1、ICS 35040L 80中华人民 -I-P_,、囝园和国国家标准GBT 1 83362-2008ISOIEC 1 54082:2005代替GBT 1833622001信息技术 安全技术信息技术安全性评估准则第2部分:安全功能要求Information technology-Security techniques-Evaluation criteria for IT securityPart 2:Security functional requirements(ISOIEC 154082:2005,IDT)2008_0626发布 2008110 1实施发布局厶萏勰员摊委检理峪管黼鲴标柳家刚国队
2、国帕中GBT 1 83362-2008ISOIEC 1 5408-2:2005目 次前言引言1范围12规范性引用文件13术语、定义和缩略语14 概述一140引言141本部分的结构15功能要求范型26安全功能组件561概述一562组件分类87 FAU类:安全审计871安全审计自动响应(FAUARP)972安全审计数据产生(FAUGEN)1073安全审计分析(FAUSAA)1074安全审计查阅(FAUSAR)1275 安全审计事件选择(FAUSEI。)一1476安全审计事件存储(FAUSTG)148 FCO类:通信1681 原发抗抵赖(FCONRO)1682接收抗抵赖(FCONRR)179 FCS
3、类:密码支持1891密钥管理(FCSCKM)1992密码运算(FCSCOP)2010 FDP类:用户数据保护21101访问控制策略(FDPACC)23102访问控制功能(FDPACF)23103数据鉴别(FDPDAU)24104输出到TSF控制之外(FDPETC)25105信息流控制策略(FDPIFC)26106信息流控制功能(FDPIFF)27107从TSF控制之外输入(FDPITC)30108 TOE内部传送(FDPITT)31109残余信息保护(FDP_RIP)331010 回退(FDPROL)331011存储数据的完整性(FDPSDI) 341012 TSF间用户数据保密性传送保护(F
4、DP_UCT)35TGBT 1 833622008ISOIEC 1 54082:20051013 TSF间用户数据完整性传送保护(FDPUIT)3611 FIA类:标识和鉴别37111 鉴别失败(FIAAFI。)38112用户属性定义(FIAATD)39113秘密的规范(FIASOS)39114用户鉴别(FIAUAU)40115用户标识(FIAUID)43116用户一主体绑定(FIAUSB)4412 FMT类:安全管理44121 TSF中功能的管理(FMTMOF)45122安全属性的管理(FMTMSA)46123 TSF数据的管理(FMTMTD)47124撤消(FMTREV)48125安全属性
5、到期(FMTSAE)49126管理功能规范(FMTSMF)50127安全管理角色(FMTSMR)5013 FPR类:私密性51131匿名(FPRAN0)52132假名(FPRPSE)53133不可关联性(FPRUNL)54134不可观察性(FPRUNO)5414 FPT类:TSF保护-56141 底层抽象机测试(FPTAMT)57142失效保护(FPTFLS)58143输出TSF数据的可用性(FPT-ITA)58144输出TSF数据的保密性(FPTITC)59145输出TSF数据的完整性(FPTITI)59146 TOE内TSF数据的传送(FPTITT)60147 TSF物理保护(FPT-PH
6、P)62148 可信恢复(FPTRCV) 63149重放检测(FPTRPL)651410 引用仲裁(FPTRVM)651411域分离(FPTSEP)661412状态同步协议(FPT_SSP)671413时间戳(FPTSTM)681414 TSF间TSF数据的一致性(FPT-TDC) 681415 TOE内TSF数据复制的一致性(FPTTRC)691416 TSF自检(FPTTST)6915 FRU类:资源利用70151 容错(FRUFIT) 71152服务优先级(FRUPRS)71153 资源分配(FRURSA) 7216 FTA类:TOE访问73TTGBT 1 83362-2008ISOIE
7、C 1 5408-2:2005161可选属性范围限定(FTALSA)73162多重并发会话限定(FTAMCS)74163会话锁定(FTASSL)74164 TOE访问旗标(FTATAB)76165 TOE访问历史(FTATAH)76166 TOE会话建立(FTATSE)7717 FTP类:可信路径信道一77171 TSF间可信信道(FTP-ITC)78172可信路径(FTPTRP)79附录A(规范性附录) 安全功能要求应用注释80A1注释的结构80A2依赖关系表81附录B(规范性附录)功能类、族和组件87附录C(规范性附录) FAU类:安全审计88C1在分布式环境中的审计要求88C2安全审计自
8、动响应(FAUARP)89C3 安全审计数据产生(FAUGEN)90C4安全审计分析(FAUSAA)91C5安全审计查阅(FAUSAR)94C6安全审计事件选择(FAUSEL)95C7安全审计事件存储(FAUSTG)95附录D(规范性附录)FCO类:通信97D1原发抗抵赖(FCONRO)97D2接收抗抵赖(FCO NRR)98附录E(规范性附录)FCS类:密码支持101E1密钥管理(FCS_CKM)101E2密码运算(FCSCOP)103附录F(规范性附录)FDP类:用户数据保护104F1访问控制策略(FDPACC)107F2访问控制功能(FDP_ACF)108F3数据鉴别(FDPDAU)10
9、9F。4输出到TSF控制之外(FDPETC)109F5信息流控制策略(FDPIFC)110F6信息流控制功能(FDPIFF)112F7从TSF控制之外输入(FDP-ITC)114F8 TOE内部传送(FDP_ITT)116F9残余信息保护(FDPRIP)117F10 回退(FDPROL)118F11存储数据的完整性(FDPSDI)119F12 TSF间用户数据保密性传送保护(FDPUCT)120F13 TSF间用户数据完整性传送保护(FDPUIT)120附录G(规范性附录)FIA类:标识和鉴别122G1鉴别失败(FIAAFL) 123丌GBT 183362-2008ISOIEC 154082:
10、2005G2 用户属性定义(FIAATD) 123G3秘密的规范(FIASOS)124G4用户鉴别(FIAUAU)-一125G5用户标识(FIAUID)127G6用户一主体绑定(FIAUSB)一127附录H(规范性附录)FMT类:安全管理一128H1 TSF中功能的管理(FMTMOF) 128H2安全属性的管理(FMTMSA)129H3 TSF数据的管理(FMTMTD)131H4撤消(FMTREV)132H5安全属性到期(FMTSAE)132H6管理功能规范(FMT_SMF)132H7安全管理角色(FMTSMR)133附录I(规范性附录) FPR类:私密性】35I1 匿名(FPRAN0) 13
11、6I2假名(FPRPSE)137I3不可关联性(FPRUNL) 139I4不可观察性(FPRUNO)140附录J(规范性附录)FPT类:TSF保护143J1底层抽象机测试(FPTAMT)144J2失效保护(FPTFLS)145J3 输出TSF数据的可用性(FPTITA)146J4输出TSF数据的保密性(FPTITC)146J5输出TSF数据的完整性(FPT_ITI)146J6 TOE内TSF数据的传送(FPTITT)147J7 TSF物理保护(FPT-PHP) 148J8可信恢复(FPTRCV)149J9重放检测(FPTRPL)151J10引用仲裁(FPT_RVM)152J11域分离(FPTS
12、EP)152J12状态同步协议(FPT SSP)154J13时间戳(FPTSTM)154J14 TSF问TSF数据的一致性(FPT_TDC)154J15 TOE内TSF数据复制的一致性(FPTTRC)一155J16 TSF自检(FPTTST)155附录K(规范性附录)FRU类:资源利用157K1容错(FRUFLT)157K2服务优先级(FRU_PRS)158K3资源分配(FPRRSA)159附录L(规范性附录) FTA类:TOE访问161L1 可选属性范围限定(FTALSA)161L2多重并发会话限定(FTAMCS)162L3会话锁定(FTASSL)162GBT 1 83362-2008ISO
13、IEC 1 54082:2005L4 TOE访问旗标(FTATAB)】64L5 TOE访问历史(FTATAH)】64L6 TOE会话建立(FTATSE):】64附录M(规范性附录)FTP类:可信路径信道166M1 TSF间可信信道(FTPITC)】66M2可信路径(FTP_TRP)67VGBT 1 833622008ISOIEC 1 5408-2:2005厶_-I-刖 舌GBT 18336在总标题信息技术 安全技术 信息技术安全性评估准则下,由以下几个部分组成:第1部分:简介和一般模型第2部分:安全功能要求第3部分:安全保证要求本部分是GBT 18336的第2部分。本部分等同采用国际标准ISO
14、IEC 154082:2005信息技术安全技术 信息技术安全性评估准则第2部分:安全功能要求,仅有编辑性修改。本部分代替GBT 1833622001信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求。本部分与GBT 1833622001的主要差异如下:1) 删除了GBT 1833622001的“ISO1EC前言”;2)增加了“引言”;3) 将GBT 1833622001的“范围”11和12调整为本部分第4章,13调整为第5章;4)增加了FMTSMF族;5) 对6BT 1833622001附录A中表A1进行了调整。本部分的附录均为规范性附录。本部分由全国信息安全标准化技术委员会提
15、出和归口。本部分的主要起草单位:中国信息安全测评中心。本部分主要起草人:吴世忠、李守鹏、黄元飞、陈晓桦、王贵驷、李斌、付敏、刘晖、刘春明、郭颖、刘楠、甘杰夫、宋小龙、徐长醒、简余良、郭涛、王书毅。caT 1 833622008ISOIEC 1 5408-2:2005引 言本部分定义的安全功能组件是在一个保护轮廓(PP)或安全目标(ST)中表述安全功能要求的基础。这些要求描述一个评估对象(TOE)期待的安全行为或TOE的IT环境,并旨在满足在PP或ST中所提出的安全目的。这些要求描述那些用户能直接通过IT交互(即输入、输出)或IT刺激响应过程探测到的安全特性。安全功能组件表述安全要求,这些要求试
16、图对抗在TOE假定的运行环境中的威胁或涵盖所有的既定组织安全策略和假设。本部分的目标读者主要有安全的IT系统和产品的客户、开发者、评估者。GBT 183361第4章提供了关于GBT 18336目标读者和目标读者组如何使用GBT 18336的附加信息。这些组可以如下方式使用GBT 18336本部分:a) 客户,在选取组件来表述功能要求满足一个PP或ST提出的安全目的时,使用本部分。GBT 183361的54提供了关于安全目的和安全要求之间关系的更多详细信息;b)开发者,在构造TOE时响应实际的或预测的客户安全要求,可以在本部分中找到一种标准方法去理解这些要求。也可以以本部分的内容为基础,去进一步
17、定义满足这些要求的TOE安全功能和机制;c) 评估者,使用本部分所定义的功能要求检验在PP或ST中表述的TOE功能要求是否满足IT安全目的,以及所有的依赖关系是否都已解释清楚并得到满足。评估者也宜使用本部分去帮助确定一个指定的TOE是否满足规定的要求。1 范围GBT 1 83362-2008ISOIEC 1 54082:2005信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求GBT 18336的这一部分定义了安全功能组件的规定结构和内容,适用于安全性评估。本部分包含满足多个IT产品和系统通用安全功能要求的系列功能组件。2规范性引用文件下列文件中的条款通过GBT 18336的本部分的
18、引用而成为本部分的条款。凡是注Et期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GBT 1833612008信息技术安全技术信息技术安全性评估准则 第1部分:简介和一般模型(ISOIEC 154081:2005,IDT)3术语、定义和缩略语GBT 183361中给出的术语、定义和缩略语适用于本部分。4概述40 引言GBT 18336和本部分在此描述的相关安全功能要求,并不打算成为所有IT安全问题的最终答案。相反地,GBT 18336只是提供一组广为
19、认同的安全功能要求,用于创建反映市场需求的可信产品或系统。这些安全功能要求的给出,体现了当前要求规范和评估的技术发展水平。本部分并不想包括所有可能的安全功能要求,而是尽量包含那些在本部分发布时作者已知的并认为有价值的那些要求。由于认知和客户需求会变化,因此本部分中的功能要求需要维护。可预见的是,某些PPST作者可能还有一些安全要求未包含在本部分提出的功能要求组件中。此时,PPST的作者可考虑使用不是从GBT 18336中选取的功能要求(称之为可扩展性),参见GBT 183361附录A和附录B。41本部分的结构第5章是本部分安全功能要求使用的范型。第6章介绍本部分功能组件的分类,第7章到第17章
20、描述这些功能类。附录A为功能组件的潜在用户提供了解释性信息,其中包括功能组件问依赖关系的一个完整的交叉引用表。附录B至附录M提供了功能类的解释性信息。在如何运用相关操作和选择恰当的审计或文档信息时,这些材料必须被看作是规范性指令。使用助动词“宜”表示该指令是首要推荐的,但是其他的只是可选的。这里只给出了不同的选项,具体的选择留给了PPST作者。对于有关结构、规则和指南,编写PP或ST的人员宜参考GBT 183361第2章和相关附录:a) 6BT 183361第2章定义了GBT 18336中使用的术语。b) 6BT 183361附录A定义了PP的结构。c)GBT 183361附录B定义了ST的结
21、构。GBT 1 83362-2008ISOIEC 1 54082:2005d) GBT 183361“参考文献”包含了相关参考性文档目录。5功能要求范型本章描述在本部分中安全功能要求使用的范型。图1和图2分别示意了该范型的一些关键概念j本章为这些图和图中没有示意的其他关键概念提供文字性描述。所讨论到的关键概念都以黑斜体突出表示。本章并不打算替换或取代GBT 183361第2章规定的任何术语。图1 安全功能要求范型(单个TOE)图2 分布式TOE内的安全功能图GBT 1 83362-2008ISOIEC 1 54082:2005本部分是能为坪佶对象(TOE)规定安全功能要求的一个目录。一个TOE
22、是包含电子存储媒体(如磁盘)、外设(如打印机)和计算能力(如CPU时间)等资源的IT产品或系统(同时带有用户指南文档和管理员指南文档),可用于处理和存储信息,是评估的对象。TOE评估主要关心确保对TOE资源执行了规定的TOE安全策路(TSP)。TSP定义了一些规则,通过这些规则TOE管理对其资源的访问,这样TOE就控制了所有信息和服务。反过来,TSP又由多个安全劝麓策璐(SFP)所构成。每一SFP有一个控制范围,定义该SFP控制下的主体、客体和操作。SFP由安全劝能f删实现,SF的机制执行该策略并提供必要的能力。为正确执行TSP而必须依赖的一个TOE中的那些部分,统称为TOE安全功能(TSF)
23、。TSF由安全实施直接或间接依赖的一个TOE中的所有软件、硬件和固件组成。基准监视器是执行TOE访问控制策略的一个抽象机。基准旃以枕制是基准监视器概念的实现,它具有以下特性:防篡改、总是被调用、简单到能对其进行彻底的分析和测试。TSF可由一个基准确认机制或TOE运行所需要的其他安全功能组成。TOE可能是一个包含硬件、固件和软件的单个产品。TOE也可能是一个分布式产品,内部由多个单独的部分组成,每一部分都为TOE提供一个特定的服务,并且通过一个内部通信信道与TOE其他部分相连接。该信道可能小得象一个处理器总线,也可能是包含TOE的一个内部网络。当TOE由多个部分组成时,TOE的每一部分可拥有自己
24、的TSF部分,该部分通过内部通信信道与TSF的其他部分交换用户数据和TSF数据,这种交互称为TOE内部传送。在这种情况下,这些TSF的单独部分理论上形成一个复合型TSF,以执行TSP。TOE接口可能局限于特定的TOE,也可能允许通过外部通信信遭与其他IT产品交互。这些与其他IT产品的外部交互可以采取两种形式:a) “远程可信IT产品”的安全策略和本地TOE的TSP已进行了管理性协调和评估。这种情况下的信息交换称为TSF闻传送,如同它们是在不同可信产品的TSF之间传送。b) 远程IT产品可能没有被评估,因此它的安全策略是未知的,如图2中所示的“不可信IT产品”。这种情况下的信息交换称为TSF控制
25、外传送,如同远程IT产品没有TSF(或它的策略特性未知)。可与TOE或在TOE中发生的并遵从TSP规则的交互集合称为TSF控制苕厨(TSC)。TSC包括一组根据TOE内的主体、客体和操作而定义的交互,但不必包括TOE的所有资源。一组接口,不管是交互式的(人机接口),还是可编程的(应用编程接口),通过这些接口,TSF调配对资源的访问,或者从TSF中获取信息,称为TSF接口(TSFI)。TSFI定义了为执行TSP而提供的TOE功能边界。用户在TOE的外部,因此也在TSC的外部。但为请求TOE执行服务,用户要通过TSFI和TOE交互。有两种用户关心GBT 18336本部分安全功能要求:人员用户和外部
26、IT实依。人员用户进一步分为本地人员用户和远程人员用户,本地人员用户通过TOE设备(如工作站)直接与TOE交互,远程人员用户通过其他IT产品间接与TOE交互。用户和TSF间的一段交互期称为用户会话。可以根据各种考虑因素来控制用户会话的建立,如:用户鉴别、时段、访问TOE的方法和每个用户允许的并发会话数。本部分使用术语“授权”来表示用户拥有执行某种操作所必需的权力或特权。因此术语馁权用户”表示允许用户执行TSP定义的操作。为表达需要管理员责任分离的要求,本部分相关的安全功能组件(选自FMT_SMR族)明确说明管理性角色是必需的。角色是预先定义的一组规则,规定在一个用户和TOE之间所允许的交互行为
27、。一个TOE可以支持定义多个角色。例如,与TOE安全运行相关的角色可能包括“审计管理员”和“用户帐号管理员”。3GBT 1 83362-2008ISOIEC 1 54082:2005TOE包含可用于处理和存储信息的资源。TSF的主要目标是完全并正确地对TOE所控制的资源和信息执行TSP。TOE资源能以多种方式构造和利用。但是,本部分作出了一个特殊区分,以便于规范期望的安全特性。所有由资源产生的实体只能以下述两种方式中的一种来表征:实体可能是主动的,意指它们是行为在TOE内部发生的原因,并导致对信息执行操作;实体也可能是被动的,意指它们是产生信息的载体,或者是存储信息的载体。主动的实体称为主体。
28、TOE内可能存在以下几种类型的主体:a) 代表一个授权用户并遵从TSP所有规则的那些实体(如,UNIX进程);b)作为一个特殊功能进程,可以轮流代表多个用户的那些实体(如,在客户服务器结构中可能找到的某些功能);c) 作为TOE自身一部分的那些实体(如,可信进程)。本部分针对上述各种主体规范了TSP的执行。被动的实体(即信息载体)在本部分中被称作客体。客体是可以由主体执行的那些操作的对象。在一个主体(主动实体)是某个操作的对象(例如进程间通信)的情况下,该主体也可以作为一个客体。客体可以包含信息。在FDP类中规范信息流控制策略时,需要这个概念。用户、主体、信息和客体都具有某种属性,包含能使TO
29、E正确运转的信息。某些属性,如文件名,可能只是提示性的(即增加TOE的用户友好性),而另一些属性,如访问控制信息,可能专为执行TSP而存在。后面这些属性通常称为“安全属性”。在本部分中,属性一词将用作“安全属性”的简称,除非另有说明。另一方面,无论属性信息的预期目的如何,如TSP指示的那样对属性加以控制都是必要的。TOE中的数据分为用户数据和TSF数据,图3示意了它们之间的关系。用户数据是存储在TOE资源中的信息,用户可以根据TSP对其进行操作,而TSF对它们并不寄予任何特殊的含义。例如,电子邮件消息的内容是用户数据。TSF数据是TSF在进行TSP决策时所使用的信息。如果TSP允许的话,TSF
30、数据可以受用户的影响。安全属性、鉴别数据以及访问控制表都是TSF数据的例子。有几个用于数据保护的SFP,诸如访问控制SFP和信息流控制SFP。实现访问控制SFP的机制,依据控制范围内主体、客体和操作的属性来决定建立它们的策略。这些属性用在管理主体可以对客体执行操作的规则集中。实现信息流控制SFP的机制,依据控制范围内的主体和信息的属性以及管理主体对信息操作的一组规则来决定它们的策略。信息的属性,可能与载体属性相关联(也可能没有关联,如多级数据库),在信息移动时与其相随。本部分提出的两种特殊的TSF数据,鉴别数据和秘密,可以是但不必一定是相同的。鉴别数据用于验证向TOE请求服务的用户所声明的身份
31、。最通用的鉴别数据形式是口令。口令要成为有效的安全机制,依赖于对其进行保密。但是,不是所有形式的鉴别数据都需要保密,生物测定4GBT 1 83362-2008ISOIEC 1 5408-2:2005鉴别设备(例如,指纹阅读器、视网膜扫描仪)就不依赖于数据保密,因为这些数据只有一个用户拥有,其他人不能伪造。6BT 18336本部分功能要求中用到的术语“秘密”,适用于鉴别数据,对其他为执行一特定SFP而必须保密的数据也同样适用。例如,依靠密码技术保护在信道中传送信息的保密性的可信信道机制,能与使用密钥秘密防止未授权泄露的方法一样强大。因此,不是所有的鉴别数据都需要保密,也不是所有的秘密都可用作鉴别
32、数据。图4说明了秘密和鉴别数据问的关系。图中指出了常见的鉴别数据和秘密的数据类型。6安全功能组件图4 “鉴别数据”和“秘密”的关系61 概述本章定义6BT 18336功能要求的内容和形式,并为需要向一个ST中添加新组件的组织提供指南。功能要求用类、族和组件来表达。611 类结构图5以框图形式示意了功能类的结构。每个功能类包括一个类名、类介绍和一个或多个功能族。图5功能类结构6111 类名类名提供标识和划分功能类所必需的信息。每个功能类都有一个唯一的名称,类的分类信息由三个字符的简名组成。类的简名也用于该类中族的简名规范中。6112 类介绍类介绍描述这些族满足安全目标的诵用意图或方法。功能类的定义不反映要求规范中的任何正式5GBT 1 83362-2008ISOIEC 1 54082:2
