DB11T145-2002政务公开网站通用安全技术要求.pdf 41页

'ICS35.040L71备案号:11941-2002OB北京市地方标准DB11/T145-2002政务公开网站通用安全技术要求2002一01一30发布2002一02-20实施北京市质量技术监督局发布 DB11/T145-2002目次前言··，··················································································································。·····⋯⋯v引言···························································································································⋯⋯vi1范围························································································。·······⋯⋯‘·················⋯⋯12术语和定义···············································································································⋯⋯13系统概述··················································································································⋯⋯34安全环境··················································································································⋯⋯34.1资产····················。································································································⋯⋯34.1.1系统内的数据······································································································⋯⋯34.1.2系统软件··············································。·····························································⋯⋯44.1.3系统硬件············································································································⋯⋯44.2系统具备的前提条件································································································⋯⋯44.2.1系统设备维护(A.MaintSysdev)··············································································⋯⋯44.2.2系统软件安装维护(A.MaintInstSyssoft)·······························································⋯⋯44.2.3系统管理员能力(A.CompetentAdmin)··································································⋯⋯44.2.4系统管理员不会滥用权限(A.No_Abuse_By_Admin)···················································⋯⋯44.2.5系统数据毁坏(A.Acc_OvrwritSysData)··································································⋯⋯44.2.6远程用户(A.Remote_Access)·················································································⋯⋯44.2.7可信用户(A.Trusted_User)····················································································⋯⋯44.2.8物理访问(A.Prot_AgainstNature)········································································⋯⋯44.2.9掉电保护(A.protof_Power_fault)···········································································⋯⋯54.3对系统的威胁······································································································⋯⋯54.3.1管理错误(T.Admin_Err_Commit)···········································································⋯⋯54.3.2管理疏忽(T.Admin_Err_Omit)··············································································⋯⋯54.3.3威胁主体的能力(T.Outsider_Med)···········································································⋯⋯54.3.4未授权的访问(T.Acs_to_Out)··············································································⋯⋯54.3.5攻击者尝试使资源拒绝服务(T.Hack_Avl_Resource)··················································⋯⋯’54.3.6传输错误(T.Trans_Err)·······················································································⋯⋯54.3.7关键系统组件失效(T.Component_Failure)·······························································⋯⋯54.3.8恶意代码(T.Malicious_Code)·················································································⋯⋯54.4系统组织安全策略···································································································⋯⋯54.4.1安全设备选型或采购控制(P.Sel_device)··································································⋯⋯54.4.2网络隔离(P.tec.Isolated)····················································································⋯⋯54.4.3站点监控与审计(P.MonitorandAudit)··································································⋯⋯64.4.4漏洞扫描(P.Scan)·····························································································⋯⋯64.4.5入侵检测(P.checkandmeasure)···························。···············································⋯⋯6 D811/T145-20024.4.6Web页面监测与自动修复(P.MonitorandRecovery)················································⋯⋯64.4.7系统备份(P.Backup)··························································································⋯⋯65安全目的············································································································⋯⋯65.1系统安全目的······································································································⋯⋯65.1.1安全角色(O.SecurityRoles)·················································································⋯⋯65.1.2安全功能管理行为(O.SecurityFunc_Mgt)·······························································⋯⋯65.1.3安全相关配置管理(O.Secure_Configuration)····························································⋯⋯65.1.4管理安全属性(O.Security_Attr_Mgt)·····································································⋯⋯65.1.5管理安全关键数据(O.SecurityData_Mgt)·······························································⋯⋯65.1.6远程可信系统的可信通道(O.Comm_Trusted_Channel)················································⋯⋯65.1.7用户标识和鉴别(O.I&A)·················。··································································⋯⋯65.1.8系统访问控制(O.RBAC)····················································································⋯⋯75.1.9保护系统安全功能(O.Sys_Self_Protection)···················，········································⋯⋯75.1.10采用补丁程序修改代码(0.Apply-Code-Fixes)·······································。··············⋯⋯75.1.11限定用户和服务的资源(O.Resource_Quotas)·························································⋯⋯75.1.12保护和维护安全的系统状态(O.Secure_State)·························································⋯⋯75.1.13系统功能运行的完整性测试(O.Integrity_Practice)···················································⋯⋯75.1.14对已发现的攻击的响应(O.ReactDiscovered_Atk)···················································⋯⋯75.1.15主页的完整性监视与恢复(O.Website_MntRecovery)················································⋯⋯75.1.16控制系统数据的输入(O.Data_Imp_Control)···················································，·········，·⋯75.1.17系统数据内部传递的完整性(O.Integ_Sys_Data_Int)················································⋯⋯75.1.18识别对接收信息的修改(O.Rcv_MsgMod_ID)·························································⋯⋯75.1.19恢复对接收信息的修改(O.Rcv_MsgMod_Rcvr)······················································⋯⋯75.1.20识别对发布信息的修改(O.Snt_MsgMod_ID)····························································⋯⋯75.1.21支持在发布信息被修改后的恢复(O.SntMsgMod_Rcvr)··········································⋯⋯85.1.22关键组件失效时保持安全状态(O.Fail_Secure)·························································⋯⋯85.1.23关键组件运行错误容限(O.FaultTolerance)····························································⋯⋯85.1.24出现恶意代码时能恢复对象和数据(0.Clean_ObjRecovery)·······································⋯⋯85.1.25审计管理角色(O.Audit_Admin_Role)··································································⋯⋯85.1.26标识审计记录(O.AuditGeneration)·····································································⋯⋯85.1.27对可能丢失所保存的审计记录作出响应(O.AuditLoss_Respond)·············。···················⋯⋯85.1.28保护存储的审计记录(O.AuditProtect)··································································⋯⋯85.1.29确保可用的审计存储空间(O.Guarantee_AuditStg)················································⋯⋯85.1.30审计系统访问减少误用(O.AuditDeter_Misuse)······················································⋯⋯85.1.31系统备份(O.Sys_Backup_Procs)···········································································⋯⋯85.1.32检测备份硬件、固件、软件的修改(O.Sys_Backup_Verify)·······································⋯⋯85.1.33网络隔离(O.Tec_Isolated)·············，················。··················································⋯⋯95.2环境安全目的·····························································································。········⋯⋯95.2.1安装与操作控制(OE.Install)·············································································，···⋯⋯95.2.2物理控制(OE.Ph_Access)····················································································⋯⋯95.2.3授权管理员培训(OE.Train)·················································································⋯⋯9 DB11/T145-20025.2.4防自然灾害(OE.Disas_Protection)········································································⋯⋯95.2.5电磁兼容(OE.EMC)··························································································⋯⋯96安全功能要求····························································.·················.··.··..·..·...............⋯⋯96.1用户数据保护······································································································⋯⋯96.1.1访问控制策略(FDP_ACC)··············································································.··⋯⋯96.1.2访问控制功能(FDP_ACF)·················································································⋯⋯106.1.3向安全功能控制之外输出(FDP_ETC)·····································································⋯⋯106.1.4信息流控制策略(FDP_IFC)·······························································，·············，···⋯⋯106.1.5信息流控制功能(FDP_IFF)······。··。·······································································⋯⋯106.1.6从安全功能控制之外输入(FDPITC)·····································································⋯⋯116.1.7存储数据的完整性(FDP_SDI)··············································································⋯⋯116.1.8安全功能间用户数据传输完整性保护(FDP_UIT)······················································⋯⋯116.2标识和鉴别······················································。··。··········································.··..⋯⋯126.2.1用户标识(FIA_UID)··························································································⋯⋯126.2.2用户属性定义(FIA_ATD)····················································································⋯⋯126.2.3秘密的规范(FIASOS)·······················································································⋯⋯126.2.4用户鉴别(FIA_UAU)············。··································································，··，····⋯⋯126.2.5鉴别失败(FIA_AFL)··························································································⋯⋯126.2.6用户一主体绑定(FIA_USB)·················································································⋯⋯136.3安全功能保护···················································································，····，····，········⋯⋯136.3.1失效保护(FPT_FLS)·······················································································⋯⋯136.3.2安全功能数据输出的保密性(FPTITC)··································································⋯⋯136.3.3系统内部安全功能数据传输(FPT_ITT)··································································⋯⋯136.3.4可信恢复(FPT_RCV)···············································································.··..·..⋯⋯136.3.5参照仲裁(FPT_RVM)·······················································································⋯⋯136.3.6安全功能域分离(FPT_SEP)···············································，······························⋯⋯146.3.7安全功能自检(FPT_TST)·················································································⋯⋯146.4系统访问·······································································································..⋯⋯146.4.1多重并发会话限定(FTA_MCS)···········································································⋯⋯146.5安全审计·········································································································⋯⋯146.5.1安全审计自动响应(FAU_ARP)···········································································⋯⋯146.5.2安全审计数据产生(FAUGEN)·················，·········，·······，·······································⋯⋯156.5.3安全审计分析(FAUSAA)·················································································⋯⋯176.5.4安全审计查阅(FAUSAR)·················································································⋯⋯176.5.5安全审计事件存储(FAUSTG)·，·········································································⋯⋯176.6安全管理类·········································································································⋯⋯186.6.1系统中功能的管理(FMT_MOF)········································································。··⋯⋯186.6.2安全属性的管理(FMT_MOF)·········································································，····⋯⋯196.6.3系统数据的管理(FMT_MTD)··············································································⋯⋯206.6.4安全管理角色(FMTSMR)·················································································.⋯⋯216.7可信路径/通道····················，········，··································································⋯⋯21标准分享网www.bzfxw.com免费下载 DB11/T145-20026.7.1系统间可信信道(FTP_ITC)··············································································⋯⋯216.8资源利用············································································································⋯⋯226.8.1容错(FRU_FLT)·····························································································⋯⋯226.8.2资源分配(FRURSA)最高配额···········································································⋯⋯227安全保证要求······························································，··········································⋯⋯227.1配置管理············································································································⋯⋯237.1。1配置项(ACM_CAP.2)····，··················································································⋯⋯237.2交付和操作·········································································································⋯⋯237.2.1交付程序(ADO-DEL.1)···················。································································⋯⋯237.2.2安装、生成和启动程序(ADO_IGS.1)·····································································⋯⋯237.3开发··················································································································⋯⋯247.3.1非形式化功能规范(ADV_FSP.1)···········································································⋯⋯247.3.2描述性高层设计(ADV_HLD.1)···········································································⋯⋯247.3.3非形式化相关性阐明(ADV_RCR.1)·····································································⋯⋯257.4指导性文档·······················································································.·····.·····.··...⋯⋯257.4.1管理员指南(AGD_ADM.1)·················································································⋯⋯257.4.2用户指南(AGD_USR.1)···················。································································⋯⋯267.5测试··················································································································⋯⋯267.5.1范FM证据(ATE_COV.1)··········································，·········································⋯⋯267.5.2功能测试(ATE-FUN.1)··········································，·························，···············⋯⋯277.5.3独立性测试—抽样(ATE_IND.2)·······································································一277.6脆弱性评定·········································································································⋯⋯287.6.1系统安全功能强度评估(AVASOF.1)···············································。··················⋯⋯287.6.2开发者脆弱性分析(AVA_VLA.1)········································································⋯⋯288环境安全要求·········································································································⋯⋯298.1备份和恢复·········································································································⋯⋯298.2操作系统安全···································································································⋯⋯298.3数据库安全···································。·····································································⋯⋯298.4病毒防范·。·······································································································⋯⋯299基本原理·························································，··················································⋯⋯309.1安全目的基本原理······················，·······················································，·················⋯⋯309.2安全要求基本原理································································································⋯⋯319.3满足依赖关系基本原理·······················································································⋯⋯33 DB11/T145-2002日前b本标准系按照国家标准GB/T18336-2001信息技术安全技术一信息技术安全性评估准则(idt.ISO/IEC15408-1999)的结构，针对政务公开网站的整体安全需求而开发。本标准由北京信息安全测评中心提出。本标准由中国国家信息安全测评认证中心系统工程实验室负责起草。本标准由北京市质量技术监督局负责解释。本标准主要起草人:方关宝、任卫红、崔玉华、马力、刘作康、张晓冬、陆丽、陈冠直标准分享网www.bzfxw.com免费下载 DB11/T145-2002己!.誉.J1F刁国际标准ISO/IEC15408信息技术安全技术一信息技术安全性评估准则(简称CC)是由联合技术委员会ISO/工ECJTC1(信息技术)与通用准则项目发起组织合作产生的。CC标准是评估信息技术产品和系统安全特性的基础准则，它针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施，提供了一组通用要求。针对具体一类产品或系统的评估，需要产生具体的一组与实现无关的IT安全要求，这就是所说的由CC方法产生的保护轮廓(PP)。被评估的产品或系统被称为评估对象(TOE),如:操作系统、计算机网络、分布式系统以及应用程序等。用CC方法产生的保护轮廓(PP)具有规定的统一结构，主要内容包括:一PP引言:包括PP标识、PP概述等;一TOE描述:这部分描述TOE，以帮助了解它的安全要求，同时说明TOE的类型和一般的工T特性;一TOE安全环境:这部分描述TOE所处的应用环境和TOE期望的使用方式中的安全问题。包括假设、威胁、组织安全策略;一安全目的:描述环境安全目的和TOE安全目的;一IT安全要求:包括TOE安全功能要求、TOE安全保证要求、IT环境安全要求;一PP应用注释;一基本原理:包括安全目的基本原理、安全要求基本原理。其中列出了安全目的与假设/威胁/组织安全策略的映射关系、安全目的与安全功能要求的映射关系和安全功能之间的依赖关系。完全等同于CC标准的国家标准(信息技术安全技术一信息技术安全性评估准则》(GB/T18336-2001)也己经颁布。本标准就是由CC方法产生的针对政务公开网站的一个PP. DB11/T145-2002政务公开网站通用安全技术要求1范围本标准规定了政务公开网站系统(以下简称系统)的通用安全技术要求。本标准适用于采集、存储、处理、传递、输出非国家秘密信息的政务网站的设计、建设、使用、评估和监管，也可作其它网站的参考。2术语和定义本标准采用如下术语和定义。2.1政务公开网站指各级国家机关利用工NTERNEVINTRANET等相关计算机通信技术，在因特网上建立的以实现国家机关及相关部门在政治、经济、社会生活诸多领域管理和服务的部分职能的公开信息站点。2.2个人用户(humanuser)与系统交互的任何个人。2.3用户(user)在系统之外与系统交互的任何实体(个人用户或外部IT实体)。2.4授权用户(authoriseduser)依据系统安全策略可以执行某项操作的用户。2.5授权管理员(AuthorizedAdministrator)经组织授权，对系统进行有关配置、日常维护和安全管理的专业人员。2.6客体(Object)信息的载体。标准分享网www.bzfxw.com免费下载 DB11/T145-20022.7主体(Subject)引起信息在客体之间流动的人、进程或设备等。2.8访问控制(AccessControl)限制授权的用户、程序、进程或计算机网络中其他系统访问系统资源的过程。2.9鉴别(Authentication)验证用户、设备和其他实体的身份;验证数据的完整性。2.10授权(Authority)授予用户、程序或进程的访问权。2.11威胁(Threat)以破坏、泄漏、修改数据和拒绝服务的方式，可能对系统造成损害的环境或潜在事件。2.12资产(Asset)系统中需要保护的信息或资源。2.13安全功能(SecurityFunction)为实现系统安全策略中一组紧密相关的规则子集，必须依赖的系统的组成部分。2.14安全功能策略(SecurityFunctionPolicy)系统中安全功能执行的安全策略。2.15安全属性(SecurityAttribute)用J几实施系统安全功能策略的，与主体、信息和客体相关的信息。 DB11/T145-20023系统概述本标准中，政务公开网站系统包括信息公开、信息交互和网上办公三种业务。一个系统通常包括各类服务器、网络接入设备和安全隔离设备。系统可以是虚拟主机、服务器托管和专线接入的独立网站，以及这三种类型的组合。系统通常可提供WWW服务、域名服务、邮件服务、应用服务和数据库服务等。系统的通用结构如图1所示。外部网络，如INTERNET远程维护系统政务公开网站(系统)同一局域网的其它系统图1网站系统的通用结构4安全环境4.1资产该系统中需要保护的主要资产包括但不局限于以下内容。4.1.1系统内的数据4.1.1.1公开发布的数据是指政务公开网站提供的各类信息。4.1.1.2通过网站收集的数据主要包括通过网站得到的基层反馈信息。4.1.1.3系统安全功能数据是指做出安全策略决定时由安全功能使用的信息。包括用来验证进行服务请求的用户身份的鉴别数据和用于实施安全策略的与主体、用户、客体或信息相关的安全属性数据。如:系统运行日志、系统审计日志、入侵检测记录、系统口令、系统权限设置、数据存储分配、标准分享网www.bzfxw.com免费下载 DB11/T145-2002内部网络地址，系统配置数据等。4.1.2系统软件包括操作系统软件、数据库管理软件和应用软件等。4.1.3系统硬件包括系统内的服务器、个人计算机、网络设备、安全设备，以及计算机外围设备如电源、打印机、终端、输入设备、数据备份设备等。4.2系统具备的前提条件4.2.1系统设备维护(A.MaintSysdev)系统设备能做到及时维护更新，防止自然老化影响系统正常运行，甚至引起系统瘫痪或信息不可恢复。4.2.2系统软件安装维护(A.Maint_Inst_Syssoft)相应的软件系统应保证正确的安装和维护。系统软件处理不当会直接影响系统的运行和安全性。如操作系统一旦维护不及时和不当会逐渐退化，造成功能不能完全执行或者根本不能执行，最终导致系统的失效。4.2.3系统管理员能力(A.CompetentAdmin)系统管理员有能力管理系统及其所含信息的安全。4.2.4系统管理员不会滥用权限(A.NoesAbuseBy_Admin)信任系统管理员不会滥用权限。4.2.5系统数据毁坏(A.Acc一vrwrit_SysData)系统依赖于系统软件环境，系统用户不会无意识地改写系统程序、日志或数据。4.2.6远程用户(A.Remote少ccess)允许用户远程访问系统。4.2.7可信用户(A.Trusted_User)授权用户不会故意破坏安全。4.2.8物理访A(A.ProtAgainstNature)系统位于受控的访问设备中，以阻止未授权的物理访问，并能防止火灾、洪水等自然灾害对系统的破坏。 DB11/T145-20024.2.9掉电保护(A.protof_Power_fault)系统有足够的备用电源以保证突然的电力中断不会危害服务的可用性或导致数据的丢失。4.3对系统的威胁4.3.1管理错误(T.Admin_Err一。mmit)管理人员的错误直接危害组织安全策略，或改变系统或应用强制执行的技术安全策略。4.3.2管理疏忽(T.Admin_Err一mit)系统管理人员未执行某些基本安全功能。4.3.3威胁主体的能力(T.Outsider_Med)系统可能受到威胁主体有预谋的攻击。4.3.4未授权的访问(T.AcstoOut)未授权人员通过非法途径访问获取信息或破坏系统。4.3.5攻击者尝试使资源拒绝服务(T.Hack_AvI_Resource)攻击者通过执行命令、发送数据、或执行其他操作使系统资源对系统用户失效。资源可能是带宽、处理器时间、内部存储器、数据存储器等。4.3.6传输错误(T.Trans_Err)数据在传输过程中可能出现错误，导致信息完整性的破坏。4.3.7关键系统组件失效(T.Component_FaiIure)关键系统组件失效导致系统关键功能失败。4.3.8恶意代码(T.Malicious多ode)授权用户下载和执行恶意代码，产生异常的进程，对系统产生破坏。4.4系统组织安全策略4.4.1安全设备选型或采购控制(P.Se!一evice)信息系统建设期间或设备更换、添加时能够从信息系统安全要求的整体角度进行设备选型或采购;或者能按照国家有关部门的规定和政策要求选择和采购安全设备。4.4.2网络隔离(P.tec.IsoIated)系统必须与涉密的系统物理隔离，与其它系统逻辑隔离。 DB11/T145-20024.4.3站点监控与审计(P.MonitorandAudit)系统应具有监控和审计功能;系统还应具有对公开发布数据进行关键词过滤功能。4.4.4漏洞扫描(P.Scan)系统应具有对网络和系统漏洞扫描和报告功能。4.4.5入侵检测(P.checkandmeasure)系统应通过分析数据流来发现入侵行为和违规操作，并能及时作出反应。4.4.6Web页面监测与自动修复(P.MonitorandRecovery)保护web服务器，对站点内容自动监测，当发现被篡改后能及时完成自动修复。4.4.7系统备份(P.Backup)系统的主要设备、软件、数据等应有备份。5安全目的5.1系统安全目的5.1.1安全角色(0.Security_RoIes)系统应划分安全角色并规定这些角色的权限。5.1.2安全功能管理行为(O.Security_Func_Mgt)系统必须提供对安全功能的管理机制。5.1.3安全相关配置管理(0.SecureConfiguration)系统必须管理和更新系统的安全策略、强制执行安全功能，使之与安全策略相一致。5.1.4管理安全属性(0.Security_Attr_Mgt)系统应管理对安全属性的初始化、赋值及正常操作。5.1.5管理安全关键数据(O.Security_Data_Mgt)系统应管理对安全关键数据的初始化、限制及正常操作。5.1.6远程可信系统的可信通道(O.Comm_Trusted一hanne1)为执行安全关键操作，系统应在系统和远程可信系统间提供可信通信信道。5.1.7用户标识和鉴别(0.1&A)系统必须能唯一标识授权用户，并在用户访问系统资源之前鉴别其声称身份的真实性。 DB11/T145-20025.1.8系统访问控制(0.RBAC)系统只允许明确授权的用户访问授权范围内的系统资源或执行相关操作。5.1.9保护系统安全功能(0.SysSeIf_Protection)系统应采取技术措施保护系统安全功能。5.1.10采用补T程序修改代码(0.AppIy_Code_Fixes)系统应能采用补丁程序修改代码，减少代码的脆弱性。5.1.11限定用户和服务的资源(0.Resource一uotas)系统必须提供措施，防止用户和服务对系统资源的过度使用，导致系统性能降低或出现拒绝服务。5.1.12保护和维护安全的系统状态(0.Secure_State)系统应确保在系统出现错误或其他操作中断后，能恢复到某种安全状态。5.1.13系统功能运行的完整性测试(0.Integrity_Practice)进行安全功能的自测试，以保证系统硬件和代码的完整性。5.1.14对已发现的攻击的响应(0.React一iscovered一tk)系统应实现对已发现的攻击的自动告警或其他响应。5.1.15主页的完整性监视与恢复(0.Websitojnt_Recovery)系统应监视站点内容的完整性，发现修改及时修复。5.1.16控制系统数据的输入(0.Data_Imp一ontroI)应保护系统不致输入非法的数据或安全策略不允许的信息。5.1.17系统数据内部传递的完整性(0.IntegSys_Data_Int)系统必须保证系统数据内部传递的完整性。5.1.18识别对接收信息的修改(0.RcvjsgMod_ID)系统能够识别信息在传输过程中是否出现插入、删除或替换。5.1.19恢复对接收信息的修改(0.Rcv_MsgMod一cvr)检测到接收信息已被未授权修改时，系统能恢复出原来的正确信息，或采取其他补救措施。5.1.20识别对发布信息的修改(0.Snt_MsgMod_ID) DB11/T145-2002系统的安全功能要求必须能够识别发布信息的修改，包括插入伪造信息以及删除或替换合法信息。5.1.21支持在发布信息被修改后的恢复(0.SntMsgModRcvr)系统安全功能要求支持对发布信息的检测。系统在检测到发布信息被修改时，要采取相应措施。5.1.22关键组件失效时保持安全状态(0.FaiI_Secure)系统要保证关键组件失效时保持系统的安全状态。5.1.23关键组件运行错误容限(0.FauItjolerance)系统必须为关键组件提供运行错误容限，当一个或多个系统组件失效时系统能继续运5.1.24出现恶意代码时能恢复对象和数据(0.CIean_Obj_Recovery)系统引入恶意代码和发生破坏时能恢复到安全状态，并能消除恶意代码。5.1.25审计管理角色(O.AuditAdmin_Role)系统应能创建审计管理角色，避免修改或破坏审计数据的事件发生。5.1.26标识审计记录(0.Audit_Generation)系统审计记录中必须记录审计事件发生的日期和时间、地点以及对其负责的实体。5.1.27对可能丢失所保存的审计记录作出响应(O.Audit_Loss_Respond)当审计记录容量己满或快满时，系统对可能丢失审计记录作出响应。5.1.28保护存储的审计记录(0.Audit_Protect)系统必须保护审计记录，防止未授权的访问、更改或删除。5.1.29确保可用的审计存储空间(O.Guarantee_Audit多tg)系统必须保持审计数据并确保相应的空间。5.1.30审计系统访问减少误用(0.Audit一eter一isuse)系统必须对系统访问进行审计，以发现系统误用，并提供潜在的威慑力量以示警告。5.1.31系统备份(0.Sys_Backup_Procs)系统必须提供确保系统可被重构的备份。5.1.32检测备份硬件、固件、软件的修改(0.Sys_BackupVerify) DB11/T145-2002系统能够及时发现备份硬件、固件、软件的修改。5.1.33网络隔离(0.Tec-IsoIated)系统必须和其它业务系统物理隔离，与互联网和远程维护系统逻辑隔离。5.2环境安全目的环境安全目的是指除信息技术安全目的之外还需满足的要求，它们不需相应硬件和软件的机制实现，而是通过采用物理的、过程的或管理的方法来达到。以下为政务公开网站的环境安全目的:5.2.1安装与操作控制(OE.InstaII)确保系统在安装、维护、操作中的系统安全。5.2.2物理控制(OE.PhAccess)控制对系统中相关设备的物理访问。5.2.3授权管理员培训(OE.Train)加强对授权管理员的培训，使他们具有建立和维护一定的安全策略的实际能力。5.2.4防自然灾害(OE.Disas_Protection)系统的机房和设备能够抵抗一定自然灾害破坏。5.2.5电磁兼容(OE.EMC)系统关键设备应符合国家有关电磁兼容标准要求。6安全功能要求为保护政务公开网站的安全及网站信息的正常发布及基层信息的正确反馈，政务公开网站系统应满足以下功能要求:6.1用户数据保护6.1.1访问控制策略(FDPACC)子集访问控制(FDPesACC.1)FDPACC.1.1政务公开网站系统安全功能(以下简称系统安全功能)应对安全功能策略所覆盖的主体、客体和它们之间的操作执行政务公开网站访问控制策略(以下简称网站访问控制策略)。 DB11/T145-20026.1.2访问控制功能(FDPACF)基于安全属性的访问控制(FDP_ACF.1)FDP_ACF.1.1系统安全功能应纂于安全属性和确定的安全属性组，对已明确的客体执行系统访问控制策略。FDPACF.1.2系统安全功能应执行网上访问控制策略，决定受控的主体与客体间的操作是否被允许。6.1.3向安全功能控制之外输出(FDPETC)无安全属性的用户数据输出(FDP_ETC.1)FDP_.ETC.1.1在安全功能策略控制下输出数据到系统安全控制范围之外时，系统安全功能应执行网站访问控制策略和网站信息流控制策略(以下简称系统信息流控制策略，详h!FDPIFC.1)。FDP_ETC.1.2系统应输出不带有相关安全属性的信息、数据。6.1.4信息流控制策略(FDP_IFC)j"集信息流控制(FDP_IFC.1)FDP_IFC.1..1对己确定的主体、信息流及导致受控信息流入流出安全功能策略覆盖的主体的操作，系统安全功能应执行系统信息流控制策略。表1系统信息流控制策略举例远程授权用户一服务器服务器一普通用户完整性用)”日令、网站维护信息、上传网站发布信息网站信息F载、收集信息6.1.5信息流控制功能(FDPIFF)简单安全属性(FDPIFF.1)FDP__.IFF.1.1系统安全功能应在主体和最小数目和类型的信息安全属性的基础上执行系统信息流控制策略。FDP一7FF.1.2对每一个操作，如果在主体和信息之间必须有基于安全属性的关系，系统安全功能应允许受控主体和受控信息之间存在经由受控操作的信息流。 DB11/T145-2002FDP_IFF.1.5系统安全功能应根据基于安全属性的规则，明确授权信息流。FDP_IFF.1.6系统安全功能应根据基于安全属性的规则，明确拒绝信息流。6.1.6从安全功能控制之外输入(FDP_ITC)没有安全属性的用户数据输入(FDP_ITC.1)FDP_ITC.1.1在系统安全功能策略控制下，从系统安全控制范围之外输入用户数据时，应执行系统信息流控制策略。FDP_ITC.1.2外部输入用户数据时，TSF应略去任何相关的安全属性。有安全属性的用户数据输入(FDP_ITC.2)FDP_ITC.2.1TSF在SFP控制下从TSC之外输入用户数据时，应执行系统信息流控制策略。FDP_ITC.2.2TSF应使用与输入的数据相关的安全属性。FDP_ITC.2.3TSF应确保使用的协议在安全属性和接收的用户数据之间提供了明确的联系。FDP_ITC.2.4TSF应确保对输入的用户数据安全属性的解释与用户数据源的解释是一致的。FDP_ITC.2.5TSF在SFP控制下从TSC之外输入用户数据时应执行系统访问控制策略。6.1.7存储数据的完整性(FDP多DI)存储数据完整性监视和动作(FDP_SDI.2)FDPSD工.2.1系统安全功能应基于用户数据属性，监视存储在系统内部的用户数据是否出现完整性错误。FDP-SDI.2.2检测到完整性错误时，系统安全功能应采取相应的动作。6.1.8安全功能间用户数据传输完整性保护(FDPUIT)数据交换完整性此功能主要解决对被传输的用户数据的篡改、删除、插入和重用等的检测。FDP少IT.1.1系统安全功能应执行系统信息流控制策略，能以避免出现篡改、删除、插入等的方式传送和接收用户数据。FDP_UIT.1.2系统安全功能应能根据接收到的用户数据判断，是否出现了篡改、删除、插入和重用。原发端数据交换恢复(FDPUIT.2)FDPUIT.2.1TSF应执行系统访问控制SFP及信息流控制SFP，在原发端可信IT产品的帮 DB11/T145-2002助下，恢复数据。6.2标识和鉴别6.2.1用户标识(FIAUID)标识定时(FIA一UID.1)FIA_UID.1.1系统应在用户被识别之前，允许代表用户实施关闭用户标识。FIA_UID.1.2系统允许任何代表用户启动安全功能之前，要求每个用户都被成功识别。6.2.2用户属性定义(FIAATD)用户属性定义(FIA_ATD.1)a)FIAATD.1.1系统应为每一个用户保存属于他的安全属性表:用户权限及属性。6.2.3秘密的规范(FIA-SOS)秘密验证(FIA_SOS.1)FI左SOS.1.1系统应提供一种机制以证明秘密(如口令字长度及字符集)满足规定的强度。系统秘密产生(FIA_SOS.2)FIA_SOS.2.1系统应提供一种机制以产生满足规定强度的秘密。FI几SOS.2.2系统应能够为用户身份鉴别使用系统产生的秘密。6.2.4用户鉴别(FIAUAU)鉴别定时(FIA_UAU.1)FIA_UAU.1.1系统应在用户被鉴别之前允许用户访问网站的综合信息。FIA一UAU.1.2系统在允许任何代表用户启动安全功能之前，要求每个用户都被成功鉴别。不可伪造的鉴别(FIA_UAU.3)FIAUAU.3.1系统应检测任何用户伪造的和正在系统中使用的鉴别数据。FI左UAU.3.2系统应检测从任何其它用户复制的和正在系统中使用的鉴别数据。受保护的鉴别反馈(FIA_UAU.7)FIA_.UAU.7.1当鉴别在进行时，系统应仅仅将鉴别是否成功反馈给用户。6.2.5鉴别失败(FIAseAFL)鉴别失败处理(FIAAFL.1) DB11/T145-2002FIA一AFL.1.1系统应检测何时不成功鉴别尝试达到门限值。FIA_AFL.1.2当达到或超过确定的不成功鉴别尝试的次数时，系统应拒绝用户访问系统并记6.2.6用户一主体绑定(FIAesUSB)用户一主体绑定(FIA_USB.1)FI凡USB.1.1系统应把合适的用户安全属性关联到代表用户活动的主体上。6.3安全功能保护6.3.1失效保护(FPT_FLS)带维持安全状态的失效(FPT_FLS.1)当确定的失效出现时，要求系统维持一种安全状态。FPT_FLS.1.1系统在发生鉴别和通信失效时应维持一种安全状态。6.3.2安全功能数据输出的保密性(FPT-ITC)传输过程中安全功能间的保密性(FPT_ITC.1)要求系统安全功能确保安全功能数据在系统与远程可信IT产品间的传输不被泄露。FPT工TC.1.1系统应保护所有的安全功能数据在系统与远程可信IT产品的传输过程中不被未经授权泄密。(口令、审计数据或TSF可执行的代码等)6.3.3系统内部安全功能数据传输(FPTITT)系统内部安全功能数据传输的基本保护(FPT_ITT.1)要求对政务公开网站系统的分离部分间传输的安全功能数据进行保护。FPT_ITT.1.1在政务公开网站系统的各个部分间传输安全功能数据时，应保护其不被泄漏。6.3.4可信恢复(FPT_RCV)手T恢复(FPT_RCV.1)允许政务公开网站系统只提供人工干预以返回安全状态的机制。FPT_RCV.1.1发生故障或服务中断后，系统安全功能应进入维护方式，该方式提供将系统返回到一个安全状态的能力。6.3.5参照仲裁(FPTRVM)安全策略的不可旁路性(FPTRVM.1) DB11/T145-2002要求安全功能控制范围内的每一项功能都不可旁路。FPT_RVM.1.1应确保继续执行在安全功能控制范围内的每一项功能前，安全策略的强制执行功能都己成功激活。6.3.6安全功能域分离(FPT_SEP)安全功能域分离(FPT_SEP.1)为安全功能提供不同的的保护域，并在安全功能控制范围内分离客体之间提供。FPT_SEP.1.1安全功能应为自身的执行维护一个安全域，防止不可信主体的干扰和篡改。FPT__SEP.1.2安全功能应在其控制范围内主体的安全域之间强行分离。6.3.7安全功能自检(FPT_TST)安全A能测试(FPT_TST.1)本组件提供对系统安全功能正确操作的测试能力。这些测试可在启动时进行，或周期性地进行，或当授权用户要求时或满足别的条件时进行。同时也提供对安全功能数据及可执行代码的完整性的验证能力。FPT_TST.1.1系统安全功能在每次启动时或定期运行一套自检以验证安全功能的正确操作。FPT一ST.1.2系统安全功能为授权用户提供验证安全功能数据完整性的能力。FPTTST.1.3系统安全功能为授权用户提供验证所存储的安全功能可执行码完整性的能力。6.4系统访问6.4.1多重并发会话限定(FTAMCS)多重并发会话的基本限定(FTAesMCS.1)提供适用于系统内所有用户的限制。FTA_MCS.1.1系统应限定并发会话的最大数目。FTA一MCS.1.2系统应利用缺省值执行最高并发会话次数的限定。系统开发者应提供最大会话次数的具体数值。6.5安全审计安全审计包括产生、记录、存储和分析那些与安全相关活动有关的信息。审计记录结果可用来检测、判断发生了哪些安全相关活动以及这些活动由哪个用户负责。6.5.1安全审计自动响应(FAUARP)安全警告(FAUARP.1)安全警告功能描述了当检测到可能的安全侵害时，系统应采取的行动，包括报警或系14 DB11/T145-2002统自动响应。FA比ARP.1.1当检测到潜在的安全浸害时，系统应通知授权管理员，使产生潜在安全侵害的主体失效，或采取其它由授权管理员确定的行动。例如，系统安全功能能够生成实时报警、终止违例进程、取消服务等。注:如果一个审计事件由FAU_SAA组件指出，那么这个事件应被定义为是“潜在的安全侵害事件”6.5.2安全审计数据产生(FAU一EN)本节要求发生安全相关事件时系统应进行记录，列举出政务公开网站系统可审计的事件类型，以及应在各审计记录内提供的审计相关信息的最小集合。审计数据产生(FAUesGEN.1)系统的审计数据产生功能只产生最小级审计事件记录，并规定进行每项记录的数据表。FAUGEN.1.1系统应能为下述可审计事件产生审计记录:1)审计功能的启动和关闭;2)所有最小级的可审计事件;3)其他专门定义的可审计事件由各政务公开网站自行定义。FAU一GEN.1.2系统应在每个审计记录中至少记录如下信息:1)事件的日期和时间，事件类型，主体身份，事件的结果(成功或失败);2)最小级可审计事件类型见表2;3)专门定义的可审计事件清单由开发者列于下表的第四栏。表2可审计安全事件类型组件标识审计级别可审计事件专门定义的审计事件FAUARP.1最小级当即将发生安全侵害时采取的行动。FAUS从.1最小级开启和关闭任何分析机制;最小级由工具完成的自动响应。FAUSARA基本级从审计记录中读取信息。FAUSAR.2基本级尝试从审计记录中读取信息而未成功。FAUSTGA基本级因审计存储失败而采取的行动。FDPACF.1最小级成功的请求对某个被安全功能策略覆盖的客体上执行某操作。FDPETC.1最小级成功的信息输出。FDPIFF.1最小级判决允许请求的信息流。 DB11/T145-2002可审计事件专门定义的审计事件FDPIFF.5最小级判决允许请求的信息流。FDPITC.1最小级成功输入用户数据，包括任何安全属性。FDPITC.2最小级成功输入用户数据，包括任何安全属性。FDPSDI.2最小级成功尝试检测用户数据的完整性，包括指示检测结果。FDPUCT.l最小级使用数据交换机制的任何用户或主体的身份。FDPUIT.2最小级使用数据交换机制的任何用户或主体的身份。FIAAFL.1最小级获取失败鉴别的闽值和采取的动作(如，使终端无效)，及随后，还原到正常状态(如，重新使终端有效)。FIASOS.1最小级安全功能拒绝任何测试的秘密。FIASOS.2最小级安全功能拒绝任何测试的秘密。FIAUAU.1最小级使用鉴别机制失败。FIAUAU.3最小级检测欺骗性的鉴别数据。FIAUAU.5最小级鉴别的最后判决。FIAUAU.6最小级重鉴别失败。FIAUID.1最小级使用用户标识机制失败，包括提供的用户身份。FIAUSB.1最小级绑定用户安全属性到一个主体失败(如，产生一个主体)。FMTMOF.1最小级系统安全功能的所有改动。FMTMSA.1基木级所有对安全属性值的改动。FMTMSA.2最小级对某安全属性，所有提供的和被拒绝的值。FMTMSA.3基本级对允许或限制规则的默认设w的修改:b)所有对安全属性的初始值的修改。FMTMTD基本级所有对TSF数据的值的改动。FMTSMR.1最小级对角色一部分的用户组的改动。FMTSMR.3最小级明确请求担任某角色。FPT工TI.1最小级检测传输的安全功能数据的修改。FPTFLS基本级TSF失败。FPTRCV.1最小级出现失败或服务中断。最小级J恢复正常运行。FPTTST.1基本级执行TSF自检及检测结果。FRUFLT.1最小级安全功能检测出的任何故障。FRURSA.1最小级因资源的限制对分配操作的拒绝。 DB11/T145-2002组件标识审计级别可审计事件专门定义的审计事件FTAMCS.1最小级基于多重并发会话限定对新会话的拒绝。FTPITC.1最小级可信信道功能故障。失败的可信信道功能的原发者及目标的标识。注1:最小级—安全机制的成功使用。注2:基本级—安全机制的成功使用以及所涉及到的安全属性的相关信息。用户身份关联(FAU_GEN.2)该功能解决可审计事件追溯到单个用户身份上的要求。FAU一EN.2.1系统能将每个可审计事件与引起该事件的用户身份相关联。6.5.3安全审计分析(FAUSAA)潜在侵害分析(FAU_SAA.1)本功能提出为寻找可能的或真正的安全侵害，用来分析系统活动和审计数据的自动化措施的要求，这种分析可用于支持入侵检测。潜在侵害分析需要基于一个固定规则集的基本门限检测。FAU_SAA.1.1系统应有能力用一系列规则去监测审计事件，并依据这些规则指出对安全策略的潜在侵害。FAU_SAA.1.2系统用下列规则来监视审计事件:已知的可审计安全事件的积累或组合;注:由于系统使用国外操作系统，建议使用入侵检测安全产品。6.5.4安全审计查阅(FAU一AR)审计查阅(FAUSAR.1)审计查阅功能提供从审计记录中读取信息的能力。FAU_SAR.1.1系统应提供具有查阅审计数据功能的工具，以读取审计记录。FAUSAR.1.2系统应规定准许指定用户按表3中的规则查阅某些审计记录。限制审计查阅(FAU_SAR.2)限制审计查阅功能要求除在FAU多AR.1中确定的用户外，其他用户不能读取信息。FAU_SAR.2.1除具有明确读访问权限的用户外，系统应禁止所有用户对审计记录的读访问。6.5.5安全审计事件存储(FAUseSTG)本节提出创建并维护安全的审计踪迹的要求。17 DB11/T145-2002确保审计数据可用性(FAU_STG.2)确保审计数据可用性功能要求审计踪迹应避免未授权的删除和/或修改，并确保在意外情况出现时审计数据的可用性。FAU_STG.2.1系统应保护已储存的审计记录，以避免未授权的删除。FAU_STG.2.2系统应能防止对审计记录的修改。FAUSTG.2.3当发生审计存储己满、失败或攻击情况时，系统应确保审计记录在一定记录数之内或确定的维护时间范围内不被破坏。防止审计数据丢失(FAUSTG.4)防止审计数据丢失功能要求规定了当审计踪迹溢满时所采取的行动。FAU_STG.4.1如果审计踪迹己满，系统应阻止除由系统审计员产生的以外的所有可审计事件。6.6安全管理类6.6.1系统中功能的管理(FMTesMOF)安全功能行为的管理(FMT_MOR1)允许授权用户管理系统安全功能。FMTMOF.1.1系统应限定授权用户对是否使用、修改下列安全功能进行决定的能力。表3安全角色对系统安全功能行为的管理权限系统系统系统系统类型安全功能管理员安全员审计员操作员审计参数无无配置备份审计审计失败时进行相应操作维护无管理无审计项日的更改无无管理无用户帐号、角色、属性无管理无维护鉴别数据的管理无管理无无标识和鉴别机制和规则无管理无无鉴别用户被鉴别前可采取的动作表无管理无无对失败的鉴别尝试的阐值及所要采取的无ter}.理无无动作的管理 DB11/T145-2002系统系统类型管理员操作员维护系统中的角色组维护管理无无对改变信息类型、域、原发者属性和证据维护管理无无接收者的属性管理安全管理定义默认的主体安全属性无管理无无为用户组、用户和主体规定某资源的最大管理无无无使用限度管理数据备份参数管理无无启动管理需要可信信道的活动无管理无无时间戳无管理无无管理支持有效期的安全属性表及过期应无管理无无采取的动作多重并发会话的基本限定无管理无无管理用于作出访问或拒绝访问决策的属无管理无无性安全功能的配置检测到完整性错误时所要采取的动无管理无无保护作抽象机测试产生的条件及时间间隔的管无管理无无理要防止的修改类型的管理无管理无无用于输入的附加控制规则无管理无无不同部分间数据传输保护机制的管理无管理无无可检测出其重放的确定实体列表及须采无管理无无取的行动列表的管理6.6.2安全属性的管理(FMTMOF)安全属性的管理(FMT_MSA.1)允许授权用户(角色)管理规定的安全属性。FMT一MSA.1.1系统安全功能应执行系统访问控制策略及系统信息流控制策略，以限定系统管理员对安全属性进行修改默认值、查询、修改、删除操作的能力。举例见表40表4授权人员对系统安全属性的管理权限表举例系统系统系统系统安全属性管理员安全员审计员操作员 DB11/T145-2002审训·参数无连接属性管理、配置无无无系统安全角色组维护管理无无服务优先级无访问控制列表维护管理无无安全属性确保系统安全(FMT_MSA.2)确保安全属性的赋值使系统处于安全状态。FMTMSA.2.1安全属性的值必须确保系统保密。静态属性初始化(FMTMSA.3)确保安全属性中关于允许或限制规定的默认值是适当的。FMT._MSA.3.1系统应执行系统访问控制策略以及系统信息流控制策略，为系统的安全属性提供限制的默认值。FMT_MSA.3.2系统应允许系统管理员为生成的客体或信息规定新的初始值以代替原来的默认值。6.6.3系统数据的管理(FMT_MTD)安全功能数据的管理(FMT_MTD.1)允许授权用户管理系统安全数据。FMTMTD.1.1安全功能应限定授权用户对下列系统数据进行改变默认值、查询修改删除或清除等操作的权力。应用注释:系统开发者应在相关规定与各自实际基础.上给出系统安全角色对系统安全数据的操作权限表。举例见表50表5系统安全角色对系统安全数据的操作权限举例系统管理员改变默认值、修改无系统参数创建、修改无无备份、恢复 DB11/T145-2002控制审计存储能力的参数参数设置、维护无无无鉴别数据及其参数无管理无维护用户信息及帐号创建管理无维护6.6.4安全管理角色(FMTSMR)安全角色(FMT_SMR.1)规定与系统认可的安全功能相关的角色。为了保证政务公开网站系统的安全，将系统的安全功能分配给不同的角色执行。下面给出了本标准中安全管理所使用角色的定义。实际系统中，不一定使用所有这些角色，但必须实现对安全角色的区分。为保证网站系统的安全，可将系统管理员、系统审计员和系统维护员的职责分配给同一人担任。系统角色定义如下:系统管理员:授权对系统进行建立、配置、维护;系统安全员:管理系统安全相关功能的人员。系统审计员:授权进行审计日志查看与维护的人员。系统操作员:系统日常操作工作的人员，负责授权进行系统日常维护及备份与恢复的人员。网页维护人员:授权对网页内容进行维护、更新的人员。FMT_SMR.1.1系统应配备系统管理员和系统审计员。FMT_SMR.1.2系统应能够把用户和角色关联起来。担任角色(FMT_SMR.3)要求向系统明确请求担任某个角色。FMT_SMR.3.1系统应要求担任系统管理员和系统审计员的明确请求。6.7可信路径/通道6.7.1系统间可信信道(FTP_ITO系统间可信信道(FTP_ITC.1)FTP_ITC.1.1系统应在它和一远程可信IT产品之间提供一条通信信道，它在逻辑上明显不同于其他通信信道，并提供其末点的标识及信道数据保护免遭修改和泄露。FTPITC.1.2系统应允许系统内部各组件原发经可信信道的通信。FTPITC.1.3系统对上传数据原发经可信信道的通信。21 DB11/T145-2002FTP_ITC.1.4整个信道应有同样的可信等级，不得中途降低其可信等级。6.8资源利用6.8.1容错(FRU_FLT)降低容错(FRU一FLT.1)FRUFLT.1.1系统应确保当网络出现故障时，不会导致服务的紊乱。6.8.2资源分配(FRURSA)最高配额FRU_RSA.1.1系统应规定用户占用资源的最高配额。7安全保证要求保证要求部分选用CC标准的评估保证级的二级。具体组件见表60表6评估保证级(二级)组件保证类保证组件配置管理ACMCAP.2配置项ADO_DEL.1交付程序交付和操作ADO_IGS.1安装、生成和启动程序ADV_.FSP.1非形式化功能规范开发ADV一LD.1描述性高层设计ADV_.RCR.1非形式化相关性阐明AGD_ADM.1管理员指南指导性文档AGD_USR.1用户指南ATE_COV.1范围证据测试ATEesFUN.1功能测试ATEIND.2独立测试—抽样AVA_SOF.I系统安全功能强度评估脆弱性评定AVA_VLA.1开发者脆弱性分析 DB11/T145-20027.1酉己置管理7.1.1配置项(ACM_CAP.2)开发者行为元素ACMCAP.2.lD开发者应为政务公开网站系统提供一个版本标志。ACM一CAP.2.2D开发者应使用配置管理系统。ACMCAP.2.3D开发者应提供配置管理文档。证据元素的内容和表示ACMCAP.2.1C所提供的标志对政务公开网站系统的每一个版本都应是唯一的。ACMCAP.2.2C每一个政务公开网站系统都应该用此标志来进行标号。ACMCAP.2.3C配置管理文档应包括配置清单。ACM一CAP.2.4C配置清单应描述组成政务公开网站系统的配置项。ACMCAP.2.5C配置管理文档应描述对配置项进行唯一标识的方法。ACM~CAP.2.6C配置管理系统应唯一的标识所有配置项。评估者行为元素ACMCAP.2.lE评估者应确认所提供的信息满足证据内容和表示的所有要求。7.2交付和操作7.2.，交付程序(ADOeDEL.1)开发者行为元素AD几DEL.1.1D开发者应以文档的形式规定，把政务公开网站系统或其部分交付给用户的过程。ADOtoDEL.1.2D开发者应使用交付程序来交付政务公开网站系统。证据元素的内容和表示ADO一DEL.1.1C交付文档应描述在给用户端交付政务公开网站系统时，用以维护安全所必需的所有程序。评估者行为元素ADOeDEL.1.lE评估者应确认所提供的信息都满足证据内容和表示的所有要求。7.2.2安装、生成和启动程序(ADO_IGS.1)开发者行为元素 DB11/T145-2002ADO__IGS.1.1D开发者应以文档的形式提出政务公开网站系统的安全安装、生成和启动所必需的过程。证据元素的内容和表示AD几IGS.1.1C程序文档中应描述政务公开网站系统的安全安装、生成和启动所必需的步骤。评估者行为元素AD几IGS.1.IF,评估者应确认所提供的信息都满足证据内容和表示的所有要求。ADO._IGS.1.2E评估者应决定安装、生成和启动程序最终导致了安全的配置。7.3开发7.3.1非形式化功能规范(ADVFSP.1)开发者行为元素ADV_FSP.1.1D开发者应当提供功能规范。证据元素的内容和表示ADVFSP.1.lC功能规范应当使用非形式化风格来描述系统安全功能与其外部接口。ADV一SP.1.2C功能规范应当是内在一致的。ADV__FSP.1.3C功能规范应当描述使用所有外部系统安全功能接口的目的与方法，及其效果，并适当的列举例外情况和错误信息。ADV一FSP.1.4C功能规范应当完备地表示系统安全功能。评估者行为元素ADV_FSP.1.1E评估者应确认所提供的信息满足证据内容和表示的所有要求。ADV_FSP.1.2E评估者应决定功能规范是系统安全功能要求的精确和完备的示例。7.3.2描述性高层设计(ADVHLD.1)开发者行为元素ADV_HLD.1.1D开发者应提供系统安全功能的高层设计。证据元素的内容和表示ADV_HLD.1.lC高层设计的表示应当是非形式化的。ADV一LD.1.2C高层设计应当是内在一致的。 DB11/T145-2002ADVeHLD.1.3C高层设计应当以子系统的方式，来描述系统安全功能的结构。ADVHLD.1.4C高层设计应当描述每一个子系统所提供的安全功能。ADVHLD.1.5C高层设计应当标识系统安全功能要求的任何基础的硬件、固件和/或软件，连同这些硬件、固件或软件实现的支持保护机制，来提供的功能表示。ADV_HLD.1.6C高层设计应当标识子系统的所有接口。ADVHLD.1.7C高层设计应当标识子系统的哪些接口是外部可见的。评估者行为元素ADV一LD.1.1E评估者应当确认所提供的信息满足证据内容和表示的所有要求。ADVHLD.1.2E评估者应当决定功能规范是系统安全功能要求的精确和完备的示例。7.3.3非形式化相关性阐明(ADVesRCR.1)开发者行为元素ADVRCR.1.lD开发者应当分析在所提供系统安全功能表示的所有相邻对之间的对应性。证据元素的内容和表示ADV_RCR.1.1C对于所提供系统安全功能表示的每一个相邻对，分析应当阐明较抽象的系统安全功能表示的所有有关安全功能在较不抽象的系统安全功能表示中得到正确和完备细化。评估者行为元素ADVRCR.1.lE评估者应当确认所提供的信息满足证据内容和表示的所有要求。7.4指导性文档7.4.1管理员指南(AGDesADM.1)开发者行为元素AGD一ADM.1.lD:开发者应当提供针对系统管理员的管理员指南。证据的内容和表示元素AG几ADM.1.1C管理员指南应当描述系统管理员可使用的管理功能和接口。AGD一ADM.1.2C管理员指南应当描述如何以安全的方式管理政务公开网站系统。AGDADM.1.3C管理员指南应当包含有关在安全处理环境中必须控制的功能和权限的警告。AGD一ADM.1.4C管理员指南应当描述所有与政务公开网站系统的安全操作有关的用户行为假定。25 DB11/T145-2002AGD_ADM.1.5C管理员指南应当描述所有受管理员控制的安全参数，表明其安全价值是适当的。AGD_ADM.1.6C管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件，包括在安全功能控制下改变实体的安全特性。AGD_ADM.1.7C管理员指南应当与为评估所提供的其他所有文件保持一致。AGDADM.1.8C管W-员指南应当为与管理员有关的IT环境描述所有的安全要求。评估行为元素AGDJDM.1.1F;评估者应确认所提供的信息都满足证据内容和表示的所有要求。7.4.2用户指南(AGDUSR.1)开发者行为元素AGD_USR.1.1D开发者应当提供用户指南。证据的内容和表示元素AGD一USR.1.1C用户指南应该描述政务公开网站系统的非管理用户可获取的功能和接口。AGD_USR.I.2C用户指南应该描述政务公开网站系统提供的用户可获取的安全功能和接口的使用。AGDUSR.1.3C用户指南应该包含关于在安全处理环境中必须控制的用户可获取的功能和权限的警告。AGDUSR.1.4C用户指南应该清楚地阐述政务公开网站系统安全操作中用户所必须负的职责，包括有关认为用户行为可在政务公开网站系统安全环境阐述中找到的假AGD_USR.1.5C用户指南应该与为评估提供的其它所有文件保持一致。AGDUSR.1.6C用户指南应该描述与用户有关的IT环境的所有安全要求。评估者行为元素AGD一USR.i.lE评估者应确认所提供的信息都满足证据内容和表示的所有要求。7.5测试7.5.1范围证据(ATE_COV.1)开发者行为元素ATFCOV.1.1D开发者应提供测试范围的证据26 DB11/T145-2002证据元素的内容和表示ATE_COV.1.1C测试范围的证据应当表明测试文档中所标识的测试结果和功能规范中描述的系统安全功能之间的对应关系。评估者行为元素ATECOV.l.lE评估者应确定提供的信息满足证据内容和表示的要求。7.5.2功能测试(ATE_FUN.1)开发者行为元素ATE_FUN.1.1D开发者应当测试系统安全功能，并出具测试报告。ATE_FUN.1.2D开发者应提供测试报告。证据元素的内容和表示ATE一FUN.1.lC测试报告应当由测试计划、测试过程描述、期望测试结果和实际测试结果组成。ATE一FUN.1.2C测试计划应标识要测试的安全功能，描述要执行的测试目标。ATEFUN.1.3C测试过程描述应当标识要执行的测试，并描述每个安全功能的测试概况。这些概况包括与其他测试结果的顺序依赖性。ATE_FUN.1.4C期望的测试结果应当显示一个成功测试运行后的预期输出。ATEFUN.1.5C开发者执行的测试结果应当阐明每一个被测试的安全功能都按照规定运行。评估者行为元素ATE~FUN.1.lE评估者应确认所提供的信息满足证据内容和表示的所有要求。7.5.3独立性测试—抽样(ATE_IND.2)开发者行为元素ATE_IND.2.1D开发者要提供用于测试的政务公开网站系统。证据元素的内容和表示ATE-IND.2.1C政务公开网站委托系统要与测试相适应。ATE-IND.2.2C开发者要提供一个与开发者用于功能测试的资源相等的集合。评估者行为元素ATE-IND.2.lE评估者应当确认所提供的信息满足证据内容和表示的所有要求。 DB11/T145-2002ATE_IND.2.2E评估者应当适当测试一个安全功能子集，以确认政务公开网站系统按照规定运作。ATE_IND.2.3E评估者应当从测试文档中抽取一个已测试样本来进行测试，以验证开发者测试的结果。7.6脆弱性评定7.6.1系统安全功能强度评估(AVA一SOF.1)开发者行为元素AVA_SOF.L1D开发者应对在系统方案中标识的每一个安全机制进行安全功能强度分析。证据元素的内容和表示AVA多OF.1.1C对于具有系统安全功能强度申明的每个安全机制，系统安全功能强度分析应证明该机制达到或超过本要求规定的最低强度。AVAes~SOF.1.2C对于具有特定的系统安全功能强度申明的每个安全机制，系统安全功能强度分析应证明该机制达到或超过本要求定义的特定功能强度。评估者行为元素AVA_SOF.1.lE评估者应确认所提供的信息都满足证据内容和表示的所有要求。AVA_SOF.1.2E评估者应确认功能强度申明是正确的。7.6.2开发者脆弱性分析〔AVAVLA.1)开发者行为元素AVA_VLA.1.1D开发者应当通过搜索用户违背安全策略的明显方式，来分析政务公开网站系统，对分析以文档形式给出。AVA_VI.A.1.2D开发者应当以文档形式提出明显的脆弱性分布。证据元素的内容与表示AVA_VLA.1.1C对所有已标识的脆弱性，文档应该能说明在所期望的系统环境中无法利用这些脆弱性。评估者行为元素AVA一VLA.1.1E评估者应当确认所提供的信息都满足证据内容和表示的所有要求。AVA_VLA.1.2E评估者应该在开发者脆弱性分析的基础上实施穿透性测试，确保已经解决了明_显的脆弱性。28 DB11/T145-20028环境安全要求8.1备份和恢复备份和恢复(FDPBKP.1)FDP_BKP.1.1TSF应当具有备份功能。FDPBKP.1.2在需要时系统管理员可以取消备份功能。FDP一KP.1.3应对以下数据进行备份:1)系统软件;2)系统配置数据、用户鉴别数据;3)发布和收集的数据。FDP一KP.1.4TSF应具备恢复功能。8.2操作系统安全应重视操作系统的安全。操作系统安全(FMTOSS.1)FMT一SS.1.1与政务公开网站业务有关的操作系统应当关闭所有与业务无关的服务和端口。FMT夕SS.1.2操作系统的操作权限分配方面应当满足最小权限原则，并关闭所有不使用的远程操作命令。FMT_OSS.1.3应当具有严格的口令管理制度，包括口令字的选择、保管和定期更换等。FMTOSS.1.4操作系统维护应当实行专人岗位责任制度。FMT_OSS.1.5对操作系统的运行情况应当保持审计与跟踪。8.3数据库安全数据库系统安全(FMT_DDS.1)FMT_DDS1.1与政务公开网站业务有关的数据库系统应当关闭所有与业务无关的服务。FMTDDS1.2数据库系统的操作权限分配应该满足最小权限原则，并关闭不使用的远程操作命令。8.4病毒防范病毒防范(FMTVIR.1)FMTVIR.1.1对病毒可能侵入系统的途径进行控制，这里的途径有软盘、光盘、网络接口等。FMT一IR.1.2系统应安装经国家认可的防、杀病毒软件产品。 DB11/T145-2002FMT_VIR.1.3定期组织杀灭系统的病毒。FMT一IR.1.4一旦发现病毒应立即杀灭，如不能完全消灭，应立即上报并暂停工作。FMT_VIR.1.5对于染毒次数、杀毒次数、杀毒后果应进行详细记录。9基本原理基本原理中，假设1威胁/组织安全策略l安全目的/安全要求族都沿用了CC标准中的特定代码标识方式。9.1安全目的基本原理表7安全目的映射假设/威胁/组织安全策略安全门的假设/威胁/组织安全策略O.Secure_ConfigurationT.AdminErr一Omit,T.AdminErr_一itO.Secure_Attr_MgtT.Admin_ErrOmit,A.Remote一ccess0.Secure__Data_MgtT,Admin_Err一ommit0.Security_Func_._MgtT.AdminErrCommit0.Security_RolesT.Admin_Err_Commit,A.Trusted_User,T.Acs_to一OutO.CommTrustedChannelT.TransErr0.I&AT.Acs_to夕ut,A.RemoteAccess0.RBACT.AcstoOutA.Maint_Sysdev,T.Co呻onet_Failure,A.ProtofPowerFault,0.Sys_Sel足_ProtectionT.Transfer_Intogrity,A.Maint_Inst_Syssoft,A.Acc_Ovrwrit_SysdataThack丛vl_Resource,T.Trans_ErrO.Apply._Code一ixesA.Maint_Inst_Syssoft,T.Acs_toout0.ResourceQuotasT.HackAvlResouceA.prot_o迫一ower_Fault,A.Pprot丛gainstNature,0.SecureStateT.Component少ailure,P.CheckandmeasureO.Integrity_PracticeA.Maint_Sysdev,A.Maint_Inst_Syssoft,T.ComponentFailureO.ReactDiscoveredAtkT.Malicious多ode,T.Hack_Avl皿esource,P.checkandmeasureO.Website_Mnt_RecoveryP.MonitorandRecoveryO.Data_Imp_ControlT.Acs_to~Out,P.MonitorandRecovery0.Integ_Sys卫ata_IntT.Trans_Err,P.MonitorandRecovery0.Rev_MsgMod-IDT.TransErrO.Rcv_MsgMod_RcvrT.Trans_Err,0.Snt_MsgMod_.IDP.MonitorandRecovery,T.Acs_to一Out0.Snt_MsgMod_RcvrP.MonitorandRecovery,T.Acs_to_Out0.FailSecureT.Component_Failure,A.Maint_Sysdev,A.ProtAgainst一ature30 DB11/T145-2002假设/威胁/组织安全策略O.FaultToleranceT.Component一ailureO.Clean_Obj_RecoveryT.MaliciousCodeP.MonitorandAudit,T.AdminErrCommit,T.Admin一rrOmit,A.TrustedUserO.AuditGenerationT.Hack一Avl皿esource,T.Acs一。OutO.Audit_Loss_RespondP.MonitorandAudit,T.AdminErrCommit,T.AdminErr_OmitT.HackAvl_Resource,T.Admin_ErresOmit,T.Admin_ErrCommit,A.TrustedUserT.Hack一Avl皿esource,T.AdminErr_Omit,T.Admin_Err_Commit,A.TrustedUserT.HackAvlResource,T.Admin一rr一Omit,T.Admin一rrCommit,A.Trusted一ser0.Sys一ackup一rocsP.Backup0.Sys一ackupweVerifyP.Backup,T.ComponentFailure0.tec.isolatedP.tec.isolated，T.TransErr,T.Admin一ErrCommit,T.AcsjO-OutOE.InstallA.Maint_Sysdev,A.Maint_Inst_SyssoftOE.PhAccessA.Prot丛gainstNatureOE.TrainT.AdminErr多ommit,T.Admin_Err_伽itOE.DisasProtectionA.Prot一gainst一NatureOE.EMCP.StandardSel9.2安全要求基本原理表8安全功能要求映射安全目的安全功能要求安全目的FDPACC.1FDPACF.1FDPETC.10.RBACFDPIFC.IFDPIFF.1FDPIFF.50.DataImp多ontrolFDPITC.IFDPITC.20.Data_ImpControl,0.RBACFDPSDI.231 DB11/T145-2002安全功能要求安全目的FDPUCT.20.Rcv_MsgMod_ID,0.Rcv_MsgMod_Rcvr,0.SntMsgMod_ID,0.Snt_MsgModRcvrFIAUID.10.I&AFIAATD.10.I&A,0.Security_RolesFIASOS.10.I&AFIASOS.20.I&AFIAUAU.10.Audit一eneration,0.0.Security_Roles,0.Audit丛dmin_Role,O.I&AFIAUAU.30.I&AFIAUAM0.I&AFIAAFL.10.1以FIAUSB.10.I&A,0.RBACFPTFLS.10.Fail多ecure,0.Secure_StateFPTITC.1O.Data_ImpControlFPTITT.1O.Integ_Sys_Data_IntFPTRCM0.Secure多tate,0.Sys多ackup一rocsFPTRVM.10.SecurityFunc__Mgt,0.Secure_ConfigurationFPTSEP.1O.Tec_Isolated,O.Sys_SelfProtection0.Clean_Obj少ecovery,O.Integrity_一racti.ce,O.MaliciousCodeFPTTST.10.Sys一ackup_Verify，O.Sys_SelfProtectionFTAMCS.1O.ResourceQuotasFAUARP.1O.ReactDiscoveredAtkFAUGEN.1O.AuditGenerationFAUGEN.2O.Audit_Generation，0.I&AFAUS从.1O.ReactDiscoveredAtkFAUSAR.1O.TrustedPath&ChannelFAUSAR.2O.AuditAdminRoleFAUSTG.20.Audit丛drainRole,0.Audit_Protect，O.Audit_Loss_RespondFAUSTG.40.Audit工ossjespondO.ApplyCode_Fixes,O.AuditGeneration,O.Clean一Obj_Recovery,FMTMOF.10.MaintenanceAccess,0.Security丛ttr一gt,0.Security_Data_Mgt,0.Secure一onfiguration,O.Security_FuncMgt,O.Sys多ackup_Restore,32 DB11/T145-2002安全功能要求安全目的FMTMSA.2O.Security_AttrMgtMTMTD.1FMTSAE.10.Maintenancejecover,0.UserAuthManagementFMTSMR.1FMTSMR.3O.Security_RolesFTPITC.1O.CommTrustedChannelFRUFLT.1O.FaultToleranceFRURSA.1O.ResourceQuotas9.3满足依赖关系基本原理表9安全功能依赖表安全功能依赖性FDPACC.1FDPACF.1FDPACF.1FDP一ACC.1,FMTMSA.3FDPETC.1FDPeACC.1,FDP_IFC.1FDPIFC.1FDPIFF.1FDPIFF.1FDP_IFC.1,FMT一MSA.3FDPIFF.5FDPIFC.1FDPITC.1FDPeACC.1,FDPseIFC.1,FTP_ITC.1,FPT一TDC.1FDPITC.2FDPSDI.2FDPUIT.2FDPACC.1,FDP_IFC.1,FTP_ITC.1FIAATD.1FIASOS.1FIASOS.2FIAUID.133 DB11/T145-2002安全功能依赖性FIAUAIJ.7FIAUAU.1FIAAFL.1FIAUAU.1FIAUSB.1FIAATD.1FPTFLS.1FPTITC.1FPTITT.1FPTRCV.1FPT._TST.1,AGD_._ADM.1FPTRVM.1FPTSEP.1FPTTST.1FPTAMT.1FTAMCS.1FIAUID.1FAUARP.1FAUSAMFAUGEN.1FPTSPM.1FAUGEN.2FAU一EN.1,FIAesUID.1FAUSAA.1FAUGEN.1FAUSAMFAUGEN.]FAUSAR.2FAUSARAFAUSTG.2FAUGEN.]FAUSTGAFAUSTG.1FMTMOR1FMTSMR.1FMTMSA.1FDP_ACC.1,FDP_IFC.1,FMT_SMR.1FMTMSA.2FDPACC.1,FDP_IFC.1,FMT__MSA.1,FMT_SMR.1FMTMSA.3FMTMSA.1,FMT_SMR.1FMTMTD.1FMTSMR.1FMTSAE.1FMT_SMR.1,FPT_STM.1FMTSMR.1FIAUID.1FMTSMR.3FMTSMR.1FTPITC.1FRUFI.T.1FPTH.S.1FRURSA.l34'