信息安全功能要求、依赖关系表、安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐私、TSF保护、资源利用、TOE访问、可

附录A

（资料性附录）

安全功能要求应用注释

A.1概述

本附录包含关于本部分中所定义族和组件的附加指南，用户、开发者和评估者在使用组件时可能

需要这些指南。为了便于查找，本附录中类、族和组件的表示与文件中的表示相似。

A.2注释的结构

A.2.1概述

本文档中与功能要求相关的注释的内容和形式定义如下。

A.2.2类结构

A.2.2.1概述

图A.1说明本附录中功能类的结构。

图A.1功能类结构

注：一些功能类包含多个功能族

A.2.2.2类名

这是本部分中所定义类的唯•名称。

A.2.2.3类介绍

类介绍提供了使用该类中族和组件的有关信息。这些信息连同相关的示意图描述了每个类的组织

架构和每个类中的族，以及每个族中组件间的层次关系。

A.2.3族结构

A.2.3.1概述

图A.2用图解形式说明应用注释部分功能族的结构。

图A.2应用注释的功能族结构

A.2.3.2族名

这是本部分中所定义族的唯一名称。

A.2.3.3用户应用注释

用户注释包含功能族的潜在用户所关心的一些附加信息。潜在用户包括PP、PP-模块、ST和功能包

作者，以及整合多个功能组件的TOE开发者。本部分陈述是提示性的，可包括与使用的局限性有关的一

些警示信息以及使用组件时应当特别注意的地方。

注：在附录中，术语PP、PP-模块、功能包或ST作者包括用于编制PP或ST的文档的作者，PP或ST文档包括了PP-模块

和功能包。

A2.3.4评估者应用注释

评估者注释包含KE开发者和评估者所关心的所有信息。该TOE声称符合族中某一组件。本部分陈

述是提示性的，可涵盖评估TOE时需特别注意的各个方面，其中可包括澄清含义，详细说明解释这些要

求的方式，以及评估者特别关心的一些警告和警示信息。

“用户注释”和“评估者注释”部分不是必需的，仅在适当时出现。

A.2.4组件结构

A.2.4.1概述

图A.3说明了应用注释部分功能组件的结构。

图A.3功能组件结构

A.2.4.2组件标识

这是本部分中所定义组件的唯一名称。

A.2.4,3组件基本原理与应用注释

任何与组件有关的特定信息都可在该本条中找到。

2

组件基本原理包含基本原理的详细解释，在特定级别下细化关于基本原理的一般性陈述，且应仅

在需要特定级别详述的情况下使用。

应用注释包含对于一个特定组件在叙述的详细程度方面的进一步细化c这种细化可相对于A.2.3部

分所描述的用户注释或评估者注释。应用注释可用于解释依赖关系的性质。

“组件基本原理与应用注释”部分不是必需的，仅在适当时出现。

A2.44操作注释

每个组件3这部分内容包含了与该组件所允许的操作有关的一些建议。

“允许的操作”部分不是必需的，仅在适当时出现。

3

附录B

（资料性附录）

安全功能组件的依赖关系表

B.1依赖关系表

表B.1到表B.11示意了功能组件之间的从属、直接、间接和可选的依赖关系。

作为功能组件依赖方的每个组件在表中占据一列，每个功能组件在表中占据一行。表格单元中的

值表示行中标的组件是否是从属要求（由"H”指示），直接要求列中标的组件（用“X”表示），间接

要求列中标的组件（用“一”表示），还是可选要求列中标的组件（用“0”表示）。可选要求集通过

使用下标组来表示，例如U和

如果对安全保障要求有依赖性，则应参考GB/T18336.3。

注：根据所选的可选要求，某些间接依赖项不适用。

如果表格单元为空，则该组件不依赖于另一个组件.

例：

例如FDP_ETC.1"不带安全属性的用户数据输出”就是一个具有可选依赖关系的组件，它要求依赖FDPACC.1"子

集访问控制”，或依赖FDPIFC.1“子集信息流控制”，所以如果满足了FDPACC.1,就不必满足FDPIFC.1,反之亦

然，

4

表B1FAU安全审计类依赖关系表

FFFFFFFFFFFFF

AAAAAAAIMMMPT

UUUUUUATP

U.TTT-

G_S.S_S_S_S.S_U._S.S.I

AAATTTIMSMTT

EAGGDTMMC

NARG..FR1.

.l.3.l.l.24.lD...

ll.l1l

FAU_ARP.l-X-

FAU_GEN.lX

FAU_GEN.2XX-

FAU_SAA.lX-

FAU.SAA.2X

FAU.SAA.3

FAU.SAA.4H

FAU_SAR.lX-

FAU_SAR.2-X-

FAU.SAR.3-X-

FAU_SEL.lX-X---

FAU.STG.lX-X

FAU_STG.2X■

FAU_STG.3XH-

FAU_STG.4-X-

FAU_STG.5XXH-

5

表B.2FCO通信类依赖关系表

FFF

ICC

AOO

U.N._

IRN

DRR

l..O

1l.

FCO.NRO.lX

FC0.NRO.2XH

FCO_NRR.lX

FCO_NRR.2XH

6

表B3FCS密码支持类依赖关系表

FFFFFFFFFFFFFFFFFFFFFFFFFFF

CCCCCCCCCCCDDDDDDAIMMMMPPPTT

SSSSSSSSS_SSPPPPPP.TTTTTTTPP

C.C.C.C.C.R.R.R.R.RR___J.JJU___._____

KKKGOBBBBAAFFITT1MMSSFTTTIT

£MMMBNCCCCDMMLSDR

MPGGGGGGCF.FC..SASRSTCCP

.3.5.6.l..2.3.4.5....1l.l.21AFl...l..

llllll.3.l.1.lll

FCS_CKM.l-0】X01X010202■

FCS_CKM.201-X0i-01Oi-

FCS_CKM3010i-0101-

FCS_CKM.5-01--X01

FCS.CKM.601-Oi01-

FCS.COP.l02-X02--Qi01-

FCS.RBG.l-O>0--XX

FCS_RBG.2X------

FCS_RBG.3X------

FCS_RBG.4X---X--

FCS.RBG.5X010101---

FCS.RBG.6X------

FCS.RNG.l

7

表B.4FDP用户数据保护类依赖关系表

FFFFFFFFFFFFF1FFFFFFFFFFFFFF

CCCCCCCCCDDDDDDDDDDDDDDDIMM

SSSSSA

S...SS._SPPPPPPPPPPPPPPPTT

C_CCCC_R_RRR...JJJJJ」JJJ.R..U.U._.

KKKKOBBNAAFFFFTTTTTRS3IMM

MMMBGGCCCFFFCCTTTI0DTIDS

MPGGCF..3......PLI..SA

.3.5.6.l..2.3....1l412l.23l.1.l.1lA.

llllll.3

FDP_ACC.l-X----

FDP_ACC.2HX-----

FDP_ACF.lX----.X

FDP.DAU.l

FDP_DAU.2HX

FDP_ETC.lOi.0】-.--

FDP_ETC.201-01----

FDPJFC.l---X---

FDPJFC.2--HX---

FDPJFF.l--X---X

FDPJFF.2.XH.X

FDPJFF.3--X----

FDP.IFF.4--X-H---

FDPJFF.5--X-H---

FDPJFF.6--X----

FDPJRC.1

FDPJTC.101-01---X

8

FMT_SMF.l.-.----.--

FMT.MSA.3.-.-----

FMT.MSA.1.------.-.-

FIA.UID.l.-.----•

FDP_UIT.2H

22

FDP_UIT.l00

FDP_SDI.lH

FDP.ROL.1H

FDP.RIP.lH

FDPJTT.3H

FDPJTT.2X

FDP」TT.lHX

表

FDPJTC.2系-

关FIA_UID.lX

FDPJTC.l.赖

依X

FDPJFF.4类FIA.UAU.l

别

FDPJFF.3

鉴FIA_ATD.l

FDPJFF.l.-.---.--和

识ll

1i1111122111l..l.2..

FDP.IFC.100000000000标LIDSSU

FPTO0A

AlAAASSU

FDP.ACF.l.------.-.-F.-_._^

AIAIAAIAIA

i1»ii*»22ii5.FFIFFI

FDP.ACC.lO0000000000BFF

表

FCS_RNG.l

FCS_RBG.3

FCS-RBG.2

FCS_RBG.l

FCS.COP.lX

S]

FCS_CKM,5

FCS_CKM.3

FCS_CKM.l9

ll

21234l.21.2..2.l.2.l.23

.....P.LLCI.TT..

CTTTTIP00CDICITTI

TTTTTRIDDSDUI

JI.JJ1._R.R.R_S.S._S._U.U.U_

PPPPPPPPPPPPPPPPP

DDDDDDDDDDDDDDDDD

FFFFFFFFFFFFFFFFF

FIA.UAU.2HX

FIA.UAU.3

FIA.UAU.4

FIA.UAU.5

FIA.UAU.6

FIA.UAU.7X-

FIA-UID.1

FIA.UID.2H

FIA-USB.1X

表B.6FMT安全管理类依赖关系表

FFFFFFFFFFFFF

DDDDAIMMMMMMMP

PPPP.TTTTTTTT

A._JJUL.L..M._._S.

AFFIIIMMSST

CCCFDMMSSTMM

CF1...AAFRM

l.l.ll1.2..D..

l.3l.ll.l

FMT.LIM.1-X

FMT.LIM.2X-

FMT.MOF.1-XX

FMT_MSA.lOi-01----XX

FMT_MSA.201-Oi--X--X

FMT_MSA.3-----X--X

FMT.MSA.401-01------

FMT.MTD.l-XX

FMT.MTD.2-X-X

FMT_MTD.3-X--

FMT_REV.l-X

FMT_SAE.l-XX

10

FMT_SMR.lX

FMT.SMR.2XH

FMT.SMR.3-X

表B.7FPR私密性类依赖关系表

FFFF

IPPP

ARRR

.__

UA.PU

DINSN

OE

l..O

l.ll.

FPR_AN0.1

FPR_AN0.2H

FPR.PSE.l

FPR.PSE.2XH

FPR.PSE.3H

FPR.UNL.1

FPR_UN0.1

FPR_UN0.2H

FPRJJNO.3X

FPR.UN0.4

11

表B.8FPT类依赖关系表：TSF保护

AAFFFFFFFFFFF

GDMMMMPPTPPPP

DVTTTPTTTT

TTTJJ.___.

O_F.L_L.S.S_TTPRRSS

PSIMIMMITHCCST

EPM1..PVVPM

..2.FR1..2.l.

l.lll.l.lll.

FPT.EMS.1

FPT.FLS.1

FPTJNI.1

FPTJTA.1

FPT.ITC.1

FPTJTI.1

FPTJTI.2H

FPTJTT.1

FPTJTT.2H

FPT_iTT,3X

FPT.PHP.1

FPT.PHP.2X-H

FF1_HHE.3

FPT_RCV.lX-

FPT_RCV.2X-H

FPT.RCV.3X-H

FPT_RCV,4

FPT.RPL.1

FPT_SSP.lX

FPT_SSP.2XH

FPT.STM.l

FPT.STM.2-XX

12

FPT.TDC.1

FPT.TEE.1

FPT_TRC.lX

FPT_TST.l

注AGD和ADV类及其相关性在GB/T18336.3中进行了描述

表B.9FRU类依赖关系表：费源利用

FFF

PRR

TUU

F.F.P.

LLR

STS

l.l.1.

FRU.FLT.1X

FRU_FLT.2XH

FRU.PRS.1

FRU.PRS.2H

FRU_RSA.l

FRU_RSA.2H

表B.10FTA类依赖关系表：TOE访问

FFF

AIMT

_TA

1US.M.

DIMC

l.RS

1.l.

FTA.LSA.1

FTA_MCS.lX

FTA_MCS.2XH

FTA.SSL.1X-

FTA_SSL.2X-

FTA_SSL.3X

FTA.SSL.4

FTA-TAB.l

13

FTA.TAH.l

FTA-TSE.l

表B.11FTP类依赖表：可信路径/信道

FFFFFFFFFFFFF

FFFIFFFFFFFFFF

CCCCCCCCCCDDDDDDAMMMMTPpPTT

SSSSSSSSSSPPPPPP—TTTTJTTPP

CC—C—C—C——8R—R—R—R———」——」U————F———

KKKKBBBNAAIITIMMSSLTTIT

KPGGGGCCcFFTDSSMMSSDCTR

MMMMM..CF.FCC.AAFR.TC.P

....l...1.l』121....1..1.

』2356l23ll1311111

FTPJTC.1

FTP_PR0.1

FTP.PR0.20101-X-X

FTP_PR0.3X

FTPTRP.1

14

附录c

（规范性附录）

FAU类：安全审计-应用注释

C.1概述

C.1.1关于审计要求的总体信息

本标准的审计族允许PP、PP-模块、功能包或者ST作者能够定义监测用户活动以及在某些情况下检

测对SFR真实的、潜在的或即将发生的侵害等方面的要求。定义TOE的安全审计功能有助于监测与安全

有关的事件，并能对安全侵害起到威慑作用。审计族的要求涉及到包括审计数据保护、记录格式和事

件选择，以及分析工具、侵害报警和实时分析等功能。审计记录应以人类可读的格式直接或间接呈

现。

例1：

直接呈现的一个例子是以人类可读的格式存储审计记录。

间接呈现的一个例子是使用审计归纳工具。

在开发安全审计要求时，PP、PP-模块、功能包或者ST作者必须对审计族及其组件之间的相互关系

加以注意。存在这样的可能：规定了一组遵从族/组件依赖表的审计要求，但同时导致了一个有缺陷的

审计功能。

例2：

没有选择性地基于任何合理的基础（诸如单个用户或对象）来选择性控制它们。

C.1.2在分布式环境中的审计要求

对网络和其他大型系统的审计要求，在实现上可能明显地有别于那些独立系统。对于更大、更复

杂和更活跃的系统而言，由于解释（甚至存储）所收集审计数据的可行性较低，所以必须更多地考虑

收集哪些审计数据以及如何对其进行管理。在一个随时可能发生许多事件的多时区全球性网络中，按

时间排序罗列或“跟踪”被审计事件的传统方法可能就不适用。

此外，在分布式TOE中的不同主机和服务器可能具有不同的命名策略和名称。对于审计查阅而言，

符号名称的表示法可能就需要在整个网络范围内加以约定，以避免重复和“命名冲突”。

如果在分布式系统中审计仓库服务于一个实用的功能，则可能需要一个多对象审计仓库，其中的

一部分可由潜在的各种授权用户访问。

最后，应通过系统地避免本地存储与管理员活动有关的审计数据来解决授权用户权限滥用问题。

C.2安全审计自动响应（FAU_ARP）

C.2.1用户应用注释

安全审计自动响应族描述了处理审计事件的要求。该要求包括告警或TSF采取的动作（自动响

应）。

例：

TSF可能采取的动作包括产生实时的报警、终止违例的进程、中断服务、断开连接或者使用户帐号失效等。

如果FAU_SAA“安全审计分析”中的组件指出一个审计事件是对TSF的一个潜在侵害，那么定义该

审计事件为一个“潜在的安全侵害”O

C.2.2FAU_ARP.1安全告警

C.2.2.1组件基本原理与应用注释

发生警报时，应采取一项或多项行动进行后续行动。

这些行动包括将告警通知授权用户、向授权用户提供一组可能的遏制操作，或授权用户采取纠正

措施的选项。

PP、PP-模块、功能包或者ST作者应认真考虑采取这些行动的时机。

15

C.2.2.2操作

在FAU_ARP.1.1中，PP、PP-模块、功能包或者ST作者应规定一旦出现潜在的安全侵害时要采取的

动作。

例：

“通知授权用户，使产生潜在安全侵害的主体失效”就是动作列表的一个例子。

也可以规定由授权用户来确定要采取的动作。

C.3安全审计数据产生（FAU_GEN）

C.3.1概述

C.3.1.1用户应用注释

安全审计数据产生族包括了规定应由TSF对与安全有关的事件生成审计事件的要求。

引入本族在某种意义上避免了一种关于所有需要审计支持的组件的依赖关系。在本部分中每个组

件都有一个审计子节，在该小节中列出了该功能区中要审计的事件。在编写PP、PP-模块、功能包或者

ST时，在相关组件审计部分中条款可用来填补本组件中的变量。这样，对于一个功能区中能够被审计

事件的详细规范就局限在该功能区中。

可审计事件列表完全依赖于PP、PP-模块、功能包或ST的其他功能系列。所以每个族的定义应包括

该族所规定的可审计事件列表.在功能族中所规定可审计事件列表中的每个可审计事件必须对应于木

族所规定的某个审计事件产生级别（例如最小级、基本级和详细级）。这为PP、PP-模块、功能包或ST

的作者提供了必要的信息，以确保所有适当的可审计事件都将在PP、PP-模块、功能包或ST中加以规

范。以下示例展示了如何在适当的功能系列中指定可审计事件：

例I：

“如果PP、PP-模块、功能包或ST中包含FAU_GEN'安全审计数据产生'，则下列行为是可审计的：

a）最小级：用户安全属性管理功能的成功使用：

b）基本级：用户安全属性管理功能的所有尝试使用；

c）基本级：用户安全属性已被修改的标识：

d）详细级：除特定敏感属性数据项以外，应俘获的新的属性值。

注：敏感属性数据项包括如口令、密钥。

对于选择的每个功能组件，该组件所指出的可审计事件，只要属FALGEN“安全审计数据产生”指

定的级别和低于该级别都应被审计。例如，在上面的例子中，如果FAUGEN“安全审计数据产生”中选

择了“基本级”，则a）、b）和c）中提到的可审计事件应被审计。

很明显，可审计事件的分类（最小级、基本级、详细级）是层次化的。

这就意味着：

—当需要最小审计生成时，所有标识为最小的可审计事件都应通过使用适当的分配操作包

含在PP、PP-模块、功能包或ST操作内；

—当需要基本审计生成时，所有标识为最小或基本的可审计事件也应通过使用适当的赋

值操作包含在PP、PP-模块、功能包或ST中，除非更高级别的事件只是提供比低级别事

件更详细的信息；

—当需要详细的审计生成时，所有已识别的可审计事件（最小级、基本级和详

细级）都应包含在PP、PP-模块、功能包或ST中。

PP、PP-模块、功能包或ST作者可以决定增加一些超出给定审计级别要求之外的可审计事件。

例2：

某个PP、PP-模块、功能包、ST尽管包含了大部分基本级能力，由于少数几个没有被包括进来的基本级

能力因与PP、PP-模块、功能包、ST其他的约束要求相冲突（例如它们需要收集不可用的数据），因此仅可

户称具备有最小级审计能力。

创建可审计事件的功能应在PP、FP-模块、功能包、ST中指定为一项功能要求加以规定。

16

例3：

以下是可在每个PP、PP-模块、功能包、ST功能组件中定义为可审计的事件组件：

a）把TSF之内的客体引入到一个主体的地址空间；

b）客体的删除；

c）访问权限或能力的分配和撤消：

d）改变主体或客体的安全属性：

e）由TSF执行的策略检查，作为一个主体的请求结果；

f）访问权限的使用以回避策略检查；

g）标识和鉴别功能的使用；

h）操作员或授权用户所采取的动作（如禁止一个TSF保护机制作为人可读标签）：

i）从可移动介质输出数据或将数据输入到可移动介质（如打印输出、磁带和磁盘等）。

C.3.1.2评估者应用注释

FAUGEN.1.1有一个关于FPTSTM.1“时间戳”的依赖关系，如果时间的正确性对于此TOE不是问

题，则PP、PP-模块、功能包、ST的作者可以证明消除这种依赖关系是合理的。

C.3.2FAU_GEN.1审计数据生成

C.3.2,1组件基本原理与应用注释

本组件定义了标识可审计事件的一些要求，包括应产生审计记录以及审计记录中所应提供的信

息。

°当SFR不要求单个用户身份与审计事件相关联时，可单独使用FALGEN.1”审计数