6.2　安全保障要求測試

6.2.1　開發

6.2.1.1　安全架構

安全架構的測試方法與預期結果如下：

a) 測試方法：

審查安全架構文檔是否準確描述如下內容：

1） 與產品設計文檔中對安全功能實施抽象描述的級別一致；

2） 描述與安全功能要求一致的終端操作系統安全功能的安全域；

3） 描述終端操作系統安全功能初始化過程為何是安全的；

4） 證實終端操作系統安全功能能夠防止被破壞；

5） 證實終端操作系統安全功能能夠防止安全特性被旁路。

b) 預期結果：

開發者提供的文檔內容應滿足上述要求。

6.2.1.2　功能規范

功能規范的測試方法與預期結果如下：

a) 測試方法：

審查功能規范文檔是否準確描述如下內容：

1） 完全描述終端操作系統的安全功能；

2） 描述所有安全功能接口的目的與使用方法；

3） 標識和描述每個安全功能接口相關的所有參數；

4） 描述安全功能接口相關的安全功能實施行為；

5） 描述由安全功能實施行為處理而引起的直接錯誤消息；

6） 證實安全功能要求到安全功能接口的追溯。

b) 預期結果：

開發者提供的文檔內容應滿足上述要求。

6.2.1.3　產品設計

產品設計的測試方法與預期結果如下：

a) 測試方法：

審查產品設計文檔是否準確描述如下內容：

1） 根據子系統描述終端操作系統結構；

2） 標識和描述終端操作系統安全功能的所有子系統；

3） 描述安全功能所有子系統間的相互作用；

4） 提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能接口。

b) 預期結果：

開發者提供的文檔內容應滿足上述要求。

6.2.2　指導性文檔

6.2.2.1　操作用戶指南

操作用戶指南的測試方法與預期結果如下：

a) 測試方法：

審查操作用戶指南是否準確描述如下內容：

1） 描述在安全處理環境中被控制的用戶可訪問的功能和特權，包含適當的警示信息；

2） 描述如何以安全的方式使用終端操作系統提供的可用接口；

3） 描述可用功能和接口，尤其是受用戶控制的所有安全參數，適當時指明安全值；

4） 明確說明與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能所控制實體的安全特性；

5） 標識終端操作系統運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關系和聯系；

6） 充分實現安全目的所必須執行的安全策略。

b) 預期結果：

開發者提供的文檔內容應滿足上述要求。

6.2.2.2　準備程序

準備程序的測試方法與預期結果如下：

a) 測試方法：

審查準備程序文檔是否準確描述如下內容：

1） 描述與開發者交付程序相一致的安全接收所交付終端操作系統必需的所有步驟；

2） 描述安全安裝終端操作系統及其運行環境必需的所有步驟。

b) 預期結果：

開發者提供的文檔內容應滿足上述要求。

6.2.3　生命周期支持

6.2.3.1　配置管理能力

配置管理能力的測試方法與預期結果如下：

a) 測試方法：

1） 審查開發者是否為不同版本的終端操作系統提供唯一的標識；

2） 現場檢查配置管理系統是否對所有的配置項作出唯一的標識，且配置管理系統是否對配置項進行了維護；

3） 審查開發者提供的配置管理文檔，是否描述了對配置項進行唯一標識的方法。

b) 預期結果：

開發者提供的文檔和現場活動證據內容應滿足上述要求。

6.2.3.2　配置管理范圍

配置管理范圍的測試方法與預期結果如下：

a) 測試方法：

1） 審查開發者提供的配置項列表；

2） 配置項列表是否描述了組成終端操作系統的全部配置項及相應的開發者。

b) 預期結果：

開發者提供的文檔和現場活動證據內容應滿足上述要求。

6.2.3.3　交付程序

交付程序的測試方法與預期結果如下：

a) 測試方法：

1） 現場檢查開發者是否使用一定的交付程序交付終端操作系統；

2） 審查開發者是否使用文檔描述交付過程，文檔中是否包含以下內容：在給用戶方交付系統的各版本時，為維護安全所必需的所有程序。

b) 預期結果：

開發者提供的文檔和現場活動證據內容應滿足上述要求。

6.2.4　測試

6.2.4.1　覆蓋

覆蓋的測試方法與預期結果如下：

a) 測試方法：

審查開發者提供的測試覆蓋文檔，在測試覆蓋證據中，是否表明測試文檔中所標識的測試與功能規范中所描述的終端操作系統的安全功能是對應的。

b) 預期結果：

開發者提供的文檔內容應滿足上述要求。

6.2.4.2　功能測試

功能測試的測試方法與預期結果如下：

a) 測試方法：

1） 審查開發者提供的測試文檔，是否包括測試計劃、預期的測試結果和實際測試結果；

2） 審查測試計劃是否標識了要測試的安全功能，是否描述了每個安全功能的測試方案（包括對其它測試結果的順序依賴性）；

3） 審查期望的測試結果是否表明測試成功后的預期輸出；

4） 審查實際測試結果是否表明每個被測試的安全功能能按照規定進行運作。

b) 預期結果：

開發者提供的文檔內容應滿足上述要求。

6.2.4.3　獨立測試

獨立測試的測試方法與預期結果如下：

a) 測試方法：

1） 評價者應審查開發者提供的測試資源；

2） 評價者應審查并測試開發者提供的測試集合是否與其自測系統功能時使用的測試集合相一致。

b) 預期結果：

開發者提供的資源應滿足上述要求。

6.2.5　脆弱性評定

脆弱性評定的測試方法與預期結果如下：

a) 測試方法：

1） 審查開發者提供的脆弱性分析文檔，是否對所標識的每個具有安全功能強度聲明的安全機制進行了安全功能強度分析；

2） 從用戶可能破壞安全策略的明顯途徑出發，按照安全機制定義的安全強度級別，對終端操作系統進行脆弱性分析；

3） 利用相關工具、腳本及人工滲透測試方法，參照CNNVD等權威漏洞發布平臺公布的高中危漏洞，對被測操作系統進行攻擊測試和漏洞驗證。

b) 預期結果：

滲透性測試結果應表明終端操作系統能夠抵抗具有基本攻擊潛力攻擊者的攻擊。