(高清版)GBT 33565-2024 網(wǎng)絡(luò)安全技術(shù) 無線局域網(wǎng)接入系統(tǒng)安全技術(shù)要求

代替GB/T33565—2017網(wǎng)絡(luò)安全技術(shù)無線局域網(wǎng)接入系統(tǒng)安全技術(shù)要求2024-04-25發(fā)布國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T33565—2024 V l2規(guī)范性引用文件 1 14縮略語 25無線局域網(wǎng)接入系統(tǒng) 2 2 36安全問題 36.1威脅 36.1.1未授權(quán)管理(T.UNAUTHORIZED_MANAGEMENT) 36.1.2未授權(quán)訪問(T.UNAUTHORIZED_ACCESS) 36.1.3加密破解(T.CRYPTOGRAPHY_COMPROMISE) 46.1.4管理口令破解(T.ADMINISTRATOR_PASSWORD_CRACKING) 46.1.5弱終端認(rèn)證(T.WEAK_AUTHENTICATION_ENDPOINTS) 46.1.6安全憑證受損(T.SECURITY_CREDENTIAL_COMPROMISE) 46.1.7更新受損(T.UPDATE_COMPROMISE) 46.1.8網(wǎng)絡(luò)暴露(T.NETWORK_DISCLOSURE) 46.1.9安全功能失效(T.SECURITY_FUNCTIONALITY_FAILURE) 46.1.10不可信信道(T.UNTRUSTED_COMMUNICATION_CHANNELS) 46.1.11重放攻擊(T.REPLAY_ATTACK) 46.1.12未知活動(dòng)(T.UNDETECTED_ACTIVITY) 46.1.13殘留信息利用(T.RESIDUAL_DATA_EXPLOIT) 56.1.14資源消耗(T.RESOURCE_EXHAUSTION) 56.1.15網(wǎng)絡(luò)劫持(T.HIJACK_ATTACK) 56.2組織安全策略 56.2.1接入告知(P.ACCESS_BANNER) 56.2.2密碼管理(P.CRYPTOGRAPHY_MANAGEMENT) 56.2.3認(rèn)證應(yīng)用(P.AUTHENTICATION_USAGE) 56.3假設(shè) 56.3.1物理保護(hù)(A.PHYSICAL_PROTECTION) 56.3.2有限功能(A.LIMITED_FUNCTIONALITY) 56.3.3連接(A.CONNECTION) 5ⅡGB/T33565—20246.3.4可信管理員(A.TRUSTED_ADMINISTRATOR) 56.3.5定期更新(A.REGULAR_UPDATES) 6.3.6管理員憑證安全(A.ADMINISTRATOR_CREDENTIALS_SECURE) 66.3.7組件正常運(yùn)行(A.COMPONENTS_RUNNING) 66.3.8無遺留信息(A.NO_REMAINING_INFORMATION) 67安全目的 6 7.1.1加密功能(O.CRYPTOGRAPHIC_FUNCTIONS) 7.1.2身份驗(yàn)證(O.AUTHENTICATION) 6 67.1.4系統(tǒng)監(jiān)測(O.SYSTEM_MONITORING) 7.1.5TOE管理員(O.TOE_ADMINISTRATOR) 67.1.6可信信道(O.TRUSTED_CHANNEL) 67.1.7資源管理(O.RESOURCE_MANAGEMENT) 67.1.8殘留信息清除(OE.RESIDUAL_INFORMATION_ERASE) 77.1.9可信更新(O.TRUSTED_UPDATE) 77.1.10分布式管理(O.DISTRIBUTED_MANAGEMENT) 77.1.11訪問控制(O.ACCESS_CONTROL) 7.2環(huán)境安全目的 77.2.1物理(OE.PHYSICAL) 77.2.2非通用功能(OE.NO_GENERAL_PURPOSE) 77.2.3管理員可信(OE.ADMINISTRATOR_TRUSTED) 7.2.4更新機(jī)制(OE.UPDATE_MECHANISM) 7.2.5管理員憑證安全(OE.ADMINISTRATOR_CREDENTIALS_SECURE) 7.2.6組件可用性(OE.COMPONENTS_SERVICEABILITY) 7.2.7遺留信息清除(OE.REMAINING_INFORMATION_ERASE) 87.2.8連接(OE.CONNECTIONS) 87.2.9可信時(shí)間(OE.TIME) 88安全要求 88.1安全功能要求 8.1.1安全功能要求分級 88.1.2安全審計(jì)(FAU) 8.1.3密碼支持(FCS) 8.1.4用戶數(shù)據(jù)保護(hù)(FDP) 8.1.5標(biāo)識和鑒別(FIA) 8.1.6安全管理(FMT) 8.1.7TSF保護(hù)(FPT) ⅢGB/T33565—20248.1.8TOE訪問(FTA) 8.1.9可信路徑/信道(FTP) 8.1.10資源利用(FRU)和通信(FCO) 8.2安全保障要求 9基本原理 9.1安全目的基本原理 9.2安全要求基本原理 9.3組件依賴關(guān)系基本原理 附錄A(規(guī)范性)分布式無線局域網(wǎng)接入系統(tǒng)組件安全功能要求分配關(guān)系 附錄B(規(guī)范性)無線局域網(wǎng)接入系統(tǒng)安全功能要求對應(yīng)的可審計(jì)事件 參考文獻(xiàn) V本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T33565—2017《信息安全技術(shù)無線局域網(wǎng)接入系統(tǒng)安全技術(shù)要求(評估保障級2級增強(qiáng))》,與GB/T33565—2017相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：a)更改了TOE范圍(見第5章，2017年版的第6章);b)更改了無線局域網(wǎng)接入系統(tǒng)面臨的威脅，包括15類威脅、3項(xiàng)組織安全策略和8個(gè)假設(shè)(見第6章，2017年版的第7章);c)更改了“TOE安全目的”和“環(huán)境安全目的”,包括11項(xiàng)TOE的安全目的，9項(xiàng)環(huán)境安全目的(見第7章，2017年版的第8章);d)更改了無線局域網(wǎng)接入系統(tǒng)安全功能要求，包括10類81項(xiàng)安全功能要求(見8.1,2017年版的第9章、第10章);e)根據(jù)無線局域網(wǎng)接入系統(tǒng)技術(shù)發(fā)展，更改了最新安全保障要求(見8.2,2017年版的9.2);f)增加了“基本原理”,包括安全問題與安全目的、安全目的與安全要求間的對應(yīng)關(guān)系和組件間的依賴關(guān)系(見第9章)。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：中國信息安全測評中心，中國科學(xué)院信息工程研究所、中車工業(yè)研究院有限公司、北京交通大學(xué)、華為技術(shù)有限公司、西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司、公安部第一研究所、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、深信服科技股份有限公司、鄭州信大捷安信息技術(shù)股份有限公司、長揚(yáng)科技(北京)股份有限公司、深圳市信銳網(wǎng)科技術(shù)有限公司、北京路云天網(wǎng)絡(luò)安全技術(shù)研究院有限公司、西安交大捷普網(wǎng)絡(luò)科技有限公司、中孚信息股份有限公司、國網(wǎng)區(qū)塊鏈科技(北京)有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、新華三技術(shù)有限公司、中國電力科學(xué)研究院有限公司。王海翔。本文件及其所代替文件的歷次版本發(fā)布情況為：——2017年首次發(fā)布為GB/T33565—2017;——本次為第一次修訂。1網(wǎng)絡(luò)安全技術(shù)無線局域網(wǎng)接入系統(tǒng)安全技術(shù)要求1范圍本文件規(guī)定了無線局域網(wǎng)接入系統(tǒng)的安全功能要求和安全保障要求，給出了無線局域網(wǎng)接入系統(tǒng)面臨安全問題的說明。本文件適用于無線局域網(wǎng)接入系統(tǒng)的測試、評估和采購，以及指導(dǎo)該類產(chǎn)品的研制和開發(fā)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB15629.11信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無線局域網(wǎng)媒體訪問控制和物理層規(guī)范GB/T18336.1—2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分：簡介和一般模型GB/T18336.2—2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第2部分：安全功能要求GB/T18336.3—2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第3部分：安全保障要求GB/T25069—2022信息安全技術(shù)術(shù)語GB/T32213—2015信息安全技術(shù)公鑰基礎(chǔ)設(shè)施遠(yuǎn)程口令鑒別與密鑰建立規(guī)范GB/T32915—2016信息安全技術(shù)二元序列隨機(jī)性檢測方法GB/T32918.3—2016信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第3部分：密鑰交換協(xié)議GB/T35276—2017信息安全技術(shù)SM2密碼算法使用規(guī)范GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求3術(shù)語和定義GB/T25069—2022和GB/T18336.1—2024界定的以及下列術(shù)語和定義適用于本文件。無線局域網(wǎng)接入系統(tǒng)wirelesslocalareanetworkaccesssystem;WLANaccesssystem能實(shí)現(xiàn)無線局域網(wǎng)客戶端接入無線局域網(wǎng)絡(luò)的，由軟件和硬件構(gòu)成的設(shè)備或者系統(tǒng)。接入控制器accesscontroller實(shí)現(xiàn)無線局域網(wǎng)客戶端接入無線局域網(wǎng)絡(luò)的控制設(shè)備。一種提供無線局域網(wǎng)客戶端與有線網(wǎng)絡(luò)之間的訪問，在無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)幀的網(wǎng)絡(luò)接2下列縮略語適用于本文件。AC:接入控制器(AccessController)AP:訪問點(diǎn)(AccessPoint)EAL:評估保障級(EvaluationAssuranceLevel)PP:保護(hù)輪廓(ProtectionProfile)SFP:安全功能策略(SecurityFunctionPolicy)SFR:安全功能要求(SecurityFunctionalRequirement)TOE:評估對象(TargetofEvaluation)TSF:評估對象安全功能(TOESecurityFunctions)TSP:評估對象安全策略(TOESecurityPolicy)WAPI:無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)(WLANAuthenticationandPrivacyInfrastructure)WAS:無線局域網(wǎng)接入系統(tǒng)(WLANAccessSystem)WLAN:無線局域網(wǎng)(WirelessLocalAreaNetwork)5無線局域網(wǎng)接入系統(tǒng)無線局域網(wǎng)接入系統(tǒng)是一種基于IEEE802.11和GB15629.11系列標(biāo)準(zhǔn)中協(xié)議族構(gòu)建的由軟件和硬件構(gòu)成的設(shè)備或者系統(tǒng)，通常由一個(gè)接入控制器AC和一個(gè)或多個(gè)訪問點(diǎn)AP構(gòu)成，位于被接入網(wǎng)絡(luò)邊緣，服務(wù)于無線局域網(wǎng)客戶端與被接入網(wǎng)絡(luò)間的安全通信。無線局域網(wǎng)接入系統(tǒng)支持管理、認(rèn)證、加密以及保護(hù)和處理通信數(shù)據(jù)等安全功能，在無線局域網(wǎng)客戶端和被接入網(wǎng)絡(luò)之間提供安全通信，保護(hù)一個(gè)典型的無線局域網(wǎng)接入系統(tǒng)的運(yùn)行環(huán)境如圖1所示。3ACAC無線局域網(wǎng)客戶端無線局域網(wǎng)接入系統(tǒng)被接入網(wǎng)絡(luò)圖1典型無線局域網(wǎng)接入系統(tǒng)運(yùn)行環(huán)境WAS安全技術(shù)要求分為3個(gè)等級?！狤AL2+:同時(shí)符合EAL2+級安全功能要求和EAL2級安全保障要求，主要應(yīng)用于家庭、個(gè)人用戶和有限商業(yè)?！狤AL3:同時(shí)符合EAL3級安全功能要求和EAL3級安全保障要求，主要應(yīng)用于組織、個(gè)人用戶和一般商業(yè)?！狤AL4:同時(shí)符合EAL4級安全功能要求和EAL4級安全保障要求，主要應(yīng)用于專有的高安全等級領(lǐng)域。本文件適用于遵循IEEE802.11系列標(biāo)準(zhǔn)中協(xié)議的一個(gè)或多個(gè)AP、AC及其中運(yùn)行的管理應(yīng)用程序。在物理組件層面它們或分布存在，或集成為單一設(shè)備。本文件的TOE僅含遠(yuǎn)程管理路徑保護(hù)，本地和遠(yuǎn)程登錄認(rèn)證，安全相關(guān)事件審計(jì)，加密驗(yàn)證更新來源以及防護(hù)常見的網(wǎng)絡(luò)攻擊等基礎(chǔ)安全功能。其他安全功能不在本文件的評估范圍內(nèi)。6安全問題6.1.1未授權(quán)管理(T.UNAUTHORIZED_MANAGEMENT)威脅主體通過假冒管理員、重放管理會(huì)話或中間人攻擊等手段獲取管理權(quán)限，或者通過提供錯(cuò)誤的管理信息，實(shí)現(xiàn)對管理會(huì)話或不同設(shè)備之間會(huì)話的訪問干預(yù)。威脅主體在獲取管理員權(quán)限后會(huì)危害設(shè)備及所在網(wǎng)絡(luò)的安全功能，例如損害TOE安全特性更新、修改設(shè)備安全配置、修改權(quán)限信息等。6.1.2未授權(quán)訪問(T.UNAUTHORIZED_ACCESS)威脅主體試圖訪問位于受保護(hù)網(wǎng)絡(luò)上的服務(wù)，這些服務(wù)僅能從受保護(hù)網(wǎng)絡(luò)內(nèi)部訪問，或者只能通過受保護(hù)網(wǎng)絡(luò)認(rèn)證過的途徑訪問。46.1.3加密破解(T.CRYPTOGRAPHY_COMPROMISE)威脅主體嘗試破解弱的加密算法或者窮舉密鑰空間。加密算法、模式和密鑰長度的不當(dāng)選擇，使得威脅主體能以最小代價(jià)破解加密算法或暴力耗盡密鑰空間，實(shí)現(xiàn)未授權(quán)訪問，從而危害網(wǎng)絡(luò)設(shè)備及信息安全。6.1.4管理口令破解(T.ADMINISTRATOR_PASSWORD_CRACKING)威脅主體破解管理員弱口令獲得系統(tǒng)超級權(quán)限，從而不受約束地訪問網(wǎng)絡(luò)，獲取數(shù)據(jù)，在網(wǎng)絡(luò)中偽裝成可信主體，損害網(wǎng)絡(luò)信息安全。6.1.5弱終端認(rèn)證(T.WEAK_AUTHENTICATION_ENDPOINTS)威脅主體利用弱終端認(rèn)證方法，例如弱口令等，偽裝成管理員或其他設(shè)備實(shí)施中間人攻擊，導(dǎo)致關(guān)鍵網(wǎng)絡(luò)流量暴露，破壞數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，甚至破壞TOE安全。6.1.6安全憑證受損(T.SECURITY_CREDENTIAL_COMPROMISE)威脅主體通過篡改證書等方法持續(xù)訪問TOE及關(guān)鍵數(shù)據(jù)。例如將原證書替換為非法證書，修改已有證書或者直接盜用管理員或設(shè)備的證書。6.1.7更新受損(T.UPDATE_COMPROMISE)威脅主體通過篡改軟件或固件的更新，來破壞TOE的安全功能，而未經(jīng)驗(yàn)證或使用不安全方法驗(yàn)6.1.8網(wǎng)絡(luò)暴露(T.NETWORK_DISCLOSURE)威脅主體對受保護(hù)網(wǎng)絡(luò)上的設(shè)備進(jìn)行未經(jīng)授權(quán)的活動(dòng)。如果惡意的外部設(shè)備能與受保護(hù)網(wǎng)絡(luò)上的設(shè)備通信，或者受保護(hù)網(wǎng)絡(luò)上的設(shè)備能與這些外部設(shè)備建立通信，則這些內(nèi)部設(shè)備極易遭受未授權(quán)的信息暴露。6.1.9安全功能失效(T.SECURITY_FUNCTIONALITY_FAILURE)威脅主體利用安全功能失效，在未認(rèn)證的情況下使用或?yàn)E用安全功能，以訪問和修改設(shè)備數(shù)據(jù)、關(guān)鍵網(wǎng)絡(luò)流量或者安全功能配置。TOE的安全機(jī)制通常是從受信任的初始機(jī)制構(gòu)建出來的復(fù)雜機(jī)制集合，初始機(jī)制的失效影響復(fù)雜機(jī)制的運(yùn)行，從而導(dǎo)致安全功能失效。威脅主體竊聽、入侵沒有使用標(biāo)準(zhǔn)化的安全傳輸通道協(xié)議來保護(hù)關(guān)鍵網(wǎng)絡(luò)信息傳輸?shù)木W(wǎng)絡(luò)主體，實(shí)施如中間人攻擊、重放攻擊等，獲得無線局域網(wǎng)接入系統(tǒng)與其他設(shè)備交互的數(shù)據(jù)，進(jìn)而破壞數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，甚至破壞TOE安全。6.1.11重放攻擊(T.REPLAY_ATTACK)威脅主體通過截獲有效通信數(shù)據(jù)包后重新發(fā)送，以混淆正常通信或者攻擊TOE,影響其安全工作。6.1.12未知活動(dòng)(T.UNDETECTED_ACTIVITY)威脅主體在不被覺察的情況下試圖訪問、修改TOE的安全功能(例如利用錯(cuò)誤配置、產(chǎn)品缺陷),這將導(dǎo)致管理員無法發(fā)現(xiàn)設(shè)備已受損。威脅主體采取未知的攻擊行為攻擊TOE及所在網(wǎng)絡(luò)，對56.1.13殘留信息利用(T.RESIDUAL_DATA_EXPLOIT)威脅主體利用殘留信息的處理缺陷，在執(zhí)行過程中對未刪除的殘留信息進(jìn)行利用，以獲取敏感信息或?yàn)E用安全功能，危害TOE安全。6.1.14資源消耗(T.RESOURCE_EXHAUSTION)威脅主體通過大量消耗TOE關(guān)鍵資源使得系統(tǒng)崩潰或超時(shí)拒絕服務(wù)。威脅主體通過壓制合法網(wǎng)絡(luò)信號并偽裝成原接入系統(tǒng)，與待接入設(shè)備進(jìn)行交互，從而獲取TSF數(shù)據(jù)或用戶數(shù)據(jù)，威脅TOE安全。6.2組織安全策略6.2.1接入告知(P.ACCESS_BANNER)TOE顯示一個(gè)描述使用限制、法律協(xié)議或其他需要用戶同意的初始告知。6.2.2密碼管理(P.CRYPTOGRAPHY_MANAGEMENT)密碼的使用是按照相關(guān)國家標(biāo)準(zhǔn)進(jìn)行的。6.2.3認(rèn)證應(yīng)用(P.AUTHENTICATION_USAGE)管理員為無線局域網(wǎng)接入系統(tǒng)選擇符合應(yīng)用需求的認(rèn)證方式。6.3.1物理保護(hù)(A.PHYSICAL_PROTECTION)假定TOE在其運(yùn)行環(huán)境中受到物理保護(hù)，不會(huì)受到危及設(shè)備安全、干擾設(shè)備物理互連和影響正確操作的物理攻擊。假定這種保護(hù)足以保護(hù)設(shè)備及其包含的數(shù)據(jù)。因此，本文件不包括任何關(guān)于物理篡改保護(hù)或其他緩解物理攻擊的要求。6.3.2有限功能(A.LIMITED_FUNCTIONALITY)假定TOE以提供無線網(wǎng)絡(luò)接入功能為核心，不提供通用計(jì)算功能或服務(wù)。假定運(yùn)行環(huán)境涉及范圍中，TOE連接于一個(gè)確定的網(wǎng)絡(luò)，其用戶與被接入網(wǎng)絡(luò)之間的信息傳遞保證經(jīng)過TOE,并保證安全策略能強(qiáng)制執(zhí)行。6.3.4可信管理員(A.TRUSTED_ADMINISTRATOR)假定管理員可信，能確保密碼或憑據(jù)具有足夠的強(qiáng)度和復(fù)雜度，且管理設(shè)備時(shí)沒有惡意。不要求TOE能防御惡意管理員的破壞。對于支持X.509v3證書驗(yàn)證的TOE,管理員需要保證加載的TOE根證書庫可信。6.3.5定期更新(A.REGULAR_UPDATES)假定管理員會(huì)定期且及時(shí)進(jìn)行固件或軟件的更新，以響應(yīng)產(chǎn)品升級或漏洞修補(bǔ)。66.3.6管理員憑證安全(A.ADMINISTRATOR_CREDENTIALS_SECURE)假定用于訪問TOE的管理員憑據(jù)(私鑰)受其所在平臺(tái)的保護(hù)。6.3.7組件正常運(yùn)行(A.COMPONENTS_RUNNING)假定TOE的各組件都在正常工作，沒有單個(gè)組件功能失效。假定管理員能確保移出運(yùn)行環(huán)境的TOE設(shè)備上，遺留的敏感信息(例如加密密鑰、pin碼、密碼等)不會(huì)被未授權(quán)的實(shí)體訪問或獲取。7安全目的7.1TOE安全目的無線局域網(wǎng)接入系統(tǒng)應(yīng)使用符合國家標(biāo)準(zhǔn)管理機(jī)構(gòu)和國家密碼管理機(jī)構(gòu)要求的加解密機(jī)制，保證無線局域網(wǎng)接入系統(tǒng)能對其保護(hù)的數(shù)據(jù)采取加密措施，以保持其機(jī)密性、完整性。7.1.2身份驗(yàn)證(O.AUTHENTICATION)無線局域網(wǎng)接入系統(tǒng)應(yīng)使用符合標(biāo)準(zhǔn)管理機(jī)構(gòu)要求的身份驗(yàn)證機(jī)制，以確保用戶正在與授權(quán)的外無線局域網(wǎng)接入系統(tǒng)應(yīng)提供測試其安全功能的相關(guān)機(jī)制，在初次啟動(dòng)以及系統(tǒng)運(yùn)行過程中執(zhí)行自檢，以確保其安全功能的完整性，并將自檢結(jié)果通知管理員。若啟動(dòng)時(shí)自檢失敗，則無線局域網(wǎng)接入系統(tǒng)應(yīng)進(jìn)入安全狀態(tài)，確保不遵守TOE安全策略的數(shù)據(jù)無法傳遞。7.1.4系統(tǒng)監(jiān)測(O.SYSTEM_MONITORING)無線局域網(wǎng)接入系統(tǒng)應(yīng)提供監(jiān)測WLAN功能和安全相關(guān)事件的能力，并能對記錄的事件進(jìn)行保護(hù)，對監(jiān)測結(jié)果進(jìn)行安全性分析，將分析結(jié)果展示或發(fā)送至有授權(quán)的相關(guān)管理實(shí)體。無線局域網(wǎng)接入系統(tǒng)應(yīng)提供管理員用于管理系統(tǒng)安全所必需的功能，包括對管理員的管理權(quán)限進(jìn)行分級與限制的功能、管理會(huì)話鎖定功能、處理遠(yuǎn)程管理員身份驗(yàn)證失敗嘗試等功能。7.1.6可信信道(O.TRUSTED_CHANNEL)無線局域網(wǎng)接入系統(tǒng)應(yīng)提供通信信道管理、選擇和發(fā)現(xiàn)信道異常的能力，能識別偽裝的接入系統(tǒng)與偽裝的授權(quán)用戶，并提供受保護(hù)的安全數(shù)據(jù)傳輸通道，供管理員或授權(quán)用戶使用，確保用戶沒有與偽裝的接入系統(tǒng)或授權(quán)用戶通信。7.1.7資源管理(O.RESOURCE_MANAGEMENT)無線局域網(wǎng)接入系統(tǒng)應(yīng)提供系統(tǒng)資源管理功能，減少可能耗盡系統(tǒng)資源的風(fēng)險(xiǎn)，防止惡意用戶或惡7意程序大量消耗系統(tǒng)資源。7.1.8殘留信息清除(OE.RESIDUAL_INFORMATION_ERASE)無線局域網(wǎng)接入系統(tǒng)應(yīng)保證重要敏感數(shù)據(jù)在使用完成后會(huì)被刪除或被安全處理，保證受保護(hù)資源被重新分配時(shí)不會(huì)留下可被攻擊者利用的殘留數(shù)據(jù)信息。7.1.9可信更新(O.TRUSTED_UPDATE)無線局域網(wǎng)接入系統(tǒng)應(yīng)提供測試其升級的相關(guān)機(jī)制，確保升級所用的固件、軟件來源可信，內(nèi)容未被篡改。7.1.10分布式管理(O.DISTRIBUTED_MANAGEMENT)無線局域網(wǎng)接入系統(tǒng)應(yīng)提供分布式管理相關(guān)機(jī)制，對于分布式系統(tǒng)提供組件注冊、組件間安全通信、統(tǒng)籌系統(tǒng)級審計(jì)相關(guān)功能。7.1.11訪問控制(O.ACCESS_CONTROL)無線局域網(wǎng)接入系統(tǒng)應(yīng)提供訪問控制機(jī)制，區(qū)分訪問實(shí)體的權(quán)限，并可限制實(shí)體到無線網(wǎng)絡(luò)或無線局域網(wǎng)接入系統(tǒng)的連接，防止無線局域網(wǎng)接入系統(tǒng)所在的網(wǎng)絡(luò)、無線局域網(wǎng)接入系統(tǒng)的管理后臺(tái)、重要數(shù)據(jù)、進(jìn)程及資源等在未授權(quán)情況下被訪問、修改或刪除。7.2環(huán)境安全目的無線局域網(wǎng)接入系統(tǒng)運(yùn)行環(huán)境可提供其運(yùn)行所需的物理安全保護(hù)。除了無線局域網(wǎng)接入系統(tǒng)的操作、管理和支持所必需的服務(wù)外，無線局域網(wǎng)接入系統(tǒng)上不提供通用計(jì)算功能或服務(wù)(例如，編譯器或用戶應(yīng)用程序)。7.2.3管理員可信(OE.ADMINISTRATOR_TRUSTED)管理員是可信的，經(jīng)過充分的培訓(xùn)，并以一種受信任的方式遵循和應(yīng)用所有指導(dǎo)文檔。對于支持X.509v3證書驗(yàn)證的TOE,管理員需要保證加載的TOE根證書庫可信。7.2.4更新機(jī)制(OE.UPDATE_MECHANISM)無線局域網(wǎng)接入系統(tǒng)的固件或軟件會(huì)由管理員及時(shí)依據(jù)產(chǎn)品發(fā)布更新進(jìn)行升級。7.2.5管理員憑證安全(OE.ADMINISTRATOR_CREDENTIALS_SECURE)用于訪問TOE的管理員憑據(jù)(如私鑰)應(yīng)在其駐留的任何其他平臺(tái)上受到合理保護(hù)。7.2.6組件可用性(OE.COMPONENTS_SERVICEABILITY)對于分布式無線局域網(wǎng)接入系統(tǒng)，管理員應(yīng)定期檢查分布式各組件的可用性，以降低因未檢測引發(fā)的部分組件失效或受攻擊的風(fēng)險(xiǎn)。管理員還應(yīng)定期檢查分布式各組件的審計(jì)功能模塊，以確保各組件審計(jì)功能的正常運(yùn)行。87.2.7遺留信息清除(OE.REMAINING_INFORMATION_ERASE)管理員應(yīng)確保當(dāng)無線局域網(wǎng)接入系統(tǒng)被丟棄或移除時(shí)，物理設(shè)備上的敏感遺留信息(例如加密密鑰、pin碼、密碼等)不會(huì)受到未經(jīng)授權(quán)的訪問或獲取。管理員應(yīng)確保無線局域網(wǎng)接入系統(tǒng)采用合適的安裝方式，能保證對受監(jiān)控網(wǎng)絡(luò)的網(wǎng)絡(luò)流量有效地實(shí)施策略。無線局域網(wǎng)接入系統(tǒng)運(yùn)行環(huán)境應(yīng)提供設(shè)置或獲取可信時(shí)間的功能，保證系統(tǒng)時(shí)間是由授權(quán)用戶設(shè)定或者是從可靠的時(shí)鐘源同步獲得的。8安全要求8.1安全功能要求8.1.1安全功能要求分級無線局域網(wǎng)接入系統(tǒng)的安全功能要求應(yīng)由GB/T18336.2—2024規(guī)定的安全功能組件構(gòu)成，無線局域網(wǎng)接入系統(tǒng)的安全功能要求見表1,8.1.2～8.1.9對各安全功能組件進(jìn)行了說明。若需要評估的無線局域網(wǎng)接入系統(tǒng)為分布式的系統(tǒng)，系統(tǒng)整體及組件需要滿足的安全功能要求按照附錄A。表1安全功能要求分級安全功能類安全功能組件EAL2+EAL3EAL4安全審計(jì)(FAU)FAU_GEN.1√√√FAU_GEN.2√√√FAU_ARP.1√√√FAU_SAA.1/√√FAU_SAA.2//√FAU_SAA.3//√FAU_SAR.1√√√FAU_SAR.2√√√FAU_SAR.3√√√FAU_SEL.1√√√FAU_STG.1√√√FAU_STG.2/√√FAU_STG.3√√√FAU_STG.4√√√FAU_STG.5√√√FAU_STG_EXT.1/√√9表1安全功能要求分級(續(xù))安全功能類安全功能組件EAL2+EAL3EAL4密碼支持(FCS)FCS_CKM.1√√√FCS_CKM.2√√√FCS_CKM.3√√√FCS_CKM.5/√√FCS_CKM.6√√√FCS_COP.1√√√FCS_RBG.1√√√FCS_RNG.1√√√FCS_TLSS_EXT.1/√√FCS_TLSS_EXT.2//√用戶數(shù)據(jù)保護(hù)(FDP)FDP_ACC.1√√√FDP_ACF.1√√√FDP_RIP.1√√√FDP_RIP.2√√√FDP_SDC.1√√√FDP_SDI.1√√√標(biāo)識和鑒別(FIA)FIA_AFL.1√√√FIA_ATD.1√√√FIA_UAU.1√√√FIA_UAU.3√√√FIA_UAU.5//√FIA_UAU.6√√√FIA_UAU.7/√√FIA_UAU_EXT.1/√√FIA_UID.1√√√FIA_UID.2√√√FIA_USB.1√√√FIA_8021X_EXT.1//√FIA_PMG_EXT.1√√√FIA_PSK_EXT.1//√安全管理(FMT)FMT_MOF.1√√√FMT_MSA.1√√√FMT_MSA.2√√√FMTMSA.3√√√表1安全功能要求分級(續(xù))安全功能類安全功能組件EAL2+EAL3EAL4安全管理(FMT)FMT_MTD.1√√√FMT_MTD.2√√√FMT_MTD.3√√√FMT_SMF.1√√√FMT_SMR.1√√√FMT_SMR.2/√√FMT_SMR_EXT.1√√√TSF保護(hù)(FPT)FPT_FLS.1√√√FPT_ITC.1/√√FPT_RCV.4√√√FPT_RPL.1//√FPT_STM.1√√√FPT_TST.1√√√FPT_ITT.1/√√FPT_INI.1√√√FPT_SKP_EXT.1√√√FPT_TUD_EXT.1√√√FPT_TUD_EXT.2/√√FTA_SSL.1√√√FTA_SSL.3√√√FTA_SSL.4√√√FTA_TSE.1√√√FTA_TAB.1/√√可信路徑/信道(FTP)FTP_ITC.1√√√FTP_ITC.1/Client√√√FTP_PRO.1√√√FTP_PRO.2√√√FTP_PRO.3√√√FTP_TRP.1√√√資源利用(FRU)FRU_RSA.1√√√通信(FCO)FCO_CPC_EXT.1/√√注：“√”為必備滿足的項(xiàng)，“/”為可選滿足的項(xiàng)。FAUGEN.1.1TSF應(yīng)能為下述可審計(jì)事件產(chǎn)生審計(jì)記錄：——審計(jì)功能的開啟和關(guān)閉；——有關(guān)[選擇：最小級、基本級、詳細(xì)級、未規(guī)定]審計(jì)級別的所有可審計(jì)事件；——需要記錄的審計(jì)事件，包括且不限于：●登錄和注銷(如管理員需要個(gè)人用戶賬戶，應(yīng)記錄用戶賬戶的名稱);●與配置變更相關(guān)的TSF數(shù)據(jù)變更(除了發(fā)生變更的信息外，還應(yīng)記錄變更前的信息);·生成/導(dǎo)入、更改或刪除加密密鑰(除操作本身外，還應(yīng)記錄唯一的密鑰名稱或密鑰引用);·重置密碼(需記錄相關(guān)用戶賬號名);·無線傳感器通信失敗；●對于分布式TOE,每個(gè)組件都需要生成自己的審計(jì)記錄，審計(jì)數(shù)據(jù)包括且不限于：TOE組件列表，TOE為分布式TOE,存儲(chǔ)外部為以下TOE組件提供的審計(jì)數(shù)據(jù)：沒有在本地存儲(chǔ)審計(jì)數(shù)據(jù)的TOE組件，以及向其傳輸其生成的審計(jì)數(shù)據(jù)的其他TOE組件列表；·其他可審計(jì)事件，可審計(jì)事件按照附錄B。FAU_GEN.1.2TSF應(yīng)在每個(gè)審計(jì)記錄中至少記錄下列信息：——可審計(jì)事件的日期和時(shí)間、事件類型、主體身份(如果適用)、事件的結(jié)果(成功或失敗);——對每種審計(jì)事件類型，基于PP、PP-模塊、功能包或ST中功能組件的可審計(jì)事件的定義，表B.1第三列“附加審計(jì)記錄”中指定的信息。TSF應(yīng)能將每個(gè)可審計(jì)事件與導(dǎo)致事件的用戶的身份相關(guān)聯(lián)。當(dāng)檢測到潛在的安全侵害時(shí)，TSF應(yīng)進(jìn)行相應(yīng)操作。FAU_SAA.1.1TSF應(yīng)能使用一組規(guī)則去監(jiān)測審計(jì)事件，并根據(jù)這些規(guī)則指示出對實(shí)施SFR的潛在侵害。TSF應(yīng)執(zhí)行下列規(guī)則監(jiān)測審計(jì)事件：——已知的用來指示潛在安全侵害的已定義的可審計(jì)事件的子集的累積或組合；——任何其他規(guī)則。FAU_SAA.2.1TSF應(yīng)能維護(hù)系統(tǒng)使用輪廓。在這里單個(gè)輪廓代表由輪廓目標(biāo)組成員完成的歷史使用模式。TSF應(yīng)維護(hù)一個(gè)與每個(gè)用戶相對應(yīng)的置疑等級，這些用戶的活動(dòng)已記錄在輪廓中。在這里，置疑等級代表用戶當(dāng)前活動(dòng)與輪廓中已建立的使用模式不一致的程度。FAU_SAA.2.3當(dāng)用戶的置疑等級超過閾值條件TSF報(bào)告異?；顒?dòng)的條件時(shí)，TSF應(yīng)能指出對SFR實(shí)施的可能侵害即將發(fā)生。對預(yù)示可能違反SFR實(shí)施的下列特征事件系統(tǒng)事件的一個(gè)子集，TSF應(yīng)能維護(hù)一個(gè)內(nèi)部表示。TSF應(yīng)能對照特征事件比對系統(tǒng)活動(dòng)記錄，系統(tǒng)活動(dòng)可通過檢查確定系統(tǒng)活動(dòng)的信息辨別出來。FAU_SAA.3.3當(dāng)發(fā)現(xiàn)一個(gè)系統(tǒng)事件與一個(gè)預(yù)示可能潛在違反SFR實(shí)施的特征事件匹配時(shí)，TSF應(yīng)能指出潛在違反SFR實(shí)施的事件即將發(fā)生。FAU_SAR.1.1TSF應(yīng)為授權(quán)用戶提供從審計(jì)記錄中讀取審計(jì)信息列表的能力。FAUSAR.1.2TSF應(yīng)以便于用戶理解的方式提供審計(jì)記錄。除明確準(zhǔn)許讀訪問的用戶外，TSF應(yīng)禁止所有用戶讀取審計(jì)記錄。TSF應(yīng)根據(jù)邏輯關(guān)系提供對審計(jì)數(shù)據(jù)進(jìn)行選擇和(或)排序的能力。TSF應(yīng)能根據(jù)以下屬性從所有審計(jì)事件集合中選擇可審計(jì)的事件：——審計(jì)選擇所依據(jù)的附件屬性表。1審計(jì)數(shù)據(jù)存儲(chǔ)位置(FAU_STG.1)FAU_STG.1.1TSF應(yīng)能將生成的審計(jì)數(shù)據(jù)存儲(chǔ)在[選擇：TOE本身，根據(jù)FTP_ITC使用可信信道將生成的審計(jì)數(shù)據(jù)傳輸?shù)酵獠縄T實(shí)體，其他存儲(chǔ)位置]。2受保護(hù)的審計(jì)數(shù)據(jù)存儲(chǔ)(FAU_STG.2)FAU_STG.2.1TSF應(yīng)保護(hù)所存儲(chǔ)的審計(jì)記錄，以避免未授權(quán)的刪除。FAU_STG.2.2TSF應(yīng)能[選擇：防止、檢測]對審計(jì)中所存審計(jì)記錄的未授權(quán)修改。FAU_STG.3.1TSF應(yīng)保護(hù)所存儲(chǔ)的審計(jì)記錄，以避免未授權(quán)的刪除。FAU_STG.3.2TSF應(yīng)能[選擇：防止、檢測]對審計(jì)數(shù)據(jù)中所存審計(jì)記錄的未授權(quán)修改。FAU_STG.3.3當(dāng)下列情況發(fā)生時(shí)：[選擇：審計(jì)存儲(chǔ)耗盡、失效、受攻擊],TSF應(yīng)確保保存審計(jì)記錄的度量內(nèi)的審計(jì)記錄維持有效。4審計(jì)數(shù)據(jù)可能丟失時(shí)的行為(FAU_STG.4)如果審計(jì)數(shù)據(jù)存儲(chǔ)超過預(yù)定的限度，TSF應(yīng)在審計(jì)記錄超過預(yù)定的限度之前發(fā)出警告，通知管理員，并[選擇：刪除新的審計(jì)數(shù)據(jù)，按照覆蓋以前的審計(jì)記錄的規(guī)則覆蓋以前的審計(jì)記錄]。如果審計(jì)數(shù)據(jù)存儲(chǔ)已滿，TSF應(yīng)[選擇：“忽略可審計(jì)事件”,“阻止可審計(jì)事件，具有特權(quán)的授權(quán)用戶產(chǎn)生的事件除外”,“覆蓋所存儲(chǔ)的最早的審計(jì)記錄”],提供關(guān)于[選擇：刪除，覆蓋，其他信息操作]審計(jì)記錄數(shù)量的信息審計(jì)存儲(chǔ)失效時(shí)所采取的其他動(dòng)作。6分布式TOE審計(jì)事件存儲(chǔ)(FAU_STG_EXT.1)FAUSTGEXT.1.1對于分布式TOE,每個(gè)TOE組件都需要適當(dāng)?shù)乇Ｗo(hù)自己的審計(jì)記錄。FAUSTGEXT.1.2對于非本地存儲(chǔ)的TOE組件，TSF應(yīng)在數(shù)據(jù)傳輸至其他可傳輸或轉(zhuǎn)發(fā)它的TOE地緩沖安全機(jī)制。TOE組件之間的審計(jì)記錄傳輸根據(jù)[選擇：FPT_ITT.1,FTP_ITC.1]可信信道。組件前，具有本使用受保護(hù)的對稱密鑰：[選擇：WAPI,WPA2,WAP3]加密密鑰生成，TSF應(yīng)根據(jù)下列標(biāo)準(zhǔn)[選擇：GB15629.11,IEEE802.11—2020,IEEE802.11ax—2021,無其他標(biāo)準(zhǔn)]的一個(gè)特定的密鑰生成算法[選擇：PRF-128,PRF-256,PRF-384,PRF-512,PRF-704,無其他算法]和規(guī)定的密鑰長度[選擇：128位，192位，256位，無其他密鑰大小]FCS_RNG.1來生成對稱加密密鑰。非對稱密鑰：TSF應(yīng)根據(jù)下列標(biāo)準(zhǔn)[選擇：GB/T35276—2017、GB/T32213—2015、GB/T32918.3—2016]的一個(gè)特定的密鑰生成算法[選擇：SM2密碼算法，RSA方案]和規(guī)定的密鑰長度[選擇：256位或以上，2048或以上]來生成密鑰。對稱密鑰：TSF應(yīng)根據(jù)下列標(biāo)準(zhǔn)[選擇：GB15629.11]的一個(gè)特定的密鑰分發(fā)方法[選擇：WAPI加密密鑰分發(fā)，GTK密鑰分發(fā)，PMK密鑰分發(fā)]來分發(fā)密鑰。非對稱密鑰：TSF應(yīng)根據(jù)下列標(biāo)準(zhǔn)[選擇：IEEE802.11—2020、GB/T35276—2017、GB/T32213—2015、GB/T32918.3—2016]的一個(gè)特定的密鑰分發(fā)方法[選擇：基于RSA的密鑰建立方案，基于橢圓曲線的密鑰建立方案，基于有限域的密鑰建立方案]來分發(fā)密鑰。TSF應(yīng)根據(jù)下列標(biāo)準(zhǔn)[選擇：IEEE802.11—2020,GB/T39786—2021]的一個(gè)特定的密鑰存取方法[選擇：磁條卡密鑰、智能卡密鑰、ROM密鑰等]來執(zhí)行[選擇：密鑰存儲(chǔ)、密鑰讀取、密鑰備份等]。密碼派生(FCS_CKM.5)TSF應(yīng)根據(jù)下列標(biāo)準(zhǔn)[選擇：RFC8018,GM/T0091—2020]的一個(gè)特定的密鑰派生算法[選擇：PBKDF2、Scrypt]和規(guī)定的密鑰長度從輸入?yún)?shù)中派生出指定類型的密鑰。密鑰銷毀的時(shí)間和事件(FCS_CKM.6)FCSCKM.6.1當(dāng)[選擇：不再需要，密鑰或密鑰材料銷毀的其他情況]時(shí)，TSF銷毀密鑰(包括密鑰材料)列表。FCSCKM.6.2TSF應(yīng)根據(jù)以下方法來銷毀FCS_CKM.6.1中規(guī)定的密鑰和密鑰材料：——對于易失性存儲(chǔ)中的明文密鑰，銷毀應(yīng)使用TSF的隨機(jī)數(shù)產(chǎn)生器(RBG)的偽隨機(jī)模式、全0或全1、一個(gè)新的密鑰、不包含任何關(guān)鍵安全參數(shù)(CSP)的靜態(tài)或動(dòng)態(tài)值實(shí)現(xiàn)，并銷毀對密鑰的引用，然后請求垃圾收集?！獙τ诜且资源鎯?chǔ)中的明文密鑰，銷毀應(yīng)通過調(diào)用TSF提供的接口執(zhí)行[選擇：●邏輯上處理密鑰的存儲(chǔ)位置，可選擇下列方法之一進(jìn)行覆蓋，如使用TSF的RBG的偽隨機(jī)模式、全0或全1、一個(gè)新的密鑰、不包含任何CSP的靜態(tài)或動(dòng)態(tài)值等；●調(diào)用TSF銷毀對密鑰的引用。]密碼運(yùn)算(FCS_COP.1)TSF應(yīng)根據(jù)下列標(biāo)準(zhǔn)的特定的密碼算法和密鑰長度來執(zhí)行：對于數(shù)據(jù)加密，TSF應(yīng)根據(jù)下列標(biāo)準(zhǔn)[選擇：GB15629.11]的特定的密碼算法[選擇：SM4或高級加密標(biāo)準(zhǔn)(AES),密碼輸出反饋(OFB)或密碼分組鏈接(CBC)、CCM模式(CCMP)或計(jì)數(shù)器模式等]和密鑰長度[選擇：不低于128位]來執(zhí)行[選擇：加密/解密]。對于密碼操作(簽名生成與驗(yàn)證),TSF應(yīng)根據(jù)下列標(biāo)準(zhǔn)[選擇：GB15629.11]的特定的密碼算法執(zhí)行加密簽名服務(wù)[選擇：——ECDSA數(shù)字簽名算法，且密鑰長度應(yīng)為192位或以上，——SM2數(shù)字簽名算法，且密鑰長度應(yīng)為256位或以上，——RSA數(shù)字簽名算法，且密鑰長度應(yīng)為2048位或以上，——橢圓曲線數(shù)字簽名算法，且密鑰長度應(yīng)為256位或以上。]對于哈希操作，TSF應(yīng)當(dāng)根據(jù)下列標(biāo)準(zhǔn)[選擇：GB15629.11]的特定的密碼算法[選擇：SM3、SHA-256、SHA-384、SHA-512等]和密鑰長度[選擇：不低于256位]來執(zhí)行[選擇：加密/解密]。對于密鑰哈希操作，TSF應(yīng)當(dāng)根據(jù)下列標(biāo)準(zhǔn)[選擇：GB15629.11]的特定的密碼算法[選擇：HMAC-SM3、HMAC-SHA-256、HMAC-SHA-384和HMAC-SHA-512等]和密鑰長度[選擇：不低于256位]來執(zhí)行[選擇：加密/解密]。對于預(yù)共享密鑰，TSF應(yīng)根據(jù)下列標(biāo)準(zhǔn)[選擇：IEEE802.11—2020]的特定密碼算法[選擇：RADI-US、IPsec、WPA3-SAE、WPA3-SAE-PK、WPA2-PSK,其他算法]和密鑰長度[選擇：低于64字符]來執(zhí)行[選擇：加密/解密]。隨機(jī)比特生成(FCS_RBG.1)FCS_RBG.1.1當(dāng)種子初始化之后，TSF應(yīng)根據(jù)[GB/T32915—2016]他算法]執(zhí)行確定性隨機(jī)比特生成服務(wù)。用[選擇：Hash_DRBG、HMAC_DRBG或其FCS_RBG.1.2TSF應(yīng)使用[選擇：TSF噪聲源[選擇：基于軟件的噪聲源，基于平臺(tái)的噪聲源],TSF用于設(shè)定種子的接口]進(jìn)行種子初始化。FCS_RBG.1.3TSF應(yīng)根據(jù)以下不同情況：[選擇：從不，按需，在特定條件下，在一定加載種子，非實(shí)例化和重新實(shí)例化]使用一個(gè)[選擇：TSF噪聲源[選擇：基于軟件的噪聲源，基于平臺(tái)的噪聲源],TSF用于設(shè)定種子的接口]更新RBG狀態(tài)，以保持與[GB/T32915—2016]的一致。FCS_RNG.1.1TSF應(yīng)提供一個(gè)[選擇：物理、非物安全能力列表。FCS_RNG.1.2TOE安全功能TSF應(yīng)提供滿足定義的質(zhì)量指標(biāo)的[選擇：位、八位字節(jié)、數(shù)字或其他數(shù)字的格式]。TLS加密協(xié)議-S/無相互身份驗(yàn)證的TLS服務(wù)器協(xié)議(FCS_TLSS_EXT.1)WAS安全功能應(yīng)執(zhí)行[選擇：TLS1.2、TLS1.1],并設(shè)置不接受其他TLS和SSL版本。TLS實(shí)現(xiàn)將支持以下密碼套件：[選擇：受支持的密碼套件],而不支持其他密碼套件。FCSTLSSEXT.1.2WAS安全功能應(yīng)能拒絕來自SSL2.0、SSL3.0、TLS1.0和[選擇：TLS1.1、TLS1.2]的客戶端的請求連接。FCS_TLSS_EXT.1.3WAS安全功能進(jìn)行TLS建立時(shí)，應(yīng)使用[選擇：密鑰長度不低于2048位的RSA算法，密鑰長度不低于256位的SM2算法，符合國家密碼主管部門要求的其他算法]。FCS_TLSS_EXT.1.4WAS安全功能應(yīng)支持[選擇：不允許會(huì)話恢復(fù)或會(huì)話通知，根據(jù)TLS1.1或TLS1.2的會(huì)話ID恢復(fù)會(huì)話，根據(jù)RFC5077的恢復(fù)會(huì)話]。0TLS加密協(xié)議-SX509/TLS服務(wù)器支持相互身份驗(yàn)證(可選)(FCS_TLSS_EXT.2)FCSTLSSEXT.2.1WAS安全功能支持TLS通信，支持使用X.509v3證書的TLS客戶端相互認(rèn)證。FCSTLSSEXT.2.2建立信任通道時(shí)，如果客戶端證書無效，默認(rèn)情況下TSF不能建立信任通道。TSF需[選擇：——不實(shí)現(xiàn)任何管理員覆蓋機(jī)制；——如果TSF不能[選擇：匹配引用標(biāo)識符，驗(yàn)證證書路徑，驗(yàn)證過期日期，確定吊銷狀態(tài)],則需要管理員授權(quán)建立連接。]FCSTLSSEXT.2.3如果證書中包含的標(biāo)識符與客戶端期望的標(biāo)識符不匹配，則TSF不能建立可信通道。如果標(biāo)識符是一個(gè)完全合格域名(FQDN),那么TSF將根據(jù)RFC6125匹配標(biāo)識符，否則TSF將從證書中解析標(biāo)識符，并將標(biāo)識符與TSS中描述的客戶端預(yù)期標(biāo)識符進(jìn)行匹配。8.1.4用戶數(shù)據(jù)保護(hù)(FDP)TSF應(yīng)對[選擇：主體、客體及SFP所涵蓋主體和客體之間的操作列表]執(zhí)行訪問控制SFP?；诎踩珜傩缘脑L問控制(FDP_AFDPACF.1.1TSF應(yīng)基于[選擇：指定SFP控制下的主體和客體列表，以及每個(gè)對應(yīng)的SFP的相關(guān)安全屬性或SFP相關(guān)的已命名安全屬性組]對客體執(zhí)行訪問控制SFP。FDPACF.1.2TSF應(yīng)執(zhí)行在受控主體和受控客體間，通過對受控客體采取受控操作來管理訪問的一些規(guī)則，以確定在受控主體與受控客體間的一個(gè)操作是否被允許。FDP_ACF.1.3TSF應(yīng)基于安全屬性，明確授權(quán)主體訪問客體的規(guī)則等附加規(guī)則，明確授權(quán)主體訪問客體。FDPACF.1.4TSF應(yīng)基于安全屬性，明確禁止主體訪問客體的規(guī)則等附加規(guī)則明確禁止主體訪問客體。TSF應(yīng)確保一個(gè)資源的任何先前信息內(nèi)容，在[選擇：分配資源到、釋放資源自]指定客體列表時(shí)不再可用。完全殘余信息保護(hù)(FDP_RIP.2)TSF應(yīng)確保一個(gè)資源的任何先前信息內(nèi)容，在[選擇：分配資源到、釋放資源自]所有客體時(shí)不存儲(chǔ)數(shù)據(jù)的機(jī)密性(FDP_SDC.1)TSF應(yīng)確保[選擇：所有用戶數(shù)據(jù)，指定用戶數(shù)據(jù)列表]存儲(chǔ)在[選擇：臨時(shí)內(nèi)存，持久內(nèi)存，任意內(nèi)存]中的機(jī)密性。存儲(chǔ)數(shù)據(jù)完整性監(jiān)視(FDP_SDI.1)TSF應(yīng)基于用戶數(shù)據(jù)屬性，對所有客體，監(jiān)視存儲(chǔ)在由TSF控制的載體內(nèi)的用戶數(shù)據(jù)是否存在完整性錯(cuò)誤。8.1.5標(biāo)識和鑒別(FIA)鑒別失敗處理(FIA_AFL.1)FIA_AFL.1.1TSF應(yīng)檢測當(dāng)[選擇：正整數(shù)，管理員設(shè)置的可接受數(shù)值范圍內(nèi)的一個(gè)正整數(shù)]時(shí)，與鑒別事件列表相關(guān)的未成功鑒別嘗試。FIA_AFL.1.2當(dāng)[選擇：達(dá)到，超過]所定義的未成功鑒別嘗試次數(shù)時(shí)，TSF應(yīng)采取[選擇：阻止違規(guī)管理員使用任何涉及密碼的認(rèn)證方法成功建立遠(yuǎn)程會(huì)話，直到管理員采取解鎖操作；防止違規(guī)管理員使用任何涉及密碼的身份驗(yàn)證方法成功建立遠(yuǎn)程會(huì)話，直到管理員定義的時(shí)間段過去]。TSF應(yīng)維護(hù)屬于單個(gè)用戶的下列安全屬性列表：安全屬性列表。FIAUAU.1.1在用戶被鑒別前，TSF應(yīng)執(zhí)行代表用戶的下列動(dòng)作：——按照FTA_TAB.1顯示警告信息；——[選擇：無其他操作，自動(dòng)生成密碼密鑰，服務(wù)列表，TSF響應(yīng)非TOE請求執(zhí)行的操作];——TSF促成的其他動(dòng)作列表。FIAUAU.1.2在允許執(zhí)行代表該用戶的任何其他由TSF促成的功能前，TSF應(yīng)要求每個(gè)用戶都已被成功鑒別。不可偽造的鑒別(FIA_UAU.3)FIA_UAU.3.1TSF應(yīng)[選擇：檢測、防止]由任何TSF用戶偽造的鑒別數(shù)據(jù)的使用。FIA_UAU.3.2TSF應(yīng)[選擇：檢測、防止]從任何其他的TSF用戶處拷貝的鑒別數(shù)據(jù)的使用。FIAUAU.5.1TSF應(yīng)提供多重鑒別機(jī)制列表以支持用戶鑒別。FIAUAU.5.2TSF應(yīng)根據(jù)提供鑒別的規(guī)則鑒別任何用戶所聲稱的身份。TSF應(yīng)提供當(dāng)用戶更改密碼時(shí)、當(dāng)TSF發(fā)起會(huì)話鎖定時(shí)、其他需要鑒別的條件下重新鑒別用戶。受保護(hù)的鑒別反饋(FIA_UAU.7)鑒別進(jìn)行時(shí)，TSF應(yīng)僅向用戶提供模糊的反饋列表。基于密碼的認(rèn)證機(jī)制(FIA_UAU_EXT.1)TSF應(yīng)提供[選擇：基于密碼、基于SSH公鑰、基于證書、其他認(rèn)證機(jī)制]認(rèn)證機(jī)制來執(zhí)行管理用戶認(rèn)證。FIAUID.1.1在用戶被識別之前，TSF應(yīng)執(zhí)行代表用戶的TSF促成的動(dòng)作列表。FIAUID.1.2在允許執(zhí)行代表該用戶的任何其他TSF促成的動(dòng)作之前，TSF應(yīng)要求每個(gè)用戶都已被成功識別。在允許執(zhí)行代表該用戶的任何其他TSF促成的動(dòng)作之前，TSF應(yīng)要求每個(gè)用戶都已被成功識別。FIA_USB.1.1TSF應(yīng)將用戶安全屬性列表與代表用戶活動(dòng)的主體相關(guān)聯(lián)。FIAUSB.1.2TSF應(yīng)對用戶安全屬性與代表用戶活動(dòng)的主體初始關(guān)聯(lián)關(guān)系執(zhí)行屬性初始關(guān)聯(lián)規(guī)則。FIA_USB.1.3TSF應(yīng)執(zhí)行屬性更改規(guī)則管理用戶安全屬性與代表用戶活動(dòng)的主體間的關(guān)聯(lián)關(guān)系的變化。2端口接入實(shí)體(認(rèn)證者)鑒權(quán)(FIA_802.1X_EXT.1)FIA_802.1X_EXT.1.1端口認(rèn)證TSF應(yīng)在“驗(yàn)證者”角色中符合IEEE802.1X中端口訪問實(shí)體(PAE)的要求。FIA_802.1X_EXT.1.2TSF應(yīng)支持與符合RFC2865和RFC3579的RADIUS認(rèn)證服務(wù)器的通信。FIA802.1XEXT.1.3TSF應(yīng)確保在此認(rèn)證交換成功完成之前，沒有向無線局域網(wǎng)客戶端提供對其IEEE802.1X中規(guī)定的控制端口的訪問。TSF應(yīng)為管理密碼提供以下密碼管理功能：——密碼應(yīng)由大寫字母、小寫字母、數(shù)字和以下特殊字符的任意組合組成：[選擇：“!”“@”“#""$”——密碼的最小長度可設(shè)置在TOE支持的最小字符數(shù)和大于或等于15個(gè)字符數(shù)之間。4預(yù)共享密鑰組合(FIA_PSK_EXT.1)FIAPSKEXT.1.1TSF應(yīng)能為以下協(xié)議使用預(yù)共享密鑰[選擇：TLS(RadSec)上的RADIUS、IPsec、WPA3-SAE、WPA3-SAE-PK、IEEE802.11WPA2-PSK,使用預(yù)共享密鑰的其他協(xié)議]。FIAPSKEXT.1.2TSF應(yīng)能接受基于文本的預(yù)共享密鑰：——22個(gè)字符和[選擇：其他支持的長度，沒有其他長度];——由大小寫字母、數(shù)字和特殊字符(包括：“!”“@”"#""$""%""""&.""*""("和")")的任意組合組成。FIAPSKEXT.1.3TSF應(yīng)能[選擇：使用FCS_RNG.1中指定的隨機(jī)位生成器接受、生成]基于位的預(yù)共享密鑰。TSF應(yīng)僅限于已標(biāo)識的授權(quán)角色對功能自動(dòng)更新檢查，自動(dòng)更新、將審計(jì)數(shù)據(jù)傳送給外部IT實(shí)激活、修改其行為、手動(dòng)更新、啟動(dòng)和停止提供服務(wù)]的能力。TSF應(yīng)執(zhí)行訪問控制SFP,信息流控制SFP,以僅限于已標(biāo)識的授權(quán)角色能對安全屬性安全屬性TSF應(yīng)確保安全屬性列表只接受安全的值。FMT_MSA.3.1TSF應(yīng)執(zhí)行訪問控制SFP、信息流控制SFP,以便為用于執(zhí)行SFP的安全屬性提供[選擇：受限的、許可的、其他特性]默認(rèn)值。FMT_MSA.3.2TSP應(yīng)允許已標(biāo)識的授權(quán)角色在創(chuàng)建客體或信息時(shí)指定替換性的初始值以代替原來的默認(rèn)值。TSF應(yīng)僅限于已標(biāo)識的授權(quán)角色能對TSF他操作]。FMT_MSA.2.1TSF應(yīng)僅限于已標(biāo)識的授權(quán)角色規(guī)定TSF數(shù)據(jù)列表的限值。FMT_MSA.2.2如果TSF數(shù)據(jù)達(dá)到或超過了指明的限值，TSF應(yīng)采取要采取的動(dòng)作。安全的TSF數(shù)據(jù)(FMT_MTD.3)TSF應(yīng)確保TSF數(shù)據(jù)列表只接受安全的值。TSF應(yīng)執(zhí)行如下安全管理功能：具備本地和遠(yuǎn)程管理TOE的能力；能配置訪問提示語；能配置會(huì)話終止或鎖定之前的會(huì)話不活動(dòng)時(shí)間；能更新TOE,在安裝更新前，能驗(yàn)證更新使用[選擇：數(shù)字簽名，哈希比較]的能力；能配置FIA_AFL.1的認(rèn)證失敗參數(shù)；——啟動(dòng)和停止服務(wù)的能力； 能配置審計(jì)行為(例如更改審計(jì)存儲(chǔ)位置；本地審計(jì)存儲(chǔ)空間已滿時(shí)的行為更改):——能修改向外部IT實(shí)體傳輸審計(jì)數(shù)據(jù)的行為；——能在實(shí)體被識別和驗(yàn)證之前配置toe提供的可用服務(wù)列表；——能管理密鑰；——能配置密碼功能；——配置SSH密鑰更新閾值的能力；——配置IPsecSAs生命周期的能力；——能配置TOE組件之間的交互；——能啟用或禁用自動(dòng)檢查更新或自動(dòng)更新；——能重新啟用管理員賬戶；——能設(shè)置用于時(shí)間戳的時(shí)間； 為端點(diǎn)配置引用標(biāo)識符的能力：——能管理TOE的信任存儲(chǔ)和指定X509.V3證書作為可信錨；——能導(dǎo)入X.509v3證書到TOE的信任存儲(chǔ)；配置無線網(wǎng)絡(luò)的安全策略，包括：·用于認(rèn)證服務(wù)的客戶端憑據(jù)；·傳輸能力級別?！獰o其他能力]。TSF應(yīng)維護(hù)角色已標(biāo)識的授權(quán)角色。TSF應(yīng)能把用戶和角色關(guān)聯(lián)起來。FMT_SMR.2.1TSF應(yīng)維護(hù)角色安全管理員。FMT_SMR.2.2TSF應(yīng)能把用戶和角色關(guān)聯(lián)起來。FMT_SMR.2.3TSF應(yīng)確保以下條件滿足：——安全管理員角色應(yīng)能本地管理TOE;——安全管理員角色應(yīng)能遠(yuǎn)程管理TOE。TSF應(yīng)確保從無線局域網(wǎng)客戶端遠(yuǎn)程管理TOE的能力在默認(rèn)情況下是禁用的。失效即保持安全狀態(tài)(FPT_FLS.1)TSF在下列失效發(fā)生時(shí)應(yīng)保持一種安全狀態(tài)：自檢失敗或其他失效情況。傳送過程中TSF間的機(jī)密性(FPTITC.1)TSF應(yīng)保護(hù)所有從TSF傳送到另一個(gè)可信IT產(chǎn)品的TSF數(shù)據(jù)在傳送過程中不會(huì)被未授權(quán)泄漏。TSF應(yīng)確保功能和失效情景列表有如下特征，即功能要么成功完成，要么針對指明的失效情景恢復(fù)到一個(gè)前后一致的且安全的狀態(tài)。FPTRPL.1.1TSF應(yīng)檢測對以下實(shí)體的重放：已識別實(shí)體列表。FPTRPL.1.2檢測到重放時(shí)，TSF應(yīng)執(zhí)行具體操作列表。TSF應(yīng)能提供可靠的時(shí)間戳。TSF應(yīng)在[選擇：初始化啟動(dòng)期間、正常工作期間周期性地、授權(quán)用戶要求時(shí)、在產(chǎn)生自檢的條件時(shí)]運(yùn)行一套自檢程序以證實(shí)[選擇：TSF的組成部分、TSF]能正確運(yùn)行和演示正確的TSF的操作。TSF應(yīng)為授權(quán)用戶提供驗(yàn)證[選擇：部分TSF數(shù)據(jù)、TSF數(shù)據(jù)]完整性的能力。FPT_TST.1.3TSF應(yīng)為授權(quán)用戶提供驗(yàn)證[選擇：部分TSF、TSF]完整性的能力。內(nèi)部TSF數(shù)據(jù)傳送的基本保護(hù)(可選)(FPT_ITT.1)TSF應(yīng)保護(hù)TSF數(shù)據(jù)在TOE不同部分間傳送時(shí)不被[選擇：泄露、篡改]。FPT_INI.1.1TOE應(yīng)提供對完整性和真實(shí)性有自保護(hù)能力的初始化功能。TOE初始化功能應(yīng)確保在安全初始狀態(tài)下建立TSF之前，某些屬性在某些元素上保持不變，如表2所述。表2屬性元素序號特性元素1[屬性，例如真實(shí)性、完整性、正確版本][TSF/用戶固件、軟件或數(shù)據(jù)的列表]…FPTINI.1.3TOE初始化功能應(yīng)檢測并響應(yīng)初始化期間的錯(cuò)誤和失敗，以便TOE[選擇：中止，在[選擇：功能減少，發(fā)送錯(cuò)誤狀態(tài)信號，其他動(dòng)作列表]情況下成功完成初始化]。TOE初始化功能只能在初始化過程中的定義的方法中與TSF交互。FPTSKPEXT.1.1TSF應(yīng)以非明文形式存儲(chǔ)管理密碼。TSF應(yīng)使安全管理員能查詢當(dāng)前正在執(zhí)行的TOE固件/軟件版本和[選擇：最近安裝的TOE固件/軟件版本；沒有其他TOE固件/軟件版本]。FPT_TUD_EXT.1.2TSF應(yīng)使安全管理員能手動(dòng)啟動(dòng)對TOE固件/軟件的更新，并且[選擇：支持自動(dòng)檢查更新，支持TSF應(yīng)在安裝這些更新之前提供使用[選擇：X.509證書、數(shù)字簽名、發(fā)布散列]對TOE的固件/軟件更新進(jìn)行認(rèn)證的方法。在安裝每次更新之前，WAS安全功能應(yīng)檢查代碼簽署證書的有效性。如果信任鏈中的證書沒有被指定為信任錨的可信證書可撤銷信息，則WAS安全功能應(yīng)[選擇：不安裝更新，允許管理員在這些情況下選擇是否接受證書]。如果證書因已過期而被認(rèn)為無效，則WAS安全功能應(yīng)[選擇：允許管理員在這些情況下選擇是否如果證書因過期或撤銷信息不可用以外的原因被認(rèn)為無效，則WAS安全功能不得安裝更新。TSF應(yīng)在達(dá)到用戶不活動(dòng)的時(shí)間間隔后，終止會(huì)話或通過以下方法鎖定一個(gè)交互式會(huì)話：——除了會(huì)話解鎖活動(dòng)之外，終止用戶數(shù)據(jù)存取/顯示設(shè)備的任何活動(dòng)，并要求管理員在解鎖會(huì)話之前向TSF重新進(jìn)行身份驗(yàn)證。TSF應(yīng)要求在解鎖會(huì)話之前發(fā)生以下事件：發(fā)生事件列表。TSF應(yīng)在達(dá)到用戶不活動(dòng)的時(shí)間間隔之后終止一個(gè)交互式會(huì)話。TSF應(yīng)允許用戶終止自己的交互式會(huì)話。在建立用戶會(huì)話前，TSF、TOE平臺(tái)應(yīng)顯示安全管理員指定的關(guān)于使用TOE的咨詢通知和同意警TSF應(yīng)能使用[選擇：IPsec、SSH、TLS、DTLS、HTTPS]在自身和授權(quán)的IT實(shí)體之間提供一個(gè)可邏輯上與其他通信信道截然不同，其端點(diǎn)具有保障標(biāo)識，且能保護(hù)信道中數(shù)據(jù)免遭篡改或泄露。FTP_ITC.1.2TSF應(yīng)允許[選擇：TSF、另一個(gè)可信IT產(chǎn)品]經(jīng)由可信通道發(fā)起通信。FTP_ITC.1.3對于需要可信信道的功能列表，TSF應(yīng)經(jīng)由可信信道發(fā)起通信。FTP_ITC.1.1/ClientWAS安全功能應(yīng)能使用IEEE802.11—2020定義的WPA3-Enterprise、WPA2-Enterprise和[選擇：WPA3-SAE,WPA3-SAE-PK,WPA2-PSK,無其他模式]在自身和WLAN客戶端之間提供一個(gè)與其他通信信道邏輯上不同的可信通信信道，并為其端點(diǎn)提供可靠的標(biāo)識，保護(hù)信道數(shù)據(jù)不被泄露和FTP_ITC.1.2/ClientWAS安全功能應(yīng)允許[選擇：授權(quán)的IT實(shí)體]經(jīng)由可信信道發(fā)起通信。FTP_ITC.1.3/ClientWAS安全功能應(yīng)經(jīng)由無服務(wù)的可信信道發(fā)起通信。FTP_PR?.1.1FTPPR0.1.2FTPPR0.1.3FTPPR0.1.4TSF應(yīng)為可信信道執(zhí)行以下規(guī)則：對于無相互身份驗(yàn)證的TLS服務(wù)器協(xié)議，TSF應(yīng)拒絕來自SSL2.0、SSL3.0、TLS1.0和[選擇：TLS1.1、TLS1.2]的客戶端的請求連接。FTP_PR0.1.5對于無相互身份驗(yàn)證的TLS服務(wù)器協(xié)議，TSF應(yīng)強(qiáng)制執(zhí)行以下靜態(tài)協(xié)議選項(xiàng)：[選擇：TLS1.2、TLS1.1],并設(shè)置不接受其他TLS和SSL版本，TLS實(shí)現(xiàn)將支持受支持的密碼套件，而不支持其他密碼FTP_PR0.1.6支持TLS通信，支持使用X.509v3證書的TLS客戶端相互認(rèn)證。FTPPR0.2.1TSF應(yīng)使用以下機(jī)制之一與其對等方建立共享秘密：[選擇：對于無相互身份驗(yàn)證的TLS服務(wù)器協(xié)議：——WAS安全功能進(jìn)行TLS鍵建立時(shí)，使用[選擇：密鑰長度不低于2048位的RSA算法，密鑰長度不低于256位的SM2算法，符合國家密碼主管部門要求的其他算法];——WAS安全功能應(yīng)支持[選擇：不允許會(huì)話恢復(fù)或會(huì)話通知，根據(jù)TLS1.1或TLS1.2的會(huì)話ID恢復(fù)會(huì)話，根據(jù)RFC5077的恢復(fù)會(huì)話]。對于TLS服務(wù)器支持相互身份驗(yàn)證的協(xié)議，應(yīng)實(shí)現(xiàn)——建立信任通道時(shí)，如果客戶端證書無效，默認(rèn)情況下TSF不能建立信任通道。TSF需[選擇：不實(shí)現(xiàn)任何管理員覆蓋機(jī)制；如果TSF不能[選擇：匹配引用標(biāo)識符，驗(yàn)證證書路徑，驗(yàn)證過期日期，確定吊銷狀態(tài)],則需要管理員授權(quán)建立連接]?！绻C書中包含的標(biāo)識符與客戶端期望的標(biāo)識符不匹配，則TSF不能建立可信通道。如果標(biāo)識符是一個(gè)完全合格域名(FQDN),那么TSF將根據(jù)RFC6125匹配標(biāo)識符，否則TSF將從證書中解析標(biāo)識符，并將標(biāo)識符與TSS中描述的客戶端預(yù)期標(biāo)識符進(jìn)行匹配]。FTP_PR0.2.2TSF應(yīng)使用以下機(jī)制之一：[選擇：驗(yàn)證機(jī)制列表，其他機(jī)制],并根據(jù)進(jìn)行驗(yàn)證的規(guī)則列表對[選擇：其對等方，自身對其對等方]進(jìn)行驗(yàn)證?？尚判诺罃?shù)據(jù)保護(hù)(FTP_PRO.3)FTPPR0.3.1對于無相互身份驗(yàn)證的TLS服務(wù)器協(xié)議，TSF應(yīng)使用以下機(jī)制之一保護(hù)傳輸中的數(shù)據(jù)不被未經(jīng)授權(quán)的披露：[選擇：密鑰長度不低于2048位的RSA算法，密鑰長度不低于256位的SM2算法，符合國家密碼主管部門要求的其他算法]。FTP_PRO.3.2TSF應(yīng)使用以下機(jī)制之一保護(hù)傳輸中的數(shù)據(jù)不受[選擇：修改、刪除、插入、重放、其他]的影響：[選擇：AEAD(具有關(guān)聯(lián)數(shù)據(jù)的加密認(rèn)證),其他完整性保護(hù)機(jī)制列表]。FTPTRP.1.1TSF應(yīng)能使用[選擇：DTLS,IPsec,SSH,TLS,HTTPS],在自身與連接組件和[選擇：遠(yuǎn)程、本地]用戶之間提供一條通信路徑，此路徑在邏輯上與其他通信路徑截然不同，并對其[選擇：TSF端點(diǎn)，包括連接組件和TSF端點(diǎn)]端點(diǎn)進(jìn)行了有保障的標(biāo)識，并能保護(hù)通信數(shù)據(jù)免遭[選擇：修改、泄露、其他類型的完整性或機(jī)密性違背]。FTP_TRP.1.2TSF應(yīng)允許[選擇：TSF,連接組件，本地用戶，遠(yuǎn)程用戶]經(jīng)由可信路徑發(fā)起通信。FTP_TRP.1.3對于[選擇：啟動(dòng)用戶鑒別、初始管理員身份驗(yàn)證、所有遠(yuǎn)程管理操作、其他需要可信路徑的服務(wù)],TSF應(yīng)要求使用可信路徑。TSF應(yīng)對以下資源：受控資源列表分配最高配額，以便[選擇：單個(gè)用戶、預(yù)定義用戶組、主體]能[選擇：同時(shí)、在規(guī)定的時(shí)間間隔內(nèi)]使用。組件注冊通道定義(FCO_CPC_EXT.1)FCOCPCEXT.1.1TSF應(yīng)確保在進(jìn)行任何一對TOE組件之間的通信之前，安全管理員總是需要啟用這些通信。FCOCPCEXT.1.2TSF應(yīng)確保每個(gè)組件建立和使用一個(gè)通信通道，該通道需要使用安全通道，或者不需要通道。8.2安全保障要求無線局域網(wǎng)接入系統(tǒng)的安全保障要求按照GB/T18336.3—2024規(guī)定的EAL2、EAL3、EAL4級安全保障要求執(zhí)行。9基本原理9.1安全目的基本原理無線局域網(wǎng)接入系統(tǒng)安全目的能應(yīng)對所有可能的威脅、組織安全策略和假設(shè)，即每一種威脅、組織安全策略和假設(shè)都至少有一個(gè)或一個(gè)以上安全目的與其對應(yīng)，是完備的。每一個(gè)安全目的都有相應(yīng)的威脅、組織安全策略和假設(shè)與之對應(yīng)，這證明每個(gè)安全目的都是必要的；每一個(gè)威脅、組織安全策略和假設(shè)都有相應(yīng)的一個(gè)或多個(gè)安全目的與之對應(yīng)，說明了安全目的是充分的。表3說明了無線局域網(wǎng)接入系統(tǒng)的安全目的能應(yīng)對所有可能的威脅、組織安全策略和假設(shè)。表3威脅、組織安全策略、假設(shè)與安全目的的對應(yīng)關(guān)系關(guān)系加密功能身份驗(yàn)證自檢系統(tǒng)監(jiān)測FOH管理員FOH可信信道資源管理殘留信息清除可信更新分布式管理訪問控制物理非通用功能管理員可信更新機(jī)制管理員(憑證安全組件可用性遺留信息清除連接可信時(shí)間未授權(quán)管理/√/√//////√/////////加密破解√///////////////////不可信信道/////√///√//////////關(guān)系加密功能身份驗(yàn)證自檢管理員可信信道可信更新分布式(管理物理非通用功能管理員(憑證安全遺留信息清除連接弱終端認(rèn)證√////√//////////////重放攻擊/√/√√///////////////網(wǎng)絡(luò)暴露/√/////√/√√/////////未授權(quán)訪問/√/√//////√/////////更新受損////////√///////////未知活動(dòng)///√/////√//////////安全憑證受損/√√√////////////////殘留信息利用///////√////////////管理口令破解√///√///////////////安全功能失效//√√////////////////資源消耗//////√/////////////網(wǎng)絡(luò)劫持/√//////////////////接入告知√√/√/√//////////////密碼管理√//////////////////√認(rèn)證應(yīng)用/√/////////////////√物理保護(hù)///////////√////////有限功能////////////√///////連接//////////////////√/可信管理員/////////////√//////定期更新//////////////√/////管理員憑證安全///////////////√////組件正常運(yùn)行////////////////√///無遺留信息/////////////////√//9.2安全要求基本原理表4說明了安全要求的充分必要性合理性，即每個(gè)安全目的都至少有一個(gè)安全要求組件與其對應(yīng)，每個(gè)安全要求都至少解決了一個(gè)安全目的，安全要求對安全目的而言是充分和必要的。表4安全要求與安全目的的對應(yīng)關(guān)系安全功能要求加密功能身份驗(yàn)證自檢系統(tǒng)監(jiān)測TOE管理員可信信道資源管理殘留信息清除可信更新分布式管訪問控制FAU_GEN.1///√///////FAU_GEN.2///√///////FAU_ARP.1//√√///////FAU_SAA.1√√/√//√////FAU_SAA.2√√/√//√////FAU_SAA.3√√/√//√////FAU_SAR.1///√//////√FAU_SAR.2///√//////√FAU_SAR.3///√//////√FAU_SEL..1///√///////FAU_STG.1///√/////√/FAU_STG.2/√/√///////FAU_STG.3/√/√///////FAU_STG.4///√///////FAU_STG.5///√///////FAU_STG_EXT.1///√/////√/FCS_CKM.1√√/////////FCS_CKM.2√√/////////FCS_CKM.3√√/////////FCS_CKM.5√√/////////FCS_CKM.6√√/////////FCS_COP.1√√/////////FCS_RBG.1√//////////FCS_RNG.1√//////////FCS_TLSS_EXT.1/////√/////FCS_TLSS_EXT.2/////√/////FDP_ACC.1/√////////√FDP_ACF.1/√////////√FDP_RIP.1/√/////√///FDP_RIP.2/√/////√///FDP_SDC.1√√/////////FDP_SDI.1√√√√///////表4安全要求與安全目的的對應(yīng)關(guān)系(續(xù))安全功能要求加密功能身份驗(yàn)證自檢系統(tǒng)監(jiān)測TOE管理員可信信道資源管理殘留信息清除可信更新分布式管訪問控制F