《信息安全技術(shù) 無線局域網(wǎng)接入系統(tǒng)安全技術(shù)要求（評估保證級2級增強(qiáng)）》編制說明

信息安全技術(shù)無線局域網(wǎng)接入系

統(tǒng)安全技術(shù)要求（EAL2增強(qiáng)）

（征求意見稿）

編制說明

中國信息安全測評中心

二〇一四年六月十七日

I

第1章工作簡況

1.1任務(wù)來源

為了建立和完善國家信息安全標(biāo)準(zhǔn)體系，貫徹和落實(shí)《關(guān)于加強(qiáng)

信息安全保障工作的意見》（中辦發(fā)[2003]27號）的文件精神，根據(jù)

我國信息化建設(shè)的實(shí)際需要，中國信息安全測評中心遵照國際通用的

測評準(zhǔn)則“通用準(zhǔn)則CC（即：ISO/IEC15408）”，等同采用國家標(biāo)準(zhǔn)

GB/T18336研究制定了一系列信息產(chǎn)品保護(hù)輪廓標(biāo)準(zhǔn)，為實(shí)現(xiàn)信息技

術(shù)和信息產(chǎn)品的分級安全測評，以及國家的等級保護(hù)提供理論支撐和

技術(shù)支持。本標(biāo)準(zhǔn)是關(guān)于無線局域網(wǎng)接入系統(tǒng)的安全技術(shù)要求。

本標(biāo)準(zhǔn)是全國信息安全標(biāo)準(zhǔn)化委員會2006-2007年度下達(dá)的并由

中國信息安全測評中心牽頭，由中國人民解放軍信息工程大學(xué)、國家

信息中心、中國科學(xué)院研究生院信息安全國家重點(diǎn)實(shí)驗(yàn)室共同參與承

擔(dān)的國家標(biāo)準(zhǔn)制定項(xiàng)目。

1.2協(xié)作單位

本項(xiàng)目由中國信息安全測評中心牽頭編寫，其他主要參與單位包

括：中國人民解放軍信息工程大學(xué)、國家信息中心、中國科學(xué)院研究

生院信息安全國家重點(diǎn)實(shí)驗(yàn)室。

1.3主要工作過程

2006年12月至2007年3月，項(xiàng)目的啟動和技術(shù)準(zhǔn)備階段。

1

2007年4月至2007年6月，制定標(biāo)準(zhǔn)草案，并組織內(nèi)部、外部

專家進(jìn)行討論和審議，形成征求意見稿。

2007年7月至2008年12月，對草案進(jìn)行修改，并通過小型研

討會等方式，廣泛聽取業(yè)界和技術(shù)專家的意見，形成送審稿。

2008年1月至2008年4月，進(jìn)一步征求意見，對標(biāo)準(zhǔn)送審稿進(jìn)

行修改。

2008年4月10日，安標(biāo)委WG5組2006-2007年度標(biāo)準(zhǔn)專項(xiàng)檢

查評審會議。

2008年5月至2008年10月，根據(jù)專項(xiàng)檢查評審會專家意見修

改完善，準(zhǔn)備項(xiàng)目驗(yàn)收。

2009年9月22日，收到安標(biāo)委轉(zhuǎn)交的寬帶無線IP標(biāo)準(zhǔn)工作組

/WAPI產(chǎn)業(yè)聯(lián)盟的“關(guān)于就《信息安全技術(shù)無線局域網(wǎng)接入系統(tǒng)安

全技術(shù)要求（EAL2增強(qiáng)級）》反饋意見的函”（CBWIPS標(biāo)字【2009】

035號），就反饋的意見進(jìn)行深入研究，逐一進(jìn)行答復(fù)，并對標(biāo)準(zhǔn)進(jìn)

行修改。

2009年10月21日，提交修訂后版本和專家意見修訂說明。

2013年6月19日，安標(biāo)委WG5組標(biāo)準(zhǔn)專家評審會議，根據(jù)專

家意見，對標(biāo)準(zhǔn)草案進(jìn)行修訂并提交新版草案和修訂意見。

2014年6月2-15日，安標(biāo)委組織專家對標(biāo)準(zhǔn)進(jìn)行投票，投票結(jié)

果為：贊成但需修改。項(xiàng)目組已針對專家意見逐條進(jìn)行應(yīng)答、解釋或

改正。

2

1.4標(biāo)準(zhǔn)主要起草人

本標(biāo)準(zhǔn)主要起草人：郭濤、賈依真、張龑、劉威鵬、朱龍華、張

翀斌、呂欣、胡亞楠、李淼、董國偉、張魯國、王憲磊。。

3

第2章標(biāo)準(zhǔn)編制原則

2.1編制目標(biāo)

本標(biāo)準(zhǔn)使用GB/T18336-2008定義的安全描述的組件與語法實(shí)例

化該類產(chǎn)品或系統(tǒng)的信息保護(hù)輪廓，包括安全功能要求與安全保證要

求。本標(biāo)準(zhǔn)針對具體的安全環(huán)境（用“假設(shè)”、“威脅”和“組織安全策

略”描述），以此為基礎(chǔ)分層、邏輯、合理地展開“安全目的”、“安全

功能要求”、“安全保證要求”，并驗(yàn)證與說明技術(shù)的正確性、覆蓋的

完備性、對應(yīng)關(guān)系的一致性等。

本標(biāo)準(zhǔn)為無線局域網(wǎng)接入系統(tǒng)類產(chǎn)品定義了一組與具體實(shí)現(xiàn)無

關(guān)的、完整的、緊密關(guān)聯(lián)的最小安全要求集合；全面描述了WLAN

接入系統(tǒng)使用的環(huán)境和面臨的威脅；陳述了相應(yīng)保證級別的WLAN

接入系統(tǒng)應(yīng)該達(dá)到的安全目的和必須滿足的安全要求。它為無線局域

網(wǎng)接入系統(tǒng)類產(chǎn)品的開發(fā)、測評和應(yīng)用提供了內(nèi)在一致的交互平臺，

作為測評基準(zhǔn)，它具有很好的時效性、連貫性、易于理解與操作的特

點(diǎn)。

2.2編制原則

無線局域網(wǎng)接入系統(tǒng)類產(chǎn)品安全技術(shù)要求標(biāo)準(zhǔn)的編制立足于我

國IT產(chǎn)業(yè)發(fā)展的現(xiàn)狀，規(guī)范與指導(dǎo)產(chǎn)品生產(chǎn)者的技術(shù)與能力。編制

過程中本著“科學(xué)、合理、系統(tǒng)、適用”的原則，注重實(shí)用性、易讀性、

可操作性以及開發(fā)和評估過程中的技術(shù)含量。

4

2.3主要內(nèi)容

計(jì)算機(jī)無線聯(lián)網(wǎng)方式是在有線網(wǎng)的基礎(chǔ)上發(fā)展起來的，使網(wǎng)上的

計(jì)算機(jī)具有可移動性，能快速、方便地解決以有線方式不易實(shí)現(xiàn)的網(wǎng)

絡(luò)信道的聯(lián)通問題。WLAN(WirelessLocalAreaNetwork)是指以無線

信道作傳輸媒介的計(jì)算機(jī)局域網(wǎng)。WLAN的常見形式是把一臺（遠(yuǎn)

程）計(jì)算機(jī)以無線方式聯(lián)入一個計(jì)算機(jī)網(wǎng)絡(luò)中，作為網(wǎng)絡(luò)中的一個節(jié)

點(diǎn)，使之具有網(wǎng)上工作站所具有的同樣的功能，獲得網(wǎng)絡(luò)上的所有服

務(wù)；或把數(shù)個（有線或無線）局域網(wǎng)聯(lián)成一個區(qū)域網(wǎng)；當(dāng)然，也可采

用全無線方式構(gòu)成一個局域網(wǎng)或在一個局域網(wǎng)中混合使用有線與無

線方式。此時，以無線方式入網(wǎng)的計(jì)算機(jī)將具有可移動性：在一定的

區(qū)域移動而同時又隨時和網(wǎng)絡(luò)保持聯(lián)系。由于WLAN可以在不受地

理?xiàng)l件限制、通信不便利以及移動通信的情況下組建計(jì)算機(jī)網(wǎng)絡(luò)，因

此具有有線網(wǎng)絡(luò)不可取代的優(yōu)勢。

本標(biāo)準(zhǔn)主要針對無線局域網(wǎng)接入系統(tǒng)提出一套與具體實(shí)現(xiàn)無關(guān)

的安全技術(shù)要求。本標(biāo)準(zhǔn)將界定接入系統(tǒng)所在安全環(huán)境的假設(shè)、基于

所保護(hù)的資產(chǎn)而受到的威脅以及應(yīng)當(dāng)采用的組織安全策略，導(dǎo)出應(yīng)達(dá)

到的安全目的，在此基礎(chǔ)上，確定接入系統(tǒng)應(yīng)當(dāng)具備的安全功能要求

和研發(fā)無線局域網(wǎng)接入系統(tǒng)應(yīng)具備的安全保證要求以及必須明確的

安全保證級別，對安全要求組件進(jìn)行完備性分析和相互支持的論證。

該安全技術(shù)要求主要包括以下幾方面的內(nèi)容：

1、準(zhǔn)確描述評估對象（TOE），即WLAN接入系統(tǒng)。

5

2、詳細(xì)描述WLAN接入系統(tǒng)的預(yù)期使用環(huán)境，包括以下三個方

面：

假設(shè)：描述在給定環(huán)境下安全使用TOE的一些前提條件。

威脅：提出由WLAN接入系統(tǒng)軟、硬件技術(shù)及其環(huán)境面臨的

風(fēng)險與威脅。

組織策略：確定WLAN接入系統(tǒng)必須遵守的組織安全策略規(guī)

則。

3、定義WLAN接入系統(tǒng)及其環(huán)境所應(yīng)達(dá)到的安全目的。

4、根據(jù)通用準(zhǔn)則（即國標(biāo)GB/T18336-2008）第二部分和第三部

分的安全功能要求和安全保證要求，提出一組與實(shí)現(xiàn)無關(guān)的安全要求

組件。

此外，作為配套材料，本標(biāo)準(zhǔn)還包括一套編制說明文件和一份宣

貫培訓(xùn)配套教材，在這兩份文件中，利用國標(biāo)GB/T18336-2008中關(guān)

于保護(hù)輪廓，即安全技術(shù)要求的基本原理證明了TOE和TOEIT環(huán)境

的安全目的滿足已證實(shí)的策略和威脅，并對安全要求組件進(jìn)行了正確

性、完備性分析和相互支持的論證。

2.4基本原理

本章論述了選擇安全目的、安全要求的基本原理。另外，本章也

描述了未滿足所有依賴關(guān)系的基本原理和功能強(qiáng)度聲明的基本原理。

表1說明了安全目的與安全假設(shè)、安全威脅和組織安全策略之間的映

射關(guān)系。

6

2.4.1安全目的基本原理

下面的表1說明了安全目的基本原理，即每個威脅/策略都至少有

一個安全目的組件與其對應(yīng)，每個安全目的都至少解決了一個威脅/

策略，因此安全目的對威脅與策略而言是充分和必要的。

7

表1安全目的與威脅和策略的映射關(guān)系

威脅/策略解決威脅的安全目的基本原理

T.ACCIDENTAL_ADMIN_ERRORO.ADMIN_GUIDANCEO.ADMIN_GUIDANCE通過保證TOE

管理員可能不正確安裝或配置TOE，從而導(dǎo)TOE為管理員提供必要的安全管理信管理員擁有指導(dǎo)他們?nèi)绾伟踩芾?/p>

致安全機(jī)制失效。息。TOE的指南來緩解威脅。指南也有助于

O.MANAGE減少管理員所犯的錯誤，此類錯誤可能

TOE應(yīng)提供管理員管理TOE安全所必引起不安全地配置TOE。

需的功能和設(shè)施，并防止這些功能和設(shè)O.MANAGE通過給管理員提供查閱和

施被未授權(quán)的使用。OE.NO_EVIL管理配置設(shè)置的能力來緩解這種威脅。

使用TOE的組織應(yīng)保證管理員是可信比如說，如果管理員在配置已認(rèn)可的用

的，訓(xùn)練有素且遵循管理員指南。戶鑒別證書時犯了錯誤，那么通過給安

OE.NO_GENERAL_PURPOSE全管理員查閱鑒別證書列表的能力將

在TOE上無法獲得通用的計(jì)算或存儲使得他們查閱列表，從而發(fā)現(xiàn)他們所犯

能力（例如：編譯器、編輯器或應(yīng)用程的錯誤。

序）。OE.NO_EVIL通過保證管理員是不敵

對的、訓(xùn)練有素的（能夠合理地管理

TOE）來緩解威脅。

OE.NO_GENERAL_PURPOSE通過保

證不會因?yàn)槲词跈?quán)軟件或數(shù)據(jù)的引入

產(chǎn)生意外錯誤；TOE上沒有通用的計(jì)算

8

或存儲庫應(yīng)用程序來緩解威脅。

T.ACCIDENTAL_CRYPTO_COMPROMISEO.RESIDUAL_INFORMATIONO.RESIDUAL_INFORMATION通過保

用戶或進(jìn)程不適當(dāng)?shù)卦L問（查看、修改或刪TOE應(yīng)確保重新分配資源時受保護(hù)資證清除網(wǎng)絡(luò)數(shù)據(jù)包中的任何殘余數(shù)據(jù)

除）與密碼功能相關(guān)聯(lián)的密鑰、數(shù)據(jù)或可執(zhí)源所包含的信息不被泄漏。和在加密密鑰不再需要時不可訪問來

行代碼，從而破壞了密碼機(jī)制和這些機(jī)制所OE.RESIDUAL_INFORMATION緩解該威脅。

保護(hù)的數(shù)據(jù)。環(huán)境應(yīng)確保重新分配資源時環(huán)境控制O.SELF_PROTECTION確保TOE足以

范圍內(nèi)受保護(hù)資源所包含的信息不被保護(hù)自身免受外部來源的威脅，所有

泄漏。TSP功能可以被調(diào)用。

O.SELF_PROTECTIONOE.SELF_PROTECTION保證TOEIT

TOE應(yīng)維護(hù)一個保護(hù)自身及其資源免環(huán)境提供與TOE相似的保護(hù)。

受外部干預(yù)、未授權(quán)泄漏的執(zhí)行域。

OE.SELF_PROTECTION

環(huán)境應(yīng)維護(hù)一個保護(hù)自身及其資源免

受外部干擾、破壞或通過自身接口未授

權(quán)泄漏的執(zhí)行域。

T.MASQUERADEO.TOE_ACCESSO.TOE_ACCESS通過控制對TOE及其

用戶可能假冒授權(quán)用戶訪問TOE資源。TOE應(yīng)提供限制用戶對TOE進(jìn)行邏輯資源進(jìn)行邏輯訪問緩解這種威脅。通過

訪問的機(jī)制。限制授權(quán)用戶訪問TOE的方式和時間，

OE.TOE_ACCESS通過規(guī)定鑒別機(jī)制的類型和強(qiáng)度，其目

環(huán)境應(yīng)提供有助于TOE控制用戶對的是降低用戶登錄和假冒授權(quán)用戶的

TOE進(jìn)行邏輯訪問的機(jī)制?？赡苄?。另外，也為管理員提供了控制

9

OE.TOE_NO_BYPASS帳戶被鎖定前用戶所產(chǎn)生登錄嘗試失

WLAN客戶端與其他WLAN客戶端或敗次數(shù)的方法，進(jìn)一步降低了用戶未授

有線網(wǎng)絡(luò)上主機(jī)之間傳輸?shù)臄?shù)據(jù)必須權(quán)訪問TOE的可能性。最后，TOE包

通過TOE。括確保受保護(hù)信道用于鑒別無線用戶

和與TOEIT環(huán)境重要組件進(jìn)行通信的

要求。

OE.TOE_ACCESS通過在TOEIT環(huán)境

中提供鑒別服務(wù)器支持TOE鑒別。環(huán)

境也包括確保受保護(hù)信道用于與TOE

IT環(huán)境重要組件進(jìn)行通信的要求。

OE.TOE_NO_BYPASS通過確保配置

WLAN客戶端使得信息只能通過TOE

在WLAN客戶端和其它WLAN客戶端

或連接到TOE的主機(jī)之間進(jìn)行流動來

緩解威脅。

T.POOR_DESIGNO.CONFIG_IDENTIFICATIONO.CONFIG_IDENTIFICATION

TOE需求規(guī)范或設(shè)計(jì)中的無意錯誤可能產(chǎn)TOE的配置管理方式應(yīng)證實(shí)設(shè)計(jì)和實(shí)通過要求開發(fā)者對TOE設(shè)計(jì)文檔所做

生漏洞，可能被惡意用戶或程序利用。施錯誤，并通過及時重新發(fā)布TOE更的變化進(jìn)行控制和具有報告、解決安全

正錯誤。缺陷的能力來處理這種威脅。

O.DOCUMENTED_DESIGNO.DOCUMENTED_DESIGN通過要求

TOE的設(shè)計(jì)應(yīng)被充分、準(zhǔn)確地文檔化。使用合理的工程原則開發(fā)TOE，在一定

10

O.VULNERABILITY_ANALYSIS程度上處理這種威脅。高層設(shè)計(jì)和功能

應(yīng)針對TOE進(jìn)行脆弱性分析以表明規(guī)范的使用確保負(fù)責(zé)開發(fā)TOE的開發(fā)

TOE的設(shè)計(jì)和實(shí)現(xiàn)不存在明顯的缺陷。者理解TOE的整體設(shè)計(jì)。這降低了設(shè)

計(jì)缺陷出現(xiàn)的可能性，提高了發(fā)現(xiàn)意外

設(shè)計(jì)錯誤的機(jī)會。ADV_RCR.1確保

TOE設(shè)計(jì)與高層設(shè)計(jì)和功能規(guī)范的一

致性。

O.VULNERABILITY_ANALYSIS確保

已對TOE進(jìn)行了脆弱性分析，任何已

發(fā)現(xiàn)的脆弱性已經(jīng)被刪除或緩解。

T.POOR_IMPLEMENTATIONO.CONFIG_IDENTIFICATIONO.CONFIG_IDENTIFICATION

TOE實(shí)現(xiàn)中的無意錯誤可能產(chǎn)生漏洞，可能TOE的配置管理方式允許證實(shí)設(shè)計(jì)和通過要求開發(fā)者對TOE設(shè)計(jì)所做的變

被惡意用戶或程序利用。實(shí)施錯誤，并通過及時重新發(fā)布TOE化進(jìn)行控制來處理這種威脅。這確保

更正錯誤。TOE變化是結(jié)構(gòu)化的和可跟蹤的。

O.PARTIAL_FUNCTIONAL_TESTINGO.PARTIAL_FUNCTIONAL_TESTING

TOE應(yīng)進(jìn)行一些安全功能測試以表明確保通過獨(dú)立的樣本測試，開發(fā)者能夠

TSF滿足TOE安全功能要求。說明和保證安全功能的正常運(yùn)行。

O.VULNERABILITY_ANALYSISO.VULNERABILITY_ANALYSIS確保

應(yīng)針對TOE進(jìn)行脆弱性分析以表明通過分析和測試TOE表明它能抵抗明

TOE的設(shè)計(jì)和實(shí)現(xiàn)不存在明顯的缺陷。顯的脆弱性。

T.POOR_TESTO.CORRECT_TSF_OPERATIONO.CORRECT_TSF_OPERATION確保

11

開發(fā)人員或測試人員對TOE的測試不充分，TOE應(yīng)提供測試TSF的能力以保證TSF持續(xù)正常的運(yùn)作。

導(dǎo)致不正確的TOE行為未被發(fā)現(xiàn)，惡意用TSF的正確運(yùn)行。O.PARTIAL_FUNCTIONAL_TESTING

戶或程序可能利用這些缺陷。O.PARTIAL_FUNCTIONAL_TESTING提高了通過測試發(fā)現(xiàn)實(shí)施中存在錯誤

TOE應(yīng)進(jìn)行一些安全功能測試以表明的可能性。

TSF滿足TOE安全功能要求。O.VULNERABILITY_ANALYSIS要求

O.VULNERABILITY_ANALYSIS除了功能測試以外需要執(zhí)行脆弱性分

應(yīng)針對TOE進(jìn)行脆弱性分析以表明析。該目的確認(rèn)TOE沒有包含功能測

TOE的設(shè)計(jì)和實(shí)現(xiàn)不存在明顯的缺陷。試未發(fā)現(xiàn)的安全缺陷。

O.DOCUMENTED_DESIGNO.DOCUMENTED_DESIGN確保文檔

TOE的設(shè)計(jì)應(yīng)被充分、準(zhǔn)確地文檔化?；腡OE設(shè)計(jì)滿足安全功能要求。為

了保證實(shí)施中正確地實(shí)現(xiàn)了TOE的設(shè)

計(jì)，在評估TOE期間必須對TOE的安

全機(jī)制執(zhí)行適當(dāng)級別的功能測試。

T.RESIDUAL_DATAO.RESIDUAL_INFORMATIONOE.RESIDUAL_INFORMATION通過

用戶變更或進(jìn)程切換引起的TOE資源的重TOE確保重新分配資源時TOE控制范保證清除網(wǎng)絡(luò)數(shù)據(jù)包中的任何殘余數(shù)

新分配導(dǎo)致了用戶或進(jìn)程對數(shù)據(jù)的非授權(quán)圍內(nèi)受保護(hù)資源所包含的信息不被泄據(jù)、在加密密鑰不再需要時禁止訪問來

訪問。漏。緩解這種威脅。

OE.RESIDUAL_INFORMATION

環(huán)境應(yīng)確保重新分配資源時環(huán)境控制

范圍內(nèi)受保護(hù)資源所包含的信息不被

泄漏。

12

T.TSF_COMPROMISEO.MANAGEO.MANAGE僅限于管理員訪問管理功

用戶或進(jìn)程利用一般攻擊不適當(dāng)?shù)卦L問（查TOE應(yīng)提供管理員管理TOE安全所必能和對TSF數(shù)據(jù)進(jìn)行管理。

閱、修改或刪除）TSF數(shù)據(jù)或可執(zhí)行代碼。需的功能和設(shè)施，并防止這些功能和設(shè)OE.MANAGE確保管理員可以查閱安

施被未授權(quán)的使用。OE.MANAGE全相關(guān)的審計(jì)事件。

IT應(yīng)增加管理員管理TOE安全所需的O.RESIDUAL_INFORMATION和

功能和設(shè)施，并防止這些功能和設(shè)施被OE.RESIDUAL_INFORMATION通過

未授權(quán)使用。保證清除網(wǎng)絡(luò)數(shù)據(jù)包中的任何殘余數(shù)

O.RESIDUAL_INFORMATION據(jù)、在加密密鑰不再需要時不可訪問來

TOE應(yīng)確保重新分配資源時TOE控制緩解這種威脅。

范圍內(nèi)受保護(hù)資源所包含的信息不被O.SELF_PROTECTION要求TOE環(huán)境

泄漏。能使自身免受威脅，TOE的安全機(jī)制不

OE.RESIDUAL_INFORMATION能被繞過。只有實(shí)現(xiàn)該目的，才能確保

環(huán)境應(yīng)確保重新分配資源時環(huán)境控制用戶不能查閱或修改TSF數(shù)據(jù)或TSF

范圍內(nèi)受保護(hù)資源所包含的信息不被可執(zhí)行代碼。

泄漏。OE.SELF_PROTECTION保證TOEIT

O.SELF_PROTECTION環(huán)境提供與TOE相似的保護(hù)。

TSF應(yīng)維護(hù)一個保護(hù)自身及其資源免

受外部干預(yù)、未授權(quán)泄漏的執(zhí)行域。

OE.SELF_PROTECTION

環(huán)境應(yīng)維護(hù)一個保護(hù)自身及其資源免

受外部干擾、破壞或未授權(quán)泄漏的執(zhí)行

13

域。

T.UNATTENDED_SESSIONO.TOE_ACCESS本標(biāo)準(zhǔn)假定TOE建立的會話是可管理

用戶未授權(quán)訪問了未被監(jiān)管的會話。TOE應(yīng)提供控制用戶對TOE進(jìn)行邏輯的會話。因此，威脅僅限于可管理的會

訪問的機(jī)制。話。IT環(huán)境應(yīng)處理普通用戶會話的終

止。O.TOE_ACCESS通過包含對管理

員會話進(jìn)行控制的機(jī)制來緩解這種威

脅。在管理員定義的非活動時間后終止

管理員會話。（規(guī)定的時間后）終止會

話的連接降低了有人訪問已建立會話

的計(jì)算機(jī)（因此未授權(quán)訪問會話）的風(fēng)

險。

T.UNAUTHORIZED_ACCESSO.MEDIATEO.MEDIATE通過確保流經(jīng)TOE的所

用戶訪問了未被授權(quán)訪問的服務(wù)。TOE必須遵循TOE安全策略轉(zhuǎn)發(fā)有網(wǎng)絡(luò)數(shù)據(jù)包遵守信息流策略來緩解

WLAN客戶端的流量。威脅。

O.TOE_ACCESSO.TOE_ACCESS和OE.TOE_ACCESS

TOE應(yīng)提供控制用戶對TOE進(jìn)行邏輯確保TOE在允許訪問TOE上或通過

訪問的機(jī)制。TOE轉(zhuǎn)發(fā)的服務(wù)前要求進(jìn)行身份鑒別。

OE.TOE_ACCESSO.SELF_PROTECTION和

環(huán)境應(yīng)提供有助于TOE控制用戶對OE.SELF_PROTECTION確保用戶訪

TOE進(jìn)行邏輯訪問的機(jī)制。問TOE上或通過TOE轉(zhuǎn)發(fā)的某種服務(wù)

O.SELF_PROTECTION之前TSF及其環(huán)境必須調(diào)用所有已配

14

TSF應(yīng)維護(hù)一個保護(hù)自身及其資源免置實(shí)施的功能（鑒別、訪問控制規(guī)則

受外部干預(yù)、未授權(quán)泄漏的執(zhí)行域。等）。

OE.SELF_PROTECTIONO.MANAGE和OE.MANAGE.

環(huán)境應(yīng)維護(hù)一個保護(hù)自身及其資源免TOE及其環(huán)境僅限于管理員修改與

受外部干擾、破壞或未授權(quán)泄漏的執(zhí)行TOE相關(guān)聯(lián)的安全屬性。這些目的確保

域。沒有其他用戶可以修改信息流策略以

O.MANAGE繞過指定的安全策略。

TOE應(yīng)提供管理員管理TOE安全所必OE.TOE_NO_BYPASS通過確保配置

需的功能和設(shè)施，并防止這些功能和設(shè)WLAN客戶端以使用無線接入系統(tǒng)轉(zhuǎn)

施被未授權(quán)的使用。OE.MANAGE發(fā)WLAN客戶端與網(wǎng)絡(luò)上其它主機(jī)之

IT環(huán)境應(yīng)增加管理員管理TOE安全所間的信息流來緩解威脅。

需的功能和設(shè)施，并防止這些功能和設(shè)

施被未授權(quán)使用。

OE.TOE_NO_BYPASS

WLAN客戶端與其它WLAN客戶端或

有線網(wǎng)絡(luò)上主機(jī)之間傳輸?shù)臄?shù)據(jù)必須

通過TOE。

T.UNAUTH_ADMIN_ACCESSO.ADMIN_GUIDANCEO.ADMIN_GUIDANCE通過保證TOE

未授權(quán)用戶訪問了管理員帳戶。TOE應(yīng)為管理員提供必要的安全管理管理員擁有指導(dǎo)他們?nèi)绾伟踩芾?/p>

信息。TOE的指南來緩解威脅。該指南也有助

O.MANAGE于減少管理員所犯的錯誤，而這樣的錯

15

TOE應(yīng)提供管理員管理TOE安全所必誤可能引起不安全地配置TOE。

需的功能和設(shè)施，并防止這些功能和設(shè)O.MANAGE和OE.MANAGE僅限于管

施被未授權(quán)的使用。OE.MANAGE理員訪問管理功能和對TSF數(shù)據(jù)進(jìn)行

IT環(huán)境應(yīng)增加管理員管理TOE安全所管理，這有助于緩解威脅。

需的功能和設(shè)施，并防止這些功能和設(shè)O.TOE_ACCESS和OE.TOE_ACCESS

施被未授權(quán)使用。通過包含鑒別TOE管理員的機(jī)制來緩

O.TOE_ACCESS解這種威脅，從而對管理員會話進(jìn)行控

TOE應(yīng)提供控制用戶對TOE進(jìn)行邏輯制。

訪問的機(jī)制。OE.NO_EVIL通過保證TOE管理員擁

OE.TOE_ACCESS有指導(dǎo)他們?nèi)绾伟踩芾鞹OE的指南

環(huán)境應(yīng)提供有助于TOE控制用戶對來緩解威脅。

TOE進(jìn)行邏輯訪問的機(jī)制。

OE.NO_EVIL

使用TOE的組織應(yīng)保證管理員是可信

的，訓(xùn)練有素且遵循管理員指南。

P.ACCESS_BANNERO.DISPLAY_BANNERO.DISPLAY_BANNER通過確保TOE

TOE在管理員登錄時應(yīng)顯示一個描述使用在使用任何需要鑒別的TOE服務(wù)之前，顯示管理員配置的旗標(biāo)（向所有用戶提

限制、法律規(guī)定或其他合理信息的初始旗TOE應(yīng)在建立管理員會話之前給出建供有關(guān)未授權(quán)使用TOE的警報）來滿

標(biāo)。議性警告。足該策略。

P.ACCOUNTABILITYO.AUDIT_GENERATIONO.AUDIT_GENERATION通過給管理

TOE的授權(quán)用戶應(yīng)對自身在TOE內(nèi)的行為TOE應(yīng)提供檢查和創(chuàng)建與用戶相關(guān)聯(lián)員提供配置審計(jì)機(jī)制（記錄特定用戶的

16

負(fù)責(zé)。的安全相關(guān)事件記錄的能力。行為或基于用戶的身份查閱審計(jì)跡）的

OE.AUDIT_PROTECTION能力來滿足該策略。另外，當(dāng)管理員對

IT環(huán)境應(yīng)提供保護(hù)審計(jì)信息和鑒別證TOE做了任何與安全相關(guān)的變化（例

書的能力。如：訪問控制規(guī)則的修改、審計(jì)機(jī)制的

OE.AUDIT_REVIEW開啟或關(guān)閉、可信信道的建立等）時，

IT環(huán)境應(yīng)提供選擇性查閱審計(jì)信息的其ID都會被記錄。

能力。OE.AUDIT_PROTECTION為TOE和

O.MANAGEIT環(huán)境的審計(jì)數(shù)據(jù)提供了存儲保護(hù)。

TOE應(yīng)提供管理員管理TOE安全所必OE.AUDIT_REVIEW通過提供查閱和

需的功能和設(shè)施，并防止這些功能和設(shè)分類審計(jì)日志的機(jī)制進(jìn)一步支持審計(jì)

施被未授權(quán)的使用。OE.MANAGE性。

IT環(huán)境應(yīng)增加管理員管理TOE安全所O.MANAGE確保僅有管理員能訪問管

需的功能和設(shè)施，并防止這些功能和設(shè)理功能和管理TSF數(shù)據(jù)。

施被未授權(quán)使用。OE.MANAGE確保管理員可以管理

O.TIME_STAMPSTOEIT環(huán)境中的審計(jì)功能。

TOE應(yīng)獲得可靠的時間戳。O.TIME_STAMPS通過要求TOE提供

OE.TIME_STAMPS一個可靠的時間戳（利用外部NTP服

IT環(huán)境應(yīng)提供可靠的時間戳。務(wù)器）支持該策略。審計(jì)機(jī)制必需在每

O.TOE_ACCESS個審計(jì)記錄中包括目前的日期和時間。

TOE應(yīng)提供控制用戶對TOE進(jìn)行邏輯OE.TIME_STAMPS確保TOEIT環(huán)境

訪問的機(jī)制。應(yīng)提供時間服務(wù)。

17

OE.TOE_ACCESSO.TOE_ACCESS和OE.TOE_ACCESS

環(huán)境應(yīng)提供有助于TOE控制用戶對通過控制對TOE及其資源的邏輯訪問

TOE進(jìn)行邏輯訪問的機(jī)制。支持該策略。其目的確保通過標(biāo)識和鑒

別用戶管理員可以跟蹤用戶的行為。

P.CRYPTOGRAPHYO.CRYPTOGRAGHYO.CRYPTOGRAGHY通過要求TOE實(shí)

TOE為自身的應(yīng)用提供密碼功能，包括加密TOE應(yīng)提供密碼功能以維護(hù)保密性和施國家密碼管理機(jī)構(gòu)認(rèn)可的加/解密服

/解密操作。完整性。務(wù)來滿足該策略。在TSF數(shù)據(jù)傳輸過程

O.RESIDUAL_INFORMATION中，這些服務(wù)為它們提供保密性和完整

TOE確保重新分配資源時TOE控制范性保護(hù)。

圍內(nèi)受保護(hù)資源所包含的信息不被泄O.RESIDUAL_INFORMATION通過確

漏。保依據(jù)國家密碼管理機(jī)構(gòu)標(biāo)準(zhǔn)清除加

密數(shù)據(jù)來滿足該策略。

P.CRYPTOGRAPHY_VALIDATEDO.CRYPTOGRAGHYO.CRYPTOGRAGHY通過要求TOE實(shí)

僅有國家密碼管理機(jī)構(gòu)認(rèn)可的密碼算法（方TOE應(yīng)提供密碼功能以維護(hù)保密性和施國家密碼管理機(jī)構(gòu)批準(zhǔn)的加/解密服

法和實(shí)現(xiàn)）才能用于密鑰管理（例如：密鑰完整性。務(wù)來滿足該策略。在TSF數(shù)據(jù)傳輸過程

的產(chǎn)生、銷毀）和密碼服務(wù)（例如；加密、O.CRYPTOGRAPHY_VALIDATED中，這些服務(wù)為它們提供保密性和完整

解密、簽名）。TOE應(yīng)使用國家密碼管理機(jī)構(gòu)認(rèn)可的性保護(hù)。

密碼模塊提供密碼服務(wù)。O.CRYPTOGRAPHY_VALIDATED通

過要求提供加密服務(wù)的密碼模塊應(yīng)是

國家密碼管理機(jī)構(gòu)認(rèn)可的來滿足該策

略。

18

P.ENCRYPTED_CHANNELO.CRYPTOGRAGHYO.CRYPTOGRAGHY和

應(yīng)提供TOE與經(jīng)授權(quán)接入網(wǎng)絡(luò)的WLAN客TOE應(yīng)提供密碼功能以維護(hù)保密性和O.CRYPTOGRAPHY_VALIDATED通

戶端之間數(shù)據(jù)傳輸加/解密的功能。完整性。過要求TOE實(shí)施國家密碼管理機(jī)構(gòu)認(rèn)

O.CRYPTOGRAPHY_VALIDATED可的加/解密服務(wù)來滿足該策略。在TSF

TOE應(yīng)使用國家密碼管理機(jī)構(gòu)認(rèn)可的數(shù)據(jù)傳輸過程中，這些服務(wù)為它們提供

密碼模塊提供密碼服務(wù)。保密性和完整性保護(hù)。

O.MEDIATEO.MEDIATE允許TOE管理員制定一

TOE必須遵循TOE安全策略轉(zhuǎn)發(fā)個加密所有無線流量的策略。

WLAN客戶端的流量。OE.PROTECT_MGMT_COMMS假設(shè)

OE.PROTECT_MGMT_COMMS審計(jì)記錄、遠(yuǎn)程網(wǎng)絡(luò)管理信息和鑒別數(shù)

環(huán)境