ICS35.040L80日日中華人民共和國家標準GB/T18336.2—201X/ISO/1EC15408:2008代替GB/T18336.2-2008信息技術安全技術

信息技術安全評估準則

第2部分:安全功能要求Informationtechnology—Securitytechniques一

EvaluationcriteriaforITsecurityPart2:Securityfunctionalrequirements（ISO/IEC15408-2：2008,IDT）（報批稿）（在提交反饋意見時,請將您知道的相關專利連同支持性文件ー并附上）XXXX-XX-XXXXXX-XXXXXX-XX-XX中華人民共和國國家質量監督檢驗檢疫總局

中國國家標準化管理委員會目次TOC\o"1-5"\h\z前言 4引言 5!范圍 62規范性引用文件 63術語、定義和縮略語 64概述 64.1本部分的結構 65功能要求范型 76安全功能組件 91概述 92組件分類 127FAU類:安全審計 131 安全審計自動響應（FALARP） 14安全審計數據產生（FALGEN） 15安全審計分析（FAU_SAA） 16安全審計查閱（FALSAR） 18安全審計事件選擇（FALSEL） 19安全審計事件存儲（FAU_STG） 20FCO類:通信 22.1 原發抗抵賴（FC0_NR0） 22.2接收抗抵賴（FCO_NRR） 23FCS類:密碼支持 259.1密鑰管理（FCS_CKM） 259.2密碼運算（FCS_COP） 2610FDP類:用戶數據保護 271訪問控制策略（FDP_ACC） 30訪問控制功能（FDP_ACF） 30數據鑒別（FDP_DAU） 31從T0E輸出（FDP_ETC） 33信息流控制策略（FDP」FC） 34信息流控制功能（FDP」FF） 35從TOE之外輸入（FDP」TC） 38TOE內部傳送（FDP_ITT） 39殘余信息保護（FDP_RIP） 4110回退（FDP_ROL） 4211存儲數據的完整性（FDP_SDI） 4312TSF間用戶數據機密性傳送保護（FDP_UCT） 4513TSF間用戶數據完整性傳送保護（FDP_UIT） 4511FIA類:標識和鑒別 471 鑒別失敗（FIA_AFL） 48用戶屬性定義（FIA_ATD） 49秘密的規范（FIA一SOS） 49用戶鑒別（FIAJJAU） 50用戶標識（FIAJID） 53用戶-主體綁定（FIA_USB） 5412FMT類:安全管理 551 TSF中功能的管理（FMT_MOF） 56安全屬性的管理（FMT_MSA） 57TSF數據的管理（FMT_MTD） 59撤消（FMT_REV） 60安全屬性到期（FMT_SAE） 61管理功能規范（FMT_SMF） 627 安全管理角色（FMT_SMR） 6213FPR類:隱私 641 匿名（FPR一AN0） 64假名（FPR_PSE） 65不可關聯性（FPR-UNL） 67不可觀察性（FPRJJNO） 6714FPT類:TSF保護 691 失效保護（FPT_FLS） 712 輸出TSF數據的可用性（FPT」TA） 713輸出TSF數據的機密性（FPT」TC） 724輸出TSF數據的完整性（FPT_ITI） 725 TOE內TSF數據的傳送（FPT_ITT） 746TSF物理保護（FPT_PHP） 757可信恢復（FPT_RCV） 778 重放檢測（FPT_RPL） 799 狀態同步協議（FPT_SSP） 7910 時間戳（FPT_STM） 8011TSF間TSF數據的一致性（FPT_TDC） 8112 外部實體測試（FPT_TEE） 8113TOE內TSF數據復制的一致性（FPT_TRC） 8214 TSF自檢（FPT_TST） 8315 FRU類:資源利用 84! 容錯（FRU_FLT） 84服務優先級（FRU_PRS） 85資源分配（FRU_RSA） 8616 FTA類:TOE訪問 87! 可選屬性范圍限定（FTA_LSA） 88多重并發會話限定（FTA.MCS） 88會話鎖定和終止（FTA_SSL） 89TOE訪問旗標（FTA_TAB） 91TOE訪問歷史（FTA_TAH） 91TOE會話建立（FTA_TSE） 9217 FTP類:可信路徑/信道 931 TSF間可信信道（FTP_ITC） 932 可信路徑（FTP_TRP） 94附錄A（規范性附錄）安全功能要求應用注釋 96附錄B（規范性附錄）功能類、族和組件 104附錄C（規范性附錄）FAU類:安全審計 105附錄D（規范性附錄）FCO類:通信 115附錄E（規范性附錄）FCS類:密碼支持 119附錄F（規范性附錄）FDP類:用戶數據保護 123附錄G（規范性附錄）FIA類:標識和鑒別 144附錄H（規范性附錄）FMT類:安全管理 152附錄1（規范性附錄）FPR類:隱私 160附錄J（規范性附錄）FPT類:TSF保護 169附錄K（規范性附錄）FRU類:資源利用 183附錄L（規范性附錄）FTA類:TOE訪問 187附錄M（規范性附錄）FTP類:可信路徑/信道 192GB/T18336在《信息技術 安全技術信息技術安全評估準則》總標題下,由以下三部分組成:ーー第1部分:簡介和一般模型ーー第2部分：安全功能要求ーー第3部分：安全保障要求本部分是GB/T18336-200X的第2部分。本部分等同采用國際標準ISO/IEC15408-2：2008《信息技術-安全技術一信息技術安全評估準則第2部分:安全功能要求》。本部分代替GB/T18336.2-2008《信息技術安全技術信息技術安全評估準則第2部分：安全功能要求》。2001年,GB/T18336-200I《信息技術安全技術信息技術安全性評估準則》發布。2008年,進行了第一次修訂,發布GB/T18336-2008《信息技術安全技術信息技術安全性評估準則》。本部分與GB/T18336.2-2008的主要差異如下：1、GB/T18336.2-201X中將“保證”(assurance)改為“保障”；2ヽGB/T18336.2-201X中將“輸出到TSF控制之外(FDP.ETC)”改為“從TOE輸出(FDP_ETC)”；3、GB/T18336.2-201X中將“從TSF控制之外輸入(FDP_1TC)”改為“從TOE之タト輸入(FDP_1TC)”；4,刪除了GB/T18336.2-2008“FPT類：TSF保護”中的“底層抽象機測試(FPT_AMT)”、“引用仲裁(FPT.RVM)”ヽ“域分離(FPT_SEP)”；5、GB/T18336.2-201X“FPT類：TSF保護”中增加了“外部實體測試(FPT_TEE)”；6,GB/T18336.2-201X中將“會話鎖定(FTA_SSL)M改為“會話鎖定和終止(FTA_SSL)”；7、GB/T18336.2-201X中將“門限值”改為“臨界值”；8、GB/T18336.2-201X中將“介導”改為“促成”。本部分由全國信息安全標準化技術委員會(SACT260)提出和歸ロ。本部分的主要起草單位:中國信息安全測評中心。本部分的參與單位：信息產業信息安全測評中心、公安部第三研究所。本部分主要起草人：張鐘斌、郭穎、石揚松、畢海英、張寶峰、高金萍、王峰、楊永生、李國俊、董晶晶、謝蒂、王鴻嫻、張怡、顧健、邱梓華、宋好好、陳妍、楊元原、李鳳娟、龐博、張驍、劉昱函、王書毅、周博揚。本部分定義的安全功能組件為在保護輪廓（PP）或安全目標（ST）中表述的安全功能要求提供了基礎。這些要求描述了評估對象（TOE）所期望的安全行為,并旨在滿足在PP或ST中所提出的安全目的。這些要求描述那些用戶能直接通過IT交互（即輸入、輸出）或IT激勵響應過程探測到的安全特性。安全功能組件表達了安全要求,這些要求試圖對抗針對假定的TOE運行環境中的威脅,并（/或）涵蓋了所有已標識的組織安全策略和假設。本部分的目標讀者主要包括安全的IT產品的消費者、開發者、評估者。GB/T18336.1第5章提供了關于GB/T18336的目標讀者和目標讀者群體如何使用GB/T18336的附加信息。這些群體可以按如下方式使用本部分:a）消費者,為滿足PP或ST中提出的安全目的,通過選取組件來表述功能要求。GB/T18336.1提供了更多關于安全目的和安全要求之間的關系的詳細信息:b）開發者，在構造TOE時響應實際的或預測的消費者安全要求,可以在本部分中找到ー種標準的方法去理解這些要求。也可以以本部分的內容為基礎，進ー步定義TOE的安全功能和機制來滿足那些要求:c）評估者，使用本部分所定義的功能要求檢驗在PP或ST中表述的TOE功能要求是否滿足IT安全目的，以及所有的依賴關系是否都已解釋清楚并得到滿足。評估者也宜使用本部分去幫助確定指定的TOE是否滿足規定的要求。信息技術安全技術

信息技術安全評估準則

第2部分:安全功能要求1范圍為了安全評估的意圖,GB/T18336的這一部分定義了安全功能組件所需要的結構和內容。本部分包含ー個安全組件的分類目錄,將滿足許多IT產品的通用安全功能要求。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅所注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本（包括所有的修訂版）適用于本文件。GB/T18336.1信息技術安全技術信息技術安全評估準則第1部分:簡介和一般模型（ISO/IEC15408-1：2009,IDT）3術語、定義和縮略語GB/T18336.1中給出的術語、定義、符號和縮略語適用于本文件。4概述GB/T18336和本部分在此描述的相關安全功能要求，并不意味著是對所有IT安全問題的最終回答。相反,本標準提供ー組廣為認同的安全功能要求，以用于制造反映市場需求的可信產品。這些安全功能要求的給出，體現了當前對產品的要求規范和評估的技術發展水平。本部分并不計劃包括所有可能的安全功能要求,而是盡量包含那些在本部分發布時作者已知的并認為是有價值的那些要求。由于消費者的認知和需求可能會發生變化，因此本部分中的功能要求需要維護。可預見的是，某些PP/ST作者可能還有一些安全要求未包含在本部分提出的功能要求組件中。此時，PP/ST的作者可考慮使用GB/T18336之外的功能要求（稱之為可擴展性）,有關內容參見GB/T18336.1附錄A和附錄B。4.!本部分的結構第5章是本部分安全功能要求使用的范型。第6章介紹本部分功能組件的分類,第7章到第17章描述這些功能類。附錄A為功能組件的潛在用戶提供了解釋性信息,其中包括功能組件間依賴關系的ー個完整的交叉引用表。附錄B至附錄M提供了功能類的解釋性信息。在如何運用相關操作和選擇恰當的審計或文檔信息時，這些材料必須被看作是規范性說明。使用助動詞’‘應”表示該說明是首要推薦的，但是其他的只是可選的。這里只給出了不同的選項，具體的選擇留給了PP/ST作者。對于有關結構、規則和指南，編寫PP或ST的人員應參考GB/T18336.1第2章和相關附錄:GB/T18336.1第3章定義了GB/T18336中使用的術語。GB/T18336.1附錄A定義了ST的結構。GB/T18336.1附錄B定義了PP的結構。5功能要求范型本章描述了本部分安全功能要求中所使用的范型。討論中所涉及的關鍵概念均以粗體/斜體突出表示。本章并不打算替換或取代GB/T18336.1第3章中所給出的任何術語。本部分是一個有關安全功能組件的目錄,可用于規約一個評估對象（TOE）的安全功能要求。TOE可以是軟件、固件和（/或）硬件的集合,并可能配有用戶和管理員的指導性文檔。TOE可包含用于處理和存儲信息的資源,諸如電子存儲媒介（如主存、磁盤空間）、外設（如打印機）以及計算能力（如CPU時間）等，并且是評估的對象。TOE評估主要關注的是，確保對TOE資源執行了所定義的安全功能要求（SFR）集。這些SFR定義了一些規則，TOE通過這些規則來管制對其資源的訪問和使用，從而實現對信息和服務的管控。這些SFR可定義多個安全功能策略（SFP）?以表達TOE必須執行的規則。每ー個這樣的SFP必須通過定義主體、客體、資源或信息及其適用的操作，來明確說明該安全功能策略的控制范圍,所有SFP均由TSF（見下文）實現,其機制執行SFR中定義的規則并提供必要的能力。TOE中為正確執行SFR而必須依賴的部分統稱為TOE安全功能（TSF）。TSF由TOE中為了安全執行而直接或間接依賴的所有軟件、硬件和固件組成。TOE可以是ー個包含硬件、固件和軟件的整體合一式的產品。TOE也可以是ー個分布式產品，內部由多個不同的部分組成，每一部分都為TOE提供特定的服務,并且通過內部通信信道與TOE其它部分相連接。該信道可以小到為ー個處理器總線,也可以是TOE之內的ー個網絡。當TOE由多個部分組成時，TOE的每一部分可擁有自己的那部分TSF,該部分通過內部通信信道與TSF的其它部分交換用戶數據和TSF數據，這種交互稱為TOE內部傳送。在這種情況下，這些TSF的不同部分抽象地形成了執行SFR的組合型TSF,TOE接口可能只局限在特定的TOE內部使用,或者也可允許通過外部通信信道與其它IT產品交互。與其它IT產品的外部交互可以采取以下兩種形式:a）其他“可信!T產品”的安全功能要求和TOE的安全功能要求已進行了管理方面的協調，并假設這些其他可信IT產品已正確執行了其安全功能要求（例如:通過獨立的評估）。在這種情況下,信息交換被稱為TSF間傳送,因為它們存在于不同可信產品的TSF之間。b）其他IT產品可能是不可信的,被稱為“不可信IT產品”。因此，它的SFR或是未知的,或這些SFR的實現被視為是不可信賴的。在這種情況下,TSF促成的信息交換被稱為TOE的外部傳送,因為在其他IT產品上沒有TSF（或它的策略特征是未知的）。ー個接口集合,不管是交互式的（人機接口）,還是可編程的（應用編程接口）,通過這些接口,由TSF協調對資源的訪問，或者從TSF中獲取信息,這ー接口集合被稱為TSF接口（TSFI）。TSFI定義了為執行SFR而提供的TOE功能邊界。用戶在TOE的外部。但為了請求由TOE執行且由SFR中定義的規則所控制的服務,用戶要通過TSFI和TOE交互。本部分關注兩種類型用戶：人類用戶和外部IT實體。人類用戶可進ー步分為本地用戶和遠程用戶,本地用戶通過TOE設備（如工作站）直接與TOE交互,遠程用戶通過其他IT產品間接與TOE交互。用戶和TSF之間的一段交互期稱為用戶會話。可以根據各種因素來控制用戶會話的建立,例如：用戶鑒別、時段、訪問TOE的方法以及允許的（每個用戶的或總的）并發會話數。本部分使用術語“授權的”來表示一個用戶持有執行某項操作的權カ或特權。因此術語“授權用戶”表明用戶允許執行由SFR定義的特定操作或ー組操作。為了表達分離管理責任的要求,相關的安全功能組件（來自FMT一SMR族）明確指出了所要求的管理性角色。角色是預定義的ー組規則,用于建立用戶按此角色操作時所允許的與TOE之間的交互。ー個TOE可以支持任意多個角色的定義。例如,與TOE安全運行相關的角色可以包括“審計管理員’’和“用戶帳號管理員”。TOE包含可用于處理和存儲信息的資源。TSF的主要目標是對TOE所控制的資源和信息完整而正確地執行SFR。TOE資源能以多種方式組織并加以利用。但是,本部分作出了一個明確的區分,以便允許規范所期望的安全特性。所有可通過資源來創建的實體,可用以下兩種方式中的一種來刻畫:實體可以是主動的,意指它們是促使在TOE內部出現動作并導致信息操作的原因;或者,實體也可以是被動的,意指它們或是產生信息的載體,或是存儲信息的載體。TOE中對客體執行操作的主動實體，被稱為主體。TOE內可存在以下類型的主體:a）代表一個授權用戶的那些實體（如，UNIX進程）；b）作為ー個特殊功能進程，可依次代表多個用戶的那些實體（如,在客戶/服務器結構中可能找到的某些功能）；c）作為TOE自身一部分的那些實體（如，不代表某個用戶的進程）。本部分用于解決在上述各類主體上實施SFR的問題。TOE中包含和接收信息,且主體得以在這些信息上執行操作的被動實體，稱作客體。在一個主體（主動實體）是某個操作的對象（例如進程間通信）的情況下,該主體也可以作為一個客體。客體可以包含信息。引入這一概念是為了詳細說明在FDP類中描述的信息流控制策略。由SFR中各規則所控制的用戶、主體、信息、客體、會話和資源，可具有某種屬性。屬性包含TOE為了正確運行而使用的信息。某些屬性,如文件名,可能只是提示性的,或者可用來標識單個資源,而另ー些屬性，如訪問控制信息，可能是專為執行SFR而存在的。后面這些屬性通常稱為“安全屬性”。在本部分的某些地方中,“屬性”ー詞將用作“安全屬性”的簡稱。另一方面,無論屬性信息的預期目的如何，均有必要按SFR的規定對屬性施加控制。TOE中的數據可分為用戶數據和TSF數據，圖1示意了它們之間的關系。用戶數據是存儲在TOE資源中的信息，用戶可以根據SFR對其進行操作，而TSF對用戶數據并不賦予任何特殊的含義。例如，電子郵件消息的內容是用戶數據。TSF數據是TSF在按SFR的要求做決策時使用的信息。如果SFR允許,TSF數據可以受用戶的影響。安全屬性、鑒別數據、由SFR中定義的規則,或為了保護TSF及訪問控制列表條目所使用的TSF內部狀態變量都是TSF數據的例子。有幾個用于數據保護的SFP,諸如訪問控制SFP和信息流控制SFP。實現訪問控制SFP的機制依據受控范圍內的用戶、資源、主體、客體、會話、TSF狀態數據以及操作等的屬性來建立策略決策。這些屬性用于管控主體操作客體的規則集中。實現信息流控制SFP的機制依據受控范圍內的主體和信息的屬性、以及管控主體操作信息的規則來建立策略決策。信息的屬性與信息ー起由TSF予以處理，這些屬性可能與載體屬性相關聯,或可能是來源于載體中的數據。

在本部分中處理的兩種特殊類型的TSF數據ー鑒別數據和秘密可以相同,也可以不同。鑒別數據用于驗證用戶請求TOE服務時所聲稱的身份。最常用的鑒別數據形式是口令,為了使安全機制有效，這ー形式的鑒別數據需要保密。但是，并非所有形式的鑒別數據都需要保密，生物特征鑒別設備（例如,指紋識別器、視網膜掃描儀）就不依賴于數據保密,而依賴于這些數據只能被一個用戶擁有，且不能被偽造。本部分中使用的術語“秘密”,盡管可用于鑒別數據，也同樣適用于其他為了執行某特定SFP而必須保密的數據。例如，在強度方面，依靠密碼技術保護信道信息機密性的可信信道機制，僅與防止密鑰未授權泄露機制是ー樣的。因此,不是所有的鑒別數據都需要保密，也不是所有的秘密都可用做鑒別數據。圖2給出了秘密和鑒別數據間的關系。在該圖中,指出了常見的鑒別數據和秘密的數據類型。密碼變量密碼變量圖2“鑒別數據“和“秘密”的關系6安全功能組件6.1概述本章定義了GB/T18336功能要求的內容和形式,并提供了一個組織方法,以便對ST中添加的新組件的安全功能要求進行描述。功能要求用類、族和組件來表達。6.1.1類結構圖3以框圖形式示意了功能類的結構。每個功能類包括類名、類介紹和一個或多個功能族。

類名類名提供標識和劃分功能類所必需的信息。每個功能類都有一個唯一的名稱,分類信息由三個字符的簡名組成。類的簡名也用于該類中族的簡名規范中。類介紹類介紹描述了這些族滿足安全目的的通用意圖或方法。功能類的定義不反映要求規范中的任何正式分類法。類介紹用圖的形式來描述類中的族以及每個族中組件的層次結構,見6.2條的解釋。6.1.2族結構族名部分提供了標識和劃分功能族所必需的分類和描述信息。每個功能族有一個唯一的名稱。族的分類信息由七個字符的簡名組成，頭三個字符與類名相同,后跟一個下劃線和族名,形如XXX一YYY。唯一的簡短族名為組件提供了主要的引用名稱。族行為族行為是對功能族的敘述性描述，陳述其安全目的,并且是功能要求的概括描述。以下是更詳細的描述:a）族的安全廳欄述了一個安全問題,該問題可通過TOE利用該族中的ー個組件予以解決;b）功度要求的描述概述了組件中包含的所有要求。該描述是面向PP、ST和功能包的作者的,他們希望評價該族是否與他們的特定要求相關。3組件層次功能族包含ー個或多個組件,任何一個組件都可被選出來包含到PP、ST和功能包中。本條的目的是，當族一旦被確定為是表達用戶安全要求的一個必須的或有用的部分時，為用戶選取合適的功能組件提供信息。功能族描述部分的本條內容描述了可使用的組件以及它們的基本原理。組件的詳細細節包含在每個組件中。功能族內組件間的關系可能是分級的。如果一個組件相對另一個組件提供更多的安全性,那么該組件對另ー個組件來說是更高級的。如6.2條所述,族的描述提供了族中組件間層次結構的一個圖示。管理管理包含PP/ST作者認為是給定組件管理活動的ー些信息。此條款參考管理類（FMT）的組件，并提供關于通過操作這些組件可能應用的潛在管理活動的指導。PP/ST作者可以選擇已明示的管理要求,也可以選擇其它沒有列出的管理要求以細化管理活動。因而這些信息是提示性的。審計如果PP/ST中包含來自FAU類“安全審計”中的要求，聲オ要求要包含可供PP/ST作者選擇的可審計事件。這些由FAU_GEN"安全審計數據產生”族的組件支持的要求包括各種按不同詳細級別描述的安全相關事件。例如,ー個審計記錄可能包括下述動作:最小級ーー安全機制的成功使用;基本級ーー對安全機制的使用以及涉及安全屬性的信息;詳細級ーー任何機制的配置變化，包括改變前后的實際配置值。顯然可審計事件的分類是分級的。例如，當期望的審計數據產生級別滿足基本級時,除非高級事件僅僅比低級事件提供更多的細節,所有已標識為最小級和基本級的可審計事件都應通過適當的賦值操作包括在PP/ST內。當期望的審計數據產生級別滿足詳細級時，所有標識為最小級、基本級和詳細級的可審計事件都應包括在PP/ST內。在FAU類“安全審計”中，更詳盡地解釋了一些控制審計的規則。6.1.3組件結構圖5示意了功能組件的結構。圖5功能組件結構組件標識組件標識部分提供識別、分類、注冊和交叉引用組件所必需的描述性信息。下列各項作為每個功能組件的部分:ー個唯一的名稱,該名字反映了組件的目的。ー個篦名,即功能組件名的唯一簡寫形式。簡名作為組件分類、注冊和交叉引用的主要引用名。簡名反映出組件所屬的類和族以及在族中組件的編號。ー個從屬于列表.這個組件所從屬于的其它組件列表,以及該組件能用于滿足與所列組件間的依賴關系。功能元素為每ー組件提供了一組元素。每個元素都分別定義并且是自包含的。功能元素是一個安全功能要求,該要求如果再進ー步劃分將不會產生有意義的評估結果。它是GB/T18336中標識和認可的最小安全功能要求。當構建包、PP或ST時,不允許從ー個組件中只選擇ー個或幾個元素，必須將組件的整套元素包含在PP、ST或包中。每個功能元素名都有一個唯一的簡化形式。例如，要求名FDP_IFF.4.2意義如下:Fーー功能要求，DP——“用戶數據保護"類，_IFFーー“信息流控制功能”族，.4ーー第四個組件,名為“部分消除非法信息流’'，.2一一該組件的第2個元素。1.3.3依賴關系當ー個組件不是自我充分的而需要依賴于其它組件的功能，或與其它組件交互オ能正確發揮其功能時,就產生了功能組件間的依賴關系。每個功能組件都提供了一個對其它功能和保障組件依賴關系的完整列表。有些組件可能列出“無依賴關系”。所依賴的組件又可能依賴其它組件。組件中提供的列表是直接的依賴關系。這只是為該功能要求能正確實現其功能提供參考。間接依賴關系，也就是由所依賴組件產生的依賴關系,見本部分附錄Ao值得注意的是,在某些情況下，依賴關系所提供的多個功能要求是可自由選擇的,這些功能要求中的任一個都足以滿足依賴關系（例如FDPJJIT.1"數據交換完整性”）。依賴關系列表標識出了為滿足ー個既定組件相關的安全要求,所必需的最少功能或保障組件。從屬于既定組件的那些組件也可用來滿足依賴關系。本部分指明的依賴關系是規范性的，在PP/ST中它們必須得到滿足。在特定的情況下,這種依賴關系可能不適用。只要在基本原理中說清不適用的理由,PP/ST作者就可以在包、PP或ST中舍棄該依賴組件。6.2組件分類本部分中組件的分組不代表任何正式的分類法。本部分包含了族和組件的分類,它們是基于相關功能和目的進行的粗略分組,并且按字母順序給出。每個類的開始部分都有一個提示性框圖，指出該類的分類法、類中的族和族中的組件。這個圖對于指明可能會存在于組件間的層次關系是有用的。在功能組件的描述中，有一段文字指出了該組件和任何其它組件之間的依賴關系。在每個類中，都有一個與圖6類似的描述族層次關系的圖。在圖6中，第1個族（族1）包括了三個有從屬關系的組件，其中組件2和組件3都可以用來滿足對組件1的依賴關系。組件3從屬于組件2,并且可以用來滿足對組件2的依賴關系。圖6示范類分解圖在族2中有三個組件,這三個組件不全都有從屬關系。組件1和組件2不從屬于其它組件。組件3從屬于組件2,可以用來滿足對組件2的依賴關系,但不能滿足對組件1的依賴關系。在族3中，組件2、3、4都從屬于組件1。組件2和3也都從屬于組件1,但無可比性。組件4從屬于組件2和組件3。這些圖的目的是補充族中的文字說明，使關系的識別更容易。它們并不能取代每個組件中的“從屬于:"的注釋,這些注釋是對每個組件從屬關系的強制性聲明。6.2.1突出表示組件變化族中組件的關系約定以粗體字突出表示。在此約定所有新的要求用粗體表示。對于有從屬關系的組件，當要求被增強或修改而超出前ー組件的要求時,要用粗體字表示。另外，超出前ー組件的任何新的或增強的允許操作,也使用粗體字突出表示。7FAU類:安全審計安全審計包括識別、記錄、存儲和分析那些與安全相關活動（即由TSP控制的活動）有關的信息。可通過檢查審計記錄結果確定發生了哪些安全相關活動以及哪個用戶要對這些活動負責。

7.1.1族行為本族定義了在檢測到潛在安全侵害事件時所作出的響應。7.1.2組件層次FAILARP.1“安全告警”,當檢測到潛在的安全侵害時TSF應采取動作。7.1.3FAU_ARP.1管理FMT中的管理功能可考慮下列行為:a）對行為的管理（添加、刪除或修改）。7.1.4FAU_ARP.1審計如果PP/ST中包含FAU_GEN"安全審計數據產生”,下列行為應是可審計的:a）最小級:由于潛在的安全侵害而采取的動作。7.1.5FAU_ARP.1安全告警從屬于:無其他組件。依賴關系：FAU_SAA.1潛在侵害分析。FAU_ARP.1.1當檢測到潛在的安全侵害時,TSF應采取的［賦值:動作列表］。2安全審計數據產生（FAU_GEN）族行為本族定義了一些在TSF控制下對安全相關事件的發生情況進行記錄的要求。本族識別審計的級別,列舉TSF可審計的事件類型,以及標識在各種審計記錄內應提供的審計相關信息的最小集合。組件層次FAUGEN.1"審計數據產生”定義可審計事件的級別，并規定在每個記錄中應記錄的數據列表。FAILGEN.2”用戶身份關聯”，TSF應把可審計事件與單個用戶身份相關聯。3FAU_GEN.1、FAU_GEN.2管理尚無預見的管理活動。2.4FAU_GEN.1、FAU_GEN.2審計尚無預見的可審計事件。2.5FAU_GEN.1審計數據產生從屬于:無其他組件。依賴關系:FPT_STM.1可信時間戳。2.5.1FAU_GEN.1.1TSF應能為下述可審計事件產生審計記錄:a）審計功能的開啟和關閉;b）有關［選擇，選取一個:最小級、基本級、詳細級、求規定］審計級別的所有可審計事件:c）［賦值:其他專門定義的可審計事件'FAU_GEN.1.2TSF應在每個審計記錄中至少記錄下列信息：a）事件的日期和時間、事件類型、主體身份（如果適用）、事件的結果（成功或失效）；b）對每種審計事件類型，基于PP/ST中功能組件的可審計事件的定義,［賦值:其他審計相關信息】。7.2.6FAU_GEN.2用戶身份關聯從屬于:無其他組件。依賴關系:FAU_GEN.1審計數據產生;FIA_UID.1標識的時機。FAU_GEN.2.1對于已標識身份的用戶的行為所產生的審計事件，TSF應能將每個可審計事件與引起該事件的用戶身份相關聯。7.3安全審計分析（FAU_SAA）3.1族行為本族定義了一些采用自動化手段分析系統活動和審計數據以尋找可能的或真正的安全侵害的要求。這種分析通過入侵檢測來實現,或對潛在的安全侵害作出自動響應。基于檢測而采取的動作,可用FALARP“安全審計自動響應”族來規范。3.2組件層次在FALSAA.1"潛在侵害分析”中,要求在固定規則集的基礎上進行基本的閾值檢測。在FALSAA.2“基于輪廓的異常檢測”中，TSF維護系統使用的單個輪廓。這里的“輪廓”表示由輪廓目標組成員所完成的歷史模式的使用。輪廓目標組是指與TSF交互的一個或多個個體（如單個用戶、共享一個組ID或帳號的用戶、分配了指定角色的用戶、整個系統或網絡節點的用戶）。輪廓目標組的每個成員都被分配了一個單獨的置疑等級，表明成員當前的行為與輪廓中已建立的使用模式的一致程度如何。此分析可實時進行，也可在信息采集后的批量分析階段進行。FAU_SAA.3“簡單攻擊探測”，TSF應能檢測到那些對SFR實施將產生重大威脅的特征事件的發生。對特征事件的搜索可以實時進行,也可以在信息采集后的批量分析階段進行。FAUSAA.4“復雜攻擊探測”，TSF應能表示并檢測到多步驟入侵情景。TSF應能對照已知事件序列來比較（可能是由多個用戶執行的）系統事件以表示完整入侵情景。TSF應能在發現特征事件或事件序列時進行提示，該事件預示ー個對SFR實施的潛在違反。3.3FAU_SAA.1管理FMT中的管理功能可考慮采取下列行為:a）通過（添加、修改、刪除）規則集中的規則來維護規則。3.4FAU_SAA.2管理FMT中的管理功能可考慮下列行為:a）對輪廓目標組中的用戶組進行維護（刪除、修改、添加）。3.5FAU_SAA.3管理FMT中的管理功能可考慮下列行為:a）對系統事件的子集進行維護（刪除、修改、添加）。3.6FAU_SAA.4管理FMT中的管理功能可考慮下列行為:a）對系統事件的子集進行維護（刪除、修改、添加）；b）對系統事件的序列集進行維護（刪除、修改、添加）。3.7FAU_SAA.1、FAU_SAA.2、FAU_SAA.3、FAU_SAA.4審計如果PP/ST中包含FALGEN“安全審計數據產生”，下列行為應是可審計的:a）最小級:開啟和關閉任何分析機制;b）最小級:通過工具軟件實現自動響應。7.3.8FAU_SAA.1潛在侵害分析從屬于:無其他組件。依賴關系:FAU_GEN.1審計數據產生。3.8.1FAU_SAA,1.1TSF應能使用ー組規則去監測審計事件,并根據這些規則指示出對實施SFR的潛在侵害。8.2FAU_SAA.1.2TSF應執行下列規則監測審計事件:a)已知的用來指示潛在安全侵害的［賦值:已定義的可審計事件的子集、的累積或組合;b)［賦值：任何其他規則］.7.3.9FAU_SAA.2基于輪廓的異常檢測從屬于：無其他組件。依賴關系：FIA_UID.1標識的時機。FAU_SAA,2.1TSF應能維護系統使用輪廓。在這里單個輪廓代表由［賦值：輪廓目標組｝成員完成的歷史使用模式。FAU_SAA,2.2TSF應維護ー個與每個用戶相對應的置疑等級,這些用戶的活動已記錄在輪廓中。在這里,置疑等級代表用戶當前活動與輪廓中已建立的使用模式不一致的程度。FAU_SAA,2.3當用戶的置疑等級超過門限條件［賦值：TSF報告異常活動的條件｝K,TSF應能指出對SFR實施的可能侵害即將發生。7.3.10FAU_SAA.3簡單攻擊探測從屬于:無其他組件。依賴關系：無依賴關系。FAU_SAA,3.1對預示可能違反SFR實施的下列特征事件［賦值:系統事?伊的ーク子集］,TSF應能維護ー個內部表示。FAU_SAA,3.2TSF應能對照特征事件比對系統活動記錄，系統活動可以通過檢查［賦值：用來確定系統活動的信息］而辨明。FAU_SAA.3.3當發現ー個系統事件與一個預示可能潛在違反SFR實施的特征事件匹配時，TSF應能指出潛在違反SFR實施的事件即將發生。7.3.11FAU_SAA.4復雜攻擊探測從屬于:FAU_SAA.3簡單攻擊探測。依賴關系:無依賴關系。FAU_SAA.4.1對已知入侵情景的事件序列［賦值：已知攻擊出現的系統事件序列列表、和預示可能潛在違反SFR實施的下列特征事件［賦值：系統事?伊的ーク子変］,TSF應能維護ー個內部表示。FAU_SAA.4.2TSF應能對照特征事件和事件序列比對系統活動記錄,這里系統活動可以通過檢查［賦值:用來確定系統活動的信息】而辨明。FAU_SAA.4.3當發現ー個系統活動與一個預示可能潛在違反SFR實施的特征事件或事件序列匹配時,TSF應能指出潛在違反SFR實施的事件即將發生。7.4安全審計查閱（FAU_SAR）7.4.1族行為本族定義了一些有關審計工具的要求,授權用戶可使用這些審計工具查閱審計數據。7.4.2組件層次FAU_SAR.1“審計查閱”，提供從審計記錄中讀取信息的能力。FAU_SAR.2”限制審計查閱”，要求除在FAU_SAR.1“審計查閱”中確定的用戶外,其他用戶不能讀取信息。FAU.SAR.3"可選審計查閱”,要求審計查閱工具根據標準來選擇要查閱的審計數據。7.4.3FAU_SAR.1管理FMT中的管理功能可考慮下列行為:a）維護（刪除、修改、添加）對審計記錄有讀訪問權的用戶組。7.4.4FAU_SAR.2、FAU_SAR.3管理尚無預見的管理活動。7.4.5FAU_SAR.!審計如果PP/ST中包含FAU.GEN“安全審計數據產生”，下列行為應是可審計的：a）基本級:從審計記錄中讀取信息。7.4.6FAU_SAR,2審計如果PP/ST中包含FAU_GEN"安全審計數據產生”,下列行為應是可審計的：a）基本級:從審計記錄中讀取信息的未成功嘗試。7.4.7FAU_SAR.3審計如果PP/ST中包含FAU_GEN“安全審計數據產生”，下列行為應是可審計的：a）詳細級:用于查閱的參數。7.4.8FAU_SAR,1審計查閱從屬于:無其他組件。依賴關系:FAU_GEN.1審計數據產生。FAU_SAR,1.1TSF應為［賦值：授權用戶、提供從審計記錄中讀取［賦值：審計信息列表、的能力。FAU_SAR.1.2TSF應以便于用戶理解的方式提供審計記錄。7.4.9FAU_SAR.2限制審計查閱從屬于:無其他組件。依賴關系：FAILSAR.1審計查閱。FAU_SAR.2.1除明確準許讀訪問的用戶外,TSF應禁止所有用戶對審計記錄的讀訪問。7.4.10FAU_SAR,3可選審計查閱從屬于:無其他組件。依賴關系：FALSAR.1審計查閱。FAU_SAR.3.1TSF應根據［賦值:具有邏輯關系的標準、提供對審計數據進行［賦值：選擇和（/或）排序的方法］的能力。7.5安全審計事件選擇（FAU_SEL）7.5.1族行為本族定義在T0E運行期間從所有審計事件集合中選取被審計事件的要求7.5.2組件層次FAU_SEL.1"選擇性審計”,要求能夠由PP/ST作者根據規定的屬性從所有在“FAU_GEN.1審計事件產生”組件中標識的審計事件集合中選取被審計事件。7.5.3FAU_SEL.1管理FMT中的管理功能可考慮下列行為:a）維護查閱/修改審計事件的權限。7.5.4FAU_SEL.1審計如果PP/ST中包含FALGEN“安全審計數據產生”,下列行為應是可審計的:a）最小級：審計收集功能運行時,所有因審計配置修改而產生的事件。7.5.5FAU_SEL.!選擇性審計從屬于:無其他組件。依賴關系:FAUGEN.!審計數據產生。FMT_MTD.1TSF數據管理。FAU_SEL.1.1TSF應能根據以下屬性從所有審計事件集合中選擇可審計事件:a）［選擇：客體身份、用戶身份、主體身份、主機身份、事件類型｝b）［賦值:審計選擇所依據的附加屬性表、7.6安全審計事件存儲（FAU_STG）族行為本族定義一些TSF能夠創建并維護ー個安全審計跡的要求。存儲的審計記錄是指在審計跡中的那些記錄,而不是指經過選擇操作后得到的臨時存儲的審計記錄。7.6.2組件層次FAU_STG.1"受保護的審計跡存儲”,要求保護審計跡避免未授權的刪除或修改。FAU.STG.2"審計數據可用性保證”,規定保證假定意外情況出現時TSF還能維護審計數據。FAU_STG.3"審計數據可能丟失時的行為”,規定當審計跡超出門限值時所采取的動作。FAU.STG.4"防止審計數據丟失”,規定當審計跡滿時所采取的動作。7.6.3FAU_STG.!管理尚無預見的管理活動。7.6.4FAU_STG.2管理FMT中的管理功能可考慮下列行為：a）維護控制審計存儲能力的參數。7.6.5FAU_STG.3管理FMT中的管理功能可考慮下列行為:a）維護門限值：b）當審計存儲即將失效時所應采取的維護（刪除、修改、添加）的動作。7.6.6FAU_STG.4管理FMT中的管理功能可考慮下列行為：a）維護（刪除、修改、添加）審計存儲失效時所采取的行動。7.6.7FAU_STG,1ゝFAU_STG.2審計尚無預見的可審計事件。7.6.8FAU_STG.3審計如果PP/ST中包含FALGEN“安全審計數據產生”,下列行為應是可審計的：a）基本級:因超過門限而采取的動作。7.6.9FAU_STG.4審計如果PP/ST中包含FAU_GEN"安全審計數據產生”,下列行為應是可審計的:a）基本級:因審計存儲失效而采取的動作。7.6.10FAU_STG.1受保護的審計跡存儲從屬于:無其他組件。依賴關系：FALGEN.1審計數據產生。FAU_STG.1.1TSF應保護審計跡中存儲的審計記錄,以避免未授權的刪除。FAU_STG.1.2TSF應能［選擇,選取一個:防止、檢測］對審計跡中所存審計記錄的未授權修改。7.6.11FAU_STG.2審計數據可用性保證從屬于:FAU_STG.1受保護的審計跡存儲。依賴關系：FAU_GEN.1審計數據產生。FAU_STG.2.1TSF應保護審計跡中所存儲的審計記錄,以避免未授權的刪除。FAU_STG.2.2TSF應能［選擇,選取ー個:防止、檢測｝對審計跡中所存審計記錄的未授權修改。FAU_STG.2.3當下列情況發生時:［選擇:審計存儲耗盡、失效、受攻擊］,TSF應確保［賦值：保存審計記錄的度量］審計記錄將維持有效。6.12FAU_STG.3審計數據可能丟失時的行為從屬于：無其他組件。依賴關系：FAU_STG.1受保護的審計跡存儲。6.12.1FAU_STG.3.1如果審計跡超過［賦值:預定的限度］,ヽSE應采取［賦值:審計存儲可能失效時所采取的行動，6.13FAU_STG.4防止審計數據丟失從屬于：FAU_STG.3審計數據可能丟失時的行為。依賴關系:FAU_STG.1受保護的審計跡存儲。6.13.1FAU_STG.4.1如果審計跡已滿，TSF應［選擇,選取ー個:“忽略可審計事件”、“阻止可審計事件,具有特權的授權用戶產生的事件除外”,“覆蓋所存儲的最早的審計記錄ヘ和［賦值:審計存儲失效時所采取的其它動作、.FCO類:通信本類提供了兩個族,特別關注如何確認在數據交換中參與方的身份。這些族與確認信息傳送的原發者身份（原發證明）和確認信息傳送的接收者身份（接收證明）相關。這些族確保原發者不能否認發送過信息,接收者也不能否認收到過信息。通信FCO_NRO：原發抗抵賴 1 2FCO_NRR:接收抗抵賴 1 2圖8FCO:通信類分解1原發抗抵賴（FCO-NRO）8.1.1族行為原發抗抵賴確保信息的發起者不能成功地否認曾經發送過信息。本族要求TSF提供ー種方法來確保接收信息的主體在數據交換期間獲得了證明信息原發的證據，此證據可由該主體或其他主體驗證。8.1.2組件層次FCO_NRO.1"選擇性原發證明”,要求TSF為主體提供請求信息原發證據的能力。FCO_NRO.2"強制性原發證明”,要求TSF總是為所傳送的信息產生原發證據。8.1.3FCO_NRO.1ヽFCO_NRO.2管理FMT中的管理功能可考慮下列行為:a）對改變信息類型、域、原發者屬性和證據接收者的管理。8.1.4FCO_NRO.1審計如果PP/ST中包含FAU_GEN"安全審計數據產生”，下列行為應是可審計的:a）最小級:請求產生原發證據的用戶的身份:b）最小級:抗抵賴服務的調用;c）基本級:信息的標識、目的地和所提供的證據副本;d）詳細級：請求驗證證據的用戶的身份。8.1.5FCO_NRO,2審計如果PP/ST中包含FAILGEN“安全審計數據產生”，下列行為應是可審計的:a）最小級:抗抵賴服務的調用;b）基本級:信息的標識、目的地和所提供的證據副本:c）詳細級:請求驗證證據的用戶的身份。8.1.6FCO_NRO.1選擇性原發證明從屬于:無其他組件。依賴關系:FIA_UID.1標識的時機。FCO_NRO.1.1在［選擇：原發者、接收者或［賦值:第三方列表］］請求時,TSF應能對所傳送的［賦值:信息類型列表］產生原發證據。FCO_NRO.1.2TSF應能將信息原發者的［賦值:屬性列表1和信息的［賦值：信息域列表］與證據相關聯。FCO_NRO.1.3給定［賦值:原發證據的限制條件1,ヽSF應能為11選擇、原發者、接收者或［賦值:第三方列表］］提供驗證信息原發證據的能力。8.1.7FCO_NRO.2強制性原發證明從屬于:FCONRO.1選擇性原發證明。依賴關系：FIA_UID.1標識的時機。1.7.1FCO_NRO.2.1TSF在任何時候都應對所傳送的［賦值:信息類型列表］強制產生原發證據。1.7.2FCO_NRO.2.2TSF應能將信息原發者的［賦值：屬性列表、和信息的［賦值：信息域列表］與證據相關聯。1.7.3FCO_NRO.2.3給定［賦值:原發證據的限制條件】,TSF應能為［選擇:原發者、接收者,［賦值:第三方列表］］提供驗證信息原發證據的能力。8.2接收抗抵賴（FCO-NRR）2.1族行為接收抗抵賴確保信息的接收者不能成功地否認對信息的接收。本族要求TSF提供ー種方法來確保發送信息的主體在數據交換期間獲得了證明信息接收的證據,此證據可由該主體或其他主體驗證。2.2組件層次FCO-NRR.1"選擇性接收證明”,要求TSF為主體提供請求信息接收證據的能力。FCO_NRR.2"強制性接收證明”，要求TSF總是為接收到的信息產生接收證據。2.3FCO_NRR.1、FCO_NRR.2管理FMT中的管理功能可考慮下列行為:a）對改變信息類型、域、原發者屬性和證據的第三方接收者的管理。2.4FCO_NRR.!審計如果PP/ST中包含FAU_GEN"安全審計數據產生”,下列行為應是可審計的:a）最小級:請求產生提供接收證據的用戶的身份;b）最小級:抗抵賴服務的調用;c）基本級:信息的標識、目的地和所提供的證據副本;d）詳細級:請求驗證證據的用戶的身份。2.5FCO_NRR.2審計如果PP/ST中包含FALGEN“安全審計數據產生”,下列行為應是可審計的:a）最小級:抗抵賴服務的調用；b）基本級:信息的標識、目的地和所提供的證據副本;c）詳細級:請求驗證證據的用戶的身份。2.6FCO_NRR.1選擇性接收證明從屬于:無其他組件。依賴關系:FIA_UID.1標識的時機。2.6.1FCO_NRR.1.1在［選擇:原發者、接收者或!:賦值:第三方列表］］請求時，TSF應能對接收到的［賦值：信息類型表］產生接收證據。2.6.2FCO_NRR.1.2TSF應能將信息接收者的［賦值：屬性列表、和信息的［賦值:信息域列表、與證據相關聯。2.6.3FCO_NRR.1.3給定［賦值：接收證據的限制條件］,TSF應能為［選擇：原發者、接收者或［賦值:第三方列表］］提供驗證信息接收證據的能力。.7FCO_NRR.2強制性接收證明從屬于:FCO_NRR.1選擇性接收證明。依賴關系：FIA_UID.1標識的時機。2.7.1FCO_NRR.2.1TSF在任何時候都應對接收到的［賦值:信息類型表」強制產生接收證據。2.7.2FCO_NRR.2.2TSF應能將信息接收者的［賦值:屬性列表］和信息的［賦值:信息域列表］與證據相關聯。2.7.3FCO_NRR.2.3給定［賦值：接收證據的限制條件へ,ゝSF應能為I選拝:原發者、接收者或［賦值:第三方列表］］提供驗證信息接收證據的能力。9FCS類:密碼支持TSF可以利用密碼功能來滿足幾個高級別安全目的。這些安全目的包括（但不限于）:標識和鑒別、抗抵賴、可信路徑、可信信道和數據分離。在TOE實現密碼功能時使用本類,這種密碼功能的實現形式可以是硬件、固件和（/或）軟件。FCS“密碼支持類”由兩個族組成:FCS_CKM“密鑰管理”和FCS_COピ密碼運算"?密鑰管理（FCS_CKM）9.1.1族行為密鑰在其整個生命期內都必須進行管理。本族試圖支持此生命期,并為此定義了對以下幾種操作的要求:密鑰生成、密鑰分發、密鑰存取和密鑰銷毀。只要存在密鑰管理的功能要求,都必須包含本族。9.1.2組件層次FCS_CKM.1“密鑰生成”，要求根據某個指定標準規定的算法和密鑰長度來生成密鑰。FCS/KM.2“密鑰分發”,要求根據某個指定標準規定的分發方法來分發密鑰。FCS_CKM.3“密鑰存取”,要求根據某個指定標準規定的存取方法來存取密鑰。FCS/KM.4“密鑰銷毀”,要求根據某個指定標準規定的銷毀方法來銷毀密鑰。1.3FCS/KM.1ゝFCS一CKM.2ゝFCS一CKM.3、FCS一CKM.4管理無可預見的管理行為。9.1.4FCS_CKM.1、FCS_CKM.2、FCS_CKM.3、FCS_CKM.4審計如果PP/ST中包含FALGEN“安全審計數據產生”,下列行為應是可審計的：a）最小級:操作的成功和失敗:b）基本級：除任何敏感信息（如秘密密鑰或私有密鑰）以外的客體屬性和客體值。9.1.5FCS_CKM.1密鑰生成從屬于：無其他組件。依賴關系:[FCS_CKM.2密鑰分發，或FCS_COP.1密碼運算］;FCS_CKM.4密鑰銷毀。FCS_CKM.1.1TSF應根據符合下列標準［賦值:標準列表、的ー個特定的密鑰生成算法［賦值:密鑰生成算法］和規定的密鑰長度［賦值:密鑰長度、來生成密鑰。1.6FCS_CKM.2密鑰分發從屬于:無其他組件。依賴關系:［FDP」TC.1不帶安全屬性的用戶數據輸入,或FDP_ITC.2帶有安全屬性的用戶數據輸入,或FCS_CKM.!密鑰生成］;FCS_CKM.4密鑰銷毀。1.6.1FCS_CKM,2.1TSF應根據符合下列標準［賦值:標準列表1的ー個特定的密鑰分發方法［賦值:密鑰分發方法］來分發密鑰。1.7FCS_CKM.3密鑰存取從屬于:無其他組件。依賴關系:［FDP」TC.1不帶安全屬性的用戶數據輸入,或FDP_ITC.2帶有安全屬性的用戶數據輸入，或FCS_CKM.1密鑰生成］;FCS_CKM.4密鑰銷毀。1.7.1FCS_CKM.3.1TSF應根據符合下列標準［賦值:標準列表、的ー個特定的密鑰存取方法［賦值:密鑰存取方法\來執行［賦值:密鑰存取類型、.1.8FCS_CKM.4密鑰銷毀從屬于：無其他組件。依賴關系：［FDP」TC.1不帶安全屬性的用戶數據輸入,或FDP_ITC.2帶有安全屬性的用戶數據輸入，或FCS_CKM.!密鑰生成］。1.8.1FCS_CKM.4.1TSF應根據符合下列標準［賦值：標準列表、的ー個特定的密鑰銷毀方法［賦值:密鑰銷毀方法、來銷毀密鑰。2密碼運算（FCS_COP）2.1族行為為了確保密碼運算功能的正確執行,必須按照特定的算法和規定長度的密鑰來進行運算。凡有執行密碼運算要求的地方,都必須包含本族。密碼運算通常包括:數據加密或解密、數字簽名產生或驗證、密碼校驗和（用于完整性或校驗和驗證）產生、安全散列（消息摘要）、密鑰加密或解密,以及密鑰協商。.2組件層次FCS_COP.1“密碼運算”,要求根據特定的算法和規定長度的密鑰來進行密碼運算。可以基于某個指定標準規定算法和密鑰長度。2.3FCS_COP.1管理尚無預見的管理活動。2.4FCS_COP.1審計如果PP/ST中包含FAU_GEN"安全審計數據產生”,下列行為應是可審計的:a）最小級:成功和失敗，以及密碼運算的類型:b）基本級:所有有效的密碼運算模式、主體屬性和客體屬性。2.5FCS_COP.1密碼運算從屬于：無其他組件。依賴關系：［FDP」TC.1不帶安全屬性的用戶數據輸入,或FDPJTC.2帶有安全屬性的用戶數據輸入，或FCS_CKM.1密鑰生成］;FCS_CKM.4密鑰銷毀。2.5.1FCS_COP.1.1TSF應根據符合下列標準［賦值:標準列表、的特定的密碼算法［賦值;密碼算法\和密鑰長度［賦值:密鑰長度、來行執［賦值:密碼運算列表、FDP類:用戶數據保護本類包含的族詳細說明了與用戶數據保護相關的要求。FDP“用戶數據保護”分為四組族（如下所示）來描述在輸入、輸出和存儲過程中的T0E內部的用戶數據，以及與用戶數據直接相關的安全屬性。本類中的族可分成如下四組:a）用戶數據保護安全功能策略：FDP_ACC訪問控制策略;FDP_IFC信息流控制策略。這些族中的組件允許PP/ST作者命名用戶數據保護安全功能策略，并定義該安全策略的控制范圍,這對于說明安全目的是必要的。這些安全策略的名稱將在其它有要求對‘訪問控制SFP”、“信息流控制SFP”賦值或選擇操作的功能組件中廣泛使用。定義已命名訪問控制和信息流控制SFP功能性的規則將分別在FDP-ACF"訪問控制功能”和FDP」FF“信息流控制功能”族中定義。b）用戶數據保護形式;FDP_ACF訪問控制功能；FDP」FF信息流控制功能；FDP_ITTTOE內部傳送;FDP_RIP殘余信息保護:FDP_ROL回退;FDP_SDI存儲數據的完整性。c)離線存儲、輸入和輸出:FDP.DAU數據鑒別;FDP_ETC從TOE輸出;FDP」TC從TOE之外輸入。這些族內的組件負責處理進出TOE的可信傳送。d)TSF間的通信:FDP_UCTTSF間用戶數據機密性傳送保護;FDP_UITTSF間用戶數據完整性傳送保護。這些族內的組件負責處理TOE的TSF與其它可信IT產品間的通信。圖10FDP：用戶數據保護類分解10.1訪問控制策略（FDP_ACC）10.1.1族行為本族（通過命名）標識訪問控制SFP并定義策略的控制范圍,這些策略組成了既定SFR的訪問控制部分。控制范圍由以下三個集合刻畫:策略控制下的主體、策略控制下的客體以及策略所涵蓋受控主體和受控客體間的操作。本準則允許存在多個策略,只是每個策略需要有唯一的名稱,這可以通過對每個己命名的訪問控制策略反復使用本族中的組件來實現。定義訪問控制SFP功能的規則將在其它族中定義，如FDP一ACF“訪問控制功能”和FDP_ETC”從TOE輸出"。在FDP.ACC”訪問控制策略”中所確定的訪問控制SFP的名稱,將用在其余所有需要對“訪問控制SFP”賦值或選擇操作的功能組件中。10.1.2組件層次FDP一ACC.1“子集訪問控制”,要求每個確定的訪問控制SFP適用于對某個TOE客體子集可能執行的操作子集。FDP_ACC.2"完全訪問控制”,要求每個確定的訪問控制SFP涵蓋被該SFP涵蓋的主體和客體之間的所有操作，進而要求由TSF保護的所有客體和操作都至少被ー個確定的訪問控制SFP涵蓋。10.1.3FDP_ACC.1ヽFDP_ACC.2管理尚無預見的管理活動。10.1.4FDP_ACC.1、FDP_ACC.2審計尚無預見的可審計事件。10.1.5FDP_ACC,1子集訪問控制從屬于:無其他組件。依賴關系：FDPACF.1基于安全屬性的訪問控制。FDP_ACC.1.1TSF應對［賦值:主體、客體及SFP所涵蓋主體和客體之間的操作列表\執行［賦值:訪問控制SFB。10.1.6FDP_ACC.2完全訪問控制從屬于:FDPACC.1子集訪問控制。依賴關系：FDP_ACF.1基于安全屬性的訪問控制。FDP_ACC.2.1TSF應對［賦值：主體和客體列表］及SFP所涵蓋主體和客體之間的所有操作執行［賦值：訪問控制SFP］。1.6.2FDP_ACC.2.2TSF應確保TSF控制內的任何主體和客體之間的所有操作都被ー個訪問控制SFP涵蓋。10.2訪問控制功能（FDP-ACF）10.2.I族行為本族描述了與特定功能相關的規則，這些特定功能可實現在FDP_ACC"訪問控制策略”中所命名的訪問控制策略。FDP_ACC"訪問控制策略”規定了策略控制的范圍。10.2.2組件層次本族說明安全屬性的用法和策略的特征。本族中的組件將用來描述實施SFP的功能的ー些規則,該SFP由FDPACC”訪問控制策略”確定。PP/ST作者可以反復使用本組件以說明TOE中的多個策略。FDP.ACF.1"基于安全屬性的訪問控制”,允許TSF基于安全屬性和已命名屬性組的執行訪問。此外,TSF有能力根據安全屬性明確地授權或拒絕對某個客體的訪問。10.2.3FDP一ACF.1管理FMT中的管理功能可考慮下列行為:a）管理用于作出明確訪問或拒絕決定的屬性。10.2.4FDP_ACF.1審計如果PP/ST中包含FAU.GEN“安全審計數據產生”，下列行為應是可審計的:a）最小級:對SFP涵蓋的客體執行某個操作的成功請求;b）基本級:對SFP涵蓋的客體執行某個操作的所有請求:c）詳細級:用于進行訪問檢查的特定安全屬性。10.2.5FDP_ACF.1基于安全屬性的訪問控制從屬于:無其他組件。依賴關系:FDP_ACC.1子集訪問控制;FMT_MSA.3靜態屬性初始化。FDP_ACF.1.1TSF應基于［賦值:指定SFP控制下的主體和客體列表,以及每個與SFP的相關安全屬性或與SFP相關的已命名安全屬性鈕對客體執行［賦值：訪問控制SF科。FDP_ACF,1.2TSF應執行以下規則，以確定在受控主體與受控客體間的ー個操作是否被允許:［賦值：在受控主體和受控客體間,通過對受控客體采取受控操作來管理訪問的一些規則\。FDP_ACF.1.3TSF應基于以下附加規則:［賦值:基于安全屬性的,明確授權主體訪問客體的規則明確授權主體訪問客體。FDP_ACF.1.4TSF應基于［賦值:基于安全屬性的,明確拒絕主體訪問客體的規則［明確拒絕主體訪問客體。10.3數據鑒別（FDP_DAU）10.3.I族行為數據鑒別允許實體為信息的真實性承擔責任（如，對它進行數字簽名）。本族提供ー種方法,以保證特定數據單元的有效性,進而可用于驗證信息內容沒有被偽造或篡改。與FAU“安全審計”類不同,本族適用于“靜態”數據而不是正在傳送的數據。10.3.2組件層次FDP.DAU.1”基本數據鑒別”,要求TSF具有為客體（如文檔）信息內容的真實性提供保證的能力。FDPDAU.2"帶擔保者身份的數據鑒別”,還另外要求TSF具有建立為提供真實性擔保的主體身份的能力。10.3.3FDP一DAU.1、FDP一DAU.2管理FMT中的管理功能可考慮下列行為:a）適用于數據鑒別的客體的賦值或修改應是可配置的。10.3.4FDP一DAU.1審計如果PP/ST中包含FAU_GEN"安全審計數據產生”，下列行為應是可審計的:a）最小級:有效性證據的成功生成;b）基本級:有效性證據的未成功生成;c）詳細級:請求證據的主體身份。10.3.5FDP一DAU.2審計如果PP/ST中包含FAU_GEN"安全審計數據產生”，下列行為應是可審計的:a）最小級:有效性證據的成功生成；b）基本級:有效性證據的未成功生成;c）詳細級;請求證據的主體身份；d）詳細級:產生證據的主體身份。10.3.6FDP_DAU.!基本數據鑒別從屬于:無其他組件。依賴關系:無依賴關系。FDP_DAU.1.1TSF應提供ー種能力,以生成能用來作為［賦值：客體:或得?總類壟効表!有效性擔保的證據。FDP_DAU.1.2TSF應為［賦值：主體列表［提供能力,以驗證指定信息有效的證據。10.3.7FDP.DAU.2帶擔保者身份的數據鑒別從屬于：FDP-DAU.1基本數據鑒別。依賴關系：FIA_UID.1標識的時機。FDP_DAU.2.1TSF應提供ー種能力，以生成能用來作為［賦值:客體或值恵類型列表］有效性擔保的證據。FDP_DAU.2.2TSF應為［賦值:ユ?/冽要］提供ー種能力,以驗證所指定信息的有效性證據和產生證據的用戶身份。10.4從TOE輸出（FDP_ETC）10.4.I族行為本族定義了由TSF促成的從TOE輸出用戶數據的功能,一旦數據被輸出,其安全屬性和保護機制不是被明確保留,就是被忽略。這涉及對輸出的限制，以及安全屬性與所輸出用戶數據之間的關聯關系。10.4,2組件層次FDP_ETC.1"不帶安全屬性的用戶數據輸出"，要求TSF在把用戶數據輸出到TSF之外時執行合適的SFP。經由本功能輸出的用戶數據輸出時沒有輸出相關的安全屬性。FDP_ETC.2"帶有安全屬性的用戶數據輸出”,要求TSF利用ー個功能執行合適的SFP,該功能準確無誤地將安全屬性與所輸出的用戶數據相關聯。10.4.3FDP一ETC.1管理尚無預見的管理活動。10.4.4FDP一ETC.2管理FMT中的管理功能可考慮下列行為:a）已定義角色中的一個用戶能夠配置的附加輸出控制規則。10.4.5審計:FDP_ETC.1,FDP_ETC.2如果PP/ST中包含FAU_GEN"安全審計數據產生”，下列行為應是可審計的:a）最小級:信息的成功輸出:b）基本級:輸出信息的所有嘗試。10.4.6FDP_ETC.1不帶安全屬性的用戶數據輸出從屬于:無其他組件。依賴關系:［FDPACC.1子集訪問控制，或FDP_IFC.!子集信息流控制］。4.6.1FDP_ETC.1.1在SFP控制下將用戶數據輸出到TOE之外時,TSF應執行!:賦值：訪問控制SFP和（/或）信息流控制SF1。6.2FDP_ETC.1.2TSF應輸出用戶數據但不帶用戶數據關聯的安全屬性。10.4.7FDP_ETC.2帶有安全屬性的用戶數據輸出從屬于：無其他組件。依賴關系：［FDP-ACC.1子集訪問控制,或FDP_IFC.!子集信息流控制］。4.7.1FDP_ETC.2.1在SFP控制下將用戶數據輸出到TOE之外時，TSF應執行!:賦值：訪問控制SFP和（/或）信息流控制SFA。7.2FDP_ETC.2.2TSF應輸出用戶數據且帶有用戶數據關聯的安全屬性。7.3FDP_ETC.2.3TSF應確保輸出安全屬性到TOE之外時,與所輸出的用戶數據確切關聯。7.4FDP_ETC.2.4當從TOE輸出用戶數據時,TSF應執行下列規則［賦值:附加的輸出控制規則息流控制策略（FDPJFC）族行為本族標識信息流控制SFP（通過命名），并為每個已命名的策略定義了控制范圍,這些策略組成了既定TSP的信息流控制部分。控制范圍由以下三個集合刻畫:策略控制下的主體、策略控制下的信息以及策略所涵蓋的引起受控信息流入、流出受控主體的操作。本準則允許存在多個策略,只是每個策略需要有一個唯一的名稱,這可以通過對每個已命名的信息流控制策略反復使用本族中的組件來實現。定義信息流控制SFP功能的規則將在其它族中定義,如FDPJFF"信息流控制功能”和FDP-ETC“從TOE輸出”。在FDP「FC“信息流控制策略”中所確定的信息流控制SFP名稱，將用在所有其余需要對“信息流控制SFP”賦值或選擇可操作的組件中。TSF機制根據信息流控制SFP控制信息的流向。一般不允許執行改變信息的安全屬性的操作,因為這將違背信息流控制SFP。不過,如果明確指明,這種操作也可以作為信息流控制SFP的例外,得到允許。組件層次FDP」FC.1“子集信息流控制”,要求對TOE內的信息流子集可能執行的操作子集,有確定的信息流控制SFPoFDP」FC.2“完全信息流控制”,要求每個確定的信息流控制SFP覆蓋該SFP所涵蓋主體和信息之間的所有操作,并進ー步要求由TSF控制的所有信息流和操作都至少被ー個確定的信息流控制SFP覆蓋。FDP_IFC.1、FDP_IFC.2管理尚無預見的管理活動。5.4FDP」FC.1、FDPJFC.2審計尚無預見的可審計事件。10.5.5FDP_IFC.1子集信息流控制從屬于:無其他組件。依賴關系：FDP」FF.1簡單安全屬性。FDP_IFC.1.1TSF應對［賦值:主體、信息及SFP所覆蓋的導致受控信息流入、流出受控主體的操作列表\抜行［賦值:信息流控制SFP\。10.5.6FDP_IFC.2完全信息流控制從屬于:FDP_IFC.!子集信息流控制。依賴關系:FDPIFF.!簡單安全屬性。FDP_IFC.2.1TSF應對［賦值：主體列表和信息列表\&SFP所覆蓋的導致信息流入、流出主體的所有操作執行［賦值：信息流控制SFa。5.6.2FDP_IFC.2.2TSF應確保導致T0E中的任何信息從TOE中的任何主體流入、流出的所有