信息安全技术安全办公U盘安全技术要求(GB-T 37091-2018).pdf

ICS 35.040L 80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术安全办公 U 盘安全技术要求Information security technologySecurity Office Usb Disk TechnologyRequirement点击此处添加与国际标准一致性程度的标识（送审稿）2017 年 4 月在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.III1范围.12规范性引用文件.13术语、定义和缩略语.13.1术语和定义.13.2缩略语.14评估对象描述.25安全问题定义.35.1资产.35.2威胁.35.3组织安全策略.45.4假设.46安全目的.46.1TOE 安全目的.46.2环境安全目的.57安全功能要求.57.1安全审计类.77.2密码支持类.87.3用户数据保护类.97.4标识和鉴别类.117.5安全管理类.127.6TSF 保护类.147.7TOE 访问.158安全保障要求.158.1安全保障级别.158.2开发.168.3指导性文档.188.4生命周期支持.198.5ST 评估.218.6测试.248.7脆弱性评定.269基本原理.269.1安全目的的基本原理.269.2安全要求的基本原理.29GB/T XXXXXXXXXII9.3组件依赖关系.31参考文献.35GB/T XXXXXXXXXIII前言本标准按照 GB/T 1.1-2009标准化工作导则 第 1 部分：标准的结构和编写给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国信息安全测评中心、中铁信安（北京）信息安全技术有限公司、北信源软件股份有限公司、网神信息技术（北京）股份有限公司。本标准主要起草人：张宝峰、邓辉、张翀斌、张骁、李凤娟、吴毓书、许源、毛军捷、饶华一、唐三平、何悦、李继勇、毕永东、郭颖、张强。GB/T XXXXXXXXX1信息安全技术 安全办公 U 盘安全技术要求1范围本标准规定了对EAL2级和EAL3级的安全办公U盘进行安全保护所需要的安全功能要求和安全保障要求。本标准适用于安全办公 U 盘的测试、评估，也可用于指导该类产品的研制和开发。本标准凡涉及密码算法的相关内容，按国家有关法规实施；凡涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的须遵循密码相关国家标准和行业标准。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 18336-2015信息技术 安全技术 信息技术安全评估准则GB/T 20984-2007信息安全技术 信息安全风险评估规范GB/T 25069-2010信息安全技术 术语GB/T 28458-2012信息安全技术 安全漏洞标识与描述规范3术语、定义和缩略语3.1术语和定义GB/T 18336-2015、GB/T 20984-2007、GB/T 25069-2010和GB/T 28458-2012界定的以及下列术语和定义适用于本文件。3.1.1安全办公 U 盘 Security office USB disk安全办公 U 盘是一种基于 USB 接口建立用户与可信网或非可信网中 PC 机之间的连接，实现应用功能及安全功能的移动存储介质，如用户与 PC 机之间的信息交换、用户认证、安全审计、信息加密、信息存储等。3.2缩略语下列缩略语适用于本文件。CM：配置管理（Configuration Management）EAL：评估保障级（Evaluation Assurance Level）ST：安全目标（Security Target）SF：安全功能（Security Function）SFP：安全功能策略（Security Function Policy）TOE：评估对象（Target of Evaluation）TSF：TOE安全功能（TOE Security Functionality）PIN：个人识别码（Personal Identification Number）GB/T XXXXXXXXX24评估对象描述安全办公 U 盘是一种基于 USB 接口建立用户与可信网或非可信网中 PC 机之间的连接，实现应用功能及安全功能的移动存储介质，如用户与 PC 机之间的信息交换、用户认证、安全审计、信息加密、信息存储等。运行过程中，管理员对安全办公 U 盘实施管理，确保其数据的可用性、完整性及保密性。运行环境如图 1 所示：图 1 TOE 运行环境示意图安全办公 U 盘包括主机接口、USB 控制器、存储区三大部分，目的在于满足一定程度办公要求的前提下防止信息泄露，其整体内部逻辑结构描述如图 2 所示：图 2 TOE 逻辑结构其中，各部分的功能包括：a)主机接口：提供安全办公 U 盘与 PC 机建立连接的接口；b)USB 控制器：1)提供读写接口控制模块：此模块作用一是当用户试图建立安全办公 U 盘与 PC 机之间的连接时，USB 控制器中的读写接口控制模块首先得到响应，对安全办公 U 盘身份及用户需求进行识别。作用二是当识别结束后，建立用户与不同存储区之间的连接。2)提供用户认证与鉴别模块：当读写模块对安全办公 U 盘识别成功后，如用户需要对保护存储区进行操作，则 U 盘中的用户认证和鉴别模块得到响应，提供认证和初始化服务，对用户身份进行识别。GB/T XXXXXXXXX33)提供密码模块：此模块作用一是在身份识别过程中，提供相关密码机制以认证用户权限，最终赋予合法用户使用安全办公 U 盘的能力，获取权限的用户通过读写接口控制模块和加密模块对存储区进行操作。作用二在于对保护存储区中的数据进行加密保护。4)提供审计模块：此模块作用是将 TOE 运行过程中与安全功能相关的信息进行审计，并将其存储在加密存储区。c)存储区：存储需被 TSF 保护的数据，此区域须在取得合法用户认证的情况下，方可使用。1)公共存储区域：存储办公程序（如 office、adobe 等等）。2)保护存储区：存储用户数据、TSF 数据。5安全问题定义5.1资产需要保护的资产：TSF 数据（保护存储区中的数据，如 TOE 中的访问控制列表、审计日志、安全配置数据、密钥等信息）；用户数据（公共存储区中的数据，如用户的加密信息、非加密信息、办公软件等信息）。注：ST 编写者应根据具体的应用情况细化对资产的描述。5.2威胁5.2.1仿冒欺骗（T.Spoof）攻击者通过伪装成为合法的用户或实体，来试图旁路安全办公 U 盘的安全控制策略。5.2.2故障利用（T.Failure_Exploitation）攻击者可通过分析 TOE 的运行故障以获取 TSF 数据、用户数据或滥用 TOE 的安全功能。这些故障可能是通过改变 TOE 的运行环境而触发的，也可能是由于 TOE 本身的设计缺陷而自发产生的，这些故障可能导致 TOE 的代码、系统数据或执行过程发生错误，使 TOE 在故障下运行，从而导致敏感数据泄露。5.2.3数据残留（T.Data_Residue）攻击者可利用未被删除或安全处理的 TOE 运行记录对 TOE 进行非法操作。5.2.4重复猜测（T.Repeat_Guess）攻击者使用反复猜测鉴别数据的方法，并利用所获信息，对安全办公 U 盘实施攻击。例如：攻击者可能对 PIN 码进行重复猜测以获取各种权限。5.2.5程序破坏（T.Program_Damage）攻击者读取、修改或破坏重要的安全办公 U 盘自身程序安全，例如攻击者可能通过逆向分析、驱动加载、线程注入、进程挂钩等技术可能破坏程序的正常运行，也可能删除某些重要程序。5.2.6重放攻击（T.Replay_Attack）攻击者利用所截获的有效标识和鉴别数据，访问和使用由安全办公 U 盘提供的功能。例如：攻击者可能通过嗅探等方式截获有效用户的鉴别数据，并可能使用这些鉴别数据以访问敏感内容等。GB/T XXXXXXXXX45.2.7非授权访问（T.Unauthorized_Access）攻击者试图通过旁路安全办公 U 盘安全机制的方法，访问和使用各种安全功能。例如：攻击者可能绕过 PIN 码身份验证访问文件保险箱、绕过认证服务器的访问控制策略。5.2.8数据泄露（T.Data_Leak）攻击者（例如某未授权用户）通过各种技术手段获取到本地存储、传输过程中的敏感业务数据，造成数据泄露。例如攻击者可能通过解密手段获取数据，造成数据泄露。5.2.9审计逃避（T.Audit_Escape）由于未生成审计记录或审计记录不完备而未被查阅，因此攻击者可能不需对其操作的行为负责，并可能导致某些攻击者逃避检测。例如攻击者尝试进行的破坏行为未被记录，管理员无法审计这些行为。5.2.10不安全状态（T.Unsecure_State）攻击者通过有效的攻击方式使安全办公U盘进入不安全状态。5.3组织安全策略5.3.1密码管理（P.Cryptography_Management）密码的使用必须符合国家制定的相关信息技术安全标准。5.3.2硬件选型（P.Hardware_Selection）TOE 应采用至少通过 EAL4+测评的芯片。5.4假设5.4.1人员（A.Personnel）假定授权管理员是可信的、无恶意的，并且能够依据管理员指南规范其操作，例如发放安全办公 U盘的管理员应可信、无恶意。假定使用TOE的人员已具备基本的安全防护知识并具有良好的使用习惯，且以规定的方式使用TOE。5.4.2硬件（A.Chip_Hardware）假定 TOE 运行所依赖的硬件具备足以保障 TOE 安全运行所需的物理安全防护能力。5.4.3办公程序（A.Office_Program）假设安全办公 U 盘中预安装的办公程序（如 office、adobe 等等）不存在明显影响安全办公 U 盘安全的脆弱性。6安全目的6.1TOE 安全目的6.1.1用户认证（O.User_Identification）TOE应对操作实体进行用户认证，防止对TOE中用户数据和安全功能数据的未授权访问和使用。GB/T XXXXXXXXX56.1.2状态校验（O.State_Check）TOE 应能校验自身状态，防止不安全状态。在检测到故障后应将工作状态恢复或调整至安全状态，防止攻击者利用故障实施攻击。6.1.3残留信息清除（O.ResidualInfomation_Clearance）TOE 必须确保重要的数据在使用完成后会被删除或被安全处理，不会留下可被攻击者利用的残留数据信息。6.1.4PIN 码保护（O.PIN_Protection）TOE应对用户PIN码提供保护,防止攻击者的反复猜解等暴力破解。6.1.5数据加密（O.Data_Encryption）TOE应对其保护的数据采取加密措施，如用户数据、安全功能数据等。6.1.6密码安全（O.Cryptogram_Security）TOE必须以一个安全的方式支持密码功能，其使用的密码算法必须符合国家、行业或组织要求的密码管理相关标准或规范。注：如果TOE所使用的密码算法均由芯片实现，则应将此安全目的移至ST的环境安全目的中。6.1.7办公程序安全防护（O.Office Program_Prevention）TOE应对程序破坏，逆向分析等行为进行防护。6.1.8抗重放攻击（O.Replay_Prevention）TOE应采取安全机制对抗可能的重放攻击。6.1.9安全审计（O.Security_Audit）TOE应对违反策略的行为进行审计。6.2环境安全目的6.2.1人员（OE.Personnel）TOE 开发、初始化和个人化等生命周期阶段中涉及到的特定人员应能严格地遵守安全的操作规程，以保障 TOE 在生命周期过程中的安全性。6.2.2应用程序（OE.Application_Program）安装应用程序到 TOE 的流程必须规范，且合法安装的应用程序不应包含恶意代码。6.2.3芯片硬件（OE.Chip_Hardware）TOE的底层芯片必须能够抵抗物理攻击、环境干扰攻击和侧信道攻击等。7安全功能要求表 1 列出了安全办公 U 盘安全功能要求组件，其详细内容将在下面分条描述。在描述过程中，方括GB/T XXXXXXXXX6号中的斜体字内容表示还需要在安全目标（ST）中确定的赋值及选择项。表表 1安全功能要求组件安全功能要求组件组件分类组件分类安全功能要求组件安全功能要求组件序号序号FAU 类：安全审计FAU_ARP.1 安全告警1FAU_GEN.1 审计数据产生2FAU_SAA.1 潜在侵害分析3FCS 类：密码支持FCS_CKM.1 密钥生成4FCS_CKM.4 密钥销毁5FCS_COP.1 密码运算6FDP 类：用户数据保护FDP_ACC.1 子集访问控制7FDP_ACF.1 基于安全属性的访问控制8FDP_ITC.1 不带安全属性的用户数据输入9FDP_IFC.1 子集信息流控制10FDP_IFF.1 简单安全属性11FIA 类：标识和鉴别FIA_AFL.1 鉴别失败处理12FIA_ATD.1 用户属性定义13FIA_UAU.1 鉴别的时机14FIA_UAU.2 任何动作前的用户鉴别15FIA_UAU.3 不可伪造的鉴别16FIA_UID.1 标识的时机17FIA_UID.2 任何动作前的用户标识18FMT 类：安全管理FMT_MOF.1 安全功能行为的管理19FMT_MSA.1 安全属性的管理20FMT_MSA.3 静态属性初始化21FMT_MTD.1 TSF 数据的管理22FMT_MTD.2 TSF 数据限值的管理23FMT_SMR.1 安全角色24FMT_SMF.1 管理功能规范25GB/T XXXXXXXXX7表表 1（续）（续）组件分类组件分类安全功能要求组件安全功能要求组件序号序号FPT 类：TSF 保护FPT_RCV.4 功能恢复26FPT_RPL.1 重放检测27FPT_STM.1 可靠的时间戳28FTA 类：TOE 访问FTA_SSL.2 用户原发会话锁定297.1安全审计类7.1.1安全告警（FAU_ARP.1）从属于：无其他组件。依赖关系：FAU_SAA.1 潜在侵害分析。7.1.1.1FAU_ARP.1.1TSF 应允许对非正常操作进行告警配置。当检测到潜在的安全侵害时，TSF 应进行以记录日志方式来安全告警。7.1.2审计数据产生（FAU_GEN.1）从属于：无其他组件。依赖关系：FPT_STM.1 可靠的时间戳7.1.2.1FAU_GEN.1.1TSF 应能为下述可审计事件产生审计记录：a）审计功能的开启和关闭；b）有关最小级审计级别的所有可审计事件；c）表 2 中列出的事件。表表 2 审计事件审计事件要求审计事件FCS_CKM.1 密钥生成操作的成功和失败FCS_CKM.4 密钥销毁操作的成功和失败FCS_COP.1 密钥运算操作的成功和失败，以及密码运算的类型FDP_ACF.1 基于安全属性的访问控制对 SFP 涵盖的客体执行某个操作的成功请求FDP_ITC.1 不带安全属性的用户数据输入用户数据的成功输入，包括任何安全属性FDP_IFF.1 简单安全属性允许请求的信息流动的决定FIA_UAU.5 多重鉴别机制校验码一次性鉴别和用户口令鉴别FIA_AFL.1 鉴别失败处理未成功鉴别尝试达到阈值、达到阈值后所采取的动作(如使终端无效)，及后来（适当时）还原到正常状态(如重新使终端有效)GB/T XXXXXXXXX8表表 2（续）（续）要求审计事件FIA_UAU.1 任何动作前的用户鉴别鉴别机制的未成功使用FIA_UAU.3 不可伪造的鉴别对欺骗性鉴别数据的检测FIA_UID.1 标识的时机未成功用户标识机制的使用，包括所提供的用户身份FIA_UID.2 任何动作前的用户标识未成功用户标识机制的使用，包括所提供的用户身份FPT_RCV.4 功能恢复如有可能，TOE 安全功能失效后，不能返回到安全状态的可能性FPT_RPL.1 重放检测检测到的重放攻击FPT_STM.1 可靠的时间戳时间的改变FTA_SSL.2 用户原发会话锁定利用会话锁定机制对交互式会话的锁定7.1.2.2FAU_GEN.1.2TSF 应在每个审计记录中至少记录下列信息：a）事件的日期和时间、事件类型、主体身份（如果适用）、事件的结果（成功或失效）；b）对每种审计事件类型，基于 ST 中功能组件的可审计事件的定义，赋值：其他审计相关信息。7.1.3潜在侵害分析（FAU_SAA.1）从属于：无其他组件。依赖关系：FAU_GEN.1 审计数据产生。7.1.3.1FAU_SAA.1.1TSF 应能使用一组规则去监测审计事件，并根据这些规则指示出对实施 SFR 的潜在侵害。7.1.3.2FAU_SAA.1.2TSF 应执行下列规则监测审计事件：a）已知的用来指示潜在安全侵害的赋值：已定义的可审计事件的子集的累积或组合；b）赋值：任何其他规则。7.2密码支持类7.2.1密钥生成(FCS_CKM.1)从属于：无其他组件。依赖关系：FCS_CKM.2 密钥分发，或FCS_COP.1 密码运算；FCS_CKM.4 密钥销毁。7.2.1.1FCS_CKM.1.1TSF 应根据符合下列标准赋值：相关标准的一个特定的密钥生成算法赋值：密钥生成算法和规定的密钥长度赋值：密钥长度来生成密钥。注1：该组件仅适用于密钥生成功能由TOE本身完成的情况，此时ST编写者应根据密码算法的具体情况，赋值国家主管部门认可的相关标准及参数。GB/T XXXXXXXXX9注2：若密钥由外部环境生成，则可以不选择此组件。7.2.2密钥销毁（FCS_CKM.4）从属于：无其他组件。依赖关系：FDP_ITC.1 不带安全属性的用户数据输入，或FDP_ITC.2 带有安全属性的用户数据输入，或FCS_CKM.1 密钥生成。7.2.2.1FCS_CKM.4.1TSF 应根据符合下列标准赋值：标准列表的一个特定的密钥销毁方法赋值：密钥销毁方法来销毁密钥。注：ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁方法。7.2.3密码运算（FCS_COP.1）从属于：无其他组件。依赖关系：FDP_ITC.1 不带安全属性的用户数据输入，或FDP_ITC.2 带有安全属性的用户数据输入，或FCS_CKM.1 密钥生成；FCS_CKM.4 密钥销毁。7.2.3.1FCS_COP.1.1TSF 应根据符合下列标准赋值：标准列表的特定的密码算法赋值：密码算法和密钥长度赋值：密钥长度来执行赋值：密码运算列表。注：ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及参数。7.3用户数据保护类7.3.1子集访问控制（FDP_ACC.1）从属于：无其他组件。依赖关系：FDP_ACF.1 基于安全属性的访问控制。7.3.1.1FDP_ACC.1.1TSF 应对用户，管理员，赋值：其他主体列表选择：删除、修改、读取，使用，赋值：其他具体操作列表用户数据，赋值：其他客体列表执行用户数据 访问控制策略。7.3.2基于安全属性的访问控制（FDP_ACF.1）从属于：无其他组件。依赖关系：FDP_ACC.1 子集访问控制；FMT_MSA.3 静态属性初始化。7.3.2.1FDP_ACF.1.1TSF 应基于赋值：指定 SFP 控制下的主体和客体列表，以及每个与 SFP 的相关安全属性或与 SFP相关的已命名安全属性组对客体执行赋值：访问控制 SFP。GB/T XXXXXXXXX107.3.2.2FDP_ACF.1.2TSF 应执行以下规则，以确定在受控主体与受控客体间的一个操作是否被允许：赋值：在受控主体和受控客体间，通过对受控客体采取受控操作来管理访问的一些规则。7.3.2.3FDP_ACF.1.3TSF 应基于以下附加规则：赋值：基于安全属性的，明确授权主体访问客体的规则，明确授权主体访问客体。7.3.2.4FDP_ACF.1.4TSF 应基于赋值：基于安全属性的，明确拒绝主体访问客体的规则 明确拒绝主体访问客体。7.3.3不带安全属性的用户数据输入（FDP_ITC.1）从属于：无其他组件。依赖关系：FDP_ACC.1 子集访问控制，或FDP_IFC.1 子集信息流控制；FMT_MSA.3 静态属性初始化。7.3.3.1FDP_ITC.1.1在 SFP 控制下从 TOE 之外输入用户数据时，TSF 应执行赋值：访问控制 SFP 和（/或）信息流控制SFP。7.3.3.2FDP_ITC.1.2从 TOE 外部输入用户数据时，TSF 应忽略任何与用户数据相关的安全属性。7.3.3.3FDP_ITC.1.3在 SPF 控制下从 TOE 之外输入用户数据时，TSF 应执行下面的规则：赋值：附加的输入控制规则。7.3.4子集信息流控制（FDP_IFC.1）从属于：无其他组件。依赖关系：FDP_IFF.1 简单安全属性。7.3.4.1FDP_IFC.1.1TSF 应对赋值：主体、信息及 SFP 所覆盖的导致受控信息流入、流出受控主体的操作列表执行赋值：信息流控制 SFP。7.3.5简单安全属性（FDP_IFF.1）从属于：无其他组件。依赖关系：FDP_IFC.1 子集信息流控制；FMT_MSA.3 静态属性初始化。7.3.5.1FDP_IFF.1.1TSF 应基于下列类型主体和信息的安全属性：赋值：指定 SFP 控制下的主体和信息列表，以及每GB/T XXXXXXXXX11个对应的安全属性执行赋值：信息流控制 SFP。7.3.5.2FDP_IFF.1.2如果支持下列规则：赋值：对每一个操作，必须在主体和信息的安全属性之间成立的基于安全属性的关系，TSF 应允许信息在受控主体和受控信息之间经由受控操作流动。7.3.5.3FDP_IFF.1.3TSF 应执行赋值：附加的信息流控制 SFP 规则。7.3.5.4FDP_IFF.1.4TSF 应根据下列规则：赋值：基于安全属性，明确批准信息流的规则明确批准一个信息流。7.3.5.5FDP_IFF.1.5TSF 应根据下列规则：赋值：基于安全属性，明确拒绝信息流的规则明确拒绝一个信息流。7.4标识和鉴别类7.4.1鉴别失败处理（FIA_AFL.1）从属于：无其他组件。依赖关系：FIA_UAU.1 鉴别的时机。7.4.1.1FIA_AFL.1.1TSF 应检测当选择：赋值：正整数，管理员可设置的赋值：可接受数值范围内的一个正整数时，与赋值：鉴别事件列表相关的未成功鉴别尝试。7.4.1.2FIA_AFL.1.2当选择：达到、超过所定义的未成功鉴别尝试次数时，TSF 应采取的赋值：动作列表。7.4.2用户属性定义（FIA_ATD.1）从属于：无其他组件。依赖关系：无依赖关系。7.4.2.1FIA_ATD.1.1TSF 应维护属于单个用户的下列安全属性列表：选择：用户标识、PIN 和密钥等鉴别数据、用户角色、赋值：其他安全属性。7.4.3鉴别的时机(FIA_UAU.1)从属于：无其他组件。依赖关系：FIA_UID.1 标识的时机。7.4.3.1FIA_UAU.1.1在用户被鉴别前，TSF 应允许执行代表用户的赋值：由 TSF 促成的动作列表。7.4.3.2FIA_UAU.1.2GB/T XXXXXXXXX12在允许执行代表该用户的任何其它由 TSF 促成的动作前，TSF 应要求每个用户都已被成功鉴别。7.4.4任何动作前的用户鉴别（FIA_UAU.2）从属于：FIA_UAU.1 鉴别的时机。依赖关系：FIA_UID.1 标识的时机。7.4.4.1FIA_UAU.2.1在允许执行代表该用户的任何其它 TSF 介导动作前，TSF 应要求每个用户都已被成功鉴别。7.4.5不可伪造的鉴别（FIA_UAU.3）从属于：无其他组件。依赖关系：无依赖关系。7.4.5.1FIA_UAU.3.1TSF 应 选择：检测、防止 由任何 TSF 用户伪造的鉴别数据的使用。7.4.5.2FIA_UAU.3.2TSF 应 选择：检测、防止 从任何其它的 TSF 用户处拷贝的鉴别数据的使用。7.4.6标识的时机（FIA_UID.1）从属于：无其他组件。依赖关系：无依赖关系。7.4.6.1FIA_UID.1.1在用户被识别之前，TSF 应允许执行代表用户的赋值：TSF 促成的动作列表。7.4.6.2FIA_UID.1.2在允许执行代表该用户的任何其它 TSF 仲裁动作之前，TSF 应要求每个用户身份都已被成功识别。7.4.7任何动作前的用户标识（FIA_UID.2）从属于：FIA_UID.1 标识的时机。依赖关系：无依赖关系。7.4.7.1FIA_UID.2.1在允许执行代表该用户的任何其它 TSF 介导动作之前，TSF 应要求每个用户被识别。7.5安全管理类7.5.1安全功能行为的管理（FMT_MOF.1）从属于：无其他组件。依赖关系：FMT_SMR.1 安全角色；FMT_SMF.1 管理功能规范。7.5.1.1FMT_MOF.1.1GB/T XXXXXXXXX13TSF 应仅限于管理员对功能赋值：功能列表具有选择：确定其行为、终止、激活、修改其行为的能力。7.5.2安全属性的管理（FMT_MSA.1）从属于：无其他组件。依赖关系：FDP_ACC.1 子集访问控制，或FDP_IFC.1 子集信息流控制；FMT_SMR.1 安全角色；FMT_SMF.1 管理功能规范。7.5.2.1FMT_MSA.1.1TSF 应执行用户数据访问控制策略，以仅限于管理员能够对安全属性赋值：安全属性列表进行重置，选择：改变默认值、查询、修改、删除、赋值：其他操作。7.5.3静态属性初始化（FMT_MSA.3）从属于：无其他组件。依赖关系：FMT_MSA.1 安全属性的管理；FMT_SMR.1 安全角色。7.5.3.1FMT_MSA.3.1TSF 应执行访问控制 SFP，以便为用于执行 SFP 的安全属性提供许可的默认值。7.5.3.2FMT_MSA.3.2TSF 应允许管理员在创建客体或信息时指定替换性的初始值以代替原来的默认值。7.5.4TSF 数据的管理（FMT_MTD.1）从属于：无其他组件。依赖关系：FMT_SMR.1 安全角色；FMT_SMF.1 管理功能规范。7.5.4.1FMT_MTD.1.1TSF 应仅限于管理员能够对TOE 版本信息、激活时间等标识数据，赋值：其他安全功能数据列表进行选择：改变默认值、查询、修改、删除、清除、赋值：其他操作。7.5.5TSF 数据限值的管理（FMT_MTD.2）从属于：无其他组件。依赖关系：FMT_MTD.1TSF 数据的管理；FMT_SMR.1 安全角色。7.5.5.1FMT_MTD.2.1TSF 能应仅限于管理员规定连续鉴别失败尝试次数，赋值：其他 TSF 数据列表的限值。7.5.5.2FMT_MTD.2.2GB/T XXXXXXXXX14如果 TSF 数据达到或超过了设定的限值，TSF 应采取下面的动作：赋值：要采取的动作，如锁定所有安全功能。7.5.6安全角色（FMT_SMR.1）从属于：无其他组件。依赖关系：FIA_UID.1 标识的时机。7.5.6.1FMT_SMR.1.1TSF 应维护角色赋值：已标识的授权角色。7.5.6.2FMT_SMR.1.2TSF 应能够把用户和角色关联起来。7.5.7管理功能规范（FMT_SMF.1）从属于：无其他组件。依赖关系：无依赖关系。7.5.7.1FMT_SMF.1.1TSF 应能够执行如下管理功能：赋值：TSF 提供的安全管理功能列表。7.6TSF 保护类7.6.1功能恢复（FPT_RCV.4）从属于：无其他组件。依赖关系：无依赖关系。7.6.1.1FPT_RCV.4.1TSF 应确保在赋值：其他功能和失效情景列表时有如下特性，即 SF 或者成功完成，或者针对指明的失效情景恢复到一个前后一致的且安全的状态。7.6.2重放检测（FPT_RPL.1）从属于：无其他组件。依赖关系：无依赖关系。7.6.2.1FPT_RPL.1.2检测到重放时，TSF 应执行赋值：具体操作列表，如锁定所有安全功能。7.6.3可靠的时间戳（FPT_STM.1）从属于：无其他组件。依赖关系：无依赖关系。7.6.3.1FPT_STM.1.1TSF 应能为它自己的使用提供可靠的时间戳。GB/T XXXXXXXXX157.7TOE 访问7.7.1用户原发会话锁定（FTA_SSL.2）从属于：无其他组件。依赖关系：FIA_UAU.1 鉴别的时机。7.7.1.1FTA_SSL.2.1TSF 应在达到用户规定的不活动时间间隔后，通过以下方法终止一个交互式会话：a)清除或覆写显示设备，使当前的内容不可读；b)除了会话解锁活动之外，终止用户数据存取/显示设备的任何活动。7.7.1.2FTA_SSL.2.2TSF 应要求在恢复会话之前发生以下事件：用户被重新鉴别。8安全保障要求8.1安全保障级别安全办公U盘的安全保障级别选择EAL2和EAL3，EAL2和EAL3级别应包含的保障组件在表3中列出。表表3 3 保障保障组件组件保障类保障组件序号序号备注备注EAL2EAL3ADV：开发ADV_ARC.1 安全架构描述1ADV_FSP.2 安全执行功能规范2N/AADV_FSP.3 带完整摘要的功能规范3N/AADV_TDS.1 基础设计4N/AADV_TDS.2 结构化设计5N/AAGD：指导性文档AGD_OPE.1 操作用户指南6AGD_PRE.1 准备程序7ALC：生命周期支持ALC_CMC.2 CM 系统的使用8N/AALC_CMC.3 授权控制9N/AALC_CMS.2 部分 TOE CM 覆盖10N/AALC_CMS.3 实现表示 CM 覆盖11N/AALC_DEL.1 交付程序12ALC_DVS.1 安全措施标识13N/AALC_LCD.1 开发者定义的生命周期模型14N/AGB/T XXXXXXXXX16表表3 3（续）（续）保障类保障组件序号序号备注备注EAL2EAL3ASE：ST评估ASE_CCL.1 符合性声明15ASE_ECD.1 扩展组件的定义16ASE_INT.1 ST 引言17ASE_OBJ.2 安全目的18ASE_REQ.1 陈述性的安全要求19N/AASE_REQ.2 安全要求导出20N/AASE_SPD.1 安全问题定义21ASE_TSS.1 TOE 概要规范22ATE：测试ATE_COV.1 覆盖证据23N/AATE_COV.2 覆盖分析24N/AATE_DPT.1 测试：基本设计25N/AATE_FUN.1 功能测试26ATE_IND.2 独立测试抽样27AVA：脆弱性评定AVA_VAN.2 脆弱性分析28注：代表在该保障级下，应选择该组件。N/A 代表在该保障级下，该组件不适用。8.2开发8.2.1安全架构描述（ADV_ARC.1）依赖：ADV_FSP.1 基本功能规范。ADV_TDS.1 基本设计。开发者行为元素：ADV_ARC.1.1D 开发者应设计和实施 TOE 使得 TSF 的安全特性不能被旁路。ADV_ARC.1.2D 开发者应设计和实施 TOE 使得 TSF 能够保护自身不受非可信活动实体的干扰。ADV_ARC.1.3D 开发者应提供 TSF 安全架构描述。内容和形式元素：ADV_ARC.1.1C 安全架构描述的详细程度应与 TOE 设计文档中实施安全功能要求的抽象描述相当。ADV_ARC.1.2C 安全架构描述应描述由 TSF 维护的与安全功能要求一致的安全域。ADV_ARC.1.3C 安全架构描述应描述 TSF 初始化过程是安全的。ADV_ARC.1.4C 安全架构描述应论证 TSF 保护自身不受干扰。ADV_ARC.1.5C 安全架构描述应论证 TSF 能够防止安全功能要求的执行被旁路。评估者行为元素：ADV_ARC.1.1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。GB/T XXXXXXXXX178.2.2安全执行功能规范（ADV_FSP.2）依赖关系：ADV_TDS.1 基础设计。开发者行为元素：ADV_FSP.2.1D 开发者应提供一个功能规范。ADV_FSP.2.2D 开发者应提供功能规范到安全功能要求的追溯关系。内容和形式元素：ADV_FSP.2.1C 功能规范应完整地描述 TSF。ADV_FSP.2.2C 功能规范应描述所有的 TSFI 的目的和使用方法。ADV_FSP.2.3C 功能规范应识别和描述每个 TSFI 相关的所有参数。ADV_FSP.2.4C 对于每个 SFR-执行 TSFI，功能规范应描述 TSFI 相关的 SFR-执行行为。ADV_FSP.2.5C 对于 SFR-执行 TSFI，功能规范应描述由 SFR-执行行为相关处理而引起的直接错误消息。ADV_FSP.2.6C 功能规范应证实安全功能要求到 TSFI 的追溯。评估者行为元素：ADV_FSP.2.1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。ADV_FSP.2.2E 评估者应确定功能规范是安全功能要求的一个准确且完备的实例化。8.2.3带完整摘要的功能规范(ADV_FSP.3)依赖关系：ADV_TDS.1 基础设计。开发者行为元素：ADV_FSP.3.1D 开发者应提供一个功能规范。ADV_FSP.3.2D 开发者应提供功能规范到安全功能要求的追溯。证据的内容和形式元素：ADV_FSP.3.1C 功能规范应完全描述 TSF。ADV_FSP.3.2C 功能规范应描述所有的 TSFI 的目的和使用方法。ADV_FSP.3.3C 功能规范应识别和描述每个 TSFI 相关的所有参数。ADV_FSP.3.4C 对于每个 SFR-执行 TSFI，功能规范应描述 TSFI 相关的 SFR-执行行为。ADV_FSP.3.5C 对于每个 SFR-执行 TSFI，功能规范应描述与 TSFI 的调用相关的安全实施行为和异常而引起的直接错误消息。ADV_FSP.3.6C 功能规范需总结与每个 TSFI 相关的 SFR-支撑和 SFR-无关的行为。ADV_FSP.3.7C 功能规范应证实安全功能要求到 TSFI 的追溯。评估者行为元素：ADV_FSP.3.1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。ADV_FSP.3.2E 评估者应确定功能规范是安全功能要求的一个准确且完备的实例化。8.2.4基础设计（ADV_TDS.1）依赖关系：ADV_FSP.2 安全执行功能规范。开发者行为元素：ADV_TDS.1.1D 开发者应提供 TOE 的设计。ADV_TDS.1.2D 开发者应提供从功能规范的 TSFI 到 TOE 设计中获取到的最低层分解的映射。内容和形式元素：ADV_TDS.1.1C 设计应根据子系统描述 TOE 的结构。GB/T XXXXXXXXX18ADV_TDS.1.2C 设计应标识 TSF 的所有子系统。ADV_TDS.1.3C 设计应对每一个 SFR-支撑或 SFR-无关的 TSF 子系统的行为进行足够详细的描述，以确定它不是 SFR-执行。ADV_TDS.1.4C 设计应概括 SFR-执行子系统的 SFR-执行行为。ADV_TDS.1.5C设计应描述TSF的SFR-执行子系统间的相互作用和TSF的SFR-执行子系统与其它TSF子系统间的相互作用。ADV_TDS.1.6C 映射关系应证实 TOE 设计中描述的所有行为能够映射到调用它的 TSFI。评估者行为元素：ADV_TDS.1.1E 评估者应确认提供的信息满足证据的内容与形式的所有要求。ADV_TDS.1.2E 评估者应确定设计是所有安全功能要求的正确且完备的实例。8.2.5结构化设计（ADV_TDS.2）依赖关系：ADV_FSP.3 带完整摘要的功能规范。开发者行为元素：ADV_TDS.2