8.1 安全功能要求

8.1.1　安全審計

安全審計功能包括識別、記錄、存儲和分析那些與安全相關活動有關的信息。安全審計有助于監測與安全有關的事件，并能對安全侵害起到威懾作用。與安全審計功能相關的子功能包括安全審計事件的記錄、安全審計記錄的查閱、安全審計記錄的存儲和安全審計事件的分析。

8.1.1.1　安全審計事件記錄

與安全審計事件記錄相關的安全功能組件包括：FAU_GEN.1、FAU_GEN.2和FAU_SEL.1。
a) 組件FAU_GEN.1用于定義用于審計的安全事件，對ICS系統重要或相關的事件應該被審計，但考慮到審計活動會影響到ICS的性能，因此開發者在考慮審計事件列表時，應考慮通常公認和被接受的清單和配置指南。
b) 組件FAU_GEN.1可被執行反復操作，記錄網絡狀態數據（如MAC、IP、端口、協議等）和數據流等信息用于監視異常事件的出現。
c) 組件FAU_GEN.2僅適用于處理單個用戶身份級別上可審計事件的責任追溯，對于基于用戶角色和用戶組的訪問方式不適用本組件。

8.1.1.2　安全審計事件查閱

與安全審計事件查閱相關的安全功能組件包括：FAU_SAR.1、FAU_SAR.2、FAU_SAR.3和FAU_SAR_EXT.4。
a) 組件FAU_SAR.1應授權讀取審計記錄的角色，如管理員或審計員，安全角色需在FMT_SMR.1中進行定義。
b) 組件FAU_SAR.2應除被授權角色外，默認設置拒絕所有用戶訪問。
c) 組件FAU_SAR.3可對所記錄的審計事件進行選擇性查閱，便于對可疑事件進行統計和定位。

8.1.1.3　安全審計事件存儲

與安全審計事件存儲相關的安全功能組件包括：FAU_STG.1、FAU_STG.2、FAU_STG.3和FAU_STG.4。
a) 組件FAU_STG.1和FAU_STG.2定義防止審計跡中審計記錄的未授權修改或刪除。
b) 組件FAU_STG.3和FAU_STG.4定義在發生失效事件時應確保審計記錄的可用性。開發者應根據實際情況對TOE進行賦值。
8.1.1.4　安全審計事件分析
與安全審計事件分析相關的安全功能組件包括：FAU_ARP.1、FAU_SAA.1、FAU_SAA.3、FAU_SAA_EXT.5和FAU_SAA_EXT.6。
a) 組件FAU_ARP.1用于定義安全告警的方式，如聲音、屏幕提示、鎖定登錄等。
b) 組件FAU_SAA.1、FAU_SAA.3和FAU_SAA_EXT.5采用了不同的規則來監視審計事件的異常，開發者根據實際情況進行選擇和賦值。典型異常事件包括用戶異常登錄次數超過限值、網絡流量異常、控制數據修改異常、惡意代碼或異常進程啟動等。

8.1.2　標識和鑒別

為防止外部實體未授權的登錄、訪問TOE，對要保護的資產造成破壞，TOE應具備標識鑒別功能。開發者應根據TOE運行環境和威脅分析情況，在TOE的所有外部接口上考慮標識和鑒別機制的應用。

8.1.2.1　外部實體標識

TOE在對外部實體進行鑒別前，應首先具備對其進行標識的能力，尤其是需要在TOE進行注冊的用戶，與外部實體標識相關的安全功能組件包括：FIA_UID.1、FIA_UID.2、FIA_UID_EXT.3和FIA_ATD.1。
a) 組件FIA_UID.1和FIA_UID.2定義在TOE對外部實體執行仲裁動作前，如允許建立通信連接前、可執行有效鑒別前，需要對外部實體進行成功標識。
b) 組件FIA_UID_EXT.3要求外部實體標識應具備唯一性。

8.1.2.2　外部實體鑒別

對外部實體進行安全鑒別可防止未授權的訪問，與鑒別相關的安全功能組件包括：FIA_UAU_EXT.1、FIA_UAU.5、FIA_UAU.6和FIA_AFL.1。
a) 組件FIA_UAU_EXT.1定義了外部實體在訪問或登錄TOE前應成功完成鑒別。外部實體可包含人類用戶、軟件進程或設備等，因此識別和梳理需要進行鑒別的實體是必須的。
b) 組件FIA_UAU.5定義了可實現多重鑒別機制，常用的鑒別機制分為基于密碼、PIN等（你所知道的）、基于令牌、智能卡等（你所擁有的）和基本生物特征的（你所具備的），如果采取其中兩種或三種可選擇該組件。
c) 組件FIA_UAU.6定義需要重新鑒別的條件，如在用戶長時間未活動退出或鎖屏等。

8.1.2.3　鑒別數據的保護

鑒別數據在TOE中屬于敏感數據，一旦被竊取利用將會對資產產生破壞，因此應確保鑒別數據在傳輸和存儲時的安全。與鑒別數據保護相關的安全功能組件包括：FIA_UAU.3、FIA_UAU.4、FIA_UAU.7、FTP_TRP.1和FDP_SDC_EXT.1。
a) 組件FIA_UAU.3和FIA_UAU.4防止鑒別機制被偽造和重用。
b) 組件FIA_UAU.7定義用戶在輸入鑒別數據時應被保護。

8.1.2.4　鑒別數據的強度

與鑒別數據的強度相關的安全功能組件包括：FIA_SOS.1。

8.1.3　訪問控制

訪問控制策略包括訪問控制策略和信息流訪問控制策略，訪問控制策略控制范圍包括策略控制下的主體、策略控制下的客體以及策略所涵蓋受控主體和受控客體間的操作。信息流控制策略控制范圍包括策略控制下的主體、策略控制下的信息以及策略所涵蓋的引起受控信息流入、流出受控主體的操作。每一種策略應采用唯一的名稱，可通過組件的反復操作來實現多個策略的定義。相關的安全功能組件包括：FDP_ACC.1、FDP_ACC.2、FDP_ACF.1、FDP_IFC.1、FDP_IFC.2和FDP_IFF.1。
a) 組件FDP_ACC.1、FDP_ACC.2和FDP_ACF.1用來建立訪問控制策略和訪問控制功能，訪問控制策略可以是基于用戶角色、用戶組、物理位置、時間等屬性建立，每個不同的策略應分別命名，用戶角色應在FMT_SMR.1中定義，安全屬性的管理應在FMT_MSA族中進行定義。

8.1.4　會話安全

建立和維護用戶會話的安全可以防止會話劫持、并發會話占用TOE資源等事件。與會話建立和管理相關的安全功能組件包括：FTA_TSE.1、FTA_LSA.1、FTA_MCS.1、FTA_SSL.1、FTA_SSL.2、FTA_SSL.3、FTA_SSL.4、FTA_TAB.1和FTA_TAH.1。
a) 組件FTA_TSE.1和FTA_LSA.1定義建立會話連接的安全，屬于訪問控制策略的一種，建立基于會話屬性的會話建立機制。
b) 組件FTA_MCS.1限制同一用戶的并發會話數量，可防止發生資源耗盡的DoS。
c) 組件FTA_SSl.1和FTA_SSl.3定義了TOE鎖定和終止會話的要求，在工業控制系統中不是所有情況下都可以采用該要求，對于操作員站的監控軟件，由于要確保業務的連續性，即使操作員不動作也不應對會話進行鎖定和終止，因此TOE為了確保安全，應假定運行環境的安全來抵御預期的威脅。
d) 組件FTA_SSl.2和FTA_SSl.4定義了用戶鎖定和終止會話的要求。

8.1.5　安全通信

與TOE的通信一般包括用戶與TOE的通信、外部IT實體與TOE的通信和TOE內部各部分間的通信。

8.1.5.1　可信路徑/信道

TOE可支持在用戶與TOE之間建立可信路徑以及TOE和外部IT實體間建立可信信道的要求，可信路徑和信道具備通信完整性和保密性要求，且提供通信兩端端點身份的抗抵賴性。相關的安全功能組件包括：FTP_ITC.1和FTP_TRP.1。

8.1.5.2　通信完整性

如TOE不具備滿足可信路徑或通道的條件，應通過TOE實現通信數據完整性的保護。相關的安全功能組件包括：FDP_DTI.1和FDP_DTI.2。

8.1.5.3　通信保密性

如TOE不具備滿足可信路徑或通道的條件，應通過TOE實現通信數據保密性的保護。相關的安全功能組件包括：FDP_DTC.1和FDP_DTC.2。

8.1.5.4　重放檢測

TOE應能對各種類型實體（如消息、服務請求、服務應答）的重放進行檢測，并在檢測到重放后采取一定的措施進行保護。與重放檢測相關的安全功能組件包括：FPT_RPL.1。

8.1.5.5　狀態和時間同步

分布式TOE由于存在TOE各部分間潛在的狀態差別及通信延遲等問題，因此需要在通信時實現狀態和時間同步的要求。相關的安全功能組件包括：FPT_SSP.1、FPT_SSP.2和FPT_STM_EXE.2。
a) 組件FPT_SSP.1和FPT_SSP.2定義TOE不同部分間通信時應對請求進行回執，以確保各部分狀態保持一致。

8.1.6　數據/代碼保護

本部分包括了存儲數據的完整性和保密性保護，軟件/固件等的完整性保護，輸入數據的安全防護及殘余信息的防護。

8.1.6.1　完整性保護

要求TOE在初始階段、運行階段或更新階段可以對固件、可執行代碼、關鍵配置數據等的完整性錯誤進行檢測，相關的安全功能組件包括：FDP_SDI_EXT.1。

8.1.6.2　輸入數據保護

用戶在輸入數據時，應避免數據的不合法、超限等錯誤，且必要時需要雙重確認和動作的回退等。相關的安全功能組件包括：FDP_IDP_EXT.1、FDP_IDP_EXT.2和FDP_ROL.1。
a) 組件FDP_IDP_EXT.1可對輸入數據的合法性和安全性進行檢測。
b) 組件FDP_IDP_EXT.2要求對輸入的數據執行雙重確認操作。

8.1.6.3　殘余信息防護

要求確保當資源從一個客體釋放并重新分配給另一個客體時，其中的任何數據均不可用。相關的安全功能組件包括：FDP_RIP.1。

8.1.7　加密

當TOE具備加密運算模塊及數據簽名的生成和驗證時，應考慮密鑰管理和密碼運算的功能，相關的安全功能組件包括：FCS_CKM.1、FCS_CKM.2、FCS_CKM.3、FCS_CKM.4和FCS_COP.1。在使用密碼技術時應遵循密碼相關標準和行業密碼標準的規定。

8.1.8　安全管理

TOE的安全管理功能不是一個獨立的功能，管理操作與其他安全功能都相關，如安全角色的定義，與安全審計、身份鑒別、訪問控制的功能的用戶角色都相關，安全管理功能涉及安全角色的定義，安全管理功能的定義，安全屬性的管理、TSF數據的管理等。
a) 與安全管理角色相關的安全組件FMT_SMR.1可以定義TOE設計到的安全角色，如管理員、審計員、操作員、工程師、普通用戶等角色。

8.1.9　資源可用性

TOE應確保在受到攻擊（如DoS）或設備失效后仍能維持基本功能運行的能力。相關的功能包括物理防護、失效防護、TOE測試、備份與恢復及資源利用等。

8.1.9.1　物理防護

TOE應限制未授權的物理訪問，以及阻止和抵抗對TOE進行未授權的物理修改或替換。相關的安全功能組件包括：FPT_PHP.1、FPT_PHP.2、FPT_PHP.3、FPT_PHP_EXT.4和FPT_PHP_EXT.5。
a) 組件FPT_PHP.1、FPT_PHP.2和FPT_PHP.3定義了物理防護檢測的能力。
b) 組件FPT_PHP_EXT.4定義了物理環境適應性要求。

8.1.9.2　失效防護

TOE在發生設備失效后應能導向安全狀態，該安全狀態應以維持工業控制系統基本功能的運行為目的。相關的安全功能組件為FPT_FLS_EXT.2 確定性輸出。

8.1.9.3　TOE測試

TOE應在設備最初的啟動、正常運行期間或授權用戶要求下來檢測所依托的外部環境或實體的正確性以及TOE自身的正確性和完整性。相關的安全功能組件包括：FPT_TEE.1和FPT_TST.1。

8.1.9.4　備份與恢復

為保證系統的可用性，TOE應具備資源備份及可信恢復的能力，相關的安全功能組件包括：FIA_RUB_EXT.1和FPT_RCV族。

8.1.9.5　資源利用

為防止TOE在發生DoS攻擊時資源被耗盡，TOE應具備服務優先級和資源合理分配的能力，相關的安全功能組件包括FRU_PRS族和FRU_RSA族