信息系統(tǒng)安全保護(hù)輪廓(PP)產(chǎn)生辦法1前言所謂安全保護(hù)輪廓（PP），具體來(lái)說(shuō)，就是為了滿足一系列的安全目標(biāo)而提出的一整套相對(duì)應(yīng)的功能和保證需求。一個(gè)PP可以重復(fù)使用于一些不同的應(yīng)用中。PP對(duì)于不同的團(tuán)體均具有重要的意義。它敘述了用戶實(shí)際的安全方法，為開發(fā)者提供了一套開發(fā)的基準(zhǔn)，為學(xué)術(shù)界描述了一些很好的安全配置方法，為評(píng)估者提供了評(píng)估的標(biāo)準(zhǔn)。PP定義了對(duì)應(yīng)一類TOEs的獨(dú)立于應(yīng)用的一系列安全需求。這些TOEs能滿足用戶對(duì)IT安全的需要。因而，用戶能夠不參考任何特定的TOE去構(gòu)造或引用一個(gè)PP來(lái)描述他們自己的IT安全需要。PP應(yīng)作為一個(gè)基于用戶服務(wù)的文件來(lái)描述，盡量使PP用戶不再去參考那些對(duì)于他們很難用到的資料。安全保護(hù)的原理應(yīng)當(dāng)明確的闡述，如果需要，可以單獨(dú)提出。PP可以是由用戶來(lái)制定，也可以是由IT產(chǎn)品研發(fā)方來(lái)制定，同時(shí)也可以由任何其它對(duì)此感興趣的團(tuán)體來(lái)制定。PP給予了用戶一種查閱特殊安全需求的方式，同時(shí)也使將來(lái)對(duì)這些需求進(jìn)行評(píng)估變得簡(jiǎn)單易行。一般而言，在安全目標(biāo)（ST）中所包含的TOE的安全需求都應(yīng)當(dāng)在一個(gè)已存在的PP中詳細(xì)敘述過(guò)，與PP中的需求保持一致。由一些已存在的PPs可以產(chǎn)生一個(gè)新的PP。PP的內(nèi)容結(jié)構(gòu)TOE安全功能需求TOE安全功能需求TOE安全保證需求保護(hù)輪廓（PP）PP介紹PP標(biāo)識(shí)PP概述TOE描述TOE安全環(huán)境假設(shè)威脅安全組織策略安全目標(biāo)對(duì)TOE的安全目標(biāo)對(duì)環(huán)境的安全目標(biāo)IT安全需求TOE安全需求對(duì)IT環(huán)境的安全需求PP使用注釋基本原理安全目標(biāo)基本原理安全需求基本原理圖1PP內(nèi)容構(gòu)架PP基本內(nèi)容PP介紹PP介紹這部分內(nèi)容應(yīng)當(dāng)包括執(zhí)行PP注冊(cè)登記所必需的文件管理和概要信息。內(nèi)容如下：PP識(shí)別應(yīng)當(dāng)提供對(duì)PP識(shí)別、編制目錄、注冊(cè)、參照所必需的標(biāo)簽和描述信息。PP概述應(yīng)當(dāng)用簡(jiǎn)短的形式總結(jié)PP。概述必需足夠詳細(xì)，從而能夠引起PP用戶的興趣。在PP目錄和注冊(cè)中，概述應(yīng)獨(dú)立出來(lái)作為摘要。TOE描述TOE描述這部分內(nèi)容能幫助讀者對(duì)于TOE安全需求的理解，應(yīng)當(dāng)對(duì)其產(chǎn)品型號(hào)以及一般的IT特征加以敘述。TOE描述同樣提供了評(píng)估的內(nèi)容。TOE描述中提供的信息將用在評(píng)估的過(guò)程中，來(lái)判別是否存在矛盾。由于一個(gè)PP一般不僅僅指代一個(gè)特定的應(yīng)用，其所描述的TOE特征可以是假設(shè)。如果TOE是一個(gè)產(chǎn)品或系統(tǒng)，其首要功能是安全，PP的這部分內(nèi)容將被用作是對(duì)TOE更廣泛應(yīng)用前景的敘述。TOE安全環(huán)境TOE安全環(huán)境應(yīng)描述TOE所應(yīng)用環(huán)境的安全方面，以及TOE期望被采用的方式。陳述應(yīng)包括如下內(nèi)容：假設(shè)描述了TOE的應(yīng)用或想要應(yīng)用的環(huán)境的安全方面，如：有關(guān)TOE的使用信息，包括可能的應(yīng)用，潛在的資產(chǎn)價(jià)值，對(duì)使用的可能的限制。關(guān)于TOE使用環(huán)境的信息，包括物理的，人員的以及連接的方面。威脅應(yīng)當(dāng)包括所有對(duì)TOE內(nèi)部受特殊保護(hù)的資產(chǎn)的威脅。應(yīng)當(dāng)申明的是，不是所有在此環(huán)境中遇到的可能的威脅必需列舉出來(lái)，列舉出來(lái)的僅是與安全的TOE運(yùn)行相關(guān)的那部分。威脅應(yīng)以一個(gè)辯明的威脅代理者，一次攻擊的方式描述，而資產(chǎn)是攻擊的主體。威脅代理者應(yīng)當(dāng)通過(guò)這些方面敘述，如專業(yè)知識(shí)，可用的資源和動(dòng)機(jī)。攻擊應(yīng)當(dāng)通過(guò)攻擊方法，可利用脆弱點(diǎn)和機(jī)會(huì)來(lái)描述。如果僅僅從組織的安全法規(guī)以及假設(shè)來(lái)推導(dǎo)，那么，威脅的描述就可以忽略了。組織的安全法規(guī)的描述應(yīng)確認(rèn)和解釋任何TOE必須遵守的組織的安全法規(guī)，解釋和說(shuō)明對(duì)于陳述任何一條法規(guī)都是必須的，這樣有利于指定明確的安全目標(biāo)。如果TOE是分布式的，則TOE環(huán)境的各個(gè)獨(dú)立的范圍的安全環(huán)境的方方面面（假設(shè)，威脅，組織安全法規(guī)）必須討論。3.4安全目標(biāo)安全目標(biāo)這部分應(yīng)當(dāng)定義對(duì)TOE和其環(huán)境的安全目標(biāo)。其內(nèi)容應(yīng)當(dāng)涵蓋已辯明的安全環(huán)境的所有方面。安全目標(biāo)應(yīng)當(dāng)反映所陳述的目的，應(yīng)能對(duì)抗所有已識(shí)別的威脅，并覆蓋所有辯明的組織安全法規(guī)和假設(shè)。具體有如下的安全目標(biāo)：TOE的安全目標(biāo)應(yīng)明確陳述，還須追蹤到TOE會(huì)遭遇到的已知的威脅以及TOE須遵守的組織安全法規(guī)的各個(gè)方面。環(huán)境的安全目標(biāo)同樣須明確陳述，還應(yīng)追蹤到TOE沒有完全遭遇到的已辯明的威脅或TOE須不完全遵守的組織安全法規(guī)及假設(shè)的各個(gè)方面。須注意的是，環(huán)境的安全目標(biāo)也許是對(duì)TOE安全環(huán)境的假設(shè)部分的完全或部分重復(fù)敘述。IT安全需求PP的這部分內(nèi)容詳細(xì)定義了TOE及其環(huán)境應(yīng)滿足的IT安全需求。IT安全需求具體包括如下內(nèi)容：TOE安全需求定義了為了達(dá)到TOE的安全目標(biāo)，TOE及其評(píng)估證據(jù)必須滿足的功能的和保證的安全需求。TOE的安全需求敘述如下：TOE安全功能需求應(yīng)當(dāng)適當(dāng)選擇本文附錄一內(nèi)的功能組件來(lái)定義TOE的功能上的要求。為了涵蓋每一方面的要求，附錄一的同一個(gè)組件有可能重復(fù)使用或使用同一需求的不同方面。當(dāng)在TOE安全保證需求有組件AVA_SOF.1(EAL2和更高)，TOE安全功能需求應(yīng)通過(guò)概率和排列算法保證其最低的強(qiáng)度等級(jí)。所有的功能應(yīng)當(dāng)滿足最低的等級(jí)，該等級(jí)需是如下等級(jí)中的一個(gè)：SOF-Basic,SOF-Medium,SOF-High。等級(jí)的選擇應(yīng)當(dāng)與已確定的TOE安全目標(biāo)一致。作為TOE安全功能評(píng)估強(qiáng)度的一部分（AVA_SOF.1），應(yīng)當(dāng)對(duì)每一單獨(dú)的TOE安全功能要求強(qiáng)度和TOE的總體最低安全強(qiáng)度等級(jí)進(jìn)行評(píng)估。TOE安全保證需求的陳述應(yīng)作為一個(gè)被附錄二的保證組件擴(kuò)張的EALs。當(dāng)PP中存在明確的不包含在附錄二中的額外的保證需求時(shí)，也須擴(kuò)展EAL。IT環(huán)境安全需求應(yīng)確定需被TOE的IT環(huán)境滿足的IT安全需求，如果TOE對(duì)IT環(huán)境的依賴關(guān)系尚需證實(shí)，PP的這部分內(nèi)容可以刪除。注意到，在現(xiàn)實(shí)中常常非常有用的非IT環(huán)境的安全需求不要求作為PP的正式內(nèi)容，因?yàn)樗鼈兣cPP的實(shí)施不直接相關(guān)。在對(duì)TOE以及其IT環(huán)境的安全功能和保證需求的敘述中應(yīng)使用如下的一般條件：所有的IT安全需求應(yīng)當(dāng)從附錄一和附錄二中選擇，如果其中某些需求不是摘自附錄一和附錄二，PP中應(yīng)當(dāng)明確的說(shuō)明，該需求不是摘自附錄。任何明確說(shuō)明的非摘自附錄的需求應(yīng)當(dāng)正確而不含糊的陳述，這樣，評(píng)估及示范才可行，其具體的等級(jí)和描述方式應(yīng)參考附錄里的功能和保證需求。當(dāng)選擇了一些指定了必須的操作的安全需求時(shí)，PP應(yīng)當(dāng)使用這些操作去放大這些需求的等級(jí)，從而能夠示范是否達(dá)到安全目標(biāo)。任何PP內(nèi)沒有執(zhí)行的所要求的操作應(yīng)當(dāng)標(biāo)明。通過(guò)使用需求組件中的操作，在必要時(shí)，TOE安全需求陳述應(yīng)有選擇地規(guī)定或禁止特定安全機(jī)制的使用。所有IT安全需求之間的相關(guān)性都應(yīng)滿足，通過(guò)在TOE的安全需求或環(huán)境的需求中包含該相關(guān)聯(lián)的需求來(lái)滿足相關(guān)性。3.6使用注釋PP的這部分包含了對(duì)TOE的使用、評(píng)估、構(gòu)造所必需考慮的額外相關(guān)的有益支撐信息。3.7基本原理PP的這部分內(nèi)容提供了PP評(píng)估所需的證據(jù)。這些證據(jù)能夠證明PP內(nèi)的需求是完整而連貫的，它可以為TOE在其安全環(huán)境內(nèi)提供一套有效的IT安全抵抗措施。該基本原理內(nèi)容包括如下：安全目標(biāo)原理應(yīng)表明所有陳述的安全目標(biāo)可追蹤到TOE安全環(huán)境中確定的所有方面。安全需求原理應(yīng)表明這一系列安全需求能夠滿足并追蹤到安全目標(biāo)。如：TOE及其IT環(huán)境的各個(gè)功能和保證需求組件的組合滿足所提出的安全目標(biāo)。這一系列需求一起形成了一個(gè)相互支撐、內(nèi)部連貫的整體。安全需求的選擇是合理的，下列任一條件下需要特別的證明：所選擇的需求沒有包含在附錄一和附錄二中；所選擇的保證需求沒有指定一個(gè)EAL；相關(guān)性不滿足。PP的功能等級(jí)所選擇的強(qiáng)度，以及任意功能明確要求的強(qiáng)度，與TOE的安全目標(biāo)是統(tǒng)一的。

附錄一信息技術(shù)安全評(píng)估通用準(zhǔn)則(CommonCriteria)安全功能需求(Securityfunctionalrequirements)1安全功能需求內(nèi)容結(jié)構(gòu)1.1概述本章定義了CC功能需求的內(nèi)容和敘述方式，為ST中包含的新的組件（components）的組織要求提供指導(dǎo)。功能需求是以類(Class)，屬(Family)，組件(component)的結(jié)構(gòu)形式描述的。1.1.1類結(jié)構(gòu)圖1.1以圖表的形式圖解了功能類結(jié)構(gòu)，每一功能類包含一個(gè)類名，類介紹，一個(gè)或多個(gè)功能屬。功能類功能類類名稱類介紹功能屬圖1.1功能類結(jié)構(gòu)類名稱類名稱提供了功能類的識(shí)別和分類的必要信息。每一個(gè)功能類有一個(gè)獨(dú)特的名字。分類信息都包含一個(gè)三個(gè)字符的短名字。類名稱也用在類的屬名字規(guī)范中。類簡(jiǎn)介類簡(jiǎn)介闡述了滿足安全目標(biāo)的屬的基本內(nèi)容或方法。功能類的定義在要求的規(guī)范中并不反映正式的分類法。類簡(jiǎn)介提供了一個(gè)圖表來(lái)描述類所包含的屬以及每一屬中組件的承接關(guān)系。1.1.2屬結(jié)構(gòu)圖1.2表示了功能屬的結(jié)構(gòu)。屬名稱屬名稱提供了識(shí)別和分辨功能屬所必須的分類和描述信息。每一功能屬有一獨(dú)特的名稱。分辨信息包含一個(gè)七字符的短名，開始三個(gè)字符表示對(duì)應(yīng)的類名稱，類名稱后是下劃線和屬的短名，形式如XXX_YYY。屬行為屬行為概述了功能屬的安全目標(biāo)和功能需求。詳細(xì)描述如下：如果TOE包含了屬的一個(gè)組件，則屬安全目標(biāo)敘述了在TOE的幫助下能解決的安全問題。功能需求描述概括了組件中包含的所有需求。這些描述可以幫助PPs，STs的作者判別該屬是否與其特殊的需求相關(guān)。組件級(jí)別功能屬包含了一個(gè)或多個(gè)組件，其中任何一個(gè)組件可選為PPs,STs的內(nèi)容。本節(jié)的目的是，一旦該屬被用戶選作他們功能需求的必須部分，為用戶提供選擇合適功能組件的信息。管理管理需求為PP/ST作者在考慮一個(gè)組件的管理行為時(shí)提供信息。管理需求詳細(xì)包含在管理類(FMT)的組件中。審計(jì)如果類FAU里的需求，安全審計(jì)，包含在PP/ST中，審計(jì)需求包含了PP/ST作者可選擇的審計(jì)事件。1.1.3組件結(jié)構(gòu)圖1.3表示了功能組件結(jié)構(gòu)。組件依賴關(guān)系功能元素組件識(shí)別組件管理組件等級(jí)屬行為屬名稱功能屬組件依賴關(guān)系功能元素組件識(shí)別組件管理組件等級(jí)屬行為屬名稱功能屬圖1.2功能屬結(jié)構(gòu)圖1.3功能組件結(jié)構(gòu)組件識(shí)別組件識(shí)別為組件的識(shí)別、分辨、注冊(cè)和前后引用提供了描述信息。功能元素每一個(gè)組件提供了一系列的元素，每一個(gè)元素是獨(dú)立的。一個(gè)功能元素是一個(gè)不可再分的安全需求。依賴關(guān)系當(dāng)一個(gè)組件不能自我滿足，必須依賴于其他組件的功能時(shí)，這樣組件之間的依賴關(guān)系就產(chǎn)生了。每一個(gè)組件提供了對(duì)其它功能和置信組件的依賴關(guān)系列表。

2類FAU：安全審計(jì)安全審計(jì)主要涉及的工作是對(duì)有關(guān)安全活動(dòng)的信息的識(shí)別、記錄、存儲(chǔ)和分析（這里有關(guān)安全活動(dòng)是指由TSP所控制的活動(dòng)）。通過(guò)對(duì)審計(jì)結(jié)果的檢查，可以決定已發(fā)生了何種安全相關(guān)活動(dòng)及其執(zhí)行者。2.1安全審計(jì)自動(dòng)響應(yīng)（FAU_ARP）屬FAU_ARP定義了當(dāng)檢測(cè)到預(yù)示著某種潛在的安全入侵行為后，系統(tǒng)應(yīng)采取的響應(yīng)措施。FAU_ARP.1安全警報(bào)，一旦檢測(cè)到潛在的入侵行為時(shí)，TSF應(yīng)采取的行動(dòng)。關(guān)聯(lián)性：FAU_ARP.1。2.2安全審計(jì)數(shù)據(jù)產(chǎn)生（FAU_GEN）屬FAU_GEN定義了記錄在TSF控制下發(fā)生的安全相關(guān)事件的需求。它確定了審計(jì)的級(jí)別，列舉了應(yīng)被TSF審計(jì)的事件的類型，規(guī)定了在不同的審計(jì)記錄類型中應(yīng)提供的最小審計(jì)信息。FAU_GEN.1規(guī)定了可審計(jì)事件的級(jí)別，確定了每一記錄中的數(shù)據(jù)列表。關(guān)聯(lián)性：FPT_STM.1。FAU_GEN.2用戶身份鏈接。它將被審計(jì)事件與單個(gè)用戶身份鏈接起來(lái)。關(guān)聯(lián)性：FAU_GEN.1,FIA_UID.1FAU_GEN.1.1能產(chǎn)生下列審計(jì)事件的審計(jì)記錄：審計(jì)功能的開啟和關(guān)閉；所有審計(jì)事件的審計(jì)等級(jí)[最低限度、基本級(jí)、詳細(xì)級(jí)、未指定]；[分配：其它未被特別定義的審計(jì)事件]。FAU_GEN.1.2在每一審計(jì)記錄中至少應(yīng)包含以下信息：事件發(fā)生的日期、時(shí)間、事件類型、主體身份和事件結(jié)果；對(duì)于每一審計(jì)事件的類型，是以包含在PP/ST中的功能元件的可審計(jì)事件的定義為基準(zhǔn)。FAU_GEN.2.1應(yīng)能將每一審計(jì)事件和導(dǎo)致該事件的用戶聯(lián)系起來(lái)。2.3安全審計(jì)分析（FAU_SAA）FAU_SAA定義通過(guò)分析系統(tǒng)行為和審計(jì)數(shù)據(jù)尋找可能的或確實(shí)存在的安全侵害的方式的需求。FAU_SAA.1潛在侵害分析，混合規(guī)則設(shè)置基礎(chǔ)上的基本閾值檢測(cè)是必需的。關(guān)聯(lián)性：FAU_GEN.1.FAU_SAA.2基于一般檢測(cè)的輪廓。TSF維持系統(tǒng)使用的獨(dú)立輪廓，這里輪廓代表了輪廓目標(biāo)群（profiletargetgroup）成員執(zhí)行的歷史使用模式。一個(gè)輪廓目標(biāo)群是指與TSF相互作用的一個(gè)或多個(gè)用戶（個(gè)人或組織）。每一個(gè)輪廓目標(biāo)群成員分配一個(gè)獨(dú)立的懷疑度等級(jí)（suspicionrating）。關(guān)聯(lián)性：FIA_UID.1FAU_SAA.3簡(jiǎn)單攻擊試探法。TSF應(yīng)能檢測(cè)簽名事件的發(fā)生，簽名事件代表對(duì)TSP實(shí)施的嚴(yán)重威脅。簽名事件的搜索實(shí)時(shí)進(jìn)行或以post-collectionbatch-mode方式進(jìn)行。關(guān)聯(lián)性：無(wú)。FAU_SAA.4復(fù)雜攻擊試探法。TSF應(yīng)能夠檢測(cè)多步入侵企圖。TSF能比較區(qū)分系統(tǒng)事件和入侵企圖的事件。關(guān)聯(lián)性：無(wú)。2.4安全審計(jì)回顧（FAU_SAR）FAU_SAR定義了授權(quán)用戶可借助審計(jì)工具對(duì)審計(jì)數(shù)據(jù)進(jìn)行回顧。FAU_SAR.1提供了從審計(jì)記錄讀取信息的能力。關(guān)聯(lián)性：FAU_GEN.1FAU_SAR.2受限制的審計(jì)回顧，要求除了FAU_SAR.1授權(quán)的用戶外，其它用戶均不能讀取審計(jì)數(shù)據(jù)的信息。關(guān)聯(lián)性：FAU_SAR.1FAU_SAR.3可選擇的審計(jì)回顧，要求審計(jì)回顧工具可根據(jù)一定的準(zhǔn)則來(lái)選擇審計(jì)數(shù)據(jù)進(jìn)行回顧。關(guān)聯(lián)性：FAU_SAR.12.5安全審計(jì)事件選擇（FAU_SEL）FAU_SEL定義了在TOE運(yùn)行過(guò)程中，從可審計(jì)事件中選取或排除事件的需求。FAU_SEL.1選擇審計(jì)事件。定義了根據(jù)PP/ST作者所指定的屬性，從審計(jì)事件列表中選取事件的能力。關(guān)聯(lián)性：FAU_GEN.1,FMT_MTD.12.6安全審計(jì)事件存貯（FAU_STG）FAU_STG定義了對(duì)TSF建立和維持安全審計(jì)跟蹤的需求。FAU_STG.1受保護(hù)的審計(jì)跟蹤存貯，提出了對(duì)審計(jì)跟蹤的要求，防止審計(jì)跟蹤記錄被非法刪除或修改。關(guān)聯(lián)性：FAU_GEN.1FAU_STG.2審計(jì)數(shù)據(jù)有效性保證，對(duì)在非正常條件下保證TSF維持審計(jì)數(shù)據(jù)提出需求。關(guān)聯(lián)性：FAU_GEN.1FAU_STG.3如果審計(jì)數(shù)據(jù)丟失時(shí)的行動(dòng)措施，定義了如果審計(jì)跟蹤閾值超出時(shí)的行動(dòng)。關(guān)聯(lián)性：FAU_STG.1FAU_STG.4當(dāng)審計(jì)跟蹤數(shù)據(jù)滿時(shí)，預(yù)防審計(jì)數(shù)據(jù)丟失的行動(dòng)。關(guān)聯(lián)性：FAU_STG.13類FCO：通訊類FCO考慮的是參與數(shù)據(jù)交換的雙方的身份認(rèn)證問題，它確保信息發(fā)送方不能抵賴其所發(fā)送的信息，接收方也不能否認(rèn)其接收到的信息。3.1發(fā)送者的不可抵賴性（FCO_NRO）FCO_NRO確保當(dāng)發(fā)送者發(fā)出信息后，其身份信息不可成功地抵賴，要求TSF能提供一種方法，確保在信息交流過(guò)程中，信息接收方同時(shí)應(yīng)收到發(fā)送者身份的信息，該信息能被接收者和其他人核實(shí)。FCO_NRO.1發(fā)送者選擇性證據(jù)要求TSF提供給主體要求發(fā)送者信息證據(jù)的能力。關(guān)聯(lián)性：FIA_UID.1FCO_NRO.2發(fā)送者執(zhí)行證據(jù)，要求傳遞信息時(shí)TSF能始終產(chǎn)生發(fā)送者的證據(jù)。關(guān)聯(lián)性：FIA_UID.13.2接收者的不可抵賴性（FCO_NRR）FCO_NRR要求TSF提供一種方法，確保發(fā)送者能得到接收者收到信息的證據(jù)，這種證據(jù)能被發(fā)送者和其他人核實(shí)。FCO_NRR.1接受者選擇性證據(jù)要求TSF提供給主體要求接收者信息證據(jù)的能力。關(guān)聯(lián)性：FIA_UID.1FCO_NRR.2接收者執(zhí)行證據(jù)，要求接收信息時(shí)TSF能始終產(chǎn)生接收者的證據(jù)。關(guān)聯(lián)性：FIA_UID.14類FCS：密碼支持FCS要求采用加密功能來(lái)幫助滿足幾種高級(jí)目標(biāo)，這些包括（但不局限于）：識(shí)別和授權(quán)；不可抵賴；安全通道等；加密功能的應(yīng)用可以是硬件，軟件或軟硬件相結(jié)合。4.1密鑰管理（FCS_CKM）密鑰在其生命周期內(nèi)必須管理好，F(xiàn)CS_CKM對(duì)TSF定義了如下的動(dòng)作要求：密鑰產(chǎn)生，密鑰發(fā)布，密鑰訪問和密鑰取消。FCS_CKM.1要求按照指定算法產(chǎn)生密鑰，密鑰長(zhǎng)度根據(jù)指定的標(biāo)準(zhǔn)產(chǎn)生。關(guān)聯(lián)性：FCS_CKM.2或FCS_COP.1,FCS_CKM.4,FMT_MSA.2FCS_CKM.2密鑰發(fā)布，根據(jù)指定的發(fā)布方法和標(biāo)準(zhǔn)發(fā)布密鑰。關(guān)聯(lián)性：FDP_ITC.1或FCS_CKM.1,FCS_CKM.4,FMT_MSA.2FCS_CKM.3密鑰訪問，要求根據(jù)指定標(biāo)準(zhǔn)，按照特定的密鑰訪問方法執(zhí)行密鑰訪問。關(guān)聯(lián)性：FDP_ITC.1或FCS_CKM.1,FCS_CKM.4,FMT_MSA.2FCS_CKM.4密鑰廢除，基于指定標(biāo)準(zhǔn)，按照特定方法廢除密鑰。關(guān)聯(lián)性：FDP_ITC.1或FCS_CKM.1,FMT_MSA.24.2密碼操作（FCS_COP）為了密碼操作正確，操作必須符合指定算法和密鑰長(zhǎng)度。典型的密碼操作包括數(shù)據(jù)加密/解密，數(shù)值簽名產(chǎn)生/核實(shí)，哈希運(yùn)算（信息摘要），密鑰加/解密，密鑰協(xié)議。FCS_COP.1要求按照指定算法和密鑰長(zhǎng)度執(zhí)行密碼操作，指定算法和密鑰長(zhǎng)度是以一個(gè)要求的標(biāo)準(zhǔn)產(chǎn)生的。關(guān)聯(lián)性：FDP_ITC.1或FCS_CKM.1,FCS_CKM.4,FMT_MSA.25類FDP：用戶數(shù)據(jù)保護(hù)該類包含的屬對(duì)保護(hù)用戶數(shù)據(jù)有關(guān)的TOE安全功能和TOE安全功能策略規(guī)定了要求。類FDP能被分成四個(gè)屬。5.1訪問控制策略（FDP_ACC）FDP_ACC確定訪問控制SFPs(通過(guò)名字)，并定義了形成TSP識(shí)別的訪問控制部分的控制策略范圍?？刂品秶梢韵氯齻€(gè)要素表示：受該策略控制的主體；受該策略控制的客體；受控主體和受控客體之間的操作。FDP_ACC.1子集訪問控制。關(guān)聯(lián)性：FDP_ACF.1FDP_ACC.2完全訪問控制。關(guān)聯(lián)性：FDP_ACF.15.2訪問控制功能（FDP_ACF）FDP_ACF描述實(shí)施了FDP_ACC中指定的訪問控制策略的特定功能的規(guī)則。敘述了安全屬性使用和策略特征。FDP_ACF.1訪問控制基礎(chǔ)上的安全屬性允許TSF根據(jù)安全屬性實(shí)施訪問。進(jìn)而，TSF或許具有根據(jù)安全屬性明確認(rèn)可和否定對(duì)客體訪問的能力。關(guān)聯(lián)性：FDP_ACC.1,FMT_MSA.35.3數(shù)據(jù)鑒別（FDP_DAU）數(shù)據(jù)鑒別允許團(tuán)體對(duì)信息的真實(shí)性負(fù)責(zé)（如對(duì)信息數(shù)值簽名）。FDP_DAU提供了保證特定單元數(shù)據(jù)有效性的方法，從而也可用來(lái)驗(yàn)證信息內(nèi)容沒有偽造或惡意篡改。FDP_DAU.1基本數(shù)據(jù)鑒別，要求TSF能夠保證客體信息內(nèi)容的真實(shí)性。關(guān)聯(lián)性：無(wú)FDP_DAU.2用保證人身份進(jìn)行數(shù)據(jù)鑒別，額外要求TSF能建立提供真實(shí)性保證的主體的身份。關(guān)聯(lián)性：FIA_UID.15.4輸出TSF控制（FDP_ETC）FDP_ETC定義了從TOE輸出用戶數(shù)據(jù)的功能，信息一旦輸出，其安全屬性和保護(hù)要么被明確保留，要么被忽略。FDP_ETC.1無(wú)安全屬性的用戶數(shù)據(jù)輸出，當(dāng)超出TSF輸出用戶數(shù)據(jù)時(shí)，TSF實(shí)施合適的SFPs。通過(guò)這種功能輸出的用戶數(shù)據(jù)沒有相關(guān)的安全屬性。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1FDP_ETC.2帶安全屬性的用戶數(shù)據(jù)輸出，要求TSF用合適的SFPs將輸出用戶數(shù)據(jù)與安全屬性正確而明確的聯(lián)系起來(lái)。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.15.5信息流控制策略（FDP_IFC）FDP_IFC確定信息流控制SFPs(通過(guò)名字)，并定義了形成TSP識(shí)別的信息流控制部分的控制策略范圍?？刂品秶梢韵氯齻€(gè)要素表示：受該策略控制的主體；受該策略控制的信息；導(dǎo)致受控信息流進(jìn)和流出策略控制主體的操作。FDP_IFC.1子信息流控制。關(guān)聯(lián)性：FDP_IFF.1FDP_IFC.2完全信息流控制。關(guān)聯(lián)性：FDP_IFF.15.6信息流控制功能(FDP_IFF)FDP_IFF描述了實(shí)施由FDP_IFC指定的信息流控制SFPs的特定功能的規(guī)則，同時(shí)FDP_IFF也規(guī)定了該策略的控制范圍。它由兩種需求組成：一種敘述一般的信息流功能問題；另一種敘述非法信息流（如：轉(zhuǎn)變信道）。這種分類的產(chǎn)生是由于，在某種意義上，所謂的非法信息流是與信息流控制SFP的余下部分垂直的，它們本質(zhì)上圍繞著信息流控制SFP，造成對(duì)該策略的侵害。這樣，他們要求限制和防止非法信息流發(fā)生的特定功能。FDP_IFF.1簡(jiǎn)單安全屬性，要求信息的安全屬性，關(guān)于促使信息流動(dòng)主體的安全屬性，扮演信息接收者主體的安全屬性。規(guī)定了該功能必需實(shí)施的規(guī)則，描述該功能如何推導(dǎo)安全屬性。關(guān)聯(lián)性：FDP_IFC.1,FMT_MSA.3FDP_IFF.2根據(jù)FDP_IFF.1簡(jiǎn)單安全屬性的要求擴(kuò)展分級(jí)的安全屬性，通過(guò)要求TSP中所有的信息流控制SFPs使用分級(jí)的安全屬性，從而形成網(wǎng)格結(jié)構(gòu)。關(guān)聯(lián)性：FDP_IFC.1,FMT_MSA.3FDP_IFF.3受限制的非法信息流，要求SFP包括非法信息流，但不是一定要?jiǎng)h除它。關(guān)聯(lián)性：AVA_CCA.1,FDP-IFC.1FDP_IFF.4非法信息流的部分刪除，要求SFP包含刪除某些（不一定是所有）非法信息流的內(nèi)容。關(guān)聯(lián)性：AVA_CCA.1,FDP_IFC.1FDP_IFF.5無(wú)非法信息流，要求SFP能刪除所有的非法信息流。關(guān)聯(lián)性：AVA_CCA.3,FDP-IFC.1FDP_IFF.6非法信息流監(jiān)測(cè)，要求SFP能監(jiān)測(cè)指定和最大容量的非法信息流。關(guān)聯(lián)性：AVA_CCA.1,FDP_IFC.15.7超出TSF控制的輸入（FDP_ITC）FDP_ITC規(guī)定了輸入TOE的用戶數(shù)據(jù)的保護(hù)機(jī)理，使輸入用戶數(shù)據(jù)具有合適的安全屬性并能被妥善地受到保護(hù)。涉及的內(nèi)容有輸入的限制，安全屬性的指定，對(duì)用戶安全屬性的解釋。FDP_ITC.1無(wú)安全屬性的用戶數(shù)據(jù)輸入，要求用戶數(shù)據(jù)被正確地賦予安全屬性。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FMT_MSA.3FDP_ITC.2帶安全屬性的用戶數(shù)據(jù)輸入，要求安全屬性能正確表示用戶數(shù)據(jù)，并能正確而明晰地與用戶數(shù)據(jù)聯(lián)系在一起。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FTP_ITC.1或FTP_TRP.1,FPT_TDC.15.8TOE內(nèi)部傳遞（FDP_ITT）當(dāng)用戶數(shù)據(jù)通過(guò)內(nèi)部信道在TOE各部分之間傳遞時(shí)，F(xiàn)DP_ITT提出了對(duì)用戶數(shù)據(jù)的保護(hù)需求。它與FDP_UCT和FDP_UIT相反，F(xiàn)DP_UCT和FDP_UIT是對(duì)用戶數(shù)據(jù)通過(guò)外部信道在不同的TSFs之間傳遞時(shí)的保護(hù)需求。FDP_ITT.1基本的內(nèi)部傳輸保護(hù)，要求用戶數(shù)據(jù)在TOE個(gè)部分之間傳遞時(shí)能受到保護(hù)。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1FDP_ITT.2基于具有FDP_ITT.1以外的SFP相關(guān)屬性的值分離用戶數(shù)據(jù)。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1FDP_ITT.3完整性監(jiān)測(cè)。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FDP_ITT.1FDP_ITT.4基于屬性的完整性監(jiān)測(cè)。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FDP_ITT.25.9殘余信息保護(hù)（FDP_RIP）FDP_RIP提出確保已刪除信息不可再訪問的要求以及新建立的客體不能包含不可訪問的信息。具體來(lái)說(shuō)，就是對(duì)已經(jīng)被邏輯刪除但是還殘留在TOE內(nèi)的信息的保護(hù)的需求。FDP_RIP.1子殘留信息保護(hù)，要求根據(jù)資源的分配，TSF能確保殘留信息內(nèi)容對(duì)TSC的指定的客體是不可訪問的。關(guān)聯(lián)性：無(wú)FDP_RIP.2全殘留信息保護(hù)，要求TSF能確保殘留信息內(nèi)容對(duì)所有的客體均是不可訪問的。關(guān)聯(lián)性：無(wú)5.10恢復(fù)（FDP_ROL）在一定的限制條件下，如一段時(shí)間內(nèi)，F(xiàn)DP_ROL能恢復(fù)上一次或一系列的操作，并回到一個(gè)以前已知的狀態(tài)，從而保證了數(shù)據(jù)的完整性。FDP_ROL.1基本恢復(fù)，敘述了在指定的限制條件下有限次數(shù)操作的恢復(fù)需求。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1FDP_ROL.2高級(jí)恢復(fù)，敘述了在指定的限制條件下，所有操作的恢復(fù)需求。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.15.11存貯數(shù)據(jù)的完整性（FDP_SDI）FDP_SDI提供了用戶數(shù)據(jù)保存在TSC內(nèi)后的保護(hù)需求。完整性錯(cuò)誤會(huì)影響保存在內(nèi)存或其他存儲(chǔ)設(shè)備中的用戶數(shù)據(jù)。FDP_SDI.1存貯數(shù)據(jù)完整性監(jiān)測(cè)，要求SF對(duì)存貯在TSC內(nèi)的用戶數(shù)據(jù)的指定完整性錯(cuò)誤進(jìn)行監(jiān)測(cè)。關(guān)聯(lián)性：無(wú)FDP_SDI.2存貯數(shù)據(jù)監(jiān)測(cè)及行動(dòng)，在FDP_SDI.1的基礎(chǔ)上，增加了當(dāng)檢測(cè)到完整性錯(cuò)誤后采取相應(yīng)措施的能力。關(guān)聯(lián)性：無(wú)5.12TSF之間傳遞用戶數(shù)據(jù)機(jī)密性保護(hù)（FDP_UCT）當(dāng)用戶數(shù)據(jù)使用外部信道在不同的TOE之間或不同TOE的用戶之間傳遞時(shí)，F(xiàn)DP_UCT定義了確保用戶數(shù)據(jù)機(jī)密性的需求。FDP_UCT.1基本數(shù)據(jù)交流機(jī)密性，目的是在用戶數(shù)據(jù)的傳遞過(guò)程中，防止用戶數(shù)據(jù)暴露。關(guān)聯(lián)性：FTP_ITC.1或FTP_TRP.1,FDP_ACC.1或FDP_IFC.15.13TSF之間傳遞用戶數(shù)據(jù)完整性保護(hù)（FDP_UIT）用戶數(shù)據(jù)使用外部信道在不同的TOE之間或其它可信的IT產(chǎn)品之間傳遞時(shí)，F(xiàn)DP_UIT定義了確保用戶數(shù)據(jù)完整性的需求，并能從刪除錯(cuò)誤中恢復(fù)來(lái)保證完整性。。FDP_UIT.1數(shù)據(jù)交流完整性，敘述傳遞的用戶數(shù)據(jù)的修改，刪除，插入和重放錯(cuò)誤的檢測(cè)。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FTP_ITC.1或FTP_TRP.1FDP_UIT.2源數(shù)據(jù)交流恢復(fù)，要求通過(guò)接收TSF恢復(fù)原始的用戶數(shù)據(jù)，借助于原始發(fā)送的可信IT產(chǎn)品。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FDP_UIT.1或FTP_ITC.1FDP_UIT.3目標(biāo)數(shù)據(jù)交流恢復(fù)，要求通過(guò)接收TSF恢復(fù)原始的用戶數(shù)據(jù)，不借助于原始發(fā)送的可信IT產(chǎn)品。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FDP_UIT.1或FTP_ITC.1

6類FIA：識(shí)別和鑒定類FIA敘述了建立和核實(shí)請(qǐng)求用戶身份的功能需求。識(shí)別和鑒定確保了用戶與恰當(dāng)?shù)陌踩珜傩韵嗦?lián)系。授權(quán)用戶身份的明確識(shí)別，用戶和主體之間安全屬性的正確鏈接對(duì)既定安全策略的實(shí)施至關(guān)重要。類FIA解決用戶身份的確定和核實(shí)，明確用戶作用于TOE的權(quán)限，賦予授權(quán)用戶正確的安全屬性。用戶的正確識(shí)別和鑒定是其它類（如：用戶數(shù)據(jù)保護(hù)，安全審計(jì)）實(shí)施的基礎(chǔ)。6.1鑒定失?。‵IA_AFL）FIA_AFL提出了不成功的鑒定嘗試的次數(shù)需求和一旦鑒定嘗試失敗TSF的措施。參數(shù)包括失敗的鑒定嘗試次數(shù)和時(shí)間閾值。FIA_AFL.1鑒定失敗處理，要求當(dāng)用戶鑒定嘗試達(dá)到一指定值后，TSF能終止該使命建立過(guò)程。它同時(shí)要求使命建立過(guò)程終止后，TSF能廢除該用戶帳號(hào)或關(guān)閉該嘗試的進(jìn)入端口。關(guān)聯(lián)性：FIA_UAU.16.2用戶屬性定義（FIA_ATD）所有授權(quán)用戶均有一系列安全屬性用于實(shí)施TSP。FIA_ATD定義了按照TSP的需要將用戶安全屬性與用戶連接的要求。FIA_ATD.1用戶屬性定義，要求每一用戶具有獨(dú)立的安全屬性。關(guān)聯(lián)性：無(wú)6.3安全規(guī)范（FIA_SOS）FIA_SOS定義了根據(jù)提供的秘密實(shí)施指定的質(zhì)量尺度的機(jī)理，以及產(chǎn)生滿足指定尺度的秘密的機(jī)理。FIA_SOS.1秘密的核實(shí)，要求TSF核實(shí)秘密滿足指定的質(zhì)量尺度。關(guān)聯(lián)性：無(wú)FIA_SOS.2秘密的產(chǎn)生，要求TSF能夠產(chǎn)生滿足指定質(zhì)量尺度的秘密。關(guān)聯(lián)性：無(wú)6.4用戶鑒定（FIA_UAU）FIA_UAU定義了TSF支持的不同形式的用戶鑒定機(jī)理。它同樣定義了用戶鑒定機(jī)理必須基于所需要的屬性。FIA_UAU.1鑒定的時(shí)間選擇，在用戶身份鑒定之前，容許用戶執(zhí)行某種行動(dòng)。關(guān)聯(lián)性：FIA_UID.1FIA_UAU.2采取行動(dòng)前的用戶鑒定，要求在采取任何TSF容許的行動(dòng)之前，用戶需鑒定他們自己。關(guān)聯(lián)性：FIA_UID.1FIA_UAU.3不可偽造的鑒定，要求鑒定機(jī)理能檢測(cè)和防止用戶鑒定數(shù)據(jù)被偽造或復(fù)制。關(guān)聯(lián)性：無(wú)FIA_UAU.4單獨(dú)使用的鑒定機(jī)理，要求一個(gè)鑒定機(jī)理用單獨(dú)使用的鑒定數(shù)據(jù)操作。關(guān)聯(lián)性：無(wú)FIA_UAU.5多鑒定機(jī)理，要求對(duì)特定事件，提供不同的鑒定機(jī)理并用于用戶身份鑒定。關(guān)聯(lián)性：無(wú)FIA_UAU.6重新鑒定，要求具有指出需要被用戶重新鑒定的事件的能力。關(guān)聯(lián)性：無(wú)FIA_UAU.7受保護(hù)的鑒定反饋，要求在鑒定過(guò)程中，僅僅提供有限的反饋信息給用戶。關(guān)聯(lián)性：FIA_UAU.16.5用戶識(shí)別（FIA_UID）FIA_UID定義了在何種條件下，在執(zhí)行任何行動(dòng)之前用戶應(yīng)要求去識(shí)別他們自己。FIA_UID.1識(shí)別時(shí)間安排，允許在被TSF識(shí)別之前用戶采取某種行動(dòng)。關(guān)聯(lián)性：無(wú)FIA_UID.2采取任何行動(dòng)之前的用戶身份識(shí)別，要求在采取任何TSF允許的行動(dòng)之前用戶應(yīng)識(shí)別他們自己。關(guān)聯(lián)性：無(wú)6.6用戶-主體綁定（FIA_USB）為了使用TOE，一個(gè)授權(quán)用戶典型地激活一個(gè)主體。用戶的安全屬性（全部或部分地）與主體連接在一起。FIA_USB定義了對(duì)創(chuàng)造和維持用戶安全屬性與代表用戶的主體之間連接的需求。FIA_USB.1定義了對(duì)創(chuàng)造和維持用戶安全屬性與代表用戶的主體之間連接的需求。關(guān)聯(lián)性：FIA_ATD.17類FMT：安全管理類FMT用于指明對(duì)TSF的幾個(gè)方面的管理：安全屬性，TSF數(shù)據(jù)和功能。類FMT具有以下幾個(gè)目標(biāo)：TSF數(shù)據(jù)的管理；安全屬性的管理；TSF功能的管理；安全任務(wù)的定義。7.1TSF功能管理（FMT_MOF）FMT_MOF允許授權(quán)用戶對(duì)TSF中的功能管理進(jìn)行控制。例如審計(jì)功能和多鑒定功能。FMT_MOF.1安全功能行為管理，允許授權(quán)用戶對(duì)TSF中使用規(guī)則及在特定條件下可被管理的功能進(jìn)行管理。關(guān)聯(lián)性：FMT_SMR.17.2安全屬性管理（FMT_MSA）FMT_MSA允許授權(quán)用戶對(duì)安全屬性的管理進(jìn)行控制，這種管理需包括觀察和修改安全屬性的能力。FMT_MSA.1安全屬性管理，允許授權(quán)用戶去管理指定的安全屬性。關(guān)聯(lián)性：FDP_ACC.1或FDP_IFC.1,FMT_SMR.1FMT_MSA.2安全的安全屬性，確保安全屬性的賦值關(guān)于安全狀態(tài)是有效的。關(guān)聯(lián)性：ADV_SPM.1,FDP_ACC.1或FDP_IFC.1,FMT_MSA.1,FMT_SMR.1FMT_MSA.3靜態(tài)屬性初始化，確保安全屬性的缺省值在其本質(zhì)上，要么是允許的要么是限制的。關(guān)聯(lián)性：FMT_MSA.1,FMT_SMR.17.3TSF數(shù)據(jù)管理（FMT_MTD）FMT_MTD允許授權(quán)用戶控制TSF數(shù)據(jù)管理。例如，TSF數(shù)據(jù)包括審計(jì)信息，時(shí)鐘，系統(tǒng)配置和其它的TSF配置參數(shù)。FMT_MTD.1TSF數(shù)據(jù)管理，容許授權(quán)用戶管理TSF數(shù)據(jù)。關(guān)聯(lián)性：FMT_SMR.1FMT_MTD.2TSF數(shù)據(jù)的管理限制，規(guī)定了當(dāng)?shù)竭_(dá)TSF數(shù)據(jù)限制范圍及超出TSF數(shù)據(jù)限制范圍時(shí)需采取的行動(dòng)。關(guān)聯(lián)性：FMT_MTD.1或FMT_SMR.1FMT_MTD.3安全的TSF數(shù)據(jù)，確保關(guān)于這個(gè)安全狀態(tài)，分配給TSF數(shù)據(jù)的值是有效的。ADV_SPM.1,FMT_MTD.17.4廢除（FMT_REV）FMT_REV敘述了TOE內(nèi)多個(gè)實(shí)體的安全屬性的廢除。FMT_REV.1廢除，在某些時(shí)間點(diǎn)，實(shí)施安全屬性的廢除。關(guān)聯(lián)性：FMT_SMR.17.5安全屬性過(guò)期（FMT_SAE）FMT_SAE敘述了對(duì)安全屬性的有限性實(shí)施時(shí)間限制的能力。FMT_SAE.1受時(shí)間限制的授權(quán)，為授權(quán)用戶提供對(duì)指定的安全屬性規(guī)定過(guò)期時(shí)間的能力。關(guān)聯(lián)性：FMT_SMR.1,FPT_STM.17.6安全管理職責(zé)（FMT_SMR）FMT_SMR主要用于控制為用戶分配不同的職責(zé)。關(guān)于安全管理的這些職責(zé)的能力在本類的其它屬中敘述。FMT_SMR.1安全職責(zé)，規(guī)定了TSF承認(rèn)的有關(guān)安全的職責(zé)。關(guān)聯(lián)性：FIA_UID.1FMT_SMR.2安全職責(zé)限制，除了對(duì)安全職責(zé)的規(guī)定，另有一些控制這些職責(zé)關(guān)系的規(guī)則。關(guān)聯(lián)性：FIA_UID.1FMT_SMR.3假設(shè)的職責(zé)，要求對(duì)TSF假定職責(zé)給出明確要求。關(guān)聯(lián)性：FMT_SMR.18類FPR：秘密類FPR包含機(jī)密需求，當(dāng)其它用戶身份暴露或誤操作時(shí)，這些需求提供必要的保護(hù)。8.1匿名（FPR_ANO）FPR_ANO確保用戶在不暴露自己身份的情況下使用資源或服務(wù)。對(duì)匿名的需求為用戶身份提供了保護(hù)。匿名不保護(hù)主體身份。FPR_ANO.1匿名，要求其它用戶或主體不能夠根據(jù)該主體或操作來(lái)分辨用戶身份。關(guān)聯(lián)性：無(wú)FPR_ANO.2無(wú)請(qǐng)求信息的匿名，通過(guò)確保TSF不要求用戶身份而提高了相對(duì)應(yīng)FPR_ANO.1的要求。關(guān)聯(lián)性：無(wú)8.2假名字（FPR_PSE）FPR_PSE確保用戶在不暴露自己身份的情況下使用資源或服務(wù)，但仍然需為該次使用承擔(dān)責(zé)任。FPR_PSE.1假名字，要求其它用戶或主體不能夠根據(jù)該主體或操作來(lái)分辨用戶身份，但該用戶仍需承擔(dān)其行為責(zé)任。關(guān)聯(lián)性：無(wú)FPR_PSE.2可逆的假名字，要求TSF根據(jù)提供的假名，能夠確定真實(shí)用戶身份。關(guān)聯(lián)性：FIA_UID.1FPR_PSE.3別名假名字，要求TSF能根據(jù)別名某種構(gòu)造規(guī)則得出用戶身份。關(guān)聯(lián)性：無(wú)8.3不可連接（FPR_UNL）FPR_UNL能保證一個(gè)用戶能對(duì)資源或服務(wù)做多個(gè)使用，而同時(shí)其它人不能連接這些使用。FPR_UNL.1不可連接，要求用戶或主體不能確定系統(tǒng)內(nèi)某個(gè)特定操作是否由同一用戶執(zhí)行。關(guān)聯(lián)性：無(wú)8.4不可觀察（FPR_UNO）FPR_UNO確保了一個(gè)用戶在使用一項(xiàng)資源或服務(wù)時(shí)，無(wú)其它人或第三方可以觀察到該資源或服務(wù)正在使用。FPR_UNO.1不可觀察，要求用戶或主體不能夠確定一項(xiàng)操作是否正在執(zhí)行。關(guān)聯(lián)性：無(wú)FPR_UNO.2信息分配影響不可觀察性，要求TSF能提供特定方法避免TOE內(nèi)的機(jī)密信息集中，如果安全危害發(fā)生時(shí)，這種集中可能影響不可觀察性。關(guān)聯(lián)性：無(wú)FPR_UNO.3無(wú)請(qǐng)求信息的不可觀察性，要求TSF不去獲得機(jī)密信息，因?yàn)檫@樣可能會(huì)影響不可觀察性。關(guān)聯(lián)性：FPR_UNO.1FPR_UNO.4授權(quán)用戶的可觀察性，要求TSF提供一個(gè)或多個(gè)授權(quán)用戶，他們有能力觀察到資源或服務(wù)的使用。關(guān)聯(lián)性：無(wú)

9類FPT：TSF保護(hù)類FPT包含了對(duì)TSF及其數(shù)據(jù)完整性管理機(jī)理的安全需求。在某種程度上，該類中的某些屬與類FDP（用戶數(shù)據(jù)管理）的內(nèi)容相同，按相同的原理實(shí)施，但是FDP著眼于用戶數(shù)據(jù)的管理，而FPT則著眼于TSF數(shù)據(jù)的保護(hù)。9.1根本的抽象機(jī)測(cè)試（FPT_AMT）FPT_AMT要求TSF執(zhí)行一些測(cè)試，這些測(cè)試能論證根據(jù)TSF所依靠的抽象機(jī)所做的安全假設(shè)。“抽象”機(jī)可能是硬件或軟硬件平臺(tái)，以虛擬機(jī)的形式工作。FPT_AMT.1抽象機(jī)測(cè)試。關(guān)聯(lián)性：無(wú)9.2安全失敗（FPT_FLS）FPT_FLS的需求確保，如果TSF的失敗事件列表上的某事件發(fā)生時(shí)，TOE不會(huì)破壞TSP。FPT_FLS.1維持安全狀態(tài)的失敗，要求TSF在面臨已知的失敗時(shí)，能維持其安全狀態(tài)。關(guān)聯(lián)性：ADV_SPM.19.3輸出TSF數(shù)據(jù)的有效性（FPT_ITA）FPT_ITA定義了，當(dāng)在TSF與遠(yuǎn)程可信IT產(chǎn)品之間移動(dòng)TSF數(shù)據(jù)時(shí)，防止TSF數(shù)據(jù)有效性喪失的規(guī)則。例如，這些TSF數(shù)據(jù)可能是密碼，審計(jì)數(shù)據(jù)，TSF執(zhí)行碼。FPT_ITA.1在指定有效性尺度下的TSF之間的有效性，要求TSF確保，在一定的可能性下，提供給遠(yuǎn)程可信IT產(chǎn)品的TSF數(shù)據(jù)的有效性。關(guān)聯(lián)性：無(wú)9.4輸出TSF數(shù)據(jù)的機(jī)密性（FPT_ITC）FPT_ITC定義了，當(dāng)在TSF與遠(yuǎn)程可信IT產(chǎn)品之間移動(dòng)TSF數(shù)據(jù)時(shí)，防止TSF數(shù)據(jù)被非授權(quán)方獲取的規(guī)則。這些TSF數(shù)據(jù)可能是TSF的關(guān)鍵數(shù)據(jù)，例如密碼，審計(jì)數(shù)據(jù)，TSF執(zhí)行碼。FPT_ITC.1傳遞過(guò)程中TSF之間的機(jī)密性，要求TSF確保數(shù)據(jù)在TSF與遠(yuǎn)程可信IT產(chǎn)品之間傳遞時(shí)能防止被暴露。關(guān)聯(lián)性：無(wú)9.5輸出TSF數(shù)據(jù)的完整性（FPT_ITI）FPT_ITI定義了，當(dāng)在TSF與遠(yuǎn)程可信IT產(chǎn)品之間移動(dòng)TSF數(shù)據(jù)時(shí)，防止TSF數(shù)據(jù)被非授權(quán)修改的規(guī)則，這些TSF數(shù)據(jù)可能是TSF的關(guān)鍵數(shù)據(jù)，例如密碼，審計(jì)數(shù)據(jù)，TSF執(zhí)行碼。FPT_ITI.1TSF之間修改檢測(cè)，當(dāng)在TSF與遠(yuǎn)程可信IT產(chǎn)品之間移動(dòng)TSF數(shù)據(jù)時(shí)，提供了檢測(cè)TSF數(shù)據(jù)是否被修改的能力，檢測(cè)必須假定遠(yuǎn)程可信IT產(chǎn)品被使用的機(jī)制認(rèn)知。關(guān)聯(lián)性：無(wú)FPT_ITI.2TSF之間檢測(cè)并訂正修改，提供給遠(yuǎn)程可信IT產(chǎn)品不僅僅檢測(cè)修改的能力，并能夠訂正修改的TSF數(shù)據(jù)，它同樣必須假定遠(yuǎn)程可信IT產(chǎn)品被使用的機(jī)制認(rèn)知。關(guān)聯(lián)性：無(wú)9.6TOE內(nèi)部TSF數(shù)據(jù)傳遞（FPT_ITT）當(dāng)TSF數(shù)據(jù)通過(guò)內(nèi)部通道在TOE的各獨(dú)立部件之間傳遞時(shí)，F(xiàn)PT_ITT提供了對(duì)TSF數(shù)據(jù)的保護(hù)。FPT_ITT.1基本的內(nèi)部TSF數(shù)據(jù)傳遞保護(hù)，要求在TOE的各獨(dú)立部件之間傳遞TSF數(shù)據(jù)時(shí)，保護(hù)TSF數(shù)據(jù)。關(guān)聯(lián)性：無(wú)FPT_ITT.2TSF數(shù)據(jù)傳遞分離，要求在傳遞過(guò)程中，從TSF數(shù)據(jù)中分離出用戶數(shù)據(jù)。關(guān)聯(lián)性：無(wú)FPT_ITT.3TSF數(shù)據(jù)完整性監(jiān)測(cè)，要求在TOE的各獨(dú)立部件之間傳遞TSF數(shù)據(jù)時(shí)，能監(jiān)測(cè)已知的完整性錯(cuò)誤。關(guān)聯(lián)性：FPT_ITT.19.7TSF物理保護(hù)（FPT_PHP）FPT_PHP包括對(duì)TSF的非授權(quán)物理訪問，非授權(quán)的物理修改的限制等等。確保TSF不被物理篡改和沖突。FPT_PHP.1物理攻擊的被動(dòng)檢測(cè)，當(dāng)TSF元件及設(shè)備受到篡改時(shí)，提供表征的特征。然而，篡改的告示不是自動(dòng)的，授權(quán)用戶必須調(diào)用安全管理功能，或手工操作某種檢查去獲知篡改是否發(fā)生。關(guān)聯(lián)性：FMT_MOF.1FPT_PHP.2物理攻擊的告知，對(duì)于已知的物理攻擊，提供對(duì)篡改的自動(dòng)通告。關(guān)聯(lián)性：FMT_MOF.1FPT_PHP.3對(duì)物理攻擊的抵抗，用TSF設(shè)備或元件，提供防止或抵抗物理篡改的特征。關(guān)聯(lián)性：無(wú)9.8可信的恢復(fù)（FPT_RCV）FPT_RCV確保TSF能確定TOE在無(wú)保護(hù)失效狀況下啟動(dòng)，在不連續(xù)操作下，能在無(wú)保護(hù)失效狀況下恢復(fù)。這種功能很重要，因?yàn)門SF的啟動(dòng)狀態(tài)決定了隨后的保護(hù)狀態(tài)。FPT_RCV.1手工恢復(fù)，允許TOE僅僅提供通過(guò)人為干涉回復(fù)安全狀態(tài)的機(jī)理。關(guān)聯(lián)性：FPT_TST.1,AGD_ADM.1,ADV_SPM.1FPT_RCV.2自動(dòng)恢復(fù)，對(duì)于至少一種形式的服務(wù)不連續(xù)，在沒有人為干涉的情況下恢復(fù)安全狀態(tài)。從其它不連續(xù)狀態(tài)恢復(fù)需要人為干涉。關(guān)聯(lián)性：FPT-TST.1,AGD_ADM.1,ADV_SPM.1FPT_RCV.3無(wú)丟失的自動(dòng)恢復(fù)，在要求自動(dòng)恢復(fù)的同時(shí)，不允許被保護(hù)客體的丟失。關(guān)聯(lián)性：FPT_TST.1,AGD_ADM.1,ADV_SPM.1FPT_RCV.4功能恢復(fù)，提供在特定SFs等級(jí)上的恢復(fù)，確保要么成功地完成，要么恢復(fù)TSF數(shù)據(jù)到一個(gè)安全的狀態(tài)。關(guān)聯(lián)性：ADV_SPM.19.9重放檢測(cè)（FPT_RPL）FPT_RPL敘述了對(duì)不同類型實(shí)體（信息，服務(wù)請(qǐng)求，服務(wù)響應(yīng)）的重放檢測(cè)及采取的相應(yīng)措施。FPT_RPL.1重放檢測(cè)，要求TSF能檢測(cè)已辯明實(shí)體的重放。關(guān)聯(lián)性：無(wú)9.10參考調(diào)解（FPT_RVM）FPT_RVM要求對(duì)傳統(tǒng)參考監(jiān)視器的始終調(diào)用方面，它確保，關(guān)于給定的SFP，策略實(shí)施所需的所有行動(dòng)都由TSF對(duì)照SFP確認(rèn)了。FPT_RVM.1TSP的不可忽視，要求對(duì)TSP的所有SFPs都不能忽視。關(guān)聯(lián)性：無(wú)9.11區(qū)域隔離（FPT_SEP）FPT_SEP確保對(duì)于TSF的自我實(shí)施，至少一個(gè)安全區(qū)域是有效的，并TSF能預(yù)防外部入侵和被不受信任的用戶篡改。滿足這些功能使TSF自我保護(hù)。FPT_SEP.1TSF區(qū)域隔離，為TSF提供明確的保護(hù)區(qū)域，并隔離TSC內(nèi)的主體。關(guān)聯(lián)性：無(wú)FPT_SEP.2SFP區(qū)域隔離，要求對(duì)TSF進(jìn)一步分解，劃分明確的區(qū)域給已知系列的SFPs，用作策略的參考監(jiān)測(cè)器，并分配一個(gè)區(qū)域給剩余的TSF。關(guān)聯(lián)性：無(wú)FPT_SEP.3完整的參考監(jiān)測(cè)器，要求對(duì)TSP的實(shí)施有明確的區(qū)域，一個(gè)區(qū)域給TSF剩余部分，同樣一些區(qū)域給TOE的非TSF部分。關(guān)聯(lián)性：無(wú)9.12狀態(tài)同步協(xié)議（FPT_SSP）由于系統(tǒng)不同部分差異很大以及通訊的延遲，分布式系統(tǒng)比單片集成系統(tǒng)要復(fù)雜得多。在多數(shù)情況下，分布的功能之間的狀態(tài)同步需要一個(gè)交換協(xié)議。當(dāng)惡意陰謀存在于這些協(xié)議的分布環(huán)境中，就需要更復(fù)雜的抵抗協(xié)議。FPT_SSP.1簡(jiǎn)單的可信任識(shí)別，要求對(duì)接收數(shù)據(jù)的簡(jiǎn)單識(shí)別。關(guān)聯(lián)性：FPT_ITT.1FPT_SSP.2交互的可信任識(shí)別，要求對(duì)交換數(shù)據(jù)的交互識(shí)別。關(guān)聯(lián)性：FPT_ITT.19.13時(shí)間郵票（FPT_STM）FPT_STM敘述了對(duì)TOE內(nèi)部可依賴時(shí)間郵票功能的需求。FPT_STM.1可依賴的時(shí)間郵票，要求TSF為TSF功能提供可依賴的時(shí)間郵票。關(guān)聯(lián)性：無(wú)9.14TSF之間TSF數(shù)據(jù)的連貫性（FPT_TDC）在分布式或組合的系統(tǒng)環(huán)境中，TOE也許需要通過(guò)其它可信任的IT產(chǎn)品交換TSF數(shù)據(jù)，F(xiàn)PT_TDC定義了，TOE的TSF和可信任的IT產(chǎn)品之間屬性的共享和連貫解釋需求。FPT_TDC.1TSF之間基本的TSF數(shù)據(jù)的連貫性，要求TSF提供確保TSFs之間湖性連貫性的能力。關(guān)聯(lián)性：無(wú)9.15TOE內(nèi)部TSF數(shù)據(jù)復(fù)制連貫性（FPT_TRC）當(dāng)TSF數(shù)據(jù)在TOE內(nèi)部復(fù)制時(shí)，F(xiàn)PT_TRC確保其連貫性。如果TOE個(gè)部分之間的內(nèi)部通道中斷，TSF數(shù)據(jù)會(huì)變得不連續(xù)。當(dāng)TOE以內(nèi)部網(wǎng)絡(luò)方式構(gòu)造，TOE部件之間的網(wǎng)絡(luò)連接破壞或部件失效，也會(huì)發(fā)生數(shù)據(jù)不連貫。FPT_TRC.1內(nèi)部TSF連貫性，要求TSF數(shù)據(jù)在多個(gè)地點(diǎn)復(fù)制時(shí)，確保其連貫性。關(guān)聯(lián)性：FPT_ITT.19.16TSF自我測(cè)試（FPT_TST）FPT_TST定義了對(duì)一些期望的正確操作進(jìn)行TSF自我測(cè)試的功能。FPT_TST.1測(cè)試，提供了測(cè)試TSF的正確操作的能力，這些測(cè)試在授權(quán)用戶要求或遇到其它特殊條件時(shí)在啟動(dòng)階段并定期地執(zhí)行。關(guān)聯(lián)性：FPT_AMT.110類FRU：資源使用類FRU支持所需求資源的有效性，如處理能力和存貯能力。10.1錯(cuò)誤容差（FRU_FLT）FRU_FLT確保了，當(dāng)遇到錯(cuò)誤時(shí)，TOE仍能保持正確的操作。FRU_FLT.1降低的錯(cuò)誤容差，要求遇到已知的錯(cuò)誤時(shí)，TOE能繼續(xù)已知能力的操作。關(guān)聯(lián)性：FPT_FLS.1FRU_FLT.2有限的錯(cuò)誤容差，要求在遇到已知的錯(cuò)誤時(shí)，TOE能繼續(xù)所有能力的操作。關(guān)聯(lián)性：FPT_FLS.110.2服務(wù)優(yōu)先級(jí)（FRU_PES）FRU_PES允許TSF能控制TSC內(nèi)資源的使用，TSC內(nèi)的高優(yōu)先級(jí)行為能不受干擾或延遲的完成。FRU_PES.1服務(wù)的有限優(yōu)先級(jí)。對(duì)TSC內(nèi)一部分資源的使用給主體提供優(yōu)先權(quán)。關(guān)聯(lián)性：無(wú)FRU_PES.2服務(wù)的完全優(yōu)先權(quán)，對(duì)TSC內(nèi)所有資源的使用給主體提供優(yōu)先權(quán)。關(guān)聯(lián)性：無(wú)10.3資源分配（FRU_RSA）FRU_RSA要求TSF控制用戶和主體對(duì)資源的使用，由于非法的資源獨(dú)占不會(huì)造成拒絕服務(wù)。FRU_RSA.1最大配額，為配額機(jī)理提供需求，確保用戶或主體不會(huì)獨(dú)占一個(gè)受控的資源。關(guān)聯(lián)性：無(wú)FRU_RSA.2最小和最大配額，為配額機(jī)理提供需求，確保用戶或主體始終擁有至少一個(gè)特定資源，他們不能獨(dú)占一個(gè)受控的資源。關(guān)聯(lián)性：無(wú)11類FTA：TOE訪問類FTA對(duì)控制用戶使命的建立規(guī)定了功能需求。11.1可選擇屬性的范圍限制（FTA_LSA）FTA_LSA限制了用戶執(zhí)行某個(gè)使命可選擇的使命安全屬性范圍。FTA_LSA.1可選擇屬性范圍限制，在使命建立過(guò)程中，要求TOE對(duì)使命安全屬性的范圍進(jìn)行限制。關(guān)聯(lián)性：無(wú)11.2對(duì)多個(gè)同時(shí)發(fā)生使命的限制（FTA_MCS）FTA_MCS要求對(duì)同一用戶同時(shí)執(zhí)行使命的數(shù)目進(jìn)行限制。FTA_MCS.1對(duì)多個(gè)同時(shí)發(fā)生使命的基本限制，為TSF的所有用戶提供限制。關(guān)聯(lián)性：FIA_UID.1FTA_MCS.2關(guān)于多個(gè)同時(shí)發(fā)生使命的每一用戶屬性限制擴(kuò)展。關(guān)聯(lián)性：FIA_UID.111.3使命鎖死（FTA_SSL）FTA_SSL為由TSF發(fā)起和用戶發(fā)起的鎖定和解除鎖定交互式使命提供能力。FTA_SSL.1TSF發(fā)起使命鎖定，包括在用戶靜止一特定時(shí)間后，一交互式使命的系統(tǒng)發(fā)起鎖定。關(guān)聯(lián)性：FIA_UAU.1FTA_SSL.2用戶發(fā)起鎖定，為用戶提供鎖定和解除鎖定自己發(fā)起使命的能力。FIA_UAU.1FTA_SSL.3TSF發(fā)起終止，為TSF在用戶靜止一特定時(shí)間后終止該使命提供能力。關(guān)聯(lián)性：無(wú)11.4TOE訪問標(biāo)語(yǔ)（FTA_TAB）FTA_TAB要求展示關(guān)于TOE正確使用的配置咨詢警告信息。FTA_TAB.1缺省的TOE訪問標(biāo)語(yǔ)，為TOE的訪問標(biāo)語(yǔ)提供需求，標(biāo)語(yǔ)是先于使命建立會(huì)話展示的。關(guān)聯(lián)性：無(wú)11.5TOE訪問歷史（FTA_TAH）FTA_TAH要求可根據(jù)成功地使命建立及訪問用戶帳號(hào)的成功或不成功嘗試歷史，TSF展示給用戶的內(nèi)容。FTA_TAH.1TOE訪問歷史，根據(jù)以前建立使命的嘗試，要求TOE展示給用戶的信息。關(guān)聯(lián)性：無(wú)11.6TOE使命建立（FTA_TSE）FTA_TSE定義了對(duì)TOE拒絕用戶建立使命的請(qǐng)求。FTA_TSE.1TOE使命建立，根據(jù)屬性，為拒絕用戶訪問TOE提供需求。關(guān)聯(lián)性：無(wú)

12類FTP：信任通道類FTP為用戶和TSF之間的可靠通訊通道提出了需求，同時(shí)對(duì)TSF和可靠的IT產(chǎn)品之間的可靠通信信道提出了需求?？煽康耐ǖ篮托诺谰哂邢铝械囊话闾卣鳎河蓛?nèi)部和外部通信信道構(gòu)造的通信通道能將一部分指定的TSF數(shù)據(jù)和命令從剩余的TSF和用戶數(shù)據(jù)中分離出來(lái)。通信通道的使用必須由用戶或TSF發(fā)起。通信通道能夠提供可靠的服務(wù)，使用戶與正確的TSF交流，同時(shí)，TSF也在與正確的用戶連接。12.1TSF之間的可靠信道（FTP_ITC）FTP_ITC定義了對(duì)在TSF與可靠IT產(chǎn)品之間創(chuàng)建信任信道的需求，他包括這些要求：任何時(shí)候都應(yīng)該在用戶與TSF數(shù)據(jù)或可靠IT產(chǎn)品之間在TOE內(nèi)的通訊提供安全通道。FTP_ITC.1TSF之間的可靠信道，要求TSF在它自己與其他可靠IT產(chǎn)品之間體統(tǒng)可靠的通信信道。關(guān)聯(lián)性：無(wú)12.2可靠通道（FTP_TRP）FTP_TRP對(duì)建立和維持用戶和TSF之間的可靠通信定義了要求?？煽客ǖ涝谌魏紊婕鞍踩南嗷プ饔弥卸际潜仨毜摹？煽客ǖ澜涣骺捎捎脩艋騎SF發(fā)起。FTP_TRP.1可靠信道，要求對(duì)于由PP/ST作者所定義的一系列事件提供TSF和用戶之間的可信信道。用戶和TSF均能啟動(dòng)可靠通道。關(guān)聯(lián)性：無(wú)附錄二信息技術(shù)安全評(píng)估通用準(zhǔn)則(CommonCriteria)安全保證需求(Securityassurancerequirements)

CC保證范例CC體系安全策略所面臨的威脅被證明滿足要求的安全方法保證方法以對(duì)產(chǎn)品或系統(tǒng)的評(píng)價(jià)(Evaluation)作為保證(Assurance)的基礎(chǔ)脆弱性(Vulnerabilities)——有意或無(wú)意的攻擊可以導(dǎo)致系統(tǒng)的安全性被破壞。系統(tǒng)的脆弱性需要被消除、最小化或?qū)嵤┍O(jiān)控。導(dǎo)致脆弱性的因素——需求、構(gòu)造、操作CC保證——CC通過(guò)主動(dòng)調(diào)查(activeinvestigation)來(lái)提供保證。主動(dòng)調(diào)查是對(duì)IT產(chǎn)品或系統(tǒng)的一種評(píng)估，以決定其安全特性。評(píng)估保證——評(píng)估已成為獲得保證的傳統(tǒng)方法，而且是CC的基礎(chǔ)。CC評(píng)估保證規(guī)模安全保證需求2.1結(jié)構(gòu)類(Class)屬(Family)類(Class)屬(Family)組件(Component)元素(Element)類名類的簡(jiǎn)介屬(family)2.1.2屬的結(jié)構(gòu)屬名目標(biāo)組件級(jí)別(componentlevelling)應(yīng)用注釋保證組件2.1.3保證組件結(jié)構(gòu)(圖2.2)組件確認(rèn)目標(biāo)應(yīng)用注釋依賴性保證元素(assuranceelement)——保證元素是CC中最小的安全需求2.1.4保證元素 ——每個(gè)元素代表一個(gè)需求（一一對(duì)應(yīng)）2.1.5EAL結(jié)構(gòu)EAL名目標(biāo)應(yīng)用注釋保證組件2.1.6保證與保證級(jí)別之間的關(guān)系2.2組件分類法2.3PP和ST評(píng)估標(biāo)準(zhǔn)的類結(jié)構(gòu)——類似于其他classes的結(jié)構(gòu)，唯一不同之處在于：在相關(guān)的屬的描述中缺少組件級(jí)別(componentlevelling)一項(xiàng) 2.4Part3中術(shù)語(yǔ)的用法2.5保證的分類表(表2.1)2.6保證類和屬概覽 2.6.1ACM類：配置管理(Configurationmanagement) ——保證TOE的完整性，阻止對(duì)TOE進(jìn)行未經(jīng)授權(quán)的修改ACM_AUT：自動(dòng)化(CMautomation)——自動(dòng)化管理配置項(xiàng)ACM_CAP：能力(CMcapability)——定義了CM系統(tǒng)的特征ACM_SCP：范圍(CMscope)——指出了CM系統(tǒng)需要控制的TOE項(xiàng) 2.6.2ADO類：傳送與操作(Deliveryandoperation)——定義了有關(guān)TOE的安全傳送、安裝和操作方面的方法、程序及標(biāo)準(zhǔn)的需求ADO_DEL：傳送(Delivery)ADO_IGS：安裝、產(chǎn)生和啟動(dòng)(Installation,generationandstart-up) 2.6.3ADV類：發(fā)展(Development)——定義了從ST中的TOE概要說(shuō)明直到實(shí)際實(shí)現(xiàn)中的TSF的逐步完善的需求ADV_FSP：功能說(shuō)明(Functionalspecification)ADV_HLD：高級(jí)設(shè)計(jì)(High-leveldesign)——確定了TSF的基本結(jié)構(gòu)，以及主要的硬件、固件和軟件元素ADV_IMP：實(shí)現(xiàn)表示(Implementationrepresentation)——根據(jù)源代碼、硬件描述等捕捉到了TSF最詳細(xì)的內(nèi)部工作方式ADV_INT：TSF內(nèi)部(TSFinternals)——TSF內(nèi)部需求指定了TSF必不可少的內(nèi)部結(jié)構(gòu)ADV_LLD：低級(jí)設(shè)計(jì)(Low-leveldesign)——細(xì)節(jié)水平的設(shè)計(jì)，可用作程序設(shè)計(jì)或硬件構(gòu)造的基礎(chǔ)ADV_RCR：表述一致(Representationcorrespondence)ADV_SPM：安全策略建模(Securitypolicymodeling)——安全策略模型是TSP安全策略的結(jié)構(gòu)化表述，并用來(lái)提供保證使功能說(shuō)明與TSP安全策略進(jìn)而最終與TOE安全功能需求相符合 2.6.4AGD類:手冊(cè)文檔(Guidancedocuments)AGD_ADM：管理員手冊(cè)AGD_USR：用戶手冊(cè) 2.6.5ALC類：生命周期支持(Lifecyclesupport) ——在TOE發(fā)展中采用了生命周期模型ALC_DVS：發(fā)展安全(Developmentsecurity)——包括了物理的、程序的、人員的及在發(fā)展環(huán)境中用的其它安全方法ALC_FLR：缺點(diǎn)糾正(Flawremediation)ALC_LCD：生命周期定義(Lifecycledefinition)ALC_TAT：工具和技術(shù)(Toolsandtechniques) 2.6.6ATE類：測(cè)試(Tests) ——陳述了用以證明TSF滿足TOE安全功能需求的測(cè)試需求ATE_COV：覆蓋度(Coverage)ATE_DPT：深度ATE_FUN：功能測(cè)試ATE_IND：獨(dú)立測(cè)試(Independenttesting) 2.6.7AVA類：脆弱性估計(jì)(Vulnerabilityassessment)AVA_CCA：隱蔽通道的分析(Covertchannelanalysis)AVA_MSU：誤用(Misuse)AVA_SOF：TOE安全功能的強(qiáng)度(StrengthofTOEsecurityfunctions)AVA_VLA：脆弱性分析(Vulnerabilityanalysis)2.7維護(hù)分類(Maintenancecategorisation)2.8保證維護(hù)(Maintenanceofassurance)類和屬概覽 2.8.1AMA類：保證維護(hù)(Maintenanceofassurance)——當(dāng)TOE或其環(huán)境被改變時(shí)，AMA類旨在維護(hù)TOE繼續(xù)達(dá)到安全目標(biāo)的保證水平AMA_AMP：保證維護(hù)計(jì)劃(Assurancemaintenanceplan)AMA_CAT：TOE組件分類報(bào)告(TOEcomponentcategorizationreport)AMA_EVD：保證維護(hù)證據(jù)(Evidenceofassurancemaintenance)AMA_SIA：安全影響分析(Securityimpactanalysis)APE類：PP評(píng)估PP評(píng)估的目的在于證明PP是完整的、一致的、技術(shù)上可靠的、因而適于用作對(duì)可評(píng)估的TOE需求的陳述。APE類：PP評(píng)估APE類：PP評(píng)估APE_DES：PP，TOE描述APE_ENV：PP，安全環(huán)境APE_INT：PP，PP簡(jiǎn)介APE_OBJ：PP，安全目標(biāo)APE_REQ：PP，IT安全需求APE_SRE：PP，明確陳述的IT安全需求圖4.1PP評(píng)估類分解3.1TOE描述(APE_DES)相關(guān)性(Dependencies)：APE_ENVAPE_INTAPE_OBJAPE_REQ開發(fā)者行動(dòng)元素(Developeractionelements)：PP開發(fā)者要提供一個(gè)TOE描述作為PP的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE描述至少要描述產(chǎn)品的類型和TOE的一般IT特征。評(píng)估者行動(dòng)元素(Evaluatoractionelements)：評(píng)估者要確認(rèn)：所提供的信息滿足對(duì)于證據(jù)元素內(nèi)容和表達(dá)的所有需求。TOE描述是條理分明的、內(nèi)部一致的。TOE描述與PP的其它部分是一致的。3.2安全環(huán)境(APE_ENV)相關(guān)性(Dependencies)：無(wú)開發(fā)者行動(dòng)元素(Developeractionelements)：PP開發(fā)者要提供一個(gè)TOE安全環(huán)境陳述作為PP的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE安全環(huán)境陳述要標(biāo)識(shí)和解釋：任何關(guān)于TOE用法及使用環(huán)境的假設(shè)。任何已知和假定的對(duì)于資產(chǎn)的威脅，對(duì)此，TOE或其環(huán)境需要保護(hù)。TOE必須遵守的任何組織安全策略。評(píng)估者行動(dòng)元素(Evaluatoractionelements)：評(píng)估者要確認(rèn)：所提供的信息滿足對(duì)于證據(jù)元素內(nèi)容和表達(dá)的所有需求。TOE安全環(huán)境陳述是條理分明的、內(nèi)部一致的。3.3PP簡(jiǎn)介(APE_INT)相關(guān)性(Dependencies)：APE_DESAPE_ENVAPE_OBJAPE_REQ開發(fā)者行動(dòng)元素(Developeractionelements)：PP開發(fā)者要提供一個(gè)PP簡(jiǎn)介作為PP的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：PP簡(jiǎn)介要包含：一個(gè)PP標(biāo)識(shí)，它提供標(biāo)注和描述信息。一個(gè)PP概覽。評(píng)估者行動(dòng)元素(Evaluatoractionelements)：評(píng)估者要確認(rèn)：所提供的信息滿足對(duì)于證據(jù)元素內(nèi)容和表達(dá)的所有需求。PP簡(jiǎn)介是條理分明的、內(nèi)部一致的。PP簡(jiǎn)介與PP的其它部分是一致的。3.4安全目標(biāo)(APE_OBJ)相關(guān)性(Dependencies)：APE_ENV開發(fā)者行動(dòng)元素(Developeractionelements)：PP開發(fā)者要提供：一個(gè)安全目標(biāo)陳述作為PP的一部分。安全目標(biāo)原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：安全目標(biāo)陳述要為TOE及其環(huán)境定義安全目標(biāo)。TOE安全目標(biāo)要清晰的陳述，并且追蹤TOE遇到的威脅的各方面。環(huán)境安全目標(biāo)要清晰的陳述，并且追蹤所有威脅的各方面。安全目標(biāo)原理要證明已提出的安全目標(biāo)適用于反對(duì)已確認(rèn)的威脅。安全目標(biāo)原理要證明已提出的安全目標(biāo)包含所有已確定的組織安全策略和假設(shè)。評(píng)估者行動(dòng)元素(Evaluatoractionelements)：評(píng)估者要確認(rèn)：所提供的信息滿足對(duì)于證據(jù)元素內(nèi)容和表達(dá)的所有需求。安全目標(biāo)陳述是完整的、條理分明的、內(nèi)部一致的。3.5IT安全需求(APE_REQ)相關(guān)性(Dependencies)：APE_OBJ開發(fā)者行動(dòng)元素(Developeractionelements)：PP開發(fā)者要提供：一個(gè)IT安全需求陳述作為PP的一部分。安全需求原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE安全功能需求陳述要確定TOE安全功能需求(從CCPart2功能需求組件中得到)。TOE安全保證需求陳述要確定TOE安全保證需求(從CCPart3保證需求組件中得到)。TOE安全保證需求陳述要包括在CCPart3中定義的評(píng)估保證級(jí)別(EAL)。證據(jù)要證明TOE安全保證需求陳述是適當(dāng)?shù)?。如果合適的話，PP要確定IT環(huán)境的安全需求。PP中關(guān)于IT安全需求的所有已完成的和未完成的操作都要被確定。PP中包括的IT安全需求之間的依賴性要被確定。PP要包括關(guān)于TOE安全功能需求的最小功能強(qiáng)度水平的陳述，可選擇是SOF-初級(jí)，SOF-中級(jí)，或是SOF-高級(jí)。PP要確定明確的TOE安全功能需求，對(duì)這些需求來(lái)說(shuō)，可以選擇明確的功能強(qiáng)度，以及特定的衡量標(biāo)準(zhǔn)。安全需求原理要證明PP的最小功能強(qiáng)度水平，以及任何明確的功能強(qiáng)度聲明，是與TOE安全目標(biāo)相一致的。安全需求原理要證明IT安全需求適合于達(dá)到安全目標(biāo)。安全需求原理要證明IT安全需求集形成了一個(gè)互相支持的和內(nèi)部一致的整體。評(píng)估者行動(dòng)元素(Evaluatoractionelements)：評(píng)估者要確認(rèn)：所提供的信息滿足對(duì)于證據(jù)元素內(nèi)容和表達(dá)的所有需求。安全目標(biāo)陳述是完整的、條理分明的、內(nèi)部一致的。3.6明確陳述的IT安全需求(APE_SRE) ——不參考CC的其他的需求。相關(guān)性(Dependencies)：APE_REQ開發(fā)者行動(dòng)元素(Developeractionelements)：PP開發(fā)者要提供：一個(gè)IT安全需求陳述作為PP的一部分。安全需求原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：所有不參考CC的明確陳述的TOE安全需求都要被確定。所有不參考CC的明確陳述的IT環(huán)境安全需求都要被確定。證據(jù)要證明為什么安全需求要被明確陳述。明確陳述的IT安全需求要用CC需求的組件、屬和類作為表達(dá)模型。明確陳述的IT安全需求應(yīng)是可測(cè)量的，并且應(yīng)陳述目標(biāo)評(píng)估需求以使得可以決定并系統(tǒng)地證明是否遵從TOE。明確陳述的IT安全需求應(yīng)被清楚地表達(dá)。安全需求原理要證明保證需求適用于支持任何明確陳述的TOE安全功能需求。評(píng)估者行動(dòng)元素(Evaluatoractionelements)：評(píng)估者要：確認(rèn)所提供的信息滿足對(duì)于證據(jù)元素內(nèi)容和表達(dá)的所有需求。決定所有明確陳述的IT安全需求之間的依賴性已被確定。ASE類：ST評(píng)估ST評(píng)估的目的在于證明ST是完整的、一致的、技術(shù)上可靠的、因而適于用作相應(yīng)的TOE評(píng)估的基礎(chǔ)。ASE類：ST評(píng)估ASE類：ST評(píng)估APE_DES：PP，TOE描述APE_DES：PP，TOE描述ASE_ENV：ST，安全環(huán)境ASE_ENV：ST，安全環(huán)境ASE_INT：ST，ST簡(jiǎn)介ASE_INT：ST，ST簡(jiǎn)介ASE_OBJ：ST，安全目標(biāo)ASE_OBJ：ST，安全目標(biāo)ASE_PPC：ST，PP要求ASE_PPC：ST，PP要求ASE_REQ：PP，IT安全需求ASE_REQ：PP，IT安全需求ASE_SRE：PP，明確陳述的IT安全需求ASE_SRE：PP，明確陳述的IT安全需求ASE_TSS：ST，TOE概要規(guī)范ASE_TSS：ST，TOE概要規(guī)范4.1ST評(píng)估類分解4.1TOE描述（ASE_DES）相關(guān)性(Dependencies)：ASE_ENV.1ASE_INT.1ASE_OBJ.1ASE_PPC.1ASE_REQ.1ASE_TSS.1開發(fā)者行動(dòng)元素(Developeractionelements)：ST開發(fā)者要提供一個(gè)TOE描述作為ST的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE描述至少要描述產(chǎn)品或系統(tǒng)的類型和TOE，以物理和邏輯方式用通俗語(yǔ)言描述TOE的范圍和界限。評(píng)估者行動(dòng)元素(Evaluatoractionelements)：評(píng)估者要確認(rèn)：所提供的信息滿足對(duì)于證據(jù)元素內(nèi)容和表達(dá)的所有需求。TOE描述是條理分明的、內(nèi)部一致的。TOE描述與ST的其它部分是一致的。4.2安全環(huán)境(ASE_ENV)相關(guān)性(Dependencies)：無(wú)開發(fā)者行動(dòng)元素(Developeractionelements)：ST開發(fā)者要提供一個(gè)TOE安全環(huán)境陳述作為ST的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE安全環(huán)境陳述要標(biāo)識(shí)和解釋：任何關(guān)于TOE用法及使用環(huán)境的假設(shè)。任何已知和假定的對(duì)于資產(chǎn)的威脅，對(duì)此，TOE或其環(huán)境需要保護(hù)。TOE必須遵守的任何組織的安全政策。評(píng)估者行動(dòng)元素(Evaluatoractionelements)：評(píng)估者要確認(rèn)：所提供的信息滿足對(duì)于證據(jù)元素內(nèi)容和表達(dá)的所有需求。TOE安全環(huán)境陳述是條理分明的、內(nèi)部一致的。4.3ST簡(jiǎn)介(ASE_INT)相關(guān)性(Dependencies)：ASE_DESASE_ENVASE_OBJASE_PPCAPE_REQASE_TSS開發(fā)者行動(dòng)元素(Developeractionelements)：PP開發(fā)者要提供一個(gè)ST簡(jiǎn)介作為ST的一部分。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：ST簡(jiǎn)介要包含：一個(gè)ST標(biāo)識(shí)，它提供控制和識(shí)別相關(guān)ST和TOE所必須的標(biāo)注和描述信息。一個(gè)ST概述。一個(gè)CC一致性要求，陳述對(duì)TOE的CC一致性的可評(píng)估要求。評(píng)估者行動(dòng)元素(Evaluatoractionelements)：評(píng)估者要確認(rèn)：所提供的信息滿足對(duì)于證據(jù)元素內(nèi)容和表達(dá)的所有需求。ST簡(jiǎn)介是條理分明的、內(nèi)部一致的。ST簡(jiǎn)介與ST的其它部分是一致的。4.4安全目標(biāo)(ASE_OBJ)相關(guān)性(Dependencies)：ASE_ENV開發(fā)者行動(dòng)元素(Developeractionelements)：ST開發(fā)者要提供：一個(gè)安全目標(biāo)陳述作為ST的一部分。安全目標(biāo)原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：安全目標(biāo)陳述要為TOE及其環(huán)境定義安全目標(biāo)。TOE安全目標(biāo)要清晰的陳述，并且追蹤TOE遇到的威脅的各方面。環(huán)境安全目標(biāo)要清晰的陳述，并且追蹤TOE所遭遇的已知威脅和組織的安全政策的各方面。環(huán)境的安全目標(biāo)應(yīng)能明確的陳述并追蹤TOE所有威脅和組織安全政策或假設(shè)的方方面面。安全目標(biāo)原理要證明已提出的安全目標(biāo)適用于對(duì)抗已確認(rèn)的威脅。安全目標(biāo)原理要證明已提出的安全目標(biāo)包含所有已確定的組織安全策略和假設(shè)。評(píng)估者行動(dòng)元素(Evaluatoractionelements)：評(píng)估者要確認(rèn)：所提供的信息滿足對(duì)于證據(jù)元素內(nèi)容和表達(dá)的所有需求。安全目標(biāo)陳述是完整的、條理分明的、內(nèi)部一致的。4.5PP需求(ASE_PPC)相關(guān)性(Dependencies)：ASE_OBJASE_REQ開發(fā)者行動(dòng)元素(Developeractionelements)：開發(fā)者要提供：任意的PP需求作為PP的一部分。對(duì)每一提供的PP需求給出PP需求原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：每一個(gè)PP需求應(yīng)標(biāo)明：所要求的PP一致性，包括需求所必需的資格；IT安全環(huán)境陳述滿足PP允許的操作，否則要進(jìn)一步給PP需求賦予資格。除開那些包含在PP的內(nèi)容，安全目標(biāo)和IT安全需求陳述也應(yīng)包含在ST中。評(píng)估者行動(dòng)元素(Evaluatoractionelements)：評(píng)估者要確認(rèn)：所提供的信息滿足對(duì)于證據(jù)元素內(nèi)容和表達(dá)的所有需求。PP需求是PP的一個(gè)正確示例。4.6IT安全需求(ASE_REQ)相關(guān)性(Dependencies)：ASE_OBJ開發(fā)者行動(dòng)元素(Developeractionelements)：開發(fā)者要提供：一個(gè)IT安全需求陳述作為ST的一部分。安全需求原理。證據(jù)元素的內(nèi)容和表達(dá)(Contentandpresentationofevidenceelements)：TOE安全功能需求陳述要確定TOE安全功能需求(從CCPart2功能需求組件中得到)。TOE安全保證需求陳述要確