GB/T 21050-2019 信息安全技术 网络交换机安全技术要求

　　ICS 35 . 040 L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 21050—2019

　　代替 GB/T 21050—2007

　　信息安全技术

　　网络交换机安全技术要求

　　Informationsecuritytechnology—

　　Securityrequirementsfornetworkswitch

　　2019-08-30 发布 2020-03-01 实施

　　国家市场监督管理总局中国国家标准化管理委员会

　　发

　　布

　　GB/T 21050—2019

　　GB/T 21050—2019

　　前 言

　　本标准按照 GB/T 1 . 1—2009 给出的规则起草。

　　本标准代替 GB/T 21050—2007《信息安全技术 网络交换机安全技术要求(评估保证级 3)》。 与GB/T 21050—2007 相比，除编辑性修改外主要技术变化如下：

　　— 对使用范围进行了修改，并增加了关于密码算法的约定(见第 1 章，2007 年版的第 1 章);

　　— 增加了对术语标准的引用(见第 2 章，2007 年版第 2 章);

　　— 增加了“可信 IT产品”术语，删掉了“网络交换机”术语(见第 3 章，2007 年版的第 3 章);

　　— 修改了网络交换机的描述(见第 4 章，2007 年版的第 4 章);

　　— 将安全环境修改为安全问题定义，且归并和修改了假设、威胁、组织安全策略(见第 5 章，2007 年版的第 5 章);

　　— 修改和删减了安全目的(见第 6 章，2007 年版的第 6 章);

　　— 增加了扩展组件，根据 GB/T 18336—2015 增删了安全要求(见第 7 章);

　　— 增加了基本原理一章(见第 8 章)。

　　请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别这些专利的责任。

　　本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口 。

　　本标准起草单位：中国信息安全测评中心、吉林信息安全测评中心、华为技术有限公司、清华大学、锐捷网络股份有限公司、网神信息技术(北京)股份有限公司。

　　本标准主要起草人：李凤娟、张宝峰、刘晖、张狮斌、贾炜、张骁、庞博、刘昱函、唐喜庆、蒋显岚、刘玳娉、钟建伟、刘海利、叶晓俊、李玲、徐涛。

　　本标准所代替标准的历次版本发布情况为：

　　—GB/T 21050—2007 。

　　GB/T 21050—2019

　　信息安全技术

　　网络交换机安全技术要求

　　1 范围

　　本标准规定了网络交换机达到 EAL2 和 EAL3 的安全功能要求及安全保障要求，涵盖了安全问题定义、安全目的、安全要求等内容。

　　本标准适用于网络交换机的测试、评估和采购，也可用于指导该类产品的研制和开发。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的。 凡是注 日期的引用文件，仅注 日期的版本适用于本文件 。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 18336 . 1—2015 信息技术 安全技术 信息技术安全评估准则 第 1 部分：简介和一般模型

　　GB/T 18336 . 2—2015 信息技术 安全技术 信息技术安全评估准则 第 2 部分：安全功能组件

　　GB/T 18336 . 3—2015 信息技术 安全技术 信息技术安全评估准则 第 3 部分：安全保障组件GB/T 25069—2010 信息安全技术 术语

　　3 术语和定义、缩略语

　　3 . 1 术语和定义

　　GB/T 25069—2010 和 GB/T 18336 . 1—2015 界定的以及下列术语和定义适用于本文件。

　　3 . 1 . 1

　　可信 IT产品 trustedIT Product

　　有与 TOE协调管理的安全功能要求，但不属于 TOE 的其他 IT产品，且假定可正确执行自身的安全功能要求。

　　3.1.2

　　可信信道 trustedchannel

　　TSF 和远程可信 IT产品间在必要的信任基础上进行通信的一种通信手段。

　　3.1.3

　　可信路径 trustedPath

　　用户与 TSF 间在必要的信任基础上进行通信的一种通信手段。

　　3.1.4

　　可信源 trustedsource

　　能够被标识和鉴别的源或节点，从该源或节点发出信息的完整性能够被核实和确认。

　　3.1.5

　　客户 client

　　向另一方请求服务的一方。

　　GB/T 21050—2019

　　[GB/T 11457—2006,定义 2 . 214]

　　3.1.6

　　网络审计管理员 networkauditmanagementoperator

　　仅具有查看权限，是负责收集、分析和查看网络行为数据的网络管理角色。

　　注 ：网络审计管理员可查看网络交换机配置、信息流策略等。

　　3.1.7

　　网络配置管理员 networkmanagementadministrator

　　受到严格限制的具有部分网络管理能力的管理角色，可以执行网络交换机管理功能的子集，但不具备网络审计管理员的能力。

　　注 ：网络配置管理员可配置管理网络系统，利用权限解决网络故障等。

　　3.1.8

　　网络安全管理员 networksecurityadministrator

　　具有所有管理级别的访问权限，可以访问网络交换机的各个区域，同时具备网络配置管理员和网络审计管理员的能力的管理角色。

　　注 ：网络安全管理员可创建、修改和存取访问控制列表、加载密钥、限制应用程序的执行，以及维护网络管理审计 日志等能力的网络管理角色。

　　3.1.9

　　节点 node

　　计算机网络系统中可以对信息进行存储和(或)转发的设备。

　　3 . 2 缩略语

　　下列缩略语适用于本文件。

　　BGP：边界网关协议(Border Gateway Protocol)

　　EAL：评估保障级(Evaluation Assurance Level)

　　HTTP：超文本传输协议(Hyper Text Transfer Protocol)

　　IP：互联网协议(Internet Protocol)

　　IT：信息技术(Information Technology)

　　LDP：标签分发协议(Label Distribution Protocol)

　　MD5：报文摘要算法(Message Digest 5)

　　OSI：开放系统互联参考模型(Open System Interconnect)

　　OSPF：开放式最短路径优先(Open Shortest Path First)

　　RSVP：资源预留协议(Resource ReserVation Protocol)

　　RMON：远距离监控(Remote MONitoring)

　　SNMP：简单网络管理协议(Simple Network Management Protocol)

　　ST：安全目标(Security Target)

　　TOE：评估对象(TargetOf Evaluation)

　　TSF: TOE安全功能(TOE Security Function)

　　4 网络交换机描述

　　网络交换机是一种连接网络的设备，用于连接各个节点或其他网络设备，能够在通信系统中完成信息交换功能的设备。 从技术角度看，网络交换机运行在 OSI 模型的数据链路层、网络层甚至传输层。虽然 IP、光交换有各自不同的特性，但是它们的处理和控制方式是相似的。 可信路径建立在网络交换

　　GB/T 21050—2019

　　机和管理系统之间，可信信道建立在网络交换机与可信 IT 实体之间，通过可信路径可进行管理信息的交换，通过可信信道可进行网络控制信息(如，许可动态连接建立和包路由选择信息)的交换。 网络控制信息由特定的请求和指令组成，如目的地址、路由选择控制和信令信息等。 在 IP环境下，控制信息可以包括 OSPF 、BGP、RSVP 和 LDP。

　　网络交换机一般包括接口卡、端口、软件，以及驻留在其上的数据等。 与网络交换机相关的所有电路都属于网络交换机的一部分，其中包括管理链路。 虽然网络管理系统是必需的部件，但是它不属于本标准的规范范围，而且连接到网络交换机的其他网络部件也不属于本标准的规范范围。 例如，交叉连接的数字传送系统、光传送系统、加密装置等。 然而，网络交换机可以支持加密或具有连接加密装置的接口，用于加密用户数据、管理和控制信息。 网络交换机具有保护网络管理和进行网络控制的功能，允许通过网络可靠传递用户信息，并具有可靠的质量和及时性。

　　网络交换机的主要安全特性包括安全审计、安全管理、用户数据保护、用户鉴别和认证、加密支持、数据传输和存储安全等。 图 1 为网络交换机典型应用环境。

　　图 1 网络交换机典型应用环境

　　5 安全问题定义

　　5 . 1 资产

　　本标准中保护的资产包括以下方面：

　　— 审计数据(审计数据由网络交换机执行安全审计功能时产生);

　　— 认证数据(用于用户和外部实体访问交互时的鉴别和认证);

　　— 配置数据(网络交换机的配置信息、网络连接信息、固件更新数据等);

　　— 密码数据(用于交换机实施数字签名或加解密的数据，如密钥等);

　　— 表数据(用于网络转发和路由相关的列表，如网络层路由表、链路层地址解析表、链路层 MAC地址表、BGP/OSPF数据库等数据)。

　　应用说明：ST 编写者应根据具体的应用情况细化对资产的描述。

　　GB/T 21050—2019

　　5 . 2 威胁

　　5.2. 1 通信分析(T.Analysis)

　　攻击者可能通过收集大量数据以及数据的源、目的地址和发送数据的 日期、时间进行分析。

　　5.2.2 审计机制失效(T.Audit_compromise)

　　恶意用户或进程可能修改 TOE 审计策略，使 TOE 审计功能停用或失效、审计记录丢失或被篡改，也有可能通过审计数据存储失效来阻止未来审计记录被存储，从而掩盖用户的操作。

　　5 . 2 . 3 未授权网络访问并获取数据(T.capture)

　　攻击者可能通过窃听、接入传输线或用其他方式获取通信信道上传输的数据。

　　5.2.4 节点泄露(T.compromised_Node)

　　修改网络交换机配置文件或路由表使得节点变得不安全，导致网络交换机运行异常、网络交换机安全功能失效，或流量可能被重路由经过未授权的节点。

　　5.2.5 隐通道(T.covert)

　　隐通道是隐藏在系统内部，允许以违背系统安全策略的形式传送信息的通信通道，其目的是用于不被监控地传送信息。

　　5.2.6 密码分析(T.cryptanalytic)

　　攻击者为了复原信息内容而去尝试进行对已加密数据的密码分析。

　　5.2.7 拒绝服务(T.Denial)

　　攻击者通过执行指令、发送超限额的高优先级流量数据，或执行其他操作，在网络上造成不合理的负载，造成授权客户得不到应有的系统资源，即导致拒绝服务。

　　5.2.8 部件或电源失效(T.Fail)

　　一个或多个系统部件或电源失效可能造成重要系统功能破坏和重要系统数据的丢失。

　　5 . 2 . 9 硬件、软件或固件的缺陷(T.Flaw)

　　硬件、软件或固件的缺陷导致网络交换机及其安全功能的脆弱性。

　　5.2. 10 管理员网络授权的滥用(T.Hostile_Admin)

　　网络配置管理员或网络安全管理员有意滥用授予的权限，进行不适当地存取或修改数据信息，例如，配置数据、审计数据、口令文件，或误处理其他的敏感数据文件。

　　5.2. 1 1 管理错误(T.Mgmt_Error)

　　拥有网络配置管理员角色的人员可能无意地不恰当存取、修改了数据信息，或误用资源。

　　5.2. 12 修改协议(T.Modify)

　　攻击者未经授权的修改或控制协议(例如，路由选择、信号等协议)。

　　GB/T 21050—2019

　　5.2. 13 网络探测(T.NtwkMap)

　　攻击者可能进行网络探测来获得节点地址、路由表信息和物理位置。

　　5.2. 14 重放攻击(T.Replay_Attack)

　　攻击者通过记录通信会话，并重放它们伪装成已验证的客户非法获取网络交换机的访问权。 管理信息也可能被记录和重放，从而用于伪装成已验证的网络配置管理员或网络安全管理员来得到对网络管理资源的访问权。

　　5.2. 15 配置数据泄露(T.sel_pro)

　　攻击者可能读、修改或破坏网络交换机的安全配置数据。

　　5.2. 16 欺骗攻击(T.spoof)

　　未授权节点可能使用有效的网络地址来尝试访问网络，即客户通过获得的网络地址来伪装成已授权的用户，企图得到网络交换机资源。

　　5.2. 17 对管理端口的非授权访问(T.unauth_Mgmt_Access)

　　攻击者或滥用特权的网络配置管理员可能通过 Telnet、RMON 或其他方式访问管理端 口，从而重新配置网络、引起拒绝服务、监视流量、执行流量分析等。

　　5 . 3 组织安全策略

　　5.3. 1 可核查性(p.Accountability)

　　使用网络交换机传送信息的组织、拥有网络配置管理员角色的人员和开发者应对他们的行为活动负责。

　　5.3.2 审计管理行为(p.Audit_Admin)

　　网络管理系统应能产生和传送审计记录，审计记录应提供和包括充足的信息，用来确定在事件发生时的管理员、管理时间和管理行为;组织应周期性地审核审计记录。

　　5.3.3 操作员和节点的鉴别(p.Authentication)

　　网络交换机应能支持对网络审计管理员、网络配置管理员和网络安全管理员的鉴别，并且网络交换机也应支持对等节点的鉴别。

　　5.3.4 网络可用性(p.Availability)

　　应能保证网络资源对许可客户的任务需求和传送信息需求能够持续满足。

　　5.3.5 信息的保密性(p.confidentiality)

　　统计数据、配置信息和连接信息应保持实时和存储状态下的保密性。 为了保持其保密性，网络交换机应能够支持加密装置的加解密能力或接口支持能力。

　　5.3.6 默认配置(p.Default_config)

　　网络交换机的默认设置应能防止网络交换机安全性功能的削弱或失效。 鉴别机制、鉴别失败、超时

　　GB/T 21050—2019

　　锁定、管理口的访问控制等安全功能应是默认生效的。

　　5.3.7 内容的完整性(p.Integrity)

　　管理和控制信息在传输期间应保持其内容的完整性，同时，所有信息要保持其储存状态下的完整性。

　　5.3.8 互操作性(p.Interoperability)

　　网络交换机应能与其他厂商的网络交换机互连互通。 在网络交换机中要实现标准化的、非专有的协议(如路由选择、信令协议等)。厂商可以选择性地实现一些专有协议，但为了互通的目的厂商也应在网络交换机中实现标准协议。

　　5.3.9 故障通告(p.Notify)

　　网络交换机及其安全环境应具备(或在其他设备配合下具备)提醒和报警能力，例如，通过 SNMP第 3 版的陷门(trap)机制发送部件、固件、硬件或软件的失效通知。

　　5.3. 10 对等节点(p.peer)

　　安全的节点应有接受来自信任和不信任节点流量的能力。 为了保护信息，流量将会在信任和不信任的节点之间被过滤。

　　5.3. 1 1 可靠传输(p.Reliable_Transport)

　　网络管理和控制应实现特定的可靠传送和检错机制。

　　5.3. 12 网络可生存性与恢复(p.Survive)

　　网络资源应能够从恶意的破坏尝试中恢复，同时应具有从传输错误中恢复的能力。 网络应能抵御硬件或软件失效，或具有在合理时间内复原的能力。 用于恢复的任何环境都应被记录下来。

　　5.3. 13 硬件、软件和固件的完整性(p.SysAssur)

　　应提供在初始化、软硬固件升级时保持其完整性的功能和规程，确认已接收的网络交换机信息文件、异常通知、补丁程序、升级文件等的完整性，上述文件或信息应有实时的分发基础。 应在初始安装和软件升级和固件交换时确保其完整性。

　　5 . 4 假设

　　5.4. 1 物理保护(A.physical)

　　网络交换机应放置于受控访问的物理环境内，以避免被未经授权者物理访问。 该环境应提供不间断电源、温湿度控制等措施确保交换机能可靠运行。

　　5.4.2 可信人员(A.Noevil& Train)

　　网络交换机授权管理员应是认真细心、负责任的，是可以信赖的，能够遵循所有管理员指南的规定，但是不可避免工作中可能会出错。 管理员应受到合格的培训，具有正确使用、安装、配置和维护网络交换机、网络交换机安全功能和网络组件的能力。

　　5.4.3 无通用性(A.No_General_purpose)

　　除用于运行、管理和支持 TOE所需的服务外，假定在 TOE上无法获得通用的计算能力(如编译器

　　GB/T 21050—2019

　　或用户应用)。

　　6 安全目的

　　6 . 1 ToE安全目的

　　6. 1 . 1 网络访问控制(o.Access_control)

　　网络交换机应实现访问控制策略，访问控制策略基于但不限于网络交换机的任务(只处理可信任的或不可信任的，或者处理混合流量)、网络交换机的标识(由一个机构、网络提供者所有，同时也可由许多机构或客户所有)、源和目标地址、端口层次的过滤(如 Telnet、SNMP)等 。

　　6. 1 .2 带标识的审计记录(o.Admin_Audit)

　　网络配置管理员和网络安全管理员的活动应被审计，审计记录的存储和维护应符合安全策略。

　　6. 1 .3 安全风险告警通知(o.Alarm)

　　网络交换机应有发现元件、软件或固件失败或错误的能力。 网络交换机应提供安全相关事件和失败或错误提示的告警能力。

　　6. 1 .4 管理属性(o.Attr_Mgt)

　　授权管理员应管理控制策略，只赋予授权网络配置管理员必需的权利。 管理人员应在通过标识与鉴别后承担其特权角色。

　　6. 1 .5 审计数据保护(o.Audit_protection)

　　网络交换机应安全存储审计数据，并具有对存储的审计事件进行保护能力。

　　6. 1 .6 审计记录查阅(o.Audit_Review)

　　所有的审计记录都应定期地被查阅，授权管理员应定期地查阅网络流量审计记录。

　　6. 1 .7 网络配置保密性(o.cfg_confidentiality)

　　网络交换机应保证统计数据、配置和连接信息在实时和存储状态下不会泄露。

　　6. 1 .8 配置完整性(o.cfg_Integrity)

　　网络交换机应保证审计文件、配置、连接信息和属于网络交换机的其他信息的完整性。

　　6. 1 .9 管理配置数据(o.cfg_Manage)

　　应有获取和保存网络交换机的配置和连接信息的能力，应保证存储的完整性，能进行系统部件的鉴别与系统连接的鉴别。

　　6. 1 . 10 加密机制支持(o.cryptography)

　　为了支持保密性，网络交换机应支持加密机制，该加密机制要支持客户注册、密钥管理和信道隔离在内的服务，其使用的密码算法应符合国家、行业或组织要求的密码管理相关标准或规范。

　　注：如果 TOE所使用的密码算法不是由 TOE 自身实现，则可将此安全目的移至 ST 的环境安全目的中。

　　GB/T 21050—2019

　　6. 1 . 1 1 控制数据的可信通道(o.ctrl_channel)

　　提供对等网络交换机之间传输控制数据的完整性和保密性;提供独立的可信信道。

　　6. 1 . 12 受控标识和鉴别(o.ctrl_I&A)

　　只有在请求连接的目标地址、标识、鉴别和权限与控制策略一致时，才能连接到网络交换机。

　　6. 1 . 13 检测非授权连接(o.Detect_connection)

　　网络交换机应能检测并告警未经授权的连接。

　　6. 1 . 14 故障发生时安全状态的保存(o.Fail_secure)

　　网络交换机应能保存部件失效或停电事件时的系统安全状态。

　　6. 1 . 15 管理标识和鉴别(o.Mgmt_I&A)

　　管理人员应在通过标识和鉴别后才能承担其特权角色。

　　6. 1 . 16 管理数据的可信路径(o.Mgmt_path)

　　应保证网络交换机和网络管理站之间传输信息的完整性和保密性，应提供独立的可信信道。

　　6. 1 . 17 安全修复和补丁(o.patches)

　　网络交换机应安装最新的补丁及时进行安全修复。

　　6. 1 . 18 业务优先级(o.priority_of_service)

　　网络交换机应支持对所有的流量分配优先级，控制资源访问方式，以防止低级别服务干扰或延迟高级别的服务。

　　6. 1 . 19 地址保护(o.protect_Addresses)

　　网络交换机应保护已授权组织内部地址的保密性和完整性。 在网络交换机收到数据后，应能正确地解析出经过授权的源地址和目的地址。

　　6. 1 .20 协议(o.protocols)

　　在网络交换机中应实现能与其他厂商的网络交换机互操作的标准协议，并在网络交换机中实现可靠交付和错误检测的协议。

　　6. 1 .2 1 避免重放攻击(o.Replay_prevent)

　　网络交换机应具有防止未经授权的代理伪装成经过授权的代理能力，保护其自身免受重放攻击。

　　6. 1 .22 网络交换机的自身防护(o.sel_pro)

　　网络交换机应做好 自身防护，以对抗非授权用户对网络交换机安全功能的旁路、抑制或篡改的尝试。

　　6. 1 .23 自检(o.self_Test)

　　网络交换机应具备对自身的检测能力，以确保网络交换机的安全功能能够正确运行。

　　GB/T 21050—2019

　　6. 1 .24 带标识的审计流量记录(o.Traf_Audit)

　　审计记录应包括日期、时间、流量异常现象、节点标识符和负责传输数据的组织。 网络交换机应保证所有的审计记录的完整性。

　　6. 1 .25 系统数据备份的完整性和保密性(o.Trust_Backup)

　　应确保网络交换机的网络文件和配置参数有冗余备份。 备份文件应以符合网络安全策略的方式存储，以便保证文件的完整性和保密性，另外，应能由备份文件充分地复现网络交换机的配置，以用于在出现失败事件或安全泄密的情况下恢复网络交换机的功能;网络文件可自动地复制备份到另外的管理站。

　　6. 1 .26 可信的恢复(o.Trusted_Recovery)

　　应确保网络交换机在失效或错误后恢复到没有安全泄密的安全状态，应确保失效部件更替后，系统的状态恢复，并且保证不会引发错误或造成其他安全缺陷。

　　6. 1 .27 未用区域(o.unused_Fields)

　　网络交换机应保证协议头内所有未被使用域的数值都被恰当地设定。

　　6. 1 .28 更新验证(o.update_validation)

　　网络交换机应具备对更新数据的验证能力，以确保更新数据是可信任的。

　　6 . 2 环境安全目的

　　6.2. 1 物理保护(oE.physical)

　　网络交换机及其连接的外围设备(如接入的控制台和存储卡等)应放置在于受控访问的物理环境内，以避免被未经授权者物理访问和破坏，同时运行环境提供稳定的电源防止掉电发生。

　　6.2.2 可信人员(oE.personnel)

　　应雇佣和使用可信赖和有能力的员工。 操作和管理人员应经过相应的技能培训。

　　6.2.3 无通用性(oE.No_General_purpose)

　　除用于运行、管理和支持 TOE所需的必要服务外，确保在 TOE上无法获得其他通用的计算能力。

　　7 安全要求

　　7 . 1 扩展组件定义

　　7 . 1 . 1 扩展组件原理

　　表 1 列出了本标准中基于 GB/T 18336 . 2—2015 安全功能组件扩展要求的基本原理，扩展组件在组件名称后加上“_EXT”表示。

　　GB/T 21050—2019

　　表 1 扩展要求的基本原理

　　7 . 1 . 2 扩展功能组件

　　7 . 1 . 2 . 1 类别

　　FPT: TSF保护。

　　7 . 1 . 2 . 2 族

　　FPT_TDP：用于网络交换机 TSF数据存储的安全性。

　　7 . 1 . 2 . 3 族行为

　　这个族提供网络交换机对敏感 TSF数据的存储安全及避免非授权访问的安全要求定义。

　　7 . 1 . 2 . 4 管理

　　无 。

　　7 . 1 . 2 . 5 审计

　　无 。

　　7 . 1 . 2 . 6 定义

　　TSF数据保护(FPT_TDP_EXT. 1)

　　FPT_TDP_ EXT. 1 . 1 网络交换机应采用非明文方式存储【管理员口令、加解密密钥，其他敏感数据】。

　　FPT_TDP_EXT. 1 . 2 网络交换机的安全功能应能防止【明文存储数据】被非授权用户读取。

　　FPT_TDP_EXT. 1 . 3 网络交换机的安全功能应能防止【管理员口令、加解密密钥，其他数据】被非

　　授权用户【读取、修改、删除】。

　　依赖关系：FCS_COP . 1 密码运算。

　　应用说明：方括号【】中的黑斜体字的内容表示还需在安全目标(ST) 中确定的赋值及选择项，此约定也适用于后续章条。

　　7 . 2 安全功能要求

　　7 . 2 . 1 概述

　　表 2 列出了网络交换机信息技术安全功能要求组件，这些要求由 GB/T 18336 . 2—2015 中的安全功能要求组件和扩展组件组成，以下对各组件给出了详细的说明。

　　GB/T 21050—2019

　　表 2 安全功能要求组件

　　GB/T 21050—2019

　　表 2(续)

　　7 . 2 . 2 安全审计(FAU类)

　　7.2.2. 1 审计数据产生(FAU_GEN.1)

　　FAU_GEN . 1 . 1 网络交换机的安全功能应能为下列可审计事件产生审计记录：

　　a) 审计功能的启动和关闭;

　　b) 【基本级】审计的所有可审计事件;

　　c) 【对网络审计管理员、网络配置管理员和网络安全管理员的审计：访问权限和能力的分配或撤消、任何由网络管理人员所做出的更改、进程运行期间的时间和日期、和网络管理人员执行活动的时间和日期。

　　对于终结于网络交换机的流量的审计：能够记录异常流量的源和目的节点】。

　　FAU_GEN . 1 . 2 网络交换机的安全功能应在每个审计记录中至少记录如下信息：

　　a) 事件的 日期和时间、事件类型、主体身份、事件的结果(成功或失败);

　　b) 对每种审计事件类型是基于保护轮廓或安全目标文档中安全功能要求组件的可审计事件进行定义的，其他相关审计事件包括：【收到不可信源的流量、接受来自不可信源的流量、恢复安全性相关事件的响应行动、恢复一个与安全性相关事件花费的时间、被安全性相关事件影响的所有组件】。

　　7.2.2.2 用户身份关联(FAU_GEN.2)

　　FAU_GEN . 2 . 1 网络交换机的安全功能应能将每个可审计事件与引起该事件的用户身份相关联。

　　用户的网络管理审计数据将关注网络管理角色涉及的人员，而用户的流量统计数据将关注网络交换机的标识。

　　7.2.2.3 审计查阅(FAU_SAR.1)

　　FAU_SAR. 1 . 1 网络交换机的安全功能应为【指定的网络安全管理员】提供从审计记录中读取【所

　　有审计数据】的能力。

　　FAU_SAR. 1 . 2 网络交换机的安全功能应以便于用户理解的方式提供审计记录。

　　GB/T 21050—2019

　　7.2.2.4 选择性审计(FAU_SEL.1)

　　FAU_SEL. 1 . 1 网络交换机的安全功能根据以下属性包括或排除审计事件集中的可审计事件：

　　【客体标识、用户标识、主体标识、主机标识、事件类型】。

　　7.2.2.5 受保护的审计迹存储(FAU_STG.1)

　　FAU_STG. 1 . 1 网络交换机的安全功能应保护审计迹中存储的审计记录。 以避免未授权的删除。

　　FAU_STG. 1 . 2 网络交换机的安全功能应能【防止】对审计迹中所存审计记录的未授权修改。

　　7.2.2.6 防止审计数据丢失(FAU_STG.4)

　　FAU_STG. 4 . 1 如果审计迹已满，网络交换机的安全功能应【覆盖所存储的最早的审计记录】。

　　7.2.3 密码支持(FCS类)

　　7.2.3. 1 密码运算(FCS_COP.1)

　　FCS_COP . 1 . 1 网络交换机的安全功能应根据符合下列标准【赋值：标准列表(国家、行业或组织

　　要求的密码管理相关标准或规范)】的特定的密码算法【赋值：密码算法】和密钥长度【赋值：密钥长度】来行执【赋值：密码运算列表】。

　　注：ST作者可根据密码算法的具体情况赋值国家、行业或组织主管部门认可的相关标准及参数。

　　7.2.3.2 密钥生成(FCS_CKM.1)

　　FCS_CKM. 1 . 1 网络交换机的安全功能应根据符合下列标准【赋值：标准列表(国家、行业或组织

　　要求的密码管理相关标准或规范)】的一个特定的密钥生成算法【赋值：密钥生成算法】和规定的密钥长度【赋值：密钥长度】来生成密钥。

　　注：该组件仅适用于密钥生成功能由 TOE本身完成的情况，此时 ST编写者可根据密码算法的具体情况，赋值国家主管部门认可的相关标准及参数;若密钥由外部环境生成，则可以不选择此组件。

　　7.2.3.3 密钥销毁(FCS_CKM.4)

　　FCS_CKM. 4 . 1 网络交换机的安全功能应根据符合下列标准【赋值：标准列表】的一个特定的密钥

　　销毁方法【赋值：密钥销毁方法】来销毁密钥。

　　注：ST编写者可根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁方法，若密钥由外部环境生成，则可以不选择此组件。

　　7 . 2 . 4 用户数据保护(FDP类)

　　7.2.4. 1 子集访问控制(FDP_ACC.1)

　　FDP_ACC. 1 . 1 网络交换机的安全功能应对【通信请求】执行【访问控制策略】。

　　依赖关系：FDP_ACF. 1 基于安全属性的访问控制。

　　7.2.4.2 基于安全性属性的访问控制(FDP_ACF.1)

　　FDP_ACF. 1 . 1 网络交换机的安全功能应基于【标识、鉴别和连接通信会话中另一个成员的节点

　　的授权】对客体强制执行【访问控制策略】。

　　FDP_ACF. 1 . 2 网络交换机的安全功能应执行以下规则，以决定受控主体与受控客体间的操作是

　　否被允许：【源网络交换机的地址应在目的网络交换机的访问控制列表中标识出

　　GB/T 21050—2019

　　来，授权应发生在接收消息之前】。

　　FDP_ACF. 1 . 3 网络交换机的安全功能应基于以下附加规则决定主体对客体的访问授权：【合法

　　键值的拥有者、网络交换机的角色(处理仅从可信源来的流量，或配置成也可从不可信源接收流量)、时间和流量特征(如控制信息)】。

　　FDP_ACF. 1 . 4 网络交换机的安全功能应基于【发送者的地址】明确拒绝主体对客体的访问。

　　7 . 2 . 4 . 3 带有安全属性的用户数据输出(FDP_ETC.2)

　　FDP_ETC. 2 . 1 网络交换机的安全功能在安全功能策略的控制下输出用户数据到安全功能的控

　　制范围之外时，应执行【访问控制策略】。

　　FDP_ETC. 2 . 2 网络交换机的安全功能应输出带有相关安全属性的用户数据。

　　FDP_ETC. 2 . 3 网络交换机的安全功能在安全属性输出到安全功能的控制范围之外时，应确保其

　　与输出的数据确切关联。

　　FDP_ETC. 2 . 4 网络交换机的安全功能在用户数据从安全功能的控制范围输出时，【传输数据的

　　网络交换机应保证具有完整性保护】。

　　7.2.4.4 子集信息流控制(FDP_IFC.1)

　　FDP_IFC. 1 . 1 网络交换机的安全功能应对【从不可信源接收到的控制信息(信令和路由信息)】执

　　行【信息流控制策略】。

　　7.2.4.5 简单安全属性(FDP_IFF.1)

　　FDP_IFF. 1 . 1 网络交换机的安全功能应基于下列类型的主体和信息安全属性：

　　【最小化的信息流控制策略，功能与访问控制策略相关联;可以识别控制信息的源，无论它是可信任的或不可信任的(可信源是可标识和可鉴别的，而且控制信息的完整性是可校验的);生成消息源的鉴别】，执行【信息流控制策略】。

　　FDP_IFF. 1 . 2 如果有下面的规则【消息的源头可以被接收方标识和鉴别，并且消息的完整性是可

　　校验的】，网络交换机的安全功能应允许受控主体和受控信息之间存在经由受控操作的信息流，即网络交换机的安全功能应允许在受控主体之间存在一个信息流。

　　FDP_IFF. 1 . 3 网络交换机的安全功能应执行【信息流控制策略：当发生网络通信失败的事件时，

　　在需做出路由和重路由的决定时，来自可信源的控制信息的优先级要高于从不可信源接收的控制信息】。

　　FDP_IFF. 1 . 4 网络交换机的安全功能应提供下列功能【1 . 从不可信源接收数据;2. 审计接收到

　　的来自不可信源的数据;3. 配置网络交换机的安全功能以实现对来自不可信源数据接收的策略】。

　　FDP_IFF. 1 . 5 网络交换机的安全功能应根据下列规则：

　　【1 . 预先建立的可信任(静态)路由;2. 网络管理端通过可信路径的管理信息】，明确批准信息流。

　　FDP_IFF. 1 . 6 网络交换机的安全功能应基于下列规则：【配置安全策略以拒绝接收来自不可信源

　　的数据】，明确拒绝信息流。

　　7 . 2 . 4 . 6 带有安全属性的用户数据输入(FDP_ITC.2)

　　FDP_ITC. 2 . 1 网络交换机的安全功能在安全功能策略的控制下从安全功能的控制范围之外输入

　　用户数据时，应执行【基于访问控制列表的标识的使用、拥有合法密钥证据的校验、完整性检查的校验、或源地址的识别】。

　　GB/T 21050—2019

　　FDP_ITC. 2 . 2 网络交换机的安全功能应使用与输入的数据相关的安全属性。

　　FDP_ITC. 2 . 3 网络交换机的安全功能应确保使用的协议在安全属性和接收的用户数据之间提供

　　了明确的联系。

　　FDP_ITC. 2 . 4 网络交换机的安全功能应确保对输入的用户数据安全属性的解释与用户数据源的

　　解释是一致的。

　　FDP_ITC. 2 . 5 网络交换机的安全功能在安全功能策略的控制下从安全功能的控制范围之外输入

　　用户数据时，应执行【赋值：】。

　　7.2.4.7 数据交换完整性(FDP_UIT.1)

　　FDP_UIT. 1 . 1 网络交换机的安全功能应执行【信息控制策略】，使得能以某种方式【传送、接收】

　　用户数据，保护数据避免出现【篡改、删除、插入、重用】错误。

　　FDP_UIT. 1 . 2 网络交换机的安全功能应能根据收到的用户数据，判断是否出现了【篡改、删除、插入、重用】。

　　7.2.4.8 原发端数据交换恢复(FDP_UIT.2)

　　FDP_UIT. 2 . 1 网络交换机的安全功能应执行【帧序列检查、循环冗余码校验、流量整形、抗重放、

　　和完整复制所有网络管理数据文件给某-分离的备份源】，以便能在原发端可信IT产品的帮助下，从【包的序列变化、重放包、不完整的数据传输、丢掉的包、网络拥塞和主要网络管理系统中的失败】中恢复。

　　7 . 2 . 5 标识和鉴别(FIA类)

　　7.2.5. 1 任何行动前的用户鉴别(FIA_UAU.2)

　　FIA_UAU . 2 . 1 在允许执行任何代表用户的其他安全功能促成的行动执行前，网络交换机的安全

　　功能应要求该用户已被成功鉴别。

　　7.2.5.2 任何行动前的用户标识(FIA_UID.2)

　　FIA_UID. 2 . 1 在允许执行任何代表用户的其他安全功能促成的行动之前，网络交换机的安全功

　　能应要求用户标识自己 。

　　7.2.5.3 鉴别失败处理(FIA_AFL.1)

　　FIA_AFL. 1 . 1 当与【鉴别事件列表】相关的【数目】次不成功鉴别尝试出现时，网络交换机的安全

　　功能应加以检测。

　　FIA_AFL. 1 . 2 当达到或超过所定义的不成功鉴别尝试的次数时，网络交换机的安全功能应【行为

　　列表】。

　　7.2.5.4 秘密的验证(FIA_sos.1)

　　FIA_SOS. 1 . 1 网络交换机的安全功能应提供一种机制以验证秘密满足【

　　1 . 密码的长度;

　　2. 密码的复杂度;

　　3. 密码的更改周期;

　　4. ……】。

　　GB/T 21050—2019

　　7 . 2 . 6 安全管理(FMT类)

　　7.2.6. 1 安全功能行为的管理(FMT_MOF.1)

　　FMT_MOF. 1 . 1 网络交换机的安全功能应仅限于【网络安全管理员角色】对【网络交换机在安装

　　时和贯穿整个生命周期的安全修复/补丁、选择可审计事件、管理用户账户、管理审计日志、管理访问控制策略、管理信息流控制策略、到可信任时间源的网络交换机连接、包括网络交换机数据文件的备份和恢复的网络交换机资源的维护】功能具有【确定其行为、激活、终止、修改其行为】的能力。

　　网络交换机的安全功能应仅限于【网络配置管理员负责建立和配置连接】对【网络交换机的配置和网络交换机资源的维护】功能具有【确定其行为、禁止、允许、修改其行为】的能力。

　　7.2.6.2 安全属性的管理(FMT_MSA.1)

　　FMT_MSA. 1 . 1 网络交换机的安全功能应执行【访问控制列表】，以仅限于【网络安全管理员角

　　色】能够对【选择可审计事件、管理审计 日 志、网络管理系统访问控制列表和账户、网络用户访问控制列表和账户】安全属性【改变默认值、查询、修改、删除】。

　　网络交换机的安全功能应执行【访问控制列表】，以仅限于【网络配置管理员角色】能够对安全属性【网络用户访问控制列表和账户】进行【改变默认值、查询、修改、删除】。

　　网络交换机应执行【访问控制列表】，以仅限于【网络审计管理员、网络配置管理员、网络安全管理员角色】，能够执行【监控和收集网络行为属性】以及【监控和分析流量行为】安全属性的能力。

　　7.2.6.3 静态属性初始化(FMT_MSA.3)

　　FMT_MSA. 3 . 1 网络交换机的安全功能应执行【访问控制策略】，以便为用于执行安全功能策略

　　的安全属性提供【受限的】默认值。

　　FMT_MSA. 3 . 2 网络交换机的安全功能应允许【负责建立和配置连接的网络配置管理员或网络

　　安全管理员角色】为生成的客体或信息指定替换性的初始值以代替原来的默认值。

　　7.2.6.4 安全功能数据的管理(FMT_MTD.1)

　　FMT_MTD. 1 . 1 网络交换机的安全功能应仅限于【网络安全管理员】能够对【当前网络管理审计

　　数据的指定区域，和网络流量数据】进行【改变默认值、查询】的操作。

　　网络交换机的安全功能应仅限于【网络安全管理员】能够对【TSF(如共享密钥、证书)数据】进行【添加、修改、删除、查询】的操作。

　　网络交换机的安全功能应仅限于【网络配置管理员】能够对【当前网络流量审计数据的指定区域】进行【改变默认值、查询】的操作。

　　网络交换机的安全功能应仅限于【网络审计管理员】能够对【当前网络流量审计数据的指定区域】进行【查询】的操作。

　　7.2.6.5 管理功能规范(FMT_SMF.1)

　　FMT_SMF.1.1 TSF应能够执行如下管理功能【TSF提供的安全管理功能列表】。

　　GB/T 21050—2019

　　7.2.6.6 安全角色限制(FMT_SMR.2)

　　FMT_SMR. 2 . 1 网络交换机的安全功能应维护【网络安全管理员】角色。

　　FMT_SMR. 2 . 2 网络交换机的安全功能应能够把管理员用户和角色关联起来。

　　FMT_SMR. 2 . 3 网络交换机的安全功能应确保条件【网络审计管理员或网络配置管理员不能假

　　定为网络安全管理员角色】得到满足。

　　7.2.7 TSF保护(FPT类)

　　7.2.7. 1 失效即保持安全状态(FPT_FLS.1)

　　FPT_FLS. 1 . 1 网络交换机的安全功能在【硬件组件失败、短期电源中断】失败发生时应保存一个安全状态。

　　7.2.7.2 传送过程中 TSF间的保密性(FPT_ITC.1)

　　FPT_ITC. 1 . 1 在网络交换机的安全功能数据从安全功能到远程可信 IT产品的传送过程中，网络

　　交换机的安全功能应保护所有的安全功能数据不被未授权泄露。

　　7.2.7.3 TSF间篡改的检测(FPT_ITI.1)

　　FPT_ITI. 1 . 1 网络交换机的安全功能应提供在下列量度范围内：【强度应等同于或超过由 MD5

　　提供的完整性保护算法的强度】，检测网络交换机安全功能与远程可信 IT 产品间传送的所有安全功能数据是否被修改的能力。

　　FPT_ITI. 1 . 2 网络交换机的安全功能应提供能力，以验证安全功能与远程可信 IT产品间传送的

　　所有安全功能数据的完整性，以及如果检测到修改应执行【数据的再次传输和产生审计记录】。

　　7.2.7.4 无过度损失的自动恢复(FPT_RCV.3)

　　FPT_RCV. 3 . 1 当不能从失败或服务中断自动恢复时，网络交换机的安全功能应进入维护方式，

　　该方式提供将网络交换机返回到一个安全状态的能力。

　　FPT_RCV. 3 . 2 对【备份电源供应、冗余处理器、网络管理系统错误或失败、组件(卡，端口)失败】，

　　网络交换机的安全功能应确保通过 自动化过程使网络交换机返回到一个安全状态。

　　FPT_RCV. 3 . 3 网络交换机的安全功能提供的从失败或服务中断状态恢复的功能，应确保安全功

　　能控制范围内的安全功能数据或客体的损失在不超过【赋值：】的情况下恢复到初始状态。

　　FPT_RCV. 3 . 4 网络交换机的安全功能应提供决定客体能否被恢复的能力。

　　7.2.7.5 功能恢复(FPT_RCV.4)

　　FPT_RCV. 4 . 1 网络交换机的安全功能应确保【包括但不限于如下安全功能和故障情况：自动保

　　护切换、冗余处理器的切换、备份电源供应的切换、信息传输连接的保存、循环冗余校验、帧序列检查、抗重放等安全功能、和如硬件组件故障、停电、软件错误/故障、系统处理器故障、网络管理系统故障、电路失效或组件故障等故障情况】有如下特性，即安全功能或者已成功完成，或者对指明的故障情况恢复到一致的安全状态。

　　GB/T 21050—2019

　　7.2.7.6 重放检测(FPT_RPL.1)

　　FPT_RPL. 1 . 1 网络交换机的安全功能应检测以下实体的重放【消息(如管理和控制)、安全协商

　　消息、被封装为信元或包传输的特定的特征(时间戳、哈希值、密钥等)】。

　　FPT_RPL. 1 . 2 检测到重放时，网络交换机的安全功能应执行【审计、确认对于重放中来自合法的

　　源的请求、阻挡来自源头的通信、发送陷阱以测试线路和扫描非授权的连接】。

　　7.2.7.7 可靠的时间戳(FPT_STM.1)

　　FPT_STM. 1 . 1 网络交换机的安全功能应能为自身的应用提供可靠的时间戳。

　　7.2.7.8 TSF间基本的 TSF数据一致性(FPT_TDC.1)

　　FPT_TDC. 1 . 1 当网络交换机的安全功能与其他可信 IT 产品共享其安全功能的数据时，网络交

　　换机的安全功能应提供对【网络审计信息、控制信息和安全参数】一致性解释的能力。

　　FPT_TDC. 1 . 2 当解释来自其他可信 IT 产品的安全功能数据时，网络交换机的安全功能应使用

　　【开发者(在安全目标文档中)指定的已鉴别的协议】。

　　7.2.7.9 TSF测试(FPT_TST.1)

　　FPT_TST. 1 . 1 网络交换机的安全功能应在【初始化启动期间】和【网络安全管理员或网络配置管

　　理员提出请求时】运行一组自检，以表明网络交换机安全功能操作的正确性。

　　FPT_TST. 1 . 2 网络交换机的安全功能应为授权用户提供对网络交换机安全功能的数据完整性的验证能力。

　　FPT_TST. 1 . 3 网络交换机的安全功能应为授权用户提供对存储的网络交换机安全功能的可执

　　行代码完整性的验证能力。

　　7 . 2 . 8 资源利用(FRU类)

　　7.2.8. 1 降低容错(FRU_FLT.1)

　　FRU_FLT. 1 . 1 网络交换机的安全功能应确保当以下故障【硬件故障、软件错误、线路故障、路由

　　控制和管理信息的恶意修改、缓冲区溢出、极端的网络拥塞、短暂的电源中断】发生时，能够执行【自动切换到备份组件或电源供应、安全信息传送、信息传送连接的保存、流量的正确路由、正确的信元/包的内部处理、流量整形、签署的服务质量/优先级的保存、当持续发生带有预攻击控制信息的特定网络操作时丢掉已被破坏的数据并对事件进行审计】操作。

　　7.2.8.2 全部服务优先级(FRU_PRS.2)

　　FRU_PRS. 2 . 1 网络交换机的安全功能应给在安全功能中的每个主体分配一种优先级。

　　FRU_PRS. 2 . 2 网络交换机的安全功能应确保对所有可共享资源的每次访问都应基于分配给主

　　体的优先级进行协调分配。

　　7.2.8.3 最高配额(FRU_RSA.1)

　　FRU_RSA.1.1 TSF应对以下资源：【单个端口或 VLAN允许学习的 MAC地址数目】分配最高配

　　GB/T 21050—2019

　　额，以便【其他端口或 VLAN】能【同时、在规定的时间间隔内】使用。

　　7 . 2 . 9 网络交换机访问(FTA类)

　　7.2.9. 1 会话建立(FTA_TSE.1)

　　FTA_TSE. 1 . 1 网络交换机的安全功能应能拒绝基于【节点标识、接收到的鉴别数据、标识为不可

　　信的数据源、角色、地址、时间(维护窗口，或当适当的监控程序没有就位时)、或基于安全状态】的会话建立。

　　7.2.9.2 TSF原发会话终止(FTA_SSL.3)

　　FTA_SSL. 3 . 1 网络交换机的安全功能应在达到【赋值：安全管理员可配置的用户不活动的时间

　　间隔 】之后终止一个交互式会话。

　　7 . 2 . 10 可信路径/信道(FTP类)

　　7.2. 10. 1 TSF间可信信道(FTP_ITC.1)

　　FTP_ITC.1.1 网络交换机的安全功能应使用【选择：IPsec、SH、SL、TLS/HTTPS】在其自身和

　　远程可信 IT产品之间提供一条通信信道，此信道在逻辑上与其他通信信道截然不同，并且能够对其对端节点提供确定的标识，以及保护信道中数据免遭修改和泄露。

　　FTP_ITC.1.2 网络交换机的安全功能应允许【安全功能，远程的可信 IT产品】经可信信道发起通信。

　　FTP_ITC. 1 . 3 对于【控制信息的传输和安全属性的改变】，网络交换机的安全功能应经可信信道发起通信。

　　7.2. 10.2 可信路径(FTP_TRP.1)

　　FTP_TRP.1.1 网络交换机的安全功能应使用【选择：IPsec、SH、TLS、TLS/HTTPS中至少一种】

　　在它自身和【远程、本地】用户之间提供一条通信路径，此路径在逻辑上与其他通信路径截然不同，并且能够对其对端节点提供确定的标识，以及保护通信数据免遭修改或泄露。

　　FTP_TRP . 1 . 2 网络交换机的安全功能应允许【远程、本地】用户经可信路径发起通信。

　　FTP_TRP . 1 . 3 对于【启动用户鉴别】和【网络管理信息的传输】，网络交换机的安全功能应要求使用可信路径。

　　7 . 3 安全保障要求

　　7 . 3 . 1 安全保障级别

　　表 3 分别列出了网络交换机 EAL2 和 EAL3 级安全保障要求组件，这些要求由 GB/T 18336 . 3 — 2015 的安全保障要求组件组成，以下对各组件给出了详细的说明。

　　GB/T 21050—2019

　　表 3 安全保障要求组件

　　7 . 3 . 2 开发(ADV类)

　　7 . 3 . 2 . 1 安全架构描述(ADV_ARC.1 )开发者行为元素：

　　GB/T 21050—2019

　　ADV_ARC. 1 . 1D 开发者应设计并实现 TOE,确保 TSF 的安全特性不可旁路。

　　ADV_ARC. 1 . 2D 开发者应设计并实现 TSF,以防止不可信任主体的破坏。

　　ADV_ARC. 1 . 3D 开发者应提供 TSF安全架构的描述。

　　内容和形式元素：

　　ADV_ARC. 1 . 1C 安全架构的描述应与在 TOE设计文档中对 SFR-执行的抽象描述的级别一致。 ADV_ARC. 1 . 2C 安全架构的描述应描述与安全功能要求一致的 TSF安全域。

　　ADV_ARC. 1 . 3C 安全架构的描述应描述 TSF初始化过程为何是安全的。

　　ADV_ARC. 1 . 4C 安全架构的描述应证实 TSF可防止被破坏。

　　ADV_ARC. 1 . 5C 安全架构的描述应证实 TSF可防止 SFR-执行的功能被旁路。

　　评估者行为元素：

　　ADV_ARC. 1 . 1E 评估者应确认提供的信息符合证据的内容和形式要求。

　　7 . 3 . 2 . 2 安全执行功能规范(ADV_FSP.2)

　　开发者行为元素：

　　ADV_FSP . 2 . 1D 开发者应提供一个功能规范。

　　ADV_FSP . 2 . 2D 开发者应提供功能规范到安全功能要求的追溯关系。

　　内容和形式元素：

　　ADV_FSP . 2 . 1C 功能规范应完整描述 TSF。

　　ADV_FSP . 2 . 2C 功能规范应描述所有的 TSFI 的目的和使用方法。

　　ADV_FSP . 2 . 3C 功能规范应识别和描述每个 TSFI相关的所有参数。

　　ADV_FSP . 2 . 4C 对于每个 SFR-执行 TSFI,功能规范应描述 TSFI相关的 SFR-执行行为。

　　ADV_FSP . 2 . 5C 对于 SFR-执行 TSFI,功能规范应描述由 SFR-执行行为相关处理而引起的直接错误消息。

　　ADV_FSP . 2 . 6C 功能规范应证实安全功能要求到 TSFI 的追溯。

　　评估者行为元素：

　　ADV_FSP . 2 . 1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。

　　ADV_FSP . 2 . 2E 评估者应决定功能规范是 TOE安全功能要求的一个准确且完备的实例化。

　　7 . 3 . 2 . 3 带完整摘要的功能规范(ADV_FSP.3)

　　开发者行为元素：

　　ADV_FSP . 3 . 1D 开发者应提供一个功能规范。

　　ADV_FSP . 3 . 2D 开发者应提供功能规范到安全功能要求的追溯。

　　内容和形式元素：

　　ADV_FSP . 3 . 1C 功能规范应完全描述 TSF。

　　ADV_FSP . 3 . 2C 功能规范应描述所有的 TSFI 的目的和使用方法。

　　ADV_FSP . 3 . 3C 功能规范应识别和描述每个 TSFI相关的所有参数。

　　ADV_FSP . 3 . 4C 对于每个 SFR-执行 TSFI,功能规范应描述 TSFI相关的 SFR-执行行为。

　　ADV_FSP . 3 . 5C 对于每个 SFR-执行 TSFI,功能规范应描述与 TSFI 的调用相关的安全实施行为

　　和异常而引起的直接错误消息。

　　ADV_FSP . 3 . 6C 功能规范需总结与每个 TSFI相关的 SFR-支撑和 SFR-无关的行为。

　　ADV_FSP . 3 . 7C 功能规范应证实安全功能要求到 TSFI 的追溯。

　　评估者行为元素：

　　ADV_FSP . 3 . 1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。

　　GB/T 21050—2019

　　ADV_FSP . 3 . 2E 评估者应决定功能规范是 TOE安全功能要求的一个准确且完备的实例化。

　　7.3.2.4 基础设计(ADV_TDS.1)

　　开发者行为元素：

　　ADV_TDS. 1 . 1D 开发者应提供 TOE 的设计。

　　ADV_TDS. 1 . 2D 开发者应提供从功能规范的 TSFI 到 TOE设计中获取到的最低层分解的映射。

　　内容和形式元素：

　　ADV_TDS. 1 . 1C 设计应根据子系统描述 TOE 的结构。

　　ADV_TDS. 1 . 2C 设计应标识 TSF 的所有子系统。

　　ADV_TDS. 1 . 3C 设计应对每一个 SFR-支撑或 SFR-无关的子系统的行为进行足够详细的描述，

　　以确定它不是 SFR-执行。

　　ADV_TDS. 1 . 4C 设计应概括 SFR-执行子系统的 SFR-执行行为。

　　ADV_TDS. 1 . 5C 设计应描述 TSF 的 SFR-执行子系统间的相互作用和 TSF 的 SFR-执行子系统

　　与其他 TSF子系统间的相互作用。

　　ADV_TDS. 1 . 6C 映射关系应证实 TOE设计中描述的所有行为能够映射到调用它的 TSFI。

　　评估者行为元素：

　　ADV_TDS. 1 . 1E 评估者应确认提供的信息满足证据的内容与形式的所有要求。

　　ADV_TDS. 1 . 2E 评估者应确定设计是所有安全功能要求的正确且完备的实例。

　　7.3.2.5 结构化设计(ADV_TDS.2)

　　开发者行为元素：

　　ADV_TDS. 2 . 1D 开发者应提供 TOE 的设计。

　　ADV_TDS. 2 . 2D 开发者应提供从功能规范的 TSFI 到 TOE设计中获取到的最低层分解的映射。

　　内容和形式元素：

　　ADV_TDS. 2 . 1C 设计应根据子系统描述 TOE 的结构。

　　ADV_TDS. 2 . 2C 设计应标识 TSF 的所有子系统。

　　ADV_TDS. 2 . 3C 设计应对每一个 TSF 的 SFR-无关子系统的行为进行足够详细的描述，以确定

　　它是与 SFR-无关。

　　ADV_TDS. 2 . 4C 设计应描述 SFR-执行子系统的 SFR-执行行为。

　　ADV_TDS. 2 . 5C 设计应概括 SFR-执行子系统的 SFR-支撑和 SFR-无关行为。

　　ADV_TDS. 2 . 6C 设计应概括 SFR-支撑子系统的行为。

　　ADV_TDS. 2 . 7C 设计应描述 TSF所有子系统间的相互作用。

　　ADV_TDS. 2 . 8C 映射关系应证明 TOE设计中描述的所有行为能够映射到调用它的 TSFI。

　　评估者行为元素：

　　ADV_TDS. 2 . 1E 评估者应确认提供的信息满足证据的内容与形式的所有要求。

　　ADV_TDS. 2 . 2E 评估者应确定设计是所有安全功能要求的正确且完全的实例。

　　7 . 3 . 3 指导性文件(AGD类)

　　7.3.3. 1 操作用户指南(AGD_OPE.1)

　　开发者行为元素：

　　AGD_ OPE. 1 . 1D 开发者应提供操作用户指南。

　　内容和形式元素：

　　GB/T 21050—2019

　　AGD_ OPE. 1 . 1C 操作用户指南应对每一种用户角色进行描述，在安全处理环境中应被控制的用

　　户可访问的功能和特权，包含适当的警示信息。

　　AGD_ OPE. 1 . 2C 操作用户指南应对每一种用户角色进行描述，怎样以安全的方式使用 TOE 提供的可用接口 。

　　AGD_ OPE. 1 . 3C 操作用户指南应对每一种用户角色进行描述，可用功能和接口，尤其是受用户控

　　制的所有安全参数，适当时应指明安全值。

　　AGD_ OPE. 1 . 4C 操作用户指南应对每一种用户角色明确说明，与需要执行的用户可访问功能有

　　关的每一种安全相关事件，包括改变 TSF所控制实体的安全特性。

　　AGD_ OPE. 1 . 5C 操作用户指南应标识 TOE 运行的所有可能状态(包括操作导致的失败或者操

　　作性错误)，它们与维持安全运行之间的因果关系和联系。

　　AGD_ OPE. 1 . 6C 操作用户指南应对每一种用户角色进行描述，为了充分实现 ST 中描述的运行

　　环境安全目的所应执行的安全策略。

　　AGD_ OPE. 1 . 7C 操作用户指南应是明确和合理的。

　　评估行为元素：

　　AGD_ OPE. 1 . 1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。

　　7.3.3.2 准备程序(AGD_PRE.1)

　　开发者行为元素：

　　AGD_PRE. 1 . 1D 开发者应提供 TOE,包括它的准备程序。

　　内容和形式元素：

　　AGD_PRE. 1 . 1C 准备程序应描述与开发者交付程序相一致的安全接收所交付 TOE 必需的所有步骤。

　　AGD_PRE. 1 . 2C 准备程序应描述安全安装 TOE 以及安全准备与 ST 中描述的运行环境安全 目

　　的一致的运行环境必需的所有步骤。

　　评估者行为元素：

　　AGD_PRE. 1 . 1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。

　　AGD_PRE. 1 . 2E 评估者应运用准备程序确认 TOE运行能被安全的准备。

　　7 . 3 . 4 生命周期支持(ALC类)

　　7.3.4. 1 CM 系统的使用(ALC_CMC.2)

　　开发者行为元素：

　　ALC_CMC. 2 . 1D 开发者应提供 TOE及其参照号。

　　ALC_CMC. 2 . 2D 开发者应提供 CM 文档。

　　ALC_CMC. 2 . 3D 开发者应提供 CM 系统。

　　内容和形式元素：

　　ALC_CMC. 2 . 1C 应给 TOE标注唯一参照号。

　　ALC_CMC. 2 . 2C CM文档应描述用于唯一标识配置项的方法。

　　ALC_CMC. 2 . 3C CM 系统应唯一标识所有配置项。

　　评估者行为元素：

　　ALC_CMC. 2 . 1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。

　　7.3.4.2 授权控制(ALC_CMC.3)

　　开发者行为元素：

　　GB/T 21050—2019

　　ALC_CMC. 3 . 1D 开发者应提供 TOE及其参照号。

　　ALC_CMC. 3 . 2D 开发者应提供 CM 文档。

　　ALC_CMC. 3 . 3D 开发者应使用 CM 系统。

　　内容和形式元素：

　　ALC_CMC. 3 . 1C 应给 TOE标注唯一参照号。

　　ALC_CMC. 3 . 2C CM文档应描述用于唯一标识配置项的方法。

　　ALC_CMC. 3 . 3C CM 系统应唯一标识所有配置项。

　　ALC_CMC. 3 . 4C CM 系统应提供措施使得只能对配置项进行授权变更。

　　ALC_CMC. 3 . 5C CM文档应包括一个 CM计划。

　　ALC_CMC. 3 . 6C CM计划应描述 CM 系统是如何应用于 TOE 的开发过程。

　　ALC_CMC. 3 . 7C 证据应证实所有配置项都正在 CM 系统下进行维护。

　　ALC_CMC. 3 . 8C 证据应证实 CM 系统的运行与 CM计划是一致的。

　　评估者行为元素：

　　ALC_CMC. 3 . 1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。

　　7 . 3 . 4 . 3 部分 TOE CM 覆盖(ALC_CMS.2)

　　开发者行为元素：

　　ALC_CMS. 2 . 1D 开发者应提供 TOE 配置项列表。

　　内容和形式元素：

　　ALC_CMS. 2 . 1C 配置项列表应包括：TOE本身、安全保障要求的评估证据、TOE 的组成部分。 ALC_CMS. 2 . 2C 配置项列表应唯一标识配置项。

　　ALC_CMS. 2 . 3C 对于每一个 TSF相关的配置项，配置项列表应简要说明该配置项的开发者。

　　评估者行为元素：

　　ALC_CMS. 2 . 1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。

　　7 . 3 . 4 . 4 实现表示 CM 覆盖(ALC_CMS.3)

　　开发者行为元素：

　　ALC_CMS. 3 . 1D 开发者应提供 TOE 配置项列表。

　　内容和形式元素：

　　ALC_CMS. 3 . 1C 配置项列表应包括：TOE 本身、安全保障要求的评估证据、TOE 的组成部分和实现表示。

　　ALC_CMS. 3 . 2C 配置项列表应唯一标识配置项。

　　ALC_CMS. 3 . 3C 对于每一个 TSF相关的配置项，配置项列表应简要说明该配置项的开发者。

　　评估者行为元素：

　　ALC_CMS. 3 . 1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。

　　7 . 3 . 4 . 5 交付程序(ALC_DEL.1 )

　　开发者行为元素：

　　ALC_DEL. 1 . 1D 开发者应将 TOE或其部分交付给消费者的程序文档化。

　　ALC_DEL. 1 . 2D 开发者应使用交付程序。

　　内容和形式元素：

　　ALC_DEL. 1 . 1C 交付文档应描述，在向消费者分发 TOE 版本时，用以维护安全性所必需的所有程序。

　　GB/T 21050—2019

　　评估者行为元素：

　　ALC_DEL. 1 . 1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。

　　7 . 3 . 4 . 6 安全措施标识(ALC_DVS.1 )

　　开发者行为元素：

　　ALC_DVS. 1 . 1D 开发者应提供开发安全文档。

　　内容和形式元素：

　　ALC_DVS. 1 . 1C 开发安全文档应描述在 TOE 的开发环境中，保护 TOE设计和实现的保密性和

　　完整性所必需的所有物理的、程序的、人员的及其他方面的安全措施。

　　评估者行为元素：