6.4　安全保障要求

6.4.1　配置管理

6.4.1.1　版本號

開發者應為產品的不同版本提供唯一的標識。

6.4.1.2　配置項

開發者應使用配置管理系統并提供配置管理文檔。

配置管理文檔應包括一個配置清單。配置清單應標識組成產品的所有配置項并進行描述，同時應描述對配置項給出唯一標識的方法，并提供所有配置項有效維護的證據。

6.4.2　交付與運行

6.4.2.1　交付程序

開發者應按一定的交付程序交付產品，并將交付過程文檔化。

在向用戶方交付產品的各個版本時，交付文檔應包括描述維護安全所必需的所有程序。

6.4.2.2　安裝、生成和啟動程序

開發者應提供相關文檔，詳細說明產品的安裝、生成和啟動過程。

6.4.3　開發

開發者應提供產品安全功能的高層設計，并滿足以下要求：

a） 是內在一致的；

b） 應按子系統描述安全功能的結構；

c） 應描述每個安全功能子系統所提供的安全功能性；

d） 標識安全功能所要求的任何基礎性硬件、固件或軟件，以及在這些硬件、固件或軟件中實現的支持性保護機制所提供功能的一個表示；

e） 標識安全功能子系統所有接口；

f） 標識安全功能子系統的哪些接口是外部可見的。

6.4.4　指導性文檔

6.4.4.1　管理員指南

開發者應提供管理員指南，管理員指南應與為評估而提供的其他所有文檔保持一致。

管理員指南應說明以下內容：

a） 管理員可使用的管理功能和接口；

b） 如何安全地管理產品；

c） 在安全處理環境中應被控制的功能和權限；

d） 所有對與產品的安全操作有關的用戶行為的假設；

e） 所有受管理員控制的安全參數，如果可能，應指明安全值；

f） 每一種與管理功能有關的安全相關事件，包括對安全功能所控制實體的安全特性進行的改變；

g） 所有與管理員有關的IT環境安全要求。

6.4.4.2　用戶指南

開發者應提供用戶指南，用戶指南應與為評估而提供的其他所有文檔保持一致。

用戶指南應說明以下內容：

a） 產品的非管理員用戶可使用的安全功能和接口；

b） 產品提供給用戶的安全功能和接口的使用方法；

c） 用戶可獲取但應受安全處理環境所控制的所有功能和權限；

d） 產品安全操作中用戶所應承擔的職責；

e） 與用戶有關的IT環境的所有安全要求。

6.4.5　測試

6.4.5.1　測試覆蓋

開發者應提供測試覆蓋的證據。

在測試覆蓋證據中，應表明測試文檔中所標識的測試與功能規格說明中所描述的產品的安全功能是對應的。

6.4.5.2　功能測試

開發者應測試安全功能，將結果文檔化并提供測試文檔。

測試文檔應包括以下內容：

a） 測試計劃，應標識要測試的安全功能，并描述測試的目標；

b） 測試過程，應標識要執行的測試，并描述每個安全功能的測試概況，這些概況應包括對于其他測試結果的順序依賴性；

c） 預期的測試結果，應表明測試成功后的預期輸出；

d） 實際測試結果，應表明每個被測試的安全功能能按照規定進行運作。

6.4.5.3　獨立測試

6.4.5.3.1　一致性

開發者應提供適合測試的產品，提供的測試集合應與其自測產品功能時使用的測試集合相一致。

6.4.5.3.2　抽樣

開發者應提供一組相當的資源，用于安全功能的抽樣測試。

6.4.6　脆弱性評定

6.4.6.1　產品安全功能強度評估

開發者應對指導性文檔中所標識的每個具有安全功能強度聲明的安全機制進行安全功能強度分析，并說明安全機制達到或超過定義的最低強度級別或特定功能強度度量。

6.4.6.2　開發者脆弱性分析

開發者應執行脆弱性分析，并提供脆弱性分析文檔。

開發者應從用戶可能破壞安全策略的明顯途徑出發，對產品的各種功能進行分析并提供文檔。對被確定的脆弱性，開發者應明確記錄采取的措施。

對每一條脆弱性，應有證據顯示在使用產品的環境中，該脆弱性不能被利用。