5.4 安全保障要求

5.4.1　基本級

5.4.1.1　開發

5.4.1.1.1　安全架構描述

開發者應向評估者提供產品安全功能安全架構的描述，安全架構的描述應滿足以下要求：

a) 應與在產品設計文檔中對安全功能要求執行的抽象描述的級別一致；

b) 應描述與安全功能要求一致的產品安全功能安全域；

c) 應描述產品安全功能初始化過程為何是安全的；

d) 安全架構的描述應論證產品安全功能可防止被破壞；

e) 安全架構的描述應論證產品安全功能可防止安全功能要求執行的功能被旁路。

5.4.1.1.2　安全執行功能規范

開發者應向評估者提供一個功能規范，功能規范應滿足以下要求：

a) 完整地描述產品安全功能；

b) 描述所有的產品安全功能接口的目的、使用方法以及每個安全功能接口相關的所有參數；

c) 對于每個安全功能要求，功能規范應描述執行安全功能接口相關的安全功能執行行為；

d) 對于安全功能要求，功能規范應描述由安全功能執行行為相關處理而引起的直接錯誤信息；

e) 功能規范應論證安全功能要求到安全功能接口的對應關系。

5.4.1.1.3　基礎設計

開發者應向評估者提供產品的設計文檔，并提供從功能規范的產品安全功能接口到產品設計中獲取到的最低層分解的映射，應滿足以下要求：

a) 設計文檔應根據子系統描述產品的結構；

b) 設計文檔應標識產品安全功能的所有子系統；

c) 設計文檔應對每一個安全功能要求支撐或安全功能要求無關的產品安全功能子系統的行為進行足夠詳細的描述，以確定它不是安全功能要求執行；

d) 設計文檔應概括安全功能要求執行子系統的安全功能要求執行行為；

e) 設計文檔應描述產品安全功能的安全功能要求執行子系統間的相互作用，以及產品安全功能的安全功能要求執行子系統與其它產品安全功能子系統間的相互作用；

f) 映射關系應證明產品設計中描述的所有行為能夠映射到調用它的產品安全功能接口。

5.4.1.2　指導性文檔

5.4.1.2.1　準備程序

開發者應向評估者提供產品的準備程序，滿足以下要求：

a) 準備程序應描述與開發者交付程序相一致的安全接收所交付產品必需的所有步驟；

b) 準備程序應描述安全安裝產品以及安全準備與安全目標中描述的運行環境安全目的一致的運行環境必需的所有步驟。

5.4.1.2.2　操作用戶指南

開發者應向評估者提供明確和合理的操作用戶指南，操作用戶指南應滿足以下要求：

a) 操作用戶指南應對每一種用戶角色進行描述，在安全處理環境中應被控制的用戶可訪問的功能和特權，包含適當的警示信息；

b) 操作用戶指南應對每一種用戶角色進行描述，怎樣以安全的方式使用產品提供的可用接口；

c) 操作用戶指南應對每一種用戶角色進行描述，可用功能和接口，尤其是受用戶控制的所有安全參數，適當時應指明安全值；

d) 操作用戶指南應對每一種用戶角色明確說明，與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變產品安全功能所控制實體的安全特性；

e) 操作用戶指南應標識產品運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關系和聯系；

f) 操作用戶指南應對每一種用戶角色進行描述，為了充分實現安全目標中描述的運行環境安全目的所必須執行的安全策略。

5.4.1.3　生命周期支持

5.4.1.3.1　配置管理系統的使用

開發者應向評估者使用配置管理系統，提供配置管理文檔，并滿足以下要求：

a) 應給產品標記唯一參照號；

b) 配置管理文檔應描述用于唯一標識配置項的方法；

c) 配置管理系統應唯一標識所有配置項。

5.4.1.3.2　部分產品配置管理覆蓋

開發者應向評估者提供產品配置項列表，滿足以下要求：

a) 配置項列表應包括：產品本身、安全保障要求的評估證據和產品的組成部分；

b) 配置項列表應唯一標識配置項；

c) 對于每一個產品安全功能相關的配置項，配置項列表應簡要說明該配置項的開發者。

5.4.1.3.3　交付程序

開發者應將把產品或其部分交付給消費者的程序文檔化，并滿足以下要求：

a) 交付文檔應描述，在向消費者分發產品版本時，用以維護安全性所必需的所有程序；

b) 應確認開發者在使用交付程序。

5.4.1.4　測試

5.4.1.4.1　覆蓋證據

開發者應向評估者提供測試覆蓋的證據，并滿足以下要求：

a) 在測試覆蓋證據中，應表明測試文檔中的測試與功能規范中的安全功能接口是對應的。

5.4.1.4.2　功能測試

開發者應測試安全功能，將結果文檔化并提供測試文檔，測試文檔應包括以下內容：

a) 測試計劃，應標識要執行的測試并描述執行每個測試的方案，這些方案應包括對于其它測試結果的任何順序依賴性；

b) 預期的測試結果，應指出測試成功執行后的預期輸出；

c) 實際的測試結果，應確認和預期的測試結果一致。

5.4.1.4.3　獨立測試—抽樣

開發者應向評估者提供一組與開發者產品安全功能測試中同等的一系列資源，用于安全功能的抽樣測試。

5.4.1.5 脆弱性分析

開發者應向評估者提供適合測試的產品，并提供執行脆弱性分析的相關資源，包括指導性文檔、功能規范、產品設計和安全架構描述。

5.4.2　增強級

5.4.2.1　開發

5.4.2.1.1　安全架構描述

開發者應向評估者提供產品安全功能安全架構的描述，安全架構的描述應滿足以下要求：

a) 應與在產品設計文檔中對安全功能要求執行的抽象描述的級別一致；

b) 應描述與安全功能要求一致的產品安全功能安全域；

c) 應描述產品安全功能初始化過程為何是安全的；

d) 安全架構的描述應論證產品安全功能可防止被破壞；

e) 安全架構的描述應論證產品安全功能可防止安全功能要求執行的功能被旁路。

5.4.2.1.2　完備的功能規范

開發者應向評估者提供一個功能規范，功能規范應滿足以下要求：

a) 完整地描述產品安全功能；

b) 描述所有的產品安全功能接口的目的、使用方法以及每個安全功能接口相關的所有參數；

c) 對于**每個安全功能要求，功能規范應描述執行安全功能接口相關的所有行為；**

d) 功能**規范應描述可能由每個安全功能接口**的調用而引起的所有直接錯誤消息；

e) 功能規范應論證安全功能要求到安全功能接口的對應關系。

5.4.2.1.3　基礎模塊設計

開發者應向評估者提供產品的設計文檔，并提供從功能規范的產品安全功能接口到產品設計中獲取到的最低層分解的映射，應滿足以下要求：

a) 設計文檔應根據子系統描述產品的結構；

b) 設計文檔應根據模塊描述產品安全功能；

c) 設計**文檔應標識產品安全功能的所有子系統，描述每一個產品安全功能子系統以及產品安全功能所有子系統間的相互作用；**

d) 設計文檔應提供產品安全功能子系統到產品安全功能模塊間的映射關系；

e) 設計文檔應描述每一個安全功能要求執行模塊，包括它的目的及與其它模塊間的相互作用；

f) 設計文檔應描述每一個安全功能要求執行模塊，包括它的安全功能要求相關接口、其它接口的返回值、與其它模塊間的相互作用及調用的接口**；**

g) 設計文檔應描述每一個安全功能要求支撐或安全功能要求無關模塊，包括它的的目的及與其它模塊間的相互作用；

h) 映射關系應證明產品設計中描述的所有行為能夠映射到調用它的產品安全功能接口。

5.4.2.1.4　安全功能實現表示

開發者應以開發**人員使用的形式提供實現表示，并向評估者提供產品設計描述與實現表示實例之間的映射，應滿足以下**要求：

a) 實現表示**應包含全部產品安全功能；**

b) 實現表示應詳細地定義安全功能，使得無須進一步設計就能生成安全功能；

c) 產品設計描述與實現表示示例之間的映射應能證明它們的一致性。

5.4.2.2　指導性文檔

5.4.2.2.1　準備程序

開發者應向評估者提供產品的準備程序，滿足以下要求：

a) 準備程序應描述與開發者交付程序相一致的安全接收所交付產品必需的所有步驟；

b) 準備程序應描述安全安裝產品以及安全準備與安全目標中描述的運行環境安全目的一致的運行環境必需的所有步驟。

5.4.2.2.2　操作用戶指南

開發者應向評估者提供明確和合理的操作用戶指南，操作用戶指南應滿足以下要求：

a) 操作用戶指南應對每一種用戶角色進行描述，在安全處理環境中應被控制的用戶可訪問的功能和特權，包含適當的警示信息；

b) 操作用戶指南應對每一種用戶角色進行描述，怎樣以安全的方式使用產品提供的可用接口；

c) 操作用戶指南應對每一種用戶角色進行描述，可用功能和接口，尤其是受用戶控制的所有安全參數，適當時應指明安全值；

d) 操作用戶指南應對每一種用戶角色明確說明，與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變產品安全功能所控制實體的安全特性；

e) 操作用戶指南應標識產品運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關系和聯系；

f) 操作用戶指南應對每一種用戶角色進行描述，為了充分實現安全目標中描述的運行環境安全目的所必須執行的安全策略。

5.4.2.3　生命周期支持

5.4.2.3.1　配置管理系統的使用

開發者應向評估者使用配置管理系統，提供配置管理文檔，并滿足以下要求：

a) 應給產品標記唯一參照號；

b) 配置管理文檔應描述用于唯一標識配置項的方法；

c) 配置管理系統應唯一標識所有配置項。

5.4.2.3.2　部分產品配置管理覆蓋

開發者應向評估者提供產品配置項列表，滿足以下要求：

a) 配置項列表應包括：產品本身、安全保障要求的評估證據和產品的組成部分；

b) 配置項列表應唯一標識配置項；

c) 對于每一個產品安全功能相關的配置項，配置項列表應簡要說明該配置項的開發者。

5.4.2.3.3　生產支持和接受程序及其自動化

開發者**應使用配置管理系統，提供配置管理文檔，并滿足以下要求：**

a) 應給產品標記唯一參照號**；**

b) 配置管理文檔應描述用于唯一標識配置項的方法；

c) 配置管理系統應唯一標識所有配置項；

d) 配置管理系統應提供自動化的措施使得只能對配置項進行授權變更；

e) 配置管理系統應以自動化的方式支持產品的生產；

f) 配置管理文檔應包括配置管理計劃，配置管理計劃應描述配置管理系統是如何應用于產品的開發的；

g) 配置管理計劃應描述用來接受修改過的或新創建的作為產品組成部分的配置項的程序；

h) 應**提供證據論證所有配置項都正在配置管理系統下進行維護，并論證**配置管理系統的運行與配置管理計劃是一致的。

5.4.2.3.4　問題跟蹤配置管理覆蓋

開發者**應向評估者提供產品配置項列表，滿足以**下要求：

a) 配置項列表應包括：產品本身、安全保障要求的評估證據、產品的組成部分、實現表示和安全缺陷報告及其解決狀態**；**

b) 配置項列表應唯一標識配置項；

c) 對于每一個產品安全功能相關的配置項，配置項列表應簡要說明該配置項的開發者。

5.4.2.3.5　交付程序

開發者應將把產品或其部分交付給消費者的程序文檔化，并滿足以下要求：

a) 交付文檔應描述，在向消費者分發產品版本時，用以維護安全性所必需的所有程序；

b) 應確認開發者在使用交付程序。

5.4.2.3.6　安全措施標識

開發者應向評估者提供開發安全文檔，**滿足以下要求**：

a) 開發安全文檔應描述在產品的開發環境中，保護產品設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的及其它方面的安全措施；

b) 應**確認**安全措施在被使用。

5.4.2.3.7　開發者定義的生命周期模型

開發者應建立一個生命周期模型用于產品的開發和維護，提供生命周期定義文檔，**并滿足以下要求：**

a) 生命周期定義文檔應對用于開發和維護產品的模型進行描述；

b) 生命周期模型應為產品的開發和維護提供必要的控制。

5.4.2.3.8　明確定義的開發工具

開發者應**標識和明確定義用于開發產品的工具，并提供開發工具文檔無歧義地定義所有語句和實現用到的所有協定與命令**，以及所有實現依賴選項的含義。

5.4.2.4　測試

5.4.2.4.1　覆蓋分析

開發者應向評估者提供測試覆蓋分析，**并滿足如下要求：**

a) 測試覆蓋分析應論證測試文檔中的測試與功能規范中的安全功能接口之間的對應性；

b) 測試覆蓋分析**應論證**已經對功能規范中的所有產品安全功能接口都進行了測試。

5.4.2.4.2　測試：安全執行模塊

開發者應向評估者提供測試深度分析，**并滿足以下要求：**

a) 測試深度分析應論證測試文檔中的測試與產品設計中的產品安全功能子系統、安全功能要求執行模塊之間的一致性；

b) 測試深度分析應論證產品設計中的所有產品安全功能子系統都已經進行過測試；

c) 測試深度分析應論證產品設計中的安全功能要求執行模塊都已經進行過測試。

5.4.2.4.3　功能測試

開發者應測試安全功能，將結果文檔化并提供測試文檔，測試文檔應包括以下內容：

a) 測試計劃，應標識要執行的測試并描述執行每個測試的方案，這些方案應包括對于其它測試結果的任何順序依賴性；

b) 預期的測試結果，應指出測試成功執行后的預期輸出；

c) 實際的測試結果，應確認和預期的測試結果一致。

5.4.2.4.4　獨立測試—抽樣

開發者應向評估者提供一組與開發者產品安全功能測試中同等的一系列資源，用于安全功能的抽樣測試。

5.4.2.5　關注點脆弱性分析

開發者應提供適合測試**的產品，并向評估者提供執行關注點脆弱性分析的相關資源，包括指導性文檔、功能規范、產品設計、安全架構描述和實現表示。**