信息安全功能要求、依賴關(guān)系表、安全審計(jì)、通信、密碼支持、用戶數(shù)據(jù)保護(hù)、標(biāo)識(shí)和鑒別、安全管理、隱私、TSF保護(hù)、資源利用、TOE訪問(wèn)、可信路徑信道應(yīng)用注釋

1、 附錄A（資料性附錄）安全功能要求應(yīng)用注釋概述本附錄包含關(guān)于本部分中所定義族和組件的附加指南，用戶、開發(fā)者和評(píng)估者在使用組件時(shí)可能需要這些指南。為了便于查找，本附錄中類、族和組件的表示與文件中的表示相似。注釋的結(jié)構(gòu)概述本文檔中與功能要求相關(guān)的注釋的內(nèi)容和形式定義如下。類結(jié)構(gòu)概述圖A.1說(shuō)明本附錄中功能類的結(jié)構(gòu)。圖A.1功能類結(jié)構(gòu)注：一些功能類包含多個(gè)功能族類名這是本部分中所定義類的唯一名稱。類介紹類介紹提供了使用該類中族和組件的有關(guān)信息。這些信息連同相關(guān)的示意圖描述了每個(gè)類的組織架構(gòu)和每個(gè)類中的族，以及每個(gè)族中組件間的層次關(guān)系。族結(jié)構(gòu)概述圖A.2用圖解形式說(shuō)明應(yīng)用注釋部分功能族的結(jié)構(gòu)。圖A.2

2、應(yīng)用注釋的功能族結(jié)構(gòu)族名這是本部分中所定義族的唯一名稱。用戶應(yīng)用注釋用戶注釋包含功能族的潛在用戶所關(guān)心的一些附加信息。潛在用戶包括PP、PP-模塊、ST和功能包作者，以及整合多個(gè)功能組件的TOE開發(fā)者。本部分陳述是提示性的，可包括與使用的局限性有關(guān)的一些警示信息以及使用組件時(shí)應(yīng)當(dāng)特別注意的地方。注：在附錄中，術(shù)語(yǔ)PP、PP-模塊、功能包或 ST作者包括用于編制PP或ST的文檔的作者，PP或ST文檔包括了PP-模塊和功能包。評(píng)估者應(yīng)用注釋評(píng)估者注釋包含TOE開發(fā)者和評(píng)估者所關(guān)心的所有信息。該TOE聲稱符合族中某一組件。本部分陳述是提示性的，可涵蓋評(píng)估TOE時(shí)需特別注意的各個(gè)方面，其中可包括澄清含

3、義，詳細(xì)說(shuō)明解釋這些要求的方式，以及評(píng)估者特別關(guān)心的一些警告和警示信息?！坝脩糇⑨尅焙汀霸u(píng)估者注釋”部分不是必需的，僅在適當(dāng)時(shí)出現(xiàn)。組件結(jié)構(gòu)概述圖A.3說(shuō)明了應(yīng)用注釋部分功能組件的結(jié)構(gòu)。圖A.3功能組件結(jié)構(gòu)組件標(biāo)識(shí)這是本部分中所定義組件的唯一名稱。組件基本原理與應(yīng)用注釋任何與組件有關(guān)的特定信息都可在該本條中找到。組件基本原理包含基本原理的詳細(xì)解釋，在特定級(jí)別下細(xì)化關(guān)于基本原理的一般性陳述，且應(yīng)僅在需要特定級(jí)別詳述的情況下使用。應(yīng)用注釋包含對(duì)于一個(gè)特定組件在敘述的詳細(xì)程度方面的進(jìn)一步細(xì)化。這種細(xì)化可相對(duì)于A.2.3部分所描述的用戶注釋或評(píng)估者注釋。應(yīng)用注釋可用于解釋依賴關(guān)系的性質(zhì)。“組件基本原理

4、與應(yīng)用注釋” 部分不是必需的，僅在適當(dāng)時(shí)出現(xiàn)。操作注釋每個(gè)組件的這部分內(nèi)容包含了與該組件所允許的操作有關(guān)的一些建議。“允許的操作”部分不是必需的，僅在適當(dāng)時(shí)出現(xiàn)。附錄B（資料性附錄）安全功能組件的依賴關(guān)系表依賴關(guān)系表表B.1到表B.11示意了功能組件之間的從屬、直接、間接和可選的依賴關(guān)系。作為功能組件依賴方的每個(gè)組件在表中占據(jù)一列，每個(gè)功能組件在表中占據(jù)一行。表格單元中的值表示行中標(biāo)的組件是否是從屬要求(由“H”指示)，直接要求列中標(biāo)的組件（用“X”表示），間接要求列中標(biāo)的組件（用“”表示），還是可選要求列中標(biāo)的組件（用“O”表示）。可選要求集通過(guò)使用下標(biāo)組來(lái)表示，例如O1 和 O2。如果對(duì)安

5、全保障要求有依賴性，則應(yīng)參考 GB/T 18336.3。注：根據(jù)所選的可選要求，某些間接依賴項(xiàng)不適用。如果表格單元為空，則該組件不依賴于另一個(gè)組件。例：例如FDP_ETC.1“不帶安全屬性的用戶數(shù)據(jù)輸出”就是一個(gè)具有可選依賴關(guān)系的組件，它要求依賴FDP_ACC.1“子集訪問(wèn)控制”，或依賴FDP_IFC.1“子集信息流控制”，所以如果滿足了FDP_ACC.1，就不必滿足FDP_IFC.1，反之亦然。表B.1 FAU安全審計(jì)類依賴關(guān)系表FAU_GEN.1FAU_SAA.1FAU_SAA.3FAU_SAR.1FAU_STG.1FAU_STG.2FAU_STG.4FIA_UID.1FMT_MTD.1F

6、MT_SMF.1FMT_SMR.1FPT_STM.1FTP_ITC.1FAU_ARP.1-X-FAU_GEN.1XFAU_GEN.2XX-FAU_SAA.1X-FAU_SAA.2XFAU_SAA.3FAU_SAA.4HFAU_SAR.1X-FAU_SAR.2-X-FAU_SAR.3-X-FAU_SEL.1X-XFAU_STG.1X-XFAU_STG.2X-FAU_STG.3XH-FAU_STG.4-X-FAU_STG.5XXH-表B.2 FCO通信類依賴關(guān)系表FIA_UID.1FCO_NRR.1FCO_NRO.1FCO_NRO.1XFCO_NRO.2XHFCO_NRR.1XFCO_NRR.2X

7、H表B.3 FCS密碼支持類依賴關(guān)系表FCS_CKM.1FCS_CKM.2FCS_CKM.3FCS_CKM.5FCS_CGM.6FCS_COP.1FCS_RBG.1FCS_RBG.2FCS_RBG.3FCS_RBG.4FCS_RBG.5FCS_RNG.1FDP_ACC.1FDP_ACF.1FDP_IFC.1FDP_IFF.1FDP_ITC.1FDP_ITC.2FIA_UID.1FMT_MSA.1FMT_MSA.3FMT_SMF.1FMT_SMR.1FPT_FLS.1FPT_TST.1FPT_TDC.1FTP_ITC.1FTP_TRP.1FCS_CKM.1-O1XO1XO1O2O2FCS_CKM

8、.2O1-XO1O1O1FCS_CKM.3O1-O1O1O1FCS_CKM.5-O1-XO1FCS_CKM.6O1O1O1FCS_COP.1O2-XO2O1O1FCS_RBG.1-O1O1-XXFCS_RBG.2XFCS_RBG.3XFCS_RBG.4XX-FCS_RBG.5XO1O1O1FCS_RBG.6XFCS_RNG.1表B.4 FDP用戶數(shù)據(jù)保護(hù)類依賴關(guān)系表FCS_CKM.1FCS_CKM.3FCS_CKM.5FCS_CKM.6FCS_COP.1FCS_RBG.1FCS_RBG.2FCS_RBG.3FCS_RNG.1FDP_ACC.1FDP_ACF.1FDP_IFC.1FDP_IFF.

9、1FDP_IFF.3FDP_IFF.4FDP_ITC.1FDP_ITC.2FDP_ITT.1FDP_ITT.2FDP_ITT.3FDP_RIP.1FDP_ROL.1FDP_SDI.1FDP_UIT.1FDP_UIT.2FIA_UID.1FMT_MSA.1FMT_MSA.3FMT_SMF.1FMT_SMR.1FPT_FLS.1FPT_TST.1FPT_TDC.1FTP_ITC.1FTP_TRP.1FDP_ACC.1-XFDP_ACC.2HXFDP_ACF.1XX-FDP_DAU.1FDP_DAU.2HXFDP_ETC.1O1-O1FDP_ETC.2O1-O1FDP_IFC.1XFDP_IFC.2

10、-HXFDP_IFF.1-XX-FDP_IFF.2-XH-X-FDP_IFF.3-XFDP_IFF.4-X-HFDP_IFF.5-X-HFDP_IFF.6-XFDP_IRC.1FDP_ITC.1O1-O1X-FCS_CKM.1FCS_CKM.3FCS_CKM.5FCS_CKM.6FCS_COP.1FCS_RBG.1FCS_RBG.2FCS_RBG.3FCS_RNG.1FDP_ACC.1FDP_ACF.1FDP_IFC.1FDP_IFF.1FDP_IFF.3FDP_IFF.4FDP_ITC.1FDP_ITC.2FDP_ITT.1FDP_ITT.2FDP_ITT.3FDP_RIP.1FDP_ROL

11、.1FDP_SDI.1FDP_UIT.1FDP_UIT.2FIA_UID.1FMT_MSA.1FMT_MSA.3FMT_SMF.1FMT_SMR.1FPT_FLS.1FPT_TST.1FPT_TDC.1FTP_ITC.1FTP_TRP.1FDP_ITC.2O1-O1XO2O2FDP_ITT.1O1-O1FDP_ITT.2O1-O1-HFDP_ITT.3O1-O1-XFDP_ITT.4O1-O1-XHFDP_RIP.1FDP_RIP.2HFDP_ROL.1O1-O1FDP_ROL.2O1-O1-HFDP_SDC.1FDP_SDC.2XFDP_SDI.1FDP_SDI.2HFDP_UCT.1O2-

12、O2O1O1FDP_UIT.1O2-O2O1O1FDP_UIT.2O1-O1-O2O2-FDP_UIT.3O1-O1-O2HO2-表B.5 FIA標(biāo)識(shí)和鑒別類依賴關(guān)系表FIA_ATD.1FIA_UAU.1FIA_UID.1FIA_AFL.1X-FIA_API.1FIA_ATD.1FIA_SOS.1FIA_SOS.2FIA_UAU.1XFIA_UAU.2HXFIA_UAU.3FIA_UAU.4FIA_UAU.5FIA_UAU.6FIA_UAU.7X-FIA_UID.1FIA_UID.2HFIA_USB.1X表B.6 FMT安全管理類依賴關(guān)系表FDP_ACC.1FDP_ACF.1FDP_IFC.1

13、FDP_IFF.1FIA_UID.1FMT_LIM.1FMT_LIM.2FMT_MSA.1FMT_MSA.3FMT_MTD.1FMT_SMF.1FMT_SMR.1FPT_STM.1FMT_LIM.1-XFMT_LIM.2X-FMT_MOF.1-XXFMT_MSA.1O1-O1XXFMT_MSA.2O1-O1-X-XFMT_MSA.3X-XFMT_MSA.4O1-O1FMT_MTD.1-XXFMT_MTD.2-X-XFMT_MTD.3-X-FMT_REV.1-XFMT_SAE.1-XXFMT_SMF.1FMT_SMR.1XFMT_SMR.2XHFMT_SMR.3-X表B.7 FPR私密性類依賴關(guān)

14、系表FIA_UID.1FPR_ANO.1FPR_PSE.1FPR_UNO.1FPR_ANO.1FPR_ANO.2HFPR_PSE.1FPR_PSE.2XHFPR_PSE.3HFPR_UNL.1FPR_UNO.1FPR_UNO.2HFPR_UNO.3XFPR_UNO.4表B.8 FPT 類依賴關(guān)系表：TSF保護(hù)AGD_OPE.1ADV_FSP.1FIA_UID.1FMT_LIM.1FMT_LIM.2FMT_SMF.1FMT_SMR.1FPT_ITI.1FPT_ITT.1FTP_PHP.1FPT_RCV.1FPT_RCV.2FPT_SSP.1FPT_STM.1FPT_EMS.1FPT_FLS.1F

15、PT_INI.1FPT_ITA.1FPT_ITC.1FPT_ITI.1FPT_ITI.2HFPT_ITT.1FPT_ITT.2HFPT_ITT.3XFPT_PHP.1FPT_PHP.2X-HFPT_PHP.3FPT_RCV.1X-FPT_RCV.2X-HFPT_RCV.3X-HFPT_RCV.4FPT_RPL.1FPT_SSP.1XFPT_SSP.2XHFPT_STM.1FPT_STM.2-XXFPT_TDC.1FPT_TEE.1FPT_TRC.1XFPT_TST.1注AGD和 ADV 類及其相關(guān)性在 GB/T 18336.3 中進(jìn)行了描述表B.9 FRU類依賴關(guān)系表：資源利用FPT_FLS.

16、1FRU_FLT.1FRU_PRS.1FRU_RSA.1FRU_FLT.1XFRU_FLT.2XHFRU_PRS.1FRU_PRS.2HFRU_RSA.1FRU_RSA.2H表B.10 FTA類依賴關(guān)系表：TOE訪問(wèn)FIA_UAU.1FIA_UID.1FMT_SMR.1FTA_MCS.1FTA_LSA.1FTA_MCS.1XFTA_MCS.2XHFTA_SSL.1X-FTA_SSL.2X-FTA_SSL.3XFTA_SSL.4FTA_TAB.1FTA_TAH.1FTA_TSE.1表B.11 FTP類依賴表：可信路徑/信道FCS_CKM.1FCS_CKM.2FCS_CKM.3FCS_CKM.5F

17、CS_CKM.6FCS_COP.1FCS_RBG.1FCS_RBG.2FCS_RBG.3FCS_RNG.1FDP_ACC.1FDP_ACF.1FDP_IFC.1FDP_IFF.1FDP_ITC.1FDP_ITC.2FIA_UID.1FMT_MSA.1FMT_MSA.3FMT_SMF.1FMT_SMR.1FPT_FLS.1FPT_TST.1FPT_TDC.1FTP_ITC.1FTP_TRP.1FTP_PRO.1FTP_PRO.2FTP_PRO.3FTP_ITC.1FTP_PRO.1XXFTP_PRO.2O1O1-X-XXFTP_PRO.3XXXFTP_TRP.1附錄 C（規(guī)范性附錄）FAU 類：

18、安全審計(jì)-應(yīng)用注釋概述關(guān)于審計(jì)要求的總體信息本標(biāo)準(zhǔn)的審計(jì)族允許PP、PP-模塊、功能包或者ST作者能夠定義監(jiān)測(cè)用戶活動(dòng)以及在某些情況下檢測(cè)對(duì)SFR真實(shí)的、潛在的或即將發(fā)生的侵害等方面的要求。定義TOE的安全審計(jì)功能有助于監(jiān)測(cè)與安全有關(guān)的事件，并能對(duì)安全侵害起到威懾作用。審計(jì)族的要求涉及到包括審計(jì)數(shù)據(jù)保護(hù)、記錄格式和事件選擇，以及分析工具、侵害報(bào)警和實(shí)時(shí)分析等功能。審計(jì)記錄應(yīng)以人類可讀的格式直接或間接呈現(xiàn)。例1：直接呈現(xiàn)的一個(gè)例子是以人類可讀的格式存儲(chǔ)審計(jì)記錄。間接呈現(xiàn)的一個(gè)例子是使用審計(jì)歸納工具。在開發(fā)安全審計(jì)要求時(shí)，PP、PP-模塊、功能包或者ST作者必須對(duì)審計(jì)族及其組件之間的相互關(guān)系加以注

19、意。存在這樣的可能：規(guī)定了一組遵從族/組件依賴表的審計(jì)要求，但同時(shí)導(dǎo)致了一個(gè)有缺陷的審計(jì)功能。例2：沒(méi)有選擇性地基于任何合理的基礎(chǔ)（諸如單個(gè)用戶或?qū)ο螅﹣?lái)選擇性控制它們。在分布式環(huán)境中的審計(jì)要求 對(duì)網(wǎng)絡(luò)和其他大型系統(tǒng)的審計(jì)要求，在實(shí)現(xiàn)上可能明顯地有別于那些獨(dú)立系統(tǒng)。對(duì)于更大、更復(fù)雜和更活躍的系統(tǒng)而言，由于解釋（甚至存儲(chǔ)）所收集審計(jì)數(shù)據(jù)的可行性較低，所以必須更多地考慮收集哪些審計(jì)數(shù)據(jù)以及如何對(duì)其進(jìn)行管理。在一個(gè)隨時(shí)可能發(fā)生許多事件的多時(shí)區(qū)全球性網(wǎng)絡(luò)中，按時(shí)間排序羅列或“跟蹤”被審計(jì)事件的傳統(tǒng)方法可能就不適用。此外，在分布式TOE中的不同主機(jī)和服務(wù)器可能具有不同的命名策略和名稱。對(duì)于審計(jì)查閱而言，

20、符號(hào)名稱的表示法可能就需要在整個(gè)網(wǎng)絡(luò)范圍內(nèi)加以約定，以避免重復(fù)和“命名沖突”。如果在分布式系統(tǒng)中審計(jì)倉(cāng)庫(kù)服務(wù)于一個(gè)實(shí)用的功能，則可能需要一個(gè)多對(duì)象審計(jì)倉(cāng)庫(kù)，其中的一部分可由潛在的各種授權(quán)用戶訪問(wèn)。最后，應(yīng)通過(guò)系統(tǒng)地避免本地存儲(chǔ)與管理員活動(dòng)有關(guān)的審計(jì)數(shù)據(jù)來(lái)解決授權(quán)用戶權(quán)限濫用問(wèn)題。安全審計(jì)自動(dòng)響應(yīng)（FAU_ARP）用戶應(yīng)用注釋安全審計(jì)自動(dòng)響應(yīng)族描述了處理審計(jì)事件的要求。該要求包括告警或TSF采取的動(dòng)作（自動(dòng)響應(yīng)）。例：TSF可能采取的動(dòng)作包括產(chǎn)生實(shí)時(shí)的報(bào)警、終止違例的進(jìn)程、中斷服務(wù)、斷開連接或者使用戶帳號(hào)失效等。如果FAU_SAA“安全審計(jì)分析”中的組件指出一個(gè)審計(jì)事件是對(duì)TSF的一個(gè)潛在侵害，

21、那么定義該審計(jì)事件為一個(gè)“潛在的安全侵害”。FAU_ARP.1 安全告警組件基本原理與應(yīng)用注釋發(fā)生警報(bào)時(shí)，應(yīng)采取一項(xiàng)或多項(xiàng)行動(dòng)進(jìn)行后續(xù)行動(dòng)。這些行動(dòng)包括將告警通知授權(quán)用戶、向授權(quán)用戶提供一組可能的遏制操作，或授權(quán)用戶采取糾正措施的選項(xiàng)。PP、PP-模塊、功能包或者ST作者應(yīng)認(rèn)真考慮采取這些行動(dòng)的時(shí)機(jī)。操作在FAU_ARP.1.1中，PP、PP-模塊、功能包或者ST作者應(yīng)規(guī)定一旦出現(xiàn)潛在的安全侵害時(shí)要采取的動(dòng)作。例：“通知授權(quán)用戶，使產(chǎn)生潛在安全侵害的主體失效”就是動(dòng)作列表的一個(gè)例子。也可以規(guī)定由授權(quán)用戶來(lái)確定要采取的動(dòng)作。安全審計(jì)數(shù)據(jù)產(chǎn)生 (FAU_GEN)概述用戶應(yīng)用注釋安全審計(jì)數(shù)據(jù)產(chǎn)生族包

22、括了規(guī)定應(yīng)由TSF對(duì)與安全有關(guān)的事件生成審計(jì)事件的要求。引入本族在某種意義上避免了一種關(guān)于所有需要審計(jì)支持的組件的依賴關(guān)系。在本部分中每個(gè)組件都有一個(gè)審計(jì)子節(jié)，在該小節(jié)中列出了該功能區(qū)中要審計(jì)的事件。在編寫PP、PP-模塊、功能包或者ST時(shí)，在相關(guān)組件審計(jì)部分中條款可用來(lái)填補(bǔ)本組件中的變量。這樣，對(duì)于一個(gè)功能區(qū)中能夠被審計(jì)事件的詳細(xì)規(guī)范就局限在該功能區(qū)中?？蓪徲?jì)事件列表完全依賴于PP、PP-模塊、功能包或ST的其他功能系列。所以每個(gè)族的定義應(yīng)包括該族所規(guī)定的可審計(jì)事件列表。在功能族中所規(guī)定可審計(jì)事件列表中的每個(gè)可審計(jì)事件必須對(duì)應(yīng)于本族所規(guī)定的某個(gè)審計(jì)事件產(chǎn)生級(jí)別（例如最小級(jí)、基本級(jí)和詳細(xì)級(jí)）。

23、這為PP、PP-模塊、功能包或ST的作者提供了必要的信息，以確保所有適當(dāng)?shù)目蓪徲?jì)事件都將在PP、PP-模塊、功能包或ST中加以規(guī)范。以下示例展示了如何在適當(dāng)?shù)墓δ芟盗兄兄付蓪徲?jì)事件：例1：“如果PP、PP-模塊、功能包或ST中包含F(xiàn)AU_GEN安全審計(jì)數(shù)據(jù)產(chǎn)生，則下列行為是可審計(jì)的：最小級(jí)：用戶安全屬性管理功能的成功使用；基本級(jí)：用戶安全屬性管理功能的所有嘗試使用；基本級(jí)：用戶安全屬性已被修改的標(biāo)識(shí)；詳細(xì)級(jí)：除特定敏感屬性數(shù)據(jù)項(xiàng)以外，應(yīng)俘獲的新的屬性值。注：敏感屬性數(shù)據(jù)項(xiàng)包括如口令、密鑰。對(duì)于選擇的每個(gè)功能組件，該組件所指出的可審計(jì)事件，只要屬FAU_GEN“安全審計(jì)數(shù)據(jù)產(chǎn)生”指定的級(jí)別和低

24、于該級(jí)別都應(yīng)被審計(jì)。例如，在上面的例子中，如果FAU_GEN“安全審計(jì)數(shù)據(jù)產(chǎn)生”中選擇了“基本級(jí)”，則a)、b)和c)中提到的可審計(jì)事件應(yīng)被審計(jì)。很明顯，可審計(jì)事件的分類（最小級(jí)、基本級(jí)、詳細(xì)級(jí)）是層次化的。這就意味著：當(dāng)需要最小審計(jì)生成時(shí)，所有標(biāo)識(shí)為最小的可審計(jì)事件都應(yīng)通過(guò)使用適當(dāng)?shù)姆峙洳僮靼赑P、PP-模塊、功能包或ST操作內(nèi)；當(dāng)需要基本審計(jì)生成時(shí)，所有標(biāo)識(shí)為最小或基本的可審計(jì)事件也應(yīng)通過(guò)使用適當(dāng)?shù)馁x值操作包含在PP、PP-模塊、功能包或ST中，除非更高級(jí)別的事件只是提供比低級(jí)別事件更詳細(xì)的信息；當(dāng)需要詳細(xì)的審計(jì)生成時(shí)，所有已識(shí)別的可審計(jì)事件（最小級(jí)、基本級(jí)和詳細(xì)級(jí)）都應(yīng)包含在PP、P

25、P-模塊、功能包或ST中。PP、PP-模塊、功能包或 ST作者可以決定增加一些超出給定審計(jì)級(jí)別要求之外的可審計(jì)事件。例2：某個(gè)PP、PP-模塊、功能包、ST盡管包含了大部分基本級(jí)能力，由于少數(shù)幾個(gè)沒(méi)有被包括進(jìn)來(lái)的基本級(jí)能力因與PP、PP-模塊、功能包、ST其他的約束要求相沖突（例如它們需要收集不可用的數(shù)據(jù)），因此僅可聲稱具備有最小級(jí)審計(jì)能力。創(chuàng)建可審計(jì)事件的功能應(yīng)在PP、PP-模塊、功能包、ST中指定為一項(xiàng)功能要求加以規(guī)定。例3：以下是可在每個(gè)PP、PP-模塊、功能包、ST功能組件中定義為可審計(jì)的事件組件：把TSF之內(nèi)的客體引入到一個(gè)主體的地址空間；客體的刪除；訪問(wèn)權(quán)限或能力的分配和撤消；改變

26、主體或客體的安全屬性；由TSF執(zhí)行的策略檢查，作為一個(gè)主體的請(qǐng)求結(jié)果；訪問(wèn)權(quán)限的使用以回避策略檢查；標(biāo)識(shí)和鑒別功能的使用；操作員或授權(quán)用戶所采取的動(dòng)作（如禁止一個(gè)TSF保護(hù)機(jī)制作為人可讀標(biāo)簽）；從可移動(dòng)介質(zhì)輸出數(shù)據(jù)或?qū)?shù)據(jù)輸入到可移動(dòng)介質(zhì)（如打印輸出、磁帶和磁盤等）。評(píng)估者應(yīng)用注釋FAU_GEN.1.1有一個(gè)關(guān)于FPT_STM.1“時(shí)間戳”的依賴關(guān)系，如果時(shí)間的正確性對(duì)于此TOE不是問(wèn)題，則PP、PP-模塊、功能包、ST的作者可以證明消除這種依賴關(guān)系是合理的。FAU_GEN.1 審計(jì)數(shù)據(jù)生成組件基本原理與應(yīng)用注釋本組件定義了標(biāo)識(shí)可審計(jì)事件的一些要求，包括應(yīng)產(chǎn)生審計(jì)記錄以及審計(jì)記錄中所應(yīng)提供的信

27、息。當(dāng)SFR不要求單個(gè)用戶身份與審計(jì)事件相關(guān)聯(lián)時(shí)，可單獨(dú)使用FAU_GEN.1“審計(jì)數(shù)據(jù)產(chǎn)生”。當(dāng)PP、PP-模塊、功能包或ST也包含隱私要求時(shí)這種情況就可能存在。如果必須在審計(jì)中考慮用戶身份，就應(yīng)在使用FAU_GEN.1的基礎(chǔ)上增加使用FAU_GEN.2“用戶身份關(guān)聯(lián)”。如果主體為用戶，用戶身份可能記錄為主體身份。如果用戶鑒別 (FIA_UAU)沒(méi)有被應(yīng)用，則可能用戶身份還沒(méi)有被驗(yàn)證。因此，在無(wú)效登錄的情況下，已經(jīng)聲明了登錄的用戶的身份信息需被記錄下來(lái)。還應(yīng)考慮指明已記錄的身份沒(méi)有被驗(yàn)證的情況。操作在FAU_GEN.1.1中，PP、PP-模塊、功能包和ST作者應(yīng)選擇PP/ST中其他功能組件審

28、計(jì)子節(jié)所提出的可審計(jì)事件級(jí)別。這些級(jí)別可以是“最小級(jí)”、“基本級(jí)”、“詳細(xì)級(jí)”或“未規(guī)定”等。在FAU_GEN.1.1中，PP、PP-模塊、功能包和ST作者應(yīng)指定一個(gè)其他專門定義的可審計(jì)事件列表，一并歸入可審計(jì)事件列表中。這種賦值可以是“無(wú)”，也可以是一個(gè)功能要求的可審計(jì)事件其審計(jì)級(jí)別比b)中所要求的審計(jì)級(jí)別更高，也可以是由特定應(yīng)用程序接口（API）的使用而產(chǎn)生的一些事件。 在FAU_GEN.1.2中，PP、PP-模塊、功能包和ST作者應(yīng)對(duì)PP、PP-模塊、功能包和ST中每個(gè)可審計(jì)事件指定一個(gè)其他審計(jì)相關(guān)信息列表，并將其納入審計(jì)事件記錄中，或者指定為“無(wú)”。FAU_GEN.2 用戶身份關(guān)聯(lián)組件

29、基本原理與應(yīng)用注釋本組件負(fù)責(zé)處理在單個(gè)用戶身份級(jí)別上可審計(jì)事件的責(zé)任追溯性方面要求。本組件應(yīng)該用作FAU_GEN.1“審計(jì)數(shù)據(jù)產(chǎn)生”的補(bǔ)充。審計(jì)要求和隱私要求之間存在著潛在的沖突，為了審計(jì)，希望能了解誰(shuí)完成了一個(gè)動(dòng)作，而該用戶則可能希望只有自己知道自己的動(dòng)作，而不被他人（如同事）識(shí)別出，或者可能在組織安全策略要求必須保護(hù)用戶身份。在這些情況下，審計(jì)與隱私的目標(biāo)是互相矛盾的。所以，如果選定這一審計(jì)要求，并且隱私也很重要，應(yīng)考慮增加用戶假名組件。隱私類中規(guī)定了基于假名確定真實(shí)用戶名的要求。如果用戶的身份尚未通過(guò)驗(yàn)證，則在無(wú)效登錄的情況下，應(yīng)記錄所聲明的用戶身份。還應(yīng)考慮指明已記錄的身份沒(méi)有被驗(yàn)證的

30、情況。操作沒(méi)有為此組件指定操作。安全審計(jì)分析 (FAU_SAA)用戶應(yīng)用注釋本族定義了一些采用自動(dòng)化手段分析系統(tǒng)活動(dòng)和審計(jì)數(shù)據(jù)以尋找可能的或真正的安全侵害的要求。這種分析可在入侵檢測(cè)的支持下進(jìn)行，或?qū)磳?lái)臨的安全侵害做出自動(dòng)響應(yīng)。FAU_ARP“安全審計(jì)自動(dòng)響應(yīng)”中的組件定義了在檢測(cè)到可能即將發(fā)生的或潛在的安全侵害后，TSF應(yīng)采取的動(dòng)作。為了實(shí)時(shí)分析，審計(jì)數(shù)據(jù)可能被轉(zhuǎn)換成一種便于自動(dòng)處理的格式，在交付給授權(quán)用戶查閱時(shí)再轉(zhuǎn)換成另一種可讀格式。FAU_SAA.1 潛在的侵害分析組件基本原理與應(yīng)用注釋本組件用于規(guī)定一個(gè)可審計(jì)事件集，這些事件的出現(xiàn)或累計(jì)出現(xiàn)預(yù)示著一個(gè)對(duì)SFR的執(zhí)行的潛在侵害，也用來(lái)

31、規(guī)定用于執(zhí)行侵害分析的所有規(guī)則。操作在FAU_SAA.1.2中，PP、PP-模塊、功能包或ST作者應(yīng)識(shí)別已定義的可審計(jì)事件的子集，需要檢測(cè)這些事件的出現(xiàn)或累計(jì)出現(xiàn)，作為對(duì)SFR的執(zhí)行的潛在侵害的一個(gè)預(yù)示。在FAU_SAA.1.2中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定TSF用于分析審計(jì)跡的所有其他規(guī)則。這些規(guī)則可以包括一些需要事件在某個(gè)確定的時(shí)間周期內(nèi)出現(xiàn)的特殊要求。如果沒(méi)有額外的規(guī)則供TSF用于分析審計(jì)跡，則此賦值可以為“無(wú)”。例：時(shí)間周期：天數(shù)，持續(xù)時(shí)間FAU_SAA.2 基于輪廓的異常檢測(cè)組件基本原理與應(yīng)用注釋輪廓是一種表征用戶或主體行為的結(jié)構(gòu)，它描繪了用戶/主體怎樣以各種方法與TS

32、F交互。使用模式的建立對(duì)應(yīng)于用戶/主體所從事的各種類型活動(dòng)。輪廓中記錄各種類型活動(dòng)的方式，稱做輪廓度量。例1：使用模式：異常情況出現(xiàn)的模式、資源利用模式（何時(shí)、哪個(gè)、怎樣）、動(dòng)作執(zhí)行模式等。輪廓度量：資源測(cè)量、事件計(jì)數(shù)器、定時(shí)器。每個(gè)輪廓代表由輪廓目標(biāo)組成員執(zhí)行的預(yù)期使用模式。此模式可以基于過(guò)去的使用（歷史模式）或相似目標(biāo)組用戶的正常使用（預(yù)期模式）。輪廓目標(biāo)組指與TSF交互的一個(gè)或多個(gè)用戶。輪廓組每個(gè)成員的活動(dòng)被分析工具用來(lái)建立輪廓中描繪的使用模式。以下是幾個(gè)輪廓目標(biāo)組的例子：?jiǎn)斡脩魩簦好總€(gè)用戶一個(gè)輪廓。組ID或組帳號(hào)：所有擁有同一個(gè)組ID或使用同一個(gè)組帳號(hào)的用戶為一個(gè)輪廓。操作角色：共享

33、一個(gè)給定操作角色的所有用戶為一個(gè)輪廓。系統(tǒng)：一個(gè)系統(tǒng)的所有用戶為一個(gè)輪廓。對(duì)一個(gè)輪廓目標(biāo)組的每個(gè)成員分配了一個(gè)單獨(dú)的置疑等級(jí)，它表示成員的新活動(dòng)對(duì)應(yīng)于在組輪廓中已建立使用模式的相近程度。異常檢測(cè)工具的復(fù)雜程度將主要由PP、PP-模塊、功能包或ST所要求目標(biāo)輪廓組的數(shù)量和所要求輪廓度量的復(fù)雜性來(lái)決定。PP、PP-模塊、功能包或ST作者應(yīng)該明確列舉出由TSF監(jiān)測(cè)或分析的活動(dòng)。PP、PP-模塊、功能包或ST作者也應(yīng)該明確識(shí)別構(gòu)造使用輪廓所需的相關(guān)活動(dòng)信息。FAU_SAA.2“基于輪廓的異常檢測(cè)”要求TSF維護(hù)系統(tǒng)的使用輪廓?！熬S護(hù)”這個(gè)詞暗示異常檢測(cè)工具基于輪廓目標(biāo)組成員進(jìn)行的新活動(dòng)主動(dòng)更新使用輪廓

34、。重要的是表示用戶活動(dòng)性的度量都由PP、PP-模塊、功能包或ST作者來(lái)定義。例2：一個(gè)個(gè)體可能執(zhí)行一千個(gè)不同的動(dòng)作，而異常檢測(cè)工具可以僅選擇監(jiān)測(cè)這些活動(dòng)的一個(gè)子集。異?；顒?dòng)可以像正?；顒?dòng)一樣被集成到輪廓中（假設(shè)工具正在監(jiān)測(cè)那些活動(dòng)）。在四個(gè)月以前可能已出現(xiàn)異常的事件經(jīng)過(guò)一段時(shí)間，隨著用戶職責(zé)的改變可能已變成正常（反之亦然）。如果TSF利用輪廓更新算法過(guò)濾掉異?；顒?dòng)，它就不能夠捕獲這種情況。應(yīng)提供管理性通告，以便于授權(quán)用戶理解置疑等級(jí)的重要性。PP、PP-模塊、功能包或ST作者應(yīng)定義如何解釋置疑等級(jí)和向FAU_ARP“安全審計(jì)自動(dòng)響應(yīng)”機(jī)制指示異?；顒?dòng)的條件。操作在FAU_SAA.2.1中，PP

35、、PP-模塊、功能包或ST作者應(yīng)規(guī)定輪廓目標(biāo)組。單個(gè)PP、PP-模塊、功能包或ST可包括多個(gè)輪廓目標(biāo)組。在FAU_SAA.2.3中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定由TSF報(bào)告的異常活動(dòng)的條件。條件可以包括達(dá)到某一確定值的置疑等級(jí)，或基于觀察到的異?；顒?dòng)的類型。FAU_SAA.3 簡(jiǎn)單攻擊探測(cè)組件基本原理與應(yīng)用注釋實(shí)際上，很少有分析工具能確切檢測(cè)到安全侵害即將在何時(shí)發(fā)生，但確實(shí)有一些系統(tǒng)事件非常重要，值得進(jìn)行單獨(dú)查閱。例1：這種事件的例子有，刪除一個(gè)關(guān)鍵TSF安全數(shù)據(jù)文件（如口令文件）或遠(yuǎn)程用戶試圖獲得管理級(jí)特權(quán)的行為。這些事件都稱作特征事件，如果它們的出現(xiàn)獨(dú)立于系統(tǒng)的其他活動(dòng)就預(yù)示著

36、入侵活動(dòng)。給定工具的復(fù)雜程度將在很大程度上依賴于PP、PP-模塊、功能包或ST作者在確定特征事件基本集時(shí)所定義的賦值。為執(zhí)行分析，PP、PP-模塊、功能包或ST作者應(yīng)逐一列舉出哪些事件應(yīng)該由TSF監(jiān)測(cè)。PP、PP-模塊、功能包或ST作者應(yīng)識(shí)別那些與事件有關(guān)的必要信息，以決定該事件是否映射為特征事件。應(yīng)提供管理性通告，以便授權(quán)用戶能夠理解事件的意義以及如何做出適當(dāng)?shù)捻憫?yīng)。為了避免把審計(jì)數(shù)據(jù)作為監(jiān)測(cè)系統(tǒng)活動(dòng)唯一的輸入，須作出相應(yīng)的對(duì)策。在這些功能要求的詳細(xì)說(shuō)明中要求利用以前開發(fā)的入侵檢測(cè)工具，而該工具不只使用審計(jì)數(shù)據(jù)進(jìn)行系統(tǒng)活動(dòng)分析。例2：其他的輸入數(shù)據(jù)包括如網(wǎng)絡(luò)數(shù)據(jù)報(bào)文、資源/計(jì)帳數(shù)據(jù)或者各類系

37、統(tǒng)數(shù)據(jù)的組合等。FAU_SAA.3“簡(jiǎn)單攻擊探測(cè)”的元素不要求實(shí)現(xiàn)直接攻擊探測(cè)的TSF與其活動(dòng)受監(jiān)測(cè)的TSF為同一個(gè)。因此，可以開發(fā)一個(gè)入侵檢測(cè)組件，其運(yùn)行能夠獨(dú)立于那些系統(tǒng)活動(dòng)正在被分析的系統(tǒng)。操作在FAU_SAA.3.1中，PP、PP-模塊、功能包或ST作者應(yīng)確定系統(tǒng)事件的一個(gè)基本子集，其出現(xiàn)獨(dú)立于所有其他系統(tǒng)活動(dòng)，可預(yù)示著一個(gè)對(duì)SFR的執(zhí)行的侵害。這包括那些本身就清晰地指明對(duì)SFR的執(zhí)行的侵害的事件，或其出現(xiàn)對(duì)證明活動(dòng)十分重要的那些事件。在FAU_SAA.3.2中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定用于確定系統(tǒng)活動(dòng)的信息。該信息是分析工具所使用的輸入數(shù)據(jù)，用來(lái)確定發(fā)生在TOE上的系

38、統(tǒng)活動(dòng)。這些數(shù)據(jù)可包括審計(jì)數(shù)據(jù)、審計(jì)數(shù)據(jù)與其他系統(tǒng)數(shù)據(jù)的組合、或者也可由其他非審計(jì)數(shù)據(jù)組成。PP、PP-模塊、功能包或ST作者應(yīng)準(zhǔn)確定義在所輸入的數(shù)據(jù)中哪些系統(tǒng)事件及其屬性正在被監(jiān)測(cè)。FAU_SAA.4 復(fù)雜攻擊探測(cè)組件基本原理與應(yīng)用注釋實(shí)際上，很少有分析工具能確切檢測(cè)到安全侵害即將在何時(shí)發(fā)生，但確實(shí)有一些系統(tǒng)事件非常重要，值得進(jìn)行單獨(dú)查閱。例1：這種事件的例子有，刪除一個(gè)關(guān)鍵TSF安全數(shù)據(jù)文件（如：口令文件）或遠(yuǎn)程用戶試圖獲得管理級(jí)特權(quán)的行為。這些事件都稱作特征事件，如果它們的出現(xiàn)獨(dú)立于系統(tǒng)的其他活動(dòng)就預(yù)示著入侵活動(dòng)。事件的序列是可預(yù)示入侵活動(dòng)的特征事件有序集合。給定工具的復(fù)雜程度將在很大程

39、度上依賴于PP、PP-模塊、功能包或ST作者在確定特征事件基本集和事件序列時(shí)所定義的賦值。為執(zhí)行分析，PP、PP-模塊、功能包或ST作者應(yīng)逐一列舉出哪些事件應(yīng)該由TSF監(jiān)測(cè)。PP、PP-模塊、功能包或ST作者應(yīng)識(shí)別那些與事件有關(guān)的必要信息，以決定該事件是否映射為特征事件。應(yīng)提供管理性通告，以便授權(quán)用戶能夠理解事件的意義以及如何做出適當(dāng)?shù)捻憫?yīng)。為了避免把審計(jì)數(shù)據(jù)作為監(jiān)測(cè)系統(tǒng)活動(dòng)唯一的輸入，須作出相應(yīng)的對(duì)策。在這些功能要求的詳細(xì)說(shuō)明中要求利用以前開發(fā)的入侵檢測(cè)工具，而該工具不只使用審計(jì)數(shù)據(jù)進(jìn)行系統(tǒng)活動(dòng)分析。例2：其他的輸入數(shù)據(jù)包括如網(wǎng)絡(luò)數(shù)據(jù)報(bào)文、資源/計(jì)帳數(shù)據(jù)或者各類系統(tǒng)數(shù)據(jù)的組合等因此需要PP、

40、PP-模塊、功能包或ST作者規(guī)范用于監(jiān)測(cè)系統(tǒng)活動(dòng)的輸入數(shù)據(jù)的類型。FAU_SAA.4“復(fù)雜攻擊探測(cè)”的元素不要求實(shí)現(xiàn)復(fù)雜攻擊探測(cè)的TSF與其活動(dòng)受監(jiān)測(cè)的TSF為同一個(gè)。因此，可以開發(fā)一個(gè)入侵檢測(cè)組件，其運(yùn)行能夠獨(dú)立于那些系統(tǒng)活動(dòng)正在被分析的系統(tǒng)。操作在FAU_SAA.4.1中，PP、PP-模塊、功能包或ST作者應(yīng)確定系統(tǒng)事件序列列表的一個(gè)基本集，其出現(xiàn)表示已經(jīng)有入侵的情況發(fā)生。這些事件序列表示已知的入侵情形，序列中所描繪的每一個(gè)事件應(yīng)映射到一個(gè)受監(jiān)測(cè)的系統(tǒng)事件，從而使得隨著這些系統(tǒng)事件被執(zhí)行，它們就映射到已知的入侵事件序列。在FAU_SAA.4.1中，PP、PP-模塊、功能包或ST作者應(yīng)確定系

41、統(tǒng)事件的一個(gè)基本子集，其出現(xiàn)獨(dú)立于所有其他系統(tǒng)活動(dòng)，可預(yù)示著一個(gè)對(duì)SFR的執(zhí)行的侵害。這包括那些本身就清晰地指明對(duì)SFR違反的事件，或其出現(xiàn)對(duì)證明活動(dòng)正常十分重要的那些事件。在FAU_SAA.4.2中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定用于確定系統(tǒng)活動(dòng)的信息。該信息是分析工具所使用的輸入數(shù)據(jù)，用來(lái)確定發(fā)生在TOE上的系統(tǒng)活動(dòng)。這些數(shù)據(jù)可包括審計(jì)數(shù)據(jù)、審計(jì)數(shù)據(jù)與其他系統(tǒng)數(shù)據(jù)的組合、或者也可由其他非審計(jì)數(shù)據(jù)組成。PP、PP-模塊、功能包或ST作者應(yīng)準(zhǔn)確定義在所輸入的數(shù)據(jù)中哪些系統(tǒng)事件及其屬性正在被監(jiān)測(cè)。安全審計(jì)查閱(FAU_SAR)用戶應(yīng)用注釋安全審計(jì)查閱族定義了與審計(jì)信息查閱有關(guān)的一些要求

42、。這些功能應(yīng)該允許預(yù)存儲(chǔ)或事后存儲(chǔ)審計(jì)選擇結(jié)果。例：與審計(jì)信息查閱相關(guān)的例子是選擇性查閱的能力，包括以下幾個(gè)方面的內(nèi)容：一個(gè)或者多個(gè)用戶的動(dòng)作（如標(biāo)識(shí)、鑒別、TOE登錄以及訪問(wèn)控制活動(dòng)）；對(duì)某個(gè)特定客體或TOE資源采取的動(dòng)作；規(guī)定的審計(jì)例外情況集的全部?jī)?nèi)容；或者與某個(gè)特定的SFR屬性有關(guān)的動(dòng)作。以下幾種審計(jì)查閱之間的區(qū)別在于功能性?！皩徲?jì)查閱”只包含查閱審計(jì)數(shù)據(jù)的能力。而“可選審計(jì)查閱”更加復(fù)雜，要求能夠基于某個(gè)標(biāo)準(zhǔn)或帶邏輯關(guān)系（即“與”/“或”）的多個(gè)標(biāo)準(zhǔn)執(zhí)行搜索，并能夠在查閱審計(jì)數(shù)據(jù)之前對(duì)它們進(jìn)行分類和篩選。FAU_SAR.1 審計(jì)查閱組件基本原理與應(yīng)用注釋本組件將為授權(quán)用戶提供獲取和解釋

43、相關(guān)信息的能力。用戶是人員用戶時(shí)，信息必須以人類可理解的方式表示；用戶是外部IT實(shí)體時(shí)，信息必須以電子方式無(wú)歧義地表示。本組件用于規(guī)定用戶和/或授權(quán)用戶能夠讀取審計(jì)記錄。審計(jì)記錄將以適合于用戶的方式加以提供，因?yàn)椴煌愋偷挠脩簦ㄈ藛T用戶、機(jī)器用戶）可能有不同的需求?？梢砸?guī)定能被查閱的審計(jì)記錄內(nèi)容。操作在FAU_SAR.1.1中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定能夠使用這種能力的授權(quán)用戶。PP、PP-模塊、功能包或ST作者也可以適當(dāng)?shù)刂付ㄒ恍┌踩巧▍⒁奆MT_SMR.1安全角色）。在FAU_SAR.1.1中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定準(zhǔn)許指定的用戶從審計(jì)記錄中獲得信息的

44、類型。例：可以是“全部”、“主體身份”或“涉及該用戶的所有審計(jì)記錄信息”。在應(yīng)用安全功能要求FAU_SAR.1 時(shí)，沒(méi)有必要完全詳細(xì)地重復(fù)FAU_GEN.1指定的審計(jì)信息列表。使用“全部”或“全部審計(jì)信息”等術(shù)語(yǔ)能有助于消除歧義，并進(jìn)一步需要對(duì)這兩種安全需求進(jìn)行比較分析。FAU_SAR.2 限制審計(jì)查閱組件基本原理與應(yīng)用注釋本組件規(guī)定，未在FAU_SAR.1“審計(jì)查閱”中標(biāo)識(shí)的用戶不能讀取審計(jì)記錄。操作沒(méi)有為此組件指定操作。FAU_SAR.3 可選審計(jì)查閱組件基本原理與應(yīng)用注釋本組件規(guī)定應(yīng)能對(duì)要查閱的審計(jì)數(shù)據(jù)進(jìn)行選擇。如果基于多個(gè)標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)之間必須具有某種邏輯關(guān)系（即“與”/“或”），審計(jì)

45、工具也應(yīng)該提供處理審計(jì)數(shù)據(jù)的能力。例：處理審計(jì)數(shù)據(jù)的能力包括分類、篩選等。操作在FAU_SAR.3.1中，PP、PP-模塊、功能包或ST作者應(yīng)選定是否由TSF執(zhí)行搜索、分類、排序。在FAU_SAR.3.1中，PP、PP-模塊、功能包或ST作者應(yīng)指定用于選擇需要查閱的審計(jì)數(shù)據(jù)的標(biāo)準(zhǔn)（可能連同邏輯關(guān)系一起）。邏輯關(guān)系預(yù)期用于規(guī)定是否對(duì)單個(gè)屬性或還是對(duì)屬性的集合進(jìn)行操作。例:這種賦值可能形如“應(yīng)用、用戶帳號(hào)或位置”。在這種情況下，操作可用應(yīng)用、用戶帳號(hào)和位置這三種屬性的任意組合來(lái)規(guī)定。安全審計(jì)事件選擇 (FAU_SEL)用戶應(yīng)用注釋安全審計(jì)事件選擇族提供一些關(guān)于識(shí)別能力方面的要求，這種能力指從可能發(fā)

46、生的可審計(jì)事件中識(shí)別出哪些需要被審計(jì)。FAU_GEN“安全審計(jì)數(shù)據(jù)產(chǎn)生”族中定義了可審計(jì)事件，但這些事件在本組件中應(yīng)定義為是可選的事件。本族通過(guò)定義所選擇安全審計(jì)事件的適當(dāng)粒度，確保所保留的審計(jì)跡不至過(guò)于龐大而無(wú)法使用。FAU_SEL.1 選擇性審計(jì)組件基本原理與應(yīng)用注釋本組件定義了用于根據(jù)用戶屬性、主體屬性、客體屬性或事件類型從所有可審計(jì)事件集中選擇作為結(jié)果被審計(jì)的子集的標(biāo)準(zhǔn)。本組件假設(shè)不存在單個(gè)用戶身份。如路由器等設(shè)備就是不支持用戶概念的TOE。對(duì)于分布式環(huán)境，主機(jī)身份可以用作被審計(jì)的選擇條件。管理功能FMT_MTD.1“TSF數(shù)據(jù)的管理”將處理授權(quán)用戶對(duì)選擇進(jìn)行查詢或修改的權(quán)限。操作在F

47、AU_SEL.1.1中，PP、PP-模塊、功能包或ST作者應(yīng)該規(guī)定審計(jì)選擇性所依據(jù)的安全屬性是否與客體身份、用戶身份、主體身份、主機(jī)身份或事件類型相關(guān)。在FAU_SEL.1.1中，PP、PP-模塊、功能包、ST作者應(yīng)規(guī)定審計(jì)選擇性所依據(jù)的所有附加屬性。如果沒(méi)有附加規(guī)則供審計(jì)選擇性依據(jù)，則賦值為“無(wú)”。安全審計(jì)數(shù)據(jù)存儲(chǔ)（FAU_STG）用戶應(yīng)用注釋安全審計(jì)事件存儲(chǔ)族描述了存儲(chǔ)審計(jì)數(shù)據(jù)以備今后使用的要求，包括對(duì)由于系統(tǒng)失效、發(fā)生攻擊或存儲(chǔ)空間溢滿等原因所引起審計(jì)數(shù)據(jù)丟失進(jìn)行控制的要求。FAU_STG.1 審計(jì)數(shù)據(jù)的存儲(chǔ)位置組件基本原理與應(yīng)用注釋在分布式環(huán)境中，由于審計(jì)跡位于TSF中，不一定要與生成

48、審計(jì)數(shù)據(jù)的功能模塊在一起，PP、PP-模塊、功能包、ST作者可能要求對(duì)審計(jì)記錄的原發(fā)者進(jìn)行鑒別，或在將此記錄存入審計(jì)跡之前要求記錄的源不可否認(rèn)。TSF將保護(hù)審計(jì)跡中的審計(jì)數(shù)據(jù)免遭未授權(quán)地刪除或修改。值得注意的是，在某些TOE中審計(jì)員（角色）可能不具備刪除特定時(shí)間內(nèi)審計(jì)記錄的授權(quán)。FAU_STG.1.1依賴于FTP_ITC.1 “TSF間可信信道”，如果沒(méi)有選擇“使用FTP_ITC可信信道將生成的審計(jì)數(shù)據(jù)傳輸給外部IT實(shí)體”，則PP、PP-模塊、功能包或ST的作者可以通過(guò)提供沒(méi)有被選擇的理由來(lái)滿足依賴關(guān)系。操作在 FAU_STG.1.1 中，PP、PP-模塊、功能包或 ST的作者應(yīng)選擇審計(jì)數(shù)據(jù)的

49、存儲(chǔ)位置。審計(jì)數(shù)據(jù)可以存儲(chǔ)在TOE本身上，使用可信信道傳輸?shù)酵獠繉?shí)體，或者可以在賦值中指定其他存儲(chǔ)選項(xiàng)。如果需要PP、PP-模塊、功能包或ST的作者指定審計(jì)數(shù)據(jù)的附加或替代存儲(chǔ)位置，則可以在FAU_STG.1.1中使用選擇中找到的賦值來(lái)指定此需求。FAU_STG.2 受保護(hù)的審計(jì)數(shù)據(jù)存儲(chǔ)組件基本原理與應(yīng)用注釋在分布式環(huán)境中，由于審計(jì)跡位于TSF中，不一定要與生成審計(jì)數(shù)據(jù)的功能模塊在一起，PP、PP-模塊、功能包、ST作者可能要求對(duì)審計(jì)記錄的原發(fā)者進(jìn)行鑒別，或在將此記錄存入審計(jì)跡之前要求記錄的源不可否認(rèn)。TSF將保護(hù)審計(jì)跡中審計(jì)數(shù)據(jù)免遭未授權(quán)地刪除或修改。值得注意的是，在某些TOE中審計(jì)員（角色

50、）可能不具備刪除特定時(shí)間內(nèi)審計(jì)記錄的授權(quán)。操作在FAU_STG.1.2中，PP、PP-模塊、功能包或 ST作者應(yīng)該規(guī)定TSF是應(yīng)防止，還是只能檢測(cè)對(duì)審計(jì)跡中存儲(chǔ)的審計(jì)記錄的修改。這二者中只能選擇一個(gè)。FAU_STG.3 審計(jì)數(shù)據(jù)可用性保證組件基本原理與應(yīng)用注釋本組件允許PP、PP-模塊、功能包或 ST作者規(guī)定審計(jì)跡應(yīng)該符合哪個(gè)度量標(biāo)準(zhǔn)。在分布式環(huán)境中，由于審計(jì)跡位于TSF中，不一定要與生成審計(jì)數(shù)據(jù)的功能模塊在一起，PP、PP-模塊、功能包、ST作者可能請(qǐng)求對(duì)審計(jì)記錄的原發(fā)者進(jìn)行鑒別，或在將此記錄存入審計(jì)跡之前要求記錄的源不可否認(rèn)。 操作在FAU_STG.3.3中，PP、PP-模塊、功能包、ST

51、作者應(yīng)對(duì)于審計(jì)跡規(guī)定TSF必須確保的度量。該度量通過(guò)列舉必須保持的記錄數(shù)或保證記錄維護(hù)的時(shí)間來(lái)限制數(shù)據(jù)的丟失。例：度量值“100000”就意味著能夠存儲(chǔ)100000條審計(jì)記錄。在FAU_STG.2.3中，PP、PP-模塊、功能包、ST作者應(yīng)該規(guī)定TSF仍能維護(hù)確定數(shù)量的審計(jì)數(shù)據(jù)的條件。這些條件可能是：審計(jì)存儲(chǔ)耗盡、失效和受攻擊。FAU_STG.4 審計(jì)數(shù)據(jù)可能丟失時(shí)的動(dòng)作組件基本原理與應(yīng)用注釋本組件規(guī)定了審計(jì)跡已滿時(shí)TOE的行為：要么忽略審計(jì)記錄，要么凍結(jié)TOE，使得任何可審計(jì)事件都不能發(fā)生。本要求還規(guī)定，無(wú)論怎樣規(guī)定這類要求，對(duì)具有特殊權(quán)限的授權(quán)用戶總可以繼續(xù)產(chǎn)生可審計(jì)事件（采取動(dòng)作），這是

52、因?yàn)槿绻贿@樣，授權(quán)用戶甚至將無(wú)法重啟TOE。因此，一旦審計(jì)存儲(chǔ)空間溢滿，應(yīng)考慮選擇TSF要采取的動(dòng)作，如忽略事件，這樣能提供更好的TOE可用性，也將準(zhǔn)許不帶記錄且不追查用戶責(zé)任地執(zhí)行動(dòng)作。操作在FAU_STG.5.1中，PP、PP-模塊、功能包、ST作者應(yīng)選定TSF是否忽略可審計(jì)的動(dòng)作，或者是否應(yīng)該防止可審計(jì)動(dòng)作的發(fā)生，或當(dāng)TSF不能再存儲(chǔ)審計(jì)記錄時(shí)將最早的審計(jì)記錄涵蓋。這些選項(xiàng)中只能選擇一個(gè)。在FAU_STG.5.1中，PP、PP-模塊、功能包、ST作者應(yīng)規(guī)定一旦發(fā)生審計(jì)存儲(chǔ)失效，所應(yīng)采取的其他動(dòng)作，如通知授權(quán)用戶。如審計(jì)存儲(chǔ)失效時(shí)不需采取任何其他動(dòng)作，則賦值為“無(wú)”。FAU_STG.5

53、防止審計(jì)數(shù)據(jù)丟失組件基本原理與應(yīng)用注釋該組件要求在審計(jì)跡超過(guò)某些預(yù)定義限制時(shí)采取措施。操作在FAU_STG.5“防止審計(jì)數(shù)據(jù)丟失”中，PP、PP-模塊、功能包或ST作者應(yīng)指明預(yù)定義的限制。如果管理功能表示授權(quán)用戶可以修改此數(shù)字，則此值為默認(rèn)值。PP、PP-模塊、功能包或ST的作者可以選擇讓授權(quán)用戶定義此限制。例：在授權(quán)用戶定義限制的情況下，分配的例子可以是“授權(quán)用戶設(shè)置限制”。在FAU_STG.5“防止審計(jì)數(shù)據(jù)丟失”中，PP、PP-模塊、功能包或ST作者應(yīng)詳細(xì)說(shuō)明在超過(guò)閾值并指示即將發(fā)生審計(jì)存儲(chǔ)失敗的情況下應(yīng)采取的行動(dòng)。行動(dòng)可以包括通知授權(quán)用戶。附錄 D（規(guī)范性附錄）FCO 類：通信 - 應(yīng)用

54、注釋概述本類所描述的要求對(duì)用于傳送信息的TOE有特殊意義。本類中各族都涉及抗抵賴。本類中使用了“信息”這一概念。在這里信息應(yīng)該解釋為進(jìn)行通信的客體，可能包括電子郵件消息、文件或一組預(yù)定義屬性的類型。在本文中，術(shù)語(yǔ)“接收證明”和“原發(fā)證明”是常用的術(shù)語(yǔ)。然而，通常認(rèn)為術(shù)語(yǔ)“證明”在法律意義上被解釋為隱含某種形式數(shù)學(xué)原理。本類中的組件按“證據(jù)”的具體情況來(lái)解釋 “證明”一詞的具體使用，TSF舉例說(shuō)明了各種類型信息傳送的不可否認(rèn)。原發(fā)抗抵賴(FCO_NRO)用戶應(yīng)用注釋原發(fā)抗抵賴定義了向用戶/主體提供有關(guān)原發(fā)者身份信息證據(jù)的要求。由于原發(fā)證據(jù)在原發(fā)者和所發(fā)送的信息之間提供了證據(jù)綁定，原發(fā)者不能成功地

55、否認(rèn)已發(fā)送該信息，接收者或第三方可驗(yàn)證原發(fā)證據(jù)。原發(fā)證據(jù)應(yīng)是不可偽造的。例1：原發(fā)證據(jù)可以是數(shù)字簽名如果以任何方式改變了信息或相關(guān)屬性，對(duì)原發(fā)證據(jù)的驗(yàn)證就可能失敗。因此，PP、PP-模塊、功能包或ST作者應(yīng)考慮在PP、PP-模塊、功能包或ST中加入完整性方面的要求，如FDT_UIT.1“數(shù)據(jù)交換完整性”?？沟仲嚿婕皫讉€(gè)不同的角色，每個(gè)角色都可能結(jié)合一個(gè)或多個(gè)主體。第一個(gè)角色是請(qǐng)求原發(fā)證據(jù)的主體（僅在FCO_NRO.1“選擇性原發(fā)證明”中）；第二個(gè)角色是提供證據(jù)的接收者和/或其它主體；第三個(gè)角色是請(qǐng)求驗(yàn)證原發(fā)證據(jù)的主體。例2：請(qǐng)求驗(yàn)證原發(fā)證據(jù)的主體：如接收者或象仲裁者這樣的第三方。提供接收證據(jù)的

56、主體：如公證人PP、PP-模塊、功能包或ST作者規(guī)定為了能驗(yàn)證證據(jù)的有效性而必須滿足的條件。例3：可能規(guī)定的一個(gè)條件是對(duì)證據(jù)的驗(yàn)證必須在24小時(shí)內(nèi)進(jìn)行。因此，這些條件允許根據(jù)法律要求定制不可抵賴性，例如能夠提供幾年內(nèi)的證據(jù)。在多數(shù)情況下，接收者的身份是接收傳送數(shù)據(jù)的用戶。在一些情況下，PP、PP-模塊、功能包或ST作者不希望用戶身份被輸出，此時(shí)PP、PP-模塊、功能包或ST作者應(yīng)該考慮是否適合包含此類，或者是否應(yīng)使用傳送服務(wù)提供者的身份或主機(jī)的身份。除了（或代替）用戶身份，PP、PP-模塊、功能包或ST作者可能更關(guān)注信息發(fā)送的時(shí)間。例4：例如，請(qǐng)求建議必須在某個(gè)確定日期之前發(fā)送才能被接納，在這

57、種情形下，這些要求應(yīng)能被定制以提供時(shí)間戳指示（原發(fā)時(shí)間）。FCO_NRO.1 選擇性原發(fā)證明用戶應(yīng)用注釋沒(méi)有為此組件指定的用戶應(yīng)用注釋。操作在FCO_NRO.1.1中，PP、PP-模塊、功能包或ST作者應(yīng)將信息主體的類型填寫到原發(fā)功能的證據(jù)中，如電子郵件消息，例1：信息類型的一個(gè)例子是“電子郵件消息”在 FCO_NRO.1.1 中，PP、PP-模塊、功能包或ST作者應(yīng)指定可以請(qǐng)求原發(fā)證據(jù)的用戶/主體。在 FCO_NRO.1.1 中，PP、PP-模塊、功能包或ST的作者應(yīng)根據(jù)選擇結(jié)果指定能請(qǐng)求原發(fā)證據(jù)的第三方。例2：第三方可以是仲裁者、法官或法定機(jī)構(gòu)。在FCO_NRO.1.2中，PP、PP-模塊

58、、功能包或ST的作者應(yīng)填寫可關(guān)聯(lián)到信息的屬性列表。例3：屬性包括原發(fā)者身份、發(fā)送時(shí)間和發(fā)送位置。在FCO_NRO.1.2中，PP、PP-模塊、功能包或ST的作者應(yīng)在信息中填寫信息域列表，表上的屬性提供了原發(fā)證據(jù)，如消息體。在FCO_NRO.1.3中，PP、PP-模塊、功能包或ST的作者應(yīng)指定能驗(yàn)證原發(fā)證據(jù)的用戶/主體。在FCO_NRO.1.3中，PP、PP-模塊、功能包或ST的作者應(yīng)填寫可驗(yàn)證證據(jù)的限制條件列表。例4：限制的例子是“證據(jù)只能在24小時(shí)時(shí)間間隔之內(nèi)被驗(yàn)證”。賦值為“立即的”或“不確定的”也是可接受的。在FCO_NRO.1.3中，PP、PP-模塊、功能包或ST的作者應(yīng)根據(jù)選擇結(jié)果指

59、定能驗(yàn)證原發(fā)證據(jù)的第三方。FCO_NRO.2 強(qiáng)制原發(fā)證明用戶應(yīng)用注釋沒(méi)有為此組件指定的用戶應(yīng)用注釋。操作在FCO_NRO.2.1中，PP、PP-模塊、功能包或ST的作者應(yīng)將信息主體的類型填寫到原發(fā)功能的證據(jù)中，例1：電子郵件消息。在FCO_NRO.2.2中，PP、PP-模塊、功能包或ST的作者應(yīng)填寫可關(guān)聯(lián)到信息的屬性列表，如原發(fā)者身份、發(fā)送時(shí)間和發(fā)送位置。在FCO_NRO.2.2中，PP、PP-模塊、功能包或ST的作者應(yīng)在信息中填寫信息域列表，表中的屬性提供了原發(fā)證據(jù)，如消息體。在FCO_NRO.2.3中，PP、PP-模塊、功能包或ST的作者應(yīng)指定能驗(yàn)證原發(fā)證據(jù)的用戶/主體。在FCO_NRO

60、.2.3中，PP、PP-模塊、功能包或ST的作者應(yīng)填寫可驗(yàn)證證據(jù)的限制條件列表。例2：證據(jù)只能在24小時(shí)時(shí)間間隔之內(nèi)被驗(yàn)證。賦值為“立即的”或“不確定的”也是可接受的。在FCO_NRO.2.3中，PP、PP-模塊、功能包或ST的作者應(yīng)根據(jù)選擇結(jié)果指定能驗(yàn)證原發(fā)證據(jù)的第三方。例3：第三方可以是仲裁者、法官或法律機(jī)構(gòu)。接收抗抵賴 (FCO_NRR)用戶應(yīng)用注釋接收抗抵賴定義了向其他用戶/主體提供信息已被接收者接收到的證據(jù)的要求。由于接收證據(jù)在接收者和所接收信息之間提供了證據(jù)綁定，接收者必須承認(rèn)已接收該信息，原發(fā)者或第三方可驗(yàn)證接收證據(jù)。此證據(jù)應(yīng)是不可偽造的。例1：接收證據(jù)的一個(gè)例子是數(shù)字簽名。應(yīng)該