《移動終端雙系統(tǒng)產(chǎn)品安全評價規(guī)范》(2017RB013)-征求意見稿
-
資源ID:724481
資源大?���。?span id="queo05x" class="font-tahoma">952KB
全文頁數(shù):23頁
- 資源格式: DOC
下載積分:3積分
快捷下載
會員登錄下載
微信登錄下載
![二維碼]()
微信掃一掃登錄
|
友情提示
2�����、PDF文件下載后�����,可能會被瀏覽器默認(rèn)打開,此種情況可以點擊瀏覽器菜單�����,保存網(wǎng)頁到桌面���,就可以正常下載了�����。
3�、本站不支持迅雷下載���,請使用電腦自帶的IE瀏覽器�,或者360瀏覽器����、谷歌瀏覽器下載即可����。
4���、本站資源下載后的文檔和圖紙-無水印,預(yù)覽文檔經(jīng)過壓縮,下載后原文更清晰�。
5、試題試卷類文檔����,如果標(biāo)題沒有明確說明有答案則都視為沒有答案,請知曉����。
|
《移動終端雙系統(tǒng)產(chǎn)品安全評價規(guī)范》(2017RB013)-征求意見稿
ICS點擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號RB中華人民共和國認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn)RB/T XXXXXXXXX移動終端雙系統(tǒng)安全評價規(guī)范Security evaluation specifications for Dual-System of mobile terminal點擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識(本稿完成日期:2018.12.28) - XX - XX發(fā)布XXXX - XX - XX實施中華人民共和國國家市場監(jiān)督管理總局國家認(rèn)證認(rèn)可監(jiān)督管理委員會發(fā)布RB/T XXXXXXXXX目次前言21范圍32規(guī)范性引用文件33術(shù)語、定義和縮略語33.1術(shù)語和定義33.2縮略語34評價過程44.1總體說明44.2評價的主要環(huán)節(jié)44.3結(jié)果判定55評價要求55.1總體說明55.2功能要求55.3安全要求55.4安全保障要求76評價方法106.1總體說明106.2功能檢測106.3安全檢測136.4安全保障要求評估16前言本規(guī)范按照GB/T1.1-2009的規(guī)則起草���。本規(guī)范由國家認(rèn)證認(rèn)可監(jiān)督管理委員會提出并歸口���。本規(guī)范起草單位:本規(guī)范主要起草人:移動終端雙系統(tǒng)安全評價規(guī)范1 范圍本規(guī)范規(guī)定了移動終端雙系統(tǒng)的安全評價要求及評價方法。本規(guī)范適用于第三方認(rèn)證機(jī)構(gòu)和檢測機(jī)構(gòu)對移動終端雙系統(tǒng)的評價����,移動終端雙系統(tǒng)的設(shè)計和實現(xiàn)也可參照。2 規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的���。凡是注日期的引用文件�����,僅所注日期的版本適用于本文件�。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件�。GB/T 18336-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則GB/T 25069 信息安全技術(shù) 術(shù)語3 術(shù)語、定義和縮略語3.1 術(shù)語和定義GB/T 18336-2015確立的以及下列術(shù)語和定義適用于本規(guī)范���。3.1.1 移動智能終端(smart mobile terminal)通過蜂窩移動網(wǎng)絡(luò)和無線網(wǎng)絡(luò)向用戶提供語音�、消息���、電子郵件�����、Web瀏覽等服務(wù)���,集成顯示器、照相機(jī)��、攝像機(jī)����、音樂播放器、視頻播放器�、定位導(dǎo)航等功能的個人手持通信設(shè)備,可以下載安裝應(yīng)用軟件�����,是具備移動通信功能的終端設(shè)備��。3.1.2 移動終端雙系統(tǒng)(dual-system of mobile terminal)同時運行在移動智能終端的兩個并行的操作系統(tǒng)���,系統(tǒng)間相互兼容�,分別維護(hù)獨立的系統(tǒng)分區(qū)和硬件資源的訪問����。3.1.3 工作系統(tǒng)(work system)是指移動智能終端雙系統(tǒng)中的其中一個系統(tǒng),專門用于用戶辦公�,在該系統(tǒng)中能夠應(yīng)用各種安全和數(shù)據(jù)隔離策略,保護(hù)該系統(tǒng)的安全及數(shù)據(jù)隔離���。3.1.4 生活系統(tǒng)(life system)是指移動智能終端雙系統(tǒng)中的另一個系統(tǒng)�����,專門用于用戶個人使用����,是通用的移動智能終端系統(tǒng)。3.2 縮略語以下縮略語適用于本文件MDMMobile Device Management移動終端管理控制產(chǎn)品4 評價過程4.1 總體說明認(rèn)證機(jī)構(gòu)在接收到認(rèn)證申請資料并審查合格后安排實驗室進(jìn)行檢測����。認(rèn)證機(jī)構(gòu)收到檢測報告并審查合格后,組織現(xiàn)場核查���。認(rèn)證機(jī)構(gòu)對文檔審核�����、檢測��、現(xiàn)場核查結(jié)果進(jìn)行綜合評價���。評價的主要環(huán)節(jié)4.2 評價的主要環(huán)節(jié)4.2.1 文檔審核認(rèn)證機(jī)構(gòu)對申請方提交的資料和文檔依據(jù)產(chǎn)品技術(shù)規(guī)范進(jìn)行審核。文檔審核的項目�、要求及方法在本規(guī)范中條款號的對應(yīng)關(guān)系如下。表1 文檔審核序號項目要求方法1開發(fā)5.4.16.4.12指導(dǎo)性文檔5.4.26.4.23生命周期支持5.4.36.4.34測試5.4.46.4.4其中開發(fā)�����、生命周期等部分內(nèi)容需要在現(xiàn)場核查環(huán)節(jié)進(jìn)行驗證。4.2.2 檢測檢測實驗室對申請方送樣的產(chǎn)品依據(jù)產(chǎn)品技術(shù)規(guī)范進(jìn)行檢測��。檢測的項目����、要求及方法在本規(guī)范中條款號的對應(yīng)關(guān)系如下���。表2 檢測序號項目要求方法1功能要求5.26.22安全要求5.36.34.2.3 現(xiàn)場核查認(rèn)證機(jī)構(gòu)指派檢查員對工廠的研發(fā)和生產(chǎn)環(huán)境進(jìn)行檢查���,檢查內(nèi)容包括信息安全保證能力、工廠質(zhì)量保證能力和產(chǎn)品一致性進(jìn)行檢查?���,F(xiàn)場核查的項目、要求及方法在本規(guī)范中條款號的對應(yīng)關(guān)系如下���。表3 現(xiàn)場核查序號項目要求方法1信息安全保證能力開發(fā)5.4.16.4.12生命周期支持5.4.36.4.33工廠質(zhì)量保證能力職責(zé)和資源5.5.1現(xiàn)場驗證4認(rèn)證產(chǎn)品一致性5.5.25認(rèn)證產(chǎn)品外購部件或外包軟件模塊管理5.5.36產(chǎn)品一致性檢查產(chǎn)品一致性5.6現(xiàn)場驗證4.3 結(jié)果判定文檔審核�����、檢測��、現(xiàn)場核查的所有項目均通過����,總體結(jié)果判定為通過。5 評價要求5.1 總體說明本規(guī)范包括對產(chǎn)品的功能要求��、安全要求和保障要求��。本規(guī)范不對產(chǎn)品進(jìn)行安全等級劃分��。5.2 功能要求5.2.1 雙系統(tǒng)對等使用產(chǎn)品應(yīng)支持同時運行兩個系統(tǒng)�����,并且支持通過指紋���、UI按鈕等方式實現(xiàn)系統(tǒng)的切換�。5.2.2 雙系統(tǒng)獨立運行產(chǎn)品應(yīng)支持雙系統(tǒng)獨立運行���,支持獨立設(shè)置解鎖方式��,獨立恢復(fù)出廠設(shè)置���,獨立添加/刪除應(yīng)用,獨立擁有自己的系統(tǒng)資源等�����。5.2.3 數(shù)據(jù)隔離產(chǎn)品應(yīng)支持兩個系統(tǒng)間的數(shù)據(jù)隔離功能,如:多媒體數(shù)據(jù)�����、通話記錄����、短信�����,文檔���,其它應(yīng)用數(shù)據(jù)等����。5.2.4 應(yīng)用隔離產(chǎn)品應(yīng)支持兩個系統(tǒng)間應(yīng)用程序隔離功能�����,支持各自應(yīng)用的運行����,互不干擾�����。5.2.5 外設(shè)控制產(chǎn)品應(yīng)支持工作系統(tǒng)根據(jù)安全策略實現(xiàn)對外設(shè)的使用控制���。5.2.6 網(wǎng)絡(luò)接入產(chǎn)品應(yīng)支持兩個系統(tǒng)分別接入網(wǎng)絡(luò)的功能,工作系統(tǒng)接入企業(yè)專網(wǎng)��,生活系統(tǒng)接入公網(wǎng)����,并且兩個系統(tǒng)不能通過更改APN實現(xiàn)公專網(wǎng)交叉訪問。5.2.7 后臺消息通知產(chǎn)品應(yīng)支持后臺系統(tǒng)發(fā)生的事件以通知的形式在前臺系統(tǒng)的通知欄顯示����,但不顯示具體內(nèi)容的功能。5.3 安全要求5.3.1 標(biāo)識與鑒別5.3.1.1 用戶屬性定義移動終端雙系統(tǒng)應(yīng)維護(hù)每個用戶的安全屬性���,屬性可包括:用戶標(biāo)識��、授權(quán)信息或用戶組信息���、其他安全屬性等�。5.3.1.2 任何動作前的用戶鑒別移動終端雙系統(tǒng)應(yīng)要求用戶在執(zhí)行與移動終端雙系統(tǒng)安全相關(guān)的任何其他操作之前�����,都已被成功鑒別����。5.3.1.3 受保護(hù)的鑒別反饋鑒別進(jìn)行時,移動終端雙系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋�����,不顯示字符本身����。5.3.1.4 鑒別失敗處理a) 移動終端雙系統(tǒng)應(yīng)能檢測用戶的不成功的鑒別嘗試��;b) 在達(dá)到或超過最大鑒別失敗嘗試次數(shù)閾值后��,移動終端雙系統(tǒng)應(yīng)采取措施阻止進(jìn)一步的鑒別嘗試����,直至滿足已定義的條件才允許進(jìn)行重新鑒別;c) 應(yīng)僅由授權(quán)用戶設(shè)置未成功鑒別嘗試次數(shù)閾值��。5.3.2 安全審計5.3.2.1 審計數(shù)據(jù)產(chǎn)生a) 移動終端雙系統(tǒng)如果支持以下事件,應(yīng)能為其產(chǎn)生審計記錄:1) 移動終端雙系統(tǒng)的啟動和關(guān)閉����;2) 移動終端雙系統(tǒng)應(yīng)用的啟動和退出;3) (如適用)對用戶鑒別的行為和鑒別失敗處理的行為��;4) 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作����。b) 移動終端雙系統(tǒng)應(yīng)在每個審計記錄中至少記錄下列信息:1) 事件發(fā)生的日期和時間;2) 事件類型�����;3) 事件主體身份標(biāo)識�;4) 事件描述及結(jié)果。5.3.3 安全管理5.3.3.1 安全功能行為管理移動終端雙系統(tǒng)應(yīng)僅限于授權(quán)用戶對下述功能具有修改的能力�����。a) 修改用戶認(rèn)證方式��;b) 其它安全功能行為的管理�����。5.3.3.2 安全屬性管理移動終端雙系統(tǒng)應(yīng)僅限于授權(quán)用戶對指定的安全屬性進(jìn)行修改操作。5.3.3.3 TSF數(shù)據(jù)的管理移動終端雙系統(tǒng)應(yīng)僅允許授權(quán)用戶執(zhí)行下列操作:a) 修改用戶超時時間�;b) 其他系統(tǒng)參數(shù)配置操作。5.3.4 TSF保護(hù)5.3.4.1 TSF原發(fā)會話終止移動終端雙系統(tǒng)的安全功能應(yīng)在達(dá)到一定的用戶不活動的時間間隔之后終止交互式會話�。5.3.4.2 可靠的時間戳移動終端雙系統(tǒng)的安全功能應(yīng)能為自身的應(yīng)用提供可靠的時間戳。5.4 安全保障要求5.4.1 開發(fā)5.4.1.1 安全架構(gòu)描述a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)設(shè)計并實現(xiàn)TOE�,確保TSF的安全特性不可旁路;2) 開發(fā)者應(yīng)設(shè)計并實現(xiàn)TSF�,以防止不可信主體的破壞;3) 開發(fā)者應(yīng)提供TSF安全架構(gòu)的描述���。b) 內(nèi)容和形式元素:1) 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計文檔中對SFR-執(zhí)行的抽象描述的級別一致���;2) 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域;3) 安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的����;4) 安全架構(gòu)的描述應(yīng)證實TSF可防止被破壞�����;5) 安全架構(gòu)的描述應(yīng)證實TSF可防止SFR-執(zhí)行的功能被旁路�����。5.4.1.2 安全執(zhí)行功能規(guī)范a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供一個功能規(guī)范;2) 開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系��。b) 內(nèi)容和形式元素:1) 功能規(guī)范應(yīng)完整地描述TSF��;2) 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法��;3) 功能規(guī)范應(yīng)識別和描述每個TSFI相關(guān)的所有參數(shù)�;4) 對于每個SFR-執(zhí)行TSFI����,功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為;5) 對于SFR-執(zhí)行TSFI�����,功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯誤消息����;6) 功能規(guī)范應(yīng)證實安全功能要求到TSFI的追溯。5.4.1.3 基礎(chǔ)設(shè)計a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供TOE的設(shè)計�����;2) 開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計中獲取到的最低層分解的映射。b) 內(nèi)容和形式元素:1) 設(shè)計應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)���;2) 設(shè)計應(yīng)標(biāo)識TSF的所有子系統(tǒng)���;3) 設(shè)計應(yīng)對每一個SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述�,以確定它不是SFR-執(zhí)行;4) 設(shè)計應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為����;5) 設(shè)計應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用�;6) 映射關(guān)系應(yīng)證實TOE設(shè)計中描述的所有行為能夠映射到調(diào)用它的TSFI���。5.4.2 指導(dǎo)性文檔5.4.2.1 操作用戶指南a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供操作用戶指南�����。b) 內(nèi)容和形式元素:1) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述��,在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán)��,包含適當(dāng)?shù)木拘畔ⅲ?) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述�,怎樣以安全的方式使用TOE提供的可用接口;3) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述����,可用功能和接口,尤其是受用戶控制的所有安全參數(shù)��,適當(dāng)時應(yīng)指明安全值����;4) 操作用戶指南應(yīng)對每一種用戶角色明確說明����,與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件,包括改變TSF所控制實體的安全特性�;5) 操作用戶指南應(yīng)標(biāo)識TOE運行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯誤),它們與維持安全運行之間的因果關(guān)系和聯(lián)系����;6) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,為了充分實現(xiàn)ST中描述的運行環(huán)境安全目的所必須執(zhí)行的安全策略���;7) 操作用戶指南應(yīng)是明確和合理的�。5.4.2.2 準(zhǔn)備程序a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供TOE,包括它的準(zhǔn)備程序�。b) 內(nèi)容和形式元素:1) 準(zhǔn)備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟;2) 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運行環(huán)境安全目的一致的運行環(huán)境必需的所有步驟�。5.4.3 生命周期支持5.4.3.1 CM系統(tǒng)的使用a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供TOE及其參照號;2) 開發(fā)者應(yīng)提供CM文檔���;3) 開發(fā)者應(yīng)使用CM系統(tǒng)�。b) 內(nèi)容和形式元素:1) 應(yīng)給TOE標(biāo)注唯一參照號����;2) CM文檔應(yīng)描述用于唯一標(biāo)識配置項的方法;3) CM系統(tǒng)應(yīng)唯一標(biāo)識所有配置項����。5.4.3.2 部分TOE CM覆蓋a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供TOE配置項列表。b) 內(nèi)容和形式元素:1) 配置項列表應(yīng)包括:TOE本身��、安全保障要求的評估證據(jù)和TOE的組成部分�;2) 配置項列表應(yīng)唯一標(biāo)識配置項;3) 對于每一個TSF相關(guān)的配置項���,配置項列表應(yīng)簡要說明該配置項的開發(fā)者���。5.4.3.3 交付程序a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)將把TOE或其部分交付給消費者的程序文檔化���;2) 開發(fā)者應(yīng)使用交付程序���。b) 內(nèi)容和形式元素:1) 交付文檔應(yīng)描述��,在向消費者分發(fā)TOE版本時����,用以維護(hù)安全性所必需的所有程序�����。5.4.4 測試5.4.4.1 覆蓋證據(jù)a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供測試覆蓋的證據(jù)���。b) 內(nèi)容和形式元素:1) 測試覆蓋的證據(jù)應(yīng)表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對應(yīng)性���。5.4.4.2 功能測試a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)測試TSF,并文檔化測試結(jié)果�;2) 開發(fā)者應(yīng)提供測試文檔。b) 內(nèi)容和形式元素:1) 測試文檔應(yīng)包括測試計劃�、預(yù)期的測試結(jié)果和實際的測試結(jié)果;2) 測試計劃應(yīng)標(biāo)識要執(zhí)行的測試并描述執(zhí)行每個測試的方案�,這些方案應(yīng)包括對于其他測試結(jié)果的任何順序依賴性�����;3) 預(yù)期的測試結(jié)果應(yīng)指出測試成功執(zhí)行后的預(yù)期輸出�����;4) 實際的測試結(jié)果應(yīng)與預(yù)期的測試結(jié)果一致��。5.4.4.3 獨立測試-抽樣a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供用于測試的TOE�����。b) 內(nèi)容和形式元素:1) TOE應(yīng)適合測試�����;2) 開發(fā)者應(yīng)提供一組與開發(fā)者TSF功能測試中同等的一系列資源�����。5.4.5 脆弱性評定5.4.5.1 脆弱性分析a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供用于測試的TOE����。b) 內(nèi)容和形式元素:1) TOE應(yīng)適合測試�����。6 評價方法6.1 總體說明評價方法與評價要求一一對應(yīng),它給出具體的方法來驗證移動終端雙系統(tǒng)是否滿足評價要求���。評價過程分為檢測和評估,其中�,檢測內(nèi)容為功能要求及安全要求,評估內(nèi)容為安全保障要求�����,評估的主要方式為文件審核和現(xiàn)場核查��。6.2 功能檢測6.2.1 檢測環(huán)境與工具a) 檢測環(huán)境圖圖1 功能檢測環(huán)境圖6.2.2 雙系統(tǒng)對等使用a) 檢測要求產(chǎn)品應(yīng)支持同時運行兩個系統(tǒng)���,并且支持通過指紋����、UI按鈕等方式實現(xiàn)系統(tǒng)的切換��。b) 檢測方法1) 審查產(chǎn)品說明文檔����,分析產(chǎn)品有關(guān)雙系統(tǒng)對等使用的場景����;2) 驗證是否能夠啟動兩個系統(tǒng)��,并且驗證是否能夠通過指紋����、UI按鈕等方式實現(xiàn)兩個系統(tǒng)的切換。c) 結(jié)果判定1) 產(chǎn)品支持啟動兩個系統(tǒng)��,并且能夠通過指紋�����、UI按鈕等方式實現(xiàn)兩個系統(tǒng)的切換���。1)項滿足的為“符合”���;其他情況為“不符合”。6.2.3 雙系統(tǒng)獨立運行a) 檢測要求產(chǎn)品應(yīng)支持雙系統(tǒng)獨立運行�����,支持獨立設(shè)置解鎖方式,獨立恢復(fù)出廠設(shè)置�,獨立添加/刪除應(yīng)用,獨立擁有自己的系統(tǒng)資源等�。b) 檢測方法1) 檢查兩個系統(tǒng)是否獨立運行,并擁有各自的系統(tǒng)資源�,如內(nèi)存、存儲空間等����;2) 分別為兩個系統(tǒng)設(shè)置解鎖方式,檢查解鎖設(shè)置是否生效�����;3) 審查產(chǎn)品有關(guān)恢復(fù)出廠設(shè)置有關(guān)說明����,驗證是否能夠獨立對兩個系統(tǒng)執(zhí)行恢復(fù)出廠設(shè)置操作��;4) 分別為兩個系統(tǒng)安裝應(yīng)用��,檢查應(yīng)用是否各自獨立運行���,互不影響��;5) 分別刪除兩個系統(tǒng)中的應(yīng)用���,檢查是否不影響對方系統(tǒng)應(yīng)用的正常運行��。c) 結(jié)果判定1) 兩個系統(tǒng)獨立運行互不影響�����,擁有各自的系統(tǒng)資源��,如內(nèi)存���、存儲空間等;2) 能夠為兩個系統(tǒng)分別設(shè)置解鎖方式�����;3) 能夠?qū)蓚€系統(tǒng)分別執(zhí)行恢復(fù)出廠設(shè)置操作��;4) 能夠為兩個系統(tǒng)分別安裝應(yīng)用�、刪除應(yīng)用,不影響對方系統(tǒng)應(yīng)用的運行�����。1)-4)項均滿足的為“符合”;其他情況為“不符合”��。6.2.4 數(shù)據(jù)隔離a) 檢測要求產(chǎn)品應(yīng)支持兩個系統(tǒng)間的數(shù)據(jù)隔離功能��,如:多媒體數(shù)據(jù)��,文檔���,其它應(yīng)用數(shù)據(jù)等�。b) 檢測方法1) 在工作系統(tǒng)中執(zhí)行新建文檔�����、錄制視頻���、保存通訊錄等操作,檢查操作是否成功���,切換到生活系統(tǒng)���,檢查是否看不到工作系統(tǒng)中相關(guān)內(nèi)容;2) 在生活系統(tǒng)中執(zhí)行新建文檔��、錄制視頻、保存通訊錄等操作��,檢查操作是否成功�����,切換到工作系統(tǒng)����,檢查是否看不到生活系統(tǒng)中相關(guān)內(nèi)容。c) 結(jié)果判定1) 工作系統(tǒng)和生活系統(tǒng)間數(shù)據(jù)互相隔離�����,當(dāng)前系統(tǒng)中看不到對方系統(tǒng)中的數(shù)據(jù)�。1)項滿足判定為符合,其他情況判定為不符合�����。6.2.5 應(yīng)用隔離a) 檢測要求產(chǎn)品應(yīng)支持兩個系統(tǒng)間應(yīng)用程序隔離功能�,支持各自應(yīng)用的運行,互不干擾�。b) 檢測方法1) 在兩個系統(tǒng)中分別安裝、卸載不同的應(yīng)用����,檢查兩個系統(tǒng)中的應(yīng)用是否互不影響��;2) 在兩個系統(tǒng)中分別運行相同的應(yīng)用���,檢查是否能夠使用不同賬戶分別進(jìn)行登錄,并且運行產(chǎn)生的數(shù)據(jù)不會在對方系統(tǒng)中保存���。c) 結(jié)果判定1) 支持兩個系統(tǒng)間應(yīng)用程序隔離功能�,應(yīng)用各自運行互不影響�����。1)項滿足的為“符合”���;其他情況為“不符合”�����。6.2.6 外設(shè)控制a) 檢測要求產(chǎn)品應(yīng)支持兩個系統(tǒng)根據(jù)各自的策略實現(xiàn)對外設(shè)的使用控制。b) 檢測方法1) 審查產(chǎn)品說明文檔����,分析產(chǎn)品對外設(shè)的使用進(jìn)行控制的相關(guān)功能���,如攝像頭、USB接口等����;2) 驗證對外設(shè)的使用是否符合系統(tǒng)各自的策略;3) 分別修改系統(tǒng)策略后����,驗證對外設(shè)的使用是否符合修改后的策略。c) 結(jié)果判定1) 產(chǎn)品支持兩個系統(tǒng)根據(jù)各自的策略對外設(shè)的使用進(jìn)行控制����,如攝像頭、USB接口等�。1)項滿足的為“符合”;其他情況為“不符合”�����。6.2.7 電話短信a) 檢測要求產(chǎn)品應(yīng)支持撥打/接聽電話記錄和發(fā)送/接收短信內(nèi)容僅存儲在當(dāng)前系統(tǒng)中��。b) 檢測方法1) 在當(dāng)前系統(tǒng)中撥打/接聽電話�����,檢查撥打/接聽電話記錄是否僅存儲在當(dāng)前系統(tǒng)中;2) 在當(dāng)前系統(tǒng)中發(fā)送/接收短信�����,檢查發(fā)送/接收短信內(nèi)容是否僅存儲在當(dāng)前系統(tǒng)中��。c) 結(jié)果判定1) 撥打/接聽電話記錄和發(fā)送/接收短信內(nèi)容僅存儲在當(dāng)前系統(tǒng)中�����。1)項滿足的為“符合”�����;其他情況為“不符合”�。6.2.8 網(wǎng)絡(luò)接入a) 檢測要求產(chǎn)品應(yīng)支持兩個系統(tǒng)分別接入網(wǎng)絡(luò)的功能,工作系統(tǒng)接入企業(yè)專網(wǎng)�,生活系統(tǒng)接入公網(wǎng),并且兩個系統(tǒng)不能通過更改APN實現(xiàn)公專網(wǎng)交叉訪問���。b) 檢測方法1) 審查產(chǎn)品說明文檔���,分析產(chǎn)品是否支持兩個系統(tǒng)分別接入網(wǎng)絡(luò)����;2) 驗證產(chǎn)品是否支持兩個系統(tǒng)分別接入網(wǎng)絡(luò)���,并驗證接入是否有效;3) 檢查兩個系統(tǒng)是否不能通過更改APN實現(xiàn)兩個系統(tǒng)的交叉訪問����。c) 結(jié)果判定1) 產(chǎn)品支持兩個系統(tǒng)分別接入網(wǎng)絡(luò);2) 不能通過更改APN實現(xiàn)兩個系統(tǒng)網(wǎng)絡(luò)的交叉訪問����。1)-2)項均滿足的為“符合”;其他情況為“不符合”�����。6.2.9 后臺消息通知a) 檢測要求產(chǎn)品應(yīng)支持后臺系統(tǒng)發(fā)生的事件以通知的形式在前臺系統(tǒng)的通知欄顯示���,但不顯示具體內(nèi)容的功能���。b) 檢測方法1) 向后臺系統(tǒng)中發(fā)送消息,使后臺系統(tǒng)產(chǎn)生相應(yīng)的事件�����,檢查該事件是否能夠在前臺系統(tǒng)通知欄進(jìn)行顯示,并檢查是否不顯示事件的具體內(nèi)容����。c) 結(jié)果判定1) 后臺系統(tǒng)產(chǎn)生的事件能夠在前臺系統(tǒng)的通知欄中進(jìn)行顯示,但不顯示事件的具體內(nèi)容���。1)項滿足的為“符合”���;其他情況為“不符合”。6.3 安全檢測6.3.1 檢測環(huán)境與工具a) 檢測環(huán)境圖(同圖一)6.3.2 標(biāo)識與鑒別6.3.2.1 用戶屬性定義a) 檢測要求移動終端雙系統(tǒng)應(yīng)維護(hù)每個用戶的安全屬性�,屬性可包括:用戶標(biāo)識、授權(quán)信息或用戶組信息���、其他安全屬性等����。b) 檢測方法驗證產(chǎn)品是否能夠?qū)τ脩舻陌踩珜傩赃M(jìn)行維護(hù)���。c) 結(jié)果判定1) 產(chǎn)品能夠維護(hù)用戶的安全屬性�。1)項滿足為“符合”����;其余情況為“不符合”����。6.3.2.2 任何動作前的用戶鑒別a) 檢測要求移動終端雙系統(tǒng)應(yīng)要求用戶在執(zhí)行與移動終端雙系統(tǒng)安全相關(guān)的任何操作之前�,都已被成功鑒別��。b) 檢測方法1) 查看用戶在未被成功鑒別前�����,是否被拒絕執(zhí)行任何安全相關(guān)的操作��;2) 查看產(chǎn)品是否拒絕錯誤的鑒別信息的用戶登錄�����;3) 以正確的鑒別信息登錄并進(jìn)行安全相關(guān)操作�,驗證產(chǎn)品是否允許登錄,是否允許進(jìn)行安全相關(guān)操作�����。c) 結(jié)果判定1) 用戶被成功鑒別前�,不能執(zhí)行任何與安全相關(guān)的操作;2) 輸入錯誤鑒別信息,產(chǎn)品不允許登錄��;3) 輸入正確的鑒別信息����,能夠成功登錄,并能夠執(zhí)行安全相關(guān)操作�����。1)-3)項均滿足的為“符合”�����;其他情況為“不符合”��。6.3.2.3 受保護(hù)的鑒別反饋a) 檢測要求鑒別進(jìn)行時�,移動終端雙系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋,不顯示字符本身���。b) 檢測方法執(zhí)行用戶身份鑒別操作�,輸入用戶鑒別數(shù)據(jù)���,檢查移動終端雙系統(tǒng)給出的反饋信息是否不顯示字符本身��。c) 結(jié)果判定1) 移動終端雙系統(tǒng)產(chǎn)品給出的反饋信息不顯示字符本身��。1)項滿足為“符合”����;其余情況為“不符合”。6.3.2.4 鑒別失敗處理a) 檢測要求1) 移動終端雙系統(tǒng)應(yīng)能檢測用戶的不成功的鑒別嘗試�����;2) 在達(dá)到或超過最大鑒別失敗嘗試次數(shù)閾值后����,移動終端雙系統(tǒng)應(yīng)采取措施阻止進(jìn)一步的鑒別嘗試���,直至滿足已定義的條件才允許進(jìn)行重新鑒別��;3) 應(yīng)僅由授權(quán)用戶設(shè)置未成功鑒別嘗試次數(shù)閾值���。b) 檢測方法1) 以錯誤的鑒別信息嘗試登錄移動終端雙系統(tǒng),檢查是否被拒絕登錄系統(tǒng)��;2) 繼續(xù)進(jìn)行一定次數(shù)的登錄嘗試�����,驗證在達(dá)到或超過允許的鑒別失敗嘗試次數(shù)后,系統(tǒng)是否自動鎖定�;3) 驗證在授權(quán)用戶解除或達(dá)到解鎖條件后,用戶是否可以重新進(jìn)行鑒別操作��;4) 檢查未成功鑒別嘗試次數(shù)閾值是否僅由授權(quán)用戶設(shè)置����。c) 結(jié)果判定1) 輸入錯誤的鑒別信息,用戶無法進(jìn)入移動終端雙系統(tǒng)系統(tǒng)����;2) 在連續(xù)鑒別失敗嘗試次數(shù)達(dá)到或超過允許的鑒別失敗嘗試次數(shù)后,系統(tǒng)自動鎖定�;3) 在授權(quán)用戶解除或達(dá)到解鎖條件后,用戶可以重新進(jìn)行鑒別操作���;4) 未成功鑒別嘗試次數(shù)閾值僅由授權(quán)用戶設(shè)置���。1)-4)項均滿足的為“符合”;其他情況為“不符合”6.3.3 安全審計6.3.3.1 審計數(shù)據(jù)產(chǎn)生a) 檢測要求1) 移動終端雙系統(tǒng)應(yīng)能為如下支持的事件產(chǎn)生審計記錄:¨ 移動終端雙系統(tǒng)的啟動和關(guān)閉���;¨ 移動終端雙系統(tǒng)應(yīng)用的啟動和退出�;¨ (如適用)對用戶鑒別的行為和鑒別失敗處理的行為;¨ 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作���。2) 移動終端雙系統(tǒng)應(yīng)在每個審計記錄中至少記錄下列信息:事件發(fā)生的日期和時間�、事件類型���、事件主體身份標(biāo)識���、事件描述及結(jié)果。b) 檢測方法1) 分別執(zhí)行如下操作�,查看審計記錄�,驗證系統(tǒng)是否對如下操作產(chǎn)生了審計記錄:¨ 移動終端雙系統(tǒng)的啟動和關(guān)閉;¨ 移動終端雙系統(tǒng)應(yīng)用的啟動和退出����;¨ (如適用)對用戶鑒別的行為和鑒別失敗處理的行為;¨ 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作��。2) 查看審計記錄中是否包括事件發(fā)生的日期和時間���、事件類型���、事件主體身份標(biāo)識�、事件描述及結(jié)果���。c) 結(jié)果判定1) 移動終端雙系統(tǒng)能夠為如下支持的事件生成審計記錄:¨ 移動終端雙系統(tǒng)的啟動和關(guān)閉��;¨ 移動終端雙系統(tǒng)應(yīng)用的啟動和退出���;¨ (如適用)對用戶鑒別的行為和鑒別失敗處理的行為;¨ 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作�。2) 查看審計記錄中是否包括事件發(fā)生的日期和時間、事件類型��、事件主體身份標(biāo)識����、事件描述及結(jié)果。1)-2)項均滿足的為“符合”����;其他情況為“不符合”6.3.4 安全管理6.3.4.1 安全功能行為的管理a) 檢測要求移動終端雙系統(tǒng)應(yīng)僅限于授權(quán)用戶對下述功能具有修改的能力。1) 修改用戶認(rèn)證方式���;2) 其他安全功能行為的管理��。b) 檢測方法1) 成功進(jìn)入移動終端雙系統(tǒng)系統(tǒng)��,嘗試執(zhí)行下述功能:¨ 修改用戶認(rèn)證方式��;¨ 其他安全功能行為的管理�����。驗證是否只有授權(quán)信息驗證成功后才能夠執(zhí)行上述功能��。c) 結(jié)果判定1) 僅允許授權(quán)用戶才能夠執(zhí)行上述功能��。1)項滿足為“符合”�����;其余情況為“不符合”6.3.4.2 安全屬性的管理a) 檢測要求移動終端雙系統(tǒng)應(yīng)僅限于授權(quán)用戶對指定的安全屬性進(jìn)行修改操作����。b) 檢測方法成功進(jìn)入移動終端雙系統(tǒng)系統(tǒng)����,嘗試執(zhí)行對指定的安全屬性進(jìn)行修改操作,檢查是否僅允許授權(quán)用戶能夠執(zhí)行相應(yīng)操作���。c) 結(jié)果判定1) 僅允許授權(quán)用戶才能對指定的安全屬性執(zhí)行修改操作�����。1)項滿足為“符合”���;其余情況為“不符合”6.3.4.3 TSF數(shù)據(jù)的管理a) 檢測要求移動終端雙系統(tǒng)應(yīng)僅允許授權(quán)用戶執(zhí)行下列操作:1) 修改用戶超時時間�;2) 其他系統(tǒng)參數(shù)配置操作�。b) 檢測方法1) 成功進(jìn)入移動終端雙系統(tǒng)系統(tǒng),嘗試執(zhí)行下述操作:¨ 修改用戶超時時間���;¨ 其他系統(tǒng)參數(shù)配置操作���。驗證是否只有授權(quán)信息驗證成功后才能夠執(zhí)行上述操作。c) 結(jié)果判定1) 僅允許授權(quán)用戶才能夠執(zhí)行上述操作���。1)項滿足為“符合”���;其余情況為“不符合”6.3.5 TSF保護(hù)6.3.5.1 TSF原發(fā)會話終止a) 檢測要求移動終端雙系統(tǒng)的安全功能應(yīng)在達(dá)到一定的用戶不活動的時間間隔之后終止交互式會話。b) 檢測方法成功進(jìn)入移動終端雙系統(tǒng)系統(tǒng)�,不進(jìn)行任何操作,檢查在達(dá)到指定的用戶不活動時間間隔后�����,移動終端雙系統(tǒng)是否終止交互式會話,自動退出登錄����。c) 結(jié)果判定1) 在達(dá)到設(shè)置的用戶不活動時間間隔后,移動終端雙系統(tǒng)終止交互式會話��,自動退出登錄�。1)項滿足為“符合”;其余情況為“不符合”����。6.3.5.2 可靠的時間戳a) 檢測要求移動終端雙系統(tǒng)的安全功能應(yīng)能為自身的應(yīng)用提供可靠的時間戳。b) 檢測方法1) 分析廠家文檔�����,檢查是否描述了可靠時間戳來源���;2) 以授權(quán)用戶身份分別執(zhí)行與時間戳相關(guān)的功能�,分析其時間戳來源與文檔描述的時間戳來源是否一致���。c) 結(jié)果判定1) 移動終端雙系統(tǒng)使用了可靠的時間戳。1)項滿足為“符合”�;其余情況為“不符合”��。6.4 安全保障要求評估6.4.1 開發(fā)6.4.1.1 安全架構(gòu)描述a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)設(shè)計并實現(xiàn)TOE�����,確保TSF的安全特性不可旁路����;¨ 開發(fā)者應(yīng)設(shè)計并實現(xiàn)TSF��,以防止不可信主體的破壞����;¨ 開發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。2) 內(nèi)容和形式元素:¨ 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計文檔中對SFR-執(zhí)行的抽象描述的級別一致���;¨ 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域���;¨ 安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的;¨ 安全架構(gòu)的描述應(yīng)證實TSF可防止被破壞���;¨ 安全架構(gòu)的描述應(yīng)證實TSF可防止SFR-執(zhí)行的功能被旁路����。b) 評估方法1) 評估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了TSF安全架構(gòu)的描述�;2) 開發(fā)者提供的TSF安全架構(gòu)的描述滿足證據(jù)的內(nèi)容和形式的所有要求。1)2)項均滿足為“符合”�,其他情況為“不符合”。6.4.1.2 安全執(zhí)行功能規(guī)范a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)提供一個功能規(guī)范���;¨ 開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系�。2) 內(nèi)容和形式元素:¨ 功能規(guī)范應(yīng)完整地描述TSF����;¨ 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法;¨ 功能規(guī)范應(yīng)識別和描述每個TSFI相關(guān)的所有參數(shù)�����;¨ 對于每個SFR-執(zhí)行TSFI��,功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為�;¨ 對于SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯誤消息���;¨ 功能規(guī)范應(yīng)證實安全功能要求到TSFI的追溯����。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求��;2) 評估者應(yīng)確定功能規(guī)范是安全功能要求的一個準(zhǔn)確且完備的實例化��。c) 結(jié)果判定1) 開發(fā)者提供了功能規(guī)范文檔�����;2) 開發(fā)者提供的功能規(guī)范文檔滿足證據(jù)的內(nèi)容和形式的所有要求��;3) 開發(fā)者提供的功能規(guī)范是安全功能要求的一個準(zhǔn)確且完備的實例化���。1)3)項均滿足的為“符合”�;其他情況為“不符合”����。6.4.1.3 基礎(chǔ)設(shè)計a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)提供TOE的設(shè)計;¨ 開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計中獲取到的最低層分解的映射���。2) 內(nèi)容和形式元素:¨ 設(shè)計應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)�;¨ 設(shè)計應(yīng)標(biāo)識TSF的所有子系統(tǒng)�����;¨ 設(shè)計應(yīng)對每一個SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述,以確定它不是SFR-執(zhí)行���;¨ 設(shè)計應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為��;¨ 設(shè)計應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用���;¨ 映射關(guān)系應(yīng)證實TOE設(shè)計中描述的所有行為能夠映射到調(diào)用它的TSFI。b) 評估方法1) 評估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求����;2) 評估者應(yīng)確定設(shè)計是所有安全功能要求的正確且完備的實例。c) 結(jié)果判定1) 開發(fā)者提供了TOE設(shè)計文檔��;2) 開發(fā)者提供的TOE設(shè)計文檔滿足證據(jù)的內(nèi)容和形式的所有要求��;3) 開發(fā)者提供的設(shè)計是所有安全功能要求的正確且完備的實例�����。1)3)項均滿足的為“符合”�����;其他情況為“不符合”。6.4.2 指導(dǎo)性文檔6.4.2.1 操作用戶指南a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)提供操作用戶指南���。2) 內(nèi)容和形式元素:¨ 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述����,在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán)���,包含適當(dāng)?shù)木拘畔ⅲ?#168; 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,怎樣以安全的方式使用TOE提供的可用接口�;¨ 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,可用功能和接口�����,尤其是受用戶控制的所有安全參數(shù)�,適當(dāng)時應(yīng)指明安全值;¨ 操作用戶指南應(yīng)對每一種用戶角色明確說明�,與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件,包括改變TSF所控制實體的安全特性�;¨ 操作用戶指南應(yīng)標(biāo)識TOE運行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯誤),它們與維持安全運行之間的因果關(guān)系和聯(lián)系�;¨ 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,為了充分實現(xiàn)ST中描述的運行環(huán)境安全目的所必須執(zhí)行的安全策略���;¨ 操作用戶指南應(yīng)是明確和合理的�。b) 評估方法1) 評估者應(yīng)確認(rèn)所有提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了操作用戶指南���;2) 開發(fā)者提供的操作用戶指南滿足證據(jù)的內(nèi)容和形式的所有要求�����。1)2)項均滿足的為“符合”�;其他情況為“不符合”�����。6.4.2.2 準(zhǔn)備程序a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)提供TOE����,包括它的準(zhǔn)備程序。2) 內(nèi)容和形式元素:¨ 準(zhǔn)備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟�����;¨ 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運行環(huán)境安全目的一致的運行環(huán)境必需的所有步驟�����。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求;2) 評估者應(yīng)運用準(zhǔn)備程序確認(rèn)TOE運行能被安全的準(zhǔn)備���。c) 結(jié)果判定1) 開發(fā)者提供了TOE以及它的準(zhǔn)備程序�����;2) 開發(fā)者提供的準(zhǔn)備程序滿足證據(jù)的內(nèi)容和形式的所有要求�;3) 運用準(zhǔn)備程序能夠確認(rèn)TOE運行能被安全的準(zhǔn)備�。1)3)項均滿足的為“符合”����;其他情況為“不符合”。6.4.3 生命周期支持6.4.3.1 CM系統(tǒng)的使用a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)提供TOE及其參照號���;¨ 開發(fā)者應(yīng)提供CM文檔��;¨ 開發(fā)者應(yīng)使用CM系統(tǒng)���。2) 內(nèi)容和形式元素:¨ 應(yīng)給TOE標(biāo)注唯一參照號;¨ CM文檔應(yīng)描述用于唯一標(biāo)識配置項的方法��;¨ CM系統(tǒng)應(yīng)唯一標(biāo)識所有配置項��。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了TOE�����,并為其標(biāo)注唯一參照號�;2) 開發(fā)者提供了配置管理文檔,且文檔滿足證據(jù)的內(nèi)容和形式的所有要求�;3) 開發(fā)者使用了配置管理系統(tǒng),且配置管理系統(tǒng)滿足證據(jù)的內(nèi)容和形式的所有要求����。1)3)項均滿足的為“符合”,其他情況為“不符合”����。6.4.3.2 部分TOE CM覆蓋a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)提供TOE配置項列表。2) 內(nèi)容和形式元素:¨ 配置項列表應(yīng)包括:TOE本身����、安全保障要求的評估證據(jù)和TOE的組成部分;¨ 配置項列表應(yīng)唯一標(biāo)識配置項��;¨ 對于每一個TSF相關(guān)的配置項����,配置項列表應(yīng)簡要說明該配置項的開發(fā)者�����。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求���。c) 結(jié)果判定1) 開發(fā)者提供了產(chǎn)品配置項列表;2) 開發(fā)者提供的產(chǎn)品配置項列表滿足證據(jù)的內(nèi)容和形式的所有要求�。1)2)項均滿足的為“符合”;其他情況為“不符合”�����。6.4.3.3 交付程序a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)將把TOE或其部分交付給消費者的程序文檔化����;¨ 開發(fā)者應(yīng)使用交付程序�。2) 內(nèi)容和形式元素:¨ 交付文檔應(yīng)描述,在向消費者分發(fā)TOE版本時���,用以維護(hù)安全性所必需的所有程序���。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了交付文檔;2) 開發(fā)者提供的交付文檔和使用交付文檔的證據(jù)滿足證據(jù)的內(nèi)容和形式的所有要求���。1)2)項均滿足的為“符合”�����;其他情況為“不符合”�。6.4.4 測試6.4.4.1 覆蓋證據(jù)a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)提供測試覆蓋的證據(jù)��。2) 內(nèi)容和形式元素:¨ 測試覆蓋的證據(jù)應(yīng)表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對應(yīng)性���。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求�。c) 結(jié)果判定1) 開發(fā)者提供了測試覆蓋的相關(guān)證據(jù)�����;2) 測試覆蓋的相關(guān)證據(jù)的內(nèi)容滿足要求���。1)2)項均滿足的為“符合”�;其他情況為“不符合”����。6.4.4.2 功能測試a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)測試TSF,并文檔化測試結(jié)果;¨ 開發(fā)者應(yīng)提供測試文檔���。2) 內(nèi)容和形式元素:¨ 測試文檔應(yīng)包括測試計劃��、預(yù)期的測試結(jié)果和實際的測試結(jié)果�����;¨ 測試計劃應(yīng)標(biāo)識要執(zhí)行的測試并描述執(zhí)行每個測試的方案���,這些方案應(yīng)包括對于其他測試結(jié)果的任何順序依賴性;¨ 預(yù)期的測試結(jié)果應(yīng)指出測試成功執(zhí)行后的預(yù)期輸出����;¨ 實際的測試結(jié)果應(yīng)與預(yù)期的測試結(jié)果一致。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求���。c) 結(jié)果判定1) 開發(fā)者提供了測試文檔;2) 開發(fā)者提供的測試文檔的內(nèi)容滿足證據(jù)的內(nèi)容和形式的所有要求����。1)2)項均滿足的為“符合”;其他情況為“不符合”��。6.4.4.3 獨立測試-抽樣a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)提供用于測試的TOE。2) 內(nèi)容和形式元素:¨ TOE應(yīng)適合測試��;¨ 開發(fā)者應(yīng)提供一組與開發(fā)者TSF功能測試中同等的一系列資源�����。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求��;2) 評估者應(yīng)執(zhí)行測試文檔中的測試樣本��,以驗證開發(fā)者的測試結(jié)果�;3) 評估者應(yīng)測試TSF的一個子集以確認(rèn)TSF按照規(guī)定運行。c) 結(jié)果判定1) 開發(fā)者提供的產(chǎn)品適合測試�����;2) 開發(fā)者為產(chǎn)品測試提供了必要的資源�;3) 通過執(zhí)行測試文檔中的測試樣本,開發(fā)者測試文檔中的測試結(jié)果正確����;4) TSF能夠按照規(guī)定運行。1)4)項均滿足的為“符合”���;其他情況為“不符合”�����。6.4.5 脆弱性評定6.4.5.1 脆弱性分析a) 評估要求1) 開發(fā)者行為元素:¨ 開發(fā)者應(yīng)提供用于測試的TOE��。2) 內(nèi)容和形式元素:¨ TOE應(yīng)適合測試�����。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求�����;2) 評估者應(yīng)執(zhí)行公共領(lǐng)域的調(diào)查以標(biāo)識TOE的潛在脆弱性��;3) 評估者應(yīng)基于已標(biāo)識的潛在脆弱性實施穿透性測試�,判定TOE能抵抗具有基本攻擊潛力的攻擊者的攻擊。c) 結(jié)果判定1) 開發(fā)者提供了適合測試的產(chǎn)品�����;2) 通過實施的穿透性測試確認(rèn)TOE能夠抵抗具有基本攻擊潛力的攻擊者的攻擊��。1)2)項均滿足的為“符合”����;其他情況為“不符合”。_22
個人主頁