信息技术保障组件开发（ADV）、组合（ACO）、保障组件依赖关系的交叉引用.docxVIP

GB/T 18336.3—XXXX PAGE 1 （资料性）开发（ADV） ADV_ARC：安全架构的补充材料 概述 本附录包含辅助材料，为ADV：开发类的族中提出的话题做进一步解释和提供额外的例子。 安全架构是TSF所展示的一组属性；这些属性包括自保护、域分离和不可旁路。拥有这些属性为 TSF 正在提供安全服务提供了信心。本附录提供了关于这些属性的附加材料，以及对安全架构描述内容的讨论。 本节首先解释了这些属性，然后讨论了描述TSF 如何展示这些属性所需的信息。 安全架构属性 “自保护”指的是 TSF 保护自己不受外部实体操纵的能力，这些操纵可能导致 TSF 的改变。如果没有这些属性，TSF 可能无法执行其安全服务。 通常情况下，TOE 基于其他 IT 实体提供的服务或资源来执行其功能（例如，依赖其底层操作系统的应用程序）。在这些情况下，TSF 不能完全凭借自身保护自己，因为它依赖其他 IT 实体来保护其使用的服务。 域分离是这样一种属性，TSF 为每个操作其资源的不可信活跃实体创建各自的安全域以对其资源进行操作，并使这些域彼此分离，以便任何实体都不能在其他域中运行。例如，操作系统 TOE 为与不可信实体相关的每个进程提供一个单独的域（地址空间、进程环境变量）。 对于某些 TOE来说这样的域是不存在的，因为所有不可信实体的操作都是由TSF 代理的。包过滤防火墙就是这种 TOE 的一个例子，它没有不可信实体域；只有 TSF 维护的数据结构。因此，域的存在取决于 1) TOE 的类型和 2) TOE 的安全功能要求。若TOE 确实为不可信实体提供单独的安全域，本族要求这些域彼此隔离以防止一个域中的不可信实体篡改另一个不可信实体的域（不受 TSF 代理的影响）。 不可旁路性是TSF（用SFR指定）安全功能经常调用的一个属性，并且对于特定机制它不会被旁路。例如，如果对文件的访问控制被指定为 TSF 的一种能力，那么在调用TSF的访问控制机制（通过原始磁盘访问可能是这样一个接口的例子）之前必须不能存在直接访问此文件的接口。 拿自保护做例子，有些TOE可能很自然地依赖它们所处的环境，在TSF的不可旁路性中发挥作用。例如，某安全应用TOE 要求它可由底层操作系统调用。类似的，防火墙依赖于这样一个事实，即不存在内部和外部网络的直接连接通路，所以它们之间的通讯必须通过防火墙。 安全架构描述 安全架构的描述解释了 TSF 如何展示上述属性。它描述了域是如何定义的,以及 TSF 如何将它们分离。它描述了如何防止不可信进程接触到TSF并对其进行修改。它描述了怎么确保 TSF 控制下的所有资源得到充分保护，以及确保TSF所要满足的SFR相关的所有行为。它解释了所有情况下环境扮演的角色（例如，假设它被其底层环境正确地调用，它们的安全功能是如何被调用的？）。 安全架构描述以分解描述的方式呈现了 TSF 的自保护、域分离和不可旁路属性。此描述的级别与ADV_FSP、ADV_TDS 和 ADV_IMP 要求的 TSF 描述相当。例如，如果仅在ADV_FSP中描述了TSF，那么，因无法从中获取到TSF内部工作的细节，也就很难提供任何有意义的安全架构描述。 然而，如果可获得TOE设计，即使是最基础的级别 (ADV_TDS.1)，也会有一些构成 TSF 子系统的相关信息，并且会描述它们如何工作以实现自保护、域分离和不可旁路。例如，也许所有用户与 TOE 的交互都是通过一个代表该用户的进程来约束的，该进程采用了用户的所有安全属性；安全架构设计应描述这样的进程是如何产生的，进程的行为是如何被 TSF 约束的（所以它不会破坏 TSF），进程的所有行为是如何被 TSF 调控的（从而解释为什么 TSF 不可被旁路），等等。 如果可获得的 TOE 设计更详细（例如在模块级），或实现表示也可获得，那么相应的安全架构设计的描述应更详细，解释用户如何与TSF进行交互的过程，TSF如何处理不同的请求，传递了哪些参数，采用了哪些程序保护措施（防止缓冲区溢出、参数边界检查、核查时间/使用核查的时间等）。类似地，若在TOE的ST中声明了ADV_IMP 组件，则应加入实现表示相关的细节。 安全架构描述中提供的解释应足够详细，以便测试其准确性。也就是说，简单的声明（例如TSF实现域分离”）没有提供有用的信息让读者确信TSF 的确创建并分离了域。 域分离 如果TOE展现出的域分离完全由其本身实现，应就如何实现有一个明确描述。安全架构描述应解释由 TSF 定义的不同种类的域，它们是如何被定义的（即哪些资源被分配到每个域），所有资源是如何被保护的，以及如何保持域的分离，以便一个域的活动实体不可以篡改另一个域的资源。 对于 TOE 依赖其他 IT 实体实现域分离的情况，公用的角色必须明确说明