学习GB/T 20273-2019（七）FMT功能类：安全管理

（一）学习方法
（二）FAU功能类：安全审计
（三）FCO功能类：通信
（四）FCS功能类：密码支持
（五）FDP功能类：用户数据保护
（六）FIA功能类：标识和鉴别

（七）FMT功能类：安全管理

GB18336.2中，FMT功能类详细说明安全属性、TOE安全功能数据和功能等几个方面的管理，也规范不同的管理角色及其相互作用，如能力的分离。

FMT功能类有几个目的：

• 管理TOE安全管理数据，如旗标；
• 管理安全属性，例如访问控制列表和能力列表；
• 管理TOE安全功能，例如功能的选择，影响TOE安全行为的规则或条件；
• 定义安全角色。

FMT功能类包括7个功能族。

1、FMT_MOF功能族：TOE安全功能中功能的管理

允许授权用户控制对TOE安全功能中功能的管理。例如，审计功能和多重鉴别功能都是TOE安全功能中的功能实例。

FMT_MOF功能族包括1个功能组件。

（1）FMT_MOF.1功能组件：安全功能行为的管理

允许授权用户（角色）管理TOE安全功能中的功能行为，这些功能使用了可以管理的规则或具有可管理的特定条件。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

2、FMT_MSA功能族：安全属性的管理

允许授权用户控制安全属性的管理。这种管理可能包括查看和修改安全属性的能力。

FMT_MSA功能族包括4个功能组件。

（1）FMT_MSA.1功能组件：安全属性的管理

允许授权用户（角色）管理指定的安全属性。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

（2）FMT_MSA.2功能组件：安全的安全属性

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

（3）FMT_MSA.3功能组件：静态属性初始化

确保安全属性的默认值是恰当的，即或者是容许的，或者事实上是受限的。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

（4）FMT_MSA.4功能组件：安全属性值的继承

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

3、FMT_MTD功能族：TOE安全功能数据的管理

允许授权用户（角色）控制TOE安全功能数据的管理。这里的TOE安全功能数据包括审计信息、时钟和其他TOE安全功能配置参数。

FMT_MTD功能族包括3个功能组件。

（1）FMT_MTD.1功能组件：TOE安全功能数据的管理

允许授权用户管理TOE安全功能数据。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

（2）FMT_MTD.2功能组件：TOE安全功能数据限值的管理

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

（3）FMT_MTD.3功能组件：安全的TOE安全功能数据

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

4、FMT_REV功能族：撤消

负责处理TOE内各种实体安全属性的撤消问题。

FMT_REV功能族包括1个功能组件。

（1）FMT_REV.1功能组件：撤消

规定撤消在某一时刻将实施的安全属性的要求。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

5、FMT_SAE功能族：安全属性到期

处理对安全属性的有效性实施时间限制能力的问题。

FMT_SAE功能族包括1个功能组件。

（1）FMT_SAE.1功能组件：时限授权

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

6、FMT_SMF功能族：管理功能规范

规范TOE的管理功能。管理功能提供TOE安全功能接口，以便于管理员定义控制TOE安全相关操作的参数，如数据保护属性、TOE保护属性、审计属性、标识和鉴别属性等。管理功能也包含由操作员执行的用以确保TOE连续运行的功能，如备份和恢复。TOE安全功能接口是指外部实体向TOE安全功能提供数据、从TOE安全功能接收数据、并调用TOE安全功能服务的方法。此处的“外部实体”可以是在TOE中但在TOE安全功能之外的主体。

FMT_SMF功能族包括1个功能组件。

（1）FMT_SMF.1功能组件：管理功能规范

要求TOE安全功能提供特定的管理功能。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

7、FMT_SMR功能族：安全管理角色

控制对用户分配不同的角色。

FMT_SMR功能族包括3个功能组件。

（1）FMT_SMR.1功能组件：安全角色

规定TOE安全功能认可的与安全相关的一些角色。

GB20273 EAL2无此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4无此功能组件。

（2）FMT_SMR.2功能组件：安全角色限制

规定控制角色之间关系的规则。

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4有此功能组件。

（3）FMT_SMR.3功能组件：承担角色

要求向TOE安全功能明确请求承担某个角色。

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。