1、信息技術 安全技術信息技術安全性評估準則第2部分：安全功能要求Information technologySecurity techniquesEvaluation criteria for IT securityPart 2:Security functional requirementsPAGE PAGE viii目 次 TOC o 1-2 前 言 PAGEREF _Toc499996159 h vISO/IEC前言 PAGEREF _Toc499996160 h vi1范圍 PAGEREF _Toc499996161 h 11.1 功能要求的擴展和維護 PAGEREF _Toc49999

2、6162 h 11.2 本標準的結構 PAGEREF _Toc499996163 h 21.3 功能要求范例 PAGEREF _Toc499996164 h 22引用標準 PAGEREF _Toc499996165 h 63安全功能組件 PAGEREF _Toc499996166 h 63.1 綜述 PAGEREF _Toc499996167 h 63.2 組件分類 PAGEREF _Toc499996168 h 104FAU類：安全審計 PAGEREF _Toc499996169 h 114.1 安全審計自動應答（FAU_ARP） PAGEREF _Toc499996170 h 124.2

3、安全審計數據產生（FAU_GEN） PAGEREF _Toc499996171 h 134.3 安全審計分析（FAU_SAA） PAGEREF _Toc499996172 h 144.4 安全審計查閱（FAU_SAR） PAGEREF _Toc499996173 h 164.5 安全審計事件選擇（FAU_SEL） PAGEREF _Toc499996174 h 184.6 安全審計事件存儲（FAU_STG） PAGEREF _Toc499996175 h 195FCO類：通信 PAGEREF _Toc499996176 h 215.1 原發抗抵賴（FCO_NRO） PAGEREF _Toc49

4、9996177 h 225.2 接收抗抵賴（FCO_NRR） PAGEREF _Toc499996178 h 246FCS類：密碼支持 PAGEREF _Toc499996179 h 266.1 密鑰管理（FCS_CKM） PAGEREF _Toc499996180 h 276.2 密碼運算（FCS_COP） PAGEREF _Toc499996181 h 297FDP類：用戶數據保護 PAGEREF _Toc499996182 h 307.1 訪問控制策略（FDP_ACC） PAGEREF _Toc499996185 h 337.2 訪問控制功能（FDP_ACF） PAGEREF _Toc4

5、99996186 h 347.3 數據鑒別（FDP_DAU） PAGEREF _Toc499996187 h 357.4 輸出到TSF控制之外（FDP_ETC） PAGEREF _Toc499996188 h 367.5 信息流控制策略（FDP_IFC） PAGEREF _Toc499996189 h 377.6 信息流控制功能（FDP_IFF） PAGEREF _Toc499996190 h 387.7 從TSF控制之外輸入（FDP_ITC） PAGEREF _Toc499996191 h 417.8 TOE內部傳送（FDP_ITT） PAGEREF _Toc499996192 h 437.

6、9 殘余信息保護（FDP_RIP） PAGEREF _Toc499996193 h 457.10 反轉（FDP_ROL） PAGEREF _Toc499996194 h 467.11 存儲數據的完整性（FDP_SDI） PAGEREF _Toc499996195 h 477.12 TSF間用戶數據傳送的保密性保護（FDP_UCT） PAGEREF _Toc499996196 h 497.13 TSF間用戶數據傳送的完整性保護（FDP_UIT） PAGEREF _Toc499996197 h 508FIA類：標識和鑒別 PAGEREF _Toc499996198 h 528.1 鑒別失敗（FIA

7、_AFL） PAGEREF _Toc499996200 h 538.2 用戶屬性定義（FIA_ATD） PAGEREF _Toc499996201 h 548.3 秘密的規范（FIA_SOS） PAGEREF _Toc499996202 h 558.4 用戶鑒別（FIA_UAU） PAGEREF _Toc499996203 h 568.5 用戶標識（FIA_UID） PAGEREF _Toc499996204 h 598.6 用戶_主體綁定（FIA_USB） PAGEREF _Toc499996205 h 609FMT類：安全管理 PAGEREF _Toc499996206 h 619.1 T

8、SF中功能的管理（FMT_MOF） PAGEREF _Toc499996207 h 629.2 安全屬性的管理（FMT_MSA） PAGEREF _Toc499996208 h 639.3 TSF數據的管理（FMT_MTD） PAGEREF _Toc499996209 h 659.4 撤消（FMT_REV） PAGEREF _Toc499996210 h 679.5 安全屬性到期（FMT_SAE） PAGEREF _Toc499996211 h 689.6 安全管理角色（FMT_SMR） PAGEREF _Toc499996212 h 6910FPR類：隱私 PAGEREF _Toc49999

9、6213 h 7110.1 匿名（FPR_ANO） PAGEREF _Toc499996214 h 7210.2 假名（FPR_PSE） PAGEREF _Toc499996215 h 7310.3 不可關聯性（FPR_UNL） PAGEREF _Toc499996216 h 7510.4 不可觀察性（FPR_UNO） PAGEREF _Toc499996217 h 7611FPT 類：TSF保護 PAGEREF _Toc499996218 h 7811.1 根本抽象機測試（FPT_AMT） PAGEREF _Toc499996219 h 8011.2 失敗保護（FPT_FLS） PAGERE

10、F _Toc499996220 h 8111.3 輸出TSF數據的可用性（FPT_ITA） PAGEREF _Toc499996221 h 8211.4 輸出TSF數據的保密性（FPT_ITC） PAGEREF _Toc499996222 h 8311.5 輸出TSF數據的完整性（FPT_ITI） PAGEREF _Toc499996223 h 8411.6 TOE內 TSF數據的傳送（FPT_ITT） PAGEREF _Toc499996224 h 8611.7 TSF物理保護（FPT_PHP） PAGEREF _Toc499996225 h 8811.8 可信恢復（FPT_RCV） PAG

11、EREF _Toc499996226 h 9011.9 重放檢測（FPT_RPL） PAGEREF _Toc499996227 h 9211.10 參照仲裁（FPT_RVM） PAGEREF _Toc499996228 h 9311.11 域分離（FPT_SEP） PAGEREF _Toc499996229 h 9411.12 狀態同步協議（FPT_SSP） PAGEREF _Toc499996230 h 9611.13 時間戳（FPT_STM） PAGEREF _Toc499996231 h 9711.14 TSF間TSF數據的一致性（FPT_TDC） PAGEREF _Toc4999962

12、32 h 9811.15 TOE內 TSF數據復制的一致性（FPT_TRC） PAGEREF _Toc499996233 h 9911.16 TSF自檢（FPT_TST） PAGEREF _Toc499996234 h 10012FRU類：資源利用 PAGEREF _Toc499996235 h 10112.1 容錯（FRU_FLT） PAGEREF _Toc499996236 h 10212.2 服務優先級（FRU_PRS） PAGEREF _Toc499996237 h 10312.3 資源分配（FRU_RSA） PAGEREF _Toc499996238 h 10413FTA 類：TOE

13、訪問 PAGEREF _Toc499996239 h 10513.1 可選屬性范圍限定 (FTA_LSA) PAGEREF _Toc499996240 h 10613.2 多重并發會話限定 (FTA_MCS) PAGEREF _Toc499996241 h 10713.3 會話鎖定（FTA_SSL） PAGEREF _Toc499996242 h 10813.4 TOE 訪問旗標 (FTA_TAB) PAGEREF _Toc499996243 h 11013.5 TOE 訪問歷史 (FTA_TAH) PAGEREF _Toc499996244 h 11113.6 TOE 會話建立 (FTA_T

14、SE) PAGEREF _Toc499996245 h 11214FTP類：可信路徑/信道 PAGEREF _Toc499996246 h 11314.1 TSF間可信信道（FTP_ITC） PAGEREF _Toc499996247 h 11414.2 可信路徑（FTP_TRP） PAGEREF _Toc499996248 h 115附錄A（提示的附錄）安全功能要求應用注釋 PAGEREF _Toc499996249 h 116A1 注釋的結構 PAGEREF _Toc499996250 h 116A2 依賴關系表 PAGEREF _Toc499996251 h 118附錄B（提示的附錄）功

15、能類、子類和組件 PAGEREF _Toc499996252 h 123附錄C（提示的附錄）安全審計（FAU） PAGEREF _Toc499996253 h 124C1 安全審計自動應答（FAU_APR） PAGEREF _Toc499996254 h 126C2 安全審計數據產生（FAU_GEN） PAGEREF _Toc499996255 h 127C3 安全審計分析（FAU_SAA） PAGEREF _Toc499996256 h 129C4 安全審計查閱（FAU_SAR） PAGEREF _Toc499996257 h 132C5 安全審計事件選擇（FAU_SEL） PAGEREF

16、_Toc499996258 h 134C6 安全審計事件存儲（FAU_STG） PAGEREF _Toc499996259 h 135附錄D（提示的附錄）通信（FCO） PAGEREF _Toc499996260 h 137D1 原發抗抵賴（FCO_NRO） PAGEREF _Toc499996261 h 138D2 接收抗抵賴（FCO_NRR） PAGEREF _Toc499996262 h 140附錄E（提示的附錄）密碼支持（FCS） PAGEREF _Toc499996263 h 142E1 密鑰管理（FCS_CKM） PAGEREF _Toc499996264 h 143E2 密碼運算

17、（FCS_COP） PAGEREF _Toc499996265 h 145附錄F（提示的附錄）用戶數據保護(FDP) PAGEREF _Toc499996266 h 146F1 訪問控制策略(FDP_ACC) PAGEREF _Toc499996267 h 149F2 訪問控制功能(FDP_ACF) PAGEREF _Toc499996268 h 151F3 數據鑒別(FDP_DAU) PAGEREF _Toc499996269 h 153F4 輸出到TSF控制之外（FDP_ETC） PAGEREF _Toc499996270 h 154F5 信息流控制策略 (FDP_IFC) PAGEREF

18、 _Toc499996271 h 155F6 信息流控制功能（FDP_IFF） PAGEREF _Toc499996272 h 157F7 從TSF控制之外輸入（FDP_ITC） PAGEREF _Toc499996273 h 161F8 TOE內部傳送(FDP_ITT) PAGEREF _Toc499996274 h 163F9 殘余信息保護(FDP_RIP) PAGEREF _Toc499996275 h 165F10 反轉(FDP_ROL) PAGEREF _Toc499996276 h 167F11 存儲數據的完整性(FDP_SDI) PAGEREF _Toc499996277 h 1

19、68F12 TSF間用戶數據傳送的保密性保護(FDP_UCT) PAGEREF _Toc499996278 h 169F13 TSF間用戶數據傳送的完整性保護（FDP_UIT） PAGEREF _Toc499996279 h 170附錄G（提示的附錄）標識和鑒別（FIA） PAGEREF _Toc499996280 h 172G1 鑒別失敗（FIA_AFL） PAGEREF _Toc499996281 h 173G2 用戶屬性定義(FIA_ATD) PAGEREF _Toc499996282 h 174G3 秘密的規范(FIA_SOS) PAGEREF _Toc499996283 h 175G

20、4 用戶鑒別(FIA_UAU) PAGEREF _Toc499996284 h 176G5 用戶標識(FIA_UID) PAGEREF _Toc499996285 h 179G6 用戶主體綁定（FIA_USB） PAGEREF _Toc499996286 h 180附錄H（提示的附錄）安全管理(FMT) PAGEREF _Toc499996287 h 181H1 TSF中功能的管理（FMT_MOF） PAGEREF _Toc499996288 h 182H2 安全屬性的管理(FMT_MSA) PAGEREF _Toc499996289 h 183H3 TSF數據的管理(FMT_MTD) PAG

21、EREF _Toc499996290 h 185H4 撤消(FMT_REV) PAGEREF _Toc499996291 h 187H5 安全屬性到期(FMT_SAE) PAGEREF _Toc499996292 h 188H6 安全管理角色(FMT_SMR) PAGEREF _Toc499996293 h 189附錄I（提示的附錄）隱私(FPR) PAGEREF _Toc499996294 h 190I1 匿名(FPR_ANO) PAGEREF _Toc499996295 h 192I2 假名(FPR_PSE) PAGEREF _Toc499996296 h 194I3 不可關聯性（FPR_

22、UNL） PAGEREF _Toc499996297 h 197I4 不可觀察性(FPR_UNO) PAGEREF _Toc499996298 h 198附錄J（提示的附錄）TSF保護（FPT） PAGEREF _Toc499996299 h 201J1 根本抽象機測試（FPT_AMT） PAGEREF _Toc499996300 h 204J2 失敗保護（FPT_FLS） PAGEREF _Toc499996301 h 205J3 輸出TSF數據的可用性(FPT_ITA) PAGEREF _Toc499996302 h 206J4 輸出TSF數據的保密性(FPT_ITC) PAGEREF _

23、Toc499996303 h 207J5 輸出TSF數據的完整性(FPT_ITI) PAGEREF _Toc499996304 h 208J6 TOE內 TSF數據的傳送(FPT_ITT) PAGEREF _Toc499996305 h 210J7 TSF物理保護(FPT_PHP) PAGEREF _Toc499996306 h 211J8 可信恢復(FPT_RCV) PAGEREF _Toc499996307 h 213J9 重放檢測(FPT_RPL) PAGEREF _Toc499996308 h 216J10 參照仲裁(FPT_RVM) PAGEREF _Toc499996309 h 2

24、17J11 域分離(FPT_SEP) PAGEREF _Toc499996310 h 218J12 狀態同步協議(FPT_SSP) PAGEREF _Toc499996311 h 220J13 時間戳（FPT_STM） PAGEREF _Toc499996312 h 221J14 TSF間TSF數據的一致性（FPT_TDC） PAGEREF _Toc499996313 h 222J15 TOE內 TSF數據復制的一致性（FPT_TRC） PAGEREF _Toc499996314 h 223J16 TSF自檢（FPT_TST) PAGEREF _Toc499996315 h 224附錄K（提示

25、的附錄）資源利用(FRU) PAGEREF _Toc499996316 h 225K1 容錯(FRU_FLT) PAGEREF _Toc499996317 h 226K2 服務優先級(FRU_PRS) PAGEREF _Toc499996318 h 227K3 資源分配(FPR_RSA) PAGEREF _Toc499996319 h 228附錄L（提示的附錄）TOE訪問(FTA) PAGEREF _Toc499996320 h 230L1 可選屬性范圍限定（FTA_LSA） PAGEREF _Toc499996321 h 231L2 多重并發會話限定（FTA_MCS） PAGEREF _To

26、c499996322 h 232L3 會話鎖定（FTA_SSL） PAGEREF _Toc499996323 h 233L4 TOE訪問旗標（FTA_TAB） PAGEREF _Toc499996324 h 235L5 TOE訪問歷史 (FTA_TAH) PAGEREF _Toc499996325 h 236L6 TOE會話建立(FTA_TSE) PAGEREF _Toc499996326 h 237附錄M（提示的附錄）可信路徑/信道(FTP) PAGEREF _Toc499996327 h 238M1 TSF間可信信道(FTP_ITC) PAGEREF _Toc499996328 h 239

27、M2 可信路徑(FTP_TRP) PAGEREF _Toc499996329 h 240前 言本標準等同采用國際標準ISO/IEC15408-2：1999信息技術 安全技術 信息技術安全性評估準則 第2部分：安全功能要求。本標準介紹了信息技術安全性評估的安全功能要求。GB XXXX在總標題信息技術 安全技術 信息技術安全性評估準則下，由以下幾個部分組成： 第1部分：簡介和一般模型 第2部分：安全功能要求 第3部分：安全保證要求本標準的附錄A到M是提示的附錄。本標準由中華人民共和國國家安全部提出。本標準由全國信息技術標準化技術委員會歸口。ISO/IEC前言ISO(國際標準化組織)和IEC(國際電

28、工委員會)形成了全世界標準化的專門體系。作為ISO或IEC成員的國家機構，通過相應組織所建立的涉及技術活動特定領域的委員會參加國際標準的制定。ISO和IEC技術委員會在共同關心的領域里合作，其它與ISO和IEC有聯系的政府和非政府的國際組織也參加了該項工作。國際標準的起草符合ISO/IEC導則第3部分的原則。在信息技術領域，ISO和IEC已經建立了一個聯合技術委員會ISO/IEC JTC1。聯合技術委員會采納的國際標準草案分發給國家機構投票表決。作為國際標準公開發表，需要至少75%的國家機構投贊成票。國際標準ISO/IEC 15408-2是由聯合技術委員會ISO/IEC JTC1（信息技術）與

29、通用準則項目發起組織合作產生的。與ISO/IEC 15408-2同樣的文本由通用準則項目發起組織作為信息技術安全性評估通用準則發表。有關通用準則項目的更多信息和發起組織的聯系信息由ISO/IEC 15408-1的附錄A提供。ISO/IEC 15408在“信息技術安全技術信息技術安全性評估準則”的總標題下，由以下幾部分組成： 第1部分：簡介和一般模型 第2部分：安全功能要求 第3部分：安全保證要求ISO/IEC 15408本部分的附錄A到M僅供參考。以下具有法律效力的提示已按要求放置在ISO/IEC 15408的所有部分：在ISO/IEC 15408-1附錄A中標明的七個政府組織(總稱為通用準則

30、發起組織)，作為信息技術安全性評估通用準則第1至第3部分（稱為“CC”）版權的共同所有者，在此特許ISO/IEC在開發ISO/IEC 15408國際標準中，非排他性地使用CC。但是，通用準則發起組織在他們認為適當時保留對CC的使用、拷貝、分發以及修改的權利。圖的索引 TOC t 題注 c 圖1.1 安全功能要求范例(單個TOE) PAGEREF _Toc500033614 h 2圖1.2 分布式TOE內的安全功能圖 PAGEREF _Toc500033615 h 3圖1.3 用戶數據和TSF數據的關系 PAGEREF _Toc500033616 h 5圖1.4 “鑒別數據”和”秘密”的關系 P

31、AGEREF _Toc500033617 h 5圖3.1 功能類結構 PAGEREF _Toc500033618 h 6圖3.2 功能子類結構 PAGEREF _Toc500033619 h 7圖3.3 功能組件結構 PAGEREF _Toc500033620 h 8圖3.4 示范類分解圖 PAGEREF _Toc500033621 h 10圖4.1 安全審計類分解 PAGEREF _Toc500033622 h 11圖5.1 通信類分解 PAGEREF _Toc500033623 h 21圖6.1 密碼支持類分解 PAGEREF _Toc500033624 h 26圖7.1 用戶數據保護類分

32、解 PAGEREF _Toc500033625 h 31圖7.2 用戶數據保護類分解 PAGEREF _Toc500033626 h 32圖8.1 標識和鑒別類分解 PAGEREF _Toc500033627 h 52圖9.1 安全管理類分解 PAGEREF _Toc500033628 h 61圖10.1 隱私類分解 PAGEREF _Toc500033629 h 71圖11.1 TSF保護類分解 PAGEREF _Toc500033630 h 78圖11.2 TSF保護類分解 PAGEREF _Toc500033631 h 79圖12.1 資源利用類分解 PAGEREF _Toc500033

33、632 h 101圖13.1 TOE訪問類分解 PAGEREF _Toc500033633 h 105圖14.1 可信路徑/信道類分解 PAGEREF _Toc500033634 h 113圖A1 功能類結構 PAGEREF _Toc500033635 h 116圖A2 功能子類結構 PAGEREF _Toc500033636 h 117圖A3 功能組件結構 PAGEREF _Toc500033637 h 117圖C1 安全審計類分解 PAGEREF _Toc500033638 h 125圖D1 通信類分解 PAGEREF _Toc500033639 h 137圖E1 密碼支持類分解 PAGE

34、REF _Toc500033640 h 142圖F1 用戶數據保護類分解 PAGEREF _Toc500033641 h 146圖F2 用戶數據保護類分解 PAGEREF _Toc500033642 h 147圖G1 標識和鑒別類分解 PAGEREF _Toc500033643 h 172圖H1 安全管理類分解 PAGEREF _Toc500033644 h 181圖I1 隱私類分解 PAGEREF _Toc500033645 h 190圖J1 TSF保護類分解 PAGEREF _Toc500033646 h 201圖J2 TSF保護類分解 PAGEREF _Toc500033647 h 20

35、2圖K1 資源利用類分解 PAGEREF _Toc500033648 h 225圖L1 TOE訪問類分解 PAGEREF _Toc500033649 h 230圖M1 可信路徑/信道類分解 PAGEREF _Toc500033650 h 238表的索引圖 A.1功能組件依賴關系表118PAGE GB XXXX.2200X idt ISO/IEC 15408-2:1999 中 華 人 民 共 和 國 國 家 標 準信息技術 安全技術 信息技術安全性評估準則第2部分：安全功能要求Information technologySecurity techniquesEvaluation criteria

36、 for IT securityPart 2:Security functional requirements范圍本標準定義的安全功能組件是保護輪廓（PP）或安全目標（ST）中所表述的TOE IT 安全功能要求的基礎。這些要求描述了對評估對象（TOE）所期望的安全行為，目的是滿足PP或ST中陳述的安全目的。這些要求描述用戶通過與TOE直接交互（即輸入，輸出）或通過TOE對刺激的反應，可以檢測到的安全特性。安全功能組件表達用于在假定的TOE 運行環境中對抗威脅的要求，或涉及所有標識的組織安全策略和假設。本標準的讀者包括安全IT系統和產品的用戶、開發者和評估員。GB XXXX第1部分第4章提供了關

37、于本標準的目標讀者，以及這些目標讀者群使用本標準的附加信息。這些讀者群可按如下形式使用本標準：用戶，當選擇組件來表達功能要求以滿足PP或ST中的安全目的時，使用本標準。GB XXXX第1部分5.3條給出了有關安全目的和安全要求之間關系的詳細信息。開發者，針對實際或預期的用戶安全要求建立TOE時，可以在本標準中找到理解這些安全需求的標準化方法。他們也可以將本標準的內容作為進一步定義符合這些要求的TOE安全功能和機制的基礎。評估者，使用本標準中定義的功能要求，驗證PP或ST中的TOE功能要求是否滿足IT安全目的，并且應考慮所有依賴關系是否得到滿足。評估者也應使用本標準內容來幫助確定給定TOE滿足所

38、陳述的要求。1.1 功能要求的擴展和維護本標準及在此描述的相關安全功能要求，并不打算成為所有IT安全問題的確定答案，而是提供一組廣為理解的安全功能要求，用于創建反映市場需求的可信產品或系統。這些安全功能要求的給出，體現當前要求規范和評估的技術發展水平。本標準不包括所有可能的安全功能要求，而是包含那些在發布時作者已知并認為有價值的那些要求。國家質量技術監督局 因為用戶的理解和需求可能會變化，因此需要維護本標準中的功能要求。PP/ST作者可能還有一些安全要求未包含在本標準功能要求組件中。此時，PP/ST的作者可考慮使用不是來自本標準的功能要求（稱之為可擴展性），參見GB XXXX第1部分中的附錄B

39、和附錄C。1.2 本標準的結構第1章是本標準的簡介。第2章介紹本標準功能組件的分類，第3章到第13章描述這些功能類。附錄A為可能使用功能組件的用戶提供感興趣的附加信息，其中包括完整的功能組件間依賴關系的交叉參照表。附錄B至附錄M提供功能類的應用注釋。它們是本標準用戶的參考資料庫，可以幫助用戶應用相關的操作并選擇恰當的審計或文檔信息。有關結構、規則和指南的信息，編寫PP或ST的作者應參考GB XXXX第1部分第3章： - 第1部分第3章，定義本標準中使用的術語。 - 第1部分附錄B，定義PP的結構。 - 第1部分附錄C，定義ST的結構。1.3 功能要求范例本條描述本標準中安全功能要求所使用的范例

40、。圖1.1和圖1.2描述了范例的一些關鍵概念。本條為這些圖和圖中沒有的其它關鍵概念提供文字描述。所討論的關鍵概念以粗斜體突出表示。本條并不打算替換或取代GB XXXX第1部分第3章標準術語表中的任何術語。 TOE安全功能 （TSF）執行TOE安全策略 （TSP）安全屬性資源安全屬性進程安全屬性安全屬性安全屬性主體主體主體客體/信息主體TSF控制范圍（TSC）評估對象（TOE）TOE安全功能接口（TSFI）個人用戶/遠程IT產品用戶圖 STYLEREF 1 s 1. SEQ 圖 * ARABIC s 1 1 安全功能要求范例(單個TOE)本標準是一個可為評估對象（TOE）規定安全功能要求的目錄。

41、TOE是包含電子存儲媒體（如磁盤）、外設（如打印機）和計算能力（如CPU時間）等資源的IT產品或系統（同時帶有用戶和管理員指南文檔），可用于處理和存儲信息，是評估的對象。TOE評估主要關系到：確保對TOE資源執行了規定的TOE安全策略（TSP）。TSP定義了一些規則，通過這些規則TOE 支配對其資源的訪問，這樣TOE就控制了所有信息和服務。而TSP又由多個安全功能策略（SFP）所構成。每一SFP有其控制范圍，定義該SFP控制下的主體、客體和操作。SFP由安全功能（SF）實現，SF的機制執行該策略并提供必要的能力。本地（TOE內）可信路徑本地用戶TOE內部傳送SFSFSFSFSFSF本地TOET

42、SF間傳送TSF控制外傳送TSF間可信路徑RF：遠程功能不可信IT產品遠程可信IT產品遠程用戶圖 STYLEREF 1 s 1. SEQ 圖 * ARABIC s 1 2 分布式TOE內的安全功能圖為正確執行TSP而必須依賴的TOE中的那些部分，統稱為TOE安全功能（TSF）。TSF包括實施安全所直接或間接依賴的TOE中的所有軟件、硬件和固件。參照監視器是實施TOE的訪問控制策略的抽象機。參照確認機制 是參照監視器概念的實現，它具有以下特性：防篡改、一直運行、簡單到能對其進行徹底的分析和測試。TSF可能包括一個參照確認機制或TOE運行所需要的其它安全功能。TOE可能是一個包含硬件、固件和軟件的

43、單個產品， 也可能是一個分布式產品，內部包括多個單獨的部分，每一部分都為TOE提供一個特別的服務，并且通過一個內部通信信道與TOE其它部分相連接。該信道可以與處理器總線一樣小，也可能包含TOE的一個內部網絡。當TOE由多個部分組成時，TOE的每一部分可擁有自己的TSF部分，此部分通過內部通信信道與TSF的其它部分交換用戶數據和TSF數據。這種交互稱為TOE內部傳送。在這種情況下，這些TSF的分離部分抽象地形成一個復合的TSF來實施TSP。TOE接口可能限于特定的TOE使用，也可能允許通過外部通信信道與其它IT產品交互。這些與其它IT產品的外部交互可以采取兩種形式： “遠程可信IT產品”的安全策

44、略和本地TOE的TSP已在管理上進行了協調和評估。這種情況下的信息交換稱為TSF間傳送，如同它們是在不同可信產品的TSF之間。遠程IT產品可能沒有被評估，因此它的安全策略是未知的，如圖1.2中所示的“不可信IT產品”。這種情況下的信息交換稱為TSF控制外傳送，如同在遠程IT產品中沒有TSF（或它的策略特性未知）。可與TOE或在TOE中發生的并服從TSP規則的交互集合稱為TSF控制范圍（TSC）。TSC包括一組根據主體、客體和TOE內的操作定義的交互集，但不必包括TOE的所有資源。一組交互式(人機接口)或編程 (應用編程接口)接口，通過它，TSF訪問、調配TOE資源，或者從TSF中獲取信息，稱為

45、TSF接口（TSFI）。TSFI定義了為執行TSP而提供的TOE功能的邊界。用戶在TOE的外部，因此也在TSC的外部。但為請求TOE執行服務，用戶要通過TSFI和TOE 交互。本標準安全功能要求關心兩種用戶：個人用戶和外部IT實體。個人用戶進一步分為本地個人用戶，他們通過TOE設備（如工作站）直接與TOE交互，或遠程個人用戶，他們通過其它IT產品間接與TOE交互。用戶和TSF間的一段交互期稱為用戶會話。可以根據各種考慮來控制用戶會話的建立，如：用戶鑒別、時段、訪問TOE的方法和每個用戶允許的并發會話數。本標準使用術語“已授權”來表示用戶具有執行某種操作所必需的權力或特權。因此術語“授權用戶”表

46、示允許用戶執行TSP定義的操作。為表達需要管理員責任分離的要求，本標準相關的安全功能組件（來自子類FMT_SMR）明確說明要求管理性角色。角色是預先定義的一組規則，這些規則建立起用戶和TOE間所允許的交互。TOE可以支持定義任意數目的角色。例如，與TOE安全運行相關的角色可能包括“審計管理員”和“用戶帳號管理員”。TOE包括可用于處理和存儲信息的資源。TSF的主要目標是完全并正確地對TOE所控制的資源和信息執行TSP。TOE資源能以多種方式結構化和利用。但是，本標準作出了特殊區分，以允許規定所期望的安全特性。所有由資源產生的實體能以兩種方式中的一種來表征：實體可能是主動的，意指他們是TOE內部

47、行為發生的原因，并導致對信息執行操作；實體也可能是被動的，意指他們是發出信息或存入信息的容器。主動的實體稱為主體。TOE內可能存在以下幾種類型的主體：代表授權用戶，遵從TSP所有規則的那些實體（例如：UNIX進程）；作為特定功能進程，可以輪流代表多個用戶的那些實體 (例如：在客戶/服務器結構中可能找到的功能)；作為TOE自身一部分的那些實體（例如：可信進程）。本標準所述的安全功能針對上述列出的各種主體執行TSP。被動實體（即信息存儲器）在本標準中被稱作“客體”。客體是可以由主體執行操作的對象。在一個主體（主動實體）是某個操作的對象（例如進程間通信）的情況下，該主體也可以作為客體。客體可以包含信

48、息。在FDP類中說明信息流控制策略時，需要這個概念。用戶、主體、信息和客體具有確定的屬性，這些屬性包括使TOE正確運轉的信息。有些屬性，可能只是提示性信息（即，增加TOE的用戶友好性），如文件名，而另一些屬性，可能專為執行TSP而存在，如訪問控制信息，后面這些屬性通常稱為“安全屬性”。在本標準中，屬性一詞將用作“安全屬性”的簡稱，除非另有說明。但正如TSP規定的那樣，無論屬性信息的預期目的如何，對屬性加以控制還是必要的。TOE中的數據分為用戶數據和TSF數據，圖1.3表明了這種關系。用戶數據是存儲在TOE資源中的信息，用戶可以根據TSP對其進行操作，而TSF對它們并不附加任何特殊的意義。例如，

49、電子郵件消息的內容是用戶數據。TSF數據是在進行TSP決策時TSF使用的信息。如果TSP允許的話，TSF數據可以受用戶的影響。安全屬性、鑒別數據以及訪問控制表都是TSF數據的例子。有幾個用于數據保護的SFP，諸如訪問控制SFP和信息流控制SFP。實現訪問控制SFP的機制，是基于控制范圍內的主體屬性、客體屬性和操作來決定建立他們的策略，這些屬性用于控制主體可以對客體執行操作的規則集中。實現信息流控制SFP的機制，是基于控制范圍內的主體和信息的屬性以及制約主體對信息操作的一組規則來決定他們的策略。信息的屬性，可能與容器屬性相關聯（也可能沒有關聯，如多級數據庫），在信息移動時與其相隨。用戶數據鑒別數

50、據TSF數據用戶屬性客體屬性主體屬性信息屬性安全屬性TOE數據圖 STYLEREF 1 s 1. SEQ 圖 * ARABIC s 1 3 用戶數據和TSF數據的關系本標準涉及的兩種特殊TSF數據，鑒別數據和秘密，可以是但不必一定是相同的。鑒別數據用于驗證向TOE請求服務的用戶聲明的身份。最通用的鑒別數據形式是口令。口令要成為有效的安全機制，依賴于對其進行保密。但是，不是所有形式的鑒別數據都需要保密，生物測定學鑒別設備（例如，指紋閱讀器、視網膜掃描儀）就不依賴于數據保密，因為這些數據只有一個用戶擁有，其他人不能偽造。本標準功能要求中用到的術語“秘密”，對鑒別數據適用，對其它為執行一特定SFP而

51、必須保密的數據也同樣適用。例如，依靠密碼技術保護在信道中傳送信息的保密性的可信信道機制，其強度應與用來保持密鑰的秘密以防止未授權泄露的方法的強度相當。因此，不是所有的鑒別數據都需要保密；也不是所有的秘密都被用作鑒別數據。圖1.4說明了秘密和鑒別數據間的關系。圖中指出了常見的鑒別數據和秘密的數據類型。鑒別數據生物測定學口令智能卡密碼變量秘密圖 STYLEREF 1 s 1. SEQ 圖 * ARABIC s 1 4 “鑒別數據”和”秘密”的關系引用標準下列標準所包括的條文，通過在本標準中引用而構成本標準的條文。在本標準出版時，所示版本均為有效。這些標準都會被修訂，使用本標準的各方應探討、使用下列

52、標準最新版本的可能性。GB/T XXXX.1-200X 信息技術 安全技術 信息技術安全性評估準則 第1部分：簡介和一般模型 (idt ISO/IEC 15408-1:1999)安全功能組件3.1 綜述本章定義本標準的功能要求的內容和形式，并為需要向ST中添加新組件的組織提供指南。功能要求以類、子類和組件來表達。3.1.1 類結構圖3.1以圖表的形式闡明了功能類的結構。每個功能類包括一個類名、類介紹及一個或多個功能子類。功能類類名類介紹功能子類ACB圖例A包括B和若干個C圖 STYLEREF 1 s 3. SEQ 圖 * ARABIC s 1 1 功能類結構 類名 類名提供標識和化分功能類所必

53、需的信息。每個功能類都有一個唯一的名稱，類的分類信息由三個字符的簡名組成。類的簡名用于該類中的子類的簡名規范中。 類介紹類介紹描述這些子類滿足安全目標的通用意圖或方法。功能類的定義不反映要求規范中的任何正式分類法。類介紹用圖來描述類中的子類和每個子類中組件的層次結構，見3.2條的解釋。3.1.2 子類結構圖3.2以框圖形式說明功能子類的結構。子類名功能子類子類行為組件層次管理審計組件圖 STYLEREF 1 s 3.2 功能子類結構 子類名 子類名部分提供標識和化分功能子類所必需的分類和描述信息。每個功能子類有一個唯一的名稱。子類的分類信息由七個字符的簡名組成，開頭三個字符與類名相同，后跟一個

54、下劃線和子類名，例如XXX_YYY。唯一的簡短子類名為組件提供主要的引用名。 子類行為子類行為是對功能子類的敘述性描述，陳述其安全目的，以及對功能要求的一般描述。以下是更詳細的描述：子類的安全目的闡述在包含該子類的一個組件的TOE的幫助下，可以解決的安全問題；功能要求的描述總結組件中包含的所有要求。該描述針對PP、ST和功能包的作者，他們希望評價該子類是否與他們的特定需求相關。 組件層次功能子類包含一個或多個組件，任何一個組件都可被選擇包括在PP、ST和功能包中。本條的目的是，一旦子類被認為是用戶安全要求的一個必要或有用的部分時，向用戶提供選擇恰當的功能組件的信息。功能子類描述部分描述所用組件

55、和它們的基本原理。組件的更多細節包含在每個組件中。功能子類內組件間的關系可能是也可能不是層次化的。如果一個組件相對另一個組件提供更多的安全，那么該組件對另一個組件來說是有層次的。如3.2條所述，子類的描述中提供了關于子類內組件層次結構的圖示。 管理管理要求包含PP/ST作者應考慮的作為給定組件的管理活動的信息。管理要求在管理類（FMT）的組件里詳述。PP/ST作者可以選擇已指出的管理要求或者可以包括其它沒有列出的管理要求。因而這些信息應認為是提示性的。 審計如果PP/ST中包含來自類FAU（安全審計）中的要求，則審計要求包含供PP/ST作者選擇的可審計的事件。這些要求包括按FAU_GEN（安全

56、審計數據產生）子類的組件所支持的以各種不同詳細級別表示的安全相關事件。例如，一個審計記錄可能包括下述行動：最小級安全機制的成功使用；基本級安全機制的成功使用以及所涉及到的安全屬性的相關信息；詳細級所有對機制配置的改變，包括改變前后的實際配置值。顯然可審計事件的分類是層次化的。例如，當期望“基本級審計產生”時，所有標識為最小級和基本級的可審計事件都應通過適當的賦值操作包括在PP/ST內，只是高級事件僅僅比低級事件提供更多的細節。當期望“詳細級審計產生”時，所有標識為最小級、基本級和詳細級的可審計事件都應包括在PP/ST內。FAU類更詳盡地解釋了管理審計的規則。3.1.3 組件結構圖3.3描繪功能

57、組件的結構。組件組件標識功能元素依賴關系圖 STYLEREF 1 s 3.3 功能組件結構 組件標識組件標識提供標識、分類、注冊和交叉引用組件時所必需的描述性信息。下列各項作為每個功能組件的部分：一個唯一的名字，該名字反映了組件的目的。一個簡名，即功能組件名的唯一簡寫形式。簡名作為分類、注冊和交叉引用組件的主要引用名。簡名反映出組件所屬的類和子類以及在子類中組件的編號。一個從屬于表。這個組件所從屬于的其它組件列表，以及該組件可用來滿足與所列組件間的依賴關系。 功能元素為每一組件提供了一組元素。每個元素都分別定義并且是相互獨立的。功能元素是一個安全功能要求，如果進一步劃分將不會產生有意義的評估結

58、果。它是GB XXXX中標識和認同的最小安全功能要求。當建立包、PP或ST時，不允許從一個組件中只選擇一個或幾個元素，必須選擇組件的全部元素。每個功能元素名都有一個唯一的簡化形式。例如，要求名FDP_IFF.4.2意義如下： F功能要求，DP “用戶數據保護”類， _IFF “信息流控制功能”子類，.4第四個組件，名為“部分消除非法信息流”，.2-該組件的第2個元素。 依賴關系當一個組件本身不充分而要依賴于其它組件的功能，或依賴于與其它組件的交互才能正確發揮其功能時，就產生了功能組件間的依賴關系。每個功能組件都提供一個對其它功能和保證組件的完整的依賴關系表。有些組件可能列出“無依賴關系”。所依

59、賴的組件又可能依賴其它組件，組件中提供的列表是直接的依賴關系。這只是為該功能要求能正確完成其功能提供參考。間接依賴關系，也就是由所依賴組件產生的依賴關系，見本標準附錄A。值得注意的是，在某些情況下依賴關系可在提供的多個功能要求中選擇，這些功能要求中的每一個都足以滿足依賴關系（例如FDP_UIT.1）。依賴關系列表標識出，為滿足與已標識組件相關的安全要求所必需的最少功能或保證組件。從屬于已標識組件的那些組件也可用來滿足依賴關系。本標準指明的依賴關系是規范的，在PP/ST中它們必須得到滿足。在特定的情況下這種依賴關系可能不適用，只要PP/ST作者在基本原理中說清不適用的理由，就可以在包、PP和ST

60、中不考慮依賴的組件。3.1.4 允許的功能組件操作用于在PP、ST或功能包內定義要求的功能組件可以與本標準第4到第14章中說明的完全一樣，也可以經裁剪以滿足特定的安全目的。但是，選擇和裁剪這些功能組件是復雜的，因為必須考慮所標識組件依賴關系。因此這種裁剪只限于一組允許的操作。每個功能組件都包括一個允許的操作列表。對所有功能組件，并非一切操作都是允許的。允許的操作選自： - 反復：采用不同的操作多次使用同一組件； - 賦值：對指定參數的說明； - 選擇：對列表中的一個或多個元素的說明； - 細化：增加細節。 反復當需要覆蓋同一要求的不同方面時（如，標識一個以上類型的用戶），允許重復使用本標準的同