18031-1-cn

內容目錄

欧洲标准
最终草案
FprEN18031-1
2024年5月
ICS
无线电设备的通用安全要求–第1部分：连接互联网的无线电设备
本欧洲标准草案提交CEN成员正式表决。该草案由技术委员会CEN/CLC/JTC13起草。
如果该草案成为欧洲标准，CEN和CENELEC成员必须遵守CEN/CENELEC内部条例，其中规定了在不作任何修改的情况下赋予该欧洲标准国家标准地位的条件。
本欧洲标准草案由CEN和CENELEC制定，有三个正式版本（英语、法语和德语）。CEN和CENELEC成员负责将任何其他语言的版本翻译成其自己的语言，并通知CEN-CENELEC管理中心，其地位与官方版本相同。
CEN和CENELEC成员包括奥地利、比利时、保加利亚、克罗地亚、塞浦路斯、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、冰岛、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、挪威、波兰、葡萄牙、北马其顿共和国、罗马尼亚、塞尔维亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、瑞士、土耳其和英国的国家标准机构和国家电工技术委员会。
请本草案的收件人在提交评论意见时，一并提交他们所了解的任何相关专利权的通知，并提供证明文件。
警告：本文件并非欧洲标准。它是为审查和征求意见而分发的。本文件如有更改，恕不另行通知，且不得作为欧洲标准引用。
CEN-CENELEC管理中心：
Rue de la Science23, B-1040 Brussels
©2024CEN/CENELEC有权以任何形式和任何方式在全球范围内为
CEN国家成员和CENELEC成员保留所有权利。
编号编号 FprEN18031-1:2024E
FprEN 18031-1:2024 (E)
2
免责声明
1、本免责声明系为保证本文档被正确使用、规避意外风险而设，其初衷在于为读者提供中文参考，促进沟通交流。
2、本文档由高维密码测评技术（山东）有限公司翻译，仅供交流学习使用，不得用于商业用途，转载或传播请注明出处。
3、我司仅出于交流学习之目的制作本文档，因此对于文档中的翻译不当之处，我司不担任任何法律责任或道德谴责。然若读者发现任何翻译错误，请不吝指正，欢迎将相关问题发送至邮箱：shenglin.xu@gwst.cn。
高维密码测评技术（山东）有限公司已获得如下检测资质:
⚫ 国家密码管理局授权的商用密码产品检测资质（智能密码钥匙、智能IC卡、PCI-E/PCI 密码卡、服务器密码机、签名验签服务器、安全芯片、SSL VPN产品/安全网关、IPSec VPN产品/安全网关、安全认证网关、金融数据密码机、时间戳服务器、POS 密码应用系统 ATM密码应用系统多功能密码应用互联网终端、密码键盘、安全电子签章系统、证书认证系统证书认证密钥管理系统）；
⚫ 英国BSI授权的密码模块检测资质（ISO/IEC 19790 & ISO/IEC 24759），可对密码模块开展1-4级检测；
⚫ 法国BUREAU VERITAS授权的消费级物联网产品检测资质（ETSI EN 303 645）；
⚫ 法国BUREAU VERITAS及德国KL-Certification授权的RED-DA检测资质（EN 18031-1 \ EN 18031-2 \ EN 18031-3，即CE-RED 3.3 d, e, f）；
⚫ CNAS关于ISO/IEC 19790 、 ISO/IEC 24759、NIST SP800-22、ETSI EN 303 645相关标准的认可，能够出具CNAS认可的密码模块、物联网产品及随机性检测报告。
如有业务需求，请联系：
商务沟通：13012981820
技术沟通：cptest@gwst.cn
FprEN 18031-1:2024 (E)
3
目录页数
前言 ………………………………………………………………………………………………………………………………………… 4
导言 ………………………………………………………………………………………………………………………………………… 5
1 范围 …………………………………………………………………………………………………………………………….. 6
2 规范性参考资料 …………………………………………………………………………………………………………… 6
3 术语和定义 ………………………………………………………………………………………………………………….. 6
4 缩略语 ……………………………………………………………………………………………………………………….. 11
5 本文件的应用 …………………………………………………………………………………………………………….. 12
6 要求 …………………………………………………………………………………………………………………………… 15
6.1 [ACM]访问控制机制 ………………………………………………………………………………………………….. 15
6.1.1 [ACM-1]访问控制机制的适用性…………………………………………………………………………………. 15
6.1.2 [ACM-2]适当的访问控制机制…………………………………………………………………………………….. 20
6.2 [AUM]验证机制 …………………………………………………………………………………………………………. 25
6.2.1 [AUM-1]验证机制的适用性………………………………………………………………………………………… 25
6.2.2 [AUM-2]适当的验证机制……………………………………………………………………………………………. 34
6.2.3 [AUM-3]验证器验证…………………………………………………………………………………………………… 37
6.2.4 [AUM-4]更改验证器…………………………………………………………………………………………………… 41
6.2.5 [AUM-5]口令强度 ………………………………………………………………………………………………………. 44
6.2.6 [AUM-6]暴力保护 ………………………………………………………………………………………………………. 52
6.3 [SUM]安全更新机制…………………………………………………………………………………………………… 56
6.3.1 [SUM-1]更新机制的适用性 ………………………………………………………………………………………… 56
6.3.2 [SUM-2]安全更新 ………………………………………………………………………………………………………. 59
6.3.3 [SUM-3]自动更新 ………………………………………………………………………………………………………. 64
6.4 [SSM]安全存储机制 …………………………………………………………………………………………………… 68
6.4.1 [SSM-1]安全存储机制的适用性 ………………………………………………………………………………….. 68
6.4.2 [SSM-2]为安全存储机制提供适当的完整性保护 …………………………………………………………. 72
6.4.3 [SSM-3]为安全存储机制提供适当的保密保护 …………………………………………………………….. 77
6.5 [SCM]安全通信机制…………………………………………………………………………………………………… 82
6.5.1 [SCM-1]安全通信机制的适用性 …………………………………………………………………………………. 82
6.5.2 [SCM-2]为安全通信机制提供适当的完整性和真实性保护 ………………………………………….. 88
6.5.3 [SCM-3]为安全通信机制提供适当的保密保护 ……………………………………………………………. 94
6.5.4 [SCM-4]为安全通信机制提供适当的重放保护 ……………………………………………………………. 99
6.6 [RLM]韧性机制 ………………………………………………………………………………………………………. 104
6.6.1 [RLM-1]韧性机制的适用性和适当性……………………………………………………….104
6.7 [NMM]流量管制机制 ………………………………………………………………………………………………. 109
6.7.1 [NMM-1]流量管制机制的适用性和适当性 ……………………………………………………………….. 109
6.8 [TCM]流量控制机制 ……………………………………………………………………………………………….. 113
6.8.1 [TCM-1]流量控制机制的适用性和适当性 ………………………………………………………………… 113
6.9 [CCK]保密加密密钥………………………………………………………………………………………………… 116
6.9.1 [CCK-1]适当的CCK ……………………………………………………………………………………………….. 116
6.9.2 [CCK-2]CCK生成机制 ……………………………………………………………………………………………. 120
6.9.3 [CCK-3]防止预装CCK的静态默认值 ………………………………………………………………………. 125
6.10 [GEC]通用设备能力 ………………………………………………………………………………………………… 129
FprEN 18031-1:2024 (E)
4
6.10.1 [GEC-1]最新的软件和硬件，没有公开已知的可利用漏洞 ………………………………………… 129
6.10.2 [GEC-2]通过相关网络接口限制服务暴露 …………………………………………………………………. 134
6.10.3 [GEC-3]配置可选服务和相关暴露的网络接口 ………………………………………………………….. 138
6.10.4 [GEC-4]暴露的网络接口和通过网络接口暴露的服务的文档 …………………………………….. 141
6.10.5 [GEC-5]没有不必要的外部接口 ……………………………………………………………………………….. 144
6.10.6 [GEC-6]输入验证 …………………………………………………………………………………………………….. 147
6.11 [CRY]密码学 …………………………………………………………………………………………………………… 152
6.11.1 [CRY-1]最佳加密实践 ……………………………………………………………………………………………… 152
附件A（信息性）理由 …………………………………………………………………………………………………………. 157
A.1 总述 …………………………………………………………………………………………………………………………. 157
A.2 理由 …………………………………………………………………………………………………………………………. 157
A.2.1 标准系列 ………………………………………………………………………………………………………………….. 157
A.2.2 设计安全 ………………………………………………………………………………………………………………….. 157
A.2.3 威胁建模和安全风险评估 …………………………………………………………………………………………. 158
A.2.4 功能充分性评估 ……………………………………………………………………………………………………….. 159
A.2.5 实施类别 ………………………………………………………………………………………………………………….. 159
A.2.6 资产 …………………………………………………………………………………………………………………………. 160
A.2.7 机制 …………………………………………………………………………………………………………………………. 161
A.2.8 评估标准 ………………………………………………………………………………………………………………….. 162
A.2.9 界面 …………………………………………………………………………………………………………………………. 165
附件B（信息性）与ENIEC62443-4-2：2019的映射关系 ………………………………………………………. 168
B.1 总述 …………………………………………………………………………………………………………………………. 168
B.2 映射关系 ………………………………………………………………………………………………………………….. 168
附件C（资料性）与ETSIEN303645（消费物联网网络安全：基准要求）的映射关系 ………….. 171
C.1 总述 …………………………………………………………………………………………………………………………. 171
C.2 映射关系 ………………………………………………………………………………………………………………….. 171
附件D（信息性）与物联网平台安全评估标准（SESIP）的映射关系
. ………………………………………………………………………………………………………………………………. 175
D.1 总述 …………………………………………………………………………………………………………………………. 175
D.2 映射关系 ………………………………………………………………………………………………………………….. 175
附件ZA（信息性）本欧洲标准与补充欧洲议会和欧盟理事会第2014/53/EU号指令的第2022/30号授权条例（欧盟）之间的关系，涉及该指令第3(3)条第(d)(e)和(f)点所述基本要求的适用，且为该补充指令旨在涵盖的内容 ………………………………………………………………………………. 178
参考资料 ……………………………………………………………………………………………………………………………… 179
FprEN 18031-1:2024 (E)
5
前言
本文件（FprEN18031-1:2024）由CEN/CENELECJTC13“网络安全和数据保护”技术委员会编写，其秘书处由DIN担任。
本文件目前已提交正式表决。
本文件是欧盟委员会和欧洲自由贸易协会授权CEN/CENELEC编写的，支持欧盟指令/法规的基本要求。
有关与欧盟指令/条例的关系，请参见作为本文件组成部分的资料性附件ZA。
FprEN 18031-1:2024 (E)
6
导言
由于无线电设备的连接性越来越强[33]，恶意威胁行为者对用户、组织和社会造成危害的能力也越来越强，因此制造商必须保持警惕，提高对网络安全威胁的整体抵御能力。
本基线标准中提出的安全要求旨在提高无线电设备保护其安全资产和网络资产免受常见网络安全威胁的能力，并减少公开已知的可利用漏洞。
必须指出的是，要实现无线电设备的整体网络安全，制造商和用户都需要采取深度防御的最佳实践。特别是，没有任何一项措施足以实现既定目标，事实上，即使是实现单一的安全目标，通常也需要一整套机制和措施。在本文件中，指引材料包括一系列示例。这些示例只是指示性的可能性，因为还有其他的可能性没有列出，而且，除非以协调的方式实施所选择的机制和措施，否则即使使用所给出的示例也是不够的。
FprEN 18031-1:2024 (E)
7
1 范围
本文件规定了联网无线电设备[34]（以下简称“设备”）的通用安全要求和相关评估标准。
2 规范性参考资料
本文件没有规范性参考资料。
3 术语和定义
本文件适用以下术语和定义。
国际标准化组织（ISO）和国际电工委员会（IEC）在以下地址维护标准化工作中使用的术语数据库：
— ISO在线浏览平台：见 https://www.iso.org/obp/
— IEC Electropedia：见 https://www.electropedia.org/
3.1
访问控制机制
授予、限制或拒绝访问特定设备资源的设备功能
条目注1：访问特定设备资源的方式包括：
— 读取特定数据；或
— 将特定数据写入设备的持久存储；或
— 执行特定的设备功能，如录音。
3.2
鉴别
保证一个实体是它声称的身份或物品
条目注1：除其他外，一个实体可以声称：
— 特定的人、用户账户、设备或服务的所有者；或
— 特定组的成员，如有权访问特定设备资源的授权组；或
— 经另一实体授权访问特定设备资源。
3.3
验证机制
设备功能，以验证一个实体是它声称的身份或物品
条目注1：通常情况下，核查是基于对一个或多个类别要素证据的审查：
— 知识；以及
— 拥有；以及
— 内在性。
FprEN 18031-1:2024 (E)
8
3.4
验证器
已知或拥有的、由实体控制的、用于身份验证的东西
条目注1：通常是物理设备或密码。
示例：口令或令牌可用作验证器。
3.5
评估目标
作为评估输入的一部分提供的说明，其中界定了进行评估的理由
[资料来源：ISO/IEC 33001:2015，3.2.6[27]]
3.6
最佳实践
已证明能为相应用例提供适当安全性的措施
3.7
蛮力攻击
通过对一组密钥、口令或其他数据进行试错搜索，对密码系统进行攻击
3.8
通讯机制
可通过机器接口进行通信的设备功能
3.9
保密加密密钥
用于加密算法或加密协议操作的保密安全参数，不包括口令
3.10
保密网络功能配置
网络功能配置，其披露可能会损害网络或其功能，或导致网络资源的滥用
3.11
保密安全参数
安全参数，其泄露会损害网络或其功能，或导致网络资源的滥用
3.12
拒绝服务
阻止或中断对设备资源的授权访问，或延迟设备的运行和功能
[资料来源：IEC62443-1-1:2019，3.2.42[28]] 已修改
3.13
装置
设备外部产品
3.14
实体
用户、装置、设备或服务
FprEN 18031-1:2024 (E)
9
3.15
熵
封闭系统中无序性、随机性或可变性的度量
3.16
外部接口
可从设备外部进入的设备接口。
条目注1：机器接口、网络接口和用户接口是特定类型的外部接口。
3.17
出厂默认状态
设备的配置设置和配置被设置为初始值的已定义状态
条目注1：出厂默认状态可能包括设备投放市场后安装的安全更新。
3.18
硬编码
将数据直接嵌入程序或其他可执行对象源代码的软件开发实践
3.19
初始化
为设备运行配置网络连接的过程
注1至条目：初始化可提供为用户或网络访问配置身份验证功能的可能性。
3.20
界面
各实体交换信息的共享边界
3.21
理由
有据可查的资料，证明在一般专业知识的假设下，某项声明是真实的
条目注1：例如，这些证据可以通过以下方式得到支持：
— 预期设备功能说明；或
— 对设备使用环境的描述；或
— 设备技术特性说明，如安全措施；或
— 分析设备在其合理可预见的使用范围内运行的相关风险以及设备的预期功能。
3.22
机器接口
设备与服务或设备之间的外部接口
FprEN 18031-1:2024 (E)
10
3.23
网络资产
敏感网络功能配置或保密网络功能配置或网络功能
3.24
网络设备
在不同网络之间交换数据的设备，用于永久直接连接其他设置至互联网
3.25
网络功能
设备本身提供或利用网络资源的功能
3.26
网络功能配置
设备处理的数据，用于定义设备网络功能的行为
3.27
网络接口
外部接口，使设备能够接入或提供接入网络的能力
条目注1：网络接口的例子包括LAN端口（有线）或无线网络接口，可进行WLAN或短距离无线通信，例如使用2.4GHz天线。
3.28
运行状态
设备按照预定的设备功能并在其预定的操作使用环境中正常运行的状态[35]
3.29
可选服务
设置设备时不需要的服务，不属于基本功能，但仍与预期设备功能相关[35]，并作为出厂默认设置的一部分交付
示例：设备的基本功能不需要SSH服务，但它可用于远程访问设备
3.30
口令
用于验证实体的字符序列（字母、数字或其他符号）
条目注1：个人识别码（PIN）也被视为口令的一种形式
3.31
公共安全参数
非保密的敏感安全参数
3.32
弹性
能够预测、承受、恢复和适应针对系统的不利条件、压力、攻击或破坏，这些行为会使用网络资源或受到网络资源支持
[来源：NISTSP800-172[29]]
FprEN 18031-1:2024 (E)
11
3.33
风险
伤害发生概率和伤害严重程度的组合
[出处：ISO/IEC Guide51:2014[30]]
3.34
资源
执行所需操作所需的功能单元或数据项
[来源：IEC[31]]
3.35
安全资产
敏感安全参数或保密安全参数或安全功能
3.36
安全功能
设备上的相关功能，以防止其损害网络或其功能，或滥用网络资源
3.37
安全参数
设备处理的、确定设备安全功能行为的数据
3.38
安全强度
与破解加密算法或系统所需的工作量相关的数字
条目注1：例如，工作量可以是破解加密算法或系统所需的操作次数
3.39
敏感网络功能配置
网络功能配置，其操作可能会损害网络或其功能，或导致网络资源的滥用
3.40
敏感安全参数
安全参数，对其进行操控会损害网络或其功能，或导致网络资源的滥用
3.41
安全更新
通过软件补丁或其他缓解措施解决安全漏洞的软件更新
3.42
软件
与设备运行有关的程序、规程、规则、文件和数据的组合
条目注1：软件还包括固件
3.43
储存机制
可存储信息的设备功能
FprEN 18031-1:2024 (E)
12
3.44
更新机制
可更改设备软件的设备功能
3.45
用户界面
设备与用户之间的外部接口
3.46
脆弱性
弱点、设计或实施错误，可能导致意外的、不希望发生的事件，危及相关设备、网络、应用程序或协议的安全
[资料来源：（ITSEC）（ENISA给出的定义，“计算机系统”由“设备”代替）[32]]
4 缩略语
ACM 访问控制机制
API 应用程序接口
AU 评估单元
AUM 验证机制
CCK 保密加密密钥
CRY 加密
CSP 保密安全参数
CWE 常见弱点枚举
DHCP 动态主机配置协议
DN 决策节点
DoS 拒绝服务
DT 决策树
E 证据
E.Info evidence.information
E.Just evidence.justification
GEC 通用设备能力
IC 实施类别
FprEN 18031-1:2024 (E)
13
ICMP 互联网控制报文协议
IP 互联网协议
LAN 局域网
OS 操作系统
MitM 中间人
NNM 网络监控机制
OS 操作系统
PIN 个人识别码
PKI 公钥基础设施
RLM 弹性机制
SCM 安全通信机制
SDO 标准制定组织
SQL 结构化查询语言
SSM 安全存储机制
SSP 敏感安全参数
SUM 安全更新机制
TCM 流量控制机制
USB 通用串行总线
WLAN 无线局域网
5 本文件的应用
本文件使用机制的概念来指引本文件的用户何时应用某些安全措施。机制通过包括评估标准在内的一系列要求来解决适用性和适当性问题。对每个指定的项目都会做出适用/不适用的决定。如果适用，则对指定的每个项目作出通过/失败的适当性决定。例如，在评估外部接口要求的适用性时，要针对每个外部接口独立决定是否需要满足该要求。
这些机制及其应用按照下表所示结构进行记录：
FprEN 18031-1:2024 (E)
14
表1-需求结构
条款#
标题
关于如何应用本文件的说明
6.x
XXX机制
每个具体项目的机制
(例如，外部接口或安全资产）
6.x.1
XXX-1机制的适用性
机制的适用性
6.x.1.1
要求
针对每个具体项目，确定并评估是否需要该机制。
注：一种机制可将适用性和适当性合并为一项要求。
6.x.1.2
理由
6.x.1.3
指引
6.x.1.4
评估标准
6.x.1.4.1
评估目标
6.x.1.4.2
实施类别
6.x.1.4.3
所需信息
6.x.1.4.4
概念评估
6.x.1.4.5
功能完整性评估
6.x.1.4.6
功能充分性评估
6.x.2
XXX-2适当的机制
机制的适当性
6.x.2.1
要求
对于XXX-1确定的所需机制的每个具体项目，确定并评估该机制是否得到适当实施。
注：一个机制可能有多个适当性子条款，以关注特定属性。
6.x.2.2
理由
6.x.2.3
指引
6.x.2.4
评估标准
6.x.2.4.1
评估目标
6.x.2.4.2
实施类别
6.x.2.4.3
所需信息
6.x.2.4.4
概念评估
6.x.2.4.5
功能完整性评估
6.x.2.4.6
功能充分性评估
6.x.y
XXX-#配套要求
机制支持要求的适用性和适当性
6.x.y.1
要求
对于XXX-1确定的所需机制的每个具体项目，确定并评估是否需要执行配套要求（可能有特定条件，例如设备是玩具），如果需要执行，是否被正确执行。
6.x.y.2
理由
6.x.y.3
指引
6.x.y.4
评估标准
6.x.y.4.1
评估目标
6.x.y.4.2
实施类别
6.x.y.4.3
所需信息
FprEN 18031-1:2024 (E)
15
条款#
标题
关于如何应用本文件的说明
6.x.y.4.4
概念评估
注意某些章节包含多项要求，因此在编号方面会略有偏差。
6.x.y.4.5
功能完整性评估
6.x.y.4.6
功能充分性评估
评估是通过评估记录在案的评估案例进行的，并非每个机制都能提供所有评估案例：
— 概念性评估
评估所提供的文件和理由是否提供了所需的证据（例如，为何某一机制NA于特定网络接口的理由）。
— 功能完整性评估
评估和测试所提供的文档是否完整（例如，使用网络扫描仪来验证所有外部接口是否已正确识别、记录和评估）
— 功能充分性评估
评估和测试实施是否充分（例如，在网络接口上运行模糊工具，评估它是否能够抵御畸形数据的攻击）
每项评估又分为以下子条款，可使用决策树来指引评估：
— 评估目的
— 先决条件
— 评估单元
— 做出判决
必要信息列出了通过技术文件提供的信息。本文件并不要求以单独文件的形式提供每个必要信息要素。
对于章节评估标准，以下标识符和定义的语法用于构建执行评估所需的元素：
— 所需信息
E..<MechanismAbbreviation->.
非 DT 所需的信息类别的标识符
— 决策树所需的信息
E..DT.<MechanismAbbreviation->
DT 所需的信息类别标识符
— 实施类别
FprEN 18031-1:2024 (E)
16
IC.<MechanismAbbreviation->.
执行类别标识符
— 评估单元
AU.<MechanismAbbreviation->.
评估单元的标识符
— 决策树节点
DT.<MechanismAbreviation->.DN-
DT 内部特定节点的标识符
占位符的使用方法如下：
— <类型>：“Info“或”Just”，表示所需的文件类型，可以是“信息”，也可以是“理由”。
— <类别名称>：所需文件的类别名称。可以包含用“.”分隔的其他子类别名称。
— （实现类别名称）：描述已定义实现的实现类别名称。
— （评估单元名称）：特定实施类别的评估单元名称。
— <MechanismAbreviation->：属于评估标准的具体要求名称的缩写。
6 要求
6.1[ACM] 访问控制机制
6.1.1 [ACM-1] 访问控制机制的适用性
6.1.1.1 要求
设备应使用访问控制机制来管理实体对安全资产和网络资产的访问，但在以下情况下对安全资产或网络资产的访问除外：
— 公共可访问是设备的预期功能；或
— 设备目标运行环境中的物理或逻辑措施限制了授权实体对设备的访问；或
— 法律影响不允许使用控制机制。
6.1.1.2 理由
安全资产和网络资产可能会遭到未经授权的访问。访问控制机制可限制任何未经授权的实体访问这些资产的能力。
FprEN 18031-1:2024 (E)
17
6.1.1.3 指引
该要求并不要求对其未涵盖的资产（例如咖啡机上的分装按钮）实施访问控制机制。此外，对于原则上已涵盖的安全资产或网络资产，但如果预期的设备功能[35]是公众可普遍访问的，或预期的使用操作环境确保只有经授权的访问才是可能的，则不要求采用访问控制机制。
即使设备所处的环境可以防止未经授权的实体进行物理操纵，例如，无线网络通常可以从用户住宅外进行访问，但无线电接口仍有可能被访问。
例如，根据设备的技术特性、预期的设备功能和预期的操作使用环境，访问控制机制对于相关的安全资产或网络资产可能是不必要的：
— 所有可访问设备的实体（设备应在有物理访问控制的区域内操作）都有权访问这些资产（例如，家用路由器上的WPS按钮）；
— 设备功能仅提供可公开访问的信息（关于安全资产或网络资产）（例如广播蓝牙广告信标）。
访问控制机制需要与访问权限相关联的属性。这些属性包括：
— 经核实的实体声明（例如，是用户账户的所有者、特定群组的成员、由另一实体授权）；
— 设备或设备环境的某些状态（例如，一个电子飞行包在空中操作时和在地面存放时，本地用户可能有不同的访问权限）；
— 从哪个外部接口进行访问（例如，本地访问（明显有物理访问控制）与远程访问的访问权限可能不同）；
— 上述特性的各种组合以及其他特性。
6.1.1.4 评估标准
6.1.1.4.1 评估目标
该评估针对要求ACM-1。
6.1.1.4.2 实施类别
NA。
6.1.1.4.3 所需信息
[E.Info.ACM-1.SecurityAsset]：实体可访问的每个安全资产的描述，包括：
— [E.Info.ACM-1.SecurityAsset.Access]：实体对设备上安全资产可能进行的访问；以及
FprEN 18031-1:2024 (E)
18
— (如果没有设备访问控制，则安全资产的公共可访问性是设备的预期功能）[E.Info.ACM-1.SecurityAsset.PublicAccess]：设备在安全资产的公共可访问性方面的预期功能描述；以及
— (如果由于设备目标运行环境中存在限制授权实体访问的物理或逻辑措施，导致设备的访问控制缺失）[E.Info.ACM-1.SecurityAsset.Environment]：描述：
o 设备目标运行环境中的物理或逻辑访问控制措施；以及
o 在设备的目标运行环境中如何对实体进行验证/授权；以及
— (如果法律影响不允许使用访问控制机制）[E.Info.ACM-1.SecurityAsset.Legal]：所有相关法律文件中所有相应段落的参考信息，包括如何适用于设备或受影响资产的说明；以及
— (如果声明实体访问安全资产需要访问控制机制）[E.Info.ACM-1.SecurityAsset.ACM]：管理实体访问安全资产的每个访问控制机制的描述。
[E.Info.ACM-1.NetworkAsset]：实体可访问的每个网络资产的描述，包括：
— [E.Info.ACM-1.NetworkAsset.Access]：可能的实体对设备上网络资产的访问；以及
— (如果没有设备访问控制，则网络资产的公共可访问性是设备的预期功能）[E.Info.ACM-1.NetworkAsset.PublicAccess]：设备在网络资产的公共可访问性方面的预期功能描述；以及[E.Info.ACM-1.NetworkAsset.PublicAccess]:设备在网络资产的公共可访问性方面的预期功能描述。
— (如果由于设备目标运行环境中存在限制授权实体访问的物理或逻辑措施而导致设备的访问控制缺失）[E.Info.ACM-1.NetworkAsset.Environment]：描述：
o 设备目标运行环境中的物理或逻辑访问控制措施；以及
o 在设备的目标运行环境中如何对实体进行验证/授权；以及
— (如果法律影响不允许使用访问控制机制）[E.Info.ACM-1.NetworkAsset.Legal]：所有相关法律文件中所有相应段落或段落的引用，包括如何适用于设备或受影响资产的描述；以及
— (如果声称实体访问网络资产需要访问控制机制）[E.Info.ACM-1.NetworkAsset.ACM]：管理实体访问网络资产的每个访问控制机制的描述。
FprEN 18031-1:2024 (E)
19
[E.Info.DT.ACM-1]：对[E.Info.ACM-1.SecurityAsset]和[E.Info.ACM-1.NetworkAsset]中分别记录的每个安全资产和网络资产（存在访问资产的路径），通过图1中决策树所选路径的描述。
[E.Just.DT.ACM-1]：通过[E.Info.DT.ACM-1]中记录的决策树选择路径的理由，具有以下属性：
— (如果[DT.ACM-1.DN-1]决策的结果为“NA”）[DT.ACM-1.DN-1]决定的理由基于[E.Info.ACM-1.SecurityAsset.PublicAccess]或[E.Info.ACM-1.NetworkAsset.PublicAccess]；并且
— (如果[DT.ACM-1.DN-2]决策的结果为“NA”）[DT.ACM-1.DN-2]决定的理由基于[E.Info.ACM-1.SecurityAsset.Environment]或[E.Info.ACM-1.NetworkAsset.Environment]；并且
— (如果[DT.ACM-1.DN-3]决策的结果为“NA”）[DT.ACM-1.DN-3]决定的理由基于[E.Info.ACM-1.SecurityAsset.Legal]或[E.Info.ACM-1.NetworkAsset.Legal]；并且
— 决定[DT.ACM-1.DN-4]的理由基于[E.Info.ACM-1.SecurityAsset.ACM]或[E.Info.ACM-1.NetworkAsset.ACM]。
6.1.1.4.4 概念评估
6.1.1.4.4.1 评估目的
本评估案例为概念性评估，目的在于评估是否按照ACM-1的要求实施了访问控制机制。
6.1.1.4.4.2 先决条件
无。
6.1.1.4.4.3 评估单元
图1-要求ACM-1的决策树
— 对于[E.Info.ACM-1.SecurityAsset]中记录的每个安全资产和[E.Info.ACM-1.NetworkAsset]中记录的每个网络资产，评估[E.Info.DT.ACM-1]中记录的决策树路径是否以“NA”或“PASS”结束。
FprEN 18031-1:2024 (E)
20
对于[E.Info.DT.ACM-1]中记录的决策树中的每条路径，都要评估[E.Just.DT.ACM-1]中记录的理由。
6.1.1.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— [E.Info.DT.ACM-1]中记录的决策树中至少有一条路径以“PASS”结束；以及
— 在[E.Info.DT.ACM-1]中记录的决策树中，没有以“FAIL”结尾的路径；以及
— [E.Just.DT.ACM-1]中提供的信息是通过[E.Info.DT.ACM-1]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.ACM-1]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.ACM-1]中记录的决策树路径，[E.Just.DT.ACM-1]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.1.1.4.5 功能完整性评估
6.1.1.4.5.1评估目的
功能评估的目的是验证[E.Info.ACM-1.NetworkAsset]或[E.Info.ACM-1.SecurityAsset]中记录的实体可访问的所有安全资产和网络资产。
6.1.1.4.5.2 先决条件
设备处于运行状态。
6.1.1.4.5.3 评估单元
从功能上评估设备中是否存在未在[E.Info.ACM-1.SecurityAsset]中记录的实体可访问的安全资产，以及设备中是否存在未在[E.Info.ACM-1.NetworkAsset]中记录的实体可访问的网络资产。例如，评估软件的所有部分，如内置软件、安装的应用程序和连接外围设备的接口。
6.1.1.4.5.4 做出判决
如果发现的所有安全资产都记录在[E.Info.ACM-1.SecurityAsset]中，且发现的所有网络资产都记录在[E.Info.ACM-1.NetworkAsset]中，则评估案例的判定结果为“PASS”。
如果发现了未在[E.Info.ACM-1.SecurityAsset]中记录的安全资产，或发现了未在[E.Info.ACM-1.NetworkAsset]中记录的网络资产，则会对评估案例做出“FAIL”的判决。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
21
6.1.1.4.6 功能充分性评估
6.1.1.4.6.1评估目的
本评估案例为功能性评估，的目是评估访问控制机制是否按照ACM-1的要求实施。
6.1.1.4.6.2 先决条件
设备处于运行状态。
6.1.1.4.6.3 评估单元
对于[E.Info.ACM-1.SecurityAsset]中记录的每个安全资产和[E.Info.ACM-1.NetworkAsset]中记录的每个网络资产，通过按照[E.Info.ACM-1.NetworkAsset.Access]和[E.Info.ACM-1.SecurityAsset.Access]访问资产的方式，在功能上根据[E.Info.ACM-1.SecurityAsset.ACM]或[E.Info.ACM-1.NetworkAsset.ACM]确认访问控制机制的存在。
6.1.1.4.6.4 做出判决
如果没有证据表明未实施[E.Info.ACM-1.SecurityAsset.ACM]或[E.Info.ACM-1.NetworkAsset.ACM]中记录的访问控制机制，则判定评估案例“PASS”。
如果有证据表明未实施[E.Info.ACM-1.SecurityAsset.ACM]或[E.Info.ACM-1.NetworkAsset.ACM]中记录的访问控制机制，则对评估案例作出“FAIL”的判定。
否则，将作出“NA”的判决。
6.1.2 [ACM-2]适当的访问控制机制
6.1.2.1 要求
ACM-1所要求的访问控制机制应确保只有授权实体才能访问受保护的安全资产和网络资产。
6.1.2.2 理由
未经授权的访问尝试可能会暴露安全资产和网络资产。适当的访问控制机制可确保这些资产免受未经授权的访问。
6.1.2.3 指引
这一要求旨在确保选择和配置用于保护相关安全资产或网络资产的访问控制机制，从而拒绝未经授权的访问。由于资产访问方法和控制机制（例如在可穿戴设备屏幕上显示）、设备用例和操作环境多种多样，很难为实体和相关访问权限指定一个通用模型。
访问控制机制能否拒绝未经授权的访问，始终取决于需要满足的外部假设。例如，不允许共享密码或未经授权的物理访问。
根据设备的技术特性和预期使用环境，访问控制机制使用适当的特性将访问权限与所有相关实体的授权信息联系起来。
FprEN 18031-1:2024 (E)
22
当访问控制机制依赖于身份验证机制时，请参见AUM：
— 授权实体，如特定人员、用户账户、设备或服务的所有者，可在验证后访问其安全资产或网络资产，如更改安全配置；或
— 特定授权群体的成员在通过身份验证后可访问安全资产或网络资产；或
— 一个实体经另一个实体授权，可以访问特定的安全资产或网络资产。
要确定安全资产和网络资产的适当访问控制机制，以下几个方面非常重要：
— 与实体访问安全资产或网络资产相关的风险；
— 设备功能允许访问安全资产或网络资产的形式；
— 访问安全资产或网络资产的外部接口，以及
— 预期使用操作环境对访问控制的影响。
要确定实体对安全资产或网络资产的访问权（授权实体对资产进行某些访问），以下几个方面非常重要：
— 与实体访问安全资产或网络资产相关的风险；
— “需要知道原则”：实体是否需要获取安全资产或网络资产的某些信息；
— “需要使用原则”：实体是否有有效需求使用基于安全资产或网络资产的功能；
— “最小特权原则”：除非得到许可，否则一切禁止；
— 设备明确宣传的功能，如安全资产或网络资产的可访问性，或与现有基础设施组件的互相可操作性。
6.1.2.4 评估标准
6.1.2.4.1 评估目标
评估满足要求ACM-2。
6.1.2.4.2 实施类别
[ic.acm-2.rbac]：验证访问控制机制适当性的方法完全依赖于基于角色的访问控制。
[ic.acm-2.dac]：验证访问控制机制适当性的方法完全依赖于自行决定的访问控制。
[ic.acm-2.mac]：验证访问控制机制适当性的方法完全依赖于强制访问控制。
FprEN 18031-1:2024 (E)
23
[IC.ACM-2.通用]：验证访问控制机制适当性的方法不能完全依赖ACM-2-RBAC、ACM-2-DAC或ACM-2-MAC中描述的任意一种方法。
6.1.2.4.3 所需信息
[E.Info.ACM-2.SecurityAsset]：ACM-1需要访问控制机制的每项安全资产的描述，包括：
— [E.Info.ACM-2.SecurityAsset.ACM]：说明ACM-1所要求的管理实体访问安全资产的每个访问控制机制，以及该机制如何根据实施类别确保只有授权实体才能访问安全资产。
[E.Info.ACM-2.NetworkAsset]：ACM-1需要访问控制机制的每个网络资产的描述，包括：
— [E.Info.ACM-2.NetworkAsset.ACM]：描述ACM-1所要求的管理实体访问网络资产的每个访问控制机制，以及该机制如何根据实施类别确保只有授权实体才能访问网络资产。
[E.Info.DT.ACM-2]：E.Info.ACM-2.SecurityAsset]中记录的每项安全资产和[E.Info.ACM-2.NetworkAsset]中记录的每项网络资产通过图2中决策树所选路径的描述。
[E.Just.DT.ACM-2]：通过[E.Info.DT.ACM-2]中记录的决策树选择路径的理由，并具有以下属性：
— [DT.ACM-2.DN-1]决策的依据基于[E.Info.ACM-2.NetworkAsset.ACM]或[E.Info.ACM-2.SecurityAsset.ACM]。
注：说明包括对实体的描述、实体对相应安全资产或网络资产的访问权限，以及访问控制机制如何确保只允许对相应资产进行授权访问。
6.1.2.4.4 概念评估
6.1.2.4.4.1 评估目的
本评估案例为概念性评估，目的为评估ACM-1所要求的访问控制机制是否已按ACM-2的要求实施。
6.1.2.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
24
6.1.2.4.4.3 评估单元
图2- ACM-2 要求的决策树
对于[E.Info.ACM-2.SecurityAsset]中记录的每个安全资产和[E.Info.ACM-2.NetworkAsset]中记录的每个网络资产，评估[E.Info.DT.ACM-2]中记录的决策树路径是否以“通过”结束。
对于[E.Info.DT.ACM-2]中记录的通过决策树的每条路径，请评估[E.Just.DT.ACM-2]中记录的相关理由。
6.1.2.4.4.4 做出判决
如果出现以下情况，则判定该评估案例“PASS”：
— 通过[E.Info.DT.ACM-2]中记录的决策树的所有路径都以“PASS”结尾；以及
— E.Just.DT.ACM-2]中提供的信息是通过[E.Info.DT.ACM-2]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.ACM-2]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.ACM-2]中记录的决策树路径，[E.Just.DT.ACM-2]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.1.2.4.5 功能完整性评估
功能完整性评估包含在访问控制机制适用性的功能充分性评估之中。
因此，ACM-2中的功能完整性评估不是必要的。
6.1.2.4.6 功能充分性评估
FprEN 18031-1:2024 (E)
25
6.1.2.4.6.1 评估目的
本评估案例为功能性评估，的目是评估访问控制机制是否按照ACM-2的要求实施。
6.1.2.4.6.2 评估单元
对于[E.Info.ACM-2.SecurityAsset]中记录的每个安全资产和[E.Info.ACM-2.NetworkAsset]中记录的每个网络资产：
[AU.ACM-2.RBAC]：如果[E.Info.ACM-2.SecurityAsset.ACM]或[E.Info.ACM-2.NetworkAsset.ACM]中记录的访问控制机制属于[IC.ACM-2.RBAC]，则从功能上确认：
— 为每个用户分配具有相关授权的角色；以及
— 与角色相关联的最少权限；以及
— 安全资产或网络资产只能由根据其角色授权的用户访问；以及
— 只有经授权的用户才能更改角色。
[ACM-2.DAC]：如果[E.Info.ACM-2.SecurityAsset.ACM]或[E.Info.ACM-2.NetworkAsset.ACM]中记录的访问控制机制属于[IC.ACM-2.DAC]，则从功能上确认：
— 为每个用户分配具有相关授权的身份；以及
— 与身份有关的最少特权；以及
— 安全资产或网络资产只能由根据其身份获得授权的用户访问；以及
— 只有经授权的用户才能更改身份。
[ACM-2.MAC]：如果[E.Info.ACM-2.SecurityAsset.ACM]或[E.Info.ACM-2.NetworkAsset.ACM]中记录的访问控制机制属于[IC.ACM-2.MAC]，则从功能上确认：
— 只有经操作系统和/或系统管理员许可的授权用户才能访问安全资产或网络资产；以及
— 发放许可与最少特权原则有关；以及
— 只有经授权的系统管理员才能更改负责向用户发放许可的操作系统和/或系统管理员。
[AU.ACM-2.Generic]：如果[E.Info.ACM-2.SecurityAsset.ACM]或[E.Info.ACM-2.NetworkAsset.ACM]中记录的访问控制机制属于[IC.ACM-2.Generic]，则在功能上确认：
— 安全资产或网络资产只能由授权用户访问；以及
— 遵循用户权限最少原则；以及
— 只有经授权的用户才能更改与访问控制机制有关的设置或更改用户权限。
6.1.2.4.6.3 做出判决
如果[E.Info.ACM-2.SecurityAsset]中记录的每个安全资产和[E.Info.ACM-2.NetworkAsset]中记录的每个网络资产在依赖实施类别的评估单元中的确认都成功，则评估案例的判定结果为“PASS”。
FprEN 18031-1:2024 (E)
26
如果[E.Info.ACM-2.SecurityAsset]中记录的任何安全资产或[E.Info.ACM-2.NetworkAsset]中记录的任何网络资产未成功在依赖于实施类别的评估单元中进行确认，则评估案例将被判定为“FAIL”。
否则，将作出“NA”的判决。
6.2[AUM]验证机制
6.2.1 [AUM-1]验证机制的适用性
6.2.1.1 [AUM-1-1]要求网络接口
ACM-1所要求的访问控制机制应使用验证机制来管理实体通过网络接口的访问，并允许：
— 读取保密网络功能配置或保密安全参数；或
— 修改敏感的网络功能配置或敏感的安全参数；或
— 使用网络功能或安全功能，
以下情况不被允许：
— 访问网络功能或网络功能配置，而设备的预期功能要求没有认证；或
— 通过设备目标运行环境中的物理或逻辑措施限制授权实体访问的网络访问时。
6.2.1.2 [AUM-1-2]要求用户界面
ACM-1所要求的访问控制机制应使用验证机制，通过用户界面管理实体的访问，允许：
— 读取保密网络功能配置或保密安全参数；或
— 修改敏感的网络功能配置或敏感的安全参数；或
— 使用网络功能或安全功能，
以下情况不被允许：
— 通过设备目标运行环境中的物理或逻辑措施限制了授权实体的访问时；
以及网络功能或网络功能配置的只读访问，且在这种情况下无需验证的访问被用来：
— 实现预期的设备功能；或
— 因为法律影响不允许采用验证机制。
6.2.1.3 理由
设备需要提供一种验证机制，以便相应的访问控制机制能够防止未经授权的访问，这些访问可能会损害网络或造成网络资源的滥用。
FprEN 18031-1:2024 (E)
27
6.2.1.4 指引
验证机制可使用不同层（如应用层或网络层）来验证实体声明的有效性。实体的相关访问权限由访问控制机制管理。有不同类型的实体可以与设备进行交互，例如：
— 特定的人、用户账户、设备或服务的所有者；或
— 特定组的成员，如有权访问特定设备资源的授权组；或
— 经另一实体授权访问特定设备的资源。
通常情况下，对实体的核查是基于对类别中一个或多个要素证据的审查：
— 知识（已知的东西）；以及
— 拥有（已有的东西）；以及
— 内在性（是什么）。
与网络的信任关系（例如，实体拥有的共享秘密，例如Wi-Fi密码）可用于验证实体。
并非所有通过网络接口的ACM-1访问都需要进行身份验证，例如，对于可能提供安全资产或网络资产访问的协议，如DHCP和ICMP消息（但不限于此），无需身份验证即可访问。
其他可能不强制要求进行身份验证的访问实例包括：
— 读取设备的公共IP配置；或
— 读取公开密钥；或
— 读取设备的公共网络状态。
在目标环境中采取物理或逻辑措施，以增强对实体声明正确性的信心的例子可能有很多：
— 只允许授权后进入个人公路车辆或水上交通工具内部的物理访问控制；或
— 物理访问控制，只允许授权后访问家庭网关的WPS按钮，以便将其他设备连接到私人住宅内的Wi-Fi网络。
6.2.1.5 评估标准网络接口
6.2.1.5.1 评估目标
该评估针对AUM-1-1的要求。
6.2.1.5.2 实施类别
NA。
FprEN 18031-1:2024 (E)
28
6.2.1.5.3 所需信息
[E.Info.AUM-1-1.ACM]：描述ACM-1要求的每种访问控制机制，以管理实体对网络接口的访问，该接口允许读取保密网络功能配置或保密安全参数；或修改敏感网络功能配置或敏感安全参数；或使用网络功能或安全功能，包括：
— [E.Info.AUM-1-1.ACM.NetworkInterface]：受管访问的网络接口描述；以及
— [E.Info.AUM-1-1.ACM.ManagedAccessNetworkAsset]：描述通过网络接口对网络资产的受管访问；以及
— [E.Info.AUM-1-1.ACM.ManagedAccessSecurityAsset]：描述通过网络接口对安全资产的受管访问；以及
— (如果设备的预期功能要求通过网络接口访问网络功能或网络功能配置时无需验证）[E.Info.AUM-1-1.ACM.IntendedFunctionality]：需要以下说明
o 未经验证的可访问网络功能或网络功能配置；以及
o 设备的预期功能；以及
o 网络功能或网络功能配置无需验证即可访问的特性；以及
— (如果通过仅限授权实体访问的网络访问时没有验证）[E.Info.AUM-1-1.ACM.TrustedNetwork]：描述设备目标运行环境中限制授权实体访问的网络和物理或逻辑措施；以及
— (如果根据AUM-1-1要求进行身份验证）[E.Info.AUM-1-1.ACM.AuthenticationMechanism]：描述已实施的身份验证机制。
[E.Info.DT.AUM-1-1]：说明[E.Info.AUM-1-1.ACM]中记录的每种访问控制机制通过图3中决策树的选定路径。
[E.Just.DT.AUM-1-1]：通过[E.Info.DT.AUM-1-1]中记录的决策树选择路径的理由，并具有以下属性：
— (如果[DT.AUM-1-1.DN-1]决策的结果为“NA”）[DT.AUM-1-1.DN-1]决定的理由基于[E.Info.AUM-1-1.ACM.IntendedFunctionality]；以及
— (如果[DT.AUM-1-1.DN-2]决策的结果为“NA”）[DT.AUM-1-1.DN-2]决定的理由基于[E.Info.AUM-1-1.ACM.TrustedNetwork]；并且
— [DT.AUM-1-1.DN-3]决定的理由基于[E.Info.AUM-1-1.ACM]。
FprEN 18031-1:2024 (E)
29
6.2.1.5.4 概念评估
6.2.1.5.4.1 评估目的
本评估案例为概念性评估，旨在评估是否按照AUM-1-1的要求实施了身份验证机制。
6.2.1.5.4.2 先决条件
无。
6.2.1.5.4.3 评估单元
图3-要求AUM-1-1的决策树
对于[E.Info.AUM-1-1.ACM]中记录的每种访问控制机制，评估[E.Info.DT.AUM-1-1]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.AUM-1-1]中记录的决策树中的每条路径，评估[E.Just.DT.AUM-1-1]中记录的相关理由。
6.2.1.5.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— [E.Info.DT.AUM-1-1]中记录的决策树中至少有一条路径以“PASS”结束；以及
FprEN 18031-1:2024 (E)
30
— 在[E.Info.DT.AUM-1-1]中记录的决策树中，没有以“FAIL”结尾的路径；以及
[E.Just.DT.AUM-1-1]中提供的信息是通过[E.Info.DT.AUM-1-1]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.AUM-1-1]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.AUM-1-1]中记录的决策树路径，[E.Just.DT.AUM-1-1]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.2.1.5.5 功能完整性评估
6.2.1.5.5.1 评估目的
本评估案例为功能性评估，的目在于评估对设备上是否存在访问控制机制，以管理实体通过网络接口的访问，从而允许读取保密网络功能配置或保密安全参数；或修改敏感网络功能配置或敏感安全参数；或使用[E.Info.AUM-1-1.ACM]中未描述的网络功能或安全功能。
6.2.1.5.5.2 先决条件
设备处于运行状态。
6.2.1.5.5.3 评估单元
从功能上评估是否存在ACM-1所要求的访问控制机制，以管理实体对网络接口的访问，允许读取保密网络功能配置或保密安全参数；或修改敏感网络功能配置或敏感安全参数；或使用[E.Info.AUM-1-1.ACM]中未描述的网络功能或安全功能。
6.2.1.5.5.4 做出判决
如果没有证据表明，[E.Info.AUM-1-1.ACM]中未记录ACM-1所要求的访问控制机制，用于管理实体对网络接口的访问，允许读取保密网络功能配置或保密安全参数；或修改敏感网络功能配置或敏感安全参数；或使用网络功能或安全功能，则判定评估案例为“PASS”。
如果有证据表明，[E.Info.AUM-1-1.ACM]中记录了ACM-1所要求的访问控制机制，用于管理实体对网络接口的访问，允许读取保密网络功能配置或保密安全参数；或修改敏感网络功能配置或敏感安全参数；或使用网络功能或安全功能，则对评估案例判定为“FAIL”。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
31
6.2.1.5.6 功能充分性评估
6.2.1.5.6.1 评估目的
本评估案例为功能性评估，的目在于评估是否实施了AUM-1-1所要求的验证机制。
6.2.1.5.6.2 先决条件
设备处于运行状态。
6.2.1.5.6.3 评估单元
对于[E.Info.AUM-1-1.ACM]中记录的每种访问控制机制、[E.Info.AUM-1-1.ACM.ManagedAccessNetworkAsset]中记录的通过网络接口对网络资产的每种受管访问，以及[E.Info.AUM-1-1.ACM.ManagedAccessSecurityAsset]中记录的通过网络接口对安全资产的每种受管访问，访问相应的安全资产或网络资产并评估是否实施了身份验证机制。
6.2.1.5.6.4 做出判决
如果没有证据表明未实施[E.Info.AUM-1-1.ACM.AuthenticationMechanism]中记录的验证机制，则判定评估案例为“PASS”。
如果有证据表明未实施[E.Info.AUM-1-1.ACM.AuthenticationMechanism]中记录的验证机制，则对评估案例做出“FAIL”的判定。
否则，将作出“NA”的判决。
6.2.1.6 评估标准用户界面
6.2.1.6.1 评估目标
该评估针对AUM-1-2的要求。
6.2.1.6.2 实施类别
不适用。
6.2.1.6.3 所需信息
[E.Info.AUM-1-2.ACM]：描述ACM-1所要求的每种存取控制机制，以管理实体存取允许读取保密网络功能配置或保密安全参数；或修改敏感网络功能配置或敏感安全参数；或使用网络功能或安全功能的用户界面，其中包括：
— 受管访问的用户界面说明；以及
— [E.Info.AUM-1-2.ACM.ManagedAccessNetworkAsset]：描述通过用户界面对网络资产的受管访问；以及
— [E.Info.AUM-1-2.ACM.ManagedAccessSecurityAsset]：描述通过用户界面对安全资产的受管访问；以及
— （如果目标环境中的物理或逻辑措施能够佐证实体声明的正确性）[E.Info.AUM-1-2.ACM.IntendedEnvironment]：描述目标环境中的物理或逻辑措施；以及
FprEN 18031-1:2024 (E)
32
— (如果根据AUM-1-2要求进行身份验证）[E.Info.AUM-1-2.ACM.AuthenticationMechanism]：已实施验证机制的描述；以及
— (如果需要无验证访问来启用设备的预期功能，那么对网络功能或网络功能配置的只读访问不需要验证）[E.Info.AUM-1-2.ACM.ReadOnlyFunctionality]：说明设备的预期功能，涉及通过用户界面对受影响资产的只读访问不需要验证；以及
— (如果对网络功能或网络功能配置的只读访问不进行身份验证，且法律规定不允许使用身份验证机制）[E.Info.AUM-1-2.ACM.ReadOnlyLegal]：所有相关法律文件中所有相应段落的引用，包括如何适用于设备或受影响资产的说明。
[E.Info.DT.AUM-1-2]：说明[E.Info.AUM-1-2.ACM]中记录的每种访问控制机制通过图4中决策树的选定路径。
[E.Just.DT.AUM-1-2]：[E.Info.DT.AUM-1-2]中记录的决策树路径的理由，并具有以下特性：
— (如果[DT.AUM-1-2.DN-1]决策的结果为“NA”）[DT.AUM-1-2.DN-1]的决定依据基于[E.Info.AUM-1-2.ACM.IntendedEnvironment]；以及
— (如果[DT.AUM-1-2.DN-2]决策的结果为“NA”，则[DT.AUM-1-2.DN-2]的决定依据基于[E.Info.AUM-1-2.ACM.只读功能]；并且
— (如果[DT.AUM-1-2.DN-3]决策的结果为“NA”）[DT.AUM-1-2.DN-3]的决定依据基于[E.Info.AUM-1-2.ACM.ReadOnlyLegal]；并且
— [DT.AUM-1-2.DN-4]决定依据基于[E.Info.AUM-1-2.ACM]。
6.2.1.6.4 概念评估
6.2.1.6.4.1 评估目的
本评估案例为概念性评估，旨在评估是否按照AUM-1-2的要求实施了身份验证机制。
6.2.1.6.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
33
6.2.1.6.4.3 评估单元
图4- AUM-1-2要求的决策树
对于[E.Info.AUM-1-2.ACM]中记录的每种访问控制机制，评估[E.Info.DT.AUM-1-2]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.AUM-1-2]中记录的决策树中的每条路径，评估[E.Just.DT.AUM-1-2]中记录的相关理由。
6.2.1.6.4.4 做出判决
如果出现以下情况，则判定该评估案例“PASS”：
— [E.Info.DT.AUM-1-2]中记录的决策树中至少有一条路径以“PASS”结束；以及
— [E.Info.DT.AUM-1-2]中记录的决策树中没有以“FAIL”结尾的路径；以及
— E.Just.DT.AUM-1-2]中提供的信息是通过[E.Info.DT.AUM-1-2]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.AUM-1-2]中记录的决策树路径以“FAIL”结尾；或
FprEN 18031-1:2024 (E)
34
— 对于[E.Info.DT.AUM-1-2]中记录的决策树路径，[E.Just.DT.AUM-1-2]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.2.1.6.5 功能完整性评估
6.2.1.6.5.1 评估目的
本评估案例为功能性评估，的目为评估设备上是否有访问控制机制，以管理实体对用户界面的访问，从而允许读取保密网络功能配置或保密安全参数；或修改敏感网络功能配置或敏感安全参数；或使用[E.Info.AUM-1-2.ACM]中未包括的网络功能或安全功能。
6.2.1.6.5.2 先决条件
设备处于运行状态。
6.2.1.6.5.3 评估单元
从功能上评估是否存在ACM-1所要求的访问控制机制，以管理实体对用户界面的访问，允许读取保密网络功能配置或保密安全参数；或修改敏感网络功能配置或敏感安全参数；或使用[E.Info.AUM-1-2.ACM]中未包括的网络功能或安全功能。
6.2.1.6.5.4 做出判决
如果没有证据表明，[E.Info.AUM-1-2.ACM]中未记载ACM-1所要求的访问控制机制，用于管理实体对允许读取保密网络功能配置或保密安全参数的用户界面的访问；或修改敏感网络功能配置或敏感安全参数；或使用网络功能或安全功能，则对案例做出“PASS”的判决。
如果有证据表明，[E.Info.AUM-1-2.ACM]中未记载ACM-1所要求的访问控制机制，用于管理实体对允许读取保密网络功能配置或保密安全参数的用户界面的访问；或修改敏感网络功能配置或敏感安全参数；或使用网络功能或安全功能，则对案例做出“FAIL”的判决。
否则，将作出“NA”的判决。
6.2.1.6.6 功能充分性评估
6.2.1.6.6.1 评估目的
本评估案例为功能性评估，旨在评估是否按照AUM-1-2的要求实施了记录的身份验证机制。
6.2.1.6.6.2 先决条件
设备处于运行状态。
FprEN 18031-1:2024 (E)
35
6.2.1.6.6.3 评估单元
对于[E.Info.AUM-1-2.ACM]中记录的每种访问控制机制、[E.Info.AUM-1-2.ACM.ManagedAccessNetworkAsset]中记录的通过用户界面对网络资产的每种受管访问，以及[E.Info.AUM-1-2.ACM.ManagedAccessSecurityAsset]中记录的通过用户界面对安全资产的每种受管访问，访问相应的安全资产和网络资产并评估是否实施了身份验证机制。
6.2.1.6.6.4 做出判决
如果没有证据表明未实施[E.Info.AUM-1-2.ACM.AuthenticationMechanism]中记录的验证机制，则判定评估案例“PASS”。
如果有证据表明未实施[E.Info.AUM-1-2.ACM.AuthenticationMechanism]中记录的身份验证机制，则对评估案例做出“FAIL”的判定。
否则，将作出“NA”的判决。
6.2.2 [AUM-2] 适当的验证机制
6.2.2.1 要求
根据AUM-1-1（网络接口）或AUM-1-2（用户界面）要求的验证机制，应基于对知识、拥有和内在性类别中至少一个要素的证据审查，验证实体的声明（单因素认证）。
6.2.2.2 理由
单因素身份验证适用于保护设备的网络资源不被滥用，滥用形式包括 DoS 攻击。
6.2.2.3 指引
根据对知识、拥有和内在性类别中某一要素的证据的审查，对实体的声明进行核实的例子如下：
— 用户界面使用的PIN码
— 用户或网络接口上每个传入连接的1-因素（如基于口令）
— 用于用户界面的指纹识别或人脸识别技术
— 验证是否拥有与可信证书匹配的私钥
— 在 on-boarding 时建立的与网络的信任关系（如基于共同秘密）。
考虑残疾用户可能受到的限制是实施适当验证机制的一个重要方面。选择身份验证机制时的考虑因素包括：
— 将身份验证信息传输到相关辅助技术，或从相关辅助技术中传输出身份验证信息；
— 当用户和辅助人员（和/或父母和子女）使用设备时，可实现双重或共享使用；
— 提供替代性验证机制，使有特殊学习障碍（包括阅读障碍）的用户也能使用这些机制，并且不会引发负面情绪（例如避免详述可能令人不安或与最终用户无关的家庭或个人信息）
FprEN 18031-1:2024 (E)
36
在本文件发布时，“WeihnachtsmarkTElephanTCarpeT@Bon(n)”这样的长口令被认为比“P@ssw0rd!”这样的短口令安全强度更高，更多关于当前口令最佳实践的指引可参见NIST Special Publication 800-63B[9]、ISO/IEC EN27002:2022[3]、ISO/IEC EN 24760[4]、IEC EN 62443-4-2[2]和ETSI EN 303 645[5]。
6.2.2.4 评估标准
6.2.2.4.1 评估目标
该评估针对AUM-2的要求。
6.2.2.4.2 实施类别
不适用。
6.2.2.4.3 所需信息
[E.Info.AUM-2.AuthenticationMechanism]：描述每个AUM-1-1（网络接口）或AUM-1-2（用户界面）所需的每种验证机制，包括：
— [E.Info.AUM-2.AuthenticationMechanism.AuthFactor]：验证器描述。
[E.Info.DT.AUM-2]：说明通过图5中的决策树为[E.Info.AUM-2.AuthenticationMechanism]中记录的每种身份验证机制选择的路径。
[E.Just.DT.AUM-2]：通过[E.Info.DT.AUM-2]中记录的决策树选择路径的依据，并具有以下属性：
— [DT.AUM-2.DN-1]决定的依据基于 [E.Info.AUM-2.AuthenticationMechanism.AuthFactor]。
6.2.2.4.4 概念评估
6.2.2.4.4.1 评估目的
本评估案例为概念性评估，旨在评估AUM-1-1（网络接口）或AUM-1-2（用户界面）所要求的验证机制是否按AUM-2的要求实施。
6.2.2.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
37
6.2.2.4.4.3 评估单元
图5-AUM-2要求的决策树
对于[E.Info.AUM-2.AuthenticationMechanism]中记录的每个AUM-1-1（网络接口）或AUM-1-2（用户界面）所需的身份验证机制，评估[E.Info.DT.AUM-2]中记录的决策树路径是否以“PASS”结束。
对于[E.Info.DT.AUM-2]中记录的决策树中的每条路径，评估[E.Just.DT.AUM-2]中记录的相关理由。
6.2.2.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 通过[E.Info.DT.AUM-2]中记录的决策树的所有路径都以“PASS”结尾；以及
— E.Just.DT.AUM-2]中提供的信息是通过[E.Info.DT.AUM-2]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.AUM-2]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.AUM-2]中记录的决策树路径，[E.Just.DT.AUM-2]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.2.2.4.5 功能完整性评估
功能完整性评估包含在验证机制适用性的功能充分性评估中。
因此，没有必要进行功能完整性评估。
FprEN 18031-1:2024 (E)
38
6.2.2.4.6 功能充分性评估
6.2.2.4.6.1 评估目的
本评估案例为功能性评估，旨在评估AUM-1-1（网络接口）或AUM-1-2（用户界面）所要求的验证机制是否按照记录的方式实施。
6.2.2.4.6.2 先决条件
设备处于运行状态。
6.2.2.4.6.3 评估单元
对于[E.Info.AUM-2.AuthenticationMechanism]中记录的AUM-1-1（网络接口）或AUM-1-2（用户界面）所需的每个身份验证机制，执行一次身份验证并评估身份验证机制是否按记录的方式实施。
6.2.2.4.6.4 做出判决
如果没有证据表明验证机制的实施偏离了[E.Info.AUM-2.AuthenticationMechanism]，则对评估案例做出“PASS”的判决。
如果有证据表明验证机制的实施偏离了[E.Info.AUM-2.AuthenticationMechanism]，则对评估案例做出“FAIL”的判决。
否则，将作出“NA”的判决。
6.2.3 [AUM-3] 验证器验证
6.2.3.1 要求
根据AUM-1-1（网络接口）或AUM-1-2（用户接口）要求的验证机制应根据使用环境中的可用信息，验证所用验证器的所有相关属性。
6.2.3.2 理由
即使设备提供了验证机制，攻击者也有可能利用典型的设计缺陷来克服它。使用伪造或部分伪造的验证器经常被用来攻击这种机制。因此，机制的安全设计需要有抵御伪造验证器的技术，例如能够抵御操纵PKI证书。
6.2.3.3 指引
验证器及其属性因验证机制而异。对于验证器的验证，应采用相应验证机制的最佳实践。这对检测和防止使用无效的验证器非常必要。例如，如果设备只验证公钥基础设施证书的通用名称，而不进一步验证完整的认证信息，那么相应的伪造验证器就会被接受。在这个例子中，验证器的相关属性包括信任链的签名和公开密钥、撤销状态，在许多情况下还包括证书的有效期。相关属性集可能因设备是否实际连接互联网而有所不同。例如，离线设备可能无法访问可靠的时间源或证书撤销信息。
FprEN 18031-1:2024 (E)
39
验证器验证不足的另一个例子是，只评估口令的一部分。这会削弱口令的强度，为对相应验证机制的暴力攻击提供便利。
6.2.3.4 评估标准
6.2.3.4.1 评估目标
该评估针对AUM-3的要求。
6.2.3.4.2 实施类别
[IC.AUM-3.Password]：验证器为口令。
[IC.AUM-3.CertificatePrivateKey]：验证器是与设备信任的证书相关联的私钥。
注：设备可以信任证书，例如通过PKI预装根证书的信任链或通过证书锁定。
[IC.AUM-3.Generic]：验证器与[IC.AUM-3.Password]或[IC.AUM-3.CertificatePrivateKey]不同。
示例：生物识别、SSH密钥、对称密钥
6.2.3.4.3 所需信息
[E.Info.AUM-3.AUM]：描述每个AUM-1-1（网络接口）或AUM-1-2（用户界面）所需的每种验证机制，包括：
— [E.Info.AUM-3.AUM.AuthVal]：描述如何对验证器进行验证，包括其实施类别和相关属性；以及
— [E.Info.AUM-3.AUM.AuthEnv]：描述关于验证器在使用环境中的可用信息。
[E.Info.DT.AUM-3]：描述通过图6中决策树为[E.Info.AUM-3.AUM]中记录的每种身份验证机制选择的路径。
[E.Just.DT.AUM-3]：通过[E.Info.DT.AUM-3]中记录的决策树选择路径的依据，并具有以下属性：
— [DT.AUM-3.DN-1]的决定依据基于[E.Info.AUM-3.AUM.AuthVal]和[E.Info.AUM-3.AUM.AuthEnv]。
6.2.3.4.4 概念评估
6.2.3.4.4.1 评估目的
本评估案例为概念性评估，旨在评估验证机制是否验证了[E.Info.AUM-3.AUM]中记录的验证器的所有相关属性。该评估应用于AUM-1-1或AUM-1-2所要求的通往安全资产和/或网络资产的每条路径。
6.2.3.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
40
6.2.3.4.4.3 评估单元
图6-AUM-3要求的决策树
对于[E.Info.AUM-3.AUM]中记录的每种身份验证机制，评估[E.Info.DT.AUM-3]中记录的决策树路径是否以“PASS”结束。
对于[E.Info.DT.AUM-3]中记录的决策树中的每条路径，评估[E.Just.DT.AUM-3]中记录的相关理由。
6.2.3.4.4.4 做出判决
如果出现以下情况，则判定该评估案例“PASS”：
— 通过[E.Info.DT.AUM-3]中记录的决策树的所有路径都以“PASS”结尾；以及
— E.Just.DT.AUM-3]中提供的信息是通过[E.Info.DT.AUM-3]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.AUM-3]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.AUM-3]中记录的决策树路径，[E.Just.DT.AUM-3]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.2.3.4.5 功能完整性评估
功能完整性评估包含在验证机制适用性的功能充分性评估中。
因此，没有必要进行功能完整性评估。
6.2.3.4.6 功能充分性评估
FprEN 18031-1:2024 (E)
41
6.2.3.4.6.1 评估目的
本评估案例为功能性评估，的目在于评估AUM-1-1或AUM-1-2所要求的身份验证机制是否验证了所有的必要属性。
6.2.3.4.6.2 先决条件
设备处于运行状态。
6.2.3.4.6.3 评估单元
对于[E.Info.AUM-3.AUM]中记录的每种身份验证机制：
[AU.AUM-3.Password]：如果验证器属于[IC.AUM-3.Password]，则通过以下方式在功能上确认[E.Info.AUM-3.AUM.AuthVal]中记录的验证器相关属性的验证：
— 错误口令可用于成功验证；以及
— (如果在认证过程中通过网络接口交换的信息的保密性未得到保护）可利用已记录的成功认证尝试的重放来成功认证；以及
— 正确口令的部分内容可用于验证；以及
— (如果存在或可以创建不同的用户账户），则可以使用其他实体的口令进行身份验证。
[AU.AUM-3.CertificatePrivateKey]：如果验证器属于[IC.AUM-3.CertificatePrivateKey]，则通过评估以下项目，从功能上确认[E.Info.AUM-3.AUM.AuthVal]中记录的验证器的相关属性的验证：
— 不正确的受信任证书私钥可用于成功验证；以及
— (如果在认证过程中通过网络接口交换的信息的保密性未得到保护）可利用已记录的成功认证尝试的重放来成功认证；以及
— 可使用未受信任或无效证书的有效私钥成功进行身份验证；以及
注：不被信任或无效的证书可以是证书颁发机构撤销的证书、过期证书、信任链无效的证书，例如，由包含预期“通用名称”（CN）条目的不被信任实体生成的证书。
— (如果存在或可以创建不同的用户账户）其他实体的可信证书的私钥可用于身份验证。
[AUM-3.Generic]：如果验证器属于[IC.AUM-3.Generic]，则通过以下评估，从功能上确认[E.Info.AUM-3.AUM.AuthVal]中记录的验证器相关属性的验证：
— 可使用不正确的验证器成功进行认证；以及
— (如果在认证过程中通过网络接口交换的信息的保密性未得到保护），可利用已记录的成功认证尝试的重放来成功认证；以及
— (如果存在或可以创建不同的用户账户），则可以使用其他实体的身份验证器进行身份验证。
FprEN 18031-1:2024 (E)
42
6.2.3.4.6.4 做出判决
如果[E.Info.AUM-3.AUM]中记录的每种身份验证机制在与实施类别相关的评估单元中都确认成功，则评估案例的判定结果为“PASS”。
如果[E.Info.AUM-3.AUM]中记录的验证机制在与实施类别相关的评估单元中确认不成功，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.2.4 [AUM-4]更改验证器
6.2.4.1 要求
AUM-1-1或AUM-1-2所要求的验证机制应允许更改验证器，除非验证器与安全目标相冲突而不允许更改。
6.2.4.2 理由
静态验证器可能会给设备带来安全风险，例如增加遭受暴力和窃听攻击的可能性。因此，需要支持在设备上更换验证器作为对策。
6.2.4.3 指引
经授权的实体需要有更换验证器的可能性。程序可能因所使用的验证机制而异：
— 设备向授权实体（如用户）提供更改设备上的验证器的功能；或
— 验证器（如令牌）由制造商更新或更改，设备接受更改后的验证器，因为信任链仍然有效；或
— 使用安全更新机制更新验证器。
如果是机器接口，则需要重新配对。在正常工作流程中更换验证器可简化用户操作的程序。该程序取决于所选的验证器（如指纹、口令或令牌）。
在某些使用案例中，静态验证器也是可以接受的，例如信任根，制造商会确保相应加密密钥的保密性。在这种情况下，制造商通常会向授权实体提供令牌，这些实体都与同一个信任根相关联。
也可能有例外情况，即在使用静态验证器时，更换验证器的总体风险（如由于复杂性）超过了与安全资产或网络资产相关的风险。在这种情况下，必须考虑最佳实践安全设计原则，最大限度地降低与静态验证器相关的风险，例如避免使用全球验证器。
根据预期的设备功能，可能需要通过延迟选项来确保设备功能的可用性，例如在驾驶汽车时不强制更新口令。
FprEN 18031-1:2024 (E)
43
6.2.4.4 评估标准
6.2.4.4.1 评估目标
该评估符合AUM-4的要求。
6.2.4.4.2 实施类别
NA。
6.2.4.4.3 所需信息
[E.Info.AUM-4.AUM]：描述AUM-1-1（网络接口）或AUM-1-2（用户界面）所需的每种验证机制，包括：
— (如果冲突的安全目标不允许更改）[E.Info.AUM-4.AUM.ConfSecGoals]：设备安全概念中与变更验证器相关的安全目标冲突的描述：说明[E.Info.AUM-4.AUM]中记录的每种身份验证机制如何在考虑设备安全概念的情况下更改身份验证器。
[E.Info.DT.AUM-4]：描述通过图7中的决策树为[E.Info.AUM 4.AUM.AuthChange]中记录的每个验证器变更功能所选择的路径。
[E.Just.DT.AUM-4]：通过[E.Info.DT.AUM-4]中记录的决策树选择路径的依据，并具有以下属性：
— [DT.AUM-4.DN-1]决定的依据基于[E.Info.AUM-4.AUM.ConfSecGoals]；以及
— [DT.AUM-4.DN-2]决定的依据基于 [E.Info.AUM-4.AUM.AuthChange]。
6.2.4.4.4 概念评估
6.2.4.4.4.1 评估目的
本评估案例为概念性评估，旨在评估[E.Info.AUM-4.AUM]中记录的身份验证机制所使用的验证器是否可以更改。
6.2.4.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
44
6.2.4.4.4.3 评估单元
图7-AUM-4要求的决策树
对于[E.Info.AUM-4.AUM]中记录的每个验证器更改功能，评估[E.Info.DT.AUM-4]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.AUM-4]中记录的决策树中的每条路径，评估[E.Just.DT.AUM-4]中记录的相关理由。
6.2.4.4.4.4 做出判决
如果出现以下情况，则判定该评估案例“PASS”：
— [E.Info.DT.AUM-4]中记录的决策树中至少有一条路径以“PASS”结束；以及
— [E.Info.DT.AUM-4]中记录的决策树中没有以“FAIL”结尾的路径；以及
— E.Just.DT.AUM-4]中提供的信息是通过[E.Info.DT.AUM-4]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.AUM-4]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.AUM-4]中记录的决策树路径，[E.Just.DT.AUM-4]中提供的理由不正确或缺失。
FprEN 18031-1:2024 (E)
45
否则，将作出“NA”的判决。
6.2.4.4.5 功能完整性评估
对验证机制适用性的功能充分性评估涵盖了功能完整性评估。
因此，没有必要进行功能完整性评估。
FprEN 18031-1:2024 (E)
46
6.2.4.4.6 功能充分性评估
6.2.4.4.6.1 评估目的
本评估案例为功能性评估，旨在评估AUM-1-1（网络接口）或AUM-1-2（用户界面）所需的验证机制是否允许更改[E.Info.AUM-4.AUM.AuthChange]中记录的验证器。
6.2.4.4.6.2 先决条件
设备处于运行状态。
6.2.4.4.6.3 评估单元
对于[E.Info.AUM-4.AUM]中记录的AUM-1-1（网络接口）或AUM-1-2（用户界面）所需的每种身份验证机制，在更改验证器之后，通过以下方式从功能上确认[E.Info.AUM-4.AUM.AuthChange]中记录的更换身份验证器的能力：
— 评估新分配的身份验证器是否允许在每个路径上访问安全资产和/或网络资产；以及
— 评估先前的身份验证器是否不再允许通过任何路径访问安全资产和/或网络资产
6.2.4.4.6.4 做出判决
如果没有证据表明更改身份验证器的实施偏离了[E.Info.AUM-4.AUM.AuthChange]，则对评估案例做出“PASS”的判决。
如果有证据表明更改身份验证器的实施偏离了[E.Info.AUM-4.AUM.AuthChange]，则对评估案例做出“FAIL”的判决。
否则，将作出“NA”的判决。
6.2.5 [AUM-5]口令强度
6.2.5.1 [AUM-5-1]出厂默认口令要求
如果根据AUM-1-1或AUM-1-2要求的验证机制使用出厂默认口令，则应
— 每台设备独一无二；以及
— 遵循有关强度的最佳实践；
或
— 强制要求用户在使用前或首次使用时进行更改。
注：用户可以选择不使用任何口令。
6.2.5.2 [AUM-5-2]非出厂默认口令要求
如果根据AUM-1-1或AUM-1-2要求的验证机制使用出厂默认口令以外的口令，则应：
FprEN 18031-1:2024 (E)
47
— 在首次使用之前或首次使用时，以及在设备与网络进行逻辑连接之前，强制要求用户进行设置；或
— 由网络内的授权实体定义，其访问仅限于授权实体；或
— 由设备利用有关强度的最佳实践生成，并仅在仅限授权实体访问的网络内与授权实体进行通信。
注：用户可以选择不使用任何口令。
6.2.5.3 理由
像通用口令这样的弱口令是最容易被利用的设备攻击载体之一。各种恶意软件都会使用此类口令自动入侵设备。因此，必须在出厂时设置不同的口令，或在初始设置时为每台设备设置用户/实体定义的口令。
6.2.5.4 指引
避免使用通用口令的方法有很多，例如：
— 出厂默认状态的设备口令印在设备外壳下的贴纸上。口令是通过真随机数生成器或其他加密安全伪随机数生成器(CSPRNG)实现的。
— 首次使用时，设备会提示用户创建口令。
我们强烈建议在生成用于生成安全口令的随机数时，遵循公认的标准。在随机数生成机制方面，有许多经过同行审查的公认的公开标准。NIST SP800-90A[11]、NIST SP800-90B[12]、NIST SP800-90C[13]、BSI AIS31[19]等都是此类标准的成熟范例。
关于口令的最佳实践指引，可参阅NIST Special Publication 800-63B[9]、ISO/IEC EN27002:2022[3]、ISO/IEC EN 24760[4]、IEC EN 62443-4-2[2]和ETSI EN 303 645[5]。
唯一性是指不能系统地重复使用或推导出相同产品类型的其他设备，也不能轻易地从设备属性（如制造商名称、型号名称或介质访问控制（MAC）地址）中推导出来。已建立的随机生成器可用于生成实际上唯一的口令。
在强制更改口令时，安全问题也很重要，例如在开车时不能强制更改口令。
6.2.5.5 出厂默认口令的评估标准
6.2.5.5.1 评估目标
该评估对应AUM-5-1的要求。
FprEN 18031-1:2024 (E)
48
6.2.5.5.2 实施类别
[IC.AUM-5-1.UniqueBestPractice]：不强制用户在首次使用时或首次使用前更改出厂默认口令，每个设备的口令都是唯一的，并遵循有关强度的最佳实践。
[IC.AUM-5-1.EnforceSettingFirstUse]：强制用户在首次使用时或之前更改出厂默认口令。
6.2.5.5.3 所需信息
[E.Info.AUM-5-1.AUM]：描述使用出厂默认口令的每个AUM-1-1（网络接口）或AUM-1-2（用户界面）所需的每种验证机制，包括
— [E.Info.AUM-5-1.AUM.PwdProperty]：描述每种身份验证机制的出厂默认口令：
o (如果基于[IC.AUM-5-1.UniqueBestPractice]实施），则应说明如何针对验证的基本用例，对口令强度实现唯一性和最佳实践；以及
o (如果基于[IC.AUM-5-1.EnforceSettingFirstUse]实施），则应说明如何在首次使用时或之前强制更改口令。
[E.Info.DT.AUM-5-1]：说明[E.Info.AUM-5-1.AUM]中记录的每种身份验证机制通过图8中决策树的选定路径。
[E.Just.DT.AUM-5-1]：通过[E.Info.DT.AUM-5-1]中记录的决策树选择路径的依据，并具有以下属性：
— 决定[DT.AUM-5-1.DN-1]、[DT.AUM-5-1.DN-2]和[DT.AUM-5-1.DN-3]的依据基于[E.Info.AUM-5-1.AUM.PwdProperty]。
6.2.5.5.4 概念评估
6.2.5.5.4.1 评估目的
本评估案例为概念性评估，旨在评估AUM-1-1或AUM-1-2所要求的身份验证机制是否按照AUM-5-1的要求实施。
6.2.5.5.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
49
6.2.5.5.4.3 评估单元
图8-AUM-5-1要求的决策树
对于[E.Info.AUM-5-1.AUM]中记录的每种身份验证机制，评估[E.Info.DT.AUM-5-1]中记录的决策树路径是否以“PASS”结束。
对于[E.Info.DT.AUM-5-1]中记录的决策树中的每条路径，评估[E.Just.DT.AUM-5-1]中记录的相关理由。
6.2.5.5.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 通过[E.Info.DT.AUM-5-1]中记录的决策树的所有路径都以“PASS”结尾；以及
— E.Just.DT.AUM-5-1]中提供的信息是通过[E.Info.DT.AUM-5-1]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— 通过[E.Info.DT.AUM-5-1]中记录的决策树的路径以“FAIL”结束；或
— 对于[E.Info.DT.AUM-5-1]中记录的决策树路径，[E.Just.DT.AUM-5-1]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
50
6.2.5.5.5 功能完整性评估
功能完整性评估包含在验证机制适用性的功能充分性评估之中。
因此，没有必要进行功能完整性评估。
6.2.5.5.6 功能充分性评估
6.2.5.5.6.1 评估目的
本评估案例为功能性评估，的目在于评估AUM-1-1或AUM-1-2所要求的身份验证机制是否按照AUM-5-1的要求实施。
6.2.5.5.6.2 先决条件
设备处于出厂默认状态，并且未调试。
（如果 [E.Info.AUM-5-1.AUM.PwdProperty]中记录的方法属于[IC.AUM-5-1.UniqueBestPractice]）设备的实际出厂默认口令有效。
6.2.5.5.6.3 评估单元
对于[E.Info.AUM-5-1.AUM]中记录的每种身份验证机制：
[AU.AUM-5-1.UniqueBestPractice]：
如果[E.Info.AUM-5-1.AUM.PwdProperty]中记录的方法属于[IC.AUM-5-1.UniqueBestPractice]，则通过以下方式从功能上确认[E.Info.AUM-5-1.AUM.PwdProperty]中记录的方法的实施：
— 将实际出厂默认口令与[E.Info.AUM-5-1.AUM.PwdProperty]中提供的实施说明进行比较；以及
— 根据安装说明将设备投入使用，并验证实际出厂默认口令是否有效。
[AU.AUM-5-1.EnforceSettingFirstUse]：
如果[E.Info.AUM-5-1.AUM.PwdProperty]中记录的方法属于[IC.AUM-5-1.EnforceSettingFirstUse]），则通过以下方式从功能上确认[E.Info.AUM-5-1.AUM.PwdProperty]中记录的方法的实施：
— 按照安装说明将设备投入使用；以及
— 使用出厂默认口令。
6.2.5.5.6.4 做出判决
如果没有证据表明验证机制出厂默认口令的实施偏离了[E.Info.AUM-5-1.AUM.PwdProperty]，则判定评估案例为“PASS”。
如果有证据表明验证机制出厂默认口令的实施偏离了[E.Info.AUM-5-1.AUM.PwdProperty]，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.2.5.6 非出厂默认口令的评估标准
6.2.5.6.1 评估目标
评估针对AUM-5-2的要求。
FprEN 18031-1:2024 (E)
51
6.2.5.6.2 实施类别
[IC.AUM-5-2.SettingFirstUse]：在设备逻辑连接到网络之前，强制要求用户在首次使用时或之前设置非出厂默认口令。
[IC.AUM-5-2.DefinedAuthEntity]：授权实体在仅限授权实体访问的网络中定义非出厂默认口令。
[IC.AUM-5-2. EquipmentGenerated]：非出厂默认口令由设备使用有关强度的最佳实践生成，并且仅在仅限授权实体访问的网络内向授权实体通信。
6.2.5.6.3 所需信息
[E.Info.AUM-5-2.AUM]：说明使用非出厂默认口令的AUM-1-1（网络接口）或AUM-1-2（用户界面）所需的每个验证机制，包括：
— [E.Info.AUM-5-2.AUM.PwdProperty]：描述每种身份验证机制的非出厂默认口令：
o (如果基于[IC.AUM-5-2.SettingFirstUse] 实施）如何强制设置口令，以及在设置口令前防止逻辑网络连接的方法；以及
o (如果基于[IC.AUM-5-2.DefinedAuthEntity] 实施）说明口令的定义如何仅限于授权实体，以及在访问不限于授权实体的网络中防止定义口令的方法；以及
o (如果基于[IC.AUM-5-2.EquipmentGenerated] 实施），如何在验证的基本用例中实施有关口令强度的最佳实践，以及如何防止向未授权实体或在不限于授权实体访问的网络内传播口令。
[E.Info.DT.AUM-5-2]：说明通过图9中决策树为[E.Info.AUM-5-2.AUM]中记录的每种身份验证机制选择的路径。
[E.Just.DT.AUM-5-2]：通过[E.Info.DT.AUM-5-2]中记录的决策树选择路径的理由，并具有以下属性：
— 决定[DT.AUM-5-2.DN-1]、[DT.AUM-5-2.DN-2]和[DT.AUM-5-2.DN-3]的依据基于[E.Info.AUM-5-2.AUM.PwdProperty]。
6.2.5.6.4 概念评估
6.2.5.6.4.1 评估目的
本评估案例为概念性评估，旨在评估AUM-1-1或AUM-1-2所要求的身份验证机制是否按照AUM-5-2的要求实施。
6.2.5.6.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
52
6.2.5.6.4.3 评估单元
图9-AUM-5-2要求的决策树
对于[E.Info.AUM-5-2.AUM]中记录的每种身份验证机制，评估[E.Info.DT.AUM-5-2]中记录的决策树路径是否以“PASS”结束。
对于[E.Info.DT.AUM-5-2]中记录的决策树中的每条路径，评估[E.Info.DT.AUM-5-2]中记录的理由。
6.2.5.6.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 通过[E.Info.DT.AUM-5-2]中记录的决策树的所有路径都以“PASS”结束；以及
— [E.Just.DT.AUM-5-2]中提供的信息是通过[E.Info.DT.AUM-5-2]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.AUM-5-2]中记录的决策树路径以“FAIL”结束；或
— 对于[E.Info.DT.AUM-5-2]中记录的决策树路径，[E.Just.DT.AUM-5-2]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.2.5.6.5 功能完整性评估
对验证机制适用性的功能充分性评估涵盖了功能完整性评估。
FprEN 18031-1:2024 (E)
53
因此，没有必要进行功能完整性评估。
6.2.5.6.6 功能充分性评估
6.2.5.6.6.1 评估目的
本评估案例为功能性评估，的目是评估AUM-1-1或AUM-1-2所要求的身份验证机制是否按照AUM-5-2的要求实施。
6.2.5.6.6.2 先决条件
设备处于出厂默认状态，并且未调试。
6.2.5.6.6.3 评估单元
对于[E.Info.AUM-5-2.AUM]中记录的每种身份验证机制：
[AU.AUM-5-2.SettingFirstUse]：如果[E.Info.AUM-5-2.AUM.PwdProperty]中记录的方法属于[IC.AUM-5-2.SettingFirstUse]，则通过以下方式从功能上确认[E.Info.AUM-5-2.AUM.PwdProperty]中记录的方法的实施：
— 观察设备网络的逻辑连接；以及
— 按照安装说明将设备投入使用；以及
— 使用非出厂默认口令。
[AU.AUM-5-2.DefinedAuthEntity]：如果[E.Info.AUM-5-2.AUM.PwdProperty]中记录的方法属于[IC.AUM-5-2.DefinedAuthEntity]，则通过以下方式从功能上确认[E.Info.AUM-5-2.AUM.PwdProperty]中记录的方法的实施：
— 按照安装说明将设备投入使用；以及
— (如果设备可以连接到不限于授权实体访问的网络）通过不限于授权实体访问的网络将非出厂默认口令定义为授权实体；以及
— 将非出厂默认口令定义为未经授权的实体；以及
— 通过仅限授权实体访问的网络或通过非网络接口，将非出厂默认口令定义为授权实体。
[AU.AUM-5-2.EquipmentGenerated]：如果[E.Info.AUM-5-2.AUM.PwdProperty]中记录的方法属于[IC.AUM-5-2.EquipmentGenerated]，则通过以下方式从功能上确认[E.Info.AUM-5-2.AUM.PwdProperty]中记录的方法的实施：
— 按照安装说明将设备投入使用；以及
— 初始化口令的生成；以及
— 以未经授权的实体的身份接受口令；以及
— (如果设备可以连接到不限于授权实体访问的网络）通过不限于授权实体访问的网络作为授权实体接收口令；以及
— 通过仅限授权实体访问的网络或通过非网络接口，将非出厂默认口令定义为授权实体；以及
FprEN 18031-1:2024 (E)
54
— 将生成的口令与[E.Info.AUM-5-2.AUM.PwdProperty]中的实施描述进行比较。
6.2.5.6.6.4 做出判决
如果没有证据表明验证机制的非出厂默认口令的实施偏离了[E.Info.AUM-5-2.AUM.PwdProperty]，则评估案例的判决为“PASS”。
如果有证据表明验证机制的非出厂默认口令的实施偏离了[E.Info.AUM-5-2.AUM.PwdProperty]，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.2.6 [AUM-6]暴力保护
6.2.6.1 要求
AUM-1-1或AUM-1-2所要求的验证机制应能抵御暴力攻击。
6.2.6.2 理由
攻击者可能会试图利用大量的身份验证尝试来攻破身份验证机制或影响设备的可用性。因此，需要有技术来缓解这种攻击的影响。
6.2.6.3 指引
对身份验证机制进行暴力保护的技术包括：
— 验证尝试连续失败之间的时间延迟；
— 验证尝试失败的次数有限，随后是不允许登录的暂停期；
— 多因素身份验证；
— 基于最佳密码学实践的适当验证值强度；
— 机器对机器身份验证可采取以下缓解措施：
o 长口令（16个字符以上且复杂度高）；
o 允许使用的IP地址列表；
o 机器对机器界面的警告/日志机制。
— 根据所采用的技术，需要考虑与“资源耗尽”和“拒绝服务”有关的风险。
应考虑缓解反复试图获得非法身份验证的影响，以及通过触发上述防御机制来避免对合法访问的阻止。
参见NIST800-63系列[8]。
FprEN 18031-1:2024 (E)
55
6.2.6.4 评估标准
6.2.6.4.1 评估目标
该评估针对AUM-6的要求。
6.2.6.4.2 实施类别
[IC.AUM-6.TimeDelay]：抵御暴力攻击的方法依赖于验证尝试之间的时间延迟。
[IC.AUM-6.LimitedAttemps]：抵御暴力破解攻击的方法依赖于有限次数的验证尝试。
[IC.AUM-6. AuthenticatorComplexity]：抵御暴力攻击的方法依赖于验证器的复杂性。
示例：强制多因素身份验证，执行最低安全强度为112比特的CCK
[IC.AUM-6. Generic]：抵御暴力攻击的方法不包括[IC.AUM-6.TimeDelay]、[IC.AUM-6.LimitedAttemps]或[IC.AUM-6.AuthenticatorComplexity]。
6.2.6.4.3 所需信息
[E.Info.AUM-6.AUM]：描述AUM-1-1（网络接口）或AUM-1-2（用户界面）所需的每个验证机制，
包括：
— [E.Info.AUM-6.AUM.BFProtection]：描述在考虑实施类别的情况下，如何确保抵御暴力破解攻击。
[E.Info.DT.AUM-6]：说明通过图10中的决策树为[E.Info.AUM-6.AUM]中记录的每种身份验证机制选择的路径。
[E.Just.DT.AUM-6]：通过[E.Info.DT.AUM-6]中记录的决策树选择路径的依据，并具有以下属性：
— 决定 [DT.AUM-6.DN-1]的依据基于 [E.Info.AUM-6.AUM.BFProtection]。
6.2.6.4.4 概念评估
6.2.6.4.4.1 评估目的
本评估案例为概念性评估，旨在评估AUM-1-1或AUM-1-2所要求的身份验证机制是否具备AUM-6所要求的能力。
6.2.6.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
56
6.2.6.4.4.3 评估单元
图10-AUM-6要求的决策树
对于[E.Info.AUM-6.AUM]中记录的每种身份验证机制，评估[E.Info.DT.AUM-6]中记录的决策树路径是否以“PASS”结束。
对于[E.Info.DT.AUM-6]中记录的通过决策树的每条路径，评估[E.Just.DT.AUM-6]中记录的相关理由。
6.2.6.4.4.4 做出判决
如果出现以下情况，则判定该评估案例“PASS”：
— 通过[E.Info.DT.AUM-6]中记录的决策树的所有路径都以“PASS”结尾；以及
— E.Just.DT.AUM-6]中提供的信息是通过[E.Info.DT.AUM-6]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.AUM-6]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.AUM-6]中记录的决策树路径，[E.Just.DT.AUM-6]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.2.6.4.5 功能完整性评估
对验证机制适用性的功能充分性评估涵盖了功能完整性评估。
因此，没有必要进行功能完整性评估。
6.2.6.4.6 功能充分性评估
FprEN 18031-1:2024 (E)
57
6.2.6.4.6.1 评估目的
本评估案例为功能性评估，的目在于评估AUM-1-1或AUM-1-2所要求的身份验证机制是否符合AUM-6的要求。
6.2.6.4.6.2 先决条件
设备处于运行状态。
6.2.6.4.6.3 评估单元
对于[E.Info.AUM-6.AUM]中记录的每种身份验证机制：
[AU.AUM-6.TimeDelay]：如果[E.Info.AUM-6.AUM.BFProtection]中记录的方法属于[IC.AUM-6.TimeDelay]，则通过以下方式从功能上确认[E.Info.AUM-6.AUM.BFProtection]中记录的方法的实施：
— 使用错误的验证器反复进行验证尝试；以及
— 测量设备在连续失败尝试之间强制执行的时间延迟。
[AU.AUM-6.LimitedAttemps]：如果[E.Info.AUM-6.AUM.BFProtection]中记录的方法属于[IC.AUM-6.LimitedAttemps]，则通过以下方式从功能上确认[E.Info.AUM-6.AUM.BFProtection]中记录的方法的实施：
— 使用错误的验证器反复进行验证尝试；以及
— 计算在设备阻止进一步尝试之前连续失败的尝试次数。
[AU.AUM-6.AuthenticatorComplexity]：如果[E.Info.AUM-6.AUM.BFProtection]中记录的方法属于[IC.AUM-6.AuthenticatorComplexity]，则通过以下方式从功能上确认[E.Info.AUM-6.AUM.BFProtection]中记录的方法的实施：
— 尝试分配不符合[E.Info.AUM-6.AUM.BFProtection]中记录的复杂性标准的验证器；以及
— 对验证机制进行暴力破解。
[AU.AUM-6.Generic]：如果[E.Info.AUM-6.AUM.BFProtection]中记录的方法属于[IC.AUM-6.Generic]，则通过以下方式从功能上确认[E.Info.AUM-6.AUM.BFProtection]中记录的方法的实施：
— 对验证机制进行暴力破解。
6.2.6.4.6.4 做出判决
如果[E.Info.AUM-6.AUM]中记录的每种验证机制在与实施类别相关的评估单元中的确认都成功，则评估案例的判定结果为“PASS”。
如果[E.Info.AUM-6.AUM]中记录的验证机制在与实施类别相关的评估单元中确认不成功，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
58
6.3 [SUM] 安全更新机制
6.3.1 [SUM-1] 更新机制的适用性
6.3.1.1 要求
设备应提供至少一种更新机制，用于更新影响安全资产和/或网络资产的软件（包括固件），除非软件出现以下情况：
— 对功能安全的影响不允许更新；或
— 是永恒不变的；或
— 替代措施在设备的整个生命周期内保护受影响的安全资产和/或网络资产。
6.3.1.2 理由
通过更新机制提供和部署软件更新是一项基本能力。它有助于维护设备，解决安全漏洞，防止可能危及设备的潜在漏洞。这种破坏可能会给网络带来风险，扰乱网络运行，或导致网络资源被滥用，造成不可接受的服务质量下降。
但是，软件的某些部分可能是不可变的，因此由于技术原因或功能安全影响不允许更新。也可以通过其他措施来缓解漏洞，如在整个生命周期内交换易受攻击的设备，或通过其他设备安全地缓解漏洞，确保安全资产和网络资产得到保护。
6.3.1.3 指引
软件的不同部分可能有不止一种更新机制。不过，在没有例外标准的情况下，本要求需要每个影响安全资产和/或网络资产的软件至少有一个更新机制。
并非设备上的所有软件都可以更新。这可能包括因技术原因或为满足功能安全要求或法律要求而存储在不可更新存储器中的软件。
在某些情况下，有替代措施可防止软件部分中潜在的公开可利用漏洞造成危害，或其软件中的可利用漏洞可能不会危及要保护的安全资产和网络资产。例如
— 有替换方案的设备，例如资源有限的设备，如必须依赖电池工作多年的传感器；或
— 设备或软件的一部分，这些设备或软件能够并预计会被安全隔离；或
— 设备所属的系统可缓解对任何漏洞的利用。
在可能的情况下，比较好的做法是实现一种软件更新机制，允许将与安全相关的软件更新和应用软件更新分开。
FprEN 18031-1:2024 (E)
59
6.3.1.4 评估标准
6.3.1.4.1 评估目标
该评估针对SUM-1的要求。
6.3.1.4.2 实施类别
NA。
6.3.1.4.3 所需信息
[E.Info.SUM-1.PartOfSoftw]：描述影响安全资产和/或网络资产的各软件部分，包括：
— (如果软件部分因功能安全影响而不可更新）[E.Info.SUM-1.PartOfSoftw.FuncSaftyImp]：说明：
o 功能安全要求及其来源；以及
o 软件功能与功能安全要求的关系；以及
— (如果软件部分因不可变而不可更新）[E.Info.SUM-1.PartOfSoftw.Immutable]：说明确保软件部分不可变的方法；以及
— (如果该软件部分因存在替代措施而无法更新）[E.Info.SUM-1.PartOfSoftw.AltMeasures]：描述
o 软件部分影响的安全资产和/或网络资产；以及
o 保护受影响的安全资产和/或网络资产的替代措施，尤其是出现了可被公开利用的漏洞，而这些漏洞会影响到安全资产和/或网络资产；以及
o 设备的预期使用寿命；以及
— (如果软件部分可更新）[E.Info.SUM-1.PartOfSoftw.SUM]：可更新软件部分的更新机制说明。
注：本文件并不决定将软件分成若干部分的颗粒度。本文档中提及的适当分离应考虑某些更新机制对软件各部分的覆盖范围。
[E.Info.DT.SUM-1]：描述E.Info.SUM-1.PartOfSoftw]中记录的每个软件部分在图11的决策树中的选定路径。
[E.Just.DT.SUM-1]：通过[E.Info.DT.SUM-1]中记录的决策树选择路径的依据，并具有以下属性：
— (如果源自[DT.SUM-1.DN-1]决策的结果为“NA”）决定[DT.SUM-1.DN-1]的依据基于[E.Info.SUM-1.PartOfSoftw.FuncSaftyImp]；以及
— (如果源自[DT.SUM-1.DN-2]决策的结果为“NA”）决定[DT.SUM-1.DN-2]的依据基于[E.Info.SUM-1.PartOfSoftw.Immutable]；以及
FprEN 18031-1:2024 (E)
60
— 如果源自[DT.SUM-1.DN-3]决策的结果为“NA”）决定[DT.SUM-1.DN-3]的依据基于[E.Info.SUM-1.PartOfSoftw.AltMeasures]。
6.3.1.4.4 概念评估
6.3.1.4.4.1 评估目的
本评估案例旨在从概念上评估是否按照SUM-1的要求实施了更新机制。
6.3.1.4.4.2 先决条件
无。
6.3.1.4.4.3 评估单元
图11-SUM-1要求的决策树
对于[E.Info.SUM-1.PartOfSoftw]中记录的每个软件部分，评估[E.Info.DT.SUM-1]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.SUM-1]中记录的决策树中的每条路径，评估[E.Just.DT.SUM-1]中记录的理由是否说明了受软件影响的安全资产和/或网络资产，以及软件是否可更新，如果不可更新，原因是什么。
6.3.1.4.4.4 做出判决
如果出现以下情况，则判定该评估案例“PASS”：
— [E.Info.DT.SUM-1]中记录的决策树中至少有一条路径以“PASS”结束；以及
— [E.Info.DT.SUM-1]中记录的决策树中没有以“FAIL”结尾的路径；以及
— E.Just.DT.SUM-1]中提供的信息是通过[E.Info.DT.SUM-1]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
FprEN 18031-1:2024 (E)
61
— [E.Info.DT.SUM-1]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.SUM-1]中记录的决策树路径，[E.Just.DT.SUM-1]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.3.1.4.5 功能完整性评估
无。
6.3.1.4.6 功能充分性评估
6.3.1.4.6.1 评估目的
本评估案例为功能性评估，旨在评估设备是否支持[E.Info.SUM-1.PartOfSoftw.SUM]中记录的影响安全资产和/或网络资产的软件部分的更新机制。
6.3.1.4.6.2 先决条件
设备处于运行状态。
对于[E.Info.SUM-1.PartOfSoftw.SUM]中描述的每种更新机制，制造商提供的更新软件（以下简称SW-a）都使用设备本机支持的机制来保护完整性和真实性。
6.3.1.4.6.3 评估单元
对于[E.Info.SUM-1.PartOfSoftw.SUM]中记录的、在SUM-1概念性评估中以“PASS”结尾的每种更新机制，在设备上安装SW-a。
6.3.1.4.6.4 做出判决
如果没有证据表明[E.Info.SUM-1.PartOfSoftw.SUM]中记录的更新机制无法成功安装SW-a，则判定评估案例为“PASS”。
如果有证据表明[E.Info.SUM-1.PartOfSoftw.SUM]中记录的更新机制无法成功安装SW-a，则对评估案例做出“FAIL”的判定。
否则，将作出“NA”的判决。
6.3.2 [SUM-2] 安全更新
6.3.2.1 要求
根据SUM-1的要求，每个更新机制在安装软件时，必须确保完整性和真实性处于有效状态。
6.3.2.2 理由
安全软件更新机制可确保控制设备的软件不会因更新机制受到攻击而被篡改。
FprEN 18031-1:2024 (E)
62
6.3.2.3 指引
确认更新有效的常用方法是根据信任锚，以加密方式验证其完整性和真实性。这可以在设备上完成，也可以由另一个受信任的设备来完成。对于后者，经过验证的更新通常通过安全通道发送到设备上，并安全地安装在设备上。
注：“安全通道”通常保留了通信信息的安全属性，也可包括经授权和认证的人员在本地提供经验证的软件更新（技术或组织措施的示例）。
制造商可以提供一种安全的方法来安装非制造商自己提供的替代软件，例如允许用户在家用路由器上安装替代软件。
防止将软件降级到旧版本是一种安全最佳实践。
由于某些安全更新，产品可能会返回默认设置，需要重新输入凭证和配置数据。
当软件更新包含保密加密密钥时，适合使用SCM-3。
6.3.2.4 评估标准
6.3.2.4.1 评估目标
评估符合SUM-2的要求。
6.3.2.4.2 实施类别
[IC.SUM-2.AuthIntVal.Sign]：验证软件完整性和真实性的方法完全依赖于授权实体对软件更新的数字签名。
[IC.SUM-2.AuthIntVal.SecChan]：根据SCM-1和SCM-2的要求，验证软件完整性和真实性的方法完全依赖于授权软件更新源的安全通信机制。
[IC.SUM-2.AuthIntVal.AccContMech]：验证软件完整性和真实性的方法完全依赖于访问控制机制，这种机制只允许授权实体根据ACM-1结合哈希保护软件更新的要求进行更新。
[IC.SUM-2.AuthIntVal.Generic]：验证软件完整性和真实性的方法不同于[IC.SUM-2.AuthIntVal.Sign]、[IC.SUM-2.AuthIntVal.SecChan]或[IC.SUM-2.AuthIntVal.AccContMech]。
6.3.2.4.3 所需信息
[E.Info.SUM-2.SUM]：描述可更新[E.Info.SUM-1.PartOfSoftw]中记录的软件部分的每种更新机制，包括：
— (如果基于[IC.SUM-2.AuthIntVal.Sign] 实施）[E.Info.SUM-2.SUM.Sign]：根据[E.Info.CRY-1.Assets.Cryptography]对所使用数字签名方案的描述，以及对基本最佳加密方法的描述；以及
— (如果基于[IC.SUM-2.AuthIntVal.SecChan] 实施）[E.Info.SUM-2.SUM.SecChan]：根据[E.Info.SCM-1.SCM]对安全通信机制进行描述，并根据[E.Info.CRY-1.Assets.Cryptography]对基础最佳实践加密技术进行描述；以及
FprEN 18031-1:2024 (E)
63
— (如果基于[IC.SUM-2.AuthIntVal.AccContMech] 实施）[E.Info.SUM-2.SUM.AccContMech]：参照[E.Info.ACM-2.SecurityAsset.ACM]描述访问控制机制，参照[E.Info.CRY-1.Assets.Cryptography]描述哈希函数；以及
— (如果基于[IC.SUM-2.AuthIntVal.Generic] 实施）[E.Info.SUM-2.SUM.Generic]：描述用于验证软件完整性和真实性的方法。
[E.Info.DT.SUM-2]：说明图12中为[E.Info.SUM-2.SUM]中记录的每种更新机制选择的决策树路径。
[E.Just.DT.SUM-2]：通过[E.Info.DT.SUM-2]中记录的决策树选择路径的依据，并具有以下属性：
— (如果执行基于[IC.SUM-2.AuthIntVal.Sign]）决定[DT.SUM-2.DN-1]的依据基于[E.Info.SUM-2.SUM.Sign]；以及
— (如果执行基于[IC.SUM-2.AuthIntVal.SecChan]）决定[DT.SUM-2.DN-1]的依据基于[E.Info.SUM-2.SUM.SecChan]；以及
— (如果执行基于[IC.SUM-2.AuthIntVal.AccContMech]）决定[DT.SUM-2.DN-1]的依据基于[E.Info.SUM-2.SUM.AccContMech]；以及
— (如果是基于[IC.SUM-2.AuthIntVal.Generic]执行），决定[DT.SUM-2.DN-1]的依据基于[E.Info.SUM-2.SUM.Generic]。
6.3.2.4.4 概念评估
6.3.2.4.4.1 评估目的
本评估案例为概念性评估，旨在评估SUM-1所要求的更新机制是否只能安装SUM-2所要求的软件。
6.3.2.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
64
6.3.2.4.4.3 评估单元
图12-SUM-2要求的决策树
对于[E.Info.SUM-2.SUM]中记录的每种更新机制，评估通过[E.Just.DT.SUM-2]中记录的决策树的路径是否以“PASS”结束。
对于[E.Info.DT.SUM-2]中记录的通过决策树的每条路径，评估[E.Just.DT.SUM-2]中记录的相关理由是否基于[E.Info.SUM-2.SUM.Generic]的引用，描述了在安装时确保软件完整性和真实性有效性的方法。
6.3.2.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 通过[E.Info.DT.SUM-2]中记录的决策树的所有路径都以“PASS”结尾；以及
— E.Just.DT.SUM-2]中提供的信息是通过[E.Info.DT.SUM-2]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.SUM-2]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.SUM-2]中记录的决策树路径，[E.Just.DT.SUM-2]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.3.2.4.5 功能完整性评估
对安全更新机制适用性的功能充分性评估涵盖了功能完整性评估。
因此，没有必要进行功能完整性评估。
FprEN 18031-1:2024 (E)
65
6.3.2.4.6 功能充分性评估
6.3.2.4.6.1 评估目的
本评估案例为功能性评估，的目在于评估影响安全资产和/或网络资产的软件部分的更新机制是否仅安装那些在安装时完整性和真实性有效的软件，如[E.Info.SUM-2.SUM.Generic]中记录的那样。
6.3.2.4.6.2 先决条件
设备处于运行状态。
对于任何更新机制，制造商都会提供更新软件。
6.3.2.4.6.3 评估单元
对于[E.Info.SUM-2.SUM]中记录的每种更新机制：
[AU.SUM-2.Sign]：当基于[IC.SUM-2.AuthIntVal.Sign]实施时，需从功能上确认：
— 根据CRY-1标准，采用最佳加密方法实施；以及
— 未安装未签名的软件更新；以及
— 未安装修改签名的软件更新；以及
— 未安装对未修改软件更新具有有效签名的已修改软件更新；以及
— 未安装带有未经授权实体签名的软件更新。
[AU.SUM-2.SecChan]：当基于[IC.SUM-2.AuthIntVal.SecChan] 实施时，从功能上确认：
— 根据SCM，使用安全通信机制实施；以及
— 未安装未经授权的软件更新；以及
— 安全通信渠道不允许通过中间人攻击冒充授权软件更新源；以及
— 未安装在通信过程中被修改的软件更新。
[AU.SUM-2.AccContMech]：当基于[IC.SUM-2.AuthIntVal.AccContMech]实施时，从功能上确认：
— 根据ACM使用访问控制机制；以及
— 未安装对未修改软件更新具有有效哈希值的已修改软件更新；以及
— 未安装由不支持的哈希函数生成哈希值的软件更新；以及
— 未安装未经授权实体提供的软件更新。
FprEN 18031-1:2024 (E)
66
[AU.SUM-2.Generic]：当基于[IC.SUM-2.AuthIntVal.Generic] 实施时，从功能上确认：
— 未安装完整性无效的软件更新；以及
— 未安装真实性无效的软件更新。
6.3.2.4.6.4 做出判决
如果[E.Info.SUM-2.SUM]中记录的每种更新机制的实施类别相关的评估单元的确认是成功的，则评估案例的判定结果为“PASS”。
如果[E.Info.SUM-2.SUM]中记录的某个更新机制的实施类别相关的评估单元的确认是不成功的，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.3.3 [SUM-3]自动更新
6.3.3.1 要求
SUM-1所要求的每个更新机制都应能够更新软件：
— 设备无需人工干预；或
— 通过在人工批准下安排安装更新；或
— 在需要防止运行环境中出现意外损坏的情况下，在人工批准或监督下触发更新安装。
6.3.3.2 理由
如果设备中存在公开已知的可被利用的漏洞，可能会危及安全资产和网络资产，自动更新机制可确保在无需或只需极少人工干预的情况下，应用可解决该漏洞的可用安全更新，防止漏洞被利用。
6.3.3.3 指引
在SUM-1需要更新机制的情况下，这一要求需要软件部分至少有一个自动更新机制。
注1：一个自动更新机制可用于更新软件的多个部分。
自动化更新由机器执行，无需或只需极少的人工控制或干预。
自动更新则更进一步，设备无需人工干预即可自行决定和执行更新。
在涉及安全或时间紧迫的特定情况下，或依赖于网络中更新的兼容性时，可能需要在更新启动前采取一些预防措施和/或进行现场验证，因此无法以自动方式执行，从而不影响应用程序的运行。在这种情况下，需要人工干预来触发或安排更新。
FprEN 18031-1:2024 (E)
67
如果新软件版本安装失败，例如软件镜像验证不成功，一种最佳实践是应用回滚策略重新激活以前的软件版本，除非没有足够的内存来存储更新。
例如，在人为批准的情况下触发更新的安装，可以包括显示更新可用的通知，并提示用户通过安全更新机制安装更新。
从用户角度看，简单的自动化更新可提高安全更新的分发率。
注2："从用户角度看”可包括：
— 安全更新机制相关通知的简单配置
— 更新机制的简单配置
— 简单提供完全自动更新的授权
在可以采用全自动更新机制的情况下，在设备投入使用时征得用户同意启动该机制，可提高安全更新的分发率。
在初始化后评估可用的安全更新，并定期提高安全更新的分发率。
FprEN 18031-1:2024 (E)
68
6.3.3.4 评估标准
6.3.3.4.1 评估目标
该评估针对SUM-3的要求。
6.3.3.4.2 实施类别
不适用。
6.3.3.4.3 所需信息
[E.Info.SUM-3.SUM]：说明SUM-1要求的每种更新机制，包括：
— [E.Info.SUM-3.SUM.Automation]：描述自动更新机制的方法。
[E.Info.DT.SUM-3]：说明图13中为[E.Info.SUM-3.SUM]中记录的每种更新机制选择的决策树路径。
[E.Just.DT.SUM-3]：通过[E.Info.DT.SUM-3]中记录的决策树选择路径的依据，并具有以下属性：
— 决定[DT.SUM-3.DN-1]、[DT.SUM-3.DN-2]和[DT.SUM-3.DN-3]的依据是[E.Info.SUM-3.SUM.Automation]。
6.3.3.4.4 概念评估
6.3.3.4.4.1 评估目的
本评估案例的目的是确定每种更新机制是否按照SUM-3的要求支持[E.Info.SUM-3.SUM.Automation]中记录的自动更新。
6.3.3.4.4.2 先决条件
无。
6.3.3.4.4.3 评估单元
图13-SUM-3要求的决策树
FprEN 18031-1:2024 (E)
69
对于每种更新机制，评估[E.Info.DT.SUM-3]中记录的决策树路径是否以“PASS”或“FAIL”结束。
对于[E.Info.DT.SUM-3]中记录的决策树中的每条路径，评估[E.Just.DT.SUM-3]中记录的相关理由。
6.3.3.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 通过[E.Info.DT.SUM-3]中记录的决策树的所有路径都以“PASS”结尾；以及
— E.Just.DT.SUM-3]中提供的信息是通过[E.Info.DT.SUM-3]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.SUM-3]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.SUM-3]中记录的决策树路径，[E.Just.DT.SUM-3]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.3.3.4.5 功能完整性评估
对安全更新机制适用性的功能充分性评估涵盖了功能完整性评估。
因此，没有必要进行功能完整性评估。
6.3.3.4.6 功能充分性评估
6.3.3.4.6.1 评估目的
本评估案例为功能性评估，的目在于评估影响安全资产和/或网络资产的软件部分的更新机制是否按照[E.Info.SUM-3.SUM.Automation]中的记录实现了自动化。
6.3.3.4.6.2 先决条件
设备处于运行状态。
制造商提供执行自动更新的方法。
6.3.3.4.6.3 评估单元
针对[E.Info.SUM-3.SUM]中记录的每个更新机制，从功能上评估自动化实施是否偏离[E.Info.SUM-3.SUM.Automation]的规定：
— 评估设备的软件版本；以及
— 在持有安全更新的源头提供软件更新；以及
— 评估设备是否执行软件更新：
o 设备无需人工干预；或
FprEN 18031-1:2024 (E)
70
o 通过在人为批准下安排更新的安装；或
o 通过人为批准触发更新的安装；以及
— 在设备上评估软件版本是否已更新到新的版本号。
6.3.3.4.6.4 做出判决
如果没有证据表明SUM-1所要求的更新机制的实施偏离了[E.Info.SUM-3.SUM]，则判定评估案例为“PASS”。
如果有证据表明SUM-1所要求的更新机制的实施偏离了[E.Info.SUM-3.SUM]，则对评估案例做出“FAIL”的判定。
否则，将作出“NA”的判决。
6.4 [SSM] 安全存储机制
6.4.1 [SSM-1] 安全存储机制的适用性
6.4.1.1 要求
设备应始终使用安全存储机制来保护持续存储在设备上的安全资产和网络资产，但在下列情况下持续存储的安全资产或网络资产除外：
— 目标环境中的物理或逻辑措施，确保只有授权实体才能访问存储在设备上的安全资产或网络资产。
6.4.1.2 理由
安全存储机制可保护安全资产和网络资产免遭未经授权的访问。如果安全资产或网络资产没有得到适当的保护，攻击者就可能访问、篡改或删除这些资产并破坏设备，从而可能导致网络资源被滥用。
6.4.1.3 指引
安全资产和网络资产可通过以下方式得到保护，例如：
— 加密等密码措施，以确保保密性
— 数字签名等加密措施，以确保完整性和真实性
— 使用验证或授权进行访问控制
— 硬件保护措施
— 物理保护措施
适当的保护机制取决于与需要存储的安全资产或网络资产相关的风险，这可能取决于以下因素：
— 安全资产或网络资产的重要性；
— 安全资产或网络资产的数量；
FprEN 18031-1:2024 (E)
71
— 安全资产或网络资产需要存储的期限；
— 预期的操作使用环境。
在投放市场时不属于设备一部分的可移动存储不被视为持久存储，而是用于在不同设备之间移动安全资产或网络资产的存储。要从设备上移除这种存储，需要对设备进行物理访问。这样可以确保只有获得授权的实体才能访问所存储的安全资产或网络资产，而这些实体必须能够物理访问设备。
未被列为安全资产或网络资产的持久存储数据可能受到安全存储机制的保护，但不在本要求的范围之内。
6.4.1.4 评估标准
6.4.1.4.1 评估目标
该评估针对SSM-1的要求。
6.4.1.4.2 实施类别
不适用。
6.4.1.4.3 所需信息
[E.Info.SSM-1.SecurityAsset]：设备上每个持久存储的安全资产的描述，包括其持久存储的描述：
— (如果声称不需要安全存储机制是因为目标运行环境中的物理或逻辑措施可确保所存储安全资产的可访问性仅限于授权实体）[E.Info.SSM-1.SecurityAsset.Environment]：则描述：
o 设备目标运行环境中的物理或逻辑措施；以及
o 在设备的目标运行环境中如何对实体进行验证/授权；以及
— (如果持久存储由安全存储机制提供）[E.Info.SSM-1.SecurityAsset.SSM]：描述安全存储机制。
[E.Info.SSM-1.NetworkAsset]：设备上每个持久存储的网络资产的描述，包括其持久存储的描述：
— (如果声称不需要安全存储机制是因为目标运行环境中的物理或逻辑措施可确保所存储网络资产的可访问性仅限于授权实体）[E.Info.SSM-1.NetworkAsset.Environment]：则描述：
o 设备目标运行环境中的物理或逻辑措施；以及
o 在设备的目标运行环境中如何对实体进行验证/授权；以及
FprEN 18031-1:2024 (E)
72
— (如果声称安全存储机制需要持久存储）[E.Info.SSM-1.NetworkAsset.SSM]：则说明安全存储机制。
[E.Info.DT.SSM-1]：E.Info.SSM-1.SecurityAsset]和[E.Info.SSM-1.NetworkAsset]中记录的每项安全资产和网络资产通过图14中的决策树所选路径的说明。
[E.Just.DT.SSM-1]：通过[E.Info.DT.SSM-1]中记录的决策树选择路径的依据，并具有以下属性：
— (如果源自[DT.SSM-1.DN-1]决策的结果为“NA”）决定[DT.SSM-1.DN-1]的依据基于[E.Info.SSM-1.SecurityAsset.Environment]或[E.Info.SSM-1.NetworkAsset.Environment]；并且
— 决定[DT.SSM-1.DN-2]的依据基于[E.Info.SSM-1.SecurityAsset.SSM]或[E.Info.SSM-1.NetworkAsset.SSM]。
6.4.1.4.4 概念评估
6.4.1.4.4.1 评估目的
本评估案例为概念性评估，旨在评估是否按照SSM-1的要求实施了安全存储机制。
6.4.1.4.4.2 先决条件
无。
6.4.1.4.4.3 评估单元
图14-SSM-1要求的决策树
FprEN 18031-1:2024 (E)
73
对于[E.Info.SSM-1.SecurityAsset]中记录的每个安全资产和[E.Info.SSM-1.NetworkAsset]中记录的每个网络资产，评估[E.Info.DT.SSM-1]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.SSM-1]中记录的决策树中的每条路径，评估[E.Just.DT.SSM-1]中记录的相关理由。
6.4.1.4.4.4 做出判决
如果出现以下情况，则判定该评估案例“PASS”：
— 在[E.Info.DT.SSM-1]中记录的决策树中，至少有一条路径以“PASS”结束；以及
— [E.Info.DT.SSM-1]中记录的决策树中没有以“FAIL”结束的路径；以及
— E.Just.DT.SSM-1]中提供的信息是通过[E.Info.DT.SSM-1]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.SSM-1]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.SSM-1]中记录的决策树路径，[E.Just.DT.SSM-1]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.4.1.4.5 功能完整性评估
6.4.1.4.5.1 评估目的
本评估案例为功能性评估，旨在评估[E.Info.SSM-1.SecurityAsset]中记录的安全资产和[E.Info.SSM-1.NetworkAsset]中记录的网络资产是否完整。
6.4.1.4.5.2 先决条件
设备处于运行状态。
6.4.1.4.5.3 评估单元
从功能上评估设备上是否持续存储有[E.Info.SSM-1.SecurityAsset]中未列出的安全资产。
从功能上评估设备上是否持续存储有[E.Info.SSM-1.NetworkAsset]中未列出的网络资产。
6.4.1.4.5.4 做出判决
如果在[E.Info.SSM-1.SecurityAsset]中记录了找到的所有持续存储的安全资产，并且在[E.Info.SSM-1.NetworkAsset]中记录了找到的所有持续存储的网络资产，则评估案例的判定结果为“PASS”。
如果发现持续存储的安全资产未在[E.Info.SSM-1.SecurityAsset]中记录，或发现持续存储的网络资产未在[E.Info.SSM-1.NetworkAsset]中记录，则评估案例的判定结果为“FAIL”。
FprEN 18031-1:2024 (E)
74
否则，将作出“NA”的判决。
6.4.1.4.6 功能充分性评估
6.4.1.4.6.1评估目的
本评估案例为功能性评估，的目是评估是否按照SSM-1的要求实施了安全存储机制。
6.4.1.4.6.2 先决条件
设备处于运行状态。
6.4.1.4.6.3 评估单元
对于[E.Info.SSM-1.SecurityAsset]中记录的每个安全资产，从功能上确认其仅通过[E.Info.SSM-1.SecurityAsset.SSM]中记录的安全存储机制进行持久存储。
对于[E.Info.SSM-1.NetworkAsset]中记录的每个网络资产，从功能上确认其仅通过[E.Info.SSM-1.NetworkAsset.SSM]中记录的安全存储机制进行持久存储。
6.4.1.4.6.4 做出判决
如果没有证据表明以下情况，则判定该评估案例为“PASS”：
— 安全资产是通过[E.Info.SSM-1.SecurityAsset.SSM]中记录的安全存储机制以外的方式持久存储的；以及
— 网络资产是通过[E.Info.SSM-1.SecurityAsset.SSM]中记录的安全存储机制以外的方式持久存储的
如果有证据表明以下情况，则判定该评估案例为“FAIL”：
— 安全资产是通过[E.Info.SSM-1.SecurityAsset.SSM]中记录的安全存储机制以外的方式持久存储的；或
— 网络资产是通过[E.Info.SSM-1.SecurityAsset.SSM]中记录的安全存储机制以外的方式持久存储的
否则，将作出“NA”的判决。
6.4.2 [SSM-2]为安全存储机制提供适当的完整性保护
6.4.2.1 要求
SSM-1所要求的每个安全存储机制都应保护其持久存储的安全资产和网络资产的完整性。
6.4.2.2 理由
安全资产和网络资产在存储时需要防止篡改。如果存储的安全资产或网络资产的完整性没有得到适当的保护，攻击者就可能操纵这些资产，从而危及网络资源。
FprEN 18031-1:2024 (E)
75
完整性保护既适用于加密存储，也适用于未加密存储。
6.4.2.3 指引
例如，可以通过以下方法防止数据被篡改：
— 数字签名等加密措施
— 访问控制
— 硬件保护措施
— 物理保护措施
6.4.2.4 评估标准
6.4.2.4.1 评估目标
评估针对SSM-2的要求。
6.4.2.4.2 实施类别
[IC.SSM-2.DigitalSignature]：在设备制造、调试或正常运行期间，使用加密技术秘密提供的数字签名，确保存储的安全资产或网络资产的完整性的方法。
[IC.SSM-2.AccessControl]：确保存储的安全资产或网络资产完整性的方法是使用访问控制机制，拒绝未经授权的修改。
[IC.SSM-2.OTProgrammable]：确保存储的安全资产或网络资产完整性的方法以一次性可编程存储器为基础。
[IC.SSM-2.HardwareProtection]：确保存储的安全资产或网络资产完整性的方法是基于硬件保护存储器。
[IC.SSM-2. Generic]：确保存储安全资产或网络资产完整性的方法并不完全依赖于[IC.SSM-2. DigitalSignature]、[IC.SSM-2. AccessControl]、[IC.SSM-2.OTProgrammable]或[IC.SSM-2. HardwareProtection]。
6.4.2.4.3 所需信息
[E.Info.SSM-2.SSM]：每种安全存储机制的描述，包括：
— 持续存储的所有安全资产和网络资产的清单；以及
— (如果SSM基于[IC.SSM-2.DigitalSignature]实施）[E.Info.SSM-2.SSM.DigitalSignature]：描述如何使用数字签名实现完整性保护，包括：
o 对数字签名机制以及安全资产和网络资产持久存储加密技术的描述；以及
o 关于如何在设备上提供或由设备产生用于产生签字的加密秘密的说明；以及
— 如果SSM实施是基于 [IC.SSM-2.AccessControl]） [E.Info.SSM-2.AccessControl]）
[E.Info.SSM-2.SSM.AccessControl]：描述如何使用访问控制机制实现完整性保护，包括：
FprEN 18031-1:2024 (E)
76
o 安全资产和网络资产的访问控制机制和相应访问权限的描述；以及
— (如果SSM实施是基于[IC.SSM-2.OTProgrammable]）[E.Info.SSM-2.SSM.OTProgrammable]：描述如何使用一次性可编程存储器实现完整性保护，包括：
o 说明用于持久存储安全资产和网络资产的一次性可编程存储器类型；以及
— (如果SSM实施是基于[IC.SSM-2.HardwareProtection]）[[E.Info.SSM-2.SSM.HardwareProtection]：描述如何使用硬件保护实现完整性保护，包括
o 说明对安全资产和持续存储的网络资产使用了哪些硬件保护；以及
— (如果SSM实施是基于[IC.SSM-2.Generic]）[E.Info.SSM-2.SSM.Generic]：用于保护安全资产或网络资产的完整性保护机制描述；以及
— 如果声称安全存储机制符合公认的安全标准或认证计划，提供证据证明安全存储机制符合公认的安全标准或认证计划。
注：如果供应商提供的安全存储机制出于安全原因不披露此类信息，同时又提供使用安全存储机制所需的所有安全说明，则制造商不一定能获得上述信息。
[E.Info.DT.SSM-2]：说明图15中为[E.Info.SSM-2.SSM]中描述的每种安全存储机制选择的决策树路径。
[E.Just.DT.SSM-2]：通过[E.Info.DT.SSM-2]中记录的决策树选择路径的依据，并具有以下属性：
— (如果基于[IC.SSM-2.DigitalSignature]实施）决定[DT.SSM-2.DN-1]的依据基于[E.Info.SSM-2.SSM.DigitalSignature]；以及
— (如果基于[IC.SSM-2.AccessControl]实施）决定[DT.SSM-2.DN-1]的依据基于[E.Info.SSM-2.SSM.AccessControl]；以及
— (如果基于[IC.SSM-2.OTProgrammable]实施）决定[DT.SSM-2.DN-1]的依据基于[E.Info.SSM-2.SSM.OTProgrammable]；以及
— (如果基于[IC.SSM-2.HardwareProtection]实施）决定[DT.SSM-2.DN-1]的依据基于[E.Info.SSM-2.SSM.HardwareProtection]；以及
— (如果基于[IC.SSM-2.Generic]实施）决定[DT.SSM-2.DN-1]的依据基于[E.Info.SSM-2.SSM.Generic]。
FprEN 18031-1:2024 (E)
77
6.4.2.4.4 概念评估
6.4.2.4.4.1 评估目的
本评估案例为概念性评估，的目是评估SSM-1所要求的安全存储机制是否按照SSM-2的要求实施。
6.4.2.4.4.2 先决条件
无。
6.4.2.4.4.3 评估单元
图15-SSM-2要求的决策树
对于[E.Info.SSM-2.SSM]中的每种安全存储机制，评估通过[E.Info.DT.SSM-2]中记录的决策树的路径是否以“PASS”结束。
对于[E.Info.DT.SSM-2]中记录的决策树中的每条路径，评估[E.Just.DT.SSM-2]中记录的相关理由。
6.4.2.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 通过[E.Info.DT.SSM-2]中记录的决策树的所有路径都以“PASS”结尾；以及
— [E.Just.DT.SSM-2]中提供的信息是通过[E.Info.DT.SSM-2]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.SSM-2]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.SSM-2]中记录的决策树路径，[E.Just.DT.SSM-2]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
78
6.4.2.4.5 功能完整性评估
安全存储机制适用性的功能充分性评估涵盖了功能完整性评估。
因此，没有必要进行功能完整性评估。
6.4.2.4.6 功能充分性评估
6.4.2.4.6.1 评估目的
本评估案例为功能性评估，的目是评估SSM-1所要求的安全存储机制是否提供了所需的完整性保护。
6.4.2.4.6.2 先决条件
设备处于运行状态。
6.4.2.4.6.3 评估单元
对于[E.Info.SSM-2.SSM]中记录的每种安全存储机制：
[AU.SSM-2.DigitalSignature]：如果安全存储机制是基于[IC.SSM-2.DigitalSignature]实施的，则在功能上确认：
— 根据[E.Info.SSM-2.SSM.DigitalSignature]实施；以及
— 用于对安全资产或网络资产进行数字签名的秘密无法被拦截、推导或提取；以及
— 安全存储机制检测到安全资产和网络资产受到未经有效签名的修改。
[AU.SSM-2.AccessControl]：如果安全存储机制基于[IC.SSM-2.AccessControl]实施，则在功能上确认：
— 根据[E.Info.SSM-2.SSM.AccessControl]实施；以及
— 拒绝对存储的安全资产和网络资产进行未经授权的修改。
[AU.SSM-2.OTProgrammable]：如果安全存储机制基于[IC.SSM-2.OTProgrammable]实施，则在功能上确认：
— 根据[E.Info.SSM-2.SSM.OTProgrammable]实施；以及
— 无法修改安全资产和网络资产。
[AU.SSM-2.HardwareProtection]：如果安全存储机制基于[IC.SSM-2.HardwareProtection]实施，则在功能上确认：
— 根据[E.Info.SSM-2.SSM.HardwareProtection]实施；以及
— 安全存储机制不可能或可以检测到对安全资产和网络资产的未经授权的修改。
[AU.SSM-2.Generic]：如果安全存储机制基于[IC.SSM-2.Generic]实施，则在功能上确认：
FprEN 18031-1:2024 (E)
79
— 根据[E.Info.SSM-2.SSM.Generic]实施；以及
— 安全存储机制不可能或可以检测到对安全资产或网络资产的未经授权的修改。
6.4.2.4.6.4 做出判决
如果[E.Info.SSM-2.SSM]中记录的每种安全存储机制的实施类别相关评估单元中的确认都成功，则评估案例的判定结果为“PASS”。
如果[E.Info.SSM-2.SSM]中记录的任何安全存储机制在依赖于实施类别的评估单元中的确认不成功，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.4.3 [SSM-3] 为安全存储机制提供适当的保密保护
6.4.3.1 要求
SSM-1所要求的每个安全存储机制应保护其持久存储的保密安全参数和保密网络功能配置的机密性。
6.4.3.2 理由
保密安全参数和保密网络功能配置在存储时需要保护，以免暴露。如果这些信息没有得到适当的保护，攻击者就可以访问和滥用设备和存储的数据，从而可能导致网络资源的滥用。
6.4.3.3 指引
例如，可以通过以下方法保护数据不被泄露：
— 加密等密码措施
— 访问控制
— 硬件保护措施。
6.4.3.4 评估标准
6.4.3.4.1 评估目标
该评估针对SSM-3的要求。
6.4.3.4.2 实施类别
[IC.SSM-3.Encryption]：确保存储的保密安全参数或保密网络功能配置的机密性的方法是基于使用制造过程中提供的秘密进行加密，该秘密是在设备调试或正常运行过程中生成的。
[IC.SSM-3.AccessControl]：确保保密安全参数或保密网络功能配置保密的方法是使用访问控制机制，拒绝未经授权的读取。
FprEN 18031-1:2024 (E)
80
[IC.SSM-3.HardwareProtection]：基于硬件保护（如加扰、混淆等）确保存储的保密安全参数或保密网络功能配置保密的方法。
[IC.SSM-3.Generic]：确保存储的保密安全参数或保密网络功能配置的保密性的方法并不完全依赖于[IC.SSM-3. Encryption]、[IC.SSM-3. AccessControl]或[IC.SSM-3. HardwareProtection]。
6.4.3.4.3 所需信息
[E.Info.SSM-3.SSM]：描述持续存储保密安全参数或保密网络功能配置的每个安全存储机制，包括：
— [E.Info.SSM-3.SSM.Asset]：持续存储的所有保密安全参数和保密网络功能配置的列表；以及
— (如果SSM基于[IC.SSM-3. Encryption]实施）[E.Info.SSM-3.SSM. Encryption]：描述如何使用加密实现保密，包括：
o 用于保护其持续存储的保密安全参数和保密网络功能配置的保密性的加密机制和密码学；以及
o 用于对资产进行加密的秘密是如何提供或获得的；以及
— (如果SSM基于[IC.SSM-3.AccessControl]实施）[E.Info.SSM-3.SSM.AccessControl]：说明如何使用访问控制机制实现保密，包括：
o 对访问控制机制的描述，包括其持久存储的保密安全参数和保密网络功能配置的相应访问权限；以及
— (如果SSM基于[IC.SSM-3.HardwareProtection]实施）[E.Info.SSM-3.SSM.HardwareProtection]：说明如何使用硬件保护实现保密，包括：
o 说明对持久存储的保密安全参数和保密网络功能配置使用了哪些硬件保护；以及
— (如果SSM基于[IC.SSM-3.Generic]实施）[E.Info.SSM-3.SSM.Generic]：描述用于保护其持久存储的保密安全参数和保密网络功能配置的保密性保护机制；以及
— 如果声称安全存储机制符合公认的安全标准或认证计划，提供证据证明安全存储机制符合公认的安全标准或认证计划。
注：如果供应商提供的安全存储机制出于安全原因无法披露上述信息，但同时提供了使用安全存储机制所需的所有安全说明，则制造商不一定能获得上述信息。
[E.Info.DT.SSM-3]：说明通过图16中的决策树为[E.Info.SSM-3.SSM]中描述的每种安全存储机制选择的路径。
FprEN 18031-1:2024 (E)
81
[E.Just.DT.SSM-3]：通过[E.Info.DT.SSM-3]中记录的决策树所选路径的依据，并具有以下属性：
— (如果基于[IC.SSM-3. Encryption]实施）决定[DT.SSM-3.DN-1]的依据基于[E.Info.SSM-3.SSM. Encryption]；以及
— (如果基于[IC.SSM-3.AccessControl]实施）决定[DT.SSM-3.DN-1]的依据基于[E.Info.SSM-3.SSM.AccessControl]；以及
— (如果基于[IC.SSM-3.HardwareProtection]实施）决定[DT.SSM-3.DN-1]的依据基于[E.Info.SSM-3.SSM.HardwareProtection]；以及
— (如果基于[IC.SSM-3.Generic]实施）决定[DT.SSM-3.DN-1]的依据基于[E.Info.SSM-3.SSM.Generic]。
6.4.3.4.4 概念评估
6.4.3.4.4.1 评估目的
本评估案例为概念性评估，旨在评估是否按照SSM-3的要求实施了SSM-1所要求的安全存储机制，以持续存储保密安全参数或保密网络功能配置。
6.4.3.4.4.2 先决条件
无。
6.4.3.4.4.3 评估单元
图16-SSM-3要求的决策树
对于[E.Info.SSM-3.SSM]中的每种安全存储机制，评估记录在[E.Info.DT.SSM-3]中的决策树的路径是否以“PASS”结束。
FprEN 18031-1:2024 (E)
82
对于[E.Info.DT.SSM-3]中记录的决策树的每条路径，评估[E.Just.DT.SSM-3]中记录的相关理由。
6.4.3.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— [E.Info.DT.SSM-3]中记录的决策树的所有路径都以“PASS”结尾；以及
— [E.Just.DT.SSM-3]中提供的信息是在[E.Info.DT.SSM-3]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.SSM-3]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.SSM-3]中记录的决策树路径，[E.Just.DT.SSM-3]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.4.3.4.5 功能完整性评估
6.4.3.4.5.1 评估目的
本评估案例为功能性评估，旨在评估[E.Info.SSM-3.SSM.Asset]中记录的资产是否完整。
6.4.3.4.5.2 先决条件
设备处于运行状态。
6.4.3.4.5.3 评估单元
从功能上评估设备上是否持续存储有[E.Info.SSM-3.SSM.Asset]中未列出的保密安全参数或保密网络功能配置。
6.4.3.4.5.4 做出判决
如果发现的所有持续存储的保密安全参数和发现的所有持续存储的保密网络功能配置都记录在[E.Info.SSM-3.SSM.Asset]中，则判定评估案例为“PASS”。
如果有任何发现的持续存储的保密安全参数或持续存储的保密网络功能配置未在[E.Info.SSM-3.SSM.Asset]中记录，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.4.3.4.6 功能充分性评估
6.4.3.4.6.1 评估目的
本评估案例为功能性评估，的目在于评估SSM-1所要求的安全存储机制（持续存储保密安全参数或保密网络功能配置）是否提供了所需的保密保护。
FprEN 18031-1:2024 (E)
83
6.4.3.4.6.2 先决条件
设备处于运行状态。
6.4.3.4.6.3 评估单元
对于[E.Info.SSM-3.SSM]中记录的每种安全存储机制：
[AU.SSM-3. Encryption]：如果安全存储机制基于[IC.SSM-3.Encryption]实施，则在功能上确认：
— 根据[E.Info.SSM-3.SSM. Encryption]实施；以及
— 用于加密保密安全参数或保密网络功能配置的秘密不能被拦截、扣除或提取；以及
— 在无法获取用于解密的秘密的情况下，读取保密安全参数和保密网络功能配置是不可能的。
[AU.SSM-3.AccessControl]：如果安全存储机制基于[IC.SSM-3.AccessControl]实施，则在功能上确认：
— 根据[E.Info.SSM-3.SSM.AccessControl]实施；以及
— 拒绝未经授权读取存储的保密安全参数和保密网络功能配置。
[AU.SSM-3.HardwareProtection]：如果安全存储机制基于[IC.SSM-3.HardwareProtection]实施，则在功能上确认：
— 根据[E.Info.SSM-3.SSM.HardwareProtection]实施；以及
— 用于保护存储的保密安全参数和保密网络功能配置的保密性的机制不能被破解或绕过；以及
— 不可能在未经授权的情况下读取存储的保密安全参数和保密网络功能配置。
[AU.SSM-3.Generic]：如果安全存储机制基于[IC.SSM-3.Generic]实施，则在功能上确认：
— 根据[E.Info.SSM-3.SSM.Generic]实施；以及
— 不可能在未经授权的情况下读取所存储的保密安全参数和保密网络功能配置。
6.4.3.4.6.4 做出判决
如果[E.Info.SSM-3.SSM]中记录的每种安全存储机制的实施类别相关评估单元中的确认都成功，则评估案例的判定结果为“PASS”。
如果[E.Info.SSM-3.SSM]中记录的任意一个安全存储机制的实施类别相关评估单元中的确认不成功，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
84
6.5 [SCM] 安全通信机制
6.5.1 [SCM-1] 安全通信机制的适用性
6.5.1.1 要求
设备应始终使用安全通信机制，通过网络接口与其他实体通信安全资产和网络资产，但下列情况除外：
— 安全资产或网络资产的通信过程受到目标环境中物理或逻辑措施的保护，确保网络资产或安全资产不会暴露给未经授权的实体；或
— 安全资产或网络资产的通信过程中，其暴露是建立或管理连接的一部分，并且有其他措施来验证连接或信任关系。
6.5.1.2 理由
例如，在使用网络服务时，设备的安全资产或网络资产可被转移至其他通信伙伴。正在进行的通信有可能使访问通信的攻击者窃听、操纵或重放通信，特别是在使用无线技术时。设备需要利用安全通信机制确保通信免受这些攻击。
6.5.1.3 指引
有多种技术可用于确保设备的通信安全（另见CRY-1）。应采用最佳的通信协议和相应的配置，以防止通信被窃听、篡改和重放。因此，典型的措施是将身份验证、完整性保护、加密和重放保护结合起来。这些措施可以应用于通信信道，也可以用于端到端保护。默认情况下，设备需要向其他通信伙伴提供最佳通信协议。设备与其他实体之间建立初始信任关系的方式对后续通信的安全性至关重要。
强烈建议不要使用没有安全功能或安全功能较弱的协议进行通信。在某些情况下，特别是为了支持互操作性，可能有必要偏离这一规定。对于此类协议的使用，制造商必须预见到需要采用额外的安全措施，例如：
— 设备的目标环境是只有经授权的人员才能进入的区域，而且无线电通信距离很短，从建筑物外尝试连接是不切实际的。这类区域的典型例子是工业场所或公寓中上锁的楼宇服务间。
— 设备的目标环境是使用虚拟专用网络的特定网络基础设施，该网络对设备的不安全协议进行隧道传输。
一般来说，建议设备在进行不安全通信时通知用户。
对于用户界面有限、无法执行更复杂配对程序的本地或个人网络设备（如可穿戴设备），配对协议可能容易受到中间人攻击。在这种情况下，为避免攻击者建立连接，需要采取额外的措施（拥有、知识、内在性）来减少攻击媒介，例如，对完成配对所需的用户交互的时间进行限制。
FprEN 18031-1:2024 (E)
85
6.5.1.4 评估标准
6.5.1.4.1 评估目标
该评估针对SCM-1的要求。
6.5.1.4.2 实施类别
不适用。
6.5.1.4.3 所需信息
[E.Info.SCM-1.NetworkInterface]：每个网络接口的说明，包括：
— 物理特征描述，包括：
o (在有无线电接口的情况下）[E.Info.SCM-1.NetworkInterface.Radio]：使用的技术、占用的无线电频谱、无线电接口使用的传输功率以及使用的操作模式；或
o (在有有线接口的情况下）[E.Info.SCM-1.NetworkInterface.Wired]：有线接口使用的电气特性和使用的运行模式；或
o (在有光接口的情况下）[E.Info.SCM-1.NetworkInterface.Optical]：接口使用的光学技术和实现的操作模式；或
o (在有声学接口的情况下）[E.Info.SCM-1.NetworkInterface.Acoustic]：接口使用的声学技术和实现的操作模式；以及
— 逻辑特征描述，包括
o [E.Info.SCM-1.NetworkInterface.Protocol]：描述在[E.Info.SCM-1.NetworkInterface.Radio]、[E.Info.SCM-1.NetworkInterface.Wired]、[E.Info.SCM-1.NetworkInterface.Optical]或[E.Info.SCM-1.NetworkInterface.Acoustic]中记录的接口上实现的所有通信协议、实现的操作模式、协议版本以及（如适用）用于实施的SW库；以及
— 对配置的描述，包括：
o 设备应用的配置，以及更改接口物理或逻辑行为的可用选项。
[E.Info.SCM-1.SecurityAsset]：描述每个存储的安全资产，这些资产通过记录在[E.Info.SCM-1.NetworkInterface]中的网络接口进行通信，并且需要确保其保密性、完整性或真实性，从而达到保护设备网络资产的目的，包括：
— (如果安全资产分类适用）[E.Info.SCM-1.SecurityAsset.Class]：安全资产分类（如根密钥、主密钥、封装密钥或公钥），其中：
FprEN 18031-1:2024 (E)
86
如果安全资产属于相同的使用案例和相同的安全级别，则可作为单一类别分组列出；以及
— [E.Info.SCM-1.SecurityAsset.Com]：描述用例，其资产通过记录在[E.Info.SCM-1.NetworkInterface]中网络接口进行通信（如与基站配对）的用例；以及
— [E.Info.SCM-1.SecurityAsset.NetworkInterface]：用于安全资产通信的网络接口（from [E.Info.SCM-1.NetworkInterface]）；以及
— (如果转移受到目标环境中物理和逻辑措施的保护）[E.Info.SCM-1.SecurityAsset.TrustedEnv]：设备目标运行环境中确保资产不会暴露给未经授权实体的物理或逻辑措施的描述；以及[E.Info.SCM-1.SecurityAsset.TrustedEnv]：设备目标运行环境中确保资产不会暴露给未经授权实体的物理或逻辑措施的描述。
— (如果资产是建立或管理连接的一部分）[E.Info.SCM-1.SecurityAsset.AddMeasures]：用于验证连接或信任关系的附加措施的描述。
[E.Info.SCM-1.NetworkAsset]：通过[E.Info.SCM-1.NetworkInterface]中记录的网络接口进行通信并需要保密性、完整性或真实性保护的每个网络资产的描述，包括
— (如果网络资产分类适用)[E.Info.SCM-1.NetworkAsset.Class]：网络资产分类（如网络配置、敏感网络访问参数）；如果网络资产属于相同用例和相同安全级别，则可将其归类为一个类别；以及
— [E.Info.SCM-1.NetworkAsset.Com]：描述用例，其资产通过记录在[E.Info.SCM-1.NetworkInterface]中的网络接口进行通信（如与基站配对）；以及
— [E.Info.SCM-1.NetAsset.NetInterface]：用于网络资产通信的网络接口（from [E.Info.SCM-1.NetworkInterface]）；以及
— (如果转移受到目标环境中物理和逻辑措施的保护）[E.Info.SCM-1.NetworkAsset.TrustedEnv]：设备目标运行环境中确保资产不会暴露给未经授权实体的物理或逻辑措施的描述；以及
— (如果资产是建立或管理连接的一部分）[E.Info.SCM-1.NetworkAssets.AddMeasures]：用于验证连接或信任关系的附加措施的描述。
[E.Info.SCM-1.SCM]：描述通过记录在[E.Info.SCM-1.NetworkInterface]中的网络接口对记录在[E.Info.SCM-1.SecurityAsset]中的安全资产和记录在[E.Info.SCM-1.NetworkAsset]中的网络资产进行通信的每个安全通信机制。
— [E.Info.SCM-1.SCM.Protocol]：应用该机制的通信协议（from [E.Info.SCM-1.NetworkInterface.Protocol]）；以及
— [E.Info.SCM-1.SCM.States]：发生[E.Info.SCM-1.SecurityAsset]中记录的安全资产和[E.Info.SCM-1.NetworkAsset]中记录的网络资产通信的设备的状态；以及
FprEN 18031-1:2024 (E)
87
— [E.Info.SCM-1.SCM.SecObjectives]：考虑到设备的预期功能、分析的威胁和可能成功的攻击场景（例如，暴露数据、篡改数据、未经授权控制设备）的安全目标；以及
— (如果设备支持建立或管理连接）[E.Info.SCM-1.SCM.Manage]：建立或管理程序的详细信息。
[E.Info.DT.SCM-1]：描述通过图17中的决策树为[E.Info.SCM-1.NetworkInterface]中记录的每个相关网络接口选择的路径。
注：由于安全资产或网络资产的分类以及[E.Info.SCM-1.SCM.States]中记录的设备状态，可能需要记录多个有效路径。
[E.Just.DT.SCM-1]：通过[E.Info.DT.SCM-1]中记录的决策树选择路径的依据，并具有以下属性：
— (如果源自[DT.SCM-1.DN-2]决策的结果为“NA”）决定[DT.SCM-1.DN-2]的依据基于[E.Info.SCM-1.SecurityAsset.TrustedEnv]和[E.Info.SCM-1.NetworkAsset.TrustedEnv]；以及
— (如果源自[DT.SCM-1.DN-3]决策的结果为“NA”）决定[DT.SCM-1.DN-3]的依据基于[E.Info.SCM-1.SecurityAsset.AddMeasures]和[E.Info.SCM-1.NetworkAssets.AddMeasures]。
6.5.1.4.4 概念评估
6.5.1.4.4.1 评估目的
本评估案例为概念性评估，的目是评估[E.Info.SCM-1.SecurityAsset]中记录的安全资产或[E.Info.SCM-1.NetworkAsset]中记录的网络资产根据SCM-1的要求在通过网络接口进行通信，并且需要安全通信机制进行保护时，相关安全通信机制是否进行了正确实施。
6.5.1.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
88
6.5.1.4.4.3 评估单元
图17-SCM-1要求的决策树
对于[E.Info.SCM-1.NetworkInterface]中记录的每个网络接口，评估[E.Info.DT.SCM-1]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.SCM-1]中记录的决策树中的每条路径，都要评估[E.Just.DT.SCM-1]中记录的理由。
6.5.1.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 在[E.Info.DT.SCM-1]中记录的决策树中，至少有一条路径以“PASS”结束；以及
— 在[E.Info.DT.SCM-1]中记录的决策树中，没有以“FAIL”结尾的路径；以及
— E.Just.DT.SCM-1]中提供的信息是记录在[E.Info.DT.SCM-1]中的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.SCM-1]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.SCM-1]中记录的决策树路径，[E.Just.DT.SCM-1]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
89
6.5.1.4.5 功能完整性评估
6.5.1.4.5.1 评估目的
本评估案例为概念性评估，的目是评估文档是否齐全。
6.5.1.4.5.2 先决条件
设备处于运行状态。
6.5.1.4.5.3 评估单元
使用最新的评估方法，从功能上评估是否有存储的安全资产进行了通信，并且未记录在[E.Info.SCM-1.SecurityAsset]中。
使用最新的评估方法，从功能上评估是否有存储的网络资产进行了通信，并且未记录在[E.Info.SCM-1.NetworkAsset]中。
6.5.1.4.5.4 做出判决
如果在[E.Info.SCM-1.SecurityAsset]中记录了发现的所有已通信的存储的安全资产，并且在[E.Info.SCM-1.NetworkAsset]中记录了发现的所有网络资产，则评估案例的判定结果为“PASS”。
如果发现了未在[E.Info.SCM-1.SecurityAsset]中记录的已通信的安全资产，或发现了未在[E.Info.SCM-1.NetworkAsset]中记录的网络资产，评估案例将被判定为“FAIL”。
否则，将作出“NA”的判决。
6.5.1.4.6 功能充分性评估
6.5.1.4.6.1 评估目的
本评估案例为功能性评估，的目是评估安全通信机制是否按照SCM-1的要求实施。
6.5.1.4.6.2 先决条件
设备处于运行状态。
6.5.1.4.6.3 评估单元
对于[E.Info.SCM-1.SecurityAsset]中记录的每个安全资产和[E.Info.SCM-1.NetworkAsset]中记录的每个网络资产，使用最新的评估方法，根据[E.Info.SCM-1.SCM]，考虑到记录的设备状态，从功能上确认安全通信机制的存在。
6.5.1.4.6.4 做出判决
如果没有证据表明未实施[E.Info.SCM-1.SCM]中记录的安全通信机制，则判定评估案例为“PASS”。
如果有证据表明未实施[E.Info.SCM-1.SCM]中记录的安全通信机制，则对评估案例做出“FAIL”的判定。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
90
6.5.2 [SCM-2]为安全通信机制提供适当的完整性和真实性保护
6.5.2.1 要求
根据SCM-1要求的每个安全通信机制都应采用最佳实践，以保护已通信的安全资产和网络资产的完整性和真实性，但以下情况除外：
— 出于互操作性考虑，需要偏离完整性或真实性保护的最佳实践。
6.5.2.2 理由
在通信过程中，需要保护安全资产和网络资产免受操纵。攻击者接入网络后可能会拦截和篡改通信（中间人攻击）。设备需要通过使用完整性和真实性保护措施来确保通信免受这些攻击。这种保护可通过用于安全资产或网络资产通信的协议或附加协议/附加措施来实现。
完整性和真实性保护既适用于加密通信，也适用于未加密通信。
6.5.2.3 指引
在安全通信方面，“最佳实践”是指使用经批准的协议和相应的配置（另见CRY-1），并定期审查协议的执行情况，以防出现漏洞（见GEC-1）。
目的是保护通信不被篡改。典型的措施是认证和完整性保护相结合。在设备和另一个实体之间建立初始信任关系的方式对通信安全至关重要。例如，这些措施可应用于通信信道或用于“端到端”保护。此外，通信的完整性和真实性保护通常通过使用基于密码的信息验证码（MAC）技术来实现。
只有在设备预期功能范围内，出于互操作性的原因，才有可能偏离最佳实践。在这种情况下，需要考虑采取补偿性的逻辑或物理措施，以确保安全水平相同。
即使出于互操作性原因可能还需要其他协议，设备也需要默认向其他通信合作伙伴提供最佳实践协议。为实现设备的预期功能，在不同的通信用例中采取的适当措施可能会有所不同。
在采用最佳实践配置（另见CRY-1）时，可用于实施安全通信的经批准的协议举例如下：
— 传输层安全（TLS）
— Wi-Fi保护接入(WPA)
— 密码验证连接建立（PACE）
— 对称密码方法（如高级加密标准-AES）
FprEN 18031-1:2024 (E)
91
不安全的通信往往不是由协议中的缺陷造成的，而是由协议执行中的错误造成的。因此，要求GEC-1非常重要。
6.5.2.4 评估标准
6.5.2.4.1 评估目标
本评估针对要求SCM-2。
6.5.2.4.2 实施类别
[IC.SCM-2.ManufSecret]：该方法是在设备生产过程中引入用于确保通信网络资产和安全资产完整性和真实性的（初始）秘密。该秘密为设备独有，仅在设备内部使用。完整性和真实性本身的保护是通过基于该秘密的信息验证码，以信道或信息为基础实现的。
[IC.SCM-2.SecChanExchange]：交换初始秘密的方法依赖于一个独立信道：用于确保通信网络资产和安全资产完整性和真实性的（初始）秘密仅通过独立于通信机制的第二信道进行交换。完整性和真实性本身的保护是通过基于秘密的信息验证码，以信道或信息的形式实现的。
例1：通过二维码输入共享密钥或手动输入密钥
[IC.SCM-2. PKI-based]：用于确保通信网络资产和安全资产完整性和真实性的证书验证方法完全基于可信公钥基础设施签发的证书签名。完整性和真实性本身的保护是通过基于秘密的信息验证码，以信道或信息的形式实现的。
例2：在TLS中使用X.509PKI证书
[IC.SCM-2.ThirdPartyTrust]：验证用于确保通信网络资产和安全资产完整性和真实性的（初始）秘密的方法完全基于与第三方的现有信任关系，该信任关系确认了秘密的真实性。完整性和真实性本身的保护是通过基于秘密的信息验证码，以信道或信息的形式实现的。
示例3：Kerberos协议
[IC.SCM-2.Generic]：确保通信网络资产和安全资产完整性和真实性的方法并不完全依赖于本节中上述的任何方法。
6.5.2.4.3 所需信息
[E.Info.SCM-2.SecurityAsset]：描述每个存储的安全资产，这些资产通过记录在[E.Info.SCM-2.NetworkInterface]中的网络接口进行通信，并且其完整性或真实性需要被保护，从而能够保护设备网络资产，包括：
— [E.Info.SCM-2.SecurityAsset.Com]：描述用例，其资产通过记录在[E.Info.SCM-2.NetworkInterface]中的网络接口进行通信（例如与基站配对）。
注1：[E.Info.SCM-2.SecurityAsset]的信息是[E.Info.SCM-1.SecurityAsset]的子集。
FprEN 18031-1:2024 (E)
92
[E.Info.SCM-2.NetworkAsset]：描述通过记录在[E.Info.SCM-2.NetworkInterface]中的网络接口进行通信并需要完整性或真实性保护的每个网络资产，包括：
— [E.Info.SCM-2.NetworkAsset.Com]：描述用例，其资产通过[E.Info.SCM-2.NetworkInterface]中记录的网络接口进行通信（如与基站配对）。
注2：在[E.Info.SCM-2.NetworkAsset]中的该条信息是[E.Info.SCM-1.NetworkAsset]的子集。
[E.Info.SCM-2.NetworkInterface]：设备所有网络接口的描述，包括：
— [E.Info.SCM-2.NetworkInterface.Protocol]：已实施的所有通信协议和已实施的运行模式、协议版本，以及（如适用）用于实施的SW库。
[E.Info.SCM-2.SCM]：描述SCM-1要求的安全通信机制，该机制旨在保护[E.Info.SCM-2.NetworkAsset]中记录的通信网络资产或[E.Info.SCM-2.SecurityAsset]中记录的安全资产的完整性和真实性，包括：
— [E.Info.SCM-2.SCM.Capabilities]：描述安全机制和加密模式，二者在通过网络接口安全进行通信时，被用于保护记录在[E.Info.SCM-2.SecurityAsset]中的安全资产或记录在[E.Info.SCM-2.NetworkAsset]中的网络资产的完整性和真实性，以及
— (如果SCM基于[IC.SCM-2.ManufSecret]实施）[E.Info.SCM-2.SCM.ManufSecret]：描述如何实现完整性和真实性保护的初始信任，以及如何在[E.Info.SCM-2.NetworkInterface.Protocol]中记录的协议中实施；以及
— (如果SCM基于[IC.SCM-2.SecChanExchange]实施）[E.Info.SCM-2.SCM.SecChanExchange]：描述如何实现第二信道，以及如何将秘密用于完整性和真实性保护，以及如何在[E.Info.SCM-2.NetworkInterface.Protocol]中记录的协议中实施；以及
— (如果SCM基于[IC.SCM-2.PKI-based]实施）[E.Info.SCM-2.SCM.PKI-based]：说明如何验证PKI证书，以及如何在[E.Info.SCM-2.NetworkInterface.Protocol]中记录的协议中实施对完整性和真实性的保护；以及
— (如果SCM基于[IC.SCM-2.ThirdPartyTrust]实施）[E.Info.SCM-2.SCM.ThirdPartyTrust]：描述如何实现与第三方的现有信任关系，该信任关系能够确认秘密的真实性，以及如何在[E.Info.SCM-2.NetworkInterface.Protocol]中记录的协议中实施对完整性和真实性的保护；以及
— (如果SCM基于[IC.SCM-2.Generic]实施）[E.Info.SCM-2.SCM.Generic]：描述如何在[E.Info.SCM-2.NetworkInterface.Protocol]中记录的协议中实现对完整性和真实性的保护；以及
— (如果有）[E.Info.SCM-2.SCM.ImplDetail]：参考版本化的标准或规范（已定义实施类别），以及（如适用）用于实施的SW库；以及
FprEN 18031-1:2024 (E)
93
— [E.Info.SCM-2.SCM.CCK]：描述用于完整性和真实性保护的保密加密密钥的属性（见CRY-1）；以及
— [E.Info.SCM-2.SCM.ThreatProtection]：描述机制如何防范以下安全威胁：
o 欺骗；以及
o 篡改。
[E.Info.DT.SCM-2]：说明图18中记录在[E.Info.SCM-2.SCM]中的每种安全通信机制选择的决策树路径。
注3：由于安全资产或网络资产的分类以及[E.Info.SCM-2.SCM]中记录的设备状态，可能需要记录多个有效路径。
[E.Just.DT.SCM-2]：通过[E.Info.DT.SCM-2]中记录的决策树选择路径的依据，并具有以下属性：
— 决定[DT.SCM-2.DN-1]的理由主要是基于[E.Info.SCM-2.SecurityAsset.Com]、[E.Info.SCM-2.NetworkAsset.Com]、[E.Info.SCM-2.SCM.ThreatProtection]和[E.Info.SCM-2.SCM.Capabilities]；以及
— (如果决定[DT.SCM-2.DN-2]的结果为“NA”）[DT.SCM-2.DN-2]决定的理由主要是基于[E.Info.SCM-2.SecurityAsset.Com]、[E.Info.SCM-2.PrivacyAsset.Com]和[E.Info.SCM-2.SCM.Capabilities]。
6.5.2.4.4 概念评估
6.5.2.4.4.1 评估目的
本评估案例为概念性评估，的目是评估设备的每个安全通信机制是否按照SCM-2的要求保护安全资产和网络资产的完整性和真实性。
6.5.2.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
94
6.5.2.4.4.3 评估单元
图18-SCM-2要求的决策树
对于[E.Info.SCM-2.SCM]中记录的每种安全通信机制和每种设备状态，评估通过[E.Info.DT.SCM-2]中记录的决策树的路径是否以“PASS”结束。
对于[E.Info.DT.SCM-2]中记录的通过决策树的每条路径，评估[E.Just.DT.SCM-2]中记录的相关理由。
6.5.2.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“通过”：
— 在[E.Info.DT.SCM-2]中记录的决策树中，至少有一条路径以“PASS”结束；以及
— 在[E.Info.DT.SCM-2]中记录的决策树中，没有以“FAIL”结尾的路径；以及
— E.Just.DT.SCM-2]中提供的信息是通过[E.Info.DT.SCM-2]中记录的决策树的所有路径的正确依据。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.SCM-2]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.SCM-2]中记录的决策树路径，[E.Just.DT.SCM-2]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
95
6.5.2.4.5 功能完整性评估
安全通信机制适用性的功能充分性评估涵盖了功能完整性评估。
因此，没有必要进行功能完整性评估。
6.5.2.4.6 功能充分性评估
6.5.2.4.6.1 评估目的
本评估案例为功能性评估，的目是评估所通信的安全资产和网络资产是否受到保护以防止未被察觉的篡改。
6.5.2.4.6.2 先决条件
设备处于运行状态。
6.5.2.4.6.3 评估单元
对于[E.Info.SCM-2.SecurityAsset]中记录的每个安全资产和[E.Info.SCM-2.NetworkAsset]中记录的网络资产，使用最新的评估方法，考虑记录的设备状态，在功能上确认通信机制根据[E.Info.SCM-2.SCM]确保对完整性和真实性进行了保护。应用记录的实施类别包括：
[AU.SCM-2.ManufSecret]：对于[IC.SCM-2.ManufSecret]，按照[E.Info.SCM-2.SCM.ManufSecret]中的记录，在功能上确认：
— 当设备通过网络通信时，生产过程中产生的秘密不能被截获；以及
— 被篡改的信息不被视为具有完整性；以及
— 未经授权的电文不被视为真实电文；以及
— 如果使用基于信道的通信，MitM攻击就无法成功。
[AU.SCM-2.SecChanExchange]：对于[IC.SCM-2.SecChanExchange]，按照[E.Info.SCM-2.SCM.SecChanExchange]中的记录，在功能上确认：
— 秘密无法通过已经过评估的通信机制被截获；以及
— 被篡改的信息不被视为具有完整性；以及
— 未经授权的电文不被视为真实电文；以及
— 如果使用基于信道的通信， MitM攻击就无法成功。
[AU.SCM-2.PKI-based]：对于[IC.SCM-2. AU.SCM-2.PKI-based]，按照[E.Info.SCM-2.SCM. AU.SCM-2.PKI-based]中的记录，在功能上确认：
— 不接受伪造的证书；以及
— 被篡改的信息不被视为具有完整性；以及
— 未经授权的电文不被视为真实电文；以及
FprEN 18031-1:2024 (E)
96
— 如果使用基于信道的通信， MitM攻击就无法成功。
[AU.SCM-2.ThirdPartyTrust]：对于[IC.SCM-2.ThirdPartyTrust]，按照[E.Info.SCM-2.SCM.ThirdPartyTrust]中的记录，在功能上确认：
— 第三方响应无法被操纵；以及
— 被篡改的信息不被视为具有完整性；以及
— 未经授权的电文不会被视为真实电文；以及
— 如果使用基于信道的通信， MitM攻击无法成功。
[AU.SCM-2.Generic]：对于[IC.SCM-2.Generic]，根据[E.Info.SCM-2.SCM.Generic]中的记录，从功能上确认：
— 用于保护真实性和完整性的秘密不能被截获和滥用；以及
— 被篡改的信息不被视为具有完整性；以及
— 未经授权的电文不被视为真实电文；以及
— 如果使用基于信道的通信， MitM攻击无法成功。
6.5.2.4.6.4 做出判决
如果[E.Info.SCM-2.SCM]中记录的每种安全通信机制在与实施类别相关的评估单元中的确认都是成功的，则评估案例的判定结果为“PASS”。
如果[E.Info.SCM-2.SCM]中记录的某个安全通信机制在与实施类别相关的评估单元中的确认不成功，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.5.3 [SCM-3]为安全通信机制提供适当的保密保护
6.5.3.1 要求
根据SCM-1要求的每个安全通信机制应采用最佳实践，以保护需要保密保护的通信网络资产和安全资产的保密性，但以下情况除外：
— 出于互操作性考虑，需要偏离保护保密性的最佳实践。
6.5.3.2 理由
在通信过程中，安全资产和网络资产通常需要防止被窃听。攻击者一旦进入设备通信的网络，安全资产或网络资产就有可能被监控。设备需要通过提供保密性来确保通信免受这些攻击。
FprEN 18031-1:2024 (E)
97
6.5.3.3 指引
在安全通信方面，“最佳实践”是指使用经批准的协议和相应的配置（特别是综合加密技术，见CRY-1），并定期审查协议的执行情况，以防出现漏洞（见GEC-1）。
有多种安全机制可用于确保通信的保密性（另见CRY-1）。应采用最佳实践配置来保护通信不被窃听。这通常是通过对称加密方案实现的。这些方案可应用于通信信道或用于“端到端”保护。建议在通信实体之间默认提供保密性，并使用最佳实践加密技术。如果有必要偏离最佳实践（例如，由于互操作性原因），则应评估“最佳实践安全”所带来的风险。在不同的通信使用情况下，为实现设备的预期功能而采取的适当措施可能有所不同。
只有在预期设备功能范围内，出于互操作性的原因，才有可能偏离最佳实践。在这种情况下，需要考虑采取补偿性的逻辑或物理措施，以确保安全水平相当。
如果需要长期保持保密性，建议使用加密技术和加密协议最佳实践，对网络资产和通信安全资产实施完美的前向保密。
用于保护通信数据保密性的加密方案在CRY-1要求中确定。
注：验证加密(AE)可用于在一个加密方案中确保数据的保密性和真实性。这些方案也可用于满足SCM-2中的要求。
6.5.3.4 评估标准
6.5.3.4.1 评估目标
本评估针对要求SCM-3。
6.5.3.4.2 实施类别
[IC.SCM-3.MessageEnc]：发送实体和接收实体已经通过信任关系交换了一个秘密，这为加密奠定了基础。其方法是每条信息都封装内容加密密钥，用于解密信息的有效载荷。该密钥与现有秘密进行对称或不对称加密。经授权的接收实体只有在持有解密内容加密密钥的秘密时，才能解密有效载荷。
[IC.SCM-3.ChannelEnc]：发送实体和接收实体已经通过信任关系交换了秘密，这为加密奠定了基础。方法是设备和接收实体拥有相同的对称密钥，用于解密和加密通信信息的有效载荷。
[IC.SCM-3. Generic]：确保通信网络资产和安全资产保密性的方法并不完全依赖于本节上述的任何一种方法。
6.5.3.4.3 所需信息
[E.Info.SCM-3.SecurityAsset]：描述通过记录在[E.Info.SCM-3.NetworkInterface]中的网络接口进行通信的每种存储的安全资产，需要确保其保密性才能够保护设备的网络资产的安全，包括：
FprEN 18031-1:2024 (E)
98
— [E.Info.SCM-3.SecurityAsset.Com]：描述用例，其资产通过记录在[E.Info.SCM-3.NetworkInterface]中的网络接口进行通信（例如与基站配对）。
注1：[E.Info.SCM-3.SecurityAsset]的信息是[E.Info.SCM-1.SecurityAsset]的子集。
[E.Info.SCM-3.NetworkAsset]：描述通过网络接口进行通信且需要保密的所有网络资产，包括：
— [E.Info.SCM-3.NetworkAsset.Com]：描述用例，其资产通过[E.Info.SCM-3.NetworkInterface]中记录的网络接口进行通信（例如与基站配对）。
注2：[E.Info.SCM-3.NetworkAsset]的信息是[E.Info.SCM-1.NetworkAsset]的子集。
[E.Info.SCM-3.NetworkInterface]：设备所有网络接口的描述，包括：
— [E.Info.SCM-3.NetworkInterface.Protocol]：已实施的所有通信协议和已实施的操作模式、协议版本，以及（如适用）用于实施的SW库。
[E.Info.SCM-3.SCM]：描述SCM-1要求的每一个安全通信机制，它们为[E.Info.SCM-3.NetworkAsset]中记录的网络资产或[E.Info.SCM-3.SecurityAsset]中记录的安全资产的保密性提供保护，包括：
— [E.Info.SCM-3.SCM.Capabilities]：描述在通过网络接口通信时，用于保护[E.Info.SCM-3.SecurityAsset]中记录的安全资产或[E.Info.SCM-3.NetworkAsset]中记录的网络资产保密性的安全机制和加密模式；以及
— (如果SCM基于[IC.SCM-3.MessageEnc]实施）[E.Info.SCM-3.MessageEnc]：描述内容加密密钥时如何生成以及加密以实现保密保护的，以及如何在[E.Info.SCM-3.NetworkInterface.Protocol]中记录的协议中实施的；以及
— (如果SCM基于[IC.SCM-3.ChannelEnc]实施）[E.Info.SCM-3.ChannelEnc]：描述如何生成会话密钥并且被用于保密保护，以及如何在[E.Info.SCM-3.NetworkInterface.Protocol]中记录的协议中实施；以及
— (如果SCM基于[IC.SCM-3.Generic]实施）[E.Info.SCM-3.Generic]：描述如何在[E.Info.SCM-3.NetworkInterface.Protocol]中记录的协议中实现保密保护；以及
— (如有）[E.Info.SCM-3.SCM.ImplDetail]：参考定义了所选实施类别的版本化标准或规范，以及（如适用）用于实施的SW库；以及
— [E.Info.SCM-3.SCM.CCK]：用于保密保护的保密加密密钥的属性（见CRY-1）；以及
— [E.Info.SCM-3.SCM.ThreatProtection]：该机制如何至少防范以下安全威胁：
o 信息披露；以及
FprEN 18031-1:2024 (E)
99
o 提升特权
[E.Info.DT.SCM-3]：为记录在[E.Info.SCM-3.SCM]中的每种安全通信机制通过图19中的决策树所选路径的描述。
注3：由于安全资产或网络资产的分类以及[E.Info.SCM-3.SCM]中记录的设备状态，可能需要记录多个有效路径。
[E.Just.DT.SCM-3]：通过[E.Info.DT.SCM-3]中记录的决策树选择路径的依据，并具有以下属性：
— 决定[DT.SCM-3.DN-1]的理由主要基于[E.Info.SCM-3.SecurityAsset.Com]、[E.Info.SCM-3.NetworkAsset.Com]、[E.Info.SCM-3.SCM.ThreatProtection]和[E.Info.SCM-3.SCM.Capabilities]；以及
— (如果决定[DT.SCM-3.DN-2]的结果为“NA”）[DT.SCM-3.DN-2]决定的理由主要基于[E.Info.SCM-3.SecurityAsset.Com]、[E.Info.SCM-3.NetworkAsset.Com]和[E.Info.SCM-3.SCM.Capabilities]。
6.5.3.4.4 概念评估
6.5.3.4.4.1 评估目的
本评估案例为概念性评估，旨在评估设备的每种安全通信机制在按照SCM-3的要求进行通信时，是否保护了网络资产（记录在[E.Info.SCM-3.NetworkAsset]中）和安全资产（记录在[E.Info.SCM-3.SecurityAsset]中）的保密性。
6.5.3.4.4.2 先决条件
无。
6.5.3.4.4.3 评估单元
图 191-SCM-3要求的决策树
FprEN 18031-1:2024 (E)
100
对于[E.Info.SCM-3.SCM]中记录的每种安全通信机制和记录的每种设备状态，评估通过[E.Info.DT.SCM-3]中记录的决策树的路径是否以“PASS”结束。
对于[E.Info.DT.SCM-3]中记录的决策树中的每条路径，评估[E.Just.DT.SCM-3]中记录的相关理由。
6.5.3.4.4.4 做出判决
如果出现以下情况，则判定该评估案例“通过”：
— 在[E.Info.DT.SCM-3]中记录的决策树中，至少有一条路径以“通过”结束；以及
— 在[E.Info.DT.SCM-3]中记录的决策树中，没有以“FAIL”结尾的路径；以及
— E.Just.DT.SCM-3]中提供的信息是通过[E.Info.DT.SCM-3]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.SCM-3]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.SCM-3]中记录的决策树路径，[E.Just.DT.SCM-3]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.5.3.4.5 功能完整性评估
安全通信机制适用性的功能充分性评估涵盖了功能完整性评估。
因此，没有必要进行功能完整性评估。
6.5.3.4.6 功能充分性评估
6.5.3.4.6.1 评估目的
本评估案例为功能性评估，的目为评估所通信的安全资产或网络资产是否能不受到窃听的威胁。
6.5.3.4.6.2 先决条件
设备处于运行状态。
6.5.3.4.6.3 评估单元
对于[E.Info.SCM-3.SecurityAsset]中记录的每个安全资产和[E.Info.SCM-3.NetworkAsset]中记录的每个网络资产，在设备和授权通信端点之间执行合法通信。根据[E.Info.SCM-3.SCM]，考虑到记录的设备状态，采用最新的评估方法在功能上确认通信机制确保了保密性保护，并应用记录的实施类别：
[AU.SCM-3.MessageEnc]：对于[IC.SCM-3.MessageEnc]，根据[E.Info.SCM-3.MessageEnc]中的记录，在功能上确认：
— 不能泄露信息中用于加密有效载荷的密钥；以及
FprEN 18031-1:2024 (E)
101
— 通信安全资产和网络资产无法被窃听。
[AU.SCM-3.ChannelEnc]：对于[IC.SCM-3.ChannelEnc]，根据[E.Info.SCM-3.ChannelEnc]的记录，在功能上确认：
— 用于加密通信信道内信息的密钥不能被截获；以及
— 通信安全资产和网络资产无法被窃听。
[AU.SCM-3.Generic]：对于[IC.SCM-3.Generic]，根据[E.Info.SCM-3.Generic]的记录，从功能上确认：
— 用于加密信息的秘密不能被截获或窃听；以及
— 信息的加密内容不会被窃听或泄露。
6.5.3.4.6.4 做出判决
如果[E.Info.SCM-3.SCM]中记录的每种安全通信机制在与实施类别相关的评估单元中都确认成功，则评估案例的判定结果为“PASS”。
如果[E.Info.SCM-3.SCM]中记录的某个安全通信机制在与实施类别相关的评估单元中的确认不成功，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.5.4 [SCM-4]为安全通信机制提供适当的重放保护
6.5.4.1 要求
SCM-1要求的每个安全通信机制都应采用最佳实践，以保护通信的安全资产和网络资产免受重放攻击，但以下情况除外：
— 重复传输不会造成重放攻击的威胁；或
— 出于互操作性考虑，需要偏离重放保护的最佳实践。
6.5.4.2 理由
重放攻击是一种恶意重复有效数据传输的网络攻击形式。攻击者进入网络后，可能会记录下通信内容并原封不动地重放，从而对接收实体造成不良影响。如果身份验证被破坏或可以提交未经授权的控制指令，重放攻击尤其会构成威胁。
例如，如果在用户登录过程中，密码是加密传输的，但没有重放保护（特别是会话劫持保护），攻击者就有可能重放加密的登录通信部分，从而恶意获得授权以访问系统。会话劫持攻击包括利用网络会话控制机制，该机制通常由会话令牌管理。设备需要保护通信免受此类攻击。
在风险评估的基础上，可以确定不需要重放保护的用例，例如，当通信的数据不会导致接收实体的状态改变时。例如，从服务器检索X.509证书的请求可能不会造成重放攻击的风险。
FprEN 18031-1:2024 (E)
102
6.5.4.3 指引
重放攻击通常可以通过在通信会话的每个报文上标记一个会话ID和一个计数器来防止。会话ID可防止对整个通信的重放攻击，而计数器则可防止对通信会话中特定信息的重放。此外，还可以使用时间戳或一次性加密技术来防止重放攻击。不过，重放攻击保护的实施非常复杂。因此，首先需要考虑使用已提供重放攻击保护的认可协议。在采用最佳实践配置（另见CRY-1）时，可用于实施安全通信的认可协议示例如下：
— 传输层安全（TLS）
— 安全接壳（SSH）
— 互联网协议安全（IPsec）
6.5.4.4 评估标准
6.5.4.4.1 评估目标
该评估针对SCM-4的要求。
6.5.4.4.2 实施类别
[IC.SCM-4.SeqNumb]：发送实体和接收实体已经通过信任关系交换了一个秘密，该秘密为信息验证码奠定了基础，以确保通信的完整性。其方法是为每个传输的信息分配一个唯一的序列号。当收件人收到信息时，会评估序列号，以确保之前没有收到过该信息。如果该序列号已被看过，该信息就会作为重放攻击而被丢弃。
注1：为防止MitM攻击，可将序列号作为生成信息验证码(MAC)功能的输入，以确保序列号的真实性。
[IC.SCM-4.TimeStamp]：发送实体和接收实体已经通过信任关系交换了一个秘密，该秘密为信息验证码奠定了基础，以确保通信的完整性。方法是设备在信息中加入时间戳，以确保信息不会在以后的时间点被重放。收件人会评估时间戳，以确保信息不是在太久的过去或未来生成的。
注2：为防止MitM攻击，可将时间戳作为生成信息验证码(MAC)功能的输入，以确保时间戳的真实性。
[IC.SCM-4.OneTimeEncKey]：发送实体和接收实体已经通过信任关系交换了一个秘密，这为信息加密奠定了基础。方法是设备和接收方建立一个完全随机的会话密钥，这是一种只在一次交易中有效且不能重复使用的代码。
[IC.SCM-4.Generic]：避免所通信的网络资产和安全资产免受重放攻击的方法并不完全依赖于本节上述的任意一种方法。
6.5.4.4.3 所需信息
[E.Info.SCM-4.SecurityAsset]：描述通过记录在[E.Info.SCM-4.NetworkInterface]中的网络接口进行通信的每个存储的安全资产，它们需要重放保护，从而能够保护设备的网络资产，包括：
FprEN 18031-1:2024 (E)
103
— [E.Info.SCM-4.SecurityAsset.Com]：描述用例，其资产通过[E.Info.SCM-4.NetworkInterface]中记录的网络接口进行通信（如与基站配对）。
注1：[E.Info.SCM-4.SecurityAsset]的信息是[E.Info.SCM-1.SecurityAsset]的子集。
[E.Info.SCM-4.NetworkAsset]：描述通过[E.Info.SCM-4.NetworkInterface]中记录的网络接口进行通信并需要重放保护的每个网络资产，包括：
— [E.Info.SCM-4.NetworkAsset.Com]：描述用例，其资产通过[E.Info.SCM-4.NetworkInterface]中记录的网络接口进行通信（例如与基站配对）。
注2：[E.Info.SCM-4.NetworkAsset]的信息是[E.Info.SCM-1.NetworkAsset]的子集。
[E.Info.SCM-4.NetworkInterface]：描述设备的每个网络接口，包括：
— [E.Info.SCM-4.NetworkInterface.Protocol]：已实施的所有通信协议和已实施的运行模式、协议版本，以及（如适用）用于实施的SW库。
[E.Info.SCM-4.SCM]：描述SCM-1要求的每个安全通信机制，为[E.Info.SCM-4.NetworkAsset]中记录的网络资产或[E.Info.SCM-4.SecurityAsset]中记录的安全资产提供重放保护，包括：
— [E.Info.SCM-4.SCM.Capabilities]：描述安全机制和加密模式，它们被用于对抗通信过程（包括[E.Info.SCM-4.SecurityAsset]中记录的安全资产或[E.Info.SCM-4.NetworkAsset]中记录的网络资产）中出现的重放攻击；以及
— (如果SCM基于[IC.SCM-4.SeqNumb]实施）[E.Info.SCM-4.SCM.SeqNumb]：描述如何使用序列号并将其整合到用于重放保护的消息验证码中，以及如何在[E.Info.SCM-4.NetworkInterface.Protocol]中记录的协议中实施；以及
— (如果SCM基于[IC.SCM-4.TimeStamp]实施）[E.Info.SCM-4.SCM.TimeStamp]：描述如何使用时间戳并将其集成到用于重放保护的消息验证码中，以及如何在[E.Info.SCM-4.NetworkInterface.Protocol]中记录的协议中实施；以及
— (如果SCM基于[IC.SCM-4.OneTimeEncKey]实施）[E.Info.SCM-4.SCM.OneTimeEncKey]：描述一次性加密密钥如何生成和用于重放保护，以及如何在[E.Info.SCM-4.NetworkInterface.Protocol]中记录的协议中实施；以及
— (如果SCM基于[IC.SCM-4.Generic]实施）[E.Info.SCM-4.SCM.Generic]：描述如何在[E.Info.SCM-4.NetworkInterface.Protocol]中记录的协议中实现重放保护；以及
— (如果相关标准或规范中已经对所选实施类别进行了定义）[E.Info.SCM-4.SCM.ImplDetail]：参考对所选实施类别已经进行过定义的版本标准或规范，以及（如适用）用于实现的SW库；以及
FprEN 18031-1:2024 (E)
104
— [E.Info.SCM-4.SCM.Repudiation]：说明该机制如何至少能够防范“抵赖”安全威胁。
[E.Info.DT.SCM-4]：为记录在[E.Info.SCM-4.SCM]中的每种安全通信机制通过图20中的决策树所选路径的说明。
注3：由于安全资产或网络资产的分类以及[E.Info.SCM-4.SCM]中记录的设备状态，可能需要记录多个有效路径。
[E.Just.DT.SCM-4]：通过[E.Info.DT.SCM-4]中记录的决策树选择路径的依据，并具有以下属性：
— (如果[DT.SCM-4.DN-1]决策的结果为“NA”）作出[DT.SCM-4.DN-1]决定的依据基于[E.Info.SCM-4.SecurityAsset.Com]、[E.Info.SCM-4.NetworkAsset.Com]、[E.Info.SCM-4.SCM.Capabilities]和[E.Info.SCM-4.SCM.Repudiation]；并且
— (如果[DT.SCM-4.DN-3]决策的结果为“NA”）[DT.SCM-4.DN-3]决定的依据主要基于[E.Info.SCM-4.SecurityAsset.Com]、[E.Info.SCM-4.NetworkAsset.Com]和[E.Info.SCM-4.SCM.Capabilities]。
6.5.4.4.4 概念评估
6.5.4.4.4.1 评估目的
本评估案例为概念性评估，旨在评估设备的每种安全通信机制是否按照SCM-4的要求保护安全资产和网络资产的通信免受重放攻击。
6.5.4.4.4.2 先决条件
无。
6.5.4.4.4.3 评估单元
图202-SCM-4要求的决策树
FprEN 18031-1:2024 (E)
105
对于[E.Info.SCM-4.SCM]中的每种安全通信机制和记录的每种设备状态，评估通过[E.Info.DT.SCM-4]中记录的决策树的路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.SCM-4]中记录的决策树中的每条路径，评估[E.Just.DT.SCM-4]中记录的相关理由。
6.5.4.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 在[E.Info.DT.SCM-4]中记录的决策树中，至少有一条路径以“PASS”结束；以及
— 在[E.Info.DT.SCM-4]中记录的决策树中，没有以“FAIL”结尾的路径；以及
— [E.Just.DT.SCM-4]中提供的信息是[E.Info.DT.SCM-4]中记录的决策树中所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.SCM-4]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.SCM-4]中记录的决策树路径，[E.Just.DT.SCM-4]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.5.4.4.5 功能完整性评估
安全通信机制适用性的功能充分性评估涵盖了功能完整性评估。
因此，没有必要进行功能完整性评估。
6.5.4.4.6 功能充分性评估
6.5.4.4.6.1 评估目的
本评估案例为功能性评估，的目为评估所通信的安全资产和网络资产是否能抵御重放攻击。
6.5.4.4.6.2 先决条件
设备处于运行状态。
6.5.4.4.6.3 评估单元
针对[E.Info.SCM-4.SecurityAsset]中记录的每个安全资产和[E.Info.SCM-4.NetworkAsset]中记录的每个网络资产，在设备和授权通信端点之间执行合法通信。记录通信序列。根据[E.Info.SCM-4.SCM]，考虑到记录的设备状态，使用最新的评估方法从功能上确认通信机制提供了重放保护，并应用记录的实施类别：
[AU.SCM-4.SeqNumb]：对于[IC.SCM-4.SeqNumb]，根据[E.Info.SCM-4.SCM.SeqNumb]的记录，在功能上确认：
FprEN 18031-1:2024 (E)
106
— 不接受带有重复序列号的传入信息（安全资产和网络资产通信的一部分）。
[AU.SCM-4.TimeStamp]：对于[IC.SCM-4.TimeStamp]，根据[E.Info.SCM-4.SCM.TimeStamp]的记录，在功能上确认：
— 不接受带有不规则时间戳的传入信息（安全资产和网络资产通信的一部分）。
[AU.SCM-4.OneTimeEncKey]：对于[IC.SCM-4.OneTimeEncKey]，根据[E.Info.SCM-4.SCM.OneTimeEncKey]的记录，在功能上确认：
— 加密密钥不能被截获；以及
— 不再接受已接受信息（安全资产和网络资产通信的一部分）的副本（二进制副本）。
[AU.SCM-4.Generic]：对于[IC.SCM-4.Generic]，根据[E.Info.SCM-4.SCM.Generic]的记录，从功能上确认：
— 不再接受已接受信息（安全资产和网络资产通信的一部分）的副本（二进制副本）。
6.5.4.4.6.4 做出判决
如果[E.Info.SCM-4.SCM]中记录的每种安全通信机制都有相应的方法来保证安全资产和网络资产通信的重放保护，且实施类别相关评估单元中的确认都成功，则评估案例的判定结果为“PASS”。
如果[E.Info.SCM-4.SCM]中记录的任何安全通信机制与确保安全资产和网络资产通信重放保护的相应方法在实施类别相关评估单元中的确认不成功，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.6[RLM]韧性机制
6.6.1 [RLM-1]韧性机制的适用性和适当性
6.6.1.1 要求
设备应使用韧性机制来减轻拒绝服务(DoS)攻击对网络接口的影响，并在攻击后恢复到规定的状态，但以下情况除外：
— 仅在本地网络中使用且不能与其他网络互操作的网络接口；或
— 在网络中的其他设备提供足够保护的网络接口上，这些保护能够防止DoS攻击和网络运行基本功能的损失。
6.6.1.2 理由
拒绝服务攻击会破坏网络资源的可用性，如果受攻击设备不能从DoS攻击中正常恢复，可能会导致网络运行永久中断。
FprEN 18031-1:2024 (E)
107
参与联网功能的设备（如网状网络节点）需要能够从DoS攻击中恢复，以继续支持联网功能。
一些工业设备需要非常高的可用性才能持续运行。速率限制等机制可限制对关键功能的授权访问。因此，工业设备的韧性机制可以在设备的环境中实施，而不是嵌入设备本身，以避免对设备的连续运行造成影响。
6.6.1.3 指引
为减少此类攻击对网络接口的影响，设备的设计应能采用减少此类攻击对网络服务和资源影响的功能。
这意味着当网络接口受到拒绝服务攻击时，设备在设计上可以在攻击后恢复到规定的状态。规定状态由设备制造商根据设备的预期功能进行指定，并可包括韧性机制，使设备在一个或多个网络接口受到拒绝服务攻击时仍能保持基本功能。
设备在攻击期间进入规定的状态，并在攻击结束后恢复到规定的运行状态。这样做的目的是确保设备在网络接口受到攻击时仍能继续工作。根据设备的预期功能，可能适用的韧性机制包括：
— 网络风暴保护
— 网络数据包过滤机制
— 网络流量速率限制技术
— 涉及保留设备内部资源的战略（限制资源的使用和防止资源耗尽）
所选的韧性机制不能干扰预期的设备功能，或损害制造商记录的重要和基本功能的可用性。
6.6.1.4 评估标准
6.6.1.4.1 评估目标
该评估针对RLM-1的要求。
6.6.1.4.2 实施类别
不适用。
6.6.1.4.3 所需信息
(如果设备通过网络接口与网络通信）[E.Info.RLM-1.NetworkInterface]：对每个网络接口进行说明。
(如果设备提供用于减轻DoS攻击对网络接口影响的韧性机制）[E.Info.RLM-1.RLM]：对用于缓解DoS攻击对网络接口的影响并在攻击后将设备恢复到规定状态的每种韧性机制进行说明。
FprEN 18031-1:2024 (E)
108
[E.Info.DT.RLM-1]：描述通过图21中的决策树为[E.Info.RLM-1.NetworkInterface]中记录的每个网络接口选择的路径。
[E.Just.DT.RLM-1]：通过[E.Info.DT.RLM-1]中记录的决策树选择路径的依据，包括基于[E.Info.RLM-1.NetworkInterface]和[E.Info.RLM-1.RLM]的[DT.RLM-1.DN-1]、[DT.RLM-1.DN-2]和[DT.RLM-1.DN-3]决策的依据。
6.6.1.4.4 概念评估
6.6.1.4.4.1 评估目的
本评估案例为概念性评估，旨在评估是否按照RLM-1的要求实施了韧性机制。
6.6.1.4.4.2 先决条件
无。
6.6.1.4.4.3 评估单元
图213-RLM-1要求的决策树
对于[E.Info.RLM-1.NetworkInterface]中记录的每个网络接口，评估[E.Info.DT.RLM-1]中记录的决策树的路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.RLM-1]中记录的决策树中的每条路径，评估[E.Just.DT.RLM-1]中记录的相关理由。
6.6.1.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
FprEN 18031-1:2024 (E)
109
— [E.Info.DT.RLM-1]中记录的决策树中至少有一条路径以“PASS”结束；以及
— 在[E.Info.DT.RLM-1]中记录的决策树中，没有以“FAIL”结尾的路径；以及
— E.Just.DT.RLM-1]中提供的信息是通过[E.Info.DT.RLM-1]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估个案为”FAIL”：
— [E.Info.DT.RLM-1]中记录的决策树路径以"FAIL"结尾；或
— 对于[E.Info.DT.RLM-1]中记录的决策树路径，[E.Just.DT.RLM-1]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.6.1.4.5 功能完整性评估
6.6.1.4.5.1评估目的
本评估案例为功能性验证，的目在于验证所实施的韧性机制是否能缓解DoS攻击对网络接口的影响，以及设备是否能在针对网络接口文档的完整性和实施正确性的攻击后恢复到规定状态。
6.6.1.4.5.2 先决条件
设备处于运行状态，[E.Info.RLM-1.NetworkInterface]中记录的每个网络接口都需要启用或配置，以便对它们进行测试。
在使用[E.Info.RLM-1.RLM]的情况下，应提供文档，说明应配置哪些信息/RLM的必要配置，以便能够测试已实施的机制。
6.6.1.4.5.3 评估单元
从功能上评估是否存在[E.Info.RLM-1.NetworkInterface]中未列出的网络接口。
从功能上评估是否实施了[E.Info.RLM-1.RLM]中未记载的韧性机制。
6.6.1.4.5.4 做出判决
如果发现的所有网络接口都记录在[E.Info.RLM-1.NetworkInterface]中，并且发现的所有韧性机制都记录在[E.Info.RLM-1.RLM]中，则评估结果为“PASS”。
如果发现未在[E.Info.RLM-1.NetworkInterface]中记录的网络接口，或发现未在[E.Info.RLM-1.RLM]中记录的韧性机制，则对评估案例做出“FAIL”判决。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
110
6.6.1.4.6 功能充分性评估
6.6.1.4.6.1 评估目的
本评估案例为功能性评估，的目是评估韧性机制是否按照RLM-1的要求实施。
6.6.1.4.6.2 先决条件
设备处于运行状态，每个[E.Info.RLM-1.NetworkInterface]要么已启用，要么已配置。
在使用[E.Info.RLM-1.RLM]的情况下，将提供有关如何配置才能测试已实施机制的信息。
6.6.1.4.6.3 评估单元
从功能上确认记录在[E.Info.RLM-1.RLM]中并在[E.Just.DT.RLM-1]依据中应用的韧性机制的使用。
从功能上评估韧性机制是否能缓解DoS攻击对网络接口的影响，以及设备是否能在受到攻击后恢复到规定的状态，同时考虑到设备的预期功能及其预期的使用运行环境。
测试中可使用商业工具。测试工具的目的是确定设备在网络接口受到模拟DoS攻击时，是否能在模拟攻击场景后恢复到规定的状态。测试工具举例如下：
— 网络扫描工具
— 泛滥测试工具
— 应用扫描工具来发现可访问的服务
— 以及适当的模糊工具，如：
o 协议模糊工具
o 应用程序模糊工具
6.6.1.4.6.4 做出判决
如果没有证据表明未实施[E.Info.RLM-1.RLM]中记录的韧性机制，则判定评估案例为“PASS”。
如果有证据表明未实施[E.Info.RLM-1.RLM]中记录的韧性机制，则判定评估案例为“FAIL”。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
111
6.7[NMM]网络监控机制
6.7.1 [NMM-1]网络监控机制的适用性和适当性
6.7.1.1 要求
如果设备是网络设备，则应提供网络监控机制，以检测其处理的网络之间的网络流量中是否存在DoS攻击迹象。
6.7.1.2 理由
提高整个系统的网络韧性，以抵御可能导致拒绝服务（DoS）的与设备预期功能相关的异常网络流量。作为此类系统组成部分的每个网络设备都必须能够检测到此类DoS事件的影响。这就要求设备能够检测到可能与DoS攻击有关的异常流量和模式。
6.7.1.3 指引
需要考虑的异常流量是可能导致部分或全部拒绝网络服务的网络数据报。
DoS事件的起因可能是任意网络资源的无意故障，也可能是有意攻击。
通常，执行这一要求的网络设备不会成为DoS攻击的目标。它可能会直接或间接地向目标路由或转发流量。
对DoS事件的检测可以基于行为或模式，无论哪种方法都可能适用于设备、设备预期功能和预期使用操作环境。
为监控可能发生的DoS攻击而采取的网络流量监控措施举例如下：
— 监控规定时间内的数据报数量
— 监控是否有数据报发自设备上未配置的网络，或其目标网络在网络设备配置的网络之外、
— 监控畸形和修改过的数据报。
6.7.1.4 评估标准
6.7.1.4.1 评估目标
评估针对NMM-1的要求。
6.7.1.4.2 实施类别
[IC.NMM-1.GTPFiltering]：网络监控机制基于对GPRS隧道协议信息的监控和过滤。
[IC.NMM-1.IPPacketFiltering]：网络监控机制基于对特定互联网协议数据包（如ICMP或ARP）信息的检测，以及对其滥用以实施DoS攻击的检测。网络设备还应可限制与此类互联网协议数据包相关的功能，以缓解DoS攻击。
FprEN 18031-1:2024 (E)
112
[IC.NMM-1.Generic]：网络监控机制不同于[IC.NMM-1.GTPFiltering]或[IC.NMM-1.IPPacketFiltering]。
注：某些网络设备可能同时支持[IC.NMM-1.GTPFiltering]和[IC.NMM-1.IPPacketFiltering]。
6.7.1.4.3 所需信息
如果设备是网络设备：
— [E.Info.NMM-1.NMM]：描述所实施的监控机制，以监控和分析通过网络设备的网络接口处理的不同网络之间的流量，包括：
o (如果NMM基于[IC.NMM-1.GTPFiltering]实施)[E.Info.NMM-1.NMM.GTPFiltering]：说明如何根据GPRS隧道协议信息的监控和过滤实施网络监控机制；以及
o (如果NMM基于[IC.NMM-1.IPPacketFiltering]实施）[E.Info.NMM-1.NMM.PacketFiltering]：说明如何根据对特定互联网协议数据包（如ICMP或ARP）信息的检测实施网络监控机制，以及如何滥用这些信息以实施DoS攻击；以及
o [E.Info.NMM-1.NMM.NetworkEquipment]：关于网络设备在各个网络之间处理、控制或提供服务的安全资产和网络资产风险的文件化的分析、原理和依据。该分析与网络设备在设备预期功能和预期使用操作环境下处理网络间通信的协议类型有关。
[E.Info.DT.NMM-1]：说明通过图22中的决策树为记录在[E.Info.NMM-1.NMM]中的每种网络监控机制选择的路径。该文件需解释为何根据[E.Info.NMM-1.NMM.NetworkEquipment]的内容做出该决策。
[E.Just.DT.NMM-1]：通过[E.Info.DT.NMM-1]中记录的决策树选择路径的理由，并具有以下属性：
— (如果[DT.NMM-1.DN-1]决策的结果为“NA”）[DT.NMM-1.DN-1]决策的依据基于[E.Info.NMM-1.NMM.NetworkEquipment]。
— [DT.NMM-1.DN-2]决策的依据基于[E.Info.NMM-1.NMM]。
6.7.1.4.4 概念评估
6.7.1.4.4.1 评估目的
本评估案例为概念性评估，旨在评估网络设备是否按照NMM-1的要求实施了网络监控机制。
6.7.1.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
113
6.7.1.4.4.3 评估单元
图22-NMM-1要求的决策树
对于[E.Info.DT.NMM-1]中记录的决策树中的每条路径，检查[E.Just.DT.NMM-1]中记录的理由。
检查[E.Info.DT.NMM-1]中记录的决策树路径是否以“NA”或“PASS”结束。
6.7.1.4.4.4 做出判决
如果出现以下情况，则判定该评估案例“PASS”：
— [E.Info.DT.NMM-1]中记录的决策树中至少有一条路径以“PASS”结束；以及
— [E.Info.DT.NMM-1]中记录的决策树中没有以“FAIL”结束的路径；以及
— E.Just.DT.NMM-1]中提供的信息是通过[E.Info.DT.NMM-1]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.NMM-1]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.NMM-1]中记录的决策树路径，[E.Just.DT.NMM-1]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.7.1.4.5 功能完整性评估
由于网络监控机制对网络设备始终是强制性的，因此在本条款中没有必要进行功能完整性评估。
6.7.1.4.6 功能充分性评估
6.7.1.4.6.1 评估目的
本评估案例为功能性评估，的目是评估[E.Info.NMM-1.NMM]中描述的网络监控机制的适当性。该评估验证网络之间的流量（由网络设备控制或处理）是否受到监控及分析，以降低[E.Info.NMM-1.NMM.NetworkEquipment]中记录的网络中与安全资产和网络资产相关的风险。
FprEN 18031-1:2024 (E)
114
6.7.1.4.6.2 先决条件
设备处于运行状态，以及进行了与网络间流量有关的设置或配置（如可用）。
建立了网络间通信的物理网络连接。
6.7.1.4.6.3 评估单元
对于[E.Info.NMM-1.NMM]中记录的每种网络监控机制：
[AU.NMM-1.GTPFiltering]：当基于[IC.NMM-1.GTPFiltering]实施时，在功能上确认：
— GTP信息受到网络设备的监控；以及
— GTP消息发送者的授权受到网络设备的验证；以及
— 网络设备能够为不同的GTP消息定义和应用规则。
[AU.NMM-1.IPPacketFiltering]：当基于[IC.NMM-1.IPPacketFiltering]实施时，在功能上确认：
ICMP和ARP等互联网协议数据包受到网络设备的披露和监控；以及
— 检测到基于ICMP的模拟DoS攻击；以及
— 检测到基于ARP的模拟DoS攻击；以及
— 采取措施限制此类DoS攻击的影响。
[IC.NMM-1.Generic]：当基于[IC.NMM-1.Generic]实施时，在功能上确认：
评估网络设备处理、控制或服务的网络之间的流量。
— 使用[E.Info.NMM-1.NMM.NetworkEquipment]中的信息作为指引，评估网络设备处理的网络之间的流量，通过网络分析工具揭示处理的协议类型；以及
— 评估网络设备所处理的网络间通信中揭示的通信量和协议类型是否记录在[E.Info.NMM-1.NMM.NetworkEquipment]中，是否与网络设备处理、控制或服务的网络间安全资产和网络资产的风险有关。
以[E.Info.NMM-2.NMM]为指引，模拟[E.Info.NMM-1.NMM]中描述的条件来触发相关监控，例如，通过生成畸形信息或以极高频率发送信息（例如，通过模糊处理）。
1.NMM]作为指引。
使用网络设备手册或设计文档作为指引，评估[E.Info.NMM-1.NMM]中描述的行为或输出是否按文档生成。
6.7.1.4.6.4 做出判决
如果[E.Info.NMM-1.NMM]中记录的每种网络监控机制在与实施类别相关的评估单元中都确认成功，则评估案例的判定结果为“PASS”。
FprEN 18031-1:2024 (E)
115
如果[E.Info.NMM-1.NMM]中记录的某个网络监控机制在实施类别相关的评估单元中确认不成功，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.8[TCM]流量管制机制
6.8.1 [TCM-1]流量管制机制的适用性和适当性
6.8.1.1 要求
如果一个设备是网络设备，则应提供网络流量控制机制。
6.8.1.2 理由
恶意数据流量可能由被入侵的设备产生。虽然运营商的网络可以根据数据报的报头信息采取措施减轻恶意流量的影响，但他们对网络特性的了解可能会妨碍有效的处理。网络设备可以掌握足够的信息来检测恶意流量，而流量控制机制可以防止网络受到相应的危害。通过实施这些安全流量控制机制，网络设备可以对异常流量建立强大的防御，保护敏感数据，并通过其应用程序和网络保持设备预期功能的完整性和可用性。
6.8.1.3 指引
典型的设备包括将数据报和/或路由数据包转发到网络的家用路由器（将私有IP网络连接到互联网）或移动网络接入点（即基站）（使其他设备能够接入公共移动网络）。
根据网络地址控制网络层的数据流量，包括网络设备根据某些数据报的源地址或目标地址对其进行阻止或重定向的能力。
流量控制机制是指一整套可与政策和程序相结合的机制，目的在于监控、管理和确保数据流和通信流的安全。这些机制旨在保护关键服务的可用性和可靠性。
6.8.1.4 评估标准
6.8.1.4.1 评估目标
该评估针对TCM-1的要求。
6.8.1.4.2 实施类别
[IC.TCM-1.DatagramRules]：流量控制机制以监控IP数据报为基础，识别异常模式、恶意流量、源地址或目标地址等，并定义规则，如丢弃或阻止此类数据报。
[IC.TCM-1.TrafficSeparation]：流量控制机制基于不同网络域（如数据/转发平面、控制平面）流量的完全物理或逻辑分离。完全分离意味着不允许在不同网络域之间转发流量。
FprEN 18031-1:2024 (E)
116
[IC.TCM-1.Generic]：流量控制机制与[IC.TCM-1.DatagramRules]和[IC.TCM-1.TrafficSeparation]不同。
注：某些网络设备可能同时支持[IC.TCM-1.DatagramRules]和[IC.TCM-1.TrafficSeparation]。
6.8.1.4.3 所需信息
[E.Info.TCM-1.TCM]：网络设备实施的每种流量控制机制的描述，包括：
— (如果TCM基于[IC.TCM-1.DatagramRules]实施）[E.Info.TCM-1.TCM.DatagramRules]：描述如何根据对IP数据报的监控实施流量控制机制。
— (如果TCM基于[IC.TCM-1.TrafficSeparation]实施）[E.Info.TCM-1.TCM.TrafficSeparation]：描述如何根据属于不同网络域的流量的物理或逻辑分离实施流量控制机制。
— [E.Info.TCM-1.TCM.NetworkEquipment]：关于网络设备在网络间处理、控制或提供服务的安全资产和网络资产风险的记录分析、原理和理由。该分析与网络设备在设备预期功能和预期使用操作环境下处理网络间流量的协议类型有关。
[E.Info.DT.TCM-1]：通过图23中的决策树为[E.Info.TCM-1.TCM]中记录的每种流量控制机制选择路径的说明。该文件需要解释为何在考虑[E.Info.TCM-1.TCM.NetworkEquipment]的内容后做出该决策。
[E.Just.DT.TCM-1]：通过[E.Info.DT.TCM-1]中记录的决策树选择路径的依据，并具有以下属性：
— (如果[DT.TCM-1.DN-1]决策的结果为“NA”）[DT.TCM-1.DN-1]决策的依据基于[E.Info.TCM-1.TCM.NetworkEquipment]
— DT.TCM-1.DN-2]决策的依据基于[E.Info.TCM-1.TCM]
6.8.1.4.4 概念评估
6.8.1.4.4.1 评估目的
本评估案例为概念性评估，旨在评估网络设备是否按照TCM-1的要求实施了流量控制机制。
6.8.1.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
117
6.8.1.4.4.3 评估单元
图234-TCM-1要求的决策树
对于[E.Info.DT.TCM-1]中记录的决策树中的每条路径，评估[E.Just.DT.TCM-1]中记录的相关理由。
评估[E.Info.DT.TCM-1]中记录的决策树路径是否以“NA”或“PASS”结束。
6.8.1.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— [E.Info.DT.TCM-1]中记录的决策树中至少有一条路径以“PASS”结束；以及
— [E.Info.DT.TCM-1]中记录的决策树中没有以“FAIL”结束的路径；以及
— [E.Just.DT.TCM-1]中提供的信息是[E.Info.DT.TCM-1]中记录的决策树中所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.TCM-1]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.TCM-1]中记录的决策树路径，[E.Just.DT.TCM-1]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.8.1.4.5 功能完整性评估
由于流量控制机制对网络设备始终是强制性的，因此在本条款中无需进行功能完整性评估。
6.8.1.4.6 功能充分性评估
6.8.1.4.6.1 评估目的
本评估案例为功能性评估，的目为评估[E.Info.TCM-1.TCM]中描述的流量控制机制的适当性。该评估是为了验证网络设备转发到网络的流量是否受到控制，以避免损害到网络设备控制或服务的网络中的网络资产和安全资产。
FprEN 18031-1:2024 (E)
118
6.8.1.4.6.2 先决条件
设备处于运行状态，以及进行了与网络间流量有关的设置或配置（如可用）。
6.8.1.4.6.3 评估单元
对于[E.Info.TCM-1.TCM]中记录的每种流量控制机制：
[AU.TCM-1.DatagramRules]：如果基于[IC.TCM-1.DatagramRules] 实施，则在功能上确认：
— 数据报受到网络设备的监控；以及
— 检测并丢弃或阻止模拟的异常模式和恶意流量；以及
— 检测并丢弃或阻止未授权来源或地址目的地的数据报。
[AU.TCM-1.TrafficSeparation]：如果基于[IC.TCM-1.TrafficSeparation] 实施，从功能上确认：
— 对于每个不同的网络域，网络设备不允许在网络域之间进行流量转发。
[AU.TCM-1.Generic]：如果基于[IC.TCM-1.Generic] 实施，从功能上确认：
— 控制网络设备转发的流量，并按照[E.Info.TCM-1.TCM]中的描述进行控制。
6.8.1.4.6.4 做出判决
如果[E.Info.TCM-1.TCM]中记录的每个流量管制机制在实施类别相关的评估单元中都确认成功，则评估案例的判定结果为“PASS”。
如果[E.Info.TCM-1.TCM]中记录的某个流量管制机制在实施类别相关的评估单元中确认不成功，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.9 [CCK] 保密加密密钥
6.9.1 [CCK-1] 适当的CCK
6.9.1.1 要求
预装或在使用过程中由设备生成的保密加密密钥应支持最低112位的安全强度，但以下情况除外：
— 仅由特定安全机制使用的CCK，根据ACM或AUM或SCM或SUM或SSM章节的规定，确定了偏离并说明了偏离的理由。
FprEN 18031-1:2024 (E)
119
注1：保密加密密匙是一个定义术语。保密加密密钥的定义不包括其他秘密，如仅用于保护知识产权的秘密，其披露不能用于损害网络或其功能或导致网络资源滥用。
注2：该要求指的是设备制造商直接选择或由协议强加的所有保密加密密钥。例如，制造商直接选择/配置设备要使用的TLS协议密码套件，其他协议可能会对加密算法及它们的密钥施加单一选项。
6.9.1.2 理由
设备可以将密码学和CCK用于多种不同的目的，例如用于验证以执行对安全资产或网络资产的访问控制，用于保护安全资产或网络资产在静态或与其他实体通信时的保密性或完整性，或用于衍生其他CCK。如果CCK的保密性受到破坏，受CCK保护的安全资产和网络资产也会受到破坏。如果成功攻击用于加密保护的算法所生成的设备CCK不会影响该设备或其他设备使用或生成的其他CCK，并且使用该CCK的算法具有足够的安全强度，可抵御与其使用和目标相称的攻击，从而破坏其保密性，则该CCK是适当的。
6.9.1.3 指引
CCK支持的安全强度主要取决于3个参数：
— 用于生成CCK的RNG的熵值；以及
— 其有效长度（见BSITR-02102-1[19]）；以及
— 取决于与之配合使用的加密算法。
与CCK所需的安全强度有关的另一个重要方面是CCK的使用寿命。与通常在设备上生成并只在短时间内使用的短期CCK相比，需要长期存储并长期重复使用的长期CCK需要更长的时间来抵御攻击。例如，用于单次通信会话的会话密钥就是短期密钥的典型例子，它们被用于加密传输的安全资产或网络资产。不过，完美的前向保密性是会话密钥安全通常要考虑的一个方面，因此这些密钥通常是通过适当的加密机制生成/提取的，这样一来，历史会话的会话密钥就不会被泄露。
有关最佳实践的指引，请参阅CRY-1。
还需要考虑其他良好的安全做法。例如，良好的安全做法是只使用一个CCK。应特别注意不再使用的CCK，例如，应删除这些CCK。建议遵循公认的最佳实践，参见CRY-1要求。还建议不要复制相同的CCK并将其用于该设备的不同样本/单元。
在某些情况下，CCK最低安全强度小于112位也可以是合理的。例如，由人工生成的密码推导出的CCK可能无法提供112位的安全强度。密码密钥推导之所以在应用和协议中使用，是因为它们切实可行，并能为其用例提供足够的安全性。在某些情况下，出于互操作性的考虑，安全措施要求CCK提供小于112位的最低安全强度。这可能是由于需要“互操作性支持”（例如，见SCM-1）或需要使用不同于最佳实践的标准化的和广泛使用的通信协议。
FprEN 18031-1:2024 (E)
120
对于这种偏差，需要评估其对“网络资产和/或安全资产的保护”造成的风险。
6.9.1.4 评估标准
6.9.1.4.1 评估目标
该评估针对CCK-1的要求。
6.9.1.4.2 实施类别
不适用。
6.9.1.4.3 所需信息
[E.Info.CCK-1.CCK]：对于每个保密加密密钥（无论是预装的还是在使用过程中由设备生成的），说明：
— 保密加密密匙的加密算法和保密加密密钥实现的密钥长度；以及
— (如果保密加密密钥仅由特定安全机制使用，则根据第ACM或AUM或SCM或SUM或SSM章节的条款确定偏离并说明理由)[E.Info.CCK-1.CCK.Deviation]：参考相对应的理由和理由所依据的所需信息；以及
— [E.Info.CCK-1.CCK.SecurityStrength]：评估中使用的检索表的安全强度和参考。
注：例如，参考SOG-IS Crypto Evaluation Scheme Agreed Cryptographic Mechanisms[22]或NIST Special Publications 800-57[7]或800-131A[14]中的安全强度的定义。
[E.Info.DT.CCK-1]：说明通过图24中的决策树为[E.Info.CCK-1.CCK]中记录的每个保密加密密钥选择的路径。
[E.Just.DT.CCK-1]：[E.Info.DT.CCK-1]中记录的决策树中每条选定路径的依据，并具有以下属性：
— (如果[DT.CCK-1.DN-2]决策的结果为“NA”）[DT.CCK-1.DN-2]决策的依据基于[E.Info.CCK-1.CCK. Deviation]；以及
— [DT.CCK-1.DN-1]决策的依据基于[E.Info.CCK-1.CCK]和[E.Info.CCK-1.CCK.SecurityStrength]。
6.9.1.4.4 概念评估
6.9.1.4.4.1 评估目的
本评估案例为概念性评估，旨在评估保密加密密钥是否按照CCK-1的要求实施。
6.9.1.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
121
6.9.1.4.4.3 评估单元
图245-CCK-1要求的决策树
对于[E.Info.CCK-1.CCK]中记录的每个保密加密密钥，检查[E.Info.DT.CCK-1]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.CCK-1]中记录的通过决策树的每条路径，检查[E.Just.DT.CCK-1]中记录的相关理由。
6.9.1.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 在[E.Info.DT.CCK-1]中记录的决策树中，至少有一条路径以“PASS”结束；以及
— 在[E.Info.DT.CCK-1]中记录的决策树中，没有以“FAIL”结尾的路径；以及
— E.Just.DT.CCK-1]中提供的信息是通过[E.Info.DT.CCK-1]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.CCK-1]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.CCK-1]中记录的决策树路径，[E.Just.DT.CCK-1]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.9.1.4.5 功能完整性评估
6.9.1.4.5.1 评估目的
FprEN 18031-1:2024 (E)
122
本评估案例为功能性评估，的目为评估CCK文件是否完整。
6.9.1.4.5.2 先决条件
设备处于运行状态。
6.9.1.4.5.3 评估单元
从功能上评估设备是否预装或生成了[E.Info.CCK-1.CCK]中未记录的CCK。
6.9.1.4.5.4 做出判决
如果发现的所有CCK都记录在[E.Info.CCK-1.CCK]中，则判定评估案例为“PASS”。
如果发现了未在[E.Info.CCK-1.CCK]中记录的CCK，则会对评估案例做出“FAIL”的判定。
否则，将作出“NA”的判决。
6.9.1.4.6 功能充分性评估
6.9.1.4.6.1 评估目的
本评估案例为功能性评估，的目是评估记录在[E.Info.CCK-1.CCK]中的保密加密密钥是否按照记录实施。
注：对比特长度的评估只是一个必要条件，并不构成对安全强度功能充分性的完整评估。
6.9.1.4.6.2 先决条件
设备处于运行状态。
6.9.1.4.6.3 评估单元
对[E.Info.CCK-1.CCK]中记录的每个保密加密密钥，从功能上评估[E.Info.CCK-1.CCK]中记录的CCK长度是否按照[E.Info.CCK-1.CCK.SecurityStrength]实施。
6.9.1.4.6.4 做出判决
如果没有证据表明[E.Info.CCK-1.CCK]中记录的任何CCK长度与其所记录的不符，则判定评估案例为“PASS”。
如果有证据表明[E.Info.CCK-1.CCK]中记录的任意CCK长度与所记录的不符，则判定评估案例为“FAIL”。
否则，将作出“NA”的判决。
6.9.2 [CCK-2]CCK生成机制
6.9.2.1 要求
保密加密密钥的生成应遵循最佳加密实践，但以下情况除外：
— 根据ACM或AUM或SCM或SUM或SSM章节的规定，为特定安全机制生成CCK时出现偏离并说明原因
FprEN 18031-1:2024 (E)
123
注：保密加密密钥是一个定义术语。保密加密密钥的定义不包括其他秘密，如仅用于保护知识产权的秘密，其披露不能用于损害网络或其功能或造成网络资源的滥用。
6.9.2.2 理由
由设备生成并用于保护安全资产或网络资产的CCK需要适当生成，以防止利用安全强度不足的CCK的攻击得逞。适当的CCK生成机制可确保CCK拥有基于相关风险和设备运行条件的必要属性。
6.9.2.3 指引
CCK的安全强度在很大程度上取决于随机数源（熵的主要来源）、随机数生成器以及生成它的密钥生成/衍生算法。
与随机源、随机数生成器和密钥推导选择不当相关的风险会使CCK遭受以下攻击：
— 猜测CCK；或
— 暴力强行获取CCK；或
— 根据可获取的信息重建CCK。
因此，CCK生成机制必须不能生成安全强度不足的CCK。稳健的CCK生成机制依赖于安全的RNG，它能提供具有足够熵的随机数。创建安全稳健的CCK生成机制和基础RNG是一项非常复杂的任务。为此，强烈建议遵循公认的标准。
注1：密钥生成机制有各种公认的标准。例如，公认的随机数生成器最佳实践有NIST SP800-90A[10]、NIST SP800-90B[11]、NIST SP800-90C[12]、BSI AIS20[37]、BSI AIS31[18]、ISO/IEC18031[38]。
注2：SOG-IS Crypto Evaluation Scheme Agreed Cryptographic Mechanisms[22]中描述了一些公认的密钥生成最佳实践范例。还有其他选择：ISO/IEC 11770[26]、NIST SP800-108r1[13]、NIST SP800-132[15]。
6.9.2.4 评估标准
6.9.2.4.1 评估目标
该评估针对CCK-2的要求。
6.9.2.4.2 实施类别
不适用。
6.9.2.4.3 所需信息
[E.Info.CCK-2.生成]：描述保密加密密钥的每种生成机制，包括以下细节：
FprEN 18031-1:2024 (E)
124
— [E.Info.CCK-2.Generation.CCK]：说明该机制生成的保密加密密钥，以及其生成是否符合最佳加密实践；以及
— (如果CCK的生成机制依赖于随机数源，并用于生成符合最佳加密实践的保密加密密钥）：
o 说明随机数源遵循的最佳实践；以及
o 解释为什么随机数源提供了足够的安全强度；以及
o 解释如何配置和初始化随机数源；以及
o 如果声明CCK符合认可的安全标准或认证计划，须提供相关证据
— (如果CCK的生成机制依赖于随机数生成器，并用于生成符合最佳密码学实践的保密加密密钥）：
o 说明是确定性随机数生成器还是非确定性随机数生成器；以及
o 规定随机数生成器遵循的最佳实践；以及
o 说明为什么随机数生成器能提供足够的安全强度；以及
o 解释如何配置和初始化随机数生成器；以及
o 如果声明CCK符合认可的安全标准或认证计划，须提供相关证据；及
— (如果CCK的生成机制依赖于派生机制/建立机制，并用于生成符合最佳加密实践的保密密钥）：
o 说明衍生机制/建立机制所遵循的最佳实践；以及
o 说明为此使用的密钥派生/生成算法；以及
— (如果生成机制生成的保密加密密钥仅供特定安全机制使用，而偏离最佳加密实践的情况已根据ACM或AUM或SCM或SUM或SSM章节的条款确定并说明理由）[E.Info.CCK-2.Generation.Deviation]：
o 参考对应的理由和理由所依据的必要信息。
注：如果生成机制是由供应商提供的，制造商不一定能获得上述信息，因为供应商出于安全原因不会披露此类信息，但会提供使用生成机制所需的所有安全说明。
FprEN 18031-1:2024 (E)
125
[E.Info.DT.CCK-2]：通过图25中的决策树为[E.Info.CCK-2.Generation]中记录的保密加密密钥选定路径的描述。
[E.Just.DT.CCK-2]：通过[E.Info.DT.CCK-2]中记录的决策树选择路径的依据，并具有以下属性：
— (如果[DT.CCK-2.DN-1]决策的结果为“NA”）[DT.CCK-2.DN-1]决策的依据基于[E.Info.CCK-2.Generation.Deviation]；以及
— [DT.CCK-2.DN-2]决策的依据基于[E.Info.CCK-2.Generation]。
6.9.2.4.4 概念评估
6.9.2.4.4.1 评估目的
本评估案例为概念性评估，旨在评估[E.Info.CCK-2.Generation]中列出的所有保密加密密钥生成机制是否符合CCK-2的要求。
6.9.2.4.4.2 先决条件
无。
6.9.2.4.4.3 评估单元
图25-CCK-2要求的决策树
对于[E.Info.CCK-2.Generation]中记录的设备上保密加密密钥的每种生成机制，检查[E.Info.DT.CCK-2]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.CCK-2]中记录的通过决策树的每条路径，检查[E.Just.DT.CCK-2]中记录的相关理由。
FprEN 18031-1:2024 (E)
126
6.9.2.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 在[E.Info.DT.CCK-2]中记录的决策树中，至少有一条路径以“PASS”结束；以及
— 在[E.Info.DT.CCK-2]中记录的决策树中，没有以“FAIL”结尾的路径；以及
— [E.Just.DT.CCK-2]中提供的信息是通过[E.Info.DT.CCK-2]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— 通过决策树的路径以“FAIL”结尾；或
— 对于[E.Info.DT.CCK-2]中记录的决策树路径，[E.Just.DT.CCK-2]中提供的理由不正确或缺失。
否则，判决为“NA”。
6.9.2.4.5 文件概念完整性评估
6.9.2.4.5.1 评估目的
本评估案例为概念性评估，的目是评估设备上所有保密加密密钥的生成机制是否都记录在[E.Info.CCK-2.Generation]中。
6.9.2.4.5.2 先决条件
无。
6.9.2.4.5.3 评估单元
通过与[E.Info.CCK-1.CCK]的一致性评估，评估设备上是否存在未在[E.Info.CCK-2.Generation]中记录的保密加密密钥生成机制。
6.9.2.4.5.4 做出判决
如果没有证据表明存在[E.Info.CCK-2.Generation]中未记录的保密加密密钥生成机制，则判定评估案例为“PASS”。
如果有任何证据表明存在未在[E.Info.CCK-2.Generation]中记录的保密加密密钥生成机制，则对评估案例判定为“FAIL”。
否则，将作出“NA”的判决。
6.9.2.4.6 功能充分性评估
加密密钥生成机制的验证非常复杂，通常由具有丰富加密专业知识的第三方实施，而该第三方不太可能分享密钥生成过程的细节。考虑到这些因素，没有对这一要求进行功能充分性评估。
FprEN 18031-1:2024 (E)
127
6.9.3 [CCK-3] 防止预装CCK的静态默认值
6.9.3.1 要求
预装的保密加密密钥实际上对每台设备都是独一无二的，但以下情况除外：
— 仅用于在授权实体控制的条件下建立初始信任关系的CCK；或
— CCKS密钥是设备预期功能所需的共享参数。
注：保密加密密钥是一个定义术语。保密加密密钥的定义不包括其他秘密，如仅用于保护知识产权的秘密，其披露不能用于损害网络或其功能或造成网络资源的滥用。
6.9.3.2 理由
设备可以使用加密技术和CCK来保护设备上的安全资产和网络资产。CCK有时是预定义的，例如在制造过程中。用于上述目的的CCK必须适当，以防止基于强度不足的CCK的攻击得逞，尤其是在预装的情况下。
6.9.3.3 指引
CCK可在制造过程中预装在设备上。预装的CCK在每个设备实例中都是唯一的，可以抵御暴力攻击，从而降低与CCK的特定使用相关的网络安全风险。
唯一性是指同一产品类型的其他设备不能系统地重复使用或推断，也不能轻易从设备属性（如制造商名称、型号名称或介质访问控制(MAC)地址）中推导出来。已建立的随机发生器可用于生成实际上唯一的加密密钥。
在某些情况下，密钥仅用于在授权实体控制的条件下建立初始信任关系，或者作为共享参数的密钥对设备的运行至关重要，例如网络设备的软件更新或配置迁移。在这种情况下，可以使用静态密钥。
6.9.3.4 评估标准
6.9.3.4.1 评估目标
该评估针对CCK-3的要求。
6.9.3.4.2 实施类别
不适用。
6.9.3.4.3 所需信息
[E.Info.CCK-3.CCK]：描述设备上每个预装的保密加密密钥，包括：
— (如果声称保密加密密钥的唯一性不是必要的，因为它仅用于在授权实体控制的条件下建立初始信任关系）[E.Info.CCK-3.CCK.Controlled]：则需要说明：
FprEN 18031-1:2024 (E)
128
o 由保密加密密钥建立的初始信任关系；以及
o 受授权实体控制的条件；以及
— (如果因为保密加密密钥是设备预期功能所需的共享参数而声称其唯一性不是必需的)[E.Info.CCK-3.CCK.Shared]：说明需要将保密加密密钥作为共享参数的设备功能；以及
— (如果声称CCK对每个设备实际上是唯一的）[E.Info.CCK-3.CCK.Unique]：描述使每个设备的CCK实际上是唯一的方法。
[E.Info.DT.CCK-3]：图26所示决策树中为[E.Info.CCK-3.CCK]中记录的每个预安装CCK所选路径的描述。
[E.Just.DT.CCK-3]：通过[E.Info.DT.CCK-3]中记录的决策树所选路径的依据，并具有以下属性：
— (如果[DT.CCK-3.DN-2]决策的结果为“NA”）[DT.CCK-3.DN-2]决策的依据基于[E.Info.CCK-3.CCK. Controlled]；以及
— (如果[DT.CCK-3.DN-3]决策的结果为“NA”）[DT.CCK-3.DN-3] 决策的依据基于[E.Info.CCK-3.CCK. Shared]；以及
— [DT.CCK-3.DN-1]决策的依据基于[E.Info.CCK-3.CCK.Unique]。
6.9.3.4.4 概念评估
6.9.3.4.4.1 评估目的
本评估案例为概念性评估，旨在评估是否按照CCK-3的要求实施了预装保密加密密钥。
6.9.3.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
129
6.9.3.4.4.3 评估单元
图26-CCK-3要求的决策树
对于[E.Info.CCK-3.CCK]中记录的每个保密加密密钥，检查[E.Info.DT.CCK-3]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.CCK-3]中记录的通过决策树的每条路径，检查[E.Just.DT.CCK-3]中记录的相关理由。
6.9.3.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 在[E.Info.DT.CCK-3]中记录的决策树中，至少有一条路径以“PASS”结束；以及
— 在[E.Info.DT.CCK-3]中记录的决策树中，没有以“FAIL”结尾的路径；以及
— [E.Just.DT.CCK-3]中提供的信息是通过[E.Info.DT.CCK-3]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.CCK-3]中记录的决策树路径以“FAIL”结束；或
— 对于[E.Info.DT.CCK-3]中记录的决策树路径，[E.Just.DT.CCK-3]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
130
6.9.3.4.5 功能完整性评估
6.9.3.4.5.1 评估目的
本评估案例为功能性评估，的目是评估所有预装的CCK是否都记录在案。
6.9.3.4.5.2 先决条件
设备处于出厂默认状态。
6.9.3.4.5.3 评估单元
从功能上评估设备上是否存在未在[E.Info.CCK-3.CCK]中记录的预装CCK。
6.9.3.4.5.4 做出判决
如果[E.Info.CCK-3.CCK]中记录了发现的所有预装CCK，则评估案例的判定结果为“PASS”。
如果某个发现的CCK未被记录在[E.Info.CCK-3.CCK]中，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.9.3.4.6 功能充分性评估
6.9.3.4.6.1 评估目的
本评估案例为功能性评估，的目是评估声称每台设备实际上独一无二的预装CCK是否充分相互独立。
6.9.3.4.6.2 先决条件
两个设备实例处于出厂默认状态。
6.9.3.4.6.3 评估单元
对于[E.Info.CCK-3.CCK]中记录的每个CCK（其中[E.Info.CCK-3.CCK.Unique]表示声称每个设备的CCK实际上是唯一的），通过以下方法从功能上评估两个设备各自的CCK是否在实际上是唯一的：
— (如果可以访问CCK)对CCK进行比较，确认它们不一样，并且没有明显的方法可以从一个CCK推导出另一个CCK；以及
— (如果CCK不可访问，但与相关的可访问公开加密密钥（如私钥对/公钥对）一起存在，则与相关的公开密钥比较并确认它们不一样。
注：并非每个CCK都能进行具体的功能测试，因为通常并非所有CCK都可访问或有相关的可访问公开加密密钥。
FprEN 18031-1:2024 (E)
131
6.9.3.4.6.4 做出判决
如果没有证据表明[E.Info.CCK-3.CCK]中记录的CCK（其中[E.Info.CCK-3.CCK.Unique]表示声称每台设备实际唯一的CCK）并非在每台设备是实际唯一的，则判定评估案例为“PASS”。
如果有证据表明[E.Info.CCK-3.CCK]中记录的CCK（其中[E.Info.CCK-3.CCK.Unique]表示声称每个设备实际唯一的CCK）并非在每台设备是实际唯一的，则判定为“FAIL”。
否则，将作出“NA”的判决。
6.10 [GEC]一般设备能力
6.10.1 [GEC-1]没有公开已知的可被利用漏洞的最新的软件和硬件
6.10.1.1 要求
设备不得包含公开已知的可被利用的漏洞，一旦被利用将影响安全资产和网络资产，但以下漏洞除外：
— 在设备的特定条件下无法利用；或
— 已降低到可接受的残余风险；或
— 风险程度可接受。
6.10.1.2 理由
设备可能由不同供应商提供的硬件和软件组成，制造商可能无法充分了解这些供应商的安全做法。
至关重要的是，制造商能够识别设备中使用的硬件和软件（包括商业软件和开源软件）中公开已知的可利用漏洞，并能处理这些漏洞。
6.10.1.3 指引
为便于监测软件漏洞，设备制造商应保存设备软件的技术文档，包括开源软件和现成的商业组件。同样，硬件的技术文档也有助于识别硬件漏洞。
为确定设备硬件和软件中公开已知的可利用漏洞，制造商会查询公共漏洞数据库（如NIST国家漏洞数据库https://nvd.nist.gov/和现有的欧洲国家漏洞数据库）。
制造商在评估公开已知的可利用漏洞时考虑的不同因素包括（但不限于）：
— 设备的攻击面和攻击者进入设备利用漏洞的途径/路径；
— 有证据表明漏洞已被利用，或已有概念验证或代码利用的记录；
FprEN 18031-1:2024 (E)
132
— 设备中实施的可缓解漏洞利用的安全功能和机制；
— “设备预期功能”；
— 设备的“预期使用操作环境”，包括威胁环境和安全能力，以及环境提供的可缓解或补救漏洞利用的额外应对措施。
6.10.1.4 评估标准
6.10.1.4.1 评估目标
该评估针对GEC-1的要求。
6.10.1.4.2 实施类别
不适用。
6.10.1.4.3 所需信息
[E.Info.GEC-1.SecurityAsset]：每个安全资产的描述。[E.Info.GEC-1.NetworkAsset]：每个网络资产的描述。
[E.Info.GEC-1.SoftwareDocumentation]：描述影响[E.Info.GEC-1.SecurityAsset]和[E.Info.GEC-1.NetworkAsset]中记录的安全资产和网络资产的设备软件，包括其版本。
[E.Info.GEC-1.HardwareDocumentation]：描述影响[E.Info.GEC-1.SecurityAsset]和[E.Info.GEC-1.NetworkAsset]中记录的安全资产和网络资产的设备硬件。
[E.Info.GEC-1.ListOfVulnerabilities]：描述硬件和软件中所有公开已知的可利用漏洞，这些漏洞会影响[E.Info.GEC-1.SecurityAsset]和[E.Info.GEC-1.NetworkAsset]中记录的安全资产和网络资产。文件还包括漏洞信息的来源。此外，还针对影响网络资产和安全资产的每个漏洞，说明了对所列硬件或软件公开已知可利用漏洞的补救、缓解和不利用的理由，包括：
— (如果漏洞已修复）[E.Info.GEC-1.ListOfVulnerabilities.Remediated]：为修复漏洞而采取的措施；以及
— (如果在设备的特定条件下无法利用该漏洞）[E.Info.GEC-1.ListOfVulnerabilities.SpecificCondition]：描述不能利用该漏洞的特定条件；以及
— (如果漏洞已得到缓解）[E.Info.GEC-1.ListOfVulnerabilities.Mitgated]：缓解措施的描述；以及
— (如果漏洞被接受）[E.Info.GEC-1.ListOfVulnerabilities.Accepted]：从风险角度出发接受漏洞的说明。
[E.Info.DT.GEC-1]：描述通过图27中的决策树为[E.Info.GEC-1.SoftwareDocumentation]和[E.Info.GEC-1.HardwareDocumentation]中记录的每个软件和硬件选择的路径，其中包括公开已知的可利用漏洞。
FprEN 18031-1:2024 (E)
133
[E.Just.DT.GEC-1]：通过[E.Info.DT.GEC-1]中记录的决策树选择路径的依据，并具有以下属性：
— [DT.GEC-1.DN-1]决策的依据基于[E.Info.GEC-1.ListOfVulnerabilities]；
— ([DT.GEC-1.DN-2]决策的结果为“NA”）[DT.GEC-1.DN-2]决策的依据基于[E.Info.GEC-1.ListOfVulnerabilities]和[E.Info.GEC-1.ListOfVulnerabilities.Remediated]；
— (如果[DT.GEC-1.DN-3]决策的结果为“NA”）[DT.GEC-1.DN-3]决策的依据基于[E.Info.GEC-1.ListOfVulnerabilities.SpecificCondition]；
— (如果[DT.GEC-1.DN-4]决策的结果为“NA”）[DT.GEC-1.DN-4]决策的依据基于[E.Info.GEC-1.ListOfVulnerabilities.Mitgated]；并且
— [DT.GEC-1.DN-5]决策的依据基于[E.Info.GEC-1.ListOfVulnerabilities.Accepted].
6.10.1.4.4 概念评估
6.10.1.4.4.1 评估目的
本评估案例为概念性评估，的目是评估被测设备的硬件或软件中存在的公开已知的可利用漏洞，在出厂默认状态下，如果按照GEC-1的要求被利用，是否不会影响安全资产或网络资产。
6.10.1.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
134
6.10.1.4.4.3 评估单元
图27-GEC-1要求的决策树
对于[E.Info.GEC-1.SoftwareDocumentation]中的每个软件和[E.Info.GEC-1.HardwareDocumentation]中的每个硬件，评估[E.Info.DT.GEC-1]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.GEC-1]中记录的决策树中的每条路径，评估[E.Just.DT.GEC-1]中记录的相关理由。
6.10.1.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— [E.Info.DT.GEC-1]中记录的决策树中至少有一条路径以“PASS”结束；以及
— [E.Info.DT.GEC-1]中记录的决策树中没有以“FAIL”结尾的路径；以及
— [E.Just.DT.GEC-1]中提供的信息是通过[E.Info.DT.GEC-1]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.GEC-1]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.GEC-1]中记录的决策树路径，[E.Just.DT.GEC-1]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
135
6.10.1.4.5 功能完整性评估
6.10.1.4.5.1 评估目的
本评估案例为功能性评估，的目是对受测设备进行评估，以验证文档的完整性：设备中存在的影响安全资产或网络资产的漏洞仅为[E.Info.GEC-1.ListOfVulnerabilities]中列出的漏洞。
6.10.1.4.5.2 先决条件
设备处于运行状态。
用于评估公开已知可利用漏洞列表的漏洞来源日期是最近的。
6.10.1.4.5.3 评估单元
使用最新的评估方法，从功能上评估是否存在未列入[E.Info.GEC-1.ListOfVulnerabilities]的影响安全资产和网络资产的公开已知硬件漏洞。
使用最新的评估方法，从功能上评估是否存在未列入[E.Info.GEC-1.ListOfVulnerabilities]的影响安全资产和网络资产的公开已知软件漏洞。
注：有各种软件工具和测量设备可用于自动搜索软件和硬件漏洞。
6.10.1.4.5.4 做出判决
如果[E.Info.GEC-1.ListOfVulnerabilities]中记录了所有已发现的、影响安全资产和网络资产的公开已知软件和硬件漏洞，则判定评估案例为“PASS”。
如果有任何影响安全资产或网络资产的公开已知软件或硬件漏洞未被记录在[E.Info.GEC-1.ListOfVulnerabilities]中，则对评估案例判定为“FAIL”。
否则，将作出“NA”的判决。
6.10.1.4.6 功能充分性评估
6.10.1.4.6.1 评估目的
本评估案例为功能性评估，的目是评估设备中存在的漏洞（同时也出现在[E.Info.GEC-1.ListOfVulnerabilities]中）在被利用后是否不会影响安全资产或网络资产。
6.10.1.4.6.2 先决条件
设备处于运行状态。
用于评估公开已知可利用漏洞列表的漏洞来源日期是最近的。
FprEN 18031-1:2024 (E)
136
6.10.1.4.6.3 评估单元
从功能上评估[E.Info.GEC-1.ListOfVulnerabilities]中描述的措施是否已实施，同时考虑[E.Info.GEC-1.ListOfVulnerabilities]中定义的可利用性的具体条件，以确保漏洞一旦被利用，不会影响安全资产和网络资产。
注：对于许多漏洞，都有Pentest工具来验证其可利用性。
6.10.1.4.6.4 做出判决
如果没有证据表明未按照[E.Info.GEC-1.ListOfVulnerabilities]中的描述实施相关措施，同时考虑到[E.Info.GEC-1.ListOfVulnerabilities]中定义的可利用性的具体条件，以确保漏洞一旦被利用将不会影响安全资产和网络资产，则对评估案例做出“PASS”的判决。
如果有证据表明未按照[E.Info.GEC-1.ListOfVulnerabilities]中的描述实施相关措施，同时考虑到[E.Info.GEC-1.ListOfVulnerabilities]中定义的可利用性的具体条件，以确保漏洞一旦被利用将无法影响安全资产和网络资产，则判定为“FAIL”。
否则，将作出“NA”的判决。
6.10.2 [GEC-2]通过相关网络接口限制服务暴露
6.10.2.1 要求
在出厂默认状态下，设备只应暴露：
— 网络接口；以及
— 通过网络接口提供的服务
影响设备的设置或设备的基本操作所必需的安全资产或网络资产。
6.10.2.2 理由
暴露的服务对于降低设备网络资源被破坏（例如损害网络）这一潜在风险至关重要。因此，这些暴露的服务必须限制在设备设置和在预定使用环境中操作设备所必需的服务范围内。
FprEN 18031-1:2024 (E)
137
6.10.2.3 指引
设备的配置可根据设备的用途而变化。
一般来说，应区分两类设备：
— 多用途设备，如智能手机、笔记本电脑：在设备投放市场之前，多用途设备提供的服务和功能仅受制造商控制；以及
— 具有受控的固定功能的设备，如传感器、路由器：设备提供的服务和功能已嵌入由制造商提供的设备专用软件中。
对于具有受控的固定功能的设备，在出厂默认状态下只允许暴露网络接口或服务（通过网络接口），这些接口或服务是设置或使用该功能所必需的。
多用途设备没有特定的预期用途，但通常由制造商交付，并附带一组确定的预装应用程序。此外，在出厂默认状态下，设备可为以下典型用例提供操作系统：
— 管理/控制设备硬件
— 预装应用程序的使用
— 安装其他应用程序
— 安装软件更新
这些用例定义了所暴露的网络接口和服务（通过网络接口）的允许范围。
影响安全资产意味着，如果网络接口或服务（通过网络接口）遭到破坏，就会对设备的安全性产生影响。
6.10.2.4 评估标准
6.10.2.4.1 评估目标
该评估针对GEC-2的要求。
6.10.2.4.2 实施类别
不适用。
6.10.2.4.3 所需信息
[E.Info.GEC-2.NetworkInterface.Exposure]：设备出厂默认状态下每个网络接口和暴露服务（通过网络接口）的描述，包括基本操作或设备设置所需的（或可选的）信息。
(如果设备执行某个设置过程）[E.Info.GEC-2.Setup]：提供如何设置设备的文档。
[E.Info.GEC-2.SecurityAsset]：可通过网络接口访问的每个安全资产的文档。
FprEN 18031-1:2024 (E)
138
[E.Info.GEC-2.NetworkAsset]：可通过网络接口访问的每个网络资产的文档。
[E.Info.DT.GEC-2]：描述通过图28中的决策树为记录在[E.Info.GEC-2.NetworkInterface.Exposure]中的每个网络接口和服务（通过网络接口）选择的路径。
[E.Just.DT.GEC-2]：通过[E.Info.DT.GEC-2]中记录的决策树选择的每条路径的依据，并具有以下属性：
— (如果源自[DT.GEC-2.DN-1]的决策结果为“NA”）[DT.GEC-2.DN-1]决策的依据基于[E.Info.GEC-2.NetworkInterface.Exposure]；并且
— (如果源自[DT.GEC-2.DN-2]决策结果为“NA”）[DT.GEC-2.DN-2]决策的依据基于[E.Info.GEC-2.SecurityAsset]和[E.Info.GEC-2.NetworkAsset]；以及
— [DT.GEC-2.DN-3]决策的依据基于[E.Info.GEC-2.NetworkInterface.Exposure]
6.10.2.4.4 概念评估
6.10.2.4.4.1 评估目的
本评估案例为概念性评估，的目是评估[E.Info.GEC-2.NetworkInterface.Exposure]中记录的出厂默认状态下影响安全资产或网络资产的网络接口和服务（通过网络接口）的每次暴露是否仅限于设备设置或根据GEC-2要求的设备基本操作所必需的范围内。
6.10.2.4.4.2 先决条件
无。
6.10.2.4.4.3 评估单元
图28-GEC-2要求的决策树
FprEN 18031-1:2024 (E)
139
对于[E.Info.GEC-2.NetworkInterface.Exposure]中记录的每个网络接口和暴露服务（通过网络接口），检查[E.Info.DT.GEC-2]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.GEC-2]中记录的决策树中的每条路径，检查[E.Just.DT.GEC-2]中记录的相关理由。
6.10.2.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— [E.Info.DT.GEC-2]中记录的决策树中至少有一条路径以“PASS”结束；以及
— [E.Info.DT.GEC-2]中记录的决策树中没有以“FAIL”结尾的路径；以及
— [E.Just.DT.GEC-2]中提供的信息是通过[E.Info.DT.GEC-2]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.GEC-2]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.GEC-2]中记录的决策树路径，[E.Just.DT.GEC-2]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.10.2.4.5 功能完整性评估
6.10.2.4.5.1 评估目的
本评估案例为功能性评估，的目是评估出厂默认评状态下是否只暴露了设备设置或基本操作所需的网络接口或暴露的服务（通过网络接口）。
6.10.2.4.5.2 先决条件
设备处于出厂默认状态，并且在此之前没有进行过可用设置或其他配置。
建立物理网络连接，以检查服务（通过网络接口）的暴露情况。
6.10.2.4.5.3 评估单元
从功能上评估在出厂默认状态下是否有其他网络接口或服务（通过网络接口）暴露在外，这些接口或服务未在[E.Info.GEC-2.NetworkInterface.Exposure]中列出，或根据[E.Info.GEC-2.Setup]进行设置时、或在基本操作中运行设备时不需要。
注：有各种软件工具和测量设备可用于自动搜索暴露的网络接口或通过网络接口访问的服务。
FprEN 18031-1:2024 (E)
140
6.10.2.4.5.4 做出判决
如果发现的每个网络接口或暴露的服务（通过网络接口）在出厂默认状态下都在[E.Info.GEC-2.NetworkInterface.Exposure]中列出，并且是根据[E.Info.GEC-2.Setup]进行设置或设备基本操作所必需的，则判定为“PASS”。
如果发现出厂默认状态下暴露的网络接口或服务（通过网络接口）未在[E.Info.GEC-2.NetworkInterface.Exposure]中列出，或不是在根据[E.Info.GEC-2.Setup]进行设置时或设备基本操作时所必需的，则判定为“FAIL”。
否则，判决为“NA”。
6.10.2.4.6 功能充分性评估
不适用。
6.10.3 [GEC-3] 配置可选服务和相关暴露的网络接口
6.10.3.1 要求
影响安全资产或网络资产的可选网络接口或通过网络接口暴露的可选服务，并且是出厂默认状态的一部分，应为授权用户提供启用和禁用网络接口或服务的选项。
6.10.3.2 理由
这将减少与网络接口有关的攻击面和通过这些接口暴露的服务。
6.10.3.3 指引
设备为授权用户提供了配置（启用/禁用）暴露的可选服务和相关网络接口的功能，这些服务和接口属于出厂默认状态的一部分。
网络相关服务的配置应根据访问控制机制（ACM）和身份验证机制（AUM）加以保护。
6.10.3.4 评估标准
6.10.3.4.1 评估目标
该评估针对GEC-3的要求。
6.10.3.4.2 实施类别
不适用。
6.10.3.4.3 所需信息
[E.Info.GEC-3.NetworkInterface.Exposure]：设备出厂默认状态下每个网络接口和暴露服务（通过网络接口）的描述，包括是否有授权用户启用和禁用网络接口或服务选项的信息。
[E.Info.GEC-3.SecurityAsset]：可通过网络接口访问的每个安全资产的文档。
[E.Info.GEC-3.NetworkAsset]：可通过网络接口访问的每个网络资产的文档。
FprEN 18031-1:2024 (E)
141
[E.Info.DT.GEC-3]：如[E.Info.GEC-3.NetworkInterface.Exposure]的记录，通过图29中的决策树为每个网络接口和暴露的可选服务（通过网络接口）选择路径的描述。
[E.Just.DT.GEC-3]：[E.Info.DT.GEC-3]中记录的决策树中每条选定路径的依据，并具有以下属性：
— (如果源自[DT.GEC-3.DN-1]的决策结果为“NA”）[DT.GEC-3.DN-1]决策的依据基于[E.Info.GEC-3.SecurityAsset]和[E.Info.GEC-3.NetworkAsset]；以及
— [DT.GEC-3.DN-2]决策的依据基于[E.Info.GEC-3.NetworkInterface.Exposure]
6.10.3.4.4 概念评估
6.10.3.4.4.1 评估目的
本评估案例为概念性评估，旨在评估作为设备出厂默认状态一部分的每个可选网络接口和每个暴露的可选服务（通过网络接口）是否可配置，至少是否可根据GEC-3的要求启用和禁用服务。
6.10.3.4.4.2 先决条件
无。
6.10.3.4.4.3 评估单元
图29- GEC-3要求的决策树
对于作为出厂默认设置状态的一部分，并且记录在[E.Info.GEC-3.NetworkInterface.Exposure]中的每个可选网络接口和暴露的可选服务（通过网络接口），检查[E.Info.DT.GEC-3]中记录的决策树路径是否以“NOT APPLICABLE”或“PASS”结束。
对于[E.Info.DT.GEC-3]中记录的决策树中的每条路径，检查[E.Just.DT.GEC-3]中记录的相关理由。
FprEN 18031-1:2024 (E)
142
6.10.3.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— [E.Info.DT.GEC-3]中记录的决策树中至少有一条路径以“PASS”结束；以及
— [E.Info.DT.GEC-3]中记录的决策树中没有以“FAIL”结尾的路径；以及
— E.Just.DT.GEC-3]中提供的信息是通过[E.Info.DT.GEC-3]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.GEC-3]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.GEC-3]中记录的决策树路径，[E.Just.DT.GEC-3]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.10.3.4.5 功能完整性评估
6.10.3.4.5.1 评估目的
本评估案例为功能性评估，的目是评估出厂默认状态下的所有可选网络接口和暴露的可选服务（通过网络接口）是否可配置，至少可选择启用或禁用服务。因此，需要评估文档的完整性。
6.10.3.4.5.2 先决条件
设备处于运行状态，并且可用设置已完成。
可用于可选网络接口或可选服务（通过网络接口公开）设置配置的必要权限。
6.10.3.4.5.3 评估单元
从功能上评估是否存在[E.Info.GEC-3.NetworkInterface.Exposure]中未列出的可选网络接口或暴露的可选服务（通过网络接口）。
6.10.3.4.5.4 做出判决
如果没有[E.Info.GEC-3.NetworkInterface.Exposure]中未列出的可选网络接口或可选服务（通过网络接口）被暴露，则判定评估案例为“PASS”。
如果存在[E.Info.GEC-3.NetworkInterface.Exposure]中未列出的可选网络接口或可选服务（通过网络接口）被暴露，则评估结果为“FAIL”。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
143
6.10.3.4.6 功能充分性评估
6.10.3.4.6.1 评估目的
本评估案例为功能性评估，的目是评估出厂默认状态下暴露的所有可选网络接口和可选服务（通过网络接口）是否可配置，至少可选择启用或禁用服务。
6.10.3.4.6.2 先决条件
设备处于运行状态，如果可设置已完成。
可用于可选网络接口或可选服务（通过网络接口公开）设置配置的必要权限。
6.10.3.4.6.3 评估单元
对于作为出厂默认状态一部分的暴露的每个可选网络接口和可选服务（通过网络接口）：
— 从功能上评估作为出厂默认状态一部分并记录在[E.Info.GEC-3.NetworkInterface.Exposure]中的可选网络接口和暴露的可选服务（通过网络接口）是否可配置；以及
— 从功能上评估是否至少可以将可选网络接口和暴露的可选服务（通过网络接口）的状态改为已启用和已禁用；以及
— 从功能上评估是否只有授权用户才能配置作为出厂默认状态一部分，并且在[E.Info.GEC-3.NetworkInterface.Exposure]中列出的可选网络接口设置（通过网络接口）以及暴露的可选服务。
6.10.3.4.6.4 做出判决
如果有证据表明所有可选网络接口或暴露的可选服务（通过网络接口）都是可配置的，并且至少有启用和禁用网络接口或服务的选项，或如[E.Info.GEC-3.NetworkInterface.Exposure]所述，只有授权用户才能将可选网络接口或暴露的可选服务（通过网络接口）的状态更改为已启用或已禁用，则评估案例的判定结果为“PASS”。
如果没有证据表明所有可选网络接口或暴露的可选服务（通过网络接口）都是可配置的，并且至少有启用和禁用网络接口或服务的选项，或如[E.Info.GEC-3.NetworkInterface.Exposure]所述，只有授权用户才能将可选网络接口或暴露的可选服务（通过网络接口）的状态更改为已启用或已禁用，则评估案例的判定结果为“FAIL”。
否则，将作出"NA"的判决。
6.10.4 [GEC-4] 暴露的网络接口和通过网络接口暴露的服务的文档
6.10.4.1 要求
设备的用户文档应包含以下说明：
— 所有暴露的网络接口；以及
FprEN 18031-1:2024 (E)
144
— 通过网络接口暴露的所有服务
交付时作为出厂默认状态的一部分。
6.10.4.2 理由
需要对设备本身和周围的网络进行适当配置，以确保设备的功能和支持网络的安全。因此，必须提供有关暴露的网络接口和暴露的服务（通过网络接口）以及预期使用操作环境的用户信息。
6.10.4.3 指引
出厂默认状态下的所有网络接口和暴露的服务（通过网络接口）都应在文档中列出。对于每项服务，其用途也可以被提供。这样做的目的是向用户提供设备连接的透明度。此外，文件还可用于评估设备调试是否会对用户的预期使用环境造成潜在的攻击面。
6.10.4.4 评估标准
6.10.4.4.1 评估目标
该评估针对GEC-4的要求。
6.10.4.4.2 实施类别
不适用。
6.10.4.4.3 所需信息
[E.Info.GEC-4.UserDoc.NetworkInterface.Exposure]：设备出厂默认状态下每个暴露的网络接口和暴露的服务（通过网络接口）的用户文档。
[E.Info.GEC-4.NetworkInterface.Exposure]：设备出厂默认状态下每个暴露的网络接口和暴露的服务（通过网络接口）的描述。
[E.Info.DT.GEC-4]：根据[E.Info.GEC-4.NetworkInterface.Exposure]的记录，描述通过图30中的决策树为每个暴露的网络接口和暴露的服务（通过网络接口）选择的路径。
[E.Just.DT.GEC-4]：[E.Info.DT.GEC-4]中记录的决策树中每条选定路径的依据，并具有以下属性：
— (如果源自[DT.GEC-4.DN-1]的决策结果为“NA”）[DT.GEC-4.DN-1]决策的依据基于[E.Info.GEC-4.NetworkInterface.Exposure]；以及
— [DT.GEC-4.DN-2]决策的依据基于[E.Info.GEC-4.UserDoc.NetworkInterface.Exposure]。
6.10.4.4.4 概念性评估
6.10.4.4.4.1 评估目的
本评估案例旨为概念性评估，旨在评估网络接口和服务（通过网络接口暴露并作为出厂默认状态的一部分交付）是否按照GEC-4的要求在用户文档中进行了描述。
FprEN 18031-1:2024 (E)
145
6.10.4.4.4.2 先决条件
无。
6.10.4.4.4.3 评估单元
图30-GEC-4要求的决策树
对于[E.Info.GEC-4.NetworkInterface.Exposure]中的每个网络接口和暴露服务（通过网络接口），检查[E.Info.DT.GEC-4]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.GEC-4]中记录的决策树中的每条路径，检查[E.Just.DT.GEC-4]中记录的相关理由。
6.10.4.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— [E.Info.DT.GEC-4]中记录的决策树中至少有一条路径以“PASS”结束；以及
— [E.Info.DT.GEC-4]中记录的决策树中没有以“FAIL”结尾的路径；以及
— E.Just.DT.GEC-4]中提供的信息是通过[E.Info.DT.GEC-4]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.GEC-4]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.GEC-4]中记录的决策树路径，[E.Just.DT.GEC-4]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
146
6.10.4.4.5 功能完整性评估
6.10.4.4.5.1 评估目的
本评估案例为功能性评估，的目是评估用户文档是否描述了作为出厂默认状态的一部分而交付的每个网络接口和（通过网络接口的）暴露的服务。
6.10.4.4.5.2 先决条件
设备处于出厂默认状态。
建立网络连接，以检查网络接口和服务（通过网络接口）的暴露情况。
6.10.4.4.5.3 评估单位
评估网络接口和暴露的服务（通过网络接口）的文档是否完整：
— 从功能上评估是否还有出厂默认状态下暴露的网络接口未在[E.Info.GEC-4.UserDoc.NetworkInterface.Exposure]中记录；以及
— 从功能上评估是否存在[E.Info.GEC-4.UserDoc.NetworkInterface.Exposure]中未记录的其他暴露的服务（通过网络接口）。
注：使用网络扫描工具和服务扫描工具可以发现暴露的网络接口和服务。
6.10.4.4.5.4 做出判决
如果[E.Info.GEC-4.NetworkInterface.Exposure]中记录了出厂默认状态下的所有网络接口或暴露服务（通过网络接口），则判定评估案例为“PASS”。
如果发现出厂默认状态下的网络接口或暴露服务（通过网络接口）未在[E.Info.GEC-4.NetworkInterface.Exposure]中记录，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.10.4.4.6 功能充分性评估
无。
6.10.5 [GEC-5] 没有不必要的外部接口
6.10.5.1 要求
设备只有在其预期功能需要时才会暴露物理外部接口。
6.10.5.2 理由
需要尽量减少物理外部接口，以最大限度地降低潜在的攻击面。
FprEN 18031-1:2024 (E)
147
6.10.5.3 指引
如果不必要的物理外部接口受到其预期使用操作环境的物理保护，则该外部接口可被视为未被设备暴露。被禁用或封锁的外部接口也被视为设备未暴露的接口。
物理外部接口可能包括被用于内部系统通信的外部接口、用户接口和机器接口。
预期功能可涵盖多个用例，所暴露的物理外部接口至少需要满足其中一个用例的目的。
6.10.5.4 评估标准
6.10.5.4.1 评估目标
该评估针对GEC-5的要求。
6.10.5.4.2 实施类别
不适用。
6.10.5.4.3 所需信息
[E.Info.GEC-5.PhysicalExternalInterface]：每个物理外部接口的描述，包括：
— [E.Info.GEC-5.PhysicalExternalInterface.Purpose]：接口的用途；以及
— [E.Info.GEC-5.PhysicalExternalInterface.Type]：接口类型描述（如：USB-C）。
[E.Info.GEC-5.IntFunc]：设备预期功能的描述
[E.Info.DT.GEC-5]：描述通过图31中决策树为[E.Info.GEC-5.PhysicalExternalInterface]中记录的每个物理外部接口选择的路径。
[E.Just.DT.GEC-5]：通过[E.Info.DT.GEC-5]中记录的决策树选择路径的依据，并具有以下属性：
— [DT.GEC-5.DN-1]决策的依据基于[E.Info.GEC-5.PhysicalExternalInterface]。
6.10.5.4.4 概念评估
6.10.5.4.4.1 评估目的
本评估案例为概念性评估，旨在评估每次暴露涉及的物理外部接口是否仅限于根据GEC-5的要求实现其预期功能所必需的接口。
6.10.5.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
148
6.10.5.4.4.3 评估单元
图31-GEC-5要求的决策树
对于[E.Info.GEC-5.PhysicalExternalInterface]中记录的每个物理外部接口，检查[E.Info.DT.GEC-5]中记录的决策树路径是否以“PASS”结束。
对于[E.Info.DT.GEC-5]中记录的决策树中的每条路径，检查[E.Just.DT.GEC-5]中记录的相关理由。
6.10.5.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 通过[E.Info.DT.GEC-5]中记录的决策树的所有路径都以“PASS”结尾；以及
— E.Just.DT.GEC-5]中提供的信息是通过[E.Info.DT.GEC-5]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.GEC-5]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.GEC-5]中记录的决策树路径，[E.Just.DT.GEC-5]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
6.10.5.4.5 功能完整性评估
6.10.5.4.5.1 评估目的
本评估案例为功能性评估，的目是评估是否只暴露了物理外部接口，并且这些接口是[E.Info.GEC-5.PhysicalExternalInterface]中记录的预期功能所必需的。
6.10.5.4.5.2 先决条件
设备处于运行状态。
FprEN 18031-1:2024 (E)
149
6.10.5.4.5.3 评估单元
即使相关功能未启用或未在[E.Info.GEC-5.PhysicalExternalInterface]中记录，尝试通过设备展示暴露的物理外部接口：
— 检查设备文档，如设计文档、用例文档和用户手册；以及
— 检查设备上有哪些物理外部接口，如麦克风、屏幕、按钮或扩展卡插槽。
在文件评估和设备评估过程中，对每个展示的物理外部接口都要评估[E.Info.GEC-5.PhysicalExternalInterface]中的文件。
6.10.5.4.5.4 做出判决
如果发现的所有物理外部接口都记录在[E.Info.GEC-5.PhysicalExternalInterface]中，则判定评估案例为“PASS”。
如果发现物理外部接口未在[E.Info.GEC-5.PhysicalExternalInterface]中记录，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.10.5.4.6功能充分性评估
不适用。
6.10.6 [GEC-6] 输入验证
6.10.6.1 要求
如果输入对安全资产和/或网络资产有潜在影响，设备应验证通过外部接口接收的输入。
6.10.6.2 理由
设备需要验证对安全资产或网络资产有潜在影响的任何输入，以减少对安全资产和网络资产数据的潜在误用、破坏或未经授权的提取。
输入验证对于验证任何输入数据的语法、长度和内容都是必要的，这些数据是作为预期输入提供的，并具有正确处理数据所需的属性。
输入验证不当被认为是最常见、最危险的软件缺陷之一，它还会导致其他一些软件缺陷，如越界写入和中和不当，从而导致各种注入漏洞（如SQL注入、操作系统命令注入和路径遍历）。
特别是通过网络接口接收的任何输入等可能来自不可靠来源的数据，都需要进行输入验证，评估输入的语法和语义是否正确。这些检查应在处理任何输入时尽早进行，以避免无效甚至恶意输入的传播。
FprEN 18031-1:2024 (E)
150
6.10.6.3 指引
输入验证不当是导致许多安全漏洞的根本原因之一，只有通过评估原始数据和元数据的语法和语义，确定输入有效后，才能成功处理输入。
例如，语法验证就是评估输入的结构是否正确：
— 日期输入的格式（如dd-mm-yyyy或mm-dd-yyyy）；
— 在数字输入中使用小数点或逗号；
— 输入的长度；
— 为各种文件类型提供正确的标题和结构（例如，验证.ZIP、.BMP或.JPEG文件结构）；
— 有效的json、xml或html文件。
例如，语义验证就是检查输入值是否正确：
— 超出预期范围的数值（如过小或过大的数字、未来的生日）；
— 文本输入中不允许使用的特殊字符，例如用于SQL注入的特殊转义字符；
— 结构中不正确的数据大小和偏移值（例如，不正确的大小可能会在复制数据时导致缓冲区超限，或者负偏移可能会从堆栈中复制不正确的数据）；
— 包容列表（也称“允许列表”）是一种只允许定义输入（如指定值或表达式）的方法，其他所有输入都将被拒绝。
使用解析器和/或正则表达式是验证例如文本输入的方法。开发人员还可以考虑使用其他技术来确保输入能被成功处理，如过滤和编码。
进一步的指引意见有待审议：
— 常见弱点枚举：输入验证不当(CWE-20)、编码/溢出不当(CWE-116)、特殊元素中和不当(CWE-138)和过滤不当(CWE-790)；https://cwe.mitre.org/data/index.html
— 开放式Web应用程序安全项目(OWASP)输入验证小抄—https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html
— IEC EN 62443-4-2[2] CR3.5（输入验证）和
— ETSI EN 303 645[5] 5.13（验证输入数据）。
6.10.6.4 评估标准
6.10.6.4.1 评估目标
该评估针对GEC-6的要求。
FprEN 18031-1:2024 (E)
151
6.10.6.4.2 实施类别
不适用。
6.10.6.4.3 所需信息
[E.Info.GEC-6.ExternalInterface]：每个外部接口的描述，包括：
— [E.Info.GEC-6.ExternalInterface.Capabilities]：任何使用的API、协议、输入数据类型、文件格式的描述；以及
— [E.Info.GEC-6.ExternalInterface.Validation]：描述如何通过检查语法和语义的正确性来验证输入。
[E.Info.GEC-6.SecurityAsset]：描述通过外部接口可能受到影响的每个安全资产。
[E.Info.GEC-6.NetworkAsset]：描述通过外部接口可能受到影响的每个网络资产。
[E.Info.DT.GEC-6]：描述通过图32中的决策树为[E.Info.GEC-6.ExternalInterface]中记录的每个外部接口选择的路径。
[E.Just.DT.GEC-6]：通过[E.Info.DT.GEC-6]中记录的决策树选择路径的依据，并具有以下属性：
— (如果源自[DT.GEC-6.DN-1]的决策结果为“NA”）[DT.GEC-6.DN-1]决策的依据基于[E.Info.GEC-6.ExternalInterface]和[E.Info.GEC-6.ExternalInterface.Capabilities]；并且
— [DT.GEC-6.DN-2]决策的依据主要基于[E.Info.GEC-6.ExternalInterface]、[E.Info.GEC-6.ExternalInterface.Validation]和[E.Info.GEC-6.ExternalInterface.Capabilities]
6.10.6.4.4 概念评估
6.10.6.4.4.1 评估目的
本评估案例为概念性评估，旨在评估设备的输入验证功能是否适用于外部接口，并根据GEC-6的要求，考虑到设备的预期功能，为安全资产和/或网络资产提供适当保护，使其免受常见攻击。
6.10.6.4.4.2 先决条件
无。
FprEN 18031-1:2024 (E)
152
6.10.6.4.4.3 评估单元
图32- GEC-6要求的决策树
对于[E.Info.GEC-6.ExternalInterface]中记录的每个外部接口，检查[E.Info.DT.GEC-6]中记录的决策树路径是否以“PASS”或“NA”结束。
对于[E.Info.DT.GEC-6]中记录的决策树中的每条路径，检查[E.Just.DT.GEC-6]中记录的相关理由。
6.10.6.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— [E.Info.DT.GEC-6]中记录的决策树中至少有一条路径以“PASS”结束；以及
— [E.Info.DT.GEC-6]中记录的决策树中没有以“FAIL”结尾的路径；以及
— E.Just.DT.GEC-6]中提供的信息是通过[E.Info.DT.GEC-6]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— [E.Info.DT.GEC-6]中记录的决策树路径以“FAIL”结尾；或
— 对于[E.Info.DT.GEC-6]中记录的决策树路径，[E.Just.DT.GEC-6]中提供的理由不正确或缺失。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
153
6.10.6.4.5 功能完整性评估
6.10.6.4.5.1 评估目的
本评估案例为功能性评估，的目是评估设备的外部接口和相关输入机制，以确保文件的完整性。
6.10.6.4.5.2 先决条件
设备处于运行状态，并且作为预期功能一部分的所有外部接口都已启用或可配置启用，以便对每个外部接口进行测试。
如果访问外部接口需要进行身份验证，则应提供能够测试接口的方法。
6.10.6.4.5.3 评估单元
从功能上评估是否存在未在[E.Info.GEC-6.ExternalInterface]中记录的输入方法：
— 对网络接口的流量进行功能性评估，以揭示输入方法，例如通过网络分析工具；使用记录在[E.Info.GEC-6.ExternalInterface]中的信息作为指引；以及
— 通过目测、用户手册和设计文件，对设备进行功能性评估，以揭示无网络接口的外部接口的输入方法；以及
— 按照[E.Info.GEC-6.ExternalInterface.Capabilities]中的描述，触发相关输入方法，例如通过生成描述的信息（如通过网络接口或通用信息生成工具或模糊工具）。
6.10.6.4.5.4 做出判决
如果发现的所有外部接口都记录在[E.Info.GEC-6.ExternalInterface]中，则判定评估案例为“PASS”。
如果发现有外部接口未在[E.Info.GEC-6.ExternalInterface]中记录，则评估案例的判定结果为“FAIL”。
否则，将作出“NA”的判决。
6.10.6.4.6 功能充分性评估
6.10.6.4.6.1 评估目的
本评估案例为功能性评估，的目是对技术进行评估，以验证已记录的技术的实施情况。
6.10.6.4.6.2 先决条件
设备处于运行状态，并且作为预期功能一部分的所有外部接口都已启用或可配置启用，以便对每个外部接口进行测试。
如果访问外部接口需要进行身份验证，则应提供能够测试接口的方法。
FprEN 18031-1:2024 (E)
154
6.10.6.4.6.3 评估单元
考虑到每个外部接口的功能和设备的预期功能，从功能上评估它们是否能抵御常见的输入攻击：
— 根据[E.Info.GEC-6.ExternalInterface]中的描述作为指引，测试相关输入方法，例如通过生成畸形或无效信息（例如通过网络接口或通用信息生成工具或模糊工具）：通过执行与SQL注入、Ajax注入、操作系统命令注入或路径遍历等输入机制相关的特定攻击，尝试破坏、提取或滥用[E.Info.GEC-6.SecurityAsset]中描述的安全资产和[E.Info.GEC-6.NetworkAsset]中描述的网络资产；以及
— 在功能上评估[E.Info.GEC-6.ExternalInterface]中描述的行为或输出是否按文档生成时，可使用设备手册或设计文档作为指引。
6.10.6.4.6.4 做出判决
如果没有证据表明任何输入验证测试成功地破坏、提取或滥用了[E.Info.GEC-6.SecurityAsset]中所述的任何安全资产或[E.Info.GEC-6.NetworkAsset]中所述的网络资产，则评估案例的判定结果为“PASS”。
如果有证据表明输入验证测试成功地破坏、提取或滥用了[E.Info.GEC-6.SecurityAsset]中描述的任何安全资产或[E.Info.GEC-6.NetworkAsset]中描述的网络资产，则对评估案例作出“FAIL”的判定。
否则，将作出“NA”的判决。
6.11 [CRY] 密码学
6.11.1 [CRY-1]最佳加密实践
6.11.1.1 要求
设备应采用用于保护安全资产或网络资产的最佳加密实践，但以下情况除外：
— 用于特定安全机制的加密技术，根据第ACM或AUM或SCM或SUM或SSM章节的规定，确定偏离并说明理由。
6.11.1.2 理由
加密技术如果不够强大，例如不适合或被破解，用于保护安全资产或网络资产，就会给这些资产带来安全风险。使用最佳实践或更先进、明显合适的加密技术，可增强对这些资产加密保护的信任。
如果加密算法被破解或加密基元受损，可能需要对设备进行相应的更新（见要求SUM），以保护加密技术所保护的安全资产和网络资产。虽然不能绝对保证任何被视为最佳实践的加密技术不会出现这种情况，但当已有证据表明加密技术可能在设备的预期使用寿命内被淘汰时，加密技术就更有可能变得不适合某种使用情况。
但是，例如，如果设备本身可以通过互联网通信，并包含基于硬件的加密加速器，那么该设备可能不准备更新加密技术。在这种情况下，重要的是没有证据表明加密技术在预期寿命内不再是最佳实践。
FprEN 18031-1:2024 (E)
155
6.11.1.3 指引
有各种安全指南可用于确定密码学的最佳实践，参见相关的ISO/IEC标准、由SDO和公共机构（如sogis.eu、“SOGIS约定的密码机制”[22]、ETSI TS 119 312 Electronic Signatures and Infrastructures; Cryptographic Suites [25]）提供的公开可用的密码目录，以及ENISA和国家机构（如NIST SP800系列[7]-[17]和BSI TR-02102-1[19]）提供的指南。
针对特定用例的常用加密方法，如果没有证据表明可以利用现有技术进行攻击，则可被视为最佳实践。
不过，我们也可以提供证据，证明新的加密技术适用于某种使用情况，因此可被视为加密技术的最佳实践。
例如，加密技术通常用于保护相关的安全资产和网络资产：
— 身份验证（见AUM）
— 安全更新（见SUM）
— 安全存储（见SSM）
— 安全通信（见SCM）
— 保密加密密钥生成（见CCK-2）
如果需要互操作性，密码保护可能不符合最佳实践密码学。与上述加密目录（如sogis.eu）中确定的最佳实践机制相比，大规模部署的传统机制被认为可提供可接受的短期安全性，但存在一些安全保证限制。对于传统机制的最新清单及其有效期（以废弃期限为准），密码目录会在短期内定期更新（如每年更新一次）。
如果根据最佳实践审查或评估过的实施方案可以公开获得，那么最好使用这些实施方案来提供网络和安全功能，特别是在密码学领域。
为了在设备的预期寿命内保持密码学的最佳实践，需要考虑的概念是密码敏捷性，以及根据SUM更新设备密码学的能力，以应对新的攻击和新的技术发展。
准备更新密码学需要注意的要素包括：
— 密码方案、协议、算法、构造函数和素数
— 正在使用的敏感安全参数的形式，以及
— 特定的SSP，如信任根。
对于无法更新其加密算法或基元的设备，例如，如果实施或部件使用基于硬件的信任根，则设备的预期使用寿命不得超过设备使用的加密算法和基元的建议使用期限，这一点非常重要。
FprEN 18031-1:2024 (E)
156
6.11.1.4 评估标准
6.11.1.4.1 评估目标
该评估针对CRY-1要求。
6.11.1.4.2 实施类别
不适用。
6.11.1.4.3 所需信息
[E.Info.CRY-1.Assets]：设备上受密码保护的所有安全资产和网络资产的清单，包括用于密码保护的每种密码：
— [E.Info.CRY-1.Assets.Cryptography]：描述用于加密保护的加密技术，包括：
o 每个密码保护目标的描述；以及
o 有证据证明密码技术是实现密码保护目标的最佳实践
或
— [E.Info.CRY-1.Assets.Deviation]（如果根据ACM或AUM或SCM或SUM或SSM章节的条款确定了偏离并说明了偏离的理由）：说明相应的理由和理由所依据的必要信息。
注1：密码保护目标文件包括密码学提供的安全目标。
注2：用于加密保护的加密技术可包括加密方案、算法、构造函数和素数。
注3：证明加密技术是实现加密保护目标的最佳实践的证据可基于参考目录，如SOGIS商定加密机制(https://www.sogis.eu)[22]，或其他证据，如加密分析。
[E.Info.DT.CRY-1]：通过图33中的决策树为[E.Info.DT.CRY-1.Assets]中描述的每种安全资产和网络资产选定路径的说明。
[E.Just.DT.CRY-1]：[E.Info.DT.CRY-1]中记录的决策树中每条选定路径的依据，并具有以下属性：
— (如果源自[DT.CRY-1.DN-1]决策的结果为“NA”）[DT.CRY-1.DN-1]决策的依据基于[E.Info.CRY-1.Assets.Deviation]；以及
— [dt.cry-1.dn-2]决策的依据基于[E.Info.CRY-1.Assets.Cryptography]
6.11.1.4.4 概念评估
6.11.1.4.4.1 评估目的
本评估案例为概念性评估，旨在评估为保护安全资产或网络资产而实施的加密技术是否被视为CRY-1所要求的最佳实践。
FprEN 18031-1:2024 (E)
157
6.11.1.4.4.2 先决条件
无。
6.11.1.4.4.3 评估单元
图33-CRY-1要求的决策树
对于[E.Info.CRY-1.Assets]中记录的每个安全资产和网络资产，检查[E.Info.DT.CRY-1]中记录的决策树路径是否以“NA”或“PASS”结束。
对于[E.Info.DT.CRY-1]中记录的决策树中的每条路径，检查[E.Just.DT.CRY-1]中记录的相关理由。
6.11.1.4.4.4 做出判决
如果出现以下情况，则判定该评估案例为“PASS”：
— 在[E.Info.DT.CRY-1]中记录的决策树中至少有一条路径以“PASS”结束；以及
— 在[E.Info.DT.CRY-1]中记录的决策树中，没有以“FAIL”结尾的路径；以及
— [E.Just.DT.CRY-1]中提供的信息是通过[E.Info.DT.CRY-1]中记录的决策树的所有路径的正确理由。
如果出现以下情况，则判定该评估案例为“FAIL”：
— 通过[E.Info.DT.CRY-1]中记录的决策树的所有路径均以“FAIL”结束；或
— 对于[E.Info.DT.CRY-1]中记录的决策树路径，[E.Just.DT.CRY-1]中提供的理由不正确或缺失。
— 否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
158
6.11.1.4.5 功能完整性评估
6.11.1.4.5.1 评估目的
本评估案例为功能性评估，旨在评估[E.Info.CRY-1.Assets.Cryptography]中的文档是否完整。
6.11.1.4.5.2 先决条件
设备处于运行状态。
6.11.1.4.5.3 评估单元
检查是否有证据表明设备上使用了[E.Info.CRY-1.Assets.Cryptography]中未记录的加密技术来保护安全资产或网络资产。
注：为减少漏洞或提高安全级别而进行的软件更新所引入的加密技术不得视为偏离文档。
6.11.1.4.5.4 做出判决
如果没有发现在设备上使用的加密技术未被记录在[E.Info.CRY-1.Assets.Cryptography]中，则判定评估案例为“PASS”。
如果发现任何在设备上使用的加密技术未被记录在[E.Info.CRY-1.Assets.Cryptography]中，则判定评估案例为“FAIL”。
否则，将作出“NA”的判决。
6.11.1.4.6 功能充分性评估
6.11.1.4.6.1 评估目的
本评估案例为功能性评估，的目是评估[E.Info.CRY-1.Assets.Cryptography]中的加密文档是否按文档要求实施。
6.11.1.4.6.2 先决条件
设备处于运行状态。
6.11.1.4.6.3 评估单元
对于[E.Info.CRY-1.Assets.Cryptography]中记录的每种加密保护，检查是否有证据表明其实施与文档记录有所偏离。
注：为减少漏洞或提高安全级别而进行的软件更新所造成的差异不应视为与文档的偏差。
6.11.1.4.6.4 做出判决
如果没有证据表明加密与[E.Info.CRY-1.Assets.Cryptography]中的文档存在偏差，则判定评估案例为“PASS”。
如果发现任何证据表明加密与[E.Info.CRY-1.Assets.Cryptography]中的文档存在偏差，则判定该评估案例为“FAIL”。
否则，将作出“NA”的判决。
FprEN 18031-1:2024 (E)
159
附件A
(资料性)
理由
A.1 总述
本附件介绍了与本文件有关的术语和概念的基本原理。
A.2 理由
A.2.1 标准系列
本文件属于一套三项标准，旨在满足第2014/53/EU号指令[33]第3.3.d、3.3e和3.3.f条中定义的基本要求，并由欧盟委员会委托法规(EU)2022/30[34]激活。通过使用《无线电设备指令》，我们迈出了第一步，开始对欧洲市场上的无线电设备实施网络安全要求，因为安全性的缺失在过去和现在都是社会日益关注的问题，尤其是消费类物联网设备。
虽然这三项标准侧重于不同的基本要求（对网络的危害、个人数据和隐私以及防止（金融）欺诈），但每项标准都有其独特和重叠的要求，需要实施越来越多更强大的安全控制措施，以保护网络、隐私和金融资产在不断发展的威胁环境中运行。
具体的无线电设备是否需要适用一种或多种标准，需要经济经营者通过产品相关风险评估[35]进行考虑，以确定威胁并评估满足《无线电设备指令》基本要求的风险。欧盟委员会的RED[36]和蓝色指南[35]可以提供更多相关指引。
A.2.2 设计安全
有效的安全管理需要既定的安全设计流程，而本文件并未涵盖这一点，因为本文件定义了设备的通用安全要求。有助于满足安全要求的安全设计流程标准范例包括：
— IEC62443-4-1[1]：工业自动化和控制系统的安全性-第4-1部分：安全产品开发生命周期要求
— NIST800-160[16]：系统安全工程；可信安全系统工程中多学科方法的考虑因素
— NIST800-218[17]：安全软件开发框架(SSDF)
— 微软安全开发生命周期(SDL)
— SAFECode安全软件开发基本实践
— GSMAFS.16NESAS开发和生命周期安全要求
FprEN 18031-1:2024 (E)
160
A.2.3 威胁建模和安全风险评估
STRIDE是分类方案的一个示例，可用于系统分解，根据攻击者使用的漏洞类型来描述已识别威胁的特征。STRIDE缩写词由以下每个威胁类别的第一个字母组成：
表A.1-STRIDE
威胁
期望的属性
说明
欺骗
真实性
通过冒充他人（凭证、网络地址）非法访问资产
篡改
诚信
防止恶意修改数据（包括系统配置）
抵赖
不可抵赖性
能够证明双方之间发生过行动（并且不允许重复发生）
信息披露
保密性
不要向未经授权的用户披露任何信息（个人数据、系统配置）
拒绝服务
可用性
通过使系统超负荷运行，使授权用户无法使用系统或数据
提升特权
授权
无权限用户获得权限访问，可能危及整个系统
每个安全属性都有主要的缓解技术，以应对风险管理过程中可能发现的威胁。表A.2列出了本文档中作为安全要求提供的缓解措施清单，并按ISO/IEC TR 27103[39]和NIST网络安全框架[40]定义的以下类别进行了分组：
— 识别：识别目标属性的过程。
— 保护：限制或遏制潜在网络安全事件影响的能力。
o 预防：避免或排除网络安全事件的措施。
o 限制：旨在减少网络安全事件影响的措施。
— 检测：旨在检测网络安全事件的安全控制措施。
— 响应：针对检测到的网络安全事件执行适当的活动。
— 恢复：适当的活动，以维持韧性计划，并恢复因网络安全事件而受损的任何能力或服务。
表A.2是每个STRIDE类别的威胁与单个安全要求实现的缓解措施的可视化映射。可对缓解技术进行评估和实施，以帮助确保它能根据无线电设备用例和预期功能应对已识别的威胁。
FprEN 18031-1:2024 (E)
161
表A.2-安全要求、能力、缓解技术和设计原则
缓解类别
安全要求/能力/缓解技术/设计原则
S
T
R
I
D
E
确定
验证机制（AUM）
X
X
X
保密加密密钥(CCK)
X
X
X
保护
预防
访问控制机制（ACM）
X
X
X
X
安全存储机制（SSM）
X
X
X
X
安全通信机制（SCM）
X
X
X
X
X
加密（CRY）
X
X
最新的软件和硬件（GEC-1）
X
X
X
X
X
X
配置可选服务（GEC-3）
X
X
X
用户文档(GEC-4)
X
限制
限制暴露（GEC-2和GEC-5）
X
X
输入验证（GEC-6）
X
X
检测
网络监测机制（NMM）
X
X
X
回应
流量控制机制（TCM）
X
X
X
X
恢复
安全更新机制（SUM）
X
X
X
X
X
X
韧性机制（RLM）
X
制造商将确定的威胁作为安全风险评估的输入之一，以确定所选缓解措施的影响和适当性。
A.2.4 功能充分性评估
功能充分性评估，即对实施的充分性进行评估和测试，采用不同的、取决于需求的方法来促进有效评估。
在一种方法中，评估单元确定了要执行的行动，以识别所需信息中的文件与受测设备的实际执行之间的偏差。
注：概念性评估已包括对提供的所需信息文件的评估。
在另一种方法中，评估单元定义了要执行的操作，以直接评估设备对要求的执行情况，从而识别潜在的偏差，例如从攻击者的角度。
A.2.5 实施类别
一般来说，要求和评估标准的制定可以涵盖不同的技术实施。不过，某些功能充分性评估单元除了提供通用评估单元外，还提供适用于通用技术解决方案的具体实施评估单元，称为“实施类别”。
FprEN 18031-1:2024 (E)
162
A.2.6 资产
为确保三项横向标准（每项标准都涉及特定范围）的要求协调一致，我们引入了资产作为适用要求的主要目标。表A.3概述了不同类型的资产：
表A.3–资产和关键要求
基本要求
3.3.d
3.3.e
3.3.f
安全资产
✓
✓
✓
网络资产
✓
隐私资产
✓
金融资产
✓
保护资产不仅仅是保护设备存储和传输或以其他方式处理的特定数据，还包括保护设备使用的功能和这些功能的配置。
这种相关性反映在如下所示的资产定义中：
图A.1-设备的网络资产
网络功能的例子有：
— 网络堆栈，如TCP/IP实施
— DNS服务实施，为其他设备提供网络地址解析服务。
FprEN 18031-1:2024 (E)
163
图A.2-设备的安全资产
安全参数是安全功能中用于保护资产的信息：
— 根据定义，保密安全参数(CSP)是与安全相关的秘密信息，其泄露会危及资产的安全。典型的例子包括PIN码和口令、对称加密密钥或私密非对称加密密钥。
— 敏感安全参数(SSP)是与安全相关的信息，对其进行操作会危及资产的安全。典型的例子是对称和非对称加密密钥或访问权限。
— 公共安全参数是不保密的敏感安全参数。典型的例子是公共非对称密钥。
— 安全参数既可以是敏感的，也可以是保密的，根据上述例子，私密对称加密密钥通常就属于这一类。
安全功能用于保护网络资产或其他安全资产。例如，访问控制机制的实施就是一种安全功能。
在某些情况下，安全功能甚至会保护自身的安全参数，例如，在允许访问敏感或保密的访问控制安全参数之前，可能会进行访问控制。
本文件没有确定安全资产和网络资产文件的颗粒度。文档工作的适当颗粒度可考虑特定资产（组）的共同访问路径和访问控制机制。例如，敏感安全参数只能通过使用特定访问控制机制的特定应用程序接口访问，可以将这些参数归为一组。
A.2.7 机制
本文件使用机制的概念来处理特定的安全要求，以促进这些要求在不同类型设备的实施和使用中的适用性和适当性。由于本文件是横向标准，因此需要涵盖广泛的产品和使用案例。
通用安全目标是否要实现以及如何实现，取决于预期的设备功能和预期的操作使用环境。它们会影响实际要求的安全措施的实施以及这些控制措施在特定设备中的强度。特定的安全措施可能适用于某一产品，但对于其他产品或在其他环境中使用的同一产品来说，可能太弱或太强。
FprEN 18031-1:2024 (E)
164
本文件提供了具体的限制和评估问题，以指引和避免完全依赖制造商对必要安全措施的审查，从而解决与设备预期功能和预期使用操作环境相关的安全问题。
为指引本文件用户何时应用某种机制，第一项要求便涉及该机制的适用性。这些要求可能有一个“除外”部分，列出了不需要该机制的潜在条件。如果确定该机制不适用，则该具体条款中的所有进一步要求都不再是强制性的。
当需要机制时，通过评估要求和评估标准的适当性类型来确定机制的充分性。条款中的任何支持性要求也同样适用。
例如，在评估某项要求是否适用于外部接口时，要针对每个外部接口分别决定是否需要满足该要求和所有其他要求。
A.2.8 评估标准
在不影响本文件技术中立精神的前提下，对设备的安全机制、功能或其他责任的定义做到了尽可能精确和客观。制造商如何履行每项义务将通过提供设备符合性测试的输入来记录。
FprEN 18031-1:2024 (E)
165
A.2.8.1 决策树
一项机制或要求是否适用或适当，取决于预期用途和预期的使用操作环境。本文件使用决策树来帮助决策和评估，以提供明确的方向。下面是一个例子：
图A.3-决策树示例
大多数决策树都以设备为起点，然后是一个可迭代的元素（如上述资产）。对于每个元素，都要回答有关设备特性或相关环境因素的问题。每个决策树至少有一个或多个“PASS”和“FAIL”路径，也可以选择一个或多个“NA”路径。每种所选路径的理由都必须记录在案。
A.2.8.2 技术文件
评估取决于制造商技术文件中应提供的信息，以及为相应实施类别（如有）规定的应用测试方法的结果。制造商技术文档中需要包含的具体评估信息元素以[E.Info.xxxxx]表示，其中xxxxx表示所需的具体信息集，例如[E.Info.ACM-1.ACM]是为ACM-1要求的评估提供的访问控制机制信息的标识，或[E.Info.AUM-1-1.ACM.NetworkInterface]包括AUM-1-1要求的评估所需的网络接口的描述。
一些预期的一般信息是：
— 有关预期设备功能的信息
— 设备的技术信息
— 考虑到具体的使用情况宣布的最佳实践
— 具体细节，如外部接口列表
— 安全风险评估
对某项要求的评估可能需要与其他要求相同或相似的信息（如接口信息），在这种情况下，可在文件中使用参考信息。
FprEN 18031-1:2024 (E)
166
作为评估的输入，决策树的路径以[E.Info.DT.xxxxxx]表示，理由以[E.Just.DT.xxxxxx]表示。根据所选的实施类别和决策树路径，并非所有显示的信息要素都是必需的。下表只是一个例子，说明概念评估如何实现这一点。
图A.4-示例：决策树证据
A.2.8.3 安全测试
大多数安全控制措施的充分性是无法量化测量的，因为没有与温度计或频率计相当的仪器来测量设备的安全状况，也没有严格的定义来确定什么时候好就是足够好。
因此，结果取决于评估者对威胁环境的了解和看法，以及在特定环境中什么适合特定设备，从而进一步导致难以确定可核实、客观和可重复的测试标准，因为即使是两个评估者也可能有微妙的不同观点和/或意见。
安全测试工具通常使用否定测试，证明某些弱点并不明显，但由于安全工具会不断更新，在更新信息或运行更长时间后可能会发现新的问题，因此这也不会导致测试结果的可重现性。
因此，本文件所采用的方法可以改善评估结果，但无法解决这一问题。大多数评估都是在提供了充分信息的基础上进行的。
FprEN 18031-1:2024 (E)
167
A.2.9 接口
接口是描述实体间通信关系的基本概念。接口定义采用分层结构：
表A.4-接口
定义
备注
界面
抽象基础定义
外部接口
针对设备的定义
用户界面
适用于设备的特定接口类型
机器接口
网络接口
分层结构可以用以下关系来描述：
— “外部接口”就是“接口”。
— “用户界面”、“机器接口”和“网络接口”都属于“外部接口”。
本文档仅定义了本文档范围内的特定接口类型。
设备与实体之间的通信采用分层通信模型。根据每个通信层的使用情况，可能会使用不同类型的接口。
例如，设备上的网络服务可向设备提供一个网页，以便与设备的用户进行交互。虽然从应用的角度来看，这是一个用户界面，但网页是通过网络接口在网络上传输的。
下面的例子说明了这种方法。
A.2.9.1 示例：内置键盘的笔记本电脑
在本例中，键盘是设备的一个组成部分。设备通过用户界面与用户通信。
图A.5-示例：内置键盘的笔记本电脑
A.2.9.2 举例说明：带USB键盘的设备
在此示例中，键盘不是设备的一部分，而是通过USB接口连接。从设备的角度来看，键盘是一个外部设备，通过机器接口与设备进行通信。然而，从应用程序的角度来看，与用户的通信是通过用户界面进行的。
FprEN 18031-1:2024 (E)
168
图A.6-示例：带USB键盘的设备
A.2.9.3 示例：网络用户界面
用户使用键盘通过网络与设备进行通信。在此示例中，键盘是内置在设备中，还是通过其他方式连接到设备上并不重要。
设备使用网络堆栈与用户设备进行通信，因此在这一层上，通信是通过网络接口进行的。从应用程序的角度来看，设备的应用程序和用户之间使用的是用户界面。
图A.7-示例：网络用户界面
A.2.9.4 示例：USB打印机
打印机通过USB与设备连接。该示例与USB键盘类似，唯一不同的是，从应用角度来看，通信是通过机器接口进行的。
图A.8-示例：USB打印机
A.2.9.5 示例：网络打印机
在本例中，设备与一台可通过网络连接的打印机进行通信。与网络用户界面的例子一样，打印机如何连接到网络并不重要。在应用层，通信是通过机器接口进行的，而从网络层的角度来看，通信使用的是网络接口。
FprEN 18031-1:2024 (E)
169
图A.9-示例：网络打印机
FprEN 18031-1:2024 (E)
170
附件B
(信息性)
与EN IEC62443-4-2:2019标准的映射关系
B.1 总述
本说明性附件旨在提供本文件中的要求与ENIEC62443-4-2：2019[2]中规定的组件要求(CR)之间的映射，以便为同时应用EN IEC62443-4-2：2019[2]的制造商提供支持。
所需的安全级别和适用要求是根据制造商进行的风险评估结果确定的。
安全产品开发生命周期相关要求在EN IEC62443-4-1:2018中进行规定，本附件不涉及。
满足EN IEC62443-4-2：2019要求（证书形式）本身并不表示符合本文件中的要求。
B.2 映射
安全要求编号 EN IEC 62443-4-2:2019 安全要求编号
ACM-1
FR1：CR1.1-CR1.14
CR2.1
CR2.2
CR2.3
ACM-2
FR1：CR1.1-CR1.14
CR2.1
CR2.2
CR2.3
AUM-1
FR1：CR1.1-CR1.14
AUM-2
FR1：CR1.1-CR1.14
AUM-3
CR1.5
CR1.10
AUM-4
CR1.5
AUM-5
CR1.7
AUM-6
CR1.11
CR1.7
SUM-1
CR3.10
SUM-2
CR3.10
FprEN 18031-1:2024 (E)
171
安全要求编号 EN IEC 62443-4-2:2019 安全要求编号
SUM-3
CR3.10
SSM-1
CR3.1
CR4.1
SSM-2
CR3.1
SSM-3
CR4.1
SCM-1
CR3.1
CR3.8
CR4.1
SCM-2
CR3.1
CR3.8
CR4.1
SCM-3
CR4.1
SCM-4
CR3.1
CR3.8
RLM-1
CR7.1
CR7.2
CR7.4
NMM-1
CR5.2
CR6.1
CR6.2
TCM-1
CR5.2
CCK-1
CR4.3
CR1.9
CR1.14
CCK-2
CR4.3
CCK-3
CR4.3
GEC-1
ENIEC62443-4-2:2019中的CR未覆盖
GEC-2
CR7.6
CR7.7
CR5.2
GEC-3
CR2.1
CR7.6
CR5.2
GEC-4
CR7.6
GEC-5
CR7.7
FprEN 18031-1:2024 (E)
172
安全要求编号 EN IEC 62443-4-2:2019 安全要求编号
GEC-6
CR3.5
CRY-1
CR4.3
FprEN 18031-1:2024 (E)
173
附件C
(信息性)
与ETSI EN303 645（消费物联网网络安全：基准要求）的映射关系
C.1 总述
本附件提供了一个映射，说明ETSI EN303 645[5]的哪些规定可用于支持无线电设备符合本文件要求的演示。
C.2 映射关系
安全要求编号 ETSIEN303645[5]规定：理由
ACM-1
规定5.5-4.
规定涉及设备功能，包括安全资产和网络资产。
规定5.5-5.
该规定的重点是安全配置，这也是安全资产的一部分。
ACM-2
规定5.5-5.
安全资产包括该条款所涵盖的安全配置。
规定5.6-7.
确保遵循指引部分中的最小权限原则。
AUM-1
规定5.5-4.
本规定只涉及初始状态。
规定5.5-5.
安全资产包括该条款所涵盖的安全配置。
AUM-2
和CRY-1
规定5.1-3:.
针对设备的身份验证可以假定为包括网络资产和安全资产的保护，要求采用最佳实践的加密技术，包括身份验证机制（可包括基于PKI的身份验证）。
AUM-3
EN303645[5]中未覆盖
AUM-4
规定5.1-4.
该条款涉及验证机制的变更，其中包括认证令牌。
AUM-5
规定5.1-1.
不同设备的密码具有唯一性。
FprEN 18031-1:2024 (E)
174
安全要求编号 ETSIEN303645[5]规定：理由
规定5.1-2.
默认口令应由CSPRNG生成，因此不会受到自动攻击。
规定5.1-3.
该条款涵盖了“关于强度的最佳实践”的要求，因为它要求使用最佳实践的加密技术。
AUM-6
规定5.1-5.
规定和要求都要求保护/缓解暴力攻击（包括大规模身份验证攻击）的影响
SUM-1
规定5.3-1:.
该规定要求对每个组件进行安全更新。规定5.3-2.
如果没有其他不进行安全更新的理由（如设备受限），则必须进行安全更新
规定5.3-15.
该指南包括设备替代策略。
SUM-2
规定5.3-9.
该规定保证了更新的真实性和完整性。
规定5.3-10.
该规定保证了更新的真实性和完整性，尤其是通过网络进行的更新。
SUM-3
规定5.3-3.
指南包括从用户角度看来是简单的可更新性。
规定5.3-4.
该规定包括无需人工操作的自动更新。
规定5.3-5.
指引包括在启动后评估更新和定期检查更新。
规定5.3-6.
指引部分主要包括“要求用户同意激活自动更新”和“在启动后定期检查更新”。
SSM-1
规定5.4-1.
安全资产（包括安全参数）需要安全的存储机制。
规定5.6-3.
该条款只涉及物理保护，但“硬件和物理保护”被纳入指引部分。
SSM-2
规定5.4-1.
该条款还对安全资产进行保护（包括安全参数）。
规定5.4-2.
FprEN 18031-1:2024 (E)
175
安全要求编号 ETSIEN303645[5]规定：理由
该规定旨在提供保护，防止完整性丢失，如篡改。本标准的基本原理包括防止篡改，但该条款只关注硬编码身份的情况。
SSM-3
规定5.4-1.
安全资产（包括安全参数）需要安全的存储机制。
SCM-1
规定5.5-6.
关键安全参数受到该条款的保护，但网络资产则不一定。
规定5.5-7.
该规定的重点是安全参数的保密性。
SCM-2
EN303645[5]中未覆盖
SCM-3
规定5.5-6.
该规定要求对传输的关键安全参数进行加密。
规定5.5-7.
该规定要求对传输的关键安全参数进行加密。
SCM-4
规定5.5-1.
最佳加密实践包括抵御重放攻击（见术语部分）。
RLM-1
规定5.9-1.
规定中没有明确提及DoS攻击，但由于重点关注韧性，其结果可视为“数据网络中断”。
NMM-1
EN303645[5]中未覆盖
TCM-1
EN303645[5]中未覆盖
CCK-1
EN303645[5]中未覆盖
CCK-2
规定5.1-3.
保护访问安全资产的方法应使用最佳加密实践。
CCK-3
规定5.1-1.
指引部分包括“安全凭证”，其中包括口令。
规定5.4-4.
两个标准都要求安全参数必须是唯一的。
FprEN 18031-1:2024 (E)
176
安全要求编号 ETSIEN303645[5]规定：理由
GEC-1
该要求未被涵盖在产品要求层面。不过，符合工艺规定5.2-1、5.2-2和5.2-3的制造商将更容易满足GEC-1要求。
GEC-2
规定5.6-1.
两个标准都要求安全参数必须是唯一的。
规定5.6-5.
两个标准中的服务只允许用于操作和设置设备。
GEC-3
EN303645[5]中未覆盖
GEC-4
EN303645[5]中未覆盖
GEC-5
规定5.6-1.
非预期设备功能可视为未使用。
规定5.6-3.
本标准仅涵盖物理接口。
GEC-6
规定5.13-1.
规定和要求都需要输入验证。
CRY-1
规定5.1-3.
该条款涉及验证机制，是要求的一部分。
规定5.3-7.
该条款涉及安全更新，是要求的一部分。
规定5.5-1.
该条款涉及安全通信，是要求的一部分。
规定5.5-2.
指引部分最好使用经过审查或评估的加密技术。
规定5.5-3.
该条款涉及密码灵活性，在指引部分被提及。
FprEN 18031-1:2024 (E)
177
附件D
(信息性)
与物联网平台安全评估标准（SESIP）的映射关系
D.1 总述
本附件提供了一个映射示意图，说明对无线电设备所基于的连接平台进行SESIP（EN17927:2023）评估的结果如何被用作支持无线电设备符合本文件要求的证据。
D.2 映射关系
安全要求编号 EN17927:2023 SESIP支持-设备元件/子元件级别的实施和评估证据
ACM-1
至ACM-2
加密操作、加密密钥生成、加密密钥存储和/或加密随机数生成：这些SESIP安全主张评估了安全加密服务的实施情况，设备可利用这些服务实施访问控制机制。
认证访问控制：这一SESIP安全主张评估的是基于认证的安全访问控制机制的实施情况，该机制可直接由设备用于访问控制目的。
AUM-1
至AUM-6
加密操作、加密密钥生成、加密密钥存储和/或加密随机数生成：这些SESIP安全主张评估了安全加密服务的实施情况，设备可利用这些服务实施身份验证机制。
认证访问控制：这一SESIP安全主张评估的是基于认证的安全访问控制机制的实施情况，设备可直接使用该机制进行认证。
要求的明确细化可要求验证器的验证、更改验证器的能力、防止静态值和默认值。防止暴力和其他加密攻击是SESIP漏洞分析(AVA_VAN.SESIP)评估活动的一部分。
SUM-1
至SUM-3
平台安全更新、应用程序安全更新：本SESIP安全主张评估受评设备元件可变部分的安全更新机制的实施情况，包括待安装/待加载图像的完整性和真实性验证。
ALC_FLR：本SESIP评估活动评估被评估设备元件是否具有缺陷修复过程，以便能够对现场发现的安全问题进行监测、报告和纠正，并触发安全更新机制的使用，以减少安全问题。
FprEN 18031-1:2024 (E)
178
SSM-1
至SSM-3
安全可信存储、安全保密存储、安全加密存储和/或安全数据序列化：这些SESIP安全主张评估了安全存储机制的实施情况，包括真实性、完整性和/或保密性保护，具体取决于所需的相关存储资产保护。
加密密钥存储：本SESIP安全声明评估被评估元素是否实现了加密材料的安全存储服务，无线电设备可使用此服务存储保密加密密钥。
SCM-1
至SCM-4
安全通信支持和安全通信执行：这些SESIP安全主张评估安全通信机制的实施情况，包括真实性、完整性、保密性和/或重放保护，具体取决于所需的相关传输资产保护。
RLM-1
对环境能力的限制性要求：本SESIP安全主张评估的是，接受评估的要素是否根据一系列规则限制了其对环境的要求，从而避免对环境提出不当要求，然后支持最终的无线电设备，以减轻正在发生的拒绝服务攻击的影响。
可用性支持：本SESIP安全要求评估的是支持确定的操作列表可用性机制的实施情况，从而支持最终设备以缓解持续拒绝服务攻击的影响。
NMM-1
通用安全平台功能：本SESIP安全主张评估的是一种机制的实施情况，这种机制与被评估的元素非常相关，可以是设备层面对网络监控机制的任何支持。
加密操作、加密密钥生成、加密密钥存储和/或加密随机数生成：这些SESIP安全主张评估了安全加密服务的实施情况，设备可能需要这些服务来支持或实施网络监控机制。
TCM-1
通用安全平台功能：本SESIP安全主张评估的是一种与被评估元素非常相关的机制，可能是在设备层面对流量控制机制的支持。
加密操作、加密密钥生成、加密密钥存储和/或加密随机数生成：这些SESIP安全主张评估了安全加密服务的实施情况，设备可能需要这些服务来支持或实施流量控制机制。
FprEN 18031-1:2024 (E)
179
CCK-1
至CCK-3
加密密钥生成：本SESIP安全主张评估的是加密密钥生成的实施情况，无线电设备可使用加密密钥生成来解决CCK-2问题。
所有涉及加密密钥（加密服务、安全初始化、安全更新、安全通信、安全存储等）的SESIP安全服务主张都要进行评估，以验证这些密钥是否得到安全处理，以及是否符合最佳加密实践。
对此类安全服务主张的明确细化可以要求保密加密密钥不使用静态默认值。
GEC-1
至GEC-6
AVA_VAN.SESIP：本SESIP安全性评估活动要求对声称的安全服务实施进行漏洞分析，在分析过程中：
— 验证需要评估的实施不包含公开已知的可利用漏洞，并且每个生命周期状态只暴露必需的接口。
— 评估是否进行了必要的输入验证。
安全开发：此SESIP安全主张评估被评估元件是否按照安全开发规则开发，其中可能包括验证暴露的攻击面。请注意，《无线电设备指令》只涉及特定产品要求，而不包括流程要求，因此这项活动属于补充行动。
AGD_OPE/PRE：这些SESIP安全评估活动要求记录向用户提供的安全服务。
CRY-1
所有涉及加密密钥的SESIP安全服务主张评估（加密服务、安全初始化、安全更新、安全通信、安全存储等）都要验证这些密钥是否得到安全处理，是否符合最佳加密实践。
FprEN 18031-1:2024 (E)
180
附件ZA
(信息性)
本欧洲标准与补充欧洲议会和欧洲理事会第2014/53/EU号指令的第2022/30号授权条例（欧盟）之间的关联，涉及该指令第3(3)条第(d)(e)和(f)点中提及的基本要求的适用范围。
本欧洲标准是根据欧盟委员会C(2022)5637号标准化要求及其C(2023)5624号最终修正案编制的，旨在就第3(3)条提及的基本要求的应用，提供一种符合欧洲议会和欧盟理事会第2014/53/EU号指令[OJL153]基本要求的自愿性方法。
如果本欧洲标准中定义的术语与该条例中定义的术语不同，则以该条例中定义的术语为准。
一旦本标准根据（EU）2022/30号授权条例在《欧盟官方公报》中引用，在本标准范围内，符合表ZA.1所列的本标准规范条款，即推定符合第2014/53/EU号指令及相关欧洲自由贸易联盟条例的相应基本要求。
表ZA.1-本欧洲标准与第2014/53/EU号指令[OJL153]之间的对应关系
第2014/53/EU号指令的基本要求
本《实施准则》的条款/子条款
备注/说明
3.3.(d)
第6.1、6.2、6.3、6.4、6.5、6.6条、
6.7,6.8,6.9,6.10.1,6.10.2,
6.10.3,6.10.5,6.10.6,6.11
3.3.(e)
3.3.(f)
警告1-只有在《欧盟官方公报》公布的清单中保留对本欧洲标准的引用时，合格推定才有效。本标准的用户应经常查阅《欧盟官方公报》上公布的最新清单。
警告2-本标准范围内的产品可能适用其他欧盟法规。
FprEN 18031-1:2024 (E)
181
参考资料
[1] IEC EN 62443-4-1, Security for industrial automation and control systems – Part 4-1: Secure product
development lifecycle requirements
[2] IEC EN 62443-4-2, Security for industrial automation and control systems – Part 4-2: Technical
security requirements for IACS components
[3] ISO/IEC EN 27002:2022, Information security, cybersecurity and privacy protection – Information
security controls
[4] ISO/IEC EN 24760 series, IT Security and Privacy – A framework for identity management
[5] ETSI EN 303 645, Cyber Security for Consumer Internet of Things – Baseline Requirements
[6] ETSI TS 103 701, Cyber Security for Consumer Internet of Things – Conformance Assessment of
Baseline Requirements
[7] NIST SP 800-57, Recommendation for Key Management, Part 1 Rev.5
[8] NIST SP 800-63 series, Digital Identity Guidelines
[9] NIST SP 800-63B, Digital Identity Guidelines – Authentication and Lifecycle Management
[10] NIST SP 800-90A Rev.1, Recommendation for Random Number Generation Using Deterministic
Random Bit Generators
[11] NIST SP 800-90B, Recommendation for the Entropy Sources Used for Random Bit Generation
[12] NIST SP 800-90C, Recommendation for Random Bit Generator (RBG) Constructions
[13] NIST SP 800-108r1, Recommendation for Key Derivation Using Pseudorandom Functions
[14] NIST SP 800-131A Rev.2, Transitioning the Use of Cryptographic Algorithms and Key Lengths
[15] NIST SP 800-132, Recommendation for Password-Based Key Derivation: Part 1: Storage
Applications
[16] NIST SP 800-160, Engineering Trustworthy Secure Systems
[17] NIST SP 800-218, Secure Software Development Framework (SSDF) – Recommendations for
Mitigating the Risk of Software Vulnerabilities
[18] BSI AIS 31, A Proposal for Functionality Classes for Random Number Generators
[19] BSI TR-02102 series, Cryptographic Mechanisms: Recommendations and Key Length, Version
2023-1
[20] FIPS 140-2, Security Requirements for Cryptographic Modules
[21] FIPS 140-3, Security Requirements for Cryptographic ModulesFprEN 18031-1:2024 (E)
180
[22] SOG-IS Crypto Evaluation Scheme Agreed Cryptographic Mechanisms
[23] ANSSI PA-79, guide de sélectiond’algorithmes cryptographiques
[24] EPC 342-08, Guidelines on cryptographic algorithms usage and key management/ Version 9.0 /
PSSG European Payments Council publication
[25] ETSI TS 119 312 Electronic Signatures and Infrastructures; Cryptographic Suites
FprEN 18031-1:2024 (E)
182
[26] ISO/IEC 11770:2010 series Information technology, Security techniques, Key management
[27] ISO/IEC 33001:2015 Information technology, Process assessment, Concepts and terminology
[28] IEC EN 62443-1-1:2019, Industrial communication networks – Network and system security –
Part 1-1: Terminology, concepts and models
[29] NIST SP 800-172, Protecting Controlled Unclassified Information in Nonfederal Systems and
Organizations
[30] ISO/IEC Guide 51:2014, Safety aspects, Guidelines for their inclusion in standards
[31] IEC Electropedia, https://www.electropedia.org/
[32] ENISA Glossary, https://www.enisa.europa.eu/topics/risk-management/current-risk/riskmanagement-inventory/glossary
[33] Directive 2014/53/EU of the European Parliament and of the Council of 16 April 2014 on the
harmonisation of the laws of the Member States relating to the making available on the market of
radio equipment and repealing Directive 1999/5/EC
[34] Commission Delegated Regulation (EU) 2022/30 of 29 October 2021 supplementing Directive
2014/53/EU of the European Parliament and of the Council with regard to the application of the
essential requirements referred to in Article 3(3), points (d), (e) and (f), of that Directive
[35] EU Commission ‘Blue Guide’ on the implementation of EU product rules, 2022
[36] EU Commission ‘RED guide’ Guide to radio Equipment Directive 2014/53/EU, 2018
[37] BSI AIS 20, Functionality classes and evaluation methodology for deterministic random number
generators
[38] ISO/IEC 18031, Information technology, Security techniques, Random bit generation
[39] ISO/IEC TR 27103:2018, Information technology, Security techniques, Cybersecurity and ISO and
IEC Standards
[40] The NIST Cybersecurity Framework (CSF) 2.0

作者

留言

撰寫回覆或留言取消回覆

18031-1-cn

作者

留言

撰寫回覆或留言 取消回覆

撰寫回覆或留言取消回覆