安全系統(tǒng)EAL3文檔安全目標(biāo)

**系統(tǒng)安全目標(biāo)1ST引言ST標(biāo)識(shí)1?1?1ST標(biāo)識(shí)標(biāo)題：**系統(tǒng)安全目標(biāo)版本號(hào)：1.0申請(qǐng)的保證級(jí)別：EAL3編寫日期：2012年8月1.1.2TOE標(biāo)識(shí)標(biāo)題：**系統(tǒng)型號(hào)：版本號(hào)：3.0ST概述ST結(jié)構(gòu)及內(nèi)容概述本ST主要由6部分組成：TOE描述，簡(jiǎn)要描述了本TOE的產(chǎn)品類型、結(jié)構(gòu)和應(yīng)用環(huán)境等；TOE安全環(huán)境，描述了對(duì)TOE使用的預(yù)期假設(shè)、TOE威脅、組織安全策略等；TOE安全目的，描述了為符合TOE安全環(huán)境，ST必須實(shí)現(xiàn)的安全目的；TOE安全要求，描述了為達(dá)到TOE安全目的，ST需滿足的安全要求；TOE概要規(guī)范，描述了為滿足TOE安全要求，需要實(shí)現(xiàn)的安全功能；基本原理，描述了從安全環(huán)境到安全目的、安全目的到安全要求、安全要求到安全功能之間的對(duì)應(yīng)關(guān)系。TOE概述**系統(tǒng)是一個(gè)硬件形式的獨(dú)立產(chǎn)品?？梢詫?duì)目標(biāo)IT系統(tǒng)進(jìn)行各類安全漏洞的檢查。系統(tǒng)主要由掃描引擎、掃描管理模塊、用戶管理模塊、審計(jì)模塊、系統(tǒng)支持模塊和漏洞庫(kù)7個(gè)部分組成。任何需要考慮脆弱性和網(wǎng)絡(luò)攻擊的IT系統(tǒng)都應(yīng)該使用類似本TOE這樣的網(wǎng)絡(luò)漏洞掃描器。一致性聲明本ST的編寫依據(jù)是《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型》GB/T18336.1-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分：安全功能要求》GB/T18336.2-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分：安全保證要求》GBT18336.3-20082TOE描述2.1產(chǎn)品類型**系統(tǒng)是一個(gè)硬件形式的獨(dú)立產(chǎn)品。任何需要考慮脆弱性和網(wǎng)絡(luò)攻擊的IT系統(tǒng)都應(yīng)該使用類似本TOE這樣的網(wǎng)絡(luò)漏洞掃描器。本TOE可以從IT系統(tǒng)中的各種資源處收集靜態(tài)配置信息，通過對(duì)這些信息的分析，可能指示出IT系統(tǒng)存在已知的潛在脆弱性隱患（漏洞）。TOE結(jié)構(gòu)本TOE主要由掃描引擎、掃描管理模塊、用戶管理模塊、審計(jì)模塊、系統(tǒng)支持模塊和漏洞庫(kù)7個(gè)部分組成。掃描引擎是TOE的核心模塊，其中，信息收集功能從一個(gè)或多個(gè)數(shù)據(jù)源處掃描并搜集各類靜態(tài)配置信息；漏洞分析功能對(duì)搜集來(lái)的信息進(jìn)行分類、簡(jiǎn)化和分析，并據(jù)此判斷目標(biāo)主機(jī)是否存在安全隱患；安全告警功能則記錄隱患信息并依照管理員的設(shè)定實(shí)施報(bào)警。掃描管理模塊設(shè)定掃描策略、掃描參數(shù)并控制掃描任務(wù)的執(zhí)行。報(bào)表管理模塊管理各類掃描信息，以易于理解的方式向授權(quán)用戶提供掃描結(jié)果的報(bào)告。審計(jì)模塊識(shí)別并記錄與安全活動(dòng)相關(guān)的各類信息，這些信息讓授權(quán)審計(jì)員可以很清楚地了解發(fā)生了哪些安全活動(dòng)以及哪個(gè)用戶要對(duì)這些活動(dòng)負(fù)責(zé)。用戶管理模塊確定能與TOE交互的各類角色，并確保用戶與正確的、包括其角色在內(nèi)的安全屬性相關(guān)聯(lián)。用戶管理模塊也確保各用戶使用相應(yīng)的TOE安全功能前，都已被成功鑒別。系統(tǒng)支持模塊實(shí)現(xiàn)了其它模塊所需的底層功能，如可靠的時(shí)間戳、可信路徑漏洞庫(kù)中則保存著用來(lái)指示潛在安全侵害的已知脆弱性特征。2.3TOE的范圍和邊界以獨(dú)立產(chǎn)品形式提供的本TOE由硬件、操作系統(tǒng)、應(yīng)用服務(wù)和TOE掃描系統(tǒng)軟件組成。其中，硬件使用基于X86處理器芯片的工控機(jī)，包含數(shù)據(jù)存儲(chǔ)用硬盤以及可以根據(jù)需要擴(kuò)充的多個(gè)網(wǎng)絡(luò)接口；操作系統(tǒng)使用經(jīng)過安全加固的Linux操作系統(tǒng)，內(nèi)核經(jīng)過優(yōu)化，只安裝了必需的服務(wù)并且只打開了必需的端口；使用的應(yīng)用服務(wù)主要包括：數(shù)據(jù)庫(kù)服務(wù)mysql，WEB服務(wù)器apache，上述應(yīng)用服務(wù)均經(jīng)過了安全處理。本TOE主要具備如下安全功能：收集目標(biāo)網(wǎng)絡(luò)中的主機(jī)或網(wǎng)絡(luò)設(shè)備的靜態(tài)配置信息，主要包括：訪問控制配置、服務(wù)配置、鑒別配置、可審查策略配置、可檢測(cè)的已知脆弱性等；將所收集的信息進(jìn)行數(shù)據(jù)簡(jiǎn)化和分析，以確定是否發(fā)生脆弱性；對(duì)識(shí)別的脆弱性產(chǎn)生響應(yīng)，這些響應(yīng)包括：生成報(bào)告、記錄審計(jì)日志或發(fā)送報(bào)警郵件；生成審計(jì)跡（如TOE訪問、TOE數(shù)據(jù)訪問和TOE配置改變等）；確保TOE的功能和數(shù)據(jù)僅被合法地訪問及修改。應(yīng)用環(huán)境IT系統(tǒng)負(fù)責(zé)為漏洞掃描器提供足夠的保護(hù)，使其工作在一個(gè)非敵意的環(huán)境中。3TOE安全環(huán)境3.1假設(shè)本節(jié)包含關(guān)于安全環(huán)境和TOE使用的假設(shè)。用法假設(shè)A.ACCESSTOE有權(quán)訪問執(zhí)行其功能所需的所有IT系統(tǒng)數(shù)據(jù)。A.TARGETTOE通過查找IT系統(tǒng)中存在的各種漏洞間接地保護(hù)存在可能被利用的脆弱性的資產(chǎn)。物理假設(shè)A.LOCATETOE的處理資源應(yīng)位于受控的訪問設(shè)備之內(nèi)，以防止非授權(quán)的物理訪問。A.PROTCT應(yīng)保護(hù)在執(zhí)行安全策略中起關(guān)鍵作用的TOE硬件和軟件免受非授權(quán)的物理更改。人員假設(shè)A.MANAGE應(yīng)指定一個(gè)或多個(gè)能勝任的人來(lái)管理TOE及其所含信息的安全。A.NOEVIL授權(quán)管理員不應(yīng)是粗心大意、不負(fù)責(zé)任或者是懷有敵意的，并應(yīng)遵循TOE文檔的規(guī)定。A.NOTRSTTOE只能被授權(quán)用戶訪問。連接假設(shè)A.INTCONTOE應(yīng)與其掃描的IT系統(tǒng)所屬的網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)互聯(lián)。3.2威脅以下是TOE和TOE監(jiān)控的IT系統(tǒng)受到的威脅。TOE本身存在威脅，而且TOE必須負(fù)責(zé)確定其所處的環(huán)境的威脅。假設(shè)造成所有威脅的是具有基本攻擊潛能的熟練攻擊者。3.2.1TOE威脅T.COMDIS非授權(quán)用戶可能企圖通過旁路安全機(jī)制而泄露由TOE收集的數(shù)據(jù)。T.COMINT非授權(quán)用戶可能企圖通過旁路安全機(jī)制而破壞由TOE收集的數(shù)據(jù)的完整性。T.IMPCON非授權(quán)用戶可能會(huì)不適當(dāng)?shù)馗淖僒OE的配置，從而造成無(wú)法掃描到的潛在入侵。T.INFLUX非授權(quán)用戶可能由于創(chuàng)建一個(gè)TOE不能處理的數(shù)據(jù)集合而導(dǎo)致故障的發(fā)生。T.LOSSOF非授權(quán)用戶可能企圖刪除或者破壞由TOE掃描和生成的數(shù)據(jù)。T.NOHALT非授權(quán)用戶可能企圖通過停止TOE的執(zhí)行來(lái)危及TOE的掃描功能的連續(xù)性。T.PRIVIL非授權(quán)用戶可能訪問TOE并利用系統(tǒng)特權(quán)而訪問TOE安全功能和數(shù)據(jù)。T.COMEXP具有基本攻擊潛能的熟練攻擊者，可能通過嘗試旁路TSF來(lái)獲得對(duì)TOE或TOE所保護(hù)的資產(chǎn)的訪問。T.PROCOM未授權(quán)的人或未授權(quán)的外部IT實(shí)體可能查看、修改和/或刪除遠(yuǎn)程授權(quán)管理員和TOE間傳送與安全相關(guān)的信息。組織安全策略組織的安全策略是一個(gè)組織使用的一系列針對(duì)其安全要求的規(guī)則、實(shí)踐和程序。P.ACCACTTOE用戶應(yīng)對(duì)其在掃描器中的行為負(fù)責(zé)。P.ACCESSTOE收集或生成的所有數(shù)據(jù)都只能用于授權(quán)目的。P.SCAN 必須收集可能指示IT系統(tǒng)的潛在的已知漏洞和靜態(tài)配置信息。P.ANALYZ源自任何時(shí)間的掃描結(jié)論的分析程序和信息都必須作為掃描數(shù)據(jù)進(jìn)行記錄，并采取相應(yīng)的響應(yīng)措施。P.CPYPTO為了保護(hù)遠(yuǎn)程管理功能，ST作者應(yīng)當(dāng)制定加密算法的依據(jù)標(biāo)準(zhǔn)（例如，使用3DES加密算法和相應(yīng)的密碼長(zhǎng)度）。相關(guān)的加密模塊應(yīng)當(dāng)最低限度地遵循ST作者規(guī)定或指定的相關(guān)標(biāo)準(zhǔn)。P.INTGTY應(yīng)該保護(hù)TOE掃描、分析和生成的數(shù)據(jù)免受修改。P.MANAGETOE應(yīng)僅由授權(quán)用戶管理。P.PROTCTTOE應(yīng)受保護(hù)以避免非授權(quán)訪問及TOE掃描功能的中斷。4安全目的本節(jié)指出TOE的安全目的以及它所支持的環(huán)境，這些安全目的指出了在滿足安全要求方面TOE及其環(huán)境的責(zé)任。TOE安全目的以下是TOE安全目的：O.ACCESSTOE必須只允許授權(quán)用戶訪問適當(dāng)?shù)腡OE功能和數(shù)據(jù)。O.AUDITSTOE必須為數(shù)據(jù)訪問和TOE功能的使用而記錄審計(jì)記錄。O.EADMINTOE必須包括允許有效管理其功能及數(shù)據(jù)的一套功能。O.ENCRYP如果TOE允許所連接網(wǎng)絡(luò)產(chǎn)生遠(yuǎn)程管理，那么它必須通過加密手段保護(hù)TOE與授權(quán)管理員對(duì)話的機(jī)密性。O.IDAUTHTOE必須能夠在允許訪問TOE功能和數(shù)據(jù)之前標(biāo)識(shí)和鑒別用戶。O.INTEGRTOE必須保證所有審計(jì)和掃描數(shù)據(jù)的完整性。O.OFLOWSTOE必須適當(dāng)?shù)靥幚頋撛诘膶徲?jì)和掃描器數(shù)據(jù)存儲(chǔ)溢出。O.PROTCTTOE必須保護(hù)其自身的功能及數(shù)據(jù)免受非授權(quán)修改和訪問。O.INTROPTOE應(yīng)能與其掃描的IT系統(tǒng)進(jìn)行互操作。O.RESPONTOE必須對(duì)分析結(jié)論做出正確響應(yīng)。O.SCANLZTOE必須獲取源自掃描器或外部IT實(shí)體的數(shù)據(jù)，然后使用分析進(jìn)程和信息產(chǎn)生相應(yīng)的掃描結(jié)論。O.SCSENSTOE必須收集和存儲(chǔ)所有與時(shí)可能導(dǎo)致溢出、訪問、惡意破壞IT系統(tǒng)和掃描資源結(jié)果不正當(dāng)行為的事件信息。O.RESVULTOE必須已經(jīng)過系統(tǒng)地測(cè)試和檢查，并可驗(yàn)證TOE能抵抗針對(duì)明顯脆弱性所采取的攻擊。環(huán)境安全目的TOE操作環(huán)境必須滿足以下目的，這些目標(biāo)不涉及技術(shù)要求，但需通過程序或管理性的措施來(lái)滿足。O.CREDEN對(duì)TOE負(fù)責(zé)的人員必須保證所有用戶以恰當(dāng)?shù)姆绞奖Ｗo(hù)訪問憑證。O.INSTAL對(duì)TOE負(fù)責(zé)的人員必須保證以恰當(dāng)?shù)姆绞浇桓?、安裝、管理和運(yùn)行TOE。O.PERSON為確保TOE的正確運(yùn)行，應(yīng)謹(jǐn)慎選擇授權(quán)管理員并給予相關(guān)培訓(xùn)。O.PHYCAL對(duì)TOE負(fù)責(zé)的人員必須保證那些對(duì)安全策略起關(guān)鍵作用的TOE部分免受任何物理攻擊。5IT安全要求5.1TOE安全功能要求本ST的安全功能要求由下列組件構(gòu)成，見表1。表1TOE功能組件安全要求功能組件FAU類：安全審計(jì)FAU_ARP.l安全告警FAU_GEN.l審計(jì)數(shù)據(jù)產(chǎn)生（1）FAU_GEN.1審計(jì)數(shù)據(jù)產(chǎn)生（2）FAU_SAA.1潛在侵害分析FAU_SAR.1審計(jì)查閱（1）FAU_SAR.1審計(jì)查閱（2）FAU_SAR.2限制審計(jì)查閱（1）FAU_SAR.2限制審計(jì)查閱（2）FAU_SAR.3可選審計(jì)查閱FAU_STG2審計(jì)數(shù)據(jù)可用性保證（1）FAU_STG2審計(jì)數(shù)據(jù)可用性保證（2）FAU_STG4防止審計(jì)數(shù)據(jù)丟失（1）FAU_STG4防止審計(jì)數(shù)據(jù)丟失（2）FIA類：標(biāo)識(shí)和鑒別FIA_AFL.1鑒別失敗處理FIA_ATD.1用戶屬性定義FIA_UAU.2任何動(dòng)作前的用戶鑒別FIA_UID.2任何動(dòng)作前的用戶標(biāo)識(shí)FMT類：安全管理FMT_M0F.1安全功能行為的管理FMT_MTD.1TSF數(shù)據(jù)的管理

FMT_SMR.1安全角色FMT_SMF.1管理功能規(guī)范FPT類：TSF保護(hù)FPT_RVM.1TSP的不可旁路性FPT_STM.1可靠的時(shí)間戳FTA類：TOE訪問FTA_SSL.3TSP原發(fā)會(huì)話終止FTP類：可信路徑/信道FTP_TRP.1可信路徑5.1?1安全審計(jì)（FAU）FAU_ARP.1安全告警FAU_ARP.1.1當(dāng)檢測(cè)到潛在的安全侵害時(shí),TSP應(yīng)［記錄檢測(cè)到的安全漏洞,并將達(dá)到某種危害程度的安全漏洞的信息以電子郵件的形式發(fā)送給指定管理員］。FAU_GEN.1審計(jì)數(shù)據(jù)產(chǎn)生（1）FAU_GEN.1.1TSF應(yīng)能為下述可審計(jì)事件產(chǎn)生審計(jì)記錄：a） 審計(jì)功能的啟動(dòng)和關(guān)閉；b） 符合基本級(jí)審計(jì)的所有可審計(jì)事件；c） 對(duì)TOE及TOE數(shù)據(jù)的訪問。符合基本級(jí)審計(jì)的可審計(jì)事件見表2。表2可審計(jì)事件組件事件細(xì)節(jié)FAU_SAR.1審計(jì)查閱（1）從審計(jì)記錄中讀取信息FAU_SAR.1限制審計(jì)查閱（1）從審計(jì)記錄中讀取信息的未成功嘗試FAU_STG4防止審計(jì)數(shù)據(jù)丟失（1）因?qū)徲?jì)存儲(chǔ)失效而米取的動(dòng)作

FIA_UAU.2任何動(dòng)作前的用戶鑒別鑒別機(jī)制的所有使用FIA_UID.2任何動(dòng)作前的用戶標(biāo)識(shí)用戶標(biāo)識(shí)機(jī)制的所有使用用戶身份FMT_M0F.1安全功能行為的管理TSF中功能行為的所有改動(dòng)FMT_MTD.1TSF數(shù)據(jù)的管理TSF數(shù)據(jù)值的所有改動(dòng)FMT_SMR.1安全角色對(duì)角色中用戶組的修改FMT_SMF.1管理功能規(guī)范管理功能的使用FPT_STM.1可靠的時(shí)間戳?xí)r間的改動(dòng)FTA_SSL.3TSF原發(fā)會(huì)話終止利用會(huì)話鎖定機(jī)制對(duì)交互式會(huì)話的終止FTP_TRP.1可信路徑可信路徑功能的所有使用嘗試如果有的話，與所有可信路徑調(diào)用相關(guān)的用戶標(biāo)識(shí)FAU_GEN.1.2TSF在每個(gè)審計(jì)記錄中應(yīng)記錄如下信息：a）TOE自身操作事件的日期和時(shí)間、事件類型、主體身份和事件結(jié)果（成功或失敗）；b）根據(jù)PP/ST中功能組件的可審計(jì)事件定義，每個(gè)審計(jì)事件類型在表2細(xì)節(jié)一欄中指定的附加信息。FAU_GEN.1審計(jì)數(shù)據(jù)產(chǎn)生（2）FAU_GEN.1.1掃描器應(yīng)能從目標(biāo)IT系統(tǒng)資源中收集以下靜態(tài)配置信息：a） 訪問控制配置、服務(wù)配置、鑒別配置、可審查策略配置、可檢測(cè)的已知脆弱性；b） ［常見的蠕蟲、木馬等惡意軟件的靜態(tài)配置信息］。FAU_GEN.1.2掃描器的掃描記錄至少應(yīng)包含如下信息：a） 網(wǎng)絡(luò)掃描事件的日期和時(shí)間、事件類型、掃描結(jié)果（成功或失敗）；b） ｛掃描目標(biāo)統(tǒng)計(jì)、存活目標(biāo)統(tǒng)計(jì)、開放端口統(tǒng)計(jì)等｝。FAU_SAA.1潛在侵害分析FAU_SAA.1.1TSF應(yīng)能使用一組規(guī)則去監(jiān)測(cè)審計(jì)事件，并根據(jù)這些規(guī)則指示出一個(gè)對(duì)TSP的潛在規(guī)范。FAU_SAA.1.2TSF應(yīng)執(zhí)行下列規(guī)則監(jiān)測(cè)審計(jì)事件：a） 已知的用來(lái)指示潛在安全侵害的［脆弱性特征，包括操作系統(tǒng)的脆弱性特征、常見服務(wù)的脆弱性特征、通用數(shù)據(jù)庫(kù)系統(tǒng)的脆弱性特征等］的積累或組合；b） ［常見木馬/蠕蟲脆弱性特征、DOS/DDOS攻擊脆弱性特征］。FAU_SAR.1審計(jì)查閱（1）FAU_SAR.1.1TSF應(yīng)為［審計(jì)管理員、審計(jì)員］提供從審計(jì)記錄中讀?。蹖徲?jì)信息］的能力。FAU_SAR.1.2TSF應(yīng)以便于用戶理解的方式提供審計(jì)記錄。FAU_SAR.1審計(jì)查閱（2）FAU_SAR.1.1掃描器應(yīng)向［掃描管理員、操作員和報(bào)表查看員］提供從掃描器數(shù)據(jù)讀取［漏洞掃描結(jié)果］的能力。FAU_SAR.1.2掃描器應(yīng)以適用于用戶理解的方式向用戶提供掃描器數(shù)據(jù)。FAU_SAR.2限制審計(jì)查閱（1）FAU_SAR.2.1除具有明確讀訪問權(quán)限的用戶外，TSF應(yīng)禁止所有其它用戶對(duì)審計(jì)記錄的讀訪問。FAU_SAR.2限制審計(jì)查閱（2）FAU_SAR.2除被明確授予讀訪問權(quán)限的用戶外，掃描器應(yīng)禁止其它用戶對(duì)掃描器數(shù)據(jù)的讀訪問。FAU_SAR.3可選審計(jì)查閱FAU_SAR.3.1TSF應(yīng)能根據(jù)［日期和時(shí)間、主體身份、事件類型、相關(guān)事件、操作的成功或失?。輥?lái)對(duì)審計(jì)數(shù)據(jù)進(jìn)行搜索；TSF應(yīng)能根據(jù)日期和時(shí)間來(lái)對(duì)審計(jì)數(shù)據(jù)進(jìn)行排序。FAU_STG.2審計(jì)數(shù)據(jù)可用性保證（1）FAU_STG.2.1TSF應(yīng)保護(hù)所存儲(chǔ)的審計(jì)記錄，以避免未授權(quán)的刪除。FAU_STG2.2TSF應(yīng)能防止對(duì)審計(jì)記錄所進(jìn)行的修改。FAU_STG2.3當(dāng)下述情況發(fā)生時(shí)：審計(jì)存儲(chǔ)耗盡、失敗、受攻擊,TSF應(yīng)確保審計(jì)記錄［授權(quán)管理員設(shè)定的需要要保存的最少數(shù)量的審計(jì)記錄］不被破壞。1FAU_STG.2審計(jì)數(shù)據(jù)可用性保證（2）FAU_STG.2.1掃描器應(yīng)保護(hù)存儲(chǔ)的掃描器數(shù)據(jù)免受非授權(quán)刪除。FAU_STG.2.2掃描器應(yīng)保護(hù)存儲(chǔ)的掃描器數(shù)據(jù)免受修改。FAU_STG2.3當(dāng)下述情況發(fā)生時(shí)：掃描器數(shù)據(jù)存儲(chǔ)資源耗盡、失敗或受到攻擊,掃描器應(yīng)確保［授權(quán)管理員設(shè)定的需要要保存的最少數(shù)量的掃描器數(shù)據(jù)］不被破壞。FAU_STG.4防止審計(jì)數(shù)據(jù)丟失（1）FAU_STG4.1如果審計(jì)跡已滿,TSF應(yīng)覆蓋所存儲(chǔ)的最早的審計(jì)記錄,并［向?qū)徲?jì)管理員發(fā)送告警郵件］。FAU_STG.4防止審計(jì)數(shù)據(jù)丟失（2）FAU_STG4.1如果存儲(chǔ)空間已滿，掃描器應(yīng)覆蓋所存儲(chǔ)的最早的掃描器數(shù)據(jù)，并［向掃描管理員發(fā)送告警郵件］。5.1.2標(biāo)識(shí)和鑒別（FIA）FIA_AFL.1鑒別失敗處理FIA_AFL.1.1當(dāng)與［用戶登錄］相關(guān)的不成功鑒別嘗試次數(shù)，達(dá)到⑶次時(shí),TSF應(yīng)能加以檢測(cè)。FIA_AFL.1.2當(dāng)達(dá)到或超過規(guī)定的不成功鑒別嘗試的次數(shù)時(shí)，TSF應(yīng)［鎖定該用戶帳戶，直到超級(jí)管理員解鎖該用戶帳戶］。FIA_ATD.1用戶屬性定義FIA_ATD.1.1TSF應(yīng)維護(hù)以下屬于個(gè)體用戶的安全屬性列表：a） 用戶身份；b） 鑒別數(shù)據(jù)；c） 授權(quán)；d） ｛用戶登錄時(shí)允許其使用的IP地址｝。FIA_UAU.2任何動(dòng)作前的用戶鑒別FIA_UAU.2.1在允許執(zhí)行代表該用戶的任何其他TSF介導(dǎo)動(dòng)作前，TSF應(yīng)要求每個(gè)用戶都已被成功鑒別。FA_UID?2任何動(dòng)作前的用戶標(biāo)識(shí)FIA_UID.2.1在允許執(zhí)行代表該用戶的任何其他TSF介導(dǎo)動(dòng)作之前，TSF應(yīng)要求每個(gè)用戶識(shí)別他自己。5.1.3安全管理（FMT）FMT_MOF.1安全功能行為的管理FMT_MOF.1.1TSF應(yīng)僅限于授權(quán)的掃描管理員具備“確定和修改”掃描器的數(shù)據(jù)收集和漏洞分析功能的能力。TSF應(yīng)僅限于授權(quán)的掃描管理員具備“確定和修改”安全告警行為的能力。FMT_MTD?1TSF數(shù)據(jù)的管理FMT_MTD.1.1TSF應(yīng)僅限于［授權(quán)的超級(jí)管理員］具備［增加、刪除、修改用戶］的能力；TSF應(yīng)僅限于［授權(quán)的超級(jí)管理員］具備［修改安全角色］的能力；TSF應(yīng)僅限于［授權(quán)的超級(jí)管理員］具備［設(shè)置系統(tǒng)時(shí)間］的能力；TSF應(yīng)僅限于［授權(quán)的超級(jí)管理員］具備［設(shè)置允許不成功的鑒別次數(shù)］的能力；TSF應(yīng)僅限于［授權(quán)的審計(jì)管理員］具備［查詢及刪除審計(jì)日志］的能力；TSF應(yīng)僅限于［授權(quán)的審計(jì)員］具備［查詢審計(jì)日志］的能力；TSF應(yīng)僅限于［授權(quán)的掃描管理員］具備［查詢及刪除掃描結(jié)果］的能力；TSF應(yīng)僅限于［授權(quán)的操作員］具備［查詢自己執(zhí)行的掃描任務(wù)的掃描結(jié)果］的能力；TSF應(yīng)僅限于［授權(quán)的報(bào)表查看員］具備［査詢掃描結(jié)果］的能力。5?1?3?3FMT_SMR?1安全角色FMT_SMR.1.1TSF應(yīng)維護(hù)下列角色：超級(jí)管理員、及［審計(jì)管理員、掃描管理員、審計(jì)員、操作員和報(bào)表查看員］。FMT_SMR.1.2TSF應(yīng)能夠把用戶和超級(jí)管理員、審計(jì)管理員、掃描管理員、審計(jì)員、操作員及報(bào)表查看員角色關(guān)聯(lián)起來(lái)。5?1?3?4FMT_SMF?1管理功能規(guī)范FMT_SMF.1.1TSF應(yīng)能夠執(zhí)行如下安全管理功能：（1） FAU_ARP.1管理：對(duì)安全告警行為的修改（2） FAU_SAA.1管理：通過添加、修改規(guī)則集中的規(guī)則來(lái)維護(hù)規(guī)則庫(kù)（3） FAU_SAR.1管理（1）：維護(hù)對(duì)審計(jì)記錄有讀權(quán)限的用戶組（4） FAU_SAR.1管理（2）：維護(hù)對(duì)報(bào)表有讀權(quán)限的用戶組（5） FAU_STG.2管理（1）：維護(hù)審計(jì)數(shù)據(jù)存儲(chǔ)的最小要求量（6） FAU_STG.2管理（2）：維護(hù)報(bào)表數(shù)據(jù)存儲(chǔ)的最小要求量（7） FAU_STG4管理（1）：審計(jì)存儲(chǔ)失敗時(shí)，TSF采取相應(yīng)的行為的修改（8） FAU_STG4管理（2）：報(bào)表存儲(chǔ)失敗時(shí)，TSF采取相應(yīng)的行為的修改（9） FIA_AFL.1管理：a）可設(shè)置允許嘗試鑒別次數(shù)b）維護(hù)鑒別失敗時(shí)采取的行動(dòng)（10） FIA_ATD.1管理：用戶管理員可為用戶添加附加的安全屬性，如限制登錄IP（11）FIA_UAU.2管理：用戶管理員可以修改用戶密碼；用戶可以修改自己的密碼（12）FIA_UID.2管理：用戶管理員可以修改用戶的身份信息（13）FMT_MOF.1管理：管理可以與TSF中的功能相互作用的角色組（14）FMT_MTD.1管理：管理可以與TSF數(shù)據(jù)相互作用的角色組（15）FMT_SMR.1管理：管理構(gòu)成角色的一部分的用戶組（16）FPT_STM.1管理：可以設(shè)置系統(tǒng)時(shí)間（17）FTA_SSL.l管理：a）對(duì)用戶不活動(dòng)時(shí)間的規(guī)定b）對(duì)默認(rèn)用戶不活動(dòng)時(shí)間的規(guī)定TSF保護(hù)（FPT）FPT_RVM.1TSP的不可旁路性FPT_RVM.1.1TSF應(yīng)確保在TSC內(nèi)允許繼續(xù)執(zhí)行每一項(xiàng)功能前，TSP的執(zhí)行功能都被成功激活。FPT_STM.1可靠的時(shí)間戳FPT_STM.1.1TSF應(yīng)能為自身的應(yīng)用提供可靠的時(shí)間戳。TOE訪問（FTA）FTA_SSL?3TSF原發(fā)會(huì)話終止FTA_SSL.3.1TSF應(yīng)在達(dá)到［超級(jí)管理員設(shè)定的用戶不活動(dòng)的時(shí)間］之后終止一個(gè)交互式會(huì)話。5.1.6可信路徑信道（FTP）FTP_TRP.1可信路徑FTP_TRP.1.1TSF應(yīng)在他自己和遠(yuǎn)程和本地用戶之間提供一個(gè)通信路徑,此路徑在邏輯上與其他通信路徑截然不同，其末端點(diǎn)具有保證的標(biāo)識(shí)，并能保護(hù)通信數(shù)據(jù)免遭修改或泄露。FTP_TRP.1.2TSF應(yīng)允許本地用戶和遠(yuǎn)程用戶經(jīng)由可信路徑發(fā)起通信。FTP_TRP.1.3TSF應(yīng)要求對(duì)啟動(dòng)用戶鑒別、［用戶管理、審計(jì)和掃描管理等交互］均使用可信路徑。TOE安全保證要求本ST的安全功能保證要求由下列組件構(gòu)成，見表3。

表3：保證組件（EAL3級(jí)）保證類保證組件ACM類：配置管理ACM_CAP.3授權(quán)控制ACM_SCP.1TOECM覆蓋ADO類：交付和運(yùn)行ADO_DEL.1交付程序ADO_IGS.1安裝、生成和啟動(dòng)程序ADV類：開發(fā)ADV_FSP.1非形式化功能規(guī)范ADV_HLD.2安全加強(qiáng)的高層設(shè)計(jì)ADV_RCR.1非形式化對(duì)應(yīng)性證實(shí)AGD類：指導(dǎo)性文檔AGD_ADM.1管理員指南AGD_USR.1用戶指南ALC類：生命周期支持ALC_DVS.1安全措施標(biāo)識(shí)ATE類：測(cè)試ATE_COV2測(cè)試范圍分析ATE_DPT.1測(cè)試深度分析ATE_FUN.1功能測(cè)試ATE_IND.2獨(dú)立測(cè)試 抽樣AVA類：脆弱性評(píng)定AVA_MSU.1指南審查AVA_SOF.1TOE安全功能強(qiáng)度評(píng)估AVA_VLA.1開發(fā)者脆弱性分析IT環(huán)境的安全要求本TOE為漏洞掃描產(chǎn)品，在多方面需要底層操作系統(tǒng)以及數(shù)據(jù)庫(kù)管理系統(tǒng)等系統(tǒng)級(jí)應(yīng)用的支持。TOE需要滿足但又不由TOE自身提供的安全要求主要包括：5.3.1對(duì)操作系統(tǒng)的安全要求操作系統(tǒng)要提供對(duì)審計(jì)數(shù)據(jù)的永久儲(chǔ)存的支持。操作系統(tǒng)要確保能夠從硬件獲取精確的系統(tǒng)時(shí)間。操作系統(tǒng)要保證網(wǎng)絡(luò)接口是可用的。操作系統(tǒng)的管理員不應(yīng)是粗心大意、不負(fù)責(zé)任或者是懷有敵意的，并應(yīng)遵循TOE文檔的規(guī)定。對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全要求數(shù)據(jù)庫(kù)管理系統(tǒng)要提供對(duì)審計(jì)數(shù)據(jù)的永久儲(chǔ)存的支持。數(shù)據(jù)庫(kù)管理系統(tǒng)要確保寫入的和讀出的數(shù)據(jù)的一致性。數(shù)據(jù)庫(kù)管理系統(tǒng)管理員不應(yīng)是粗心大意、不負(fù)責(zé)任或者是懷有敵意的，并應(yīng)遵循TOE文檔的規(guī)定。安全功能強(qiáng)度聲明本TOE應(yīng)具備中等安全功能強(qiáng)度。6.TOE概要規(guī)范TOE的安全功能本TOE的安全功能包括：掃描引擎E.Collect信息收集功能：從目標(biāo)IT系統(tǒng)資源中收集各類靜態(tài)信息，包括訪問控制配置、服務(wù)配置、鑒別配置、可審查策略配置、可檢測(cè)的已知脆弱性。E.Analyse漏洞分析功能：使用漏洞庫(kù)中的漏洞特征，與各類靜態(tài)配置信息進(jìn)行比對(duì)分析，以確定是否存在潛在安全漏洞。E.Alarm安全告警功能：記錄檢測(cè)到的安全漏洞，并根據(jù)管理員的設(shè)置以郵件的形式實(shí)施告警。6.1.2掃描管理SM.TaskManage掃描任務(wù)管理功能：管理掃描任務(wù)，包括對(duì)掃描對(duì)象、掃描漏洞類型和掃描方式的設(shè)置、掃描引擎的啟動(dòng)等。SM.MaintainDB漏洞庫(kù)維護(hù)功能：通過升級(jí)包的形式，對(duì)漏洞庫(kù)中的規(guī)則進(jìn)行添加、修改等維護(hù)。6.1.3報(bào)表管理RM.View查看報(bào)表功能：TSF為授權(quán)用戶提供查看掃描任務(wù)報(bào)表的能力。RM.Maintain報(bào)表維護(hù)功能：TSF為嚴(yán)格控制的授權(quán)用戶提供刪除報(bào)表的能力，并確保任何用戶都不能修改報(bào)表的內(nèi)容。RM.ConfigSpace配置報(bào)表存儲(chǔ)空間功能：TSF為嚴(yán)格控制的授權(quán)用戶提供設(shè)置報(bào)表數(shù)據(jù)最少存儲(chǔ)數(shù)量的能力。6.1.4用戶管理UM.ManageRole角色管理功能：TSF維護(hù)若干對(duì)系統(tǒng)具有不同操作權(quán)限的用戶組角色，通過給所有用戶分配不同的用戶組來(lái)控制不同用戶跟TSF交互式的恰當(dāng)權(quán)限。UM.Authentication用戶認(rèn)證功能：任何用戶在執(zhí)行賦予其權(quán)限的安全功能之前，都要經(jīng)過TSF的安全鑒別。UM.Authentication具備中等安全功能強(qiáng)度。UM.AddUser增加用戶功能：嚴(yán)格控制的授權(quán)用戶可以增加新的用戶，并為其分配角色。UM.ModifyPwd修改密碼功能：嚴(yán)格控制的授權(quán)用戶可以修改所有用戶的密碼。所有用戶都能修改自己的密碼。UM.ModifyInfo修改用戶信息功能：嚴(yán)格控制的授權(quán)用戶可以修改所有用戶的用戶信息。6.1.5審計(jì)AM.Record記錄審計(jì)信息功能：在可審計(jì)事件發(fā)生時(shí)，產(chǎn)生并記錄包含事件內(nèi)容與附加細(xì)節(jié)、發(fā)生時(shí)間、主體身份等信息在內(nèi)的審計(jì)記錄。AM.View查看審計(jì)信息功能：TSF為授權(quán)用戶提供查看審計(jì)信息的能力，授權(quán)用戶可以根據(jù)日期和時(shí)間、主體身份、事件類型、相關(guān)事件、操作的成功或失敗來(lái)對(duì)審計(jì)信息進(jìn)行搜索。AM.Maintain審計(jì)信息維護(hù)功能：TSF為嚴(yán)格控制的授權(quán)用戶提供刪除審計(jì)信息的能力，并確保任何用戶都不能修改審計(jì)信息的內(nèi)容。AM.ConfigSpace配置審計(jì)信息存儲(chǔ)空間功能：TSF為嚴(yán)格控制的授權(quán)用戶提供設(shè)置審計(jì)數(shù)據(jù)最少存儲(chǔ)數(shù)量的能力。6.1.6系統(tǒng)支持SS.MaintainTime時(shí)間管理功能：提供接口，使授權(quán)用戶可以更改系統(tǒng)時(shí)間。SS.Timeout超時(shí)鎖定功能：如果在指定時(shí)間內(nèi)，授權(quán)用戶和TSF沒有任何交互，會(huì)話將被中止。SS.Encrypt管理數(shù)據(jù)非明文傳輸功能：本地用戶和遠(yuǎn)程用戶與TSF之間的所有通信數(shù)據(jù)均通過SSL加密。SS.Encrypt具備中等安全功能強(qiáng)度。

TOE的安全保證措施保證類保證組件保證措施ACM類：配置管理ACM_CAP.3授權(quán)控制《**系統(tǒng)配置管理計(jì)劃》《**系統(tǒng)配置項(xiàng)清單》ACM_SCP.1TOECM覆蓋ADO類:交付和運(yùn)行ADO_DEL.1交付程序《**系統(tǒng)父付和運(yùn)行》ADO_IGS.1安裝、生成和啟動(dòng)程序ADV類：開發(fā)ADV_FSP.1非形式化功能規(guī)范《**系統(tǒng)功能規(guī)范》ADVHLD.2安全加強(qiáng)的高層設(shè)計(jì)《**系統(tǒng)咼層設(shè)計(jì)》AGD類:指導(dǎo)性文檔AGD_ADM.1管理員指南《**系統(tǒng)指導(dǎo)性文檔》AGD_USR.1用戶指南ALC類：生命周期支持ALC_DVS.1安全措施標(biāo)識(shí)《**系統(tǒng)開發(fā)安全》ATE類：測(cè)試ATE_COV2測(cè)試范圍分析《**系統(tǒng)測(cè)試文檔》ATE_DPT.1測(cè)試深度分析ATE_FUN.1功能測(cè)試AVA類：脆弱性評(píng)定AVA_MSU.1指南審查《**系統(tǒng)脆弱性分析》AVA_SOF.1TOE安全功能強(qiáng)度評(píng)估AVA_VLA.1開發(fā)者脆弱性分析《**系統(tǒng)配置管理計(jì)劃》主要說(shuō)明如何用使用CM系統(tǒng)對(duì)文檔和代碼進(jìn)行有效地管理，指導(dǎo)配置管理人員、研發(fā)人員和版本構(gòu)建人員正確地進(jìn)行代碼的提交更新和版本構(gòu)建，從而保障代碼和文檔的完整性和可追蹤性?！?*系統(tǒng)配置項(xiàng)清單》描述了組成TOE的所有配置項(xiàng)的清單并確保配置項(xiàng)被唯一標(biāo)識(shí)?！?*系統(tǒng)交付和運(yùn)行》描述了為保證TOE安全地提交給用戶所需的所有交付程序。《**系統(tǒng)功能規(guī)范》較為詳盡地描述了TOE安全功能和TSF外部的用戶可見接口，包括外部接口的異常、出錯(cuò)信息和TOE的處理方式?！?*系統(tǒng)高層設(shè)計(jì)》以子系統(tǒng)的方式提供了對(duì)TSF的描述和對(duì)這些結(jié)構(gòu)單元接口的描述，并以表格的形式描述了各個(gè)子系統(tǒng)與安全功能的對(duì)應(yīng)關(guān)系?！?*系統(tǒng)指導(dǎo)性文檔》就管理員和用戶如何以安全方式管理TOE進(jìn)行詳細(xì)而全面地說(shuō)明《**系統(tǒng)開發(fā)安全》描述了為保護(hù)TOE設(shè)計(jì)和實(shí)現(xiàn)過程的機(jī)密性與完整性而采取的的物理、過程、人員等方面安全措施?！?*系統(tǒng)測(cè)試文檔》主要描述了各項(xiàng)功能的測(cè)試，包括測(cè)試計(jì)劃、測(cè)試方法、測(cè)試環(huán)境、測(cè)試工具、命令、測(cè)試步驟、預(yù)期測(cè)試結(jié)果和實(shí)際測(cè)試結(jié)果等；同時(shí)，闡述了測(cè)試與功能規(guī)范、測(cè)試與高層設(shè)計(jì)的一致性?！?*系統(tǒng)脆弱性分析》用于確定TOE在特定環(huán)境下的漏洞或脆弱性的存在的可能性和可利用性。7.基本原理7.1安全目的基本原理本TOE的安全目的和安全環(huán)境之間的雙向映射關(guān)系如下表所示：OPROTCTOSCANLZOEADMINOACCESSOIDAUTHOOFLOWSOAUDITSOINSTALOPHYCALOCREDENOPERSONOINTROPONCRYPOINTEGROSCSENSORESVULORESPONA.ACCESSXA.PROTCTXA.LOCATEXA.MANAGEXA.NOEVILXXXA.NOTRSTXXA.INTCONXT.COMINTXXXXT.COMDISXXXT.LOSSOFXXXXT.NOHALTXXXXXT.PRIVILXXXT.IMPCONXXXXT.INFLUXXT.COMEXPXXT.PROCOMXP.SCANXXP.MANAGEXXXXXXXP.ACCESSXXXP.ACCACTXP.INTGTYXP.PROTCTXXP.ANALYZXXP.CRYPTOXA.ACCESSTOE有權(quán)訪問其功能所需的所有IT系統(tǒng)數(shù)據(jù)。O.INTROP保證了TOE可訪問到其必須的數(shù)據(jù)。A.PROTCT對(duì)安全策略執(zhí)行起關(guān)鍵作用的TOE硬件和軟件應(yīng)受保護(hù)以免受非授權(quán)的物理更改。O.PHYCAL可以為TOE硬件和軟件提供必要的物理保護(hù)。A.LOCATETOE的處理資源應(yīng)位于受控的訪問設(shè)備之內(nèi)，以防止非授權(quán)的物理訪問。O.PHYCAL提供這種物理保護(hù)。A.MANAGE應(yīng)指定一個(gè)或多個(gè)能勝任的人來(lái)管理TOE及其所含信息的安全。O.PERSON可以保證所有授權(quán)管理員具有資格和經(jīng)過培訓(xùn)。A.NOEVIL授權(quán)管理員不應(yīng)是粗心大意、不負(fù)責(zé)任或者是懷有敵意的，并應(yīng)遵循TOE文檔的規(guī)定。O.INSTAL可以保證TOE得到正確安裝和操作。O.PHYCAL使得授權(quán)管理員保證TOE的物理安全。O.CREDEN通過要求保護(hù)所有鑒別數(shù)據(jù)來(lái)支持此假設(shè)。A.NOTRSTTOE系統(tǒng)只能被授權(quán)用戶訪問。O.PHYCAL提供物理的保護(hù)以防止TOE收到非授權(quán)訪問，O.CREDEN通過要求保護(hù)所有授權(quán)數(shù)據(jù)來(lái)支持此假設(shè)。T.COMINT非授權(quán)用戶可能企圖通過旁路安全機(jī)制而破環(huán)由TOE收集的數(shù)據(jù)的完整性。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機(jī)制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.INTEGR保證TOE數(shù)據(jù)不被修改。O.PROTCT通過提供TOE自我保護(hù)功能來(lái)確定這種威脅。T.COMDIS非授權(quán)用戶可能企圖通過旁路安全機(jī)制而泄露由TOE收集的數(shù)據(jù)。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機(jī)制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.EXPORT可以保證TOE數(shù)據(jù)的機(jī)密性。O.PROTCT通過提供TOE自我保護(hù)功能來(lái)確定這種威脅。T.LOSSOF非授權(quán)用戶可能企圖刪除或者破壞由TOE收集和生成的數(shù)據(jù)。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機(jī)制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.INTEGR保證TOE數(shù)據(jù)不被修改。O.PROTCT通過提供TOE自我保護(hù)功能來(lái)確定這種威脅。T.NOHALT非授權(quán)用戶可能企圖通過停止TOE的執(zhí)行來(lái)危及TOE的收集功能的連續(xù)性。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機(jī)制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.SCAN通過要求TOE收集所有數(shù)據(jù)（包括終止TOE的企圖）來(lái)確定這一威脅。T.PRIVIL 非授權(quán)用戶可能訪問任何TOE并利用系統(tǒng)特權(quán)而訪問TOE安全功能和數(shù)據(jù)。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機(jī)制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.PROTCT通過提供TOE自我保護(hù)功能來(lái)確定這種威脅。T.IMPCON非授權(quán)用戶可能會(huì)不適當(dāng)?shù)馗淖僒OE的配置，從而造成無(wú)法檢測(cè)到的潛在入侵。O.INSTAL規(guī)定授權(quán)管理員必須正確配置TOE。O.EADMIN保證TOE具有管理產(chǎn)品所必須的所有管理員功能。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機(jī)制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。T.INFLUX非授權(quán)用戶可能由于創(chuàng)建一個(gè)TOE不能處理的數(shù)據(jù)集合而導(dǎo)致故障的發(fā)生，O.OFLOWS通過要求TOE處理數(shù)據(jù)存儲(chǔ)溢出來(lái)對(duì)抗這種威脅。T.COMEXP具有基本攻擊前的攻擊熟練者，可能通過嘗試旁路TSF來(lái)獲得對(duì)TOE或TOE所保護(hù)的資產(chǎn)的訪問。O.ENCRYP可以確保TOE與授權(quán)管理員通過遠(yuǎn)程方式交互時(shí)數(shù)據(jù)的機(jī)密性。O.RESVUL確保TOE能夠抵抗具有基本攻擊潛能的攻擊者實(shí)施的穿透性攻擊。T.PROCOM未授權(quán)的人或未授權(quán)的外部IT實(shí)體可能查看、修改和/或刪除遠(yuǎn)程授權(quán)管理員和TOE間傳送與安全相關(guān)的信息。O.ENCRYP可以確保TOE與授權(quán)管理員通過遠(yuǎn)程方式交互時(shí)數(shù)據(jù)的機(jī)密性。P.SCAN必須收集可能指示IT系統(tǒng)的未來(lái)潛在入侵或過去入侵事件的靜態(tài)配置信息。O.AUDITS和O.SCAN通過要求收集審計(jì)數(shù)據(jù)和掃描器數(shù)據(jù)來(lái)滿足這一策略。P.MANAGETOE應(yīng)僅由授權(quán)用戶管理。O.PERSON確保有能力的管理員管理TOE，且O.EADMIN保證有一套安全功能供管理員使用。O.INSTAL通過確保管理遵循所提供的文檔并維護(hù)系統(tǒng)安全策略來(lái)支持O.PERSON。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機(jī)制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.PROTCT通過提供TOE自我保護(hù)功能來(lái)確定這種威脅。P.ACCESSTOE收集或生成的所有數(shù)據(jù)都只能用于授權(quán)目的。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機(jī)制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.PROTCT通過提供TOE自我保護(hù)功能來(lái)確定這種威脅。P.ACCACTTOE用戶應(yīng)對(duì)其在TOE中的行為負(fù)責(zé)。O.AUDITS通過要求對(duì)所有的數(shù)據(jù)訪問和TOE功能的使用進(jìn)行審計(jì)來(lái)滿足這一策略。O.IDAUTH通過確保每個(gè)用戶可以被唯一標(biāo)識(shí)和鑒別而支持本目的。P.INTGTY應(yīng)保護(hù)TOE收集或生成的數(shù)據(jù)免受修改。O.INTERGR確保數(shù)據(jù)不被修改。P.PROTCTTOE應(yīng)受保護(hù)以避免非授權(quán)訪問及TOE收集功能的中斷。O.OFLOWS要求TOE處理中斷行為以滿足這一策略。O.PHYCAL保護(hù)TOE免受非授權(quán)物理修改。P.ANALYZ源自任何時(shí)間的掃描結(jié)論的分析程序和信息都必須作為掃描數(shù)據(jù)進(jìn)行記錄，并采取相應(yīng)的響應(yīng)措施。O.SCANLZ確保TOE必須獲取源自掃描器或外部IT實(shí)體的數(shù)據(jù)，然后使用分析進(jìn)程和信息產(chǎn)生相應(yīng)的掃描結(jié)論。P.CRYPTO為了保護(hù)遠(yuǎn)程管理功能，ST作者應(yīng)當(dāng)制定加密算法的依據(jù)標(biāo)準(zhǔn)（例如，使用3DES加密算法和相應(yīng)的密碼長(zhǎng)度）。相關(guān)的加密模塊應(yīng)當(dāng)最低限度地遵循ST作者規(guī)定或指定的相關(guān)標(biāo)準(zhǔn)。O.ENCRYP確保如果TOE允許所連接網(wǎng)絡(luò)產(chǎn)生遠(yuǎn)程管理，那么它必須通過加密手段保護(hù)TOE與授權(quán)管理員對(duì)話的機(jī)密性。安全要求基本原理本TOE的安全要求和安全目的間雙向映射關(guān)系如下圖所示：

OPROTCTOSCSENSOEADMINOACCESSOIDAUTHOOFLOWSOAUDITSOINTEGROENCRYPORESPONOSCANLZORESVULFAUGEN.1（1）XFAUGEN.1（2）XFAUSAR.1（1）XFAUSAR.1（2）XFAUSAR.2（1）XXFAUSAR.2（2）XXFAUSAR.3XFAUSTG2（1）XXXXXFAUSTG2（2）XXXXXFAUSTG4（1）XXFAUSTG4（2）XXFAUARP.1XXFAUSAA.1XXFIAUAU.2XXFIAAFL.1XXXFIAATD.1XFIAUID.2XXFMTM0F.1XXXFMTMTD.1XXXXFMTSMR.1XFMTSMF.1XFPTRVM.1XXXXXXFPTSTM.1XFTASSL.3XXFTPTRP.1XO.PROTCTTOE必須保護(hù)其自身的功能及數(shù)據(jù)免受非授權(quán)修改和訪問。TOE必須保護(hù)審計(jì)數(shù)據(jù)不被刪除，并且在發(fā)生存儲(chǔ)空間耗盡、系統(tǒng)錯(cuò)誤或遭受攻擊時(shí)，仍能獲取審計(jì)數(shù)據(jù)［FAU_STG2審計(jì)數(shù)據(jù)可用性保證（1）］。TOE必須能夠保護(hù)其從IT系統(tǒng)中收集的掃描數(shù)據(jù)不被修改和未經(jīng)授權(quán)地刪除，并確保在發(fā)生存儲(chǔ)空間耗盡、系統(tǒng)錯(cuò)誤或遭受攻擊時(shí)，仍能獲取這些數(shù)據(jù)［FAU_STG2審計(jì)數(shù)據(jù)可用性保證（2）］。TOE必須限定僅有TOE授權(quán)用戶才能管理TOE功

O.SCSENSO.EADMINO.ACCESSO.IDAUTH能行為［FMT_MOF.l安全功能行為的管理］。只有TOE授權(quán)管理員才能夠查詢、添加TOE數(shù)據(jù)與審計(jì)數(shù)據(jù)［FMT_MTD.1TSF數(shù)據(jù)的管理］。TOE必須確保所有功能在執(zhí)行前被成功調(diào)用［FPT_RVM.lTSF的不可旁路性］。O.SCSENSO.EADMINO.ACCESSO.IDAUTHTOE必須收集和存儲(chǔ)所有與時(shí)可能導(dǎo)致濫用、訪問、惡意破壞IT系統(tǒng)和掃描資源結(jié)果不正當(dāng)行為的時(shí)間信息。TOE必須收集和存儲(chǔ)所有與時(shí)可能導(dǎo)致濫用、訪問、惡意破壞IT系統(tǒng)和掃描資源結(jié)果不正當(dāng)行為的時(shí)間信息，這些配置信息的類型應(yīng)在ST中定義［FAU_GEN.1審計(jì)數(shù)據(jù)產(chǎn)生（2）］。TOE必須包括允許有效管理其功能及數(shù)據(jù)的一套功能。TOE必須具備查閱、管理TOE審計(jì)跡的能力［FAU_SAR.1審計(jì)查閱（1）,FAU_SAR.3可選審計(jì)查閱（1）］。TOE必須允許授權(quán)管理員查閱從IT系統(tǒng)中收集的掃描數(shù)據(jù)［FAU_SAR.1審計(jì)查閱（2）、FAU_SAR.3可選審計(jì)查閱（2）］。TOE必須確保所有功能在執(zhí)行前被成功調(diào)用［FPT_RVM.1TSP的不可旁路性］。TOE必須只允許授權(quán)用戶訪問適當(dāng)?shù)腡OE功能和數(shù)據(jù)。TOE應(yīng)僅允許具有明確讀訪問權(quán)限的用戶查閱審計(jì)數(shù)據(jù)［FAU_SAR.2限制審計(jì)查閱（1）］。TOE應(yīng)僅允許具有明確讀訪問權(quán)限的用戶查閱收集到的TOE數(shù)據(jù)［FAU_SAR.2限制審計(jì)查閱（2）］。TOE必須保護(hù)審計(jì)數(shù)據(jù)不被刪除，并且在發(fā)生存儲(chǔ)空間耗盡、系統(tǒng)錯(cuò)誤或遭受攻擊時(shí)，仍能獲取審計(jì)數(shù)據(jù)［FAU_STG2審計(jì)數(shù)據(jù)可用性保證（1）］。TOE必須能夠保護(hù)其從IT系統(tǒng)中收集的掃描數(shù)據(jù)不被修改和未經(jīng)授權(quán)地刪除［FAU_STG2審計(jì)數(shù)據(jù)可用性保證（2）］。授權(quán)訪問TOE的用戶需使用標(biāo)識(shí)和鑒別程序進(jìn)行定義［FIA_UID.2任何動(dòng)作前的用戶標(biāo)識(shí)，F(xiàn)IA_UAU.2任何動(dòng)作前的用戶鑒別］。TOE必須限定僅有TOE授權(quán)用戶才能管理TOE功能行為［FMT_MOF.1安全功能行為的管理］。只有TOE授權(quán)管理員才能夠查詢、添加TOE數(shù)據(jù)與審計(jì)數(shù)據(jù)［FMT_MTD.1TSF數(shù)據(jù)的管理］。TOE必須能夠在允許訪問TOE功能和數(shù)據(jù)之前標(biāo)識(shí)和鑒別用戶。TOE應(yīng)僅允許具有明確讀訪問權(quán)限的用戶查閱審計(jì)數(shù)據(jù)［FAU_SAR.2限制審計(jì)查閱（1）］。TOE應(yīng)僅允許具有明確讀訪問權(quán)限的用戶查閱收集到的TOE數(shù)據(jù)［FAU_SAR.2限制審計(jì)查閱（2）］。TOE必須保護(hù)存儲(chǔ)的審計(jì)數(shù)據(jù)不被非授權(quán)刪除［FAU_STG2審計(jì)數(shù)據(jù)可用性保證（1）］。TOE必須能夠保護(hù)其從IT系統(tǒng)中收集的掃描數(shù)據(jù)不被修改和未經(jīng)授權(quán)地刪除，并確保在發(fā)生存儲(chǔ)空間耗盡、系統(tǒng)錯(cuò)誤或遭受攻擊時(shí)，仍能獲取這些數(shù)據(jù)［FAU_STG2審計(jì)數(shù)據(jù)可用性保證（2）］。TOE必須定義用以執(zhí)行TOE的鑒別策略主體的安全屬性［FIA_ATD.1用戶屬性定義］。授權(quán)訪問TOE的用戶需使用標(biāo)識(shí)和鑒別程序進(jìn)行定義［FIA_UID.2任何動(dòng)作前的用戶標(biāo)識(shí)，F(xiàn)IA_UAU.2任何動(dòng)作前的用戶鑒別］。TOE必須限定僅有TOE授權(quán)用戶才能管理TOE功能行為［FMT_MOF.l安全功能行為的管理］。只有TOE授權(quán)管理員才能夠查詢、添加TOE數(shù)據(jù)與審計(jì)數(shù)據(jù)［FMT_MTD.1TSF數(shù)據(jù)的管理］。TOE必須確保所有功能在執(zhí)行前被成功調(diào)用［FPT_RVM.1TSP的不可旁路性］。O?OFLOWSTOE必須適當(dāng)?shù)靥幚頋撛诘膶徲?jì)和掃描器數(shù)據(jù)存儲(chǔ)溢出。TOE必須保護(hù)審計(jì)數(shù)據(jù)不被刪除，并且在發(fā)生存儲(chǔ)空間耗盡、系統(tǒng)錯(cuò)誤或遭受攻擊時(shí)，仍能獲取審計(jì)數(shù)據(jù)［FAU_STG2審計(jì)數(shù)據(jù)可用性保證（1）］。TOE在審計(jì)跡已滿情況下必須能夠防止審計(jì)數(shù)據(jù)的丟失［FAU_STG4防止審計(jì)數(shù)據(jù)丟失（1）］。TOE必須能夠保護(hù)其從IT系統(tǒng)中收集的掃描數(shù)據(jù)不被修改和未經(jīng)授權(quán)地刪除，并確保在發(fā)生存儲(chǔ)空間耗盡、系統(tǒng)錯(cuò)誤或遭受攻擊時(shí)，仍能獲取這些數(shù)據(jù)［FAU_STG2審計(jì)數(shù)據(jù)可用性保證（2）］。TOE必須防止在TOE數(shù)據(jù)已滿時(shí)數(shù)據(jù)的丟失［FAU_STG4防止審計(jì)數(shù)據(jù)丟失（2）］。O.AUDITSTOE必須為數(shù)據(jù)訪問和TOE功能的使用而記錄審計(jì)記錄。TOE的安全相關(guān)事件必須被定義且是可審計(jì)的［FAU_GEN.1審計(jì)數(shù)據(jù)產(chǎn)生］°TOE在審計(jì)跡已滿情況下必須能夠防止審計(jì)數(shù)據(jù)的丟失［FAU_STG4防止審計(jì)數(shù)據(jù)丟失］。TOE必須確保所有功能在執(zhí)行前被成功調(diào)用［FPT_RVM.1TSP的不可旁路性］。與審計(jì)記錄相關(guān)的時(shí)間戳必須可靠［FPT_STM.1可靠的時(shí)間戳］。O.INTEGR TOE必須保證所有審計(jì)和掃描數(shù)據(jù)的完整性。TOE必須保護(hù)審計(jì)數(shù)據(jù)不被刪除，并且在發(fā)生存儲(chǔ)空間耗盡、系統(tǒng)錯(cuò)誤或遭受攻擊時(shí)，仍能獲取審計(jì)數(shù)據(jù)［FAU_STG2審計(jì)數(shù)據(jù)可用性保證（1）］。。TOE必須能夠保護(hù)其從IT系統(tǒng)中收集的掃描數(shù)據(jù)不被修改和未經(jīng)授權(quán)地刪除［FAU_STG.2審計(jì)數(shù)據(jù)可用性保證（2）］。只有TOE授權(quán)管理員才能夠查詢、添加TOE數(shù)據(jù)與審計(jì)數(shù)據(jù)［FMT_MTD.1TSF數(shù)據(jù)的管理］°TOE必須保護(hù)其收集的數(shù)據(jù)免受修改并在數(shù)據(jù)向其它IT產(chǎn)品傳送時(shí)保證其完整性［FPT」TT.1內(nèi)部TSF數(shù)據(jù)傳送的基本保護(hù)］。TOE必須確保所有保護(hù)數(shù)據(jù)的功能不被旁路［FPT_RVM.1TSP的不可旁路性］。O.ENCRYP如果TOE允許所連接網(wǎng)絡(luò)產(chǎn)生遠(yuǎn)程管理，那么它必須通過加密手段保護(hù)TOE與授權(quán)管理員對(duì)話的機(jī)密性。TSF應(yīng)在他自己和遠(yuǎn)程用戶之間提供一條通信路徑，并能保護(hù)通信數(shù)據(jù)免遭修改或泄露。對(duì)于啟動(dòng)用戶鑒別的時(shí)候，TSF應(yīng)要求使用可信路徑［FTP_TRP.1可信路徑］。O.RESPONTOE必須對(duì)分析結(jié)論做出正確響應(yīng)。當(dāng)探測(cè)到漏洞時(shí)，分析器應(yīng)向控制臺(tái)或通過其它報(bào)警方式發(fā)出報(bào)警信息，并采取適當(dāng)?shù)男袆?dòng)。［FAU_ARP.1安全告警］O?SCANALZTOE必須獲取源自掃描器或外部IT實(shí)體的數(shù)據(jù)，然后使用分析進(jìn)程和信息產(chǎn)生相應(yīng)的掃描結(jié)論。TOE應(yīng)對(duì)接收到的所有掃描數(shù)據(jù)執(zhí)行分析功能，且每個(gè)分析結(jié)論應(yīng)盡量詳細(xì)［FAU_SAA.l潛在侵害分析］O.RESVULTOE應(yīng)能抵抗針對(duì)明顯脆弱性所采取的攻擊O.RESVULTOE應(yīng)能采取一系列措施來(lái)檢測(cè)對(duì)TOE或其審計(jì)數(shù)據(jù)的潛在安全侵害并能采取相應(yīng)措施［FAU_ARP.1安全告警，F(xiàn)AU_SAA.1潛在侵害分析，F(xiàn)PT_RVM.1TSP的不可旁路性］。

TOE概要規(guī)范基本原理本TOE的安全要求和安全功能間雙向映射關(guān)系如下圖所示：ECollectEAnalyseEAlarmSMTaskManageSMMaintainDBRMViewRMMaintainRMConfigSPaceUMManageRoleUMAuthenticationUMAddUserUMMod訐ypwdUMMod訐yInfoAMRecordAMViewAMMaintainAMConfigSPaceSSMaintainTimeSSTimeoutSSEncryptFAUGEN.l(1)XFAUGEN.l(2)XXFAUSAR.1(1)XFAUSAR.1(2)XFAUSAR.2(1)XFAUSAR.2(2)XFAUSAR.3XFAUSTG2(1)XFAUSTG2(2)XFAUSTG4(1)XFAUSTG4(2)XFAUARP.1XFAUSAA.1XFIAUAU.2XFIAAFL.1XFIAATD.1XFIAUID.2XFMTM0F.1XFMTMTD.1XFMTSMR.1XFMTSMF.1XXXXXXXFPTRVM.1XXXXXXXFPTSTM.1XFTASSL.3XFTPTRP.1XFAU_GEN.1審計(jì)數(shù)據(jù)產(chǎn)生（1）AM.Record在可審計(jì)事件發(fā)生時(shí)，產(chǎn)生了包含事件內(nèi)容與附加細(xì)節(jié)、發(fā)生時(shí)間、主體身份等信息在內(nèi)的審計(jì)數(shù)據(jù)，并依照FAU_GEN.1.2要求的內(nèi)容和格式記錄。FAU_GEN.1審計(jì)數(shù)據(jù)產(chǎn)生（2）E.Collect能夠從目標(biāo)IT系統(tǒng)資源中收集各類靜態(tài)信息,從而滿足FAU_GEN.1.1的要求；E.Alarm能夠依照FAU_GEN.1.2要求的內(nèi)容和格式記錄檢測(cè)到的安全漏洞。FAU_SAR.1審計(jì)查閱（1）AM.View提供查看審計(jì)信息的能力。FAU_SAR.1審計(jì)查閱（2）RM.View為提供查看掃描任務(wù)報(bào)表的能力。FAU_SAR.2限制審計(jì)查閱（1）AM.View僅為授權(quán)用戶提供查看審計(jì)信息的能力，未授權(quán)用戶無(wú)法查閱。FAU_SAR.2限制審計(jì)查閱（2）RM.View僅為授權(quán)用戶提供查看掃描任務(wù)報(bào)表的能力。FAU_SAR.3可選審計(jì)查閱AM.View允許授權(quán)用戶根據(jù)日期和時(shí)間、主體身份、事件類型、相關(guān)事件、操作的成功或失敗來(lái)對(duì)審計(jì)信息進(jìn)行選擇性查閱。FAU_STG.2審計(jì)數(shù)據(jù)可用性保證（1）AM.Maintain為嚴(yán)格控制的授權(quán)用戶提供刪除審計(jì)信息的能力，并確保任何用戶都不能修改審計(jì)信息的內(nèi)容，從而避免任何未授權(quán)的刪除、防止對(duì)審計(jì)記錄所進(jìn)行的修改。FAU_STG.2審計(jì)數(shù)據(jù)可用性保證（2）RM.Maintain為嚴(yán)格控制的授權(quán)用戶提供刪除報(bào)表的能力，并確保任何用戶都不能修改報(bào)表的內(nèi)容，從而避免任何未授權(quán)的刪除并防止對(duì)報(bào)表進(jìn)行修改。FAU_STG.4防止審計(jì)數(shù)據(jù)丟失（1）AM.Re