信息安全功能要求、依賴關(guān)系表、安全審計、通信、密碼支持、用戶數(shù)據(jù)保護(hù)、標(biāo)識和鑒別、安全管理、隱私、TSF保護(hù)、資源利用、TOE訪問、可信路徑信道應(yīng)用注釋

1、 附錄A（資料性附錄）安全功能要求應(yīng)用注釋概述本附錄包含關(guān)于本部分中所定義族和組件的附加指南，用戶、開發(fā)者和評估者在使用組件時可能需要這些指南。為了便于查找，本附錄中類、族和組件的表示與文件中的表示相似。注釋的結(jié)構(gòu)概述本文檔中與功能要求相關(guān)的注釋的內(nèi)容和形式定義如下。類結(jié)構(gòu)概述圖A.1說明本附錄中功能類的結(jié)構(gòu)。圖A.1功能類結(jié)構(gòu)注：一些功能類包含多個功能族類名這是本部分中所定義類的唯一名稱。類介紹類介紹提供了使用該類中族和組件的有關(guān)信息。這些信息連同相關(guān)的示意圖描述了每個類的組織架構(gòu)和每個類中的族，以及每個族中組件間的層次關(guān)系。族結(jié)構(gòu)概述圖A.2用圖解形式說明應(yīng)用注釋部分功能族的結(jié)構(gòu)。圖A.2

2、應(yīng)用注釋的功能族結(jié)構(gòu)族名這是本部分中所定義族的唯一名稱。用戶應(yīng)用注釋用戶注釋包含功能族的潛在用戶所關(guān)心的一些附加信息。潛在用戶包括PP、PP-模塊、ST和功能包作者，以及整合多個功能組件的TOE開發(fā)者。本部分陳述是提示性的，可包括與使用的局限性有關(guān)的一些警示信息以及使用組件時應(yīng)當(dāng)特別注意的地方。注：在附錄中，術(shù)語PP、PP-模塊、功能包或 ST作者包括用于編制PP或ST的文檔的作者，PP或ST文檔包括了PP-模塊和功能包。評估者應(yīng)用注釋評估者注釋包含TOE開發(fā)者和評估者所關(guān)心的所有信息。該TOE聲稱符合族中某一組件。本部分陳述是提示性的，可涵蓋評估TOE時需特別注意的各個方面，其中可包括澄清含

3、義，詳細(xì)說明解釋這些要求的方式，以及評估者特別關(guān)心的一些警告和警示信息?！坝脩糇⑨尅焙汀霸u估者注釋”部分不是必需的，僅在適當(dāng)時出現(xiàn)。組件結(jié)構(gòu)概述圖A.3說明了應(yīng)用注釋部分功能組件的結(jié)構(gòu)。圖A.3功能組件結(jié)構(gòu)組件標(biāo)識這是本部分中所定義組件的唯一名稱。組件基本原理與應(yīng)用注釋任何與組件有關(guān)的特定信息都可在該本條中找到。組件基本原理包含基本原理的詳細(xì)解釋，在特定級別下細(xì)化關(guān)于基本原理的一般性陳述，且應(yīng)僅在需要特定級別詳述的情況下使用。應(yīng)用注釋包含對于一個特定組件在敘述的詳細(xì)程度方面的進(jìn)一步細(xì)化。這種細(xì)化可相對于A.2.3部分所描述的用戶注釋或評估者注釋。應(yīng)用注釋可用于解釋依賴關(guān)系的性質(zhì)?！敖M件基本原理

4、與應(yīng)用注釋” 部分不是必需的，僅在適當(dāng)時出現(xiàn)。操作注釋每個組件的這部分內(nèi)容包含了與該組件所允許的操作有關(guān)的一些建議?！霸试S的操作”部分不是必需的，僅在適當(dāng)時出現(xiàn)。附錄B（資料性附錄）安全功能組件的依賴關(guān)系表依賴關(guān)系表表B.1到表B.11示意了功能組件之間的從屬、直接、間接和可選的依賴關(guān)系。作為功能組件依賴方的每個組件在表中占據(jù)一列，每個功能組件在表中占據(jù)一行。表格單元中的值表示行中標(biāo)的組件是否是從屬要求(由“H”指示)，直接要求列中標(biāo)的組件（用“X”表示），間接要求列中標(biāo)的組件（用“”表示），還是可選要求列中標(biāo)的組件（用“O”表示）。可選要求集通過使用下標(biāo)組來表示，例如O1 和 O2。如果對安

5、全保障要求有依賴性，則應(yīng)參考 GB/T 18336.3。注：根據(jù)所選的可選要求，某些間接依賴項(xiàng)不適用。如果表格單元為空，則該組件不依賴于另一個組件。例：例如FDP_ETC.1“不帶安全屬性的用戶數(shù)據(jù)輸出”就是一個具有可選依賴關(guān)系的組件，它要求依賴FDP_ACC.1“子集訪問控制”，或依賴FDP_IFC.1“子集信息流控制”，所以如果滿足了FDP_ACC.1，就不必滿足FDP_IFC.1，反之亦然。表B.1 FAU安全審計類依賴關(guān)系表FAU_GEN.1FAU_SAA.1FAU_SAA.3FAU_SAR.1FAU_STG.1FAU_STG.2FAU_STG.4FIA_UID.1FMT_MTD.1F

6、MT_SMF.1FMT_SMR.1FPT_STM.1FTP_ITC.1FAU_ARP.1-X-FAU_GEN.1XFAU_GEN.2XX-FAU_SAA.1X-FAU_SAA.2XFAU_SAA.3FAU_SAA.4HFAU_SAR.1X-FAU_SAR.2-X-FAU_SAR.3-X-FAU_SEL.1X-XFAU_STG.1X-XFAU_STG.2X-FAU_STG.3XH-FAU_STG.4-X-FAU_STG.5XXH-表B.2 FCO通信類依賴關(guān)系表FIA_UID.1FCO_NRR.1FCO_NRO.1FCO_NRO.1XFCO_NRO.2XHFCO_NRR.1XFCO_NRR.2X

7、H表B.3 FCS密碼支持類依賴關(guān)系表FCS_CKM.1FCS_CKM.2FCS_CKM.3FCS_CKM.5FCS_CGM.6FCS_COP.1FCS_RBG.1FCS_RBG.2FCS_RBG.3FCS_RBG.4FCS_RBG.5FCS_RNG.1FDP_ACC.1FDP_ACF.1FDP_IFC.1FDP_IFF.1FDP_ITC.1FDP_ITC.2FIA_UID.1FMT_MSA.1FMT_MSA.3FMT_SMF.1FMT_SMR.1FPT_FLS.1FPT_TST.1FPT_TDC.1FTP_ITC.1FTP_TRP.1FCS_CKM.1-O1XO1XO1O2O2FCS_CKM

8、.2O1-XO1O1O1FCS_CKM.3O1-O1O1O1FCS_CKM.5-O1-XO1FCS_CKM.6O1O1O1FCS_COP.1O2-XO2O1O1FCS_RBG.1-O1O1-XXFCS_RBG.2XFCS_RBG.3XFCS_RBG.4XX-FCS_RBG.5XO1O1O1FCS_RBG.6XFCS_RNG.1表B.4 FDP用戶數(shù)據(jù)保護(hù)類依賴關(guān)系表FCS_CKM.1FCS_CKM.3FCS_CKM.5FCS_CKM.6FCS_COP.1FCS_RBG.1FCS_RBG.2FCS_RBG.3FCS_RNG.1FDP_ACC.1FDP_ACF.1FDP_IFC.1FDP_IFF.

9、1FDP_IFF.3FDP_IFF.4FDP_ITC.1FDP_ITC.2FDP_ITT.1FDP_ITT.2FDP_ITT.3FDP_RIP.1FDP_ROL.1FDP_SDI.1FDP_UIT.1FDP_UIT.2FIA_UID.1FMT_MSA.1FMT_MSA.3FMT_SMF.1FMT_SMR.1FPT_FLS.1FPT_TST.1FPT_TDC.1FTP_ITC.1FTP_TRP.1FDP_ACC.1-XFDP_ACC.2HXFDP_ACF.1XX-FDP_DAU.1FDP_DAU.2HXFDP_ETC.1O1-O1FDP_ETC.2O1-O1FDP_IFC.1XFDP_IFC.2

10、-HXFDP_IFF.1-XX-FDP_IFF.2-XH-X-FDP_IFF.3-XFDP_IFF.4-X-HFDP_IFF.5-X-HFDP_IFF.6-XFDP_IRC.1FDP_ITC.1O1-O1X-FCS_CKM.1FCS_CKM.3FCS_CKM.5FCS_CKM.6FCS_COP.1FCS_RBG.1FCS_RBG.2FCS_RBG.3FCS_RNG.1FDP_ACC.1FDP_ACF.1FDP_IFC.1FDP_IFF.1FDP_IFF.3FDP_IFF.4FDP_ITC.1FDP_ITC.2FDP_ITT.1FDP_ITT.2FDP_ITT.3FDP_RIP.1FDP_ROL

11、.1FDP_SDI.1FDP_UIT.1FDP_UIT.2FIA_UID.1FMT_MSA.1FMT_MSA.3FMT_SMF.1FMT_SMR.1FPT_FLS.1FPT_TST.1FPT_TDC.1FTP_ITC.1FTP_TRP.1FDP_ITC.2O1-O1XO2O2FDP_ITT.1O1-O1FDP_ITT.2O1-O1-HFDP_ITT.3O1-O1-XFDP_ITT.4O1-O1-XHFDP_RIP.1FDP_RIP.2HFDP_ROL.1O1-O1FDP_ROL.2O1-O1-HFDP_SDC.1FDP_SDC.2XFDP_SDI.1FDP_SDI.2HFDP_UCT.1O2-

12、O2O1O1FDP_UIT.1O2-O2O1O1FDP_UIT.2O1-O1-O2O2-FDP_UIT.3O1-O1-O2HO2-表B.5 FIA標(biāo)識和鑒別類依賴關(guān)系表FIA_ATD.1FIA_UAU.1FIA_UID.1FIA_AFL.1X-FIA_API.1FIA_ATD.1FIA_SOS.1FIA_SOS.2FIA_UAU.1XFIA_UAU.2HXFIA_UAU.3FIA_UAU.4FIA_UAU.5FIA_UAU.6FIA_UAU.7X-FIA_UID.1FIA_UID.2HFIA_USB.1X表B.6 FMT安全管理類依賴關(guān)系表FDP_ACC.1FDP_ACF.1FDP_IFC.1

13、FDP_IFF.1FIA_UID.1FMT_LIM.1FMT_LIM.2FMT_MSA.1FMT_MSA.3FMT_MTD.1FMT_SMF.1FMT_SMR.1FPT_STM.1FMT_LIM.1-XFMT_LIM.2X-FMT_MOF.1-XXFMT_MSA.1O1-O1XXFMT_MSA.2O1-O1-X-XFMT_MSA.3X-XFMT_MSA.4O1-O1FMT_MTD.1-XXFMT_MTD.2-X-XFMT_MTD.3-X-FMT_REV.1-XFMT_SAE.1-XXFMT_SMF.1FMT_SMR.1XFMT_SMR.2XHFMT_SMR.3-X表B.7 FPR私密性類依賴關(guān)

14、系表FIA_UID.1FPR_ANO.1FPR_PSE.1FPR_UNO.1FPR_ANO.1FPR_ANO.2HFPR_PSE.1FPR_PSE.2XHFPR_PSE.3HFPR_UNL.1FPR_UNO.1FPR_UNO.2HFPR_UNO.3XFPR_UNO.4表B.8 FPT 類依賴關(guān)系表：TSF保護(hù)AGD_OPE.1ADV_FSP.1FIA_UID.1FMT_LIM.1FMT_LIM.2FMT_SMF.1FMT_SMR.1FPT_ITI.1FPT_ITT.1FTP_PHP.1FPT_RCV.1FPT_RCV.2FPT_SSP.1FPT_STM.1FPT_EMS.1FPT_FLS.1F

15、PT_INI.1FPT_ITA.1FPT_ITC.1FPT_ITI.1FPT_ITI.2HFPT_ITT.1FPT_ITT.2HFPT_ITT.3XFPT_PHP.1FPT_PHP.2X-HFPT_PHP.3FPT_RCV.1X-FPT_RCV.2X-HFPT_RCV.3X-HFPT_RCV.4FPT_RPL.1FPT_SSP.1XFPT_SSP.2XHFPT_STM.1FPT_STM.2-XXFPT_TDC.1FPT_TEE.1FPT_TRC.1XFPT_TST.1注AGD和 ADV 類及其相關(guān)性在 GB/T 18336.3 中進(jìn)行了描述表B.9 FRU類依賴關(guān)系表：資源利用FPT_FLS.

16、1FRU_FLT.1FRU_PRS.1FRU_RSA.1FRU_FLT.1XFRU_FLT.2XHFRU_PRS.1FRU_PRS.2HFRU_RSA.1FRU_RSA.2H表B.10 FTA類依賴關(guān)系表：TOE訪問FIA_UAU.1FIA_UID.1FMT_SMR.1FTA_MCS.1FTA_LSA.1FTA_MCS.1XFTA_MCS.2XHFTA_SSL.1X-FTA_SSL.2X-FTA_SSL.3XFTA_SSL.4FTA_TAB.1FTA_TAH.1FTA_TSE.1表B.11 FTP類依賴表：可信路徑/信道FCS_CKM.1FCS_CKM.2FCS_CKM.3FCS_CKM.5F

17、CS_CKM.6FCS_COP.1FCS_RBG.1FCS_RBG.2FCS_RBG.3FCS_RNG.1FDP_ACC.1FDP_ACF.1FDP_IFC.1FDP_IFF.1FDP_ITC.1FDP_ITC.2FIA_UID.1FMT_MSA.1FMT_MSA.3FMT_SMF.1FMT_SMR.1FPT_FLS.1FPT_TST.1FPT_TDC.1FTP_ITC.1FTP_TRP.1FTP_PRO.1FTP_PRO.2FTP_PRO.3FTP_ITC.1FTP_PRO.1XXFTP_PRO.2O1O1-X-XXFTP_PRO.3XXXFTP_TRP.1附錄 C（規(guī)范性附錄）FAU 類：

18、安全審計-應(yīng)用注釋概述關(guān)于審計要求的總體信息本標(biāo)準(zhǔn)的審計族允許PP、PP-模塊、功能包或者ST作者能夠定義監(jiān)測用戶活動以及在某些情況下檢測對SFR真實(shí)的、潛在的或即將發(fā)生的侵害等方面的要求。定義TOE的安全審計功能有助于監(jiān)測與安全有關(guān)的事件，并能對安全侵害起到威懾作用。審計族的要求涉及到包括審計數(shù)據(jù)保護(hù)、記錄格式和事件選擇，以及分析工具、侵害報警和實(shí)時分析等功能。審計記錄應(yīng)以人類可讀的格式直接或間接呈現(xiàn)。例1：直接呈現(xiàn)的一個例子是以人類可讀的格式存儲審計記錄。間接呈現(xiàn)的一個例子是使用審計歸納工具。在開發(fā)安全審計要求時，PP、PP-模塊、功能包或者ST作者必須對審計族及其組件之間的相互關(guān)系加以注

19、意。存在這樣的可能：規(guī)定了一組遵從族/組件依賴表的審計要求，但同時導(dǎo)致了一個有缺陷的審計功能。例2：沒有選擇性地基于任何合理的基礎(chǔ)（諸如單個用戶或?qū)ο螅﹣磉x擇性控制它們。在分布式環(huán)境中的審計要求 對網(wǎng)絡(luò)和其他大型系統(tǒng)的審計要求，在實(shí)現(xiàn)上可能明顯地有別于那些獨(dú)立系統(tǒng)。對于更大、更復(fù)雜和更活躍的系統(tǒng)而言，由于解釋（甚至存儲）所收集審計數(shù)據(jù)的可行性較低，所以必須更多地考慮收集哪些審計數(shù)據(jù)以及如何對其進(jìn)行管理。在一個隨時可能發(fā)生許多事件的多時區(qū)全球性網(wǎng)絡(luò)中，按時間排序羅列或“跟蹤”被審計事件的傳統(tǒng)方法可能就不適用。此外，在分布式TOE中的不同主機(jī)和服務(wù)器可能具有不同的命名策略和名稱。對于審計查閱而言，

20、符號名稱的表示法可能就需要在整個網(wǎng)絡(luò)范圍內(nèi)加以約定，以避免重復(fù)和“命名沖突”。如果在分布式系統(tǒng)中審計倉庫服務(wù)于一個實(shí)用的功能，則可能需要一個多對象審計倉庫，其中的一部分可由潛在的各種授權(quán)用戶訪問。最后，應(yīng)通過系統(tǒng)地避免本地存儲與管理員活動有關(guān)的審計數(shù)據(jù)來解決授權(quán)用戶權(quán)限濫用問題。安全審計自動響應(yīng)（FAU_ARP）用戶應(yīng)用注釋安全審計自動響應(yīng)族描述了處理審計事件的要求。該要求包括告警或TSF采取的動作（自動響應(yīng)）。例：TSF可能采取的動作包括產(chǎn)生實(shí)時的報警、終止違例的進(jìn)程、中斷服務(wù)、斷開連接或者使用戶帳號失效等。如果FAU_SAA“安全審計分析”中的組件指出一個審計事件是對TSF的一個潛在侵害，

21、那么定義該審計事件為一個“潛在的安全侵害”。FAU_ARP.1 安全告警組件基本原理與應(yīng)用注釋發(fā)生警報時，應(yīng)采取一項(xiàng)或多項(xiàng)行動進(jìn)行后續(xù)行動。這些行動包括將告警通知授權(quán)用戶、向授權(quán)用戶提供一組可能的遏制操作，或授權(quán)用戶采取糾正措施的選項(xiàng)。PP、PP-模塊、功能包或者ST作者應(yīng)認(rèn)真考慮采取這些行動的時機(jī)。操作在FAU_ARP.1.1中，PP、PP-模塊、功能包或者ST作者應(yīng)規(guī)定一旦出現(xiàn)潛在的安全侵害時要采取的動作。例：“通知授權(quán)用戶，使產(chǎn)生潛在安全侵害的主體失效”就是動作列表的一個例子。也可以規(guī)定由授權(quán)用戶來確定要采取的動作。安全審計數(shù)據(jù)產(chǎn)生 (FAU_GEN)概述用戶應(yīng)用注釋安全審計數(shù)據(jù)產(chǎn)生族包

22、括了規(guī)定應(yīng)由TSF對與安全有關(guān)的事件生成審計事件的要求。引入本族在某種意義上避免了一種關(guān)于所有需要審計支持的組件的依賴關(guān)系。在本部分中每個組件都有一個審計子節(jié)，在該小節(jié)中列出了該功能區(qū)中要審計的事件。在編寫PP、PP-模塊、功能包或者ST時，在相關(guān)組件審計部分中條款可用來填補(bǔ)本組件中的變量。這樣，對于一個功能區(qū)中能夠被審計事件的詳細(xì)規(guī)范就局限在該功能區(qū)中?？蓪徲嬍录斜硗耆蕾囉赑P、PP-模塊、功能包或ST的其他功能系列。所以每個族的定義應(yīng)包括該族所規(guī)定的可審計事件列表。在功能族中所規(guī)定可審計事件列表中的每個可審計事件必須對應(yīng)于本族所規(guī)定的某個審計事件產(chǎn)生級別（例如最小級、基本級和詳細(xì)級）。

23、這為PP、PP-模塊、功能包或ST的作者提供了必要的信息，以確保所有適當(dāng)?shù)目蓪徲嬍录紝⒃赑P、PP-模塊、功能包或ST中加以規(guī)范。以下示例展示了如何在適當(dāng)?shù)墓δ芟盗兄兄付蓪徲嬍录豪?：“如果PP、PP-模塊、功能包或ST中包含F(xiàn)AU_GEN安全審計數(shù)據(jù)產(chǎn)生，則下列行為是可審計的：最小級：用戶安全屬性管理功能的成功使用；基本級：用戶安全屬性管理功能的所有嘗試使用；基本級：用戶安全屬性已被修改的標(biāo)識；詳細(xì)級：除特定敏感屬性數(shù)據(jù)項(xiàng)以外，應(yīng)俘獲的新的屬性值。注：敏感屬性數(shù)據(jù)項(xiàng)包括如口令、密鑰。對于選擇的每個功能組件，該組件所指出的可審計事件，只要屬FAU_GEN“安全審計數(shù)據(jù)產(chǎn)生”指定的級別和低

24、于該級別都應(yīng)被審計。例如，在上面的例子中，如果FAU_GEN“安全審計數(shù)據(jù)產(chǎn)生”中選擇了“基本級”，則a)、b)和c)中提到的可審計事件應(yīng)被審計。很明顯，可審計事件的分類（最小級、基本級、詳細(xì)級）是層次化的。這就意味著：當(dāng)需要最小審計生成時，所有標(biāo)識為最小的可審計事件都應(yīng)通過使用適當(dāng)?shù)姆峙洳僮靼赑P、PP-模塊、功能包或ST操作內(nèi)；當(dāng)需要基本審計生成時，所有標(biāo)識為最小或基本的可審計事件也應(yīng)通過使用適當(dāng)?shù)馁x值操作包含在PP、PP-模塊、功能包或ST中，除非更高級別的事件只是提供比低級別事件更詳細(xì)的信息；當(dāng)需要詳細(xì)的審計生成時，所有已識別的可審計事件（最小級、基本級和詳細(xì)級）都應(yīng)包含在PP、P

25、P-模塊、功能包或ST中。PP、PP-模塊、功能包或 ST作者可以決定增加一些超出給定審計級別要求之外的可審計事件。例2：某個PP、PP-模塊、功能包、ST盡管包含了大部分基本級能力，由于少數(shù)幾個沒有被包括進(jìn)來的基本級能力因與PP、PP-模塊、功能包、ST其他的約束要求相沖突（例如它們需要收集不可用的數(shù)據(jù)），因此僅可聲稱具備有最小級審計能力。創(chuàng)建可審計事件的功能應(yīng)在PP、PP-模塊、功能包、ST中指定為一項(xiàng)功能要求加以規(guī)定。例3：以下是可在每個PP、PP-模塊、功能包、ST功能組件中定義為可審計的事件組件：把TSF之內(nèi)的客體引入到一個主體的地址空間；客體的刪除；訪問權(quán)限或能力的分配和撤消；改變

26、主體或客體的安全屬性；由TSF執(zhí)行的策略檢查，作為一個主體的請求結(jié)果；訪問權(quán)限的使用以回避策略檢查；標(biāo)識和鑒別功能的使用；操作員或授權(quán)用戶所采取的動作（如禁止一個TSF保護(hù)機(jī)制作為人可讀標(biāo)簽）；從可移動介質(zhì)輸出數(shù)據(jù)或?qū)?shù)據(jù)輸入到可移動介質(zhì)（如打印輸出、磁帶和磁盤等）。評估者應(yīng)用注釋FAU_GEN.1.1有一個關(guān)于FPT_STM.1“時間戳”的依賴關(guān)系，如果時間的正確性對于此TOE不是問題，則PP、PP-模塊、功能包、ST的作者可以證明消除這種依賴關(guān)系是合理的。FAU_GEN.1 審計數(shù)據(jù)生成組件基本原理與應(yīng)用注釋本組件定義了標(biāo)識可審計事件的一些要求，包括應(yīng)產(chǎn)生審計記錄以及審計記錄中所應(yīng)提供的信

27、息。當(dāng)SFR不要求單個用戶身份與審計事件相關(guān)聯(lián)時，可單獨(dú)使用FAU_GEN.1“審計數(shù)據(jù)產(chǎn)生”。當(dāng)PP、PP-模塊、功能包或ST也包含隱私要求時這種情況就可能存在。如果必須在審計中考慮用戶身份，就應(yīng)在使用FAU_GEN.1的基礎(chǔ)上增加使用FAU_GEN.2“用戶身份關(guān)聯(lián)”。如果主體為用戶，用戶身份可能記錄為主體身份。如果用戶鑒別 (FIA_UAU)沒有被應(yīng)用，則可能用戶身份還沒有被驗(yàn)證。因此，在無效登錄的情況下，已經(jīng)聲明了登錄的用戶的身份信息需被記錄下來。還應(yīng)考慮指明已記錄的身份沒有被驗(yàn)證的情況。操作在FAU_GEN.1.1中，PP、PP-模塊、功能包和ST作者應(yīng)選擇PP/ST中其他功能組件審

28、計子節(jié)所提出的可審計事件級別。這些級別可以是“最小級”、“基本級”、“詳細(xì)級”或“未規(guī)定”等。在FAU_GEN.1.1中，PP、PP-模塊、功能包和ST作者應(yīng)指定一個其他專門定義的可審計事件列表，一并歸入可審計事件列表中。這種賦值可以是“無”，也可以是一個功能要求的可審計事件其審計級別比b)中所要求的審計級別更高，也可以是由特定應(yīng)用程序接口（API）的使用而產(chǎn)生的一些事件。 在FAU_GEN.1.2中，PP、PP-模塊、功能包和ST作者應(yīng)對PP、PP-模塊、功能包和ST中每個可審計事件指定一個其他審計相關(guān)信息列表，并將其納入審計事件記錄中，或者指定為“無”。FAU_GEN.2 用戶身份關(guān)聯(lián)組件

29、基本原理與應(yīng)用注釋本組件負(fù)責(zé)處理在單個用戶身份級別上可審計事件的責(zé)任追溯性方面要求。本組件應(yīng)該用作FAU_GEN.1“審計數(shù)據(jù)產(chǎn)生”的補(bǔ)充。審計要求和隱私要求之間存在著潛在的沖突，為了審計，希望能了解誰完成了一個動作，而該用戶則可能希望只有自己知道自己的動作，而不被他人（如同事）識別出，或者可能在組織安全策略要求必須保護(hù)用戶身份。在這些情況下，審計與隱私的目標(biāo)是互相矛盾的。所以，如果選定這一審計要求，并且隱私也很重要，應(yīng)考慮增加用戶假名組件。隱私類中規(guī)定了基于假名確定真實(shí)用戶名的要求。如果用戶的身份尚未通過驗(yàn)證，則在無效登錄的情況下，應(yīng)記錄所聲明的用戶身份。還應(yīng)考慮指明已記錄的身份沒有被驗(yàn)證的

30、情況。操作沒有為此組件指定操作。安全審計分析 (FAU_SAA)用戶應(yīng)用注釋本族定義了一些采用自動化手段分析系統(tǒng)活動和審計數(shù)據(jù)以尋找可能的或真正的安全侵害的要求。這種分析可在入侵檢測的支持下進(jìn)行，或?qū)磳砼R的安全侵害做出自動響應(yīng)。FAU_ARP“安全審計自動響應(yīng)”中的組件定義了在檢測到可能即將發(fā)生的或潛在的安全侵害后，TSF應(yīng)采取的動作。為了實(shí)時分析，審計數(shù)據(jù)可能被轉(zhuǎn)換成一種便于自動處理的格式，在交付給授權(quán)用戶查閱時再轉(zhuǎn)換成另一種可讀格式。FAU_SAA.1 潛在的侵害分析組件基本原理與應(yīng)用注釋本組件用于規(guī)定一個可審計事件集，這些事件的出現(xiàn)或累計出現(xiàn)預(yù)示著一個對SFR的執(zhí)行的潛在侵害，也用來

31、規(guī)定用于執(zhí)行侵害分析的所有規(guī)則。操作在FAU_SAA.1.2中，PP、PP-模塊、功能包或ST作者應(yīng)識別已定義的可審計事件的子集，需要檢測這些事件的出現(xiàn)或累計出現(xiàn)，作為對SFR的執(zhí)行的潛在侵害的一個預(yù)示。在FAU_SAA.1.2中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定TSF用于分析審計跡的所有其他規(guī)則。這些規(guī)則可以包括一些需要事件在某個確定的時間周期內(nèi)出現(xiàn)的特殊要求。如果沒有額外的規(guī)則供TSF用于分析審計跡，則此賦值可以為“無”。例：時間周期：天數(shù)，持續(xù)時間FAU_SAA.2 基于輪廓的異常檢測組件基本原理與應(yīng)用注釋輪廓是一種表征用戶或主體行為的結(jié)構(gòu)，它描繪了用戶/主體怎樣以各種方法與TS

32、F交互。使用模式的建立對應(yīng)于用戶/主體所從事的各種類型活動。輪廓中記錄各種類型活動的方式，稱做輪廓度量。例1：使用模式：異常情況出現(xiàn)的模式、資源利用模式（何時、哪個、怎樣）、動作執(zhí)行模式等。輪廓度量：資源測量、事件計數(shù)器、定時器。每個輪廓代表由輪廓目標(biāo)組成員執(zhí)行的預(yù)期使用模式。此模式可以基于過去的使用（歷史模式）或相似目標(biāo)組用戶的正常使用（預(yù)期模式）。輪廓目標(biāo)組指與TSF交互的一個或多個用戶。輪廓組每個成員的活動被分析工具用來建立輪廓中描繪的使用模式。以下是幾個輪廓目標(biāo)組的例子：單用戶帳戶：每個用戶一個輪廓。組ID或組帳號：所有擁有同一個組ID或使用同一個組帳號的用戶為一個輪廓。操作角色：共享

33、一個給定操作角色的所有用戶為一個輪廓。系統(tǒng)：一個系統(tǒng)的所有用戶為一個輪廓。對一個輪廓目標(biāo)組的每個成員分配了一個單獨(dú)的置疑等級，它表示成員的新活動對應(yīng)于在組輪廓中已建立使用模式的相近程度。異常檢測工具的復(fù)雜程度將主要由PP、PP-模塊、功能包或ST所要求目標(biāo)輪廓組的數(shù)量和所要求輪廓度量的復(fù)雜性來決定。PP、PP-模塊、功能包或ST作者應(yīng)該明確列舉出由TSF監(jiān)測或分析的活動。PP、PP-模塊、功能包或ST作者也應(yīng)該明確識別構(gòu)造使用輪廓所需的相關(guān)活動信息。FAU_SAA.2“基于輪廓的異常檢測”要求TSF維護(hù)系統(tǒng)的使用輪廓。“維護(hù)”這個詞暗示異常檢測工具基于輪廓目標(biāo)組成員進(jìn)行的新活動主動更新使用輪廓

34、。重要的是表示用戶活動性的度量都由PP、PP-模塊、功能包或ST作者來定義。例2：一個個體可能執(zhí)行一千個不同的動作，而異常檢測工具可以僅選擇監(jiān)測這些活動的一個子集。異?；顒涌梢韵裾；顒右粯颖患傻捷喞校僭O(shè)工具正在監(jiān)測那些活動）。在四個月以前可能已出現(xiàn)異常的事件經(jīng)過一段時間，隨著用戶職責(zé)的改變可能已變成正常（反之亦然）。如果TSF利用輪廓更新算法過濾掉異?；顒?，它就不能夠捕獲這種情況。應(yīng)提供管理性通告，以便于授權(quán)用戶理解置疑等級的重要性。PP、PP-模塊、功能包或ST作者應(yīng)定義如何解釋置疑等級和向FAU_ARP“安全審計自動響應(yīng)”機(jī)制指示異?；顒拥臈l件。操作在FAU_SAA.2.1中，PP

35、、PP-模塊、功能包或ST作者應(yīng)規(guī)定輪廓目標(biāo)組。單個PP、PP-模塊、功能包或ST可包括多個輪廓目標(biāo)組。在FAU_SAA.2.3中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定由TSF報告的異?；顒拥臈l件。條件可以包括達(dá)到某一確定值的置疑等級，或基于觀察到的異?；顒拥念愋?。FAU_SAA.3 簡單攻擊探測組件基本原理與應(yīng)用注釋實(shí)際上，很少有分析工具能確切檢測到安全侵害即將在何時發(fā)生，但確實(shí)有一些系統(tǒng)事件非常重要，值得進(jìn)行單獨(dú)查閱。例1：這種事件的例子有，刪除一個關(guān)鍵TSF安全數(shù)據(jù)文件（如口令文件）或遠(yuǎn)程用戶試圖獲得管理級特權(quán)的行為。這些事件都稱作特征事件，如果它們的出現(xiàn)獨(dú)立于系統(tǒng)的其他活動就預(yù)示著

36、入侵活動。給定工具的復(fù)雜程度將在很大程度上依賴于PP、PP-模塊、功能包或ST作者在確定特征事件基本集時所定義的賦值。為執(zhí)行分析，PP、PP-模塊、功能包或ST作者應(yīng)逐一列舉出哪些事件應(yīng)該由TSF監(jiān)測。PP、PP-模塊、功能包或ST作者應(yīng)識別那些與事件有關(guān)的必要信息，以決定該事件是否映射為特征事件。應(yīng)提供管理性通告，以便授權(quán)用戶能夠理解事件的意義以及如何做出適當(dāng)?shù)捻憫?yīng)。為了避免把審計數(shù)據(jù)作為監(jiān)測系統(tǒng)活動唯一的輸入，須作出相應(yīng)的對策。在這些功能要求的詳細(xì)說明中要求利用以前開發(fā)的入侵檢測工具，而該工具不只使用審計數(shù)據(jù)進(jìn)行系統(tǒng)活動分析。例2：其他的輸入數(shù)據(jù)包括如網(wǎng)絡(luò)數(shù)據(jù)報文、資源/計帳數(shù)據(jù)或者各類系

37、統(tǒng)數(shù)據(jù)的組合等。FAU_SAA.3“簡單攻擊探測”的元素不要求實(shí)現(xiàn)直接攻擊探測的TSF與其活動受監(jiān)測的TSF為同一個。因此，可以開發(fā)一個入侵檢測組件，其運(yùn)行能夠獨(dú)立于那些系統(tǒng)活動正在被分析的系統(tǒng)。操作在FAU_SAA.3.1中，PP、PP-模塊、功能包或ST作者應(yīng)確定系統(tǒng)事件的一個基本子集，其出現(xiàn)獨(dú)立于所有其他系統(tǒng)活動，可預(yù)示著一個對SFR的執(zhí)行的侵害。這包括那些本身就清晰地指明對SFR的執(zhí)行的侵害的事件，或其出現(xiàn)對證明活動十分重要的那些事件。在FAU_SAA.3.2中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定用于確定系統(tǒng)活動的信息。該信息是分析工具所使用的輸入數(shù)據(jù)，用來確定發(fā)生在TOE上的系

38、統(tǒng)活動。這些數(shù)據(jù)可包括審計數(shù)據(jù)、審計數(shù)據(jù)與其他系統(tǒng)數(shù)據(jù)的組合、或者也可由其他非審計數(shù)據(jù)組成。PP、PP-模塊、功能包或ST作者應(yīng)準(zhǔn)確定義在所輸入的數(shù)據(jù)中哪些系統(tǒng)事件及其屬性正在被監(jiān)測。FAU_SAA.4 復(fù)雜攻擊探測組件基本原理與應(yīng)用注釋實(shí)際上，很少有分析工具能確切檢測到安全侵害即將在何時發(fā)生，但確實(shí)有一些系統(tǒng)事件非常重要，值得進(jìn)行單獨(dú)查閱。例1：這種事件的例子有，刪除一個關(guān)鍵TSF安全數(shù)據(jù)文件（如：口令文件）或遠(yuǎn)程用戶試圖獲得管理級特權(quán)的行為。這些事件都稱作特征事件，如果它們的出現(xiàn)獨(dú)立于系統(tǒng)的其他活動就預(yù)示著入侵活動。事件的序列是可預(yù)示入侵活動的特征事件有序集合。給定工具的復(fù)雜程度將在很大程

39、度上依賴于PP、PP-模塊、功能包或ST作者在確定特征事件基本集和事件序列時所定義的賦值。為執(zhí)行分析，PP、PP-模塊、功能包或ST作者應(yīng)逐一列舉出哪些事件應(yīng)該由TSF監(jiān)測。PP、PP-模塊、功能包或ST作者應(yīng)識別那些與事件有關(guān)的必要信息，以決定該事件是否映射為特征事件。應(yīng)提供管理性通告，以便授權(quán)用戶能夠理解事件的意義以及如何做出適當(dāng)?shù)捻憫?yīng)。為了避免把審計數(shù)據(jù)作為監(jiān)測系統(tǒng)活動唯一的輸入，須作出相應(yīng)的對策。在這些功能要求的詳細(xì)說明中要求利用以前開發(fā)的入侵檢測工具，而該工具不只使用審計數(shù)據(jù)進(jìn)行系統(tǒng)活動分析。例2：其他的輸入數(shù)據(jù)包括如網(wǎng)絡(luò)數(shù)據(jù)報文、資源/計帳數(shù)據(jù)或者各類系統(tǒng)數(shù)據(jù)的組合等因此需要PP、

40、PP-模塊、功能包或ST作者規(guī)范用于監(jiān)測系統(tǒng)活動的輸入數(shù)據(jù)的類型。FAU_SAA.4“復(fù)雜攻擊探測”的元素不要求實(shí)現(xiàn)復(fù)雜攻擊探測的TSF與其活動受監(jiān)測的TSF為同一個。因此，可以開發(fā)一個入侵檢測組件，其運(yùn)行能夠獨(dú)立于那些系統(tǒng)活動正在被分析的系統(tǒng)。操作在FAU_SAA.4.1中，PP、PP-模塊、功能包或ST作者應(yīng)確定系統(tǒng)事件序列列表的一個基本集，其出現(xiàn)表示已經(jīng)有入侵的情況發(fā)生。這些事件序列表示已知的入侵情形，序列中所描繪的每一個事件應(yīng)映射到一個受監(jiān)測的系統(tǒng)事件，從而使得隨著這些系統(tǒng)事件被執(zhí)行，它們就映射到已知的入侵事件序列。在FAU_SAA.4.1中，PP、PP-模塊、功能包或ST作者應(yīng)確定系

41、統(tǒng)事件的一個基本子集，其出現(xiàn)獨(dú)立于所有其他系統(tǒng)活動，可預(yù)示著一個對SFR的執(zhí)行的侵害。這包括那些本身就清晰地指明對SFR違反的事件，或其出現(xiàn)對證明活動正常十分重要的那些事件。在FAU_SAA.4.2中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定用于確定系統(tǒng)活動的信息。該信息是分析工具所使用的輸入數(shù)據(jù)，用來確定發(fā)生在TOE上的系統(tǒng)活動。這些數(shù)據(jù)可包括審計數(shù)據(jù)、審計數(shù)據(jù)與其他系統(tǒng)數(shù)據(jù)的組合、或者也可由其他非審計數(shù)據(jù)組成。PP、PP-模塊、功能包或ST作者應(yīng)準(zhǔn)確定義在所輸入的數(shù)據(jù)中哪些系統(tǒng)事件及其屬性正在被監(jiān)測。安全審計查閱(FAU_SAR)用戶應(yīng)用注釋安全審計查閱族定義了與審計信息查閱有關(guān)的一些要求

42、。這些功能應(yīng)該允許預(yù)存儲或事后存儲審計選擇結(jié)果。例：與審計信息查閱相關(guān)的例子是選擇性查閱的能力，包括以下幾個方面的內(nèi)容：一個或者多個用戶的動作（如標(biāo)識、鑒別、TOE登錄以及訪問控制活動）；對某個特定客體或TOE資源采取的動作；規(guī)定的審計例外情況集的全部內(nèi)容；或者與某個特定的SFR屬性有關(guān)的動作。以下幾種審計查閱之間的區(qū)別在于功能性。“審計查閱”只包含查閱審計數(shù)據(jù)的能力。而“可選審計查閱”更加復(fù)雜，要求能夠基于某個標(biāo)準(zhǔn)或帶邏輯關(guān)系（即“與”/“或”）的多個標(biāo)準(zhǔn)執(zhí)行搜索，并能夠在查閱審計數(shù)據(jù)之前對它們進(jìn)行分類和篩選。FAU_SAR.1 審計查閱組件基本原理與應(yīng)用注釋本組件將為授權(quán)用戶提供獲取和解釋

43、相關(guān)信息的能力。用戶是人員用戶時，信息必須以人類可理解的方式表示；用戶是外部IT實(shí)體時，信息必須以電子方式無歧義地表示。本組件用于規(guī)定用戶和/或授權(quán)用戶能夠讀取審計記錄。審計記錄將以適合于用戶的方式加以提供，因?yàn)椴煌愋偷挠脩簦ㄈ藛T用戶、機(jī)器用戶）可能有不同的需求?？梢砸?guī)定能被查閱的審計記錄內(nèi)容。操作在FAU_SAR.1.1中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定能夠使用這種能力的授權(quán)用戶。PP、PP-模塊、功能包或ST作者也可以適當(dāng)?shù)刂付ㄒ恍┌踩巧▍⒁奆MT_SMR.1安全角色）。在FAU_SAR.1.1中，PP、PP-模塊、功能包或ST作者應(yīng)規(guī)定準(zhǔn)許指定的用戶從審計記錄中獲得信息的

44、類型。例：可以是“全部”、“主體身份”或“涉及該用戶的所有審計記錄信息”。在應(yīng)用安全功能要求FAU_SAR.1 時，沒有必要完全詳細(xì)地重復(fù)FAU_GEN.1指定的審計信息列表。使用“全部”或“全部審計信息”等術(shù)語能有助于消除歧義，并進(jìn)一步需要對這兩種安全需求進(jìn)行比較分析。FAU_SAR.2 限制審計查閱組件基本原理與應(yīng)用注釋本組件規(guī)定，未在FAU_SAR.1“審計查閱”中標(biāo)識的用戶不能讀取審計記錄。操作沒有為此組件指定操作。FAU_SAR.3 可選審計查閱組件基本原理與應(yīng)用注釋本組件規(guī)定應(yīng)能對要查閱的審計數(shù)據(jù)進(jìn)行選擇。如果基于多個標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)之間必須具有某種邏輯關(guān)系（即“與”/“或”），審計

45、工具也應(yīng)該提供處理審計數(shù)據(jù)的能力。例：處理審計數(shù)據(jù)的能力包括分類、篩選等。操作在FAU_SAR.3.1中，PP、PP-模塊、功能包或ST作者應(yīng)選定是否由TSF執(zhí)行搜索、分類、排序。在FAU_SAR.3.1中，PP、PP-模塊、功能包或ST作者應(yīng)指定用于選擇需要查閱的審計數(shù)據(jù)的標(biāo)準(zhǔn)（可能連同邏輯關(guān)系一起）。邏輯關(guān)系預(yù)期用于規(guī)定是否對單個屬性或還是對屬性的集合進(jìn)行操作。例:這種賦值可能形如“應(yīng)用、用戶帳號或位置”。在這種情況下，操作可用應(yīng)用、用戶帳號和位置這三種屬性的任意組合來規(guī)定。安全審計事件選擇 (FAU_SEL)用戶應(yīng)用注釋安全審計事件選擇族提供一些關(guān)于識別能力方面的要求，這種能力指從可能發(fā)

46、生的可審計事件中識別出哪些需要被審計。FAU_GEN“安全審計數(shù)據(jù)產(chǎn)生”族中定義了可審計事件，但這些事件在本組件中應(yīng)定義為是可選的事件。本族通過定義所選擇安全審計事件的適當(dāng)粒度，確保所保留的審計跡不至過于龐大而無法使用。FAU_SEL.1 選擇性審計組件基本原理與應(yīng)用注釋本組件定義了用于根據(jù)用戶屬性、主體屬性、客體屬性或事件類型從所有可審計事件集中選擇作為結(jié)果被審計的子集的標(biāo)準(zhǔn)。本組件假設(shè)不存在單個用戶身份。如路由器等設(shè)備就是不支持用戶概念的TOE。對于分布式環(huán)境，主機(jī)身份可以用作被審計的選擇條件。管理功能FMT_MTD.1“TSF數(shù)據(jù)的管理”將處理授權(quán)用戶對選擇進(jìn)行查詢或修改的權(quán)限。操作在F

47、AU_SEL.1.1中，PP、PP-模塊、功能包或ST作者應(yīng)該規(guī)定審計選擇性所依據(jù)的安全屬性是否與客體身份、用戶身份、主體身份、主機(jī)身份或事件類型相關(guān)。在FAU_SEL.1.1中，PP、PP-模塊、功能包、ST作者應(yīng)規(guī)定審計選擇性所依據(jù)的所有附加屬性。如果沒有附加規(guī)則供審計選擇性依據(jù)，則賦值為“無”。安全審計數(shù)據(jù)存儲（FAU_STG）用戶應(yīng)用注釋安全審計事件存儲族描述了存儲審計數(shù)據(jù)以備今后使用的要求，包括對由于系統(tǒng)失效、發(fā)生攻擊或存儲空間溢滿等原因所引起審計數(shù)據(jù)丟失進(jìn)行控制的要求。FAU_STG.1 審計數(shù)據(jù)的存儲位置組件基本原理與應(yīng)用注釋在分布式環(huán)境中，由于審計跡位于TSF中，不一定要與生成

48、審計數(shù)據(jù)的功能模塊在一起，PP、PP-模塊、功能包、ST作者可能要求對審計記錄的原發(fā)者進(jìn)行鑒別，或在將此記錄存入審計跡之前要求記錄的源不可否認(rèn)。TSF將保護(hù)審計跡中的審計數(shù)據(jù)免遭未授權(quán)地刪除或修改。值得注意的是，在某些TOE中審計員（角色）可能不具備刪除特定時間內(nèi)審計記錄的授權(quán)。FAU_STG.1.1依賴于FTP_ITC.1 “TSF間可信信道”，如果沒有選擇“使用FTP_ITC可信信道將生成的審計數(shù)據(jù)傳輸給外部IT實(shí)體”，則PP、PP-模塊、功能包或ST的作者可以通過提供沒有被選擇的理由來滿足依賴關(guān)系。操作在 FAU_STG.1.1 中，PP、PP-模塊、功能包或 ST的作者應(yīng)選擇審計數(shù)據(jù)的

49、存儲位置。審計數(shù)據(jù)可以存儲在TOE本身上，使用可信信道傳輸?shù)酵獠繉?shí)體，或者可以在賦值中指定其他存儲選項(xiàng)。如果需要PP、PP-模塊、功能包或ST的作者指定審計數(shù)據(jù)的附加或替代存儲位置，則可以在FAU_STG.1.1中使用選擇中找到的賦值來指定此需求。FAU_STG.2 受保護(hù)的審計數(shù)據(jù)存儲組件基本原理與應(yīng)用注釋在分布式環(huán)境中，由于審計跡位于TSF中，不一定要與生成審計數(shù)據(jù)的功能模塊在一起，PP、PP-模塊、功能包、ST作者可能要求對審計記錄的原發(fā)者進(jìn)行鑒別，或在將此記錄存入審計跡之前要求記錄的源不可否認(rèn)。TSF將保護(hù)審計跡中審計數(shù)據(jù)免遭未授權(quán)地刪除或修改。值得注意的是，在某些TOE中審計員（角色

50、）可能不具備刪除特定時間內(nèi)審計記錄的授權(quán)。操作在FAU_STG.1.2中，PP、PP-模塊、功能包或 ST作者應(yīng)該規(guī)定TSF是應(yīng)防止，還是只能檢測對審計跡中存儲的審計記錄的修改。這二者中只能選擇一個。FAU_STG.3 審計數(shù)據(jù)可用性保證組件基本原理與應(yīng)用注釋本組件允許PP、PP-模塊、功能包或 ST作者規(guī)定審計跡應(yīng)該符合哪個度量標(biāo)準(zhǔn)。在分布式環(huán)境中，由于審計跡位于TSF中，不一定要與生成審計數(shù)據(jù)的功能模塊在一起，PP、PP-模塊、功能包、ST作者可能請求對審計記錄的原發(fā)者進(jìn)行鑒別，或在將此記錄存入審計跡之前要求記錄的源不可否認(rèn)。 操作在FAU_STG.3.3中，PP、PP-模塊、功能包、ST

51、作者應(yīng)對于審計跡規(guī)定TSF必須確保的度量。該度量通過列舉必須保持的記錄數(shù)或保證記錄維護(hù)的時間來限制數(shù)據(jù)的丟失。例：度量值“100000”就意味著能夠存儲100000條審計記錄。在FAU_STG.2.3中，PP、PP-模塊、功能包、ST作者應(yīng)該規(guī)定TSF仍能維護(hù)確定數(shù)量的審計數(shù)據(jù)的條件。這些條件可能是：審計存儲耗盡、失效和受攻擊。FAU_STG.4 審計數(shù)據(jù)可能丟失時的動作組件基本原理與應(yīng)用注釋本組件規(guī)定了審計跡已滿時TOE的行為：要么忽略審計記錄，要么凍結(jié)TOE，使得任何可審計事件都不能發(fā)生。本要求還規(guī)定，無論怎樣規(guī)定這類要求，對具有特殊權(quán)限的授權(quán)用戶總可以繼續(xù)產(chǎn)生可審計事件（采取動作），這是

52、因?yàn)槿绻贿@樣，授權(quán)用戶甚至將無法重啟TOE。因此，一旦審計存儲空間溢滿，應(yīng)考慮選擇TSF要采取的動作，如忽略事件，這樣能提供更好的TOE可用性，也將準(zhǔn)許不帶記錄且不追查用戶責(zé)任地執(zhí)行動作。操作在FAU_STG.5.1中，PP、PP-模塊、功能包、ST作者應(yīng)選定TSF是否忽略可審計的動作，或者是否應(yīng)該防止可審計動作的發(fā)生，或當(dāng)TSF不能再存儲審計記錄時將最早的審計記錄涵蓋。這些選項(xiàng)中只能選擇一個。在FAU_STG.5.1中，PP、PP-模塊、功能包、ST作者應(yīng)規(guī)定一旦發(fā)生審計存儲失效，所應(yīng)采取的其他動作，如通知授權(quán)用戶。如審計存儲失效時不需采取任何其他動作，則賦值為“無”。FAU_STG.5

53、防止審計數(shù)據(jù)丟失組件基本原理與應(yīng)用注釋該組件要求在審計跡超過某些預(yù)定義限制時采取措施。操作在FAU_STG.5“防止審計數(shù)據(jù)丟失”中，PP、PP-模塊、功能包或ST作者應(yīng)指明預(yù)定義的限制。如果管理功能表示授權(quán)用戶可以修改此數(shù)字，則此值為默認(rèn)值。PP、PP-模塊、功能包或ST的作者可以選擇讓授權(quán)用戶定義此限制。例：在授權(quán)用戶定義限制的情況下，分配的例子可以是“授權(quán)用戶設(shè)置限制”。在FAU_STG.5“防止審計數(shù)據(jù)丟失”中，PP、PP-模塊、功能包或ST作者應(yīng)詳細(xì)說明在超過閾值并指示即將發(fā)生審計存儲失敗的情況下應(yīng)采取的行動。行動可以包括通知授權(quán)用戶。附錄 D（規(guī)范性附錄）FCO 類：通信 - 應(yīng)用

54、注釋概述本類所描述的要求對用于傳送信息的TOE有特殊意義。本類中各族都涉及抗抵賴。本類中使用了“信息”這一概念。在這里信息應(yīng)該解釋為進(jìn)行通信的客體，可能包括電子郵件消息、文件或一組預(yù)定義屬性的類型。在本文中，術(shù)語“接收證明”和“原發(fā)證明”是常用的術(shù)語。然而，通常認(rèn)為術(shù)語“證明”在法律意義上被解釋為隱含某種形式數(shù)學(xué)原理。本類中的組件按“證據(jù)”的具體情況來解釋 “證明”一詞的具體使用，TSF舉例說明了各種類型信息傳送的不可否認(rèn)。原發(fā)抗抵賴(FCO_NRO)用戶應(yīng)用注釋原發(fā)抗抵賴定義了向用戶/主體提供有關(guān)原發(fā)者身份信息證據(jù)的要求。由于原發(fā)證據(jù)在原發(fā)者和所發(fā)送的信息之間提供了證據(jù)綁定，原發(fā)者不能成功地

55、否認(rèn)已發(fā)送該信息，接收者或第三方可驗(yàn)證原發(fā)證據(jù)。原發(fā)證據(jù)應(yīng)是不可偽造的。例1：原發(fā)證據(jù)可以是數(shù)字簽名如果以任何方式改變了信息或相關(guān)屬性，對原發(fā)證據(jù)的驗(yàn)證就可能失敗。因此，PP、PP-模塊、功能包或ST作者應(yīng)考慮在PP、PP-模塊、功能包或ST中加入完整性方面的要求，如FDT_UIT.1“數(shù)據(jù)交換完整性”。抗抵賴涉及幾個不同的角色，每個角色都可能結(jié)合一個或多個主體。第一個角色是請求原發(fā)證據(jù)的主體（僅在FCO_NRO.1“選擇性原發(fā)證明”中）；第二個角色是提供證據(jù)的接收者和/或其它主體；第三個角色是請求驗(yàn)證原發(fā)證據(jù)的主體。例2：請求驗(yàn)證原發(fā)證據(jù)的主體：如接收者或象仲裁者這樣的第三方。提供接收證據(jù)的

56、主體：如公證人PP、PP-模塊、功能包或ST作者規(guī)定為了能驗(yàn)證證據(jù)的有效性而必須滿足的條件。例3：可能規(guī)定的一個條件是對證據(jù)的驗(yàn)證必須在24小時內(nèi)進(jìn)行。因此，這些條件允許根據(jù)法律要求定制不可抵賴性，例如能夠提供幾年內(nèi)的證據(jù)。在多數(shù)情況下，接收者的身份是接收傳送數(shù)據(jù)的用戶。在一些情況下，PP、PP-模塊、功能包或ST作者不希望用戶身份被輸出，此時PP、PP-模塊、功能包或ST作者應(yīng)該考慮是否適合包含此類，或者是否應(yīng)使用傳送服務(wù)提供者的身份或主機(jī)的身份。除了（或代替）用戶身份，PP、PP-模塊、功能包或ST作者可能更關(guān)注信息發(fā)送的時間。例4：例如，請求建議必須在某個確定日期之前發(fā)送才能被接納，在這

57、種情形下，這些要求應(yīng)能被定制以提供時間戳指示（原發(fā)時間）。FCO_NRO.1 選擇性原發(fā)證明用戶應(yīng)用注釋沒有為此組件指定的用戶應(yīng)用注釋。操作在FCO_NRO.1.1中，PP、PP-模塊、功能包或ST作者應(yīng)將信息主體的類型填寫到原發(fā)功能的證據(jù)中，如電子郵件消息，例1：信息類型的一個例子是“電子郵件消息”在 FCO_NRO.1.1 中，PP、PP-模塊、功能包或ST作者應(yīng)指定可以請求原發(fā)證據(jù)的用戶/主體。在 FCO_NRO.1.1 中，PP、PP-模塊、功能包或ST的作者應(yīng)根據(jù)選擇結(jié)果指定能請求原發(fā)證據(jù)的第三方。例2：第三方可以是仲裁者、法官或法定機(jī)構(gòu)。在FCO_NRO.1.2中，PP、PP-模塊

58、、功能包或ST的作者應(yīng)填寫可關(guān)聯(lián)到信息的屬性列表。例3：屬性包括原發(fā)者身份、發(fā)送時間和發(fā)送位置。在FCO_NRO.1.2中，PP、PP-模塊、功能包或ST的作者應(yīng)在信息中填寫信息域列表，表上的屬性提供了原發(fā)證據(jù)，如消息體。在FCO_NRO.1.3中，PP、PP-模塊、功能包或ST的作者應(yīng)指定能驗(yàn)證原發(fā)證據(jù)的用戶/主體。在FCO_NRO.1.3中，PP、PP-模塊、功能包或ST的作者應(yīng)填寫可驗(yàn)證證據(jù)的限制條件列表。例4：限制的例子是“證據(jù)只能在24小時時間間隔之內(nèi)被驗(yàn)證”。賦值為“立即的”或“不確定的”也是可接受的。在FCO_NRO.1.3中，PP、PP-模塊、功能包或ST的作者應(yīng)根據(jù)選擇結(jié)果指

59、定能驗(yàn)證原發(fā)證據(jù)的第三方。FCO_NRO.2 強(qiáng)制原發(fā)證明用戶應(yīng)用注釋沒有為此組件指定的用戶應(yīng)用注釋。操作在FCO_NRO.2.1中，PP、PP-模塊、功能包或ST的作者應(yīng)將信息主體的類型填寫到原發(fā)功能的證據(jù)中，例1：電子郵件消息。在FCO_NRO.2.2中，PP、PP-模塊、功能包或ST的作者應(yīng)填寫可關(guān)聯(lián)到信息的屬性列表，如原發(fā)者身份、發(fā)送時間和發(fā)送位置。在FCO_NRO.2.2中，PP、PP-模塊、功能包或ST的作者應(yīng)在信息中填寫信息域列表，表中的屬性提供了原發(fā)證據(jù)，如消息體。在FCO_NRO.2.3中，PP、PP-模塊、功能包或ST的作者應(yīng)指定能驗(yàn)證原發(fā)證據(jù)的用戶/主體。在FCO_NRO

60、.2.3中，PP、PP-模塊、功能包或ST的作者應(yīng)填寫可驗(yàn)證證據(jù)的限制條件列表。例2：證據(jù)只能在24小時時間間隔之內(nèi)被驗(yàn)證。賦值為“立即的”或“不確定的”也是可接受的。在FCO_NRO.2.3中，PP、PP-模塊、功能包或ST的作者應(yīng)根據(jù)選擇結(jié)果指定能驗(yàn)證原發(fā)證據(jù)的第三方。例3：第三方可以是仲裁者、法官或法律機(jī)構(gòu)。接收抗抵賴 (FCO_NRR)用戶應(yīng)用注釋接收抗抵賴定義了向其他用戶/主體提供信息已被接收者接收到的證據(jù)的要求。由于接收證據(jù)在接收者和所接收信息之間提供了證據(jù)綁定，接收者必須承認(rèn)已接收該信息，原發(fā)者或第三方可驗(yàn)證接收證據(jù)。此證據(jù)應(yīng)是不可偽造的。例1：接收證據(jù)的一個例子是數(shù)字簽名。應(yīng)該