《數(shù)據(jù)泄漏防護(hù)產(chǎn)品安全評價規(guī)范》(2017RB012)-征求意見稿
《《數(shù)據(jù)泄漏防護(hù)產(chǎn)品安全評價規(guī)范》(2017RB012)-征求意見稿》由會員分享,可在線閱讀,更多相關(guān)《《數(shù)據(jù)泄漏防護(hù)產(chǎn)品安全評價規(guī)范》(2017RB012)-征求意見稿(26頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索。
ICS點(diǎn)擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號RB中華人民共和國認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn)RB/T XXXXXXXXX數(shù)據(jù)泄露防護(hù)產(chǎn)品安全評價規(guī)范Security evaluation specifications for data leakage prevention product點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識(征求意見稿)(本稿完成日期:2018.12.28)XXXX - XX - XX發(fā)布XXXX - XX - XX實(shí)施中華人民共和國國家市場監(jiān)督管理總局國家認(rèn)證認(rèn)可監(jiān)督管理委員會發(fā)布RB/T XXXXXXXXX目次前言21范圍32規(guī)范性引用文件33術(shù)語、定義和縮略語33.1術(shù)語和定義33.2縮略語44評價過程44.1總體說明44.2評價的主要環(huán)節(jié)44.3結(jié)果判定55評價要求55.1總體說明55.2功能要求55.3安全要求65.4安全保障要求86評價方法106.1總體說明106.2檢測環(huán)境與工具106.3功能檢測方法116.4安全要求檢測方法136.5安全保障要求評估方法19前言本規(guī)范按照GB/T 1.1-2009的規(guī)則起草。本規(guī)范由國家認(rèn)證認(rèn)可監(jiān)督管理委員會提出并歸口。本規(guī)范起草單位:中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、信息產(chǎn)業(yè)信息安全測評中心、北京億賽通科技發(fā)展有限責(zé)任公司、北京北信源軟件股份有限公司。本規(guī)范主要起草人:數(shù)據(jù)泄露防護(hù)產(chǎn)品安全評價規(guī)范1 范圍本規(guī)范規(guī)定了數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全評價要求及評價方法。本規(guī)范適用于第三方認(rèn)證機(jī)構(gòu)和檢測機(jī)構(gòu)對數(shù)據(jù)泄露防護(hù)產(chǎn)品的評價,數(shù)據(jù)泄露防護(hù)產(chǎn)品的設(shè)計(jì)和實(shí)現(xiàn)也可參照。2 規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T 18336-2015(所有部分) 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則GB/T 25069 信息安全技術(shù) 術(shù)語3 術(shù)語、定義和縮略語3.1 術(shù)語和定義GB/T 18336-2015和GB/T 25069界定的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1.1 數(shù)據(jù)泄露防護(hù)產(chǎn)品(data leakage prevention, DLP)數(shù)據(jù)泄露防護(hù)產(chǎn)品是指以統(tǒng)一策略為基礎(chǔ),采用深層內(nèi)容分析技術(shù)對數(shù)據(jù)的傳輸、存儲進(jìn)行即時的識別、監(jiān)控和防護(hù)的安全產(chǎn)品。3.1.2 確切數(shù)據(jù)匹配(exact data matching)是指對于結(jié)構(gòu)化數(shù)據(jù)的數(shù)據(jù)組合進(jìn)行內(nèi)容識別的一種匹配技術(shù),結(jié)構(gòu)化的數(shù)據(jù)比如數(shù)據(jù)庫中的數(shù)據(jù)或以表格形式存儲的數(shù)據(jù)。例如:查找“名字”、“身份證號”和“電話號碼”三項(xiàng)同時出現(xiàn)的情況,可能就是一條EDM匹配策略。3.1.3 電子公告板系統(tǒng)(Bulletin Board System)一種電子信息服務(wù)系統(tǒng)。它向用戶提供了一塊公共電子白板,提供非常豐富的web訪問方式,每個用戶都可以在上面發(fā)布信息或提出看法。典型的應(yīng)用包括發(fā)文、即時消息、信件、Blog等。3.1.4 社會性網(wǎng)絡(luò)服務(wù)(Social Networking Services)也叫“社交網(wǎng)站”或“社交網(wǎng)”,通常指基于分布式技術(shù)構(gòu)建的以個人為中心的服務(wù)。網(wǎng)絡(luò)中的個人用戶能夠通過該服務(wù)在網(wǎng)絡(luò)中共享他們的想法、圖片、文章、活動、事件,滿足其參與、分享和互動的真實(shí)需求,同時建立人與人之間的社交網(wǎng)絡(luò)或社交關(guān)系的連接。國內(nèi)主流SNS有人人網(wǎng)、QQ空間、開心網(wǎng)、豆瓣、天涯等。3.1.5 受控(Controlled)本規(guī)范中特指授權(quán)用戶通過終端軟件注冊并使用的。3.2 縮略語以下縮略語適用于本文件。DLP Data Loss Prevention 數(shù)據(jù)泄露防護(hù)EDM Exact Data Matching 確切數(shù)據(jù)匹配4 評價過程4.1 總體說明認(rèn)證機(jī)構(gòu)在接收到認(rèn)證申請資料并審查合格后安排實(shí)驗(yàn)室進(jìn)行檢測。認(rèn)證機(jī)構(gòu)收到檢測報(bào)告并審查合格后,組織現(xiàn)場核查。認(rèn)證機(jī)構(gòu)對文檔審核、檢測、現(xiàn)場核查結(jié)果進(jìn)行綜合評價。4.2 評價的主要環(huán)節(jié)4.2.1 文檔審核認(rèn)證機(jī)構(gòu)對申請方提交的資料和文檔依據(jù)產(chǎn)品技術(shù)規(guī)范進(jìn)行審核。文檔審核的項(xiàng)目、要求及方法在本規(guī)范中條款號的對應(yīng)關(guān)系如下。表1 文檔審核對應(yīng)關(guān)系表序號項(xiàng)目要求方法1開發(fā)5.4.16.5.12指導(dǎo)性文檔5.4.26.5.23生命周期支持5.4.36.5.34測試5.4.46.5.4注:開發(fā)、生命周期等部分內(nèi)容需要在現(xiàn)場核查環(huán)節(jié)進(jìn)行驗(yàn)證。4.2.2 檢測檢測實(shí)驗(yàn)室對申請方送樣的產(chǎn)品依據(jù)產(chǎn)品技術(shù)規(guī)范進(jìn)行檢測。檢測的項(xiàng)目、要求及方法在本規(guī)范中條款號的對應(yīng)關(guān)系如下。表2 檢測對應(yīng)關(guān)系表序號項(xiàng)目要求方法1功能要求5.26.32安全要求5.36.44.2.3 現(xiàn)場核查認(rèn)證機(jī)構(gòu)指派檢查員對工廠的信息安全保障能力進(jìn)行檢查,檢查內(nèi)容涉及研發(fā)和生產(chǎn)環(huán)境?,F(xiàn)場核查的項(xiàng)目、要求及方法在本規(guī)范中條款號的對應(yīng)關(guān)系如下。表3 現(xiàn)場核查序號項(xiàng)目要求方法1信息安全保障能力開發(fā)5.4.16.5.12生命周期支持5.4.36.5.34.3 結(jié)果判定文檔審核、檢測、現(xiàn)場核查的所有項(xiàng)目均通過,總體結(jié)果判定為通過。5 評價要求5.1 總體說明評價要求包括對產(chǎn)品的功能要求、安全要求和安全保障要求。5.2 功能要求5.2.1 數(shù)據(jù)泄露識別與告警a) 產(chǎn)品應(yīng)能根據(jù)策略識別以下內(nèi)容中是否包含重要數(shù)據(jù):1) 壓縮的/未壓縮的非結(jié)構(gòu)化文檔,支持包括但不限于word、excel、pdf文檔格式;2) 常用應(yīng)用協(xié)議,支持包括但不限于下列協(xié)議:SMTP、POP3/IMAP、HTTP、FTP;3) 經(jīng)BBS、SNS發(fā)布的;4) 數(shù)據(jù)庫中存儲的,支持包括但不限于下列數(shù)據(jù)庫:SQL Server、Oracle、MySQL;b) 產(chǎn)品應(yīng)支持被動監(jiān)測或主動掃描等多種數(shù)據(jù)識別方式;c) 當(dāng)識別到重要數(shù)據(jù)時,應(yīng)進(jìn)行包括但不限于下列行為:記錄告警日志、即時告警(彈窗等)、無明示告警、發(fā)送告警郵件、發(fā)送SMS消息。5.2.2 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)通過如下方式防止重要數(shù)據(jù)發(fā)生泄露:a) 禁用外設(shè),如:光驅(qū)、打印機(jī)、網(wǎng)卡、無線網(wǎng)卡WIFI、串口、紅外設(shè)備、藍(lán)牙設(shè)備;b) 對重要數(shù)據(jù)內(nèi)容進(jìn)行替換、刪除等操作;c) 僅允許授權(quán)用戶能夠使用受控的移動存儲設(shè)備;d) 中斷傳輸過程;e) 對于郵件方式,應(yīng)額外提供包括但不限于下列動作:過濾敏感詞、剝離附件、增加刪除收件人、刪除收件人、正文替換、郵件轉(zhuǎn)發(fā)、郵件審批。5.2.3 統(tǒng)計(jì)報(bào)表a) 產(chǎn)品應(yīng)支持對指定時間段內(nèi)產(chǎn)生的重要事件違規(guī)情況進(jìn)行統(tǒng)計(jì)及分析的能力,支持多種統(tǒng)計(jì)結(jié)果展現(xiàn)方式,如:列表、柱狀圖、折線圖或餅狀圖等。b) 產(chǎn)品應(yīng)支持報(bào)表的導(dǎo)出功能。5.2.4 管理功能a) 產(chǎn)品應(yīng)提供預(yù)定義的重要數(shù)據(jù),并支持重要數(shù)據(jù)的自定義功能;b) 產(chǎn)品應(yīng)支持對重要數(shù)據(jù)泄露識別規(guī)則的設(shè)置功能,包括但不限于:關(guān)鍵字匹配、正則表達(dá)式、指紋、確切數(shù)據(jù)匹配、其他屬性。c) 產(chǎn)品應(yīng)支持集中或分布式的管理方式。5.3 安全要求5.3.1 標(biāo)識與鑒別5.3.1.1 用戶屬性定義數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)維護(hù)每個用戶的安全屬性,屬性可包括:用戶標(biāo)識、授權(quán)信息或用戶組信息、其他安全屬性等。5.3.1.2 唯一性標(biāo)識數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)保證任何用戶都具有全局唯一的標(biāo)識。5.3.1.3 鑒別的時機(jī)數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)要求每個用戶在執(zhí)行與數(shù)據(jù)泄露防護(hù)產(chǎn)品安全相關(guān)的任何其他操作之前,都已被成功鑒別。5.3.1.4 鑒別失敗處理a) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)能檢測用戶的不成功的鑒別嘗試;d) 在達(dá)到或超過最大連續(xù)鑒別失敗嘗試次數(shù)閾值后,數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)采取措施阻止進(jìn)一步的鑒別嘗試,直至滿足已定義的條件才允許進(jìn)行重新鑒別;e) 應(yīng)僅由授權(quán)管理員設(shè)置未成功鑒別嘗試次數(shù)閾值。5.3.1.5 受保護(hù)的鑒別反饋鑒別進(jìn)行時,數(shù)據(jù)泄露防護(hù)產(chǎn)品安全功能應(yīng)僅向用戶提供非鑒別數(shù)據(jù)(如圓點(diǎn)、星號等)作為鑒別數(shù)據(jù)輸入的反饋。5.3.2 用戶數(shù)據(jù)保護(hù)5.3.2.1 基于屬性的訪問控制數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)支持基于用戶角色、IP等安全屬性實(shí)現(xiàn)訪問控制。5.3.3 安全審計(jì)5.3.3.1 審計(jì)數(shù)據(jù)產(chǎn)生a) 數(shù)據(jù)泄露防護(hù)產(chǎn)品如果支持以下事件,應(yīng)能為其產(chǎn)生審計(jì)記錄:1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品的啟動和關(guān)閉;2) 導(dǎo)出、另存和刪除審計(jì)日志;3) 設(shè)置鑒別嘗試次數(shù);4) 鑒別機(jī)制的使用;5) 用戶的創(chuàng)建、修改、刪除與授權(quán);6) 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。f) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)在每個審計(jì)記錄中至少記錄下列信息:1) 事件發(fā)生的日期和時間;2) 事件類型;3) 事件主體身份標(biāo)識;4) 事件描述及結(jié)果。5.3.3.2 審計(jì)數(shù)據(jù)查閱a) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)為授權(quán)用戶提供讀取審計(jì)記錄的功能;b) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)以便于用戶理解的方式提供審計(jì)記錄。5.3.3.3 限制審計(jì)查閱除明確允許讀訪問的用戶外,TSF應(yīng)禁止所有用戶對審計(jì)記錄的讀訪問。5.3.3.4 可選審計(jì)查閱數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)提供根據(jù)條件對審計(jì)數(shù)據(jù)進(jìn)行查詢或排序的功能。5.3.3.5 審計(jì)數(shù)據(jù)保護(hù)a) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)保護(hù)存儲的審計(jì)記錄免遭未授權(quán)的刪除;b) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)禁止對審計(jì)記錄的修改。5.3.4 安全管理5.3.4.1 安全功能行為管理數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅限于授權(quán)管理員對下述功能具有允許、禁止或修改的能力。a) 審計(jì)功能的開關(guān);b) 其它安全功能行為的管理。5.3.4.2 安全屬性管理數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅限于已標(biāo)識的授權(quán)角色能夠執(zhí)行如下屬性管理操作:a) 用戶的維護(hù)(如刪除、修改、添加等);b) 鑒別數(shù)據(jù)的管理;c) 用戶與角色的維護(hù);d) 其它安全屬性的管理操作。5.3.4.3 安全角色管理a) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)能夠?qū)Π踩巧M(jìn)行維護(hù),根據(jù)實(shí)際情況設(shè)置管理員、審計(jì)員和普通用戶角色;b) 應(yīng)將安全角色和權(quán)限進(jìn)行關(guān)聯(lián),并禁止權(quán)限交叉。5.3.4.4 TSF數(shù)據(jù)的管理數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅允許授權(quán)管理員執(zhí)行下列操作:a) 設(shè)置鑒別嘗試次數(shù)和/或鑒別失敗事件中采取的動作;b) 設(shè)置訪問控制屬性,如:IP地址;c) 其他系統(tǒng)參數(shù)配置操作,如:系統(tǒng)時間。5.3.5 TSF保護(hù)5.3.5.1 內(nèi)部TSF數(shù)據(jù)傳送的基本保護(hù)數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)防止與管理員之間的安全功能數(shù)據(jù)在傳送過程中被泄漏。5.3.5.2 可靠的時間戳數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全功能應(yīng)能為自身的應(yīng)用提供可靠的時間戳。5.3.5.3 TSF原發(fā)會話終止數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全功能應(yīng)在達(dá)到一定的用戶不活動的時間間隔之后終止一個交互式會話。5.4 安全保障要求5.4.1 開發(fā)5.4.1.1 安全架構(gòu)描述開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TOE及其TSF,確保TSF的安全特性不可旁路、防止不可信主體破壞,提供的TSF安全架構(gòu)描述應(yīng)滿足如下要求: a) 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計(jì)文檔中對SFR-執(zhí)行的抽象描述的級別一致;g) 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域;h) 安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的;i) 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞;j) 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR-執(zhí)行的功能被旁路。5.4.1.2 安全執(zhí)行功能規(guī)范開發(fā)者應(yīng)提供一個功能規(guī)范,并提供功能規(guī)范到安全功能要求的追溯關(guān)系,滿足如下要求:a) 功能規(guī)范應(yīng)完整地描述TSF;b) 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法;c) 功能規(guī)范應(yīng)識別和描述每個TSFI相關(guān)的所有參數(shù);d) 對于每個SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為;e) 對于SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯誤消息;f) 功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。5.4.1.3 基礎(chǔ)設(shè)計(jì)開發(fā)者應(yīng)提供TOE的設(shè)計(jì),并提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射,滿足如下要求:a) 設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu);b) 設(shè)計(jì)應(yīng)標(biāo)識TSF的所有子系統(tǒng);c) 設(shè)計(jì)應(yīng)對每一個SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述,以確定它不是SFR-執(zhí)行;d) 設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為;e) 設(shè)計(jì)應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用;f) 映射關(guān)系應(yīng)證實(shí)TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。5.4.2 指導(dǎo)性文檔5.4.2.1 操作用戶指南開發(fā)者應(yīng)提供操作用戶指南,其內(nèi)容應(yīng)滿足如下要求:a) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán),包含適當(dāng)?shù)木拘畔?;b) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,怎樣以安全的方式使用TOE提供的可用接口;c) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,可用功能和接口,尤其是受用戶控制的所有安全參數(shù),適當(dāng)時應(yīng)指明安全值;d) 操作用戶指南應(yīng)對每一種用戶角色明確說明,與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件,包括改變TSF所控制實(shí)體的安全特性;e) 操作用戶指南應(yīng)標(biāo)識TOE運(yùn)行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯誤),它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系;f) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的所必須執(zhí)行的安全策略;g) 操作用戶指南應(yīng)是明確和合理的。5.4.2.2 準(zhǔn)備程序開發(fā)者應(yīng)提供TOE的準(zhǔn)備程序,其內(nèi)容應(yīng)滿足如下要求:a) 準(zhǔn)備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟;b) 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境必需的所有步驟。5.4.3 生命周期支持5.4.3.1 CM系統(tǒng)的使用開發(fā)者應(yīng)使用CM系統(tǒng),并提供CM文檔,其內(nèi)容應(yīng)滿足如下要求:a) 應(yīng)給TOE標(biāo)注唯一參照號;b) CM文檔應(yīng)描述用于唯一標(biāo)識配置項(xiàng)的方法;c) CM系統(tǒng)應(yīng)唯一標(biāo)識所有配置項(xiàng)。5.4.3.2 部分TOE CM覆蓋開發(fā)者應(yīng)提供TOE配置項(xiàng)列表,其內(nèi)容應(yīng)滿足如下要求: a) 配置項(xiàng)列表應(yīng)包括:TOE本身、安全保障要求的評估證據(jù)和TOE的組成部分;b) 配置項(xiàng)列表應(yīng)唯一標(biāo)識配置項(xiàng);c) 對于每一個TSF相關(guān)的配置項(xiàng),配置項(xiàng)列表應(yīng)簡要說明該配置項(xiàng)的開發(fā)者。5.4.3.3 交付程序開發(fā)者應(yīng)將把TOE或其部分交付給消費(fèi)者的程序文檔化,交付文檔應(yīng)描述:在向消費(fèi)者分發(fā)TOE版本時,用以維護(hù)安全性所必需的所有程序。5.4.4 測試5.4.4.1 覆蓋證據(jù)開發(fā)者應(yīng)提供測試覆蓋的證據(jù),覆蓋證據(jù)應(yīng)表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對應(yīng)性。5.4.4.2 功能測試開發(fā)者應(yīng)測試TSF,并文檔化測試結(jié)果,其內(nèi)容應(yīng)滿足如下要求:a) 測試文檔應(yīng)包括測試計(jì)劃、預(yù)期的測試結(jié)果和實(shí)際的測試結(jié)果;b) 測試計(jì)劃應(yīng)標(biāo)識要執(zhí)行的測試并描述執(zhí)行每個測試的方案,這些方案應(yīng)包括對于其他測試結(jié)果的任何順序依賴性;c) 預(yù)期的測試結(jié)果應(yīng)指出測試成功執(zhí)行后的預(yù)期輸出;d) 實(shí)際的測試結(jié)果應(yīng)與預(yù)期的測試結(jié)果一致。5.4.4.3 獨(dú)立測試-抽樣開發(fā)者應(yīng)提供用于測試的TOE,應(yīng)滿足如下要求:a) TOE應(yīng)適合測試;b) 開發(fā)者應(yīng)提供一組與開發(fā)者TSF功能測試中同等的一系列資源。5.4.5 脆弱性評定5.4.5.1 脆弱性分析開發(fā)者應(yīng)提供適合用于執(zhí)行穿透性測試的TOE。6 評價方法6.1 總體說明評價方法與評價要求一一對應(yīng),它給出具體的方法來驗(yàn)證數(shù)據(jù)泄露防護(hù)產(chǎn)品是否滿足評價要求。評價過程分為檢測和評估,其中,檢測內(nèi)容為功能要求及安全要求,評估內(nèi)容為安全保障要求,評估的主要方式為文件審核和現(xiàn)場核查。6.2 檢測環(huán)境與工具6.2.1 檢測環(huán)境檢測環(huán)境如圖1所示:圖1 功能及安全要求檢測環(huán)境圖6.2.2 檢測工具檢測所需的檢測計(jì)算機(jī)、交換機(jī)、服務(wù)器、數(shù)據(jù)包截取工具等。6.3 功能檢測方法6.3.1 數(shù)據(jù)泄露識別與告警a) 檢測要求1) 產(chǎn)品應(yīng)能根據(jù)策略識別以下內(nèi)容中是否包含重要數(shù)據(jù): 壓縮的/未壓縮的非結(jié)構(gòu)化文檔,支持包括但不限于word、excel、pdf(圖片,音視頻?)文檔格式; 常用應(yīng)用協(xié)議,支持包括但不限于下列協(xié)議:SMTP、POP3/IMAP、HTTP、FTP; 經(jīng)BBS、SNS發(fā)布的; 數(shù)據(jù)庫中存儲的,支持包括但不限于下列數(shù)據(jù)庫:SQL Server、Oracle、MySQL;2) 產(chǎn)品應(yīng)支持被動監(jiān)測和主動掃描等多種數(shù)據(jù)識別方式;3) 當(dāng)識別到重要數(shù)據(jù)時,應(yīng)進(jìn)行包括但不限于下列行為:記錄告警日志、即時告警(彈窗等)、無明示告警、發(fā)送告警郵件、發(fā)送SMS消息。b) 檢測方法1) 以授權(quán)管理員身份登錄產(chǎn)品,配置數(shù)據(jù)泄露識別策略,設(shè)置數(shù)據(jù)識別關(guān)鍵字;2) 確認(rèn)產(chǎn)品支持的告警方式,并設(shè)置相應(yīng)的告警策略;3) 在文件服務(wù)器上存儲包含重要數(shù)據(jù)的文檔,文檔類型包括Word、Excel、PPT、PDF;4) 在文件服務(wù)器上存儲經(jīng)過壓縮及嵌套壓縮的包含關(guān)鍵字的文檔,壓縮格式包括RAR、ZIP;5) 執(zhí)行重要數(shù)據(jù)掃描操作,檢查產(chǎn)品是否能夠識別;6) 從測試機(jī)上,通過郵件、FTP、HTTP等方式直接傳輸或壓縮后傳輸包含重要數(shù)據(jù)的文檔,檢查產(chǎn)品是否能夠識別;7) 從測試機(jī)上瀏覽帶有重要數(shù)據(jù)的頁面、發(fā)送帶有關(guān)鍵字的郵件,檢查產(chǎn)品是否能夠識別;8) 從測試機(jī)上通過BBS、SNS發(fā)布帶有重要數(shù)據(jù)的信息,檢查產(chǎn)品是否能夠識別;9) 在數(shù)據(jù)庫中存儲帶有重要數(shù)據(jù)的信息,執(zhí)行重要數(shù)據(jù)掃描操作,檢查產(chǎn)品是否能夠識別;10) 確認(rèn)設(shè)置的告警策略是否生效。c) 結(jié)果判定1) 產(chǎn)品支持識別策略和識別關(guān)鍵字的設(shè)置;2) 產(chǎn)品可以對告警方式進(jìn)行設(shè)置,應(yīng)至少支持評價要求中的一種或多種;3) 產(chǎn)品能夠識別直接或經(jīng)過壓縮后存儲在文件服務(wù)器上的包含重要數(shù)據(jù)的文檔;4) 產(chǎn)品能夠識別經(jīng)過HTTP、FTP、SMTP/IMAP4等協(xié)議發(fā)送的重要數(shù)據(jù);5) 產(chǎn)品能夠識別通過BBS、SNS發(fā)布的重要數(shù)據(jù);6) 產(chǎn)品能夠發(fā)現(xiàn)數(shù)據(jù)庫中存儲的重要數(shù)據(jù);7) 產(chǎn)品應(yīng)能根據(jù)設(shè)置的告警策略實(shí)施告警。1)-7)項(xiàng)均滿足為“符合”,其他情況為“不符合”。6.3.2 數(shù)據(jù)泄露防護(hù)a) 檢測要求產(chǎn)品應(yīng)通過如下方式防止重要數(shù)據(jù)發(fā)生泄露:1) 禁用外設(shè),如:光驅(qū)、打印機(jī)、網(wǎng)卡、無線網(wǎng)卡WIFI、串口、紅外設(shè)備、藍(lán)牙設(shè)備;2) 對重要數(shù)據(jù)內(nèi)容進(jìn)行替換、刪除等操作;3) 僅允許授權(quán)用戶能夠使用受控的移動存儲設(shè)備;4) 中斷傳輸過程;5) 對于郵件方式,應(yīng)額外提供包括但不限于下列動作:過濾重要詞、剝離附件、增加刪除收件人、刪除收件人、正文替換、郵件轉(zhuǎn)發(fā)、郵件審批。b) 檢測方法1) 以授權(quán)管理員登錄產(chǎn)品,檢查是否能夠配置相應(yīng)的外設(shè)管控策略,并檢查策略是否生效(外設(shè)如:如對光驅(qū)、打印機(jī)、網(wǎng)卡、無線網(wǎng)卡WIFI、串口、紅外設(shè)備、藍(lán)牙設(shè)備、USB存儲設(shè)備);2) 通過HTTP、FTP、郵件、BBS、SNS發(fā)送產(chǎn)品可以識別的帶有重要數(shù)據(jù)的信息,檢查是否可根據(jù)策略對重要數(shù)據(jù)進(jìn)行替換或刪除;3) 通過HTTP、FTP、郵件、BBS、SNS發(fā)送產(chǎn)品可以識別的帶有重要數(shù)據(jù)的信息,檢查是否可根據(jù)策略進(jìn)行阻斷;4) 在測試機(jī)上嘗試使用未經(jīng)注冊的移動存儲設(shè)備,驗(yàn)證是否不能使用;5) 在測試機(jī)上使用權(quán)限范圍外的經(jīng)過注冊的移動存儲設(shè)備,驗(yàn)證是否不能使用;6) 在測試機(jī)上使用授權(quán)范圍內(nèi)的經(jīng)過注冊的移動鵆設(shè)備,驗(yàn)證是否可以正常使用;7) 在測試機(jī)上,通過郵件客戶端發(fā)送帶有重要數(shù)據(jù)的郵件,驗(yàn)證產(chǎn)品是否能夠根據(jù)策略執(zhí)行相關(guān)操作。c) 結(jié)果判定1) 產(chǎn)品應(yīng)能有效實(shí)施對終端外設(shè)進(jìn)行管控;2) 產(chǎn)品應(yīng)能根據(jù)策略替換或刪除發(fā)現(xiàn)的重要數(shù)據(jù);3) 產(chǎn)品應(yīng)能根據(jù)策略阻斷帶有重要數(shù)據(jù)的信息傳輸操作;4) 僅經(jīng)過授權(quán)且注冊的移動存儲設(shè)備才能在終端商使用。1)-7)項(xiàng)均滿足為“符合”,其他情況為“不符合”。6.3.3 統(tǒng)計(jì)報(bào)表a) 檢測要求1) 產(chǎn)品應(yīng)支持對指定時間段內(nèi)產(chǎn)生的重要事件違規(guī)情況進(jìn)行統(tǒng)計(jì)及分析的能力,支持多種統(tǒng)計(jì)結(jié)果展現(xiàn)方式,如:列表、柱狀圖、折線圖或餅狀圖等。2) 產(chǎn)品應(yīng)支持報(bào)表的導(dǎo)出功能。b) 檢測方法1) 以授權(quán)管理員身份登錄產(chǎn)品,檢查產(chǎn)品支持的統(tǒng)計(jì)分析圖表類型;2) 執(zhí)行統(tǒng)計(jì)分析操作,檢查是否能夠生成相應(yīng)的統(tǒng)計(jì)分析報(bào)表。c) 結(jié)果判定1) 產(chǎn)品應(yīng)支持列表、柱狀圖、折線圖、餅狀圖中的一種或多種;2) 產(chǎn)品應(yīng)能正確生成報(bào)表。1)-2)項(xiàng)均滿足為“符合”,其他情況為“不符合”。6.3.4 管理功能a) 檢測要求1) 產(chǎn)品應(yīng)提供預(yù)定義的重要數(shù)據(jù),并支持重要數(shù)據(jù)的自定義功能;2) 產(chǎn)品應(yīng)支持對重要數(shù)據(jù)泄露識別規(guī)則的設(shè)置功能,包括但不限于:關(guān)鍵字匹配、正則表達(dá)式、指紋、屬性、確切數(shù)據(jù)匹配(EDM)等。3) 產(chǎn)品應(yīng)支持集中或分布式的管理方式。b) 檢測方法1) 以授權(quán)管理員身份登錄,查看是否支持預(yù)定義的重要數(shù)據(jù)可直接用于規(guī)則添加;2) 查看是否支持重要數(shù)據(jù)的自定義功能;3) 查看產(chǎn)品支持的識別規(guī)則,并對匹配規(guī)則進(jìn)行設(shè)置;4) 發(fā)送帶有重要數(shù)據(jù)的訪問,查看設(shè)置的規(guī)則是否生效;5) 確認(rèn)產(chǎn)品支持的管理方式。c) 結(jié)果判定1) 產(chǎn)品應(yīng)有預(yù)定義的重要數(shù)據(jù),并可自定義重要數(shù)據(jù);2) 產(chǎn)品應(yīng)能設(shè)置重要數(shù)據(jù)的匹配規(guī)則;3) 產(chǎn)品設(shè)置的規(guī)則應(yīng)正確生效;4) 產(chǎn)品應(yīng)支持分布式或集中式的管理。1)-4)項(xiàng)均滿足為“符合”,其他情況為“不符合”。6.4 安全要求檢測方法6.4.1 標(biāo)識與鑒別6.4.1.1 用戶屬性定義a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)維護(hù)每個用戶的安全屬性,屬性可包括:用戶標(biāo)識、授權(quán)信息或用戶組信息、其他安全屬性等。b) 檢測方法1) 查看產(chǎn)品是否為每一個用戶保存其安全屬性表,屬性可包括:用戶標(biāo)識、授權(quán)信息或用戶組信息、其他安全屬性等;2) 以不同的授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品,執(zhí)行其權(quán)限范圍內(nèi)的操作,檢查該用戶可執(zhí)行的操作與其安全屬性(如用戶標(biāo)識、授權(quán)信息等)的要求是否一致;3) 修改用戶的部分安全屬性后,檢查該用戶可執(zhí)行的操作與其被修改后的安全屬性的要求是否一致。c) 結(jié)果判定1) 產(chǎn)品支持為每一個用戶定義及維護(hù)其安全屬性表;2) 用戶可執(zhí)行的操作與其安全屬性(如用戶標(biāo)識、授權(quán)信息等)的要求一致;3) 用戶可執(zhí)行的操作與其被修改后的安全屬性(如授權(quán)信息等)的要求一致。1)3)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.1.2 唯一性標(biāo)識a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)保證任何用戶都具有全局唯一的標(biāo)識。b) 檢測方法1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品,查看用戶信息;2) 嘗試新建一個相同用戶標(biāo)識的用戶,檢查操作是否能夠成功。c) 結(jié)果判定1) 產(chǎn)品不能新建相同用戶標(biāo)識的用戶。1)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.1.3 鑒別的時機(jī)a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)要求每個用戶在執(zhí)行與數(shù)據(jù)泄露防護(hù)產(chǎn)品安全相關(guān)的任何其他操作之前,都已被成功鑒別。b) 檢測方法1) 查看用戶在未被成功鑒別前,是否被拒絕執(zhí)行任何安全相關(guān)的操作;2) 查看產(chǎn)品是否拒絕錯誤的鑒別信息的用戶登錄;3) 以正確的鑒別信息登錄并進(jìn)行安全相關(guān)操作,驗(yàn)證產(chǎn)品是否允許登錄,是否允許進(jìn)行安全相關(guān)操作。c) 結(jié)果判定1) 用戶被成功鑒別前,不能執(zhí)行任何與安全相關(guān)的操作;2) 輸入錯誤鑒別信息,產(chǎn)品不允許登錄;3) 輸入正確的鑒別信息,能夠成功登錄,并執(zhí)行安全相關(guān)操作。1)3)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.1.4 鑒別失敗處理a) 檢測要求1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)能檢測用戶的不成功的鑒別嘗試;2) 在達(dá)到或超過最大連續(xù)鑒別失敗嘗試次數(shù)閾值后,數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)采取措施阻止進(jìn)一步的鑒別嘗試,直至滿足已定義的條件才允許進(jìn)行重新鑒別;3) 應(yīng)僅由授權(quán)管理員設(shè)置未成功鑒別嘗試次數(shù)閾值。b) 檢測方法1) 以錯誤的鑒別信息嘗試登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品,檢查是否被拒絕進(jìn)入系統(tǒng);2) 繼續(xù)進(jìn)行一定次數(shù)的登錄嘗試,驗(yàn)證在達(dá)到允許的鑒別失敗嘗試次數(shù)后,數(shù)據(jù)泄露防護(hù)產(chǎn)品是否使該用戶賬號或登錄點(diǎn)失效;3) 查看達(dá)到數(shù)據(jù)泄露防護(hù)產(chǎn)品已定義的解鎖條件后,失效的用戶賬號或登錄點(diǎn)是否可以重新進(jìn)行鑒別操作;4) 檢查未成功鑒別嘗試次數(shù)閾值是否僅由授權(quán)管理員設(shè)置。c) 結(jié)果判定1) 錯誤口令的用戶登錄嘗試被拒絕;2) 在連續(xù)登錄鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后,用戶賬號或登錄點(diǎn)失效;3) 達(dá)到解鎖條件后,失效的用戶賬號或登錄點(diǎn)能夠重新進(jìn)行鑒別操作;4) 未成功鑒別嘗試次數(shù)閾值僅由授權(quán)管理員能夠進(jìn)行設(shè)置。1)4)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.1.5 受保護(hù)的鑒別反饋a) 檢測要求鑒別進(jìn)行時,數(shù)據(jù)泄露防護(hù)產(chǎn)品安全功能應(yīng)僅向用戶提供非鑒別數(shù)據(jù)(如圓點(diǎn)、星號等)作為鑒別數(shù)據(jù)輸入的反饋。b) 檢測方法1) 執(zhí)行用戶登錄操作,輸入用戶鑒別數(shù)據(jù),檢查數(shù)據(jù)泄露防護(hù)產(chǎn)品是否僅顯示用戶輸入的鑒別數(shù)據(jù)的字符數(shù),但不顯示鑒別數(shù)據(jù)本身。c) 結(jié)果判定1) 鑒別數(shù)據(jù)輸入的反饋僅為用戶輸入的字符數(shù),不顯示鑒別數(shù)據(jù)本身。1)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.2 用戶數(shù)據(jù)保護(hù)6.4.2.1 基于安全屬性的訪問控制a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)支持基于用戶角色或IP等安全屬性實(shí)現(xiàn)訪問控制。b) 檢測方法1) 查看產(chǎn)品說明文檔有關(guān)訪問控制的相關(guān)描述,檢查是否支持基于用戶角色、IP等安全屬性的訪問控制;2) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品,驗(yàn)證設(shè)置的基于用戶角色、IP等安全屬性的訪問控制功能是否有效。c) 結(jié)果判定1) 能夠設(shè)置基于用戶角色或IP等安全屬性的訪問控制策略,并且有效。1)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.3 安全審計(jì)6.4.3.1 審計(jì)數(shù)據(jù)產(chǎn)生a) 檢測要求1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品如果支持以下事件,應(yīng)能為下述事件的發(fā)生產(chǎn)生審計(jì)記錄: 數(shù)據(jù)泄露防護(hù)產(chǎn)品的啟動和關(guān)閉; 導(dǎo)出、另存和刪除審計(jì)日志; 設(shè)置鑒別嘗試次數(shù); 設(shè)置審計(jì)跡門限值; 鑒別機(jī)制的使用; 用戶的創(chuàng)建、修改、刪除與授權(quán); 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)在每個審計(jì)記錄中至少記錄下列信息: 事件發(fā)生的日期和時間; 事件類型; 事件主體身份標(biāo)識; 事件描述及結(jié)果。b) 檢測方法1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品執(zhí)行檢測要求1)中相關(guān)的操作,查看審計(jì)記錄,檢查系統(tǒng)是否對操作進(jìn)行了審計(jì)記錄;2) 查看審計(jì)記錄內(nèi)容中是否包括事件發(fā)生的日期和時間、事件類型、主體身份標(biāo)識、事件描述及結(jié)果等信息。c) 結(jié)果判定1) 產(chǎn)品對支持的事件發(fā)生產(chǎn)生了審計(jì)記錄;2) 審計(jì)記錄內(nèi)容中包括事件發(fā)生的日期和時間、事件類型、主體身份標(biāo)識、事件描述及結(jié)果等信息。1)2)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.3.2 審計(jì)數(shù)據(jù)查閱a) 檢測要求1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)為授權(quán)用戶提供讀取審計(jì)記錄的功能;2) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)以便于用戶理解的方式提供審計(jì)記錄。b) 檢測方法1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品,查看系統(tǒng)是否為授權(quán)用戶提供讀取審計(jì)記錄的功能;2) 查看審計(jì)記錄是否便于用戶理解。c) 結(jié)果判定1) 授權(quán)用戶能夠讀取審計(jì)記錄,審計(jì)記錄的內(nèi)容便于用戶理解。1)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.3.3 限制審計(jì)查閱a) 檢測要求除明確允許讀訪問的用戶外,TSF應(yīng)禁止所有用戶對審計(jì)記錄的讀訪問。b) 檢測方法1) 檢查授權(quán)用戶是否能夠讀取其權(quán)限范圍內(nèi)的審計(jì)信息;2) 檢查非授權(quán)用戶是否不能讀取任何審計(jì)信息。c) 結(jié)果判定1) 授權(quán)用戶能夠讀取其權(quán)限范圍內(nèi)的審計(jì)信息;2) 非授權(quán)用戶不能讀取任何審計(jì)信息。1)-2)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.3.4 可選審計(jì)查閱a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)提供根據(jù)條件對審計(jì)數(shù)據(jù)進(jìn)行查詢或排序的功能。b) 檢測方法1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品,以一定的條件對審計(jì)數(shù)據(jù)進(jìn)行查詢或排序操作,檢查查詢或排序結(jié)果是否正確。c) 結(jié)果判定1) 產(chǎn)品根據(jù)條件對審計(jì)數(shù)據(jù)進(jìn)行查詢或排序的結(jié)果正確。1)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.3.5 審計(jì)數(shù)據(jù)保護(hù)a) 檢測要求1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)保護(hù)存儲的審計(jì)記錄免遭未授權(quán)的刪除;2) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)禁止對審計(jì)記錄的修改。b) 檢測方法1) 分別以授權(quán)用戶和非授權(quán)用戶身份執(zhí)行刪除審計(jì)記錄的操作,驗(yàn)證數(shù)據(jù)泄露防護(hù)產(chǎn)品是否僅允許授權(quán)用戶執(zhí)行刪除審計(jì)記錄的操作;2) 查看數(shù)據(jù)泄露防護(hù)產(chǎn)品是否能夠防止修改審計(jì)記錄的操作。c) 結(jié)果判定1) 只有授權(quán)用戶才能夠刪除審計(jì)記錄;2) 審計(jì)記錄不能修改。1)2)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.4 安全管理6.4.4.1 安全功能行為管理a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅限于授權(quán)管理員對下述功能具有允許、禁止或修改的能力。1) 審計(jì)功能的開關(guān);2) 其它安全功能行為的管理。b) 檢測方法1) 分別以不同身份用戶登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品,嘗試執(zhí)行下述功能: 審計(jì)功能的開啟和停用; 其他管理安全功能行為的功能;驗(yàn)證是否只有授權(quán)用戶能夠執(zhí)行上述功能。c) 結(jié)果判定1) 只有授權(quán)用戶能夠執(zhí)行上述功能。1)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.4.2 安全屬性管理a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅限于已標(biāo)識的授權(quán)角色能夠執(zhí)行如下屬性管理操作:1) 用戶角色與權(quán)限的維護(hù);2) 其它安全屬性的管理操作。b) 檢測方法1) 分別以不同身份用戶登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品,嘗試執(zhí)行如下屬性的管理操作: 用戶角色與權(quán)限的維護(hù); 其它安全屬性的管理操作。驗(yàn)證是否只有授權(quán)用戶能夠執(zhí)行上述操作。c) 結(jié)果判定1) 只有授權(quán)用戶能夠執(zhí)行上述管理操作。1)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.4.3 安全角色管理a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)能夠?qū)Π踩巧M(jìn)行維護(hù),并將用戶和角色進(jìn)行關(guān)聯(lián)。b) 檢測方法1) 查看授權(quán)用戶所能執(zhí)行的操作與其角色的授權(quán)操作是否一致;2) 修改該用戶的角色為系統(tǒng)允許的其他角色后,查看用戶所能執(zhí)行的操作與修改后的角色的授權(quán)操作是否一致。c) 結(jié)果判定1) 系統(tǒng)可維護(hù)安全角色;2) 系統(tǒng)能夠把用戶與角色進(jìn)行關(guān)聯(lián)。1)2)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.4.4 TSF數(shù)據(jù)的管理a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅允許授權(quán)管理員執(zhí)行下列操作:1) 設(shè)置鑒別嘗試次數(shù);2) 設(shè)置審計(jì)跡門限值;3) 設(shè)置會話超時時間;4) 其他系統(tǒng)參數(shù)配置操作。b) 檢測方法1) 分別以不同身份用戶登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品,嘗試執(zhí)行如下管理操作: 設(shè)置鑒別嘗試次數(shù); 設(shè)置審計(jì)跡門限值; 設(shè)置會話超時時間; 其他系統(tǒng)參數(shù)配置操作。驗(yàn)證是否只有授權(quán)用戶能夠執(zhí)行上述操作。c) 結(jié)果判定1) 只有授權(quán)用戶能夠執(zhí)行上述操作。1)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.5 TSF保護(hù)6.4.5.1 內(nèi)部TSF數(shù)據(jù)傳送的基本保護(hù)a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)防止與授權(quán)用戶之間的安全功能數(shù)據(jù)在傳送過程中被泄漏。b) 檢測方法1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品,執(zhí)行修改系統(tǒng)配置、修改安全策略等操作,同時使用抓包工具截取數(shù)據(jù)進(jìn)行分析,查看數(shù)據(jù)是否不為明文。c) 結(jié)果判定1) 獲取的安全功能數(shù)據(jù)不為明文。1)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.5.2 可靠的時間戳a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全功能應(yīng)能為自身的應(yīng)用提供可靠的時間戳。b) 檢測方法1) 查看產(chǎn)品說明文檔,檢查是否描述了可靠時間戳來源;2) 以授權(quán)用戶身份分別執(zhí)行與時間戳相關(guān)的功能,分析其時間戳來源與文檔描述的時間戳來源是否一致。c) 結(jié)果判定1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品使用了可靠的時間戳。1)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.4.5.3 TSF原發(fā)會話終止a) 檢測要求數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全功能應(yīng)在達(dá)到一定的用戶不活動的時間間隔之后終止一個交互式會話。b) 檢測方法1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品后停止操作,檢查經(jīng)過一段時間間隔后,該用戶是否不能繼續(xù)執(zhí)行授權(quán)操作。c) 結(jié)果判定1) 在達(dá)到一定的用戶不活動的時間間隔之后,數(shù)據(jù)泄露防護(hù)產(chǎn)品終止交互式會話,不能繼續(xù)執(zhí)行授權(quán)操作。1)項(xiàng)滿足為“符合”,其他情況為“不符合”。6.5 安全保障要求評估方法6.5.1 開發(fā)6.5.1.1 安全架構(gòu)描述a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TOE,確保TSF的安全特性不可旁路; 開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TSF,以防止不可信主體的破壞; 開發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。2) 內(nèi)容和形式元素: 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計(jì)文檔中對SFR-執(zhí)行的抽象描述的級別一致; 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域; 安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的; 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞; 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR-執(zhí)行的功能被旁路。b) 評估方法評估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了TSF安全架構(gòu)的描述;2) 開發(fā)者提供的TSF安全架構(gòu)的描述滿足證據(jù)的內(nèi)容和形式的所有要求。1)2)項(xiàng)均滿足為“符合”,其他情況為“不符合”。6.5.1.2 安全執(zhí)行功能規(guī)范a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供一個功能規(guī)范; 開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。2) 內(nèi)容和形式元素: 功能規(guī)范應(yīng)完整地描述TSF; 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法; 功能規(guī)范應(yīng)識別和描述每個TSFI相關(guān)的所有參數(shù); 對于每個SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為; 對于SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯誤消息; 功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求;2) 評估者應(yīng)確定功能規(guī)范是安全功能要求的一個準(zhǔn)確且完備的實(shí)例化。c) 結(jié)果判定1) 開發(fā)者提供了功能規(guī)范文檔;2) 開發(fā)者提供的功能規(guī)范文檔滿足證據(jù)的內(nèi)容和形式的所有要求;3) 開發(fā)者提供的功能規(guī)范是安全功能要求的一個準(zhǔn)確且完備的實(shí)例化。1)3)項(xiàng)均滿足的為“符合”;其他情況為“不符合”。6.5.1.3 基礎(chǔ)設(shè)計(jì)a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供TOE的設(shè)計(jì); 開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射。2) 內(nèi)容和形式元素: 設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu); 設(shè)計(jì)應(yīng)標(biāo)識TSF的所有子系統(tǒng); 設(shè)計(jì)應(yīng)對每一個SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述,以確定它不是SFR-執(zhí)行; 設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為; 設(shè)計(jì)應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用; 映射關(guān)系應(yīng)證實(shí)TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。b) 評估方法1) 評估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求;2) 評估者應(yīng)確定設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。c) 結(jié)果判定1) 開發(fā)者提供了TOE設(shè)計(jì)文檔;2) 開發(fā)者提供的TOE設(shè)計(jì)文檔滿足證據(jù)的內(nèi)容和形式的所有要求;3) 開發(fā)者提供的設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。1)3)項(xiàng)均滿足的為“符合”;其他情況為“不符合”。6.5.2 指導(dǎo)性文檔6.5.2.1 操作用戶指南a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供操作用戶指南。2) 內(nèi)容和形式元素: 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán),包含適當(dāng)?shù)木拘畔ⅲ?操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,怎樣以安全的方式使用TOE提供的可用接口; 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,可用功能和接口,尤其是受用戶控制的所有安全參數(shù),適當(dāng)時應(yīng)指明安全值; 操作用戶指南應(yīng)對每一種用戶角色明確說明,與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件,包括改變TSF所控制實(shí)體的安全特性; 操作用戶指南應(yīng)標(biāo)識TOE運(yùn)行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯誤),它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系; 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述,為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的所必須執(zhí)行的安全策略; 操作用戶指南應(yīng)是明確和合理的。b) 評估方法1) 評估者應(yīng)確認(rèn)所有提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了操作用戶指南;2) 開發(fā)者提供的操作用戶指南滿足證據(jù)的內(nèi)容和形式的所有要求。1)2)項(xiàng)均滿足的為“符合”;其他情況為“不符合”。6.5.2.2 準(zhǔn)備程序a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供TOE,包括它的準(zhǔn)備程序。2) 內(nèi)容和形式元素: 準(zhǔn)備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟; 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境必需的所有步驟。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求;2) 評估者應(yīng)運(yùn)用準(zhǔn)備程序確認(rèn)TOE運(yùn)行能被安全的準(zhǔn)備。c) 結(jié)果判定1) 開發(fā)者提供了TOE以及它的準(zhǔn)備程序;2) 開發(fā)者提供的準(zhǔn)備程序滿足證據(jù)的內(nèi)容和形式的所有要求;3) 運(yùn)用準(zhǔn)備程序能夠確認(rèn)TOE運(yùn)行能被安全的準(zhǔn)備。1)3)項(xiàng)均滿足的為“符合”;其他情況為“不符合”。6.5.3 生命周期支持6.5.3.1 CM系統(tǒng)的使用a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供TOE及其參照號; 開發(fā)者應(yīng)提供CM文檔; 開發(fā)者應(yīng)使用CM系統(tǒng)。2) 內(nèi)容和形式元素: 應(yīng)給TOE標(biāo)注唯一參照號; CM文檔應(yīng)描述用于唯一標(biāo)識配置項(xiàng)的方法; CM系統(tǒng)應(yīng)唯一標(biāo)識所有配置項(xiàng)。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了TOE,并為其標(biāo)注唯一參照號;2) 開發(fā)者提供了配置管理文檔,且文檔滿足證據(jù)的內(nèi)容和形式的所有要求;3) 開發(fā)者使用了配置管理系統(tǒng),且配置管理系統(tǒng)滿足證據(jù)的內(nèi)容和形式的所有要求。1)3)項(xiàng)均滿足的為“符合”,其他情況為“不符合”。6.5.3.2 部分TOE CM覆蓋a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供TOE配置項(xiàng)列表。2) 內(nèi)容和形式元素: 配置項(xiàng)列表應(yīng)包括:TOE本身、安全保障要求的評估證據(jù)和TOE的組成部分; 配置項(xiàng)列表應(yīng)唯一標(biāo)識配置項(xiàng); 對于每一個TSF相關(guān)的配置項(xiàng),配置項(xiàng)列表應(yīng)簡要說明該配置項(xiàng)的開發(fā)者。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了產(chǎn)品配置項(xiàng)列表;2) 開發(fā)者提供的產(chǎn)品配置項(xiàng)列表滿足證據(jù)的內(nèi)容和形式的所有要求。1)2)項(xiàng)均滿足的為“符合”;其他情況為“不符合”。6.5.3.3 交付程序a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)將把TOE或其部分交付給消費(fèi)者的程序文檔化; 開發(fā)者應(yīng)使用交付程序。2) 內(nèi)容和形式元素: 交付文檔應(yīng)描述,在向消費(fèi)者分發(fā)TOE版本時,用以維護(hù)安全性所必需的所有程序。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了交付文檔;2) 開發(fā)者提供的交付文檔和使用交付文檔的證據(jù)滿足證據(jù)的內(nèi)容和形式的所有要求。1)2)項(xiàng)均滿足的為“符合”;其他情況為“不符合”。6.5.4 測試6.5.4.1 覆蓋證據(jù)a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供測試覆蓋的證據(jù)。2) 內(nèi)容和形式元素: 測試覆蓋的證據(jù)應(yīng)表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對應(yīng)性。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了測試覆蓋的相關(guān)證據(jù);2) 測試覆蓋的相關(guān)證據(jù)的內(nèi)容滿足要求。1)2)項(xiàng)均滿足的為“符合”;其他情況為“不符合”。6.5.4.2 功能測試a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)測試TSF,并文檔化測試結(jié)果; 開發(fā)者應(yīng)提供測試文檔。2) 內(nèi)容和形式元素: 測試文檔應(yīng)包括測試計(jì)劃、預(yù)期的測試結(jié)果和實(shí)際的測試結(jié)果; 測試計(jì)劃應(yīng)標(biāo)識要執(zhí)行的測試并描述執(zhí)行每個測試的方案,這些方案應(yīng)包括對于其他測試結(jié)果的任何順序依賴性; 預(yù)期的測試結(jié)果應(yīng)指出測試成功執(zhí)行后的預(yù)期輸出; 實(shí)際的測試結(jié)果應(yīng)與預(yù)期的測試結(jié)果一致。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了測試文檔;2) 開發(fā)者提供的測試文檔的內(nèi)容滿足證據(jù)的內(nèi)容和形式的所有要求。1)2)項(xiàng)均滿足的為“符合”;其他情況為“不符合”。6.5.4.3 獨(dú)立測試-抽樣a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供用于測試的TOE。2) 內(nèi)容和形式元素: TOE應(yīng)適合測試; 開發(fā)者應(yīng)提供一組與開發(fā)者TSF功能測試中同等的一系列資源。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求;2) 評估者應(yīng)執(zhí)行測試文檔中的測試樣本,以驗(yàn)證開發(fā)者的測試結(jié)果;3) 評估者應(yīng)測試TSF的一個子集以確認(rèn)TSF按照規(guī)定運(yùn)行。c) 結(jié)果判定1) 開發(fā)者提供的產(chǎn)品適合測試;2) 開發(fā)者為產(chǎn)品測試提供了必要的資源;3) 通過執(zhí)行測試文檔中的測試樣本,開發(fā)者測試文檔中的測試結(jié)果正確;4) TSF能夠按照規(guī)定運(yùn)行。1)4)項(xiàng)均滿足的為“符合”;其他情況為“不符合”。6.5.5 脆弱性評定6.5.5.1 脆弱性分析a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供用于測試的TOE。2) 內(nèi)容和形式元素: TOE應(yīng)適合測試。b) 評估方法1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求;2) 評估者應(yīng)執(zhí)行公共領(lǐng)域的調(diào)查以標(biāo)識TOE的潛在脆弱性;3) 評估者應(yīng)基于已標(biāo)識的潛在脆弱性實(shí)施穿透性測試,判定TOE能抵抗具有基本攻擊潛力的攻擊者的攻擊。c) 結(jié)果判定1) 開發(fā)者提供了適合測試的產(chǎn)品;2) 通過實(shí)施的穿透性測試確認(rèn)TOE能夠抵抗具有基本攻擊潛力的攻擊者的攻擊。1)2)項(xiàng)均滿足的為“符合”;其他情況為“不符合”。_25- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
3 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 數(shù)據(jù)泄漏防護(hù)產(chǎn)品安全評價規(guī)范 數(shù)據(jù) 泄漏 防護(hù) 產(chǎn)品 安全評價 規(guī)范 2017 RB012 征求意見
鏈接地址:http://ioszen.com/p-724448.html