信息系統(tǒng)安全保護(hù)輪廓

信息系統(tǒng)安全保護(hù)輪廓(PP)產(chǎn)生辦法1前言所謂安全保護(hù)輪廓（PP），具體來說，就是為了滿足一系列的安全目標(biāo)而提出的一整套相對應(yīng)的功能和保證需求。一個PP可以重復(fù)使用于一些不同的應(yīng)用中。PP對于不同的團(tuán)體均具有重要的意義。它敘述了用戶實際的安全方法，為開發(fā)者提供了一套開發(fā)的基準(zhǔn)，為學(xué)術(shù)界描述了一些很好的安全配置方法，為評估者提供了評估的標(biāo)準(zhǔn)。PP定義了對應(yīng)一類TOEs的獨(dú)立于應(yīng)用的一系列安全需求。這些TOEs能滿足用戶對IT安全的需要。因而，用戶能夠不參考任何特定的TOE去構(gòu)造或引用一個PP來描述他們自己的IT安全需要。PP應(yīng)作為一個基于用戶服務(wù)的文件來描述，盡量使PP用戶不再去參考那些對于他們很難用到的資料。安全保護(hù)的原理應(yīng)當(dāng)明確的闡述，如果需要，可以單獨(dú)提出。PP可以是由用戶來制定，也可以是由IT產(chǎn)品研發(fā)方來制定，同時也可以由任何其它對此感興趣的團(tuán)體來制定。PP給予了用戶一種查閱特殊安全需求的方式，同時也使將來對這些需求進(jìn)行評估變得簡單易行。一般而言，在安全目標(biāo)（ST）中所包含的TOE的安全需求都應(yīng)當(dāng)在一個已存在的PP中詳細(xì)敘述過，與PP中的需求保持一致。由一些已存在的PPs可以產(chǎn)生一個新的PP。PP的內(nèi)容結(jié)構(gòu)TOE安全功能需求TOE安全功能需求TOE安全保證需求保護(hù)輪廓（PP）PP介紹PP標(biāo)識PP概述TOE描述TOE安全環(huán)境假設(shè)威脅安全組織策略安全目標(biāo)對TOE的安全目標(biāo)對環(huán)境的安全目標(biāo)IT安全需求TOE安全需求對IT環(huán)境的安全需求PP使用注釋基本原理安全目標(biāo)基本原理安全需求基本原理圖1PP內(nèi)容構(gòu)架PP基本內(nèi)容PP介紹PP介紹這部分內(nèi)容應(yīng)當(dāng)包括執(zhí)行PP注冊登記所必需的文件管理和概要信息。內(nèi)容如下：PP識別應(yīng)當(dāng)提供對PP識別、編制目錄、注冊、參照所必需的標(biāo)簽和描述信息。PP概述應(yīng)當(dāng)用簡短的形式總結(jié)PP。概述必需足夠詳細(xì)，從而能夠引起PP用戶的興趣。在PP目錄和注冊中，概述應(yīng)獨(dú)立出來作為摘要。TOE描述TOE描述這部分內(nèi)容能幫助讀者對于TOE安全需求的理解，應(yīng)當(dāng)對其產(chǎn)品型號以及一般的IT特征加以敘述。TOE描述同樣提供了評估的內(nèi)容。TOE描述中提供的信息將用在評估的過程中，來判別是否存在矛盾。由于一個PP一般不僅僅指代一個特定的應(yīng)用，其所描述的TOE特征可以是假設(shè)。如果TOE是一個產(chǎn)品或系統(tǒng)，其首要功能是安全，PP的這部分內(nèi)容將被用作是對TOE更廣泛應(yīng)用前景的敘述。TOE安全環(huán)境TOE安全環(huán)境應(yīng)描述TOE所應(yīng)用環(huán)境的安全方面，以及TOE期望被采用的方式。陳述應(yīng)包括如下內(nèi)容：假設(shè)描述了TOE的應(yīng)用或想要應(yīng)用的環(huán)境的安全方面，如：有關(guān)TOE的使用信息，包括可能的應(yīng)用，潛在的資產(chǎn)價值，對使用的可能的限制。關(guān)于TOE使用環(huán)境的信息，包括物理的，人員的以及連接的方面。威脅應(yīng)當(dāng)包括所有對TOE內(nèi)部受特殊保護(hù)的資產(chǎn)的威脅。應(yīng)當(dāng)申明的是，不是所有在此環(huán)境中遇到的可能的威脅必需列舉出來，列舉出來的僅是與安全的TOE運(yùn)行相關(guān)的那部分。威脅應(yīng)以一個辯明的威脅代理者，一次攻擊的方式描述，而資產(chǎn)是攻擊的主體。威脅代理者應(yīng)當(dāng)通過這些方面敘述，如專業(yè)知識，可用的資源和動機(jī)。攻擊應(yīng)當(dāng)通過攻擊方法，可利用脆弱點和機(jī)會來描述。如果僅僅從組織的安全法規(guī)以及假設(shè)來推導(dǎo)，那么，威脅的描述就可以忽略了。組織的安全法規(guī)的描述應(yīng)確認(rèn)和解釋任何TOE必須遵守的組織的安全法規(guī)，解釋和說明對于陳述任何一條法規(guī)都是必須的，這樣有利于指定明確的安全目標(biāo)。如果TOE是分布式的，則TOE環(huán)境的各個獨(dú)立的范圍的安全環(huán)境的方方面面（假設(shè)，威脅，組織安全法規(guī)）必須討論。3.4安全目標(biāo)安全目標(biāo)這部分應(yīng)當(dāng)定義對TOE和其環(huán)境的安全目標(biāo)。其內(nèi)容應(yīng)當(dāng)涵蓋已辯明的安全環(huán)境的所有方面。安全目標(biāo)應(yīng)當(dāng)反映所陳述的目的，應(yīng)能對抗所有已識別的威脅，并覆蓋所有辯明的組織安全法規(guī)和假設(shè)。具體有如下的安全目標(biāo)：TOE的安全目標(biāo)應(yīng)明確陳述，還須追蹤到TOE會遭遇到的已知的威脅以及TOE須遵守的組織安全法規(guī)的各個方面。環(huán)境的安全目標(biāo)同樣須明確陳述，還應(yīng)追蹤到TOE沒有完全遭遇到的已辯明的威脅或TOE須不完全遵守的組織安全法規(guī)及假設(shè)的各個方面。須注意的是，環(huán)境的安全目標(biāo)也許是對TOE安全環(huán)境的假設(shè)部分的完全或部分重復(fù)敘述。IT安全需求PP的這部分內(nèi)容詳細(xì)定義了TOE及其環(huán)境應(yīng)滿足的IT安全需求。IT安全需求具體包括如下內(nèi)容：TOE安全需求定義了為了達(dá)到TOE的安全目標(biāo)，TOE及其評估證據(jù)必須滿足的功能的和保證的安全需求。TOE的安全需求敘述如下：TOE安全功能需求應(yīng)當(dāng)適當(dāng)選擇本文附錄一內(nèi)的功能組件來定義TOE的功能上的要求。為了涵蓋每一方面的要求，附錄一的同一個組件有可能重復(fù)使用或使用同一需求的不同方面。當(dāng)在TOE安全保證需求有組件AVA_SOF.1(EAL2和更高)，TOE安全功能需求應(yīng)通過概率和排列算法保證其最低的強(qiáng)度等級。所有的功能應(yīng)當(dāng)滿足最低的等級，該等級需是如下等級中的一個：SOF-Basic,SOF-Medium,SOF-High。等級的選擇應(yīng)當(dāng)與已確定的TOE安全目標(biāo)一致。作為TOE安全功能評估強(qiáng)度的一部分（AVA_SOF.1），應(yīng)當(dāng)對每一單獨(dú)的TOE安全功能要求強(qiáng)度和TOE的總體最低安全強(qiáng)度等級進(jìn)行評估。TOE安全保證需求的陳述應(yīng)作為一個被附錄二的保證組件擴(kuò)張的EALs。當(dāng)PP中存在明確的不包含在附錄二中的額外的保證需求時，也須擴(kuò)展EAL。IT環(huán)境安全需求應(yīng)確定需被TOE的IT環(huán)境滿足的IT安全需求，如果TOE對IT環(huán)境的依賴關(guān)系尚需證實，PP的這部分內(nèi)容可以刪除。注意到，在現(xiàn)實中常常非常有用的非IT環(huán)境的安全需求不要求作為PP的正式內(nèi)容，因為它們與PP的實施不直接相關(guān)。在對TOE以及其IT環(huán)境的安全功能和保證需求的敘述中應(yīng)使用如下的一般條件：所有的IT安全需求應(yīng)當(dāng)從附錄一和附錄二中選擇，如果其中某些需求不是摘自附錄一和附錄二，PP中應(yīng)當(dāng)明確的說明，該需求不是摘自附錄。任何明確說明的非摘自附錄的需求應(yīng)當(dāng)正確而不含糊的陳述，這樣，評估及示范才可行，其具體的等級和描述方式應(yīng)參考附錄里的功能和保證需求。當(dāng)選擇了一些指定了必須的操作的安全需求時，PP應(yīng)當(dāng)使用這些操作去放大這些需求的等級，從而能夠示范是否達(dá)到安全目標(biāo)。任何PP內(nèi)沒有執(zhí)行的所要求的操作應(yīng)當(dāng)標(biāo)明。通過使用需求組件中的操作，在必要時，TOE安全需求陳述應(yīng)有選擇地規(guī)定或禁止特定安全機(jī)制的使用。所有IT安全需求之間的相關(guān)性都應(yīng)滿足，通過在TOE的安全需求或環(huán)境的需求中包含該相關(guān)聯(lián)的需求來滿足相關(guān)性。3.6使用注釋PP的這部分包含了對TOE的使用、評估、構(gòu)造所必需考慮的額外相關(guān)的有益支撐信息。3.7基本原理PP的這部分內(nèi)容提供了PP評估所需的證據(jù)。這些證據(jù)能夠證明PP內(nèi)的需求是完整而連貫的，它可以為TOE在其安全環(huán)境內(nèi)提供一套有效的IT安全抵抗措施。該基本原理內(nèi)容包括如下：安全目標(biāo)原理應(yīng)表明所有陳述的安全目標(biāo)可追蹤到TOE安全環(huán)境中確定的所有方面。安全需求原理應(yīng)表明這一系列安全需求能夠滿足并追蹤到安全目標(biāo)。如：TOE及其IT環(huán)境的各個功能和保證需求組件的組合滿足所提出的安全目標(biāo)。這一系列需求一起形成了一個相互支撐、內(nèi)部連貫的整體。安全需求的選擇是合理的，下列任一條件下需要特別的證明：所選擇的需求沒有包含在附錄一和附錄二中；所選擇的保證需求沒有指定一個EAL；相關(guān)性不滿足。PP的功能等級所選擇的強(qiáng)度，以及任意功能明確要求的強(qiáng)度，與TOE的安全目標(biāo)是統(tǒng)一的。

附錄一信息技術(shù)安全評估通用準(zhǔn)則(CommonCriteria)安全功能需求(Securityfunctionalrequirements)1安全功能需求內(nèi)容結(jié)構(gòu)1.1概述本章定義了CC功能需求的內(nèi)容和敘述方式，為ST中包含的新的組件（components）的組織要求提供指導(dǎo)。功能需求是以類(Class)，屬(Family)，組件(component)的結(jié)構(gòu)形式描述的。1.1.1類結(jié)構(gòu)圖1.1以圖表的形式圖解了功能類結(jié)構(gòu)，每一功能類包含一個類名，類介紹，一個或多個功能屬。功能類功能類類名稱類介紹功能屬圖1.1功能類結(jié)構(gòu)類名稱類名稱提供了功能類的識別和分類的必要信息。每一個功能類有一個獨(dú)特的名字。分類信息都包含一個三個字符的短名字。類名稱也用在類的屬名字規(guī)范中。類簡介類簡介闡述了滿足安全目標(biāo)的屬的基本內(nèi)容或方法。功能類的定義在要求的規(guī)范中并不反映正式的分類法。類簡介提供了一個圖表來描述類所包含的屬以及每一屬中組件的承接關(guān)系。1.1.2屬結(jié)構(gòu)圖1.2表示了功能屬的結(jié)構(gòu)。屬名稱屬名稱提供了識別和分辨功能屬所必須的分類和描述信息。每一功能屬有一獨(dú)特的名稱。分辨信息包含一個七字符的短名，開始三個字符表示對應(yīng)的類名稱，類名稱后是下劃線和屬的短名，形式如XXX_YYY。屬行為屬行為概述了功能屬的安全目標(biāo)和功能需求。詳細(xì)描述如下：如果TOE包含了屬的一個組件，則屬安全目標(biāo)敘述了在TOE的幫助下能解決的安全問題。功能需求描述概括了組件中包含的所有需求。這些描述可以幫助PPs，STs的作者判別該屬是否與其特殊的需求相關(guān)。組件級別功能屬包含了一個或多個組件，其中任何一個組件可選為PPs,STs的內(nèi)容。本節(jié)的目的是，一旦該屬被用戶選作他們功能需求的必須部分，為用戶提供選擇合適功能組件的信息。管理管理需求為PP/ST作者在考慮一個組件的管理行為時提供信息。管理需求詳細(xì)包含在管理類(FMT)的組件中。審計如果類FAU里的需求，安全審計，包含在PP/ST中，審計需求包含了PP/ST作者可選擇的審計事件。1.1.3組件結(jié)構(gòu)圖1.3表示了功能組件結(jié)構(gòu)。組件依賴關(guān)系功能元素組件識別組件管理組件等級屬行為屬名稱功能屬組件依賴關(guān)系功能元素組件識別組件管理組件等級屬行為屬名稱功能屬圖1.2功能屬結(jié)構(gòu)圖1.3功能組件結(jié)構(gòu)組件識別組件識別為組件的識別、分辨、注冊和前后引用提供了描述信息。功能元素每一個組件提供了一系列的元素，每一個元素是獨(dú)立的。一個功能元素是一個不可再分的安全需求。依賴關(guān)系當(dāng)一個組件不能自我滿足，必須依賴于其他組件的功能時，這樣組件之間的依賴關(guān)系就產(chǎn)生了。每一個組件提供了對其它功能和置信組件的依賴關(guān)系列表。

2類FAU：安全審計安全審計主要涉及的工作是對有關(guān)安全活動的信息的識別、記錄、存儲和分析（這里有關(guān)安全活動是指由TSP所控制的活動）。通過對審計結(jié)果的檢查，可以決定已發(fā)生了何種安全相關(guān)活動及其執(zhí)行者。2.1安全審計自動響應(yīng)（FAU_ARP）屬FAU_ARP定義了當(dāng)檢測到預(yù)示著某種潛在的安全入侵行為后，系統(tǒng)應(yīng)采取的響應(yīng)措施。FAU_ARP.1安全警報，一旦檢測到潛在的入侵行為時，TSF應(yīng)采取的行動。關(guān)聯(lián)性：FAU_ARP.1。2.2安全審計數(shù)據(jù)產(chǎn)生（FAU_GEN）屬FAU_GEN定義了記錄在TSF控制下發(fā)生的安全相關(guān)事件的需求。它確定了審計的級別，列舉了應(yīng)被TSF審計的事件的類型，規(guī)定了在不同的審計記錄類型中應(yīng)提供的最小審計信息。FAU_GEN.1規(guī)定了可審計事件的級別，確定了每一記錄中的數(shù)據(jù)列表。關(guān)聯(lián)性：FPT_STM.1。FAU_GEN.2用戶身份鏈接。它將被審計事件與單個用戶身份鏈接起來。關(guān)聯(lián)性：FAU_GEN.1,FIA_UID.1FAU_GEN.1.1能產(chǎn)生下列審計事件的審計記錄：審計功能的開啟和關(guān)閉；所有審計事件的審計等級[最低限度、基本級、詳細(xì)級、未指定]；[分配：其它未被特別定義的審計事件]。FAU_GEN.1.2在每一審計記錄中至少應(yīng)包含以下信息：事件發(fā)生的日期、時間、事件類型、主體身份和事件結(jié)果；對于每一審計事件的類型，是以包含在PP/ST中的功能元件的可審計事件的定義為基準(zhǔn)。FAU_GEN.2.1應(yīng)能將每一審計事件和導(dǎo)致該事件的用戶聯(lián)系起來。2.3安全審計分析（FAU_SAA）FAU_SAA定義通過分析系統(tǒng)行為和審計數(shù)據(jù)尋找可能的或確實存在的安全侵害的方式的需求。FAU_SAA.1潛在侵害分析，混合規(guī)則設(shè)置基礎(chǔ)上的基本閾值檢測是必需的。關(guān)聯(lián)性：FAU_GEN.1.FAU_SAA.2基于一般檢測的輪廓。TSF維持系統(tǒng)使用的獨(dú)立輪廓，這里輪廓代表了輪廓目標(biāo)群（profiletargetgroup）成員執(zhí)行的歷史使用模式。一個輪廓目標(biāo)群是指與TSF相互作用的一個或多個用戶（個人或組織）。每一個輪廓目標(biāo)群成員分配一個獨(dú)立的懷疑度等級（suspicionrating）。關(guān)聯(lián)性：FIA_UID.1FAU_SAA.3簡單攻擊試探法。TSF應(yīng)能檢測簽名事件的發(fā)生，簽名事件代表對TSP實施的嚴(yán)重威脅。簽名事件的搜索實時進(jìn)行或以post-collectionbatch-mode方式進(jìn)行。關(guān)聯(lián)性：無。FAU_SAA.4復(fù)雜攻擊試探法。TSF應(yīng)能夠檢測多步入侵企圖。TSF能比較區(qū)分系統(tǒng)事件和入侵企圖的事件。關(guān)聯(lián)性：無。2.4安全審計回顧（FAU_SAR）FAU_SAR定義了授權(quán)用戶可借助審計工具對審計數(shù)據(jù)進(jìn)行回顧。FAU_SAR.1提供了從審計記錄讀取信息的能力。關(guān)聯(lián)性：FAU_GEN.1FAU_SAR.2受限制的審計回顧，要求除了FAU_SAR.1授權(quán)的用戶外，其它用戶均不能讀取審計數(shù)據(jù)的信息。關(guān)聯(lián)性：FAU_SAR.1FAU_SAR.3可選擇的審計回顧，要求審計回顧工具可根據(jù)一定的準(zhǔn)則來選擇審計數(shù)據(jù)進(jìn)行回顧。關(guān)聯(lián)性：FAU_SAR.12.5安全審計事件選擇（FAU_SEL）FAU_SEL定義了在TOE運(yùn)行過程中，從可審計事件中選取或排除事件的需求。FAU_SEL.1選擇審計事件。定義了根據(jù)PP/ST作者所指定的屬性，從審計事件列表中選取事件的能力。關(guān)聯(lián)性：FAU_GEN.1,FMT_MTD.12.6安全審計事件存貯（FAU_STG）FAU_STG定義了對TSF建立和維持安全審計跟蹤的需求。FAU_STG.1受保護(hù)的審計跟蹤存貯，提出了對審計跟蹤的要求，防止審計跟蹤記錄被非法刪除或修改。關(guān)聯(lián)性：FAU_GEN.1FAU_STG.2審計數(shù)據(jù)有效性保證，對在非正常條件下保證TSF維持審計數(shù)據(jù)提出需求。關(guān)聯(lián)性：FAU_GEN.1FAU_STG.3如果審計數(shù)據(jù)丟失時的行動措施，定義了如果審計跟蹤閾值超出時的行動。關(guān)聯(lián)性：FAU_STG.1FAU_STG.4當(dāng)審計跟蹤數(shù)據(jù)滿時，預(yù)防審計數(shù)據(jù)丟失的行動。關(guān)聯(lián)性：FAU_STG.13類FCO：通訊類FCO考慮的是參與數(shù)據(jù)交換的雙方的身份認(rèn)證問題，它確保信息發(fā)送方不能抵賴其所發(fā)送的信息，接收方也不能否認(rèn)其接收到的信息。3.1發(fā)送者的不可抵賴性（FCO_NRO）FCO_NRO確保當(dāng)發(fā)送者發(fā)出信息后，其身份信息不可成功地抵賴，要求TSF能提供一種方法，確保在信息交流過程中，信息接收方同時應(yīng)收到發(fā)送者身份的信息，該信息能被接收者和其他人核實。FCO_NRO.1發(fā)送者選擇性證據(jù)要求TSF提供給主體要求發(fā)送者信息證據(jù)的能力。關(guān)聯(lián)性：FIA_UID.1FCO_NRO.2發(fā)送者執(zhí)行證據(jù)，要求傳遞信息時TSF能始終產(chǎn)生發(fā)送者的證據(jù)。關(guān)聯(lián)性：FIA_UID.13.2接收者的不可抵賴性（FCO_NRR）FCO_NRR要求TSF提供一種方法，確保發(fā)送者能得到接收者收到信息的證據(jù)，這種證據(jù)能被發(fā)送者和其他人核實。FCO_NRR.1接受者選擇性證據(jù)要求TSF提供給主體要求接收者信息證據(jù)的能力。關(guān)聯(lián)性：FIA_UID.1FCO_NRR.2接收者執(zhí)行證據(jù)，要求接收信息時TSF能始終產(chǎn)生接收者的證據(jù)。關(guān)聯(lián)性：FIA_UID.14類FCS：密碼支持FCS要求采用加密功能來幫助滿足幾種高級目標(biāo)，這些包括（但不局限于）：識別和授權(quán)；不可抵賴；安全通道等；加密功能的應(yīng)用可以是硬件，軟件或軟硬件相結(jié)合。4.1密鑰管理（FCS_CKM）密鑰在其生命周期內(nèi)必須管理好，F(xiàn)CS_CKM對TSF定義了如下的動作要求：密鑰產(chǎn)生，密鑰發(fā)布，密鑰訪問和密鑰取消。FCS_CKM.1要求按照指定算法產(chǎn)生密鑰，密鑰長度根據(jù)指定的標(biāo)準(zhǔn)產(chǎn)生。關(guān)聯(lián)性：FCS_CKM.2或FCS_COP.1,FCS_CKM.4,FMT_MSA.2FCS_CKM.2密鑰發(fā)布，根據(jù)指定的發(fā)布方法和標(biāo)準(zhǔn)發(fā)布密鑰。關(guān)聯(lián)性：FDP_ITC.1或FCS_CKM.1,FCS_CKM.4,FMT_MSA.2FCS_CKM.3密鑰訪問，要求根據(jù)指定標(biāo)準(zhǔn)，按照特定的密鑰訪問方法執(zhí)行密鑰訪問。關(guān)聯(lián)性：FDP_ITC.1或FCS_CKM.1,FCS_CKM.4,FMT_MSA.2FCS_CKM.4密鑰廢除，基于指定標(biāo)準(zhǔn)，按照特定方法廢除密鑰。關(guān)聯(lián)性：FDP_ITC.1或FCS_CKM.1,FMT_MSA.24.2密碼操作（FCS_COP）為了密碼操作正確，操作必須符合指定算法和密鑰長度。典型的密碼操作包括數(shù)據(jù)加密/解密，數(shù)值簽名產(chǎn)生/核實，哈希運(yùn)算（信息摘要），密鑰加/解密，密鑰協(xié)議。FCS_COP.1要求按照指定算法和密鑰長度執(zhí)行密碼操作，指定算法和密鑰長度是以一個要求的標(biāo)準(zhǔn)產(chǎn)生的。關(guān)聯(lián)性：FDP_ITC.1或FCS_CKM.1,FCS_CKM.4,FMT_MSA.25類FDP：用戶數(shù)據(jù)保護(hù)該類包含的屬對保護(hù)用戶數(shù)據(jù)有關(guān)的TOE安全功能和TOE安全功能策略規(guī)定了要求。類FDP能被分成四個屬。5.1訪問控制策略（FDP_ACC）FDP_ACC確定訪問控制SFPs(通過名字)，并定義了形成TSP識別的訪問控制部分的控制策略范圍?？刂品秶梢韵氯齻€要素表示：受該策略控制的主體；受該策略控制的客體；受控主體和受控客體之間的操作。FDP_ACC.1子集訪問控制。關(guān)聯(lián)性：FDP_ACF.1FDP_ACC.2完全訪問控制。關(guān)聯(lián)性：FDP_ACF.15.2訪問控制功能（FDP_ACF）FDP_ACF描述實施了FDP_ACC中指定的訪問控制策略的特定功能的規(guī)則。敘述了安全屬性使用和策略特征。FDP_ACF.1訪問控制基礎(chǔ)上的安全屬性允許TSF根據(jù)安全屬性實施訪問。進(jìn)而，TSF或許具有根據(jù)安全屬性明確認(rèn)可和否定對客體訪問的能力。關(guān)聯(lián)性：FDP_ACC.1,FMT_MSA.35.3數(shù)據(jù)鑒別（FDP_DAU）數(shù)據(jù)鑒別允許團(tuán)體對信息的真實性負(fù)責(zé)（如對信息數(shù)值簽名）。FDP_DAU提供了保證特定單元數(shù)據(jù)有效性的方法，從而也可用來驗證信息內(nèi)容沒有偽造或惡意篡改。FDP_DAU.1基本數(shù)據(jù)鑒別，要求TSF能夠保證客體信息內(nèi)容的真實性。關(guān)聯(lián)性：無FDP_DAU.2用保證人身份進(jìn)行數(shù)據(jù)鑒別，額外要求TSF能建立提供真實性保證的主體的身份。關(guān)聯(lián)性：FIA_UID.15.4輸出TSF控制（FDP_ETC）FDP_ETC定義了從TOE輸出用戶數(shù)據(jù)的功能，信息一旦輸出，其安全屬性和保護(hù)要么被明確保留，要么被忽略。FDP_ETC.1無安全屬性的用戶數(shù)據(jù)輸出，當(dāng)超出TSF輸出用戶數(shù)據(jù)時，TSF實施合適的SFPs。通過這種功能輸出的用戶數(shù)據(jù)沒有相關(guān)的安全屬性。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1FDP_ETC.2帶安全屬性的用戶數(shù)據(jù)輸出，要求TSF用合適的SFPs將輸出用戶數(shù)據(jù)與安全屬性正確而明確的聯(lián)系起來。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.15.5信息流控制策略（FDP_IFC）FDP_IFC確定信息流控制SFPs(通過名字)，并定義了形成TSP識別的信息流控制部分的控制策略范圍?？刂品秶梢韵氯齻€要素表示：受該策略控制的主體；受該策略控制的信息；導(dǎo)致受控信息流進(jìn)和流出策略控制主體的操作。FDP_IFC.1子信息流控制。關(guān)聯(lián)性：FDP_IFF.1FDP_IFC.2完全信息流控制。關(guān)聯(lián)性：FDP_IFF.15.6信息流控制功能(FDP_IFF)FDP_IFF描述了實施由FDP_IFC指定的信息流控制SFPs的特定功能的規(guī)則，同時FDP_IFF也規(guī)定了該策略的控制范圍。它由兩種需求組成：一種敘述一般的信息流功能問題；另一種敘述非法信息流（如：轉(zhuǎn)變信道）。這種分類的產(chǎn)生是由于，在某種意義上，所謂的非法信息流是與信息流控制SFP的余下部分垂直的，它們本質(zhì)上圍繞著信息流控制SFP，造成對該策略的侵害。這樣，他們要求限制和防止非法信息流發(fā)生的特定功能。FDP_IFF.1簡單安全屬性，要求信息的安全屬性，關(guān)于促使信息流動主體的安全屬性，扮演信息接收者主體的安全屬性。規(guī)定了該功能必需實施的規(guī)則，描述該功能如何推導(dǎo)安全屬性。關(guān)聯(lián)性：FDP_IFC.1,FMT_MSA.3FDP_IFF.2根據(jù)FDP_IFF.1簡單安全屬性的要求擴(kuò)展分級的安全屬性，通過要求TSP中所有的信息流控制SFPs使用分級的安全屬性，從而形成網(wǎng)格結(jié)構(gòu)。關(guān)聯(lián)性：FDP_IFC.1,FMT_MSA.3FDP_IFF.3受限制的非法信息流，要求SFP包括非法信息流，但不是一定要刪除它。關(guān)聯(lián)性：AVA_CCA.1,FDP-IFC.1FDP_IFF.4非法信息流的部分刪除，要求SFP包含刪除某些（不一定是所有）非法信息流的內(nèi)容。關(guān)聯(lián)性：AVA_CCA.1,FDP_IFC.1FDP_IFF.5無非法信息流，要求SFP能刪除所有的非法信息流。關(guān)聯(lián)性：AVA_CCA.3,FDP-IFC.1FDP_IFF.6非法信息流監(jiān)測，要求SFP能監(jiān)測指定和最大容量的非法信息流。關(guān)聯(lián)性：AVA_CCA.1,FDP_IFC.15.7超出TSF控制的輸入（FDP_ITC）FDP_ITC規(guī)定了輸入TOE的用戶數(shù)據(jù)的保護(hù)機(jī)理，使輸入用戶數(shù)據(jù)具有合適的安全屬性并能被妥善地受到保護(hù)。涉及的內(nèi)容有輸入的限制，安全屬性的指定，對用戶安全屬性的解釋。FDP_ITC.1無安全屬性的用戶數(shù)據(jù)輸入，要求用戶數(shù)據(jù)被正確地賦予安全屬性。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FMT_MSA.3FDP_ITC.2帶安全屬性的用戶數(shù)據(jù)輸入，要求安全屬性能正確表示用戶數(shù)據(jù)，并能正確而明晰地與用戶數(shù)據(jù)聯(lián)系在一起。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FTP_ITC.1或FTP_TRP.1,FPT_TDC.15.8TOE內(nèi)部傳遞（FDP_ITT）當(dāng)用戶數(shù)據(jù)通過內(nèi)部信道在TOE各部分之間傳遞時，F(xiàn)DP_ITT提出了對用戶數(shù)據(jù)的保護(hù)需求。它與FDP_UCT和FDP_UIT相反，F(xiàn)DP_UCT和FDP_UIT是對用戶數(shù)據(jù)通過外部信道在不同的TSFs之間傳遞時的保護(hù)需求。FDP_ITT.1基本的內(nèi)部傳輸保護(hù)，要求用戶數(shù)據(jù)在TOE個部分之間傳遞時能受到保護(hù)。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1FDP_ITT.2基于具有FDP_ITT.1以外的SFP相關(guān)屬性的值分離用戶數(shù)據(jù)。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1FDP_ITT.3完整性監(jiān)測。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FDP_ITT.1FDP_ITT.4基于屬性的完整性監(jiān)測。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FDP_ITT.25.9殘余信息保護(hù)（FDP_RIP）FDP_RIP提出確保已刪除信息不可再訪問的要求以及新建立的客體不能包含不可訪問的信息。具體來說，就是對已經(jīng)被邏輯刪除但是還殘留在TOE內(nèi)的信息的保護(hù)的需求。FDP_RIP.1子殘留信息保護(hù)，要求根據(jù)資源的分配，TSF能確保殘留信息內(nèi)容對TSC的指定的客體是不可訪問的。關(guān)聯(lián)性：無FDP_RIP.2全殘留信息保護(hù)，要求TSF能確保殘留信息內(nèi)容對所有的客體均是不可訪問的。關(guān)聯(lián)性：無5.10恢復(fù)（FDP_ROL）在一定的限制條件下，如一段時間內(nèi)，F(xiàn)DP_ROL能恢復(fù)上一次或一系列的操作，并回到一個以前已知的狀態(tài)，從而保證了數(shù)據(jù)的完整性。FDP_ROL.1基本恢復(fù)，敘述了在指定的限制條件下有限次數(shù)操作的恢復(fù)需求。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1FDP_ROL.2高級恢復(fù)，敘述了在指定的限制條件下，所有操作的恢復(fù)需求。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.15.11存貯數(shù)據(jù)的完整性（FDP_SDI）FDP_SDI提供了用戶數(shù)據(jù)保存在TSC內(nèi)后的保護(hù)需求。完整性錯誤會影響保存在內(nèi)存或其他存儲設(shè)備中的用戶數(shù)據(jù)。FDP_SDI.1存貯數(shù)據(jù)完整性監(jiān)測，要求SF對存貯在TSC內(nèi)的用戶數(shù)據(jù)的指定完整性錯誤進(jìn)行監(jiān)測。關(guān)聯(lián)性：無FDP_SDI.2存貯數(shù)據(jù)監(jiān)測及行動，在FDP_SDI.1的基礎(chǔ)上，增加了當(dāng)檢測到完整性錯誤后采取相應(yīng)措施的能力。關(guān)聯(lián)性：無5.12TSF之間傳遞用戶數(shù)據(jù)機(jī)密性保護(hù)（FDP_UCT）當(dāng)用戶數(shù)據(jù)使用外部信道在不同的TOE之間或不同TOE的用戶之間傳遞時，F(xiàn)DP_UCT定義了確保用戶數(shù)據(jù)機(jī)密性的需求。FDP_UCT.1基本數(shù)據(jù)交流機(jī)密性，目的是在用戶數(shù)據(jù)的傳遞過程中，防止用戶數(shù)據(jù)暴露。關(guān)聯(lián)性：FTP_ITC.1或FTP_TRP.1,FDP_ACC.1或FDP_IFC.15.13TSF之間傳遞用戶數(shù)據(jù)完整性保護(hù)（FDP_UIT）用戶數(shù)據(jù)使用外部信道在不同的TOE之間或其它可信的IT產(chǎn)品之間傳遞時，F(xiàn)DP_UIT定義了確保用戶數(shù)據(jù)完整性的需求，并能從刪除錯誤中恢復(fù)來保證完整性。。FDP_UIT.1數(shù)據(jù)交流完整性，敘述傳遞的用戶數(shù)據(jù)的修改，刪除，插入和重放錯誤的檢測。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FTP_ITC.1或FTP_TRP.1FDP_UIT.2源數(shù)據(jù)交流恢復(fù)，要求通過接收TSF恢復(fù)原始的用戶數(shù)據(jù)，借助于原始發(fā)送的可信IT產(chǎn)品。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FDP_UIT.1或FTP_ITC.1FDP_UIT.3目標(biāo)數(shù)據(jù)交流恢復(fù)，要求通過接收TSF恢復(fù)原始的用戶數(shù)據(jù)，不借助于原始發(fā)送的可信IT產(chǎn)品。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FDP_UIT.1或FTP_ITC.1

6類FIA：識別和鑒定類FIA敘述了建立和核實請求用戶身份的功能需求。識別和鑒定確保了用戶與恰當(dāng)?shù)陌踩珜傩韵嗦?lián)系。授權(quán)用戶身份的明確識別，用戶和主體之間安全屬性的正確鏈接對既定安全策略的實施至關(guān)重要。類FIA解決用戶身份的確定和核實，明確用戶作用于TOE的權(quán)限，賦予授權(quán)用戶正確的安全屬性。用戶的正確識別和鑒定是其它類（如：用戶數(shù)據(jù)保護(hù)，安全審計）實施的基礎(chǔ)。6.1鑒定失?。‵IA_AFL）FIA_AFL提出了不成功的鑒定嘗試的次數(shù)需求和一旦鑒定嘗試失敗TSF的措施。參數(shù)包括失敗的鑒定嘗試次數(shù)和時間閾值。FIA_AFL.1鑒定失敗處理，要求當(dāng)用戶鑒定嘗試達(dá)到一指定值后，TSF能終止該使命建立過程。它同時要求使命建立過程終止后，TSF能廢除該用戶帳號或關(guān)閉該嘗試的進(jìn)入端口。關(guān)聯(lián)性：FIA_UAU.16.2用戶屬性定義（FIA_ATD）所有授權(quán)用戶均有一系列安全屬性用于實施TSP。FIA_ATD定義了按照TSP的需要將用戶安全屬性與用戶連接的要求。FIA_ATD.1用戶屬性定義，要求每一用戶具有獨(dú)立的安全屬性。關(guān)聯(lián)性：無6.3安全規(guī)范（FIA_SOS）FIA_SOS定義了根據(jù)提供的秘密實施指定的質(zhì)量尺度的機(jī)理，以及產(chǎn)生滿足指定尺度的秘密的機(jī)理。FIA_SOS.1秘密的核實，要求TSF核實秘密滿足指定的質(zhì)量尺度。關(guān)聯(lián)性：無FIA_SOS.2秘密的產(chǎn)生，要求TSF能夠產(chǎn)生滿足指定質(zhì)量尺度的秘密。關(guān)聯(lián)性：無6.4用戶鑒定（FIA_UAU）FIA_UAU定義了TSF支持的不同形式的用戶鑒定機(jī)理。它同樣定義了用戶鑒定機(jī)理必須基于所需要的屬性。FIA_UAU.1鑒定的時間選擇，在用戶身份鑒定之前，容許用戶執(zhí)行某種行動。關(guān)聯(lián)性：FIA_UID.1FIA_UAU.2采取行動前的用戶鑒定，要求在采取任何TSF容許的行動之前，用戶需鑒定他們自己。關(guān)聯(lián)性：FIA_UID.1FIA_UAU.3不可偽造的鑒定，要求鑒定機(jī)理能檢測和防止用戶鑒定數(shù)據(jù)被偽造或復(fù)制。關(guān)聯(lián)性：無FIA_UAU.4單獨(dú)使用的鑒定機(jī)理，要求一個鑒定機(jī)理用單獨(dú)使用的鑒定數(shù)據(jù)操作。關(guān)聯(lián)性：無FIA_UAU.5多鑒定機(jī)理，要求對特定事件，提供不同的鑒定機(jī)理并用于用戶身份鑒定。關(guān)聯(lián)性：無FIA_UAU.6重新鑒定，要求具有指出需要被用戶重新鑒定的事件的能力。關(guān)聯(lián)性：無FIA_UAU.7受保護(hù)的鑒定反饋，要求在鑒定過程中，僅僅提供有限的反饋信息給用戶。關(guān)聯(lián)性：FIA_UAU.16.5用戶識別（FIA_UID）FIA_UID定義了在何種條件下，在執(zhí)行任何行動之前用戶應(yīng)要求去識別他們自己。FIA_UID.1識別時間安排，允許在被TSF識別之前用戶采取某種行動。關(guān)聯(lián)性：無FIA_UID.2采取任何行動之前的用戶身份識別，要求在采取任何TSF允許的行動之前用戶應(yīng)識別他們自己。關(guān)聯(lián)性：無6.6用戶-主體綁定（FIA_USB）為了使用TOE，一個授權(quán)用戶典型地激活一個主體。用戶的安全屬性（全部或部分地）與主體連接在一起。FIA_USB定義了對創(chuàng)造和維持用戶安全屬性與代表用戶的主體之間連接的需求。FIA_USB.1定義了對創(chuàng)造和維持用戶安全屬性與代表用戶的主體之間連接的需求。關(guān)聯(lián)性：FIA_ATD.17類FMT：安全管理類FMT用于指明對TSF的幾個方面的管理：安全屬性，TSF數(shù)據(jù)和功能。類FMT具有以下幾個目標(biāo)：TSF數(shù)據(jù)的管理；安全屬性的管理；TSF功能的管理；安全任務(wù)的定義。7.1TSF功能管理（FMT_MOF）FMT_MOF允許授權(quán)用戶對TSF中的功能管理進(jìn)行控制。例如審計功能和多鑒定功能。FMT_MOF.1安全功能行為管理，允許授權(quán)用戶對TSF中使用規(guī)則及在特定條件下可被管理的功能進(jìn)行管理。關(guān)聯(lián)性：FMT_SMR.17.2安全屬性管理（FMT_MSA）FMT_MSA允許授權(quán)用戶對安全屬性的管理進(jìn)行控制，這種管理需包括觀察和修改安全屬性的能力。FMT_MSA.1安全屬性管理，允許授權(quán)用戶去管理指定的安全屬性。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FMT_SMR.1FMT_MSA.2安全的安全屬性，確保安全屬性的賦值關(guān)于安全狀態(tài)是有效的。關(guān)聯(lián)性：ADV_SPM.1,FDP_ACC.1或FDP_IFC.1,FMT_MSA.1,FMT_SMR.1FMT_MSA.3靜態(tài)屬性初始化，確保安全屬性的缺省值在其本質(zhì)上，要么是允許的要么是限制的。關(guān)聯(lián)性：FMT_MSA.1,FMT_SMR.17.3TSF數(shù)據(jù)管理（FMT_MTD）FMT_MTD允許授權(quán)用戶控制TSF數(shù)據(jù)管理。例如，TSF數(shù)據(jù)包括審計信息，時鐘，系統(tǒng)配置和其它的TSF配置參數(shù)。FMT_MTD.1TSF數(shù)據(jù)管理，容許授權(quán)用戶管理TSF數(shù)據(jù)。關(guān)聯(lián)性：FMT_SMR.1FMT_MTD.2TSF數(shù)據(jù)的管理限制，規(guī)定了當(dāng)?shù)竭_(dá)TSF數(shù)據(jù)限制范圍及超出TSF數(shù)據(jù)限制范圍時需采取的行動。關(guān)聯(lián)性：FMT_MTD.1或FMT_SMR.1FMT_MTD.3安全的TSF數(shù)據(jù)，確保關(guān)于這個安全狀態(tài)，分配給TSF數(shù)據(jù)的值是有效的。ADV_SPM.1,FMT_MTD.17.4廢除（FMT_REV）FMT_REV敘述了TOE內(nèi)多個實體的安全屬性的廢除。FMT_REV.1廢除，在某些時間點，實施安全屬性的廢除。關(guān)聯(lián)性：FMT_SMR.17.5安全屬性過期（FMT_SAE）FMT_SAE敘述了對安全屬性的有限性實施時間限制的能力。FMT_SAE.1受時間限制的授權(quán)，為授權(quán)用戶提供對指定的安全屬性規(guī)定過期時間的能力。關(guān)聯(lián)性：FMT_SMR.1,FPT_STM.17.6安全管理職責(zé)（FMT_SMR）FMT_SMR主要用于控制為用戶分配不同的職責(zé)。關(guān)于安全管理的這些職責(zé)的能力在本類的其它屬中敘述。FMT_SMR.1安全職責(zé)，規(guī)定了TSF承認(rèn)的有關(guān)安全的職責(zé)。關(guān)聯(lián)性：FIA_UID.1FMT_SMR.2安全職責(zé)限制，除了對安全職責(zé)的規(guī)定，另有一些控制這些職責(zé)關(guān)系的規(guī)則。關(guān)聯(lián)性：FIA_UID.1FMT_SMR.3假設(shè)的職責(zé)，要求對TSF假定職責(zé)給出明確要求。關(guān)聯(lián)性：FMT_SMR.18類FPR：秘密類FPR包含機(jī)密需求，當(dāng)其它用戶身份暴露或誤操作時，這些需求提供必要的保護(hù)。8.1匿名（FPR_ANO）FPR_ANO確保用戶在不暴露自己身份的情況下使用資源或服務(wù)。對匿名的需求為用戶身份提供了保護(hù)。匿名不保護(hù)主體身份。FPR_ANO.1匿名，要求其它用戶或主體不能夠根據(jù)該主體或操作來分辨用戶身份。關(guān)聯(lián)性：無FPR_ANO.2無請求信息的匿名，通過確保TSF不要求用戶身份而提高了相對應(yīng)FPR_ANO.1的要求。關(guān)聯(lián)性：無8.2假名字（FPR_PSE）FPR_PSE確保用戶在不暴露自己身份的情況下使用資源或服務(wù)，但仍然需為該次使用承擔(dān)責(zé)任。FPR_PSE.1假名字，要求其它用戶或主體不能夠根據(jù)該主體或操作來分辨用戶身份，但該用戶仍需承擔(dān)其行為責(zé)任。關(guān)聯(lián)性：無FPR_PSE.2可逆的假名字，要求TSF根據(jù)提供的假名，能夠確定真實用戶身份。關(guān)聯(lián)性：FIA_UID.1FPR_PSE.3別名假名字，要求TSF能根據(jù)別名某種構(gòu)造規(guī)則得出用戶身份。關(guān)聯(lián)性：無8.3不可連接（FPR_UNL）FPR_UNL能保證一個用戶能對資源或服務(wù)做多個使用，而同時其它人不能連接這些使用。FPR_UNL.1不可連接，要求用戶或主體不能確定系統(tǒng)內(nèi)某個特定操作是否由同一用戶執(zhí)行。關(guān)聯(lián)性：無8.4不可觀察（FPR_UNO）FPR_UNO確保了一個用戶在使用一項資源或服務(wù)時，無其它人或第三方可以觀察到該資源或服務(wù)正在使用。FPR_UNO.1不可觀察，要求用戶或主體不能夠確定一項操作是否正在執(zhí)行。關(guān)聯(lián)性：無FPR_UNO.2信息分配影響不可觀察性，要求TSF能提供特定方法避免TOE內(nèi)的機(jī)密信息集中，如果安全危害發(fā)生時，這種集中可能影響不可觀察性。關(guān)聯(lián)性：無FPR_UNO.3無請求信息的不可觀察性，要求TSF不去獲得機(jī)密信息，因為這樣可能會影響不可觀察性。關(guān)聯(lián)性：FPR_UNO.1FPR_UNO.4授權(quán)用戶的可觀察性，要求TSF提供一個或多個授權(quán)用戶，他們有能力觀察到資源或服務(wù)的使用。關(guān)聯(lián)性：無

9類FPT：TSF保護(hù)類FPT包含了對TSF及其數(shù)據(jù)完整性管理機(jī)理的安全需求。在某種程度上，該類中的某些屬與類FDP（用戶數(shù)據(jù)管理）的內(nèi)容相同，按相同的原理實施，但是FDP著眼于用戶數(shù)據(jù)的管理，而FPT則著眼于TSF數(shù)據(jù)的保護(hù)。9.1根本的抽象機(jī)測試（FPT_AMT）FPT_AMT要求TSF執(zhí)行一些測試，這些測試能論證根據(jù)TSF所依靠的抽象機(jī)所做的安全假設(shè)?！俺橄蟆睓C(jī)可能是硬件或軟硬件平臺，以虛擬機(jī)的形式工作。FPT_AMT.1抽象機(jī)測試。關(guān)聯(lián)性：無9.2安全失?。‵PT_FLS）FPT_FLS的需求確保，如果TSF的失敗事件列表上的某事件發(fā)生時，TOE不會破壞TSP。FPT_FLS.1維持安全狀態(tài)的失敗，要求TSF在面臨已知的失敗時，能維持其安全狀態(tài)。關(guān)聯(lián)性：ADV_SPM.19.3輸出TSF數(shù)據(jù)的有效性（FPT_ITA）FPT_ITA定義了，當(dāng)在TSF與遠(yuǎn)程可信IT產(chǎn)品之間移動TSF數(shù)據(jù)時，防止TSF數(shù)據(jù)有效性喪失的規(guī)則。例如，這些TSF數(shù)據(jù)可能是密碼，審計數(shù)據(jù)，TSF執(zhí)行碼。FPT_ITA.1在指定有效性尺度下的TSF之間的有效性，要求TSF確保，在一定的可能性下，提供給遠(yuǎn)程可信IT產(chǎn)品的TSF數(shù)據(jù)的有效性。關(guān)聯(lián)性：無9.4輸出TSF數(shù)據(jù)的機(jī)密性（FPT_ITC）FPT_ITC定義了，當(dāng)在TSF與遠(yuǎn)程可信IT產(chǎn)品之間移動TSF數(shù)據(jù)時，防止TSF數(shù)據(jù)被非授權(quán)方獲取的規(guī)則。這些TSF數(shù)據(jù)可能是TSF的關(guān)鍵數(shù)據(jù)，例如密碼，審計數(shù)據(jù)，TSF執(zhí)行碼。FPT_ITC.1傳遞過程中TSF之間的機(jī)密性，要求TSF確保數(shù)據(jù)在TSF與遠(yuǎn)程可信IT產(chǎn)品之間傳遞時能防止被暴露。關(guān)聯(lián)性：無9.5輸出TSF數(shù)據(jù)的完整性（FPT_ITI）FPT_ITI定義了，當(dāng)在TSF與遠(yuǎn)程可信IT產(chǎn)品之間移動TSF數(shù)據(jù)時，防止TSF數(shù)據(jù)被非授權(quán)修改的規(guī)則，這些TSF數(shù)據(jù)可能是TSF的關(guān)鍵數(shù)據(jù)，例如密碼，審計數(shù)據(jù)，TSF執(zhí)行碼。FPT_ITI.1TSF之間修改檢測，當(dāng)在TSF與遠(yuǎn)程可信IT產(chǎn)品之間移動TSF數(shù)據(jù)時，提供了檢測TSF數(shù)據(jù)是否被修改的能力，檢測必須假定遠(yuǎn)程可信IT產(chǎn)品被使用的機(jī)制認(rèn)知。關(guān)聯(lián)性：無FPT_ITI.2TSF之間檢測并訂正修改，提供給遠(yuǎn)程可信IT產(chǎn)品不僅僅檢測修改的能力，并能夠訂正修改的TSF數(shù)據(jù)，它同樣必須假定遠(yuǎn)程可信IT產(chǎn)品被使用的機(jī)制認(rèn)知。關(guān)聯(lián)性：無9.6TOE內(nèi)部TSF數(shù)據(jù)傳遞（FPT_ITT）當(dāng)TSF數(shù)據(jù)通過內(nèi)部通道在TOE的各獨(dú)立部件之間傳遞時，F(xiàn)PT_ITT提供了對TSF數(shù)據(jù)的保護(hù)。FPT_ITT.1基本的內(nèi)部TSF數(shù)據(jù)傳遞保護(hù)，要求在TOE的各獨(dú)立部件之間傳遞TSF數(shù)據(jù)時，保護(hù)TSF數(shù)據(jù)。關(guān)聯(lián)性：無FPT_ITT.2TSF數(shù)據(jù)傳遞分離，要求在傳遞過程中，從TSF數(shù)據(jù)中分離出用戶數(shù)據(jù)。關(guān)聯(lián)性：無FPT_ITT.3TSF數(shù)據(jù)完整性監(jiān)測，要求在TOE的各獨(dú)立部件之間傳遞TSF數(shù)據(jù)時，能監(jiān)測已知的完整性錯誤。關(guān)聯(lián)性：FPT_ITT.19.7TSF物理保護(hù)（FPT_PHP）FPT_PHP包括對TSF的非授權(quán)物理訪問，非授權(quán)的物理修改的限制等等。確保TSF不被物理篡改和沖突。FPT_PHP.1物理攻擊的被動檢測，當(dāng)TSF元件及設(shè)備受到篡改時，提供表征的特征。然而，篡改的告示不是自動的，授權(quán)用戶必須調(diào)用安全管理功能，或手工操作某種檢查去獲知篡改是否發(fā)生。關(guān)聯(lián)性：FMT_MOF.1FPT_PHP.2物理攻擊的告知，對于已知的物理攻擊，提供對篡改的自動通告。關(guān)聯(lián)性：FMT_MOF.1FPT_PHP.3對物理攻擊的抵抗，用TSF設(shè)備或元件，提供防止或抵抗物理篡改的特征。關(guān)聯(lián)性：無9.8可信的恢復(fù)（FPT_RCV）FPT_RCV確保TSF能確定TOE在無保護(hù)失效狀況下啟動，在不連續(xù)操作下，能在無保護(hù)失效狀況下恢復(fù)。這種功能很重要，因為TSF的啟動狀態(tài)決定了隨后的保護(hù)狀態(tài)。FPT_RCV.1手工恢復(fù)，允許TOE僅僅提供通過人為干涉回復(fù)安全狀態(tài)的機(jī)理。關(guān)聯(lián)性：FPT_TST.1,AGD_ADM.1,ADV_SPM.1FPT_RCV.2自動恢復(fù)，對于至少一種形式的服務(wù)不連續(xù)，在沒有人為干涉的情況下恢復(fù)安全狀態(tài)。從其它不連續(xù)狀態(tài)恢復(fù)需要人為干涉。關(guān)聯(lián)性：FPT-TST.1,AGD_ADM.1,ADV_SPM.1FPT_RCV.3無丟失的自動恢復(fù)，在要求自動恢復(fù)的同時，不允許被保護(hù)客體的丟失。關(guān)聯(lián)性：FPT_TST.1,AGD_ADM.1,ADV_SPM.1FPT_RCV.4功能恢復(fù)，提供在特定SFs等級上的恢復(fù)，確保要么成功地完成，要么恢復(fù)TSF數(shù)據(jù)到一個安全的狀態(tài)。關(guān)聯(lián)性：ADV_SPM.19.9重放檢測（FPT_RPL）FPT_RPL敘述了對不同類型實體（信息，服務(wù)請求，服務(wù)響應(yīng)）的重放檢測及采取的相應(yīng)措施。FPT_RPL.1重放檢測，要求TSF能檢測已辯明實體的重放。關(guān)聯(lián)性：無9.10參考調(diào)解（FPT_RVM）FPT_RVM要求對傳統(tǒng)參考監(jiān)視器的始終調(diào)用方面，它確保，關(guān)于給定的SFP，策略實施所需的所有行動都由TSF對照SFP確認(rèn)了。FPT_RVM.1TSP的不可忽視，要求對TSP的所有SFPs都不能忽視。關(guān)聯(lián)性：無9.11區(qū)域隔離（FPT_SEP）FPT_SEP確保對于TSF的自我實施，至少一個安全區(qū)域是有效的，并TSF能預(yù)防外部入侵和被不受信任的用戶篡改。滿足這些功能使TSF自我保護(hù)。FPT_SEP.1TSF區(qū)域隔離，為TSF提供明確的保護(hù)區(qū)域，并隔離TSC內(nèi)的主體。關(guān)聯(lián)性：無FPT_SEP.2SFP區(qū)域隔離，要求對TSF進(jìn)一步分解，劃分明確的區(qū)域給已知系列的SFPs，用作策略的參考監(jiān)測器，并分配一個區(qū)域給剩余的TSF。關(guān)聯(lián)性：無FPT_SEP.3完整的參考監(jiān)測器，要求對TSP的實施有明確的區(qū)域，一個區(qū)域給TSF剩余部分，同樣一些區(qū)域給TOE的非TSF部分。關(guān)聯(lián)性：無9.12狀態(tài)同步協(xié)議（FPT_SSP）由于系統(tǒng)不同部分差異很大以及通訊的延遲，分布式系統(tǒng)比單片集成系統(tǒng)要復(fù)雜得多。在多數(shù)情況下，分布的功能之間的狀態(tài)同步需要一個交換協(xié)議。當(dāng)惡意陰謀存在于這些協(xié)議的分布環(huán)境中，就需要更復(fù)雜的抵抗協(xié)議。FPT_SSP.1簡單的可信任識別，要求對接收數(shù)據(jù)的簡單識別。關(guān)聯(lián)性：FPT_ITT.1FPT_SSP.2交互的可信任識別，要求對交換數(shù)據(jù)的交互識別。關(guān)聯(lián)性：FPT_ITT.19.13時間郵票（FPT_STM）FPT_STM敘述了對TOE內(nèi)部可依賴時間郵票功能的需求。FPT_STM.1可依賴的時間郵票，要求TSF為TSF功能提供可依賴的時間郵票。關(guān)聯(lián)性：無9.14TSF之間TSF數(shù)據(jù)的連貫性（FPT_TDC）在分布式或組合的系統(tǒng)環(huán)境中，TOE也許需要通過其它可信任的IT產(chǎn)品交換TSF數(shù)據(jù)，F(xiàn)PT_TDC定義了，TOE的TSF和可信任的IT產(chǎn)品之間屬性的共享和連貫解釋需求。FPT_TDC.1TSF之間基本的TSF數(shù)據(jù)的連貫性，要求TSF提供確保TSFs之間湖性連貫性的能力。關(guān)聯(lián)性：無9.15TOE內(nèi)部TSF數(shù)據(jù)復(fù)制連貫性（FPT_TRC）當(dāng)TSF數(shù)據(jù)在TOE內(nèi)部復(fù)制時，F(xiàn)PT_TRC確保其連貫性。如果TOE個部分之間的內(nèi)部通道中斷，TSF數(shù)據(jù)會變得不連續(xù)。當(dāng)TOE以內(nèi)部網(wǎng)絡(luò)方式構(gòu)造，TOE部件之間的網(wǎng)絡(luò)連接破壞或部件失效，也會發(fā)生數(shù)據(jù)不連貫。FPT_TRC.1內(nèi)部TSF連貫性，要求TSF數(shù)據(jù)在多個地點復(fù)制時，確保其連貫性。關(guān)聯(lián)性：FPT_ITT.19.16TSF自我測試（FPT_TST）FPT_TST定義了對一些期望的正確操作進(jìn)行TSF自我測試的功能。FPT_TST.1測試，提供了測試TSF的正確操作的能力，這些測試在授權(quán)用戶要求或遇到其它特殊條件時在啟動階段并定期地執(zhí)行。關(guān)聯(lián)性：FPT_AMT.110類FRU：資源使用類FRU支持所需求資源的有效性，如處理能力和存貯能力。10.1錯誤容差（FRU_FLT）FRU_FLT確保了，當(dāng)遇到錯誤時，TOE仍能保持正確的操作。FRU_FLT.1降低的錯誤容差，要求遇到已知的錯誤時，TOE能繼續(xù)已知能力的操作。關(guān)聯(lián)性：FPT_FLS.1FRU_FLT.2有限的錯誤容差，要求在遇到已知的錯誤時，TOE能繼續(xù)所有能力的操作。關(guān)聯(lián)性：FPT_FLS.110.2服務(wù)優(yōu)先級（FRU_PES）FRU_PES允許TSF能控制TSC內(nèi)資源的使用，TSC內(nèi)的高優(yōu)先級行為能不受干擾或延遲的完成。FRU_PES.1服務(wù)的有限優(yōu)先級。對TSC內(nèi)一部分資源的使用給主體提供優(yōu)先權(quán)。關(guān)聯(lián)性：無FRU_PES.2服務(wù)的完全優(yōu)先權(quán)，對TSC內(nèi)所有資源的使用給主體提供優(yōu)先權(quán)。關(guān)聯(lián)性：無10.3資源分配（FRU_RSA）FRU_RSA要求TSF控制用戶和主體對資源的使用，由于非法的資源獨(dú)占不會造成拒絕服務(wù)。FRU_RSA.1最大配額，為配額機(jī)理提供需求，確保用戶或主體不會獨(dú)占一個受控的資源。關(guān)聯(lián)性：無FRU_RSA.2最小和最大配額，為配額機(jī)理提供需求，確保用戶或主體始終擁有至少一個特定資源，他們不能獨(dú)占一個受控的資源。關(guān)聯(lián)性：無11類FTA：TOE訪問類FTA對控制用戶使命的建立規(guī)定了功能需求。11.1可選擇屬性的范圍限制（FTA_LSA）FTA_LSA限制了用戶執(zhí)行某個使命可選擇的使命安全屬性范圍。FTA_LSA.1可選擇屬性范圍限制，在使命建立過程中，要求TOE對使命安全屬性的范圍進(jìn)行限制。關(guān)聯(lián)性：無11.2對多個同時發(fā)生使命的限制（FTA_MCS）FTA_MCS要求對同一用戶同時執(zhí)行使命的數(shù)目進(jìn)行限制。FTA_MCS.1對多個同時發(fā)生使命的基本限制，為TSF的所有用戶提供限制。關(guān)聯(lián)性：FIA_UID.1FTA_MCS.2關(guān)于多個同時發(fā)生使命的每一用戶屬性限制擴(kuò)展。關(guān)聯(lián)性：FIA_UID.111.3使命鎖死（FTA_SSL）FTA_SSL為由TSF發(fā)起和用戶發(fā)起的鎖定和解除鎖定交互式使命提供能力。FTA_SSL.1TSF發(fā)起使命鎖定，包括在用戶靜止一特定時間后，一交互式使命的系統(tǒng)發(fā)起鎖定。關(guān)聯(lián)性：FIA_UAU.1FTA_SSL.2用戶發(fā)起鎖定，為用戶提供鎖定和解除鎖定自己發(fā)起使命的能力。FIA_UAU.1FTA_SSL.3TSF發(fā)起終止，為TSF在用戶靜止一特定時間后終止該使命提供能力。關(guān)聯(lián)性：無11.4TOE訪問標(biāo)語（FTA_TAB）FTA_TAB要求展示關(guān)于TOE正確使用的配置咨詢警告信息。FTA_TAB.1缺省的TOE訪問標(biāo)語，為TOE的訪問標(biāo)語提供需求，標(biāo)語是先于使命建立會話展示的。關(guān)聯(lián)性：無11.5TOE訪問歷史（FTA_TAH）FTA_TAH要求可根據(jù)成功地使命建立及訪問用戶帳號的成功或不成功嘗試歷史，TSF展示給用戶的內(nèi)容。FTA_TAH.1TOE訪問歷史，根據(jù)以前建立使命的嘗試，要求TOE展示給用戶的信息。關(guān)聯(lián)性：無11.6TOE使命建立（FTA_TSE）FTA_TSE定義了對TOE拒絕用戶建立使命的請求。FTA_TSE.1TOE使命建立，根據(jù)屬性，為拒絕用戶訪問TOE提供需求。關(guān)聯(lián)性：無

12類FTP：信任通道類FTP為用戶和TSF之間的可靠通訊通道提出了需求，同時對TSF和可靠的IT產(chǎn)品之間的可靠通信信道提出了需求?？煽康耐ǖ篮托诺谰哂邢铝械囊话闾卣鳎河蓛?nèi)部和外部通信信道構(gòu)造的通信通道能將一部分指定的TSF數(shù)據(jù)和命令從剩余的TSF和用戶數(shù)據(jù)中分離出來。通信通道的使用必須由用戶或TSF發(fā)起。通信通道能夠提供可靠的服務(wù)，使用戶與正確的TSF交流，同時，TSF也在與正確的用戶連接。12.1TSF之間的可靠信道（FTP_ITC）FTP_ITC定義了對在TSF與可靠IT產(chǎn)品之間創(chuàng)建信任信道的需求，他包括這些要求：任何時候都應(yīng)該在用戶與TSF數(shù)據(jù)或可靠IT產(chǎn)品之間在TOE內(nèi)的通訊提供安全通道。FTP_ITC.1TSF之間的可靠信道，要求TSF在它自己與其他可靠IT產(chǎn)品之間體統(tǒng)可靠的通信信道。關(guān)聯(lián)性：無12.2可靠通道（FTP_TRP）FTP_TRP對建立和維持用戶和TSF之間的可靠通信定義了要求?？煽客ǖ涝谌魏紊婕鞍踩南嗷プ饔弥卸际潜仨毜??？煽客ǖ澜涣骺捎捎脩艋騎SF發(fā)起。FTP_TRP.1可靠信道，要求對于由PP/ST作者所定義的一系列事件提供TSF和用戶之間的可信信道。用戶和TSF均能啟動可靠通道。關(guān)聯(lián)性：無附錄二信息技術(shù)安全評估通用準(zhǔn)則(CommonCriteria)安全保證需求(Securityassurancerequirements)

CC保證范例CC體系安全策略所面臨的威脅被證明滿足要求的安全方法保證方法以對產(chǎn)品或系統(tǒng)的評價(Evaluation)作為保證(Assurance)的基礎(chǔ)脆弱性(Vulnerabilities)——有意或無意的攻擊可以導(dǎo)致系統(tǒng)的安全性被破壞。系統(tǒng)的脆弱性需要被消除、最小化或?qū)嵤┍O(jiān)控。導(dǎo)致脆弱性的因素——需求、構(gòu)造、操作CC保證——CC通過主動調(diào)查(activeinvestigation)來提供保證。主動調(diào)查是對IT產(chǎn)品或系統(tǒng)的一種評估，以決定其安全特性。評估保證——評估已成為獲得保證的傳統(tǒng)方法，而且是CC的基礎(chǔ)。CC評估保證規(guī)模安全保證需求2.1結(jié)構(gòu)類(Class)屬(Family)類(Class)屬(Family)組件(Component)元素(Element)類名類的簡介屬(family)2.1.2屬的結(jié)構(gòu)屬名目標(biāo)組件級別(componentlevelling)應(yīng)用注釋保證組件2.1.3保證組件結(jié)構(gòu)(圖2.2)組件確認(rèn)目標(biāo)應(yīng)用注釋依賴性保證元素(assuranceelement)——保證元素是CC中最小的安全需求2.1.4保證元素 ——每個元素代表一個需求（一一對應(yīng)）2.1.5EAL結(jié)構(gòu)EAL名目標(biāo)應(yīng)用注釋保證組件2.1.6保證與保證級別之間的關(guān)系2.2組件分類法2.3PP和ST評估標(biāo)準(zhǔn)的類結(jié)構(gòu)——類似于其他classes的結(jié)構(gòu)，唯一不同之處在于：在相關(guān)的屬的描述中缺少組件級別(componentlevelling)一項 2.4Part3中術(shù)語的用法2.5保證的分類表(表2.1)2.6保證類和屬概覽 2.6.1ACM類：配置管理(Configurationmanagement) ——保證TOE的完整性，阻止對TOE進(jìn)行未經(jīng)授權(quán)的修改ACM_AUT：自動化(CMautomation)——自動化管理配置項ACM_CAP：能力(CMcapability)——定義了CM系統(tǒng)的特征ACM_SCP：范圍(CMscope)——指出了CM系統(tǒng)需要控制的TOE項 2.6.2ADO類：傳送與操作(Deliveryandoperation)——定義了有關(guān)TOE的安全傳送、安裝和操作方面的方法、程序及標(biāo)準(zhǔn)的需求ADO_DEL：傳送(Delivery)ADO_IGS：安裝、產(chǎn)生和啟動(Installation,generationandstart-up) 2.6.3ADV類：發(fā)展(Development)——定義了從ST中的TOE概要說明直到實際實現(xiàn)中的TSF的逐步完善的需求ADV_FSP：功能說明(Functionalspecification)ADV_HLD：高級設(shè)計(High-leveldesign)——確定了TSF的基本結(jié)構(gòu)，以及主要的硬件、固件和軟件元素ADV_IMP：實現(xiàn)表示(Implementationrepresentation)——根據(jù)源代碼、硬件描述等捕捉到了TSF最詳細(xì)的內(nèi)部工作方式ADV_INT：TSF內(nèi)部(TSFinternals)——TSF內(nèi)部需求指定了TSF必不可少的內(nèi)部結(jié)構(gòu)ADV_LLD：低級設(shè)計(Low-leveldesign)——細(xì)節(jié)水平的設(shè)計，可用作程序設(shè)計或硬件構(gòu)造的基礎(chǔ)ADV_RCR：表述一致(Representationcorrespondence)ADV_SPM：安全策略建模(Securitypolicymodeling)——安全策略模型是TSP安全策略的結(jié)構(gòu)化表述，并用來提供保證使功能說明與TSP安全策略進(jìn)而最終與TOE安全功能需求相符合 2.6.4AGD類:手冊文檔(Guidancedocuments)AGD_ADM：管理員手冊AGD_USR：用戶手冊 2.6.5ALC類：生命周期支持(Lifecyclesupport) ——在TOE發(fā)展中采用了生命周期模型ALC_DVS：發(fā)展安全(Developmentsecurity)——包括了物理的、程序的、人員的及在發(fā)展環(huán)境中用的其它安全方法ALC_FLR：缺點糾正(Flawremediation)ALC_LCD：生命周期定義(Lifecycledefinition)ALC_TAT：工具和技術(shù)(Toolsandtechniques) 2.6.6ATE類：測試(Tests) ——陳述了用以證明TSF滿足TOE安全功能需求的測試需求ATE_COV：覆蓋度(Coverage)ATE_DPT：深度ATE_FUN：功能測試ATE_IND：獨(dú)立測試(Independenttesting) 2.6.7AVA類：脆弱性估計(Vulnerabilityassessment)AVA_CCA：隱蔽通道的分析(Covertchannelanalysis)AVA_MSU：誤用(Misuse)AVA_SOF：TOE安全功能的強(qiáng)度(StrengthofTOEsecurityfunctions)AVA_VLA：脆弱性分析(Vulnerabilityanalysis)2.7維護(hù)分類(Maintenancecategorisation)2.8保證維護(hù)(Maintenanceofassurance)類和屬概覽 2.8.1AMA類：保證維護(hù)(Maintenanceofassurance)——當(dāng)TOE或其環(huán)境被改變時，AMA類旨在維護(hù)TOE繼續(xù)達(dá)到安全目標(biāo)的保證水平AMA_AMP：保證維護(hù)計劃(Assurancemaintenanceplan)AMA_CAT：TOE組件分類報告(TOEcomponentcategorizationreport)AMA_EVD：保證維護(hù)證據(jù)(Evidenceofassurancemaintenance)AMA_SIA：安全影響分析(Securityimpactanalysis)APE類：PP評估PP評估的目的在于證明PP是完整的、一致的、技術(shù)上可靠的、因而適于用作對可評估的TOE需求的陳述。APE類：PP評估APE類：PP評估APE_DES：PP，TOE描述APE_ENV：PP，安全環(huán)境APE_INT：PP，PP簡介APE_OBJ：PP，安全目標(biāo)APE_REQ：PP，IT安全需求APE_SRE：PP，明確陳述的IT安全需求圖4.1PP評估類分解3.1TOE描述(APE_DES)相關(guān)性(Dependencies)：APE_ENVAPE_INTAPE_OBJAPE_REQ開發(fā)者行動元素(Developeractionelements)：PP開發(fā)者要提供一個TOE描述作為PP的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE描述至少要描述產(chǎn)品的類型和TOE的一般IT特征。評估者行動元素(Evaluatoractionelements)：評估者要確認(rèn)：所提供的信息滿足對于證據(jù)元素內(nèi)容和表達(dá)的所有需求。TOE描述是條理分明的、內(nèi)部一致的。TOE描述與PP的其它部分是一致的。3.2安全環(huán)境(APE_ENV)相關(guān)性(Dependencies)：無開發(fā)者行動元素(Developeractionelements)：PP開發(fā)者要提供一個TOE安全環(huán)境陳述作為PP的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE安全環(huán)境陳述要標(biāo)識和解釋：任何關(guān)于TOE用法及使用環(huán)境的假設(shè)。任何已知和假定的對于資產(chǎn)的威脅，對此，TOE或其環(huán)境需要保護(hù)。TOE必須遵守的任何組織安全策略。評估者行動元素(Evaluatoractionelements)：評估者要確認(rèn)：所提供的信息滿足對于證據(jù)元素內(nèi)容和表達(dá)的所有需求。TOE安全環(huán)境陳述是條理分明的、內(nèi)部一致的。3.3PP簡介(APE_INT)相關(guān)性(Dependencies)：APE_DESAPE_ENVAPE_OBJAPE_REQ開發(fā)者行動元素(Developeractionelements)：PP開發(fā)者要提供一個PP簡介作為PP的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：PP簡介要包含：一個PP標(biāo)識，它提供標(biāo)注和描述信息。一個PP概覽。評估者行動元素(Evaluatoractionelements)：評估者要確認(rèn)：所提供的信息滿足對于證據(jù)元素內(nèi)容和表達(dá)的所有需求。PP簡介是條理分明的、內(nèi)部一致的。PP簡介與PP的其它部分是一致的。3.4安全目標(biāo)(APE_OBJ)相關(guān)性(Dependencies)：APE_ENV開發(fā)者行動元素(Developeractionelements)：PP開發(fā)者要提供：一個安全目標(biāo)陳述作為PP的一部分。安全目標(biāo)原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：安全目標(biāo)陳述要為TOE及其環(huán)境定義安全目標(biāo)。TOE安全目標(biāo)要清晰的陳述，并且追蹤TOE遇到的威脅的各方面。環(huán)境安全目標(biāo)要清晰的陳述，并且追蹤所有威脅的各方面。安全目標(biāo)原理要證明已提出的安全目標(biāo)適用于反對已確認(rèn)的威脅。安全目標(biāo)原理要證明已提出的安全目標(biāo)包含所有已確定的組織安全策略和假設(shè)。評估者行動元素(Evaluatoractionelements)：評估者要確認(rèn)：所提供的信息滿足對于證據(jù)元素內(nèi)容和表達(dá)的所有需求。安全目標(biāo)陳述是完整的、條理分明的、內(nèi)部一致的。3.5IT安全需求(APE_REQ)相關(guān)性(Dependencies)：APE_OBJ開發(fā)者行動元素(Developeractionelements)：PP開發(fā)者要提供：一個IT安全需求陳述作為PP的一部分。安全需求原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE安全功能需求陳述要確定TOE安全功能需求(從CCPart2功能需求組件中得到)。TOE安全保證需求陳述要確定TOE安全保證需求(從CCPart3保證需求組件中得到)。TOE安全保證需求陳述要包括在CCPart3中定義的評估保證級別(EAL)。證據(jù)要證明TOE安全保證需求陳述是適當(dāng)?shù)?。如果合適的話，PP要確定IT環(huán)境的安全需求。PP中關(guān)于IT安全需求的所有已完成的和未完成的操作都要被確定。PP中包括的IT安全需求之間的依賴性要被確定。PP要包括關(guān)于TOE安全功能需求的最小功能強(qiáng)度水平的陳述，可選擇是SOF-初級，SOF-中級，或是SOF-高級。PP要確定明確的TOE安全功能需求，對這些需求來說，可以選擇明確的功能強(qiáng)度，以及特定的衡量標(biāo)準(zhǔn)。安全需求原理要證明PP的最小功能強(qiáng)度水平，以及任何明確的功能強(qiáng)度聲明，是與TOE安全目標(biāo)相一致的。安全需求原理要證明IT安全需求適合于達(dá)到安全目標(biāo)。安全需求原理要證明IT安全需求集形成了一個互相支持的和內(nèi)部一致的整體。評估者行動元素(Evaluatoractionelements)：評估者要確認(rèn)：所提供的信息滿足對于證據(jù)元素內(nèi)容和表達(dá)的所有需求。安全目標(biāo)陳述是完整的、條理分明的、內(nèi)部一致的。3.6明確陳述的IT安全需求(APE_SRE) ——不參考CC的其他的需求。相關(guān)性(Dependencies)：APE_REQ開發(fā)者行動元素(Developeractionelements)：PP開發(fā)者要提供：一個IT安全需求陳述作為PP的一部分。安全需求原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：所有不參考CC的明確陳述的TOE安全需求都要被確定。所有不參考CC的明確陳述的IT環(huán)境安全需求都要被確定。證據(jù)要證明為什么安全需求要被明確陳述。明確陳述的IT安全需求要用CC需求的組件、屬和類作為表達(dá)模型。明確陳述的IT安全需求應(yīng)是可測量的，并且應(yīng)陳述目標(biāo)評估需求以使得可以決定并系統(tǒng)地證明是否遵從TOE。明確陳述的IT安全需求應(yīng)被清楚地表達(dá)。安全需求原理要證明保證需求適用于支持任何明確陳述的TOE安全功能需求。評估者行動元素(Evaluatoractionelements)：評估者要：確認(rèn)所提供的信息滿足對于證據(jù)元素內(nèi)容和表達(dá)的所有需求。決定所有明確陳述的IT安全需求之間的依賴性已被確定。ASE類：ST評估ST評估的目的在于證明ST是完整的、一致的、技術(shù)上可靠的、因而適于用作相應(yīng)的TOE評估的基礎(chǔ)。ASE類：ST評估ASE類：ST評估APE_DES：PP，TOE描述APE_DES：PP，TOE描述ASE_ENV：ST，安全環(huán)境ASE_ENV：ST，安全環(huán)境ASE_INT：ST，ST簡介ASE_INT：ST，ST簡介ASE_OBJ：ST，安全目標(biāo)ASE_OBJ：ST，安全目標(biāo)ASE_PPC：ST，PP要求ASE_PPC：ST，PP要求ASE_REQ：PP，IT安全需求ASE_REQ：PP，IT安全需求ASE_SRE：PP，明確陳述的IT安全需求ASE_SRE：PP，明確陳述的IT安全需求ASE_TSS：ST，TOE概要規(guī)范ASE_TSS：ST，TOE概要規(guī)范4.1ST評估類分解4.1TOE描述（ASE_DES）相關(guān)性(Dependencies)：ASE_ENV.1ASE_INT.1ASE_OBJ.1ASE_PPC.1ASE_REQ.1ASE_TSS.1開發(fā)者行動元素(Developeractionelements)：ST開發(fā)者要提供一個TOE描述作為ST的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE描述至少要描述產(chǎn)品或系統(tǒng)的類型和TOE，以物理和邏輯方式用通俗語言描述TOE的范圍和界限。評估者行動元素(Evaluatoractionelements)：評估者要確認(rèn)：所提供的信息滿足對于證據(jù)元素內(nèi)容和表達(dá)的所有需求。TOE描述是條理分明的、內(nèi)部一致的。TOE描述與ST的其它部分是一致的。4.2安全環(huán)境(ASE_ENV)相關(guān)性(Dependencies)：無開發(fā)者行動元素(Developeractionelements)：ST開發(fā)者要提供一個TOE安全環(huán)境陳述作為ST的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE安全環(huán)境陳述要標(biāo)識和解釋：任何關(guān)于TOE用法及使用環(huán)境的假設(shè)。任何已知和假定的對于資產(chǎn)的威脅，對此，TOE或其環(huán)境需要保護(hù)。TOE必須遵守的任何組織的安全政策。評估者行動元素(Evaluatoractionelements)：評估者要確認(rèn)：所提供的信息滿足對于證據(jù)元素內(nèi)容和表達(dá)的所有需求。TOE安全環(huán)境陳述是條理分明的、內(nèi)部一致的。4.3ST簡介(ASE_INT)相關(guān)性(Dependencies)：ASE_DESASE_ENVASE_OBJASE_PPCAPE_REQASE_TSS開發(fā)者行動元素(Developeractionelements)：PP開發(fā)者要提供一個ST簡介作為ST的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：ST簡介要包含：一個ST標(biāo)識，它提供控制和識別相關(guān)ST和TOE所必須的標(biāo)注和描述信息。一個ST概述。一個CC一致性要求，陳述對TOE的CC一致性的可評估要求。評估者行動元素(Evaluatoractionelements)：評估者要確認(rèn)：所提供的信息滿足對于證據(jù)元素內(nèi)容和表達(dá)的所有需求。ST簡介是條理分明的、內(nèi)部一致的。ST簡介與ST的其它部分是一致的。4.4安全目標(biāo)(ASE_OBJ)相關(guān)性(Dependencies)：ASE_ENV開發(fā)者行動元素(Developeractionelements)：ST開發(fā)者要提供：一個安全目標(biāo)陳述作為ST的一部分。安全目標(biāo)原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：安全目標(biāo)陳述要為TOE及其環(huán)境定義安全目標(biāo)。TOE安全目標(biāo)要清晰的陳述，并且追蹤TOE遇到的威脅的各方面。環(huán)境安全目標(biāo)要清晰的陳述，并且追蹤TOE所遭遇的已知威脅和組織的安全政策的各方面。環(huán)境的安全目標(biāo)應(yīng)能明確的陳述并追蹤TOE所有威脅和組織安全政策或假設(shè)的方方面面。安全目標(biāo)原理要證明已提出的安全目標(biāo)適用于對抗已確認(rèn)的威脅。安全目標(biāo)原理要證明已提出的安全目標(biāo)包含所有已確定的組織安全策略和假設(shè)。評估者行動元素(Evaluatoractionelements)：評估者要確認(rèn)：所提供的信息滿足對于證據(jù)元素內(nèi)容和表達(dá)的所有需求。安全目標(biāo)陳述是完整的、條理分明的、內(nèi)部一致的。4.5PP需求(ASE_PPC)相關(guān)性(Dependencies)：ASE_OBJASE_REQ開發(fā)者行動元素(Developeractionelements)：開發(fā)者要提供：任意的PP需求作為PP的一部分。對每一提供的PP需求給出PP需求原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：每一個PP需求應(yīng)標(biāo)明：所要求的PP一致性，包括需求所必需的資格；IT安全環(huán)境陳述滿足PP允許的操作，否則要進(jìn)一步給PP需求賦予資格。除開那些包含在PP的內(nèi)容，安全目標(biāo)和IT安全需求陳述也應(yīng)包含在ST中。評估者行動元素(Evaluatoractionelements)：評估者要確認(rèn)：所提供的信息滿足對于證據(jù)元素內(nèi)容和表達(dá)的所有需求。PP需求是PP的一個正確示例。4.6IT安全需求(ASE_REQ)相關(guān)性(Dependencies)：ASE_OBJ開發(fā)者行動元素(Developeractionelements)：開發(fā)者要提供：一個IT安全需求陳述作為ST的一部分。安全需求原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE安全功能需求陳述要確定TOE安全功能需求(從CCPart2功能需求組件中得到)。TOE安全保證需求陳述要確