信息安全技术-服务器测评技术要求

ICSICS 35 04035 040 L L 8080 中中华华人人民民共共和和国国国国家家标标准准 GB T GB T 信息安全技术 服务器安全技术要求 InformationInformation securitysecurity technologytechnology TechnologyTechnology requirementrequirement forfor serverserver securitysecurity 征求意见稿 信息安全技术 服务器安全测评要求 InformationInformation securitysecurity technologytechnology TestingTesting andand evaluationevaluation requirementrequirement forfor serverserver securitysecurity 送审稿 发布 实施 国国家家质质量量监监督督检检验验检检疫疫总总局局 发发布布 GB TXXXXGB TXXXX XXXXXXXX III 目 次 前 言 IX 引 言 XI 1 范围 1 2 引用文件 1 3 术语 定义和缩略语 1 3 1 术语和定义 1 3 2 缩略语 1 4 第一级测评要求 1 4 1 硬件系统 1 4 1 1 设备标签 1 4 1 2 设备可靠运行支持 1 4 1 3 设备电磁防护 1 4 1 4 可信计算支持 2 4 2 操作系统 2 4 2 1 身份鉴别 2 4 2 2 自主访问控制 2 4 2 3 数据完整性 2 4 3 数据库管理系统 2 4 3 1 身份鉴别 2 4 3 2 自主访问控制 2 4 3 3 数据完整性 3 4 4 应用系统 3 4 4 1 身份鉴别 3 4 4 2 自主访问控制 3 4 4 3 数据完整性 3 4 5 运行安全 3 4 5 1 恶意代码防护 3 4 5 2 备份与故障恢复 4 4 5 3 密码支持 4 4 6 SSOS 自身安全保护 4 4 6 1 SSF 物理安全保护 4 4 6 2 SSF 运行安全保护 4 4 6 3 SSF 数据安全保护 4 4 6 4 资源利用 4 4 6 5 SSOS 访问控制 4 4 7 SSOS 设计和实现 4 4 7 1 配置管理 4 4 7 2 分发和操作 5 4 7 3 开发 5 4 7 4 指导性文档 5 4 7 5 生存周期支持 5 4 7 6 测试 6 4 8 SSOS 安全管理 6 GB TXXXXGB TXXXX XXXXXXXX IV 5 第二级测评要求 6 5 1 硬件系统 6 5 1 1 设备标签 6 5 1 2 设备可靠运行支持 6 5 1 3 设备电磁防护 7 5 1 4 可信计算技术支持 7 5 2 操作系统 7 5 2 1 身份鉴别 7 5 2 2 自主访问控制 7 5 2 3 数据完整性 7 5 2 4 数据保密性 7 5 3 数据库管理系统 8 5 3 1 身份鉴别 8 5 3 2 自主访问控制 8 5 3 3 数据完整性 8 5 3 4 数据保密性 8 5 4 应用系统 9 5 4 1 身份鉴别 9 5 4 2 自主访问控制 9 5 4 3 数据完整性 9 5 4 4 数据保密性 9 5 5 运行安全 9 5 5 1 安全审计 9 5 5 2 恶意代码防护 10 5 5 3 备份与故障恢复 10 5 5 4 密码支持 10 5 6 SSOS 自身安全保护 10 5 6 1 SSF 物理安全保护 10 5 6 2 SSF 运行安全保护 10 5 6 3 SSF 数据安全保护 10 5 6 4 资源利用 11 5 6 5 SSOS 访问控制 11 5 7 SSOS 设计和实现 11 5 7 1 配置管理 11 5 7 2 分发和操作 11 5 7 3 开发 11 5 7 4 指导性文档 12 5 7 5 生存周期支持 12 5 7 6 测试 12 5 8 SSOS 安全管理 13 6 第三级测评要求 13 6 1 硬件系统 13 6 1 1 设备标签 13 6 1 2 设备可靠运行支持 13 GA TXXXXGA TXXXX XXXXXXXX V 6 1 3 设备工作状态监控 13 6 1 4 设备电磁防护 13 6 1 5 可信计算技术支持 14 6 2 操作系统 14 6 2 1 身份鉴别 14 6 2 2 自主访问控制 14 6 2 3 标记 14 6 2 4 强制访问控制 14 6 2 5 数据流控制 15 6 2 6 数据完整性 15 6 2 7 数据保密性 15 6 3 数据库管理系统 15 6 3 1 身份鉴别 15 6 3 2 自主访问控制 16 6 3 3 标记 16 6 3 4 强制访问控制 16 6 3 5 数据流控制 16 6 3 6 数据完整性 16 6 3 7 数据保密性 16 6 4 应用系统 17 6 4 1 身份鉴别 17 6 4 2 自主访问控制 17 6 4 3 标记 17 6 4 4 强制访问控制 17 6 4 5 数据流控制 18 6 4 6 数据完整性 18 6 4 7 数据保密性 18 6 5 运行安全 18 6 5 1 安全审计 18 6 5 2 安全监控 18 6 5 3 恶意代码防护 19 6 5 4 备份与故障恢复 19 6 5 5 可信时间戳 19 6 5 6 密码支持 19 6 6 SSOS 自身安全保护 19 6 6 1 SSF 物理安全保护 19 6 6 2 SSF 运行安全保护 19 6 6 3 SSF 数据安全保护 20 6 6 4 资源利用 20 6 6 5 SSOS 访问控制 20 6 7 SSOS 设计和实现 20 6 7 1 配置管理 20 6 7 2 分发和操作 21 6 7 3 开发 21 6 7 4 指导性文档 21 GB TXXXXGB TXXXX XXXXXXXX VI 6 7 5 生存周期支持 21 6 7 6 测试 22 6 7 7 脆弱性评定 22 6 8 SSOS 安全管理 22 7 第四级测评要求 22 7 1 硬件系统 22 7 1 1 设备标签 22 7 1 2 设备可靠运行支持 23 7 1 3 设备工作状态监控 23 7 1 4 设备电磁防护 23 7 1 5 可信计算技术支持 23 7 2 操作系统 23 7 2 1 身份鉴别 23 7 2 2 自主访问控制 24 7 2 3 标记 24 7 2 4 强制访问控制 24 7 2 5 数据流控制 24 7 2 6 数据完整性 24 7 2 7 数据保密性 25 7 2 8 可信路径 25 7 3 数据库管理系统 25 7 3 1 身份鉴别 25 7 3 2 自主访问控制 25 7 3 3 标记 25 7 3 4 强制访问控制 26 7 3 5 数据流控制 26 7 3 6 数据完整性 26 7 3 7 数据保密性 26 7 3 8 可信路径 26 7 3 9 推理控制 26 7 4 应用系统 27 7 4 1 身份鉴别 27 7 4 2 自主访问控制 27 7 4 3 标记 27 7 4 4 强制访问控制 27 7 4 5 数据流控制 27 7 4 6 数据完整性 27 7 4 7 数据保密性 28 7 4 8 可信路径 28 7 5 运行安全 28 7 5 1 安全审计 28 7 5 2 安全监控 28 7 5 3 恶意代码防护 29 7 5 4 备份与故障恢复 29 GA TXXXXGA TXXXX XXXXXXXX VII 7 5 5 可信时间戳 29 7 5 6 密码支持 29 7 6 SSOS 自身安全保护 29 7 6 1 SSF 物理安全保护 29 7 6 2 SSF 运行安全保护 29 7 6 3 SSF 数据安全保护 30 7 6 4 资源利用 30 7 6 5 SSOS 访问控制 30 7 7 SSOS 设计和实现 30 7 7 1 配置管理 30 7 7 2 分发和操作 31 7 7 3 开发 31 7 7 4 指导性文档 31 7 7 5 生存周期支持 31 7 7 6 测试 32 7 7 7 脆弱性评定 32 7 8 SSOS 安全管理 32 8 第五级安全测评要求 33 8 1 硬件系统 33 8 1 1 设备标签 33 8 1 2 设备可靠运行支持 33 8 1 3 设备工作状态监控 33 8 1 4 设备电磁防护 33 8 1 5 可信计算技术支持 33 8 2 操作系统 33 8 2 1 身份鉴别 33 8 2 2 自主访问控制 34 8 2 3 标记 34 8 2 4 强制访问控制 34 8 2 5 数据流控制 34 8 2 6 数据完整性 34 8 2 7 数据保密性 35 8 2 8 可信路径 35 8 3 数据库管理系统 35 8 3 1 身份鉴别 35 8 3 2 自主访问控制 35 8 3 3 标记 36 8 3 4 强制访问控制 36 8 3 5 数据流控制 36 8 3 6 数据完整性 36 8 3 7 数据保密性 36 8 3 8 可信路径 36 8 3 9 推理控制 37 8 4 应用系统 37 8 4 1 身份鉴别 37 GB TXXXXGB TXXXX XXXXXXXX VIII 8 4 2 自主访问控制 37 8 4 3 标记 37 8 4 4 强制访问控制 37 8 4 5 数据流控制 37 8 4 6 数据完整性 38 8 4 7 数据保密性 38 8 4 8 可信路径 38 8 5 运行安全 38 8 5 1 安全审计 38 8 5 2 安全监控 38 8 5 3 恶意代码防护 39 8 5 4 备份与故障恢复 39 8 5 5 可信时间戳 39 8 5 6 密码支持 39 8 6 SSOS 自身安全保护 39 8 6 1 SSF 物理安全保护 39 8 6 2 SSF 运行安全保护 40 8 6 3 SSF 数据安全保护 40 8 6 4 资源利用 40 8 6 5 SSOS 访问控制 40 8 7 SSOS 设计和实现 40 8 7 1 配置管理 40 8 7 2 分发和操作 41 8 7 3 开发 41 8 7 4 指导性文档 41 8 7 5 生存周期支持 42 8 7 6 测试 42 8 7 7 脆弱性评定 42 8 8 SSOS 安全管理 42 附录 A 规范性附录 测试环境和工具 45 A 1 测试环境 45 A 2 测试工具 45 参考文献 47 GB TXXXXGB TXXXX XXXXXXXX IX 前 言 本标准的附录 A 是规范性附录 本标准由全国信息安全标准化技术委员会和中华人民共和国公安部提出 本标准由全国信息安全标准化技术委员会归口 本标准起草单位 浪潮集团有限公司 公安部第三研究所 本标准主要起草人 GB TXXXXGB TXXXX XXXXXXXX XI 引 言 本标准是与 GB T 21028 2007 相配套的测评标准 用以指导测评人员从信息安全等级保护的角度 对服务器安全进行的测评工作 本标准按照 GB T 21028 2007 关于服务器五个安全保护等级划分的要求 分别从硬件系统 操作 系统 数据库管理系统 应用系统 运行安全 SSOS 自身安全保护 SSOS 设计和实现和 SSOS 安全 管理等 8 个方面规定了服务器不同安全等级的测评要求 关于不同安全等级中逐步增强的服务器安全测评要求 在第 4 至 8 章的描述中 每一级的新增部 分用 宋体加粗字宋体加粗字 表示 GB TXXXXGB TXXXX XXXXXXXX 1 信息安全技术 服务器安全测评要求 1 范围 本标准规定了对服务器安全的测评要求 本标准适用于按照 GB T 21028 2007 的要求 对服务器安全功能和安全保证进行的测评工作 2 引用文件 下列文件中的有关条款通过引用而成为本标准的条款 凡是注日期或版次的引用文件 其后的任 何修改单 不包括勘误的内容 或修订版本都不适用于本标准 但提倡使用本标准的各方探讨使用其 最新版本的可能性 凡不注日期或版次的引用文件 其最新版本适用于本标准 GB 17859 1999 计算机信息系统安全保护等级划分准则 GB T 21028 2007 信息安全技术 服务器安全技术要求 3 术语 定义和缩略语 3 1 术语和定义 GB 17859 1999 GB T 21028 2007 确立的以及下列术语和定义适用于本标准 3 1 1 检查 examination 测评人员通过对测评对象进行观察 查验 分析等活动 获取证据以证明服务器保护措施是否有 效的一种方法 3 1 2 测试 testing 测评人员通过对测评对象按照预定的方法 工具使其产生特定行为的活动 通过查看 分析输出结 果 获取证据以证明服务器保护措施是否有效的一种方法 3 2 缩略语 下列缩略语适用于本标准 SSOS 服务器安全子系统 security subsystem of server SSF SSOS 安全功能 SSOS security function SFP 安全功能策略 security function policy SSC SSF 控制范围 SSF scope of control SSP SSOS 安全策略 SSOS security policy 4 第一级测评要求 4 1 硬件系统 4 1 1 设备标签 a a 检查服务器设备标签 以及该标签所包括的信息 检查服务器设备标签 以及该标签所包括的信息 b b 给出用于评估的测试意见 给出用于评估的测试意见 c c 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 1 15 1 1 1 1 规定的要求作出判断 规定的要求作出判断 4 1 2 设备可靠运行支持 a a 根据服务器硬件配置清单 检查服务器主要部件 根据服务器硬件配置清单 检查服务器主要部件 CPUCPU 内存等 的数据校验功能 内存等 的数据校验功能 b b 对安装于服务器中的至少一款应用软件进行操作对安装于服务器中的至少一款应用软件进行操作 检查其响应情况 检查其响应情况 c c 给出用于评估的测试意见 给出用于评估的测试意见 d d 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 1 25 1 1 1 2 规定的要求作出判断 规定的要求作出判断 4 1 3 设备电磁防护 a a 检查开发者提供的有关设备电磁泄漏防护的资质证明材料 检查开发者提供的有关设备电磁泄漏防护的资质证明材料 b b 给出用于评估的测试意见 给出用于评估的测试意见 GB T GB T 2 c c 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 1 35 1 1 1 3 规定的要求作出判断 规定的要求作出判断 4 1 4 可信计算支持 a a 检查资质证明材料的有效性情况 检查资质证明材料的有效性情况 b b 根据操作指南根据操作指南 测试可信计算支持功能的有效性 测试可信计算支持功能的有效性 c c 给出用于评估的测试意见 给出用于评估的测试意见 d d 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 4 1 5 45 4 1 5 4 规定的要求作出判断 规定的要求作出判断 4 2 操作系统 4 2 1 身份鉴别 a a 以非授权用户的身份登录到操作系统 检查其响应情况 以非授权用户的身份登录到操作系统 检查其响应情况 b b 以授权用户登录操作系统 检查身份鉴别方式以及口令的表现形式 以授权用户登录操作系统 检查身份鉴别方式以及口令的表现形式 c c 以授权用户登录操作系统 测试其添加 删除 修改用户的功能 以授权用户登录操作系统 测试其添加 删除 修改用户的功能 d d 创建一新用户 用户标识符在系统中已经存在 创建一新用户 用户标识符在系统中已经存在 检查其响应情况 检查其响应情况 e e 设置鉴别不成功的尝试值 测试达到该尝试值时系统的响应情况 设置鉴别不成功的尝试值 测试达到该尝试值时系统的响应情况 f f 根据说明文档 检查用于存放用户口令文件的安全措施的有效性情况 根据说明文档 检查用于存放用户口令文件的安全措施的有效性情况 g g 以授权用户登录操作系统 测试与该用户相对应主体进程的绑定情况 以授权用户登录操作系统 测试与该用户相对应主体进程的绑定情况 h h 给出用于评估的测试意见 给出用于评估的测试意见 i i 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 2a 5 1 1 2a 规定的要求作出判断 规定的要求作出判断 4 2 2 自主访问控制 a a 以授权用户登录操作系统 测试自主访问控制策略配置功能 以授权用户登录操作系统 测试自主访问控制策略配置功能 b b 以非授权用户的身份对客体进行访问操作 检查其响应情况 以非授权用户的身份对客体进行访问操作 检查其响应情况 c c 以授权用户登录操作系统 测试基于用户或用户组的自主访问控制功能 以授权用户登录操作系统 测试基于用户或用户组的自主访问控制功能 d d 生成一个客体 检查该客体的默认访问权限与自主访问控制策略的一致性情况 生成一个客体 检查该客体的默认访问权限与自主访问控制策略的一致性情况 e e 给出用户评估的测试意见 给出用户评估的测试意见 f f 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 2b 5 1 1 2b 规定的要求作出判断 规定的要求作出判断 4 2 3 数据完整性 a a 检查操作系统内部在传输用户数据时实现数据完整性功能的情况 检查操作系统内部在传输用户数据时实现数据完整性功能的情况 b b 模拟进行大数据量的数据传输或保存时出现异常中断情况 测试操作系统在异常情况下的回模拟进行大数据量的数据传输或保存时出现异常中断情况 测试操作系统在异常情况下的回 退功能以及保护数据完整性的情况 退功能以及保护数据完整性的情况 c c 给出用于评估的测试意见 给出用于评估的测试意见 d d 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 2c 5 1 1 2c 规定的要求作出判断 规定的要求作出判断 4 3 数据库管理系统 4 3 1 身份鉴别 a a 以非授权用户的身份登录到数据库管理系统 检查其响应情况 以非授权用户的身份登录到数据库管理系统 检查其响应情况 b b 以授权用户登录数据库管理系统 检查身份鉴别方式以及口令的表现形式 以授权用户登录数据库管理系统 检查身份鉴别方式以及口令的表现形式 c c 以授权用户的身份登录到数据库管理系统 测试其添加 删除 修改用户的功能 以授权用户的身份登录到数据库管理系统 测试其添加 删除 修改用户的功能 d d 创建一新用户 用户标识符在系统已经存在 创建一新用户 用户标识符在系统已经存在 检查其响应情况 检查其响应情况 e e 对鉴别不成功的处理机制进行测试 查看达到该尝试值时系统的响应情况 对鉴别不成功的处理机制进行测试 查看达到该尝试值时系统的响应情况 f f 根据说明文档 检查用于存放用户口令文件的安全措施的有效性情况 根据说明文档 检查用于存放用户口令文件的安全措施的有效性情况 g g 以授权用户登录数据库管理系统 检查与该用户相对应主体进程的绑定情况 以授权用户登录数据库管理系统 检查与该用户相对应主体进程的绑定情况 h h 给出用于评估的测试意见 给出用于评估的测试意见 i i 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 3a 5 1 1 3a 规定的要求作出判断 规定的要求作出判断 4 3 2 自主访问控制 a a 以授权用户的身份登录数据库管理系统 测试其自主访问控制策略配置功能 以授权用户的身份登录数据库管理系统 测试其自主访问控制策略配置功能 GB T GB T 3 b b 以授权用户的身份登录数据库管理系统 测试其基于用户或用户组的自主访问控制功能 以授权用户的身份登录数据库管理系统 测试其基于用户或用户组的自主访问控制功能 c c 检查其访问权限扩散的控制能力情况 检查其访问权限扩散的控制能力情况 d d 检查通过数据库管理系统中的访问控制表来控制用户对客体的访问控制能力 检查通过数据库管理系统中的访问控制表来控制用户对客体的访问控制能力 e e 给出用于评估的测试意见 给出用于评估的测试意见 f f 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 3b 5 1 1 3b 规定的要求作出判断 规定的要求作出判断 4 3 3 数据完整性 a a 检查数据库管理系统内部在传输用户数据时实现数据完整性功能的情况 检查数据库管理系统内部在传输用户数据时实现数据完整性功能的情况 b b 模拟数据库管理系统操作时出现递交失败等异常中断情况 测试数据库管理系统在异常情况模拟数据库管理系统操作时出现递交失败等异常中断情况 测试数据库管理系统在异常情况 下的回退功能以及保护数据完整性的情况 下的回退功能以及保护数据完整性的情况 c c 给出用于评估的测试意见 给出用于评估的测试意见 d d 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 3c 5 1 1 3c 规定的要求作出判断 规定的要求作出判断 4 4 应用系统 4 4 1 身份鉴别 a a 以非授权用户的身份登录应用系统 检查其响应情况 以非授权用户的身份登录应用系统 检查其响应情况 b b 以授权用户的身份登录应用系统 检查身份鉴别方式以及口令的表现形式 以授权用户的身份登录应用系统 检查身份鉴别方式以及口令的表现形式 c c 以授权用户登录应用系统 测试其添加 删除 修改用户的功能 以授权用户登录应用系统 测试其添加 删除 修改用户的功能 d d 创建一新用户 用户标识符在系统已经存在 创建一新用户 用户标识符在系统已经存在 检查其响应情况 检查其响应情况 e e 根据说明文档 检查用于存放用户口令文件的安全措施的有效性情况 根据说明文档 检查用于存放用户口令文件的安全措施的有效性情况 f f 给出用于评估的测试意见 给出用于评估的测试意见 g g 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 4 15 1 1 4 1 规定的要求作出判断 规定的要求作出判断 4 4 2 自主访问控制 a a 以授权用户登录应用系统 测试其自主访问控制策略配置功能 以授权用户登录应用系统 测试其自主访问控制策略配置功能 b b 以非授权用户的身份对客体进行访问操作 检查其响应情况 以非授权用户的身份对客体进行访问操作 检查其响应情况 c c 以授权用户的身份登录应用系统 测试基于用户或用户组的自主访问控制功能 以授权用户的身份登录应用系统 测试基于用户或用户组的自主访问控制功能 d d 生成一个客体 检查该客体的默认访问权限与自主访问控制策略的一致性情况 生成一个客体 检查该客体的默认访问权限与自主访问控制策略的一致性情况 e e 给出用于评估的测试意见 给出用于评估的测试意见 f f 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 4 25 1 1 4 2 规定的要求作出判断 规定的要求作出判断 4 4 3 数据完整性 a a 检查应用系统内部在传输用户数据时实现数据完整性功能的情况 检查应用系统内部在传输用户数据时实现数据完整性功能的情况 b b 模拟进行异常输入 大数据量传输等出现异常操作 测试应用系统在异常情况下的回退功能模拟进行异常输入 大数据量传输等出现异常操作 测试应用系统在异常情况下的回退功能 以及保护数据完整性的情况 以及保护数据完整性的情况 c c 给出用于评估的测试意见 给出用于评估的测试意见 d d 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 4 35 1 1 4 3 规定的要求作出判断 规定的要求作出判断 4 5 运行安全 4 5 1 恶意代码防护 a a 检查服务器在启动时防恶意代码软件的运行情况 检查服务器在启动时防恶意代码软件的运行情况 b b 模拟病毒入侵 测试服务器防恶意代码软件执行安全策略的有效性 模拟病毒入侵 测试服务器防恶意代码软件执行安全策略的有效性 c c 对防恶意代码软件的策略升级功能进行测试 对防恶意代码软件的策略升级功能进行测试 d d 在防恶意代码软件对系统做出误判的情况 测试其及时修改策略来调整安全策略的功能 在防恶意代码软件对系统做出误判的情况 测试其及时修改策略来调整安全策略的功能 e e 检查防恶意代码策略与组织安全策略的一致性情况 检查防恶意代码策略与组织安全策略的一致性情况 f f 给出用于评估的测试意见 给出用于评估的测试意见 g g 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 5 15 1 1 5 1 规定的要求作出判断 规定的要求作出判断 GB T GB T 4 4 5 2 备份与故障恢复 a a 根据策略文档 检查服务器自主备份与故障恢复策略 根据策略文档 检查服务器自主备份与故障恢复策略 b b 根据操作指南 测试服务器自主备份功能的有效性 根据操作指南 测试服务器自主备份功能的有效性 c c 模拟服务器发生故障 测试服务器根据故障恢复策略对其进行故障恢复的有效性 模拟服务器发生故障 测试服务器根据故障恢复策略对其进行故障恢复的有效性 d d 给出用于评估的测试意见 给出用于评估的测试意见 e e 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 1 5 25 1 1 5 2 规定的要求作出判断 规定的要求作出判断 4 5 3 密码支持 a a 检查有关密码资质证明材料的有效性 检查有关密码资质证明材料的有效性 b b 给出用于评估的测试意见 给出用于评估的测试意见 c c 对测试结果是否符合国家有关部门规定的要求作出判断 对测试结果是否符合国家有关部门规定的要求作出判断 4 6 SSOS 自身安全保护 4 6 1 SSF 物理安全保护 a a 检查有关检查有关 SSFSSF 防物理篡改的分析材料 防物理篡改的分析材料 b b 给出用于评估的测试意见 给出用于评估的测试意见 c c 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 1a 5 1 2 1a 规定的要求作出判断 规定的要求作出判断 4 6 2 SSF 运行安全保护 a a 检查设计文档中可能出现系统检查设计文档中可能出现系统 后门后门 的情况 的情况 b b 检查设计文档中检查设计文档中 SSFSSF 的安全结构定义形式 的安全结构定义形式 c c 检查参数设置和升级操作中的安全机制 检查参数设置和升级操作中的安全机制 d d 在在 SSOSSSOS 失败或中断的情况下 检查失败或中断的情况下 检查 SSFSSF 的失败处理和恢复情况 的失败处理和恢复情况 e e 给出用于评估的测试意见 给出用于评估的测试意见 f f 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 1b 5 1 2 1b 规定的要求作出判断 规定的要求作出判断 4 6 3 SSF 数据安全保护 a a 根据根据 SSFSSF 数据安全保护的说明文档 检查数据安全保护的说明文档 检查 SSOSSSOS 内内 SSFSSF 数据传输的基本保护机制 数据传输的基本保护机制 b b 给出用于评估的测试意见 给出用于评估的测试意见 c c 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 1c 5 1 2 1c 规定的要求作出判断 规定的要求作出判断 4 6 4 资源利用 a a 在在 SSFSSF 发生确定故障的情况下 检查系统所采取的保护措施 发生确定故障的情况下 检查系统所采取的保护措施 b b 检查设计文档 查看在对检查设计文档 查看在对 SSOSSSOS 资源的管理和分配时 所采用的优先级策略 资源的管理和分配时 所采用的优先级策略 c c 检查设计文档 查看在对检查设计文档 查看在对 SSOSSSOS 资源进行管理和分配时 所采用的配额机制 资源进行管理和分配时 所采用的配额机制 d d 给出用于评估的测试意见 给出用于评估的测试意见 e e 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 1d 5 1 2 1d 规定的要求作出判断 规定的要求作出判断 4 6 5 SSOS 访问控制 a a 检查设计文档 查看对会话建立管理进行的设计 检查设计文档 查看对会话建立管理进行的设计 b b 检查设计文档 查看多重并发会话限定的设计 以及在基于基本标识的基础上 检查设计文档 查看多重并发会话限定的设计 以及在基于基本标识的基础上 SSFSSF 对系统并对系统并 发会话的最大数量的限制 发会话的最大数量的限制 c c 检查设计文档 查看对用来建立会话的安全属性的范围所进行的限制 检查设计文档 查看对用来建立会话的安全属性的范围所进行的限制 d d 给出用于评估的测试意见给出用于评估的测试意见 e e 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 1e 5 1 2 1e 规定的要求作出判断 规定的要求作出判断 4 7 SSOS 设计和实现 4 7 1 配置管理 a a 检查版本号与所应表示的检查版本号与所应表示的 SSOSSSOS 样本的一致性说明 样本的一致性说明 GB T GB T 5 b b 给出用于评估的测试意见 给出用于评估的测试意见 c c 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 2a 5 1 2 2a 规定的要求作出判断 规定的要求作出判断 4 7 2 分发和操作 a a 检查分发文档 查看其是否包含了维护检查分发文档 查看其是否包含了维护 SSOSSSOS 安全所必须的所有过程 安全所必须的所有过程 b b 检查操作文档 查看其是否包含了检查操作文档 查看其是否包含了 SSOSSSOS 的安装 生成和启动过程的说明 的安装 生成和启动过程的说明 c c 检查同产品一起交付的用户文档 查看其一致性情况 检查同产品一起交付的用户文档 查看其一致性情况 d d 检查系统默认配置 测试其安全机制的有效性情况 检查系统默认配置 测试其安全机制的有效性情况 e e 给出用于评估的测试意见 给出用于评估的测试意见 f f 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 2b 5 1 2 2b 规定的要求作出判断 规定的要求作出判断 4 7 3 开发 a a 检查检查 SSFSSF 及其外部接口的非形式化描述 功能设计的内部一致性描述 以及对所有外部及其外部接口的非形式化描述 功能设计的内部一致性描述 以及对所有外部 SSFSSF 接口的使用目的与方法的描述 接口的使用目的与方法的描述 b b 检查检查 SSFSSF 的每个子系统的功能及其相互关系的非形式化描述 的每个子系统的功能及其相互关系的非形式化描述 c c 检查检查 SSFSSF 的低层设计 各功能模块的目的 模块间的相互关系 的低层设计 各功能模块的目的 模块间的相互关系 SSFSSF 功能的实施 以及标识功能的实施 以及标识 SSFSSF 模块的所有接口等的非形式化描述 模块的所有接口等的非形式化描述 d d 检查检查 SSFSSF 的模块化设计和构建方法 的模块化设计和构建方法 e e 检查对检查对 SSFSSF 子集定义一个详细级别的子集定义一个详细级别的 SSFSSF 实现表示的描述 实现表示的描述 f f 检查在所提供的检查在所提供的 SSFSSF 表示的所有相邻对之间提供的对应性分析的描述 表示的所有相邻对之间提供的对应性分析的描述 g g 给出用于评估的测试意见 给出用于评估的测试意见 h h 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 2c 5 1 2 2c 规定的要求作出判断 规定的要求作出判断 4 7 4 指导性文档 a a 检查检查安全管理员指南是否包含以下内容 安全管理员指南是否包含以下内容 描述安全管理员可使用的管理功能和接口 描述安全管理员可使用的管理功能和接口 怎样安全地管理怎样安全地管理 SSOSSSOS 在安全处理环境中应进行控制的功能和权限 在安全处理环境中应进行控制的功能和权限 所有对与安全操作有关的用户行为的假设 所有对与安全操作有关的用户行为的假设 所有受管理员控制的安全参数 如果可能 应指明安全值 所有受管理员控制的安全参数 如果可能 应指明安全值 每一种与管理功能有关的安全相关事件 包括对安全功能所控制的实体的安全特性进行每一种与管理功能有关的安全相关事件 包括对安全功能所控制的实体的安全特性进行 的改变 的改变 描述与系统管理员有关的系统环境的安全要求 描述与系统管理员有关的系统环境的安全要求 b b 检查用户指南是否包含以下内容 检查用户指南是否包含以下内容 描述非管理用户可使用的安全功能和接口 描述非管理用户可使用的安全功能和接口 描述用户可获取的安全功能和接口的用法 描述用户可获取的安全功能和接口的用法 说明在安全处理环境中用户可获取的功能和权限的警告 说明在安全处理环境中用户可获取的功能和权限的警告 阐明安全操作中用户应负的责任 包括假设在安全环境中可能发生的用户行为引发的责阐明安全操作中用户应负的责任 包括假设在安全环境中可能发生的用户行为引发的责 任 任 描述与用户有关的系统环境的所有安全要求 描述与用户有关的系统环境的所有安全要求 c c 给出用于评估的测试意见 给出用于评估的测试意见 d d 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 2d 5 1 2 2d 规定的要求作出判断 规定的要求作出判断 4 7 5 生存周期支持 a a 检查产品生存周期的定义描述 以及按该定义进行管理的活动记录 检查产品生存周期的定义描述 以及按该定义进行管理的活动记录 b b 检查开发和维护检查开发和维护 SSOSSSOS 模型的描述 模型的描述 GB T GB T 6 c c 检查对安全启动和操作过程的描述 检查对安全启动和操作过程的描述 d d 检查在故障或系统出错时如何恢复系统至安全状态的描述 检查在故障或系统出错时如何恢复系统至安全状态的描述 e e 给出用于评估的测试意见 给出用于评估的测试意见 f f 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 2e 5 1 2 2e 规定的要求作出判断 规定的要求作出判断 4 7 6 测试 a a 检查测试覆盖分析结果 查看测试文档中所标识的测试与安全功能设计中所描述的安全功能检查测试覆盖分析结果 查看测试文档中所标识的测试与安全功能设计中所描述的安全功能 是否保持一致 是否保持一致 b b 检查测试文档是否包括测试计划 测试过程 预期测试结果和实际测试结果 检查测试文档是否包括测试计划 测试过程 预期测试结果和实际测试结果 c c 检查测试计划中对测试的安全功能的标识和测试目标的描述 检查测试计划中对测试的安全功能的标识和测试目标的描述 d d 检查测试过程中对要执行测试的标识 以及对每个安全功能的测试概况 这些概况包括对其检查测试过程中对要执行测试的标识 以及对每个安全功能的测试概况 这些概况包括对其 它测试结果的顺序依赖性 的描述 它测试结果的顺序依赖性 的描述 e e 检查期望测试结果中对测试成功后预期输出的标识 检查期望测试结果中对测试成功后预期输出的标识 f f 检查实际测试结果中是否表明每个被测试的安全功能能按照规定进行运作 检查实际测试结果中是否表明每个被测试的安全功能能按照规定进行运作 g g 给出用于评估的测试意见 给出用于评估的测试意见 h h 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 2f 5 1 2 2f 规定的要求作出判断 规定的要求作出判断 4 8 SSOS 安全管理 a a 检查开发人员的安全管理文件 查看开发人员的安全规章制度 开发人员的安全教育培训制检查开发人员的安全管理文件 查看开发人员的安全规章制度 开发人员的安全教育培训制 度和记录 度和记录 b b 检查开发环境的安全管理文件 查看开发场所的出入口控制制度和记录 开发环境的防火防检查开发环境的安全管理文件 查看开发场所的出入口控制制度和记录 开发环境的防火防 盗措施和国家有关部门的许可文件 盗措施和国家有关部门的许可文件 c c 检查开发设备的安全管理文件 查看开发主机使用管理和记录 设备的购置 修理 处置的检查开发设备的安全管理文件 查看开发主机使用管理和记录 设备的购置 修理 处置的 制度和记录 上网管理 计算机病毒管理和记录等 制度和记录 上网管理 计算机病毒管理和记录等 d d 检查开发过程和成果的安全管理文件 查看产品代码 文档 样机进行受控管理的制度和记检查开发过程和成果的安全管理文件 查看产品代码 文档 样机进行受控管理的制度和记 录 录 e e 给出用于评估的测试意见 给出用于评估的测试意见 f f 对测试结果是否符合对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 1 2 35 1 2 3 规定的要求作出判断 规定的要求作出判断 5 第二级测评要求 5 1 硬件系统 5 1 1 设备标签 a 检查服务器设备标签 以及该标签所包括的信息 b b 打开服务器机箱 检查其关键部件 包括硬盘 主板 内存 处理器 网卡等组件 附件 打开服务器机箱 检查其关键部件 包括硬盘 主板 内存 处理器 网卡等组件 附件 标签的粘贴情况 标签的粘贴情况 c 给出用于评估的测试意见 d 对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 2 1 1 15 2 1 1 1 规定的要求作出判断 5 1 2 设备可靠运行支持 a 根据服务器硬件配置清单 检查服务器主要部件 CPU 内存等 的数据校验功能 b 对安装于服务器中的至少一款应用软件进行操作 检查其响应情况 c c 开启服务器 检查服务器硬件在启动过程中的自检信息 开启服务器 检查服务器硬件在启动过程中的自检信息 d d 检查关键部件 包括硬盘 主板 内存 处理器 网卡等 与其标签配合的情况 以及机箱检查关键部件 包括硬盘 主板 内存 处理器 网卡等 与其标签配合的情况 以及机箱 面板的保护措施 面板的保护措施 e 给出用于评估的测试意见 f 对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 2 1 1 25 2 1 1 2 规定的要求作出判断 GB T GB T 7 5 1 3 设备电磁防护 a 检查开发者提供的有关设备电磁泄漏防护的资质证明材料 b 给出用于评估的测试意见 c 对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 2 1 1 35 2 1 1 3 规定的要求作出判断 5 1 4 可信计算技术支持 a 检查资质证明材料的有效性情况 b 根据操作指南 测试可信计算支持功能的有效性 c 给出用于评估的测试意见 d 对测试结果是否符合 GB T 21028 2007 中 5 4 1 5 4 规定的要求作出判断 5 2 操作系统 5 2 1 身份鉴别 a 以非授权用户的身份登录到操作系统 检查其响应情况 b 以授权用户登录操作系统 检查身份鉴别方式以及口令的表现形式 c 以授权用户登录操作系统 测试其添加 删除 修改用户的功能 d 创建一新用户 用户标识符在系统中已经存在 检查其响应情况 e e 对强化管理的口令或基于令牌的动态口令等鉴别机制中至少一种进行测试 对强化管理的口令或基于令牌的动态口令等鉴别机制中至少一种进行测试 f f 在系统运行的整个生存周期中 尝试采用非授权用户通过其他方式 如绕过身份鉴别机制 在系统运行的整个生存周期中 尝试采用非授权用户通过其他方式 如绕过身份鉴别机制 进入系统 进入系统 g 设置鉴别不成功的尝试值 测试达到该尝试值时系统的响应情况 h 根据说明文档 检查用于存放用户口令文件的安全措施的有效性情况 i 以授权用户登录操作系统 测试与该用户相对应主体进程的绑定情况 j 给出用于评估的测试意见 k 对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 2 1 2a 5 2 1 2a 规定的要求作出判断 5 2 2 自主访问控制 a 以授权用户登录操作系统 测试自主访问控制策略配置功能 b 以非授权用户的身份对客体进行访问操作 检查其响应情况 c 以授权用户登录操作系统 测试基于用户或用户组的自主访问控制功能 d 生成一个客体 检查该客体的默认访问权限与自主访问控制策略的一致性情况 e e 对操作系统中与自主访问控制相关的审计功能进行测试 对操作系统中与自主访问控制相关的审计功能进行测试 f f 通过审计日志记录 检查其与自主访问控制中的主体相关联的情况 通过审计日志记录 检查其与自主访问控制中的主体相关联的情况 g 给出用户评估的测试意见 h 对测试结果是否符合 GB TGB T 21028 200721028 2007 中中 5 2 1 2b 5 2 1 2b 规定的要求作出判断 5 2 3 数据完整性 a 检查操作系统内部在传输用户数据时实现数据完整性功能的情况 b b 以非授权用户的身份对操作系统中的客体进行修改 检查用户数据完整性保护机制的有效性以非授权用户的身份对操作系统中的客体进行修改 检查用户数据完整性保护机制的有效性 情况 情况 c 模拟进行大数据量的数据传输或保存时出现异常中断情况 测试操作系统在异常情况下的回 退功能以及保护数据完整性的情况 d 给出用于评估的测试意