安全系统EAL3文档安全目标

**系统安全目标1ST引言ST标识1・1・1ST标识标题：**系统安全目标版本号：1.0申请的保证级别：EAL3编写日期：2012年8月1.1.2TOE标识标题：**系统型号：版本号：3.0ST概述ST结构及内容概述本ST主要由6部分组成：TOE描述，简要描述了本TOE的产品类型、结构和应用环境等；TOE安全环境，描述了对TOE使用的预期假设、TOE威胁、组织安全策略等；TOE安全目的，描述了为符合TOE安全环境，ST必须实现的安全目的；TOE安全要求，描述了为达到TOE安全目的，ST需满足的安全要求；TOE概要规范，描述了为满足TOE安全要求，需要实现的安全功能；基本原理，描述了从安全环境到安全目的、安全目的到安全要求、安全要求到安全功能之间的对应关系。TOE概述**系统是一个硬件形式的独立产品。可以对目标IT系统进行各类安全漏洞的检查。系统主要由扫描引擎、扫描管理模块、用户管理模块、审计模块、系统支持模块和漏洞库7个部分组成。任何需要考虑脆弱性和网络攻击的IT系统都应该使用类似本TOE这样的网络漏洞扫描器。一致性声明本ST的编写依据是《信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型》GB/T18336.1-2008《信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求》GB/T18336.2-2008《信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求》GBT18336.3-20082TOE描述2.1产品类型**系统是一个硬件形式的独立产品。任何需要考虑脆弱性和网络攻击的IT系统都应该使用类似本TOE这样的网络漏洞扫描器。本TOE可以从IT系统中的各种资源处收集静态配置信息，通过对这些信息的分析，可能指示出IT系统存在已知的潜在脆弱性隐患（漏洞）。TOE结构本TOE主要由扫描引擎、扫描管理模块、用户管理模块、审计模块、系统支持模块和漏洞库7个部分组成。扫描引擎是TOE的核心模块，其中，信息收集功能从一个或多个数据源处扫描并搜集各类静态配置信息；漏洞分析功能对搜集来的信息进行分类、简化和分析，并据此判断目标主机是否存在安全隐患；安全告警功能则记录隐患信息并依照管理员的设定实施报警。扫描管理模块设定扫描策略、扫描参数并控制扫描任务的执行。报表管理模块管理各类扫描信息，以易于理解的方式向授权用户提供扫描结果的报告。审计模块识别并记录与安全活动相关的各类信息，这些信息让授权审计员可以很清楚地了解发生了哪些安全活动以及哪个用户要对这些活动负责。用户管理模块确定能与TOE交互的各类角色，并确保用户与正确的、包括其角色在内的安全属性相关联。用户管理模块也确保各用户使用相应的TOE安全功能前，都已被成功鉴别。系统支持模块实现了其它模块所需的底层功能，如可靠的时间戳、可信路径漏洞库中则保存着用来指示潜在安全侵害的已知脆弱性特征。2.3TOE的范围和边界以独立产品形式提供的本TOE由硬件、操作系统、应用服务和TOE扫描系统软件组成。其中，硬件使用基于X86处理器芯片的工控机，包含数据存储用硬盘以及可以根据需要扩充的多个网络接口；操作系统使用经过安全加固的Linux操作系统，内核经过优化，只安装了必需的服务并且只打开了必需的端口；使用的应用服务主要包括：数据库服务mysql，WEB服务器apache，上述应用服务均经过了安全处理。本TOE主要具备如下安全功能：收集目标网络中的主机或网络设备的静态配置信息，主要包括：访问控制配置、服务配置、鉴别配置、可审查策略配置、可检测的已知脆弱性等；将所收集的信息进行数据简化和分析，以确定是否发生脆弱性；对识别的脆弱性产生响应，这些响应包括：生成报告、记录审计日志或发送报警邮件；生成审计迹（如TOE访问、TOE数据访问和TOE配置改变等）；确保TOE的功能和数据仅被合法地访问及修改。应用环境IT系统负责为漏洞扫描器提供足够的保护，使其工作在一个非敌意的环境中。3TOE安全环境3.1假设本节包含关于安全环境和TOE使用的假设。用法假设A.ACCESSTOE有权访问执行其功能所需的所有IT系统数据。A.TARGETTOE通过查找IT系统中存在的各种漏洞间接地保护存在可能被利用的脆弱性的资产。物理假设A.LOCATETOE的处理资源应位于受控的访问设备之内，以防止非授权的物理访问。A.PROTCT应保护在执行安全策略中起关键作用的TOE硬件和软件免受非授权的物理更改。人员假设A.MANAGE应指定一个或多个能胜任的人来管理TOE及其所含信息的安全。A.NOEVIL授权管理员不应是粗心大意、不负责任或者是怀有敌意的，并应遵循TOE文档的规定。A.NOTRSTTOE只能被授权用户访问。连接假设A.INTCONTOE应与其扫描的IT系统所属的网络进行网络互联。3.2威胁以下是TOE和TOE监控的IT系统受到的威胁。TOE本身存在威胁，而且TOE必须负责确定其所处的环境的威胁。假设造成所有威胁的是具有基本攻击潜能的熟练攻击者。3.2.1TOE威胁T.COMDIS非授权用户可能企图通过旁路安全机制而泄露由TOE收集的数据。T.COMINT非授权用户可能企图通过旁路安全机制而破坏由TOE收集的数据的完整性。T.IMPCON非授权用户可能会不适当地改变TOE的配置，从而造成无法扫描到的潜在入侵。T.INFLUX非授权用户可能由于创建一个TOE不能处理的数据集合而导致故障的发生。T.LOSSOF非授权用户可能企图删除或者破坏由TOE扫描和生成的数据。T.NOHALT非授权用户可能企图通过停止TOE的执行来危及TOE的扫描功能的连续性。T.PRIVIL非授权用户可能访问TOE并利用系统特权而访问TOE安全功能和数据。T.COMEXP具有基本攻击潜能的熟练攻击者，可能通过尝试旁路TSF来获得对TOE或TOE所保护的资产的访问。T.PROCOM未授权的人或未授权的外部IT实体可能查看、修改和/或删除远程授权管理员和TOE间传送与安全相关的信息。组织安全策略组织的安全策略是一个组织使用的一系列针对其安全要求的规则、实践和程序。P.ACCACTTOE用户应对其在扫描器中的行为负责。P.ACCESSTOE收集或生成的所有数据都只能用于授权目的。P.SCAN 必须收集可能指示IT系统的潜在的已知漏洞和静态配置信息。P.ANALYZ源自任何时间的扫描结论的分析程序和信息都必须作为扫描数据进行记录，并采取相应的响应措施。P.CPYPTO为了保护远程管理功能，ST作者应当制定加密算法的依据标准（例如，使用3DES加密算法和相应的密码长度）。相关的加密模块应当最低限度地遵循ST作者规定或指定的相关标准。P.INTGTY应该保护TOE扫描、分析和生成的数据免受修改。P.MANAGETOE应仅由授权用户管理。P.PROTCTTOE应受保护以避免非授权访问及TOE扫描功能的中断。4安全目的本节指出TOE的安全目的以及它所支持的环境，这些安全目的指出了在满足安全要求方面TOE及其环境的责任。TOE安全目的以下是TOE安全目的：O.ACCESSTOE必须只允许授权用户访问适当的TOE功能和数据。O.AUDITSTOE必须为数据访问和TOE功能的使用而记录审计记录。O.EADMINTOE必须包括允许有效管理其功能及数据的一套功能。O.ENCRYP如果TOE允许所连接网络产生远程管理，那么它必须通过加密手段保护TOE与授权管理员对话的机密性。O.IDAUTHTOE必须能够在允许访问TOE功能和数据之前标识和鉴别用户。O.INTEGRTOE必须保证所有审计和扫描数据的完整性。O.OFLOWSTOE必须适当地处理潜在的审计和扫描器数据存储溢出。O.PROTCTTOE必须保护其自身的功能及数据免受非授权修改和访问。O.INTROPTOE应能与其扫描的IT系统进行互操作。O.RESPONTOE必须对分析结论做出正确响应。O.SCANLZTOE必须获取源自扫描器或外部IT实体的数据，然后使用分析进程和信息产生相应的扫描结论。O.SCSENSTOE必须收集和存储所有与时可能导致溢出、访问、恶意破坏IT系统和扫描资源结果不正当行为的事件信息。O.RESVULTOE必须已经过系统地测试和检查，并可验证TOE能抵抗针对明显脆弱性所采取的攻击。环境安全目的TOE操作环境必须满足以下目的，这些目标不涉及技术要求，但需通过程序或管理性的措施来满足。O.CREDEN对TOE负责的人员必须保证所有用户以恰当的方式保护访问凭证。O.INSTAL对TOE负责的人员必须保证以恰当的方式交付、安装、管理和运行TOE。O.PERSON为确保TOE的正确运行，应谨慎选择授权管理员并给予相关培训。O.PHYCAL对TOE负责的人员必须保证那些对安全策略起关键作用的TOE部分免受任何物理攻击。5IT安全要求5.1TOE安全功能要求本ST的安全功能要求由下列组件构成，见表1。表1TOE功能组件安全要求功能组件FAU类：安全审计FAU_ARP.l安全告警FAU_GEN.l审计数据产生（1）FAU_GEN.1审计数据产生（2）FAU_SAA.1潜在侵害分析FAU_SAR.1审计查阅（1）FAU_SAR.1审计查阅（2）FAU_SAR.2限制审计查阅（1）FAU_SAR.2限制审计查阅（2）FAU_SAR.3可选审计查阅FAU_STG2审计数据可用性保证（1）FAU_STG2审计数据可用性保证（2）FAU_STG4防止审计数据丢失（1）FAU_STG4防止审计数据丢失（2）FIA类：标识和鉴别FIA_AFL.1鉴别失败处理FIA_ATD.1用户属性定义FIA_UAU.2任何动作前的用户鉴别FIA_UID.2任何动作前的用户标识FMT类：安全管理FMT_M0F.1安全功能行为的管理FMT_MTD.1TSF数据的管理

FMT_SMR.1安全角色FMT_SMF.1管理功能规范FPT类：TSF保护FPT_RVM.1TSP的不可旁路性FPT_STM.1可靠的时间戳FTA类：TOE访问FTA_SSL.3TSP原发会话终止FTP类：可信路径/信道FTP_TRP.1可信路径5.1・1安全审计（FAU）FAU_ARP.1安全告警FAU_ARP.1.1当检测到潜在的安全侵害时,TSP应［记录检测到的安全漏洞,并将达到某种危害程度的安全漏洞的信息以电子邮件的形式发送给指定管理员］。FAU_GEN.1审计数据产生（1）FAU_GEN.1.1TSF应能为下述可审计事件产生审计记录：a） 审计功能的启动和关闭；b） 符合基本级审计的所有可审计事件；c） 对TOE及TOE数据的访问。符合基本级审计的可审计事件见表2。表2可审计事件组件事件细节FAU_SAR.1审计查阅（1）从审计记录中读取信息FAU_SAR.1限制审计查阅（1）从审计记录中读取信息的未成功尝试FAU_STG4防止审计数据丢失（1）因审计存储失效而米取的动作

FIA_UAU.2任何动作前的用户鉴别鉴别机制的所有使用FIA_UID.2任何动作前的用户标识用户标识机制的所有使用用户身份FMT_M0F.1安全功能行为的管理TSF中功能行为的所有改动FMT_MTD.1TSF数据的管理TSF数据值的所有改动FMT_SMR.1安全角色对角色中用户组的修改FMT_SMF.1管理功能规范管理功能的使用FPT_STM.1可靠的时间戳时间的改动FTA_SSL.3TSF原发会话终止利用会话锁定机制对交互式会话的终止FTP_TRP.1可信路径可信路径功能的所有使用尝试如果有的话，与所有可信路径调用相关的用户标识FAU_GEN.1.2TSF在每个审计记录中应记录如下信息：a）TOE自身操作事件的日期和时间、事件类型、主体身份和事件结果（成功或失败）；b）根据PP/ST中功能组件的可审计事件定义，每个审计事件类型在表2细节一栏中指定的附加信息。FAU_GEN.1审计数据产生（2）FAU_GEN.1.1扫描器应能从目标IT系统资源中收集以下静态配置信息：a） 访问控制配置、服务配置、鉴别配置、可审查策略配置、可检测的已知脆弱性；b） ［常见的蠕虫、木马等恶意软件的静态配置信息］。FAU_GEN.1.2扫描器的扫描记录至少应包含如下信息：a） 网络扫描事件的日期和时间、事件类型、扫描结果（成功或失败）；b） ｛扫描目标统计、存活目标统计、开放端口统计等｝。FAU_SAA.1潜在侵害分析FAU_SAA.1.1TSF应能使用一组规则去监测审计事件，并根据这些规则指示出一个对TSP的潜在规范。FAU_SAA.1.2TSF应执行下列规则监测审计事件：a） 已知的用来指示潜在安全侵害的［脆弱性特征，包括操作系统的脆弱性特征、常见服务的脆弱性特征、通用数据库系统的脆弱性特征等］的积累或组合；b） ［常见木马/蠕虫脆弱性特征、DOS/DDOS攻击脆弱性特征］。FAU_SAR.1审计查阅（1）FAU_SAR.1.1TSF应为［审计管理员、审计员］提供从审计记录中读取［审计信息］的能力。FAU_SAR.1.2TSF应以便于用户理解的方式提供审计记录。FAU_SAR.1审计查阅（2）FAU_SAR.1.1扫描器应向［扫描管理员、操作员和报表查看员］提供从扫描器数据读取［漏洞扫描结果］的能力。FAU_SAR.1.2扫描器应以适用于用户理解的方式向用户提供扫描器数据。FAU_SAR.2限制审计查阅（1）FAU_SAR.2.1除具有明确读访问权限的用户外，TSF应禁止所有其它用户对审计记录的读访问。FAU_SAR.2限制审计查阅（2）FAU_SAR.2除被明确授予读访问权限的用户外，扫描器应禁止其它用户对扫描器数据的读访问。FAU_SAR.3可选审计查阅FAU_SAR.3.1TSF应能根据［日期和时间、主体身份、事件类型、相关事件、操作的成功或失败］来对审计数据进行搜索；TSF应能根据日期和时间来对审计数据进行排序。FAU_STG.2审计数据可用性保证（1）FAU_STG.2.1TSF应保护所存储的审计记录，以避免未授权的删除。FAU_STG2.2TSF应能防止对审计记录所进行的修改。FAU_STG2.3当下述情况发生时：审计存储耗尽、失败、受攻击,TSF应确保审计记录［授权管理员设定的需要要保存的最少数量的审计记录］不被破坏。1FAU_STG.2审计数据可用性保证（2）FAU_STG.2.1扫描器应保护存储的扫描器数据免受非授权删除。FAU_STG.2.2扫描器应保护存储的扫描器数据免受修改。FAU_STG2.3当下述情况发生时：扫描器数据存储资源耗尽、失败或受到攻击,扫描器应确保［授权管理员设定的需要要保存的最少数量的扫描器数据］不被破坏。FAU_STG.4防止审计数据丢失（1）FAU_STG4.1如果审计迹已满,TSF应覆盖所存储的最早的审计记录,并［向审计管理员发送告警邮件］。FAU_STG.4防止审计数据丢失（2）FAU_STG4.1如果存储空间已满，扫描器应覆盖所存储的最早的扫描器数据，并［向扫描管理员发送告警邮件］。5.1.2标识和鉴别（FIA）FIA_AFL.1鉴别失败处理FIA_AFL.1.1当与［用户登录］相关的不成功鉴别尝试次数，达到⑶次时,TSF应能加以检测。FIA_AFL.1.2当达到或超过规定的不成功鉴别尝试的次数时，TSF应［锁定该用户帐户，直到超级管理员解锁该用户帐户］。FIA_ATD.1用户属性定义FIA_ATD.1.1TSF应维护以下属于个体用户的安全属性列表：a） 用户身份；b） 鉴别数据；c） 授权；d） ｛用户登录时允许其使用的IP地址｝。FIA_UAU.2任何动作前的用户鉴别FIA_UAU.2.1在允许执行代表该用户的任何其他TSF介导动作前，TSF应要求每个用户都已被成功鉴别。FA_UID・2任何动作前的用户标识FIA_UID.2.1在允许执行代表该用户的任何其他TSF介导动作之前，TSF应要求每个用户识别他自己。5.1.3安全管理（FMT）FMT_MOF.1安全功能行为的管理FMT_MOF.1.1TSF应仅限于授权的扫描管理员具备“确定和修改”扫描器的数据收集和漏洞分析功能的能力。TSF应仅限于授权的扫描管理员具备“确定和修改”安全告警行为的能力。FMT_MTD・1TSF数据的管理FMT_MTD.1.1TSF应仅限于［授权的超级管理员］具备［增加、删除、修改用户］的能力；TSF应仅限于［授权的超级管理员］具备［修改安全角色］的能力；TSF应仅限于［授权的超级管理员］具备［设置系统时间］的能力；TSF应仅限于［授权的超级管理员］具备［设置允许不成功的鉴别次数］的能力；TSF应仅限于［授权的审计管理员］具备［查询及删除审计日志］的能力；TSF应仅限于［授权的审计员］具备［查询审计日志］的能力；TSF应仅限于［授权的扫描管理员］具备［查询及删除扫描结果］的能力；TSF应仅限于［授权的操作员］具备［查询自己执行的扫描任务的扫描结果］的能力；TSF应仅限于［授权的报表查看员］具备［査询扫描结果］的能力。5・1・3・3FMT_SMR・1安全角色FMT_SMR.1.1TSF应维护下列角色：超级管理员、及［审计管理员、扫描管理员、审计员、操作员和报表查看员］。FMT_SMR.1.2TSF应能够把用户和超级管理员、审计管理员、扫描管理员、审计员、操作员及报表查看员角色关联起来。5・1・3・4FMT_SMF・1管理功能规范FMT_SMF.1.1TSF应能够执行如下安全管理功能：（1） FAU_ARP.1管理：对安全告警行为的修改（2） FAU_SAA.1管理：通过添加、修改规则集中的规则来维护规则库（3） FAU_SAR.1管理（1）：维护对审计记录有读权限的用户组（4） FAU_SAR.1管理（2）：维护对报表有读权限的用户组（5） FAU_STG.2管理（1）：维护审计数据存储的最小要求量（6） FAU_STG.2管理（2）：维护报表数据存储的最小要求量（7） FAU_STG4管理（1）：审计存储失败时，TSF采取相应的行为的修改（8） FAU_STG4管理（2）：报表存储失败时，TSF采取相应的行为的修改（9） FIA_AFL.1管理：a）可设置允许尝试鉴别次数b）维护鉴别失败时采取的行动（10） FIA_ATD.1管理：用户管理员可为用户添加附加的安全属性，如限制登录IP（11）FIA_UAU.2管理：用户管理员可以修改用户密码；用户可以修改自己的密码（12）FIA_UID.2管理：用户管理员可以修改用户的身份信息（13）FMT_MOF.1管理：管理可以与TSF中的功能相互作用的角色组（14）FMT_MTD.1管理：管理可以与TSF数据相互作用的角色组（15）FMT_SMR.1管理：管理构成角色的一部分的用户组（16）FPT_STM.1管理：可以设置系统时间（17）FTA_SSL.l管理：a）对用户不活动时间的规定b）对默认用户不活动时间的规定TSF保护（FPT）FPT_RVM.1TSP的不可旁路性FPT_RVM.1.1TSF应确保在TSC内允许继续执行每一项功能前，TSP的执行功能都被成功激活。FPT_STM.1可靠的时间戳FPT_STM.1.1TSF应能为自身的应用提供可靠的时间戳。TOE访问（FTA）FTA_SSL・3TSF原发会话终止FTA_SSL.3.1TSF应在达到［超级管理员设定的用户不活动的时间］之后终止一个交互式会话。5.1.6可信路径信道（FTP）FTP_TRP.1可信路径FTP_TRP.1.1TSF应在他自己和远程和本地用户之间提供一个通信路径,此路径在逻辑上与其他通信路径截然不同，其末端点具有保证的标识，并能保护通信数据免遭修改或泄露。FTP_TRP.1.2TSF应允许本地用户和远程用户经由可信路径发起通信。FTP_TRP.1.3TSF应要求对启动用户鉴别、［用户管理、审计和扫描管理等交互］均使用可信路径。TOE安全保证要求本ST的安全功能保证要求由下列组件构成，见表3。

表3：保证组件（EAL3级）保证类保证组件ACM类：配置管理ACM_CAP.3授权控制ACM_SCP.1TOECM覆盖ADO类：交付和运行ADO_DEL.1交付程序ADO_IGS.1安装、生成和启动程序ADV类：开发ADV_FSP.1非形式化功能规范ADV_HLD.2安全加强的高层设计ADV_RCR.1非形式化对应性证实AGD类：指导性文档AGD_ADM.1管理员指南AGD_USR.1用户指南ALC类：生命周期支持ALC_DVS.1安全措施标识ATE类：测试ATE_COV2测试范围分析ATE_DPT.1测试深度分析ATE_FUN.1功能测试ATE_IND.2独立测试 抽样AVA类：脆弱性评定AVA_MSU.1指南审查AVA_SOF.1TOE安全功能强度评估AVA_VLA.1开发者脆弱性分析IT环境的安全要求本TOE为漏洞扫描产品，在多方面需要底层操作系统以及数据库管理系统等系统级应用的支持。TOE需要满足但又不由TOE自身提供的安全要求主要包括：5.3.1对操作系统的安全要求操作系统要提供对审计数据的永久储存的支持。操作系统要确保能够从硬件获取精确的系统时间。操作系统要保证网络接口是可用的。操作系统的管理员不应是粗心大意、不负责任或者是怀有敌意的，并应遵循TOE文档的规定。对数据库管理系统的安全要求数据库管理系统要提供对审计数据的永久储存的支持。数据库管理系统要确保写入的和读出的数据的一致性。数据库管理系统管理员不应是粗心大意、不负责任或者是怀有敌意的，并应遵循TOE文档的规定。安全功能强度声明本TOE应具备中等安全功能强度。6.TOE概要规范TOE的安全功能本TOE的安全功能包括：扫描引擎E.Collect信息收集功能：从目标IT系统资源中收集各类静态信息，包括访问控制配置、服务配置、鉴别配置、可审查策略配置、可检测的已知脆弱性。E.Analyse漏洞分析功能：使用漏洞库中的漏洞特征，与各类静态配置信息进行比对分析，以确定是否存在潜在安全漏洞。E.Alarm安全告警功能：记录检测到的安全漏洞，并根据管理员的设置以邮件的形式实施告警。6.1.2扫描管理SM.TaskManage扫描任务管理功能：管理扫描任务，包括对扫描对象、扫描漏洞类型和扫描方式的设置、扫描引擎的启动等。SM.MaintainDB漏洞库维护功能：通过升级包的形式，对漏洞库中的规则进行添加、修改等维护。6.1.3报表管理RM.View查看报表功能：TSF为授权用户提供查看扫描任务报表的能力。RM.Maintain报表维护功能：TSF为严格控制的授权用户提供删除报表的能力，并确保任何用户都不能修改报表的内容。RM.ConfigSpace配置报表存储空间功能：TSF为严格控制的授权用户提供设置报表数据最少存储数量的能力。6.1.4用户管理UM.ManageRole角色管理功能：TSF维护若干对系统具有不同操作权限的用户组角色，通过给所有用户分配不同的用户组来控制不同用户跟TSF交互式的恰当权限。UM.Authentication用户认证功能：任何用户在执行赋予其权限的安全功能之前，都要经过TSF的安全鉴别。UM.Authentication具备中等安全功能强度。UM.AddUser增加用户功能：严格控制的授权用户可以增加新的用户，并为其分配角色。UM.ModifyPwd修改密码功能：严格控制的授权用户可以修改所有用户的密码。所有用户都能修改自己的密码。UM.ModifyInfo修改用户信息功能：严格控制的授权用户可以修改所有用户的用户信息。6.1.5审计AM.Record记录审计信息功能：在可审计事件发生时，产生并记录包含事件内容与附加细节、发生时间、主体身份等信息在内的审计记录。AM.View查看审计信息功能：TSF为授权用户提供查看审计信息的能力，授权用户可以根据日期和时间、主体身份、事件类型、相关事件、操作的成功或失败来对审计信息进行搜索。AM.Maintain审计信息维护功能：TSF为严格控制的授权用户提供删除审计信息的能力，并确保任何用户都不能修改审计信息的内容。AM.ConfigSpace配置审计信息存储空间功能：TSF为严格控制的授权用户提供设置审计数据最少存储数量的能力。6.1.6系统支持SS.MaintainTime时间管理功能：提供接口，使授权用户可以更改系统时间。SS.Timeout超时锁定功能：如果在指定时间内，授权用户和TSF没有任何交互，会话将被中止。SS.Encrypt管理数据非明文传输功能：本地用户和远程用户与TSF之间的所有通信数据均通过SSL加密。SS.Encrypt具备中等安全功能强度。

TOE的安全保证措施保证类保证组件保证措施ACM类：配置管理ACM_CAP.3授权控制《**系统配置管理计划》《**系统配置项清单》ACM_SCP.1TOECM覆盖ADO类:交付和运行ADO_DEL.1交付程序《**系统父付和运行》ADO_IGS.1安装、生成和启动程序ADV类：开发ADV_FSP.1非形式化功能规范《**系统功能规范》ADVHLD.2安全加强的高层设计《**系统咼层设计》AGD类:指导性文档AGD_ADM.1管理员指南《**系统指导性文档》AGD_USR.1用户指南ALC类：生命周期支持ALC_DVS.1安全措施标识《**系统开发安全》ATE类：测试ATE_COV2测试范围分析《**系统测试文档》ATE_DPT.1测试深度分析ATE_FUN.1功能测试AVA类：脆弱性评定AVA_MSU.1指南审查《**系统脆弱性分析》AVA_SOF.1TOE安全功能强度评估AVA_VLA.1开发者脆弱性分析《**系统配置管理计划》主要说明如何用使用CM系统对文档和代码进行有效地管理，指导配置管理人员、研发人员和版本构建人员正确地进行代码的提交更新和版本构建，从而保障代码和文档的完整性和可追踪性。《**系统配置项清单》描述了组成TOE的所有配置项的清单并确保配置项被唯一标识。《**系统交付和运行》描述了为保证TOE安全地提交给用户所需的所有交付程序。《**系统功能规范》较为详尽地描述了TOE安全功能和TSF外部的用户可见接口，包括外部接口的异常、出错信息和TOE的处理方式。《**系统高层设计》以子系统的方式提供了对TSF的描述和对这些结构单元接口的描述，并以表格的形式描述了各个子系统与安全功能的对应关系。《**系统指导性文档》就管理员和用户如何以安全方式管理TOE进行详细而全面地说明《**系统开发安全》描述了为保护TOE设计和实现过程的机密性与完整性而采取的的物理、过程、人员等方面安全措施。《**系统测试文档》主要描述了各项功能的测试，包括测试计划、测试方法、测试环境、测试工具、命令、测试步骤、预期测试结果和实际测试结果等；同时，阐述了测试与功能规范、测试与高层设计的一致性。《**系统脆弱性分析》用于确定TOE在特定环境下的漏洞或脆弱性的存在的可能性和可利用性。7.基本原理7.1安全目的基本原理本TOE的安全目的和安全环境之间的双向映射关系如下表所示：OPROTCTOSCANLZOEADMINOACCESSOIDAUTHOOFLOWSOAUDITSOINSTALOPHYCALOCREDENOPERSONOINTROPONCRYPOINTEGROSCSENSORESVULORESPONA.ACCESSXA.PROTCTXA.LOCATEXA.MANAGEXA.NOEVILXXXA.NOTRSTXXA.INTCONXT.COMINTXXXXT.COMDISXXXT.LOSSOFXXXXT.NOHALTXXXXXT.PRIVILXXXT.IMPCONXXXXT.INFLUXXT.COMEXPXXT.PROCOMXP.SCANXXP.MANAGEXXXXXXXP.ACCESSXXXP.ACCACTXP.INTGTYXP.PROTCTXXP.ANALYZXXP.CRYPTOXA.ACCESSTOE有权访问其功能所需的所有IT系统数据。O.INTROP保证了TOE可访问到其必须的数据。A.PROTCT对安全策略执行起关键作用的TOE硬件和软件应受保护以免受非授权的物理更改。O.PHYCAL可以为TOE硬件和软件提供必要的物理保护。A.LOCATETOE的处理资源应位于受控的访问设备之内，以防止非授权的物理访问。O.PHYCAL提供这种物理保护。A.MANAGE应指定一个或多个能胜任的人来管理TOE及其所含信息的安全。O.PERSON可以保证所有授权管理员具有资格和经过培训。A.NOEVIL授权管理员不应是粗心大意、不负责任或者是怀有敌意的，并应遵循TOE文档的规定。O.INSTAL可以保证TOE得到正确安装和操作。O.PHYCAL使得授权管理员保证TOE的物理安全。O.CREDEN通过要求保护所有鉴别数据来支持此假设。A.NOTRSTTOE系统只能被授权用户访问。O.PHYCAL提供物理的保护以防止TOE收到非授权访问，O.CREDEN通过要求保护所有授权数据来支持此假设。T.COMINT非授权用户可能企图通过旁路安全机制而破环由TOE收集的数据的完整性。O.IDAUTH在用户访问任何TOE数据之前提供鉴别机制。O.ACCESS通过只允许授权用户访问TOE数据而建立在O.IDAUTH基础之上。O.INTEGR保证TOE数据不被修改。O.PROTCT通过提供TOE自我保护功能来确定这种威胁。T.COMDIS非授权用户可能企图通过旁路安全机制而泄露由TOE收集的数据。O.IDAUTH在用户访问任何TOE数据之前提供鉴别机制。O.ACCESS通过只允许授权用户访问TOE数据而建立在O.IDAUTH基础之上。O.EXPORT可以保证TOE数据的机密性。O.PROTCT通过提供TOE自我保护功能来确定这种威胁。T.LOSSOF非授权用户可能企图删除或者破坏由TOE收集和生成的数据。O.IDAUTH在用户访问任何TOE数据之前提供鉴别机制。O.ACCESS通过只允许授权用户访问TOE数据而建立在O.IDAUTH基础之上。O.INTEGR保证TOE数据不被修改。O.PROTCT通过提供TOE自我保护功能来确定这种威胁。T.NOHALT非授权用户可能企图通过停止TOE的执行来危及TOE的收集功能的连续性。O.IDAUTH在用户访问任何TOE数据之前提供鉴别机制。O.ACCESS通过只允许授权用户访问TOE数据而建立在O.IDAUTH基础之上。O.SCAN通过要求TOE收集所有数据（包括终止TOE的企图）来确定这一威胁。T.PRIVIL 非授权用户可能访问任何TOE并利用系统特权而访问TOE安全功能和数据。O.IDAUTH在用户访问任何TOE数据之前提供鉴别机制。O.ACCESS通过只允许授权用户访问TOE数据而建立在O.IDAUTH基础之上。O.PROTCT通过提供TOE自我保护功能来确定这种威胁。T.IMPCON非授权用户可能会不适当地改变TOE的配置，从而造成无法检测到的潜在入侵。O.INSTAL规定授权管理员必须正确配置TOE。O.EADMIN保证TOE具有管理产品所必须的所有管理员功能。O.IDAUTH在用户访问任何TOE数据之前提供鉴别机制。O.ACCESS通过只允许授权用户访问TOE数据而建立在O.IDAUTH基础之上。T.INFLUX非授权用户可能由于创建一个TOE不能处理的数据集合而导致故障的发生，O.OFLOWS通过要求TOE处理数据存储溢出来对抗这种威胁。T.COMEXP具有基本攻击前的攻击熟练者，可能通过尝试旁路TSF来获得对TOE或TOE所保护的资产的访问。O.ENCRYP可以确保TOE与授权管理员通过远程方式交互时数据的机密性。O.RESVUL确保TOE能够抵抗具有基本攻击潜能的攻击者实施的穿透性攻击。T.PROCOM未授权的人或未授权的外部IT实体可能查看、修改和/或删除远程授权管理员和TOE间传送与安全相关的信息。O.ENCRYP可以确保TOE与授权管理员通过远程方式交互时数据的机密性。P.SCAN必须收集可能指示IT系统的未来潜在入侵或过去入侵事件的静态配置信息。O.AUDITS和O.SCAN通过要求收集审计数据和扫描器数据来满足这一策略。P.MANAGETOE应仅由授权用户管理。O.PERSON确保有能力的管理员管理TOE，且O.EADMIN保证有一套安全功能供管理员使用。O.INSTAL通过确保管理遵循所提供的文档并维护系统安全策略来支持O.PERSON。O.IDAUTH在用户访问任何TOE数据之前提供鉴别机制。O.ACCESS通过只允许授权用户访问TOE数据而建立在O.IDAUTH基础之上。O.PROTCT通过提供TOE自我保护功能来确定这种威胁。P.ACCESSTOE收集或生成的所有数据都只能用于授权目的。O.IDAUTH在用户访问任何TOE数据之前提供鉴别机制。O.ACCESS通过只允许授权用户访问TOE数据而建立在O.IDAUTH基础之上。O.PROTCT通过提供TOE自我保护功能来确定这种威胁。P.ACCACTTOE用户应对其在TOE中的行为负责。O.AUDITS通过要求对所有的数据访问和TOE功能的使用进行审计来满足这一策略。O.IDAUTH通过确保每个用户可以被唯一标识和鉴别而支持本目的。P.INTGTY应保护TOE收集或生成的数据免受修改。O.INTERGR确保数据不被修改。P.PROTCTTOE应受保护以避免非授权访问及TOE收集功能的中断。O.OFLOWS要求TOE处理中断行为以满足这一策略。O.PHYCAL保护TOE免受非授权物理修改。P.ANALYZ源自任何时间的扫描结论的分析程序和信息都必须作为扫描数据进行记录，并采取相应的响应措施。O.SCANLZ确保TOE必须获取源自扫描器或外部IT实体的数据，然后使用分析进程和信息产生相应的扫描结论。P.CRYPTO为了保护远程管理功能，ST作者应当制定加密算法的依据标准（例如，使用3DES加密算法和相应的密码长度）。相关的加密模块应当最低限度地遵循ST作者规定或指定的相关标准。O.ENCRYP确保如果TOE允许所连接网络产生远程管理，那么它必须通过加密手段保护TOE与授权管理员对话的机密性。安全要求基本原理本TOE的安全要求和安全目的间双向映射关系如下图所示：

OPROTCTOSCSENSOEADMINOACCESSOIDAUTHOOFLOWSOAUDITSOINTEGROENCRYPORESPONOSCANLZORESVULFAUGEN.1（1）XFAUGEN.1（2）XFAUSAR.1（1）XFAUSAR.1（2）XFAUSAR.2（1）XXFAUSAR.2（2）XXFAUSAR.3XFAUSTG2（1）XXXXXFAUSTG2（2）XXXXXFAUSTG4（1）XXFAUSTG4（2）XXFAUARP.1XXFAUSAA.1XXFIAUAU.2XXFIAAFL.1XXXFIAATD.1XFIAUID.2XXFMTM0F.1XXXFMTMTD.1XXXXFMTSMR.1XFMTSMF.1XFPTRVM.1XXXXXXFPTSTM.1XFTASSL.3XXFTPTRP.1XO.PROTCTTOE必须保护其自身的功能及数据免受非授权修改和访问。TOE必须保护审计数据不被删除，并且在发生存储空间耗尽、系统错误或遭受攻击时，仍能获取审计数据［FAU_STG2审计数据可用性保证（1）］。TOE必须能够保护其从IT系统中收集的扫描数据不被修改和未经授权地删除，并确保在发生存储空间耗尽、系统错误或遭受攻击时，仍能获取这些数据［FAU_STG2审计数据可用性保证（2）］。TOE必须限定仅有TOE授权用户才能管理TOE功

O.SCSENSO.EADMINO.ACCESSO.IDAUTH能行为［FMT_MOF.l安全功能行为的管理］。只有TOE授权管理员才能够查询、添加TOE数据与审计数据［FMT_MTD.1TSF数据的管理］。TOE必须确保所有功能在执行前被成功调用［FPT_RVM.lTSF的不可旁路性］。O.SCSENSO.EADMINO.ACCESSO.IDAUTHTOE必须收集和存储所有与时可能导致滥用、访问、恶意破坏IT系统和扫描资源结果不正当行为的时间信息。TOE必须收集和存储所有与时可能导致滥用、访问、恶意破坏IT系统和扫描资源结果不正当行为的时间信息，这些配置信息的类型应在ST中定义［FAU_GEN.1审计数据产生（2）］。TOE必须包括允许有效管理其功能及数据的一套功能。TOE必须具备查阅、管理TOE审计迹的能力［FAU_SAR.1审计查阅（1）,FAU_SAR.3可选审计查阅（1）］。TOE必须允许授权管理员查阅从IT系统中收集的扫描数据［FAU_SAR.1审计查阅（2）、FAU_SAR.3可选审计查阅（2）］。TOE必须确保所有功能在执行前被成功调用［FPT_RVM.1TSP的不可旁路性］。TOE必须只允许授权用户访问适当的TOE功能和数据。TOE应仅允许具有明确读访问权限的用户查阅审计数据［FAU_SAR.2限制审计查阅（1）］。TOE应仅允许具有明确读访问权限的用户查阅收集到的TOE数据［FAU_SAR.2限制审计查阅（2）］。TOE必须保护审计数据不被删除，并且在发生存储空间耗尽、系统错误或遭受攻击时，仍能获取审计数据［FAU_STG2审计数据可用性保证（1）］。TOE必须能够保护其从IT系统中收集的扫描数据不被修改和未经授权地删除［FAU_STG2审计数据可用性保证（2）］。授权访问TOE的用户需使用标识和鉴别程序进行定义［FIA_UID.2任何动作前的用户标识，FIA_UAU.2任何动作前的用户鉴别］。TOE必须限定仅有TOE授权用户才能管理TOE功能行为［FMT_MOF.1安全功能行为的管理］。只有TOE授权管理员才能够查询、添加TOE数据与审计数据［FMT_MTD.1TSF数据的管理］。TOE必须能够在允许访问TOE功能和数据之前标识和鉴别用户。TOE应仅允许具有明确读访问权限的用户查阅审计数据［FAU_SAR.2限制审计查阅（1）］。TOE应仅允许具有明确读访问权限的用户查阅收集到的TOE数据［FAU_SAR.2限制审计查阅（2）］。TOE必须保护存储的审计数据不被非授权删除［FAU_STG2审计数据可用性保证（1）］。TOE必须能够保护其从IT系统中收集的扫描数据不被修改和未经授权地删除，并确保在发生存储空间耗尽、系统错误或遭受攻击时，仍能获取这些数据［FAU_STG2审计数据可用性保证（2）］。TOE必须定义用以执行TOE的鉴别策略主体的安全属性［FIA_ATD.1用户属性定义］。授权访问TOE的用户需使用标识和鉴别程序进行定义［FIA_UID.2任何动作前的用户标识，FIA_UAU.2任何动作前的用户鉴别］。TOE必须限定仅有TOE授权用户才能管理TOE功能行为［FMT_MOF.l安全功能行为的管理］。只有TOE授权管理员才能够查询、添加TOE数据与审计数据［FMT_MTD.1TSF数据的管理］。TOE必须确保所有功能在执行前被成功调用［FPT_RVM.1TSP的不可旁路性］。O・OFLOWSTOE必须适当地处理潜在的审计和扫描器数据存储溢出。TOE必须保护审计数据不被删除，并且在发生存储空间耗尽、系统错误或遭受攻击时，仍能获取审计数据［FAU_STG2审计数据可用性保证（1）］。TOE在审计迹已满情况下必须能够防止审计数据的丢失［FAU_STG4防止审计数据丢失（1）］。TOE必须能够保护其从IT系统中收集的扫描数据不被修改和未经授权地删除，并确保在发生存储空间耗尽、系统错误或遭受攻击时，仍能获取这些数据［FAU_STG2审计数据可用性保证（2）］。TOE必须防止在TOE数据已满时数据的丢失［FAU_STG4防止审计数据丢失（2）］。O.AUDITSTOE必须为数据访问和TOE功能的使用而记录审计记录。TOE的安全相关事件必须被定义且是可审计的［FAU_GEN.1审计数据产生］°TOE在审计迹已满情况下必须能够防止审计数据的丢失［FAU_STG4防止审计数据丢失］。TOE必须确保所有功能在执行前被成功调用［FPT_RVM.1TSP的不可旁路性］。与审计记录相关的时间戳必须可靠［FPT_STM.1可靠的时间戳］。O.INTEGR TOE必须保证所有审计和扫描数据的完整性。TOE必须保护审计数据不被删除，并且在发生存储空间耗尽、系统错误或遭受攻击时，仍能获取审计数据［FAU_STG2审计数据可用性保证（1）］。。TOE必须能够保护其从IT系统中收集的扫描数据不被修改和未经授权地删除［FAU_STG.2审计数据可用性保证（2）］。只有TOE授权管理员才能够查询、添加TOE数据与审计数据［FMT_MTD.1TSF数据的管理］°TOE必须保护其收集的数据免受修改并在数据向其它IT产品传送时保证其完整性［FPT」TT.1内部TSF数据传送的基本保护］。TOE必须确保所有保护数据的功能不被旁路［FPT_RVM.1TSP的不可旁路性］。O.ENCRYP如果TOE允许所连接网络产生远程管理，那么它必须通过加密手段保护TOE与授权管理员对话的机密性。TSF应在他自己和远程用户之间提供一条通信路径，并能保护通信数据免遭修改或泄露。对于启动用户鉴别的时候，TSF应要求使用可信路径［FTP_TRP.1可信路径］。O.RESPONTOE必须对分析结论做出正确响应。当探测到漏洞时，分析器应向控制台或通过其它报警方式发出报警信息，并采取适当的行动。［FAU_ARP.1安全告警］O・SCANALZTOE必须获取源自扫描器或外部IT实体的数据，然后使用分析进程和信息产生相应的扫描结论。TOE应对接收到的所有扫描数据执行分析功能，且每个分析结论应尽量详细［FAU_SAA.l潜在侵害分析］O.RESVULTOE应能抵抗针对明显脆弱性所采取的攻击O.RESVULTOE应能采取一系列措施来检测对TOE或其审计数据的潜在安全侵害并能采取相应措施［FAU_ARP.1安全告警，FAU_SAA.1潜在侵害分析，FPT_RVM.1TSP的不可旁路性］。

TOE概要规范基本原理本TOE的安全要求和安全功能间双向映射关系如下图所示：ECollectEAnalyseEAlarmSMTaskManageSMMaintainDBRMViewRMMaintainRMConfigSPaceUMManageRoleUMAuthenticationUMAddUserUMMod讦ypwdUMMod讦yInfoAMRecordAMViewAMMaintainAMConfigSPaceSSMaintainTimeSSTimeoutSSEncryptFAUGEN.l(1)XFAUGEN.l(2)XXFAUSAR.1(1)XFAUSAR.1(2)XFAUSAR.2(1)XFAUSAR.2(2)XFAUSAR.3XFAUSTG2(1)XFAUSTG2(2)XFAUSTG4(1)XFAUSTG4(2)XFAUARP.1XFAUSAA.1XFIAUAU.2XFIAAFL.1XFIAATD.1XFIAUID.2XFMTM0F.1XFMTMTD.1XFMTSMR.1XFMTSMF.1XXXXXXXFPTRVM.1XXXXXXXFPTSTM.1XFTASSL.3XFTPTRP.1XFAU_GEN.1审计数据产生（1）AM.Record在可审计事件发生时，产生了包含事件内容与附加细节、发生时间、主体身份等信息在内的审计数据，并依照FAU_GEN.1.2要求的内容和格式记录。FAU_GEN.1审计数据产生（2）E.Collect能够从目标IT系统资源中收集各类静态信息,从而满足FAU_GEN.1.1的要求；E.Alarm能够依照FAU_GEN.1.2要求的内容和格式记录检测到的安全漏洞。FAU_SAR.1审计查阅（1）AM.View提供查看审计信息的能力。FAU_SAR.1审计查阅（2）RM.View为提供查看扫描任务报表的能力。FAU_SAR.2限制审计查阅（1）AM.View仅为授权用户提供查看审计信息的能力，未授权用户无法查阅。FAU_SAR.2限制审计查阅（2）RM.View仅为授权用户提供查看扫描任务报表的能力。FAU_SAR.3可选审计查阅AM.View允许授权用户根据日期和时间、主体身份、事件类型、相关事件、操作的成功或失败来对审计信息进行选择性查阅。FAU_STG.2审计数据可用性保证（1）AM.Maintain为严格控制的授权用户提供删除审计信息的能力，并确保任何用户都不能修改审计信息的内容，从而避免任何未授权的删除、防止对审计记录所进行的修改。FAU_STG.2审计数据可用性保证（2）RM.Maintain为严格控制的授权用户提供删除报表的能力，并确保任何用户都不能修改报表的内容，从而避免任何未授权的删除并防止对报表进行修改。FAU_STG.4防止审计数据丢失（1）AM.Re