7.4 第三級安全保障要求

7.4 第三級安全保障要求

7.4.1　開發

7.4.1.1　安全架構

開發者應向評估者提供產品安全功能的安全架構描述：
a) 與產品設計文檔中對安全功能要求執行的抽象描述的詳細程度一致；
b) 描述與安全功能要求一致的產品安全功能的安全域；
c) 描述產品安全功能初始化過程為何是安全的；
d) 證實產品安全功能能夠防止被破壞；

7.4.1.2　功能規范

開發者應向評估者提供一個功能規范：
a) 完整描述產品的安全功能；
b) 描述所有安全功能接口的目的與使用方法；
c) 標識和描述每個安全功能接口相關的所有參數；
d) 描述安全功能接口相關的所有行為；
e) 描述可能由每個安全功能接口的調用而引起的所有直接錯誤消息；

7.4.1.3　實現表示

開發者應向評估者提供全部安全功能的實現表示，實現表示應滿足以下要求：
a) 詳細地定義產品安全功能，詳細程度達到無須進一步設計就能生成安全功能的程度；
b) 以開發人員使用的形式提供；

7.4.1.4　產品設計

開發者應向評估者提供產品設計文檔：
a) 根據子系統描述產品結構；
b) 標識產品安全功能的所有子系統；
c) 描述產品安全功能的所有子系統；
d) 描述安全功能所有子系統間的相互作用；
e) 提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能接口；
f) 根據模塊描述安全功能；
g) 提供安全功能子系統到模塊間的映射關系；
h) 描述所有安全功能要求執行模塊，包括其目的及與其它模塊間的相互作用；
i) 描述所有安全功能要求執行模塊的安全功能要求相關接口、其它接口的返回值、與其它模塊間的相互作用及調用的接口；

7.4.2　指導性文檔

7.4.2.1　操作用戶指南

開發者應向評估者提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應滿足以下要求：
a) 描述在安全處理環境中被控制的用戶可訪問的功能和特權，包含適當的警示信息；
b) 描述如何以安全的方式使用產品提供的可用接口；
c) 描述可用功能和接口，尤其是受用戶控制的所有安全參數，適當時指明安全值，證明不存在未描述的訪問接口、訪問方式、命令和參數；
d) 明確說明與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能所控制實體的安全特性；
e) 標識產品運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關系和聯系；

7.4.2.2　準備程序

開發者應向評估者提供產品及其準備程序，準備程序描述應滿足以下要求：
a) 描述與開發者交付程序相一致的安全接收所交付產品必需的所有步驟；

7.4.3　生命周期支持

7.4.3.1　配置管理能力

開發者應使用配置管理系統，并向評估者提供配置管理文檔：
a) 為產品的不同版本提供唯一的標識；
b) 提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法；
c) 配置管理系統應唯一標識所有配置項；
d) 使用配置管理系統對組成產品的所有配置項進行維護；
e) 提供自動化的措施使得只能對配置項進行授權變更；
f) 配置管理系統提供一種自動方式來支持產品的生產；
g) 配置管理文檔包括一個配置管理計劃，配置管理計劃描述如何使用配置管理系統開發產品；
h) 實施的配置管理與配置管理計劃相一致；

7.4.3.2　配置管理范圍

開發者應向評估者提供產品配置項列表：
a) 應包括：產品、安全保障要求的評估證據、產品的組成部分、實現表示、安全缺陷報告和安全缺陷的解決證據；
b) 配置項列表應唯一標識配置項；

7.4.3.3　交付程序

開發者應使用一定的交付程序交付產品，并將交付過程文檔化。在給用戶方交付產品的版本時，交付文檔應描述為維護安全所必需的所有程序、產品交付安裝包的防病毒掃描結果和產品解決的安全漏洞列表。

7.4.3.4　開發安全

開發者應向評估者提供開發安全文檔。開發安全文檔應描述在產品的開發環境中，為保護產品設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。

7.4.3.5　生命周期定義

開發者應建立一個生命周期模型對產品的開發和維護進行必要控制，并向評估者提供生命周期定義文檔，描述用于開發和維護產品的模型。生命周期定義文檔還應包含產品的開發和維護過程中執行安全措施的證據、在維護過程中對安全漏洞及時響應的證據等內容。

7.4.3.6　工具和技術

開發者應明確定義用于實現產品的每個開發工具，并向評估者提供開發工具文檔。每個開發工具的文檔應無歧義地定義所有語句、實現產品用到的所有協定與命令的含義、所有實現時所依賴選項的含義。

7.4.4　測試

7.4.4.1　覆蓋

開發者應向評估者提供測試覆蓋文檔：
a) 測試覆蓋分析應證實測試文檔中的測試與功能規范中安全功能接口之間的對應性；

7.4.4.2　深度

開發者應向評估者提供測試深度的分析：
a) 證實測試文檔中的測試與產品設計中的安全功能子系統和安全功能要求執行模塊之間的一致性；

7.4.4.3　功能測試

開發者應測試產品安全功能，將結果文檔化并向評估者提供測試文檔。測試文檔應包括以下內容：
a) 測試計劃：標識要執行的測試，并描述執行每個測試的方案，這些方案包括對于其它測試結果的任何順序依賴性；
b) 預期的測試結果：表明測試成功后的預期輸出；
c) 實際測試結果：和預期的測試結果一致。

7.4.4.4　獨立測試

開發者應向評估者提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試，該測試由產品開發團隊之外的測評機構或測評團隊等評估者完成。

7.4.4.5　代碼測試

開發者應對所有代碼進行安全性測試，解決測試出的高風險問題，并向評估者證明代碼中不包含潛在的安全缺陷或后門。

7.4.5　脆弱性評定

基于已標識的潛在脆弱性，產品能夠抵抗具有增強型基本攻擊潛力的攻擊者的攻擊。