信息安全功能要求、依赖关系表、安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐私、TSF保护、资源利用、TOE访问、可.docx
《信息安全功能要求、依赖关系表、安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐私、TSF保护、资源利用、TOE访问、可.docx》由会员分享,可在线阅读,更多相关《信息安全功能要求、依赖关系表、安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐私、TSF保护、资源利用、TOE访问、可.docx(113页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、附录A(资料性附录)安全功能要求应用注释A. 1 概述本附录包含关于本部分中所定义族和组件的附加指南,用户、开发者和评估者在使用组件时可能 需要这些指南。为了便于查找,本附录中类、族和组件的表示与文件中的表示相似。A. 2 注释的结构A.2. 1概述本文档中与功能要求相关的注释的内容和形式定义如下。A. 2.2类结构A. 2. 2. 1 概述图A. 1说明本附录中功能类的结构。图A.1功能类结构注:一些功能类包含多个功能族A. 2. 2. 2 类名这是本部分中所定义类的唯一名称。A. 2, 2, 3 类介绍类介绍提供了使用该类中族和组件的有关信息。这些信息连同相关的示意图描述了每个类的组织 架
2、构和每个类中的族,以及每个族中组件间的层次关系。A.2.3族结构A. 2. 3. 1 概述图A. 2用图解形式说明应用注释部分功能族的结构。FIA_UAU.2HXFIA.UAU.3FIA_UAU.4FIA-UAU.5FIA-UAU.6FIA_UAU.7X-FIA.UID.lFIA.UID.2HFIA_USB.lX表B. 6 FMT安全管理类依赖关系表FDP-ACC.lFDP.ACF.lFDPJFC.lFDPJFF.lFIA_UID.lFMT.LIM.lFMT.LIM.2FMT.MSA.1FMT.MSA.3FMT_MTD,1FMT_SMF.lFMT.SMR.1FPT.STM.lFMT.LIM.l
3、-XFMT.LIM.2X-FMT_MOF.1-XXFMT.MSA.1Oi-Qi-XXFMT.MSA.20i-Qi-X-XFMT_MSA.3-X-XFMT.MSA.401-01-FMT_MTD.l-XXFMT.MTD.2-X-XFMT.MTD.3-X-FMT.REV.l-XFMT.SAE.l-XXFMT.SMF.l10J. 10. 4. 1组件基本原理与应用注释自动恢复被认为比手工恢复更为有用,但它要冒有可能损失相当数量客体的风险。防止 客体的过度损失对恢复工作提出了额外的要求。通过要求在TSF控制下不能出现TSF数据或客体的过度损失,组件FPT_RCV.3 无过度 损失的自动恢复”扩展了 FP
4、T_RCV. 2 “自动恢复”的作用范围。在FPT_RCV.2 “自动恢复” 中,自动恢复机制可通过删除所有客体并将TSF返回到一个已知的安全状态来进行恢复。这 种极端的自动恢复形式被排除在FPT_RCV.3 无过度损失的自动恢复”之外。本组件负责处理由无人干涉的T0E从一个失效或其它中断恢复后又返回到一个不安全 状态,并伴随着TSF内TSF数据或客体大量损失时所带来的削弱保护能力的威胁。J. 10. 4. 2操作在FPT_RCV.3.1中,PP、PP-模块、功能包或ST作者应规定失效或服务中断列表。在该 失效或服务中断发生后,TSF将进入一种维护模式。例:如电力故障、审计存储耗尽。在FPT_
5、RCV. 3. 2中,PP、PP-模块、功能包或ST作者应规定必须可以自动恢复的失效 或其它中断列表。在FPT_RCV. 3. 3中,PP、PP-模块、功能包或ST作者规定一个可接受的TSF数据或客体 的损失数量。J. 10.5 FPT_RCV, 4 功能恢复K. 10. 5. 1组件基本原理与应用注释功能恢复要求如果TSF发生了某个失效,则TSF中的某些SF要么能成功地完成,要么 恢复到一个安全的状态。L. 10. 5. 2操作在FPT_RCV.4.1中,PP、PP-模块、功能包或ST作者应规定功能和失效情景的列表。任 何一种已被标识的失效情景发生时,已规定的功能必须要么成功地完成,要么恢复
6、到一个安 全状态。M. 11 重放检测(FPT_RPL)N. 11. 1用户应用注释本族负责处理对不同类型实体的重放检测以及随后的纠正行为。O. 11.2 FPT_RPL. 1 重放检测J.11.2.1组件基本原理与应用注释此处包括的实体的例子行:例:消息、服务请求、服务响应或会话。100J. 11.2.2 操作在FPT_RPLL1中,PP、PP-模块、功能包或ST作者应提供能进行重放检测的既定实体 列表。例:消息、服务请求、服务响应和用户会话。在FPT_RPL. 1. 2中,PP、PP-模块、功能包或ST作者应规定当检测到重放时TSF应采 取的动作列表。可采取的可能的动作包括:忽略被重放的实
7、体、请求确认来自确定来源的实 体、终止重放实体的原发主体。J. 12状态同步协议(FPT_SSP)J. 12. 1用户应用注释分布式TOE由于系统不同部分之间潜在的状态差别和通信延迟,可能会比单一 TOE更 复杂。在大多数情况下,分布式功能间的状态同步涉及一个交换协议,而不是一个简单的动 作。当在这些协议的分布式环境中存在蓄意的危害时,就需要更为复杂的防御协议。FPT.SSP “状态同步协议”规定了关于TSF某些关键安全功能如何使用可信协议的要求。 FPT_SSP 状态同步协议”确保TOE的两个分布式部分(如主机)在完成一个安全有关的活 动之后,已将他们的状态同步。有些状态可能永远不能被同步,
8、或实际使用所需代价太高而无法实际使用。例1 :以加密密钥撤消为例,撤消活动被初始化后的状态可能永远是不可知的:或者是采取了活动但回执不 能发出,或者是敌意的通信方忽略了这一信息且永远不执行撤消。不确定性是分布式TOE所特有的,不确定性和状态同步是相关的,可使用相同的解决方 案。不确定的状态不能通过设计来解决,PP、PP-模块、功能包或ST作者应针对此情况指出 其他要求。例2:发出警报、审计事件。J. 12.2 FPT_SSP, 1简单的可信回执J. 12. 2. 1组件基本原理与应用注释本组件要求TSF在收到请求时必需为TSF的其他部分提供回执。这一回执应表明分布 式TOE的一个部分成功地接收
9、到了来自分布式TOE其他不同部分的未被篡改的数据传输。J. 12. 2. 2操作没有为此组件指定操作。J. 12.3 FPT_SSP, 2相互的可信回执J.12. 3. 1组件基本原理与应用注释本组件要求TSF除了能对一个数据传送的接收提供回执外,还必须应答其他TSF部分101对该回执给出一个回执的请求。例:例如,本地TSF发送一些数据至IJTSF远程部分。TSF远程部分给出成功地收到了该数据的回执,并请求 TSF发送方确认它已收到这一回执。这一机制为进行数据传送的TSF双方提供了额外的信心,使双方确信数 据传输已成功完成。J. 12. 3.2操作没有为此组件指定操作。J. 13 时间戳(FP
10、T_STM)J. 13. 1用户应用注释本族对一个TOE内可靠的时间戳功能提出要求。PP、PP-模块、功能包或ST作者有责任明确解释“可靠的时间戳”的含义,并指出如何 才能确定其可信。J. 13. 2 FPT_STM. 1可靠的时间戳J.13. 2. 1组件基本原理与应用注释可能用到这一组件的情况包括为审计目的和安全属性到期提供可靠的时间戳。J. 13. 2. 2操作没有为此组件指定操作。J. 14 TSF间TSF数据的一致性(FPT_TDC)J. 14. 1用户应用注释在分布式或复合系统环境下,TOE或许需要与其他可信IT产品交换TSF数据。例:与数据有关的SFP属性、审计信息、标识信息等等
11、。本族定义了一些关于在TOE的TSF和不同可信IT产品的TSF间属性共享、属性一致性 解释方面的要求。本族中的组件打算提出当在TOE的TSF和另一个可信IT产品的TSF之间传送TSF数据 时,自动支持TSF数据一致性的要求。也有可采用完全程序化的方法来实现安全属性的一致 性,但这里不提供。本族不同于FDP.ETC和FDP_ITC,因为那两个族只涉及解决TSF和它的输入/输出媒体 之间的安全属性。如果关心TSF数据的完整性,应从FPTJTI “输出TSF数据的完整性”族中选择要求。 这些组件规定了 TSF能检测或检测并纠正传送中的TSF数据改动的要求。J. 14.2 FPT_TDC, 1 TSF
12、间基本的TSF数据的一致性J. 14. 2. 1组件基本原理与应用注释TSF负责维护指定功能所使用或相关联的TSF数据的一致性,通常存在于两个或多个可102信系统之间。例:两个不同系统的TSF数据可能有不同的内部约定,为了使可信IT产品的接收方能正确使用TSF数据(例 如对用户数据提供就像在TOE内部一样的保护),TOE和其他可信IT产品必须使用一个预先建立的协议来交 换TSF数据。J. 14. 2.2操作在FPTJDC.L1中,PP、PP-模块、功能包或ST作者应定义一个TSF数据类型列表,从 而当TSF数据在TSF和其他可信IT产品间共享时,TSF将提供一致性解释它们的能力。在FPT_TD
13、C.1. 2中,PP、PP-模块、功能包或ST应规定TSF使用的解释规则列表。J. 15外部实体的测试(FPTJEE)J. 15. 1用户应用注释本族定义了 TSF测试一个或多个外部实体的需求。这些外部实体不是指人类用户,它们 可以包括与TOE交互的软件和/或硬件的组合。例:可能运行的测试类型包括:a)防火墙的存在性测试,可能包括其配置正确性测试;b)支撑应用类TOE运行的操作系统属性测试;c)支撑智能卡OS类TOE运行的IC属性测试(例如随机数生成器)。注:外部实体可能“谎报”测试结果,其原因要么是故意的,要么是运行不正确造成的。这些测试可以在某些维护状态、启动、运行或连续状态下进行。作为测
14、试结果的TOE采 取的行动也在本族中定义。J.15.2评估者应用注释外部实体的测试应足以测试TSF所依赖的外部实体的所有特征。对于外部实体的FPT_TEE.1测试,可以接受定期测试功能仅在离线或维护模式下可用。 在维护期间,应该对授权用户的访问进行控制。J. 15. 3 FPT_TEE. 1外部实体的测试J.15. 3. 1组件基本原理与应用注释本组件不适用于人类用户。通过要求能够定期调用测试函数,该组件支持定期测试与TSF操作所依赖的外部实体 相关的属性。PP、PP-模块、功能包或ST的作者可以细化需求,说明功能应在离线、在线或维护模式 下可用。J. 15. 3. 2操作在FPT_TEE.
15、L 1中,PP、PP-模块、功能包或ST的作者应指定TSF何时运行外部实体的103 测试,在初始启动期间,在正常运行期间,应授权用户的请求下,或在其他条件下。如果测 试执行频繁,则相比于测试频率较低的情况,最终用户将有更多的信心相信TOE工作正常。 不过,应对提升TOE正常工作的信心和降低对TOE可用性的潜在影响这两方面进行折中考虑, 因为经常性的测试可能延缓TOE的正常运转。在FPT/EE. 1. 1中,PP、PP-模块、功能包或ST的作者指定了测试要检查的外部实体的 属性。例1:这些属性的例子包括配置或支持TSF的访问控制部分的目录服务器的可用性。在FPT_TEE.L 1中,如果选择了其他
16、条件,PP、PP-模块、功能包或ST的作者应该指 定运行外部实体测试的频率。例2:这种其他频率或条件的一个例子是,每当用户请求启动与TOE的会话时,都要运行测试。例如,可以 在用户身份鉴别过程中,在与TSF交互之前测试目录服务器。在FPT_TEE. 1. 2中,PP、PP-模块、功能包或ST的作者应该指定当测试失败时TSF应执 行的动作。例3:这些操作的例子由目录服务器实例说明,可能包括连接到备用可用服务器或以其他方式查找备份服务 器。J. 16 TOE内TSF数据复制的一致性(FPT_TRC)J. 16. 1用户应用注释在TOE内部复制TSF数据时,需要满足本族的要求以确保TSF数据的一致性
17、。如果TOE 不同组成部分间的内部信道不能正常工作,这些复制的TSF数据就可能不一致。如果TOE内 部被构造成象TOE组成部分的一个网络一样,则TOE组成部分失效时,网络连接中断时,等 等,都会发生这种不一致的情况。确保一致性的方法未在这一组件中规定。此方法可通过某种事务处理日志得到(适当的 事务处理被“回退”到某一点重新连接);通过同步协议可更新被复制的数据。如果PP、PP- 模块、功能包或ST需要特定的协议,可以通过细化来指定。某些状态的同步几乎不可能,或同步的开销太大。例:通信信道和加密密钥的撤销。不确定状态也可能发生;如果期望某个特定的行为,应通过细化来规定。J. 16. 2 FPT_
18、TRC. 1 内部TSF的一致性J.16. 2. 1组件基本原理与应用注释未提供组件原理或应用说明。J. 16. 2. 2操作104在FPT_TRC.L 2中,PP、PP-模块、功能包或ST作者应规定依赖于TSF数据复制一致性 的功能列表。J. 17 TSF 自检(FPT_TST)K. 17. 1用户应用注释本族定义了一些关于TSF自检的要求,这些检测与某些期待的正确操作有关。例:如执行功能的接口和TOE关键部分的抽样算术运算。这些检测可在启动时进行,或周期性地进行,或应授权用户的请求进行,或满足其他条 件时进行。TOE根据自检结果所采取的动作在其它族中定义。本族的要求也用于检测由多种失效造成
19、的TSF可执行代码(如TSF软件)和TSF数据损 坏,这种检测并不需要TOE停止工作(这将由别的族处理)。因为这些失效不可避免,故必 须执行这些检查。这些失效可能是由不可预见的失效方式或硬件、固件、软件设计的某些忽 略所造成,也可能由于逻辑的或物理的保护不充分导致TSF恶意损坏所造成。另外,在合适的条件下,作为维护活动的结果,使用这一组件可帮助防止不合适的或有 害的TSF更改被应用到一个运行中的TOE o“TSF正确操作”主要是指TSF软件操作和TSF数据的完整性。J.17.2评估者应用注释对于FPT.TST. 1 TSF测试,授权用户可用于周期性检测的功能仅在离线或维护模式下 有用是可接受的
20、。在这些模式下,应采用控制措施限制授权用户的访问。L. 17. 3 FPT_TST. 1 TSF检测M. 17. 3. 1组件基本原理与应用注释这一组件通过要求能够调用检测功能和检查TSF数据和可执行代码的完整性,对TSF操 作的关键功能的检测提供支持。J. 17. 3. 2操作在FPTJST. 1. 1中,PP、PP-模块、功能包或ST作者应规定何时TSF将执行TSF检测: 在初始化启动期间,在正常工作期间周期性地,授权用户要求时或在其他条件下。如果选择 了最后一项,PP、PP-模块、功能包或ST作者还应通过以下的赋值具体规定这些条件。在FPT_TST. L1中,PP、PP-模块、功能包或S
21、T作者应规定,执行自检是否是为了证明 整个TSF能正确操作,还是为了证明TSF的某些指定组成部分能正确操作。在FPT_TST.L 1中,如果选择了 “满足产生自检的条件时”,PP、PP-模块、功能包或 ST作者应规定应进行自检的条件。在FPTST. 1. 1中,如果选择了 “TSF的某些组成部分,PP、PP-模块、功能包或ST 作者应规定应该被TSF自检的TSF组成部分列表。在FPT_TST. L 2中,PP、PP-模块、功能包或ST作者应规定是验证所有TSF数据的完整 性,还是仅验证所选TSF数据的完整性。在FPT_TST.L 2中,如果选择了 “TSF的完整数据,PP、PP-模块、功能包或
22、ST作者 应规定将要被验证完整性的TSF数据列表。在FPT_TST.1.3中,PP、PP-模块、功能包或ST作者应规定是验证所有TSF的完整性,105还是仅验证所选TSF的完整性。在FPT_TST.1. 3中,如果选择了 “TSF的完整性,PP、PP-模块、功能包或ST作者应 规定将要被验证完整性的TSF列表。注:当FCS_RBG.1被选中,在FCS_RBG. 1中选择的标准可能需要一套由TSF运行的自检。PP、PP-模块、功能 包或ST作者将审查每个选择的标准,以满足全部标准或仅参考了的某些部分(见GB/T 18336. 1-202X的 B.4 和 D. 5) o106附录K(规范性附录)F
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 功能 要求 依赖 关系 审计 通信 密码 支持 用户 数据 保护 标识 鉴别 安全管理 隐私 TSF 资源 利用 TOE 访问
链接地址:https://www.deliwenku.com/p-71730543.html
限制150内