6.6 運行環境

6.6.1 運行環境通用要求

6.6.1.1 檢測目的

運行環境通用要求檢測包括3個測評單元，檢測送檢的密碼模塊的運行環境類型是否滿足 GB/T 37092—2018 規定的通用要求，以及運行環境文檔是否按照 GB/T 37092-2018 規定的要求編寫。

6.6.1.2 測評單元[06.01]

安全要求：

如果運行環境是不可修改或受限制的， GB/T 37092-2018 中7.6.2規定的操作系統要求應適用。

送檢材料要求：

本條不單獨提供材料。

檢測程序要求：

本條不單獨進行檢測。若適用，作為測評單元[06.04]的一部分進行檢測。

6.6.1.3 測評單元[06.02]

安全要求：

如果運行環境是可修改的，GB/T37092-2018中7.6.3規定的操作系統要求應適用。

送檢材料要求：

本條不單獨提供材料。

檢測程序要求：

本條不單獨進行檢測。若適用，作為測評單元[06.05]~測評單元[06.29]的一部分進行檢測。

6.6.1.4 測評單元[06.03]

安全要求：

密碼模塊運行環境文檔應按照 GB/T 37092-2018 中A.2.6規定的要求編寫。

送檢材料要求：

送檢廠商提供的文檔應按照 GB/T 37092-2018 中A.2.6規定的要求編寫。

檢測程序要求：

檢測人員應核實送檢廠商提供的文檔按照 GB/T 37092-2018 中A.2.6規定的要求編寫。

6.6.2 受限或不可修改運行環境的操作系統要求

6.6.2.1 檢測目的

受限或不可修改運行環境的操作系統要求檢測包括1個測評單元，如果送檢的密碼模塊的運行環境是受限或不可修改的，檢測是否滿足 GB/T 37092-2018 針對受限或不可修改運行環境的操作系統規定的安全要求。

6.6.2.2 測評單元[06.04]

安全要求：

如果密碼模塊在 GB/T 37092-2018 中7.7達到安全一級，則 GB/T 37092-2018 中7.6.3規定的安全一級的要求應適用。

送檢材料要求：

本條不單獨提供材料。

檢測程序要求：

本條不單獨進行檢測。若適用，作為測評單元[06.05]~測評單元[06.08]的一部分進行檢測。

6.6.3 可修改運行環境的操作系統要求

6.6.3.1 檢測目的

可修改運行環境的操作系統要求檢測包括26個測評單元，如果送檢的密碼模塊的運行環境是可修改的，檢測是否滿足GB/T37092-2018針對可修改運行環境的操作系統規定的安全要求。

注：本標準對可修改運行環境的操作系統不提供安全三級和四級的要求。因此，可修改運行環境的操作系統無法達到安全三級和四級。

6.6.3.2 測評單元[06.05]

安全要求：

每一個密碼模塊的實例應能夠控制和支配自己的敏感安全參數。

注1：密碼模塊的每一個實例控制和支配自己的敏感安全參數，不由外部進程/操作員所有和控制。

注2：這一要求不由管理文件和程序來實現，而由密碼模塊本身來實現。

送檢材料要求：

送檢廠商的文檔中應描述用來確保密碼模塊的加密進程運行時每一個實例能夠控制和支配自己的敏感安全參數的操作系統機制。

檢測程序要求：

a)檢測人員應通過審查送檢廠商的文檔和檢查操作系統，核實當密碼模塊運行時每一個實例能夠控制和支配自己的敏感安全參數。

b)檢測人員應通過審查送檢廠商的文檔和檢查操作系統，核實這一要求由密碼模塊本身來實現。

c)檢測人員應運行管理員和用戶指南文檔中描述的密碼功能，當密碼功能執行時，該檢測人員或另一檢測人員應在密碼模塊受控的情況下嘗試非授權訪問密鑰、私鑰、臨時密鑰生成值和其他敏感安全參數。

6.6.3.3 測評單元[06.06]

安全要求：

運行環境應提供應用進程間相互隔離的能力，以阻止進程間對關鍵安全參數不受控的訪問以及對敏感安全參數不受控的修改，無論關鍵安全參數和敏感安全參數是在進程內存中還是存儲在運行環境內的永久性存儲體中。

送檢材料要求：

送檢廠商的文檔中應描述運行環境機制用來提供應用進程間相互隔離的能力，以阻止進程間對關鍵安全參數不受控的訪問以及對敏感安全參數不受控的修改，無論關鍵安全參數和敏感安全參數是在進程內存中還是存儲在運行環境內的永久性存儲體中。

檢測程序要求：

a)檢測人員應通過審查送檢廠商的文檔和檢查運行環境機制，核實運行環境提供了應用進程間相互隔離的能力，以阻止進程間對關鍵安全參數不受控的訪問以及對敏感安全參數不受控的修改，無論關鍵安全參數和敏感安全參數是在進程內存中還是存儲在運行環境內的永久性存儲體中。

b)檢測人員應運行管理員和用戶指南文檔中描述的密碼功能，該檢測人員或另一檢測人員應嘗試訪問關鍵安全參數和修改敏感安全參數，無論關鍵安全參數和敏感安全參數是在進程內存中還是存儲在運行環境內的永久性存儲體中。

6.6.3.4 測評單元[06.07]

安全要求：

對運行環境配置的規定應記錄在密碼模塊的安全策略中。

送檢材料要求：

送檢廠商應提供文檔描述對運行環境配置的所有規定。

檢測程序要求：

a)檢測人員應核實送檢廠商的文檔中對運行環境配置的所有規定。

b)檢測人員應核實定對運行環境配置的所有規定記錄在安全策略中。

6.6.3.5 測評單元[06.08]

安全要求：

如果密碼模塊產生進程，其產生的進程應由密碼模塊自己所有，并且不由除密碼模塊所在進程外的其他進程/操作員所有。

注：這一要求不由管理文件和程序來實現，而由密碼模塊本身來實現。

送檢材料要求：

送檢廠商的文檔中應描述用來確保密碼模塊產生的進程由模塊自己所有，不由外部進程/操作員所有的操作系統機制。

檢測程序要求：

a)檢測人員應通過審查送檢廠商的文檔和檢查操作系統，核實密碼模塊產生的進程由模塊自己所有，不由外部進程/操作員所有。

b)檢測人員應通過審查送檢廠商的文檔和檢查操作系統，核實這一要求由密碼模塊本身來實現。

c)檢測人員應運行管理員和用戶指南文檔中的描述的密碼功能，當密碼功能執行時，該檢測人員或另一檢測人員應嘗試通過外部獨立進程或操作員獲取由密碼模塊產生的密碼進程的所有權。

6.6.3.6 測評單元[06.09]

安全要求：

對于安全二級，除了安全一級的要求以外，操作系統還應滿足下列(安全要求[06.10]~安全要求[06.30])要求或者經確認機構許可。

注1：如果運行環境要求未由確認機構指定，這個條款按照測評單元[06.10]~測評單元[06.30]進行檢測。

注2：如果運行環境要求由確認機構指定，這個條款按照本測評單元進行檢測。

送檢材料要求：

a)送檢廠商應提供文檔描述運行環境。

b)送檢廠商的文檔中應比較密碼模塊的運行環境和確認機構許可的運行環境。

檢測程序要求：

a)檢測人員應核實送檢廠商的文檔中對操作系統進行了描述。

b)檢測人員應通過檢查操作系統，核實和送檢廠商對操作系統的描述一致。

c)檢測人員應通過審查送檢廠商對操作系統的描述和檢查操作系統，核實該操作系統為確認機構所許可。

6.6.3.7 測評單元[06.10]

安全要求：

密碼模塊所在的進程應由密碼模塊自己所有，并且與包括調用者進程在內的其他進程邏輯隔離。

送檢材料要求：

送檢廠商應提供說明密碼模塊所在的進程由密碼模塊自己所有，并且與包括調用者進程在內的其他進程邏輯隔離。

檢測程序要求：

檢測人員應通過審查送檢廠商的文檔和檢查進程的運行，核實密碼模塊所在的進程由密碼模塊自己所有，并且與包括調用者進程在內的其他進程邏輯隔離。

6.6.3.8 測評單元[06.11]

安全要求：

所有密碼軟件、敏感安全參數、控制和狀態信息應在操作系統的控制之下。操作系統實現了基于角色的訪問控制， 或者實現了自主訪問控制， 該自主訪問控制可通過訪問控制列表(ACL) 來定義新的組和分配權限，并且能夠給每個用戶分配多個組。

送檢材料要求：

送檢廠商應提供操作系統文檔描述操作系統控制機制，該機制應實現了基于角色的訪問控制，或者實現了自主訪問控制， 該自主訪問控制可通過訪問控制列表(ACL) 來定義新的組和分配權限， 并且能夠給每個用戶分配多個組。

檢測程序要求：

a)檢測人員應通過審查送檢廠商的文檔和檢查操作系統控制機制，核實該機制實現了基于角色的訪問控制， 或者實現了自主訪問控制， 該自主訪問控制可通過訪問控制列表(ACL) 來定義新的組和分配權限，并且能夠給每個用戶分配多個組。

b)檢測人員應配置操作系統的基于角色的訪問控制或者自主訪問控制，為特定的用戶或組分配權限。檢測人員擔任一個允許的用戶或組角色，應嘗試執行、修改或讀取授權訪問的敏感安全參數、控制或狀態數據。

c)檢測人員應配置操作系統的基于角色的訪問控制或者自主訪問控制，為特定的用戶或組分配權限。檢測人員應擔任一個不同的用戶或組角色，應嘗試執行、修改或讀取非授權訪問的敏感安全參數、控制或狀態數據。

6.6.3.9 測評單元[06.12]

安全要求：

操作系統應正確配置，以防止非授權地執行、修改和讀取敏感安全參數、控制和狀態數據。

送檢材料要求：

送檢廠商應提供操作系統文檔描述操作系統控制機制，該機制正確配置后可以防止非授權地執行、修改和讀取敏感安全參數、控制和狀態數據。

檢測程序要求：

a)檢測人員應通過審查送檢廠商的文檔和檢查操作系統控制機制，核實操作系統正確配置后可以防止非授權地執行、修改和讀取敏感安全參數、控制和狀態數據。

b)檢測人員應正確配置操作系統，使之可防止非授權地執行、修改和讀取敏感安全參數、控制和狀態數據。在密碼進程執行期間，檢測人員應嘗試執行、修改和讀取授權訪問的敏感安全參數、控制和狀態數據。

c)檢測人員應正確配置操作系統，使之可防止非授權地執行、修改和讀取敏感安全參數、控制和狀態數據。在密碼進程執行期間，檢測人員應嘗試執行、修改和讀取非授權訪問的敏感安全參數、控制和狀態數據。

6.6.3.10 測評單元[06.13]

安全要求：

為了保護明文數據、密碼軟件、敏感安全參數和鑒別數據，操作系統的訪問控制機制應能夠通過配置，對角色或組賦予僅能執行密碼模塊中密碼軟件的權限。

送檢材料要求：

送檢廠商應提供操作系統文檔描述操作系統的訪問控制機制如何進行相關配置，以定義和實現有權運行模塊中密碼軟件的角色或組以及與它們相關的權限。

檢測程序要求：

a)檢測人員應通過審查文檔和檢查操作系統控制機制，核實操作系統可進行相關配置，以定義和實現有權運行模塊中密碼軟件的角色、分組以及與它們相關的權限。

b)檢測人員應配置操作系統控制機制，定義和實現有權運行模塊中密碼軟件的角色、分組以及與它們相關的權限。檢測人員應確認這些角色和分組有權運行模塊中密碼軟件。

c)檢測人員應配置操作系統控制機制，定義和實現無權運行模塊中密碼軟件的角色、分組以及與它們相關的權限。檢測人員應確認這些角色和分組無權運行模塊中密碼軟件。

6.6.3.11 測評單元[06.14]

安全要求：

為了保護明文數據、密碼軟件、敏感安全參數和鑒別數據，操作系統的訪問控制機制應能夠通過配置，對角色或組賦予僅能修改(寫、替換和刪除)存儲在密碼邊界內軟件和數據的權限，這些軟件和數據包括執行密碼功能的程序、密碼操作相關數據(例如，密碼操作的審計數據)、敏感安全參數和明文數據。

送檢材料要求：

送檢廠商應提供操作系統文檔描述操作系統的訪問控制機制如何進行相關配置，以定義和實現有權修改(寫、替換和刪除)存儲在密碼邊界內軟件的角色或組以及與它們相關的權限，這些軟件包括執行密碼功能的程序、密碼操作相關數據(例如，密碼操作的審計數據)、敏感安全參數和明文數據。

檢測程序要求：

a)檢測人員應通過審查文檔和檢查操作系統控制機制，核實操作系統可進行相關配置，以定義和實現有權修改(寫、替換和刪除)存儲在密碼邊界內軟件的角色、分組以及與它們相關的權限，這些軟件包括執行密碼功能的程序、密碼操作相關數據(例如，密碼操作的審計數據)、敏感安全參數和明文數據。

b)檢測人員應配置操作系統控制機制，定義和實現有權運行模塊中密碼軟件的角色、分組以及與它們相關的權限。檢測人員應確認這些角色和分組有權修改(寫、替換和刪除)存儲在密碼邊界內軟件的角色、分組以及與它們相關的權限，這些軟件包括執行密碼功能的程序、密碼操作相關數據(例如，密碼操作的審計數據)、敏感安全參數和明文數據。

c)檢測人員應配置操作系統控制機制，定義和實現無權修改(寫、替換和刪除)存儲在密碼邊界內軟件的角色、分組以及與它們相關的權限，這些軟件包括執行密碼功能的程序、密碼操作相關數據(例如，密碼操作的審計數據)、敏感安全參數和明文數據。檢測人員應確認這些角色和分組無權修改(寫、替換和刪除)上述存儲在密碼邊界內的軟件。

6.6.3.12 測評單元[06.15]

安全要求：

為了保護明文數據、密碼軟件、敏感安全參數和鑒別數據，操作系統的訪問控制機制應能夠通過配置，對角色或組賦予僅能讀取密碼操作相關數據(例如，密碼操作的審計數據)、關鍵安全參數和明文數據的權限。

送檢材料要求：

送檢廠商應提供操作系統文檔描述操作系統的訪問控制機制應如何進行相關配置，以定義和實現了有權讀取密碼操作相關數據(例如，密碼操作的審計數據)、關鍵安全參數和明文數據的角色、分組以及與它們相關的權限。

檢測程序要求：

a)檢測人員應通過審查文檔和檢查操作系統控制機制，核實操作系統可進行相關配置，以定義和實現有權讀取密碼操作相關數據(例如，密碼操作的審計數據)、關鍵安全參數和明文數據的角色、分組以及與它們相關的權限。

b)檢測人員應配置操作系統控制機制，定義和實現有權讀取密碼操作相關數據(例如，密碼操作的審計數據)、關鍵安全參數和明文數據的角色、分組以及與它們相關的權限。

c)檢測人員應配置操作系統控制機制，定義和實現無權讀取密碼操作相關數據(例如，密碼操作的審計數據)、關鍵安全參數和明文數據的角色、分組以及與它們相關的權限。檢測人員應確認這些角色和分組無權讀取密碼操作相關數據(例如，密碼操作的審計數據)、關鍵安全參數和明文數據。

6.6.3.13 測評單元[06.16]

安全要求：

為了保護明文數據、密碼軟件、敏感安全參數和鑒別數據，操作系統的訪問控制機制應能夠通過配置，對角色或組賦予僅能導入敏感安全參數的權限。

送檢材料要求：

送檢廠商應提供操作系統文檔描述操作系統的訪問控制機制如何進行相關配置，以定義和實現有權輸入敏感安全參數的角色、分組以及與它們相關的權限。

檢測程序要求：

a)檢測人員應通過審查文檔和檢查操作系統控制機制，核實操作系統可進行相關配置，以定義和實現有權輸入敏感安全參數的角色、分組以及與它們相關的權限。

b)檢測人員應配置操作系統控制機制，定義和實現有權輸入敏感安全參數的角色、分組以及與它們相關的權限。

c)檢測人員應配置操作系統控制機制，定義和實現無權輸入敏感安全參數的角色、分組以及與它們相關的權限。檢測人員應確認這些角色和分組無權輸入敏感安全參數。

6.6.3.14 測評單元[06.17]

安全要求：

下列規定應與密碼模塊安全策略文檔中已定義的角色和服務相一致。

送檢材料要求：

本條不單獨提供材料。

檢測程序要求：

本條不單獨進行檢測。作為測評單元[06.18]~測評單元[06.21]的一部分進行檢測。

6.6.3.15 測評單元[06.18]

安全要求：

當密碼模塊不支持維護員角色時，操作系統應防止所有操作員和運行的進程訪問、使用、泄露、修改和替換正在運行的密碼進程(例如，已加載的和正執行的密碼程序鏡像)。

送檢材料要求：

a)送檢廠商應提供操作系統文檔描述當密碼模塊不在維護模式時，操作系統如何防止所有操作員和運行的進程訪問、使用、泄露、修改和替換正在運行的密碼進程(例如，已加載的和正執行的密碼程序鏡像)。

b)送檢廠商提供的有關密碼模塊不在維護模式時，操作系統如何防止所有操作員和運行的進程訪問、使用、泄露、修改和替換正在運行的密碼進程(例如，已加載的和正執行的密碼程序鏡像)的說明書應與安全策略中已定義的角色、分組和服務相一致。

檢測程序要求：

a)檢測人員應通過文檔審查和操作系統訪問控制機制檢查，核實操作系統可進行相應配置，使得密碼模塊不在維護模式時，所有操作員和運行的進程都不能訪問、使用、泄露、修改和替換正在運行的密碼進程(例如，已加載的和正執行的密碼程序鏡像)。

b)檢測人員應核實密碼模塊不在維護模式時，操作系統防止所有操作員和運行的進程訪問、使用、泄露、修改和替換正在運行的密碼進程(例如，已加載的和正執行的密碼程序鏡像)的相關措施與安全策略中已定義的角色、分組和服務相一致。

c)檢測人員應配置操作系統控制機制，使得密碼模塊不在維護模式時，所有操作員和運行的進程都不能訪問、使用、泄露、修改和替換正在運行的密碼進程(例如，已加載的和正執行的密碼程序鏡像)。檢測人員應擔任操作員的角色，確認當密碼模塊不在維護模式時，他不能訪問、使用、泄露、修改和替換正在運行的密碼進程(例如，已加載的和正執行的密碼程序鏡像)。同時，檢測人員應確認當密碼模塊不在維護模式時，運行的進程不能訪問、使用、泄露、修改和替換正在運行的密碼進程(例如，已加載的和正執行的密碼程序鏡像)。

6.6.3.16 測評單元[06.19]

安全要求：

操作系統應防止用戶進程對其他進程的敏感安全參數以及系統敏感安全參數進行讀或寫操作。

送檢材料要求：

a)送檢廠商應提供操作系統文檔描述操縱系統如何防止用戶進程對其他進程的敏感安全參數以及系統敏感安全參數進行讀或寫操作。

b)送檢廠商提供的有關操作系統如何防止用戶進程對其他進程的敏感安全參數以及系統敏感安全參數進行讀或寫操作的說明書應與安全策略中已定義的角色、分組和服務相一致。

檢測程序要求：

a)檢測人員應通過審查文檔和檢查操作系統控制機制，核實操作系統可進行相關配置，以防止用戶進程對其他進程的敏感安全參數以及系統敏感安全參數進行讀或寫操作。

b)檢測人員應核實操作系統防止用戶進程對其他進程的敏感安全參數以及系統敏感安全參數進行讀或寫操作的相關措施與安全策略中已定義的角色、分組和服務相一致。

c)檢測人員應配置操作系統控制機制，防止用戶進程對其他進程的敏感安全參數以及系統敏感安全參數進行讀或寫操作。檢測人員應確認用戶進程的確無法對其他進程的敏感安全參數以及系統敏感安全參數進行讀或寫操作。

6.6.3.17 測評單元[06.20]

安全要求：

滿足以上要求的操作系統配置應在管理員指南中闡明。

送檢材料要求：

送檢廠商應提供管理員指南文檔描述操作系統的配置如何滿足了安全要求[06.18]~安全要求[06.19]的要求。

檢測程序要求：

檢測人員應核實送檢廠商提供的管理員指南描述了操作系統的配置如何滿足了安全要求[06.18]~安全要求[06.19]的要求。

6.6.3.18 測評單元[06.21]

安全要求：

管理員指南應聲明：操作系統應按照需要保護的密碼模塊內容所指定的要求進行配置。

送檢材料要求：

送檢廠商應提供管理員指南文檔聲明操作系統是按照需要保護的模塊內容所指定的要求進行的配置。

檢測程序要求：

檢測人員應核實送檢廠商的管理員指南文檔聲明了操作系統應按照需要保護的模塊內容所指定的要求進行配置。

6.6.3.19 測評單元[06.22]

安全要求：

操作系統的身份標識和鑒別機制應滿足GB/T37092—2018中7.4.4規定的要求，并在密碼模塊安全策略文檔中具體闡明。

送檢材料要求：

本條不單獨提供材料。

檢測程序要求：：

本條不單獨進行檢測。作為測評單元[06.25]~測評單元[06.29]的一部分進行檢測。

6.6.3.20 測評單元[06.23]

安全要求：

所有密碼軟件、敏感安全參數、控制和狀態信息應在操作系統的控制之下。

送檢材料要求：

本條不單獨提供材料。

檢測程序要求：

本條不單獨進行檢測。作為測評單元[06.25]~測評單元[06.29]的一部分進行檢測。

6.6.3.21 測評單元[06.24]

安全要求：

操作系統應至少擁有以下屬性。

送檢材料要求：

本條不單獨提供材料。

檢測程序要求：

本條不單獨進行檢測。作為測評單元[06.25]~測評單元[06.29]的一部分進行檢測。

6.6.3.22 測評單元[06.25]

安全要求：

操作系統應提供具有審計事件日期和時間的審計機制。

注：本條假定密碼模塊使用操作系統提供的審計機制來審計識別的事件。對于密碼模塊軟件使用其他文件作為審計日志是不夠的，不管受到怎樣的保護。

送檢材料要求：

送檢廠商應提供操作系統文檔描述操作系統提供的審計機制，以及審計事件日期和時間的標注方法。

檢測程序要求：

檢測人員應通過審查文檔和檢查操作系統，核實操作系統提供了具有審計事件日期和時間的審計機制。

6.6.3.23 測評單元[06.26]

安全要求：

密碼模塊應不把敏感安全參數寫入任何審計記錄中。

送檢材料要求：

送檢廠商應提供操作系統文檔描述密碼模塊為操作系統的審計機制提供審計記錄的服務。

檢測程序要求：

a)檢測人員應通過審查文檔和檢查密碼模塊服務(為操作系統的審計機制提供審計記錄)，核實密碼模塊未把敏感安全參數寫人任何審計記錄中。

b)檢測人員應運行密碼模塊提供審計記錄的服務，檢查操作系統的審計日志，核實其中未包括任何敏感安全參數。

6.6.3.24 測評單元[06.27]

安全要求：

密碼模塊的下列事件應被操作系統的審計機制記錄下來：

– 修改、訪問、刪除以及添加密碼操作相關數據和敏感安全參數；

– 嘗試對密碼主管功能提供無效輸入；

– 將操作員添加至密碼主管角色或將其刪除(如果那些角色是由密碼模塊管理的)；

– 使用安全相關的密碼主管功能；

– 請求訪問與密碼模塊相關的鑒別數據；

– 使用與密碼模塊相關的鑒別機制(例如，登錄)；

– 顯式的請求擔任密碼主管角色。

送檢材料要求：

送檢廠商應提供操作系統文檔描述被操作系統審計機制記錄的所有密碼模塊事件。

檢測程序要求：

a)檢測人員應通過審查文檔和檢查密碼模塊服務，核實操作系統的審計機制提供了密碼模塊的下列事件的審計事件記錄：

– 修改、訪問、刪除、以及添加密碼操作相關數據和敏感安全參數；

– 嘗試對密碼主管功能提供無效輸入；

– 將操作員添加或刪除密碼主管角色(如果那些角色是由密碼模塊管理的)；

– 使用安全相關的密碼主管功能；

– 請求訪問與密碼模塊相關的鑒別數據；

– 使用與密碼模塊相關的鑒別機制(例如，登錄)；

– 顯式的請求擔任密碼主管角色。

b)檢測人員應運行提供審計事件記錄的密碼模塊服務和檢查操作系統的審計日志，核實記錄了密碼模塊的下列事件：

– 修改、訪問、刪除、以及添加密碼操作相關數據和敏感安全參數；

– 嘗試對密碼主管功能提供無效輸入；

– 將操作員添加或刪除密碼主管角色(如果那些角色是由密碼模塊管理的)；

– 使用安全相關的密碼主管功能；

– 請求訪問與密碼模塊相關的鑒別數據；

– 使用與密碼模塊相關的鑒別機制(例如，登錄)；

– 顯式的請求擔任密碼主管角色。

注：檢測人員不必檢測由操作系統提供并由送檢廠商識別的審計機制。

6.6.3.25 測評單元[06.28]

安全要求：

操作系統的審計機制應能夠審計下列操作系統相關事件：

– 操作員對審計數據的所有讀寫訪問；

– 訪問密碼模塊用于存儲密碼操作相關數據或敏感安全參數的文件；

– 將操作員添加至密碼主管角色或將其刪除(如果那些角色是由密碼模塊管理的)；

– 對鑒別數據管理機制的使用請求；

– 當該安全等級支持可信信道時，對可信信道功能的使用請求，無論請求是否被批準；

– 當該安全等級支持可信信道時，可信信道的啟動方和接收方的身份標識。

送檢材料要求：

送檢廠商應提供操作系統文檔描述被操作系統審計機制記錄的所有操作系統事件。

檢測程序要求：

a)檢測人員應通過操作系統文檔審查，核實文檔描述的操作系統審計機制所提供和記錄的操作系統事件包括：

– 操作員對審計數據的所有讀寫訪問；

– 訪問密碼模塊用于存儲密碼操作相關數據或敏感安全參數的文件；

– 將操作員添加或刪除密碼主管角色(如果那些角色是由密碼模塊管理的)；

– 對鑒別數據管理機制的使用請求；

– 當該安全等級支持可信信道時，對使用可信信道功能的嘗試，并且無論請求是否被批準；

– 當該安全等級支持可信信道時，可信信道的啟動方和接收方的身份標識。

b)檢測人員應運行密碼模塊服務，核實操作系統的審計機制能審計下列操作系統相關事件：

– 操作員對審計數據的所有讀寫訪問；

– 訪問密碼模塊用于存儲密碼操作相關數據或敏感安全參數的文件；

– 將操作員添加或刪除密碼主管角色(如果那些角色是由密碼模塊管理的)；

– 對鑒別數據管理機制的使用請求；

– 當該安全等級支持可信信道時，對使用可信信道功能的嘗試，并且無論請求是否被批準；

– 當該安全等級支持可信信道時，可信信道的啟動方和接收方的身份識別。

6.6.3.26 測評單元[06.29]

安全要求：

操作系統應正確配置以防止操作員，除安全策略中給出的、擁有特權的操作員以外，修改存儲在密碼模塊運行環境中的密碼模塊軟件和審計數據。

送檢材料要求：

送檢廠商應提供操作系統文檔描述如何配置操作系統以防止操作員，除安全策略中給出的、擁有特權的操作員以外，修改存儲在密碼模塊運行環境中的密碼模塊軟件和審計數據。

檢測程序要求：

a)檢測人員應通過檢查操作系統配置管理文檔，核實文檔描述了如何配置操作系統以防止操作員，除安全策略中給出的、擁有特權的操作員以外，修改存儲在密碼模塊運行環境中的密碼模塊軟件和審計數據。

b)檢測人員應正確配置操作系統以防止操作員，除安全策略中給出的、擁有特權的操作員以外，修改存儲在密碼模塊運行環境中的密碼模塊軟件和審計數據。

d)檢測人員應擔任安全策略未給出的、不擁有特權的操作員角色，確認其不能修改存儲在密碼模塊運行環境中的密碼模塊軟件和審計數據。

6.6.3.27 測評單元[06.30]

安全要求：

無論密碼模塊是否在核準的工作模式下運行，應只有配置成滿足以上安全要求AS06.05~AS06.29的操作系統才符合該安全等級。

送檢材料要求：

本條不單獨提供材料。

檢測程序要求：

本條不單獨進行檢測。作為測評單元[06.05]~測評單元[06.29]的一部分進行檢測。