阜阳市人民政府办公室转发市监察局市财政局市审计局关于政府采购监督管理暂行办法的通知
安徽省阜阳市人民政府办公室
转发市监察局市财政局市审计局关于政府采购监督管理暂行办法的通知
阜政办〔2009〕8号
各县、市、区人民政府,开发区管委会,市政府各部门、各直属机构:
市监察局、市财政局、市审计局制定的《阜阳市政府采购监督管理暂行办法》已经市政府第39次常务会议研究同意,现转发给你们,请认真贯彻执行。
二○○九年二月十六日
阜阳市政府采购监督管理暂行办法
第一条 为依法对政府采购实行有效监管,建立和完善政府采购监督约束机制,保证政府采购工作公开、公平、公正,根据《中华人民共和国政府采购法》等有关法律法规规定,结合我市实际,制定本办法。
第二条 本办法所称政府采购是指国家机关、事业单位和团体组织使用财政性资金采购市政府公布的政府集中采购目录内或者采购限额标准以上的货物、工程和服务的行为。
财政性资金包括财政预算资金、政府性基金、预算外资金、国债转贷资金,由财政转贷的国际金融组织和外国政府贷款,经市政府批准使用的国内金融机构贷款,以及其他纳入财政管理的资金。
第三条 阜阳市市直国家机关、事业单位和团体组织(以下简称采购人),以及采购当事人和参加政府采购评审活动成员应当遵守本办法。
本办法所称采购当事人是指在政府采购活动中享有权利和承担义务的各类主体,包括采购人、供应商和采购机构等。
抗洪抢险、抗灾救灾、重大疫情、突发事件等应急采购不适用本办法。
第四条 市财政部门负责日常政府采购监督管理工作,制定完善政府采购相关制度;负责对政府采购活动及采购当事人执行法律法规、工作制度等情况的监督检查;监督检查政府采购人员的职业道德和专业素质;对采购机构的采购价格、节约资金、采购质量、服务水平、信誉状况、有无违法违规行为等事项进行检查考核,定期公布考核结果,提出改进意见;受理对政府采购工作的投诉和举报。
第五条 市监察机关依法对参与政府采购活动的国家机关、国家公务员和国家行政机关任命的其他人员实施监督检查。监督检查政府采购活动中执行法律、法规、规章和制度情况;受理对政府采购中的违纪行为的检举和控告,严肃查处政府采购活动中的舞弊和贿赂行为,促进政府采购工作廉洁高效。
第六条 市审计部门依法对政府采购的计划、预算、决算等进行审计监督;对政府采购资金和采购货物流向以及政府采购计划审批、预算、政府采购活动的组织实施、采购产品(项目)的验收以及政府采购效益等进行审计。
第七条 各单位的纪检监察机构应当对本单位政府采购工作进行监督,特别是加强对自行分散采购的监督。
第八条 任何单位和个人都有权利向政府采购监督管理部门控告、检举和投诉政府采购过程中的违法违纪行为。
有关部门和单位应依照各自职责及时调查处理政府采购中违法违纪行为的控告、检举和投诉。
第九条 政府采购相关当事人应主动接受或邀请社会各界和媒体对政府采购过程进行监督。
第十条 政府采购监督管理部门应当对采购资金规模在30万元以上的采购项目实施重点监督。
采购人在项目完成后要主动以报告形式向监察机关备案。
采购机构在采购项目实施活动时要主动邀请监察、审计和政府采购监督管理部门全过程参与监督。
第十一条 采购过程监督的主要环节应包括招标文件审查、资格预审、候选单位考察、评标方式确定、评委抽取、开标、评标、定标、合同签订、重大项目质量验收、质疑投诉情况会审等事项。
第十二条 政府采购监督管理部门发现政府采购当事人有违法违纪行为的,应依照法定职责按照有关规定和程序进行调查处理,并分别情况作出行政处罚、行政纪律处分建议和决定;涉嫌犯罪的,依法移送司法机关处理。
政府采购监督管理部门发现正在进行的采购活动严重违反国家法律规定,可能给国家、社会和当事人造成重大损失的,应当要求采购机构立即中止采购活动,并立即调查处理。
第十三条 政府采购合同履行期间以及履行后,政府采购监督管理部门可以随时抽查采购单位或供应商,对政府采购及其项目的执行情况进行审核调查,并对发现的问题进行处理。
第十四条 采购人使用财政性资金,应当按照相关法律规定实行政府采购,并遵守以下规定:
(一)按照有关规定编制年度政府采购预算,应当进行集中采购的项目不得自行采购;
(二)及时办理新增资产、劳务、费用的入账登记;
(三)不得通过设定不合理条件对供应商实行差别或歧视待遇;
(四)不得化整为零或者以其他方式规避公开招标采购;
(五)应在规定时间内按照采购文件确定的事项签订政府采购合同;
(六)不得与采购机构、供应商违规串通;
(七)不得向供应商泄露有关招投标事项中的秘密事项,与供应商有利害关系时应当回避;
(八)自觉接受监督管理部门的检查,在有关部门依法实施的监督检查中不能隐瞒或提供虚假情况;
(九)对采购活动全过程进行监督。采购人应派代表参加评标委员会,按照评标报告中推荐的中标候选供应商顺序确定中标供应商,在规定的时间内与中标供应商签订书面合同,负责对货物的验收。发现采购物品质量低劣、价格明显高于市场同期平均价格的,应及时提出异议,并向政府采购监督管理部门投诉。
第十五条 政府采购合同签订后,采购人应当在7日以内将合同副本报政府采购监督管理部门备案。
政府采购合同签订后如需要变更,应当按照有关规定办理审批手续。
第十六条 政府采购合同履行过程中,因故中止合同的,采购人应当将中止合同情况书面报政府采购监督管理部门。
第十七条 大型或者复杂的政府采购项目,采购人应当邀请国家认可的质量检测机构和其他职能部门参加验收。
第十八条 采购人自行组织的分散采购应当按照公开、公平、公正的原则进行,并将分散采购项目采购执行情况及执行结果报政府采购监督管理部门备案。
第十九条 采购机构在实施政府采购活动中,必须实施程序化、规范化、制度化管理,并遵守以下规定:
(一)政府采购原则上采用公开招标方式,在采取邀请招标、竞争性谈判、询价、单一来源等采购方式时,必须按照《政府采购法》规定办理,改变方式时必须履行审批程序;
(二)不得擅自改变采购项目,提高采购标准;
(三)不得与投标供应商违规串通,不准在开标前泄露有关招标的秘密事项,或者在招标采购过程中与投标人进行协商谈判;
(四)不得在采购过程中收受相关人的礼品、回扣、有价证券,接受宴请、旅游和娱乐活动,报销应该由个人负担的费用以及其他不廉洁行为;
(五)不得在有关部门实施的监督检查中提供虚假情况;
(六)应当建立健全内部监督管理制度,招标受理联系人员与招标文件编制、方案制定、组织等环节职责权限应当明确,相互分离、相互制约;
(七)依法应当公开的相关信息必须充分公开,不准有人为制造信息不对称行为;
(八)文件编制必须按照相关规定,内容完整,不准设置带有歧视性条款或隐蔽性条款;
(九)不得以倾向性意见影响或误导专家评审工作;
(十)政府采购活动和结果必须符合采购价格低于市场平均价格、采购效率更高、采购质量优良和服务良好的要求;
(十一)应当按照有关规定妥善保管采购文件。
第二十条 参与政府采购活动的供应商应依法自觉遵守公平竞争和诚实信用的原则,并遵守以下规定:
(一)不得提供虚假材料骗取政府采购资格,谋取中标、成交;
(二)不得采取不正当手段诋毁、排挤其他供应商;
(三)不得与采购人、采购机构或其他供应商违规串通和提供其他不正当利益,包括与其他投标人串通报价、协助和要求他人抬标、围标,采取行贿手段或允诺给予好处等;
(四)不得在政府招标采购过程中与采购人及采购机构进行协商谈判;
(五)不得无正当理由不与采购人签订采购合同。
第二十一条 评标委员会、谈判组、询价组成员应具有较高素质和良好的职业道德,以客观公正、廉洁自律、遵纪守法为行为准则,独立从事政府采购评审工作。
依法抽取的评标委员会、谈判组、询价组成员应符合以下规定:
(一)政府采购监督管理部门负责在开标前从采购专家库中随机抽取评标委员会、谈判组的专家成员,负责宣布评标纪律规定和保密措施,现场监督评审专家是否按规定程序进行评审,负责考核记录专家每次参加评审活动情况;
(二)评标委员会、谈判组、询价组成员与采购人、供应商有亲属或利益关系的,应当回避。
评标委员会成员应当公正、公平评标,严格按照评审规则进行评审,不得与采购人、采购机构、供应商有不正当的利益行为。
第二十二条 政府采购信息公告应当遵循的原则:
(一)政府采购信息公告应严格执行《政府采购信息公告管理办法》(财政部19号令)有关规定,信息公告应遵循及时、内容规范统一集中,便于获得查找和充分告知的原则,符合法定期限要求;
(二)应当在政府采购管理部门指定的媒体和网站上发布;
(三)采购信息发布的内容应包括采购公告、资格预审结果、中标候选人公示及中标人公告等。
第二十三条 市监察机关应当会同市财政、审计等部门,并邀请特邀监督员参加,对上年度政府采购制度落实情况开展专项检查,并向被查单位下发政府采购专项检查结论书;对检查发现的违规违纪问题应当限期要求改正。
检查结果分别移送市党风廉政建设责任制领导小组办公室、市政风评议办公室,列入年度单位党风廉政建设责任制、政风评议考核内容;对发现的违法违纪问题,按照有关规定处理。
第二十四条 政府采购监督管理部门应当加强日常监督管理,定期组织考核小组对采购人、采购机构、供应商、评审专家进行考核评价。
对采购机构进行考核时,可以邀请纪检监察、审计部门人员、采购人和供应商参加;考核采取定性与定量相结合的方式,对采购次数、金额和信息公布等进行定量考核,对采购质量、采购效率和服务水平进行定性综合考核。
对采购机构、评审专家、供应商在政府采购活动中业绩和信用考核,并纳入社会信用评价指标,建立采购机构、评审专家、供应商考核档案及不良记录认定、发布制度。对严重的违规违纪行为,记入不良行为记录档案,实行市场禁入,并在网上发布。
第二十五条 采购机构未按规定发布政府采购信息,应当公告而未公告的或公告信息不真实,以不合理条件限制或者排斥潜在投标人的,擅自改变采购方式,质疑答复满意率、服务态度和质量满意度较低的,政府采购监督管理部门应当责令限期整改。
第二十六条 采购人、采购机构工作人员与采购供应商恶意串通、在采购过程中接受贿赂或获取不正当利益的,或者违反政府采购有关规定,给采购人、供应商造成重大经济损失或不良影响的,依法追究有关直接责任人的责任;构成犯罪的,依法追究刑事责任。
第二十七条 采购人应当实行集中采购的政府采购项目,不委托集中采购机构采购的,由政府采购监督管理部门责令改正;拒不改正的,由其上级主管部门或者有关机关依纪依法给予其直接负责的主管人员和其他直接责任人员处分。
第二十八条 评审专家应当回避而没有回避、在评标中有明显倾向和歧视现象,或者违反规定向外界透露评标情况及其他信息的,应当记入不良记录档案,给予通报批评。
故意损害招标采购人、供应商正当权益、私下接触或收受供应商及相关业务单位财物等贿赂、违反规定向外界透露评审情况和信息,给评审结果带来实质性影响的,或者私下串通,违背公正、公开原则,影响和干扰了评标结果的,应当取消其评审专家资格。
评审专家在1年内有两次通报批评或不良记录的,应当暂停从事政府采购评审1年,累计3次以上的,取消评审专家资格。
第二十九条 通报批评、不良记录和取消资格等处理结果由政府采购监督管理部门负责在阜阳市政府采购网和《阜阳日报》等媒体上公布。
第三十条 本办法由市财政局会同有关部门解释。
第三十一条 本办法自发布之日起执行。
基于DOS的信息安全产品评级准则
公安部
基于DOS的信息安全产品评级准则
公安部
1998/06/01
【题注】(GA174-1998 Evaluation Criteria for DOS-based Information Security Products)
前言
为了贯彻《中华人民共和国计算机信息系统安全保护条例》的精神,并配合计算机信息系统安全专用产品的销售许可证制度的实施,公安部计算机管理监察司委托天津市公安局计算机管理监察处和海军计算技术研究所共同编写《基于DOS的信息安全产品评级准则》。
本标准在技术上参照了美国DOD5200.28-STD可信计算机系统评估准则。
本标准由公安部计算机管理监察司提出;
本标准由公安部信息标准化技术委员会归口;
本标准起草单位:天津市公安局计算机管理监察处
海军计算技术研究所
本标准主要起草人:张健,周瑞平,王学海,张双桥,高新宇
1.范围
本标准的适用对象为基于DOS操作系统的信息安全产品。基于DOS的信息安全产品是指保护DOS操作系统环境下的信息免受故意的或偶然的非授权的泄漏、篡改和破坏的软件、硬件或软硬件结合产品,以及用于产品安装、执行、恢复的相关设施。在本标准中,对安全产品的评级等同于对加装了该安全产品的DOS操作系统的安全性能的评级。
标准根据安全产品的性能将其分为三个等级。从最低级d到最高级b,其安全保护性能逐级增加。
2.引用标准
美国DOD5200.28-STD可信计算机系统评估准则。
3.术语
3.1 客体 Object
含有或接收信息的被动实体。客体的例子如:文件、记录、显示器、键盘等。
3.2 主体 Subject
引起信息在客体之间流动的人、进程或装置等。
3.3 安全策略 Security policy
有关管理、保护和发布敏感信息的法律、规章和技术标准。
3.4 可信计算基 Trusted ComPuting Base-TCB
操作系统中用于实现安全策略的一个集合体(包含软件、固件和硬件),该集合体根据安全策略来处理主体对客体的访问,并满足以下特征:
a.TCB实施主体对客体的安全访问;
b.TCB是抗篡改的;
C.TCB的结构易于分析和测试。
3.5 安全策略模型 Security Policy Model
用于实施系统安全策略的模型,它表明信息的访问控制方式,以及信息的流程。
3.6 敏感标记 Sensitivity Label
表明一个客体的安全级并描述该客体中数据的敏感度(例如:密级)的一条信息。TCB依据敏感标记进行强制性访问控制。
3.7 用户访问级 User's Clearance
用户访问敏感信息的级别。
3.8 最小特权原理 Least Provilege Theorem
系统中的每个主体执行授权任务时,仅被授予完成任务所必需的最小访问权。
3.9 关键保护元素 Protection Critical Element
有TCB中,用来处理主体和客体间的访问控制的关键元素。
3.10 审计踪迹 Audit Trail
能提供客观证明的一组记录,用于从原始事务追踪到有关的记录,或从记录追踪到其原始事务。
3.11 信道 Channel
系统内的信息传输路径。
3.12 可信信道 Trusted Channel
符合系统安全策略的信道。
3.13 隐蔽信道 Covert Channel
违反系统安全策略的信道。
3.14 自主访问控制 Discretionary Access Control
根据主体身份或者主体所属组的身份或者二者的结合,对客体访问进行限制的一种方法。具有某种访问权的主体能够自行决定将其访问权直接或间接地转授给其它主体。
3.15 强制访问控制 Mandatory Access Control
根据客体中信息的敏感标记和访问敏感信息的主体的访问级对客体访问实行限制的一种方法。
4.评级等级
本标准将安全产品分为局部保护级、自主保护级、强制保护级三个等级。为便于和可信计算机系统评估准则互为参照,又表示有别于该标准,用d,c,b表示。
4.1 局部保护级(d)
提供一种或几种安全功能,但又未能达到c级标准的产品。
4.1.1 安全功能
必须明确定义每项安全功能预期达到的目标,描述为达到此目标而采用的TCB的安全机制及实现技术。
4.1.2 安全测试
必须对产品文档所述的安全功能进行测试,以确认其功能与文档描述相一致。
4.1.3 文档
安全特征用户指南文档要清楚地描述产品的保护原理、使用方法、使用限制及适用范围。
要提供一个测试文档,描述该产品的测试计划、安全机制的测试过程及安全功能测试的结果。
4.2 自主保护级(c)
c级主要提供自主访问控制功能,并通过审计手段,能对主体行为进行审查。
4.2.1 安全策略
4.2.1.1 自主访问控制
TCB需定义并控制系统中主体对客体的访问机制,所采用的机制(如访问控制表)要明确规定特定主体对其它主体控制下的信息的访问类型。系统和用户设定的自主访问控制机制,能保证受保护的客体不会被未经授权的用户访问。对客体没有访问权限的用户,只有对该客体有授权能力的用户才能为其指定访问权限。
4.2.1.2 客体再用
在将TCB的空闲存储客体池中客体初始指定、分配或再分配给一个主体之前,所有对于存储客体所含信息的授权都必须被撤销。当主体获得对一个已被释放的存储客体的访问权时,由原主体活动所产生的任何信息对当前主体都是不可获得的。
4.2.2 责任核查
4.2.2.1 身份鉴别
用户在要求TCB执行任何动作之前,必须首先向TCB表明自己的身份;TCB要使用保护机制(如:口令)来鉴别用户身份。为了防止任何未经授权的用户对鉴别数据进行访问,TCB要对鉴别数据进行保护。TCB需提供唯一标识每个系统用户的机制,并将用户的所有可审计行为与用户的标识联系起来。
4.2.2.2 审计
TCB必须能创建、维护由主体实施的操作(例如:读、删和改等)的审计记录。TCB要记录下列类型的事件:使用身份鉴别机制;客体的引用;客体的删除;以及其它与安全有关的事件。对于每一个记录事件,审计记录需标识:事件发生的日期和时间、用户、事件类型及事件的成功和失败。由可信软件执行的单个操作,如果对用户是完全透明的,则不必进行审计。TCB要保护审计数据,使得只有授权用户才能访问。
4.2.3 保证
4.2.3.1 操作保证
4.2.3.1.1 系统体系结构
TCB要在封闭的域中运行,使其不受外部干扰或篡改(例如:代码或数据结构的修改)。TCB要隔离受保护资源,以满足访问控制和审计的需求。
4.2.3.1.2 系统完整性
要提供相应的硬件或软件,用于定期确认TCB中硬件或固件元素的正常运行。
4.2.3.1.3 数据完整性
TCB要提供控制机制,以保证多个主体对同一客体访问时客体中数据的正确性和完整性,并且不影响系统的正常运行。
4.2.3.2 生命周期保证
4.2.3.2.1 安全测试
必须对产品文档所述的安全功能进行测试,以确认其功能与文档描述相一致。测试要证实未经授权的用户没有明显的办法可以绕过或攻破TCB的安全保护机制。测试还要搜索TCB中明显的缺陷,这些缺陷可能导致TCB中的外部主体能够违背资源隔离原则,或者对审计数据或鉴别数据进行未经授权的访问。
4.2.4 文档
4.2.4.1 安全特征用户指南
安全特征用户指南要描述TCB提供的保护机制、使用指南、以及保护机制之间的配合方法,必须清楚地描述TCB中安全机制之间的交互作用。
4.2.4.2 可信设施手册
在可信设施手册中,要明确描述TCB所支持的任何预定义用户或主体(例如:系统管理员),要对运行安全功能时必须受到控制的功能和特权提出警告,并清楚地描述上述受控功能和特权之间的关系。如果存在TCB的安全操作的配置选项,应该予以标识。
要提供用于检查和维护审计文件的规程。对每类审计事件,还要提供详细的审计记录结构。
4.2.4.3 测试文档
测试文档要描述安全保护机制的测试计划、测试步骤及其功能测试结果。
4.2.4.4 设计文档
设计文档要描述产品的保护原理,并解释该原理在TCB中的实现,如果TCB由多个不同的模块组成,还应描述各模块间的接口。
4.3 强制保护级(b)
b级的主要要求是:TCB能维护敏感标记及其完整性,并利用敏感标记来实施强制访问控制规则,b级的系统必须使系统中的主要数据结构带有敏感标记。系统开发者必须提供作为TCB基础的安全策略实现模型以及TCB的规约。
4.3.1 安全策略
4.3.1.1 自主访问控制
TCB需定义并控制系统中主体对客体的访问控制,所采用的机制(如访问控制表)要明确规定特定主体对其它主体控制下的信息的访问类型。自主访问控制机制应限制访问权限的扩展。系统和用户设定的自主访问控制机制,能保证受保护的客体不会被未经授权的用户访问。对客体没有访问权限的用户,只有对客体有授权能力的用户才能为其指定访问权限。
4.3.1.2 客体再用
在将TCB的空闲存储客体池中客体初始指定、分配或再分配给一个主体之前,所有对于存储客体所含信息的授权都必须被撤销。当主体获得对一个已被释放的存储客体的访问权时,由原主体活动所产生的任何信息对当前主体都是不可获得的。
4.3.1.3 标记
TCB要维护与每一主体及其可能访问的系统资源相关的敏感标记,以此作为强制访问控制决策的基础。系统必须明确规定需要标记的客体(如文件、外部设备等)与不需要标记的客体(如:用户不可见的内部资源)。对于需要标记的客体,系统要明确定义客体标记的粒度。除了不需要标记的客体外,所有其它客体从TCB外部观点看都要有明显标记。在输入未标记数据时,必须由授权用户向TCB提供这些数据的安全级别,而且所有这些行为都可以由TCB进行审计。
4.3.1.3.1 标记完整性
敏感标记必须准确地表示出与其相关的具体主体或客体的安全级别。当TCB输出敏感标记时,输出标记的外部表示要与其内部标记一致,并与输出的信息相关联。
4.3.1.3.2 标记信息的输出
TCB要能维护并审计与通信信道或I/O设备相关联的安全级别的任何变动。
4.3.1.3.3 主体标记
在TCB与用户交互期间,如果与用户有关的安全级发生任何变化,TCB应立刻通知用户。
4.3.1.3.4 设备标记
TCB应能对所辖的物理设备指定最小和最大安全级。TCB要使用这些安全级,在设备所处的物理环境中对设备的使用施加约束。
4.3.1.4 强制访问控制
TCB必须对所有可被TCB外部主体直接或间接访问的资源(例如:主体、存储客体、物理设备等)实施强制访问控制策略。必须为这些主体和资源指定敏感标记(它们是级别和类别的组合),这些标记将作为强制访问控制决策的基础。所有由TCB所控制的主体对客体的访问必须遵循以下规则:仅当主体的级别高于或等于客体的级别,且主体安全等级中的类别包含客体安全等级中的所有类别时,主体才能读客体;仅当主体的级别低于或等于客体的级别,且主体安全等级中的所有类别包含于客体安全等级中的类别时,主体才能写客体。TCB要使用标识和鉴别数据来鉴别用户的身份,并确保用户的访问级和授权高于或等于代表该用户的TCB外部主体的安全等级和授权。
4.3.2 责任核查
4.3.2.1 身份鉴别
用户在要求TCB执行任何动作之前,必须首先向TCB表明自己的身份。TCB要使用保护机制(如:口令)来鉴别用户身份。TCB必须保护鉴别数据,该数据不仅包含验证用户身份的信息(例如:口令),也包含确定用户访问级与授权的信息。TCB要使用这些数据来鉴别用户的身份,并确保用户的访问级和授权高于或等于代表该用户的TCB外部主体的安全等级和授权。为了防止任何未经授权的用户对鉴别数据进行访问,TCB必须对鉴别数据进行保护。TCB需提供唯一标识每个操作系统用户的机制,并将用户的所有可审计行为与用户的标识联系起来。
4.3.2.2 可信路径
在对初始登录的用户进行鉴别时,TCB要在它和用户之间维持一条可信信道。经由该路径的通信必须由专门用户或TCB进行初始化。
4.3.2.3 审计
TCB必须能创建、维护由主体实施的操作(例如:读、删和改等)的审计记录。TCB要记录下列类型的事件:使用身份鉴别机制;客体的引用;客体的删除;安全管理员的操作;以及其它与安全有关的事件。对于每一个记录事件,审计记录要标识:事件发生的日期和时间、主体、事件类型及事件的成功和失败。对于客体的引用及删除事件,审计记录还要包含客体名称。安全管理员应能够根据个体身份或个体安全等级有选择地审计一个或多个用户的行为。由可信软件执行的单个操作,如果对用户是完全透明的,则不必进行审计。TCB必须保护审计数据,使得只有授权用户才能对它进行读访问。当发生与安全有关的事件时,TCB要做到:(1)检测事件的发生;(2)记录审计踪迹条目;(3)通知安全管理员。
4.3.3 保证
4.3.3.1 操作保证
4.3.3.1.1 系统体系结构
TCB要在封闭的域中运行,使其不受外部干扰或篡改(例如:代码或数据结构的修改)。由TCB控制的资源可以是系统中主体和客体的一个子集。TCB要隔离受保护资源,以满足访问控制和审计的需求。TCB要通过不同的地址空间来维护进程隔离。TCB的内部要构造成定义良好的独立模块。TCB的模块设计要保证使最小特权原理得以实现。TCB需完整定义其用户接口,并且标识TCB的所有元素。TCB要有效地利用相关硬件把关键保护元素和非关键保护元素分隔开。
4.3.3.1.2 系统完整性
要提供相应的硬件或软件,用于定期确认TCB中硬件或固件元素的正常运行。
4.3.3.1.3 可信设施管理
TCB能支持独立的操作员和管理员功能。
4.3.3.1.4 可信恢复
TCB要提供诸如转贮和日志文件等机制,以保证在系统失效或其它中断发生后的数据恢复过程中不会导致任何安全泄漏。
4.3.3.1.5 数据完整性
TCB要定义及验证完整性约束条件的功能,以维护客体及敏感标记的完整性。
4.3.3.2 生命周期保证
4.3.3.2.1 安全测试
必须对产品文档所述的安全功能进行测试,以确认其功能与文档描述相一致。测试组应充分了解TCB的安全功能的实现,并彻底分析其测试设计文档、源码和目标码,其目标是:发现设计和实现中的所有缺陷,这些缺陷会引起TCB的外部主体能够实施违背强制或自主安全策略的某种操作;同时保证没有任何未授权主体能使TCB进入一种不能响应其它主体发起的通讯的状态。TCB应具有一定的抗渗透能力。必须消除所有被发现的缺陷,重新测试TCB要证实这些缺陷已不再存在且没有引入新的错误。
4.3.3.2.2 设计规约和验证
要证实TCB所支持的安全策略模型符合其安全策略,并在产品运行的整个生命周期中维护这一模型。
4.3.3.2.3 配置管理
在TCB的整个生命周期期间,即TCB的设计、开发和维护期间,要使用配置管理系统来控制对设计数据、实现文档、源代码、目标代码的运行版本、测试装置以及文档的任何更改。配置管理系统要保证与TCB当前版本相关联的所有文档和代码之间的一致映射。要提供从源代码生成TCB新版本的工具。要提供比较新版TCB和原版TCB的工具,只有在确定已按预期方案完成了修改后,才能启用新的TCB版本。
4.3.4 文档
4.3.4.1 安全特征用户指南
安全特征用户指南要描述TCB提供的保护机制、使用指南、以及保护机制之间的配合方法,必须清楚地描述TCB中完全机制之间的交互作用。
4.3.4.2 可信设施手册
在可信设施手册中,必须明确描述TCB所支持的任何预定义用户或主体(例如:系统管理员),要对运行安全功能时必须受到控制的功能和特权提出警告,并清楚地描述上述受控功能和特权之间的关系。如果存在TCB的安全操作的配置选项,应该予以标识。
要提供用于检查和维护审计文件的规程。对每类审计事件,还要提供详细的审计记录结构。
手册必须描述与操作员和管理员有关的安全功能,包括修改用户安全特征的方法。手册还要提供以下信息:如何一致地、有效地使用产品安全功能,安全功能之间的相互作用,以及操作规程、警告和特权。
4.3.4.3 测试文档
测试文档要描述安全保护机制的测试计划、测试步骤及其功能测试结果。
4.3.4.4 设计文档
设计文档要描述产品的保护原理,并解释该原理在TCB中的实现方法,如果TCB由多个不同的模块组成,还应描述各模块间的接口。应该具有TCB所实施的安全策略模型的非形式化或形式化描述,并给出它足以实施该安全策略的理由。要标识特定的TCB保护机制,并给出一个解释以证明它们满足模型。