home *** CD-ROM | disk | FTP | other *** search

---

/ Hackers Toolkit v2.0 / Hackers_Toolkit_v2.0.iso / HTML / archive / Rainbow / ncsc / ygreenncsc.txt

< prev

Wrap

Text File  |  1999-11-04  |  84KB  |  1,750 lines

---

1. Writing Trusted Facility Manuals
2.  
3. NATIONAL COMPUTER SECURITY CENTER 
4.  
5. FORT GEORGE G. MEADE, MARYLAND 20755-6000 
6.  
7. NCSC TG 016 
8.  
9. Library No. S239,639 
10.  
11. Version 1 
12.  
13. FOREWORD
14.  
15. Guidelines for Writing Trusted Facility Manuals provides a set of good
16. practices related to the documentation of trusted facility management
17. functions of systems employed for processing classified and other
18. sensitive information. A Trusted Facility Manual (TFM) is a document
19. written by a system vendor that describes how to configure and install a
20. specific secure system, operate the system in a secure manner, and make
21. effective use of the system privileges and protection mechanisms to
22. control access to administrative functions and databases. 
23.  
24. Guidelines for Writing Trusted Facility Manuals is the latest addition to
25. the "Rainbow Series" of documents. These publications are the product of
26. the Technical Guidelines Program. The National Computer Security Center
27. designed these technical guidelines to provide insight to the Trusted
28. Computer System Evaluation Criteria requirements and guidance for meeting
29. each requirement. 
30.  
31. Recommendations for revision to this guideline are encouraged and will be
32. reviewed by the National Computer Security Center through a formal review
33. process. 
34.  
35. _________________ 
36.  
37. Patrick R. Gallagher, Jr. October 1992 
38.  
39.      Director 
40.      National Computer Security Center 
41.  
42. ACKNOWLEDGMENTS
43.  
44. The National Computer Security Center wishes to extend special recognition
45. and acknowledgement for their contributions to this document to
46. Infosystems Technology, Inc., and to Dr. Virgil D. Gligor of the
47. University of Maryland as primary author and preparer of this document.
48. Special thanks also go to the many computer vendor representatives, and
49. members of the National Computer Security Center (NCSC) community who
50. enthusiastically gave of their time and technical expertise in reviewing
51. the material and providing valuable comments and suggestions. 
52.  
53. Special recognition goes to Leon Neufeld, NCSC, who served as project
54. manager for the preparation and production of this document. 
55.  
56. PREFACE
57.  
58. Throughout this guideline there will be recommendations made that are not
59. included in the Trusted Computer System Evaluation Criteria (TCSEC) as
60. requirements. Any recommendations that are not in the TCSEC are prefaced
61. by the word "should," whereas all requirements are prefaced by the word
62. "shall." It is hoped that this will help to avoid any confusion. 
63.  
64. Examples in this document are not to be construed as the only
65. implementation that will satisfy the TCSEC requirement. The examples and
66. literature citations provided herein are merely suggestions of appropriate
67. designs and, possibly, implementations. The recommendations in this
68. document are also not to be construed as supplementary requirements to the
69. TCSEC. The TCSEC is the only metric against which systems are to be
70. evaluated. 
71.  
72. INTRODUCTION
73.  
74. The Department of Defense Computer Security Center (DoDCSC), established
75. in January 1981, expands on the work started by the DoD Security
76. Initiative. In 1985, the DoDCSC became the National Computer Security
77. Center (NCSC) to reflect its responsibility for computer security
78. throughout the Federal Government. The Director, NCSC, has the
79. responsibility for establishing and publishing criteria and guidelines for
80. all areas of computer security. 
81.  
82. The principal goal of the NCSC is to encourage the widespread availability
83. of trusted computer systems. In support of that goal, the NCSC created a
84. metric, known as the DoD Trusted Computer System Evaluation Criteria
85. (TCSEC), against which computer systems could be evaluated for security.
86. The DoDCSC originally published the TCSEC on 15 August 1983 as
87. CSC-STD-001-83. In December 1985, the DoD adopted it, with a few changes,
88. as a DoD Standard, DoD 5200.28-STD. DoD Directive 5200.28, Security
89. Requirements for Automated Information Systems (AIS) requires the TCSEC to
90. be used throughout the DoD. The TCSEC is the standard used for evaluating
91. the effectiveness of security controls built into Automated Data
92. Processing (ADP) systems. The TCSEC has four divisions: D, C, B, and A,
93. ordered in a hierarchical manner with the highest division (A) being
94. reserved for systems providing the best available level of assurance.
95. Within divisions C, B, and A, a number of subdivisions, known as classes,
96. are also ordered in a hierarchical manner to represent different levels of
97. assurance in these classes. 
98.  
99. Purpose
100.  
101. A Trusted Facility Manual (TFM) is one of the documents necessary to
102. satisfy the requirements of any class in the TCSEC. The TFM is directed
103. towards the administrators of an installation, and its goal is to provide
104. detailed, accurate information on how to (1) configure and install a
105. specific secure system, (2) operate the system in a secure manner, (3)
106. make effective use of the system privileges and protection mechanisms to
107. control access to administrative functions and databases, and (4) avoid
108. pitfalls and improper use of the administrative functions that would
109. compromise the Trusted Computing Base (TCB) and user security. 
110.  
111. The importance of the TFM in supporting the operation of a secure computer
112. system cannot be over estimated. Even if one assumes, hypothetically, that
113. all users of a system and their applications are trusted, and that they
114. will use all of the available protection mechanisms correctly, the system
115. may still be administered and operated in an insecure manner. This may be
116. especially true when administrative users lack the skill, the care, or the
117. interest to use the system properly. Furthermore, the security damage that
118. administrative users can cause by careless use, or deliberate misuse, of
119. administrative authority is significantly larger than that caused by
120. ordinary users. Although use of a detailed, accurate TFM cannot address or
121. counter deliberate misuse of administrative authority, it can help
122. minimize chances of misuse due to lack of awareness of proper system use.
123. To help minimize these instances of system misuse, the TFM should include
124. examples of both proper use and warnings about consequences of misuse of
125. administrative functions, procedures, privileges, and databases. 
126.  
127. This guideline presents the issues involved in writing TFMs. Its
128. objectives are (1) to provide guidance to manufacturers on how to document
129. functions of trusted facility management implemented by their systems and
130. (2) recommend a TFM structure, format, and content that would satisfy the
131. TCSEC requirements. The recommendations made herein should not be
132. considered as the only means to satisfy the TCSEC requirements.
133. Additionally, this document contains suggestions and recommendations
134. derived from the TCSEC objectives but which are not required by TCSEC in
135. the TFM area. For example, the TFM may include documentation required by
136. the TCSEC in the areas of System Architecture, Design Documentation, and
137. Trusted Distribution. The inclusion of this documentation in a TFM instead
138. of other separate documents is optional. 
139.  
140. Scope and Contents
141.  
142. The TFM should give specific guidance to administrative users on how to
143. configure, install, and operate a secure computer system, and should
144. clearly illustrate the intended use of all security features, citing
145. actual system commands and procedures. Although a high level of detail in
146. illustrating key security concepts would benefit administrative users, the
147. TFM cannot be considered to be, nor can it be, a training manual in the
148. area of computer security in general, nor in the area of system
149. administration in particular. Instead, the TFM user is assume to have some
150. familiarity with the notion of trusted systems within the realm of
151. computer security. The TFM will provide the user with detailed information
152. on how to administer and operate a specific trusted system in a secure
153. manner. 
154.  
155. Many different organizations of the TFM are possible. For example, an
156. acceptable TFM format would provide a separate section describing specific
157. security responsibilities of any separate administrative roles, such as
158. those of the security administrator, auditor, system programmer, operator,
159. that are supported in the system; available commands for each role; use of
160. each command; parameter and default settings; specific warnings and advice
161. regarding the use of functions, privileges and databases of that role; and
162. the specific responsibilities of that role for TCB security. Use of this
163. format is advisable for manuals of systems in higher security classes,
164. namely B2, B3, and A1, where separation of administrative roles is
165. required. 
166.  
167. An equally acceptable TFM organization and section format would provide a
168. separate section for each functional requirement area of the TCSEC,
169. namely, for security policy (e.g., Discretionary Access Control (DAC),
170. Mandatory Access Control, (MAC) ), accountability, and TCB protection.
171. Each section would include available commands, system calls, and
172. procedures relevant to that area; use of each command (including the
173. effects of each command when used by different administrative roles);
174. parameter and default settings; and specific warnings and advice regarding
175. the use of functions, privileges, and databases available to commands of
176. that area. Use of this alternate format is advisable for lower security
177. classes, namely C1-B1, where the TCSEC does not mandate any separation of
178. administrative roles. Either of the two alternate TFM formats mentioned
179. above is equally acceptable for all TCSEC security classes as long as the
180. TFM satisfies the TCSEC requirements Furthermore, other TFM formats would
181. also be acceptable as long as they satisfy the stated TCSEC requirements.
182. The TCSEC neither requires nor suggests a specific TFM format. 
183.  
184. This guideline contains eight additional sections. Section 2 defines the
185. security and accountability policies and mechanisms of systems. Section 3
186. identifies and explains the security-relevant and security-irrelevant
187. functions of an administrator. Section 4 identifies and explains the use
188. of TCB commands and interfaces used by administrative users. Section 5
189. defines day-to-day routine operations performed by administrative users
190. and the security vulnerabilities of these operations. Section 6 identifies
191. all TCB security and integrity responsibilities of administrative users.
192. Section 7 presents recommendations for writing the TFM that satisfy the
193. requirements of the TCSEC. Section 8 is a glossary. Section 9 lists the
194. references cited in the text. Each section consists of three parts: a
195. statement of purpose, an explanation of how that purpose can be achieved,
196. and an outline summarizing the recommendations made. 
197.  
198. These guidelines apply to computer systems and products built or modified
199. with the intention of satisfying the TCSEC requirements. 
200.  
201. Control Objectives 
202.  
203. The control objectives for the TFM are similar to those of other
204. documentation areas of the TCSEC. They refer to what should be documented
205. in a particular area, such as the trusted facility management, and how
206. this documentation should be structured. Thus, the control objectives for
207. writing the TFM are: 
208.  
209.      (1) the TFM shall address all the requirements specified by the TCSEC
210.      that are relevant to it; and 
211.      (2) the TFM shall provide detailed, accurate information on how to: 
212.           ₧ configure and install a specific secure system; 
213.           ₧ operate a system in a secure manner; 
214.           ₧ avoid pitfalls and improper use of administrative functions
215.           that would compromise system and user security. 
216.  
217. TFM Introduction
218.  
219. The purpose of this section in the TFM is to explain the scope, use, and
220. contents of the TFM of a particular system. In general, the scope of the
221. TFM should include explanations of how to configure and maintain secure
222. systems, administer and operate them in a secure manner, make effective
223. use of the system's privileges and protection mechanisms for
224. administrative use, and avoid pitfalls and misuse of administrative
225. authority. Depending on the particular computer system, the complexity of
226. trusted facility management may differ and thus the scope of the TFM may
227. differ accordingly. For example, in large systems, system configuration
228. and installation is a complex activity described in a separate system
229. administration manual that may, or may not, include the other important
230. areas of the TFM. In contrast, system configuration and installation is a
231. relatively simple activity defined in a single chapter of a TFM for a
232. small system, such as a multiuser workstation. 
233.  
234. The introduction to the TFM should also discuss the recommended use of the
235. manual. In particular, this section should define the skills and general
236. computer systems and security background assumed for administrative
237. personnel. This is necessary because different administrative functions
238. require different levels of skill. For example, an individual in the
239. system programming staff that configures, installs, and maintains the TCB
240. code often needs considerably more technical skills than an individual in
241. the accounts management staff. Similarly, a security administrator needs
242. more detailed knowledge of the system security policy and accountability
243. than individuals assigned to operator's roles. The definition of required
244. skills and background is important in aiding the management of a
245. particular organization in assigning appropriately trained individuals to
246. various administrative tasks. 
247.  
248. In defining the use of the TFM, the introductory section should also
249. include a list of other system manuals that may be consulted by the
250. administrative staff. For example, most administrators may benefit from an
251. understanding of the Security Features User's Guide (SFUG). Most system
252. designs use the DAC mechanisms described in the SFUG for protection of, at
253. least, some administrative files, and may use the trusted path mechanism
254. to prevent spoofing of administrative commands. Similarly, whenever manual
255. sections that logically belong in the TFM are in fact provided in other
256. manuals ? system configuration and installation manuals, and system
257. reference manuals containing descriptive top-level specifications (DTLSs)
258. of commands and interfaces used by administrative usersthe TFM
259. Introduction should include references to these additional manuals. The
260. TFM should place the references to these manuals in context and provide a
261. brief extract of the relevant information from the specific manual
262. citation. This citation would help narrow the reader's focus to a few
263. pages of the referenced manual. Furthermore, references to documents,
264. manuals, and standards that may be beneficial to some administrative
265. personnel, such as password management and use guidelines and standards,
266. should be made in this section. References to educational and training
267. documents that are helpful to administrative personnel may also be
268. included here. 
269.  
270. The TFM writer may also want to define the limitations of the TFM in terms
271. of security scope. For example, some security issues such as personnel
272. background verification, assignment and maintenance of users' trust
273. levels, physical system and environmental security, proper use of
274. cryptographic techniques and devices, and procedures that assign
275. individuals to administrative roles, generally fall outside the scope of
276. TFM definition. Explicit recognition of such limitations enables the
277. management of a secure facility to plan countermeasures for areas of
278. vulnerability not countered by the trusted systems. 
279.  
280. Finally, the introductory section of the TFM should include a "road map"
281. defining the contents of each TFM section and possibly the relationships
282. between various manual sections. This road map may also identify the
283. self-contained sections of the manual that can be read independently of
284. other sections. 
285.  
286. In summary, the introductory section of the TFM should include: 
287.  
288. Scope of the manual
289.  
290.      ₧ guide the configuration and installation of secure systems; 
291.      ₧ guide the operation of a system in a secure manner; 
292.      ₧ enable administrative personnel to make effective use of the
293.      system's privileges and protection mechanisms; 
294.      ₧ issue warnings about possible misuse of administrative authority. 
295.  
296. Recommended use of the manual
297.  
298.      ₧ review skills and systems background necessary for administrative
299.      personnel; 
300.      ₧ suggest additional manuals, reference material, and standard,
301.      needed by administrative personnel; 
302.      ₧ specify the limitations of security scope; 
303.  
304. TFM contents
305.  
306.      ₧ contents of each section; 
307.      ₧ section relationships. 
308.  
309. SYSTEM SECURITY OVERVIEW
310.  
311. The purpose of this section of the TFM is to define the security and
312. accountability policies and mechanisms of the system that are designed to
313. counter a set of perceived threats. The focus of this section should be on
314. the administrative-user functions available to counter threats, the
315. privileges and protection mechanisms available to administrative users,
316. and the general vulnerabilities associated with actions of administrative
317. users. This section should also include a list of dependencies on other
318. security measures, such as those for the maintenance of physical security,
319. which, although not required by the TCSEC, should be taken into account by
320. the management of the system installation and by system accreditors. 
321.  
322. Threats
323.  
324. Examples of the general security threat handled by systems built to
325. satisfy a TCSEC class is that of unauthorized disclosure of information
326. through either unauthorized direct or indirect access to system and user
327. objects through system failures, subversion, and TCB tampering or through
328. use of covert channels. The manual should describe some of the common
329. attacks that cause unauthorized disclosure of information, in the context
330. of the specific system. These examples might include the use of Trojan
331. horses in untrusted shared programs, the use of covert channels by
332. untrusted users and applications, the use of known penetration methods
333. that cause unauthorized disclosure of sensitive or proprietary
334. information, and the misuse of access authorization to retrieve and
335. disclose sensitive information (e.g., insider attacks). 
336.  
337. Countermeasures 
338.  
339. Countermeasures Based on Security and Accountability Policies and
340. Procedures 
341.  
342. This section of the TFM should include a brief discussion of the
343. protection mechanisms available in the system that help counter the
344. threats defined in the above section. This discussion should serve as a
345. summary of the protection philosophy used in the design and implementation
346. of the protection mechanisms and should include a presentation of the role
347. of security policy (both discretionary and mandatory policy, if any),
348. accountability, and assurance (both operational and life-cycle assurance).
349. The dependency of the system security mechanisms on administrative-user
350. actions should be emphasized here. 
351.  
352. This section should point out clearly the types of threats that can, or
353. cannot, be countered by a specific policy or mechanism. For example, this
354. section should state that DAC mechanisms cannot, and are not meant to,
355. prevent or contain threats posed by Trojan horses implementing time bombs,
356. trap doors, or viruses placed in shared, untrusted applications [2]. DAC
357. mechanisms cannot, nor are they meant to, detect or prevent access
358. performed by an authorized subject on behalf of an unauthorized subject
359. (e.g., the surrogate access problem [3]). Furthermore, DAC mechanisms are
360. not, nor were they ever claimed to be, capable of controlling information
361. (as opposed to access privilege) flows. Only MAC can handle these
362. problems. 
363.  
364. This section should discuss, in the context of the specific system, the
365. role of specific accountability mechanisms and policies in countering
366. security threats not handled by access control mechanisms. An example is
367. the use of audit mechanisms to complement access control mechanisms in the
368. sense that they can detect attacks initiated by authorized users (i.e., by
369. "insiders"), or that trusted-path mechanisms are required to prevent
370. spoofing, a threat not usually countered by access control mechanisms or
371. policies. 
372.  
373. The emphasis in describing the above-mentioned threats and countermeasures
374. should be on the identification of the TCB mechanisms and policies that
375. counter a specific threat. For example, the summary of the countermeasures
376. supported by the system should include the basic assertion (and in other
377. design documents, the justification) that the TCB itself is
378. noncircumventable and tamperproof. Additional points of emphasis may be
379. that all countermeasures supported in the system require the interaction
380. of both access control and accountability mechanisms, and that these
381. mechanisms should be employed by both ordinary and administrative users.
382. This section should provide examples of interaction between ordinary and
383. administrative user decisions to illustrate both the positive and negative
384. consequences of such interaction. 
385.  
386. Explicit Physical Security Assumptions
387.  
388. The TCSEC does not include requirements for physical security of the
389. system installation. However, the TFM should include a section or a
390. subsection that states the physical security assumptions made by the
391. system designers. These assumptions should be satisfied by the management
392. of the organization responsible for deploying the system, as the
393. evaluation of physical security is the responsibility of the system's
394. accreditors. 
395.  
396. The explicit inclusion of the physical security assumptions made by
397. designers in the TFM will provide the accreditors with the necessary input
398. for the deployment of the system in different operational environments and
399. provide the administrative users an important input for the sound
400. definition of the system security profile. For example, systems that do
401. not provide trusted paths for administrative users usually assume that a
402. set of terminal ports is reserved for the connection of administrative
403. consoles that are physically separated from the rest of the user terminals
404. for the entire lifetime of the system. Also, a common assumption is that
405. the system definition of the security profile ensures that the level of
406. trust associated with the physical environment containing a system's
407. peripheral will always dominate the maximum sensitivity associated with
408. that peripheral. Similarly, this section should emphasize that systems
409. allowing legitimate users to access their components (e.g., removable
410. media) should be used only in environments where both administrative and
411. ordinary users are trusted to access all data in the system and are
412. trusted not to misuse their physical access permissions. (In such
413. environments, the use of untrusted applications may still require the use
414. of trusted systems even though all users are trusted to access all data.)
415. In systems that do not allow users to access the system components, or
416. when the above level of user trust cannot be guaranteed, the TFM should
417. suggest the physical controls necessary to counter, or deter, the
418. potential threat of physical access to system components. The presentation
419. of the physical security assumptions made by system designers should
420. enable accreditors to determine the security risks and exposures assumed
421. by system use as well as the required countermeasures. 
422.  
423. Protection Mechanisms Available to Administrative Users
424.  
425. The security of any system depends directly on the security of the
426. administrative commands, interfaces, and databases. For this reason,
427. administrative commands, privileges, and databases shall be protected from
428. ordinary users, and in some TCSEC security classes, shall be separated on
429. a role basis. This section should identify the protection mechanisms
430. available to administrative users to ensure that these users are aware of
431. the means available to control access to their commands, privileges, and
432. databases. 
433.  
434. All protection mechanisms that can be manipulated by ordinary users are
435. also usually available to administrative users. For example, all user
436. identification and authentication, and DAC mechanisms are available to
437. administrative users. In addition to mentioning these mechanisms, which
438. the SFUG already defines, this TFM section should include the description
439. of the mechanisms available only to the administrative users and the mode
440. of their safe use. For example, the use of special trusted-path mechanisms
441. based on physically protected, hard-wired consoles, which may allow the
442. invocation of command processors available only to administrative users,
443. and the use of audit mechanisms to detect potential intrusion by
444. authorized users, are only a few of the protection mechanisms specific to
445. administrative users [7]. 
446.  
447. Security Vulnerabilities and Warnings
448.  
449. This section should describe the security vulnerabilities of
450. administrative commands and procedures, and should suggest specific ways
451. to counter them. Reference [7] cites generic examples of common
452. vulnerabilities of administrative roles and role-specific vulnerabilities.
453. In addition to similar examples, this TFM section should include a
454. discussion of system-specific vulnerabilities and countermeasures required
455. in the assumed environments of system use. 
456.  
457. In any system, design and implementation assumptions are made about
458. administrative actions and their sequence of use. For example, the loading
459. of a system during the installation phase, and the installation itself,
460. may require the use of special administrative commands in a specific
461. sequence. The definition of a user security profile may require that
462. administrators do not reuse user and group identifiers, and that the
463. definition of the system security profile prohibits the reuse of bit
464. encodings of sensitivity levels without careful analysis of consequences.
465. Other potential vulnerabilities, such as those resulting from
466. mismanagement of audit logs and postprocessing of files (in on-line,
467. off-line, and hard-copy form) should also be explained here. Design and
468. implementation assumptions should be stated explicitly in this section to
469. ensure that administrative users are aware of the negative consequences of
470. not satisfying these assumptions. 
471.  
472. Separation of Administrative Roles
473.  
474. Security classes B2-A1 of the TCSEC require that the roles of the
475. administrative users be separated. This requirement means that the
476. commands, procedures, privileges, and databases of the various
477. administrative roles shall be separated by system design and shall be
478. documented as such. Role separation of classes B3 and A1 also requires the
479. separation of security-relevant functions from the security-irrelevant
480. ones. Reference [7] cites the rationale and the means of achieving role
481. separation in trusted systems. 
482.  
483. The TFM shall define each separate role supported by the system. Each role
484. should be clearly defined in terms of the commands and TCB interfaces
485. available to the role, the use of each command, the command effects and
486. exceptions (whenever these are not defined in the DTLS of the TCB),
487. parameter and default settings, specific warnings for the command use, and
488. advice. The TFM should also define the specific security mechanisms used
489. to protect privileged commands and data used by administrators. 
490.  
491. In summary, the TFM section presenting the system security overview for
492. administrative users should include the following subsections: 
493.  
494.      2.1 Threats to System Security 
495.      2.2 Countermeasures Based on Security Policy and Accountability 
496.      2.3 Explicit Physical Security Assumptions 
497.      2.4 Protection Mechanisms Available to Administrative Users 
498.      2.5 Security Vulnerabilities of Administrative Users and Warnings 
499.      2.6 Separation of Administrative Roles (for classes B2-A1) 
500.  
501. SECURITY POLICY
502.  
503. The purpose of this section is to identify and explain the
504. security-relevant and security-irrelevant functions of the administrators.
505. In particular, this section should explain, in the area of
506. security-relevant functions, the use of the TCB commands and interfaces by
507. administrative users to initialize discretionary access privileges, to set
508. default user accesses to system objects after user registration, and to
509. distribute, review, and revoke access privileges on behalf of users in
510. systems that implement DAC in a centralized way [2]. In systems that
511. support MAC, this section also identifies and explains the use of TCB
512. commands and interfaces by administrators to define and change the system
513. security profile (e.g., the system-sensitivity map, sensitivity level
514. limits for system devices, and file systems), to define and change object
515. sensitivity levels (e.g., label imported, unlabeled data, and media), and
516. to change the trust level of active subjects, whenever such a function is
517. supported. This section also should define the administrator's interfaces
518. for other functions related to the support of DAC and MAC, such as
519. changing object ownership, restoring privileges deleted accidentally,
520. destroying errant processes, running consistency checks on system and user
521. security profiles, and managing user accounts. 
522.  
523. Reference [7] outlines the role of the security administrators in support
524. of the security policy defined in a system. The TFM should specify the
525. commands, system calls, functions, their parameters and default settings
526. provided for each area of security policy and support, and should provide
527. examples of use, potential misuse, and security implications of command
528. misuse. For example, the TFM should explain how the administrator can
529. change the sensitivity label of an object or a subject, and cite the
530. expected security consequences of such action and also how the
531. administrator may determine the consequences of such a change in the given
532. system. Similarly, the administrator may decide to reuse a binary
533. representation of a sensitivity level to define a new sensitivity level.
534. For this process, the manual shall state the circumstances in which this
535. change is allowed, if ever, and should explain the conditions under which
536. this change is safe. All commands, system calls, and functions should be
537. defined in terms of their effects, exceptions, and parameters. The use of
538. commands should be illustrated by examples showing the correct settings of
539. various command options. This section should describe the recommended
540. reactions of the administrator to such exceptions (unless these reactions
541. are already described in the call/command DTLS). 
542.  
543. The administrative functions and interfaces used in supporting the
544. security policy have potential vulnerabilities. Reference [7] outlines
545. some of these generic vulnerabilities. The TFM shall include warnings of
546. all known specific vulnerabilities in the given system and possibly
547. suggest means of reducing system risk associated with such
548. vulnerabilities. Minimally, the TFM should specify the dependencies of the
549. administrative roles on external policies and procedures that would help
550. reduce system risk associated with identified vulnerabilities. 
551.  
552. In summary, the security policy section of the TFM should include the
553. following subsections (whose contents are discussed in more detail in
554. reference [7]): 
555.  
556. Discretionary Access Control 
557.  
558.      ₧ TCB commands and interfaces used to initialize DAC privileges and
559.      defaults; 
560.      ₧ TCB command interfaces to distribute, review, and revoke user
561.      privileges in systems that support centralized DAC; 
562.      ₧ group membership definition and impact on DAC. 
563.      ₧ change of object ownership (if any), restoration of accidentally
564.      deleted privileges, destruction of errant processes; 
565.  
566. Mandatory Access Control
567.  
568.      ₧ TCB commands and interfaces to define and change system security
569.      profile; classify, reclassify and import objects; and change trust
570.      level of active subjects; 
571.      ₧ consistency checking of system security and user profiles. 
572.  
573. Management of User Accounts
574.  
575.      ₧ definition and deletion of user and group accounts and identifiers.
576.  
577. Command System Call and Function Definitions
578.  
579.      ₧ effects and exceptions (if not defined in DTLSs); 
580.      ₧ parameter and default settings; 
581.      ₧ examples of command use and potential misuse. 
582.  
583. Warnings of Specific Vulnerabilities of Administrative
584. Procedures and Activities Related to Security Policy. 
585.  
586. ACCOUNTABILITY
587.  
588. Identification and Authentication Functions of
589. Administrative Users
590.  
591. The purpose of this section is to identify and explain the use of TCB
592. commands and interfaces that should be used by administrative users to set
593. up user security profiles, and to determine authentication and
594. authorization parameters associated with the user identification and
595. authentication mechanism. Reference [7] defines the role of the security
596. administrator in the identification and authentication area. The TFM shall
597. specify the commands, system calls and functions, and their parameters and
598. default settings that are provided by the specific system, and should
599. provide examples of the use,or potential misuse of these commands, and the
600. security implications of command misuse. For example, the TFM should
601. explain how the administrator can initialize user passwords, can
602. distribute special passwords to other administrative users, and set up
603. account restrictions (e.g., restricted time intervals for login, account
604. cutoff). The commands that allow the definition of user and group
605. identifiers shall include an explanation of how these identifiers should
606. be chosen, why they should not be reused, and what the consequences of
607. identifier reuse are. 
608.  
609. In most systems, the setting of the user security profile also includes
610. the definition of some discretionary privileges associated with the user
611. account. For example, in systems that use groups to enforce DAC policies,
612. administrators define the group membership. The TFM shall explain the
613. consequences of adding or deleting a user identity to a group in terms of
614. the added or lost discretionary privileges, and provide appropriate
615. warnings. In systems where the user security profile also includes the
616. specification of the maximum level of trust for each user, the TFM shall
617. also discuss the security implications of incorrect definition or change
618. of these levels and the interactions between these levels and the
619. sensitivity levels of various system components (defined in the system
620. security profile). It should also include examples of and warnings about
621. such changes. 
622.  
623. The commands available to system administrators also include those to
624. define and change the parameters of the login/logout mechanism used by a
625. system. Consequently, the TFM should explain how to define these
626. parameters, which include the time-out period, multiple login attributes,
627. maximum login time, and limits on unsuccessful logins from a terminal or
628. into an account [7] (e.g., specific commands, command options, formats,
629. parameter ranges, and default values). Whenever the trusted path
630. mechanisms available to administrative users require special procedures,
631. such as use of specific hard-wired consoles, the TFM shall specify how the
632. administrative users can use the trusted path mechanism in a secure
633. manner. 
634.  
635. The TFM shall also explain the implications of the system security profile
636. definition in providing authorization data for user logins. For example, a
637. terminal's maximum and minimum sensitivity levels provide cutoff values
638. for whether a certain user login level can be used and whether a certain
639. user with a given user and group level clearance can log in at all from a
640. given terminal. The relationship between the terminal minimum's and
641. maximum's sensitivity levels and the user's clearance level shall be
642. explained so that consistent levels can be defined for both terminal
643. sensitivity and user level of trust. 
644.  
645. Finally, administrator commands for temporarily terminating an user access
646. to the system and for permanently deleting the user account shall be
647. defined, and the implications of such actions defined. This section should
648. also include warnings about potential vulnerabilities, such as object
649. ownership set to the identity of an user or account that is no longer
650. valid, or the reuse of an old identifier, that persist when a user account
651. is not deleted correctly or completely, and examples of such
652. vulnerabilities [7]. 
653.  
654. For all administrative commands defined in this and other system security
655. areas, this TFM section should include an explanation of all exceptions
656. and, possibly, a administrator's recommended response to these exceptions.
657. (This reaction may already be described in the system call/command DTLS).
658. All administrative databases that are accessed by these commands should be
659. identified showing how they are, or can be, protected. All mechanisms
660. available for the protection of the identification and authentication data
661. shall be clearly explained. The use of these mechanisms should be
662. illustrated by examples. 
663.  
664. Audit
665.  
666. The purpose of this section of the TFM is to familiarize administrative
667. users with the TCB commands and interfaces of the system's audit
668. mechanism. These commands include those that enable or disable the audit
669. selectivity mechanism (e.g., audit-event setup and change), those that
670. help manage the audit trails (logs), those that perform data compression
671. and post processing analysis, and in classes B2?A1, those that set correct
672. channel delays and randomize variables. 
673.  
674. Some system includes a set of audit events that should always be selected
675. for audit to ensure the consistency of subsequent events selected by the
676. auditor and the proper functioning of the postprocessing tools. These
677. events should be explicitly highlighted for special discussion in the list
678. of auditable events supported by the system. The complete list of events
679. shall be defined in the TFM. The audit selection mechanism should also be
680. presented, and examples of use should be provided. Commands of the audit
681. selectivity mechanism include those that turn on and off events on a
682. per-user, per-process, per-terminal, per-sensitivity-level, or per-object
683. basis. In TCSEC classes B3 and A1, the commands that turn on and off
684. events representing accumulations of other auditable events and
685. audit-system alarms (if any) shall also be presented. 
686.  
687. Systems that support audit mechanisms include commands that help manage
688. the audit files. These commands, which include those to create new and
689. destroy old audit logs, to change audit log size and warning points, to
690. display, format, and compress audit data, and to check the consistency of
691. the audit database after crashes, and when these changes take effect,
692. shall also be included in the TFM. The procedures that shall be used by
693. auditors to ensure that the audit files do not overflow shall also be
694. presented. The format in the audit log file of each record field and of
695. each type of auditable event shall be presented and explained. Commands
696. for postprocessing of audit logs (if any) shall also be included in the
697. TFM. 
698.  
699. Systems designed to satisfy the B2 - A1 security requirements need to have
700. covert channels restricted to certain limits. One means of reducing covert
701. channel bandwidths is by placement of delays and by setting of
702. randomization variables in system kernels and trusted processes. Commands
703. that accomplish this task should be presented in the TFM of these systems
704. along with a description of the covert channel handling policy recommended
705. for enforcement. These recommendations should be derived from the
706. covert-channel analysis guideline of the TCSEC and are important because
707. they affect not only the security policy and the accountability areas of
708. the system, but also system performance. Reference [7] defines the
709. administrative functions necessary to support audit activities. As
710. suggested in the covert channel guidelines of the TCSEC, bandwidth
711. reduction policy should be coordinated with audit policy. For this reason,
712. the TFM should present the bandwidth reduction policy in the same section
713. with that presenting the audit policy. 
714.  
715. Recommendations on audit procedures should also be included in the TFM.
716. These procedures would suggest auditing groups of specific events that may
717. reveal misuse of access privileges, potential system-penetration attacks,
718. and covert channel usage. They may also suggest the frequency of audit
719. review and provide advice on how to manage audit files on-line and
720. off-line. 
721.  
722. For commands used by administrative users for audit, the TFM should
723. include a description of their effects and exceptions, and should provide
724. examples of use, potential misuse, and security implications of command
725. misuses. Recommendations for administrator's reactions to command
726. exceptions should also be made. Reference [7] provides examples of
727. vulnerabilities caused by misuse of audit command and authority. These
728. examples include loss of audit log consistency, loss of audit logs, loss
729. of user privacy, and various forms of denial of service. Specific
730. instances of vulnerability in a given system and possible suggestions for
731. reducing the system's exposure to such vulnerabilities should also be
732. included in the audit section of the TFM. 
733.  
734. In summary, the accountability section of the TFM should include the
735. following subsections: 
736.  
737. Identification and Authentication
738.  
739.      ₧ TCB commands and interfaces for setting up user security profiles
740.      and authentication and authorization parameters of the login
741.      mechanism; 
742.      ₧ password distribution to ordinary and administrative users,
743.      management of password generation, and protection of passwords; 
744.      ₧ account restrictions (e.g., restricted time intervals for login,
745.      and account cutoffs); 
746.      ₧ choice of user and group identifiers; 
747.      ₧ maximum levels of trust for users and groups; 
748.      ₧ computation of the current level of trust for subjects (e.g.,
749.      subject's clearance). 
750.  
751. Definition and Change of System Parameters of the Login
752. Mechanism and when they take effect
753.  
754.      ₧ timeout interval; 
755.      ₧ multiple login attributes; 
756.      ₧ maximum login time; 
757.      ₧ limits on unsuccessful logins from a terminal or to an account; 
758.      ₧ use of special trusted path mechanisms for administrative users. 
759.  
760. Audit Mechanism
761.  
762.      ₧ audit-event selection mechanisms (e.g., audit-event setup and
763.      change); 
764.      ₧ management of audit logs (e.g., protections of audit logs); 
765.      ₧ functions for formatting, compressioning, and postprocessing of
766.      audit files; 
767.      ₧ interfaces for setting of covert channel delays and randomization
768.      of variables; 
769.      ₧ description of audit log and event formats. 
770.  
771. Commands, System Calls and Function Definition
772.  
773.      ₧ effects and exceptions of each command of the accountability area
774.      (if not defined in DTLSs); 
775.      ₧ parameter and default settings; 
776.      ₧ examples of use and potential misuse. 
777.  
778. Warnings of Specific Security Vulnerabilities of
779. Administrative Activities and Procedures Related to
780. Identification, Authentication, Trusted Path and Audit
781.  
782. 5 ROUTINE OPERATIONS
783.  
784. The purpose of this section of the TFM is to define the routine operations
785. performed by administrative users, describe the operation's security,
786. describe the vulnerabilites associated with these operations, and provide
787. appropriate warnings. These operations are carried out, in most cases, by
788. execution of appropriate commands from a system console. However, in some
789. instances, these operations involve manipulation of physical devices, such
790. as printers, storage devices, removable media, communication switches, and
791. modems. For this reason, this TFM section may differ from the rest of the
792. TFM. It should contain not only definitions of specific commands and TCB
793. interfaces, but also procedures and policies for secure use and
794. manipulation of hardware devices. 
795.  
796. Routine operations of administrative personnel include both
797. security-relevant and security-irrelevant operations. Security-relevant
798. functions include those that boot and shut down the system, set system
799. clocks, identify damaged user volumes and files, perform TCB backups and
800. on-line device tests, run system integrity tests, and respond to user
801. requests to mount/unmount volumes. Routine security-irrelevant operations
802. include those that perform system metering, and that require operator
803. response to various user requests [7] 
804.  
805. This section the TFM should include a description of each command used for
806. routine operations, including its effects and exceptions, and should
807. provide examples of use, potential misuse, and security implications of
808. command misuse. Examples of vulnerabilities of security-relevant, routine
809. operations include the booting of an old version of the TCB, causing
810. inconsistency problems for users; system shutdown while still in normal
811. operation causing loss of files and file system inconsistencies; and
812. inadequate use of devices and device interfaces (e.g., printers). 
813.  
814. This section the TFM should also include descriptions of administrative
815. commands that perform security-irrelevant routine operations. These
816. commands include those traditionally performed by account administrators,
817. such as commands used for maintenance of accounting files, for turning on
818. and off accounting, for running accounting tools, for collecting
819. statistics of system and resource usage, and billing information. 
820.  
821. Administrative policies and procedures that define security-relevant
822. handling of devices shall also be included in the TFM. For example,
823. procedures to install, activate, and set the current sensitivity level of
824. a printer within the predefined range should be defined, and examples of
825. the installation procedure should be given. 
826.  
827. In summary, the TFM section defining the routine administrative operations
828. and procedures should include the following subsections: 
829.  
830. Security-Relevant Procedures and Operations
831.  
832.      ₧ running of system diagnostics; 
833.      ₧ system boot and shutdown; 
834.      ₧ setting of system clocks; 
835.      ₧ identification of damaged user files and volumes; 
836.      ₧ routine backup of TCB files; 
837.      ₧ on-line device testing; 
838.      ₧ response to user requests to mount/unmount volumes; 
839.      ₧ handling of peripheral devices, removable storage, and output
840.      (e.g., printers, printer output, diskpacks, tape reels). 
841.  
842. Security-Irrelevant Procedures and Operations
843.  
844.      ₧ back-up of user volumes; 
845.      ₧ system metering; 
846.      ₧ response to various user requests; 
847.      ₧ user account administration. 
848.  
849. Commands, System Calls and Function Definitions
850.  
851.      ₧ effects and exceptions of each command of the routine operations
852.      area (unless defined in the DTLSs); 
853.      ₧ parameter and default settings; 
854.      ₧ examples of use and potential misuse. 
855.  
856. Warnings of Specific Security Vulnerabilities 
857.  
858. Routine Operations
859.  
860. SECURITY OF THE TCB
861.  
862. The two purposes of this TFM section are to identify and explain all
863. aspects of TCB security and integrity that become the responsibility of
864. administrative users. Because the security of all user programs, data, and
865. application subsystems is provided by the TCB, the maintenance of TCB
866. security and integrity is one of the most sensitive administrative
867. functions. 
868.  
869. Maintenance of TCB security spans the entire system life cycle. It
870. includes procedures for strict configuration management during system
871. development and use,and for secure system distribution, installation, and
872. local maintenance. In some cases, administrative users are allowed and
873. required to generate another evaluated version of the TCB from source code
874. (e.g., make changes to the TCB source code and regenerate the TCB on
875. site). In such cases, the TFM shall include detailed descriptions of
876. procedures that generate a new TCB version from source code, the necessary
877. system commands, the list of approved tools (e.g., compilers, linkers,
878. loaders) for TCB generation, examples of command use, warnings of possible
879. problems in generating a new TCB, vulnerabilities that may affect TCB
880. security, and configuration management. 
881.  
882. The TFM shall also provide, or reference a separate document that
883. provides, a description of command exceptions, appropriate warnings, and
884. possible exception handling advice. The TFM should also provide, or
885. reference a separate document that describes, the configuration management
886. tools. The TFM shall include descriptions of the procedures that must be
887. followed by site administrators to install new releases of the TCB. 
888.  
889. TCB security may be violated during installation and maintenance (see
890. [7]). For this reason, the TFM shall provide a description of the TCB
891. installation procedures, including the required commands, exceptions,
892. parameter settings, required system configuration, warnings, and advice.
893. The installation procedures should contain descriptions of the TCB data
894. structures that must be initialized by the user, and of the TCB loading.
895. Also, the installation procedures should include a list of tools (e.g.,
896. editors, loaders) approved for TCB installation and an appropriate
897. description of secure installation assumptions (e.g., administrative
898. procedures, such as those that require physical audit of the installation
899. procedure by independent personnel). 
900.  
901. All TCB maintenance procedures shall be defined in the TFM. These
902. procedures should include analyzing system "dumps" after crashes,
903. conducting crash-recovery and restart actions, performing consistency
904. checking of TCB files and directories, changing system configuration
905. parameters (e.g., table sizes, devices, and device drivers), running
906. periodic system integrity checks, and repairing damaged labels. A list of
907. the approved tools for TCB maintenance, relevant commands, exceptions,
908. warnings, and advice should also be included in this section. 
909.  
910. The ability to install and maintain a system's TCB in a secure manner
911. requires that administrative users be cognizant of all TCB modules.
912. Administrators should especially be cognizant of those hardware modules
913. containing the reference monitor mechanism, and of all the of default file
914. protections for TCB files or objects. If available, the command needed to
915. run a tool that checks the correct privilege and sensitivity-level
916. initialization for TCB files or objects shall be identified and its use
917. illustrated. Thus, either the TFM itself shall provide a list of all TCB
918. modules, including their interfaces, and shall specify the TCB file or
919. object privileges necessary to protect the TCB or the TFM shall list a
920. separate document that does. 
921.  
922. The TFM shall include warnings and advice on how to handle both generic
923. and system-specific vulnerabilities (if any) of TCB installation and
924. maintenance. For example, administrative users should be warned that
925. interchanges of dedicated-console and user-terminal communication lines
926. can cause potential loss of trusted path for administrative users, that
927. placement of extraneous code in the TCB configuration may result from
928. using an unapproved tool, and that running a borrowed untrusted program
929. under administrative identity may cause an untold number of TCB security
930. problems [7]. 
931.  
932. Finally, the TFM shall include a description of policies and procedures
933. that define the distribution procedures for a trusted system (i.e., a
934. class A1 requirement). These policies and procedures shall be used to
935. maintain the integrity of the mapping between the master copy defining the
936. current version of the TCB and the on-site installed copy. 
937.  
938. In summary, the TFM section that defines the security measures necessary
939. for protection of the TCB should include the following subsections: 
940.  
941. Generation of the TCB Source Code
942.  
943.      ₧ list of TCB code modules, module interface and data (including
944.      modules of the reference monitor); 
945.      ₧ list of approved tools for TCB generation; 
946.      ₧ procedures for TCB generation; 
947.      ₧ vulnerabilities. 
948.  
949. Configuration Management Policy 
950.  
951. (if required, reference to a separate configuration management document) 
952.  
953. Ratings-maintenance Plan 
954.  
955. (if applicable, reference to a separate rating mainenance document) 
956.  
957. TCB Installation Procedure
958.  
959.      ₧ TCB generation from source code (whenever allowed by the system
960.      manufacturer); 
961.      ₧ TCB hardware installation; 
962.      ₧ TCB data structure initialization; 
963.      ₧ TCB loading; 
964.      ₧ setting of TCB file protection; 
965.      ₧ list of approved tools. 
966.  
967. TCB Maintenance Procedures
968.  
969.      ₧ analysis of system dumps; 
970.      ₧ crash recovery and restart; 
971.      ₧ changes of configuration parameters; 
972.      ₧ repair of damaged TCB data structures; 
973.      ₧ consistency-checking procedures; 
974.      ₧ running of periodic system-integrity checks 
975.  
976. Trusted Distribution of the TCB 
977.  
978.      ₧ policies and procedures; 
979.      ₧ correspondence between master copy and installed copy 
980.  
981. Commands, System Calls, and Function
982. Definitions for TCB Generation from Source
983. Code, Installation, Maintenance, and Trusted
984. Distribution 
985.  
986.      ₧ effects and exceptions (unless defined in DTLSs); 
987.      ₧ parameter and default settings; 
988.      ₧ examples of use and potential misuse. 
989.  
990. Warnings of Specific Security Vulnerabilities
991. of TCB Generation, Installation, Maintenance,
992. and Distribution
993.  
994. SATISFYING THE TCSEC REQUIREMENTS
995.  
996. This section of the TFM should contain the definition of the TFM
997. requirements on a TCSEC class basis. All of the requirements listed below
998. derive from corresponding documentation requirements and objectives of the
999. TCSEC. Although similar TFM requirements appear in multiple classes, the
1000. contents of TFM sections shall reflect the complexity of policy,
1001. accountability, assurance, and documentation of the evaluation class.
1002. Consequently, this section should contain suggestions and recommendations
1003. that may not be found in the TFM requirements area but that derive from
1004. other TCSEC areas. These suggestions and recommendations illustrate the
1005. added complexity of various TCSEC classes. 
1006.  
1007. Requirements and Recommendations for Security 
1008.  
1009. Class C1
1010.  
1011. The TFM of a C1 class system may have the following structure: 
1012.  
1013. TFM Introduction
1014.  
1015. The TFM introduction may include the following topics: 
1016.  
1017. Scope of the TFM
1018.  
1019.      ₧ guide to configure and install secure systems; 
1020.      ₧ guide to operate a system in a secure manner; 
1021.      ₧ enable administrative personnel to make effective use of the
1022.      system's privileges and protection mechanisms; 
1023.      ₧ issue warnings about possible misuse of administrative authority. 
1024.  
1025. Recommended use of the TFM
1026.  
1027.      ₧ review skills and systems background necessary for administrative
1028.      personnel, suggest additional manuals, reference material, and
1029.      standards needed by administrative personnel; 
1030.      ₧ specify the limitations of security scope; 
1031.  
1032. Contents of the TFM
1033.  
1034.      ₧ contents of each section; 
1035.      ₧ section relationships. 
1036.  
1037. System Security Overview
1038.  
1039. This section of the TFM shall include a brief description of the system
1040. administration vulnerabilities specific to the given system, warnings, and
1041. advice on how to counter these vulnerabilities. 
1042.  
1043. "A manual addressed to the ADP administration shall present cautions about
1044. the function and privileges that should be controlled when running a
1045. secure facility [6]." 
1046.  
1047. The above TCSEC requirement suggests that the administrative functions and
1048. privileges that need to be controlled when running a secure facility shall
1049. be identified, and the vulnerabilities associated with those functions and
1050. privileges shall be determined. Warnings relating to these vulnerabilities
1051. shall be presented. 
1052.  
1053. The administrative functions and privileges that need to be controlled
1054. when running a class C1 secure facility include those supporting security
1055. policy (i.e., DAC), accountability (i.e., identification and
1056. authentication), and operational assurance (i.e., system integrity). 
1057.  
1058. Security Policy
1059.  
1060. This section of the TFM shall include descriptions of the TCB commands,
1061. interfaces, and procedures to: 
1062.  
1063.      ₧ initialize discretionary access privileges and defaults for
1064.      individual users and groups; 
1065.      ₧ distribute, review, and revoke privileges on an individual user or
1066.      group basis; 
1067.      ₧ change object ownership (if any), restore accidentally deleted
1068.      privileges, and kill errant processes; 
1069.      ₧ define and change group membership (whenever groups are supported),
1070.      and explain the effect of such action on DAC; 
1071.      ₧ explain the implications of creating and deleting user and group
1072.      accounts on DAC. 
1073.  
1074.      (For specific DAC requirements, the reader should refer to [2].) 
1075.  
1076. Accountability
1077.  
1078. Identification and Authentication 
1079.  
1080. This section of the TFM shall include descriptions of the TCB commands,
1081. interfaces and procedures to perform the following functions: 
1082.  
1083.      ₧ conduct setup of user/group security profiles,and authentication
1084.      and authorization parameters of the login mechanism; 
1085.      ₧ conduct password management distribution to ordinary and
1086.      administrative users or groups (see [4]); 
1087.      ₧ define account restrictions (e.g., time intervals for login,
1088.      account cutoff time). 
1089.  
1090. This section shall also include descriptions of the definition and change
1091. of login mechanism parameters. These parameters include: 
1092.  
1093.      ₧ types of terminals supported and terminal; interface
1094.      initialization; 
1095.      ₧ time?out interval; 
1096.      ₧ multiple login attributes (if supported); 
1097.      ₧ maximum login time; 
1098.      ₧ limits on unsuccessful logins from a terminal or to an account. 
1099.  
1100. Routine Operations
1101.  
1102. Although the TCSEC does not cite specific requirements in this area, the
1103. TFM should include commands and procedures for the following activities: 
1104.  
1105.      ₧ perform ystem boot and shut down; 
1106.      ₧ set system clocks; 
1107.      ₧ conduct on-line device testing; 
1108.      ₧ perform backup of user volumes; 
1109.      ₧ perform system metering; 
1110.      ₧ response to various user requests. 
1111.  
1112. Security of the TCB
1113.  
1114. This section of the TFM shall include descriptions of the TCB command
1115. procedures that are provided "to validate periodically the correct
1116. operation of the on-site hardware and firmware elements of the TCB."[6] 
1117.  
1118. In all areas of the TFM, and for all security classes where TCB commands
1119. and interface descriptions are required, the TFM shall include: 
1120.  
1121.      ₧ effects and exceptions of each command (if not already defined in
1122.      the DTLS); 
1123.      ₧ parameter and default setting; 
1124.      ₧ examples of potential use and misuse. 
1125.  
1126. In all areas of the TFM, and for all security classes, warnings (i.e.,
1127. cautions) shall be provided for specific security vulnerabilities of the
1128. relevant administrative commands, interfaces, and procedures. Any
1129. modification to the TCB, for all security classes, may invalidate the
1130. systems rating [5]. 
1131.  
1132. Requirements and Recommendations for Security
1133.  
1134. Class C2
1135.  
1136. Security class C2 includes all the TFM requirements of security class C1.
1137. In addition, the following documentation requirements are added. 
1138.  
1139. TFM Introduction
1140.  
1141. No Additional Requirements/Recommendations (NAR) 
1142.  
1143. System Security Overview
1144.  
1145. The first design documentation requirement of TCSEC is that: 
1146.  
1147. "Documentation shall be available that provides a description of the
1148. manufacturer's philosophy of protection and an explanation of how this
1149. philosophy is translated into the TCB."[6] 
1150.  
1151. The above requirement suggests that the system security overview section
1152. should include an additional subsection on security philosophy. This
1153. section should contain a discussion of the security threats that could be
1154. countered by the use of this system, and of specific countermeasures based
1155. on security policy and accountability. 
1156.  
1157. Security Policy 
1158.  
1159. (NAR) 
1160.  
1161. Accountability
1162.  
1163. The second documentation requirement is: "The procedures for examining and
1164. maintaining the audit files as well as the detailed audit record structure
1165. for each type of audit event shall be given [6]. This requirements implies
1166. that the following sections should be added to the accountability area: 
1167.  
1168. Identification and Authentication 
1169.  
1170. (NAR) 
1171.  
1172. Audit
1173.  
1174. The TFM should include a section describing the audit mechanisms, TCB
1175. commands, interfaces, and procedures for the following activities: 
1176.  
1177.      ₧ deterimine audit selection mechanisms; these mechanisms include the
1178.      commands and procedures necessary to display all security-relevant
1179.      auditable events, to select the required and the optional audit
1180.      events, and to turn on and off events selectively on a per-user and
1181.      per-process basis; 
1182.      ₧ conduct audit log management; this activity includes commands and
1183.      procedures to create, save, and destroy saved audit logs; to change
1184.      audit log size and warning point for audit log overflow; to format,
1185.      compress and display audit logs; 
1186.      ₧ protect audit commands and databases; 
1187.      ₧ ensure maintenance of audit consistency; 
1188.      ₧ perform postprocessing of audit data; this is an optional feature
1189.      of a system and of the TFM, and includes mostly application-specific
1190.      commands and procedures for intrusion detection. (However, all of
1191.      these commands and procedures, and also the available tools and their
1192.      protection from unauthorized user access, should be described
1193.      whenever they are provided); 
1194.  
1195. The audit section of the TFM shall include a detailed description of the
1196. audit record structure for each type of audit event and of the entire
1197. audit log. (For specific details of audit requirements, the reader should
1198. refer to [1]). 
1199.  
1200. Routine Operations 
1201.  
1202. (NAR) 
1203.  
1204. Security of the TCB
1205.  
1206. Additional requirement that is relevant to TCB protection is included
1207. here. 
1208.  
1209. Requirements and Recommendations for Security
1210.  
1211. Class B1
1212.  
1213. All TFM requirements of a class C2 system are included here. The
1214. documentation requirements of class B1 suggest significant additions to
1215. the TFM contents beyond those implied by the TCSEC requirements of
1216. security policy and accountability. 
1217.  
1218. The TFM of a class B1 system should include the following additional
1219. documentation: 
1220.  
1221. TFM Introduction 
1222.  
1223. (NAR) 
1224.  
1225. System Security Overview
1226.  
1227. This section should include any additional requirement referring to the
1228. system security overview. That is, this section of the TFM "shall provide
1229. guidelines on the consistent and effective use of the protection features
1230. of the system; [and] how they interact." [6] This suggests that the TFM
1231. should include a discussion of the interaction between the protection
1232. mechanisms and functions available to administrative users and those
1233. available to ordinary users. As mentioned in Section 2 above, this
1234. interaction is particularly important in the areas of security policy and
1235. accountability. 
1236.  
1237. Security Policy
1238.  
1239. The additional security policy requirements of MAC and labeling suggest
1240. that additional administrative responsibilities should be documented in
1241. the TFM. The TFM requirement that "[t]he manual shall describe the
1242. operator and administrator functions related to security,"[6] suggests
1243. that the TFM should include a description of all TCB commands, interfaces
1244. and procedures to perform the following functions: 
1245.  
1246.      ₧ define and change system security profiles; 
1247.      ₧ classify, reclassify, import, and export objects; 
1248.      ₧ perform consistency checks on system and user security profiles. 
1249.  
1250. Accountability
1251.  
1252. Identification and Authentication
1253.  
1254. The B1 requirements mandate the identification and authentication
1255. recommendations of classes C1 and C2 (i.e., they mandate the
1256. identification and authentication on a per-individual-user basis). In
1257. addition, it requires that the TFM includes TCB commands and procedures to
1258. define and change the user (and, possibly, group) levels of trust. It also
1259. requires that the computation of a subject's login level of trust be
1260. included in the TFM. 
1261.  
1262. Audit
1263.  
1264. The additional B1 requirements that shall be included in the TFM
1265. documentation include: 
1266.  
1267.      ₧ a description of how the audit mechanism records any override of
1268.      output markings; 
1269.      ₧ a description of how the TCB commands, interfaces, and procedures
1270.      support audit on a per-object-sensitivity-level basis. 
1271.  
1272. Routine Operations
1273.  
1274.      (NAR) 
1275.  
1276. Security of the TCB
1277.  
1278. The additional TFM requirement in this area is that the TFM "shall provide
1279. guidelines on [...] how to securely generate a new TCB"[6]. 
1280.  
1281. This requirement suggests that the TFM include: 
1282.  
1283.      ₧ a list of approved tools for TCB generation; 
1284.      ₧ a description of procedures for TCB generation; 
1285.      ₧ a description of the vulnerabilities in generating a new TCB. 
1286.  
1287. The B1 requirements of the TFM also state that the TFM "shall provide
1288. guidelines on [...] privileges needed to be controlled in order to operate
1289. the facility in a secure manner" [6]. This implies that the settings and
1290. the defaults for the protection privileges of the TCB files should be
1291. specified. Warnings about the improper setting of such privileges should
1292. be included. 
1293.  
1294. Requirements and Recommendations for Security
1295.  
1296. Class B2
1297.  
1298. All TFM requirements of the class B1 are included here. The documentation
1299. requirements of class B2 suggest additions to the TFM contents beyond
1300. those implied by the TCSEC requirements of security policy,
1301. accountability, and operational assurance. 
1302.  
1303. The TFM of a B2 system should include the following additional
1304. documentation. 
1305.  
1306. TFM Introduction
1307.  
1308. (NAR) 
1309.  
1310. System Security Overview
1311.  
1312. The only additional requirement for inclusion in this section is the
1313. separation of administrative functions into two roles, namely that of the
1314. administrator and that of the operator. Section 3 discusses the
1315. documentation requirements for B2 role separation. 
1316.  
1317. Security Policy
1318.  
1319. The two additional security-policy requirements that should be documented
1320. in the TFM address the areas of subject sensitivity and device labels. The
1321. TFM shall include the TCB commands and procedures to: 
1322.  
1323.      ₧ change the security label of an active subject (if this function is
1324.      provided); 
1325.      ₧ assign and change the device sensitivity levels. 
1326.  
1327. This section of the TFM shall also include a discussion of the security
1328. vulnerabilities associated with change of trust level of an active
1329. subject. Also it shall include a discussion of the relationship between
1330. the device sensitivity levels and the level of trust associated with the
1331. physical environment in which the devices are located. 
1332.  
1333. Accountability
1334.  
1335. Identification and Authentication
1336.  
1337. The only additional TFM requirement here is that of documenting the
1338. trusted-path mechanisms available to administrative users whenever this
1339. mechanism differs from that available to ordinary users (and documented in
1340. the SFUG). 
1341.  
1342. Audit
1343.  
1344. The only additional TFM requirement of the audit area is that of defining
1345. the TCB commands and interfaces for auditing covert channels, for setting
1346. delays in covert channels, and for randomizing covert-channel variables. 
1347.  
1348. Routine Operations
1349.  
1350. The routine operations performed by administrative users should be
1351. presented according to the separation of roles required by the trusted
1352. facility management area of the TCSEC and suggested by [7]. 
1353.  
1354. Security of the TCB
1355.  
1356. The additional TFM requirements for this section include: 
1357.  
1358.      ₧ the list of TCB modules shall identify the modules of the reference
1359.      monitor mechanism; 
1360.      ₧ "[...] the procedures for secure generation of a new TCB from
1361.      source after modification of any modules in the TCB shall be
1362.      described" [6]. (This requirement implies that configuration
1363.      management shall be in place. References to additional documents
1364.      defining these procedures and plans could be included in the TFM). 
1365.  
1366. 7.5 Requirements and Recommendations for
1367. Security 
1368.  
1369. Class B3
1370.  
1371. The only additional requirements of class B3 that shall be included in the
1372. TFM are in the areas of system overview, audit, routine operations, and
1373. security of the TCB. 
1374.  
1375. TFM Introduction 
1376.  
1377. (NAR) 
1378.  
1379. System Overview
1380.  
1381. The TFM should include a discussion of the physical security assumptions
1382. made by the system designers and implementators that must be satisfied by
1383. the installed system. Also, this section shall include a discussion of the
1384. separation between the security-relevant and security-irrelevant functions
1385. of the administrators and operators (see [7]). 
1386.  
1387. Security Policy 
1388.  
1389. (NAR) 
1390.  
1391. Accountability
1392.  
1393. Identification and Authentication 
1394.  
1395. (NAR) 
1396.  
1397. Audit
1398.  
1399. The TFM should describe the TCB commands and interfaces available to the
1400. auditor that enable him or her to monitor the accumulation of auditable
1401. events and to respond effectively to such event signals. 
1402.  
1403. Routine Operations
1404.  
1405. The additional routine operations carried out by secure and ordinary
1406. operators should be specified in the TFM. These should include: 
1407.  
1408.      ₧ the identification of damaged user files and volumes; 
1409.      ₧ the routine backup of TCB files; 
1410.      ₧ the mounting and unmounting of volumes. 
1411.  
1412. Security-irrelevant administrator and operator actions, such as handling
1413. user requests and managing the accounting system, should also be
1414. documented here. 
1415.  
1416. Security of the TCB
1417.  
1418. Two additional TFM requirements are included here. The first is that "[The
1419. TFM] shall include procedures to ensure that the system is initially
1420. started in a secure manner" [6]. This requirement suggests that the TFM
1421. must document procedures for: 
1422.  
1423.      ₧ TCB hardware installation (using the list of approved hardware
1424.      modules); 
1425.      ₧ TCB loading; TCB data structure initialization; 
1426.      ₧ Initialization of privileges for TCB file ; 
1427.      ₧ use of approved initialization tools. 
1428.  
1429. The second requirement is that "procedures shall also be included to
1430. resume secure system operation after any lapse in system operation" [6]. 
1431.  
1432. This requirement suggests that the TFM should document procedures for: 
1433.  
1434.      ₧ analysis of system dumps; 
1435.      ₧ crash recovery and restart in a secure state; 
1436.      ₧ repair of damaged TCB data structures (e.g., labels); 
1437.      ₧ changes of configuration parameters (e.g., table sizes); 
1438.      ₧ consistency checking procedures. 
1439.  
1440. Requirements of Security Class A1
1441.  
1442. Although no additional explicit TFM requirements beyond that required for
1443. B3 are included here, the TFM should define procedures for trusted
1444. distribution consistent with the [6] requirements. 
1445.  
1446. GLOSSARY 1 
1447.  
1448. Access - A specific type of interaction between a subject and an object
1449. that results in the flow of information from one to the other. 
1450.  
1451. Account Administrator - An administrative role or user assigned to
1452. maintain accounting files, tools, user accounts, and system statistics. 
1453.  
1454. Administrative User - A user assigned to supervise all or a portion of an
1455. AIS system. 
1456.  
1457. Approval Accreditation - The official authorization that is granted to an
1458. AIS system to process sensitive information in its operational
1459. environment, based upon comprehensive security evaluation of the system's
1460. hardware, firmware, and software security design, configuration, and
1461. implemetation and of the other system procedural, administrative,
1462. physical, TEMPEST, personnel, and communications security controls. 
1463.  
1464. Audit - To conduct the independent review and examination of system
1465. records and activities. 
1466.  
1467. Audit Event Selection - Selection, by authorized personnel, of the
1468. auditable events that are to be recorded on the audit trail. 
1469.  
1470. Audit Mechanism - The part of the TCB used to collect, review, and/or
1471. examine system activities. 
1472.  
1473. Audit Post Processing - Processing, by authorized personnel, of specified
1474. events that had been recorded on the audit trail. 
1475.  
1476. Audit Trail - A chronological record of system activities that is
1477. sufficient to enable the reconstruction, reviewing, and examination of the
1478. sequence of environments and activities surrounding or leading to an
1479. operation, a procedure, or an event in transaction from its inception to
1480. final results. 
1481.  
1482. Auditable Event - Any event that can be selected for inclusion in the
1483. audit trail. These events should include, in addition to security-relevant
1484. events, events taken to recover the system after failure and any events
1485. that might prove to be security relevant at a later time. 
1486.  
1487. Auditor - An authorized individual, or role, with administrative duties,
1488. which include selecting the events to be audited on the system, setting up
1489. the audit flags that enable the recording of those events, and analyzing
1490. the audit. trail 
1491.  
1492. Authenticate - (1) To verify the identity of a user, device, or other
1493. entity in a computer system, often as a prerequisite to allowing accss to
1494. resources in a system.(2) To verify the integrity of data tHat has been
1495. stored, transmitted, or otherwise exposed to possible unauthorized
1496. modification. 
1497.  
1498. Authenticated User - A user who has accessed an AIS system with a valid
1499. identifier and authenticator. 
1500.  
1501. Automated Information System (AIS) - An assembly of computer hardware,
1502. firmware, and software configured to collect, create, communicate,
1503. compute, disseminate, process, store, and /or control data or information.
1504.  
1505. Bandwidth - A characteristic of a communication channel that is the amount
1506. of information that can be passed through it in a given amount of time,
1507. usually expressed in bits per second. 
1508.  
1509. Category - A restrictive label that has been applied to classified or
1510. unclassified data as a means of increasing the protection of the data and
1511. further restricting access to the data. 
1512.  
1513. Channel - An information transfer path within a system. May also refer to
1514. the mechanism by which the path is effected. 
1515.  
1516. Covert Channel - A communication channel that allows two cooperating
1517. processes to transfer information in a manner that violates the system's
1518. security policy. Synonymous with Confinement Channel. 
1519.  
1520. Covert Storage Channel - A covert channel that involves the direct or
1521. indirect writing of a storage location by one process and the direct or
1522. indirect reading of the storage location by another process. Covert
1523. storage channels typically involve a finite resource (e.g., sectors on a
1524. disk) that is shared by two subjects at different security levels. 
1525.  
1526. Covert Timing Channel - A covert channel in which one process signals
1527. information to another by modulating its own use of system resources
1528. (e.g., Central Processing Unit time) in such a way that this manipulation
1529. affects the real response time observed by these second process. 
1530.  
1531. Data - Information with a specific physical representation. 
1532.  
1533. Data Integrity - The state that exists when computerized data is the same
1534. as that in the source documents and has not been exposed to accidental or
1535. malicious alteration or destruction. 
1536.  
1537. Descriptive Top-Level Specification (DTLS) - A top-level specification
1538. that is written in a natural language (e.g., English), an informal program
1539. design notation, or a combination of the two. 
1540.  
1541. Discretionary Access Control - A means of restricting access to objects
1542. based on the identity and need-to-know of the user, process, and/or groups
1543. to which they belong. The controls are discretionary in the sense that a
1544. subject with a certain access permission is capable of passing that
1545. permission (perhaps indirectly) on to any other subject. 
1546.  
1547. Formal Security Policy Model - A mathematically precise statement of a
1548. security policy. To be adequately precise, such a model shall represent
1549. the initial state of a system, the way in which the system progresses from
1550. one state to another, and a definition of a "secure" state of the system.
1551. To be acceptable as a basis for a TCB, the model shall be supported by a
1552. formal proof that if the initial state of the system satisfies the
1553. definition of a "secure" state. If all assumptions required by the model
1554. hold, then all future states of the system will be secure. Some formal
1555. modeling techniques include state transition models, temporal logic
1556. models, denotational semantics models, and algebraic specification models.
1557.  
1558. Formal Top-Level Specification (FTLS) - A top-level specification that is
1559. written in a formal mathematical language to allow theorems showing the
1560. correspondence of the system specification to its formal requirements to
1561. be hypothesized and formally proven. 
1562.  
1563. Functional Testing - The portion of security testing in which the
1564. advertised features of a system are tested, under operational conditions,
1565. for correct operation. 
1566.  
1567. Least Privilege - The principle that requires that each subject in a
1568. system be granted the most restrictive set of privileges (or lowest
1569. clearance) needed for the performance of authorized tasks. The application
1570. of this principle limits the damage that can result from accident, error,
1571. or unauthorized use. 
1572.  
1573. GLOSSARY 2
1574.  
1575. Mandatory Access Control - A means of restricting access to objects based
1576. on the sensitivity (as represented by a label) of the information
1577. contained in the objects and the formal authorization (i.e., clearance) of
1578. subjects to access information of such sensitivity. 
1579.  
1580. Multilevel Device - A device that is used in a manner that permits
1581. simultaneousl processing of data of two or more security levels without
1582. risk of compromise. To accomplish this, sensitivity labels are normally
1583. stored on the same physical medium and in the same form (i.e.,
1584. machine-readable or human-readable) as the data being processed. 
1585.  
1586. Multilevel Secure - A class of system containing information with
1587. different sensitivities that, simultaneously permits access by users with
1588. different security clearances and need-to-know, but prevents users from
1589. obtaining access to information for which they lack authorization. 
1590.  
1591. Object - A passive entity that contains or receives information. Access to
1592. an object potentially implies access to the information it contains.
1593. Examples of objects are records, blocks, pages, segments, files,
1594. directories, directory trees, and programs, as well as bits, bytes, words,
1595. fields, processors, video displays, keyboards, clocks, printers, and
1596. network nodes. 
1597.  
1598. Operator - An administrative role or user assigned to perform routine
1599. maintenance operations of the AIS system and to respond to routine user
1600. requests. 
1601.  
1602. Output - Information that has been exported by a TCB. 
1603.  
1604. Password - A private character string that is used to authenticate an
1605. identity. 
1606.  
1607. Process - A program in execution. It is completely characterized by a
1608. single current execution point (represented by the machine state) and
1609. address space. 
1610.  
1611. Read - A fundamental operation that results only in the flow of
1612. information from an object to a subject. 
1613.  
1614. Read Access (Privilege) - Permission to read information. 
1615.  
1616. Security Administrator - An administrative role or user responsible for
1617. the security of an AIS and having the authority to enforce the security
1618. safeguards on all others who have access to the AIS (with the possible
1619. exception of the Auditor). 
1620.  
1621. Security Level - The combination of a hierarchical classification and a
1622. set of non-hierarchical categories that represents the sensitivity of
1623. information. 
1624.  
1625. Security Policy - The set of laws, rules, and practices that regulate how
1626. an organization manages, protects, and distributes sensitive information. 
1627.  
1628. Security Policy Model - A formal ( informal .in the case of B1)
1629. presentation of the security policy enforced by the system. It must
1630. identify the set of rules and practices that regulate how a system
1631. manages, protects, and distributes sensitive information. 
1632.  
1633. Security-Relevant Event - Any event that attempts to change the security
1634. state of the system (e.g., change the DAC, change the security level of
1635. the subject, change user password). Also, any event that attempts to
1636. violate the security policy of the system, (e.g., too many attempts to log
1637. in, attempts to violate the MAC limits of a device, attempts to downgrade
1638. a file). 
1639.  
1640. Security Testing - A process used to determine that the security features
1641. of a system are implemented as designed and that they are adequate for a
1642. proposed application environment. 
1643.  
1644. Sensitive Information - Any information, the loss, misuse, modification
1645. of, or unauthorized access to, that could affect the national interest or
1646. the conduct of Federal programs, or the privacy to which individuals are
1647. entitled under Section 552a of Title 5, U.S. Code, but that has not been
1648. specifically authorized under criteria established by an Executive order
1649. or act of Congress to be kept classified in the interest of national
1650. defense or foreign policy. 
1651.  
1652. Sensitivity Label - A piece of information that represents the security
1653. level of an object and that describes the sensitivity (e.g.,
1654. classification) of the data in the object. Sensitivity labels are used by
1655. the TCB as the basis for MAC decisions. 
1656.  
1657. Subject - An active entity, generally in the form of a person, process, or
1658. device that causes information to flow among objects or changes in the
1659. system state. Technically, a process/domain pair. 
1660.  
1661. Subject Security Level - A subject's security level that is equal to the
1662. security level of the objects to which it has both read and write access.
1663. A subject's security level shall always be dominated by the clearance of
1664. the user associated with the subject. 
1665.  
1666. System Programmer - An administrative role or user responsible for the
1667. trusted system distribution, configuration, installation, and nonroutine
1668. maintenance. 
1669.  
1670. System Security Map - A map defining the correspondence between the binary
1671. and ASCII formats of security levels (e.g., between binary format of
1672. security levels and sensitivity labels). 
1673.  
1674. Top-Level Specification (TLS) - A nonprocedural description of system
1675. behavior at the most abstract level; typically, a functional specification
1676. that omits all implementation details. 
1677.  
1678. Trap Door - A hidden software or hardware mechanism that can be triggered
1679. to permits system protection mechanisms to be circumvented. It is
1680. activated in some innocent-appearing manner (e.g., special"random" key
1681. sequence at a terminal). 
1682.  
1683. Trojan Horse - A computer program with an apparently or actually useful
1684. function that contains additional (hidden) functions that surreptitiously
1685. exploit the legitimate authorizations of the invoking process to the
1686. detriment of security; for example, making a "blind copy" of a sensitive
1687. file for the creator of the Trojan horse. 
1688.  
1689. Trusted Computer System - A system that employs sufficient hardware and
1690. software assurance measures to allow its use for simultaneous processing a
1691. range of sensitive or classified information. 
1692.  
1693. Trusted Computing Base (TCB) - The totality of protection mechanisms
1694. within a computer system including hardware, firmware, and software the
1695. combination of which is responsible for enforcing a security policy. A TCB
1696. consists of one or more components that together enforce a unified
1697. security policy over a product or system. The ability of a TCB to enforce
1698. a security policy correctly depends solely on the mechanisms within the
1699. TCB and on the correct input by system administrative personnel of
1700. parameters (e.g., a user's clearance) related to the security policy. 
1701.  
1702. Trusted Path - A mechanism by which a person at a terminal can communicate
1703. directly with the TCB. This mechanism can only be activated by the person
1704. or the TCB and cannot be imitated by untrusted software. 
1705.  
1706. User - Person or process accessing an AIS either by direct connections
1707. (i.e., via terminals), or indirect connections (i.e., prepare input data
1708. or receive output that is not reviewed for content or classification by a
1709. responsible individual). 
1710.  
1711. Verification - The process of comparing two levels of system specification
1712. for proper correspondence (e.g., security policy model with top-level
1713. specification, TLS with source code, or source code with object code).
1714. This process may or may not be automated. 
1715.  
1716. Write - A fundamental operation that results only in the flow of
1717. information from a subject to an object. 
1718.  
1719. Write Access (Privilege) - Permission to write an object. 
1720.  
1721. REFERENCES
1722.  
1723. [1] National Computer Security Center, A Guide to Understanding Audit in
1724. Trusted Systems, NCSC-TG-001, Version 2, June 1988. 
1725.  
1726. [2] National Computer Security Center, A Guide to Understanding
1727. Discretionary Access Control in Trusted Systems, NCSC-TG-003, version-1,
1728. September 1987. 
1729.  
1730. [3] Gligor V. D., J. C. Huskamp, S. R. Welke, C. J. Linn, W. T. Mayfield,
1731. Traditional Capability-Based Systems: An Analysis of their Ability to Meet
1732. the Trusted Computer Security Evaluation Criteria, Institute for Defense
1733. Analyses, IDA Paper P1935, February 1987. 
1734.  
1735. [4] Department of Defense, Password Management Guideline, CSC-STD-002-85,
1736. April 1985. 
1737.  
1738. [5] National Computer Security Center, The Rating Maintenance Phase, NCSC
1739. TG 013, 23 June 1989. 
1740.  
1741. [6] National Computer Security Center, Trusted Computer System Evaluation
1742. Criteria, DoD 5200.28-STD, 1985. 
1743.  
1744. [7] National Computer Security Center, Guidelines for Trusted Facility
1745. Management, NCSC TG 015, 18 October 1989. 
1746.  
1747.  
1748.  
1749.  
1750.