GB/T 20273-2019安全保障要求解读（三）ADV_FSP.4 完备的功能规范

（一）前言
（二）ADV_ARC.1 安全架构描述

（三）ADV_FSP.4 完备的功能规范

GB18336.3

11.2.7 ADV_FSP.4 完备的功能规范
依赖关系：ADV_TDS.1 基础设计
11.2.7.1 开发者行为元素
11.2.7.1.1 ADV_FSP.4.1D
开发者应提供一个功能规范。
11.2.7.1.2 ADV_FSP.4.2D
开发者应提供功能规范到安全功能要求的追溯。
11.2.7.2 内容和形式元素
11.2.7.2.1 ADV_FSP.4.1C
功能规范应完全描述TSF。
11.2.7.2.2 ADV-FSP.4.2C
功能规范应描述所有的TSFI的目的和使用方法。
11.2.7.2.3 ADV_FSP.4.3C
功能规范应识别和描述每个TSFI相关的所有参数。
11.2.7.2.4 ADV_FSP.4.4C
对于每个SFR-执行TSFI，功能规范应描述TSFI相关的所有行为。
11.2.7.2.5 ADV_FSP.4.5C
功能规范应描述可能由每个TSFI的调用而引起的所有直接错误消息。
11.2.7.2.6 ADV_FSP.4.6C
功能规范应证实安全功能要求到TSFI的追溯。
11.2.7.3 评估者行为元素
11.2.7.3.1 ADV_FSP.4.1E
评估者应确认所提供的信息满足证据的内容和形式的所有要求。
11.2.7.3.2 ADV_FSP.4.2E
评估者应确定功能规范是安全功能要求的一个准确且完备的实例化。

A.2 ADV_FSP：TSFI补充材料
制定TSFI的目的是为引导测试提供必须的信息：在不知道与TSF交互的各种可能途径的情况下，不可能充分测试TSF的行为。
要声明TSFI的两个方面：标识它们和描述它们。由于TOE可能的多样性，以及不同的TSF，没有组成TSFI的标准接口集合。本附录提供的指南是关于确定哪些接口是TSFI的要素。
A.2.1 确定TSFI
为了标识TSF接口，必须首先识别构建TSF的TOE部分。这种识别实际上是TOE设计（ADV_TDS）分析的一部分，但是在保障包中不包含TOE设计（ADV_TDS）的情况下，开发者会暗含着（通过TSFI识别和描述）执行识别。在此分析中，如果TOE的一部分能够满足ST（全部或部分）中的安全功能要求，那么必须认为它是TSF的一部分。例如，这包括TOE中用于TSF运行时初始化的所有细节，比如安全功能要求的执行没有开始（例如，启动时）优先于TSF运行的软件能自保护。对TSF自保护、域分离和不可旁路的架构原则提供支持的TOE所有部分也包含在TSF中（参见安全架构ADV_ARC）。
一旦定义了TSF，也就表明了TSFI。TSFI是由用户调用TSF（通过提供经TSF处理过的数据）服务的所有途径以及对这些服务的响应所构成。这些服务规定和响应是穿越TSF边界的方法。当染，有些服务会很明显，有些则不那么明显。当确定TSFI的时候，要问的问题是“一个企图破坏安全功能要求的潜在攻击者是如何与TSF进行交互的？”

ISO15408-3

11.2.7 ADV_FSP.4 Complete functional specification
Dependencies: ADV_TDS.1 Basic design
11.2.7.1 Developer action elements
11.2.7.1.1 ADV_FSP.4.1D
The developer shall provide a functional specification.
11.2.7.1.2 ADV_FSP.4.2D
The developer shall provide a tracing from the functional specification to the SFRs.
11.2.7.2 Content and presentation elements
11.2.7.2.1 ADV_FSP.4.1C
The functional specification shall completely represent the TSF.
11.2.7.2.2 ADV_FSP.4.2C
The functional specification shall describe the purpose and method of use for all TSFI.
11.2.7.2.3 ADV_FSP.4.3C
The functional specification shall identify and describe all parameters associated with each TSFI.
11.2.7.2.4 ADV_FSP.4.4C
The functional specification shall describe all actions associated with each TSFI.
11.2.7.2.5 ADV_FSP.4.5C
The functional specification shall describe all direct error messages that may result from an invocation of each TSFI.
11.2.7.2.6 ADV_FSP.4.6C
The tracing shall demonstrate that the SFRs trace to TSFIs in the functional specification.
11.2.7.3 Evaluator action elements
11.2.7.3.1 ADV_FSP.4.1E
The evaluator shall confirm that the information provided meets all requirements for content and presentation of evidence.
11.2.7.3.2 ADV_FSP.4.2E
The evaluator shall determine that the functional specification is an accurate and complete instantiation of the SFRs.

A.2 ADV_FSP: Supplementary material on TSFIs
The purpose in specifying the TSFIs is to provide the necessary information to conduct testing; without knowing the possible means interact with the TSF, one cannot adequately test the behaviour of the TSF.
There are two parts to specifying the TSFIs: identifying them and describing them. Because of the diversity of possible TOEs, and of different TSFs therein, there is no standard set of interfaces that constitute “TSFIs”. This annex provides guidance on the factors that determine which interfaces are TSFIs.
A.2.1 Determining the TSFI
In order to identify the interfaces to the TSF, the parts of the TOE that make up the TSF must first be identified. This identification is actually a part of the TOE design (ADV_TDS) analysis, but is also performed implicitly (through identification and description of the TSFI) by the developer in cases where TOE design (ADV_TDS) is not included in the assurance package. In this analysis, a portion of the TOE must be considered to be in the TSF if it contributes to the satisfaction of an SFR in the ST (in whole or in part). This includes, for example, everything in the TOE that contributes to TSF run-time initialisation, such as software that runs prior to the TSF being able to protect itself because enforcement of the SFRs has not yet begun (e.g., while booting up). Also included in the TSF are all parts of the TOE that contribute to the architectural principles of TSF self-protection, domain separation, and non-bypassability (see Security Architecture (ADV_ARC)).
Once the TSF has been defined, the TSFI are identified. The TSFI consists of all means by which external entities (or subjects in the TOE but outside of the TSF) supply data to the TSF, receive data from the TSF and invoke services from the TSF. These service invocations and responses are the means of crossing the TSF boundary. While many of these are readily apparent, others might not be as obvious. The question that should be asked when determining the TSFIs is: “How can a potential attacker interact with the TSF in an attempt to subvert the SFRs?”

GB20273

7.3.2.4 完备的功能规范（ADV_FSP.4）
开发者行为元素：
ADV_FSP.4.1D
开发者应提供一个功能规范。
ADV_FSP.4.2D
开发者应提供功能规范到安全功能要求的追溯。
内容和形式元素：
ADV_FSP.4.1C
功能规范应完全描述TSF。
ADV_FSP.4.2C
功能规范应描述所有的TSFI的目的和使用方法。
ADV_FSP.4.3C
功能规范应识别和描述每个TSFI相关的所有参数。
ADV_FSP.4.4C
对于每个SFR-执行TSFI，功能规范应描述TSFI相关的所有行为。
ADV_FSP.4.5C
功能规范应描述可能由每个TSFI的调用而引起的所有直接错误消息。
ADV_FSP.4.6C
功能规范应证实安全功能要求到TSFI的追溯。
评估者行为元素：
ADV_FSP.4.1E
评估者应确认所提供的信息满足证据的内容和形式的所有要求。
ADV_FSP.4.2E
评估者应确定功能规范是安全功能要求的一个准确且完备的实例化。

USGovPP

无相关内容。

GB20009

5.2.1.4 完备的功能规范（ADV_FSP.4）
完备的功能规范组件评估时确定开发者是否完全描述了所有TSFI，描述的方式是否可使评估者能够肯定TSFI完整精确地描述了执行ST的安全功能需求。接口的完整度是基于实现表示判断的。完备的功能规范组件评估证据包括：安全目标、功能规范、TOE设计和实现表示。如果TOE的ST有评估证据的话，那么所使用的评估证据应包括：安全架构描述、TSF内部描述、安全策略模型。该组件安全评估内容如下：
a）评估者应检查功能规范，标识出TSF对应的TSFI，以确定该规范完整地描述了TSF的接口；
b）评估者应检查功能规范，以确定接口描述的结构化/半结构化、上下一致，并使用常用术语；
c）评估者应检查功能规范，以确定它说明了各TSFI接口所提供的功能的总述；
d）评估者应检查功能规范，以确定规范给出了各TSFI的使用方法；
e）评估者应检查功能规范，以确定TSFI的完整性；
f）评估者应检查TSFI的表示，以确定该表示完整地指出了与各TSFI相关的所有参数；
g）评估者应检查TSFI的表示，以确定该表示完整和准确地描述了各TSFI相关的所有参数；
h）评估者应检查TSFI的表示，以确定该表示完整地、准确地描述了与各TSFI相关的所有行动；
i）评估者应检查TSFI的表示，以确定该表示完整地、准确地描述了调用各TSFI产生的所有错误信息；
j）评估者应检查TSFI的表示，以确定该表示完整和准确地描述调用各TSFI产生的所有错误信息；
k）评估者应检查功能规范，以确定规范完整地、准确地描述了调用一个TSFI不会产生的所有错误消息；
l）评估者应检查功能规范，以确定对于每一个包含在TSF实现内但不是从TSFI调用中产生的错误，该规范都给出了原因；
m）评估者应检查功能规范，以确定SFR能够追溯到对应的TSFI；
n）评估者应检查功能规范，以确定它是TOE安全功能要求的一个准确且完备的实例化。

简析

• GB13886.3 A.2.2提供确定一个“复杂的DBMS”TSFI的范例。
• GB20273内容与GB18336.3相同。
• USGovPP没有ADV_FSP.4相关内容。5.2.1.2 ADV_FSP.2 Security-enforcing functional specification可参照。
• GB20009中，j）与i）相同。