GB/T 20274.2-2008 信息安全技术 信息系统安全保障评估框架 第2部分：技术保障

　　ICS 35 . 040 L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 20274 . 2—2008

　　信息安全技术

　　信息系统安全保障评估框架

　　第 2 部分：技术保障

　　Information securitytechnology—

　　Evaluation framework forinformation systemssecurity assurance—

　　part2：Technicalassurance

　　2008-07-18 发布 2008-12-01 实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　

　　发

　　

　　布

　　中 华 人 民 共 和 国

　　国 家 标 准

　　信息安全技术

　　信息系统安全保障评估框架

　　第 2 部分：技术保障

　　GB/T 20274 . 2—2008

　　*

　　中 国 标 准 出 版 社 出 版 发 行

　　北京复兴门外三里河北街 16 号

　　邮政编码：100045

　　网址 www. spc. net. cn

　　电话：68523946 68517548

　　中国标准出版社秦皇岛印刷厂印刷

　　各地新华书店经销

　　*

　　开本 880 × 1230 1/16 2008 年 11 月第一版

　　

　　印张 6 . 25 字数 184 千字2008 年 11 月第一次印刷

　　*

　　书号：155066 ·1-34998

　　如有印装差错 由本社发行中心调换

　　版权专有 侵权必究

　　举报电话：(010)68533533

　　GB/T 20274 . 2—2008

　　目 次

　　前言 Ⅴ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 本部分的结构 1

　　5 信息安全技术保障 2

　　5 . 1 安全技术保障概述 2

　　5 . 2 安全技术体系架构能力级 2

　　5 . 3 安全技术保障控制要求范例 2

　　6 信息安全技术保障控制结构 5

　　6 . 1 综述 5

　　6 . 2 组件分类 9

　　7 FAU类：安全审计 10

　　7(7).. 2(1) 安全审计数据产生(安全审计自动响应)(( FAU(FAU)_GEN(ARP))) 1(1)1(1)

　　7 . 3 安全审计分析(FAU_SAA) 12

　　7(7).. 5(4) 安全审计事件(安全审计查阅)选(F择(A)U(FA(_S)U(A)RS)E ) …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 1(1)5(4)

　　1 7

　　8(7). 6 FCO(安)类(全)审：通(计)信(事)件存储(FAU_STG) 15

　　8(8).. 2(1) 接收抗抵赖(原发抗抵赖)(( FCO(FCO)_NRR(NRO))) 1(1)8(7)

　　9 FCS类：密码支持 19

　　9(9).. 2(1) 密码运算(密钥管理)(( FCS(FCS)_COP(CKM))) 2(2)1(0)

　　10 FDP类：用户数据保护 22

　　10 . 1 访问控制策略(FDP_ACC) 24

　　1(1)0(0).. 3(2) 数据鉴别(访问控制)功(FD(能)P(_FD(D)A(P)CF…) …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 2(2)5(4)

　　10 . 4 输出到 TSF控制之外(FDP_ETC) 26

　　1(1)0(0).. 6(5) 信息流控制功能(信息流控制策略)(( FDP(FDP)_IFF(IFC))) 2(2)8(7)

　　1(1)0(0).. 8(7) T(从)OE(T)S内部传输(F控制之)外(FD(输)P入_I)(P)_IT C ) … …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 3(3)2(0)

　　1(1)0(0).. 1(9)0 反转(残余信)(FDP(息保)护R)P_ ) …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 3(3)4(3)

　　10 . 11 存储数据的完整性(FDP_SDI) 35

　　10 . 12 TSF 间用户数据传输的保密性保护(FDP_UCT) 35

　　Ⅰ

　　GB/T 20274 . 2—2008

　　10 . 13 TSF 间用户数据传输的完整性保护(FDP_UIT) 36

　　11 FIA类：标识和鉴别 38

　　11 . 1 鉴别失败(FIA_AFL) 39

　　1(1)1(1).. 3(2) 秘密的规范(用户属性定)义(FIAST)D ) …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 4(3)0(9)

　　1(1)1(1).. 5(4) 用户标识(用户鉴别)(( FIA(FIA)_UID(UAU)) ) 4(4)3(0)

　　1(1)2(1). 6 F MT类(用户_)主：安全管理(体绑定)(F_UB) 4(4)4(4)

　　1(1)2(2).. 2(1) 安全属性的管理(TSF中功能的管)M(FTM_O)F ) …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 4(4)6(5)

　　1(1)2(2).. 4(3) 撤消(TSF)M(据)T的_REV(管理)()F MTMT D…) …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 4(4)8(7)

　　1(1)2(2).. 6(5) 安全管理角色(安全属性到期)(( FMT(FMT)_SM(SA)R(E))) 5(4)0(9)

　　13 FPR类：隐秘 51

　　13 . 1 匿名(FPR_ANO) 51

　　13 . 2 假名(FPR_PSE) 52

　　13 . 3 不可关联性(FPR_UNL) 53

　　13 . 4 不可观察性(FPR_UNO) 54

　　14 FPT类：TSF保护 55

　　14 . 1 根本抽象机测试(FPT_AMT) 57

　　14 . 2 失败保护(FPT_FLS) 57

　　14 . 3 输出 TSF数据的可用性(FPT_ITA) 57

　　14 . 4 输出 TSF数据的保密性(FPT_ITC) 58

　　14 . 5 输出 TSF数据的完整性(FPT_ITI) 58

　　14 . 6 TOE 内 TSF数据的传输(FPT_ITT) 59

　　14 . 7 TSF物理保护(FPT_PHP) 61

　　14 . 8 可信恢复(FPT_RCV) 62

　　1(1)4(4).. 1(9)0 参照仲裁(重放检测)(F(F(P)P(T)T(_)RRV(PL)M) ) …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 6(6)4(4)

　　1(1)4(4).. 1(1)2(1) 状态同(域分离)步(F协议(PT_)S( FP(EP)T)_SP ) … …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 6(6)6(5)

　　1(1)4(4).. 1(1)4(3) TSF间(时间戳)(TSF数据的(FPT_STM))一 致…性…( F…PT(…)_…TD(…)C…) … …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 6(6)7(7)

　　1(1)4(4).. 1(1)6(5) TS(TO)F(E) 自(内)检(T)T(数)_据TST(复制)) 的一致性 ( FP T_TC)… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 6(6)8(8)

　　15 FRU类：资源利用 69

　　1(1)5(5).. 2(1) 服务(容错)优(F先级(RU_)_PR(…)S…) …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 7(7)0(0)

　　1(1)6(5). 3 FTA(资)类(源)分：TO(配)(E(F)访问(RU)_RA) 7(7)2(1)

　　16 . 1 可选属性范围限定(FTA_LSA) 72

　　Ⅱ

　　GB/T 20274 . 2—2008

　　16 . 2 多重并发会话限定(FTA_MCS) 73

　　1(1)6(6).. 4(3) TOE访问(会话锁定)(旗标(FTA)_ SSL…) …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 7(7)5(4)

　　16 . 5 TOE访问历史(FTA_TAH) 76

　　16 . 6 TOE会话建立(FTA_TSE) 76

　　17 TP类：可信路径/信道 77

　　1(1)7(7).. 2(1) 可信路径(TSF间可)TP(信道)_T( RP(FT)P)_TC ) …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 7(7)8(7)

　　18 安全技术架构能力成熟度级 78

　　1(1)8(8).. 2(1) 安全(概述)技 术…架…构…能…力…成…熟…度…级…说…明… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… 7(7)9(8)

　　附录 A(资料性附录) 安全技术要求应用注释 81

　　A. 1 注释的结构 81

　　A. 1 . 1 类结构 81

　　A. 1 . 2 子类结构 81

　　8 2

　　A(A) .. 2(1). 3 依 赖关系表(组件结构) 82

　　附录 B(资料性附录) 分层多点信息系统安全体系结构 89

　　B. 1 概述 89

　　B. 2 信息技术系统 TOE 的分析模型 89

　　参(B).考(3)文献(分层)多点安全技术体 系架构介绍 9(9)2(0)

　　图 1 安全技术保障控制要求范例(单个 TOE) 2

　　图 2 分布式 TOE 内的安全功能图 3

　　图 3 用户数据和 TSF数据的关系 5

　　图 4 “鉴别数据 ”和 “秘密 ”的关系 5

　　图 5 安全技术保障控制类结构 6

　　图 6 安全技术保障控制子类结构 6

　　图 7 安全技术保障控制组件结构 7

　　图 8 示范类分解图 9

　　图 9 安全审计类分解 10

　　图 10 通信类分解 17

　　图 11 密码支持类分解 19

　　图 12 用户数据保护类分解 23

　　图 13 标识和鉴别类分解 38

　　图 14 安全管理类分解 45

　　图 15 隐秘类分解 51

　　图 16 TSF保护类分解 56

　　图 17 资源利用类分解 69

　　图 18 TOE访问类分解 72

　　图 19 可信路径/信道类分解图 77

　　Ⅲ

　　GB/T 20274 . 2—2008

　　图 A. 1 安全技术保障控制类结构 81

　　图 A. 2 安全技术保障控制子类结构 81

　　图 A. 3 安全技术保障控制组件结构 82

　　图 B. 1 信息技术系统分析模型 90

　　图 B. 2 分层多点安全技术体系结构 91

　　表 A. 1 安全技术保障控制组件依赖关系表 83

　　Ⅳ

　　GB/T 20274 . 2—2008

　　前 言

　　GB/T 20274《信息安全技术 信息系统安全保障评估框架》分为以下四个部分：

　　— 第 1 部分：简介和一般模型

　　— 第 2 部分：技术保障

　　— 第 3 部分：管理保障

　　— 第 4 部分：工程保障

　　本部分是 GB/T 20274 的第 2 部分 。

　　本部分的附录 A 和附录 B 为资料性附录 。

　　本部分由全国信息安全标准化技术委员会提出并归 口 。

　　本部分起草单位：中国信息安全产品测评认证中心 。

　　本部分主要起草人：吴世 忠 、王 海 生 、陈 晓 桦 、王 贵 驷 、李 守 鹏 、江 常 青 、彭 勇 、张 利 、姚 轶 崭 、邹 琪 、钱伟明 、陆丽 、班晓芳 、李静 、王庆 、江典盛 、孙成昊 、门雪松 、杜宇鸽 、杨再山 。

　　Ⅴ

　　GB/T 20274 . 2—2008

　　信息安全技术

　　信息系统安全保障评估框架

　　第 2 部分：技术保障

　　1 范围

　　GB/T 20274 的本部分建立了信息系统安全技术保障的框架，确立了组织机构内启动 、实施 、维护 、评估和改进信息安全技术体系的指南和通用原则 。GB/T 20274 的本部分定义和说明了信息系统安全技术体系建设和评估中反映组织机构信息安全的技术体系架构能力级，以及组织机构信息系统安全的

　　技术要求 。

　　GB/T 20274 的本部分适用于启动 、实施 、维护 、评估和改进信息安全技术体系的组织机构和涉及信息系统安全技术工作的所有用户 、开发人员和评估人员 。

　　2 规范性引用文件

　　下列文件中的条款通过 GB/T 20274 的本部分的引用而成为本部分的条款 。凡是注 日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否 可 使 用 这 些 文 件 的 最 新 版 本 。 凡 是 不 注 日 期 的 引 用 文 件，其 最 新 版 本 适 用 于 本部分 。

　　GB/T 20274 . 1 信息安全技术 信息系统安全保障评估框架 第 1 部分：简介和一般模型

　　3 术语和定义

　　GB/T 20274 . 1 确定的术语和定义适用于 GB/T 20274 的本部分 。

　　4 本部分的结构

　　GB/T 20274 的本部分的组织结构如下：

　　a) 第 1 章介绍了 GB/T 20274 的本部分的范围;

　　b) 第 2 章介绍了 GB/T 20274 的本部分所规范引用的标准;

　　c) 第 3 章描述了适用于 GB/T 20274 的本部分的术语和定义;

　　d) 第 4 章描述了 GB/T 20274 的本部分的组织结构;

　　e) 第 5 章描述了信息系统安全技术保障框架，并进一步概述了信息系统安全技术保障控制类域和安全技术体系架构能力级;

　　f) 第 6 章描述了信息安全技术保障控制类的规范描述结构和要求;

　　g) 第 7 章到第 17 章详述了提供信息安全技术保障控制类的 11 个信息安全技术保障控制类的详细要求;

　　h) 第 18 章描述了安全技术体系架构能力成熟度模型;

　　i) 附录 A是资料性附录，进一步解释了安全技术要求;

　　j) 附录 B是资料性附录，描述了分层多点的信息系统安全技术体系架构;

　　k) 参考文献给出了 GB/T 20274 的本部分的参考文献 。

　　1

　　GB/T 20274 . 2—2008

　　5 信息安全技术保障

　　5 . 1 安全技术保障概述

　　信息系统安全保障评估框架-安全技术保障主要用于评估信息系统中系统级的安全技术体系框架和安全技术解决方案，即对信息技术系统(信息技术系统：作为信息系统一部分的执行组织机构信息功能的用于采集 、创建 、通信 、计算 、分发 、处理 、存储和/或控制数据或信息的计算机硬件 、软件和/或固件的任何组合)进行安全评估 。在信息系统安全保障评估框架的技术 、管理和工程保障中，安全技术保障同 GB/T 18336《信息技术安全性评估准则》间有着最直接和紧密的关系;信息系统安全保障评估准的安全技术体系框架和安全技术解决方案直接建立在经过 GB/T 18336 准则评估认可的产品和产品系统之上 。

　　在信息系统安全保障评估框架安全技术保障中，它的评估对象(TOE) 是构成信息系统的所有计算机硬件 、软件和/或固件的任何组合 。信息系统安全保障评估框架安全技术保障，首先要求信息系统的用户为其评估对象(即信息技术系统)建立和完善其安全技术体系架构;在完成其信息技术系统安全技术体系架构后，基于此安全技术体系架构，对信息技术系统进行高层分析 、确定相关安全目的;最后用规范化的安全技术保障控制组件类进行描述 。

　　5 . 2 安全技术体系架构能力级

　　安全技术体系架构构建过程，是组织机构根据其系统安全风险评估的结果和系统安全策略的要求，并参考相关安全技术体系架构的标准和最佳实践，结合组织机构信息技术系统的具体现状和需求，建立的符合组织机构信息技术系统安全战略发展规划的整体安全技术体系框架;它是组织机构信息技术系统安全战略管理的具体体现 。安全技术体系架构能力是组织机构执行系统安全技术能力的整体反映，是组织机构在进行信息安全技术体系框架管理并达到预定成本 、功能和质量目标的度量的体现 。

　　5 . 3 安全技术保障控制要求范例

　　本条描述本部分中安全技术保障控制要求所使用的范例 。 图 1 和图 2 描述了范例的一些关键概念 。本条为这些图和图中没有的其他关键概念提供文字描述 。所讨论的关键概念以粗斜体突出表示 。

　　图 1 安全技术保障控制要求范例(单个 TOE)

　　本部分是一个可为评估对象(TOE) 规定安全功能要求的 目 录 。 TOE 是包含电子存储媒体(如磁盘)、外设(如打印机)和计算能力(如 CPU 时间)等资源的 IT 产品或系统(同时带有用户和管理员指南文档)，可用于处理和存储信息，是被评估的对象 。

　　TOE评估主要关系到：确保对 TOE 资源执行了规定的TOE安全策略(TSP) 。TSP 定义了一些规

　　2

　　GB/T 20274 . 2—2008

　　则，通过这些规则 TOE 支配对其资源的访问，这样 TOE 就控制了其所有信息和服务 。

　　而 TSP 又由多个安全功能策略(SFP) 所构成 。 每 一 SFP 有其控制范围，定义了该 SFP 控制下的主体 、客体和操作 。SFP 由安全功能(SF) 实现，SF 的机制执行该策略并提供必要的能力 。

　　图 2 分布式 TOE 内的安全功能图

　　为正确执行 TSP 而必须依赖的 TOE 中的那些部分，统称为TOE安全功能(TSF) 。TSF 包括实施安全所直接或间接依赖的 TOE 中的所有软件 、硬件和固件 。

　　参照监视器 是实施 TOE 的访问控制策略的抽象机 。参照确认机制 是参照监视器概念的实现，它具有以下特性：防篡改 、一直运行 、简单到能对其进行彻底的分析和测试 。TSF 可能包括一个参照确认机制或 TOE 运行所需要的其他安全功能 。

　　TOE 可能是一个包含硬件 、固件和软件的单个产品，也可能是一个分布式产品，内部包括多个单独的部分，每一部分都为 TOE 提供一个特别的服务，并且通过一个内部通信信道 与 TOE 其他部分相连接 。该信道可以与处理器总线一样小，也可能是包含在 TOE 中的一个内部网络 。

　　当 TOE 由多个部分组成时，TOE 的每一部分可拥有 自 己的 TSF 部分，此部分通过内部通信信道与 TSF 的其他部分交换用户数据和 TSF 数据 。 这种交互称为TOE 内部传输 。 在这种情 况 下，这 些TSF 的分离部分抽象地形成一个复合的 TSF来实施 TSP 。

　　TOE 接口可能限于特定的 TOE使用，也可能允许通过外部通信信道 与其他 IT产品交互 。这些与其他 IT产品的外部交互可以采取两种形式：

　　a) “远程可信 IT产品 ”的安全策略和本地 TOE 的 TSP 已在管理上进行了协调和评估 。这种情况下的信息交换称为TSF 间传输 ，如同它们是在不同可信产品的 TSF 之间 。

　　b) 远程 IT产品可能没有被评估，因此它的安全策略是未知的，如图 1 . 2 中所示的 “不可信 IT 产品 ”。这种情况下的信息交换称为TSF控制外传输 ，如同在远程 IT 产品中没有 TSF(或它的策略特性未知)。

　　可与 TOE 或在 TOE 中发生的 、并服从 TSP 规则的交互集合称为TSF控制范围(TSC) 。 TSC 包括一组根据主体 、客体和 TOE 内的操作定义的交互集，但不必包括 TOE 的所有资源 。

　　一组交互式(人机接口)或编程(应用编程接口)接 口，通过它，TSF 访问 、调配 TOE 资源，或者从

　　3

　　GB/T 20274 . 2—2008

　　TSF 中获取信息，称为TSF接口(TSFI) 。TSFI定义了为执行 TSP 而提供的 TOE 功能的边界 。

　　用户在 TOE 的外部，因此也在 TSC 的外部 。但为请求 TOE 执行服务，用户要通过 TSFI 和 TOE交互 。本标准安全功能要求关心两种用户：人类用户和外部 IT 实体 。人类用户进一步分为本地人类用户 ，他们通过 TOE设备(如工作站)直接与 TOE 交互，或远程人类用户 ，他们通过其他 IT 产品间接与 TOE 交互 。

　　用户和 TSF 间的一段交互期称为用户会话 。 可以根据各种考虑来控制用户会话的建立，如：用户鉴别 、时段 、访问 TOE 的方法和每个用户允许的并发会话数 。

　　本标准使用术语“已授权 ”来表示用户具有执行某种操作所必需的权力或特权 。 因此术语 “授权用户 ”表示允许用户执行 TSP定义的操作 。

　　为表达需要管理员责任分离的要求，本标准相关的安全功能组件(来 自子类 FMT_ SMR) 明确说明要求管理性角色 。角色是预先定义的一组规则，这些规则建立起用户和 TOE 间所允许的交互 。 TOE可以支持定义任意数目的角色 。例如，与 TOE 安全运行相关的角色可能包括 “审计管理员 ”和 “用户账号管理员 ”。

　　TOE包括可用于处理和存储信息的资源 。 TSF 的主要 目标是完全并正确地对 TOE 所控制的资源和信息执行 TSP 。

　　TOE 资源能以多种方式结构化和利用 。但是，本标准作出了特殊区分，以允许规定所期望的安全特性 。所有由资源产生的实体能以两种方式中的一种来表征：实体可能是主动的，意指他们是 TOE 内部行为发生的原因，并导致对信息执行操作;实体也可能是被动的，意指它们是发出信息或存入信息的容器 。

　　主动的实体称为主体 。TOE 内可能存在以下几种类型的主体：

　　a) 代表授权用户，遵从 TSP所有规则的那些实体(例如：UNIX进程);

　　b) 作为特定功能进程，可以轮流代表多个用户的那些实体(例如：在客户/服务器结构中可能找到的功能);

　　c) 作为 TOE 自身一部分的那些实体(例如：可信进程)。

　　本部分所述的安全功能针对上述列出的各种主体执行 TSP 。

　　被动实体(即信息存储器)在本部分中被称作 “客体 ”。客体是可以由主体执行操作的对象 。在一个主体(主动实体)是某个操作的对象(例如进程间通信)的情况下，该主体也可以作为客体 。

　　客体可以包含信息 。在 FDP类中说明信息流控制策略时，需要这个概念 。

　　用户 、主体 、信息和客体具有确定的属性 ，这些属性包括使 TOE 正确运转的信息 。有些属性，可能只是提示性信息(即，增加 TOE 的用户友好性)，如文件名，而另一些属性，可能专为执行 TSP 而存在，如访问控制信息，后面这些属性通常称为 “安全属性 ”。在本部分中，属性一词将用作 “安全属性 ”的简称，除非另有说明 。但正如 TSP 规定的那样，无论属性信息的预期 目 的如何，对属性加 以 控 制 还 是 必要的 。

　　TOE 中的数据分为用户数据和 TSF数据，图 3 表明了这种关系 。用户数据 是存储在 TOE 资源中的信息，用户可以根据 TSP 对其进行操作，而 TSF 对它们并不附加任何特殊的意义 。例如，电子邮件消息的内容是用户数据 。TSF数据 是在进行 TSP 决策时 TSF 使用的信息 。如果 TSP 允许的话，TSF数据可以受用户的影响 。安全属性 、鉴别数据以及访问控制表都是 TSF数据的例子 。

　　有几个用于数据保护的 SFP ,诸如访问控制 SFP 和信息流控制 SFP 。实现访问控制 SFP 的机制，是基于控制范围内的主体属性 、客体属性和操作来决定建立它们的策略，这些属性用于控制主体可以对客体执行的操作的规则集中 。

　　实现信息流控制 SFP 的机制，是基于控制范围内的主体和信息的属性以及制约主体对信息操作的一组规则来决定它们的策略 。信息的属性，可能与容器属性相关联(也可能没有关联，如多级数据库)，在信息移动时与其相随 。

　　4

　　GB/T 20274 . 2—2008

　　图 3 用户数据和 TSF数据的关系

　　本部分涉及的两种特殊 TSF数据，鉴别数据 和秘密 ，可以是但不必一定是相同的 。

　　鉴别数据用于验证向 TOE请求服务的用户声明的身份 。最通用的鉴别数据形式是口令 。 口令要成为有效的安全机制，依赖于对其进行保密 。但是，不是所有形式的鉴别数据都需要保密，生物测定学鉴别设备(例如，指纹阅读器 、视网膜扫描仪)就不依赖于数据保密，因为这些数据只有一个用户拥有，其他人不能伪造 。

　　本部分功能要求中用到的术语 “秘密 ”，对鉴别数据适用，对其他为执行一特定 SFP 而必须保密的数据也同样适用 。例如，依靠密码功能保护在信道中传输信息的保密性的可信信道机制，其强度应与用来保持密钥的秘密以防止未授权泄露的方法的强度相当 。

　　因此，不是所有的鉴别数据都需要保密;也不是所有的秘密都被用作鉴别数据 。 图 4 说明了秘密和鉴别数据间的关系，指出了常见的鉴别数据和秘密的数据类型 。

　　图 4 “鉴别数据 ”和 “秘密 ”的关系

　　6 信息安全技术保障控制结构

　　6 . 1 综述

　　本章定义了本部分的技术 要 求 的 内 容 和 形 式，并 为 需 要 向 ISST 中 添 加 新 组 件 的 组 织 提 供 指 南 。技术要求以类 、子类和组件来表达 。

　　6 . 1 . 1 信息安全技术保障控制类结构

　　图 5 以图表的形式阐明了安全技术保障控制类的结构 。每个安全技术保障控制类包括一个类名 、类介绍及一个或多个安全技术保障控制子类 。

　　5

　　GB/T 20274 . 2—2008

　　图 5 安全技术保障控制类结构

　　6 . 1 . 1 . 1 类名

　　类名提供标识和划分安全技术保障控制类所必需的信息 。每个安全技术保障控制类都有一个唯一的名称，类的分类信息由三个字符的简名组成 。类的简名用于该类中的子类的简名规范中 。

　　6 . 1 . 1 . 2 类介绍

　　类介绍描述这些子类满足安全目标的通用意图或方法 。安全技术保障控制类的定义不反映要求规范中的任何正式分类法 。

　　类介绍用图来描述类中的子类和每个子类中组件的层次结构，见 6 . 1 . 1 的解释 。

　　6 . 1 . 2 信息安全技术保障控制子类结构

　　图 6 以框图形式说明安全技术保障控制子类的结构 。

　　图 6 安全技术保障控制子类结构

　　6 . 1 . 2 . 1 子类名

　　子类名部分提供标识和划分安全技术保障控制子类所必需的分类和描述信息 。每个安全技术保障控制子类有一个唯一的名称 。子类的分类信息由七个字符的简名组成，开头三个字符与类名相同，后跟一个下划线和子类名，例如 XXX_YYY 。 唯一的简短子类名为组件提供主要的引用名 。

　　6 . 1 . 2 . 2 子类行为

　　子类行为是对安全技术保障控制子类的行为的叙述性描述，陈述其安全目的，以及对技术要求的一

　　6

　　GB/T 20274 . 2—2008

　　般描述 。 以下是更详细的描述：

　　a) 子类的安全目的阐述在包含该子类的一个组件的 TOE 的帮助下，可以解决的安全问题;

　　b) 技术要求的描述总结组件中包含的所有安全要求 。该描述针对 PP 、ST 和技术包的作者，他们希望评价该子类是否与他们的特定需求相关 。

　　6 . 1 . 2 . 3 组件层次

　　安全技术保障控制子类包含一个或多个组件，任何一个组件都可被选择包含在 PP 、ST 和技术包中 。本条的 目的是，一旦子类被认为是用户安全要求的一个必要或有用的部分时，就应向用户提供选择恰当的安全技术保障控制组件的信息 。

　　安全技术保障控制子类描述部分描述所用组件和它们的基本原理 。组件的更多细节包含在每个组件中 。

　　安全技术保障控制子类内组件间的关系可能是也可能不是层次化的 。如果一个组件相对另一个组件提供更多的安全，那么该组件对另一个组件来说是有层次的 。

　　如 6 . 1 . 2 条所述，子类的描述中提供了关于子类内组件层次结构的图示 。

　　6 . 1 . 2 . 4 管理

　　管理 要求包含 PP/ST作者应考虑的作为给定组件的管理活动的信息 。 管理要求在管理类(FMT)的组件里详述 。

　　PP/ST作者可以选择已指出的管理要求或者可以包括其他没有列出的管理要求，因而这些信息应认为是提示性的 。

　　6 . 1 . 2 . 5 审计

　　如果 PP/ST 中包含来自类 FAU(安全审计)中的要求，则审计 要求包含供 PP/ST作者选择的可审计的事件 。这些要求包括按 FAU_GEN(安全审计数据产生)子类的组件所支持的以各种不同详细级别表示的安全相关事件 。例如，一个审计记录可能包括下述行动：最小级— 安全机制的成功使用;基本级 — 安全机制的成功使用以及所涉及到的安全属性的相关信息;详细级— 所有对机制配置的改变，包括改变前后的实际配置值 。

　　显然可审计事件的分类是层次化的 。例如，当期望 “基本级审计产生 ”时，所有标识为最小级和基本级的可审计事件都应通过适当的赋值操作包括在 PP/ST 内，只是高级事件仅仅比低级事件提供更多的细节 。 当期望 “详细级审计产生 ”时，所有标识为最小级 、基本级和详细级的可审计事件都应包括在 PP/ ST 内 。

　　FAU类更详尽地解释了管理审计的规则 。

　　6 . 1 . 3 信息安全技术保障控制组件结构

　　图 7 描绘安全技术保障控制组件的结构 。

　　图 7 安全技术保障控制组件结构

　　7

　　GB/T 20274 . 2—2008

　　6 . 1 . 3 . 1 组件标识

　　组件标识提供标识 、分类 、注册和交叉引用组件时所必需的描述性信息 。下列各项作为每个安全技术保障控制组件的部分：

　　a) 一个唯一的名字 ，该名字反映了组件的 目 的 。

　　b) 一个简名 ，即安全技术保障控制组件名的唯一简写形式 。 简名作为分类 、注册和交叉引用组件的主要引用名 。简名反映出组件所属的类和子类以及在子类中组件的编号 。

　　c) 一个从属于 表 。这个组件所从属于的其他组件列表，以及该组件可用来满足与所列组件间的依赖关系 。

　　6 . 1 . 3 . 2 技术元素

　　为每一组件提供了一组元素 。每个元素都分别定义并且是相互独立的 。

　　技术元素是一个安全技术要求，如果进一步划分将不会产生有意义的评估结果 。它是 GB 20274 . 2中标识和认同的最小安全技术要求 。

　　当建立包 、PP 或 ST 时，不允许从一个组件中只选择一个或几个元素，必须选择组件的全部元素 。

　　每个技术元素名都有一个唯一的简化形式 。例如，元素名 FDP_ IFF. 4 . 2 意义如下：F— 技术要求，DP— “用户数据保护 ”类，__IFF— “信息流控制技术 ”子类，.4 — 第四个组件，名为 “部分消除非法信息流 ”，.2-该组件的第 2 个元素 。

　　6 . 1 . 3 . 3 依赖关系

　　当一个组件本身不充分而要依赖于其他组件的技术，或依赖于与其他组件的交互才能正确发挥其技术时，就产生了安全技术保障控制组件间的依赖关系 。

　　每个安全技术保障控制组件都提供一个对其他技术和保证组件的完整的依赖关系表 。有些组件可能列出 “无依赖关系 ”。所依赖的组件又可能依赖其他组件，组件中提供的列表是直接的依赖关系 。这只是为该技术要求能正确完成其技术提供参考 。 间接依赖关系，也就是由所依赖组件产生的依赖关系，见本标准附录 A 。值得注意的是，在某些情况下依赖关系可在提供的多个技术要求中选择，这些技术要求中的每一个都足以满足依赖关系(例如 FDP_UIT. 1) 。

　　依赖关系列表标识出，为满足与已标识组件相关的安全要求所必需的最少技术或保证组件 。从属于已标识组件的那些组件也可用来满足依赖关系 。

　　本部分指明的依赖关系是规范的，在 PP/ST 中它们必须得到满足 。在特定的情况下这种依赖关系可能不适用，只要 PP/ST作者在基本原理中说清不适用的理由，就可以在包 、PP 和 ST 中不考虑依赖的组件 。

　　6 . 1 . 4 允许的安全技术保障控制组件操作

　　用于在 PP 、ST 或技术包内定义要求的安全技术保障控制组件可以与本部分第 5 章 ～第 17 章中说明的完全一样，也可以经裁剪以满足特定的安全目的 。但是，选择和裁剪这些安全技术保障控制组件是复杂的，因为必须考虑所标识组件依赖关系 。 因此这种裁剪只限于一组允许的操作 。

　　每个安全技术保障控制组件都包括一个允许的操作列表 。对所有安全技术保障控制组件，并非 一切操作都是允许的 。

　　允许的操作选自：

　　a) 反复：采用不同的操作多次使用同一组件;

　　b) 赋值：对指定参数的说明;

　　c) 选择：对列表中的一个或多个元素的说明;

　　d) 细化：增加细节 。

　　6 . 1 . 4 . 1 反复

　　当需要覆盖同一要求的不同方面时(如，标识一个以上类型的用户)，允许重复使用本标准的同一组件来覆盖每个方面 。

　　8

　　GB/T 20274 . 2—2008

　　6 . 1 . 4 . 2 赋值

　　某些安全技术保障控制元素包含一些参数和变量，这些参数和变量使 PP/ST 作者可以指定 PP 或ST 中包含的一个策略或一组值，以满足特定的安全 目 的 。 这些元素清楚地标识出每个参数及其可以分配给该参数的值 。

　　元素任一方面的可接受值如能无歧义地描述和列举，就可用一个参数来表述 。该参数可能是一个属性或规则，它把要求限定为一个确定的值或值的范围 。例如，根据指定的安全 目 的，安全技术保障控制元素可以规定一给定的操作应执行数次 。在这种情况下，赋值应提供用于该参数的次数或次数范围 。

　　6 . 1 . 4 . 3 选择

　　这是为缩小一个组件元素的范围，从列表中选取一个或多个项 目 的操作 。

　　6 . 1 . 4 . 4 细化

　　对所有安全技术保障控制元素来说，为满足安全目的，允许 PP/ST 作者通过增加细节来限定可接受的实现集 。元素的细化由这些增加的技术细节来组成 。

　　在 ST 中，可能需要就 TOE对术语 “主体 ”和 “客体 ”的含义作出有意义的解释，因此需要细化 。

　　像其他操作一样，细化不增加任何完全新的要求 。根据安全目的，它对要求 、规则 、常量和条件施以详细阐述 、解释或特别的含义 。细化应只是进一步限定实现要求所可能接受的技术或机制集，而不是增加要求 。细化不允许建立新要求，因此不会增加与组件相关的依赖关系列表 。PP/ST 作者必须注意，其他要求对该要求的依赖关系仍应得到满足 。

　　6 . 2 组件分类

　　本部分中组件的分类不代表任何正式的分类法 。

　　本部分包括子类和组件的分类，它们是基于相关的技术和 目 的的粗略分类，按字母顺序给出 。每个类的开头是一个提示性框图，指出该类的分类法 、类中的子类和子类中的组件 。这个图对指示可能存在于组件间的层次关系是有用的 。

　　在安全技术保障控制组件的描述中，有一段指出该组件和任何其他组件之间的依赖关系 。

　　在每个类中，都有一个与图 6 类似的描述子类层次关系的图 。在图 8 中，第 1 个子类(子类 1) 包括了三个有从属关系的组件，其中组件 2 和组件 3 都可以用来满足对组件 1 的依赖关系 。组件 3 从属于组件 2 ,并且可以用来满足对组件 2 的依赖关系 。

　　图 8 示范类分解图

　　在子类 2 中有三个组件，这三个组件不全都有从属关系 。组件 1 和组件 2 不从属于其他组件 。组件 3 从属于组件 2 ,可以用来满足对组件 2 的依赖关系，但不能满足对组件 1 的依赖关系 。

　　在子类 3 中，组件 2 、3 、4 从属于组件 1 。组件 2 和 3 也都从属于组件 1 , 但无可比性 。组件 4 从属于组件 2 和 3 。

　　9

　　GB/T 20274 . 2—2008

　　这些图的 目 的是补充子类中的文字说明，使关系的识别更容易 。它们并不取代每个组件中的 “从属于：”注释，这些注释是对每个组件从属关系的强制声明 。

　　6 . 2 . 1 突出组件变化

　　子类中组件的关系约定以粗体字突出表示 。粗体字约定所有新的要求用粗体表示 。对于有从属关系的组件，当要求或依赖关系被增强或修改而超出前一组件的要求时，要用粗体字表示 。 另外，超出前一组件的任何新的或增强的允许操作，也使用粗体字突出表示 。

　　7 FAU 类：安全审计

　　安全审计包括识别 、记录 、存储和分析那些与安全相关活动(即由 TSP 控制的活动)有 关 的 信 息 。检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责 。

　　安全审计类分解见图 9 。

　　图 9 安全审计类分解

　　10

　　GB/T 20274 . 2—2008

　　7 . 1 安全审计自动响应(FAU_ARP)子类行为

　　本子类定义在检测到的事件表明可能有安全侵害发生时作出的应答 。组件层次

　　对于 FAU_ARP. 1 安全警告，当检测到可能的安全侵害时 TSF应采取行动 。

　　管理：FAU_ARP. 1

　　在管理功能 FMT 中考虑以下行动：

　　a) 对行动的管理(添加 、移去 、修改)。

　　审计：FAU_ARP. 1

　　如果在 PP/ST 中包括 FAU_GEN 安全审计数据产生，那么以下行动应可审计：

　　a) 最小级：当即将发生安全侵害时采取的行动 。

　　FAU_ARP. 1 安全警告

　　从属于：无其他组件 。

　　依赖关系：FAU_SAA. 1 潜在侵害分析

　　FAU_ARP. 1 . 1 当检测到潜在的安全侵害时，TSF应进行[赋值：最小扰乱行动表]。

　　7 . 2 安全审计数据产生(FAU_GEN)

　　子类行为

　　对于在 TSF控制下发生的安全相关事件，本子类定义了记录其出现的要求 。本子类确定审计的级别，列举 TSF可审计的事件类型，以及应在各审计记录内提供的审计相关信息的最小集合 。

　　组件层次

　　FAU_GEN. 1 审计数据产生定义可审计事件的级别，并规定在每个记录中应记录的数据列表 。

　　FAU_GEN. 2 用户身份关联，TSF应把可审计事件与单个用户身份相关联 。

　　管理：FAU_GEN. 1 , FAU_GEN. 2尚无预见的管理活动 。

　　审计：FAU_GEN. 1 , FAU_GEN. 2

　　如果在 PP/ST 中包含 FAU_GEN 安全审计数据产生，此处不存在任何明确的可审计行动 。

　　FAU_GEN. 1 审计数据产生从属于：无其他组件 。

　　依赖关系：FPT_STM. 1 可信时间戳

　　FAU_GEN. 1 . 1 TSF应能为下述可审计事件产生审计记录：

　　a) 审计功能的启动和关闭;

　　b) 在[选择：最小级，基本级，详细级，未规定]审计级别以内的所有可审计事件;

　　c) [赋值：其他专门定义的可审计事件]。

　　11

　　GB/T 20274 . 2—2008

　　FAU_GEN. 1 . 2 TSF应在每个审计记录中至少记录如下信息：