GB/T 20009-2019 信息安全技术 数据库管理系统安全评估准则

GB/T 20009-2019 信息安全技术 数据库管理系统安全评估准则
仅供个人学习
反馈
标准编号:GB/T 20009-2019
文件类型:.pdf
资源大小:3.4M
标准类别:环境保护标准
资源ID:207764
下载资源

GB/T 20009-2019 标准规范下载简介

GB/T 20009-2019 信息安全技术 数据库管理系统安全评估准则

5.1.10可信路径/信道(FTP类)

a)对于分布式部署环境下的TOE,应检查在不同节点间是否提供了一条缓存与控制通信信道, 确认此信道在逻辑上与客户端与数据库服务器之间通信信道不同,其端点具有保证标识,并且 能保护信道中数据免遭修改或泄露; b 应检查是否允许【选择:TSF、基于外部认证的鉴别服务器、【赋值:ST作者指定的另一个可信 IT产品】经由可信信道发起通信: 应检查【赋值:需要可信信道的功能列表】测试确认TSF经由可信信道发起通信

5.2.1开发(ADV类)

5.2.1.1安全架构描述(ADVARC.1)

安全架构描述组件评估是确定数据库的TSF结构是否使TSF不能被篡改或绕过,且提供安全域 的TSF是否分离了这些域。安全评估活动的证据包括:安全目标、数据库安全功能规范、TOE设计文 档、安全架构描述、TOE实现技术资料、操作性用户指南等。该组件安全评估内容如下: a)评估者应检查安全架构的描述,以确定证据提供的信息的详细水平与在细节与功能规范和 TOE设计文件中包含的SFR强制实施抽象的描述相称; b) 评价者应检查安全架构的描述,以确定它描述了TSF维护的安全域; C 评估者应检查安全架构描述以确定初始化过程保持了安全性; d) 评估者应检查安全架构描述,以确定它包含的信息足以证明TSF能够保护自身不受非受信活 动实体的宴改; e 评估者应检查安全架构描述,以确定该描述的分析充分说明了SFR强制实施机制是如何不能 被绕过的; f 评估者也应确保安全架构描述是全面的GB/T 51189-2016 火力发电厂海水淡化工程调试及验收规范(完整正版、清晰无水印),表现为每个接口都结合声明的SFR的全集进行了 分析。

5.2.1.2安全执行功能规范(ADVFSP.2)

安全执行功能规范组件评估是确认开发者是否对TOE安全功能接口的目的、使用方法机器参数 了充分描述。另外每个安全功能接口的行为、结果、出错信息描述应足够充分,以便评估人员能确认 SFI是安全相关的。安全执行功能规范组件评估证据包括:安全目标、功能规范、TOE设计。如果 OE的ST有评估证据的话,那么所使用的评估证据应包括:安全架构描述和用户操作指南。该组件 安全评估内容如下: a)评估者应检查功能规范,标识出TSF对应的TSFI,以确定该规范完整地描述了TSF的接口; b)评估者应检查功能规范,以确认是否描述了每个TSFI目的,以使得评估者能够理解这些 接口; 评估者应检查功能规范,以确定该规范完整地描述了每个TSFI的使用方法; d)评估者应检查TSFI的表示,以确定该表示完整地指出了与各TSFI相关的所有参数; e 评估者应检查TSFI的表示,以确定该表示完整和准确地描述了各TSFI相关的所有参数; 评估者应检查TSFI的表示所有相关行动,以确定外部TOE安全功能接口进行详细的描述 以使得评估者能够确定接口是否是与安全相关的; g 评估者应检查TSFI的表示,以确定其充分并正确地描述了各外部接口的相关参数、异常和出 错信息的TOE行为; h)评估者应检查功能规范,以确定SFR能够追溯到对应的TSFI; i)评估者应检查功能规范,以确定它是TOE安全功能要求的一个准确且完备的实例化

带完整摘要功能规范组件评估是确认开发者是否对TOE安全功能接口的目的、使用方法机器参 放作了充分描述。另外每个安全功能接口的行为、结果、出错信息描述应足够充分,以便评估人员能比 交不同TSFI之间安全相关强度。带完整摘要功能规范组件评估证据包括:安全目标、功能规范和 TOE设计。如果TOE的ST有评估证据的话,那么所使用的评估证据应包括:安全架构描述、实现表 示、TSF内部描述和用户操作指南。该组件安全评估内容如下: a)评估者应检查功能规范,标识出TSF对应的接口(TSFI),以确定该规范完整地描述了TSF的 接口; b)评估者应检查功能规范,以确认是否描述了每个TSFI目的,以使得评估者能够理解这些 接口; c) 评估者应检查功能规范,以该规范完整地描述了每个TSFI的使用方法: 评估者应检查TSFI的表示,以确定该表示完整地指出了与各TSFI相关的所有参数: 评估者应检查TSFI的表示,以确定该表示完整和准确地描述了各TSFI相关的所有参数; f 评估者应检查TSFI的表示所有相关行动,以确定外部TOE安全功能接口进行详细的描述 以使得评估者能够确定接口是否是与安全相关的; g 评估者应检查TSFI的表示,以确定其充分并正确地描述了各外部接口的相关参数、异常和出 错信息的TOE行为; h 评估者应检查TSFI的表示,以确定每个TSFI是否概述了SFR支持和SFR不相关的行为; i 评估者应检查功能规范,以确定SFR能够追溯到对应的TSFI; 评估者应检查功能规范,以确定它是TOE安全功能要求的一个准确且完备的实例化

5.2.1.4完备的功能规范(ADVFSP.4)

完备的功能规范组件评估时确定开发者是否完全描述了所有TSF1,描述的方式是否可使评估者能 够肯定TSFI完整精确地描述了执行ST的安全功能需求。接口的完整度是基于实现介绍判断的。完 备的功能规范组件评估证据包括:安全目标、功能规范、TOE设计和实现表示。如果TOE的ST有评 估证据的话,那么所使用的评估证据应包括:安全体系结构描述、TSF内部描述、安全策略模型。该组 件安全评估内容如下: 评估者应检查功能规范,标识出TSF对应的TSFI,以确定该规范完整地描述了TSF的接口: b)评估者应检查功能规范,以确定接口描述的结构化/半结构化、上下一致,并使用常用术语; c) 评估者应检查功能规范,以确定它说明了各TSFI接口所提供的功能的总述; 评估这应检查功能规范,以确定规范给出了各TSFI的使用方法; e) 评估者应检查功能规范,以确定TSFI的完整性; f) 评估者应检查TSFI的表示,以确定该表示完整地指出了与各TSFI相关的所有参数; g) 评估者应检查TSFI的表示,以确定该表示完整和准确地描述了各TSFI相关的所有参数; 评估者应检查TSFI的表示,以确定该表示完整地、准确地描述了与各TSFI相关的所有行动; i) 评估者应检查TSFI的表示,以确定该表示完整地、准确地描述了调用各TSFI产生的所有错 误信息; 评估者应检查TSFI的表示,以确定该表示完整和准确地描述了调用各TSFI产生的所有错误 信息; k) 评估者应检查功能规范,以确定规范完整地、准确地描述了调用一个TSFI不会产生的所有错 误信息; 1)评估者应检查功能规范,以确定对于每一个包含在 TSF实现内但不是从 TSFI 调用中产生的

GB/T 200092019

错误,该规范都给出了原因; m)评估者应检查功能规范,以确定SFR能够追溯到对应的TSFI; n)评估者应检查功能规范,以确定它是TOE安全功能要求的一个准确且完备的实例化。

5.2.1.5TSF实现表示(ADVIMP.1)

5.2.1.6基础设计(ADV TDS.1

5.2.1.7结构化设计(ADVTDS.2)

5.2.1.8基础模块设计(ADVTDS.3)

5.2.2指导性文档(AGD类)

5.2.2.1操作用户指南(AGDOPE.1)

名)评估者应检查用户操作 是否清晰

5.2.2.2准备程序(AGD PRE.1)

准备程序组件判断TOE的安全准备步骤是否被记录并得到安全的配置。准备程序组件评估依据 包括安全目标、TOE及其准备步骤和开发者提供服务的步骤。该组件安全评估内容如下: a)评估者应检查接受步骤,以判断是否描述了所有安全接受TOE交付的必要步骤,以及和开发 商交付步骤的配合; D 评估者应检查所提供的安装步骤,以判断是否描述了,TOE安全安装的所有必要步骤;为了达 到依据ST描述了操作环境的安全目标,所需进行的安全准备步骤; 评估者应运行所有必要的TOE准备步骤,以判断只有用给定的准备步骤,TOE和它的操作环 境可以被安全的准备

5.2.3生命周期支持(ALC类

5.2.3.1CM 系统的使用(ALC CMC.2)

CM系统的使用组件判断开发者是否已经清晰地定义了TOE及其相关的配置项,对这些配置项的 修改是否恰当地由工具自动控制,以使得CM系统更少地受到人为错误或疏忽的影响。CM系统的使 用组件评估的依据包括安全目标、适合测试的TOE和配置管理文档。该组件安全评估内容包括: a)评估者应核查所提交评估的TOE是否标记了参照号; b)评估者应核查所使用的TOE参照号的一致性; c)评估者应核查所使用CM文档应有用于描述唯一标识配置项的方法; d)评估者应核查CM系统所有配置项以在CM文档中各配置项的一致性

3.2授权控制(ALCC

授权控制组件判断开发者使用CM唯一标识了所有的系统配置项,且每个配置项的修改都被CM 系统控制。授权控制组件评估的依据包括安全目标、适合测试的TOE和配置管理文档。该组件安全 平估内容如下: a 评估者应核查所提交评估的TOE是否标记了参照号; 评估者应核查所使用的TOE参照号的一致性; 评估者应核查所使用CM文档应有用于描述唯一标识配置项的方法; d) 评估者应核查CM系统所有配置项标识与CM文档中各配置项方法相一致; 评估者应核查在CM计划中描述的CM访问控制措施使得只能对配置项进行授权变更: 评估者应核查在CM文档应包括一个CM计划; 评估者应核查CM计划应描述CM系统是如何应用于TOE的开发过程; h 评估者应核查证据应证实所有配置项都正在CM系统下进行维护; 评估者应核查证据应证实CM系统的运行与CM计划是一致的

生产支持和接受程序及其自动化组件判断开发者是否已经清晰地定义了TOE及其相关的配 对这些配置项的修改是否恰当地由工具自动控制,以使得CM系统更少地受到人为错误或疏忽 可。生产支持和接受程序及其自动化组件的依据包括安全目标、适合测试的TOE和配置管理文栏 且件安全评估内容如下:

GB/T200092019

a)评估者应核查所提交评估的TOE是否标记了参照号; b)评估者应核查所使用的TOE参照号的一致性; c)评估者应核查所使用CM文档应有用于描述唯一标识配置项的方法; 评估者应核查CM系统所有配置项标识与CM文档中各配置项方法相一致; 评估者应核查在CM计划中描述的CM访问控制措施使得只能对配置项进行授权变更: 评估者应核查在CM计划中提供了自动化的措施使得只能对配置项进行授权变更; g)评估者应核查TOE生产系统支持程序以确定CM系统应以自动化的方式支持TOE的生产; 评估者应核查在CM文档应包括一个CM计划; 评估者应核查CM计划确认是否描述了CM系统是如何应用于TOE的开发过程; 评估者应核查CM计划确认是否描述了TOE配置项修改和增减的程序规范; k)评估者应核查证据应证实所有配置项都正在CM系统下进行维护; 评估者应核查CM文档以确认它包含了CM计划规定的CM配置记录内容; m估者应核香

实现表示CM覆盖(ALC

5.2.3.6问题跟踪CM覆盖(ALCCMS.4)

5.2.3.7交付程序(ALCDEL.1)

交付程序组件评估目的是确定交付文档是否描述了在将TOE分发到用户现场时,用于保持其安 全性的所有程序。交付程序组件安全评估证据包括安全目标和交付文档。该组件安全评估内容如下: a)评估者需要检查交付文档,以确定它描述了在将TOE版本及其部件发布给消费者时,所有维 护安全性所需的过程; b)评估者应检查交付过程的各个方面,以确定其使用了交付程序

安全措施标识组件评估目的是确定开发者在开发环境中的安全性操作足以提供TOE设计和实现 的保密性和完整性。安全措施标识评估依据安全目标和安全开发。该组件安全评估内容如下: a)评估者应检查开发安全性文档,以确定它细化了在开发环境中用到的所有安全性度量,确认 TOE设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的及其他方面的安全 措施; b)评估者应检查开发的保密性和完整性策略,以确定使用的安全性措施是足够的; c)评估者需要检查开发安全性文档及相关的安全评估证据,以确定各种安全措施都已经被应用。

开发者定义的生命周期模型组件评估目标是确定开发者是否使用了文档化且可度量的TOE生命 周期模型。开发者定义的生命周期模型组件安全评估依据包括安全目标和生命周期定义文档。该组件 安全评估内容如下: a)评估者应检查所使用的生命周期模型的文档化描述,以确定它覆盖了开发和维护的过程,包括 其计算参数的细节和/或用于度量TOE开发的指标; b 评估者应检查生命周期模型,以确定由生命周期模型描述的程序、工具和技术的使用将对 TOE的开发和维护作出必要的积极贡献; c)评估者应检查生命周期输出文档,以确定它提供了使用可度量的生命周期模型的TOE开发 的度量结果。

月确定义的开发工具(AL

明正文 致的和预期的结果的开发工具厂比如编程语言或者计算机辅助设计系统(CAD),并确定是否应用了 实现标准。明确定义的开发工具评估依据包括开发者标识的用于开发TOE的每个工具和每个开发工 具所选取的实现依赖选项。该组件安全评估内容如下: a)评估者应核查用于实现的每个开发工具都应是明确定义的; b)评估者应核查每个开发工具的文档应无歧义地定义所有语句和实现用到的所有协定与命令的 含义; c)评估者应核查每个开发工具的文档应无歧义地定义所有实现依赖选项的含义。

5.2.4安全且标评估(ASE类)

5.2.4.1符合性声明(ASECCL.1)

符合性声明组件安全评估目的是确认安全目标与安全要求(保护轮廓)的一致性。符合性声明组 评估依据包括开发者提供的符合性声明和符合性声明的基本原理。该组件安全评估内容如下:

GB/T 20009—2019

a)评估者应核查安全目标的符合性声明,确认标识出ST和TOE声明符合性遵从的 GB/T18336的版本; b 评估者应核查安全目标的符合性声明,确认描述了ST和GB/T18336.2一2015的符合性,无 论是与GB/T18336.2一2015相符或是与GB/T18336.2一2015的扩展部分相符; C 评估者应核查安全目标的符合性声明,确认描述了ST和GB/T18336.3一2015的符合性,无 论是与GB/T18336.3一2015相符或是与GB/T18336.3一2015的扩展部分相符; d 评估者应核查GB/T18336.2一2015的符合性声明,确认功能扩展组件定义是相一致的; e) 评估者应核查GB/T18336.3一2015的符合性声明,确认保障扩展组件定义是相一致的; f 评估者应核查符合性声明应标识ST声明遵从的所有PP和安全要求包; 评估者应核查符合性声明,对ST中每一个可标识,描述了符合性声明,无论是与包的相符或 是与扩展包相符; h) 评估者应核查符合性声明的基本原理,证实TOE类型与符合性声明所遵从的PP中的TOE 类型是相符的; i) 评估者应核查符合性声明的基本原理,证实安全问题定义的陈述与符合性声明所遵从的PP 中的安全问题定义陈述是相符的; J 评估者应核查符合性声明的基本原理,证实安全目的陈述与符合性声明所遵从的PP中的安 全目的陈述是相符的; k) 评估者应核查符合性声明的基本原理,证实安全要求的陈述与符合性声明所遵从的PP中的 安全要求的陈述是相符的

a)评估者应核查安全目标的符合性声明,确认标识出ST和TOE声明符合性遵从的 GB/T18336的版本; b)评估者应核查安全目标的符合性声明,确认描述了ST和GB/T18336.2一2015的符合性,无 论是与GB/T18336.2一2015相符或是与GB/T18336.2一2015的扩展部分相符; C 评估者应核查安全目标的符合性声明,确认描述了ST和GB/T18336.3一2015的符合性,无 论是与GB/T18336.3一2015相符或是与GB/T18336.3一2015的扩展部分相符; d 评估者应核查GB/T18336.2一2015的符合性声明,确认功能扩展组件定义是相一致的; 评估者应核查GB/T18336.3一2015的符合性声明,确认保障扩展组件定义是相一致的; f 评估者应核查符合性声明应标识ST声明遵从的所有PP和安全要求包; g 评估者应核查符合性声明,对ST中每一个可标识,描述了符合性声明,无论是与包的相符或 是与扩展包相符; h) 评估者应核查符合性声明的基本原理,证实TOE类型与符合性声明所遵从的PP中的TOE 类型是相符的; i) 评估者应核查符合性声明的基本原理,证实安全问题定义的陈述与符合性声明所遵从的PF 中的安全问题定义陈述是相符的; 1 评估者应核查符合性声明的基本原理,证实安全目的陈述与符合性声明所遵从的PP中的安 全目的陈述是相符的; k) 评估者应核查符合性声明的基本原理,证实安全要求的陈述与符合性声明所遵从的PP中的 安全要求的陈述是相符的。

5.2.4.2扩展组件定义(ASEECD.1))

对扩展组件定义的评估需要确定这些组件是明确的、没有歧义的并且是必要的。该组件安全评估 内容如下: a)评估者应核查安全目标中所有不是标识为扩展安全要求的安全要求来自于GB/T18336.2 2015或GB/T 18336.3—2015; b)评估者应核查安全目标中扩展组件定义,确定每一个扩展的安全要求都定义一个扩展的组件: 评估者需要核查扩展组件定义,确定每个扩展的组件使用了GB/T18336一2015提供的组件、 族和类定义格式,及与GB/T18336一2015已有的组件、族和类关联性; 评估者应核查扩展组件定义,确定每个扩展组件定义标识了这个组件所有可能的依赖关系; e) 评估者应核查扩展组件定义,确定功能扩展组件的描述使用了GB/T18336.2一2015组件作 为其陈述的模型; 评估者应核查扩展组件定义,确定功能扩展组件族的描述使用了GB/T18336.2一2015族作 为其陈述的模型; 评估者应核查扩展组件定义,确定扩展组件类的描述使用了GB/T18336.2一2015类作为其 陈述的模型; h) 评估者应核查扩展组件定义,确定保障扩展组件的描述使用了GB/T18336.3一2015组件作 为其陈述的模型; i 评估者应核查扩展组件定义,确定提供了每个保障扩展组件的评估方法; 评估者应核查扩展组件定义,确定保障扩展组件族的描述使用了已有的保障族作为其陈述的 模型; k 评估者应核查扩展组件定义,确定保障扩展组件类的描述使用了已有的保障类作为其陈述的 模型; 评估者应核查扩展组件定义,确保扩展组件是由可测量的和客观的元素组成.以便于证实这些

对扩展组件定义的评估需要确定这些组件是明确的、没有歧义的并且是必要的。该组件安全评估 容如下: a)评估者应核查安全目标中所有不是标识为扩展安全要求的安全要求来自于GB/T18336.2 2015或GB/T 18336.3—2015; b)评估者应核查安全目标中扩展组件定义,确定每一个扩展的安全要求都定义一个扩展的组件: 评估者需要核查扩展组件定义,确定每个扩展的组件使用了GB/T18336一2015提供的组件、 族和类定义格式,及与GB/T18336一2015已有的组件、族和类关联性; 评估者应核查扩展组件定义,确定每个扩展组件定义标识了这个组件所有可能的依赖关系; e) 评估者应核查扩展组件定义,确定功能扩展组件的描述使用了GB/T18336.2一2015组件作 为其陈述的模型; 评估者应核查扩展组件定义,确定功能扩展组件族的描述使用了GB/T18336.2一2015族作 为其陈述的模型; 8) 评估者应核查扩展组件定义,确定扩展组件类的描述使用了GB/T18336.2一2015类作为其 陈述的模型; h) 评估者应核查扩展组件定义,确定保障扩展组件的描述使用了GB/T18336.3一2015组件作 为其陈述的模型; i 评估者应核查扩展组件定义,确定提供了每个保障扩展组件的评估方法; 评估者应核查扩展组件定义,确定保障扩展组件族的描述使用了已有的保障族作为其陈述的 模型; k 评估者应核查扩展组件定义,确定保障扩展组件类的描述使用了已有的保障类作为其陈述的 模型; 评估者应核查扩展组件定义,确保扩展组件是由可测量的和客观的元素组成,以便于证实这些

5.2.4.3 ST 引言(ASE INT.1)

5.2.4.4安全且的(ASEOBJ.2)

GB/T200092019

g)评估者应核查安全要求的陈述,确认所有选择操作都应被正确地执行; h 评估者应核查安全要求的陈述,确认所有细化操作都应被正确地执行; 评估者应核查安全要求的陈述,确认安全要求间的依赖关系应满足,或者安全要求基本原理应 证明不需要满足某个依赖关系; J 评估者应核查安全要求的基本原理,确认每一个安全功能要求可追溯至对应的TOE安全 目的; k)评估者应核查安全要求的基本原理,证明安全功能要求可满足所有的TOE安全目的; 1 评估者应核查安全要求的基本原理,确认有安全保障要求的选择理由

g)评估者应核查安全要求的陈述,确认所有选择操作都应被正确地执行; h)评估者应核查安全要求的陈述,确认所有细化操作都应被正确地执行; 评估者应核查安全要求的陈述,确认安全要求间的依赖关系应满足,或者安全要求基本原理应 证明不需要满足某个依赖关系; J 评估者应核查安全要求的基本原理,确认每一个安全功能要求可追测至对应的TOE安全 目的; k)评估者应核查安全要求的基本原理,证明安全功能要求可满足所有的TOE安全目的; 1 评估者应核查安全要求的基本原理,确认有安全保障要求的选择理由

安全问题定义评估是确定ST中TOE安全问题的陈述是否为有关TOE及其预期应用环境的安全 问题提供了一个清晰、一致的定义。该组件安全评估内容如下: a)评估者应核查安全问题定义描述了威胁; b)评估者应核查安全问题定义,确认对所有的威胁都根据威胁主体、资产和敌对行为进行了 描述; c)评估者应核查安全问题定义描述了组织安全策略; d)评估者应核查安全问题定义描述了TOE运行环境的相关假设

TOE概要规范评估是确定TOE概要规范是否为安全功能和安全保障措施提供了清晰的、一致的 高层定义,且满足指定的TOE安全要求。该组件安全评估内容如下: a)评估者应核查TOE概要规范,是否描述了TOE是如何满足每一项安全功能要求的; b)评估者应核查TOE概要规范,确认TOE概要规范与TOE概述、TOE描述是一致的

5.2.5测试(ATE类)

5.2.5.1覆盖证据(ATE COV.1)

覆盖证据组件评估目的是确定开发人员是否已经测试了所有的TSFI(评估对象安全功能接口 开发人员的测试覆盖凭证可以证明测试文档定义的测试与功能规范描述的TSFI相对应。覆盖 件评估目的依据是开发者提供的测试覆盖的分析。覆盖证据组件评估内容包括:评估者应检查测 盖分析,以确定测试文档中的测试项与功能规范中的接口准确对应

覆盖分析组件评估目的是确定开发人员是否已经测试了所有的TSFI(评估对象安全功能接口),并 且开发人员的测试覆盖凭证可以证明测试文档定义的测试与功能规范描述的TSFI相对应。覆盖分析 组件评估目的依据是开发者提供的测试覆盖的分析。该组件安全评估内容如下: a)评估者应检查测试覆盖分析,以确定测试文档中的测试项与功能规范中的接口准确对应; b 评估者应检查测试计划,以确定对于每一个接口的测试方法与该接口期望的行为相对应; C 评估者应检查测试程序,以确定测试条件、测试步骤和与其测试结果可以充分测试每一个 接口; 评估者应检查测试覆盖分析,以确定功能规范中的接口与测试文档中的测试项的对应性是完 备的。

5.2.5.3测试:基本设计(ATEDPT.1)

测试:基本设计安全评估目的是确定开发人员是否已经对照TOE设计和安全结构描述,测试了所 有的TSF子系统和模块。安全评估活动的证据包括:安全目标、功能规范、TOE设计、安全架构描述、 测试文档和测试深度分析。该组件安全评估内容如下: a)评估者应检查测试深度分析,以确定测试文档中包括TSF子系统行为及其交互行为的描述; b)评估者应检查测试计划、测试条件、测试步骤和期望结果以确定对于行为描述的测试方法与 TOE设计中描述的子系统行为相对应; c)评估者应检查测试计划、测试条件、测试步骤和期望结果以确定对于行为描述的测试方法与 TOE设计中描述的子系统交互行为相对应: d)评估者应检查测试程序,证实TOE设计中的所有TSF子系统都已经进行过测试

5.2.5.4测试:安全执行模块(ATEDPT.2)

测试:安全执行模块组件确定开发人员是否已经对照TOE设计和安全结构描述,测试了所有的 TSF子系统和模块。安全评估活动的证据包括:安全目标、功能规范、TOE设计、安全架构描述、测试 文档和测试深度分析。该组件安全评估内容如下: a)评估者应检查测试深度分析,以确定测试文档中包括TSF子系统行为及其交互行为的描述; b)评估者应检查测试计划、测试条件、测试步骤和期望结果以确定对于行为描述的测试方法与 TOE设计中描述的子系统行为相对应; 评估者应检查测试计划、测试条件、测试步骤和期望结果以确定对于行为描述的测试方法与 TOE设计中描述的子系统交互行为相对应; d 评估者应检查测试深度分析以确定测试文档中包括TSF模块接口; e) 评估者应检查测试计划、测试条件、测试步骤和期望结果以确定对于每一个TSF模块接口的 测试方法与该接口期望的行为相对应; f 评估者应检查测试程序以确定TSF子系统行为及交互行为的所有描述都被测试; g)评估者应检查测试程序以确定所有TSF模块的所有安全功能都被测试,

5.2.5.5功能测试(ATEFUN.1

功能测试是确定开发人员是否在测试文档中正确描述了测试项。安全评估活动的证据包括:安全 目标、功能规范和测试文档。该组件安全评估内容如下: a 评估者应检查测试文档是否包括测试计划、预期测试结果和实际测试结果; b) 评估者应检查测试计划以确定它描述了每个测试执行的场景; 评估者应检查测试计划,以确定TOE测试配置是否与在ST中列出的评估配置一致; d 评估者应检查测试计划以确定对于任何顺序的依赖性测试计划提供足够的规程; e) 评估者应检查测试文档以确定其包括所有期望的测试结果: 评估者应检查测试文档中的实际测试结果与预期测试结果相一致; 评估者应报告评估者的测试 作,概要性的阐述测试方法、配置、深度和结果

5.2.5.6独立测试一抽样(ATEIND.2)

独立测试一抽样组件通过对TSF的一个子集进行独立测试,确定TOE是否按规定运转,并通过 发者测试的一个例子,以获得对开发者测试结果的信任。安全评估活动的证据包括:安全目标, 明书、TOE设计、用户指南、管理员指南、配置管理文档、测试文档和适合测试的TOE。该组件 平估内容如下:

GB/T200092019

评估者应检查TOE,以确定测试配置与ST规定的评估配置是一致的。 评估者应检查TOE,以确定它已被正确安装并处于某个已知状态。 评估者应检查开发者提供的资源集,以确认它们与开发者做TSF功能测试时使用的资源集 等同。 评估者应根据开发者测试计划和程序设计一个测试子集。 评估者应核查所有的实际测试结果,是否与预期测试结果一致。 评估者选择一个适合于TOE的测试子集和测试策略。 评估者应为测试子集编制测试文档,以便有足够的细节使得测试是可再现的 评估者使用所开发的测试文档作为对TOE进行测试的基础,对TOE实施测试 评估者应记录包含在测试子集中的如下测试信息: 1) 待测试的安全功能行为的标识; 2) 连接和设置执行测试所需要的所有测试设备的规程; 3 建立测试所需的先决条件的规程; 激发安全功能的规程; 观察安全功能行为的规程; 6) 所有预期结果的描述,以及对观察到的行为进行的必要分析,该分析是为了与预期结果进 行比较; 7) 结束测试和为TOE建立必要的测试后状态的规程; 8 实际测试结果。 评估者应核查所有的实际测试结果,是否与预期测试结果一致。 评估者应在ETR中报告评估者的测试工作,概要性的阐述测试方法、配置、深度和结果

5.2.6脆弱性评定(AVA类)

脆弱性分析(AVAVAN

脆弱性分析组件确保数据库管理系统在其运行环境下是否存在会被具有中等攻击潜力的攻击者利 用的脆弱性。安全评估活动的证据包括:安全目标、功能说明书、TOE设计、安全架构描述、TOE实现 表示、指导文档、适合测试的TOE、支持潜在脆弱性识别的公开信息、基本设计测试的结果和当前关于 公共域潜在脆弱性和攻击的信息。该组件安全评估内容如下: a)评估者应检查TOE以确定测试配置和ST所说明的测试配置一致。 b)评估者应检查TOE以确定它被正确安装并且处于一个已知状态。 评估者应检查公共可资源,以识别TOE中可能的潜在漏洞 d 评估者应对ST、指导文档、功能说明、TOE设计、安全结构描述和实现表示进行系统的分析以 识别TOE中可能的潜在漏洞。 e) 评估者应在ETR中记录待测试的并且可应用于TOE运行环境的识别出的潜在漏洞。 f 评估者应在独立搜索潜在脆弱性的基础上,进行穿透性测试。 评估者应为基于潜在脆弱性列表的穿透性测试撰写足够详细的穿透性测试文档,以提供测试 的可重复性;测试文档包括: 1 用于测试的TOE安全漏洞标识: 2) 驱动穿透性测试需要的所有测试装置的连接和设置指令; 3) 建立所有穿透性测试准备条件的指令; 4) 仿真TSF的指令; 5)观察 TSF行为的指令

6)所有预期结果的描述和针对期望结果对观察行为进行比较分析指令; 7)总结TOE测试和测试后对TOE后期状态维护指令。 h)评估者应对TOE进行穿透性测试。 评估者应记录穿透性测试的真实结果。 评估者应在ETR中报告评估者对穿透性测试的努力,主要包括测试方法、测试配置、测试深度 和测试结果。 k)评估者应检查所有穿透性测试的结果以确定TOE在它的运行环境下能抵御具有基本攻击潜 力的攻击者的攻击, 1 评估者应在ETR中报告所有可利用的脆弱性和剩余脆弱性,详细包括: 1)它的来源(例如,在CEM评估活动中发现的、评估人员知道的或在公共资源中阅读到 的); 2) 安全功能要求没有满足; 3) 具体描述; 4) 在运行环境中是否可以利用(即可利用还是残留); 5 时间长短、专业化水平和TOE知识水平,以及对标识漏洞进行攻击需要的攻击及可能性 等,包括相应的利用价值

GB/T200092019

基本攻击潜力的攻击者的攻击。 评估者应在ETR中报告所有可利用的脆弱性和剩余脆弱性GB/Z 41983-2022 液压螺纹插装阀 安装连接尺寸.pdf,详细内容包括: 1)它的来源(例如,在CEM评估活动中发现的、评估人员知道的或在公共资源中阅读到 的); 2) 安全功能要求没有满足; 3)具体描述; 4) 在运行环境中是否可以利用(即可利用还是残留); 5) 时间长短、专业化水平和TOE知识水平,以及对标识漏洞进行攻击需要的攻击及可能性 等,包括相应的利用价值

依照GB/T30270一2013,评估者对安全目标进行评估后,对GB/T20273一2019规定的安全要求 给予裁决。依据GB/T30270一2013,给予裁决的最小结构是GB/T20273一2019规定的安全功能组件 和安全保障组件的评估者行为元素。作为执行相应评估方法行为及其组成工作单元的结果, GB/T20273一2019的每一个要求均被赋予一个裁决。如安全目标未声明GB/T20273一2019符合性 要求,则安全评估人员对未包含在本标准中的安全组件,按照GB/T30270一2013独立选择相应的组件 进行评估。

依照GB/T20273一2019,评估人员依据GB/T30270一2013对表2所示的各级别保障要求进行 评估,

GB/T 20009—2019

DB21/T 3164-2019 辽宁省绿色建筑施工图设计审查规程表2不同评估保障级安全保障评估内容

GB/T 20009—2019

©版权声明
相关文章