翻譯：陳海燕，CISSP（phrackchen@hotmail.com）

美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)學(xué)會(huì)推薦

英文版PDF 中文版PDF

注：以下內(nèi)容因排版原因有所省略，完全信息請(qǐng)查閱中文版PDF。

1. 目的

《受信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（TCSEC）》是用于評(píng)估ADP系統(tǒng)內(nèi)建安全控制效率的標(biāo)準(zhǔn)。TCSEC被分為D，C，B和A四部分，A是這個(gè)等級(jí)序列的最高等級(jí)，被保留用于提供最高保證水平的系統(tǒng)。從C到A，又被分為一些被稱為級(jí)的子部分，這些部分也按照等級(jí)序列的方式表現(xiàn)不同級(jí)中不同的安全水平。

從TCSEC的B2級(jí)到A1級(jí)，TCSEC要求所有對(duì)受信計(jì)算基（TCB）的更改必須由配置管理進(jìn)行控制。受信系統(tǒng)的配置管理包括在開發(fā)、維護(hù)和設(shè)計(jì)過程中，對(duì)TCB所有更改的識(shí)別、控制、記錄和審計(jì)。本指南的主要目的是為受信系統(tǒng)的開發(fā)者提供配置管理概念，及其在受信系統(tǒng)開發(fā)和生命周期中所需的指導(dǎo)。本指南也為其它系統(tǒng)開發(fā)者提供配置管理重要性及其實(shí)施方式的指導(dǎo)。

本文中的例子不應(yīng)被解釋為滿足TCSEC需求的唯一方式。例子只是正確方式的一種建議。本文的建議也不應(yīng)被解釋為TCSEC的補(bǔ)充需求。TCSEC是系統(tǒng)評(píng)測(cè)的唯一尺度。本指南是旨在為TCSEC議題及其特性提供指導(dǎo)幫助的持續(xù)項(xiàng)目的一部分。

2. 范圍

TCSEC的B2級(jí)到A1級(jí)的一個(gè)重要安全特性就是有配置管理規(guī)程來管理對(duì)受信計(jì)算基（TCB）的更改，以及所有受更改影響的文檔和測(cè)試。另外，建議在那些不準(zhǔn)備評(píng)測(cè)或評(píng)測(cè)目標(biāo)級(jí)低于B2的系統(tǒng)中也應(yīng)用這種計(jì)劃和規(guī)程。配置管理所提供的保證對(duì)所有的系統(tǒng)都有益處。本指南將討論配置管理及其在計(jì)算機(jī)系統(tǒng)和產(chǎn)品中應(yīng)用的特性，特別是那些為了滿足TCSEC需求而建立的特性，以及那些準(zhǔn)備在評(píng)級(jí)維護(hù)項(xiàng)目（RAMP）（參考第11節(jié)，RAMP）下進(jìn)行重新評(píng)測(cè)的系統(tǒng)。

除了受信系統(tǒng)和非受信系統(tǒng)在配置管理方面的區(qū)別以外， “系統(tǒng)”一詞被用于配置管理的對(duì)象，包含系統(tǒng)和TCB。應(yīng)注意到，雖然建議將配置管理應(yīng)用到整個(gè)系統(tǒng)的維護(hù)中，但是TCSEC只要求將TCB置于配置管理控制之下。

3. 控制目標(biāo)

TCSEC給出了以下保證控制目標(biāo)：

“用于處理保密或其它敏感信息的系統(tǒng)必須被設(shè)計(jì)為能夠保證安全策略的正確和準(zhǔn)確解釋，必須沒有歪曲策略的含義。必須提供正確實(shí)施和運(yùn)行存在于整個(gè)系統(tǒng)生命周期中的策略的保證。”［1］

配置管理維護(hù)整個(gè)生命周期的系統(tǒng)控制，確保運(yùn)行的系統(tǒng)是正確的系統(tǒng)，執(zhí)行了正確的安全策略。與配置管理相關(guān)的保證控制目標(biāo)引導(dǎo)以下配置管理控制目標(biāo)的實(shí)現(xiàn)：

“處理和存儲(chǔ)敏感或保密信息的計(jì)算機(jī)系統(tǒng)依賴于硬件和軟件來保護(hù)信息。因此，硬件和軟件本身必須被保護(hù)以免遭可能破壞保護(hù)機(jī)制或使其被完全繞過的非受權(quán)更改。［因此，在整個(gè)生命周期中對(duì)受信計(jì)算機(jī)系統(tǒng)的更改必須被謹(jǐn)慎地考慮和控制以確保受維護(hù)保護(hù)機(jī)制的完整性。］只有這樣，才能認(rèn)為硬件和軟件對(duì)安全策略的解釋得到了正確的維護(hù)而沒有被歪曲。”［1］

4. 結(jié)構(gòu)

本文為讀者提供了對(duì)配置管理概念的解釋和在ADP系統(tǒng)中實(shí)施的方法。

對(duì)于受信系統(tǒng)的開發(fā)者，本文還將TCSEC的需求和滿足需求的配置管理實(shí)務(wù)聯(lián)系在一起。本文通過使用TCSEC需求的編號(hào)規(guī)則對(duì)文章結(jié)構(gòu)進(jìn)行組織以表現(xiàn)實(shí)務(wù)和需求間的聯(lián)系。配置管理的需求在本文的第6節(jié)被分為19個(gè)分支需求。需求編號(hào)附在相應(yīng)討論后面的括號(hào)中，如（需求2、15）意味著前面的討論與第6節(jié)提到的TCSEC需求2和15相對(duì)應(yīng)。

5. 配置管理原則概述

配置管理包含四個(gè)分支任務(wù)：識(shí)別、控制、狀態(tài)記錄和審計(jì)。對(duì)于自動(dòng)化數(shù)據(jù)處理（ADP）系統(tǒng)的任何更改，系統(tǒng)被更改版本的設(shè)計(jì)和需求都應(yīng)該得到識(shí)別。配置管理的控制任務(wù)由受權(quán)當(dāng)局通過對(duì)文檔、硬件和軟件／固件的每一項(xiàng)更改進(jìn)行審查和批準(zhǔn)來完成。配置狀態(tài)記錄負(fù)責(zé)記錄和報(bào)告更改過程中的產(chǎn)品配置。最后，通過配置審計(jì)過程，對(duì)已完成更改的功能正確性進(jìn)行驗(yàn)證，對(duì)于受信系統(tǒng)，還要對(duì)系統(tǒng)安全策略的一致性進(jìn)行驗(yàn)證。配置管理是保證運(yùn)行中的系統(tǒng)是所希望使用的系統(tǒng)的一項(xiàng)良好的工程實(shí)務(wù)。與受信系統(tǒng)配置管理相關(guān)的保證控制目標(biāo)是為了“保證系統(tǒng)的受信部分如希望的那樣進(jìn)行工作。”［1］

應(yīng)通過配置管理計(jì)劃建立和記錄規(guī)程以確保配置管理按照確定的方式進(jìn)行。任何背離配置管理計(jì)劃的情況都會(huì)造成整個(gè)系統(tǒng)配置管理以及受信系統(tǒng)中信任的失效。

5.1 配置管理的目的

由于現(xiàn)有ADP系統(tǒng)的更改是不可避免的，所以需要配置管理。配置管理的目的是確保這些更改在確定的和受控的環(huán)境中進(jìn)行，并且不會(huì)對(duì)系統(tǒng)的特性造成負(fù)面影響，對(duì)于受信系統(tǒng)，還不應(yīng)對(duì)TCB安全策略的實(shí)施造成負(fù)面影響。配置管理保證對(duì)TCB的增添、刪除或改變不會(huì)破壞評(píng)測(cè)系統(tǒng)原有的信任。它通過提供確保TCB和所有文檔得到適當(dāng)更新的規(guī)程來完成這一目標(biāo)。

6. 滿足標(biāo)準(zhǔn)需求

本節(jié)列出了TCSEC對(duì)配置管理的需求。每一個(gè)級(jí)別的每一項(xiàng)需求被分別列出和編號(hào)。每一個(gè)編號(hào)所對(duì)應(yīng)的需求在本文的后面得到了討論。本節(jié)被設(shè)計(jì)為對(duì)TCSEC級(jí)別需求的快速參考。

6.1 B2級(jí)配置管理需求

需求 1 － “在TCB的開發(fā)和維護(hù)期間必須應(yīng)用配置管理系統(tǒng)。”［1］
需求 2 － 配置管理系統(tǒng)必須維護(hù)“對(duì)描述性高級(jí)規(guī)格說明（DTLS）的更改控制。”［1］
需求 3 － 配置管理系統(tǒng)必須維護(hù)對(duì)“其它設(shè)計(jì)數(shù)據(jù)” ［1］的更改控制。
需求 4 － 配置管理系統(tǒng)必須維護(hù)對(duì)“執(zhí)行文檔” ［1］的更改控制（如用戶手冊(cè)、運(yùn)作規(guī)程）。
需求 5 － 配置管理系統(tǒng)必須維護(hù)對(duì)“源代碼” ［1］的更改控制。
需求 6 － 配置管理系統(tǒng)必須維護(hù)對(duì)“目標(biāo)代碼的運(yùn)行版本” ［1］的更改控制。
需求 7 － 配置管理系統(tǒng)必須維護(hù)對(duì)“測(cè)試裝置” ［1］的更改控制。
需求 8 － 配置管理系統(tǒng)必須維護(hù)對(duì)測(cè)試“文檔” ［1］的更改控制。
需求 9 － “配置管理系統(tǒng)必須確保所有的文檔和TCB當(dāng)前運(yùn)行版本的代碼具有一致的映射關(guān)系。”［1］
需求 10 － 配置管理系統(tǒng)必須提供“用于從源代碼生成新版TCB”［1］的工具。
需求 11 － 配置管理系統(tǒng)必須提供“新生成的TCB版本與原先版本進(jìn)行比較的工具以便確定只有希望的更改被添加到將實(shí)際使用的新版TCB代碼中。”［1］

6.2 B3級(jí)配置管理需求

TCSEC的B3級(jí)配置管理需求與TCSEC的B2級(jí)需求一樣。雖然沒有附加的需求添加進(jìn)來，但是配置管理系統(tǒng)還是必須在設(shè)計(jì)文檔中反映出B3級(jí)的變化。這意味著對(duì)于TCSEC的B3級(jí)，需要有附加的文檔在配置管理中進(jìn)行維護(hù)。

6.3 A1級(jí)配置管理需求

需求 2到需求 11與6.1節(jié)中描述的B2級(jí)評(píng)級(jí)的一樣。另外在A1級(jí)中還添加了以下需求：

需求 12 － “在整個(gè)生命周期中，如在TCB的設(shè)計(jì)、開發(fā)和維護(hù)期間，必須對(duì)所有安全相關(guān)的硬件、固件和軟件應(yīng)用配置管理系統(tǒng)。”［1］
需求 13 － 配置管理系統(tǒng)必須維護(hù)對(duì)TCB硬件的更改控制。
需求 14 － 配置管理系統(tǒng)必須維護(hù)對(duì)TCB軟件的更改控制。
需求 15 － 配置管理系統(tǒng)必須維護(hù)對(duì)TCB固件的更改控制。
需求 16 － 配置管理系統(tǒng)必須“維護(hù)對(duì)形式化模型的更改控制。”［1］
需求 17 － 配置管理系統(tǒng)必須維護(hù)對(duì)“形式化高級(jí)規(guī)格說明”［1］的更改控制。
需求 18 － 可用于配置管理的工具必須“在嚴(yán)格的配置控制下進(jìn)行維護(hù)。”［1］
需求 19 － “必須使用技術(shù)的、物理的和規(guī)程的防范措施組合來保護(hù)用于生成TCB的所有材料的主要復(fù)件不會(huì)被非受權(quán)更改或毀壞。”［1］

7. 配置管理的功能
7.1 配置識(shí)別

配置管理規(guī)程應(yīng)該能夠讓人“在任意時(shí)間點(diǎn)上識(shí)別系統(tǒng)的配置以便系統(tǒng)地控制配置的更改并在整個(gè)系統(tǒng)生命周期中維護(hù)配置的完整性和可跟蹤性。”［4］配置識(shí)別的基本功能是識(shí)別系統(tǒng)設(shè)計(jì)和應(yīng)用的組件。當(dāng)涉及到受信系統(tǒng)時(shí)，尤其指TCB的設(shè)計(jì)和應(yīng)用。這項(xiàng)任務(wù)可以通過使用識(shí)別符和基線完成（參見9.1節(jié)，基線的概念）。通過建立配置條目和基線，系統(tǒng)及其TCB的配置能夠在整個(gè)系統(tǒng)生命周期中被準(zhǔn)確地識(shí)別。對(duì)于TCSEC的B2級(jí)，TCSEC要求將TCB的“描述性高級(jí)規(guī)格說明、其它設(shè)計(jì)數(shù)據(jù)、執(zhí)行文檔、源代碼、執(zhí)行代碼的當(dāng)前版本、和測(cè)試裝置及文檔”［1］置于配置管理的控制之下（需求 2、3、4、5、6、7、8）。配置識(shí)別協(xié)助達(dá)成這種控制。TCSEC要求對(duì)TCB的每一項(xiàng)更改都必須被單獨(dú)識(shí)別以便能夠在任何時(shí)刻生成TCB的歷史。對(duì)于TCSEC的A1級(jí)，需求被擴(kuò)展到TCB的“形式化模型…和形式化高級(jí)規(guī)格說明”也要置于配置管理系統(tǒng)的維護(hù)之下（需求16、17）。

下面是必須在配置管理下被識(shí)別和維護(hù)的舉例清單：

• 包括硬件、軟件和固件的TCB基線
• 上一個(gè)基線以來TCB的硬件、軟件和固件的任何變化
• 設(shè)計(jì)和用戶文檔
• 包括功能和系統(tǒng)集成測(cè)試的軟件測(cè)試
• 用于生成當(dāng)前配置條目的工具（只在TCSEC的A1級(jí)要求）

配置管理規(guī)程應(yīng)該使正確再生任何以往的TCB配置成為可能。在非當(dāng)前版本的TCB被發(fā)現(xiàn)存在安全缺陷的情況下，需要能夠重建過去的環(huán)境以便進(jìn)行分析。只有在系統(tǒng)的整個(gè)生命周期中對(duì)配置進(jìn)行適當(dāng)?shù)淖R(shí)別才有可能進(jìn)行重建。

TCSEC還要求B2級(jí)及其以上級(jí)別必須提供“從源代碼生成TCB新版本”的工具，并且必須“有對(duì)新生成版本與以前TCB版本進(jìn)行比較的工具以便確定只有希望的更改被添加到將實(shí)際使用的TCB新版中”［1］（需求 10、11）。這些工具負(fù)責(zé)提供保證以確保沒有系統(tǒng)設(shè)計(jì)人員不希望的附加更改被插入到TCB中。自動(dòng)化工具的使用使在線識(shí)別系統(tǒng)的更改成為可能（參見附錄 A：自動(dòng)化工具）。任何對(duì)系統(tǒng)的更改或被建議的更改應(yīng)該被輸入到在線庫(kù)中。這一數(shù)據(jù)以后會(huì)被用于比較系統(tǒng)的兩個(gè)版本。這樣的在線庫(kù)甚至可以提供對(duì)軟件模塊和文檔進(jìn)行逐行比較的能力。對(duì)于A1級(jí)，用于執(zhí)行此功能的工具必須被“置于嚴(yán)格的配置控制的維護(hù)之下”［1］（需求 18）。這些工具在沒有受權(quán)當(dāng)局的嚴(yán)格檢查的情況下不得被更改。

7.1.1 配置條目

配置條目是系統(tǒng)配置的獨(dú)特識(shí)別子集，表現(xiàn)用于配置管理更改控制規(guī)程的系統(tǒng)最小部分。因?yàn)閷?duì)配置條目的任何更改都會(huì)影響到系統(tǒng)的特性或TCB的安全策略，所以配置條目需要被獨(dú)立控制。

對(duì)于TCB來說，控制條目是TCB的硬件、固件、軟件、文檔、測(cè)試以及A1級(jí)中開發(fā)工具的子集。例如，TCB軟件的每一個(gè)模塊可能形成一個(gè)單獨(dú)的配置條目。配置條目應(yīng)該被設(shè)定獨(dú)立的識(shí)別符（如序列號(hào)、名字）以便在系統(tǒng)的整個(gè)生命周期中進(jìn)行識(shí)別。正確的識(shí)別在滿足B2級(jí)TCSEC需求中要求配置管理系統(tǒng)“確保所有文檔和當(dāng)前TCB版本代碼之間的一致映射關(guān)系”［1］（需求 9）扮演了重要的角色。與配置審計(jì)一起使用，一致的標(biāo)識(shí)系統(tǒng)幫助將文檔及其所描述的代碼聯(lián)系起來。標(biāo)識(shí)每一項(xiàng)配置條目不僅使識(shí)別更加容易，而且通過增加這些條目的可追蹤性提高了整個(gè)系統(tǒng)維護(hù)中的控制水平。

可以通過隨機(jī)的分配過程將識(shí)別賦予給配置條目，但是如果配置識(shí)別符能夠描述所識(shí)別的條目就會(huì)更有用。選擇配置識(shí)別符的不同字段體現(xiàn)配置條目的不同特點(diǎn)是實(shí)現(xiàn)這一目的的一種方法。美國(guó)社會(huì)保險(xiǎn)號(hào)碼就是這樣一種我們都有的“配置識(shí)別符”。號(hào)碼的某些字段可以確定我們何處申請(qǐng)的社會(huì)保險(xiǎn)卡，也就是對(duì)我們進(jìn)行了一定的描述。因?yàn)榕渲米R(shí)別符與計(jì)算機(jī)系統(tǒng)有關(guān)，所以其中的字段應(yīng)該確定條目所屬的系統(tǒng)版本、軟件版本、或其與其它配置條目的接口。當(dāng)使用這樣的編號(hào)方案時(shí)，對(duì)于配置條目的更改應(yīng)該產(chǎn)生新的配置識(shí)別符。這個(gè)新的識(shí)別符應(yīng)該是對(duì)已有的配置識(shí)別符進(jìn)行更改或添加而產(chǎn)生的。軟件程序新版本的配置條目編號(hào)應(yīng)該與原來的不同。通過對(duì)兩個(gè)版本使用不同的配置條目，就有可能實(shí)現(xiàn)逐行的比較。

識(shí)別配置條目應(yīng)該是一項(xiàng)在系統(tǒng)開發(fā)階段的早期進(jìn)行的工作，一旦內(nèi)容被指定為配置條目，此條目的設(shè)計(jì)在沒有條目控制方知道和許可的條件下就不應(yīng)被更改。配置條目的早期識(shí)別提高了對(duì)條目維護(hù)的控制水平并能夠在系統(tǒng)開發(fā)的所有階段跟蹤回顧條目。如果配置條目只是在開發(fā)過程后期被識(shí)別，系統(tǒng)開發(fā)早期階段的條目的職能就無法實(shí)現(xiàn)。配置條目在復(fù)雜程度、規(guī)模和類型上有可能千差萬別，所以選擇配置條目的適當(dāng)粒度是很重要的。如果條目過大，每項(xiàng)條目的識(shí)別數(shù)據(jù)就會(huì)過多以至于難以對(duì)系統(tǒng)進(jìn)行審計(jì)。如果條目過小，識(shí)別數(shù)據(jù)的整體數(shù)量也會(huì)過多使系統(tǒng)審計(jì)人員難以處理。［2］配置條目的適當(dāng)粒度應(yīng)由每個(gè)供應(yīng)商確定并記錄在配置管理計(jì)劃中。

7.2 配置控制

“配置控制涉及到對(duì)已經(jīng)得到正式批準(zhǔn)的配置中的配置條目的設(shè)計(jì)和結(jié)構(gòu)的更改進(jìn)行系統(tǒng)性的評(píng)測(cè)、協(xié)調(diào)、批準(zhǔn)或否決。”［5］配置控制應(yīng)該始于系統(tǒng)設(shè)計(jì)和開發(fā)的早期階段并擴(kuò)展到包括設(shè)計(jì)和開發(fā)階段在內(nèi)的配置條目的整個(gè)生命期。配置控制規(guī)程的早期啟動(dòng)通過增加開發(fā)的可跟蹤性提高了系統(tǒng)的職能。配置控制的可跟蹤性功能服務(wù)于兩個(gè)目的。它使評(píng)估更改對(duì)系統(tǒng)的影響以及控制更改本身的進(jìn)行成為可能。應(yīng)用了配置控制，在系統(tǒng)中發(fā)生有害系統(tǒng)安全的非希望更改的機(jī)會(huì)就會(huì)減少。

配置控制的初始階段主要是對(duì)設(shè)計(jì)文檔中定義的系統(tǒng)配置進(jìn)行控制。因此，配置管理計(jì)劃必須設(shè)定規(guī)程以確保所有文檔得到適當(dāng)更新并正確體現(xiàn)系統(tǒng)描述和TCB配置。系統(tǒng)某個(gè)區(qū)域的更改通常會(huì)需要另一個(gè)區(qū)域的更改。所以只是撰寫新代碼或新更改代碼部分是不夠的，必須將受到添加或更改影響的TCB所有部分的文檔進(jìn)行相應(yīng)更新。即使文檔是可用的，但如果不將其置于配置管理的保護(hù)之下并進(jìn)行適當(dāng)?shù)母?，它的用處將?huì)很有限。當(dāng)在文檔中發(fā)現(xiàn)系統(tǒng)的缺陷時(shí)，應(yīng)開展工作為系統(tǒng)不完善或缺少的部分創(chuàng)建新的文檔。

為了滿足TCSEC的需求，配置控制必須覆蓋比文檔更廣闊的領(lǐng)域，對(duì)于B2級(jí)，還要維護(hù)對(duì)TCB的“設(shè)計(jì)數(shù)據(jù)、源代碼、執(zhí)行代碼的運(yùn)行版本和測(cè)試裝置”［1］（需求3、5、6、7）的控制。對(duì)這些內(nèi)容的任何更改都應(yīng)該經(jīng)過受權(quán)當(dāng)局的審查和批準(zhǔn)。

對(duì)于TCB的配置條目，未經(jīng)控制方的許可不得進(jìn)行更改。對(duì)于TCSEC的A1級(jí)，此需求還增加了對(duì)“規(guī)程性防護(hù)”［1］的要求以防止對(duì)TCB所使用材料的未受權(quán)更改（需求 19）。這些規(guī)程不僅應(yīng)該要求更改的執(zhí)行得到控制方的許可，而且還要求由控制方執(zhí)行將發(fā)布的主TCB復(fù)件的更改。這樣就有效防止了主復(fù)件未經(jīng)授權(quán)的更改。

在TCB中實(shí)施配置控制的水平將影響到其是否滿足TCSEC對(duì)于配置管理的需求。TCSEC的配置管理需求要求在B2級(jí)中“TCB的開發(fā)和維護(hù)”（需求 1）過程中，以及在A1級(jí)中“整個(gè)生命周期”（需求 12）過程中應(yīng)用配置管理。最低限度的配置控制系統(tǒng)對(duì)于滿足TCSEC需求是不夠的，它只能提供系統(tǒng)更改的事后檢查。這樣的系統(tǒng)可能確保更改的完全和可接受性并可能控制更改的發(fā)行，但是對(duì)于大多數(shù)情況來說，這樣的控制只是事后質(zhì)量保證檢查。這樣的系統(tǒng)肯定好于沒有應(yīng)用控制的系統(tǒng)，但是并不滿足TCSEC對(duì)于配置管理的需求。這種系統(tǒng)要達(dá)到B2級(jí)的需求就應(yīng)該控制更改的進(jìn)行。TCSEC所需的配置控制應(yīng)為更改提供從其開端、到實(shí)施和測(cè)試、到發(fā)布的持續(xù)核查和批準(zhǔn)。TCB所應(yīng)用的控制級(jí)別應(yīng)該超越系統(tǒng)的其它部分，但是建議將系統(tǒng)的所有部分都置于配置控制之下。

對(duì)于將應(yīng)用于多站點(diǎn)的硬件或軟件／固件的更改，配置控制也應(yīng)負(fù)責(zé)確保每個(gè)站點(diǎn)接收的系統(tǒng)版本是正確的。

TCB配置控制的要點(diǎn)在于對(duì)TCB的所有更改都必須得到批準(zhǔn)、監(jiān)督和評(píng)估以確保TCB功能的正確性和所有安全策略得以維持。

7.3 配置狀態(tài)記錄

配置狀態(tài)記錄負(fù)責(zé)以特定方式報(bào)告開發(fā)的進(jìn)度。這項(xiàng)工作是通過數(shù)據(jù)記錄、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)報(bào)告過程來實(shí)現(xiàn)的。配置狀態(tài)記錄的主要目標(biāo)是記錄和報(bào)告對(duì)于配置管理過程重要的所有信息。重要信息的內(nèi)容應(yīng)該在配置管理計(jì)劃中概括。建立新的基線（參加9.1節(jié)，基線的概念）或滿足既定條件是應(yīng)該被記錄的配置狀態(tài)記錄信息的例子。配置管理計(jì)劃中要求的應(yīng)該被視為最低要求，任何看起來與配置管理有關(guān)的事件都應(yīng)該被提取和記錄，這些內(nèi)容在將來可能會(huì)被證明是有用的。

配置記錄系統(tǒng)可以是通過人工記錄跟蹤來發(fā)現(xiàn)更改狀態(tài)，或使用數(shù)據(jù)庫(kù)對(duì)更改進(jìn)行自動(dòng)化跟蹤。以某種正確形式記錄信息本身就可以到的一定的目的。在線狀態(tài)記錄系統(tǒng)的好處在于信息被以結(jié)構(gòu)化的方式保存，這樣可以幫助保持信息的更新狀態(tài)?？梢栽跀?shù)據(jù)庫(kù)中查詢有關(guān)配置更改狀態(tài)或配置條目的信息，這樣比通過記錄本排序要省事得多。最后，磁盤或硬盤的保存穩(wěn)定性要超過活頁(yè)記錄本或文件夾，它可以提供適當(dāng)?shù)膫浞菀苑乐瓜到y(tǒng)失敗引起的數(shù)據(jù)丟失。

無論使用那種系統(tǒng)，都應(yīng)該能夠快速查找配置條目的所有受權(quán)版本，以及所有受權(quán)更改及其更改原因的注釋，并且既能查出配置條目的當(dāng)前狀態(tài)也能查出所需條目的一些中間狀態(tài)。所有已執(zhí)行的受權(quán)更改狀態(tài)都應(yīng)該在提交給配置控制委員會(huì)會(huì)議（參加9.3節(jié)，配置控制委員會(huì)）的系統(tǒng)狀態(tài)報(bào)告中闡明。

配置狀態(tài)記錄“建立能夠提供適當(dāng)后勤支持的記錄和報(bào)告，如提供建立后備、執(zhí)行手冊(cè)、培訓(xùn)和維護(hù)設(shè)施所需的支持。”［5］通過配置狀態(tài)記錄產(chǎn)生的記錄和報(bào)告應(yīng)該包括當(dāng)前配置清單、歷史更改清單、初始設(shè)計(jì)、更改請(qǐng)求及其實(shí)施的狀態(tài)并應(yīng)該提供跟蹤所有更改的能力。

7.4 配置審計(jì)

配置審計(jì)涉及到檢查配置記錄信息的整體完全性“以確定只有［受權(quán)］更改被添加到將實(shí)際使用的TCB新版本中。”［1］（需求 11）當(dāng)更改被添加到系統(tǒng)中時(shí)，應(yīng)該對(duì)更改對(duì)系統(tǒng)其它部分產(chǎn)生的影響進(jìn)行檢查和審計(jì)。這應(yīng)該包括檢查和測(cè)試所有軟件以確保更改被正確地執(zhí)行。配置審計(jì)關(guān)系到對(duì)系統(tǒng)控制過程的檢查并確保其以正確的方式進(jìn)行。受信系統(tǒng)的配置審計(jì)對(duì)TCB已執(zhí)行的更改進(jìn)行較驗(yàn)并對(duì)安全特性和保證進(jìn)行維護(hù)。配置審計(jì)應(yīng)該被定期執(zhí)行以驗(yàn)證配置狀態(tài)記錄的信息。配置審計(jì)使插入未經(jīng)審批的更改而不被發(fā)現(xiàn)的可能性降低到最小，并且使?fàn)顟B(tài)記錄信息充分體現(xiàn)配置管理保證的有效性。

“完全的審計(jì)應(yīng)該包括在所有相關(guān)的功能中跟蹤每一項(xiàng)需求以發(fā)現(xiàn)需求是否被滿足。”［2］另外，配置審計(jì)還應(yīng)該確保沒有不必要的添加。審計(jì)提供了技術(shù)檢查的有效模式，它應(yīng)該是可以預(yù)測(cè)的并且盡可能簡(jiǎn)單易行，如應(yīng)該有具體所需的結(jié)果。

配置審計(jì)應(yīng)驗(yàn)證：

• 結(jié)構(gòu)設(shè)計(jì)滿足需求
• 詳細(xì)設(shè)計(jì)滿足結(jié)構(gòu)設(shè)計(jì)
• 代碼實(shí)施了詳細(xì)設(shè)計(jì)
• 條目／產(chǎn)品執(zhí)行了每一項(xiàng)需求
• 配置文檔與條目／產(chǎn)品相符

配置審計(jì)的主要重點(diǎn)是為用戶提供系統(tǒng)的使用版本就是用戶想要使用版本的合理保證。配置審計(jì)確保配置管理系統(tǒng)的配置控制規(guī)程得到遵行。配置審計(jì)的保證特性是通過合理和一致的職能規(guī)程提供的。所有的代碼審計(jì)都應(yīng)該遵行基本相同的規(guī)程并對(duì)系統(tǒng)的所有更改執(zhí)行同一系列的核查。

8. 配置管理計(jì)劃

有效的配置管理應(yīng)包括在項(xiàng)目啟動(dòng)后立即準(zhǔn)備的整體計(jì)劃。這項(xiàng)計(jì)劃應(yīng)該使用簡(jiǎn)單、確定的語(yǔ)言描述在系統(tǒng)和TCB中實(shí)施配置管理所應(yīng)采取的行動(dòng)。最小的配置管理計(jì)劃可能只限于定義怎樣實(shí)施配置管理相關(guān)的識(shí)別、控制、記錄和審計(jì)工作。以下段落描述的配置管理計(jì)劃是一個(gè)更加詳細(xì)計(jì)劃的例子，它包括配置管理相關(guān)所有方面的文檔，如用于配置管理的文檔例子、任何可用的自動(dòng)化工具的規(guī)程、或配置控制委員會(huì)名冊(cè)（參加9.3節(jié)，配置控制委員會(huì)）。配置管理計(jì)劃應(yīng)包括描述如何完成配置管理工作的“充分詳細(xì)的文檔，以便任何參與項(xiàng)目的人都能夠參考文檔確定每項(xiàng)與CM相關(guān)的具體工作應(yīng)該如何開展。”［2］

配置管理計(jì)劃應(yīng)該有一個(gè)部分用來定義設(shè)計(jì)、開發(fā)、管理、配置控制委員會(huì)和所有與系統(tǒng)生命周期相關(guān)的人員所扮演的角色。系統(tǒng)任何部分所需的責(zé)任都應(yīng)該在配置管理計(jì)劃中建立和記錄以確保人的因素在配置管理中發(fā)揮正確的作用。配置管理委員會(huì)成員的清單，或成員的職務(wù)也應(yīng)該包括在這一部分。

任何可以用于配置管理的工具都應(yīng)記錄在配置管理計(jì)劃中。對(duì)于TCSEC的A1級(jí)，要求將這些工具“置于嚴(yán)格的配置控制的維護(hù)之下”［1］（需求 18）。這些工具可能包括用于更改控制的工具、標(biāo)記配置條目的規(guī)則、軟件庫(kù)，以及支持配置管理過程的任何自動(dòng)化工具。任何用于報(bào)告的文檔范例也應(yīng)被包含在配置管理計(jì)劃中并附帶相應(yīng)的描述。配置管理計(jì)劃應(yīng)該有一個(gè)部分處理規(guī)程。因?yàn)榕渲霉芾淼闹饕獎(jiǎng)恿碓从谒裥械囊?guī)程，所以需要在整個(gè)文檔中明確在配置管理過程中應(yīng)遵行何種規(guī)程。配置管理計(jì)劃應(yīng)該提供所應(yīng)執(zhí)行的規(guī)程以確保用戶和設(shè)計(jì)文檔與系統(tǒng)所有的更改一同得到更新。它應(yīng)該包括創(chuàng)建和維護(hù)整個(gè)系統(tǒng)生命期的功能測(cè)試和文檔的指導(dǎo)方針。配置管理計(jì)劃應(yīng)該描述如何對(duì)更改的設(shè)計(jì)和實(shí)施進(jìn)行提交、評(píng)估、協(xié)調(diào)和批準(zhǔn)或否決的規(guī)程。配置管理計(jì)劃還應(yīng)該包括確保只有那些得到批準(zhǔn)的更改被實(shí)際添加并且這些更改添加到所有所需的領(lǐng)域所應(yīng)采取的步驟。

配置管理計(jì)劃還應(yīng)該有一個(gè)部分用來定義現(xiàn)存的“應(yīng)急”規(guī)程，如未經(jīng)完整的審核過程，可能超越標(biāo)準(zhǔn)規(guī)程執(zhí)行時(shí)間敏感更改的規(guī)程。這些規(guī)程應(yīng)該定義在緊急更改執(zhí)行完畢后追溯執(zhí)行配置管理的步驟。

配置管理計(jì)劃是一個(gè)動(dòng)態(tài)的文檔并且應(yīng)該在設(shè)計(jì)和開發(fā)階段具有靈活性。雖然配置管理計(jì)劃是用來對(duì)項(xiàng)目進(jìn)行強(qiáng)制控制的，但是它應(yīng)該具有添加和更改的開放性以便適應(yīng)設(shè)計(jì)者和開發(fā)者的需要。這不是說配置管理計(jì)劃只是一種指南而無需遵行，只是說對(duì)它的更改也是可以的。如果不遵行計(jì)劃，就無法提供適當(dāng)?shù)谋ＷC。在需要更改配置管理計(jì)劃的情況下，應(yīng)該對(duì)更改進(jìn)行謹(jǐn)慎地評(píng)估和審批。對(duì)于受信系統(tǒng)配置管理計(jì)劃的更改，這種評(píng)估必須確保計(jì)劃所支持的安全特性和保證在更改實(shí)施后能夠得以維持。

9. 實(shí)施方法

本節(jié)討論了可能用于滿足TCSEC需求的配置管理的實(shí)施方法。9.1節(jié)討論做為配置識(shí)別方法的基線概念?；€概念使用前面提到過的配置管理特性，但是將系統(tǒng)生命周期分成不同的基線。

9.1節(jié)描述了虛擬的MER公司如何進(jìn)行配置管理。他們?cè)噲D滿足TCSEC對(duì)B2級(jí)系統(tǒng)的需求。

9.3節(jié)討論了完成配置控制的配置控制委員會(huì)（CCB）的概念。CCB是負(fù)責(zé)配置控制的一些人。這個(gè)概念被許多計(jì)算機(jī)供應(yīng)商廣泛使用。

9.1 基線的概念

基線建立在系統(tǒng)生命周期中預(yù)先選擇的設(shè)計(jì)點(diǎn)上。某條基線可能被用于描述一個(gè)具體的系統(tǒng)版本，在一些配置管理系統(tǒng)中每種主要的條件可能定義一條單獨(dú)的基線?；€根據(jù)配置控制委員會(huì)的判斷建立并將其要點(diǎn)記錄在配置管理計(jì)劃中。當(dāng)建立多條基線時(shí)，每條基線做為開發(fā)某階段的一個(gè)切點(diǎn)，開發(fā)工作同時(shí)向另一個(gè)階段的切點(diǎn)移動(dòng)。所有基線的共同特性是系統(tǒng)的設(shè)計(jì)應(yīng)該在其建立的點(diǎn)上得到批準(zhǔn)而且可以相信任何對(duì)此設(shè)計(jì)的更改都將影響到未來的系統(tǒng)開發(fā)。

基線管理是一種進(jìn)行配置識(shí)別的技術(shù)。它將系統(tǒng)和TCB的設(shè)計(jì)與開發(fā)確定為一系列與配置控制相關(guān)的階段或基線。與配置條目一起使用就成為了整個(gè)生命周期中對(duì)系統(tǒng)及其TCB配置進(jìn)行識(shí)別的另一種有效方法。

“對(duì)于每一種不同的基線，每一個(gè)單獨(dú)的受控部件都應(yīng)該被識(shí)別，任何對(duì)當(dāng)前配置的更改都應(yīng)該得到批準(zhǔn)和記錄。對(duì)于開發(fā)［生命周期］中的每一個(gè)中間產(chǎn)品都有一條唯一的基線。通過對(duì)基線添加所有得到批準(zhǔn)的更改就可以獲得當(dāng)前配置。”［2］

在開發(fā)的不同階段定義了多個(gè)基線的系統(tǒng)中，這些基線或里程碑應(yīng)該在系統(tǒng)開始階段建立并做為整個(gè)開發(fā)活動(dòng)的指導(dǎo)。雖然建立了特定的基線，但是還可以建議其它可選的方式以改善設(shè)計(jì)的靈活性和效率。每個(gè)系統(tǒng)可以建立的基線數(shù)量依據(jù)系統(tǒng)規(guī)模和復(fù)雜程度以及設(shè)計(jì)者和開發(fā)者所支持的方法的不同而不同。只要對(duì)每條基線采取適當(dāng)?shù)呐渲霉芾泶胧陀锌赡芙⒋嬖谟谕粫r(shí)刻的多條基線。下面的例子將討論的基線概念使用了三個(gè)通用基線類型：功能的、分配的和產(chǎn)品的。應(yīng)該強(qiáng)調(diào)的是，這些都是在設(shè)計(jì)者和開發(fā)者的決策基礎(chǔ)上建立的簡(jiǎn)單而基本的里程碑和基線。

第一種基線，功能的基線建立在系統(tǒng)設(shè)計(jì)的初始階段。它由包含定義系統(tǒng)需求的規(guī)格說明的性能和目標(biāo)標(biāo)準(zhǔn)的文檔導(dǎo)出。一旦這些規(guī)格說明被建立起來，任何對(duì)其的更改都應(yīng)該得到批準(zhǔn)。

在功能的基線中產(chǎn)生的需求可能被分為和細(xì)分為各種配置條目。一旦決定了配置條目的內(nèi)容，每一項(xiàng)條目都應(yīng)賦予一個(gè)配置識(shí)別符。根據(jù)對(duì)系統(tǒng)需求的分析應(yīng)該建立分配的基線。這種基線使用負(fù)責(zé)相應(yīng)功能的具體配置條目確定所有所需的功能。在這種基線中，每一項(xiàng)配置條目的責(zé)任會(huì)分配給一個(gè)人。所有影響分配的基線中定義的系統(tǒng)設(shè)計(jì)需求規(guī)格說明的更改都需要負(fù)責(zé)人的批準(zhǔn)。

最后一種基線，產(chǎn)品的基線應(yīng)該包含將要用作集成測(cè)試的系統(tǒng)版本。這種基線標(biāo)志了開發(fā)階段的結(jié)束并且應(yīng)該包含系統(tǒng)可發(fā)行的版本。

在前面提到的基線的例子中為每一個(gè)系統(tǒng)版本建立一條基線因同樣的原因適用于功能的、分配的和產(chǎn)品的基線的例子。在單一基線的例子中做為基線建立起來的系統(tǒng)其設(shè)計(jì)在使用前將需要配置控制的批準(zhǔn)。在設(shè)計(jì)得到批準(zhǔn)以前，系統(tǒng)設(shè)計(jì)將必須經(jīng)過一些形式的功能核查以及將這些功能分配給各種配置條目的過程。雖然在單一基線例子中設(shè)計(jì)的早期過程不像其早期任務(wù)得到單獨(dú)定義時(shí)那樣正式，但是系統(tǒng)仍然得益于做為基線得到配置管理的控制。建立任何基線的要點(diǎn)在于通過要求任何對(duì)其的更改都必須執(zhí)行已建立的更改控制過程的方式控制基線的更改。

9.2 MER公司的配置管理

MER公司是一家計(jì)算機(jī)系統(tǒng)生產(chǎn)商。他們的最新項(xiàng)目包括建造滿足TCSEC的B2級(jí)需求的系統(tǒng)。在過去，他們的配置管理只包含質(zhì)量保證檢查，但是為了滿足B2級(jí)需求他們意識(shí)到他們將需要在系統(tǒng)的開發(fā)和維護(hù)過程中應(yīng)用特定的配置管理規(guī)程。

項(xiàng)目經(jīng)理被指定完成撰寫配置管理規(guī)程并將其納入配置管理計(jì)劃中的工作。在進(jìn)行了一些有關(guān)配置管理計(jì)劃中應(yīng)包含內(nèi)容的研究后，他開始為MER公司撰寫計(jì)劃。配置管理計(jì)劃中列出了完成系統(tǒng)配置管理所需遵行的步驟。描述了開發(fā)團(tuán)隊(duì)所應(yīng)遵行的規(guī)程并描述了MER公司將要使用的配置管理自動(dòng)化工具。這些工具包括用于狀態(tài)記錄的在線跟蹤數(shù)據(jù)庫(kù)，在線數(shù)據(jù)庫(kù)中包括配置控制的所有條目列表以及用于存放軟件的自動(dòng)化庫(kù)。在開發(fā)開始之前，所有的開發(fā)團(tuán)隊(duì)有責(zé)任閱讀配置管理計(jì)劃以確保他們了解配置管理所應(yīng)遵行的規(guī)程。

系統(tǒng)開發(fā)時(shí)，使用配置管理計(jì)劃中解釋的配置條目編號(hào)方案標(biāo)記TCB的硬件、軟件和固件。另外，這些條目的文檔和測(cè)試也被賦予配置條目編號(hào)以確保TCB代碼和這些條目具有一致的映射關(guān)系。所有的配置條目編號(hào)和條目描述被存儲(chǔ)在數(shù)據(jù)庫(kù)中以便在任何時(shí)間進(jìn)行查詢導(dǎo)出整個(gè)系統(tǒng)的配置。軟件和文檔被存儲(chǔ)在軟件庫(kù)中這樣它們就可以被取出或使用而不影響到主版本。所有軟件的主復(fù)件被存儲(chǔ)在包含軟件發(fā)行版本的主庫(kù)中。這些庫(kù)被任意訪問控制機(jī)制保護(hù)以防止未受權(quán)人員對(duì)軟件的更改。

在系統(tǒng)開發(fā)過程中有更改的需要。配置管理計(jì)劃應(yīng)描述在配置控制下的更改執(zhí)行規(guī)程。這些規(guī)程在整個(gè)系統(tǒng)生命周期中都起作用。對(duì)于每一項(xiàng)所提出的更改，應(yīng)該由管理層作出是否可行和需要的決定。MER公司有在線論壇來檢查所建議的更改。這個(gè)論壇使開發(fā)團(tuán)隊(duì)的所有成員都可以就所提出更改對(duì)其工作的影響提出意見。管理層將經(jīng)常咨詢?cè)撜搲詭椭渥鞒鲎罱K決定。決定作出后，會(huì)指定一名程序員完成更改。程序員會(huì)從軟件庫(kù)中提取最近版本的軟件并對(duì)其進(jìn)行更改。當(dāng)進(jìn)行更改時(shí)，更改被輸入到在線追蹤數(shù)據(jù)庫(kù)中。這使開發(fā)團(tuán)隊(duì)的成員能夠查詢數(shù)據(jù)庫(kù)以便在任何時(shí)間了解更改的當(dāng)前狀態(tài)。更改執(zhí)行后對(duì)其進(jìn)行測(cè)試和記錄，并在成功完成后轉(zhuǎn)發(fā)給檢查人。檢查人是軟件的經(jīng)理，他是唯一有權(quán)批準(zhǔn)發(fā)行更改版本的人。更改的發(fā)行被批準(zhǔn)后，更改版本被存儲(chǔ)在主庫(kù)中并且其第二復(fù)件被存儲(chǔ)在軟件庫(kù)中。被存儲(chǔ)在這些庫(kù)中的每一項(xiàng)更改都被賦予一個(gè)新的配置識(shí)別編號(hào)。MER公司有一種工具可以識(shí)別對(duì)軟件作出的更改。它比較任何兩個(gè)軟件版本并提供兩者之間差別的逐行列表。

我們知道，在開發(fā)過程開始的時(shí)候有時(shí)需要執(zhí)行重要的更改而無法遵行這樣的檢查過程。對(duì)于這些更改，配置管理計(jì)劃中列出了緊急規(guī)程并且有關(guān)鍵修改庫(kù)可以被用以記錄發(fā)行以來所發(fā)生的關(guān)鍵更改。

在配置管理計(jì)劃中還提供了TCB硬件的更改控制過程。規(guī)程確保TCB硬件更改的可跟蹤性并且不違反由TCB軟件作出的安全假設(shè)。與軟件的更改類似，所有的硬件更改在實(shí)施前都要經(jīng)過項(xiàng)目經(jīng)理的檢查。

在完成對(duì)TCB軟件的更改后，MER公司執(zhí)行配置審計(jì)來驗(yàn)證跟蹤數(shù)據(jù)庫(kù)中存放的信息。無論更改是否被執(zhí)行，MER公司的配置管理計(jì)劃設(shè)定一個(gè)月至少執(zhí)行一次配置審計(jì)。這種審計(jì)將當(dāng)前主版本與狀態(tài)記錄信息進(jìn)行比較以驗(yàn)證沒有未經(jīng)批準(zhǔn)的更改被插入。

這項(xiàng)配置管理計(jì)劃涉及到描述性高級(jí)規(guī)格說明（DTLS）、執(zhí)行文檔、源代碼、目標(biāo)代碼、測(cè)試裝置和測(cè)試文檔，并且被證明滿足TCSEC對(duì)B2級(jí)的配置管理需求。

9.3 配置控制委員會(huì)（CCB）

配置控制可以通過多種方式進(jìn)行。配置控制的一種方法就是上面提到的經(jīng)過TCSEC的B2級(jí)評(píng)測(cè)的系統(tǒng)使用的方式，即由一群符合條件的人組成的配置控制委員會(huì)（CCB），也被稱為配置更改委員會(huì)來完成。委員會(huì)由一名主席領(lǐng)導(dǎo)，他負(fù)責(zé)會(huì)議進(jìn)度并最終批準(zhǔn)任何所提出的更改。CCB成員的規(guī)模和組成在不同機(jī)構(gòu)是不同的，但應(yīng)該包括任何或全部以下系統(tǒng)領(lǐng)域的團(tuán)隊(duì)：

• 項(xiàng)目管理
• 系統(tǒng)工程
• 質(zhì)量保證
• 技術(shù)支持
• 集成和測(cè)試
• 系統(tǒng)安裝
• 技術(shù)文檔
• 硬件和軟件／固件采購(gòu)
• 程序開發(fā)
• 安全工程
• 用戶組

CCB的成員應(yīng)該定期交流，可以通過正式會(huì)議、電子論壇或其它任何可用的方式來討論諸如所提出的更改、配置狀態(tài)記錄報(bào)告等配置管理話題，還可以包括系統(tǒng)開發(fā)中不同領(lǐng)域的其它話題。這些交流應(yīng)該定期舉行以便整個(gè)系統(tǒng)團(tuán)隊(duì)了解系統(tǒng)的所有進(jìn)展和變化的最新情況。委員會(huì)服務(wù)于對(duì)系統(tǒng)更改的控制并且確保只有得到批準(zhǔn)的更改被應(yīng)用于系統(tǒng)。CCB通過考慮有關(guān)更改和添加的提議并作出相應(yīng)決策來完成此項(xiàng)功能。

與系統(tǒng)開發(fā)相關(guān)的各種小組的CCB成員進(jìn)行交叉表述的重要性在于防止“對(duì)系統(tǒng)進(jìn)行不必要的和矛盾的更改，并且允許與新需求、更改的功能性分配和失敗的測(cè)試有關(guān)的有益更改。”［2］委員會(huì)的所有成員都應(yīng)該有對(duì)所提出的更改發(fā)表自己意見的機(jī)會(huì)。例如，如果系統(tǒng)工程方面提出了影響到安全的更改，雙方都應(yīng)該可以向CCB會(huì)議提交他們的意見。如果在CCB中不存在多樣性，更改就可能會(huì)被執(zhí)行，應(yīng)用時(shí)可能會(huì)發(fā)現(xiàn)它與系統(tǒng)的其它部分不兼容。

配置控制過程開始于更改請(qǐng)求的記錄。更改請(qǐng)求應(yīng)該包括所提出更改的理由、受到影響的所有條目和文檔以及所提出的解決方案。更改請(qǐng)求應(yīng)該被記錄，可以是手工的也可以是在線的以便跟蹤所有所提出的系統(tǒng)更改并確保沒有重復(fù)的更改請(qǐng)求被處理。更改請(qǐng)求被記錄后，它應(yīng)該被分發(fā)以便CCB進(jìn)行分析來檢查和批準(zhǔn)或否決更改請(qǐng)求。更改的總體影響分析將決定是否執(zhí)行更改。CCB將根據(jù)更改的檢查結(jié)果，即更改是否需要和可行并符合系統(tǒng)進(jìn)一步的設(shè)計(jì)目標(biāo)來確定批準(zhǔn)還是否決更改。在涉及到受信系統(tǒng)時(shí)，CCB還必須確保更改不會(huì)影響到系統(tǒng)的安全策略。

一旦作出了任何更改的決定，CCB有責(zé)任排定得到批準(zhǔn)的更改的優(yōu)先順序以確保最重要的內(nèi)容得到最先開發(fā)。當(dāng)排定更改的優(yōu)先順序時(shí)，應(yīng)該努力使更改以符合邏輯的順序進(jìn)行。CCB還負(fù)責(zé)設(shè)定執(zhí)行修改的職權(quán)并確保配置文檔得到適當(dāng)更新。被指定進(jìn)行修改的人應(yīng)該具有修改系統(tǒng)的適當(dāng)授權(quán)，并且在處理敏感信息的受信系統(tǒng)中，這種授權(quán)是必須要求的。在任何增強(qiáng)或新的開發(fā)過程中，CCB通過確定所有開發(fā)所需的測(cè)試級(jí)別來持續(xù)對(duì)整個(gè)系統(tǒng)施加控制。

更改完成時(shí)，CCB負(fù)責(zé)驗(yàn)證更改是否被正確加入以及只有得到批準(zhǔn)的更改被加入。測(cè)試應(yīng)該在得到更改的系統(tǒng)或TCB上進(jìn)行以確保更改完成后功能能夠正確地執(zhí)行。CCB應(yīng)該檢查任何開發(fā)的測(cè)試結(jié)果并且應(yīng)該對(duì)于發(fā)行有最終決定權(quán)。

使用CCB是執(zhí)行配置控制的一種方式，但是不是所有的供應(yīng)商都希望或有資源建立這種方式。無論采取什么方式，都應(yīng)該有執(zhí)行前面描述的控制過程的措施。

10. 其它話題
10.1 受信分配

與受信系統(tǒng)的配置管理有關(guān)的是TCSEC在A1級(jí)需求中提到的：

“受信ADP系統(tǒng)的控制和分配設(shè)施必須被用來維護(hù)描述TCB當(dāng)前版本的主數(shù)據(jù)與當(dāng)前版本的在線主代碼復(fù)件之間的映射關(guān)系。必須有確保被分配給客戶的TCB軟件、固件和硬件的更新與主復(fù)件一致的規(guī)程。”［1］

有兩個(gè)受信分配過程的問題需要回答：(a)收到的產(chǎn)品是否是預(yù)期的機(jī)構(gòu)發(fā)來的？以及(b)接收方收到的是否是發(fā)送方希望發(fā)送的？

配置管理通過確保從更改被批準(zhǔn)到發(fā)行這段時(shí)間內(nèi)沒有發(fā)生更改來協(xié)助受信分配。A1級(jí)附加的配置管理需求支持這項(xiàng)功能的是“技術(shù)的、物理的和規(guī)程的防范措施組合必須被用于保護(hù)生成TCB的所有材料的主復(fù)件或其它復(fù)件免遭非受權(quán)修改或毀壞”［1］（需求 19）。這項(xiàng)需求要求對(duì)TCB任何版本的更改進(jìn)行嚴(yán)格控制。應(yīng)該考慮更改未如設(shè)定的那樣執(zhí)行或?qū)⒂泻Φ母牟迦隩CB的可能性，并應(yīng)對(duì)執(zhí)行主復(fù)件更改的職權(quán)進(jìn)行嚴(yán)格限制。一項(xiàng)主復(fù)件的職權(quán)應(yīng)該只確保對(duì)主復(fù)件實(shí)施得到批準(zhǔn)的和可接受的更改。

配置狀態(tài)記錄和審計(jì)報(bào)告可以為所有使用中的TCB版本提供職能。當(dāng)分配不是由供應(yīng)商生產(chǎn)的、被篡改的復(fù)件或分配“偽造”的復(fù)件時(shí)，配置管理記錄將能夠?qū)λ蠺CB版本的有效性和正確性進(jìn)行評(píng)估。受信分配顯示了對(duì)TCB所有更改進(jìn)行配置控制的需求。沒有配置控制就不存在TCB版本向客戶分配的職能。

10.2 功能測(cè)試

“系統(tǒng)開發(fā)者必須向評(píng)測(cè)者提供描述測(cè)試計(jì)劃和測(cè)試規(guī)程的文檔以顯示安全機(jī)制是如何被測(cè)試的，以及安全機(jī)制功能測(cè)試的結(jié)果。”［1］這些功能測(cè)試的創(chuàng)建和維護(hù)應(yīng)該是配置管理規(guī)程的一部分。測(cè)試結(jié)果以及任何相關(guān)測(cè)試文檔必須被置于配置管理的維護(hù)之下并且在需要時(shí)得到更新。（需求 7、8）。測(cè)試應(yīng)該是可重復(fù)的，包括充分的文檔以便任何有能力的程序員都可以根據(jù)文檔開展測(cè)試。系統(tǒng)的測(cè)試計(jì)劃應(yīng)該在TCB的功能規(guī)格說明（或其它設(shè)計(jì)文檔）中與測(cè)試項(xiàng)目一起得到描述。雖然代碼標(biāo)準(zhǔn)不需要像受測(cè)試的項(xiàng)目標(biāo)準(zhǔn)一樣嚴(yán)格，但是測(cè)試計(jì)劃和項(xiàng)目應(yīng)該與所測(cè)試的項(xiàng)目一起得到檢查和審計(jì)。

不能只對(duì)被打開或更換的代碼進(jìn)行測(cè)試，而是要對(duì)所有受更改影響的TCB部分進(jìn)行測(cè)試。NCSC的評(píng)測(cè)者會(huì)提供滿足TCSEC測(cè)試需求所需的安全功能測(cè)試的描述，包括如上所述的有關(guān)配置管理的測(cè)試。

10.3 配置管理培訓(xùn)

每一名新的技術(shù)員工在上崗之前都應(yīng)該接受配置管理規(guī)程的培訓(xùn)。有經(jīng)驗(yàn)的程序員雖然可能熟悉一些配置管理的內(nèi)容，但也需要進(jìn)行新規(guī)程方面的培訓(xùn)，如以后會(huì)使用的自動(dòng)化記錄系統(tǒng)。培訓(xùn)既可以“通過舉辦正式課程的形式也可以通過安排充足時(shí)間閱讀公司配置標(biāo)準(zhǔn)的方式進(jìn)行。”［2］新程序員應(yīng)該在被允許參與任何對(duì)設(shè)計(jì)基線的更改前熟悉配置管理計(jì)劃。應(yīng)該強(qiáng)調(diào)的是，由于未經(jīng)培訓(xùn)的員工導(dǎo)致的對(duì)配置管理標(biāo)準(zhǔn)的違反可能會(huì)妨礙系統(tǒng)得到評(píng)級(jí)。［2］

10.4 配置管理監(jiān)督

成功的配置管理系統(tǒng)需要遵行許多規(guī)程。系統(tǒng)管理人員可能會(huì)犯錯(cuò)誤或?qū)ふ医輳蕉茐牧苏麄€(gè)配置管理計(jì)劃，所以需要考慮對(duì)他們的要求。應(yīng)該有檢查過程以確保未經(jīng)某種形式的批準(zhǔn)過程，一個(gè)人是無法創(chuàng)建并實(shí)施對(duì)系統(tǒng)的更改的。應(yīng)該要求對(duì)執(zhí)行更改的人負(fù)有責(zé)任的管理人員簽署更改正確性的正式記錄。［2］

適當(dāng)?shù)谋O(jiān)管也為執(zhí)行更改的人具有適當(dāng)?shù)墓ぷ髀殭?quán)提供了保證。更改不應(yīng)該由不具備執(zhí)行更改素質(zhì)的人執(zhí)行。在處理敏感信息的系統(tǒng)中，執(zhí)行更改的程序員還必須具有執(zhí)行更改的適當(dāng)安全許可證。

管理本身必須直接支持配置管理計(jì)劃以便其能夠發(fā)揮作用。必須在任何情況下防止對(duì)配置管理的削弱，如因?yàn)檫M(jìn)度或預(yù)算的原因。管理層應(yīng)該滿足配置管理對(duì)的金錢、人員和時(shí)間方面的適當(dāng)需求。

11. 評(píng)級(jí)維護(hù)項(xiàng)目

評(píng)級(jí)維護(hù)項(xiàng)目（RAMP）由NCSC制定，旨在保持測(cè)評(píng)產(chǎn)品清單（EPL）的更新狀態(tài)。通過培訓(xùn)使供應(yīng)商人員了解何種更改會(huì)負(fù)面影響到系統(tǒng)安全策略的應(yīng)用，并通過使用配置管理對(duì)測(cè)評(píng)產(chǎn)品的更改進(jìn)行跟蹤，RAMP允許供應(yīng)商維持其評(píng)測(cè)產(chǎn)品的評(píng)級(jí)而無需對(duì)新版本進(jìn)行重新評(píng)測(cè)。因?yàn)椴僮飨到y(tǒng)由一個(gè)版本更改到下一個(gè)版本會(huì)影響到該操作系統(tǒng)的安全特性和保證，所以配置管理是RAMP中不可分割的一部分。對(duì)于在該項(xiàng)目下維護(hù)評(píng)級(jí)的系統(tǒng)，NCSC必須確定通過供應(yīng)商的配置管理規(guī)程，所進(jìn)行的更改不會(huì)負(fù)面影響到系統(tǒng)的安全機(jī)制和保證。

每一個(gè)RAMP的參與方必須制定NCSC批準(zhǔn)的評(píng)級(jí)維護(hù)計(jì)劃（RMPlan），計(jì)劃應(yīng)包括支持評(píng)級(jí)維護(hù)過程的詳細(xì)的配置管理計(jì)劃（CMP）。這一要求適用于所有參與到RAMP中的系統(tǒng)，而無論其級(jí)別高低。需要RAMP項(xiàng)目的更多信息和有關(guān)RAMP對(duì)配置管理方面的需求信息請(qǐng)聯(lián)系：

National Computer Security Center
9800 Savage Road
Fort George G. Meade, MD 20755?6000
Attention: Chief, Requirements and Resources Division

12. 配置管理總結(jié)

由配置管理提供的保證對(duì)于所有系統(tǒng)都有益處。配置管理系統(tǒng)“應(yīng)用于對(duì)描述性高級(jí)規(guī)格說明、其它設(shè)計(jì)數(shù)據(jù)、執(zhí)行文檔、源代碼、目標(biāo)代碼的當(dāng)前版本、以及測(cè)試裝置和文檔更改控制的維護(hù)”［1］（需求 1、2、3、4、5、6、7、8）是B2和更高級(jí)別受信系統(tǒng)的需求。雖然配置管理是B2和更高級(jí)別受信系統(tǒng)的需求，但是所有的非評(píng)級(jí)系統(tǒng)或已經(jīng)得到評(píng)級(jí)的系統(tǒng)都應(yīng)該應(yīng)用它。

成功配置管理的建立是為了達(dá)成四個(gè)主要目標(biāo)：控制、識(shí)別、記錄和審計(jì)。通過這些目標(biāo)的達(dá)成，配置管理可以對(duì)TCB的控制進(jìn)行維護(hù)并保護(hù)其免遭“會(huì)導(dǎo)致保護(hù)機(jī)制失效或被完全繞過的非受權(quán)更改。”［1］即使對(duì)于那些與安全無關(guān)的系統(tǒng)問題，配置管理仍然是確保更改后的系統(tǒng)特性得以維護(hù)的好方法。要取得配置管理的成功，在系統(tǒng)生命周期中始終堅(jiān)持正式的配置管理計(jì)劃是非常重要的。

成功的配置管理計(jì)劃應(yīng)開始于對(duì)配置管理目標(biāo)、范圍和規(guī)程的早期和完整的定義。成功的配置管理依賴于正確性。更改應(yīng)該被正確地識(shí)別和記錄，更改完成后，更改及其影響到的所有系統(tǒng)部分都應(yīng)該被記錄和測(cè)試。

配置管理為系統(tǒng)所有的更改提供控制和可跟蹤性。進(jìn)行中的更改可以通過配置狀態(tài)記錄信息進(jìn)行監(jiān)視，以便對(duì)更改進(jìn)行控制并評(píng)估其對(duì)系統(tǒng)其它部分的影響。

成功的配置管理計(jì)劃的一個(gè)重要內(nèi)容是相關(guān)人員必須堅(jiān)持其規(guī)程以便使所有的文檔和更改記錄保持更新狀態(tài)。

應(yīng)用了嚴(yán)格和擁有良好文檔的配置管理計(jì)劃，發(fā)生任何不必要或重復(fù)更改的機(jī)會(huì)就會(huì)大大減少，任何需要的更改就可以很方便地被識(shí)別。有效的配置管理系統(tǒng)應(yīng)該能夠顯示應(yīng)該創(chuàng)建的內(nèi)容、已經(jīng)創(chuàng)建的內(nèi)容和正在創(chuàng)建的內(nèi)容。

附錄 A: 自動(dòng)化工具

自動(dòng)化工具可以被用于以前不得不手工作業(yè)的一些配置管理功能。數(shù)據(jù)庫(kù)管理系統(tǒng)，即使只是有限的查詢系統(tǒng)也可以被用于配置管理的配置審計(jì)和狀態(tài)記錄功能。自動(dòng)化系統(tǒng)的使用原則是涉及到系統(tǒng)開發(fā)的源代碼和其它文檔的文本都可以被輸入到主庫(kù)中并通過使用自動(dòng)化系統(tǒng)進(jìn)行更改。這防止了任何人未經(jīng)適當(dāng)授權(quán)訪問配置管理數(shù)據(jù)庫(kù)執(zhí)行更改。“通常，只有一個(gè)程序庫(kù)管理員，他可以是項(xiàng)目經(jīng)理或向經(jīng)理直接負(fù)責(zé)的人，他應(yīng)該在開發(fā)中具有向主庫(kù)的寫權(quán)限。”［2］一些軟件開發(fā)者創(chuàng)建了可以用于配置狀態(tài)記錄的軟件控制設(shè)施。其中兩個(gè)系統(tǒng)的簡(jiǎn)介如下。

A.1 UNIX SCCS

“在UNIX 系統(tǒng)中，make功能以及admin、get、prs和delta組成的源代碼控制系統(tǒng)提供了基本的配置記錄系統(tǒng)。最初由mkdir功能創(chuàng)建一個(gè)目錄。這時(shí)，可以使用UNIX 提供的owner、group命令和全局保護(hù)方案保護(hù)目錄。另外還產(chǎn)生了一個(gè)登錄識(shí)別符列表設(shè)定誰可以更改由SCCS處理的內(nèi)容。”［2］

目錄創(chuàng)建后，使用admin –n功能輸入每個(gè)文檔。在對(duì)新內(nèi)容進(jìn)行更新時(shí)，該內(nèi)容被稱為delta的新版本被創(chuàng)建出來。每項(xiàng)內(nèi)容的名字標(biāo)記有“s.”的前綴并被SCCS存儲(chǔ)在一個(gè)文件中。如果添加到目錄中的文件沒有包含這個(gè)前綴就會(huì)被SCCS功能忽略。當(dāng)調(diào)用admin功能時(shí)會(huì)設(shè)定一些變量來“定義影響文件的參數(shù)，并可能被admin后續(xù)的調(diào)用更改。變量alogin被用于通過列舉能夠?qū)?nèi)容使用delta功能的用戶登錄名來創(chuàng)建與訪問控制列表類似的清單，這樣就創(chuàng)建了新的版本（delta）或變體分支。“［2］

每一項(xiàng)代碼模塊初始的發(fā)行版本或初始的delta版本都被通過admin –n功能輸入到SCCS目錄中，這樣就創(chuàng)建了主庫(kù)。程序員可以通過使用get –e功能更改主庫(kù)中的每個(gè)模塊，“該功能指示模塊將被編輯并使用delta功能將完成的文檔重新輸入到目錄中。當(dāng)使用get –e將正在被編輯的模塊從SCCS目錄中導(dǎo)出時(shí)，可以使用delta將其返回到庫(kù)中，所有需要更改的信息將隨之被輸入。功能get可以被用于導(dǎo)出任何文檔的復(fù)件，但是當(dāng)它被編輯后就不能被重新輸入到庫(kù)中。”［2］

“SCCS提供了通過為每項(xiàng)delta功能輸出設(shè)定SCCS識(shí)別碼（SID）的方式進(jìn)行軟件版本創(chuàng)建的能力。“［2］人們可以通過設(shè)定適當(dāng)?shù)腟ID獲得文本或源代碼的任何版本。“有明確的規(guī)則在get被調(diào)用時(shí)指定所需的SID。如果沒有指定SID，則提供最近的發(fā)行版本或級(jí)別。” 調(diào)用get –e時(shí)使用的SID會(huì)影響到delta調(diào)用結(jié)果的SID。［2］“由于prs功能從SCCS目錄中的s.文件中導(dǎo)出信息并且打印給用戶，所以它可以進(jìn)行配置記錄。Prs可以被用于快速創(chuàng)建報(bào)告，列出一兩個(gè)重要的數(shù)值清單，如許多SCCS文件的最后更改日期，或從一兩個(gè)文件中列出許多值。還可以使用編輯器創(chuàng)建更大的報(bào)告。”［2］

A.2 VAX DEC/CMS

“VAX DEC/CMS[7]也被用于跟蹤存儲(chǔ)在CMS目錄中的每一個(gè)文本文件，但是CMS比admin擁有更強(qiáng)的審計(jì)和交叉檢查的功能。例如，如果在CMS目錄中直接使用編輯器更改文件，CMS在以后使用該文件時(shí)會(huì)產(chǎn)生警告信息。任何非CMS功能輸入到CMS目錄中的文件都會(huì)在其在目錄中被調(diào)用時(shí)導(dǎo)致CMS產(chǎn)生警告信息。其配置記錄的其它過程與SCCS類似。

CMS CREATE LIBRARY功能可以建立目錄并開始初始日志。項(xiàng)目經(jīng)理使用CMS CREATE ELEMENT功能向目錄輸入內(nèi)容。必須RESERVER庫(kù)中的內(nèi)容以便更改，并且它只能由REPLACE功能放回到庫(kù)中。如果某人在早先程序員的RESERVE和REPLACE調(diào)用之間RESERVE該內(nèi)容，會(huì)有警告發(fā)給雙方程序員并將發(fā)生的事件記錄下來。要獲得文本的樣本復(fù)件，如程序代碼，F(xiàn)ETCH功能將產(chǎn)生內(nèi)容的最新版本或任何特定版本，但不允許被編輯的復(fù)件被重新輸入到庫(kù)中。SHOW功能可以被用于審計(jì)庫(kù)中的每項(xiàng)內(nèi)容的信息。

SCCS和DEC/CMS之間的不同體現(xiàn)在軟件的版本建立方面。在UNIX中，版本建立只能被描述在makefile文件中，或版本建立使用的每項(xiàng)內(nèi)容都必須使用get從SCCS目錄中導(dǎo)出并放置到另一個(gè)目錄中，然后makefile文件參照這些源文件創(chuàng)建可執(zhí)行的程序。CMS的方法是使用類和組機(jī)制自動(dòng)選擇源文件的一個(gè)子集，包括一些不是最新的內(nèi)容。為了解釋它是如何工作的，人們必須理解CMS版本和變異的概念。文件的每一個(gè)版本對(duì)應(yīng)UNIX中的一個(gè)delta。版本通常被按照升序編號(hào)。CMS還具有在REPLACE功能中設(shè)定變異名創(chuàng)建任何版本的變異開發(fā)行的能力。例如，有一項(xiàng)內(nèi)容的RESERVE版本3，然后執(zhí)行了一個(gè)REPLACE/VARIANT ＝ T，這將創(chuàng)建版本3T1，這個(gè)版本以后可以與版本3分別開發(fā)。這種功能第一次執(zhí)行時(shí)，等同于SCCS創(chuàng)建分支delta版本。而SCCS不具分支本身還可以有分支的能力。

使用CMS CREATE GROUP和CMS INSERT ELEMENT功能可以在CMS目錄中定義一個(gè)組。組由所有的版本構(gòu)成，包括變異版本和所有插入組的內(nèi)容。組可以包含在其它組內(nèi)。多個(gè)組之間可以定義為非空交集以便他們具有交叉的成員關(guān)系。

CMS CREATE CLASS功能和CMS INSERT GENERATION功能一起可以被用于設(shè)定軟件版本建立的明確內(nèi)容。這樣，DECRIPTION文件就可以通過在源代碼或相關(guān)規(guī)則的執(zhí)行行中使用/GENERATION = classname限定語(yǔ)句引用整個(gè)類。當(dāng)需要描述軟件版本的中間測(cè)試時(shí)，UNIX需要的makefile會(huì)更加復(fù)雜。”［2］

術(shù)語(yǔ)表

自動(dòng)化數(shù)據(jù)處理（ADP）系統(tǒng) － 計(jì)算機(jī)硬件、固件和軟件的組合，被配置用于在盡量少的人為干預(yù)下進(jìn)行數(shù)據(jù)的分類、排序、計(jì)算、處理、匯總、發(fā)送和接收、存儲(chǔ)和取回。［1］

基線 － 用于比較或控制目的的一系列關(guān)鍵的觀察結(jié)果或數(shù)據(jù)?；€體現(xiàn)了配置條目設(shè)計(jì)和開發(fā)中的一個(gè)切點(diǎn)，在這一點(diǎn)后，配置在沒有嚴(yán)格配置控制策略和規(guī)程的情況下不得變化。

配置記錄 － 配置條目的描述以及開發(fā)和生產(chǎn)期間任何偏離基線情況的記錄和報(bào)告。［2］

配置審計(jì) － 出于評(píng)估所建立的需求、標(biāo)準(zhǔn)和基線執(zhí)行情況的目的而進(jìn)行的獨(dú)立檢查。［2］

配置控制 － 控制對(duì)系統(tǒng)設(shè)計(jì)、硬件、固件、軟件和文檔進(jìn)行更改的過程，它為保護(hù)系統(tǒng)在系統(tǒng)實(shí)施前、實(shí)施中和實(shí)施后免遭不適當(dāng)更改的干擾提供了充分的保證。

配置控制委員會(huì)（CCB） － 所建立的對(duì)ADP系統(tǒng)的所有更改提議具有最終職權(quán)的委員會(huì)。

配置識(shí)別 － 在設(shè)計(jì)、開發(fā)、測(cè)試和生產(chǎn)工作中對(duì)系統(tǒng)配置的識(shí)別。

配置條目 － 被配置管理系統(tǒng)跟蹤的硬件、軟件、固件、文檔或其任意部分的最小單元。

配置管理 － 在系統(tǒng)開發(fā)和運(yùn)作的生命周期中對(duì)系統(tǒng)的硬件、軟件、固件、文檔、測(cè)試、測(cè)試裝置和測(cè)試文檔更改的控制。

描述性高級(jí)規(guī)格說明（DTLS） － 使用自然語(yǔ)言（如英語(yǔ)）撰寫的高級(jí)規(guī)格說明，非正式的程序設(shè)計(jì)標(biāo)注，或二者的組合。［1］

固件 － 需要有計(jì)算機(jī)程序指令運(yùn)行以便執(zhí)行其任意功能的設(shè)備，其中程序使用電子方式存儲(chǔ)在設(shè)備中但是無法在正常的設(shè)備運(yùn)行中使用電子方式擦除。［3］

形式化安全策略模型 － 使用形式化的算術(shù)語(yǔ)言對(duì)系統(tǒng)支持的安全策略的精確和準(zhǔn)確的描述。

形式化高級(jí)規(guī)格說明 － 使用形式化算術(shù)語(yǔ)言撰寫的高級(jí)規(guī)格說明，能夠從理論上顯示系統(tǒng)規(guī)格說明與其形式化需求之間的對(duì)應(yīng)關(guān)系的設(shè)定和證明。［1］

粒度 － 能夠調(diào)節(jié)機(jī)制的相對(duì)精細(xì)度或粗糙度。詞組“單個(gè)用戶的粒度”意味著能夠調(diào)節(jié)訪問控制機(jī)制使其包括或排除任何一個(gè)用戶。［1］

硬件 － 用于處理數(shù)據(jù)的電氣的、電子的和機(jī)械的設(shè)備。

非形式化安全策略模型 － 使用自然語(yǔ)言（如英語(yǔ)）對(duì)系統(tǒng)支持的安全策略的精確和準(zhǔn)確的描述。

軟件 － 通常由廠商供應(yīng)的協(xié)助采購(gòu)者有效運(yùn)行設(shè)備的各種程序。這些軟件內(nèi)容包括各種匯編器、生成器、子程序庫(kù)、編譯器、操作系統(tǒng)和行業(yè)應(yīng)用程序。［6］

工具 － 取得某種最終結(jié)果的手段。與本指南有關(guān)的工具是文檔、規(guī)程和組織化體系，如CCB，它們?yōu)檫_(dá)成配置管理的控制目標(biāo)作出了貢獻(xiàn)。

受信計(jì)算基（TCB） － 計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)機(jī)制的總稱 ―― 包括硬件、固件和軟件 ―― 組合在一起負(fù)責(zé)安全策略的強(qiáng)制執(zhí)行。TCB包括一個(gè)或多個(gè)組件，它們一起強(qiáng)制執(zhí)行產(chǎn)品或系統(tǒng)的統(tǒng)一安全策略。TCB正確執(zhí)行安全策略的能力只依賴于TCB的內(nèi)部機(jī)制和系統(tǒng)管理人員輸入正確的安全策略參數(shù)（如用戶許可證）。［1］

參考資料

1. National Computer Security Center, DOD Trusted Computer System Evaluation Criteria, DOD, DOD 5200.28-STD, 1985.

2. Brown, R. Leonard, "Configuration Management for Development of a Secure Computer System", ATR-88(3777-12)-1, The Aerospace Corporation, 1987.

3. Subcommittee on Automated Information System Security, Working Group #3, "Dictionary of Computer Security Terminology", 23 November 1986.

4. Bersoff, Edward H., Henderson, Vilas D., Siegal, Stanley G., Software Configuration Management, Prentice Hall, Inc., 1980.

5. Samaras, Thomas T., Czerwinski, Frank L., Fundamentals of Configuration Management, Wiley-Interscience, 1971.

6. Sipple, Charles J., Computer Dictionary, Fourth Edition, Howard W. Sams & Co., 1985.

7. Digital Equipment Corporation, VAX DEC/CMS Reference Manual, AA-L372B-TE, Digital Equipment Corporation, 1984.