要提供相应的硬件或软件，用于定期确认ＴＣＢ中硬件或固件元素的正常运行。
　　４．３．３．１．３　可信设施管理
　　ＴＣＢ能支持独立的操作员和管理员功能。
　　４．３．３．１．４　可信恢复
　　ＴＣＢ要提供诸如转贮和日志文件等机制，以保证在系统失效或其它中断发生后的数据恢复过程中不会导致任何安全泄漏。
　　４．３．３．１．５　数据完整性
　　ＴＣＢ要定义及验证完整性约束条件的功能，以维护客体及敏感标记的完整性。
　　４．３．３．２　生命周期保证
　　４．３．３．２．１　安全测试
　　必须对产品文档所述的安全功能进行测试，以确认其功能与文档描述相一致。测试组应充分了解ＴＣＢ的安全功能的实现，并彻底分析其测试设计文档、源码和目标码，其目标是：发现设计和实现中的所有缺陷，这些缺陷会引起ＴＣＢ的外部主体能够实施违背强制或自主安全策略的某种操作；同时保证没有任何未授权主体能使ＴＣＢ进入一种不能响应其它主体发起的通讯的状态。ＴＣＢ应具有一定的抗渗透能力。必须消除所有被发现的缺陷，重新测试ＴＣＢ要证实这些缺陷已不再存在且没有引入新的错误。
　　４．３．３．２．２　设计规约和验证
　　要证实ＴＣＢ所支持的安全策略模型符合其安全策略，并在产品运行的整个生命周期中维护这一模型。
　　４．３．３．２．３　配置管理
　　在ＴＣＢ的整个生命周期期间，即ＴＣＢ的设计、开发和维护期间，要使用配置管理系统来控制对设计数据、实现文档、源代码、目标代码的运行版本、测试装置以及文档的任何更改。配置管理系统要保证与ＴＣＢ当前版本相关联的所有文档和代码之间的一致映射。要提供从源代码生成ＴＣＢ新版本的工具。要提供比较新版ＴＣＢ和原版ＴＣＢ的工具，只有在确定已按预期方案完成了修改后，才能启用新的ＴＣＢ版本。
　　４．３．４　文档
　　４．３．４．１　安全特征用户指南
　　安全特征用户指南要描述ＴＣＢ提供的保护机制、使用指南、以及保护机制之间的配合方法，必须清楚地描述ＴＣＢ中完全机制之间的交互作用。
　　４．３．４．２　可信设施手册
　　在可信设施手册中，必须明确描述ＴＣＢ所支持的任何预定义用户或主体（例如：系统管理员），要对运行安全功能时必须受到控制的功能和特权提出警告，并清楚地描述上述受控功能和特权之间的关系。如果存在ＴＣＢ的安全操作的配置选项，应该予以标识。

第 [1] [2] [3] [4] [5] [6] [7] 页 共[8]页