10.1 訪問控制策略（FDP_ACC）

本類包含若干子類，這些子類規定了與保護用戶數據相關的TOE安全功能要求和TOE安全功能策略。FDP分為四組子類（將在下面列出），這些子類處理TOE內部在輸入、輸出和存儲期間的用戶數據，以及和用戶數據直接相關的安全屬性。
本類中的子類分成以下四組：
a) 用戶數據保護安全功能策略：
1) FDP_ACC 訪問控制策略；
2) FDP_IFC 信息流控制策略。
這些子類中的組件允許PP/ST作者命名用戶數據保護安全功能策略，并定義該安全策略的控制范圍，這對于說明安全目的是必要的。這些安全策略的名字將在所有余下的選擇“訪問控制SFP”或“信息流控制SFP”或為其賦值的功能組件中使用。已命名的訪問控制和信息流控制SFP功能的規則將分別在FDP_ACF和FDP_IFF子類中定義。
b) 用戶數據保護形式：
1) FDP_ACF 訪問控制功能；
2) FDP_IFF 信息流控制功能；
3) FDP_ITT 內部TOE傳輸；
4) FDP_RIP 殘余信息保護；
5) FDP_ROL 反轉；
6) FDP_SDI 存儲數據的完整性。
c) 脫機存儲、輸入和輸出：
1) FDP_DAU 數據鑒別；
2) FDP_ETC 輸出到TSF控制之外；
3) FDP_ITC 從TSF控制之外輸入。
這些子類內的組件說明進出安全功能控制范圍時的可信傳輸。
d) TSF間的通信：
1) FDP_UCT TSF間用戶數據傳輸的保密性保護；
2) FDP_UIT TSF間用戶數據傳輸的完整性保護。
這些子類內的組件說明TOE的TSF與其它可信IT產品間的通信。
圖12和13是本類的組件分解圖。
.


子類行為

本子類（通過名字）確定訪問控制SFP及其控制范圍，這些策略組成了所確定的TSP的訪問控制部分。該控制范圍包括三部分：策略控制下的主體、策略控制下的客體以及策略所覆蓋的受控主體和受控客體間的操作。本標準允許存在多個策略，每個策略有一個唯一的名字。可通過為每個命名的訪問控制策略反復使用本子類中的組件來實現。定義訪問控制SFP功能的規則將在其它子類中定義，如FDP_ACF和FDP_SDI。在FDP-ACC中所確定的訪問控制SFP的名字將在所有余下的選擇“訪問控制SFP”或為其賦值的功能組件中使用。

組件層次

FDP_ACC.1 子集訪問控制，要求每個確定的訪問控制SFP適用于某個TOE客體子集上可能的操作子集。
FDP_ACC.2 完全訪問控制，要求每個確定的訪問控制SFP覆蓋所有被該SFP覆蓋的所有主體和客體之間的操作。它甚至要求TSC內的所有客體和操作都至少被一個確定的訪問控制SFP所覆蓋。
管理：FDP_ACC.1，FDP_ACC.2
本組件沒有可預見的管理活動。
審計：FDP_ACC.1，FDP_ACC.2

FDP_ACC.1 子集訪問控制
從屬于：無其他組件。
FDP_ACC.1.1 TSF應對[賦值：SFP覆蓋的主體列表、客體列表及其它們之間的操作列表]執行[賦值：訪問控制SFP]。

FDP_ACC.2 完全訪問控制
從屬于：FDP_ACC.1
FDP_ACC.2.1 TSF應對[賦值：SFP覆蓋的主體列表和客體列表]以及它們之間的所有操作執行[賦值：訪問控制SFP]。
FDP_ACC.2.2 TSF應確保TSC內的所有主體和客體之間的所有操作將被一個訪問控制SFP所覆蓋。
依賴關系：FDP_ACF.1 基于安全屬性的訪問控制