7.5 安全保障測試

7.5.1 開發

7.5.1.1 安全架構

安全架構的測評方法如下：

a)測評方法：

檢查開發者提供的安全架構證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)與產品設計文檔中對安全功能的描述范圍是否相一致；

2)是否充分描述產品采取的自我保護、不可旁路的安全機制。

b)預期結果：

開發者提供的信息應滿足6.4.1.1中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.1.2 功能規范

功能規范的測評方法如下：

a)測評方法：

檢查開發者提供的功能規范證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)是否清晰描述6.1、6.2中定義的產品安全功能；

2)是否描述產品所有安全功能接口的目的、使用方法及相關參數；

3)描述安全功能實施過程中，是否描述與安全功能接口相關的所有行為；

4)是否描述可能由安全功能接口的調用而引起的所有直接錯誤消息。

b)預期結果：

開發者提供的信息應滿足6.4.1.2中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.1.3 產品設計

產品設計的測評方法如下：

a)測評方法：

檢查開發者提供的產品設計證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)是否根據子系統描述產品結構，是否標識和描述產品安全功能的所有子系統，是否描述安全功能所有子系統間的相互作用；

2)提供的對應關系是否能證實設計中描述的所有行為映射到調用的安全功能接口；

3)是否根據實現模塊描述安全功能，是否描述所有實現模塊的安全功能要求相關接口、接口的返回值、與其他模塊間的相互作用及調用的接口；

4)是否提供實現模塊和子系統間的對應關系。

b)預期結果：

開發者提供的信息應滿足6.4.1.3中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.1.4 實現表示

實現表示的測評方法如下：

檢查開發者提供的實現表示證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：

a)測評方法：

1)是否通過軟件代碼、設計數據等實例詳細定義產品安全功能；

2)是否提供實現表示與產品設計描述間的對應關系。

b)預期結果：

開發者提供的信息應滿足6.4.1.4中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.2 指導性文檔

7.5.2.1 操作用戶指南

操作用戶指南的測評方法如下：

a)測評方法：

檢查開發者提供的操作用戶指南證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)是否描述用戶能訪問的功能和特權(包含適當的警示信息)；

2)是否描述如何以安全的方式使用產品提供的可用接口，是否描述產品安全功能及接口的用戶操作方法(包括配置參數的安全值)；

3)是否標識和描述產品運行的所有可能狀態，包括操作導致的失敗或者操作性錯誤；

4)是否描述實現產品安全目的必需執行的安全策略。

b)預期結果：

開發者提供的信息應滿足6.4.2.1中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.2.2 準備程序

用準備程序的測評方法如下：

a)測評方法：

檢查開發者提供的準備程序證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)是否描述與開發者交付程序相一致的安全接收所交付產品必需的所有步驟；

2)是否描述安全安裝產品及其運行環境必需的所有步驟。

b)預期結果：

開發者提供的信息應滿足6.4.2.2中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.3 生命周期支持

7.5.3.1 配置管理能力

配置管理能力的測評方法如下：

a)測評方法：

檢查開發者提供的配置管理能力證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：

1)檢查開發者是否為不同版本的產品提供唯一的標識；

2)現場檢查配置管理系統是否對所有的配置項作出唯一的標識，且是否對配置項進行了維護；

3)檢查開發者提供的配置管理文檔，是否描述了對配置項進行唯一標識的方法；

4)現場檢查是否能通過自動化配置管理系統支持產品的生成，是否僅通過自動化措施對配置項進行授權變更；

5)檢查配置管理計劃是否描述了用來接受修改過的或新建的作為產品組成部分的配置項的程序；檢查配置管理計劃是否描述如何使用配置管理系統開發產品，現場核查活動是否與計劃一致。

b)預期結果：

開發者提供的信息和現場活動證據內容應滿足6.4.3.1中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.3.2 配置管理范圍

配置管理范圍的測評方法如下：

a)測評方法：

檢查開發者提供的配置管理范圍證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：

1)檢查開發者提供的配置項列表是否包含產品、安全保障要求的評估證據和產品的組成部分及相應的開發者；

2)檢查開發者提供的配置項列表是否包含實現表示、安全缺陷報告、解決狀態及相應的開發者。

b)預期結果：

開發者提供的信息和現場活動證據內容應滿足6.4.3.2中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.3.3 交付程序

交付程序的測評方法如下：

檢查開發者提供的交付程序證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：

a)測評方法：

1)現場檢查開發者是否使用一定的交付程序交付產品；

2)檢查開發者是否使用文檔描述交付過程，文檔中是否包含以下內容：在給用戶方交付系統的各版本時，為維護安全所必需的所有程序。

b)預期結果：

開發者提供的信息和現場活動證據內容應滿足6.4.3.3中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.3.4 開發安全

開發安全的測評方法如下：

a)測評方法：

檢查開發者提供的開發安全證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：

1)檢查開發者提供的開發安全文檔，該文檔是否描述在系統的開發環境中，為保護系統設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施；

2)現場檢查產品的開發環境，開發者是否使用了物理的、程序的、人員的和其他方面的安全措施保證產品設計和實現的保密性和完整性，這些安全措施是否得到了有效地執行。

b)預期結果：

開發者提供的信息和現場活動證據內容應滿足6.4.3.4中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.3.5 生命周期定義

生命周期定義的測評方法如下：

a)測評方法：

檢查開發者提供的生命周期定義證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：

1)現場檢查開發者是否使用生命周期模型對產品的開發和維護進行的必要控制；

2)檢查開發者提供生命周期定義文檔是否描述了用于開發和維護產品的模型。

b)預期結果：

開發者提供的信息和現場活動證據內容應滿足6.4.3.5中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.3.6 工具和技術

工具和技術的測評方法如下：

a)測評方法：

檢查開發者提供的工具和技術證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：

1)現場檢查開發者是否明確定義用于開發產品的工具；

2)是否提供開發工具文檔無歧義地定義實現中每個語句的含義和所有依賴于實現的選項的含義。

b)預期結果：

開發者提供的信息和現場活動證據內容應滿足6.4.3.6中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.4 測試

7.5.4.1 測試覆蓋

測試覆蓋的測評方法如下：

a)測評方法：

檢查開發提供的測試覆蓋證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)檢查開發者提供的測試覆蓋文檔，在測試覆蓋證據中，是否表明測試文檔中所標識的測試與功能規范中所描述的產品的安全功能是對應的；

2)檢查開發者提供的測試覆蓋分析結果，是否表明功能規范中的所有安全功能接口都進行了測試。

b)預期結果：

開發者提供的信息應滿足6.4.4.1中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.4.2 測試深度

測試深度的測評方法如下：

a)測評方法：

檢查開發者提供的測試深度證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)檢查開發者提供的測試深度分析，是否說明了測試文檔中所標識的對安全功能的測試，并足以表明與產品設計中的安全功能子系統和實現模塊之間的一致性；

2)是否能證實所有安全功能子系統、實現模塊都已經進行過測試。

b)預期結果：

開發者提供的信息應滿足6.4.4.2中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.4.3 功能測試

功能測試的測評方法如下：

a)測評方法：

檢查開發者提供的功能測試證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：

1)檢查開發者提供的測試文檔，是否包括測試計劃、預期的測試結果和實際測試結果，檢查測試計劃是否標識了要測試的安全功能，是否描述了每個安全功能的測試方案；

2)檢查期望的測試結果是否表明測試成功后的預期輸出；

3)檢查實際測試結果是否表明每個被測試的安全功能能按照規定進行運作。

b)預期結果：

開發者提供的信息應滿足6.4.4.3中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.4.4 獨立測試

獨立測試的測評方法如下：

a)測評方法：

檢查開發者提供的測試集合是否與其自測系統功能時使用的測試集合相一致，以用于安全功能的抽樣測試，并檢查開發者提供的資源是否滿足內容和形式的所有要求。

b)預期結果：

開發者提供的信息應滿足6.4.4.4中所述的要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.5.5 脆弱性評定

脆弱性評定的測評方法如下：

a)測評方法：

1)從用戶可能破壞安全策略的明顯途徑出發，按照安全機制定義的安全強度級別，對產品進行脆弱性分析；

2)判斷產品是否能抵抗基本型攻擊；

3)判斷產品是否能抵抗中等型型攻擊。

b)預期結果：

1)滲透性測試結果應表明產品能抵抗基本型攻擊；

2)滲透性測試結果應表明產品能抵抗中等型攻擊。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。