5.2.1 配置管理 5.2.1.1 配置管理自动化
应通过配置管理(CM)自动化增加CM 系统的有效性,使所设计的TCB 不易受人为错误或疏忽
的影响。这里的TCB 是就纯软件而言的,通过引进自动化的CM 来协助TCB 配置项的正确生成,并确
定TCB 与其以前版本之间的变化及将来版本的改变。 CM 自动化分为:
a) 部分 CM 自动化:应确保TCB 的实现表示是通过自动方式控制的,从而解决复杂实现或众多
合作者合作开发,以及在开发过程中多种变化情况所出现的人工难以解决的问题,并确保这 些变化是已授权的行为所产生的。部分CM 自动化要求:
——TCB 的开发者所使用的CM 系统应通过所提供的自动方式来确保TCB 的实现表示只能 进行已授权的变化,并能提供自动方式来支持TCB 的生成;
——开发者所提供的 CM 计划应描述CM 系统中所使用的自动工具,并说明如何使用这些工 具。
b) 完全 CM 自动化:除了与上述部分CM 自动化有相同的内容外,还能自动确定TCB 版本间的变化,并标识出哪个配置项会因其余配置项的修改而受到影响。
5.2.1.2 配置管理能力
应确保 TCB 在提交用户运行之前是正确和完备的,所有配置项不会缺少,并能防止对TCB 配置项进行未授权的增加、删除或修改。 配置管理能力的设计应满足以下要求:
a) 版本号:要求开发者所使用的版本号与所应表示的 TCB 样本应完全对应,没有歧义。 b) 配置项:要求配置项应有唯一的标识,从而对 TCB 的组成有更清楚的描述。这些描述与部
分CM 自动化的要求相同。
c) 授权控制:要求开发者用对TCB 的唯一引用作为其标签,从而使TCB 的使用者明确自己使
用的是哪一个样本;控制机制使TCB 不会受到未经授权的修改,从而确保TCB 的完整性。 为此,授权控制要求:
——CM 计划应描述系统是如何使用的,并说明运行中的CM 系统与CM 计划的一致性; ——CM 文档应足以说明在CM 系统下有效地维护了所有的配置项; ——CM 系统应确保对配置项只进行授权修改。
d) 生成支持和验收过程:要求在上述版本号、配置项、授权控制的基础上确认对配置项的任何
生成和修改都是由授权者进行的。为此,CM 系统应支持TCB 的生成,验收计划应描述用来 验收修改过的或新建的配置项的过程,并作为TCB 的一部分。
e) 进一步的支持:要求集成过程有助于确保由一组被管理的配置项生成TCB 的过程是以授权的
方式正确进行的,并要求CM 系统有能力标识用于生成TCB 的主拷贝的材料,这有助于通过 适当的技术,以及物理的和过程的安全措施来保持这些材料的完整性。为此,CM 的进一步支 持要求:
——CM 文档除应包括配置清单、CM 计划外,还应包括一个验收计划和集成过程,集成过程应
描述在TCB 制作过程中如何使用CM 系统;
——CM 系统应要求将一个配置项接收到CM 中的不是该配置项的开发者; ——CM 系统应明确标识组成TSF 的配置项;
——CM 系统应支持所有对TCB 修改的审计,至少应包括操纵者、日期、时间等信息; ——CM 系统应有能力标明用于生成TCB 主拷贝的所有材料;
——CM 文档应阐明CM 系统与开发安全方法相联系的使用,并只允许对TCB 作授权的修改; ——CM 文档应阐明集成过程的使用能够确保TCB 的生成是以授权的方式正确进行的