国家标准 GB/T37091一2018 信息安全技术安全办公U盘安全技术要求 nfomationseurityteehnolgy一SecurityoficeeUSBdisktechnologyrequirement 2018-12-28发布 2019-07-01实施国家市场监督管理总局发布国家标准化管理委员会国家标准
GB/37091一2018 目次前言范围 2 规范性引用文件术语、定义和缩略语 3.1术语和定义 3.2缩略语评估对象描述 5 安全问题定义 .1资产 5.2 威胁 5. 组织安全策略 5.假设安全目的 roE安金目的 6.l 6.2环境安全目的安全要求 7.1安全功能要求 7.2安全保障要求 ll 基本原理 21 8.1安全目的的基本原理 21 8.2安全要求的基本原理 24 8.3组件依赖关系 25 参考文献 29
GB/37091一2018 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位:信息安全测评中心、中铁信安(北京)信息安全技术有限公司、北京北信源软件股份有限公司,网神信息技术(北京)股份有限公司本标准主要起草人:张宝峰、邓辉、张肿斌、张骁、李凤娟、吴毓书、许源、毛军捷、饶华一、唐三平、何悦、李继勇、毕永东,郭颖、张强
GB/37091一2018 信息安全技术安全办公U盘安全技术要求范围本标准规定了对EAL2级和EAL3级的安全办公U盘进行安全保护所需要的安全功能要求和安全保障要求本标准适用于安全办公U盘的测试、评估,也可用于指导该类产品的研制和开发规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T18336一2015所有部分信息技术安全技术信息技术安全评估准则 GB/T20984一2007信息安全技术信息安全风险评估规范 GB/T25069一2010信息安全技术术语 GB/T28458一2012信息安全技术安全漏洞标识与描述规范术语、定义和缩略语 3.1术语和定义 GB/T183362015、GB/T20984一2007、GB/T250692010和GB/T284582012界定的以及下列术语和定义适用于本文件 3.1.1 安全办公U盘securityotrieeUSdisk -种基于USB接口建立用户与可信网或非可信网中PC机之间的连接,实现应用功能及安全功能的移动存储介质如用户与PC机之间的信息交换,用户认证,安全审计、信息加密、信息存储等 3.2缩略语下列缩略语适用于本文件 CM;配置管理(ConfigurationManagement) EAL;评估保障级(EvaluationAssuranceLevel) PIN:个人识别码(PersonalIdentificationNumber) SF;安全功能(SecurityFunction) SFP;安全功能策略(SeeurityFunetionPoliey) ST:安全目标(SecurityTarget) TOE;评估对象(TargetofEvaluation) TSF:TOE安全功能(rOESeeurityFunetionality
GB/T37091一2018 评估对象描述安全办公U盘用于实现用户与PC机之间的信息交换、用户认证、安全审计、信息加密、信息存储等功能运行过程中,管理员对安全办公U盘实施管理,确保其数据的可用性、完整性及保密性运行环境如图1所示跺里 C机可信网 ToE:;安全办公U盘奈 O 管理员 C机非可信网图1ToE运行环境示意图安全办公U盘包括主机接口,USB控制器、存储区三大部分,目的在于满足一定程度办公要求的前提下防止信息泄露,其整体内部逻辑结构描述如图2所示 TOE USB控制器公共存储区读写接口控刺主机接口可选用户认证和鉴别 C机主机系统保护存储区密码模块审计模块图2ToE逻辑结构其中,各部分的功能包括主机接口;提供安全办公U盘与PC机建立连接的接口 a b)USB控制器提供读写接口控制模块;此模块作用一是当用户试图建立安全办公U盘与PC机之间的连接时,UsB控制器中的读写接口控制模块首先得到响应,对安全办公U盘身份及用户需求进行识别作用二是当识别结束后,建立用户与不同存储区之间的连接提供用户认证与鉴别模块:当读写模块对安全办公U盘识别成功后,如用户需要对保护
GB/37091一2018 存储区进行操作,则U盘中的用户认证和鉴别模块得到响应,提供认证和初始化服务,对用户身份进行识别提供密码模块;此模块作用一是在身份识别过程中,提供相关密码机制以认证用户权限， 33 最终赋予合法用户使用安全办公U盘的能力,获取权限的用户通过读写接口控制模块和加密模块对存储区进行操作作用二在于对保护存储区中的数据进行加密保护提供审计模块;此模块作用是将TOE运行过程中与安全功能相关的信息进行审计,并将其存储在加密存储区存储区;存储需被TSF保护的数据,此区域应在取得合法用户认证的情况下,方可使用公共存储区域:存储办公程序(如office、.adobe等) 1 22 保护存储区;存储用户数据、TSF数据 5 安全问题定义 5.1资产需要保护的资产 TSF数据(保护存储区中的数据,如TOE中的访问控制列表、审计日志、安全配置数据、密钥等信息); -用户数据(公共存储区中的数据,如用户的加密信息、非加密信息,办公软件等信息). 注:ST编写者根据具体的应用情况细化对资产的描述 5.2威胁 5.2.1仿冒欺骗(T.Spoof) 攻击者通过伪装成为合法的用户或实体,来试图旁路安全办公U盘的安全控制策略 5.2.2故障利用(T.FailureExploitation) 攻击者可通过分析ToE的运行故障以获取TSF数据、用户数据或滥用ToE的安全功能这些故障可能是通过改变TOE的运行环境而触发的,也可能是由于TOE本身的设计缺陷而自发产生的,这些故障可能导致TOE的代码、系统数据或执行过程发生错误,使TOE在故障下运行,从而导致敏感数据泄露 5.2.3数据残留T.DataResidue 攻击者可利用未被删除或安全处理的ToE运行记录对TOE进行非法操作 5.2.4重复猜测(T.Repeat_Guess) 攻击者使用反复猜测鉴别数据的方法,并利用所获信息,对安全办公U盘实施攻击例如;攻击者可能对PIN码进行重复猜测以获取各种权限 5.2.5程序破坏T.ProgramDamage 攻击者读取、修改或破坏重要的安全办公U盘自身程序安全,例如攻击者可能通过逆向分析、驱动加载、线程注人,进程挂钩等技术可能破坏程序的正常运行也可能删除某些重要程序 5.2.6重放攻击(T.Replay_Attack) 攻击者利用所截获的有效标识和鉴别数据,访问和使用由安全办公U盘提供的功能例如;攻击
GB/T37091一2018 者可能通过嗅探等方式截获有效用户的鉴别数据,并可能使用这些鉴别数据以访问敏感内容等 5.2.7非授权访问(T.UnauthorizedAccess) 攻击者试图通过旁路安全办公U盘安全机制的方法,访同和使用各种安全功能例如;攻击者可能绕过PIN码身份验证访问文件保险箱、绕过认证服务器的访问控制策略 5.2.8数据泄露(T.Data_Leak) 攻击者(例如某未授权用户)通过各种技术手段获取到本地存储、传输过程中的敏感业务数据,造成数据泄露例如攻击者可能通过解密手段获取数据,造成数据泄露 5.2.9审计逃避T.AuditEscape 由于未生成审计记录或审计记录不完备而未被查阅,因此攻击者可能不需对其操作的行为负责,并可能导致某些攻击者逃避检测例如攻击者尝试进行的破坏行为未被记录,管理员无法审计这些行为 5.2.10不安全状态(T.Unseure_State 攻击者通过有效的攻击方式使安全办公U盘进人不安全状态 5.3组织安全策略 5.3.1密码管理(PCryptography_Managemment 密码的使用应符合国家制定的相关信息技术安全标准 5.3.2硬件选型(PHardware_Seeetom) TOE应采用至少通过EAL4十测评的芯片 5.4假设 5.4.1人员(A.Per rSOnnel 假定授权管理员是可信的,无恶意的,并且能够依据管理员指南规范其操作,例如发放安全办公U 盘的管理员应可信、无恶意假定使用TOE的人员已具备基本的安全防护知识并具有良好的使用习惯，且以规定的方式使用ToE 5.4.2硬件(A.Chip_IHardware) 假定TOE运行所依赖的硬件具备足以保障TOE安全运行所需的物理安全防护能力 5.4.3办公程序(A.offiee_Program) 假设安全办公U盘中预安装的办公程序如office,adobe等)不存在明显影响安全办公U盘安全的脆弱性 6 安全目的 6.1TOE安全目的 6.1.1用户认证(o.LUser_Identifieatio) TOE应对操作实体进行用户认证,防止对TOE中用户数据和安全功能数据的未授权访问和
GB/37091一2018 使用 6.1.2状态校验(o.State_Check) TOE应能校验自身状态,防止不安全状态在检测到故障后应将工作状态恢复或调整至安全状态,防止攻击者利用故障实施攻击 6.1.3残留信息清除(o.Residuallnfomation_Cearanee TOE应确保重要的数据在使用完成后会被删除或被安全处理,不会留下可被攻击者利用的残留数据信息 6.1.4PIN码保护(o.PIN_Proteetiom) ToE应对用户PIN码提供保护,防止攻击者的反复猜解等暴力破解 6.1.5数据加密(o.Data_Eneryptiom) ToE应对其保护的数据采取加密措施,如用户数据,安全功能数据等 6.1.6密码安全(o.Cryptogram_Seeurity TOoE应以一个安全的方式支持密码功能其使用的密码算法应符合国家.行业或组织要求的密码管理相关标准或规范注，如果ToE所使用的密码算法均由芯片实现,则将此安全目的移至ST的环境安全目的中 6.1.7办公程序安全防护(o.orrieeProgram_Prevention) TOE应对程序破坏,逆向分析等行为进行防护 6.1.8抗重放攻击(o.Replay_Preventiom) TOE应采取安全机制对抗可能的重放攻击 6.1.9安全审计(o.seeurity_Adit TOE应对违反策略的行为进行审计 6.2环境安全目的 6.2.1人员OE.Personne ToE开发、初始化和个人化等生命周期阶段中涉及的特定人员应能严格地遵守安全的操作规程、以保障ToE在生命周期过程中的安全性 6.2.2应用程序(OE.Application_Prgram) 安装应用程序到ToE的流程应规范,且合法安装的应用程序不应包含恶意代码 6.2.3芯片硬件(oE.Chip_Hardware) TOE的底层芯片应能够抵抗物理攻击、环境干扰攻击和侧信道攻击等
GB/T37091一2018 安全要求 7.1安全功能要求 7.1.1概述表1列出了安全办公U盘安全功能要求组件,其详细内容将在下面分条描述在描述过程中,方头括号【中的斜体字内容表示还需要在安全目标(ST)中确定的赋值及选择项表1安全功能要求组件组件分类安全功能要求组件序号 FAU_ARP.1安全告警 FAU类;安全审计 FAU_GEN.1审计数据产生 FAU_SAA.l潜在侵害分析 FCS_CKM.1密钥生成 FFCS_CKM.4密钥销毁 FCS类;密码支持 FCS_COP.1密码运算 FDP_ACC.1子集访问控制 FDP_ACF.1基于安全属性的访问控制 RDP FDP类:用户数据保护不带安全属性的用户数据输人 RDpP 子集信息流控制 10 FDP_IFF.1简单安全属性 AFI 鉴别失败处理 5 用户属性定义鉴别的时机微 FIA类;标识和鉴别任何动作前的用户鉴别 RIA 不可伪造的鉴别 FIA 标识的时机 17 FIA 任何动作前的用户标识 M_MoF.1安全功能行为的管理 19 FMT_MSA.1安全属性的管理 20 元 FMT_MSA.3静态属性初始化 FMT类;安全管理 FMT_MTD.1TSF数据的管理 22 FMT_MTD.2TSF数据限值的管理 23 FMT_SMR.1l安全角色 24 FMT_SMF.1管理功能规范 25 FPT_RcVv.4功能恢复 20 27 FP类:TSF保护 FPT_RPL.1重放检测 FPT_STM.1可靠的时间截 28 FTA类:TOE访问 FTA_SSL.2用户原发会话锁定 29
GB/37091一2018 7.1.2安全审计(FAU类 7.1.2.1 安全告警(FAU_ARP.1 FAU_ARP1.1TSF应允许对非正常操作进行告警配置当检测到潜在的安全侵害时,TSF应进行【以记录日志方式来安全告警】. 7.1.2.2审计数据产生(FAU_GEN.1 FAU_GEN.1.1TSF应能为下述可审计事件产生审计记录审计功能的开启和关闭; a b) 有关【最小级】审计级别的所有可审计事件; c 【表2中列出的事件】. 表2审计事件要求审计事件 FCs_CKM.1密钥生成操作的成功和失败 FCS_CKM.4密钥销毁操作的成功和失败操作的成功和失败,以及密码运算的类型 FCS_COP.1密钥运算 FDP_ACF.1基于安全属性的访问控制对sFP涵盖的客体执行某个操作的成功请求 FDP_ITc.1不带安全属性的用户数据输人用户数据的成功输人,包括任何安全属性 FDP_IFPF.1简单安全属性允许请求的信息流动的决定 FIAUAU.5多重鉴别机制校验码一次性鉴别和用户口令鉴别未成功鉴别尝试达到阂值、达到阂值后所采取的动作如使终端 FIA_AFL.1鉴别失败处理无效),及后来(适当时)还原到正常状态(如重新使终端有效) FIA_UAU.1任何动作前的用户鉴别鉴别机制的未成功使用 FIA_UAU.3不可伪造的鉴别对欺骗性鉴别数据的检测未成功用户标识机制的使用,包括所提供的用户身份 FIA_UID.1标识的时机 FA_UD.2任何动作前的用户标识未成功用户标识机制的使用,包括所提供的用户身份 FPT_RCv.4功能恢复如有可能,ToE安全功能失效后,不能返回到安全状态的可能性 FPT_RPL1重放检测检测到的重放攻击时间的改变 FPT_sTM.1可靠的时间戳 FTA_SSL.2用户原发会话锁定利用会话锁定机制对交互式会话的锁定 FAU_GEN.1.2TSF应在每个审计记录中至少记录下列信息: 事件的日期和时间、事件类型、主体身份(如果适用)、事件的结果(成功或失效》 b对每种审计事件类型,基于ST中功能组件的可审计事件的定义.【赋值:其他审计相关信息】 7.1.2.3潜在侵害分析(FAUsAA.1) FAU_SAA.1.1TSF应能使用一组规则去监测审计事件,并根据这些规则指示出对实施SFR的潜在侵害 FAU_SAA.1.2TSF应执行下列规则监测审计事件
GB/T37091一2018 已知的用来指示潜在安全侵害的【赋值:已定义的可审计事件的子集】的累积或组合 a D【赋值;任何其他规则】 7.1.3密码支持(FCS类 7.1.3.1密钥生成(FCs_CKM.1) FCs_CKM.1.1TSF应根据符合下列标准【赋值:;标准列表】的一个特定的密钥生成算法【赋值密钥生成算法】和规定的密钥长度【赋值:密钥长度】来生成密钥注1，该组件仅适用于密钥生成功能由ToE本身完成的情况,此时sT编写者根据密码算法的具体情况,赋值国家主管部门认可的相关标准及参数注2;若密钥由外部环境生成,则可以不选择此组件 7.1.3.2密钥销毁(FCS_CKM.4) FCS_CKM.4.1TSF应根据符合下列标准【赋值;标准列表】的一个特定的密钥销毁方法【赋值: 密钥销毁方法】来销毁密钥注sT编写者根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁方法 7.1.3.3密码运算(FCs_coP.1 FCS_COP.1.1TSF应根据符合下列标准【赋值:标准列表】的特定的密码算法【赋值:密码算法】和密钥长度【赋值:密钥长度】来执行赋值:密码运算列表】注:ST编写者根据密码算法的具体情况赋值国家主管部门认可的相关标准及参数 7.1.4用户数据保护(rFDP类》 7.1.4.1子集访问控制(FDP_Acc.1) FDP_Acc.1.1TSF应对用户,赋值:其他主体列表选择;删除、修改、读取、使用,赋值:其他具体操作列表r用户数据,赋值;其他客体列表】执行【赋值;访问控制策略】. 7.1.4.2基于安全属性的访问控制(rDPACE.1) FDP_ACF.1.1TSF应基于【赋值;指定sFP控制下的主体和客体列表,以及每个与SFP的相关安全属性或与SFP相关的已命名安全属性组】对客体执行【赋值:;访问控制SFP】 FDP_ACF.1.2TsF应执行以下规则,以确定在受控主体与受控客体间的一个操作是否被允许【赋值;在受控主体和受控客体间,通过对受控客体采取受控操作来管理访问的一些规则】. FDPACF.1.3TSF应基于以下附加规则.【赋值;基于安全属性的,明确授权主体访问客体的规则】,明确授权主体访问客体 FDP_ACF.1.4TSF应基于【赋值:基于安全属性的,明确拒绝主体访问客体的规则】明确拒绝主体访问客体 7.1.4.3不带安全属性的用户数据输入(FDP_Ic.1 FDP_ITC.1.1在SFP控制下从TOE之外输人用户数据时,TSF应执行【赋值;访问控制sFP和 /或)信息流控制sFP】. FDP_ITC.1.2从TOE外部输人用户数据时,TSF应忽略任何与用户数据相关的安全属性 FDP_ITC.1.3在SPF控制下从TOE之外输人用户数据时,TSF应执行下面的规则【赋值;附加的输人控制规则】
GB/37091一2018 7.1.4.4子集信息流控制(FDP_IFC.1 FDP_IFC.1.1TSF应对【赋值:主体、信息及SFP所覆盖的导致受控信息流人,流出受控主体的操作列表】执行【赋值;信息流控制SFP】 7.1.4.5简单安全属性(FDP_IFF.1 FDP_IFF.1.1TSF应基于下列类型主体和信息的安全属性:【赋值;指定SFP挖制下的主体和信息列表,以及每个对应的安全属性】执行【赋值;信息流控制sFP】 FDP_IFF.1.2如果支持下列规则:【赋值;对每一个操作,应在主体和信息的安全属性之间成立的基于安全属性的关系】,TsF应允许信息在受控主体和受控信息之间经由受控操作流动 FDP_IFF.1.3TSF应执行【赋值;附加的信息流控制sFP规则】 FDPIFF.1.4TSF应根据下列规则.【赋值;基于安全属性,明确批准信息流的规则明确批准一个信息流 DP_IFF.1.5TSF应根据下列规则.【赋值;基于安全属性，明确拒绝信息流的规则】明确拒绝一个信息流 7.1.5标识和鉴别(FIA类 7.1.5.1鉴别失败处理(FIA_AFL.1 FA_AFL.1.1TSF应检测当【选择;【赋值;正整数】,管理员可设置的【赋值;可接受数值范围】内的一个正整数】时,与【赋值:鉴别事件列表】相关的未成功鉴别尝试 FIA_AFL1.2当【选择;达到,超过】所定义的未成功鉴别尝试次数时,TsF应采取的赋值:动作列表】 7.1.5.2用户属性定义(FIA_ATD.1 FIA_ATD.1.1TSF应维护属于单个用户的下列安全属性列表【选择;用户标识,PIN和密钥等鉴别数据,用户角色、【赋值;其他安全属性]. 7.1.5.3鉴别的时机(FIA_UAU.1 FIA_UAU.1.1在用户被鉴别前,TSF应允许执行代表用户的【赋值;由TSF促成的动作列表】. FA_UAU.1.2在允许执行代表该用户的任何其他由TsF促成的动作前,TSF应要求每个用户都已被成功鉴别 7.1.5.4任何动作前的用户鉴别(FIA_UAU.2 FIA_UAU.2.1在允许执行代表该用户的任何其他TsF促成的动作前,TsF应要求每个用户都已被成功鉴别 7.1.5.5不可伪造的鉴别FIA_UAU.3) FA_UAU.3.1TSF应【选择;检测、防止】由任何TsF用户伪造的鉴别数据的使用 FIA_UAU.3.2TSF应【选择:检测、防止】从任何其他的TSF用户处拷贝的鉴别数据的使用 7.1.5.6标识的时机(FIA_UD.1 FIA_UID.1.1在用户被识别之前,TsF应允许执行代表用户的【赋值:TsF促成的动作列表】.
GB/T37091一2018 FIA_UD.1.2在允许执行代表该用户的任何其他TSF仲裁动作之前,TSF应要求每个用户身份都已被成功识别 7.1.5.7 任何动作前的用户标识(FIA_UD.2 FIA_UID.2.1在允许执行代表该用户的任何其他TSF促成的动作前,TSF应要求每个用户被识别 7.1.6安全管理(FNMI类 7.1.6.1安全功能行为的管理(FNIT_MoF.1 FMT_MOF.1.1TSF应仅限于【管理员】对功能【赋值:功能列表】具有【选择;确定其行为,终止、激活、修改其行为】的能力. 7.1.6.2安全属性的管理(F_SA.1) TsF应执行【用户数据访问控制策略】.以仅限于【管理员】能够对安全属性[赋 FMTMSA.1.1 值;安全属性列表】进行【重置,选择;改变默认值,查询,修改,删除.,【赋值;其他操作】静态属性初始化(F_MsA.3) 7.1.6.3 FMT_MSA.3.1 TsF应执行遗访问控制sFP】.以便为用于执行sFP的安全属性提供I许可的】默认值 FM_MsA.3.2TsF应允许【管理员】在创建客体或信息时指定替换性的初始值以代替原来的默认值 7.1.6.4ISF数据的管理(FMT_MTD.1) FM_MTD.1.1TSF应仅限于【管理员】能够对【TOE版本信息、,激活时间等标识数据,赋值;其他安全功能数据列表】进行【选择;改变默认值,查询,修改,删除,清除、【赋值;其他操作】1 7.1.6.5ISr数据限值的管理(FMr_MTD.2) FMT_MTD.2.1TSF能应仅限于【管理员】规定【连续鉴别失败尝试次数.赋值:其他TSF数据列表】的限值 FMT_MTD.2.2如果TSF数据达到或超过了设定的限值,TSF应采取下面的动作【赋值;要采取的动作,如锁定所有安全功能】. 7.1.6.6安全角色(Fr_SMIR.1) FMT_SMR.1.1TSF应维护角色【赋值;已标识的授权角色】 FMT_SMR.1.2TSF应能够把用户和角色关联起来 7.1.6.7管理功能规范(FM_SIF.1 FMT_SMF.1.1TSF应能够执行如下管理功能【赋值:TSF提供的安全管理功能列表】 7.1.7TSF保护(FPT类 7.1.7.1功能恢复(FPT_RCV.4 FPT_RCV.4.1TSF应确保在【赋值;其他功能和失效情景列表】时有如下特性,即SF或者成功 10
GB/37091一2018 完成,或者针对指明的失效情景恢复到一个前后一致的且安全的状态 7.1.7.2重放检测(FPT_RPL.1 FPT_RPL1.2检测到重放时,TSF应执行【赋值;具体操作列表,如锁定所有安全功能】. 7.1.7.3可靠的时间戳(FP_STM.1 FPT_STM.1.1TSF应能为它自己的使用提供可靠的时间戳 7.1.8ToE访问(FTA类) -用户原发会话锁定(FTA_ssL.2 FTA_sSL.2.1TSF应在达到【用户规定的不活动时间间隔】后,通过以下方法终止一个交互式会话; a 清除或覆写显示设备,使当前的内容不可读 b)除了会话解锁活动之外,终止用户数据存取/显示设备的任何活动 FTA_SSL.2.2TSF应要求在恢复会话之前发生以下事件【用户被重新鉴别】. 7.2安全保障要求 7.2.1安全保障级别安全办公U盘的安全保障级别选择EAL2和EAL3,EAL2和EAL3级别应包含的保障组件在表3中列出表3保障组件备注保障类保障组件序号 EAL2 EAl3 ADV_ARC.1安全架构描述 ADV_FSP.2安全执行功能规范 N/A ADV;开发 ADv_FsP.3带完整摘要的功能规范 N/A ATs1基础设计 N/A N/A ADv_TDs.2结构化设计 AGD_O)PE.1操作用户指南 AGD;指导性文档 AGD_PRE.1准备程序 ALC_CMC.2CM系统的使用 N/A AlC_CMC.3授权控制 N/A ALc_cMs.2部分ToEcM覆盖 N/A AMc.cMs3实现表示CM覆盗 NA ALc;生命周期支持 12 ALc_DEL.1交付程序 ALC_DVS.1安全措施标识 13 N/A 14 ALC_I(CD,1开发者定义的生命周期模型 N/A 1
GB/T37091一2018 表3(续备注保障类保障组件序号 EAL2 EAL3 AsE._cCL.1符合性声明 G 16 AsE_ECD.1扩展组件的定义 17 AsE_INT.1sT引言 ASE_OB.2安全目的 18 AsE,sST评估 1s ASE_REQ.1陈述性的安全要求 N/A ASE_REQ.2安全要求导出 20 N/A AsEsPD.1安全向题定义 21 AsE_Tss.1ToE概要规范 22 23 N/A ATE_coV.1覆盖证据 24 ATE_COV.2覆盖分析 N/A ATE;测试 ATEDPT.1测试:基本设计 25 N/A ATE_FUN.1功能测试 26 27 ATE_IND.2独立测试抽样 28 AVA;脆坍性评定 AVA_VAN.2脆弱性分析注<代表在该保障级下,选择该组件 N/A代表在该保障级下,该组件不适用 7.2.2开发(AD类 7.2.2.1安全架构描述(ADV_ARC.1 开发者行为元素: ADV_ARC.1.l1D开发者应设计并实现TOE,确保TSF的安全特性不可旁路 ADV_ARC.1.2D开发者应设计并实现TSF,以防止不可信任主体的破坏 ADV_ARC.1.3D开发者应提供TSF安全架构的描述内容和形式元素 ADV_ARC.1.1C安全架构的描述应与在TOE设计文档中对SFR执行的抽象描述的级别一致 ADV_ARC.1.2C安全架构的描述应描述与安全功能要求一致的TS安全域 ADV_ARC.1.3C安全架构的描述应描述TSF初始化过程为何是安全的 ADV_ARC.1.4C安全架构的描述应证实TSF可防止被破坏 ADV_ARC.1.5C安全架构的描述应证实TSF可防止SFR-执行的功能被旁路评估者行为元素: ADV_ARC.1.1E评估者应确认提供的信息符合证据的内容和形式要求 7.2.2.2安全执行功能规范(ADV_FSP.2 开发者行为元素: ADV_FSP.2.1D开发者应提供一个功能规范 ADV_FSP.2.2D开发者应提供功能规范到安全功能要求的追溯关系 12
GB/37091一2018 内容和形式元素: ADV_FSP.2.1C功能规范应完整描述TSF ADV_FSP2.2C功能规范应描述所有的TSFI的目的和使用方法 ADV_FSP.2.3C功能规范应识别和描述每个TSFI相关的所有参数 ADV_FSP.2.4C对于每个SFR执行TSFI,功能规范应描述TSFI相关的sSFR-执行行为 ADV_FSP.2.5C对于sSFR-执行TSFI,功能规范应描述由SFR-执行行为相关处理而引起的直接错误消息 ADV_FSP.2.6C功能规范应证实安全功能要求到TSFI的追溯评估者行为元素: ADV_FSP.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_FSP.2.2E评估者应决定功能规范是TOE安全功能要求的一个准确且完备的实例化 7.2.2.3带完整摘要的功能规范(ADV_FSP.3) 开发者行为元素: ADv_FsP.3.ID开发者应提供一个功能规范开发者应提供功能规范到安全功能要求的追溯 ADVFSP.3.2D 内容和形式元素 ADV_FSP.3.1C 功能规范应完全描述TsF ADv_FSP3.2C功能规范应描述所有的TSFI的目的和使用方法 ADv_FsP.3.3C功能规范应识别和描述每个TSFI相关的所有参数 ADv_FSP3.4C对于每个SFR执行TsF.功能规范应描述TsFI相关的SFR-执行行为 ADv_FsP.3.5C对于每个sFR-执行TSFI,功能规范应描述与TsFI的调用相关的安全实施行为和异常而引起的直接错误消息 ADv_FsP.3.6C功能规范需总结与每个TSFI相关的SFR-支撑和sFR-无关的行为 ADv_FSP.3.7C功能规范应证实安全功能要求到TSFI的追溯评估者行为元素 ADV_FSP.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_FSP.3.2评估者应决定功能规范是TOE安全功能要求的一个准确且完备的实例化 7.2.2.4基础设计(Av_TDs.1) 开发者行为元素 ADv_TDS.1.1D开发者应提供TOE的设计 ADV_TDS.1.2D开发者应提供从功能规范的TSF到TOE设计中获取到的最低层分解的映射内容和形式元素: ADV_TDS.1.1C设计应根据子系统描述TOE的结构 ADV_TDS.1.2C设计应标识TSF的所有子系统 ADV_TDS.1.3C设计应对每一个SFR-支撑或SFR-无关的子系统的行为进行足够详细的描述,以确定它不是SFR-执行 ADV_TDS.1.4C设计应概括SFR执行子系统的SFR执行行为 ADV_TDS.1.5C设计应描述TSF的SFR执行子系统间的相互作用和TSF的SFR执行子系统与其他TSF子系统间的相互作用 ADV_TDS.1.6C映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSF 评估者行为元素: 13
GB/T37091一2018 ADV_TDS.1.1E评估者应确认提供的信息满足证据的内容与形式的所有要求 ADV_TDS.1.2E评估者应确定设计是所有安全功能要求的正确且完备的实例 7.2.2.5结构化设计(ADv_TDS.2) 开发者行为元素: ADV_TDS.2.1D开发者应提供TOE的设计 ADV_TDS.2.2D开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射内容和形式元素: ADV_TDS.2.1C设计应根据子系统描述TOE的结构 ADV_TDS.2.2C设计应标识TSF的所有子系统 ADV_TDS.2.3C设计应对每一个TSF的SFR-无关子系统的行为进行足够详细的描述,以确定它是SFR-无关 ADV_TDS.2.4C设计应描述SFR执行子系统的sFR执行行为 ADv_-TIs.2.5C设计应概括sFR执行子系统的SFR支撑和SFR无关行为 ADv_TIs.2.6C设计应概括sFR支撑子系统的行为 ADv_TIs.2.7C设计应描述TsF所有子系统间的相互作用 _TTS.2.8C映射关系应证明ToE设计中描述的所有行为能够映射到调用它的TSFT. ADV 评估者行为元素 ADv_TDS.2.1E评估者应确认提供的信息满足证据的内容与形式的所有要求 ADv_TDs.2.2E评估者应确定设计是所有安全功能要求的正确且完全的实例 7.2.3指导性文档(AGD类 7.2.3.1操作用户指南(AGD.oPE.1) 开发者行为元素 AGD_OPE.1.lD开发者应提供操作用户指南内容和形式元素 AGD_OPE.1.1C操作用户指南应对每一种用户角色进行描述,在安全处理环境中应被控制的用户可访问的功能和特权.包含适当的警示信息 AGD_OPE.1.2C操作用户指南应对每一种用户角色进行描述,怎样以安全的方式使用TOE提供的可用接口 AGD_OPE.1.3C操作用户指南应对每一种用户角色进行描述,可用功能和接口,尤其是受用户控制的所有安全参数,适当时应指明安全值 AGD_OPE.1.4C操作用户指南应对每一种用户角色明确说明,与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变TSF所控制实体的安全特性 AGD_OPE.1.5C操作用户指南应标识TOE运行的所有可能状态包括操作导致的失败或者操作性错误),它们与维持安全运行之间的因果关系和联系 AGD_OPE.1.6C操作用户指南应对每一种用户角色进行描述,为了充分实现ST中描述的运行环境安全目的所必须执行的安全策略 AGD_OPE.1.7C操作用户指南应是明确和合理的评估行为元素 AGD_OPE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 14
GB/37091一2018 7.2.3.2准备程序(AGD_PRE.1 开发者行为元素: AGD_PRE1.1D开发者应提供TOE,包括它的准备程序内容和形式元素 AGD_PRE.1.1C准备程序应描述与开发者交付程序相一致的安全接收所交付TOE必需的所有步骤 AGD_PRE.1.2C准备程序应描述安全安装TOE以及安全准备与sT中描述的运行环境安全目的 -致的运行环境必需的所有步骤评估者行为元素 AGD_PRE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AGD_PRE.1.2E评估者应运用准备程序确认TOE运行能被安全地准备 7.2.4生命周期支持(AIc类 7.2.4.1CM系统的使用AIC_CMC.2 开发者行为元素 ALc_cMc.2.ID开发者应提供ToE及其参照号 ALc_cMc.2.2D开发者应提供CM文档 AIC_CMC.,2.3D开发者应提供CM系统内容和形式元素: ALC_CMC.2.1C应给TOE标注唯一参照号 ALC_CMC.2.2CCM文档应描述用于唯一标识配置项的方法 ALC_CMC.2.3CCM系统应唯一标识所有配置项评估者行为元素 ALC_CMC.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.4.2授权控制(ALC_CMc.3 开发者行为元素: ALc_CMC.3.1D开发者应提供TOE及其参照号 ALc_CMC.3.,2D开发者应提供CM文档 ALc_CMC.3.3D开发者应使用CM系统内容和形式元素 ALc_CMC.3.1C应给ToE标注唯一参照号 AIc_CcMc.3.2ccM文档应描述用于唯一标识配置项的方法 ALC_CMC.3.3CCM系统应唯一标识所有配置项 ALC_CMC.3.4CCM系统应提供措施使得只能对配置项进行授权变更 ALc_cMC.3.5ccM文档应包括一个cM计划 ALC_CMC.3.6CCM计划应描述CM系统是如何应用于TOE的开发过程 ALC_CMC.3.7C证据应证实所有配置项都正在CM系统下进行维护 ALC_CMC.3.8C证据应证实CM系统的运行与CM计划是一致的评估者行为元素: ALC_CMC.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 15
GB/T37091一2018 7.2.4.3部分ToECM覆盖ALC_CMS.2 开发者行为元素 ALC_CMS.2.1D开发者应提供TOE配置项列表 ALc_CMS.2.1D开发者应提供TOE配置项列表内容和形式元素 AIC_CMS.2.1C配置项列表应包括;TOE本身、安全保障要求的评估证据、TOE的组成部分 AIC_CMS.2.2C配置项列表应唯一标识配置项 AI.C_CMs.2.3C对于每一个TSF相关的配置项,配置项列表应简要说明该配置项的开发者评估者行为元素: ALC_CMS.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.4.4实现表示CM覆盖(ALc_CMIs.3) 开发者行为元素: ALc_CMs.3.1lD开发者应提供ToE配置项列表内容和形式元素 AIC_CMS.3.1C配置项列表应包括:TOE本身、安全保障要求的评估证据、TOE的组成部分和实现表示 ALC_CMS.3.2C配置项列表应唯一标识配置项 ALC_CMS.3.3C对于每一个TSF相关的配置项,配置项列表应简要说明该配置项的开发者评估者行为元素 ALc_CMs,.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.4.5交付程序(ALC_DEL.1 开发者行为元素: ALC_DEL.1.1D开发者应将TOE或其部分交付给消费者的程序文档化 ALC_DEL..1.2D开发者应使用交付程序内容和形式元素: ALc_DEL.1.1C交付文档应描述,在向消费者分发TOE版本时,用以维护安全性所必需的所有程序评估者行为元素 ALC_DELl.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.4.6安全措施标识(ALC_DVSs.1) 开发者行为元素: ALC_DVS.1.1D开发者应提供开发安全文档内容和形式元素: ALc_DVS.1.1cC开发安全文档应描述在TOE的开发环境中,保护TOE设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的及其他方面的安全措施评估者行为元素: ALC_DVS.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ALC_DVS.1.2E评估者应确认安全措施正在被使用 16
GB/37091一2018 7.2.4.7开发者定义的生命周期模型(ALC_LCD.1 开发者行为元素: ALC_LCD.1.lD开发者应建立一个生命周期模型,用于TOE的开发和维护 ALC_LCD.1.2D开发者应提供生命周期定义文档内容和形式元素: ALC_LCD.1.1C生命周期定义文档应描述用于开发和维护TOE的模型 ALc_LCD.1.2C生命周期模型应为TOE的开发和维护提供必要的控制评估者行为元素 ALC_LCD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.5ST评估(ASE类 7.2.5.1符合性声明(ASE_cCL.1) 开发者行为元素 AsE_CCL1.ID开发者应提供符合性声明 AsEcL.l.2D开发者应提供符合性声明的基本原理内容和形式元素 AsE_cCL1.1CsT应声明其与GB/T18336符合性，标识出ST和ToE的符合性遵从的 GB/T18336的版本 AsE_CCL.1.2C符合性声明应描述ST与GB/T18336.2的符合性,无论是与GB/T18336.2相符或还是对GB/T18336.2的扩展 ASE_CCL.l.3C符合性声明应描述ST与GB/T18336.3的符合性,无论是与GB/T18336.3相符还是对GB/T18336.3的扩展 ASE_CCL.1.4C符合性声明应与扩展组件定义是相符的 ASE_CCL1.5C符合性声明应标识ST声明遵从的所有PP和安全要求包 ASE_CCLl.6C符合性声明应描述ST和包的符合性,无论是与包的相符或是与扩展包相符 ASE_cCL1.7C符合性声明的基本原理应证实TOE类型与符合性声明所遵从的PP中的TOE类型是相符的 ASE_cCL.1.8C符合性声明的基本原理应证实安全问题定义的陈述与符合性声明所遵从的PP中的安全问题定义陈述是相符的 ASE_cCL1.9C符合性声明的基本原理应证实安全目的陈述与符合性声明所遵从的PP中的安全目的陈述是相符的 AsE_cCL.1.10C符合性声明的基本原理应证实安全要求的陈述与符合性声明所遵从的PP中的安全要求的陈述是相符的评估者行为元素 ASE_cCL1.IE评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.5.2扩展组件定义(ASE_ECD.1 开发者行为元素 AsE_ECD.1.1lD开发者应提供安全要求的陈述 ASEECD.1.2D发者应提供扩展组件的定义内容和形式元素: 17
GB/T37091一2018 ASE_ECD.1.1C安全要求陈述应标识所有扩展的安全要求 AsE_ECD.1.2C扩展组件定义应为每一个扩展的安全要求定义一个扩展的组件 ASE_ECD.1.3C扩展组件定义应描述每个扩展的组件与已有组件、族和类的关联性 ASEECD.1.4C扩展组件定义应使用已有的组件,族,类和方法学作为陈述的模型 AsE_ECD.1.5C扩展组件应由可测量的和客观的元素组成,以便于证实这些元素之间的符合性或不符合性评估者行为元素 AsE_ECD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ASE_ECD.1.2E评估者应确认扩展组件不能利用已经存在的组件明确地表达 7.2.5,3sr引言(ASE_INT.1) 开发者行为元素 ASE_INT.1.1D开发者应提供ST引言内容和形式元素: AsE_INT.1.ICsT引言应包含sT参照号、ToE参照号,ToE概述和ToE描述 ASE_INT.1.2CST参照号应唯一标识sT ASE_INT.1.3CToE参照号应标识ToE ASEINT.1.4CTOE概述应概括TOE的用法及其主要安全特性 ASE_INT.1.5CTOE概述应标识TOE类型 ASE_INT.1.6CTOE概述应标识任何TOE要求的非TOE范围内的硬件/软件/固件 ASE_INT.1.7CTOE描述应描述TOE的物理范围 ASE_INT.1.8CToE描述应描述TOE的逻辑范围评估者行为元素 ASE_INT.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ASE_INT.1.2E评估者应确认TOE参考、TOE概述和TOE描述是相互一致的 7.2.5.4安全目的(ASE_OB.2) 开发者行为元素 ASE_OB.2.ID开发者应提供安全目的的陈述 ASE_OB.2.2D开发者应提供安全目的的基本原理内容和形式元素 ASE_OB.2.1C安全目的的陈述应描述TOE的安全目的和运行环境安全目的 ASE_OB.2.2C安全目的基本原理应追溯到TOE的每一个安全目的,以便于能追溯到安全目的所对抗的威胁及安全目的实施的组织安全策略 ASE_OB.2.3C安全目的基本原理应追溯到运行环境的每一个安全目的,以便于能追溯到安全目的所对抗的威胁,安全目的实施的组织安全策略和安全目的支持的假设 ASE_OB.2.4C安全目的基本原理应证实安全目的能抵抗所有威胁 ASE_OB.2.5C安全目的基本原理应证实安全目的执行所有组织安全策略 ASE_OB.2.6C安全目的基本原理应证实运行环境安全目的支持所有的假设评估者行为元素 AsE_OB.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.5.5陈述性的安全要求(ASE_REQ.1 开发者行为元素 18
GB/37091一2018 ASE_REQ.1.1D开发者应提供安全要求的陈述 ASE_REQ.1.2D开发者应提供安全要求的基本原理内容和形式元素: ASE_REQ.1.1C安全要求的陈述应描述安全功能要求和安全保障要求 ASEREQ.1.2C应对安全功能要求和安全保障要求中使用的所有主体、客体,操作,安全属性、外部实体及其他术语进行定义 ASE_REQ.1.3C安全要求的陈述应对安全要求的所有操作进行标识 ASE_REQ.1.4C所有操作应被正确地执行 AsE_REQ.1.5C应满足安全要求间的依赖关系,或者安全要求基本原理应证明不需要满足某个依赖关系 ASE_REQ.1.6C安全要求的陈述应是内在一致的评估者行为元素: AsE_REQ.L.IE评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.5.6推导出的安全要求(ASE_REQ.2 开发者行为元素: AsE_REQ.2.ID开发者应提供安全要求的陈述. AsE_REQ.2.2D开发者应提供安全要求的基本原理内容和形式元素 AsE_REQ.2.1C安全要求的陈述应描述安全功能要求和安全保障要求 AsEREQ.2.2C应对安全功能要求和安全保障要求中使用的所有主体、客体、操作、安全属性、外部实体及其他术语进行定义 ASE_REQ.2.3C安全要求的陈述应对安全要求的所有操作进行标识 AsE_REQ.2.4C所有操作应被正确地执行 AsE_REQ.2.5C应满足安全要求间的依赖关系,或者安全要求基本原理应证明不需要满足某个依赖关系 ASE_REQ.2.6C安全要求基本原理应描述每一个安全功能要求可追溯至对应的ToE安全目的 ASE_REQ.2.7C安全要求基本原理应证实安全功能要求可满足所有的TOE安全目的 ASE_REQ.2.8C安全要求基本原理应说明选择安全保障要求的理由 ASE_REQ.2.9C安全要求的陈述应是内在一致的评估者行为元素: ASE_REQ.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.5.7安全问题定义(ASE_SPD.1) 开发者行为元素 ASE_sPD.1.lD开发者应提供安全问题定义内容和形式元素: ASE_sSPD.1.1C安全问题定义应描述威胁 ASE_SPD.1.2C所有的威胁都应根据威胁主体,资产和敌对行为进行描述 ASE_SPD.1.3C安全问题定义应描述组织安全策略 ASE_SPD.1.4C安全问题定义应描述有关TOE运行环境的相关假设评估者行为元素 ASE_SPD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 19
GB/T37091一2018 7.2.5.8TOE概要规范(ASE_ISS.1 开发者行为元素 ASE_TsS.1.1D开发者应提供TOE概要规范内容和形式元素 ASE_TsS.1.1CTOE概要规范应描述TOE是如何满足每一项安全功能要求的评估者行为元素 ASE_TsS.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ASE_TsS.1.2E评估者应确认TOE概要规范与TOE概述、TOE描述是一致的 7.2.6测试(ATE类 7.2.6.1覆盖证据(ATE_cow.1) 开发者行为元素 ATE_cOv.1.lD开发者应提供测试覆盖的证据内容和形式元素 ATE_COV.1.1C测试覆盖的证据应表明测试文档中的测试与功能规范中的TSF接口之间的对应性评估者行为元素 ATE_COV.1.1E评估者应确认提供的信息满足证据的内容和形式的要求 7.2.6.2覆盖分析(ATE_coV.2) 开发者行为元素: ATE_COV.2.1D开发者应提供对测试覆盖的分析内容和形式元素 ATE_COV.2.1C测试覆盖分析应论证测试文档中的测试和功能规范中描述的网络交换机安全功能间的对应性 ATE_cOV.2.2C测试覆盖分析应论证已经对功能规范中所有安全功能接口都进行了测试评估者行为元素: ATE_cOV.2.1E评估者应确认提供的信息满足证据的内容和形式的要求 7.2.6.3测试;基本设计(AIEDPr.1 开发者行为元素 ATEDPT.1.1D开发者应提供测试深度分析内容和形式元素 ATEDPT.1.1c测试深度分析应证实测试文档中的测试与ToE设计中TSF子系统之间的对应性 ATE_DPT.1.2C测试深度分析应证实TOE设计中所有TSF子系统都已经进行过测试评估者行为元素: ATEDPT.1.1E评估者应当确认提供的信息满足证据的内容和形式的要求 7.2.6.4功能测试(ATE_FUN.1 开发者行为元素: 20
GB/37091一2018 ATE_FUN.1.1D开发者应当测试TSF,并文档化测试结果 ATE_FUN.1.2D开发者应提供测试文档内容和形式元素: ATE_FUN.1.1C测试文档应当包括测试计划、预期的测试结果和实际的测试结果 ATE_FUN.1.2C测试计划应当标识要执行的测试并描述执行每个测试的方案,这些方案应包括对于其他测试结果的任何顺序依赖性 ATE_FUN.1.3C预期的测试结果应指出测试成功执行后的预期输出 ATE_FUN.1.4C实际的测试结果应和预期的测试结果一致评估者行为元素: ATEFUN.1.1E评估者应当确认所提供的信息满足证据的内容和形式的所有要求 7.2.6.5独立测试抽样(AIE_IND,2) 开发者行为元素: ATE_IND.2.1D开发者应提供用于测试的TOE 证据的内容和形式元素 ATE_IND.2.1CTOE应适合测试 ATE_IND.2.2C开发者应提供一组与开发者TsF功能测试中同等的一系列资源评估者行为元素 ATE_IND.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ATE_IND.2.2E评估者应执行测试文档里的测试样本,以验证开发者测试的结果 ATE_IND.2.3E评估者应测试TSF的一个子集以确认TSF按照规范运行 7.2.7脆弱性评定(AVA类 -脆弱性分析(AVA_VAN.2) 开发者行为元素 AVA_VAN.2.1D开发者应提供用于测试的TOE 内容和形式元素 AVA_VAN.2.1cTOE应适合测试评估者行为元素 AVA_VAN.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AVA_VAN.2.2E评估者应执行公共领域的调查以标识TOE的潜在脆弱性 AVA_VAN.2.3E评估者应执行独立的TOE脆弱性分析去标识ToE潜在的脆弱性,在分析过程中使用指导性文档,功能规范、TOE设计和安全结构描述 AVA_VAN.2.4E评估者应基于已标识的潜在脆弱性实施穿透性测试,判定TOE能抵抗具有基本攻击潜力的攻击者的攻击基本原理 8.1安全目的的基本原理表4说明了安全办公U盘的安全目的能应对所有可能的威胁、假设和组织安全策略 21
GB/T37091一2018 表4安全目的与威胁,组织安全策略,假设的对应关系序号安全目的对应的威胁、组织安全策略和假设 O,User_ldentification T.Spoof,T，UnauthorizeAccess,T.Data_leak T.Failure_Exploitation,T.Unsafe_State O.State_Check P.Hardware_Seleetion O.ResidualnfomationClearance T.Failure_Esploitation,T.Dat_Residue,T.D [Data_l.eak T,FailureExploitation,T,Replay_Guess,T,Data_L.eak， O.PIN_Protection P.Crytogram_Management T.Failure_Exploitation,T.Replay_Guess O.Data_Encryption T.Data_l.eak,P.Crytogram_Management T.Failure_Exploitation,T.Replay_Guess， O.Cryptogram_Security T.Data_L.eak,P.Crytogram_Management O.OfficeProgramPrevention T.FailureExploitation,T.ProgramDamage O.Replay_Prevention T.Replay_Attack O.Security_Audit T.Replay_Guess,T.Audit_Escape TSpoof,T.Unauthorized_Access DEPersonne T.Audit_Escape,A.Personnel OE.Application_Program T.Program_Damage,A.Office_Program T.Failure_Exploitation,P.Hlardware_Seleetion oE.chip 12 Hardware A.Chip_Hardware 以下每一种威胁、组织安全策略和假设都至少有一个或一个以上安全目的与其对应,因此是完备的 T.Spoof 为了避免攻击者通过伪装成为合法的用户或实体,来试图旁路安全办公U盘的安全控制策略 O.User_Identification会对操作实体进行用户认证,防止对TOE中用户数据和安全功能数据的未授权访问和使用;OE.Personnel会对人员的合法性进行定义 T.Failure_Exploitation 为了避免攻击者通过分析TOE的运行故障以获取TsF数据、用户数据或滥用TOE安全功能 O.State_Check会对TOE运行是否正常进行校验;O.Residuallnfomation_Clearance会对U盘使用后的数据进行清除,防止故障利用;O.Pin_Proteection,O.Data_Encryption以及O.Cryptogram_Pevention 会对TSF数据进行防护;(O.OfieeProgram_Prevention对办公程序进行防护;OE.Chip_Hardware会对硬件安全性进行定义 T.Data_Residue 为了避免攻击者利用未被删除或安全处理的TOE运行记录对TOE进行非法操作,O.Residualln- omation_Clearance会对U盘使用后的数据进行清除,防止故障利用 T.Repeat_Guess 为了避免攻击者对TOE使用反复猜测鉴别数据的方法,并利用所获信息实施攻击,O.Pin_Protee- tion,O.Data_Eneryption以及O.Cryptogram_Pevention会对鉴别数据进行防护;O.Seeurity_Audit会对违反策略的行为进行审计,及时发现不合法猜测行为 T.Pr 'rogram_Dammage 22
GB/37091一2018 Preven 为了避免攻击者读取、修改或破坏重要的安全办公U盘自身程序安全,O.OffieeProgram_ tion,OE.Applieation_Program会对程序破坏,逆向分析等行为进行防护 T.Replay_Attack 为了避免攻击者利用所截获的有效标识和鉴别数据,访问和使用由安全办公U盘提供的相关功能,0.Replay_Prevation会提供安全机制抵御重放攻击 T.UnauthorizedAccess 为了避免攻击者试图旁路安全办公U盘安全机制的方法,访问和使用各种安全功能,O.User_Ide ntification,OE.Personnel会对使用者的合法性进行认证 T.DataL_L.eak 为了避免攻击者通过各种技术手段获取到本地存储、传输过程中的敏感业务数据,造成数据泄露， O.Pin_Proteetion会对用户PIN码提供保护;O.User_Identifieation会对操作实体进行用户认证,防止对TOE中用户数据和安全功能数据的未授权访问和使用;O.,Data_Eneryption会对其保护的数据采取加密猎施，,如用户数据,安全功能数据等,oRwtdaMnmtion _Clearance 会对U盘使用后的数据进行清除,防止故障利用;O,Cryptogram_Seeurity会以符合国家、行业或组织要求的密码管理相关标准或规范的密码算法确保" TOE密码安全 T.Audit_Escape 由于未生成审计记录或审计记录不完备面而未被查阅,因此攻击者可能不需对其操作的行为负责,并可能导致某些攻击者逃避检测为防止此不安全行为发生.o.secuity_Audit.OE.Persoml会对违反策略的行为进行审计 T.Unsafe_State 为了避免攻击者通过有效的攻击方式使安全办公U盘进人不安全状态,o.State_Check会对U盘状态进行校验,防止不安全状态的发生 P.Crytogram_Management 为了避免攻击者利用密码算法安全问题.o.Pin_Protection.o.Data_Eneryption以及o.Cryp togram_Pevention会对密码使用过程进行安全判断 P.Hardware_Selectionm 为避免芯片硬件引人安全问题,o.State_Check、OE.Chip_Hardware会对ToE是否采用至少通过安全测评的安全芯片进行校验 A.Personnel 该假设要求授权管理员能够依据管理员指南规范其操作,使用TOE的人员已具备基本的安全防护知识并具有良好的使用习惯,且以规定的方式使用TOE 为了达到这样的目的,OE.Personnel要求 TOE开发、初始化和个人化等生命周期阶段中涉及的特定人员应能严格地遵守安全的操作规程,以保障rOE在生命周期过程中的安全性 A.Chip_Hardware 该假设要求TOE运行所依赖的硬件具备足以保障TOE安全运行所需的物理安全防护能力为了达到这样的目的,OE.Chip_Hardware要求TOE的底层芯片应能够抵抗物理攻击,环境干扰攻击和侧信道攻击等 A.Office_Program 该假设要求安全办公U盘中预安装的办公程序不存在明显影响安全办公U盘安全的脆弱性为了达到这样的目的,OE.Application_Program要求安装应用程序到TOE的流程应规范,且合法安装的应用程序不应包含恶意代码 23
GB/T37091一2018 8.2安全要求的基本原理表5说明了安全要求的充分必要性基本原理,即每个安全目的都至少有一个安全要求(包括功能要求和保障要求)组件与其对应,每个安全要求都至少解决了一个TOE安全目的,因此安全要求对安全目的而言是充分和必要的表5安全要求与安全目的的对应关系序号安全要求对应的安全目的 FAU_ARP.1 O.User_Identification,O.OffieeProgram_Prevention,O.Replay_Prevention FAU_GEN.l O,.Security_Audit FAU_SAA.1 O.Security_Audit O.UseE_Idenifeation,o.PIN_Poteeiom,O.DAtaLEnerypiom, FCS_CKM.1 Security FCS_CKM.4 ).Residuallnfomation_Clearance,O.Cryptogram_Security FCscoP.1 O.User_ldentification,O.Data_Eneryption.O.Cryptogram_Security FDP_ACc.1 O.Userldentification FDP_ACF.1 O.Userldentification FDP_ITCc.1 O.User_Identifieation.O.CryptogramL_Seeurity 9 FDP_IFC.1 O.User_ldentifieation o.User_Identifieationm FDP_IFF.1 o.User_Identifeation 12 FIA_AFLl FIA_ATD! D.UJserIdentification 13 O.UserIdentiffication.O.ResiduuallnfomationClearance 14 FIA_UAU.1 OttlceProgram_Prevention O.User_Identifcationm 15 FIA_UAU.2 FIA_UAU.3 O.UserIdentification 17 FIA_UD.1 O.Userldentification 18 FIA_UID.2 O.User_ldentification 19 FMT_MOF.1 O.User_ldentification 20 FMT_MSA.1 O.User_ldentifieation o.User_Identifieationm 21 FMT_MSA.3 o.User_Identifeatonm 22 FMT_MTD.1 23 FMT_MTD.2 O.UserIdentification FMT_sSMR.1 O.UserIdentification FMT 25 SMF.1 O,Userldentification 26 FPT_RCV,4 O,State_Check 21 O.Replay_Prevention FPT_RPLl 28FPT_STM.l O.State_Check 29 FTA_SSL..2 0.Residuallnfomation_Clearance,O.OfficeProgram_Prevention 24
GB/37091一2018 O.User_Identification 通过FAU_ARP.1对不合法认证活动进行安全告警;通过FCS_CKM.1和FCs_cOP.1要求用户认证过程中正确的密码生成和运算;通过FDP_ACC.1、FDP_ACF.1、FDP_ITC.1、FDP_IFC.1、FDP IFF.1,FIA_AFL1、FIA_ATD.1、FIA_UAU.1、FIA_UAU.2,FIA_UAU.3、FIA_UD.1,FIA_UD.2 FMT_MOF.1、FMT_MSA.1、FMT_MSA.3、FMT_MTD.1、FMT_MTD.2、FMT_SMR.1、FMT_SMF.1 对用户身份的相关管理机制进行要求 O.State_Check 通过FPT_RCV.4要求TOE在检测到故障后将工作状态恢复至安全状态;通过FPT_STM.1要求 TOE提供可靠的时间戳为状态校验服务 o.Residualnfomation_Clearance F:CS_CKM.4要求对TOE使用过程中的密钥信息进行销毁;通过FTA_SSL.2和FIA_UAU.1终 -个交互式会话后,对U盘中残留信息进行清除,确保U盘安全 O.PIN_Protection 通过FCS_CKM.1生成密钥保护PIN码 O.Data_Eneryption 通过FCS_CKM.1和F:Cs_COP.1对数据加密过程中的密码生成和运算进行要求 O.Cryptogram_Seeurity 通过FCs._CKML1,FCs_CKM.4和FCs._coP1对数据加密过程中的密码生成销毁和运算进行要求,确保密码安全 o.OffieeProgram_Preventionm 通过FAU_ARP.1对办公程序的使用过程进行安全告警;在达到用户规定的不活动时间间隔后通过FTA_sSL.2和FIA_UAU.1终止一个交互式会话,确保办公程序安全 O.Replay_Prevention 通过FAU_ARP.1对重放攻击进行安全告警;通过FPT_RPL.1对重放行为进行检测 O.Security_Audit 通过FAU_GEN.1和FAU_SAA.1对安全审计过程中的数据产生进行要求,并进行潜在侵害分析 8.3组件依赖关系在选取安全要求组件时,应满足所选组件之间的相互依赖关系,表6和表7分别列出了所选安全功能要求组件和安全保障要求组件的内部依赖关系表6安全功能组件依赖关系表序号安全功能组件依赖关系 FAU_ARP.1 FAU_SAA.1 FPT_sTM.1 FAU_GEN.1 FAUGEN.1 FAU_SAA.1 FCs._CKM.2或FCs._coPl FCS_CKM.1 FCS_CKM.4 F:DP_1ITc.1或FDP_ITC.2或F:CS_CKM.1 FCS_CKM.4 25
GB/T37091一2018 表6(续序号安全功能组件依懒关系 FDP_ITC.l或FDP_ITC.2或FCS_CKM.1 FCs_COP.1 FcSCKM.4 FDP_Acc.1l FDP_ACF.1 FDP_ACC.1 FDP_ACF.1 FMT_MSA.3 FDP_ACC.1或FDP_ACF.1 FDP_ITc.1 FMT_MSA.3 DPF FDP_IFc.1 FDPIFc.1 l FDP_IFF.1 FMT_MSA.3 12 FIA_AFL.1 FIA_UAU.1 无 13 FIA_ATD.l l4 FIA_UAU.1 FIA_UID.l1 F1A_UAU.2 FIA_U1D,l1 HINUAU. 无 FIA_UD. 无无 18 FIA_UD.2 FMTSMR.1 FMT_MoF.1 19 FMT_SMF.1 FDP_ACC.1或FDP_IFC.1 20 FMT_MSA.l1 FMT_SMR.1 FMT_SMF.1 FMT_MsA. 21 FMT_MSA.3 FMT_sMR.l FMTSMR.1 22 FMT_MD.1 FMT_SMF,1 FMT_MTD. 23 FMT_MTD2 FMT_SMR.1 FMT_sMR.1 24 FIA_UID.l1 25 FMTSMF,1 无 26 FPTRCV.4 21 无 FPT_RPL.1 FPT_STM.1 无 28 29FTA_SSL.2 FIA_UAU.l 26
GB/37091一2018 表7安全保障组件依赖关系表序号安全保障组件依赖关系 ADV_FSP.1 ADV_ARC.1 ADv_TTS.1 ADv_FSP.2 ADV_TDS.1 ADV_FSP.3 ADV_TDs.1 ADV_TDS.l ADV_FSP.2 ADV_TDS.2 ADV_FSP.3 AGD_OPE.1 ADV_FSP.1 AGD_PRE.1 无 ALccMCc.2 ADV_FsP. ALcCMC.3 10 ALC_CMS.2 无 11 ALC_CMS.3 无 12 ALC_DEL 无 AI.C_DVS.l1 13 ALc_LcD. 14 ASE_INT.1 ASE_CCL1 ASE_CD.1 15 ASE_REQ.1 16 AsE_cD.1 ASE_INT. 无 17 18 ASE_OB.1 无 19 ASEREQ.1 ASE_CD.1 ASEOB.2 AsE_REa2 20 ASE_ECD.1 21 ASE_SPD.l 无 ASE_INT.1 22 AsE AsE_Tss. REa ADv_FsP.1 ADV_FSP.2 23 ATE_COV. ATE_FUN.l ADV_FSP.2 ATE_coV.2 24 ATE_FUN.l ADV_ARC.1 25 ATE_DPT1 ADV_TDS.2 ATE_FUN. 27
GB/T37091一2018 表7(续序号安全保障组件依懒关系 ATE_cov.1 26 ATE_FUN.1 ADv_FSP.2 AGD_OPE 21 ATE_IND.2 AGD_PRE.1 ATECOV.1 ATE_FUN.1 ADV_ARC.1 ADv_FSP2 AVA_VAN.2 ADv_TIs. 28 AGD_OPE.1 AGD_PRE.1 28
GB/37091?2018 [1]ProtectionProfileforNetworkDeviees,08June,2012

信息安全技术要求GB/T37091-2018下的办公U盘安全技术

随着信息技术的快速发展，各类移动存储设备已经成为人们日常工作和生活中不可或缺的一部分。而在办公场所中，U盘是最为常见的移动存储设备之一。然而，由于U盘存储容量大、携带方便等特点，也使得其成为了重要的信息安全风险。为了保护信息系统的安全性，同时避免因U盘造成的数据泄露等问题，国家相关部门制定了一系列的技术标准和要求，即GB/T37091-2018《办公U盘安全技术要求》。

一、技术标准简介

GB/T37091-2018是我国第一部专门针对办公U盘的国家标准，主要是为了规范办公场所中U盘的使用，避免因为办公人员的疏忽或者其他原因导致信息泄露等问题。该标准涉及到U盘的物理特性、数据存储安全、数据传输安全、U盘管理等多个方面。

二、技术要求详情

1. 物理特性要求

（1）U盘体积应小于50mm×20mm×10mm；

（2）U盘不允许设置物理读写开关；

（3）U盘不得有可拆卸的零部件；

（4）U盘不得具备无线通信功能。

2. 数据存储安全要求

（1）U盘应支持加密存储；

（2）U盘应支持写保护，防止非授权用户修改或删除文件；

（3）U盘应支持自毁功能，即在设定条件下自动清除数据；

（4）U盘内置固件应当加入漏洞扫描机制。

3. 数据传输安全要求

（1）U盘应支持加密传输；

（2）U盘应支持病毒扫描功能，确保文件传输的安全性；

（3）U盘应支持双向认证机制，确保数据传输的真实性、完整性和可信度；

（4）U盘不得支持自动运行功能。

4. U盘管理要求

（1）U盘在出厂前应当进行严格的质量控制，并进行漏洞扫描和病毒检测；

（2）U盘应当标注产品型号、序列号、生产日期等信息；

（3）U盘应当有专门的售后服务机构，并提供售后技术支持和维护服务。

三、总结
GB/T37091-2018《办公U盘安全技术要求》的推出，标志着我国对于办公U盘的管理进入了规范化阶段。企业和机构应该加强对于员工U盘使用的管理，确保数据的安全性和可靠性。同时，生产厂家也应当遵循相应的技术标准要求，提高产品质量和安全性。

信息安全是当前社会的重要议题，而办公U盘作为移动存储设备中的重要一员，其安全性更加需要得到关注和保障。只有在各方面的共同努力下，才能够真正保障企业和个人的信息安全，推动信息安全事业的稳步发展。