網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求

1、信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求Information security technologySecurity techniques requirements of separation components of network and terminal equipment目次前言V引言VI范圍1規(guī)范性引用文件1術(shù)語和定義1安全環(huán)境2物理方面2人員方面2連通性方面2隔離部件分級安全技術(shù)要求2物理斷開隔離部件2基本級要求2訪問控制2配置管理3交付與運行3安全功能開發(fā)過程3指導(dǎo)性文檔3測試4生命周期支持4增強級要求4訪問控制4不可旁路5客體重用5配置管理5交付與運行5安全功能開發(fā)過

2、程5指導(dǎo)性文檔6生命周期支持6測試6脆弱性評定7單向隔離部件7基本級要求7訪問控制7配置管理8交付與運行8安全功能開發(fā)過程8指導(dǎo)性文檔8測試9生命周期支持9增強級要求9訪問控制9不可旁路10客體重用10配置管理10交付與運行10安全功能開發(fā)過程10指導(dǎo)性文檔11生命周期支持11測試110脆弱性評定12協(xié)議隔離部件12第一級12訪問控制12身份鑒別13數(shù)據(jù)完整性13配置管理13交付與運行13安全功能開發(fā)過程13指導(dǎo)性文檔13測試14生命周期支持14第二級14訪問控制14身份鑒別15客體重用16審計16數(shù)據(jù)完整性17配置管理17交付與運行17安全功能開發(fā)過程17指導(dǎo)性文檔18生命周期支持181測試

3、182脆弱性評定195.3.3第三級19訪問控制19標記20身份鑒別20 PAGE * ROMAN IV客體重用21審計21數(shù)據(jù)完整性22密碼支持22配置管理22交付和運行22安全功能開發(fā)過程23指導(dǎo)性文檔24生命周期支持243測試254脆弱性評定25網(wǎng)閘隔離部件25第一級25訪問控制25身份鑒別26數(shù)據(jù)完整性26配置管理26交付與運行26安全功能開發(fā)過程26指導(dǎo)性文檔27測試27生命周期支持28第二級28訪問控制28身份鑒別29客體重用29審計29數(shù)據(jù)完整性30配置管理30交付與運行30安全功能開發(fā)過程30指導(dǎo)性文檔31生命周期支持321測試322脆弱性評定325.4.3第三級32訪問控制3

4、2標記34身份鑒別34客體重用 34審計 34數(shù)據(jù)完整性 35密碼支持 35配置管理 35交付和運行 360安全功能開發(fā)過程 361指導(dǎo)性文檔 372生命周期支持 383測試 384脆弱性評定 39參考文獻40引言本標準是信息安全等級保護技術(shù)要求系列標準的重要組成部分，用以指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的隔離部件，主要從對隔離部件的安全保護等級進行劃分的角度來說明其技術(shù)要求，即主要說明為實現(xiàn)基于 GB17859-1999 的各個保護等級的安全要求對隔離部件應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實現(xiàn)上的差異。本標準以 GB17859-1999 的安全等級的劃分為

5、基礎(chǔ)，針對隔離部件的技術(shù)特點，對相應(yīng)安全等級的安全功能技術(shù)要求和安全保證技術(shù)要求做了詳細描述。在本標準文本中，加粗字體表示較高等級中新出現(xiàn)或增強的功能要求。信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求范圍本標準規(guī)定了對隔離部件進行安全保護等級劃分所需要的詳細技術(shù)要求，并給出了每一個安全保護等級的不同技術(shù)要求。本標準適用于隔離部件的設(shè)計和實現(xiàn)，對隔離部件進行的測試、管理也可參照使用。規(guī)范性引用文件下列文件中的有關(guān)條款通過引用而成為本標準的條款。凡注日期或版次的引用文件，其后的任何修改單（不包括勘誤的內(nèi)容）或修訂版本都不適用于本標準，但提倡使用本標準的各方探討使用其最新版本的可能性。凡不注日期或

6、版次的引用文件，其最新版本適用于本標準。GB17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則GB/T BBBB-XXXX 信息安全技術(shù) 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求術(shù)語和定義GB17859-1999 和 GB/T BBBB-XXXX 中確立的以及下列術(shù)語和定義適用于本標準。物理斷開 physical disconnection指處于不同安全域的網(wǎng)絡(luò)之間不能以直接或間接的方式相連接。在一個物理網(wǎng)絡(luò)環(huán)境中，實施不同安全域的網(wǎng)絡(luò)物理斷開，在技術(shù)上應(yīng)確保信息在物理傳導(dǎo)、物理存儲上的斷開。3.2協(xié)議轉(zhuǎn)換 protocol conversion在隔離部件中，協(xié)議轉(zhuǎn)換的定義是協(xié)議的剝離和重

7、建。在所屬某一安全域的隔離部件一端，把基于網(wǎng)絡(luò)的公共協(xié)議中的應(yīng)用數(shù)據(jù)剝離出來，封裝為系統(tǒng)專用協(xié)議傳遞至所屬其他安全域的隔離部件另一端，再將專用協(xié)議剝離，并封裝成需要的格式。3.3協(xié)議隔離 protocol separation指處于不同安全域的網(wǎng)絡(luò)在物理上是有連線的，通過協(xié)議轉(zhuǎn)換的手段保證受保護信息在邏輯上是隔離的，只有被系統(tǒng)要求傳輸?shù)?、?nèi)容受限的信息可以通過。3.4信息擺渡 information ferry信息交換的一種方式，物理傳輸信道只在傳輸進行時存在。信息傳輸時，信息先由信息源所在安全域一端傳輸至中間緩存區(qū)域，同時物理斷開中間緩存區(qū)域與信息目的所在安全域的連接；隨后接通中間緩存區(qū)域與

8、信息目的所在安全域的傳輸信道，將信息傳輸至信息目的所在安全域，同時在信道上物理斷開信息源所在安全域與中間緩存區(qū)域的連接。在任一時刻，中間緩存區(qū)域只與一端安全域相連。3.5物理斷開隔離部件 physical disconnection separation components在端上實現(xiàn)信息物理斷開的信息安全部件，如物理隔離卡。3.6單向隔離部件 unilateral separation components在端上依靠由硬件訪問控制信息交換分區(qū)實現(xiàn)信息在不同的安全域信息單向流動的信息安全部件。3.7協(xié)議隔離部件 protocol separation components位于兩個不同安全域之間

9、，實現(xiàn)協(xié)議隔離的信息安全部件。其信息流一般是專用應(yīng)用數(shù)據(jù)。3.8網(wǎng)閘 gap該信息安全部件位于兩個不同安全域之間，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒖梢酝ㄟ^。其信息流一般是通用應(yīng)用服務(wù)。安全環(huán)境物理方面對隔離部件資源的處理限定在一些可控制的訪問設(shè)備內(nèi)，防止未授權(quán)的物理訪問。所有與實施隔離部件安全策略相關(guān)的硬件和軟件應(yīng)受到保護以免于未授權(quán)的物理修改。人員方面授權(quán)管理員不具敵意并遵守所有的管理員規(guī)則。連通性方面隔離部件是處于不同安全域網(wǎng)絡(luò)之間的唯一連接點。對于物理斷開隔離部件，不存在任何安全域網(wǎng)間的信息傳輸；對于單向隔離部件，信息可以從低級安全域向高級

10、安全域通過斷電非逸失性存儲設(shè)備進行單向傳輸，反之則不能；對于協(xié)議隔離部件與網(wǎng)閘部件，所有安全域網(wǎng)絡(luò)間的信息傳輸應(yīng)經(jīng)過隔離部件；授權(quán)管理員可以從高級安全域網(wǎng)絡(luò)對隔離部件進行遠程管理。隔離部件分級安全技術(shù)要求物理斷開隔離部件基本級要求訪問控制安全屬性定義對于信息存儲與傳輸部件（主要是處于不同安全域的存儲設(shè)備、網(wǎng)絡(luò)接入設(shè)備），物理斷開隔離部件應(yīng)為其設(shè)定唯一的、為了執(zhí)行安全功能策略所必需的安全屬性。屬性修改物理斷開隔離部件安全功能應(yīng)向端設(shè)備用戶提供修改與安全相關(guān)屬性的參數(shù)的能力。屬性查詢物理斷開隔離部件安全功能應(yīng)向端設(shè)備用戶提供安全屬性查詢的能力。訪問授權(quán)與拒絕物理斷開隔離部件的安全功能應(yīng)對被隔離的計

11、算機信息資源提供明確的訪問保障能力和訪問拒絕能力。在技術(shù)上確保：在信息物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接侵入內(nèi)部網(wǎng)；同時阻止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄露到外部網(wǎng)；在信息物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境，對于斷電后會逸失信息的部件，如內(nèi)存、寄存器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時作清零處理，防止遺留信息竄網(wǎng)；對于斷電后不會逸失信息的設(shè)備， 如磁帶機、硬盤等存儲設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息要以不同存儲設(shè)備分開存儲；對移動存儲介質(zhì)，如光盤、軟盤、USB 硬盤等，應(yīng)在網(wǎng)絡(luò)轉(zhuǎn)換前提示用戶干預(yù)或禁止在雙網(wǎng)都能使用這些設(shè)備。配置管理開發(fā)者應(yīng)為隔離部件產(chǎn)品的不同版本提供唯一的標識。隔離部件產(chǎn)品的每個版本應(yīng)當(dāng)使用

12、它們的唯一標識作為標簽。交付與運行交付開發(fā)者應(yīng)使用一定的交付程序交付物理斷開隔離部件，并將交付過程文檔化。交付文檔應(yīng)描述在給用戶方交付物理斷開隔離部件的各版本時，為維護安全所必需的所有程序。安裝生成開發(fā)者應(yīng)提供文檔說明物理斷開隔離部件的安裝、生成和啟動的過程。安全功能開發(fā)過程功能設(shè)計開發(fā)者應(yīng)提供隔離部件產(chǎn)品的安全功能設(shè)計。功能設(shè)計應(yīng)以非形式方法來描述安全功能與其外部接口，并描述使用外部安全功能接口的目的與方法，在需要的時候，還要提供例外情況和錯誤信息的細節(jié)。安全功能設(shè)計應(yīng)是內(nèi)在一致的并能完備地表示安全功能。表示對應(yīng)性開發(fā)者應(yīng)在隔離部件安全功能表示的所有相鄰對之間提供對應(yīng)性分析。對于隔離部件安全

13、功能表示的每個相鄰對，分析應(yīng)闡明：較為抽象的安全功能表示的所有相關(guān)安全功能，應(yīng)在較具體的安全功能表示中得到正確而完備地細化。指導(dǎo)性文檔管理員指南開發(fā)者應(yīng)提供系統(tǒng)管理員使用的管理員指南。管理員指南應(yīng)說明以下內(nèi)容：隔離部件可以使用的管理功能和接口；怎樣安全地管理隔離部件；在安全處理環(huán)境中應(yīng)進行控制的功能和權(quán)限；所有對與隔離部件的安全操作有關(guān)的用戶行為的假設(shè)；所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制的實體的安全特性進行的改變；所有與系統(tǒng)管理員有關(guān)的 IT 環(huán)境的安全要求。管理員指南應(yīng)與為評估而提供的其他所有文檔保持一致。用戶指南開發(fā)

14、者應(yīng)提供用戶指南。用戶指南應(yīng)說明以下內(nèi)容：隔離部件的非管理用戶可使用的安全功能和接口；隔離部件提供給用戶的安全功能和接口的用法；用戶可獲取但應(yīng)受安全處理環(huán)境控制的所有功能和權(quán)限；隔離部件安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；與用戶有關(guān)的 IT 環(huán)境的所有安全要求。用戶指南應(yīng)與為評估而提供的其他所有文檔保持一致。測試范圍開發(fā)者應(yīng)提供測試覆蓋的分析結(jié)果。測試覆蓋的分析結(jié)果應(yīng)表明測試文檔中所標識的測試與安全功能設(shè)計中所描述的安全功能是對應(yīng)的。功能測試開發(fā)者應(yīng)測試安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括測試計劃、測試過程、預(yù)期的測試結(jié)果和實際測試結(jié)果。測試計劃應(yīng)標識要測試的安全功能，并描述測試的目

15、標。測試過程應(yīng)標識要執(zhí)行的測試，并描述每個安全功能的測試概況， 這些概況包括對其它測試結(jié)果的順序依賴性。期望的測試結(jié)果應(yīng)表明測試成功后的預(yù)期輸出。實際測試結(jié)果應(yīng)表明每個被測試的安全功能能按照規(guī)定進行運作。生命周期支持開發(fā)者應(yīng)提供開發(fā)安全文件。開發(fā)安全文件應(yīng)描述在隔離部件的開發(fā)環(huán)境中，為保護隔離部件設(shè)計和實現(xiàn)的機密性和完整性， 而在物理上、程序上、人員上以及其他方面所采取的必要的安全措施。開發(fā)安全文件還應(yīng)提供在隔離部件的開發(fā)和維護過程中執(zhí)行安全措施的證據(jù)。增強級要求訪問控制安全屬性定義對于信息存儲與傳輸部件（主要是處于不同安全域的存儲設(shè)備、網(wǎng)絡(luò)接入設(shè)備），物理斷開隔離部件應(yīng)為其設(shè)定唯一的、為了執(zhí)

16、行安全功能策略所必需的安全屬性。屬性修改物理斷開隔離部件安全功能應(yīng)向端設(shè)備用戶提供修改與安全相關(guān)屬性的參數(shù)的能力。屬性查詢物理斷開隔離部件安全功能應(yīng)向端設(shè)備用戶提供安全屬性查詢的能力。訪問授權(quán)與拒絕物理斷開隔離部件的安全功能應(yīng)對被隔離的計算機信息資源提供明確的訪問保障能力和訪問拒絕能力。在技術(shù)上確保：在信息物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接侵入內(nèi)部網(wǎng)；同時阻止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄露到外部網(wǎng)；在信息物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境，對于斷電后會逸失信息的部件，如內(nèi)存、寄存器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時作清零處理，防止遺留信息竄網(wǎng)；對于斷電后不會逸失信息的設(shè)備， 如磁帶機、硬盤等存儲

17、設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息要以不同存儲設(shè)備分開存儲；對移動存儲介質(zhì)，如光盤、軟盤、USB 硬盤等，應(yīng)在網(wǎng)絡(luò)轉(zhuǎn)換前提示用戶干預(yù)或禁止在雙網(wǎng)都能使用這些設(shè)備。不可旁路在與安全有關(guān)的操作（例如安全屬性的修改）被允許執(zhí)行之前，物理斷開隔離部件安全功能應(yīng)確保其通過安全功能策略的檢查?？腕w重用在為所有內(nèi)部或外部網(wǎng)上的主機連接進行資源分配時，物理斷開隔離部件安全功能應(yīng)保證不提供以前連接的任何信息內(nèi)容。配置管理配置管理能力開發(fā)者應(yīng)使用配置管理系統(tǒng)并提供配置管理文檔，以及為隔離部件產(chǎn)品的不同版本提供唯一的標識。配置管理系統(tǒng)應(yīng)對所有的配置項作出唯一的標識，并保證只有經(jīng)過授權(quán)才能修改配置項。配置管理文檔應(yīng)包括配置清單

18、和配置管理計劃。在配置清單中，應(yīng)對每一配置項給出相應(yīng)的描述； 在配置管理計劃中，應(yīng)描述配置管理系統(tǒng)是如何使用的。實施的配置管理應(yīng)與配置管理計劃相一致。配置管理文檔還應(yīng)描述對配置項給出唯一標識的方法，并提供所有的配置項得到有效地維護的證據(jù)。配置管理范圍開發(fā)者應(yīng)提供配置管理文檔。配置管理文檔應(yīng)說明配置管理系統(tǒng)至少能跟蹤：隔離部件實現(xiàn)表示、設(shè)計文檔、測試文檔、用戶文檔、管理員文檔和配置管理文檔，并描述配置管理系統(tǒng)是如何跟蹤配置項的。交付與運行交付開發(fā)者應(yīng)使用一定的交付程序交付物理斷開隔離部件，并將交付過程文檔化。交付文檔應(yīng)描述在給用戶方交付物理斷開隔離部件的各版本時，為維護安全所必需的所有程序。安裝

19、生成開發(fā)者應(yīng)提供文檔說明物理斷開隔離部件的安裝、生成和啟動的過程。安全功能開發(fā)過程功能設(shè)計開發(fā)者應(yīng)提供隔離部件的安全功能設(shè)計。功能設(shè)計應(yīng)以非形式方法來描述安全功能與其外部接口，并描述使用外部安全功能接口的目的與方法，在需要的時候，還要提供例外情況和錯誤信息的細節(jié)。安全功能設(shè)計應(yīng)是內(nèi)在一致的并能完備地表示安全功能。高層設(shè)計開發(fā)者應(yīng)提供隔離部件安全功能的高層設(shè)計。高層設(shè)計應(yīng)以非形式方法表述并且是內(nèi)在一致的。為說明安全功能的結(jié)構(gòu)，高層設(shè)計應(yīng)將安全功能分解為各個安全功能子系統(tǒng)進行描述，并闡明如何將有助于加強隔離部件安全功能的子系統(tǒng)和其它子系統(tǒng)分開。對于每一個安全功能子系統(tǒng)，高層設(shè)計應(yīng)描述其提供的安全功

20、能，標識其所有接口以及哪些接口是外部可見的，描述其所有接口的使用目的與方法，并提供安全功能子系統(tǒng)的作用、例外情況和錯誤信息的細節(jié)。高層設(shè)計還應(yīng)標識安全功能要求的所有基礎(chǔ)性的硬件、固件和軟件，并且支持由這些硬件、固件或軟件所實現(xiàn)的保護機制。表示對應(yīng)性開發(fā)者應(yīng)在隔離部件安全功能表示的所有相鄰對之間提供對應(yīng)性分析。對于隔離部件安全功能表示的每個相鄰對，分析應(yīng)闡明：較為抽象的安全功能表示的所有相關(guān)安全功能，應(yīng)在較具體的安全功能表示中得到正確而完備地細化。指導(dǎo)性文檔管理員指南開發(fā)者應(yīng)提供系統(tǒng)管理員使用的管理員指南。管理員指南應(yīng)說明以下內(nèi)容：隔離部件管理員可以使用的管理功能和接口；怎樣安全地管理隔離部件；

21、在安全處理環(huán)境中應(yīng)進行控制的功能和權(quán)限；所有對與隔離部件的安全操作有關(guān)的用戶行為的假設(shè)；所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制的實體的安全特性進行的改變；所有與系統(tǒng)管理員有關(guān)的 IT 環(huán)境的安全要求。管理員指南應(yīng)與為評估而提供的其他所有文檔保持一致。用戶指南開發(fā)者應(yīng)提供用戶指南。 用戶指南應(yīng)說明以下內(nèi)容：隔離部件的非管理用戶可使用的安全功能和接口；隔離部件提供給用戶的安全功能和接口的用法；用戶可獲取但應(yīng)受安全處理環(huán)境控制的所有功能和權(quán)限；隔離部件安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；與用戶有關(guān)的 IT 環(huán)境的所有安全要求。用戶指南應(yīng)

22、與為評估而提供的其他所有文檔保持一致。生命周期支持開發(fā)者應(yīng)提供開發(fā)安全文件。開發(fā)安全文件應(yīng)描述在隔離部件的開發(fā)環(huán)境中，為保護隔離部件設(shè)計和實現(xiàn)的機密性和完整性，而在物理上、程序上、人員上以及其他方面所采取的必要的安全措施。開發(fā)安全文件還應(yīng)提供在隔離部件的開發(fā)和維護過程中執(zhí)行安全措施的證據(jù)。測試范圍開發(fā)者應(yīng)提供測試覆蓋的分析結(jié)果。測試覆蓋的分析結(jié)果應(yīng)表明測試文檔中所標識的測試與安全功能設(shè)計中所描述的安全功能是對應(yīng)的，且該對應(yīng)是完備的。測試深度開發(fā)者應(yīng)提供測試深度的分析。在深度分析中，應(yīng)說明測試文檔中所標識的對安全功能的測試，足以表明該安全功能和高層設(shè)計是一致的。功能測試開發(fā)者應(yīng)測試安全功能，將結(jié)

23、果文檔化并提供測試文檔。測試文檔應(yīng)包括測試計劃、測試過程、預(yù)期的測試結(jié)果和實際測試結(jié)果。測試計劃應(yīng)標識要測試的安全功能，并描述測試的目標。測試過程應(yīng)標識要執(zhí)行的測試，并描述每個安全功能的測試概況， 這些概況包括對其它測試結(jié)果的順序依賴性。期望的測試結(jié)果應(yīng)表明測試成功后的預(yù)期輸出。實際測試結(jié)果應(yīng)表明每個被測試的安全功能能按照規(guī)定進行運作。獨立性測試開發(fā)商應(yīng)提供用于適合測試的部件，且提供的測試集合應(yīng)與其自測產(chǎn)品功能時使用的測試集合相一致。脆弱性評定指南檢查開發(fā)者應(yīng)提供指南性文檔。在指南性文檔中，應(yīng)確定對隔離部件的所有可能的操作方式（包括失敗和操作失誤后的操作）、它們的后果以及對于保持安全操作的意義

24、。指南性文檔中還應(yīng)列出所有目標環(huán)境的假設(shè)以及所有外部安全措施（包括外部程序的、物理的或人員的控制）的要求。指南性文檔應(yīng)是完備的、清晰的、一致的、合理的。脆弱性分析開發(fā)者應(yīng)從用戶可能破壞安全策略的明顯途徑出發(fā)，對隔離部件的各種功能進行分析并提供文檔。對被確定的脆弱性，開發(fā)者應(yīng)明確記錄采取的措施。對每一條脆弱性，應(yīng)有證據(jù)顯示在使用隔離部件的環(huán)境中該脆弱性不能被利用。在文檔中，還需證明經(jīng)過標識脆弱性的隔離部件可以抵御明顯的穿透性攻擊。單向隔離部件基本級要求訪問控制安全屬性定義對于信息存儲與傳輸部件（主要是處于不同安全域的存儲設(shè)備、網(wǎng)絡(luò)接入設(shè)備），單向隔離部件應(yīng)為其設(shè)定唯一的、為了執(zhí)行安全功能策略所必

25、需的安全屬性。屬性修改單向隔離部件安全功能應(yīng)向端設(shè)備用戶提供修改與安全相關(guān)屬性的參數(shù)的能力。屬性查詢單向隔離部件安全功能應(yīng)向端設(shè)備用戶提供安全屬性查詢的能力。訪問授權(quán)與拒絕單向隔離部件的安全功能應(yīng)對被隔離的計算機信息資源提供明確的訪問保障能力和訪問拒絕能力。在技術(shù)上確保：在信息物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保內(nèi)部網(wǎng)不能通過網(wǎng)絡(luò)連接到外部網(wǎng)；同時保證限定外部網(wǎng)信息只能通過特定存儲區(qū)域轉(zhuǎn)移至內(nèi)部網(wǎng)存儲區(qū)域，從而阻止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄露到外部網(wǎng)。在信息物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境，對于斷電后會逸失信息的部件，如內(nèi)存、寄存器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時作清零處理，防止遺留信息竄網(wǎng)；對于斷電后不會逸失信

26、息的設(shè)備， 如磁帶機、硬盤等存儲設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息要分開存儲并以硬件手段保證其特定的訪問控制；對移動存儲介質(zhì)，如光盤、軟盤、USB 硬盤等，應(yīng)在網(wǎng)絡(luò)轉(zhuǎn)換前提示用戶干預(yù)。配置管理開發(fā)者應(yīng)為隔離部件產(chǎn)品的不同版本提供唯一的標識。隔離部件產(chǎn)品的每個版本應(yīng)當(dāng)使用它們的唯一標識作為標簽。交付與運行交付開發(fā)者應(yīng)使用一定的交付程序交付單向隔離部件，并將交付過程文檔化。交付文檔應(yīng)描述在給用戶方交付單向隔離部件的各版本時，為維護安全所必需的所有程序。安裝生成開發(fā)者應(yīng)提供文檔說明單向隔離部件的安裝、生成和啟動的過程。安全功能開發(fā)過程功能設(shè)計開發(fā)者應(yīng)提供隔離部件產(chǎn)品的安全功能設(shè)計。功能設(shè)計應(yīng)以非形式方法來描述

27、安全功能與其外部接口，并描述使用外部安全功能接口的目的與方法，在需要的時候，還要提供例外情況和錯誤信息的細節(jié)。安全功能設(shè)計應(yīng)是內(nèi)在一致的并能完備地表示安全功能。表示對應(yīng)性開發(fā)者應(yīng)在隔離部件安全功能表示的所有相鄰對之間提供對應(yīng)性分析。對于隔離部件安全功能表示的每個相鄰對，分析應(yīng)闡明：較為抽象的安全功能表示的所有相關(guān)安全功能，應(yīng)在較具體的安全功能表示中得到正確而完備地細化。指導(dǎo)性文檔管理員指南開發(fā)者應(yīng)提供系統(tǒng)管理員使用的管理員指南。管理員指南應(yīng)說明以下內(nèi)容：隔離部件可以使用的管理功能和接口；怎樣安全地管理隔離部件；在安全處理環(huán)境中應(yīng)進行控制的功能和權(quán)限；所有對與隔離部件的安全操作有關(guān)的用戶行為的假

28、設(shè)；所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制的實體的安全特性進行的改變；所有與系統(tǒng)管理員有關(guān)的 IT 環(huán)境的安全要求。管理員指南應(yīng)與為評估而提供的其他所有文檔保持一致。用戶指南開發(fā)者應(yīng)提供用戶指南。 用戶指南應(yīng)說明以下內(nèi)容：隔離部件的非管理用戶可使用的安全功能和接口；隔離部件提供給用戶的安全功能和接口的用法；用戶可獲取但應(yīng)受安全處理環(huán)境控制的所有功能和權(quán)限；隔離部件安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；與用戶有關(guān)的 IT 環(huán)境的所有安全要求。用戶指南應(yīng)與為評估而提供的其他所有文檔保持一致。測試范圍開發(fā)者應(yīng)提供測試覆蓋的分析結(jié)果。測試覆

29、蓋的分析結(jié)果應(yīng)表明測試文檔中所標識的測試與安全功能設(shè)計中所描述的安全功能是對應(yīng)的。功能測試開發(fā)者應(yīng)測試安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括測試計劃、測試過程、預(yù)期的測試結(jié)果和實際測試結(jié)果。測試計劃應(yīng)標識要測試的安全功能，并描述測試的目標。測試過程應(yīng)標識要執(zhí)行的測試，并描述每個安全功能的測試概況， 這些概況包括對其它測試結(jié)果的順序依賴性。期望的測試結(jié)果應(yīng)表明測試成功后的預(yù)期輸出。實際測試結(jié)果應(yīng)表明每個被測試的安全功能能按照規(guī)定進行運作。生命周期支持開發(fā)者應(yīng)提供開發(fā)安全文件。開發(fā)安全文件應(yīng)描述在隔離部件的開發(fā)環(huán)境中，為保護隔離部件設(shè)計和實現(xiàn)的機密性和完整性， 而在物理上、程序上、人

30、員上以及其他方面所采取的必要的安全措施。開發(fā)安全文件還應(yīng)提供在隔離部件的開發(fā)和維護過程中執(zhí)行安全措施的證據(jù)。增強級要求訪問控制安全屬性定義對于信息存儲與傳輸部件（主要是處于不同安全域的存儲設(shè)備、網(wǎng)絡(luò)接入設(shè)備），單向隔離部件應(yīng)為其設(shè)定唯一的、為了執(zhí)行安全功能策略所必需的安全屬性。屬性修改單向隔離部件安全功能應(yīng)向端設(shè)備用戶提供修改與安全相關(guān)屬性的參數(shù)的能力。屬性查詢單向隔離部件安全功能應(yīng)向端設(shè)備用戶提供安全屬性查詢的能力。訪問授權(quán)與拒絕單向隔離部件的安全功能應(yīng)對被隔離的計算機信息資源提供明確的訪問保障能力和訪問拒絕能力。在技術(shù)上確保：在信息物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保內(nèi)部網(wǎng)不能通過網(wǎng)絡(luò)連接到外部

31、網(wǎng)；同時保證限定外部網(wǎng)信息只能通過特定存儲區(qū)域轉(zhuǎn)移至內(nèi)部網(wǎng)存儲區(qū)域，從而阻止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄露到外部網(wǎng)。在信息物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境，對于斷電后會逸失信息的部件，如內(nèi)存、寄存器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時作清零處理，防止遺留信息竄網(wǎng)；對于斷電后不會逸失信息的設(shè)備， 如磁帶機、硬盤等存儲設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息要以不同存儲設(shè)備分開存儲；對移動存儲介質(zhì)，如光盤、軟盤、USB 硬盤等，應(yīng)在網(wǎng)絡(luò)轉(zhuǎn)換前提示用戶干預(yù)或禁止在雙網(wǎng)都能使用這些設(shè)備。不可旁路在與安全有關(guān)的操作（例如安全屬性的修改）被允許執(zhí)行之前，隔離部件安全功能應(yīng)確保其通過安全功能策略的檢查?？腕w重用在為所有內(nèi)部或外部網(wǎng)上的主機連接

32、進行資源分配時，隔離部件安全功能應(yīng)保證不提供以前連接的任何信息內(nèi)容。配置管理配置管理能力開發(fā)者應(yīng)使用配置管理系統(tǒng)并提供配置管理文檔，以及為隔離部件產(chǎn)品的不同版本提供唯一的標識。配置管理系統(tǒng)應(yīng)對所有的配置項作出唯一的標識，并保證只有經(jīng)過授權(quán)才能修改配置項。配置管理文檔應(yīng)包括配置清單和配置管理計劃。在配置清單中，應(yīng)對每一配置項給出相應(yīng)的描述； 在配置管理計劃中，應(yīng)描述配置管理系統(tǒng)是如何使用的。實施的配置管理應(yīng)與配置管理計劃相一致。配置管理文檔還應(yīng)描述對配置項給出唯一標識的方法，并提供所有的配置項得到有效地維護的證據(jù)。配置管理范圍開發(fā)者應(yīng)提供配置管理文檔。配置管理文檔應(yīng)說明配置管理系統(tǒng)至少能跟蹤：隔

33、離部件實現(xiàn)表示、設(shè)計文檔、測試文檔、用戶文檔、管理員文檔和配置管理文檔，并描述配置管理系統(tǒng)是如何跟蹤配置項的。交付與運行交付開發(fā)者應(yīng)使用一定的交付程序交付單向隔離部件，并將交付過程文檔化。交付文檔應(yīng)描述在給用戶方交付單向隔離部件的各版本時，為維護安全所必需的所有程序。安裝生成開發(fā)者應(yīng)提供文檔說明單向隔離部件的安裝、生成和啟動的過程。安全功能開發(fā)過程功能設(shè)計開發(fā)者應(yīng)提供隔離部件的安全功能設(shè)計。功能設(shè)計應(yīng)以非形式方法來描述安全功能與其外部接口，并描述使用外部安全功能接口的目的與方法，在需要的時候，還要提供例外情況和錯誤信息的細節(jié)。安全功能設(shè)計應(yīng)是內(nèi)在一致的并能完備地表示安全功能。高層設(shè)計開發(fā)者應(yīng)提

34、供隔離部件安全功能的高層設(shè)計。高層設(shè)計應(yīng)以非形式方法表述并且是內(nèi)在一致的。為說明安全功能的結(jié)構(gòu)，高層設(shè)計應(yīng)將安全功能分解為各個安全功能子系統(tǒng)進行描述，并闡明如何將有助于加強隔離部件安全功能的子系統(tǒng)和其它子系統(tǒng)分開。對于每一個安全功能子系統(tǒng)，高層設(shè)計應(yīng)描述其提供的安全功能，標識其所有接口以及哪些接口是外部可見的，描述其所有接口的使用目的與方法，并提供安全功能子系統(tǒng)的作用、例外情況和錯誤信息的細節(jié)。高層設(shè)計還應(yīng)標識安全功能要求的所有基礎(chǔ)性的硬件、固件和軟件，并且支持由這些硬件、固件或軟件所實現(xiàn)的保護機制。表示對應(yīng)性開發(fā)者應(yīng)在隔離部件安全功能表示的所有相鄰對之間提供對應(yīng)性分析。對于隔離部件安全功能表

35、示的每個相鄰對，分析應(yīng)闡明：較為抽象的安全功能表示的所有相關(guān)安全功能，應(yīng)在較具體的安全功能表示中得到正確而完備地細化。指導(dǎo)性文檔管理員指南開發(fā)者應(yīng)提供系統(tǒng)管理員使用的管理員指南。管理員指南應(yīng)說明以下內(nèi)容：隔離部件管理員可以使用的管理功能和接口；怎樣安全地管理隔離部件；在安全處理環(huán)境中應(yīng)進行控制的功能和權(quán)限；所有對與隔離部件的安全操作有關(guān)的用戶行為的假設(shè)；所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制的實體的安全特性進行的改變；所有與系統(tǒng)管理員有關(guān)的 IT 環(huán)境的安全要求。管理員指南應(yīng)與為評估而提供的其他所有文檔保持一致。用戶指南開發(fā)

36、者應(yīng)提供用戶指南。 用戶指南應(yīng)說明以下內(nèi)容：隔離部件的非管理用戶可使用的安全功能和接口；隔離部件提供給用戶的安全功能和接口的用法；用戶可獲取但應(yīng)受安全處理環(huán)境控制的所有功能和權(quán)限；隔離部件安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；與用戶有關(guān)的 IT 環(huán)境的所有安全要求。用戶指南應(yīng)與為評估而提供的其他所有文檔保持一致。生命周期支持開發(fā)者應(yīng)提供開發(fā)安全文件。開發(fā)安全文件應(yīng)描述在隔離部件的開發(fā)環(huán)境中，為保護隔離部件設(shè)計和實現(xiàn)的機密性和完整性，而在物理上、程序上、人員上以及其他方面所采取的必要的安全措施。開發(fā)安全文件還應(yīng)提供在隔離部件的開發(fā)和維護過程中執(zhí)行安全措施的證據(jù)。測試范圍開發(fā)者應(yīng)提供測試覆蓋的分析結(jié)果。測

37、試覆蓋的分析結(jié)果應(yīng)表明測試文檔中所標識的測試與安全功能設(shè)計中所描述的安全功能是對應(yīng)的，且該對應(yīng)是完備的。測試深度開發(fā)者應(yīng)提供測試深度的分析。在深度分析中，應(yīng)說明測試文檔中所標識的對安全功能的測試，足以表明該安全功能和高層設(shè)計是一致的。功能測試開發(fā)者應(yīng)測試安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括測試計劃、測試過程、預(yù)期的測試結(jié)果和實際測試結(jié)果。測試計劃應(yīng)標識要測試的安全功能，并描述測試的目標。測試過程應(yīng)標識要執(zhí)行的測試，并描述每個安全功能的測試概況， 這些概況包括對其它測試結(jié)果的順序依賴性。期望的測試結(jié)果應(yīng)表明測試成功后的預(yù)期輸出。實際測試結(jié)果應(yīng)表明每個被測試的安全功能能按照規(guī)定進行

38、運作。獨立性測試開發(fā)商應(yīng)提供用于適合測試的產(chǎn)品，且提供的測試集合應(yīng)與其自測產(chǎn)品功能時使用的測試集合相一致。脆弱性評定指南檢查開發(fā)者應(yīng)提供指南性文檔。在指南性文檔中，應(yīng)確定對隔離部件的所有可能的操作方式（包括失敗和操作失誤后的操作）、它們的后果以及對于保持安全操作的意義。指南性文檔中還應(yīng)列出所有目標環(huán)境的假設(shè)以及所有外部安全措施（包括外部程序的、物理的或人員的控制）的要求。指南性文檔應(yīng)是完備的、清晰的、一致的、合理的。脆弱性分析開發(fā)者應(yīng)從用戶可能破壞安全策略的明顯途徑出發(fā)，對隔離部件的各種功能進行分析并提供文檔。對被確定的脆弱性，開發(fā)者應(yīng)明確記錄采取的措施。對每一條脆弱性，應(yīng)有證據(jù)顯示在使用隔離

39、部件的環(huán)境中該脆弱性不能被利用。在文檔中，還需證明經(jīng)過標識脆弱性的隔離部件可以抵御明顯的穿透性攻擊。協(xié)議隔離部件第一級訪問控制安全屬性定義對于每一個授權(quán)管理員、構(gòu)成系統(tǒng)的信息傳輸與控制部件、應(yīng)用層數(shù)據(jù)采集與接受部件，協(xié)議隔離部件安全功能應(yīng)為其提供一套唯一的、為了執(zhí)行安全功能策略所必需的安全屬性。屬性初始化協(xié)議隔離部件安全功能應(yīng)提供用默認值對授權(quán)管理員和主機屬性初始化的能力。屬性修改協(xié)議隔離部件安全功能應(yīng)僅向授權(quán)管理員提供修改下述（包含但不僅限于）參數(shù)的能力： 標識與角色（例如：配置管理員等）的關(guān)系；數(shù)據(jù)采集與接收部件參數(shù)（例如：采集、接收部件主機的 IP 地址、應(yīng)用服務(wù)參數(shù)等）；配置的安全參數(shù)

40、（例如：最大鑒別失敗次數(shù)等數(shù)據(jù)）。屬性查詢協(xié)議隔離部件安全功能應(yīng)僅向授權(quán)管理員提供以下查詢：數(shù)據(jù)采集與接收部件參數(shù)（例如：采集、接收部件主機的 IP 地址、應(yīng)用服務(wù)參數(shù)等）；通過協(xié)議隔離部件傳送信息的設(shè)備名。訪問授權(quán)與拒絕協(xié)議隔離安全功能應(yīng)根據(jù)數(shù)據(jù)發(fā)送方和接收方的安全屬性值主機名、IP 地址、預(yù)先定義的傳輸層協(xié)議和請求的服務(wù)（例如：源端口號或目的端口號）、應(yīng)用層協(xié)議、應(yīng)用數(shù)據(jù)關(guān)鍵字等，提供明確的訪問保障能力和拒絕訪問能力。身份鑒別鑒別數(shù)據(jù)初始化協(xié)議隔離部件安全功能應(yīng)根據(jù)規(guī)定的鑒別機制，提供授權(quán)管理員鑒別數(shù)據(jù)的初始化功能,并確保僅允許授權(quán)管理員使用這些功能。鑒別時機在所有授權(quán)管理員請求執(zhí)行的任何

41、操作之前，協(xié)議隔離部件安全功能應(yīng)確保對每個授權(quán)管理員進行了身份鑒別。鑒別失敗處理在經(jīng)過一定次數(shù)的鑒別失敗以后，協(xié)議隔離部件安全功能應(yīng)能終止進行登錄嘗試主機建立會話的過程。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。數(shù)據(jù)完整性協(xié)議隔離部件安全功能應(yīng)保護儲存的鑒別數(shù)據(jù)和過濾策略不受未授權(quán)查閱、修改和破壞。配置管理開發(fā)者應(yīng)為隔離部件產(chǎn)品的不同版本提供唯一的標識。隔離部件產(chǎn)品的每個版本應(yīng)當(dāng)使用它們的唯一標識作為標簽。交付與運行交付開發(fā)者應(yīng)使用一定的交付程序交付協(xié)議隔離部件，并將交付過程文檔化。交付文檔應(yīng)描述在給用戶方交付協(xié)議隔離部件的各版本時，為維護安全所必需的所有程序。安裝生成開發(fā)者應(yīng)提供文檔說明協(xié)議隔離部件的

42、安裝、生成和啟動的過程。安全功能開發(fā)過程功能設(shè)計開發(fā)者應(yīng)提供隔離部件產(chǎn)品的安全功能設(shè)計。功能設(shè)計應(yīng)以非形式方法來描述安全功能與其外部接口，并描述使用外部安全功能接口的目的與方法，在需要的時候，還要提供例外情況和錯誤信息的細節(jié)。安全功能設(shè)計應(yīng)是內(nèi)在一致的并能完備地表示安全功能。表示對應(yīng)性開發(fā)者應(yīng)在隔離部件安全功能表示的所有相鄰對之間提供對應(yīng)性分析。對于隔離部件安全功能表示的每個相鄰對，分析應(yīng)闡明：較為抽象的安全功能表示的所有相關(guān)安全功能，應(yīng)在較具體的安全功能表示中得到正確而完備地細化。指導(dǎo)性文檔管理員指南開發(fā)者應(yīng)提供系統(tǒng)管理員使用的管理員指南。管理員指南應(yīng)說明以下內(nèi)容：隔離部件可以使用的管理功能

43、和接口；怎樣安全地管理隔離部件；在安全處理環(huán)境中應(yīng)進行控制的功能和權(quán)限；所有對與隔離部件的安全操作有關(guān)的用戶行為的假設(shè)；所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制的實體的安全特性進行的改變；所有與系統(tǒng)管理員有關(guān)的 IT 環(huán)境的安全要求。管理員指南應(yīng)與為評估而提供的其他所有文檔保持一致。用戶指南開發(fā)者應(yīng)提供用戶指南。 用戶指南應(yīng)說明以下內(nèi)容：隔離部件的非管理用戶可使用的安全功能和接口；隔離部件提供給用戶的安全功能和接口的用法；用戶可獲取但應(yīng)受安全處理環(huán)境控制的所有功能和權(quán)限；隔離部件安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；與用戶有關(guān)的 IT

44、 環(huán)境的所有安全要求。用戶指南應(yīng)與為評估而提供的其他所有文檔保持一致。測試范圍開發(fā)者應(yīng)提供測試覆蓋的分析結(jié)果。測試覆蓋的分析結(jié)果應(yīng)表明測試文檔中所標識的測試與安全功能設(shè)計中所描述的安全功能是對應(yīng)的。功能測試開發(fā)者應(yīng)測試安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括測試計劃、測試過程、預(yù)期的測試結(jié)果和實際測試結(jié)果。測試計劃應(yīng)標識要測試的安全功能，并描述測試的目標。測試過程應(yīng)標識要執(zhí)行的測試，并描述每個安全功能的測試概況， 這些概況包括對其它測試結(jié)果的順序依賴性。期望的測試結(jié)果應(yīng)表明測試成功后的預(yù)期輸出。實際測試結(jié)果應(yīng)表明每個被測試的安全功能能按照規(guī)定進行運作。生命周期支持開發(fā)者應(yīng)提供開發(fā)安

45、全文件。開發(fā)安全文件應(yīng)描述在隔離部件的開發(fā)環(huán)境中，為保護隔離部件設(shè)計和實現(xiàn)的機密性和完整性， 而在物理上、程序上、人員上以及其他方面所采取的必要的安全措施。開發(fā)安全文件還應(yīng)提供在隔離部件的開發(fā)和維護過程中執(zhí)行安全措施的證據(jù)。第二級訪問控制安全屬性定義對于每一個授權(quán)管理員、構(gòu)成系統(tǒng)的信息傳輸與控制部件、應(yīng)用層數(shù)據(jù)采集與接受部件，協(xié)議隔離部件安全功能應(yīng)為其提供一套唯一的、為了執(zhí)行安全功能策略所必需的安全屬性。屬性初始化協(xié)議隔離部件安全功能應(yīng)提供用默認值對授權(quán)管理員和主機屬性初始化的能力。屬性修改協(xié)議隔離部件安全功能應(yīng)僅向授權(quán)管理員提供修改下述（包含但不僅限于）參數(shù)的能力： 標識與角色（例如：配置管

46、理員等）的關(guān)系；數(shù)據(jù)采集與接收部件參數(shù)（例如：采集、接收部件主機的 IP 地址、應(yīng)用服務(wù)參數(shù)等）；配置的安全參數(shù)（例如：最大鑒別失敗次數(shù)等數(shù)據(jù)）。屬性查詢協(xié)議隔離部件安全功能應(yīng)僅向授權(quán)管理員提供以下查詢：數(shù)據(jù)采集與接收部件參數(shù)（例如：采集、接收部件主機的 IP 地址、應(yīng)用服務(wù)參數(shù)等）；通過協(xié)議隔離部件傳送信息的設(shè)備名。訪問授權(quán)與拒絕協(xié)議隔離安全功能應(yīng)根據(jù)數(shù)據(jù)發(fā)送方和接收方的安全屬性值主機名、IP 地址、預(yù)先定義的傳輸層協(xié)議和請求的服務(wù)（例如：源端口號或目的端口號）、應(yīng)用層協(xié)議、應(yīng)用數(shù)據(jù)關(guān)鍵字等，提供明確的訪問保障能力和拒絕訪問能力。不可旁路在與安全有關(guān)的操作（例如安全屬性的修改、內(nèi)部網(wǎng)絡(luò)主機向

47、外部網(wǎng)絡(luò)主機傳送信息等）被允許執(zhí)行之前，協(xié)議隔離部件安全功能應(yīng)確保其通過安全功能策略的檢查。區(qū)分安全管理角色協(xié)議隔離部件安全功能：應(yīng)將與安全相關(guān)的管理功能與其他功能區(qū)分開；應(yīng)包括安裝、配置和管理隔離部件安全功能本身所需的所有功能，其中至少應(yīng)包括：增加和刪除主體（發(fā)送信息的主機）和客體（接受信息的主機），查閱安全屬性，分配、修改和撤銷安全屬性，查閱和管理審計數(shù)據(jù)；應(yīng)把執(zhí)行與安全相關(guān)的管理功能的能力限定為一種安全管理職責(zé)，該職責(zé)具有一套特別授權(quán)的功能和響應(yīng)的責(zé)任；應(yīng)能把授權(quán)執(zhí)行管理功能的授權(quán)管理員與使用隔離部件的所有其他個人或系統(tǒng)分開；應(yīng)僅允許授權(quán)管理員承擔(dān)安全管理職責(zé)；應(yīng)在提出一個明確的請求以后

48、，才會讓授權(quán)管理員承擔(dān)安全管理職責(zé)。管理功能協(xié)議隔離部件安全功能應(yīng)向授權(quán)管理員提供如下管理功能：能設(shè)置和更新與安全相關(guān)的數(shù)據(jù)；能執(zhí)行隔離部件的安裝及初始化、系統(tǒng)啟動和關(guān)閉、備份和恢復(fù)的能力，備份能力應(yīng)有自動工具的支持；如果隔離部件安全功能支持外部或內(nèi)部接口的遠程管理，那么它應(yīng)：具有對兩個接口或其中之一關(guān)閉遠程管理的選擇權(quán)；能限制那些可進行遠程管理的地址；能通過加密來保護遠程管理對話。身份鑒別鑒別數(shù)據(jù)初始化協(xié)議隔離部件安全功能應(yīng)根據(jù)規(guī)定的鑒別機制，提供授權(quán)管理員鑒別數(shù)據(jù)的初始化功能,并確保僅允許授權(quán)管理員使用這些功能。鑒別時機在所有授權(quán)管理員請求執(zhí)行的任何操作之前，協(xié)議隔離部件安全功能應(yīng)確保對每

49、個授權(quán)管理員進行了身份鑒別。最少反饋當(dāng)進行鑒別時，協(xié)議隔離部件安全功能應(yīng)僅將最少的反饋提供給用戶。鑒別失敗處理在經(jīng)過一定次數(shù)的鑒別失敗以后，協(xié)議隔離部件安全功能應(yīng)能終止進行登錄嘗試主機建立會話的過程。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定?？腕w重用在為所有內(nèi)部或外部網(wǎng)上的主機連接進行資源分配時，協(xié)議隔離部件安全功能應(yīng)保證不提供以前連接的任何信息內(nèi)容。審計審計數(shù)據(jù)生成協(xié)議隔離部件安全功能應(yīng)能對下列可審計事件生成一個審計記錄：審計功能的啟動和關(guān)閉；任何對審計記錄進行操作的嘗試，包括關(guān)閉審計功能或子系統(tǒng)，以及受影響客體的標識；任何讀取、修改、破壞審計記錄的嘗試；所有對隔離部件規(guī)則覆蓋的客體（內(nèi)部或外部網(wǎng)絡(luò)上

50、的主機）執(zhí)行操作的請求，以及受影響客體的標識；修改安全屬性的所有嘗試，以及修改后安全屬性的新值；所有使用安全功能中鑒別數(shù)據(jù)管理機制的請求；所有訪問鑒別數(shù)據(jù)的請求，以及訪問請求的目標；任何對鑒別機制的使用；所有使用標識機制的嘗試；所有對安全功能配置參數(shù)的修改（設(shè)置和更新），無論成功與否，以及配置參數(shù)的新值； 對于每一個審計記錄，隔離部件安全功能應(yīng)至少記錄以下信息：事件發(fā)生的日期和時間，事件的類型，主體身份和成功或失敗事件。審計記錄管理協(xié)議隔離部件安全功能應(yīng)使授權(quán)管理員能創(chuàng)建、存檔、刪除和清空審計記錄?？衫斫獾母袷絽f(xié)議隔離部件安全功能應(yīng)使存儲于永久性審計記錄中的所有審計數(shù)據(jù)可為人所理解。限制審計記

51、錄訪問協(xié)議隔離部件安全功能應(yīng)僅允許授權(quán)管理員訪問審計記錄?？蛇x擇查閱審計協(xié)議隔離部件安全功能應(yīng)提供能按主體 ID（標識符）、客體 ID、日期、時間以及這些參數(shù)的邏輯組合等參數(shù)對審計數(shù)據(jù)進行查找和排序的審計查閱工具。防止審計數(shù)據(jù)丟失協(xié)議隔離部件安全功能應(yīng)把生成的審計記錄儲存于一個永久性的審計記錄中,并應(yīng)限制由于故障和攻擊造成的審計事件丟失的數(shù)量；對因故障或存儲耗竭而導(dǎo)致審計數(shù)據(jù)丟失的最大審計存儲容量，協(xié)議隔離部件的開發(fā)者應(yīng)提供相應(yīng)的分析結(jié)果。數(shù)據(jù)完整性協(xié)議隔離部件安全功能應(yīng)保護儲存于設(shè)備中的鑒別數(shù)據(jù)和信息傳輸策略不受未授權(quán)查閱、修改和破壞。配置管理配置管理能力開發(fā)者應(yīng)使用配置管理系統(tǒng)并提供配置管

52、理文檔，以及為隔離部件產(chǎn)品的不同版本提供唯一的標識。配置管理系統(tǒng)應(yīng)對所有的配置項作出唯一的標識，并保證只有經(jīng)過授權(quán)才能修改配置項。配置管理文檔應(yīng)包括配置清單和配置管理計劃。在配置清單中，應(yīng)對每一配置項給出相應(yīng)的描述； 在配置管理計劃中，應(yīng)描述配置管理系統(tǒng)是如何使用的。實施的配置管理應(yīng)與配置管理計劃相一致。配置管理文檔還應(yīng)描述對配置項給出唯一標識的方法，并提供所有的配置項得到有效地維護的證據(jù)。配置管理范圍開發(fā)者應(yīng)提供配置管理文檔。配置管理文檔應(yīng)說明配置管理系統(tǒng)至少能跟蹤：隔離部件實現(xiàn)表示、設(shè)計文檔、測試文檔、用戶文檔、管理員文檔和配置管理文檔，并描述配置管理系統(tǒng)是如何跟蹤配置項的。交付與運行交付

53、開發(fā)者應(yīng)使用一定的交付程序交付協(xié)議隔離部件，并將交付過程文檔化。交付文檔應(yīng)描述在給用戶方交付協(xié)議隔離部件的各版本時，為維護安全所必需的所有程序。安裝生成開發(fā)者應(yīng)提供文檔說明協(xié)議隔離部件的安裝、生成、啟動和日志生成的過程。安全功能開發(fā)過程功能設(shè)計開發(fā)者應(yīng)提供隔離部件的安全功能設(shè)計。功能設(shè)計應(yīng)以非形式方法來描述安全功能與其外部接口，并描述使用外部安全功能接口的目的與方法，在需要的時候，還要提供例外情況和錯誤信息的細節(jié)。安全功能設(shè)計應(yīng)是內(nèi)在一致的并能完備地表示安全功能。高層設(shè)計開發(fā)者應(yīng)提供隔離部件安全功能的高層設(shè)計。高層設(shè)計應(yīng)以非形式方法表述并且是內(nèi)在一致的。為說明安全功能的結(jié)構(gòu)，高層設(shè)計應(yīng)將安全功

54、能分解為各個安全功能子系統(tǒng)進行描述，并闡明如何將有助于加強隔離部件安全功能的子系統(tǒng)和其它子系統(tǒng)分開。對于每一個安全功能子系統(tǒng)，高層設(shè)計應(yīng)描述其提供的安全功能，標識其所有接口以及哪些接口是外部可見的，描述其所有接口的使用目的與方法，并提供安全功能子系統(tǒng)的作用、例外情況和錯誤信息的細節(jié)。高層設(shè)計還應(yīng)標識安全功能要求的所有基礎(chǔ)性的硬件、固件和軟件，并且支持由這些硬件、固件或軟件所實現(xiàn)的保護機制。表示對應(yīng)性開發(fā)者應(yīng)在隔離部件安全功能表示的所有相鄰對之間提供對應(yīng)性分析。對于隔離部件安全功能表示的每個相鄰對，分析應(yīng)闡明：較為抽象的安全功能表示的所有相關(guān)安全功能，應(yīng)在較具體的安全功能表示中得到正確而完備地細

55、化。指導(dǎo)性文檔管理員指南開發(fā)者應(yīng)提供系統(tǒng)管理員使用的管理員指南。管理員指南應(yīng)說明以下內(nèi)容：隔離部件管理員可以使用的管理功能和接口；怎樣安全地管理隔離部件；在安全處理環(huán)境中應(yīng)進行控制的功能和權(quán)限；所有對與隔離部件的安全操作有關(guān)的用戶行為的假設(shè)；所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制的實體的安全特性進行的改變；所有與系統(tǒng)管理員有關(guān)的 IT 環(huán)境的安全要求。管理員指南應(yīng)與為評估而提供的其他所有文檔保持一致。用戶指南開發(fā)者應(yīng)提供用戶指南。 用戶指南應(yīng)說明以下內(nèi)容：隔離部件的非管理用戶可使用的安全功能和接口；隔離部件提供給用戶的安全功

56、能和接口的用法；用戶可獲取但應(yīng)受安全處理環(huán)境控制的所有功能和權(quán)限；隔離部件安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；與用戶有關(guān)的 IT 環(huán)境的所有安全要求。用戶指南應(yīng)與為評估而提供的其他所有文檔保持一致。生命周期支持開發(fā)者應(yīng)提供開發(fā)安全文件。開發(fā)安全文件應(yīng)描述在隔離部件的開發(fā)環(huán)境中，為保護隔離部件設(shè)計和實現(xiàn)的機密性和完整性，而在物理上、程序上、人員上以及其他方面所采取的必要的安全措施。開發(fā)安全文件還應(yīng)提供在隔離部件的開發(fā)和維護過程中執(zhí)行安全措施的證據(jù)。測試范圍開發(fā)者應(yīng)提供測試覆蓋的分析結(jié)果。測試覆蓋的分析結(jié)果應(yīng)表明測試文檔中所標識的測試與安全功能設(shè)計中所描述的安全功能是對應(yīng)的，且該對應(yīng)是完備的。測試深度開

57、發(fā)者應(yīng)提供測試深度的分析。在深度分析中，應(yīng)說明測試文檔中所標識的對安全功能的測試，足以表明該安全功能和高層設(shè)計是一致的。功能測試開發(fā)者應(yīng)測試安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括測試計劃、測試過程、預(yù)期的測試結(jié)果和實際測試結(jié)果。測試計劃應(yīng)標識要測試的安全功能，并描述測試的目標。測試過程應(yīng)標識要執(zhí)行的測試，并描述每個安全功能的測試概況， 這些概況包括對其它測試結(jié)果的順序依賴性。期望的測試結(jié)果應(yīng)表明測試成功后的預(yù)期輸出。實際測試結(jié)果應(yīng)表明每個被測試的安全功能能按照規(guī)定進行運作。獨立性測試開發(fā)商應(yīng)提供用于適合測試的產(chǎn)品，且提供的測試集合應(yīng)與其自測產(chǎn)品功能時使用的測試集合相一致。脆弱性評

58、定指南檢查開發(fā)者應(yīng)提供指南性文檔。在指南性文檔中，應(yīng)確定對隔離部件的所有可能的操作方式（包括失敗和操作失誤后的操作）、它們的后果以及對于保持安全操作的意義。指南性文檔中還應(yīng)列出所有目標環(huán)境的假設(shè)以及所有外部安全措施（包括外部程序的、物理的或人員的控制）的要求。指南性文檔應(yīng)是完備的、清晰的、一致的、合理的。脆弱性分析開發(fā)者應(yīng)從用戶可能破壞安全策略的明顯途徑出發(fā)，對隔離部件的各種功能進行分析并提供文檔。對被確定的脆弱性，開發(fā)者應(yīng)明確記錄采取的措施。對每一條脆弱性，應(yīng)有證據(jù)顯示在使用隔離部件的環(huán)境中該脆弱性不能被利用。在文檔中，還需證明經(jīng)過標識脆弱性的隔離部件可以抵御明顯的穿透性攻擊。第三級訪問控制

59、安全屬性定義對于每一個授權(quán)管理員、構(gòu)成系統(tǒng)的信息傳輸與控制部件、應(yīng)用層數(shù)據(jù)采集與接受部件，協(xié)議隔離部件安全功能應(yīng)為其提供一套唯一的、為了執(zhí)行安全功能策略所必需的安全屬性。屬性初始化協(xié)議隔離部件安全功能應(yīng)提供用默認值對授權(quán)管理員和主機屬性初始化的能力。屬性修改協(xié)議隔離部件安全功能應(yīng)僅向授權(quán)管理員提供修改下述（包含但不僅限于）參數(shù)的能力： 標識與角色（例如：配置管理員等）的關(guān)系；數(shù)據(jù)采集與接收部件參數(shù)（例如：采集、接收部件主機的 IP 地址、應(yīng)用服務(wù)參數(shù)等）；配置的安全參數(shù)（例如：最大鑒別失敗次數(shù)等數(shù)據(jù)）。屬性查詢協(xié)議隔離部件安全功能應(yīng)僅向授權(quán)管理員提供以下查詢：數(shù)據(jù)采集與接收部件參數(shù)（例如：采集

60、、接收部件主機的 IP 地址、應(yīng)用服務(wù)參數(shù)等）；通過協(xié)議隔離部件傳送信息的設(shè)備名。隔離部件強制訪問控制協(xié)議隔離部件安全功能應(yīng)通過授權(quán)管理員和授權(quán)管理員控制的安全功能數(shù)據(jù)的敏感標記，控制授權(quán)管理員對相關(guān)安全功能數(shù)據(jù)的直接訪問。訪問授權(quán)與拒絕協(xié)議隔離安全功能應(yīng)根據(jù)數(shù)據(jù)發(fā)送方和接收方的安全屬性值主機名、IP 地址、預(yù)先定義的傳輸層協(xié)議和請求的服務(wù)（例如：源端口號或目的端口號）、應(yīng)用層協(xié)議、應(yīng)用數(shù)據(jù)關(guān)鍵字等，提供明確的訪問保障能力和拒絕訪問能力。若訪問被拒絕，隔離部件應(yīng)以有效手段實時通知授權(quán)管理員。安全功能區(qū)域分隔為保護協(xié)議隔離部件安全功能免遭不可信主體（內(nèi)部或外部網(wǎng)絡(luò)上的主機）的干擾和篡改，協(xié)議隔離