４．３．１．１　自主访问控制
　　ＴＣＢ需定义并控制系统中主体对客体的访问控制，所采用的机制（如访问控制表）要明确规定特定主体对其它主体控制下的信息的访问类型。自主访问控制机制应限制访问权限的扩展。系统和用户设定的自主访问控制机制，能保证受保护的客体不会被未经授权的用户访问。对客体没有访问权限的用户，只有对客体有授权能力的用户才能为其指定访问权限。
　　４．３．１．２　客体再用
　　在将ＴＣＢ的空闲存储客体池中客体初始指定、分配或再分配给一个主体之前，所有对于存储客体所含信息的授权都必须被撤销。当主体获得对一个已被释放的存储客体的访问权时，由原主体活动所产生的任何信息对当前主体都是不可获得的。
　　４．３．１．３　标记
　　ＴＣＢ要维护与每一主体及其可能访问的系统资源相关的敏感标记，以此作为强制访问控制决策的基础。系统必须明确规定需要标记的客体（如文件、外部设备等）与不需要标记的客体（如：用户不可见的内部资源）。对于需要标记的客体，系统要明确定义客体标记的粒度。除了不需要标记的客体外，所有其它客体从ＴＣＢ外部观点看都要有明显标记。在输入未标记数据时，必须由授权用户向ＴＣＢ提供这些数据的安全级别，而且所有这些行为都可以由ＴＣＢ进行审计。
　　４．３．１．３．１　标记完整性
　　敏感标记必须准确地表示出与其相关的具体主体或客体的安全级别。当ＴＣＢ输出敏感标记时，输出标记的外部表示要与其内部标记一致，并与输出的信息相关联。
　　４．３．１．３．２　标记信息的输出
　　ＴＣＢ要能维护并审计与通信信道或Ｉ／Ｏ设备相关联的安全级别的任何变动。
　　４．３．１．３．３　主体标记
　　在ＴＣＢ与用户交互期间，如果与用户有关的安全级发生任何变化，ＴＣＢ应立刻通知用户。
　　４．３．１．３．４　设备标记
　　ＴＣＢ应能对所辖的物理设备指定最小和最大安全级。ＴＣＢ要使用这些安全级，在设备所处的物理环境中对设备的使用施加约束。
　　４．３．１．４　强制访问控制
　　ＴＣＢ必须对所有可被ＴＣＢ外部主体直接或间接访问的资源（例如：主体、存储客体、物理设备等）实施强制访问控制策略。必须为这些主体和资源指定敏感标记（它们是级别和类别的组合），这些标记将作为强制访问控制决策的基础。所有由ＴＣＢ所控制的主体对客体的访问必须遵循以下规则：仅当主体的级别高于或等于客体的级别，且主体安全等级中的类别包含客体安全等级中的所有类别时，主体才能读客体；仅当主体的级别低于或等于客体的级别，且主体安全等级中的所有类别包含于客体安全等级中的类别时，主体才能写客体。ＴＣＢ要使用标识和鉴别数据来鉴别用户的身份，并确保用户的访问级和授权高于或等于代表该用户的ＴＣＢ外部主体的安全等级和授权。

第 [1] [2] [3] [4] [5] [6] [7] 页 共[8]页