《移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范》（2017RB013）-征求意見(jiàn)稿

《《移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范》（2017RB013）-征求意見(jiàn)稿》由會(huì)員分享，可在線閱讀，更多相關(guān)《《移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范》（2017RB013）-征求意見(jiàn)稿（23頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

ICS 點(diǎn)擊此處添加中國(guó)標(biāo)準(zhǔn)文獻(xiàn)分類號(hào) RB 中華人民共和國(guó)認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn) RB/T XXXXX—XXXX 移動(dòng)終端雙系統(tǒng)安全評(píng)價(jià)規(guī)范 Security evaluation specifications for Dual-System of mobile terminal 點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí) （本稿完成日期：2018.12.28） - XX - XX發(fā)布 XXXX - XX - XX實(shí)施 中華人民共和國(guó)國(guó)家市場(chǎng)監(jiān)督管理總局 國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)發(fā)布 RB/T XXXXX—XXXX 目次 前言 2 1　范圍 3 2　規(guī)范性引用文件 3 3　術(shù)語(yǔ)、定義和縮略語(yǔ) 3 3.1　術(shù)語(yǔ)和定義 3 3.2　縮略語(yǔ) 3 4　評(píng)價(jià)過(guò)程 4 4.1　總體說(shuō)明 4 4.2　評(píng)價(jià)的主要環(huán)節(jié) 4 4.3　結(jié)果判定 5 5　評(píng)價(jià)要求 5 5.1　總體說(shuō)明 5 5.2　功能要求 5 5.3　安全要求 5 5.4　安全保障要求 7 6　評(píng)價(jià)方法 10 6.1　總體說(shuō)明 10 6.2　功能檢測(cè) 10 6.3　安全檢測(cè) 13 6.4　安全保障要求評(píng)估 16 前言 本規(guī)范按照GB/T　1.1-2009的規(guī)則起草。 本規(guī)范由國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)提出并歸口。 本規(guī)范起草單位： 本規(guī)范主要起草人： 移動(dòng)終端雙系統(tǒng)安全評(píng)價(jià)規(guī)范 1　 范圍 本規(guī)范規(guī)定了移動(dòng)終端雙系統(tǒng)的安全評(píng)價(jià)要求及評(píng)價(jià)方法。 本規(guī)范適用于第三方認(rèn)證機(jī)構(gòu)和檢測(cè)機(jī)構(gòu)對(duì)移動(dòng)終端雙系統(tǒng)的評(píng)價(jià)，移動(dòng)終端雙系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)也可參照。 2　 規(guī)范性引用文件 下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 GB/T 18336-2015 《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則》 GB/T 25069 信息安全技術(shù) 術(shù)語(yǔ) 3　 術(shù)語(yǔ)、定義和縮略語(yǔ) 3.1　 術(shù)語(yǔ)和定義 GB/T 18336-2015確立的以及下列術(shù)語(yǔ)和定義適用于本規(guī)范。 3.1.1　 移動(dòng)智能終端（smart mobile terminal） 通過(guò)蜂窩移動(dòng)網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)向用戶提供語(yǔ)音、消息、電子郵件、Web瀏覽等服務(wù)，集成顯示器、照相機(jī)、攝像機(jī)、音樂(lè)播放器、視頻播放器、定位導(dǎo)航等功能的個(gè)人手持通信設(shè)備，可以下載安裝應(yīng)用軟件，是具備移動(dòng)通信功能的終端設(shè)備。 3.1.2　 移動(dòng)終端雙系統(tǒng)（dual-system of mobile terminal） 同時(shí)運(yùn)行在移動(dòng)智能終端的兩個(gè)并行的操作系統(tǒng)，系統(tǒng)間相互兼容，分別維護(hù)獨(dú)立的系統(tǒng)分區(qū)和硬件資源的訪問(wèn)。 3.1.3　 工作系統(tǒng)（work system） 是指移動(dòng)智能終端雙系統(tǒng)中的其中一個(gè)系統(tǒng)，專門用于用戶辦公，在該系統(tǒng)中能夠應(yīng)用各種安全和數(shù)據(jù)隔離策略，保護(hù)該系統(tǒng)的安全及數(shù)據(jù)隔離。 3.1.4　 生活系統(tǒng)（life system） 是指移動(dòng)智能終端雙系統(tǒng)中的另一個(gè)系統(tǒng)，專門用于用戶個(gè)人使用，是通用的移動(dòng)智能終端系統(tǒng)。 3.2　 縮略語(yǔ) 以下縮略語(yǔ)適用于本文件 MDM Mobile Device Management 移動(dòng)終端管理控制產(chǎn)品 4　 評(píng)價(jià)過(guò)程 4.1　 總體說(shuō)明 認(rèn)證機(jī)構(gòu)在接收到認(rèn)證申請(qǐng)資料并審查合格后安排實(shí)驗(yàn)室進(jìn)行檢測(cè)。認(rèn)證機(jī)構(gòu)收到檢測(cè)報(bào)告并審查合格后，組織現(xiàn)場(chǎng)核查。認(rèn)證機(jī)構(gòu)對(duì)文檔審核、檢測(cè)、現(xiàn)場(chǎng)核查結(jié)果進(jìn)行綜合評(píng)價(jià)。評(píng)價(jià)的主要環(huán)節(jié) 4.2　 評(píng)價(jià)的主要環(huán)節(jié) 4.2.1　 文檔審核 認(rèn)證機(jī)構(gòu)對(duì)申請(qǐng)方提交的資料和文檔依據(jù)產(chǎn)品技術(shù)規(guī)范進(jìn)行審核。文檔審核的項(xiàng)目、要求及方法在本規(guī)范中條款號(hào)的對(duì)應(yīng)關(guān)系如下。 表1　 文檔審核 序號(hào) 項(xiàng)目 要求 方法 1 開(kāi)發(fā) 5.4.1 6.4.1 2 指導(dǎo)性文檔 5.4.2 6.4.2 3 生命周期支持 5.4.3 6.4.3 4 測(cè)試 5.4.4 6.4.4 其中開(kāi)發(fā)、生命周期等部分內(nèi)容需要在現(xiàn)場(chǎng)核查環(huán)節(jié)進(jìn)行驗(yàn)證。 4.2.2　 檢測(cè) 檢測(cè)實(shí)驗(yàn)室對(duì)申請(qǐng)方送樣的產(chǎn)品依據(jù)產(chǎn)品技術(shù)規(guī)范進(jìn)行檢測(cè)。檢測(cè)的項(xiàng)目、要求及方法在本規(guī)范中條款號(hào)的對(duì)應(yīng)關(guān)系如下。 表2　 檢測(cè) 序號(hào) 項(xiàng)目 要求 方法 1 功能要求 5.2 6.2 2 安全要求 5.3 6.3 4.2.3　 現(xiàn)場(chǎng)核查 認(rèn)證機(jī)構(gòu)指派檢查員對(duì)工廠的研發(fā)和生產(chǎn)環(huán)境進(jìn)行檢查，檢查內(nèi)容包括信息安全保證能力、工廠質(zhì)量保證能力和產(chǎn)品一致性進(jìn)行檢查?，F(xiàn)場(chǎng)核查的項(xiàng)目、要求及方法在本規(guī)范中條款號(hào)的對(duì)應(yīng)關(guān)系如下。 表3　 現(xiàn)場(chǎng)核查 序號(hào) 項(xiàng)目 要求 方法 1 信息安全保證能力 開(kāi)發(fā) 5.4.1 6.4.1 2 生命周期支持 5.4.3 6.4.3 3 工廠質(zhì)量保證能力 職責(zé)和資源 5.5.1 現(xiàn)場(chǎng)驗(yàn)證 4 認(rèn)證產(chǎn)品一致性 5.5.2 5 認(rèn)證產(chǎn)品外購(gòu)部件或外包軟件模塊管理 5.5.3 6 產(chǎn)品一致性檢查 產(chǎn)品一致性 5.6 現(xiàn)場(chǎng)驗(yàn)證 4.3　 結(jié)果判定 文檔審核、檢測(cè)、現(xiàn)場(chǎng)核查的所有項(xiàng)目均通過(guò)，總體結(jié)果判定為通過(guò)。 5　 評(píng)價(jià)要求 5.1　 總體說(shuō)明 本規(guī)范包括對(duì)產(chǎn)品的功能要求、安全要求和保障要求。 本規(guī)范不對(duì)產(chǎn)品進(jìn)行安全等級(jí)劃分。 5.2　 功能要求 5.2.1　 雙系統(tǒng)對(duì)等使用 產(chǎn)品應(yīng)支持同時(shí)運(yùn)行兩個(gè)系統(tǒng)，并且支持通過(guò)指紋、UI按鈕等方式實(shí)現(xiàn)系統(tǒng)的切換。 5.2.2　 雙系統(tǒng)獨(dú)立運(yùn)行 產(chǎn)品應(yīng)支持雙系統(tǒng)獨(dú)立運(yùn)行，支持獨(dú)立設(shè)置解鎖方式，獨(dú)立恢復(fù)出廠設(shè)置，獨(dú)立添加/刪除應(yīng)用，獨(dú)立擁有自己的系統(tǒng)資源等。 5.2.3　 數(shù)據(jù)隔離 產(chǎn)品應(yīng)支持兩個(gè)系統(tǒng)間的數(shù)據(jù)隔離功能，如：多媒體數(shù)據(jù)、通話記錄、短信，文檔，其它應(yīng)用數(shù)據(jù)等。 5.2.4　 應(yīng)用隔離 產(chǎn)品應(yīng)支持兩個(gè)系統(tǒng)間應(yīng)用程序隔離功能，支持各自應(yīng)用的運(yùn)行，互不干擾。 5.2.5　 外設(shè)控制 產(chǎn)品應(yīng)支持工作系統(tǒng)根據(jù)安全策略實(shí)現(xiàn)對(duì)外設(shè)的使用控制。 5.2.6　 網(wǎng)絡(luò)接入 產(chǎn)品應(yīng)支持兩個(gè)系統(tǒng)分別接入網(wǎng)絡(luò)的功能，工作系統(tǒng)接入企業(yè)專網(wǎng)，生活系統(tǒng)接入公網(wǎng)，并且兩個(gè)系統(tǒng)不能通過(guò)更改APN實(shí)現(xiàn)公專網(wǎng)交叉訪問(wèn)。 5.2.7　 后臺(tái)消息通知 產(chǎn)品應(yīng)支持后臺(tái)系統(tǒng)發(fā)生的事件以通知的形式在前臺(tái)系統(tǒng)的通知欄顯示，但不顯示具體內(nèi)容的功能。 5.3　 安全要求 5.3.1　 標(biāo)識(shí)與鑒別 5.3.1.1　 用戶屬性定義 移動(dòng)終端雙系統(tǒng)應(yīng)維護(hù)每個(gè)用戶的安全屬性，屬性可包括：用戶標(biāo)識(shí)、授權(quán)信息或用戶組信息、其他安全屬性等。 5.3.1.2　 任何動(dòng)作前的用戶鑒別 移動(dòng)終端雙系統(tǒng)應(yīng)要求用戶在執(zhí)行與移動(dòng)終端雙系統(tǒng)安全相關(guān)的任何其他操作之前，都已被成功鑒別。 5.3.1.3　 受保護(hù)的鑒別反饋 鑒別進(jìn)行時(shí)，移動(dòng)終端雙系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋，不顯示字符本身。 5.3.1.4　 鑒別失敗處理 a) 移動(dòng)終端雙系統(tǒng)應(yīng)能檢測(cè)用戶的不成功的鑒別嘗試； b) 在達(dá)到或超過(guò)最大鑒別失敗嘗試次數(shù)閾值后，移動(dòng)終端雙系統(tǒng)應(yīng)采取措施阻止進(jìn)一步的鑒別嘗試，直至滿足已定義的條件才允許進(jìn)行重新鑒別； c) 應(yīng)僅由授權(quán)用戶設(shè)置未成功鑒別嘗試次數(shù)閾值。 5.3.2　 安全審計(jì) 5.3.2.1　 審計(jì)數(shù)據(jù)產(chǎn)生 a) 移動(dòng)終端雙系統(tǒng)如果支持以下事件，應(yīng)能為其產(chǎn)生審計(jì)記錄： 1) 移動(dòng)終端雙系統(tǒng)的啟動(dòng)和關(guān)閉； 2) 移動(dòng)終端雙系統(tǒng)應(yīng)用的啟動(dòng)和退出； 3) （如適用）對(duì)用戶鑒別的行為和鑒別失敗處理的行為； 4) 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 b) 移動(dòng)終端雙系統(tǒng)應(yīng)在每個(gè)審計(jì)記錄中至少記錄下列信息： 1) 事件發(fā)生的日期和時(shí)間； 2) 事件類型； 3) 事件主體身份標(biāo)識(shí)； 4) 事件描述及結(jié)果。 5.3.3　 安全管理 5.3.3.1　 安全功能行為管理 移動(dòng)終端雙系統(tǒng)應(yīng)僅限于授權(quán)用戶對(duì)下述功能具有修改的能力。 a) 修改用戶認(rèn)證方式； b) 其它安全功能行為的管理。 5.3.3.2　 安全屬性管理 移動(dòng)終端雙系統(tǒng)應(yīng)僅限于授權(quán)用戶對(duì)指定的安全屬性進(jìn)行修改操作。 5.3.3.3　 TSF數(shù)據(jù)的管理 移動(dòng)終端雙系統(tǒng)應(yīng)僅允許授權(quán)用戶執(zhí)行下列操作： a) 修改用戶超時(shí)時(shí)間； b) 其他系統(tǒng)參數(shù)配置操作。 5.3.4　 TSF保護(hù) 5.3.4.1　 TSF原發(fā)會(huì)話終止 移動(dòng)終端雙系統(tǒng)的安全功能應(yīng)在達(dá)到一定的用戶不活動(dòng)的時(shí)間間隔之后終止交互式會(huì)話。 5.3.4.2　 可靠的時(shí)間戳 移動(dòng)終端雙系統(tǒng)的安全功能應(yīng)能為自身的應(yīng)用提供可靠的時(shí)間戳。 5.4　 安全保障要求 5.4.1　 開(kāi)發(fā) 5.4.1.1　 安全架構(gòu)描述 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TOE，確保TSF的安全特性不可旁路； 2) 開(kāi)發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TSF，以防止不可信主體的破壞； 3) 開(kāi)發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。 b) 內(nèi)容和形式元素： 1) 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計(jì)文檔中對(duì)SFR-執(zhí)行的抽象描述的級(jí)別一致； 2) 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域； 3) 安全架構(gòu)的描述應(yīng)描述TSF初始化過(guò)程為何是安全的； 4) 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞； 5) 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR-執(zhí)行的功能被旁路。 5.4.1.2　 安全執(zhí)行功能規(guī)范 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供一個(gè)功能規(guī)范； 2) 開(kāi)發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。 b) 內(nèi)容和形式元素： 1) 功能規(guī)范應(yīng)完整地描述TSF； 2) 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法； 3) 功能規(guī)范應(yīng)識(shí)別和描述每個(gè)TSFI相關(guān)的所有參數(shù)； 4) 對(duì)于每個(gè)SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為； 5) 對(duì)于SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯(cuò)誤消息； 6) 功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。 5.4.1.3　 基礎(chǔ)設(shè)計(jì) a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供TOE的設(shè)計(jì)； 2) 開(kāi)發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射。 b) 內(nèi)容和形式元素： 1) 設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)； 2) 設(shè)計(jì)應(yīng)標(biāo)識(shí)TSF的所有子系統(tǒng)； 3) 設(shè)計(jì)應(yīng)對(duì)每一個(gè)SFR-支撐或SFR-無(wú)關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述，以確定它不是SFR-執(zhí)行； 4) 設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； 5) 設(shè)計(jì)應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； 6) 映射關(guān)系應(yīng)證實(shí)TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。 5.4.2　 指導(dǎo)性文檔 5.4.2.1　 操作用戶指南 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供操作用戶指南。 b) 內(nèi)容和形式元素： 1) 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，在安全處理環(huán)境中應(yīng)被控制的用戶可訪問(wèn)的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ? 2) 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，怎樣以安全的方式使用TOE提供的可用接口； 3) 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)應(yīng)指明安全值； 4) 操作用戶指南應(yīng)對(duì)每一種用戶角色明確說(shuō)明，與需要執(zhí)行的用戶可訪問(wèn)功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實(shí)體的安全特性； 5) 操作用戶指南應(yīng)標(biāo)識(shí)TOE運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤），它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系； 6) 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的所必須執(zhí)行的安全策略； 7) 操作用戶指南應(yīng)是明確和合理的。 5.4.2.2　 準(zhǔn)備程序 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供TOE，包括它的準(zhǔn)備程序。 b) 內(nèi)容和形式元素： 1) 準(zhǔn)備程序應(yīng)描述與開(kāi)發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； 2) 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境必需的所有步驟。 5.4.3　 生命周期支持 5.4.3.1　 CM系統(tǒng)的使用 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供TOE及其參照號(hào)； 2) 開(kāi)發(fā)者應(yīng)提供CM文檔； 3) 開(kāi)發(fā)者應(yīng)使用CM系統(tǒng)。 b) 內(nèi)容和形式元素： 1) 應(yīng)給TOE標(biāo)注唯一參照號(hào)； 2) CM文檔應(yīng)描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法； 3) CM系統(tǒng)應(yīng)唯一標(biāo)識(shí)所有配置項(xiàng)。 5.4.3.2　 部分TOE CM覆蓋 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供TOE配置項(xiàng)列表。 b) 內(nèi)容和形式元素： 1) 配置項(xiàng)列表應(yīng)包括：TOE本身、安全保障要求的評(píng)估證據(jù)和TOE的組成部分； 2) 配置項(xiàng)列表應(yīng)唯一標(biāo)識(shí)配置項(xiàng)； 3) 對(duì)于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡(jiǎn)要說(shuō)明該配置項(xiàng)的開(kāi)發(fā)者。 5.4.3.3　 交付程序 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)將把TOE或其部分交付給消費(fèi)者的程序文檔化； 2) 開(kāi)發(fā)者應(yīng)使用交付程序。 b) 內(nèi)容和形式元素： 1) 交付文檔應(yīng)描述，在向消費(fèi)者分發(fā)TOE版本時(shí)，用以維護(hù)安全性所必需的所有程序。 5.4.4　 測(cè)試 5.4.4.1　 覆蓋證據(jù) a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋的證據(jù)。 b) 內(nèi)容和形式元素： 1) 測(cè)試覆蓋的證據(jù)應(yīng)表明測(cè)試文檔中的測(cè)試與功能規(guī)范中的TSF接口之間的對(duì)應(yīng)性。 5.4.4.2　 功能測(cè)試 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)測(cè)試TSF，并文檔化測(cè)試結(jié)果； 2) 開(kāi)發(fā)者應(yīng)提供測(cè)試文檔。 b) 內(nèi)容和形式元素： 1) 測(cè)試文檔應(yīng)包括測(cè)試計(jì)劃、預(yù)期的測(cè)試結(jié)果和實(shí)際的測(cè)試結(jié)果； 2) 測(cè)試計(jì)劃應(yīng)標(biāo)識(shí)要執(zhí)行的測(cè)試并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案應(yīng)包括對(duì)于其他測(cè)試結(jié)果的任何順序依賴性； 3) 預(yù)期的測(cè)試結(jié)果應(yīng)指出測(cè)試成功執(zhí)行后的預(yù)期輸出； 4) 實(shí)際的測(cè)試結(jié)果應(yīng)與預(yù)期的測(cè)試結(jié)果一致。 5.4.4.3　 獨(dú)立測(cè)試-抽樣 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供用于測(cè)試的TOE。 b) 內(nèi)容和形式元素： 1) TOE應(yīng)適合測(cè)試； 2) 開(kāi)發(fā)者應(yīng)提供一組與開(kāi)發(fā)者TSF功能測(cè)試中同等的一系列資源。 5.4.5　 脆弱性評(píng)定 5.4.5.1　 脆弱性分析 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供用于測(cè)試的TOE。 b) 內(nèi)容和形式元素： 1) TOE應(yīng)適合測(cè)試。 6　 評(píng)價(jià)方法 6.1　 總體說(shuō)明 評(píng)價(jià)方法與評(píng)價(jià)要求一一對(duì)應(yīng)，它給出具體的方法來(lái)驗(yàn)證移動(dòng)終端雙系統(tǒng)是否滿足評(píng)價(jià)要求。評(píng)價(jià)過(guò)程分為檢測(cè)和評(píng)估，其中，檢測(cè)內(nèi)容為功能要求及安全要求，評(píng)估內(nèi)容為安全保障要求，評(píng)估的主要方式為文件審核和現(xiàn)場(chǎng)核查。 6.2　 功能檢測(cè) 6.2.1　 檢測(cè)環(huán)境與工具 a) 檢測(cè)環(huán)境圖 圖1　 功能檢測(cè)環(huán)境圖 6.2.2　 雙系統(tǒng)對(duì)等使用 a) 檢測(cè)要求 產(chǎn)品應(yīng)支持同時(shí)運(yùn)行兩個(gè)系統(tǒng)，并且支持通過(guò)指紋、UI按鈕等方式實(shí)現(xiàn)系統(tǒng)的切換。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明文檔，分析產(chǎn)品有關(guān)雙系統(tǒng)對(duì)等使用的場(chǎng)景； 2) 驗(yàn)證是否能夠啟動(dòng)兩個(gè)系統(tǒng)，并且驗(yàn)證是否能夠通過(guò)指紋、UI按鈕等方式實(shí)現(xiàn)兩個(gè)系統(tǒng)的切換。 c) 結(jié)果判定 1) 產(chǎn)品支持啟動(dòng)兩個(gè)系統(tǒng)，并且能夠通過(guò)指紋、UI按鈕等方式實(shí)現(xiàn)兩個(gè)系統(tǒng)的切換。 1）項(xiàng)滿足的為“符合”；其他情況為“不符合”。 6.2.3　 雙系統(tǒng)獨(dú)立運(yùn)行 a) 檢測(cè)要求 產(chǎn)品應(yīng)支持雙系統(tǒng)獨(dú)立運(yùn)行，支持獨(dú)立設(shè)置解鎖方式，獨(dú)立恢復(fù)出廠設(shè)置，獨(dú)立添加/刪除應(yīng)用，獨(dú)立擁有自己的系統(tǒng)資源等。 b) 檢測(cè)方法 1) 檢查兩個(gè)系統(tǒng)是否獨(dú)立運(yùn)行，并擁有各自的系統(tǒng)資源，如內(nèi)存、存儲(chǔ)空間等； 2) 分別為兩個(gè)系統(tǒng)設(shè)置解鎖方式，檢查解鎖設(shè)置是否生效； 3) 審查產(chǎn)品有關(guān)恢復(fù)出廠設(shè)置有關(guān)說(shuō)明，驗(yàn)證是否能夠獨(dú)立對(duì)兩個(gè)系統(tǒng)執(zhí)行恢復(fù)出廠設(shè)置操作； 4) 分別為兩個(gè)系統(tǒng)安裝應(yīng)用，檢查應(yīng)用是否各自獨(dú)立運(yùn)行，互不影響； 5) 分別刪除兩個(gè)系統(tǒng)中的應(yīng)用，檢查是否不影響對(duì)方系統(tǒng)應(yīng)用的正常運(yùn)行。 c) 結(jié)果判定 1) 兩個(gè)系統(tǒng)獨(dú)立運(yùn)行互不影響，擁有各自的系統(tǒng)資源，如內(nèi)存、存儲(chǔ)空間等； 2) 能夠?yàn)閮蓚€(gè)系統(tǒng)分別設(shè)置解鎖方式； 3) 能夠?qū)蓚€(gè)系統(tǒng)分別執(zhí)行恢復(fù)出廠設(shè)置操作； 4) 能夠?yàn)閮蓚€(gè)系統(tǒng)分別安裝應(yīng)用、刪除應(yīng)用，不影響對(duì)方系統(tǒng)應(yīng)用的運(yùn)行。 1）-4）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.2.4　 數(shù)據(jù)隔離 a) 檢測(cè)要求 產(chǎn)品應(yīng)支持兩個(gè)系統(tǒng)間的數(shù)據(jù)隔離功能，如：多媒體數(shù)據(jù)，文檔，其它應(yīng)用數(shù)據(jù)等。 b) 檢測(cè)方法 1) 在工作系統(tǒng)中執(zhí)行新建文檔、錄制視頻、保存通訊錄等操作，檢查操作是否成功，切換到生活系統(tǒng)，檢查是否看不到工作系統(tǒng)中相關(guān)內(nèi)容； 2) 在生活系統(tǒng)中執(zhí)行新建文檔、錄制視頻、保存通訊錄等操作，檢查操作是否成功，切換到工作系統(tǒng)，檢查是否看不到生活系統(tǒng)中相關(guān)內(nèi)容。 c) 結(jié)果判定 1) 工作系統(tǒng)和生活系統(tǒng)間數(shù)據(jù)互相隔離，當(dāng)前系統(tǒng)中看不到對(duì)方系統(tǒng)中的數(shù)據(jù)。 1）項(xiàng)滿足判定為符合，其他情況判定為不符合。 6.2.5　 應(yīng)用隔離 a) 檢測(cè)要求 產(chǎn)品應(yīng)支持兩個(gè)系統(tǒng)間應(yīng)用程序隔離功能，支持各自應(yīng)用的運(yùn)行，互不干擾。 b) 檢測(cè)方法 1) 在兩個(gè)系統(tǒng)中分別安裝、卸載不同的應(yīng)用，檢查兩個(gè)系統(tǒng)中的應(yīng)用是否互不影響； 2) 在兩個(gè)系統(tǒng)中分別運(yùn)行相同的應(yīng)用，檢查是否能夠使用不同賬戶分別進(jìn)行登錄，并且運(yùn)行產(chǎn)生的數(shù)據(jù)不會(huì)在對(duì)方系統(tǒng)中保存。 c) 結(jié)果判定 1) 支持兩個(gè)系統(tǒng)間應(yīng)用程序隔離功能，應(yīng)用各自運(yùn)行互不影響。 1）項(xiàng)滿足的為“符合”；其他情況為“不符合”。 6.2.6　 外設(shè)控制 a) 檢測(cè)要求 產(chǎn)品應(yīng)支持兩個(gè)系統(tǒng)根據(jù)各自的策略實(shí)現(xiàn)對(duì)外設(shè)的使用控制。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明文檔，分析產(chǎn)品對(duì)外設(shè)的使用進(jìn)行控制的相關(guān)功能，如攝像頭、USB接口等； 2) 驗(yàn)證對(duì)外設(shè)的使用是否符合系統(tǒng)各自的策略； 3) 分別修改系統(tǒng)策略后，驗(yàn)證對(duì)外設(shè)的使用是否符合修改后的策略。 c) 結(jié)果判定 1) 產(chǎn)品支持兩個(gè)系統(tǒng)根據(jù)各自的策略對(duì)外設(shè)的使用進(jìn)行控制，如攝像頭、USB接口等。 1）項(xiàng)滿足的為“符合”；其他情況為“不符合”。 6.2.7　 電話短信 a) 檢測(cè)要求 產(chǎn)品應(yīng)支持撥打/接聽(tīng)電話記錄和發(fā)送/接收短信內(nèi)容僅存儲(chǔ)在當(dāng)前系統(tǒng)中。 b) 檢測(cè)方法 1) 在當(dāng)前系統(tǒng)中撥打/接聽(tīng)電話，檢查撥打/接聽(tīng)電話記錄是否僅存儲(chǔ)在當(dāng)前系統(tǒng)中； 2) 在當(dāng)前系統(tǒng)中發(fā)送/接收短信，檢查發(fā)送/接收短信內(nèi)容是否僅存儲(chǔ)在當(dāng)前系統(tǒng)中。 c) 結(jié)果判定 1) 撥打/接聽(tīng)電話記錄和發(fā)送/接收短信內(nèi)容僅存儲(chǔ)在當(dāng)前系統(tǒng)中。 1）項(xiàng)滿足的為“符合”；其他情況為“不符合”。 6.2.8　 網(wǎng)絡(luò)接入 a) 檢測(cè)要求 產(chǎn)品應(yīng)支持兩個(gè)系統(tǒng)分別接入網(wǎng)絡(luò)的功能，工作系統(tǒng)接入企業(yè)專網(wǎng)，生活系統(tǒng)接入公網(wǎng)，并且兩個(gè)系統(tǒng)不能通過(guò)更改APN實(shí)現(xiàn)公專網(wǎng)交叉訪問(wèn)。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明文檔，分析產(chǎn)品是否支持兩個(gè)系統(tǒng)分別接入網(wǎng)絡(luò)； 2) 驗(yàn)證產(chǎn)品是否支持兩個(gè)系統(tǒng)分別接入網(wǎng)絡(luò)，并驗(yàn)證接入是否有效； 3) 檢查兩個(gè)系統(tǒng)是否不能通過(guò)更改APN實(shí)現(xiàn)兩個(gè)系統(tǒng)的交叉訪問(wèn)。 c) 結(jié)果判定 1) 產(chǎn)品支持兩個(gè)系統(tǒng)分別接入網(wǎng)絡(luò)； 2) 不能通過(guò)更改APN實(shí)現(xiàn)兩個(gè)系統(tǒng)網(wǎng)絡(luò)的交叉訪問(wèn)。 1）-2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.2.9　 后臺(tái)消息通知 a) 檢測(cè)要求 產(chǎn)品應(yīng)支持后臺(tái)系統(tǒng)發(fā)生的事件以通知的形式在前臺(tái)系統(tǒng)的通知欄顯示，但不顯示具體內(nèi)容的功能。 b) 檢測(cè)方法 1) 向后臺(tái)系統(tǒng)中發(fā)送消息，使后臺(tái)系統(tǒng)產(chǎn)生相應(yīng)的事件，檢查該事件是否能夠在前臺(tái)系統(tǒng)通知欄進(jìn)行顯示，并檢查是否不顯示事件的具體內(nèi)容。 c) 結(jié)果判定 1) 后臺(tái)系統(tǒng)產(chǎn)生的事件能夠在前臺(tái)系統(tǒng)的通知欄中進(jìn)行顯示，但不顯示事件的具體內(nèi)容。 1）項(xiàng)滿足的為“符合”；其他情況為“不符合”。 6.3　 安全檢測(cè) 6.3.1　 檢測(cè)環(huán)境與工具 a) 檢測(cè)環(huán)境圖（同圖一） 6.3.2　 標(biāo)識(shí)與鑒別 6.3.2.1　 用戶屬性定義 a) 檢測(cè)要求 移動(dòng)終端雙系統(tǒng)應(yīng)維護(hù)每個(gè)用戶的安全屬性，屬性可包括：用戶標(biāo)識(shí)、授權(quán)信息或用戶組信息、其他安全屬性等。 b) 檢測(cè)方法 驗(yàn)證產(chǎn)品是否能夠?qū)τ脩舻陌踩珜傩赃M(jìn)行維護(hù)。 c) 結(jié)果判定 1) 產(chǎn)品能夠維護(hù)用戶的安全屬性。 1）項(xiàng)滿足為“符合”；其余情況為“不符合”。 6.3.2.2　 任何動(dòng)作前的用戶鑒別 a) 檢測(cè)要求 移動(dòng)終端雙系統(tǒng)應(yīng)要求用戶在執(zhí)行與移動(dòng)終端雙系統(tǒng)安全相關(guān)的任何操作之前，都已被成功鑒別。 b) 檢測(cè)方法 1) 查看用戶在未被成功鑒別前，是否被拒絕執(zhí)行任何安全相關(guān)的操作； 2) 查看產(chǎn)品是否拒絕錯(cuò)誤的鑒別信息的用戶登錄； 3) 以正確的鑒別信息登錄并進(jìn)行安全相關(guān)操作，驗(yàn)證產(chǎn)品是否允許登錄，是否允許進(jìn)行安全相關(guān)操作。 c) 結(jié)果判定 1) 用戶被成功鑒別前，不能執(zhí)行任何與安全相關(guān)的操作； 2) 輸入錯(cuò)誤鑒別信息，產(chǎn)品不允許登錄； 3) 輸入正確的鑒別信息，能夠成功登錄，并能夠執(zhí)行安全相關(guān)操作。 1）-3）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.3.2.3　 受保護(hù)的鑒別反饋 a) 檢測(cè)要求 鑒別進(jìn)行時(shí)，移動(dòng)終端雙系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋，不顯示字符本身。 b) 檢測(cè)方法 執(zhí)行用戶身份鑒別操作，輸入用戶鑒別數(shù)據(jù)，檢查移動(dòng)終端雙系統(tǒng)給出的反饋信息是否不顯示字符本身。 c) 結(jié)果判定 1) 移動(dòng)終端雙系統(tǒng)產(chǎn)品給出的反饋信息不顯示字符本身。 1）項(xiàng)滿足為“符合”；其余情況為“不符合”。 6.3.2.4　 鑒別失敗處理 a) 檢測(cè)要求 1) 移動(dòng)終端雙系統(tǒng)應(yīng)能檢測(cè)用戶的不成功的鑒別嘗試； 2) 在達(dá)到或超過(guò)最大鑒別失敗嘗試次數(shù)閾值后，移動(dòng)終端雙系統(tǒng)應(yīng)采取措施阻止進(jìn)一步的鑒別嘗試，直至滿足已定義的條件才允許進(jìn)行重新鑒別； 3) 應(yīng)僅由授權(quán)用戶設(shè)置未成功鑒別嘗試次數(shù)閾值。 b) 檢測(cè)方法 1) 以錯(cuò)誤的鑒別信息嘗試登錄移動(dòng)終端雙系統(tǒng)，檢查是否被拒絕登錄系統(tǒng)； 2) 繼續(xù)進(jìn)行一定次數(shù)的登錄嘗試，驗(yàn)證在達(dá)到或超過(guò)允許的鑒別失敗嘗試次數(shù)后，系統(tǒng)是否自動(dòng)鎖定； 3) 驗(yàn)證在授權(quán)用戶解除或達(dá)到解鎖條件后，用戶是否可以重新進(jìn)行鑒別操作； 4) 檢查未成功鑒別嘗試次數(shù)閾值是否僅由授權(quán)用戶設(shè)置。 c) 結(jié)果判定 1) 輸入錯(cuò)誤的鑒別信息，用戶無(wú)法進(jìn)入移動(dòng)終端雙系統(tǒng)系統(tǒng)； 2) 在連續(xù)鑒別失敗嘗試次數(shù)達(dá)到或超過(guò)允許的鑒別失敗嘗試次數(shù)后，系統(tǒng)自動(dòng)鎖定； 3) 在授權(quán)用戶解除或達(dá)到解鎖條件后，用戶可以重新進(jìn)行鑒別操作； 4) 未成功鑒別嘗試次數(shù)閾值僅由授權(quán)用戶設(shè)置。 1）-4）項(xiàng)均滿足的為“符合”；其他情況為“不符合” 6.3.3　 安全審計(jì) 6.3.3.1　 審計(jì)數(shù)據(jù)產(chǎn)生 a) 檢測(cè)要求 1) 移動(dòng)終端雙系統(tǒng)應(yīng)能為如下支持的事件產(chǎn)生審計(jì)記錄： ¨ 移動(dòng)終端雙系統(tǒng)的啟動(dòng)和關(guān)閉； ¨ 移動(dòng)終端雙系統(tǒng)應(yīng)用的啟動(dòng)和退出； ¨ （如適用）對(duì)用戶鑒別的行為和鑒別失敗處理的行為； ¨ 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 2) 移動(dòng)終端雙系統(tǒng)應(yīng)在每個(gè)審計(jì)記錄中至少記錄下列信息：事件發(fā)生的日期和時(shí)間、事件類型、事件主體身份標(biāo)識(shí)、事件描述及結(jié)果。 b) 檢測(cè)方法 1) 分別執(zhí)行如下操作，查看審計(jì)記錄，驗(yàn)證系統(tǒng)是否對(duì)如下操作產(chǎn)生了審計(jì)記錄： ¨ 移動(dòng)終端雙系統(tǒng)的啟動(dòng)和關(guān)閉； ¨ 移動(dòng)終端雙系統(tǒng)應(yīng)用的啟動(dòng)和退出； ¨ （如適用）對(duì)用戶鑒別的行為和鑒別失敗處理的行為； ¨ 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 2) 查看審計(jì)記錄中是否包括事件發(fā)生的日期和時(shí)間、事件類型、事件主體身份標(biāo)識(shí)、事件描述及結(jié)果。 c) 結(jié)果判定 1) 移動(dòng)終端雙系統(tǒng)能夠?yàn)槿缦轮С值氖录蓪徲?jì)記錄： ¨ 移動(dòng)終端雙系統(tǒng)的啟動(dòng)和關(guān)閉； ¨ 移動(dòng)終端雙系統(tǒng)應(yīng)用的啟動(dòng)和退出； ¨ （如適用）對(duì)用戶鑒別的行為和鑒別失敗處理的行為； ¨ 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 2) 查看審計(jì)記錄中是否包括事件發(fā)生的日期和時(shí)間、事件類型、事件主體身份標(biāo)識(shí)、事件描述及結(jié)果。 1）-2）項(xiàng)均滿足的為“符合”；其他情況為“不符合” 6.3.4　 安全管理 6.3.4.1　 安全功能行為的管理 a) 檢測(cè)要求 移動(dòng)終端雙系統(tǒng)應(yīng)僅限于授權(quán)用戶對(duì)下述功能具有修改的能力。 1) 修改用戶認(rèn)證方式； 2) 其他安全功能行為的管理。 b) 檢測(cè)方法 1) 成功進(jìn)入移動(dòng)終端雙系統(tǒng)系統(tǒng)，嘗試執(zhí)行下述功能： ¨ 修改用戶認(rèn)證方式； ¨ 其他安全功能行為的管理。 驗(yàn)證是否只有授權(quán)信息驗(yàn)證成功后才能夠執(zhí)行上述功能。 c) 結(jié)果判定 1) 僅允許授權(quán)用戶才能夠執(zhí)行上述功能。 1）項(xiàng)滿足為“符合”；其余情況為“不符合” 6.3.4.2　 安全屬性的管理 a) 檢測(cè)要求 移動(dòng)終端雙系統(tǒng)應(yīng)僅限于授權(quán)用戶對(duì)指定的安全屬性進(jìn)行修改操作。 b) 檢測(cè)方法 成功進(jìn)入移動(dòng)終端雙系統(tǒng)系統(tǒng)，嘗試執(zhí)行對(duì)指定的安全屬性進(jìn)行修改操作，檢查是否僅允許授權(quán)用戶能夠執(zhí)行相應(yīng)操作。 c) 結(jié)果判定 1) 僅允許授權(quán)用戶才能對(duì)指定的安全屬性執(zhí)行修改操作。 1）項(xiàng)滿足為“符合”；其余情況為“不符合” 6.3.4.3　 TSF數(shù)據(jù)的管理 a) 檢測(cè)要求 移動(dòng)終端雙系統(tǒng)應(yīng)僅允許授權(quán)用戶執(zhí)行下列操作： 1) 修改用戶超時(shí)時(shí)間； 2) 其他系統(tǒng)參數(shù)配置操作。 b) 檢測(cè)方法 1) 成功進(jìn)入移動(dòng)終端雙系統(tǒng)系統(tǒng)，嘗試執(zhí)行下述操作： ¨ 修改用戶超時(shí)時(shí)間； ¨ 其他系統(tǒng)參數(shù)配置操作。 驗(yàn)證是否只有授權(quán)信息驗(yàn)證成功后才能夠執(zhí)行上述操作。 c) 結(jié)果判定 1) 僅允許授權(quán)用戶才能夠執(zhí)行上述操作。 1）項(xiàng)滿足為“符合”；其余情況為“不符合” 6.3.5　 TSF保護(hù) 6.3.5.1　 TSF原發(fā)會(huì)話終止 a) 檢測(cè)要求 移動(dòng)終端雙系統(tǒng)的安全功能應(yīng)在達(dá)到一定的用戶不活動(dòng)的時(shí)間間隔之后終止交互式會(huì)話。 b) 檢測(cè)方法 成功進(jìn)入移動(dòng)終端雙系統(tǒng)系統(tǒng)，不進(jìn)行任何操作，檢查在達(dá)到指定的用戶不活動(dòng)時(shí)間間隔后，移動(dòng)終端雙系統(tǒng)是否終止交互式會(huì)話，自動(dòng)退出登錄。 c) 結(jié)果判定 1) 在達(dá)到設(shè)置的用戶不活動(dòng)時(shí)間間隔后，移動(dòng)終端雙系統(tǒng)終止交互式會(huì)話，自動(dòng)退出登錄。 1）項(xiàng)滿足為“符合”；其余情況為“不符合”。 6.3.5.2　 可靠的時(shí)間戳 a) 檢測(cè)要求 移動(dòng)終端雙系統(tǒng)的安全功能應(yīng)能為自身的應(yīng)用提供可靠的時(shí)間戳。 b) 檢測(cè)方法 1) 分析廠家文檔，檢查是否描述了可靠時(shí)間戳來(lái)源； 2) 以授權(quán)用戶身份分別執(zhí)行與時(shí)間戳相關(guān)的功能，分析其時(shí)間戳來(lái)源與文檔描述的時(shí)間戳來(lái)源是否一致。 c) 結(jié)果判定 1) 移動(dòng)終端雙系統(tǒng)使用了可靠的時(shí)間戳。 1）項(xiàng)滿足為“符合”；其余情況為“不符合”。 6.4　 安全保障要求評(píng)估 6.4.1　 開(kāi)發(fā) 6.4.1.1　 安全架構(gòu)描述 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TOE，確保TSF的安全特性不可旁路； ¨ 開(kāi)發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TSF，以防止不可信主體的破壞； ¨ 開(kāi)發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。 2) 內(nèi)容和形式元素： ¨ 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計(jì)文檔中對(duì)SFR-執(zhí)行的抽象描述的級(jí)別一致； ¨ 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域； ¨ 安全架構(gòu)的描述應(yīng)描述TSF初始化過(guò)程為何是安全的； ¨ 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞； ¨ 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR-執(zhí)行的功能被旁路。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了TSF安全架構(gòu)的描述； 2) 開(kāi)發(fā)者提供的TSF安全架構(gòu)的描述滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足為“符合”，其他情況為“不符合”。 6.4.1.2　 安全執(zhí)行功能規(guī)范 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)提供一個(gè)功能規(guī)范； ¨ 開(kāi)發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。 2) 內(nèi)容和形式元素： ¨ 功能規(guī)范應(yīng)完整地描述TSF； ¨ 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法； ¨ 功能規(guī)范應(yīng)識(shí)別和描述每個(gè)TSFI相關(guān)的所有參數(shù)； ¨ 對(duì)于每個(gè)SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為； ¨ 對(duì)于SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯(cuò)誤消息； ¨ 功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評(píng)估者應(yīng)確定功能規(guī)范是安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了功能規(guī)范文檔； 2) 開(kāi)發(fā)者提供的功能規(guī)范文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開(kāi)發(fā)者提供的功能規(guī)范是安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。 1）—3）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.4.1.3　 基礎(chǔ)設(shè)計(jì) a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)提供TOE的設(shè)計(jì)； ¨ 開(kāi)發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射。 2) 內(nèi)容和形式元素： ¨ 設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)； ¨ 設(shè)計(jì)應(yīng)標(biāo)識(shí)TSF的所有子系統(tǒng)； ¨ 設(shè)計(jì)應(yīng)對(duì)每一個(gè)SFR-支撐或SFR-無(wú)關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述，以確定它不是SFR-執(zhí)行； ¨ 設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； ¨ 設(shè)計(jì)應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； ¨ 映射關(guān)系應(yīng)證實(shí)TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求； 2) 評(píng)估者應(yīng)確定設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了TOE設(shè)計(jì)文檔； 2) 開(kāi)發(fā)者提供的TOE設(shè)計(jì)文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開(kāi)發(fā)者提供的設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。 1）—3）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.4.2　 指導(dǎo)性文檔 6.4.2.1　 操作用戶指南 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)提供操作用戶指南。 2) 內(nèi)容和形式元素： ¨ 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，在安全處理環(huán)境中應(yīng)被控制的用戶可訪問(wèn)的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ? ¨ 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，怎樣以安全的方式使用TOE提供的可用接口； ¨ 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)應(yīng)指明安全值； ¨ 操作用戶指南應(yīng)對(duì)每一種用戶角色明確說(shuō)明，與需要執(zhí)行的用戶可訪問(wèn)功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實(shí)體的安全特性； ¨ 操作用戶指南應(yīng)標(biāo)識(shí)TOE運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤），它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系； ¨ 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的所必須執(zhí)行的安全策略； ¨ 操作用戶指南應(yīng)是明確和合理的。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所有提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了操作用戶指南； 2) 開(kāi)發(fā)者提供的操作用戶指南滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.4.2.2　 準(zhǔn)備程序 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)提供TOE，包括它的準(zhǔn)備程序。 2) 內(nèi)容和形式元素： ¨ 準(zhǔn)備程序應(yīng)描述與開(kāi)發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； ¨ 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境必需的所有步驟。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評(píng)估者應(yīng)運(yùn)用準(zhǔn)備程序確認(rèn)TOE運(yùn)行能被安全的準(zhǔn)備。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了TOE以及它的準(zhǔn)備程序； 2) 開(kāi)發(fā)者提供的準(zhǔn)備程序滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 運(yùn)用準(zhǔn)備程序能夠確認(rèn)TOE運(yùn)行能被安全的準(zhǔn)備。 1）—3）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.4.3　 生命周期支持 6.4.3.1　 CM系統(tǒng)的使用 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)提供TOE及其參照號(hào)； ¨ 開(kāi)發(fā)者應(yīng)提供CM文檔； ¨ 開(kāi)發(fā)者應(yīng)使用CM系統(tǒng)。 2) 內(nèi)容和形式元素： ¨ 應(yīng)給TOE標(biāo)注唯一參照號(hào)； ¨ CM文檔應(yīng)描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法； ¨ CM系統(tǒng)應(yīng)唯一標(biāo)識(shí)所有配置項(xiàng)。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了TOE，并為其標(biāo)注唯一參照號(hào)； 2) 開(kāi)發(fā)者提供了配置管理文檔，且文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開(kāi)發(fā)者使用了配置管理系統(tǒng)，且配置管理系統(tǒng)滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—3）項(xiàng)均滿足的為“符合”，其他情況為“不符合”。 6.4.3.2　 部分TOE CM覆蓋 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)提供TOE配置項(xiàng)列表。 2) 內(nèi)容和形式元素： ¨ 配置項(xiàng)列表應(yīng)包括：TOE本身、安全保障要求的評(píng)估證據(jù)和TOE的組成部分； ¨ 配置項(xiàng)列表應(yīng)唯一標(biāo)識(shí)配置項(xiàng)； ¨ 對(duì)于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡(jiǎn)要說(shuō)明該配置項(xiàng)的開(kāi)發(fā)者。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了產(chǎn)品配置項(xiàng)列表； 2) 開(kāi)發(fā)者提供的產(chǎn)品配置項(xiàng)列表滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.4.3.3　 交付程序 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)將把TOE或其部分交付給消費(fèi)者的程序文檔化； ¨ 開(kāi)發(fā)者應(yīng)使用交付程序。 2) 內(nèi)容和形式元素： ¨ 交付文檔應(yīng)描述，在向消費(fèi)者分發(fā)TOE版本時(shí)，用以維護(hù)安全性所必需的所有程序。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了交付文檔； 2) 開(kāi)發(fā)者提供的交付文檔和使用交付文檔的證據(jù)滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.4.4　 測(cè)試 6.4.4.1　 覆蓋證據(jù) a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋的證據(jù)。 2) 內(nèi)容和形式元素： ¨ 測(cè)試覆蓋的證據(jù)應(yīng)表明測(cè)試文檔中的測(cè)試與功能規(guī)范中的TSF接口之間的對(duì)應(yīng)性。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了測(cè)試覆蓋的相關(guān)證據(jù)； 2) 測(cè)試覆蓋的相關(guān)證據(jù)的內(nèi)容滿足要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.4.4.2　 功能測(cè)試 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)測(cè)試TSF，并文檔化測(cè)試結(jié)果； ¨ 開(kāi)發(fā)者應(yīng)提供測(cè)試文檔。 2) 內(nèi)容和形式元素： ¨ 測(cè)試文檔應(yīng)包括測(cè)試計(jì)劃、預(yù)期的測(cè)試結(jié)果和實(shí)際的測(cè)試結(jié)果； ¨ 測(cè)試計(jì)劃應(yīng)標(biāo)識(shí)要執(zhí)行的測(cè)試并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案應(yīng)包括對(duì)于其他測(cè)試結(jié)果的任何順序依賴性； ¨ 預(yù)期的測(cè)試結(jié)果應(yīng)指出測(cè)試成功執(zhí)行后的預(yù)期輸出； ¨ 實(shí)際的測(cè)試結(jié)果應(yīng)與預(yù)期的測(cè)試結(jié)果一致。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了測(cè)試文檔； 2) 開(kāi)發(fā)者提供的測(cè)試文檔的內(nèi)容滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.4.4.3　 獨(dú)立測(cè)試-抽樣 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)提供用于測(cè)試的TOE。 2) 內(nèi)容和形式元素： ¨ TOE應(yīng)適合測(cè)試； ¨ 開(kāi)發(fā)者應(yīng)提供一組與開(kāi)發(fā)者TSF功能測(cè)試中同等的一系列資源。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評(píng)估者應(yīng)執(zhí)行測(cè)試文檔中的測(cè)試樣本，以驗(yàn)證開(kāi)發(fā)者的測(cè)試結(jié)果； 3) 評(píng)估者應(yīng)測(cè)試TSF的一個(gè)子集以確認(rèn)TSF按照規(guī)定運(yùn)行。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供的產(chǎn)品適合測(cè)試； 2) 開(kāi)發(fā)者為產(chǎn)品測(cè)試提供了必要的資源； 3) 通過(guò)執(zhí)行測(cè)試文檔中的測(cè)試樣本，開(kāi)發(fā)者測(cè)試文檔中的測(cè)試結(jié)果正確； 4) TSF能夠按照規(guī)定運(yùn)行。 1）—4）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.4.5　 脆弱性評(píng)定 6.4.5.1　 脆弱性分析 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： ¨ 開(kāi)發(fā)者應(yīng)提供用于測(cè)試的TOE。 2) 內(nèi)容和形式元素： ¨ TOE應(yīng)適合測(cè)試。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評(píng)估者應(yīng)執(zhí)行公共領(lǐng)域的調(diào)查以標(biāo)識(shí)TOE的潛在脆弱性； 3) 評(píng)估者應(yīng)基于已標(biāo)識(shí)的潛在脆弱性實(shí)施穿透性測(cè)試，判定TOE能抵抗具有基本攻擊潛力的攻擊者的攻擊。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了適合測(cè)試的產(chǎn)品； 2) 通過(guò)實(shí)施的穿透性測(cè)試確認(rèn)TOE能夠抵抗具有基本攻擊潛力的攻擊者的攻擊。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 _________________________________ 22