2023年信息系統(tǒng)安全保護輪廓產生辦法

信息系統(tǒng)安全保護輪廓(PP)產生辦法

1前言

所謂安全保護輪廓(PP),具體來說，就是為了滿足一系列的安全目標而

提出的一整套相對應的功能和保證需求。一個PP可以重復使用于一些不同的應

用中。

PP對于不同的團體均具有重要的意義。它敘述了用戶實際的安全方法，為

開發(fā)者提供了一套開發(fā)的基準，為學術界描述了一些很好的安全配置方法，為評

估者提供了評估的標準。

PP定義了對應一類TOEs的獨立于應用的一系列安全需求。這些TOEs能

滿足用戶對IT安全的需要。因而，用戶能夠不參考任何特定的TOE去構造或引

用一個PP來描述他們自己的IT安全需要。

PP應作為一個基于用戶服務的文件來描述，盡量使PP用戶不再去參考那

些對于他們很難用到的資料。安全保護的原理應當明確的闡述，如果需要，可以

單獨提出。

PP可以是由用戶來制定，也可以是由IT產品研發(fā)方來制定，同時也可以

由任何其它對此感興趣的團體來制定。PP給予了用戶一種查閱特殊安全需求的

方式，同時也使將來木這些需求進行評估變得簡單易行。

一般而言，在安全目標(ST)中所包含的TOE的安全需求都應當在一個已

存在的PP中詳細敘述過，與PP中的需求保持一致。由一些已存在的PPs可以

產生一個新的PPo

2PP的內容結構

圖1PP內容構架

3PP基本內容

3.1PP介紹

PP介紹這部分內容應當包括執(zhí)行PP注冊登記所必需的文件管理和概要信

息。內容如下：

a)PP識別應當提供對PP識別、編制目錄、注冊、參照所必需的標簽和描

述信息。

b)PP概述應當用簡短的形式總結PP。概述必需足夠詳細，從而能夠引起

PP用戶的興趣。在PP目錄和注冊中，概述應獨立出來作為摘要。

3.2TOE描述

TOE描述這部分內容能幫助讀者對于TOE安全需求的理解，應當對其產

品型號以及一般的IT特征加以敘述。

TOE描述同樣提供了評估的內容。TOE描述中提供的信息將用在評估的過

程中，米判別是否存在矛盾。由于一個PP一般不僅僅指代一個特定的應用，其

所描述的TOE特征可以是假設。如果TOE是一個產品或系統(tǒng)，其首要功能是安

全，PP的這部分內容將被用作是對TOE更廣泛應用前景的敘述。

3.3TOE安全環(huán)境

TOE安全環(huán)境應描述TOE所應用環(huán)境的安全方面，以及TOE期望被采用

的方式。陳述應包括如下內容：

a)假設描述了TOE的應用或想要應用的環(huán)境的安全方面，如：

有關TOE的使用信息，包括可能的應用，潛在的資產價值，對使用的

可能的限制。

關于TOE使用環(huán)境的信息，包括物理的，人員的以及連接的方面,

b)威脅應當包括所有對TOE內部受特殊保護的資產的威脅。應當申明的

是，不是所有在此環(huán)境中遇到的可能的威脅必需列舉出來，列舉出來的

僅是與安全的TOE運行相關的那部分。

威脅應以一個辯明的威脅代理者，一次攻擊的方式描述，而資產是攻擊

EALs。當PP中存在明確的不包含在附錄二中的額外的保證需求時，

也須擴展EALo

b）IT環(huán)境安全需求應確定需被TOE的IT環(huán)境滿足的IT安全需求，如果

TOE對IT環(huán)境的依賴關系尚需證實，PP的這部分內容可以刪除。

注意到，在現(xiàn)實中常常非常有用的非IT環(huán)境的安全需求不要求作為PP

的正式內容，因為它們與PP的實施不直接相關。

c）在對TOE以及其IT環(huán)境的安全功能和保證需求的敘述中應使用如下的

一般條件：

1）所有的IT安全需求應當從附錄一和附錄二中選擇，如果其中某些需

求不是摘自附錄一和附錄二，PP中應當明確的說明，該需求不是摘

自附錄。

2）任何明確說明的非摘自附錄的需求應當正確而不含糊的陳述，這樣，

評估及示范才可行，其具體的等級和描述方式應參考附錄里的功能

和保證需求。

3）當選擇了一些指定了必須的操作的安全需求時，PP應當使用這些操

作去放大這些需求的等級，從而能夠示范是否達到安全目標。任何

PP內沒有執(zhí)行的所要求的操作應當標明。

4）通過使用需求組件中的操作，在必要時，TOE安全需求陳述應fT選

擇地規(guī)定或禁止特定安全機制的使用。

5）所有IT安全需求之間的相關性都應滿足，通過在TOE的安全需求

或環(huán)境的需求中包含該相關聯(lián)的需求來滿足相關性。

3.6使用注釋

PP的這部分包含了對TOE的使用、評估、構造所必需考慮的額外相關的

有益支撐信息。

3.7基本原理

PP的這部分內容提供了PP評估所需的證據(jù)。這些證據(jù)能夠證明PP內的需

求是完整而連貫的，它可以為TOE在其安全環(huán)境內提供一套有效的IT安全抵抗

措施。該基本原理內容包括如下：

a）安全目標原理應表明所有陳述的安全目標可追蹤到TOE安全環(huán)境

中確定的所有方面。

b）安全需求原理應表明這一系列安全需求能夠滿足并追蹤到安全目標。

如：

1）TOE及其1T環(huán)境的各個功能和保證需求組件的組合滿足所提出的安

全目標。

2）這一系列需求一起形成了一個相互支撐、內部連貫的整體。

3）安全需求的選擇是合理的，下列任一條件下需要特別的證明：

?所選擇的需求沒有包含在附錄一和附錄二中：

?所選擇的保證需求沒有指定一個EAL；

?相關性不滿足。

4)PP的功能等級所選擇的強度，以及任意功能明確要求的強度，與

TOE的安全目標是統(tǒng)一的。

附錄一

I信息技術安全評固

通用準貝！1(CommonCriteri皿

安全功能需求

(Securityfunctionalrequirements)

1安全功能需求內容結構

1.1概述

本章定義了CC功能需求的內容和敘述方式，為ST中包含的新的組件

(components)的組織要求提供指導。功能需求是以類(Class),屬(Family),

組件(component)的結構形式描述的。

1.1.1類結構

圖1.1以圖表的形式圖解了功能類結構，每一功能類包含一個類名，類介紹，

一個或多個功能屬。

圖1.1功能類結構

類名稱

類名稱提供了功能類的識別和分類的必要信息。每一個功能類有一個獨特的

名字。分類信息都包含一個三個字符的短名字。類名稱也用在類的屬名字規(guī)范中。

[.1.1.2類簡介

…是簡介闡述了滿足安全目標的屬的基本內容或方法。功能類的定義在要求的

規(guī)范中并不反映正式的分類法。類簡介提供了一個圖表來描述類所包含的屬以及

每一屬中組件的承接關系。

1.1.2屬結構

圖1.2表示了功能屬的結構。

1.L2.1屬名稱

屬名稱提供了識別和分辨功能屬所必須的分類和描述信息。每一功能屬有

一獨特的名稱。分辨信息包含一個七字符的短名，開始三個字符表示對應的類名

稱，類名稱后是下劃線和屬的短名，形式如XXX_YYY。

屬行為

屬行為概述了功能屬的安全目標和功能需求。詳細描述如下：

a)如果TOE包含了屬的一個組件，則屬安全目標敘述了在TOE的幫助下

能解決的安全問題。

b)功能需求描述概拈了組件中包含的所有需求。這些描述可以幫助PPs,

STs的作者判別該屬是否與其特殊的需求相關。

組件級別

功能屬包含了一個或多個組件，其中任何一個組件可選為PPs,STs的內容。

本節(jié)的目的是，一旦該屬被用戶選作他們功能需求的必須部分，為用戶提供選擇

合適功能組件的信息。

管理

管理需求為PP/ST作者在考慮一個組件的管理行為時提供信息。管理需求詳

細包含在管理類(FMT)的組件中。

審計

如果類FAU里的需求，安全審計，包含在PP/ST中，審計需求包含了PP/ST

作者可選擇的審計事件。

1.1.3組件結構

圖1.3表示了功能組件結構。

圖1.2功能屬結構圖1.3功能組件結構

1.L3.1組件識別

組件識別為組件的識別、分辨、注冊和前后引用提供了描述信息。

功能元素

每一個組件提供了一系列的元素，每一個元素是獨立的。一個功能元素是一

個不可再分的安全需求。

1.1.33依賴關系

當一個組件不能自我滿足，必須依賴于其他組件的功能時，這樣組件之間的

依賴關系就產生了。

每一個組件提供了對其它功能和置信組件的依賴關系列表。

2類FAU：安全審計

安全審計主要涉及的工作是對有關安全活動的信息的識別、記錄、存儲和分

析（這里有關安全活動是指由TSP所控制的活動）。通過對審計結果的檢查，可

以決定已發(fā)生了何種安全相關活動及其執(zhí)行者。

2.1安全審計自動響應（FAU_ARP）

屬FAU_ARP定義了當檢測到預示著某種潛在的安全入侵行為后，系統(tǒng)應采

取的響應措施。

FAU_ARP.l安全警報，一旦檢測到潛在的入侵行為時,TSF應采取的行動。

關聯(lián)性：FAU_ARP.lo

2.2安全審計數(shù)據(jù)產生（FAU_GEN）

屬FALLGEN定義了記錄在TSF控制下發(fā)生的安全相關事件的需求。它確

定了審計的級別，列舉了應被TSF審計的事件的類型，規(guī)定了在不同的審計記

錄類型中應提供的最小審計信息。

FAU_GEN.l規(guī)定了可審計事件的級別，確定了每一記錄中的數(shù)據(jù)列表。

關聯(lián)性：FPT_STM.lo

FAU_GEN.2用戶身份鏈接。它將被審計事件與單個用戶身份鏈接起來。

關聯(lián)性：FAU_GEN.l,FIA_UID.i

FAU_GEN.1.1能產生下歹而計事件的審計記錄：

a.審計功能的開啟和關閉；

b.所有審計事件的審計等級［最低限度、基本級、詳細級、未指定］;

c.［分配：其它未被特別定義的審計事件］。

FAU_GEN.1.2在每一審計記錄中至少應包含以下信息：

a.事件發(fā)生的日期、時間、事件類型、主體身份和事件結果；

b.對于每一審計事件的類型，是以包含在PP/ST中的功能元件的可審計事

件的定義為基準。

FAU_GEN.2.I應能將每一審計事件和導致該事件的用戶聯(lián)系起來。

2.3安全審計分析（FAU_SAA）

FAU_SAA定義通過分析系統(tǒng)行為和審計數(shù)據(jù)尋找可能的或確實存在的安全

侵害的方式的需求。

FAU_SAA.l潛在侵害分析，混合規(guī)則設置基礎上的基本閾值檢測是必需的。

關聯(lián)性：FAU_GEN.l.

FAU_SAA.2基于一般檢測的輪廓。TSF維持系統(tǒng)使用的獨立輪廓，這里輪

廓代表了輪廓目標群(profilelargetgroup)成員執(zhí)行的歷史使用模式。一個輪廓

目標群是指與TSF相互作用的一個或多個用戶(個人或組織)。每一個輪廓目標

群成員分配一個獨立的懷疑度等級(suspicionrating)0

關聯(lián)性：FIA_UID.l

FAU_SAA.3簡單攻擊試探法。TSF應能檢測簽名事件的發(fā)生，簽名事件代

表對TSP實施的嚴重威脅。簽名事件的搜索實時進行或以post-collection

batch-mode方式進行。

關聯(lián)性：無.

FAU_SAA.4復雜攻擊試探法。TSF應能夠檢測多步入侵企圖。TSF能比較

區(qū)分系統(tǒng)事件和入侵企圖的事件。

關聯(lián)性：無。

2.4安全審計回顧(FAU_SAR)

FAU_SAR定義了授權用戶可借助審計工具對審計數(shù)據(jù)進行回顧。

FAU_SAR.l提供了從審計記錄讀取信息的能力。

關聯(lián)性：FAU_GEN.1

FAU.SAR.2受限制的審計回顧，要求除了FAU_SAR.l授權的用戶外，其

它用戶均不能讀取審計數(shù)據(jù)的信息。

關聯(lián)性：FAU_SAR.l

FAU-SAR.3才選擇的審計回顧，要求審計回顧工具可根據(jù)一定的準則來選

擇審計數(shù)據(jù)進行回顧。

關聯(lián)性：FAU.SAR.1

2.5安全審計事件選擇(FAU_SEL)

FAU.SEL定義了在TOE運行過程中，從可審計事件中選取或排除事件的需

求。

FAU.SEL.1選擇審計事件。定義了根據(jù)PP/ST作者所指定的屬性，從審計事

件列表中選取事件的能力。

關聯(lián)性：FAILGEN.1,FMT_MTD.l

2.6安全審計事件存貯(FAU_STG)

FAU_STG定義了對TSF建立和維持安全審計跟蹤的需求。

FAU_STG.l受保護的審計跟蹤存貯，提出了對審計跟蹤的要求，防止審計

跟蹤記錄被非法刪除或修改。

關聯(lián)性：FAU.GEN.1

FAU_STG.2審計數(shù)據(jù)有效性保證，對在非正常條件下保證TSF維持審計數(shù)

據(jù)提出需求。

關聯(lián)性：FAU_GEN.1

FAU_STG.3血果審計數(shù)據(jù)丟失時的行動措施，定義了如果審計跟蹤閾值超

出時的行動。

關聯(lián)性：FAU_STG.l

FAU_STG.4三審計跟蹤數(shù)據(jù)滿時，預防審計數(shù)據(jù)丟失的行動。

關聯(lián)性：FAU_STG.l

3類FCO：通訊

類FCO考慮的是參與數(shù)據(jù)交換的雙方的身份認證問題，它確保信息發(fā)送方

不能抵賴其所發(fā)送的信息，接收方也不能否認其接收到的信息。

3.1發(fā)送者的不可抵賴性(FCO_NRO)

FCO.NRO確保當發(fā)送者發(fā)出信息后，其身份信息不可成功地抵賴，要求

TSF能提供一種方法，確保在信息交流過程中，信息接收方同時應收到發(fā)送者身

份的信息，該信息能被接收者和其他人核實。

FCO-NRO.1發(fā)送者選擇性證據(jù)要求TSF提供給主體要求發(fā)送者信息證據(jù)

的能力。

關聯(lián)性：FIA.UID.1

FCO_NRO.2發(fā)送者執(zhí)行證據(jù)，要求傳遞信息時TSF能始終產生發(fā)送者的

證據(jù)。

關聯(lián)性：FIA_UID.l

3.2接收者的不可抵賴性(FCO_NRR)

FCO.NRR要求TSF提供一種方法，確保發(fā)送者能得到接收者收到信息的證

據(jù)，這種證據(jù)能被發(fā)送者和其他人核實。

FCO_NRR.l接受者選擇性證據(jù)要求TSF提供給主體要求接收者信息證據(jù)

的能力。

關聯(lián)性：FIA_UID.I

FCO_NRR.2接收者執(zhí)行證據(jù)，要求接收信息時TSF能始終產生接收者的

證據(jù)。

關聯(lián)性：FIAUID.1

4類FCS：密碼支持

FCS要求采用加密功能來幫助滿足兒種高級目標，這些包括（但不局限于）：

識別和授權；不可抵敕；安全通道等；加密功能的應用可以是硬件，軟件或軟硬

件相結合。

4.1密鑰管理（FCS_CKM）

密鑰在其生命周期內必須管理好，F(xiàn)CS_CKM對TSF定義了如下的動作要求:

密鑰產生，密鑰發(fā)布，密鑰訪問和密鑰取消。

FCS_CKM.l要求按照指定算法產生密鑰，密鑰長度根據(jù)指定的標準產生。

關聯(lián)性：FCS_CKM.2或FCS_COP.l,FCS_CKMAFMT_MSA.2

FCS_CKM,2密鑰發(fā)布，根據(jù)指定的發(fā)布方法和標準發(fā)希密鑰。

關聯(lián)性：FDPJTC.1或FCS_CKM.1,FCS_CKM.4,FMT.MSA.2

FCS_CKM,3密鑰訪問，要民根據(jù)指定標猛按照特定的密鑰訪問方法執(zhí)行

密鑰訪問。

關聯(lián)性：FDPJTC.1或FCS_CKM.1,FCS_CKM.4,FMT_MSA.2

FCS_CKM.4密鑰廢除，基至指定標準，按照特定方法展除密鑰。

關聯(lián)性：FDPJTC.1或FCS_CKM.1,FMT_MSA.2

4.2密碼操作（FCS_COP）

為了密碼操作正確，操作必須符合指定算法和密鑰長度。典型的密碼操作包

括數(shù)據(jù)加密/解密，數(shù)值簽名產生/核實，哈希運算（信息摘要），密鑰加/解密，

密鑰協(xié)議。

FCS_COP.l要求按照指定算法和密鑰長度執(zhí)行密碼操作，指定算法和密鑰

長度是以一個要求的標準產生的。

關聯(lián)性：FDPJTC.1或FCS_CKM.1,FCS_CKM.4,FMT_MSA.2

5類FDP：用戶數(shù)據(jù)保護

該類包含的屬對保護用戶數(shù)據(jù)有關的TOE安全功能和TOE安全功能策略規(guī)

定了要求。類FDP能被分成四個屬。

5.1訪問控制策略（FDP_ACC）

FDP_ACC確定訪問控制SFPs（通過名字），并定義了形成TSP識別的訪問控

制部分的控制策略范圍。控制范圍由以下三個要素表示：受該策略控制的主體;

受該策略控制的客體；受控主體和受控客體之間的操作。

FDP_ACC.l子集訪問控制。

關聯(lián)性：FDP_ACF.l

FDP_ACC.2完全訪問控制。

關聯(lián)屜：FDP_ACF.l

5.2訪問控制功能（FDP_ACF）

FDP_ACF描述實施了FDP.ACC中指定的訪問控制策略的特定功能的規(guī)則。

敘述了安全屬性使用和策略特征。

FDP_ACF.1訪問控制基礎上的安全屬性允許TSF根據(jù)安全屬性實施訪問。

進而，TSF或許具有根據(jù)安全屬性明確認可和否定對客體訪問的能力。

關聯(lián)性；FDP_ACC.1,FMT_MSA.3

5.3數(shù)據(jù)鑒別（FDP_DAU）

數(shù)據(jù)鑒別允許團體對信息的真實性負責（如對信息數(shù)值簽名）。FDP.DAU

提供了保證特定單元數(shù)據(jù)有效性的方法，從而也可用來驗證信息內容沒有偽造或

惡意篡改。

FDP_DAU.l基本數(shù)據(jù)鑒別，要求TSF能夠保證客體信息內容的宜實性。

關聯(lián)性：無

FDP_DAU,2用保證人身份進行數(shù)據(jù)鑒別，額外要求TSF能建立提供真實性

保證的主體的身份。

關聯(lián)性：FIAUID.1

5.4輸出TSF控制（FDP_ETC）

FDP_ETC定義了從TOE輸出用戶數(shù)據(jù)的功能，信息一旦輸出，其安全屬性

和保護要么被明確保留，要么被忽略。

FDP_ETC.l無安全屬性的用戶數(shù)據(jù)輸出，當超出TSF輸出用戶數(shù)據(jù)時,TSF

實施合適的SFPso通過這種功能輸出的用戶數(shù)據(jù)沒有相關的安全屬性。

關聯(lián)性：FDP_ACC.l或FDP」FC.l

FDP_ETC.2帶安全屬性的用戶數(shù)據(jù)輸出，要求TSF用合適的SFPs將輸出

用戶數(shù)據(jù)與安全屬性正確而明確的聯(lián)系起來。

關聯(lián)性：FDP_ACC.1或FDPJFC.1

5.5信息流控制策略（FDPJFC）

FDP_IFC確定信息流控制SFPs（通過名字），并定義了形成TSP識別的信息

流控制部分的控制策略范圍?？刂品秶梢韵氯齻€要素表示：受該策略控制的主

體；受該策略控制的信息；導致受控信息流進和流出策略控制主體的操作。

FDPJFC.1子信息流控制。

關聯(lián)性：FDPJFF.1

FDPJFC.2完全信息流控制。

關聯(lián)性：FDPJFE1

5.6信息流控制功能（FDPJFF）

FDP」FF描述了實施由FDP-IFC指定的信息流控制SFPs的特定功能為規(guī)

則，同時FDP」FF也規(guī)定了該策略的控制范圍。它由兩種需求組成：一種敘述

一般的信息流功能問題；另一種敘述非法信息流（如：轉變信道）。這種分類的

產生是由于，在某種意義上，所謂的非法信息流是與信息流控制SFP的余下部

分垂直的，它們本質上圍繞著信息流控制SFP,造成對該策略的侵害。這樣，他

們要求限制和防止非法信息流發(fā)生的特定功能。

FDPJFF.1簡單安全屬性，要求信息的安全屬性，關于促使信息流動主體

的安全屬性，扮演信息接收者主體的安全屬性。規(guī)定了該功能必需實施的規(guī)則，

描述該功能如何推導安全屬性。

關聯(lián)性：FDP」FC.1,FMT_MSA.3

FDPJFF.2根據(jù)FDPJFF.1簡單安全屬性的要求擴展分級的安全屬性，通

過要求TSP中所有的信息流控制SFPs使用分級的安全屬性，從而形成網(wǎng)格結構。

關聯(lián)性：FDPJFC.1,FMT.MSA.3

FDPJFF.3受限制的非法搐息流，要求SFP包括非法信息流，但不是一定

要刪除它。

關聯(lián)性：AVA_CCA.1,FDP-IFC.1

FDPJFF.4三沒信息流的部分刪除，要求SFP包含刪除某些（不一定是所

有）非法信息流的內容。

關聯(lián)性：AVA_CCA.l,FDPJFC.1

FDPJFF.5無非法信息流，要求SFP能刪除所有的非法信息流。

關聯(lián)性：AVA_CCA.3,FDP-IFC.1

FDPJFF.6三裊信息流監(jiān)測，要求SFP能監(jiān)測指定和最大容量的非法信息

流。

關聯(lián)性：AVA_CCA.l,FDPJFC.l

5.7超出TSF控制的輸入（FDPJTC）

FDP_ITC規(guī)定了輸入TOE的用戶數(shù)據(jù)的保護機理，使輸入用戶數(shù)據(jù)具有合

適的安全屬性并能被妥善地受到保護。涉及的內容有輸入的限制，安全屬性的指

定，對用戶安全屬性的解釋。

FDPJTC.1無安全屬性的用戶數(shù)據(jù)輸入，要求用戶數(shù)據(jù)被正確地賦予安全

屬性。

關聯(lián)性：FDPACC.1或FDPIFC.l.FMTMSA.3

FDPJTC.2帶安全屬性的用戶數(shù)據(jù)輸入，要求安全屬性能正確表示用戶數(shù)

據(jù)，并能正確而明晰地與用戶數(shù)據(jù)聯(lián)系在一起。

關聯(lián)性：FDP_ACC.l或FDP_IFC.1,FTP_ITC.1FTP_TRP.1,FPT_TDC.1

5.8TOE內部傳遞（FDP」TT）

當用戶數(shù)據(jù)通過內部信道在TOE各部分之間傳遞時，F(xiàn)DP_ITT提出了對用

戶數(shù)據(jù)的保護需求。它與FDPJJCT和FDPJJIT相反，F(xiàn)DPJJCT和FDP_U1T

是對用戶數(shù)據(jù)通過外部信道在示同的TSFs2間傳遞時的保護需求。

FDP」TT.1基本的內部傳輸保護，要求用戶數(shù)據(jù)在TOE個部分之間傳遞時

能受到保護。

關聯(lián)性：FDP_ACC.l或FDP」FC.l

FDPJTT.2應于具有FDP」TT.l以外的SFP相關屬性的值分離用戶數(shù)據(jù)。

關聯(lián)性：FDP_ACC.1或FDP」FC.l

FDPJTT.3完整性監(jiān)測。

關聯(lián)性：FDPACC.1或FDPJFC.hFDPITT.1

FDPJTT.4基于屬性的完整性監(jiān)測。

關聯(lián)性：FDP_ACC.1或FDP」FC.1,FDP」TT.2

5.9殘余信息保護（FDP_RIP）

FDP.RIP提出確保己刪除信息不可再訪問的要求以及新建立的客體不能包

含不可訪問的信息。具體來說，就是對已經(jīng)被邏輯刪除但是還殘留在TOE內的

信息的保護的需求。

FDP_RIP.l子殘留信息保護，要求根據(jù)資源的分配，TSF能確保殘留信息

內容對TSC的指定的客體是不可訪問的。

關聯(lián)性：無

FDP_RIP.2全殘留信息保護，要求TSF能確保殘留信息內容對所有的客體

均是不可訪問的。

關聯(lián)性：無

5.10恢復(FDP_ROL)

在一定的限制條件下，如一段時間內，F(xiàn)DP_ROL能恢復上一次或一系列的

操作，并回到一個以前己知的狀態(tài)，從而保證了數(shù)據(jù)的完整性。

FDP_ROL.l基本恢復，敘述了在指定的限制條件下有限次數(shù)操作的恢復需

求。

關聯(lián)性：FDP_ACC.l或FDP」FC.l

FDP_ROL.2高級恢復，敘述了在指定的限制條件下，所有操作的恢復需求。

關聯(lián)性：FDP_ACC.l或FDP_IFC.l

5.11存貯數(shù)據(jù)的完整性(FDP_SDI)

FDP.SDI提供了用戶數(shù)據(jù)保存在TSC內后的保護需求。完整性錯誤會影響

保存在內存或其他存儲設備中的用戶數(shù)據(jù)。

FDP.SDL1存貯數(shù)據(jù)完整性監(jiān)測，要求SF對存貯在TSC內的用戶數(shù)據(jù)的

指定完整性錯誤進行監(jiān)測。

關聯(lián)性：無

FDP_SDL2存貯數(shù)據(jù)監(jiān)測及行動，4FDP.SDI.I的基礎上，增加了當檢測

到完整性錯誤后采取相應措施的能力。

關聯(lián)性：無

5.12TSF之間傳遞用戶數(shù)據(jù)機密性保護(FDP_UCT)

當用戶數(shù)據(jù)使用外部信道在不同的TOE之間或不同TOE的用戶之間傳遞時,

FDP.UCT定義了確保用戶數(shù)據(jù)機密性的需求。

FDP_UCTJ基本數(shù)據(jù)交流機密性，目的是在用戶數(shù)據(jù)的傳遞過程中，防止

用戶數(shù)據(jù)暴露。

關聯(lián)性：FTPJTC.i或FTP.TRRl,FDP_ACC.l或FDPJFC.1

5.13TSF之間傳遞用戶數(shù)據(jù)完整性保護(FDP_UIT)

用戶數(shù)據(jù)使用外部信道在不同的TOE之間或其它可信的IT產品之間傳遞時,

FDP.UIT定義了確保用戶數(shù)據(jù)完整性的需求，并能從刪除錯誤中恢復來保證完

整性。。

FDP.UIT.1數(shù)據(jù)交流完整性，敘述傳遞的用戶數(shù)據(jù)的修改，刪除，插入和

重放錯誤的檢測。

關聯(lián)性：FDP_ACC.1或FDP」FC.1,FTPJTC.1或FTP_TRP.l

FDP_UIT.2源數(shù)據(jù)交流恢復，要求通過履收TSF恢復原始的用戶數(shù)據(jù)，借

助于原始發(fā)送的可信IT產品。

關聯(lián)性：FDP_ACC.I或FDP」FC.1,FDP.UIT.1或FTPJTC.1

FDP_UIT.3目標數(shù)據(jù)交流恢復，要求通后接收TSF限復原始的用戶數(shù)據(jù)，

不借助于原始發(fā)送的互信IT產品。

關聯(lián)性：FDP_ACC.1或FDP」FC.1,FDP_UIT.l或FTPJTC.1

6類FIA：識別和鑒定

類FIA敘述了建立和核實請求用戶身份的功能需求。識別和鑒定確保了用

戶與恰當?shù)陌踩珜傩韵嗦?lián)系。授權用戶身份的明確識別，用戶和主體之間安全屬

性的正確鏈接對既定安全策略的實施至關重要。類FIA解決用戶身份的確定和

核實，明確用戶作用于TOE的權限，賦予授權用戶正確的安全屬性。用戶1勺正

確識別和鑒定是其它類(如：用戶數(shù)據(jù)保護，安全審計)實施的基礎。

6.1鑒定失敗(FIA_AFL)

FIA.AFL提出了不成功的鑒定嘗試的次數(shù)需求和一旦鑒定嘗試失敗TSF的

措施。參數(shù)包括失敗的鑒定嘗試次數(shù)和時間閾值。

FIA_AFL.l鑒定失敗處理，要求當用戶鑒定嘗試達到一指定值后，TSF能

終止該使命建立過程。它同時要求使命建立過程終止后，TSF能廢除該用戶帳號

或關閉該嘗試的進入端口。

關聯(lián)性：FIA_UAU.1

6.2用戶屬性定義(FIA_ATD)

所有授權用戶均有一系列安全屬性用于實施TSP°FIA_ATD定義了按照TSP

的需要將用戶安全屬性與用戶連接的要求。

FIA_ATD.l用戶屬性定義，要求每一用戶具有獨立的安全屬性。

關聯(lián)性：無

6.3安全規(guī)范(FIA_SOS)

FIA_SOS定義了根據(jù)提供的秘密實施指定的質量尺度的機理，以及產生滿

足指定尺度的秘密的機理。

FIA.SOS.l秘密的核實，要求TSF核實秘密滿足指定的質量尺度。

關聯(lián)性：無

FIA_SOS.2秘密的產生，要求TSF能夠產生滿足指定質量尺度的秘密，

關聯(lián)性：無

6.4用戶鑒定(FIAJJAU)

FIA_UAU定義了TSF支持的不同形式的用戶鑒定機理。它同樣定義了用戶

鑒定機理必須基于所需要的屬性。

FIA_UAU.l鑒定的時間選擇，在用戶身份鑒定之前，容許用戶執(zhí)行某種行

動。

關聯(lián)性：FIA_UID.1

FIA_UAU.2采取行動前的用戶鑒定，要求在采取任何TSF容許的行動之前,

用戶需鑒定他們自己。

關聯(lián)性：FIA.UID.1

FIA_UAU.3不可偽造的鑒定，要求鑒定機理能檢測和防止用戶鑒定數(shù)據(jù)被

偽造或復制。

關聯(lián)性.無

FIA_UAU.4單獨使用的鑒定機理，要求一個鑒定機理用單獨使用的鑒定數(shù)

據(jù)操作。

關聯(lián)性：無

FIA_UAU.5多鑒定機理，要求對特定事件，提供不同的鑒定機理并用于用

戶身份鑒定。

關聯(lián)性：無

FIA_UAU.6重新鑒定，要求具有指出需要被用戶重新鑒定的事件的能力。

美聯(lián)性：無

FIA_UAU.7受保護的鑒定反饋，要求在鑒定過程中，僅僅提供有限的反饋

信息給用戶。

關聯(lián)性：FIAJJAU.1

6.5用戶識別（FIA_UID）

F1A_UID定義了在何種條件下，在執(zhí)行任何行動之前用戶應要求去識別他

們自己。

FIA_UID.l識別時間安排，允許在被TSF識別之前用戶采取某種行動。

關聯(lián)性：無

FIA_UID.2采取任何行動之前的用戶身份識別，要求在采取任何TSF允許

的行動之前用戶應識別他們自己。

關聯(lián)性：無

6.6用戶?主體綁定（FIA_USB）

為了使用TOE,一個授權用戶典型地激活一個主體。用戶的安全屬性（全

部或部分地）與主體連接在一起。FIA_USB定義了對創(chuàng)造和維持用戶安全屬性

與代表用戶的主體之間連接的需求。

FIA_USB.l定義了對創(chuàng)造和維持用戶安全屬性與代表用戶的主體之間連接

的需求。

關聯(lián)性：FIAATD.1

7類FMT：安全管理

類FMT用于指明對TSF的幾個方面的管理：安全屬性，TSF數(shù)據(jù)和功能。

類FMT具有以下幾個目標：

1)TSF數(shù)據(jù)的管理；

2)安全屬性的管理；

3)TSF功能的管理；

4)安全任務的定義。

7.1TSF功能管理(FMT_MOF)

FMT_MOF允許授權用戶對TSF中的功能管理進行控制。例如審計功能和

多鑒定功能。

FMT_MOF.l安全功能行為管理，允許授權用戶對TSF中使用規(guī)則及在特

定條件下可被管理的功能進行管理。

關聯(lián)性：FMT_SMR.l

7.2安全屬性管理(FMT_MSA)

FMT_MSA允許授權用戶對安全屬性的管理進行控制，這種管理需包括觀察

和修改安全屬性的能力。

FMT_MSA.l安全屬性管理，允許授權用戶去管理指定的安全屬性。

關聯(lián)性：FDP_ACC.l或FDP」FC.I,FMT_SMR.l

FMT_MSA.2安全的安全屬建，確保安荃屬性的賦值關于安全狀態(tài)是有效

的。

關聯(lián)性:ADV_SPM.l,FDP_ACC.l或FDPJFC.l,FMT_MSA.l,FMT.SMR.l

FMT_MSA.3靜態(tài)屬性初赭化，確保安C屬性的缺省福在其本質上，要么

是允許的要么是限制的。

關聯(lián)性：FMT_MSA.I,FMT_SMR.I

7.3TSF數(shù)據(jù)管理(FMT_MTD)

FMT_MTD允許授權用戶控制TSF數(shù)據(jù)管理。例如，TSF數(shù)據(jù)包括審計信

息，時鐘，系統(tǒng)配置和其它的TSF配置參數(shù)。

FMT_MTD.lTSF數(shù)據(jù)管理，容許授權用戶管理TSF數(shù)據(jù)。

關聯(lián)性：FMT_SMR.1

FMT_MTD.2TSF數(shù)據(jù)的管理限制，規(guī)定了當?shù)竭_TSF數(shù)據(jù)限制范圍及超

出TSF數(shù)據(jù)限制范圍時需采取的行動。

關聯(lián)性：FMT_MTD.l或FMT_SMR.l

FMT_MTD.3安全的TSF數(shù)據(jù)，確保關于這個安全狀態(tài)，分配給TSF數(shù)據(jù)

的值是有效的。

ADV_SPM.1,FMT_MTD.1

7.4廢除(FMT_REV)

FMT.REV敘述了TOE內多個實體的安全屬性的廢除。

FMT_REV.l廢除，在某些時間點，實施安全屬性的廢除。

關聯(lián)性：FMT.SMR.1

7.5安全屬性過期(FMT_SAE)

FMT_SAE敘述了對安全屬性的有限性實施時間限制的能力。

FMT.SAE.1受時間限制的授權，為授權用戶提供對指定的安全屬性規(guī)定過

期時間的能力。

關聯(lián)性：FMT_SMR.1,FPT_STM.1

7.6安全管理職責(FMT_SMR)

FMT.SMR主要用于控制為用戶分配不同的職責。關于安全管理的這些職責

的能力在本類的其它屬中敘述。

FMT_SMR.l安全職責，規(guī)定了TSF承認的有關安全的職責。

關聯(lián)性：FIA_UID.l

FMT.SMR.2安全職責限制，除了對安全職責的規(guī)定，另有一些控制這些

職責關系的規(guī)則。

關聯(lián)性：FIA_UID.I

FMT_SMR.3假設的職責，要求對TSF假定職責給出明確要求。

關聯(lián)性：FMT.SMR.1

8類FPR：秘密

類FPR包含機密需求，當其它用戶身份暴露或誤操作時，這些需求提供必

要的保護。

8.1匿名(FPR_ANO)

FPR_ANO確保用戶在不暴露自己身份的情況下使用資源或服務。對匿名的

需求為用戶身份提供了保護。匿名不保護主體身份。

FPR_ANO.l匿名，要求其它用戶或主體不能夠根據(jù)該主體或操作來分辨用

戶身份。

關聯(lián)性：無

FPR-ANO.2無請求信息的匿名，通過確保TSF不要求用戶身份而提高了

相對應FPR_ANO.l的要求。

關聯(lián)性：無

8.2假名字(FPR_PSE)

FPR_PSE確保用戶在不暴露自己身份的情況下使用資源或服務，但仍然需

為該次使用承擔責任。

FPR.PSE.1假名字，要求其它用戶或主體不能夠根據(jù)該主體或操作來分辨

用戶身份，但該用戶仍需承擔其行為責任。

關聯(lián)性：無

FPR_PSE.2可逆的假名字，要求TSF根據(jù)提供的假名，能夠確定真實用戶

身份。

關聯(lián)性：FIA_UID.1

FPR_PSE.3別名假名字，要求TSF能根據(jù)別名某種構造規(guī)則得出用戶身份。

關聯(lián)性：無

8.3不可連接(FPR_UNL)

FPR.UNL能保證一個用戶能對資源或服務做多個使用，而同時其它人不能

連接這叱使用。

FPR_UNL.l不可連接，要求用戶或主體不能確定系統(tǒng)內某個特定操作是否

由同一用戶執(zhí)行。

關聯(lián)性：無

8.4不可觀察(FPR_UNO)

FPR_UNO確保了一個用戶在使用一項資源或服務時，無其它人或第三方可

以觀察到該資源或服務正在使用。

FPR.UNO.1不可觀察，要求用戶或主體不能夠確定一項操作是否正在執(zhí)行。

關聯(lián)性：無

FPR_UNO.2信息分配影響不可觀察性，要求TSF能提供特定方法避免TOE

內的機密信息集中，如果安全危害發(fā)生時，這種集中可能影響不可觀察性。

關聯(lián)性：無

FPR_UNO.3無請求信息的不可觀察性，要求TSF不去獲得機密信息，因

為這樣可能會影響不可觀察性。

關聯(lián)性：FPR_UN0.1

FPR_UNO.4衰權用戶的可觀察性，要求TSF提供一個或多個授權用戶，

他們有能力觀察到資源或服務的使用。

關聯(lián)性：無

9類FPT：TSF保護

類FPT包含了對TSF及其數(shù)據(jù)完整性管理機理的安全需求。在某種程度上,

該類中的某些屬與類FDP（用戶數(shù)據(jù)管理）的內容相同，按相同的原理實施，但

是FDP著眼于用戶數(shù)據(jù)的管理，而FPT則著眼于TSF數(shù)據(jù)的保護。

9.1根本的抽象機測試（FPT_AMT）

FPT.AMT要求TSF執(zhí)行一些測試，這些測試能論證根據(jù)TSF所依靠的抽

象機所做的安全假設?！俺橄蟆睓C可能是硬件或軟硬件平臺，以虛擬機的形式工

作。

FPT_AMT.l抽象機測試。

關聯(lián)性：無

9.2安全失?。‵PT_FLS）

FPT_FLS的需求確保，如果TSF的失敗事件列表上的某事件發(fā)生時，TOE

不會破壞TSPo

FPT_FLS.l維持安全狀態(tài)的失敗，要求TSF在面臨已知的失敗時，能維持

其安全狀態(tài)。

關聯(lián)性：ADV_SPM.l

9.3輸出TSF數(shù)據(jù)的有效性（FPTJTA）

FPT」TA定義了，當在TSF與遠程可信IT產品之間移動TSF數(shù)據(jù)時，防止

TSF數(shù)據(jù)有效性喪失的規(guī)則。例如，這些TSF數(shù)據(jù)可能是密碼，審計數(shù)據(jù)，TSF

執(zhí)行碼。

FPTJTA.1在指定有效性尺度下的TSF之間的有效性，要求TSF確保，在

一定的可能性下，提供給遠程可信IT產品的TSF數(shù)據(jù)的有效性。

關聯(lián)性：無

9.4輸出TSF數(shù)據(jù)的機密性（FPTJTC）

FPT」TC定義了，當在TSF與遠程可信IT產品之間移動TSF數(shù)據(jù)時，防止

TSF數(shù)據(jù)被非授權方獲取的規(guī)則。這些TSF數(shù)據(jù)可能是TSF的關鍵數(shù)據(jù)，例如

密碼，審計數(shù)據(jù)，TSF執(zhí)行碼。

FPTJTC.l傳遞過程中TSF之間的機密性，要求TSF確保數(shù)據(jù)在TSF與遠

程可信IT產品之間傳遞時能防止被暴露。

關聯(lián)性：無

9.5輸出TSF數(shù)據(jù)的完整性（FPTJTI）

FPT」TI定義了，當在TSF與遠程可信IT產品之間移動TSF數(shù)據(jù)時，防止

TSF數(shù)據(jù)被非授權修改的規(guī)則，這些TSF數(shù)據(jù)可能是TSF的關鍵數(shù)據(jù)，例如密

碼，審計數(shù)據(jù)，TSF執(zhí)行碼。

FPTJTI.lTSF之間修改檢測，當在TSF與遠程可信IT產品之間移動TSF

數(shù)據(jù)時，提供了檢測TSF數(shù)據(jù)是否被修改的能力，檢測必須假定遠程可信IT產

品被使用的機制認知。

關聯(lián)性：無

FPTJTI.2TSF之間檢測并訂正修改，提供給遠程可信IT產品不僅僅檢測

修改的能力，并能夠訂正修改的TSF數(shù)據(jù)，它同樣必須假定遠程可信IT產品被

使用的機制認知。

關聯(lián)性：無

9.6TOE內部TSF數(shù)據(jù)傳遞（FPTJTT）

當TSF數(shù)據(jù)通過內部通道在TOE的各獨立部件之間傳遞時，F(xiàn)PT_ITT提供

了對TSF數(shù)據(jù)的保護。

FPTJTT.1基本的內部TSF數(shù)據(jù)傳遞保護，要求在TOE的各獨立部件之間

傳遞TSF數(shù)據(jù)時，保護TSF數(shù)據(jù)。

關聯(lián)性.無

FPT_ITT.2TSF數(shù)據(jù)傳遞分離，要求在傳遞過程中，從TSF數(shù)據(jù)中分離出

用戶數(shù)據(jù)。

關聯(lián)性：無

FPT.ITT.3TSF數(shù)據(jù)完整性監(jiān)測，要求在TOE的各獨立部件之間傳遞TSF

數(shù)據(jù)時，能監(jiān)測已知的完整性錯誤。

關聯(lián)性：FPT_ITT.1

9.7TSF物理保護（FPT_PHP）

FPT_PHP包括對TSF的非授權物理訪問，非授權的物理修改的限制等等。

確保TSF不被物理篡改和沖突。

FPT_PHP.l物理攻擊的被動檢測，當TSF元件及設備受到篡改時，提供表

征的特征。然而，篡改的告示不是自動的，授權用戶必須調用安全管理功能，或

手工操作某種檢查去獲知篡改是否發(fā)生。

關聯(lián)性：FMTM0F.1

FPT.PHP.2物理攻擊的告知，對于已知的物理攻擊，提供對篡改的冉幼通

告。

關聯(lián)性：FMT_MOF.l

FPT_PHP.3對物理攻擊的抵抗，用TSF設備或元件，提供防止或抵抗物理

篡改的特征。

關聯(lián)性：無

9.8可信的恢復（FPT_RCV）

FPT_RCV確保TSF能確定TOE在無保護失效狀況下啟動，在不連續(xù)操作

下，能在無保護失效狀況下恢復。這種功能很重要，因為TSF的啟動狀態(tài)決定

了隨后的保護狀態(tài)。

FPT_RCV.l手工恢復，允許TOE僅僅提供通過人為干涉回復安全狀態(tài)的機

理。

關聯(lián)性：FPT_TST.1,AGD_ADM.1,ADV_SPM.l

FPTRCV.2后動恢復，好于至少一種形式的服務不連續(xù)，在沒有人為干涉

的情況下恢復安全狀態(tài)。從其它不連續(xù)狀態(tài)恢復需要人為干涉。

關聯(lián)性：FPT-TST.l,AGD_ADM.1,ADV_SPM.l

FPT_RCV.3無丟失的自留恢復，在要紙自動恢復的同時，不允許被保護客

體的丟失。

關聯(lián)性：FPTTST.I,AGD_ADM.1,ADV.SPM.l

FPT_RCV.4功能恢復，捻供在特定SFs等級上的恢復，確保要么成功地完

成，要么恢復TSF數(shù)據(jù)到一個安全的狀態(tài)。

關聯(lián)性：ADV_SPM.l

9.9重放檢測（FPT_RPL）

FPT_RPL敘述了對不同類型實體（信息，服務請求，服務響應）的重放檢

測及采取的相應措施。

FPT_RPL.1重放檢測，要求TSF能檢測已辯明實體的重放。

關聯(lián)性：無

9.10參考調解（FPT_RVM）

FPT_RVM要求對傳統(tǒng)參考監(jiān)視器的始終調用方面，它確保，關于給定的

SFP,策略實施所需的所有行動都由TSF對照SFP確認了。

FPT_RVM.lTSP的不可忽視，要求對TSP的所有SFPs都不能忽視。

關聯(lián)性：無

9.11區(qū)域隔離(FPT_SEP)

FPT_SEP確保對于TSF的自我實施，至少一個安全區(qū)域是有效的，并TSF

能預防外部入侵和被不受信任的用戶篡改。滿足這些功能使TSF自我保護。

FPT_SEP.lTSF區(qū)域隔離，為TSF提供明確的保護區(qū)域，并隔離TSC內

的主體。

關聯(lián)性.無

F；T_SEP.2SFP區(qū)域隔離，要求對TSF進一步分解，劃分明確的區(qū)域給己

知系列的SFPs,用作策略的參考監(jiān)測器，并分配一個區(qū)域給剩余的TSF。

關聯(lián)性：無

FPT.SEP.3完整的參考監(jiān)測器，要求對TSP的實施有明確的區(qū)域，一個區(qū)

域給TSF剩余部分，同樣一些區(qū)域給TOE的非TSF部分。

關聯(lián)性：無

9.12狀態(tài)同步協(xié)議(FPT_SSP)

由于系統(tǒng)不同部分差異很大以及通訊的延遲，分布式系統(tǒng)比單片集成系統(tǒng)

要復雜得多。在多數(shù)情況下，分布的功能之間的狀態(tài)同步需要一個交換協(xié)議。當

惡意陰謀存在于這些協(xié)議的分布環(huán)境中，就需要更復雜的抵抗協(xié)議。

FPT_SSP.l簡單的可信任識別，要求對接收數(shù)據(jù)的簡單識別。

關聯(lián)性：FPT_ITT.l

FPT_SSP.2交互的可信任識別，要求對交換數(shù)據(jù)的交互識別。

關聯(lián)性：FPT_ITT.l

9.13時間郵票(FPT_STM)

FPT.STM敘述了對TOE內部可依賴時間郵票功能的需求。

FPT_STM.l可依賴的時間郵票，要求TSF為TSF功能提供可依賴的時間

郵票。

關聯(lián)性：無

9.14TSF之間TSF數(shù)據(jù)的連貫性(FPT_TDC)

在分布式或組合的系統(tǒng)環(huán)境中，TOE也許需要通過其它可信任的IT產品交

換TSF數(shù)據(jù)，F(xiàn)PT_TDC定義了，TOE的TSF和可信任的IT產品之間屬性的共

享和連貫解釋需求。

FPT_TDC.lTSF之間基本的TSF數(shù)據(jù)的連貫性，要求TSF提供確保TSFs

之間湖性連貫性的能力。

關聯(lián)性：無

9.15TOE內部TSF數(shù)據(jù)復制連貫性（FPT_TRC）

當TSF數(shù)據(jù)在TOE內部復制時，F(xiàn)PT_TRC確保其連貫性。如果TOE個部

分之間的內部通道中斷,TSF數(shù)據(jù)會變得不連續(xù)。當TOE以內部網(wǎng)絡方式構造，

TOE部件之間的網(wǎng)絡連接破壞或部件失效，也會發(fā)生數(shù)據(jù)不連貫。

FPT_TRC.l內部TSF連貫性，要求TSF數(shù)據(jù)在多個地點復制時，確保其

連貫性。

關聯(lián)性：FPTJTT.1

9.16TSF自我測試（FPT_TST）

FPT_TST定義了對一些期望的正確操作進行TSF自我測試的功能。

FPT-TST.1測試，提供了測試TSF的正確操作的能力，這些測試在授權用

戶要求或遇到其它特殊條件時在啟動階段并定期地執(zhí)行。

關聯(lián)性：FPT_AMT.l

10類FRU：資源使用

類FRU支持所需求資源的有效性，如處理能力和存貯能力。

10.1錯誤容差（FRUFLT）

FRU_FLT確保了，當遇到錯誤時，TOE仍能保持正確的操作。

FRU_FLT.l降低的錯誤容差，要求遇到已知的錯誤時，TOE能繼續(xù)已知能

力的操作。

關聯(lián)性：FPT.FLSJ

FRV_FLT.2看限的錯誤容差，要求在遇到已知的錯誤時，TOE能繼續(xù)所有

能力的操作。

關聯(lián)性：FPTFLS.1

10.2服務優(yōu)先級(FRUPES)

FRU.PES允許TSF能控制TSC內資源的使用，TSC內的高優(yōu)先級行為能不

受干擾或延遲的完成。

FRU_PES.l服務的有限優(yōu)先級。對TSC內一部分資源的使用給主體提供優(yōu)

先權。

關聯(lián)性：無

FRU_PES.2眼務的完全優(yōu)先權，對TSC內所有資源的使用給主體提供優(yōu)先

權。

關聯(lián)性：無

10.3資源分配(FRU_RSA)

FRU_RSA要求TSF控制用戶和主體對資源的使用，由于非法的資源獨占不

會造成拒絕服務。

FRU_RSA.l最大配額，為配額機理提供需求，確保用戶或主體不會獨占一

個受控的資源。

關聯(lián)性.無

FRU_RSA.2最小和最大配額，為配額機理提供需求，確保用戶或主體始終

擁有至少一個特定資源，他們不能獨占一個受控的資源。

關聯(lián)性：無

11類FTA：TOE訪問

類FTA對控制用戶使命的建立規(guī)定了功能需求。

11.1可選擇屬性的范圍限制（FTA_LSA）

FTA_LSA限制了用戶執(zhí)行某個使命可選擇的使命安全屬性范圍。

FTA_LSA.1可選擇屬性范圍限制，在使命建立過程中，要求TOE對使命安

全屬性的范圍進行限制。

關聯(lián)性：無

11.2對多個同時發(fā)生使命的限制（FTA_MCS）

FTA_MCS要求對同一用戶同時執(zhí)行使命的數(shù)目進行限制。

FTA_MCSJ對多個同時發(fā)生使命的基本限制，為TSF的所有用戶提供限制。

關聯(lián)性：FIA_UID.I

FTA_MCS.2關于多個同時發(fā)生使命的每一用戶屬性限制擴展。

關聯(lián)性：FIA_UID.I

11.3使命鎖死（FTA_SSL）

FTA_SSL為由TSF發(fā)起和用戶發(fā)起的鎖定和解除鎖定交互式使命提供能力。

FTA_SSL.lTSF發(fā)起使命鎖定，包括在用戶靜止一特定時間后，一交互式

使命的系統(tǒng)發(fā)起鎖定。

關聯(lián)性：FIA_UAU.l

FTA_SSL.2用戶發(fā)起鎖定，為用戶提供鎖定和解除鎖定自己發(fā)起使命的能

力。

FIA.UAU.1

FTA_SSL.3TSF發(fā)起終止，為TSF在用戶靜止一特定時間后終止該使命提

供能力。

關聯(lián)性：無

11.4TOE訪問標語（FTAJAB）

FTA_TAB要求展示關于TOE正確使用的配置咨詢警告信息。

FTA_TAB.l缺省的TOE訪問標語，為TOE的訪問標語提供需求，標語是

先于使命建立會話展示的。

關聯(lián)性：無

11.5T0E訪問歷史（FTA_TAH）

FTA_TAH要求可根據(jù)成功地使命建立及訪問用戶帳號的成功或不成功嘗試

歷史，TSF展示給用戶的內容。

FTA_TAH.1TOE訪問歷史，根據(jù)以前建立使命的嘗試，要求TOE展示給用

戶的信息。

關聯(lián)性：無

11.6TOE使命建立(FTA_TSE)

FTA_TSE定義了對TOE拒絕用戶建立使命的請求。

FTA_TSEJTOE使命建立，根據(jù)屬性，為拒絕用戶訪問TOE提供需求。

關聯(lián)性：無

12類FTP：信任通道

類FTP為用戶和TSF之間的可靠通訊通道提出了需求，同時對TSF和可靠

的IT產品之間的可靠通信信道提出了需求?？煽康耐ǖ篮托诺谰哂邢铝械囊话?/p>

特征：

?由內部和外部通信信道構造的通信通道能將一部分指定的TSF數(shù)據(jù)和

命令從剩余的TSF和用戶數(shù)據(jù)中分離出來。

?通信通道的使用必須由用戶或TSF發(fā)起。

?通信通道能夠提供可靠的服務，使用戶與正確的TSF交流，同時，TSF

也在與正確的用戶連接。

12.1TSF之間的可靠信道（FTPJTC）

FTP_ITC定義了對在TSF與可靠IT產品之間創(chuàng)建信任信道的需求，他包括

這些要求:任何時候都應該在用戶與TSF數(shù)據(jù)或可靠IT產品之間在TOE內的通

訊提供安全通道。

FTPJTC.lTSF之間的可靠信道，要求TSF在它自己與其他可靠IT產品之

間體統(tǒng)可靠的通信信道。

關聯(lián)性：無

12.2可靠通道（FTP_TRP）

FTP_TRP對建立和維持用戶和TSF之間的可靠通信定義了要求。可靠通道

在任何涉及安全的相互作用中都是必須的?？煽客ǖ澜涣骺捎捎脩艋騎SF發(fā)起。

FTP_TRP.l可靠信道，要求對于由PP/ST作者所定義的一系列事件提供

TSF和用戶之間的可信信道。用戶和TSF均能啟動可靠通道。

關聯(lián)性：無

附錄二

信息技術安全評估I

安全保證需求

(Securityassurancerequirements)

1.CC保證范例

1.1CC體系

?安全策略所面臨的威脅

?被證明滿足要求的安全方法

1.2保證方法

?以對產晶或系統(tǒng)的評價(Evaluation)作為保證(Assurance)的基礎

?脆弱性(Vulnerabilities)

一一有意或無意的攻擊可以導致系統(tǒng)的安全性被破壞。系統(tǒng)的脆

弱性需要被消除、最小化或實施監(jiān)控。

?導致脆弱性的因素

——需求、構造、操作

?CC保證

------CC通過主動調查(acliveinvesligation)來提供保證。主動調查

是對IT產品或系統(tǒng)的一種評估，以決定其安全特性。

?評估保證

——評估已成為獲得保證的傳統(tǒng)方法，而且是CC的基礎。

1.3CC評估保證規(guī)模

2.安全保證需求

2.1結構

2.1.1類的結構(圖2.1)

?類名

?類的簡介

?屬(family)

2.1.2屬的結構

?屬名

?目標

,組件級別(componentlevelling)

?應用注釋

?保證組件

2.1.3保證組件結構(圖2.2)

?組件確認

?目標

?應用注釋

?依賴性

?保證元素(assuranceelement)

----保證元素是CC中最小的安全需求

2.1