安全系統(tǒng)EAL3文檔安全目標(biāo)

**系統(tǒng)安全目標(biāo)1ST引言ST標(biāo)識1?1?1ST標(biāo)識標(biāo)題：**系統(tǒng)安全目標(biāo)版本號：1.0申請的保證級別：EAL3編寫日期：2012年8月1.1.2TOE標(biāo)識標(biāo)題：**系統(tǒng)型號：版本號：3.0ST概述ST結(jié)構(gòu)及內(nèi)容概述本ST主要由6部分組成：TOE描述，簡要描述了本TOE的產(chǎn)品類型、結(jié)構(gòu)和應(yīng)用環(huán)境等；TOE安全環(huán)境，描述了對TOE使用的預(yù)期假設(shè)、TOE威脅、組織安全策略等；TOE安全目的，描述了為符合TOE安全環(huán)境，ST必須實現(xiàn)的安全目的；TOE安全要求，描述了為達到TOE安全目的，ST需滿足的安全要求；TOE概要規(guī)范，描述了為滿足TOE安全要求，需要實現(xiàn)的安全功能；基本原理，描述了從安全環(huán)境到安全目的、安全目的到安全要求、安全要求到安全功能之間的對應(yīng)關(guān)系。TOE概述**系統(tǒng)是一個硬件形式的獨立產(chǎn)品?？梢詫δ繕?biāo)IT系統(tǒng)進行各類安全漏洞的檢查。系統(tǒng)主要由掃描引擎、掃描管理模塊、用戶管理模塊、審計模塊、系統(tǒng)支持模塊和漏洞庫7個部分組成。任何需要考慮脆弱性和網(wǎng)絡(luò)攻擊的IT系統(tǒng)都應(yīng)該使用類似本TOE這樣的網(wǎng)絡(luò)漏洞掃描器。一致性聲明本ST的編寫依據(jù)是《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分：簡介和一般模型》GB/T18336.1-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第2部分：安全功能要求》GB/T18336.2-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第3部分：安全保證要求》GBT18336.3-20082TOE描述2.1產(chǎn)品類型**系統(tǒng)是一個硬件形式的獨立產(chǎn)品。任何需要考慮脆弱性和網(wǎng)絡(luò)攻擊的IT系統(tǒng)都應(yīng)該使用類似本TOE這樣的網(wǎng)絡(luò)漏洞掃描器。本TOE可以從IT系統(tǒng)中的各種資源處收集靜態(tài)配置信息，通過對這些信息的分析，可能指示出IT系統(tǒng)存在已知的潛在脆弱性隱患（漏洞）。TOE結(jié)構(gòu)本TOE主要由掃描引擎、掃描管理模塊、用戶管理模塊、審計模塊、系統(tǒng)支持模塊和漏洞庫7個部分組成。掃描引擎是TOE的核心模塊，其中，信息收集功能從一個或多個數(shù)據(jù)源處掃描并搜集各類靜態(tài)配置信息；漏洞分析功能對搜集來的信息進行分類、簡化和分析，并據(jù)此判斷目標(biāo)主機是否存在安全隱患；安全告警功能則記錄隱患信息并依照管理員的設(shè)定實施報警。掃描管理模塊設(shè)定掃描策略、掃描參數(shù)并控制掃描任務(wù)的執(zhí)行。報表管理模塊管理各類掃描信息，以易于理解的方式向授權(quán)用戶提供掃描結(jié)果的報告。審計模塊識別并記錄與安全活動相關(guān)的各類信息，這些信息讓授權(quán)審計員可以很清楚地了解發(fā)生了哪些安全活動以及哪個用戶要對這些活動負責(zé)。用戶管理模塊確定能與TOE交互的各類角色，并確保用戶與正確的、包括其角色在內(nèi)的安全屬性相關(guān)聯(lián)。用戶管理模塊也確保各用戶使用相應(yīng)的TOE安全功能前，都已被成功鑒別。系統(tǒng)支持模塊實現(xiàn)了其它模塊所需的底層功能，如可靠的時間戳、可信路徑漏洞庫中則保存著用來指示潛在安全侵害的已知脆弱性特征。2.3TOE的范圍和邊界以獨立產(chǎn)品形式提供的本TOE由硬件、操作系統(tǒng)、應(yīng)用服務(wù)和TOE掃描系統(tǒng)軟件組成。其中，硬件使用基于X86處理器芯片的工控機，包含數(shù)據(jù)存儲用硬盤以及可以根據(jù)需要擴充的多個網(wǎng)絡(luò)接口；操作系統(tǒng)使用經(jīng)過安全加固的Linux操作系統(tǒng)，內(nèi)核經(jīng)過優(yōu)化，只安裝了必需的服務(wù)并且只打開了必需的端口；使用的應(yīng)用服務(wù)主要包括：數(shù)據(jù)庫服務(wù)mysql，WEB服務(wù)器apache，上述應(yīng)用服務(wù)均經(jīng)過了安全處理。本TOE主要具備如下安全功能：收集目標(biāo)網(wǎng)絡(luò)中的主機或網(wǎng)絡(luò)設(shè)備的靜態(tài)配置信息，主要包括：訪問控制配置、服務(wù)配置、鑒別配置、可審查策略配置、可檢測的已知脆弱性等；將所收集的信息進行數(shù)據(jù)簡化和分析，以確定是否發(fā)生脆弱性；對識別的脆弱性產(chǎn)生響應(yīng)，這些響應(yīng)包括：生成報告、記錄審計日志或發(fā)送報警郵件；生成審計跡（如TOE訪問、TOE數(shù)據(jù)訪問和TOE配置改變等）；確保TOE的功能和數(shù)據(jù)僅被合法地訪問及修改。應(yīng)用環(huán)境IT系統(tǒng)負責(zé)為漏洞掃描器提供足夠的保護，使其工作在一個非敵意的環(huán)境中。3TOE安全環(huán)境3.1假設(shè)本節(jié)包含關(guān)于安全環(huán)境和TOE使用的假設(shè)。用法假設(shè)A.ACCESSTOE有權(quán)訪問執(zhí)行其功能所需的所有IT系統(tǒng)數(shù)據(jù)。A.TARGETTOE通過查找IT系統(tǒng)中存在的各種漏洞間接地保護存在可能被利用的脆弱性的資產(chǎn)。物理假設(shè)A.LOCATETOE的處理資源應(yīng)位于受控的訪問設(shè)備之內(nèi)，以防止非授權(quán)的物理訪問。A.PROTCT應(yīng)保護在執(zhí)行安全策略中起關(guān)鍵作用的TOE硬件和軟件免受非授權(quán)的物理更改。人員假設(shè)A.MANAGE應(yīng)指定一個或多個能勝任的人來管理TOE及其所含信息的安全。A.NOEVIL授權(quán)管理員不應(yīng)是粗心大意、不負責(zé)任或者是懷有敵意的，并應(yīng)遵循TOE文檔的規(guī)定。A.NOTRSTTOE只能被授權(quán)用戶訪問。連接假設(shè)A.INTCONTOE應(yīng)與其掃描的IT系統(tǒng)所屬的網(wǎng)絡(luò)進行網(wǎng)絡(luò)互聯(lián)。3.2威脅以下是TOE和TOE監(jiān)控的IT系統(tǒng)受到的威脅。TOE本身存在威脅，而且TOE必須負責(zé)確定其所處的環(huán)境的威脅。假設(shè)造成所有威脅的是具有基本攻擊潛能的熟練攻擊者。3.2.1TOE威脅T.COMDIS非授權(quán)用戶可能企圖通過旁路安全機制而泄露由TOE收集的數(shù)據(jù)。T.COMINT非授權(quán)用戶可能企圖通過旁路安全機制而破壞由TOE收集的數(shù)據(jù)的完整性。T.IMPCON非授權(quán)用戶可能會不適當(dāng)?shù)馗淖僒OE的配置，從而造成無法掃描到的潛在入侵。T.INFLUX非授權(quán)用戶可能由于創(chuàng)建一個TOE不能處理的數(shù)據(jù)集合而導(dǎo)致故障的發(fā)生。T.LOSSOF非授權(quán)用戶可能企圖刪除或者破壞由TOE掃描和生成的數(shù)據(jù)。T.NOHALT非授權(quán)用戶可能企圖通過停止TOE的執(zhí)行來危及TOE的掃描功能的連續(xù)性。T.PRIVIL非授權(quán)用戶可能訪問TOE并利用系統(tǒng)特權(quán)而訪問TOE安全功能和數(shù)據(jù)。T.COMEXP具有基本攻擊潛能的熟練攻擊者，可能通過嘗試旁路TSF來獲得對TOE或TOE所保護的資產(chǎn)的訪問。T.PROCOM未授權(quán)的人或未授權(quán)的外部IT實體可能查看、修改和/或刪除遠程授權(quán)管理員和TOE間傳送與安全相關(guān)的信息。組織安全策略組織的安全策略是一個組織使用的一系列針對其安全要求的規(guī)則、實踐和程序。P.ACCACTTOE用戶應(yīng)對其在掃描器中的行為負責(zé)。P.ACCESSTOE收集或生成的所有數(shù)據(jù)都只能用于授權(quán)目的。P.SCAN 必須收集可能指示IT系統(tǒng)的潛在的已知漏洞和靜態(tài)配置信息。P.ANALYZ源自任何時間的掃描結(jié)論的分析程序和信息都必須作為掃描數(shù)據(jù)進行記錄，并采取相應(yīng)的響應(yīng)措施。P.CPYPTO為了保護遠程管理功能，ST作者應(yīng)當(dāng)制定加密算法的依據(jù)標(biāo)準(zhǔn)（例如，使用3DES加密算法和相應(yīng)的密碼長度）。相關(guān)的加密模塊應(yīng)當(dāng)最低限度地遵循ST作者規(guī)定或指定的相關(guān)標(biāo)準(zhǔn)。P.INTGTY應(yīng)該保護TOE掃描、分析和生成的數(shù)據(jù)免受修改。P.MANAGETOE應(yīng)僅由授權(quán)用戶管理。P.PROTCTTOE應(yīng)受保護以避免非授權(quán)訪問及TOE掃描功能的中斷。4安全目的本節(jié)指出TOE的安全目的以及它所支持的環(huán)境，這些安全目的指出了在滿足安全要求方面TOE及其環(huán)境的責(zé)任。TOE安全目的以下是TOE安全目的：O.ACCESSTOE必須只允許授權(quán)用戶訪問適當(dāng)?shù)腡OE功能和數(shù)據(jù)。O.AUDITSTOE必須為數(shù)據(jù)訪問和TOE功能的使用而記錄審計記錄。O.EADMINTOE必須包括允許有效管理其功能及數(shù)據(jù)的一套功能。O.ENCRYP如果TOE允許所連接網(wǎng)絡(luò)產(chǎn)生遠程管理，那么它必須通過加密手段保護TOE與授權(quán)管理員對話的機密性。O.IDAUTHTOE必須能夠在允許訪問TOE功能和數(shù)據(jù)之前標(biāo)識和鑒別用戶。O.INTEGRTOE必須保證所有審計和掃描數(shù)據(jù)的完整性。O.OFLOWSTOE必須適當(dāng)?shù)靥幚頋撛诘膶徲嫼蛼呙杵鲾?shù)據(jù)存儲溢出。O.PROTCTTOE必須保護其自身的功能及數(shù)據(jù)免受非授權(quán)修改和訪問。O.INTROPTOE應(yīng)能與其掃描的IT系統(tǒng)進行互操作。O.RESPONTOE必須對分析結(jié)論做出正確響應(yīng)。O.SCANLZTOE必須獲取源自掃描器或外部IT實體的數(shù)據(jù)，然后使用分析進程和信息產(chǎn)生相應(yīng)的掃描結(jié)論。O.SCSENSTOE必須收集和存儲所有與時可能導(dǎo)致溢出、訪問、惡意破壞IT系統(tǒng)和掃描資源結(jié)果不正當(dāng)行為的事件信息。O.RESVULTOE必須已經(jīng)過系統(tǒng)地測試和檢查，并可驗證TOE能抵抗針對明顯脆弱性所采取的攻擊。環(huán)境安全目的TOE操作環(huán)境必須滿足以下目的，這些目標(biāo)不涉及技術(shù)要求，但需通過程序或管理性的措施來滿足。O.CREDEN對TOE負責(zé)的人員必須保證所有用戶以恰當(dāng)?shù)姆绞奖Ｗo訪問憑證。O.INSTAL對TOE負責(zé)的人員必須保證以恰當(dāng)?shù)姆绞浇桓?、安裝、管理和運行TOE。O.PERSON為確保TOE的正確運行，應(yīng)謹慎選擇授權(quán)管理員并給予相關(guān)培訓(xùn)。O.PHYCAL對TOE負責(zé)的人員必須保證那些對安全策略起關(guān)鍵作用的TOE部分免受任何物理攻擊。5IT安全要求5.1TOE安全功能要求本ST的安全功能要求由下列組件構(gòu)成，見表1。表1TOE功能組件安全要求功能組件FAU類：安全審計FAU_ARP.l安全告警FAU_GEN.l審計數(shù)據(jù)產(chǎn)生（1）FAU_GEN.1審計數(shù)據(jù)產(chǎn)生（2）FAU_SAA.1潛在侵害分析FAU_SAR.1審計查閱（1）FAU_SAR.1審計查閱（2）FAU_SAR.2限制審計查閱（1）FAU_SAR.2限制審計查閱（2）FAU_SAR.3可選審計查閱FAU_STG2審計數(shù)據(jù)可用性保證（1）FAU_STG2審計數(shù)據(jù)可用性保證（2）FAU_STG4防止審計數(shù)據(jù)丟失（1）FAU_STG4防止審計數(shù)據(jù)丟失（2）FIA類：標(biāo)識和鑒別FIA_AFL.1鑒別失敗處理FIA_ATD.1用戶屬性定義FIA_UAU.2任何動作前的用戶鑒別FIA_UID.2任何動作前的用戶標(biāo)識FMT類：安全管理FMT_M0F.1安全功能行為的管理FMT_MTD.1TSF數(shù)據(jù)的管理

FMT_SMR.1安全角色FMT_SMF.1管理功能規(guī)范FPT類：TSF保護FPT_RVM.1TSP的不可旁路性FPT_STM.1可靠的時間戳FTA類：TOE訪問FTA_SSL.3TSP原發(fā)會話終止FTP類：可信路徑/信道FTP_TRP.1可信路徑5.1?1安全審計（FAU）FAU_ARP.1安全告警FAU_ARP.1.1當(dāng)檢測到潛在的安全侵害時,TSP應(yīng)［記錄檢測到的安全漏洞,并將達到某種危害程度的安全漏洞的信息以電子郵件的形式發(fā)送給指定管理員］。FAU_GEN.1審計數(shù)據(jù)產(chǎn)生（1）FAU_GEN.1.1TSF應(yīng)能為下述可審計事件產(chǎn)生審計記錄：a） 審計功能的啟動和關(guān)閉；b） 符合基本級審計的所有可審計事件；c） 對TOE及TOE數(shù)據(jù)的訪問。符合基本級審計的可審計事件見表2。表2可審計事件組件事件細節(jié)FAU_SAR.1審計查閱（1）從審計記錄中讀取信息FAU_SAR.1限制審計查閱（1）從審計記錄中讀取信息的未成功嘗試FAU_STG4防止審計數(shù)據(jù)丟失（1）因?qū)徲嫶鎯κФ兹〉膭幼?/p>

FIA_UAU.2任何動作前的用戶鑒別鑒別機制的所有使用FIA_UID.2任何動作前的用戶標(biāo)識用戶標(biāo)識機制的所有使用用戶身份FMT_M0F.1安全功能行為的管理TSF中功能行為的所有改動FMT_MTD.1TSF數(shù)據(jù)的管理TSF數(shù)據(jù)值的所有改動FMT_SMR.1安全角色對角色中用戶組的修改FMT_SMF.1管理功能規(guī)范管理功能的使用FPT_STM.1可靠的時間戳?xí)r間的改動FTA_SSL.3TSF原發(fā)會話終止利用會話鎖定機制對交互式會話的終止FTP_TRP.1可信路徑可信路徑功能的所有使用嘗試如果有的話，與所有可信路徑調(diào)用相關(guān)的用戶標(biāo)識FAU_GEN.1.2TSF在每個審計記錄中應(yīng)記錄如下信息：a）TOE自身操作事件的日期和時間、事件類型、主體身份和事件結(jié)果（成功或失?。?；b）根據(jù)PP/ST中功能組件的可審計事件定義，每個審計事件類型在表2細節(jié)一欄中指定的附加信息。FAU_GEN.1審計數(shù)據(jù)產(chǎn)生（2）FAU_GEN.1.1掃描器應(yīng)能從目標(biāo)IT系統(tǒng)資源中收集以下靜態(tài)配置信息：a） 訪問控制配置、服務(wù)配置、鑒別配置、可審查策略配置、可檢測的已知脆弱性；b） ［常見的蠕蟲、木馬等惡意軟件的靜態(tài)配置信息］。FAU_GEN.1.2掃描器的掃描記錄至少應(yīng)包含如下信息：a） 網(wǎng)絡(luò)掃描事件的日期和時間、事件類型、掃描結(jié)果（成功或失?。?；b） ｛掃描目標(biāo)統(tǒng)計、存活目標(biāo)統(tǒng)計、開放端口統(tǒng)計等｝。FAU_SAA.1潛在侵害分析FAU_SAA.1.1TSF應(yīng)能使用一組規(guī)則去監(jiān)測審計事件，并根據(jù)這些規(guī)則指示出一個對TSP的潛在規(guī)范。FAU_SAA.1.2TSF應(yīng)執(zhí)行下列規(guī)則監(jiān)測審計事件：a） 已知的用來指示潛在安全侵害的［脆弱性特征，包括操作系統(tǒng)的脆弱性特征、常見服務(wù)的脆弱性特征、通用數(shù)據(jù)庫系統(tǒng)的脆弱性特征等］的積累或組合；b） ［常見木馬/蠕蟲脆弱性特征、DOS/DDOS攻擊脆弱性特征］。FAU_SAR.1審計查閱（1）FAU_SAR.1.1TSF應(yīng)為［審計管理員、審計員］提供從審計記錄中讀?。蹖徲嬓畔ⅲ莸哪芰ΑAU_SAR.1.2TSF應(yīng)以便于用戶理解的方式提供審計記錄。FAU_SAR.1審計查閱（2）FAU_SAR.1.1掃描器應(yīng)向［掃描管理員、操作員和報表查看員］提供從掃描器數(shù)據(jù)讀?。勐┒磼呙杞Y(jié)果］的能力。FAU_SAR.1.2掃描器應(yīng)以適用于用戶理解的方式向用戶提供掃描器數(shù)據(jù)。FAU_SAR.2限制審計查閱（1）FAU_SAR.2.1除具有明確讀訪問權(quán)限的用戶外，TSF應(yīng)禁止所有其它用戶對審計記錄的讀訪問。FAU_SAR.2限制審計查閱（2）FAU_SAR.2除被明確授予讀訪問權(quán)限的用戶外，掃描器應(yīng)禁止其它用戶對掃描器數(shù)據(jù)的讀訪問。FAU_SAR.3可選審計查閱FAU_SAR.3.1TSF應(yīng)能根據(jù)［日期和時間、主體身份、事件類型、相關(guān)事件、操作的成功或失敗］來對審計數(shù)據(jù)進行搜索；TSF應(yīng)能根據(jù)日期和時間來對審計數(shù)據(jù)進行排序。FAU_STG.2審計數(shù)據(jù)可用性保證（1）FAU_STG.2.1TSF應(yīng)保護所存儲的審計記錄，以避免未授權(quán)的刪除。FAU_STG2.2TSF應(yīng)能防止對審計記錄所進行的修改。FAU_STG2.3當(dāng)下述情況發(fā)生時：審計存儲耗盡、失敗、受攻擊,TSF應(yīng)確保審計記錄［授權(quán)管理員設(shè)定的需要要保存的最少數(shù)量的審計記錄］不被破壞。1FAU_STG.2審計數(shù)據(jù)可用性保證（2）FAU_STG.2.1掃描器應(yīng)保護存儲的掃描器數(shù)據(jù)免受非授權(quán)刪除。FAU_STG.2.2掃描器應(yīng)保護存儲的掃描器數(shù)據(jù)免受修改。FAU_STG2.3當(dāng)下述情況發(fā)生時：掃描器數(shù)據(jù)存儲資源耗盡、失敗或受到攻擊,掃描器應(yīng)確保［授權(quán)管理員設(shè)定的需要要保存的最少數(shù)量的掃描器數(shù)據(jù)］不被破壞。FAU_STG.4防止審計數(shù)據(jù)丟失（1）FAU_STG4.1如果審計跡已滿,TSF應(yīng)覆蓋所存儲的最早的審計記錄,并［向?qū)徲嫻芾韱T發(fā)送告警郵件］。FAU_STG.4防止審計數(shù)據(jù)丟失（2）FAU_STG4.1如果存儲空間已滿，掃描器應(yīng)覆蓋所存儲的最早的掃描器數(shù)據(jù)，并［向掃描管理員發(fā)送告警郵件］。5.1.2標(biāo)識和鑒別（FIA）FIA_AFL.1鑒別失敗處理FIA_AFL.1.1當(dāng)與［用戶登錄］相關(guān)的不成功鑒別嘗試次數(shù)，達到⑶次時,TSF應(yīng)能加以檢測。FIA_AFL.1.2當(dāng)達到或超過規(guī)定的不成功鑒別嘗試的次數(shù)時，TSF應(yīng)［鎖定該用戶帳戶，直到超級管理員解鎖該用戶帳戶］。FIA_ATD.1用戶屬性定義FIA_ATD.1.1TSF應(yīng)維護以下屬于個體用戶的安全屬性列表：a） 用戶身份；b） 鑒別數(shù)據(jù)；c） 授權(quán)；d） ｛用戶登錄時允許其使用的IP地址｝。FIA_UAU.2任何動作前的用戶鑒別FIA_UAU.2.1在允許執(zhí)行代表該用戶的任何其他TSF介導(dǎo)動作前，TSF應(yīng)要求每個用戶都已被成功鑒別。FA_UID?2任何動作前的用戶標(biāo)識FIA_UID.2.1在允許執(zhí)行代表該用戶的任何其他TSF介導(dǎo)動作之前，TSF應(yīng)要求每個用戶識別他自己。5.1.3安全管理（FMT）FMT_MOF.1安全功能行為的管理FMT_MOF.1.1TSF應(yīng)僅限于授權(quán)的掃描管理員具備“確定和修改”掃描器的數(shù)據(jù)收集和漏洞分析功能的能力。TSF應(yīng)僅限于授權(quán)的掃描管理員具備“確定和修改”安全告警行為的能力。FMT_MTD?1TSF數(shù)據(jù)的管理FMT_MTD.1.1TSF應(yīng)僅限于［授權(quán)的超級管理員］具備［增加、刪除、修改用戶］的能力；TSF應(yīng)僅限于［授權(quán)的超級管理員］具備［修改安全角色］的能力；TSF應(yīng)僅限于［授權(quán)的超級管理員］具備［設(shè)置系統(tǒng)時間］的能力；TSF應(yīng)僅限于［授權(quán)的超級管理員］具備［設(shè)置允許不成功的鑒別次數(shù)］的能力；TSF應(yīng)僅限于［授權(quán)的審計管理員］具備［查詢及刪除審計日志］的能力；TSF應(yīng)僅限于［授權(quán)的審計員］具備［查詢審計日志］的能力；TSF應(yīng)僅限于［授權(quán)的掃描管理員］具備［查詢及刪除掃描結(jié)果］的能力；TSF應(yīng)僅限于［授權(quán)的操作員］具備［查詢自己執(zhí)行的掃描任務(wù)的掃描結(jié)果］的能力；TSF應(yīng)僅限于［授權(quán)的報表查看員］具備［査詢掃描結(jié)果］的能力。5?1?3?3FMT_SMR?1安全角色FMT_SMR.1.1TSF應(yīng)維護下列角色：超級管理員、及［審計管理員、掃描管理員、審計員、操作員和報表查看員］。FMT_SMR.1.2TSF應(yīng)能夠把用戶和超級管理員、審計管理員、掃描管理員、審計員、操作員及報表查看員角色關(guān)聯(lián)起來。5?1?3?4FMT_SMF?1管理功能規(guī)范FMT_SMF.1.1TSF應(yīng)能夠執(zhí)行如下安全管理功能：（1） FAU_ARP.1管理：對安全告警行為的修改（2） FAU_SAA.1管理：通過添加、修改規(guī)則集中的規(guī)則來維護規(guī)則庫（3） FAU_SAR.1管理（1）：維護對審計記錄有讀權(quán)限的用戶組（4） FAU_SAR.1管理（2）：維護對報表有讀權(quán)限的用戶組（5） FAU_STG.2管理（1）：維護審計數(shù)據(jù)存儲的最小要求量（6） FAU_STG.2管理（2）：維護報表數(shù)據(jù)存儲的最小要求量（7） FAU_STG4管理（1）：審計存儲失敗時，TSF采取相應(yīng)的行為的修改（8） FAU_STG4管理（2）：報表存儲失敗時，TSF采取相應(yīng)的行為的修改（9） FIA_AFL.1管理：a）可設(shè)置允許嘗試鑒別次數(shù)b）維護鑒別失敗時采取的行動（10） FIA_ATD.1管理：用戶管理員可為用戶添加附加的安全屬性，如限制登錄IP（11）FIA_UAU.2管理：用戶管理員可以修改用戶密碼；用戶可以修改自己的密碼（12）FIA_UID.2管理：用戶管理員可以修改用戶的身份信息（13）FMT_MOF.1管理：管理可以與TSF中的功能相互作用的角色組（14）FMT_MTD.1管理：管理可以與TSF數(shù)據(jù)相互作用的角色組（15）FMT_SMR.1管理：管理構(gòu)成角色的一部分的用戶組（16）FPT_STM.1管理：可以設(shè)置系統(tǒng)時間（17）FTA_SSL.l管理：a）對用戶不活動時間的規(guī)定b）對默認用戶不活動時間的規(guī)定TSF保護（FPT）FPT_RVM.1TSP的不可旁路性FPT_RVM.1.1TSF應(yīng)確保在TSC內(nèi)允許繼續(xù)執(zhí)行每一項功能前，TSP的執(zhí)行功能都被成功激活。FPT_STM.1可靠的時間戳FPT_STM.1.1TSF應(yīng)能為自身的應(yīng)用提供可靠的時間戳。TOE訪問（FTA）FTA_SSL?3TSF原發(fā)會話終止FTA_SSL.3.1TSF應(yīng)在達到［超級管理員設(shè)定的用戶不活動的時間］之后終止一個交互式會話。5.1.6可信路徑信道（FTP）FTP_TRP.1可信路徑FTP_TRP.1.1TSF應(yīng)在他自己和遠程和本地用戶之間提供一個通信路徑,此路徑在邏輯上與其他通信路徑截然不同，其末端點具有保證的標(biāo)識，并能保護通信數(shù)據(jù)免遭修改或泄露。FTP_TRP.1.2TSF應(yīng)允許本地用戶和遠程用戶經(jīng)由可信路徑發(fā)起通信。FTP_TRP.1.3TSF應(yīng)要求對啟動用戶鑒別、［用戶管理、審計和掃描管理等交互］均使用可信路徑。TOE安全保證要求本ST的安全功能保證要求由下列組件構(gòu)成，見表3。

表3：保證組件（EAL3級）保證類保證組件ACM類：配置管理ACM_CAP.3授權(quán)控制ACM_SCP.1TOECM覆蓋ADO類：交付和運行ADO_DEL.1交付程序ADO_IGS.1安裝、生成和啟動程序ADV類：開發(fā)ADV_FSP.1非形式化功能規(guī)范ADV_HLD.2安全加強的高層設(shè)計ADV_RCR.1非形式化對應(yīng)性證實AGD類：指導(dǎo)性文檔AGD_ADM.1管理員指南AGD_USR.1用戶指南ALC類：生命周期支持ALC_DVS.1安全措施標(biāo)識ATE類：測試ATE_COV2測試范圍分析ATE_DPT.1測試深度分析ATE_FUN.1功能測試ATE_IND.2獨立測試 抽樣AVA類：脆弱性評定AVA_MSU.1指南審查AVA_SOF.1TOE安全功能強度評估AVA_VLA.1開發(fā)者脆弱性分析IT環(huán)境的安全要求本TOE為漏洞掃描產(chǎn)品，在多方面需要底層操作系統(tǒng)以及數(shù)據(jù)庫管理系統(tǒng)等系統(tǒng)級應(yīng)用的支持。TOE需要滿足但又不由TOE自身提供的安全要求主要包括：5.3.1對操作系統(tǒng)的安全要求操作系統(tǒng)要提供對審計數(shù)據(jù)的永久儲存的支持。操作系統(tǒng)要確保能夠從硬件獲取精確的系統(tǒng)時間。操作系統(tǒng)要保證網(wǎng)絡(luò)接口是可用的。操作系統(tǒng)的管理員不應(yīng)是粗心大意、不負責(zé)任或者是懷有敵意的，并應(yīng)遵循TOE文檔的規(guī)定。對數(shù)據(jù)庫管理系統(tǒng)的安全要求數(shù)據(jù)庫管理系統(tǒng)要提供對審計數(shù)據(jù)的永久儲存的支持。數(shù)據(jù)庫管理系統(tǒng)要確保寫入的和讀出的數(shù)據(jù)的一致性。數(shù)據(jù)庫管理系統(tǒng)管理員不應(yīng)是粗心大意、不負責(zé)任或者是懷有敵意的，并應(yīng)遵循TOE文檔的規(guī)定。安全功能強度聲明本TOE應(yīng)具備中等安全功能強度。6.TOE概要規(guī)范TOE的安全功能本TOE的安全功能包括：掃描引擎E.Collect信息收集功能：從目標(biāo)IT系統(tǒng)資源中收集各類靜態(tài)信息，包括訪問控制配置、服務(wù)配置、鑒別配置、可審查策略配置、可檢測的已知脆弱性。E.Analyse漏洞分析功能：使用漏洞庫中的漏洞特征，與各類靜態(tài)配置信息進行比對分析，以確定是否存在潛在安全漏洞。E.Alarm安全告警功能：記錄檢測到的安全漏洞，并根據(jù)管理員的設(shè)置以郵件的形式實施告警。6.1.2掃描管理SM.TaskManage掃描任務(wù)管理功能：管理掃描任務(wù)，包括對掃描對象、掃描漏洞類型和掃描方式的設(shè)置、掃描引擎的啟動等。SM.MaintainDB漏洞庫維護功能：通過升級包的形式，對漏洞庫中的規(guī)則進行添加、修改等維護。6.1.3報表管理RM.View查看報表功能：TSF為授權(quán)用戶提供查看掃描任務(wù)報表的能力。RM.Maintain報表維護功能：TSF為嚴格控制的授權(quán)用戶提供刪除報表的能力，并確保任何用戶都不能修改報表的內(nèi)容。RM.ConfigSpace配置報表存儲空間功能：TSF為嚴格控制的授權(quán)用戶提供設(shè)置報表數(shù)據(jù)最少存儲數(shù)量的能力。6.1.4用戶管理UM.ManageRole角色管理功能：TSF維護若干對系統(tǒng)具有不同操作權(quán)限的用戶組角色，通過給所有用戶分配不同的用戶組來控制不同用戶跟TSF交互式的恰當(dāng)權(quán)限。UM.Authentication用戶認證功能：任何用戶在執(zhí)行賦予其權(quán)限的安全功能之前，都要經(jīng)過TSF的安全鑒別。UM.Authentication具備中等安全功能強度。UM.AddUser增加用戶功能：嚴格控制的授權(quán)用戶可以增加新的用戶，并為其分配角色。UM.ModifyPwd修改密碼功能：嚴格控制的授權(quán)用戶可以修改所有用戶的密碼。所有用戶都能修改自己的密碼。UM.ModifyInfo修改用戶信息功能：嚴格控制的授權(quán)用戶可以修改所有用戶的用戶信息。6.1.5審計AM.Record記錄審計信息功能：在可審計事件發(fā)生時，產(chǎn)生并記錄包含事件內(nèi)容與附加細節(jié)、發(fā)生時間、主體身份等信息在內(nèi)的審計記錄。AM.View查看審計信息功能：TSF為授權(quán)用戶提供查看審計信息的能力，授權(quán)用戶可以根據(jù)日期和時間、主體身份、事件類型、相關(guān)事件、操作的成功或失敗來對審計信息進行搜索。AM.Maintain審計信息維護功能：TSF為嚴格控制的授權(quán)用戶提供刪除審計信息的能力，并確保任何用戶都不能修改審計信息的內(nèi)容。AM.ConfigSpace配置審計信息存儲空間功能：TSF為嚴格控制的授權(quán)用戶提供設(shè)置審計數(shù)據(jù)最少存儲數(shù)量的能力。6.1.6系統(tǒng)支持SS.MaintainTime時間管理功能：提供接口，使授權(quán)用戶可以更改系統(tǒng)時間。SS.Timeout超時鎖定功能：如果在指定時間內(nèi)，授權(quán)用戶和TSF沒有任何交互，會話將被中止。SS.Encrypt管理數(shù)據(jù)非明文傳輸功能：本地用戶和遠程用戶與TSF之間的所有通信數(shù)據(jù)均通過SSL加密。SS.Encrypt具備中等安全功能強度。

TOE的安全保證措施保證類保證組件保證措施ACM類：配置管理ACM_CAP.3授權(quán)控制《**系統(tǒng)配置管理計劃》《**系統(tǒng)配置項清單》ACM_SCP.1TOECM覆蓋ADO類:交付和運行ADO_DEL.1交付程序《**系統(tǒng)父付和運行》ADO_IGS.1安裝、生成和啟動程序ADV類：開發(fā)ADV_FSP.1非形式化功能規(guī)范《**系統(tǒng)功能規(guī)范》ADVHLD.2安全加強的高層設(shè)計《**系統(tǒng)咼層設(shè)計》AGD類:指導(dǎo)性文檔AGD_ADM.1管理員指南《**系統(tǒng)指導(dǎo)性文檔》AGD_USR.1用戶指南ALC類：生命周期支持ALC_DVS.1安全措施標(biāo)識《**系統(tǒng)開發(fā)安全》ATE類：測試ATE_COV2測試范圍分析《**系統(tǒng)測試文檔》ATE_DPT.1測試深度分析ATE_FUN.1功能測試AVA類：脆弱性評定AVA_MSU.1指南審查《**系統(tǒng)脆弱性分析》AVA_SOF.1TOE安全功能強度評估AVA_VLA.1開發(fā)者脆弱性分析《**系統(tǒng)配置管理計劃》主要說明如何用使用CM系統(tǒng)對文檔和代碼進行有效地管理，指導(dǎo)配置管理人員、研發(fā)人員和版本構(gòu)建人員正確地進行代碼的提交更新和版本構(gòu)建，從而保障代碼和文檔的完整性和可追蹤性。《**系統(tǒng)配置項清單》描述了組成TOE的所有配置項的清單并確保配置項被唯一標(biāo)識。《**系統(tǒng)交付和運行》描述了為保證TOE安全地提交給用戶所需的所有交付程序?！?*系統(tǒng)功能規(guī)范》較為詳盡地描述了TOE安全功能和TSF外部的用戶可見接口，包括外部接口的異常、出錯信息和TOE的處理方式?！?*系統(tǒng)高層設(shè)計》以子系統(tǒng)的方式提供了對TSF的描述和對這些結(jié)構(gòu)單元接口的描述，并以表格的形式描述了各個子系統(tǒng)與安全功能的對應(yīng)關(guān)系?！?*系統(tǒng)指導(dǎo)性文檔》就管理員和用戶如何以安全方式管理TOE進行詳細而全面地說明《**系統(tǒng)開發(fā)安全》描述了為保護TOE設(shè)計和實現(xiàn)過程的機密性與完整性而采取的的物理、過程、人員等方面安全措施?！?*系統(tǒng)測試文檔》主要描述了各項功能的測試，包括測試計劃、測試方法、測試環(huán)境、測試工具、命令、測試步驟、預(yù)期測試結(jié)果和實際測試結(jié)果等；同時，闡述了測試與功能規(guī)范、測試與高層設(shè)計的一致性。《**系統(tǒng)脆弱性分析》用于確定TOE在特定環(huán)境下的漏洞或脆弱性的存在的可能性和可利用性。7.基本原理7.1安全目的基本原理本TOE的安全目的和安全環(huán)境之間的雙向映射關(guān)系如下表所示：OPROTCTOSCANLZOEADMINOACCESSOIDAUTHOOFLOWSOAUDITSOINSTALOPHYCALOCREDENOPERSONOINTROPONCRYPOINTEGROSCSENSORESVULORESPONA.ACCESSXA.PROTCTXA.LOCATEXA.MANAGEXA.NOEVILXXXA.NOTRSTXXA.INTCONXT.COMINTXXXXT.COMDISXXXT.LOSSOFXXXXT.NOHALTXXXXXT.PRIVILXXXT.IMPCONXXXXT.INFLUXXT.COMEXPXXT.PROCOMXP.SCANXXP.MANAGEXXXXXXXP.ACCESSXXXP.ACCACTXP.INTGTYXP.PROTCTXXP.ANALYZXXP.CRYPTOXA.ACCESSTOE有權(quán)訪問其功能所需的所有IT系統(tǒng)數(shù)據(jù)。O.INTROP保證了TOE可訪問到其必須的數(shù)據(jù)。A.PROTCT對安全策略執(zhí)行起關(guān)鍵作用的TOE硬件和軟件應(yīng)受保護以免受非授權(quán)的物理更改。O.PHYCAL可以為TOE硬件和軟件提供必要的物理保護。A.LOCATETOE的處理資源應(yīng)位于受控的訪問設(shè)備之內(nèi)，以防止非授權(quán)的物理訪問。O.PHYCAL提供這種物理保護。A.MANAGE應(yīng)指定一個或多個能勝任的人來管理TOE及其所含信息的安全。O.PERSON可以保證所有授權(quán)管理員具有資格和經(jīng)過培訓(xùn)。A.NOEVIL授權(quán)管理員不應(yīng)是粗心大意、不負責(zé)任或者是懷有敵意的，并應(yīng)遵循TOE文檔的規(guī)定。O.INSTAL可以保證TOE得到正確安裝和操作。O.PHYCAL使得授權(quán)管理員保證TOE的物理安全。O.CREDEN通過要求保護所有鑒別數(shù)據(jù)來支持此假設(shè)。A.NOTRSTTOE系統(tǒng)只能被授權(quán)用戶訪問。O.PHYCAL提供物理的保護以防止TOE收到非授權(quán)訪問，O.CREDEN通過要求保護所有授權(quán)數(shù)據(jù)來支持此假設(shè)。T.COMINT非授權(quán)用戶可能企圖通過旁路安全機制而破環(huán)由TOE收集的數(shù)據(jù)的完整性。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.INTEGR保證TOE數(shù)據(jù)不被修改。O.PROTCT通過提供TOE自我保護功能來確定這種威脅。T.COMDIS非授權(quán)用戶可能企圖通過旁路安全機制而泄露由TOE收集的數(shù)據(jù)。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.EXPORT可以保證TOE數(shù)據(jù)的機密性。O.PROTCT通過提供TOE自我保護功能來確定這種威脅。T.LOSSOF非授權(quán)用戶可能企圖刪除或者破壞由TOE收集和生成的數(shù)據(jù)。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.INTEGR保證TOE數(shù)據(jù)不被修改。O.PROTCT通過提供TOE自我保護功能來確定這種威脅。T.NOHALT非授權(quán)用戶可能企圖通過停止TOE的執(zhí)行來危及TOE的收集功能的連續(xù)性。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.SCAN通過要求TOE收集所有數(shù)據(jù)（包括終止TOE的企圖）來確定這一威脅。T.PRIVIL 非授權(quán)用戶可能訪問任何TOE并利用系統(tǒng)特權(quán)而訪問TOE安全功能和數(shù)據(jù)。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.PROTCT通過提供TOE自我保護功能來確定這種威脅。T.IMPCON非授權(quán)用戶可能會不適當(dāng)?shù)馗淖僒OE的配置，從而造成無法檢測到的潛在入侵。O.INSTAL規(guī)定授權(quán)管理員必須正確配置TOE。O.EADMIN保證TOE具有管理產(chǎn)品所必須的所有管理員功能。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。T.INFLUX非授權(quán)用戶可能由于創(chuàng)建一個TOE不能處理的數(shù)據(jù)集合而導(dǎo)致故障的發(fā)生，O.OFLOWS通過要求TOE處理數(shù)據(jù)存儲溢出來對抗這種威脅。T.COMEXP具有基本攻擊前的攻擊熟練者，可能通過嘗試旁路TSF來獲得對TOE或TOE所保護的資產(chǎn)的訪問。O.ENCRYP可以確保TOE與授權(quán)管理員通過遠程方式交互時數(shù)據(jù)的機密性。O.RESVUL確保TOE能夠抵抗具有基本攻擊潛能的攻擊者實施的穿透性攻擊。T.PROCOM未授權(quán)的人或未授權(quán)的外部IT實體可能查看、修改和/或刪除遠程授權(quán)管理員和TOE間傳送與安全相關(guān)的信息。O.ENCRYP可以確保TOE與授權(quán)管理員通過遠程方式交互時數(shù)據(jù)的機密性。P.SCAN必須收集可能指示IT系統(tǒng)的未來潛在入侵或過去入侵事件的靜態(tài)配置信息。O.AUDITS和O.SCAN通過要求收集審計數(shù)據(jù)和掃描器數(shù)據(jù)來滿足這一策略。P.MANAGETOE應(yīng)僅由授權(quán)用戶管理。O.PERSON確保有能力的管理員管理TOE，且O.EADMIN保證有一套安全功能供管理員使用。O.INSTAL通過確保管理遵循所提供的文檔并維護系統(tǒng)安全策略來支持O.PERSON。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.PROTCT通過提供TOE自我保護功能來確定這種威脅。P.ACCESSTOE收集或生成的所有數(shù)據(jù)都只能用于授權(quán)目的。O.IDAUTH在用戶訪問任何TOE數(shù)據(jù)之前提供鑒別機制。O.ACCESS通過只允許授權(quán)用戶訪問TOE數(shù)據(jù)而建立在O.IDAUTH基礎(chǔ)之上。O.PROTCT通過提供TOE自我保護功能來確定這種威脅。P.ACCACTTOE用戶應(yīng)對其在TOE中的行為負責(zé)。O.AUDITS通過要求對所有的數(shù)據(jù)訪問和TOE功能的使用進行審計來滿足這一策略。O.IDAUTH通過確保每個用戶可以被唯一標(biāo)識和鑒別而支持本目的。P.INTGTY應(yīng)保護TOE收集或生成的數(shù)據(jù)免受修改。O.INTERGR確保數(shù)據(jù)不被修改。P.PROTCTTOE應(yīng)受保護以避免非授權(quán)訪問及TOE收集功能的中斷。O.OFLOWS要求TOE處理中斷行為以滿足這一策略。O.PHYCAL保護TOE免受非授權(quán)物理修改。P.ANALYZ源自任何時間的掃描結(jié)論的分析程序和信息都必須作為掃描數(shù)據(jù)進行記錄，并采取相應(yīng)的響應(yīng)措施。O.SCANLZ確保TOE必須獲取源自掃描器或外部IT實體的數(shù)據(jù)，然后使用分析進程和信息產(chǎn)生相應(yīng)的掃描結(jié)論。P.CRYPTO為了保護遠程管理功能，ST作者應(yīng)當(dāng)制定加密算法的依據(jù)標(biāo)準(zhǔn)（例如，使用3DES加密算法和相應(yīng)的密碼長度）。相關(guān)的加密模塊應(yīng)當(dāng)最低限度地遵循ST作者規(guī)定或指定的相關(guān)標(biāo)準(zhǔn)。O.ENCRYP確保如果TOE允許所連接網(wǎng)絡(luò)產(chǎn)生遠程管理，那么它必須通過加密手段保護TOE與授權(quán)管理員對話的機密性。安全要求基本原理本TOE的安全要求和安全目的間雙向映射關(guān)系如下圖所示：

OPROTCTOSCSENSOEADMINOACCESSOIDAUTHOOFLOWSOAUDITSOINTEGROENCRYPORESPONOSCANLZORESVULFAUGEN.1（1）XFAUGEN.1（2）XFAUSAR.1（1）XFAUSAR.1（2）XFAUSAR.2（1）XXFAUSAR.2（2）XXFAUSAR.3XFAUSTG2（1）XXXXXFAUSTG2（2）XXXXXFAUSTG4（1）XXFAUSTG4（2）XXFAUARP.1XXFAUSAA.1XXFIAUAU.2XXFIAAFL.1XXXFIAATD.1XFIAUID.2XXFMTM0F.1XXXFMTMTD.1XXXXFMTSMR.1XFMTSMF.1XFPTRVM.1XXXXXXFPTSTM.1XFTASSL.3XXFTPTRP.1XO.PROTCTTOE必須保護其自身的功能及數(shù)據(jù)免受非授權(quán)修改和訪問。TOE必須保護審計數(shù)據(jù)不被刪除，并且在發(fā)生存儲空間耗盡、系統(tǒng)錯誤或遭受攻擊時，仍能獲取審計數(shù)據(jù)［FAU_STG2審計數(shù)據(jù)可用性保證（1）］。TOE必須能夠保護其從IT系統(tǒng)中收集的掃描數(shù)據(jù)不被修改和未經(jīng)授權(quán)地刪除，并確保在發(fā)生存儲空間耗盡、系統(tǒng)錯誤或遭受攻擊時，仍能獲取這些數(shù)據(jù)［FAU_STG2審計數(shù)據(jù)可用性保證（2）］。TOE必須限定僅有TOE授權(quán)用戶才能管理TOE功

O.SCSENSO.EADMINO.ACCESSO.IDAUTH能行為［FMT_MOF.l安全功能行為的管理］。只有TOE授權(quán)管理員才能夠查詢、添加TOE數(shù)據(jù)與審計數(shù)據(jù)［FMT_MTD.1TSF數(shù)據(jù)的管理］。TOE必須確保所有功能在執(zhí)行前被成功調(diào)用［FPT_RVM.lTSF的不可旁路性］。O.SCSENSO.EADMINO.ACCESSO.IDAUTHTOE必須收集和存儲所有與時可能導(dǎo)致濫用、訪問、惡意破壞IT系統(tǒng)和掃描資源結(jié)果不正當(dāng)行為的時間信息。TOE必須收集和存儲所有與時可能導(dǎo)致濫用、訪問、惡意破壞IT系統(tǒng)和掃描資源結(jié)果不正當(dāng)行為的時間信息，這些配置信息的類型應(yīng)在ST中定義［FAU_GEN.1審計數(shù)據(jù)產(chǎn)生（2）］。TOE必須包括允許有效管理其功能及數(shù)據(jù)的一套功能。TOE必須具備查閱、管理TOE審計跡的能力［FAU_SAR.1審計查閱（1）,FAU_SAR.3可選審計查閱（1）］。TOE必須允許授權(quán)管理員查閱從IT系統(tǒng)中收集的掃描數(shù)據(jù)［FAU_SAR.1審計查閱（2）、FAU_SAR.3可選審計查閱（2）］。TOE必須確保所有功能在執(zhí)行前被成功調(diào)用［FPT_RVM.1TSP的不可旁路性］。TOE必須只允許授權(quán)用戶訪問適當(dāng)?shù)腡OE功能和數(shù)據(jù)。TOE應(yīng)僅允許具有明確讀訪問權(quán)限的用戶查閱審計數(shù)據(jù)［FAU_SAR.2限制審計查閱（1）］。TOE應(yīng)僅允許具有明確讀訪問權(quán)限的用戶查閱收集到的TOE數(shù)據(jù)［FAU_SAR.2限制審計查閱（2）］。TOE必須保護審計數(shù)據(jù)不被刪除，并且在發(fā)生存儲空間耗盡、系統(tǒng)錯誤或遭受攻擊時，仍能獲取審計數(shù)據(jù)［FAU_STG2審計數(shù)據(jù)可用性保證（1）］。TOE必須能夠保護其從IT系統(tǒng)中收集的掃描數(shù)據(jù)不被修改和未經(jīng)授權(quán)地刪除［FAU_STG2審計數(shù)據(jù)可用性保證（2）］。授權(quán)訪問TOE的用戶需使用標(biāo)識和鑒別程序進行定義［FIA_UID.2任何動作前的用戶標(biāo)識，F(xiàn)IA_UAU.2任何動作前的用戶鑒別］。TOE必須限定僅有TOE授權(quán)用戶才能管理TOE功能行為［FMT_MOF.1安全功能行為的管理］。只有TOE授權(quán)管理員才能夠查詢、添加TOE數(shù)據(jù)與審計數(shù)據(jù)［FMT_MTD.1TSF數(shù)據(jù)的管理］。TOE必須能夠在允許訪問TOE功能和數(shù)據(jù)之前標(biāo)識和鑒別用戶。TOE應(yīng)僅允許具有明確讀訪問權(quán)限的用戶查閱審計數(shù)據(jù)［FAU_SAR.2限制審計查閱（1）］。TOE應(yīng)僅允許具有明確讀訪問權(quán)限的用戶查閱收集到的TOE數(shù)據(jù)［FAU_SAR.2限制審計查閱（2）］。TOE必須保護存儲的審計數(shù)據(jù)不被非授權(quán)刪除［FAU_STG2審計數(shù)據(jù)可用性保證（1）］。TOE必須能夠保護其從IT系統(tǒng)中收集的掃描數(shù)據(jù)不被修改和未經(jīng)授權(quán)地刪除，并確保在發(fā)生存儲空間耗盡、系統(tǒng)錯誤或遭受攻擊時，仍能獲取這些數(shù)據(jù)［FAU_STG2審計數(shù)據(jù)可用性保證（2）］。TOE必須定義用以執(zhí)行TOE的鑒別策略主體的安全屬性［FIA_ATD.1用戶屬性定義］。授權(quán)訪問TOE的用戶需使用標(biāo)識和鑒別程序進行定義［FIA_UID.2任何動作前的用戶標(biāo)識，F(xiàn)IA_UAU.2任何動作前的用戶鑒別］。TOE必須限定僅有TOE授權(quán)用戶才能管理TOE功能行為［FMT_MOF.l安全功能行為的管理］。只有TOE授權(quán)管理員才能夠查詢、添加TOE數(shù)據(jù)與審計數(shù)據(jù)［FMT_MTD.1TSF數(shù)據(jù)的管理］。TOE必須確保所有功能在執(zhí)行前被成功調(diào)用［FPT_RVM.1TSP的不可旁路性］。O?OFLOWSTOE必須適當(dāng)?shù)靥幚頋撛诘膶徲嫼蛼呙杵鲾?shù)據(jù)存儲溢出。TOE必須保護審計數(shù)據(jù)不被刪除，并且在發(fā)生存儲空間耗盡、系統(tǒng)錯誤或遭受攻擊時，仍能獲取審計數(shù)據(jù)［FAU_STG2審計數(shù)據(jù)可用性保證（1）］。TOE在審計跡已滿情況下必須能夠防止審計數(shù)據(jù)的丟失［FAU_STG4防止審計數(shù)據(jù)丟失（1）］。TOE必須能夠保護其從IT系統(tǒng)中收集的掃描數(shù)據(jù)不被修改和未經(jīng)授權(quán)地刪除，并確保在發(fā)生存儲空間耗盡、系統(tǒng)錯誤或遭受攻擊時，仍能獲取這些數(shù)據(jù)［FAU_STG2審計數(shù)據(jù)可用性保證（2）］。TOE必須防止在TOE數(shù)據(jù)已滿時數(shù)據(jù)的丟失［FAU_STG4防止審計數(shù)據(jù)丟失（2）］。O.AUDITSTOE必須為數(shù)據(jù)訪問和TOE功能的使用而記錄審計記錄。TOE的安全相關(guān)事件必須被定義且是可審計的［FAU_GEN.1審計數(shù)據(jù)產(chǎn)生］°TOE在審計跡已滿情況下必須能夠防止審計數(shù)據(jù)的丟失［FAU_STG4防止審計數(shù)據(jù)丟失］。TOE必須確保所有功能在執(zhí)行前被成功調(diào)用［FPT_RVM.1TSP的不可旁路性］。與審計記錄相關(guān)的時間戳必須可靠［FPT_STM.1可靠的時間戳］。O.INTEGR TOE必須保證所有審計和掃描數(shù)據(jù)的完整性。TOE必須保護審計數(shù)據(jù)不被刪除，并且在發(fā)生存儲空間耗盡、系統(tǒng)錯誤或遭受攻擊時，仍能獲取審計數(shù)據(jù)［FAU_STG2審計數(shù)據(jù)可用性保證（1）］。。TOE必須能夠保護其從IT系統(tǒng)中收集的掃描數(shù)據(jù)不被修改和未經(jīng)授權(quán)地刪除［FAU_STG.2審計數(shù)據(jù)可用性保證（2）］。只有TOE授權(quán)管理員才能夠查詢、添加TOE數(shù)據(jù)與審計數(shù)據(jù)［FMT_MTD.1TSF數(shù)據(jù)的管理］°TOE必須保護其收集的數(shù)據(jù)免受修改并在數(shù)據(jù)向其它IT產(chǎn)品傳送時保證其完整性［FPT」TT.1內(nèi)部TSF數(shù)據(jù)傳送的基本保護］。TOE必須確保所有保護數(shù)據(jù)的功能不被旁路［FPT_RVM.1TSP的不可旁路性］。O.ENCRYP如果TOE允許所連接網(wǎng)絡(luò)產(chǎn)生遠程管理，那么它必須通過加密手段保護TOE與授權(quán)管理員對話的機密性。TSF應(yīng)在他自己和遠程用戶之間提供一條通信路徑，并能保護通信數(shù)據(jù)免遭修改或泄露。對于啟動用戶鑒別的時候，TSF應(yīng)要求使用可信路徑［FTP_TRP.1可信路徑］。O.RESPONTOE必須對分析結(jié)論做出正確響應(yīng)。當(dāng)探測到漏洞時，分析器應(yīng)向控制臺或通過其它報警方式發(fā)出報警信息，并采取適當(dāng)?shù)男袆印＃跢AU_ARP.1安全告警］O?SCANALZTOE必須獲取源自掃描器或外部IT實體的數(shù)據(jù)，然后使用分析進程和信息產(chǎn)生相應(yīng)的掃描結(jié)論。TOE應(yīng)對接收到的所有掃描數(shù)據(jù)執(zhí)行分析功能，且每個分析結(jié)論應(yīng)盡量詳細［FAU_SAA.l潛在侵害分析］O.RESVULTOE應(yīng)能抵抗針對明顯脆弱性所采取的攻擊O.RESVULTOE應(yīng)能采取一系列措施來檢測對TOE或其審計數(shù)據(jù)的潛在安全侵害并能采取相應(yīng)措施［FAU_ARP.1安全告警，F(xiàn)AU_SAA.1潛在侵害分析，F(xiàn)PT_RVM.1TSP的不可旁路性］。

TOE概要規(guī)范基本原理本TOE的安全要求和安全功能間雙向映射關(guān)系如下圖所示：ECollectEAnalyseEAlarmSMTaskManageSMMaintainDBRMViewRMMaintainRMConfigSPaceUMManageRoleUMAuthenticationUMAddUserUMMod訐ypwdUMMod訐yInfoAMRecordAMViewAMMaintainAMConfigSPaceSSMaintainTimeSSTimeoutSSEncryptFAUGEN.l(1)XFAUGEN.l(2)XXFAUSAR.1(1)XFAUSAR.1(2)XFAUSAR.2(1)XFAUSAR.2(2)XFAUSAR.3XFAUSTG2(1)XFAUSTG2(2)XFAUSTG4(1)XFAUSTG4(2)XFAUARP.1XFAUSAA.1XFIAUAU.2XFIAAFL.1XFIAATD.1XFIAUID.2XFMTM0F.1XFMTMTD.1XFMTSMR.1XFMTSMF.1XXXXXXXFPTRVM.1XXXXXXXFPTSTM.1XFTASSL.3XFTPTRP.1XFAU_GEN.1審計數(shù)據(jù)產(chǎn)生（1）AM.Record在可審計事件發(fā)生時，產(chǎn)生了包含事件內(nèi)容與附加細節(jié)、發(fā)生時間、主體身份等信息在內(nèi)的審計數(shù)據(jù)，并依照FAU_GEN.1.2要求的內(nèi)容和格式記錄。FAU_GEN.1審計數(shù)據(jù)產(chǎn)生（2）E.Collect能夠從目標(biāo)IT系統(tǒng)資源中收集各類靜態(tài)信息,從而滿足FAU_GEN.1.1的要求；E.Alarm能夠依照FAU_GEN.1.2要求的內(nèi)容和格式記錄檢測到的安全漏洞。FAU_SAR.1審計查閱（1）AM.View提供查看審計信息的能力。FAU_SAR.1審計查閱（2）RM.View為提供查看掃描任務(wù)報表的能力。FAU_SAR.2限制審計查閱（1）AM.View僅為授權(quán)用戶提供查看審計信息的能力，未授權(quán)用戶無法查閱。FAU_SAR.2限制審計查閱（2）RM.View僅為授權(quán)用戶提供查看掃描任務(wù)報表的能力。FAU_SAR.3可選審計查閱AM.View允許授權(quán)用戶根據(jù)日期和時間、主體身份、事件類型、相關(guān)事件、操作的成功或失敗來對審計信息進行選擇性查閱。FAU_STG.2審計數(shù)據(jù)可用性保證（1）AM.Maintain為嚴格控制的授權(quán)用戶提供刪除審計信息的能力，并確保任何用戶都不能修改審計信息的內(nèi)容，從而避免任何未授權(quán)的刪除、防止對審計記錄所進行的修改。FAU_STG.2審計數(shù)據(jù)可用性保證（2）RM.Maintain為嚴格控制的授權(quán)用戶提供刪除報表的能力，并確保任何用戶都不能修改報表的內(nèi)容，從而避免任何未授權(quán)的刪除并防止對報表進行修改。FAU_STG.4防止審計數(shù)據(jù)丟失（1）AM.Re