《GB_T 33565-2024 网络安全技术 无线局域网接入系统安全技术要求.docx》由会员分享,可在线阅读,更多相关《GB_T 33565-2024 网络安全技术 无线局域网接入系统安全技术要求.docx(42页珍藏版)》请在课桌文档上搜索。
1、ICS35.030CCS1.80,Cl中华人民共和国国家标准GB/T335652024代替GB/T335652017网络安全技术无线局域网接入系统安全技术要求CybersecuritytechnologySecuritytechnologyrequirementsforwirelesslocalareanetworkaccesssystem2024-04-25发布2024-Il-OI实施国家市场监督管理总局国家标准化管理委员会目次前言V1范围12规范性引用文件13术语和定义14缩略语25无线局域网接入系统25.1 概述25.2 TOE边界36安全问题36.1 威胁36.1.1 未授权管理(rU
2、NAUTHORIZED.MANAGEMENT)36.1.2 未授权访问(UNAUTHORIZED.ACCESS)36.1.3 力口密破解(CRYPTOGRAPHY.COMPROMISE)46.1.4 管理口令破解(T.ADMINISTRATOR.PASSWORD.CRACKING)46.1.5 弱终端认证(T.WEAK.AUTHENTICATION.ENDPOINTS)46.1.6 安全凭证受损(T.SECURITY.CREDENTIA1._COMPROMISE)46.1.7 更新受损(T.UPDATE.COMPROMISE)46.1.8 网络暴露(T.NETWORK.DISC1.OSURE)
3、46.1.9 安全功能失效(T.SECURITY.FUNCTIONA1.ITY.FAI1.URE)46.1.10 不可信信道(T.UNTRUSTED.COMMUNICATION.CHANNE1.S)46.1.11 重放攻击(T.REP1.AY.ATTACK)46.1.12 未知活动(T.UNDETECTED.ACTIVITY)46.1.13 残留信息、利用(T.RESIDUA1._DATA.EXP1.OIT)56.1.14 资源消耗(T.RESOURCE.EXHAUSTION)56.1.15 网络劫持(T.HIJACK.ATTACK)56.2 组织安全策略56.2.1 接入告知(P.ACCES
4、S.BANNER)56.2.2 密码管理(P.CRYPTOGRAPHY.MANAGEMENT)56.2.3 认证应用(P.AUTHENTICATION.USAGE)56.3 假设56.3.1 物理保护(A.PHYSICA1._PROTECTION)56.3.2 有限功能(A.1.IMITED.FUNCTIONA1.ITY)56.3.3 连接(A.CONNECTION)56.3.4 可信管理员(A.TRUSTED.ADMINISTRATOR)56.3.5 定期更新(A.REGU1.AR.UPDATES)56.3.6 管理员凭证安全(A.ADMINISTRATOR.CREDENTIA1.S.SEC
5、URE)66.3.7 组件正常运行(A.COMPONENTS.RUNNING)66.3.8 无遗留信息(A.NO_REMAINING.INFORMATION)67安全目的61.1 TOE安全目的61.1.1 力口密功能(O.CRYPTOGRAPHIC.FUNCTIONS)61.1.2 身份验证(O.AUTHENTICATION)61.1.3 自检(O.SE1.F_TEST)61.1.4 系统监测(O.SYSTEM.MONITORING)61.1.5 TOE管理员(O.TOE,ADMINISTRATOR)61.1.6 可信信道(O.TRUSTED_CHANNE1.)61.1.7 资源管理(O.R
6、ESOURCE.MANAGEMENT)61.1.8 残留信息清除(0E.RESIDUA1.INFORMATION.ERASE)71.1.9 可信更新(O.TRUSTED.UPDATE)71.1.10 分布式管理(O.DISTRIBUTED.MANAGEMENT)71.1.11 访问控制(O.ACCESS.CONTRO1.)71.2 环境安全目的71.2.1 物理(OE.PHYSICA1.)71.2.2 非通用功能(OE.NO.GENERA1.PURPOSE)71.2.3 管理员可信(OE.ADMINISTRATOR.TRUSTED)71.2.4 更新机制(OE.UPDATE.MECHANISM
7、)71.2.5 管理员凭证安全(OE.ADMINISTRATOR.CREDENTIA1.S_SECURE)71.2.6 组件可用性(OE.COMPONENTS,SERVICEABI1.ITY)71.2.7 遗留信息清除(OE.REMAININGNFoRMATlON,ERASE)81.2.8 连接(OE.CONNECTIONS)81.2.9 可信时间(OE.T1ME)88 安全要求88.1 安全功能要求88.1.1 安全功能要求分级88.1.2 安全审计(FAU)118.1.3 密码支持(FCS)138.1.4 用户数据保护(FDP)158.1.5 标识和鉴别(FIA)168.1.6 安全管理(
8、FMT)188.1.7 TSF保护(FPT)208.1.8 ToE访问(FTA)228.1.9 可信路径/信道(FTP)238.1.10 资源利用(FRU)和通信(FCO)258.2 安全保障要求259 基本原理259.1 安全目的基本原理259.2 安全要求基本原理269.3 组件依赖关系基本原理29附录A(规范性)分布式无线局域网接入系统组件安全功能要求分配关系33附录B(规范性)无线局域网接入系统安全功能要求对应的可审计事件36参考文献38III本文件按照GB/T1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件代替GB/T335652017信息安全技术
9、无线局域网接入系统安全技术要求(评估保障级2级增强),与GB/T335652017相比,除结构调整和编辑性改动外,主要技术变化如下:a)更改了TOE范围(见第5章,2017年版的第6章);b)更改了无线局域网接入系统面临的威肋,,包括15类威胁、3项组织安全策略和8个假设(见第6章,2017年版的第7章);c)更改了UTOE安全目的”和“环境安全目的”,包括11项TOE的安全目的,9项环境安全目的(见第7章,2017年版的第8章);d)更改了无线局域网接入系统安全功能要求,包括10类81项安全功能要求(见8.1,2017年版的第9章、第10章);e)根据无线局域网接入系统技术发展,更改了最新安
10、全保障要求(见8.2,2017年版的9.2);0增加了“基本原理”,包括安全问题与安全目的、安全目的与安全要求间的对应关系和组件间的依赖关系(见第9章)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国信息安全测评中心,中国科学院信息工程研究所、中车工业研究院有限公司、北京交通大学、华为技术有限公司、西安西电捷通无线网络通信股份有限公司、公安部第一研究所、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、深信服科技股份有限公司、郑州信大捷安信息技术股份有限公司、长扬科技(
11、北京)股份有限公司、深圳市信锐网科技术有限公司、北京路云天网络安全技术研究院有限公司、西安交大捷普网络科技有限公司、中孚信息股份有限公司、国网区块链科技(北京)有限公司、中国网络安全审查技术与认证中心、新华三技术有限公司、中国电力科学研究院有限公司。本文件主要起草人:吴润浦、李美聪、龙刚、郭涛、陈冬青、邵帅、樊玉明、文愉、刘吉强、王伟、田寅、王剑、王俊勇、季晨荷、张媛、朱振荣、张东举、寇增杰、安高峰、鲍旭华、叶润国、马红丽、韩秀德、赵华、赖国强、何建锋、范伟、弥宝鑫、朱大立、张亮、韩继登、高金萍、孙鹏科、侯梦云、杨珂、申永波、万晓兰、王海翔。本文件及其所代替文件的历次版本发布情况为:2017年
12、首次发布为GB/T335652017;一本次为第一次修订。网络安全技术无线局域网接入系统安全技术要求1范围本文件规定了无线局域网接入系统的安全功能要求和安全保障要求,给出了无线局域网接入系统面临安全问题的说明。本文件适用于无线局域网接入系统的测试、评估和采购,以及指导该类产品的研制和开发。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB15629.il信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和
13、物理层规范GB/T18336.1-2024网络安全技术信息技术安全性评估准则第1部分:简介和一般模型GB/T18336.2-2024网络安全技术信息技术安全性评估准则第2部分:安全功能要求GB/T18336.3-2024网络安全技术信息技术安全性评估准则第3部分:安全保障要求GB/T250692022信息安全技术术语GB/T32213-2015信息安全技术公钥基础设施远程口令鉴别与密钥建立规范GB/T32915-2016信息安全技术二元序列随机性检测方法GB/T32918.3-2016信息安全技术SM2椭圆曲线公钥密码算法第3部分:密钥交换协议GB/T352762017信息安全技术SM2密码算
14、法使用规范GB/T397862021信息安全技术信息系统密码应用基本要求3术语和定义GB/T250692022和GB/T18336.12024界定的以及下列术语和定义适用于本文件。3.1无线局域网接入系统wirelesslocalareanetworkaccesssystem;W1.ANaccesssystem能实现无线局域网客户端接入无线局域网络的,由软件和硬件构成的设备或者系统。3.2接入控制器accesscontroller实现无线局域网客户端接入无线局域网络的控制设备。3.3访问点accesspoint一种提供无线局域网客户端与有线网络之间的访问,在无线网络和有线网络之间转发帧的网络接
15、口设备。4缩略语下列缩略语适用于本文件。AC:接入控制器(ACCeSSController)AP:访问点(ACCeSSPoint)EA1.:评估保障级(EVaIUatiOnAssurance1.evel)PP:保护轮廓(PrOIeCIionProfile)SFP:安全功能策略(SeCUriIyFunctionPolicy)SFR:安全功能要求(SeCUrityFunctionalRequirement)TOE:评估对象(TargetofEvaluation)TSF:评估对象安全功能(ToESecurityFunctions)TSP:评估对象安全策略(TOESecurityPolicy)WAPI
16、:无线局域网鉴别与保密基础结构(W1.ANAuthenticationandPrivacyInfrastructure)WAS:无线局域网接入系统(W1.ANAccessSystem)W1.AN:无线局域网(WireIeSS1.ocalAreaNetwork)5无线局域网接入系统5.1 献无线局域网接入系统是一种基于IEEE802.il和GB15629.11系列标准中协议族构建的由软件和硬件构成的设备或者系统,通常由一个接入控制器AC和一个或多个访问点AP构成,位于被接入网络边缘,服务于无线局域网客户端与被接入网络间的安全通信。无线局域网接入系统支持管理、认证、加密以及保护和处理通信数据等安全
17、功能,在无线局域网客户端和被接入网络之间提供安全通信,保护“空中”传输数据的完整性和机密性。一个典型的无线局域网接入系统的运行环境如图1所示。图1典型无线局域网接入系统运行环境WAS安全技术要求分为3个等级。 EA1.2+:同时符合EA1.2+级安全功能要求和EA1.2级安全保障要求,主要应用于家庭、个人用户和有限商业。 EA1.3:同时符合EA1.3级安全功能要求和EA1.3级安全保障要求,主要应用于组织、个人用户和一般商业。 EA1.4:同时符合EA1.4级安全功能要求和EA1.4级安全保障要求,主要应用于专有的高安全等级领域,5.2 ToE边界本文件适用于遵循IEEE802.11系列标准
18、中协议的一个或多个AP、AC及其中运行的管理应用程序。在物理组件层面它们或分布存在,或集成为单一设备。本文件的TOE仅含远程管理路径保护,本地和远程登录认证,安全相关事件审计,加密验证更新来源以及防护常见的网络攻击等基础安全功能。其他安全功能不在本文件的评估范围内。6安全问题6.1 威胁6.1.1 未授权管理(1.UNAUTHORIZEDMANAGEMENT)威胁主体通过假冒管理员、重放管理会话或中间人攻击等手段获取管理权限,或者通过提供错误的管理信息,实现对管理会话或不同设备之间会话的访问干预。威胁主体在获取管理员权限后会危害设备及所在网络的安全功能,例如损害TOE安全特性更新、修改设备安全
19、配置、修改权限信息等。6.1.2 未授权访问(T.UNAUTHORIZED_ACCESS)威胁主体试图访问位于受保护网络上的服务,这些服务仅能从受保护网络内部访问,或者只能通过受保护网络认证过的途径访问。6.1.3 11BW(T.CRYPTOGRAPHY-COMPROMISE)威胁主体尝试破解弱的加密算法或者穷举密钥空间。加密算法、模式和密钥长度的不当选择,使得威胁主体能以最小代价破解加密算法或暴力耗尽密钥空间,实现未授权访问,从而危害网络设备及信息安全。6.1.4 WlnM(r.ADMINISTRATOR_PASSWORD_CRACKING)威胁主体破解管理员弱口令获得系统超级权限,从而不受
20、约束地访问网络,获取数据,在网络中伪装成可信主体,损害网络信息安全。6.1.5 弱终端认证(T.WEAK_AUTHENTICATION_ENDPOINTS)威胁主体利用弱终端认证方法,例如弱口令等,伪装成管理员或其他设备实施中间人攻击,导致关键网络流量暴露,破坏数据传输的机密性和完整性,甚至破坏TOE安全。6.1.6 SiESffi(1SECURITY_CREDENTIA1._COMPROMISE)威胁主体通过篡改证书等方法持续访问ToE及关键数据。例如将原证书替换为非法证书,修改己有证书或者直接盗用管理员或设备的证书。6.1.7 更新受损(T.UPDATE_COMPROMISE)威胁主体通过
21、篡改软件或固件的更新,来破坏TOE的安全功能,而未经验证或使用不安全方法验证的升级包,易被篡改。6.1.8 网络暴策T.NETWORK_DISC1.OSURE)威胁主体对受保护网络上的设备进行未经授权的活动。如果恶意的外部设备能与受保护网络上的设备通信,或者受保护网络上的设备能与这些外部设备建立通信,则这些内部设备极易遭受未授权的信息暴露。6.1.9 安全功能失效(TSECURlTY_FUNCTIONA1.ITY.FAI1.URE)威胁主体利用安全功能失效,在未认证的情况下使用或滥用安全功能,以访问和修改设备数据、关键网络流量或者安全功能配置。TOE的安全机制通常是从受信任的初始机制构建出来的
22、复杂机制集合,初始机制的失效影响复杂机制的运行,从而导致安全功能失效。6.1.10 信信道(T.UNTRUSTED_COMMUNICATION_CHANNE1.S)威胁主体窃听、入侵没有使用标准化的安全传输通道协议来保护关键网络信息传输的网络主体,实施如中间人攻击、重放攻击等,获得无线局域网接入系统与其他设备交互的数据,进而破坏数据传输的机密性和完整性,甚至破坏TOE安全。6.1.11 重放攻击(T.REP1.AY_ATTACK)威胁主体通过截获有效通信数据包后重新发送,以混淆正常通信或者攻击TOE,影响其安全工作。6.1.12未知活动(TUNDETECTEACTIVITY)威胁主体在不被觉察
23、的情况下试图访问、修改ToE的安全功能(例如利用错误配置、产品缺陷),这将导致管理员无法发现设备已受损。威胁主体采取未知的攻击行为攻击ToE及所在网络,对网络的机密性、完整性、可用性造成损害。1.1.13 残留信息利用(T.RESIDUA1.)ATA_EXP1.OIT)威胁主体利用残留信息的处理缺陷,在执行过程中对未删除的残留信息进行利用,以获取敏感信息或滥用安全功能,危害TOE安全。1.1.14 资源消耗(T.RESOURCE_EXHAUSTION)威胁主体通过大量消耗TOE关键资源使得系统崩溃或超时拒绝服务。1.1.15 网(.H1.JACKATTACK)威胁主体通过压制合法网络信号并伪装
24、成原接入系统,与待接入设备进行交互,从而获取TSF数据或用户数据,威胁TOE安全。6.2 组织安全策略6.2.1 接入告知(P.ACCESS_BANNER)TOE显示一个描述使用限制、法律协议或其他需要用户同意的初始告知。6.2.2 密码管理(P.CRYPTOGRAPHY_MANAGEMENT)密码的使用是按照相关国家标准进行的。6.2.3 Ufflsffl(RAVTHENTICATION-USAGE)管理员为无线局域网接入系统选择符合应用需求的认证方式。6.3 假设6.3.1 !三保护(A.PHYSICA1._PROTECTION)假定TOE在其运行环境中受到物理保护,不会受到危及设备安全、
25、干扰设备物理互连和影响正确操作的物理攻击。假定这种保护足以保护设备及其包含的数据。因此,本文件不包括任何关于物理篡改保护或其他缓解物理攻击的要求。6.3.2 3.2有限功能(A.1.IMITED_FUNCTIONA1.ITY)假定ToE以提供无线网络接入功能为核心,不提供通用计算功能或服务。6.3.3 jft(A.CONNECTION)假定运行环境涉及范围中,TOE连接于一个确定的网络,其用户与被接入网络之间的信息传递保证经过TOE,并保证安全策略能强制执行。6.3.4 可信WS员(A.TRUSTED_ADMINISTI1.TOR)假定管理员可信,能确保密码或凭据具有足够的强度和复杂度,且管理
26、设备时没有恶意。不要求TOE能防御恶意管理员的破坏。对于支持X.509v3证书验证的ToE,管理员需要保证加载的TOE根证书库可信。6.3.5 定期更新(A.REGU1.ARjPDATES)假定管理员会定期且及时进行固件或软件的更新,以响应产品升级或漏洞修补。6.3. 6管理员凭证安全(A.ADMINISTRATOR_CREDENTIAIf_SECURE)假定用于访问ToE的管理员凭据(私钥)受其所在平台的保护。6.3.7组件正常运行(A.COMPONENTS_RUNNING)假定TOE的各组件都在正常工作,没有单个组件功能失效。6. 3.8无遗留信息(A.NO_REMAININGNFORMA
27、TloN)假定管理员能确保移出运行环境的TOE设备上,遗留的敏感信息(例如加密密钥、Pin码、密码等)不会被未授权的实体访问或获取。7安全目的6.1 TOE安全目的6.1.1 加密功能(!CRYPTOGRAPHIC1.FUNCTIONS)无线局域网接入系统应使用符合国家标准管理机构和国家密码管理机构要求的加解密机制,保证无线局域网接入系统能对其保护的数据采取加密措施,以保持其机密性、完整性。7.1. 2身份E(OAUTHENTICATION)无线局域网接入系统应使用符合标准管理机构要求的身份验证机制,以确保用户正在与授权的外部IT实体通信。7.1.3 自检(O.SE1.F_TEST)无线局域网
28、接入系统应提供测试其安全功能的相关机制,在初次启动以及系统运行过程中执行自检,以确保其安全功能的完整性,并将自检结果通知管理员。若启动时自检失败,则无线局域网接入系统应进入安全状态,确保不遵守TOE安全策略的数据无法传递。7.1.4 系统监测(O.SYSTEM_MONITORING)无线局域网接入系统应提供监测W1.AN功能和安全相关事件的能力,并能对记录的事件进行保护,对监测结果进行安全性分析,将分析结果展示或发送至有授权的相关管理实体。7.1.5 TOE1taa(O.TOE_ADMINISTRATOR)无线局域网接入系统应提供管理员用于管理系统安全所必需的功能,包括对管理员的管理权限进行分
29、级与限制的功能、管理会话锁定功能、处理远程管理员身份验证失败尝试等功能。7.1.6 可信信道(O.TRUSTED_CHANNE1.)无线局域网接入系统应提供通信信道管理、选择和发现信道异常的能力,能识别伪装的接入系统与伪装的授权用户,并提供受保护的安全数据传输通道,供管理员或授权用户使用,确保用户没有与伪装的接入系统或授权用户通信。7.1.7 8r3S1ta(O.RESOURCE_MANAGEMENT)无线局域网接入系统应提供系统资源管理功能,减少可能耗尽系统资源的风险,防止恶意用户或恶意程序大量消耗系统资源。7.1.8 残留值息清除(OE.RESIDUA1.NFORMATION_ERASE)
30、无线局域网接入系统应保证重要敏感数据在使用完成后会被删除或被安全处理,保证受保护资源被重新分配时不会留下可被攻击者利用的残留数据信息。7.1.9 可信更新().TRUSTED.UPDATE)无线局域网接入系统应提供测试其升级的相关机制,确保升级所用的固件、软件来源可信,内容未被篡改。7.1.10 分布式IfS(O.DISTRIBUTED.MANAGEMENT)无线局域网接入系统应提供分布式管理相关机制,对于分布式系统提供组件注册、组件间安全通信、统筹系统级审计相关功能。7.1.11 if三JffiJ(OACCESS-CONTRO1.)无线局域网接入系统应提供访问控制机制,区分访问实体的权限,并
31、可限制实体到无线网络或无线局域网接入系统的连接,防止无线局域网接入系统所在的网络、无线局域网接入系统的管理后台、重要数据、进程及资源等在未授权情况下被访问、修改或删除。6.2 环境安全目的6.2.1 物理(OE.PHYSICA1.)无线局域网接入系统运行环境可提供其运行所需的物理安全保护。6.2.2 非通用功能(OENO_GENERA1._PURPOSE)除了无线局域网接入系统的操作、管理和支持所必需的服务外,无线局域网接入系统上不提供通用计算功能或服务(例如,编译器或用户应用程序)。6.2.3 IraflRrfs(OEADMINISTRATOR-TRUSTED)管理员是可信的,经过充分的培训
32、,并以一种受信任的方式遵循和应用所有指导文档。对于支持X.509v3证书验证的TOE,管理员需要保证加载的TOE根证书库可信。6.2.4 更新机制(OEUPDATE_MECHANISM)无线局域网接入系统的固件或软件会由管理员及时依据产品发布更新进行升级。6.2.5 irafl%iES(OE.ADMINISTRATOR_CREI)ENTIA1.S_SECURE)用于访问ToE的管理员凭据(如私钥)应在其驻留的任何其他平台上受到合理保护。6.2.6 组件可用性(OE.COMPONENTS_SERVICEABI1.ITY)对于分布式无线局域网接入系统,管理员应定期检查分布式各组件的可用性,以降低因
33、未检测引发的部分组件失效或受攻击的风险。管理员还应定期检查分布式各组件的审计功能模块,以确保各组件审计功能的正常运行。7. 2.7遗留信息清除(OE.REMAININGNFORMATION_ERASE)管理员应确保当无线局域网接入系统被丢弃或移除时,物理设备上的敏感遗留信息(例如加密密钥、pin码、密码等)不会受到未经授权的访问或获取。7.2.8 连接(OE.CONNECTIONS)管理员应确保无线局域网接入系统采用合适的安装方式,能保证对受监控网络的网络流量有效地实施策略。7.2.9 可信时间(O1.TIME)无线局域网接入系统运行环境应提供设置或获取可信时间的功能,保证系统时间是由授权用户
34、设定或者是从可靠的时钟源同步获得的。8安全要求8.1 安全功能要求8.1.1 安全功能要求分级无线局域网接入系统的安全功能要求应由GB/T18336.2-2024规定的安全功能组件构成,无线局域网接入系统的安全功能要求见表1,8.1.2-8.1.9对各安全功能组件进行了说明。若需要评估的无线局域网接入系统为分布式的系统,系统整体及组件需要满足的安全功能要求按照附录Ao*1安全功能要求分级安全功能类安全功能组件EA1.2+EA1.3E1.4女全审计(FAU)FA1.GENjFAU_GEN.2FAU_ARP.1FA1.SAAJ/FAU_SAA.2/FAU_SAA.3/FA1.SAR.1FA1.SA
35、R.2FA1.SAR.3FAU_SE1.1FAU_STG.1FA1.STG.2/FAU_STG.3FAU_STG.4FAU_STG.5FAU_STG_EXT.1/*1安全功能要求分级(续)安全功能类安全功能组件E1.2+EA1.?EA1.4密码支持(FCS)FCS_CKM.1FCS一CKM.2FCS_CKM.3FCS一CKM.5/FCSCKM.6FCS_C0P.1ECS_RBG.1FCS_RNG.1FCS_T1.SS_EXT.1/FCS_T1.SS_EXT.2/用户数据保护(FDP)FDP_ACC.1FDP_ACF.1FDPJIP.1FDP一RIP.2FDP_SDC.1FDP_SD1.1标识和
36、鉴别(FlA)FIA_AF1.1FIA_ATD.1EIA_UAU.1FIAJJAU.3FIA_UAU.5/FIAJAU.6FIA_UAU.7/FIA_UAU_EXT.1/FIA_UID.1FIA_UID.2FIAjJSB.1FIA_8021X_EXT.1/FIA_PMG_EXT.1FIA_PSK_EXT.1/安全管理(FMT)FMTJfOF.1FMT_MSA.1FMTJfSA.2FMTJfSA.3表1安全功能要求分级(续)安全功能类安全功能组件EA1.2+E.A1.3EA1.4安全管理(FVT)HMTJfTD.1BMTJfTD.2FMTJTD.3FMT_SMF.1FM1.SMR.1FMT_SM
37、R.2/FMT_SMR_EXT.1TSF保护(FPT)FPT_F1.S.1FPT_ITC.1/FPT一RCV.4FpT_RP1.l/FPT_STM.1FPTjST.1FPT_ITT.1/FPTN1.lFPT_SKP_EXT.1FPT_TUD_EXT.1FPT_TUD_EXT.2/FTA_SS1.1FTA_SS1.3FT,SS1.4FTA_TSE.1FTA_TAB.1/可信路径/信道(FTP)FTP_ITC.1FTP_ITC.!/ClientFTP_PR0.1FTP_PR0.2FTP_PR0.3FTPRP.1资源利用(FRU)FR1.RS.1通信(FCo)FCO_CPC_EXT.1/注:“J”为
38、必备满足的项,“/”为可选满足的项。8.1.2 安全审计(FAU)8.1.2.1 审计数据产生(FAU_GEN.l)FAU_GEN.1.1TSF应能为下述可审计事件产生审计记录:审计功能的开启和关闭;一有关选择:最小级、基本级、详细级、未规定审计级别的所有可审计事件:需要记录的审计事件,包括且不限于: 登录和注销(如管理员需要个人用户账户,应记录用户账户的名称); 与配置变更相关的TSF数据变更(除了发生变更的信息外,还应记录变更前的信息); 生成/导入、更改或删除加密密钥(除操作本身外,还应记录唯一的密钥名称或密钥引用); 重置密码(需记录相关用户账号名); 无线传感器通信失败; 对于分布式
39、TOE,每个组件都需要生成自己的审计记录,审计数据包括且不限于:TOE组件列表,TOE为分布式TOE,存储外部为以下TOE组件提供的审计数据:没有在本地存储审计数据的TOE组件,以及向其传输其生成的审计数据的其他ToE组件列表; 其他可审计事件,可审计事件按照附录B。FAU_GEN.1.2TSF应在每个审计记录中至少记录下列信息:可审计事件的日期和时间、事件类型、主体身份(如果适用)、事件的结果(成功或失败);一对每种审计事件类型,基于pp、PP-模块、功能包或ST中功能组件的可审计事件的定义,表B.1第三列“附加审计记录”中指定的信息。8.1.2.2用户身份关联(FAU_GEN.2)TSF应
40、能将每个可审计事件与导致事件的用户的身份相关联。8.1.2.3 安全告*(FAU_ARP.l)当检测到潜在的安全侵害时,TSF应进行相应操作。8.1.2.4 潜在侵害分析(FA1.SAA.1)FAU-SAA.1.1TSF应能使用一组规则去监测审计事件,并根据这些规则指示出对实施SFR的潜在侵害。FAU.SAA.1.2TSF应执行下列规则监测审计事件:一一已知的用来指示潜在安全侵害的已定义的可审计事件的子集的累积或组合;任何其他规则。8.1.2.5 基于轮廓的异常检测(FA1.SAA.2)FAU-SAA.2.1TSF应能维护系统使用轮廓。在这里单个轮廓代表由轮廓目标组成员完成的历史使用模式。FA
41、U_SAA.2.2TSF应维护一个与每个用户相对应的置疑等级,这些用户的活动已记录在轮廓中。在这里,置疑等级代表用户当前活动与轮廓中已建立的使用模式不一致的程度。IlFAU_SAA.2.3当用户的置疑等级超过阈值条件TSF报告异常活动的条件时,TSF应能指出对SFR实施的可能侵害即将发生。8.1.2. 6简单攻击探测(FAl1.SAA.3)FAU_SAA.3.1对预示可能违反SFR实施的下列特征事件系统事件的一个子集,TSF应能维护一个内部表示。FAU_SAA.3.2TSF应能对照特征事件比对系统活动记录,系统活动可通过检查确定系统活动的信息辨别出来。FAU_SAA.3.3当发现一个系统事件与
42、一个预示可能潜在违反SFR实施的特征事件匹配时,TSF应能指出潜在违反SFR实施的事件即将发生。8.1.2.7审计查阅(FA1.SAR.1)FAU_SAR.1.1TSF应为授权用户提供从审计记录中读取审计信息列表的能力。FAU_SAR.1.2TSF应以便于用户理解的方式提供审计记录。1.1.1.1 8限制审计查阅(FAi1.SAR.2)除明确准许读访问的用户外,TSF应禁止所有用户读取审计记录。8.1.2.9 可选审计查阅(FAl1.SAR.3)TSF应根据逻辑关系提供对审计数据进行选择和(或)排序的能力。8.1.2.10 选择性审计(FAl1.SE1.1)TSF应能根据以下属性从所有审计事件
43、集合中选择可审计的事件:选择:客体身份、用户身份、主体身份、主机身份、事件类型;审计选择所依据的附件属性表。8.1.2.11 审计数据存储位置(FAU_STG.1)FAU_STG.1.1TSF应能将生成的审计数据存储在选择:TOE本身,根据FTPTC使用可信信道将生成的审计数据传输到外部IT实体,其他存储位置。8.1.2.12 受保护的审计数据存储(FAU_STG.2)FAU_STG.2.1TSF应保护所存储的审计记录,以避免未授权的删除。FAU_STG.2.2TSF应能选择:防止、检测对审计中所存审计记录的未授权修改。8.1.2.13 审计数据可用性保证(FAU_STG.3)FAU_ST(;.3.1TSF应保护所存储的审计记录,以避免未授权的删除。FAU_STG3.2TSF应能选择:防止、检测对审计数据中所存审计记录的未授权修改。FAU_STG33当下列情况发生时:选择:审计存储耗尽、失效、受攻击,TSF应确保保存审计记录的度量内的审计记录维持有效。8.1.2.14 审计数据可能丢失时的行为(FA1.STG.4)如果审计数据存储超过预定的限度,TSF应在审计记录超过预定的限度之前发出警告,通知管理员,并选择:删除新的审计数据,按照覆盖以前的审计记录的规则覆盖以前的审计记录。8.1.2.15 防止审计数据丢失(FAl1.
