GB/T 18336.2-2001 信息技术 安全技术 信息技术安全性评估准则 第2部分：安全功能要求

中华人民共和国国家标准

信息技术安全技术

信息技术安全性评估准则

第部分安全功能要求

发布实施

国家质量技术监督局发布

前言

本标准等同采用国际标准信息技术安全技术信息技术安全性评估准

则第部分安全功能要求

标准介绍了信息技术安全性评估的安全功能要求

在总标题信息技术安全技术信息技术安全性评估准则下由以下几个部分组

成

第部分简介和一般模型

第部分安全功能要求

第部分安全保证要求

标准的附录到附录是提示的附录

标准由国家质量技术监督局提出

标准由全国信息技术标准化技术委员会归口

标准由中国国家信息安全测评认证中心信息产业部电子第研究所国家信息中心复旦大学

负责起草

本标准主要起草人吴世忠龚奇敏陈晓李守鹏罗建中方关宝吴亚飞雷利民张建军叶

红吴承荣黄元飞任卫红崔玉华

标准委托中国国家信息安全测评认证中心负责解释

前言

国际标准化组织和国际电工委员会形成了全世界标准化的专门体系作为或

成员的国家机构通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定和

技术委员会在共同关心的领域里合作其它与和有联系的政府和非政府的国际组织也参

加了该项工作

国际标准的起草符合导则第部分的原则

在信息技术领域和已经建立了一个联合技术委员会联合技术委员

会采纳的国际标准草案分发给国家机构投票表决作为国际标准公开发表需要至少的国家机构

投赞成票

国际标准是由联合技术委员会信息技术与通用准则项目发起

组织合作产生的与同样的文本由通用准则项目发起组织作为信息技术安全性评估

通用准则发表有关通用准则项目的更多信息和发起组织的联系信息由的附录

提供

在信息技术安全技术信息技术安全性评估准则的总标题下由以下几

部分组成

第部分简介和一般模型

第部分安全功能要求

第部分安全保证要求

部分的附录到仅供参考

以下具有法律效力的提示已按要求放置在的所有部分

在附录中标明的七个政府组织总称为通用准则发起组织作为信息技术

安全性评估通用准则第至第部分称为版权的共同所有者在此特许在开发

国际标准中非排他性地使用但是通用准则发起组织在他们认为适当时保留对的

使用拷贝分发以及修改的权利

中华人民共和国国家标准

信息技术安全技术

信息技术安全性评估准则

第部分安全功能要求

范围

标准定义的安全功能组件是保护轮廓或安全目标中所表述的安全功能要求

的基础这些要求描述了对评估对象所期望的安全行为目的是满足或中陈述的安全目

的这些要求描述用户通过与直接交互即输入输出或通过对刺激的反应可以检测到的

安全特性

安全功能组件表达用于在假定的运行环境中对抗威胁的要求或涉及所有标识的组织安全

策略和假设

标准的读者包括安全系统和产品的用户开发者和评估员第部分第章提

供了关于本标准的目标读者以及这些目标读者群使用标准的附加信息这些读者群可按如下形式使

用本标准

用户当选择组件来表达功能要求以满足或中的安全目的时使用标准

第部分条给出了有关安全目的和安全要求之间关系的详细信息

开发者对实际或预期的用户安全要求建立时可以在本标准中找到理解这些安全需

求的标准化方法他们也可以将本标准的内容作为进一步定义符合这些要求的安全功能和机制

的基础

评估者使用本标准中定义的功能要求验证或中的功能要求是否满足安全

目的并且应考虑所有依赖关系是否得到满足评估者也应使用标准内容来帮助确定给定满足

所陈述的要求

功能要求的扩展和维护

本标准及在此描述的相关安全功能要求并不打算成为所有安全问题的确定答案而是提供一

组广为理解的安全功能要求用于创建反映市场需求的可信产品或系统这些安全功能要求的给出体

现当前要求规范和评估的技术发展水平

本标准不包括所有可能的安全功能要求而是包含那些在发布时作者已知并认为有价值的那些要

求

因为用户的理解和需求可能会变化因此需要维护本标准中的功能要求作者可能还有一

些安全要求未包含在标准功能要求组件中此时的作者可考虑使用不是来自本标准的功能

要求称之为可扩展性参见第部分中的附录和附录

本标准的结构

国家质量技术监督局批准实施

第章是标准的简介

第章介绍本标准功能组件的分类第章到第章描述这些功能类

附录为可能使用功能组件的用户提供感兴趣的附加信息其中包括完整的功能组件间依赖关系

的交叉参照表

附录至附录提供功能类的应用注释它们是标准用户的参考资料库可以帮助用户应用相

关的操作并选择恰当的审计或文档信息

有关结构规则和指南的信息编写或的作者应参考第部分第章

第部分第章定义标准中使用的术语

第部分附录定义的结构

第部分附录定义的结构

功能要求范例

条描述标准中安全功能要求所使用的范例图和图描述了范例的一些关键概念

条为这些图和图中没有的其他关键概念提供文字描述所讨论的关键概念以粗斜体突出表示条并

不打算替换或取代第部分第章标准术语表中的任何术语

图安全功能要求范例单个

标准是一个可为评估对象规定安全功能要求的目录是包含电子存储体如磁

盘外设如打印机和计算能力如时间等资源的产品或系统同时带有用户和管理员指南

文档可用于处理和存储信息是评估的对象

评估主要关系到确保对资源执行了规定的安全策略定义了一些规

则通过这些规则支配对其资源的访问这样就控制了所有信息和服务

而又由多个安全功能策略所构成每一有其控制范围定义该控制下的主

体客体和操作由安全功能实现的机制执行该策略并提供必要的能力

图分布式内的安全功能图

为正确执行而必须依赖的中的那些部分统称为安全功能包括实施

安全所直接或间接依赖的中的所有软件硬件和固件

参照监视器是实施的访问控制策略的抽象机参照确认机制是参照监视器概念的实现它具

有以下特性防篡改一直运行简单到能对其进行彻底的分析和测试可能包括一个参照确认机

制或运行所需要的其他安全功能

可能是一个包含硬件固件和软件的单个产品也可能是一个分布式产品内部包括多个单

独的部分每一部分都为提供一个特别的服务并且通过一个内部通信信道与其他部分相

连接该信道可以与处理器总线一样小也可能包含的一个内部网络

当由多个部分组成时的每一部分可拥有自己的部分此部分通过内部通信信道

与的其他部分交换用户数据和数据这种交互称为内部传送在这种情况下这些

的分离部分抽象地形成一个复合的来实施

接口可能限于特定的使用也可能允许通过外部通信信道与其他产品交互这些与

其他产品的外部交互可以采取两种形式

远程可信产品的安全策略和地的已在管理上进行了协调和评估这种情况

下的信息交换称为间传送如同它们是在不同可信产品的之间

远程产品可能没有被评估因此它的安全策略是未知的如图中所示的不可信产

品这种情况下的信息交换称为控制外传送如同在远程产品中没有或它的策略特性未

知

可与或在中发生的并服从规则的交互集合称为控制范围包括一

组根据主体客体和内的操作定义的交互集但不必包括的所有资源

一组交互式人机接口或编程应用编程接口接口通过它访问调配资源或者从

中获取信息称为接口定义了为执行而提供的功能的边界

用户在的外部因此也在的外部但为请求执行服务用户要通过和

交互标准安全功能要求关心两种用户个人用户和外部实体个人用户进一步分为本地个人用

户他们通过设备如工作站直接与交互或远程个人用户他们通过其他产品间接与

交互

用户和间的一段交互期称为用户会话可以根据各种考虑来控制用户会话的建立如用户鉴

别时段访问的方法和每个用户允许的并发会话数

标准使用术语已授权来表示用户具有执行某种操作所必需的权力或特权因此术语授权用户

表示允许用户执行定义的操作

为表达需要管理员责任分离的要求标准相关的安全功能组件来自子类明确说

明要求管理性角色角色是预先定义的一组规则这些规则建立起用户和间所允许的交互

可以支持定义任意数目的角色例如与安全运行相关的角色可能包括审计管理员和用户帐

号管理员

包括可用于处理和存储信息的资源的主要目标是完全并正确地对所控制的资源

和信息执行

资源能以多种方式结构化和利用但是本标准作出了特殊区分以允许规定所期望的安全特

性所有由资源产生的实体能以两种方式中的一种来表征实体可能是主动的意指他们是内部

行为发生的原因并导致对信息执行操作实体也可能是被动的意指他们是发出信息或存入信息的容

器

主动的实体称为主体内可能存在以下几种类型的主体

代表授权用户遵从所有规则的那些实体例如进程

作为特定功能进程可以轮流代表多个用户的那些实体例如在客户服务器结构中可能找到

的功能

作为自身一部分的那些实体例如可信进程

标准所述的安全功能对上述列出的各种主体执行

被动实体即信息存储器在标准中被称作客体客体是可以由主体执行操作的对象在一个

主体主动实体是某个操作的对象例如进程间通信的情况下该主体也可以作为客体

客体可以包含信息在类中说明信息流控制策略时需要这个概念

用户主体信息和客体具有确定的属性这些属性包括使正确运转的信息有些属性可能

只是提示性信息即加的用户友好性如文件名而另一些属性可能专为执行而存在

如访问控制信息后面这些属性通常称为安全属性在标准中属性一词将用作安全属性的简称

除非另有说明但正如规定的那样无论属性信息的预期目的如何对属性加以控制还是必要的

中的数据分为用户数据和数据图表明了这种关系用户数据是存储在资源

中的信息用户可以根据对其进行操作而对它们并不附加任何特殊的意义例如电子邮件

消息的内容是用户数据数据是在进行决策时使用的信息如果允许的话数

据可以受用户的影响安全属性鉴别数据以及访问控制表都是数据的例子

有几个用于数据保护的诸如访问控制和信息流控制实现访问控制的机制

是基于控制范围内的主体属性客体属性和操作来决定建立他们的策略这些属性用于控制主体可以对

客体执行操作的规则集中

实现信息流控制的机制是基于控制范围内的主体和信息的属性以及制约主体对信息操作的

一组规则来决定他们的策略信息的属性可能与容器属性相关联也可能没有关联如多级数据库在

信息移动时与其相随

图用户数据和数据的关系

标准涉及的两种特殊数据鉴别数据和秘密可以是但不必一定是相同的

鉴别数据用于验证向请求服务的用户声明的身份最通用的鉴别数据形式是口令口令要成

为有效的安全机制依赖于对其进行保密但是不是所有形式的鉴别数据都需要保密生物测定学鉴别

设备例如指纹阅读器视网膜扫描仪就不依赖于数据保密因为这些数据只有一个用户拥有其他人

不能伪造

标准功能要求中用到的术语秘密对鉴别数据适用对其他为执行一特定而必须保密的

数据也同样适用例如依靠密码技术保护在信道中传送信息的保密性的可信信道机制其强度应与用

来保持密钥的秘密以防止未授权泄露的方法的强度相当

因此不是所有的鉴别数据都需要保密也不是所有的秘密都被用作鉴别数据图说明了秘密

和鉴别数据间的关系图中指出了常见的鉴别数据和秘密的数据类型

图鉴别数据和秘密的关系

引用标准

下列标准所包括的条文通过在本标准中引用而构成为标准的条文标准出版时所示版均

为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性

信息技术安全技术信息技术安全性评估准则第部分简介和一般

模型

安全功能组件

综述

章定义标准的功能要求的内容和形式并为需要向中添加新组件的组织提供指南功能要

求以类子类和组件来表达

类结构

图以图表的形式阐明了功能类的结构每个功能类包括一个类名类介绍及一个或多个功能子

类

图功能类结构

类名

类名提供标识和化分功能类所必需的信息每个功能类都有一个唯一的名称类的分类信息由三个

字符的简名组成类的简名用于该类中的子类的简名规范中

类介绍

类介绍描述这些子类满足安全目标的通用意图或方法功能类的定义不反映要求规范中的任何正

式分类法

类介绍用图来描述类中的子类和每个子类中组件的层次结构见条的解释

子类结构

图以框图形式说明功能子类的结构

图功能子类结构

子类名

子类名部分提供标识和化分功能子类所必需的分类和描述信息每个功能子类有一个唯一的名称

子类的分类信息由七个字符的简名组成开头三个字符与类名相同后跟一个下划线和子类名例如

唯一的简短子类名为组件提供主要的引用名

子类行为

子类行为是对功能子类的叙述性描述陈述其安全目的以及对功能要求的一般描述以下是更详

细的描述

子类的安全目的阐述在包含该子类的一个组件的的帮助下可以解决的安全问题

功能要求的描述总结组件中包含的所有要求该描述对和功能包的作者他们希望评

价该子类是否与他们的特定需求相关

组件层次

功能子类包含一个或多个组件任何一个组件都可被选择包括在和功能包中条的目的

是一旦子类被认为是用户安全要求的一个必要或有用的部分时向用户提供选择恰当的功能组件的信

息

功能子类描述部分描述所用组件和它们的基原理组件的更多细节包含在每个组件中

功能子类内组件间的关系可能是也可能不是层次化的如果一个组件相对另一个组件提供更多的

安全那么该组件对另一个组件来说是有层次的

如条所述子类的描述中提供了关于子类内组件层次结构的图示

管理

管理要求包含作者应考虑的作为给定组件的管理活动的信息管理要求在管理类

的组件里详述

作者可以选择已指出的管理要求或者可以包括其他没有列出的管理要求因而这些信息应

认为是提示性的

审计

如果中包含来自类安全审计中的要求则审计要求包含供作者选择的可审

计的事件这些要求包括按安全审计数据产生子类的组件所支持的以各种不同详细级别

表示的安全相关事件例如一个审计记录可能包括下述行动最小级安全机制的成功使用基级

安全机制的成功使用以及所涉及到的安全属性的相关信息详细级所有对机制配置的改变包

括改变前后的实际配置值

显然可审计事件的分类是层次化的例如当期望基级审计产生时所有标识为最小级和基

级的可审计事件都应通过适当的赋值操作包括在内只是高级事件仅仅比低级事件提供更多的

细节当期望详细级审计产生时所有标识为最小级基级和详细级的可审计事件都应包括在

内

类更详尽地解释了管理审计的规则

组件结构

图描绘功能组件的结构

图功能组件结构

组件标识

组件标识提供标识分类注册和交叉引用组件时所必需的描述性信息下列各项作为每个功能组

件的部分

一个唯一的名字该名字反映了组件的目的

一个简名即功能组件名的唯一简写形式简名作为分类注册和交叉引用组件的主要引用名简

名反映出组件所属的类和子类以及在子类中组件的编号

一个从属于表这个组件所从属于的其他组件列表以及该组件可用来满足与所列组件间的依赖关

系

功能元素

为每一组件提供了一组元素每个元素都分别定义并且是相互独立的

功能元素是一个安全功能要求如果进一步划分将不会产生有意义的评估结果它是

中标识和认同的最小安全功能要求

当建立包或时不允许从一个组件中只选择一个或几个元素必须选择组件的全部元素

每个功能元素名都有一个唯一的简化形式例如要求名意义如下功能要

求用户数据保护类信息流控制功能子类第四个组件名为部分消除

非法信息流该组件的第个元素

依赖关系

当一个组件身不充分而要依赖于其他组件的功能或依赖于与其他组件的交互才能正确发挥其

功能时就产生了功能组件间的依赖关系

每个功能组件都提供一个对其他功能和保证组件的完整的依赖关系表有些组件可能列出无依赖

关系所依赖的组件又可能依赖其他组件组件中提供的列表是直接的依赖关系这只是为该功能要

求能正确完成其功能提供参考间接依赖关系也就是由所依赖组件产生的依赖关系见本标准附录

值得注意的是在某些情况下依赖关系可在提供的多个功能要求中选择这些功能要求中的每一个都足

以满足依赖关系例如

依赖关系列表标识出为满足与已标识组件相关的安全要求所必需的最少功能或保证组件从属于

已标识组件的那些组件也可用来满足依赖关系

标准指明的依赖关系是规范的在中它们必须得到满足在特定的情况下这种依赖关系

可能不适用只要作者在基原理中说清不适用的理由就可以在包和中不考虑依赖

的组件

允许的功能组件操作

用于在或功能包内定义要求的功能组件可以与标准第到第章中说明的完全一样

也可以经裁剪以满足特定的安全目的但是选择和裁剪这些功能组件是复杂的因为必须考虑所标识

组件依赖关系因此这种裁剪只限于一组允许的操作

每个功能组件都包括一个允许的操作列表对所有功能组件并非一切操作都是允许的

允许的操作选自

反复采用不同的操作多次使用同一组件

赋值对指定参数的说明

选择对列表中的一个或多个元素的说明

细化加细节

反复

当需要覆盖同一要求的不同方面时如标识一个以上类型的用户允许重复使用本标准的同一组

件来覆盖每个方面

赋值

某些功能组件元素包含一些参数和变量这些参数和变量使作者可以指定或中包

含的一个策略或一组值以满足特定的安全目的这些元素清楚地标识出每个参数及其可以分配给该参

数的值

元素任一方面的可接受值如能无歧义地描述和列举就可用一个参数来表述该参数可能是一个属

性或规则它把要求限定为一个确定的值或值的范围例如根据指定的安全目的功能组件元素可以规

定一给定的操作应执行数次在这种情况下赋值应提供用于该参数中的次数或次数范围

选择

这是为缩小一个组件元素的范围从列表中选取一个或多个项目的操作

细化

对所有功能组件元素来说为满足安全目的允许作者通过加细节来限定可接受的实现

集元素的细化由这些加的技术细节来组成

在中可能需要就对术语主体和客体的含义作出有意义的解释因此需要细化

其他操作一样细化不加任何完全新的要求根据安全目的它对要求规则常量和条件施以

详细阐述解释或特别的含义细化应只是进一步限定实现要求所可能接受的功能或机制集而不是

加要求细化不允许建立新要求因此不会加与组件相关的依赖关系列表作者必须注意其

他要求对该要求的依赖关系仍应得到满足

组件分类

标准中组件的分组不代表任何正式的分类法

标准包括子类和组件的分类它们是基于相关的功能和目的的粗略分组按字母顺序给出每个

类的开头是一个提示性框图指出该类的分类法类中的子类和子类中的组件这个图对指示可能存在

于组件间的层次关系是有用的

在功能组件的描述中有一段指出该组件和任何其他组件之间的依赖关系

在每个类中都有一个与图类似的描述子类层次关系的图在图中第个子类子类

包括了三个有从属关系的组件其中组件和组件都可以用来满足对组件的依赖关系组件从属

于组件并且可以用来满足对组件的依赖关系

图示范类分解图

在子类中有三个组件这三个组件不全都有从属关系组件和组件不从属于其他组件组件

从属于组件可以用来满足对组件的依赖关系但不能满足对组件的依赖关系

在子类中组件从属于组件组件和也都从属于组件但无可比性组件从属于

组件和

这些图的目的是补充子类中的文字说明使关系的识别容易它们并不取代每个组件中的从属

于注释这些注释是对每个组件从属关系的强制声明

突出组件变化

子类中组件的关系约定以粗体字突出表示粗体字约定所有新的要求用粗体表示对于有从属关

系的组件当要求或依赖关系被增强或修改而超出前一组件的要求时要用粗体字表示另外超出前一

组件的任何新的或增强的允许操作也使用粗体字突出表示

类安全审计

安全审计包括识别记录存储和分析那些与安全相关活动即由控制的活动有关的信息检

查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责

图安全审计类分解

安全审计自动应答

子类行为

本子类定义在检测到的事件表明可能有安全侵害发生时作出的应答

组件层次

安全审计自动响应

对于安全警告当检测到可能的安全侵害时应采取行动

管理

应为的管理功能考虑以下行动

对行动的管理添加移去修改

审计

如果在中包括安全审计数据产生那么以下行动应可审计

最小级当即将发生安全侵害时采取的行动

安全警告

从属于无其他组件

当检测到潜在的安全侵害时应进行赋值最小扰乱行动表

依赖关系潜在侵害分析

安全审计数据产生

子类行为

对于在控制下发生的安全相关事件本子类定义了记录其出现的要求本子类确定审计的级

别列举可审计的事件类型以及应在各审计记录内提供的审计相关信息的最小集合

组件层次

审计数据产生定义可审计事件的级别并规定在每个记录中将记录的数据表

用户身份关联应把可审计事件与单个用户身份相关联

管理

尚无预见的管理活动

审计

如果在中包含安全审计数据产生此处不存在任何明确的可审计行动

审计数据产生

从属于无其他组件

应能为下述可审计事件产生审计记录

审计功能的启动和关闭

在选择最小级基本级详细级未规定审计级别以内的所有可审计事件

赋值其他专门定义的可审计事件

应在每个审计记录至少记录如下信息

事件的日期和时间事件类型主体身份事件的结果成功或失败

对每种审计事件类型基于中功能组件的可审计事件定义的赋值其他审计相关信

息

依赖关系可信时间戳

用户身份关联

从属于无其他组件

应能将每个可审计事件与引起该事件的用户身份相关联

依赖关系审计数据产生

标识定时

安全审计分析

子类行为

本子类定义为寻找可能的或真正的安全侵害用来分析系统活动和审计数据的自动化措施的要

求这种分析可用入侵检测来支持或对即将来临的安全侵害作出自动应答

基于检测结果可采取子类指定的行为

组件层次

在潜在侵害分析中需要一个基于固定规则集的基门限检测

在基于轮廓的异常检测中维护个人的系统使用轮廓这里轮廓代表由轮廓

目标组成员完成的历史使用模式轮廓目标组是指与交互的一个或多个人如单个用户共享一个

身份或帐号的用户指定角色的用户整个系统或网络节点的用户轮廓目标组的每个成员都被分配给

一个单独的置疑等级表明成员当前的行动与轮廓中已建立的使用模式的一致程度如何此分析可在运

行期间完成或在信息采集后的批量分析阶段完成

简单攻击探测应能检测到那些表明对实施将产生重大威胁的特征事件

的发生对特征事件的搜索可以实时进行也可以在信息采集后的批量分析阶段进行

复杂攻击探测应能描述并检测到多步骤入侵情景应能根据已知的事件

序列把系统事件可能是由多个用户执行的模拟成完整的入侵情景应能指出特征事件或事件序

列发生的时间指出对的潜在侵害

管理

应为的管理功能考虑以下行动

通过添加修改删除规则集中的规则来维护规则

管理

应为的管理功能考虑以下行动

对轮廓目标组中的用户组进行维护删除修改添加

管理

应为的管理功能考虑以下行动

对系统事件的子集进行维护删除修改添加

管理

应为的管理功能考虑以下行动

对系统事件的子集进行维护删除修改添加

对系统事件的序列集进行维护删除修改添加

审计

如果在中包含了安全审计数据产生那么下述行动应为可审计

最小级开启和关闭任何分析机制

最小级以工具完成自动应答

潜在侵害分析

从属于无其他组件

应能用一系列的规则去监控审计事件并根据这些规则指示出的潜在侵

害

应用下列规则来监控审计事件

已知的用来指示潜在安全侵害的赋值已定义的可审计事件的子集的积累或组合

赋值任何其他规则

依赖关系审计数据产生

基于轮廓的异常检测

从属于

应能维护系统使用轮廓在这里个人轮廓代表赋值规定轮廓目标组成员的

历史使用模式

应维护与每个用户相对应的置疑等级这些用户的活动已记录在轮廓在这

里置疑等级代表用户当前活动与轮廓中已建立的使用模式不一致的程度

当用户的置疑等级超过门限条件赋值报告异常的条件时应能指出

即将发生对的侵害

依赖关系标识定时

简单攻击探测

从属于

应能维护预示对侵害的以下特征事件赋值系统事件的一个子集的内部

表示

应根据系统活动的记录来比较特征事件这里系统活动可以通过对赋值用来

决定系统活动的信息检查而辨明

当一个系统事件被发现与一个预示对的潜在攻击的特征事件匹配时应指

出对的攻击即将到来

依赖关系无依赖关系

复杂攻击探测

从属于

应能维护已知入侵情景的事件序列赋值已知攻击出现的系统事件序列表和

预示对的潜在攻击的特征事件赋值系统事件的一个子集的内部表示

应比较系统活动的记录与特征事件和事件序列这里的系统活动可以通过对

赋值用来决定系统活动的信息检查来辨明

当一个系统事件或事件序列被发现与一个预示对的潜在攻击的特征事件匹配

时应能指示出对的攻击即将到来

依赖关系无依赖关系

安全审计查阅

子类行为

本子类定义了为授权用户查阅审计数据提供审计工具的要求

组件层次

审计查阅提供从审计记录中读取信息的能力

有限审计查阅要求除在中确定的用户外其他用户不能读取信

息

可选审计查阅要求审计查阅工具根据条件来选择要查阅的审计数据

管理

应为的管理功能考虑以下行动

维护删除修改添加对审计记录有读访问权的用户组

管理

尚无预见的管理活动

审计

如果在中包含了安全审计数据产生那么下述行为应为可审计

基级从审计记录中读取信息

审计

如果在中包含了安全审计数据产生那么下述行为应为可审计

基级尝试从审计记录中读取信息而未成功

审计

如果在中包含了安全审计数据产生那么下述行为应为可审计

详细级用于查阅的各种参数

审计查阅

本组件应为授权用户提供获得和解释信息的能力用户是人时必须以人类可理解的方式表示信息

用户是外部实体时必须以电子方式无歧义地表示信息

从属于无其他组件

应为赋值授权用户提供从审计记录读取赋值审计信息列表的能力

应以便于用户理解的方式提供审计记录

依赖关系审计数据产生

有限审计查阅

从属于无其他组件

除具有明确读访问权限的用户外应禁止所有用户对审计记录的读访问

依赖关系审计查阅

可选审计查阅

从属于无其他组件

应根据赋值具有逻辑关系的条件提供对审计数据进行选择搜索分类排

序的能力

依赖关系审计查阅

安全审计事件选择

子类行为

本子类定义在运行期间选择事件来审计的要求它定义向可审计事件集中加入或从中排除

事件的要求

组件层次

安全审计事件选择

选择性审计要求根据由作者规定的属性包括或排除来自审计事件集中事

件的可能

管理

应为的管理功能考虑以下行动

维护查阅修改审计的权限

审计

如果在中包含了安全审计数据产生那么下述行为应是可审计的

最小级对审计收集功能正在运行时出现的审计配置的所有修改

选择性审计

从属于无其他组件

根据以下属性包括或排除审计事件集中的可审计事件

选择客体身份用户身份主体身份主机身份事件类型

赋值作为审计选择性依据的附加属性表

依赖关系审计数据产生

数据管理

安全审计事件存储

子类行为

本子类定义能够创建并维护安全审计迹的要求

组件层次

受保护的审计迹存储该要求保护审计迹避免未授权的删除或修改

审计数据可用性保证规定在意外情况出现时对审计数据维护的保证

在审计数据可能丢失的情况下的行为规定当超出审计迹门限时所采取的行动

防止审计数据丢失规定当审计迹溢满时的行为

管理

尚无预见的管理活动

管理

应为的管理功能考虑以下行为

维护控制审计存储能力的参数

管理

应为的管理功能考虑以下行为

维护门限值

即将发生审计存储失败时维护删除修改添加相应的行为

管理

应为的管理功能考虑以下行为

审计存储失败时维护删除修改添加相应的行为

审计

如果在中包含了安全审计数据产生此处就没有可审计的确定行为

审计

如果在中包含了安全审计数据产生那么下述行为应是可审计的

基级因超过门限而采取的行动

审计

如果在中包含了安全审计数据产生那么下述行为应是可审计的

基级因审计存储失败而采取的行动

受保护的审计迹存储

从属于无其他组件

应保护所存储的审计记录以避免未授权的删除

应能选择防止检测对审计记录的修改

依赖关系审计数据产生

审计数据可用性保证

从属于

应保护所存储的审计记录以避免未授权的删除

应能选择防止检测对审计记录的修改

当下述情况发生时选择审计存储耗尽失败攻击应确保审计记录赋

值保存审计记录的量度不被破坏

依赖关系审计数据产生

在审计数据可能丢失情况下的行为

从属于无其他组件

如果审计迹超过赋值预定的限制应采取赋值在审计数据可能丢失情况

下的行为

依赖关系受保护的审计迹存储

防止审计数据丢失

从属于

如果审计迹已满应选择忽略可审计事件阻止产生除有特权的授权用户

外的所有可审计事件覆盖所存储的最早的审计记录并进行赋值一旦审计存

储失败所采取的其他行动

依赖关系受保护的审计迹存储

类通信

类提供两个子类专门用以确保在数据交换中参与方的身份这些子类与确保信息传送的发起者

的身份原发证明和确保信息传送的接收者的身份接收证明相关这些子类既确保发起者不能否认

发送过信息又确保收信者不能否认收到过信息

类的组件构成分解如图所示

图通信类分解

原发抗抵赖

子类行为

原发抗抵赖确保信息的发起者不能成功地否认曾经发送过信息本子类要求提供一种方法来

确保接收信息的主体在数据交换期间获得了证明信息原发的证据此证据可由该主体或其他主体验

证

组件层次

原发抗抵赖

选择性原发证明要求为主体提供请求原发信息证据的能力

强制原发证明要求总是对传送信息产生原发证据

管理

应为的管理功能考虑以下行动

对改变信息类型域原发者属性和证据接收者的管理

审计

如果在中包含了安全审计数据产生那么下述行动应为可审计

最小级请求产生原发证据的用户的身份

最小级调用抗抵赖服务

基级标识所提供证据的信息目的地及其拷贝

详细级请求验证证据的用户的身份

审计

如果在中包含了安全审计数据产生那么下述行动应为可审计

最小