【国家标准(GB)】 信息安全技术 信息系统安全保障评估框架 第2部分：技术保障

ICS35.040
中华人民共和国国家标准　
GB/T20274.2—2008
信息安全技术
信息系统安全保障评估框架
第2部分：技术保障
Information security technology-Evaluation framework for information systems security assurance--Part 2:Technical assurance
2008-07-18 发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2008-12-01实施
中华人民共和
国家标准
信息安全技术
信息系统安全保障评估框架
第2部分：技术保障
GB/T20274.2—2008
中国标准出版社出版发行
北京复兴门外三里河北街16号
邮政编码：100045
网址www.spc.net.cn
电话：68523946
68517548
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×1230
2008年11月第一版
印张6.25
字数184千字
2008年11月第一次印刷
书号：155066·1-34998
如有印装差错
定价58.00元
由本社发行中心调换
版权专有
侵权必究
举报电话：（010)68533533
规范性引用文件
3术语和定义
4本部分的结构
信息安全技术保障
5.1安全技术保障概述
5.2安全技术体系架构能力级
5.3安全技术保障控制要求范例
6信息安全技术保障控制结构
6.2组件分类
7FAU类：安全审计
7.1安全审计自动响应（FAU_ARP）：7.2安全审计数据产生（FAU_GEN）·7.3安全审计分析（FAU_SAA）
7.4安全审计查阅（FAU_SAR）
7.5安全审计事件选择（FAU_SEL)7.6安全审计事件存储(FAU_STG）8FCO类：通信
8.1原发抗抵赖（FCO_NRO）
8.2接收抗抵赖(FCO_NRR）
9FCS类：密码支持
密钥管理（FCS_CKM)
密码运算（FCS_COP）
FDP类：用户数据保护
访问控制策略（FDP_ACC)
访问控制功能（FDP_ACF）
数据鉴别(FDP_DAU)
输出到TSF控制之外(FDP_ETC)
信息流控制策略（FDP_IFC）
信息流控制功能（FDP_IFF)
从TSF控制之外输入（FDP_ITC)
TOE内部传输（FDP_ITT）
残余信息保护(FDP_RIP）
反转（FDP_ROL）
存储数据的完整性(FDP_SDI)
TSF间用户数据传输的保密性保护（FDP_UCT)GB/T20274.2—2008
GB/T 20274.2—2008
TSF间用户数据传输的完整性保护（FDP_UIT）11FIA类：标识和鉴别.
11.1鉴别失败(FIA_AFL)
用户属性定义（FIA_ATD).
秘密的规范（FIA_SOS）
用户鉴别(FIA_UAU）
用户标识（FIA_UID)
用户_主体绑定（FIA_USB)
12FMT类：安全管理
TSF中功能的管理（FMT_MOF）
安全属性的管理（FMT_MSA）
12.3TSF数据的管理(FMT_MTD)
撤消（FMT_REV）
安全属性到期（FMT_SAE)
安全管理角色（FMT_SMR）
13FPR类：隐秘
13.1匿名(FPR_ANO)
13.2假名（FPR_PSE）：
不可关联性（FPR_UNL）
不可观察性（FPR_UNO）
14FPT类：TSF保护
根本抽象机测试（FPT_AMT）
失败保护（FPT_FLS）·
输出TSF数据的可用性（FPT_ITA）输出TSF数据的保密性（FPT_ITC）输出TSF数据的完整性（FPT_ITI）·TOE内TSF数据的传输（FPT_ITT)TSF物理保护（FPT_PHP)
可信恢复（FPT_RCV）
重放检测（FPT_RPL）·
参照仲裁（FPT_RVM）
域分离（FPT_SEP）
状态同步协议（FPT_SSP）
时间截（FPT_STM）
TSF间TSF数据的一致性(FPT_TDC)TOE内TSF数据复制的一致性(FPT_TRC)TSF自检(FPT_TST)
FRU类：资源利用
容错(FRU_FLT)
服务优先级（FRU_PRS)
资源分配（FRU_RSA）
16FTA类：TOE访问
16.1可选属性范围限定(FTA_LSA)36
16.2多重并发会话限定(FTA_MCS)16.3会话锁定（FTA_SSL）
16.4TOE访问旗标
TOE访问历史（FTA_TAH）·
16.6TOE会话建立（FTA_TSE）
17TP类：可信路径/信道
17.1TSF间可信信道(FTP_ITC)
17.2可信路径（FTP_TRP）
18安全技术架构能力成熟度级
18.1概述
18.2安全技术架构能力成熟度级说明附录A（资料性附录）安全技术要求应用注释A.1注释的结构
A.1.1类结构
子类结构
A.1.3组件结构
A.2依赖关系表
附录B（资料性附录）分层多点信息系统安全体系结构B.1概述
信息技术系统TOE的分析模型
分层多点安全技术体系架构介绍参考文献
图1安全技术保障控制要求范例(单个TOE)图2分布式TOE内的安全功能图
图3用户数据和TSF数据的关系
图4“鉴别数据”和“秘密”的关系图5安全技术保障控制类结构
安全技术保障控制子类结构
安全技术保障控制组件结构
示范类分解图
安全审计类分解
通信类分解
密码支持类分解
用户数据保护类分解
标识和鉴别类分解
安全管理类分解
隐秘类分解…
TSF保护类分解
资源利用类分解·
TOE访问类分解
可信路径/信道类分解图
GB/T20274.2—2008
GB/T20274.2—2008
图A.1安全技术保障控制类结构
图A.2安全技术保障控制子类结构图A.3安全技术保障控制组件结构图B.1信息技术系统分析模型
图B.2分层多点安全技术体系结构安全技术保障控制组件依赖关系表表A.1
GB/T20274.2—2008
GB/T20274《信息安全技术
信息系统安全保障评估框架》分为以下四个部分：第1部分：简介和一般模型
第2部分：技术保障
第3部分：管理保障
—第4部分：工程保障
本部分是GB/T20274的第2部分
本部分的附录A和附录B为资料性附录。本部分由全国信息安全标准化技术委员会提出并归口。本部分起草单位：中国信息安全产品测评认证中心。本部分主要起草人：吴世忠、王海生、陈晓桦、王贵驷、李守鹏、江常青、彭勇、张利、姚轶崭、邹琪钱伟明、陆丽、班晓芳、李静、王庆、江典盛、孙成昊、门雪松、杜宇鸽、杨再山。V
1范围
信息安全技术
信息系统安全保障评估框架
第2部分：技术保障
GB/T20274.2-2008
GB/T20274的本部分建立了信息系统安全技术保障的框架，确立了组织机构内启动、实施、维护、评估和改进信息安全技术体系的指南和通用原则。GB/T20274的本部分定义和说明了信息系统安全技术体系建设和评估中反映组织机构信息安全的技术体系架构能力级，以及组织机构信息系统安全的技术要求。
GB/T20274的本部分适用于启动、实施、维护、评估和改进信息安全技术体系的组织机构和涉及信息系统安全技术工作的所有用户、开发人员和评估人员。2规范性引用文件
下列文件中的条款通过GB/T20274的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。
GB/T20274.1信息安全技术信息系统安全保障评估框架第1部分：简介和一般模型3术语和定义
GB/T20274.1确定的术语和定义适用于GB/T20274的本部分。4本部分的结构
GB/T20274的本部分的组织结构如下：a）第1章介绍了GB/T20274的本部分的范围；第2章介绍了GB/T20274的本部分所规范引用的标准；b）
第3章描述了适用于GB/T20274的本部分的术语和定义；c）
第4章描述了GB/T20274的本部分的组织结构；d)
第5章描述了信息系统安全技术保障框架，并进一步概述了信息系统安全技术保障控制类域e）
和安全技术体系架构能力级；
第6章描述了信息安全技术保障控制类的规范描述结构和要求；f）
第7章到第17章详述了提供信息安全技术保障控制类的11个信息安全技术保障控制类的详g）
细要求；
第18章描述了安全技术体系架构能力成熟度模型；i）
附录A是资料性附录，进一步解释了安全技术要求；附录B是资料性附录，描述了分层多点的信息系统安全技术体系架构；j）
k）参考文献给出了GB/T20274的本部分的参考文献。1
GB/T20274.2—2008
5信息安全技术保障
安全技术保障概述
信息系统安全保障评估框架-安全技术保障主要用于评估信息系统中系统级的安全技术体系框架和安全技术解决方案，即对信息技术系统（信息技术系统：作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合）进行安全评估。在信息系统安全保障评估框架的技术、管理和工程保障中，安全技术保障同GB/T18336《信息技术安全性评估准则》间有着最直接和紧密的关系；信息系统安全保障评估准的安全技术体系框架和安全技术解决方案直接建立在经过GB/T18336准则评估认可的产品和产品系统之上。
在信息系统安全保障评估框架安全技术保障中，它的评估对象（TOE)是构成信息系统的所有计算机硬件、软件和/或固件的任何组合。信息系统安全保障评估框架安全技术保障，首先要求信息系统的用户为其评估对象（即信息技术系统）建立和完善其安全技术体系架构；在完成其信息技术系统安全技术体系架构后，基于此安全技术体系架构，对信息技术系统进行高层分析、确定相关安全目的；最后用规范化的安全技术保障控制组件类进行描述。5.2安全技术体系架构能力级
安全技术体系架构构建过程，是组织机构根据其系统安全风险评估的结果和系统安全策略的要求，并参考相关安全技术体系架构的标准和最佳实践，结合组织机构信息技术系统的具体现状和需求，建立的符合组织机构信息技术系统安全战略发展规划的整体安全技术体系框架；它是组织机构信息技术系统安全战略管理的具体体现。安全技术体系架构能力是组织机构执行系统安全技术能力的整体反映，是组织机构在进行信息安全技术体系框架管理并达到预定成本、功能和质量目标的度量的体现5.3安全技术保障控制要求范例
本条描述本部分中安全技术保障控制要求所使用的范例。图1和图2描述了范例的一些关键概念。本条为这些图和图中没有的其他关键概念提供文字描述。所讨论的关键概念以粗斜体突出表示。评估对象（TOE）
远程IT产品
安全属性
安全属性
安全属性
客体/信息
安全属性
TOE（安全功能接口）（TSFI）
TOE安全功能
执行TOE安全策略
(TSP）
安全属性
TSF控制范围（TSC）
图1安全技术保障控制要求范例（单个TOE）本部分是一个可为评估对象（TOE）规定安全功能要求的目录。TOE是包含电子存储媒体（如磁盘）、外设（如打印机）和计算能力（如CPU时间）等资源的IT产品或系统（同时带有用户和管理员指南文档），可用于处理和存储信息，是被评估的对象TOE评估主要关系到：确保对TOE资源执行了规定的TOE安全策略（TSP）。TSP定义了一些规2
GB/T20274.2—2008
则，通过这些规则TOE支配对其资源的访问，这样TOE就控制了其所有信息和服务。而TSP又由多个安全功能策略(SFP)所构成。每一SFP有其控制范围，定义了该SFP控制下的主体、客体和操作。SFP由安全功能（SF)实现，SF的机制执行该策略并提供必要的能力。本地用户
不可信IT产品
本地（TOE内）
可信路径
TOE内部传输
本地TOE
TSF控制
外传输
TSF间
可信路径
远程用户
图2分布式TOE内的安全功能图
TSF间传输
RF:远程
远程可信IT产品
为正确执行TSP而必须依赖的TOE中的那些部分，统称为TOE安全功能（TSF）。TSF包括实施安全所直接或间接依赖的TOE中的所有软件、硬件和固件。参照监视器是实施TOE的访问控制策略的抽象机。参照确认机制是参照监视器概念的实现，它具有以下特性：防算改、一直运行、简单到能对其进行彻底的分析和测试。TSF可能包括一个参照确认机制或TOE运行所需要的其他安全功能。TOE可能是一个包含硬件、固件和软件的单个产品，也可能是一个分布式产品，内部包括多个单独的部分，每一部分都为TOE提供一个特别的服务，并且通过一个内部通信信道与TOE其他部分相连接。该信道可以与处理器总线一样小，也可能是包含在TOE中的一个内部网络。当TOE由多个部分组成时，TOE的每一部分可拥有自已的TSF部分，此部分通过内部通信信道与TSF的其他部分交换用户数据和TSF数据。这种交互称为TOE内部传输。在这种情况下，这些TSF的分离部分抽象地形成一个复合的TSF来实施TSP。TOE接口可能限于特定的TOE使用，也可能允许通过外部通信信道与其他IT产品交互。这些与其他IT产品的外部交互可以采取两种形式：a）“远程可信IT产品”的安全策略和本地TOE的TSP已在管理上进行了协调和评估。这种情况下的信息交换称为TSF间传输，如同它们是在不同可信产品的TSF之间。远程IT产品可能没有被评估，因此它的安全策略是未知的，如图1.2中所示的“不可信IT产b）
品”。这种情况下的信息交换称为TSF控制外传输，如同在远程IT产品中没有TSF（或它的策略特性未知)。
可与TOE或在TOE中发生的、并服从TSP规则的交互集合称为TSF控制范围（TSC）。TSC包括一组根据主体、客体和TOE内的操作定义的交互集，但不必包括TOE的所有资源。一组交互式（人机接口）或编程（应用编程接口）接口，通过它，TSF访问、调配TOE资源，或者从3
GB/T20274.2—2008www.bzxz.net
TSF中获取信息，称为TSF接口（TSFI）。TSFI定义了为执行TSP而提供的TOE功能的边界。用户在TOE的外部，因此也在TSC的外部。但为请求TOE执行服务，用户要通过TSFI和TOE交互。本标准安全功能要求关心两种用户：人类用户和外部IT实体。人类用户进一步分为本地人类用户，他们通过TOE设备（如工作站）直接与TOE交互，或远程人类用户，他们通过其他IT产品间接与TOE交互。
用户和TSF间的一段交互期称为用户会话。可以根据各种考虑来控制用户会话的建立，如：用户鉴别、时段、访问TOE的方法和每个用户允许的并发会话数。本标准使用术语“已授权”来表示用户具有执行某种操作所必需的权力或特权。因此术语“授权用户”表示允许用户执行TSP定义的操作。为表达需要管理员责任分离的要求，本标准相关的安全功能组件（来自子类FMT_SMR）明确说明要求管理性角色。角色是预先定义的一组规则，这些规则建立起用户和TOE间所允许的交互。TOE可以支持定义任意数目的角色。例如，与TOE安全运行相关的角色可能包括“审计管理员”和“用户账号管理员”。
TOE包括可用于处理和存储信息的资源。TSF的主要目标是完全并正确地对TOE所控制的资源和信息执行TSP。
TOE资源能以多种方式结构化和利用。但是，本标准作出了特殊区分，以允许规定所期望的安全特性。所有由资源产生的实体能以两种方式中的一种来表征：实体可能是主动的，意指他们是TOE内部行为发生的原因，并导致对信息执行操作；实体也可能是被动的，意指它们是发出信息或存人信息的容器。
主动的实体称为主体。TOE内可能存在以下几种类型的主体：a）代表授权用户，遵从TSP所有规则的那些实体（例如：UNIX进程）；b）作为特定功能进程，可以轮流代表多个用户的那些实体（例如：在客户/服务器结构中可能找到的功能）；
c）作为TOE自身一部分的那些实体（例如：可信进程）。本部分所述的安全功能针对上述列出的各种主体执行TSP。被动实体（即信息存储器）在本部分中被称作“客体”。客体是可以由主体执行操作的对象。在一个主体（主动实体）是某个操作的对象（例如进程间通信）的情况下，该主体也可以作为客体。客体可以包含信息。在FDP类中说明信息流控制策略时，需要这个概念。用户、主体、信息和客体具有确定的属性，这些属性包括使TOE正确运转的信息。有些属性，可能只是提示性信息（即，增加TOE的用户友好性），如文件名，而另一些属性，可能专为执行TSP而存在，如访问控制信息，后面这些属性通常称为“安全属性”。在本部分中，属性一词将用作“安全属性”的简称，除非另有说明。但正如TSP规定的那样，无论属性信息的预期目的如何，对属性加以控制还是必要的。
TOE中的数据分为用户数据和TSF数据，图3表明了这种关系。用户数据是存储在TOE资源中的信息，用户可以根据TSP对其进行操作，而TSF对它们并不附加任何特殊的意义。例如，电子邮件消息的内容是用户数据。TSF数据是在进行TSP决策时TSF使用的信息。如果TSP允许的话，TSF数据可以受用户的影响。安全属性、鉴别数据以及访问控制表都是TSF数据的例子。有几个用于数据保护的SFP，诸如访问控制SFP和信息流控制SFP。实现访问控制SFP的机制，是基于控制范围内的主体属性、客体属性和操作来决定建立它们的策略，这些属性用于控制主体可以对客体执行的操作的规则集中。
实现信息流控制SFP的机制，是基于控制范围内的主体和信息的属性以及制约主体对信息操作的一组规则来决定它们的策略。信息的属性，可能与容器属性相关联（也可能没有关联，如多级数据库），在信息移动时与其相随。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。