《信息系统安全保护轮廓28714.docx》由会员分享,可在线阅读,更多相关《信息系统安全保护轮廓28714.docx(69页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、上海格尔软件股份有限公司信息系统统安全保保护轮廓廓(PPP)产生生办法1 前言言所谓安全全保护轮轮廓(PPP),具具体来说说,就是是为了满满足一系系列的安安全目标标而提出出的一整整套相对对应的功功能和保保证需求求。一个个PP可可以重复复使用于于一些不不同的应应用中。PP对于于不同的的团体均均具有重重要的意意义。它它叙述了了用户实实际的安安全方法法,为开开发者提提供了一一套开发发的基准准,为学学术界描描述了一一些很好好的安全全配置方方法,为为评估者者提供了了评估的的标准。PP定义义了对应应一类TTOEss的独立立于应用用的一系系列安全全需求。这这些TOOEs能能满足用用户对IIT安全全的需要要。
2、因而而,用户户能够不不参考任任何特定定的TOOE去构构造或引引用一个个PP来来描述他他们自己己的ITT安全需需要。PP应作作为一个个基于用用户服务务的文件件来描述述,尽量量使PPP用户不不再去参参考那些些对于他他们很难难用到的的资料。安安全保护护的原理理应当明明确的阐阐述,如如果需要要,可以以单独提提出。PP可以以是由用用户来制制定,也也可以是是由ITT产品研研发方来来制定,同同时也可可以由任任何其它它对此感感兴趣的的团体来来制定。PPP给予予了用户户一种查查阅特殊殊安全需需求的方方式,同同时也使使将来对对这些需需求进行行评估变变得简单单易行。一般而言言,在安安全目标标(STT)中所所包含的的
3、TOEE的安全全需求都都应当在在一个已已存在的的PP中中详细叙叙述过,与与PP中中的需求求保持一一致。由由一些已已存在的的PPss可以产产生一个个新的PPP。2 PP的内内容结构构TOE安全功能需求TOE安全保证需求保护轮廓(PP)PP介绍PP标识PP概述TOE描述TOE安全环境假设威胁安全组织策略安全目标对TOE的安全目标对环境的安全目标IT安全需求TOE安全需求对IT环境的安全需求PP使用注释基本原理安全目标基本原理安全需求基本原理图1 PP内内容构架架3 PP基本本内容3.1 PP介绍绍PP介绍绍这部分分内容应应当包括括执行PPP注册册登记所所必需的的文件管管理和概概要信息。内容容如下:
4、a) PP识别别应当提提供对PPP识别别、编制制目录、注注册、参参照所必必需的标标签和描描述信息息。b) PP概述述应当用用简短的的形式总总结PPP。概述述必需足足够详细细,从而而能够引引起PPP用户的的兴趣。在在PP目目录和注注册中,概概述应独独立出来来作为摘摘要。3.2 TOE描描述TOE描描述这部部分内容容能帮助助读者对对于TOOE安全全需求的的理解,应应当对其其产品型号以以及一般般的ITT特征加加以叙述述。TOE描描述同样样提供了了评估的的内容。TTOE描描述中提提供的信信息将用用在评估估的过程程中,来来判别是是否存在在矛盾。由由于一个个PP一一般不仅仅仅指代代一个特特定的应应用,其其
5、所描述述的TOOE特征征可以是是假设。如如果TOOE是一一个产品品或系统统,其首首要功能能是安全全,PPP的这部部分内容容将被用用作是对对TOEE更广泛泛应用前前景的叙叙述。3.3 TOE安安全环境境TOE安安全环境境应描述述TOEE所应用用环境的的安全方方面,以以及TOOE期望望被采用用的方式。陈陈述应包包括如下下内容:a) 假设描述述了TOOE的应应用或想想要应用用的环境境的安全全方面,如如:有关TOOE的使使用信息息,包括括可能的的应用,潜潜在的资资产价值值,对使使用的可可能的限限制。 关于于TOEE使用环环境的信信息,包包括物理理的,人人员的以以及连接接的方面面。b) 威胁应当当包括所
6、所有对TTOE内内部受特特殊保护护的资产产的威胁胁。应当当申明的的是,不不是所有有在此环环境中遇遇到的可可能的威威胁必需需列举出出来,列列举出来来的仅是是与安全全的TOOE运行行相关的的那部分分。威胁应以以一个辩辩明的威威胁代理理者,一一次攻击击的方式式描述,而而资产是是攻击的的主体。威威胁代理理者应当当通过这这些方面面叙述,如如专业知知识,可可用的资资源和动动机。 攻击应应当通过过攻击方方法,可可利用脆脆弱点和和机会来来描述。如如果仅仅仅从组织织的安全全法规以以及假设设来推导导,那么么,威胁胁的描述述就可以以忽略了了。c) 组织的安安全法规规的描述述应确认认和解释释任何TTOE必必须遵守守的
7、组织织的安全全法规,解解释和说说明对于于陈述任任何一条条法规都都是必须须的,这这样有利利于指定定明确的的安全目目标。如果TOOE是分分布式的的,则TTOE环环境的各各个独立立的范围围的安全全环境的的方方面面面(假假设,威威胁,组组织安全全法规)必必须讨论论。3.4 安全目目标安全目标标这部分分应当定定义对TTOE和和其环境境的安全全目标。其其内容应应当涵盖盖已辩明明的安全全环境的的所有方方面。安安全目标标应当反反映所陈陈述的目目的,应应能对抗抗所有已已识别的的威胁,并并覆盖所所有辩明明的组织织安全法法规和假假设。具具体有如如下的安安全目标标:a) TOE的的安全目目标应明明确陈述述,还须须追踪
8、到到TOEE会遭遇遇到的已已知的威威胁以及及TOEE须遵守守的组织织安全法法规的各各个方面面。b) 环境的安安全目标标同样须须明确陈陈述,还还应追踪踪到TOOE没有有完全遭遭遇到的的已辩明明的威胁胁或TOOE须不不完全遵遵守的组组织安全全法规及及假设的的各个方方面。须注意的的是,环环境的安安全目标标也许是是对TOOE安全全环境的的假设部部分的完完全或部部分重复复叙述。3.5 IT安全全需求 PP的这这部分内内容详细细定义了了TOEE及其环环境应满满足的IIT安全全需求。IIT安全全需求具体体包括如如下内容容:a) TOE安安全需求求定义了了为了达达到TOOE的安安全目标标,TOOE及其其评估证
9、证据必须须满足的的功能的的和保证证的安全全需求。TTOE的的安全需需求叙述述如下:1) TOE安安全功能能需求应应当适当当选择本本文附录录一内的的功能组组件来定定义TOOE的功功能上的的要求。为了涵盖盖每一方方面的要要求,附附录一的的同一个个组件有有可能重重复使用用或使用用同一需需求的不不同方面面。当在TOOE安全全保证需需求有组组件AVVA_SSOF.1(EEAL22和更高高),TTOE安安全功能能需求应应通过概概率和排排列算法法保证其其最低的的强度等等级。所所有的功功能应当当满足最最低的等等级,该该等级需需是如下下等级中中的一个个:SOOF-BBasiic, SOFF-Meediuum,
10、SOFF-Hiigh。等等级的选选择应当当与已确确定的TTOE安安全目标标一致。作为TOOE安全全功能评评估强度度的一部部分(AAVA_SOFF.1),应应当对每每一单独独的TOOE安全全功能要要求强度度和TOOE的总总体最低低安全强强度等级级进行评评估。2) TOE安安全保证证需求的的陈述应应作为一一个被附附录二的的保证组组件扩张张的EAALs。当当PP中中存在明明确的不不包含在在附录二二中的额额外的保保证需求求时,也也须扩展展EALL。b) IT环境境安全需需求应确确定需被被TOEE的ITT环境满满足的IIT安全全需求,如如果TOOE对IIT环境境的依赖赖关系尚尚需证实实,PPP的这部部分
11、内容容可以删删除。注意到,在在现实中中常常非非常有用用的非IIT环境境的安全全需求不不要求作作为PPP的正式式内容,因因为它们们与PPP的实施施不直接接相关。c) 在对TOOE以及及其ITT环境的的安全功功能和保保证需求求的叙述述中应使使用如下下的一般般条件:1) 所有的IIT安全全需求应应当从附附录一和和附录二二中选择择,如果果其中某某些需求求不是摘摘自附录录一和附附录二,PPP中应应当明确确的说明明,该需需求不是是摘自附附录。2) 任何明确确说明的的非摘自自附录的的需求应应当正确确而不含含糊的陈陈述,这这样,评评估及示示范才可可行,其其具体的的等级和和描述方方式应参参考附录录里的功功能和保
12、保证需求求。3) 当选择了了一些指指定了必必须的操操作的安安全需求求时,PPP应当当使用这这些操作作去放大大这些需需求的等等级,从从而能够够示范是是否达到到安全目目标。任任何PPP内没有有执行的的所要求求的操作作应当标标明。4) 通过使用用需求组组件中的的操作,在在必要时时,TOOE安全全需求陈陈述应有有选择地地规定或或禁止特特定安全全机制的的使用。5) 所有ITT安全需需求之间间的相关关性都应应满足,通通过在TTOE的的安全需需求或环环境的需需求中包包含该相相关联的的需求来来满足相相关性。3.6 使用注注释PP的这这部分包包含了对对TOEE的使用用、评估估、构造造所必需需考虑的的额外相相关的
13、有有益支撑撑信息。3.7 基本原原理PP的这这部分内内容提供供了PPP评估所所需的证证据。这这些证据据能够证证明PPP内的需需求是完完整而连连贯的,它它可以为为TOEE在其安安全环境境内提供供一套有有效的IIT安全全抵抗措措施。该该基本原原理内容容包括如如下:a) 安全目目标原理理应表明明所有陈陈述的安安全目标标可追踪踪到TOOE安全全环境中确定的的所有方方面。b) 安全需求求原理应应表明这这一系列列安全需需求能够够满足并并追踪到到安全目目标。如如:1) TOE及及其ITT环境的的各个功功能和保保证需求求组件的的组合满满足所提提出的安安全目标标。2) 这一系列列需求一一起形成成了一个个相互支支
14、撑、内内部连贯贯的整体体。3) 安全需求求的选择择是合理理的,下下列任一一条件下下需要特特别的证证明:l 所选择的的需求没没有包含含在附录录一和附附录二中中;l 所选择的的保证需需求没有有指定一一个EAAL;l 相关性不不满足。4) PP的功功能等级级所选择择的强度度,以及及任意功功能明确确要求的的强度,与与TOE的的安全目目标是统统一的。附录一信息技术术安全评评估通用准则则(Coommoon CCritteriia)安全功能能需求(Seccuriity funnctiionaal rrequuireemennts)1安全功功能需求求内容结结构1.1 概述本章定义义了CCC功能需需求的内内容和
15、叙叙述方式式,为SST中包包含的新新的组件件(coompoonennts)的的组织要要求提供供指导。功功能需求求是以类类(Cllasss),属属(Faamilly),组组件(ccompponeent)的结构构形式描描述的。1.1.1 类类结构图1.11以图表表的形式式图解了了功能类类结构,每每一功能能类包含含一个类类名,类类介绍,一一个或多多个功能能属。功能类类名称类介绍功能属图1.11 功能能类结构构1.1.1.11 类名名称类名称提提供了功功能类的的识别和和分类的的必要信信息。每每一个功功能类有有一个独独特的名名字。分分类信息息都包含含一个三三个字符符的短名名字。类类名称也也用在类类的属名
16、名字规范范中。1.1.1.22 类简简介类简介阐阐述了满满足安全全目标的的属的基基本内容容或方法法。功能能类的定定义在要要求的规规范中并并不反映映正式的的分类法法。类简简介提供供了一个个图表来来描述类类所包含含的属以以及每一一属中组组件的承承接关系系。1.1.2 属属结构图1.22表示了了功能属属的结构构。1.1.2.11 属名名称属名称提提供了识识别和分分辨功能能属所必必须的分分类和描描述信息息。每一一功能属属有一独独特的名名称。分分辨信息息包含一一个七字字符的短短名,开开始三个个字符表表示对应应的类名名称,类类名称后后是下划划线和属属的短名名,形式式如XXXX_YYYY。1.1.2.22
17、属行行为属行为概概述了功功能属的的安全目目标和功功能需求求。详细细描述如如下:a) 如果TOOE包含含了属的的一个组组件,则则属安全全目标叙叙述了在在TOEE的帮助助下能解解决的安安全问题题。b) 功能需求求描述概概括了组组件中包包含的所所有需求求。这些些描述可可以帮助助PPss,STTs的作作者判别别该属是是否与其其特殊的的需求相相关。1.1.2.33 组件件级别功能属包包含了一一个或多多个组件件,其中中任何一一个组件件可选为为PPss, SSTs的的内容。本本节的目目的是,一一旦该属属被用户户选作他他们功能能需求的的必须部部分,为为用户提提供选择择合适功功能组件件的信息息。1.1.2.44
18、 管理理管理需求求为PPP/STT作者在在考虑一一个组件件的管理理行为时时提供信信息。管管理需求求详细包包含在管管理类(FMTT)的组组件中。1.1.2.44 审计计如果类FFAU里里的需求求,安全全审计,包包含在PPP/SST中,审审计需求求包含了了PP/ST作作者可选选择的审审计事件件。1.1.3 组组件结构构图1.33表示了了功能组组件结构构。组件依赖关系功能元素组件识别组件管理组件等级属行为属名称功能属 图图1.22 功能能属结构构 图11.3 功能组组件结构构1.1.3.11 组件件识别组件识别别为组件件的识别别、分辨辨、注册册和前后后引用提提供了描描述信息息。1.1.3.22 功能
19、能元素每一个组组件提供供了一系系列的元元素,每每一个元元素是独独立的。一一个功能能元素是是一个不不可再分分的安全全需求。1.1.3.33 依赖赖关系当一个组组件不能能自我满满足,必必须依赖赖于其他他组件的的功能时时,这样样组件之之间的依依赖关系系就产生生了。每一个组组件提供供了对其其它功能能和置信信组件的的依赖关关系列表表。2 类FFAU:安全审审计安全审计计主要涉涉及的工工作是对对有关安安全活动动的信息息的识别别、记录录、存储储和分析析(这里里有关安安全活动动是指由由TSPP所控制制的活动动)。通通过对审审计结果果的检查查,可以以决定已已发生了了何种安安全相关关活动及及其执行行者。2.1 安
20、全审审计自动动响应(FFAU_ARPP)属FAUU_ARRP定义义了当检检测到预预示着某某种潜在在的安全全入侵行行为后,系系统应采采取的响响应措施施。FAU_ARPP.1 安全警警报,一一旦检测测到潜在在的入侵侵行为时时,TSSF应采采取的行行动。关联性:FAUU_ARRP.11。2.2 安全审审计数据据产生(FFAU_GENN)属FAUU_GEEN定义义了记录录在TSSF控制制下发生生的安全全相关事事件的需需求。它它确定了了审计的的级别,列列举了应应被TSSF审计计的事件件的类型型,规定定了在不不同的审审计记录录类型中中应提供供的最小小审计信信息。FAU_GENN.1规规定了可可审计事事件的
21、级级别,确确定了每每一记录录中的数数据列表表。关联性:FPTT_STTM.11。FAU_GENN.2用用户身份份链接。它它将被审审计事件件与单个个用户身身份链接接起来。关联性:FAUU_GEEN.11, FFIA_UIDD.1FAU_GENN.1.1能产产生下列列审计事事件的审审计记录录:a. 审计功能能的开启启和关闭闭;b. 所有审计计事件的的审计等等级 最低限限度、基基本级、详详细级、未未指定;c. 分配:其它未未被特别别定义的的审计事事件。FAU_GENN.1.2 在在每一审审计记录录中至少少应包含含以下信信息:a. 事件发生生的日期期、时间间、事件件类型、主主体身份份和事件件结果;b.
22、 对于每一一审计事事件的类类型,是是以包含含在PPP/STT中的功功能元件件的可审审计事件件的定义义为基准准。FAU_GENN.2.1 应应能将每每一审计计事件和和导致该该事件的的用户联联系起来来。2.3 安全审审计分析析(FAAU_SSAA)FAU_SAAA定义通通过分析析系统行行为和审审计数据据寻找可可能的或或确实存存在的安安全侵害害的方式式的需求求。FAU_SAAA.1 潜在侵侵害分析析,混合合规则设设置基础础上的基基本阈值值检测是是必需的的。关联性:FAUU_GEEN.11.FAU_SAAA.2 基于一一般检测测的轮廓廓。TSSF维持持系统使使用的独独立轮廓廓,这里里轮廓代代表了轮轮廓
23、目标标群(pproffilee taargeet ggrouup)成成员执行行的历史史使用模模式。一一个轮廓廓目标群群是指与与TSFF相互作作用的一一个或多多个用户户(个人人或组织织)。每每一个轮轮廓目标标群成员员分配一一个独立立的怀疑疑度等级级(suuspiicioon rratiing)。关联性:FIAA_UIID.11FAU_SAAA.3 简单攻攻击试探探法。TTSF应应能检测测签名事事件的发发生,签签名事件件代表对对TSPP实施的的严重威威胁。签签名事件件的搜索索实时进进行或以以posst-ccolllecttionn baatchh-moode方方式进行行。关联性:无。FAU_SAA
24、A.4 复杂攻攻击试探探法。TTSF应应能够检检测多步步入侵企企图。TTSF能能比较区区分系统统事件和和入侵企企图的事事件。关联性:无。2.4 安全审审计回顾顾(FAAU_SSAR)FAU_SARR 定义义了授权权用户可可借助审审计工具具对审计计数据进进行回顾顾。FAU_SARR.1 提供了了从审计计记录读读取信息息的能力力。关联性:FAUU_GEEN.11FAU_SARR.2 受限制制的审计计回顾,要要求除了了FAUU_SAAR.11授权的的用户外外,其它它用户均均不能读读取审计计数据的的信息。关联性:FAUU_SAAR.11FAU_SARR.3可可选择的的审计回回顾,要要求审计计回顾工工具
25、可根根据一定定的准则则来选择择审计数数据进行行回顾。关联性:FAUU_SAAR.112.5 安全审审计事件件选择(FFAU_SELL) FAUU_SEEL定义义了在TTOE运运行过程程中,从从可审计计事件中中选取或或排除事事件的需需求。 FFAU_SELL.1 选择审审计事件件。定义义了根据据PP/ST作作者所指指定的属属性,从从审计事事件列表表中选取取事件的的能力。 关关联性:FAUU_GEEN.11, FFMT_MTDD.12.6 安全审审计事件件存贮(FFAU_STGG)FAU_STGG定义了了对TSSF建立立和维持持安全审审计跟踪踪的需求求。FAU_STGG.1 受保护护的审计计跟踪存
26、存贮,提提出了对对审计跟跟踪的要要求,防防止审计计跟踪记记录被非非法删除除或修改改。关联性:FAUU_GEEN.11FAU_STGG.2 审计数数据有效效性保证证,对在在非正常常条件下下保证TTSF维维持审计计数据提提出需求求。关联性:FAUU_GEEN.11FAU_STGG.3 如果审审计数据据丢失时时的行动动措施,定定义了如如果审计计跟踪阈阈值超出出时的行行动。关联性:FAUU_STTG.11FAU_STGG.4 当审计计跟踪数数据满时时,预防防审计数数据丢失失的行动动。关联性:FAUU_STTG.113 类FFCO:通讯类FCOO考虑的的是参与与数据交交换的双双方的身身份认证证问题,它它
27、确保信信息发送送方不能能抵赖其其所发送送的信息息,接收收方也不不能否认认其接收收到的信信息。3.1 发送者者的不可可抵赖性性(FCCO_NNRO)FCO_NROO确保当当发送者者发出信信息后,其其身份信信息不可可成功地地抵赖,要要求TSSF能提提供一种种方法,确确保在信信息交流流过程中中,信息息接收方方同时应应收到发发送者身身份的信信息,该该信息能能被接收收者和其其他人核核实。FCO_NROO.1 发送者者选择性性证据要要求TSSF提供供给主体体要求发发送者信信息证据据的能力力。关联性:FIAA_UIID.11FCO_NROO.2 发送者者执行证证据,要要求传递递信息时时TSFF能始终终产生发
28、发送者的的证据。关联性:FIAA_UIID.113.2 接收者者的不可可抵赖性性(FCCO_NNRR)FCO_NRRR要求TTSF提提供一种种方法,确确保发送送者能得得到接收收者收到到信息的的证据,这这种证据据能被发发送者和和其他人人核实。FCO_NRRR.1 接受者者选择性性证据要要求TSSF提供供给主体体要求接接收者信信息证据据的能力力。关联性:FIAA_UIID.11FCO_NRRR.2 接收者者执行证证据,要要求接收收信息时时TSFF能始终终产生接接收者的的证据。关联性:FIAA_UIID.114 类FFCS:密码支支持FCS要要求采用用加密功功能来帮帮助满足足几种高高级目标标,这些些
29、包括(但但不局限限于):识别和授授权;不不可抵赖赖;安全全通道等等;加密密功能的的应用可可以是硬硬件,软软件或软软硬件相相结合。4.1 密钥管管理(FFCS_CKMM)密钥在其其生命周周期内必必须管理理好,FFCS_CKMM对TSSF定义义了如下下的动作作要求:密钥产产生,密密钥发布布,密钥钥访问和和密钥取取消。FCS_CKMM.1要要求按照照指定算算法产生生密钥,密密钥长度度根据指指定的标标准产生生。关联性:FCSS_CKKM.22或FCCS_CCOP.1, FCSS_CKKM.44, FFMT_MSAA.2FCS_CKMM.2 密钥发发布,根根据指定定的发布布方法和和标准发发布密钥钥。关联
30、性:FDPP_ITTC.11或FCCS_CCKM.1, FCSS_CKKM.44, FFMT_MSAA.2FCS_CKMM.3 密钥访访问,要要求根据据指定标标准,按按照特定定的密钥钥访问方方法执行行密钥访访问。关联性:FDPP_ITTC.11或FCCS_CCKM.1,FFCS_CKMM.4, FMMT_MMSA.2FCS_CKMM.4 密钥废废除,基基于指定定标准,按按照特定定方法废废除密钥钥。关联性:FDPP_ITTC.11或FCCS_CCKM.1, FMTT_MSSA.224.2 密码操操作(FFCS_COPP)为了密码码操作正正确,操操作必须须符合指指定算法法和密钥钥长度。典典型的密密
31、码操作作包括数数据加密密/解密密,数值值签名产产生/核核实,哈哈希运算算(信息息摘要),密密钥加/解密,密密钥协议议。FCS_COPP.1 要求按按照指定定算法和和密钥长长度执行行密码操操作,指指定算法法和密钥钥长度是是以一个个要求的的标准产产生的。关联性:FDPP_ITTC.11或FCCS_CCKM.1, FCSS_CKKM.44, FFMT_MSAA.25 类FFDP:用户数数据保护护该类包含含的属对对保护用用户数据据有关的的TOEE安全功功能和TTOE安安全功能能策略规规定了要要求。类类FDPP能被分分成四个个属。5.1 访问控控制策略略(FDDP_AACC)FDP_ACCC确定访访问控
32、制制SFPPs(通通过名字字),并并定义了了形成TTSP识识别的访访问控制制部分的的控制策策略范围围。控制制范围由由以下三三个要素素表示:受该策策略控制制的主体体;受该该策略控控制的客客体;受受控主体体和受控控客体之之间的操操作。FDP_ACCC.1子子集访问问控制。关联性:FDPP_ACCF.11FDP_ACCC.2 完全访访问控制制。关联性:FDPP_ACCF.115.2 访问控控制功能能(FDDP_AACF)FDP_ACFF描述实实施了FFDP_ACCC中指定定的访问问控制策策略的特特定功能能的规则则。叙述述了安全全属性使使用和策策略特征征。FDP_ACFF.1 访问控控制基础础上的安安
33、全属性性允许TTSF根根据安全全属性实实施访问问。进而而,TSSF或许许具有根根据安全全属性明明确认可可和否定定对客体体访问的的能力。关联性:FDPP_ACCC.11, FFMT_MSAA.35.3 数据鉴鉴别(FFDP_DAUU)数据鉴别别允许团团体对信信息的真真实性负负责(如如对信息息数值签签名)。FFDP_DAUU提供了了保证特特定单元元数据有有效性的的方法,从从而也可可用来验验证信息息内容没没有伪造造或恶意意篡改。FDP_DAUU.1基基本数据据鉴别,要要求TSSF能够够保证客客体信息息内容的的真实性性。关联性:无FDP_DAUU.2 用保证证人身份份进行数数据鉴别别,额外外要求TTS
34、F能能建立提提供真实实性保证证的主体体的身份份。关联性:FIAA_UIID.115.4 输出TTSF控控制(FFDP_ETCC)FDP_ETCC定义了了从TOOE输出出用户数数据的功功能,信信息一旦旦输出,其其安全属属性和保保护要么么被明确确保留,要要么被忽忽略。FDP_ETCC.1 无安全全属性的的用户数数据输出出,当超超出TSSF输出出用户数数据时,TTSF实实施合适适的SFFPs。通通过这种种功能输输出的用用户数据据没有相相关的安安全属性性。关联性:FDPP_ACCC.11或FDDP_IIFC.1FDP_ETCC.2 带安全全属性的的用户数数据输出出,要求求TSFF用合适适的SFFPs将
35、将输出用用户数据据与安全全属性正正确而明明确的联联系起来来。关联性:FDPP_ACCC.11或FDDP_IIFC.15.5 信息流流控制策策略(FFDP_IFCC)FDP_IFCC确定信信息流控控制SFFPs(通过名名字),并并定义了了形成TTSP识识别的信信息流控控制部分分的控制制策略范范围。控控制范围围由以下下三个要要素表示示:受该该策略控控制的主主体;受受该策略略控制的的信息;导致受受控信息息流进和和流出策策略控制制主体的的操作。FDP_IFCC.1 子信息息流控制制。关联性:FDPP_IFFF.11FDP_IFCC.2 完全信信息流控控制。关联性:FDPP_IFFF.115.6 信息流
36、流控制功功能(FFDP_IFFF)FDP_IFFF描述了了实施由由FDPP_IFFC指定定的信息息流控制制SFPPs的特特定功能能的规则则,同时时FDPP_IFFF也规规定了该该策略的的控制范范围。它它由两种种需求组组成:一一种叙述述一般的的信息流流功能问问题;另另一种叙叙述非法法信息流流(如:转变信信道)。这这种分类类的产生生是由于于,在某某种意义义上,所所谓的非非法信息息流是与与信息流流控制SSFP的的余下部部分垂直直的,它它们本质质上围绕绕着信息息流控制制SFPP,造成成对该策策略的侵侵害。这这样,他他们要求求限制和和防止非非法信息息流发生生的特定定功能。FDP_IFFF.1 简单安安全
37、属性性,要求求信息的的安全属属性,关关于促使使信息流流动主体体的安全全属性,扮扮演信息息接收者者主体的的安全属属性。规规定了该该功能必必需实施施的规则则,描述述该功能能如何推推导安全全属性。关联性:FDPP_IFFC.11, FFMT_MSAA.3FDP_IFFF.2 根据FFDP_IFFF.1简简单安全全属性的的要求扩扩展分级级的安全全属性,通通过要求求TSPP中所有有的信息息流控制制SFPPs使用用分级的的安全属属性,从从而形成成网格结结构。关联性:FDPP_IFFC.11, FFMT_MSAA.3FDP_IFFF.3 受限制制的非法法信息流流,要求求SFPP包括非非法信息息流,但但不是一
38、一定要删删除它。关联性:AVAA_CCCA.11, FFDP-IFCC.1FDP_IFFF.4 非法信信息流的的部分删删除,要要求SFFP包含含删除某某些(不不一定是是所有)非非法信息息流的内内容。关联性:AVAA_CCCA.11, FFDP_IFCC.1FDP_IFFF.5 无非法法信息流流,要求求SFPP能删除除所有的的非法信信息流。关联性:AVAA_CCCA.33, FFDP-IFCC.1FDP_IFFF.6 非法信信息流监监测,要要求SFFP能监监测指定定和最大大容量的的非法信信息流。关联性:AVAA_CCCA.11, FFDP_IFCC.15.7 超出TTSF控控制的输输入(FFDP
39、_ITCC)FDP_ITCC规定了了输入TTOE的的用户数数据的保保护机理理,使输输入用户户数据具具有合适适的安全全属性并并能被妥妥善地受受到保护护。涉及及的内容容有输入入的限制制,安全全属性的的指定,对对用户安安全属性性的解释释。FDP_ITCC.1 无安全全属性的的用户数数据输入入,要求求用户数数据被正正确地赋赋予安全全属性。关联性:FDPP_ACCC.11 或 FDPP_IFFC.11, FFMT_MSAA.3FDP_ITCC.2 带安全全属性的的用户数数据输入入,要求求安全属属性能正正确表示示用户数数据,并并能正确确而明晰晰地与用用户数据据联系在在一起。关联性:FDPP_ACCC.11
40、或 FFDP_IFCC.1, FTTP_IITC.1或FFTP_TRPP.1, FPPT_TTDC.15.8 TOEE内部传传递(FFDP_ITTT)当用户数数据通过过内部信信道在TTOE各各部分之之间传递递时,FFDP_ITTT提出了了对用户户数据的的保护需需求。它它与FDDP_UUCT和和FDPP_UIIT相反反,FDDP_UUCT和和FDPP_UIIT是对对用户数数据通过过外部信信道在不不同的TTSFss之间传传递时的的保护需需求。FDP_ITTT.1 基本的的内部传传输保护护,要求求用户数数据在TTOE个个部分之之间传递递时能受受到保护护。关联性:FDPP_ACCC.11或FDDP_I
41、IFC.1FDP_ITTT.2 基于具具有FDDP_IITT.1以外外的SFFP相关关属性的的值分离离用户数数据。关联性:FDPP_ACCC.11或FDDP_IIFC.1FDP_ITTT.3 完整性性监测。关联性:FDPP_ACCC.11或FDDP_IIFC.1, FDPP_ITTT.11FDP_ITTT.4 基于属属性的完完整性监监测。关联性:FDPP_ACCC.11或FDDP_IIFC.1, FDPP_ITTT.225.9 残余信信息保护护(FDDP_RRIP)FDP_RIPP提出确确保已删删除信息息不可再再访问的的要求以以及新建建立的客客体不能能包含不不可访问问的信息息。具体体来说,就就
42、是对已已经被逻逻辑删除除但是还还残留在在TOEE内的信信息的保保护的需需求。FDP_RIPP.1 子残留留信息保保护,要要求根据据资源的的分配,TTSF能能确保残残留信息息内容对对TSCC的指定定的客体体是不可可访问的的。关联性:无FDP_RIPP.2 全残残留信息息保护,要要求TSSF能确确保残留留信息内内容对所所有的客客体均是是不可访访问的。关联性:无5.100 恢复复(FDDP_RROL)在一定的的限制条条件下,如如一段时时间内,FFDP_ROLL能恢复复上一次次或一系系列的操操作,并并回到一一个以前前已知的的状态,从从而保证证了数据据的完整整性。FDP_ROLL.1 基本恢恢复,叙叙述
43、了在在指定的的限制条条件下有有限次数数操作的的恢复需需求。关联性:FDPP_ACCC.11或FDDP_IIFC.1FDP_ROLL.2 高级恢恢复,叙叙述了在在指定的的限制条条件下,所所有操作作的恢复复需求。关联性:FDPP_ACCC.11或FDDP_IIFC.15.111 存贮贮数据的的完整性性(FDDP_SSDI)FDP_SDII提供了了用户数数据保存存在TSSC内后后的保护护需求。完完整性错错误会影影响保存存在内存存或其他他存储设设备中的的用户数数据。FDP_SDII.1 存贮数数据完整整性监测测,要求求SF对对存贮在在TSCC内的用用户数据据的指定定完整性性错误进进行监测测。关联性:无
44、FDP_SDII.2 存贮数数据监测测及行动动,在FFDP_SDII.1的的基础上上,增加加了当检检测到完完整性错错误后采采取相应应措施的的能力。关联性:无5.122 TSSF之间间传递用用户数据据机密性性保护(FFDP_UCTT)当用户数数据使用用外部信信道在不不同的TTOE之之间或不不同TOOE的用用户之间间传递时时,FDDP_UUCT定定义了确确保用户户数据机机密性的的需求。FDP_UCTT.1基基本数据据交流机机密性,目目的是在在用户数数据的传传递过程程中,防防止用户户数据暴暴露。 关联性性:FTTP_IITC.1或FFTP_TRPP.1, FDDP_AACC.1或FFDP_IFCC.
45、15.133 TSSF之间间传递用用户数据据完整性性保护(FFDP_UITT) 用户数数据使用用外部信信道在不不同的TTOE之之间或其其它可信信的ITT产品之之间传递递时,FFDP_UITT定义了了确保用用户数据据完整性性的需求求,并能能从删除除错误中中恢复来来保证完完整性。FDP_UITT.1 数据交交流完整整性,叙叙述传递递的用户户数据的的修改,删删除,插插入和重重放错误误的检测测。关联性:FDPP_ACCC.11或FDDP_IIFC.1, FTPP_ITTC.11或FTTP_TTRP.1FDP_UITT.2 源数据据交流恢恢复,要要求通过过接收TTSF恢恢复原始始的用户户数据,借借助于原原始发送送的可信信IT产产品。关联性:FDPP_ACCC.11或FDDP_IIFC.1, FDPP_UIIT.11或FTTP_IITC.1FDP_UITT.3 目标数数据交流流恢复,要要求通过过接收TTSF恢恢复原始始的用户户数据,不不借助于于原始发发送的可可信ITT产品。关联性:FDPP_