8.2　安全保障要求

8.2　安全保障要求

8.2.1　安全架構描述（ADV_ARC.1）

開發者行為元素：
ADV_ARC.1.1D 開發者應設計并實現TOE,確保TSF的安全特性不可旁路。
ADV_ARC.1.2D 開發者應設計并實現TSF，以防止不可信主體的破壞。
ADV_ARC.1.3D 開發者應提供TSF安全架構的描述。
內容和形式元素：
ADV_ARC.1.1C 安全架構的描述應與在TOE設計文檔中對SFR-執行的抽象描述的級別一致。
ADV_ARC.1.2C 安全架構的描述應描述與安全功能要求一致的TSF安全域。
ADV_ARC.1.3C 安全架構的描述應描述TSF初始化過程為何是安全的。
ADV_ARC.1.4C 安全架構的描述應論證TSF可防止被破壞。
ADV_ARC.1.5C 安全架構的描述應論證TSF可防止SFR-執行的功能被旁路。
評估者行為元素：

8.2.2　完備的功能規范（ADV_FSP.4）

開發者行為元素：
ADV_FSP.4.1D 開發者應提供一個功能規范。
ADV_FSP.4.2D 開發者應提供功能規范到安全功能要求的追溯。
內容和形式元素：
ADV_FSP.4.1C 功能規范應完全描述TSF。
ADV_FSP.4.2C 功能規范應描述所有的TSFI的目的和使用方法。
ADV_FSP.4.3C 功能規范應識別和描述每個TSFI相關的所有參數。
ADV_FSP.4.4C 對于每個SFR-執行TSFI，功能規范應描述TSFI相關的所有行為。
ADV_FSP.4.5C 功能規范應描述可能由每個TSFI的調用而引起的所有直接錯誤消息。
ADV_FSP.4.6C 功能規范應論證安全功能要求到TSFI的追溯。
評估者行為元素：
ADV_FSP.4.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.3　附加錯誤信息的完備的半形式化功能規范（ADV_FSP.5）

開發者行為元素：
ADV_FSP.5.1D 開發者應提供一個功能規范。
ADV_FSP.5.2D 開發者應提供功能規范到安全功能要求的追溯。
證據的內容和形式元素：
ADV_FSP.5.1C 功能規范應完全描述TSF。
ADV_FSP.5.2C 功能規范應用半形式化方式描述TSFI。
ADV_FSP.5.3C 功能規范應描述所有的TSFI的目的和使用方法。
ADV_FSP.5.4C 功能規范應識別和描述每個TSFI相關的所有參數。
ADV_FSP.5.5C 功能規范應描述每個TSFI相關的所有行為。
ADV_FSP.5.6C 功能規范應描述可能由每個TSFI的調用引起的所有直接錯誤消息。
ADV_FSP.5.7C 功能規范應描述不是由TSFI調用而引起的所有錯誤消息。
ADV_FSP.5.8C 功能規范應為每個包含在TSF實現中但不是由TSFI調用而引起的錯誤消息提供基本原理。
ADV_FSP.5.9C 功能規范應論證安全功能要求到TSFI的追溯。
評估者行為元素：
ADV_FSP.5.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.4　TSF實現表示（ADV_IMP.1）

開發者行為元素：
ADV_IMP.1.1D 開發者應為全部TSF提供實現表示。
ADV_IMP.1.2D 開發者應提供TOE設計描述與實現表示實例之間的映射。
內容和形式元素：
ADV_IMP.1.1C實現表示應按詳細級別定義TSF，且詳細程度達到無須進一步設計就能生成TSF的程度。
ADV_IMP.1.2C 實現表示應以開發人員使用的形式提供。
ADV_IMP.1.3C TOE設計描述與實現表示示例之間的映射應能證明它們的一致性。
評估者行為元素：

8.2.5　TSF實現表示完全映射（ADV_IMP.2）

開發者行為元素
ADV_IMP.2.1D 開發者應為全部TSF提供實現表示。
ADV_IMP.2.2D開發者應提供TOE設計描述與全部實現表示之間的映射。
證據的內容和形式元素
ADV_IMP.2.1C 實現表示應按詳細級別定義TSF，且詳細程度達到無須進一步設計就能生成TSF的程度。
ADV_IMP.2.2C 實現表示應以開發人員使用的形式提供。
ADV_IMP.2.3C TOE設計描述與全部實現表示之間的映射應證明它們的一致性。
評估者行為元素

8.2.6　內部結構合理（ADV_INT.2）

開發者行為元素：
ADV_INT.2.1D 開發者應設計和實現整個TSF，使其內部結構合理。
ADV_INT.2.2D 開發者應提供內部描述和理由。
內容和形式元素：
ADV_INT.2.1C 理由應描述用于判定“結構合理”的含義的特性。
ADV_INT.2.2C TSF內部描述應證明指定的整個TSF結構合理。
評估者行為元素：
ADV_INT.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.7　內部復雜度最小化（ADV_INT.3）

開發者行為元素：
ADV_INT.3.1D 開發者應設計和實現整個TSF，使內部結構合理。
ADV_INT.3.2D 開發者應提供內部描述和理由。
內容和形式元素：
ADV_INT.3.1C 理由應解釋描述用于判定“結構合理”及復雜性的含義的特性。
ADV_INT.3.2C TSF內部描述應證明指定的整個TSF結構合理且不過于復雜。
評估者行為元素：
ADV_INT.3.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.8　形式化TOE安全策略模型（ADV_SPM.1）

開發者行為元素：
ADV_SPM.1.1D 開發者應提供一個形式化的安全策略模型[賦值：被形式化模型化的策略列表]。
ADV_SPM.1.2D 對于形式化安全策略模型覆蓋的每個策略，該模型應標識構成這一策略的安全功能要求聲明的有關部分。
ADV_SPM.1.3D 開發者應提供該模型與形式化功能規范的對應性的形式化證明。
ADV_SPM.1.4D 開發者應提供該模型與功能規范的對應性的論證。
內容和形式元素：
ADV_SPM.1.1C 該模型應是形式化的，必要時輔以解釋性的文字，并且標識模型化的TSF安全策略。
ADV_SPM.1.2C 對于所有被模型化的策略，模型定義該TOE的安全，提供該TOE 不能達到非安全狀態的形式化證明。
ADV_SPM.1.3C 該模型與功能規范的一致性應采用正確的形式化級別進行論述。
ADV_SPM.1.4C 該對應性應表明功能規范相對該模型是一致的和完備的。
評估者行為元素：

8.2.9　基本模塊設計（ADV_TDS.3）

開發者行為元素：
ADV_TDS.3.1D 開發者應提供TOE的設計。
ADV_TDS.3.2D 開發者應提供從功能規范的TSFI到TOE設計中獲取到的最低層分解的映射。
內容和形式元素：
ADV_TDS.3.1C 設計應根據子系統描述TOE的結構。
ADV_TDS.3.2C 設計應根據模塊描述TSF。
ADV_TDS.3.3C 設計應標識TSF的所有子系統。
ADV_TDS.3.4C 設計應描述每一個TSF子系統。
ADV_TDS.3.5C 設計應描述TSF所有子系統間的相互作用。
ADV_TDS.3.6C 設計應提供TSF子系統到TSF模塊間的映射關系。
ADV_TDS.3.7C 設計應描述每一個SFR-執行模塊，包括它的目的及與其它模塊間的相互作用。
ADV_TDS.3.8C 設計應描述每一個SFR-執行模塊，包括它的安全功能要求相關接口、其它接口的返回值、與其它模塊間的相互作用及調用的接口。
ADV_TDS.3.9C 設計應描述每一個SFR-支撐或SFR-無關模塊，包括它的的目的及與其它模塊間的相互作用。
ADV_TDS.3.10C 映射關系應論證TOE設計中描述的所有行為能夠映射到調用它的TSFI。
評估者行為元素：
ADV_TDS.3.1E 評估者應確認提供的信息滿足證據的內容與形式的所有要求。

8.2.10　半形式化模塊設計（ADV_TDS.4）

開發者行為元素：
ADV_TDS.4.1D 開發者應提供TOE的設計。
ADV_TDS.4.2D 開發者應提供從功能規范的TSFI到TOE設計中獲取到的最低層分解的映射。
內容和形式元素：
ADV_TDS.4.1C 設計應根據子系統描述TOE的結構。
ADV_TDS.4.2C 設計應根據模塊描述TSF，以SFR-執行、SFR-支撐或SFR-無關標出每一個模塊。
ADV_TDS.4.3C 設計應標識TSF的所有子系統。
ADV_TDS.4.4C 設計應提供每一個TSF子系統的半形式化描述，適當時配以非形式化的、解釋性的描述。
ADV_TDS.4.5C 設計應描述TSF所有子系統間的相互作用。
ADV_TDS.4.6C 設計應提供TSF子系統到TSF模塊間的映射關系。
ADV_TDS.4.7C 設計應描述每一個SFR-執行和SFR-支撐模塊，包括它的目的及與其它模塊間的相互作用。
ADV_TDS.4.8C 設計應描述每一個SFR-執行和SFR-支撐模塊，包括它的安全功能要求相關接口、其它接口的返回值、與其它模塊間的相互作用及調用的接口。
ADV_TDS.4.9C 設計應描述每一個SFR-支撐和SFR-無關模塊，包括它的的目的及與其它模塊間的相互作用。
ADV_TDS.4.10C映射關系應論證TOE設計中描述的所有行為能夠映射到調用它的TSFI。
評估者行為元素：
ADV_TDS.4.1E評估者應確認提供的信息滿足證據的內容與形式的所有要求。

8.2.11　完全半形式化模塊設計（ADV_TDS.5）

開發者行為元素：
ADV_TDS.5.1D 開發者應提供TOE的設計。
ADV_TDS.5.2D 開發者應提供從功能規范的TSFI到TOE設計中獲取到的最低層分解的映射。
內容和形式元素：
ADV_TDS.5.1C 設計應根據子系統描述TOE的結構。
ADV_TDS.5.2C 設計應從模塊的角度描述TSF，把每個模塊指定為SFR-執行、SFR-支撐或SFR-無關。
ADV_TDS.5.3C 設計應標識TSF的所有子系統。
ADV_TDS.5.4C 設計應提供每一個TSF子系統的半形式化描述，適當時配以非形式化的、解釋性的描述。
ADV_TDS.5.5C 設計應描述TSF所有子系統間的相互作用。
ADV_TDS.5.6C 設計應提供TSF子系統到TSF模塊間的映射關系。
ADV_TDS.5.7C 設計應為每一個模塊提供一個半形式化描述，包括它的目的、相互作用、接口、其它接口的返回值、被其它模塊調用的接口，適當時配以非形式化的、解釋性的描述。
ADV_TDS.5.8C 映射關系應證明TOE設計中描述的所有行為能夠映射到調用它的TSFI。
評估者行為元素：
ADV_TDS.5.1E 評估者應確認提供的信息滿足證據的內容與形式的所有要求。

8.2.12　操作用戶指南（AGD_OPE.1）

開發者行為元素：
AGD_OPE.1.1D 開發者應提供操作用戶指南。
內容和形式元素：
AGD_OPE.1.1C 操作用戶指南應對每一種用戶角色進行描述，在安全處理環境中應被控制的用戶可訪問的功能和特權，包含適當的警示信息。
AGD_OPE.1.2C 操作用戶指南應對每一種用戶角色進行描述，怎樣以安全的方式使用TOE提供的可用接口。
AGD_OPE.1.3C 操作用戶指南應對每一種用戶角色進行描述，可用功能和接口，尤其是受用戶控制的所有安全參數，適當時應指明安全值。
AGD_OPE.1.4C 操作用戶指南應對每一種用戶角色明確說明，與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變TSF所控制實體的安全特性。
AGD_OPE.1.5C 操作用戶指南應標識TOE運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關系和聯系。
AGD_OPE.1.6C 操作用戶指南應對每一種用戶角色進行描述，為了充分實現ST中描述的運行環境安全目的所必須執行的安全策略。
AGD_OPE.1.7C 操作用戶指南應是明確和合理的。
評估者行為元素：

8.2.13　準備程序（AGD_PRE.1）

開發者行為元素：
AGD_PRE.1.1D 開發者應提供TOE，包括它的準備程序。
內容和形式元素：
AGD_PRE.1.1C 準備程序應描述與開發者交付程序相一致的安全接收所交付TOE必需的所有步驟。
AGD_PRE.1.2C 準備程序應描述安全安裝TOE以及安全準備與ST中描述的運行環境安全目的一致的運行環境必需的所有步驟。
評估者行為元素：
AGD_PRE.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.14　生產支持和接受程序及其自動化（ALC_CMC.4）

開發者行為元素：
ALC_CMC.4.1D 開發者應提供TOE及其參照號。
ALC_CMC.4.2D 開發者應提供CM文檔。
ALC_CMC.4.3D 開發者應使用CM系統。
內容和形式元素：
ALC_CMC.4.1C 應給TOE標記唯一參照號。
ALC_CMC.4.2C CM文檔應描述用于唯一標識配置項的方法。
ALC_CMC.4.3C CM系統應唯一標識所有配置項。
ALC_CMC.4.4C CM系統應提供自動化的措施使得只能對配置項進行授權變更。
ALC_CMC.4.5C CM系統應以自動化的方式支持TOE的生產。
ALC_CMC.4.6C CM文檔應包括CM計劃。
ALC_CMC.4.7C CM計劃應描述CM系統是如何應用于TOE的開發的。
ALC_CMC.4.8C CM計劃應描述用來接受修改過的或新創建的作為TOE組成部分的配置項的程序。
ALC_CMC.4.9C 證據應論證所有配置項都正在CM系統下進行維護。
ALC_CMC.4.10C 證據應論證CM系統的運行與CM計劃是一致的。
評估者行為元素：

8.2.15　高級支持（ALC_CMC.5）

開發者行為元素：
ALC_CMC.5.1D 開發者應提供TOE及其參照號。
ALC_CMC.5.2D 開發者應提供CM文檔。
ALC_CMC.5.3D 開發者應使用CM系統。
內容和形式元素：
ALC_CMC.5.1C 應給TOE標記唯一參照號。
ALC_CMC.5.2C CM文檔應描述用于唯一標識配置項的方法。
ALC_CMC.5.3C CM文檔應論證接受程序對所有配置項的變更都提供了充分且適當的復查。
ALC_CMC.5.4C CM系統應唯一標識所有配置項。
ALC_CMC.5.5C CM系統應提供自動化的措施使得只能對配置項進行授權改變。
ALC_CMC.5.6C CM系統應以自動化的方式支持TOE的生產。
ALC_CMC.5.7C CM系統應確保負責將某個配置項接受到CM中的人不是開發此配置項的人。
ALC_CMC.5.8C CM系統應標識組成TSF的配置項。
ALC_CMC.5.9C CM系統應以自動化的方式支持TOE所有變化的審計，審計跡中要包括源發者、日期和時間等信息。
ALC_CMC.5.10C CM系統應提供自動化的方式標識受已給定配置項的變化影響的所有其它配置項。
ALC_CMC.5.11C CM系統應能標識用于生成TOE的實現表示的版本。
ALC_CMC.5.12C CM文檔應包括CM計劃。
ALC_CMC.5.13C CM計劃應描述CM系統是如何應用于TOE開發過程。
ALC_CMC.5.14C CM計劃應描述用來接受修改過的或新創建的作為TOE組成部分的配置項的程序。
ALC_CMC.5.15C 證據應論證所有配置項都正在CM系統下進行維護。
ALC_CMC.5.16C 證據應論證CM系統的運行與CM計劃是一致的。
評估者行為元素：
ALC_CMC.5.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.16　問題跟蹤CM覆蓋（ALC_CMS.4）

開發者行為元素：
ALC_CMS.4.1D 開發者應提供TOE配置項列表。
內容和形式元素：
ALC_CMS.4.1C 配置項列表應包括：TOE本身、安全保障要求的評估證據、TOE的組成部分、實現表示和安全缺陷報告及其解決狀態。
ALC_CMS.4.2C 配置項列表應唯一標識配置項。
ALC_CMS.4.3C 對于每一個TSF相關的配置項，配置項列表應簡要說明該配置項的開發者。
評估者行為元素：

8.2.17　開發工具CM覆蓋（ALC_CMS.5）

開發者行為元素：
ALC_CMS.5.1D 開發者應提供TOE配置項列表。
內容和形式元素：
ALC_CMS.5.1C 配置項列表應包括：TOE本身、安全保障要求的評估證據、TOE的組成部分、實現表示、安全缺陷報告及其解決狀態、開發工具及其相關信息。
ALC_CMS.5.2C 配置項列表應唯一標識配置項。
ALC_CMS.5.3C 對于每一個TSF相關的配置項，配置項列表應簡要說明該配置項的開發者。
評估者行為元素：

8.2.18　交付程序（ALC_DEL.1）

開發者行為元素：
ALC_DEL.1.1D 開發者應將把TOE或其部分交付給消費者的程序文檔化。
ALC_DEL.1.2D 開發者應使用交付程序。
內容和形式元素：
ALC_DEL.1.1C 交付文檔應描述，在向消費者分發TOE版本時，用以維護安全性所必需的所有程序。
評估者行為元素：

8.2.19　安全措施標識（ALC_DVS.1）

開發者行為元素：
ALC_DVS.1.1D 開發者應提供開發安全文檔。
內容和形式元素：
ALC_DVS.1.1C 開發安全文檔應描述在TOE的開發環境中，保護TOE設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的及其它方面的安全措施。
評估者行為元素：
ALC_DVS.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.20　充分的安全措施（ALC_DVS.2）

開發者行為元素：
ALC_DVS.2.1D 開發者應提供開發安全文檔。
內容和形式元素
ALC_DVS.2.1C 開發安全文檔應描述在TOE的開發環境中，保護TOE設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的及其它方面的安全措施。
ALC_DVS.2.2C 開發安全文檔應論證安全措施提供了必需的保護級別以維護TOE的保密性和完整性。
評估者行為元素：
ALC_DVS.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.21　基本的缺陷糾正（ALC_FLR.1）

開發者行為元素：
ALC_FLR.1.1D 開發者應文檔化缺陷糾正程序并提交給TOE開發者。
內容和形式元素：
ALC_FLR.1.1C 缺陷糾正程序文檔應描述用于跟蹤每一個TOE發布版本中所有已報告安全缺陷的程序。
ALC_FLR.1.2C 缺陷糾正程序應要求描述所提供的每個安全缺陷的性質和影響，以及缺陷修正的情況。
ALC_FLR.1.3C 缺陷糾正程序應要求標識對每一個安全缺陷所采取的修正動作。
ALC_FLR.1.4C 缺陷糾正程序文檔應描述用于提供缺陷信息、修正物和修正動作指南給TOE用戶的方法。
評估者行為元素：

8.2.22　開發者定義的生命周期模型 （ALC_LCD.1）

開發者行為元素：
ALC_LCD.1.1D 開發者應建立一個生命周期模型，用于TOE的開發和維護。
ALC_LCD.1.2D 開發者應提供生命周期定義文檔。
內容和形式元素：
ALC_LCD.1.1C 生命周定義文檔應描述用于開發和維護TOE的模型。
ALC_LCD.1.2C 生命周期模型應為TOE的開發和維護提供必要的控制。
評估者行為元素：

8.2.23　明確定義的開發工具（ALC_TAT.1）

開發者行為元素：
ALC_TAT.1.1D 開發者應標識用于開發TOE的每個工具。
ALC_TAT.1.2D 開發者應在文檔中描述每個開發工具所選取的實現依賴選項。
內容和形式元素：
ALC_TAT.1.1C 用于實現的每個開發工具都應是明確定義的。
ALC_TAT.1.2C 每個開發工具的文檔應無歧義地定義所有語句和實現用到的所有協定與命令的含義。
ALC_TAT.1.3C 每個開發工具的文檔應無歧義地定義所有實現依賴選項的含義。
評估者行為元素：

8.2.24　遵從實現標準（ALC_TAT.2）

開發者行為元素：
ALC_TAT.2.1D 開發者應標識用于開發TOE的每個工具。
ALC_TAT.2.2D 開發者應在文檔中描述每個開發工具所選取的實現依賴選項。
ALC_TAT.2.3D 開發者應描述開發者所使用的實現標準。
內容和形式元素：
ALC_TAT.2.1C 用于實現的每個開發工具都應是明確定義的。
ALC_TAT.2.2C 每個開發工具的文檔應無歧義地定義所有語句的含義，以及實現用到的所有協定與指令。
ALC_TAT.2.3C 每個開發工具的文檔應無歧義地定義所有實現依賴選項的含義。
評估者行為元素：
ALC_TAT.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.25　遵從實現標準—所有部分（ALC_TAT.3）

開發者行為元素：
ALC_TAT.3.1D 開發者應標識用于開發TOE的每個工具。
ALC_TAT.3.2D 開發者應在文檔中描述每個開發工具所選取的實現依賴選項。
ALC_TAT.3.3D 開發者應描述開發者和任何TOE所有部分的第三方提供商所使用的實現標準。
內容和形式元素：
ALC_TAT.3.1C 用于實現的每個開發工具都應是明確定義的。
ALC_TAT.3.2C 每個開發工具的文檔應無歧義地定義所有語句和實現用到的所有協定與命令的含義。
ALC_TAT.3.3C 每個開發工具的文檔應無歧義地定義所有實現依賴選項的含義。
評估者行為元素：
ALC_TAT.3.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.26　符合性聲明（ASE_CCL.1）

開發者行為元素：
ASE_CCL.1.1D 開發者應提供符合性聲明。
ASE_CCL.1.2D 開發者應提供符合性聲明的基本原理。
內容和形式元素：
ASE_CCL.1.1C ST的符合性聲明應包含GB/T 18336符合性聲明，標識出ST和TOE聲明符合性遵從的GB/T 18336的版本。
ASE_CCL.1.2C ST的符合性聲明應描述ST和GB/T 18336.2的符合性，無論是與GB/T 18336.2相符或是與GB/T 18336.2的擴展部分相符。
ASE_CCL.1.3C 符合性聲明應描述ST和GB/T 18336.3的符合性，無論是與GB/T 18336.3相符或是與GB/T 18336.3的擴展部分相符。
ASE_CCL.1.4C 符合性聲明應與擴展組件定義是相符的。
ASE_CCL.1.5C 符合性聲明應標識ST聲明遵從的所有PP和安全要求包。
ASE_CCL.1.6C 符合性聲明應描述ST和包的符合性，無論是與包的相符或是與擴展包相符。
ASE_CCL.1.7C 符合性聲明的基本原理應證實TOE類型與符合性聲明所遵從的PP中的TOE類型是相符的。
ASE_CCL.1.8C 符合性聲明的基本原理應證實安全問題定義的陳述與符合性聲明所遵從的PP中的安全問題定義陳述是相符的。
ASE_CCL.1.9C 符合性聲明的基本原理應證實安全目的陳述與符合性聲明所遵從的PP中的安全目的陳述是相符的。
ASE_CCL.1.10C 符合性聲明的基本原理應證實安全要求的陳述與符合性聲明所遵從的PP中的安全要求的陳述是相符的。
評估者行為元素：

8.2.27　擴展組件定義（ASE_ECD.1）

開發者行為元素：
ASE_ECD.1.1D 開發者應提供安全要求的陳述。
ASE_ECD.1.2D 開發者應提供擴展組件的定義。
內容和形式元素：
ASE_ECD.1.1C 安全要求陳述應標識所有擴展的安全要求。
ASE_ECD.1.2C 擴展組件定義應為每一個擴展的安全要求定義一個擴展的組件。
ASE_ECD.1.3C 擴展組件定義應描述每個擴展的組件與已有組件、族和類的關聯性。
ASE_ECD.1.4C 擴展組件定義應使用已有的組件、族、類和方法學作為陳述的模型。
ASE_ECD.1.5C 擴展組件應由可測量的和客觀的元素組成，以便于證實這些元素之間的符合性或不符合性。
評估者行為元素：
ASE_ECD.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.28　ST引言（ASE_INT.1）

開發者行為元素：
ASE_INT.1.1D 開發者應提供ST引言。
內容和形式元素：
ASE_INT.1.1C ST引言應包含ST參照號，TOE參照號，TOE概述和TOE描述。
ASE_INT.1.2C ST參照號應唯一標識ST。
ASE_INT.1.3C TOE參照號應標識TOE。
ASE_INT.1.4C TOE概述應概括TOE的用法及其主要安全特性。
ASE_INT.1.5C TOE概述應標識TOE類型。
ASE_INT.1.6C TOE概述應標識任何TOE要求的非TOE范圍內的硬件/軟件/固件。
ASE_INT.1.7C TOE描述應描述TOE的物理范圍。
ASE_INT.1.8C TOE描述應描述TOE的邏輯范圍。
評估者行為元素：
ASE_INT.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.29　安全目的（ASE_OBJ.2）

開發者行為元素：
ASE_OBJ.2.1D 開發者應提供安全目的的陳述。
ASE_OBJ.2.2D 開發者應提供安全目的的基本原理。
內容和形式元素：
ASE_OBJ.2.1C 安全目的的陳述應描述TOE的安全目的和運行環境安全目的。
ASE_OBJ.2.2C 安全目的基本原理應追溯到TOE的每一個安全目的，以便于能追溯到安全目的所對抗的威脅及安全目的實施的組織安全策略。
ASE_OBJ.2.3C 安全目的基本原理應追溯到運行環境的每一個安全目的，以便于能追溯到安全目的所對抗的威脅、安全目的實施的組織安全策略和安全目的支持的假設。
ASE_OBJ.2.4C 安全目的基本原理應證實安全目的能抵抗所有威脅。
ASE_OBJ.2.5C 安全目的基本原理應證實安全目的執行所有組織安全策略。
ASE_OBJ.2.6C 安全目的基本原理應證實運行環境安全目的支持所有的假設。
評估者行為元素：

8.2.30　推導出的安全要求（ASE_REQ.2）

開發者行為元素：
ASE_REQ.2.1D 開發者應提供安全要求的陳述。
ASE_REQ.2.2D 開發者應提供安全要求的基本原理。
內容和形式元素：
ASE_REQ.2.1C 安全要求的陳述應描述安全功能要求和安全保障要求。
ASE_REQ.2.2C 應對安全功能要求和安全保障要求中使用的所有主體、客體、操作、安全屬性、外部實體及其它術語進行定義。
ASE_REQ.2.3C 安全要求的陳述應對安全要求的所有操作進行標識。
ASE_REQ.2.4C 所有操作應被正確地執行。
ASE_REQ.2.5C 應滿足安全要求間的依賴關系，或者安全要求基本原理應證明不需要滿足某個依賴關系。
ASE_REQ.2.6C 安全要求基本原理應描述每一個安全功能要求可追溯至對應的TOE安全目的。
ASE_REQ.2.7C 安全要求基本原理應證明安全功能要求可滿足所有的TOE安全目的。
ASE_REQ.2.8C 安全要求基本原理應說明選擇安全保障要求的理由。
ASE_REQ.2.9C 安全要求的陳述應是內在一致的。
評估者行為元素：

8.2.31　安全問題定義（ASE_SPD.1）

開發者行為元素：
ASE_SPD.1.1D 開發者應提供安全問題定義。
內容和形式元素：
ASE_SPD.1.1C 安全問題定義應描述威脅。
ASE_SPD.1.2C 所有的威脅都應根據威脅主體、資產和敵對行為進行描述。
ASE_SPD.1.3C 安全問題定義應描述組織安全策略。
ASE_SPD.1.4C 安全問題定義應描述TOE運行環境的相關假設。
評估者行為元素：

8.2.32　TOE概要規范（ASE_TSS.1）

開發者行為元素：
ASE_TSS.1.1D 開發者應提供TOE概要規范。
內容和形式元素：
ASE_TSS.1.1C TOE概要規范應描述TOE是如何滿足每一項安全功能要求的。
評估者行為元素：
ASE_TSS.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

8.2.33　覆蓋分析（ATE_COV.2）

開發者行為元素：
ATE_COV.2.1D 開發者應提供對測試覆蓋的分析。
內容和形式元素：
ATE_COV.2.1C 測試覆蓋分析應論證測試文檔中的測試與功能規范中TSF接口之間的對應性。
ATE_COV2.2C 測試覆蓋分析應論證已經對功能規范中的所有TSF接口都進行了測試。
評估者行為元素：

8.2.34　嚴格覆蓋分析（ATE_COV.3）

開發者行為元素：
ATE_COV3.1D 開發者應提供對測試覆蓋的分析。
內容和形式元素：
ATE_COV3.1C測試覆蓋分析應論證測試文檔中的測試與功能規范中TSF接口之間的對應性。
ATE_COV3.2C測試覆蓋分析應論證已經對功能規范中的所有TSF接口進行了完全地測試。
評估者行為元素：

8.2.35　測試：安全執行模塊（ATE_DPT.2）

開發者行為元素：
ATE_DPT.2.1D 開發者應提供測試深度分析。
內容和形式元素：
ATE_DPT.2.1C 深度測試分析應論證測試文檔中的測試與TOE設計中的TSF子系統、SFR-執行模塊之間的一致性。
ATE_DPT.2.2C 測試深度分析應論證TOE設計中的所有TSF子系統都已經進行過測試。
ATE_DPT.2.3C 測試深度分析應論證TOE設計中的SFR-執行模塊都已經進行過測試。
評估者行為元素：

8.2.36　測試：模塊設計（ATE_DPT.3）

開發者行為元素：
ATE_DPT.3.1D 開發者應提供測試深度分析。
內容和形式元素：
ATE_DPT.3.1C 深度測試分析應論證測試文檔中的測試與TOE設計中的TSF子系統、模塊之間的一致性。
ATE_DPT.3.2C 測試深度分析應論證TOE設計中的所有TSF子系統都已經進行過測試。
ATE_DPT.3.3C 測試深度分析應論證TOE設計中的所有TSF模塊都已經進行過測試。
評估者行為元素：

8.2.37　功能測試（ATE_FUN.1）

開發者行為元素：
ATE_FUN.1.1D 開發者應測試TSF，并文檔化測試結果。
ATE_FUN.1.2D 開發者應提供測試文檔。
內容和形式元素：
ATE_FUN.1.1C 測試文檔應包括測試計劃、預期的測試結果和實際的測試結果。
ATE_FUN.1.2C 測試計劃應標識要執行的測試并描述執行每個測試的方案，這些方案應包括對于其它測試結果的任何順序依賴性。
ATE_FUN.1.3C 預期的測試結果應指出測試成功執行后的預期輸出。
ATE_FUN.1.4C 實際的測試結果應和預期的測試結果一致。
評估者行為元素：

8.2.38　順序的功能測試（ATE_FUN.2）

開發者行為元素：
ATE_FUN.2.1D開發者應測試TSF，并文檔化測試結果。
ATE_FUN.2.2D開發者應提供測試文檔。
內容和形式元素：
ATE_FUN.2.1C測試文檔應包括測試計劃、預期的測試結果和實際的測試結果。
ATE_FUN.2.2C 測試計劃應標識要執行的測試和描述執行每個測試的方案，這些方案應包括對于其它測試結果的任何順序依賴性。
ATE_FUN.2.3C預期的測試結果應指出測試成功執行后的預期輸出。
ATE_FUN.2.4C實際的測試結果應和預期的測試結果一致。
ATE_FUN.2.5C測試文檔應包含測試步驟順序依賴性的一個分析。
評估者行為元素：

8.2.39　獨立測試—抽樣（ATE_IND.2）

開發者行為元素：
ATE_IND.2.1D 開發者應提供用于測試的TOE。
內容和形式元素：
ATE_IND.2.1C TOE應適合測試。
ATE_IND.2.2C 開發者應提供一組與開發者TSF功能測試中同等的一系列資源。
評估者行為元素：
ATE_IND.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
ATE_IND.2.2E 評估者應執行測試文檔中的測試樣本，以驗證開發者的測試結果。

8.2.40　系統的脆弱性分析（AVA_VAN.4）

開發者行為元素：
AVA_VAN.4.1D 開發者應提供用于測試的TOE。
內容和形式元素：
AVA_VAN.4.1C TOE應適合測試。
評估者行為元素：
AVA_VAN.4.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
AVA_VAN.4.2E 評估者應執行公共領域的調查以標識TOE的潛在脆弱性。
AVA_VAN.4.3E 評估者應針對TOE執行獨立的、系統的脆弱性分析去標識TOE潛在的脆弱性，在分析過程中使用指導性文檔、功能規范、TOE設計、安全結構描述和實現表示。

8.2.41　高級的系統的脆弱性分析（AVA_VAN.5）

開發者行為元素：
AVA_VAN.5.1D 開發者應提供用于測試的TOE。
內容和形式元素：
AVA_VAN.5.1C TOE應適合測試。
評估者行為元素：
AVA_VAN.5.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。
AVA_VAN.5.2E 評估者應執行公共領域的調查以標識TOE的潛在脆弱性。
AVA_VAN.5.3E 評估者應針對TOE執行獨立的、系統的脆弱性分析去標識TOE潛在的脆弱性，在分析過程中使用指導性文檔、功能規范、TOE設計、安全結構描述和實現表示。