Computer
2381. Industry to develop trusted computer systems and products, making them widely
2382. available in the commercial market place.  Achievement of this goal will
2383. require recognition and articulation by both the public and private sectors of
2384. a need and demand for such products.
2385.  
2386. As described in the introduction to this document, efforts to define the
2387. problems and develop solutions associated with processing nationally sensitive
2388. information, as well as other sensitive data such as financial, medical, and
2389. personnel information used by the National Security Establishment, have been
2390. underway for a number of years.  The criteria, as described in Part I,
2391. represent the culmination of these efforts and describe basic requirements for
2392. building trusted computer systems.  To date, however, these systems have been
2393. viewed by many as only satisfying National Security needs.  As long as this
2394. perception continues the consensus needed to motivate manufacture of trusted
2395. systems will be lacking.
2396.  
2397. The purpose of this section is to describe, in some detail, the fundamental
2398. control objectives that lay the foundations for requirements delineated in the
2399. criteria.  The goal is to explain the foundations so that those outside the
2400. National Security Establishment can assess their universality and, by
2401. extension, the universal applicability of the criteria requirements to
2402. processing all types of sensitive applications whether they be for National
2403. Security or the private sector.
2404.  
2405. 5.2  Definition and Usefulness
2406.  
2407. The term "control objective" refers to a statement of intent with respect to
2408. control over some aspect of an organization's resources, or processes, or
2409. both.  In terms of a computer system, control objectives provide a framework
2410. for developing a strategy for fulfilling a set of security requirements for
2411. any given system.  Developed in response to generic vulnerabilities, such as
2412. the need to manage and handle sensitive data in order to prevent compromise,
2413. or the need to provide accountability in order to detect fraud, control
2414. objectives have been identified as a useful method of expressing security
2415. goals.[3]
2416.  
2417. Examples of control objectives include the three basic design requirements for
2418. implementing the reference monitor concept discussed in Section 6.  They are:
2419.  
2420.     * The reference validation mechanism must be tamperproof.
2421.  
2422.     * The reference validation mechanism must always be invoked.
2423.  
2424.     * The reference validation mechanism must be small enough to be
2425.       subjected to analysis and tests, the completeness of which can 
2426.       be assured.[1]
2427.  
2428. 5.3  Criteria Control Objectives
2429.  
2430. The three basic control objectives of the criteria are concerned with security
2431. policy, accountability, and assurance.  The remainder of this section provides
2432. a discussion of these basic requirements.
2433.  
2434.      5.3.1  Security Policy
2435.  
2436.       In the most general sense, computer security is concerned with
2437.       controlling the way in which a computer can be used, i.e., 
2438.       controlling how information processed by it can be accessed and 
2439.       manipulated.  However, at closer examination, computer security 
2440.       can refer to a number of areas.  Symptomatic of this, FIPS PUB 39,
2441.       Glossary For Computer Systems Security, does not have a unique
2442.       definition for computer security.[16]  Instead there are eleven
2443.       separate definitions for security which include: ADP systems 
2444.       security, administrative security, data security, etc.  A common 
2445.       thread running through these definitions is the word "protection."
2446.       Further declarations of protection requirements can be found in
2447.       DoD Directive 5200.28 which describes an acceptable level of
2448.       protection for classified data to be one that will "assure that
2449.       systems which process, store, or use classified data and produce
2450.       classified information will, with reasonable dependability, 
2451.       prevent: a. Deliberate or inadvertent access to classified 
2452.       material by unauthorized persons, and b.  Unauthorized 
2453.       manipulation of the computer and its associated peripheral 
2454.       devices."[8]
2455.  
2456.       In summary, protection requirements must be defined in terms of
2457.       the perceived threats, risks, and goals of an organization.  This
2458.       is often stated in terms of a security policy.  It has been 
2459.       pointed out in the literature that it is external laws, rules, 
2460.       regulations, etc.  that establish what access to information is to
2461.       be permitted, independent of the use of a computer.  In particular,
2462.       a given system can only be said to be secure with respect to its
2463.       enforcement of some specific policy.[30]  Thus, the control 
2464.       objective for security policy is:
2465.  
2466.       SECURITY POLICY CONTROL OBJECTIVE
2467.  
2468.       A STATEMENT OF INTENT WITH REGARD TO CONTROL OVER ACCESS TO AND
2469.       DISSEMINATION OF INFORMATION, TO BE KNOWN AS THE SECURITY POLICY,
2470.       MUST BE PRECISELY DEFINED AND IMPLEMENTED FOR EACH SYSTEM THAT IS
2471.       USED TO PROCESS SENSITIVE INFORMATION.  THE SECURITY POLICY MUST 
2472.       ACCURATELY REFLECT THE LAWS, REGULATIONS, AND GENERAL POLICIES
2473.       FROM WHICH IT IS DERIVED.
2474.  
2475.     5.3.1.1  Mandatory Security Policy
2476.  
2477.              Where a security policy is developed that is to be applied
2478.              to control of classified or other specifically designated 
2479.              sensitive information, the policy must include detailed 
2480.              rules on how to handle that information throughout its
2481.              life-cycle.  These rules are a function of the various
2482.              sensitivity designations that the information can assume 
2483.              and the various forms of access supported by the system.
2484.              Mandatory security refers to the enforcement of a set of
2485.              access control rules that constrains a subject's access to
2486.              information on the basis of a comparison of that 
2487.              individual's clearance/authorization to the information,
2488.              the classification/sensitivity designation of the
2489.              information, and the form of access being mediated.
2490.              Mandatory policies either require or can be satisfied by 
2491.              systems that can enforce a partial ordering of 
2492.              designations, namely, the designations must form what is
2493.              mathematically known as a "lattice."[5]
2494.  
2495.              A clear implication of the above is that the system must
2496.              assure that the designations associated with sensitive data
2497.              cannot be arbitrarily changed, since this could permit 
2498.              individuals who lack the appropriate authorization to 
2499.              access sensitive information.  Also implied is the
2500.              requirement that the system control the flow of information
2501.              so that data cannot be stored with lower sensitivity 
2502.              designations unless its "downgrading" has been authorized.
2503.              The control objective is:
2504.  
2505.              MANDATORY SECURITY CONTROL OBJECTIVE
2506.  
2507.              SECURITY POLICIES DEFINED FOR SYSTEMS THAT ARE USED TO
2508.              PROCESS CLASSIFIED OR OTHER SPECIFICALLY CATEGORIZED 
2509.              SENSITIVE INFORMATION MUST INCLUDE PROVISIONS FOR THE 
2510.              ENFORCEMENT OF MANDATORY ACCESS CONTROL RULES.  THAT IS,
2511.              THEY MUST INCLUDE A SET OF RULES FOR CONTROLLING ACCESS 
2512.              BASED DIRECTLY ON A COMPARISON OF THE INDIVIDUAL'S 
2513.              CLEARANCE OR AUTHORIZATION FOR THE INFORMATION AND THE 
2514.              CLASSIFICATION OR SENSITIVITY DESIGNATION OF THE
2515.              INFORMATION BEING SOUGHT, AND INDIRECTLY ON CONSIDERATIONS
2516.              OF PHYSICAL AND OTHER ENVIRONMENTAL FACTORS OF CONTROL.  
2517.              THE MANDATORY ACCESS CONTROL RULES MUST ACCURATELY REFLECT
2518.              THE LAWS, REGULATIONS, AND GENERAL POLICIES FROM WHICH
2519.              THEY ARE DERIVED.
2520.  
2521.     5.3.1.2  Discretionary Security Policy
2522.  
2523.              Discretionary security is the principal type of access
2524.              control available in computer systems today.  The basis of
2525.              this kind of security is that an individual user, or
2526.              program operating on his behalf, is allowed to specify
2527.              explicitly the types of access other users may have to
2528.              information under his control.  Discretionary security
2529.              differs from mandatory security in that it implements an
2530.              access control policy on the basis of an individual's
2531.              need-to-know as opposed to mandatory controls which are
2532.              driven by the classification or sensitivity designation of
2533.              the information.
2534.  
2535.              Discretionary controls are not a replacement for mandatory
2536.              controls.  In an environment in which information is 
2537.              classified (as in the DoD) discretionary security provides
2538.              for a finer granularity of control within the overall
2539.              constraints of the mandatory policy.  Access to classified
2540.              information requires effective implementation of both types
2541.              of controls as precondition to granting that access.  In 
2542.              general, no person may have access to classified
2543.              information unless: (a) that person has been determined to
2544.              be trustworthy, i.e., granted a personnel security 
2545.              clearance -- MANDATORY, and (b) access is necessary for the
2546.              performance of official duties, i.e., determined to have a
2547.              need-to-know -- DISCRETIONARY.  In other words, 
2548.              discretionary controls give individuals discretion to 
2549.              decide on which of the permissible accesses will actually
2550.              be allowed to which users, consistent with overriding
2551.              mandatory policy restrictions.  The control objective is:
2552.  
2553.              DISCRETIONARY SECURITY CONTROL OBJECTIVE
2554.  
2555.              SECURITY POLICIES DEFINED FOR SYSTEMS THAT ARE USED TO
2556.              PROCESS CLASSIFIED OR OTHER SENSITIVE INFORMATION MUST 
2557.              INCLUDE PROVISIONS FOR THE ENFORCEMENT OF DISCRETIONARY
2558.              ACCESS CONTROL RULES.  THAT IS, THEY MUST INCLUDE A
2559.              CONSISTENT SET OF RULES FOR CONTROLLING AND LIMITING ACCESS
2560.              BASED ON IDENTIFIED INDIVIDUALS WHO HAVE BEEN DETERMINED TO
2561.              HAVE A NEED-TO-KNOW FOR THE INFORMATION.
2562.  
2563.     5.3.1.3  Marking
2564.  
2565.              To implement a set of mechanisms that will put into effect
2566.              a mandatory security policy, it is necessary that the 
2567.              system mark information with appropriate classification or
2568.              sensitivity labels and maintain these markings as the
2569.              information moves through the system.  Once information is
2570.              unalterably and accurately marked, comparisons required by
2571.              the mandatory access control rules can be accurately and
2572.              consistently made.  An additional benefit of having the
2573.              system maintain the classification or sensitivity label
2574.              internally is the ability to automatically generate 
2575.              properly "labeled" output.  The labels, if accurately and
2576.              integrally maintained by the system, remain accurate when
2577.              output from the system.  The control objective is:
2578.  
2579.              MARKING CONTROL OBJECTIVE
2580.  
2581.              SYSTEMS THAT ARE DESIGNED TO ENFORCE A MANDATORY SECURITY
2582.              POLICY MUST STORE AND PRESERVE THE INTEGRITY OF 
2583.              CLASSIFICATION OR OTHER SENSITIVITY LABELS FOR ALL 
2584.              INFORMATION.  LABELS EXPORTED FROM THE SYSTEM MUST BE
2585.              ACCURATE REPRESENTATIONS OF THE CORRESPONDING INTERNAL 
2586.              SENSITIVITY LABELS BEING EXPORTED.
2587.  
2588.      5.3.2  Accountability
2589.  
2590.       The second basic control objective addresses one of the
2591.       fundamental principles of security, i.e., individual 
2592.       accountability.  Individual accountability is the key to securing
2593.       and controlling any system that processes information on behalf
2594.       of individuals or groups of individuals.  A number of requirements
2595.       must be met in order to satisfy this objective.
2596.  
2597.       The first requirement is for individual user identification.
2598.       Second, there is a need for authentication of the identification.
2599.       Identification is functionally dependent on authentication.  
2600.       Without authentication, user identification has no credibility.  
2601.       Without a credible identity, neither mandatory nor discretionary
2602.       security policies can be properly invoked because there is no
2603.       assurance that proper authorizations can be made.
2604.  
2605.       The third requirement is for dependable audit capabilities.  That
2606.       is, a trusted computer system must provide authorized personnel 
2607.       with the ability to audit any action that can potentially cause
2608.       access to, generation of, or effect the release of classified or
2609.       sensitive information.  The audit data will be selectively 
2610.       acquired based on the auditing needs of a particular installation
2611.       and/or application.  However, there must be sufficient granularity
2612.       in the audit data to support tracing the auditable events to a
2613.       specific individual who has taken the actions or on whose behalf
2614.       the actions were taken.  The control objective is:
2615.  
2616.       ACCOUNTABILITY CONTROL OBJECTIVE
2617.  
2618.       SYSTEMS THAT ARE USED TO PROCESS OR HANDLE CLASSIFIED OR OTHER
2619.       SENSITIVE INFORMATION MUST ASSURE INDIVIDUAL ACCOUNTABILITY 
2620.       WHENEVER EITHER A MANDATORY OR DISCRETIONARY SECURITY POLICY IS
2621.       INVOKED.  FURTHERMORE, TO ASSURE ACCOUNTABILITY THE CAPABILITY 
2622.       MUST EXIST FOR AN AUTHORIZED AND COMPETENT AGENT TO ACCESS AND
2623.       EVALUATE ACCOUNTABILITY INFORMATION BY A SECURE MEANS, WITHIN A
2624.       REASONABLE AMOUNT OF TIME, AND WITHOUT UNDUE DIFFICULTY.
2625.  
2626.      5.3.3  Assurance
2627.  
2628.       The third basic control objective is concerned with guaranteeing
2629.       or providing confidence that the security policy has been 
2630.       implemented correctly and that the protection-relevant elements of
2631.       the system do, indeed, accurately mediate and enforce the intent
2632.       of that policy.  By extension, assurance must include a guarantee
2633.       that the trusted portion of the system works only as intended.  To
2634.       accomplish these objectives, two types of assurance are needed.
2635.       They are life-cycle assurance and operational assurance.
2636.  
2637.       Life-cycle assurance refers to steps taken by an organization to
2638.       ensure that the system is designed, developed, and maintained 
2639.       using formalized and rigorous controls and standards.[17]  
2640.       Computer systems that process and store sensitive or classified
2641.       information depend on the hardware and software to protect that
2642.       information.  It follows that the hardware and software themselves
2643.       must be protected against unauthorized changes that could cause
2644.       protection mechanisms to malfunction or be bypassed completely.  
2645.       For this reason trusted computer systems must be carefully 
2646.       evaluated and tested during the design and development phases and
2647.       reevaluated whenever changes are made that could affect the
2648.       integrity of the protection mechanisms.  Only in this way can
2649.       confidence be provided that the hardware and software 
2650.       interpretation of the security policy is maintained accurately 
2651.       and without distortion.
2652.  
2653.       While life-cycle assurance is concerned with procedures for
2654.       managing system design, development, and maintenance; operational
2655.       assurance focuses on features and system architecture used to
2656.       ensure that the security policy is uncircumventably enforced
2657.       during system operation.  That is, the security policy must be
2658.       integrated into the hardware and software protection features of
2659.       the system.  Examples of steps taken to provide this kind of
2660.       confidence include: methods for testing the operational hardware 
2661.       and software for correct operation, isolation of protection-
2662.       critical code, and the use of hardware and software to provide
2663.       distinct domains.  The control objective is:
2664.  
2665.       ASSURANCE CONTROL OBJECTIVE
2666.  
2667.       SYSTEMS THAT ARE USED TO PROCESS OR HANDLE CLASSIFIED OR OTHER
2668.       SENSITIVE INFORMATION MUST BE DESIGNED TO GUARANTEE CORRECT AND
2669.       ACCURATE INTERPRETATION OF THE SECURITY POLICY AND MUST NOT 
2670.       DISTORT THE INTENT OF THAT POLICY.  ASSURANCE MUST BE PROVIDED
2671.       THAT CORRECT IMPLEMENTATION AND OPERATION OF THE POLICY EXISTS
2672.       THROUGHOUT THE SYSTEM'S LIFE-CYCLE.  
2673.  
2674.  
2675. 6.0 RATIONALE BEHIND THE EVALUATION CLASSES
2676.  
2677. 6.1  The Reference Monitor Concept
2678.  
2679. In October of 1972, the Computer Security Technology Planning Study, conducted
2680. by James P.  Anderson & Co., produced a report for the Electronic Systems
2681. Division (ESD) of the United States Air Force.[1]  In that report, the concept
2682. of "a reference monitor which enforces the authorized access relationships
2683. between subjects and objects of a system" was introduced.  The reference
2684. monitor concept was found to be an essential element of any system that would
2685. provide multilevel secure computing facilities and controls.
2686.  
2687. The Anderson report went on to define the reference validation mechanism as
2688. "an implementation of the reference monitor concept .  .  .  that validates
2689. each reference to data or programs by any user (program) against a list of
2690. authorized types of reference for that user." It then listed the three design
2691. requirements that must be met by a reference validation mechanism:
2692.  
2693.     a. The reference validation mechanism must be tamper proof.
2694.  
2695.     b. The reference validation mechanism must always be invoked.
2696.  
2697.     c. The reference validation mechanism must be small enough to be
2698.        subject to analysis and tests, the completeness of which can 
2699.        be assured."[1]
2700.  
2701. Extensive peer review and continuing research and development activities have
2702. sustained the validity of the Anderson Committee's findings.  Early examples
2703. of the reference validation mechanism were known as security kernels.  The
2704. Anderson Report described the security kernel as "that combination of hardware
2705. and software which implements the reference monitor concept."[1]  In this vein,
2706. it will be noted that the security kernel must support the three reference
2707. monitor requirements listed above.
2708.  
2709. 6.2  A Formal Security Policy Model
2710.  
2711. Following the publication of the Anderson report, considerable research was
2712. initiated into formal models of security policy requirements and of the
2713. mechanisms that would implement and enforce those policy models as a security
2714. kernel.  Prominent among these efforts was the ESD-sponsored development of
2715. the Bell and LaPadula model, an abstract formal treatment of DoD security
2716. policy.[2]  Using mathematics and set theory, the model precisely defines the
2717. notion of secure state, fundamental modes of access, and the rules for
2718. granting subjects specific modes of access to objects.  Finally, a theorem is
2719. proven to demonstrate that the rules are security-preserving operations, so
2720. that the application of any sequence of the rules to a system that is in a
2721. secure state will result in the system entering a new state that is also
2722. secure.  This theorem is known as the Basic Security Theorem.
2723.  
2724. The Bell and LaPadula model defines a relationship between clearances of
2725. subjects and classifications of system objects, now referenced as the
2726. "dominance relation." From this definition, accesses permitted between
2727. subjects and objects are explicitly defined for the fundamental modes of
2728. access, including read-only access, read/write access, and write-only access.
2729. The model defines the Simple Security Condition to control granting a subject
2730. read access to a specific object, and the *-Property (read "Star Property") to
2731. control granting a subject write access to a specific object.  Both the Simple
2732. Security Condition and the *-Property include mandatory security provisions
2733. based on the dominance relation between the clearance of the subject and the
2734. classification of the object.  The Discretionary Security Property is also
2735. defined, and requires that a specific subject be authorized for the particular
2736. mode of access required for the state transition.  In its treatment of
2737. subjects (processes acting on behalf of a user), the model distinguishes
2738. between trusted subjects (i.e., not constrained within the model by the
2739. *-Property) and untrusted subjects (those that are constrained by the
2740. *-Property).
2741.  
2742. >From the Bell and LaPadula model there evolved a model of the method of proof
2743. required to formally demonstrate that all arbitrary sequences of state
2744. transitions are security-preserving.  It was also shown that the *- Property
2745. is sufficient to prevent the compromise of information by Trojan Horse
2746. attacks.
2747.  
2748. 6.3  The Trusted Computing Base
2749.  
2750. In order to encourage the widespread commercial availability of trusted
2751. computer systems, these evaluation criteria have been designed to address
2752. those systems in which a security kernel is specifically implemented as well
2753. as those in which a security kernel has not been implemented.  The latter case
2754. includes those systems in which objective (c) is not fully supported because
2755. of the size or complexity of the reference validation mechanism.  For
2756. convenience, these evaluation criteria use the term Trusted Computing Base to
2757. refer to the reference validation mechanism, be it a security kernel,
2758. front-end security filter, or the entire trusted computer system.
2759.  
2760. The heart of a trusted computer system is the Trusted Computing Base (TCB)
2761. which contains all of the elements of the system responsible for supporting
2762. the security policy and supporting the isolation of objects (code and data) on
2763. which the protection is based.  The bounds of the TCB equate to the "security
2764. perimeter" referenced in some computer security literature.  In the interest
2765. of understandable and maintainable protection, a TCB should be as simple as
2766. possible consistent with the functions it has to perform.  Thus, the TCB
2767. includes hardware, firmware, and software critical to protection and must be
2768. designed and implemented such that system elements excluded from it need not
2769. be trusted to maintain protection.  Identification of the interface and
2770. elements of the TCB along with their correct functionality therefore forms the
2771. basis for evaluation.
2772.  
2773. For general-purpose systems, the TCB will include key elements of the
2774. operating system and may include all of the operating system.  For embedded
2775. systems, the security policy may deal with objects in a way that is meaningful
2776. at the application level rather than at the operating system level.  Thus, the
2777. protection policy may be enforced in the application software rather than in
2778. the underlying operating system.  The TCB will necessarily include all those
2779. portions of the operating system and application software essential to the
2780. support of the policy.  Note that, as the amount of code in the TCB increases,
2781. it becomes harder to be confident that the TCB enforces the reference monitor
2782. requirements under all circumstances.
2783.  
2784. 6.4  Assurance
2785.  
2786. The third reference monitor design objective is currently interpreted as
2787. meaning that the TCB "must be of sufficiently simple organization and
2788. complexity to be subjected to analysis and tests, the completeness of which
2789. can be assured."
2790.  
2791. Clearly, as the perceived degree of risk increases (e.g., the range of
2792. sensitivity of the system's protected data, along with the range of clearances
2793. held by the system's user population) for a particular system's operational
2794. application and environment, so also must the assurances be increased to
2795. substantiate the degree of trust that will be placed in the system.  The
2796. hierarchy of requirements that are presented for the evaluation classes in the
2797. trusted computer system evaluation criteria reflect the need for these
2798. assurances.
2799.  
2800. As discussed in Section 5.3, the evaluation criteria uniformly require a
2801. statement of the security policy that is enforced by each trusted computer
2802. system.  In addition, it is required that a convincing argument be presented
2803. that explains why the TCB satisfies the first two design requirements for a
2804. reference monitor.  It is not expected that this argument will be entirely
2805. formal.  This argument is required for each candidate system in order to
2806. satisfy the assurance control objective.
2807.  
2808. The systems to which security enforcement mechanisms have been added, rather
2809. than built-in as fundamental design objectives, are not readily amenable to
2810. extensive analysis since they lack the requisite conceptual simplicity of a
2811. security kernel.  This is because their TCB extends to cover much of the
2812. entire system.  Hence, their degree of trustworthiness can best be ascertained
2813. only by obtaining test results.  Since no test procedure for something as
2814. complex as a computer system can be truly exhaustive, there is always the
2815. possibility that a subsequent penetration attempt could succeed.  It is for
2816. this reason that such systems must fall into the lower evaluation classes.
2817.  
2818. On the other hand, those systems that are designed and engineered to support
2819. the TCB concepts are more amenable to analysis and structured testing.  Formal
2820. methods can be used to analyze the correctness of their reference validation
2821. mechanisms in enforcing the system's security policy.  Other methods,
2822. including less-formal arguments, can be used in order to substantiate claims
2823. for the completeness of their access mediation and their degree of
2824. tamper-resistance.  More confidence can be placed in the results of this
2825. analysis and in the thoroughness of the structured testing than can be placed
2826. in the results for less methodically structured systems.  For these reasons,
2827. it appears reasonable to conclude that these systems could be used in
2828. higher-risk environments.  Successful implementations of such systems would be
2829. placed in the higher evaluation classes.
2830.  
2831. 6.5  The Classes
2832.  
2833. It is highly desirable that there be only a small number of overall evaluation
2834. classes.  Three major divisions have been identified in the evaluation
2835. criteria with a fourth division reserved for those systems that have been
2836. evaluated and found to offer unacceptable security protection.  Within each
2837. major evaluation division, it was found that "intermediate" classes of trusted
2838. system design and development could meaningfully be defined.  These
2839. intermediate classes have been designated in the criteria because they
2840. identify systems that:
2841.  
2842.     * are viewed to offer significantly better protection and assurance
2843.       than would systems that satisfy the basic requirements for their
2844.       evaluation class; and
2845.  
2846.     * there is reason to believe that systems in the intermediate
2847.       evaluation classes could eventually be evolved such that they 
2848.       would satisfy the requirements for the next higher evaluation 
2849.       class.
2850.  
2851. Except within division A it is not anticipated that additional "intermediate"
2852. evaluation classes satisfying the two characteristics described above will be
2853. identified.
2854.  
2855. Distinctions in terms of system architecture, security policy enforcement, and
2856. evidence of credibility between evaluation classes have been defined such that
2857. the "jump" between evaluation classes would require a considerable investment
2858. of effort on the part of implementors.  Correspondingly, there are expected to
2859. be significant differentials of risk to which systems from the higher
2860. evaluation classes will be exposed.
2861.  
2862.  
2863. 7.0  THE RELATIONSHIP BETWEEN POLICY AND THE CRITERIA
2864.  
2865. Section 1 presents fundamental computer security requirements and Section 5
2866. presents the control objectives for Trusted Computer Systems.  They are
2867. general requirements, useful and necessary, for the development of all secure
2868. systems.  However, when designing systems that will be used to process
2869. classified or other sensitive information, functional requirements for meeting
2870. the Control Objectives become more specific.  There is a large body of policy
2871. laid down in the form of Regulations, Directives, Presidential Executive
2872. Orders, and OMB Circulars that form the basis of the procedures for the
2873. handling and processing of Federal information in general and classified
2874. information specifically.  This section presents pertinent excerpts from these
2875. policy statements and discusses their relationship to the Control Objectives.
2876.  
2877.  
2878. 7.1  Established Federal Policies
2879.  
2880. A significant number of computer security policies and associated requirements
2881. have been promulgated by Federal government elements.  The interested reader
2882. is referred to reference [32] which analyzes the need for trusted systems in
2883. the civilian agencies of the Federal government, as well as in state and local
2884. governments and in the private sector.  This reference also details a number
2885. of relevant Federal statutes, policies and requirements not treated further
2886. below.
2887.  
2888. Security guidance for Federal automated information systems is provided by the
2889. Office of Management and Budget.  Two specifically applicable Circulars have
2890. been issued.  OMB Circular No.  A-71, Transmittal Memorandum No.  1, "Security
2891. of Federal Automated Information Systems,"[26] directs each executive agency
2892. to establish and maintain a computer security program.  It makes the head of
2893. each executive branch, department and agency responsible "for assuring an
2894. adequate level of security for all agency data whether processed in-house or
2895. commercially.  This includes responsibility for the establishment of physical,
2896. administrative and technical safeguards required to adequately protect
2897. personal, proprietary or other sensitive data not subject to national security
2898. regulations, as well as national security data."[26, para. 4 p. 2]
2899.  
2900. OMB Circular No.  A-123, "Internal Control Systems,"[27] issued to help
2901. eliminate fraud, waste, and abuse in government programs requires: (a) agency
2902. heads to issue internal control directives and assign responsibility, (b)
2903. managers to review programs for vulnerability, and (c) managers to perform
2904. periodic reviews to evaluate strengths and update controls.  Soon after
2905. promulgation of OMB Circular A-123, the relationship of its internal control
2906. requirements to building secure computer systems was recognized.[4] While not
2907. stipulating computer controls specifically, the definition of Internal
2908. Controls in A-123 makes it clear that computer systems are to be included:
2909.  
2910.      "Internal Controls - The plan of organization and all of the methods and
2911.       measures adopted within an agency to safeguard its resources, assure the
2912.       accuracy and reliability of its information, assure adherence to 
2913.       applicable laws, regulations and policies, and promote operational 
2914.       economy and efficiency."[27, sec. 4.C]
2915.  
2916. The matter of classified national security information processed by ADP
2917. systems was one of the first areas given serious and extensive concern in
2918. computer security.  The computer security policy documents promulgated as a
2919. result contain generally more specific and structured requirements than most,
2920. keyed in turn to an authoritative basis that itself provides a rather clearly
2921. articulated and structured information security policy.  This basis, Executive
2922. Order 12356, "National Security Information," sets forth requirements for the
2923. classification, declassification and safeguarding of "national security
2924. information" per se.[14]
2925.  
2926. 7.2  DoD Policies
2927.  
2928. Within the Department of Defense, these broad requirements are implemented and
2929. further specified primarily through two vehicles: 1) DoD Regulation 5200.1-R
2930. [7], which applies to all components of the DoD as such, and 2) DoD 5220.22-M,
2931. "Industrial Security Manual for Safeguarding Classified Information" [11],
2932. which applies to contractors included within the Defense Industrial Security
2933. Program.  Note that the latter transcends DoD as such, since it applies not
2934. only to any contractors handling classified information for any DoD component,
2935. but also to the contractors of eighteen other Federal organizations for whom
2936. the Secretary of Defense is authorized to act in rendering industrial security
2937. services.*
2938.  
2939.            ____________________________________________________________
2940.            * i.e., NASA, Commerce Department, GSA, State Department,
2941.            Small Business Administration, National Science Foundation,
2942.            Treasury Department, Transportation Department, Interior
2943.            Department, Agriculture Department, Health and Human
2944.            Services Department, Labor Department, Environmental
2945.            Protection Agency, Justice Department, U.S. Arms Control and
2946.            Disarmament Agency, Federal Emergency Management Agency,
2947.            Federal Reserve System, and U.S. General Accounting Office.
2948.            ____________________________________________________________
2949.  
2950.  
2951. For ADP systems, these information security requirements are further amplified
2952. and specified in: 1) DoD Directive 5200.28 [8] and DoD Manual 5200.28-M [9],
2953. for DoD components; and 2) Section XIII of DoD 5220.22-M [11] for contractors.
2954. DoD Directive 5200.28, "Security Requirements for Automatic Data Processing
2955. (ADP) Systems," stipulates: "Classified material contained in an ADP system
2956. shall be safeguarded by the continuous employment of protective features in
2957. the system's hardware and software design and configuration .  .  .  ."[8,
2958. sec.  IV] Furthermore, it is required that ADP systems that "process, store,
2959. or use classified data and produce classified information will, with
2960. reasonable dependability, prevent:
2961.  
2962.      a.  Deliberate or inadvertent access to classified material by
2963.          unauthorized persons, and
2964.  
2965.      b.  Unauthorized manipulation of the computer and its associated
2966.          peripheral devices."[8, sec. I B.3]
2967.  
2968. Requirements equivalent to these appear within DoD 5200.28-M [9] and in DoD
2969. 5220.22-M [11].
2970.  
2971. >From requirements imposed by these regulations, directives and circulars, the
2972. three components of the Security Policy Control Objective, i.e., Mandatory and
2973. Discretionary Security and Marking, as well as the Accountability and
2974. Assurance Control Objectives, can be functionally defined for DoD
2975. applications.  The following discussion provides further specificity in Policy
2976. for these Control Objectives.
2977.  
2978. 7.3  Criteria Control Objective for Security Policy
2979.  
2980.      7.3.1  Marking
2981.  
2982.       The control objective for marking is: "Systems that are designed
2983.       to enforce a mandatory security policy must store and preserve the
2984.       integrity of classification or other sensitivity labels for all 
2985.       information.  Labels exported from the system must be accurate 
2986.       representations of the corresonding internal sensitivity labels
2987.       being exported."
2988.  
2989.       DoD 5220.22-M, "Industrial Security Manual for Safeguarding
2990.       Classified Information," explains in paragraph 11 the reasons for 
2991.       marking information:
2992.  
2993.            "Designation by physical marking, notation or other means
2994.            serves to inform and to warn the holder about the 
2995.            classification designation of the information which requires
2996.            protection in the interest of national security.  The degree
2997.            of protection against unauthorized disclosure which will be
2998.            required for a particular level of classification is directly
2999.            commensurate with the marking designation which is assigned 
3000.            to the material."[11]
3001.  
3002.       Marking requirements are given in a number of policy statements.
3003.  
3004.       Executive Order 12356 (Sections 1.5.a and 1.5.a.1) requires that
3005.       classification markings "shall be shown on the face of all 
3006.       classified documents, or clearly associated with other forms of 
3007.       classified information in a manner appropriate to the medium 
3008.       involved."[14]
3009.  
3010.       DoD Regulation 5200.1-R (Section 1-500) requires that: ".  .  .
3011.       information or material that requires protection against 
3012.       unauthorized disclosure in the interest of national security shall
3013.       be classified in one of three designations, namely: 'Top Secret,'
3014.       'Secret' or 'Confidential.'"[7] (By extension, for use in computer
3015.       processing, the unofficial designation "Unclassified" is used to
3016.       indicate information that does not fall under one of the other
3017.       three designations of classified information.)
3018.  
3019.       DoD Regulation 5200.1-R (Section 4-304b) requires that: "ADP
3020.       systems and word processing systems employing such media shall 
3021.       provide for internal classification marking to assure that 
3022.       classified information contained therein that is reproduced or 
3023.       generated, will bear applicable classification and associated
3024.       markings." (This regulation provides for the exemption of certain
3025.       existing systems where "internal classification and applicable
3026.       associated markings cannot be implemented without extensive system
3027.       modifications."[7]  However, it is clear that future DoD ADP 
3028.       systems must be able to provide applicable and accurate labels for
3029.       classified and other sensitive information.)
3030.  
3031.       DoD Manual 5200.28-M (Section IV, 4-305d) requires the following:
3032.       "Security Labels - All classified material accessible by or within
3033.       the ADP system shall be identified as to its security 
3034.       classification and access or dissemination limitations, and all
3035.       output of the ADP system shall be appropriately marked."[9]
3036.  
3037.      7.3.2  Mandatory Security
3038.  
3039.       The control objective for mandatory security is: "Security
3040.       policies defined for systems that are used to process classified
3041.       or other specifically categorized sensitive information must 
3042.       include provisions for the enforcement of mandatory access control
3043.       rules.  That is, they must include a set of rules for controlling
3044.       access based directly on a comparison of the individual's
3045.       clearance or authorization for the information and the 
3046.       classification or sensitivity designation of the information being
3047.       sought, and indirectly on considerations of physical and other 
3048.       environmental factors of control.  The mandatory access control
3049.       rules must accurately reflect the laws, regulations, and general
3050.       policies from which they are derived."
3051.  
3052.       There are a number of policy statements that are related to
3053.       mandatory security.
3054.  
3055.       Executive Order 12356 (Section 4.1.a) states that "a person is
3056.       eligible for access to classified information provided that a 
3057.       determination of trustworthiness has been made by agency heads or
3058.       designated officials and provided that such access is essential
3059.       to the accomplishment of lawful and authorized Government
3060.       purposes."[14]
3061.  
3062.       DoD Regulation 5200.1-R (Chapter I, Section 3) defines a Special
3063.       Access Program as "any program imposing 'need-to-know' or access
3064.       controls beyond those normally provided for access to 
3065.       Confidential, Secret, or Top Secret information.  Such a program
3066.       includes, but is not limited to, special clearance, adjudication,
3067.       or investigative requirements, special designation of officials
3068.       authorized to determine 'need-to-know', or special lists of persons
3069.       determined to have a 'need-to- know.'"[7, para.  1-328] This
3070.       passage distinguishes between a 'discretionary' determination of
3071.       need-to-know and formal need-to-know which is implemented through
3072.       Special Access Programs.  DoD Regulation 5200.1-R, paragraph 7-100
3073.       describes general requirements for trustworthiness (clearance) and
3074.       need-to-know, and states that the individual with possession,
3075.       knowledge or control of classified information has final
3076.       responsibility for determining if conditions for access have been
3077.       met.  This regulation further stipulates that "no one has a right
3078.       to have access to classified information solely by virtue of rank
3079.       or position." [7, para. 7-100])
3080.  
3081.       DoD Manual 5200.28-M (Section II 2-100) states that, "Personnel
3082.       who develop, test (debug), maintain, or use programs which are 
3083.       classified or which will be used to access or develop classified
3084.       material shall have a personnel security clearance and an access
3085.       authorization (need-to-know), as appropriate for the highest
3086.       classified and most restrictive category of classified material
3087.       which they will access under system constraints."[9]
3088.  
3089.       DoD Manual 5220.22-M (Paragraph 3.a) defines access as "the
3090.       ability and opportunity to obtain knowledge of classified 
3091.       information.  An individual, in fact, may have access to 
3092.       classified information by being in a place where such information
3093.       is kept, if the security measures which are in force do not
3094.       prevent him from gaining knowledge of the classified 
3095.       information."[11]
3096.  
3097.       The above mentioned Executive Order, Manual, Directives and
3098.       Regulations clearly imply that a trusted computer system must 
3099.       assure that the classification labels associated with sensitive
3100.       data cannot be arbitrarily changed, since this could permit
3101.       individuals who lack the appropriate clearance to access
3102.       classified information.  Also implied is the requirement that a
3103.       trusted computer system must control the flow of information so 
3104.       that data from a higher classification cannot be placed in a 
3105.       storage object of lower classification unless its "downgrading" 
3106.       has been authorized.
3107.  
3108.      7.3.3  Discretionary Security
3109.  
3110.       The term discretionary security refers to a computer system's
3111.       ability to control information on an individual basis.  It stems
3112.       from the fact that even though an individual has all the formal 
3113.       clearances for access to specific classified information, each
3114.       individual's access to information must be based on a demonstrated
3115.       need-to-know.  Because of this, it must be made clear that this
3116.       requirement is not discretionary in a "take it or leave it" sense.
3117.       The directives and regulations are explicit in stating that the
3118.       need-to-know test must be satisfied before access can be granted 
3119.       to the classified information.  The control objective for 
3120.       discretionary security is: "Security policies defined for systems
3121.       that are used to process classified or other sensitive information
3122.       must include provisions for the enforcement of discretionary
3123.       access control rules.  That is, they must include a consistent set
3124.       of rules for controlling and limiting access based on identified
3125.       individuals who have been determined to have a need-to-know for the
3126.       information."
3127.  
3128.       DoD Regulation 5200.1-R (Paragraph 7-100) In addition to excerpts
3129.       already provided that touch on need-to- know, this section of the
3130.       regulation stresses the need- to-know principle when it states "no
3131.       person may have access to classified information unless .  .  .  
3132.       access is necessary for the performance of official duties."[7]
3133.  
3134.       Also, DoD Manual 5220.22-M (Section III 20.a) states that "an
3135.       individual shall be permitted to have access to classified
3136.       information only . . . when the contractor determines that access
3137.       is necessary in the performance of tasks or services essential to
3138.       the fulfillment of a contract or program, i.e., the individual has
3139.       a need-to-know."[11]
3140.  
3141. 7.4  Criteria Control Objective for Accountability
3142.  
3143.      The control objective for accountability is: "Systems that are used to
3144.      process or handle classified or other sensitive information must assure
3145.      individual accountability whenever either a mandatory or discretionary
3146.      security policy is invoked.  Furthermore, to assure accountability the
3147.      capability must exist for an authorized and competent agent to access and
3148.      evaluate accountability information by a secure means, within a reasonable
3149.      amount of time, and without undue difficulty."
3150.  
3151.      This control objective is supported by the following citations:
3152.  
3153.      DoD Directive 5200.28 (VI.A.1) states: "Each user's identity shall be
3154.      positively established, and his access to the system, and his activity in
3155.      the system (including material accessed and actions taken) controlled and
3156.      open to scrutiny."[8]
3157.  
3158.      DoD Manual 5200.28-M (Section V 5-100) states: "An audit log or file
3159.      (manual, machine, or a combination of both) shall be maintained as a 
3160.      history of the use of the ADP System to permit a regular security review
3161.      of system activity.  (e.g., The log should record security related 
3162.      transactions, including each access to a classified file and the nature 
3163.      of the access, e.g., logins, production of accountable classified 
3164.      outputs, and creation of new classified files.  Each classified file
3165.      successfully accessed [regardless of the number of individual references]
3166.      during each 'job' or 'interactive session' should also be recorded in the
3167.      audit log.  Much of the material in this log may also be required to 
3168.      assure that the system preserves information entrusted to it.)"[9]
3169.  
3170.      DoD Manual 5200.28-M (Section IV 4-305f) states: "Where needed to assure
3171.      control of access and individual accountability, each user or specific 
3172.      group of users shall be identified to the ADP System by appropriate 
3173.      administrative or hardware/software measures.  Such identification 
3174.      measures must be in sufficient detail to enable the ADP System to provide
3175.      the user only that material which he is authorized."[9]
3176.  
3177.      DoD Manual 5200.28-M (Section I 1-102b) states: 
3178.  
3179.     "Component's Designated Approving Authorities, or their designees
3180.      for this purpose .  .  .  will assure:
3181.  
3182.                  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3183.  
3184.            (4) Maintenance of documentation on operating systems (O/S)
3185.            and all modifications thereto, and its retention for a
3186.            sufficient period of time to enable tracing of security-
3187.            related defects to their point of origin or inclusion in the
3188.            system.
3189.  
3190.                  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3191.  
3192.            (6) Establishment of procedures to discover, recover,
3193.            handle, and dispose of classified material improperly
3194.            disclosed through system malfunction or personnel action.
3195.  
3196.            (7) Proper disposition and correction of security
3197.            deficiencies in all approved ADP Systems, and the effective
3198.            use and disposition of system housekeeping or audit records,
3199.            records of security violations or security-related system
3200.            malfunctions, and records of tests of the security features
3201.            of an ADP System."[9]
3202.  
3203.      DoD Manual 5220.22-M (Section XIII 111) states: "Audit Trails
3204.  
3205.            a. The general security requirement for any ADP system audit
3206.            trail is that it provide a documented history of the use of
3207.            the system.  An approved audit trail will permit review of
3208.            classified system activity and will provide a detailed
3209.            activity record to facilitate reconstruction of events to
3210.            determine the magnitude of compromise (if any) should a
3211.            security malfunction occur.  To fulfill this basic
3212.            requirement, audit trail systems, manual, automated or a
3213.            combination of both must document significant events
3214.            occurring in the following areas of concern: (i) preparation
3215.            of input data and dissemination of output data (i.e.,
3216.            reportable interactivity between users and system support
3217.            personnel), (ii) activity involved within an ADP environment
3218.            (e.g., ADP support personnel modification of security and
3219.            related controls), and (iii) internal machine activity.
3220.  
3221.            b. The audit trail for an ADP system approved to process
3222.            classified information must be based on the above three
3223.            areas and may be stylized to the particular system.  All
3224.            systems approved for classified processing should contain
3225.            most if not all of the audit trail records listed below. The
3226.            contractor's SPP documentation must identify and describe
3227.            those applicable:
3228.  
3229.                       1. Personnel access;
3230.  
3231.                       2. Unauthorized and surreptitious entry into the
3232.            central computer facility or remote terminal areas;
3233.  
3234.                       3. Start/stop time of classified processing indicating
3235.            pertinent systems security initiation and termination events
3236.            (e.g., upgrading/downgrading actions pursuant to paragraph
3237.            107);
3238.  
3239.                       4. All functions initiated by ADP system console
3240.            operators;
3241.  
3242.                       5. Disconnects of remote terminals and peripheral
3243.            devices (paragraph 107c);
3244.  
3245.                       6. Log-on and log-off user activity;
3246.  
3247.                       7. Unauthorized attempts to access files or programs,
3248.            as well as all open, close, create, and file destroy
3249.            actions;
3250.  
3251.                       8. Program aborts and anomalies including
3252.            identification information (i.e., user/program name, time
3253.            and location of incident, etc.);
3254.  
3255.                       9. System hardware additions, deletions and maintenance
3256.            actions;
3257.  
3258.                       10. Generations and modifications affecting the
3259.            security features of the system software.
3260.  
3261.            c. The ADP system security supervisor or designee shall
3262.            review the audit trail logs at least weekly to assure that
3263.            all pertinent activity is properly recorded and that
3264.            appropriate action has been taken to correct any anomaly.
3265.            The majority of ADP systems in use today can develop audit
3266.            trail systems in accord with the above; however, special
3267.            systems such as weapons, communications, communications
3268.            security, and tactical data exchange and display systems,
3269.            may not be able to comply with all aspects of the above and
3270.            may require individualized consideration by the cognizant
3271.            security office.
3272.  
3273.            d. Audit trail records shall be retained for a period of one
3274.            inspection cycle."[11]
3275.  
3276. 7.5  Criteria Control Objective for Assurance
3277.  
3278.      The control objective for assurance is: "Systems that are used to process
3279.      or handle classified or other sensitive information must be designed to
3280.      guarantee correct and accurate interpretation of the security policy and
3281.      must not distort the intent of that policy.  Assurance must be provided
3282.      that correct implementation and operation of the policy exists throughout
3283.      the system's life-cycle."
3284.  
3285.      A basis for this objective can be found in the following sections of DoD
3286.      Directive 5200.28:
3287.  
3288.      DoD Directive 5200.28 (IV.B.1) stipulates: "Generally, security of an ADP
3289.      system is most effective and economical if the system is designed 
3290.      originally to provide it.  Each Department of Defense Component 
3291.      undertaking design of an ADP system which is expected to process, store,
3292.      use, or produce classified material shall:  From the beginning of the 
3293.      design process, consider the security policies, concepts, and measures
3294.      prescribed in this Directive."[8]
3295.  
3296.      DoD Directive 5200.28 (IV.C.5.a) states: "Provision may be made to permit
3297.      adjustment of ADP system area controls to the level of protection 
3298.      required for the classification category and type(s) of material actually
3299.      being handled by the system, provided change procedures are developed and
3300.      implemented which will prevent both the unauthorized access to classified
3301.      material handled by the system and the unauthorized manipulation of the
3302.      system and its components.  Particular attention shall be given to the
3303.      continuous protection of automated system security measures, techniques
3304.      and procedures when the personnel security clearance level of users
3305.      having access to the system changes."[8]
3306.  
3307.      DoD Directive 5200.28 (VI.A.2) states: "Environmental Control.  The ADP
3308.      System shall be externally protected to minimize the likelihood of
3309.      unauthorized access to system entry points, access to classified 
3310.      information in the system, or damage to the system."[8]
3311.  
3312.      DoD Manual 5200.28-M (Section I 1-102b) states: 
3313.  
3314.     "Component's Designated Approving Authorities, or their designees
3315.     for this purpose .  .  .  will assure:
3316.  
3317.                   .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3318.  
3319.               (5) Supervision, monitoring, and testing, as appropriate, of
3320.           changes in an approved ADP System which could affect the
3321.           security features of the system, so that a secure system is
3322.           maintained.
3323.  
3324.                   .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3325.  
3326.               (7) Proper disposition and correction of security
3327.           deficiencies in all approved ADP Systems, and the effective
3328.           use and disposition of system housekeeping or audit records,
3329.           records of security violations or security-related system
3330.           malfunctions, and records of tests of the security features
3331.           of an ADP System.
3332.  
3333.               (8) Conduct of competent system ST&E, timely review of
3334.           system ST&E reports, and correction of deficiencies needed
3335.           to support conditional or final approval or disapproval of
3336.           an ADP System for the processing of classified information.
3337.  
3338.               (9) Establishment, where appropriate, of a central ST&E
3339.           coordination point for the maintenance of records of
3340.           selected techniques, procedures, standards, and tests used
3341.           in the testing and evaluation of security features of ADP
3342.           Systems which may be suitable for validation and use by
3343.           other Department of Defense Components."[9]
3344.  
3345.      DoD Manual 5220.22-M (Section XIII 103a) requires: "the initial approval,
3346.      in writing, of the cognizant security office prior to processing any
3347.      classified information in an ADP system.  This section requires 
3348.      reapproval by the cognizant security office for major system 
3349.      modifications made subsequent to initial approval.  Reapprovals will be 
3350.      required because of (i) major changes in personnel access requirements,
3351.      (ii) relocation or structural modification of the central computer
3352.      facility, (iii) additions, deletions or changes to main frame, storage or
3353.      input/output devices, (iv) system software changes impacting security
3354.      protection features, (v) any change in clearance, declassification, audit
3355.      trail or hardware/software maintenance procedures, and (vi) other system
3356.      changes as determined by the cognizant security office."[11]
3357.  
3358.      A major component of assurance, life-cycle assurance, is concerned with
3359.      testing ADP systems both in the development phase as well as during 
3360.      operation.  DoD Directive 5215.1 (Section F.2.C.(2)) requires 
3361.      "evaluations of selected industry and government-developed trusted 
3362.      computer systems against these criteria."[10]
3363.  
3364.  
3365.  
3366. 8.0  A GUIDELINE ON COVERT CHANNELS
3367.  
3368. A covert channel is any communication channel that can be exploited by a
3369. process to transfer information in a manner that violates the system's
3370. security policy.  There are two types of covert channels: storage channels and
3371. timing channels.  Covert storage channels include all vehicles that would
3372. allow the direct or indirect writing of a storage location by one process and
3373. the direct or indirect reading of it by another.  Covert timing channels
3374. include all vehicles that would allow one process to signal information to
3375. another process by modulating its own use of system resources in such a way
3376. that the change in response time observed by the second process would provide
3377. information.
3378.  
3379. >From a security perspective, covert channels with low bandwidths represent a
3380. lower threat than those with high bandwidths.  However, for many types of
3381. covert channels, techniques used to reduce the bandwidth below a certain rate
3382. (which depends on the specific channel mechanism and the system architecture)
3383. also have the effect of degrading the performance provided to legitimate
3384. system users.  Hence, a trade-off between system performance and covert
3385. channel bandwidth must be made.  Because of the threat of compromise that
3386. would be present in any multilevel computer system containing classified or
3387. sensitive information, such systems should not contain covert channels with
3388. high bandwidths.  This guideline is intended to provide system developers with
3389. an idea of just how high a "high" covert channel bandwidth is.
3390.  
3391. A covert channel bandwidth that exceeds a rate of one hundred (100) bits per
3392. second is considered "high" because 100 bits per second is the approximate
3393. rate at which many computer terminals are run.  It does not seem appropriate
3394. to call a computer system "secure" if information can be compromised at a rate
3395. equal to the normal output rate of some commonly used device.
3396.  
3397. In any multilevel computer system there are a number of relatively
3398. low-bandwidth covert channels whose existence is deeply ingrained in the
3399. system design.  Faced with the large potential cost of reducing the bandwidths
3400. of such covert channels, it is felt that those with maximum bandwidths of less
3401. than one (1) bit per second are acceptable in most application environments.
3402. Though maintaining acceptable performance in some systems may make it
3403. impractical to eliminate all covert channels with bandwidths of 1 or more bits
3404. per second, it is possible to audit their use without adversely affecting
3405. system performance.  This audit capability provides the system administration
3406. with a means of detecting -- and procedurally correcting -- significant
3407. compromise.  Therefore, a Trusted Computing Base should provide, wherever
3408. possible, the capability to audit the use of covert channel mechanisms with
3409. bandwidths that may exceed a rate of one (1) bit in ten (10) seconds.
3410.  
3411. The covert channel problem has been addressed by a number of authors.  The
3412. interested reader is referred to references [5], [6], [19], [21], [22], [23],
3413. and [29].
3414.  
3415.  
3416.  
3417. 9.0  A GUIDELINE ON CONFIGURING MANDATORY ACCESS CONTROL FEATURES
3418.  
3419. The Mandatory Access Control requirement includes a capability to support an
3420. unspecified number of hierarchical classifications and an unspecified number
3421. of non-hierarchical categories at each hierarchical level.  To encourage
3422. consistency and portability in the design and development of the National
3423. Security Establishment trusted computer systems, it is desirable for all such
3424. systems to be able to support a minimum number of levels and categories.  The
3425. following suggestions are provided for this purpose:
3426.  
3427.      * The number of hierarchical classifications should be greater than or
3428.        equal to eight (8).
3429.  
3430.      * The number of non-hierarchical categories should be greater than or
3431.        equal to twenty-nine (29).
3432.  
3433.  
3434.  
3435. 10.0  A GUIDELINE ON SECURITY TESTING
3436.  
3437. These guidelines are provided to give an indication of the extent and
3438. sophistication of testing undertaken by the DoD Computer Security Center
3439. during the Formal Product Evaluation process.  Organizations wishing to use
3440. "Department of Defense Trusted Computer System Evaluation Criteria" for
3441. performing their own evaluations may find this section useful for planning
3442. purposes.
3443.  
3444. As in Part I, highlighting is used to indicate changes in the guidelines from
3445. the next lower division.
3446.  
3447. 10.1  Testing for Division C
3448.  
3449.      10.1.1   Personnel
3450.  
3451.         The security testing team shall consist of at least two
3452.         individuals with bachelor degrees in Computer Science or the
3453.         equivalent.  Team members shall be able to follow test plans
3454.         prepared by the system developer and suggest additions, shall
3455.         be familiar with the "flaw hypothesis" or equivalent security
3456.         testing methodology, and shall have assembly level programming
3457.         experience.  Before testing begins, the team members shall have
3458.         functional knowledge of, and shall have completed the system 
3459.         developer's internals course for, the system being evaluated.
3460.  
3461.      10.1.2   Testing
3462.  
3463.         The team shall have "hands-on" involvement in an independent run
3464.         of the tests used by the system developer.  The team shall 
3465.         independently design and implement at least five system-specific
3466.         tests in an attempt to circumvent the security mechanisms of the
3467.         system.  The elapsed time devoted to testing shall be at least
3468.         one month and need not exceed three months.  There shall be no
3469.         fewer than twenty hands-on hours spent carrying out system
3470.         developer-defined tests and test team-defined tests.
3471.  
3472. 10.2  Testing for Division B
3473.  
3474.      10.2.1   Personnel
3475.  
3476.         The security testing team shall consist of at least two
3477.         individuals with bachelor degrees in Computer Science or the 
3478.         equivalent and at least one individual with a master's degree in
3479.         Computer Science or equivalent.  Team members shall be able to
3480.         follow test plans prepared by the system developer and suggest
3481.         additions, shall be conversant with the "flaw hypothesis" or
3482.         equivalent security testing methodology, shall be fluent in the
3483.         TCB implementation language(s), and shall have assembly level 
3484.         programming experience.  Before testing begins, the team members
3485.         shall have functional knowledge of, and shall have completed the
3486.         system developer's internals course for, the system being
3487.         evaluated.  At least one team member shall have previously
3488.         completed a security test on another system.
3489.  
3490.      10.2.2   Testing
3491.  
3492.         The team shall have "hands-on" involvement in an independent run
3493.         of the test package used by the system developer to test 
3494.         security-relevant hardware and software.  The team shall
3495.         independently design and implement at least fifteen system-
3496.         specific tests in an attempt to circumvent the security
3497.         mechanisms of the system.  The elapsed time devoted to testing 
3498.         shall be at least two months and need not exceed four months.  
3499.         There shall be no fewer than thirty hands-on hours per team
3500.         member spent carrying out system developer-defined tests and
3501.         test team-defined tests.
3502.  
3503. 10.3  Testing for Division A
3504.  
3505.      10.3.1   Personnel
3506.  
3507.         The security testing team shall consist of at least one
3508.         individual with a bachelor's degree in Computer Science or the 
3509.         equivalent and at least two individuals with masters' degrees in
3510.         Computer Science or equivalent.  Team members shall be able to 
3511.         follow test plans prepared by the system developer and suggest
3512.         additions, shall be conversant with the "flaw hypothesis" or
3513.         equivalent security testing methodology, shall be fluent in the
3514.         TCB implementation language(s), and shall have assembly level 
3515.         programming experience.  Before testing begins, the team members
3516.         shall have functional knowledge of, and shall have completed the
3517.         system developer's internals course for, the system being
3518.         evaluated.  At least one team member shall be familiar enough
3519.         with the system hardware to understand the maintenance diagnostic
3520.         programs and supporting hardware documentation.  At least two 
3521.         team members shall have previously completed a security test on
3522.         another system.  At least one team member shall have 
3523.         demonstrated system level programming competence on the system
3524.         under test to a level of complexity equivalent to adding a device
3525.         driver to the system.
3526.  
3527.      10.3.2   Testing
3528.  
3529.         The team shall have "hands-on" involvement in an independent run
3530.         of the test package used by the system developer to test 
3531.         security-relevant hardware and software.  The team shall 
3532.         independently design and implement at least twenty-five system-
3533.         specific tests in an attempt to circumvent the security
3534.         mechanisms of the system.  The elapsed time devoted to testing 
3535.         shall be at least three months and need not exceed six months.  
3536.         There shall be no fewer than fifty hands-on hours per team 
3537.         member spent carrying out system developer-defined tests and
3538.         test team-defined tests.
3539.  
3540.  
3541.  
3542.  
3543.                                     APPENDIX A
3544.  
3545.                      Commercial Product Evaluation Process
3546.  
3547.  
3548. "Department of Defense Trusted Computer System Evaluation Criteria" forms the
3549. basis upon which the Computer Security Center will carry out the commercial
3550. computer security evaluation process.  This process is focused on commercially
3551. produced and supported general-purpose operating system products that meet the
3552. needs of government departments and agencies.  The formal evaluation is aimed
3553. at "off-the-shelf" commercially supported products and is completely divorced
3554. from any consideration of overall system performance, potential applications,
3555. or particular processing environments.  The evaluation provides a key input to
3556. a computer system security approval/accreditation.  However, it does not
3557. constitute a complete computer system security evaluation.  A complete study
3558. (e.g., as in reference [18]) must consider additional factors dealing with the
3559. system in its unique environment, such as it's proposed security mode of
3560. operation, specific users, applications, data sensitivity, physical and
3561. personnel security, administrative and procedural security, TEMPEST, and
3562. communications security.
3563.  
3564. The product evaluation process carried out by the Computer Security Center has
3565. three distinct elements:
3566.  
3567.      * Preliminary Product Evaluation - An informal dialogue between a vendor
3568.        and the Center in which technical information is exchanged to create a
3569.        common understanding of the vendor's product, the criteria, and the 
3570.        rating that may be expected to result from a formal product evaluation.
3571.  
3572.      * Formal Product Evaluation - A formal evaluation, by the Center, of a
3573.        product that is available to the DoD, and that results in that product
3574.        and its assigned rating being placed on the Evaluated Products List.
3575.  
3576.      * Evaluated Products List - A list of products that have been subjected
3577.        to formal product evaluation and their assigned ratings.
3578.  
3579.  
3580. PRELIMINARY PRODUCT EVALUATION
3581.  
3582. Since it is generally very difficult to add effective security measures late
3583. in a product's life cycle, the Center is interested in working with system
3584. vendors in the early stages of product design.  A preliminary product
3585. evaluation allows the Center to consult with computer vendors on computer
3586. security issues found in products that have not yet been formally announced.
3587.  
3588. A preliminary evaluation is typically initiated by computer system vendors who
3589. are planning new computer products that feature security or major
3590. security-related upgrades to existing products.  After an initial meeting
3591. between the vendor and the Center, appropriate non-disclosure agreements are
3592. executed that require the Center to maintain the confidentiality of any
3593. proprietary information disclosed to it.  Technical exchange meetings follow
3594. in which the vendor provides details about the proposed product (particularly
3595. its internal designs and goals) and the Center provides expert feedback to the
3596. vendor on potential computer security strengths and weaknesses of the vendor's
3597. design choices, as well as relevant interpretation of the criteria.  The
3598. preliminary evaluation is typically terminated when the product is completed
3599. and ready for field release by the vendor.  Upon termination, the Center
3600. prepares a wrap-up report for the vendor and for internal distribution within
3601. the Center.  Those reports containing proprietary information are not
3602. available to the public.
3603.  
3604. During preliminary evaluation, the vendor is under no obligation to actually
3605. complete or market the potential product.  The Center is, likewise, not
3606. committed to conduct a formal product evaluation.  A preliminary evaluation
3607. may be terminated by either the Center or the vendor when one notifies the
3608. other, in writing, that it is no longer advantageous to continue the
3609. evaluation.
3610.  
3611.  
3612. FORMAL PRODUCT EVALUATION
3613.  
3614. The formal product evaluation provides a key input to certification of a
3615. computer system for use in National Security Establishment applications and is
3616. the sole basis for a product being placed on the Evaluated Products List.
3617.  
3618. A formal product evaluation begins with a request by a vendor for the Center
3619. to evaluate a product for which the product itself and accompanying
3620. documentation needed to meet the requirements defined by this publication are
3621. complete.  Non-disclosure agreements are executed and a formal product
3622. evaluation team is formed by the Center.  An initial meeting is then held with
3623. the vendor to work out the schedule for the formal evaluation.  Since testing
3624. of the implemented product forms an important part of the evaluation process,
3625. access by the evaluation team to a working version of the system is negotiated
3626. with the vendor.  Additional support required from the vendor includes
3627. complete design documentation, source code, and access to vendor personnel who
3628. can answer detailed questions about specific portions of the product.  The
3629. evaluation team tests the product against each requirement, making any
3630. necessary interpretations of the criteria with respect to the product being
3631. evaluated.
3632.  
3633. The evaluation team writes a two-part final report on their findings about the
3634. system.  The first part is publicly available (containing no proprietary
3635. information) and contains the overall class rating assigned to the system and
3636. the details of the evaluation team's findings when comparing the product
3637. against the evaluation criteria.  The second part of the evaluation report
3638. contains vulnerability analyses and other detailed information supporting the
3639. rating decision.  Since this part may contain proprietary or other sensitive
3640. information it will be distributed only within the U.S.  Government on a
3641. strict need-to-know and non- disclosure basis, and to the vendor.  No portion
3642. of the evaluation results will be withheld from the vendor.
3643.  
3644.  
3645.  
3646.  
3647.  
3648.  
3649.  
3650.                                    APPENDIX B
3651.  
3652.                    Summary of Evaluation Criteria Divisions
3653.  
3654. The divisions of systems recognized under the trusted computer system
3655. evaluation criteria are as follows.  Each division represents a major
3656. improvement in the overall confidence one can place in the system to protect
3657. classified and other sensitive information.
3658.  
3659. Division (D):  Minimal Protection
3660.  
3661. This division contains only one class.  It is reserved for those systems that
3662. have been evaluated but that fail to meet the requirements for a higher
3663. evaluation class.
3664.  
3665. Division (C):  Discretionary Protection
3666.  
3667. Classes in this division provide for discretionary (need-to-know) protection
3668. and, through the inclusion of audit capabilities, for accountability of
3669. subjects and the actions they initiate.
3670.  
3671. Division (B):  Mandatory Protection
3672.  
3673. The notion of a TCB that preserves the integrity of sensitivity labels and
3674. uses them to enforce a set of mandatory access control rules is a major
3675. requirement in this division.  Systems in this division must carry the
3676. sensitivity labels with major data structures in the system.  The system
3677. developer also provides the security policy model on which the TCB is based
3678. and furnishes a specification of the TCB.  Evidence must be provided to
3679. demonstrate that the reference monitor concept has been implemented.
3680.  
3681. Division (A):  Verified Protection
3682.  
3683. This division is characterized by the use of formal security verification
3684. methods to assure that the mandatory and discretionary security controls
3685. employed in the system can effectively protect classified or other sensitive
3686. information stored or processed by the system.  Extensive documentation is
3687. required to demonstrate that the TCB meets the security requirements in all
3688. aspects of design, development and implementation.
3689.  
3690.  
3691.  
3692.  
3693.  
3694.                                    APPENDIX C
3695.  
3696.                     Summary of Evaluation Criteria Classes
3697.  
3698. The classes of systems recognized under the trusted computer system evaluation
3699. criteria are as follows.  They are presented in the order of increasing
3700. desirablity from a computer security point of view.
3701.  
3702. Class (D):  Minimal Protection
3703.  
3704. This class is reserved for those systems that have been evaluated but that
3705. fail to meet the requirements for a higher evaluation class.
3706.  
3707. Class (C1):  Discretionary Security Protection
3708.  
3709. The Trusted Computing Base (TCB) of a class (C1) system nominally satisfies
3710. the discretionary security requirements by providing separation of users and
3711. data.  It incorporates some form of credible controls capable of enforcing
3712. access limitations on an individual basis, i.e., ostensibly suitable for
3713. allowing users to be able to protect project or private information and to
3714. keep other users from accidentally reading or destroying their data.  The
3715. class (C1) environment is expected to be one of cooperating users processing
3716. data at the same level(s) of sensitivity.
3717.  
3718. Class (C2):  Controlled Access Protection
3719.  
3720. Systems in this class enforce a more finely grained discretionary access
3721. control than (C1) systems, making users individually accountable for their
3722. actions through login procedures, auditing of security-relevant events, and
3723. resource isolation.
3724.  
3725. Class (B1):  Labeled Security Protection
3726.  
3727. Class (B1) systems require all the features required for class (C2).  In
3728. addition, an informal statement of the security policy model, data labeling,
3729. and mandatory access control over named subjects and objects must be present.
3730. The capability must exist for accurately labeling exported information.  Any
3731. flaws identified by testing must be removed.
3732.  
3733. Class (B2):  Structured Protection
3734.  
3735. In class (B2) systems, the TCB is based on a clearly defined and documented
3736. formal security policy model that requires the discretionary and mandatory
3737. access control enforcement found in class (B1) systems be extended to all
3738. subjects and objects in the ADP system.  In addition, covert channels are
3739. addressed.  The TCB must be carefully structured into protection-critical and
3740. non- protection-critical elements.  The TCB interface is well-defined and the
3741. TCB design and implementation enable it to be subjected to more thorough
3742. testing and more complete review.  Authentication mechanisms are strengthened,
3743. trusted facility management is provided in the form of support for system
3744. administrator and operator functions, and stringent configuration management
3745. controls are imposed.  The system is relatively resistant to penetration.
3746.  
3747. Class (B3):  Security Domains
3748.  
3749. The class (B3) TCB must satisfy the reference monitor requirements that it
3750. mediate all accesses of subjects to objects, be tamperproof, and be small
3751. enough to be subjected to analysis and tests.  To this end, the TCB is
3752. structured to exclude code not essential to security policy enforcement, with
3753. significant system engineering during TCB design and implementation directed
3754. toward minimizing its complexity.  A security administrator is supported,
3755. audit mechanisms are expanded to signal security- relevant events, and system
3756. recovery procedures are required.  The system is highly resistant to
3757. penetration.
3758.  
3759. Class (A1):  Verified Design
3760.  
3761. Systems in class (A1) are functionally equivalent to those in class (B3) in
3762. that no additional architectural features or policy requirements are added.
3763. The distinguishing feature of systems in this class is the analysis derived
3764. from formal design specification and verification techniques and the resulting
3765. high degree of assurance that the TCB is correctly implemented.  This
3766. assurance is developmental in nature, starting with a formal model of the
3767. security policy and a formal top-level specification (FTLS) of the design.  In
3768. keeping with the extensive design and development analysis of the TCB required
3769. of systems in class (A1), more stringent configuration management is required
3770. and procedures are established for securely distributing the system to sites.
3771. A system security administrator is supported.
3772.  
3773.  
3774.  
3775.  
3776.  
3777.                                    APPENDIX D
3778.  
3779.                               Requirement Directory
3780.  
3781. This appendix lists requirements defined in "Department of Defense Trusted
3782. Computer System Evaluation Criteria" alphabetically rather than by class.  It
3783. is provided to assist in following the evolution of a requirement through the
3784. classes.  For each requirement, three types of criteria may be present.  Each
3785. will be preceded by the word: NEW, CHANGE, or ADD to indicate the following:
3786.  
3787.               NEW: Any criteria appearing in a lower class are superseded
3788.                    by the criteria that follow.
3789.  
3790.            CHANGE: The criteria that follow have appeared in a lower class
3791.                    but are changed for this class.  Highlighting is used
3792.                    to indicate the specific changes to previously stated
3793.                    criteria.
3794.  
3795.               ADD: The criteria that follow have not been required for any
3796.                    lower class, and are added in this class to the
3797.                    previously stated criteria for this requirement.
3798.  
3799. Abbreviations are used as follows:
3800.  
3801.                NR: (No Requirement) This requirement is not included in
3802.                    this class.
3803.  
3804.               NAR: (No Additional Requirements) This requirement does not
3805.                    change from the previous class.
3806.  
3807. The reader is referred to Part I of this document when placing new criteria
3808. for a requirement into the complete context for that class.
3809.  
3810. Figure 1 provides a pictorial summary of the evolution of requirements through
3811. the classes.
3812.  
3813.  
3814. Audit
3815.  
3816.      C1: NR.
3817.  
3818.      C2: NEW: The TCB shall be able to create, maintain, and protect from
3819.          modification or unauthorized access or destruction an audit trail of
3820.          accesses to the objects it protects.  The audit data shall be 
3821.          protected by the TCB so that read access to it is limited to those 
3822.          who are authorized for audit data.  The TCB shall be able to record
3823.          the following types of events:  use of identification and
3824.          authentication mechanisms, introduction of objects into a user's
3825.          address space (e.g., file open, program initiation), deletion of
3826.          objects, and actions taken by computer operators and system 
3827.          administrators and/or system security officers.  For each recorded 
3828.          event, the audit record shall identify: date and time of the event,
3829.          user, type of event, and success or failure of the event.  For
3830.          identification/authentication events the origin of request (e.g.,
3831.          terminal ID) shall be included in the audit record.  For events that
3832.          introduce an object into a user's address space and for object
3833.          deletion events the audit record shall include the name of the object.
3834.          The ADP system administrator shall be able to selectively audit the 
3835.          actions of any one or more users based on individual identity.
3836.  
3837.      B1: CHANGE: For events that introduce an object into a user's address
3838.          space and for object deletion events the audit record shall include
3839.          the name of the object and the object's security level.  The ADP 
3840.          system administrator shall be able to selectively audit the actions 
3841.          of any one or more users based on individual identity and/or object
3842.          security level.
3843.  
3844.          ADD: The TCB shall also be able to audit any override of
3845.          human-readable output markings.
3846.  
3847.      B2: ADD: The TCB shall be able to audit the identified events that may be
3848.          used in the exploitation of covert storage channels.
3849.  
3850.      B3: ADD: The TCB shall contain a mechanism that is able to monitor the
3851.          occurrence or accumulation of security auditable events that may 
3852.          indicate an imminent violation of security policy.  This mechanism 
3853.          shall be able to immediately notify the security administrator when
3854.          thresholds are exceeded.
3855.  
3856.      A1: NAR.
3857.  
3858. Configuration Management
3859.  
3860.      C1: NR.
3861.  
3862.      C2: NR.
3863.  
3864.      B1: NR.
3865.  
3866.      B2: NEW: During development and maintenance of the TCB, a configuration
3867.          management system shall be in place that maintains control of changes
3868.          to the descriptive top-level specification, other design data, 
3869.          implementation documentation, source code, the running version of the
3870.          object code, and test fixtures and documentation.  The configuration
3871.          management system shall assure a consistent mapping among all
3872.          documentation and code associated with the current version of the TCB.
3873.          Tools shall be provided for generation of a new version of the TCB
3874.          from source code.  Also available shall be tools for comparing a 
3875.          newly generated version with the previous TCB version in order to
3876.          ascertain that only the intended changes have been made in the code 
3877.          that will actually be used as the new version of the TCB.
3878.  
3879.      B3: NAR.
3880.  
3881.      A1: CHANGE: During the entire life-cycle, i.e., during the design,
3882.          development, and maintenance of the TCB, a configuration management
3883.          system shall be in place for all security-relevant hardware, firmware,
3884.          and software that maintains control of changes to the formal model, 
3885.          the descriptive and formal top-level specifications, other design
3886.          data, implementation documentation, source code, the running version
3887.          of the object code, and test fixtures and documentation.  Also
3888.          available shall be tools, maintained under strict configuration
3889.          control, for comparing a newly generated version with the previous
3890.          TCB version in order to ascertain that only the intended changes have
3891.          been made in the code that will actually be used as the new version 
3892.          of the TCB.
3893.  
3894.     ADD: A combination of technical, physical, and procedural safeguards
3895.          shall be used to protect from unauthorized modification or 
3896.          destruction the master copy or copies of all material used to 
3897.          generate the TCB.
3898.  
3899. Covert Channel Analysis
3900.  
3901.      C1: NR.
3902.  
3903.      C2: NR.
3904.  
3905.      B1: NR.
3906.  
3907.      B2: NEW: The system developer shall conduct a thorough search for covert
3908.          storage channels and make a determination (either by actual 
3909.          measurement or by engineering estimation) of the maximum bandwidth of
3910.          each identified channel.  (See the Covert Channels Guideline section.)
3911.  
3912.      B3: CHANGE: The system developer shall conduct a thorough search for
3913.          covert channels and make a determination (either by actual 
3914.          measurement or by engineering estimation) of the maximum bandwidth 
3915.          of each identified channel.
3916.  
3917.      A1: ADD: Formal methods shall be used in the analysis.
3918.  
3919. Design Documentation
3920.  
3921.      C1: NEW: Documentation shall be available that provides a description of
3922.          the manufacturer's philosophy of protection and an explanation of how
3923.          this philosophy is translated into the TCB.  If the TCB is composed 
3924.          of distinct modules, the interfaces between these modules shall be 
3925.          described.
3926.  
3927.      C2: NAR.
3928.  
3929.      B1: ADD: An informal or formal description of the security policy model
3930.          enforced by the TCB shall be available and an explanation provided to
3931.          show that it is sufficient to enforce the security policy.  The 
3932.          specific TCB protection mechanisms shall be identified and an 
3933.          explanation given to show that they satisfy the model.
3934.  
3935.      B2: CHANGE: The interfaces between the TCB modules shall be described.  A
3936.          formal description of the security policy model enforced by the TCB 
3937.          shall be available and proven that it is sufficient to enforce the 
3938.          security policy.
3939.  
3940.          ADD: The descriptive top-level specification (DTLS) shall be shown to
3941.          be an accurate description of the TCB interface.  Documentation shall
3942.          describe how the TCB implements the reference monitor concept and 
3943.          give an explanation why it is tamperproof, cannot be bypassed, and is
3944.          correctly implemented.  Documentation shall describe how the TCB is 
3945.          structured to facilitate testing and to enforce least privilege.
3946.          This documentation shall also present the results of the covert
3947.          channel analysis and the tradeoffs involved in restricting the
3948.          channels.  All auditable events that may be used in the exploitation
3949.          of known covert storage channels shall be identified.  The bandwidths
3950.          of known covert storage channels, the use of which is not detectable
3951.          by the auditing mechanisms, shall be provided.  (See the Covert 
3952.          Channel Guideline section.)
3953.  
3954.      B3: ADD: The TCB implementation (i.e., in hardware, firmware, and
3955.          software) shall be informally shown to be consistent with the DTLS.
3956.          The elements of the DTLS shall be shown, using informal techniques, 
3957.          to correspond to the elements of the TCB.
3958.  
3959.      A1: CHANGE: The TCB implementation (i.e., in hardware, firmware, and
3960.          software) shall be informally shown to be consistent with the formal
3961.          top-level specification (FTLS).  The elements of the FTLS shall be 
3962.          shown, using informal techniques, to correspond to the elements of 
3963.          the TCB.
3964.  
3965.          ADD: Hardware, firmware, and software mechanisms not dealt with in
3966.          the FTLS but strictly internal to the TCB (e.g., mapping registers,
3967.          direct memory access I/O) shall be clearly described.
3968.  
3969. Design Specification and Verification
3970.  
3971.      C1: NR.
3972.  
3973.      C2: NR.
3974.  
3975.      B1: NEW: An informal or formal model of the security policy supported by
3976.          the TCB shall be maintained that is shown to be consistent with its 
3977.          axioms.
3978.  
3979.      B2: CHANGE: A formal model of the security policy supported by the TCB
3980.          shall be maintained that is proven consistent with its axioms.
3981.  
3982.          ADD: A descriptive top-level specification (DTLS) of the TCB shall be
3983.          maintained that completely and accurately describes the TCB in terms
3984.          of exceptions, error messages, and effects.  It shall be shown to be
3985.          an accurate description of the TCB interface.
3986.  
3987.      B3: ADD: A convincing argument shall be given that the DTLS is consistent
3988.          with the model.
3989.  
3990.      A1: CHANGE: The FTLS shall be shown to be an accurate description of the
3991.          TCB interface.  A convincing argument shall be given that the DTLS is
3992.          consistent with the model and a combination of formal and informal 
3993.          techniques shall be used to show that the FTLS is consistent with the
3994.          model.
3995.  
3996.          ADD: A formal top-level specification (FTLS) of the TCB shall be
3997.          maintained that accurately describes the TCB in terms of exceptions,
3998.          error messages, and effects.  The DTLS and FTLS shall include those
3999.          components of the TCB that are implemented as hardware and/or 
4000.          firmware if their properties are visible at the TCB interface.  This
4001.          verification evidence shall be consistent with that provided within
4002.          the state-of-the-art of the particular Computer Security Center-
4003.          endorsed formal specification and verification system used.  Manual
4004.          or other mapping of the FTLS to the TCB source code shall be
4005.          performed to provide evidence of correct implementation.
4006.  
4007. Device Labels
4008.  
4009.      C1: NR.
4010.  
4011.      C2: NR.
4012.  
4013.      B1: NR.
4014.  
4015.      B2: NEW: The TCB shall support the assignment of minimum and maximum
4016.          security levels to all attached physical devices.  These security
4017.          levels shall be used by the TCB to enforce constraints imposed by 
4018.          the physical environments in which the devices are located.
4019.  
4020.      B3: NAR.
4021.  
4022.      A1: NAR.
4023.  
4024. Discretionary Access Control
4025.  
4026.      C1: NEW: The TCB shall define and control access between named users and
4027.          named objects (e.g., files and programs) in the ADP system.  The 
4028.          enforcement mechanism (e.g., self/group/public controls, access 
4029.          control lists) shall allow users to specify and control sharing of
4030.          those objects by named individuals or defined groups or both.
4031.  
4032.      C2: CHANGE: The enforcement mechanism (e.g., self/group/public controls,
4033.          access control lists) shall allow users to specify and control 
4034.          sharing of those objects by named individuals, or defined groups of
4035.          individuals, or by both.
4036.  
4037.     ADD: The discretionary access control mechanism shall, either by explicit
4038.          user action or by default, provide that objects are protected from
4039.          unauthorized access.  These access controls shall be capable of 
4040.          including or excluding access to the granularity of a single user.  
4041.          Access permission to an object by users not already possessing access
4042.          permission shall only be assigned by authorized users.
4043.  
4044.      B1: NAR.
4045.  
4046.      B2: NAR.
4047.  
4048.      B3: CHANGE: The enforcement mechanism (e.g., access control lists) shall
4049.          allow users to specify and control sharing of those objects.  These 
4050.          access controls shall be capable of specifying, for each named 
4051.          object, a list of named individuals and a list of groups of named 
4052.          individuals with their respective modes of access to that object.
4053.  
4054.     ADD: Furthermore, for each such named object, it shall be possible to
4055.          specify a list of named individuals and a list of groups of named 
4056.          individuals for which no access to the object is to be given.
4057.  
4058.      A1: NAR.
4059.  
4060. Exportation of Labeled Information
4061.  
4062.      C1: NR.
4063.  
4064.      C2: NR.
4065.  
4066.      B1: NEW: The TCB shall designate each communication channel and I/O
4067.          device as either single-level or multilevel.  Any change in this 
4068.          designation shall be done manually and shall be auditable by the 
4069.          TCB.  The TCB shall maintain and be able to audit any change in the
4070.          current security level associated with a single-level communication
4071.          channel or I/O device.
4072.  
4073.      B2: NAR.
4074.  
4075.      B3: NAR.
4076.  
4077.      A1: NAR.
4078.  
4079. Exportation to Multilevel Devices
4080.  
4081.      C1: NR.
4082.  
4083.      C2: NR.
4084.  
4085.      B1: NEW: When the TCB exports an object to a multilevel I/O device, the
4086.          sensitivity label associated with that object shall also be exported
4087.          and shall reside on the same physical medium as the exported 
4088.          information and shall be in the same form (i.e., machine-readable or
4089.          human-readable form).  When the TCB exports or imports an object over
4090.          a multilevel communication channel, the protocol used on that channel
4091.          shall provide for the unambiguous pairing between the sensitivity
4092.          labels and the associated information that is sent or received.
4093.  
4094.      B2: NAR.
4095.  
4096.      B3: NAR.
4097.  
4098.      A1: NAR.
4099.  
4100. Exportation to Single-Level Devices
4101.  
4102.      C1: NR.
4103.  
4104.      C2: NR.
4105.  
4106.      B1: NEW: Single-level I/O devices and single-level communication channels
4107.          are not required to maintain the sensitivity labels of the 
4108.          information they process.  However, the TCB shall include a mechanism
4109.          by which the TCB and an authorized user reliably communicate to
4110.          designate the single security level of information imported or 
4111.          exported via single-level communication channels or I/O devices.
4112.  
4113.      B2: NAR.
4114.  
4115.      B3: NAR.
4116.  
4117.      A1: NAR.
4118.  
4119. Identification and Authentication
4120.  
4121.      C1: NEW: The TCB shall require users to identify themselves to it before
4122.          beginning to perform any other actions that the TCB is expected to 
4123.          mediate.  Furthermore, the TCB shall use a protected mechanism (e.g.,
4124.          passwords) to authenticate the user's identity.  The TCB shall 
4125.          protect authentication data so that it cannot be accessed by any 
4126.          unauthorized user.
4127.  
4128.      C2: ADD: The TCB shall be able to enforce individual accountability by
4129.          providing the capability to uniquely identify each individual ADP 
4130.          system user.  The TCB shall also provide the capability of 
4131.          associating this identity with all auditable actions taken by that 
4132.          individual.
4133.  
4134.      B1: CHANGE: Furthermore, the TCB shall maintain authentication data that
4135.          includes information for verifying the identity of individual users
4136.          (e.g., passwords) as well as information for determining the 
4137.          clearance and authorizations of individual users.  This data shall be
4138.          used by the TCB to authenticate the user's identity and to determine 
4139.          the security level and authorizations of subjects that may be created
4140.          to act on behalf of the individual user.
4141.  
4142.      B2: NAR.
4143.  
4144.      B3: NAR.
4145.  
4146.      A1: NAR.
4147.  
4148. Label Integrity
4149.  
4150.      C1: NR.
4151.  
4152.      C2: NR.
4153.  
4154.      B1: NEW: Sensitivity labels shall accurately represent security levels of
4155.          the specific subjects or objects with which they are associated.  When
4156.          exported by the TCB, sensitivity labels shall accurately and 
4157.          unambiguously represent the internal labels and shall be associated 
4158.          with the information being exported.
4159.  
4160.      B2: NAR.
4161.  
4162.      B3: NAR.
4163.  
4164.      A1: NAR.
4165.  
4166. Labeling Human-Readable Output
4167.  
4168.      C1: NR.
4169.  
4170.      C2: NR.
4171.  
4172.      B1: NEW: The ADP system administrator shall be able to specify the
4173.          printable label names associated with exported sensitivity labels.
4174.          The TCB shall mark the beginning and end of all human-readable, 
4175.          paged, hardcopy output (e.g., line printer output) with human-
4176.          readable sensitivity labels that properly* represent the sensitivity
4177.          of the output.  The TCB shall, by default, mark the top and bottom of
4178.          each page of human-readable, paged, hardcopy output (e.g., line
4179.          printer output) with human-readable sensitivity labels that
4180.          properly* represent the overall sensitivity of the output or that 
4181.          properly* represent the sensitivity of the information on the page.
4182.          The TCB shall, by default and in an appropriate manner, mark other 
4183.          forms of human-readable output (e.g., maps, graphics) with human-
4184.          readable sensitivity labels that properly* represent the sensitivity
4185.          of the output.  Any override of these marking defaults shall be
4186.          auditable by the TCB.
4187.  
4188.      B2: NAR.
4189.  
4190.      B3: NAR.
4191.  
4192.      A1: NAR.
4193.  
4194.            ____________________________________________________________
4195.            * The hierarchical classification component in human-readable
4196.            sensitivity labels shall be equal to the greatest
4197.            hierarchical classification of any of the information in the
4198.            output that the labels refer to;  the non-hierarchical
4199.            category component shall include all of the non-hierarchical
4200.            categories of the information in the output the labels refer
4201.            to, but no other non-hierarchical categories.
4202.            ____________________________________________________________
4203.  
4204.  
4205. Labels
4206.  
4207.      C1: NR.
4208.  
4209.      C2: NR.
4210.  
4211.      B1: NEW: Sensitivity labels associated with each subject and storage
4212.          object under its control (e.g., process, file, segment, device) shall
4213.          be maintained by the TCB.  These labels shall be used as the basis 
4214.          for mandatory access control decisions.  In order to import non-
4215.          labeled data, the TCB shall request and receive from an authorized 
4216.          user the security level of the data, and all such actions shall be
4217.          auditable by the TCB.
4218.  
4219.      B2: CHANGE: Sensitivity labels associated with each ADP system resource
4220.          (e.g., subject, storage object) that is directly or indirectly 
4221.          accessible by subjects external to the TCB shall be maintained by 
4222.          the TCB.
4223.  
4224.      B3: NAR.
4225.  
4226.      A1: NAR.
4227.  
4228. Mandatory Access Control
4229.  
4230.      C1: NR.
4231.  
4232.      C2: NR.
4233.  
4234.      B1: NEW: The TCB shall enforce a mandatory access control policy over all
4235.          subjects and storage objects under its control (e.g., processes, 
4236.          files, segments, devices).  These subjects and objects shall be 
4237.          assigned sensitivity labels that are a combination of hierarchical 
4238.          classification levels and non-hierarchical categories, and the labels
4239.          shall be used as the basis for mandatory access control decisions.
4240.          The TCB shall be able to support two or more such security levels.
4241.          (See the Mandatory Access Control guidelines.)  The following
4242.          requirements shall hold for all accesses between subjects and objects
4243.          controlled by the TCB: A subject can read an object only if the
4244.          hierarchical classification in the subject's security level is 
4245.          greater than or equal to the hierarchical classification in the 
4246.          object's security level and the non-hierarchical categories in the
4247.          subject's security level include all the non-hierarchical categories
4248.          in the object's security level.  A subject can write an object only
4249.          if the hierarchical classification in the subject's security level is
4250.          less than or equal to the hierarchical classification in the object's
4251.          security level and all the non-hierarchical categories in the 
4252.          subject's security level are included in the non-hierarchical 
4253.          categories in the object's security level.
4254.  
4255.      B2: CHANGE: The TCB shall enforce a mandatory access control policy over
4256.          all resources (i.e., subjects, storage objects, and I/O devices) that
4257.          are directly or indirectly accessible by subjects external to the TCB.
4258.          The following requirements shall hold for all accesses between all
4259.          subjects external to the TCB and all objects directly or indirectly 
4260.          accessible by these subjects:
4261.  
4262.      B3: NAR.
4263.  
4264.      A1: NAR.
4265.  
4266. Object Reuse
4267.  
4268.      C1: NR.
4269.  
4270.      C2: NEW: When a storage object is initially assigned, allocated, or
4271.          reallocated to a subject from the TCB's pool of unused storage 
4272.          objects, the TCB shall assure that the object contains no data for 
4273.          which the subject is not authorized.
4274.  
4275.      B1: NAR.
4276.  
4277.      B2: NAR.
4278.  
4279.      B3: NAR.
4280.  
4281.      A1: NAR.
4282.  
4283. Security Features User's Guide
4284.  
4285.      C1: NEW: A single summary, chapter, or manual in user documentation shall
4286.          describe the protection mechanisms provided by the TCB, guidelines on
4287.          their use, and how they interact with one another.
4288.  
4289.      C2: NAR.
4290.  
4291.      B1: NAR.
4292.  
4293.      B2: NAR.
4294.  
4295.      B3: NAR.
4296.  
4297.      A1: NAR.
4298.  
4299. Security Testing
4300.  
4301.      C1: NEW: The security mechanisms of the ADP system shall be tested and
4302.          found to work as claimed in the system documentation.  Testing shall 
4303.          be done to assure that there are no obvious ways for an unauthorized
4304.          user to bypass or otherwise defeat the security protection mechanisms
4305.          of the TCB.  (See the Security Testing guidelines.)
4306.  
4307.      C2: ADD: Testing shall also include a search for obvious flaws that would
4308.          allow violation of resource isolation, or that would permit 
4309.          unauthorized access to the audit or authentication data.
4310.  
4311.      B1: NEW: The security mechanisms of the ADP system shall be tested and
4312.          found to work as claimed in the system documentation.  A team of 
4313.          individuals who thoroughly understand the specific implementation of
4314.          the TCB shall subject its design documentation, source code, and 
4315.          object code to thorough analysis and testing.  Their objectives shall
4316.          be: to uncover all design and implementation flaws that would permit
4317.          a subject external to the TCB to read, change, or delete data
4318.          normally denied under the mandatory or discretionary security policy 
4319.          enforced by the TCB; as well as to assure that no subject (without
4320.          authorization to do so) is able to cause the TCB to enter a state
4321.          such that it is unable to respond to communications initiated by 
4322.          other users.  All discovered flaws shall be removed or neutralized 
4323.          and the TCB retested to demonstrate that they have been eliminated 
4324.          and that new flaws have not been introduced.  (See the Security 
4325.          Testing Guidelines.)
4326.  
4327.      B2: CHANGE: All discovered flaws shall be corrected and the TCB retested
4328.          to demonstrate that they have been eliminated and that new flaws have
4329.          not been introduced.
4330.  
4331.          ADD: The TCB shall be found relatively resistant to penetration.
4332.          Testing shall demonstrate that the TCB implementation is consistent 
4333.          with the descriptive top-level specification.
4334.  
4335.      B3: CHANGE: The TCB shall be found resistant to penetration.
4336.  
4337.          ADD: No design flaws and no more than a few correctable
4338.          implementation flaws may be found during testing and there shall be 
4339.          reasonable confidence that few remain.
4340.  
4341.      A1: CHANGE: Testing shall demonstrate that the TCB implementation is
4342.          consistent with the formal top-level specification.
4343.  
4344.          ADD: Manual or other mapping of the FTLS to the source code may form
4345.          a basis for penetration testing.
4346.  
4347. Subject Sensitivity Labels
4348.  
4349.      C1: NR.
4350.  
4351.      C2: NR.
4352.  
4353.      B1: NR.
4354.  
4355.      B2: NEW: The TCB shall immediately notify a terminal user of each change
4356.          in the security level associated with that user during an interactive
4357.          session.  A terminal user shall be able to query the TCB as desired 
4358.          for a display of the subject's complete sensitivity label.
4359.  
4360.      B3: NAR.
4361.  
4362.      A1: NAR.
4363.  
4364. System Architecture
4365.  
4366.      C1: NEW: The TCB shall maintain a domain for its own execution that
4367.          protects it from external interference or tampering (e.g., by 
4368.          modification of its code or data structures).  Resources controlled 
4369.          by the TCB may be a defined subset of the subjects and objects in 
4370.          the ADP system.
4371.  
4372.      C2: ADD: The TCB shall isolate the resources to be protected so that they
4373.          are subject to the access control and auditing requirements.
4374.  
4375.      B1: ADD: The TCB shall maintain process isolation through the provision
4376.          of distinct address spaces under its control.
4377.  
4378.      B2: NEW: The TCB shall maintain a domain for its own execution that
4379.          protects it from external interference or tampering (e.g., by 
4380.          modification of its code or data structures).  The TCB shall maintain
4381.          process isolation through the provision of distinct address spaces 
4382.          under its control.  The TCB shall be internally structured into well-
4383.          defined largely independent modules.  It shall make effective use of
4384.          available hardware to separate those elements that are protection-
4385.          critical from those that are not.  The TCB modules shall be designed
4386.          such that the principle of least privilege is enforced.  Features in
4387.          hardware, such as segmentation, shall be used to support logically 
4388.          distinct storage objects with separate attributes (namely: readable, 
4389.          writeable).  The user interface to the TCB shall be completely 
4390.          defined and all elements of the TCB identified.
4391.  
4392.      B3: ADD: The TCB shall be designed and structured to use a complete,
4393.          conceptually simple protection mechanism with precisely defined 
4394.          semantics.  This mechanism shall play a central role in enforcing the
4395.          internal structuring of the TCB and the system.  The TCB shall
4396.          incorporate significant use of layering, abstraction and data hiding.
4397.          Significant system engineering shall be directed toward minimizing
4398.          the complexity of the TCB and excluding from the TCB modules that are
4399.          not protection-critical.
4400.  
4401.      A1: NAR.
4402.  
4403. System Integrity
4404.  
4405.      C1: NEW: Hardware and/or software features shall be provided that can be
4406.          used to periodically validate the correct operation of the on-site 
4407.          hardware and firmware elements of the TCB.
4408.  
4409.      C2: NAR.
4410.  
4411.      B1: NAR.
4412.  
4413.      B2: NAR.
4414.  
4415.      B3: NAR.
4416.  
4417.      A1: NAR.
4418.  
4419. Test Documentation
4420.  
4421.      C1: NEW: The system developer shall provide to the evaluators a document
4422.          that describes the test plan and results of the security mechanisms'
4423.          functional testing.
4424.  
4425.      C2: NAR.
4426.  
4427.      B1: NAR.
4428.  
4429.      B2: ADD: It shall include results of testing the effectiveness of the
4430.          methods used to reduce covert channel bandwidths.
4431.  
4432.      B3: NAR.
4433.  
4434.      A1: ADD: The results of the mapping between the formal top-level
4435.          specification and the TCB source code shall be given.
4436.  
4437. Trusted Distribution
4438.  
4439.      C1: NR.
4440.  
4441.      C2: NR.
4442.  
4443.      B1: NR.
4444.  
4445.      B2: NR.
4446.  
4447.      B3: NR.
4448.  
4449.      A1: NEW: A trusted ADP system control and distribution facility shall be
4450.          provided for maintaining the integrity of the mapping between the 
4451.          master data describing the current version of the TCB and the on-site
4452.          master copy of the code for the current version.  Procedures (e.g.,
4453.          site security acceptance testing) shall exist for assuring that the
4454.          TCB software, firmware, and hardware updates distributed to a
4455.          customer are exactly as specified by the master copies.
4456.  
4457. Trusted Facility Management
4458.  
4459.      C1: NR.
4460.  
4461.      C2: NR.
4462.  
4463.      B1: NR.
4464.  
4465.      B2: NEW: The TCB shall support separate operator and administrator
4466.          functions.
4467.  
4468.      B3: ADD: The functions performed in the role of a security administrator
4469.          shall be identified.  The ADP system administrative personnel shall 
4470.          only be able to perform security administrator functions after taking
4471.          a distinct auditable action to assume the security administrator role
4472.          on the ADP system.  Non-security functions that can be performed in
4473.          the security administration role shall be limited strictly to those
4474.          essential to performing the security role effectively.
4475.  
4476.      A1: NAR.
4477.  
4478. Trusted Facility Manual
4479.  
4480.      C1: NEW: A manual addressed to the ADP system administrator shall present
4481.          cautions about functions and privileges that should be controlled 
4482.          when running a secure facility.
4483.  
4484.      C2: ADD: The procedures for examining and maintaining the audit files as
4485.          well as the detailed audit record structure for each type of audit 
4486.          event shall be given.
4487.  
4488.      B1: ADD: The manual shall describe the operator and administrator
4489.          functions related to security, to include changing the 
4490.          characteristics of a user.  It shall provide guidelines on the 
4491.          consistent and effective use of the protection features of the
4492.          system, how they interact, how to securely generate a new TCB, and
4493.          facility procedures, warnings, and privileges that need to be
4494.          controlled in order to operate the facility in a secure manner.
4495.  
4496.      B2: ADD: The TCB modules that contain the reference validation mechanism
4497.          shall be identified.  The procedures for secure generation of a new 
4498.          TCB from source after modification of any modules in the TCB shall 
4499.          be described.
4500.  
4501.      B3: ADD: It shall include the procedures to ensure that the system is
4502.          initially started in a secure manner.  Procedures shall also be 
4503.          included to resume secure system operation after any lapse in system
4504.          operation.
4505.  
4506.      A1: NAR.
4507.  
4508. Trusted Path
4509.  
4510.      C1: NR.
4511.  
4512.      C2: NR.
4513.  
4514.      B1: NR.
4515.  
4516.      B2: NEW: The TCB shall support a trusted communication path between
4517.          itself and user for initial login and authentication.  Communications
4518.          via this path shall be initiated exclusively by a user.
4519.  
4520.      B3: CHANGE: The TCB shall support a trusted communication path between
4521.          itself and users for use when a positive TCB-to-user connection is 
4522.          required (e.g., login, change subject security level).  
4523.          Communications via this trusted path shall be activated exclusively
4524.          by a user or the TCB and shall be logically isolated and unmistakably
4525.          distinguishable from other paths.
4526.  
4527.      A1: NAR.
4528.  
4529. Trusted Recovery
4530.  
4531.      C1: NR.
4532.  
4533.      C2: NR.
4534.  
4535.      B1: NR.
4536.  
4537.      B2: NR.
4538.  
4539.      B3: NEW: Procedures and/or mechanisms shall be provided to assure that,
4540.          after an ADP system failure or other discontinuity, recovery without a
4541.          protection compromise is obtained.
4542.  
4543.      A1: NAR.
4544.  
4545.  
4546.  
4547.  
4548.  
4549.     (this page is reserved for Figure 1)
4550.  
4551.  
4552.  
4553.  
4554.                                  GLOSSARY
4555.  
4556.  
4557. Access - A specific type of interaction between a subject and an object 
4558.      that results in the flow of information from one to the other.
4559.  
4560. Approval/Accreditation - The official authorization that is
4561.      granted to an ADP system to process sensitive information in
4562.      its operational environment, based upon comprehensive
4563.      security evaluation of the system's hardware, firmware, and
4564.      software security design, configuration, and implementation
4565.      and of the other system procedural, administrative,
4566.      physical, TEMPEST, personnel, and communications security
4567.      controls.
4568.  
4569. Audit Trail - A set of records that collectively provide
4570.      documentary evidence of processing used to aid in tracing
4571.      from original transactions forward to related records and
4572.      reports, and/or backwards from records and reports to their
4573.      component source transactions.
4574.  
4575. Authenticate - To establish the validity of a claimed identity.
4576.  
4577. Automatic Data Processing (ADP) System - An assembly of computer
4578.      hardware, firmware, and software configured for the purpose
4579.      of classifying, sorting, calculating, computing,
4580.      summarizing, transmitting and receiving, storing, and
4581.      retrieving data with a minimum of human intervention.
4582.  
4583. Bandwidth - A characteristic of a communication channel that is
4584.      the amount of information that can be passed through it in a
4585.      given amount of time, usually expressed in bits per second.
4586.  
4587. Bell-LaPadula Model - A formal state transition model of computer
4588.      security policy that describes a set of access control
4589.      rules.  In this formal model, the entities in a computer
4590.      system are divided into abstract sets of subjects and
4591.      objects.  The notion of a secure state is defined and it is
4592.      proven that each state transition preserves security by
4593.      moving from secure state to secure state; thus, inductively
4594.      proving that the system is secure.  A system state is
4595.      defined to be "secure" if the only permitted access modes of
4596.      subjects to objects are in accordance with a specific
4597.      security policy.  In order to determine whether or not a
4598.      specific access mode is allowed, the clearance of a subject
4599.      is compared to the classification of the object and a
4600.      determination is made as to whether the subject is
4601.      authorized for the specific access mode.  The
4602.      clearance/classification scheme is expressed in terms of a
4603.      lattice.  See also: Lattice, Simple Security Property, *-
4604.      Property.
4605.  
4606. Certification - The technical evaluation of a system's security
4607.      features, made as part of and in support of the
4608.      approval/accreditation process, that establishes the extent
4609.      to which a particular computer system's design and
4610.      implementation meet a set of specified security
4611.      requirements.
4612.  
4613. Channel - An information transfer path within a system.  May also
4614.      refer to the mechanism by which the path is effected.
4615.  
4616. Covert Channel - A communication channel that allows a process to
4617.      transfer information in a manner that violates the system's
4618.      security policy.  See also:  Covert Storage Channel, Covert
4619.      Timing Channel.
4620.  
4621. Covert Storage Channel - A covert channel that involves the
4622.      direct or indirect writing of a storage location by one
4623.      process and the direct or indirect reading of the storage
4624.      location by another process.  Covert storage channels
4625.      typically involve a finite resource (e.g., sectors on a
4626.      disk) that is shared by two subjects at different security
4627.      levels.
4628.  
4629. Covert Timing Channel - A covert channel in which one process
4630.      signals information to another by modulating its own use of
4631.      system resources (e.g., CPU time) in such a way that this
4632.      manipulation affects the real response time observed by the
4633.      second process.
4634.  
4635. Data - Information with a specific physical representation.
4636.  
4637. Data Integrity - The state that exists when computerized data is
4638.      the same as that in the source documents and has not been
4639.      exposed to accidental or malicious alteration or
4640.      destruction.
4641.  
4642. Descriptive Top-Level Specification (DTLS) - A top-level
4643.      specification that is written in a natural language (e.g.,
4644.      English), an informal program design notation, or a
4645.      combination of the two.
4646.  
4647. Discretionary Access Control - A means of restricting access to
4648.      objects based on the identity of subjects and/or groups to
4649.      which they belong.  The controls are discretionary in the
4650.      sense that a subject with a certain access permission is
4651.      capable of passing that permission (perhaps indirectly) on
4652.      to any other subject.
4653.  
4654. Domain - The set of objects that a subject has the ability to
4655.      access.
4656.  
4657. Dominate - Security level S1 is said to dominate security level
4658.      S2 if the hierarchical classification of S1 is greater than
4659.      or equal to that of S2 and the non-hierarchical categories
4660.      of S1 include all those of S2 as a subset.
4661.  
4662. Exploitable Channel - Any channel that is useable or detectable
4663.      by subjects external to the Trusted Computing Base.
4664.  
4665. Flaw Hypothesis Methodology - A system analysis and penetration
4666.      technique where specifications and documentation for the
4667.      system are analyzed and then flaws in the system are
4668.      hypothesized.  The list of hypothesized flaws is then
4669.      prioritized on the basis of the estimated probability that a
4670.      flaw actually exists and, assuming a flaw does exist, on the
4671.      ease of exploiting it and on the extent of control or
4672.      compromise it would provide.  The prioritized list is used
4673.      to direct the actual testing of the system.
4674.  
4675. Flaw - An error of commission, omission, or oversight in a system
4676.      that allows protection mechanisms to be bypassed.
4677.  
4678. Formal Proof - A complete and convincing mathematical argument,
4679.      presenting the full logical justification for each proof
4680.      step, for the truth of a theorem or set of theorems.  The
4681.      formal verification process uses formal proofs to show the
4682.      truth of certain properties of formal specification and for
4683.      showing that computer programs satisfy their specifications.
4684.  
4685. Formal Security Policy Model - A mathematically precise statement
4686.      of a security policy.  To be adequately precise, such a
4687.      model must represent the initial state of a system, the way
4688.      in which the system progresses from one state to another,
4689.      and a definition of a "secure" state of the system.  To be
4690.      acceptable as a basis for a TCB, the model must be supported
4691.      by a formal proof that if the initial state of the system
4692.      satisfies the definition of a "secure" state and if all
4693.      assumptions required by the model hold, then all future
4694.      states of the system will be secure.  Some formal modeling
4695.      techniques include:  state transition models, temporal logic
4696.      models, denotational semantics models, algebraic
4697.      specification models.  An example is the model described by
4698.      Bell and LaPadula in reference [2].  See also:  Bell-
4699.      LaPadula Model, Security Policy Model.
4700.  
4701. Formal Top-Level Specification (FTLS) - A Top-Level Specification
4702.      that is written in a formal mathematical language to allow
4703.      theorems showing the correspondence of the system
4704.      specification to its formal requirements to be hypothesized
4705.      and formally proven.
4706.  
4707. Formal Verification - The process of using formal proofs to
4708.      demonstrate the consistency (design verification) between a
4709.      formal specification of a system and a formal security
4710.      policy model or (implementation verification) between the
4711.      formal specification and its program implementation.
4712.  
4713. Functional Testing - The portion of security testing in which the
4714.      advertised features of a system are tested for correct
4715.      operation.
4716.  
4717. General-Purpose System - A computer system that is designed to
4718.      aid in solving a wide variety of problems.
4719.  
4720. Lattice - A partially ordered set for which every pair of
4721.      elements has a greatest lower bound and a least upper bound.
4722.  
4723. Least Privilege - This principle requires that each subject in a
4724.      system be granted the most restrictive set of privileges (or
4725.      lowest clearance) needed for the performance of authorized
4726.      tasks.  The application of this principle limits the damage
4727.      that can result from accident, error, or unauthorized use.
4728.  
4729. Mandatory Access Control - A means of restricting access to
4730.      objects based on the sensitivity (as represented by a label)
4731.      of the information contained in the objects and the formal
4732.      authorization (i.e., clearance) of subjects to access
4733.      information of such sensitivity.
4734.  
4735. Multilevel Device - A device that is used in a manner that
4736.      permits it to simultaneously process data of two or more
4737.      security levels without risk of compromise.  To accomplish
4738.      this, sensitivity labels are normally stored on the same
4739.      physical medium and in the same form (i.e., machine-readable
4740.      or human-readable) as the data being processed.
4741.  
4742. Multilevel Secure - A class of system containing information with
4743.      different sensitivities that simultaneously permits access
4744.      by users with different security clearances and needs-to-
4745.      know, but prevents users from obtaining access to
4746.      information for which they lack authorization.
4747.  
4748. Object - A passive entity that contains or receives information.
4749.      Access to an object potentially implies access to the
4750.      information it contains.  Examples of objects are:  records,
4751.      blocks, pages, segments, files, directories, directory
4752.      trees, and programs, as well as bits, bytes, words, fields,
4753.      processors, video displays, keyboards, clocks, printers,
4754.      network nodes, etc.
4755.  
4756. Object Reuse - The reassignment to some subject of a medium
4757.      (e.g., page frame, disk sector, magnetic tape) that
4758.      contained one or more objects.  To be securely reassigned,
4759.      such media must contain no residual data from the previously
4760.      contained object(s).
4761.  
4762. Output - Information that has been exported by a TCB.
4763.  
4764. Password - A private character string that is used to
4765.      authenticate an identity.
4766.  
4767. Penetration Testing - The portion of security testing in which
4768.      the penetrators attempt to circumvent the security features
4769.      of a system.  The penetrators may be assumed to use all
4770.      system design and implementation documentation, which may
4771.      include listings of system source code, manuals, and circuit
4772.      diagrams.  The penetrators work under no constraints other
4773.      than those that would be applied to ordinary users.
4774.  
4775. Process - A program in execution.  It is completely characterized
4776.      by a single current execution point (represented by the
4777.      machine state) and address space.
4778.  
4779. Protection-Critical Portions of the TCB - Those portions of the
4780.      TCB whose normal function is to deal with the control of
4781.      access between subjects and objects.
4782.  
4783. Protection Philosophy - An informal description of the overall
4784.      design of a system that delineates each of the protection
4785.      mechanisms employed.  A combination (appropriate to the
4786.      evaluation class) of formal and informal techniques is used
4787.      to show that the mechanisms are adequate to enforce the
4788.      security policy.
4789.  
4790. Read - A fundamental operation that results only in the flow of
4791.      information from an object to a subject.
4792.  
4793. Read Access - Permission to read information.
4794.  
4795. Reference Monitor Concept - An access control concept that refers
4796.      to an abstract machine that mediates all accesses to objects
4797.      by subjects.
4798.  
4799. Resource - Anything used or consumed while performing a function.
4800.      The categories of resources are: time, information, objects
4801.      (information containers), or processors (the ability to use
4802.      information).  Specific examples are: CPU time; terminal
4803.      connect time; amount of directly-addressable memory; disk
4804.      space; number of I/O requests per minute, etc.
4805.  
4806. Security Kernel - The hardware, firmware, and software elements
4807.      of a Trusted Computing Base that implement the reference
4808.      monitor concept.  It must mediate all accesses, be protected
4809.      from modification, and be verifiable as correct.
4810.  
4811. Security Level - The combination of a hierarchical classification
4812.      and a set of non-hierarchical categories that represents the
4813.      sensitivity of information.
4814.  
4815. Security Policy - The set of laws, rules, and practices that
4816.      regulate how an organization manages, protects, and
4817.      distributes sensitive information.
4818.  
4819. Security Policy Model - An informal presentation of a formal
4820.      security policy model.
4821.  
4822. Security Testing - A process used to determine that the security
4823.      features of a system are implemented as designed and that
4824.      they are adequate for a proposed application environment.
4825.      This process includes hands-on functional testing,
4826.      penetration testing, and verification.  See also: Functional
4827.      Testing, Penetration Testing, Verification.
4828.  
4829. Sensitive Information - Information that, as determined by a
4830.      competent authority, must be protected because its
4831.      unauthorized disclosure, alteration, loss, or destruction
4832.      will at least cause perceivable damage to someone or
4833.      something.
4834.  
4835. Sensitivity Label - A piece of information that represents the
4836.      security level of an object and that describes the
4837.      sensitivity (e.g., classification) of the data in the
4838.      object.   Sensitivity labels are used by the TCB as the basis
4839.      for mandatory access control decisions.
4840.  
4841. Simple Security Property - A Bell-LaPadula security model rule
4842.      allowing a subject read access to an object only if the
4843.      security level of the subject dominates the security level
4844.      of the object.
4845.  
4846. Single-Level Device - A device that is used to process data of a
4847.      single security level at any one time.  Since the device
4848.      need not be trusted to separate data of different security
4849.      levels, sensitivity labels do not have to be stored with the
4850.      data being processed.
4851.  
4852. *-Property (Star Property) - A Bell-LaPadula security model rule
4853.      allowing a subject write access to an object only if the
4854.      security level of the subject is dominated by the security
4855.      level of the object.  Also known as the Confinement
4856.      Property.
4857.  
4858. Storage Object - An object that supports both read and write
4859.      accesses.
4860.  
4861. Subject - An active entity, generally in the form of a person,
4862.      process, or device that causes information to flow among
4863.      objects or changes the system state.  Technically, a
4864.      process/domain pair.
4865.  
4866. Subject Security Level - A subject's security level is equal to
4867.      the security level of the objects to which it has both read
4868.      and write access.  A subject's security level must always be
4869.      dominated by the clearance of the user the subject is
4870.      associated with.
4871.  
4872. TEMPEST - The study and control of spurious electronic signals
4873.      emitted from ADP equipment.
4874.  
4875. Top-Level Specification (TLS) - A non-procedural description of
4876.      system behavior at the most abstract level.  Typically a
4877.      functional specification that omits all implementation
4878.      details.
4879.  
4880. Trap Door - A hidden software or hardware mechanism that permits
4881.      system protection mechanisms to be circumvented.  It is
4882.      activated in some non-apparent manner (e.g., special
4883.      "random" key sequence at a terminal).
4884.  
4885. Trojan Horse - A computer program with an apparently or actually
4886.      useful function that contains additional (hidden) functions
4887.      that surreptitiously exploit the legitimate authorizations
4888.      of the invoking process to the detriment of security.  For
4889.      example, making a "blind copy" of a sensitive file for the
4890.      creator of the Trojan Horse.
4891.  
4892. Trusted Computer System - A system that employs sufficient
4893.      hardware and software integrity measures to allow its use
4894.      for processing simultaneously a range of sensitive or
4895.      classified information.
4896.  
4897. Trusted Computing Base (TCB) - The totality of protection
4898.      mechanisms within a computer system -- including hardware,
4899.      firmware, and software -- the combination of which is
4900.      responsible for enforcing a security policy.  It creates a
4901.      basic protection environment and provides additional user
4902.      services required for a trusted computer system.  The
4903.      ability of a trusted computing base to correctly enforce a
4904.      security policy depends solely on the mechanisms within the
4905.      TCB and on the correct input by system administrative
4906.      personnel of parameters (e.g., a user's clearance) related
4907.      to the security policy.
4908.  
4909. Trusted Path - A mechanism by which a person at a terminal can
4910.      communicate directly with the Trusted Computing Base.  This
4911.      mechanism can only be activated by the person or the Trusted
4912.      Computing Base and cannot be imitated by untrusted software.
4913.  
4914. Trusted Software - The software portion of a Trusted Computing
4915.      Base.
4916.  
4917. User - Any person who interacts directly with a computer system.
4918.  
4919. Verification - The process of comparing two levels of system
4920.      specification for proper correspondence (e.g., security
4921.      policy model with top-level specification, TLS with source
4922.      code, or source code with object code).  This process may or
4923.      may not be automated.
4924.  
4925. Write - A fundamental operation that results only in the flow of
4926.      information from a subject to an object.
4927.  
4928. Write Access - Permission to write an object.
4929.  
4930.  
4931.  
4932.  
4933.  
4934.                               REFERENCES
4935.  
4936.  
4937. 1.  Anderson, J. P.  Computer Security Technology Planning
4938.          Study, ESD-TR-73-51, vol. I, ESD/AFSC, Hanscom AFB,
4939.          Bedford, Mass., October 1972 (NTIS AD-758 206).
4940.  
4941. 2.  Bell, D. E. and LaPadula, L. J.  Secure Computer Systems:
4942.          Unified Exposition and Multics Interpretation, MTR-2997
4943.          Rev. 1, MITRE Corp., Bedford, Mass., March 1976.
4944.  
4945. 3.  Brand, S. L.    "An Approach to Identification and Audit of
4946.          Vulnerabilities and Control in Application Systems," in
4947.          Audit and Evaluation of Computer Security II: System
4948.          Vulnerabilities and Controls, Z. Ruthberg, ed., NBS
4949.          Special Publication #500-57, MD78733, April 1980.
4950.  
4951. 4.  Brand, S. L.    "Data Processing and A-123," in Proceedings of
4952.          the Computer Performance Evaluation User's Group 18th
4953.          Meeting, C. B. Wilson, ed., NBS Special Publication
4954.          #500-95, October 1982.
4955.  
4956. 5.  Denning, D. E.  "A Lattice Model of Secure Information
4957.          Flow," in Communications of the ACM, vol. 19, no. 5
4958.          (May 1976), pp. 236-243.
4959.  
4960. 6.  Denning, D. E.  Secure Information Flow in Computer Systems,
4961.          Ph.D. dissertation, Purdue Univ., West Lafayette, Ind.,
4962.          May 1975.
4963.  
4964. 7.  DoD 5200.1-R, Information Security Program Regulation,
4965.          August 1982.
4966.  
4967. 8.  DoD Directive 5200.28, Security Requirements for Automatic
4968.          Data Processing (ADP) Systems, revised April 1978.
4969.  
4970. 9.  DoD 5200.28-M, ADP Security Manual -- Techniques and
4971.          Procedures for Implementing, Deactivating, Testing, and
4972.          Evaluating Secure Resource-Sharing ADP Systems, revised
4973.          June 1979.
4974.  
4975. 10. DoD Directive 5215.1, Computer Security Evaluation Center,
4976.          25 October 1982.
4977.  
4978. 11. DoD 5220.22-M, Industrial Security Manual for Safeguarding
4979.          Classified Information, January 1983.
4980.  
4981. 12. DoD 5220.22-R, Industrial Security Regulation, January 1983.
4982.  
4983. 13. DoD Directive 5400.11, Department of Defense Privacy
4984.          Program, 9 June 1982.
4985.  
4986. 14. Executive Order 12356, National Security Information,
4987.          6 April 1982.
4988.  
4989. 15. Faurer, L. D.    "Keeping the Secrets Secret," in Government
4990.          Data Systems, November - December 1981, pp. 14-17.
4991.  
4992. 16. Federal Information Processing Standards Publication (FIPS
4993.          PUB) 39, Glossary for Computer Systems Security,
4994.          15 February 1976.
4995.  
4996. 17. Federal Information Processing Standards Publication (FIPS
4997.          PUB) 73, Guidelines for Security of Computer
4998.          Applications, 30 June 1980.
4999.  
5000. 18. Federal Information Processing Standards Publication (FIPS
5001.          PUB) 102, Guideline for Computer Security Certification
5002.          and Accreditation.
5003.  
5004. 19. Lampson, B. W.  "A Note on the Confinement Problem," in
5005.          Communications of the ACM, vol. 16, no. 10 (October
5006.          1973), pp. 613-615.
5007.  
5008. 20. Lee, T. M. P., et al.     "Processors, Operating Systems and
5009.          Nearby Peripherals: A Consensus Report," in Audit and
5010.          Evaluation of Computer Security II: System
5011.          Vulnerabilities and Controls, Z. Ruthberg, ed., NBS
5012.          Special Publication #500-57, MD78733, April 1980.
5013.  
5014. 21. Lipner, S. B.    A Comment on the Confinement Problem, MITRE
5015.          Corp., Bedford, Mass.
5016.  
5017. 22. Millen, J. K.    "An Example of a Formal Flow Violation," in
5018.          Proceedings of the IEEE Computer Society 2nd
5019.          International Computer Software and Applications
5020.          Conference, November 1978, pp. 204-208.
5021.  
5022. 23. Millen, J. K.    "Security Kernel Validation in Practice," in
5023.          Communications of the ACM, vol. 19, no. 5 (May 1976),
5024.          pp. 243-250.
5025.  
5026. 24. Nibaldi, G. H.  Proposed Technical Evaluation Criteria for
5027.          Trusted Computer Systems, MITRE Corp., Bedford, Mass.,
5028.          M79-225, AD-A108-832, 25 October 1979.
5029.  
5030. 25. Nibaldi, G. H.  Specification of A Trusted Computing Base,
5031.          (TCB), MITRE Corp., Bedford, Mass., M79-228, AD-A108-
5032.          831, 30 November 1979.
5033.  
5034. 26. OMB Circular A-71, Transmittal Memorandum No. 1, Security of
5035.          Federal Automated Information Systems, 27 July 1978.
5036.  
5037. 27. OMB Circular A-123, Internal Control Systems, 5 November
5038.          1981.
5039.  
5040. 28. Ruthberg, Z. and McKenzie, R., eds.  Audit and Evaluation of
5041.          Computer Security, in NBS Special Publication #500-19,
5042.          October 1977.
5043.  
5044. 29. Schaefer, M., Linde, R. R., et al.  "Program Confinement in
5045.          KVM/370," in Proceedings of the ACM National
5046.          Conference, October 1977, Seattle.
5047.  
5048. 30. Schell, R. R.    "Security Kernels: A Methodical Design of
5049.          System Security," in Technical Papers, USE Inc. Spring
5050.          Conference, 5-9 March 1979, pp. 245-250.
5051.  
5052. 31. Trotter, E. T. and Tasker, P. S.  Industry Trusted Computer
5053.          Systems Evaluation Process, MITRE Corp., Bedford,
5054.          Mass., MTR-3931, 1 May 1980.
5055.  
5056. 32. Turn, R.  Trusted Computer Systems: Needs and Incentives for
5057.          Use in government and Private Sector, (AD # A103399),
5058.          Rand Corporation (R-28811-DR&E), June 1981.
5059.  
5060. 33. Walker, S. T.    "The Advent of Trusted Computer Operating
5061.          Systems," in National Computer Conference Proceedings,
5062.          May 1980, pp. 655-665.
5063.  
5064. 34. Ware, W. H., ed., Security Controls for Computer Systems:
5065.          Report of Defense Science Board Task Force on Computer
5066.          Security, AD # A076617/0, Rand Corporation, Santa
5067.          Monica, Calif., February 1970, reissued October 1979.
5068.