1-安全保密產(chǎn)品檢測(cè)申請(qǐng)書 (1)

《1-安全保密產(chǎn)品檢測(cè)申請(qǐng)書 (1)》由會(huì)員分享，可在線閱讀，更多相關(guān)《1-安全保密產(chǎn)品檢測(cè)申請(qǐng)書 (1)（37頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、安全保密產(chǎn)品檢測(cè)申請(qǐng)書 國(guó)家保密科技測(cè)評(píng)中心 產(chǎn)品檢測(cè)申請(qǐng)書 申報(bào)單位（公章）： 產(chǎn)品名稱： （名稱命名規(guī)則可參考8.2） 規(guī)格型號(hào)： 申報(bào)日期： 年 月 日 國(guó)家保密科技測(cè)評(píng)中心制 2016年6月目 錄 1. 聲明 4 2. 《申請(qǐng)書》填寫要求 5 3. 《申請(qǐng)書》報(bào)送要求 5 4. 測(cè)評(píng)中心聯(lián)系方式 6

2、5. 申報(bào)單位承諾書 7 6. 申報(bào)單位信息 8 6.1 單位基本信息 8 6.2 單位相關(guān)資質(zhì)證明 8 6.3 單位簡(jiǎn)介 8 6.4 單位保密管理情況介紹 9 7. 申報(bào)單位代理人 10 7.1 委托書 10 7.2 產(chǎn)品代理人簡(jiǎn)況 10 7.2.1 產(chǎn)品代理人信息 10 7.2.2 產(chǎn)品代理人身份證復(fù)印件正反面（或以附件形式提供） 11 7.3 產(chǎn)品主要技術(shù)負(fù)責(zé)人簡(jiǎn)況 11 7.3.1 產(chǎn)品主要技術(shù)負(fù)責(zé)人信息 11 8. 產(chǎn)品信息 12 8.1 產(chǎn)品基本情況 12 8.2 產(chǎn)品類別 12 8.3 產(chǎn)品主要開發(fā)人員列表 17 8.4 產(chǎn)品送測(cè)清單 17 8

3、.5 送測(cè)產(chǎn)品實(shí)物照片 19 8.6 知識(shí)產(chǎn)權(quán)情況說(shuō)明 20 8.7 特殊說(shuō)明事項(xiàng) 21 8.8 其他材料 21 9. 技術(shù)文檔 21 9.1 產(chǎn)品安全目標(biāo)文檔 21 9.2 配置管理 26 9.2.1 配置管理能力 26 9.2.2 配置管理范圍 26 9.3 交付和運(yùn)行 27 9.3.1 交付 27 9.3.2 安裝、生成和啟動(dòng)程序 27 9.4 研制背景介紹文檔 27 9.5 功能規(guī)范文檔 27 9.6 高層設(shè)計(jì)文檔 28 9.7 指導(dǎo)性文檔 28 9.8 測(cè)試相關(guān)文檔 28 9.8.1 其他測(cè)評(píng)機(jī)構(gòu)出具的產(chǎn)品檢測(cè)證書和報(bào)告（復(fù)印件） 28 9.8.2

4、 自測(cè)報(bào)告 28 9.8.3 測(cè)試范圍分析 32 9.8.4 測(cè)試深度分析 32 9.9 生命周期支持相關(guān)文檔 32 9.10 產(chǎn)品安全性分析文檔 32 9.10.1 誤用分析 32 9.10.2 安全功能強(qiáng)度分析 32 9.10.3 脆弱性分析 32 9.11 關(guān)鍵技術(shù)說(shuō)明文檔 33 9.12 安全保密作用說(shuō)明文檔 33 10. 附件清單 34 1. 聲明 申請(qǐng)方在正式填寫本申請(qǐng)書前，須認(rèn)真閱讀并理解以下內(nèi)容： （1） 在提交產(chǎn)品樣品前，建議申報(bào)單位嚴(yán)格進(jìn)行產(chǎn)品自測(cè)，確保產(chǎn)品質(zhì)量。凡檢測(cè)樣品在我中心檢測(cè)期間因質(zhì)量問(wèn)題導(dǎo)致無(wú)法安裝或運(yùn)行的，將計(jì)為一次檢測(cè)

5、不合格，由此可能帶來(lái)檢測(cè)周期延長(zhǎng)和檢測(cè)費(fèi)用增加等后果。 （2） 申報(bào)單位應(yīng)確保在本《申請(qǐng)書》、產(chǎn)品外觀、包裝及相關(guān)文檔中產(chǎn)品名稱、規(guī)格型號(hào)、申報(bào)單位等信息的唯一性和一致性。 （3）我中心不受理防計(jì)算機(jī)病毒類產(chǎn)品和密碼類產(chǎn)品，請(qǐng)勿提交此兩類產(chǎn)品申報(bào)資料。 （4）申報(bào)資料一律不予退回，請(qǐng)申報(bào)方自行留存副本。 （5）測(cè)評(píng)中心將首先對(duì)申報(bào)資料進(jìn)行審查，審查通過(guò)后通知申報(bào)單位送測(cè)產(chǎn)品樣品，請(qǐng)勿同時(shí)提交申報(bào)資料和檢測(cè)樣品。 （6）申報(bào)單位代理人及聯(lián)系郵箱、電話等信息變更時(shí)，請(qǐng)及時(shí)書面通知我中心。以免因申報(bào)方變更聯(lián)系信息后未及時(shí)告知我中心而導(dǎo)致產(chǎn)品檢測(cè)終止。 （7）檢測(cè)完成后，由申報(bào)單位聯(lián)系人到

6、測(cè)評(píng)中心領(lǐng)取檢測(cè)報(bào)告。如對(duì)報(bào)告有關(guān)內(nèi)容存在異議，申報(bào)單位應(yīng)在領(lǐng)取報(bào)告后7日內(nèi)以書面形式提交至我中心，我中心將視情況予以處理，逾期不予受理；如對(duì)報(bào)告有關(guān)內(nèi)容無(wú)異議，申報(bào)單位聯(lián)系人應(yīng)執(zhí)對(duì)產(chǎn)品檢測(cè)報(bào)告無(wú)異議的書面聲明至我中心領(lǐng)取產(chǎn)品檢測(cè)證書。 （8）國(guó)家保密局有特殊管理要求的產(chǎn)品，按國(guó)家保密局相關(guān)規(guī)定執(zhí)行。 2. 《申請(qǐng)書》填寫要求 （1）《申請(qǐng)書》內(nèi)容要具體、真實(shí)、完整。 （2）若產(chǎn)品由多個(gè)單位共同研發(fā)，請(qǐng)?jiān)诘?部分分別詳細(xì)填寫每個(gè)單位的信息。 （3）《申請(qǐng)書》應(yīng)膠裝成冊(cè)；如用戶手冊(cè)、管理員手冊(cè)及其它文檔較多，可作為附件單獨(dú)膠裝成冊(cè)，在《申請(qǐng)書》正文有關(guān)章節(jié)進(jìn)行引用，在《申請(qǐng)書》第10

7、部分“附件清單”中列出名錄并在每份文檔封面左上角標(biāo)注附件序號(hào)。 （4）《申請(qǐng)書》需簽字蓋章同時(shí)加蓋騎縫章方可有效。 （5）《申請(qǐng)書》提交時(shí)應(yīng)紙質(zhì)版一份，刻有《申請(qǐng)書》Word電子版文件和產(chǎn)品基本信息Excel表的光盤一張，盤面上標(biāo)明申報(bào)單位名稱、產(chǎn)品名稱、產(chǎn)品規(guī)格型號(hào)和申報(bào)日期。無(wú)電子版的紙質(zhì)材料，應(yīng)掃描形成電子版文件，并刻錄在光盤中。 3. 《申請(qǐng)書》報(bào)送要求 為避免在報(bào)送過(guò)程中因申報(bào)資料丟失損害申報(bào)單位利益，建議申報(bào)單位安排專人或采用其他安全可控的方式將《申請(qǐng)書》等資料直接送至我中心。 4. 測(cè)評(píng)中心聯(lián)系方式 收 件 人： 國(guó)家保密

8、科技測(cè)評(píng)中心產(chǎn)品檢測(cè)受理室 地 址： 北京市海淀區(qū)交大東路甲56號(hào) 郵 編： 100044 聯(lián)系電話： 010-55622680 55622681 投訴電話： 010-55622681 傳 真： 010-55622681 55622680 網(wǎng) 址： E-mail: nsstec@ 5. 申報(bào)單位承諾書 承諾書 一、 我單位鄭重承諾嚴(yán)格保守產(chǎn)品檢測(cè)活動(dòng)中知悉的國(guó)家保密標(biāo)準(zhǔn)、測(cè)評(píng)方案和測(cè)試方法等國(guó)家秘密。 二、 我單位鄭重承諾已認(rèn)真閱讀并理解了本《申請(qǐng)書》中各項(xiàng)申報(bào)要求及相關(guān)說(shuō)明。

9、 三、 我單位鄭重承諾向國(guó)家保密科技測(cè)評(píng)中心提供不少于兩臺(tái)測(cè)試樣機(jī)，若檢測(cè)過(guò)程中因測(cè)試樣機(jī)自身硬件/軟件故障導(dǎo)致樣機(jī)無(wú)法繼續(xù)使用，我單位將在五個(gè)工作日內(nèi)向國(guó)家保密科技測(cè)評(píng)中心提供同型號(hào)、同版本的測(cè)試樣機(jī)，確保檢測(cè)順利進(jìn)行。 四、 我單位鄭重承諾，將生產(chǎn)、銷售與經(jīng)國(guó)家保密科技測(cè)評(píng)中心檢測(cè)通過(guò)的樣品功能、性能、安全性、外觀、結(jié)構(gòu)、型號(hào)或版本等均嚴(yán)格一致的產(chǎn)品。 五、 我單位鄭重承諾，自覺(jué)接受國(guó)家保密局、國(guó)家保密科技測(cè)評(píng)中心和社會(huì)監(jiān)督，若違反以上承諾，愿接受相關(guān)處理。 法人簽字： 單位公章： 年 月 日 6. 申報(bào)單位信息 應(yīng)參照以下要求提供證明單位資質(zhì)

10、的有關(guān)信息和證明材料。 6.1 單位基本信息 此頁(yè)內(nèi)容應(yīng)與企業(yè)法人營(yíng)業(yè)執(zhí)照副本內(nèi)容嚴(yán)格一致。 單位全稱（中文） 單位全稱（英文） 單 位 性 質(zhì) 業(yè) 務(wù) 范 圍 地 址 郵政編碼 法定代表人姓名 職 務(wù) 法定代表人電話 法人代表E-mail 6.2 單位簡(jiǎn)介 應(yīng)簡(jiǎn)要介紹單位的基本情況，包括成立背景、主體業(yè)務(wù)、企業(yè)規(guī)模、資質(zhì)和專利、近三年的主要業(yè)績(jī)、科研生產(chǎn)能力、質(zhì)量管理、售后服務(wù)和人員管理等。 6.3 單位相關(guān)資質(zhì)證明（作為附件1單獨(dú)裝訂） 具體要求詳見(jiàn)附件1

11、6.4 單位保密管理情況介紹 應(yīng)提供單位保密管理的基本情況，具體包括： 1. 保密設(shè)施設(shè)備清單（含涉密信息系統(tǒng)、信息設(shè)備）。 2. 單位保密管理制度。 3. 保密管理情況報(bào)告（含保密組織機(jī)構(gòu)設(shè)置、保密制度建設(shè)、涉密人員審查及教育管理、保密要害部位管理、保密設(shè)備配備及設(shè)施建設(shè)、涉密載體使用管理、涉密業(yè)務(wù)流程管理情況、涉密項(xiàng)目管理、保密產(chǎn)品生產(chǎn)制造管理）。 7. 申報(bào)單位代理人 7.1 委托書 委托書 本單位申請(qǐng)到國(guó)家保密科技測(cè)評(píng)中心進(jìn)行產(chǎn)品檢測(cè)，有關(guān)檢測(cè)事宜委托 同志（身份證號(hào)碼： ）全權(quán)代理，請(qǐng)測(cè)評(píng)中心予以接洽

12、。 法定代表人（簽 名）： 單位（公 章）： 年 月 日 7.2 產(chǎn)品代理人簡(jiǎn)況 如產(chǎn)品檢測(cè)聯(lián)系人或技術(shù)負(fù)責(zé)人有變更，應(yīng)及時(shí)遞交書面變更說(shuō)明，并將新聯(lián)系人信息以原表格形式重新提交，避免因未及時(shí)遞交聯(lián)系人變更說(shuō)明造成終止。 7.2.1 產(chǎn)品代理人信息 姓 名 性別 年齡 現(xiàn)任職務(wù) 身份證號(hào)碼 辦公室電話 傳 真 移動(dòng)電話（重要） 通信地址 郵政編碼 電子郵箱（重要） （可以根據(jù)情況設(shè)置多人） 7.2.2 產(chǎn)品代理人身份證復(fù)印件正反面（或以附件形式提供）

13、： 7.3 產(chǎn)品主要技術(shù)負(fù)責(zé)人簡(jiǎn)況 7.3.1 產(chǎn)品主要技術(shù)負(fù)責(zé)人信息 姓 名 性別 年齡 現(xiàn)任職務(wù) 身份證號(hào)碼 辦公室電話 傳 真 移動(dòng)電話（重要） 通信地址 郵政編碼 電子郵箱（重要） （可以根據(jù)情況設(shè)置多人） 7.3.2 產(chǎn)品主要技術(shù)負(fù)責(zé)人身份證復(fù)印件正反面（或以附件形式提供）： 8. 產(chǎn)品信息 8.1 產(chǎn)品基本情況 產(chǎn)品名稱（中文）： （名稱命名規(guī)則可參考8.2） 產(chǎn)品版本：

14、 產(chǎn)品型號(hào)（硬件產(chǎn)品）： 產(chǎn)品功能介紹： 研發(fā)單位： 生產(chǎn)廠商： 商

15、標(biāo)： 年銷售量： 銷售領(lǐng)域：政府部門 □ 企事業(yè)單位 □ 其他 □ 主要銷售單位： 8.2 產(chǎn)品類別 請(qǐng)?jiān)谙铝羞x項(xiàng)中選擇產(chǎn)品類別： （注：申報(bào)單位根據(jù)所申報(bào)產(chǎn)品初步選擇產(chǎn)品類別，請(qǐng)參考典型產(chǎn)品，填寫二級(jí)分類代碼。產(chǎn)品最終類別由我中心資料審查后，經(jīng)商申報(bào)單位確定。根據(jù)安全保密產(chǎn)品命名規(guī)則，申報(bào)產(chǎn)品名稱建議為 xx（廠商簡(jiǎn)稱或品牌名，建議采用中文）+ 典型產(chǎn)品 + xx（版本號(hào) / 型號(hào)），如：xx（中文）主機(jī)

16、安全監(jiān)控與審計(jì)系統(tǒng)V1.0、xx（中文）電子保密柜BM型。 一級(jí)分類 二級(jí)分類 三級(jí)分類 典型產(chǎn)品 代碼 名稱 代碼 名稱 代碼 名稱 名稱 A 物理安全 A1 環(huán)境安全 A101 區(qū)域防護(hù) 暫無(wú) A102 災(zāi)難防范與恢復(fù) 暫無(wú) 代碼 名稱 代碼 名稱 代碼 代碼 名稱 A 物理安全 A1 環(huán)境安全 A103 容災(zāi)恢復(fù)計(jì)劃輔助支持 暫無(wú) A2 載體安全 A201 載體防盜 電子保密柜 A202 載體管理 涉密設(shè)備及載體監(jiān)管系統(tǒng) A203 載體銷毀 碎紙機(jī)、存儲(chǔ)介質(zhì)銷毀機(jī)、存儲(chǔ)介質(zhì)消磁機(jī)等 A3 設(shè)備

17、安全 A301 設(shè)備防盜 暫無(wú) A302 設(shè)備防毀 暫無(wú) A303 防線路截獲 暫無(wú) A304 抗電磁干擾 暫無(wú) A305 電源保護(hù) 暫無(wú) A0 物理安全其他 暫無(wú) B 主機(jī)及其計(jì)算環(huán)境安全 B1 計(jì)算環(huán)境防護(hù) B101 可信計(jì)算 暫無(wú) B2 防惡意代碼 B201 計(jì)算機(jī)病毒防治 暫不受理 B202 特定代碼防范 暫無(wú) B3 操作系統(tǒng)安全 B301 安全操作系統(tǒng) 暫無(wú) B302 操作系統(tǒng)安全增強(qiáng) Windows操作系統(tǒng)安全增強(qiáng)系統(tǒng)、Linux操作系統(tǒng)安全增強(qiáng)系統(tǒng)等 B0 主機(jī)及其計(jì)算環(huán)境安全其他 終端安全登

18、錄與文件保護(hù)系統(tǒng) C 網(wǎng)絡(luò)通信安全 C1 通信安全 C101 通信鑒別 暫無(wú) C102 通信保密 暫無(wú) C2 網(wǎng)絡(luò)監(jiān)測(cè) C201 網(wǎng)絡(luò)入侵檢測(cè) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（百、千、萬(wàn)兆） C0 網(wǎng)絡(luò)通信安全其他 移動(dòng)通信干擾器 D 邊界安全 D1 邊界隔離 D101 安全隔離卡 暫不受理 D102 安全隔離與信息交換 安全隔離與信息交換系統(tǒng)、安全隔離與文件交換系統(tǒng)等 D2 入侵防范 D201 網(wǎng)絡(luò)入侵防御 入侵防御系統(tǒng)（百、千、萬(wàn)兆）、WEB應(yīng)用入侵防御系統(tǒng)（百、千、萬(wàn)兆）等 D2 入侵防范 D202 網(wǎng)絡(luò)惡意代碼防范 惡意代碼

19、輔助檢測(cè)系統(tǒng) D203 可用性防范（抗DoS） 抗拒絕服務(wù)系統(tǒng) D3 邊界訪問(wèn)控制 D301 防火墻 防火墻（百、千、萬(wàn)兆） D302 安全路由器 暫無(wú) D303 安全交換機(jī) 暫無(wú) D4 網(wǎng)絡(luò)終端安全 D401 終端接入控制 網(wǎng)絡(luò)終端接入控制系統(tǒng) D0 邊界安全其他 安全網(wǎng)關(guān) E 應(yīng)用安全 E1 應(yīng)用服務(wù)安全 安全增強(qiáng)電子郵件系統(tǒng)、電子簽章系統(tǒng)、電子文檔安全管理系統(tǒng)等 E0 應(yīng)用安全其他 暫無(wú) F 數(shù)據(jù)安全 F1 電磁泄漏防護(hù) F101 電磁屏蔽與抑源 紅黑電源濾波隔離插座、手機(jī)屏蔽柜、手機(jī)屏蔽袋、低泄射防護(hù)計(jì)算機(jī)、電磁

20、屏蔽室、電磁屏蔽機(jī)柜等 F102 電磁泄漏干擾 計(jì)算機(jī)視頻干擾器、線路干擾器等 F2 聲泄漏防護(hù) F201 防聲泄漏 暫無(wú) F3 光泄漏防護(hù) F301 防光泄漏 暫無(wú) F4 數(shù)據(jù)平臺(tái)安全 F401 安全數(shù)據(jù)庫(kù) 安全數(shù)據(jù)庫(kù)系統(tǒng) F402 數(shù)據(jù)庫(kù)安全增強(qiáng) 數(shù)據(jù)庫(kù)安全增強(qiáng)系統(tǒng) F5 備份與恢復(fù) F501 數(shù)據(jù)備份與恢復(fù) 數(shù)據(jù)備份與恢復(fù)系統(tǒng) F6 數(shù)據(jù)保護(hù) F601 數(shù)據(jù)防篡改 網(wǎng)頁(yè)防篡改系統(tǒng) F602 信息消除 信息消除工具 F 數(shù)據(jù)安全 F6 數(shù)據(jù)保護(hù) F603 數(shù)據(jù)泄漏防護(hù) 暫無(wú) F604 數(shù)據(jù)加密 暫不受理

21、 F605 密級(jí)標(biāo)志 密級(jí)標(biāo)志生成與管理系統(tǒng) F7 密碼支持 F701 密碼設(shè)備 暫不受理 F702 密鑰管理 暫不受理 F0 數(shù)據(jù)安全其他 暫無(wú) G 安全管理與支持 G1 監(jiān)控與審計(jì) G101 安全審計(jì) 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、打印復(fù)印刻錄審計(jì)系統(tǒng)、日志收集與分析系統(tǒng)等 G102 安全監(jiān)控 主機(jī)安全監(jiān)控與審計(jì)系統(tǒng) G2 應(yīng)急響應(yīng)支持 G201 應(yīng)急計(jì)劃輔助軟件 暫無(wú) G202 應(yīng)急設(shè)施 暫無(wú) G3 安全保密支持輔助 G301 安全資產(chǎn)管理 網(wǎng)絡(luò)安全管理系統(tǒng) G4 身份鑒別 G401 電子信息鑒別 基

22、于動(dòng)態(tài)口令的身份鑒別系統(tǒng) G402 生物信息鑒別 暫無(wú) G0 安全管理與支持其他 暫無(wú) H 安全保密監(jiān)管 H1 系統(tǒng)檢測(cè)評(píng)估 H101 系統(tǒng)風(fēng)險(xiǎn)評(píng)估 安全保密風(fēng)險(xiǎn)評(píng)估系統(tǒng) H102 安全性檢測(cè)分析 漏洞掃描系統(tǒng) H 安全保密監(jiān)管 H2 保密技術(shù)檢查 H201 終端保密技術(shù)檢查 終端保密檢查系統(tǒng) H202 網(wǎng)絡(luò)保密技術(shù)檢查 網(wǎng)絡(luò)保密檢查系統(tǒng) H3 保密核查取證 H301 證據(jù)保全 核查取證系統(tǒng) H302 證據(jù)恢復(fù) 核查取證系統(tǒng) H303 證據(jù)分析 核查取證系統(tǒng) H0 安全保密監(jiān)管其他 暫無(wú) Z 其他 計(jì)算機(jī)外設(shè)

23、切換裝置、安全增強(qiáng)復(fù)印機(jī)等 8.3 產(chǎn)品主要開發(fā)人員列表 序號(hào) 姓名 性別 年齡 職稱或職務(wù) 專業(yè) 工作崗位 工作年限 8.4 產(chǎn)品送測(cè)清單 應(yīng)詳細(xì)提供樣品送測(cè)時(shí)的裝箱清單，清單內(nèi)容應(yīng)包括軟件、硬件、資料和其他相關(guān)附件的名稱、數(shù)量和規(guī)格。 8.5 送測(cè)產(chǎn)品實(shí)物照片 （1） 應(yīng)在此處嵌入*.jpeg格式的照片電子版文件，照片中產(chǎn)品上的徽標(biāo)、名稱、型號(hào)等應(yīng)清晰，且產(chǎn)品實(shí)物旁應(yīng)有參考標(biāo)尺（精確到厘米），照片應(yīng)用圖像處理軟件將背景設(shè)為無(wú)色。

24、（2） 軟件產(chǎn)品： CD盤盒封面圖 盤貼圖 軟件登陸界面截圖 （3） 硬件產(chǎn)品： 正面板圖 背面板圖 接口圖 全觀圖 開箱后的內(nèi)部結(jié)構(gòu)圖片 管理界面截圖 8.6 知識(shí)產(chǎn)權(quán)情況說(shuō)明 應(yīng)提供法人簽字且單位蓋章的知識(shí)產(chǎn)權(quán)情況說(shuō)明。 對(duì)于聯(lián)合研發(fā)的，應(yīng)提供所有參研單位法人簽字且單位蓋章的相關(guān)合作協(xié)議復(fù)印件，協(xié)議中應(yīng)明確各方在產(chǎn)品生產(chǎn)、銷售及售后服務(wù)等各環(huán)節(jié)的責(zé)任、義務(wù)。 關(guān)于送測(cè)樣品知識(shí)產(chǎn)權(quán)情況說(shuō)明（僅供參考） 國(guó)家保密科技測(cè)評(píng)中心： 我單位 鄭重聲明，送交國(guó)家保密科技

25、測(cè)評(píng)中心檢測(cè)的 產(chǎn)品為本單位自主研發(fā)。 若出現(xiàn)產(chǎn)品知識(shí)產(chǎn)權(quán)糾紛，我單位承擔(dān)全部法律責(zé)任。 特此聲明。 法定代表人（簽名）： 單位（蓋章）： 年 月 日 8.7 特殊說(shuō)明事項(xiàng) 此部分用于對(duì)申請(qǐng)書中未涉及但有必要向檢測(cè)機(jī)構(gòu)進(jìn)行說(shuō)明的事項(xiàng)進(jìn)行表述。 8.8 其他材料 （1） 如果申請(qǐng)檢測(cè)的產(chǎn)品是在通用網(wǎng)絡(luò)設(shè)備或自動(dòng)辦公化設(shè)備（如

26、打印機(jī)、復(fù)印機(jī)、計(jì)算機(jī)、服務(wù)器、路由器、交換機(jī)等）基礎(chǔ)上進(jìn)行安全保密增強(qiáng)，應(yīng)提供該產(chǎn)品通過(guò)認(rèn)證的相關(guān)資料（復(fù)印件）。 （2） 如果申請(qǐng)檢測(cè)的產(chǎn)品采用了加密算法，應(yīng)提供該算法的密碼主管部門的批文或商密科研、生產(chǎn)定點(diǎn)單位的相關(guān)密碼產(chǎn)品授權(quán)證明（復(fù)印件）。 （3） 申報(bào)單位認(rèn)為有必要提供與產(chǎn)品相關(guān)的其他資料。 9. 技術(shù)文檔 9.1 產(chǎn)品安全目標(biāo)文檔 應(yīng)嚴(yán)格按如下格式和內(nèi)容要求撰寫產(chǎn)品安全目標(biāo)文檔。 1 引言 1.1 標(biāo)識(shí) 產(chǎn)品名稱和產(chǎn)品規(guī)格型號(hào)。 1.2 概述 概括介紹產(chǎn)品的類別、形態(tài)、主要組成、功能及應(yīng)用環(huán)境。 1.3 研制標(biāo)準(zhǔn) 產(chǎn)品研制所依據(jù)的標(biāo)準(zhǔn)名稱、版本號(hào)和出版日期

27、。對(duì)于沒(méi)有明確可依據(jù)標(biāo)準(zhǔn)的，也應(yīng)明確表述未參考任何標(biāo)準(zhǔn)。 2 產(chǎn)品描述 2.1 產(chǎn)品類型 依據(jù)產(chǎn)品功能確定產(chǎn)品類型，如包過(guò)濾型防火墻產(chǎn)品、主機(jī)監(jiān)控與審計(jì)產(chǎn)品，基于USB Key終端安全登錄的電子信息鑒別產(chǎn)品等。具體分類可參見(jiàn)本申請(qǐng)書“8.2產(chǎn)品類別”。 2.2 產(chǎn)品結(jié)構(gòu) 描述構(gòu)成產(chǎn)品的硬件、固件和軟件的組件或模塊。如產(chǎn)品由幾個(gè)模塊或子系統(tǒng)組成，每個(gè)模塊或子系統(tǒng)的組成及其功能，產(chǎn)品各個(gè)模塊或子系統(tǒng)對(duì)運(yùn)行環(huán)境的要求等。 2.3 產(chǎn)品的范圍和邊界 對(duì)于產(chǎn)品邊界的描述應(yīng)說(shuō)明哪些屬于產(chǎn)品，哪些不屬于產(chǎn)品，如產(chǎn)品的日志存儲(chǔ)功能需要依靠第三方數(shù)據(jù)庫(kù)的支持，但數(shù)據(jù)庫(kù)本身不屬于產(chǎn)品的范圍。最好以圖

28、表加入描述語(yǔ)言的方式進(jìn)行說(shuō)明。 產(chǎn)品的邊界描述應(yīng)包括： 1) 物理范圍和邊界。詳細(xì)介紹構(gòu)成產(chǎn)品的硬件、軟件和固件，以及具體的配置，如硬件產(chǎn)品服務(wù)器及其配置，軟件光盤等。一般不屬于產(chǎn)品物理范圍的內(nèi)容可能包括但不限于：系統(tǒng)運(yùn)行所需的操作系統(tǒng)環(huán)境； 數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)；底層系統(tǒng)提供的安全防護(hù)功能。 2) 邏輯范圍和邊界。描述產(chǎn)品負(fù)責(zé)提供的IT安全功能，如防火墻包括：安全審計(jì)、安全管理、身份鑒別與授權(quán)、信息流控制，NAT等。 2.4 應(yīng)用環(huán)境 對(duì)產(chǎn)品的使用環(huán)境及在其中發(fā)揮的作用進(jìn)行描述。 3 產(chǎn)品安全環(huán)境 3.1 假設(shè) （1）對(duì)預(yù)期如何使用產(chǎn)品進(jìn)行描述，如預(yù)期的應(yīng)用方式、需要保護(hù)的資

29、產(chǎn)及其潛在價(jià)值、以及使用產(chǎn)品可能存在的限制。 （2）對(duì)產(chǎn)品在物理、人員、連接性等使用環(huán)境方面的預(yù)期條件進(jìn)行描述。 a) 物理方面，包括產(chǎn)品的物理位置或附加外圍設(shè)施的預(yù)期條件，如假設(shè)管理員控制臺(tái)需嚴(yán)格限制在某個(gè)特定物理環(huán)境方可使用；產(chǎn)品放在安全環(huán)境中、非授權(quán)人員不可進(jìn)入等。 b) 人員方面，包括安全環(huán)境內(nèi)的用戶和產(chǎn)品管理員，或其他人員所作的預(yù)期條件，如假設(shè)普通用戶僅具有確定的最小權(quán)限；管理員受過(guò)專業(yè)訓(xùn)練，政治可靠，技術(shù)能力可以勝任并且嚴(yán)格遵循規(guī)章制度。 c) 連接性方面，包括產(chǎn)品與產(chǎn)品之外的IT 產(chǎn)品或系統(tǒng)相連的預(yù)期條件，如假定產(chǎn)品不會(huì)連接任何不可信的網(wǎng)絡(luò)。 假設(shè)示例如下：

30、名稱 描述 假設(shè)-時(shí)間 底層操作系統(tǒng)提供的時(shí)間是正確的。 3.2 威脅 在所有預(yù)期條件均滿足的條件下，列出所有與產(chǎn)品安全運(yùn)行相關(guān)的威脅，對(duì)列出的每個(gè)威脅應(yīng)單獨(dú)標(biāo)識(shí)并作出相應(yīng)的解釋說(shuō)明。應(yīng)通過(guò)威脅主體、攻擊方式和被攻擊的資產(chǎn)來(lái)描述。應(yīng)描述威脅主體可能具有的專門技術(shù)、可用資源和動(dòng)機(jī)等。應(yīng)描述攻擊方式可能具有的攻擊方法、可利用的脆弱性和時(shí)機(jī)等。示例如下： 名稱 描述 威脅-非授權(quán) 未授權(quán)人員可能會(huì)繞過(guò)身份鑒別使用產(chǎn)品。 3.3 組織安全策略 組織安全策略主要包括產(chǎn)品及其應(yīng)用環(huán)境必須遵守的法律、法規(guī)、規(guī)定或指南。例如，組織安全策略可能要求口令生成和加密應(yīng)符合國(guó)家政府制定的標(biāo)準(zhǔn)。示

31、例如下： 名稱 描述 組織-角色 產(chǎn)品必須具有系統(tǒng)管理員、安全保密員和安全審計(jì)員。 4 安全目的 4.1產(chǎn)品安全目的 產(chǎn)品采用各種技術(shù)措施來(lái)滿足的產(chǎn)品安全目的，應(yīng)對(duì)產(chǎn)品的每個(gè)安全目的進(jìn)行詳細(xì)解釋，確定其作為產(chǎn)品安全目的的原因。示例如下： 名稱 描述 安全目的-管理 產(chǎn)品應(yīng)提供僅允許正確管理員進(jìn)行管理的功能項(xiàng)。 安全目的-身份鑒別 在用戶使用產(chǎn)品前，產(chǎn)品應(yīng)能對(duì)用戶進(jìn)行身份鑒別。 安全目的-授權(quán) 在用戶使用產(chǎn)品前，產(chǎn)品應(yīng)能判定用戶的授權(quán)是否正確且唯一。 4.2環(huán)境安全目的 列出非本產(chǎn)品IT手段來(lái)滿足的安全目的，例如：使用程序性的管理或運(yùn)行規(guī)定。應(yīng)對(duì)確定為環(huán)

32、境安全目的的理由作出詳細(xì)解釋。示例如下： 名稱 描述 安全目的-時(shí)間 底層操作系統(tǒng)提供的時(shí)間是正確的。 5 IT安全要求 5.1產(chǎn)品安全要求 針對(duì)“4.1.產(chǎn)品安全目的”，從“1.3研制標(biāo)準(zhǔn)”中寫明的產(chǎn)品標(biāo)準(zhǔn)中抽取出相應(yīng)的參考要求，逐一列出每個(gè)安全目的對(duì)應(yīng)的標(biāo)準(zhǔn)條款。 如果“1.3研制標(biāo)準(zhǔn)”中沒(méi)有對(duì)應(yīng)安全目的的標(biāo)準(zhǔn)條款，則應(yīng)說(shuō)明無(wú)對(duì)應(yīng)條款，并補(bǔ)充提出相應(yīng)要求。 5.2環(huán)境安全要求 針對(duì)“4.2.環(huán)境安全目的”從“1.3研制標(biāo)準(zhǔn)”中寫明的產(chǎn)品標(biāo)準(zhǔn)中抽取出相應(yīng)的參考要求，逐一列出每個(gè)安全目的對(duì)應(yīng)的標(biāo)準(zhǔn)條款。 如果“1.3研制標(biāo)準(zhǔn)”中沒(méi)有對(duì)應(yīng)安全目的的標(biāo)準(zhǔn)條款，則應(yīng)說(shuō)明無(wú)對(duì)應(yīng)條

33、款，并補(bǔ)充提出相應(yīng)要求。 6 產(chǎn)品概要規(guī)范 產(chǎn)品概要規(guī)范指的是“5.IT安全要求”的具體實(shí)現(xiàn)。本部分應(yīng)對(duì)產(chǎn)品的具體功能實(shí)現(xiàn)進(jìn)行描述。示例如下： 認(rèn)證授權(quán)功能 通過(guò)安全保密管理員的認(rèn)證必須具有如下條件： １）管理員提供已注冊(cè)的用戶名，該用戶名應(yīng)在合法的用戶列表中且未失效。 2）管理員提供正確的用戶名口令（此處應(yīng)解釋口令身份鑒別的實(shí)現(xiàn)原理和保證口令自身安全的措施等）或正確的USB Key（此處應(yīng)解釋通過(guò)USB Key進(jìn)行身份鑒別的實(shí)現(xiàn)原理和算法等，如果是其他廠家的USB Key，應(yīng)補(bǔ)充說(shuō)明該USB Key的情況）。 3）管理IP是經(jīng)配置允許的。 4）管理員身份和權(quán)力處于有效期范圍內(nèi)

34、。 5）具有管理員身份鑒別嘗試措施。 如下策略可以加強(qiáng)管理員的身份認(rèn)證和授權(quán)管理： 1) 用戶名注冊(cè)要求：用戶名長(zhǎng)度應(yīng)為6-32位，復(fù)雜度至少包括數(shù)字和字母。 2) 口令要求：口令長(zhǎng)度應(yīng)為10-16位，復(fù)雜度至少包括數(shù)字和字母，但不可以包括TAB和CR。 3) 口令更換要求：必須要提供舊口令，修改后可以和原口令完全一樣也可以完全不一樣，進(jìn)行修改自己的口令，安全保密管理員具有初始化口令的功能。 4) USB Key更換要求：．．．．．． 5) 身份鑒別和授權(quán)策略：．．．．．． 注：如果產(chǎn)品利用了概率和變換機(jī)制（如口令或散列函數(shù)）來(lái)實(shí)現(xiàn)安全功能。應(yīng)提供這些安全功能的強(qiáng)度分析，確

35、定并聲明其為基本級(jí)功能強(qiáng)度（可以充分對(duì)抗低等攻擊潛力者偶然的攻擊）、中級(jí)功能強(qiáng)度（可以充分對(duì)抗中等攻擊潛力者直接或故意發(fā)起的攻擊）或高級(jí)功能強(qiáng)度（可以充分對(duì)抗高等攻擊潛力者有周密計(jì)劃或組織的攻擊）。強(qiáng)度級(jí)別的選擇基于與威脅相關(guān)的方面（持續(xù)時(shí)間、經(jīng)驗(yàn)、對(duì)產(chǎn)品的了解、產(chǎn)品的訪問(wèn)方式、使用的設(shè)備等）。 7基本原理 7.1 安全目的基本原理 對(duì)“4.安全目的”中列出的所有安全目的的必要性進(jìn)行論述，并說(shuō)明這些安全目的如何能夠?qū)埂?.2威脅”中列出的所有威脅、實(shí)現(xiàn)已標(biāo)識(shí)的“3.3組織安全策略”并遵循規(guī)定的“3.1假設(shè)”?？赏ㄟ^(guò)安全目的和安全環(huán)境間雙向映射的方式來(lái)表達(dá)。示例如下： 威脅和策略 產(chǎn)

36、品安全目的 威脅-非授權(quán) 安全目的-管理、安全目的-身份鑒別、安全目的-授權(quán) 解釋： 安全目的-管理，這一安全目的保證了只有授權(quán)的管理員可以使用相關(guān)管理功能，這個(gè)安全目的對(duì)應(yīng)威脅-非授權(quán)。 安全目的－身份鑒別，這一安全目的保證只有通過(guò)身份鑒別的用戶才能使用該產(chǎn)品，這個(gè)安全目的對(duì)應(yīng)威脅-非授權(quán)。 安全目的-授權(quán)，這一安全目的保證用戶在使用產(chǎn)品時(shí)的權(quán)力范圍是有效的，這個(gè)安全目的對(duì)應(yīng)威脅-非授權(quán)。 這三個(gè)安全目的完全可以對(duì)抗威脅-非授權(quán)，只有在安全目的-管理、安全目的-身份鑒別、安全目的-授權(quán)這三個(gè)安全目的同時(shí)滿足時(shí)才會(huì)避免非授權(quán)的問(wèn)題。 7.2安全要求基本原理 對(duì)“5.IT安全要

37、求”中抽取的相應(yīng)標(biāo)準(zhǔn)條款的必要性進(jìn)行論述，并說(shuō)明這些標(biāo)準(zhǔn)條款要求如何能夠滿足“4安全目的” 中列出的所有安全目的，可通過(guò)安全要求和安全目的間雙向映射的方式來(lái)表達(dá)，并詳細(xì)說(shuō)明安全要求間的依賴關(guān)系。 7.3 產(chǎn)品概要規(guī)范基本原理 對(duì)“6產(chǎn)品概要規(guī)范”中列出的產(chǎn)品功能如何協(xié)同運(yùn)作進(jìn)行論述，并說(shuō)明這些產(chǎn)品功能如何能夠滿足“5.IT安全要求”中列出的安全要求?？梢酝ㄟ^(guò)產(chǎn)品功能和安全要求間雙向映射的方式來(lái)表達(dá)。 9.2 配置管理 9.2.1 配置管理能力 應(yīng)嚴(yán)格按如下內(nèi)容撰寫配置管理能力文檔。 （1） 產(chǎn)品的唯一標(biāo)識(shí)，包括名稱和規(guī)格型號(hào)等，所有文檔中的標(biāo)識(shí)都應(yīng)一致。 （2） 應(yīng)具

38、有產(chǎn)品配置管理系統(tǒng)。 （3） 配置清單。應(yīng)列出配置管理系統(tǒng)中所有與產(chǎn)品設(shè)計(jì)相關(guān)的配置項(xiàng)（如：需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、源代碼、測(cè)試文檔等）及與測(cè)試評(píng)估相關(guān)的配置項(xiàng)（如：安全目標(biāo)、功能規(guī)范等），要唯一標(biāo)識(shí)出每個(gè)配置項(xiàng)的版本信息（如名稱、版本號(hào)等），并作出詳盡解釋。 （4） 配置管理計(jì)劃。應(yīng)對(duì)如何使用配置管理系統(tǒng)進(jìn)行描述（包括人員授權(quán)、配置項(xiàng)的修改、并發(fā)處理等），并同時(shí)提供使用過(guò)程中產(chǎn)生的審計(jì)記錄信息，還應(yīng)包括防止對(duì)配置項(xiàng)非授權(quán)訪問(wèn)的訪問(wèn)控制措施。 9.2.2 配置管理范圍 配置管理范圍文檔應(yīng)提供配置清單且包括如下內(nèi)容： （1） 完成測(cè)試評(píng)估所需的所有文檔，如產(chǎn)品安全目標(biāo)文檔、

39、功能規(guī)范等。 （2） 在產(chǎn)品的整個(gè)生命周期中，產(chǎn)品的實(shí)現(xiàn)表示、設(shè)計(jì)、測(cè)試、測(cè)試工具、用戶和管理員指南、配置管理相關(guān)文檔及安全缺陷等。 （3） 產(chǎn)品整個(gè)生命周期中標(biāo)識(shí)、跟蹤每個(gè)配置項(xiàng)的方法和程序。包括：配置項(xiàng)的標(biāo)識(shí)、分配、替代方法、各個(gè)階段的命名方式及階段之間同一配置項(xiàng)的對(duì)應(yīng)關(guān)系、配置項(xiàng)之間的關(guān)聯(lián)性等。 9.3 交付和運(yùn)行 9.3.1 交付 應(yīng)詳細(xì)描述產(chǎn)品交付過(guò)程中各階段操作方式和具體要求，包括從生產(chǎn)環(huán)境到使用環(huán)境的整個(gè)交付過(guò)程的各個(gè)階段，如開發(fā)環(huán)境到測(cè)試環(huán)境、公司內(nèi)部到最終用戶。應(yīng)描述以下細(xì)節(jié)： （1） 用到的軟件、硬件、固件和文檔； （2） 為保證產(chǎn)品安全地提交給用戶所需

40、的所有交付程序，如產(chǎn)品包裝、密封、緊壓安全帶、公共郵政服務(wù)和私人傳遞等過(guò)程。 9.3.2 安裝、生成和啟動(dòng)程序 應(yīng)描述所有安裝、生成和啟動(dòng)步驟，也應(yīng)描述異常處理、最小系統(tǒng)需求等。如果產(chǎn)品在已經(jīng)運(yùn)行的情況下交付，產(chǎn)品安裝、生成和啟動(dòng)程序在“9.3.1交付”中進(jìn)行描述，則本部分可不進(jìn)行描述。 9.4 研制背景介紹文檔 應(yīng)詳細(xì)列出產(chǎn)品的需求分析，描述產(chǎn)品具有的安全保密作用及特點(diǎn)，著重說(shuō)明在涉密領(lǐng)域應(yīng)用的充分性和必要性。 9.5 功能規(guī)范文檔 應(yīng)從以下方面進(jìn)行詳細(xì)描述： （1） 產(chǎn)品功能。 （2） 用戶可見(jiàn)的接口，這些接口指可以被用戶激活，從而調(diào)用安全功能及查看安全功能狀態(tài)。 （

41、3） 外部接口的異常和出錯(cuò)信息及產(chǎn)品的處理方式。 （4） 以表格的形式說(shuō)明本部分中各個(gè)產(chǎn)品功能與《安全目標(biāo)文檔》中“6.產(chǎn)品概要規(guī)范”的對(duì)應(yīng)關(guān)系。 9.6 高層設(shè)計(jì)文檔 應(yīng)從以下方面進(jìn)行詳細(xì)描述： （1） 產(chǎn)品設(shè)計(jì)目標(biāo)、設(shè)計(jì)思想和產(chǎn)品總體方案。 （2） 實(shí)現(xiàn)產(chǎn)品功能所需的硬件、固件和軟件條件。 （3） 產(chǎn)品功能實(shí)現(xiàn)形式，如：底層硬件、固件、軟件等。 （4） 將產(chǎn)品安全功能分解成多個(gè)子系統(tǒng)，可采用圖形加描述性語(yǔ)言的方式進(jìn)行解釋說(shuō)明。 （5） 子系統(tǒng)間的接口及產(chǎn)品外部可見(jiàn)的子系統(tǒng)接口。 （6） 子系統(tǒng)接口處的異常和出錯(cuò)信息。 （7） 集成其它廠商產(chǎn)品或技術(shù)的情況。 （8）

42、以表格的形式說(shuō)明本部分中各個(gè)子系統(tǒng)與“9.5功能規(guī)范文檔”中的安全功能的對(duì)應(yīng)關(guān)系。 9.7 指導(dǎo)性文檔 應(yīng)提供《用戶使用手冊(cè)》、《管理員使用手冊(cè)》和《研發(fā)（調(diào)試）人員使用手冊(cè)》。 9.8 測(cè)試相關(guān)文檔 9.8.1 其他測(cè)評(píng)機(jī)構(gòu)出具的產(chǎn)品檢測(cè)證書和報(bào)告（復(fù)印件） 9.8.2 自測(cè)報(bào)告 應(yīng)參照如下格式要求提供全面覆蓋產(chǎn)品所有功能、性能、產(chǎn)品外部接口、各子系統(tǒng)間接口的自測(cè)報(bào)告，自測(cè)報(bào)告應(yīng)由測(cè)試人員簽字并加蓋公章。 XXXX產(chǎn)品自測(cè)報(bào)告VX.X 目 錄 1.概述 1 2.產(chǎn)品描述 1 3.檢測(cè)環(huán)境 1 3.1 硬件條件 1 3.2 軟件條件 1 3.3 產(chǎn)品檢測(cè)

43、環(huán)境示意圖 1 4.檢測(cè)要求和方法 1 4.1 產(chǎn)品基本功能要求 1 4.1.1 XXXXX 1 4.1.2 XXXXXX 1 4.1.3 XXXXXX 1 4.1.4 XXXXXX 1 4.2 安全保密要求 1 4.2.1身份鑒別 1 4.2.2管理員權(quán)限劃分 1 4.2.3安全審計(jì) 1 4.2.4其他要求 1 4.3性能要求 1 4.4其他要求 1 4.5保證要求 1 4.5.1文檔完整性 1 4.5.2安裝與卸載 1 4.5.3管理方式 1 4.5.4管理配置 1 4.5.5其他要求 1 5.參考文獻(xiàn) 1 5.1文獻(xiàn)1名稱 1 5.2文獻(xiàn)2

44、名稱 1 1.概述 要求：簡(jiǎn)要描述編制自測(cè)報(bào)告的基本思想、依據(jù)標(biāo)準(zhǔn)、主要內(nèi)容、編制過(guò)程、參考的技術(shù)資料情況等。 2.產(chǎn)品描述 2.1 產(chǎn)品概況 XXX類產(chǎn)品是XXXXXXX（定性描述產(chǎn)品是什么）。 該類產(chǎn)品通常由A、B、C組成，A為硬件，安裝在XXXX,用于XXXXX；B為軟件，安裝在XXXX,用于XXXXX；C為軟件，安裝在XXXX,用于XXXXX。 該類產(chǎn)品的主要功能包括：XXXXXXXXXXXXXXXXX 2.2 產(chǎn)品硬件 XXX CPU、XXX GB內(nèi)存、XXXXX 2.3 產(chǎn)品軟件 XXXX操作系統(tǒng)、XXXXXXXXX 3.檢測(cè)環(huán)境 3.1 硬件條件

45、 要求：應(yīng)詳細(xì)說(shuō)明硬件設(shè)備的配置情況，使得在符合該硬件配置條件的情況下，能夠復(fù)現(xiàn)檢測(cè)結(jié)果。 3.2 軟件條件 要求：應(yīng)詳細(xì)說(shuō)明軟件的配置情況，如軟件的版本及補(bǔ)丁情況等，使得在符合該軟件配置條件的情況下，能夠復(fù)現(xiàn)檢測(cè)結(jié)果。 3.3 產(chǎn)品檢測(cè)環(huán)境示意圖 4.檢測(cè)要求和方法 4.1 產(chǎn)品基本功能要求 4.1.1 XXXXX 檢測(cè)項(xiàng)目 檢測(cè)要求 檢測(cè)步驟 檢測(cè)結(jié)果 XXXXX XXXXXXXXXX 1. XXXXXXXXXXXXXXXXXXX; 2. XXXXXXXXXXXXXXXXXXX。 XXXXXXXXXX 1. XXXXXXXXXXXXXXXXXXX;

46、 2. XXXXXXXXXXXXXXXXXXX。 4.1.2 XXXXXX 4.1.3 XXXXXX 4.1.4 XXXXXX 4.2 安全保密要求 4.2.1身份鑒別 4.2.2管理員權(quán)限劃分 4.2.3安全審計(jì) 4.2.4其他要求 4.3性能要求 4.4其他要求 4.5保證要求 4.5.1文檔完整性 4.5.2安裝與卸載 4.5.3管理方式 4.5.4管理配置 4.5.5其他要求 5.參考文獻(xiàn) 5.1文獻(xiàn)1名稱 XXXXXXXXXXXXXXXXXXXXXXXXX。 5.2文獻(xiàn)2名稱 XXXXXXXXXXXXXXX

47、XXXXXXXXXXXX。 測(cè)試人員： 單位公章 年 月 日 9.8.3 測(cè)試范圍分析 應(yīng)以表格映射的形式說(shuō)明測(cè)試文檔中列出的測(cè)試項(xiàng)目與“8.5功能規(guī)范文檔”中的所有產(chǎn)品功能、性能、外部接口是對(duì)應(yīng)一致的。 9.8.4 測(cè)試深度分析 應(yīng)以表格映射的形式說(shuō)明測(cè)試文檔中列出的測(cè)試與“8.6高層設(shè)計(jì)文檔”中所有子系統(tǒng)和子系統(tǒng)接口是對(duì)應(yīng)一致的。 9.9 生命周期支持相關(guān)文檔 應(yīng)描述開發(fā)環(huán)境中用于保護(hù)產(chǎn)品設(shè)計(jì)和實(shí)現(xiàn)過(guò)程中機(jī)密性與完整性的物理、過(guò)程和人員等方面的安全措

48、施，提供主要材料來(lái)源及供貨廠商，并提供實(shí)施過(guò)程中的文檔證據(jù)（如機(jī)房刷卡記錄等）。 9.10 產(chǎn)品安全性分析文檔 9.10.1 誤用分析 應(yīng)確認(rèn)“9.7指導(dǎo)性文檔”標(biāo)識(shí)了所有可能的產(chǎn)品操作方式，包括誤操作和失敗操作可能的影響；對(duì)所有用于產(chǎn)品安裝和配置的必要操作進(jìn)行描述；提供足夠的信息確認(rèn)用戶能有效的管理和使用產(chǎn)品安全功能。 9.10.2 安全功能強(qiáng)度分析 應(yīng)以定性或定量的形式描述產(chǎn)品中出現(xiàn)的概率或置換機(jī)制（如口令機(jī)制或生物識(shí)別機(jī)制），分析其強(qiáng)度是否與“安全目標(biāo)文檔”中的描述相一致。 9.10.3 脆弱性分析 應(yīng)對(duì)產(chǎn)品進(jìn)行分析，說(shuō)明在預(yù)期使用環(huán)境中產(chǎn)品是否存在明顯可被利用的脆弱性；如

49、果有，應(yīng)列出所有存在的明顯脆弱性，并描述利用脆弱性對(duì)產(chǎn)品造成危害所需的時(shí)間、技術(shù)、攻擊者對(duì)產(chǎn)品的了解程度、攻擊者對(duì)產(chǎn)品的訪問(wèn)方式及使用的設(shè)備。 9.11 關(guān)鍵技術(shù)說(shuō)明文檔 應(yīng)對(duì)產(chǎn)品設(shè)計(jì)和實(shí)現(xiàn)中主要的技術(shù)難點(diǎn)和解決辦法進(jìn)行描述。 9.12 安全保密作用說(shuō)明文檔 應(yīng)對(duì)描述產(chǎn)品具有的安全保密作用及特點(diǎn)進(jìn)行描述。 10. 附件清單 申報(bào)單位應(yīng)根據(jù)自身產(chǎn)品情況準(zhǔn)備申報(bào)資料附件并列出清單，清單參考以下內(nèi)容： 序號(hào) 文檔名稱 版本號(hào) 附件1 申報(bào)單位資質(zhì)證明 附件2 產(chǎn)品安全目標(biāo) ...... ......

50、  附件1 申報(bào)單位資質(zhì)證明 申報(bào)單位應(yīng)提供以下相關(guān)證明材料，所有證明材料應(yīng)由法定代表人簽字并加蓋公司印章，復(fù)印件（非掃描件）注明“與原件一致”字樣。 1.關(guān)于本單位不具有境外（含香港、澳門、臺(tái)灣）投資，不屬于中外合資企業(yè)、中外合作企業(yè)或外資企業(yè)且未在境外上市的證明。 2.具有涉密信息系統(tǒng)集成資質(zhì)的單位，應(yīng)提供涉密信息系統(tǒng)集成資質(zhì)證書、工商營(yíng)業(yè)執(zhí)照或事業(yè)單位法人證書、組織機(jī)構(gòu)代碼證、法人身份證等相關(guān)材料的復(fù)印件。 3.不具有涉密信息系統(tǒng)集成資質(zhì)的事業(yè)單位，應(yīng)提供事業(yè)單位法人證書、組織機(jī)構(gòu)代碼證和法人身份證等相關(guān)材料的復(fù)印件。 4.不具有涉密信息系統(tǒng)集成資質(zhì)的企業(yè)，應(yīng)提供工商營(yíng)業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證、法人身份證等相關(guān)材料的復(fù)印件、由法人簽字并加蓋單位公章的關(guān)于所有出資自然人為中國(guó)公民、出資非自然人為境內(nèi)注冊(cè)的企事業(yè)單位的證明以及上市情況說(shuō)明（若未上市也請(qǐng)說(shuō)明）。 5不具有涉密信息系統(tǒng)集成資質(zhì)的企業(yè)，若本年度首次申報(bào)還應(yīng)提供以下資料：公司章程、驗(yàn)資報(bào)告、上一年度財(cái)務(wù)審計(jì)報(bào)告。一年內(nèi)如有更改請(qǐng)及時(shí)報(bào)備測(cè)評(píng)中心。 第36頁(yè)