1、GB ICS 35.040 L 80 中华人民共和国国家标准GB/T 20277-2006 信息安全技术网络和终端设备隔离部件测试评价方法Information security technology-Testing and evaluation techniques of separation components of network and terminal equipment | . EEE HHHHHHHHHHHAU MHHHHHHHHHny -nU HHHHHHHnu -nU HHHHHO HUHHHHH咋iEE-4EEA -1们UU们UUUUUAUMMM山山山川宁t们们们川HHH
2、HHHnu-EE- | . E 2006-12-01实施2006-05-31发布发布中华人民共租国国家质量监督检验检菇总局中国国家标准化管理委员会GB/T 20277-2006 目次前言. . 1 引言.n I 范围2 规范性叽Jt1文件3 术语和定义4 隔离部件分级测试评价方法4. 1 物理断开隔离部件.4.1.1 测风评价环境4. 1. 2 基本级要求24. 1. 3 增强级要求54.2 单向隔离部件114.2. 1 测试评价邱境114. 2. 2 基本级要求114. 2. 3 增强级要求154. 3 协议隔离部件204.3. 1 测试评价坪境204.3.2 第一级214.3.3 第二级2
3、54.3.4 第三级341.4 网闸隔离部件464.4.1 测试评价环境464. 4. 2 第一级471. 4. :-l 第二级514.4.4 第二级参考文献. . . . . . . . . . . . . . . . . . . . . . . . . . . 74 GB/T 20277-2006 前言本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人:朱建平、陆臻、沈亮、邱梓华、张奕、张笑笑、顾琦、沈涛、赵婷、邹春明、顾健。I GB/T 20277一2006引本标准用以指导测试评价者如何测试与评价隔离部件是否达到
4、了相应的等级,主要从对隔离部件的安全保护等级进行划分的角度来说明其评价准则,以及各评价准则在不同安全级中具体实现上的差异。本标准以GB/T20279-2006(信息安全技术网络和终端设备隔离部件安全技术要求所划分的安全等级为基础,针对隔离部件的技术特点,对相应的测试评价方法做了详细描述。在本标准文本中,加粗字体表示较高等级中新出现或增强的功能要求。H GB/ T 20277一2006信息安全技术网络和终端设备隔离部件测试评价方法1 范围本标准规定了网络端设备隔离部件测试评价方法。本标准适用于按照GB/T20279-2006的安全等级保护要求所开发的隔离部件的测试和评价。2 规范性引用文件下列文
5、件中的条款通过的修改单(不包括勘误的内是否可使用这些文件的3 术语和定义4. 1 物理断开试用计算机。 -. 计算机图1物理断开隔离部件连接示意图GB/T 20277-2006 4. 1. 2 基本级要求4. 1. 2. 1 访问控制4. 1. 2. 1. 1 安全属性定义评价内容:见GB/T20279-2006中5.1. 1. 1. 1的内容。对开发者的要求:提供文档,说明对于信息存储与传输部件(主要是处于不同安全域的存储设备、网络接人设备),物理断开隔离部件是否为其设定了唯一的、为了执行安全功能策略所必需的安全属性,并且说明具体的内容。测试评价方法:测试产品是否设定了这些安全属性,至少包括
6、不同安全域网络切换方式、光驱和软驱等存储设备处在哪个安全区域、网络设备接人方式和其他在开发者文档中提及的安全属性。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1. 2. 1. 2 属性修改评价内容:见GB/T20279-2006中5.1. 1. 1. 2的内容。对开发者的要求:提供属性修改的详细描述。测试评价方法:测试产品是否能够修改与安全相关属性的参数,至少包括安全域网络切换。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1. 2. 1. 3 属性查询评价内容:见GB/T20279-2006中5.1. 1. 1. 3的内容。对开发者的要求:提
7、供属性查询的详细描述。测试评价方法:测试端设备用户是否能够进行安全属性的查询,至少包括对一个安全域网络状态进行查询。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1. 2. 1. 4 访问授权与拒绝评价内容:2 见GB/T20279一2006中5.1. 1. 1. 4的内容。对开发者的要求:提供访问授权与拒绝的详细描述。测试评价方法:a) 信息物理传导隔断测试z当物理断开隔离部件状态为安全域A网络状态时,尝试跟安全域A网络和安全域B网络进行连接,测试产品是否保证跟安全域A网络主机可以互相访问,跟安全域B网络主机互相不可访问;当物理断开隔离部件状态为安全域B网络状态时,尝
8、试跟安全域A网络和安全域B网络进行连接,测试产品是否保证跟安全域B网络主机可以互相访问,跟安全域A网络主机互相不可访问。b) 信息物理存储隔断测试z测试对于断电后会逸失信息的部件,如内存、寄存器等暂存部件,是否在网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁带机、硬盘等存储设备,安全域A网络与安全域B网络信息是否以不同存储设备分开存储,比如硬GB/T 20277-2006 盘,物理断开隔离部件是否分别为安全域A网络与安全域B网络准备一个独立的硬盘F对移动存储介质,如光盘、软盘、USB硬盘等,是否在网络转换前有干预提示或禁止在双网都能使用这些设备。记录测试结果并对该结
9、果是否完全符合上述测试评价方法要求作出判断。4.1.2.2 配置管理评价内容:见GB/T20279-2006中5.1.1.2的内容。测试评价方法:评价者应审查开发者提供的配置管理支持文档是否完全符合以下要求:a) 版本号,要求开发者所使用的版本号与所应表示的隔离部件样本应完全对应,没有歧义。b) 配置项,要求配置项应有唯一的标识,从而对隔离部件的组成有更清楚的描述。这些描述与部分配置管理自动化的要求相同。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.2.3 交付与运行评价内容:见GB/T20279-2006中5.1.1.3的内容。测试评价方法:评价者应审查开发者是否提
10、供了文档说明隔离部件的安装、生成、启动和使用的过程。用户能够通过此文档了解安装、生成、启动和使用过程。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.2.4 安全功能开发过程4. 1. 2. 4. 1 功能设计评价内容:见GB/T20279-2006中5.1. 1. 4. 1的内容。测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求za) 功能设计应当使用非形式化风格来描述隔离部件安全功能与其外部接口;b) 功能设计应当是内在一致的pc) 功能设计应当描述使用所有外部隔离部件安全功能接口的目的与方法,适当的时候,要提供结果影响例外情况和错误信息的细节;d) 功
11、能设计应当完整地表示隔离部件安全功能。评价者应确认功能设计是否精确和完整地体现隔离部件安全功能要求。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1.2.4.2 表示对应性评价内容:见GB/T20279-2006中5.1. 1. 4. 2的内容。测试评价方法:评价者应审查开发者是否在隔离部件安全功能表示的所有相邻对之间提供对应性分析。其中,隔离部件各种安全功能表示(如隔离部件功能设计、高层设计、低层设计、实现表示)之间的对应性是所提供的抽象隔离部件安全功能表示要求的精确而完整的示例。隔离部件安全功能在功能设计中进行细化,并且较为抽象的隔离部件安全功能表示的所有相关安全功
12、能部分,在较具体的隔离部件安全功能表示中进行细化。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。3 GB/T 20277-2006 4. 1. 2. 5 指导性文档4. 1. 2. 5. 1 管理员指南评价内容:见GB/T20279-2006中5.1.1.5.1的内容。测试评价方法:评价者应审查开发者是否提供了供系统管理员使用的管理员指南,并且此管理员指南是否包括如下内容:a) 隔离部件可以使用的管理功能和Lb) 怎样安全地管理隔离部件;。在安全处理环境中应进磊匍制的功d) 所有对与隔离部件侠棋步棋的用户行为旦旦pe) 所有受管理员控f) 每一种与管理改变;g) 所有与系统记
13、录审查结果4. 1. 2. 5. 2 用户+评价内容:见GB/T202 测试评价方J评价者应审a) 隔离部b) 隔离部c) 用户可获d) 隔离部件e) 与用户有4. 1. 2. 6. 2 功能测试评价内容:见GB/T20279-2006中5.1. 1. 6. 2的内容。测试评价方法:的安全特性进行的试文档中所标识的测试与安全功能a) 评价开发者提供的测试文档,是否包括测试计划、测试规程、预期的测试结果和实际测试结果;4 b) 评价测试计划是否标识了要测试的安全功能,是否描述了测试的目标;c) 评价测试规程是否标识了要执行的测试,是否描述了每个安全功能的测试概况(这些概况包括对其他测试结果的顺序
14、依赖性); d ) 评价期望的测试结果是否表明测试成功后的预期输出;e) 评价实际测试结果是否表明每个被测试的安全功能能按照规定进行运作。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1. 2. 7 生命周期支持评价内容:G/T 20277一2006a) b) 境的温室度要求和记录,开使用安全产品必须采用符d) 测试产品是否在哪个安全区域、网4. 1. 3. 1.2 属性修改评价内容:见GB/T20279-2006中5.1. 对开发者的要求:提供属性修改的详细描述。测试评价方法:测试产品是否能够修改与安全相关属性的参数,至少包括安全域网络切换。记录测试结果并对该结果是否
15、完全符合上述测试评价方法要求作出判断。4. 1. 3. 1. 3 属性查询评价内容:见GB/T20279-2006中5.1. 2. 1. 3的内容。对开发者的要求:提供属性查询的详细描述。,并且说明具体的驱和软驱等存储设备处5 G/T 20277一2006测试评价方法:测试端设备用户是否能够进行安全属性的查询,至少包括对一个安全域网络状态进行查询。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.3. 1. 4 访问授权与拒绝评价内容:见GB/T20279-2006中5.1. 2. 1. 4的内容。对开发者的要求:提供访问授权与拒绝的详细描述。测试评价方法:a) 信息物理
16、传导隔断测试:当物理断开隔离部件状态为安全域A网络状态时,尝试跟安全域A网络和安全域B网络进行连接,测试产品是否保证跟安全域A网络主机可以互相访问,眼安全域B网络主机互相不可访问:当物理断开隔离部件状态为安全域B网络状态时,尝试眼安全域A网络和安全域B网络进行连接,测试产品是否保证跟安全域B网络主机可以互相访问,跟安全域A网络主机互相不可访问;b) 信息物理存储隔断测试:测试对于断电后会逸失信息的部件,如内存、寄存器等暂存部件,是否在网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁带机、硬盘等存储设备,安全域A网络与安全域B网络信息是否以不同存储设备分开存储,比如硬盘
17、,物理断开隔离部件是否分别为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质,如光盘、软盘、USB硬盘等,是否在网络转换前有干预提示或禁止在双网都能使用这些设备。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1.3.2 不可旁路评价内容:见GB/T20279-2006中5.1. 2. 2的内容。对开发者的要求:提供文档,说明物理断开隔离部件采用何种机制和措施,确保安全策略的不可旁路性,即任何与安全有关的操作被允许执行之前,都必须通过安全策略的检查。文档应该分析并确认,物理断开隔离部件确实控制了端设备用户的每次访问请求,不存在其他可能旁路物理断开隔离部件的途径
18、。测试评价方法:测试实际环境,并评价开发者提供实现此项功能的相应文档。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1.3.3 害体重用评价内容:见GB/T20279-2006中5.1. 2. 3的内容。对开发者的要求:提供文档,说明在为所有安全域A网络或安全域B网络上的主机连接进行资源分配时,物理断开隔离部件安全功能采用何种方式保证不提供以前连接的任何信息内容。测试评价方法:审查开发者提供的实现此项功能的相应文档,其中是否明确指出在为所有安全域A网络或安全域B网络上的主机连接进行资源分配时,物理断开隔离部件采用了某种方法清除以前连接的残余信息。记录测试结果并对该结果是
19、否完全符合上述测试评价方法要求作出判断。6 GB/T 20277一20064.1.3.4 配置管理4. 1.3.4. 1 配置管理能力评价内容:见GB/T20279一2006中5.1. 2. 4. 1的内容。测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:a) 开发者应使用配置管理系统并提供配置管理文档,以及为隔离部件产品的不同版本提供唯一的标识。b) 配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项。c) 配置管理文档应包括配置清单、配置管理计划。配置清单用来描述组成隔离部件的配置项F在配置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应
20、与配置管理计划相一致。d) 配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.3.4.2 配置管理范围评价内容:见GB/T20279-2006中5.1. 2. 4. 2的内容。测试评价方法z评价者应审查开发者提供的配置管理支持文档是否完全符合以下要求:隔离部件配置管理范围,要求将隔离部件的实现表示、设计文档、测试文档、用户文档、管理员文档、配置管理文档等置于配置管理之下,从而确保它们的修改是在一个正确授权的可控方式下进行的。为此要求za) 开发者所提供的配置管理文档应展示配置管理系统至
21、少能跟踪上述配置管理之下的内容Fb) 文档应描述配置管理系统是如何跟踪这些配置项的pc) 文档还应提供足够的信息表明达到所有要求。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1. 3. 5 交付与运行4. 1. 3. 5. 1 交付评价内容:见GB/T20279-2006中5.1. 2. 5. 1的内容。测试评价方法:评价者应审查开发者是否使用一定的交付程序交付物理断开隔离部件,并使用物理文档描述交付过程,并且评价者应审查开发者交付的文档是否完全符合以下要求:在给用户方交付隔离部件的各版本时,提供了为维护安全所必需的所有程序。记录审查结果并对该结果是否完全符合上述测试
22、评价方法要求作出判断。4. 1. 3. 5. 2 安装生成评价内容:见GB/T20279-2006中5.1. 2. 5. 2的内容。测试评价方法:评价者应审查开发者是否提供了文档说明隔离部件的安装、生成、启动和使用的过程。用户能够通过此文档了解安装、生成、启动和使用过程。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。7 G/T 20277-2006 4. 1.3.6 安全功能开发过程4. 1.3.6. 1 功能设计评价内容:果影响例外情况和错p功能设计应当完整见GB/T20279 测试评价方法:评价者应审查a) 高层设计b) 高层设计Ec) 隔离部件的体系结d) 隔离部件之间
23、的相e) 高层设计屈持这些硬件1记录审查结果并4. 1. 3. 6. 3 表示对应川评价内容:见GB/T20279- 200 测试评价方法:评价者应审查开发者是否在电示中进行细化。、l与方法,适当的时候,要提供结记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1. 3. 7 指导性文档4. 1. 3. 7.1 管理员指南评价内容:见GB/T20279一2006中5.1.2.7.1的内容。测试评价方法:评价者应审查开发者是否提供了供系统管理员使用的管理员指南,并且此管理员指南是否包括如下内容:8 GB/T 20277-2006 a) 隔离部件可以使用的管理功能和接口;b)
24、怎样安全地管理隔离部件;c) 在安全处理环境中应进行控制的功能和权限;d) 所有对与隔离部件的安全操作有关的用户行为的假设:e) 所有受管理员控制的安全参数,如果可能,应指明安全值;f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;、,-hu d ) 火的防员境的人环境发发环开开发ab d) 开发过程和成果的安全管理:对厂阳文档进行加密保护必须采用符合国家有关规定的产品并提供相应证明材料。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1. 3. 9 测试4. 1.3. 9. 1 范围评价内容:见GB/T20279-2006中5.1
25、. 2. 9. 1的内容。测试评价方法:a) 评价者应审查开发者提供的测试覆盖分析结果,是否表明了测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的;9 GB/T 20277-2006 b) 评价测试文档中所标识的测试是否完整。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1.3.9.2 测试深度评价内容:见GB/T20279一2006中5.1. 2. 9. 2的内容。测试评价方法:评价开发者提供的测试深度分析,是否说明了测试文档中所标识的对安全功能的测试,足以表明该安全功能和高层设计是一致的。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。
26、4. 1.3.9.3 功能测试评价内容:见GB/T20279-2006中5.1. 2. 9. 3的内容。测试评价方法:a) 评价开发者提供的测试文档,是否包括测试计划、测试规程、预期的测试结果和实际测试结果pb) 评价测试计划是否标识了要测试的安全功能,是否描述了测试的目标;c) 评价测试规程是否标识了要执行的测试,是否描述了每个安全功能的测试概况(这些概况包括对其他测试结果的顺序依赖性); d) 评价期望的测试结果是否表明测试成功后的预期输出;e) 评价实际测试结果是否表明每个被测试的安全功能能按照规定进行运作。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1. 3.
27、 9. 4 独立性测试评价内容:见GB/T20279-2006中5.1. 2. 9. 4的内容。测试评价方法:评价者应审查开发者是否提供了适于测试的产品,且审查测试集是否覆盖开发商自测产品功能时使用的测试集合。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1. 3. 10 脆弱性评定4. 1. 3. 10. 1 指南检查评价内容:见GB/T20279-2006中5.1. 2. 10. 1的内容。测试评价方法:评价者应审查开发者提供的指南性文档,是否满足了以下要求za) 评价指南性文挡,是否确定了对隔离部件的所有可能的操作方式(包括失败和操作失误后的操作),是否确定了它们
28、的后果,以及是否确定了对于保持安全操作的意义Fb) 评价指南性文档,是否列出了所有目标环境的假设以及所有外部安全措施(包括外部程序的、物理的或人员的控制的要求Fc) 评价指南性文档是否完整、清晰、一致、合理。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1. 3. 10.2 脆弱性分析评价内容:10 见GB/T20279-2006中5.1.2. 10. 2的内容。测试评价方法:GB/T 20277-2006 评价开发者提供的脆弱性分析文挡,是否从用户可能破坏安全策略的明显途径出发,对隔离部件的各种功能进行了分析Fb) 对被确定的脆弱性,评价开发者是否明确记录了采取的措施
29、Fc) 对每一条脆弱性,评价是否有证据显示在使用隔离部件的环境中该脆弱性不能被利用Fd) 评价所提供的文档,是否表明经过标识脆弱性的隔离部件可以抵御明显的穿透性攻击。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2 单向隔离部件4.2.1 测试评价环境单向隔离部件连接示意如图2所示,在安全域A网络和安全域B网络环境内至少连人一台测试用计算机。a) 安全域B网络安全域A网络单向隔离部件安全域B存储设备单向交换存储设备安全域A存储设备计算机单向隔离部件连接示意圄4.2.2 基本级要求4.2.2. 1 访问控制4. 2. 2. 1. 1 安全属性定义评价内容:见GB/T2027
30、9-2006中5.2. 1. 1. 1的内容。对开发者的要求:提供文档说明对于信息存储与传输部件(主要是处于不同安全域的存储设备、网络接人设备),单向隔离部件是否为其设定了唯一的、为了执行安全功能策略所必需的安全属性,并且说明具体的内容。测试评价方法:测试产品是否设定了这些安全属性,至少包括安全域网络切换方式、光驱和软驱等存储设备处在哪个安全区域、网络设备接人方式、交换存储设备访问方式和其他在开发者文档中提及的安全属性。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2.2. 1.2 属性修改评价内容:见GB/T20279-2006中5.2.1. 1. 2的内容。对开发者的
31、要求:提供属性修改的详细描述。11 圄2GB/T 20277-2006 测试评价方法:测试产品是否能够修改与安全相关属性的参数,至少包括安全域网络切换。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2.2.1.3 属性查询评价内容:见GB/T20279-2006中5.2.1.1.3的内容。对开发者的要求:提供属性查询的详细描述。测试评价方法:测试端设备用户是否能够进行安全属4.2. 2. 1. 4 访问授权与拒绝评价内容:测试评价方法:a) 信息物理传b) B网络主机络和安全A网络信,交换存储如硬盘,单向隔动存储介质,如光能使用这些设备。记录测试结果并对该结果是4.2.2
32、. 2 配置管理评价内容:见GB/T20279-2006中5.2.1.2的内容。测试评价方法:一个安全域网络状态进行查询。判断。评价者应审查开发者提供的配置管理支持文档是否完全符合以下要求:12 a) 版本号,要求开发者所使用的版本号与所应表示的隔离部件样本应完全对应,没有歧义。b) 配置项,要求配置项应有唯一的标识,从而对隔离部件的组成有更清楚的描述。这些描述与部分配置管理自动化的要求相同。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2.2. 3 交付与运行评价内容:见GB/T20279-2006中5.2. 1. 3的内容。测试评价方法:GB/T 20277-2006
33、 评价者应审查开发者是否提供了文档说明隔离部件的安装、生成、启动和使用的过程。用户能够通过此文档了解安装、生成、启动和使用过程。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 2.2. 4 安全功能开发过程4.2.2.4. 1 功能设计评价内容:见GB/T20279-2006中5.2. 1. 4 测试评价方法:评价者应审查开发者所a ) 功能设计应当使b ) 功能设计应当c) 功能设计应果影响例夕d ) 功能设气评价者应确、记录审查结果并见GB/T2 测试评价评价者应离部件各种安供的抽象隔离部化,并且较为抽象1示中进行细化。记录审查结果地14.2.2.5指导性文臼纵4.2
34、.2.5.1 管理员H6评价内容: 见GB/T202792006性5.2.1. 测试评价方法:评价者应审查开发者是否提供商炼锻理员使蛐磐谭嗣,并且此管理员指南是否包括如下内容:a) 隔离部件可以使用的管理功能和接口;b ) 怎样安全地管理隔离部件;c) 在安全处理环境中应进行控制的功能和权限;d ) 所有对与隔离部件的安全操作有关的用户行为的假设;e) 所有受管理员控制的安全参数,如果可能,应指明安全值;f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的13 GB/T 20277-2006 改变pg) 所有与系统管理员有关的IT环境的安全要求。记录审查结果并对
35、该结果是否完全符合上述测试评价方法要求作出判断。4.2.2.5.2 用户指南评价内容:见GB/T20279二2006中5.2. 1. 5. 2的内容。测试评价方法:评价者应审查开发者是否提供了供系统用户使用的用户指南,并且此用户指南是否包括如下内容za) 隔离部件的非管理用户可使用的安全功能和接口;b) 隔离部件提供给用户的安全功能和接口的用法Fc) 用户可获取但应受安全处理环境控制的所有功能和权限Fd) 隔离部件安全操作中用户所应承担的职责;e) 与用户有关的IT环境的所有安全要求。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2.2.6 测试4.2.2.6.1 范围评
36、价内容:见GB/T20279-2006中5.2. 1. 6. 1的内容。测试评价方法z评价者应审查开发者提供的测试覆盖分析结果,是否表明了测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2.2.6.2 功能测试评价内容:见GB/T202792006中5.2.1. 6. 2的内容。测试评价方法:a) 评价开发者提供的测试文档,是否包括测试计划、测试规程、预期的测试结果和实际测试结果pb) 评价测试计划是否标识了要测试的安全功能,是否描述了测试的目标pc) 评价测试规程是否标识了要执行的测试,是否描述了每个安全功能
37、的测试概况(这些概况包括对其他测试结果的顺序依赖性);d) 评价期望的测试结果是否表明测试成功后的预期输出pe) 评价实际测试结果是否表明每个被测试的安全功能能按照规定进行运作。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2.2.7 生命周期支持评价内容:14 见GB/T20279-2006中5.2. 1. 7的内容。测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:. a) 开发人员的安全管理:开发人员的安全规章制度,开发人员的安全教育培训制度和记录Fb) 开发环境的安全管理:开发地点的出人口控制制度和记录,开发环境的温室度要求和记录,开发环境的防火防盗措
38、施和国家有关部门的许可文件,开发环境中所使用安全产品必须采用符合国家有关规定的产品并提供相应证明材料F。开发设备的安全管理:开发设备的安全管理制度,包括开发主机使用管理和记录,设备的购置、GB/T 20277-2006 修理、处置的制度和记录,上网管理,计算机病毒管理和记录等;d) 开发过程和成果的安全管理:对产品代码、文档、样机进行受控管理的制度和记录,若代码和文档进行加密保护必须采用符合国家有关规定的产品并提供相应证明材料。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2.3 增强级要求4.2.3.1 访问控制4. 2. 3. 1. 1 安全属性定义评价内容:见GB/
39、T20279-2006中5.2. 2. 1. 1的内容。对开发者的要求:提供文档说明对于信息存储与传输部件(主要是处于不同安全域的存储设备、网络接入设备),单向隔离部件是否为其设定了唯一的、为了执行安全功能策略所必需的安全属性,并且说明具体的内容。测试评价方法:测试产品是否设定了这些安全属性,至少包括不可信网络切换方式、光驱和软驱等存储设备处在哪个安全区域、网络设备接入方式和其他在开发者文档中提及的安全属性。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2.3. 1. 2 属性修改评价内容:见GB/T20279-2006中5.2. 2. 1. 2的内容。对开发者的要求z提
40、供属性修改的详细描述。测试评价方法z测试产品是否能够修改与安全相关属性的参数,至少包括安全域网络切换。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2.3. 1. 3 属性查询评价内容:见GB/T20279-2006中5.2. 2. 1. 3的内容。对开发者的要求:提供属性查询的详细描述。测试评价方法:测试端设备用户是否能够进行安全属性的查询,至少包括对-个安全域网络状态进行查询。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2.3.1.4 访问授权与拒绝评价内容:见GB/T20279-2006中5.2. 2. 1. 4的内容。对开发者的要求:提供访
41、问授权与拒绝的详细描述。测试评价方法:a) 信息物理传导隔断测试:当单向隔离部件状态为安全域A网络状态时,尝试跟安全域A网络和安全域B网络进行连接,测试产品是否保证跟安全域A网络主机可以互相访问,跟安全域B网络主机互相不可访问;当单向隔离部件状态为安全域B网络状态时,尝试眼安全域A网络和安全域B网络进行连接,测试产品是否保证跟安全域B网络主机可以互相访问,跟安全域A网络主机互相不可访问。此外,若设定安全域B为不可信安全域,测试产品是否同时限15 GB/ T 20277-2006 定安全域B网络信息只能通过特定存储区域转移至安全域A网络存储区域,从而阻止安全域A网络信息通过网络连接泄露到安全域B
42、网络(即在不可信网络状态下,端设备用户可以对交换存储区域内信息进行读写访问;而在可信网络状态下,端设备用户只可以对交换存储区域内信息进行只读访问); b) 信息物理存储隔断测试:测试对于断电后会逸失信息的部件,如内存、寄存器等暂存部件,产品是否在网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁带机、硬盘等存储设备,安全域A网络与安全域B网络信息是否以不同存储设备分开存储,比如硬盘,单向隔离部件是否分别为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质,如光盘、软盘、USB硬盘等,在网络转换前产品是否有干预提示或禁止在双网都能使用这些设备。记录测试结果并对该
43、结果是否完全4.2.3.2 不可旁路评价内容:见GB/T20279 - 2006 对开发者的要求:提供文挡,说明单向关的操作被允许执行)裕t凹要、采红的档能T者文功W发供全G开提安见对应件部离配时,单向隔B网络上的主机连接进记录测试结果并对职4. 2.3. 4 配置管理4.2.3.4.1 配置管理能力评价内容:见GB/T20279-2006中5.2.2:测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:a) 开发者应使用配置管理系统并提供配置管理文档,以及为隔离部件产品的不同版本提供唯一的标识。b) 配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项。c)
44、 配置管理文档应包括配置清单、配置管理计划。配置清单用来描述组成隔离部件的配置项。在配置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。A网络或安全域残余信息。16 GB/T 20277-2006 d) 配置管理文档还应描述对配置项结出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 2.3.4.2 配置管理范围评价内容:见GB/T20279-2006中5.2. 2. 4. 2的内容。测试评价方法:评价者应审查开发者提供的配置管理支持文档是否完全符合以下要求:隔离部件配置管理范围,要求
45、将隔离部件的实现表示、设计文档、测试文挡、用户文档、管理员文档、配置管理文档等置于配置管理之下,从而确保宦榈树赣峰是在一个正确授权的可控方式下进行的。为此要求:a)开发者所提供的配置蝇头档应国撮酬磁统至少袜踪上述配置管理之下的内容;记录审查去l4.2.3.5.2 安是Z评价内容:的过程。用户能够通4. 2.3.6. 1 功能设计评价内容:见GB/T20279-2006中5.2.测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:a) 功能设计应当使用非形式化风格来描述隔离部件安全功能与其外部接口;b) 功能设计应当是内在一致的;c) 功能设计应当描述使用所有外部隔离部件安全功能接口的
46、目的与方法,适当的时候,要提供结果影响例外情况和错误信息的细节;d) 功能设计应当完整地表示隔离部件安全功能。评价者应确认功能设计是否精确和完整地体现隔离部件安全功能要求。17 GB/T 20277-2006 记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.2.3.6.2 高层设计评价内容:见GBjT202792006中5.2. 2. 6. 2的内容。测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:a) 高层设计应采用非形式化的表示;b) 高层设计应当是内在一致的F。隔离部件高层设计应当描述每一个隔离部件安全功能子系统所提供的安全功能,提供了适当的体系结构来实现隔离部件安全功能要求Fd) 隔离部件的高层设计应当以子系统的观点来描述隔离部件安全功能的结构,定义所有子系统之间的相互关系,并把这些相互关系适当地作为数据流、控制流等的外部接口来表示Fe) 高层设计应当标识隔离部件安全功能要求的任何基础性的硬件、固件和/或软件,并且通过支持这些硬件、固件或软件所实现的保护机制,来提供隔离部件安全功能表示。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判
