信息技术安全技术信息技术安全评估准则第2部分：安全功能要求

《信息技术安全技术信息技术安全评估准则第2部分：安全功能要求》由会员分享，可在线阅读，更多相关《信息技术安全技术信息技术安全评估准则第2部分：安全功能要求（192页珍藏版）》请在装配图网上搜索。

1、ICS 35. 040L 80日日中华人民共和国家标准GB/T 18336. 2201X/ISO/1 EC 15408:2008代替 GB/T 18336. 2-2008信息技术安全技术信息技术安全评估准则第2部分:安全功能要求Information technologySecurity techniques一Evaluation criteria for IT securityPart 2: Security functional requirements（ISO/IEC 15408-2： 2008, IDT）（报批稿）（在提交反馈意见时,请将您知道的相关专利连同支持性文件并附上）XXXX

2、- XX - XXXXXX - XX - XX 发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会目次前言4引言5! 范围62规范性引用文件63术语、定义和缩略语64概述64. 1 本部分的结构65功能要求范型76安全功能组件91.1 1 概述91.2 2组件分类127 FAU类:安全审计131.3 1安全审计自动响应（FALARP） 141.4 安全审计数据产生（FALGEN） 151.5 安全审计分析（FAU_SAA） 161.6 安全审计查阅（FALSAR） 181.7 安全审计事件选择（FALSEL） 191.8 安全审计事件存储（FAU_STG） 208 FCO类:通

3、信228 . 1原发抗抵赖（FC0_NR0） 229 .2接收抗抵赖（FCO_NRR） 239 FCS类:密码支持259. 1 密钥管理（FCS_CKM） 259.2 密码运算（FCS_COP） 2610 FDP类:用户数据保护 271.1 1 访问控制策略（FDP_ACC） 301.2 访问控制功能（FDP_ACF） 301.3 数据鉴别（FDP_DAU） 311.4 从 T0E 输出（FDP_ETC） 331.5 信息流控制策略（FDPFC） 341.6 信息流控制功能（FDPFF） 351.7 从TOE之外输入（FDPTC） 381.8 TOE 内部传送（FDP_ITT） 391.9 残

4、余信息保护（FDP_RIP） 411.10 10 回退（FDP_ROL） 421.11 11存储数据的完整性（FDP_SDI） 431.12 12 TSF间用户数据机密性传送保护（FDP_UCT）451.13 13 TSF间用户数据完整性传送保护（FDP_UIT）4511 FIA类:标识和鉴别471.14 1鉴别失败（FIA_AFL） 4811.2 用户属性定义（FIA_ATD） 4911.3 秘密的规范（FIA一SOS） 4911.4 用户鉴别（FIAJJAU） 5011.5 用户标识（FIAJID） 5311.6 用户-主体绑定（FIA_USB） 5412 FMT类:安全管理551.1 1

5、TSF 中功能的管理（FMT_MOF） 561.2 安全属性的管理（FMT_MSA） 571.3 TSF 数据的管理（FMT_MTD） 591.4 撤消（FMT_REV） 601.5 安全属性到期（FMT_SAE） 611.6 管理功能规范（FMT_SMF） 621.7 7安全管理角色（FMT_SMR） 6213 FPR类:隐私641.8 1匿名（FPR一AN0） 6413.2 假名（FPR_PSE） 6513.3 不可关联性（FPR-UNL） 6713.4 不可观察性（FPRJJNO） 6714 FPT 类:TSF 保护6914. 1失效保护（FPT_FLS） 7115. 2输出TSF数据的

6、可用性（FPTTA） 7116. 3 输出TSF数据的机密性（FPTTC） 7217. 4 输出TSF数据的完整性（FPT_ITI） 7218. 5TOE 内 TSF 数据的传送（FPT_ITT） 7419. 6 TSF 物理保护（FPT_PHP） 7520. 7 可信恢复（FPT_RCV） 7721. 8重放检测（FPT_RPL） 7922. 9状态同步协议（FPT_SSP） 7923. 10时间戳（FPT_STM） 8024. 11 TSF 间 TSF 数据的一致性（FPT_TDC）8125. 12外部实体测试（FPT_TEE） 8126. 13 TOE内 TSF数据复制的一致性（FPT_

7、TRC） 8227. 14TSF 自检（FPT_TST） 8315FRU类:资源利用8428. !容错（FRU_FLT） 8428.2 服务优先级（FRU_PRS） 8528.3 资源分配（FRU_RSA） 8616FTA 类:TOE 访问8729. !可选属性范围限定（FTA_LSA） 8829.2 多重并发会话限定（FTA.MCS） 8829.3 会话锁定和终止（FTA_SSL） 8929.4 TOE 访问旗标（FTA_TAB） 9129.5 TOE 访问历史 （FTA_TAH） 9129.6 TOE 会话建立（FTA_TSE） 9217FTP类:可信路径/信道9330. 1TSF 间可信

8、信道（FTP_ITC） 9331. 2可信路径（FTP_TRP） 94附录A （规范性附录）安全功能要求应用注释96附录B （规范性附录）功能类、族和组件104附录C （规范性附录）FAU类:安全审计105附录D （规范性附录）FCO类:通信115附录E （规范性附录）FCS类:密码支持119附录F （规范性附录）FDP类:用户数据保护123附录G （规范性附录）FIA类:标识和鉴别144附录H （规范性附录）FMT类:安全管理152附录1（规范性附录）FPR类:隐私160附录J （规范性附录）FPT类:TSF保护169附录K （规范性附录）FRU类:资源利用183附录L （规范性附录）FTA

9、类:TOE访问187附录M （规范性附录）FTP类:可信路径/信道192GB/T 18336在信息技术安全技术 信息技术安全评估准则总标题下,由以下三部分组成:第1部分:简介和一般模型第2部分：安全功能要求第3部分：安全保障要求本部分是GB/T 18336-200X的第2部分。本部分等同采用国际标准ISO/IEC 15408-2： 2008信息技术-安全技术一信息技术安全评估 准则 第2部分:安全功能要求。本部分代替GB/T 18336.2-2008信息技术安全技术信息技术安全评估准则第2部分：安 全功能要求。2001年,GB/T 18336-200I信息技术安全技术信息技术安全性评估准则发布

10、。2008年, 进行了第一次修订,发布GB/T 18336-2008信息技术安全技术信息技术安全性评估准则。本部分与GB/T 18336. 2-2008的主要差异如下：1、GB/T 18336. 2-201X 中将“保证”(assurance)改为“保障”；2 GB/T 18336. 2-201X 中将“输出到 TSF 控制之外(FDP.ETC) ”改为“从 TOE 输出(FDP_ETC) ”； 3、GB/T 18336. 2-201X中将“从TSF控制之外输入(FDP_1TC)”改为“从TOE之输入(FDP_1TC)”； 4,删除了 GB/T 18336. 2-2008 “FPT类：TSF保

11、护”中的“底层抽象机测试(FPT_AMT) ”、“引 用仲裁(FPT.RVM) ”“域分离(FPT_SEP) ” ；5、GB/T 18336. 2-201X “FPT 类：TSF 保护”中增加了 “外部实体测试(FPT_TEE) ” ；6, GB/T 18336. 2-201X中将“会话锁定(FTA_SSL) M改为“会话锁定和终止(FTA_SSL) ” ；7、GB/T 18336. 2-201X中将“门限值”改为“临界值”；8、GB/T 18336. 2-201X中将“介导”改为“促成”。本部分由全国信息安全标准化技术委员会(SACT260)提出和归。本部分的主要起草单位:中国信息安全测评中

12、心。本部分的参与单位：信息产业信息安全测评中心、公安部第三研究所。本部分主要起草人：张钟斌、郭颖、石扬松、毕海英、张宝峰、高金萍、王峰、杨永生、李国俊、 董晶晶、谢蒂、王鸿娴、张怡、顾健、邱梓华、宋好好、陈妍、杨元原、李凤娟、庞博、张骁、刘昱函、 王书毅、周博扬。本部分定义的安全功能组件为在保护轮廓（PP）或安全目标（ST）中表述的安全功能要求提供了 基础。这些要求描述了评估对象（TOE）所期望的安全行为,并旨在满足在PP或ST中所提出的安全目 的。这些要求描述那些用户能直接通过IT交互（即输入、输出）或IT激励响应过程探测到的安全特 性。安全功能组件表达了安全要求,这些要求试图对抗针对假定的

13、TOE运行环境中的威胁,并（/或） 涵盖了所有已标识的组织安全策略和假设。本部分的目标读者主要包括安全的IT产品的消费者、开发者、评估者。GB/T 18336. 1第5章提供了 关于GB/T 18336的目标读者和目标读者群体如何使用GB/T18336的附加信息。这些群体可以按如下方式 使用本部分:a）消费者,为满足PP或ST中提出的安全目的,通过选取组件来表述功能要求。GB/T 18336. 1提 供了更多关于安全目的和安全要求之间的关系的详细信息:b）开发者，在构造TOE时响应实际的或预测的消费者安全要求,可以在本部分中找到种标准的 方法去理解这些要求。也可以以本部分的内容为基础，进步定义

14、TOE的安全功能和机制来满 足那些要求:c）评估者，使用本部分所定义的功能要求检验在PP或ST中表述的TOE功能要求是否满足IT安 全目的，以及所有的依赖关系是否都已解释清楚并得到满足。评估者也宜使用本部分去帮助确 定指定的TOE是否满足规定的要求。信息技术安全技术信息技术安全评估准则第2部分:安全功能要求1范围为了安全评估的意图,GB/T 18336的这一部分定义了安全功能组件所需要的结构和内容。本部分 包含个安全组件的分类目录,将满足许多IT产品的通用安全功能要求。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用

15、文件,其最新版本（包括所有的修订版）适用于本文件。GB/T 18336. 1信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型（ISO/IEC 15408-1： 2009, IDT）3术语、定义和缩略语GB/T 18336. 1中给出的术语、定义、符号和缩略语适用于本文件。4概述GB/T 18336和本部分在此描述的相关安全功能要求，并不意味着是对所有IT安全问题的最终回 答。相反,本标准提供组广为认同的安全功能要求，以用于制造反映市场需求的可信产品。这些安全 功能要求的给出，体现了当前对产品的要求规范和评估的技术发展水平。本部分并不计划包括所有可能的安全功能要求,而是尽量包含那些在

16、本部分发布时作者已知的并 认为是有价值的那些要求。由于消费者的认知和需求可能会发生变化，因此本部分中的功能要求需要维护。可预见的是，某些 PP/ST作者可能还有一些安全要求未包含在本部分提出的功能要求组件中。此时，PP/ST的作者可考虑 使用GB/T 18336之外的功能要求（称之为可扩展性）,有关内容参见GB/T 18336. 1附录A和附录B。4.!本部分的结构第5章是本部分安全功能要求使用的范型。第6章介绍本部分功能组件的分类,第7章到第17章描述这些功能类。附录A为功能组件的潜在用户提供了解释性信息,其中包括功能组件间依赖关系的个完整的交叉 引用表。附录B至附录M提供了功能类的解释性信

17、息。在如何运用相关操作和选择恰当的审计或文档信息 时，这些材料必须被看作是规范性说明。使用助动词应”表示该说明是首要推荐的，但是其他的只是 可选的。这里只给出了不同的选项，具体的选择留给了 PP/ST作者。对于有关结构、规则和指南，编写PP或ST的人员应参考GB/T 18336. 1第2章和相关附录:a） GB/T 18336. 1第3章定义了 GB/T 18336中使用的术语。b） GB/T 18336. 1附录A定义了 ST的结构。c） GB/T 18336. 1附录B定义了 PP的结构。5功能要求范型本章描述了本部分安全功能要求中所使用的范型。讨论中所涉及的关键概念均以粗体/斜体突出表

18、示。本章并不打算替换或取代GB/T 18336. 1第3章中所给出的任何术语。本部分是一个有关安全功能组件的目录,可用于规约一个评估对象（TOE）的安全功能要求。TOE可 以是软件、固件和（/或）硬件的集合,并可能配有用户和管理员的指导性文档。TOE可包含用于处理和 存储信息的资源,诸如电子存储媒介（如主存、磁盘空间）、外设（如打印机）以及计算能力（如CPU时 间）等，并且是评估的对象。TOE评估主要关注的是，确保对TOE资源执行了所定义的安全功能要求（SFR）集。这些SFR定义 了一些规则，TOE通过这些规则来管制对其资源的访问和使用，从而实现对信息和服务的管控。这些SFR可定义多个安全功能

19、策略（SFP）以表达TOE必须执行的规则。每个这样的SFP必须 通过定义主体、客体、资源或信息及其适用的操作，来明确说明该安全功能策略的控制范围,所有SFP 均由TSF （见下文）实现,其机制执行SFR中定义的规则并提供必要的能力。TOE中为正确执行SFR而必须依赖的部分统称为TOE安全功能（TSF）。TSF由TOE中为了安全执行 而直接或间接依赖的所有软件、硬件和固件组成。TOE可以是个包含硬件、固件和软件的整体合一式的产品。TOE也可以是个分布式产品，内部由多个不同的部分组成，每一部分都为TOE提供特定的服务, 并且通过内部通信信道与TOE其它部分相连接。该信道可以小到为个处理器总线,也可

20、以是TOE之内 的个网络。当TOE由多个部分组成时，TOE的每一部分可拥有自己的那部分TSF,该部分通过内部通信信道与 TSF的其它部分交换用户数据和TSF数据，这种交互称为TOE内部传送。在这种情况下，这些TSF的不 同部分抽象地形成了执行SFR的组合型TSF,TOE接口可能只局限在特定的TOE内部使用,或者也可允许通过外部通信信道与其它IT产品交互。 与其它IT产品的外部交互可以采取以下两种形式:a）其他“可信!T产品”的安全功能要求和TOE的安全功能要求已进行了管理方面的协调，并假 设这些其他可信IT产品已正确执行了其安全功能要求（例如:通过独立的评估）。在这种情况下,信息 交换被称为T

21、SF间传送,因为它们存在于不同可信产品的TSF之间。b）其他IT产品可能是不可信的,被称为“不可信IT产品”。因此，它的SFR或是未知的,或这 些SFR的实现被视为是不可信赖的。在这种情况下,TSF促成的信息交换被称为TOE的外部传送,因为 在其他IT产品上没有TSF （或它的策略特征是未知的）。个接口集合,不管是交互式的（人机接口）,还是可编程的（应用编程接口）,通过这些接口,由 TSF协调对资源的访问，或者从TSF中获取信息,这接口集合被称为TSF接口（TSFI）。TSFI定义了 为执行SFR而提供的TOE功能边界。用户在TOE的外部。但为了请求由TOE执行且由SFR中定义的规则所控制的服

22、务,用户要通过TSFI 和TOE交互。本部分关注两种类型用户：人类用户和外部IT实体。人类用户可进步分为本地用户和 远程用户,本地用户通过TOE设备（如工作站）直接与TOE交互,远程用户通过其他IT产品间接与TOE 交互。用户和TSF之间的一段交互期称为用户会话。可以根据各种因素来控制用户会话的建立,例如：用 户鉴别、时段、访问TOE的方法以及允许的（每个用户的或总的）并发会话数。本部分使用术语“授权的”来表示一个用户持有执行某项操作的权或特权。因此术语“授权用户” 表明用户允许执行由SFR定义的特定操作或组操作。为了表达分离管理责任的要求,相关的安全功能组件（来自FMT一SMR族）明确指出了

23、所要求的管理 性角色。角色是预定义的组规则,用于建立用户按此角色操作时所允许的与TOE之间的交互。个 TOE可以支持任意多个角色的定义。例如,与TOE安全运行相关的角色可以包括“审计管理员和“用 户帐号管理员”。TOE包含可用于处理和存储信息的资源。TSF的主要目标是对TOE所控制的资源和信息完整而正确 地执行SFR。TOE资源能以多种方式组织并加以利用。但是,本部分作出了一个明确的区分,以便允许规范所期 望的安全特性。所有可通过资源来创建的实体,可用以下两种方式中的一种来刻画:实体可以是主动的, 意指它们是促使在TOE内部出现动作并导致信息操作的原因;或者,实体也可以是被动的,意指它们或 是

24、产生信息的载体,或是存储信息的载体。TOE中对客体执行操作的主动实体，被称为主体。TOE内可存在以下类型的主体:a）代表一个授权用户的那些实体（如，UNIX进程）；b）作为个特殊功能进程，可依次代表多个用户的那些实体（如,在客户/服务器结构中可能找到 的某些功能）；c）作为TOE自身一部分的那些实体（如，不代表某个用户的进程）。本部分用于解决在上述各类主体上实施SFR的问题。TOE中包含和接收信息,且主体得以在这些信息上执行操作的被动实体，称作客体。在一个主体（主 动实体）是某个操作的对象（例如进程间通信）的情况下,该主体也可以作为一个客体。客体可以包含信息。引入这一概念是为了详细说明在FDP

25、类中描述的信息流控制策略。由SFR中各规则所控制的用户、主体、信息、客体、会话和资源，可具有某种属性。属性包含TOE 为了正确运行而使用的信息。某些属性,如文件名,可能只是提示性的,或者可用来标识单个资源,而 另些属性，如访问控制信息，可能是专为执行SFR而存在的。后面这些属性通常称为“安全属性”。 在本部分的某些地方中,“属性” 词将用作“安全属性”的简称。另一方面,无论属性信息的预期目 的如何，均有必要按SFR的规定对属性施加控制。TOE中的数据可分为用户数据和TSF数据，图1示意了它们之间的关系。用户数据是存储在TOE资 源中的信息，用户可以根据SFR对其进行操作，而TSF对用户数据并不

26、赋予任何特殊的含义。例如，电 子邮件消息的内容是用户数据。TSF数据是TSF在按SFR的要求做决策时使用的信息。如果SFR允许, TSF数据可以受用户的影响。安全属性、鉴别数据、由SFR中定义的规则,或为了保护TSF及访问控制 列表条目所使用的TSF内部状态变量都是TSF数据的例子。有几个用于数据保护的SFP,诸如访问控制SFP和信息流控制SFP。实现访问控制SFP的机制依据 受控范围内的用户、资源、主体、客体、会话、TSF状态数据以及操作等的属性来建立策略决策。这些 属性用于管控主体操作客体的规则集中。实现信息流控制SFP的机制依据受控范围内的主体和信息的属性、以及管控主体操作信息的规则 来

27、建立策略决策。信息的属性与信息起由TSF予以处理，这些属性可能与载体属性相关联,或可能是 来源于载体中的数据。在本部分中处理的两种特殊类型的TSF数据鉴别数据和秘密可以相同,也可以不同。鉴别数据用于验证用户请求TOE服务时所声称的身份。最常用的鉴别数据形式是口令,为了使安全 机制有效，这形式的鉴别数据需要保密。但是，并非所有形式的鉴别数据都需要保密，生物特征鉴别 设备（例如,指纹识别器、视网膜扫描仪）就不依赖于数据保密,而依赖于这些数据只能被一个用户拥 有，且不能被伪造。本部分中使用的术语“秘密”,尽管可用于鉴别数据，也同样适用于其他为了执行某特定SFP而必 须保密的数据。例如，在强度方面，依

28、靠密码技术保护信道信息机密性的可信信道机制，仅与防止密钥 未授权泄露机制是样的。因此,不是所有的鉴别数据都需要保密，也不是所有的秘密都可用做鉴别数据。图2给出了秘密和 鉴别数据间的关系。在该图中,指出了常见的鉴别数据和秘密的数据类型。密码变量图2 “鉴别数据“和“秘密”的关系6安全功能组件6.1概述本章定义了 GB/T 18336功能要求的内容和形式,并提供了一个组织方法,以便对ST中添加的新组 件的安全功能要求进行描述。功能要求用类、族和组件来表达。6.1. 1类结构图3以框图形式示意了功能类的结构。每个功能类包括类名、类介绍和一个或多个功能族。6. 1. 1. 1 类名类名提供标识和划分功

29、能类所必需的信息。每个功能类都有一个唯一的名称,分类信息由三个字符 的简名组成。类的简名也用于该类中族的简名规范中。6.1.1.2类介绍类介绍描述了这些族满足安全目的的通用意图或方法。功能类的定义不反映要求规范中的任何正 式分类法。类介绍用图的形式来描述类中的族以及每个族中组件的层次结构,见6. 2条的解释。6. 1.2族结构族名部分提供了标识和划分功能族所必需的分类和描述信息。每个功能族有一个唯一的名称。族的 分类信息由七个字符的简名组成，头三个字符与类名相同,后跟一个下划线和族名,形如XXX一YYY。唯 一的简短族名为组件提供了主要的引用名称。6. 1.2.2族行为族行为是对功能族的叙述性

30、描述，陈述其安全目的,并且是功能要求的概括描述。以下是更详细的 描述:a）族的安全厅欄述了一个安全问题,该问题可通过TOE利用该族中的个组件予以解决;b）功度要求的描述概述了组件中包含的所有要求。该描述是面向PP、ST和功能包的作者的,他 们希望评价该族是否与他们的特定要求相关。6.1.2. 3组件层次功能族包含个或多个组件,任何一个组件都可被选出来包含到PP、ST和功能包中。本条的目的 是，当族一旦被确定为是表达用户安全要求的一个必须的或有用的部分时，为用户选取合适的功能组件 提供信息。功能族描述部分的本条内容描述了可使用的组件以及它们的基本原理。组件的详细细节包含在每 个组件中。功能族内组

31、件间的关系可能是分级的。如果一个组件相对另一个组件提供更多的安全性,那么该组 件对另个组件来说是更高级的。如6. 2条所述,族的描述提供了族中组件间层次结构的一个图示。6.1.2.4 管理管理包含PP/ST作者认为是给定组件管理活动的些信息。此条款参考管理类（FMT）的组件，并 提供关于通过操作这些组件可能应用的潜在管理活动的指导。PP/ST作者可以选择已明示的管理要求,也可以选择其它没有列出的管理要求以细化管理活动。因 而这些信息是提示性的。6. 1.2. 5 审计如果PP/ST中包含来自FAU类“安全审计”中的要求，声要求要包含可供PP/ST作者选择的可审 计事件。这些由FAU_GEN 安

32、全审计数据产生”族的组件支持的要求包括各种按不同详细级别描述的安 全相关事件。例如,个审计记录可能包括下述动作:最小级安全机制的成功使用;基本级对 安全机制的使用以及涉及安全属性的信息;详细级任何机制的配置变化，包括改变前后的实际配置 值。显然可审计事件的分类是分级的。例如，当期望的审计数据产生级别满足基本级时,除非高级事件 仅仅比低级事件提供更多的细节,所有已标识为最小级和基本级的可审计事件都应通过适当的赋值操 作包括在PP/ST内。当期望的审计数据产生级别满足详细级时，所有标识为最小级、基本级和详细级的 可审计事件都应包括在PP/ST内。在FAU类“安全审计”中，更详尽地解释了一些控制审计

33、的规则。6.1.3组件结构图5示意了功能组件的结构。图5功能组件结构6.1.3. 1组件标识组件标识部分提供识别、分类、注册和交叉引用组件所必需的描述性信息。下列各项作为每个功能 组件的部分:- 个唯一的名称,该名字反映了组件的目的。- 个篦名,即功能组件名的唯一简写形式。简名作为组件分类、注册和交叉引用的主要引用名。 简名反映出组件所属的类和族以及在族中组件的编号。- 个从属于列表.这个组件所从属于的其它组件列表,以及该组件能用于满足与所列组件间的 依赖关系。6. 1.3. 2功能元素为每组件提供了一组元素。每个元素都分别定义并且是自包含的。功能元素是一个安全功能要求,该要求如果再进步划分将

34、不会产生有意义的评估结果。它是GB/T 18336中标识和认可的最小安全功能要求。当构建包、PP或ST时,不允许从个组件中只选择个或几个元素，必须将组件的整套元素包含 在PP、ST或包中。每个功能元素名都有一个唯一的简化形式。例如，要求名FDP_IFF. 4. 2意义如下:F功能要求， DP“用户数据保护类，_IFF“信息流控制功能”族，.4 第四个组件,名为“部分消除非 法信息流，.2一一该组件的第2个元素。6. 1.3.3依赖关系当个组件不是自我充分的而需要依赖于其它组件的功能，或与其它组件交互能正确发挥其功 能时,就产生了功能组件间的依赖关系。每个功能组件都提供了一个对其它功能和保障组件

35、依赖关系的完整列表。有些组件可能列出“无依 赖关系”。所依赖的组件又可能依赖其它组件。组件中提供的列表是直接的依赖关系。这只是为该功能 要求能正确实现其功能提供参考。间接依赖关系，也就是由所依赖组件产生的依赖关系,见本部分附录 Ao值得注意的是,在某些情况下，依赖关系所提供的多个功能要求是可自由选择的,这些功能要求中 的任一个都足以满足依赖关系（例如FDPJJIT. 1 数据交换完整性”）。依赖关系列表标识出了为满足个既定组件相关的安全要求,所必需的最少功能或保障组件。从属 于既定组件的那些组件也可用来满足依赖关系。本部分指明的依赖关系是规范性的，在PP/ST中它们必须得到满足。在特定的情况下

36、,这种依赖关 系可能不适用。只要在基本原理中说清不适用的理由,PP/ST作者就可以在包、PP或ST中舍弃该依赖 组件。6.2组件分类本部分中组件的分组不代表任何正式的分类法。本部分包含了族和组件的分类,它们是基于相关功能和目的进行的粗略分组,并且按字母顺序给出。 每个类的开始部分都有一个提示性框图，指出该类的分类法、类中的族和族中的组件。这个图对于指明 可能会存在于组件间的层次关系是有用的。在功能组件的描述中，有一段文字指出了该组件和任何其它组件之间的依赖关系。在每个类中，都有一个与图6类似的描述族层次关系的图。在图6中，第1个族（族1）包括了三 个有从属关系的组件，其中组件2和组件3都可以用

37、来满足对组件1的依赖关系。组件3从属于组件 2,并且可以用来满足对组件2的依赖关系。图6示范类分解图在族2中有三个组件,这三个组件不全都有从属关系。组件1和组件2不从属于其它组件。组件3 从属于组件2,可以用来满足对组件2的依赖关系,但不能满足对组件1的依赖关系。在族3中，组件2、3、4都从属于组件1。组件2和3也都从属于组件1,但无可比性。组件4从 属于组件2和组件3。这些图的目的是补充族中的文字说明，使关系的识别更容易。它们并不能取代每个组件中的“从 属于:的注释,这些注释是对每个组件从属关系的强制性声明。6. 2. 1突出表示组件变化族中组件的关系约定以粗体字突出表示。在此约定所有新的要

38、求用粗体表示。对于有从属关系的组 件，当要求被增强或修改而超出前组件的要求时,要用粗体字表示。另外，超出前组件的任何新的 或增强的允许操作,也使用粗体字突出表示。7 FAU类:安全审计安全审计包括识别、记录、存储和分析那些与安全相关活动（即由TSP控制的活动）有关的信息。 可通过检查审计记录结果确定发生了哪些安全相关活动以及哪个用户要对这些活动负责。7. 1. 1族行为本族定义了在检测到潜在安全侵害事件时所作出的响应。7.1.2组件层次FAILARP. 1 “安全告警”,当检测到潜在的安全侵害时TSF应采取动作。7. 1.3 FAU_ARP. 1 管理FMT中的管理功能可考虑下列行为:a）对行

39、为的管理（添加、删除或修改）。7. 1.4 FAU_ARP. 1 审计如果PP/ST中包含FAU_GEN 安全审计数据产生”,下列行为应是可审计的: a）最小级:由于潜在的安全侵害而采取的动作。7. 1.5 FAU_ARP. 1 安全告警从属于:无其他组件。依赖关系：FAU_SAA. 1潜在侵害分析。7. 1.5. 1 FAU_ ARP. 1. 1当检测到潜在的安全侵害时,TSF应采取的赋值:动作列表。7. 2安全审计数据产生（FAU_GEN）7.1.1 族行为本族定义了一些在TSF控制下对安全相关事件的发生情况进行记录的要求。本族识别审计的级别, 列举TSF可审计的事件类型,以及标识在各种审

40、计记录内应提供的审计相关信息的最小集合。7.1.2 组件层次FAU GEN. 1 审计数据产生”定义可审计事件的级别，并规定在每个记录中应记录的数据列表。FAILGEN.2 ”用户身份关联”，TSF应把可审计事件与单个用户身份相关联。7.1.3 3 FAU_GEN. 1、FAU_GEN. 2 管理尚无预见的管理活动。7. 2.4 FAU_GEN. 1、FAU_GEN. 2 审计尚无预见的可审计事件。8. 2. 5 FAU_GEN. 1审计数据产生从属于:无其他组件。依赖关系:FPT_STM. 1可信时间戳。9. 2. 5. 1 FAU_GEN. 1.1TSF应能为下述可审计事件产生审计记录:a

41、）审计功能的开启和关闭;b）有关选择，选取一个:最小级、基本级、详细级、求规定审计级别的所有可审计事件:c）赋值:其他专门定义的可审计事件7. 2. 5. 2 FAU_GEN. 1.2TSF应在每个审计记录中至少记录下列信息：a）事件的日期和时间、事件类型、主体身份（如果适用）、事件的结果（成功或失效）；b）对每种审计事件类型，基于PP/ST中功能组件的可审计事件的定义,赋值:其他审计相关 信息】。7.2.6 FAU_GEN. 2用户身份关联从属于:无其他组件。依赖关系:FAU_GEN. 1审计数据产生;FIA_UID. 1标识的时机。7. 2. 6. 1 FAU_GEN. 2. 1对于已标识

42、身份的用户的行为所产生的审计事件，TSF应能将每个可审计事件与引起该事件的用 户身份相关联。7.3安全审计分析（FAU_SAA）1. 3.1族行为本族定义了一些采用自动化手段分析系统活动和审计数据以寻找可能的或真正的安全侵害的要求。 这种分析通过入侵检测来实现,或对潜在的安全侵害作出自动响应。基于检测而采取的动作,可用FALARP “安全审计自动响应”族来规范。7. 3.2组件层次在FALSAA. 1 潜在侵害分析”中,要求在固定规则集的基础上进行基本的阈值检测。在FALSAA.2 “基于轮廓的异常检测”中，TSF维护系统使用的单个轮廓。这里的“轮廓”表示由 轮廓目标组成员所完成的历史模式的使

43、用。轮廓目标组是指与TSF交互的一个或多个个体（如单个用 户、共享一个组ID或帐号的用户、分配了指定角色的用户、整个系统或网络节点的用户）。轮廓目标组 的每个成员都被分配了一个单独的置疑等级，表明成员当前的行为与轮廓中已建立的使用模式的一致 程度如何。此分析可实时进行，也可在信息采集后的批量分析阶段进行。FAU_SAA. 3“简单攻击探测”，TSF应能检测到那些对SFR实施将产生重大威胁的特征事件的发生。 对特征事件的搜索可以实时进行,也可以在信息采集后的批量分析阶段进行。FAU SAA.4 “复杂攻击探测”，TSF应能表示并检测到多步骤入侵情景。TSF应能对照已知事件序列 来比较（可能是由多

44、个用户执行的）系统事件以表示完整入侵情景。TSF应能在发现特征事件或事件序 列时进行提示，该事件预示个对SFR实施的潜在违反。8. 3.3 FAU_SAA. 1 管理FMT中的管理功能可考虑采取下列行为:a）通过（添加、修改、删除）规则集中的规则来维护规则。9. 3.4 FAU_SAA. 2 管理FMT中的管理功能可考虑下列行为:a）对轮廓目标组中的用户组进行维护（删除、修改、添加）。10. 3. 5 FAU_SAA. 3 管理FMT中的管理功能可考虑下列行为:a）对系统事件的子集进行维护（删除、修改、添加）。11. 3. 6 FAU_SAA. 4 管理FMT中的管理功能可考虑下列行为:a）对

45、系统事件的子集进行维护（删除、修改、添加）；b）对系统事件的序列集进行维护（删除、修改、添加）。12. 3.7 FAU_SAA. 1、FAU_SAA. 2、FAU_SAA. 3、FAU_SAA. 4 审计如果PP/ST中包含FALGEN “安全审计数据产生”，下列行为应是可审计的:a）最小级:开启和关闭任何分析机制;b）最小级:通过工具软件实现自动响应。7. 3.8 FAU_SAA. 1潜在侵害分析从属于:无其他组件。依赖关系:FAU_GEN. 1审计数据产生。7. 3. 8. 1 FAU_SAA, 1. 1TSF应能使用组规则去监测审计事件,并根据这些规则指示出对实施SFR的潜在侵害。7.3

46、. 8. 2 FAU_SAA. 1.2TSF应执行下列规则监测审计事件:a)已知的用来指示潜在安全侵害的赋值:已定义的可审计事件的子集、的累积或组合;b)赋值：任何其他规则.7.3. 9 FAU_SAA. 2基于轮廓的异常检测从属于：无其他组件。依赖关系：FIA_UID. 1标识的时机。7. 3. 9. 1 FAU_SAA, 2. 1TSF应能维护系统使用轮廓。在这里单个轮廓代表由赋值：轮廓目标组成员完成的历史使用模 式。7. 3. 9. 2 FAU_SAA, 2. 2TSF应维护个与每个用户相对应的置疑等级,这些用户的活动已记录在轮廓中。在这里,置疑等 级代表用户当前活动与轮廓中已建立的使用

47、模式不一致的程度。7. 3. 9. 3 FAU_SAA, 2. 3当用户的置疑等级超过门限条件赋值：TSF报告异常活动的条件 K, TSF应能指出对SFR实施 的可能侵害即将发生。7. 3.10 FAU_SAA. 3简单攻击探测从属于:无其他组件。依赖关系：无依赖关系。7. 3. 10. 1 FAU_SAA, 3. 1对预示可能违反SFR实施的下列特征事件赋值:系统事伊的子集,TSF应能维护个内部 表示。7. 3. 10. 2 FAU_SAA, 3. 2TSF应能对照特征事件比对系统活动记录，系统活动可以通过检查赋值：用来确定系统活动的信 息而辨明。7. 3. 10. 3 FAU_SAA. 3

48、. 3当发现个系统事件与一个预示可能潜在违反SFR实施的特征事件匹配时，TSF应能指出潜在违 反SFR实施的事件即将发生。7. 3. 11 FAU_SAA. 4复杂攻击探测从属于:FAU_SAA. 3简单攻击探测。依赖关系:无依赖关系。7. 3. 11. 1 FAU_SAA. 4. 1对已知入侵情景的事件序列赋值：已知攻击出现的系统事件序列列表、 和预示可能潜在违反SFR 实施的下列特征事件赋值：系统事伊的子変,TSF应能维护个内部表示。7. 3. 11.2 FAU_SAA. 4. 2TSF应能对照特征事件和事件序列比对系统活动记录,这里系统活动可以通过检查赋值:用来确 定系统活动的信息】而辨

49、明。7. 3. 11.3 FAU_SAA. 4. 3当发现个系统活动与一个预示可能潜在违反SFR实施的特征事件或事件序列匹配时,TSF应能 指出潜在违反SFR实施的事件即将发生。7.4安全审计查阅（FAU_SAR）7. 4. 1族行为本族定义了一些有关审计工具的要求,授权用户可使用这些审计工具查阅审计数据。7. 4.2组件层次FAU_SAR. 1 “审计查阅”，提供从审计记录中读取信息的能力。FAU_SAR.2 ”限制审计查阅”，要求除在FAU_SAR. 1 “审计查阅”中确定的用户外,其他用户不能读 取信息。FAU.SAR. 3 可选审计查阅”,要求审计查阅工具根据标准来选择要查阅的审计数据

50、。7. 4. 3 FAU_SAR. 1 管理FMT中的管理功能可考虑下列行为:a）维护（删除、修改、添加）对审计记录有读访问权的用户组。7. 4.4 FAU_SAR. 2、FAU_SAR. 3 管理尚无预见的管理活动。7. 4. 5 FAU_SAR. ! 审计如果PP/ST中包含FAU.GEN “安全审计数据产生”，下列行为应是可审计的：a）基本级:从审计记录中读取信息。7. 4. 6 FAU_SAR, 2 审计如果PP/ST中包含FAU_GEN 安全审计数据产生”,下列行为应是可审计的：a）基本级:从审计记录中读取信息的未成功尝试。7. 4. 7 FAU_SAR. 3 审计如果PP/ST中包

51、含FAU_GEN “安全审计数据产生”，下列行为应是可审计的：a）详细级:用于查阅的参数。7. 4. 8 FAU_SAR, 1 审计查阅从属于:无其他组件。依赖关系:FAU_GEN. 1审计数据产生。7. 4. 8. 1 FAU_SAR, 1. 1TSF应为赋值：授权用户、提供从审计记录中读取赋值：审计信息列表、的能力。7. 4. 8. 2 FAU_SAR. 1.2TSF应以便于用户理解的方式提供审计记录。7. 4. 9 FAU_SAR. 2限制审计查阅从属于:无其他组件。依赖关系：FAILS AR. 1审计查阅。7. 4. 9. 1 FAU_SAR. 2. 1除明确准许读访问的用户外,TSF

52、应禁止所有用户对审计记录的读访问。7. 4. 10 FAU_SAR, 3可选审计查阅从属于:无其他组件。依赖关系：FALSAR. 1审计查阅。7. 4. 10. 1 FAU_SAR. 3. 1TSF应根据赋值:具有逻辑关系的标准、 提供对审计数据进行赋值：选择和（/或）排序的方 法的能力。7.5安全审计事件选择（FAU_SEL）7.5.1族行为本族定义在T0E运行期间从所有审计事件集合中选取被审计事件的要求7. 5.2组件层次FAU_SEL. 1 选择性审计”,要求能够由PP/ST作者根据规定的属性从所有在“FAU_GEN. 1审计事 件产生”组件中标识的审计事件集合中选取被审计事件。7. 5

53、. 3 FAU_SEL. 1 管理FMT中的管理功能可考虑下列行为:a）维护查阅/修改审计事件的权限。7. 5.4 FAU_SEL. 1 审计如果PP/ST中包含FALGEN “安全审计数据产生”,下列行为应是可审计的: a）最小级：审计收集功能运行时,所有因审计配置修改而产生的事件。7. 5. 5 FAU_SEL. !选择性审计从属于:无其他组件。依赖关系:FAU GEN. !审计数据产生。FMT_MTD. 1 TSF 数据管理。7. 5. 5. 1 FAU_SEL. 1. 1TSF应能根据以下属性从所有审计事件集合中选择可审计事件:a）选择：客体身份、用户身份、主体身份、主机身份、事件类型

54、b）赋值:审计选择所依据的附加属性表、7.6安全审计事件存储（FAU_STG）7.6.1 族行为本族定义一些TSF能够创建并维护个安全审计迹的要求。存储的审计记录是指在审计迹中的那 些记录,而不是指经过选择操作后得到的临时存储的审计记录。7. 6.2组件层次FAU_STG. 1 受保护的审计迹存储”,要求保护审计迹避免未授权的删除或修改。FAU.STG. 2 审计数据可用性保证”,规定保证假定意外情况出现时TSF还能维护审计数据。FAU_STG. 3 审计数据可能丢失时的行为”,规定当审计迹超出门限值时所采取的动作。FAU.STG. 4 防止审计数据丢失”,规定当审计迹满时所采取的动作。7.

55、6. 3 FAU_STG. ! 管理尚无预见的管理活动。7. 6.4 FAU_STG. 2 管理FMT中的管理功能可考虑下列行为：a）维护控制审计存储能力的参数。7. 6. 5 FAU_STG. 3 管理FMT中的管理功能可考虑下列行为:a）维护门限值：b）当审计存储即将失效时所应采取的维护（删除、修改、添加）的动作。7. 6. 6 FAU_STG. 4 管理FMT中的管理功能可考虑下列行为：a）维护（删除、修改、添加）审计存储失效时所采取的行动。7. 6. 7 FAU_STG, 1 FAU_STG. 2 审计尚无预见的可审计事件。7. 6. 8 FAU_STG. 3 审计如果PP/ST中包含

56、FALGEN “安全审计数据产生”,下列行为应是可审计的：a）基本级:因超过门限而采取的动作。7. 6. 9 FAU_STG. 4 审计如果PP/ST中包含FAU_GEN 安全审计数据产生”,下列行为应是可审计的:a）基本级:因审计存储失效而采取的动作。7. 6. 10 FAU_STG. 1受保护的审计迹存储从属于:无其他组件。依赖关系：FALGEN. 1审计数据产生。7. 6. 10. 1 FAU_STG. 1. 1TSF应保护审计迹中存储的审计记录,以避免未授权的删除。7. 6.10.2 FAU_STG. 1.2TSF应能选择,选取一个:防止、检测对审计迹中所存审计记录的未授权修改。7.

57、6. 11 FAU_STG. 2审计数据可用性保证从属于:FAU_STG. 1受保护的审计迹存储。依赖关系：FAU_GEN. 1审计数据产生。7. 6. 11. 1 FAU_STG. 2. 1TSF应保护审计迹中所存储的审计记录,以避免未授权的删除。7.6.11.2 FAU_STG. 2. 2TSF应能选择,选取个:防止、检测对审计迹中所存审计记录的未授权修改。7. 6. 11.3 FAU_STG. 2. 3当下列情况发生时:选择:审计存储耗尽、失效、受攻击,TSF应确保赋值：保存审计记录的 度量审计记录将维持有效。7. 6.12 FAU_STG. 3审计数据可能丢失时的行为从属于：无其他组件

58、。依赖关系：FAU_STG. 1受保护的审计迹存储。8. 6. 12. 1 FAU_STG. 3. 1如果审计迹超过赋值:预定的限度,SE应采取赋值:审计存储可能失效时所采取的行动，9. 6.13 FAU_STG. 4防止审计数据丢失从属于：FAU_STG. 3审计数据可能丢失时的行为。依赖关系:FAU_STG. 1受保护的审计迹存储。7. 6. 13. 1 FAU_STG. 4. 1如果审计迹已满，TSF应选择,选取个:“忽略可审计事件”、“阻止可审计事件,具有特权的 授权用户产生的事件除外”,“覆盖所存储的最早的审计记录和赋值:审计存储失效时所采取的其 它动作、.8. FCO类:通信本类提

59、供了两个族,特别关注如何确认在数据交换中参与方的身份。这些族与确认信息传送的原发 者身份（原发证明）和确认信息传送的接收者身份（接收证明）相关。这些族确保原发者不能否认发送 过信息,接收者也不能否认收到过信息。通信FCO_NRO：原发抗抵赖 1 2FCO_NRR:接收抗抵赖 1 2图8 FCO:通信类分解9. 1原发抗抵赖（FCO-NRO）8.1.1族行为原发抗抵赖确保信息的发起者不能成功地否认曾经发送过信息。本族要求TSF提供种方法来确 保接收信息的主体在数据交换期间获得了证明信息原发的证据，此证据可由该主体或其他主体验证。8.1.2组件层次FCO_NRO. 1 选择性原发证明”,要求TSF

60、为主体提供请求信息原发证据的能力。FCO_NRO. 2 强制性原发证明”,要求TSF总是为所传送的信息产生原发证据。8. 1.3 FCO_NRO. 1 FCO_NRO. 2 管理FMT中的管理功能可考虑下列行为:a）对改变信息类型、域、原发者属性和证据接收者的管理。8. 1.4 FCO_NRO. 1 审计如果PP/ST中包含FAU_GEN 安全审计数据产生”，下列行为应是可审计的:a）最小级:请求产生原发证据的用户的身份:b）最小级:抗抵赖服务的调用;c）基本级:信息的标识、目的地和所提供的证据副本;d）详细级：请求验证证据的用户的身份。8. 1.5 FCO_NRO, 2 审计如果PP/ST中

61、包含FAILGEN “安全审计数据产生”，下列行为应是可审计的:a）最小级:抗抵赖服务的调用;b）基本级:信息的标识、目的地和所提供的证据副本:c）详细级:请求验证证据的用户的身份。8.1.6 FCO_NRO. 1选择性原发证明从属于:无其他组件。依赖关系:FIA_UID. 1标识的时机。8. 1.6. 1 FCO_NRO. 1. 1在选择：原发者、接收者或赋值:第三方列表请求时,TSF应能对所传送的赋值:信息 类型列表产生原发证据。8. 1.6. 2 FCO_NRO. 1.2TSF应能将信息原发者的赋值:属性列表1和信息的赋值：信息域列表与证据相关联。8.1.6. 3 FCO_NRO. 1.3给定赋值:原发证据的限制条件1,SF应能为11选择、原发者、接收者或赋值:第三方列表 提供验证信息原发证据的能力。8.1.7 FCO_NRO. 2强制性原发证明从属于:FCO NRO. 1选择性原发证明。依赖关系：FIA_UID. 1标识的时机。8. 1.7. 1 FCO_NRO. 2.1TSF在任何时候都应对所传送的赋值:信息类型列表强制产生原发证据。9. 1.7. 2 FCO_NRO. 2. 2TSF应能将信息原发者的赋值：属性列表、和信息的赋值：信息域列表与证据相关联。10. 1.7. 3 FCO_NRO. 2. 3给定赋值: