5.1 安全技術保障概述

信息系統安全保障評估框架-安全技術保障主要用于評估信息系統中系統級的技術框架和技術解決方案，即對信息技術系統（信息技術系統：作為信息系統一部分的執行組織機構信息功能的用于采集、創建、通信、計算、分發、處理、存儲和/或控制數據或信息的計算機硬件、軟件和/或固件的任何組合）進行評估。在信息系統安全保障評估框架的技術、管理和工程保障中，安全技術保障同GB/T 18336 信息技術安全性評估準則間有著最直接和緊密的關系；信息系統安全保障評估準的技術框架和技術解決方案直接建立在經過GB/T 18336準則評估認可的產品和產品系統之上。
在信息系統安全保障評估框架安全技術保障中，它的評估對象TOE是構成信息系統的所有計算機硬件、軟件和/或固件的任何組合。信息系統安全保障評估框架安全技術保障，首先要求信息系統的用戶為其評估對象TOE（即信息技術系統）完善其技術體系結構建設過程，建立其信息技術系統的技術體系結構；在完成其信息技術系統技術體系結構后，然后基于此技術體系結構，對信息技術系統進行高層分析和確定相關安全目的；最后用桂范化的安全技術保障控制組類進行描述。

5.1.1　安全技術體系架構能力級

技術體系結構建設過程，是組織機構根據其策略的要求和風險評估的結果，參考相關技術體系結構的標準和最佳實踐，結合組織機構信息技術系統的具體現狀和需求，建立的符合組織機構信息技術系統戰略發展規劃的信息技術系統整體體系框架；它是組織機構信息技術系統戰略管理的具體體現。技術體系架構能力是組織機構執行安全技術整體能力的放映，它反映了組織機構在執行信息安全技術體系框架管理達到預定的成本、功能和質量目標上的度量。

5.1.2　安全技術保障控制要求范例

本條描述本標準中安全技術保障控制要求所使用的范例。圖1和圖2描述了范例的一些關鍵概念。本條為這些圖和圖中沒有的其它關鍵概念提供文字描述。所討論的關鍵概念以粗斜體突出表示。
.

本標準是一個可為評估對象（TOE）規定安全功能要求的目錄。TOE是包含電子存儲媒體（如磁盤）、外設（如打印機）和計算能力（如CPU時間）等資源的IT產品或系統（同時帶有用戶和管理員指南文檔），可用于處理和存儲信息，是評估的對象。
.
TOE評估主要關系到：確保對TOE資源執行了規定的TOE安全策略（TSP）。TSP定義了一些規則，通過這些規則TOE 支配對其資源的訪問，這樣TOE就控制了所有信息和服務。
.
而TSP又由多個安全功能策略（SFP）所構成。每一SFP有其控制范圍，定義該SFP控制下的主體、客體和操作。SFP由安全功能（SF）實現，SF的機制執行該策略并提供必要的能力。
.

為正確執行TSP而必須依賴的TOE中的那些部分，統稱為TOE安全功能（TSF）。TSF包括實施安全所直接或間接依賴的TOE中的所有軟件、硬件和固件。

參照監視器是實施TOE的訪問控制策略的抽象機。*參照確認機制 *是參照監視器概念的實現，它具有以下特性：防篡改、一直運行、簡單到能對其進行徹底的分析和測試。TSF可能包括一個參照確認機制或TOE運行所需要的其它安全功能。

TOE可能是一個包含硬件、固件和軟件的單個產品， 也可能是一個分布式產品，內部包括多個單獨的部分，每一部分都為TOE提供一個特別的服務，并且通過一個內部通信信道與TOE其它部分相連接。該信道可以與處理器總線一樣小，也可能包含TOE的一個內部網絡。

當TOE由多個部分組成時，TOE的每一部分可擁有自己的TSF部分，此部分通過內部通信信道與TSF的其它部分交換用戶數據和TSF數據。這種交互稱為TOE內部傳輸。在這種情況下，這些TSF的分離部分抽象地形成一個復合的TSF來實施TSP。

TOE接口可能限于特定的TOE使用，也可能允許通過外部通信信道與其它IT產品交互。這些與其它IT產品的外部交互可以采取兩種形式：

a) “遠程可信IT產品”的安全策略和本地TOE的TSP已在管理上進行了協調和評估。這種情況下的信息交換稱為TSF間傳輸，如同它們是在不同可信產品的TSF之間。
b) 遠程IT產品可能沒有被評估，因此它的安全策略是未知的，如圖1.2中所示的“不可信IT產品”。這種情況下的信息交換稱為TSF控制外傳輸，如同在遠程IT產品中沒有TSF（或它的策略特性未知）。
可與TOE或在TOE中發生的并服從TSP規則的交互集合稱為TSF控制范圍（TSC）。TSC包括一組根據主體、客體和TOE內的操作定義的交互集，但不必包括TOE的所有資源。
一組交互式(人機接口)或編程 (應用編程接口)接口，通過它，TSF訪問、調配TOE資源，或者從TSF中獲取信息，稱為TSF接口（TSFI）。TSFI定義了為執行TSP而提供的TOE功能的邊界。
.
用戶在TOE的外部，因此也在TSC的外部。但為請求TOE執行服務，用戶要通過TSFI和TOE 交互。本標準安全功能要求關心兩種用戶：人類用戶和外部IT實體。人類用戶進一步分為本地人類用戶，他們通過TOE設備（如工作站）直接與TOE交互，或遠程人類用戶，他們通過其它IT產品間接與TOE交互。
用戶和TSF間的一段交互期稱為用戶會話。可以根據各種考慮來控制用戶會話的建立，如：用戶鑒別、時段、訪問TOE的方法和每個用戶允許的并發會話數。
本標準使用術語“已授權”來表示用戶具有執行某種操作所必需的權力或特權。因此術語“授權用戶”表示允許用戶執行TSP定義的操作。
.
為表達需要管理員責任分離的要求，本標準相關的安全功能組件（來自子類FMT_SMR）明確說明要求管理性角色。角色是預先定義的一組規則，這些規則建立起用戶和TOE間所允許的交互。TOE可以支持定義任意數目的角色。例如，與TOE安全運行相關的角色可能包括“審計管理員”和“用戶帳號管理員”。
TOE包括可用于處理和存儲信息的資源。TSF的主要目標是完全并正確地對TOE所控制的資源和信息執行TSP。
TOE資源能以多種方式結構化和利用。但是，本標準作出了特殊區分，以允許規定所期望的安全特性。所有由資源產生的實體能以兩種方式中的一種來表征：實體可能是主動的，意指他們是TOE內部行為發生的原因，并導致對信息執行操作；實體也可能是被動的，意指他們是發出信息或存入信息的容器。
主動的實體稱為主體。TOE內可能存在以下幾種類型的主體：
a) 代表授權用戶，遵從TSP所有規則的那些實體（例如：UNIX進程）；
b) 作為特定功能進程，可以輪流代表多個用戶的那些實體 (例如：在客戶/服務器結構中可能找到的功能)；
c) 作為TOE自身一部分的那些實體（例如：可信進程）。
本標準所述的安全功能針對上述列出的各種主體執行TSP。
被動實體（即信息存儲器）在本標準中被稱作“客體”。客體是可以由主體執行操作的對象。在一個主體（主動實體）是某個操作的對象（例如進程間通信）的情況下，該主體也可以作為客體。
客體可以包含信息。在FDP類中說明信息流控制策略時，需要這個概念。
用戶、主體、信息和客體具有確定的屬性，這些屬性包括使TOE正確運轉的信息。有些屬性，可能只是提示性信息（即，增加TOE的用戶友好性），如文件名，而另一些屬性，可能專為執行TSP而存在，如訪問控制信息，后面這些屬性通常稱為“安全屬性”。在本標準中，屬性一詞將用作“安全屬性”的簡稱，除非另有說明。但正如TSP規定的那樣，無論屬性信息的預期目的如何，對屬性加以控制還是必要的。
TOE中的數據分為用戶數據和TSF數據，圖3表明了這種關系。用戶數據是存儲在TOE資源中的信息，用戶可以根據TSP對其進行操作，而TSF對它們并不附加任何特殊的意義。例如，電子郵件消息的內容是用戶數據。TSF數據是在進行TSP決策時TSF使用的信息。如果TSP允許的話，TSF數據可以受用戶的影響。安全屬性、鑒別數據以及訪問控制表都是TSF數據的例子。
有幾個用于數據保護的SFP，諸如訪問控制SFP和信息流控制SFP。實現訪問控制SFP的機制，是基于控制范圍內的主體屬性、客體屬性和操作來決定建立他們的策略，這些屬性用于控制主體可以對客體執行操作的規則集中。
實現信息流控制SFP的機制，是基于控制范圍內的主體和信息的屬性以及制約主體對信息操作的一組規則來決定他們的策略。信息的屬性，可能與容器屬性相關聯（也可能沒有關聯，如多級數據庫），在信息移動時與其相隨。
.

本標準涉及的兩種特殊TSF數據，鑒別數據和秘密，可以是但不必一定是相同的。
鑒別數據用于驗證向TOE請求服務的用戶聲明的身份。最通用的鑒別數據形式是口令。口令要成為有效的安全機制，依賴于對其進行保密。但是，不是所有形式的鑒別數據都需要保密，生物測定學鑒別設備（例如，指紋閱讀器、視網膜掃描儀）就不依賴于數據保密，因為這些數據只有一個用戶擁有，其他人不能偽造。
本標準功能要求中用到的術語“秘密”，對鑒別數據適用，對其它為執行一特定SFP而必須保密的數據也同樣適用。例如，依靠密碼功能保護在信道中傳輸信息的保密性的可信信道機制，其強度應與用來保持密鑰的秘密以防止未授權泄露的方法的強度相當。
因此，不是所有的鑒別數據都需要保密；也不是所有的秘密都被用作鑒別數據。圖4說明了秘密和鑒別數據間的關系。圖中指出了常見的鑒別數據和秘密的數據類型。
.