本級的計算機(jī)信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的;必須足夠小,能夠分析和測試。為了滿足訪問監(jiān)控器需求,計算機(jī)信息系統(tǒng)可信計算基在其構(gòu)造時,排除那些對實施安全策略來說并非必要的代碼;在設(shè)計和實現(xiàn)時,從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。支持安全管理員職能;擴(kuò)充審計機(jī)制,當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)出信號;提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。
自主訪問控制
計算機(jī)信息系統(tǒng)可信計算基定義并控制系統(tǒng)中命名用戶對命名客體的訪問。實施機(jī)制(例如:訪問控制表)允許命名用戶和(或)以用戶組的身份規(guī)定并控制客體的共享;阻止非授權(quán)用戶讀取敏感信息。并控制訪問權(quán)限擴(kuò)散。
自主訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式,阻止非授權(quán)用戶訪問客體。訪問控制的粒度是單個用戶。訪問控制能夠為每個命名客體指定命名用戶和用戶組,并規(guī)定他們對客體的訪問模式。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。
強(qiáng)制訪問控制
計算機(jī)信息系統(tǒng)可信計算基對外部主體能夠直接或間接訪問的所有資源(例如:主體、存儲客體和輸入輸出資源)實施強(qiáng)制訪問控制。為這些主體及客體指定敏感標(biāo)記,這些標(biāo)記是等級分類和非等級類別的組合,它們是實施強(qiáng)制訪問控制的依據(jù)。計算機(jī)信息系統(tǒng)可信計算基支持兩種或兩種以上成分組成的安全級。計算機(jī)信息系統(tǒng)可信計算基外部的所有主體對客體的直接或間接的訪問應(yīng)滿足:僅當(dāng)主體安全級中的等級分類高于或等于客體安全級中的等級分類,且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別,主體才能讀客體;僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類,且主體安全級中的非等級類別包含于客體安全級中的非等級類別,主體才能寫一個客體。計算機(jī)信息系統(tǒng)可信計算基使用身份和鑒別數(shù)據(jù),鑒別用戶的身份,保證用戶創(chuàng)建的計算機(jī)信息系統(tǒng)可信計算基外部主體的安全級和授權(quán)受該用戶的安全級和授權(quán)的控制。
標(biāo)記
計算機(jī)信息系統(tǒng)可信計算基維護(hù)與可被外部主體直接或間接訪問到計算機(jī)信息系統(tǒng)資源(例如:主體、存儲客體、只讀存儲器)相關(guān)的敏感標(biāo)記。這些標(biāo)記是實施強(qiáng)制訪問的基礎(chǔ)。為了輸入未加安全標(biāo)記的數(shù)據(jù),計算機(jī)信息系統(tǒng)可信計算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別,且可由計算機(jī)信息系統(tǒng)可信計算基審計。
身份鑒別
計算機(jī)信息系統(tǒng)可信計算基初始執(zhí)行時,首先要求用戶標(biāo)識自己的身份,而且,計算機(jī)信息系統(tǒng)可信計算基維護(hù)用戶身份識別數(shù)據(jù)并確定用戶訪問權(quán)及授權(quán)數(shù)據(jù)。計算機(jī)信息系統(tǒng)可信計算基使用這些數(shù)據(jù),鑒別用戶身份,并使用保護(hù)機(jī)制(例如:口令)來鑒別用戶的身份;阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。通過為用戶提供唯一標(biāo)識,計算機(jī)信息系統(tǒng)可信計算基能夠使用戶對自己的行為負(fù)責(zé)。計算機(jī)信息系統(tǒng)可信計算基還具備將身份標(biāo)識與該用戶所有可審計行為相關(guān)聯(lián)的能力。
客體重用
在計算機(jī)信息系統(tǒng)可信計算基的空閑存儲客體空間中,對客體初始指定、分配或再分配一個主體之前,撤銷客體所含信息的所有授權(quán)。當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時,當(dāng)前主體不能獲得原主體活動所產(chǎn)生的任何信息。
審計
計算機(jī)信息系統(tǒng)可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄,并能阻止非授權(quán)的用戶對它訪問或破壞。
計算機(jī)信息系統(tǒng)可信計算基能記錄下述事件:使用身份鑒別機(jī)制;將客體引入用戶地址空間(例如:打開文件、程序初始化);刪除客體;由操作員、系統(tǒng)管理員或(和)系統(tǒng)安全管理員實施的動作,以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件,其審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件,審計記錄包含請求的來源(例如:終端標(biāo)識符);對于客體引入用戶地址空間的事件及客體刪除事件,審計記錄包含客體名及客體的安全級別。此外,計算機(jī)信息系統(tǒng)可信計算基具有審計更改可讀輸出記號的能力。
對不能由計算機(jī)信息系統(tǒng)可信計算基獨立分辨的審計事件,審計機(jī)制提供審計記錄接口,可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于計算機(jī)信息系統(tǒng)可信計算基獨立分辨的審計記錄。計算機(jī)信息系統(tǒng)可信計算基能夠?qū)徲嬂秒[蔽存儲信道時可能被使用的事件。
計算機(jī)信息系統(tǒng)可信計算基包含能夠監(jiān)控可審計安全事件發(fā)生與積累的機(jī)制,當(dāng)超過閾值時,能夠立即向安全管理員發(fā)出報警。并且,如果這些與安全相關(guān)的事件繼續(xù)發(fā)生或積累,系統(tǒng)應(yīng)以最小的代價中止它們。
數(shù)據(jù)完整性
計算機(jī)信息系統(tǒng)可信計算基通過自主和強(qiáng)制完整性策略,阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中,使用完整性敏感標(biāo)記來確信信息在傳送中未受損。
隱蔽信道分析
系統(tǒng)開發(fā)者應(yīng)徹底搜索隱蔽信道,并根據(jù)實際測量或工程估算確定每一個被標(biāo)識信道的最大帶寬。
可信路徑
當(dāng)連接用戶時(如注冊、更改主體安全級),計算機(jī)信息系統(tǒng)可信計算基提供它與用戶之間的可信通信路徑。可信路徑上的通信只能由該用戶或計算機(jī)信息系統(tǒng)可信計算基激活,且在邏輯上與其他路徑上的通信相隔離,且能正確地加以區(qū)分。
可信恢復(fù)
計算機(jī)信息系統(tǒng)可信計算基提供過程和機(jī)制,保證計算機(jī)信息系統(tǒng)失效或中斷后,可以進(jìn)行不損害任何安全保護(hù)性能的恢復(fù)。
