1)基本目標和要求策略

安全策略必須由計算機系統顯式，明確定義和執行。有三種基本的安全策略：

◇強制性安全政策一強制執行訪問控制規則，直接根據個體的信息授權以及正在尋求的信息的機密級別。其他間接因素是物理和環境。這項政策還必須準確地反映法律，一般政策和其他有關規則的指導。

◇標記一旨在強制執行強制性安全策略的系統必須存儲和保留訪問控制標簽的完整性，并在導出對象日寸保留標簽。

◇自由安全策略一根據確定需要知道信息的已識別個人，實施一套一致的控制和限制訪問的規則。

問責

不論政策如何執行個人問責。必須存在一種安全手段，以確保獲得對授權的合格代理機構的訪問，在合理的時間內，不受任何約束對問責制信息進行評估。責任追究目標有三項要求：

◇識別一用于識別用戶的過程。

◇驗證一驗證用戶對特定類別信息的授權。

◇審核一審核信息必須有選擇性地保護，以便對影響安全性的操作可追溯到相關人員。

保證

計算機系統必須包含可以獨立評估的硬件／軟件機制，以提供系統實施上述要求的充分保證。通過擴展，保證必須包括保證系統的受信任部分僅按預期工作。為了實現這些目標，需要有兩種類型的保證，其各自的要素：

◇操作保證：系統架構，系統完整性，隱蔽通道分析，可信設備管理和可信恢復◇生命周期保證：安全測試，設計規范和驗證，配置管理和可信系統分發

◇持續保護保證一必須持續保護執行這些基本要求的信任機制，防止篡改和／或未經授權的更改。

文檔

在每個類中，還有一些額外的文檔集，用于處理系統的開發，部署和管理。文檔包括： 安全功禽旨用戶指南，可信設施手冊，測試文檔和設計文檔

想了解更多IT資訊，請訪問中培偉業官網：中培偉業