8.2　安全保障要求

8.2.1　ST引言（ASE_INT.1）

ST引言應包括：
a) 開發者行為元素：ASE_INT.1.1D 開發者應提供ST引言；
b) 內容和形式元素應包括：
1) ASE_INT.1.1C ST引言應包含ST參照號，TOE參照號，TOE概述和TOE描述；
2) ASE_INT.1.2C ST參照號應唯一標識ST；
3) ASE_INT.1.3C TOE參照號應標識TOE；
4) ASE_INT.1.4C TOE概述應概括TOE的用法及其主要安全特性；
5) ASE_INT.1.5C TOE概述應標識TOE類型；
6) ASE_INT.1.6C TOE概述應標識任何TOE要求的非TOE范圍內的硬件/軟件/固件；
7) ASE_INT.1.7C TOE描述應描述TOE的物理范圍；
8) ASE_INT.1.8C TOE描述應描述TOE的邏輯范圍。
c) 評估者行為元素應包括：
1) ASE_INT.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求；

8.2.2　安全目的（ASE_OBJ.2）

安全目的應包括：
a) 開發者行為元素應包括：
1) ASE_OBJ.2.1D 開發者應提供安全目的的陳述；
2) ASE_OBJ.2.2D 開發者應提供安全目的的基本原理。
b) 內容和形式元素應包括：
1) ASE_OBJ.2.1C 安全目的的陳述應描述TOE的安全目的和運行環境安全目的；
2) ASE_OBJ.2.2C 安全目的基本原理應追溯到TOE的每一個安全目的，以便于能追溯到安全目的所對抗的威脅及安全目的實施的組織安全策略；
3) ASE_OBJ.2.3C 安全目的基本原理應追溯到運行環境的每一個安全目的，以便于能追溯到安全目的所對抗的威脅、安全目的實施的組織安全策略和安全目的支持的假設；
4) ASE_OBJ.2.4C 安全目的基本原理應證實安全目的能抵抗所有威脅；
5) ASE_OBJ.2.5C 安全目的基本原理應證實安全目的執行所有組織安全策略；
6) ASE_OBJ.2.6C 安全目的基本原理應證實運行環境安全目的支持所有的假設。

8.2.3　符合性聲明（ASE_CCL.1）

符合性聲明應包括：
a) 開發者行為元素應包括：
1) ASE_CCL.1.1D 開發者應提供符合性聲明；
2) ASE_CCL.1.2D 開發者應提供符合性聲明的基本原理。
b) 內容和形式元素應包括：
1) ASE_CCL.1.1C ST的符合性聲明應包含GB/T 18336符合性聲明，標識出ST和TOE聲明符合性遵從的GB/T 18336的版本；
2) ASE_CCL.1.2C ST的符合性聲明應描述ST和GB/T 18336.2的符合性，無論是與GB/T 18336.2相符或是與GB/T 18336.2的擴展部分相符；
3) ASE_CCL.1.3C 符合性聲明應描述ST和GB/T 18336.3的符合性，無論是與GB/T 18336.3相符或是與GB/T 18336.3的擴展部分相符；
4) ASE_CCL.1.4C 符合性聲明應與擴展組件定義是相符的；
5) ASE_CCL.1.5C 符合性聲明應標識ST聲明遵從的所有PP和安全要求包；
6) ASE_CCL.1.6C 符合性聲明應描述ST和包的符合性，無論是與包的相符或是與擴展包相符；
7) ASE_CCL.1.7C 符合性聲明的基本原理應證實TOE類型與符合性聲明所遵從的PP中的TOE類型是相符的；
8) ASE_CCL.1.8C 符合性聲明的基本原理應證實安全問題定義的陳述與符合性聲明所遵從的PP中的安全問題定義陳述是相符的；
9) ASE_CCL.1.9C 符合性聲明的基本原理應證實安全目的陳述與符合性聲明所遵從的PP中的安全目的陳述是相符的；
10) ASE_CCL.1.10C 符合性聲明的基本原理應證實安全要求的陳述與符合性聲明所遵從的PP中的安全要求的陳述是相符的。

8.2.4　擴展組件定義（ASE_ECD.1）

擴展組件定義應包括：
a) 開發者行為元素應包括：
1) ASE_ECD.1.1D 開發者應提供安全要求的陳述；
2) ASE_ECD.1.2D 開發者應提供擴展組件的定義。
b) 內容和形式元素應包括：
1) ASE_ECD.1.1C 安全要求陳述應標識所有擴展的安全要求；
2) ASE_ECD.1.2C 擴展組件定義應為每一個擴展的安全要求定義一個擴展的組件；
3) ASE_ECD.1.3C 擴展組件定義應描述每個擴展的組件與已有組件、族和類的關聯性；
4) ASE_ECD.1.4C 擴展組件定義應使用已有的組件、族、類和方法學作為陳述的模型；
5) ASE_ECD.1.5C 擴展組件應由可測量的和客觀的元素組成，以便于證實這些元素之間的符合性或不符合性。
c) 評估者行為元素應包括：
1) ASE_ECD.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求；

8.2.5　推導出的安全要求（ASE_REQ.2）

推導出的安全要求應包括：
a) 開發者行為元素應包括：
1) ASE_REQ.2.1D 開發者應提供安全要求的陳述；
2) ASE_REQ.2.2D 開發者應提供安全要求的基本原理。
b) 內容和形式元素應包括：
1) ASE_REQ.2.1C 安全要求的陳述應描述安全功能要求和安全保障要求；
2) ASE_REQ.2.2C 應對安全功能要求和安全保障要求中使用的所有主體、客體、操作、安全屬性、外部實體及其它術語進行定義；
3) ASE_REQ.2.3C 安全要求的陳述應對安全要求的所有操作進行標識；
4) ASE_REQ.2.4C 所有操作應被正確地執行；
5) ASE_REQ.2.5C 應滿足安全要求間的依賴關系，或者安全要求基本原理應證明不需要滿足某個依賴關系；
6) ASE_REQ.2.6C 安全要求基本原理應描述每一個安全功能要求可追溯至對應的TOE安全目的；
7) ASE_REQ.2.7C 安全要求基本原理應證明安全功能要求可滿足所有的TOE安全目的；
8) ASE_REQ.2.8C 安全要求基本原理應說明選擇安全保障要求的理由；
9) ASE_REQ.2.9C 安全要求的陳述應是內在一致的。

8.2.6　安全問題定義（ASE_SPD.1）

安全問題定義應包括：
a) 開發者行為元素：ASE_SPD.1.1D 開發者應提供安全問題定義。
b) 內容和形式元素應包括：
1) ASE_SPD.1.1C 安全問題定義應描述威脅；
2) ASE_SPD.1.2C 所有的威脅都應根據威脅主體、資產和敵對行為進行描述；
3) ASE_SPD.1.3C 安全問題定義應描述組織安全策略；
4) ASE_SPD.1.4C 安全問題定義應描述TOE運行環境的相關假設。

8.2.7　TOE概要規范（ASE_TSS.1）

TOE概要規范應包括：
a) 開發者行為元素：ASE_TSS.1.1D 開發者應提供TOE概要規范。
b) 內容和形式元素：ASE_TSS.1.1C TOE概要規范應描述TOE是如何滿足每一項安全功能要求的。
c) 評估者行為元素應包括：
1) ASE_TSS.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求；

8.2.8　安全架構描述（ADV_ARC.1）

安全架構描述應包括：
a) 開發者行為元素應包括：
1) ADV_ARC.1.1D 開發者應設計并實現TOE,確保TSF的安全特性不可旁路；
2) ADV_ARC.1.2D 開發者應設計并實現TSF，以防止不可信主體的破壞；
3) ADV_ARC.1.3D 開發者應提供TSF安全架構的描述。
b) 內容和形式元素應包括：
1) ADV_ARC.1.1C 安全架構的描述應與在TOE設計文檔中對SFR-執行的抽象描述的級別一致；
2) ADV_ARC.1.2C 安全架構的描述應描述與安全功能要求一致的TSF安全域；
3) ADV_ARC.1.3C 安全架構的描述應描述TSF初始化過程為何是安全的；
4) ADV_ARC.1.4C 安全架構的描述應論證TSF可防止被破壞；
5) ADV_ARC.1.5C 安全架構的描述應論證TSF可防止SFR-執行的功能被旁路。

8.2.9　完備的功能規范（ADV_FSP.4）

完備的功能規范應包括：
a) 開發者行為元素應包括：
1) ADV_FSP.4.1D 開發者應提供一個功能規范；
2) ADV_FSP.4.2D 開發者應提供功能規范到安全功能要求的追溯。
b) 內容和形式元素應包括：
1) ADV_FSP.4.1C 功能規范應完全描述TSF；
2) ADV_FSP.4.2C 功能規范應描述所有的TSFI的目的和使用方法；
3) ADV_FSP.4.3C 功能規范應識別和描述每個TSFI相關的所有參數；
4) ADV_FSP.4.4C 對于每個SFR-執行TSFI，功能規范應描述TSFI相關的所有行為；
5) ADV_FSP.4.5C 功能規范應描述可能由每個TSFI的調用而引起的所有直接錯誤消息；
6) ADV_FSP.4.6C 功能規范應論證安全功能要求到TSFI的追溯。
c) 評估者行為元素應包括：
1) ADV_FSP.4.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求；

8.2.10　TSF實現表示（ADV_IMP.1）

TSF實現表示應包括：
a) 開發者行為元素應包括：
1) ADV_IMP.1.1D 開發者應為全部TSF提供實現表示；
2) ADV_IMP.1.2D 開發者應提供TOE設計描述與實現表示實例之間的映射。
b) 內容和形式元素應包括：
1) ADV_IMP.1.1C實現表示應按詳細級別定義TSF，且詳細程度達到無須進一步設計就能生成TSF的程度；
2) ADV_IMP.1.2C 實現表示應以開發人員使用的形式提供；
3) ADV_IMP.1.3C TOE設計描述與實現表示示例之間的映射應能證明它們的一致性。

8.2.11　基礎模塊設計（ADV_TDS.3）

基礎模塊設計應包括：
a) 開發者行為元素應包括：
1) ADV_TDS.3.1D 開發者應提供TOE的設計；
2) ADV_TDS.3.2D 開發者應提供從功能規范的TSFI到TOE設計中獲取到的最低層分解的映射。
b) 內容和形式元素應包括：
1) ADV_TDS.3.1C 設計應根據子系統描述TOE的結構；
2) ADV_TDS.3.2C 設計應根據模塊描述TSF；
3) ADV_TDS.3.3C 設計應標識TSF的所有子系統；
4) ADV_TDS.3.4C 設計應描述每一個TSF子系統；
5) ADV_TDS.3.5C 設計應描述TSF所有子系統間的相互作用；
6) ADV_TDS.3.6C 設計應提供TSF子系統到TSF模塊間的映射關系；
7) ADV_TDS.3.7C 設計應描述每一個SFR-執行模塊，包括它的目的及與其它模塊間的相互作用；
8) ADV_TDS.3.8C 設計應描述每一個SFR-執行模塊，包括它的安全功能要求相關接口、其它接口的返回值、與其它模塊間的相互作用及調用的接口；
9) ADV_TDS.3.9C 設計應描述每一個SFR-支撐或SFR-無關模塊，包括它的目的及與其它模塊間的相互作用；
10) ADV_TDS.3.10C 映射關系應論證TOE設計中描述的所有行為能夠映射到調用它的TSFI。
c) 評估者行為元素應包括：
1) ADV_TDS.3.1E 評估者應確認提供的信息滿足證據的內容與形式的所有要求；

8.2.12　操作用戶指南（AGD_OPE.1）

操作用戶指南應包括：
a) 開發者行為元素：AGD_OPE.1.1D 開發者應提供操作用戶指南。
b) 內容和形式元素應包括：
1) AGD_OPE.1.1C 操作用戶指南應對每一種用戶角色進行描述，在安全處理環境中應被控制的用戶可訪問的功能和特權，包含適當的警示信息；
2) AGD_OPE.1.2C 操作用戶指南應對每一種用戶角色進行描述，怎樣以安全的方式使用TOE提供的可用接口；
3) AGD_OPE.1.3C 操作用戶指南應對每一種用戶角色進行描述，可用功能和接口，尤其是受用戶控制的所有安全參數，適當時應指明安全值；
4) AGD_OPE.1.4C 操作用戶指南應對每一種用戶角色明確說明，與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變TSF所控制實體的安全特性；
5) AGD_OPE.1.5C 操作用戶指南應標識TOE運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關系和聯系；
6) AGD_OPE.1.6C 操作用戶指南應對每一種用戶角色進行描述，為了充分實現ST中描述的運行環境安全目的所必須執行的安全策略；
7) AGD_OPE.1.7C 操作用戶指南應是明確和合理的。

8.2.13　準備程序（AGD_PRE.1）

準備程序應包括：
a) 開發者行為元素：AGD_PRE.1.1D 開發者應提供TOE，包括它的準備程序。
b) 內容和形式元素應包括：
1) AGD_PRE.1.1C 準備程序應描述與開發者交付程序相一致的安全接收所交付TOE必需的所有步驟；
2) AGD_PRE.1.2C 準備程序應描述安全安裝TOE以及安全準備與ST中描述的運行環境安全目的一致的運行環境必需的所有步驟。
c) 評估者行為元素應包括：
1) AGD_PRE.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求；

8.2.14　生產支持和接受程序及其自動化（ALC_CMC.4）

生產支持和接受程度及其自動化應包括：
a) 開發者行為元素應包括：
1) ALC_CMC.4.1D 開發者應提供TOE及其參照號；
2) ALC_CMC.4.2D 開發者應提供CM文檔；
3) ALC_CMC.4.3D 開發者應使用CM系統。
b) 內容和形式元素應包括：
1) ALC_CMC.4.1C 應給TOE標記唯一參照號；
2) ALC_CMC.4.2C CM文檔應描述用于唯一標識配置項的方法；
3) ALC_CMC.4.3C CM系統應唯一標識所有配置項；
4) ALC_CMC.4.4C CM系統應提供自動化的措施使得只能對配置項進行授權變更；
5) ALC_CMC.4.5C CM系統應以自動化的方式支持TOE的生產；
6) ALC_CMC.4.6C CM文檔應包括CM計劃；
7) ALC_CMC.4.7C CM計劃應描述CM系統是如何應用于TOE的開發的；
8) ALC_CMC.4.8C CM計劃應描述用來接受修改過的或新創建的作為TOE組成部分的配置項的程序；
9) ALC_CMC.4.9C 證據應論證所有配置項都正在CM系統下進行維護；
10) ALC_CMC.4.10C 證據應論證CM系統的運行與CM計劃是一致的。

8.2.15　問題跟蹤CM覆蓋（ALC_CMS.4）

問題跟蹤CM覆蓋應包括：
a) 開發者行為元素：ALC_CMS.4.1D 開發者應提供TOE配置項列表。
b) 內容和形式元素應包括：
1) ALC_CMS.4.1C 配置項列表應包括：TOE本身、安全保障要求的評估證據、TOE的組成部分、實現表示和安全缺陷報告及其解決狀態；
2) ALC_CMS.4.2C 配置項列表應唯一標識配置項；
3) ALC_CMS.4.3C 對于每一個TSF相關的配置項，配置項列表應簡要說明該配置項的開發者。

8.2.16　交付程序（ALC_DEL.1）

支付程序應包括：
a) 開發者行為元素應包括：
1) ALC_DEL.1.1D 開發者應將把TOE或其部分交付給消費者的程序文檔化；
2) ALC_DEL.1.2D 開發者應使用交付程序。
b) 內容和形式元素：ALC_DEL.1.1C 交付文檔應描述，在向消費者分發TOE版本時，用以維護安全性所必需的所有程序。

8.2.17　安全措施標識（ALC_DVS.1）

安全措施標識應包括：
a) 開發者行為元素：ALC_DVS.1.1D 開發者應提供開發安全文檔。
b) 內容和形式元素：ALC_DVS.1.1C 開發安全文檔應描述在TOE的開發環境中，保護TOE設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的及其它方面的安全措施。
c) 評估者行為元素應包括：
1) ALC_DVS.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求；

8.2.18　開發者定義的生命周期模型（ALC_LCD.1）

開發者定義的生命周期模型應包括：
a) 開發者行為元素應包括：
1) ALC_LCD.1.1D 開發者應建立一個生命周期模型，用于TOE的開發和維護；
2) ALC_LCD.1.2D 開發者應提供生命周期定義文檔。
b) 內容和形式元素應包括：
1) ALC_LCD.1.1C 生命周期定義文檔應描述用于開發和維護TOE的模型；
2) ALC_LCD.1.2C 生命周期模型應為TOE的開發和維護提供必要的控制。

8.2.19　明確定義的開發工具（ALC_TAT.1）

明確定義的開發工具應包括：
a) 開發者行為元素應包括：
1) ALC_TAT.1.1D 開發者應標識用于開發TOE的每個工具；
2) ALC_TAT.1.2D 開發者應在文檔中描述每個開發工具所選取的實現依賴選項。
b) 內容和形式元素應包括：
1) ALC_TAT.1.1C 用于實現的每個開發工具都應是明確定義的；
2) ALC_TAT.1.2C 每個開發工具的文檔應無歧義地定義所有語句和實現用到的所有協定與命令的含義；
3) ALC_TAT.1.3C 每個開發工具的文檔應無歧義地定義所有實現依賴選項的含義。

8.2.20　覆蓋分析（ATE_COV.2）

覆蓋分析：
a) 開發者行為元素：ATE_COV.2.1D 開發者應提供對測試覆蓋的分析。
b) 內容和形式元素應包括：
1) ATE_COV.2.1C 測試覆蓋分析應論證測試文檔中的測試與功能規范中TSF接口之間的對應性；
2) ATE_COV2.2C 測試覆蓋分析應論證已經對功能規范中的所有TSF接口都進行了測試。

8.2.21　測試：安全執行模塊（ATE_DPT.2）

測試：安全執行模塊應包括：
a) 開發者行為元素：ATE_DPT.2.1D 開發者應提供測試深度分析。
b) 內容和形式元素應包括：
1) ATE_DPT.2.1C 深度測試分析應論證測試文檔中的測試與TOE設計中的TSF子系統、SFR-執行模塊之間的一致性；
2) ATE_DPT.2.2C 測試深度分析應論證TOE設計中的所有TSF子系統都已經進行過測試；
3) ATE_DPT.2.3C 測試深度分析應論證TOE設計中的SFR-執行模塊都已經進行過測試。

8.2.22　功能測試（ATE_FUN.1）

功能測試應包括：
a) 開發者行為元素應包括：
1) ATE_FUN.1.1D 開發者應測試TSF，并文檔化測試結果；
2) ATE_FUN.1.2D 開發者應提供測試文檔。
b) 內容和形式元素應包括：
1) ATE_FUN.1.1C 測試文檔應包括測試計劃、預期的測試結果和實際的測試結果；
2) ATE_FUN.1.2C 測試計劃應標識要執行的測試并描述執行每個測試的方案，這些方案應包括對于其它測試結果的任何順序依賴性；
3) ATE_FUN.1.3C 預期的測試結果應指出測試成功執行后的預期輸出；
4) ATE_FUN.1.4C 實際的測試結果應和預期的測試結果一致。

8.2.23　獨立測試—抽樣（ATE_IND.2）

獨立測試—抽樣應包括：
a) 開發者行為元素：ATE_IND.2.1D 開發者應提供用于測試的TOE。
b) 內容和形式元素應包括：
1) ATE_IND.2.1C TOE應適合測試；
2) ATE_IND.2.2C 開發者應提供一組與開發者TSF功能測試中同等的一系列資源。
c) 評估者行為元素應包括：
1) ATE_IND.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求；
2) ATE_IND.2.2E 評估者應執行測試文檔中的測試樣本，以驗證開發者的測試結果；

8.2.24　系統的脆弱性分析（AVA_VAN.4）

系統的脆弱性分析包括：
a) 開發者行為元素：AVA_VAN.4.1D 開發者應提供用于測試的TOE。
b) 內容和形式元素：AVA_VAN.4.1C TOE應適合測試。
c) 評估者行為元素應包括：
1) AVA_VAN.4.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求；
2) AVA_VAN.4.2E 評估者應執行公共領域的調查以標識TOE的潛在脆弱性；
3) AVA_VAN.4.3E 評估者應針對TOE執行獨立的、系統的脆弱性分析去標識TOE潛在的脆弱性，在分析過程中使用指導性文檔、功能規范、TOE設計、安全結構描述和實現表示；