(高清版)GB∕T 20283-2020 信息安全技術(shù) 保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南

信息安全技術(shù)保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南(ISO/IECTR15446:2017,Informationtechnology—Securitytechniques—Guidefortheproductionofprotectionprofilesandsecuritytargets,NEQ)國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)信息安全技術(shù)保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南GB/T20283—2020中國(guó)標(biāo)準(zhǔn)出版社出版發(fā)行北京市朝陽區(qū)和平里西街甲2號(hào)(100029)北京市西城區(qū)三里河北街16號(hào)(100045)2020年9月第一版關(guān)版權(quán)專有侵權(quán)必究IGB/T20283—2020 Ⅲ 1 13術(shù)語和定義 1 1 2 2 25.3保護(hù)輪廓和安全目標(biāo)的使用 25.4保護(hù)輪廓/安全目標(biāo)開發(fā)過程 65.5閱讀和理解保護(hù)輪廓和安全目標(biāo) 66保護(hù)輪廓/安全目標(biāo)引言 7符合性聲明 8安全問題定義 8.1簡(jiǎn)述 8.2識(shí)別非正式的安全要求 8.3識(shí)別和確定威脅 8.4識(shí)別和確定策略 8.5識(shí)別和確定假設(shè) 8.6完成安全問題定義 209安全目的 9.1簡(jiǎn)述 21 229.3識(shí)別非IT運(yùn)行環(huán)境安全目的 229.4識(shí)別IT運(yùn)行環(huán)境安全目的 239.5識(shí)別TOE安全目的 239.6產(chǎn)生安全目的基本原理 24 25 26 2611.2安全范型 2811.3確定安全功能要求 ⅡGB/T20283—2020 43 4413組合及部件TOE的保護(hù)輪廓和安全目標(biāo) 45 45 47 4714.1低保障級(jí)的保護(hù)輪廓和安全目標(biāo) 4714.2功能和保障包 48附錄A(資料性附錄)擴(kuò)展組件定義示例 49ⅢGB/T20283—2020本標(biāo)準(zhǔn)代替GB/Z20283—2006《信息安全技術(shù)保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南》,與-—修改了保護(hù)輪廓和安全目標(biāo)概述(見第5章，2006年版的第4章);——修改了安全目的(見第9章，2006年版的第7章);——修改了安全要求(見第11章，2006年版的第8章);——修改了TOE概要規(guī)范(見第12章，2006年版的第9章);證包”(見2006年版的第5章、第6章、第10章、第11章和第13章);殊情況”(見第4章、第6章、第7章、第8章、第10章和第14章);示例”三個(gè)附錄(見2006年版的附本標(biāo)準(zhǔn)使用重新起草法參考ISO/IECTR15446:2017《信息技術(shù)安全技術(shù)保護(hù)輪廓和安全目——GB/Z20283—2006。GB/T20283—20201GB/T20283—2020保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南1范圍和安全目標(biāo)提供指導(dǎo)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T18336—2015(所有部分)信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則GB/T25069—2010信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069—2010和GB/T18336.1—2015界定的術(shù)語和定義適用于本文件。4縮略語下列縮略語適用于本文件。COTS:商業(yè)現(xiàn)成品(CommercialOfftheShelf)CRL:證書撤銷列表(CertificateRevocationList)DAC:自主訪問控制(DiscretionaryAccessControl)DBMS:數(shù)據(jù)庫管理系統(tǒng)(DatabaseManagementSystem)EAL:評(píng)估保障級(jí)(EvaluationAssuranceLevel)IT:信息技術(shù)(InformationTechnology)LDAP:輕量目錄訪問協(xié)議(LightweightDirectoryAccessProtocol)OSP:組織安全策略(OrganizationalSecurityPolicy)PIN:個(gè)人身份識(shí)別碼(PersonalIdentificationNumber)PKI:公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)PP:保護(hù)輪廓(ProtectionProfile)SAR:安全保障要求(SecurityAssuranceRequirement)SFR:安全功能要求(SecurityFunctionalRequirement)SFP:安全功能策略(SecurityFunctionPolicy)2GB/T20283—2020SPD:安全問題定義(SecurityProblemDefinition)ST:安全目標(biāo)(SecurityTarget)TOE:評(píng)估對(duì)象(TargetofEvaluation)TSF:TOE安全功能(TOESecurityFunctionality)TSFI:TOE安全功能接口(TOESecurityFunctionalityInterface)5保護(hù)輪廓和安全目標(biāo)概述本章是對(duì)PP和ST的讀者、目的、開發(fā)過程和使用等方面的概述，以說明在使用GB/T18336—本標(biāo)準(zhǔn)適用于兩類讀者：a)IT專業(yè)人員：其具有一定安全知識(shí)，但并非信息安全評(píng)估方面的專家，且對(duì)GB/T18336—2015(所有部分)無過多了解；b)信息安全專家：其充分了解GB/T18336—2015(所有部分),并把開發(fā)PP和ST作為自己的工對(duì)于IT專業(yè)人員，本章將為其提供理解PP和ST的目的與結(jié)構(gòu)的信息，以及便于其閱讀和理解PP和ST的背景信息。下文將詳細(xì)解釋PP和ST各部分的具體內(nèi)容，并假定讀者具備GB/T18336—2015(所有部分)的知識(shí)。效且一致的方式來準(zhǔn)備PP和ST。如果讀者不是信息安全方面的專家，也可使用本標(biāo)準(zhǔn)來開發(fā)PP或ST。但使用者仍需查詢、閱讀并理解與其要求相似的已發(fā)布的PP或ST,同時(shí)也可考慮向有必備領(lǐng)域?qū)I(yè)知識(shí)和經(jīng)驗(yàn)的其他人尋求5.3保護(hù)輪廓和安全目標(biāo)的使用GB/T18336—2015(所有部分)的主要目的是用于評(píng)估IT產(chǎn)品的安全性。“IT產(chǎn)品”一詞并未在GB/T18336—2015(所有部分)中實(shí)際定義，但是它可用于理解為利用信息技術(shù)構(gòu)建的任何實(shí)體，包括由一個(gè)機(jī)構(gòu)使用的完整的IT系統(tǒng)，或者由某個(gè)產(chǎn)品制造商生產(chǎn)并銷售給許多不同或不相關(guān)客戶的IT產(chǎn)品可以多種方式在多種環(huán)境中使用，安全的概念將隨產(chǎn)品而變化。因此，由GB/T18336—2015(所有部分)產(chǎn)生的最終評(píng)估結(jié)果絕不是“此IT產(chǎn)品是安全的”,而是“此IT產(chǎn)品滿足這個(gè)安全規(guī)——在按照安全規(guī)范進(jìn)行產(chǎn)品評(píng)估時(shí)強(qiáng)制要求分析特定內(nèi)容；——允許對(duì)不同產(chǎn)品的安全規(guī)范進(jìn)行比較。GB/T18336—2015(所有部分)規(guī)定了兩種不同類型的安全規(guī)范：保護(hù)輪廓和安全3GB/T20283—2020程中發(fā)揮了不同作用。產(chǎn)品可以是一個(gè)小到應(yīng)用軟件或智能卡，大到操作系統(tǒng)或包含數(shù)百個(gè)不同組件——基于選擇的采購(gòu)過程：即客戶可從現(xiàn)有產(chǎn)品中選擇某個(gè)產(chǎn)品。采用這種方式的花費(fèi)相對(duì)低廉，——很難確定其需要何種類型的IT安全；——更難以確定一個(gè)聲稱有IT安全的給定產(chǎn)品是否是可用的，或有效地滿足其需求；為協(xié)助客戶解決上述困難，可使用GB/T18336—2015(所有部分)來評(píng)估產(chǎn)品，而保護(hù)輪廓與安全目標(biāo)將在此過程中起到重要作用。以下兩節(jié)將就評(píng)估在采購(gòu)過程中的作用進(jìn)行說明。IT產(chǎn)品不是孤立工作的，其可被用戶使用在一個(gè)已包含安全措施的運(yùn)行環(huán)境中，并假設(shè)在運(yùn)行環(huán)a)客戶應(yīng)以非正式的方式來確定其安全要求；b)客戶應(yīng)將這些非正式的安全要求轉(zhuǎn)換成適合于開發(fā)者使用的更正式的規(guī)范；c)開發(fā)者應(yīng)基于此規(guī)范開發(fā)產(chǎn)品。超出GB/T18336—2015(所有部分)的范圍，因此其不屬于本標(biāo)準(zhǔn)的范圍之內(nèi)。GB/T18336—2015(所有部分)假定客戶有能力確定其非正式的安全要求，否則，客戶最終購(gòu)買的產(chǎn)品可能無法符合真正的安全要求。隱含的要求考慮在內(nèi)；e)過于詳細(xì)：實(shí)際上已經(jīng)寫有實(shí)施舉措，但并沒有寫為什么如此實(shí)施。在后期要求有所改動(dòng)時(shí)，往往不能確定這些改動(dòng)應(yīng)如何實(shí)現(xiàn)；4GB/T20283—2020若將這類客戶要求提交給開發(fā)者，可能使開發(fā)者產(chǎn)生誤解而導(dǎo)致出現(xiàn)其他問題。而評(píng)估者對(duì)要求在整個(gè)基于規(guī)范的采購(gòu)過程中，重要的一步是要將客戶要求正式化，即基于GB/T18336—2015(所有部分)的安全要求，利用PP文檔予以正式化。PP文檔是以正式的、標(biāo)準(zhǔn)化的方式來定義客戶的安全要求。將PP作為規(guī)范使用部分)要求使用標(biāo)準(zhǔn)中明確定義的語言來描述這些要求。這種語言可確保PP具有如下特點(diǎn)：c)不拘于細(xì)節(jié)：該語言在某種程度上進(jìn)行了抽象。這和客戶要求緊密相關(guān)，客戶想知道做了什通過PP構(gòu)建產(chǎn)品客戶可通過一個(gè)PP給出其正式要求，并提交給相關(guān)開發(fā)者。開發(fā)者將此PP作為產(chǎn)品研發(fā)的起開發(fā)者不可以隨意提交一個(gè)ST來響應(yīng)客戶的PP,其ST應(yīng)符合PP,即開發(fā)者提供的產(chǎn)品應(yīng)涵蓋客戶的所有要求。ST相較PP有如下特點(diǎn)：與PP不兼容；ST指出其如何實(shí)現(xiàn)了客戶的要求。應(yīng)以ST描述的那樣運(yùn)行。a)開發(fā)者的ST遵從客戶的PP;b)開發(fā)者的產(chǎn)品遵從開發(fā)者的ST;c)開發(fā)者的產(chǎn)品符合客戶的PP并且滿足客戶的要求。客戶如果要求對(duì)這些陳述進(jìn)行獨(dú)立驗(yàn)證，其可以借助第三方(如評(píng)估機(jī)構(gòu))依據(jù)GB/T18336—5GB/T20283—20202015(所有部分)的安全評(píng)估來檢查這些符合性聲明。在這個(gè)過程中，評(píng)估機(jī)構(gòu)可通過PP、ST、產(chǎn)品和GB/T18336—2015(所有部分)來評(píng)估以下兩個(gè)聲明：a)ST遵從PP;b)產(chǎn)品遵從ST。a)客戶非正式的安全要求到PP的轉(zhuǎn)化過程。這個(gè)轉(zhuǎn)化過程不屬于GB/T18336—2015(所有部b)評(píng)估并不能“證明”合規(guī)性。GB/T18336—2015(所有部分)評(píng)估不提供一個(gè)絕對(duì)的保證來說明產(chǎn)品滿足PP,它只能基于PP或ST所指定的深度和廣度提供某種程度的保障。b)客戶應(yīng)根據(jù)此規(guī)范確定該產(chǎn)品是否是最合適其想購(gòu)買的產(chǎn)品。該規(guī)范如果是非正式的，那么它同中討論的非正式的客戶需求具有同樣的不足?；诖?，該規(guī)范同樣需要正式化，應(yīng)如中所討論的那樣使用ST。這里的ST與在中討論的ST相同，但是有一個(gè)明顯的區(qū)別，由于ST不基于客戶的PP,此ST不能聲稱符合PP。開發(fā)者因?yàn)椴恢揽蛻舻奶囟ㄐ枨?，將不得不先預(yù)估市場(chǎng)需要什么,然后撰寫ST,無法匹配任何客戶的具體要求?？蛻艨梢员容^一定數(shù)量產(chǎn)品的ST,并選擇一個(gè)最符合其要求的(可能也會(huì)考慮非安全性的要求，如價(jià)格)?？蛻粢朕k法找出自己的非正式的安全要求(見),并與提供給自己的各個(gè)ST進(jìn)行比正如5.3.2所述，生成非正式的客戶安全要求的過程不在GB/T18336—2015(所有部分)和本標(biāo)準(zhǔn)的范圍之內(nèi)。要求與ST之間的比較也不在GB/T18336—2015(所有部分)的范圍之內(nèi)。采購(gòu)過程即可結(jié)束。開發(fā)者會(huì)提供證書來證明獨(dú)立的第三方(評(píng)估機(jī)構(gòu))已驗(yàn)證了ST,并依據(jù)GB/T18336—2015(所a)證明客戶非正式的安全要求與ST之間是等價(jià)的。這個(gè)過程不屬于GB/T18336—20156GB/T20283—2020(所有部分)的范圍，如果證明錯(cuò)誤，ST將不符合客戶的要求，產(chǎn)品同樣也有可能不符合客戶要求。b)評(píng)估并不“證明”合規(guī)性。GB/T18336—2015(所有部分)評(píng)估不提供一個(gè)絕對(duì)的保證來說明產(chǎn)品滿足ST,它只能基于ST所指定的深度和廣度提供某種程度的保障。5.3.4PP的其他用途保護(hù)輪廓也還有其他的用途。例如，標(biāo)準(zhǔn)制定機(jī)構(gòu)或供應(yīng)商協(xié)會(huì)可能為特定類型的應(yīng)用指定一個(gè)PP作為最佳實(shí)踐的最低安全標(biāo)準(zhǔn)，政府和行業(yè)協(xié)會(huì)同意并授權(quán)使用。如果存在這種情況，客戶和開發(fā)者可能都需要遵守這些PP,也需提供附加的安全功能，以滿足自身的特定需求。組織機(jī)構(gòu)指定或批準(zhǔn)PP,要確保此類PP是最低程度的(僅要求絕對(duì)必要的)和切合實(shí)際的(不能要求開發(fā)者完成無法實(shí)現(xiàn)的功能或保障)。PP也可表達(dá)對(duì)某種特定類型安全產(chǎn)品的需求，即使其在發(fā)布時(shí)還未存在這樣的產(chǎn)品。這種情況者是PP的發(fā)起者可能已經(jīng)找到其他方式來滿足他們的要求，而不想再購(gòu)買這樣的產(chǎn)品。在GB/T18336.1—2015的附錄A和附錄B以及前文所述的內(nèi)容中，有關(guān)PP和ST要求的陳述，a)定義安全問題；b)確定與安全問題對(duì)應(yīng)的安全目的；c)定義滿足TOE安全目的安全要求；d)選取滿足安全要求的安全功能。不排除可能需要重復(fù)表述的情形。例如，定義安全要求時(shí)可能會(huì)突出表述所要滿足的安全目的或是在構(gòu)建基本原理時(shí)，可能出現(xiàn)更多的重復(fù)。在基本原理中的所有問題都被消除后，才能假定PP或a)識(shí)別出新的威脅；b)改變組織安全策略；c)由于費(fèi)用和時(shí)間上的限制，希望由TOE擔(dān)負(fù)或由TOE環(huán)境擔(dān)負(fù)的責(zé)任劃分發(fā)生變化；d)對(duì)于預(yù)期攻擊潛力的改變將影響TOE的安全問題定義。如果TOE是已開發(fā)好的產(chǎn)品，PP或ST作者可能已經(jīng)有TOE安全功能的明確思考，那么安全關(guān)注點(diǎn)和安全目的的定義將不可避免地受到TOE安全解決方案的影響，此時(shí)PP與ST的開發(fā)過程可能本節(jié)內(nèi)容可不提供給那些已擁有GB/T18336—2015(所有部分)知識(shí)的專家使用，其專門提供給那些對(duì)PP和ST知之甚少的讀者，這些讀者需要閱讀PP或ST以了解相關(guān)產(chǎn)品的安全能力。本節(jié)的目的是強(qiáng)調(diào)那些在評(píng)估范圍內(nèi)可能被掩蓋的潛在疏漏或不足。7GB/T20283—2020詳細(xì)了解PP和ST的內(nèi)容，可閱讀GB/T18336.1—2015附錄A和附錄B,其提供了有關(guān)安全目標(biāo)和保護(hù)輪廓的詳細(xì)信息。同時(shí)，也可以查閱已經(jīng)公布且普遍使用的其他PP和ST。PP或ST不能由一組簡(jiǎn)單的屬性來概況，其描述了一系列復(fù)雜的安全屬性。如果不仔細(xì)閱讀PP或ST,在購(gòu)買或使用該產(chǎn)品時(shí)，可能導(dǎo)致意外情況的發(fā)生。如果對(duì)GB/T18336—2015(所有部分)沒有深入了解，也幾乎很難理解PP或ST里的某些部分。PP或ST中較易理解的部分章節(jié)包含了關(guān)鍵信息，可用于理解PP要求的安全屬性或ST所描述的產(chǎn)品。相關(guān)且易讀的章節(jié)包括：c)運(yùn)行環(huán)境下的安全目的；d)符合性聲明。5.5.2閱讀TOE概述在閱讀PP或ST時(shí)，一般首先要閱讀TOE概述，因?yàn)椤癟OE概述的目的是幫助TOE的潛在消費(fèi)者，他們通過查找已評(píng)估的TOE或產(chǎn)品列表找到可能滿足他們安全需求，且是他們的硬件、軟件和固件支持的TOE”。(參見GB/T18336.1—2015的A.4.2)。TOE概述包括三個(gè)重要部分：a)TOE的用途及主要安全特性；c)需要的非TOE的硬件/軟件/固件。可在GB/T18336.1—2015的A.4.2找到一些簡(jiǎn)單例子。TOE用途及主要安全特性的描述是為了讓公眾對(duì)TOE在安全方面的能力以及在安全環(huán)境中的使用有一個(gè)大致的了解。TOE類型是描述TOE屬于IT產(chǎn)品的哪個(gè)通用類別(如防火墻、智能卡、局域網(wǎng)等)。GB/T18336—2015(所有部分)要求TOE概述應(yīng)列出任何合理的預(yù)期，讀者可從TOE類型中找到不被TOE支持的預(yù)期。具體如下：a)如果TOE類型使人認(rèn)為TOE具有某種安全功能，但它實(shí)際并不具備此功能，則TOE概述中應(yīng)列出這個(gè)缺失的功能；b)如果TOE類型使人認(rèn)為TOE可以在某環(huán)境中使用，但實(shí)際并不能在這樣的環(huán)境中使用，則TOE概述中應(yīng)列出這一點(diǎn)。這些警告信息僅在PP或ST的這個(gè)部分出現(xiàn)，PP或ST的作者后續(xù)可用備注的方式在適當(dāng)位置使用此TOE。TOE(特別是軟件類型的TOE)有時(shí)不得不依靠硬件、固件和其他軟件才能運(yùn)行，因此TOE概述應(yīng)要標(biāo)識(shí)出非TOE的硬件/軟件/固件。PP或ST并不要求應(yīng)提供一個(gè)完整的、充分詳細(xì)的有關(guān)所有硬件/軟件/固件的標(biāo)識(shí)信息，但標(biāo)識(shí)信息應(yīng)是完整的且充分詳細(xì)的，以便能確定TOE需要使用的主要外部硬件/軟件/固件。應(yīng)仔細(xì)評(píng)估是否有TOE所依賴的非標(biāo)準(zhǔn)組件，確認(rèn)這些組件是否適合現(xiàn)有的基礎(chǔ)設(shè)施、預(yù)算或公8GB/T20283—20205.5.3閱讀TOE描述某知名產(chǎn)品已被評(píng)估，但這并不意味著該產(chǎn)品所有的安全特性(甚至是大多數(shù)安全特性)都已被評(píng)估?？赡苤挥心承┌踩δ芴匦员豢紤]，其余的都未作為被評(píng)估的安全功能的一部分。GB/T18336.1—2015中A.4.1描述禁止誤導(dǎo)性的TOE標(biāo)識(shí)，但開發(fā)者總是僅僅使用產(chǎn)品名稱予以應(yīng)付。需要檢查被評(píng)估的功能是否滿足需求。如果想要使用的安全功能被排除在外，則應(yīng)對(duì)此加以留意。TOE描述最重要的作用之一就是讓ST讀者能發(fā)現(xiàn)這一點(diǎn)。為此TOE描述詳細(xì)論述了TOE的物理和邏輯范圍。軟件及指南部分的一個(gè)列表。該列表應(yīng)在一定程度上進(jìn)行詳細(xì)描述，使讀者對(duì)這些部分有一般性理解”(參見GB/T18336.1—2015中A.4.3)。的安全特征，使讀者獲得對(duì)這些安全特征的一般性理解。該描述應(yīng)比TOE概述中描述的重要安全特物理范圍介紹了TOE各個(gè)部分，而邏輯范圍則說明TOE做什么。應(yīng)仔細(xì)檢查TOE概述以確定需要的所有安全相關(guān)的功能是否都進(jìn)行了評(píng)估，否則，不能從評(píng)估中獲得操作該功能的任何保障。例如，如果客戶希望產(chǎn)品具有遠(yuǎn)程管理功能，但在邏輯范圍內(nèi)并未提及遠(yuǎn)程管理，那么遠(yuǎn)程管理很可能未被評(píng)估，客戶如想按評(píng)估配置使用該產(chǎn)品，最好不要打開遠(yuǎn)程管理功能。運(yùn)行環(huán)境是指通常放置TOE的位置。為了使TOE正常工作，運(yùn)行環(huán)境應(yīng)滿足一定的約束條件。例如，如果某TOE是一個(gè)高可用性的服務(wù)器，那么此TOE需要保護(hù)以防被篡改。這種保護(hù)可以由這些類似的有關(guān)運(yùn)行環(huán)境的要求會(huì)在PP或ST的運(yùn)行環(huán)境安全目的一節(jié)中描述。這些目的的描述應(yīng)由除TOE之外的事情來實(shí)現(xiàn)，以便TOE滿足其安全要求?？稍贕B/T18336.1—2015中A.7.2.2找到更多的運(yùn)行環(huán)境安全目的的實(shí)例。這些都不是僅供參考的指導(dǎo)，而是讓TOE運(yùn)轉(zhuǎn)的必要條件。這些目的應(yīng)充分滿足，并由某個(gè)人或某個(gè)組織處理。如果這些目的中的任何一項(xiàng)沒有被滿足，TOE都有可能無法安全地正常工作。因此，確認(rèn)是否能夠?qū)崿F(xiàn)這些目的是至關(guān)重要的，如果其中有一項(xiàng)無法實(shí)現(xiàn)，那這個(gè)TOE可能就不適合客戶使用。符合性聲明通常在PP或ST的顯著位置，一般是在開頭部分。它通常包括如下保護(hù)輪廓/安全目標(biāo)聲明的符合性如下：——GB/T18336。聲明所使用的GB/T18336版本。 第2部分?jǐn)U展或第2部分。這一部分定義了安全功能要求的結(jié)構(gòu)，從消費(fèi)者的角度看，兩種都是可以接受的。——第3部分?jǐn)U展或第3部分。這一部分定義了安全保障要求的結(jié)構(gòu)。如果是“第3部擴(kuò)展”,這意味著PP和ST的開發(fā)者設(shè)計(jì)了他們自己的質(zhì)量保障測(cè)試，從消費(fèi)者的角度看，應(yīng)詢問為什9GB/T20283—2020——TOE聲明符合性的包列表。通常只有一個(gè)這樣的包，它被命名為EAL1,EAL2,...,EAL7。這些EAL內(nèi)容將在5.5.7中進(jìn)一步討論。ST可能聲明符合的PP(但不強(qiáng)制),PP也可以聲明符合其他的PP。GB/T18336—2015(所有部分)不允許任何形式的局部符合，如果有引用的PP,則PP或ST應(yīng)完全符合所引用的PP。PP符合性意味著PP或ST(如果ST是關(guān)于被評(píng)估的產(chǎn)品，那么該產(chǎn)品也一樣)滿足這一PP的所合性”。已發(fā)布的PP通常要求可論證符合性。這意味著ST聲稱符合PP,那ST應(yīng)為PP中所描述的通用安全問題提出解決方案，但可以是與PP描述等同或更嚴(yán)格的任何方式?！暗韧鼑?yán)格”在GB/T18336—2015(所有部分)中有所定義，但原則上它意味著，PP和ST中可使用完全不同的陳述。嚴(yán)格符合性只用在不允許PP和ST存在任何差異的情況下。ST仍然可以引入額外的限制。如果5.5.7EAL及保障問題TOE概述和TOE描述可表明TOE能夠做什么(例如，由TOE提供的功能不能概括IT產(chǎn)品的所有功能)。一般功能相同的產(chǎn)品可通過不同的設(shè)置來使用。例如，同一個(gè)智能卡——存有少量數(shù)額的車票；——信用額度為1萬元的信用卡；——絕密設(shè)施的訪問控制措施。第一種情況。如果黑客設(shè)法破解了公共汽車的車票，其也許能夠免費(fèi)乘搭公共汽車直到卡的參數(shù)變化。公共汽車公司的潛在收入損失并不顯著(前提是其他卡沒有被以同樣的方式所攻擊)。嚴(yán)重。這就涉及產(chǎn)品的保障問題。GB/T18336—2015(所有部分)評(píng)估通過檢查產(chǎn)品開發(fā)的諸多方面來GB/T18336—2015(所有部分)將保障分為27個(gè)類別(也稱為保障族)。在每類中，規(guī)定了不同級(jí)——0:不知道開發(fā)者是否已對(duì)產(chǎn)品進(jìn)行了測(cè)試；——1:開發(fā)者針對(duì)產(chǎn)品的某些接口進(jìn)行了一些測(cè)試；——2:開發(fā)者針對(duì)產(chǎn)品的所有接口進(jìn)行了一些測(cè)試；——3:開發(fā)者針對(duì)產(chǎn)品的所有接口進(jìn)行了大量測(cè)試。GB/T18336—2015(所有部分)設(shè)有7個(gè)預(yù)定義的級(jí)別，稱為評(píng)估保障級(jí)(EAL)。從EAL1到每個(gè)EAL可被看作是一個(gè)27個(gè)數(shù)字的集合，每一個(gè)對(duì)應(yīng)一個(gè)子類別。例如，EAL1分配等級(jí)1給GB/T20283—202013子類別，分配等級(jí)0給其他14個(gè)子類別。而EAL2分配等級(jí)2給7個(gè)子類別，分配等級(jí)1給12個(gè)子類別，分配等級(jí)0給其他8個(gè)子類別。EAL是嚴(yán)格的等級(jí)體系，所以如果EALn分配了某一等級(jí)給某個(gè)子類別，那么EALn+1將分配相同或更高的等級(jí)給該子類別。嚴(yán)格來講，較高保障級(jí)也意味著成本的提高。在前面介紹的測(cè)試范圍中，為0的等級(jí)將意味著沒有成本，但對(duì)些操作。更高的保障幾乎總是意味著更多的成本。當(dāng)然，更高的保障也降低了功能出現(xiàn)故障或含有可被利用漏洞的風(fēng)險(xiǎn)。針對(duì)EAL及此EAL的保障特性，在每個(gè)EAL列表中都配有描述，可見GB/T18336.3—2015中第7章的描述。本節(jié)主要是為了表述以下信息：a)可通過閱讀ST中的一些章節(jié)合理地來理解ST;曾有消費(fèi)者表示需要一個(gè)EAL4級(jí)的防火墻，但即使通過GB/T18336—2015(所有部分)認(rèn)證的例如，假設(shè)消費(fèi)者需要一個(gè)提供包路由和HTTP/FTP代理服務(wù)功能的防火墻。某通過EAL4評(píng)估的路由器的TOE類型包含了防火墻，而作為路由器，其僅提供了包路由控制功能，因而不適合作為防火墻使用。更有甚者，如果一個(gè)通過評(píng)估的防火墻可提供代理服務(wù)，但其邏輯范圍又僅限于包路由，上述關(guān)于PP或ST的描述是PP和ST最基本的部分，其有助于非專業(yè)人員閱讀。如果想了解更多有關(guān)產(chǎn)品的信息，可嘗試閱讀TOE概要規(guī)范，其更詳細(xì)地介紹了TOE是如何實(shí)現(xiàn)的。TOE且可被用戶理解的TOE概要規(guī)范為目標(biāo)。6保護(hù)輪廓/安全目標(biāo)引言不需要給出額外的指導(dǎo)。PP引言包括以下要素：——PP標(biāo)識(shí)；——TOE概述。ST引言包含以下要素：——ST和TOE標(biāo)識(shí)；——TOE概述；——TOE描述。非顯而易見的部分是TOE概述中的“TOE的使用和主要安全特性”。TOE的使用是由PP或STGB/T20283—2020中的安全問題定義部分衍生來的，而TOE主要安全特性最好通過概括TOE的安全目的來描述，這可確保引言與PP或ST的更詳細(xì)部分保持一致。7符合性聲明本章針對(duì)PP或ST中的符合性聲明提供指導(dǎo)。ST符合性聲明的描述參見GB/T18336.1—2015中A.5,PP符合性聲明的描述參見GB/T18336.1—2015中B.5。PP或ST的符合性聲明描述了PP或ST應(yīng)如何符合于：b)保護(hù)輪廓。此處列出PP或ST聲稱符合性的任何保護(hù)輪廓。一個(gè)簡(jiǎn)單列表足以，此處不需要額外的信息。c)包。此處列出由PP或ST中引用的任何包。聲稱與一個(gè)在GB/T18336.3—2015中定義的保障包(EAL)具有符合性是很正常的，可能也帶有增強(qiáng)要求。一個(gè)簡(jiǎn)單列表足以，此處不需要額外的信息。這種符合性也適用于基于該P(yáng)P或ST的任何TOE。如果已指定一個(gè)PP,應(yīng)定義其他PP和ST如何符合此PP,這有如下兩種選擇：a)嚴(yán)格的符合性。從概念上講，這意味著PP/ST應(yīng)包含這個(gè)PP上的一切。如果為正準(zhǔn)備購(gòu)買或開發(fā)的產(chǎn)品編寫一個(gè)準(zhǔn)確、完整規(guī)范的PP,應(yīng)要求嚴(yán)格的符合性。如果要指定一個(gè)PP用于任何其他目的，用可論證的符合性。如果聲稱與某功能包或其他的PP符合，那么安全問題定義、安全目的和安全要求，應(yīng)與包或PP兼容。未有TOE同時(shí)實(shí)現(xiàn)所有的要求。8安全問題定義本章針對(duì)PP或ST中的SPD提供指導(dǎo)。GB/T18336.1—2015中A.6和B.6分別描述了PP和ST的安全問題定義。安全問題定義的目的是以一種正式的方式明確安全問題的本質(zhì)和范圍，如圖1所示。安全問題定義是PP或ST最重要的部分，但并非所有保護(hù)輪廓和安全目標(biāo)都含有安全問題定義(詳見第14章)。以下引自GB/T18336.1—2015:A.6.1)。GB/T20283—2020環(huán)境假設(shè)環(huán)境假設(shè)威脅分析安全問題如果定義的問題是錯(cuò)誤的或含糊的，那么PP和ST的余下部分的內(nèi)容也都將是錯(cuò)誤的。更為糟糕來說，被作為采購(gòu)規(guī)范或采購(gòu)選擇參考標(biāo)準(zhǔn)的PP或者ST,明確好其安全問題定義是極為重要的。PP和ST的后續(xù)章節(jié)將結(jié)合其運(yùn)行環(huán)境闡述TOE是如何處理這些問題的，因此安全問題定義清晰簡(jiǎn)潔一致是很重要的。GB/T18336—2015(所有部分)未假設(shè)或授權(quán)安全問題定義的任何過程或方法。本章詳細(xì)說明了a)識(shí)別和確認(rèn)非正式的安全要求；c)描述適用的策略；d)描述適用的假設(shè)；e)完成和檢查完整的SPD。不論采用何種方法，本標(biāo)準(zhǔn)假設(shè)安全問題定義代表了對(duì)現(xiàn)有的非正式安全要求的規(guī)范化描述。在寫到文檔中。因此，第一步是要識(shí)別和確認(rèn)非正式的要求，盡管其不會(huì)在PP或ST中呈現(xiàn)。非正式的要求可能是顯而易見且明確的，但在某些情況下，開發(fā)SPD的很大一部分工作可能僅僅是識(shí)別非正式有兩方面并沒有被GB/T18336—2015(所有部分)所要求，但在實(shí)踐中發(fā)現(xiàn)其可以節(jié)省整體時(shí)間，a)描述不用考慮的威脅；b)形成一個(gè)關(guān)于SPD與非正式安全要求之間的基本原理。如果SPD不闡述基本原理，則會(huì)存在一定風(fēng)險(xiǎn)，導(dǎo)致部分非正式的要求可能會(huì)在制定SPD的過程安全功能的詳細(xì)信息。按照這個(gè)原則，本章將集中于安全問題方面。對(duì)于TOE如何滿足安全目的的討論將留給PP或ST的后續(xù)部分。若一個(gè)特定解決方案的任務(wù)是作為非正式安全要求的一部分，該解決方案將被表述為SPD中的一部分，以保障它被描述并且能夠合理約束后續(xù)設(shè)計(jì)決策?？傆幸恍┯嘘P(guān)安全問題的相關(guān)事情和其預(yù)期的解決方案在安全問題定義開始之前就已知曉。這些要求和限制形成非正式的安全要求。因此，識(shí)別和描述非正式的安全要求是安全問題定義的第一步。GB/T20283—2020識(shí)別非正式的安全要求有多種方式。有可能存在本標(biāo)準(zhǔn)中描述的通用方法不能識(shí)別的情況，這就需要仔細(xì)全面地考慮安全要求。本節(jié)建議的潛在信息來源將輔助安全問題的識(shí)別。如果安全功能是一個(gè)用戶明確需求的一部分，安全風(fēng)險(xiǎn)評(píng)估需覆蓋整個(gè)系統(tǒng)，包括采購(gòu)的COTS產(chǎn)品，以識(shí)別出需要靠IT安全控制來減少的風(fēng)如果缺少這三個(gè)要素的任何一個(gè)，則不會(huì)產(chǎn)生風(fēng)險(xiǎn)。這種形式的模型假定由GB/T18336—2015(所有部分)給出，如果實(shí)際的風(fēng)險(xiǎn)評(píng)估使用了相互矛盾的風(fēng)險(xiǎn)模型，在SPD中映射出的風(fēng)險(xiǎn)評(píng)估結(jié)果就會(huì)存在問題?；虼_定資產(chǎn)的價(jià)值時(shí)不能只從一個(gè)角度出發(fā)。循某些相似機(jī)構(gòu)的業(yè)務(wù)特點(diǎn)或相關(guān)邏輯要求。即使一個(gè)策略以法律或合同為邏輯基礎(chǔ)，其規(guī)定的安全控制措施可能并不適用于特定的系統(tǒng)或組安全要求可能源于一種期望，它試圖證明某組織或者COTS產(chǎn)品可以實(shí)行的一些IT安全控制。這類安全問題非常適合GB/T18336—2015(所有部分)評(píng)估，因?yàn)?，評(píng)估機(jī)構(gòu)在評(píng)估完成后會(huì)頒發(fā)官方證書，并針對(duì)安全控制提供獨(dú)立的驗(yàn)證。已發(fā)布的PP可用于標(biāo)識(shí)適合的安全控制。組織可以實(shí)施這樣的策略，即IT產(chǎn)品應(yīng)通過GB/T18336—2015(所有部分)評(píng)估。GB/T20283—2020安全風(fēng)險(xiǎn)評(píng)估的結(jié)果是有關(guān)安全問題定義的最佳信息來源。識(shí)別可接受的和不可接受的風(fēng)險(xiǎn)可以使安全問題在設(shè)計(jì)階段得到修正。如果以消除特定風(fēng)險(xiǎn)所需要的安全控制是難以實(shí)現(xiàn)或難以評(píng)估的，仍然可以通過用多種方法，使用多種安全控制，來應(yīng)對(duì)不同的潛在風(fēng)險(xiǎn)，最終達(dá)到可接受的總體風(fēng)險(xiǎn)水平。慎使用其結(jié)果。相關(guān)信息可能不僅與待開發(fā)的IT產(chǎn)品相關(guān)，而且與其運(yùn)行環(huán)境相關(guān)。該運(yùn)行環(huán)境決定了對(duì)人員，程序和物理控制的可依賴水平。公共空間與密閉服務(wù)器機(jī)房有非常不同的安全需求。人員、程序和物但它們?nèi)匀灰诎踩h(huán)境中加以描述。事實(shí)上，確定安全問題定義的任何方面都應(yīng)描述為非正式安全要求的一部分。a)該產(chǎn)品應(yīng)應(yīng)對(duì)潛在攻擊；b)該產(chǎn)品應(yīng)具備的安全屬性或功能；c)該產(chǎn)品不需要具備的安全屬性或功能。這類區(qū)分是很重要的，因?yàn)樗鼈冊(cè)赑P編制的后續(xù)步驟處理中要使用不同的方法。潛在的攻擊應(yīng)被視為對(duì)TOE的威脅并予以應(yīng)對(duì)。產(chǎn)品應(yīng)具備應(yīng)對(duì)該威脅的安全屬性和功能，包括規(guī)定的安全解決從不同來源獲得的非正式要求的不同部分可能會(huì)重復(fù)，甚至可能是矛盾的。這些有矛盾的信息需8.3識(shí)別和確定威脅潛在威脅。GB/T18336—2015(所有部分)并沒有指定任何用來識(shí)別威脅的特別方法。威脅分析和識(shí)別比定義組織安全策略和假設(shè)更加復(fù)雜和困難。但是如果非正式的要求主要來自組織安全策略或強(qiáng)制性要求(見8.2),則可能更優(yōu)先定義安全問題中的策略和假設(shè)(見8.4和8.5),然后再如本節(jié)所述方法進(jìn)行威脅分析，最后重新審視并完成策略和假設(shè)的定義。如果策略和假設(shè)可以很容易a)決定要使用的分析方法；b)識(shí)別該方法所需的參與者；c)應(yīng)用方法。識(shí)別威脅的最佳方法，取決于非正式的安全要求是如何得到的。如果要求是根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果GB/T20283—2020識(shí)別相關(guān)威脅。b)威脅數(shù)據(jù)庫搜索；威脅樹分析是一個(gè)針對(duì)問題分解的分析技術(shù)，廣泛應(yīng)用于風(fēng)險(xiǎn)管理與可靠性工程領(lǐng)域。將經(jīng)過深作為PP或ST中規(guī)定的實(shí)際威脅。威脅樹還提供了一個(gè)威脅選擇原理，并保障沒有相關(guān)威脅被忽略。數(shù)據(jù)庫搜索是基于一個(gè)或多個(gè)預(yù)定義的通用威脅數(shù)據(jù)庫，查看哪些條目與識(shí)別出的產(chǎn)品攻擊相匹配。數(shù)據(jù)庫搜索的優(yōu)點(diǎn)是可以考慮到各種各樣的威脅，這些威脅以一致的方式進(jìn)行表述和規(guī)定。數(shù)據(jù)解為有多種類型的抽象資產(chǎn)，因?yàn)樵贑OTS產(chǎn)品的案例中，要保護(hù)的實(shí)際資產(chǎn)對(duì)PP或ST編制者來說是未知的。GB/T18336—2015(所有部分)的威脅主體定義為“可對(duì)資產(chǎn)產(chǎn)生負(fù)面作用的實(shí)體”。當(dāng)描述PPb)授權(quán)用戶；c)特權(quán)用戶；e)系統(tǒng)的所有者和開發(fā)者。攻擊者是指未經(jīng)授權(quán)的，想要訪問受IT產(chǎn)品所保護(hù)的資產(chǎn)的人。這其中也包括經(jīng)過授權(quán)卻故意隱瞞自己身份的用戶。對(duì)IT系統(tǒng)所有者來說，攻擊者是不可知的，除非其攻擊行為被檢測(cè)到，且能鏈接到一個(gè)確定身份的人。特權(quán)用戶是指已授權(quán)的，可用與安全策略相反的方式來使用IT產(chǎn)品的人，并且可以在資產(chǎn)所有者沒有明確許可的條件下訪問資產(chǎn)。大多數(shù)系統(tǒng)管理員應(yīng)是特權(quán)用戶。當(dāng)然，還有其他類型的特權(quán)用戶，如維修硬件和軟件的工程師。雖然IT產(chǎn)品無法對(duì)特權(quán)用戶的行為所造成的損害進(jìn)行防護(hù)，但特權(quán)用戶要對(duì)自己的行為負(fù)責(zé)。管理員是指當(dāng)IT產(chǎn)品安裝在運(yùn)行環(huán)境上之后，那些負(fù)責(zé)其正確操作的人。管理員負(fù)責(zé)建立控制GB/T20283—2020系統(tǒng)的所有者和開發(fā)者是指那些負(fù)責(zé)規(guī)范、設(shè)計(jì)、實(shí)施一個(gè)系統(tǒng)或COTS產(chǎn)品的人。這些人雖然資產(chǎn)對(duì)威脅分析來說非常重要，需要得到正確地識(shí)別。大多數(shù)威脅分析方法可以處理不精確或重疊的敵對(duì)行為，但需可辨識(shí)并清楚地描述資產(chǎn)。本節(jié)提供一個(gè)詳細(xì)方法來確定需要由一個(gè)特定的IT產(chǎn)品保護(hù)的資產(chǎn)或資產(chǎn)類型。針對(duì)一個(gè)系統(tǒng)，作為系統(tǒng)組成部分的受保護(hù)資產(chǎn)往往會(huì)被準(zhǔn)確地識(shí)別。針對(duì)一個(gè)COTS產(chǎn)品，產(chǎn)與IT系統(tǒng)相關(guān)的資產(chǎn)通常分為三類：a)信息資產(chǎn)；b)過程資產(chǎn)；c)物理資產(chǎn)。信息資產(chǎn)表現(xiàn)為對(duì)組織有價(jià)值的數(shù)據(jù)。信息資產(chǎn)類型示例如下：——一般數(shù)據(jù)；——系統(tǒng)數(shù)據(jù)；—-—客戶數(shù)據(jù)。專業(yè)數(shù)據(jù)庫表現(xiàn)為對(duì)一些用戶有價(jià)值的信息。例如人事數(shù)據(jù)庫(只對(duì)人力資源部門有價(jià)值)或客戶數(shù)據(jù)庫(只對(duì)部門的訂單處理、銷售的人有價(jià)值)?？蛻魯?shù)據(jù)可以指那些不歸系統(tǒng)所有者占有的數(shù)據(jù)或一個(gè)特殊的合法數(shù)據(jù)。息資產(chǎn)表現(xiàn)出來。將系統(tǒng)數(shù)據(jù)與其他數(shù)據(jù)區(qū)分開來是必要的。如果系統(tǒng)數(shù)據(jù)被修改或刪除，TSF可能失效或不能正況下資產(chǎn)可分為兩類，一個(gè)表現(xiàn)為TSF數(shù)據(jù)，另一個(gè)表現(xiàn)為受產(chǎn)品保護(hù)的所有其他數(shù)據(jù)，稱為用戶數(shù)據(jù)。數(shù)據(jù)加以區(qū)別。TSF數(shù)據(jù)類型示例如下：-—TSF配置數(shù)據(jù)；——鑒別信息數(shù)據(jù)庫；--—審計(jì)記錄。關(guān)數(shù)據(jù)在未被應(yīng)用程序處理的情況下幾乎毫無價(jià)值。過程資產(chǎn)類型示例如下：——財(cái)務(wù)；——通信；——后勤；GB/T20283—2020——制造；——辦公自動(dòng)化。財(cái)務(wù)應(yīng)用可能包括工資、投資管理或賬戶管理。通信系統(tǒng)包括電子郵件或網(wǎng)絡(luò)信息處理。后勤系統(tǒng)可能包括訂單處理、倉庫控制和資源調(diào)度。制造應(yīng)用可能包括實(shí)時(shí)過程控制。辦公自動(dòng)化可能覆蓋結(jié)構(gòu)化文本處理。物理資產(chǎn)表現(xiàn)為實(shí)際的信息處理設(shè)備，用于支持信息——關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施；——便攜式電腦；——數(shù)據(jù)中心。物理保護(hù)或被排除在外，或由運(yùn)行環(huán)境來提供，并且通過假設(shè)來處理。物理資產(chǎn)一般不會(huì)出現(xiàn)在理資產(chǎn)可能要在PP或ST中體現(xiàn)。不是要識(shí)別出大量的資產(chǎn)或資產(chǎn)類型，如果兩種資產(chǎn)或資產(chǎn)類型有相同攻擊和攻擊后果的潛在可能性，應(yīng)將其組合成一個(gè)復(fù)合資產(chǎn)類型。大多數(shù)TOE只會(huì)保護(hù)兩種類型的資產(chǎn)，即TSF數(shù)據(jù)和用戶數(shù)據(jù)。GB/T18336—2015(所有部分)沒有提供任何關(guān)于如何描述敵對(duì)行為方面的指導(dǎo)。至于威脅主體，最好的建議是列舉出盡可能簡(jiǎn)單的一系列行為。一個(gè)簡(jiǎn)單且廣泛的敵對(duì)行為集如下：——不適當(dāng)?shù)脑L問；——訪問權(quán)的不當(dāng)傳遞；——拒絕合法訪問；別處理。作為非正式安全要求的一部分，許多類型的威脅可能不用考慮，這或是因?yàn)槠湟驯慌懦贗T產(chǎn)品在COTS產(chǎn)品中，應(yīng)用上面的威脅排除方法是很普通的事情。例如，假設(shè)買方希望購(gòu)買一個(gè)專業(yè)毒功能。容忍威脅通常是在系統(tǒng)環(huán)境中發(fā)現(xiàn)的。這要求對(duì)資產(chǎn)價(jià)值進(jìn)行評(píng)估，而COTS產(chǎn)品制造商不會(huì)去做這些事情。GB/T20283—2020在許多IT產(chǎn)品中，事先就已決定了要包括安全功能，而不是通過實(shí)際威脅的獨(dú)立分析導(dǎo)出這些安還會(huì)使產(chǎn)品包括用戶標(biāo)識(shí)與鑒別功能。威脅的相關(guān)信息通常在IT產(chǎn)品應(yīng)具備的屬性列表中顯而易見。如果不是，它需要被證實(shí)，然后添威脅表明了IT產(chǎn)品可能被攻擊的可能途徑。因此，針對(duì)威脅描述的措辭最好方法是使用動(dòng)詞，如如果威脅的主體、資產(chǎn)和敵對(duì)行為是相似的，那么威脅可以這主要表現(xiàn)在威脅主體方面，大多數(shù)類型的威脅通常與該類型的主體相關(guān)聯(lián)。有些專門針對(duì)管理員的威脅類型可能因此而無需考慮。其他類基本的抽象機(jī)未能執(zhí)行其相關(guān)的安全模型。威脅分析有可能沒有識(shí)別出任何適用于TOE的威脅，這在GB/T18336—2015(所有部分)評(píng)估中安全問題定義也應(yīng)包含一系列TOE應(yīng)遵守的OSP。對(duì)比威脅，策略一般更容易識(shí)別和描述。組織安全策略是IT產(chǎn)品應(yīng)做的事情的聲明，這與所面臨的威脅或其他情況無關(guān)，一個(gè)清晰且適當(dāng)?shù)牟呗钥蓞⒖既缦玛愂觯篜.IDAUTH管理員在訪問任何TOE功能或數(shù)據(jù)之前要驗(yàn)證自己的身份。像威脅描述一樣，用一個(gè)策略名來開始策略的描述。策略的大多數(shù)的PP和ST的作者將策略以“P”開頭命名。在GB/T18336—2015(所有部分),策略通常被稱為OSP。本標(biāo)準(zhǔn)通常采用簡(jiǎn)單的術(shù)語“策略”來多數(shù)適用的策略應(yīng)在非正式安全要求的識(shí)別過程或在威脅分析過程中已被確定。然而，最終應(yīng)做GB/T20283—2020一個(gè)檢查用來識(shí)別任何與安全問題相關(guān)的策略。策略用于規(guī)定如下內(nèi)容：-——要在TOE中納入強(qiáng)制性的安全功能；—-——將用于實(shí)現(xiàn)特定安全功能(這隱含T策略也可以被用來代替威脅，如下列情況：——無法確定某個(gè)特定的威脅是否已存在，但策略已決定進(jìn)行保護(hù)以應(yīng)對(duì)這種威脅；——策略已決定如何應(yīng)對(duì)特定的威脅。例如，規(guī)定某種控制措施來防止攻擊，或規(guī)定在發(fā)生攻擊時(shí)該如何處理；——策略已決定采用特殊方法來應(yīng)對(duì)一些相關(guān)威脅。在最后的檢查過程中識(shí)別出的策略可能需要對(duì)前期的安全問題定義活動(dòng)進(jìn)行修正，例如，刪除已被新策略覆蓋的威脅。策略陳述有時(shí)也會(huì)出現(xiàn)誤用情況，其所陳述的要求實(shí)際上不能由TOE來完成，而是應(yīng)由TOE的運(yùn)行環(huán)境來執(zhí)行。如果一個(gè)要求不能被TOE所實(shí)現(xiàn)，正確做法是將其作為涉及運(yùn)行環(huán)境的假設(shè)。如果策略既不能由TOE來執(zhí)行，也不能由運(yùn)行環(huán)境來執(zhí)行，那這樣的策略就是毫無意義的。在識(shí)別安全問題、解決問題的過程中，所提出的TOE邊界可能需要更改，以實(shí)現(xiàn)TOE功能和運(yùn)行環(huán)境之間的轉(zhuǎn)換。這可能會(huì)導(dǎo)致策略成為假設(shè)，或假設(shè)成為策略，或者為顧及新的TOE邊界而重新規(guī)定策略或假設(shè)。同樣，在能被分解成若干處理不同安全問題部件的組合TOE中，一個(gè)部件的假設(shè)通常被另一個(gè)部件作為策略來要求。在這種情況下，細(xì)致的策略陳述將有助于策略在其他SPD中作為假設(shè)來使用，以確保兼容性和檢查的一致性?？赡艽嬖谶@樣的情況，即在準(zhǔn)備安全問題定義時(shí)，還不清楚策略是由TOE還是TOE運(yùn)行環(huán)境來實(shí)現(xiàn)。當(dāng)安全功能的要求較為明確時(shí)，這個(gè)問題可以在安全目的的定義過程中予以解決。TOE安全目的和環(huán)境安全目的都可以反向鏈接到策略，一個(gè)策略甚至可部分由TOE實(shí)現(xiàn)，部分由環(huán)境實(shí)現(xiàn)。并非所有的安全問題都需要策略，這在GB/T18336—2015(所有部分)評(píng)估中是完全可以接受的，描述策略的章節(jié)可保留為空，以表明無可適用的策略。8.5識(shí)別和確定假設(shè)安全問題定義的第三個(gè)方面是應(yīng)包含一系列適當(dāng)?shù)募僭O(shè)，用以限制或排除TOE內(nèi)部的安全特性。假設(shè)是針對(duì)事項(xiàng)的聲明，用以表明這些事項(xiàng)無需IT產(chǎn)品來實(shí)現(xiàn)，也不需考慮威脅或其他事項(xiàng)，假設(shè)只是在陳述事實(shí)。一個(gè)明確且表述良好的假設(shè)可參考如下陳述：A.PHYSICALTOE將放置在一個(gè)物理安全的地方。假設(shè)有兩個(gè)用途：—-—要表明一個(gè)特定控制或控制類型將由運(yùn)行環(huán)境提供，并不是由TOE提供；-—要表明特定威脅或威脅類型不用考慮，因?yàn)樵诩俣ǖ倪\(yùn)行環(huán)境中，它們將不存在或者并不重要。應(yīng)加以區(qū)分環(huán)境控制方面的假設(shè)與未被考慮的威脅方面的假設(shè)，因?yàn)榍罢呤怯蒅B/T18336—2015(所有部分)要求的，而后者是本標(biāo)準(zhǔn)的建議，以簡(jiǎn)化顯示安全目的涵蓋只適用于威脅和策略。假設(shè)描述應(yīng)盡量短，突出重點(diǎn)，并為每個(gè)假設(shè)設(shè)定一個(gè)簡(jiǎn)短的名稱。按照慣例，假設(shè)名稱一般以關(guān)于運(yùn)行環(huán)境的假設(shè)可分為三類：——物理保護(hù)；——人員和程序；20GB/T20283—2020——TOE的外部技術(shù)功能。A.INTERNETTOE要與互聯(lián)網(wǎng)隔離。A.NO_DEV_TOOLS在TOE的運(yùn)行環(huán)境中，不允許再出現(xiàn)開發(fā)者對(duì)系統(tǒng)進(jìn)行功能性修改的工具。在許多情況下，策略和威脅將會(huì)由TOE和部分環(huán)境協(xié)同處理。例如，TOE內(nèi)的技術(shù)控制措施可很多假設(shè)都可能在確定非正式的安全要求或威脅分析過程中被識(shí)別出來。在安全問題定義過程假設(shè)。其次，是與IT運(yùn)行環(huán)境所提安全功能相關(guān)的假設(shè)。最后，是關(guān)于威脅不被考慮的假設(shè)。這些假有些安全問題可能不需要任何假設(shè)，這在GB/T18336—2015(所有部分)評(píng)估過程中是完全可以最后的階段是完成SPD。這涉及兩個(gè)任務(wù)：——執(zhí)行一致性和完整性檢查來確認(rèn)SPD可準(zhǔn)確地描述安全問題。威脅、策略和假設(shè)的陳述對(duì)評(píng)估目的來說是非常明確的，因此在GB/T素映射到非正式的安全要求，并表明這個(gè)覆蓋是完整的。如果要求發(fā)生改變，基本原理可使SPD更容一致性和完整性檢查應(yīng)檢查所有在安全問題范圍內(nèi)的約束和要求是否已反映在策略或假設(shè)中，應(yīng)檢查所有識(shí)別出的威脅是否可通過某種方式予以抵抗或不予考慮。SPD的所有策略、威脅和假設(shè)應(yīng)可反向鏈接到原始的非正式的安全要求，可通過創(chuàng)建一個(gè)交叉引用表來顯示這種一致性和完整性。21GB/T20283—20209安全目的本章針對(duì)GB/T18336.1—2015中A.7和中B.7的要求，就ST或PP中的安全目的提供指導(dǎo)。至于安全目的，GB/T18336.1—2015中B.7指向了GB/T18336.1—2015中A.7,暗示兩者的預(yù)期內(nèi)容是安全目的是安全問題預(yù)期反應(yīng)的簡(jiǎn)明陳述(見GB/T18336.3—2015的9.4.1和10.4.1)。如果安全目的被表示為所需安全功能的概述和結(jié)構(gòu)，并且提供了一個(gè)SFR細(xì)節(jié)與SPD抽象問題定義之間的鏈GB/T18336—2015(所有部分)定義了兩種類型的安全目的：如圖2所示。安全問題安全問題組織安全策略環(huán)境安全目的安全目的TOE安全目的假設(shè)威脅所有的PP和ST都應(yīng)確定環(huán)境安全目的，低保障級(jí)的PP和ST(見第14章)不必指定TOE安全GB/T18336—2015(所有部分)未設(shè)定編制安全目的的特定過程或方法論，用戶可以使用任意方法。本章介紹了一種在實(shí)踐中嘗試和測(cè)試過并且在許多組織和環(huán)境中十分有用的簡(jiǎn)單方法，此方法包括如下步驟：b)確定非IT運(yùn)行環(huán)境目的；c)確定IT運(yùn)行環(huán)境目的；d)確定TOE目的；e)確定安全目可反向鏈接回已被GB/T18336—2015(所有部分)指出安全目的應(yīng)簡(jiǎn)明扼要，在實(shí)踐中，需要在以下兩方面之間取得22GB/T20283—2020a)安全目的應(yīng)有助于讀者理解在安全問題定義中標(biāo)識(shí)的那些安全問題是由TOE來處理。理想情況下，TOE安全目的應(yīng)與實(shí)現(xiàn)是無關(guān)的。關(guān)注的重點(diǎn)是安全目的是什么,而不是如何去實(shí)現(xiàn)安全目的。b)應(yīng)確保安全目的的定義不是在重復(fù)安全問題定義中的威脅、OSP等信息，應(yīng)以一種不同的方式去說明如何應(yīng)對(duì)安全問題。當(dāng)構(gòu)建安全目的和安全要求基本原理時(shí)，應(yīng)檢查安全目的的細(xì)節(jié)描述是否正確。如果其中一個(gè)原造成的。明確的TOE安全目的定義有助于確保選擇的安全功能要求滿足安全目的，也有助于最大限度地減少TOE評(píng)估的成本和時(shí)間。某些看似可能與TOE相關(guān)的威脅，在經(jīng)過風(fēng)險(xiǎn)分析和環(huán)境因素的考慮之后，應(yīng)判斷其可不被考慮或可被忽略。如果遵循本標(biāo)準(zhǔn)推薦的方法，將在SPD階段將這些威脅識(shí)別為假設(shè)。這類威脅不會(huì)產(chǎn)生——與非IT運(yùn)行環(huán)境相關(guān)的；——與IT運(yùn)行環(huán)境相關(guān)的；——與TOE功能相關(guān)的。這種區(qū)分表明：需要物理控制的策略只適用于非IT環(huán)境，針對(duì)TOE潛在的攻擊威脅面對(duì)的是被分成兩個(gè)：——T.EAVESDROP(通信),分配給IT運(yùn)行環(huán)境；-T.EAVESDROP(內(nèi)部),分配給TOE功能。失的條目也會(huì)造成安全目的的缺失，這將在PP/ST驗(yàn)證過程中帶來繁重的檢測(cè)成本。9.3識(shí)別非IT運(yùn)行環(huán)境安全目的與TOE相比，定義其運(yùn)行環(huán)境的安全目的更加容易，并且非IT運(yùn)行環(huán)境安全目的比IT運(yùn)行環(huán)境為確定這些安全目的，第一步是應(yīng)把所有分配給非IT運(yùn)行環(huán)境的假設(shè)改寫為和它們一一對(duì)應(yīng)的安全目的。在PP和ST中以及TOE評(píng)估過程中不再對(duì)環(huán)境安全目的做進(jìn)一步分析。其他非IT運(yùn)行環(huán)境安全目的可能包括：a)建立和實(shí)施以確保TOE安全使用的程序(特別是根據(jù)環(huán)境的假設(shè));在此階段確定這些目的可能很難，因?yàn)槠渑cTOE安全目的相關(guān)。如果這些目的比較明顯就添加環(huán)境安全目的的識(shí)別命名通常以“OE”開頭，這有助于與通常以“O”開頭的TOE安全目的進(jìn)行區(qū)GB/T20283—2020也包含在目的描述中。大多數(shù)非IT運(yùn)行環(huán)境目的來自于假設(shè)。單獨(dú)從威脅中導(dǎo)出的環(huán)境安全目的可能彌補(bǔ)在安全問題9.4識(shí)別IT運(yùn)行環(huán)境安全目的IT運(yùn)行環(huán)境目的識(shí)別技術(shù)與非IT操作環(huán)境的識(shí)別技術(shù)是相同的，將其與非IT目的分開是非常重按照慣例，IT運(yùn)行環(huán)境目的以“OE”開頭的命名方法進(jìn)行識(shí)別。針對(duì)它們的描述中應(yīng)包括“IT環(huán)早期版本允許為IT環(huán)境目的指定安全要求，以便定義和解釋它們是如何被實(shí)現(xiàn)的，這在GB/T18336—2015(所有部分)中是不允許的。在組合產(chǎn)品中，一個(gè)域的IT環(huán)境安全目的將成為其他安全域的TOE目的。9.5識(shí)別TOE安全目的TOE安全目的是最重要且最難表述。與環(huán)境安全目的不同的是它們將被用來作為推導(dǎo)出TOE安全功能要求的依據(jù)。安全目的陳述應(yīng)能清楚地表達(dá)且明確它們的意圖，并在安全要求和安全問題之間提供詳細(xì)且良好的可追溯性。本節(jié)建議基于安全功能的類型來對(duì)TOE目的進(jìn)行組織，并與GB/T18336.2—2015的安全功能類識(shí)別TOE目的的第一步應(yīng)將前面分配給TOE的威脅和策略列表重新排序，以便把相關(guān)威脅和策略放在一起。應(yīng)注意的是沒有關(guān)于TOE功能的假設(shè)，因?yàn)榧僭O(shè)只涉及運(yùn)行環(huán)境。對(duì)于具體PP或ST的威脅和策略分組形式將取決于相關(guān)TOE的特性。如果分組與GB/T18336.2—2015的安全功能要求結(jié)構(gòu)有關(guān)，那么這有助于生成SFR。f)安全架構(gòu)要求(所需的屬性和約束);這個(gè)分組與第11章提及的安全要求結(jié)構(gòu)之間存在者密切聯(lián)系，以便識(shí)別和確定安全功能要求。下一步是為選定的安全服務(wù)和安全防護(hù)要求類型給出簡(jiǎn)單的定義。此過程不是試圖分析和總結(jié)安全問題定義，而是應(yīng)從SPD反向鏈接到非正式安全要求。通過非正式安全要求可以很容易得出每種類24GB/T20283—2020將安全服務(wù)列表與威脅和策略列表相比較。對(duì)于每個(gè)安全服務(wù)，判斷與哪個(gè)策略和威脅是相關(guān)。將未匹配的策略和威脅歸為其他安全服務(wù)。下一步，將與每個(gè)服務(wù)相關(guān)的威脅和政策分成通用和具體的相關(guān)要求。通用要求應(yīng)適用于服務(wù)定TOE安全目的用來對(duì)抗威脅，這通過移除或阻止構(gòu)成威脅的必要要素來實(shí)現(xiàn)。例如移除威脅主體理訪問控制的環(huán)境目的)。威脅也可被間接處理，例如通過實(shí)施問責(zé)審計(jì)行為，熟練的實(shí)踐阻止偶然的并不是所有的威脅都可被防止。有時(shí)最好的行動(dòng)就是檢測(cè)相一部分。這個(gè)過程通常用于確定遺漏的運(yùn)行環(huán)境相關(guān)安全目的。例如，如果告警被選擇作為特定威脅的保護(hù)從TOE目的完全移動(dòng)到運(yùn)行環(huán)境，反之亦然。這些變化都是預(yù)期的。其應(yīng)重復(fù)幾次，直到得到一個(gè)明確的覆蓋所有類別的安全目的列表。同描述通用保護(hù)要求(直接關(guān)聯(lián)到一個(gè)主要目的)一樣，特殊的策略有時(shí)被用來約束相關(guān)的技術(shù)解決方案。這種類型的約束應(yīng)被表示為一個(gè)與通用要求關(guān)聯(lián)的從屬目的。有時(shí)威脅也可直接對(duì)應(yīng)到一個(gè)從屬安全目的，此時(shí)可將次要的安全目的直接映射到問題源。這樣另一個(gè)定義從屬目的是所需的控制類型?？刂瓶梢允穷A(yù)防性的(阻止事件發(fā)生)、檢測(cè)性的(預(yù)測(cè)一個(gè)事件發(fā)生)或糾正性的(修復(fù)事件的后果)。下面是一個(gè)預(yù)防性的安全目的的例子，其要求TOE對(duì)用戶進(jìn)行標(biāo)識(shí)和鑒別：訪問控制和信息流控制的安全目的也歸入預(yù)防類。授權(quán)訪問一般要求TOE應(yīng)執(zhí)行多個(gè)訪問控制下面是一個(gè)檢測(cè)性的安全目的的例子，其要求TOE可提供原發(fā)抗抵賴性的能力：下面是一個(gè)糾正性的安全目的的例子，其要求TOE對(duì)檢測(cè)到的入侵做出響應(yīng)：不要期望安全目的和威脅或策略之間的一一對(duì)應(yīng)，處理一個(gè)的的方法應(yīng)是TOE執(zhí)行的一部分。GB/T20283—2020需要進(jìn)一步排除。除了低保障要求的評(píng)估，基本原理在GB/T18336—2015(所有部分)中是必要的，并在PP/ST中進(jìn)行驗(yàn)證。產(chǎn)生基本原理的方法是準(zhǔn)備一個(gè)SPD與目的之間的關(guān)系表，并檢查是否有任何不一致。提供足夠的覆蓋范圍，這可以通過充分性來進(jìn)行檢查。如果一個(gè)PP或ST聲稱符合其他PP,基本原理應(yīng)表明TOE安全目的與被引用PP的安全目的陳述是一致的。當(dāng)PP或ST作者有可能無法準(zhǔn)確確定安全功能要求和保障要求時(shí)，將不得不改進(jìn)GB/T18336.2—2015或GB/T18336.3—2015的現(xiàn)有組件。在這種情況下允許定義擴(kuò)展組件，本章旨在為擴(kuò)展組件提供指導(dǎo)。應(yīng)說明的是應(yīng)盡可能避免使用擴(kuò)展組件定義。使用擴(kuò)展組件將使得很難去比較不同產(chǎn)品在安全功能和保障要求之間的不同。相反，應(yīng)盡可能地使用GB/T18336—2015(所有部分)現(xiàn)有組件，只有在現(xiàn)有組件不能滿足條件的時(shí)候才使用擴(kuò)展組件。GB/T18336.1—2015要求以類似GB/T18336—2015(所有部分)現(xiàn)有組件的方式定義擴(kuò)展要求。最好采用與GB/T18336—2015(所有部分)相同的結(jié)構(gòu)來描述擴(kuò)展組件。關(guān)于擴(kuò)展組件的命名，應(yīng)確認(rèn)如果這個(gè)組件符合其中一個(gè)已經(jīng)在GB/T18336—2015(所有部分)中定義的類或者族，就應(yīng)以這個(gè)類名或者族名加上一個(gè)指示符進(jìn)行命名。ST或PP作者可更容易獲取擴(kuò)展組件以及按照其要求進(jìn)行初始化。使用GB/T18336.2—2015功能組件作為模型擴(kuò)展SFR組件將涉及：a)定義的SFR擴(kuò)展組件要與GB/T18336.2—2015組件在一個(gè)相似的抽象水平上；b)使用與GB/T18336.2—2015組件相似的風(fēng)格和語法；c)使用與GB/T18336.2—2015組件相同的拓?fù)浣Y(jié)構(gòu)和命名方法。GB/T18336.2—2015功能組件的表現(xiàn)形式的具體特點(diǎn)包括：a)大多數(shù)功能要求以TSF應(yīng)或者TSFa)應(yīng)包含的任何賦值或者選擇操作應(yīng)由ST或者PP作者完成；b)指出應(yīng)在PP或者ST之中的對(duì)其他SFR的依賴關(guān)系；為未包括在GB/T18336.2—2015中的擴(kuò)展SFR命名，應(yīng)使用GB/T18336.2—2015的拓?fù)浣Y(jié)構(gòu)現(xiàn)有的類擴(kuò)展組件可以被插入到適當(dāng)?shù)奈恢?。?dāng)擴(kuò)展組件和現(xiàn)有類是無關(guān)命名時(shí)，為了明確其新的擴(kuò)展安全要求，可以構(gòu)建“EX”類或者在組件名后加上“EX”。如何定義擴(kuò)展組件應(yīng)在PP或者ST的應(yīng)用說明中予以解釋。應(yīng)注意的是，擴(kuò)展組件命名規(guī)范不應(yīng)與GB/T18336.2—2015沖突。26GB/T20283—2020附錄A提供了一個(gè)關(guān)于擴(kuò)展組件的例子，并且指明它和GB/T18336.2—2015中定義的組件類似。附錄A中的例子，描述擴(kuò)展的安全功能組件的方法也能描述擴(kuò)展保障組件。當(dāng)該保障活動(dòng)不包含在GB/T18336.3—2015的現(xiàn)有組件中時(shí)，為安全目標(biāo)或保護(hù)輪廓中所描述的產(chǎn)品定義一個(gè)特別保障活動(dòng)是可以的。除了以類似于描述在GB/T18336.3—2015中的保障組件方法，擴(kuò)展保障組件還需要擴(kuò)展保障組件的定義中應(yīng)提供下列要素：a)開發(fā)者活動(dòng)；b)開發(fā)者應(yīng)提供內(nèi)容和形式元素的要求；c)評(píng)估者活動(dòng)。GB/T18336.3—2015指出與保障組件關(guān)聯(lián)的要素特征如下：b)開發(fā)者應(yīng)提供內(nèi)容和形式元素；c)評(píng)估者行為元素有兩種形式：——評(píng)估者活動(dòng)形式通常為：評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求；當(dāng)定義擴(kuò)展保障組件時(shí)，還需要定義在評(píng)估中符合擴(kuò)展保障組件的評(píng)估者工作單元。工作單元應(yīng)本章針對(duì)PP或ST中的IT安全要求提供指導(dǎo)。PP或ST指定IT安全要求分為兩類：a)TOE安全功能要求(SFR):指出TOE的安全功能應(yīng)滿足以實(shí)現(xiàn)其安全目的的要求；b)TOE安全保障要求(SAR):指出實(shí)現(xiàn)SFR所需要的保障級(jí)別。TOE安全目的安全功能要求安全保障要求GB/T18336.2—2015GB/T18336.3—2015如圖3所示，IT安全要求的一個(gè)顯著特征就是應(yīng)盡可能地使用GB/T18336.2—2015中定義的安全組件和GB/T18336.3—2015中定義的保障組件來構(gòu)建。使用GB/T18336—2015(所有部分)是為GB/T20283—2020了在IT安全要求呈現(xiàn)的方式上保證一定程度的標(biāo)準(zhǔn)化，使用GB/T18336—2015(所有部分)來表示IT安全要求是為了更加方便地比較PP與ST?？赡艽嬖谶@樣的情況：在GB/T18336.2—2015或GB/T18336.3—2015中沒有適當(dāng)?shù)墓δ芙M件或的IT安全要求應(yīng)是無歧義的、可評(píng)估的，并且其表達(dá)方式與GB/T18336—2015(所有部分)中的組件結(jié)構(gòu)相似。GB/T18336.2—2015和GB/T18336.3—2015中的每個(gè)安全組件都有其在GB/T18336—2015(所有部分)中的唯一參考：--—“F”表明其為功能要求；—-—“AU”表明其屬于SFR中的安全審計(jì)類；—-—“GEN”表明其屬于安全審計(jì)類中的安全審計(jì)數(shù)據(jù)產(chǎn)生族；b)GB/T18336.3—2015中的組件也使用類似的方法，只是通過追加一個(gè)字母來指明其屬于哪一——字母“E”表明其屬于評(píng)估者行為元素，是評(píng)估者實(shí)施的行為?！?—“DV”表明其屬于SAR中的開發(fā)類；表明其屬于開發(fā)類中的TOE設(shè)計(jì)族；義的元素也應(yīng)包含在PP或ST中。需要注意的是，組件之間存在兩種關(guān)系能夠作用于選擇IT安全要求的過程：a)一個(gè)族中的組件可能存在層次關(guān)系，這表明該族中的一個(gè)組件包括同族另一個(gè)組件中指定的所有要求。比如，F(xiàn)AU_STG.4與FAU_STG.3存在層次關(guān)系，因?yàn)楹笳叨x的所有都包含在前者中。然而，F(xiàn)AU_STG.4與FAU_STG.1之間沒有層次關(guān)系，故在相同的PP或ST中有可能包含這兩個(gè)組件。b)組件可能依賴其他族中的組件，這表明當(dāng)一個(gè)組件不能夠滿足要求時(shí)，需要依能或與另一個(gè)組件的交互，才能正常發(fā)揮其自身功能。比如，F(xiàn)IA_UAU.1(對(duì)用戶身份的鑒別)依賴于FIA_UID.1(需標(biāo)識(shí)用戶)。這些組件也應(yīng)包含在一個(gè)PP或ST中，否則這些依賴被認(rèn)為與威脅和安全目的無關(guān)。28GB/T20283—2020為了更好地理解GB/T18336.2—2015中為安全功能要求所定義的類、族和組件的結(jié)構(gòu)，本標(biāo)準(zhǔn)對(duì)GB/T18336.2—2015中第5章描述的安全功能范型進(jìn)行說明。GB/T18336—2015(所有部分)提供安全范型的目的是為構(gòu)建TOE安全功能模型提供一個(gè)基礎(chǔ)，以表明TOE安全目的都被該安全功能模型所覆蓋。前面章節(jié)中提到的范型，在這里可以用來構(gòu)建一個(gè)安全功能的抽象模型，之后再使用GB/T18336.2—2015中定義的SFR來表述。以下章節(jié)為如何構(gòu)建這樣的模型以及如何使用SFR進(jìn)行描述提供了指導(dǎo)。過TOE功能(如其他系統(tǒng)的網(wǎng)絡(luò)服務(wù))的控制才能訪問(至少對(duì)一些實(shí)體來說是這樣的)?！鎯?chǔ)(包括內(nèi)存和磁盤空間);--—CPU時(shí)間；GB/T18336.1—2015中的用戶是這樣定義的：TOE以外的，并與TOE交互(或可能交互)的任何實(shí)體(人或IT)。GB/T18336.1—2015中的主體是這樣定義的：TOE內(nèi)部的，對(duì)客體執(zhí)行操作的主動(dòng)實(shí)體。用戶和主體是向TOE請(qǐng)求服務(wù)從而處理客體和資源的主動(dòng)實(shí)體。為了實(shí)現(xiàn)安全目的，TOE在對(duì)資源進(jìn)行使用時(shí)應(yīng)遵循一些需要強(qiáng)制執(zhí)行的規(guī)則。這些規(guī)則可以控作為這些規(guī)則所有參數(shù)的列表舉例如下：——發(fā)起請(qǐng)求的實(shí)體的類型和身份；——發(fā)起請(qǐng)求的實(shí)體的其他屬性；——請(qǐng)求指定的資源的類型和身份；——請(qǐng)求指定的資源的其他屬性；——請(qǐng)求的類型；——日期和時(shí)間；——TOE的內(nèi)部狀態(tài)。定外部實(shí)體集合或組的外部實(shí)體，對(duì)于TOE來說識(shí)別(或可能需要鑒別)這個(gè)集合或組就已——TOE維護(hù)一個(gè)允許使用處于TSF(TOE安全功能)控制下的外部實(shí)體列表(或可能同時(shí)維護(hù)它們的安全屬性)。在這種情況下需要有管理這個(gè)外部實(shí)體列表以及它們的安全屬性的功能(假設(shè)列表是非靜態(tài)的)。GB/T20283—2020外部實(shí)體和主體在請(qǐng)求服務(wù)并使用受控的資源時(shí)都需要使用TSF接口(TSFI)。定過程的一部分，主體的安全屬性將經(jīng)常被修改來反映綁定的情況。例如，TOE的主體繼承了外部實(shí)對(duì)不同類型客體的訪問和使用控制規(guī)則通常是有區(qū)別的。為了避免混淆，GB/T18336—2015(所過在獨(dú)立的SFR中引用SFP來表明SFR所屬的安全功能策略。一個(gè)安全功能策略總是需要一個(gè)定義的域是完整的。之后，針對(duì)主體或用戶在使用客體或資源時(shí)的操作所執(zhí)行的規(guī)則被定義為SFP的一部在SFP中起重要作用的安全屬性的管理要求同時(shí)也是SFP的一部分，其中包括定義SFP中實(shí)體的安活動(dòng)實(shí)體(用戶或主體)使用特定集合的操作訪問和利用特定集合的客體或資源而制定的規(guī)則，以及管理在這些規(guī)則中所用到的安全屬性的功能。一個(gè)典型的例子就是操作系統(tǒng)中針對(duì)文件系統(tǒng)的訪問控制策略。進(jìn)程是主動(dòng)實(shí)體，其中一些進(jìn)程代表用戶進(jìn)行操作，因此具有從用戶綁定時(shí)的安全屬性所派生出來的安全屬性。對(duì)文件系統(tǒng)的操作如中還存在管理進(jìn)程或文件系統(tǒng)的安全屬性的操作。其他的SFP可能規(guī)定外部實(shí)體直接而非通過中間主體執(zhí)行的操作。例如防火墻，它控制外部系統(tǒng)如何使用網(wǎng)絡(luò)服務(wù)和功能。有主動(dòng)的實(shí)體(發(fā)起請(qǐng)求的外部系統(tǒng))、客體(外部系統(tǒng)請(qǐng)求的目標(biāo))和操作(網(wǎng)絡(luò)服務(wù))。這個(gè)SFP中的規(guī)則可能基于操作中的外部系統(tǒng)身份、操作種類(如使用的端口)、操作上下文(比如一個(gè)指定端口的連接是否事先被建立)和網(wǎng)絡(luò)包內(nèi)容。略作為其中一個(gè)SFP,一個(gè)強(qiáng)制訪問控制策略作為一個(gè)附加的SFP。盡管受SFP約束的用戶、主體、客體和操作集合是同一個(gè)，但SFP的規(guī)則和這些規(guī)則中使用的安全屬性的集合是不同的。訪問控制策略是從資源和客體以及TOE允許的主動(dòng)實(shí)體(在TOE內(nèi)部或外部)在這些資源和客體上進(jìn)行的操作的角度來對(duì)TOE安全功能進(jìn)行建模的。因此導(dǎo)出TOE安全功能模型的訪問控制的第一步就是標(biāo)識(shí)出TOE提供的資源、客體、操作以及觸發(fā)操作的主體和用戶。這個(gè)模型一開始只應(yīng)包含從TOE安全目的和從PP或ST最初描述的TOE戶。為一個(gè)已知產(chǎn)品或系統(tǒng)開發(fā)ST的時(shí)候，TOE的安全模型中應(yīng)存在這些定義的實(shí)體。當(dāng)然在定義制策略的一致性和完整性。定義TOE安全功能模型中不存在的實(shí)體將會(huì)在評(píng)估過程中導(dǎo)致不少問題，這是因?yàn)樵贕B/T18336—2015中假設(shè)SFR和SFR提到的實(shí)體是TOE中存在的抽象實(shí)體，且這些實(shí)體在TOEGB/T20283—2020定義主體和用戶對(duì)資源和客體進(jìn)行訪問和使用操作的規(guī)則，以滿足TOE安全目的。為一個(gè)已知TOE定義ST的規(guī)則應(yīng)嘗試從模型定義實(shí)體的真實(shí)行為中抽象而來，以保證TOE實(shí)現(xiàn)的規(guī)則是模型中規(guī)則的嚴(yán)格細(xì)化?；鞠嗤?的規(guī)則分組到安全功能策略中。為每個(gè)安全功能策略命名，以便能夠唯一標(biāo)這些主體和客體的安全屬性如何初始化。為主體和客體的非靜態(tài)安全屬性的管理定義規(guī)則。這些規(guī)則可能包括外部實(shí)體通過TSFI所觸發(fā)屬性初始化的規(guī)則。有些情況下用戶不需要注冊(cè)，用戶能夠請(qǐng)求服務(wù)并且使用他們所具有的證書進(jìn)行標(biāo)識(shí)和鑒別。這些證書可能也包括用戶的安全屬性。在這些情況下，需要定義如何接受和校對(duì)證書的規(guī)則。為用戶的標(biāo)識(shí)和鑒別(如果需要)定義規(guī)則。這些規(guī)則定義了用戶應(yīng)出示的證書(證書類型，證書的如果TOE支持用戶與主體綁定的功能，那么包括這些綁定的規(guī)則需要被定義。這些規(guī)則可能包括：——需要滿足允許綁定的條件；能還有要定義如何管理這些安全屬性的規(guī)則。在GB/T18336—2015(所有部分)的范型中，用戶是使用TOE接口請(qǐng)求服務(wù)的TOE外部實(shí)體。用戶在能夠使用TOE服務(wù)之前可能需要注冊(cè)，或者TOE允許未經(jīng)注冊(cè)的用戶也可以請(qǐng)求服務(wù)。在多數(shù)情況下，TOE通過用戶的某些安全屬性來決定是否對(duì)其提供服務(wù)。用戶安全屬性可由用戶附帶著請(qǐng)求一起提交，也可從TOE存儲(chǔ)的用戶或用戶組的數(shù)據(jù)中提取出來。第一種情況下，TOE需要保證用戶提交的安全屬性是可信的。這意味著在用戶合理使用安全屬性證用戶或用戶組中成員所聲明的身份正確性的規(guī)則。這個(gè)過程叫作鑒別，即用戶向TOE提交用來對(duì)的參數(shù)如何管理。GB/T20283—2020某些情況下TOE會(huì)使用自身的一個(gè)主體來代表用戶執(zhí)行動(dòng)作。在這樣的情況下，主體與用戶通過TSF綁定，當(dāng)主體綁定到用戶時(shí)，TSF會(huì)有相應(yīng)的規(guī)則來定義主體的安全屬性是如何產(chǎn)生的。很多——標(biāo)識(shí)并定義可以訪問TOE的用戶種類(以及每類用戶可能具有的安全屬性集);——標(biāo)識(shí)每種在使用TOE功能前需要注冊(cè)的用戶；鑒別時(shí)需要的條件；——定義如何管理鑒別過程的規(guī)則(包括對(duì)鑒別中所用證書的管理);——為每類用戶定義如何管理用戶安全屬性的規(guī)則；安全屬性如何設(shè)置