４．２．３　保证
　　４．２．３．１　操作保证
　　４．２．３．１．１　系统体系结构
　　ＴＣＢ要在封闭的域中运行，使其不受外部干扰或篡改（例如：代码或数据结构的修改）。ＴＣＢ要隔离受保护资源，以满足访问控制和审计的需求。
　　４．２．３．１．２　系统完整性
　　要提供相应的硬件或软件，用于定期确认ＴＣＢ中硬件或固件元素的正常运行。
　　４．２．３．１．３　数据完整性
　　ＴＣＢ要提供控制机制，以保证多个主体对同一客体访问时客体中数据的正确性和完整性，并且不影响系统的正常运行。
　　４．２．３．２　生命周期保证
　　４．２．３．２．１　安全测试
　　必须对产品文档所述的安全功能进行测试，以确认其功能与文档描述相一致。测试要证实未经授权的用户没有明显的办法可以绕过或攻破ＴＣＢ的安全保护机制。测试还要搜索ＴＣＢ中明显的缺陷，这些缺陷可能导致ＴＣＢ中的外部主体能够违背资源隔离原则，或者对审计数据或鉴别数据进行未经授权的访问。
　　４．２．４　文档
　　４．２．４．１　安全特征用户指南
　　安全特征用户指南要描述ＴＣＢ提供的保护机制、使用指南、以及保护机制之间的配合方法，必须清楚地描述ＴＣＢ中安全机制之间的交互作用。
　　４．２．４．２　可信设施手册
　　在可信设施手册中，要明确描述ＴＣＢ所支持的任何预定义用户或主体（例如：系统管理员），要对运行安全功能时必须受到控制的功能和特权提出警告，并清楚地描述上述受控功能和特权之间的关系。如果存在ＴＣＢ的安全操作的配置选项，应该予以标识。
　　要提供用于检查和维护审计文件的规程。对每类审计事件，还要提供详细的审计记录结构。
　　４．２．４．３　测试文档
　　测试文档要描述安全保护机制的测试计划、测试步骤及其功能测试结果。
　　４．２．４．４　设计文档
　　设计文档要描述产品的保护原理，并解释该原理在ＴＣＢ中的实现，如果ＴＣＢ由多个不同的模块组成，还应描述各模块间的接口。
　　４．３　强制保护级（ｂ）
　　ｂ级的主要要求是：ＴＣＢ能维护敏感标记及其完整性，并利用敏感标记来实施强制访问控制规则，ｂ级的系统必须使系统中的主要数据结构带有敏感标记。系统开发者必须提供作为ＴＣＢ基础的安全策略实现模型以及ＴＣＢ的规约。
　　４．３．１　安全策略

第 [1] [2] [3] [4] [5] [6] [7] 页 共[8]页