1、信息系统安全保护轮廓(PP)产生办法1 前言所谓安全保护轮廓(PP),具体来说,就是为了满足一系列的安全目标而提出的一整套相对应的功能和保证需求。一个PP可以重复使用于一些不同的应用中。PP对于不同的团体均具有重要的意义。它叙述了用户实际的安全方法,为开发者提供了一套开发的基准,为学术界描述了一些很好的安全配置方法,为评估者提供了评估的标准。PP定义了对应一类TOEs的独立于应用的一系列安全需求。这些TOEs能满足用户对IT安全的需要。因而,用户能够不参考任何特定的TOE去构造或引用一个PP来描述他们自己的IT安全需要。PP应作为一个基于用户服务的文件来描述,尽量使PP用户不再去参考那些对于他
2、们很难用到的资料。安全保护的原理应当明确的阐述,如果需要,可以单独提出。PP可以是由用户来制定,也可以是由IT产品研发方来制定,同时也可以由任何其它对此感兴趣的团体来制定。PP给予了用户一种查阅特殊安全需求的方式,同时也使将来对这些需求进行评估变得简单易行。一般而言,在安全目标(ST)中所包含的TOE的安全需求都应当在一个已存在的PP中详细叙述过,与PP中的需求保持一致。由一些已存在的PPs可以产生一个新的PP。2 PP的内容结构TOE安全功能需求TOE安全保证需求保护轮廓(PP)PP介绍PP标识PP概述TOE描述TOE安全环境假设威胁安全组织策略安全目标对TOE的安全目标对环境的安全目标IT
3、安全需求TOE安全需求对IT环境的安全需求PP使用注释基本原理安全目标基本原理安全需求基本原理 图1 PP内容构架3 PP基本内容3.1 PP介绍PP介绍这部分内容应当包括执行PP注册登记所必需的文件管理和概要信息。内容如下:a) PP识别应当提供对PP识别、编制目录、注册、参照所必需的标签和描述信息。b) PP概述应当用简短的形式总结PP。概述必需足够详细,从而能够引起PP用户的兴趣。在PP目录和注册中,概述应独立出来作为摘要。3.2 TOE描述TOE描述这部分内容能帮助读者对于TOE安全需求的理解,应当对其产品型号以及一般的IT特征加以叙述。TOE描述同样提供了评估的内容。TOE描述中提供
4、的信息将用在评估的过程中,来判别是否存在矛盾。由于一个PP一般不仅仅指代一个特定的应用,其所描述的TOE特征可以是假设。如果TOE是一个产品或系统,其首要功能是安全,PP的这部分内容将被用作是对TOE更广泛应用前景的叙述。3.3 TOE安全环境TOE安全环境应描述TOE所应用环境的安全方面,以及TOE期望被采用的方式。陈述应包括如下内容:a) 假设描述了TOE的应用或想要应用的环境的安全方面,如:有关TOE的使用信息,包括可能的应用,潜在的资产价值,对使用的可能的限制。 关于TOE使用环境的信息,包括物理的,人员的以及连接的方面。b) 威胁应当包括所有对TOE内部受特殊保护的资产的威胁。应当申
5、明的是,不是所有在此环境中遇到的可能的威胁必需列举出来,列举出来的仅是与安全的TOE运行相关的那部分。威胁应以一个辩明的威胁代理者,一次攻击的方式描述,而资产是攻击的主体。威胁代理者应当通过这些方面叙述,如专业知识,可用的资源和动机。 攻击应当通过攻击方法,可利用脆弱点和机会来描述。如果仅仅从组织的安全法规以及假设来推导,那么,威胁的描述就可以忽略了。c) 组织的安全法规的描述应确认和解释任何TOE必须遵守的组织的安全法规,解释和说明对于陈述任何一条法规都是必须的,这样有利于指定明确的安全目标。如果TOE是分布式的,则TOE环境的各个独立的范围的安全环境的方方面面(假设,威胁,组织安全法规)必
6、须讨论。3.4 安全目标安全目标这部分应当定义对TOE和其环境的安全目标。其内容应当涵盖已辩明的安全环境的所有方面。安全目标应当反映所陈述的目的,应能对抗所有已识别的威胁,并覆盖所有辩明的组织安全法规和假设。具体有如下的安全目标:a) TOE的安全目标应明确陈述,还须追踪到TOE会遭遇到的已知的威胁以及TOE须遵守的组织安全法规的各个方面。b) 环境的安全目标同样须明确陈述,还应追踪到TOE没有完全遭遇到的已辩明的威胁或TOE须不完全遵守的组织安全法规及假设的各个方面。须注意的是,环境的安全目标也许是对TOE安全环境的假设部分的完全或部分重复叙述。3.5 IT安全需求 PP的这部分内容详细定义
7、了TOE及其环境应满足的IT安全需求。IT安全需求具体包括如下内容:a) TOE安全需求定义了为了达到TOE的安全目标,TOE及其评估证据必须满足的功能的和保证的安全需求。TOE的安全需求叙述如下:1) TOE安全功能需求应当适当选择本文附录一内的功能组件来定义TOE的功能上的要求。为了涵盖每一方面的要求,附录一的同一个组件有可能重复使用或使用同一需求的不同方面。当在TOE安全保证需求有组件AVA_SOF.1(EAL2和更高),TOE安全功能需求应通过概率和排列算法保证其最低的强度等级。所有的功能应当满足最低的等级,该等级需是如下等级中的一个:SOF-Basic, SOF-Medium, SO
8、F-High。等级的选择应当与已确定的TOE安全目标一致。作为TOE安全功能评估强度的一部分(AVA_SOF.1),应当对每一单独的TOE安全功能要求强度和TOE的总体最低安全强度等级进行评估。2) TOE安全保证需求的陈述应作为一个被附录二的保证组件扩张的EALs。当PP中存在明确的不包含在附录二中的额外的保证需求时,也须扩展EAL。b) IT环境安全需求应确定需被TOE的IT环境满足的IT安全需求,如果TOE对IT环境的依赖关系尚需证实,PP的这部分内容可以删除。注意到,在现实中常常非常有用的非IT环境的安全需求不要求作为PP的正式内容,因为它们与PP的实施不直接相关。c) 在对TOE以及
9、其IT环境的安全功能和保证需求的叙述中应使用如下的一般条件:1) 所有的IT安全需求应当从附录一和附录二中选择,如果其中某些需求不是摘自附录一和附录二,PP中应当明确的说明,该需求不是摘自附录。2) 任何明确说明的非摘自附录的需求应当正确而不含糊的陈述,这样,评估及示范才可行,其具体的等级和描述方式应参考附录里的功能和保证需求。3) 当选择了一些指定了必须的操作的安全需求时,PP应当使用这些操作去放大这些需求的等级,从而能够示范是否达到安全目标。任何PP内没有执行的所要求的操作应当标明。4) 通过使用需求组件中的操作,在必要时,TOE安全需求陈述应有选择地规定或禁止特定安全机制的使用。5) 所
10、有IT安全需求之间的相关性都应满足,通过在TOE的安全需求或环境的需求中包含该相关联的需求来满足相关性。3.6 使用注释PP的这部分包含了对TOE的使用、评估、构造所必需考虑的额外相关的有益支撑信息。3.7 基本原理PP的这部分内容提供了PP评估所需的证据。这些证据能够证明PP内的需求是完整而连贯的,它可以为TOE在其安全环境内提供一套有效的IT安全抵抗措施。该基本原理内容包括如下:a) 安全目标原理应表明所有陈述的安全目标可追踪到TOE安全环境中确定的所有方面。b) 安全需求原理应表明这一系列安全需求能够满足并追踪到安全目标。如:1) TOE及其IT环境的各个功能和保证需求组件的组合满足所提
11、出的安全目标。2) 这一系列需求一起形成了一个相互支撑、内部连贯的整体。3) 安全需求的选择是合理的,下列任一条件下需要特别的证明:l 所选择的需求没有包含在附录一和附录二中;l 所选择的保证需求没有指定一个EAL;l 相关性不满足。4) PP的功能等级所选择的强度,以及任意功能明确要求的强度,与TOE的安全目标是统一的。 附录一信息技术安全评估通用准则(Common Criteria)安全功能需求(Security functional requirements)1安全功能需求内容结构1.1 概述本章定义了CC功能需求的内容和叙述方式,为ST中包含的新的组件(components)的组织要求
12、提供指导。功能需求是以类(Class),属(Family),组件(component)的结构形式描述的。1.1.1 类结构图1.1以图表的形式图解了功能类结构,每一功能类包含一个类名,类介绍,一个或多个功能属。功能类类名称类介绍功能属图1.1 功能类结构1.1.1.1 类名称类名称提供了功能类的识别和分类的必要信息。每一个功能类有一个独特的名字。分类信息都包含一个三个字符的短名字。类名称也用在类的属名字规范中。1.1.1.2 类简介类简介阐述了满足安全目标的属的基本内容或方法。功能类的定义在要求的规范中并不反映正式的分类法。类简介提供了一个图表来描述类所包含的属以及每一属中组件的承接关系。1.
13、1.2 属结构图1.2表示了功能属的结构。1.1.2.1 属名称属名称提供了识别和分辨功能属所必须的分类和描述信息。每一功能属有一独特的名称。分辨信息包含一个七字符的短名,开始三个字符表示对应的类名称,类名称后是下划线和属的短名,形式如XXX_YYY。1.1.2.2 属行为属行为概述了功能属的安全目标和功能需求。详细描述如下:a) 如果TOE包含了属的一个组件,则属安全目标叙述了在TOE的帮助下能解决的安全问题。b) 功能需求描述概括了组件中包含的所有需求。这些描述可以帮助PPs,STs的作者判别该属是否与其特殊的需求相关。1.1.2.3 组件级别功能属包含了一个或多个组件,其中任何一个组件可
14、选为PPs, STs的内容。本节的目的是,一旦该属被用户选作他们功能需求的必须部分,为用户提供选择合适功能组件的信息。1.1.2.4 管理管理需求为PP/ST作者在考虑一个组件的管理行为时提供信息。管理需求详细包含在管理类(FMT)的组件中。1.1.2.4 审计如果类FAU里的需求,安全审计,包含在PP/ST中,审计需求包含了PP/ST作者可选择的审计事件。1.1.3 组件结构图1.3表示了功能组件结构。组件依赖关系功能元素组件识别组件管理组件等级属行为属名称功能属 图1.2 功能属结构 图1.3 功能组件结构1.1.3.1 组件识别组件识别为组件的识别、分辨、注册和前后引用提供了描述信息。1
15、.1.3.2 功能元素每一个组件提供了一系列的元素,每一个元素是独立的。一个功能元素是一个不可再分的安全需求。1.1.3.3 依赖关系当一个组件不能自我满足,必须依赖于其他组件的功能时,这样组件之间的依赖关系就产生了。每一个组件提供了对其它功能和置信组件的依赖关系列表。2 类FAU:安全审计安全审计主要涉及的工作是对有关安全活动的信息的识别、记录、存储和分析(这里有关安全活动是指由TSP所控制的活动)。通过对审计结果的检查,可以决定已发生了何种安全相关活动及其执行者。2.1 安全审计自动响应(FAU_ARP)属FAU_ARP定义了当检测到预示着某种潜在的安全入侵行为后,系统应采取的响应措施。F
16、AU_ARP.1 安全警报,一旦检测到潜在的入侵行为时,TSF应采取的行动。关联性:FAU_ARP.1。2.2 安全审计数据产生(FAU_GEN)属FAU_GEN定义了记录在TSF控制下发生的安全相关事件的需求。它确定了审计的级别,列举了应被TSF审计的事件的类型,规定了在不同的审计记录类型中应提供的最小审计信息。FAU_GEN.1规定了可审计事件的级别,确定了每一记录中的数据列表。关联性:FPT_STM.1。FAU_GEN.2用户身份链接。它将被审计事件与单个用户身份链接起来。关联性:FAU_GEN.1, FIA_UID.1FAU_GEN.1.1能产生下列审计事件的审计记录:a. 审计功能的
17、开启和关闭;b. 所有审计事件的审计等级 最低限度、基本级、详细级、未指定;c. 分配:其它未被特别定义的审计事件。FAU_GEN.1.2 在每一审计记录中至少应包含以下信息:a. 事件发生的日期、时间、事件类型、主体身份和事件结果;b. 对于每一审计事件的类型,是以包含在PP/ST中的功能元件的可审计事件的定义为基准。FAU_GEN.2.1 应能将每一审计事件和导致该事件的用户联系起来。2.3 安全审计分析(FAU_SAA)FAU_SAA定义通过分析系统行为和审计数据寻找可能的或确实存在的安全侵害的方式的需求。FAU_SAA.1 潜在侵害分析,混合规则设置基础上的基本阈值检测是必需的。关联性
18、:FAU_GEN.1.FAU_SAA.2 基于一般检测的轮廓。TSF维持系统使用的独立轮廓,这里轮廓代表了轮廓目标群(profile target group)成员执行的历史使用模式。一个轮廓目标群是指与TSF相互作用的一个或多个用户(个人或组织)。每一个轮廓目标群成员分配一个独立的怀疑度等级(suspicion rating)。关联性:FIA_UID.1FAU_SAA.3 简单攻击试探法。TSF应能检测签名事件的发生,签名事件代表对TSP实施的严重威胁。签名事件的搜索实时进行或以post-collection batch-mode方式进行。关联性:无。FAU_SAA.4 复杂攻击试探法。TS
19、F应能够检测多步入侵企图。TSF能比较区分系统事件和入侵企图的事件。关联性:无。2.4 安全审计回顾(FAU_SAR)FAU_SAR 定义了授权用户可借助审计工具对审计数据进行回顾。FAU_SAR.1 提供了从审计记录读取信息的能力。关联性:FAU_GEN.1FAU_SAR.2 受限制的审计回顾,要求除了FAU_SAR.1授权的用户外,其它用户均不能读取审计数据的信息。关联性:FAU_SAR.1FAU_SAR.3可选择的审计回顾,要求审计回顾工具可根据一定的准则来选择审计数据进行回顾。关联性:FAU_SAR.12.5 安全审计事件选择(FAU_SEL) FAU_SEL定义了在TOE运行过程中,
20、从可审计事件中选取或排除事件的需求。 FAU_SEL.1 选择审计事件。定义了根据PP/ST作者所指定的属性,从审计事件列表中选取事件的能力。 关联性:FAU_GEN.1, FMT_MTD.12.6 安全审计事件存贮(FAU_STG)FAU_STG定义了对TSF建立和维持安全审计跟踪的需求。FAU_STG.1 受保护的审计跟踪存贮,提出了对审计跟踪的要求,防止审计跟踪记录被非法删除或修改。关联性:FAU_GEN.1FAU_STG.2 审计数据有效性保证,对在非正常条件下保证TSF维持审计数据提出需求。关联性:FAU_GEN.1FAU_STG.3 如果审计数据丢失时的行动措施,定义了如果审计跟踪
21、阈值超出时的行动。关联性:FAU_STG.1FAU_STG.4 当审计跟踪数据满时,预防审计数据丢失的行动。关联性:FAU_STG.13 类FCO:通讯类FCO考虑的是参与数据交换的双方的身份认证问题,它确保信息发送方不能抵赖其所发送的信息,接收方也不能否认其接收到的信息。3.1 发送者的不可抵赖性(FCO_NRO)FCO_NRO确保当发送者发出信息后,其身份信息不可成功地抵赖,要求TSF能提供一种方法,确保在信息交流过程中,信息接收方同时应收到发送者身份的信息,该信息能被接收者和其他人核实。FCO_NRO.1 发送者选择性证据要求TSF提供给主体要求发送者信息证据的能力。关联性:FIA_UI
22、D.1FCO_NRO.2 发送者执行证据,要求传递信息时TSF能始终产生发送者的证据。关联性:FIA_UID.13.2 接收者的不可抵赖性(FCO_NRR)FCO_NRR要求TSF提供一种方法,确保发送者能得到接收者收到信息的证据,这种证据能被发送者和其他人核实。FCO_NRR.1 接受者选择性证据要求TSF提供给主体要求接收者信息证据的能力。关联性:FIA_UID.1FCO_NRR.2 接收者执行证据,要求接收信息时TSF能始终产生接收者的证据。关联性:FIA_UID.14 类FCS:密码支持FCS要求采用加密功能来帮助满足几种高级目标,这些包括(但不局限于):识别和授权;不可抵赖;安全通道
23、等;加密功能的应用可以是硬件,软件或软硬件相结合。4.1 密钥管理(FCS_CKM)密钥在其生命周期内必须管理好,FCS_CKM对TSF定义了如下的动作要求:密钥产生,密钥发布,密钥访问和密钥取消。FCS_CKM.1要求按照指定算法产生密钥,密钥长度根据指定的标准产生。关联性:FCS_CKM.2或FCS_COP.1, FCS_CKM.4, FMT_MSA.2FCS_CKM.2 密钥发布,根据指定的发布方法和标准发布密钥。关联性:FDP_ITC.1或FCS_CKM.1, FCS_CKM.4, FMT_MSA.2FCS_CKM.3 密钥访问,要求根据指定标准,按照特定的密钥访问方法执行密钥访问。关
24、联性:FDP_ITC.1或FCS_CKM.1,FCS_CKM.4, FMT_MSA.2FCS_CKM.4 密钥废除,基于指定标准,按照特定方法废除密钥。关联性:FDP_ITC.1或FCS_CKM.1, FMT_MSA.24.2 密码操作(FCS_COP)为了密码操作正确,操作必须符合指定算法和密钥长度。典型的密码操作包括数据加密/解密,数值签名产生/核实,哈希运算(信息摘要),密钥加/解密,密钥协议。FCS_COP.1 要求按照指定算法和密钥长度执行密码操作,指定算法和密钥长度是以一个要求的标准产生的。关联性:FDP_ITC.1或FCS_CKM.1, FCS_CKM.4, FMT_MSA.25
25、 类FDP:用户数据保护该类包含的属对保护用户数据有关的TOE安全功能和TOE安全功能策略规定了要求。类FDP能被分成四个属。5.1 访问控制策略(FDP_ACC)FDP_ACC确定访问控制SFPs(通过名字),并定义了形成TSP识别的访问控制部分的控制策略范围。控制范围由以下三个要素表示:受该策略控制的主体;受该策略控制的客体;受控主体和受控客体之间的操作。FDP_ACC.1子集访问控制。关联性:FDP_ACF.1FDP_ACC.2 完全访问控制。关联性:FDP_ACF.15.2 访问控制功能(FDP_ACF)FDP_ACF描述实施了FDP_ACC中指定的访问控制策略的特定功能的规则。叙述了
26、安全属性使用和策略特征。FDP_ACF.1 访问控制基础上的安全属性允许TSF根据安全属性实施访问。进而,TSF或许具有根据安全属性明确认可和否定对客体访问的能力。关联性:FDP_ACC.1, FMT_MSA.35.3 数据鉴别(FDP_DAU)数据鉴别允许团体对信息的真实性负责(如对信息数值签名)。FDP_DAU提供了保证特定单元数据有效性的方法,从而也可用来验证信息内容没有伪造或恶意篡改。FDP_DAU.1基本数据鉴别,要求TSF能够保证客体信息内容的真实性。关联性:无FDP_DAU.2 用保证人身份进行数据鉴别,额外要求TSF能建立提供真实性保证的主体的身份。关联性:FIA_UID.15
27、.4 输出TSF控制(FDP_ETC)FDP_ETC定义了从TOE输出用户数据的功能,信息一旦输出,其安全属性和保护要么被明确保留,要么被忽略。FDP_ETC.1 无安全属性的用户数据输出,当超出TSF输出用户数据时,TSF实施合适的SFPs。通过这种功能输出的用户数据没有相关的安全属性。关联性:FDP_ACC.1或FDP_IFC.1FDP_ETC.2 带安全属性的用户数据输出,要求TSF用合适的SFPs将输出用户数据与安全属性正确而明确的联系起来。关联性:FDP_ACC.1或FDP_IFC.15.5 信息流控制策略(FDP_IFC)FDP_IFC确定信息流控制SFPs(通过名字),并定义了形
28、成TSP识别的信息流控制部分的控制策略范围。控制范围由以下三个要素表示:受该策略控制的主体;受该策略控制的信息;导致受控信息流进和流出策略控制主体的操作。FDP_IFC.1 子信息流控制。关联性:FDP_IFF.1FDP_IFC.2 完全信息流控制。关联性:FDP_IFF.15.6 信息流控制功能(FDP_IFF)FDP_IFF描述了实施由FDP_IFC指定的信息流控制SFPs的特定功能的规则,同时FDP_IFF也规定了该策略的控制范围。它由两种需求组成:一种叙述一般的信息流功能问题;另一种叙述非法信息流(如:转变信道)。这种分类的产生是由于,在某种意义上,所谓的非法信息流是与信息流控制SFP
29、的余下部分垂直的,它们本质上围绕着信息流控制SFP,造成对该策略的侵害。这样,他们要求限制和防止非法信息流发生的特定功能。FDP_IFF.1 简单安全属性,要求信息的安全属性,关于促使信息流动主体的安全属性,扮演信息接收者主体的安全属性。规定了该功能必需实施的规则,描述该功能如何推导安全属性。关联性:FDP_IFC.1, FMT_MSA.3FDP_IFF.2 根据FDP_IFF.1简单安全属性的要求扩展分级的安全属性,通过要求TSP中所有的信息流控制SFPs使用分级的安全属性,从而形成网格结构。关联性:FDP_IFC.1, FMT_MSA.3FDP_IFF.3 受限制的非法信息流,要求SFP包
30、括非法信息流,但不是一定要删除它。关联性:AVA_CCA.1, FDP-IFC.1FDP_IFF.4 非法信息流的部分删除,要求SFP包含删除某些(不一定是所有)非法信息流的内容。关联性:AVA_CCA.1, FDP_IFC.1FDP_IFF.5 无非法信息流,要求SFP能删除所有的非法信息流。关联性:AVA_CCA.3, FDP-IFC.1FDP_IFF.6 非法信息流监测,要求SFP能监测指定和最大容量的非法信息流。关联性:AVA_CCA.1, FDP_IFC.15.7 超出TSF控制的输入(FDP_ITC)FDP_ITC规定了输入TOE的用户数据的保护机理,使输入用户数据具有合适的安全属
31、性并能被妥善地受到保护。涉及的内容有输入的限制,安全属性的指定,对用户安全属性的解释。FDP_ITC.1 无安全属性的用户数据输入,要求用户数据被正确地赋予安全属性。关联性:FDP_ACC.1 或 FDP_IFC.1, FMT_MSA.3FDP_ITC.2 带安全属性的用户数据输入,要求安全属性能正确表示用户数据,并能正确而明晰地与用户数据联系在一起。关联性:FDP_ACC.1或 FDP_IFC.1, FTP_ITC.1或FTP_TRP.1, FPT_TDC.15.8 TOE内部传递(FDP_ITT)当用户数据通过内部信道在TOE各部分之间传递时,FDP_ITT提出了对用户数据的保护需求。它与
32、FDP_UCT和FDP_UIT相反,FDP_UCT和FDP_UIT是对用户数据通过外部信道在不同的TSFs之间传递时的保护需求。FDP_ITT.1 基本的内部传输保护,要求用户数据在TOE个部分之间传递时能受到保护。关联性:FDP_ACC.1或FDP_IFC.1FDP_ITT.2 基于具有FDP_ITT.1以外的SFP相关属性的值分离用户数据。关联性:FDP_ACC.1或FDP_IFC.1FDP_ITT.3 完整性监测。关联性:FDP_ACC.1或FDP_IFC.1, FDP_ITT.1FDP_ITT.4 基于属性的完整性监测。关联性:FDP_ACC.1或FDP_IFC.1, FDP_ITT.
33、25.9 残余信息保护(FDP_RIP)FDP_RIP提出确保已删除信息不可再访问的要求以及新建立的客体不能包含不可访问的信息。具体来说,就是对已经被逻辑删除但是还残留在TOE内的信息的保护的需求。FDP_RIP.1 子残留信息保护,要求根据资源的分配,TSF能确保残留信息内容对TSC的指定的客体是不可访问的。关联性:无FDP_RIP.2 全残留信息保护,要求TSF能确保残留信息内容对所有的客体均是不可访问的。关联性:无5.10 恢复(FDP_ROL)在一定的限制条件下,如一段时间内,FDP_ROL能恢复上一次或一系列的操作,并回到一个以前已知的状态,从而保证了数据的完整性。FDP_ROL.1
34、 基本恢复,叙述了在指定的限制条件下有限次数操作的恢复需求。关联性:FDP_ACC.1或FDP_IFC.1FDP_ROL.2 高级恢复,叙述了在指定的限制条件下,所有操作的恢复需求。关联性:FDP_ACC.1或FDP_IFC.15.11 存贮数据的完整性(FDP_SDI)FDP_SDI提供了用户数据保存在TSC内后的保护需求。完整性错误会影响保存在内存或其他存储设备中的用户数据。FDP_SDI.1 存贮数据完整性监测,要求SF对存贮在TSC内的用户数据的指定完整性错误进行监测。关联性:无FDP_SDI.2 存贮数据监测及行动,在FDP_SDI.1的基础上,增加了当检测到完整性错误后采取相应措施
35、的能力。关联性:无5.12 TSF之间传递用户数据机密性保护(FDP_UCT)当用户数据使用外部信道在不同的TOE之间或不同TOE的用户之间传递时,FDP_UCT定义了确保用户数据机密性的需求。FDP_UCT.1基本数据交流机密性,目的是在用户数据的传递过程中,防止用户数据暴露。 关联性:FTP_ITC.1或FTP_TRP.1, FDP_ACC.1或FDP_IFC.15.13 TSF之间传递用户数据完整性保护(FDP_UIT) 用户数据使用外部信道在不同的TOE之间或其它可信的IT产品之间传递时,FDP_UIT定义了确保用户数据完整性的需求,并能从删除错误中恢复来保证完整性。FDP_UIT.1
36、 数据交流完整性,叙述传递的用户数据的修改,删除,插入和重放错误的检测。关联性:FDP_ACC.1或FDP_IFC.1, FTP_ITC.1或FTP_TRP.1FDP_UIT.2 源数据交流恢复,要求通过接收TSF恢复原始的用户数据,借助于原始发送的可信IT产品。关联性:FDP_ACC.1或FDP_IFC.1, FDP_UIT.1或FTP_ITC.1FDP_UIT.3 目标数据交流恢复,要求通过接收TSF恢复原始的用户数据,不借助于原始发送的可信IT产品。关联性:FDP_ACC.1或FDP_IFC.1, FDP_UIT.1或FTP_ITC.16 类FIA:识别和鉴定类FIA叙述了建立和核实请求
37、用户身份的功能需求。识别和鉴定确保了用户与恰当的安全属性相联系。授权用户身份的明确识别,用户和主体之间安全属性的正确链接对既定安全策略的实施至关重要。类FIA解决用户身份的确定和核实,明确用户作用于TOE的权限,赋予授权用户正确的安全属性。用户的正确识别和鉴定是其它类(如:用户数据保护,安全审计)实施的基础。6.1 鉴定失败(FIA_AFL)FIA_AFL提出了不成功的鉴定尝试的次数需求和一旦鉴定尝试失败TSF的措施。参数包括失败的鉴定尝试次数和时间阈值。FIA_AFL.1 鉴定失败处理,要求当用户鉴定尝试达到一指定值后,TSF能终止该使命建立过程。它同时要求使命建立过程终止后,TSF能废除该
38、用户帐号或关闭该尝试的进入端口。关联性:FIA_UAU.16.2 用户属性定义(FIA_ATD)所有授权用户均有一系列安全属性用于实施TSP。FIA_ATD定义了按照TSP的需要将用户安全属性与用户连接的要求。FIA_ATD.1 用户属性定义,要求每一用户具有独立的安全属性。关联性:无6.3 安全规范(FIA_SOS)FIA_SOS定义了根据提供的秘密实施指定的质量尺度的机理,以及产生满足指定尺度的秘密的机理。FIA_SOS.1 秘密的核实,要求TSF核实秘密满足指定的质量尺度。关联性:无FIA_SOS.2 秘密的产生,要求TSF能够产生满足指定质量尺度的秘密。关联性:无6.4 用户鉴定(FI
39、A_UAU)FIA_UAU定义了TSF支持的不同形式的用户鉴定机理。它同样定义了用户鉴定机理必须基于所需要的属性。FIA_UAU.1 鉴定的时间选择,在用户身份鉴定之前,容许用户执行某种行动。关联性:FIA_UID.1FIA_UAU.2 采取行动前的用户鉴定,要求在采取任何TSF容许的行动之前,用户需鉴定他们自己。关联性:FIA_UID.1FIA_UAU.3 不可伪造的鉴定,要求鉴定机理能检测和防止用户鉴定数据被伪造或复制。关联性:无FIA_UAU.4 单独使用的鉴定机理,要求一个鉴定机理用单独使用的鉴定数据操作。关联性:无FIA_UAU.5 多鉴定机理,要求对特定事件,提供不同的鉴定机理并用
40、于用户身份鉴定。关联性:无FIA_UAU.6 重新鉴定,要求具有指出需要被用户重新鉴定的事件的能力。关联性:无FIA_UAU.7 受保护的鉴定反馈,要求在鉴定过程中,仅仅提供有限的反馈信息给用户。关联性:FIA_UAU.16.5 用户识别(FIA_UID)FIA_UID定义了在何种条件下,在执行任何行动之前用户应要求去识别他们自己。FIA_UID.1 识别时间安排,允许在被TSF识别之前用户采取某种行动。关联性:无FIA_UID.2 采取任何行动之前的用户身份识别,要求在采取任何TSF允许的行动之前用户应识别他们自己。关联性:无6.6 用户-主体绑定(FIA_USB)为了使用TOE,一个授权用
41、户典型地激活一个主体。用户的安全属性(全部或部分地)与主体连接在一起。FIA_USB定义了对创造和维持用户安全属性与代表用户的主体之间连接的需求。FIA_USB.1定义了对创造和维持用户安全属性与代表用户的主体之间连接的需求。 关联性:FIA_ATD.17 类FMT:安全管理类FMT用于指明对TSF的几个方面的管理:安全属性,TSF数据和功能。类FMT具有以下几个目标:1) TSF数据的管理;2) 安全属性的管理;3) TSF功能的管理;4) 安全任务的定义。7.1 TSF功能管理(FMT_MOF)FMT_MOF允许授权用户对TSF中的功能管理进行控制。例如审计功能和多鉴定功能。FMT_MOF
42、.1 安全功能行为管理,允许授权用户对TSF中使用规则及在特定条件下可被管理的功能进行管理。关联性:FMT_SMR.17.2 安全属性管理(FMT_MSA)FMT_MSA允许授权用户对安全属性的管理进行控制,这种管理需包括观察和修改安全属性的能力。FMT_MSA.1 安全属性管理,允许授权用户去管理指定的安全属性。关联性:FDP_ACC.1或FDP_IFC.1, FMT_SMR.1FMT_MSA.2 安全的安全属性,确保安全属性的赋值关于安全状态是有效的。关联性:ADV_SPM.1, FDP_ACC.1或FDP_IFC.1, FMT_MSA.1, FMT_SMR.1FMT_MSA.3 静态属性
43、初始化,确保安全属性的缺省值在其本质上,要么是允许的要么是限制的。关联性:FMT_MSA.1, FMT_SMR.17.3 TSF数据管理(FMT_MTD)FMT_MTD允许授权用户控制TSF数据管理。例如,TSF数据包括审计信息,时钟,系统配置和其它的TSF配置参数。FMT_MTD.1 TSF数据管理,容许授权用户管理TSF数据。关联性:FMT_SMR.1FMT_MTD.2 TSF数据的管理限制,规定了当到达TSF数据限制范围及超出TSF数据限制范围时需采取的行动。关联性:FMT_MTD.1或FMT_SMR.1FMT_MTD.3 安全的TSF数据,确保关于这个安全状态,分配给TSF数据的值是有
44、效的。ADV_SPM.1, FMT_MTD.17.4 废除(FMT_REV)FMT_REV叙述了TOE内多个实体的安全属性的废除。FMT_REV.1 废除,在某些时间点,实施安全属性的废除。关联性:FMT_SMR.17.5 安全属性过期(FMT_SAE)FMT_SAE叙述了对安全属性的有限性实施时间限制的能力。FMT_SAE.1 受时间限制的授权,为授权用户提供对指定的安全属性规定过期时间的能力。关联性:FMT_SMR.1, FPT_STM.17.6 安全管理职责(FMT_SMR)FMT_SMR主要用于控制为用户分配不同的职责。关于安全管理的这些职责的能力在本类的其它属中叙述。FMT_SMR.
45、1 安全职责,规定了TSF承认的有关安全的职责。关联性:FIA_UID.1FMT_SMR.2 安全职责限制,除了对安全职责的规定,另有一些控制这些职责关系的规则。关联性:FIA_UID.1FMT_SMR.3 假设的职责,要求对TSF假定职责给出明确要求。关联性:FMT_SMR.18 类FPR:秘密类FPR包含机密需求,当其它用户身份暴露或误操作时,这些需求提供必要的保护。8.1 匿名(FPR_ANO)FPR_ANO确保用户在不暴露自己身份的情况下使用资源或服务。对匿名的需求为用户身份提供了保护。匿名不保护主体身份。FPR_ANO.1 匿名,要求其它用户或主体不能够根据该主体或操作来分辨用户身份。关联性:无FPR_ANO.2 无请求信息的匿名,通过确保TSF不要求用户身份而提高了相对应FPR_ANO.1的要求。关联性:无8.2 假名字(FPR_PSE)FPR_PSE确保用户在不暴露自己身份的情况下使用资源或服务,但仍然需为该次使用承担责任。FPR_PSE.1假名字,要求其它用户或主体不能够根据该主体或操作来分辨用户身份,但该用户仍需承担其行为责任。关联性:无FPR_PSE.2 可逆的假名字,要求TSF根据提供的假名,能够确定真实用户身份。关联性:FIA_UID.1
