《bs7799-2(iso)qhg.docx》由会员分享,可在线阅读,更多相关《bs7799-2(iso)qhg.docx(112页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1. 绪论41.1 范围41.1.1 扩展的和保留的功能需求41.2 第二部分的组织51.3 功能需求范例52. 安全功能成分102.1 综述102.1.1 类结构102.1.2 族结构102.1.3 成分结构122.1.4 允许的功能成分操作132.2 成分目录142.2.1 突出成分改变153. FAU类:安全审计163.1 安全审计自动响应(FAU_ARP)173.1 安全审计数据发生(FAU_GEN)173.3 安全审计分析(FAU_SAA)183.4 安全审计浏览(FAU_SAR)213.5 安全审计事件选择(FAU_SEL)233.6 安全审计数据存贮(FAU_STG)234. F
2、CO类:通信264.1 源端不否认(FCO_NRO)264.2 接受不否认(FCO_NRR)285. FCS类:密码支持305.1 密钥管理(FCS_CKM)305.2 密码运算(FCS_COP)326FDP级:保护用户数据346.1 访问控制策略(FDP_ACC)376.2访问控制功能(FDP_ACF)386.3 数据鉴别(FDP_DAU)396.4 输出到TSF控制范围之外(FDP_ETC)406.5 信息流控制策略(FDP_IFC)416.6 信息流控制功能(FDP_ICF)426.7 从TSF控制范围之外输入(FDP_ITC)456.8 TOE内部传输(FDP_ITT)476.9 剩余
3、信息保护(FDP_RIP)496.10反转(FDP_ROL)506.11 存储数据的完整性(FDP_SDI)516.12 TSF间用户数据机密性的传输保护(FDP_UCT)536.13 TSF间用户数据完整性的传输保护(FDP_UIT)547FIA级:标识和鉴别567.1 鉴别失败(FIA_AFL)587.2 用户属性定义(FIA_ATD)597.3 秘密的规范(FIA_SOS)607.4 用户鉴别(FIA_UAU)617.5 用户标识(FIA_UID)647.6 用户-主体绑定(FIA_USB)658FMT级:安全管理668.1 TSF中功能的管理(FMT_MOF)688.2 安全属性的管理
4、(FMT_MSA)698.3 TSF数据的管理(FMT_MTD)718.4 取消(FMT_REV)738.5 安全属性到期(FMT_SAE)748.6 安全管理角色(FMT_SMR)759. FPR类:秘密779.1匿名(FPR_ANO)789.2假签名(FPR_PSE)789.3 非关联性(FPR_UNL)809.4 无观察性(FPR_UNO)8010. FPT 类:TOE 安全功能的保护8310.1 基础的理论机制测试(FPT-AMT)8510.2 保护失败(FPT-FLS)8610.3 TSF 输出数据的有效性(FPT-ITA)8610.4 TSF输出数据的机密性(FPT-ITC)871
5、0.5 输出TSF数据的完整性(FPT-ITI)8710.6 国内TOE TSF数据交换(FPT-ITI)8910.7 TSF物理保护(FPT-PHP)9010.8 信任恢复(FPT-RCV)9110.9 重复检测(FPT-RPL)9310.10 参考调解器(FPT-RVM)9310.11 域分离(FPT-SEP)9410.12 状态同步协议(FPT-SSP)9510.13 时间标志(FPT-STM)9610.14 TSF内部的TSF数据的一致性(FPT-TDC)9710.15 内部TOE TSF数据复制的一致性(FPT-TRC)9710.16 TSF自测试(FPT-TST)9811. FRU
6、级:资源利用10011.1 失效容限(FRU_FLT)10011.2 工作优先级(FRU_PRS)10111.3 资源分配(FRU_RSA)10212. FTA 级:TOE访问10412.1 可选属性范围限定(FTA_LSA)10412.2 多重并发会话限定 (FTA_MCS)10512.3 会话锁定 (FTA_SSL)106 12.4 TOE访问方法10812.5 TOE 访问历史 (FTA_TAH)108 12.6 TOE 会话建立(FTA_TSE)10913. FTP级:可信路径/通道11013.1 TSF内部可信信道(FTP_ITC)11013.2 可信路径(FTP_TRP)1111
7、绪论1.1 范围第二部分定义的安全功能成分是保护轮廓或安全对象中所描述的TOE IT 安全功能需求的基础。这些需求描述了被评价对象(TOE)希望达到期望的安全行为并意欲满足如PP或ST中规定的安全目标。这些需求描述了用户可以通过与TOE直接的相互作用(也就是输入、输出)或通过TOE对刺激的响应而发现的安全特性。安全功能成分表达意欲对抗在假定的TOE 操作环境中的威胁和/或保护任何一个已鉴别的组织安全策略和假设的安全需求。第二部分的用户包括消费者、开发者和IT系统和产品的评价者。第一部分第三章提供了关于CC目标用户和目标用户组成的组对CC的使用的附加信息,这些组可以如下所示使用第二部分: - 当
8、选择成分来表达功能需求满足PP或CC中表达的安全目标时,消费者使用第二部分。 第一部分4.3节提供了许多关于安全目标和安全需求间关系的详细信息。- 在建立一个TOE时,开发者对实际的或被发现的消费者安全需求作出反应,可以找到理解这部分的安全需求的标准方法。他们也可以使用这部分内容,把它作为更进一步定义符合这些需求的TOE安全功能和机制的基础。- 评价者使用这部分定义的功能需求来鉴定PP或ST中表达的功能需求是否满足IT安全目标,所有的信赖关系是否已被构成并且被证明是满足需求的。评价者也将使用这部分内容来帮助鉴定一个给定的TOE是否满足规定的需求。1.1.1 扩展的和保留的功能需求这部分描述的C
9、C和相关的安全功能需求并不是所有的IT安全问题的确定的答案。确切地说,CC提供一系列很容易理解的安全功能需求,这些需求用于产生能反映市场需求的可信产品或系统。这些安全功能需求被作为关于需求的鉴定和评价的当前状况被提出来。这部分没有试图包括所有可能的安全功能需求,而是包括那些在发行时CC作者了解并认为有价值的部分。因为理解力和消费者的需求可能变化,这部分的功能需求将需要保留。可以预计一些PP/ST作者可以有不被通用准则中的功能需求成分保护的安全需求,在那些情况下,PP/ST作者可以选择考虑使用不是取自CC的功能需求(称之为可扩展性),正如第一部分附录B和C说明的那样。1.2 第二部分的组织第一章
10、是第二部分的简介资料。第二章介绍CC功能成分的种类而第三章到第十三章描述了功能类。附录A提供了对功能成分的可能的用户有利的附加信息,该功能成分包含一个完整的功能成分信赖关系参考表。附录B到附录M提供功能类的应用注解。它们是对这部分的用户有用的支持资料的综合,可以帮助用户执行相关操作并选择恰当的检查或文挡信息。PPs或ST作者应参考第一部分相关的结构、规则和指导: - 第一部分第二章定义用于CC中的术语。 - 第一部分附录B定义PPs结构。 - 第一部分附录C定义STs结构。1.3 功能需求范例这节描述用于第二部分安全功能需求的范例。图1.1和1.2描绘了范例的一些关键概念。这节提供了有关那些图
11、和图中没有描绘的其它关键概念的描述性内容。讨论的关键概念以黑斜体字高亮显示。这节没有试图取代第一部分第二章CC术语表中提到的任何一个术语。 图1.1 安全功能需求范例(整体的TOE)第二部分是可以因被评价对象(TOE)而被确定的安全功能需求的目录。一个TOE是一个包含诸如电子存储介质(例如磁盘),外围设备(例如打印机)和计算容量(例如CPU时间)这些资源的一个IT产品或系统(连同用户和管理员指导文挡),上述这些资源能被用于处理和存储信息并且是一个评价的对象。TOE评价主要参与确保一个定义的TOE安全策略(TSP)是强加给TOE资源的。TSP定义一些规则,通过这些规则TOE 管理访问它的资源,这
12、样所有的信息和服务都由TOE控制。TSP是由多重安全功能策略(SFPs)依次构成的。每个SFP有一个控制范围来定义在SFP下控制的对象、目标、操作。SFP是由一个安全功能(SF)实现的,SF机制加强策略并提供必要的性能。 图1.2 分布式TOE内的安全功能图表一个TOE的那些必须依赖正确的TSP强制执行的部分共同地作为TOE安全功能(TSF)被提到。TSF由一个TOE所有的直接或间接依赖安全强制执行的软件、硬件和软硬件结合体组成。一个参考监控器是一个抽象的机器,它强制执行TOE的访问控制策略。一个参考的确认机制是一个拥有下列特性的参考监控器概念的工具:可防止乱摆、总是可调用的、简单得足以忍受彻
13、底的分析和检验。TSF可能由一个参考的确认机制和/或其它对TOE操作有必要的安全功能组成。TOE可能是一个包含硬件、软硬件结合体、软件的单片集成电路。换句话说,一个TOE可能是一个由内在的多重分离的部分组成的分布式产品。这些TOE部分中的每一个都为TOE提供一个特别的服务,并且通过一个内部信道与其它TOE部分相联。这个信道可能与处理器一样小,或者可能包含一个TOE的内部网络。当TOE由多重部分组成时,每一个TOE部分可能拥有它自己的TSF部分,该TSF部分在内部信道与其它TSF部分交换用户和TSF数据。这个交互作用被称为内部TOE转移。在这种情况下,TSF的分离部分抽象地形成复合的TSF,来加
14、强TSP。TOE界面可能被局部化成特别的TOE,或者它们允许通过外部信道与其它IT产品交互作用。这些与其它IT产品的外部交互作用可能有两种形式:a) “远端可信IT产品”和本地TOEs的TSP已经被调整和评价。当它们在明确的可信产品的TSFs间时,这种情况下的信息交换被称为内部TSF转移。b) 远端IT产品可能不被评价,象图1.2以“不可信IT产品”显示的那样,因此它的安全策略不可知。当远端IT产品没有TSF(或它的策略特性不可知)时,这种情况下的信息交换被称为TSF控制外转移。这一系列可能与一个TOE或在一个TOE内产生的并且受TSP规则影响的交互作用被称为TSF控制范围(TSC),TSC包
15、括一系列已定义的基于对象、目标和TOE内的操作的交互作用,但它不必包括TOE的所有资源。一系列界面,不管是交互式的(人类机器界面)还是程式的(应用程序界面),通过它们资源可以以TSF或从TSF中获得的信息做媒介而被访问,这被称为TSF界面(TSFI)。TSF定义了为TSP的强制执行而提供的TOE功能界面。用户是在TOE外部的,所以是在TSC外部的。但是,为了要求服务由TOE执行,用户通过TSFI和TOE 发生作用。有两种对第二部分安全功能需求感兴趣的用户:人类用户和外部IT实体。人类用户更进一步分为本地人类用户,指他们通过TOE设备(例如工作站)直接与TOE发生作用,远端人类用户,指他们通过其
16、它IT产品间接与TOE发生作用。用户和TSF交互作用的一个周期被称为用户时间。用户时间的建立可能以多种考虑为基础而被控制,例如:用户鉴别、时间、访问TOE的方法和允许每一个用户并发时间的数量。第二部分使用术语“已经授权的”来表示用户有权力和/或必要的特权执行一个操作。术语“已经授权的用户”表示允许执行如TSP定义的操作的用户。为表达要求管理员责任分离的需求,第二部分相关的安全功能成分(来自族FMT_SMR)明确规定管理的角色是必须的。一个角色是一系列预定义的规则,这些规则建立允许在TOE和用户间的交互作用。例如,与TOE安全操作相关的角色可能包括“审计管理员”和“用户帐号管理员”。TOE包括可
17、被用于处理和存储信息的资源。TSF的主要目标是完全的正确的在资源和TOE控制信息上对TSP的强制执行。TOE资源能以许多不同的方式被构成和利用。但是,第二部分作出了明确区分来要求对期望的安全特性进行详述。所有可以由资源造成的实体可以以两种方式中的一种被表现其特性。实体可能是主动的,这是指他们是TOE内部发生的行为的原因,并且导致信息被执行的操作。相反地,实体也可能是被动的,这是指他们不是信息起源的容器就是信息存储的容器。主动的实体被称为对象。TOE可能存在几种对象:a) 已授权用户的行为和服从所有TSP规则的行为(例如UNIX进程)。b) 那些担当一个明确功能进程的行为,该进程依次对多重用户发
18、生作用(例如可以在客户/服务器装置找到的功能)。c) 担当TOE自己一部分的行为(例如可信进程)。第二部分处理在各种上述对象上的TSP的强制执行。被动实体(也就是信息存储器)在第二部分安全功能需求里以“目标”被提出。目标是可以由对象执行的操作的目标。在一个对象(一个主动实体)是一个操作的目标(例如内部通讯)这种情况下,一个对象也可以作为目标被作用。目标可以包含信息。这个概念被要求来说明信息流控制策略,就象在FDP类中处理的那样。用户、对象、信息和目标拥有确定的包含允许TOE正确运转的信息的特性,一些特性,象文件名,可以被确定是非标准的(也就是来增加TOE用户的友好关系),而其它特性,象访问控制
19、信息,可能为TSP的强制执行而特定存在。后面的特性通常被称为“安全特性”。“特性”在这部分用来作为“安全特性”的缩写,除非有另外的描述。但是,无论信息特性的目的如何,它可能对象TSP规定的特性的控制是必要的。TOE中的数据被分类,不是用户数据就是TSF数据,图1.3描绘了这个关系。用户数据是存储在TOE资源中的信息,该TOE资源可以被用户根据TSP操作,并且在这个资源上TSF不代表特殊的意义。例如,一个电子邮件信息的内容是一个用户数据。TSF数据是在作TSP决定时被TSF使用的信息。TSF数据如果允许被TSP影响就可以被用户影响。安全特性、鉴定数据可访问控制表条目都是TSF数据。有几个应用诸如
20、访问控制SFPs和信息流控制SFPs这些数据保护的SFPs。执行访问控制SFPs的机制基于对关于对象、目标和控制范围内的操作的特性的策略决定。这些特性被用在一系列管理对象可以对目标执行的操作的规则上。执行信息流控制SFPs的机制基于他们关于控制范围内对象和信息特性以及管理由对象对信息进行操作的规则这些策略决定上。当信息转移时,信息特性与容器特性相结合(当在多级别数据库这种条件下,或许可能不是这样),与信息并驾齐驱。 图1.3 用户数据和TSF数据的关系第二部分处理的TSF数据的两种明确的形式可能是但也不必要是相同的。这些称为鉴定数据和秘密。鉴定数据被用来检验向TOE请求服务的用户的身份。最通用
21、的鉴定数据形式是口令,为了成为有效的安全机制,依赖口令来保密。但是不是所有的鉴定数据都必须保密,生物学鉴定设备(例如指纹读取器、视网膜扫描仪)不依赖数据保密这一论据,而是这些数据是只有一个用户拥有而其他人不能伪造的。CC功能需求中用到的术语“秘密”,当它对鉴定数据适用时,也对其它为加强一个明确的SFP而必须保密的数据适用。例如,依靠密码技术保护在信道中传输的信息的机密性这种可信信道机制可能只与使用保持密钥的秘密防止未经受权的泄露这种方法一样不易被攻克。因此,一些(但不是所有的)鉴定数据必须保密,一些(但不是所有的)秘密被用来作为鉴定数据。图1.4说明了在秘密和鉴定数据间的关系。图中鉴定数据和秘
22、密部分有代表性地交会部分的数据类型被显示出来。 图1.4 “鉴定数据”和”秘密”的关系2 安全功能成分2.1 综述这节定义内容和CC功能需求的描述,并提供关于被ST包含的新成分的组织需求的指导。功能需求在类、族和成分中被描述。2.1.1 类结构图2.1以图表的形式阐明了功能类的结构。每个功能类包括一个类名、类介绍、一个或多个功能族。 图2.1 功能类结构2.1.1.1 类名 类名部分提供鉴别和分类一个功能类的必要信息。每个功能类有一个唯一的名字。分类信息由三个字符的短名组成。;类的短名被用在对那个类的族的短名的详述上。2.1.1.2 类介绍类介绍描述了那些族为满足安全目标而用的公用目的和方法。
23、功能类的定义不反映任何方式的在需求详述内的分类法。类介绍提供一个图来描述这个类中的族和每个族中成分的层次,就象2.2节说明的那样。2.1.2 族结构图2.2以图表的形式描述了功能族的结构。 图2.2 功能族的结构2.1.2.1 族名 族名部分提供对鉴别和分类一个功能族必要的分类和描述性信息。每个功能族有一个唯一的名字。分类信息由七个字符的短名组成,开头三个字符与类名相同,后面跟一个下划线和族名,例如XXX_YYY。族名的唯一形式为成分提供主要的参考名。2.1.2.2 族行为族行为是关于功能族规定它的安全目标的叙述性描述和关于功能需求的一般描述。更详尽的描述如下所示:a) 族的安全目标处理在与这
24、个族的成分联合的TOE的帮助下可以解决的安全问题。b) 功能需求的描述总结成分中包含的所有需求。该描述是针对PPs、STs和功能包的作者的,他们希望估计族是否与他们的明确需求相关。2.1.2.3 成分级别功能族包含一个或多个成分,任何一个成分都可能因PPs、STs和功能包的包含物而被选择。这节的目的是一旦族已被鉴别作为用户安全需求的一个必要且有效的部分时,向用户提供选择恰当的功能成分的信息。功能族描述这节描述可用成分和它们的基本原理。成分的精确细节包含在每个成分里。功能族内成分间的关系可能是也可能不是有层次的。如果一个成分提供多个安全特性那么对别的成分来说它是有层次的。象2.2节说明的那样,族
25、的描述提供一个关于族内成分的层次的图形综述。2.1.2.4 管理管理需求包含PP/ST作者研究给定成分的管理行为的信息。在管理类的成分里(FMT)管理需求是详尽的。一个PP/ST作者可以选择已说明的管理需求或者可以包括其它没被列出的管理需求。同样地信息将被认为是非标准的。2.1.2.5 审计审计需求包含可被PP/ST作者选择的可审计的事件,如果需求来自类FAU,安全审计将被包括在PP/SY内。这些需求包括根据FUN_GEN安全审计数据产生族的成分所支持的各种详细的级别的安全相关事件。例如,一个审计注解可能包括根据下列内容的行为:最小的- 安全机制的成功使用;基础的- 任何如关于所包括的安全特性
26、的相关信息那样的安全机制的使用;详尽的- 任何针对机制的配置的改变,包括改变前后的当前配置数据。可审计事件的分类是层次的这一点将被发现。例如,当基本的审计产物是期望的,所有作为最小的和基本的被鉴别的可审计事件将通过恰当的分派操作被包括在PP/ST内,除了高级别事件仅仅提供比低级别事件更多的细节。当详尽的审计产物是期望的,所有已鉴别的可审计事件(最小的、基本的和详尽的)将被包括在PP/ST内。在类FAU内管理审计的规则被更详尽地说明。2.1.3 成分结构图2.3描绘了功能成分的结构。 图2.3 功能成分的结构2.1.3.1 成分鉴别成分鉴别这一部分提供了对鉴别有必要的描述性信息,分类、注册和前后
27、参照一个成分。下列各项作为每个功能成分的部分被提供:一个唯一的名字:名字反映了成分的目的。一个短名:一个唯一的短型功能成分名。短名作为分类和前后参照一个成分的主要的参考名。短名反映了成分属于的类和族以及族中成分的数量。一个有层次的列表。相对于这个成分是层次的其它成分的列表,并且这个成分能用来满足与所列成分间的信赖关系。2.1.3.2 功能元素为每个成分提供系列元素。每个元素都被个别定义并且是独立的。如果更进一步地划分不产生有意义的评价结果,功能元素是一个安全功能需求。它是被鉴别的最小的安全功能需求并被CC认可。当建立包时,PPs和/或STs不被允许从一个成分中选择一个或更多个元素。系列完整的成
28、分元素必须为PP、ST或包的包含物而被选择。一个唯一的短型功能元素名被提供。例如,需求名FDP_IFF.4.2意义如下所示:F-功能需求,DP-类“用户数据保护”, _IFF-族“信息流控制功能”, .4-第四个成分,被命名为“部分违法信息流的排除”,.2-成分的第二个元素。2.1.3.3 信赖关系当一个成分不是自有效的并且为了它自己恰当的功能而依赖于其它成分的功能或依赖于与其它成分的交互作用时,功能成分间的信赖关系就产生了。每个功能成分向其它功能和保证成分提供一个完全的信赖关系表。有些成分可能列出“无信赖关系”。被依赖的成分反过来可能依赖其它成分。成分中提供的列表将是直接的信赖关系。这是为恰
29、当地执行其工作而被需求的功能需求的唯一参考。间接信赖关系是由可以在第二部分附录A找到的被依赖成分产生的信赖关系。注意在某些情况下信赖关系在提供的大量功能需求内是可选择的,功能需求中的每一个都能有效地满足信赖关系(例如FDP_UIT.1).信赖关系列表鉴别最小功能或保证成分,这些成分对满足与一个已鉴别的成分结合的安全需求是必须的。相对于已鉴别的成分是有层次的这种成分也可能被用来满足信赖关系。第二部分描述的信赖关系是标准化的。在PP/ST内它们必须被满足。在确定的情况下描述的信赖关系可能是不可用的。PP/ST作者通过提供的为什么它是不可用的的基本原理可能从包、PP和ST中省去被依赖的成分。2.1.
30、4 允许的功能成分操作用于在PP、ST或功能包内对需求的定义中的功能成分在这部分第二章被正确说明,或者它们可能被制作来满足确定的安全目标。通过已鉴别的功能成分信赖关系必须被考虑这一事实,选择和制作这些功能成分是复杂的。因此这个制作被被限定于一系列被认可可的操作。允许的操作列表被每个功能成分所包括。不是所有的对所有功能成分的操作都被允许。允许的操作可以从下列各项选择: - 交互作用:允许一个成分使用不同的操作不止一次被使用。 - 分派:允许对一个已鉴别的参数的明确说明。 - 选择:允许对一个或多个来自列表的元素的明确说明。 - 改进:允许增加细节问题。2.1.4.1 交互作用在保护同一需求的不同
31、方面是必要的地方(不止一种类型用户的鉴别),重复使用第二部分同一成分来保护每个方面是允许的。2.1.4.2 分派一些功能成分元素包含参数和变量,这些参变量能使PP/ST作者详细说明一个策略或一系列与PP或ST结合来满足一个确定的安全目标的数值。这些元素清楚地鉴别每个参数并且确定可能分派给参数的数值。一个其合格的数据能被明白地描述或列举的元素的任何方面都可能被一个参数体现。该参数可能是一个数值或规则,它们能把一个需求精确为一个确定的数值或数值范围。例如,基于一个确定的目标,功能成分元素可以规定一个给定的操作将被执行多次。在这种情况下,分派将提供用于参数的数量或数量范围。2.1.4.3 选择 这是
32、为精确一个成分元素的范围而从列表中选取一个或多个条目的操作。2.1.4.4 改进对所有功能成分元素来说,PP/ST作者被允许通过为满足安全目标而详细说明的附加细节来限定系列可用的执行。一个元素的改进由增加这些技术细节组成。在一个ST内,术语“对象”和“目标”的含义必须被说明其对TOE是有意义的,因此对象改进。象其它操作,改进不征用完全新的需求。它将精心设计的结果、解释或特别的含义应用于基于安全目标的需求、规则、常量和环境。改进近是更进一步限定系列可能可用的功能或机制来执行需求,但从不增加它。改进不允许产生新需求,因此不增加与成分相联的信赖关系的列表。PP/ST作者必须注意信赖关系需要依赖这个需
33、求的其它需求被满足。2.2 成分目录这节的这组成分不反映任何形式的分类法。第二部分包括族和成分的种类,它们是基于相关的功能和目的的粗略分组,按字母顺序被提出。在每个类的开头是一个非标准的图表,描绘了每个类的分类法,描绘了每个类中的族和每个族中的成分。这个表是描述可能存在于成分间的层次关系的有效的描述器。在功能成分的描述中,一部分鉴别一个成分和任何一个其它成分的信赖关系。在每个类中,类似于图2.4描绘族的层次关系的图被提供。在图2.4中,第一个族,族1,包括三个有层次的成分,成分2和成分3都可以被用来满足对成分1的信赖关系,成分3对成分2是层次的,并且可以被用来满足对成分2的信赖关系。 图2.4
34、 示范类分解图在族2中有三个成分,不是所有的成分都是有层次的。成分1和成分2不对其它成分有层次。成分3对成分2是层次的,并且可以被用来满足对成分2的信赖关系,但是不能满足对成分1的信赖关系。在族3中,成分2、3、4对成分1是层次的。成分2和3都对成分1是层次的,但是是不可比的。成分4对成分2和3都是层次的。这些图表意图补足族的原文并使关系鉴别更简单。在每个成分中它们并不取代“对是层次的”的注解,这是对每个成分层次关系的强制说明。2.2.1 突出成分改变在一个族中成分的关系用粗体字这一贯例来突出显示。粗体字惯例要求所有新要求的粗体显示。对有层次的成分,需求和/或信赖关系在它们被加强和更改超越了先
35、前成分的需求时被突出显示。另外,任何新的或加强的威胁,应用注解和/或允许的操作超越先前的成分也使用粗体形式被突出显示。3 FAU类:安全审计安全审计包括识别、记录、存储,以及与安全相关行为(如由TSP控制的行为)有关的分析信息。审计记录的结果被用于检测,由此来判决发生了哪些安全相关行为以及这些行为是由哪个用户负责的。 1111安全审计FAU_ARP 安全审计自动响应FAU_GEN 安全审计数据发生1111FAU_SAA 安全审计分析111FAU_SAR 安全审计浏览FAU_SEL 安全审计事件选择1111FAU_STG 安全审计事件存贮 图3.1 安全审计类3.1安全审计自动响应(FAU_AR
36、P)族行为该族定义在被测事件指示出一个潜在的安全攻击时作出的响应。结构层次FAU_ARP 安全审计自动响应1FAU_ARP.1安全警告,当一个潜在的安全攻击被检测出时TSF将采取行动。管理:FAU_ARP.1下述行为可以看作FMT中的管理功能:a) 行为的增添移动修改。审计:FAU_ARP.1如果在PP/ST中包含了FAU_GEN安全审计数据发生,那么下述行为可以被审计:a) 最小方式:当安全攻击即将到来时所采取的行动。FAU_ARP.1安全警告上一层:无FAU_ARP.1.1 当检测出一个潜在安全攻击时,TSF将采取下列措施:任务:列出破坏性最小的操作的清单。依赖于:FAU_SAA.1潜在攻
37、击分析3.1 安全审计数据发生(FAU_GEN)族行为该族要求记录在TSF控制下发生的安全相关事件的出现,包括鉴别审计层次、列举可被TSF审计的事件类型、以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。结构层次11FAU_GEN 安全审计数据发生 FAU_GEN.1 审计数据发生,定义可审计的事件的等级,并列出将被记录在每个记录中的数据清单。FAU_GEN.2 用户身份联系,TSF将把可审计事件与各个用户身份相联系。管理:FAU_GEN.1,FAU_GEN.2此处无法预见管理行为。审计:FAU_GEN.1,FAU_GEN.2如果在PP/ST中包含了FAU_GEN安全审计数据发生,此处就
38、没有可审计的行为需要鉴别。FAU_GEN.1审计数据发生上一层:无FAU_GEN.1.1 TSF将产生下述可审计事件的审计记录:a) 审计功能的启动和关闭;b) 审计的各种方式(选择:最小,基本,详述,略述)所包含的所有可审计事件;c) 由任务:其他详细定义的可审计事件所确定的所有可审计事件。FAU_GEN.1.2 TSF将在每个审计记录中至少记录如下信息:a) 事件的日期、时间,事件类型,主体身份,事件的结果(成功或失败);b) 对每个基于PP/ST 的功能单元的可审计事件的定义的审计事件类型,记录以下信息:任务:其他审计相关信息。依赖于:FPT_STM.1可靠的时间标记FAU_GEN.2
39、用户身份联系上一层:无FAU_GEN.2.1 TSF将把每个可审计事件与引起该事件的用户的身份相联系。依赖于:FAU_GEN.1审计数据发生FIA_UID.1鉴别定时 3.3 安全审计分析(FAU_SAA)族行为该族要求自动地分析系统行为和审计数据以寻找可能的或真实的安全攻击。此分析可用于入侵检测,或对一个即将来临的安全攻击作出自动响应。基于检测所采取的行动在需要时可用FAU_ARP族详细列出。结构层次FAU_SAA 安全审计分析1111FAU_SAA.1潜在攻击分析,需要基于一个确定的规则集的基本门限检测。FAU_SAA.2基于模板的异常检测,TSF维护各个系统使用模板。这里,一个“模板”代
40、表“模板目标组”成员的历史使用情况,而一个“模板目标组”是指与TSF相互作用的一个或很多个人(如单个用户,分享一个身份或帐号的多个用户,在一个已分配任务下操作的多个用户,一个完整系统或网络节点的多个用户)。“模板目标组”的每个成员都被分配给一个单独的置疑等级,表明成员现行的活动与模板中已建立的使用模式的一致程度如何。此分析在运行时间或在后收集批模式分析期间执行。FAU_SAA.3简单攻击试探,TSF将检测代表对TSP执行情况的重大威胁的签名事件的出现。签名事件的搜索可以适时发生,或在后收集批模式分析期间发生。FAU_SAA.4复杂攻击试探,TSF将能模拟和检测多步入侵关口。TSF能根据已知的事
41、件序列来把系统事件(可能是由多个用户执行的)模拟作完整的入侵关口。当意味着一个对TSP的潜在攻击的签名事件或事件序列被发现时,TSF应能给出指示。管理:FAU_SAA.1下述行为可以看作FMT中的管理功能:a) 对规则集中的规则进行增添修改删除操作。管理:FAU_SAA.2下述行为可以看作FMT中的管理功能:a) 对模板目标组中的用户组进行删除修改增添操作。管理:FAU_SAA.3下述行为可以看作FMT中的管理功能:a) 对系统事件的子集进行删除修改增添操作。管理:FAU_SAA.4下述行为可以看作FMT中的管理功能:a) 对系统事件的子集进行删除修改增添操作。b) 对系统事件的序列集进行删除
42、修改增添操作。审计:FAU_SAA.1,FAU_SAA.2,FAU_SAA.3,FAU_SAA.4如果在PP/ST中包含了FAU_GEN安全审计数据发生,那么下述行为可以被审计:a) 最小方式:开启和关闭任意分析机制;b) 最小方式:由该安全审计分析工具作出的自动响应。FAU_SAA.1潜在攻击分析上一层:无FAU_SAA.1.1 TSF应能用一系列的规则去监控审计事件,并根据这些规则指示出TSP的潜在攻击。FAU_SAA.1.2 TSF用下列规则来监控审计事件:a) 已知的用来指示潜在安全攻击的任务:已定义的可审计事件的子集的积累或组合;b) 任务:任何其它规则。依赖于:FAU_GEN.1
43、审计数据发生FAU_SAA.2基于模板的异常检测上一层:FAU_SAA.1FAU_SAA.2.1 TSF应维护系统使用模板。这里,“模板”代表由任务:指定模板目标组所确定的模板目标组成员的历史使用情况。FAU_SAA.2.2 TSF应维护与每个行动记录在模板中的用户相对应的置疑等级。这里,“置疑等级”代表用户现行活动与模板中已建立的使用模式不一致的程度。FAU_SAA.2.3 当用户的置疑等级超过由任务:TSF报告“异常”的条件所确定的门限条件时,TSF应指示出一个对TSP的攻击即将来临。依赖于:FIA_UID.1鉴别定时FAU_SAA.3简单攻击试探上一层:FAU_SAA.1FAU_SAA.
44、3.1 TSF应维护由任务:系统事件的一个子集所确定的表示一个对TSP的攻击的签名事件的内部表示。FAU_SAA.3.2 TSF应根据系统行为的记录来比较签名事件,这里,系统行为可以通过对任务:详细列出用来判决系统行为的信息所得到的信息进行检查而辨明。FAU_SAA.3.3 当一个系统事件被发现与一个表示对TSP的潜在攻击的签名事件匹配时,TSF应指示出一个对TSP的攻击即将到来。依赖于:无FAU_SAA.4复杂攻击试探上一层:FAU_SAA.3FAU_SAA.4.1TSF将维持已知入侵关口的事件序列(任务:列出代表已知攻关出现的系统事件序列)和指示出对TSP的一个潜在攻击的签名事件(任务:系
45、统事件的一个子集)的内在表示。FAU_SAA.4.2 TSF将根据系统行为的记录来比较签名事件和事件序列,这里,系统行为可以通过检查辩明(任务:详细列出用来判决系统行为的信息)。FAU_SAA.4.3 当一个系统事件或事件序列被被发现与一个表示对TSP的潜在攻击的签名事件匹配时,TSF应能指示出一个对TSP的攻击即将到来。依赖于:无3.4 安全审计浏览(FAU_SAR)族行为该族要求审计工具能够使受权的用户有效地浏览审计数据。结构层次1FAU_SAR 安全审计浏览11FAU_SAR.1审计浏览,提供从审计记录中读取信息的服务。FAU_SAR.2有限审计浏览,要求除在FAU_SAR.1中注册的用户外,其他用户不能读取信息。FAU_SAR.3可选审计浏览,要求审计浏览工具根据相应的判断标准选择需浏览的审计数据。管理:FAU_SAR.1下述行为可以看作FMT中的管理功能:a) 删除修改增添 进入审计记录中读取信息的用户组。管理:FAU_SAR.2,FAU_SAR.3此处无法预见管理行为。审计:FAU_SAR.1如果在PP/ST中包含了FAU_