《bs7799-2(iso)3635.docx》由会员分享,可在线阅读,更多相关《bs7799-2(iso)3635.docx(191页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1. 绪论41.1 范围41.1.1 扩展的和保留的功能需求41.2 第二部部分的组织51.3 功能需需求范例52. 安全功能能成分102.1 综述102.1.1 类类结构102.1.2 族族结构102.1.3 成成分结构122.1.4 允允许的功能成成分操作132.2 成分目目录142.2.1 突突出成分改变变153. FAUU类:安全审审计163.1 安全审审计自动响应应(FAU_ARP)173.1 安全全审计数据发发生(FAUU_GEN)173.3 安全全审计分析(FAU_SAA)183.4 安全全审计浏览(FAU_SAR)213.5 安全全审计事件选选择(FAUU_SEL)233.6
2、安全全审计数据存存贮(FAUU_STG)234. FCOO类:通信264.1 源端不不否认(FCCO_NROO)264.2 接受不不否认(FCCO_NRRR)285. FCSS类:密码支支持305.1 密钥钥管理(FCCS_CKMM)305.2 密码码运算(FCCS_COPP)326FDP级:保护用户数数据346.1 访问控控制策略(FFDP_ACCC)376.2访问控制制功能(FDDP_ACFF)386.3 数据鉴鉴别(FDPP_DAU)396.4 输出到到TSF控制范范围之外(FFDP_ETTC)406.5 信息流流控制策略(FDP_IFC)416.6 信息流流控制功能(FDP_ICF)4
3、26.7 从TSSF控制范围围之外输入(FDP_ITC)456.8 TOEE内部传输(FFDP_ITTT)476.9 剩余信信息保护(FFDP_RIIP)496.10反转(FDPP_ROL)506.11 存储储数据的完整整性(FDPP_SDI)516.12 TSSF间用户数数据机密性的的传输保护(FDP_UCT)536.13 TSSF间用户数数据完整性的的传输保护(FDP_UIT)547FIA级:标识和鉴别别567.1 鉴别失失败(FIAA_AFL)587.2 用户属属性定义(FFIA_ATTD)597.3 秘密的的规范(FIIA_SOSS)607.4 用户鉴鉴别(FIAA_UAU)617.5
4、 用户标标识(FIAA_UID)647.6 用户-主体绑定(FFIA_USSB)658FMT级:安全管理668.1 TSFF中功能的管管理(FMTT_MOF)688.2 安全属属性的管理(FMT_MSA)698.3 TSFF数据的管理理(FMT_MTD)718.4 取消(FMTT_REV)738.5 安全属属性到期(FFMT_SAAE)748.6 安全管管理角色(FFMT_SMMR)759. FPR类类:秘密779.1匿名(FFPR_ANNO)789.2假签名(FPPR_PSEE)789.3 非关联联性(FPRR_UNL)809.4 无观察察性(FPRR_UNO)8010. FPTT 类:TO
5、E 安全功能的的保护8310.1 基基础的理论机机制测试(FFPT-AMMT)8510.2 保保护失败(FFPT-FLLS)8610.3 TTSF 输出出数据的有效效性(FPTT-ITA)8610.4 TTSF输出数数据的机密性性(FPT-ITC)8710.5 输输出TSF数据的的完整性(FFPT-ITTI)8710.6 国国内TOE TSF数数据交换(FFPT-ITTI)8910.7 TTSF物理保保护(FPTT-PHP)9010.8 信信任恢复(FFPT-RCCV)9110.9 重重复检测(FFPT-RPPL)9310.10 参参考调解器(FPT-RVM)9310.11 域域分离(FPPT
6、-SEPP)9410.12 状状态同步协议议(FPT-SSP)9510.13 时时间标志(FFPT-STTM)9610.14 TTSF内部的的TSF数据的的一致性(FFPT-TDDC)9710.15 内内部TOE TSF数据据复制的一致致性(FPTT-TRC)9710.16 TTSF自测试试(FPT-TST)9811. FRRU级:资源源利用10011.1 失效效容限(FRRU_FLTT)10011.2 工作作优先级(FFRU_PRRS)10111.3 资源源分配(FRRU_RSAA)10212. FTTA 级:TOE访问10412.1 可选选属性范围限限定(FTAA_LSA)10412.2
7、多重重并发会话限限定 (FTTA_MCSS)10512.3 会话话锁定 (FTA_SSSL)106 12.4 TOE访问方方法10812.5 TOOE 访问历历史 (FTTA_TAHH)108 12.6 TOOE 会话建建立(FTAA_TSE)10913. FTTP级:可信信路径/通道11013.1 TSSF内部可信信信道(FTTP_ITCC)11013.2 可信信路径(FTTP_TRPP)1111 绪论1.1 范围第二部分定义的的安全功能成成分是保护轮轮廓或安全对对象中所描述述的TOE IT 安全全功能需求的的基础。这些些需求描述了了被评价对象象(TOE)希希望达到期望望的安全行为为并意欲满
8、足足如PP或SST中规定的的安全目标。这这些需求描述述了用户可以以通过与TOOE直接的相相互作用(也也就是输入、输输出)或通过过TOE对刺刺激的响应而而发现的安全全特性。安全功能成分表表达意欲对抗抗在假定的TTOE 操作作环境中的威威胁和/或保保护任何一个个已鉴别的组组织安全策略略和假设的安安全需求。第二部分的用户户包括消费者者、开发者和和IT系统和和产品的评价价者。第一部部分第三章提提供了关于CCC目标用户户和目标用户户组成的组对对CC的使用用的附加信息息,这些组可可以如下所示示使用第二部部分: - 当选选择成分来表表达功能需求求满足PP或或CC中表达达的安全目标标时,消费者者使用第二部部分
9、。 第一一部分4.33节提供了许许多关于安全全目标和安全全需求间关系系的详细信息息。- 在建立一个TOOE时,开发发者对实际的的或被发现的的消费者安全全需求作出反反应,可以找找到理解这部部分的安全需需求的标准方方法。他们也也可以使用这这部分内容,把把它作为更进进一步定义符符合这些需求求的TOE安安全功能和机机制的基础。- 评价者使用这部部分定义的功功能需求来鉴鉴定PP或SST中表达的的功能需求是是否满足ITT安全目标,所所有的信赖关关系是否已被被构成并且被被证明是满足足需求的。评价者也将使用用这部分内容容来帮助鉴定定一个给定的的TOE是否否满足规定的的需求。1.1.1 扩扩展的和保留留的功能需
10、求求这部分描述的CCC和相关的的安全功能需需求并不是所所有的IT安安全问题的确确定的答案。确确切地说,CCC提供一系系列很容易理理解的安全功功能需求,这这些需求用于于产生能反映映市场需求的的可信产品或或系统。这些些安全功能需需求被作为关关于需求的鉴鉴定和评价的的当前状况被被提出来。这部分没有试图图包括所有可可能的安全功功能需求,而而是包括那些些在发行时CCC作者了解解并认为有价价值的部分。因为理解力和消消费者的需求求可能变化,这这部分的功能能需求将需要要保留。可以以预计一些PPP/ST作作者可以有不不被通用准则则中的功能需需求成分保护护的安全需求求,在那些情情况下,PPP/ST作者者可以选择考
11、考虑使用不是是取自CC的的功能需求(称称之为可扩展展性),正如如第一部分附附录B和C说说明的那样。1.2 第二部部分的组织第一章是第二部部分的简介资资料。第二章介绍CCC功能成分的的种类而第三三章到第十三三章描述了功功能类。附录A提供了对对功能成分的的可能的用户户有利的附加加信息,该功功能成分包含含一个完整的的功能成分信信赖关系参考考表。附录B到附录MM提供功能类类的应用注解解。它们是对对这部分的用用户有用的支支持资料的综综合,可以帮帮助用户执行行相关操作并并选择恰当的的检查或文挡挡信息。PPs或ST作作者应参考第第一部分相关关的结构、规规则和指导: - 第一部分第第二章定义用用于CC中的的术
12、语。 - 第一部分附附录B定义PPPs结构。 - 第一部分附附录C定义SSTs结构。1.3 功能需需求范例这节描述用于第第二部分安全全功能需求的的范例。图11.1和1.2描绘了范范例的一些关关键概念。这这节提供了有有关那些图和和图中没有描描绘的其它关关键概念的描描述性内容。讨讨论的关键概概念以黑斜体体字高亮显示示。这节没有有试图取代第第一部分第二二章CC术语语表中提到的的任何一个术术语。 图图1.1 安安全功能需求求范例(整体体的TOE)第二部分是可以以因被评价对对象(TOEE)而被确定定的安全功能能需求的目录录。一个TOOE是一个包包含诸如电子子存储介质(例例如磁盘),外外围设备(例例如打印
13、机)和和计算容量(例例如CPU时时间)这些资资源的一个IIT产品或系系统(连同用用户和管理员员指导文挡),上上述这些资源源能被用于处处理和存储信信息并且是一一个评价的对对象。TOE评价主要要参与确保一一个定义的TTOE安全策策略(TSPP)是强加给给TOE资源源的。TSPP定义一些规规则,通过这这些规则TOOE 管理访访问它的资源源,这样所有有的信息和服服务都由TOOE控制。TSP是由多重重安全功能策策略(SFPPs)依次构构成的。每个个SFP有一一个控制范围围来定义在SSFP下控制制的对象、目目标、操作。SSFP是由一一个安全功能能(SF)实实现的,SFF机制加强策策略并提供必必要的性能。
14、图1.2 分布式TOOE内的安全全功能图表一个TOE的那那些必须依赖赖正确的TSSP强制执行行的部分共同同地作为TOOE安全功能能(TSF)被提到。TSF由一个TOE所有的直接或间接依赖安全强制执行的软件、硬件和软硬件结合体组成。一个参考监控器器是一个抽象象的机器,它它强制执行TTOE的访问问控制策略。一一个参考的确确认机制是一一个拥有下列列特性的参考考监控器概念念的工具:可可防止乱摆、总总是可调用的的、简单得足足以忍受彻底底的分析和检检验。TSFF可能由一个个参考的确认认机制和/或或其它对TOOE操作有必必要的安全功功能组成。TOE可能是一一个包含硬件件、软硬件结结合体、软件件的单片集成成电
15、路。换句话说,一个个TOE可能能是一个由内内在的多重分分离的部分组组成的分布式式产品。这些些TOE部分分中的每一个个都为TOEE提供一个特特别的服务,并并且通过一个个内部信道与与其它TOEE部分相联。这这个信道可能能与处理器一一样小,或者者可能包含一一个TOE的的内部网络。当TOE由多重重部分组成时时,每一个TTOE部分可可能拥有它自自己的TSFF部分,该TTSF部分在在内部信道与与其它TSFF部分交换用用户和TSFF数据。这个个交互作用被被称为内部TTOE转移。在在这种情况下下,TSF的的分离部分抽抽象地形成复复合的TSFF,来加强TTSP。TOE界面可能能被局部化成成特别的TOOE,或者它
16、它们允许通过过外部信道与其其它IT产品品交互作用。这这些与其它IIT产品的外外部交互作用用可能有两种种形式:a) “远端可信ITT产品”和本地TOOEs的TSSP已经被调调整和评价。当当它们在明确确的可信产品品的TSFss间时,这种种情况下的信信息交换被称称为内部TSSF转移。b) 远端IT产品可可能不被评价价,象图1.2以“不可信ITT产品”显示的那样样,因此它的的安全策略不不可知。当远远端IT产品品没有TSFF(或它的策策略特性不可可知)时,这这种情况下的的信息交换被被称为TSFF控制外转移移。这一系列可能与与一个TOEE或在一个TTOE内产生生的并且受TTSP规则影影响的交互作作用被称为
17、TTSF控制范范围(TSCC),TSCC包括一系列列已定义的基基于对象、目目标和TOEE内的操作的的交互作用,但但它不必包括括TOE的所所有资源。一系列界面,不不管是交互式式的(人类机机器界面)还还是程式的(应应用程序界面面),通过它它们资源可以以以TSF或或从TSF中中获得的信息息做媒介而被被访问,这被被称为TSFF界面(TSSFI)。TTSF定义了了为TSP的的强制执行而而提供的TOOE功能界面面。用户是在TOEE外部的,所所以是在TSSC外部的。但但是,为了要要求服务由TTOE执行,用用户通过TSSFI和TOOE 发生作作用。有两种种对第二部分分安全功能需需求感兴趣的的用户:人类类用户和
18、外部IT实实体。人类用用户更进一步步分为本地人人类用户,指指他们通过TTOE设备(例例如工作站)直直接与TOEE发生作用,远端人类用户,指他们通过其它IT产品间接与TOE发生作用。用户和TSF交交互作用的一一个周期被称称为用户时间间。用户时间间的建立可能能以多种考虑虑为基础而被被控制,例如如:用户鉴别别、时间、访访问TOE的的方法和允许许每一个用户户并发时间的的数量。第二部分使用术术语“已经授权的的”来表示用户户有权力和/或必要的特特权执行一个个操作。术语语“已经授权的的用户”表示允许执执行如TSPP定义的操作作的用户。为表达要求管理理员责任分离离的需求,第第二部分相关关的安全功能能成分(来自
19、自族FMT_SMR)明明确规定管理理的角色是必必须的。一个个角色是一系系列预定义的的规则,这些些规则建立允允许在TOEE和用户间的的交互作用。例例如,与TOOE安全操作作相关的角色色可能包括“审计管理员员”和“用户帐号管管理员”。TOE包括可被被用于处理和和存储信息的的资源。TSSF的主要目目标是完全的的正确的在资资源和TOEE控制信息上上对TSP的的强制执行。TOE资源能以以许多不同的的方式被构成成和利用。但但是,第二部部分作出了明明确区分来要要求对期望的的安全特性进进行详述。所所有可以由资资源造成的实实体可以以两两种方式中的的一种被表现现其特性。实实体可能是主主动的,这是是指他们是TTOE
20、内部发发生的行为的的原因,并且且导致信息被被执行的操作作。相反地,实实体也可能是是被动的,这这是指他们不不是信息起源源的容器就是是信息存储的的容器。主动的实体被称称为对象。TTOE可能存存在几种对象象:a) 已授权用户的行行为和服从所所有TSP规规则的行为(例例如UNIXX进程)。b) 那些担当一个明明确功能进程程的行为,该该进程依次对对多重用户发发生作用(例例如可以在客客户/服务器器装置找到的的功能)。c) 担当TOE自己己一部分的行行为(例如可可信进程)。第二部分处理在在各种上述对对象上的TSSP的强制执执行。被动实体(也就就是信息存储储器)在第二二部分安全功功能需求里以以“目标”被提出。
21、目目标是可以由由对象执行的的操作的目标标。在一个对对象(一个主主动实体)是是一个操作的的目标(例如如内部通讯)这这种情况下,一一个对象也可可以作为目标标被作用。目标可以包含信信息。这个概概念被要求来来说明信息流流控制策略,就就象在FDPP类中处理的的那样。用户、对象、信信息和目标拥拥有确定的包包含允许TOOE正确运转转的信息的特特性,一些特特性,象文件件名,可以被被确定是非标标准的(也就就是来增加TTOE用户的的友好关系),而而其它特性,象象访问控制信信息,可能为为TSP的强强制执行而特特定存在。后后面的特性通通常被称为“安全特性”。“特性”在这部分用用来作为“安全特性”的缩写,除除非有另外的
22、的描述。但是是,无论信息息特性的目的的如何,它可可能对象TSSP规定的特特性的控制是是必要的。TOE中的数据据被分类,不不是用户数据据就是TSFF数据,图11.3描绘了了这个关系。用用户数据是存存储在TOEE资源中的信信息,该TOOE资源可以以被用户根据据TSP操作作,并且在这这个资源上TTSF不代表表特殊的意义义。例如,一一个电子邮件件信息的内容容是一个用户户数据。TSSF数据是在在作TSP决决定时被TSSF使用的信信息。TSFF数据如果允允许被TSPP影响就可以以被用户影响响。安全特性性、鉴定数据据可访问控制制表条目都是是TSF数据据。有几个应用诸如如访问控制SSFPs和信信息流控制SSF
23、Ps这些些数据保护的的SFPs。执执行访问控制制SFPs的的机制基于对对关于对象、目目标和控制范范围内的操作作的特性的策策略决定。这这些特性被用用在一系列管管理对象可以以对目标执行行的操作的规规则上。执行信息流控制制SFPs的的机制基于他他们关于控制制范围内对象象和信息特性性以及管理由由对象对信息息进行操作的的规则这些策策略决定上。当当信息转移时时,信息特性性与容器特性性相结合(当当在多级别数数据库这种条条件下,或许许可能不是这这样),与信信息并驾齐驱驱。 图1.33 用户数据据和TSF数数据的关系第二部分处理的的TSF数据据的两种明确确的形式可能能是但也不必必要是相同的的。这些称为为鉴定数据
24、和秘密。鉴定数据被用来来检验向TOOE请求服务务的用户的身身份。最通用用的鉴定数据据形式是口令令,为了成为为有效的安全全机制,依赖赖口令来保密密。但是不是是所有的鉴定定数据都必须须保密,生物物学鉴定设备备(例如指纹纹读取器、视视网膜扫描仪仪)不依赖数数据保密这一一论据,而是是这些数据是是只有一个用用户拥有而其其他人不能伪伪造的。CC功能需求中中用到的术语语“秘密”,当它对鉴鉴定数据适用用时,也对其其它为加强一一个明确的SSFP而必须须保密的数据据适用。例如如,依靠密码码技术保护在在信道中传输输的信息的机机密性这种可可信信道机制制可能只与使使用保持密钥钥的秘密防止止未经受权的的泄露这种方方法一样
25、不易易被攻克。因此,一些(但但不是所有的的)鉴定数据据必须保密,一一些(但不是是所有的)秘秘密被用来作作为鉴定数据据。图1.44说明了在秘秘密和鉴定数数据间的关系系。图中鉴定定数据和秘密密部分有代表表性地交会部部分的数据类类型被显示出出来。 图1.4 “鉴定数据”和”秘密”的关系2 安全功能成成分2.1 综述这节定义内容和和CC功能需需求的描述,并并提供关于被被ST包含的的新成分的组组织需求的指指导。功能需需求在类、族族和成分中被被描述。2.1.1 类类结构图2.1以图表表的形式阐明明了功能类的的结构。每个个功能类包括括一个类名、类类介绍、一个个或多个功能能族。 图22.1 功能能类结构2.1
26、.1.11 类名 类名部部分提供鉴别别和分类一个个功能类的必必要信息。每每个功能类有有一个唯一的的名字。分类类信息由三个个字符的短名名组成。;类类的短名被用用在对那个类类的族的短名名的详述上。2.1.1.22 类介绍类介绍描述了那那些族为满足足安全目标而而用的公用目目的和方法。功功能类的定义义不反映任何何方式的在需需求详述内的的分类法。类介绍提供一个个图来描述这这个类中的族族和每个族中中成分的层次次,就象2.2节说明的的那样。2.1.2 族族结构图2.2以图表表的形式描述述了功能族的的结构。 图2.2 功能族的结结构2.1.2.11 族名 族名部部分提供对鉴鉴别和分类一一个功能族必必要的分类和
27、和描述性信息息。每个功能能族有一个唯唯一的名字。分分类信息由七七个字符的短短名组成,开开头三个字符符与类名相同同,后面跟一一个下划线和和族名,例如如XXX_YYYY。族名名的唯一形式式为成分提供供主要的参考考名。2.1.2.22 族行为族行为是关于功功能族规定它它的安全目标标的叙述性描描述和关于功功能需求的一一般描述。更更详尽的描述述如下所示:a) 族的安全目标处处理在与这个个族的成分联联合的TOEE的帮助下可可以解决的安安全问题。b) 功能需求的描述述总结成分中中包含的所有有需求。该描描述是针对PPPs、STTs和功能包包的作者的,他他们希望估计计族是否与他他们的明确需需求相关。2.1.2.
28、33 成分级别别功能族包含一个个或多个成分分,任何一个个成分都可能能因PPs、SSTs和功能能包的包含物物而被选择。这这节的目的是是一旦族已被被鉴别作为用用户安全需求求的一个必要要且有效的部部分时,向用用户提供选择择恰当的功能能成分的信息息。功能族描述这节节描述可用成成分和它们的的基本原理。成成分的精确细细节包含在每每个成分里。功能族内成分间间的关系可能能是也可能不不是有层次的的。如果一个个成分提供多多个安全特性性那么对别的的成分来说它它是有层次的的。象2.2节说明明的那样,族族的描述提供供一个关于族族内成分的层层次的图形综综述。2.1.2.44 管理管理需求包含PPP/ST作作者研究给定定成
29、分的管理理行为的信息息。在管理类类的成分里(FFMT)管理理需求是详尽尽的。一个PP/STT作者可以选选择已说明的的管理需求或或者可以包括括其它没被列列出的管理需需求。同样地地信息将被认认为是非标准准的。2.1.2.55 审计审计需求包含可可被PP/SST作者选择择的可审计的的事件,如果果需求来自类类FAU,安安全审计将被被包括在PPP/SY内。这这些需求包括括根据FUNN_GEN安全全审计数据产产生族的成分分所支持的各各种详细的级级别的安全相相关事件。例例如,一个审审计注解可能能包括根据下下列内容的行行为:最小的的- 安全机机制的成功使使用;基础的的- 任何如如关于所包括括的安全特性性的相关
30、信息息那样的安全全机制的使用用;详尽的- 任何针对对机制的配置置的改变,包包括改变前后后的当前配置置数据。可审计事件的分分类是层次的的这一点将被被发现。例如如,当基本的的审计产物是是期望的,所所有作为最小小的和基本的的被鉴别的可可审计事件将将通过恰当的的分派操作被被包括在PPP/ST内,除除了高级别事事件仅仅提供供比低级别事事件更多的细细节。当详尽尽的审计产物物是期望的,所所有已鉴别的的可审计事件件(最小的、基基本的和详尽尽的)将被包包括在PP/ST内。在类FAU内管管理审计的规规则被更详尽尽地说明。2.1.3 成成分结构图2.3描绘了了功能成分的的结构。 图22.3 功能能成分的结构构2.1
31、.3.11 成分鉴别别成分鉴别这一部部分提供了对对鉴别有必要要的描述性信信息,分类、注注册和前后参参照一个成分分。下列各项项作为每个功功能成分的部部分被提供:一个唯一的名字字:名字反映映了成分的目目的。一个短名:一个个唯一的短型型功能成分名名。短名作为为分类和前后后参照一个成成分的主要的的参考名。短短名反映了成成分属于的类类和族以及族族中成分的数数量。一个有层次的列列表。相对于于这个成分是是层次的其它它成分的列表表,并且这个个成分能用来来满足与所列列成分间的信信赖关系。2.1.3.22 功能元素素为每个成分提供供系列元素。每每个元素都被被个别定义并并且是独立的的。如果更进一步地地划分不产生生有
32、意义的评评价结果,功功能元素是一一个安全功能能需求。它是是被鉴别的最最小的安全功功能需求并被被CC认可。当建立包时,PPPs和/或或STs不被被允许从一个个成分中选择择一个或更多多个元素。系系列完整的成成分元素必须须为PP、SST或包的包包含物而被选选择。一个唯一的短型型功能元素名名被提供。例例如,需求名名FDP_IIFF.4.2意义如下下所示:F-功能需求,DDP-类“用户数据保保护”, _IFFF-族“信息流控制制功能”, .4-第四四个成分,被被命名为“部分违法信信息流的排除除”,.2-成分的的第二个元素素。2.1.3.33 信赖关系系当一个成分不是是自有效的并并且为了它自自己恰当的功功
33、能而依赖于于其它成分的的功能或依赖赖于与其它成成分的交互作作用时,功能能成分间的信信赖关系就产产生了。每个功能成分向向其它功能和和保证成分提提供一个完全全的信赖关系系表。有些成成分可能列出出“无信赖关系系”。被依赖的的成分反过来来可能依赖其其它成分。成成分中提供的的列表将是直直接的信赖关关系。这是为为恰当地执行行其工作而被被需求的功能能需求的唯一一参考。间接接信赖关系是是由可以在第第二部分附录录A找到的被被依赖成分产产生的信赖关关系。注意在在某些情况下下信赖关系在在提供的大量量功能需求内内是可选择的的,功能需求求中的每一个个都能有效地地满足信赖关关系(例如FFDP_UIIT.1).信赖关系列表
34、鉴鉴别最小功能能或保证成分分,这些成分分对满足与一一个已鉴别的的成分结合的的安全需求是是必须的。相相对于已鉴别别的成分是有有层次的这种种成分也可能能被用来满足足信赖关系。第二部分描述的的信赖关系是是标准化的。在在PP/STT内它们必须须被满足。在在确定的情况况下描述的信信赖关系可能能是不可用的的。PP/SST作者通过过提供的为什什么它是不可可用的的基本本原理可能从从包、PP和和ST中省去去被依赖的成成分。2.1.4 允允许的功能成成分操作用于在PP、SST或功能包包内对需求的的定义中的功功能成分在这这部分第二章章被正确说明明,或者它们们可能被制作作来满足确定定的安全目标标。通过已鉴鉴别的功能成
35、成分信赖关系系必须被考虑虑这一事实,选选择和制作这这些功能成分分是复杂的。因因此这个制作作被被限定于于一系列被认认可可的操作作。允许的操作列表表被每个功能能成分所包括括。不是所有有的对所有功功能成分的操操作都被允许许。允许的操作可以以从下列各项项选择: - 交互作用:允许一个成成分使用不同同的操作不止止一次被使用用。 - 分派:允许许对一个已鉴鉴别的参数的的明确说明。 - 选择:允许许对一个或多多个来自列表表的元素的明明确说明。 - 改进:允许许增加细节问问题。2.1.4.11 交互作用用在保护同一需求求的不同方面面是必要的地地方(不止一一种类型用户户的鉴别),重重复使用第二二部分同一成成分来
36、保护每每个方面是允允许的。2.1.4.22 分派一些功能成分元元素包含参数数和变量,这这些参变量能能使PP/SST作者详细细说明一个策策略或一系列列与PP或SST结合来满满足一个确定定的安全目标标的数值。这这些元素清楚楚地鉴别每个个参数并且确确定可能分派派给参数的数数值。一个其合格的数数据能被明白白地描述或列列举的元素的的任何方面都都可能被一个个参数体现。该该参数可能是是一个数值或或规则,它们们能把一个需需求精确为一一个确定的数数值或数值范范围。例如,基基于一个确定定的目标,功功能成分元素素可以规定一一个给定的操操作将被执行行多次。在这这种情况下,分分派将提供用用于参数的数数量或数量范范围。2
37、.1.4.33 选择 这是为为精确一个成成分元素的范范围而从列表表中选取一个个或多个条目目的操作。2.1.4.44 改进对所有功能成分分元素来说,PPP/ST作作者被允许通通过为满足安安全目标而详详细说明的附附加细节来限限定系列可用用的执行。一一个元素的改改进由增加这这些技术细节节组成。在一个ST内,术术语“对象”和“目标”的含义必须须被说明其对对TOE是有有意义的,因因此对象改进进。象其它操作,改改进不征用完完全新的需求求。它将精心心设计的结果果、解释或特特别的含义应应用于基于安安全目标的需需求、规则、常常量和环境。改改进近是更进进一步限定系系列可能可用用的功能或机机制来执行需需求,但从不不
38、增加它。改改进不允许产产生新需求,因因此不增加与与成分相联的的信赖关系的的列表。PPP/ST作者者必须注意信信赖关系需要要依赖这个需需求的其它需需求被满足。2.2 成分目目录这节的这组成分分不反映任何何形式的分类类法。第二部分包括族族和成分的种种类,它们是是基于相关的的功能和目的的的粗略分组组,按字母顺顺序被提出。在在每个类的开开头是一个非非标准的图表表,描绘了每每个类的分类类法,描绘了了每个类中的的族和每个族族中的成分。这这个表是描述述可能存在于于成分间的层层次关系的有有效的描述器器。在功能成分的描描述中,一部部分鉴别一个个成分和任何何一个其它成成分的信赖关关系。在每个类中,类类似于图2.4
39、描绘族的的层次关系的的图被提供。在在图2.4中中,第一个族族,族1,包包括三个有层层次的成分,成成分2和成分分3都可以被被用来满足对对成分1的信信赖关系,成成分3对成分分2是层次的的,并且可以以被用来满足足对成分2的的信赖关系。 图22.4 示示范类分解图图在族2中有三个个成分,不是是所有的成分分都是有层次次的。成分11和成分2不不对其它成分分有层次。成成分3对成分分2是层次的的,并且可以以被用来满足足对成分2的的信赖关系,但但是不能满足足对成分1的的信赖关系。在族3中,成分分2、3、44对成分1是是层次的。成成分2和3都都对成分1是是层次的,但但是是不可比比的。成分44对成分2和和3都是层次
40、次的。这些图表意图补补足族的原文文并使关系鉴鉴别更简单。在在每个成分中中它们并不取取代“对是层次次的”的注解,这这是对每个成成分层次关系系的强制说明明。2.2.1 突突出成分改变变在一个族中成分分的关系用粗粗体字这一贯贯例来突出显显示。粗体字字惯例要求所所有新要求的的粗体显示。对对有层次的成成分,需求和和/或信赖关关系在它们被被加强和更改改超越了先前前成分的需求求时被突出显显示。另外,任任何新的或加加强的威胁,应应用注解和/或允许的操操作超越先前前的成分也使使用粗体形式式被突出显示示。3 FAU类:安全审计安全审计包括识识别、记录、存存储,以及与与安全相关行行为(如由TTSP控制的的行为)有关
41、关的分析信息息。审计记录录的结果被用用于检测,由由此来判决发发生了哪些安安全相关行为为以及这些行行为是由哪个个用户负责的的。 1111安全审计FAU_ARP 安全审计自动响应FAU_GEN 安全审计数据发生1111FAU_SAA 安全审计分析111FAU_SAR 安全审计浏览FAU_SEL 安全审计事件选择1111FAU_STG 安全审计事件存贮 图3.1 安全审审计类3.1安全审计计自动响应(FFAU_ARRP)族行为该族定义在被测测事件指示出出一个潜在的的安全攻击时时作出的响应应。结构层次FAU_ARP 安全审计自动响应1FAU_ARPP.1安全警警告,当一个个潜在的安全全攻击被检测测出时
42、TSFF将采取行动动。管理:FAU_ARP.11下述行为可以看看作FMT中中的管理功能能:a) 行为的增增添移动修改。审计:FAU_ARP.11如果在PP/SST中包含了了FAU_GGEN安全审审计数据发生生,那么下述述行为可以被被审计:a) 最小方式式:当安全攻攻击即将到来来时所采取的的行动。FAU_ARPP.1安全警警告上一层:无FAU_ARPP.1.1 当检测出出一个潜在安安全攻击时,TTSF将采取取下列措施:任务:列列出破坏性最最小的操作的的清单。依赖于:FAUU_SAA.1潜在攻击击分析3.1 安全审审计数据发生生(FAU_GEN)族行为该族要求记录在在TSF控制制下发生的安安全相关
43、事件件的出现,包包括鉴别审计计层次、列举举可被TSFF审计的事件件类型、以及及鉴别由各种种审计记录类类型提供的相相关审计信息息的最小集合合。结构层次11FAU_GEN 安全审计数据发生 FAU_GENN.1 审审计数据发生生,定义可审审计的事件的的等级,并列列出将被记录录在每个记录录中的数据清清单。FAU_GENN.2 用用户身份联系系,TSF将将把可审计事事件与各个用用户身份相联联系。管理:FAU_GEN.11,FAU_GEN.22此处无法预见管管理行为。审计:FAU_GEN.11,FAU_GEN.22如果在PP/SST中包含了了FAU_GGEN安全审审计数据发生生,此处就没没有可审计的的行
44、为需要鉴鉴别。FAU_GENN.1审计数数据发生上一层:无FAU_GENN.1.1 TSF将将产生下述可可审计事件的的审计记录:a) 审计功能能的启动和关关闭;b) 审计的各各种方式(选择:最小小,基本,详详述,略述)所包含的的所有可审计计事件;c) 由任务务:其他详细细定义的可审审计事件所所确定的所有有可审计事件件。FAU_GENN.1.2 TSF将将在每个审计计记录中至少少记录如下信信息:a) 事件的日日期、时间,事事件类型,主主体身份,事事件的结果(成成功或失败);b) 对每个基基于PP/SST 的功能能单元的可审审计事件的定定义的审计事事件类型,记记录以下信息息:任务:其他审计相相关信
45、息。依赖于:FPTT_STM.1可靠的时时间标记FAU_GENN.2 用用户身份联系系上一层:无FAU_GENN.2.1 TSF将将把每个可审审计事件与引引起该事件的的用户的身份份相联系。依赖于:FAUU_GEN.1审计数据据发生FIA_UIDD.1鉴别定定时 3.3 安全全审计分析(FFAU_SAAA)族行为该族要求自动地地分析系统行行为和审计数数据以寻找可可能的或真实实的安全攻击击。此分析可可用于入侵检检测,或对一一个即将来临临的安全攻击击作出自动响响应。基于检测所采取取的行动在需需要时可用FFAU_ARRP族详细列列出。结构层次FAU_SAA 安全审计分析1111FAU_SAAA.1潜在攻攻击分析,需需要基于一个个确定的规则则集的基本门门限检测。FAU_SAAA.2基于模模板的异常检检测,TSFF维护各个系系统使用模板板。这里,一一个“模板”代表“模板目标组组”成员的历史史使用情况,而而一个“模板目标组组”是指与TSSF相互作用用的一个或很很多个人(如如单个用户,分分享一个身份份或帐号的多多个用户,在在一个已分配配任务下操作作的多个用户户,一个完整整系统或网络络节点的多个个用户)。“模板目标组组”的每个成员员都被分配给给一个单独的的置疑等级,表表明成员现行行的活动与模模板中已建立立的使用模式式的一致程度度如何。