7.2 安全功能組件擴展定義

7.2.1 安全審計分析（FAU_SAA）

7.2.1.1 類別

所屬類別為GB/T 18336.2中定義的FAU類：安全審計。

7.2.1.2 族行為

本族定義了一些采用自動化手段分析系統活動和審計數據以尋找可能的或真正的安全侵害的要求。
這種分析通過入侵檢測來實現，或對潛在的安全侵害作出自動響應。
基于檢測而采取的動作，可用FAU_ARP“安全審計自動響應”族來規范。

7.2.1.3 組件層次

FAU_SAA_EXT.5“基于白名單策略的異常監測”，提供基于信任列表的對異常行為進行監測的能力。

7.2.1.4 FAU_SAA_EXT.5 管理

FMT 中的管理功能可考慮下列行為：

7.2.1.5 FAU_SAA_EXT.6 管理

尚無預見的管理活動。

7.2.1.6 FAU_SAA_EXT.5 審計

如果PP/ST中包含FAU_GEN“安全審計數據產生”，下列行為應是可審計的：

a） 最小級：開啟和關閉任何分析機制；

b） 最小級：通過工具軟件實現自動響應。

7.2.1.7 FAU_SAA_EXT.6 審計

尚無預見的可審計事件。

7.2.1.8 FAU_SAA_EXT.5 基于白名單策略的異常檢測

從屬于：無其他組件。
依賴關系：無
FAU_SAA_EXT.5.1 TSF應能定義和維護基于[賦值：被信任的實體]的信任列表，并僅允許符合信任列表要求的行為通過，一旦檢測到異常，應采取[賦值：動作列表]。

a) 被信任的實體可以是應用程序、用戶組、信息流特征等；

b) 動作列表可以賦值無。

7.2.1.9 FAU_SAA_EXT.6 工業控制協議解析

從屬于：無其他組件。
依賴關系：無。
FAU_SAA_EXT.6.1 TSF應支持[賦值：工業控制協議名稱]的解析，解析協議的深度包括[選擇：工業控制協議的協議名稱、指令格式、指令類型和指令參數、[賦值：其他參數]]。

a) 常見的工控控制協議包括（但不限于）Modbus/TCP 協議、OPC Classic 協議、DNP3.0 協議、SIEMENS S7Comm 協議EtherNet/IP 協議、EtherCAT 協議、PowerLink 協議和 Profinet 協議等；互聯網協議主要包括（但不限于）HTTP、FTP、TELNET、SNMP 等協議。除上述網絡外，還可以支持串行總線網絡、工業無線網絡、工業互聯網等與 TCP/IP 網絡技術不同的協議；

b) 賦值協議名稱可以是一種或多種；

c) 選擇可以選擇一個或多個。

7.2.2 安全審計查閱（FAU_SAR）

7.2.2.1 類別

所屬類別為GB/T 18336.2中定義的FAU類：安全審計。

7.2.2.2 族行為

本族定義了一些有關審計工具的要求，授權用戶可使用這些審計工具查閱審計數據。

7.2.2.3 組件層次

FAU_SAR_EXT.4“審計數據報送”，TSF可將審計發數據報送給其他設備。

7.2.2.4 FAU_SAR_EXT.4 管理

FMT 中的管理功能可考慮下列行為：

a) 維護（刪除、修改、添加）接受報送審計數據的設備組；

b) 維護根據審計數據屬性過濾需要發送的審計數據。

7.2.2.5 FAU_SAR_EXT.4 審計

如果PP/ST中包含FAU_GEN“安全審計數據產生”，下列行為應是可審計的：
a) 基本級：審計數據報送的失敗動作。
7.2.2.6 FAU_SAR_EXT.4 審計數據報送
從屬于：無其他組件。
依賴關系：FTP_ITC.1 可信信道。
FAU_SAR_EXT.4.1 TSF 應能夠將自身審計記錄通過可信信道報送給其他設備，進行更高級別的審計。
應用說明：
a) 有些嵌入式設備的審計信息存儲容量是有限的，宜從系統層面使用工具對系統范圍內所有設備

7.2.3 輸入數據保護（FDP_IDP_EXT）

7.2.3.1 類別

所屬類別為GB/T 18336.2中定義的FDP類：用戶數據保護。

7.2.3.2 族行為

本族為擴展的FDP_IDP族，以描述TOE關鍵數據安全功能的保護能力。要求對輸入到TOE的關鍵數據或動作進行輸入內容和語法的合法性、安全性進行驗證，并對關鍵操作執行雙重批準確認。

7.2.3.3 組件層次

FDP_IDP.EXT.1 “輸入數據驗證”，要求檢測輸入信息的安全性和合法性，一旦檢測到錯誤后，TOE應采取相關的動作。

7.2.3.4 FDP_IDP_EXT.1 管理

FMT中的管理功能可考慮下列行為：

7.2.3.5 FDP_IDP_EXT.2 管理

尚無預見的管理活動。

7.2.3.6 FDP_IDP_EXT.1 審計

如果PP/ST中包含FAU_GEN“安全審計數據產生”，下列行為應是可審計的：

7.2.3.7 FDP_IDP_EXT.2 審計

如果PP/ST中包含FAU_GEN“安全審計數據產生”，下列行為應是可審計的：
a) 最小級：雙重確認的成功執行；

7.2.3.8 FDP_IDP.EXT.1 輸入數據驗證

從屬于：無其他組件。
依賴關系：無依賴關系。
FDP_IDP_EXT.1.1 TOE應檢測輸入信息的安全性和合法性，一旦檢測到錯誤后，TOE應采取相關的動作[賦值：動作列表]。
應用說明：
a) 輸入信息包括但不限于應用輸入（如 I/O 輸入或其他傳輸設備傳輸的數據）和參數配置（如授權人員通過配置界面/控制面板輸入的參數）；

7.2.3.9 FDP_IDP_EXT.2 輸入數據雙重確認

從屬于：無其他組件。
依賴關系：無依賴關系。
FDP_IDP_EXT.2.1 TOE應對輸入到TOE的關鍵數據或動作執行雙重確認操作。

a) 當需要很高級別可靠性和正確性執行的操作時，限制雙重確認是一個普遍接受的良好實踐；

b) 要求雙重批準強調正確操作失敗所導致后果的嚴重性。如對關鍵工業過程的設定值進行改變或緊急關停裝置等。

7.2.4 存儲數據的完整性（FDP_SDI）

7.2.4.1 類別

所屬類別為GB/T 18336.2中定義的FDP類：用戶數據保護。

7.2.4.2 族行為

本族將存儲數據的完整性擴展到了固件、可執行代碼等在初始啟動階段、運行階段或更新階段的完

7.2.4.3 組件層次

FDP_SDI_EXT.1 “軟件/固件和信息完整性”，要求TOE在初始階段、運行階段或更新階段可以對固件、可執行代碼、關鍵配置數據等的完整性錯誤進行檢測。

7.2.4.4 FDP_SDI_EXT.1 管理

尚無預見的管理活動。

7.2.4.5 FDP_SDI_EXT.1 審計

如果PP/ST中包含FAU_GEN“安全審計數據產生”，下列行為應是可審計的：
a）最小級：檢查數據/固件/代碼完整性的成功嘗試，包括檢測的結果；
b）基本級：檢查數據/固件/代碼的所有嘗試，如果成功的話，還包括加測的結果；

7.2.4.6 FDP_SDI_EXT.1 軟件/固件和信息完整性

從屬于：無其他組件。

依賴關系：無依賴關系。

FDP_DSI.EXT.1.1 TOE應在[選擇：初始化啟動、正常運行期間、代碼/固件更新]時，對TOE[選擇：關鍵配置數據、可執行代碼、固件]的未授權修改、刪除或插入等完整性錯誤進行檢測。

FDP_DSI.EXT.1.2 當檢測到完整性錯誤后，TOE應采取相關的動作[賦值：動作列表]。

應用說明：

a) 本要求針對當存儲數據、軟件/固件被未授權更改后的檢測和防護；

b) 更新中檢測到加載的不是廠商授權版本情況應進行防護。

7.2.5 存儲數據的保密性（FDP_SDC_EXT）

7.2.5.1 類別

所屬類別為GB/T 18336.2中定義的FDP類：用戶數據保護。

7.2.5.2 族行為

本族為擴展的FDP_SDC族，以描述TSF可保護敏感數據安全的能力。規定了存儲數據的保密性，如鑒別數據、密鑰、證書、關鍵配置等敏感數據。

7.2.5.3 組件層次

FDP_SDC.EXT.1 “存儲數據的保密性”，要求有能力保護存儲在TOE中的敏感數據不被未授權泄露。

7.2.5.4 FDP_SDC_EXT.1 管理

尚無預見的管理活動。

7.2.5.5 FDP_SDC_EXT.1 審計

尚無預見的審計活動。

7.2.5.6 FDP_SDC_EXT.1 存儲數據保密性

從屬于：無其他組件。
依賴關系：無依賴關系。
FDP_SDC_EXT.1.1 TSF應具備能力保護存儲在TSF中的敏感數據不被未授權泄露。

7.2.6 數據傳輸完整性（FDP_DTI_EXT）

7.2.6.1 類別

所屬類別為GB/T 18336.2中定義的FDP類：用戶數據保護。

7.2.6.2 族行為

本族為擴展的FDP_DTI族，確保數據在TOE內部及TOE與外部實體之間傳送時不被非法篡改，數據的錯誤傳輸對ICS系統基本功能的運行會產生嚴重影響，TOE應能提供數據完整性保護及驗證數據完整性的能力。

7.2.6.3 組件層次

FDP_DTI_EXT.1“TOE與外部實體傳送數據完整性”，TOE應在與外部實體之間發送及接收數據時提供數據完整性保護的能力。

7.2.6.4 FDP_DTI_EXT.1、FDP_DTI_EXT.2 管理

尚無預見的管理活動。

7.2.6.5 FDP_DTI_EXT.1、FDP_DTI_EXT.2 審計

如果 PP/ST 中包含 FAU_GEN“安全審計數據產生”，下列行為應是可審計的：

a）最小級：數據傳輸失敗的記錄。

7.2.6.6 FDP_DTI_EXT.1 TOE 與外部實體傳送數據完整性

從屬于：無其他組件。
依賴關系：無依賴關系。
FDP_DTI_EXT.1.1 當TOE傳送[賦值：數據類型]到[賦值：外部實體]時，TOE應能對所傳送數據進行完整性保護（如采用校驗碼或密碼算法等）。
FDP_DTI_EXT.1.2 當TOE接收[賦值：外部實體]傳送數據時，TOE應能檢測所傳送數據的修改、替換、重排、重放、刪除、延遲等完整性錯誤，當檢測到完整性錯誤后，TOE應采取相應的動作[賦值：動作列表]。
應用說明：
a) 賦值數據類型，如鑒別數據、控制數據等；
b) 賦值與 TOE 通信的外部實體，如果有多個，應進行識別，然后分別進行描述；

7.2.6.7 FDP_DTI_EXT.2 TOE 內部傳送數據完整性

從屬于：無其他組件。

依賴關系：無依賴關系。

FDP_DTI_EXT.2 TOE應能檢測在TOE內部不同部分間傳送數據的[選擇：修改、替換、重排、重放、刪除、延遲]等完整性錯誤，當檢測到完整性錯誤后，TOE應采取相關的動作[賦值：動作列表]。

a) 選擇一個或多個完整性錯誤類型，根據實體情況來定，如果 TOE 屬于分布式，兩個部分位于不

b) 賦值動作列表，如丟棄接收到的錯誤數據等。

7.2.7 數據傳輸保密性（FDP_DTC_EXT）

7.2.7.1 類別

所屬類別為GB/T 18336.2中定義的FDP類：用戶數據保護。

7.2.7.2 族行為

本族規定了傳輸數據的保密性，防止未授權的通信數據竊聽，主要針對敏感數據（如鑒別數據、密鑰、安全配置等）和系統重要的應用通信數據（如控制參數等）。

7.2.7.3 組件層次

FDP_DTC_EXT.1 “TOE與外部實體傳送數據保密性”，TOE應在與外部實體之間發送及接收數據時提供數據保密性保護的能力。

7.2.7.4 FDP_DTC_EXT.1、FDP_DTC_EXT.2 管理

尚無預見的管理活動。

7.2.7.5 FDP_DTC_EXT.1、FDP_DTC_EXT.2 審計

尚無預見的可審計事件。

7.2.7.6 FDP_DTC_EXT.1 TOE 與外部實體傳送數據保密性

從屬于：無其他組件。

依賴關系：無依賴關系。

FDP_DTC_EXT.1.1 當TOE與 [賦值：外部實體]傳送[賦值：數據類型]時，TOE應具備能力保護傳送數據免遭未授權泄露（如對傳送數據進行加密防護等）。

應用說明：

a) 賦值與 TOE 通信的外部實體，如果有多個，應進行識別，然后分別進行描述；

b) 本要求指通信應用層的加密防護，而 FTP_ITC.1 可信信道側重傳輸層的加密防護。

7.2.7.7 FDP_DTC_EXT.2 TOE 內部傳送數據保密性

從屬于：無其他組件。

依賴關系：無依賴關系。

FDP_DTC_EXT.2.1 TOE應保護敏感數據在TOE不同部分間傳送時不被泄露。

應用說明：

a) TOE 的不同部分物理上可以在一起或不在一起（如分布式）；

b) 可以采取加密傳輸或可信信道。

7.2.8 用戶標識（FIA_UID）

7.2.8.1 類別

所屬類別為GB/T 18336.2中定義的FIA類：標識和鑒別。

7.2.8.2 族行為

本族定義了在執行任何其他有TSF促成的、且需要用戶標識的動作前，要求用戶標識其身份的條件。對于訪問TOE的外部實體標識應具備唯一性，本族擴展了FIA_UID_EXT.3“唯一性標識”組件。

7.2.8.3 組件層次

FIA_UID_EXT.3 “唯一性標識”，TOE應在對外接口提供唯一性標識用戶的能力。

7.2.8.4 FIA_UID_EXT.3 管理

尚無預見的管理活動。

7.2.8.5 FIA_UID_EXT.3 審計

尚無預見的審計活動。

7.2.8.6 FIA_UID_EXT.3 唯一性標識

從屬于：無其他組件。
依賴關系：無。
FIA_UID_EXT.3.1 TSF 應在對外接口提供唯一性標識用戶（人員、軟件進程和設備）的能力，且標識不可被篡改和分離。

7.2.9 用戶鑒別（FIA_UAU）

7.2.9.1 類別

所屬類別為GB/T 18336.2中定義的FIA類：標識和鑒別。

7.2.9.2 族行為

本族在既有組件的基礎上，重新定義了外部實體在允許訪問TOE之前需滿足的行為活動。開發者必須制定所有外部實體列表（人員、軟件進程或設備等），并在通信前通過對任何請求訪問TOE的外部實體進行身份驗證來保護TOE，任何請求訪問TOE的外部實體，須在驗證身份后才能激活通信。

7.2.9.3 組件層次

FIA_UAU_EXT.1 “外部實體鑒別”，外部實體在被鑒別前可執行部分由TOE促成的動作列表，但若執行任何其他由TOE促成的動作前，必須成功被鑒別。

7.2.9.4 FIA_UAU_EXT.1 管理

尚無預見的管理活動。

7.2.9.5 FIA_UAU_EXT.1 審計

尚無預見的審計活動。

7.2.9.6 FIA_UAU_EXT.1 外部實體鑒別

從屬于：無其他組件。

依賴關系：無依賴關系。

FIA_UAU_EXT.1.1 在外部實體[選擇：人員、軟件進程、設備]被鑒別前，TOE 應允許執行代表外部實體的[賦值：由 TOE 促成的動作列表]。

FIA_UAU_EXT.1.2 在允許執行代表該外部實體的任何其它由 TOE 促成的動作前，TOE 應要求每個外部實體都已被成功鑒別。

應用說明：

a) 賦值動作列表可以填無或允許的動作列表；

b) 應分析和分類所有通過 TOE 外部接口與 TOE 進行交互的外部實體，分別對這些外部實體的鑒別進行說明。

7.2.10 TSF 物理保護（FPT_PHP）

7.2.10.1 類別

所屬類別為GB/T 18336.2中定義的FPT類：TSF保護。

7.2.10.2 族行為

TSF物理保護組件涉及限制對TSF進行未授權的物理訪問，以及阻止和抵抗對TSF進行未授權的物理修改或替換。

本族中組件的要求確保了TSF不被物理侵害和干擾。若滿足了這些組件要求，TSF就可以被封裝起來使用，并可檢測出物理侵害或抵抗物理侵害。如果沒有這些組件，在物理性損害無法避免的環境中，TSF的保護功能就會失效。關于TSF如何對物理侵害嘗試作出反應，本族也提供了要求。

為實現適應ICS現場環境對TOE的要求，擴展了FPT_PHP_EXT.4“物理環境要求”，FPT_PHP_EXT.5“物理篡改防護”。

7.2.10.3 組件層次

FPT_PHP_EXT.4“物理環境要求”，規定了TOE設備在ICS中應滿足的物理環境指標要求。

7.2.10.4 FPT_PHP_EXT.4、FPT_PHP_EXT.5 管理

尚無預見的管理活動。

7.2.10.5 FPT_PHP_EXT.4、FPT_PHP_EXT.5 審計

尚無預見的可審計事件。

7.2.10.6 FPT_PHP_EXT.4 物理環境要求

從屬于：無其他組件。

依賴關系：無依賴關系。

FPT_PHP_EXT.4.1 TSF 應具備符合下列標準[賦值：標準列表]中規定的[賦值：物理侵害類型]的[賦值：度量或等級]的防護能力。

應用說明：

a) 不同行業有不同的針對物理環境的要求，應賦值具體的標準，如標準 GB/T 17626 等；

b) 物理侵害類型可以包含電磁輻射、抗浪涌（沖擊）、高低溫、化學品侵害、IP 防護等等；

c) 針對每種物理侵害有些標準會規定不同的防護等級。

7.2.10.7 FPT_PHP_EXT.5 物理篡改防護

從屬于：無其他組件。
依賴關系：無依賴關系。
FPT_PHP_EXT.5.1 TOE應針對未授權的物理破壞提供物理防篡改的機制。

7.2.11 失效保護（FPT_FLS）

7.2.11.1 類別

所屬類別為GB/T 18336.2中定義的FPT類：TSF保護。

7.2.11.2 族行為

本族要求確保當TSF中已確定的失效類型出現時，該TOE總是執行它的SFR。在ICS中，當TOE失效后應當以不影響ICS系統自身的功能安全為首要目標，因此是否繼續維持執行SFR應當根據具體情況進行分析。本族擴展了組件FPT_FLS_EXT.2“確定性輸出”。

7.2.11.3 組件層次

FPT_FLS_EXT.2“確定性輸出”，要求在受到攻擊或TOE失效后正常操作不能保持時，設定輸出為預定義狀態的能力。

7.2.11.4 FPT_FLS_EXT.2 管理

FMT中的管理功能可考慮下列行為：

a）對預定義狀態的管理（添加、刪除或修改）。

7.2.11.5 FPT_FLS_EXT.2 審計

如果PP/ST中包含FAU_GEN“安全審計數據產生”，下列行為應是可審計的：

7.2.11.6 FPT_FLS_EXT.2 確定性輸出

從屬于：無其他組件。
依賴關系：無依賴關系。
FPT_FLS_EXT.2.1 TOE 在受到攻擊或失效后，如果不能維持正常操作，應輸出預先設定的安全狀態，該狀態的輸出應考慮 TOE 在工業控制系統中的應用，不應對工業控制系統的安全性和可用性造成影響。

a) 失效類型可以包括硬件故障、軟件故障、斷電等；

b) 預先設定的失敗狀態由開發者根據工業控制系統應用環境定義，如輸出保持某一狀態或某一固定值等。示例，如工控防火墻失效后輸出導通狀態或阻斷狀態等。

7.2.12 時間戳（FPT_STM）

7.2.12.1 類別

所屬類別為GB/T 18336.2中定義的FPT類：TSF保護。

7.2.12.2 族行為

本族對一個TOE內可靠的時間戳功能提出要求，ICS系統的正常運行大部分依靠時間同步服務器來同步時間，如果時間同步失敗，會影響系統的正常運行，本族擴展了組件FPT_STM_EXT.2“時間同步”。

7.2.12.3 組件層次

FPT_STM_EXT.2“時間同步”,TOE應提供可靠的時間戳，并可實現時鐘同步功能。

7.2.12.4 FPT_STM_EXT.2 管理

尚無預見的管理活動。

7.2.12.5 FPT_STM_EXT.2 審計

如果PP/ST中包含FAU_GEN“安全審計數據產生”，下列行為應是可審計的：

a) 基本級：時間同步失敗；

b) 基本級：時間源被篡改。

7.2.12.6 FPT_STM_EXT.2 時間同步

從屬于：無其他組件。

依賴關系：無依賴關系。

FPT_STM_EXT.2.1 TOE應具備同步TOE內部各部分系統時鐘的能力，并提供統一的時間基準。

FPT_STM_EXT.2.2 TOE應保護時間源防止非授權改動，一旦改動則生成審計事件。

應用說明：ICS 系統通常具備統一的時鐘源，各部分的通信需要時間同步,因此 TOE 應確保時間同步的能力。

7.2.13 資源備份（FRU_RUB_EXT）

7.2.13.1 類別

所屬類別為GB/T 18336.2中定義的FRU類：資源利用。

7.2.13.2 族行為

本族為擴展的FIA_RUB族，要求TOE設備應在不影響正常設備使用的前提下，提供關鍵文件的識別和定位，以及信息備份（包括系統狀態信息）的能力。

7.2.13.3 組件層次

FRU_RUB.EXT.1 “數據備份”，要求在不影響設備正常適應的情況下，TOE設備可對信息進行備份。

7.2.13.4 FRU_RUB_EXT.1 管理

尚無預見的管理活動。

7.2.13.5 FIA_RUB_EXT.1 審計

尚無預見的審計活動。

7.2.13.6 FRU_RUB.EXT.1 數據備份

從屬于：無其他組件。

依賴關系：無依賴關系。

FRU_RUB_EXT.1.1 TOE 設備應在不影響正常設備使用的前提下，提供關鍵文件的識別和定位，并根據可配置的頻率進行信息備份的能力