榆林市人民政府关于印发榆林市“百强企业”考核奖励办法的通知

上一篇: 甘肃省消费者权益保护条例
下一篇: 关于印发巢湖流域水污染防治“十五”计划实施意见的函

浙江省人民政府


浙江省城镇廉租住房保障办法

省政府令第181号


《浙江省城镇廉租住房保障办法》已经省人民政府第30次常务会议审议通过，现予公布，自2005年1月1日起施行。


省长


二○○四年十一月十一日



第一条为建立和完善城镇廉租住房保障制度，保障城镇最低收入家庭的基本住房需求，根据国家有关规定，结合本省实际，制定本办法。

第二条本省城镇最低收入家庭，其住房面积低于户籍所在地设区的市或者县（市）最低住房面积保障标准的，均有权依照本办法获得廉租住房保障。

本办法所称城镇最低收入家庭，是指户籍在县（市、区）、镇的下列居民家庭：

（一）依法获得最低生活保障救助的家庭；

（二）县级以上人民政府规定的其他经济困难家庭。

第三条城镇最低收入家庭廉租住房保障，包括发放住房租赁补贴、实物配租和租金减免等形式。具体保障形式及其适用范围、条件，由设区的市、县（市）人民政府根据本地区实际规定，并向社会公布。

第四条县级以上人民政府应当加强对本行政区域内廉租住房保障工作的组织和领导，建立健全工作制度和管理规范，落实保障资金，保障本办法的有效实施。

第五条县级以上房地产行政主管部门负责本行政区域内的廉租住房保障管理工作；民政、财政、价格、审计、土地、税务、公安等部门在各自职责范围内负责廉租住房保障的有关工作。

设区的市、县（市、区）房地产行政主管部门负责廉租住房保障的具体管理审批工作，并可以委托镇人民政府或者街道办事处办理廉租住房保障的有关管理、服务工作。

第六条设区的市、县（市、区）人民政府应当以财政预算资金为主，多渠道筹措廉租住房保障资金。

第七条廉租住房保障资金必须全部用于发放住房租赁补贴、廉租住房的建设、购置和维修以及租金减免，不得挪用、截留和私分。

廉租住房保障资金实行财政专户管理。

财政、审计等部门依法对廉租住房保障资金的使用情况进行监督。

第八条鼓励社会组织和个人对廉租住房保障事业进行捐赠。

第九条廉租住房建设用地应当符合当地土地利用总体规划，纳入当地土地利用年度计划，以行政划拨方式供应。

对廉租住房的购置、廉租住房租金收入，应当按照规定给予税收优惠。

第十条最低住房面积保障标准，按每户家庭住房面积计算不低于36平方米，同时按人均住房面积计算不低于12平方米。具体由设区的市、县（市）房地产行政主管部门会同民政、财政、价格等部门制订，报经本级人民政府批准后公布执行，并报上一级人民政府备案。

第十一条申请廉租住房保障的家庭,其住房面积按家庭成员拥有的下列住房面积认定：

（一）私有住房（包括与他人共有住房部分）；

（二）待入住的拆迁安置房；

（三）承租的公有住房中免缴租金或者应缴租金低于廉租住房租金标准的面积部分。

本办法所称家庭成员，包括配偶，实际共同居住的子女、父母和其他有法定扶养、赡养、抚养关系的人员。

第十二条申请廉租住房保障，由家庭户主向户籍所在地的设区的市、县（市、区）（以下简称市、县）房地产行政主管部门提出书面申请，并提交下列材料：

（一）户籍证明、家庭成员身份证明；

（二）最低生活保障救助证明；

（三）现有住房情况证明；

（四）县级以上人民政府规定的其他材料。

申请人可以根据自身条件，在申请书中明确其申请的廉租住房保障的具体形式。

第十三条市、县房地产行政主管部门应当自收到申请之日起5个工作日内进行初审，并根据下列情况分别作出处理：

（一）对申请事项属于职权范围且申请材料齐全的，应当予以受理；

（二）对申请事项不属于职权范围的，应当即时作出不予受理的决定，并告知申请人向有关行政机关申请；

（三）对申请材料不齐全的，应当告知申请人需要补正的全部内容。

第十四条市、县房地产行政主管部门受理申请后，应当对申请人家庭的成员、收入、住房等基本情况进行核查。申请人和有关单位或者个人应当接受调查，如实提供情况。

市、县房地产行政主管部门应当在申请人现居住地公布申请人名单，征求群众意见。申请人名单的公布期限应当不少于7个工作日。

第十五条市、县房地产行政主管部门应当自受理申请之日起20个工作日内完成核查。对符合条件的家庭，批准给予相应的廉租住房保障；对不符合条件的家庭，不予批准并书面说明理由。在20个工作日内不能作出决定的，经本行政机关负责人批准，可以延长10个工作日，并应将延长期限和理由告知申请人。

第十六条对经批准给予廉租住房保障的家庭（以下简称获保障家庭），由市、县房地产行政主管部门在其居住地予以公示，接受群众监督。

任何单位和个人认为获保障家庭不符合条件的，都有权向获保障家庭居住地市、县房地产行政主管部门提出意见；市、县房地产行政主管部门应当进行核查并作出处理。

第十七条给予廉租住房保障的住房面积，按照获保障家庭住房面积低于当地最低住房面积保障标准的差额部分核定。

第十八条对获得住房租赁补贴的家庭，由市、县房地产行政主管部门自批准的当月起定期发给补贴。获得补贴的家庭应当将其住房租赁合同或者其他住房情况报市、县房地产行政主管部门备案。

住房租赁补贴数额，按照给予廉租住房保障的住房面积乘以单位住房面积的租赁补贴金额标准确定。

单位住房面积的租赁补贴金额标准，由市、县价格、财政主管部门会同房地产行政主管部门确定，报本级人民政府批准后公布执行。

第十九条对获得实物配租资格的家庭，由市、县房地产行政主管部门安排廉租住房予以配租；因房源不足，自作出给予实物配租批准之日起超过1个月未安排廉租住房的，该家庭可以自行租赁住房，由市、县房地产行政主管部门按照本办法第十八条的规定发给住房租赁补贴。

获得实物配租资格的家庭已承租公有住房的，其承租的公有住房转为廉租住房予以配租，租金标准按照本办法第二十二条的规定执行。

对获得实物配租资格的家庭,其经济、住房特别困难或者有孤老、烈属等特殊情况的，应当给予优先安排。

第二十条用于配租的廉租住房，应当符合国家规定的建筑质量标准和安全标准，具备基本居住的设施和条件。

第二十一条廉租住房产权管理单位负责廉租住房的日常维修和管理。

第二十二条承租廉租住房的家庭（以下简称承租家庭）应当按时向廉租住房产权管理单位缴纳租金；确有困难的，经廉租住房产权管理单位同意，可以缓缴租金。

廉租住房租金标准，根据弥补维修费和管理费，并充分考虑承租家庭承受能力的原则确定。具体由市、县价格、财政主管部门会同房地产行政主管部门确定，报本级人民政府批准后公布执行。

廉租住房面积超过承租家庭核定保障面积的部分的租金，按照当地公有住房租金标准缴纳。按规定提高公有住房租金标准的，其新增租金部分可以给予减免，具体办法由市、县人民政府规定。

第二十三条承租家庭应当按规定使用廉租住房，不得转让、转租、出借或者用于违法活动。

承租家庭应当妥善保管廉租住房。未经廉租住房产权管理单位同意，不得擅自装修或者改变房屋结构。

第二十四条承租家庭有下列行为之一的，市、县房地产行政主管部门有权收回廉租住房：

（一）未按时缴纳租金，经催缴后无正当理由拒不缴纳的；

（二）无正当理由闲置廉租住房达6个月以上的；

（三）将廉租住房转让、转租、出借或者用于违法活动的；

（四）擅自装修或者改变房屋结构，影响房屋使用安全的；

（五）违反廉租住房使用规定且情节严重的其他行为。

第二十五条市、县房地产行政主管部门应当定期对获保障家庭的成员、收入、住房等基本情况进行核查，及时了解、掌握其变动情况。

获保障家庭的基本情况发生变化后不再符合廉租住房保障条件的，其户主应当自发生变化之日起10日内向市、县房地产行政主管部门报告；市、县房地产行政主管部门应当进行核查，并根据核查结果和有关规定，相应作出维持、改变或者停止给予廉租住房保障的书面处理决定，同时说明理由。

第二十六条市、县房地产行政主管部门作出降低廉租住房保障水平或者停止给予廉租住房保障的决定前，应当充分听取获保障家庭的意见。

第二十七条市、县房地产行政主管部门依照本办法第二十四条、第二十五条的规定，决定收回廉租住房的，应当同时决定给予承租家庭必要的退房期限。退房期限一般不少于20日。

承租家庭应当在规定期限内退房。对确有正当理由无法按期退房的，经市、县房地产行政主管部门批准，可以延长退房期限。

市、县房地产行政主管部门可以视情决定相应提高退房期限内的住房租金标准，但最高不得超过当地公有住房租金标准。

第二十八条从事廉租住房保障管理的部门有下列行为之一的，由上级行政机关或者同级监察机关依法责令改正；对负有直接责任的主管人员和其他直接责任人员，由所在单位或者监察机关依法给予行政或者纪律处分；构成犯罪的，依法追究其刑事责任：

（一）对符合条件的家庭拒不批准给予廉租住房保障，或者对不符合条件的家庭批准给予廉租住房保障的；

（二）挪用、截留或者私分廉租住房保障资金的；

（三）擅自改变最低住房面积保障标准、租赁补贴金额标准或者廉租住房保障形式的；

（四）未履行规定的公布、公示、核查等职责的；

（五）其他玩忽职守、徇私舞弊或者滥用职权的行为。

对因故意或者重大过失造成国家利益损失的人员，应当同时责令其赔偿损失。

第二十九条对采取虚报、隐瞒、伪造等手段，骗取廉租住房保障或者违反本办法第二十五条第二款规定的，由市、县房地产行政主管部门给予警告，追缴其骗取的住房租赁补贴、减免的租金或者收回廉租住房；对收回廉租住房的，责令其按当地公有住房租金标准补缴承租期间少缴的租金；对情节恶劣的，可处500元以上1000元以下的罚款。

第三十条对违反本办法第二十七条规定，拒不退房的，由市、县房地产行政主管部门给予警告，依法收回廉租住房；情节恶劣的，可处200元以上1000元以下的罚款。

第三十一条承租家庭因违法或者不当使用造成廉租住房损害的，应当依法承担赔偿责任。

第三十二条有关家庭认为县级以上房地产行政主管部门等行政机关在廉租住房保障工作中的具体行政行为，侵犯其合法权益的，可以依法申请行政复议或者提起行政诉讼。

第三十三条本办法规定的住房面积均按照建筑面积计算。

第三十四条本办法自2005年1月1日起施行。　






公安部


基于ＤＯＳ的信息安全产品评级准则

公安部

1998/06/01



　　【题注】（ＧＡ１７４－１９９８ Evaluation Criteria for DOS-based Information Security Products）

　　前言

　　为了贯彻《中华人民共和国计算机信息系统安全保护条例》的精神，并配合计算机信息系统安全专用产品的销售许可证制度的实施，公安部计算机管理监察司委托天津市公安局计算机管理监察处和海军计算技术研究所共同编写《基于ＤＯＳ的信息安全产品评级准则》。

　　本标准在技术上参照了美国ＤＯＤ５２００．２８－ＳＴＤ可信计算机系统评估准则。

　　本标准由公安部计算机管理监察司提出；

　　本标准由公安部信息标准化技术委员会归口；

　　本标准起草单位：天津市公安局计算机管理监察处

　　海军计算技术研究所

　　本标准主要起草人：张健，周瑞平，王学海，张双桥，高新宇

　　１．范围

　　本标准的适用对象为基于ＤＯＳ操作系统的信息安全产品。基于ＤＯＳ的信息安全产品是指保护ＤＯＳ操作系统环境下的信息免受故意的或偶然的非授权的泄漏、篡改和破坏的软件、硬件或软硬件结合产品，以及用于产品安装、执行、恢复的相关设施。在本标准中，对安全产品的评级等同于对加装了该安全产品的ＤＯＳ操作系统的安全性能的评级。

　　标准根据安全产品的性能将其分为三个等级。从最低级ｄ到最高级ｂ，其安全保护性能逐级增加。

　　２．引用标准

　　美国ＤＯＤ５２００．２８－ＳＴＤ可信计算机系统评估准则。

　　３．术语

　　３．１ 客体 Ｏｂｊｅｃｔ

　　含有或接收信息的被动实体。客体的例子如：文件、记录、显示器、键盘等。

　　３．２ 主体 Ｓｕｂｊｅｃｔ

　　引起信息在客体之间流动的人、进程或装置等。

　　３．３ 安全策略 Ｓｅｃｕｒｉｔｙ ｐｏｌｉｃｙ

　　有关管理、保护和发布敏感信息的法律、规章和技术标准。

　　３．４ 可信计算基 Ｔｒｕｓｔｅｄ ＣｏｍＰｕｔｉｎｇ Ｂａｓｅ－ＴＣＢ

　　操作系统中用于实现安全策略的一个集合体（包含软件、固件和硬件），该集合体根据安全策略来处理主体对客体的访问，并满足以下特征：

　　ａ．ＴＣＢ实施主体对客体的安全访问；

　　ｂ．ＴＣＢ是抗篡改的；

　　Ｃ．ＴＣＢ的结构易于分析和测试。

　　３．５ 安全策略模型 Ｓｅｃｕｒｉｔｙ Ｐｏｌｉｃｙ Ｍｏｄｅｌ

　　用于实施系统安全策略的模型，它表明信息的访问控制方式，以及信息的流程。

　　３．６ 敏感标记 Ｓｅｎｓｉｔｉｖｉｔｙ Ｌａｂｅｌ

　　表明一个客体的安全级并描述该客体中数据的敏感度（例如：密级）的一条信息。ＴＣＢ依据敏感标记进行强制性访问控制。

　　３．７ 用户访问级 Ｕｓｅｒ'ｓ Ｃｌｅａｒａｎｃｅ

　　用户访问敏感信息的级别。

　　３．８ 最小特权原理 Ｌｅａｓｔ Ｐｒｏｖｉｌｅｇｅ Ｔｈｅｏｒｅｍ

　　系统中的每个主体执行授权任务时，仅被授予完成任务所必需的最小访问权。

　　３．９ 关键保护元素 Ｐｒｏｔｅｃｔｉｏｎ Ｃｒｉｔｉｃａｌ Ｅｌｅｍｅｎｔ

　　有ＴＣＢ中，用来处理主体和客体间的访问控制的关键元素。

　　３．１０ 审计踪迹 Ａｕｄｉｔ Ｔｒａｉｌ

　　能提供客观证明的一组记录，用于从原始事务追踪到有关的记录，或从记录追踪到其原始事务。

　　３．１１ 信道 Ｃｈａｎｎｅｌ

　　系统内的信息传输路径。

　　３．１２ 可信信道 Ｔｒｕｓｔｅｄ Ｃｈａｎｎｅｌ

　　符合系统安全策略的信道。

　　３．１３ 隐蔽信道 Ｃｏｖｅｒｔ Ｃｈａｎｎｅｌ

　　违反系统安全策略的信道。

　　３．１４ 自主访问控制 Ｄｉｓｃｒｅｔｉｏｎａｒｙ Ａｃｃｅｓｓ Ｃｏｎｔｒｏｌ

　　根据主体身份或者主体所属组的身份或者二者的结合，对客体访问进行限制的一种方法。具有某种访问权的主体能够自行决定将其访问权直接或间接地转授给其它主体。

　　３．１５ 强制访问控制 Ｍａｎｄａｔｏｒｙ Ａｃｃｅｓｓ Ｃｏｎｔｒｏｌ

　　根据客体中信息的敏感标记和访问敏感信息的主体的访问级对客体访问实行限制的一种方法。

　　４．评级等级

　　本标准将安全产品分为局部保护级、自主保护级、强制保护级三个等级。为便于和可信计算机系统评估准则互为参照，又表示有别于该标准，用ｄ，ｃ，ｂ表示。

　　４．１ 局部保护级（ｄ）

　　提供一种或几种安全功能，但又未能达到ｃ级标准的产品。

　　４．１．１ 安全功能

　　必须明确定义每项安全功能预期达到的目标，描述为达到此目标而采用的ＴＣＢ的安全机制及实现技术。

　　４．１．２ 安全测试

　　必须对产品文档所述的安全功能进行测试，以确认其功能与文档描述相一致。

　　４．１．３ 文档

　　安全特征用户指南文档要清楚地描述产品的保护原理、使用方法、使用限制及适用范围。

　　要提供一个测试文档，描述该产品的测试计划、安全机制的测试过程及安全功能测试的结果。

　　４．２ 自主保护级（ｃ）

　　ｃ级主要提供自主访问控制功能，并通过审计手段，能对主体行为进行审查。

　　４．２．１ 安全策略

　　４．２．１．１ 自主访问控制

　　ＴＣＢ需定义并控制系统中主体对客体的访问机制，所采用的机制（如访问控制表）要明确规定特定主体对其它主体控制下的信息的访问类型。系统和用户设定的自主访问控制机制，能保证受保护的客体不会被未经授权的用户访问。对客体没有访问权限的用户，只有对该客体有授权能力的用户才能为其指定访问权限。

　　４．２．１．２ 客体再用

　　在将ＴＣＢ的空闲存储客体池中客体初始指定、分配或再分配给一个主体之前，所有对于存储客体所含信息的授权都必须被撤销。当主体获得对一个已被释放的存储客体的访问权时，由原主体活动所产生的任何信息对当前主体都是不可获得的。

　　４．２．２ 责任核查

　　４．２．２．１ 身份鉴别

　　用户在要求ＴＣＢ执行任何动作之前，必须首先向ＴＣＢ表明自己的身份；ＴＣＢ要使用保护机制（如：口令）来鉴别用户身份。为了防止任何未经授权的用户对鉴别数据进行访问，ＴＣＢ要对鉴别数据进行保护。ＴＣＢ需提供唯一标识每个系统用户的机制，并将用户的所有可审计行为与用户的标识联系起来。

　　４．２．２．２ 审计

　　ＴＣＢ必须能创建、维护由主体实施的操作（例如：读、删和改等）的审计记录。ＴＣＢ要记录下列类型的事件：使用身份鉴别机制；客体的引用；客体的删除；以及其它与安全有关的事件。对于每一个记录事件，审计记录需标识：事件发生的日期和时间、用户、事件类型及事件的成功和失败。由可信软件执行的单个操作，如果对用户是完全透明的，则不必进行审计。ＴＣＢ要保护审计数据，使得只有授权用户才能访问。

　　４．２．３ 保证

　　４．２．３．１ 操作保证

　　４．２．３．１．１ 系统体系结构

　　ＴＣＢ要在封闭的域中运行，使其不受外部干扰或篡改（例如：代码或数据结构的修改）。ＴＣＢ要隔离受保护资源，以满足访问控制和审计的需求。

　　４．２．３．１．２ 系统完整性

　　要提供相应的硬件或软件，用于定期确认ＴＣＢ中硬件或固件元素的正常运行。

　　４．２．３．１．３ 数据完整性

　　ＴＣＢ要提供控制机制，以保证多个主体对同一客体访问时客体中数据的正确性和完整性，并且不影响系统的正常运行。

　　４．２．３．２ 生命周期保证

　　４．２．３．２．１ 安全测试

　　必须对产品文档所述的安全功能进行测试，以确认其功能与文档描述相一致。测试要证实未经授权的用户没有明显的办法可以绕过或攻破ＴＣＢ的安全保护机制。测试还要搜索ＴＣＢ中明显的缺陷，这些缺陷可能导致ＴＣＢ中的外部主体能够违背资源隔离原则，或者对审计数据或鉴别数据进行未经授权的访问。

　　４．２．４ 文档

　　４．２．４．１ 安全特征用户指南

　　安全特征用户指南要描述ＴＣＢ提供的保护机制、使用指南、以及保护机制之间的配合方法，必须清楚地描述ＴＣＢ中安全机制之间的交互作用。

　　４．２．４．２ 可信设施手册

　　在可信设施手册中，要明确描述ＴＣＢ所支持的任何预定义用户或主体（例如：系统管理员），要对运行安全功能时必须受到控制的功能和特权提出警告，并清楚地描述上述受控功能和特权之间的关系。如果存在ＴＣＢ的安全操作的配置选项，应该予以标识。

　　要提供用于检查和维护审计文件的规程。对每类审计事件，还要提供详细的审计记录结构。

　　４．２．４．３ 测试文档

　　测试文档要描述安全保护机制的测试计划、测试步骤及其功能测试结果。

　　４．２．４．４ 设计文档

　　设计文档要描述产品的保护原理，并解释该原理在ＴＣＢ中的实现，如果ＴＣＢ由多个不同的模块组成，还应描述各模块间的接口。

　　４．３ 强制保护级（ｂ）

　　ｂ级的主要要求是：ＴＣＢ能维护敏感标记及其完整性，并利用敏感标记来实施强制访问控制规则，ｂ级的系统必须使系统中的主要数据结构带有敏感标记。系统开发者必须提供作为ＴＣＢ基础的安全策略实现模型以及ＴＣＢ的规约。

　　４．３．１ 安全策略

　　４．３．１．１ 自主访问控制

　　ＴＣＢ需定义并控制系统中主体对客体的访问控制，所采用的机制（如访问控制表）要明确规定特定主体对其它主体控制下的信息的访问类型。自主访问控制机制应限制访问权限的扩展。系统和用户设定的自主访问控制机制，能保证受保护的客体不会被未经授权的用户访问。对客体没有访问权限的用户，只有对客体有授权能力的用户才能为其指定访问权限。

　　４．３．１．２ 客体再用

　　在将ＴＣＢ的空闲存储客体池中客体初始指定、分配或再分配给一个主体之前，所有对于存储客体所含信息的授权都必须被撤销。当主体获得对一个已被释放的存储客体的访问权时，由原主体活动所产生的任何信息对当前主体都是不可获得的。

　　４．３．１．３ 标记

　　ＴＣＢ要维护与每一主体及其可能访问的系统资源相关的敏感标记，以此作为强制访问控制决策的基础。系统必须明确规定需要标记的客体（如文件、外部设备等）与不需要标记的客体（如：用户不可见的内部资源）。对于需要标记的客体，系统要明确定义客体标记的粒度。除了不需要标记的客体外，所有其它客体从ＴＣＢ外部观点看都要有明显标记。在输入未标记数据时，必须由授权用户向ＴＣＢ提供这些数据的安全级别，而且所有这些行为都可以由ＴＣＢ进行审计。

　　４．３．１．３．１ 标记完整性

　　敏感标记必须准确地表示出与其相关的具体主体或客体的安全级别。当ＴＣＢ输出敏感标记时，输出标记的外部表示要与其内部标记一致，并与输出的信息相关联。

　　４．３．１．３．２ 标记信息的输出

　　ＴＣＢ要能维护并审计与通信信道或Ｉ／Ｏ设备相关联的安全级别的任何变动。

　　４．３．１．３．３ 主体标记

　　在ＴＣＢ与用户交互期间，如果与用户有关的安全级发生任何变化，ＴＣＢ应立刻通知用户。

　　４．３．１．３．４ 设备标记

　　ＴＣＢ应能对所辖的物理设备指定最小和最大安全级。ＴＣＢ要使用这些安全级，在设备所处的物理环境中对设备的使用施加约束。

　　４．３．１．４ 强制访问控制

　　ＴＣＢ必须对所有可被ＴＣＢ外部主体直接或间接访问的资源（例如：主体、存储客体、物理设备等）实施强制访问控制策略。必须为这些主体和资源指定敏感标记（它们是级别和类别的组合），这些标记将作为强制访问控制决策的基础。所有由ＴＣＢ所控制的主体对客体的访问必须遵循以下规则：仅当主体的级别高于或等于客体的级别，且主体安全等级中的类别包含客体安全等级中的所有类别时，主体才能读客体；仅当主体的级别低于或等于客体的级别，且主体安全等级中的所有类别包含于客体安全等级中的类别时，主体才能写客体。ＴＣＢ要使用标识和鉴别数据来鉴别用户的身份，并确保用户的访问级和授权高于或等于代表该用户的ＴＣＢ外部主体的安全等级和授权。

　　４．３．２ 责任核查

　　４．３．２．１ 身份鉴别

　　用户在要求ＴＣＢ执行任何动作之前，必须首先向ＴＣＢ表明自己的身份。ＴＣＢ要使用保护机制（如：口令）来鉴别用户身份。ＴＣＢ必须保护鉴别数据，该数据不仅包含验证用户身份的信息（例如：口令），也包含确定用户访问级与授权的信息。ＴＣＢ要使用这些数据来鉴别用户的身份，并确保用户的访问级和授权高于或等于代表该用户的ＴＣＢ外部主体的安全等级和授权。为了防止任何未经授权的用户对鉴别数据进行访问，ＴＣＢ必须对鉴别数据进行保护。ＴＣＢ需提供唯一标识每个操作系统用户的机制，并将用户的所有可审计行为与用户的标识联系起来。

　　４．３．２．２ 可信路径

　　在对初始登录的用户进行鉴别时，ＴＣＢ要在它和用户之间维持一条可信信道。经由该路径的通信必须由专门用户或ＴＣＢ进行初始化。

　　４．３．２．３ 审计

　　ＴＣＢ必须能创建、维护由主体实施的操作（例如：读、删和改等）的审计记录。ＴＣＢ要记录下列类型的事件：使用身份鉴别机制；客体的引用；客体的删除；安全管理员的操作；以及其它与安全有关的事件。对于每一个记录事件，审计记录要标识：事件发生的日期和时间、主体、事件类型及事件的成功和失败。对于客体的引用及删除事件，审计记录还要包含客体名称。安全管理员应能够根据个体身份或个体安全等级有选择地审计一个或多个用户的行为。由可信软件执行的单个操作，如果对用户是完全透明的，则不必进行审计。ＴＣＢ必须保护审计数据，使得只有授权用户才能对它进行读访问。当发生与安全有关的事件时，ＴＣＢ要做到：（１）检测事件的发生；（２）记录审计踪迹条目；（３）通知安全管理员。

　　４．３．３ 保证

　　４．３．３．１ 操作保证

　　４．３．３．１．１ 系统体系结构

　　ＴＣＢ要在封闭的域中运行，使其不受外部干扰或篡改（例如：代码或数据结构的修改）。由ＴＣＢ控制的资源可以是系统中主体和客体的一个子集。ＴＣＢ要隔离受保护资源，以满足访问控制和审计的需求。ＴＣＢ要通过不同的地址空间来维护进程隔离。ＴＣＢ的内部要构造成定义良好的独立模块。ＴＣＢ的模块设计要保证使最小特权原理得以实现。ＴＣＢ需完整定义其用户接口，并且标识ＴＣＢ的所有元素。ＴＣＢ要有效地利用相关硬件把关键保护元素和非关键保护元素分隔开。

　　４．３．３．１．２ 系统完整性

　　要提供相应的硬件或软件，用于定期确认ＴＣＢ中硬件或固件元素的正常运行。

　　４．３．３．１．３ 可信设施管理

　　ＴＣＢ能支持独立的操作员和管理员功能。

　　４．３．３．１．４ 可信恢复

　　ＴＣＢ要提供诸如转贮和日志文件等机制，以保证在系统失效或其它中断发生后的数据恢复过程中不会导致任何安全泄漏。

　　４．３．３．１．５ 数据完整性

　　ＴＣＢ要定义及验证完整性约束条件的功能，以维护客体及敏感标记的完整性。

　　４．３．３．２ 生命周期保证

　　４．３．３．２．１ 安全测试

　　必须对产品文档所述的安全功能进行测试，以确认其功能与文档描述相一致。测试组应充分了解ＴＣＢ的安全功能的实现，并彻底分析其测试设计文档、源码和目标码，其目标是：发现设计和实现中的所有缺陷，这些缺陷会引起ＴＣＢ的外部主体能够实施违背强制或自主安全策略的某种操作；同时保证没有任何未授权主体能使ＴＣＢ进入一种不能响应其它主体发起的通讯的状态。ＴＣＢ应具有一定的抗渗透能力。必须消除所有被发现的缺陷，重新测试ＴＣＢ要证实这些缺陷已不再存在且没有引入新的错误。

　　４．３．３．２．２ 设计规约和验证

　　要证实ＴＣＢ所支持的安全策略模型符合其安全策略，并在产品运行的整个生命周期中维护这一模型。

　　４．３．３．２．３ 配置管理

　　在ＴＣＢ的整个生命周期期间，即ＴＣＢ的设计、开发和维护期间，要使用配置管理系统来控制对设计数据、实现文档、源代码、目标代码的运行版本、测试装置以及文档的任何更改。配置管理系统要保证与ＴＣＢ当前版本相关联的所有文档和代码之间的一致映射。要提供从源代码生成ＴＣＢ新版本的工具。要提供比较新版ＴＣＢ和原版ＴＣＢ的工具，只有在确定已按预期方案完成了修改后，才能启用新的ＴＣＢ版本。

　　４．３．４ 文档

　　４．３．４．１ 安全特征用户指南

　　安全特征用户指南要描述ＴＣＢ提供的保护机制、使用指南、以及保护机制之间的配合方法，必须清楚地描述ＴＣＢ中完全机制之间的交互作用。

　　４．３．４．２ 可信设施手册

　　在可信设施手册中，必须明确描述ＴＣＢ所支持的任何预定义用户或主体（例如：系统管理员），要对运行安全功能时必须受到控制的功能和特权提出警告，并清楚地描述上述受控功能和特权之间的关系。如果存在ＴＣＢ的安全操作的配置选项，应该予以标识。

　　要提供用于检查和维护审计文件的规程。对每类审计事件，还要提供详细的审计记录结构。

　　手册必须描述与操作员和管理员有关的安全功能，包括修改用户安全特征的方法。手册还要提供以下信息：如何一致地、有效地使用产品安全功能，安全功能之间的相互作用，以及操作规程、警告和特权。

　　４．３．４．３ 测试文档

　　测试文档要描述安全保护机制的测试计划、测试步骤及其功能测试结果。

　　４．３．４．４ 设计文档

　　设计文档要描述产品的保护原理，并解释该原理在ＴＣＢ中的实现方法，如果ＴＣＢ由多个不同的模块组成，还应描述各模块间的接口。应该具有ＴＣＢ所实施的安全策略模型的非形式化或形式化描述，并给出它足以实施该安全策略的理由。要标识特定的ＴＣＢ保护机制，并给出一个解释以证明它们满足模型。