４．３．２　责任核查
　　４．３．２．１　身份鉴别
　　用户在要求ＴＣＢ执行任何动作之前，必须首先向ＴＣＢ表明自己的身份。ＴＣＢ要使用保护机制（如：口令）来鉴别用户身份。ＴＣＢ必须保护鉴别数据，该数据不仅包含验证用户身份的信息（例如：口令），也包含确定用户访问级与授权的信息。ＴＣＢ要使用这些数据来鉴别用户的身份，并确保用户的访问级和授权高于或等于代表该用户的ＴＣＢ外部主体的安全等级和授权。为了防止任何未经授权的用户对鉴别数据进行访问，ＴＣＢ必须对鉴别数据进行保护。ＴＣＢ需提供唯一标识每个操作系统用户的机制，并将用户的所有可审计行为与用户的标识联系起来。
　　４．３．２．２　可信路径
　　在对初始登录的用户进行鉴别时，ＴＣＢ要在它和用户之间维持一条可信信道。经由该路径的通信必须由专门用户或ＴＣＢ进行初始化。
　　４．３．２．３　审计
　　ＴＣＢ必须能创建、维护由主体实施的操作（例如：读、删和改等）的审计记录。ＴＣＢ要记录下列类型的事件：使用身份鉴别机制；客体的引用；客体的删除；安全管理员的操作；以及其它与安全有关的事件。对于每一个记录事件，审计记录要标识：事件发生的日期和时间、主体、事件类型及事件的成功和失败。对于客体的引用及删除事件，审计记录还要包含客体名称。安全管理员应能够根据个体身份或个体安全等级有选择地审计一个或多个用户的行为。由可信软件执行的单个操作，如果对用户是完全透明的，则不必进行审计。ＴＣＢ必须保护审计数据，使得只有授权用户才能对它进行读访问。当发生与安全有关的事件时，ＴＣＢ要做到：（１）检测事件的发生；（２）记录审计踪迹条目；（３）通知安全管理员。
　　４．３．３　保证
　　４．３．３．１　操作保证
　　４．３．３．１．１　系统体系结构
　　ＴＣＢ要在封闭的域中运行，使其不受外部干扰或篡改（例如：代码或数据结构的修改）。由ＴＣＢ控制的资源可以是系统中主体和客体的一个子集。ＴＣＢ要隔离受保护资源，以满足访问控制和审计的需求。ＴＣＢ要通过不同的地址空间来维护进程隔离。ＴＣＢ的内部要构造成定义良好的独立模块。ＴＣＢ的模块设计要保证使最小特权原理得以实现。ＴＣＢ需完整定义其用户接口，并且标识ＴＣＢ的所有元素。ＴＣＢ要有效地利用相关硬件把关键保护元素和非关键保护元素分隔开。
　　４．３．３．１．２　系统完整性

第 [1] [2] [3] [4] [5] [6] [7] 页 共[8]页