GB/T 38625-2020 信息安全技術 密碼模塊安全檢測要求6.11 生命周期保障
6.11.1 生命周期保障通用要求
6.11.1.1 檢測目的
生命周期保障通用要求檢測包括1個測評單元,檢測送檢廠商是否提供了配置管理、設計、有限狀態模型(FSM) 、開發、測試、配送和操作以及指南文檔。
6.11.1.2 測評單元[11.01]
安全要求:
密碼模塊生命周期保障文檔應按照GB/T37092-2018中A.2.11規定的要求編寫。
送檢材料要求:
送檢廠商提供的文檔應按照GB/T37092-2018中A.2.11規定的要求編寫。
檢測程序要求:
檢測人員應核實送檢廠商提供的文檔按照 GB/T 37092-2018 中A.2.11規定的要求編寫。
6.11.2 配置管理
6.11.2.1 檢測目的
配置管理檢測包括5個測評單元,檢測送檢廠商是否采用了配置管理系統,以及配置管理系統的使用是否滿足不同安全等級的要求。
6.11.2.2 測評單元[11.02]
安全要求:
安全一級和二級的密碼模塊應滿足下列安全要求(安全要求[11.03]~安全要求[11.05])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[11.03]~測評單元[11.05]的一部分進行檢測。
6.11.2.3 測評單元[11.03]
安全要求:
密碼模塊及其部件的開發過程以及相關文檔都應使用配置管理系統管理。
送檢材料要求:
送檢廠商提供的文檔中應對配置管理系統進行說明,該配置管理系統為密碼模塊及其部件的開發過程以及相關文檔進行系統管理。
檢測程序要求:
檢測人員應審查送檢廠商提供的文檔以核實配置管理系統得以實現。
6.11.2.4 測評單元[11.04]
安全要求:
每個配置條目(例如, 密碼模塊、密碼模塊硬件部分、密碼模塊軟件部件、密碼模塊HDL、用戶指南、安全策略等)的每個版本,都應被分配并標注一個唯一的身份標識碼。
送檢材料要求:
a)送檢廠商提供的文檔中應包括所有配置條目的配置清單,并應對唯一核實配置條目的方法進行說明。
b)送檢廠商提供的文檔中應描述用以唯一標識每個經確認的配置條目版本的方法。
檢測程序要求:
a)檢測人員應核實送檢廠商提供的配置清單列入所有配置條目。
b)檢測人員應核實送檢廠商的文檔中詳細說明了用以唯一標識所有配置條目的方法。
c)檢測人員應核實送檢廠商的文檔中對用以唯一標識每個經確認的配置條目版本的方法進行了描述。
d)檢測人員應核實送檢廠商的文檔中唯一標識了每個經確認的配置條目版本。
6.11.2.5 測評單元[11.05]
安全要求:
在經確認的密碼模塊的整個生命周期中,配置管理系統應追蹤并維護標識和版本的更改,或每個配置條目的修訂。
送檢材料要求:
送檢廠商的文檔應詳細說明只有經過授權才能對配置條目進行更改的方法。
檢測程序要求:
檢測人員應核實送檢廠商的文檔詳細說明了只有經過授權才能對配置條目進行更改的方法。
6.11.2.6 測評單元[11.06]
安全要求:
除了安全一級和二級要求,還應使用自動的配置管理系統對配置條目進行管理。
送檢材料要求:
送檢廠商的文檔中應詳細說明配置管理系統如何提供一套自動化方法以支持密碼模塊的生成。
檢測程序要求:
檢測人員應核實送檢的文檔中詳細說明了配置管理系統如何提供一套自動化方法以支持密碼模塊的生成。
6.11.3 設計
6.11.3.1 檢測目的
設計檢測包括1個測評單元,檢測密碼模塊的設計是否允許測試所提供的所有安全相關服務。
6.11.3.2 測評單元[11.07]
安全要求:
密碼模塊應設計成允許測試所提供的所有安全相關服務。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條在6.4.3中進行檢測。
6.11.4 有限狀態模型
6.11.4.1 檢測目的
有限狀態模型檢測包括6個測評單元,檢測送檢廠商提供的有限狀態模型是否采用了狀態轉移圖、狀態轉移表和狀態描述來表示,以及有限狀態模型包含的運行狀態和錯誤狀態是否全面。
6.11.4.2 測評單元[11.08]
安全要求:
密碼模塊的運行應使用FSM(或同等模型) 來說明, 該FSM是用狀態轉移圖、狀態轉移表和狀態描述來表示的。
送檢材料要求:
a)送檢廠商應提供有限狀態模型的描述。描述應包括對模塊所有狀態的標識和描述以及對所有相關狀態轉移的描述。狀態轉移的描述應包括內部模塊條件、引起狀態轉移的數據輸入和控制輸入,以及由狀態轉移導致的數據輸出和狀態輸出。
b)送檢廠商的文檔中應建立以下完整描述:
– 正常工作;
– 數據輸入接口;
– 數據輸出接口;
– 控制輸入接口;
– 控制輸出接口;
– 狀態輸出接口;
– 可信信道;
– 密碼主管角色;
– 用戶角色;
– 其他角色(若適用);
– 安全服務;
– 敏感安全參數輸入服務(若適用);
– 顯示狀態服務;
– 操作員鑒別;
– 自測試;
– 其他授權的服務、運行、和功能(若適用);
– 錯誤狀態;
– 旁路服務(若適用);
– 維護訪問接口(若適用);
– 維護員角色(如果提供了維護訪問接口);
– 敏感安全參數產生和建立服務(若適用);
– 敏感安全參數輸出服務(若適用);
– 空閑狀態(若適用);
– 非初始化狀態(若適用)。
檢測程序要求:
a)檢測人員應核實送檢廠商提供了有限狀態模塊的描述。描述應包括對模塊所有狀態的識別和描述、以及對所有相關狀態轉移的描述。檢測人員應核實狀態轉移描述包括內部模塊條件、引起狀態轉移的數據輸入和控制輸入,以及由狀態轉移導致的數據輸出和狀態輸出。
– 正常工作;
– 數據輸入接口;
– 數據輸出接口;
– 控制輸入接口;
– 控制輸出接口;
– 狀態輸出接口;
– 可信信道;
– 密碼主管角色;
– 用戶角色;
– 其他角色(若適用);
– 安全服務;
– 敏感安全參數輸入服務(若適用);
– 顯示狀態服務;
– 操作員鑒別;
– 自測試;
– 其他授權的服務、運行、和功能(若適用);
– 錯誤狀態;
– 旁路服務(若適用);
– 維護訪問接口(若適用);
– 維護員角色(如果提供了維護訪問接口);
– 敏感安全參數產生和建立服務(若適用);
– 敏感安全參數輸出服務(若適用);
– 空閑狀態(若適用);
– 非初始化狀態(若適用)。
c)檢測人員應核實在有限狀態模型中每個不同的密碼模塊服務、安全功能用途、錯誤狀態、自測試,或操作員鑒別被描繪成一個獨立的狀態。
d)檢測人員應核實在有限狀態圖中標識的每一個狀態也在有限狀態模型的描述中進行了標識和描述。
e)檢測人員應核實在有限狀態模型的描述中標識和描述的每一個狀態也在有限狀態圖中進行了標識。
f)檢測人員應核實模塊的運行與有限狀態圖和描述一致。
g)如果模塊包括維護接口,那么檢測人員應核實有限狀態模型至少有一個維護狀態定義。所有維護狀態應包含在有限狀態圖中,并在有限狀態模型的描述中進行描述。
h)如果密碼模塊明確定義了不相交狀態,檢測人員應核實其狀態描述。檢測人員應核實數據和控制輸入的所有可能的組合可以被劃分為不相交的集合。
i)檢測人員應執行密碼模塊,使其進入各個主狀態。每個狀態具有不同的標識,當模塊處于此狀態時,檢測人員應嘗試核實該標識。如果沒有觀察到期望的標識,或者同時觀察到兩個或更多
j)檢測人員應核實存在一個從初始上電狀態到模型中每一個其他狀態(非上電狀態)的轉移鏈
k)檢測人員應核實模型中存在一個從非斷電狀態到斷電狀態的轉移鏈。
i)檢測人員應核實定義了有限狀態模型的行為,這些行為是所有可能數據和控制輸入的結果。
6.11.4.3 測評單元[11.09]
安全要求:
FSM應足夠詳細, 以證明密碼模塊符合本標準的所有要求。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。作為測評單元[11.10]~測評單元[11.13]的一部分進行檢測。
6.11.4.4 測評單元[11.10]
安全要求:
密碼模塊的FSM應至少包括下列運行狀態和錯誤狀態:
– 電源開啟/關閉狀態;
– 初始化狀態;
– 密碼主管狀態;
– 關鍵安全參數輸入狀態;
– 用戶狀態(若實現了用戶角色);
– 核準的狀態;
– 自測試狀態;
– 錯誤狀態。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[11.08]的一部分進行檢測。
6.11.4.5 測評單元[11.11]
安全要求:
除了那些需要維護、保養或修理密碼模塊的“硬”錯誤所導致的錯誤狀態,從錯誤狀態中恢復過來應是可以做到的。
送檢材料要求:
對于不需要維護、服務或維修的密碼模塊錯誤狀態,送檢廠商的文檔中應描述其適用的恢復方法。
檢測程序要求:
從不需要維護、服務或維修的錯誤狀態中恢復,檢測人員應核實密碼模塊能夠被轉移到一個可接受的運行或初始化狀態。工作包括兩部分:首先,檢測人員應核實密碼模塊指示其進入錯誤狀態;其次,核實模塊在目標狀態中運行正確。檢測人員應報告是怎樣核實這一要求的(例如,通過代碼檢測或通過模塊測試)。
6.11.4.6 測評單元[11.12]
安全要求:
每個不同的密碼模塊服務、安全功能使用、錯誤狀態、自測試或操作員鑒別應作為一個獨立的狀態來描述。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[11.08]的一部分進行檢測。
6.11.4.7 測評單元[11.13]
安全要求:
除密碼主管以外,任何其他角色應被禁止轉換成密碼主管狀態。
送檢材料要求:
送檢廠商的文檔中應說明除密碼主管以外,任何其他角色被禁止轉換成密碼主管狀態。
檢測程序要求:
a)檢測人員應核實送檢廠商的文檔中說明了除密碼主管以外,任何其他角色被禁止轉換成密碼主管狀態。
b)檢測人員應嘗試將用戶角色轉換成密碼主管,如轉換成功,則檢測失敗。
c)如有維護員角色,檢測人員應嘗試將維護員角色轉換成密碼主管,如轉換成功,則檢測失敗。
6.11.5 開發
6.11.5.1 檢測目的
開發檢測包括15個測評單元,檢測送檢廠商是否具有嚴格合規的開發過程以滿足不同安全等級的要求。
6.11.5.2 測評單元[11.14]
安全要求:
安全一級的密碼模塊應滿足下列安全要求(安全要求[11.15]~安全要求[11.21])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[11.15]~測評單元[11.21]的一部分進行檢測。
6.11.5.3 測評單元[11.15]
安全要求:
如果密碼模塊包含軟件或固件,那么源代碼、編程語言、編譯器、編譯器版本和編譯器選項、鏈接器和鏈接器選項、運行時庫和運行時庫設置、配置設置、生成過程和方法、生成選項、環境變量以及所有用于編譯和鏈接源代碼使其成為可運行形式的其他資源,都應使用配置管理系統進行追蹤。
送檢材料要求:
a)對于包含軟件和固件的密碼模塊,送檢廠商應提供源代碼、編程語言、編譯器、編譯器版本和編譯器選項、鏈接器和鏈接器選項、運行時庫和運行時庫設置、配置設置、生成過程和方法、生成選項、環境變量以及所有用于編譯和鏈接源代碼使其成為可執行形式的其他資源。
b)對于送檢材料要求[11.15]a)中記錄的每一個條目,送檢廠商應提供文檔說明這些條目采用了配置管理系統進行追蹤。
檢測程序要求:
a)對于包含軟件和固件的密碼模塊,檢測人員應核實送檢廠商提供了源代碼、編程語言、編譯器、編譯器版本和編譯器選項、鏈接器和鏈接器選項、運行時庫和運行時庫設置、配置設置、生成過程和方法、生成選項、環境變量以及所有用于編譯和鏈接源代碼使其成為可執行形式的其他資源。
b)對于送檢材料要求[11.15]a)中記錄的每一個條目,檢測人員應核實送檢廠商提供文檔說明這些條目采用了配置管理系統進行追蹤。
6.11.5.4 測評單元[11.16]
安全要求:
如果密碼模塊包含軟件或固件,那么源代碼應用注釋進行標注,注釋應該描述出軟件或固件與密碼模塊設計的對應關系。
送檢材料要求:
a)送檢廠商應提供包含在密碼模塊中的所有軟件和固件部件名稱的清單。
b)送檢廠商應提供包含在密碼模塊中的所有軟件和固件部件的帶有注釋的源代碼。
檢測程序要求:
a)檢測人員應使用送檢廠商提供的清單,來核實每一個軟件或固件部件的源代碼包含在密碼模塊中。
b)檢測人員應核實源代碼用注釋進行了標注,且注釋描述出軟件或固件與模塊設計的對應關系。
6.11.5.5 測評單元[11.17]
安全要求:
如果密碼模塊包含硬件, 若適用的話, 文檔應闡明電路圖和/或硬件描述語言(HDL) 。
送檢材料要求:
送檢廠商應提供包含在密碼模塊中的硬件部件清單。
檢測程序要求:
檢測人員應按照送檢廠商提供的清單,來核實文檔中包括所有硬件部件的電路圖和/或硬件描述語言(HDL) 。
6.11.5.6 測評單元[11.18]
安全要求:
如果密碼模塊包含硬件, HDL代碼應用注釋進行標注, 注釋應描述出硬件與密碼模塊設計的對應關系。
送檢材料要求:
送檢廠商應提供包含在密碼模塊中的所有硬件部件的帶有注釋的HDL代碼清單。
檢測程序要求:
檢測人員應按照送檢廠商提供的目錄來檢查包含在密碼模塊中的所有硬件部件的HDL代碼列表, 并核實HDL代碼用注釋進行了標注, 且注釋描述出硬件與模塊設計的對應關系。
6.11.5.7 測評單元[11.19]
安全要求:
對于軟件和固件密碼模塊以及混合密碼模塊中的軟件或固件部件 GB/T 37092-2018 中7.5和7.10規定的完整性和驗證技術機制的結果,應在密碼模塊開發過程中,由廠商計算并集成到軟件或固件密碼模塊內。
送檢材料要求:
對于軟件和固件密碼模塊以及混合模塊中的軟件或固件部件,送檢廠商應提供文檔說明 GB/T 37092-2018 中7.5和 GB/T 37092-2018 中7.10規定的完整性和驗證技術機制的結果,在模塊開發過程中,已計算并集成到軟件或固件模塊內。
檢測程序要求:
對于軟件和固件密碼模塊以及混合模塊中的軟件或固件部件,檢測人員應核實送檢廠商提供文檔說明了GB/T 37092-2018 中7.5和 GB/T 37092-2018 中7.10規定的完整性和驗證技術機制的結果,在模塊開發過程中,已計算并集成到軟件或固件模塊內。
6.11.5.8 測評單元[11.20]
安全要求:
對于軟件和固件密碼模塊以及混合密碼模塊中的軟件或固件部件密碼模塊文檔應闡明將源代碼編譯為可運行形式代碼所使用的編譯器、配置設置以及方法。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[11.15]的一部分進行檢測。
6.11.5.9 測評單元[11.21]
安全要求:
對于軟件和固件密碼模塊以及混合密碼模塊中的軟件或固件部件密碼模塊應使用產品級的開發工具(例如,編譯器)進行開發。
送檢材料要求:
送檢廠商應提供文檔說明密碼模塊應使用產品級的開發工具(例如,編譯器)進行開發。
檢測程序要求:
檢測人員應核實送檢廠商提供文檔說明了密碼模塊應使用產品級的開發工具(例如,編譯器)進行開發。
6.11.5.10 測評單元[11.22]
安全要求:
除了安全一級的要求,安全二級和三級的密碼模塊還應滿足下列安全要求(安全要求[11.23]~安全要求[11.26])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[11.23]~測評單元[11.26]的一部分進行檢測。
6.11.5.11 測評單元[11.23]
安全要求:
密碼模塊內所有軟件或固件應采用高級非私有語言實現。如果低級語言對密碼模塊的性能有重要作用或在高級語言無法使用的情況下,應在使用低級語言(例如,匯編語言或微指令)時給出根據。
送檢材料要求:
送檢廠商應提供文檔說明密碼模塊內所有軟件或固件采用了高級非私有語言實現。
檢測程序要求:
檢測人員應核實送檢廠商提供文檔說明了密碼模塊內所有軟件或固件采用了高級非私有語言實現。
6.11.5.12 測評單元[11.24]
安全要求:
密碼模塊內所有軟件或固件應采用高級非私有語言實現。如果低級語言對密碼模塊的性能有重要作用或在高級語言無法使用的情況下,應在使用低級語言(例如,匯編語言或微指令)時給出據。
送檢材料要求:
送檢廠商應標識所有未使用高級語言的軟件和固件部件,并對部件使用低級語言的根據。該根據應引證是由于高級語言不可用或提高軟件或固件性能所需。
檢測程序要求:
檢測人員應檢查所有軟件和/或固件部件的源代碼以核實哪些使用了低級語言。檢測人員應核實除了送檢材料要求[11.24]a)中標識的之外,沒有軟件和/或固件部件使用低級語言。
6.11.5.13 測評單元[11.25]
安全要求:
密碼模塊內的定制集成電路應采用高級硬件描述語言(HDL) 實現(例如, VHDL或Verilog) 。
送檢材料要求:
送檢廠商應提供使用高級規范語言實現的硬件部件文檔。
檢測程序要求:
檢測人員應核實送檢廠商的文檔中包括送檢材料要求[11.25]a)中指定的信息。
6.11.5.14 測評單元[11.26]
安全要求:
軟件和固件密碼模塊的設計和實現應避免使用對密碼模塊功能和運行不必要的代碼、參數或符號。
送檢材料要求:
對于軟件和固件密碼模塊,送檢廠商應提供文檔說明軟件和固件的設計和實現避免使用了對模塊功能和運行不必要的代碼、參數或符號。
檢測程序要求:
對于軟件和固件密碼模塊,檢測人員應核實送檢廠商提供文檔說明軟件和固件的設計和實現避免使用了對模塊功能和運行不必要的代碼、參數或符號。
6.11.5.15 測評單元[11.27]
安全要求:
除了安全一級、二級和三級的要求,安全四級的密碼模塊還應滿足下列安全要求(安全要求[11.28])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[11.28]的一部分進行檢測。
6.11.5.16 測評單元[11.28]
安全要求:
對于每個密碼模塊的硬件和軟件部件,文檔應具有注釋,以闡明:進入密碼模塊部件、功能和程序時,為確保執行正確所需要的前置條件;密碼模塊部件、功能和程序完成時,預期值為真的后置條件。
注:前置條件和后置條件可以使用任何足夠詳細的表示方法進行闡述,以完整且清晰地解釋密碼模塊部件、功能或程序的行為。
送檢材料要求:
所有硬件、軟件和固件部件的源代碼應包括注釋,如同安全要求[11.28]要求的前提條件及后續條件。
檢測程序要求:
檢測人員應核實所有源代碼包含送檢材料要求[11.28]中指定的信息。
6.11.6 廠商測試
6.11.6.1 檢測目的
廠商測試檢測包括3個測評單元,檢測送檢廠商對密碼模塊中實現的安全功能的測試是否滿足不同安全等級的要求。
6.11.6.2 測評單元[11.29]
安全要求:
對于安全一級和二級,文檔應闡明在密碼模塊上執行的功能測試。
送檢材料要求:
送檢廠商應提供文檔詳細說明在密碼模塊上執行的功能測試。
檢測程序要求:
檢測人員應核實送檢廠商提供的文檔中詳細說明了密碼模塊上執行的功能測試。
6.11.6.3 測評單元[11.30]
安全要求:
對于軟件或固件密碼模塊以及混合密碼模塊中的軟件或固件部件,廠商應使用通用的自動安全診斷工具(例如,檢查緩沖區溢出等)。
送檢材料要求:
對于軟件或固件密碼模塊以及混合模塊中的軟件或固件部件,送檢廠商應提供文檔說明使用了通用的自動安全診斷工具(例如,檢查緩沖區溢出等)。
檢測程序要求:
對于軟件或固件密碼模塊以及混合模塊中的軟件或固件部件,檢測人員應核實送檢廠商提供的文檔中說明使用了通用的自動安全診斷工具(例如,檢查緩沖區溢出等)。
6.11.6.4 測評單元[11.31]
安全要求:
除了安全一級和二級中的要求,文檔還應闡明在密碼模塊上執行的底層測試的過程與結果。
送檢材料要求:
送檢廠商的文檔中應詳細說明在密碼模塊上執行的底層測試的過程與結果。
檢測程序要求:
檢測人員應核實送檢廠商的文檔中詳細說明了在密碼模塊上執行的底層測試的過程與結果。
6.11.7 配送與操作
6.11.7.1 檢測目的
配送與操作檢測包括4個測評單元,檢測密碼模塊的安全配送、安裝以及啟動是否滿足不同安全等級的要求。
6.11.7.2 測評單元[11.32]
安全要求:
對于安全一級,文檔應闡明密碼模塊的安全安裝、初始化與啟動的流程。
送檢材料要求:
送檢廠商的文檔中應描述對密碼模塊的安全安裝、初始化以及啟動所需的步驟。
檢測程序要求:
a)檢測人員應核實送檢廠商提供的文檔說明包括安裝、初始化以及啟動的流程是在安全配置的環境中。
b)檢測人員應執行密碼模塊的安全安裝、初始化以及啟動流程并驗證它們的正確性。
6.11.7.3 測評單元[11.33]
安全要求:
除了安全一級的要求之外,文檔還應闡明在分發、安裝和初始化密碼模塊的版本給已授權的操作員時,維持密碼模塊安全性所需的步驟。
送檢材料要求:
配送文檔中應描述在將密碼模塊分發給已授權操作員的過程中用以維持安全性所需的流程。
檢測程序要求:
檢測人員應核實送檢廠商提供的文檔中說明了在將密碼模塊的版本分發和配送給已授權操作員的過程中用以維持安全性所需流程的正確性。
6.11.7.4 測評單元[11.34]
安全要求:
(接安全要求[11.33])這些步驟應詳細指出在配送、安裝和初始化密碼模塊給已授權操作員的過程中,如何檢測密碼模塊是否被拆卸或篡改過。
送檢材料要求:
送檢廠商的文檔中應詳細說明在將密碼模塊配送、安裝和初始化密碼模塊給已授權操作員的過程中,如何檢測模塊是否被拆卸或篡改過的流程。
檢測程序要求:
檢測人員應核實送檢廠商提供的文檔中詳細說明了在將密碼模塊配送、安裝和初始化密碼模塊給已授權操作員的過程中,如何檢測模塊是否被拆卸或篡改過的流程。
6.11.7.5 測評單元[11.35]
安全要求:
除了安全二級和三級中的要求之外,還應要求密碼模塊使用廠商提供的操作員特定鑒別數據對已授權的操作員進行鑒別。
送檢材料要求:
送檢廠商的文檔中應說明針對已授權的操作員使用廠商提供的操作員特定鑒別數據進行鑒別的流程。
檢測程序要求:
檢測人員應核實送檢廠商提供的文檔中說明了針對已授權的操作員使用廠商提供的操作員特定鑒別數據進行鑒別的流程。
6.11.8 生命終止
6.11.8.1 檢測目的
生命終止檢測包括2個測評單元,檢測密碼模塊生命終止的流程是否滿足 GB/T 37092-2018 規定的安全要求。
6.11.8.2 測評單元[11.36]
安全要求:
對于安全一級和二級,文檔應闡明安全清理密碼模塊的流程。
送檢材料要求:
送檢廠商應提供文檔詳細說明安全清理密碼模塊的流程。
檢測程序要求:
檢測人員應核實送檢廠商提供的文檔中詳細說明了安全清理密碼模塊的流程。
6.11.8.3 測評單元[11.37]
安全要求:
除了安全一級和二級的要求,文檔應闡明安全銷毀密碼模塊所需的流程。
送檢材料要求:
送檢廠商應提供文檔詳細說明安全銷毀密碼模塊的流程。
檢測程序要求:
檢測人員應核實送檢廠商提供的文檔中詳細說明了安全銷毀密碼模塊的流程。
6.11.9 指南文檔
6.11.9.1 檢測目的
配送與操作檢測包括2個測評單元,檢測密碼模塊的指南文檔是否能夠詳細的指導安全的管理與使用密碼模塊。
6.11.9.2 測評單元[11.38]
安全要求:
管理員指南應闡明:
– 密碼主管和/或其他管理角色可用的密碼模塊的管理功能、安全事件、安全參數(以及適當的參數值)、物理端口以及邏輯接口。
– 每種操作員鑒別數據及其對應機制的使用流程。
– 在核準的工作模式下管理密碼模塊的措施。
– 與密碼模塊安全操作相關的用戶行為的假定。
送檢材料要求:
a)送檢廠商提供的文檔中應包括安全要求[11.38]中列出的信息。
b)密碼模塊相應的管理員應可以得到非私有的指南。
檢測程序要求:
檢測人員應核實送檢的文檔中包括安全要求[11.38]中列出的信息。
6.11.9.3 測評單元[11.39]
安全要求:
非管理員指南應闡明:
– 密碼模塊用戶可用的核準的和非核準的安全功能、物理端口以及邏輯接口。
– 用戶對密碼模塊的核準工作模式所承擔的所有必要責任。
送檢材料要求:
a)送檢廠商提供的文檔中應包含安全要求[11.39]中列出的信息。
b)密碼模塊相應的非管理員可以得到非私有的指南。
檢測程序要求:
檢測人員應核實送檢的文檔中包括安全要求[11.39]中列出的信息。
推薦文章: