数据库产品 CC 认证的最佳实践（五十四）《GBase 8t V8.5安全目标》之8.2.2 完全覆盖——目的

（一）前言
（二）CC 通用准则概述
（三）CC 通用准则的演进
（四）CC 安全性评估
（五）安全功能组件
（六）安全保证组件
（七）评估保证级
（八）《安全目标》编写规范
（九）《GBase 8t V8.5安全目标》之目录
……

（五十四）《GBase 8t V8.5安全目标》之8.2.2 完全覆盖——目的

8.2.2 完全覆盖——目的

本节证明为本《安全目标》选取的功能组件提供对定义的 IT 安全目的的完全覆盖。下表详细描述 IT 安全目的至功能组件的映射。

对于每一安全目的，以下讨论提供详细的证据：

O.AUTHORIZATION
评估对象安全功能必须确保只有获得授权的用户才可以获得访问评估对象及其资源的权限。
在用户可以访问该评估对象及其保护的资源之前，必须标识这些用户 [FIA_UID.2a] 并将他们与可用的授权和权限 [FIA_ATD.1a] 相关联。

OE.AUTHORIZATION
IT 环境必须确保只有获得授权的用户才能访问该 IT 环境及其资源。IT 环境必须支持该评估对象，确保以该评估对象的名义对用户进行充分的身份验证。
在用户可以访问该 IT 环境及其保护的资源之前，必须标识这些用户 [FIA_UID.2b]、对其进行身份验证 [FIA_UAU.2]，并将其与可用的角色和权限相关联 [FIA_ATD.1b]。此外，必须保护身份验证数据 [FIA_UAU.7、FMT_MTD.1d、FMT_MTD.1e]，且身份验证机制必须达到适当的强度 [FIA_SOS.1]。

O.DISCRETIONARY_ACCESS
评估对象安全功能必须根据用户的身份来控制对资源的访问。评估对象安全功能必须允许获得授权的用户来指定哪些用户可以访问哪些资源。
自主访问控制必须具有一个定义好的控制范围 [FDP_ACC.1]。必须定义自主访问控制策略的规则 [FDP_ACF.1]。必须定义用于强制执行自主访问控制策略的对象的安全属性 [FIA_ATD.1a]。获得授权的用户必须能够控制谁有权访问对象 [FMT_MSA.1a、FIA_USB.1]，并能够撤销该访问权限 [FMT_REV.1a]。必须从对象的创建中获得缺省的保护 [FMT_MSA.3a]。

O.MANDATORY_ACCESS
评估对象安全功能必须能够根据所访问信息的敏感程度和类别以及尝试访问该信息的主体的许可来控制对资源的访问。
强制访问控制属性和规则必须是可定义的 [FDP_IFF.2]，且必须具有一个可定义的控制的范围 [FDP_IFC.1]。最后，如果强制执行强制访问控制策略，则要求可以启用该策略且属性与每一对象相关联 [FMT_MOF.1、FMT_MSA.1b、FMT_MSA.3b]，并且进程与代表其运行的用户属性之间的绑定是正确的和不可伪造的 [FIA_ATD.1a、FIA_USB.1]。

O.AUDITING
评估对象安全功能必须记录评估对象用户与安全有关的动作。评估对象安全功能必须向获得授权的管理员呈现此信息。
必须定义与安全有关的动作，这些动作是可审计的 [FAU_GEN.1a]，且能够与单独的用户相关联 [FAU_GEN.2、FIA_USB.1]。必须保护审计线索，以便只有获得授权的用户才可以访问到 [FAU_SAR.2]。评估对象安全功能必须提供审计特定类型动作的能力 [FAU_SEL.1]，以及审计单独用户的动作的能力 [FAU_SAR.3、FIA_USB.1]。如果审计线索已满，则审计设施必须具有某些已定义的行为 [FAU_STG.4]。相关联的时间戳必须是可靠的 [FPT_STM.1a]。获得授权的管理员必须能够查阅审计线索 [FAU_SAR.1] 且能够管理审计线索 [FMT_SMF.1a]。

OE.AUDITING
IT 环境必须记录该 IT 环境的用户与安全有关的动作。
必须定义该 IT 环境中与安全有关的动作，且这些动作在该 IT 环境中必须是可审计的 [FAU_GEN.1b]，审计记录必须有可靠的时间戳 [FPT_STM.1b]。

O.RESIDUAL_INFORMATION
当再次利用受保护的资源时，评估对象安全功能必须确保不释放受保护对象中所包含的任何信息。
在重新使用包含残余信息的对象期间，该评估对象中与已定义的对象相关联的残余信息必须是不可访问的 [FDP_RIP.2a]。

OE.RESIDUAL_INFORMATION
当再次利用受保护的资源时，该 IT 环境必须确保不释放受保护对象中包含的任何信息。
在重新使用包含残余信息的对象之前，必须清除该评估对象中与已定义的对象相关联的残余信息 [FDP_RIP.2b]，如同使用来自 IT 环境的提供给该评估对象的对象（例如，文件）所实现的那样。

O.MANAGE
对于负责评估对象安全管理的获得授权的管理员，该评估对象安全功能必须提供支持他们的全部必要功能和设施。
必须为获得授权的管理员提供评估对象安全功能来管理该评估对象 [FMT_SMR.1a]。该管理员必须能够查阅和管理审计线索 [FAU_SAR.1、FAU_SAR.3、FAU_SEL.1、FAU_STG.4、FMT_SMF.1a]，同时能够利用该评估对象的所有其他安全功能 [FMT_SMF.1a]。

OE.MANAGE
对于负责该 IT 环境安全管理的获得授权的管理员，该 IT 环境必须提供支持他们的全部必要功能和设施，包括对该评估对象的与安全有关的支持。
必须为获得授权的管理员提供 IT 环境来管理该 IT 环境 [FMT_SMR.1b]。该管理员必须能够管理用户账户 [FMT_MTD.1c、FMT_MTD.1d、FMT_MTD.1e、FMT_REV.1b、FMT_SMF.1b]。该管理员必须能够管理该评估对象的审计功能 [FMT_MTD.1a 和 FMT_MTD.1b]。

O.ENFORCEMENT
在设计和实施评估对象安全功能过程中，必须确保在目标环境中强制执行组织策略。
评估对象安全功能必须确定其安全策略并强制执行它们 [FPT_RVM.1a]。通过此《安全目标》中定义的保证要求，进一步满足这一目的的正确性。通过保护该评估对象的各个部分，此目的提供对评估对象其他安全目的的全面支持，以实现策略并确保强制执行这些策略。

OE.ENFORCEMENT
在设计和实施该 IT 环境过程中，必须确保其能够保护该评估对象的运行 IT 环境。对于评估对象及 IT 环境的同时使用，该 IT 环境必须为评估对象及 IT 环境的同时使用提供可靠时间源。
该 IT 环境必须确定其安全策略并强制执行这些策略 [FPT_RVM.1b]。必须保护其免受那些会防止其执行安全功能的干扰 [FPT_SEP.1]。此外，该 IT 环境必须提供证明底层的抽象机正确运行的能力 [FPT_AMT.1]。该 IT 环境还必须提供可靠的时间戳 [FPT_STM.1b]，并保护所存储的审计数据 [FAU_STG.1]。