1、 1 印行年月 94 年 10 月 本標準非經本局同意不得翻印 中華民國國家標準 CNS 總號 類號 ICS 35.040.00 X5068-2 15408-2 經濟部標準檢驗局印行 公布日期 修訂公布日期 93 年 1 月 9 日 年月日 資訊技術安全技術資訊技術安全評估準則第 2 部:安全功能需求 (共 222 頁)Information technology Security techniques Evaluation criteria for IT security Part 2: Security functional requirements 目錄 前言 7 1. 適用範圍 8 1
2、.1 功能需求之延伸與維護 8 1.2 本標準之組織 8 1.3 功能需求典範 9 2. 安全功能組件 15 2.1 概觀 15 2.1.1 類別結構 15 2.1.2 屬別結構 15 2.1.3 組件結構 17 2.1.4 允許之功能組件運作 . 19 2.2 組件型錄 . 20 3. FAU 類別:安全稽核 22 3.1 安全稽核自動回應( FAU_ARP) 22 3.2 安全稽核資料產生( FAU_GEN) . 23 3.3 安全稽核分析( FAU_SAA) . 24 3.4 安全稽核審查( FAU_SAR) . 26 3.5 安全稽核事件選取( FAU_SEL) 27 3.6 安全稽核
3、事件儲存( FAU_STG) 28 4. FCO 類別:通訊 . 30 4.1 來源不可否認性( FCO_NRO) . 30 4.2 接收不可否認性( FCO_NRR) . 31 5. FCS 類別:密碼支援 33 5.1 密碼金鑰管理( FCS_CKM) 33 5.2 密碼運作( FCS_COP) 35 6. FDP 類別:使用者資料保護 36 6.1 存取控制政策( FDP_ACC) . 38 6.2 存取控制功能( FDP_ACF) . 39 6.3 資料鑑別( FDP_DAU) . 40 6.4 輸出至 TSF 控制之外( FDP_ETC) 41 2 CNS 15408-2, X 50
4、68-2 6.5 資訊流控制政策( FDP_IFC) . 42 6.6 資訊流控制功能( FDP_IFF) . 43 6.7 從 TSF 控制之外輸入( FDP_ITC) . 46 6.8 TOE 內部轉送( FDP_ITT) . 47 6.9 殘餘資訊保護( FDP_RIP) 49 6.10 轉返( FDP_ROL) . 50 6.11 儲存資料完整性( FDP_SDI) . 51 6.12 TSF 間使用者資料機密性轉送保護( FDP_UCT) 52 6.13 TSF 間使用者資料完整性轉送保護( FDP_UIT) . 53 7. FIA 類別:識別及鑑別 56 7.1 鑑別失效( FIA
5、_AFL) . 57 7.2 使用者屬性定義( FIA_ATD) 57 7.3 秘密之規格( FIA_SOS) 58 7.4 使用者鑑別( FIA_UAU) . 59 7.5 使用者識別( FIA_UID) 62 7.6 使用者主體繫結( FIA_USB) 63 8. FMT 類別:安全管理 64 8.1 TSF 功能管理( FMT_MOF) . 65 8.2 安全屬性管理( FMT_MSA) 65 8.3 TSF 資料管理( FMT_MTD) . 67 8.4 廢止( FMT_REV) 68 8.5 安全屬性到期( FMT_SAE) . 69 8.6 安全管理角色( FMT_SMR) 69
6、9. FPR 類別:隱私 . 72 9.1 匿名性( FPR_ANO) . 73 9.2 假名性( FPR_PSE) 73 9.3 不可鏈結性( FPR_UNL) 75 9.4 不可觀察性( FPR_UNO) 75 10. FPT 類別: TSF 保護 . 78 10.1 下層抽象機測試( FPT_AMT) 81 10.2 失效保全( FPT_FLS) . 81 10.3 輸出之 TSF 資料的可用性( FPT_ITA) . 82 10.4 輸出之 TSF 資料的機密性( FPT_ITC) . 82 10.5 輸出之 TSF 資料的完整性( FPT_ITI) 83 10.6 TOE 內部之 T
7、SF 資料轉送( FPT_ITT) 84 10.7 TSF 實體保護( FPT_PHP) . 86 10.8 可信賴之復原( FPT_RCV) . 87 10.9 重送之偵測( FPT_RPL) 88 3 CNS 15408-2, X 5068-210.10 參考中介( FPT_RVM) 90 10.11 領域分隔( FPT_SEP) . 91 10.12 狀態同步協定( FPT_SSP) . 92 10.13 時戳( FPT_STM) . 93 10.14 TSF 間 TSF 資料的一致性( FPT_TDC) . 94 10.15 TOE 內部之 TSF 資料複製的一致性( FPT_TRC)
8、 . 95 10.16 TSF 自我測試( FPT_TST) 96 11. FRU 類別:資源運用 97 11.1 容錯( FRU_FLT) 97 11.2 服務之優先權( FRU_PRS) . 98 11.3 資源配置( FRU_RSA) 99 12. FTA 類別: TOE 存取 .101 12.1 可選取之屬性範圍的限制( FTA_LSA) .101 12.2 多重並行交談之限制( FTA_MCS) .102 12.3 交談鎖定( FTA_SSL) 103 12.4 TOE 存取旗幟( FTA_TAB) .104 12.5 TOE 存取歷史( FTA_TAH) .105 12.6 TOE
9、 交談之建立( FTA_TSE) 106 13. FTP 類別:可信賴路徑 /通道 107 13.1 TSF 間可信賴通道( FTP_ITC) 107 13.2 可信賴路徑( FTP_TRP) 108 附錄 A 安全功能需求之應用須知 110 A.1 須知之結構 111 A.1.1 類別之結構 .111 A.1.2 屬別之結構 .112 A.1.3 組件之結構 .112 A.2 相依性表 .113 附錄 B 功能之類別、屬別及組件 121 附錄 C 安全稽核( FAU) .122 C.1 安全稽核自動回應( FAU_ARP) 123 C.2 安全稽核資料產生( FAU_GEN) 124 C.3
10、 安全稽核分析( FAU_SAA) .126 C.4 安全稽核審查( FAU_SAR) .129 C.5 安全稽核事件選取( FAU_SEL) .131 C.6 安全稽核事件儲存( FAU_STG) 131 附錄 D 通訊( FCO) 134 D.1 來源不可否認性( FCO_NRO) .134 D.2 接收不可否認性( FCO_NRR) .136 4 CNS 15408-2, X 5068-2 附錄 E 密碼支援( FCS) . 139 E.1 密碼金鑰管理( FCS_CKM) 140 E.2 密碼運作( FCS_COP) 142 附錄 F 使用者資料保護( FDP) 143 F.1 存取控
11、制政策( FDP_ACC) . 146 F.2 存取控制功能( FDP_ACF) . 148 F.3 資料鑑別( FDP_DAU) 149 F.4 輸出至 TSF 控制之外( FDP_ETC) 150 F.5 資訊流控制政策( FDP_IFC) . 151 F.6 資訊流控制功能( FDP_IFF) . 153 F.7 從 TSF 控制之外輸入( FDP_ITC) . 157 F.8 TOE 內部轉送( FDP_ITT) . 159 F.9 殘餘資訊保護( FDP_RIP) 161 F.10 轉返( FDP_ROL) . 162 F.11 儲存資料完整性( FDP_SDI) . 163 F.1
12、2 TSF 間使用者資料機密性轉送保護( FDP_UCT) 164 F.13 TSF 間使用者資料完整性轉送保護( FDP_UIT) . 165 附錄 G 識別及鑑別( FIA) . 167 G.1 鑑別失效( FIA_AFL) . 169 G.2 使用者屬性定義( FIA_ATD) 170 G.3 秘密之規格( FIA_SOS) . 170 G.4 使用者鑑別( FIA_UAU) 171 G.5 使用者識別( FIA_UID) . 174 G.6 使用者主體繫結( FIA_USB) 174 附錄 H 安全管理( FMT) 175 H.1 TSF 功能之管理( FMT_MOF) . 176 H
13、.2 安全屬性管理( FMT_MSA) . 176 H.3 TSF 資料管理( FMT_MTD) 178 H.4 廢止( FMT_REV) 179 H.5 安全屬性到期( FMT_SAE) 180 H.6 安全管理角色( FMT_SMR) . 180 附錄 I 隱私( FPR) 182 I.1 匿名性( FPR_ANO) 183 I.2 假名性( FPR_PSE) . 184 I.3 不可鏈結性( FPR_UNL) . 188 I.4 不可觀察性( FPR_UNO) . 189 附錄 J TSF 之保護( FPT) . 193 J.1 下層抽象機測試( FPT_AMT) 195 5 CNS 1
14、5408-2, X 5068-2J.2 失效保全( FPT_FLS) 196 J.3 輸出之 TSF 資料的可用性( FPT_ITA) 196 J.4 輸出之 TSF 資料的機密性( FPT_ITC) 197 J.5 輸出之 TSF 資料的完整性( FPT_ITI) .197 J.6 TOE 內部之 TSF 資料轉送( FPT_ITT) .198 J.7 TSF 實體保護( FPT_PHP) 199 J.8 可信賴之復原( FPT_RCV) 201 J.9 重送之偵測( FPT_RPL) 203 J.10 參考中介( FPT_RVM) .203 J.11 領域分隔( FPT_SEP) .204
15、 J.12 狀態同步協定( FPT_SSP) 205 J.13 時戳( FPT_STM) 206 J.14 TSF 間 TSF 資料的一致性( FPT_TDC) 206 J.15 內部 TOE 之 TSF 資料複製的一致性( FPT_TRC) 207 J.16 TSF 自我測試( FPT_TST) .208 附錄 K 資源運用( FRU) .209 K.1 容錯( FRU_FLT) 209 K.2 服務之優先權( FRU_PRS) .210 K.3 資源配置( FRU_RSA) 211 附錄 L TOE 存取( FTA) 212 L.1 可選取之屬性範圍的限制( FTA_LSA) .213 L
16、.2 多重並行交談之限制( FTA_MCS) .214 L.3 交談鎖定( FTA_SSL) .215 L.4 TOE 存取旗幟( FTA_TAB) 216 L.5 TOE 存取歷史( FTA_TAH) 216 L.6 TOE 交談之建立( FTA_TSE) .217 附錄 M 可信賴路徑 /通道( FTP) .218 M.1 TSF 間可信賴通道( FTP_ITC) 218 M.2 可信賴路徑( FTP_TRP) .219 英中名詞對照表 220 6 CNS 15408-2, X 5068-2 附圖表列 圖 1.1 安全功能需求典範(單體 TOE) 9 圖 1.2 分散式 TOE 內部安全功
17、能示意圖 10 圖 1.3 使用者資料與 TSF 資料間之關係 13 圖 1.4 鑑別資料與秘密間之關係 . 15 圖 2.1 功能類別之結構 . 15 圖 2.2 功能屬別之結構 . 16 圖 2.3 功能組件之結構 . 18 圖 2.4 類別圖解示意圖 . 21 圖 3.1 安全稽核類別之圖解 22 圖 4.1 通訊類別之圖解 . 30 圖 5.1 密碼支援類別之圖解 33 圖 6.1 使用者資料保護類別之圖解 37 圖 6.2 使用者資料保護類別之圖解(續) . 38 圖 7.1 識別及鑑別類別之圖解 . 56 圖 8.1 安全管理類別之圖解 64 圖 9.1 隱私類別之圖解 . 72
18、圖 10.1 TSF 保護類別之圖解 79 圖 10.2 TSF 保護類別之圖解(續) 80 圖 11.1 資源運用類別之圖解 97 圖 12.1 TOE 存取類別之圖解 101 圖 13.1 可信賴路徑 /通道類別之圖解 . 107 圖 A.1 功能類別之結構 .111 圖 A.2 應用須知之功能屬別結構 .112 圖 A.3 功能組件之結構 .113 圖 C.1 安全稽核類別圖解 . 123 圖 D.1 通訊類別之圖解 134 圖 E.1 密碼支援類別之圖解 139 圖 F.1 使用者資料保護類別之圖解 144 圖 F.2 使用者資料保護類別之圖解(續) . 145 圖 G.1 識別及鑑別
19、類別之圖解 168 圖 H.1 安全管理類別之圖解 . 175 圖 I.1 隱私類別之圖解 . 182 圖 J.1 TSF 保護類別之圖解 . 193 圖 J.2 TSF 保護類別之圖解(續) 194 圖 K.1 資源運用類別之圖解 . 209 圖 L.1 TOE 存取類別之圖解 . 213 圖 M.1 可信賴路徑 /通道類別之圖解 . 218 7 CNS 15408-2, X 5068-2表格表列 表 A.1 功能組件相依性表 114 前言 本系列標準,包含下列部分: - 第 1 部:簡介及一般模型 - 第 2 部:安全功能需求 - 第 3 部:安全保證需求 本標準之附錄 A 到附錄 M 僅
20、供參考。 備考 1. 本標準是參照 ISO/IEC 15408 系列標準制定;而 ISO/IEC 15408 系列標準是由共同準則( Common Criteria, CC)計畫贊助組織,將其資訊技術安全評估共同準則第 1 部至第 3 部,授與 ISO/IEC 而制定之國際標準。 2. ISO/IEC JTC/SC27 根據共同準則詮釋管理委員會( Common Criteria Inter-pretation Management Board, CCIMB)已在修訂之共同準則相關資訊,根據CCIMB 公布的資料,資訊技術安全評估共同準則於本標準審定時已有多處修正,參考時宜多加注意(參考網址:
21、 http: /moncriteria.org/ccc /ri/finalIndex.jsp) 。 8 CNS 15408-2, X 5068-2 1. 適用範圍 本標準所定義之安全功能組件,為保護剖繪( Protection Profile, PP) 或安全標的( Security Target, ST) 中所述之評估標的( Target of Evaluation, TOE) 資訊技術 (IT)安全功能需求之基礎。這些需求說明了對評估標的所期待應具有之安全行為,且這些需求用意在於滿足 PP 或 ST 中所述之安全目的。這些需求詳述使用者可以借由與評估標的直接互動(亦即輸入、輸出)或利用 T
22、OE 對刺激的回應偵測出來之安全性質。 安全功能組件傳達了安全計畫對抗 TOE 運作環境中所產生的威脅之安全需求,及/或涵蓋任何已識別之組織安全政策與假設。 本標準之讀者包括保全 IT 系統、產品之消費者、發展者及評估者。本標準系列標準第 1 部第 3 節對本系列標準的之讀者及讀者群組如何使用標準提供額外之資訊。這些讀者群組可依下述使用本標準: 消費者,其於選取組件以傳達功能需求、滿足 PP 或 ST 所述之安全目的時,而使用本標準。本系列標準第 1 部第 4.3 小節對安全目的與安全需求之間的關係另有更加詳細之說明。 發展者,其於建構 TOE 中,對實際或已發覺之消費者安全需求予以回應時,可
23、於本標準中發現標準化方法進而瞭解這些需求。他們亦能將本標準之內容作為基礎,進一步定義符合這些需求之 TOE 安全功能及機制。 評估者,其將本標準所定義之功能需求用於查證 PP 或 ST 內所述之 TOE 功能需求是否滿足 IT 安全目的,並查證是否所有相依性皆納入考慮,且顯示已經滿足需求。評估者亦應使用本標準,協助判斷某 TOE 是否滿足所述之需求。 1.1 功能需求之延伸與維護 本系列標準及其結合之安全需求並無意對所有 IT 安全問題做確定回答。更恰當地,本標準提供的是一套習知且可用來創造反應出市場需要之可信賴產品或系統的安全功能需求。這些安全功能需求是依最新的需求規格及其評估而提出的。 本
24、標準並未認定其已納入所有可能之安全功能需求,而是儘可能地將那些已知、且具有價值之安全功能需求納入其中。 消費者的瞭解及消費者之需求可能會改變,因此對本標準所述之功能需求有修編之需要。可想像某些 PP/ST 擬訂者或有未被涵蓋於本標準功能需求組件內的其他安全需要。在此情形下, PP/ST 之擬訂者或可選擇考慮使用本標準以外之功能需求(稱為延伸性),如本系列標準第 1 部附錄 B 及 C 之解釋。 1.2 本標準之組織 第 1 節為本標準之簡介導論。 第 2 節介紹本標準功能組件之型錄。 第 3 節到第 13 節說明功能類別。 附錄 A 為功能組件之潛在使用者提供了引起興趣之其他資訊,包括一完全功
25、能組件相依性對照參考表。 附錄 B 到附錄 M 則對功能類別提供了應用須知。這些附錄為本標準使用者之參 9 CNS 15408-2, X 5068-2考性支援資料庫,其或可幫助他們應用相關運作及選取適當之稽核或文件資訊。 PP 或 ST 擬訂者應參考本系列標準第 1 部第 2 節中有關結構、規則及指引之說明: 本系列標準第 1 部第 2 節就本系列標準所用之術語予以定義之。 本系列標準第 1 部附錄 B 對 PP 之結構提出定義。 本系列標準第 1 部附錄 C 就 ST 之結構提出定義。 1.3 功能需求典範 本小節就本標準安全功能需求所用之典範提出說明。圖 1.1 及 1.2 說明了此典範的
26、一些關鍵觀念。本小節對這些圖形及其他未被圖示之關鍵觀念提供了文字敘述。本小節無意取代或凌駕本系列標準第 1 部第 2 節中所定義本系列標準詞彙內之任一名詞。 圖 1.1 安全功能需求典範(單體 TOE) 安全屬性安全屬性處理資源TOE安全功能(TSF)實施TOE安全政策(TSP)主體物件/資訊安全屬性主體安全屬性主體安全屬性主體TSF控制範圍(TSC)評估標的(TOE)TOE安 全功能介面 (TSFI)使用人(Human User)遠端資訊技術產品使用者 10 CNS 15408-2, X 5068-2 本標準是用以規定某一評估標的安全功能需求之型錄。 TOE 為 IT 產品或系統(連同使用者
27、及管理者指引文件)。它含有諸如電子儲存媒體(如磁片)、周邊裝置(如印表機)及計算能力(如 CPU 時間)等資源可被用於資訊處理及儲存上,且為評估之主體者。 TOE 之評估,其主要關切點在於確保已定義之 TOE 安全政策( TOE Security Policy, TSP)實作於該 TOE 之資源上。 TSP 就是對 TOE 所管控資源及所擁有資訊及服務之存取,定義須遵守之規則。 因此, TSP由多個安全功能政策( Security Function Policy, SFP)所構成。每個 SFP 皆有其控制範圍,用以定義其所控制之主體、物件及運作。 SFP由安全功能( Security Func
28、tion, SF)實作,由其機制施作安全功能政策,並提供必要之能力。 圖 1.2 分散式 TOE 內部安全功能示意圖 :RF 遠端功能不可信賴 IT 產品 遠端可信賴 IT 產品 SFSFSF SFSFSFTOE 內部轉送 本地 (內部 TOE) 可信賴路徑 本地使用者 本地 TOETSF 間之轉送 TSF 控制外之轉送TSF 間可信賴路徑 遠端使用者 11 CNS 15408-2, X 5068-2為正確實施 TSP 必須依賴 TOE 的部分,合稱為評估標的安全功能( TOE Security Functions, TSF)。 TSF 包含了安全實施所直接或間接憑賴 TOE 之所有硬體、軟體
29、及韌體 參考監視器 (Reference monitor) 為一抽象機器,用以實作 TOE 之存取控制政策。參考驗核機制 (Reference validation mechanism)為參考監視器觀念之實作,其具有下面性質:可防破壞、總是被調用、簡單到足以接受徹底之分析及測試。 TSF 可由參考驗核機制及 /或其他 TOE 運作所必需之安全功能所構成。 TOE 可為一含硬體、韌體及軟體之單體產品。 此外, TOE 也可為由內部多個個別部分所構成之分散式產品。此 TOE 的任一構成部分均為該 TOE 提供了特定服務,且透過內部通訊通道連至該 TOE 其他部分。此通道可以小至處理器之匯流排,或大
30、至該 TOE 的內部網路。 當 TOE 由多個部分所組成,該 TOE 每一部分得有其自己的 TSF 部分,以在內部通訊通道上與 TSF 其他部分交換使用者及 TSF 資料。此互動稱之為 TOE 內部轉送。在此情形下, TSF 的各個部分以抽象方式形成組合式 TSF,由其實施 TSP。 TOE 的介面可依特定 TOE 本地化,或它們可准許經外部通訊通道與其他 IT 產品互動。這些與其他 IT 產品的外部互動得以兩種形式行之: (a) 遠端可信賴之 IT 產品的安全政策與本地各 TOE 的 TSP 間業已管理協調與評估。此種情形之資訊交換因其發生於多個個別、可信賴產品之 TSF 之間故稱之為 TS
31、F 間之轉送。 (b) 遠端 IT 產品可能未經評估,故其在圖 1.2 被標示為不可信賴 IT 產品。因此,其安全政策也就不得而知。此種情況下的資訊交換,因遠端 IT 產品並無 TSF(或其政策特性未知)稱之為 TSF 控制外之轉送。 遵守 TSP 規則下,在 TOE 間或在 TOE 內所發生互動之集合,稱之為 TSF 控制範圍( TSF Scope of Control, TSC)。 TSF 控制範圍包含 TOE 內以主體、物件及運作為依據之已定義之互動集,但其無須包含 TOE 的所有資源。 介面之集合,不管其為互動式(人機介面),或程式性(應用程式介面),透過它, TSF 可存取資源,或取
32、得資訊,皆稱之為評估標的安全功能介面( TSF Interface, TSFI)。 TSFI 定義了用以實施 TSP 之 TOE 功能的邊界。 使用者位於 TOE 之外部,因此也就位於 TSC 控制範圍外。為了請求由 TOE 所執行服務,使用者可透過該 TSFI 而與 TOE 互動。本標準安全功能需求之使用者可分成兩種,分別為使用人及外部 IT 個體。使用人又可進一步分成本地之使用人或遠端之使用人。前者係指使用人透過 TOE 裝置(如工作站)而與該 TOE 直接互動,後者係指使用人透過另一個 IT 產品與 TOE 間接互動。 使用者與 TSF 間的互動持續時間稱之為使用者交談( session
33、)。按各種考量可讓使用者交談之建立受到控制,例如使用者鑑別、當日時間、 TOE 存取方 12 CNS 15408-2, X 5068-2 法及每位使用者允許之並行交談的數目。 本標準使用授權一詞代表使用者擁有執行運作所必需之權力及 /或特權。因此,經授權使用者一詞意味准許該使用者執行 TSP 所定義之運作。 為表明區隔系統管理者職責之需求,相關之本標準安全功能組件(來自FMT_SMR 屬別)清楚表示了管理角色有其必要性。角色係謂已預先定義允許使用者與 TOE 的互動規則集。 TOE 可支援任何數目之角色定義。例如,與 TOE保全運作有關之角色可含括稽核管理者或使用者帳號管理者。 TOE 含有可
34、用於資訊處理及儲存之資源。 TSF 的主要目標是利用 TOE 所控制之資源及資訊以完全及正確實施 TSP。 TOE 資源可以許多不同方式結構化及運用。不過,本標準做了特定之區別,已考慮到所要之安全性質規格。所有可從資源創造出來的個體可依下述兩種方式之一加以特性化。其一為主動個體,意指它們為發生於 TOE 內部之動作之導因,並引發在資訊上執行之運作。另一為被動個體,意指這些個體是資訊源起之容器 (container),或是資訊被儲存所在之容器。 主動個體稱為主體。 TOE 內可存在數種型式之主體: (a) 代表 (acting on behalf of)經授權使用者並遵守 TSP 所有規則者(例
35、如:UNIX 行程)。 (b) 行使可依次代表多數使用者執行特定功能處理者(例如:用戶端 /伺服器架構中可找到之功能)。 (c) 代表該 TOE 本身之一部分者 (例如:可信賴之處理 )。 本標準就上述主體型式的 TSP 之實施提出了說明。 被動個體(亦即資訊容器)於本標準安全功能需求中稱之為物件。物件為主體可執行之運作標的。當主體(主動個體)為某項運作之標的者(例如:程序間之通訊),則該主體亦可作為物件來運作。 物件可以含有資訊 。此觀念需要用來規定 FDP 類別所述之資訊流控制政策。 使用者、主體、資訊及物件擁有之屬性中,特定屬性含有可讓 TOE 正確行動之資訊。某些屬性,例如檔案名稱,其
36、用意可能為提供資訊(亦即增加 TOE 使用者親切度),而其他屬性,例如存取控制資訊,其存在乃特別為了實施 TSP。後者之屬性一般稱之為安全屬性。屬性一字於本標準內係為安全屬性一詞之簡稱。然文中另有載明者,從其載明。不論屬性資訊的預定目的為何,對 TSP 所規定之屬性實作控制或有其必要。 TOE 內的資料不是被分類為使用者資料,就是被分類為 TSF 資料。圖 1.3 描述此一關係。使用者資料為儲存在 TOE 資源內之資訊,可由使用者按 TSP而對其操控,且 TSF 並無對其置放任何特殊之意義。例如,電子郵件訊息之內容即屬使用者資料。 TSF 資料為 TSF 制訂其安全政策決定時所用之資料。倘 T
37、SP 允許, TSF 資料得受使用者之影響。安全屬性、鑑別資料及存取控制表列項目均屬 TSF 資料。 有幾個 SFP 適用於資料保護,例如存取控制 SFP及資訊流控制 SFP。 13 CNS 15408-2, X 5068-2存取控制 SFP 之實作機制是以控制範圍內之主體、物件及運作之屬性為其政策決定之依據。這些屬性用於那些操控主體可在物件上執行運作之規則集中。 實作資訊流控制 SFP 之機制是以控制範圍內主體及資訊之屬性,與操控主體對資訊之運作的規則集,為其政策決定之依據。資訊屬性,與容器屬性可能有關(或無關,如多層級資料庫之案例),則隨資訊之移動而移動。 圖 1.3 使用者資料與 TSF
38、 資料間之關係 鑑別資料使用者屬性物件屬性主體屬性資訊屬性使用者資料安全屬性 TSF資料TOE資料本標準所述之兩種特定型式之 TSF 資料可以相同也可不同。此兩種 TSF 資料型式分別為鑑別資料及秘密。 鑑別資料用來查證需求 TOE 提供服務之使用者所宣稱之身分。最常見之鑑別資料形式為通行碼,其有賴保密才得為一有效安全機制。然並非所有形式的鑑別資料皆須予以保密。生物檢定鑑別裝置(例如:指紋辨識機、視網膜掃瞄儀)並不依賴資料予以保密此一事實。相反地,其所依賴之資料為僅有一位使用者擁有、且無法被偽造。 本標準功能需求中所用之秘密此一術語,雖然適用於鑑別資料,但對為實施特定 SFP 而須予以保密其他
39、型式之資料亦適用。例如,依賴密碼以維護經由通道傳送資訊之機密性的可信賴通道機制,其堅強度僅能如同用來對密碼金鑰保密、免其遭未經授權之揭露。 因此,對某些鑑別資料有必要維護其機密,但非全部鑑別資料皆須如此;某些秘密被作為鑑別資料使用,但非全部秘密皆如此。圖 1.4 說明秘密與鑑別資料 14 CNS 15408-2, X 5068-2 間的此一關係。鑑別資料中典型會遭遇到的資料型式及秘密區段皆顯示於圖中。 圖 1.4 鑑別資料與秘密間之關係 密碼變數 秘密鑑別資料 生物量度智慧卡通行碼 15 CNS 15408-2, X 5068-22. 安全功能組件 2.1 概觀 本節就本系列標準之功能需求內容
40、及其表現予以定義之,並對要納入於 ST 之新組件,就其需求之組織提供指引。功能需求以類別、屬別及組件表達之。 2.1.1 類別結構 圖 2.1 以圖形方式對功能類別之結構提出說明。每個功能類別均包括一類別名稱、一類別介紹及一個或多個功能屬別。 圖 2.1 功能類別之結構 允許之作業允許之作業功能類別類別名稱類別介紹功能屬別AB金鑰A含B 加上數目C C2.1.1.1 類別名稱 本小節提供識別及分類功能類別所需之資訊。每個功能類別都有一個唯一名稱。類目資訊由三字元之短名所構成。類別短名被用於該類別之屬別的規格中。 2.1.1.2 類別介紹 類別介紹傳達了屬別為滿足安全目的所具有之共同意圖或所用之
41、方法。功能類別的定義未反映於需求規格中任何正規 (Formal)分類。 類別介紹提供了描述該類別之屬別及每個屬別的組件之架構圖形,如第 2.2 節之解釋。 2.1.2 屬別結構 圖 2.2 以圖形方式說明功能屬別之結構。 16 CNS 15408-2, X 5068-2 圖 2.2 功能屬別之結構 允許之作業允許之作業功能屬別屬別名稱屬別行為組件分級組件管理稽核2.1.2.1 屬別名稱 本小節提供了對功能屬別識別及分類所需之類目及描述性資訊。每個功能屬別都有一個唯一名稱。類目資訊由 7 字元之短名所組成,格式如 XXX_YYY。其中,前三個同於類別之短名,其後依序為一條底線及屬別之短名。屬別名
42、唯一、且簡短之形式為組件提供了主要參考名稱。 2.1.2.2 屬別行為 屬別行為者,對該屬別之安全目的 (Security objective)作詳細的描述,並對該功能需求予以綜合性描述。詳加說明如下: (a) 屬別之安全目的闡明可藉由併入該屬別某組件的 TOE 幫助下予以解決之安全問題。 (b) 功能需求之描述歸納組件中所含的所有需求。此描述乃是針對那些欲評估該屬別是否與其特定需求有所關連之 PP、 ST 及功能套件的擬訂者而為。 2.1.2.3 組件分級 功能屬別含有一個或多個組件,可從中選取任何一個組件納入於 PP、 ST 及功能套件中。此節之目標在於,一旦該屬別被識別為使用者安全需求之
43、必要或有用部分後,即提供使用者資訊,供其選取適當功 17 CNS 15408-2, X 5068-2能組件。 功能屬別描述區段說明了可取用之組件及其理由闡述。組件的確實細節含括於每個組件之內。 功能屬別內其組件間的關係可以是,也可以不是階層式的。提供較多安全之組件其位階也較高。 如第 2.2 節之解釋,屬別之描述對屬別內的組件階層提供了圖形式概觀。 2.1.2.4 管理 管理需求含有可供 PP/ST 擬訂者,視為針對特定組件之管理活動進行的資訊。此管理需求詳述於管理類別( FMT)的組件內。 PP/ST 的擬訂者可選取所述之管理需求,或納入未被列出之其他管理需求。對此,應將此類資訊視為參考性。
44、 2.1.2.5 稽核 如果來自 FAU 安全稽核類別的需求被納入了 PP/ST 中,則稽核需求含有可供 PP/ST 擬訂者選取之可稽核事件。這些需求包含以FAU_GEN 安全稽核資料產生屬別之組件所支援的各個詳細等級之安全相關事件。例如,稽核備考可能包括下列之動作: 最低限度安全機制的成功使用; 基本安全機制及與牽涉安全屬性有關資訊之任何使用; 詳細對機制所做的任何組態改變,包括改變前後實際組態值。 宜注意,可稽核事件之分類是階層式架構。例如,當所要的是基本稽核產生時,除了當較高等級事件提供比低等級事件更多細節外,所有被識別為最低限度及基本之要稽核事件應透過適當指定(Assignment)運
45、作的使用而被納入於 PP/ST 內。當所要的是詳細稽核產生時,所有已識別的可稽核事件(最低限度、基本及詳細)均應納入 PP/ST 內。 有關管控稽核之規則,於 FAU 類別篇幅中有更詳細的解釋。 2.1.3 組件結構 圖 2.3 說明功能組件之結構。 圖 2.3 功能組件之結構。 18 CNS 15408-2, X 5068-2 組件組件識別相依性功能元件2.1.3.1 組件識別 組件識別本小節提供了識別、分類、註冊及對照參考組件所需之描述性資訊。下列各項是提供作為每個功能組件之組成部分: 唯一名稱:此名稱反映該組件之目的。 短名:功能組件唯一、簡短格式之名稱。此短名作為組件分類、註冊及交互參
46、考的主要參考名。此短名反映組件所屬之類別及屬別,還有屬別內組件之數目。 層級次於表列:此係指在階層上位於特定組件後方的其他組件表列,可用此特定組件滿足對表列組件之相依性。 2.1.3.2 功能元件 對每組件均提供一元件集。每個元件都經個別定義,且每個元件皆自給自足。 功能元件為安全功能需求,若其遭進一步分割,將無法產生一具意義之評估結果。它為本系列標準內可被識別及辨認之最小安全功能需求。 於建構套件、 PP 及 /或 ST 時,不允許從一組件中僅選取一個或多個元件。組件的完全元件集皆須被選取納入 PP、 ST 或套件內。 唯一、簡短格式的功能元件名稱已予提供。以 FDP_IFF.4.2 之需求
47、名稱為例,其標示如下: F-功能需求; DP-使用者資料保護類別;_IFF-資訊流控制功能屬別;第 4 個組件 4-名為非法資訊流部分消弭; 2-該組件的第 2 個元件。 2.1.3.3 相依性 當一組件無法自給自足,而須依賴另一組件之功能,或須與另一組件互動,始得自己適當發揮功能時,功能組件間的相依性便產生了。 每個功能組件都提供了對其他功能與保證組件之相依性的完全表列。某些組件可能會列出無相依性。被依賴的組件可能轉而對其他組件有了相依性。組件內所提供的表列為直接相依性。此僅為該組件為適當執行其工作所需之功能需求之參考。間接相依性,亦即從被依 19 CNS 15408-2, X 5068-2
48、賴之組件所產生而出之相依性,參見本標準附錄 A。須注意在某些情況下,若提供的功能需求數目很多,且每個均足以滿足相依性時,則相依性是具選項的(例如:參見 FDP_UIT.1 之說明)。 相依性表列可識別最少的功能及保證組件,以滿足與一已識別組件有關之安全需求。在階層上排列於該已識別組件之後的組件亦可被使用來滿足相依性。 本標準所述之相依性屬規範性質。它們須在 PP/ST 中被滿足。在特定情況下,所述之相依性可能不適用。 PP/ST 擬訂者在提供為何不適用之理由闡述後,可將被依賴之組件摒除於其套件、 PP 或 ST 外。 2.1.4 允許之功能組件運作 PP、 ST 或功能套件定義中所用之功能組件
49、可精確規定於本標準第 3 節至第 13 節之所述,或將其裁切得當以符合特定安全目的。不過這些功能組件的選取及裁切卻受須考慮所識別組件之相依性而複雜化。因此,限制只有經同意之運作集才得對其進行裁切。 每一功能組件都納入允許運作表列。並非所有運作都被允許執行於所有功能組件上。 被允許之運作從下面集合中選取之: 迭次( Iteration):准許一組件在不同運作中被使用超過一次。 指定( Assignment):准許規定一被識別之參數。 選取( Selection):准許從表中規定一個或多個組件。 精細化( Refinement):准許細節之增補。 2.1.4.1 迭次 在須涵蓋同一需求之不同層面之處(例如:超過一種型式之使用者識