7.3　安全保障要求

7.3　安全保障要求

表6列出了網絡交換機信息技術安全保障要求組件，這些要求由GB/T 18336.3的安全保障要求組件組成，以下對各組件給出了詳細的說明。

7.3.1　開發（ADV類）

7.3.1.1　 安全架構描述（ADV_ARC.1）

開發者行為元素：
ADV_ARC.1.1D開發者應設計并實現TOE，確保TSF的安全特性不可旁路。
ADV_ARC.1.2D開發者應設計并實現TSF，以防止不可信任主體的破壞。
ADV_ARC.1.3D開發者應提供TSF安全架構的描述。
內容和形式元素：
ADV_ARC.1.1C 安全架構的描述應與在TOE設計文檔中對SFR-執行的抽象描述的級別一致。
ADV_ARC.1.2C 安全架構的描述應描述與安全功能要求一致的TSF安全域。
ADV_ARC.1.3C安全架構的描述應描述TSF初始化過程為何是安全的。
ADV_ARC.1.4C安全架構的描述應論證TSF可防止被破壞。
ADV_ARC.1.5C安全架構的描述應論證TSF可防止SFR-執行的功能被旁路。
評估者行為元素：
ADV_ARC.1.1E 評估者應確認提供的信息符合證據的內容和形式要求。
依賴關系：ADV_FSP.1基本功能規范；

7.3.1.2　安全執行功能規范（ADV_FSP.2）

開發者行為元素：
ADV_FSP.2.1D 開發者應提供一個功能規范。
ADV_FSP.2.2D 開發者應提供功能規范到安全功能要求的追溯關系。
內容和形式元素：
ADV_FSP.2.1C 功能規范應完全描述TSF。
ADV_FSP.2.2C 功能規范應描述所有的TSFI的目的和使用方法。
ADV_FSP.2.3C 功能規范應識別和描述每個TSFI相關的所有參數。
ADV_FSP.2.4C 對于每個SFR-執行TSFI，功能規范應描述TSFI相關的SFR-執行行為。
ADV_FSP.2.5C 對于SFR-執行TSFI，功能規范應描述由SFR-執行行為相關處理而引起的直接錯誤消息。
ADV_FSP.2.6C 功能規范應論證安全功能要求到TSFI的追溯。
評估者行為元素：
ADV_FSP.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
ADV_FSP.2.2E 評估者應決定功能規范是網絡交換機安全功能要求的一個精確且完備的實例化。

7.3.1.3　帶完整摘要的功能規范（ADV_FSP.3）

開發者行為元素：
ADV_FSP.3.1D 開發者應提供一個功能規范。
ADV_FSP.3.2D 開發者應提供功能規范到安全功能要求的追溯。
內容和形式元素：
ADV_FSP.3.1C 功能規范應完全描述TSF。
ADV_FSP.3.2C 功能規范應描述所有的TSFI的目的和使用方法。
ADV_FSP.3.3C 功能規范應識別和描述每個TSFI相關的所有參數。
ADV_FSP.3.4C 對于每個SFR-執行TSFI，功能規范應描述TSFI相關的SFR-執行行為。
ADV_FSP.3.5C 對于每個SFR-執行TSFI，功能規范應描述與TSFI的調用相關的安全實施行為和異常而引起的直接錯誤消息。
ADV_FSP.3.6C 功能規范需總結與每個TSFI相關的SFR-支撐和SFR-無關的行為。
ADV_FSP.3.7C 功能規范應論證安全功能要求到TSFI的追溯。
評估者行為元素：
ADV_FSP.3.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
ADV_FSP.3.2E 評估者應決定功能規范是網絡交換機安全功能要求的一個精確且完備的實例化。

7.3.1.4　基礎設計（ADV_TDS.1）

開發者行為元素：
ADV_TDS.1.1D 開發者應提供TOE的設計。
ADV_TDS.1.2D開發者應提供從功能規范的TSFI到TOE設計中獲取到的最低層分解的映射。
內容和形式元素：
ADV_TDS.1.1C 設計應根據子系統描述TOE的結構。
ADV_TDS.1.2C 設計應標識TSF的所有子系統。
ADV_TDS.1.3C 設計應對每一個TSF的SFR-無關子系統的行為進行足夠詳細的描述，以確定它不是SFR-無關。
ADV_TDS.1.4C 設計應概括SFR-執行子系統的SFR-執行行為。
ADV_TDS.1.5C設計應描述TSF的SFR-執行子系統間的相互作用和TSF的SFR-執行子系統與其它TSF子系統間的相互作用。
ADV_TDS.1.6C 映射關系應證明TOE設計中描述的所有行為能夠映射到調用它的TSFI。
評估者行為元素：
ADV_TDS.1.1E評估者應確認提供的信息滿足證據的內容與形式的所有要求。
ADV_TDS.1.2E評估者應確定設計是所有安全功能要求的正確且完全的實例。

7.3.1.5　結構化設計（ADV_TDS.2）

開發者行為元素：
ADV_TDS.2.1D 開發者應提供TOE的設計。
ADV_TDS.2.2D開發者應提供從功能規范的TSFI到TOE設計中獲取到的最低層分解的映射。
內容和形式元素：
ADV_TDS.2.1C 設計應根據子系統描述TOE的結構。
ADV_TDS.2.2C 設計應標識TSF的所有子系統。
ADV_TDS.2.3C 設計應對每一個TSF的SFR-無關子系統的行為進行足夠詳細的描述，以確定它是SFR-無關。
ADV_TDS.2.4C 設計應描述SFR-執行子系統的SFR-執行行為。
ADV_TDS.2.5C設計應概括SFR-執行子系統的SFR-支撐和SFR-無關行為。
ADV_TDS.2.6C設計應概括SFR-支撐子系統的行為。
ADV_TDS.2.7C設計應描述TSF所有子系統間的相互作用。
ADV_TDS.2.8C 映射關系應證明TOE設計中描述的所有行為能夠映射到調用它的TSFI。
評估者行為元素：
ADV_TDS.2.1E評估者應確認提供的信息滿足證據的內容與形式的所有要求。
ADV_TDS.2.2E評估者應確定設計是所有安全功能要求的正確且完全的實例。

7.3.2　指導性文件（AGD類）

7.3.2.1　操作用戶指南（AGD_OPE.1）

開發者行為元素：
AGD_OPE.1.1D開發者應提供操作用戶指南。
內容和形式元素：
AGD_OPE.1.1C操作用戶指南應對每一種用戶角色進行描述，在安全處理環境中應被控制的用戶可訪問的功能和特權，包含適當的警示信息。
AGD_OPE.1.2C 操作用戶指南應對每一種用戶角色進行描述，怎樣以安全的方式使用網絡交換機提供的可用接口。
AGD_OPE.1.3C 操作用戶指南應對每一種用戶角色進行描述，可用功能和接口，尤其是受用戶控制的所有安全參數，適當時應指明安全值。
AGD_OPE.1.4C 操作用戶指南應對每一種用戶角色明確說明，與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變TSF所控制實體的安全特性。
AGD_OPE.1.5C 操作用戶指南應標識TOE運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關系和聯系。
AGD_OPE.1.6C 操作用戶指南應對每一種用戶角色進行描述，為了充分實現ST中描述的運行環境安全目的所必須執行的安全策略。
AGD_OPE.1.7C 操作用戶指南應是明確和合理的。
評估行為元素：
AGD_OPE.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

7.3.2.2　準備程序（AGD_PRE.1）

開發者行為元素：
AGD_PRE.1.1D 開發者應提供TOE，包括它的準備程序。
內容和形式元素：
AGD_PRE.1.1C 準備程序應描述與開發者交付程序相一致的安全接收所交付網絡交換機必需的所有步驟。
AGD_PRE.1.2C 準備程序應描述安全安裝TOE以及安全準備與ST中描述的運行環境安全目的一致的運行環境必需的所有步驟。
評估者行為元素：
AGD_PRE.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
AGD_PRE.1.2E 評估者應運用準備程序確認TOE運行能被安全的準備。

7.3.3　生命周期支持（ALC類）

7.3.3.1　CM系統的使用 （ALC_CMC.2）

開發者行為元素：
ALC_CMC.2.1D 開發者應提供TOE及其參照號。
ALC_CMC.2.2D 開發者應提供CM文檔。
ALC_CMC.2.3D 開發者應提供CM系統。
內容和形式元素：
ALC_CMC.2.1C 應給TOE標注唯一參照號。
ALC_CMC.2.2C CM文檔應描述用于唯一標識配置項的方法。
ALC_CMC.2.3C CM系統應唯一標識所有配置項。
評估者行為元素：
ALC_CMC.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

7.3.3.2　授權控制 （ALC_CMC.3）

開發者行為元素：
ALC_CMC.3.1D 開發者應提供TOE及其參照號。
ALC_CMC.3.2D 開發者應提供CM文檔。
ALC_CMC.3.3D 開發者應使用CM系統。
內容和形式元素：
ALC_CMC.3.1C 應給TOE標注唯一參照號。
ALC_CMC.3.2C CM文檔應描述用于唯一標識配置項的方法。
ALC_CMC.3.3C CM系統應唯一標識所有配置項。
ALC_CMC.3.4C CM系統應提供措施使得只能對配置項進行授權變更。
ALC_CMC.3.5C CM文檔應包括一個CM計劃。
ALC_CMC.3.6C CM計劃應描述CM系統是如何應用于TOE的開發過程。
ALC_CMC.3.7C 證據應論證所有配置項都正在CM系統下進行維護。
ALC_CMC.3.8C 證據應論證CM系統的運行與CM計劃是一致的。
評估者行為元素：
ALC_CMC.3.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
依賴關系：ALC_CMS.1 TOE CM覆蓋；
ALC_DVS.1 安全措施標識；

7.3.3.3　部分TOE CM覆蓋（ALC_CMS.2）

開發者行為元素：
ALC_CMS.2.1D 開發者應提供TOE配置項列表。
內容和形式元素：
ALC_CMS.2.1C 配置項列表應包括：TOE本身、安全保障要求的評估證據、TOE的組成部分。
ALC_CMS.2.2C 配置項列表應唯一標識配置項。
ALC_CMS.2.3C 對于每一個TSF相關的配置項，配置項列表應簡要說明該配置項的開發者。
評估者行為元素：
ALC_CMS.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

7.3.3.4　實現表示CM覆蓋（ALC_CMS.3）

開發者行為元素：
ALC_CMS.3.1D 開發者應提供TOE配置項列表。
內容和形式元素：
ALC_CMS.3.1C 配置項列表應包括：TOE本身、安全保障要求的評估證據、TOE的組成部分和實現表示。
ALC_CMS.3.2C 配置項列表應唯一標識配置項。
ALC_CMS.3.3C 對于每一個TSF相關的配置項，配置項列表應簡要說明該配置項的開發者。
評估者行為元素：
ALC_CMS.3.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

7.3.3.5　交付程序（ALC_DEL.1 ）

開發者行為元素：
ALC_DEL.1.1D 開發者應將把TOE或其部分交付給消費者的程序文檔化。
ALC_DEL.1.2D 開發者應使用交付程序。
內容和形式元素：
ALC_DEL.1.1C 交付文檔應描述，在向消費者分發TOE版本時，用以維護安全性所必需的所有程序。
評估者行為元素：
ALC_DEL.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

7.3.3.6　安全措施標識（ALC_DVS.1）

開發者行為元素：
ALC_DVS.1.1D 開發者應提供開發安全文檔。
內容和形式元素：
ALC_DVS.1.1C 開發安全文檔應描述在TOE的開發環境中，保護TOE設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的及其它方面的安全措施。
評估者行為元素：
ALC_DVS.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
ALC_DVS.1.2E 評估者應確認安全措施正在被使用。

7.3.3.7　開發者定義的生命周期模型（ALC_LCD.1 ）

開發者行為元素：
ALC_LCD.1.1D 開發者應建立一個生命周期模型，用于TOE的開發和維護。
ALC_LCD.1.2D 開發者應提供生命周期定義文檔。
內容和形式元素：
ALC_LCD.1.1C 生命周定義文檔應描述用于開發和維護TOE的模型。
ALC_LCD.1.2C 生命周期模型應為TOE的開發和維護提供必要的控制。
評估者行為元素：
ALC_LCD.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求

7.3.4　ST評估（ASE類）

7.3.4.1　符合性聲明（ASE_CCL.1）

開發者行為元素：
ASE_CCL.1.1D 開發者應提供符合性聲明。
ASE_CCL.1.2D 開發者應提供符合性聲明的基本原理。
內容和形式元素：
ASE_CCL.1.1C ST的符合性聲明應包含GB/T 18336符合性聲明，標識出ST和TOE聲明符合性遵從的GB/T 18336的版本。
ASE_CCL.1.2C ST的符合性聲明應描述ST和GB/T 18336.2的符合性，無論是與GB/T 18336.2相符或是與GB/T 18336.2的擴展部分相符。
ASE_CCL.1.3C 符合性聲明應描述ST和GB/T 18336.3的符合性，無論是與GB/T 18336.3相符或是與GB/T 18336.3的擴展部分相符。
ASE_CCL.1.4C 符合性聲明應與擴展組件定義是相符的。
ASE_CCL.1.5C 符合性聲明應標識ST聲明遵從的所有PP和安全要求包。
ASE_CCL.1.6C 符合性聲明應描述ST和包的符合性，無論是與包的相符或是與擴展包相符。
ASE_CCL.1.7C 符合性聲明的基本原理應證實TOE類型與符合性聲明所遵從的PP中的TOE類型是相符的。
ASE_CCL.1.8C 符合性聲明的基本原理應證實安全問題定義的陳述與符合性聲明所遵從的PP中的安全問題定義陳述是相符的。
ASE_CCL.1.9C 符合性聲明的基本原理應證實安全目的陳述與符合性聲明所遵從的PP中的安全目的陳述是相符的。
ASE_CCL.1.10C 符合性聲明的基本原理應證實安全要求的陳述與符合性聲明所遵從的PP中的安全要求的陳述是相符的。
評估者行為元素：
ASE_CCL.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
依賴關系：ASE_INT.1 ST引言；
ASE_ECD.1 擴展組件定義；

7.3.4.2　擴展組件定義（ASE_ECD.1）

開發者行為元素：
ASE_ECD.1.1D 開發者應提供安全要求的陳述。
ASE_ECD.1.2D 開發者應提供擴展組件的定義。
內容和形式元素：
ASE_ECD.1.1C 安全要求陳述應標識所有擴展的安全要求。
ASE_ECD.1.2C 擴展組件定義應為每一個擴展的安全要求定義一個擴展的組件。
ASE_ECD.1.3C 擴展組件定義應描述每個擴展的組件與已有組件、族和類的關聯性。
ASE_ECD.1.4C 擴展組件定義應使用已有的組件、族、類和方法學作為陳述的模型。
ASE_ECD.1.5C 擴展組件應由可測量的和客觀的元素組成，以便于證實這些元素之間的符合性或不符合性。
評估者行為元素：
ASE_ECD.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
ASE_ECD.1.2E 評估者應確認擴展組件不能利用已經存在的組件明確的表達。

7.3.4.3　ST引言（ASE_INT.1 ）

開發者行為元素：
ASE_INT.1.1D 開發者應提供ST引言。
內容和形式元素：
ASE_INT.1.1C ST引言應包含ST參照號，TOE參照號，TOE概述和TOE描述。
ASE_INT.1.2C ST參照號應唯一標識ST。
ASE_INT.1.3C TOE參照號應標識TOE。
ASE_INT.1.4C TOE概述應概括TOE的用法及其主要安全特性。
ASE_INT.1.5C TOE概述應標識TOE類型。
ASE_INT.1.6C TOE概述應標識任何TOE要求的非TOE范圍內的硬件/軟件/固件。
ASE_INT.1.7C TOE描述應描述TOE的物理范圍。
ASE_INT.1.8C TOE描述應描述TOE的邏輯范圍。
評估者行為元素：
ASE_INT.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
ASE_INT.1.2E 評估者應確認TOE參考、TOE概述和TOE描述是相互一致的。

7.3.4.4　安全目的（ASE_OBJ.2 ）

開發者行為元素：
ASE_OBJ.2.1D 開發者應提供安全目的的陳述。
ASE_OBJ.2.2D 開發者應提供安全目的的基本原理。
內容和形式元素：
ASE_OBJ.2.1C 安全目的的陳述應描述TOE的安全目的和運行環境安全目的。
ASE_OBJ.2.2C 安全目的基本原理應追溯到TOE的每一個安全目的，以便于能追溯到安全目的所對抗的威脅及安全目的實施的組織安全策略。
ASE_OBJ.2.3C 安全目的基本原理應追溯到運行環境的每一個安全目的，以便于能追溯到安全目的所對抗的威脅、安全目的實施的組織安全策略和安全目的支持的假設。
ASE_OBJ.2.4C 安全目的基本原理應證實安全目的能抵抗所有威脅。
ASE_OBJ.2.5C 安全目的基本原理應證實安全目的執行所有組織安全策略。
ASE_OBJ.2.6C 安全目的基本原理應證實運行環境安全目的支持所有的假設。
評估者行為元素：
ASE_OBJ.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

7.3.4.5　陳述性的安全要求（ASE_REQ.1 ）

開發者行為元素：
ASE_REQ.1.1D 開發者應提供安全要求的陳述。
ASE_REQ.1.2D 開發者應提供安全要求的基本原理。
內容和形式元素：
ASE_REQ.1.1C安全要求的陳述應描述安全功能要求和安全保障要求。
ASE_REQ.1.2C應對安全功能要求和安全保障要求中使用的所有主體、客體、操作、安全屬性、外部實體及其它術語進行定義。
ASE_REQ.1.3C安全要求的陳述應對安全要求的所有操作進行標識。
ASE_REQ.1.4C所有操作應被正確地執行。
ASE_REQ.1.5C 應滿足安全要求間的依賴關系，或者安全要求基本原理應證明不需要滿足某個依賴關系。
ASE_REQ.1.6C 安全要求的陳述應是內在一致的。
評估者行為元素：
ASE_REQ.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

7.3.4.6　推導出的安全要求（ASE_REQ.2 ）

開發者行為元素：
ASE_REQ.2.1D 開發者應提供安全要求的陳述。
ASE_REQ.2.2D 開發者應提供安全要求的基本原理。
內容和形式元素：
ASE_REQ.2.1C 安全要求的陳述應描述安全功能要求和安全保障要求。
ASE_REQ.2.2C 應對安全功能要求和安全保障要求中使用的所有主體、客體、操作、安全屬性、外部實體及其它術語進行定義。
ASE_REQ.2.3C安全要求的陳述應對安全要求的所有操作進行標識。
ASE_REQ.2.4C所有操作應被正確地執行。
ASE_REQ.2.5C 應滿足安全要求間的依賴關系，或者安全要求基本原理應證明不需要滿足某個依賴關系。
ASE_REQ.2.6C 安全要求基本原理應描述每一個安全功能要求可追溯至對應的TOE安全目的。
ASE_REQ.2.7C 安全要求基本原理應證明安全功能要求可滿足所有的TOE安全目的。
ASE_REQ.2.8C 安全要求基本原理應說明選擇安全保障要求的理由。
ASE_REQ.2.9C 安全要求的陳述應是內在一致的。
評估者行為元素：
ASE_REQ.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
依賴關系： ASE_OBJ.2 安全目的；

7.3.4.7　TOE概要規范（ASE_TSS.1 ）

開發者行為元素：
ASE_TSS.1.1D 開發者應提供TOE概要規范。
內容和形式元素
ASE_TSS.1.1C TOE概要規范應描述TOE是如何滿足每一項安全功能要求的。
評估者行為元素：
ASE_TSS.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
ASE_TSS.1.2E 評估者應確認TOE概要規范與TOE概述、TOE描述是一致的。
依賴關系：ASE_INT.1 ST引言；
ASE_REQ.1 陳述性的安全要求；

7.3.5　測試（ATE類）

7.3.5.1　覆蓋證據（ATE_COV.1）

開發者行為元素：
ATE_COV.1.1D 開發者應提供測試覆蓋的證據。
內容和形式元素：
ATE_COV.1.1C 測試覆蓋的證據應表明測試文檔中的測試和功能規范中描述的網絡交換機安全功能間的對應性。
評估者行為元素：
ATE_COV.1.1E評估者應確認提供的信息滿足證據的內容和形式的要求。
依賴關系：ADV_FSP.2 安全執行功能規范；

7.3.5.2　覆蓋分析（ATE_COV.2）

開發者行為元素：
ATE_COV.2.1D 開發者應提供對測試覆蓋的分析。
內容和形式元素：
ATE_COV.2.1C 測試覆蓋分析應論證測試文檔中的測試和功能規范中描述的網絡交換機安全功能間的對應性。
ATE_COV.2.2C 測試覆蓋分析應論證已經對功能規范中所有安全功能接口都進行了測試。
評估者行為元素：
ATE_COV.2.1E評估者應確認提供的信息滿足證據的內容和形式的要求。
依賴關系：ADV_FSP.2 安全執行功能規范；

7.3.5.3　測試：基本設計（ATE_DPT.1）

開發者行為元素：
ATE_DPT.1.1D 開發者應提供測試深度分析。
內容和形式元素：
ATE_DPT.1.1C 測試深度分析應論證測試文檔中的測試與網絡交換機安全功能子系統之間的對應性。
ATE_DPT.1.2C 測試深度分析應論證網絡交換機設計中所有安全功能子系統都已經進行過測試。
評估者行為元素：
ATE_DPT.1.1E 評估者應當確認提供的信息滿足證據的內容和形式的要求。
依賴關系：ADV_ARC.1 安全架構描述；
ADV_TDS.2 結構化設計；

7.3.5.4　功能測試 （ATE_FUN.1）

開發者行為元素：
ATE_FUN.1.1D 開發者應當測試網絡交換機安全功能，并文檔化測試結果。
ATE_FUN.1.2D 開發者應提供測試文檔。
內容和形式元素：
ATE_FUN.1.1C 測試文檔應當包括測試計劃、預期的測試結果和實際的測試結果。
ATE_FUN.1.2C 測試計劃應當標識要執行的測試并描述執行每個測試的方案，這些方案應包括對于其它測試結果的任何順序依賴性的安全功能，描述要執行的測試目標。
ATE_FUN.1.3C預期的測試結果應指出測試成功執行后的預期輸出。
ATE_FUN.1.4C實際的測試結果應和預期的測試結果一致。
評估者行為元素：
ATE_FUN.1.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。

7.3.5.5　獨立測試－抽樣 （ATE_IND.2）

開發者行為元素：
ATE_IND.2.1D開發者應當提供用于測試的網絡交換機。
證據的內容和形式元素：
ATE_IND.2.1C 網絡交換機應適合測試。
ATE_IND.2.2C 開發者應提供一組與開發者安全功能測試中同等的一系列資源。
評估者行為元素：
ATE_IND.2.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。
ATE_IND.2.2E評估者應執行測試文檔里的測試樣本，以驗證開發者測試的結果。
ATE_IND.2.3E 評估者應測試安全功能的一個子集，以確認網絡交換機按照規范運行。
依賴關系：ADV_FSP.2 安全執行功能規范；
AGD_OPE.1 操作用戶指南；
AGD_PRE.1 準備程序；
ATE_COV.1 覆蓋證據；

7.3.6　脆弱性評定（AVA類）

7.3.6.1　脆弱性分析（AVA_VAN.2）

開發者行為元素：
AVA_VAN.2.1D 開發者應提供用于測試的TOE。
內容和形式元素：
AVA_VAN.2.1C TOE應適合測試。
評估者行為元素：
AVA_VAN.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
AVA_VAN.2.2E 評估者應執行公共領域的調查以標識TOE的潛在脆弱性。
AVA_VAN.2.3E 評估者應執行獨立的TOE脆弱性分析去標識TOE潛在的脆弱性，在分析過程中使用指導性文檔、功能規范、TOE設計和安全結構描述。
AVA_VAN.2.4E 評估者應基于已標識的潛在脆弱性實施穿透性測試，判定TOE能抵抗具有基本攻擊潛力的攻擊者的攻擊。
依賴關系：ADV_ARC.1 安全架構描述；
ADV_FSP.2 安全執行功能規范；
ADV_TDS.1 基礎設計；
AGD_OPE.1 操作用戶指南；