网络安全等级保护可信验证评估技术规程

Q/LB.□XXXXX-XXXX前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由××××提出。本文件由××××归口。本文件起草单位：本文件主要起草人：网络安全等级保护可信验证评估技术规程范围本文件规定了网络安全等级保护可信验证的术语和定义、评估总则、评估项目、评估方法以及评估报告等。本文件适用于指导广西壮族自治区第三方网络安全等级保护测评机构开展网络安全等级保护可信验证评估，也可为可信产品设计、开发机构和应用单位实施可信验证评估和测试提供参考。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T25070信息安全技术网络安全等级保护安全设计技术要求GB/T28448信息安全技术网络安全等级保护测评要求GB/T37935信息安全技术可信计算规范可信软件基GB/T38638信息安全技术可信计算可信计算体系结构GB/T38644信息安全技术可信计算可信连接测试方法GB/T40650信息安全技术可信计算规范可信平台控制模块术语和定义GB/T22239、GB/T25069、GB/T25070、GB/T28448、GB/T37935、GB/T38638、GB/T38644、GB/T40650界定的以及下列术语和定义适用于本文件。

可信管理中心trustedmanagementcenter实现对可信节点的认证注册、状态监控、安全策略、安全审计等的集中管理。[来源：GB/T40650-20213.9，有修改]

可信计算节点trustedcomputingnode安装可信产品的主机节点实体，如计算机、装置、设备等计算设备。[来源：GB/T38638-20203.1，有修改]

可信根rootoftrust用于支撑可信计算节点信任链建立和传递的可对外提供完整性度量、安全存储、密码计算等服务的功能模块。[来源：GB/T29829-20203.22，有修改]

可信基准值trustedbaselinevalue判断对象是否可信的数值。

可信基准库trustedbaselinevaluedatabase可信基准值的集合。[来源：GB/T37935-20193.6]

完整性度量integritymeasurement使用密码杂凑算法对被度量对象计算杂凑值的过程。[来源：GB/T29829-20223.11]

静态度量staticmeasurement对系统完整性进行测量和评估的可信度量方法。[来源：GA/T1466.1-20183.16，有修改]

动态度量dynamicmeasurement在系统运行过程中,对系统完整性和行为安全性进行测量和评估的可信度量方法。[来源：GB/T37935-20193.9]

评估测试用例assessmenttestcase对一项特定的产品进行评估测试任务的描述，体现评估测试方案、方法、技术和策略。评估总则评估对象需要符合GB/T22239和GB/T25070中可信验证要求的产品。评估目标产品具备可信验证功能的实际条件下，对可信验证实现情况进行评估，评估其对GB/T22239中各级可信验证要求满足的程度。评估项目一般要求评估内容应包括但不限于可信根、可信度量、可信进程、可信访问控制、可信自保护、可信审计、可信管理、可信管理中心。对每项评估内容应采用评估测试的方式进行评估。可信根评估测试包括但不限于以下内容：可信根形式符合主机安全等级和实际需求；可信根密码算法符合国家密码主管部门的要求；可信根具备算法调用接口，外部通过专用接口调用可信根，能实现各算法的调用；可信根可存储用于可信引导的基准值和审计信息。可信度量可信基准库评估测试包括但不限于以下内容：可信基准值以结构化数据的形式存储在非易失性存储器中，并对可信基准库文件进行完整性保护；可信基准库管理：基准值的采集、生成、存储、更新、查询、删除；可信基准库通过专用接口进行管理。可信引导评估测试包括但不限于以下内容：在系统引导阶段，对系统引导程序进行度量并校验；如校验通过，系统引导程序可正常加载启动。如校验未通过，主动阻断系统启动的能力，并具备安全干预能力，手动选择是否继续启动操作系统。静态度量评估测试包括但不限于以下内容：在系统运行阶段，对所有可执行程序进行度量并校验；如校验通过，程序可正常加载启动；如校验未通过，应具备主动阻断程序加载的能力。动态度量评估测试包括但不限于以下内容：在系统运行阶段，对指定程序的关键执行环节进行度量并校验；关键执行环节包括：进程代码段、内核代码段、共享库、系统调用表；如校验未通过，程序继续运行，但进行审计告警。可信进程评估测试包括但不限于以下内容：可将指定进程定义为可信进程；能自动采集并更新可信进程的基准值；能自动采集并更新可信进程调的其他程序基准值。可信访问控制评估测试包括但不限于以下内容：具备基于主客体安全标记的强制访问控制，控制权限由安全标记等级约束；具备基于主客体权限划分的自主访问控制，控制权限由详细权限划分约束；可信访问控制中主体包括用户与进程，客体应包括目录与文件；执行访问控制前，能依据可信基准库对符合度量要求的主客体进行度量；对基于可信访问控制保护的目标执行非授权操作时，具备阻断的能力。可信自保护评估测试包括但不限于以下内容：在功能生效后，能自动产生自我保护效果；具备自身进程防中断保护，自身程序文件完整性保护，可信功能模块防卸载保护。可信审计评估测试包括但不限于以下内容：可信审计范围包括：可信引导、静态度量、动态度量、可信访问控制、可信自保护；可信审计维度包括：时间、对象、描述、结果；能对可信审计信息进行完整性保护。可信管理策略管理评估测试包括但不限于以下内容：可信策略管理包括静态度量、动态度量、可信访问控制、可信进程策略的生成、查询、删除；审计策略管理包括可信引导、静态度量、动态度量、可信访问控制、可信自保护审计的全审计、成功审计、失败审计、不审计策略修改、查询；策略能通过安全方式进行备份和恢复还原。属性初始化评估测试包括但不限于能够使用默认值对创建的可信策略和可信审计策略进行初始化。管理事件审计评估测试包括但不限于以下内容：管理事件审计范围：策略管理、软件管理、非可信程序管理、属性初始化；管理事件审计维度：时间、对象、描述、结果；若采用远程登录方式进行管理，记录管理主机的IP地址。可信管理中心评估测试包括但不限于以下内容：可信管理中心具备对可信节点进行统一管理；可信节点接入可信管理中心时能进行双方身份鉴别；可信管理中心与可信节点间能采用加密通信，符合通信信息完整性的要求；可信管理中心的可信管理功能完整齐全；在可信节点生成的审计能上报可信管理中心。设备没有接入网络时产生的审计，在设备接入网络后能进行补报；涉及对可信节点的重要操作时，能支持二次身份鉴别。评估方法评估测试应根据附录A的要求对第5章的评估内容进行评估测试。评估测试结果应满足以下内容：可再现性：由不同人员按同一大纲对进行评估测试，结果相同；公正性：不偏向任何预设结果；客观性；结果为客观事实；完整性：评估测试大纲、评估测试说明、评估测试报告、评估测试记录、评估测试问题报告等材料齐全。确定评估结果根据6.1各项评估内容的评估测试结果评估受测品是否满足网络安全等级保护可信验证要求：完全满足：所有评估内容测试结果都符合；部分满足：非所有评估内容测试结果都符合；不满足：所有评估内容测试结果都不符合。评估报告各项评估测试结果汇总在评估报告中,评估报告见附录C。

（规范性）

评估测试通用要求及方法评估测试通用要求评估测试过程评估测试过程分为四个阶段，依次为：评估测试策划、评估测试设计、评估测试执行和评估测试总结。评估测试方法网络安全等级保护可信验证评估测试适合使用黑盒方法。宜采用针对可信验证评估测试的专用工具。评估测试大纲和评估测试技术规范书应明确在评估测试中针对的每一项评估测试内容需要完成的基本评估测试项目和评估测试评判依据。评估测试环境评估测试环境设备包括：含有可信产品的可信节点、接入交换机、可信管理中心、测试客户机。环境组成见图1。各个设备通过网络进行通讯。环境拓扑图评估测试工具评估测试工具宜包括：可信根测试工具：具备调用可信根完成计算的功能；国密算法计算工具：具备调用国密算法完成计算的功能；结构数据管理工具：具备查看结构数据的功能；程序关键执行环节修改工具：具备修改程序进程代码段、内核代码段、共享库、系统调用表的功能；可信节点接入模拟工具：具备在可信管理中心模拟可信节点接入的功能；网络嗅探工具：具备分析网络传输交换数据包的功能。评估测试用例用例描述评估测试项、评估测试内容、评估测试方法、评估测试工具、评估测试步骤、评估测试结果等。网络安全等级保护的可信验证评估测试用例设计参见附录B。评估测试管理评估测试由相对独立的人员进行，对评估测试过程与评估测试总结等进行管理。评估测试文档评估测试文档内容包括评估测试计划、评估测试说明、评估测试项传递报告、评估测试日志、评估测试记录、评估测试问题报告和评估测试总结报告。评估测试方法可信根评估测试参照以下方法：查看可信根形式是否为硬件可信根或软件可信根形式；通过可信根测试工具计算测试文件得出结果，与国密算法计算工具计算测试文件得出结果是否相同；通过专用接口调用可信根，查看是否能实现各算法的调用；通过可信根测试工具查看存储于可信根中的可信引导基准值和审计信息。可信度量可信基准库评估测试参照以下方法：查看可信基准文件具备数据结构，可信基准库文件在设备重启后完整性保持一致，对可信基准库文件进行篡改、删除被阻拦；使用基准库管理接口可以对对基准库进行采集、生成、存储、更新、查询、删除操作；使用结构数据管理工具对可信基准库进行管理被拒绝。可信引导评估测试参照以下方法：重新启动设备，在引导阶段出现度量通过提示，且系统引导程序可正常加载启动；修改系统引导程序后，重新启动设备，在引导阶段出现度量未通过提示，且自动中断系统引导程序加载，并出现是否继续启动系统提示。静态度量评估测试参照以下方法：加载可信基准库记录的可执行程序，度量通过，程序可正常加载启动；加载可信基准库未记录的可执行程序，度量未通过，阻断程序加载。动态度量评估测试参照以下方法：添加指定进程进行动态度量；使用程序关键执行环节修改工具对指定程序的进程代码段进行修改，度量失败，程序继续运行，出现动态度量审计告警；使用程序关键执行环节修改工具对指定程序的内核代码段进行修改，度量失败，程序继续运行，出现动态度量审计告警；使用程序关键执行环节修改工具对指定程序的共享库进行修改，度量失败，程序继续运行，出现动态度量审计告警；使用程序关键执行环节修改工具对指定程序的统调用表进行修改，度量失败，程序继续运行，出现动态度量审计告警。可信进程评估测试参照以下方法：指定可信进程；运行可信进程，使用基准库管理接口查看自身及调用的其他程序基准值是否自动采集并更新。可信访问控制评估测试参照以下方法：配置强制访问控制，测试权限约束是否由安全标记等级决定，主体是否包括用户与进程，客体是否包括目录与文件，主体对客体执行非授权操作时是否阻断，篡改主体与客体后再次执行访问控制是否触发可信验证；配置自主访问控制，测试权限约束是否由详细权限划分决定，主体是否包括用户与进程，客体是否包括目录与文件，主体对客体执行非授权操作时是否阻断，篡改主体与客体后再次执行访问控制是否触发可信度量。可信自保护评估测试参照以下方法：使可信验证功能生效；对可信验证部件进行破坏操作，包括中断进程、删除文件、卸载程序，测试是否具备自我保护效果。可信审计评估测试参照以下方法：查看审计类型，是否包括：可信引导、静态度量、动态度量、可信访问控制、可信自保护；查看审计维度，是否包括：时间、对象、描述、结果；对审计信息文件进行破坏。可信管理策略管理评估测试参照以下方法：对静态度量策略进行生成、存储、查询、删除；对动态度量策略进行生成、存储、查询、删除；对可信访问控制策略进行生成、存储、查询、删除；对可信进程策略进行生成、存储、查询、删除；对可信引导审计进行全审计、成功审计、失败审计、不审计策略修改、查询；对静态度量审计进行全审计、成功审计、失败审计、不审计策略修改、查询；对动态度量审计进行全审计、成功审计、失败审计、不审计策略修改、查询；对可信访问控制审计进行全审计、成功审计、失败审计、不审计策略修改、查询；对可信自保护审计进行全审计、成功审计、失败审计、不审计策略修改、查询；对策略进行备份操作，对策略修改进行策略还原。属性初始化执行初始化策略，测试可信策略和可信审计策略是否初始为默认值。管理事件审计查看策略管理、软件管理、非可信程序管理、属性初始化审计信息，并查看时间、对象、描述、结果审计维度，查看是否远程管理主机IP地址。可信管理中心评估测试参照以下方法：篡改用于双方身份鉴别的数字证书，测试是否可以正常接入可信管理中心；使用网络嗅探工具测试可信管理中心与可信节点间通信是否采用加密及完整性通信；测试可信管理中心是否具备所以可信管理中心，并且可信审计信息是否具备补报功能，涉及对可信节点的重要操作时，是否进行二次身份鉴别。

（资料性）

可信验证评估测试用例可信根可信根评估测试用例参考表B.1。可信根评估测试用例项目内容评估测试项可信根评估测试内容参见5.2评估测试方法附录A.2.1评估测试工具可信根管理工具评估测试步骤步骤结果可根据主机安全等级和实际需求采用硬件可信根或软件可信根形式；密码算法应符合国家密码主管部门的要求，采用国密算法；可信根应具备算法调用接口，产品通过专用接口调用可信根，实现各算法的调用；可信根应存储用于可信引导的基准值和审计信息；可信根形式是否为硬件可信根或软件可信根形式，是否符合主机安全等级和实际需求：符合□不符合可信根密码算法是否符合国家密码主管部门的要求：符合□不符合可信根具备算法调用接口，外部通过专用接口调用可信根，能实现各算法的调用：符合□不符合可信根测试工具可查看存储于可信根中的可信引导基准值和审计信息：□符合□不符合评估测试结果□符合□部分符合□不符合可信度量可信基准库可信基准库评估测试用例参考表B.2。可信基准库评估测试用例项目内容评估测试项可信基准库评估测试内容参见5.3.1评估测试方法附录A.2.2.1评估测试工具结构数据管理工具。评估测试步骤步骤结果查看可信基准文件具备数据结构，可信基准库文件在设备重启后完整性保持一致，对可信基准库文件进行篡改、删除被阻拦；使用产品的基准库管理接口可以对对基准库进行采集、生成、存储、更新、查询、删除操作；使用结构数据管理工具对可信基准库进行管理被拒绝。能找到基准库文件；符合□不符合基准库数据为结构化数据；符合□不符合篡改删除失败；符合□不符合设备重启前后完整性一致；符合□不符合能进行采集、生成、存储、更新、查询、删除操作；符合□不符合打开失败。□符合□不符合评估测试结果□符合□部分符合□不符合可信引导可信引导评估测试用例参考表B.3。可信引导评估测试用例项目内容评估测试项可信引导评估测试内容参见5.3.2评估测试方法附录A.2.2.2评估测试步骤步骤结果重新启动设备，在引导阶段出现可信验证通过提示，且系统引导程序可正常加载启动；修改系统引导程序后，重新启动设备，在引导阶段出现可信验证未通过提示，且自动中断系统引导程序加载，并出现是否继续启动系统提示。可以观察到可信引导界面□符合□不符合重启系统后在可信引导界面，显示引导文件无法通过度量，阻断系统引导，需手动干预继续启动系统；□符合□不符合评估测试结果□符合□部分符合□不符合静态度量静态度量评估测试用例参考表B.4。静态度量评估测试用例项目内容评估测试项静态度量评估测试内容参见5.3.3评估测试方法附录A.2.3评估测试步骤步骤结果加载可信基准库记录的可执行程序，可信验证通过，程序可正常加载启动；加载可信基准库未记录的可执行程序，可信验证未通过，阻断程序加载。被可信基准库记录的可执行程序，可正常运行；□符合□不符合未被可信基准库记录的可执行程序，启动被阻拦。□符合□不符合评估测试结果□符合□部分符合□不符合动态度量动态度量评估测试用例参考表B.5。动态度量评估测试用例项目内容评估测试项动态度量评估测试内容参见5.3.4评估测试方法附录A.2.4评估测试工具程序关键执行环节修改工具评估测试步骤步骤结果使用安全管理员登录管理中心，添加测试程序的动态度量策略，并下发策略；对测试程序的进程代码段进行修改；对测试程序的内核代码段进行修改；对测试程序共享库进行修改；使用审计管理员登陆了终端查看审计信息。策略下发成功□符合□不符合可以查看到进程代码段、内核代码段、程序共享库修改的动态度量审计□符合□不符合评估测试结果□符合□部分符合□不符合可信进程可信进程评估测试用例参考表B.6。可信进程评估测试用例项目内容评估测试项可信进程评估测试内容参见5.4评估测试方法附录A.2.5评估测试工具基准库管理接口评估测试步骤步骤结果指定可信进程；运行可信进程，使用基准库管理接口查看自身及调用的其他程序基准值是否自动采集并更新。策略下发成功□符合□不符合可信程序执行成功；□符合□不符合可以查询到程序及库基准值。□符合□不符合评估测试结果□符合□部分符合□不符合可信访问控制可信访问控制评估测试用例参考表B.7。可信访问控制评估测试用例项目内容评估测试项可信访问控制评估测试内容参见5.5评估测试方法附录A.2.6评估测试步骤步骤结果使用安全管理员登录管理中心，添加自主访问控制策略，选定主体、客体、权限，并下发策略。验证主体、客体、权限是否符合策略；使用安全管理员登录管理中心，添加强制访问控制策略，选定主体、客体、权限，并下发策略；验证主体、客体、权限是否符合策略。策略下发成功；□符合□不符合权限验证成功；□符合□不符合策略下发成功；□符合□不符合权限验证成功。□符合□不符合评估测试结果□符合□部分符合□不符合可信自保护可信自保护评估测试用例参考表B.8。可信自保护评估测试用例项目内容评估测试项可信自保护评估测试内容参见5.6评估测试方法附录A.2.7评估测试工具步骤结果使产品功能生效；对产品进行破坏操作，包括中断进程、删除文件、卸载程序，验证产品是否具备自我保护效果。中断进程失败□符合□不符合删除文件失败□符合□不符合卸载程序失败□符合□不符合评估测试步骤□符合□部分符合□不符合可信审计可信审计评估测试用例参考表B.9。可信审计评估测试用例项目内容评估测试项可信审计评估测试内容参见5.7评估测试方法附录A.2.8评估测试步骤步骤结果查看产品审计类型，是否包括：可信引导、静态度量、动态度量、可信访问控制、可信自保护；查看产品审计维度，是否包括：查看产品审计；对审计信息文件进行破坏。审计信息满足要求；□符合□不符合审计信息文件被保护□符合□不符合评估测试结果□符合□部分符合□不符合可信管理策略管理策略管理评估测试用例参考表B.10。策略管理评估测试用例项目内容评估测试项策略管理评估测试内容参见5.8.1评估测试方法附录A.2.9.1评估测试步骤步骤结果使用安全管理员登录管理中心，点击策略配置功能，对静态度量、动态度量、访问控制、可信进程策略进行配置，查询、删除操作；使用审计管理员登录管理中心，点击审计策略功能，对静态度量、动态度量、访问控制、自保护审计策略进行全审计、成功审计、失败审计、不审计的修改；使用系统管理员登录管理中心，点击策略备份功能，对策略进行备份及还原。可进行相应策略的配置，查询、删除操作；□符合□部分符合□不符合可对相应功能的审计策略做全审计、成功审计、失败审计、不审计的修改；□符合□部分符合□不符