审计ssl原理

目次前言V1范围12规范性引用文件13术语和定义14本标准的结构25信息安全技术保障35.
1安全技术保障概述36信息安全技术保障控制结构76.
1综述76.
2组件分类107FAU类:安全审计127.
1安全审计自动应答(FAU_ARP)137.
2安全审计数据产生(FAU_GEN)147.
3安全审计分析(FAU_SAA)157.
4安全审计查阅(FAU_SAR)177.
5安全审计事件选择(FAU_SEL)197.
6安全审计事件存储(FAU_STG)208FCO类:通信228.
1原发抗抵赖(FCO_NRO)238.
2接收抗抵赖(FCO_NRR)259FCS类:密码支持279.
1密钥管理(FCS_CKM)289.
2密码运算(FCS_COP)3010FDP类:用户数据保护3110.
1访问控制策略(FDP_ACC)3410.
2访问控制功能(FDP_ACF)3510.
3数据鉴别(FDP_DAU)3610.
4输出到TSF控制之外(FDP_ETC)3710.
5信息流控制策略(FDP_IFC)3810.
6信息流控制功能(FDP_IFF)3910.
7从TSF控制之外输入(FDP_ITC)4210.
8TOE内部传输(FDP_ITT)4410.
9残余信息保护(FDP_RIP)4610.
10反转(FDP_ROL)4710.
11存储数据的完整性(FDP_SDI)4810.
12TSF间用户数据传输的保密性保护(FDP_UCT)5010.
13TSF间用户数据传输的完整性保护(FDP_UIT)5111FIA类:标识和鉴别5311.
1鉴别失败(FIA_AFL)5311.
2用户属性定义(FIA_ATD)5511.
3秘密的规范(FIA_SOS)5611.
4用户鉴别(FIA_UAU)5711.
5用户标识(FIA_UID)6011.
6用户_主体绑定(FIA_USB)6112FMT类:安全管理6212.
1TSF中功能的管理(FMT_MOF)6312.
2安全属性的管理(FMT_MSA)6412.
3TSF数据的管理(FMT_MTD)6612.
4撤消(FMT_REV)6812.
5安全属性到期(FMT_SAE)6912.
6安全管理角色(FMT_SMR)7013FPR类:隐秘7213.
1匿名(FPR_ANO)7313.
2假名(FPR_PSE)7313.
3不可关联性(FPR_UNL)7513.
4不可观察性(FPR_UNO)7614FPT类:TSF保护7814.
1根本抽象机测试(FPT_AMT)8014.
2失败保护(FPT_FLS)8114.
3输出TSF数据的可用性(FPT_ITA)8214.
4输出TSF数据的保密性(FPT_ITC)8314.
5输出TSF数据的完整性(FPT_ITI)8414.
6TOE内TSF数据的传输(FPT_ITT)8614.
7TSF物理保护(FPT_PHP)8814.
8可信恢复(FPT_RCV)9014.
9重放检测(FPT_RPL)9214.
10参照仲裁(FPT_RVM)9314.
11域分离(FPT_SEP)9414.
12状态同步协议(FPT_SSP)9614.
13时间戳(FPT_STM)9714.
14TSF间TSF数据的一致性(FPT_TDC)9814.
15TOE内TSF数据复制的一致性(FPT_TRC)9914.
16TSF自检(FPT_TST)10015FRU类:资源利用10115.
1容错(FRU_FLT)10115.
2服务优先级(FRU_PRS)10315.
3资源分配(FRU_RSA)10416FTA类:TOE访问10516.
1可选属性范围限定(FTA_LSA)10616.
2多重并发会话限定(FTA_MCS)10716.
3会话锁定(FTA_SSL)10816.
4TOE访问旗标11016.
5TOE访问历史(FTA_TAH)11116.
6TOE会话建立(FTA_TSE)11217FTP类:可信路径/信道11317.
1TSF间可信信道(FTP_ITC)11417.
2可信路径(FTP_TRP)11518安全技术架构能力成熟度级说明11618.
1概述11618.
2安全技术架构能力成熟度级说明116附录A(资料性附录)安全技术要求应用注释118A.
1注释的结构118A.
1.
1类结构118A.
1.
2A.
1.
2子类结构118A.
1.
3组件结构119A.
2依赖关系表120附录B(资料性附录)分层多点信息系统安全体系结构125B.
1概述125B.
2信息技术系统TOE的分析模型125B.
3分层多点安全技术体系结构介绍126参考文献128图1安全技术保障控制要求范例(单个TOE)3图2分布式TOE内的安全功能图4图3用户数据和TSF数据的关系6图4"鉴别数据"和"秘密"的关系6图5安全技术保障控制类结构7图6安全技术保障控制子类结构8图7安全技术保障控制组件结构9图8示范类分解图11图9安全审计类分解12图10通信类分解22图11密码支持类分解27图12用户数据保护类分解32图13用户数据保护类分解33图14标识和鉴别类分解53图15安全管理类分解62图16隐秘类分解72图17TSF保护类分解78图18TSF保护类分解79图19资源利用类分解101图20TOE访问类分解105图21可信路径/信道类分解图113图A.
1安全技术保障控制类结构118图A.
2安全技术保障控制子类结构119图A.
3安全技术保障控制组类结构119图B.
1信息技术系统分析模型126图B.
2分层多点安全技术体系结构127表A.
1安全技术保障控制组类依赖关系表120前言本部分是GB/TXXXX《信息系统安全保障评估框架》的第2部分,本标准分为四个部分:第1部分:简介和一般模型第2部分:安全技术保障第3部分:管理保障第4部分:工程保障本部分对应于GB/T18336.
2-2001《信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求》,与GB/T18336.
2-2001的一致性程度为非等效.
本部分的附录A和B为资料性附录.
本标准由全国信息安全标准化技术委员会提出并归口.
本标准起草单位:中国信息安全产品测评认证中心.
本标准主要起草人:吴世忠、王海生、陈晓桦、王贵驷、李守鹏、江常青、彭勇、张利、班晓芳、李静、王庆、邹琪、钱伟明、江典盛、陆丽、孙成昊、门雪松、杜宇鸽、杨再山.
我们特别感谢在本标准过程中参与评审和修订工作的专家,他们是何德全、崔书昆、曲成义、龚奇敏、宁家骏、肖京华、赵战生、卿斯汉、朱建平、景乾元、马朝斌、方关宝、贾颖禾、翁正军、罗锋盈、冯惠、吉增瑞、王力福等.

信息技术安全技术信息系统安全保障评估框架第二部分:安全技术保障范围GB/TXXXX的本部分建立了信息系统安全技术保障的框架,确立了组织机构内启动、实施、维护、评估和改进信息安全技术体系结构的指南和通用原则.
GB/TXXXX的本部分定义和说明了信息系统安全技术体系结构建设和评估中反映组织机构信息安全技术架构能力的安全体系架构能力级,以及提供组织机构信息安全管理技术内容的技术要求.
GB/TXXXX的本部分适用于启动、实施、维护、评估和改进信息安全技术体系结构的组织机构和涉及信息系统安全技术工作的所有用户、开发人员和评估人员.
规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款.
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本.
凡是不注日期的引用文件,其最新版本适用于本标准.

GB/TXXXX.
1信息技术安全技术信息系统安全保障评估框架第一部分:简介和一般模型术语和定义GB/TXXXX.
1确定的术语和定义适用于GB/TXXXX的本部分.
本标准的结构GB/TXXXX的本部分的组织结构如下:a)第1章介绍了GB/TXXXX的本部分的范围;b)第2章介绍了GB/TXXXX的本部分所规范引用的标准;c)第3章描述了适用于GB/TXXXX的本部分的术语和定义;d)第4章描述了GB/TXXXX的本部分的组织结构;e)第5章描述了信息系统安全技术保障框架,并进一步概述了安全技术保障控制类域和安全技术架构能力级;f)第6章描述了信息安全技术保障控制类的规范描述结构和要求;g)第7章到第17章详述了提供信息安全技术保障控制类的11个信息安全技术保障控制类的详细要求;h)第18章描述了安全技术架构能力成熟度模型;i)附录A是资料性附录,进一步解释了安全技术要求;j)附录B是资料性附录,描述了分层多点的信息系统安全技术体系结构;k)参考文献给出了GB/TXXXX的本部分的参考文献.
信息安全技术保障安全技术保障概述信息系统安全保障评估框架-安全技术保障主要用于评估信息系统中系统级的技术框架和技术解决方案,即对信息技术系统(信息技术系统:作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合)进行评估.
在信息系统安全保障评估框架的技术、管理和工程保障中,安全技术保障同GB/T18336信息技术安全性评估准则间有着最直接和紧密的关系;信息系统安全保障评估准的技术框架和技术解决方案直接建立在经过GB/T18336准则评估认可的产品和产品系统之上.
在信息系统安全保障评估框架安全技术保障中,它的评估对象TOE是构成信息系统的所有计算机硬件、软件和/或固件的任何组合.
信息系统安全保障评估框架安全技术保障,首先要求信息系统的用户为其评估对象TOE(即信息技术系统)完善其技术体系结构建设过程,建立其信息技术系统的技术体系结构;在完成其信息技术系统技术体系结构后,然后基于此技术体系结构,对信息技术系统进行高层分析和确定相关安全目的;最后用桂范化的安全技术保障控制组类进行描述.

安全技术体系架构能力级技术体系结构建设过程,是组织机构根据其策略的要求和风险评估的结果,参考相关技术体系结构的标准和最佳实践,结合组织机构信息技术系统的具体现状和需求,建立的符合组织机构信息技术系统战略发展规划的信息技术系统整体体系框架;它是组织机构信息技术系统战略管理的具体体现.
技术体系架构能力是组织机构执行安全技术整体能力的放映,它反映了组织机构在执行信息安全技术体系框架管理达到预定的成本、功能和质量目标上的度量.

安全技术保障控制要求范例本条描述本标准中安全技术保障控制要求所使用的范例.
图1和图2描述了范例的一些关键概念.
本条为这些图和图中没有的其它关键概念提供文字描述.
所讨论的关键概念以粗斜体突出表示.
安全技术保障控制要求范例(单个TOE)本标准是一个可为评估对象(TOE)规定安全功能要求的目录.
TOE是包含电子存储媒体(如磁盘)、外设(如打印机)和计算能力(如CPU时间)等资源的IT产品或系统(同时带有用户和管理员指南文档),可用于处理和存储信息,是评估的对象.

TOE评估主要关系到:确保对TOE资源执行了规定的TOE安全策略(TSP).
TSP定义了一些规则,通过这些规则TOE支配对其资源的访问,这样TOE就控制了所有信息和服务.
而TSP又由多个安全功能策略(SFP)所构成.
每一SFP有其控制范围,定义该SFP控制下的主体、客体和操作.
SFP由安全功能(SF)实现,SF的机制执行该策略并提供必要的能力.
分布式TOE内的安全功能图为正确执行TSP而必须依赖的TOE中的那些部分,统称为TOE安全功能(TSF).
TSF包括实施安全所直接或间接依赖的TOE中的所有软件、硬件和固件.
参照监视器是实施TOE的访问控制策略的抽象机.
参照确认机制是参照监视器概念的实现,它具有以下特性:防篡改、一直运行、简单到能对其进行彻底的分析和测试.
TSF可能包括一个参照确认机制或TOE运行所需要的其它安全功能.
TOE可能是一个包含硬件、固件和软件的单个产品,也可能是一个分布式产品,内部包括多个单独的部分,每一部分都为TOE提供一个特别的服务,并且通过一个内部通信信道与TOE其它部分相连接.
该信道可以与处理器总线一样小,也可能包含TOE的一个内部网络.

当TOE由多个部分组成时,TOE的每一部分可拥有自己的TSF部分,此部分通过内部通信信道与TSF的其它部分交换用户数据和TSF数据.
这种交互称为TOE内部传输.
在这种情况下,这些TSF的分离部分抽象地形成一个复合的TSF来实施TSP.

TOE接口可能限于特定的TOE使用,也可能允许通过外部通信信道与其它IT产品交互.
这些与其它IT产品的外部交互可以采取两种形式:a)"远程可信IT产品"的安全策略和本地TOE的TSP已在管理上进行了协调和评估.
这种情况下的信息交换称为TSF间传输,如同它们是在不同可信产品的TSF之间.
b)远程IT产品可能没有被评估,因此它的安全策略是未知的,如图1.
2中所示的"不可信IT产品".
这种情况下的信息交换称为TSF控制外传输,如同在远程IT产品中没有TSF(或它的策略特性未知).

可与TOE或在TOE中发生的并服从TSP规则的交互集合称为TSF控制范围(TSC).
TSC包括一组根据主体、客体和TOE内的操作定义的交互集,但不必包括TOE的所有资源.
一组交互式(人机接口)或编程(应用编程接口)接口,通过它,TSF访问、调配TOE资源,或者从TSF中获取信息,称为TSF接口(TSFI).
TSFI定义了为执行TSP而提供的TOE功能的边界.
用户在TOE的外部,因此也在TSC的外部.
但为请求TOE执行服务,用户要通过TSFI和TOE交互.
本标准安全功能要求关心两种用户:人类用户和外部IT实体.
人类用户进一步分为本地人类用户,他们通过TOE设备(如工作站)直接与TOE交互,或远程人类用户,他们通过其它IT产品间接与TOE交互.

用户和TSF间的一段交互期称为用户会话.
可以根据各种考虑来控制用户会话的建立,如:用户鉴别、时段、访问TOE的方法和每个用户允许的并发会话数.
本标准使用术语"已授权"来表示用户具有执行某种操作所必需的权力或特权.
因此术语"授权用户"表示允许用户执行TSP定义的操作.
为表达需要管理员责任分离的要求,本标准相关的安全功能组件(来自子类FMT_SMR)明确说明要求管理性角色.
角色是预先定义的一组规则,这些规则建立起用户和TOE间所允许的交互.
TOE可以支持定义任意数目的角色.
例如,与TOE安全运行相关的角色可能包括"审计管理员"和"用户帐号管理员".

TOE包括可用于处理和存储信息的资源.
TSF的主要目标是完全并正确地对TOE所控制的资源和信息执行TSP.
TOE资源能以多种方式结构化和利用.
但是,本标准作出了特殊区分,以允许规定所期望的安全特性.
所有由资源产生的实体能以两种方式中的一种来表征:实体可能是主动的,意指他们是TOE内部行为发生的原因,并导致对信息执行操作;实体也可能是被动的,意指他们是发出信息或存入信息的容器.

主动的实体称为主体.
TOE内可能存在以下几种类型的主体:a)代表授权用户,遵从TSP所有规则的那些实体(例如:UNIX进程);b)作为特定功能进程,可以轮流代表多个用户的那些实体(例如:在客户/服务器结构中可能找到的功能);c)作为TOE自身一部分的那些实体(例如:可信进程).
本标准所述的安全功能针对上述列出的各种主体执行TSP.
被动实体(即信息存储器)在本标准中被称作"客体".
客体是可以由主体执行操作的对象.
在一个主体(主动实体)是某个操作的对象(例如进程间通信)的情况下,该主体也可以作为客体.
客体可以包含信息.
在FDP类中说明信息流控制策略时,需要这个概念.
用户、主体、信息和客体具有确定的属性,这些属性包括使TOE正确运转的信息.
有些属性,可能只是提示性信息(即,增加TOE的用户友好性),如文件名,而另一些属性,可能专为执行TSP而存在,如访问控制信息,后面这些属性通常称为"安全属性".
在本标准中,属性一词将用作"安全属性"的简称,除非另有说明.
但正如TSP规定的那样,无论属性信息的预期目的如何,对属性加以控制还是必要的.

TOE中的数据分为用户数据和TSF数据,图3表明了这种关系.
用户数据是存储在TOE资源中的信息,用户可以根据TSP对其进行操作,而TSF对它们并不附加任何特殊的意义.
例如,电子邮件消息的内容是用户数据.
TSF数据是在进行TSP决策时TSF使用的信息.
如果TSP允许的话,TSF数据可以受用户的影响.
安全属性、鉴别数据以及访问控制表都是TSF数据的例子.

有几个用于数据保护的SFP,诸如访问控制SFP和信息流控制SFP.
实现访问控制SFP的机制,是基于控制范围内的主体属性、客体属性和操作来决定建立他们的策略,这些属性用于控制主体可以对客体执行操作的规则集中.

实现信息流控制SFP的机制,是基于控制范围内的主体和信息的属性以及制约主体对信息操作的一组规则来决定他们的策略.
信息的属性,可能与容器属性相关联(也可能没有关联,如多级数据库),在信息移动时与其相随.

用户数据和TSF数据的关系本标准涉及的两种特殊TSF数据,鉴别数据和秘密,可以是但不必一定是相同的.
鉴别数据用于验证向TOE请求服务的用户声明的身份.
最通用的鉴别数据形式是口令.
口令要成为有效的安全机制,依赖于对其进行保密.
但是,不是所有形式的鉴别数据都需要保密,生物测定学鉴别设备(例如,指纹阅读器、视网膜扫描仪)就不依赖于数据保密,因为这些数据只有一个用户拥有,其他人不能伪造.

本标准功能要求中用到的术语"秘密",对鉴别数据适用,对其它为执行一特定SFP而必须保密的数据也同样适用.
例如,依靠密码功能保护在信道中传输信息的保密性的可信信道机制,其强度应与用来保持密钥的秘密以防止未授权泄露的方法的强度相当.

因此,不是所有的鉴别数据都需要保密;也不是所有的秘密都被用作鉴别数据.
图4说明了秘密和鉴别数据间的关系.
图中指出了常见的鉴别数据和秘密的数据类型.
"鉴别数据"和"秘密"的关系信息安全技术保障控制结构综述本章定义本标准的技术要求的内容和形式,并为需要向ISST中添加新组件的组织提供指南.
技术要求以类、子类和组件来表达.
信息安全技术保障控制类结构图5以图表的形式阐明了安全技术保障控制类的结构.
每个安全技术保障控制类包括一个类名、类介绍及一个或多个安全技术保障控制子类.
安全技术保障控制类结构类名类名提供标识和化分安全技术保障控制类所必需的信息.
每个安全技术保障控制类都有一个唯一的名称,类的分类信息由三个字符的简名组成.
类的简名用于该类中的子类的简名规范中.
类介绍类介绍描述这些子类满足安全目标的通用意图或方法.
安全技术保障控制类的定义不反映要求规范中的任何正式分类法.
类介绍用图来描述类中的子类和每个子类中组件的层次结构,见3.
2条的解释.
信息安全技术保障控制子类结构图6以框图形式说明安全技术保障控制子类的结构.
安全技术保障控制子类结构子类名子类名部分提供标识和化分安全技术保障控制子类所必需的分类和描述信息.
每个安全技术保障控制子类有一个唯一的名称.
子类的分类信息由七个字符的简名组成,开头三个字符与类名相同,后跟一个下划线和子类名,例如XXX_YYY.
唯一的简短子类名为组件提供主要的引用名.

子类行为子类行为是对安全技术保障控制子类的叙述性描述,陈述其安全目的,以及对技术要求的一般描述.
以下是更详细的描述:a)子类的安全目的阐述在包含该子类的一个组件的TOE的帮助下,可以解决的安全问题;b)技术要求的描述总结组件中包含的所有要求.
该描述针对PP、ST和技术包的作者,他们希望评价该子类是否与他们的特定需求相关.
组件层次安全技术保障控制子类包含一个或多个组件,任何一个组件都可被选择包括在PP、ST和技术包中.
本条的目的是,一旦子类被认为是用户安全要求的一个必要或有用的部分时,向用户提供选择恰当的安全技术保障控制组类的信息.

安全技术保障控制子类描述部分描述所用组件和它们的基本原理.
组件的更多细节包含在每个组件中.
安全技术保障控制子类内组件间的关系可能是也可能不是层次化的.
如果一个组件相对另一个组件提供更多的安全,那么该组件对另一个组件来说是有层次的.
如4.
2条所述,子类的描述中提供了关于子类内组件层次结构的图示.
管理管理要求包含PP/ST作者应考虑的作为给定组件的管理活动的信息.
管理要求在管理类(FMT)的组件里详述.
PP/ST作者可以选择已指出的管理要求或者可以包括其它没有列出的管理要求.
因而这些信息应认为是提示性的.
审计如果PP/ST中包含来自类FAU(安全审计)中的要求,则审计要求包含供PP/ST作者选择的可审计的事件.
这些要求包括按FAU_GEN(安全审计数据产生)子类的组件所支持的以各种不同详细级别表示的安全相关事件.
例如,一个审计记录可能包括下述行动:最小级——安全机制的成功使用;基本级——安全机制的成功使用以及所涉及到的安全属性的相关信息;详细级——所有对机制配置的改变,包括改变前后的实际配置值.

显然可审计事件的分类是层次化的.
例如,当期望"基本级审计产生"时,所有标识为最小级和基本级的可审计事件都应通过适当的赋值操作包括在PP/ST内,只是高级事件仅仅比低级事件提供更多的细节.
当期望"详细级审计产生"时,所有标识为最小级、基本级和详细级的可审计事件都应包括在PP/ST内.

FAU类更详尽地解释了管理审计的规则.
信息安全技术保障控制组件结构图7描绘安全技术保障控制组类的结构.
安全技术保障控制组件结构组件标识组件标识提供标识、分类、注册和交叉引用组件时所必需的描述性信息.
下列各项作为每个安全技术保障控制组类的部分:a)一个唯一的名字,该名字反映了组件的目的.
b)一个简名,即安全技术保障控制组类名的唯一简写形式.
简名作为分类、注册和交叉引用组件的主要引用名.
简名反映出组件所属的类和子类以及在子类中组件的编号.
c)一个从属于表.
这个组件所从属于的其它组件列表,以及该组件可用来满足与所列组件间的依赖关系.
技术元素为每一组件提供了一组元素.
每个元素都分别定义并且是相互独立的.
技术元素是一个安全技术要求,如果进一步划分将不会产生有意义的评估结果.
它是GBXXXX中标识和认同的最小安全技术要求.
当建立包、PP或ST时,不允许从一个组件中只选择一个或几个元素,必须选择组件的全部元素.
每个技术元素名都有一个唯一的简化形式.
例如,要求名FDP_IFF.
4.
2意义如下:F——技术要求,DP——"用户数据保护"类,_IFF——"信息流控制技术"子类,.
4——第四个组件,名为"部分消除非法信息流",.
2-该组件的第2个元素.
依赖关系当一个组件本身不充分而要依赖于其它组件的技术,或依赖于与其它组件的交互才能正确发挥其技术时,就产生了安全技术保障控制组类间的依赖关系.
每个安全技术保障控制组类都提供一个对其它技术和保证组件的完整的依赖关系表.
有些组件可能列出"无依赖关系".
所依赖的组件又可能依赖其它组件,组件中提供的列表是直接的依赖关系.
这只是为该技术要求能正确完成其技术提供参考.
间接依赖关系,也就是由所依赖组件产生的依赖关系,见本标准附录A.
值得注意的是,在某些情况下依赖关系可在提供的多个技术要求中选择,这些技术要求中的每一个都足以满足依赖关系(例如FDP_UIT.
1).

依赖关系列表标识出,为满足与已标识组件相关的安全要求所必需的最少技术或保证组件.
从属于已标识组件的那些组件也可用来满足依赖关系.
本标准指明的依赖关系是规范的,在PP/ST中它们必须得到满足.
在特定的情况下这种依赖关系可能不适用,只要PP/ST作者在基本原理中说清不适用的理由,就可以在包、PP和ST中不考虑依赖的组件.

允许的安全技术保障控制组类操作用于在PP、ST或技术包内定义要求的安全技术保障控制组类可以与本标准第4到第14章中说明的完全一样,也可以经裁剪以满足特定的安全目的.
但是,选择和裁剪这些安全技术保障控制组类是复杂的,因为必须考虑所标识组件依赖关系.
因此这种裁剪只限于一组允许的操作.

每个安全技术保障控制组类都包括一个允许的操作列表.
对所有安全技术保障控制组类,并非一切操作都是允许的.
允许的操作选自:a)反复:采用不同的操作多次使用同一组件;b)赋值:对指定参数的说明;c)选择:对列表中的一个或多个元素的说明;d)细化:增加细节.
反复当需要覆盖同一要求的不同方面时(如,标识一个以上类型的用户),允许重复使用本标准的同一组件来覆盖每个方面.
赋值某些安全技术保障控制组类元素包含一些参数和变量,这些参数和变量使PP/ST作者可以指定PP或ST中包含的一个策略或一组值,以满足特定的安全目的.
这些元素清楚地标识出每个参数及其可以分配给该参数的值.

元素任一方面的可接受值如能无歧义地描述和列举,就可用一个参数来表述.
该参数可能是一个属性或规则,它把要求限定为一个确定的值或值的范围.
例如,根据指定的安全目的,安全技术保障控制组类元素可以规定一给定的操作应执行数次.
在这种情况下,赋值应提供用于该参数中的次数或次数范围.

选择这是为缩小一个组件元素的范围,从列表中选取一个或多个项目的操作.
细化对所有安全技术保障控制组类元素来说,为满足安全目的,允许PP/ST作者通过增加细节来限定可接受的实现集.
元素的细化由这些增加的技术细节来组成.
在ST中,可能需要就TOE对术语"主体"和"客体"的含义作出有意义的解释,因此需要细化.
象其它操作一样,细化不增加任何完全新的要求.
根据安全目的,它对要求、规则、常量和条件施以详细阐述、解释或特别的含义.
细化应只是进一步限定实现要求所可能接受的技术或机制集,而不是增加要求.
细化不允许建立新要求,因此不会增加与组件相关的依赖关系列表.
PP/ST作者必须注意,其他要求对该要求的依赖关系仍应得到满足.

组件分类本标准中组件的分组不代表任何正式的分类法.
本标准包括子类和组件的分类,它们是基于相关的技术和目的的粗略分组,按字母顺序给出.
每个类的开头是一个提示性框图,指出该类的分类法、类中的子类和子类中的组件.
这个图对指示可能存在于组件间的层次关系是有用的.

在安全技术保障控制组类的描述中,有一段指出该组件和任何其它组件之间的依赖关系.
在每个类中,都有一个与图3.
4类似的描述子类层次关系的图.
在图8中,第1个子类(子类1)包括了三个有从属关系的组件,其中组件2和组件3都可以用来满足对组件1的依赖关系.
组件3从属于组件2,并且可以用来满足对组件2的依赖关系.

示范类分解图在子类2中有三个组件,这三个组件不全都有从属关系.
组件1和组件2不从属于其它组件.
组件3从属于组件2,可以用来满足对组件2的依赖关系,但不能满足对组件1的依赖关系.
在子类3中,组件2、3、4从属于组件1.
组件2和3也都从属于组件1,但无可比性.
组件4从属于组件2和3.
这些图的目的是补充子类中的文字说明,使关系的识别更容易.
它们并不取代每个组件中的"从属于:"注释,这些注释是对每个组件从属关系的强制声明.
突出组件变化子类中组件的关系约定以粗体字突出表示.
粗体字约定所有新的要求用粗体表示.
对于有从属关系的组件,当要求或依赖关系被增强或修改而超出前一组件的要求时,要用粗体字表示.
另外,超出前一组件的任何新的或增强的允许操作,也使用粗体字突出表示.

FAU类:安全审计安全审计包括识别、记录、存储和分析那些与安全相关活动(即由TSP控制的活动)有关的信息.
检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责.
安全审计类分解安全审计自动应答(FAU_ARP)子类行为本子类定义在检测到的事件表明可能有安全侵害发生时作出的应答.
组件层次对于FAU_ARP.
1安全警告,当检测到可能的安全侵害时TSF应采取行动.
管理:FAU_ARP.
1应为FMT的管理功能考虑以下行动:a)对行动的管理(添加、移去、修改).
审计:FAU_ARP.
1如果在PP/ST中包括FAU_GEN安全审计数据产生,那么以下行动应可审计:a)最小级:当即将发生安全侵害时采取的行动.
FAU_ARP.
1安全警告从属于:无其他组件.
FAU_ARP.
1.
1当检测到潜在的安全侵害时,TSF应进行[赋值:最小扰乱行动表].
依赖关系:FAU_SAA.
1潜在侵害分析安全审计数据产生(FAU_GEN)子类行为对于在TSF控制下发生的安全相关事件,本子类定义了记录其出现的要求.
本子类确定审计的级别,列举TSF可审计的事件类型,以及应在各审计记录内提供的审计相关信息的最小集合.
组件层次FAU_GEN.
1审计数据产生定义可审计事件的级别,并规定在每个记录中将记录的数据表.
FAU_GEN.
2用户身份关联,TSF应把可审计事件与单个用户身份相关联.
管理:FAU_GEN.
1,FAU_GEN.
2尚无预见的管理活动.
审计:FAU_GEN.
1,FAU_GEN.
2如果在PP/ST中包含FAU_GEN安全审计数据产生,此处不存在任何明确的可审计行动.
FAU_GEN.
1审计数据产生从属于:无其他组件.
FAU_GEN.
1.
1TSF应能为下述可审计事件产生审计记录:a)审计功能的启动和关闭;b)在[选择:最小级,基本级,详细级,未规定]审计级别以内的所有可审计事件;c)[赋值:其他专门定义的可审计事件].
FAU_GEN.
1.
2TSF应在每个审计记录中至少记录如下信息:a)事件的日期和时间,事件类型,主体身份,事件的结果(成功或失败);b)对每种审计事件类型,基于PP/ST中功能组件的可审计事件定义的[赋值:其他审计相关信息].
依赖关系:FPT_STM.
1可信时间戳FAU_GEN.
2用户身份关联从属于:无其他组件.
FAU_GEN.
2.
1TSF应能将每个可审计事件与引起该事件的用户身份相关联.
依赖关系:FAU_GEN.
1审计数据产生;FIA_UID.
1标识定时.
安全审计分析(FAU_SAA)子类行为本子类定义,为寻找可能的或真正的安全侵害,用来分析系统活动和审计数据的自动化措施的要求.
这种分析可用入侵检测来支持,或对即将来临的安全侵害作出自动应答.
基于检测结果,可采取FAU_ARP子类指定的行为.
组件层次在FAU_SAA.
1潜在侵害分析中,需要一个基于固定规则集的基本门限检测.
在FAU_SAA.
2基于轮廓的异常检测中,TSF维护个人的系统使用轮廓,这里"轮廓"代表由轮廓目标组成员完成的历史使用模式.
轮廓目标组是指与TSF交互的一个或多个人(如单个用户、共享一个身份或帐号的用户、指定角色的用户、整个系统或网络节点的用户).
轮廓目标组的每个成员都被分配给一个单独的置疑等级,表明成员当前的行动与轮廓中已建立的使用模式的一致程度如何.
此分析可在运行期间完成,或在信息采集后的批量分析阶段完成.

FAU_SAA.
3简单攻击探测,TSF应能检测到那些表明对TSP实施将产生重大威胁的特征事件的发生.
对特征事件的搜索可以实时进行,也可以在信息采集后的批量分析阶段进行.
FAU_SAA.
4复杂攻击探测,TSF应能描述并检测到多步骤入侵情景.
TSF应能根据已知的事件序列把系统事件(可能是由多个用户执行的)模拟成完整的入侵情景.
TSF应能指出特征事件或事件序列发生的时间,指出对TSP的潜在侵害.

管理:FAU_SAA.
1应为FMT的管理功能考虑以下行动:a)通过(添加/修改/删除)规则集中的规则来维护规则.
管理:FAU_SAA.
2应为FMT的管理功能考虑以下行动:a)对轮廓目标组中的用户组进行维护(删除/修改/添加).
管理:FAU_SAA.
3应为FMT的管理功能考虑以下行动:a)对系统事件的子集进行维护(删除/修改/添加).
管理:FAU_SAA.
4应为FMT的管理功能考虑以下行动:a)对系统事件的子集进行维护(删除/修改/添加);b)对系统事件的序列集进行维护(删除/修改/添加).
审计:FAU_SAA.
1,FAU_SAA.
2,FAU_SAA.
3,FAU_SAA.
4如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行动应为可审计:a)最小级:开启和关闭任何分析机制;b)最小级:以工具完成自动应答.
FAU_SAA.
1潜在侵害分析从属于:无其他组件.
FAU_SAA.
1.
1TSF应能用一系列的规则去监控审计事件,并根据这些规则指示出TSP的潜在侵害.
FAU_SAA.
1.
2TSF应用下列规则来监控审计事件:a)已知的用来指示潜在安全侵害的[赋值:已定义的可审计事件的子集]的积累或组合;b)[赋值:任何其它规则].
依赖关系:FAU_GEN.
1审计数据产生FAU_SAA.
2基于轮廓的异常检测从属于:FAU_SAA.
1FAU_SAA.
2.
1TSF应能维护系统使用轮廓.
在这里个人轮廓代表[赋值:规定轮廓目标组]成员的历史使用模式.
FAU_SAA.
2.
2TSF应维护与每个用户相对应的置疑等级,这些用户的活动已记录在轮廓中.
在这里,"置疑等级"代表用户当前活动与轮廓中已建立的使用模式不一致的程度.
FAU_SAA.
2.
3当用户的置疑等级超过门限条件[赋值:TSF报告"异常"的条件]时,TSF应能指出即将发生对TSP的侵害.
依赖关系:FIA_UID.
1标识定时FAU_SAA.
3简单攻击探测从属于:FAU_SAA.
1FAU_SAA.
3.
1TSF应能维护预示对TSP侵害的以下特征事件[赋值:系统事件的一个子集]的内部表示.
FAU_SAA.
3.
2TSF应根据系统活动的记录来比较特征事件,这里系统活动可以通过对[赋值:用来决定系统活动的信息]检查而辨明.
FAU_SAA.
3.
3当一个系统事件被发现与一个预示对TSP的潜在攻击的特征事件匹配时,TSF应指出对TSP的攻击即将到来.
依赖关系:无依赖关系.
FAU_SAA.
4复杂攻击探测从属于:FAU_SAA.
3FAU_SAA.
4.
1TSF应能维护已知入侵情景的事件序列[赋值:已知攻击出现的系统事件序列表]和预示对TSP的潜在攻击的特征事件[赋值:系统事件的一个子集]的内部表示.
FAU_SAA.
4.
2TSF应比较系统活动的记录与特征事件和事件序列,这里的系统活动可以通过对[赋值:用来决定系统活动的信息]检查来辩明.
FAU_SAA.
4.
3当一个系统事件或事件序列被发现与一个预示对TSP的潜在攻击的特征事件匹配时,TSF应能指示出对TSP的攻击即将到来.
依赖关系:无依赖关系.
安全审计查阅(FAU_SAR)子类行为本子类定义了为授权用户查阅审计数据提供审计工具的要求.
组件层次FAU_SAR.
1审计查阅,提供从审计记录中读取信息的能力.
FAU_SAR.
2有限审计查阅,要求除在FAU_SAR.
1中确定的用户外,其他用户不能读取信息.
FAU_SAR.
3可选审计查阅,要求审计查阅工具根据条件来选择要查阅的审计数据.
管理:FAU_SAR.
1应为FMT的管理功能考虑以下行动:a)维护(删除/修改/添加)对审计记录有读访问权的用户组.
管理:FAU_SAR.
2,FAU_SAR.
3尚无预见的管理活动.
审计:FAU_SAR.
1如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行为应为可审计:a)基本级:从审计记录中读取信息.
审计:FAU_SAR.
2如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行为应为可审计:a)基本级:尝试从审计记录中读取信息而未成功.
审计:FAU_SAR.
3如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行为应为可审计:a)详细级:用于查阅的各种参数.
FAU_SAR.
1审计查阅本组件应为授权用户提供获得和解释信息的能力.
用户是人时必须以人类可理解的方式表示信息;用户是外部IT实体时必须以电子方式无歧义地表示信息.
从属于:无其他组件.
FAU_SAR.
1.
1TSF应为[赋值:授权用户]提供从审计记录中读取[赋值:审计信息列表]的能力.
FAU_SAR.
1.
2TSF应以便于用户理解的方式提供审计记录.
依赖关系:FAU_GEN.
1审计数据产生FAU_SAR.
2有限审计查阅从属于:无其他组件.
FAU_SAR.
2.
1除具有明确读访问权限的用户外,TSF应禁止所有用户对审计记录的读访问.
依赖关系:FAU_SAR.
1审计查阅FAU_SAR.
3可选审计查阅从属于:无其他组件.
FAU_SAR.
3.
1TSF应根据[赋值:具有逻辑关系的条件]提供对审计数据进行[选择:搜索、分类、排序]的能力.
依赖关系:FAU_SAR.
1审计查阅安全审计事件选择(FAU_SEL)子类行为本子类定义,在TOE运行期间选择事件来审计的要求.
它定义向可审计事件集中加入或从中排除事件的要求.
组件层次FAU_SEL.
1选择性审计,要求根据由PP/ST作者规定的属性包括或排除来自审计事件集中事件的可能.
管理:FAU_SEL.
1应为FMT的管理功能考虑以下行动:a)维护查阅/修改审计的权限.
审计:FAU_SEL.
1如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行为应是可审计的:a)最小级:对审计收集功能正在运行时出现的审计配置的所有修改.
FAU_SEL.
1选择性审计从属于:无其他组件.
FAU_SEL.
1.
1TSF根据以下属性包括或排除审计事件集中的可审计事件:a)[选择:客体身份,用户身份,主体身份,主机身份,事件类型]b)[赋值:作为审计选择性依据的附加属性表]依赖关系:FAU_GEN.
1审计数据产生FMT_MTD.
1TSF数据管理安全审计事件存储(FAU_STG)子类行为本子类定义TSF能够创建并维护安全审计迹的要求.
组件层次FAU_STG.
1受保护的审计迹存储,该要求保护审计迹避免未授权的删除和/或修改.
FAU_STG.
2审计数据可用性保证,规定TSF在意外情况出现时对审计数据维护的保证.
FAU_STG.
3在审计数据可能丢失的情况下的行为,规定当超出审计迹门限时所采取的行动.
FAU_STG.
4防止审计数据丢失,规定当审计迹溢满时的行为.
管理:FAU_STG.
1尚无预见的管理活动.
管理:FAU_STG.
2应为FMT的管理功能考虑以下行为:a)维护控制审计存储能力的参数管理:FAU_STG.
3应为FMT的管理功能考虑以下行为:a)维护门限值;b)即将发生审计存储失败时,维护(删除/修改/添加)相应的行为.
管理:FAU_STG.
4应为FMT的管理功能考虑以下行为:a)审计存储失败时,维护(删除/修改/添加)相应的行为.
审计:FAU_STG.
1,FAU_STG.
2如果在PP/ST中包含了FAU_GEN安全审计数据产生,此处就没有可审计的确定行为.
审计:FAU_STG.
3如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行为应是可审计的:a)基本级:因超过门限而采取的行动.
审计:FAU_STG.
4如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行为应是可审计的:a)基本级:因审计存储失败而采取的行动.
FAU_STG.
1受保护的审计迹存储从属于:无其他组件.
FAU_STG.
1.
1TSF应保护所存储的审计记录,以避免未授权的删除.
FAU_STG.
1.
2TSF应能[选择:防止,检测]对审计记录的修改.
依赖关系:FAU_GEN.
1审计数据产生FAU_STG.
2审计数据可用性保证从属于:FAU_STG.
1FAU_STG.
2.
1TSF应保护所存储的审计记录,以避免未授权的删除.
FAU_STG.
2.
2TSF应能[选择:防止,检测]对审计记录的修改.
FAU_STG.
2.
3当下述情况发生时:[选择:审计存储耗尽、失败、受攻击],TSF应确保审计记录[赋值:保存审计记录的量度]不被破坏.
依赖关系:FAU_GEN.
1审计数据产生FAU_STG.
3在审计数据可能丢失情况下的行为从属于:无其他组件.
FAU_STG.
3.
1如果审计迹超过[赋值:预定的限制],TSF应采取[赋值:在审计数据可能丢失情况下的行为].
依赖关系:FAU_STG.
1受保护的审计迹存储FAU_STG.
4防止审计数据丢失从属于:FAU_STG.
3FAU_STG.
4.
1如果审计迹已满,TSF应[选择:'忽略可审计事件','阻止产生除有特权的授权用户外的所有可审计事件','覆盖所存储的最早的审计记录']并进行[赋值:一旦审计存储失败所采取的其它行动].

依赖关系:FAU_STG.
1受保护的审计迹存储FCO类:通信本类提供两个子类,专门用以确保在数据交换中参与方的身份.
这些子类与确保信息传输的发起者的身份(原发证明)和确保信息传输的接收者的身份(接收证明)相关.
这些子类既确保发起者不能否认发送过信息,又确保收信者不能否认收到过信息.

本类的组件构成分解如图10所示:通信类分解原发抗抵赖(FCO_NRO)子类行为原发抗抵赖确保信息的发起者不能成功地否认曾经发送过信息.
本子类要求TSF提供一种方法来确保,接收信息的主体在数据交换期间获得了证明信息原发的证据,此证据可由该主体或其他主体验证.
组件层次FCO_NRO.
1选择性原发证明,要求TSF为主体提供请求原发信息证据的能力.
FCO_NRO.
2强制原发证明,要求TSF总是对传输信息产生原发证据.
管理:FCO_NRO.
1,FCO_NRO.
2应为FMT的管理功能考虑以下行动:a)对改变信息类型、域、原发者属性和证据接收者的管理.
审计:FCO_NRO.
1如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行动应为可审计:a)最小级:请求产生原发证据的用户的身份;b)最小级:调用抗抵赖服务;c)基本级:标识所提供证据的信息、目的地及其拷贝;d)详细级:请求验证证据的用户的身份.
审计:FCO_NRO.
2如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行动应为可审计:a)最小级:调用抗抵赖服务;b)基本级:标识所提供证据的信息、目的地及其拷贝;c)详细级:请求验证证据的用户的身份.
FCO_NRO.
1选择性原发证明从属于:无其他组件.
FCO_NRO.
1.
1在[选择:原发者、接收者或[赋值:第三方列表]]请求时,TSF应能对传输的[赋值:信息类型表]产生原发证据.
FCO_NRO.
1.
2TSF应能将信息原发者的[赋值:属性表],与证据适用的信息的[赋值:信息域表]相关联.
FCO_NRO.
1.
3TSF应能为给定[赋值:原发证据的限制]的[选择:原发者、接收者或[赋值:第三方列表]]提供验证信息原发证据的能力.
依赖关系:FIA_UID.
1标识定时FCO_NRO.
2强制原发证明从属于:FCO_NRO.
1FCO_NRO.
2.
1TSF在任何时候都应对[赋值:信息类型表]强制产生原发证据.
FCO_NRO.
2.
2TSF应能使信息原发者的[赋值:属性表],与证据适用的信息的[赋值:信息域表]相关联.
FCO_NRO.
2.
3TSF应能为给定[赋值:原发证据的限制]的[选择:原发者、接收者,[赋值:第三方列表]]提供验证信息原发证据的能力.
依赖关系:FIA_UID.
1标识定时接收抗抵赖(FCO_NRR)子类行为接收抗抵赖确保信息的接收者不能成功地否认对信息的接收.
本子类要求TSF提供一种方法来确保,发送信息的主体在数据交换期间获得了证明信息接收的证据,此证据可由该主体或其他主体验证.
组件层次FCO_NRR.
1选择性接收证明,要求TSF为主体提供请求信息接收证据的能力.
FCO_NRR.
2强制性接收证明,要求TSF总是对接收到的信息产生接收证据.
管理:FCO_NRR.
1,FCO_NRR.
2应为FMT的管理功能考虑以下行动:a)对改变信息类型、域、原发者属性和证据的第三方接收者的管理.
审计:FCO_NRR.
1如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行动应可审计:a)最小级:请求产生提供接收证据的用户的身份;b)最小级:调用抗抵赖服务;c)基本级:标识所提供证据的信息、目的地及其拷贝;d)详细级:请求验证证据的用户的身份.
审计:FCO_NRR.
2如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行动应可审计:a)最小级:调用抗抵赖服务;b)基本级:标识所提供证据的信息、目的地及其拷贝;c)详细级:请求验证证据的用户的身份.
FCO_NRR.
1选择性接收证明从属于:无其他组件.
FCO_NRR.
1.
1在[选择:原发者、接收者或[赋值:第三方列表]]请求时,TSF应能对接收的[赋值:信息类型表]产生接收证据.
FCO_NRR.
1.
2TSF应使将信息接收者的[赋值:属性表],与证据适用的信息的[赋值:信息域表]相关联.
FCO_NRR.
1.
3TSF应能为给定[赋值:接收证据的限制]的[选择:原发者、接收者或[赋值:第三方列表]]提供验证信息接收证据的能力.
依赖关系:FIA_UID.
1标识定时FCO_NRR.
2强制接收证明从属于:FCO_NRR.
1FCO_NRR.
2.
1TSF应对收到的[赋值:信息类型表]强制产生接收证据.
FCO_NRR.
2.
2TSF应能使信息接收者的[赋值:属性表]与证据适用的信息的[赋值:信息域表]相关联.
FCO_NRR.
2.
3TSF应能为给定[赋值:接收证据的限制]的[选择:原发者、接收者或[赋值:第三方列表]]提供验证信息接收证据的能力.
依赖关系:FIA_UID.
1标识定时FCS类:密码支持TSF可以利用密码功能来满足一些高级安全目的.
这些功能包括(但不限于):标识与鉴别,抗抵赖,可信路径,可信信道和数据分离.
本类可用硬件、固件和/或软件来实现,在TOE执行密码功能时使用.
FCS类由两个子类组成:FCS_CKM密钥管理和FCS_COP密码运算.
FCS_CKM子类解决密钥管理方面的问题,而FCS_COP子类则与密钥在运算中的使用情况有关.
本类的组件分解如图11所示:密码支持类分解密钥管理(FCS_CKM)子类行为密钥在其整个生存期内都必须进行管理.
为此,本子类定义了对以下几种操作的要求:密钥产生,密钥分配,密钥访问和密钥销毁.
凡是存在对密钥进行管理的功能要求时,都必须包含本子类.
组件层次FCS_CKM.
1密钥产生,要求根据基于某个指定标准的特定的算法和密钥长度来产生密钥.
FCS_CKM.
2密钥分配,要求根据基于某个指定标准的特定的分配方法来分配密钥.
FCS_CKM.
3密钥访问,要求根据基于某个指定标准的特定的访问方法来访问密钥.
FCS_CKM.
4密钥销毁,要求根据基于某个指定标准的特定的销毁方法来销毁密钥.
管理:FCS_CKM.
1,FCS_CKM.
2,FCS_CKM.
3,FCS_CKM.
4应为FMT的管理功能考虑以下行动:a)对修改密钥属性的管理.
比如,密钥属性包括:用户、密钥类型(如公开密钥、私有密钥、秘密密钥)、有效期和使用(如数字签名、密钥加密、密钥协商、数据加密).
审计:FCS_CKM.
1,FCS_CKM.
2,FCS_CKM.
3,FCS_CKM.
4如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行动应是可审计的:a)最小级:操作成功和失败;b)基本级:除一切敏感信息(如秘密密钥或私有密钥)外的客体属性和客体值.
FCS_CKM.
1密钥产生从属于:无其他组件.
FCS_CKM.
1.
1TSF应根据符合下述标准[赋值:标准列表]的特定的密钥产生算法[赋值:密钥产生算法]和特定的密钥长度[赋值:密钥长度]来产生密钥.
依赖关系:[FCS_CKM.
2密钥分配FCS_COP.
1密码运算]FCS_CKM.
4密钥销毁FMT_MSA.
2保密的安全属性FCS_CKM.
2密钥分配从属于:无其他组件.
FCS_CKM.
2.
1TSF应根据符合标准[赋值:标准列表]的特定的密钥分配方法[赋值:密钥分配方法]来分配密钥.
依赖关系:[FDP_ITC.
1不带安全属性的用户数据输入FCS_CKM.
1密钥产生]FCS_CKM.
4密钥销毁FMT_MSA.
2保密的安全属性FCS_CKM.
3密钥访问从属于:无其他组件.
FCS_CKM.
3.
1TSF应根据符合标准[赋值:标准列表]的特定的密钥访问方法[赋值:密钥访问方法]来执行[赋值:密钥访问类型].
依赖关系:[FDP_ITC.
1不带安全属性的用户数据输入FCS_CKM.
1密钥产生]FCS_CKM.
4密钥销毁FMT_MSA.
2保密的安全属性FCS_CKM.
4密钥销毁从属于:无其他组件.
FCS_CKM.
4.
1TSF应根据符合标准[赋值:标准列表]的特定的密钥销毁方法[赋值:密钥销毁方法]来销毁密钥.
依赖关系:[FDP_ITC.
1不带安全属性的用户数据输入FCS_CKM.
1密钥产生]FMT_MSA.
2保密的安全属性密码运算(FCS_COP)子类行为为了保证密码运算的功能正确,必须按照特定的算法和一定长度的密钥来运算.
凡有执行密码运算要求的,都需包含本子类.
密码运算通常包括:数据加密和/或解密、数字签名产生和/或验证、针对完整性的密码校验和产生和/或校验和检验、安全散列(信息摘要)、密钥加密和/或解密,以及密钥协商.
组件层次FCS_COP.
1密码运算,要求根据基于指定标准的特定的算法和特定长度的密钥来进行密码运算.
管理:FCS_COP.
1尚无预见的管理活动.
审计:FCS_COP.
1如果在PP/ST中包含了FAU_GEN安全审计数据产生,那么下述行动应是可审计的:a)最小级:密码运算的成功、失败和类型;b)基本级:所有有效的密码运算模式、主体属性和客体属性.
FCS_COP.
1密码运算从属于:无其他组件.
FCS_COP.
1.
1TSF应根据符合标准[赋值:标准列表]的特定的密码算法[赋值:密码算法]和密钥长度[赋值:密钥长度]来行执[赋值:密码运算列表].
依赖关系:[FDP_ITC.
1不带安全属性的用户数据输入FCS_CKM.
1密钥产生]FCS_CKM.
4密钥销毁FMT_MSA.
2保密的安全属性FDP类:用户数据保护本类包含若干子类,这些子类规定了与保护用户数据相关的TOE安全功能要求和TOE安全功能策略.
FDP分为四组子类(将在下面列出),这些子类处理TOE内部在输入、输出和存储期间的用户数据,以及和用户数据直接相关的安全属性.

本类中的子类分成以下四组:a)用户数据保护安全功能策略:1)FDP_ACC访问控制策略;2)FDP_IFC信息流控制策略.
这些子类中的组件允许PP/ST作者命名用户数据保护安全功能策略,并定义该安全策略的控制范围,这对于说明安全目的是必要的.
这些安全策略的名字将在所有余下的选择"访问控制SFP"或"信息流控制SFP"或为其赋值的功能组件中使用.
已命名的访问控制和信息流控制SFP功能的规则将分别在FDP_ACF和FDP_IFF子类中定义.

b)用户数据保护形式:1)FDP_ACF访问控制功能;2)FDP_IFF信息流控制功能;3)FDP_ITT内部TOE传输;4)FDP_RIP残余信息保护;5)FDP_ROL反转;6)FDP_SDI存储数据的完整性.
c)脱机存储、输入和输出:1)FDP_DAU数据鉴别;2)FDP_ETC输出到TSF控制之外;3)FDP_ITC从TSF控制之外输入.
这些子类内的组件说明进出安全功能控制范围时的可信传输.
d)TSF间的通信:1)FDP_UCTTSF间用户数据传输的保密性保护;2)FDP_UITTSF间用户数据传输的完整性保护.
这些子类内的组件说明TOE的TSF与其它可信IT产品间的通信.
图12和13是本类的组件分解图.
用户数据保护类分解用户数据保护类分解访问控制策略(FDP_ACC)子类行为本子类(通过名字)确定访问控制SFP及其控制范围,这些策略组成了所确定的TSP的访问控制部分.
该控制范围包括三部分:策略控制下的主体、策略控制下的客体以及策略所覆盖的受控主体和受控客体间的操作.
本标准允许存在多个策略,每个策略有一个唯一的名字.
可通过为每个命名的访问控制策略反复使用本子类中的组件来实现.
定义访问控制SFP功能的规则将在其它子类中定义,如FDP_ACF和FDP_SDI.
在FDP-ACC中所确定的访问控制SFP的名字将在所有余下的选择"访问控制SFP"或为其赋值的功能组件中使用.

组件层次FDP_ACC.
1子集访问控制,要求每个确定的访问控制SFP适用于某个TOE客体子集上可能的操作子集.
FDP_ACC.
2完全访问控制,要求每个确定的访问控制SFP覆盖所有被该SFP覆盖的所有主体和客体之间的操作.
它甚至要求TSC内的所有客体和操作都至少被一个确定的访问控制SFP所覆盖.
管理:FDP_ACC.
1,FDP_ACC.
2本组件没有可预见的管理活动.
审计:FDP_ACC.
1,FDP_ACC.
2如果PP/ST包括了FAU_GEN安全审计数据产生,那么就没有确定的可审计事件.
FDP_ACC.
1子集访问控制从属于:无其他组件.
FDP_ACC.
1.
1TSF应对[赋值:SFP覆盖的主体列表、客体列表及其它们之间的操作列表]执行[赋值:访问控制SFP].
依赖关系:FDP_ACF.
1基于安全属性的访问控制FDP_ACC.
2完全访问控制从属于:FDP_ACC.
1FDP_ACC.
2.
1TSF应对[赋值:SFP覆盖的主体列表和客体列表]以及它们之间的所有操作执行[赋值:访问控制SFP].
FDP_ACC.
2.
2TSF应确保TSC内的所有主体和客体之间的所有操作将被一个访问控制SFP所覆盖.
依赖关系:FDP_ACF.
1基于安全属性的访问控制访问控制功能(FDP_ACF)子类行为本子类描述能实现FDP_ACC中所命名的访问控制策略的特定功能的规则.
FDP_ACC规定了策略控制的范围.
组件层次本子类说明这些策略的特征以及如何使用安全属性.
本组件将用来描述功能规则,以实现FDP_ACC中确定的SFP.
PP/ST作者可以反复使用本组件以说明TOE中的多个策略.
FDP_ACF.
1基于安全属性的访问控制允许TSF执行基于安全属性和命名属性组的访问控制.
此外,TSF有能力根据安全属性明确地授权或拒绝对某个对象的访问.
管理:FDP_ACF.
1对于FMT管理中的管理功能,应考虑以下的活动:管理用于作出明确访问或拒绝访问决策的属性.
审计:FDP_ACF.
1如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:最小级:对SFP覆盖的客体执行某操作的成功请求;基本级:对SFP覆盖的客体执行某操作的所有请求;详细级:用于进行访问检查的特定安全属性.
FDP_ACF.
1基于安全属性的访问控制从属于:无其他组件.
FDP_ACF.
1.
1TSF应基于[赋值:安全属性、命名的安全属性组]对客体执行[赋值:访问控制SFP].
FDP_ACF.
1.
2TSF应执行以下规则,以决定受控主体与受控客体间的操作是否被允许:[赋值:在受控主体和受控客体中,通过对受控客体采取受控操作来管理访问的规则].
FDP_ACF.
1.
3TSF应基于以下附加规则:[赋值:基于安全属性明确授权主体访问客体的规则],授权主体对客体的访问.
FDP_ACF.
1.
4TSF应基于[赋值:基于安全属性明确拒绝主体访问客体的规则]明确拒绝主体对客体的访问.
依赖关系:FDP_ACC.
1子集访问控制FMT_MSA.
3静态属性初始化数据鉴别(FDP_DAU)子类行为数据鉴别允许一个实体承担信息真实性的责任(如,通过数字签名).
本子类提供一种方法,以保证特定数据单元的有效性,并进而验证信息内容没有被伪造或篡改.
与FCO类不同,本子类用于"静态"数据而不是正在传输的数据.

组件层次FDP_DAU.
1基本数据鉴别,要求TSF能够保证客体(如文档)信息内容的真实性.
FDP_DAU.
2伴有保证者身份的数据鉴别,还另外要求TSF能够产生提供真实性保证的主体身份.
管理:FDP_DAU.
1,FDP_DAU.
2对于FMT管理中的管理功能,应考虑以下活动:a)系统中,要对其进行数据鉴别的客体,其赋值和修改应是可配置的.
审计:FDP_DAU.
1如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:a)最小级:有效证据的成功生成;b)基本级:有效证据未成功生成;c)详细级:请求证据的主体身份.
审计:FDP_DAU.
2如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:a)最小级:有效证据的成功生成;b)基本级:有效证据未成功生成;c)详细级:请求证据的主体身份;d)详细级:产生证据的主体身份.
FDP_DAU.
1基本数据鉴别从属于:无其他组件.
FDP_DAU.
1.
1TSF应提供产生保证[赋值:客体列表或信息类型列表]的有效性证据的能力.
FDP_DAU.
1.
2TSF应为[赋值:主体列表]提供能力,以验证指定信息有效的证据.
依赖关系:无依赖关系.
FDP_DAU.
2伴有保证者身份的数据鉴别从属于:FDP_DAU.
1FDP_DAU.
2.
1TSF应提供产生保证[赋值:客体列表或信息类型列表]的有效性证据的能力.
FDP_DAU.
2.
2TSF应为[赋值:主体列表]提供一种能力,以验证指定信息有效的证据以及产生证据的用户身份.
依赖关系:FIA_UID.
1标识定时输出到TSF控制之外(FDP_ETC)子类行为本子类定义从TOE输出用户数据的功能,使得数据在输出后可以明确保留或忽略其安全属性和保护措施.
这涉及对输出的限制以及安全属性与输出的用户数据之间的关联.
组件层次FDP_ETC.
1没有安全属性的用户数据输出,要求TSF在把用户数据输出到TSF之外时执行合适的SFP.
经由本功能输出的用户数据输出时没有输出相关的安全属性.
FDP_ETC.
2有安全属性的用户数据输出,要求TSF在把用户数据输出到TSF之外时执行合适的SFP.
经由本功能输出的用户数据输出时将连同确切的安全属性一并输出.
管理:FDP_ETC.
1对本组件,尚无预见的管理活动.
管理:FDP_ETC.
2对FMT管理中的管理功能,要考虑以下活动:a)一个已定义角色的用户可以配置附加的输出控制规则.
审计:FDP_ETC.
1,FDP_ETC.
2如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:a)最小级:成功的信息输出;b)基本级:所有输出信息的尝试.
FDP_ETC.
1没有安全属性的用户数据输出从属于:无其他组件.
FDP_ETC.
1.
1TSF在SFP控制下输出用户数据到TSC之外时,应执行[赋值:访问控制SFP或信息流控制SFP].
FDP_ETC.
1.
2TSF应输出没有关联安全属性的用户数据.
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]FDP_ETC.
2有安全属性的用户数据输出从属于:无其他组件.
FDP_ETC.
2.
1TSF在SFP控制下输出用户数据到TSC之外时,应执行[赋值:访问控制SFP或信息流控制SFP].
FDP_ETC.
2.
2TSF应输出带有相关安全属性的用户数据.
FDP_ETC.
2.
3TSF在安全属性输出到TSC之外时,应确保其与输出的数据确切关联.
FDP_ETC.
2.
4TSF在用户数据从TSC输出时应执行[赋值:附加的输出控制规则].
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]信息流控制策略(FDP_IFC)子类行为本子类(通过名字)确定信息流控制SFP及其控制范围,这些策略组成已确定的TSP的信息流控制部分.
该控制范围包括以下三个集合:策略控制下的主体、策略控制下的信息,以及引起受控信息流入、流出策略覆盖的受控主体的操作.
本标准允许存在多个策略,每个策略有唯的名字.
这可以通过为每个命名的信息流控制策略反复使用本子类组件来实现.
定义信息流控制SFP功能的规则将在其它子类中定义,如FDP_IFF和FDP_SDI.
这里所确定的信息流控制SFP的名字将用于所有余下的有选择"信息流控制SFP"或为其进行赋值操作的组件中.

TSF机制根据信息流控制SFP控制信息的流向.
通常不允许改变信息的安全属性的操作,因为这将违背信息流控制SFP.
不过,如果明确指明,这种操作也可以作为信息流控制SFP的例外得到允许.

组件层次FDP_IFC.
1子集信息流控制,要求每个确定的信息流控制SFP适用于TOE内某个信息流子集上的可能的操作子集.
FDP_IFC.
2完全信息流控制,要求每个确定的访问控制SFP覆盖被该SFP覆盖的主体和信息上的所有操作,并进一步要求TSC的所有信息流和操作都至少被一个确定的信息流控制SFP覆盖.
它与组件FPT_RVM.
1的组合,要求一个参照监视器在这方面总是处于激发状态.

管理:FDP_IFC.
1,FDP_IFC.
2对于本组件,尚无预见的管理活动.
审计:FDP_IFC.
1,FDP_IFC.
2如果PP/ST包括FAU_GEN安全审计数据产生,则没有可以审计的确定事件.
FDP_IFC.
1子集信息流控制从属于:无其他组件.
FDP_IFC.
1.
1TSF应对[赋值:SFP覆盖的主体列表、信息列表和导致受控信息流入、流出受控主体的操作列表]执行[赋值:信息流控制SFP].
依赖关系:FDP_IFF.
1简单安全属性FDP_IFC.
2完全信息流控制从属于:FDP_IFC.
1FDP_IFC.
2.
1TSF应对[赋值:主体列表和信息列表]以及所有导致信息流入、流出SFP所覆盖主体的操作执行[赋值:信息流控制SFP].
FDP_IFC.
2.
2TSF应确保所有导致TSC内的任意信息流入、流出TSC内的所有主体的操作被一个信息流控制SFP覆盖.
依赖关系:FDP_IFF.
1简单安全属性信息流控制功能(FDP_IFF)子类行为本子类描述能实现在FDP_IFC中命名的信息流控制SFP的特定功能的规则,同时规定该策略的控制范围.
子类中包含两种要求:一是针对通用的信息流功能问题,再就是针对非法的信息流(如隐蔽信道).
之所以这样划分是因为,非法信息流涉及的问题在某种意义上与其余的信息流控制SFP是泾渭分明的.
根据其性质,它们将规避信息流控制SFP,导致控制策略的违背,因而需要特定的功能限制或防止非法信息流的出现.

组件层次FDP_IFF.
1简单安全属性,需要有关信息、导致信息流动的主体以及作为信息接收者的主体的安全属性.
它规定该功能必须执行的规则,并描述该功能如何得到安全属性.
FDP_IFF.
2分级安全属性,是在简单安全属性FDP_IFF.
1的要求基础上进行的扩展.
它要求TSP中的所有信息流控制SFP使用形成点阵的分级安全属性.
FDP_IFF.
3受限的非法信息流,要求SFP覆盖非法信息流,但不必消除.
FDP_IFF.
4部分消除非法信息流,要求SFP覆盖部分(不必是全部)的非法信息流的消除.
FDP_IFF.
5无非法信息流,要求SFP覆盖所有非法信息流的消除.
FDP_IFF.
6非法信息流监视,要求SFP根据指定的和最大的容限监视非法信息流.
管理:FDP_IFF.
1,FDP_IFF.
2对于FMT管理中的管理功能,要考虑以下活动:a)管理用于作出明确访问决定的属性管理:FDP_IFF.
3,FDP_IFF.
4,FDP_IFF.
5对这些组件,尚无预见的管理活动.
管理:FDP_IFF.
6对于FMT管理中的管理功能,要考虑以下活动:a)监视功能的启动或关闭;b)对出现监视的最大容量的修改.
审计:FDP_IFF.
1,FDP_IFF.
2,FDP_IFF.
5如果PP/ST包括FAU_GEN安全审计数据产生,则下面的事件应可审计:a)最小级:允许请求的信息流的判决;b)基本级:对信息流请求的所有判决;c)详细级:用于做出信息流执行判决的特定安全属性;d)详细级:基于策略目标(如审计降级媒体),已流动信息的某些特定子集.
审计:FDP_IFF.
3,FDP_IFF.
4,FDP_IFF.
6如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:a)最小级:允许请求的信息流的判决;b)基本级:对信息流请求的所有判决;c)基本级:确定的非法信息流信道的使用;d)详细级:用于做出信息流执行判决的特定的安全属性;e)详细级:基于策略目标(如审计降级媒体),已流动信息的某些特定子集;f)详细级:对其估算的最大容量超过规定值的非法信息流信道的使用.
FDP_IFF.
1简单安全属性从属于:无其他组件.
FDP_IFF.
1.
1TSF应基于下列类型的主体和信息安全属性[赋值:最小数目和类型的安全属性]执行[赋值:信息流控制SFP].
FDP_IFF.
1.
2如果有下面的规则[赋值:对每一个操作,在主体和信息安全属性间必须有基于安全属性的关系],TSF应允许受控主体和受控信息之间存在经由受控操作的信息流.
FDP_IFF.
1.
3TSF应执行[赋值:附加的信息流控制SFP规则].
FDP_IFF.
1.
4TSF应提供下列[赋值:附加SFP能力列表].
FDP_IFF.
1.
5TSF应根据下列规则[赋值:基于安全属性,明确授权信息流的规则]明确授权信息流.
FDP_IFF.
1.
6TSF应根据下列规则[赋值:基于安全属性,明确拒绝信息流的规则]明确拒绝信息流.
依赖关系:FDP_IFC.
1子集信息流控制FMT_MSA.
3静态属性初始化FDP_IFF.
2分级安全属性从属于:FDP_IFF.
1FDP_IFF.
2.
1TSF应基于下列类型的主体和信息安全属性[赋值:最小数目和类型的安全属性],执行[赋值:信息流控制SFP].
FDP_IFF.
2.
2如果有下面基于安全属性间有序关系的规则[赋值:对每一个操作,在主体和信息安全属性间必须有基于安全属性的关系],TSF应允许受控主体和受控信息之间存在经由受控操作的信息流.
FDP_IFF.
2.
3TSF应执行[赋值:附加的信息流控制SFP规则].
FDP_IFF.
2.
4TSF应提供下列[赋值:附加SFP能力列表].
FDP_IFF.
2.
5TSF应根据下列规则[赋值:基于安全属性,明确授权信息流的规则]明确授权信息流.
FDP_IFF.
2.
6TSF应根据下列规则[赋值:基于安全属性,明确拒绝信息流的规则]明确拒绝信息流.
FDP_IFF.
2.
7TSF应对任意两个有效的信息流控制安全属性执行下面的关系:a)存在排序功能,也就是说,给定两个有效的安全属性,可判断它们是否相等,是否其中一个大于另一个,还是两者不可比较;b)在安全属性集中存在"最小上界",也就是说,给定任意两个有效的安全属性,存在一个有效的安全属性大于或等于这两个有效安全属性;c)在安全属性集中存在"最大下界",也就是说,给定任意两个有效的安全属性,存在一个有效的安全属性不大于这两个有效安全属性.
依赖关系:FDP_IFC.
1子集信息流控制FMT_MSA.
3静态属性初始化FDP_IFF.
3受限的非法信息流从属于:无其他组件.
FDP_IFF.
3.
1TSF应执行[赋值:信息流控制SFP],以限制[赋值:非法信息流类型]的容限为[赋值:最大容限].
依赖关系:AVA_CCA.
1隐蔽信道分析FDP_IFC.
1子集信息流控制FDP_IFF.
4部分消除非法信息流从属于:FDP_IFF.
3FDP_IFF.
4.
1TSF应执行[赋值:信息流控制SFP],以限制[赋值:非法信息流类型]的容限为[赋值:最大容限].
FDP_IFF.
4.
2TSF应避免[赋值:非法信息流类型].
依赖关系:AVA_CCA.
1隐蔽信道分析FDP_IFC.
1子集信息流控制FDP_IFF.
5无非法信息流从属于:FDP_IFF.
4FDP_IFF.
5.
1TSF应确保没有规避[赋值:信息流控制SFP名字]的非法信息流存在.
依赖关系:AVA_CCA.
3详尽的隐蔽信道分析FDP_IFC.
1子集信息流控制FDP_IFF.
6非法信息流监视从属于:无其他组件.
FDP_IFF.
6.
1TSF应执行[赋值:信息流控制SFP],以监视[赋值:非法信息流类型]是否超过了[赋值:最大容限].
依赖关系:AVA_CCA.
1隐蔽信道分析FDP_IFC.
1子集信息流控制从TSF控制之外输入(FDP_ITC)子类行为本子类定义引入用户数据到TOE内的机制,使得数据在输入时有合适的安全属性和保护措施.
涉及到对输入的限制、所需安全属性的确定以及对用户数据相关安全属性的解释.
组件层次本子类包含两个组件,描述用于访问控制和信息控制策略的输入用户数据的安全属性的保持情况.
FDP_ITC.
1没有安全属性的用户数据输入,要求安全属性正确反映用户数据,且和客体分离.
FDP_ITC.
2有安全属性的用户数据输入,要求安全属性正确反映用户数据,并且与从TSC外输入的数据确切地联系在一起.
管理:FDP_ITC.
1,FDP_ITC.
2对于FMT管理中的管理功能,要考虑以下活动:a)对用户数据输入的附加控制规则的修改.
审计:FDP_ITC.
1,FDP_ITC.
2如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:a)最小级:用户数据,包括任何安全属性的成功输入;b)基本级:用户数据,包括任何安全属性的所有输入尝试;c)详细级:授权用户提供的用于输入的用户数据的安全属性规范.
FDP_ITC.
1没有安全属性的用户数据输入从属于:无其他组件.
FDP_ITC.
1.
1TSF在SFP控制下从TSC之外输入用户数据时,应执行[赋值:访问控制SFP或信息流控制SFP].
FDP_ITC.
1.
2从TSC外部输入用户数据时,TSF应略去任何相关的安全属性.
FDP_ITC.
1.
3TSF在SPF控制下从TSC外部输入用户数据时应执行下面的规则:[赋值:附加的输入控制规则].
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]FMT_MSA.
3静态属性初始化FDP_ITC.
2有安全属性的用户数据输入从属于:无其他组件.
FDP_ITC.
2.
1TSF在SFP控制下从TSC之外输入用户数据时,应执行[赋值:访问控制SFP或信息流控制SFP].
FDP_ITC.
2.
2TSF应使用与输入的数据相关的安全属性.
FDP_ITC.
2.
3TSF应确保使用的协议在安全属性和接收的用户数据之间提供了明确的联系.
FDP_ITC.
2.
4TSF应确保对输入的用户数据安全属性的解释与用户数据源的解释是一致的.
FDP_ITC.
2.
5TSF在SFP控制下从TSC之外输入用户数据时应执行[赋值:附加的输入控制规则].
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制][FDP_ITC.
1TSF间的可信信道,或FTP_TRP.
1可信路径]FPT_TDC.
1TSF间基本的TSF数据一致性TOE内部传输(FDP_ITT)子类行为本子类提供当用户数据通过内部信道在TOE各部分之间传递时,对数据进行保护的要求.
和FDP_UCT与FDP_UIT的不同之处在于,后两者为数据经外部信道在不同的TSF间传递时提供保护;而与FDP_ETC和FDP_ITC的不同之处则在于,它们描述的是数据进出TSF时的控制.

组件层次FDP_ITT.
1基本内部传输保护,要求用户数据在TOE的各部分间传递时受保护.
FDP_ITT.
2属性分隔传输,除第一个组件的要求外,还要求基于与SFP相关的属性值把数据分隔开.
FDP_ITT.
3完整性监视,要求SF监视在TOE各部分间传递的用户数据的完整性错误.
FDP_ITT.
4基于属性的完整性监视,是对第3个组件的扩展,它允许根据不同的与SFP相关的属性,进行完整性监视.
管理:FDP_ITT.
1,FDP_ITT.
2对于FMT管理中的管理功能,要考虑以下活动:a)如果TSF提供多种方法保护在TOE的物理上分隔的部分间传递的用户数据,则TSF应提供一个预定义的角色,使其有能力选择某种方法.
管理:FDP_ITT.
3,FDP_ITT.
4对于FMT管理中的管理功能,要考虑以下活动:a)对于检测到完整性错误将采取的行动的规范应是可配置的.
审计:FDP_ITT.
1,FDP_ITT.
2如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件是可审计的:a)最小级:用户数据的成功传输,包括所用的保护方法的标识;b)基本级:所有传输用户数据的尝试,包括所用的保护方法和所有出现的错误.
审计:FDP_ITT.
3,FDP_ITT.
4如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件是可审计的:a)最小级:用户数据的成功传输,包括所用的保护方法的标识;b)基本级:所有传输用户数据的尝试,包括所用的保护方法和所有出现的错误;c)基本级:未授权地改变完整性保护方法的尝试;d)详细级:检测到完整性错误后采取的行动.
FDP_ITT.
1基本内部传输保护从属于:无其他组件.
FDP_ITT.
1.
1在TOE物理上分隔的部分间传递用户数据时,TSF应执行[赋值:访问控制SFP或信息流控制SFP],以防止[选择:泄露,篡改,丢失].
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]FDP_ITT.
2属性分隔传输从属于:FDP_ITT.
1FDP_ITT.
2.
1在TOE物理上分隔的部分间传递用户数据时,TSF应执行[赋值:访问控制SFP或信息流控制SFP],以防止[选择:泄露,篡改,丢失].
FDP_ITT.
2.
2在TOE物理上分隔的部分间传递用户数据时,TSF应基于下列值[赋值:需要分隔的安全属性],将SFP控制的数据分隔开.
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]FDP_ITT.
3完整性监视从属于:无其他组件.
FDP_ITT.
3.
1在TOE物理上分隔的部分间传递用户数据时,TSF应执行[赋值:访问控制SFP或信息流控制SFP],以监视是否有下列错误出现[赋值:完整性错误].
FDP_ITT.
3.
2检测到数据完整性错误时,TSF应[赋值:规定对完整性错误应采取的行动].
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]FDP_ITT.
1基本内部传输保护FDP_ITT.
4基于属性的完整性监视从属于:FDP_ITT.
3FDP_ITT.
4.
1在TOE的物理上分隔的部分间传递用户数据时,基于下面的属性[赋值:需要分隔传输信道的安全属性],TSF级执行[赋值:访问控制SFP或信息流控制SFP],以监视是否有下列错误出现[赋值:完整性错误].

FDP_ITT.
4.
2检测到数据完整性错误时,TSF应[赋值:规定对完整性错误应采取的行动].
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]FDP_ITT.
2属性分隔传输残余信息保护(FDP_RIP)子类行为本子类针对如下需要,即确保已经被删除的信息不再是可访问的,并且,新生成的客体确实不包含不应被访问的信息.
本子类要求保护已逻辑删除或释放的信息,但信息仍旧可以保留在TOE内部.
组件层次FDP_RIP.
1子集残余信息保护,要求TSF确保任何资源的任何残余信息内容,在分配或释放资源时,对于TSC内已定义的客体子集而言是不可用的.
FDP_RIP.
2完全残余信息保护,要求TSF确保在分配或释放资源时,任何资源的任何残余信息内容对于所有客体都是不可用的.
管理:FDP_RIP.
1,FDP_RIP.
2对于FMT管理中的管理功能,应考虑以下活动:a)TOE内,选择何时(如分配或释放时)执行残余信息保护是可以配置的.
审计:FDP_RIP.
1,FDP_RIP.
2如果PP/ST包括FAU_GEN安全审计数据产生,就没有确定的事件可审计.
FDP_RIP.
1子集残余信息保护从属于:无其他组件.
FDP_RIP.
1.
1TSF对下列客体[赋值:客体列表][选择:分配或释放资源]时,应确保该资源任何以前的信息内容不再可用.
依赖关系:无依赖关系.
FDP_RIP.
2完全残余信息保护从属于:FDP_RIP.
1FDP_RIP.
2.
1TSF应确保对所有客体[选择:分配或释放资源]时,使该资源任何以前的信息内容不再可用.
依赖关系:无依赖性反转(FDP_ROL)子类行为反转操作涉及在一定条件的限制下(如时间长短),撤消上一次或一系列操作,并返回到某个以前的已知状态.
反转提供了取消上一次或一系列操作结果的能力以保持用户数据的完整性.
组件层次FDP_ROL.
1基本反转,满足在确定的范围内,反转或撤消有限操作的需要.
FDP_ROL.
2高级反转,满足在确定的范围内,反转或撤消所有操作的需要.
管理:FDP_ROL.
1,FDP_ROL.
2对于FMT管理中的管理功能,要考虑以下活动:a)限制反转可实施的边界,在TOE内可以是一个可配置的条目;实施反转操作的权限可以被限制到一个精心定义的角色.
审计:FDP_ROL.
1,FDP_ROL.
2如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:a)最小级:所有成功的反转操作;b)基本级:所有实施反转操作的尝试;c)详细级:所有实施反转操作的尝试,包括被反转的操作类型的标识.
FDP_ROL.
1基本反转从属于:无其他组件.
FDP_ROL.
1.
1TSF应执行[赋值:访问控制SFP或信息流控制SFP],以允许在[赋值:客体列表]上的[赋值:操作列表]的反转.
FDP_ROL.
1.
2TSF应允许在[赋值:反转可以实施的边界范围]内进行反转操作.
依赖关系:[FDP_ACC.
1子集访问控制,或FMT_IFC.
1子集信息流控制]FDP_ROL.
2高级反转从属于:FDP_ROL.
1FDP_ROL.
2.
1TSF应执行[赋值:访问控制SFP或信息流控制SFP],以允许在[赋值:客体列表]上的所有操作的反转.
FDP_ROL.
2.
2TSF应允许在[赋值:反转可以实施的边界范围]内进行反转操作.
依赖关系:[FDP_ACC.
1子集访问控制,或FMT_IFC.
1子集信息流控制]存储数据的完整性(FDP_SDI)子类行为本子类提供了对存储在TSC内部的用户数据保护的要求.
完整性错误可能会影响存放在内存中的,或存储设备中的数据.
本子类与TOE内部传输FDP_ITT不同之处,后者保护的是数据在TOE内部传输时的完整性.

组件层次FDP_SDI.
1存储数据的完整性监视,要求SF监视存储在TSC内的用户数据是否出现已确定的完整性错误.
FDP_SDI.
2存储数据的完整性监视与行动,则是在FDP_SDI.
1的基础上增加了附加的能力,允许在检测到某错误时,采取相应的行动.
管理:FDP_SDI.
1本组件没有可预见的管理活动.
管理:FDP_SDI.
2对于FMT管理中的管理功能,要考虑以下活动:a)可以配置在检测到完整性错误时所要采取的行动.
审计:FDP_SDI.
1,如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:a)最小级:检测用户数据完整性的成功尝试,包括指示检测结果;b)基本级:检测用户数据完整性的所有尝试,如果完成的话,还包括指示检测结果;c)详细级:出现的完整性错误的类型.
审计:FDP_SDI.
2,如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:a)最小级:检测用户数据完整性的成功尝试,包括指示检测结果;b)基本级:检测用户数据完整性的所有尝试,如果完成有的话,还包括指示检测结果;c)详细级:发生的完整性错误的类型;d)详细级:检测到完整性错误时所采取的行动.
FDP_SDI.
1存储数据完整性监视从属于:无其他组件.
FDP_SDI.
1.
1TSF应基于下列属性[赋值:用户数据属性]对所有客体,监视存储在TOE内的用户数据是否出现[赋值:完整性错误].
依赖关系:无依赖关系.
FDP_SDI.
2存储数据的完整性监视与行动从属于:FDP_SDI.
1FDP_SDI.
2.
1TSF应基于下列属性[赋值:用户数据属性]对所有客体,监视存储在TOE内的用户数据是否出现[赋值:完整性错误].
FDP_SDI.
2.
1检测到完整性错误时,TSF应[赋值:采取的行动].
依赖关系:无依赖关系.
TSF间用户数据传输的保密性保护(FDP_UCT)子类行为本子类定义当用户数据通过外部信道在不同的TOE之间,或是在不同的TOE用户之间传递时,确保用户数据保密性的要求.
组件层次FDP_UCT.
1基本的数据交换保密性,目的是为用户数据提供保护,防止其在传输过程中被泄露.
管理:FDP_UCT.
1对本组件,没有可预见的管理活动.
审计:FDP_UCT.
1如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:a)最小级:使用数据交换机制的任何用户或主体的身份;b)基本级:企图使用用户数据交换机制的任何未授权用户或主体的身份;c)基本级:对确定被传输或接收的用户数据有用的名字或其它索引信息的引用,可能包括与信息相关联的安全属性.
FDP_UCT.
1基本的数据交换保密性从属于:无其他组件.
FDP_UCT.
1.
1TSF应执行[赋值:访问控制SFP或信息流控制SFP],使得能以某种防止未授权泄露的方式[选择:传送,接收]客体.
依赖关系:[FTP_ITC.
1TSF间的可信信道,或FTP_TRP.
1可信路径][FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]TSF间用户数据传输的完整性保护(FDP_UIT)子类行为本子类定义用户数据在TSF和其它可信IT产品间传输时,提供完整性并从可检测的错误中恢复的要求.
本子类至少监视用户数据针对篡改的完整性,此外,还支持检测到完整性错误时采取的各种纠正方法.

组件层次FDP_UIT.
1数据交换的完整性,解决对被传输的用户数据的篡改、删除、插入和重用等错误的检测.
FDP_UIT.
2原发端数据交换恢复,解决由接收端TSF借助于原发端可信IT产品,恢复原始的用户数据.
FDP_UIT.
3接受端数据交换恢复,解决由接收端TSF自己,无需原发端可信IT产品的任何帮助,恢复原始的用户数据.
管理:FDP_UIT.
1,FDP_UIT.
2,FDP_UIT.
3对本组件,尚无预见的管理活动.
审计:FDP_UIT.
1,如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:a)最小级:使用数据交换机制的任何用户或主体的身份;b)基本级:企图使用用户数据交换机制的任何未授权用户或主体的身份;c)基本级:对确定被传输或接收的用户数据有用的名字或其它索引信息的引用,可能包括和信息相联的安全属性;d)基本级:任何确定的阻塞用户数据传输的尝试;e)详细级:任何检测到的用户数据传输中的篡改类型或后果.
审计:FDP_UIT.
2,FDP_UIT.
3如果PP/ST包括FAU_GEN安全审计数据产生,则以下事件应可审计:a)最小级:使用数据交换机制的任何用户或主体的身份;b)最小级:从错误中成功的恢复,包括检测到的错误类型;c)基本级:企图使用用户数据交换机制的任何未授权用户或主体的身份;d)基本级:对确定被传输或接收的用户数据有用的名字或其它索引信息的引动,可能包括和信息相联的安全属性;e)基本级:任何确定的阻塞用户数据传输的尝试;f)详细级:任何检测到的用户数据传输中的篡改类型或后果.
FDP_UIT.
1数据交换完整性从属于:无其他组件.
FDP_UIT.
1.
1TSF应执行[赋值:访问控制SFP或信息流控制SFP],使得能以某种方式[选择:传送,接收]用户数据,保护数据避免[选择:篡改,删除,插入,重用]错误.
FDP_UIT.
1.
2TSF应能根据收到的用户数据判断,是否出现了[选择:篡改,删除,插入,重用].
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制][FTP_ITC.
1TSF间的可信信道,或FTP_TRP.
1可信路径]FDP_UIT.
2原发端数据交换恢复从属于:无其他组件.
FDP_UIT.
2.
1TSF应执行[赋值:访问控制SFP或信息流控制SFP],以便能在原发端可信IT产品的帮助下,从[赋值:可恢复的错误列表]中恢复.
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]FDP_UIT.
1数据交换完整性FTP_ITC.
1TSF间的可信信道FDP_UIT.
3接受端数据交换恢复从属于:FDP_UIT.
2FDP_UIT.
3.
1TSF应执行[赋值:访问控制SFP或信息流控制SFP],使得可以在没有任何源可信IT产品的帮助下,从[赋值:可恢复的错误列表]中恢复.
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]FDP_UIT.
1数据交换完整性FTP_ITC.
1TSF间的可信信道FIA类:标识和鉴别本类中的子类提出建立和验证所声称的用户身份的功能要求.
需要通过标识和鉴别确保用户与正确的安全属性相关联(如身份、组、角色、安全或完整性等级).
授权用户的无歧义标识以及安全属性与用户和主体的正确关联是实施预定安全策略的关键.
本类中的子类处理:用户身份的确定和验证、确定它们与TOE交互的权利、以及每个授权用户安全属性的正确关联.
其它类(如用户数据保护、安全审计)的有效性建立在对用户的正确标识和鉴别基础上.

标识和鉴别类分解鉴别失败(FIA_AFL)子类行为本子类要求为不成功的鉴别尝试次数定义值,以及鉴别尝试失败时TSF的行动.
参数包括但不限于,失败的鉴别尝试次数和时间门限值.
组件层次FIA_AFL.
1要求TSF能够在用户鉴别尝试失败了指定的次数后,终止会话建立进程.
此外,它还要求会话建立进程终止后,直到管理员定义的条件出现前,TSF能够使用户帐号无效,或者使进行尝试的登录点无效(如,某工作站).

管理:FIA_AFL.
1FMT中的管理功能,可考虑如下行动:a)管理失败的鉴别尝试门限值;b)管理鉴别失败时将要采取的行动.
审计:FIA_AFL.
1如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:未成功鉴别尝试达到门限值及所采取的行动(如,使终端无效),及随后(适当时)还原到正常状态(如,重新使终端有效).
FIA_AFL.
1鉴别失败处理从属于:无其他组件.
FIA_AFL.
1.
1当与[赋值:鉴别事件列表]相关的[赋值:数目]次不成功鉴别尝试出现时,TSF应加以检测.
FIA_AFL.
1.
2当达到或超过所定义的不成功鉴别尝试的次数时,TSF应[赋值:行动列表].
依赖关系:FIA_UAU.
1鉴别定时用户属性定义(FIA_ATD)子类行为所有授权用户可能都有一组除用户身份外的安全属性用来执行TSP.
本子类定义用于支持TSP所需的将用户安全属性与用户相关联的要求.
组件层次FIA_ATD.
1用户属性定义,允许对每个用户的用户安全属性分别加以维护.
管理:FIA_ATD.
1FMT中的管理功能,可考虑如下行动:a)如果赋值中如此指明的话,授权管理员应能够为用户定义附加的安全属性.
审计:FIA_ATD.
1如果PP/ST中包含FAU_GEN安全审计数据产生,无确定的可审计行动.
FIA_ATD.
1用户属性定义从属于:无其他组件.
FIA_ATD.
1.
1TSF应保存属于每个用户的下列安全属性:[赋值:安全属性列表].
依赖关系:无依赖关系.
秘密的规范(FIA_SOS)子类行为本子类定义对所提供的秘密执行规定的质量量度以及生成满足规定的量度的秘密的机制方面的要求.
组件层次FIA_SOS.
1秘密的验证,要求TSF验证秘密满足规定的质量量度.
FIA_SOS.
2秘密的TSF生成,要求TSF能够产生满足规定的质量量度的秘密.
管理:FIA_SOS.
1FMT中的管理功能,可考虑如下行动:a)管理用于验证秘密的量度.
管理:FIA_SOS.
2FMT中的管理功能,可考虑如下行动:a)管理用于产生秘密的量度.
审计:FIA_SOS.
1,FIA_SOS.
2如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:TSF对所有已测试秘密的拒绝;b)基本级:TSF对所有已测试秘密的拒绝或接受;c)详细级:对所定义质量量度的所有改动的标识.
FIA_SOS.
1秘密的验证从属于:无其他组件.
FIA_SOS.
1.
1TSF应提供一种机制以验证秘密满足[赋值:一个确定的质量量度].
依赖关系:无依赖关系.
FIA_SOS.
2秘密的TSF生成从属于:无其他组件.
FIA_SOS.
2.
1TSF应提供一种机制以产生满足[赋值:一个确定的质量量度]的秘密.
FIA_SOS.
2.
2TSF应能够为[赋值:TSF功能列表]使用TSF产生的秘密.
依赖关系:无依赖关系.
用户鉴别(FIA_UAU)子类行为本子类定义TSF所支持的用户鉴别机制的类型,和作为用户鉴别机制基础所需要的属性.
组件层次FIA_UAU.
1鉴别定时,允许用户在其身份被鉴别前执行某些行动.
FIA_UAU.
2在任何行动前的用户鉴别,要求用户在TSF允许任何行动之前,先鉴别它们自己.
FIA_UAU.
3不可伪造的鉴别,要求鉴别机制能够检测和防止使用伪造或复制的鉴别数据.
FIA_UAU.
4一次性鉴别机制,要求使用一次性鉴别数据的鉴别机制.
FIA_UAU.
5多重鉴别机制,要求提供和使用不同的鉴别机制,为特定的事件鉴别用户的身份.
FIA_UAU.
6重鉴别,要求有能力说明哪些事件用户需要被重新鉴别.
FIA_UAU.
7受保护的鉴别反馈,要求在鉴别期间,只提供给用户有限的反馈信息.
管理:FIA_UAU.
1FMT中的管理功能,可考虑如下行动:a)管理员对鉴别数据的管理;b)相关用户对鉴别数据的管理;c)用户鉴别前可执行的行动列表的管理.
管理:FIA_UAU.
2FMT中的管理功能,可考虑如下行动:a)管理员对鉴别数据的管理;b)与鉴别数据相关的用户,对鉴别数据的管理.
管理:FIA_UAU.
3,FIA_UAU.
4,FIA_UAU.
7尚无预见的管理活动.
管理:FIA_UAU.
5FMT中的管理功能,可考虑如下行动:a)鉴别机制的管理;b)鉴别规则的管理.
管理:FIA_UAU.
6FMT中的管理功能,可考虑如下行动:a)如果一个授权管理员能请求重鉴别,则管理包含重鉴别请求.
审计:FIA_UAU.
1如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:使用鉴别机制失败;b)基本级:所有对鉴别机制的使用;c)详细级:用户鉴别前,执行的所有由TSF促成的行动.
审计:FIA_UAU.
2如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:使用鉴别机制失败;b)基本级:所有对鉴别机制的使用.
审计:FIA_UAU.
3如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:欺骗性鉴别数据的发现;b)基本级:对欺骗性的数据立即采取的所有措施和检查结果.
审计:FIA_UAU.
4如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:重用鉴别数据的企图.
审计:FIA_UAU.
5如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:鉴别的最终判决;b)基本级:每个被激活机制的结果以及最终判决.
审计:FIA_UAU.
6如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:重鉴别失败;b)基本级:所有重鉴别尝试.
审计:FIA_UAU.
7尚无预见的可审计事件.
FIA_UAU.
1鉴别定时从属于:无其他组件.
FIA_UAU.
1.
1在用户鉴别前,TSF应允许代表用户的[赋值:TSF促成的行动列表]被执行.
FIA_UAU.
1.
2在允许任何其它代表用户的TSF促成的行动执行前,TSF应要求该用户已被成功鉴别.
依赖关系:FIA_UID.
1标识定时FIA_UAU.
2任何行动前的用户鉴别从属于:FIA_UAU.
1FIA_UAU.
2.
1在允许任何代表用户的其它TSF促成的行动执行前,TSF应要求该用户已被成功鉴别.
依赖关系:FIA_UID.
1标识定时FIA_UAU.
3不可伪造的鉴别从属于:无其他组件.
FIA_UAU.
3.
1TSF应[选择:检测,防止]一切TSF用户伪造的鉴别数据的使用.
FIA_UAU.
3.
2TSF应[选择:检测,防止]从任何其它TSF用户处拷贝的鉴别数据的使用.
依赖关系:无依赖关系.
FIA_UAU.
4一次性鉴别机制从属于:无其他组件.
FIA_UAU.
4.
1TSF应防止与[赋值:确定的鉴别机制]有关的鉴别数据的重用.
依赖关系:无依赖关系.
FIA_UAU.
5多重鉴别机制从属于:无其他组件.
FIA_UAU.
5.
1TSF应提供[赋值:多重鉴别机制列表]以支持用户鉴别.
FIA_UAU.
5.
2TSF应根据[赋值:描述多重鉴别机制如何提供鉴别的规则]鉴别一切用户所声称的身份.
依赖关系:无依赖关系.
FIA_UAU.
6重鉴别从属于:无其他组件.
FIA_UAU.
6.
1在[赋值:需要重鉴别的条件列表]条件下,TSF应重新鉴别用户.
依赖关系:无依赖关系.
FIA_UAU.
7受保护的鉴别反馈从属于:无其他组件.
FIA_UAU.
7.
1鉴别进行时,TSF应仅向用户提供[赋值:反馈列表].
依赖关系:FIA_UAU.
1鉴别定时用户标识(FIA_UID)子类行为本子类定义在什么条件下要求用户在执行任何其他由TSF促成的要有用户标识的行动之前,先标识他们自己.
组件层次FIA_UID.
1标识定时,允许用户在被TSF标识前,执行某些行动.
FIA_UID.
2任何行动前的用户标识,在TSF允许任何行动之前,要求用户标识它们自己.
管理:FIA_UID.
1FMT中的管理功能,可考虑如下行动:a)对用户身份的管理;b)如果一个授权管理员能够改变在标识前所允许的行动,那么对行动列表的管理.
管理:FIA_UID.
2FMT中的管理功能,可考虑如下行动:a)用户身份的管理.
审计:FIA_UID.
1,FIA_UID.
2如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:用户标识机制的使用失败,包括所提供的用户身份;b)基本级:用户标识机制的所有使用,包括所提供的用户身份.
FIA_UID.
1标识定时从属于:无其他组件.
FIA_UID.
1.
1在用户被标识之前,TSF应允许执行代表用户的[赋值:TSF促成的行动列表].
FIA_UID.
1.
2在允许代表用户的其它TSF促成的任何行动之前,TSF应要求用户被成功标识.
依赖关系:无依赖关系.
FIA_UID.
2任何行动前的用户标识从属于:FIA_UID.
1FIA_UID.
2.
1在允许任何代表用户的其它TSF促成的行动之前,TSF应要求用户标识自己.
依赖关系:无依赖关系.
用户_主体绑定(FIA_USB)子类行为一个已鉴别了的用户,为了使用TOE,一般要先激活一个主体.
用户的安全属性则(全部或部分地)与该主体相关联.
本子类定义建立和维护用户的安全属性与代表用户活动的主体间的关联的要求.
组件层次FIA_USB.
1用户-主体绑定,要求维持用户的安全属性与代表用户活动的主体间的关联.
管理:FIA_USB.
1FMT中的管理功能,可考虑如下行动:a)授权管理员可以定义默认的主体安全属性.
审计:FIA_USB.
1如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:用户安全属性与一个主体绑定的失败(如,创建一个主体);b)基本级:用户安全属性与一个主体绑定的成功与失败(如,创建一个主体的成功与失败).
FIA_USB.
1用户-主体绑定从属于:无其他组件.
FIA_USB.
1.
1TSF应将合适的用户安全属性与代表用户活动的主体相关联.
依赖关系:FIA_ATD.
1用户属性定义FMT类:安全管理本类目的是规定TSF几个方面的管理:安全属性、TSF数据和功能、可说明不同的管理角色及其相互作用,如能力的分离.
本类有几个目的:a)管理TSF数据,例如旗标;b)管理安全属性,例如访问控制表和能力表;c)管理TSF功能,例如功能的选择,影响TSF行为的规则或条件;d)定义安全角色.
安全管理类分解TSF中功能的管理(FMT_MOF)子类行为本子类允许授权用户控制TSF中功能的管理.
例如审计功能和多重鉴别功能都是TSF中的功能实例.
组件层次FMT_MOF.
1安全功能行为的管理,允许授权用户(角色)管理TSF中使用规则或具有指定可管理条件的功能的行为.
管理:FMT_MOF.
1FMT中的管理功能,可考虑如下行动:a)管理可以与TSF中的功能相互作用的角色组.
审计:FMT_MOF.
1如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)基本级:TSF中功能行为的所有改动.
FMT_MOF.
1安全功能行为的管理从属于:无其他组件.
FMT_MOF.
1.
1TSF应仅限于[赋值:已识别授权角色]对功能[赋值:功能列表]具有[选择:确定其行为,禁止,允许,修改其行为]的能力.
依赖关系:FMT_SMR.
1安全角色安全属性的管理(FMT_MSA)子类行为本子类允许授权用户控制安全属性的管理.
这种管理可能包括查看和修改安全属性的能力.
组件层次FMT_MSA.
1安全属性的管理,允许授权用户(角色)管理指定的安全属性.
FMT_MSA.
2安全的安全属性,确保赋给安全属性的值针对安全状态是有效的.
FMT_MSA.
3静态属性初始化,确保安全属性的默认值实际上设成了适当的允许或禁止.
管理:FMT_MSA.
1FMT中的管理功能,可考虑如下行动:a)管理可以和安全属性交互的角色组.
管理:FMT_MSA.
2尚无预见的额外管理活动.
管理:FMT_MSA.
3FMT中的管理功能,可考虑如下行动:a)管理可以指定初始值的角色组;b)对于某给定的访问控制SFP,管理默认值的允许或限制设置.
审计:FMT_MSA.
1如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)基本级:所有对安全属性值的改动.
审计:FMT_MSA.
2如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:对某安全属性,所有提供和被拒绝的值;b)详细级:对某安全属性,所有提供和接受的安全值.
审计:FMT_MSA.
3如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)基本级:对允许或限制规则的默认设置的修改;b)基本级:所有对安全属性的初始值的修改.
FMT_MSA.
1安全属性的管理从属于:无其他组件.
FMT_MSA.
1.
1TSF应执行[赋值:访问控制SFP,信息流控制SFP],以仅限于[赋值:已标识的授权角色]能够对安全属性[赋值:安全属性列表][选择:改变默认值,查询,修改,删除,[赋值:其它操作]].
依赖关系:[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]FMT_SMR.
1安全角色FMT_MSA.
2安全的安全属性从属于:无其他组件.
FMT_MSA.
2.
1TSF应确保安全属性只接受安全的值.
依赖关系:ADV_SPM.
1非形式化的TOE安全策略模型[FDP_ACC.
1子集访问控制,或FDP_IFC.
1子集信息流控制]FMT_MSA.
1安全属性的管理FMT_SMR.
1安全角色FMT_MSA.
3静态属性初始化从属于:无其他组件.
FMT_MSA.
3.
1TSF应执行[赋值:访问控制SFP,信息流控制SFP],以便为用于执行SFP的安全属性提供[选择:受限的,许可的,其它特性]默认值.
FMT_MSA.
3.
2TSF应允许[赋值:已标识授权角色]为生成的客体或信息指定替换性的初始值以代替原来的默认值.
依赖关系:FMT_MSA.
1安全属性的管理FMT_SMR.
1安全角色TSF数据的管理(FMT_MTD)子类行为本子类允许授权用户(角色)控制TSF数据的管理.
这里的TSF数据包括审计信息、时钟、系统配置和其它TSF配置参数.
组件层次FMT_MTD.
1TSF数据的管理,允许授权用户管理TSF数据.
FMT_MTD.
2TSF数据限值的管理,说明如果达到或超过了TSF数据的限值所应采取的行动.
FMT_MTD.
3安全的TSF数据,确保赋给TSF数据的值针对安全状态而言是有效的.
管理:FMT_MTD.
1FMT中的管理功能,可考虑如下行动:a)管理可以和TSF数据相互作用的角色组.
管理:FMT_MTD.
2FMT中的管理功能,可考虑如下行动:a)管理可以和TSF数据的限值相互作用的角色组管理:FMT_MTD.
3尚无预见的额外管理活动.
审计:FMT_MTD.
1如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)基本级:所有对TSF数据的值的改动.
审计:FMT_MTD.
2如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)基本级:所有对TSF数据的限值的改动;b)基本级:在超出该限值时,对一切所要采取的行动的修改.
审计:FMT_MTD.
3如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:所有被拒绝的TSF数据的值.
FMT_MTD.
1TSF数据的管理从属于:无其他组件.
FMT_MTD.
1.
1TSF应仅限于[赋值:已标识的授权角色]能够对[赋值:TSF数据列表][选择:改变默认值,查询,修改,删除,清空,[赋值:其它操作]].
依赖关系:FMT_SMR.
1安全角色FMT_MTD.
2TSF数据限值的管理从属于:无其他组件.
FMT_MSA.
2.
1TSF应仅限于[赋值:已识别的授权角色]说明对[赋值:TSF数据列表]的限值.
FMT_MSA.
2.
2如果TSF数据达到或超过了指明的限值,TSF应采取下面的行动:[赋值:要采取的行动].
依赖关系:FMT_MTD.
1TSF数据的管理FMT_SMR.
1安全角色FMT_MTD.
3安全的TSF数据从属于:无其他组件.
FMT_MSA.
3.
1TSF应确保TSF数据只接受安全的值.
依赖关系:ADV_SPM.
1非形式化TOE安全策略模型FMT_MTD.
1TSF数据的管理撤消(FMT_REV)子类行为本子类涉及TOE内各种实体的安全属性的撤消.
组件层次FMT_REV.
1撤消,提供对某一时刻将实施的安全属性的撤消.
管理:FMT_REV.
1FMT中的管理功能,可考虑如下行动:a)管理能够调用撤消安全属性这一功能的角色组;b)管理可能发生撤消的用户、主体、客体和其它资源列表;c)管理撤消规则.
审计:FMT_REV.
1如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:撤消安全属性失败;b)基本级:所有撤消安全属性的尝试.
FMT_REV.
1撤消从属于:无其他组件.
FMT_REV.
1.
1TSF应仅限于[赋值:已标识的授权角色]能够撤消TSC内与[选择:用户,主体,客体,其它附加资源]相关联的安全属性.
FMT_REV.
1.
2TSF应执行规则[赋值:撤消规则说明].
依赖关系:FMT_SMR.
1安全角色安全属性到期(FMT_SAE)子类行为本子类涉及对安全属性的有效性实施时间限制的能力.
组件层次FMT_SAE.
1时限授权,为授权用户提供对指定的安全属性说明有效期的能力.
管理:FMT_SAE.
1FMT中的管理功能,可考虑如下行动:a)管理支持有效期的安全属性表;b)如果到期,将要采取的行动.
审计:FMT_SAE.
1如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)基本级:属性有效期的说明;b)基本级:因属性到期而采取的行动.
FMT_SAE.
1时限授权从属于:无其他组件.
FMT_SAE.
1.
1TSF应仅限于[赋值:已标识的授权角色]能够为[赋值:支持有效期的安全属性列表]说明有效期.
FMT_REV.
1.
2对每个这样的安全属性,在超过指定的安全属性的有效期后,TSF应能够[赋值:对每一安全属性将要采取的行动列表].
依赖关系:FMT_SMR.
1安全角色FPT_STM.
1可靠时间戳安全管理角色(FMT_SMR)子类行为本子类目的是控制对用户指定不同角色.
这些角色的安全管理能力将在本类的其它子类中描述.
组件层次FMT_SMR.
1安全角色,说明TSF认同的与安全相关的角色.
FMT_SMR.
2安全角色限制,除了对角色的说明外,还有控制角色之间关系的规则.
FMT_SMR.
3承担角色,要求向TSF明确请求承担某个角色.
管理:FMT_SMR.
1FMT中的管理功能,可考虑如下行动:a)管理构成角色的一部分的用户组.
管理:FMT_SMR.
2FMT中的管理功能,可考虑如下行动:a)管理构成角色一部分的用户组;b)管理角色必须满足的条件.
管理:FMT_SMR.
3尚无预见的额外管理活动.
审计:FMT_SMR.
1如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:对构成角色一部分的用户组的修改;b)详细级:对角色权限的每一次使用.
审计:FMT_SMR.
2如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:对构成角色一部分的用户组的修改;b)最小级:由于对角色所给定的条件,尝试使用某角色失败;c)详细级:对角色权限的每一次使用.
审计:FMT_SMR.
3如果PP/ST中包括FAU_GEN安全审计数据产生,下列事件应可审计:a)最小级:承担角色的明确请求.
FMT_SMR.
1安全角色从属于:无其他组件.
FMT_SMR.
1.
1TSF应维护角色[赋值:已标识的授权角色].
FMT_SMR.
1.
2TSF应能够把用户和角色关联起来.
依赖关系:FIA_UID.
1标识定时FMT_SMR.
2安全角色限制从属于:FMT_SMR.
1FMT_SMR.
2.
1TSF应维护角色[赋值:已标识的授权角色].
FMT_SMR.
2.
2TSF应能够把用户和角色关联起来.
FMT_SMR.
2.
3TSF应确保条件[赋值:不同角色的条件]得到满足.
依赖关系:FIA_UID.
1标识定时FMT_SMR.
3承担角色从属于:无其他组件.
FMT_SMR.
3.
1TSF应要求承担下列角色[赋值:角色]的明确请求.
依赖关系:FMT_SMR.
1安全角色FPR类:隐秘此类包括隐秘要求.
这些要求为用户提供其身份不被其他用户发现或滥用的保护.
隐秘类分解匿名(FPR_ANO)子类行为本子类确保一用户在使用资源或服务时不暴露他的身份.
匿名需要对用户的身份提供保护.
匿名并不保护主体的身份.
组件层次FPR_ANO.
1匿名,要求其他用户或主体不能决定与某个主体或操作所绑定的那一用户的身份.
FPR_ANO.
2无征求信息的匿名,通过确保TSF不询问用户身份来增强FPR_ANO.
1的要求.
管理:FPR_ANO.
1,FPR_ANO.
2对这些组件,没有可预见的管理行动.
审计:FPR_ANO.
1,FPR_ANO.
2如果在PP/ST中FAU_GEN安全审计数据产生,则下面的行动应是可审计的.
a)最小级:匿名机制的调用.
FPR_ANO.
1匿名从属于:无其他组件.
FPR_ANO.
1.
1TSF应确保[赋值:用户或主体集]不能确定与[赋值:主体或操作或客体列表]绑定的真实用户名.
依赖关系:无依赖关系.
FPR_ANO.
2无征求信息的匿名.
从属于:FPR_ANO.
1FPR_ANO.
2.
1TSF应确保[赋值:用户或主体集]不能确定与[赋值:主体或操作或客体列表]绑定的真实用户名.
FPR_ANO.
2.
2TSF应提供[赋值:服务列表]给[赋值:主体列表],而不询问真实的用户名.
依赖关系:无依赖关系.
假名(FPR_PSE)子类行为本子类确保一用户在使用资源或设备时不暴露其用户身份,但仍能对该次使用负责.
组件层次FPR_PSE.
1假名,要求一组用户或主体不能确定与主体或操作绑定的用户身份,但是该用户仍能对其行为负责.
FPR_PSE.
2可逆假名,要求TSF根据所提供的化名提供一种确定原始用户身份的能力.
FPR_PSE.
3化名假名,要求TSF对用户身份的化名采用某种构造规则.
管理:FPR_PSE.
1,FPR_PSE.
2,FPR_PSE.
3对这些组件没有可能预知的管理行为.
审计:FPR_PSE.
1,FPR_PSE.
2,FPR_PSE.
3如果PP/ST中包括FAU_GEN安全审计数据产生,下面的行动应是可审计的.
a)最小级:请求辨析用户身份的主体/用户.
FPR_PSE.
1假名从属于:无其他组件.
FPR_PSE.
1.
1TSF应确保[赋值:用户或主体集]不能确定与[赋值:主体或操作或客体列表]绑定的真实用户名.
FPR_PSE.
1.
2TSF应能提供真实用户名的[赋值:化名的数目]个化名给[赋值:主体列表].
FPR_PSE.
1.
3TSF应[选择:决定一用户的化名,接受该用户的化名]和验证它是否符合[赋值:化名的量度]依赖关系:无依赖关系.
FPR_PSE.
2可逆假名从属于:FPR_PSE.
1FPR_PSE.
2.
1TSF应确保[赋值:用户或主体集]不能确定与[赋值:主体或操作或客体列表]绑定的真实用户名.
FPR_PSE.
2.
2TSF应能提供真实用户名的[赋值:化名的数目]个化名给[赋值:主体列表].
FPR_PSE.
2.
3TSF应能[选择:决定一用户的化名,接受该用户的化名]和验证它是否符合[赋值:化名的量度].
FPR_PSE.
2.
4TSF应对[选择:授权用户,[赋值:可信主体列表]]提供只在以下[赋值:各种条件列表]下基于提供的化名来决定用户身份的能力.
依赖关系:FIA_UID.
1标识定时FPR_PSE.
3化名假名从属于:FPR_PSE.
1FPR_PSE.
3.
1TSF应确保[赋值:用户或主体集]不能确定与[赋值:主体或操作或客体列表]绑定的真实用户名.
FPR_PSE.
3.
2TSF应能提供真实用户名的[赋值:化名的数目]个化名给[赋值:主体列表].
FPR_PSE.
3.
3TSF应能[选择:决定一用户的化名,接受该用户的化名]和验证它是否符合[赋值:化名的量度].
FPR_PSE.
3.
4TSF应能给真实用户名提供一化名,它应当与在以下[赋值:各种列表]下以前提供的化名相同,要不然提供的化名应与以前提供的化名毫不相关.
依赖关系:无依赖关系.
不可关联性(FPR_UNL)子类行为本子类确保一用户可多次使用资源和服务,但任何人都不能将这些使用联在一起.
组件层次FPR_UNL.
1不可关联性,要求用户或主体不能决定是否同一个用户在系统中进行了某种特定的操作.
管理:FPR_UNL.
1对于在FMT中的管理功能,要考虑以下的活动.
不可关联功能的管理.
审计:FPR_UNL.
1如果PP/ST中包括FAU_GEN安全审计数据产生,下面的行动应是可审计的.
a)最小级:不可关联性机制的调用.
FPR_UNL.
1不可关联性从属于:无其他组件.
FPR_UNL.
1.
1TSF应确保[赋值:用户或主体集]不能确定是否[赋值:操作列表][选择:由同一用户引起,与如下[赋值:关系列表]有关].
依赖关系:无依赖关系.
不可观察性(FPR_UNO)子类行为本子类确保一用户在使用资源和服务时其他人尤其是第3方不能观察到该资源和服务正被使用.
组件层次FPR_UNO.
1不可观察性,要求用户或主体不能确定一个操作是否在执行.
FPR_UNO.
2影响不可观察性的信息的分配,要求TSF能提供专门的机制以防止TOE内有关隐秘信息的集中.
当出现安全性损害时,如此的集中可能会影响到不可观察性.
FPR_UNO.
3无征求信息的不可观察性,要求TSF不要试图获得可能会损害不可观察性的有关隐秘信息.
FPR_UNO.
4授权用户可观察性,要求TSF能够提供给一个或多个授权用户观察资源或服务使用情况的能力.
管理:FPR_UNO.
1,FPR_UNO.
2对FMT中的管理功能,可考虑以下活动:a)不可观察性功能的行为的管理.
管理:FPR_UNO.
3对这些组件没有可预知的管理活动.
管理:FPR_UNO.
4对在FMT中的管理功能,可考虑以下活动:a)有能力决定操作发生的授权用户列表.
审计:FPR_UNO.
1,FPR_UNO.
2如果在PP/ST中包括FAU_GEN安全审计数据产生,下面的行动应是可审计的.
a)最小级:调用不可观察性机制.
审计:FPR_UNO.
3如果在PP/ST中包括FAU_GEN安全审计数据产生时,就没有确定的行动可审计的.
审计:FPR_UNO.
4如果在PP/ST中包括FAU_GEN安全审计数据产生,下面的行动应是可审计的.
a)最小级:用户或主体对资源或服务使用的观察行为.
FPR_UNO.
1不可观察性从属于:无其他组件.
FPR_UNO.
1.
1TSF应确保[赋值:用户或主体列表]不能观察由[赋值:受保护的用户或主体列表]对[赋值:客体列表]进行的操作[赋值:操作列表].
依赖关系:无依赖关系.
FPR_UNO.
2影响不可观察性的信息的分配从属于:FPR_UNO.
1FPR_UNO.
2.
1TSF应确保[赋值:用户或主体列表]不能观察由[赋值:受保护的用户或主体列表]对[赋值:客体列表]进行的操作[赋值:操作列表].
FPR_UNO.
2.
2TSF应在TOE的不同部分中分配[赋值:不可观察性相关信息],使得在信息的生存期间,下列条件成立:[赋值:条件列表].
依赖关系:无依赖关系.
FPR_UNO.
3无征求信息的不可观察性从属于:无其他组件.
FPR_UNO.
3.
1TSF应当在没有征求任何[赋值:隐秘相关信息]的情况下为[赋值:主体列表]提供[赋值:服务列表].
依赖关系:FPR_UNO.
1不可观察性.
FPR_UNO.
4授权用户可观察性从属于:无其他组件.
FPR_UNO.
4.
1TSF应提供[赋值:授权用户集]观察[赋值:资源或服务列表]使用情况的能力.
依赖关系:无依赖关系.
FPT类:TSF保护本类包含了多个功能要求子类.
一方面与提供TSF(和特定TSP无关)的机制的完整性和管理有关,另一方面与TSF数据(和TSP数据的特定内容无关)的完整性有关.
在某种意义下,FPT类的子类可能出现与FDP类(用户数据保护)中完全相同的组件;它们甚至用相同的机制来实现.
但是,FDP主要针对用户数据的保护,而FPT则针对TSF数据的保护.
实际上,FPT类的组件对保证TOE中的SFP不被篡改和旁路是必需的.

从FPT类的观点看,TSF有以下三大部分:a)TSF抽象机,它可以是虚拟的,也可以是物理机器,这取决于评估执行时特定的TSF实现.
b)TSF实现,在抽象机上执行并实现执行TSP的机制.
c)TSF数据,这是指导执行TSP的管理数据库.
TSF保护类分解TSF保护类分解根本抽象机测试(FPT_AMT)子类行为本子类定义了TSF执行用来验证所作的安全假定而进行测试的要求,这些安全假定是与TSF所依赖的根本抽象机有关的.
这种"抽象的"机器既可以是硬件/固件平台,也可以是某些已知的并经评价的软硬件结合构成的虚拟机.

组件层次FPT_AMT.
1抽象机测试,提供了对根本抽象机的测试.
管理:FPT_AMT.
1在FMT的管理功能中,考虑以下活动:a)抽象机测试产生条件的管理,比如初始启动期间、规定的时间间隔或在某些特定条件下.
b)恰当的时间间隔管理.
审计:FPT_AMT.
1如果PP/ST中包含FAU_GEN安全审计数据产生,下列行动应审计:a)基本级:抽象机的测试执行和测试结果.
FPT_AMT.
1抽象机测试从属于:无其他组件.
FPT_AMT.
1.
1TSF应运行一测试套[选择:初始化启动期间,正常运转时周期性地,授权用户提出请求时,其他条件]来验证由TSF所基于的抽象机提供的安全假定的正确执行.
依赖关系:无依赖关系.
失败保护(FPT_FLS)子类行为本子类要求确保当TSF中确定的失败类型出现时,该TOE不会违背其TSP.
组件层次本子类仅有一个组件,FPT_FLS.
1带保存安全状态的失败,要求TSF当确定的失败出现时保存一个安全状态.
管理:FPT_FLS.
1尚无可预知的管理活动.
审计:FPT_FLS.
1如果PP/ST中包含FAU_GEN安全审计数据产生,下列行动应是可审计的:a)基本级:TSF失败.
FPT_FLS.
1带保存安全状态的失败从属于:无其他组件.
FPT_FLS.
1.
1TSF在下列失败发生时应保存一个安全状态[赋值:TSF的失败类型列表].
依赖关系:ADV_SPM.
1非形式化的TOE安全策略模型输出TSF数据的可用性(FPT_ITA)子类行为本子类定义了一些规则,这些规则防止TSF数据在该TSF与一远程可信IT产品之间移动时失去其可用性.
这些数据可能是TSF的关键数据,如口令、密钥、审计数据或TSF可执行的代码.
组件层次本子类由一个组件组成:FPT_ITA.
1在所定义可用性量度范围内的TSF间的可用性.
本组件要求TSF以确定的可能性程度,确保向远程可信IT产品提供的TSF数据的可用性.
管理:FPT_ITA.
1在FMT的管理功能中,可考虑以下活动:a)管理对远程可信IT产品必须可用的TSF数据的类型列表.
审计:FPT_ITA.
1如果PP/ST中包含FAU_GEN安全审计数据产生,下列行动应是可审计的:a)最小级:TOE要求TSF数据时,TSF数据不存在.
FPT_ITA.
1在所定义可用性量度范围内的TSF间的可用性从属于:无其他组件.
FPT_ITA.
1.
1在下述条件[赋值:确保可用性的条件]下,TSF应确保提供给[赋值:所定义可用性量度范围]内的远程可信IT产品的[赋值:TSF数据类型列表]的可用性.
依赖关系:无依赖关系.
输出TSF数据的保密性(FPT_ITC)子类行为本子类定义了保护TSF数据在TSF与远程可信IT产品之间传输时,不被未授权泄露的规则.
这些数据可以是TSF的关键数据,如口令、密钥、审计数据或TSF的可执行代码.
组件层次本子类仅有一个组件,FPT_ITC.
1传输过程中TSF间的保密性,它要求TSF确保数据在TSF与远程可信IT产品间传输时不被泄露.
管理:FPT_ITC.
1尚无可预见的管理活动.
审计:FPT_ITC.
1即使PP/ST中包含FAU_GEN安全审计数据产生,也没有确定的活动可审计.
FPT_ITC.
1传输过程中TSF间的保密性从属于:无其他组件.
FPT_ITC.
1.
1在TSF数据从TSF到远程可信IT产品的传输过程中,TSF应保护所有的TSF数据不被未授权泄漏.
依赖关系:无依赖关系.
输出TSF数据的完整性(FPT_ITI)子类行为这子类定义了一些保护规则,防止TSF数据在TSF与远程可信IT产品的传输过程中被未授权修改.
这些数据可以是TSF的关键数据,如口令、密钥、审计数据或TSF的可执行代码.
组件层次FPT_ITI.
1TSF间修改的检测,假设远程可信IT产品知道所使用的机制,则本组件提供了检测在TSF与远程可信IT产品间传输的TSF数据是否在传输过程中被修改的能力.
FPT_ITI.
2TSF间修改的检测与改正,假设远程可信IT产品知道所使用的机制,则本组件提供了让远程可信IT产品不仅可以检测到TSF数据的修改,还可以更正被修改数据的能力.
管理:FPT_ITI.
1尚无可预见的管理活动.
管理:FPT_ITI.
2在FMT的管理功能中,可考虑以下活动:a)管理TSF数据的类型,本类TSF数据若在传输期间被修改,TSF应试图将其改正;b)管理TSF数据在传输过程中被修改后,TSF能采取的行动类型.
审计:FPT_ITI.
1如果PP/ST中包含FAU_GEN安全审计数据产生,下列行动应是可审计的:a)最小级:检测传输的TSF数据的修改;b)基本级:根据检测到的传输TSF数据被修改情况所采取的行动.
审计:FPT_ITI.
2当PP/ST中有FAU_GEN安全审计数据产生时,须进行下列审计:a)最小级:检测传输TSF数据是否被修改;b)基本级:根据检测到的传输TSF数据被修改情况所采取的行动;c)基本级:改正机制的使用.
FPT_ITI.
1TSF间修改的检测从属于:无其他组件.
FPT_ITI.
1.
1TSF应提供在下列量度范围内:[赋值:已定义的修改量度],检测TSF与远程可信IT产品间传输的所有TSF数据是否被修改的能力.
FPT_ITI.
1.
2TSF应提供验证在TSF与远程可信IT产品间传输的所有TSF数据的完整性及执行如果检测到修改所采取的[赋值:采取的行动]的能力.
依赖关系:无依赖关系.
FPT_ITI.
2TSF间修改的检测与改正从属于:FPT_ITI.
1FPT_ITI.
2.
1TSF应提供在下列量度范围内[赋值:定义的修改量度],检测TSF与远程可信IT产品间传输的所有TSF数据被修改的能力.
FPT_ITI.
2.
2TSF应提供验证在TSF与远程可信IT产品间传输的所有TSF数据的完整性执行,如果检测到修改所采取的[赋值:采取的行动]的能力.
FPT_ITI.
2.
3TSF应提供改正在TSF与远程可信IT产品间传输的被修改的[赋值:修改类型]所有TSF数据的能力.
依赖关系:无依赖关系.
TOE内TSF数据的传输(FPT_ITT)子类行为:本子类提供了旨在使TSF数据当其通过内部信道在TOE的分离部分间传输时受到保护的要求.
组件层次FPT_ITT.
1内部TSF数据传输的基本保护,要求对在TOE的分离部分间传输的TSF数据进行保护.
FPT_ITT.
2TSF数据传输的分离,要求TSF在传输过程中把用户数据从TSF数据中分离出来.
FPT_ITT.
3TSF数据完整性的监视,要求监视在TOE分离部分间传输的TSF数据的确定的完整性错误.
管理:FPT_ITT.
1在FMT的管理功能中,可考虑下面的活动:a)管理TSF要防止的修改类型;b)管理用来保护在TSF不同部分间传输的数据的保护机制.
管理:FPT_ITT.
2在FMT的管理功能中,可考虑下面的活动:a)管理TSF要防止的修改类型;b)管理用来保护在TSF不同部分间传输的数据的保护机制;c)管理分离机制.
管理:FPT_ITT.
3在FMT的管理功能中,可考虑下面的活动:a)管理TSF要防止的修改类型;b)管理用来保护在TSF不同部分间传输的数据的保护机制;c)管理TSF试图要检测的TSF数据的修改类型;d)管理将采取的行动.
审计:FPT_ITT.
1,FPT_ITT.
2如果PP/ST中包含FAU_GEN安全审计数据产生,没有可审计的确定的行动.
审计:FPT_ITT.
3如果PP/ST中包含FAU_GEN安全审计数据产生,下列行动应是可审计的:a)最小级:检测TSF数据的改动;b)基本级:检测到完整性错误后采取的行动.
FPT_ITT.
1内部TSF数据传输的基本保护从属于:无其他组件.
FPT_ITT.
1.
1TSF应保护TSF数据在TOE的分离部分间传输时不被[选择:泄漏,修改].
依赖关系:无依赖关系.
FPT_ITT.
2TSF数据传输的分离从属于:FPT_ITT.
1FPT_ITT.
2.
1TSF应保护TSF数据在TOE的分离部分间传输时不被[选择:泄漏,修改].
FPT_ITT.
2.
2当数据在不同的TOE部分间传输时,TSF应将用户数据从TSF数据中分离出来.
依赖关系:无依赖关系.
FPT_ITT.
3TSF数据完整性监视从属于:无其他组件.
FPT_ITT.
3.
1TSF应能检测在TOE的分离部分间传输的TSF数据的[选择:数据的修改,数据的替换,数据的重排,数据的删除,[赋值:其它完整性错误]].
FPT_ITT.
3.
2检测到数据的完整性错误后,TSF应采取下列行动:[赋值:规定采取的行动].
依赖关系:FPT_ITT.
1内部TSF数据传输的基本保护TSF物理保护(FPT_PHP)子类行为TSF物理保护组件指限制对TSF的未授权的物理访问及阻止并抵抗对TSF未授权的物理修改及替换.
本子类组件的要求确保了TSF不被物理篡改和干扰.
若满足了这些组件的要求,TSF就可以用一种可检测出物理篡改或对物理篡改执行抵抗的方式封装起来并使用.
如果没有这些组件,在物理危险无法避免的环境中TSF的保护功能就会失效.
关于TSF如何对物理篡改企图作出反应,本子类也提供了的要求.

组件层次FPT_PHP.
1物理攻击的被动检测,提供指示TSF设备或TSF元件遭到篡改的功能.
但是检测到篡改后不会自动进行提示,授权用户必须激活安全管理功能或手动检查以判断篡改是否发生.
FPT_PHP.
2物理攻击报告,对确定的一个物理侵入子集提供自动篡改报告.
FPT_PHP.
3物理攻击抵抗,提供防止或抵抗对TSF设备和TSF元件的物理篡改的功能.
管理:FPT_PHP.
1,FPT_PHP.
3没有可预见的管理活动.
管理:FPT_PHP.
2在FMT的管理功能中,可考虑下面的活动:a)管理获取入侵报告的用户或角色;b)管理一系列设备,这些设备向指定的用户或角色报告入侵.
管理:FPT_PHP.
3在FMT的管理功能中,可考虑下面的活动:a)管理对物理篡改的自动应答.
审计:FPT_PHP.
1如果PP/ST中包含FAU_GEN安全审计数据产生,如下行动应是可审计的:a)最小级:用IT手段检测入侵.
审计:FPT_PHP.
2如果PP/ST中给FAU_GEN安全审计数据产生,如下行动应是可审计的:a)最小级:检测入侵.
审计:FPT_PHP.
3如果PP/ST中包含FAU_GEN安全审计数据产生,没有确定的可审计的行动.
FPT_PHP.
1物理攻击的被动检测从属于:无其他组件.
FPT_PHP.
1.
1对可能危及TSF的安全的物理篡改提供明确的检测.
FPT_PHP.
1.
2为TSF提供判断TSF设备或TSF元件是否已被物理篡改的能力.
依赖关系:FMT_MOF.
1安全功能行为管理FPT_PHP.
2物理攻击报告从属于:FPT_PHP.
1FPT_PHP.
2.
1对可能危及TSF的安全的物理篡改提供明确的检测.
FPT_PHP.
2.
2为TSF提供判断TSF设备或TSF元件是否已被物理篡改的能力.
FPT_PHP.
2.
3对[赋值:需主动检测的TSF设备及元件列表],TSF应监视这些设备和元件,并当其发生物理篡改时通报给[赋值:指定的用户或角色].
依赖关系:FMT_MOF.
1安全功能行为管理FPT_PHP.
3物理攻击抵抗从属于:无其他组件.
FPT_PHP.
3.
1TSF应通过自动应答来抵抗对[赋值:TSF设备/元件列表]的[赋值:各种物理篡改],以遵从TSP.
依赖关系:无依赖关系.
可信恢复(FPT_RCV)子类行为本子类的要求确保TSF能确定TOE是在没有减弱安全的状况下启动的,并在运行中断后能在不减弱保护的情况下恢复.
因为TSF的启动状态决定了对后续状态的保护,故本子类是很重要的.
组件层次FPT_RCV.
1手工恢复,容许TOE只提供人工干预以返回安全状态的机制.
FPT_RCV.
2自动恢复,至少对一种类型的服务中断,在无人工干预的情况下能恢复到安全状态;对其它类型服务中断的恢复可以要求人工干预.
FPT_RCV.
3无过度损失的自动恢复,也提供自动恢复,但通过不容许被保护客体的过度损失来加强要求.
FPT_RCV.
4功能恢复,在特定的SF级别上恢复,保障成功完成恢复或将TSF数据回到一个安全状态.
管理:FPT_RCV.
1在FMT的管理功能中,可考虑下面的活动:a)管理在维护模式下谁能够获得恢复能力.
管理:FPT_RCV.
2,FPT_RCV.
3在FMT的管理功能中,可考虑下面的活动:a)管理在维护模式下谁能够获得恢复能力;b)管理通过自动化过程来处理的失败及服务中断列表.
管理:FPT_RCV.
4没有可预见的管理活动.
审计:FPT_RCV.
1,FPT_RCV.
2,FPT_RCV.
3如果PP/ST中含有FAU_GEN安全审计数据产生,如下行动应是可审计的:a)最小级:出现失败或服务中断;b)最小级:恢复正常运行;c)基本级:失败或服务中断类型.
审计:FPT_PCV.
4如果PP/ST中含有FAU_GEN安全审计数据产生,如下行动应是可审计的:a)最小级:如有可能,安全功能失败后,不能返回到安全状态的可能性;b)基本级:如有可能,检测安全功能的失败情况.
FPT_RCV.
1手工恢复从属于:无其他组件.
FPT_RCV.
1.
1发生失败或服务中断后,TSF应进入维护方式,该方式提供将TOE返回到一个安全状态的能力.
依赖关系:FPT_TST.
1TSF测试AGD_ADM.
1管理员指南ADV_SPM.
1非形式化的TOE安全策略模型FPT_RCV.
2自动恢复从属于:FPT_RCV.
1FPT_RCV.
2.
1当不能从失败或服务中断自动恢复时,TSF应进入维护方式,该方式提供将TOE返回到一个安全状态的能力.
FPT_RCV.
2.
2对[赋值:失败/服务中断列表],TSF应确保通过自动化过程使TOE返回到一个安全状态.
依赖关系:FPT_TST.
1TSF测试AGD_ADM.
1管理员指南ADV_SPM.
1非形式化TOE安全策略模型FPT_RCV.
3无过度损失的自动恢复从属于:FPT_RCV.
2FPT_RCV.
3.
1当不能从失败或服务中断自动恢复时,TSF应进入维护方式,该方式提供将TOE返回到一个安全状态的能力.
FPT_RCV.
3.
2对[赋值:失败/服务中断列表],TSF应确保通过自动化过程使TOE返回到一个安全状态.
FPT_RCV.
3.
3TSF提供的从失败或服务中断状态恢复的功能,应确保TSC内的TSF数据或客体在无过度[赋值:数量]损失的情况下恢复到初始状态.
FPT_RCV.
3.
4TSF应提供决定客体能否被恢复的能力.
依赖关系:FPT_TST.
1TSF测试AGD_ADM.
1管理员指南ADV_SPM.
1非形式化的TOE安全策略模型FPT_RCV.
4功能恢复从属于:无其他组件.
FPT_RCV.
4.
1TSF应确保[赋值:SF和失败情况列表]有如下特性,即SF或者被成功完成,或者对指明的失败情况恢复到一致的安全状态.
依赖关系:ADV_SPM.
1非形式化的TOE安全策略模型重放检测(FPT_RPL)子类行为本子类解决对各种类型实体(如消息、服务请求及应答)的重放检测及随后的改正行动.
只要检测出重放,就可以有效地避免重放.
组件层次本子类仅有一个组件,FPT_RPL.
1重放检测,它要求TSF能够检测出确定实体的重放.
管理:FPT_RCV.
1在FMT的管理功能中,可考虑下面的活动:a)管理应该检测出其重放的确定实体列表;b)管理发生重放时须采取的行动列表.
审计:FPT_RCV.
1,FPT_RCV.
2如果PP/ST中包含FAU_GEN安全审计数据产生,如下行动应是可审计的:a)基本级:检测重放攻击;b)详细级:对特定情况采取的行动.
FPT_RPL.
1重放检测从属于:无其他组件.
FPT_RPL.
1.
1TSF应检测以下实体的重放[赋值:确定实体列表].
FPT_RPL.
1.
2检测到重放时,TSF应执行[赋值:具体操作列表].
依赖关系:无依赖关系.
参照仲裁(FPT_RVM)子类行为本子类要求解决传统参照监视器的"一直运行"这一方面.
本子类的目的是对一个给定的SFP,确保要求执行策略的所有行动,都必须由TSF根据SFP加以确认.
如果TSF中执行该SFP的部分也满足来自FPT_SEP(域分离)和ADV_INT(TSF内部)的合适组件的要求,那么TSF的该部分就为SFP提供了一个"参照监视器".

当且仅当不可信主体所请求的有关任何或全部SFP的所有可执行行动(例如:访问客体)在成功前都要被TSF确认,实现该SFP的TSF才能提供有效抵抗非授权操作的保护.
如果一个可被TSF执行的操作,被不正确地执行或旁路,则该SFP的整体执行将受危害.
这样,主体就可通过多种未授权的途径旁路掉该SFP(例如逃避对主体或客体的存取校验、旁路掉对保护措施由应用程序执行的客体的校验、将存取权保留到超过其预定的生存期、旁路掉对被审计行动的审计或旁路掉鉴别).
注意,某些主体,对SFP而言也称作"可信主体",他们自己执行该SFP或许是可信的,并旁路掉该SFP的仲裁.

组件层次本子类仅有一个组件,FPT_RVM.
1TSP的不可旁路性,它要求对TSP中的所有SFP都不可旁路.
管理:FPT_RVM.
1没有可预见的管理活动.
审计:FPT_RVM.
1如果PP/ST中包含FAU_GEN安全审计数据产生,无确定的行动是可审计的.
FPT_RVM.
1TSP的不可旁路性从属于:无其他组件.
FPT_RVM.
1.
1TSF应确保在TSC内允许继续执行每一项功能前,TSP的执行功能都被成功激活.
依赖关系:无依赖关系.
域分离(FPT_SEP)子类行为本子类的组件确保TSF自己的执行时至少有一个安全域可用,并保护该TSF不被不可信主体从外部干扰篡改(如修改TSF编码或数据结构).
满足本子类要求的TSF具有自我保护能力,即不可信主体将不能修改或破坏该TSF.

本子类的要求如下:a)将TSF的安全域("保护域")的资源和该域外的主体及不受约束的实体分离开,使得保护域外的实体不能观察或修改保护域内的TSF数据或TSF编码.
b)域间的传输是受控的,不能随意地进入保护域或随意从保护域返回.
c)通过传地址方式传到保护域的用户或应用参数,应通过保护域地址空间进行确认;而通过传值方式传到保护域的那些用户或应用参数,则应通过该保护域所期望的值进行确认.
d)除了通过TSF控制的共享部分外,主体的安全域是不同的.
组件层次FPT_SEP.
1TSF域分离,为TSF提供不同的的保护域,并在TSC内将主体分离.
FPT_SEP.
2SFP域分离,要求对TSF进一步细分成不同的域,一些是针对作为策略参照监视器的SFP的确定集合,一个是针对TSF剩余部分,也有一些是针对TOE内的非TSF部分.
FPT_SEP.
3完全的参照监视器,要求有针对TSP执行的不同的域,有针对TSF剩余部分的域,还有针对TOE内的非TSF部分的域.
管理:FPT_SEP.
1,FPT_SEP.
2,FPT_SEP.
3没有可预见的管理活动.
审计:FPT_SEP.
1,FPT_SEP.
2,FPT_SEP.
3如果PP/ST中包含FAU_GEN安全审计数据产生,无确定的活动可审计的.
FPT_SEP.
1TSF域分离从属于:无其他组件.
FPT_SEP.
1.
1TSF应为自身执行时维护一个安全域,防止不可信主体的干扰和篡改.
FPT_SEP.
1.
2TSF应分离TSC内各主体的安全域.
依赖关系:无依赖关系.
FPT_SEP.
2SFP域分离从属于:FPT_SEP.
1FPT_SEP.
2.
1TSF的未隔离部分应为自身执行时维护一个安全域,防止不可信主体的干扰和篡改.
FPT_SEP.
2.
2TSF应分离TSC内各主体的安全域.
FPT_SEP.
2.
3TSF应在一个安全域中为其自身执行维护与[赋值:访问控制或信息流控制SFP列表]有关的TSF部分,以防止他们被相对于这些SFP而言的不可信主体和TSF剩余部分的干扰和篡改.
依赖关系:无依赖关系.
FPT_SEP.
3完全的参照监视器从属于:FPT_SEP.
2FPT_SEP.
3.
1TSF的未隔离部分应为自身执行维护一个安全域,防止不可信主体的干扰和篡改.
FPT_SEP.
3.
2TSF应分离TSC内各主体的安全域.
FPT_SEP.
3.
3TSF应在一个安全域中为其自身执行,维护执行访问控制或信息流控制SFP的TSF部分,以防止他们被相对于TSP而言的不可信主体和TSF剩余部分的干扰和篡改.
依赖关系:无依赖关系.
状态同步协议(FPT_SSP)子类行为分布式系统由于存在系统各部分间潜在的状态差别及通信延迟等问题,因而比单一系统复杂得多.
大多数情况下,分布式功能间的状态同步涉及到交换协议,而不是一个简单的操作.
当在这些协议的分布式环境中存在蓄意的危害时,就需要更为复杂的防御协议.

FPT_SSP对TSF的某些关键安全功能使用该可信的协议提出了要求.
FPT_SSP确保TOE的两个分布部分(如主机)在完成与安全有关的活动后,状态保持同步.
组件层次FPT_SSP.
1简单的可信回执,只要求数据接收者给出简单回执.
FPT_SSP.
2相互的可信回执,要求对交换数据相互回执.
管理:FPT_SSP.
1,FPT_SSP.
2没有可预见的管理活动.
审计:FPT_SSP.
1,FPT_SSP.
2如果PP/ST中包含FAU_GEN安全审计数据产生,如下行动应是可审计的:a)最小级:接收期待的回执时,发生失败.
FPT_SSP.
1简单的可信回执从属于:无其他组件.
FPT_SSP.
1.
1当TSF的另一部分发出请求时,TSF应对接收到未经修改的TSF数据给出回执.
依赖关系:FPT_ITT.
1内部TSF数据传输的基本保护FPT_SSP.
2相互的可信回执从属于:FPT_SSP.
1FPT_SSP.
2.
1当TSF的另一部分发出请求时,TSF应对接收到未经修改的TSF数据给出回执.
FPT_SSP.
2.
2TSF应通过回执来确保TSF的有关部分知道在其各部分间传输数据处于正确状态.
依赖关系:FPT_ITT.
1内部TSF数据传输的基本保护时间戳(FPT_STM)子类行为本子类对TOE内可靠的时间戳功能提出要求.
组件层次本子类仅有一个组件,FPT_STM.
1可靠的时间戳,要求TSF为TSF功能提供可靠的时间戳.
管理:FPT_STM.
1在FMT的管理功能中,可考虑下面的活动:a)时间管理.
审计:FPT_STM.
1如果PP/ST中包含FAU_GEN安全审计数据产生,如下行动应是可审计的:a)最小级:时间的变动;b)详细级:提供时间戳.
FPT_STM.
1可靠的时间戳从属于:无其他组件.
FPT_STM.
1.
1TSF应能为自身的应用提供可靠的时间戳.
依赖关系:无依赖关系.
TSF间TSF数据的一致性(FPT_TDC)子类行为在分布式或复合系统环境下,TOE或许需要与其他可信IT产品交换TSF数据(如与数据有关的SFP属性、审计信息、标识信息等等).
本子类定义了一些要求,这些要求是关于TOE的TSF及不同的可信IT产品间共享这些属性并对其作出一致性解释.

组件层次FPT_TDC.
1TSF间基本TSF数据的一致性,要求TSF提供确保TSF间属性的一致性的能力.
管理:FPT_TDC.
1没有可预见的管理活动.
审计:FPT_TDC.
1如果PP/ST中包含FAU_GEN安全审计数据产生如下行动应是可审计的:a)最小级:成功使用TSF数据一致性机制;b)基本级:使用TSF数据一致性机制;c)基本级:标识已解释的TSF数据;d)基本级:检测被修改的TSF数据.
FPT_TDC.
1TSF间基本TSF数据的一致性从属于:无其他组件.
FPT_TDC.
1.
1当TSF与其他可信IT产品共享TSF数据时,TSF应提供对[赋值:TSF数据类型列表]一致性解释的能力.
FPT_TDC.
1.
2当解释来自其他可信IT产品的TSF数据时,TSF应使用[赋值:TSF使用的解释规则列表].
依赖关系:无依赖关系.
TOE内TSF数据复制的一致性(FPT_TRC)子类行为本子类的要求用以确保在TOE内部复制TSF数据的一致性.
当TOE的内部不同部分间的信道不能工作时,这些TSF数据就可能不一致,如果TOE内部被构造成网络,而一部分网络连接又断掉了,则当那些部分失去正常工作能力时,就会发生这种不一致的情况.

组件层次本子类仅有一个组件,FPT_TRC.
1内部TSF的一致性,要求TSF确保在多点复制时,TSF数据的一致性.
管理:FPT_TRC.
1没有可预见的管理活动.
审计:FPT_TRC.
1如果PP/ST中给FAU_GEN安全审计数据产生如下行动应是可审计的:a)最小级:重新连接时恢复一致性;b)基本级:检测TSF数据间的不一致性.
FPT_TRC.
1内部TSF的一致性从属于:无其他组件.
FPT_TRC.
1.
1TSF应确保TOE各部分间的TSF数据复制的一致性.
FPT_TRC.
1.
2当包含复制的TSF数据的TOE部分断开时,TSF应确保在处理任何对[赋值:依赖于TSF数据复制一致性的SF列表]的请求前,来自重建连接的复制的TSF数据的一致性.
依赖关系:FPT_ITT.
1内部TSF数据传输的基本保护TSF自检(FPT_TST)子类行为本子类定义了一些关于TSF自检的要求,这些检测与期待的正确操作有关,如执行功能的接口和TOE关键部分的抽样算术运算.
这些检测可在启动时进行,或周期性地进行,或应授权用户的请求进行,或满足其他条件时进行.
TOE根据自检结果所采取的行动在其它子类中定义.

本子类要求也用于检测由多种失败造成的TSF可执行码(如TSF软件)和TSF数据腐败,这些失败并不需要TOE停止工作(这将由别的子类处理).
因为这些失败不可避免,故必须执行这些检查.
这些失败可能是由不可预见的失败方式或硬件、固件、软件设计的某些忽略所造成,或由于逻辑的或物理保护的不适当导致TSF恶意腐败所造成.

组件层次FPT_TST.
1TSF检测,提供对TSF正确操作的测试能力.
这些检测可在启动时进行,或周期性地进行,或当授权用户要求时,或满足别的条件时进行.
同时也提供对TSF数据及可执行码的完整性的验证能力.
管理:FPT_TST.
1在FMT的管理功能中,可考虑下面的活动:a)管理TSF自检产生条件,如初始化启动期间、固定间隔或特定条件;b)适当地管理时间间隔.
审计:FPT_TST.
1如果PP/ST中包含FAU_GEN安全核查数据产生如下行动应是可审计的:a)基本级:执行TSF自检及检测结果.
FPT_TST.
1TSF检测从属于:无其他组件.
FPT_TST.
1.
1TSF应运行一套自检[选择:初始化启动期间,正常工作期间周期性地,授权用户要求,满足[赋值:产生自检的条件]]以表明TSF操作的正确性.
FPT_TST.
1.
2TSF为授权用户提供对TSF数据完整性的验证能力.
FPT_TST.
1.
3TSF为授权用户提供对存储的TSF可执行代码完整性的验证能力.
依赖关系:FPT_AMT.
1抽象机测试FRU类:资源利用本类提供三子类支持所需资源的诸如处理能力或存储能力.
容错子类提供保护以防止由TOE失败引起的上述资源不可用.
服务优先级子类确保资源将被分配到更重要的和时间要求更苛刻的任务中,而且不能被优先级低的任务所独占.
资源分配子类提供可用资源的使用限制,从而防止用户独占资源.

资源利用类分解容错(FRU_FLT)子类行为本子类的要求确保TOE即便出现故障事件也将维持正常运转.
组件层次FRU_FLT.
1低容错,要求TOE在确定的故障事件下能继续正确运行确定的能力.
FRU_FLT.
2受限容错,要求TOE在确定的故障事件下能继续正确运行全部能力.
管理:FRU_FLT.
1,FRU_FLT.
2没有可预见的管理活动.
审计:FRU_FLT.
1如果PP/ST中包含FAU_GEN安全审计数据产生,以下行动应是可审计的:a)最小级:TSF检测出的任何故障;b)基本级:所有由于一故障而中断的TOE能力.
审计:FRU_FLT.
2如果PP/ST中包含FAU_GEN安全审计数据产生,以下行动应是可审计的:a)最小级:TSF检测出的任何故障.
FRU_FLT.
1低容错从属于:无其他组件.
FRU_FLT.
1.
1TSF应确保当以下故障[赋值:故障类型列表]发生时[赋值:TOE能力列表]能运行.
依赖关系:FPT_FLS.
1带保存安全状态的失败FRU_FLT.
2受限容错从属于:FRU_FLT.
1FRU_FLT.
2.
1TSF应能确保当[赋值:故障类型列表]发生时所有TOE能力均能运行.
依赖关系:FPT_FLS.
1带保存安全状态的失败服务优先级(FRU_PRS)子类行为本子类的要求允许TSF控制用户和主体对TSC资源的使用,使得TSC内高优先级任务的完成总是不受低优先级的务造成的过分干扰或延迟影响.
组件层次FRU_PRS.
1有限服务优先级,提供主体使用TSC内某个资源子集的优先级.
FRU_PRS.
2全部服务优先级,提供主体使用TSC内全部资源的优先级.
管理:FRU_PRS.
1,FRU_PRS.
2在FMT的管理功能中,可考虑下列活动:a)在TSF中每个主体优先级的分配.
审计:FRU_PRS.
1,FRU_PRS.
2如果PP/ST中包含FAU_GEN安全审计数据产生,以下行动应是可审计的:a)最小级:对基于使用配置中优先级的操作的拒绝;b)基本级:包括服务功能的优先级在内的配置功能的所有尝试运用.
FRU_PRS.
1有限服务优先级从属于:无其他组件.
FRU_PRS.
1.
1TSF应给在TSF中的每个主体分配一种优先级.
FRU_PRS.
1.
2TSF应确保对[赋值:受控资源]的每次访问都应该基于主体配得的优先级进行协调.
依赖关系:无依赖关系.
FRU_PRS.
2全部服务优先级从属于:FRU_PRS.
1FRU_PRS.
2.
1TSF应给在TSF中的每个主体分配一种优先级.
FRU_PRS.
2.
2TSF应确保对所有可共享资源的每次访问都应基于主体配得的优先级进行协调.
依赖关系:无依赖关系.
资源分配(FRU_RSA)子类行为本子类的要求允许TSF控制用户和主体对资源的使用,使得不因未授权地独占资源而出现拒绝服务.
组件层次FRU_RSA.
1最高配额,要求配额机制确保用户和主体将不会独占某种受控的资源.
FRU_RSA.
2最低和最高配额,要求配额机制确保用户和主体,至少获得最小的规定资源且不会独占受控资源.
管理:FRU_RSA.
1在FMT的管理功能中,可考虑以下活动:a)由管理者为用户组、单个用户或主体规定某资源的最大使用限度.
管理:FRU_RSA.
2在FMT的管理功能中,可考虑以下活动:a)由一管理者为用户组、单个用户或主体规定某资源的最小和最大使用限度.
审计:FRU_RSA.
1,FRU_RSA.
2如果PP/ST中包含FAU_GEN安全审计数据产生,以下行动应是可审计的.
a)最小级:由于资源的限制导致分配操作的拒绝;b)基本级:对TSF控制资源的资源分配功能的所有尝试使用.
FRU_RSA.
1最高配额从属于:无其他组件.
FRU_RSA.
1.
1TSF应对以下资源:[赋值:受控资源]分配最高配额,这些资源是[选择:单个用户,预定义用户组,主体]能[选择:同时地,在规定的时间间隔内]使用的.
依赖关系:无依赖关系.
FRU_RSA.
2最低和最高配额从属于:FRU_RSA.
1FRU_RSA.
2.
1TSF应对以下资源:[赋值:受控资源]分配最高配额,这些资源是[选择:个体用户,定义的用户组,主体]能[选择:同时地,规定的时间间隔内]使用的.
FRU_RSA.
2.
2TSF应确保每个[赋值:受控资源]最低量的供应,这些资源是[选择:个体用户,定义的用户组,主体]能[选择:同时地,规定的时间间隔内]使用的.
依赖关系:无依赖关系.
FTA类:TOE访问本类规定用以控制建立用户会话的功能要求.
图20给出了本类中子类的分解情况.
TOE访问类分解可选属性范围限定(FTA_LSA)子类行为本子类定义了限制用户选择会话安全属性范围的要求.
组件层次FTA_LSA.
1可选属性范围限定,提供TOE建立会话时限制会话安全属性范围的要求.
管理:FTA_LSA.
1在FMT的管理行为中,可考虑以下活动:a)管理者对会话安全属性范围的管理.
审计:FTA_LSA.
1如果PP/ST中包含FAU_GEN安全审计数据产生,以下行动应是可审计的.
a)最小级:选择某种会话安全属性的所有失败尝试;b)基本级:选择某种会话安全属性的所有尝试;c)详细级:每种会话安全属性的值的获得.
FTA_LSA.
1可选属性范围限定从属于:无其他组件.
FTA_LSA.
1.
1TSF应基于[赋值:属性]限制会话安全属性[赋值:会话安全属性]的范围.
依赖关系:无依赖关系.
多重并发会话限定(FTA_MCS)子类行为本子类定义了同一用户并发会话的数量限制要求.
组件层次FTA_MCS.
1多重并发会话的基本限定,提供了适用于TSF内所有用户的限定.
FTA_MCS.
2每个用户属性对多重并发会话的限定,通过要求有能力规定基于有关安全属性的并发会话数量的限定来对FTA_MCS.
1进行扩展.
管理:FTA_MCS.
1在FMT的管理行为中,可考虑以下活动:a)管理者所允许的用户并发会话的最大数量的管理.
管理:FTA_MCS.
2在FMT的管理行为中,可考虑以下活动:a)管理者所允许的用户并发会话的最大数量支配规则的管理.
审计:FTA_MCS.
1,FTA_MCS.
2如果PP/ST中包含FAU_GEN安全审计数据产生,以下行动应是可审计的:a)最小级:基于多重并发会话限定对新会话的拒绝.
b)详细级:当前的用户并发会话数和用户安全属性的获得.
FTA_MCS.
1多重并发会话的基本限定从属于:无其他组件.
FTA_MCS.
1.
1TSF应限制属于同一用户的并发会话的最大数量.
FTA_MCS.
1.
2TSF应缺省执行每个用户[赋值:缺省数]次会话的限定.
依赖关系:FIA_UID.
1标识定时FTA_MCS.
2每个用户属性对多重并发会话的限定从属于:FTA_MCS.
1FTA_MCS.
2.
1TSF应依据规则[赋值:并发会话最大数目的规则]对属于同一用户的并发会话最大数目加以限定.
FTA_MCS.
2.
2TSF应缺省执行每个用户[赋值:缺省数]次会话的限定.
依赖关系:FIA_UID.
1标识定时会话锁定(FTA_SSL)子类行为本子类为TSF定义了提供TSF原发的和用户原发的交互式会话的锁定和解锁能力的要求.
组件层次FTA_SSL.
1TSF原发会话锁定,包括用户静止了规定的时间后,系统原发的交互会话锁定.
FTA_SSL.
2用户原发锁定,提供用户锁定和解锁其本身的交互会话的能力.
FTA_SSL.
3TSF原发终止,在用户静止状态后的时间,为TSF提供在用户静止了一段时间后终止该会话的要求.
管理:FTA_SSL.
1在FMT的管理行为中,可考虑以下活动:a)在用户被锁定后,用户静止时间的规定;b)用户被锁定后,该用户被锁定的默认时间的规定;c)会话解锁前发生事件的管理.
管理:FTA_SSL.
2在FMT的管理行为中,可考虑以下活动:a)会话解锁前发生事件的管理.
管理:FTA_SSL.
3在FMT的管理行为中,可考虑以下活动:a)用户交互式会话终止后,该用户静止时间的规定;b)用户交互式会话终止后,该用户静止的默认时间的规定;审计:FTA_SSL.
1,FTA_SSL.
2如果PP/ST中包含FAU_GEN安全审计数据产生,以下行动应是可审计的.
a)最小级:利用会话锁定机制对交互式会话的锁定;b)最小级:交互式会话的成功解锁;c)基本级:对交互式会话解锁的各种尝试;审计:FTA_SSL.
3如果PP/ST中包含FAU_GEN安全审计数据的产生,以下行动应是可审计的.
a)最小级:利用会话锁定机制对交互式会话的终止;FTA_SSL.
1TSF原发会话锁定从属于:无其他组件.
FTA_SSL.
1.
1应在[赋值:用户静止的时间间隔]后,通过以下方法锁定一交互式会话:在显示设备上清除或覆写,使当前的内容不可读;取消除了会话解锁之外的用户数据存取/显示设备的任何活动.
FTA_SSL.
1.
2TSF应要求先于会话解锁之前出现以下事件:[赋值:出现的事件].
依赖关系:FIA_UAU.
1鉴别定时FTA_SSL.
2用户原发锁定从属于:无其他组件.
FTA_SSL.
2.
1TSF应允许通过以下方法实现对用户自已的交互会话的用户原发锁定:在显示设备上清除或覆写,使当前的内容不可读;取消除了会话解锁之外的用户数据存取/显示设备的任何活动.
FTA_SSL2.
2TSF应要求先于会话解解锁之前出现下列事件,[赋值:出现的事件]依赖关系:FIA_UAU.
1鉴别定时FTA_SSL.
3TSF原发终止从属于:无其他组件.
FTA_SSL.
3.
1TSF应在[赋值:用户静止的时间间隔]之后终止一交互式会话.
依赖关系:无依赖关系.
TOE访问旗标子类行为本子类定义了向用户显示有关适当使用TOE的可配置劝告性警示信息的要求.
组件层次FTA_TAB.
1缺省的TOE访问旗标,为一"TOE访问旗标"提供要求.
该旗标应在会话的对话建立之前予以显示.
管理:FTA_TAB.
1在FMT的管理行为中,可考虑以下活动:a)授权管理者对旗标的维护.
审计:FTA_TAB.
1如果PP/ST中包含FAU_GEN安全审计数据产生,没有确定的行动可审计.
FTA_TAB.
1缺省的TOE访问旗标从属于:无其他组件.
FTA_TAB.
1.
1在建立一用户会话之前,TSF应显示有关未授权使用TOE的劝告性警示信息.
依赖关系:无依赖关系.
TOE访问历史(FTA_TAH)子类行为本子类定义了TSF在成功的会话建立的基础上,显示一用户级访问该用户帐号的成功的和不成功的访问历史的要求.
组件层次FTA_TAH.
1TOE访问历史,提供TOE显示与先前建立一个会话尝试相关的信息的要求.
管理:FTA_TAH.
1没有可预见的管理活动.
审计:FTA_TAH.
1如果PP/ST中包含FAU_GEN安全审计数据产生,就没有确定的行动可审计.
FTA_TAH.
1TOE访问历史从属于:无其他组件.
FTA_TAH.
1.
1在会话成功建立的基础上,TSF应显示用户上一次成功的会话建立的[赋值:日期,时间,方法,位置].
FTA_TAH.
1.
2在会话成功建立的基础上,TSF应显示用户的上一次不成功的会话建立的尝试的[赋值:日期,时间,方法,位置]和从上一次成功的会话建立以来的不成功的尝试的次数.
FTA_TAH.
1.
3TSF在没有给用户回顾访问历史信息的机会的情况下,是不能从用户界面上抹去该信息的.
依赖关系:无依赖关系.
TOE会话建立(FTA_TSE)子类行为本子类定义了拒绝允许用户与TOE建立会话的要求.
组件层次FTA_TSE.
1TOE会话建立,提供了拒绝用户基于属性对TOE访问的要求.
管理:FTA_TSE.
1在FMT的管理行为中,可考虑以下活动:a)授权管理者对会话建立条件的管理.
审计:FTA_TSE.
1如果PP/ST中包含FAU_GEN安全审计数据产生,以下行动应是可审计的:a)最小级:依据会话建立的机制拒绝会话建立.
b)基本级:一用户会话建立的所有尝试.
c)详细级:所选的访问参数值(例如访问位置、访问时间)的获得.
FTA_TSE.
1TOE会话建立从属于:无其他组件.
FTA_TSE.
1.
1TSF应能拒绝基于[赋值:属性]的会话建立.
依赖关系:无依赖关系.
FTP类:可信路径/信道本类中的子类提供关于用户和TSF之间可信通信路径,以及关于TSF和其他可信IT产品之间可信通信信道的要求.
可信路径和信道有以下一般特点:通信路径使用内部和外部通信信道构成(对组件适当的话),它将TSF数据和命令的确定子集与余下的TSF和用户数据分开.
通信路径的启用可由用户或TSF来发起(对组件适当的话).
通信路径有能力保证,用户正在同正确的TSF通信,并且TSF也正在同正确的用户通信(对组件适当的话).
在本范例中,可信信道是可以由该信道的任何一端发起的一条通信信道,并且提供该信道两端身份的抗抵赖特性.
可信路径为用户提供一种手段,通过有保证地与TSF直接交互来执行功能.
可信路径通常用于初始标识或鉴别等用户活动,但也可能用于用户会话过程中的其他时刻.
可信路径的交换可以由用户或TSF发起.
应确保经可信路径的用户应答受到保护,不会被不可信应用所修改或泄露给不可信应用.

图21给出了本类中子类的分解情况.
可信路径/信道类分解图TSF间可信信道(FTP_ITC)子类行为本子类定义为执行关键的安全操作,在TSF和其他可信IT产品之间建立一可信信道的要求.
每当存在TOE和其他可信IT产品之间的用户或TSF数据的保密通信的要求时,就应包括本子类.
组件层次FTP_ITC.
1TSF间可信信道,要求TSF在它自身和另一个可信IT产品之间提供一条可信信道.
管理:FTP_ITC.
1FMT中的管理功能,可考虑如下行动:a)如果支持的话,配置需要可信信道的行动.
审计:FTP_ITC.
1如果PP/ST中包含FAU_GEN安全审计数据产生,下列行动应可审计.
a)最小级:可信信道功能的失败;b)最小级:失败的可信信道功能的原发者及目标的标识;c)基本级:可信信道功能的所有使用尝试;d)基本级:所有可信信道功能的原发者及目标的标识.
FTP_ITC.
1TSF间可信信道从属于:无其他组件.
FTP_ITC.
1.
1TSF应在它自身和一远程可信IT产品之间提供一条通信信道,此信道在逻辑上与其他通信信道不同,并且对其端点提供确定的标识,以及保护信道中数据免遭修改和泄露.
FTP_ITC.
1.
2TSF应允许[选择:TSF,远程的可信IT产品]经可信信道发起通信.
FTP_ITC.
1.
3对于[赋值:需要可信信道的功能列表],TSF应经可信信道发起通信.
依赖关系:无依赖关系.
可信路径(FTP_TRP)子类行为本子类定义建立和维护用户和TSF的可信通信的要求.
可信路径对任何与安全有关的交互活动可能都是需要的.
可信路径的交换可以由用户在与TSF交互期间发起,或者TSF可能经一条可信路径与用户建立通信.

组件层次FTP_TRP.
1可信路径,要求对PP/ST作者定义的一组事件,在TSF和用户之间提供一条可信路径.
用户或TSF均有能力发起该可信路径.
管理:FTP_TRP.
1FMT中的管理功能,可考虑如下行动:a)如果支持的话,配置需要可信路径的行动.
审计:FTP_TRP.
1如果PP/ST中包含FAU_GEN安全审计数据产生,下列行动应可审计:a)最小级:可信路径功能的失败;b)最小级:如果有的话,与所有可信路径故障相关的用户标识;c)基本级:所有可信路径功能的使用尝试;d)基本级:如果有的话,与所有可信路径的启用相关的用户标识.
FTP_TRP.
1可信路径从属于:无其他组件.
FTP_TRP.
1.
1TSF应在它自身和[选择:远程,本地]用户之间提供一条通信路径,此路径在逻辑上与其他通信路径不同,并且对其端点提供确定的标识,以及保护通信数据免遭修改或泄露.
FTP_TRP.
1.
2TSF应允许[选择:TSF,本地用户,远程用户]经可信路径发起通信.
FTP_TRP.
1.
3对于[选择:初始化用户鉴别,[赋值:需要可信路径的其他服务]]TSF应要求使用可信路径.
依赖关系:无依赖关系.
安全技术架构能力成熟度级说明概述安全技术体系结构是对组织机构信息技术系统的安全体系结构的整体描述.
安全技术架构能力是拥有信息技术系统的组织机构根据根据其策略的要求和风险评估的结果,参考相关技术体系结构的标准和最佳实践,结合组织机构信息技术系统的具体现状和需求,建立的符合组织机构信息技术系统战略发展规划的信息技术系统整体体系框架;它是组织机构信息技术系统战略管理的具体体现.
安全技术体系架构能力是组织机构执行安全技术整体能力的放映,它反映了组织机构在执行信息安全技术体系框架管理达到预定的成本、功能和质量目标上的度量.

安全技术架构能力成熟度是反映组织机构建立和完善信息技术系统安全技术架构能力的反映.
一个组织机构一般可随意以他们所选择的方式和次序来计划、跟踪、定义、控制和改进他们的过程.
然而,由于一些较高级别的通用实践依赖于较低级别的实践,因此组织机构应在试图达到较高级别之前,应首先实现较低级别实践.

安全技术架构能力成熟度级说明此章包含了可应用于所有建立和完善信息技术系统安全技术体系结构的实施.
这些实施可用于确定组织机构建立和完善安全技术体系结构的能力级别.
实施划分为如下的能力级别:a)能力级别0:未实施;b)能力级别1:基本执行;c)能力级别2:计划和跟踪;d)能力级别3:充分定义;e)能力级别4:量化控制;f)能力级别5:持续改进.
能力级别0–未实施未实施级别.
在这个级别中,组织机构可能已经采用了一些具体的安全技术保障控制措施,但从整体上而言,组织机构并没有考虑整体的安全技术架构.
能力级别1–基本执行级基本执行级别.
在这个级别中,组织机构正在进行一些非正式的安全技术体系架构过程.
本能力级别的特征是:a)安全技术体系架构过程是随意和非正式的;b)某些技术体系架构过程得以定义;c)在技术和业务领域,没有统一一致的安全技术体系架构过程;d)安全技术体系结构的成功依赖于某些个人的工作;e)工作的质量不能保持稳定一致;f)在安全技术体系架构过程和可能的过程改进中几乎不存在沟通.
能力级别2–计划和跟踪级计划和跟踪级别.
在这个级别中,组织机构正在开发安全技术体系结构.
本能力级别的特征是:a)组织机构已经建立和文档化了基本的安全技术体系结构;b)职责已经分配,相关工作正在进行;c)安全技术体系架构过程已经开发了清晰的角色和职责;d)对组织机构当前状态有清晰的理解;e)已经标识了安全技术的原则、基线和目标.
能力级别3–充分定义级充分定义级别.
在这个级别中,组织机构有计划和跟踪的安全技术体系结构,包括详细的书面流程和技术参考模型.
本能力级别的特征是:a)安全技术体系结构得到了充分的定义和沟通;b)安全技术体系结构的设计基于某种可重复的,结构化的方法;c)安全技术体系架构过程的大部分内容得到了执行;d)差距分析、移植计划、技术参考模型、标准轮廓得以完成;f)在进行项目时,考虑了成本收益;g)标识了目标和方法;h)定期提供了培训和意识教育;i)安全技术体系结构是战略规划和预算过程的综合组成部分.
能力级别4–量化控制级量化控制级别.
在这个级别中,安全技术体系架构过程在组织机构中是可管理和可测量的.
本能力级别的特征是:a)安全技术体系结构已用于指导开发和采购;b)安全技术体系结构的设计基于某种可重复的,半形式化的方法;c)安全技术体系结构定期进行升级以更新安全体系架构的内容,并且基于所得到的反馈和经验教训调整战略规划和预算过程;d)根据安全技术体系结构的标准对安全技术体系结构进行了评审审核;e)同安全技术体系架构过程相关的质量度量是可以观察和测量的.
这些度量包括产安全技术架构新版本的周期时间、技术环境的稳定性,以及实施新安全系统或升级应用或系统安全的时间;f)组织机构人员理解安全技术体系结构及其使用.
能力级别5–持续改进级持续改进级别.
在这个级别中,安全技术体系架构过程得以持续改进.
本能力级别的特征是:a)安全技术体系结构的设计基于某种形式化的方法;b)在安全技术体系结构中,安全技术体系结构的度量用于驱动持续的过程改进;c)此过程也为业务过程重组和其他特征提供输入.
(资料性附录)安全技术要求应用注释本附录包含本标准中的标准元素中定义的子类和组件的资料性指南,用户、开发人员和评估人员使用组件,可能需要这些指南.
为了便于查找,本附录中类、子类和组件的表示与标准元素中的表示相似.
但本附录中类、子类和组件的结构和本标准正文中的不同,因为本附录只是提示性的.

注释的结构本章定义与信息系统安全保障技术要求相关的注释的内容和表示.
类结构下面的图A.
1说明本附录中的安全技术保障控制类结构.
图A.
1安全技术保障控制类结构类名这是本标准中标准元素定义的类的唯一名字.
类介绍本附录中的类介绍提供使用类中的子类和组件的有关信息,该信息使用图解方式提供,这些图解描述每个类的组织,以及每个子类中组件间的层次关系.
A.
1.
2子类结构图A.
2用图解形式说明应用注释的安全技术保障控制子类结构.
图A.
2安全技术保障控制子类结构子类名这是本标准中标准元素定义的子类的唯一名字.
用户注释用户注释包含安全技术保障控制子类潜在的用户感兴趣的附加信息,潜在用户包括使用安全技术保障控制组类的PP、ST和技术包的作者,以及TOE的开发者.
说明是提示性的,可能涉及使用限制的警告,以及使用组件时应当特别注意的方面.
A.
1.
2.
3评估者注释评估者注释包含TOE开发者与评估者感兴趣的信息,该TOE声称符合子类中某一组件.
表示是提示性的,可覆盖评估TOE时,需特别注意的各个方面.
其中可包括澄清含义,说明表达要求的方式,以及评估者特别感兴趣的警告和说明等信息.

用户注释和评估者注释部分不是强制性的,仅在适当时出现.
组件结构图A.
3说明应用注释的安全技术保障控制组类结构.
图A.
3安全技术保障控制组类结构A.
1.
3.
1组件标识这是本标准中标准元素定义的组件的唯一名字.
A.
1.
3.
2组件原理与应用注释任何与组件有关的特定信息都可在本部分中找到.
组件原理包括在特定级别下细化原理一般说明的细节,且应仅在要求加强该级别的情况下使用.
应用注释包含用属于指定组件的限制陈述说明的附加细节.
这种细化可适合于A.
1.
2部分所描述的用户注释或评估者注释.
这种细化可用于解释依赖关系的性质(例如,共享信息或共享操作).
本部分不是必须的,仅在适当时出现.
允许的操作每个组件的这部分内容包括与该组件所允许的操作有关的建议.
本部分不是必须的,仅在适当时出现.
依赖关系表表A.
1-安全技术保障控制组类依赖关系表,说明安全技术保障控制组类的直接、间接和可选的依赖关系.
作为安全技术保障控制组类的依赖组件的每一个组件都在表中占据一列.
每个安全技术保障控制组类都在表中占据一行.
表格单元中的值表示行中标的组件是直接要求列中标的组件(用"X"表示),间接要求列中标的组件(用"—"表示),还是可选要求列中标的组件(用"O"表示).
例如,FDP_ETC.
1具有可选依赖关系,要求出现FDP_ACC.
1或FDP_IFC.
1,所以如果出现了FDP_ACC.
1,就不必出现FDP_IFC.
1,反之亦然.
如果表格单元为空,则该组件不依赖于另一个组件.
表A.
1安全技术保障控制组类依赖关系表ADV_SPM.
1ACD_ADM.
1AVA_CCA.
1AVA_CCA.
3FAU_GEN.
1FAU_SAA.
1FAU_SAR.
1FAU_STG.
1FCS_CKM.
1FCS_CKM.
2FCS_CKM.
4FCS_COP.
1FDP_ACC.
1FDP_ACF.
1FDP_IFC.
1FDP_IFF.
1FDP_ITC.
1FDP_ITT.
1FDP_ITT.
2FDP_UIT.
1FIA_ATD.
1FIA_UAU.
1FIA_UID.
1FMT_MOF.
1FMT_MSA.
1FMT_MSA.
2FMT_MSA.
3FMT_MTD.
1FMT_SMR.
1FPR_UNO.
1FPT_AMT.
1FPT_FLS.
1FPT_ITT.
1FPT_STM.
1FPT_TDC.
1FPT_TST.
1FTP_ITC.
1FTP_TRP.
1FAU_ARP.
1-X-FAU_GEN.
1XFAU_GEN.
2XX-FAU_SAA.
1X-FAU_SAA.
2XFAU_SAA.
3FAU_SAA.
4FAU_SAR.
1X-FAU_SAR.
2-X-FAU_SAR.
3-X-FAU_SEL.
1X-X--FAU_STG.
1X-FAU_STG.
2X-FAU_STG.
3-X-FAU_STG.
4X-表A.
1安全技术保障控制组类依赖关系表(续)ADV_SPM.
1ACD_ADM.
1AVA_CCA.
1AVA_CCA.
3FAU_GEN.
1FAU_SAA.
1FAU_SAR.
1FAU_STG.
1FCS_CKM.
1FCS_CKM.
2FCS_CKM.
4FCS_COP.
1FDP_ACC.
1FDP_ACF.
1FDP_IFC.
1FDP_IFF.
1FDP_ITC.
1FDP_ITT.
1FDP_ITT.
2FDP_UIT.
1FIA_ATD.
1FIA_UAU.
1FIA_UID.
1FMT_MOF.
1FMT_MSA.
1FMT_MSA.
2FMT_MSA.
3FMT_MTD.
1FMT_SMR.
1FPR_UNO.
1FPT_AMT.
1FPT_FLS.
1FPT_ITT.
1FPT_STM.
1FPT_TDC.
1FPT_TST.
1FTP_ITC.
1FTP_TRP.
1FCO_NRO.
1XFCO_NRO.
2XFCO_NRR.
1XFCO_NRR.
2XFCS_CKM.
1--OXO--X--FCS_CKM.
2-O-XO--X--FCS_CKM.
3-O-XO--X--FCS_CKM.
4-OO--X--FCS_COP.
1-O-XO--X--FDP_ACC.
1-X------FDP_ACC.
2-X------FDP_ACF.
1X-----X-FDP_DAU.
1FDP_DAU.
2XFDP_ETC.
1O-O-----FDP_ETC.
2O-O-----FDP_IFC.
1---X----FDP_IFC.
2---X----FDP_IFF.
1--X---X-FDP_IFF.
2--X---X-FDP_IFF.
3X--X-----FDP_IFF.
4X--X-----FDP_IFF.
5X--X-----FDP_IFF.
6X--X-----FDP_ITC.
1O-O---X-FDP_ITC.
2O-O-----XOFDP_ITT.
1O-O-----FDP_ITT.
2O-O-----FDP_ITT.
3O-O-X----FDP_ITT.
4O-O-X----FDP_RIP.
1FDP_RIP.
2FDP_ROL.
1O-O-----FDP_ROL.
2O-O-----FDP_SDI.
1FDP_SDI.
2FDP_UCT.
1O-O-----OOFDP_UIT.
1O-O-----OO表A.
1安全技术保障控制组类依赖关系表(续)ADV_SPM.
1ACD_ADM.
1AVA_CCA.
1AVA_CCA.
3FAU_GEN.
1FAU_SAA.
1FAU_SAR.
1FAU_STG.
1FCS_CKM.
1FCS_CKM.
2FCS_CKM.
4FCS_COP.
1FDP_ACC.
1FDP_ACF.
1FDP_IFC.
1FDP_IFF.
1FDP_ITC.
1FDP_ITT.
1FDP_ITT.
2FDP_UIT.
1FIA_ATD.
1FIA_UAU.
1FIA_UID.
1FMT_MOF.
1FMT_MSA.
1FMT_MSA.
2FMT_MSA.
3FMT_MTD.
1FMT_SMR.
1FPR_UNO.
1FPT_AMT.
1FPT_FLS.
1FPT_ITT.
1FPT_STM.
1FPT_TDC.
1FPT_TST.
1FTP_ITC.
1FTP_TRP.
1FDP_UIT.
2O-O-X----XFDP_UIT.
3O-O-X----XFIA_AFL.
1X-FIA_ATD.
1FIA_SOS.
1FIA_SOS.
2FIA_UAU.
1XFIA_UAU.
2XFIA_UAU.
3FIA_UAU.
4FIA_UAU.
5FIA_UAU.
6FIA_UAU.
7X-FIA_UID.
1FIA_UID.
2FIA_USB.
1XFMT_MOF.
1-XFMT_MSA.
1O-O----XFMT_MSA.
2XO-O--X-XFMT_MSA.
3-----X-XFMT_MTD.
1-XFMT_MTD.
2-XXFMT_MTD.
3X-X-FMT_REV.
1-XFMT_SAE.
1-XXFMT_SMR.
1XFMT_SMR.
2FMT_SMR.
3-XFPR_ANO.
1FPR_ANO.
2FPR_PSE.
1FPR_PSE.
2XFPR_PSE.
3FPR_UNL.
1FPR_UNO.
1FPR_UNO.
2FPR_UNO.
3XFPR_UNO.
4表A.
1安全技术保障控制组类依赖关系表(续)ADV_SPM.
1ACD_ADM.
1AVA_CCA.
1AVA_CCA.
3FAU_GEN.
1FAU_SAA.
1FAU_SAR.
1FAU_STG.
1FCS_CKM.
1FCS_CKM.
2FCS_CKM.
4FCS_COP.
1FDP_ACC.
1FDP_ACF.
1FDP_IFC.
1FDP_IFF.
1FDP_ITC.
1FDP_ITT.
1FDP_ITT.
2FDP_UIT.
1FIA_ATD.
1FIA_UAU.
1FIA_UID.
1FMT_MOF.
1FMT_MSA.
1FMT_MSA.
2FMT_MSA.
3FMT_MTD.
1FMT_SMR.
1FPR_UNO.
1FPT_AMT.
1FPT_FLS.
1FPT_ITT.
1FPT_STM.
1FPT_TDC.
1FPT_TST.
1FTP_ITC.
1FTP_TRP.
1FPT_AMT.
1FPT_FLS.
1XFPT_ITA.
1FPT_ITC.
1FPT_ITI.
1FPT_ITI.
2FPT_ITT.
1FPT_ITT.
2FPT_ITT.
3XFPT_PHP.
1-X-FPT_PHP.
2-X-FPT_PHP.
3FPT_RCV.
1XX-XFPT_RCV.
2XX-XFPT_RCV.
3XX-XFPT_RCV.
4XFPT_RPL.
1FPT_RVM.
1FPT_SEP.
1FPT_SEP.
2FPT_SEP.
3FPT_SSP.
1XFPT_SSP.
2XFPT_STM.
1FPT_TDC.
1FPT_TRC.
1XFPT_TST.
1XFRU_FLT.
1-XFRU_FLT.
2-XFRU_PRS.
1FRU_PRS.
2FRU_RSA.
1FRU_RSA.
2FTA_LSA.
1FTA_MCS.
1XFTA_MCS.
2XFTA_SSL.
1X-FTA_SSL.
2X-表A.
1安全技术保障控制组类依赖关系表(续)ADV_SPM.
1ACD_ADM.
1AVA_CCA.
1AVA_CCA.
3FAU_GEN.
1FAU_SAA.
1FAU_SAR.
1FAU_STG.
1FCS_CKM.
1FCS_CKM.
2FCS_CKM.
4FCS_COP.
1FDP_ACC.
1FDP_ACF.
1FDP_IFC.
1FDP_IFF.
1FDP_ITC.
1FDP_ITT.
1FDP_ITT.
2FDP_UIT.
1FIA_ATD.
1FIA_UAU.
1FIA_UID.
1FMT_MOF.
1FMT_MSA.
1FMT_MSA.
2FMT_MSA.
3FMT_MTD.
1FMT_SMR.
1FPR_UNO.
1FPT_AMT.
1FPT_FLS.
1FPT_ITT.
1FPT_STM.
1FPT_TDC.
1FPT_TST.
1FTP_ITC.
1FTP_TRP.
1FTA_SSL.
3FTA_TAB.
1FTA_TAH.
1FTA_TSE.
1FTP_ITC.
1FTP_TRP.
1(资料性附录)分层多点信息系统安全体系结构概述安全技术体系结构是对组织机构信息技术系统的安全体系结构的整体描述.
安全技术架构能力是拥有信息技术系统的组织机构根据根据其策略的要求和风险评估的结果,参考相关技术体系结构的标准和最佳实践,结合组织机构信息技术系统的具体现状和需求,建立的符合组织机构信息技术系统战略发展规划的信息技术系统整体体系框架;它是组织机构信息技术系统战略管理的具体体现.
技术体系架构能力是组织机构执行安全技术整体能力的放映,它反映了组织机构在执行信息安全技术体系框架管理达到预定的成本、功能和质量目标上的度量.

安全技术体系架构过程的目标是建立可持续改进的安全技术体系结构的能力,在本附录中,将提供一个分层多点的信息系统安全技术体系结构的模型供信息系统的所有者进行参考.
在本附录所提及的分层多点信息系统安全体系技术架构模型的讨论主要包含两部分的内容:a)信息技术系统TOE的分析模型:要建立信息系统安全体系架构,首先必须对现有的信息技术系统进行分析解构,信息技术系统TOE分析模型就是帮助信息技术系统所有者对其信息技术系统进行分析,以进一步建立其安全技术体系结构;b)分层多点安全技术体系结构介绍:在信息技术系统TOE分析模型的基础上,对分层多点安全技术体系结构进行介绍和说明.
信息技术系统TOE的分析模型信息系统安全保障安全技术保障的主要应用领域是对信息系统安全方案以及对处于运行状态的信息系统技术体系进行评估.
建立安全技术保障评估对象TOE的分析模型是进行信息系统安全保障技术评估的前提和基础,没有一个通用完备、可扩展的评估对象分析模型,就无法为信息系统安全保障技术评估建立一个普遍适用的评估方法和内容.

信息技术系统千变万化,有各种各样的分类方式,为从技术角度建立一个通用的评估对象分析模型,在本标准中将信息系统抽象成一个基本完备的信息系统分析模型(参见图B.
1信息技术系统分析模型).
从信息技术系统分析模型出发,完成对整个信息技术系统的整体评估.
图B.
1信息技术系统分析模型分层多点安全技术体系结构介绍在建立了信息系统安全保障评估框架安全技术保障的评估对象TOE分析模型后,就可以进一步描述分层多点安全技术体系结构.
分层多点安全技术体系结构,也称为深度防御安全技术体系结构,它通过以下方式将防御能力分布至整个信息系统中:a)多点技术防御.
在对手可以从内部或外部多点攻击一个目标的前提下,多点技术防御通过对以下多个防御核心区域的防御以达到抵御所有方式的攻击的目的:1)网络和基础设施:为了确保可用性,局域网和广域网通信网络需要进行保护以抵抗各种攻击,例如:拒绝服务攻击等.
为了确保保密性和完整性,需要保护在这些网络上传送的信息以及流量的特征以防止非故意的泄露;2)边界.
为了抵御主动的网络攻击,边界需要提供更强的边界防御,例如流量过滤和控制以及入侵检测;3)计算环境.
为了抵御内部、近距离的分布攻击,主机和工作站需要提供足够的访问控制.
b)分层技术防御.
即使最好的可得到的信息保障产品也有其固有弱点.
其最终结果将使对手能找到一个可探查的脆弱性.
一个有效的措施是在对手和目标间使用多个防御机制.
为了减少这些攻击成功的可能性和对成功攻击的可承担性,每种机制应代表一种唯一的障碍并同时包括保护和检测方法.
例如:在外部和内部边界同时使用嵌套的防火墙并配合以入侵检测就是分层技术防御的一个实例.