8.2　TOE安全保證要求

TOE安全保證要求組件見表4所示，下述各條對各組件給出了詳細的說明。

表4 安全保證要求組件

表4 安全保證要求組件（續）

8.2.1　部分配置管理自動化（ACM_AUT.1）

開發者行為元素：

ACM_AUT.1.1D 開發者應該使用配置管理系統。

ACM_AUT.1.2D 開發者應該提供配置管理計劃。

證據元素的內容和表示：

ACM_AUT.1.1C 配置管理系統應該能夠提供一種自動方式，通過該方式確保只能對TOE的實現表示進行已授權的改變。

ACM_AUT.1.2C 配置管理系統應該能夠提供一種自動方式來支持TOE的生成。

ACM_AUT.1.3C 配置管理計劃應該描述在配置管理系統中使用的自動工具。

ACM_AUT.1.4C 配置管理計劃應該描述在配置管理系統中如何使用自動工具。

評估者行為元素：

ACM_AUT.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.2　產生支持和接受程序（ACM_CAP.4）

開發者行為元素：

ACM_CAP.4.1D 開發者應為TOE提供一個參照號。

ACM_CAP.4.2D 開發者應使用配置管理系統。

ACM_CAP.4.3D 開發者應提供配置管理文檔。

證據元素的內容和表示：

ACM_CAP.4.1C TOE參照號對每個版本應是唯一的。

ACM_CAP.4.2C 應該給每個代碼和文檔標記上其參照號。

ACM_CAP.4.3C 配置管理文檔應包括配置清單、配置管理計劃和接受計劃。

ACM_CAP.4.4C 配置清單應描述組成代碼和文檔的配置項。

ACM_CAP.4.5C 配置管理文檔應描述對配置項進行唯一標識的方法。

ACM_CAP.4.6C 配置管理系統應唯一的標識所有配置項。

ACM_CAP.4.7C 配置管理計劃應描述配置管理系統是如何使用的。

ACM_CAP.4.8C 證據應該證明配置管理系統的運作與配置管理計劃相一致。

ACM_CAP.4.9C 配置管理文檔應提供證據證明所有的配置項都被配置管理系統有效地維護。

ACM_CAP.4.10C 配置管理系統應提供方法保證對配置項只進行授權修改。

ACM_CAP.4.11C 配置管理系統應支持TOE的產生。

ACM_CAP.4.12C 接受計劃應描述用來接受修改過的或新建的作為TOE一部分的配置項的程序。

評估者行為元素：

ACM_CAP.4.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.3　跟蹤配置管理范圍問題（ACM_SCP.2）

開發者行為元素：

ACM_SCP.2.1D 開發者應提供配置管理文檔。

證據元素的內容和表示：

ACM_SCP.2.1C 配置管理文檔應說明配置管理系統至少能跟蹤以下幾項：TOE實現表示，設計文檔，測試文檔，用戶文檔，管理員文檔，配置管理文檔和安全缺陷。

ACM_SCP.2.2C 配置管理文檔應描述配置管理系統是如何跟蹤配置項的。

評估者行為元素：

ACM_SCP.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.4　 修改監測（ADO_DEL.2）

開發者行為元素：

ADO_DEL.2.1D 開發者應將把TOE或其部分交付給用戶的程序文檔化。

ADO_DEL.2.2D 開發者應使用交付過程。

證據元素的內容和表示：

ADO_DEL.2.1C 交付文檔應描述在給用戶方分配TOE的版本時，用以維護安全所必需的所有程序。

ADO_DEL.2.2C 交付文檔應描述如何提供多種程序和技術上的措施來檢測修改，或檢測開發者的主拷貝和用戶方收到的版本之間的任何差異。

ADO_DEL.2.3C 交付文檔應描述如何使用多種程序來發現試圖偽裝成開發者，甚至是在開發者沒有向用戶方發送任何東西的情況下，向用戶方交付TOE。

評估者行為元素：

ADO_DEL.2.1E 評估者應確認所提供的信息都滿足證據的內容和形式的所有要求。

8.2.5　 安裝、生成和啟動過程（ADO_IGS.1）

開發者行為元素：

ADO_IGS.1.1D 開發者應將TOE安全地安裝、生成和啟動所必要的程序文檔化。

證據元素的內容和表示：

ADO_IGS.1.1C 文檔中應描述TOE的安全安裝、生成和啟動所必要的步驟。

評估者行為元素：

ADO_IGS.1.1E 評估者應確認所提供的信息都滿足證據的內容和形式的所有要求。

ADO_IGS.1.2E 評估者應確定安裝、生成和啟動程序最終產生了安全的配置。

8.2.6　 完全定義的外部接口（ADV_FSP.2）

開發者行為元素：

ADV_FSP.2.1D 開發者應當提供功能規范。

證據元素的內容和表示：

ADV_FSP.2.1C 功能規范應當用非形式化的風格來描述安全功能及其外部接口。

ADV_FSP.2.2C 功能規范應當是內在一致的。

ADV_FSP.2.3C 功能規范應當描述使用所有外部安全功能接口的用途與使用方法，要提供所有的影響、例外情況和錯誤消息的全部細節。

ADV_FSP.2.4C 功能規范應當完備地表示安全功能。

ADV_FSP.2.5C 功能規范應當包括安全功能是完備地表示的合理性。

評估者行為元素：

ADV_FSP.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

ADV_FSP.2.2E 評估者應決定功能規范是TOE安全功能要求的精確和完備的實例化。

8.2.7　 安全加強的高層設計（ADV_HLD.2）

開發者行為元素：

ADV_HLD.2.1D 開發者將提供安全功能的高層設計。

證據元素的內容和表示：

ADV_HLD.2.1C 高層設計的表示應當是非形式化的。

ADV_HLD.2.2C 高層設計應當是內在一致的。

ADV_HLD.2.3C 高層設計應當按子系統來描述安全功能的結構。

ADV_HLD.2.4C 高層設計應當描述安全功能的每個子系統所提供的安全功能。

ADV_HLD.2.5C 高層設計應當標識安全功能要求的任何基礎的硬件、固件和軟件，連同這些硬件、固件或軟件實現的支持性保護機制提供的功能表示。

ADV_HLD.2.6C 高層設計應當標識安全功能子系統的所有接口。

ADV_HLD.2.7C 高層設計應當標識安全功能子系統的哪些接口是外部可見的。

ADV_HLD.2.8C 高層設計應當描述安全功能子系統所有接口的用途和使用方法，并適當提供影響、例外情況和錯誤消息的細節。

ADV_HLD.2.9C 高層設計應當描述把TOE分成安全策略實施和其他子系統的這種分離。

評估者行為元素：

ADV_HLD.2.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。

ADV_HLD.2.2E 評估者應當決定功能規范是TOE安全功能要求的精確且完備的示例。

8.2.8　 安全功能實現的子集（ADV_IMP.1）

開發者行為元素：

ADV_IMP.1.1D 開發者應當為以下所選的安全功能子集提供實現表示：

a) 與TOE物理結構相關的子集：

結構組成、電氣原理圖和印制電路板（PCB）圖，包括物理防護結構；

NVM處理；

RAM存取。

b）與TOE邏輯結構相關的子集：

安全數據的檢查和處理；

用戶數據的檢查和處理。

c）與TOE提供的調試功能相關的子集：

調試功能的鎖定；

鎖定功能的配置。

d）與TOE提供的中斷和復位功能相關的子集。

證據元素的內容和表示：

ADV_IMP.1.1C 實現表示應當無歧義而且詳細地定義安全功能，使得無須進一步設計就能生成安全功能。

ADV_IMP.1.2C 實現表示應當是內在一致的。

評估者行為元素：

ADV_IMP.1.1E 評估者應當確認提供的信息滿足證據的內容和形式的所有要求。

ADV_IMP.1.2E 評估者應當決定所提供的最不抽象的安全功能表示是TOE安全功能要求的精確且完備實例化。

8.2.9　 模塊化（ADV_INT.1）

開發者行為元素：

ADV_INT.1.1D 開發者應當以模塊方式設計和構建安全功能，以避免設計模塊之間出現不必要的交互作用。

ADV_INT.1.2D 開發者應當提供結構化描述。

證據元素的內容和表示：

ADV_INT.1.1C 結構化描述應當標識安全功能的模塊。

ADV_INT.1.2C 結構化描述應當描述每個安全功能模塊的用途、接口、參數和影響。

ADV_INT.1.3C 結構化描述應當描述安全功能設計是如何使得獨立的模塊間避免不必要的交互作用。

評估者行為元素：

ADV_INT.1.1E 評估者應當確認所提供的信息滿足證據的內容和表示的所有要求。

ADV_INT.1.2E 評估者應當決定低層設計和實現表示是遵循結構化描述的。

8.2.10　描述性低層設計（ADV_LLD.1）

開發者行為元素：

ADV_LLD.1.1D 開發者應當提供安全功能的低層設計。

證據元素的內容和表示：

ADV_LLD.1.1C 低層設計的表示應當是非形式化的。

ADV_LLD.1.2C 低層設計應當是內在一致的。

ADV_LLD.1.3C 低層設計應當以模塊方式來描述安全功能。

ADV_LLD.1.4C 低層設計應當描述每個模塊的用途。

ADV_LLD.1.5C 低層設計應當依據所提供的安全功能性和對其他模塊的依賴性關系兩方面來定義模塊間的相互關系。

ADV_LLD.1.6C 低層設計應當描述每個安全策略實施功能是如何被提供的。

ADV_LLD.1.7C 低層設計應當標識安全功能模塊的所有接口。

ADV_LLD.1.8C 低層設計應當標識安全功能模塊的哪些接口是外部可見的。

ADV_LLD.1.9C 低層設計應當描述安全功能模塊的所有接口的用途與方法，適當時，應提供影響、例外情況和錯誤消息的細節。

ADV_LLD.1.10C 低層設計應當描述如何將TOE分離成安全策略實施模塊和其他模塊。

評估者行為元素：

ADV_LLD.1.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。

ADV_LLD.1.2E 評估者應當決定低層設計是TOE安全功能要求的一個精確且完備的實例化。

8.2.11　非形式化對應性論證 （ADV_RCR.1）

開發者行為元素：

ADV_RCR.1.1D 開發者應當在所提供的安全功能表示的所有相鄰對之間提供對應性分析。

證據元素的內容和表示：

ADV_RCR.1.1C 對于所提供的安全功能表示的每個相鄰對，分析應當論證，較為抽象的安全功能表示的所有相關安全功能在較不抽象的安全功能表示中得到正確且完備地細化。

評估者行為元素：

ADV_RCR.1.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.12　非形式化安全策略模型（ADV_SPM.1）

開發者行為元素：

ADV_SPM.1.1D 開發者應提供安全策略模型。

ADV_SPM.1.2D 開發者應闡明功能規范和安全策略模型之間的對應性。

證據元素的內容和表示：

ADV_SPM.1.1C 安全策略模型應當是非形式化的。

ADV_SPM.1.2C 安全策略模型應當描述所有可以模型化的安全策略的規則與特征。

ADV_SPM.1.3C 安全策略模型應當包括合理性，即論證該模型對于所有可模型化的安全策略來說是一致的，而且是完備的。

ADV_SPM.1.4C 安全策略模型和功能規范之間的對應性論證應當說明，所有功能規范中的安全功能對于安全策略模型來說是一致的，而且是完備的。

評估者行為元素：

ADV_SPM.1.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.13　管理員指南（AGD_ADM.1）

開發者行為元素：

AGD_ADM.1.1D 開發者應當提供TOE管理員指南。

證據的內容和表示元素：

AGD_ADM.1.1C 管理員指南應當描述管理員可使用的管理功能和接口。

AGD_ADM.1.2C 管理員指南應當描述如何以安全的方式管理TOE。

AGD_ADM.1.3C 管理員指南應當包含在安全處理環境中必須進行控制的功能和權限的警告。

AGD_ADM.1.4C 管理員指南應當描述所有與TOE的安全運行有關的用戶行為的假定。

AGD_ADM.1.5C 管理員指南應當描述所有受管理員控制的安全參數，合適時，應指明安全值。

AGD_ADM.1.6C 管理員指南應當描述每種與需要執行的管理功能有關的安全相關事件，包括改變安全功能所控制的改變實體的安全特性。

AGD_ADM.1.7C 管理員指南應當與為評估所提供的其他所有文檔保持一致。

AGD_ADM.1.8C 管理員指南應當為管理員描述與管理員有關的信息技術環境的所有的安全要求。

評估行為元素：

AGD_ADM.1.1E 評估者應確認所提供的信息都滿足證據的內容和形式的所有要求。

8.2.14　用戶指南（AGD_USR.1）

開發者行為元素：

AGD_USR.1.1D 開發者應當提供用戶指南。

證據的內容和表示元素：

AGD_USR.1.1C 用戶指南應該描述TOE的非管理員用戶可用的功能和接口。

AGD_USR.1.2C 用戶指南應該描述TOE提供的用戶可訪問的安全功能的用法。

AGD_USR.1.3C 用戶指南應該包含受安全處理環境中所控制的用戶可訪問的功能和權限的警告。

AGD_USR.1.4C 用戶指南應該清楚地闡述TOE安全運行中的用戶所必須負的職責，包括有關在TOE安全環境闡述中找得到的用戶行為的假設。

AGD_USR.1.5C 用戶指南應該與為評估提供的其他所有文檔保持一致。

AGD_USR.1.6C 用戶指南應該為用戶描述與用戶有關的信息技術環境的所有安全要求。

評估者行為元素：

AGD_USR.1.1E 評估者應確認所提供的信息都滿足證據的內容和形式的所有要求。

8.2.15　安全措施標識（ALC_DVS.1）

開發者行為元素：

ALC_DVS.1.1D 開發者應提供開發安全文檔。

證據元素的內容和表示：

ALC_DVS.1.1C 開發安全文檔應描述在TOE的開發環境中，用以保護TOE的設計和實現的保密性和完整性在物理、程序、人員以及其他方面必要的安全措施。

開發環境被定義為包括所有的設備，也就是對TOE開發和制造所需的設備之間的運輸和交付。

ALC_DVS.1.2C 開發安全文檔應提供開發和維護TOE時執行安全措施的證據。

評估者行為元素：

ALC_DVS.1.1E 評估者應確認所提供的信息都滿足證據的內容和形式的所有要求。

ALC_DVS.1.2E 評估者應確認確實執行了安全措施。

8.2.16　開發者定義的生命周期模型（ALC_LCD.1）

開發者行為元素：

ALC_LCD.1.1D 開發者應建立生命周期模型用于開發和維護TOE。

ALC_LCD.1.2D 開發者應提供生命周期定義文檔。

證據元素的內容和表示：

ALC_LCD.1.1C 生命周期定義文檔應描述用于開發和維護TOE的模型。

ALC_LCD.1.2C 生命周期模型應提供對TOE開發和維護的必要的控制。

評估者行為元素：

ALC_LCD.1.1E 評估者應確認所提供的信息都滿足證據的內容和形式的所有要求。

8.2.17　明確定義的開發工具（ALC_TAT.1）

開發者行為元素：

ALC_TAT.1.1D 開發者應描述用于開發TOE的工具。

ALC_TAT.1.2D 開發者應以文檔的形式描述已選擇的依賴實現的開發工具的選項。

證據元素的內容和表示：

ALC_TAT.1.1C 所有用于實現的開發工具都必須有明確定義。

ALC_TAT.1.2C 開發工具文檔應無歧義地定義實現中的每個語句的含義。

ALC_TAT 1.3C 開發工具文檔應無歧義地定義所有基于實現的選項的含義。

評估者行為元素：

ALC_TAT.1.1E 評估者應確認所提供的信息都滿足證據的內容和形式的所有要求。

8.2.18　范圍分析（ATE_COV.2）

開發者行為元素：

ATE_COV.2.1D 開發者應提供對測試覆蓋范圍的分析。

證據元素的內容和表示：

ATE_COV.2.1C 測試覆蓋范圍的分析將論證測試文檔中所標識的測試和功能規范中所描述的安全功能之間的對應性。

ATE_COV.2.2C 測試覆蓋范圍的分析將論證功能規范中所描述安全功能和測試所文檔標識的測試之間的對應性是完備的。

評估者行為元素：

ATE_COV.2.1E 評估者應確認提供的信息滿足證據的內容和形式的要求。

8.2.19　測試： 高層設計（ATE_DPT.1）

開發者行為元素：

ATE_DPT.1.1D 開發者將提供對測試深度的分析。

證據元素的內容和表示：

ATE_DPT.1.1C 深度分析應當論證測試文檔中所標識的測試足以論證該安全功能是和高層設計一致的。

評估者行為元素：

ATE_DPT.1.1E 評估者應當確定提供的信息滿足證據的內容和形式的要求。

8.2.20　功能測試（ATE_FUN.1）

開發者行為元素：

ATE_FUN.1.1D 開發者應當測試安全功能，并文檔化結果。

ATE_FUN.1.2D 開發者應提供測試文檔。

證據元素的內容和表示：

ATE_FUN.1.1C 測試文檔應當包括測試計劃、測試程序描述，預期的測試結果和實際的測試結果。

ATE_FUN.1.2C 測試計劃應當標識要測試的安全功能，描述要執行的測試目標。

ATE_FUN.1.3C 測試過程描述應當標識要執行的測試，并描述每個安全功能的測試概況。這些概況包括對于其他測試結果的順序依賴性。

ATE_FUN.1.4C 期望的測試結果應當表明成功測試運行后的預期輸出。

ATE_FUN.1.5C 開發者執行的測試的結果應當論證每個被測試的安全性功能按照規定進行運作。

評估者行為元素：

ATE_FUN.1.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.21　獨立性測試—抽樣（ATE_IND.2）

開發者行為元素：

ATE_IND.2.1D 開發者要提供被測試的TOE。

證據元素的內容和表示：

ATE_IND.2.1C TOE要與測試相適應。

ATE_IND.2.2C 開發者要提供一個與開發者的安全功能功能測試中使用的資源相當的集合。

評估者行為元素：

ATE_IND.2.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。

ATE_IND.2.2E 評估者應當適當測試一個安全功能子集，以確認TOE按照規范運行。

ATE_IND.2.3E 評估者應抽樣執行測試文檔里的測試樣本，以驗證開發者測試的結果。

8.2.22　分析確認（AVA_MSU.2）

開發者行為元素：

AVA_MSU.2.1D 開發者應提供指導性文檔。

AVA_MSU.2.2D 開發者應當文檔化對指導性文檔的分析。

證據元素的內容與表示：

AVA_MSU.2.1C 指導性文檔應該確定對TOE的所有可能的運行方式（包括失敗和操作失誤后的運行），它們的后果和對于保持安全運行的意義。

AVA_MSU.2.2C 指導性文檔應該是完整的、清晰的、一致的、合理的。

AVA_MSU.2.3C 指導性文檔應該列出所有對目標環境的假定。

AVA_MSU.2.4C 指導性文檔應該列出所有對外部安全措施（包括外部程序的、物理的或人員的控制）的要求。

AVA_MSU.2.5C 分析文檔應該論證指導性文檔是完備的。

評估者行為元素：

AVA_MSU.2.1E 評估者應當確認提供的信息滿足證據的內容和形式的所有要求。

AVA_MSU.2.2E 評估者應該重復所有配置與安裝過程以及其他選擇性過程，以確認只使用所提供的指導性文檔就可以讓TOE安全配置和使用。

AVA_MSU.2.3E 評估者應該決定使用指導性文檔能檢測到所有不安全狀態。

AVA_MSU.2.4E 評估者應該決定分析文檔說明了對于TOE的所有運行方式提供了安全運行指南。

8.2.23　安全功能強度評估（AVA_SOF.1）

開發者行為元素：

AVA_SOF.1.1D 開發者應對ST中標識的具有安全功能強度的安全機制進行TOE安全功能強度的分析。

證據元素的內容和表示：

AVA_SOF.1.1C 對于具有安全功能強度申明的安全機制，TOE安全功能強度分析應說明該機制達到或超過本標準或ST定義的最低安全功能強度。

AVA_SOF.1.2C 對于具有特定安全功能強度申明的安全機制，TOE安全功能強度分析應證明該機制達到或超過本標準或ST定義的特定安全功能強度。

評估者行為元素：

AVA_SOF.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

AVA_SOF.1.2E 評估者應確認安全功能強度聲明是正確的。

8.2.24　中級抵抗力（AVA_VLA.3）

開發者行為元素：

AVA_VLA.3.1D 開發者應當分析可交付材料，以尋找用戶違反安全策略的途徑，并將分析結果文檔化。

AVA_VLA.3.2D 開發者應當文檔化已標識的脆弱性的分布。

證據元素的內容與表示：

AVA_VLA.3.1C 對所有已標識的脆弱性，文檔應當能說明在所期望的TOE運行環境中無法利用這些脆弱性。

分析應考慮以下的一般脆弱性：

a) TOE可能遭受對內部存儲器、數據傳送機制、安全功能和測試方法的結構和內容的篡改；

b) 通過監測電路和結構間的互連，TOE的器件內信息可能受到分析；

c) TOE可能遭受到運用邏輯命令來產生導致安全脆弱性的響應；

d) TOE可能遭受到如下分析：通過監測電磁輻射去發現設備內的敏感信息，或監視，監聽，電子監測進入設備內的秘密數據；

e) TOE可能遭受在早期的同類或類似的TOE中已經標識的脆弱性。

AVA_VLA.3.2C 文檔應當證明對于具有已標識脆弱性的TOE可以抵御中級強度的穿透性攻擊。

AVA_VLA.3.3C 證據應當能說明對脆弱性的搜索是系統化的。

評估者行為元素：

AVA_VLA.3.1E 評估者應當確認提供的信息滿足證據的內容和形式的所有要求。

AVA_VLA.3.2E 評估者應當在開發方脆弱性分析的基礎上實施穿透性測試，確認開發者已經表述了明顯的脆弱性。

AVA_VLA.3.3E 評估者應當實施獨立的脆弱性分析。

AVA_VLA.3.4E 基于獨立的脆弱性分析，評估者將應當實施獨立的穿透性測試以決定在所期望環境下額外標識的脆弱性的可利用性。

AVA_VLA.3.5E 評估者應當確定TOE可以抵御具有中級攻擊能力的攻擊者發起的穿透性攻擊。