安全系统EAL3文档功能规范

**系统功能规范
1.安全功能及其接口描述
在安全功能描述中的“内部接口”指供其它安全功能调用的接口，以函数调用的形式提供；“外部接口”指安全功能实现的、TOE的对外接口，以GUI的形式提供。

1.1 SM.TaskManage 扫描任务管理功能
功能描述：
授权用户（扫描管理员和操作员）通过GUI确定扫描任务的扫描对象、扫描漏洞类型和扫描方式，TSF记录并将上述参数传递给扫描引擎，扫描引擎会据此首先启动“信息收集功能”，并依次调用“漏洞分析功能”和“安全告警功能”。

外部接口：
（1）I.ManageTask 扫描任务设置界面
通过该界面可以设置扫描任务的“基本属性设置”、“任务目标”和“任务模板”。

任务属性参数包括：任务名称、优先级设置、任务描述和任务类型；其中，任务类型包括标准任务、手动任务、周期任务、定时任务和渐进式任务。

任务目标设置扫描任务的扫描对象，既可以按子网也可以按主机方式设置。

有三种添加任务目标的方式：从设备管理添加、手工输入和从文件加载。

任务模板设置扫描任务采用的扫描模板，既可以选择系统预定义的28种模板之一，也可以自己定义扫描模板。

1.2 E.Collect 信息收集功能
功能描述：
依照扫描引擎指示的参数，从目标IT系统资源中收集各类静态信息，将这些信息记录在临时文件中，供“漏洞分析功能”使用。

内部接口：
GatherInfo（），需接受的参数：host——扫描对象，infoType——需收集的
信息类型。

返回参数：TRUE——成功完成信息收集任务，相关信息已计入临时文件中；FALSE——未能从目标系统获取相应信息。

1.3 E.Analyse 漏洞分析功能
功能描述：
依照扫描引擎指示的参数和漏洞库中记录的已知漏洞特征，分析、比对“信息收集功能”在临时文件中记录的各类静态配置信息，以确定是否存在可能对目标IT系统产生潜在侵害的漏洞。

内部接口：
AnalyzeVul（），需接受的参数：host——分析对象，infoType——需分析的信息类型。

返回参数：TRUE——发现安全隐患，结果信息已通过Output（）记录到扫描结果库中；FALSE——没有发现脆弱性。

1.4 E.Alarm 安全告警功能
功能描述：
把检测到的安全漏洞记录到扫描结果库中，并将达到某种危害程度的安全漏洞的信息以电子邮件的形式发送给指定管理员。

内部接口：
Output（），由“漏洞分析功能”调用，需接受的参数：host——被扫描主机；scanResult——扫描结果。

返回参数：0——扫描结果信息已成功入库，邮件成功发送；1——扫描结果信息成功入库，邮件成功失败；2——扫描结果写入失败。

1.5 SM.MaintainDB 漏洞库维护功能
功能描述：
授权用户（扫描管理员）在“漏洞库升级”界面导入漏洞库升级包，完成对安全漏洞规则库的升级功能。

外部接口：
（1）I.UpdateDB漏洞库升级界面
漏洞库升级管理界面中借助“文件浏览”功能，可以方便地查找并导入漏洞升级文件。

1.6 RM.View 查看报表功能
功能描述：
授权用户（扫描管理员、报表查看员、操作员）在“扫描任务浏览”界面中选定要其有权限查看的扫描任务，TSF显示包含任务扫描结果的“报表显示”界面，扫描结果分类清晰、易于理解。

外部接口：
（1）I.NaviTask扫描任务浏览界面
扫描任务浏览界面中显示出当前已经完成的扫描任务的信息，包括任务名、开始时间和结束时间、执行时间、任务类型等。

通过该界面，授权用户能够选定并显示扫描任务结果报表，或者选定并删除扫描任务及其扫描结果报表，还能够根据“任务ID”、“任务名称”以及“任务类型”的组合，模糊查询各类扫描任务。

（2）I.ViewReport报表显示界面
报表显示界面中显示了较为全面的扫描信息：
任务综述：包括任务基本信息、扫描目标统计、存活目标统计、操作系统分布、攻击类别分布、应用类别分布、开放端口统计等。

主机信息，包含了所有被扫描的存活设备的漏洞数与危险值。

TOP-10信息，包括前十危险设备、前十漏洞分布、前十高频端口等重要统计信息。

附录，包括漏洞的危险等级与危险分值关系定义、扫描目标主机危险分值定义、扫描目标主机危险级别定义等信息。

1.7 RM.Maintain 报表维护功能
功能描述：
授权用户（扫描管理员）可以在“扫描任务浏览”界面中选定并删除扫描任务报表。

外部接口：
（1）I.NaviTask扫描任务浏览界面
参见1.6中的描述。

1.8 RM.ConfigSpace 配置报表存储空间功能
功能描述：
授权用户（超级管理员）在“修改报表空间配置”界面中，填入新的报表空间配置参数，TSF据此重新配置报表的存储空间。

外部接口：
（1）I.ConRSpace修改报表空间配置界面
授权用户在“修改报表空间配置”界面中，填入新的存储报表使用的存储空间值，即可重新配置报表的存储空间大小。

1.9 UM.ManageRole 角色管理功能
功能描述：
TSF内置下列角色：超级管理员、审计管理员、扫描管理员、审计员、操作员和报表查看员。

其中，超级管理员具备增加、删除、修改用户的权限、具备修改安全角色的权限、具备设置系统时间的权限、具备设置允许不成功的鉴别次数的权限；审计管理员具备查询及删除审计日志的权限；审计员具备查询审计日志的权限；扫描管理员具备查询及删除扫描结果的权限；操作员具备查询自己执行的扫描任务的扫描结果的权限；报表查看员具备查询扫描结果的权限。

各角色的最小密码长度等属性可以在“修改角色界面”中修改。

外部接口：
（1）I.ModRole 修改角色界面
授权用户（超级管理员）在“修改角色”界面中，可以修改 a）该角色与
TSF交互时的超时锁定时间； b)该角色的最小密码长度；c）允许该角色的不成功鉴别尝试次数。

1.10 UM.Authentication 用户认证功能
功能描述：
任何用户在执行赋予其权限的安全功能之前，都要经过TSF的鉴别。

用户必须首先在“用户登录”界面输入代表其身份的用户标识和鉴别密码，TSF验证其身份与权限无误后，才会准许其进行后续的操作。

外部接口：
（1）I.Login 用户登录界面
该界面接受用户输入的用户名和密码，并通过可信路径交由服务器进行鉴别。

通过鉴别的用户将获得与其角色相对应的授权；连续三次鉴别失败的用户的帐户将被锁定，直至超级管理员解除。

1.11 UM.AddUser 增加用户功能
功能描述：
授权用户（超级管理员）在“新增用户”界面中，填写新增加的用户的用户身份、密码、安全角色、允许登录IP等各项信息，增加新的授权用户。

授权用户（超级管理员）确保为新增用户分配符合其用户身份的、包含适当的安全功能管理权限及TSF数据管理权限的安全角色。

外部接口：
（1）I.AddUser新增用户界面
用户管理员可以在新增用户界面中设置用户的各项属性，可设置的用户属性有用户名、用户密码、角色权限、允许登录IP和用户信息等。

1.12 UM.ModifyPwd 修改密码功能
功能描述：
授权用户（超级管理员）在“用户列表”界面中选定要更改密码的用户，在“修改用户”界面中，重新设置该用户的密码。

授权用户在“修改密码”界面中，更改自己的密码。

外部接口：
（1）I.ListUser 用户列表界面
用户管理员可以在用户列表界面，查看当前所有管理员的用户信息，包括用户名、角色、允许登录IP、描述、邮箱、锁定情况等；可以选定某个用户，进行进一步的修改用户信息、修改用户密码、解锁用户、锁定用户乃至删除用户等操作。

（2）I.ModUser 修改用户界面
用户管理员在“用户列表界面”选择相应的用户并选择“修改”操作进入“修改用户界面”修改相应用户的密码。

（3）I.ModPWD 修改密码界面
任何授权用户都可以进入“修改密码界面”，修改自己的密码。

用户需要准确提供自己当前的密码，并两次输入相同的新密码才能完成本操作。

1.13 UM.ModifyInfo 修改用户信息功能
功能描述：
授权用户（超级管理员）在“用户列表”界面中选定要更改信息的用户，在“修改用户”界面中，重新设置该用户的相关信息。

外部接口：
（1）I.ListUser 用户列表界面
参见1.12中的描述。

（2）I.ModUser 修改用户界面
在“用户列表界面”选择相应的用户并选择“修改”操作即可进入“修改用户界面”，在此界面中，用户管理员可以更改用户的角色、允许登录IP、描述以及邮箱等信息。

1.14 AM.Record 记录审计信息功能
功能描述：
当需要被审计的安全事件发生时，相关的安全功能调用本功能，将所需的审计信息记录到审计信息库中。

如果审计迹已满，会覆盖所存储的最早的审计记录，并向审计管理员发送告警邮件。

接口：
WriteLog（），需接受的参数：Date——审计事件发生的时间，Type——审计事件类型，user——主体身份，result——事件结果，datail——其它细节信息。

返回参数：0——审计信息已正常写入审计信息库；1——审计存储空间已满，通过覆盖最早的审计记录，审计信息已正常写入审计信息库；2——严重故障，审计信息无法写入审计信息库。

1.15 AM.View 查看审计信息功能
功能描述：
授权用户（审计管理员、审计员）在“查询审计日志”界面中输入查询条件，如审计事件发生的时间、审计事件类型、操作用户、事件成功或失败等，TSF从审计信息库中检索出符合这些条件的审计信息并在“审计日志显示”页面中显示，审计记录分类清晰、易于理解。

外部接口：
（1）I.QueryAudit 日志查询界面
授权用户可以根据日志的风险等级、用户名、客户端地址、操作类型、操作描述、操作结果、查询时间等多项参数对系统日志进行组合模糊查询。

（2）I.QueryAudit 日志显示界面
日志显示主界面中主要记录了具备不同权限用户对本系统的各种不同的操作。

审计管理员可以根据需要进行日志的查看、查询、删除、清空和导出等多种操作，审计员只能进行查看审计日志操作。

1.16 AM.Maintain 审计信息维护功能
功能描述：
授权用户（审计管理员）可以通过“查询审计日志”界面删除一条或多条审计日志。

同时，TSF确保不向任何用户提供修改审计日志的接口。

外部接口：
（1）I.QueryAudit 日志显示界面
参见1.15中的描述。

1.17 AM.ConfigSpace 配置审计信息存储空间功能
功能描述：
授权用户（超级管理员）在“修改日志空间配置”界面中，设置新的日志空间配置参数，TSF据此重新配置审计信息的存储空间。

外部接口：
（1）I.ConASpace 修改日志空间配置界面
授权用户在“修改日志空间配置”界面中，填入新的存储审计日志使用的存储空间值，即可重新配置审计信息的存储空间大小。

1.18 SS.MaintainTime 时间管理功能
功能描述：
授权用户（超级管理员）可以更改系统时间。

外部接口：
（1）I.SetTime 系统时间设置界面
在“系统时间设置”界面，系统管理员可以对系统时间进行管理。

有三种时间设置的方式，分别为手动设置、同步本地时间和NTP同步。

手动方式指系统管理员直接输入时间值。

同步本地时间指将系统时间同步到管理控制主机的系统时间。

NTP同步指依照NTP协议，实现与时间服务器的同步操作。

NTP同步包括两种方式：立即同步和定时同步两种方式。

立即同步指配置保存后，系统会立即执行与时间服务器的同步操作；定时同步指配置保存后，系统会定时地与时间服务器进行同步操作。

1.19 SS.Timeout 超时锁定功能
功能描述：
缺省情况下，如果在3分钟之内，授权用户没有通过GUI和TSF做任何交互，TSF将中止授权用户和TSF之间的会话，并取消用户授权。

本功能直接在系统底层实现，无对外接口。

1.20 SS.Encrypt 管理数据非明文传输功能
功能描述：
本地用户和远程用户与TSF之间的所有通信数据均通过SSL加密，包括启动用户鉴别、用户管理、审计和扫描管理等在内的各类管理数据均经过加密后传输。

本功能直接在系统底层实现，无对外接口。

2. 安全功能与外部TSF 接口的对应关系
证明关系，文字描述
SM.TaskManage 扫描任务管理功能
通过I.ManageTask可以设置扫描任务的“基本属性设置”、“任务目标”和“任务模板”。

SM.MaintainDB 漏洞库维护功能
借助I.UpdateDB，可以方便地查找并导入漏洞升级文件。

RM.View 查看报表功能
授权用户能够通过I.NaviTask选定并显示扫描任务结果报表，I.ViewReport中显示了较为全面的扫描信息。

RM.Maintain 报表维护功能
授权用户可以在I.NaviTask中选定并删除扫描任务的报表。

RM.ConfigSpace 配置报表存储空间功能
授权用户可以通过I.ConRSpace重新配置报表的存储空间大小。

UM.ManageRole 角色管理功能
授权用户可以通过I.ModRole ，修改该角色与TSF交互时的超时锁定时间、该角色的最小密码长度、允许该角色的不成功鉴别尝试次数等参数。

UM.Authentication 用户认证功能
I.Login 接受用户输入的用户名和密码，并通过可信路径交由服务器进行用户认证工作。

UM.AddUser 增加用户功能
用户管理员可以通过I.AddUser设置用户的各项属性并添加用户。

UM.ModifyPwd 修改密码功能
用户管理员可以在I.ListUser中选定要更改密码的用户，在I.ModUser 中重新设置该用户的密码；授权用户可以在I.ModPWD界面中，更改自己的密码。

UM.ModifyInfo 修改用户信息功能
用户管理员在I.ListUser中选定要更改信息的用户，在I.ModUser 面中重新设置该用户的相关信息。

AM.View 查看审计信息功能
授权用户可以在I.QueryAudit 中输入查询条件，从审计信息库中检索出符合这些条件的审计信息并在I.QueryAudit中显示。

AM.Maintain 审计信息维护功能
授权用户可以通过I.QueryAudit 删除一条或多条审计日志。

I.QueryAudit不向任何用户提供修改审计日志的接口。

AM.ConfigSpace 配置审计信息存储空间功能
授权用户可以通过I.ConASpace，设置新的日志空间配置参数。

SS.MaintainTime 时间管理功能
授权用户可以通过I.SetTime 对系统时间进行管理。

3. TOE 概要规范和功能规范之间的对应性分析
ST文档中的TOE概要规范中描述的安全功能与本功能规范中描述的安全功能一一对应。