４．１　局部保护级（ｄ）
　　提供一种或几种安全功能，但又未能达到ｃ级标准的产品。
　　４．１．１　安全功能
　　必须明确定义每项安全功能预期达到的目标，描述为达到此目标而采用的ＴＣＢ的安全机制及实现技术。
　　４．１．２　安全测试
　　必须对产品文档所述的安全功能进行测试，以确认其功能与文档描述相一致。
　　４．１．３　文档
　　安全特征用户指南文档要清楚地描述产品的保护原理、使用方法、使用限制及适用范围。
　　要提供一个测试文档，描述该产品的测试计划、安全机制的测试过程及安全功能测试的结果。
　　４．２　自主保护级（ｃ）
　　ｃ级主要提供自主访问控制功能，并通过审计手段，能对主体行为进行审查。
　　４．２．１　安全策略
　　４．２．１．１　自主访问控制
　　ＴＣＢ需定义并控制系统中主体对客体的访问机制，所采用的机制（如访问控制表）要明确规定特定主体对其它主体控制下的信息的访问类型。系统和用户设定的自主访问控制机制，能保证受保护的客体不会被未经授权的用户访问。对客体没有访问权限的用户，只有对该客体有授权能力的用户才能为其指定访问权限。
　　４．２．１．２　客体再用
　　在将ＴＣＢ的空闲存储客体池中客体初始指定、分配或再分配给一个主体之前，所有对于存储客体所含信息的授权都必须被撤销。当主体获得对一个已被释放的存储客体的访问权时，由原主体活动所产生的任何信息对当前主体都是不可获得的。
　　４．２．２　责任核查
　　４．２．２．１　身份鉴别
　　用户在要求ＴＣＢ执行任何动作之前，必须首先向ＴＣＢ表明自己的身份；ＴＣＢ要使用保护机制（如：口令）来鉴别用户身份。为了防止任何未经授权的用户对鉴别数据进行访问，ＴＣＢ要对鉴别数据进行保护。ＴＣＢ需提供唯一标识每个系统用户的机制，并将用户的所有可审计行为与用户的标识联系起来。
　　４．２．２．２　审计
　　ＴＣＢ必须能创建、维护由主体实施的操作（例如：读、删和改等）的审计记录。ＴＣＢ要记录下列类型的事件：使用身份鉴别机制；客体的引用；客体的删除；以及其它与安全有关的事件。对于每一个记录事件，审计记录需标识：事件发生的日期和时间、用户、事件类型及事件的成功和失败。由可信软件执行的单个操作，如果对用户是完全透明的，则不必进行审计。ＴＣＢ要保护审计数据，使得只有授权用户才能访问。

第 [1] [2] [3] [4] [5] [6] [7] 页 共[8]页