5.2　安全保障要求

5.2.1　開發

5.2.1.1　安全架構

開發者應提供終端操作系統安全功能的安全架構描述，安全架構描述應滿足以下要求：

a) 與產品設計文檔中對安全功能實施抽象描述的級別一致；

b) 描述與安全功能要求一致的終端操作系統安全功能的安全域；

c) 描述終端操作系統安全功能初始化過程為何是安全的；

d) 證實終端操作系統安全功能能夠防止被破壞；

e) 證實終端操作系統安全功能能夠防止安全特性被旁路。

5.2.1.2　功能規范

開發者應提供完備的功能規范說明，功能規范說明應滿足以下要求：

a) 完全描述終端操作系統的安全功能；

b) 描述所有安全功能接口的目的與使用方法；

c) 標識和描述每個安全功能接口相關的所有參數；

d) 描述安全功能接口相關的安全功能實施行為；

e) 描述由安全功能實施行為處理而引起的直接錯誤消息；

f) 證實安全功能要求到安全功能接口的追溯。

5.2.1.3　產品設計

開發者應提供產品設計文檔，產品設計文檔應滿足以下要求：

a) 根據子系統描述終端操作系統結構；

b) 標識和描述終端操作系統安全功能的所有子系統；

c) 描述安全功能所有子系統間的相互作用；

d) 提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能接口。

5.2.2　指導性文檔

5.2.2.1　操作用戶指南

開發者應提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應滿足以下要求：

a) 描述在安全處理環境中被控制的用戶可訪問的功能和特權，包含適當的警示信息；

b) 描述如何以安全的方式使用終端操作系統提供的可用接口；

c) 描述可用功能和接口，尤其是受用戶控制的所有安全參數，適當時指明安全值；

d) 明確說明與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能所控制實體的安全特性；

e) 標識終端操作系統運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關系和聯系；

f) 充分實現安全目的所必須執行的安全策略。

5.2.2.2　準備程序

開發者應提供終端操作系統及其準備程序，準備程序描述應滿足以下要求：

a) 描述與開發者交付程序相一致的安全接收所交付終端操作系統必需的所有步驟；

b) 描述安全安裝終端操作系統及其運行環境必需的所有步驟。

5.2.3　生命周期支持

5.2.3.1　配置管理能力

開發者的配置管理能力應滿足以下要求：

a) 為終端操作系統的不同版本提供唯一的標識；

b) 使用配置管理系統對組成終端操作系統的所有配置項進行維護，并唯一標識配置項；

c) 提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法。

5.2.3.2　配置管理范圍

開發者應提供終端操作系統配置項列表，并說明配置項的開發者。配置項列表至少包含終端操作系統、安全保障要求的評估證據和終端操作系統的組成部分。

5.2.3.3　交付程序

開發者應使用一定的交付程序交付終端操作系統，并將交付過程文檔化。在給用戶方交付終端操作系統的各版本時，交付文檔應描述為維護安全所必需的所有程序。

5.2.4　測試

5.2.4.1　覆蓋

開發者應提供測試覆蓋文檔，測試覆蓋描述應表明測試文檔中所標識的測試與功能規范中所描述的終端操作系統的安全功能間的對應性。

5.2.4.2　功能測試

開發者應測試終端操作系統安全功能，將結果文檔化并提供測試文檔。測試文檔應包括以下內容：

a) 測試計劃，標識要執行的測試，并描述執行每個測試的方案，這些方案包括對于其它測試結果的任何順序依賴性；

b) 預期的測試結果，表明測試成功后的預期輸出；

c) 實際測試結果和預期的測試結果一致。

5.2.4.3　獨立測試

開發者應提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。

5.2.5　脆弱性評定

開發者應執行脆弱性分析，并提供脆弱性分析文檔。基于已標識的潛在脆弱性，終端操作系統能夠抵抗具有基本攻擊潛力攻擊者的攻擊。