14.8 可信恢復（FPT_RCV）

子類行為

 本子類的要求確保TSF能確定TOE是在沒有減弱安全的狀況下啟動的，并在運行中斷后能在不減弱保護的情況下恢復。因為TSF的啟動狀態決定了對后續狀態的保護，故本子類是很重要的。

組件層次

FPT_RCV.1 手工恢復，容許TOE只提供人工干預以返回安全狀態的機制。
FPT_RCV.2 自動恢復，至少對一種類型的服務中斷，在無人工干預的情況下能恢復到安全狀態；對其它類型服務中斷的恢復可以要求人工干預。
FPT_RCV.3 無過度損失的自動恢復，也提供自動恢復，但通過不容許被保護客體的過度損失來加強要求。
FPT_RCV.4 功能恢復，在特定的SF級別上恢復，保障成功完成恢復或將TSF數據回到一個安全狀態。
管理：FPT_RCV.1
在FMT的管理功能中，可考慮下面的活動：
a) 管理在維護模式下誰能夠獲得恢復能力。
管理：FPT_RCV.2 ， FPT_RCV.3
在FMT的管理功能中，可考慮下面的活動：
a) 管理在維護模式下誰能夠獲得恢復能力；
b) 管理通過自動化過程來處理的失敗及服務中斷列表。
管理：FPT_RCV.4
沒有可預見的管理活動。
審計： FPT_RCV.1 ， FPT_RCV.2 ，FPT_RCV.3
如果PP/ST中含有FAU_GEN 安全審計數據產生，如下行動應是可審計的：
a) 最小級：出現失敗或服務中斷；
b) 最小級：恢復正常運行；
c) 基本級：失敗或服務中斷類型。
審計： FPT_PCV.4
如果PP/ST中含有FAU_GEN 安全審計數據產生,如下行動應是可審計的：
a) 最小級：如有可能，安全功能失敗后，不能返回到安全狀態的可能性；
b) 基本級：如有可能，檢測安全功能的失敗情況。
.
FPT_RCV.1 手工恢復
從屬于：無其他組件。
FPT_RCV.1.1 發生失敗或服務中斷后，TSF應進入維護方式，該方式提供將TOE返回到一個安全狀態的能力。
依賴關系：FPT_TST.1 TSF測試
AGD_ADM.1 管理員指南
ADV_SPM.1 非形式化的TOE安全策略模型
FPT_RCV.2 自動恢復
從屬于： FPT_RCV.1
FPT_RCV.2.1 當不能從失敗或服務中斷自動恢復時，TSF應進入維護方式，該方式提供將TOE返回到一個安全狀態的能力。
FPT_RCV.2.2 對［賦值：失敗/服務中斷列表］，TSF應確保通過自動化過程使TOE返回到一個安全狀態。
依賴關系：FPT_TST.1 TSF測試
AGD_ADM.1 管理員指南
ADV_SPM.1 非形式化TOE安全策略模型
FPT_RCV.3 無過度損失的自動恢復
從屬于： FPT_RCV.2
FPT_RCV.3.1 當不能從失敗或服務中斷自動恢復時，TSF應進入維護方式，該方式提供將TOE返回到一個安全狀態的能力。
FPT_RCV.3.2 對［賦值：失敗/服務中斷列表］，TSF應確保通過自動化過程使TOE返回到一個安全狀態。
FPT_RCV.3.3 TSF提供的從失敗或服務中斷狀態恢復的功能，應確保TSC內的TSF數據或客體在無過度［賦值：數量］損失的情況下恢復到初始狀態。
FPT_RCV.3.4 TSF應提供決定客體能否被恢復的能力。
依賴關系：FPT_TST.1 TSF測試
AGD_ADM.1 管理員指南
ADV_SPM.1 非形式化的TOE安全策略模型
FPT_RCV.4 功能恢復
從屬于：無其他組件。
FPT_RCV.4.1 TSF應確保［賦值：SF 和失敗情況列表］有如下特性，即SF 或者被成功完成，或者對指明的失敗情況恢復到一致的安全狀態。
依賴關系： ADV_SPM.1 非形式化的TOE安全策略模型