GB/T33563-2017
信息安全技术无线局域网客户端安全技术要求(评估保障级2级增强)
Informationsecuritytechnology—Securitytechnologyrequirementsonwirelesslocalareanetwork(wlan)client(EAL2+)
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2017-12-01
- 文件格式PDF
- 文本页数35页
- 文件大小3.89M
以图片形式预览信息安全技术无线局域网客户端安全技术要求(评估保障级2级增强)
信息安全技术无线局域网客户端安全技术要求(评估保障级2级增强)
国家标准 GB/T33563一2017 信息安全技术无线局域网客户端安全 技术要求(评估保障级2级增强 Informationsecuritytechnology一Securitytechnology reguireentsforwirelesslocalareanetworkwlanclient(EAL2十 2017-05-12发布 2017-12-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB;/T33563一2017 16 1.3FDP类:用户数据保护 16 1.4FIA类:标识与鉴别 17 1.5FMT类;安全管理 17 1.6FPT类:TSF保护 附录A资料性附录)基本原理 18 A.1概述 18 A.2安全目的基本原理 18 22 A.3安全要求基本原理 30 参考文献
GB/T33563一2017 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准主要起草单位;信息安全测评中心、北京邮电大学,科学院研究生院信息安全国家 重点实验室、西安西电捷通无线网络通信股份有限公司
本标准主要起草人:郭涛、朱龙华、崔宝江、刘威鹏、胡亚楠、张宝峰、毕海英、杨永生、张斌、 张普含、时志伟,郝永乐、王眉林、童伟刚
GB;/T33563一2017 引 言 本标准依据GB/T18336一2015中所规定的安全技术要求保护轮廓的结构形式,参考 GB/Z20283一2006制定了无线局域网客户端安全技术要求(评估保障级2级增强 本标准详细描述了与无线局域网客户端安全相关的假设、威胁和组织安全策略,定义了无线局域网 客户端及其运行环境的安全目的,并由其导出安全功能要求和安全保障要求,通过基本原理论证了安全 要求能够追溯并覆盖安全目的,安全目的能够追溯并覆盖安全环境相关的假设、威胁和组织安全策略
IN
GB/T33563一2017 信息安全技术无线局域网客户端安全 技术要求(评估保障级2级增强 范围 本标准规定了无线局域网客户端的安全技术要求(评估保障级2级增强),主要包括无线局域网客 户端的假设、威胁和组织安全策略,以及安全目的、安全功能要求和安全保障要求
本标准在GB/T18336一2015中规定的评估保障级2级安全保障要求的基础上,增加了评估保障 级3级ALC_FLR.2缺陷报告过程)保障组件
本标准适用于符合评估保障级2级增强的无线局域网客户端的设计、开发、测试、评估和产品的 采购
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
第 GB15629.11一2003信息技术系统间远程通信和信息交换局域网和城域网特定要求 l部分;无线局域网媒体访问控制和物理层规范 信息技术安全技术信息技术安全性评估准则第1部分;简介和一般模型 GB/T18336.l一2015 GB/1836.2一2015信息技术安全技术信息技术安全性评估准则第2部分安全功能组件 GB/T18336.32015信息技术安全技术信息技术安全性评估准则第3部分;安全保障组件 GB/Z20283一2006信息安全技术保护轮廓和安全目标的产生指南 GB/T250692010信息安全技术术语 术语和定义 GB/T18336一2015,GB/T250692010界定的以及下列术语和定义适用于本文件
3.1 基本服务组basicservieeset;Bss 受单个协调功能所控制的站集合 3.2 扩展服务集 extendedservieeset;ESs 由一个或多个互联的Bss与集成的局域网(LAN)构成的集合,对与其中某个BSS站点关联的任 何站的逻辑链路控制层而言,它表现为单个的BSS
3.3 独立基本服务组 independentbasicservieeset;IBss 能够成一个自包含网络且不能访问DS的BSS.
GB;/T33563一2017 3.4 泛端口portal 逻辑点,来自非本标准的局域网的MAC服务数据单元在本逻辑点上进人ESS中的分布式系统
3.5 station;STA 站(点 包含符合本标准的与无线媒体的MAC和PHY接口的任何设备
3.6 无线局域接入系统wL.ANaccesssystem 由能够实现用户接人无线局域网络的设备构成的整体
缩略语 下列略缩语适用于本文件
BSs基本服务组(BasicServieeSet rationMat CM配置管理(Configum anagement EAL评估保障级(Ewaluation AssuranceLevel ESS扩展服务集(ExtendedServiceSet) BSS独立基本服务组(IndependentBasicServiceSet Im 信息技术(InformationTechnology Pp 保护轮廓(ProtectionProfile sF 安全功能(SecurityFunction SFP安全功能策略(SeeurityFunetionPoliey SOF功能强度(StrengthofFunction) sT 安全目标(SecurityTarget STA站(点)(Station ToE评估对象(Target afEvaluation) TscTsF控制范围(TsFscoopeofControDy TsFToE安全功能(ToEsecurityFunctions3) TSFITSF接口(TSFlnterflace TSPTOE安全策略(TOESecurityPoliey wAswLAN接人系统(WLANAccessSystem) wLAN无线局域网(wirelessLocalAreaNetwork) 5 约定 5.1假设 TOE安全环境假设的命名以“A.”(Assume)开始,例如,A.ADMINISTRATION
5.2威胁 TOE安全环境威胁的命名以“T.”(Threat)开始,例如,T.sIGNAL_DETECT 5.3策胳 TOE安全环境策略的命名以“P.”(Poliey)开始,例如,P.GUIDANCE.
GB/T33563一2017 5.4目的 iveEnviron TOE安全目的和运行环境安全目的的命名分别以“O.”Objective)和“OE.”(Object ment)开始,例如,O.ACCEsS和OE.ADMIN
5.5扩展组件 本标准中使用的部分安全功能组件并未包括在GB/T183362015中,这样的要求被称为“扩展组 件”
扩展组件按照GB/T18336一2015中“类/族/组件”模型进行定义和标识
在本标准中,扩展组件 使用“EXP”表示
5.6操作 GB/T18336一2015允许对功能组件进行四种操作赋值、细化、选择和反复,以执行安全功能要 求
本标准按以下方式突出标识其中三种操作 -赋值;允许指定参数
赋值部分以粗斜体形式表示
选择;允许从一个列表中选定一项或者多项
选择部分将以粗体形式表示
反复;允许一个组件在不同操作时被使用超过一次以上
TE描述 6.1综述 典型的无线局域网系统包括IBSs,Bss和Ess三种结构,如图1~图3所示
本标准的评估对象 TOE)指的是IBSs,Ss以及ESS结构下的无线局域网客户端,是sTA的一种存在形态
目前TOE 典型的存在形式有PCI、,PCMICA,USB接口无线网卡以及其他嵌人式无线网卡等
TOE是用户接人 wLAN的最终设备,任何情况下wLAN客户端与无线或有线网络间的数据交互都必须通过无线局域 网接人系统(wAs) IBSS ToE1 TOE2 图 IBSS结构下的TOE BSS TOE wAs 图2BSs结构下的ToE
GB;/T33563一2017 BSS1 ESs wAs1 TOE1 Bss2 分布式系统 WAS2 TOE2 泛端口 非本标准局域网 图3ESS结构下的IoE TOE在大多数情况下组件作为存在于计算机或移动设备中
因此,TOE自身不能提供运行环境 下所需要的全部安全要求
TOE主要依靠其自身附带的计算环境来执行管理任务
因此需要对于 TOE运行环境附加一定的安全要求
TOE安全功能要求和运行环境安全要求能够缓解威胁和满足 策略
6.2管理 管理员负责安装、配置和维护ToE
由于TOE是更大系统的一部分,所以负责管理ToE运行环 境的管理员也应负责管理ToE
本标准不排除多个单独管理的角色,但是要求只有一个ToE管理员
6.3加密 ToE包括密码模块的要求
密码模块是提供密码服务的系统或应用的一部分
符合本标准的产 品和系统应使用符合国家标准和国家密码管理机构批准的密码模块 6.4审计 TOE是更大系统的一部分,其审计的职责仅限于产生审计事件
ToE的运行环境可以提供审计 事件存储、查阅和恢复等审计机制
6.5鉴别 TOE在大多数情况下组件作为存在于计算机或移动设备中,因此,不需要标识和鉴别功能
但 ToE的运行环境可以提供用户-主体绑定等鉴别机制
6.6IoE运行环境 运行TOE所需的操作系统和硬件平台(例如,计算机、移动设备)一般不要求作为TOE的一部分
但是,由于TOE是更大系统的一部分,因此对于TOE所依赖运行环境增加保护是必要的
GB/T33563一2017 ToE安全环境 7.1假设 7.1.1A.PHYSICAL TOE运行环境提供与TOE及其所包含数据的价值相一致的物理安全 7.1.2A.No_EVIL 管理员是可信的,经过正式培训且遵循管理员指南
7.2威胁 7.2.1T.AcCIDENTALADMINERROR 管理员可能不正确安装或配置TOE,导致无效的安全机制
7.2.2T.CRRYPIo_coMPRoMISE 用户或进程可能引起与密码功能相关联的关键数据或可执行代码被不适当的访问查看、修改或删 除),从而破坏了密码机制和受该机制保护的数据
7.2.3T.ooR_DESIGN 要求规范或TOE设计中的无意错误可能导致可被恶意用户或进程利用的缺陷
7.2.4T.IMIPLEMENTATION TOE设计的实施中的无意错误可能导致恶意用户或进程利用的缺陷
7.2.5T.P0oR_TEST 由于缺乏或对TOE安全功能正确运行的测试不充分,导致不正确TOE的行为未被发现,从而存 在潜在的安全脆弱性
7.2.6T.RESIDUALDATA 恶意用户或进程利用重新分配TOE资源来获取对于资源的未授权访问
7.2.7T.TSF_coMIPRoMIISE 恶意用户或进程通过简易的攻击引起TSF数据或可执行代码被非法的访问(查看、修改或删除)
7.3组织安全策略 7.3.1P,AcCOUNTABILITY TOE的授权用户对自身在TOE内的行为负责
7.3.2P.CRYPTOGRAPHHY 只有符合国家标准和国家密码管理机构要求的密码(方法和实施)才能用于密钥管理(例如,密钥的 产生,访问分发、销毁、处理和储存)和密码服务(例如,加密、解密,签名、散列、密钥交换和随机数产生
GB;/T33563一2017 服务). 8 安全目的 8.1TOE安全目的 8.1.1O.ADMINGUIDANCE TOE应为安全管理员提供必要的信息以便于安全管理
8.1.2O.AUDITGENERATION TOE应具有检查和创建与用户相关联的安全相关事件记录的能力
8.1.3O.CORRECT_TSF_OPERATION TOE应提供测试TSF以确保TSF在客户站点正确运行的能力
8.1.4O.CRYPTOGRAGHIY ToE应使用已获国家标准和国家密码管理机构要求的密码服务
8.1.5O.MANAGE TOE应提供支持管理员管理ToE安全所必需的功能和设施 8.1.6O.RESIDUALINFORMATION TOE应确保资源被重新分配时ToE控制范围受保护资源所包含的任何信息不被泄漏
8.1.7o.coNFGURATIoN_IENTIFCATIoN 由于ToE迅速重新分发,应采用一种方式完全标识TOE的配置,该方式将允许在实现时错误能 够被标识和改正
8.1.8o.DEcUMENTED_DEsGN TOE的设计应以文档的形式充分和准确地记录
8.1.9o.PARTIALFUNCToNA_TESTING 应对TOE进行安全功能测试以表明TSF满足它的安全功能要求
8.1.10o.VULNERABLIrY_ANALYsIs 应对TOE进行脆弱性分析以表明TOE的设计和实施不包含任何明显的缺陷
8.2运行环境安全目的 8.2.1oE.MANAGE TOE运行环境应增加TOE的功能和设施以支撑管理员对于TOE安全的管理,并且要防止这些 功能和设施被未授权使用
GB/T33563一2017 8.2.2oE.No_EVM 管理员是可信的,经过正式培训且遵循管理员指南
8.2.3oE.PHYsICAL TOE运行环境提供与TOE价值和TOE包含的数据相称的物理安全
8.2.4oE.RESIUA_INFoRMATloN TOE运行环境确保资源被重新分配时TOE控制范围内保护资源包含的信息不能被泄漏
8.2.5oE.TIE_STAMPs TOE运行环境应提供可靠的时间戳并为管理员提供为时间戳设置时间的能力
8.2.6oE.IoE_AcCEss TOE运行环境应提供对用户逻辑访问TOE进行控制的机制
扩展组件定义 g.1扩展族;基准密码模块(Cs_CM) g.1.1族行为 本族描述了国家密码管理机构认可的基准密码模块 g.1.2组件层次 FCS_BCM_EXP.1“基准密码模块”要求基准密码模块应使用国家密码管理机构认可的模块
9.1.3管理 无可预见的管理行为
g.1.4审计 如果PP/ST中包含FAU_GEN“安全审计数据产生”,下列行为应是可审计的 最小级;操作的成功和失败; a b)基本级;除任何敏感信息(如秘密密钥或私有密钥)以外的客体属性和客体值
9.1.5FCS_BCMEXP.1基准密码模块 从属于;无其他组件
依赖关系;无依赖关系
FCs_BCM_EXP.1.1密码模块在执行密码功能时应采用[赋值;密钥生成算法]
FCs_BCM_EXP.1.2对TOE密码模块进行认可的测试应该遵循[赋值;标准列表]
9.2扩展组件 9.2.1FAU_GEN_EXP.1审计数据产生 9.2.1.1FAU_GEN_EXP.1.1 TSF应能为下述可审计事件产生审计记录
GB;/T33563一2017 有关[选择,选取一个;最小级,基本级,详细级,未规定]审计级别的所有可审计事件 a D)[赋值;其他专门定义的可审计事件]
9.2.1.2FAU_GEN_EXP1.2 TSF应在每个审计记录中至少记录下列信息: 事件的日期和时间、事件类型、主体身份(如果适用、事件的结果(成功或失效); a b对每种审计事件类型,基于PP/ST中功能组件的可审计事件的定义,[赋值:其他审计相关 信息]
g.2.2FCs_CKM_EXP.2加密密钥建立 9.2.2.1FCS_CKMEXP.2.1 TSF应提供以下加密密钥建立技术[赋值:密钥加密技术]
密码模块依据[赋值:密钥分发办法 能在下面的环境[赋值;密码模块输出密钥的环境]接受密钥输人和输出密钥
g.2.3密钥运算rCs.coP族;Cs.coPExP1随机数产生 9.2.3.1FCS_COP_EXP.1.1 下sF应产生TsF常码功能中所使用的所有随机数
随机数产生器应符合[威值;标准列费了
9.2.4密钥运算FCS_COP族:FCS_COPEXP.2密码运行 g.2.4.1FCscoP_EXP.2.1 TsF应产生TsF密码功能中所使用的所有随机数
随机数产生器应符合[赋值;标准列表]
TSF应遵循无线客户加密策略,通过使用[赋值;加密算法]运行在[赋值:运行模式]支持[赋值.密 钥长度]的密码模块执行加密和解密
9.2.5ISr自检FP_TST族:FPr_ISr_EXP.1TS测试 9.2.5.1FPr_IsST_EBXP.1.1 TSF应在[选择;初始化启动期间,正常工作期间周期性地,授权用户要求时,在[赋值;产生自检的 条件]条件时]运行一套自检程序以证明[选择;[赋值:ISr的组成部分],TsF]运行的正确性
9.2.5.2FPT_IST_EXP.1.2 TSF应为授权用户提供验证[选择:[赋值:Isr的组成部分]、ISr数据]完整性的能力
g.2.5.3FPT_IST_ExP.1.3 TSF应为授权用户提供验证所存储的TSF可执行代码完整性的能力
9.2.6ISF自检FPT_IST族;FPT_TSTEXP.2对密码模块进行ISr测试 9.2.6.1FPr_IST_EXP.2.1 TSF应在[选择;初始化启动期间,正常工作期间周期性地,授权用户要求时,在[赋值:产生自检的 条件]条件时]运行一套自检程序以证明[选择;[赋值:Isr的组成部分]、TSF]运行的正确性
GB/T33563一2017 9.2.6.2FT_IST_EXP.2.2 TSF应在产生密钥后立即运行一套遵循国家标准和国家密码管理机构相关标准的密码模块自测 工具
10ToE安全要求 0.1ToE安全功能要求 10.1.1概述 本标准的TOE应满足表1列出的安全功能要求,这些要求由GB/T18336.2一2015给出的和扩展 的安全功能组件组成 表1TOE安全功能要求 安全功能组件类 安全功能组件 组件名称 依赖关系 FAU类;安全审计 FAU_GEN_EXP.1 审计数据产生 FPT_STM.1 FCs_BCM_EXP.1 基准密码模块 无 [FDP_ITC.1 或 FCs类密码支持 FCS_COPEXP.1] FCS_CKM_EXP,2 密钥建立 FcsCKM.1; FCS_CKM.4; FMTMSA.2 [FDP_ITC.1 或 FCsCKM.4 密钥销毁 FDP.IITC.2 或 FCSCKM.1] [FDP_ITC.1 或 FCS类;密码支持 FCS_C(OP_EXP.1 随机数产生 FCSCKM.1] FcsCcKM.4 FMT_MSA.2 [FDPITC 或 FCscoPEXP.2 密码操作(数据加解密 Fcs_CKML.1]: FCS_CKM.4; FMT_MSA.2 FDP_IFc.1 子集信息流控制 _IF.1 FDP FDP_IFC.1 FDP类:用户数据保护 FDP_IFF,1 简单安全属性 FMT_MSA.3 FDPRIP.1 子集残留信息保护 无
GB;/T33563一2017 表1续) 依赖关系 安全功能组件类 安全功能组件 组件名称 [ADV_SPM.1或 FDP_Acc,1或 FMT_MSA.2 安全的安全属性 FDP_IFC.1] FMT_MSA.1 FMT_SMR.1 FMT类;安全管理 FMT_MSA.1 静态属性初始化 FMT_MsA FMSMR.1 FMT_SMF.1(1 管理功能规范(密码功能 无 FMT_SMF.1(2 管理功能规范(审计记录产生 无 rsF数据管理(密码密钥数据 无 FMT_SMF,1(3 PTSTEXP TsF 无 测试 FPT类;TSF保护 FPT_TsST_EXP.2 对密码模块进行TsF测试 0.1.2FAU类:安全审计 10.1.2.1FAU_GEN_EXP.1审计数据产生 FAU_GEN_EXP1.1TSF应能为下述可审计事件产生审计记录 所有表2中列出的审计事件
a 表2审计事件 安全功能组件 审计事件 附加的审计记录内容 FCs_CKMEXP.2 万 密钥传输过程中的检测到的错误 FCS_CKM.4 密钥的销毁 无 FDPIFC.1 丢弃不满足无线客户端加密策略的数据包 源和目的设备的MAC地址 改变TOE加密算法,包括选择对通信不进行 FMTSMF.1(1 加密算法选择(或无) 加密 FMT_SMF.1(3 改变密钥数据 无('TOE不应在审计日志中记录密钥 FPT_TSF_EXP.1 执行自检 自检成功或失败 执行自检 自检成功或失败 FPT_TSF_EXP,2 FAU_GEN_EXP.1.2TSF应在每个审计记录中至少记录下列信息 事件的日期和时间,事件的类型,主体身份(如果适用、事件的结果(成功或失效) a) b)对每种审计事件类型,基于PP/ST中功能组件的可审计事件[表2审计事件第三列规定的 信息
] 应用注释如果在审计事件中记录的数据是有意义的,那么“如果适用”指的就是在审计记录中应包 含的数据
对于某些审计事件而言,如果没有特别说明,那么“无”审计记录也是可以接受的
10
GB/T33563一2017 10.1.3FCSs类:密码支持 10.1.3.1FCS_BCM_EXP.1基准密码模块 FCs_BCM_EXP.1.1密码模块在执行密码功能时应采用国家标准和国家密码管理机构相关标准要 求的密码算法
FCs_BCM_ExXP.1.2对TOE密码模块进行认可的测试应该遵循国家标准和国家密码管理机构相 关标准
10.1.3.2FCS_CKM_EXP.2加密密钥建立 FCs_CKM_EXP.2.1TSF应提供以下加密密钥建立技术:[通过人工装载建立加密密钥,[赋值 附加的加密密钥建立技术]]
密码模块依据国家标准和国家密码管理机构相关标准规定的手工加密密钥分发方法能在下面的环 境[赋值:密码模块输出密钥的环境]接受密钥输人和输出密钥
应用注释;sT作者使用第一个赋值以显示评估中应该包括的附加密钥生成技术
如果TOE不包 括附加密钥生成技术,那么就赋值为“无” 应用注释ST作者使用第二个赋值去详细描述密钥从码模块输出的条件(例如,仅在某种类型 的密钥产生活动期间 应用注释;这个要求规定TSF密码模块有能力执行手工密钥输人/输出,这个能力应遵循国家标准 和国家密码管理机构认可的过程
这不排除sT作者规定额外的密钥生成技术
0.1.3.3FCsCKM.4密钥销毁 FCs_CKM.4.1TSF应根据符合下列条件的密钥归零方法来销毁密钥 符合国家标准和国家密码管理机构相关标准中的密钥安全管理的密钥归零要求 a 对所有私钥、明文加密密钥和其他重要的密码安全参数进行清零是迅速的,完备的 b 通过三次或三次以上交替地覆盖重要的密码安全参数储存区执行归零操作; c d -旦将密钥/CSsP传输到其他地方,ISr应三次或三次以上交替地覆盖私钥、明文加密密钥和 其他重要的密码安全参数的中间储存区
应用注释;d)适用于密钥/参数在处理过程中进行复制时涉及的位置,而b),e)适用于规定的存储 密钥时被使用的位置
临时位置包括寄存器、物理存储器位置,甚至页文件和内存转储区
10.1.3.4FCS_COPEXP.1随机数产生 FCs_cOP_EXP.1.1TSF应产生TSF密码功能中所使用的所有随机数
随机数产生器应符合[国 家标准和国家密码管理机构相关标准的要求]
应用注释;无论何时一个参考标准要求随机数产生功能,这个要求确认了可以接受的随机数产生器 的子集
虽然国家标准和国家密码管理机构认可的密码模块中要求实施随机数产生功能,但是在执行 满足FCS_cOP_EXP.2的密码运行的密码模块中没有要求实施随机数产生功能
注意,这个要求没有 要求随机数产生功能是通用的(例如,通过API的非可信用户)
0.1.3.5rcs_coPExP.2密码运行 FCs_coP_EXP.2.1遵循无线客户加密策略,通过使用[国家标准和国家密码管理机构认可的算 法]运行在[一个或多个国家标准和国家密码管理机构支持的模式]支持[一个或多个国家标准和国家 11
GB;/T33563一2017 密码管理机构认可的密钥长度]的密码模块执行加密和解密
0.1.4FDP类;用户数据保护 0.1.4.1rFDPIC.1子集信息流控制 FDP_IFc.1.1TSF应对[主体客户端,接入系统;信息.网络数据包;操作;接收数据包和传输数据 包]执行[roE加密策略]
10.1.4.2FDP_IFF.1简单安全属性 FDP_IFF1.1TSF应基于下列类型的主体和信息安全属性;[主体客户端,接入系统;信息:加密/ 加密标志;网络接口的传播方向]执行[1oE加密策略] FDP_IFF.1.2如果支持下列规则,TsF应允许一个受控主体和受控信息之间由受控操作流动 如果加密/解密标志没有显示1oE应该执行加密,那么所有数据包可能不进行任何修改就通 a 过; 如果传输的方向是从操作系统到网络接口,且加密/解密标志显示roE应该执行加密,那么 b 1oE必须通过FCs_coPEXP.2.1加密用户数据
如果成功,通过无线接口传输数据包; 如果传输的方向是从网络接口到操作系统,且加密/解密标志显示roE应该执行解密,那么 1oE必须通过Cs_coPEXP.2.1解密用户数据
如果成功,把信息交给操作系统; [选择:[赋值:对于每一个ISF将执行的操作,主体和信息安全属性之间支持的基于安全属性 d 的关系],访问点/系统策略规则没有确定附加的信息流]
FDP_IFF1.3TSF应执行[选择:[赋值附加的信息流控制sFP规则,“没有附加的信息流控制 SFP规则” FDP_IFF.1.4TSF应提供下列[选择;[赋值:附加的SFP能力列表],“没有附加的sFP能力”]
FDP_IFF.1.5TSF应根据下列规则:[选择:[赋值:基于安全属性明确授权信息流的规则],“没有 清晰的授权规则”]明确批准一个信息流
FDP_IFF.1.6TSF应根据下列规则;[选择;[赋值;基于安全属性朋确拒绝信息流的规则],“没有 清晰的拒绝规则”]明确拒绝一个信息流
应用注释;加解密标志确定对ToE进行管理设置
0.1.4.3FDPRIP.1子集残留信息保护 FDP_RIP.1.1TSF应确保一个资源的任何先前信息内容,在[选择;分配资源到,释放资源自]客体 [网络数据包对象]时不再可用
应用注释;这个要求保障TOE不允许先前传输的数据包数据插人到当前数据包未使用的区域或 填充区
相似地.TOE必需确保清除共享存储区内先前传输的数据包内容或用于传输TOE与安装 TOE的计算机之间数据包的机制(TSC内)
0.1.5FMr类:安全管理 10.1.5.1 rMr_MsA2安全的安全属性 FMT_MSA.2.1TSF应确保安全属性只接受安全的值
10.1.5.2FM_MSA.3静态属性初始化 FMT_MSA.3.1TSF应执行[无线客户加密策略],以便为用于执行SFP的安全属性提供受限的默 12
GB/T33563一2017 认值
FMT_MSA.3.2TSF应允许[管理员]在客体或信息被创建时指定替换性的初始值以代替原来的 默认值
0.1.5.3FMT_SMIF.1(1管理功能规范(密码功能 FMT_SMF.1.1(1TSF应能执行下面的安全管理功能:[遵照无线客户端策略(通过Cs_CoP EXP.2)对网络数据包进行加解密]
应用注释:这个要求确保负责管理TOE的人员能够对wLAN客户端传输的加密/解密数据选择 :Cs.coP_EXP.,2指定的加密算法或不进行加密
10.1.5.4FMI_SMIF.1(2管理功能规范(ToE审计记录产生 FMT_SMF.1.1(2TSF应能执行下面的管理功能;[打开或关闭安全审计(FAu_GEN_EXP.1)]
应用注释;这个要求确保负责管理TOE的人员能够打开或关闭TOE审计记录产生
10.1.5.5FMT_SM1r.1(3)管理功能规范(密码密钥数据 FMT_SMF.1.1(3)TSF应能执行下面的安全管理功能[遵照无线客户端策略设置、修改和删除密 码密钥和密钥数据,打开或关闭密码密钥测试验证的功能]
应用注释;这个要求的目的是提供配置TOE密钥的能力
配置密钥数据包括;设置密钥的生命周 期,设置密钥长度等
0.1.6FP类:ISF保护 10.1.6.1FPT_TST_EXP.1TSF测试 FPT_TST_EXP1.1TSF应在初始启动或接收到授权用户的请求时将运行一套自检程序以显示 TSF硬件部分的正常运行
FPT_TsT_ExP.1.2TsF应为授权用户提供使用TsF提供的加密功能去验证除审计数据以外所 有ISF数据的完整性的能力
FPT_TsT_EXP.1.3TSF应能使用TSF提供的加密功能去验证存储的TSF可执行代码的完 整性
应用注释;FP_TsT_EXP.1.1中,仅有TsF的硬件需要自检,这是因为硬件会随时间而变化(老 化出现故障),所以这是有意义的;而软件通常不需要自检
FPT_TsT_EXP.1.3解决了TSF软件完整 性
FPT_TST_EXP.1.2中,ST作者应确定不需要完整性验证的TSF数据
虽然一些TSF数据是动 态的,因此不应该进行完整性验证,但是所有需要完整性验证的TSF数据被期望遵循这个要求
在元 素FPT_TST_EXP.1.1和FPT_TST_EXP.1.2中,虽然典型的MAC和散列函数能被用于完整性验证 但是密码机制必须是FCs_coP_EXP.2指定的加密算法
由于本标准没有明确要求任何MAC或散列 函数,ST作者可能重复FCS_COP_EXP.2 10.1.6.2FPr_IST_EXP.2对密码模块进行TSF测试 FPT_TST_EXP.2.1TSF应在初始启动或接收到授权用户的请求时将运行一套自检程序以显示 ISr加密组件的正常运行
FPT_TsT_EXP.2.2TSF应在产生密钥后立即运行一套遵循国家标准和国家密码管理机构相关标 准的密码模块自检程序
13
GB;/T33563一2017 应用注释;FPT_TsT_EXP.2.2元素并没有强制要求TOE产生密钥. 10.2ToE安全保障要求 本标准的ToE应满足表3列出的安全保障要求,这些要求由GB/T18336.3一2015中的评估保障 级2级的安全保障组件和增强组件组成表3中用粗体字突出了增强组件
这些保障组件确定了TOE 管理和评估活动,它们对于解决本标准所确定的威胁和策略是必需的
表3TIOE安全保障要求 保障类 保障组件 组件名称 ADv_ARc.1 安全架构描述 ADV;开发 ADV_FSP 安全执行功能规范 ADV;开发 ADV_TDS,1 基础设计 AGD_OPE.1 操作用户指南 AGD指导性文档 AGD_PRE.1 准备程序 ALc_cMc. cM系统的使用 ALc_CMs.2 部分ToEcM覆盖 ALD生命周期支持 ALc_DEL.1 交付程序 ALC_FLR.2 缺陷报告程序 ASE_CCL1 符合性声明 ASE_ECD.1 扩展组件定义 ASE_INT.1 ST引言 ASEST评估 AsE_oB.2 安全目的 ASEREQ.l 陈述性的安全要求 AsE_Tss.1 ToE概要规范 ATE_coV.1 覆盖证据 ATE;测试 ATEFUN.1 功能测试 ATE_IND.2 独立测试抽样 AVA;脆弱性评定 AVA_VAN.2 脆弱性分析 运行环境安全要求 1 11.1概述 本标准的TOE运行环境应满足表4列出的安全功能要求,这些要求由GB/T18336.22015给出 的和扩展的安全功能组件组成
14
GB/T33563一2017 表4运行环境安全要求 安全功能组件类 组件名称 安全功能组件 依赖关系 FAU_GEN.1 FAU_GEN.2 用户身份关联 FA_UID.l FAUSAA.1 FAU_GEN.1 潜在侵害分析 FAU类;安全审计 FAUSAR,1 FAU_GEN,1 审计查阅 FAU_SAR.2 限制审计查阅 FAU_SAR.1 FAU_SAR.3 可选审计查阅 FAU_SAR.1 FAU_GEN. FAU_SEL.1 选择性审讲 FMT_MTD.l FAU类;安全审计 受保护的审计迹存储 FAU_GEN. FAU_STG.1 FAU_STG.3 审计数据可能丢失时的行为 FAU_STG.l DP类;用户数据保护 子集残留信息保护 FDP_RIP.1 无 FIAUSB.1 FIAATD.1l IA类;标识与鉴别 用户-主体绑定 FMT_MR.1 FMT类;安全管理 FMT_MOF.1 安全功能行为的管理 FMT_SMF. FMT_SMR.1 FMT_MTD.l TSF数据的管理 FMT_SMF. FMT类;安全管理 FIAUID.1 FMT_SMR.l 安全角色 FPT类;TSF保护 FPT_STM.1 可信时间戳 无 应用注释;本标准要求TOE运行环境提供重要的功能
声明符合本标准的ST通过包括同样的要 求作为TOE的一部分,满足一些或全部运行环境应该实现的要求也是可以接受的 11.2 EAU类;安全审计 11.2.1 rAU_cEN2用户身份关联 FAU_GEN.2.1对于已标识身份的用户的行为所产生的审计事件,TOE运行环境应能将每个可审 计事件与引起该事件的用户身份相关联
11.2.2rFAU_SAA.1潜在侵害分析 FAU_SAA.1.1ToE运行环境应能使用一组规则去监测审计事件,并根据这些规则指示出实施 SFR的潜在侵犯
FAU_SAA.1.2TOE运行环境应执行下列规则监测审计事件 已知的用来指示潜在安全侵害的可审计事件的积累或表2中审计事件的组合; aa b 无附加的规则
11.2.3FAU_SAR.1审计查阅 FAU_SAR.1.1TOE运行环境应为管理员提供从审计记录中读取所有审计数据的能力
FAUSAR.1.2TOE运行环境应以便于用户理解的方式提供审计记录
应用注释;这个要求确保TOE运行环境为管理员提供管理员查看TOE产生的审计记录所必需的 15
GB;/T33563一2017 功能
11.2.4FAUSAR.2限制审计查阅 FAU_SAR.2.1除明确准许读访问的用户外,TOE运行环境应禁止所有用户对审计记录的读 访问
应用注释:这个要求确保访问TOE产生的审计记录仅限于那些被授权查看信息的用户
11.2.5FAU_SAR.3可选审计查阅 FAU_SAR.3.1TOE运行环境应根据逻辑关系标准提供对审计数据进行分类,搜索,排序的能力
11.2.6FAU_SEL.1选择性审计 FAU_SEL.1.1TOE运行环境应能根据以下属性从审计事件集中包含或排除可审计事件 [[用户身份,主体身份,主机身份]; a b)[赋值:附加的可选的审计属性]
11.2.7FAU_SrG.1受保护的审计迹存储 FAU_sTG.1.1ToE运行环境应保护审计迹中存储的审计记录,以避免未授权的删除
FAU_sTG.1.2ToE运行环境应能防止对审计迹中所存审计记录的未授权修改
11.2.8FAU_STG.3审计数据可能丢失时的行为 FAU_sTG.3.1如果审计迹超过[管理员设定的存储容量百分比],ToE运行环境应采取[通过在 本地控制台上立即显示一条信息瞥告管理员,[选择;[赋值;采取其他的行动],“无”]
应用注释;如果审计迹设置被超过,那么sT作者应该决定是否采取其他行动
如果采取行动,进 行赋值;否则选择“无” 11.3FDP类;用户数据保护 FDP_RIP.1子集残留信息保护 FDPRIP.1.1TOE运行环境应确保一个资源的任何先前信息内容,在分配资源到[网络数据包对 象]时不再可用
应用注释;这个要求保障TOE运行环境不允许先前传输的数据包数据插人到当前数据包未使用 的区域或填充区
既然运行环境要求的操作必须完成,因此选择“资源被分配到”
它包括两个选项(当 资源被释放时资源的信息内容不可用的系统也可以声称满足资源回收之前资源的内容已被释放的要 求).
1.4FIA类;标识与鉴别 FIA_USB1用户-主体绑定 FIA_USB.1.1TOE运行环境应将用户安全属性;[鉴别凭证]与代表用户活动的主体相关联
FIA_USB.1.2TOE运行环境应执行[赋值:属性初始关联规则]将用户安全属性与代表用户活动 的主体初始关联
FIA_USB.1.3TOE运行环境应执行[赋值:属性更改规则]管理用户安全属性与代表用户活动的 主体间关联关系的变化 16
GB/T33563一2017 11.5FM类;安全管理 11.5.1FM_MoF.1安全功能行为管理(加密功能 FMT_MOF.1.1TOE运行环境应仅限于[管理员]对[加密/解密网络数据包(FMr_SME.11) FMr_SMF.1(3)),审计FMr_SMr.1(2))]具有确定其行为的能力
11.5.2FM_MITD.1TSF数据的管理时间TSF数据 FMT_MTD.1.1TOE运行环境应仅限于[管理员]能够对[用于形成FPr_STM.1中时间戳的时间 和日期]进行设置
应用注释:TOE运行环境必须为管理员提供设置时间和日期的接口 11.5.3FMT_SMIR.1安全角色 FMT_SMR.1.1TOE运行环境应该维护[管理员]的角色
FMT_SMR.1.2TOE运行环境应能够把用户和角色关联起来
应用注释;ToE运行环境支持用于管理ToE的管理角色
在一些环境中,终端用户(例如,便携 式计算机)扮演管理角色
可是,其他环境(例如,多用户系统)中,除终端用户的其他人扮演管理角色
11.6rFPT类:TSF保护 FPT_STM.1可靠的时间戳 FPT_sTM.1TOE运行环境应有能力提供可靠的时间戳
应用注释;TOE运行环境必须提供ToE使用的时间戳 17
GB;/T33563一2017 附 录 A 资料性附录) 基本原理 概述 A.1 本附录论述了本标准所依据的原理
目的是证明本标准是一个完整的内在一致的安全要求,并且 为无线局域网客户端在安全环境中提供有效的策略集合
本附录主要给出了安全目的和安全要求的合理性,汇总了假设、安全目的覆盖的策略和威胁,以及 安全目的覆盖的安全要求,并概述了本标准选择的适当的安全保障要求(评估保障级2级增强)
A.2安全目的基本原理 本条论述了本标准选择安全目的的基本原理
表A.1说明了安全目的与假设、威胁和组织安全策 略之间的映射关系,即每个威胁和策略都至少有一个安全目的组件与其对应,每个安全目的都至少解决 了一个威胁和策略
表A.1安全目的与威胁和策略之间的映射关系 威胁和策胳 解决威胁的安全目的 基本原理 o.ADMIN_GUDANCE O.ADMIN_GUIDANCE通过保障T(OE TOE应为安全管理员提供必要的信息 管理员拥有一个指导他们如何安全地 T.ACCIDENTALADMIN_ER 以便于安全管理 管理TO)E的指南来缓解威胁
该指南 ROR OE.MANAGE 也有助于减少管理员引起的不安全地 管理员可能不正确安装或配置TOE运行环境应增加TOE的功能和 配置TOE的错误
ToE,导致无效的安全机制 设施以支撑管理员对于ToE安全的管 oE.MANAGE保障ToE运行环境能 理,并且要防止这些功能和设施被未授 够支撑管理员对于ToE安全的管理 权使用 O.RESIDUALINFORMATION ToE应确保资鄙被重新分配时ToEo.REsiDUAL_NFoRMAToN 和 控制范围内受保护资源所包含的任何oE.REsIDUAL_INFoRMATIoN通过 T.cRYPro.coMPRoM1sE 信息被泄漏
保障ToE或ToE运行环境在网络数 用户或进程可能引起与密码功 OE.REsUAl_INFoRMAToN 据包中不会作为填充插人关键数据(和 能相关联的关键数据或可执行 TOE运行环境确保资源被重新分配时加解密有关)或可执行代码来缓解这个 代码被不适当的访问查看、修 ToE控制范围内保护资源包含的信息威胁
改或删除,从而破坏了密码机 不能被泄漏
O.CRYPTOGRAGHIY确保处理和销毁 制和受该机制保护的数据 o.cRYPToGRAGHY 密钥时能够遵循国家密码管理机构相 ToE应使用已获国家密码管理机构批关标准中规定的程序 准的密码服务 18
GB/T33563一2017 表A.1(续 威胁和策略 解决威胁的安全目的 基本原理 O.DECUMENTED_DESIGN通过要求 使用合理的工程原则开发ToE在一定 程度上处理这个威胁
高层设计和功 能规范的使用确保负责开发ToE的开 o.DEcUMENTED_DEsGN TOE的设计应以文档的形式充分地和发者理解TOE的整体设计
这降低了 准确地记录
设计缺陷产生的可能性,提高了发现意 o.coNFcUuRAToN_DENTFcAN 外设计错误的机会
的 T.P(OOR_DESIGN TION 支持O.DECUMENTED_DESIGN 要求规范或ToE设计中的无意由于ToE迅速重新分发,应采用一种 ADVR(CR 确保ToE设计与高层设 错误可能导致恶意用户或进程方式完全标识TO)E的配置,该方式将计和功能规范的一致性
O.cONFIGURATIONIDENTIFICA 可利用的缺陷 允许在实现时错误能够被标识和改正
0.VULNERABILITY_ANALYSIS TION通过要求开发者对TOE设计所 应对TO)E进行脆弱性分析以表明做的变化进行控制来处理这个威胁, ToE的设计和实施不包含任何明显的o.vLNERABL.IrY_ANAL.YsIS确 缺陷 保可以发现TOE的明显漏洞,由于任 何发现的漏洞已被删除从而能缓解汤 洞的威胁
这包括分析任何声称符合 本标准TOE中的概率的或置换的机制 O.cONFIGURATIOIDENTIFICA O.CONFGURATION_IDENTIFICAN TION通过要求开发者控制对TOE设 TIO 计所做的改变来处理这个威胁
由于TOE迅速重新分发,应采用一种 PARTIAL FUNCrIoNAL Q 式完全标识ToE的配置,该方式将 方 TESTING确保开发者对TOE的测试 允许在实现时错误能够被标识和改正
T.POooR_IMPLEMENTATIoN 能够充分满足所有的ToE安全功能要 O,PARTIAL_FUNC'Tl(ONAL_TEST TOE设计的实施中的无意错误 求
这个目的通过确保依据安全功能 可能导致恶意用户或进程利用 要求对ToE安全相关部分进行测试 来 应对TOE进行安全功能测试以表明 缺陷 解决这个威胁
TSF满足它的安全功能要求
O.VULNERABLITY_ANALYSIS确 O,VULNERABILITY_ANALYSIS 保TOE的明显漏洞已被分析和ToE 应对ToE进行脆弱性分析以表明 能够抵制恶意用户
这包括分析任何 roE的设计和实施不包含任何明显的 声称符合本标准ToE中的概率的或置 缺陷 换的机制 19
GB;/T33563一2017 表A.1(续) 威胁和策略 解决威胁的安全目的 基本原理 O.CORR:CT_TSF_OPERATION确保 ToE被安装在客户端,就应该证 旦 明TSF硬件和软件)的完整性
这使 得用户相信ToE的安全策略连续地被 实施
OPARTIA FUNCTIONAL 提高了通过测试发现实施 TESTING 0.coRREcT_TsF_oPERATIoN 例如,功能规范,高层和低层设计)中 TOE应提供测试TSF的以确保TSF 存在的错误的可能性
在客户站点正确运行的能力
VULNERABlLITY ANALYSIS O.PARAL_FNcoNAL_TEsr _VLA.1)通过要求脆弱性分析和 AVA T.,POOR_TES! ING 功能性测试之外的测试同时执行
这 由于缺乏或对ToE安全功能正应对ToE进行安全功能测试以表明 TO)E没有包含功能测试没 确运行的测试不充分,导致不正TSF满足它的安全功能要求
有 "发 发现的安全缺陷
0.vULNERABLITY_ANALYSIs 确ToE的行为未被发现,从而 虽然这些测试活动对于成功地完成评 潜在的安全脆弱性 应对TOE进行脆弱性分析以表明 估是 必要的,但是它们不能确保 A TOE的设计和实施不包含任何明显的 TOE被安装,它就能持续地正确运行和 缺陷
实施它的安全策略
必须为终端用户 O.DECUMENTEDDESIGN 提供一些层次的曾是以确保一旦ToE ToE的设计应以文档的形式充分地和 被安装,TOE的安全机制就能持续地正 准确地记录 确运行 O.DECUMENTED_DESIGN能帮助确 保 ToE文档化的设计满足安全功能要 求
为了保障TOE的设计在它的实施 中正确地实现,在评估To)E期间必须 对ToE的安全机制执行适当级别的功 能测试 o.REsUAL_INFoRM.AToN通过 确保网络数据包对象在使用之前被清 o.REspUAL_INFoRMAToN 除来缓解这个威胁
当考虑残留信息 TOE应确保资源被重新分配时TO)E 时,TOE控制范围内关注的资源是网络 控制范围内受保护资源所包含的任何 数据包
信息不被泄漏
T.REsIDUAL.DATA o.CRYProGRAGHY保护被提供给符 O)E.RESIDUAL_INF(ORMATON 恶意用户或进程利用重新分配 合国家标准和国家密码管理机构相关 roE运行环境确保资源被重新分配时 标准的(通过RCs_cKM_ExP.2 和 ToE资源来获取对于资源的未 TOE控制范围内保护资源包含的信息 授权访问 FCS_CKM.4)的密码对象以确保用于存 不能被泄漏 储密钥的对象不再被使用时被覆盖
O.CRYPTOGRAGHY OE.REsDUAI_INFoRMATIoN通过 ToE应使用已获国家密码管理机构批 确保TOE和TO)E运行环境不能把重 准的密码服务 要数据(与加密有关的数据)和可执行 代码插人到网络数据包对象的填充区 20
GB/T33563一2017 表A.1(续 威胁和策略 解决威胁的安全目的 基本原理 O.MANAGE ToE应提供支持管理员管理TOE安 全所必需的功能和设施
O)E.MANAGE TO)E运行环境应增加TO)E的功能和 设施以支撑管理员对于ToE安全的管O.MANAGE和OE.MANAGE仅限于 理,并且要防止这些功能和设施被未授管理员访问管理功能和对TsF数据进 T.TsF_cOMPRoMISE 行管理
权使用
恶意用户或进程通过不高级的 o.RESIDUAL_INFoRMMATIoN o.REsIDUAL_INFORMATIoN,OE: 攻击引起TsF数据或可执行代 TOE应确保资源被重新分配时TO)ERESIDUALINFO)RMATION和O. 码被不适当的访问查看、修改 控制范围内受保护资源所包含的任何CRYPToGRAGHY通过保障清除网络 或删除 信息不被泄漏
数据包中的任何残留数据和在加密素 OE.RESIDUALINFORMATION 材不再需要时禁止访问来缓解这个 roE运行环境确保资源被重新分配时 威胁 TOE控制范围内保护资源包含的信息 不被泄漏
.CRYPTO(GRAGHY ToE应使用已获国家密码管理机构批 准的密码服务 0.AUDIT_GENERATION roE应具有检查和创建与用户相关联 o.AUDIr_GENERAToN确保ToB 的安全相关事件记录的能力
能够产生与用户相关联的审计事件 o.MNGE 记录
TOE应提供支持管理员管理TOE安 o.MANAGE确保管理员能够打开或关 全所必需的功能和设随
闭审计功能
OE.MANAGE OE.MANAGE确保仅限于管理员查看 ToE运行环境应增加ToE的功能和 P,ACCOUNTABILITY 审计日志信息
设施以支撑管理员对于ToE安全的管 ToE的授权用户对自身在ToE OE.TIME_STAMPs通过要求TOE运 理,并且要防止这些功能和设施被未授 内的行为负责 行环境提供可靠的时间戳管理员本地 权使用
配置或通过外部NTP服务器配置)来 O)E.TIME_STAMPS 支持该策略
审计机制被要求在每个 ToE运行环境应提供可靠的时间戳 审计记录中包括目前的日期和时间
并为管理员提供为时间戳设置时间的 OE.ToE_AcCEsS通过确保ToE运行 能力
环境提供一个管理角色及一个机制来 OE.ToE_AcCEss 标识一个代表管理员行为的进程 TO)E运行环境应提供控制用户对TOE 进行逻辑访问的机制 21
GB;/T33563一2017 表A.1(续) 威胁和策略 解决威胁的安全目的 基本原理 P.CRYPTOGRAGHY 仅有国家密码管理机构认可的 O.CRYPTO(GRAGHY通过要求TOE 密码系统(方法和实施才能用 o.CRYPToGRAGHY 实施已获国家标准和国家密码管理机 于密钥管理例如,密钥的产生、 当 TOE应使用已获国家密码管理机构批构批准的密码服务来满足该策略
访问,分发,销毁、处理和储存 准密码服务 TsF数据在传输时,通过这些服务为它 和密码服务例如,加解密、签 们提供保密性和完整性保护 名.散列、密钥交换和随机数产 生服务 A.3安全要求基本原理 A.3.1TOE安全要求的基本原理 表A.2说明了ToE安全要求的充分必要性基本原理,即每个安全目的都至少有一个安全要求(包 括安全功能要求和安全保障要求)组件与其对应,每个安全要求都至少解决了一个安全目的,因此安全 要求对安全目的而言是充分和必要的
表A.2ToE安全要求的基本原理 roE安全目的 基本原理 支持安全目的的安全要求 ALC_DEL.l确保管理员能够使用TOE安全管理所必需的 清洁(一旦ToE离开了开发者的控制,恶意代码不能被插 人)版本的roE开始ToE安装
O.ADMIN_GUDANCE ALc_DEL.1 AGD_OPE.1确保开发者应为用户提供一个关于如何安全操 TOE应为安全管理员提AGD_OPE.1 k ToE的指南
这包括描述用户管理TOE所使用的接口 供必要的信息以便于安AGD_PRE.1 和管理员所需要配置的安全参数
这个文档也提供一个如 全管理 何安装和使用ToE审计特征的描述 AGD_PRE.1准备程序用于保障TOE一开发者预期的安全 方式被接收和安装 OAUDITGENERA FAU_GEN_ExP1定义ToE必需记录的事件集
该要求确 TION 保管理员能够审计ToE中发生的任何安全相关事件
这个 ToE应具有检查和创建FAU_GEN_EXP.1 要求也定义了审计记录中每个审计事件必须包含的信息,同 与用户相关联的安全相 时也定义了每个审计记录中必须存在的最小量信息 关事件记录的能力 22
GB/T33563一2017 表A.2(续 ToE安全目的 支持安全目的的安全要求 基本原理 ACML_CAP,2需要一个唯一的参照号,以确保ToE实例再被 评估时不会产生歧义 O,CONFIGURATION ALC_CMS.2CM系统只能控制处于CM下配置项的改变
DENTIFIcATIoN 将ToE本身、ToE组成部分和其他安全保障要求所需的评 由于TOE迅速重新分AlC_CMC.2 估证据置于CM之下,可以确保他们的修改是在一个带正确 发,应采用一种方式完全ALc_CMs.2 授权的方式下进行的
AL.C_FLR.2ToE为了让开发者能够对来自TOE用户的安 标识TOE的配置,该方AIC_FLR.2 式将允许在实现时错误 全缺陷报告采取适当的动作,并且知道该向谁发送修正补 能够被标识和改正 丁,ToE用户需要了解如何将安全缺陷报告提交给开发者 开发者将缺陷纠正指南提供给TO)E用户,确保TO)E用户知! 道这一重要信息 FPT_TST_EXP1对于确保TsF硬件的正确运行是必要的 如果TsF软件受到损坏,那么TsF可能不再实施安全策略
O.CORRECT_TSF_OP 同理,如果TSF数据受到损坏,那么也许不能正确实施安全 ERATION 策略
FPTTST_EXP.1 TOE应提供测试TSF的 FPT_TST_EXP.2功能要求被包括以解决与加密相关的TSF FP_TsT_ExP, 以确保TsF在客户站点 数据的关键特性和具体处理
由于加密的TsF数据有具体 的国家密码管理机构相关标准要求,所以确保对这些数据的 正确运行的能力 完整性测试的级别应该与FCS功能要求所确定评估级别相 同是重要的 Rs要求通 1家密码管理机构出版物 1过确保加密标准包括国 在必要时)和国家密码管理机构认可标准来满足这个目的
FCSs_BCM_ExP.1明确规定了加密模块必须满足的国家密码 管理机构相关标准的评估等级
FCS_BCM_EXP.1 FCs_CKM_EXP.2确保加密密钥处理和存储要求在执行密 FCsCKMEXP" 家密码管理机构相关标准
钥输 和输出时满足时 O.CRYPT0GRAGHIY FCS_CKM.4 规定了TO)E执行密钥零化时必须满足的国家 ToE应使用国家密码管Fcs_coP_EXP1 理机构认可的密码服务 FCS_COP_EXP.2 FCS_COP_EXP.1要求在TOE中实施的任何加密模块在有 F:DP_IFC,1 必要使用随机数时应该使用国家密码管理机构认可的随机 FDP_IFF.1 数产生器(产品. FC'S_C(O)P_EXP,2要求在数据加密和解密时使用国家密码管 理机构认可的算法,算法满足相关密码标准
FDPIFC.1和FDP_IFF.1确定了TOE加密/解密用户数据 时必须实施的策略 23
GB;/T33563一2017 表A.2(续) TOE安全目的 支持安全目的的安全要求 基本原理 ADV.ARC.1开发者应提供对TSF安全架构的描述
允许额 外提供的其他TsF证据对这些信息进行分析,这些信息将确 O.DECUMENTED_DE 保TSF达到期望的属性, sGN ADv.ARc ADV_FSP.2要求开发者提供所有TSFI的目的、使用方法 TOE的设计应以文档的ADV_FSP.2 参数和参数措述
另外,对已sFR执行TsFI,开发者必频描 形式充分地和准确地ADv_TDs. 述SFR-执行行为和直接错误消息
记录 ADv_TIs.1开发者应提供ToE的设计,提供从功能规范的 TSFI到TOE设计中获取到的最底层分解的映射 FMT要求被用于满足这个管理目的和其他规定了控制功能 的目的
这个目的的要求的基本原理集中于管理员有能力 执行管理功能以至于控制安全功能的行为
FMT_MSA.2 FMT_MSA.2通过防止管理员错误地为安全属性赋值来实现 0.MANAGE FMT_MSA.3 这 个目的
ToE将提供支持管理员 FMT_SMF.1(1 FMT_MSA.3要求安全属性使用的默认值是受限制的,管理 管理ToE安全所必需的 FMTSMF,1(2) 员能够覆盖这些默认值
功能和设施 FMT_SMF.1(I)和FMT_sMF.1(3)确保ToE与外部系统通 FMT_SMF.1(3 信时管理员能够控制加密的使用
FMT_SMF.1(2)为管理员提供了控制ToE审计记录产生的 机制能力 为了满足o.FUNcToNAL__TESTING,ATE类的要求是必 要的
ATE_FUN.1要求开发者提供必要的测试文档以允许独立地 分析开发者安全功能测试的覆盖范围
另外,开发者必须提 供测试子类可执行代码和源代码以便评估者可以使用这些 代码独立地验证提供商的测试结果和支持测试覆盖范围 O.PARTIALFUNc 分析
TIONAITESTING ATE_COV.1 ATE_coV.1要求开发者提供测试覆盖范围分析以表明开发 应对ToE进行安全功能ATE_FUN.1 者的测试子类覆盖TSF的程度
这个组件也要求独立地确 测试以表明IsF满足它ATE_IND2 认测试族的程度,这有助于确保TsFI正确的安全相关功能 的安全功能要求 通过测试被证明
ATE_IND2要求通过规定一个独立方运行测试子类的子集 独立地确认开发者的测试结果
这个组件也要求独立方执 行附加的功能测试以解决开发者测试族中没有证明的功能 行为
一旦成功地完成这些要求,可以证明ToE遵循了规 定的安全功能要求 24
GB/T33563一2017 表A.2(续 TOE安全目的 支持安全目的的安全要求 基本原理 FDP_RIP.l(1)被用于确保资源被重新分配时资源的内容不 再可用
TOE清除用于构建网络数据包的存储器或者使用 -些缓冲管理方案防止在以后的数据包中泄漏数据包的内 容(例如,如果在数据包的构建中使用了填充区,那么填充区 0.RESIDUALINFOR 禁止包含用户的数据或TSF数据 MATlON CKM.4要求使用国家密码管理机构认可的证书
并且 FCS TOE应确保资源被重新FDP_RIP.1 对如何管理TOE内的密提出了要求
除了FDP_RIP.1, FCsCKM. 分配时ToE控制范围内 要求提出了在于当密钥从 个位置移动到另一个位置 受保护资源所包含的任 的时候(在临时存储器计算后移动到永久位置),存储器应立 何信息不被泄漏 即被清除而不是等待直到存储器被重新分配给另一个主体
CKM.4也活用于 使用的密钥的销毁
这个要求规 密钥销毁的方式和时间
这些密钥的合理饷毁对于确 保资源被重新分配给用户时这些密钥不被泄漏至关重要 0.VULNERABLITY 2评估者执行脆弱性分析以确认脆弱性的存在 AVAVAN.2 ANALYSIS AVA_VAN.2 评估者执行穿透性测试,以确认潜在的脆弱性在TOE运行 应对TOoE进行脆弱性分 环境中不能被利用
评估者在假定具有基本的供给潜力的 析以表明TOE 情况下执行穿透性测试 A.3.2运行环境安全要求的基本原理 表A.3说明了ToE运行环境安全要求的充分必要性基本原理,即每个运行环境安全目的都至少 有一个安全要求组件与其对应,每个安全要求都至少解决了一个运行环境安全目的,因此安全要求对运 行环境安全目的而言是充分和必要的 运行环境安全目的中的“OE.PHYsICAL”和“E.No_EVIL”等两个安全目的应对了第7章“TOE 安全环境”中的“A.PHYsICAL”和“A.No_EVIL”等两个假设
因此,这两个环境安全目的能够追溯到 假设
表A.3IoE运行环境安全要求的基本原理 基本原理 ToE运行环境安全目的支持安全目的的安全要求 FAU_sAR.!确保ToE运行环境为负责管理ToE的人员抛 FAU_SAR.1 OE.MANAGE FAU_SAR.2 供查看TOE审计记录的设施例如,如果审计了必要的事 ToE运行环境应增加FAU_sAR.3 件,那么管理员能够构建事件的顺序) FAU_SAR.2确保TOE运行环境能够仅限于那些有权查看 TOE的功能和设施以支FIA_USB1 TO)E审计记录的用 撑管理员对于ToE安全FMT_MOF.1l 勺用户进行访问
的管理,并且要防止这些FMT_MTD.1 FAU_SAR.3确保TOE运行环境能够提供对审计数据进行 功能和设施被未授权FMT_SMR.1 分类、搜索、排序的能力
FAU_sAA.l FIA_USB.1确保ToE运行环境包括关联进程和角色的机 使用 FAU_STG,l 制
这确保TOE和TOE运行环境能够确定它的关联 25
信息安全技术无线局域网客户端安全技术要求(评估保障级2级增强)GB/T33563-2017
随着移动互联网时代的到来,越来越多的人使用无线局域网进行上网,这也给无线局域网带来了更大的安全风险。为了加强对无线局域网的安全保障,国家发布了《信息安全技术无线局域网客户端安全技术要求(评估保障级2级增强)GB/T33563-2017》标准。
该标准主要针对无线局域网客户端提出了安全技术要求,其目的是为了保护用户的个人信息、防止网络攻击等安全威胁,提高无线局域网的安全性。
按照标准要求,无线局域网客户端应该具备以下安全技术要求:
- 加密传输:客户端应采用强加密算法对数据进行传输加密,确保数据的机密性和完整性。
- 身份认证:客户端应要求用户进行身份认证,防止非法用户接入网络。
- 漏洞修复:客户端应及时修复已知漏洞,确保客户端的安全性。
- 日志记录:客户端应记录相关操作日志,并保存一定时间以供检查和审计。
- 防病毒攻击:客户端应具备一定的防病毒能力,保障系统不被恶意软件侵袭。
此外,标准还对无线局域网客户端的应用范围进行了规定。包括但不限于:智能手机、平板电脑、笔记本电脑等无线终端设备。
总的来说,该标准的出台,为无线局域网的安全保障提出了更高的要求。未来,我们需要进一步加强对无线局域网的安全保护措施,保障用户的网络安全。
