(高清版)GB∕T 30284-2020 信息安全技術(shù) 移動(dòng)通信智能終端操作系統(tǒng)安全技術(shù)要求

信息安全技術(shù)移動(dòng)通信智能終端操作系統(tǒng)安全技術(shù)要求2020-04-28發(fā)布2020-11-01實(shí)施國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)Ⅰ 1范圍 2規(guī)范性引用文件 3術(shù)語、定義和縮略語 3.1術(shù)語和定義 4概述 4.1移動(dòng)終端操作系統(tǒng)描述 4.2移動(dòng)終端操作系統(tǒng)安全特征 5安全問題定義 5.2安全威脅 5.3組織安全策略 6安全目的 6.1移動(dòng)終端操作系統(tǒng)安全目的 6.2環(huán)境安全目的 7安全要求 7.1安全功能要求 7.2安全保障要求 8基本原理 8.1安全目的基本原理 8.2安全要求的基本原理 8.3組件依賴關(guān)系 參考文獻(xiàn) Ⅲ本標(biāo)準(zhǔn)按照GB／T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)代替GB／T30284—2013《移動(dòng)通信智能終端操作系統(tǒng)安全技術(shù)要求（EAL2級(jí)）》。本標(biāo)準(zhǔn)與GB／T30284—2013相比，主要技術(shù)變化如下：—修改了標(biāo)準(zhǔn)名稱為《信息安全技術(shù)移動(dòng)通信智能終端操作系統(tǒng)安全技術(shù)要求》；—修改了“范圍”中安全技術(shù)要求級(jí)別（見第1章—修改了第2章規(guī)范性引用文件（見第2章和2013年版的第2章—?jiǎng)h除了部分術(shù)語（見2013年版的第3章—增加了部分縮略語（見3.2—修改了移動(dòng)通信智能終端操作系統(tǒng)描述（見4.1—修改了安全目的的規(guī)定（見第6章—將原標(biāo)準(zhǔn)第7章“安全功能要求”和第8章“安全保障要求”合并為“安全要求”（見第7章—?jiǎng)h除了“安全審計(jì)類：FAU”中的“審計(jì)查閱（FAU_SAR.1）”和“有限審計(jì)查閱（FAU_SAR.2）”—?jiǎng)h除了“密碼支持類：FCS”中的擴(kuò)展組件“密碼支持基本要求（FCS_CBR_EXT.1）”和“密碼操—?jiǎng)h除了“安全管理類：FMT”中的“安全屬性撤銷（FMT_REV.1）”（見2013年版的7.5.10—?jiǎng)h除了“TOE訪問類：FTA”中“TOE會(huì)話建立（FTA_TSE.1）”和“可選屬性范圍限定（FTA_—增加了“用戶數(shù)據(jù)保護(hù)（FDP類）”中的“子集殘余信息保護(hù)（FDP_RIP.1）”和“基本回退（FDP_—增加了EAL3、EAL4級(jí)的安全保障要求（見7.2—修改了安全目的和安全要求的基本原理的規(guī)定（見8.1和8.2 請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC／TC260）提出并歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)信息安全測(cè)評(píng)中心、興唐通信科技有限公司、國(guó)網(wǎng)思極網(wǎng)安科技（北京）有限公司、北京元心科技有限公司、中國(guó)科學(xué)院軟件研究所、北京郵電大學(xué)、中國(guó)信息通信研究院、展訊通信（上海）有限公司。本標(biāo)準(zhǔn)主要起草人：張寶峰、賈煒、楊永生、石松、李鳳娟、許源、殷樹剛、寧華、饒華一、畢海英、Ⅳ本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為：—GB/T30284—2013。1信息安全技術(shù)移動(dòng)通信智能終端操作系統(tǒng)安全技術(shù)要求本標(biāo)準(zhǔn)規(guī)定了移動(dòng)通信智能終端（以下簡(jiǎn)稱移動(dòng)終端）操作系統(tǒng)的安全功能要求和達(dá)到EAL2、EAL3和EAL4保障級(jí)的安全保障要求。本標(biāo)準(zhǔn)適用于移動(dòng)終端操作系統(tǒng)產(chǎn)品的設(shè)計(jì)、開發(fā)、測(cè)試和采購。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T18336.1—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型GB/T18336.2—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第2部分：安全功能組件GB/T18336.3—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第3部分：安全保障組件GB/T25069—2010信息安全技術(shù)術(shù)語3術(shù)語、定義和縮略語GB/T18336.1—2015及GB/T25069—2010界定的以及下列術(shù)語和定義適用于本文件。一個(gè)授權(quán)用戶，擁有管理部分或全部移動(dòng)終端操作系統(tǒng)安全功能的權(quán)限，同時(shí)可擁有旁路部分移動(dòng)終端操作系統(tǒng)安全策略的特權(quán)。3.1.2移動(dòng)終端操作系統(tǒng)之外，向用戶提供服務(wù)功能的軟件。3.1.3鑒別數(shù)據(jù)用于驗(yàn)證用戶所聲稱身份的信息。3.1.4依據(jù)安全策略可執(zhí)行某項(xiàng)操作的用戶。23.1.5一組有限的邏輯或物理實(shí)體。注：操作系統(tǒng)為用戶、主體和客體分配或管理資源，如存儲(chǔ)空間、電源、CPU、無線通信設(shè)備等。3.1.6用戶與TSF的一段交互。注：會(huì)話建立受控于多種因素，如用戶鑒別、對(duì)TOE訪問的時(shí)間和方法及允許建立會(huì)話的最大數(shù)等。3.1.7移動(dòng)通信智能終端能接入移動(dòng)通信網(wǎng)，提供應(yīng)用軟件開發(fā)接口，并能安裝和運(yùn)行第三方應(yīng)用軟件的移動(dòng)終端設(shè)備。3.1.8正確執(zhí)行SFR應(yīng)依賴的TOE的所有硬件、軟件和固件的組合功能。3.1.9TSF同遠(yuǎn)程可信IT產(chǎn)品能在必要的信任基礎(chǔ)上進(jìn)行通信的一種通信手段。用戶和TSF能在必要的信任基礎(chǔ)上進(jìn)行通信的一種通信手段。實(shí)施移動(dòng)終端操作系統(tǒng)安全功能所依賴的數(shù)據(jù)。由用戶產(chǎn)生或?yàn)橛脩舴?wù)的數(shù)據(jù)。下列縮略語適用于本文件。IP互聯(lián)網(wǎng)協(xié)議(InternetProtocol)TSFITSF接口(TSFInterface)34.1移動(dòng)終端操作系統(tǒng)描述移動(dòng)終端操作系統(tǒng)是運(yùn)行在智能移動(dòng)終端上的系統(tǒng)軟件，是智能移動(dòng)終端的組成部分，用于控制、管理移動(dòng)終端上的硬件、軟件和固件，提供用戶操作界面和應(yīng)用軟件編程接口(API)。移動(dòng)終端操作系統(tǒng)應(yīng)具備下述特征：4.2移動(dòng)終端操作系統(tǒng)安全特征移動(dòng)終端操作系統(tǒng)需要抵御的威脅主要來自非授權(quán)用戶的訪問、授權(quán)用戶的惡意訪問、惡意應(yīng)用軟件的訪問和互聯(lián)網(wǎng)非授權(quán)實(shí)體的訪問等。移動(dòng)終端失去物理保護(hù)時(shí)，可能受到非授權(quán)用戶的惡意訪問。因此，移動(dòng)終端操作系統(tǒng)應(yīng)利用會(huì)話建立、會(huì)話鎖定、會(huì)話解鎖、數(shù)據(jù)備份、備份數(shù)據(jù)保護(hù)、防丟失等功能應(yīng)對(duì)此類威脅，防范用戶數(shù)據(jù)的泄露和丟失。移動(dòng)終端操作系統(tǒng)應(yīng)通過安全角色劃分，把對(duì)用戶數(shù)據(jù)、通信資源的訪問授權(quán)管理職能賦予移動(dòng)終端授權(quán)用戶。移動(dòng)終端操作系統(tǒng)可選擇把復(fù)雜的安全管理職能賦予在遠(yuǎn)程可信信息系統(tǒng)上的專業(yè)技術(shù)用戶，以實(shí)現(xiàn)遠(yuǎn)程可信信息系統(tǒng)對(duì)移動(dòng)終端的管理。移動(dòng)終端授權(quán)用戶可能有旁路或部分旁路移動(dòng)終端操作系統(tǒng)安全機(jī)制的特權(quán)，應(yīng)通過劃分角色對(duì)授權(quán)用戶的權(quán)限加以限制，并通過審計(jì)對(duì)授權(quán)用戶的操作行為進(jìn)行記錄和跟蹤。移動(dòng)終端操作系統(tǒng)應(yīng)具備數(shù)據(jù)傳輸保護(hù)、完整性校驗(yàn)等安全特性維系與應(yīng)用軟件責(zé)任擔(dān)保者之間的信任傳遞鏈條，抵御惡意軟件的安裝。同時(shí)移動(dòng)終端操作系統(tǒng)應(yīng)通過實(shí)施訪問控制策略限制應(yīng)用軟件的訪問權(quán)限，使應(yīng)用軟件對(duì)用戶數(shù)據(jù)、通信資源、傳感器的訪問均被訪問控制策略覆蓋。移動(dòng)終端操作系統(tǒng)應(yīng)對(duì)IP網(wǎng)絡(luò)信息實(shí)施信息流控制策略，過濾無法鑒別、未經(jīng)授權(quán)的IP網(wǎng)絡(luò)數(shù)據(jù)包，保護(hù)移動(dòng)終端的帶寬資源、話費(fèi)和電源能量。移動(dòng)終端操作系統(tǒng)及其安全功能自身也應(yīng)得到保護(hù)，移動(dòng)終端安全架構(gòu)應(yīng)保證移動(dòng)終端操作系統(tǒng)不受不可信用戶、不可信主體的干擾和破壞。移動(dòng)終端操作系統(tǒng)部分安全功能的實(shí)現(xiàn)還應(yīng)得到密碼服務(wù)的支持，這些安全功能包括：標(biāo)識(shí)與鑒別、可信信道等。移動(dòng)終端操作系統(tǒng)應(yīng)具備的安全功能如下：全管理；f45安全問題定義應(yīng)保護(hù)的評(píng)估對(duì)象資產(chǎn)：—TSF數(shù)據(jù)（如鑒別數(shù)據(jù)、安全屬性、訪問控制列表、安全配置數(shù)據(jù)等信息—用戶數(shù)據(jù)（如用戶身份標(biāo)識(shí)、位置信息、賬戶信息、通信記錄、通訊錄等信息—敏感資源（包含通信資源、外設(shè)資源，如攝像頭、位置傳感器等）。注：ST作者宜根據(jù)具體的應(yīng)用情況細(xì)化對(duì)資產(chǎn)的描述。5.2安全威脅惡意用戶或進(jìn)程可能監(jiān)聽或修改移動(dòng)終端操作系統(tǒng)之間或者移動(dòng)終端操作系統(tǒng)與遠(yuǎn)程可信IT產(chǎn)品間傳遞的用戶數(shù)據(jù)或TSF數(shù)據(jù)。惡意用戶或進(jìn)程通過攻擊手段非法地瀏覽、修改或刪除TSF數(shù)據(jù)或可執(zhí)行代碼。這可能讓惡意用戶或進(jìn)程獲得移動(dòng)終端操作系統(tǒng)的配置信息，或可能導(dǎo)致移動(dòng)終端操作系統(tǒng)的安全功能對(duì)于數(shù)據(jù)資產(chǎn)保護(hù)的安全機(jī)制不再正常工作。授權(quán)用戶因安全意識(shí)薄弱或誤操作，對(duì)移動(dòng)終端操作系統(tǒng)進(jìn)行不正確地配置，或授權(quán)用戶惡意利用權(quán)限進(jìn)行非法操作，使移動(dòng)終端安全受到威脅。未授權(quán)外部IT實(shí)體向移動(dòng)終端操作系統(tǒng)發(fā)送網(wǎng)絡(luò)數(shù)據(jù)或接收經(jīng)由移動(dòng)終端操作系統(tǒng)傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。惡意用戶或進(jìn)程可能利用移動(dòng)終端操作系統(tǒng)殘留信息的處理缺陷，在執(zhí)行過程中對(duì)未刪除的殘留信息進(jìn)行利用，以獲取敏感信息或?yàn)E用移動(dòng)終端操作系統(tǒng)的安全功能。惡意軟件可能通過偽裝成授權(quán)應(yīng)用或進(jìn)程訪問用戶數(shù)據(jù)和系統(tǒng)敏感資源。非授權(quán)用戶或進(jìn)程訪問移動(dòng)終端操作系統(tǒng)的安全功能數(shù)據(jù)和用戶數(shù)據(jù)，并對(duì)安全功能數(shù)據(jù)和用戶數(shù)據(jù)進(jìn)行惡意操作。非授權(quán)用戶利用所截獲的授權(quán)用戶信息，重新提交給移動(dòng)終端操作系統(tǒng)，以假冒授權(quán)用戶訪問移動(dòng)5終端操作系統(tǒng)的功能和數(shù)據(jù)。非授權(quán)用戶可以利用不被使用的會(huì)話，假冒授權(quán)用戶對(duì)移動(dòng)終端操作系統(tǒng)的功能和數(shù)據(jù)產(chǎn)生威脅。移動(dòng)終端操作系統(tǒng)所運(yùn)行的物理設(shè)備在被出售、交換、遺失的情況下，非授權(quán)用戶可通過攻擊方式獲取授權(quán)用戶數(shù)據(jù)。5.3組織安全策略組織應(yīng)為移動(dòng)終端操作系統(tǒng)提供敏感數(shù)據(jù)加密存儲(chǔ)和通訊功能的密碼策略。假設(shè)移動(dòng)終端操作系統(tǒng)所依賴的運(yùn)行環(huán)境能提供移動(dòng)終端操作系統(tǒng)安全運(yùn)行所需的物理安全保護(hù)。假設(shè)移動(dòng)終端操作系統(tǒng)的合法用戶能按照管理員指南來管理移動(dòng)終端操作系統(tǒng)的安全功能，對(duì)移動(dòng)終端操作系統(tǒng)不存在惡意的破壞企圖。假定用于管理移動(dòng)終端操作系統(tǒng)的遠(yuǎn)程IT設(shè)備、應(yīng)用設(shè)備是安全的。6安全目的6.1移動(dòng)終端操作系統(tǒng)安全目的移動(dòng)終端操作系統(tǒng)應(yīng)記錄安全相關(guān)的事件，應(yīng)對(duì)記錄的事件進(jìn)行保護(hù)并且只允許授權(quán)用戶查看。移動(dòng)終端操作系統(tǒng)應(yīng)保證審計(jì)跡已滿的情況下，不影響審計(jì)功能和其他安全功能的執(zhí)行。移動(dòng)終端操作系統(tǒng)應(yīng)提供鑒別用戶身份的機(jī)制，并且在用戶使用移動(dòng)終端操作系統(tǒng)功能前對(duì)用戶身份進(jìn)行鑒別和標(biāo)識(shí)。移動(dòng)終端操作系統(tǒng)應(yīng)只提供有限的鑒權(quán)反饋信息，并且在鑒權(quán)失敗達(dá)到一定次數(shù)時(shí)限制用戶的鑒權(quán)行為。移動(dòng)終端操作系統(tǒng)應(yīng)提供加解密機(jī)制，保證移動(dòng)終端操作系統(tǒng)能對(duì)其保護(hù)的數(shù)據(jù)采取加密措施。移動(dòng)終端操作系統(tǒng)應(yīng)保證重要的數(shù)據(jù)在使用完成后會(huì)被刪除或被安全處理，不會(huì)留下可被攻擊者利用的殘留數(shù)據(jù)信息。6移動(dòng)終端操作系統(tǒng)應(yīng)提供通過受保護(hù)的通道向遠(yuǎn)程可信IT產(chǎn)品提交數(shù)據(jù)的能力，同時(shí)也提供受保護(hù)的網(wǎng)絡(luò)通道供應(yīng)用使用。移動(dòng)終端操作系統(tǒng)應(yīng)提供基本的網(wǎng)絡(luò)防護(hù)能力，阻止已知的惡意網(wǎng)絡(luò)攻擊行為。移動(dòng)終端操作系統(tǒng)應(yīng)當(dāng)控制移動(dòng)終端操作系統(tǒng)內(nèi)的IT實(shí)體和外部IT實(shí)體之間的IP網(wǎng)絡(luò)數(shù)據(jù)和移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸。移動(dòng)終端操作系統(tǒng)控制這些數(shù)據(jù)傳輸?shù)囊?guī)則只能通過授權(quán)用戶來改變。移動(dòng)終端操作系統(tǒng)應(yīng)提供訪問控制機(jī)制，防止移動(dòng)終端操作系統(tǒng)重要數(shù)據(jù)、進(jìn)程及資源等在未授權(quán)情況下被訪問、修改或刪除。移動(dòng)終端操作系統(tǒng)應(yīng)臨時(shí)暫停不被使用的用戶會(huì)話，并且只有在重新驗(yàn)證用戶身份后才恢復(fù)已暫停的用戶會(huì)話。移動(dòng)終端操作系統(tǒng)應(yīng)提供移動(dòng)終端操作系統(tǒng)資源使用的控制機(jī)制，防止因應(yīng)用程序錯(cuò)誤或惡意行為無限制消耗資源，導(dǎo)致系統(tǒng)資源被耗盡。移動(dòng)終端操作系統(tǒng)應(yīng)提供用戶關(guān)鍵數(shù)據(jù)備份和回滾的功能，保證用戶數(shù)據(jù)能回到一個(gè)備份過的狀態(tài)。這種行為要求應(yīng)是授權(quán)用戶，并應(yīng)保證用戶數(shù)據(jù)的安全性。移動(dòng)終端操作系統(tǒng)應(yīng)劃分不同用戶角色來管理移動(dòng)終端操作系統(tǒng)，并對(duì)角色賦予的權(quán)限進(jìn)行限制，防止授權(quán)用戶的權(quán)限濫用。移動(dòng)終端操作系統(tǒng)應(yīng)提供設(shè)置或獲取可信時(shí)間的功能，保證系統(tǒng)時(shí)間是由授權(quán)用戶設(shè)定或者是從可靠的時(shí)鐘源同步獲得。移動(dòng)終端操作系統(tǒng)應(yīng)提供丟失保護(hù)機(jī)制。保證在物理終端丟失的情況下授權(quán)用戶對(duì)用戶敏感數(shù)據(jù)的控制。6.2環(huán)境安全目的移動(dòng)終端操作系統(tǒng)的運(yùn)行環(huán)境可提供操作系統(tǒng)運(yùn)行所需的物理安全保護(hù)。7負(fù)責(zé)管理移動(dòng)終端操作系統(tǒng)安全策略和數(shù)據(jù)的用戶是可信的，經(jīng)過學(xué)習(xí)和培訓(xùn)的，并且對(duì)管理和操作行為負(fù)責(zé)。移動(dòng)終端操作系統(tǒng)的遠(yuǎn)程管理設(shè)備、應(yīng)用商店等遠(yuǎn)程IT實(shí)體是安全的且其數(shù)據(jù)和用戶信息是被保護(hù)的。7安全要求移動(dòng)終端操作系統(tǒng)的安全功能要求由GB/T18336.2—2015規(guī)定的組件構(gòu)成，移動(dòng)終端操作系統(tǒng)表1安全功能要求組件組件分類安全功能要求組件FAU類：安全審計(jì)FAU__GEN.1審計(jì)數(shù)據(jù)產(chǎn)生FAU__GEN.2用戶身份關(guān)聯(lián)FAU__STG.1受保護(hù)的審計(jì)跡存儲(chǔ)FAU__STG.4防止審計(jì)數(shù)據(jù)丟失FCS類：密碼支持FCS_CKM.1密鑰生成FCS_COP.1密碼運(yùn)算FDP類：用戶數(shù)據(jù)保護(hù)FDP__ACC.1子集訪問控制FDP__ACF.1基于安全屬性的訪問控制FDP__ETC.1不帶安全屬性的用戶數(shù)據(jù)輸出FDP__ETC.2帶有安全屬性的用戶數(shù)據(jù)輸出FDP__IFC.1子集信息流控制FDP__IFF.1簡(jiǎn)單安全屬性FDP__ITC.1不帶安全屬性的用戶數(shù)據(jù)輸入FDP__ITC.2帶有安全屬性的用戶數(shù)據(jù)輸入FDP__RIP.1子集殘余信息保護(hù)FDP__ROL.1基本回退FDP__UCT.1基本的數(shù)據(jù)交換機(jī)密性FDP__UIT.1數(shù)據(jù)交換完整性8組件分類安全功能要求組件FIA類：標(biāo)識(shí)和鑒別FIA__AFL.1鑒別失敗處理FIA__ATD.1用戶屬性定義FIA__SOS.1秘密的驗(yàn)證FIA__UAU.1鑒別的時(shí)機(jī)FIA__UAU.5多重鑒別機(jī)制FIA__UAU.6重鑒別FIA__UAU.7受保護(hù)的鑒別反饋FIA__UID.1標(biāo)識(shí)的時(shí)機(jī)FIA__USB.1用戶主體綁定FMT類：安全管理FMT__MOF.1安全功能行為的管理FMT__MSA.1安全屬性的管理FMT__MSA.2安全的安全屬性FMT__MSA.3靜態(tài)屬性初始化FMT__MTD.1TSF數(shù)據(jù)的管理FMT__MTD.2TSF數(shù)據(jù)限值的管理FMT__MTD.3安全的TSF數(shù)據(jù)FMT__SMF.1管理功能規(guī)范FMT__SMR.1安全角色FPT類：TSF保護(hù)FPT__FLS.1失效即保持安全狀態(tài)FPT__ITC.1傳送過程中TSF間的機(jī)密性FPT__ITI.1TSF間篡改的檢測(cè)FPT__STM.1可靠的時(shí)間戳FPT_TDC.1TSF間基本的TSF數(shù)據(jù)一致性FPT_TST.1TSF測(cè)試FRU類：資源利用FRU__RSA.1最高配額FTA類：TOE訪問FTA__SSL.1TSF原發(fā)會(huì)話鎖定FTA__SSL.2用戶原發(fā)會(huì)話鎖定FTP類：可信路徑／信道FTP__ITC.1TSF間可信信道從屬于：無其他組件。依賴關(guān)系：FPT__STM.1可信時(shí)間戳。FAU__GEN.1.1TSF應(yīng)能為下述可審計(jì)事件產(chǎn)生審計(jì)記錄：9FAU__GEN.1.2TSF應(yīng)在每個(gè)審計(jì)記錄中至少記錄下列信息：從屬于：無其他組件。依賴關(guān)系：FAU__GEN.1審計(jì)數(shù)據(jù)產(chǎn)生；FIA__UID.2任何動(dòng)作前的用戶標(biāo)識(shí)。FAU__GEN.2.1對(duì)于已標(biāo)識(shí)身份的用戶的行為所產(chǎn)生的審計(jì)事件，TSF應(yīng)能將每個(gè)可審計(jì)事件與引起該事件的用戶身份相關(guān)聯(lián)。從屬于：無其他組件。依賴關(guān)系：FAU__GEN.1審計(jì)數(shù)據(jù)產(chǎn)生。FAU__STG.1.1TSF應(yīng)保護(hù)所存儲(chǔ)的審計(jì)記錄，以避免未授權(quán)的刪除。FAU__STG.1.2TSF應(yīng)能防止對(duì)審計(jì)跡中所存審計(jì)記錄的未授權(quán)修改。從屬于：FAU__STG.3審計(jì)數(shù)據(jù)可能丟失時(shí)的行為。依賴關(guān)系：FAU__STG.1受保護(hù)的審計(jì)跡存儲(chǔ)。FAU__STG.4.1如果審計(jì)跡已滿，TSF應(yīng)【選擇，選取一個(gè)：忽略可審計(jì)事件、“阻止可審計(jì)事件，除非具有特權(quán)的授權(quán)用戶產(chǎn)生的審計(jì)事件”、覆蓋所存儲(chǔ)的最早的審計(jì)記錄】和【賦值：審計(jì)存儲(chǔ)失效時(shí)所采取的其他動(dòng)作】。從屬于：無其他組件。依賴關(guān)系：FCS_COP.1密鑰運(yùn)算；FCS_CKM.4密鑰銷毀。FCS_CKM.1.1TSF應(yīng)根據(jù)符合下列標(biāo)準(zhǔn)【賦值：國(guó)家、行業(yè)或組織要求的密碼管理相關(guān)標(biāo)準(zhǔn)或規(guī)范】的一個(gè)特定的密鑰生成算法【賦值：密鑰生成算法】和規(guī)定的密鑰長(zhǎng)度【賦值：密鑰長(zhǎng)度】來生成密鑰。注：若密鑰由外部環(huán)境生成，則可以不選擇此組件。該組件僅適用于由移動(dòng)終端操作系統(tǒng)本身完成的情況，此時(shí)ST作者宜根據(jù)密碼算法的具體情況，賦值評(píng)估對(duì)象用戶單位主管部門認(rèn)可的相關(guān)標(biāo)準(zhǔn)及參數(shù)。從屬于：無其他組件。依賴關(guān)系：[FDP__ITC.1不帶安全屬性的用戶數(shù)據(jù)輸入，或FCS_CKM.1密鑰生成FCS_CKM.4密鑰銷毀。FCS_COP.1.1TSF應(yīng)根據(jù)符合下列標(biāo)準(zhǔn)【賦值：國(guó)家、行業(yè)或組織要求的密碼管理相關(guān)標(biāo)準(zhǔn)或規(guī)范】的特定的密碼算法【賦值：密碼算法】和密鑰長(zhǎng)度【賦值：密鑰長(zhǎng)度】來執(zhí)行【賦值：密碼運(yùn)算列表】。注：密碼運(yùn)算可用于支持一個(gè)或多個(gè)移動(dòng)終端操作系統(tǒng)的安全服務(wù)，本組件可根據(jù)需要重復(fù)多次，這取決于：相關(guān)標(biāo)準(zhǔn)及參數(shù)。從屬于：無其他組件。依賴關(guān)系：FDP__ACF.1基于安全屬性的訪問控制。FDP__ACC.1.1TSF應(yīng)對(duì)【賦值：主體、客體及SFP所涵蓋主體和客體之間的操作列表】執(zhí)行【賦值：訪問控制策略】。從屬于：無其他組件。依賴關(guān)系：FDP__ACC.1子集訪問控制。FDP__ACF.1.1TSF應(yīng)基于【賦值：指定SFP控制下的主體和客體列表，以及每個(gè)對(duì)應(yīng)的SFP相關(guān)安全屬性或SFP相關(guān)安全屬性的已命名組】對(duì)客體執(zhí)行【賦值：訪問控制SFP】。FDP__ACF.1.2TSF應(yīng)執(zhí)行以下規(guī)則，以決定在受控主體與受控客體間的一個(gè)操作是否被允許：【賦值：在受控主體和受控客體間，通過對(duì)受控客體采取受控操作來管理訪問的一些規(guī)則】。則】，明確授權(quán)主體訪問客體。FDP__ACF.1.4TSF應(yīng)基于【賦值：基于安全屬性，明確拒絕主體訪問客體的一些規(guī)則】，明確拒絕主體訪問客體。)從屬于：無其他組件。依賴關(guān)系：FDP__ACC.1子集訪問控制，或FDP__IFC.1子集信息流控制。FDP__ETC.1.1在安全功能策略控制下將用戶數(shù)據(jù)輸出到移動(dòng)終端操作系統(tǒng)之外時(shí)，TSF應(yīng)執(zhí)行【賦值：訪問控制SFP和／或信息流控制SFP】。FDP__ETC.1.2TSF應(yīng)輸出用戶數(shù)據(jù)但不帶用戶數(shù)據(jù)關(guān)聯(lián)的安全屬性。2)從屬于：無其他組件。依賴關(guān)系：FDP__ACC.1子集訪問控制，或FDP__IFC.1子集信息流控制。FDP__ETC.2.1在安全功能策略控制下將用戶數(shù)據(jù)輸出到移動(dòng)終端操作系統(tǒng)之外時(shí)，TSF應(yīng)執(zhí)行【賦值：訪問控制SFP和／或信息流控制SFP】。FDP__ETC.2.2TSF應(yīng)輸出用戶數(shù)據(jù)且?guī)в杏脩魯?shù)據(jù)關(guān)聯(lián)的安全屬性。FDP__ETC.2.3TSF應(yīng)確保輸出安全屬性到移動(dòng)終端操作系統(tǒng)之外時(shí)，與所輸出的用戶數(shù)據(jù)確切關(guān)聯(lián)。FDP__ETC.2.4當(dāng)從移動(dòng)終端操作系統(tǒng)輸出用戶數(shù)據(jù)時(shí)，TSF應(yīng)執(zhí)行下列規(guī)則【賦值：附加的輸出控從屬于：無其他組件。依賴關(guān)系：FPT__IFF.1簡(jiǎn)單安全屬性。FDP__IFC.1.1TSF應(yīng)對(duì)【賦值：移動(dòng)終端處理或傳輸?shù)男畔⒘?，如：IP數(shù)據(jù)報(bào)文、語音呼叫請(qǐng)求、短信息數(shù)據(jù)】執(zhí)行【信息流控制策略】。)從屬于：無其他組件。依賴關(guān)系：FDP__IFC.1子集信息流控制。FDP__IFF.1.1TSF應(yīng)基于下列類型主體和信息的安全屬性：【賦值：指定SFP控制下的主體和信息列表，以及每個(gè)對(duì)應(yīng)的安全屬性】執(zhí)行【賦值：信息流控制SFP】；FDP__IFF.1.2如果支持下列規(guī)則：【賦值：對(duì)每一個(gè)操作，主體和信息的安全屬性之間應(yīng)支持基于安全屬性的關(guān)系】，TSF應(yīng)允許信息在受控主體和受控信息之間經(jīng)由受控操作流動(dòng)；FDP__IFF.1.4TSF應(yīng)下列【賦值：附加的SFP能力列表】；FDP__IFF.1.5TSF應(yīng)根據(jù)下列規(guī)則：【賦值：基于安全屬性，明確批準(zhǔn)信息流的規(guī)則】明確批準(zhǔn)一個(gè)信息流；FDP__IFF.1.6TSF應(yīng)根據(jù)下列規(guī)則：【賦值：基于安全屬性，明確拒絕信息流的規(guī)則】明確拒絕一個(gè)信息流。)從屬于：無其他組件。依賴關(guān)系：[FDP__ACC.1子集訪問控制，或FDP__IFC.1子集信息流控制FMT__MSA.3靜態(tài)屬性初始化。FDP__ITC.1.1在安全功能策略控制下從移動(dòng)終端操作系統(tǒng)之外輸入用戶數(shù)據(jù)時(shí)，TSF應(yīng)執(zhí)行【賦值：訪問控制SFP和／或信息流控制SFP】。FDP__ITC.1.2從移動(dòng)終端操作系統(tǒng)外部輸入用戶數(shù)據(jù)時(shí)，TSF應(yīng)忽略任何與用戶數(shù)據(jù)相關(guān)的安全屬性。FDP__ITC.1.3在SFP控制下從移動(dòng)終端操作系統(tǒng)之外輸入用戶數(shù)據(jù)時(shí)，TSF應(yīng)執(zhí)行下面的規(guī)則：【賦值：附加的輸入控制規(guī)則】。2)從屬于：無其他組件。依賴關(guān)系：[FDP__ACC.1子集訪問控制，或FDP__IFC.1子集信息流控制FDP__ITC.1TSF間的可信信道；FPT_TDC.1TSF間基本的TSF數(shù)據(jù)一致性。FDP__ITC.2.1在安全功能策略控制下從移動(dòng)終端操作系統(tǒng)之外輸入用戶數(shù)據(jù)時(shí)，TSF應(yīng)執(zhí)行【賦值：訪問控制SFP和／或信息流控制SFP】。FDP__ITC.2.2TSF應(yīng)使用與鎖輸入數(shù)據(jù)相關(guān)的安全屬性。FDP__ITC.2.3TSF應(yīng)確保所使用的協(xié)議在安全屬性和接收到的用戶數(shù)據(jù)之間進(jìn)行了明確的關(guān)聯(lián)。FDP__ITC.2.4TSF應(yīng)確保對(duì)所輸入用戶數(shù)據(jù)的安全屬性的解釋與用戶源數(shù)據(jù)所預(yù)期的安全屬性是一樣的。FDP__ITC.2.5當(dāng)在SFP控制下從移動(dòng)終端操作系統(tǒng)之外輸入用戶數(shù)據(jù)時(shí)，TSF應(yīng)執(zhí)行【賦值：附加的輸入控制規(guī)則】。從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FDP__RIP.1.1TSF應(yīng)確保一個(gè)資源的任何先前信息內(nèi)容，在【選擇：分配資源到、釋放資源自】下列客體：【賦值：客體列表】時(shí)不再可用。)從屬于：無其他組件。依賴關(guān)系：FDP__ACC.1子集訪問控制。FDP__ROL.1.1TSF應(yīng)執(zhí)行【自主訪問控制和強(qiáng)制訪問控制】，以允許對(duì)【賦值：用戶數(shù)據(jù)及配置數(shù)FDP__ROL.1.2TSF應(yīng)允許用戶對(duì)【賦值：用戶數(shù)據(jù)及配置數(shù)據(jù)】【選擇：基于時(shí)間、其他可選擇的條件】進(jìn)行回退操作。從屬于：無其他組件。依賴關(guān)系：FTP__ITC.1TSF間的可信信道；[FDP__ACC.1子集訪問控制，或FDP__IFC.1子集信息流控制］FDP__UCT.1.1TSF應(yīng)執(zhí)行【賦值：訪問控制SFP和／或信息流控制SFP】，以便能【選擇：傳送、接收】用戶數(shù)據(jù)，并保護(hù)其免遭未授權(quán)泄露。從屬于：無其他組件。依賴關(guān)系：FDP__ACC.1子集訪問控制；FTP__ITC.1TSF間的可信信道。FDP__UIT.1.1TSF應(yīng)執(zhí)行【訪問控制策略】，以便能【選擇：傳送、接收】用戶數(shù)據(jù)，并保護(hù)數(shù)據(jù)避免FDP__UIT.1.2TSF應(yīng)能判斷用戶數(shù)據(jù)的接收過程，是否發(fā)生了【選擇：篡改、刪除、插入、重放】。)從屬于：無其他組件。依賴關(guān)系：FIA__UAU.1鑒別的時(shí)機(jī)。FIA_AFL.1.1TSF應(yīng)檢測(cè)發(fā)生【賦值：錯(cuò)誤次數(shù)】與【身份鑒別】相關(guān)的未成功鑒別嘗試；FIA_AFL.1.2當(dāng)不成功鑒別嘗試的指定次數(shù)達(dá)到所定義的未成功鑒別嘗試次數(shù)時(shí)，TSF應(yīng)采取(1)]（終端操作用戶）從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FIA_ATD.1(1).1TSF應(yīng)維護(hù)屬于單個(gè)用戶的下列安全屬性列表：【用戶標(biāo)識(shí)、用戶鑒權(quán)信息】。(2)]（應(yīng)用程序）從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FIA_ATD.1(2).1TSF應(yīng)維護(hù)屬于單個(gè)用戶的下列安全屬性列表：【應(yīng)用標(biāo)識(shí)、應(yīng)用鑒權(quán)信息】。(3)]（遠(yuǎn)程管理用戶）從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FIA_ATD.1(3).1TSF應(yīng)維護(hù)屬于單個(gè)用戶的下列安全屬性列表：【用戶標(biāo)識(shí)、用戶鑒權(quán)信息】。)從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FIA__SOS.1.1TSF應(yīng)提供一種機(jī)制以驗(yàn)證秘密滿足【選擇：)從屬于：無其他組件。依賴關(guān)系：FIA__UID.1標(biāo)識(shí)的時(shí)機(jī)。FIA__UAU.1.1在用戶被鑒別前，TSF應(yīng)允許執(zhí)行代表用戶的以下行為：FIA__UAU.1.2在允許執(zhí)行代表該用戶的任何其他由TSF促成的動(dòng)作前，TSF應(yīng)要求每個(gè)用戶都已被成功鑒別。從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FIA_UAU.5.1TSF應(yīng)提供【選擇：口令、指紋、圖案、【賦值：ST作者提供的其他鑒別機(jī)制】】以支持用戶鑒別。FIA_UAU.5.2TSF應(yīng)根據(jù)【選擇：口令匹配、指紋匹配、圖案匹配、【賦值：ST作者提供的其他鑒別規(guī)則】】鑒別任何用戶所聲稱的身份。從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FIA__UAU.6.1TSF應(yīng)在：【選擇：用戶變更鑒權(quán)信息、【賦值：其他需要鑒別的時(shí)機(jī)】】條件下重新鑒別用戶。從屬于：無其他組件。依賴關(guān)系：FIA__UAU.1鑒別的時(shí)機(jī)。FIA__UAU.7.1終端操作用戶身份鑒別進(jìn)行時(shí)，TSF應(yīng)僅向用戶提供受保護(hù)的鑒別反饋：)從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FIA__UID.1.1在應(yīng)用程序被識(shí)別之前，TSF應(yīng)允許執(zhí)行應(yīng)用程序的安裝。FIA__UID.1.2在允許執(zhí)行代表該用戶的任何其他TSF仲裁動(dòng)作之前，TSF應(yīng)要求每個(gè)應(yīng)用程序都已被成功識(shí)別。注：應(yīng)用程序安裝成功后，移動(dòng)終端操作系統(tǒng)為應(yīng)用程序分配唯一代表其身份的標(biāo)識(shí)。)(1)]（終端操作用戶）從屬于：無其他組件。依賴關(guān)系：FIA_ATD.1用戶屬性定義。FIA_USB.1.1(1)TSF應(yīng)將下列用戶安全屬性：【用戶標(biāo)識(shí)、鑒權(quán)信息】與代表用戶活動(dòng)的主體相關(guān)聯(lián)；FIA_USB.1.2(1)TSF應(yīng)對(duì)用戶安全屬性與代表用戶活動(dòng)的主題初始關(guān)聯(lián)關(guān)系執(zhí)行下列規(guī)則【賦值：屬性初始關(guān)聯(lián)規(guī)則】；FIA_USB.1.3(1)TSF應(yīng)執(zhí)行下列規(guī)則管理與代表用戶活動(dòng)的主體見的關(guān)聯(lián)關(guān)系的變化：【賦值：屬性更改規(guī)則】。(2)]（應(yīng)用程序）從屬于：無其他組件。依賴關(guān)系：FIA_ATD.1用戶屬性定義。FIA_USB.1.1(2)TSF應(yīng)將下列用戶安全屬性：【賦值：應(yīng)用標(biāo)識(shí)、應(yīng)用鑒權(quán)信息】與代表用戶活動(dòng)的主體相關(guān)聯(lián)；FIA_USB.1.2(2)TSF應(yīng)對(duì)用戶安全屬性與代表用戶活動(dòng)的主題初始關(guān)聯(lián)關(guān)系執(zhí)行下列規(guī)則【賦值：屬性初始關(guān)聯(lián)規(guī)則】；FIA_USB.1.3(2)TSF應(yīng)執(zhí)行下列規(guī)則管理與代表用戶活動(dòng)的主體見的關(guān)聯(lián)關(guān)系的變化：【賦值：屬性更改規(guī)則】。(3)]（遠(yuǎn)程管理用戶）從屬于：無其他組件。依賴關(guān)系：FIA_ATD.1用戶屬性定義。FIA_USB.1.1(3)TSF應(yīng)將下列用戶安全屬性：【賦值：用戶標(biāo)識(shí)、用戶鑒權(quán)信息】與代表用戶活動(dòng)的主體相關(guān)聯(lián)；FIA_USB.1.2(3)TSF應(yīng)對(duì)用戶安全屬性與代表用戶活動(dòng)的主題初始關(guān)聯(lián)關(guān)系執(zhí)行下列規(guī)則【賦值：屬性初始關(guān)聯(lián)規(guī)則】；FIA_USB.1.3(3)TSF應(yīng)執(zhí)行下列規(guī)則管理與代表用戶活動(dòng)的主體見的關(guān)聯(lián)關(guān)系的變化：【賦值：屬性更改規(guī)則】。從屬于：無其他組件。依賴關(guān)系：FMT__SMR.1安全角色；FMT__SMF.1管理功能規(guī)范。FMT_MOF.1.1TSF應(yīng)僅限于【授權(quán)用戶】對(duì)功能【賦值：定義的管理功能列表】具有【賦值：操作動(dòng)作】的能力。從屬于：無其他組件。依賴關(guān)系：[FDP__ACC.1子集訪問控制，或FDP__IFC.1子集信息流控制FMT__SMR.1安全角色；FMT__SMF.1管理功能規(guī)范。FMT__MSA.1.1TSF應(yīng)執(zhí)行【賦值：訪問控制SFP、信息流控制SFP】，以僅限于【賦值：已標(biāo)識(shí)的授權(quán)角色】能對(duì)安全屬性【賦值：安全屬性列表】進(jìn)行【選擇：改變默認(rèn)值、查詢、修改、刪除、【賦值：其他操從屬于：無其他組件。依賴關(guān)系：ADV__SPM.1非形式化的TOE安全策略模型；[FDP__ACC.1子集訪問控制，或FDP__IFC.1子集信息流控制FMT__MSA.1安全屬性的管理；FMT__SMR.1安全角色。FMT__MSA.2.1TSF應(yīng)確保安全屬性【賦值：安全屬性列表】只接受安全的值。從屬于：無其他組件。依賴關(guān)系：FMT__MSA.1安全屬性的管理；FMT__SMR.1安全角色。FMT_MSA.3.1TSF應(yīng)執(zhí)行【賦值：訪問控制SFP、信息流控制SFP】，以便為用于執(zhí)行SFP的安全屬性提供【選擇，從中選取一個(gè)：受限的、許可的、【賦值：其他特性】】默認(rèn)值。FMT__MSA.3.2TSF應(yīng)允許【賦值：已標(biāo)識(shí)的授權(quán)角色】在創(chuàng)建客體或信息時(shí)指定替換性的初始值以代替原來的默認(rèn)值。從屬于：無其他組件。依賴關(guān)系：FMT__SMR.1安全角色；FMT__SMF.1管理功能規(guī)范。FMT__MTD.1.1TSF應(yīng)僅限于【授權(quán)用戶】能對(duì)【賦值：TSF數(shù)據(jù)列表】【選擇：查詢、修改、刪除、【賦值：其他的數(shù)據(jù)管理操作】】。從屬于：無其他組件。依賴關(guān)系：FMT__SMR.1安全角色；FMT__SMF.1管理功能規(guī)范。FMT__MTD.2.1TSF應(yīng)僅限于【賦值：已標(biāo)識(shí)的授權(quán)角色】規(guī)定【賦值：TSF數(shù)據(jù)列表】的限值。FMT__MTD.2.2如果TSF數(shù)據(jù)達(dá)到或超過了設(shè)定的限值，TSF應(yīng)采取下面的動(dòng)作：【賦值：要采取從屬于：無其他組件。依賴關(guān)系：FMT__MTD.1TSF數(shù)據(jù)的管理。FMT__MTD.3.1TSF應(yīng)確保TSF數(shù)據(jù)【賦值：TSF數(shù)據(jù)列表】只接受安全的值。從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FMT__SMF.1.1TSF應(yīng)能執(zhí)行如下安全管理功能【賦值：安全管理功能列表】。其中【賦值：遠(yuǎn)程管理功能列表】只能由遠(yuǎn)程管理員執(zhí)行；【賦值：遠(yuǎn)程管理功能】可以由遠(yuǎn)程管理員執(zhí)行；其他功能由終端操作員執(zhí)行。從屬于：無其他組件。依賴關(guān)系：FIA__UID.1標(biāo)識(shí)的時(shí)機(jī)。FMT__SMR.1.1TSF應(yīng)維護(hù)角色【賦值：已標(biāo)識(shí)的授權(quán)角色】。FMT__SMR.1.2TSF應(yīng)能把用戶和角色關(guān)聯(lián)起來。從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FPT_FLS.1.1TSF在下列失效發(fā)生時(shí)應(yīng)保持一種安全狀態(tài)【賦值：TSF的失效類型列表】。從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FPT__ITC.1.1TSF應(yīng)保護(hù)所有從TSF傳送到另一個(gè)可信IT產(chǎn)品的TSF數(shù)據(jù)在傳送過程中不會(huì)被未授權(quán)泄漏。)從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FPT__ITI.1.1TSF應(yīng)提供能力，以檢測(cè)在下列度量下：【賦值：一個(gè)既定的修改度量】TSF與另一個(gè)可信IT產(chǎn)品間所傳送的所有TSF數(shù)據(jù)是否被修改。FPT__ITI.1.2TSF應(yīng)提供能力，以驗(yàn)證TSF與另一個(gè)可信IT產(chǎn)品間所傳送的所有TSF數(shù)據(jù)的完整性，以及如果檢測(cè)到修改將執(zhí)行【賦值：采取的動(dòng)作】。從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FPT__STM.1.1TSF應(yīng)能為它自己的使用提供可靠的時(shí)間戳，這個(gè)時(shí)間的來源【賦值：時(shí)間獲取的從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FPT_TDC.1.1當(dāng)TSF與其他可信IT產(chǎn)品共享TSF數(shù)據(jù)時(shí)，TSF應(yīng)提供對(duì)【賦值：TSF數(shù)據(jù)類型列表】進(jìn)行一致性解釋的能力。FPT_TDC.1.2當(dāng)解釋來自其他可信IT產(chǎn)品的TSF數(shù)據(jù)時(shí)，TSF應(yīng)使用【賦值：TSF使用的解釋規(guī)則列表】。)從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FPT_TST.1.1TSF應(yīng)在【選擇：初始化啟動(dòng)期間、正常工作期間周期性地、在【賦值：產(chǎn)生自檢的條件】條件時(shí)】運(yùn)行一套自檢程序以證明【選擇：【賦值：TSF的組成部分】、TSF】運(yùn)行的正確性。FPT_TST.1.2TSF應(yīng)為授權(quán)用戶提供驗(yàn)證【選擇：【賦值：TSF的組成部分】、TSF數(shù)據(jù)】完整性的能力。FPT_TST.1.3TSF應(yīng)為授權(quán)用戶提供驗(yàn)證所存儲(chǔ)的TSF可執(zhí)行代碼完整性的能力。最高配額(FRU_RSA.1)從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FRU__RSA.1.1TSF應(yīng)對(duì)以下資源【選擇：存儲(chǔ)空間、內(nèi)存、帶寬、【賦值：ST定義指定的資源列表】】分配最高配額，以便【賦值：主體列表】能【選擇：同時(shí)、在規(guī)定的時(shí)間間隔內(nèi)】使用。)從屬于：無其他組件。依賴關(guān)系：FIA__UAU.1鑒別的時(shí)機(jī)。FTA__SSL.1.1TSF應(yīng)在達(dá)到【賦值：用戶不活動(dòng)的時(shí)間間隔】后，通過以下方式鎖定一個(gè)交互式會(huì)話：電話呼入并顯示來電信息界面且在通話結(jié)束后應(yīng)恢復(fù)鎖定，允許使用相機(jī)，【賦值：其他允許的FTA__SSL.1.2TSF應(yīng)要求在解鎖會(huì)話之前成功地完成對(duì)終端用戶的鑒別。從屬于：無其他組件。依賴關(guān)系：FIA__UAU.1鑒別的時(shí)機(jī)。FTA__SSL.2.1TSF應(yīng)允許移動(dòng)終端用戶通過【賦值：鎖定方式列表】實(shí)現(xiàn)對(duì)自己擁有的交互會(huì)話進(jìn)行用戶原發(fā)鎖定：電話呼入并顯示來電信息界面且在通話結(jié)束后應(yīng)恢復(fù)鎖定，允許使用相機(jī)，【賦值：其他允許的FTA__SSL.2.2TSF應(yīng)要求在解鎖會(huì)話之前成功地完成對(duì)終端用戶的鑒別。從屬于：無其他組件。依賴關(guān)系：無依賴關(guān)系。FTP__ITC.1.1TSF應(yīng)在它自己和一個(gè)遠(yuǎn)程可信IT產(chǎn)品之間提供一條通信信道，此信道在邏輯上與其他通信信道截然不同，其端點(diǎn)是具有保證標(biāo)識(shí)，并且能保護(hù)數(shù)據(jù)免遭修改或泄露。FTP__ITC.1.2TSF應(yīng)允許【選擇：TSF、【賦值：ST作者指定的另一個(gè)可信IT產(chǎn)品】】經(jīng)由可信信道發(fā)起通信。FTP__ITC.1.3對(duì)于【賦值：需要可信信道的功能列表】，TSF應(yīng)經(jīng)由可信信道發(fā)起通信。7.2安全保障要求移動(dòng)終端操作系統(tǒng)的安全保障要求由GB/T18336.3—2015規(guī)定的安全保障組件組成，移動(dòng)終端操作系統(tǒng)EAL2、EAL3和EAL4保障級(jí)的安全保障要求組件見表2,7.2.2至7.2.7對(duì)各組件給出了說明。表2安全保障要求組件保障類保障組件備注EAL2EAL3EAL4開發(fā)ADV__ARC.1安全架構(gòu)描述√√√ADV__FSP.2安全執(zhí)行功能規(guī)范√——ADV__FSP.3帶完整摘要的功能規(guī)范—√—ADV__FSP.4完備的功能規(guī)范 √ADV__IMP.1TSF實(shí)現(xiàn)表示 √ADV_TDS.1基礎(chǔ)設(shè)計(jì)√ ADV_TDS.2結(jié)構(gòu)化設(shè)計(jì) √ ADV_TDS.3基礎(chǔ)模塊設(shè)計(jì) √指導(dǎo)性文檔AGD_OPE.1操作用戶指南√√√AGD_PRE.1準(zhǔn)備程序√√√表2（續(xù)）保障類保障組件備注EAL2EAL3EAL4生命周期支持ALC_CMC.2CM系統(tǒng)的使用√——ALC_CMC.3授權(quán)控制—√—ALC_CMC.4生產(chǎn)支持和接受程序及其自動(dòng)化 √ALC_CMS.2部分TOECM覆蓋√ ALC_CMS.3實(shí)現(xiàn)表示CM覆蓋 √ ALC_CMS.4問題跟蹤C(jī)M覆蓋 √ALC_DEL.1交付程序√√√ALC_DVS.1安全措施標(biāo)識(shí) √√ALC__LCD.1開發(fā)者定義的生命周期模型—√√ALC_TAT.1明確定義的開發(fā)工具——√安全目標(biāo)評(píng)估ASE_CCL.1符合性聲明√√√ASE__ECD.1擴(kuò)展組件定義√√√ASE__INT.1ST引言√√√ASE_OBJ.2安全目的√√√√√√ASE__SPD.1安全問題定義√√√ASE_TSS.1TOE概要規(guī)范√√√測(cè)試ATE_COV.1覆蓋證據(jù)√ ATE_COV.2覆蓋分析 √√ATE_DPT.1測(cè)試：基本設(shè)計(jì)—√—ATE_DPT.2測(cè)試：安全執(zhí)行模塊——√ATE__FUN.1功能測(cè)試√√√ATE__IND.2獨(dú)立測(cè)試—抽樣√√√脆弱性評(píng)估AVA__VAN.2脆弱性分析√√ AVA__VAN.3關(guān)注點(diǎn)脆弱性分析 √依賴關(guān)系：ADV_FSP.1基本功能規(guī)范；ADV_TDS.1基礎(chǔ)設(shè)計(jì)。開發(fā)者行為元素：ADV_ARC.1.1D開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)移動(dòng)終端操作系統(tǒng)，確保TSF的安全特性不可旁路。ADV_ARC.1.2D開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TSF,以防止不可信主體的破壞。ADV_ARC.1.3D開發(fā)者應(yīng)提供TSF安全架構(gòu)描述。內(nèi)容和形式元素：ADV_ARC.1.1C安全架構(gòu)的描述應(yīng)與在移動(dòng)終端操作系統(tǒng)設(shè)計(jì)文檔中對(duì)SFR執(zhí)行的抽象描述的級(jí)別一致。ADV_ARC.1.2C安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域。ADV_ARC.1.3C安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的。ADV_ARC.1.4C安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞。ADV_ARC.1.5C安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR執(zhí)行的功能被旁路。評(píng)估者行為元素：ADV_ARC.1.1E評(píng)估者應(yīng)確認(rèn)提供的信息符合證據(jù)的內(nèi)容和形式要求。依賴關(guān)系：ADV_TDS.1基礎(chǔ)設(shè)計(jì)。開發(fā)者行為元素：ADV_FSP.2.1D開發(fā)者應(yīng)提供一個(gè)功能規(guī)范。ADV_FSP.2.2D開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯。內(nèi)容和形式元素：ADV_FSP.2.1C功能規(guī)范應(yīng)完全描述TSF。ADV_FSP.2.2C功能規(guī)范應(yīng)描述所有TSFI的目的和使用方法。ADV_FSP.2.3C功能規(guī)范應(yīng)識(shí)別和描述每個(gè)TSFI相關(guān)的所有參數(shù)。ADV_FSP.2.4C對(duì)于每個(gè)SFR執(zhí)行TSFI,功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR執(zhí)行行為。ADV__FSP.2.5C對(duì)于SFR執(zhí)行TSFI,功能規(guī)范應(yīng)描述由SFR執(zhí)行行為相關(guān)處理而引起的直接錯(cuò)誤消息。ADV_FSP.2.6C功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。評(píng)估者行為元素：ADV_FSP.2.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ADV_FSP.2.2E評(píng)估者應(yīng)確定功能規(guī)范是安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。依賴關(guān)系：ADV_TDS.1基礎(chǔ)設(shè)計(jì)。開發(fā)者行為元素：ADV_FSP.3.1D開發(fā)者應(yīng)提供一個(gè)功能規(guī)范。ADV_FSP.3.2D開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯。內(nèi)容和形式元素：ADV_FSP.3.1C功能規(guī)范應(yīng)完全描述TSF。ADV_FSP.3.2C功能規(guī)范應(yīng)描述所有TSFI的目的和使用方法。ADV_FSP.3.3C功能規(guī)范應(yīng)識(shí)別和描述每個(gè)TSFI相關(guān)的所有參數(shù)。ADV_FSP.3.4C對(duì)于每個(gè)SFR執(zhí)行TSFI,功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR執(zhí)行行為。ADV_FSP.3.5C對(duì)于SFR執(zhí)行TSFI,功能規(guī)范應(yīng)描述與TSFI的調(diào)用相關(guān)的安全實(shí)施行為和異常而引起的直接錯(cuò)誤消息。ADV_FSP.3.6C功能規(guī)范應(yīng)總結(jié)與每個(gè)TSFI相關(guān)的SFR支撐和SFR無關(guān)的行為。ADV_FSP.3.7C功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。評(píng)估者行為元素：ADV_FSP.3.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ADV_FSP.3.2E評(píng)估者應(yīng)確定功能規(guī)范是安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。依賴關(guān)系：ADV_TDS.1基礎(chǔ)設(shè)計(jì)。開發(fā)者行為元素：ADV_FSP.4.1D開發(fā)者應(yīng)提供一個(gè)功能規(guī)范。ADV_FSP.4.2D開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯。內(nèi)容和形式元素：ADV_FSP.4.2C功能規(guī)范應(yīng)描述所有TSFI的目的和使用方法。ADV_FSP.4.3C功能規(guī)范應(yīng)識(shí)別和描述每個(gè)TSFI相關(guān)的所有參數(shù)。ADV_FSP.4.4C對(duì)于每個(gè)SFR執(zhí)行TSFI,功能規(guī)范應(yīng)描述TSFI相關(guān)的所有行為。ADV_FSP.4.5C功能規(guī)范應(yīng)描述可能由每個(gè)TSFI的調(diào)用而引起的所有直接錯(cuò)誤消息。ADV_FSP.4.5C功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。評(píng)估者行為元素：ADV_FSP.4.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ADV_FSP.4.2E評(píng)估者應(yīng)確定功能規(guī)范是安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。)依賴關(guān)系：ADV_TDS.3基礎(chǔ)模塊設(shè)計(jì)；ALC_TAT.1明確定義的開發(fā)工具。開發(fā)者行為元素：ADV_IMP.1.1D開發(fā)者應(yīng)為全部TSF提供實(shí)現(xiàn)表示。ADV_IMP.1.2D開發(fā)者應(yīng)提供移動(dòng)終端操作系統(tǒng)設(shè)計(jì)描述與實(shí)現(xiàn)表示實(shí)例之間的映射。內(nèi)容和形式元素：ADV_IMP.1.1C實(shí)現(xiàn)表示應(yīng)按詳細(xì)級(jí)別定義TSF,且詳細(xì)程度達(dá)到無須進(jìn)一步設(shè)計(jì)就能生成TSF的程度。ADV_IMP.1.2C實(shí)現(xiàn)表示應(yīng)以開發(fā)人員使用的形式提供。ADV_IMP.1.3C移動(dòng)終端操作系統(tǒng)設(shè)計(jì)描述與實(shí)現(xiàn)表示示例之間的映射應(yīng)能證實(shí)它們的一致性。評(píng)估者行為元素：ADV_IMP.1.1E對(duì)于選取的實(shí)現(xiàn)表示示例，評(píng)估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。)依賴關(guān)系：ADV_FSP.2安全執(zhí)行功能規(guī)范。開發(fā)者行為元素：ADV_TDS.1.1D開發(fā)者應(yīng)提供移動(dòng)終端操作系統(tǒng)的設(shè)計(jì)。ADV__TDS.1.2D開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到移動(dòng)終端操作系統(tǒng)設(shè)計(jì)中獲取到的最低層分解的映射。內(nèi)容和形式元素：ADV_TDS.1.1C設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述移動(dòng)終端操作系統(tǒng)的結(jié)構(gòu)。ADV_TDS.1.2C設(shè)計(jì)應(yīng)標(biāo)識(shí)TSF的所有子系統(tǒng)。ADV__TDS.1.3C設(shè)計(jì)應(yīng)對(duì)每一個(gè)SFR支撐或SFR無關(guān)的TSF子系統(tǒng)的行為進(jìn)行詳細(xì)的描述，以確定它不是SFR執(zhí)行。ADV_TDS.1.4C設(shè)計(jì)應(yīng)概括SFR執(zhí)行子系統(tǒng)的SFR執(zhí)行行為。ADV_TDS.1.5C設(shè)計(jì)應(yīng)描述TSF的SFR執(zhí)行子系統(tǒng)間的相互作用和TSF的SFR執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用。ADV_TDS.1.6C映射關(guān)系應(yīng)證實(shí)移動(dòng)終端操作系統(tǒng)設(shè)計(jì)中描述的所有行為能映射到調(diào)用它的TSFI。評(píng)估者行為元素：ADV_TDS.1.1E評(píng)估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求。ADV_TDS.1.2E評(píng)估者應(yīng)確定設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。依賴關(guān)系：ADV_FSP.3帶完整摘要的功能規(guī)范。開發(fā)者行為元素：ADV_TDS.2.1D開發(fā)者應(yīng)提供移動(dòng)終端操作系統(tǒng)的設(shè)計(jì)。ADV__TDS.2.2D開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到移動(dòng)終端操作系統(tǒng)設(shè)計(jì)中獲取到的最低層分解的映射。內(nèi)容和形式元素：ADV_TDS.2.1C設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述移動(dòng)終端操作系統(tǒng)的結(jié)構(gòu)。ADV_TDS.2.2C設(shè)計(jì)應(yīng)標(biāo)識(shí)TSF的所有子系統(tǒng)。ADV_TDS.2.3C設(shè)計(jì)應(yīng)對(duì)每一個(gè)TSF的SFR無關(guān)子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述，以確定它是SFR無關(guān)。ADV_TDS.2.4C設(shè)計(jì)應(yīng)描述SFR執(zhí)行子系統(tǒng)的SFR執(zhí)行行為。ADV_TDS.2.5C設(shè)計(jì)應(yīng)概括SFR執(zhí)行子系統(tǒng)的SFR支撐和SFR無關(guān)行為。ADV_TDS.2.6C設(shè)計(jì)應(yīng)概括SFR支撐子系統(tǒng)的行為。ADV_TDS.2.7C設(shè)計(jì)應(yīng)描述TSF所有子系統(tǒng)間的相互作用。ADV_TDS.2.8C映射關(guān)系應(yīng)證實(shí)移動(dòng)終端操作系統(tǒng)設(shè)計(jì)中描述的所有行為能映射到調(diào)用它的TSFI。評(píng)估者行為元素：ADV_TDS.2.1E評(píng)估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求。ADV_TDS.2.2E評(píng)估者應(yīng)確定設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。依賴關(guān)系：ADV_FSP.4完備的功能規(guī)范。開發(fā)者行為元素：ADV_TDS.3.1D開發(fā)者應(yīng)提供移動(dòng)終端操作系統(tǒng)的設(shè)計(jì)。ADV__TDS.3.2D開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到移動(dòng)終端操作系統(tǒng)設(shè)計(jì)中獲取到的最低層分解的映射。內(nèi)容和形式元素：ADV_TDS.3.1C設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述移動(dòng)終端操作系統(tǒng)的結(jié)構(gòu)。ADV_TDS.3.2C設(shè)計(jì)應(yīng)根據(jù)模塊描述TSF。ADV_TDS.3.3C設(shè)計(jì)應(yīng)標(biāo)識(shí)TSF的所有子系統(tǒng)。ADV_TDS.3.4C設(shè)計(jì)應(yīng)描述每一個(gè)TSF子系統(tǒng)。ADV_TDS.3.5C設(shè)計(jì)應(yīng)描述TSF所有子系統(tǒng)間的相互作用。ADV_TDS.3.6C設(shè)計(jì)應(yīng)提供TSF子系統(tǒng)到TSF模塊間的映射關(guān)系。ADV_TDS.3.7C設(shè)計(jì)應(yīng)描述每一個(gè)SFR執(zhí)行模塊，包括它的目的及與其他模塊間的相互作用。ADV_TDS.3.8C設(shè)計(jì)應(yīng)描述每一個(gè)SFR執(zhí)行模塊，包括它的安全功能要求相關(guān)接口、其他接口的返回值、與其他模塊間的相互作用及調(diào)用的接口。ADV_TDS.3.9C設(shè)計(jì)應(yīng)描述每一個(gè)SFR支撐或SFR無關(guān)模塊，包括它的目的及與其他模塊間的相互作用。ADV_TDS.3.10C映射關(guān)系應(yīng)論證實(shí)TOE設(shè)計(jì)中描述的所有行為能映射到調(diào)用它的TSFI。評(píng)估者行為元素：ADV_TDS.3.1E評(píng)估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求。ADV_TDS.3.2E評(píng)估者應(yīng)確定設(shè)計(jì)是所有安全功能要求的正確且完全的實(shí)例。7.2.3指導(dǎo)性文檔（犃犌犇類）依賴關(guān)系：ADV_FSP.1基本功能規(guī)范。開發(fā)者行為元素：AGD_OPE.1.1D開發(fā)者應(yīng)提供操作用戶指南。內(nèi)容和形式元素：AGD_OPE.1.1C操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?。AGD_OPE.1.2C操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，怎樣以安全的方式使用移動(dòng)終端操作系統(tǒng)提供的可用接口。AGD_OPE.1.3C操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)應(yīng)指明安全值。AGD_OPE.1.4C操作用戶指南應(yīng)對(duì)每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實(shí)體的安全特性。AGD_OPE.1.5C操作用戶指南應(yīng)標(biāo)識(shí)移動(dòng)終端操作系統(tǒng)運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系。AGD_OPE.1.6C操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的應(yīng)執(zhí)行的安全策略。AGD_OPE.1.7C操作用戶指南應(yīng)是明確和合適的。評(píng)估者行為元素：AGD_OPE.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：AGD_PRE.1.1D開發(fā)者應(yīng)提供移動(dòng)終端操作系統(tǒng)，包括它的準(zhǔn)備程序。內(nèi)容和形式元素：AGD_PRE.1.1C準(zhǔn)備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付移動(dòng)終端操作系統(tǒng)所需的所有步驟。AGD_PRE.1.2C準(zhǔn)備程序應(yīng)描述安全安裝移動(dòng)終端操作系統(tǒng)以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境所需的所有步驟。評(píng)估者行為元素：AGD_PRE.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。AGD_PRE.1.2E評(píng)估者應(yīng)運(yùn)用準(zhǔn)備程序確認(rèn)移動(dòng)終端操作系統(tǒng)運(yùn)行能被安全的準(zhǔn)備。7.2.4生命周期支持（犃犔犆類）依賴關(guān)系：ALC_CMS.1TOECM覆蓋。開發(fā)者行為元素：ALC_CMC.2.1D開發(fā)者應(yīng)提供移動(dòng)終端操作系統(tǒng)及其參照號(hào)。ALC_CMC.2.2D開發(fā)者應(yīng)提供CM文檔。ALC_CMC.2.3D開發(fā)者應(yīng)使用CM系統(tǒng)。內(nèi)容和形式元素：ALC_CMC.2.1C應(yīng)給移動(dòng)終端操作系統(tǒng)標(biāo)注唯一參照號(hào)。ALC_CMC.2.2CCM文檔應(yīng)描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法。ALC_CMC.2.3CCM系統(tǒng)應(yīng)唯一標(biāo)識(shí)所有配置項(xiàng)。評(píng)估者行為元素：ALC_CMC.2.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：ALC_CMS.1TOECM覆蓋；ALC_DVS.1安全措施標(biāo)識(shí)；ALC_LCD.1開發(fā)者定義的生命周期模型。開發(fā)者行為元素：ALC_CMC.3.1D開發(fā)者應(yīng)提供移動(dòng)終端操作系統(tǒng)及其參照號(hào)。ALC_CMC.3.2D開發(fā)者應(yīng)提供CM文檔。ALC_CMC.3.3D開發(fā)者應(yīng)使用CM系統(tǒng)。內(nèi)容和形式元素：ALC_CMC.3.1C應(yīng)給移動(dòng)終端操作系統(tǒng)標(biāo)注唯一參照號(hào)。ALC_CMC.3.2CCM文檔應(yīng)描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法。ALC_CMC.3.3CCM系統(tǒng)應(yīng)唯一標(biāo)識(shí)所有配置項(xiàng)。ALC_CMC.3.4CCM系統(tǒng)應(yīng)提供措施使得只能對(duì)配置項(xiàng)進(jìn)行授權(quán)變更。ALC_CMC.3.5CCM文檔應(yīng)包括一個(gè)CM計(jì)劃。ALC_CMC.3.6CCM計(jì)劃應(yīng)描述CM系統(tǒng)是如何應(yīng)用于移動(dòng)終端操作系統(tǒng)的開發(fā)過程。ALC_CMC.3.7C證據(jù)應(yīng)證實(shí)所有配置項(xiàng)都正在CM系統(tǒng)下進(jìn)行維護(hù)。ALC_CMC.3.8C證據(jù)應(yīng)證實(shí)CM系統(tǒng)的運(yùn)行與CM計(jì)劃是一致的。評(píng)估者行為元素：ALC_CMC.3.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。4)依賴關(guān)系：ALC_CMS.1TOECM覆蓋；ALC_DVS.1安全措施標(biāo)識(shí)；ALC_LCD.1開發(fā)者定義的生命周期模型。開發(fā)者行為元素：ALC_CMC.4.1D開發(fā)者應(yīng)提供移動(dòng)終端操作系統(tǒng)及其參照號(hào)。ALC_CMC.4.2D開發(fā)者應(yīng)提供CM文檔。ALC_CMC.4.3D開發(fā)者應(yīng)使用CM系統(tǒng)。內(nèi)容和形式元素：ALC_CMC.4.1C應(yīng)給移動(dòng)終端操作系統(tǒng)標(biāo)注唯一參照號(hào)。ALC_CMC.4.2CCM文檔應(yīng)描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法。ALC_CMC.4.3CCM系統(tǒng)應(yīng)唯一標(biāo)識(shí)所有配置項(xiàng)。ALC_CMC.4.4CCM系統(tǒng)應(yīng)提供措施使得只能對(duì)配置項(xiàng)進(jìn)行授權(quán)變更。ALC_CMC.4.5CCM系統(tǒng)應(yīng)以自動(dòng)化的方式支持移動(dòng)終端操作系統(tǒng)的生產(chǎn)。ALC_CMC.4.6CCM文檔應(yīng)包括CM計(jì)劃。ALC_CMC.4.7CCM計(jì)劃應(yīng)描述CM系統(tǒng)是如何應(yīng)用于移動(dòng)終端操作系統(tǒng)的開發(fā)的。ALC_CMC.4.8CCM計(jì)劃應(yīng)描述用來接受修改過的或新創(chuàng)建的作為移動(dòng)終端操作系統(tǒng)組成部分的配置項(xiàng)的程序。ALC_CMC.4.9C證據(jù)應(yīng)證實(shí)所有配置項(xiàng)都正在CM系統(tǒng)下進(jìn)行維護(hù)。ALC_CMC.4.10C證據(jù)應(yīng)證實(shí)CM系統(tǒng)的運(yùn)行與CM計(jì)劃是一致的。評(píng)估者行為元素：ALC_CMC.4.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ALC_CMS.2.1D開發(fā)者應(yīng)提供移動(dòng)終端操作系統(tǒng)配置項(xiàng)列表。內(nèi)容和形式元素：ALC_CMS.2.1C配置項(xiàng)列表應(yīng)包括：移動(dòng)終端操作系統(tǒng)本身、安全保障要求的評(píng)估證據(jù)和移動(dòng)終端操作系統(tǒng)的組成部分。ALC_CMS.2.2C配置項(xiàng)列表應(yīng)唯一標(biāo)識(shí)配置項(xiàng)。ALC_CMS.2.3C對(duì)于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡(jiǎn)要說明該配置項(xiàng)的開發(fā)者。評(píng)估者行為元素：ALC_CMS.2.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ALC_CMS.3.1D開發(fā)者應(yīng)提供移動(dòng)終端操作系統(tǒng)配置項(xiàng)列表。內(nèi)容和形式元素：ALC_CMS.3.1C配置項(xiàng)列表應(yīng)包括：移動(dòng)終端操作系統(tǒng)本身、安全保障要求的評(píng)估證據(jù)、移動(dòng)終端操作系統(tǒng)的組成部分和實(shí)現(xiàn)表示。ALC_CMS.3.2C配置項(xiàng)列表應(yīng)唯一標(biāo)識(shí)配置項(xiàng)。ALC_CMS.3.3C對(duì)于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡(jiǎn)要說明該配置項(xiàng)的開發(fā)者。評(píng)估者行為元素：ALC_CMS.3.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ALC_CMS.4.1D開發(fā)者應(yīng)提供移動(dòng)終端操作系統(tǒng)配置項(xiàng)列表。內(nèi)容和形式元素：ALC_CMS.4.1C配置項(xiàng)列表應(yīng)包括：移動(dòng)終端操作系統(tǒng)本身、安全保障要求的評(píng)估證據(jù)、移動(dòng)終端操作系統(tǒng)的組成部分、實(shí)現(xiàn)表示和安全缺陷報(bào)告及其解決狀態(tài)。ALC_CMS.4.2C配置項(xiàng)列表應(yīng)唯一標(biāo)識(shí)配置項(xiàng)。ALC_CMS.4.3C對(duì)于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡(jiǎn)要說明該配置項(xiàng)的開發(fā)者。評(píng)估者行為元素：ALC_CMS.4.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ALC_DEL.1.1D開發(fā)者應(yīng)將把移動(dòng)終端操作系統(tǒng)或其部分交付給消費(fèi)者的程序文檔化。ALC_DEL.1.2D開發(fā)者應(yīng)使用交付程序。內(nèi)容和形式元素：ALC_DEL.1.1C交付文檔應(yīng)描述，在向消費(fèi)者分發(fā)移動(dòng)終端操作系統(tǒng)版本時(shí)，用以維護(hù)安全性所需的所有程序。評(píng)估者行為元素：ALC_DEL.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ALC_DVS.1.1D開發(fā)者應(yīng)提供開發(fā)安全文檔。內(nèi)容和形式元素：ALC_DVS.1.1C開發(fā)安全文檔應(yīng)描述在移動(dòng)終端操作系統(tǒng)的開發(fā)環(huán)境中，保護(hù)移動(dòng)終端操作系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)的機(jī)密性和完整性所需的所有物理的、程序的、人員的及其他方面的安全措施。評(píng)估者行為元素：ALC_DVS.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ALC_DVS.1.2E評(píng)估者應(yīng)確認(rèn)安全措施正在被使用。依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ALC_LCD.1.1D開發(fā)者應(yīng)建立一個(gè)生命周期模型，用于移動(dòng)終端操作系統(tǒng)的開發(fā)和維護(hù)。ALC_LCD.1.2D開發(fā)者應(yīng)提供生命周期定義文檔。內(nèi)容和形式元素：ALC_LCD.1.1C生命周期定義文檔應(yīng)描述用于開發(fā)和維護(hù)移動(dòng)終端操作系統(tǒng)的模型。。評(píng)估者行為元素：ALC_LCD.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：ADV_IMP.1TSF實(shí)現(xiàn)表示。開發(fā)者行為元素：ALC_TAT.1.1D開發(fā)者應(yīng)標(biāo)識(shí)用于開發(fā)移動(dòng)終端操作系統(tǒng)的每個(gè)工具。ALC_TAT.1.2D開發(fā)者應(yīng)在文檔中描述每個(gè)開發(fā)工具所選取的實(shí)現(xiàn)依賴選項(xiàng)。內(nèi)容和形式元素：ALC_TAT.1.1C用于實(shí)現(xiàn)的每個(gè)開發(fā)工具都應(yīng)是明確定義的。ALC_TAT.1.2C每個(gè)開發(fā)工具的文檔應(yīng)無歧義地定義所有語句和實(shí)現(xiàn)用到的所有協(xié)定與命令的含義。ALC_TAT.1.3C每個(gè)開發(fā)工具的文檔應(yīng)無歧義地定義所有實(shí)現(xiàn)依賴選項(xiàng)的含義。評(píng)估者行為元素：ALC_TAT.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：ASE__INT.1ST引言；ASE__ECD.1擴(kuò)展組件定義；。開發(fā)者行為元素：ASE__CCL.1.1D開發(fā)者應(yīng)提供符合性聲明。ASE__CCL.1.2D開發(fā)者應(yīng)提供符合性聲明的基本原理。內(nèi)容和形式元素：ASE_CCL.1.1CST的符合性聲明應(yīng)包含GB/T18336.1—2015、GB/T18336.2—2015和GB/T18336.3—2015符合性聲明，標(biāo)識(shí)出ST和TOE聲明符合性遵從的標(biāo)準(zhǔn)版本。ASE_CCL.1.2CST的符合性聲明應(yīng)描述ST和GB/T18336.2—2015的符合性，無論是與GB/T18336.2—2015相符或是與GB/T18336.2—2015的擴(kuò)展部分相符。ASE_CCL.1.3C符合性聲明應(yīng)描述ST和GB/T18336.3—2015的符合性，無論是與GB/T18336.3—2015相符或是與GB/T18336.3—2015的擴(kuò)展部分相符。ASE__CCL.1.4C符合性聲明應(yīng)與擴(kuò)展組件定義是相符的。ASE__CCL.1.5C符合性聲明應(yīng)標(biāo)識(shí)ST聲明遵從的所有PP和安全要求包。ASE__CCL.1.6C符合性聲明應(yīng)描述ST和包的符合性，無論是與包的相符或是與擴(kuò)展包相符。ASE__CCL.1.7C符合性聲明的基本原理應(yīng)證實(shí)TOE類型與符合性聲明所遵從的PP中的TOE類型是相符的。ASE__CCL.1.8C符合性聲明的基本原理應(yīng)證實(shí)安全問題定義的陳述與符合性聲明所遵從的PP中的安全問題定義陳述是相符的。ASE__CCL.1.9C符合性聲明的基本原理應(yīng)證實(shí)安全目的陳述與符合性聲明所遵從的PP中的安全目的陳述是相符的。ASE__CCL.1.10C符合性聲明的基本原理應(yīng)證實(shí)安全要求的陳述與符合性聲明所遵從的PP中的安全要求的陳述是相符的。評(píng)估者行為元素：ASE__CCL.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ASE__ECD.1.1D開發(fā)者應(yīng)提供安全要求的陳述。ASE__ECD.1.2D開發(fā)者應(yīng)提供擴(kuò)展組件的定義。內(nèi)容和形式元素：ASE__ECD.1.1C安全要求陳述應(yīng)標(biāo)識(shí)所有擴(kuò)展的安全要求。ASE__ECD.1.2C擴(kuò)展組件定義應(yīng)為每一個(gè)擴(kuò)展的安全要求定義一個(gè)擴(kuò)展的組件。ASE__ECD.1.3C擴(kuò)展組件定義應(yīng)描述每個(gè)擴(kuò)展的組件與已有組件、族和類的關(guān)聯(lián)性。ASE__ECD.1.4C擴(kuò)展組件定義應(yīng)使用已有的組件、族、類和方法學(xué)作為陳述的模型。ASE__ECD.1.5C擴(kuò)展組件應(yīng)由可測(cè)量的和客觀的元素組成，以便于證實(shí)這些元素之間的符合性或不符合性。評(píng)估者行為元素：ASE__ECD.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ASE__ECD.1.2E評(píng)估者應(yīng)確認(rèn)擴(kuò)展組件不能利用已經(jīng)存在的組件明確的表達(dá)。)依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ASE__INT.1.1D開發(fā)者應(yīng)提供ST引言。內(nèi)容和形式元素：ASE__INT.1.1CST引言應(yīng)包含ST參照號(hào)，TOE參照號(hào)，TOE概述和TOE描述。ASE__INT.1.2CST參照號(hào)應(yīng)唯一標(biāo)識(shí)ST。ASE__INT.1.3CTOE參照號(hào)應(yīng)標(biāo)識(shí)TOE。ASE__INT.1.4CTOE概述應(yīng)概括TOE的用法及其主要安全特性。ASE__INT.1.5CTOE概述應(yīng)標(biāo)識(shí)TOE類型。ASE__INT.1.6CTOE概述應(yīng)標(biāo)識(shí)任何TOE要求的非TOE范圍內(nèi)的硬件／軟件／固件。ASE__INT.1.7CTOE描述應(yīng)描述移動(dòng)終端操作系統(tǒng)的物理范圍。ASE__INT.1.8CTOE描述應(yīng)描述移動(dòng)終端操作系統(tǒng)的邏輯范圍。評(píng)估者行為元素：ASE__INT.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ASE__INT.1.2E評(píng)估者應(yīng)確認(rèn)TOE參考、TOE概述和TOE描述是相互一致的。依賴關(guān)系：ASE__SPD.1安全問題定義。開發(fā)者行為元素：。。內(nèi)容和形式元素：到安全目的所對(duì)抗的威脅及安全目的實(shí)施的組織安全策略。的所對(duì)抗的威脅、安全目的實(shí)施的組織安全策略和安全目的支持的假設(shè)。。評(píng)估者行為元素：；ASE__ECD.1擴(kuò)展組件定義。開發(fā)者行為元素：。。內(nèi)容和形式元素：。部實(shí)體及其他術(shù)語進(jìn)行定義。。賴關(guān)系。統(tǒng)安全目的。目的。。評(píng)估者行為元素：。依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ASE__SPD.1.1D開發(fā)者應(yīng)提供安全問題定義。內(nèi)容和形式元素：ASE__SPD.1.1C安全問題定義應(yīng)描述威脅。ASE__SPD.1.2C所有的威脅都應(yīng)根據(jù)威脅主體、資產(chǎn)和敵對(duì)行為進(jìn)行描述。ASE__SPD.1.3C安全問題定義應(yīng)描述組織安全策略。ASE__SPD.1.4C安全問題定義應(yīng)描述移動(dòng)終端操作系統(tǒng)運(yùn)行環(huán)境的相關(guān)假設(shè)。評(píng)估者行為元素：ASE__SPD.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。)依賴關(guān)系：ASE__INT.1ST引言；；ADV_FSP.1基本功能規(guī)范。開發(fā)者行為元素：ASE_TSS.1.1D開發(fā)者應(yīng)提供TOE概要規(guī)范。內(nèi)容和形式元素：ASE_TSS.1.1CTOE概要規(guī)范應(yīng)描述移動(dòng)終端操作系統(tǒng)是如何滿足每一項(xiàng)安全功能要求的。評(píng)估者行為元素：ASE_TSS.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ASE_TSS.1.2E評(píng)估者應(yīng)確認(rèn)TOE概要規(guī)范與TOE概述、TOE描述是一致的。依賴關(guān)系：ADV_FSP.2安全執(zhí)行功能規(guī)范；ATE__FUN.1功能測(cè)試。開發(fā)者行為元素：ATE__COV.1.1D開發(fā)者應(yīng)提供測(cè)試覆蓋的證據(jù)。內(nèi)容和形式元素：ATE_COV.1.1C測(cè)試覆蓋的證據(jù)應(yīng)表明測(cè)試文檔中的測(cè)試與功能規(guī)范中的TSF接口之間的對(duì)應(yīng)性。評(píng)估者行為元素：ATE_COV.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的所有內(nèi)容和形式要求。依賴關(guān)系：ADV_FSP.2安全執(zhí)行功能規(guī)范；ATE__FUN.1功能測(cè)試。開發(fā)者行為元素：ATE__COV.2.1D開發(fā)者應(yīng)提供對(duì)測(cè)試覆蓋的分析。內(nèi)容和形式元素：ATE__COV.2.1C測(cè)試覆蓋分析應(yīng)證實(shí)測(cè)試文檔中的測(cè)試與功能規(guī)范中TSF接口之間的對(duì)應(yīng)性。ATE__COV.2.2C測(cè)試覆蓋分析應(yīng)證實(shí)已經(jīng)對(duì)功能規(guī)范中的所有TSF接口都進(jìn)行了測(cè)試。評(píng)估者行為元素：ATE__COV.2.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)內(nèi)容和形式的所有要求。依賴關(guān)系：ADV_ARC.1安全架構(gòu)描述；ADV_TDS.2結(jié)構(gòu)化設(shè)計(jì)；ATE__FUN.1功能測(cè)試。開發(fā)者行為元素：ATE_DPT.1.1D開發(fā)者應(yīng)提供測(cè)試深度分析。內(nèi)容和形式元素：ATE_DPT.1.1C測(cè)試深度分析應(yīng)證實(shí)測(cè)試文檔中的測(cè)試與移動(dòng)終端操作系統(tǒng)設(shè)計(jì)中TSF子系統(tǒng)之間的對(duì)應(yīng)性。ATE_DPT.1.2C測(cè)試深度分析應(yīng)證實(shí)移動(dòng)終端操作系統(tǒng)設(shè)計(jì)中的所有TSF子系統(tǒng)都已經(jīng)進(jìn)行過測(cè)試。評(píng)估者行為元素：ATE_DPT.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)內(nèi)容和形式