数据库产品 CC 认证的最佳实践（十五）《GBase 8t V8.5安全目标》之3.1 安全使用假设

（一）前言
（二）CC 通用准则概述
（三）CC 通用准则的演进
（四）CC 安全性评估
（五）安全功能组件
（六）安全保证组件
（七）评估保证级
（八）《安全目标》编写规范
（九）《GBase 8t V8.5安全目标》之目录
……

（十五）《GBase 8t V8.5安全目标》之3.1 安全使用假设

3. 安全环境

3.1 安全使用假设

使用假设分为三类：人员假设（关于系统的管理员和用户以及任意威胁来源的假设）、物理假设（关于评估对象或任何外围设备的物理位置的假设），以及连通性假设（关于评估对象的安全操作所必需的其他 IT 系统的假设）。

3.1.1 人员假设

假设会存在下列人员条件：
A.MANAGE
将有一个或多个主管人员负责管理评估对象及其包含信息的安全。
A.NO_EVIL_ADM
系统管理人员不会粗心大意、故意疏忽或怀有敌意，且遵循并遵守管理员文档提供的指导。
A.COOP
获得授权的用户拥有必要的授权，至少可以访问评估对象管理的某些信息，且预期会在良性环境中以合作的态度行动。
A.CLEARANCE
存在授予用户权限以访问特定安全级别的程序。还假设会许可评估对象管理员达到评估对象处理的最高安全级别。

3.1.2 物理假设

该评估对象旨在作为有物理控制和监视领域中的应用。假定会存在以下物理条件：
A.LOCATE
该评估对象处理的资源将位于受控访问设施之中，这会阻止那些未经授权的物理访问。
A.PROTECT
对安全策略执行至关重要的硬件和软件将受到保护，防止受到未经授权的物理修改。

3.1.3 连通性假设

假设存在以下连通性条件：
A.CONNECT
所有与外围设备的连接都驻留在受控制的访问设施之中。该评估对象只通过获得授权的接入点解决与评估对象操作有关的安全问题。假设至接入点（比如终端）的内部通信路径受到充分的保护。
A.PLATFORM
假设该评估对象的底层 IT 环境满足本《安全目标》所描述的 IT 环境要求。还假定 IT 环境会为该评估对象提供适当的操作环境，使得该评估对象能够正确执行，并彻底满足该评估对象对 IT 环境的依赖。

3.2 威胁

除了环境的非 IT 安全目的之外，所有安全目的都派生自3.3节中“组织安全策略”的陈述。环境的非 IT 安全目的取自第 3.1 节中“安全使用假设”的详细陈述。因此, 没有关于该评估对象受到的明确威胁的陈述。