信息安全技术安全办公U盘安全技术要求(GB-T 37091-2018).docx

《信息安全技术安全办公U盘安全技术要求(GB-T 37091-2018).docx》由会员分享，可在线阅读，更多相关《信息安全技术安全办公U盘安全技术要求(GB-T 37091-2018).docx（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.040L 80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术安全办公U盘安全技术要求Information security technologySecurity Office Usb Disk Technology Requirement点击此处添加与国际标准一致性程度的标识2017年4月在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言III1范围12规范性引用文件13术语、定义和缩略语13.1术语和定义13.2缩略语14评估对象描述25安全问题定义35

2、.1资产35.2威胁35.3组织安全策略45.4假设46安全目的46.1TOE安全目的46.2环境安全目的57安全功能要求57.1安全审计类77.2密码支持类87.3用户数据保护类97.4标识和鉴别类117.5安全管理类127.6TSF保护类147.7TOE访问158安全保障要求158.1安全保障级别158.2开发168.3指导性文档188.4生命周期支持198.5ST评估218.6测试248.7脆弱性评定269基本原理269.1安全目的的基本原理269.2安全要求的基本原理299.3组件依赖关系31参考文献35前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写

3、给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国信息安全测评中心、中铁信安（北京）信息安全技术有限公司、北信源软件股份有限公司、网神信息技术（北京）股份有限公司。本标准主要起草人：张宝峰、邓辉、张翀斌、张骁、李凤娟、吴毓书、许源、毛军捷、饶华一、唐三平、何悦、李继勇、毕永东、郭颖、张强。35信息安全技术 安全办公U盘安全技术要求1 范围本标准规定了对EAL2级和EAL3级的安全办公U盘进行安全保护所需要的安全功能要求和安全保障要求。本标准适用于安全办公U盘的测

4、试、评估，也可用于指导该类产品的研制和开发。本标准凡涉及密码算法的相关内容，按国家有关法规实施；凡涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的须遵循密码相关国家标准和行业标准。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 18336-2015 信息技术 安全技术 信息技术安全评估准则GB/T 20984-2007 信息安全技术 信息安全风险评估规范GB/T 25069-2010 信息安全技术 术语GB/T 28458-2012 信息安全技术

5、 安全漏洞标识与描述规范3 术语、定义和缩略语3.1 术语和定义GB/T 18336-2015、GB/T 20984-2007、GB/T 25069-2010和GB/T 28458-2012界定的以及下列术语和定义适用于本文件。3.1.1 安全办公U盘 Security office USB disk 安全办公U盘是一种基于USB接口建立用户与可信网或非可信网中PC机之间的连接，实现应用功能及安全功能的移动存储介质，如用户与PC机之间的信息交换、用户认证、安全审计、信息加密、信息存储等。3.2 缩略语下列缩略语适用于本文件。 CM：配置管理（Configuration Management）

6、EAL：评估保障级（Evaluation Assurance Level） ST：安全目标（Security Target） SF：安全功能（Security Function） SFP：安全功能策略（Security Function Policy） TOE：评估对象（Target of Evaluation） TSF：TOE安全功能（TOE Security Functionality） PIN：个人识别码（Personal Identification Number）4 评估对象描述安全办公U盘是一种基于USB接口建立用户与可信网或非可信网中PC机之间的连接，实现应用功能及安全功能的移动

7、存储介质，如用户与PC机之间的信息交换、用户认证、安全审计、信息加密、信息存储等。运行过程中，管理员对安全办公U盘实施管理，确保其数据的可用性、完整性及保密性。运行环境如图1所示：图1 TOE运行环境示意图安全办公U盘包括主机接口、USB控制器、存储区三大部分，目的在于满足一定程度办公要求的前提下防止信息泄露，其整体内部逻辑结构描述如图2所示：图2 TOE逻辑结构其中，各部分的功能包括：a) 主机接口：提供安全办公U盘与PC机建立连接的接口；b) USB控制器：1) 提供读写接口控制模块：此模块作用一是当用户试图建立安全办公U盘与PC机之间的连接时，USB控制器中的读写接口控制模块首先得到响应

8、，对安全办公U盘身份及用户需求进行识别。作用二是当识别结束后，建立用户与不同存储区之间的连接。2) 提供用户认证与鉴别模块：当读写模块对安全办公U盘识别成功后，如用户需要对保护存储区进行操作，则U盘中的用户认证和鉴别模块得到响应，提供认证和初始化服务，对用户身份进行识别。3) 提供密码模块：此模块作用一是在身份识别过程中，提供相关密码机制以认证用户权限，最终赋予合法用户使用安全办公U盘的能力，获取权限的用户通过读写接口控制模块和加密模块对存储区进行操作。作用二在于对保护存储区中的数据进行加密保护。4) 提供审计模块：此模块作用是将TOE运行过程中与安全功能相关的信息进行审计，并将其存储在加密存

9、储区。c) 存储区：存储需被TSF保护的数据，此区域须在取得合法用户认证的情况下，方可使用。1) 公共存储区域：存储办公程序（如office、adobe等等）。2) 保护存储区：存储用户数据、TSF数据。5 安全问题定义5.1 资产需要保护的资产：TSF数据（保护存储区中的数据，如TOE中的访问控制列表、审计日志、安全配置数据、密钥等信息）；用户数据（公共存储区中的数据，如用户的加密信息、非加密信息、办公软件等信息）。注：ST编写者应根据具体的应用情况细化对资产的描述。5.2 威胁5.2.1 仿冒欺骗（T.Spoof）攻击者通过伪装成为合法的用户或实体，来试图旁路安全办公U盘的安全控制策略。5

10、.2.2 故障利用（T.Failure_Exploitation）攻击者可通过分析TOE的运行故障以获取TSF数据、用户数据或滥用TOE的安全功能。这些故障可能是通过改变TOE的运行环境而触发的，也可能是由于TOE本身的设计缺陷而自发产生的，这些故障可能导致TOE的代码、系统数据或执行过程发生错误，使TOE在故障下运行，从而导致敏感数据泄露。5.2.3 数据残留（T.Data_Residue）攻击者可利用未被删除或安全处理的TOE运行记录对TOE进行非法操作。5.2.4 重复猜测（T.Repeat_Guess）攻击者使用反复猜测鉴别数据的方法，并利用所获信息，对安全办公U盘实施攻击。例如：攻击

11、者可能对PIN码进行重复猜测以获取各种权限。5.2.5 程序破坏（T.Program_Damage）攻击者读取、修改或破坏重要的安全办公U盘自身程序安全，例如攻击者可能通过逆向分析、驱动加载、线程注入、进程挂钩等技术可能破坏程序的正常运行，也可能删除某些重要程序。5.2.6 重放攻击（T.Replay_Attack）攻击者利用所截获的有效标识和鉴别数据，访问和使用由安全办公U盘提供的功能。例如：攻击者可能通过嗅探等方式截获有效用户的鉴别数据，并可能使用这些鉴别数据以访问敏感内容等。5.2.7 非授权访问（T. Unauthorized_Access）攻击者试图通过旁路安全办公U盘安全机制的方法

12、，访问和使用各种安全功能。例如：攻击者可能绕过PIN码身份验证访问文件保险箱、绕过认证服务器的访问控制策略。5.2.8 数据泄露（T.Data_Leak）攻击者（例如某未授权用户）通过各种技术手段获取到本地存储、传输过程中的敏感业务数据，造成数据泄露。例如攻击者可能通过解密手段获取数据，造成数据泄露。5.2.9 审计逃避（T.Audit_Escape）由于未生成审计记录或审计记录不完备而未被查阅，因此攻击者可能不需对其操作的行为负责，并可能导致某些攻击者逃避检测。例如攻击者尝试进行的破坏行为未被记录，管理员无法审计这些行为。5.2.10 不安全状态（T.Unsecure_State）攻击者通过

13、有效的攻击方式使安全办公U盘进入不安全状态。5.3 组织安全策略5.3.1 密码管理（P.Cryptography_Management）密码的使用必须符合国家制定的相关信息技术安全标准。5.3.2 硬件选型（P.Hardware_Selection）TOE应采用至少通过EAL4+测评的芯片。5.4 假设5.4.1 人员（A.Personnel）假定授权管理员是可信的、无恶意的，并且能够依据管理员指南规范其操作，例如发放安全办公U盘的管理员应可信、无恶意。假定使用TOE的人员已具备基本的安全防护知识并具有良好的使用习惯，且以规定的方式使用TOE。5.4.2 硬件（A.Chip_Hardware

14、）假定TOE运行所依赖的硬件具备足以保障TOE安全运行所需的物理安全防护能力。5.4.3 办公程序（A.Office_Program）假设安全办公U盘中预安装的办公程序（如office、adobe等等）不存在明显影响安全办公U盘安全的脆弱性。6 安全目的6.1 TOE安全目的6.1.1 用户认证（O.User_Identification）TOE应对操作实体进行用户认证，防止对TOE中用户数据和安全功能数据的未授权访问和使用。6.1.2 状态校验（O.State_Check）TOE应能校验自身状态，防止不安全状态。在检测到故障后应将工作状态恢复或调整至安全状态，防止攻击者利用故障实施攻击。6.

15、1.3 残留信息清除（O.ResidualInfomation_Clearance）TOE必须确保重要的数据在使用完成后会被删除或被安全处理，不会留下可被攻击者利用的残留数据信息。6.1.4 PIN码保护（O.PIN_Protection）TOE应对用户PIN码提供保护,防止攻击者的反复猜解等暴力破解。6.1.5 数据加密（O.Data_Encryption）TOE应对其保护的数据采取加密措施，如用户数据、安全功能数据等。6.1.6 密码安全（O.Cryptogram_Security）TOE必须以一个安全的方式支持密码功能，其使用的密码算法必须符合国家、行业或组织要求的密码管理相关标准或规范

16、。注：如果TOE所使用的密码算法均由芯片实现，则应将此安全目的移至ST的环境安全目的中。6.1.7 办公程序安全防护（O.Office Program_Prevention）TOE应对程序破坏，逆向分析等行为进行防护。6.1.8 抗重放攻击（O.Replay_Prevention）TOE应采取安全机制对抗可能的重放攻击。6.1.9 安全审计（O.Security_Audit）TOE应对违反策略的行为进行审计。6.2 环境安全目的6.2.1 人员（OE.Personnel）TOE开发、初始化和个人化等生命周期阶段中涉及到的特定人员应能严格地遵守安全的操作规程，以保障TOE在生命周期过程中的安全性

17、。6.2.2 应用程序（OE.Application_Program）安装应用程序到TOE的流程必须规范，且合法安装的应用程序不应包含恶意代码。6.2.3 芯片硬件（OE.Chip_Hardware）TOE的底层芯片必须能够抵抗物理攻击、环境干扰攻击和侧信道攻击等。7 安全功能要求表1列出了安全办公U盘安全功能要求组件，其详细内容将在下面分条描述。在描述过程中，方括号中的斜体字内容表示还需要在安全目标（ST）中确定的赋值及选择项。表1 安全功能要求组件组件分类安全功能要求组件序号FAU类：安全审计FAU_ARP.1安全告警1FAU_GEN.1审计数据产生2FAU_SAA.1潜在侵害分析3FCS

18、类：密码支持FCS_CKM.1密钥生成4FCS_CKM.4密钥销毁5FCS_COP.1密码运算6FDP类：用户数据保护FDP_ACC.1 子集访问控制7FDP_ACF.1 基于安全属性的访问控制8FDP_ITC.1 不带安全属性的用户数据输入9FDP_IFC.1 子集信息流控制10FDP_IFF.1 简单安全属性11FIA类：标识和鉴别FIA_AFL.1鉴别失败处理12FIA_ATD.1用户属性定义13FIA_UAU.1鉴别的时机14FIA_UAU.2任何动作前的用户鉴别15FIA_UAU.3不可伪造的鉴别16FIA_UID.1标识的时机17FIA_UID.2 任何动作前的用户标识18FMT类

19、：安全管理FMT_MOF.1安全功能行为的管理19FMT_MSA.1安全属性的管理20FMT_MSA.3静态属性初始化21FMT_MTD.1 TSF数据的管理22FMT_MTD.2 TSF数据限值的管理23FMT_SMR.1 安全角色24FMT_SMF.1 管理功能规范25表1（续）组件分类安全功能要求组件序号FPT类：TSF保护FPT_RCV.4 功能恢复26FPT_RPL.1 重放检测27FPT_STM.1 可靠的时间戳28FTA类：TOE访问FTA_SSL.2 用户原发会话锁定297.1 安全审计类7.1.1 安全告警（FAU_ARP.1）从属于：无其他组件。依赖关系：FAU_SAA.1

20、潜在侵害分析。7.1.1.1 FAU_ARP.1.1 TSF应允许对非正常操作进行告警配置。当检测到潜在的安全侵害时，TSF应进行以记录日志方式来安全告警。7.1.2 审计数据产生（FAU_GEN.1）从属于：无其他组件。依赖关系：FPT_STM.1可靠的时间戳7.1.2.1 FAU_GEN.1.1TSF应能为下述可审计事件产生审计记录：a）审计功能的开启和关闭；b）有关最小级审计级别的所有可审计事件；c）表2中列出的事件。表2 审计事件要求审计事件FCS_CKM.1 密钥生成操作的成功和失败FCS_CKM.4密钥销毁操作的成功和失败FCS_COP.1 密钥运算操作的成功和失败，以及密码运算的

21、类型FDP_ACF.1基于安全属性的访问控制对SFP涵盖的客体执行某个操作的成功请求FDP_ITC.1不带安全属性的用户数据输入用户数据的成功输入，包括任何安全属性FDP_IFF.1简单安全属性允许请求的信息流动的决定FIA_UAU.5 多重鉴别机制校验码一次性鉴别和用户口令鉴别FIA_AFL.1 鉴别失败处理未成功鉴别尝试达到阈值、达到阈值后所采取的动作(如使终端无效)，及后来（适当时）还原到正常状态(如重新使终端有效)表2（续）要求审计事件FIA_UAU.1 任何动作前的用户鉴别鉴别机制的未成功使用FIA_UAU.3 不可伪造的鉴别对欺骗性鉴别数据的检测FIA_UID.1 标识的时机未成功

22、用户标识机制的使用，包括所提供的用户身份FIA_UID.2 任何动作前的用户标识未成功用户标识机制的使用，包括所提供的用户身份FPT_RCV.4 功能恢复如有可能，TOE安全功能失效后，不能返回到安全状态的可能性FPT_RPL.1 重放检测检测到的重放攻击FPT_STM.1 可靠的时间戳时间的改变FTA_SSL.2 用户原发会话锁定利用会话锁定机制对交互式会话的锁定7.1.2.2 FAU_GEN.1.2TSF应在每个审计记录中至少记录下列信息：a） 事件的日期和时间、事件类型、主体身份（如果适用）、事件的结果（成功或失效）；b） 对每种审计事件类型，基于ST中功能组件的可审计事件的定义，赋值：

23、其他审计相关信息。7.1.3 潜在侵害分析（FAU_SAA.1）从属于：无其他组件。依赖关系：FAU_GEN.1审计数据产生。7.1.3.1 FAU_SAA.1.1 TSF应能使用一组规则去监测审计事件，并根据这些规则指示出对实施SFR的潜在侵害。7.1.3.2 FAU_SAA.1.2 TSF应执行下列规则监测审计事件：a） 已知的用来指示潜在安全侵害的赋值：已定义的可审计事件的子集的累积或组合；b）赋值：任何其他规则。7.2 密码支持类7.2.1 密钥生成(FCS_CKM.1)从属于：无其他组件。依赖关系：FCS_CKM.2密钥分发，或 FCS_COP.1密码运算； FCS_CKM.4密钥销

24、毁。7.2.1.1 FCS_CKM.1.1 TSF应根据符合下列标准赋值：相关标准的一个特定的密钥生成算法赋值：密钥生成算法和规定的密钥长度赋值：密钥长度来生成密钥。 注1：该组件仅适用于密钥生成功能由TOE本身完成的情况，此时ST编写者应根据密码算法的具体情况，赋值国家主管部门认可的相关标准及参数。注2：若密钥由外部环境生成，则可以不选择此组件。7.2.2 密钥销毁（FCS_CKM.4）从属于：无其他组件。依赖关系：FDP_ITC.1不带安全属性的用户数据输入，或 FDP_ITC.2带有安全属性的用户数据输入，或 FCS_CKM.1密钥生成。7.2.2.1 FCS_CKM.4.1 TSF应根

25、据符合下列标准赋值：标准列表的一个特定的密钥销毁方法赋值：密钥销毁方法来销毁密钥。注：ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁方法。7.2.3 密码运算（FCS_COP.1）从属于：无其他组件。依赖关系：FDP_ITC.1不带安全属性的用户数据输入，或 FDP_ITC.2带有安全属性的用户数据输入，或 FCS_CKM.1密钥生成； FCS_CKM.4密钥销毁。 7.2.3.1 FCS_COP.1.1TSF应根据符合下列标准赋值：标准列表的特定的密码算法赋值：密码算法和密钥长度赋值：密钥长度来执行赋值：密码运算列表。注：ST编写者应根据密码算法的具体情况赋值国家

26、主管部门认可的相关标准及参数。7.3 用户数据保护类7.3.1 子集访问控制（FDP_ACC.1）从属于：无其他组件。依赖关系：FDP_ACF.1 基于安全属性的访问控制。7.3.1.1 FDP_ACC.1.1 TSF应对用户，管理员，赋值：其他主体列表选择：删除、修改、读取，使用，赋值：其他具体操作列表用户数据，赋值：其他客体列表执行用户数据 访问控制策略。7.3.2 基于安全属性的访问控制（FDP_ACF.1）从属于：无其他组件。依赖关系：FDP_ACC.1子集访问控制； FMT_MSA.3静态属性初始化。7.3.2.1 FDP_ACF.1.1 TSF应基于赋值：指定SFP控制下的主体和客

27、体列表，以及每个与SFP的相关安全属性或与SFP相关的已命名安全属性组对客体执行赋值：访问控制SFP。7.3.2.2 FDP_ACF.1.2 TSF应执行以下规则，以确定在受控主体与受控客体间的一个操作是否被允许：赋值：在受控主体和受控客体间，通过对受控客体采取受控操作来管理访问的一些规则。7.3.2.3 FDP_ACF.1.3 TSF应基于以下附加规则：赋值：基于安全属性的，明确授权主体访问客体的规则，明确授权主体访问客体。7.3.2.4 FDP_ACF.1.4 TSF应基于赋值：基于安全属性的，明确拒绝主体访问客体的规则 明确拒绝主体访问客体。7.3.3 不带安全属性的用户数据输入（FDP

28、_ITC.1）从属于：无其他组件。依赖关系：FDP_ACC.1子集访问控制，或 FDP_IFC.1子集信息流控制； FMT_MSA.3静态属性初始化。7.3.3.1 FDP_ITC.1.1 在SFP控制下从TOE之外输入用户数据时，TSF应执行赋值：访问控制SFP和（/或）信息流控制SFP。7.3.3.2 FDP_ITC.1.2从TOE外部输入用户数据时，TSF应忽略任何与用户数据相关的安全属性。7.3.3.3 FDP_ITC.1.3在SPF控制下从TOE之外输入用户数据时，TSF应执行下面的规则：赋值：附加的输入控制规则。7.3.4 子集信息流控制（FDP_IFC.1）从属于：无其他组件。依

29、赖关系：FDP_IFF.1简单安全属性。7.3.4.1 FDP_IFC.1.1 TSF应对赋值：主体、信息及SFP所覆盖的导致受控信息流入、流出受控主体的操作列表执行赋值：信息流控制SFP。7.3.5 简单安全属性（FDP_IFF.1）从属于：无其他组件。依赖关系：FDP_IFC.1子集信息流控制； FMT_MSA.3静态属性初始化。7.3.5.1 FDP_IFF.1.1 TSF应基于下列类型主体和信息的安全属性：赋值：指定SFP控制下的主体和信息列表，以及每个对应的安全属性执行赋值：信息流控制SFP。7.3.5.2 FDP_IFF.1.2 如果支持下列规则：赋值：对每一个操作，必须在主体和信

30、息的安全属性之间成立的基于安全属性的关系，TSF应允许信息在受控主体和受控信息之间经由受控操作流动。7.3.5.3 FDP_IFF.1.3 TSF应执行赋值：附加的信息流控制SFP规则。7.3.5.4 FDP_IFF.1.4 TSF应根据下列规则：赋值：基于安全属性，明确批准信息流的规则明确批准一个信息流。7.3.5.5 FDP_IFF.1.5TSF应根据下列规则：赋值：基于安全属性，明确拒绝信息流的规则明确拒绝一个信息流。7.4 标识和鉴别类7.4.1 鉴别失败处理（FIA_AFL.1） 从属于：无其他组件。依赖关系：FIA_UAU.1鉴别的时机。7.4.1.1 FIA_AFL.1.1 TS

31、F应检测当选择：赋值：正整数，管理员可设置的赋值：可接受数值范围内的一个正整数时，与赋值：鉴别事件列表相关的未成功鉴别尝试。 7.4.1.2 FIA_AFL.1.2 当选择：达到、超过所定义的未成功鉴别尝试次数时，TSF应采取的赋值：动作列表。 7.4.2 用户属性定义（FIA_ATD.1）从属于：无其他组件。依赖关系：无依赖关系。7.4.2.1 FIA_ATD.1.1 TSF应维护属于单个用户的下列安全属性列表：选择：用户标识、PIN和密钥等鉴别数据、用户角色、 赋值：其他安全属性。7.4.3 鉴别的时机(FIA_UAU.1)从属于：无其他组件。依赖关系：FIA_UID.1标识的时机。7.4

32、.3.1 FIA_UAU.1.1 在用户被鉴别前，TSF应允许执行代表用户的赋值：由TSF促成的动作列表。7.4.3.2 FIA_UAU.1.2 在允许执行代表该用户的任何其它由TSF促成的动作前，TSF应要求每个用户都已被成功鉴别。7.4.4 任何动作前的用户鉴别（FIA_UAU.2）从属于：FIA_UAU.1鉴别的时机。依赖关系：FIA_UID.1标识的时机。7.4.4.1 FIA_UAU.2.1 在允许执行代表该用户的任何其它TSF介导动作前，TSF应要求每个用户都已被成功鉴别。7.4.5 不可伪造的鉴别（FIA_UAU.3）从属于：无其他组件。依赖关系：无依赖关系。7.4.5.1 FI

33、A_UAU.3.1 TSF应 选择：检测、防止 由任何TSF用户伪造的鉴别数据的使用。7.4.5.2 FIA_UAU.3.2 TSF应 选择：检测、防止 从任何其它的TSF用户处拷贝的鉴别数据的使用。7.4.6 标识的时机（FIA_UID.1）从属于：无其他组件。依赖关系：无依赖关系。7.4.6.1 FIA_UID.1.1在用户被识别之前，TSF应允许执行代表用户的赋值：TSF促成的动作列表。7.4.6.2 FIA_UID.1.2在允许执行代表该用户的任何其它TSF仲裁动作之前，TSF应要求每个用户身份都已被成功识别。7.4.7 任何动作前的用户标识（FIA_UID.2）从属于：FIA_UID

34、.1标识的时机。依赖关系：无依赖关系。7.4.7.1 FIA_UID.2.1 在允许执行代表该用户的任何其它TSF介导动作之前，TSF应要求每个用户被识别。7.5 安全管理类7.5.1 安全功能行为的管理（FMT_MOF.1）从属于：无其他组件。依赖关系：FMT_SMR.1安全角色； FMT_SMF.1管理功能规范。7.5.1.1 FMT_MOF.1.1 TSF应仅限于管理员对功能赋值：功能列表具有选择：确定其行为、终止、激活、修改其行为的能力。7.5.2 安全属性的管理（FMT_MSA.1）从属于：无其他组件。依赖关系：FDP_ACC.1子集访问控制，或 FDP_IFC.1子集信息流控制；

35、FMT_SMR.1安全角色； FMT_SMF.1管理功能规范。7.5.2.1 FMT_MSA.1.1 TSF应执行用户数据访问控制策略，以仅限于管理员能够对安全属性赋值：安全属性列表进行重置，选择：改变默认值、查询、修改、删除、赋值：其他操作。7.5.3 静态属性初始化（FMT_MSA.3）从属于：无其他组件。依赖关系：FMT_MSA.1安全属性的管理； FMT_SMR.1安全角色。7.5.3.1 FMT_MSA.3.1 TSF应执行访问控制SFP，以便为用于执行SFP的安全属性提供许可的默认值。7.5.3.2 FMT_MSA.3.2 TSF应允许管理员在创建客体或信息时指定替换性的初始值以代

36、替原来的默认值。7.5.4 TSF数据的管理（FMT_MTD.1）从属于：无其他组件。依赖关系：FMT_SMR.1安全角色； FMT_SMF.1管理功能规范。7.5.4.1 FMT_MTD.1.1 TSF应仅限于管理员能够对TOE版本信息、激活时间等标识数据，赋值：其他安全功能数据列表进行选择：改变默认值、查询、修改、删除、清除、赋值：其他操作。7.5.5 TSF数据限值的管理（FMT_MTD.2）从属于：无其他组件。依赖关系：FMT_MTD.1TSF数据的管理； FMT_SMR.1安全角色。7.5.5.1 FMT_MTD.2.1 TSF能应仅限于管理员规定连续鉴别失败尝试次数，赋值：其他TS

37、F数据列表的限值。7.5.5.2 FMT_MTD.2.2 如果TSF数据达到或超过了设定的限值，TSF应采取下面的动作：赋值：要采取的动作，如锁定所有安全功能。7.5.6 安全角色（FMT_SMR.1）从属于：无其他组件。依赖关系：FIA_UID.1标识的时机。7.5.6.1 FMT_SMR.1.1 TSF应维护角色赋值：已标识的授权角色。7.5.6.2 FMT_SMR.1.2 TSF应能够把用户和角色关联起来。7.5.7 管理功能规范（FMT_SMF.1）从属于：无其他组件。依赖关系：无依赖关系。7.5.7.1 FMT_SMF.1.1 TSF应能够执行如下管理功能：赋值：TSF提供的安全管理

38、功能列表。7.6 TSF保护类7.6.1 功能恢复（FPT_RCV.4）从属于：无其他组件。依赖关系：无依赖关系。7.6.1.1 FPT_RCV.4.1 TSF应确保在赋值：其他功能和失效情景列表时有如下特性，即SF或者成功完成，或者针对指明的失效情景恢复到一个前后一致的且安全的状态。7.6.2 重放检测（FPT_RPL.1）从属于：无其他组件。依赖关系：无依赖关系。7.6.2.1 FPT_RPL.1.2 检测到重放时，TSF应执行赋值：具体操作列表，如锁定所有安全功能 。7.6.3 可靠的时间戳（FPT_STM.1）从属于：无其他组件。依赖关系：无依赖关系。7.6.3.1 FPT_STM.1

39、.1 TSF应能为它自己的使用提供可靠的时间戳。7.7 TOE访问7.7.1 用户原发会话锁定（FTA_SSL.2）从属于：无其他组件。依赖关系：FIA_UAU.1鉴别的时机。7.7.1.1 FTA_SSL.2.1TSF应在达到用户规定的不活动时间间隔后，通过以下方法终止一个交互式会话：a) 清除或覆写显示设备，使当前的内容不可读；b) 除了会话解锁活动之外，终止用户数据存取/显示设备的任何活动。7.7.1.2 FTA_SSL.2.2TSF应要求在恢复会话之前发生以下事件：用户被重新鉴别。8 安全保障要求8.1 安全保障级别安全办公U盘的安全保障级别选择EAL2和EAL3，EAL2和EAL3级

40、别应包含的保障组件在表3中列出。表3 保障组件保障类保障组件序号备注EAL2EAL3ADV：开发ADV_ARC.1 安全架构描述1ADV_FSP.2安全执行功能规范2N/AADV_FSP.3 带完整摘要的功能规范3N/AADV_TDS.1 基础设计4N/AADV_TDS.2 结构化设计5N/AAGD：指导性文档AGD_OPE.1 操作用户指南6AGD_PRE.1 准备程序7ALC：生命周期支持ALC_CMC.2 CM系统的使用8N/AALC_CMC.3 授权控制9N/AALC_CMS.2 部分TOE CM覆盖10N/AALC_CMS.3 实现表示CM覆盖 11N/AALC_DEL.1 交付程序

41、12ALC_DVS.1 安全措施标识13N/AALC_LCD.1 开发者定义的生命周期模型14N/A表3（续）保障类保障组件序号备注EAL2EAL3ASE：ST评估ASE_CCL.1 符合性声明15ASE_ECD.1 扩展组件的定义16ASE_INT.1 ST引言17ASE_OBJ.2 安全目的18ASE_REQ.1 陈述性的安全要求19N/AASE_REQ.2 安全要求导出20N/AASE_SPD.1 安全问题定义21ASE_TSS.1 TOE概要规范22ATE：测试ATE_COV.1 覆盖证据23N/AATE_COV.2 覆盖分析24N/AATE_DPT.1 测试：基本设计25N/AATE

42、_FUN.1 功能测试26ATE_IND.2 独立测试抽样27AVA：脆弱性评定AVA_VAN.2 脆弱性分析28注：代表在该保障级下，应选择该组件。N/A代表在该保障级下，该组件不适用。8.2 开发8.2.1 安全架构描述（ADV_ARC.1）依赖：ADV_FSP.1 基本功能规范。 ADV_TDS.1 基本设计。开发者行为元素：ADV_ARC.1.1D 开发者应设计和实施TOE使得TSF的安全特性不能被旁路。ADV_ARC.1.2D开发者应设计和实施TOE使得TSF能够保护自身不受非可信活动实体的干扰。ADV_ARC.1.3D开发者应提供TSF安全架构描述。内容和形式元素：ADV_ARC.

43、1.1C安全架构描述的详细程度应与TOE设计文档中实施安全功能要求的抽象描述相当。ADV_ARC.1.2C安全架构描述应描述由TSF维护的与安全功能要求一致的安全域。ADV_ARC.1.3C安全架构描述应描述TSF初始化过程是安全的。ADV_ARC.1.4C安全架构描述应论证TSF保护自身不受干扰。ADV_ARC.1.5C安全架构描述应论证TSF能够防止安全功能要求的执行被旁路。评估者行为元素：ADV_ARC.1.1E 评估者应确认所提供的信息满足证据的内容和形式的所有要求。8.2.2 安全执行功能规范（ADV_FSP.2）依赖关系：ADV_TDS.1 基础设计。开发者行为元素：ADV_FSP.2.1D 开发者应提供一个功能规范。ADV_FSP.2.2D开发者应提供功能规范到安全功能要求的追溯关系。内容和形式元素：ADV_FSP.2.1C 功能规范应完整地描述TSF。ADV_F