信息安全保障组件开发、组合、保障组件依赖关系的交叉引用.pdfVIP

GB/T 18336.3—XXXX 附 录 A （资料性） 开发（ADV） A.1 ADV_ARC ：安全架构的补充材料 A.1.1 概述 本附录包含辅助材料，为ADV：开发类的族中提出的话题做进一步解释和提供额外的例子。 安全架构是TSF所展示的一组属性；这些属性包括自保护、域分离和不可旁路。拥有这些属性为 TSF 正在提供安全服务提供了信心。本附录提供了关于这些属性的附加材料，以及对安全架构描述内容的讨 论。 本节首先解释了这些属性，然后讨论了描述TSF 如何展示这些属性所需的信息。 A.1.2 安全架构属性 “自保护”指的是 TSF 保护自己不受外部实体操纵的能力，这些操纵可能导致 TSF 的改变。如果 没有这些属性，TSF 可能无法执行其安全服务。 通常情况下，TOE 基于其他 IT 实体提供的服务或资源来执行其功能（例如，依赖其底层操作系统 的应用程序）。在这些情况下，TSF 不能完全凭借自身保护自己，因为它依赖其他 IT 实体来保护其使 用的服务。 域分离是这样一种属性，TSF 为每个操作其资源的不可信活跃实体创建各自的安全域以对其资源进 行操作，并使这些域彼此分离，以便任何实体都不能在其他域中运行。例如，操作系统 TOE 为与不可 信实体相关的每个进程提供一个单独的域（地址空间、进程环境变量）。 对于某些 TOE来说这样的域是不存在的，因为所有不可信实体的操作都是由TSF 代理的。包过滤防 火墙就是这种 TOE 的一个例子，它没有不可信实体域；只有 TSF 维护的数据结构。因此，域的存在取 决于 1) TOE 的类型和 2) TOE 的安全功能要求。若TOE 确实为不可信实体提供单独的安全域，本族要 求这些域彼此隔离以防止一个域中的不可信实体篡改另一个不可信实体的域（不受 TSF 代理的影响）。 不可旁路性是TSF （用SFR指定）安全功能经常调用的一个属性，并且对于特定机制它不会被旁路。 例如，如果对文件的访问控制被指定为 TSF 的一种能力，那么在调用TSF的访问控制机制（通过原始磁 盘访问可能是这样一个接口的例子）之前必须不能存在直接访问此文件的接口。 拿自保护做例子，有些TOE可能很自然地依赖它们所处的环境，在TSF的不可旁路性中发挥作用。例 如，某安全应用TOE 要求它可由底层操作系统调用。类似的，防火墙依赖于这样一个事实，即不存在内 部和外部网络的直接连接通路，所以它们之间的通讯必须通过防火墙。 A.1.3 安全架构描述 安全架构的描述解释了 TSF 如何展示上述属性。它描述了域是如何定义的,以及 TSF 如何将它们 分离。它描述了如何防止不可信进程接触到TSF并对其进行修改。它描述了怎么确保 TSF 控制下的所有 121 GB/T 18336.3—XXXX 资源得到充分保护，以及确保TSF所要满足的SFR相关的所有行为。它解释了所有情况下环境扮演的角色 （例如，假设它被其底层环境正确地调用，它们的安全功能是如何被调用的？）。 安全架构描述以分解描述的方式呈现了 TSF 的自保护、域分离和不可旁路属性。此描述的级别与 ADV_FSP、ADV_TDS 和 ADV_IMP 要求的 TSF 描述相当。例如，如果仅在ADV_FSP中描述了TSF，那么， 因无法从中获取到TSF内部工作的细节，也就很难提供任何有意义的安全架构描述。 然而，如果可获得TOE设计，即使是最基础的级别 (ADV_TDS.1)，也会有一些构成 TSF 子系统的相 关信息，并且会描述它们如何工作以实现自保护、域分离和不可旁路。例如，也许所有用户与 TOE 的 交互都是通过一个代表该用户的进程来约束的，该进程采用了用户的所有安全属性；安全架构设计应描 述这样的进程是如何产生的，进程的行为是如何被 TSF 约束的（所以它不会破坏 TSF），进程的所有 行为是如何被 TSF 调控的（从而解释为什么 TSF 不可被旁路），等等。 如果可获得的