1、中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第 部分安全功能要求发布 实施国家质量技术监督局 发布前言本标准等同采用国际标准 信息技术安全技术信息技术安全性评估准则第部分 安全功能要求本标准介绍了信息技术安全性评估的安全功能要求在总标题 信息技术安全技术信息技术安全性评估准则下由以下几个部分组成第 部分简介和一般模型第 部分安全功能要求第 部分安全保证要求本标准的附录 到附录 是提示的附录本标准由国家质量技术监督局提出本标准由全国信息技术标准化技术委员会归口本标准由中国国家信息安全测评认证中心信息产业部电子第 研究所国家信息中心复旦大学负责起草本标准主要起草人吴世忠龚奇敏陈晓桦
2、李守鹏罗建中方关宝吴亚飞雷利民张建军叶红吴承荣黄元飞任卫红 崔玉华本标准委托中国国家信息安全测评认证中心负责解释前言国际标准化组织 和 国际电工委员会 形成了全世界标准化的专门体系 作为 或成员的国家机构通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定 和技术委员会在共同关心的领域里合作其它与 和 有联系的政府和非政府的国际组织也参加了该项工作国际标准的起草符合 导则第 部分的原则在信息技术领域 和 已经建立了一个联合技术委员会 联合技术委员会采纳的国际标准草案分发给国家机构投票表决 作为国际标准公开发表需要至少 的国家机构投赞成票国际标准 是由联合技术委员会 信息技术与通用
3、准则项目发起组织合作产生的 与 同样的文本由通用准则项目发起组织作为信息技术安全性评估通用准则 发表 有关通用准则项目的更多信息和发起组织的联系信息由 的附录提供在信息技术 安全技术 信息技术安全性评估准则的总标题下由以下几部分组成第 部分 简介和一般模型第 部分 安全功能要求第 部分 安全保证要求本部分的附录 到 仅供参考以下具有法律效力的提示已按要求放置在 的所有部分在 附录 中标明的七个政府组织总称为通用准则发起组织 作为信息技术安全性评估通用准则第 至第 部分 称为 版权的共同所有者在此特许 在开发国际标准中非排他性地使用 但是通用准则发起组织在他们认为适当时保留对 的使用拷贝分发以及
4、修改的权利中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第 部分 安全功能要求国家质量技术监督局 批准 实施范围本标准定义的安全功能组件是保护轮廓 或安全目标 中所表述的 安全功能要求的基础 这些要求描述了对评估对象 所期望的安全行为 目的是满足 或 中陈述的安全目的 这些要求描述用户通过与 直接交互即输入 输出或通过 对刺激的反应可以检测到的安全特性安全功能组件表达用于在假定的 运行环境中对抗威胁的要求 或涉及所有标识的组织安全策略和假设本标准的读者包括安全 系统和产品的用户开发者和评估员 第 部分第 章提供了关于本标准的目标读者以及这些目标读者群使用本标准的附加信息 这些读者
5、群可按如下形式使用本标准用户 当选择组件来表达功能要求以满足 或 中的安全目的时 使用本标准第 部分 条给出了有关安全目的和安全要求之间关系的详细信息开发者针对实际或预期的用户安全要求建立 时可以在本标准中找到理解这些安全需求的标准化方法 他们也可以将本标准的内容作为进一步定义符合这些要求的 安全功能和机制的基础评估者 使用本标准中定义的功能要求 验证 或 中的 功能要求是否满足 安全目的并且应考虑所有依赖关系是否得到满足 评估者也应使用本标准内容来帮助确定给定 满足所陈述的要求功能要求的扩展和维护本标准及在此描述的相关安全功能要求并不打算成为所有 安全问题的确定答案 而是提供一组广为理解的安
6、全功能要求用于创建反映市场需求的可信产品或系统 这些安全功能要求的给出 体现当前要求规范和评估的技术发展水平本标准不包括所有可能的安全功能要求而是包含那些在发布时作者已知并认为有价值的那些要求因为用户的理解和需求可能会变化 因此需要维护本标准中的功能要求 作者可能还有一些安全要求未包含在本标准功能要求组件中 此时 的作者可考虑使用不是来自本标准的功能要求称之为可扩展性 参见 第 部分中的附录 和附录本标准的结构第 章是本标准的简介第 章介绍本标准功能组件的分类 第 章到第 章描述这些功能类附录 为可能使用功能组件的用户提供感兴趣的附加信息其中包括完整的功能组件间依赖关系的交叉参照表附录 至附录
7、 提供功能类的应用注释 它们是本标准用户的参考资料库 可以帮助用户应用相关的操作并选择恰当的审计或文档信息有关结构 规则和指南的信息编写 或 的作者应参考 第 部分第 章第 部分第 章 定义本标准中使用的术语第 部分附录 定义 的结构第 部分附录 定义 的结构功能要求范例本条描述本标准中安全功能要求所使用的范例 图 和图 描述了范例的一些关键概念 本条为这些图和图中没有的其他关键概念提供文字描述 所讨论的关键概念以粗斜体突出表示 本条并不打算替换或取代 第 部分第 章标准术语表中的任何术语图 安全功能要求范例单个本标准是一个可为评估对象 规定安全功能要求的目录 是包含电子存储媒体 如磁盘 外设
8、如打印机和计算能力 如 时间 等资源的 产品或系统同时带有用户和管理员指南文档 可用于处理和存储信息 是评估的对象评估主要关系到 确保对 资源执行了规定的 安全策略 定义了一些规则通过这些规则 支配对其资源的访问这样 就控制了所有信息和服务而 又由多个安全功能策略 所构成 每一 有其控制范围 定义该 控制下的主体 客体和操作 由安全功能 实现 的机制执行该策略并提供必要的能力图 分布式 内的安全功能图为正确执行 而必须依赖的 中的那些部分统称为 安全功能 包括实施安全所直接或间接依赖的 中的所有软件硬件和固件参照监视器是实施 的访问控制策略的抽象机 参照确认机制是参照监视器概念的实现 它具有以
9、下特性 防篡改一直运行简单到能对其进行彻底的分析和测试 可能包括一个参照确认机制或 运行所需要的其他安全功能可能是一个包含硬件固件和软件的单个产品 也可能是一个分布式产品 内部包括多个单独的部分 每一部分都为 提供一个特别的服务并且通过一个内部通信信道与 其他部分相连接 该信道可以与处理器总线一样小也可能包含 的一个内部网络当 由多个部分组成时 的每一部分可拥有自己的 部分 此部分通过内部通信信道与 的其他部分交换用户数据和 数据 这种交互称为 内部传送 在这种情况下这些的分离部分抽象地形成一个复合的 来实施接口可能限于特定的 使用 也可能允许通过外部通信信道与其他 产品交互 这些与其他 产品
10、的外部交互可以采取两种形式远程可信 产品 的安全策略和本地 的 已在管理上进行了协调和评估 这种情况下的信息交换称为 间传送如同它们是在不同可信产品的 之间远程 产品可能没有被评估因此它的安全策略是未知的 如图 中所示的 不可信 产品 这种情况下的信息交换称为 控制外传送如同在远程 产品中没有 或它的策略特性未知可与 或在 中发生的并服从 规则的交互集合称为 控制范围 包括一组根据主体客体和 内的操作定义的交互集 但不必包括 的所有资源一组交互式 人机接口 或编程 应用编程接口 接口 通过它 访问调配 资源或者从中获取信息 称为 接口 定义了为执行 而提供的 功能的边界用户在 的外部 因此也在
11、 的外部 但为请求 执行服务 用户要通过 和交互 本标准安全功能要求关心两种用户 个人用户和外部 实体 个人用户进一步分为本地个人用户 他们通过 设备如工作站直接与 交互 或远程个人用户 他们通过其他 产品间接与交互用户和 间的一段交互期称为用户会话 可以根据各种考虑来控制用户会话的建立 如 用户鉴别 时段访问 的方法和每个用户允许的并发会话数本标准使用术语已授权来表示用户具有执行某种操作所必需的权力或特权 因此术语授权用户表示允许用户执行 定义的操作为表达需要管理员责任分离的要求 本标准相关的安全功能组件 来自子类 明确说明要求管理性角色 角色是预先定义的一组规则 这些规则建立起用户和 间所
12、允许的交互可以支持定义任意数目的角色 例如与 安全运行相关的角色可能包括审计管理员和用户帐号管理员包括可用于处理和存储信息的资源 的主要目标是完全并正确地对 所控制的资源和信息执行资源能以多种方式结构化和利用 但是 本标准作出了特殊区分 以允许规定所期望的安全特性 所有由资源产生的实体能以两种方式中的一种来表征实体可能是主动的 意指他们是 内部行为发生的原因并导致对信息执行操作实体也可能是被动的意指他们是发出信息或存入信息的容器主动的实体称为主体 内可能存在以下几种类型的主体代表授权用户 遵从 所有规则的那些实体 例如 进程作为特定功能进程可以轮流代表多个用户的那些实体 例如在客户服务器结构中
13、可能找到的功能作为 自身一部分的那些实体 例如可信进程本标准所述的安全功能针对上述列出的各种主体执行被动实体 即信息存储器 在本标准中被称作 客体 客体是可以由主体执行操作的对象 在一个主体主动实体 是某个操作的对象 例如进程间通信的情况下该主体也可以作为客体客体可以包含信息 在 类中说明信息流控制策略时 需要这个概念用户 主体 信息和客体具有确定的属性这些属性包括使 正确运转的信息 有些属性 可能只是提示性信息 即 增加 的用户友好性 如文件名而另一些属性 可能专为执行 而存在如访问控制信息后面这些属性通常称为 安全属性 在本标准中 属性一词将用作 安全属性 的简称除非另有说明 但正如 规定
14、的那样无论属性信息的预期目的如何 对属性加以控制还是必要的中的数据分为用户数据和 数据图 表明了这种关系 用户数据是存储在 资源中的信息用户可以根据 对其进行操作而 对它们并不附加任何特殊的意义 例如电子邮件消息的内容是用户数据 数据是在进行 决策时 使用的信息 如果 允许的话 数据可以受用户的影响 安全属性鉴别数据以及访问控制表都是 数据的例子有几个用于数据保护的 诸如访问控制 和信息流控制 实现访问控制 的机制是基于控制范围内的主体属性 客体属性和操作来决定建立他们的策略 这些属性用于控制主体可以对客体执行操作的规则集中实现信息流控制 的机制 是基于控制范围内的主体和信息的属性以及制约主体
15、对信息操作的一组规则来决定他们的策略信息的属性 可能与容器属性相关联 也可能没有关联 如多级数据库 在信息移动时与其相随图 用户数据和 数据的关系本标准涉及的两种特殊 数据 鉴别数据和秘密可以是但不必一定是相同的鉴别数据用于验证向 请求服务的用户声明的身份 最通用的鉴别数据形式是口令 口令要成为有效的安全机制 依赖于对其进行保密但是不是所有形式的鉴别数据都需要保密 生物测定学鉴别设备 例如指纹阅读器 视网膜扫描仪 就不依赖于数据保密 因为这些数据只有一个用户拥有 其他人不能伪造本标准功能要求中用到的术语 秘密 对鉴别数据适用 对其他为执行一特定 而必须保密的数据也同样适用 例如依靠密码技术保护
16、在信道中传送信息的保密性的可信信道机制其强度应与用来保持密钥的秘密以防止未授权泄露的方法的强度相当因此不是所有的鉴别数据都需要保密也不是所有的秘密都被用作鉴别数据 图 说明了秘密和鉴别数据间的关系 图中指出了常见的鉴别数据和秘密的数据类型图 鉴别数据 和秘密 的关系引用标准下列标准所包括的条文通过在本标准中引用而构成为本标准的条文 本标准出版时所示版本均为有效 所有标准都会被修订 使用本标准的各方应探讨使用下列标准最新版本的可能性信息技术安全技术信息技术安全性评估准则第部分简介和一般模型安全功能组件综述本章定义本标准的功能要求的内容和形式并为需要向 中添加新组件的组织提供指南 功能要求以类子类
17、和组件来表达类结构图 以图表的形式阐明了功能类的结构 每个功能类包括一个类名 类介绍及一个或多个功能子类图 功能类结构类名类名提供标识和化分功能类所必需的信息每个功能类都有一个唯一的名称类的分类信息由三个字符的简名组成 类的简名用于该类中的子类的简名规范中类介绍类介绍描述这些子类满足安全目标的通用意图或方法 功能类的定义不反映要求规范中的任何正式分类法类介绍用图来描述类中的子类和每个子类中组件的层次结构见 条的解释子类结构图 以框图形式说明功能子类的结构图 功能子类结构子类名子类名部分提供标识和化分功能子类所必需的分类和描述信息 每个功能子类有一个唯一的名称子类的分类信息由七个字符的简名组成开
18、头三个字符与类名相同 后跟一个下划线和子类名例如唯一的简短子类名为组件提供主要的引用名子类行为子类行为是对功能子类的叙述性描述 陈述其安全目的 以及对功能要求的一般描述 以下是更详细的描述子类的安全目的阐述在包含该子类的一个组件的 的帮助下可以解决的安全问题功能要求的描述总结组件中包含的所有要求 该描述针对 和功能包的作者他们希望评价该子类是否与他们的特定需求相关组件层次功能子类包含一个或多个组件 任何一个组件都可被选择包括在 和功能包中 本条的目的是 一旦子类被认为是用户安全要求的一个必要或有用的部分时向用户提供选择恰当的功能组件的信息功能子类描述部分描述所用组件和它们的基本原理 组件的更多
19、细节包含在每个组件中功能子类内组件间的关系可能是也可能不是层次化的 如果一个组件相对另一个组件提供更多的安全那么该组件对另一个组件来说是有层次的如 条所述子类的描述中提供了关于子类内组件层次结构的图示管理管理要求包含 作者应考虑的作为给定组件的管理活动的信息 管理要求在管理类的组件里详述作者可以选择已指出的管理要求或者可以包括其他没有列出的管理要求 因而这些信息应认为是提示性的审计如果 中包含来自类 安全审计中的要求则审计要求包含供 作者选择的可审计的事件这些要求包括按 安全审计数据产生 子类的组件所支持的以各种不同详细级别表示的安全相关事件例如一个审计记录可能包括下述行动 最小级 安全机制的
20、成功使用 基本级安全机制的成功使用以及所涉及到的安全属性的相关信息详细级 所有对机制配置的改变包括改变前后的实际配置值显然可审计事件的分类是层次化的 例如当期望基本级审计产生 时所有标识为最小级和基本级的可审计事件都应通过适当的赋值操作包括在 内 只是高级事件仅仅比低级事件提供更多的细节 当期望 详细级审计产生 时 所有标识为最小级基本级和详细级的可审计事件都应包括在内类更详尽地解释了管理审计的规则组件结构图 描绘功能组件的结构图 功能组件结构组件标识组件标识提供标识 分类 注册和交叉引用组件时所必需的描述性信息 下列各项作为每个功能组件的部分一个唯一的名字该名字反映了组件的目的一个简名 即功
21、能组件名的唯一简写形式 简名作为分类 注册和交叉引用组件的主要引用名 简名反映出组件所属的类和子类以及在子类中组件的编号一个从属于表 这个组件所从属于的其他组件列表 以及该组件可用来满足与所列组件间的依赖关系功能元素为每一组件提供了一组元素 每个元素都分别定义并且是相互独立的功能元素是一个安全功能要求 如果进一步划分将不会产生有意义的评估结果 它是中标识和认同的最小安全功能要求当建立包 或 时 不允许从一个组件中只选择一个或几个元素 必须选择组件的全部元素每个功能元素名都有一个唯一的简化形式 例如要求名 意义如下 功能要求 用户数据保护 类 信息流控制功能 子类 第四个组件名为部分消除非法信息
22、流 该组件的第 个元素依赖关系当一个组件本身不充分而要依赖于其他组件的功能 或依赖于与其他组件的交互才能正确发挥其功能时就产生了功能组件间的依赖关系每个功能组件都提供一个对其他功能和保证组件的完整的依赖关系表有些组件可能列出 无依赖关系 所依赖的组件又可能依赖其他组件组件中提供的列表是直接的依赖关系 这只是为该功能要求能正确完成其功能提供参考 间接依赖关系也就是由所依赖组件产生的依赖关系 见本标准附录值得注意的是 在某些情况下依赖关系可在提供的多个功能要求中选择 这些功能要求中的每一个都足以满足依赖关系例如依赖关系列表标识出 为满足与已标识组件相关的安全要求所必需的最少功能或保证组件 从属于已
23、标识组件的那些组件也可用来满足依赖关系本标准指明的依赖关系是规范的 在 中它们必须得到满足 在特定的情况下这种依赖关系可能不适用 只要 作者在基本原理中说清不适用的理由 就可以在包 和 中不考虑依赖的组件允许的功能组件操作用于在 或功能包内定义要求的功能组件可以与本标准第 到第 章中说明的完全一样也可以经裁剪以满足特定的安全目的 但是选择和裁剪这些功能组件是复杂的因为必须考虑所标识组件依赖关系 因此这种裁剪只限于一组允许的操作每个功能组件都包括一个允许的操作列表 对所有功能组件并非一切操作都是允许的允许的操作选自反复采用不同的操作多次使用同一组件赋值 对指定参数的说明选择 对列表中的一个或多个
24、元素的说明细化 增加细节反复当需要覆盖同一要求的不同方面时如标识一个以上类型的用户 允许重复使用本标准的同一组件来覆盖每个方面赋值某些功能组件元素包含一些参数和变量这些参数和变量使 作者可以指定 或 中包含的一个策略或一组值以满足特定的安全目的 这些元素清楚地标识出每个参数及其可以分配给该参数的值元素任一方面的可接受值如能无歧义地描述和列举 就可用一个参数来表述 该参数可能是一个属性或规则它把要求限定为一个确定的值或值的范围 例如根据指定的安全目的功能组件元素可以规定一给定的操作应执行数次 在这种情况下赋值应提供用于该参数中的次数或次数范围选择这是为缩小一个组件元素的范围 从列表中选取一个或多
25、个项目的操作细化对所有功能组件元素来说为满足安全目的 允许 作者通过增加细节来限定可接受的实现集 元素的细化由这些增加的技术细节来组成在 中可能需要就 对术语 主体 和客体的含义作出有意义的解释 因此需要细化像其他操作一样 细化不增加任何完全新的要求 根据安全目的它对要求规则 常量和条件施以详细阐述解释或特别的含义 细化应只是进一步限定实现要求所可能接受的功能或机制集 而不是增加要求 细化不允许建立新要求因此不会增加与组件相关的依赖关系列表 作者必须注意 其他要求对该要求的依赖关系仍应得到满足组件分类本标准中组件的分组不代表任何正式的分类法本标准包括子类和组件的分类 它们是基于相关的功能和目的
26、的粗略分组 按字母顺序给出 每个类的开头是一个提示性框图指出该类的分类法 类中的子类和子类中的组件 这个图对指示可能存在于组件间的层次关系是有用的在功能组件的描述中 有一段指出该组件和任何其他组件之间的依赖关系在每个类中都有一个与图 类似的描述子类层次关系的图 在图 中第 个子类 子类包括了三个有从属关系的组件其中组件 和组件 都可以用来满足对组件 的依赖关系 组件 从属于组件 并且可以用来满足对组件 的依赖关系图 示范类分解图在子类 中有三个组件 这三个组件不全都有从属关系 组件 和组件 不从属于其他组件 组件从属于组件 可以用来满足对组件 的依赖关系但不能满足对组件 的依赖关系在子类 中
27、组件 从属于组件 组件 和 也都从属于组件 但无可比性 组件 从属于组件 和这些图的目的是补充子类中的文字说明 使关系的识别更容易 它们并不取代每个组件中的 从属于 注释这些注释是对每个组件从属关系的强制声明突出组件变化子类中组件的关系约定以粗体字突出表示 粗体字约定所有新的要求用粗体表示 对于有从属关系的组件当要求或依赖关系被增强或修改而超出前一组件的要求时 要用粗体字表示另外超出前一组件的任何新的或增强的允许操作 也使用粗体字突出表示类安全审计安全审计包括识别记录 存储和分析那些与安全相关活动 即由 控制的活动 有关的信息 检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这
28、些活动负责图 安全审计类分解安全审计自动应答子类行为本子类定义在检测到的事件表明可能有安全侵害发生时作出的应答组件层次安全审计自动响应对于 安全警告当检测到可能的安全侵害时 应采取行动管理应为 的管理功能考虑以下行动对行动的管理 添加 移去修改审计如果在 中包括 安全审计数据产生 那么以下行动应可审计最小级当即将发生安全侵害时采取的行动安全警告从属于无其他组件当检测到潜在的安全侵害时 应进行赋值最小扰乱行动表依赖关系 潜在侵害分析安全审计数据产生子类行为对于在 控制下发生的安全相关事件 本子类定义了记录其出现的要求 本子类确定审计的级别 列举 可审计的事件类型 以及应在各审计记录内提供的审计相
29、关信息的最小集合组件层次审计数据产生定义可审计事件的级别 并规定在每个记录中将记录的数据表用户身份关联 应把可审计事件与单个用户身份相关联管理尚无预见的管理活动审计如果在 中包含 安全审计数据产生 此处不存在任何明确的可审计行动审计数据产生从属于无其他组件应能为下述可审计事件产生审计记录审计功能的启动和关闭在选择 最小级基本级 详细级 未规定审计级别以内的所有可审计事件赋值 其他专门定义的可审计事件应在每个审计记录中至少记录如下信息事件的日期和时间 事件类型 主体身份事件的结果 成功或失败对每种审计事件类型基于 中功能组件的可审计事件定义的赋值其他审计相关信息依赖关系 可信时间戳用户身份关联从
30、属于无其他组件应能将每个可审计事件与引起该事件的用户身份相关联依赖关系 审计数据产生标识定时安全审计分析子类行为本子类定义 为寻找可能的或真正的安全侵害用来分析系统活动和审计数据的自动化措施的要求 这种分析可用入侵检测来支持 或对即将来临的安全侵害作出自动应答基于检测结果可采取 子类指定的行为组件层次在 潜在侵害分析中 需要一个基于固定规则集的基本门限检测在 基于轮廓的异常检测中 维护个人的系统使用轮廓 这里 轮廓 代表由轮廓目标组成员完成的历史使用模式 轮廓目标组是指与 交互的一个或多个人如单个用户 共享一个身份或帐号的用户指定角色的用户 整个系统或网络节点的用户 轮廓目标组的每个成员都被分
31、配给一个单独的置疑等级表明成员当前的行动与轮廓中已建立的使用模式的一致程度如何 此分析可在运行期间完成或在信息采集后的批量分析阶段完成简单攻击探测 应能检测到那些表明对 实施将产生重大威胁的特征事件的发生 对特征事件的搜索可以实时进行也可以在信息采集后的批量分析阶段进行复杂攻击探测 应能描述并检测到多步骤入侵情景 应能根据已知的事件序列把系统事件 可能是由多个用户执行的模拟成完整的入侵情景 应能指出特征事件或事件序列发生的时间 指出对 的潜在侵害管理应为 的管理功能考虑以下行动通过添加 修改删除 规则集中的规则来维护规则管理应为 的管理功能考虑以下行动对轮廓目标组中的用户组进行维护 删除修改
32、添加管理应为 的管理功能考虑以下行动对系统事件的子集进行维护 删除 修改添加管理应为 的管理功能考虑以下行动对系统事件的子集进行维护 删除 修改添加对系统事件的序列集进行维护 删除修改添加审计如果在 中包含了 安全审计数据产生 那么下述行动应为可审计最小级开启和关闭任何分析机制最小级以工具完成自动应答潜在侵害分析从属于无其他组件应能用一系列的规则去监控审计事件并根据这些规则指示出 的潜在侵害应用下列规则来监控审计事件已知的用来指示潜在安全侵害的 赋值已定义的可审计事件的子集 的积累或组合赋值 任何其他规则依赖关系 审计数据产生基于轮廓的异常检测从属于应能维护系统使用轮廓 在这里个人轮廓代表 赋
33、值 规定轮廓目标组 成员的历史使用模式应维护与每个用户相对应的置疑等级这些用户的活动已记录在轮廓中 在这里 置疑等级 代表用户当前活动与轮廓中已建立的使用模式不一致的程度当用户的置疑等级超过门限条件 赋值 报告异常 的条件时 应能指出即将发生对 的侵害依赖关系 标识定时简单攻击探测从属于应能维护预示对 侵害的以下特征事件赋值系统事件的一个子集 的内部表示应根据系统活动的记录来比较特征事件这里系统活动可以通过对赋值用来决定系统活动的信息检查而辨明当一个系统事件被发现与一个预示对 的潜在攻击的特征事件匹配时 应指出对 的攻击即将到来依赖关系无依赖关系复杂攻击探测从属于应能维护已知入侵情景的事件序列
34、赋值已知攻击出现的系统事件序列表 和预示对 的潜在攻击的特征事件 赋值系统事件的一个子集的内部表示应比较系统活动的记录与特征事件和事件序列 这里的系统活动可以通过对赋值用来决定系统活动的信息 检查来辨明当一个系统事件或事件序列被发现与一个预示对 的潜在攻击的特征事件匹配时 应能指示出对 的攻击即将到来依赖关系无依赖关系安全审计查阅子类行为本子类定义了为授权用户查阅审计数据提供审计工具的要求组件层次审计查阅 提供从审计记录中读取信息的能力有限审计查阅 要求除在 中确定的用户外 其他用户不能读取信息可选审计查阅 要求审计查阅工具根据条件来选择要查阅的审计数据管理应为 的管理功能考虑以下行动维护删除
35、 修改添加 对审计记录有读访问权的用户组管理尚无预见的管理活动审计如果在 中包含了 安全审计数据产生 那么下述行为应为可审计基本级从审计记录中读取信息审计如果在 中包含了 安全审计数据产生 那么下述行为应为可审计基本级尝试从审计记录中读取信息而未成功审计如果在 中包含了 安全审计数据产生 那么下述行为应为可审计详细级用于查阅的各种参数审计查阅本组件应为授权用户提供获得和解释信息的能力用户是人时必须以人类可理解的方式表示信息用户是外部 实体时必须以电子方式无歧义地表示信息从属于 无其他组件应为赋值 授权用户 提供从审计记录中读取 赋值审计信息列表的能力应以便于用户理解的方式提供审计记录依赖关系
36、审计数据产生有限审计查阅从属于无其他组件除具有明确读访问权限的用户外 应禁止所有用户对审计记录的读访问依赖关系 审计查阅可选审计查阅从属于无其他组件应根据 赋值 具有逻辑关系的条件 提供对审计数据进行 选择 搜索 分类 排序的能力依赖关系 审计查阅安全审计事件选择子类行为本子类定义在 运行期间选择事件来审计的要求 它定义向可审计事件集中加入或从中排除事件的要求组件层次安全审计事件选择选择性审计要求根据由 作者规定的属性包括或排除来自审计事件集中事件的可能管理应为 的管理功能考虑以下行动维护查阅修改审计的权限审计如果在 中包含了 安全审计数据产生 那么下述行为应是可审计的最小级对审计收集功能正在
37、运行时出现的审计配置的所有修改选择性审计从属于无其他组件根据以下属性包括或排除审计事件集中的可审计事件选择 客体身份用户身份 主体身份主机身份事件类型赋值 作为审计选择性依据的附加属性表依赖关系 审计数据产生数据管理安全审计事件存储子类行为本子类定义 能够创建并维护安全审计迹的要求组件层次受保护的审计迹存储该要求保护审计迹避免未授权的删除或修改审计数据可用性保证规定 在意外情况出现时对审计数据维护的保证在审计数据可能丢失的情况下的行为 规定当超出审计迹门限时所采取的行动防止审计数据丢失规定当审计迹溢满时的行为管理尚无预见的管理活动管理应为 的管理功能考虑以下行为维护控制审计存储能力的参数管理应
38、为 的管理功能考虑以下行为维护门限值即将发生审计存储失败时维护 删除修改添加相应的行为管理应为 的管理功能考虑以下行为审计存储失败时 维护删除 修改添加相应的行为审计如果在 中包含了 安全审计数据产生 此处就没有可审计的确定行为审计如果在 中包含了 安全审计数据产生 那么下述行为应是可审计的基本级因超过门限而采取的行动审计如果在 中包含了 安全审计数据产生 那么下述行为应是可审计的基本级因审计存储失败而采取的行动受保护的审计迹存储从属于无其他组件应保护所存储的审计记录以避免未授权的删除应能 选择防止检测对审计记录的修改依赖关系 审计数据产生审计数据可用性保证从属于应保护所存储的审计记录 以避免
39、未授权的删除应能 选择 防止 检测 对审计记录的修改当下述情况发生时 选择审计存储耗尽失败 受攻击 应确保审计记录 赋值保存审计记录的量度不被破坏依赖关系 审计数据产生在审计数据可能丢失情况下的行为从属于无其他组件如果审计迹超过赋值预定的限制 应采取 赋值在审计数据可能丢失情况下的行为依赖关系 受保护的审计迹存储防止审计数据丢失从属于如果审计迹已满 应选择 忽略可审计事件 阻止产生除有特权的授权用户外的所有可审计事件 覆盖所存储的最早的审计记录 并进行 赋值 一旦审计存储失败所采取的其他行动依赖关系 受保护的审计迹存储类通信本类提供两个子类专门用以确保在数据交换中参与方的身份 这些子类与确保信
40、息传送的发起者的身份原发证明和确保信息传送的接收者的身份 接收证明 相关 这些子类既确保发起者不能否认发送过信息 又确保收信者不能否认收到过信息本类的组件构成分解如图 所示图 通信类分解原发抗抵赖子类行为原发抗抵赖确保信息的发起者不能成功地否认曾经发送过信息 本子类要求 提供一种方法来确保 接收信息的主体在数据交换期间获得了证明信息原发的证据此证据可由该主体或其他主体验证组件层次原发抗抵赖选择性原发证明 要求 为主体提供请求原发信息证据的能力强制原发证明 要求 总是对传送信息产生原发证据管理应为 的管理功能考虑以下行动对改变信息类型 域 原发者属性和证据接收者的管理审计如果在 中包含了 安全审
41、计数据产生 那么下述行动应为可审计最小级请求产生原发证据的用户的身份最小级调用抗抵赖服务基本级标识所提供证据的信息 目的地及其拷贝详细级请求验证证据的用户的身份审计如果在 中包含了 安全审计数据产生 那么下述行动应为可审计最小级调用抗抵赖服务基本级标识所提供证据的信息 目的地及其拷贝详细级 请求验证证据的用户的身份选择性原发证明从属于无其他组件在选择原发者 接收者或赋值 第三方列表 请求时 应能对传送的赋值信息类型表 产生原发证据应能将信息原发者的赋值 属性表 与证据适用的信息的 赋值 信息域表相关联应能为给定 赋值原发证据的限制 的 选择原发者 接收者或赋值第三方列表 提供验证信息原发证据的
42、能力依赖关系 标识定时强制原发证明从属于在任何时候都应对 赋值 信息类型表 强制产生原发证据应能使信息原发者的赋值 属性表 与证据适用的信息的 赋值 信息域表 相关联应能为给定赋值 原发证据的限制 的选择原发者接收者 赋值第三方列表 提供验证信息原发证据的能力依赖关系 标识定时接收抗抵赖子类行为接收抗抵赖确保信息的接收者不能成功地否认对信息的接收 本子类要求 提供一种方法来确保 发送信息的主体在数据交换期间获得了证明信息接收的证据此证据可由该主体或其他主体验证组件层次接收抗抵赖选择性接收证明要求 为主体提供请求信息接收证据的能力强制性接收证明 要求 总是对接收到的信息产生接收证据管理应为 的管
43、理功能考虑以下行动对改变信息类型 域 原发者属性和证据的第三方接收者的管理审计如果在 中包含了 安全审计数据产生 那么下述行动应可审计最小级请求产生提供接收证据的用户的身份最小级调用抗抵赖服务基本级标识所提供证据的信息 目的地及其拷贝详细级请求验证证据的用户的身份审计如果在 中包含了 安全审计数据产生 那么下述行动应可审计最小级调用抗抵赖服务基本级标识所提供证据的信息 目的地及其拷贝详细级 请求验证证据的用户的身份选择性接收证明从属于无其他组件在选择原发者接收者或赋值第三方列表 请求时 应能对接收的 赋值信息类型表产生接收证据应使将信息接收者的赋值属性表 与证据适用的信息的 赋值 信息域表 相
44、关联应能为给定 赋值接收证据的限制的 选择原发者 接收者或赋值第三方列表 提供验证信息接收证据的能力依赖关系 标识定时强制接收证明从属于应对收到的 赋值 信息类型表强制产生接收证据应能使信息接收者的 赋值 属性表 与证据适用的信息的 赋值 信息域表相关联应能为给定 赋值 接收证据的限制 的 选择原发者接收者或 赋值第三方列表 提供验证信息接收证据的能力依赖关系 标识定时类密码支持可以利用密码功能来满足一些高级安全目的 这些功能包括但不限于 标识与鉴别 抗抵赖可信路径 可信信道和数据分离 本类可用硬件 固件或软件来实现在 执行密码功能时使用类由两个子类组成 密钥管理和 密码运算 子类解决密钥管理
45、方面的问题而 子类则与密钥在运算中的使用情况有关本类的组件分解如图 所示图 密码支持类分解密钥管理子类行为密钥在其整个生存期内都必须进行管理 为此 本子类定义了对以下几种操作的要求 密钥产生 密钥分配密钥访问和密钥销毁 凡是存在对密钥进行管理的功能要求时 都必须包含本子类组件层次密钥产生 要求根据基于某个指定标准的特定的算法和密钥长度来产生密钥密钥分配 要求根据基于某个指定标准的特定的分配方法来分配密钥密钥访问 要求根据基于某个指定标准的特定的访问方法来访问密钥密钥销毁要求根据基于某个指定标准的特定的销毁方法来销毁密钥管理应为 的管理功能考虑以下行动对修改密钥属性的管理 比如 密钥属性包括用户
46、密钥类型如公开密钥私有密钥秘密密钥 有效期和使用如数字签名 密钥加密 密钥协商数据加密审计如果在 中包含了 安全审计数据产生 那么下述行动应是可审计的最小级操作成功和失败基本级除一切敏感信息如秘密密钥或私有密钥外的客体属性和客体值密钥产生从属于无其他组件应根据符合下述标准 赋值 标准列表 的特定的密钥产生算法赋值密钥产生算法 和特定的密钥长度赋值 密钥长度 来产生密钥依赖关系 密钥分配密码运算密钥销毁保密的安全属性密钥分配从属于无其他组件应根据符合标准 赋值标准列表 的特定的密钥分配方法 赋值密钥分配方法 来分配密钥依赖关系 不带安全属性的用户数据输入密钥产生密钥销毁保密的安全属性密钥访问从属
47、于无其他组件应根据符合标准 赋值标准列表 的特定的密钥访问方法 赋值密钥访问方法来执行赋值密钥访问类型依赖关系 不带安全属性的用户数据输入密钥产生密钥销毁保密的安全属性密钥销毁从属于无其他组件应根据符合标准 赋值标准列表 的特定的密钥销毁方法 赋值密钥销毁方法来销毁密钥依赖关系 不带安全属性的用户数据输入密钥产生保密的安全属性密码运算子类行为为了保证密码运算的功能正确 必须按照特定的算法和一定长度的密钥来运算 凡有执行密码运算要求的都需包含本子类密码运算通常包括数据加密或解密 数字签名产生或验证 针对完整性的密码校验和产生或校验和检验安全散列信息摘要 密钥加密或解密以及密钥协商组件层次密码运算
48、密码运算要求根据基于指定标准的特定的算法和特定长度的密钥来进行密码运算管理尚无预见的管理活动审计如果在 中包含了 安全审计数据产生 那么下述行动应是可审计的最小级密码运算的成功失败和类型基本级所有有效的密码运算模式 主体属性和客体属性密码运算从属于无其他组件应根据符合标准 赋值 标准列表 的特定的密码算法 赋值 密码算法 和密钥长度 赋值密钥长度来执行赋值密码运算列表依赖关系 不带安全属性的用户数据输入密钥产生密钥销毁保密的安全属性类 用户数据保护本类包含若干子类这些子类规定了与保护用户数据相关的 安全功能要求和 安全功能策略 分为四组子类 将在下面列出 这些子类处理 内部在输入输出和存储期间
49、的用户数据 以及和用户数据直接相关的安全属性本类中的子类分成以下四组用户数据保护安全功能策略访问控制策略信息流控制策略这些子类中的组件允许 作者命名用户数据保护安全功能策略 并定义该安全策略的控制范围 这对于说明安全目的是必要的 这些安全策略的名字将在所有余下的选择 访问控制 或 信息流控制 或为其赋值的功能组件中使用 已命名的访问控制和信息流控制 功能的规则将分别在 和 子类中定义用户数据保护形式访问控制功能信息流控制功能内部 传送残余信息保护反转存储数据的完整性脱机存储 输入和输出数据鉴别输出到 控制之外从 控制之外输入这些子类内的组件说明进出安全功能控制范围时的可信传送间的通信间用户数据传送的保密性保护间用户数据传送的完整性保护这些子类内的组件说明 的 与其他可信 产品间的通信图 和 是本类的组件分解图图 用户数据保护类分解图 用户数据保护类分解访问控制策略子类行为本子类通过名字 确定访问控制 及其控制范围这些策略组成了所确定的 的访问控制部分 该控制范围包括三部分策略控制下的主体 策略控制下的客体以及策略所覆盖的受控主