2023年信息系统安全保护轮廓产生办法VIP

信息系统安全保护轮廓(PP)产生办法

1前言

所谓安全保护轮廓(PP),具体来说，就是为了满足一系列的安全目标而

提出的一整套相对应的功能和保证需求。一个PP可以重复使用于一些不同的应

用中。

PP对于不同的团体均具有重要的意义。它叙述了用户实际的安全方法，为

开发者提供了一套开发的基准，为学术界描述了一些很好的安全配置方法，为评

估者提供了评估的标准。

PP定义了对应一类TOEs的独立于应用的一系列安全需求。这些TOEs能

满足用户对IT安全的需要。因而，用户能够不参考任何特定的TOE去构造或引

用一个PP来描述他们自己的IT安全需要。

PP应作为一个基于用户服务的文件来描述，尽量使PP用户不再去参考那

些对于他们很难用到的资料。安全保护的原理应当明确的阐述，如果需要，可以

单独提出。

PP可以是由用户来制定，也可以是由IT产品研发方来制定，同时也可以

由任何其它对此感兴趣的团体来制定。PP给予了用户一种查阅特殊安全需求的

方式，同时也使将来木这些需求进行评估变得简单易行。

一般而言，在安全目标(ST)中所包含的TOE的安全需求都应当在一个已

存在的PP中详细叙述过，与PP中的需求保持一致。由一些已存在的PPs可以

产生一个新的PPo

2PP的内容结构

图1PP内容构架

3PP基本内容

3.1PP介绍

PP介绍这部分内容应当包括执行PP注册登记所必需的文件管理和概要信

息。内容如下：

a)PP识别应当提供对PP识别、编制目录、注册、参照所必需的标签和描

述信息。

b)PP概述应当用简短的形式总结PP。概述必需足够详细，从而能够引起

PP用户的兴趣。在PP目录和注册中，概述应独立出来作为摘要。

3.2TOE描述

TOE描述这部分内容能帮助读者对于TOE安全需求的理解，应当对其产

品型号以及一般的IT特征加以叙述。

TOE描述同样提供了评估的内容。TOE描述中提供的信息将用在评估的过

程中，米判别是否存在矛盾。由于一个PP一般不仅仅指代一个特定的应用，其

所描述的TOE特征可以是假设。如果TOE是一个产品或系统，其首要功能是安

全，PP的这部分内容将被用作是对TOE更广泛应用前景的叙述。

3.3TOE安全环境

TOE安全环境应描述TOE所应用环境的安全方面，以及TOE期望被采用

的方式。陈述应包括如下内容：

a)假设描述了TOE的应用或想要应用的环境的安全方面，如：

有关TOE的使用信息，包括可能的应用，潜在的资产价值，对使用的

可能的限制。

关于TOE使用环境的信息，包括物理的，人员的以及连接的方面,

b)威胁应当包括所有对TOE内部受特殊保护的资产的威胁。应当申明的

是，不是所有在此环境中遇到的可能的威胁必需列举出来，列举出来的

仅是与安全的TOE运行相关的那部分。

威胁应以一个辩明的威胁代理者，一次攻击的方式描述，而资产是攻击

EALs。当PP中存在明确的不包含在附录二中的额外的保证需求时，

也须扩展EALo

b）IT环境安全需求应确定需被TOE的IT环境满足的IT安全需求，如果

TOE对IT环境的依赖关系尚需证实，PP的这部分内容可以删除。

注意到，在现实中常常非常有用的非IT环境的安全需求不要求作为PP

的正式内容，因为它们与PP的实施不直接相关。

c）在对TOE以及其IT环境的安全功能和保证需求的叙述中应使用如下的

一般条件：

1）所有的IT安全需求应当从附录一和附录二中选择，如果其中某些需

求不是摘自附录一和附录二，PP中应当明确的说明，该需求不是摘

自附录。

2）任何明确说明的非摘自附录的需求应当正确而不含糊的陈述，这样，

评估及示范才可行，其具体的等级和描述方式应参考附录里的功能

和保证需求。

3）当选择了一些指定了必须的操作的安全需求时，PP应当使用这些操

作去放大这些需求的等级，从而能够示范是否达到安全目标。任何

PP内没有执行的所要求的操作应当标明。

4）通过使用需求组件中的操作，在必要时，TOE安全需求陈述应fT选

择地规定或禁止特定安全机制的使用。

5）所有IT安全需求之间的相关性都应满足，通过在TOE的安全需求

或环境的需求中包含该相关联的需求来满足相关性。

3.6使用注释

PP的这部分包含了对TOE的使用、评估、构造所必需考虑的额外相关的

有益支撑信息。

3.7基本原理

PP的这部分内容提供了PP评估所需的证据。这些证据能够证明PP内的需

求是完整而连贯的，它可以为TOE在其安全环境内提供一套有效的IT安全抵抗

措施。该基本原理内容包括如下：

a）安全目标原理应表明所有陈述的安全目标可追踪到TOE安全环境

中确定的所有方面。

b）安全需求原理应表明这一系列安全需求能够满足并追踪到安全目标。

如：

1）TOE及其1T环境的各个功能和保证需求组件的组合满足所提出的安

全目标。

2）这一系列需求一起形成了一个相互支撑、内部连贯的整体。

3）安全需求的选择是合理的，下列任一条件下需要特别的证明：

•所选择的需求没有包含在附录一和附录二中：

•所选择的保证需求没有指定一个EAL；

•相关性不满足。

4)PP的功能等级所选择的强度，以及任意功能明确要求的强度，与

TOE的安全目标是统一的。

附录一

I信息技术安全评固

通用准贝！1(CommonCriteri皿

安全功能需求

(Securityfunctionalrequirements)

1安全功能需求内容结构

1.1概述

本章定义了CC功能需求的内容和叙述方式，为ST中包含的新的组件

(components)的组织要求提供指导。功能需求是以类(Class),属(Family),

组件(component)的结构形式描述的。

1.1.1类结构

图1.1以图表的形式图解了功能类结构，每一功能类包含一个类名，类介绍，

一个或多个功能属。

图1.1功能类结构

类名称

类名称提供了功能类的识别和分类的必要信息。每一个功能类有一个独特的

名字。分类信息都包含一个三个字符的短名字。类名称也用在类的属名字规范中。

[.1.1.2类简介

…是简介阐述了满足安全目标的属的基本内容或方法。功能类的定义在要求的

规范中并不反映正式的分类法。类简介提供了一个图表来描述类所包含的属以及

每一属中组件的承接关系。

1.1.2属结构

图1.2表示了功能属的结构。

1.L2.1属名称

属名称提供了识别和分辨功能属所必须的分类和描述信息。每一功能属有

一独特的名称。分辨信息包含一个七字符的短名，开始三个字符表示对应的类名

称，类名称后是下划线和属的短名，形式如XXX_YYY。

属行为

属行为概述了功能属的安全目标和功能需求。详细描述如下：

a)如果TOE包含了属的一个组件，则属安全目标叙述了在TOE的帮助下

能解决的安全问题。

b)功能需求描述概拈了组件中包含的所有需求。这些描述可以帮助PPs,

STs的作者判别该属是否与其特殊的需求相关。

组件级别

功能属包含了一个或多个组件，其中任何一个组件可选为PPs,STs的内容。

本节的目的是，一旦该属被用户选作他们功能需求的必须部分，为用户提供选择

合适功能组件的信息。

管理

管理需求为PP/ST作者在考虑一个组件的管理行为时提供信息。管理需求详

细包含在管理类(FMT)的组件中。

审计

如果类FAU里的需求，安全审计，包含在PP/ST中，审计需求包含了PP/ST

作者可选择的审计事件。

1.1.3组件结构

图1.3表示了功能组件结构。

图1.2功能属结构图1.3功能组件结构

1.L3.1组件识别

组件识别为组件的识别、分辨、注册和前后引用提供了描述信息。

功能元素

每一个组件提供了一系列的元素，每一个元素是独立的。一个功能元素是一

个不可再分的安全需求。

1.1.33依赖关系

当一个组件不能自我满足，必须依赖于其他组件的功能时，这样组件之间的

依赖关系就产生了。

每一个组件提供了对其它功能和置信组件的依赖关系列表。

2类FAU：安全审计

安全审计主要涉及的工作是对有关安全活动的信息的识别、记录、存储和分

析（这里有关安全活动是指由TSP所控制的活动）。通过对审计结果的检查，可

以决定已发生了何种安全相关活动及其执行者。

2.1安全审计自动响应（FAU_ARP）

属FAU_ARP定义了当检测到预示着某种潜在的安全入侵行为后，系统应采

取的响应措施。

FAU_ARP.l安全警报，一旦检测到潜在的入侵行为时,TSF应采取的行动。

关联性：FAU_ARP.lo

2.2安全审计数据产生（FAU_GEN）

属FALLGEN定义了记录在TSF控制下发生的安全相关事件的需求。它确

定了审计的级别，列举了应被TSF审计的事件的类型，规定了在不同的审计记

录类型中应提供的最小审计信息。

FAU_GEN.l规定了可审计事件的级别，确定了每一记录中的数据列表。

关联性：FPT_STM.lo

FAU_GEN.2用户身份链接。它将被审计事件与单个用户身份链接起来。

关联性：FAU_GEN.l,FIA_UID.i

FAU_GEN.1.1能产生下歹而计事件的审计记录：

a.审计功能的开启和关闭；

b.所有审计事件的审计等级［最低限度、基本级、详细级、未指定］;

c.［分配：其它未被特别定义的审计事件］。

FAU_GEN.1.2在每一审计记录中至少应包含以下信息：

a.事件发生的日期、时间、事件类型、主体身份和事件结果；

b.对于每一审计事件的类型，是以包含在PP/ST中的功能元件的可审计事

件的定义为基准。

FAU_GEN.2.I应能将每一审计事件和导致该事件的用户联系起来。

2.3安全审计分析（FAU_SAA）

FAU_SAA定义通过分析系统行为和审计数据寻找可能的或确实存在的安全

侵害的方式的需求。

FAU_SAA.l潜在侵害分析，混合规则设置基础上的基本阈值检测是必需的。

关联性：FAU_GEN.l.

FAU_SAA.2基于一般检测的轮廓。TSF维持系统使用的独立轮廓，这里轮

廓代表了轮廓目标群(profilelargetgroup)成员执行的历史使用模式。一个轮廓

目标群是指与TSF相互作用的一个或多个用户(个人或组织)。每一个轮廓目标

群成员分配一个独立的怀疑度等级(suspicionrating)0

关联性：FIA_UID.l

FAU_SAA.3简单攻击试探法。TSF应能检测签名事件的发生，签名事件代

表对TSP实施的严重威胁。签名事件的搜索实时进行或以post-collection

batch-mode方式进行。

关联性：无.

FAU_SAA.4复杂攻击试探法。TSF应能够检测多步入侵企图。TSF能比较

区分系统事件和入侵企图的事件。

关联性：无。

2.4安全审计回顾(FAU_SAR)

FAU_SAR定义了授权用户可借助审计工具对审计数据进行回顾。

FAU_SAR.l提供了从审计记录读取信息的能力。

关联性：FAU_GEN.1

FAU.SAR.2受限制的审计回顾，要求除了FAU_SAR.l授权的用户外，其

它用户均不能读取审计数据的信息。

关联性：FAU_SAR.l

FAU-SAR.3才选择的审计回顾，要求审计回顾工具可根据一定的准则来选

择审计数据进行回顾。

关联性：FAU.SAR.1

2.5安全审计事件选择(FAU_SEL)

FAU.SEL定义了在TOE运行过程中，从可审计事件中选取或排除事件的需

求。

FAU.SEL.1选择审计事件。定义了根据PP/ST作者所指定的属性，从审计事

件列表中选取事件的能力。

关联性：FAILGEN.1,FMT_MTD.l

2.6安全审计事件存贮(FAU_STG)

FAU_STG定义了对TSF建立和维持安全审计跟踪的需求。

FAU_STG.l受保护的审计跟踪存贮，提出了对审计跟踪的要求，防止审计

跟踪记录被非法删除或修改。

关联性：FAU.GEN.1

FAU_STG.2审计数据有效性保证，对在非正常条件下保证TSF维持审计数

据提出需求。

关联性：FAU_GEN.1

FAU_STG.3血果审计数据丢失时的行动措施，定义了如果审计跟踪阈值超

出时的行动。

关联性：FAU_STG.l

FAU_STG.4三审计跟踪数据满时，预防审计数据丢失的行动。

关联性：FAU_STG.l

3类FCO：通讯

类FCO考虑的是参与数据交换的双方的身份认证问题，它确保信息发送方

不能抵赖其所发送的信息，接收方也不能否认其接收到的信息。

3.1发送者的不可抵赖性(FCO_NRO)

FCO.NRO确保当发送者发出信息后，其身份信息不可成功地抵赖，要求

TSF能提供一种方法，确保在信息交流过程中，信息接收方同时应收到发送者身

份的信息，该信息能被接收者和其他人核实。

FCO-NRO.1发送者选择性证据要求TSF提供给主体要求发送者信息证据

的能力。

关联性：FIA.UID.1

FCO_NRO.2发送者执行证据，要求传递信息时TSF能始终产生发送者的

证据。

关联性：FIA_UID.l

3.2接收者的不可抵赖性(FCO_NRR)

FCO.NRR要求TSF提供一种方法，确保发送者能得到接收者收到信息的证

据，这种证据能被发送者和其他人核实。

FCO_NRR.l接受者选择性证据要求TSF提供给主体要求接收者信息证据

的能力。

关联性：FIA_UID.I

FCO_NRR.2接收者执行证据，要求接收信息时TSF能始终产生接收者的

证据。

关联性：FIAUID.1

4类FCS：密码支持

FCS要求采用加密功能来帮助满足儿种高级目标，这些包括（但不局限于）：

识别和授权；不可抵敕；安全通道等；加密功能的应用可以是硬件，软件或软硬

件相结合。

4.1密钥管理（FCS_CKM）

密钥在其生命周期内必须管理好，FCS_CKM对TSF定义了如下的动作要求:

密钥产生，密钥发布，密钥访问和密钥取消。

FCS_CKM.l要求按照指定算法产生密钥，密钥长度根据指定的标准产生。

关联性：FCS_CKM.2或FCS_COP.l,FCS_CKMAFMT_MSA.2

FCS_CKM,2密钥发布，根据指定的发布方法和标准发希密钥。

关联性：FDPJTC.1或FCS_CKM.1,FCS_CKM.4,FMT.MSA.2

FCS_CKM,3密钥访问，要民根据指定标猛按照特定的密钥访问方法执行

密钥访问。

关联性：FDPJTC.1或FCS_CKM.1,FCS_CKM.4,FMT_MSA.2

FCS_CKM.4密钥废除，基至指定标准，按照特定方法展除密钥。

关联性：FDPJTC.1或FCS_CKM.1,FMT_MSA.2

4.2密码操作（FCS_COP）

为了密码操作正确，操作必须符合指定算法和密钥长度。典型的密码操作包

括数据加密/解密，数值签名产生/核实，哈希运算（信息摘要），密钥加/解密，

密钥协议。

FCS_COP.l要求按照指定算法和密钥长度执行密码操作，指定算法和密钥

长度是以一个要求的标准产生的。

关联性：FDPJTC.1或FCS_CKM.1,FCS_CKM.4,FMT_MSA.2

5类FDP：用户数据保护

该类包含的属对保护用户数据有关的TOE安全功能和TOE安全功能策略规

定了要求。类FDP能被分成四个属。

5.1访问控制策略（FDP_ACC）

FDP_ACC确定访问控制SFPs（通过名字），并定义了形成TSP识别的访问控

制部分的控制策略范围。控制范围由以下三个要素表示：受该策略控制的主体;

受该策略控制的客体；受控主体和受控客体之间的操作。

FDP_ACC.l子集访问控制。

关联性：FDP_ACF.l

FDP_ACC.2完全访问控制。

关联屉：FDP_ACF.l

5.2访问控制功能（FDP_ACF）

FDP_ACF描述实施了FDP.ACC中指定的访问控制策略的特定功能的规则。

叙述了安全属性使用和策略特征。

FDP_ACF.1访问控制基础上的安全属性允许TSF根据安全属性实施访问。

进而，TSF或许具有根据安全属性明确认可和否定对客体访问的能力。

关联性；FDP_ACC.1,FMT_MSA.3

5.3数据鉴别（FDP_DAU）

数据鉴别允许团体对信息的真实性负责（如对信息数值签名）。FDP.DAU

提供了保证特定单元数据有效性的方法，从而也可用来验证信息内容没有伪造或

恶意篡改。

FDP_DAU.l基本数据鉴别，要求TSF能够保证客体信息内容的宜实性。

关联性：无

FDP_DAU,2用保证人身份进行数据鉴别，额外要求TSF能建立提供真实性

保证的主体的身份。

关联性：FIAUID.1

5.4输出TSF控制（FDP_ETC）

FDP_ETC定义了从TOE输出用户数据的功能，信息一旦输出，其安全属性

和保护要么被明确保留，要么被忽略。

FDP_ETC.l无安全属性的用户数据输出，当超出TSF输出用户数据时,TSF

实施合适的SFPso通过这种功能输出的用户数据没有相关的安全属性。

关联性：FDP_ACC.l或FDP」FC.l

FDP_ETC.2带安全属性的用户数据输出，要求TSF用合适的SFPs将输出

用户数据与安全属性正确而明确的联系起来。

关联性：FDP_ACC.1或FDPJFC.1

5.5信息流控制策略（FDPJFC）

FDP_IFC确定信息流控制SFPs（通过名字），并定义了形成TSP识别的信息

流控制部分的控制策略范围。控制范围由以下三个要素表示：受该策略控制的主

体；受该策略控制的信息；导致受控信息流进和流出策略控制主体的操作。

FDPJFC.1子信息流控制。

关联性：FDPJFF.1

FDPJFC.2完全信息流控制。

关联性：FDPJFE1

5.6信息流控制功能（FDPJFF）

FDP」FF描述了实施由FDP-IFC指定的信息流控制SFPs的特定功能为规

则，同时FDP」FF也规定了该策略的控制范围。它由两种需求组成：一种叙述

一般的信息流功能问题；另一种叙述非法信息流（如：转变信道）。这种分类的

产生是由于，在某种意义上，所谓的非法信息流是与信息流控制SFP的余下部

分垂直的，它们本质上围绕着信息流控制SFP,造成对该策略的侵害。这样，他

们要求限制和防止非法信息流发生的特定功能。

FDPJFF.1简单安全属性，要求信息的安全属性，关于促使信息流动主体

的安全属性，扮演信息接收者主体的安全属性。规定了该功能必需实施的规则，

描述该功能如何推导安全属性。

关联性：FDP」FC.1,FMT_MSA.3

FDPJFF.2根据FDPJFF.1简单安全属性的要求扩展分级的安全属性，通

过要求TSP中所有的信息流控制SFPs使用分级的安全属性，从而形成网格结构。

关联性：FDPJFC.1,FMT.MSA.3

FDPJFF.3受限制的非法搐息流，要求SFP包括非法信息流，但不是一定

要删除它。

关联性：AVA_CCA.1,FDP-IFC.1

FDPJFF.4三没信息流的部分删除，要求SFP包含删除某些（不一定是所

有）非法信息流的内容。

关联性：AVA_CCA.l,FDPJFC.1

FDPJFF.5无非法信息流，要求SFP能删除所有的非法信息流。

关联性：AVA_CCA.3,FDP-IFC.1

FDPJFF.6三袅信息流监测，要求SFP能监测指定和最大容量的非法信息

流。

关联性：AVA_CCA.l,FDPJFC.l

5.7超出TSF控制的输入（FDPJTC）

FDP_ITC规定了输入TOE的用户数据的保护机理，使输入用户数据具有合

适的安全属性并能被妥善地受到保护。涉及的内容有输入的限制，安全属性的指

定，对用户安全属性的解释。

FDPJTC.1无安全属性的用户数据输入，要求用户数据被正确地赋予安全

属性。

关联性：FDPACC.1或FDPIFC.l.FMTMSA.3

FDPJTC.2带安全属性的用户数据输入，要求安全属性能正确表示用户数

据，并能正确而明晰地与用户数据联系在一起。

关联性：FDP_ACC.l或FDP_IFC.1,FTP_ITC.1FTP_TRP.1,FPT_TDC.1

5.8TOE内部传递（FDP」TT）

当用户数据通过内部信道在TOE各部分之间传递时，FDP_ITT提出了对用

户数据的保护需求。它与FDPJJCT和FDPJJIT相反，FDPJJCT和FDP_U1T

是对用户数据通过外部信道在示同的TSFs2间传递时的保护需求。

FDP」TT.1基本的内部传输保护，要求用户数据在TOE个部分之间传递时

能受到保护。

关联性：FDP_ACC.l或FDP」FC.l

FDPJTT.2应于具有FDP」TT.l以外的SFP相关属性的值分离用户数据。

关联性：FDP_ACC.1或FDP」FC.l

FDPJTT.3完整性监测。

关联性：FDPACC.1或FDPJFC.hFDPITT.1

FDPJTT.4基于属性的完整性监测。

关联性：FDP_ACC.1或FDP」FC.1,FDP」TT.2

5.9残余信息保护（FDP_RIP）

FDP.RIP提出确保己删除信息不可再访问的要求以及新建立的客体不能包

含不可访问的信息。具体来说，就是对已经被逻辑删除但是还残留在TOE内的

信息的保护的需求。

FDP_RIP.l子残留信息保护，要求根据资源的分配，TSF能确保残留信息

内容对TSC的指定的客体是不可访问的。

关联性：无

FDP_RIP.2全残留信息保护，要求TSF能确保残留信息内容对所有的客体

均是不可访问的。

关联性：无

5.10恢复(FDP_ROL)

在一定的限制条件下，如一段时间内，FDP_ROL能恢复上一次或一系列的

操作，并回到一个以前己知的状态，从而保证了数据的完整性。

FDP_ROL.l基本恢复，叙述了在指定的限制条件下有限次数操作的恢复需

求。

关联性：FDP_ACC.l或FDP」FC.l

FDP_ROL.2高级恢复，叙述了在指定的限制条件下，所有操作的恢复需求。

关联性：FDP_ACC.l或FDP_IFC.l

5.11存贮数据的完整性(FDP_SDI)

FDP.SDI提供了用户数据保存在TSC内后的保护需求。完整性错误会影响

保存在内存或其他存储设备中的用户数据。

FDP.SDL1存贮数据完整性监测，要求SF对存贮在TSC内的用户数据的

指定完整性错误进行监测。

关联性：无

FDP_SDL2存贮数据监测及行动，4FDP.SDI.I的基础上，增加了当检测

到完整性错误后采取相应措施的能力。

关联性：无

5.12TSF之间传递用户数据机密性保护(FDP_UCT)

当用户数据使用外部信道在不同的TOE之间或不同TOE的用户之间传递时,

FDP.UCT定义了确保用户数据机密性的需求。

FDP_UCTJ基本数据交流机密性，目的是在用户数据的传递过程中，防止

用户数据暴露。

关联性：FTPJTC.i或FTP.TRRl,FDP_ACC.l或FDPJFC.1

5.13TSF之间传递用户数据完整性保护(FDP_UIT)

用户数据使用外部信道在不同的TOE之间或其它可信的IT产品之间传递时,

FDP.UIT定义了确保用户数据完整性的需求，并能从删除错误中恢复来保证完

整性。。

FDP.UIT.1数据交流完整性，叙述传递的用户数据的修改，删除，插入和

重放错误的检测。

关联性：FDP_ACC.1或FDP」FC.1,FTPJTC.1或FTP_TRP.l

FDP_UIT.2源数据交流恢复，要求通过履收TSF恢复原始的用户数据，借

助于原始发送的可信IT产品。

关联性：FDP_ACC.I或FDP」FC.1,FDP.UIT.1或FTPJTC.1

FDP_UIT.3目标数据交流恢复，要求通后接收TSF限复原始的用户数据，

不借助于原始发送的互信IT产品。

关联性：FDP_ACC.1或FDP」FC.1,FDP_UIT.l或FTPJTC.1

6类FIA：识别和鉴定

类FIA叙述了建立和核实请求用户身份的功能需求。识别和鉴定确保了用

户与恰当的安全属性相联系。授权用户身份的明确识别，用户和主体之间安全属

性的正确链接对既定安全策略的实施至关重要。类FIA解决用户身份的确定和

核实，明确用户作用于TOE的权限，赋予授权用户正确的安全属性。用户1勺正

确识别和鉴定是其它类(如：用户数据保护，安全审计)实施的基础。

6.1鉴定失败(FIA_AFL)

FIA.AFL提出了不成功的鉴定尝试的次数需求和一旦鉴定尝试失败TSF的

措施。参数包括失败的鉴定尝试次数和时间阈值。

FIA_AFL.l鉴定失败处理，要求当用户鉴定尝试达到一指定值后，TSF能

终止该使命建立过程。它同时要求使命建立过程终止后，TSF能废除该用户帐号

或关闭该尝试的进入端口。

关联性：FIA_UAU.1

6.2用户属性定义(FIA_ATD)

所有授权用户均有一系列安全属性用于实施TSP°FIA_ATD定义了按照TSP

的需要将用户安全属性与用户连接的要求。

FIA_ATD.l用户属性定义，要求每一用户具有独立的安全属性。

关联性：无

6.3安全规范(FIA_SOS)

FIA_SOS定义了根据提供的秘密实施指定的质量尺度的机理，以及产生满

足指定尺度的秘密的机理。

FIA.SOS.l秘密的核实，要求TSF核实秘密满足指定的质量尺度。

关联性：无

FIA_SOS.2秘密的产生，要求TSF能够产生满足指定质量尺度的秘密，

关联性：无

6.4用户鉴定(FIAJJAU)

FIA_UAU定义了TSF支持的不同形式的用户鉴定机理。它同样定义了用户

鉴定机理必须基于所需要的属性。

FIA_UAU.l鉴定的时间选择，在用户身份鉴定之前，容许用户执行某种行

动。

关联性：FIA_UID.1

FIA_UAU.2采取行动前的用户鉴定，要求在采取任何TSF容许的行动之前,

用户需鉴定他们自己。

关联性：FIA.UID.1

FIA_UAU.3不可伪造的鉴定，要求鉴定机理能检测和防止用户鉴定数据被

伪造或复制。

关联性.无

FIA_UAU.4单独使用的鉴定机理，要求一个鉴定机理用单独使用的鉴定数

据操作。

关联性：无

FIA_UAU.5多鉴定机理，要求对特定事件，提供不同的鉴定机理并用于用

户身份鉴定。

关联性：无

FIA_UAU.6重新鉴定，要求具有指出需要被用户重新鉴定的事件的能力。

美联性：无

FIA_UAU.7受保护的鉴定反馈，要求在鉴定过程中，仅仅提供有限的反馈

信息给用户。

关联性：FIAJJAU.1

6.5用户识别（FIA_UID）

F1A_UID定义了在何种条件下，在执行任何行动之前用户应要求去识别他

们自己。

FIA_UID.l识别时间安排，允许在被TSF识别之前用户采取某种行动。

关联性：无

FIA_UID.2采取任何行动之前的用户身份识别，要求在采取任何TSF允许

的行动之前用户应识别他们自己。

关联性：无

6.6用户•主体绑定（FIA_USB）

为了使用TOE,一个授权用户典型地激活一个主体。用户的安全属性（全

部或部分地）与主体连接在一起。FIA_USB定义了对创造和维持用户安全属性

与代表用户的主体之间连接的需求。

FIA_USB.l定义了对创造和维持用户安全属性与代表用户的主体之间连接

的需求。

关联性：FIAATD.1

7类FMT：安全管理

类FMT用于指明对TSF的几个方面的管理：安全属性，TSF数据和功能。

类FMT具有以下几个目标：

1)TSF数据的管理；

2)安全属性的管理；

3)TSF功能的管理；

4)安全任务的定义。

7.1TSF功能管理(FMT_MOF)

FMT_MOF允许授权用户对TSF中的功能管理进行控制。例如审计功能和

多鉴定功能。

FMT_MOF.l安全功能行为管理，允许授权用户对TSF中使用规则及在特

定条件下可被管理的功能进行管理。

关联性：FMT_SMR.l

7.2安全属性管理(FMT_MSA)

FMT_MSA允许授权用户对安全属性的管理进行控制，这种管理需包括观察

和修改安全属性的能力。

FMT_MSA.l安全属性管理，允许授权用户去管理指定的安全属性。

关联性：FDP_ACC.l或FDP」FC.I,FMT_SMR.l

FMT_MSA.2安全的安全属建，确保安荃属性的赋值关于安全状态是有效

的。

关联性:ADV_SPM.l,FDP_ACC.l或FDPJFC.l,FMT_MSA.l,FMT.SMR.l

FMT_MSA.3静态属性初赭化，确保安C属性的缺省福在其本质上，要么

是允许的要么是限制的。

关联性：FMT_MSA.I,FMT_SMR.I

7.3TSF数据管理(FMT_MTD)

FMT_MTD允许授权用户控制TSF数据管理。例如，TSF数据包括审计信

息，时钟，系统配置和其它的TSF配置参数。

FMT_MTD.lTSF数据管理，容许授权用户管理TSF数据。

关联性：FMT_SMR.1

FMT_MTD.2TSF数据的管理限制，规定了当到达TSF数据限制范围及超

出TSF数据限制范围时需采取的行动。

关联性：FMT_MTD.l或FMT_SMR.l

FMT_MTD.3安全的TSF数据，确保关于这个安全状态，分配给TSF数据

的值是有效的。

ADV_SPM.1,FMT_MTD.1

7.4废除(FMT_REV)

FMT.REV叙述了TOE内多个实体的安全属性的废除。

FMT_REV.l废除，在某些时间点，实施安全属性的废除。

关联性：FMT.SMR.1

7.5安全属性过期(FMT_SAE)

FMT_SAE叙述了对安全属性的有限性实施时间限制的能力。

FMT.SAE.1受时间限制的授权，为授权用户提供对指定的安全属性规定过

期时间的能力。

关联性：FMT_SMR.1,FPT_STM.1

7.6安全管理职责(FMT_SMR)

FMT.SMR主要用于控制为用户分配不同的职责。关于安全管理的这些职责

的能力在本类的其它属中叙述。

FMT_SMR.l安全职责，规定了TSF承认的有关安全的职责。

关联性：FIA_UID.l

FMT.SMR.2安全职责限制，除了对安全职责的规定，另有一些控制这些

职责关系的规则。

关联性：FIA_UID.I

FMT_SMR.3假设的职责，要求对TSF假定职责给出明确要求。

关联性：FMT.SMR.1

8类FPR：秘密

类FPR包含机密需求，当其它用户身份暴露或误操作时，这些需求提供必

要的保护。

8.1匿名(FPR_ANO)

FPR_ANO确保用户在不暴露自己身份的情况下使用资源或服务。对匿名的

需求为用户身份提供了保护。匿名不保护主体身份。

FPR_ANO.l匿名，要求其它用户或主体不能够根据该主体或操作来分辨用

户身份。

关联性：无

FPR-ANO.2无请求信息的匿名，通过确保TSF不要求用户身份而提高了

相对应FPR_ANO.l的要求。

关联性：无

8.2假名字(FPR_PSE)

FPR_PSE确保用户在不暴露自己身份的情况下使用资源或服务，但仍然需

为该次使用承担责任。

FPR.PSE.1假名字，要求其它用户或主体不能够根据该主体或操作来分辨

用户身份，但该用户仍需承担其行为责任。

关联性：无

FPR_PSE.2可逆的假名字，要求TSF根据提供的假名，能够确定真实用户

身份。

关联性：FIA_UID.1

FPR_PSE.3别名假名字，要求TSF能根据别名某种构造规则得出用户身份。

关联性：无

8.3不可连接(FPR_UNL)

FPR.UNL能保证一个用户能对资源或服务做多个使用，而同时其它人不能

连接这叱使用。

FPR_UNL.l不可连接，要求用户或主体不能确定系统内某个特定操作是否

由同一用户执行。

关联性：无

8.4不可观察(FPR_UNO)

FPR_UNO确保了一个用户在使用一项资源或服务时，无其它人或第三方可

以观察到该资源或服务正在使用。

FPR.UNO.1不可观察，要求用户或主体不能够确定一项操作是否正在执行。

关联性：无

FPR_UNO.2信息分配影响不可观察性，要求TSF能提供特定方法避免TOE

内的机密信息集中，如果安全危害发生时，这种集中可能影响不可观察性。

关联性：无

FPR_UNO.3无请求信息的不可观察性，要求TSF不去获得机密信息，因

为这样可能会影响不可观察性。

关联性：FPR_UN0.1

FPR_UNO.4衰权用户的可观察性，要求TSF提供一个或多个授权用户，

他们有能力观察到资源或服务的使用。

关联性：无

9类FPT：TSF保护

类FPT包含了对TSF及其数据完整性管理机理的安全需求。在某种程度上,

该类中的某些属与类FDP（用户数据管理）的内容相同，按相同的原理实施，但

是FDP着眼于用户数据的管理，而FPT则着眼于TSF数据的保护。

9.1根本的抽象机测试（FPT_AMT）

FPT.AMT要求TSF执行一些测试，这些测试能论证根据TSF所依靠的抽

象机所做的安全假设。“抽象”机可能是硬件或软硬件平台，以虚拟机的形式工

作。

FPT_AMT.l抽象机测试。

关联性：无

9.2安全失败（FPT_FLS）

FPT_FLS的需求确保，如果TSF的失败事件列表上的某事件发生时，TOE

不会破坏TSPo

FPT_FLS.l维持安全状态的失败，要求TSF在面临已知的失败时，能维持

其安全状态。

关联性：ADV_SPM.l

9.3输出TSF数据的有效性（FPTJTA）

FPT」TA定义了，当在TSF与远程可信IT产品之间移动TSF数据时，防止

TSF数据有效性丧失的规则。例如，这些TSF数据可能是密码，审计数据，TSF

执行码。

FPTJTA.1在指定有效性尺度下的TSF之间的有效性，要求TSF确保，在

一定的可能性下，提供给远程可信IT产品的TSF数据的有效性。

关联性：无

9.4输出TSF数据的机密性（FPTJTC）

FPT」TC定义了，当在TSF与远程可信IT产品之间移动TSF数据时，防止

TSF数据被非授权方获取的规则。这些TSF数据可能是TSF的关键数据，例如

密码，审计数据，TSF执行码。

FPTJTC.l传递过程中TSF之间的机密性，要求TSF确保数据在TSF与远

程可信IT产品之间传递时能防止被暴露。

关联性：无

9.5输出TSF数据的完整性（FPTJTI）

FPT」TI定义了，当在TSF与远程可信IT产品之间移动TSF数据时，防止

TSF数据被非授权修改的规则，这些TSF数据可能是TSF的关键数据，例如密

码，审计数据，TSF执行码。

FPTJTI.lTSF之间修改检测，当在TSF与远程可信IT产品之间移动TSF

数据时，提供了检测TSF数据是否被修改的能力，检测必须假定远程可信IT产

品被使用的机制认知。

关联性：无

FPTJTI.2TSF之间检测并订正修改，提供给远程可信IT产品不仅仅检测

修改的能力，并能够订正修改的TSF数据，它同样必须假定远程可信IT产品被

使用的机制认知。

关联性：无

9.6TOE内部TSF数据传递（FPTJTT）

当TSF数据通过内部通道在TOE的各独立部件之间传递时，FPT_ITT提供

了对TSF数据的保护。

FPTJTT.1基本的内部TSF数据传递保护，要求在TOE的各独立部件之间

传递TSF数据时，保护TSF数据。

关联性.无

FPT_ITT.2TSF数据传递分离，要求在传递过程中，从TSF数据中分离出

用户数据。

关联性：无

FPT.ITT.3TSF数据完整性监测，要求在TOE的各独立部件之间传递TSF

数据时，能监测已知的完整性错误。

关联性：FPT_ITT.1

9.7TSF物理保护（FPT_PHP）

FPT_PHP包括对TSF的非授权物理访问，非授权的物理修改的限制等等。

确保TSF不被物理篡改和冲突。

FPT_PHP.l物理攻击的被动检测，当TSF元件及设备受到篡改时，提供表

征的特征。然而，篡改的告示不是自动的，授权用户必须调用安全管理功能，或

手工操作某种检查去获知篡改是否发生。

关联性：FMTM0F.1

FPT.PHP.2物理攻击的告知，对于已知的物理攻击，提供对篡改的冉幼通

告。

关联性：FMT_MOF.l

FPT_PHP.3对物理攻击的抵抗，用TSF设备或元件，提供防止或抵抗物理

篡改的特征。

关联性：无

9.8可信的恢复（FPT_RCV）

FPT_RCV确保TSF能确定TOE在无保护失效状况下启动，在不连续操作

下，能在无保护失效状况下恢复。这种功能很重要，因为TSF的启动状态决定

了随后的保护状态。

FPT_RCV.l手工恢复，允许TOE仅仅提供通过人为干涉回复安全状态的机

理。

关联性：FPT_TST.1,AGD_ADM.1,ADV_SPM.l

FPTRCV.2后动恢复，好于至少一种形式的服务不连续，在没有人为干涉

的情况下恢复安全状态。从其它不连续状态恢复需要人为干涉。

关联性：FPT-TST.l,AGD_ADM.1,ADV_SPM.l

FPT_RCV.3无丢失的自留恢复，在要纸自动恢复的同时，不允许被保护客

体的丢失。

关联性：FPTTST.I,AGD_ADM.1,ADV.SPM.l

FPT_RCV.4功能恢复，捻供在特定SFs等级上的恢复，确保要么成功地完

成，要么恢复TSF数据到一个安全的状态。

关联性：ADV_SPM.l

9.9重放检测（FPT_RPL）

FPT_RPL叙述了对不同类型实体（信息，服务请求，服务响应）的重放检

测及采取的相应措施。

FPT_RPL.1重放检测，要求TSF能检测已辩明实体的重放。

关联性：无

9.10参考调解（FPT_RVM）

FPT_RVM要求对传统参考监视器的始终调用方面，它确保，关于给定的

SFP,策略实施所需的所有行动都由TSF对照SFP确认了。

FPT_RVM.lTSP的不可忽视，要求对TSP的所有SFPs都不能忽视。

关联性：无

9.11区域隔离(FPT_SEP)

FPT_SEP确保对于TSF的自我实施，至少一个安全区域是有效的，并TSF

能预防外部入侵和被不受信任的用户篡改。满足这些功能使TSF自我保护。

FPT_SEP.lTSF区域隔离，为TSF提供明确的保护区域，并隔离TSC内

的主体。

关联性.无

F；T_SEP.2SFP区域隔离，要求对TSF进一步分解，划分明确的区域给己

知系列的SFPs,用作策略的参考监测器，并分配一个区域给剩余的TSF。

关联性：无

FPT.SEP.3完整的参考监测器，要求对TSP的实施有明确的区域，一个区

域给TSF剩余部分，同样一些区域给TOE的非TSF部分。

关联性：无

9.12状态同步协议(FPT_SSP)

由于系统不同部分差异很大以及通讯的延迟，分布式系统比单片集成系统

要复杂得多。在多数情况下，分布的功能之间的状态同步需要一个交换协议。当

恶意阴谋存在于这些协议的分布环境中，就需要更复杂的抵抗协议。

FPT_SSP.l简单的可信任识别，要求对接收数据的简单识别。

关联性：FPT_ITT.l

FPT_SSP.2交互的可信任识别，要求对交换数据的交互识别。

关联性：FPT_ITT.l

9.13时间邮票(FPT_STM)

FPT.STM叙述了对TOE内部可依赖时间邮票功能的需求。

FPT_STM.l可依赖的时间邮票，要求TSF为TSF功能提供可依赖的时间

邮票。

关联性：无

9.14TSF之间TSF数据的连贯性(FPT_TDC)

在分布式或组合的系统环境中，TOE也许需要通过其它可信任的IT产品交

换TSF数据，FPT_TDC定义了，TOE的TSF和可信任的IT产品之间属性的共

享和连贯解释需求。

FPT_TDC.lTSF之间基本的TSF数据的连贯性，要求TSF提供确保TSFs

之间湖性连贯性的能力。

关联性：无

9.15TOE内部TSF数据复制连贯性（FPT_TRC）

当TSF数据在TOE内部复制时，FPT_TRC确保其连贯性。如果TOE个部

分之间的内部通道中断,TSF数据会变得不连续。当TOE以内部网络方式构造，

TOE部件之间的网络连接破坏或部件失效，也会发生数据不连贯。

FPT_TRC.l内部TSF连贯性，要求TSF数据在多个地点复制时，确保其

连贯性。

关联性：FPTJTT.1

9.16TSF自我测试（FPT_TST）

FPT_TST定义了对一些期望的正确操作进行TSF自我测试的功能。

FPT-TST.1测试，提供了测试TSF的正确操作的能力，这些测试在授权用

户要求或遇到其它特殊条件时在启动阶段并定期地执行。

关联性：FPT_AMT.l

10类FRU：资源使用

类FRU支持所需求资源的有效性，如处理能力和存贮能力。

10.1错误容差（FRUFLT）

FRU_FLT确保了，当遇到错误时，TOE仍能保持正确的操作。

FRU_FLT.l降低的错误容差，要求遇到已知的错误时，TOE能继续已知能

力的操作。

关联性：FPT.FLSJ

FRV_FLT.2看限的错误容差，要求在遇到已知的错误时，TOE能继续所有

能力的操作。

关联性：FPTFLS.1

10.2服务优先级(FRUPES)

FRU.PES允许TSF能控制TSC内资源的使用，TSC内的高优先级行为能不

受干扰或延迟的完成。

FRU_PES.l服务的有限优先级。对TSC内一部分资源的使用给主体提供优

先权。

关联性：无

FRU_PES.2眼务的完全优先权，对TSC内所有资源的使用给主体提供优先

权。

关联性：无

10.3资源分配(FRU_RSA)

FRU_RSA要求TSF控制用户和主体对资源的使用，由于非法的资源独占不

会造成拒绝服务。

FRU_RSA.l最大配额，为配额机理提供需求，确保用户或主体不会独占一

个受控的资源。

关联性.无

FRU_RSA.2最小和最大配额，为配额机理提供需求，确保用户或主体始终

拥有至少一个特定资源，他们不能独占一个受控的资源。

关联性：无

11类FTA：TOE访问

类FTA对控制用户使命的建立规定了功能需求。

11.1可选择属性的范围限制（FTA_LSA）

FTA_LSA限制了用户执行某个使命可选择的使命安全属性范围。

FTA_LSA.1可选择属性范围限制，在使命建立过程中，要求TOE对使命安

全属性的范围进行限制。

关联性：无

11.2对多个同时发生使命的限制（FTA_MCS）

FTA_MCS要求对同一用户同时执行使命的数目进行限制。

FTA_MCSJ对多个同时发生使命的基本限制，为TSF的所有用户提供限制。

关联性：FIA_UID.I

FTA_MCS.2关于多个同时发生使命的每一用户属性限制扩展。

关联性：FIA_UID.I

11.3使命锁死（FTA_SSL）

FTA_SSL为由TSF发起和用户发起的锁定和解除锁定交互式使命提供能力。

FTA_SSL.lTSF发起使命锁定，包括在用户静止一特定时间后，一交互式

使命的系统发起锁定。

关联性：FIA_UAU.l

FTA_SSL.2用户发起锁定，为用户提供锁定和解除锁定自己发起使命的能

力。

FIA.UAU.1

FTA_SSL.3TSF发起终止，为TSF在用户静止一特定时间后终止该使命提

供能力。

关联性：无

11.4TOE访问标语（FTAJAB）

FTA_TAB要求展示关于TOE正确使用的配置咨询警告信息。

FTA_TAB.l缺省的TOE访问标语，为TOE的访问标语提供需求，标语是

先于使命建立会话展示的。

关联性：无

11.5T0E访问历史（FTA_TAH）

FTA_TAH要求可根据成功地使命建立及访问用户帐号的成功或不成功尝试

历史，TSF展示给用户的内容。

FTA_TAH.1TOE访问历史，根据以前建立使命的尝试，要求TOE展示给用

户的信息。

关联性：无

11.6TOE使命建立(FTA_TSE)

FTA_TSE定义了对TOE拒绝用户建立使命的请求。

FTA_TSEJTOE使命建立，根据属性，为拒绝用户访问TOE提供需求。

关联性：无

12类FTP：信任通道

类FTP为用户和TSF之间的可靠通讯通道提出了需求，同时对TSF和可靠

的IT产品之间的可靠通信信道提出了需求。可靠的通道和信道具有下列的一般

特征：

•由内部和外部通信信道构造的通信通道能将一部分指定的TSF数据和

命令从剩余的TSF和用户数据中分离出来。

•通信通道的使用必须由用户或TSF发起。

•通信通道能够提供可靠的服务，使用户与正确的TSF交流，同时，TSF

也在与正确的用户连接。

12.1TSF之间的可靠信道（FTPJTC）

FTP_ITC定义了对在TSF与可靠IT产品之间创建信任信道的需求，他包括

这些要求:任何时候都应该在用户与TSF数据或可靠IT产品之间在TOE内的通

讯提供安全通道。

FTPJTC.lTSF之间的可靠信道，要求TSF在它自己与其他可靠IT产品之

间体统可靠的通信信道。

关联性：无

12.2可靠通道（FTP_TRP）

FTP_TRP对建立和维持用户和TSF之间的可靠通信定义了要求。可靠通道

在任何涉及安全的相互作用中都是必须的。可靠通道交流可由用户或TSF发起。

FTP_TRP.l可靠信道，要求对于由PP/ST作者所定义的一系列事件提供

TSF和用户之间的可信信道。用户和TSF均能启动可靠通道。

关联性：无

附录二

信息技术安全评估I

安全保证需求

(Securityassurancerequirements)

1.CC保证范例

1.1CC体系

•安全策略所面临的威胁

•被证明满足要求的安全方法

1.2保证方法

•以对产晶或系统的评价(Evaluation)作为保证(Assurance)的基础

•脆弱性(Vulnerabilities)

一一有意或无意的攻击可以导致系统的安全性被破坏。系统的脆

弱性需要被消除、最小化或实施监控。

•导致脆弱性的因素

——需求、构造、操作

•CC保证

------CC通过主动调查(acliveinvesligation)来提供保证。主动调查

是对IT产品或系统的一种评估，以决定其安全特性。

•评估保证

——评估已成为获得保证的传统方法，而且是CC的基础。

1.3CC评估保证规模

2.安全保证需求

2.1结构

2.1.1类的结构(图2.1)

•类名

•类的简介

•属(family)

2.1.2属的结构

•属名

•目标

,组件级别(componentlevelling)

•应用注释

•保证组件

2.1.3保证组件结构(图2.2)

•组件确认

•目标

•应用注释

•依赖性

•保证元素(assuranceelement)

----保证元素是CC中最小的安全需求

2.1