中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第部分安全功能要求发布实施国家质量技术监督局发布前言本标准等同采用国际标准信息技术安全技术信息技术安全性评估准则第部分安全功能要求本标准介绍了信息技术安全性评估的安全功能要求在总标题信息技术安全技术信息技术安全性评估准则下由以下几个部分组成第部分简介和一般模型第部分安全功能要求第部分安全保证要求本标准的附录到附录是提示的附录本标准由国家质量技术监督局提出本标准由全国信息技术标准化技术委员会归口本标准由中国国家信息安全测评认证中心信息产业部电子第研究所国家信息中心复旦大学负责起草本标准主要起草人吴世忠龚奇敏陈晓桦李守鹏罗建中方关宝吴亚飞雷利民张建军叶红吴承荣黄元飞任卫红崔玉华本标准委托中国国家信息安全测评认证中心负责解释前言国际标准化组织和国际电工委员会形成了全世界标准化的专门体系作为或成员的国家机构通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定和技术委员会在共同关心的领域里合作其它与和有联系的政府和非政府的国际组织也参加了该项工作国际标准的起草符合导则第部分的原则在信息技术领域和已经建立了一个联合技术委员会联合技术委员会采纳的国际标准草案分发给国家机构投票表决作为国际标准公开发表需要至少的国家机构投赞成票国际标准是由联合技术委员会信息技术与通用准则项目发起组织合作产生的与同样的文本由通用准则项目发起组织作为信息技术安全性评估通用准则发表有关通用准则项目的更多信息和发起组织的联系信息由的附录提供在信息技术安全技术信息技术安全性评估准则的总标题下由以下几部分组成第部分简介和一般模型第部分安全功能要求第部分安全保证要求本部分的附录到仅供参考以下具有法律效力的提示已按要求放置在的所有部分在附录中标明的七个政府组织总称为通用准则发起组织作为信息技术安全性评估通用准则第至第部分称为版权的共同所有者在此特许在开发国际标准中非排他性地使用但是通用准则发起组织在他们认为适当时保留对的使用拷贝分发以及修改的权利中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第部分安全功能要求国家质量技术监督局批准实施范围本标准定义的安全功能组件是保护轮廓或安全目标中所表述的安全功能要求的基础这些要求描述了对评估对象所期望的安全行为目的是满足或中陈述的安全目的这些要求描述用户通过与直接交互即输入输出或通过对刺激的反应可以检测到的安全特性安全功能组件表达用于在假定的运行环境中对抗威胁的要求或涉及所有标识的组织安全策略和假设本标准的读者包括安全系统和产品的用户开发者和评估员第部分第章提供了关于本标准的目标读者以及这些目标读者群使用本标准的附加信息这些读者群可按如下形式使用本标准用户当选择组件来表达功能要求以满足或中的安全目的时使用本标准第部分条给出了有关安全目的和安全要求之间关系的详细信息开发者针对实际或预期的用户安全要求建立时可以在本标准中找到理解这些安全需求的标准化方法他们也可以将本标准的内容作为进一步定义符合这些要求的安全功能和机制的基础评估者使用本标准中定义的功能要求验证或中的功能要求是否满足安全目的并且应考虑所有依赖关系是否得到满足评估者也应使用本标准内容来帮助确定给定满足所陈述的要求功能要求的扩展和维护本标准及在此描述的相关安全功能要求并不打算成为所有安全问题的确定答案而是提供一组广为理解的安全功能要求用于创建反映市场需求的可信产品或系统这些安全功能要求的给出体现当前要求规范和评估的技术发展水平本标准不包括所有可能的安全功能要求而是包含那些在发布时作者已知并认为有价值的那些要求因为用户的理解和需求可能会变化因此需要维护本标准中的功能要求作者可能还有一些安全要求未包含在本标准功能要求组件中此时的作者可考虑使用不是来自本标准的功能要求称之为可扩展性参见第部分中的附录和附录本标准的结构第章是本标准的简介第章介绍本标准功能组件的分类第章到第章描述这些功能类附录为可能使用功能组件的用户提供感兴趣的附加信息其中包括完整的功能组件间依赖关系的交叉参照表附录至附录提供功能类的应用注释它们是本标准用户的参考资料库可以帮助用户应用相关的操作并选择恰当的审计或文档信息有关结构规则和指南的信息编写或的作者应参考第部分第章第部分第章定义本标准中使用的术语第部分附录定义的结构第部分附录定义的结构功能要求范例本条描述本标准中安全功能要求所使用的范例图和图描述了范例的一些关键概念本条为这些图和图中没有的其他关键概念提供文字描述所讨论的关键概念以粗斜体突出表示本条并不打算替换或取代第部分第章标准术语表中的任何术语图安全功能要求范例单个本标准是一个可为评估对象规定安全功能要求的目录是包含电子存储媒体如磁盘外设如打印机和计算能力如时间等资源的产品或系统同时带有用户和管理员指南文档可用于处理和存储信息是评估的对象评估主要关系到确保对资源执行了规定的安全策略定义了一些规则通过这些规则支配对其资源的访问这样就控制了所有信息和服务而又由多个安全功能策略所构成每一有其控制范围定义该控制下的主体客体和操作由安全功能实现的机制执行该策略并提供必要的能力图分布式内的安全功能图为正确执行而必须依赖的中的那些部分统称为安全功能包括实施安全所直接或间接依赖的中的所有软件硬件和固件参照监视器是实施的访问控制策略的抽象机参照确认机制是参照监视器概念的实现它具有以下特性防篡改一直运行简单到能对其进行彻底的分析和测试可能包括一个参照确认机制或运行所需要的其他安全功能可能是一个包含硬件固件和软件的单个产品也可能是一个分布式产品内部包括多个单独的部分每一部分都为提供一个特别的服务并且通过一个内部通信信道与其他部分相连接该信道可以与处理器总线一样小也可能包含的一个内部网络当由多个部分组成时的每一部分可拥有自己的部分此部分通过内部通信信道与的其他部分交换用户数据和数据这种交互称为内部传送在这种情况下这些的分离部分抽象地形成一个复合的来实施接口可能限于特定的使用也可能允许通过外部通信信道与其他产品交互这些与其他产品的外部交互可以采取两种形式远程可信产品的安全策略和本地的已在管理上进行了协调和评估这种情况下的信息交换称为间传送如同它们是在不同可信产品的之间远程产品可能没有被评估因此它的安全策略是未知的如图中所示的不可信产品这种情况下的信息交换称为控制外传送如同在远程产品中没有或它的策略特性未知可与或在中发生的并服从规则的交互集合称为控制范围包括一组根据主体客体和内的操作定义的交互集但不必包括的所有资源一组交互式人机接口或编程应用编程接口接口通过它访问调配资源或者从中获取信息称为接口定义了为执行而提供的功能的边界用户在的外部因此也在的外部但为请求执行服务用户要通过和交互本标准安全功能要求关心两种用户个人用户和外部实体个人用户进一步分为本地个人用户他们通过设备如工作站直接与交互或远程个人用户他们通过其他产品间接与交互用户和间的一段交互期称为用户会话可以根据各种考虑来控制用户会话的建立如用户鉴别时段访问的方法和每个用户允许的并发会话数本标准使用术语已授权来表示用户具有执行某种操作所必需的权力或特权因此术语授权用户表示允许用户执行定义的操作为表达需要管理员责任分离的要求本标准相关的安全功能组件来自子类明确说明要求管理性角色角色是预先定义的一组规则这些规则建立起用户和间所允许的交互可以支持定义任意数目的角色例如与安全运行相关的角色可能包括审计管理员和用户帐号管理员包括可用于处理和存储信息的资源的主要目标是完全并正确地对所控制的资源和信息执行资源能以多种方式结构化和利用但是本标准作出了特殊区分以允许规定所期望的安全特性所有由资源产生的实体能以两种方式中的一种来表征实体可能是主动的意指他们是内部行为发生的原因并导致对信息执行操作实体也可能是被动的意指他们是发出信息或存入信息的容器主动的实体称为主体内可能存在以下几种类型的主体代表授权用户遵从所有规则的那些实体例如进程作为特定功能进程可以轮流代表多个用户的那些实体例如在客户服务器结构中可能找到的功能作为自身一部分的那些实体例如可信进程本标准所述的安全功能针对上述列出的各种主体执行被动实体即信息存储器在本标准中被称作客体客体是可以由主体执行操作的对象在一个主体主动实体是某个操作的对象例如进程间通信的情况下该主体也可以作为客体客体可以包含信息在类中说明信息流控制策略时需要这个概念用户主体信息和客体具有确定的属性这些属性包括使正确运转的信息有些属性可能只是提示性信息即增加的用户友好性如文件名而另一些属性可能专为执行而存在如访问控制信息后面这些属性通常称为安全属性在本标准中属性一词将用作安全属性的简称除非另有说明但正如规定的那样无论属性信息的预期目的如何对属性加以控制还是必要的中的数据分为用户数据和数据图表明了这种关系用户数据是存储在资源中的信息用户可以根据对其进行操作而对它们并不附加任何特殊的意义例如电子邮件消息的内容是用户数据数据是在进行决策时使用的信息如果允许的话数据可以受用户的影响安全属性鉴别数据以及访问控制表都是数据的例子有几个用于数据保护的诸如访问控制和信息流控制实现访问控制的机制是基于控制范围内的主体属性客体属性和操作来决定建立他们的策略这些属性用于控制主体可以对客体执行操作的规则集中实现信息流控制的机制是基于控制范围内的主体和信息的属性以及制约主体对信息操作的一组规则来决定他们的策略信息的属性可能与容器属性相关联也可能没有关联如多级数据库在信息移动时与其相随图用户数据和数据的关系本标准涉及的两种特殊数据鉴别数据和秘密可以是但不必一定是相同的鉴别数据用于验证向请求服务的用户声明的身份最通用的鉴别数据形式是口令口令要成为有效的安全机制依赖于对其进行保密但是不是所有形式的鉴别数据都需要保密生物测定学鉴别设备例如指纹阅读器视网膜扫描仪就不依赖于数据保密因为这些数据只有一个用户拥有其他人不能伪造本标准功能要求中用到的术语秘密对鉴别数据适用对其他为执行一特定而必须保密的数据也同样适用例如依靠密码技术保护在信道中传送信息的保密性的可信信道机制其强度应与用来保持密钥的秘密以防止未授权泄露的方法的强度相当因此不是所有的鉴别数据都需要保密也不是所有的秘密都被用作鉴别数据图说明了秘密和鉴别数据间的关系图中指出了常见的鉴别数据和秘密的数据类型图鉴别数据和秘密的关系引用标准下列标准所包括的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息技术安全技术信息技术安全性评估准则第部分简介和一般模型安全功能组件综述本章定义本标准的功能要求的内容和形式并为需要向中添加新组件的组织提供指南功能要求以类子类和组件来表达类结构图以图表的形式阐明了功能类的结构每个功能类包括一个类名类介绍及一个或多个功能子类图功能类结构类名类名提供标识和化分功能类所必需的信息每个功能类都有一个唯一的名称类的分类信息由三个字符的简名组成类的简名用于该类中的子类的简名规范中类介绍类介绍描述这些子类满足安全目标的通用意图或方法功能类的定义不反映要求规范中的任何正式分类法类介绍用图来描述类中的子类和每个子类中组件的层次结构见条的解释子类结构图以框图形式说明功能子类的结构图功能子类结构子类名子类名部分提供标识和化分功能子类所必需的分类和描述信息每个功能子类有一个唯一的名称子类的分类信息由七个字符的简名组成开头三个字符与类名相同后跟一个下划线和子类名例如唯一的简短子类名为组件提供主要的引用名子类行为子类行为是对功能子类的叙述性描述陈述其安全目的以及对功能要求的一般描述以下是更详细的描述子类的安全目的阐述在包含该子类的一个组件的的帮助下可以解决的安全问题功能要求的描述总结组件中包含的所有要求该描述针对和功能包的作者他们希望评价该子类是否与他们的特定需求相关组件层次功能子类包含一个或多个组件任何一个组件都可被选择包括在和功能包中本条的目的是一旦子类被认为是用户安全要求的一个必要或有用的部分时向用户提供选择恰当的功能组件的信息功能子类描述部分描述所用组件和它们的基本原理组件