国家标准 GB/T33565一2017 信息安全技术无线局域网接入系统安全技术要求(评估保障级2级增强 Informationsecuritytechnology一Securitytechnologyrequirementsfor wirelesslocalareanetworkwlanaceesssystem(EAL2十 2017-05-12发布 2017-12-01实施中华人民共利国国家质量监督检验检疙总局发布国家标准化管理委员会国家标准
GB/T33565一2017 23 1.3FDP类:用户数据保护 1.4FFIA类:标识与鉴别 228 1.5FMT类;安全管理 228 1.6FTP类;可信路径/通道 24 1.7FPT类:TSF保护 24 附录A资料性附录基本原理 2 A.1概述 25 A.2安全目的基本原理 33 A.3安全要求基本原理 12 参考文献
GB/33565一2017 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准主要起草单位;信息安全测评中心,湖北大学、西安西电捷通无线网络通信股份有限公司、人民解放军信息工程大学、国家信息中心、科学院研究生院信息安全国家重点实验室本标准主要起草人:郭涛、吕欣,贾依真、郝永乐、张普含、张、胡亚楠、张宝峰、毕海英、张聊斌、杨永生,刘威鹏、童伟刚李森,董国伟、朱龙华、张鲁国、王宪磊
GB/T33565一2017 引言本标准依据GB/T18336一2015中所规定的安全技术要求保护轮廓的结构形式,参考 GB/Z202832006,制定了无线局域网接人系统安全技术要求(评估保障级2级增强). 本标准详细描述了与无线局域网接人系统安全相关的假设、威胁和组织安全策略,定义了无线局域网接人系统及其运行环境,并由其导出安全功能要求和安全保障要求,通过基本原理论证安全要求能够追溯并覆盖安全目的,安全目的能够追溯并覆盖安全环境相关的假设、威胁和组织安全策略 IN
GB/33565一2017 信息安全技术无线局域网接入系统安全技术要求(评估保障级2级增强范围本标准规定了对无线局域网接人系统的安全技术要求(评估保障级2级增强),主要包括无线局域网接人系统的假设、威胁和组织策略,以及安全目的、安全功能要求和安全保障要求本标准在GB/T18336一2015中规定的评估保障级2级评估保障组件的基础上,增加了评估保障级3级中的ALC_FLR.2缺陷报告程序)保障组件本标准适用于符合评估保障级2级增强的无线局域网接人系统的设计、开发、测试、评估和产品采购 2 规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB15629.11一2003信息技术系统间远程通信和信息交换局域网和城域网特定要求第 1部分;无线局域网媒体访问控制和物理层规范 GB/T18336.1一2015 信息技术安全技术信息技术安全性评估准则第1部分;简介和一般模型 GB/T18336.2一2015信息技术安全技术信息技术安全性评估准则第2部分;安全功能组件 GB/T18336.3一2015 信息技术安全技术信息技术安全性评估准则第3部分;安全保障要求 GB/Z20283一2006信息安全技术保护轮廓和安全目标的产生指南 GB/T250692010信息安全技术术语术语和定义 GB/T18336.1一2015,GB/T25069一2010界定的以及下列术语和定义适用于本文件 3.1 审计服务器 auditserver 存储审计事件/记录的设备 3.2 保密性 confidentiality 使信息不泄露给未授权的个人、,实体、,进程,或不被其利用的特性 3.3 threat 威胁对资产或组织可能导致负面结果的一个事件的潜在源
GB/T33565一2017 3.4 脆弱性 vulnerability 资产中能被威胁所利用的弱点 3.5 无线局域网接入系统wLANaccess system;WAS 由能够实现用户接人无线局域网络的设备构成的整体缩略语下列缩略语适用于本文件 AE鉴别器实体(AuthenticatorEntity AsU鉴别服务单元(AhenieationServerUnit) BSS基本服务组(BasicServiceSet CM配置管理(ConffigureManagement) EAL评估保障级(EvaluationAssurancelevel Ess扩展服务集(ExtendedServiceSet IBSS独立基本服务组(IndependentBasicServiceSet ormationTech hnoogy I门信息技术(Info PP保护轮廓(ProtectionProfile) SFP安全功能策略(SeeurityFunetionPoliey SFR安全功能组件(SecurityFunctionalRequirement) ssop 功能强度(StrengthofFunction ST 安全目标(SeurityTarget STA站(点)Station TOE评估对象(TargetofEvaluation) TsFTOE安全功能(TOESecurityFunctions) TSPTOE安全策略(TOESeeurityPoliey wAs无线局域网接人系统(wLANAccessSystem) wLAN无线局域网(wirelessLocalAreaNetwortk S 约定 5.1假设 roE安全环境假设的命名以“A.”(Assume)开始,例如,A.ADMIN1STRATION 5.2威胁 TOE安全环境威胁的命名以“T.”(Threat)开始,例如,T.SIGNAL_DETECT 5.3策略 TOE安全环境策略的命名以“P.”(Poliey)开始,例如,P.GUIDANCE
GB/33565一2017 5.4目的 TOE安全目的和环境安全目的的命名分别以“o.”(Objective)和“OE.”ObjeetiveEnvironment 开始,例如,o.AcCEsS和OE.ADMIN 5.5扩展组件本标准中使用的部分安全要求并未包括在GB/T18336一2015中,这样的要求被称为“扩展组件” 扩展组件按照GB/T183362015中“类/族/组件”模型进行定义和标识在本标准中,扩展组件使用 “EXP”表示 5.6操作 GB/T183362015允许对功能组件进行四种操作;赋值、细化、选择和反复,以执行安全功能组件本标准按以下方式突出标识其中三种操作 -赋值:允许指定参数赋值部分以粗斜体形式表示 -选择;允许从一个列表中选定一项或多项选择部分将以粗体形式表示反复:允许一个组件在不同操作时被使用超过一次以上 TOE描述 6.1综述本标准的评估对象(TOE)指的是基本服务组(BSS)以及扩展服务集(ESS)结构下的无线接人系统 wAS),分别如图1和图2所示 TOE是由一个或一些能够实现站(STA)接人网络的设备所组成的整体,提供协议转换、有线网络连接,无线信号发射等功能,并提供管理、鉴别、加密/解密和审计等安全功能典型的TOE安全功能结构如图3和图4所示任何情况下sTA与无线或有线网络间的数据交互都必须通过TOE,TOE通过分布式系统服务为sTA提供对分布式系统的访问,但TOE不提供任何直接的网络服务分布式系统经由泛端口与非本部分局域网进行逻辑连接 BSS WAS STA (TOE 图1BSs结构下的ToE
GB/T33565一2017 BSSl ESS wAS1 STA1 TOEI BSS2 分布式系统 WAS2TOE2 STA2 泛端口非本标准局域网图2ESS结构下的ToE TOE TOE STA STA AE ASsU AE ASU 图3典型的TOE结构1 图典型的TIOE结构2 6.2管理管理员负责安装、配置和维护TOE 由于TOE可能是更大系统的一部分,所以负责管理TOE运行环境的人也应负责管理TOE 本标准不排除多个单独管理的角色,但是要求只有一个TOE的管理员 6.3加密/解密 TOE应提供加密/解密服务,例如对无线MAC帧等数据进行加密和解密操作符合本标准的产品和系统应使用符合国家密码管理委员会办公室批准的用于无线局域网的对称密码算法的密码模块，并符合GB15629.ll2003中保密机制的相关要求
GB/33565一2017 6.4审计 TOE在大多数情况下可以独立运行,安全审计包括产生审计事件用户身份关联、选择性审计等 6.5鉴别及密钥管理 TOE的鉴别应提供鉴别机制选择、密钥管理等功能,同时,鉴别模块应符合GB15629.11一2003中鉴别机制的相关要求 6.6TOE运行环境在安全要求较高的情况下,可以借助于部署在有线局域网中的外部环境来执行更强的管理任务,例如审计服务器但是,由于TOE有时是更大信息系统的一部分,因此对于TOE所依赖运行环境增加保护是必要的安全问题定义 7.1假设 7.1.1A.NO_GENERALPURPOSE 在TOE上无法获得通用的计算或存储能力(例如编译器、编辑器或应用程序) 7.1.2A.ToE_No_BYPASSs STA与其他STA或有线网络上主机之间传输的数据必须通过TOE 7.1.3A.PHYsIcCAL 环境应提供与ToE及其所包含数据的价值相一致的物理安全 7.1.4A.NOEVIL 管理员是可信的,经过正式培训且遵循管理员指南 7.2威胁 T.AccDENTAL_ADIN_ERRoR 7.2.1 管理员可能不正确地安装或配置TOE,从而导致安全机制失效 7.2.2T.AcCIDENTAL_CRYPIo_coMPROMISE 用户或进程不适当地访问查看、修改或删除)与密码功能相关的密钥、数据或可执行代码,从而破坏了密码机制和这些机制所保护的数据 7.2.3T.MASQUERADE 用户可能假冒授权用户访问ToE资源 7.2.4I.P0oR_DESsIGN TOE需求规范或设计中的无意错误可能产生漏洞,可能被恶意用户或程序利用
GB/T33565一2017 7.2.5.PooR_IMPLEMIENTAToONN TOE实现中的无意错误可能引发漏洞,可能被恶意用户或程序利用 7.2.6T.PooR_TEST 开发或测试人员对ToE的测试不充分,导致不正确的TOE行为未被发现,恶意用户或程序可能利用这些漏洞 7.2.7T.RESIDUALDATA 用户变更或进程切换引起的TOE资源的重新分配导致了用户或进程对数据的非授权访问 7.2.8T.ISFCOMPROMISE 恶意用户或进程利用一般攻击不适当地访间(查看、修改或朋除)TsF数据或可执行代码 7.2.9T.UNATTENDEDSESSION 用户未授权访问了未被监管的会话 7.2.10T.UNAUTHORIZED_ACCESS 用户访问了未被授权访问的服务 7.2.11T.UNAUTH_ADMIN_ACCESS 未授权用户访问了管理员账户 7.3组织安全策略 7.3.1P.AcCESsBANNER TOE在管理员登录时应显示一个描述使用限制法律规定或其他合理信息的初始旗标 7.3.2P.AccoUNTABLITY TOE的授权用户应对自身在TOE内的行为负责 7.3.3P.CRYPIoGRAPHy TOE应为自身的应用提供密码功能,包括加密/解密操作 7.3.4P.CRYProGRAPY_VALDATED 仅有国家密码管理机构批准的密码算法(方法和实现)才能用于密钥管理(例如:密钥的产生、销毁、更新等)和密码服务(例如;加密,解密,签名等 7.3.5P.ENCRYPIED_CHANEL 应提供TOE与经授权接人网络的STA之间数据传输加/解密的功能
GB/33565一2017 安全目的 8.1ToE安全目的 8.1.1O.AUDIT_GENERATION TOE应提供检查和创建与用户相关的安全事件记录的能力 8.1.2o.coRRECT_IsF_oPERAToN TOE应提供验证TSF正确运行的能力 8.1.3o.CRYPIoGRAGHY TOE应提供密码功能以维护保密性和完整性 8.1.4o.CRYPIoGRAPY_VAL.IDATEsD TOE应使用国家密码管理机构批准的密码模块提供密码服务 8.1.5o.DISPL.AY_BANNER 在使用任何需要鉴别的TOE服务之前.TOE应在建立管理员会话之前给出建议性警告 8.1.6o.MANAGE TOE应提供管理员管理TOE安全所必需的功能和设施,并防止这些功能和设施被未授权使用 8.1.7o.MEDIATE TOE必须遵循TOE安全策略转发STA的数据 8.1.8o.REsIDUAL_INFoRMAToN TOE应确保重新分配资源时TOE控制范围内受保护资源所包含的数据不被泄漏 8.1.9o.SELR_PRoTECTION TSF应维护一个保护自身及其资源免受外部干预,未授权泄漏的执行域 8.1.10o.TIMRSTAMIPs TOE应获得可靠的时间戳 8.1.110.TOEACCESS TOE应提供控制用户对TOE进行逻辑访问的机制 8.1.12o.ADMIN_GUIDANCE TOE应为安全管理员提供必要的安全信息 8.1.13O.CONFIGIDENTIFICATION 任何实现的错误可以通过TOE的重新发布得到及时更正,以保证TOE的配置可以被确认
GB/T33565一2017 8.1.14o.D0cUMENED_DESIGN TOE的开发设计应具有详细开发文档 8.1.15o.PARrIAL_FUNcCToNAL_TESING TOE应进行安全功能测试以表明TsF满足TOE安全功能要求 8.1.16O.VULNERABILITYANALYSIS 应针对ToE进行脆弱性分析以表明TOE的设计和实现不存在明显缺陷 8.2运行环境安全目的 8.2.1oE.ADT_PRoTECToN 运行环境应提供保护审计信息和鉴别证书的能力 8.2.2OE.AUDITREVIEW 运行环境应提供选择性查看审计信息的能力 8.2.3OE.MANAGE 运行环境应增加管理员管理TOE安全所需的功能和设施,并防止这些功能和设施被未授权使用 8.2.4oE.NoEvII 使用ToE的组织应保证管理员是可信的,经过正式培训且遵循管理员指南 8.2.5OE.NO_GENERALPURPOSE 不存在与TOE运行无关的计算或存储功能例如:编译器、编辑器或应用程序) 8.2.6oE.PHYSICAL 运行环境应提供与TOE和TOE所包含数据的价值相一致的物理安全 8.2.7oE.PRoIECT_GMr_coMIIs 环境应保护审计记录到审计服务器的传输.远程网络管理以及整别服务器与ToE之间的通信 8.2.8OE.RESIDUALINFORMATION 环境应确保重新分配资源时环境控制范围内受保护资源所包含的信息不被泄漏 8.2.9oE.SELr_PRoIEcrIoN 环境应维护一个保护自身及其资源免受外部干扰、破坏或未授权泄漏的执行域 8.2.10OE.TIMESTAMIPS 运行环境应提供可靠的时间戳
GB/33565一2017 8.2.11oE.ToE_AcCESs 环境应提供有助于TOE控制用户对rOE进行逻辑访问的机制 8.2.12OE.TOE_NO_BYPASS STA与其他STA或有线网络上主机之间传输的数据必须通过TOE 扩展组件定义 g.1扩展族;:基准密码模块(FCs_BCM) g.1.1族行为本族描述了国家密码管理机构认可的基准密码模块 9.1.2组件层次 FCSs_BCM_ExP.1“基准密码模块”要求基准密码模块应使用国家密码管理机构认可的模块 9.1.3 管理无可预见的管理行为 9.1.4 审计如果PP/ST中包含FAU_GEN“安全审计数据产生”,下列行为应是可审计的最小级;操作的成功和失败; aa b)基本级;除任何敏感信息如秘密密钥或私有密钥)以外的客体属性和客体值 g.1.5Cs_BCM_EXP.1基准密码模块 FCs_BCM_EXP.1.1密码模块在执行密码功能时应采用国家密码管理机构批准的密码算法 9.2扩展组件 9.2.1cS类;密码支持 9.2.1.1FCscoPEXP.1扩展组件;随机数产生 FCcs_cOPEXP.1.1通过在密码模块中使用[赋值;随机数产生器列表],TSF执行所有TSF密码功能所用到的随机数产生算法 9.2.1.2rs.coP_EXP.2扩展组件;密码运算 FCs.coP_EXP.2.1密码模块应采用[赋值:密码算法]执行加密和解密 9.2.2FDP类:用户数据保护 9.2.2.1FDP_PUD_EXP1用户数据保护 FDP_PUD_EXP.1.1当管理员使用加密时,TSF应: 使用FCS_COP_EXP.2规定的密码算法加密从无线接人系统的无线接口传输到STA的已鉴 a
GB/T33565一2017 别用户的数据 D)使用FCS_COP_EXP.2规定的密码算法解密无线接人系统的无线接口接收到的来自STA的已鉴别用户的数据应用注释;本标准允许通过安全策略协商确定TOE使用FC'S_cOP_EXP2规定的密码算法加密 wL.AN上传输的所有用户数据 9.2.3FIA类;标识与鉴别 9.2.3.1FIA_UAU_EXP.5(1扩展组件:多重鉴别机制 FIA_UAU_EXP.5.l(l)TSF应为执行用户鉴别提供本地鉴别和远程鉴别机制 FIA_UAU_EXP.5.2(1)TSF应依据管理员的选择为管理员和用户调用远程鉴别机制应用注释;TOE通过AsU对客户进行远程鉴别另外,TSF必须为本地管理员鉴别提供方法以免TOE不能与AsU进行通信 9.2.3.2rIA_UAUEXP5(2)远程鉴别机制 FIA_UAU_EXP.5.1(2)TOE运行环境应为执行rOE远程用户鉴别提供[赋值;鉴别机制列表] FIA_UAU_EXP.5.2(2)TOE运行环境应依据[赋值:鉴别规则]鉴别用户所声称的身份应用注释对于现存GB/T18336一2015是否需要特别规定TSF提供鉴别功能存在不同的意见为了避免混乱,本标准包括该扩展的要求本标准允许运行环境提供用于鉴别远程用户的鉴别服务器 sT作者应使用该赋值以表明应用于TOE和运行环境的远程鉴别要求 9.2.4FPT类:ISr保护 9.2.4.1FPT_SIM_EXP.1可靠的时间戳 FPT_STM_ExP.1.1TSF应为自身的应用提供通过外部时间源进行同步的可靠时间戳应用注释:TOE必须能够通过网络时间协议服务器获得时间戳 g.2.4.2FPT_IST_EXP1ISF检测 FPT_TST_EXP.1.1TsF应在[初始启动、接收到请求时]运行一套自检程序以证实[TsF硬件操作]能正确运行 FPT_TST_EXP.1.2TSF应能使用TSF提供的密码功能去验证除审计数据[选择;不需要验证完整性的动态TSr数据.无]以外所有TsF数据的完整性 FPT_TsT_EXP.1.3TSF应能通过[ISF提供的密码功能]提供验证所存储的TsF可执行代码的完整性的能力应用注释:元素1.1中,仅有TSF的硬件需要自检,而软件通常不需要自检元素1.3解决了TSF 软件完整性元素1.2中,ST作者应确定不需要完整性验证的TSF数据 9.2.4.3rFPT_IST_ExP.2对密码模块进行TSF检测 FPT_TST_EXP.2.1TSF应在[选择;初始化启动期间,正常工作期间周期性地、授权用户要求时、在[赋值;产生自检的条件]条件时]运行一套密码模块提供的自检程序以表明TSF密码组件操作的正确性 FPT_TST_EXP.2.2TSF在产生一个密钥后应立即运行一套密码模块提供的自检应用注释:如果TOE产生密钥,那么应提供元素2.2中具体的功能 10
GB/33565一2017 g.2.5FIP类;可信路径/通道 g.2.5.1FIP_Ic_EXP1TSF间可信信道 FTP_ITC_EXP.1.1TOE应在他自己和TOE运行环境中的实体之间提供一条加密通信信道,此信道在逻辑上与其他通信信道不同,其端点具有保证标识,并且能保护信道中数据免遭修改或泄漏 FTP_ITC_EXP.1.2TSF应允许[选择:1o,另一个可信1m产品]经由可信信道发起通信 FTP_ITC_EXP.1.3对于[赋值:需要可信信道的功能列表],TSF应经由可信信道发起通信 10TOE安全要求 10.1IOE安全功能要求 10.1.1概述本标准TOE应满足表1列出的安全功能要求,这些要求由GB/T18336.2一2015给出的和扩展的安全功能组件组成表1 TOE安全功能要求安全功能组件类安全功能组件组件名称依赖关系 FAU_GEN.1 审计数据产生 FPT_STM.1 FAU_GEN.1 FAU_GEN.2 用户身份关联 FAU类;安全审计 FAUID.1 FAU_GEN.1 FAUsEL.1 选择性审计 FMTMTD.1 FC'S_BCM_EXP,1 基准密码模块无 [Fcs_CKML.2,或 FC'S_CKM.1 密钥生成 FCS_cOP.1] F:csCKM. [FDP_ITC.1,或 FCSCKM.4 密钥销毁 FDP_ITCc.2,或 Fcs.CKM.1] F(S类;密码支持 [FDP_ITC1或 FCSCKM.1] FCS_COP_EXP.1 随机数产生 FFCS_CKM.4 FMT_MSA.2 [FDP_ITC1或 Fcs_CKM.1] FCS_cOPEXP.2 密码运算 FCS_CKM.4 FMT_MSA.2 FDP_PU[D_EXP,1 用户数据保护无 FDP类:用户数据保护 FDP_RIP.1 子集残余信息保护无 1
GB/T33565一2017 表1续安全功能组件依赖关系安全功能组件类组件名称鉴别失败处理 FIA_UAU.1 FIA_AF.l F1AATD.l(1) 管理员属性定义无无 FIA_ATD.12) 用户属性定义 FIA类;标识和鉴别 F:IA_UAU.I 鉴别的时机 FIAUID.I FIA_UAU_EXP.5 多重鉴别机制无 FIAUD.2 任何动作前的用户标识 FIAUID.l 用户-主体绑定 FIA_USB.1 FIA_ATD.1 安全功能行为的管理(密码功FMT_SMF.11) FMT_MOF.1(1 能 FMT_SMR.1 安全功能行为的管理(审计记录FMT_sMF.1(2 FMT_MO)F.1(2) 的产生 FMT_SMR.1 FMT_sMF.1 FMT_MOF.1(3 安全功能行为的管理鉴别 FMT_SMR.1 ADV_SPM.1 [rDpAcc.l或 FMT_MSA.2 安全的安全属性 FDP_IFC.1] FMTMSA.1 FMT_SMR.l FMT类;安全管理 FMT_SMR.1 审计数据的管理 FMT_MTD.1(1 FMTSME FMT_SMR.1 FMT 鉴别数据的管理(管理员 _MTD,1(2 FMSMF.1 FMT_SMR.l 鉴别数据的管理《用户) FMT_MTD,1(3 FMSMF.1 FMT_SMF.1(1) 管理功能规范密码功能无管理功能规范(TOE审计记录产生无 FMT_SMF.1(2) FMT_SMF.1(3 管理功能规范(加密密钥数据无 FMTSMR.1 FIA_UD.1 安全角色 FPT_STMEXP. 可靠的时间戳无 FCS_CKM.2 FCS.CKM.4 FPT_TST_EXP.1 TSF检测 FCS_COP_EXP.1 FPT类:TSF保护 FCS_C(OP_EXP.2 Fcs_CKM.2 FCS_CKM.4 FPT_TST_ExP.2 对密码模块进行TsF检测 FCS_COPEXP.1 FCs_coP_EXP2 12
GB/33565一2017 表1(续组件名称安全功能组件类安全功能组件依赖关系原发会话终止 TSF 无 FTA_SSL.3 FTA类:TOE访问 rTA TAB,l 缺省的ToE访问旗标无 FTP_ITC_EXP.1 TSF间可信信道无 FTP类;可信路径/通道 F:TP_TRP.1 可信路径无 10.1.2FAU类安全审计 10.1.2.1FAu_GEN.1审计数据产生 FAU_GEN.1.1TSF应能为下述可审计事件产生审计记录 a 审计功能的开启和关闭; b 有关[最小级]审计级别的所有可审计事件 [[赋值;其他专门定义的可审计事件] 应在每个审计记录中至少记录下列信息 FAU_GEN.1.2TSF 事件的日期和时间,事件的类型、主体身份(如果适用),事件的结果(成功或失效) 对每种审计事件类型,基于PP/sT中功能组件的可审计事件定义，[表2第三列规定的信息] b 应用注释;表2第三列中,如果在产生记录的事件环境中“如果可用/适用”是有意义的,那么它用于确定应在审计记录中包含的数据如果对于一种特别审计事件类型不要求其他的信息(FAU_GEN,1.2 除外),那么“无”也是可以接受的表2IoE可审计事件要求审计事件附加的审计记录内容无 FAU_GEN.1 无无 FAU_GEN2 无 FAU_sEL. 执行该功能的管理员身份审计收集功能运行时修改审计配置 FCsCKM.1 密钥生成执行该功能的管理员身份 FCsCKM.4 密钥销毁如果可用,执行该功能的管理员身份无无 FCS_COPEXP.1 无无 FCS_C(OPEXP.2 FDPPUD_EXP.1 启动或关闭TOE对无线流量的加密执行该功能的管理员身份 FDP_RIP.1(1 无到达了不成功鉴别尝试的阔值,采取行动 FIA_AFIl 锁定终端) 在适当的时机,恢复正常的状无态(重新激活终端无无 FIA_ATD.l 13
GB/T33565一2017 表2(续审计事件附加的审计记录内容要求用户身份 ToE将不在审计日志中记录无 FIAUAU.1 鉴别机制的使用成功或失败效的密码 _UAU_EXP5 没有接收到来自远程鉴别服务器的响应确定没有做出响应的鉴别服务器的身份 FIA 无 FIAUID.2 大 FIAUSB1 用户安全属性和主体之间不成功绑定无变更TOE加密/解密算法,包括选择对通信密码算法选择(或无) FMT_MOF.1(1 不进行加密/解密 FMT_MOF.12 开始或停止产生审计记录无 TOE远程鉴别环境的变更 FMT_MOF.1(3 失败鉴别尝试的阂值变化执行该功能的管理员身份会话锁定时间的变化 FMT_MSA.2 所有提供或拒绝的安全属性值; 无 FMT_MTD.1(1 用于预先选择审计事件的规则集的变化无 FMT_MTD.l(2 如果TOE将不在审计日志中记录鉴别证书， ToE鉴别证书的变化 FMT_MTD.l(3 那么此项为无 FMT_REV.1 安全属性撤销失败无属于同一个角色的用户组的修改 FMT_SMR. 无 FPT_sTM._EXP.1 时间的变化 FPT_TsT_EXP1 执行自检测检测成功或失败 FPTTSTEXP.2 执行自检测检测成功或失败 FTALSSL3 TSF原发终止通过会话锁定机制终止一个交互式会话确定尝试建立或创建信道的远程实体身份;事可信信道的开启/关闭 FTP_ITC_EXP.1 件的成功或失败确定尝试建立或创建信道的远程实体身份;事 FTP_TRP. 可信信道的开启件的成功或失败 10.1.2.2FAU_GEN.2用户身份关联 FAU_GEN.2.1对于已标识身份的用户的行为所产生的审计事件，TSF应能将每个可审计事件与引起该事件的用户身份相关联 10.1.2.3FAUSEL.1选择性审计 FAU_SEL.1.1TsF应能根据以下属性从审计事件集合中选择可审计事件 [选择,用户身份,事件类型] a) b)[赋值;设备接口,STA身份] 应用注释;设备接口是用户(或管理员)接收/发送数据的物理接口(如无线局域网接口、局域网接口,串口、管理局域网接口等) 14
GB/33565一2017 10.1.3FCS类;密码支持 10.1.3.1FCs_BCM_EXP.1扩展组件;基准密码模块 FCS_BCM_EXP1.1密码模块在执行密码功能时应采用国家密码管理机构批准的密码算法 10.1.3.2Fcs_CKM.1密钥生成 FCs_CKM.1.1TSF应根据符合下列标准[国家密码管理机构批准的]一个特定的密钥生成算法 [[赋值;密钥生成算法]和特定的[赋值;密钥长度]来产生密钥 10.1.3.3rCsCKM.4密钥销毁 FCs_CKM.4.1TSF应根据符合下列标准[国家密码管理机构批准的]的一个特定的密钥销毁方法 [赋值:密钥销毁方法]来销毁密钥 10.1.3.4FCS_COP_EXP.1扩展组件:随机数产生 FCs_coP_ExP.1.1通过在密码模块中使用[赋值随机数产生器列表],TsF执行所有TSF密码功能所用到的随机数产生算法 10.13.5FCs_CoP_EXP.2扩展组件:密码运算 FCs_COP_EXP.2.1密码模块应采用[赋值:国家密码管理委员会办公室批准的用于无线局域网的对称密码算法]执行加密和解密 10.1.4用户数据保护(FDP) 10.1.4.1FDP_PUD_EXP1用户数据保护 FDPPUD_EXP.1.1当管理员使用加密时,TSF应使用FCS_coPEXP.2规定的密码算法加密从无线接人系统的无线接口传输到STA的已鉴 aa 别用户的数据; 使用FCs_COP_EXP.2规定的密码算法解密无线接人系统的无线接口接收到的来自STA的 b 已鉴别用户的数据应用注释;本标准允许通过安全策略协商确定TOE使用FCcs_cOP_EXP.2规定的密码算法加密 wL.AN上传输的所有用户数据 0.1.4.2FDPRIP.1子集残余信息保护 FDPRIP1.1TsF应确保一个资源的任何先前信息内容,在[分配资源到]下列客体[网络数据包以及[释放资源至]客体[网络数据包]时不再可用应用注释;本标准保证TOE不允许先前传输的数据包数据插人到当前数据包未使用的区域或填充区 10.1.5标识与鉴别(FIA) 10.1.5.1FIA_AFL.1鉴别失败处理 FIA_AFLl.1TSF应检测当[选择;[赋值;正整数],管理员可设置的[赋值;可接受数值范围]内的一个正整数]时,与[赋值;鉴别事件列表]相关的未成功鉴别尝试 15
GB/T33565一2017 FA_AFL1.2当[选择:达到,超过]所定义的未成功鉴别尝试次数时,TSF应采取的[阻止管理员登录直到其他本地管理员采取行动] 应用注释;本标准没有要求TOE允许远程管理可是,如果ToE确实允许管理员远程登录TOE 例如;从有线接口),那么TOE必须提供防止对管理账户进行蛮力攻击的机制 10.1.5.2FIA_AID.11管理员属性定义 FA_ATD.1.1(1TSF应维护属于每个管理员的下列安全属性列表:[选择:口令,[赋值:任何附加的管理员安全属性列表] 应用注释ST作者应指明与管理员账户相关的附加管理员安全属性如果TOE没有使用附加安全属性,那么赋值应指明“无附加属性” 10.1.5.3FIA_ATD.1(2用户属性定义 FIA_ATD.1.1(2TSF应保存属于每个远程鉴别用户的下列安全属性列表;[赋值:用户安全属性列表] 应用注释.ST作者应指明与远程鉴别用户相关的安全属性 10.1.5.4FIAUAU.1鉴别的时机 FIA_UAU.1.1在用户被鉴别前,IsF应允许执行代表用户的[赋值;IsF促成的动作列表]. FIA_UAU.1.2在允许执行代表该用户的任何其他TsF促成的动作前,TsF应要求每个用户都已被成功鉴别应用注释;本功能要求针对TOE本地鉴别的用户,并不涉及进行鉴别之前,必须在STA和接人系统之间传输的管理和控制数据包 10.1.5.5FIA_UAU_EXxP.5(1扩展组件;多重鉴别机制 FIA_UAU_EXP.5.1(1TsSF应为执行用户鉴别提供本地鉴别和远程鉴别机制 FIA_UAU_EXP.5.2(1)TSF应依据管理员的选择为管理员和用户调用远程鉴别机制应用注释;TOE通过AsU对客户进行远程鉴别另外,TSF必须为本地管理员鉴别提供方法以免ToE不能与AsU进行通信 10.1.5.6FIA_UD.2任何动作前的用户标识 FA_UID.2.1在允许执行代表该用户的任何其他TSF促成动作之前,TSF应要求每个用户身份都已被识别应用注释;本标准不包括鉴别以前必须在STA和接人系统之间传输的管理和控制数据包 10.1.5.7FIA_USB.1用户-主体绑定 FIA_USB.1.1TSF应将下列用户安全属性;[赋值;用户安全属性列表]与代表用户活动的主体相关联 FIA_USB.1.2TSF应对用户安全属性与代表用户活动的主体初始关联关系执行下列规则:[赋值属性初始关联规则] FIA_USB.1.3TSF应执行下列规则管理用户安全属性与代表用户活动的主体间的关联关系的变化:[赋值:属性更改规则] 应用注释ST作者应指出与代表管理员和STA活动的主体相关联的属性如果必要,本组件可以反复 16
GB/33565一2017 10.1.6安全管理(FM) 10.1.6.1FMIT_MoF.1(1密码安全功能行为的管理 FMT_MOF.1.(1TSF应仅限于[管理员]对功能[功能列表密码:装入密钥 a b 密码删除/销毁密钥密码:设置密钥生命周期; d 密码设置密码算法; 密码:设置1oE加密或不加密无线通信信息; f 密码:对roE硬件和密码功能执行自测]具有[修改其行为]的能力 10.1.6.2FM_MOF.1(2审计安全功能行为的管理 FMT_MOF.1.(2TSF应仅限于[管理员]对功能[功能列表: 审计:预先选择触发审计记录的事件 a b)审计打开和关闭审计功能]具有[激活、终止、修改其行为]的能力鉴别安全功能行为的管理 10.1.6.3FMTMOF.13 FMT_MOF.1.1(3)TSF应仅限于[管理员]对功能[功能列表鉴别:允许或禁止鉴别服务器的使用 a 鉴别设置ToE采取行动禁止未登录前所发生的鉴别失败次数 b 鉴别设置会话终止前处于非活动状态的时长]具有[修改其行为]的能力 c 10.1.6.4FMI_MSA.2安全的安全属性 FMT_MSA.2.1TSF应确保安全属性[赋值:安全属性列表]只接受安全的值 0.1.6.5FMMTD.1(1预选审计数据的管理 FMT_MTD.1(1TSF应仅限于[管理员]能够对[用于预先选择审计事件的规则集][改变默认值、查询、修改、删除、[创建] 10.1.6.6FMT_MID.1(2鉴别数据的管理(管理员 FMT_MTD.1(2TSF应仅限于给[管理员]能够对[鉴别证书,用户标识证书][改变默认值、查询、修改、删除、[创建]] 0.1.6.7FM_MD.1(3鉴别数据的管理(用户 FMT_MTD.1(3TSF应仅限于给[IoE用户]能够对[用户鉴别证书[修改] 10.1.6.8FM_SMR.1(1管理功能规范(密码功能 FMT_SMF.1.l(1TSF应能够执行如下管理功能:[依据管理员对ToE的配置,查询和设置对网络数据包的加密/解密通过Cs_coPEXP.2)] 应用注释;本标准保证负责TOE管理的人员能选择FCS_cOP_EXP.2规定的密码算法,对TOE 所传输的数据进行加密/解密或选择不加密 17
GB/T33565一2017 10.1.6.9FMT_SMF.1(2管理功能规范(oE审计记录产生 FMT_SMF1.1(2TSF应能够执行如下管理功能:[查询、打开或关闭安全审计] 应用注释;本标准保证负责TOE管理的人员能打开或关闭TOE审计记录产生功能 10.1.6.10FMIr_SMr.1(3管理功能规范(密钥数据 FMT_SMF.1.1(3TSF应能够执行如下管理功能:[依据FDPPUD_EXP查询,设置,修改和删除密钥,打开或关闭密钥测试验证] 应用注释:本标准的目的是提供配置TOE密钥的功能配置密钥数据包括;设置密钥生命周期、设置密钥长度等 0.1.6.11FMT_SMR.1安全角色 FMT_sMR.1.1TsF应维护角色[管理员,用户] FMT_SMR.1.2TSF应能够把用户和角色关联起来应用注释:只有管理员可以直接访问TOE,用户可以通过TOE传输数据,但不能直接访问TOE. 本标准也假设roE包含本地鉴别机制和使用远程鉴别服务器的能力虽然用户是本地的或远程的，但是这不影响用户的角色 10.17FPT类:ISF保护 PPT_sIM_EXP.1可靠的时间戳 10.1.7.1 FPT_STM_EXP1.1TSF应为自身的应用提供通过外部时间源进行同步的可靠时间戳，应用注释;TOE必须能够通过NTP服务器获得时间戳 10.1.7.2FP_TSr_ExP.1Is检测 FPT_TST_EXP.1.1TSF应在[初始启动接收到请求时]运行一套自检程序以证明[ISr硬件操作]的正确性 FPT_TST_EXP.1.2TSF应能使用TSF提供的密码功能去验证除审计数据[选择;[不需要验证完整性的动态ISP数据,无]以外所有TSF数据的完整性 FPT_TST_EXP.1.3TSF应能通过[ISF提供的密码功能]提供验证所存储的TSF可执行代码的完整性的能力应用注释;元素1.1中,仅有TSF的硬件需要自检,而软件通常不需要自检元素1.3解决了TsF 软件完整性元素1.2中,ST作者应确定不需要完整性验证的TSF数据 10.1.7.3FPr_IST_EXP.2对密码模块进行ISs检测 FPT_TST_EXP.2.1TSF应在[初始启动,接收到请求时]运行一套密码模块提供的自检程序以表明TSF密码组件操作的正确性 FPT_TST_EXP.2.2TSF在产生一个密钥后应立即运行一套密码模块提供的自检应用注释;如果TOE产生密钥,那么应提供元素2.2中具体的功能 0.1.8FTA类:ToE访问 10.1.8.1FTA_sSL.3TS原发终止 FTA_SSL3.1TSF应在达到[管理员配置的用户不活动的时间间隔]之后终止一个交互式会话 18
GB/33565一2017 应用注释;本标准适用于本地管理会话和通过TOE传递数据的无线会话 0.1.8.2FTA_TAB.1缺省的ToE访问旗标 FTA_TAB.1.1在建立一个用户会话之前,TSF应显示有关未授权使用TOE的一个劝告性警示信息 10.1.9rTP类可信路径/通道(FTP) 10.1.9.1FTPITC_EXP.1TSF间的可信信道 FTP_ITC_EXP.1.1TOE应在他自己已和TOEIT环境中的实体之间提供一条加密通信信道,此信道在逻辑上与其他通信信道不同,其端点具有保证标识,并且能保护信道中数据免遭修改或泄漏 FTP_ITC_EXP.1.2TSF应允许[ToE或ToEI环境中的实体]经由可信信道发起通信 FTP_ITC_EXP.1.3对于[所有鉴别功能,远程登录,时间、[选择:[赋值:经与S作者确认的授权信息系统实体的通信]无],TSF应经可信信道发起通信应用注释;如果CA服务器在鉴别用户时发挥作用,那么CA被认为是一个授权信息系统实体 TSF应与该实体进行安全通信 IT环境包括一个NTP服务器,审计服务器和/或鉴别服务器 10.1.9.2TPTRP.1可信路径 FTP_TRP.1.1TsF应在他自己和[srA]之间提供一条通信路径,此路径在逻辑上与其他通信路径截然不同,并对其端点进行了有保障的标识并能保护信道数据免[修改、泄露] FTP_TRP.1.2TSF应允许[STA]经由可信路径发起通信 FTP_TRP.1.3对于[选择:启动sSTA鉴别、[赋值:其他需要可信路径服务],TSF应要求使用可信路径应用注释;本标准确保STA和接人系统之间最初的鉴别信息交换受到保护 0.2ToE安全保障要求本标准TOE应满足表3列出的安全保障要求,这些要求由GB/T18336.32015中的评估保障级 2级的安全保障要求组件和增强组件组成表3中用粗体字突出了增强组件这些保障要求确定了 TOE管理和评估活动,它们对于解决本标准所确定的威胁和策略是必需的表3ToE安全保障要求保障类保障组件组件名称 ADV_ARC.1 安全架构描述安全执行功能规范 ADV:开发 ADV_FSP.2 ADv_TIDs.1 基础设计 NGD OPE.1 操作用户指南 AG;D:指导性文档 AGD_PRE.1 准备程序 ALCCMC,2 CM系统的使用部分TO)ECM覆盖 ALC_CMS.2 ALD生命周期支持 ALC_DEL.1 交付程序 AILC_FLR.2 缺陷报告程序 19
GB/T33565一2017 表3(续保障类保障组件组件名称符合性声明 ASE_CCI.l AsE_ECD.l 扩展组件定义 ASE_INT.l ST引言 AsE,SsT评估 ASE_OB.2 安全目的 ASE_REQ.2 推导出的安全要求 ASE_TSS.1 TOE概要规范覆盖证据 ATE_COV.1 ATEFUN1 ATE;测试功能测试 ATEIND.2 独立测试-抽样 AVAVAN.2 AVA;,脆弱性评定脆弱性分析运行环境安全要求概述本标准TOE运行环境应满足表4列出的安全功能要求,这些要求由GB/T18336.2一2015给出的和扩展的安全功能组件组成 ToE运行环境包括鉴别服务器,时间服务器,审计服务器等对于审计服务器,环境提供保护审计信息和选择性查看审计数据的能力;对于鉴别服务器,环境提供管理鉴别信息和限制蛮力口令攻击的能力如果这些实体与ToE不在同一个物理设备上,那么这些实体与TOE之间的通信应受到保护另外,运行环境负责保护自身安全,确保它的安全机制不会被绕过表4运行环境安全要求组件名称依赖关系安全功能组件类安全保障要求组件无 FAU_GEN.1 审计数据产生 FAU_SAR.1 审计查阅 FAU_GEN.1 FAU_SAR.2 限制审计查阅 FAU_SAR.l F:AU类;安全审计 FAU_SAR.3 可选审计查阅 FAU_SAR.1 FAUsTrG.1 FAU_GEN,.1 受保护的审计迹存储 FAUSTG.3 FAUSTG.1l 审计数据可能丢失情况下的行为 FDP类;用户数据保护FDP_RIP.1 子集残余信息保护无 FIA_AFL.1 远程用户失败处理 FIAUAU.1 无 FIA_ATD.1 用户属性定义 FIA类;标识和鉴别 FIA_UAU_EXP.5 远程鉴别机制 FIA_UID.l 无 FIA_UID.l 适时标识 20
GB/33565一2017 表4(续安全保障要求组件组件名称依赖关系安全功能组件类 FMT_SMF.1(1、 FMTSMF.1(2)、 FMT_MOF.l 安全功能行为的管理 FMTSMF.1(3) MT类;安全管理 FMT_SMR.1 FMTSMR.1 FMT_MTD. 时间数据的管理 FMTSMR.1 安全角色 FTP_ITCEXP.1 TSF间可信信道 FTP类;安全功能保护 FPT_STM.1 可靠的时间截无应用注释;本标准要求TOE运行环境提供重要的功能声明符合本标准的ST满足一些或所有上述运行环境要求(表4)都是可以接受的 11.2FAU类;安全审计 11.2.1FAU_GEN.1审计数据产生 FAU_GEN.1.1TO运行环境应能为下述可审计事件产生审计记录审计功能的启动和关闭; aa b 有关[最小级]审计级别的所有可审计事件; [赋值:其他专门定义的可审计事件] FAU_GEN.1.2TOE运行环境应在每个审计记录中至少记录如下信息事件的日期和时间、事件类型、主体身份(如果适用、事件的结果(成功或失效) b 对每种审计事件类型,基于PP/ST中功能组件的可审计事件定义的[表5第三列规定的信息] 应用注释;表5第三列中,如果在产生记录的事件环境中“如果可用/适用”是有意义的,那么它用于确定应在审计记录中包含的数据如果对于一种特别审计事件类型不要求其他的信息(FAU_GEN.1.2 除外),那么“无”也是可以接受的表5TOE运行环境的审计事件附加的审计记录内容安全功能组件审计事件 FAU_GEN.1.2 无无 FAUSAR.1 无无 FAUSAR.2 读取审计记录的不成功尝试尝试执行该功能的用户身份 FAU_SAR.3 无无 FAU_STG.1l 无无 FAU_STG.3 当审计迹超过预定的限制时所采取的任何行动无无无 FDP_RIP.1 达到不成功鉴别尝试的阔值时,采取行动(锁定终 FIA_AFL.1 无端) 在适当的时机,恢复正常的状态(重新打开终端 21
GB/T33565一2017 表5(续附加的市计记录内容安全功能组件审计事件 FIA_ATD.l 无无 FIA_UAU_ExP.5 鉴别机制的使用(成功或失败》用户身份 ToE不记录无效的口令无无 FIA_UID.l 审计服务器设置的变化无 FMT_MOF.1 鉴别服务器设置的变化时间服务器设置的变化无 FMT_MTD.1 时间数据的变化无无 FMT_SMR.1 标识创建信道的实体身份 FTP_ITc_EXP.1 可信信道的开启/关闭事件的成功或失败 FPT_STM.1 设置时间/日期执行该行为的管理员身份 11.2.2FAU_SAR.1审计查阅 FAU_SAR.1.1TOE运行环境应为[管理员]提供从审计记录中读取[所有审计数据]的能力 FAU_SAR.1.2TOE运行环境应以便于管理员理解的方式提供审计记录应用注释;本标准确保ToE运行环境为管理员提供查阅ToE所产生审计记录所需的功能 1.2.3FAUSAR.2限制审计查阅 FAU_SAR.2.1除明确准许读访问的用户外,TOE运行环境应禁止所有用户对审计记录的读访问应用注释;本标准确保仅有那些具有查阅信息权限的用户可以访问TOE产生的审计记录 11.2.4FAU_SAR.3可选审计查阅 FAU_SAR.3.1TOE运行环境应根据[事件类型,日期,时间和/或[赋值;其他的分类/搜索/排序标准]]提供对审计数据进行[搜索,分类,排序]的能力 11.2.5FAU_STG.1受保护的审计迹存储 FAU_STG.1.1TOE运行环境应保护审计迹中存储的审计记录,以避免未授权的删除 FAU_sTG.1.2ToE运行环境应能[防止]对审计迹中所存审计记录的未授权修改 11.2.6FAUSIG.3审计数据可能丢失情况下的行为 FAUSTG.3.1如果审计迹超过[管理员设定的存储容量百分比],TOE运行环境应采取[通过在本地控制台上立即显示一条信息向管理员报警，[选择:[赋值:Sr作者采取其他行动],“无”]] 应用注释当审计迹超过预定的限制时,ST作者应决定是否采取其他行动如果采取行动,进行赋值;否则选择“无” 22
GB/33565一2017 1.3FDP类:用户数据保护 1.3.1FDPRIP.1子集残余信息保护 FDP_RIP.1.1ToE运行环境应确保一个资源的任何先前信息内容,在[分配资源到]客体[网络数据包]时不再可用 1.4FIA类;标识与鉴别 11.4.1FIA_AFL..1远程用户鉴别失败处理 F1A_AFL.1.1TOE运行环境应当检测[选择;[赋值:正整数],管理员可设置的[赋值.可接受数值范围]内的一个正整数]时,与[赋值;鉴别时间列表]相关的未成功鉴别尝试 FA_AFL.1.2当[达到,超过]所定义的未成功鉴别尝试次数时,TOE运行环境应采取的[阻止管理员登录直到其他本地管理员采取行动] 应用注释;本标准确保ToE运行环境能够检测到多次鉴别尝试,并采取措施阻止进一步地鉴别尝试 11.4.2FIAATD.1用户属性定义 FA_ATD.1.1ToE运行环境应维护属于每个远程鉴别用户的下列安全属性列表;[赋值.用户安全属性列表] 应用注释:ST作者应表明运行环境所保存的、与远程鉴别用户相关的安全属性 1.4.3FIA_UAU_EXP.5远程鉴别机制 FFIA_UAU_EXP.5.1TOEIT环境应为执行TOE远程用户鉴别提供[远程鉴别机制 FIA_UAU_EXP.5.2TOEIT环境应依据[赋值;描述远程鉴别机制如何鉴别oE远程用户的规则]鉴别用户所声称的身份应用注释;对于现存(GB/T18336一2015是否需要特别规定TsF提供鉴别功能存在不同的意见为了避免混乱,本标准包括该扩展的要求本标准允许1环境提供用于鉴别远程用户的鉴别服务器 ST作者应使用该赋值以表明应用于TOE和IT环境的远程鉴别要求 11.4.4FIA_UID.1标识的时机 FIA_UID.1.1在用户被标识之前,TOE运行环境应允许执行代表ToE远程用户的[赋值;运行环境促成的行动列表] FIA_UD.1.2在允许代表ToE远程用户的任何其他运行环境或TSF仲裁动作之前,TOE运行环境应要求每个TOE远程用户身份都已被成功标识应用注释;本标准不包括鉴别以前必须通过STA和接人系统之间的管理和控制数据包 11.5FM类:安全管理 1.5.1rMr_Nor.1安全功能行为的管理 FMT_MOF.1.TOE运行环境应仅限于[管理员]对功能审计; a b)远程鉴别; 时间服务]具有[确定其行为]的能力 c 23
GB/T33565一2017 应用注释;本标准规定同步管理TOE和TOE运行环境 11.5.2Fr_NmD.1时间数据的管理 FMT_MTD.1.1TOE运行环境应仅限于[安全管理员或授权信息系统实体]能够对[用于形成 FPr_SrM.1时间戳的时间和日期][设置] 11.5.3FMIT_sMMIR.1安全角色 FMT_SMR.1.1TOE运行环境应维护[管理员]的角色 FMT_SMR.1.2TOE运行环境应能够将用户与角色相关联应用注释:TOE运行环境必须包括一个管理员角色,以对自身进行管理 11.6FIP类;可信路径/通道 11.6.1FIP_IICEXP.1ISF间可信信道 FTP_ITC_EXP.1.1TOE运行环境应在自身和TOE之间提供一条加密通信信道,此信道在逻辑上与其他通信信道不同,并且对其端点提供确定的标识,以及保护信道中数据免受修改或泄漏 rTP_Irc-ExP.1.2ToE运行环境应允许TsF或ToE运行环境中的实体经可信信道发起通信 rTP_ITc_EXP.l.3对于[所有鉴别功能,远醒登录,时间[sT作者选择[ST作者赋值与sT作者确认的授权信息系统实体通信],无]],TOE运行环境应经可信信道发起通信应用注释;对于FTP_ITc_EXP.1.1(2),运行环境应提供和加密环境与TOE之间的信道环境应为自身与rOE之间的通信提供保护 11.7FPr类:IsF保护 11.7.1rPTRVM.1TSP的不可旁路性 FPT_RVM.1.1ToEIT环境应确保在IT环境控制域内允许继续执行每一项功能前,IT环境的执行功能都被成功激活 1.7.2FPr_SEP.1IsF域分离 FPT_SEP.1.1TOEIT环境应为自身执行维护一个安全域,防止不可信主体的干扰和篡改 FPT_SEP.1.2TOEIT环境应分离1IT环境控制域内各主体的安全域 11.7.3FPT_SIM.1可靠的时间戳 FPT_STM.1TOE运行环境应有能力提供可靠的时间戳应用注释;TOE运行环境必须提供可靠的时间戳 24
GB/33565一2017 附录 A 资料性附录基本原理概述 A.1 本附录论述了本标准所依据的原理目的是证明本标准是一个完整的内在一致的安全要求,并且为无线局域网接人系统在安全环境中提供有效的策略集合本附录主要给出了安全目的和安全要求的合理性,汇总了假设、安全目的覆盖的策略和威胁,以及安全目的覆盖的安全要求;并概述了本标准选择的适当的安全保障要求(评估保障级2级增强) A.2安全目的基本原理本节论述了本标准选择安全目的的基本原理表A.1说明了安全目的与假设、威胁和组织安全策略之间的映射关系,即每个威胁和策略都至少有一个安全目的组件与其对应,每个安全目的都至少解决了一个威胁和策略表A.1安全目的与威胁和策略的映射关系解决威胁的安全目的威胁和策略基本原理 O.ADMIN_GUIDANCE O.ADMIN_GUIDANCE通过保证 ToE为管理员提供必要的安全管理ToE管理员拥有指导他们如何安全信息管理TOE的指南来缓解威胁指南也有助于减少管理员所犯的错误,此类错误可能引起不安全地配置 O).MANAGE O,MANAGE通过给管理员提供查阅 ToE应提供管理员管理ToE安全和管理配置设置的能力来缓解这种所必需的功能和设施,并防止这些功威胁比如说,如果管理员在配置已认可的用户鉴别证书时犯能和设施被未授权的使用错误,那 T.ACCIDENTAL_ADMIN_ERROR 么通过给安全管理员查阅鉴别证书管理员可能不正确安装或配置TOE. 列表的能力将使得他们查阅列表,从从而导致安全机制失效而发现他们所犯的错误 OE.NO_EVIL OENO_EVIL通过保证管理员是不使用ToE的组织应保证管理员是可敌对的,训练有素的(能够合理地管信的,训练有素且遵循管理员指南理TO)E)来缓解威胁 OE.NO_GENERAI_PURPOSE OE.NO_GENERAl_PURP(OSE通过在TOE上无法获得通用的计算或存保证不会因为未授权软件或数据的储能力例如;编译器,编辑器或应用引人产生意外错误;ToE上没有通用程序的计算或存储库应用程序来缓解威胁 25

信息安全技术无线局域网接入系统安全技术要求评估保障级2级增强

引言

无线网络技术的普及和广泛应用使得无线局域网接入系统的安全性日益受到关注。为了提高信息安全水平，保护企业数据的机密性、完整性和可用性，国家标准化管理委员会发布了GB/T33565-2017标准，对信息安全技术无线局域网接入系统的安全技术要求进行规范。

保障级别

GB/T33565-2017标准规定无线局域网接入系统安全技术的保障级别分为1级、2级和3级。其中，2级增强是在实现2级基础要求的基础上，加强了一些安全性能。

保障级别2级增强下的安全技术要求

在保障级别2级增强下，信息安全技术无线局域网接入系统的安全技术要求如下：

身份认证与访问控制

无线终端的认证机制应当采用EAP-TLS或者PEAP-TLS协议，并且使用私有密钥进行身份认证，确保身份真实可靠；
网络设备应支持802.1x认证方式，并可以对用户进行精细化授权管理。

数据加密传输

无线局域网接入系统应支持AES算法进行数据加密传输，确保数据传输的安全性；
网络设备和无线终端应支持WPA2-Enterprise认证方式，确保数据传输安全而不被窃听。

漏洞管理

应对网络设备和无线终端进行定期的安全检查，及时发现漏洞并修复；
对于已经发现的漏洞，应该采取相应的措施加以防范。

结论

信息安全技术无线局域网接入系统是企业信息化建设不可或缺的一环。GB/T33565-2017标准规范了无线局域网接入系统安全技术的要求，提高了信息安全水平，确保企业数据的机密性、完整性和可用性。在保障级别2级增强下，需要对身份认证与访问控制、数据加密传输和漏洞管理等方面进行严格的规范，以提高信息安全水平。