[PDF] GB/T 18336.2-2015 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 18336.2-2015 | 500 | GB/T 18336.2-2015 | 9秒内发货PDF | 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 18336.2-2015 (GB/T18336.2-2015) |
| 中文名称 | 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件 |
| 英文名称 | Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional components |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 275,221 |
| 发布日期 | 2015-05-15 |
| 实施日期 | 2016-01-01 |
| 旧标准 (被替代) | GB/T 18336.2-2008 |
| 引用标准 | ISO/IEC 15408-1 |
| 采用标准 | ISO/IEC 15408-2-2008, IDT |
| 标准依据 | 国家标准公告2015年第15号 |
| 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
| 范围 | 为了安全评估的意图, GB/T 18336的本部分定义了安全功能组件所需要的结构和内容。本部分包含一个安全组件的分类目录, 将满足许多IT产品的通用安全功能要求。 |
GB/T 18336.2-2015
Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional components
ICS 35.040
L80
中华人民共和国国家标准
代替 GB/T 18336.2-2008
信息技术 安全技术
信息技术安全评估准则
第2部分:安全功能组件
2015-05-15发布
2016-01-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅴ
引言 Ⅵ
1 范围 1
2 规范性引用文件 1
3 术语、定义和缩略语 1
4 概述 1
4.1 本部分的结构 1
5 功能要求范型 2
6 安全功能组件 4
6.1 概述 4
6.2 组件分类 8
7 FAU类:安全审计 8
7.1 安全审计自动响应(FAU_ARP) 9
7.2 安全审计数据产生(FAU_GEN) 10
7.3 安全审计分析(FAU_SAA) 11
7.4 安全审计查阅(FAU_SAR) 13
7.5 安全审计事件选择(FAU_SEL) 14
7.6 安全审计事件存储(FAU_STG) 15
8 FCO类:通信 17
8.1 原发抗抵赖(FCO_NRO) 17
8.2 接收抗抵赖(FCO_NRR) 18
9 FCS类:密码支持 20
9.1 密钥管理(FCS_CKM) 20
9.2 密码运算(FCS_COP) 22
10 FDP类:用户数据保护 22
10.1 访问控制策略(FDP_ACC) 25
10.2 访问控制功能(FDP_ACF) 26
10.3 数据鉴别(FDP_DAU) 27
10.4 从TOE输出(FDP_ETC) 28
10.5 信息流控制策略(FDP_IFC) 29
10.6 信息流控制功能(FDP_IFF) 30
10.7 从TOE之外输入(FDP_ITC) 33
10.8 TOE内部传送(FDP_ITT) 35
10.9 残余信息保护(FDP_RIP) 37
10.10 回退(FDP_ROL) 38
10.11 存储数据的完整性(FDP_SDI) 39
10.12 TSF间用户数据机密性传送保护(FDP_UCT) 40
10.13 TSF间用户数据完整性传送保护(FDP_UIT) 41
11 FIA类:标识和鉴别 42
11.1 鉴别失败(FIA_AFL) 43
11.2 用户属性定义(FIA_ATD) 44
11.3 秘密的规范(FIA_SOS) 44
11.4 用户鉴别(FIA_UAU) 45
11.5 用户标识(FIA_UID) 48
11.6 用户-主体绑定(FIA_USB) 49
12 FMT类:安全管理 50
12.1 TSF中功能的管理(FMT_MOF) 51
12.2 安全属性的管理(FMT_MSA) 52
12.3 TSF数据的管理(FMT_MTD) 54
12.4 撤消(FMT_REV) 55
12.5 安全属性到期(FMT_SAE) 56
12.6 管理功能规范(FMT_SMF) 57
12.7 安全管理角色(FMT_SMR) 57
13 FPR类:隐私 59
13.1 匿名(FPR_ANO) 59
13.2 假名(FPR_PSE) 60
13.3 不可关联性(FPR_UNL) 62
13.4 不可观察性(FPR_UNO) 62
14 FPT类:TSF保护 64
14.1 失效保护(FPT_FLS) 66
14.2 输出TSF数据的可用性(FPT_ITA) 66
14.3 输出TSF数据的机密性(FPT_ITC) 67
14.4 输出TSF数据的完整性(FPT_ITI) 67
14.5 TOE内TSF数据的传送(FPT_ITT) 69
14.6 TSF物理保护(FPT_PHP) 70
14.7 可信恢复(FPT_RCV) 72
14.8 重放检测(FPT_RPL) 74
14.9 状态同步协议(FPT_SSP) 75
14.10 时间戳(FPT_STM) 76
14.11 TSF间TSF数据的一致性(FPT_TDC) 76
14.12 外部实体测试(FPT_TEE) 77
14.13 TOE内TSF数据复制的一致性(FPT_TRC) 78
14.14 TSF自检(FPT_TST) 78
15 FRU类:资源利用 79
15.1 容错(FRU_FLT) 80
15.2 服务优先级(FRU_PRS) 81
15.3 资源分配(FRU_RSA) 82
16 FTA类:TOE访问 83
16.1 可选属性范围限定(FTA_LSA) 83
16.2 多重并发会话限定(FTA_MCS) 84
16.3 会话锁定和终止(FTA_SSL) 85
16.4 TOE访问旗标(FTA_TAB) 87
16.5 TOE访问历史(FTA_TAH) 87
16.6 TOE会话建立(FTA_TSE) 88
17 FTP类:可信路径/信道 88
17.1 TSF间可信信道(FTP_ITC) 89
17.2 可信路径(FTP_TRP) 90
附录A(规范性附录) 安全功能要求应用注释 91
附录B(规范性附录) 功能类、族和组件 99
附录C(规范性附录) FAU类:安全审计 100
附录D(规范性附录) FCO类:通信 111
附录E(规范性附录) FCS类:密码支持 115
附录F(规范性附录) FDP类:用户数据保护 119
附录G(规范性附录) FIA类:标识和鉴别 140
附录H (规范性附录) FMT类:安全管理 148
附录I(规范性附录) FPR类:隐私 156
附录J(规范性附录) FPT类:TSF保护 165
附录K(规范性附录) FRU类:资源利用 179
附录L(规范性附录) FTA类:TOE访问 183
附录 M (规范性附录) FTP类:可信路径/信道 188
前言
GB/T 18336《信息技术 安全技术 信息技术安全评估准则》分为以下三部分:
---第1部分:简介和一般模型;
---第2部分:安全功能组件;
---第3部分:安全保障组件。
本部分是GB/T 18336的第2部分。
本部分按照GB/T 1.1-2009给出的规则编写。
本部分代替GB/T 18336.2-2008《信息技术 安全技术 信息技术安全评估准则 第2部分:安
全功能要求》。
本部分与GB/T 18336.2-2008的主要差异如下:
---将“保证”(assurance)改为“保障”;
---将“10.4输出到TSF控制之外(FDP_ETC)”改为“10.4从TOE输出(FDP_ETC)”;
---将“10.7从TSF控制之外输入(FDP_ITC)”改为“10.7从TOE之外输入(FDP_ITC)”;
---删除了“14FPT类:TSF保护”中的“14.1底层抽象机测试(FPT_AMT)”、“14.10引用仲裁
(FPT_RVM)”、“14.11域分离(FPT_SEP)”;
---在“14FPT类:TSF保护”中增加了“14.12外部实体测试(FPT_TEE)”;
---将“16.3会话锁定(FTA_SSL)”改为“16.3会话锁定和终止(FTA_SSL)”;
---将“门限值”改为“临界值”;
---将“介导”改为“促成”。
本部分使用翻译法等同采用国际标准ISO/IEC 15408-2:2008《信息技术 安全技术 信息技术安
全评估准则 第2部分:安全功能组件》。
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:
---GB/T 18336.1 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型
(GB/T 18336.1-2015,ISO/IEC 15408-1:2009,IDT)
本部分做了下列编辑性修改:
---第4.1条标准原文有编辑性错误,现已更正为“对于有关结构、规则和指南,编写PP或ST的
人员应参见ISO/IEC 15408-1第3章和相关附录”。
本部分由全国信息安全标准化技术委员会(SAC/TC260)提出和归口。
本部分起草单位:中国信息安全测评中心、信息产业信息安全测评中心、公安部第三研究所、吉林信
息安全测评中心。
本部分主要起草人:张翀斌、郭颖、石竑松、毕海英、张宝峰、高金萍、王峰、杨永生、李国俊、董晶晶、
谢蒂、王鸿娴、张怡、顾健、邱梓华、宋好好、陈妍、杨元原、李凤娟、庞博、张骁、刘昱函、王书毅、周博扬、
唐喜庆、蒋显岚、张双双。
本部分所代替标准的历次版本发布情况为:
---GB/T 18336.2-2001;
---GB/T 18336.2-2008。
引 言
本部分定义的安全功能组件为在保护轮廓(PP)或安全目标(ST)中表述的安全功能要求提供了基
础。这些要求描述了评估对象(TOE)所期望的安全行为,并旨在满足在PP或ST中所提出的安全目
的。这些要求描述那些用户能直接通过IT交互(即输入、输出)或IT激励响应过程探测到的安全
特性。
安全功能组件表达了安全要求,这些要求试图对抗针对假定的TOE运行环境中的威胁,并/或涵
盖了所有已标识的组织安全策略和假设。
本部分的目标读者主要包括安全的IT产品的消费者、开发者、评估者。ISO/IEC 15408-1第5章
提供了关于ISO/IEC 15408的目标读者和目标读者群体如何使用ISO/IEC 15408的附加信息。这些
群体可以按如下方式使用本部分:
a) 消费者,为满足PP或ST中提出的安全目的,通过选取本部分的组件来表述功能要求。ISO/
IEC 15408-1提供了更多关于安全目的和安全要求之间的关系的详细信息;
b) 开发者,在构造TOE时响应实际的或预测的消费者安全要求,可以在本部分中找到一种标准
的方法去理解这些要求。也可以以本部分的内容为基础,进一步定义TOE的安全功能和机
制来满足那些要求;
c) 评估者,使用本部分所定义的功能要求检验在PP或ST中表述的TOE功能要求是否满足IT
安全目的,以及所有的依赖关系是否都已解释清楚并得到满足。评估者也宜使用本部分去帮
助确定指定的TOE是否满足规定的要求。
信息技术 安全技术
信息技术安全评估准则
第2部分:安全功能组件
1 范围
为了安全评估的意图,GB/T 18336的本部分定义了安全功能组件所需要的结构和内容。本部分
包含一个安全组件的分类目录,将满足许多IT产品的通用安全功能要求。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修订版)适用于本文件。
ISO/IEC 15408-1 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型(In-
andgeneralmodel)
3 术语、定义和缩略语
ISO/IEC 15408-1中给出的术语、定义、符号和缩略语适用于本文件。
4 概述
ISO/IEC 15408和本部分在此描述的相关安全功能要求,并不意味着是对所有IT安全问题的最终
回答。相反,本标准提供一组广为认同的安全功能要求,以用于制造反映市场需求的可信产品。这些安
全功能要求的给出,体现了当前对产品的要求规范和评估的技术发展水平。
本部分并不计划包括所有可能的安全功能要求,而是尽量包含那些在本部分发布时作者已知的并
认为是有价值的那些要求。
由于消费者的认知和需求可能会发生变化,因此本部分中的功能要求需要维护。可预见的是,某些
PP/ST作者可能还有一些安全要求未包含在本部分提出的功能要求组件中。此时,PP/ST的作者可考
虑使用ISO/IEC 15408之外的功能要求(称之为可扩展性),有关内容参见ISO/IEC 15408-1的附录A
和附录B。
4.1 本部分的结构
第5章是本部分安全功能要求使用的范型。
第6章介绍本部分功能组件的分类,第7章~第17章描述这些功能类。
附录A为功能组件的潜在用户提供了解释性信息,其中包括功能组件间依赖关系的一个完整的交
叉引用表。
附录B~附录 M提供了功能类的解释性信息。在如何运用相关操作和选择恰当的审计或文档信
息时,这些材料必须被看作是规范性说明。使用助动词“应”表示该说明是首要推荐的,但是其他的只是
可选的。这里只给出了不同的选项,具体的选择留给了PP/ST作者。
对于有关结构、规则和指南,编写PP或ST的人员应参见ISO/IEC 15408-1第3章和相关附录:
a) ISO/IEC 15408-1第3章定义了ISO/IEC 15408中使用的术语。
b) ISO/IEC 15408-1附录A定义了ST的结构。
c) ISO/IEC 15408-1附录B定义了PP的结构。
5 功能要求范型
本章描述了本部分安全功能要求中所使用的范型。讨论中所涉及的关键概念均以粗体/斜体突出
表示。本章并不打算替换或取代ISO/IEC 15408-1第3章中所给出的任何术语。
本部分是一个有关安全功能组件的目录,可用于规约一个评估对象(TOE)的安全功能要求。TOE
可以是软件、固件和/或硬件的集合,并可能配有用户和管理员的指导性文档。TOE可包含用于处理和
存储信息的资源,诸如电子存储媒介(如主存、磁盘空间)、外设(如打印机)以及计算能力(如CPU时
间)等,并且是评估的对象。
TOE评估主要关注的是,确保对TOE资源执行了所定义的安全功能要求(SFR)集。这些SFR定
义了一些规则,TOE通过这些规则来管制对其资源的访问和使用,从而实现对信息和服务的管控。
这些SFR可定义多个安全功能策略(SFP),以表达TOE必须执行的规则。每一个这样的SFP必
须通过定义主体、客体、资源或信息及其适用的操作,来明确说明该安全功能策略的控制范围。所有
SFP均由TSF(见下文)实现,其机制执行SFR中定义的规则并提供必要的能力。
TOE中为正确执行SFR而必须依赖的部分统称为TOE安全功能(TSF)。TSF由TOE中为了安
全执行而直接或间接依赖的所有软件、硬件和固件组成。
TOE可以是一个包含硬件、固件和软件的整体合一式的产品。
TOE也可以是一个分布式产品,内部由多个不同的部分组成,每一部分都为TOE提供特定的服
务,并且通过内部通信信道与TOE其他部分相连接。该信道可以小到为一个处理器总线,也可以是
TOE之内的一个网络。
当TOE由多个部分组成时,TOE的每一部分可拥有自己的那部分TSF,该部分通过内部通信信
道与TSF的其他部分交换用户数据和TSF数据,这种交互称为TOE内部传送。在这种情况下,这些
TSF的不同部分抽象地形成了执行SFR的组合型TSF。
TOE接口可能只局限在特定的TOE内部使用,或者也可允许通过外部通信信道与其他IT产品
交互。与其他IT产品的外部交互可以采取以下两种形式:
a) 其他“可信IT产品”的安全功能要求和TOE的安全功能要求已进行了管理方面的协调,并假
设这些其他可信IT产品已正确执行了其安全功能要求(例如:通过独立的评估)。在这种情况
下,信息交换被称为TSF间传送,因为它们存在于不同可信产品的TSF之间。
b) 其他IT产品可能是不可信的,被称为“不可信IT产品”。因此,它的SFR或是未知的,或这些
SFR的实现被视为是不可信赖的。在这种情况下,TSF促成的信息交换被称为TOE的外部
传送,因为在其他IT产品上没有TSF(或它的策略特征是未知的)。
一个接口集合,不管是交互式的(人机接口),还是可编程的(应用编程接口),通过这些接口,由
TSF协调对资源的访问,或者从TSF中获取信息,这一接口集合被称为TSF接口(TSFI)。TSFI定义
了为执行SFR而提供的TOE功能边界。
用户在TOE的外部。但为了请求由TOE执行且由SFR中定义的规则所控制的服务,用户要通
过TSFI和TOE交互。本部分关注两种类型用户:人类用户和外部IT实体。人类用户可进一步分为
本地用户和远程用户,本地用户通过TOE设备(如工作站)直接与TOE交互,远程用户通过其他IT产
品间接与TOE交互。
用户和TSF之间的一段交互期称为用户会话。可以根据各种因素来控制用户会话的建立,例如:
用户鉴别、时段、访问TOE的方法以及允许的(每个用户的或总的)并发会话数。
本部分使用术语“授权的”来表示一个用户持有执行某项操作的权力或特权。因此术语“授权用户”
表明用户允许执行由SFR定义的特定操作或一组操作。
为了表达分离管理责任的要求,相关的安全功能组件(来自FMT_SMR族)明确指出了所要求的管
理性角色。角色是预定义的一组规则,用于建立用户按此角色操作时所允许的与TOE之间的交互。
一个TOE可以支持任意多个角色的定义。例如,与TOE安全运行相关的角色可以包括“审计管理员”
和“用户账号管理员”。
TOE包含可用于处理和存储信息的资源。TSF的主要目标是对TOE所控制的资源和信息完整
而正确地执行SFR。
TOE资源能以多种方式组织并加以利用。但是,本部分作出了一个明确的区分,以便允许规范所
期望的安全特性。所有可通过资源来创建的实体,可用以下两种方式中的一种来刻画:实体可以是主动
的,意指它们是促使在TOE内部出现动作并导致信息操作的原因;或者,实体也可以是被动的,意指它
们或是产生信息的载体,或是存储信息的载体。
TOE中对客体执行操作的主动实体,被称为主体。TOE内可存在以下类型的主体:
a) 代表一个授权用户的那些实体(如UNIX进程);
b) 作为一个特殊功能进程,可依次代表多个用户的那些实体(如在客户/服务器结构中可能找到
的某些功能);
c) 作为TOE自身一部分的那些实体(如不代表某个用户的进程)。
本部分用于解决在上述各类主体上实施SFR的问题。
TOE中包含和接收信息,且主体得以在这些信息上执行操作的被动实体,称作客体。在一个主体
(主动实体)是某个操作的对象(例如进程间通信)的情况下,该主体也可以作为一个客体。
客体可以包含信息。引入这一概念是为了详细说明在FDP类中描述的信息流控制策略。
由SFR中各规则所控制的用户、主体、信息、客体、会话和资源,可具有某种属性。属性包含TOE
为了正确运行而使用的信息。某些属性,如文件名,可能只是提示性的,或者可用来标识单个资源,而另
一些属性,如访问控制信息,可能是专为执行SFR而存在的。后面这些属性通常称为“安全属性”。在
本部分的某些地方中,“属性”一词将用作“安全属性”的简称。另一方面,无论属性信息的预期目的如
何,均有必要按SFR的规定对属性施加控制。
TOE中的数据可分为用户数据和TSF数据,图1示意了它们之间的关系。用户数据是存储在
TOE资源中的信息,用户可以根据SFR对其进行操作,而TSF对用户数据并不赋予任何特殊的含义。
例如,电子邮件消息的内容是用户数据。TSF数据是TSF在按SFR的要求做决策时使用的信息。如
果SFR允许,TSF数据可以受用户的影响。安全属性、鉴别数据、由SFR中定义的规则,或为了保护
TSF及访问控制列表条目所使用的TSF内部状态变量都是TSF数据的例子。
有几个用于数据保护的SFP,诸如访问控制SFP和信息流控制SFP。实现访问控制SFP的机制依
据受控范围内的用户、资源、主体、客体、会话、TSF状态数据以及操作等......
英文网页English: GB/T 18336.2-2015
相关标准: GB/T 20261|GB/T 18336.3|GB/T 18336.4|GB/T 18336.2|GB/T 18336.2-2015|GB/T 18336.2|