6.3安全保障要求測評

6.3.1開發

6.3.1.1安全架構

安全架構的測評方法如下：

a)測評方法：

核查開發者提供的安全架構證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)與服務器設計文檔中對安全功能的描述范圍和抽象描述級別是否相一致；

2)是否描述了服務器安全功能采取的自我保護、不可旁路的安全機制，保證服務器安全功能不被破壞和干擾。

b)預期結果：

開發者提供的信息滿足5.2.1.1中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.1.2功能規范

功能規范的測評方法如下：

a)測評方法：

核查開發者提供的功能規范證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)是否清晰描述了與5.1中定義的安全功能要求的關系；

2)是否標識和描述了服務器所有安全功能接口的目的、使用方法及相關參數；

3)描述安全功能實施過程中，是否描述了與安全功能接口執行相關的行為；

4)是否描述了可能由安全功能接口的執行而引起的所有直接錯誤消息。

b)預期結果：

開發者提供的信息滿足5.2.1.2中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.1.3產品設計

產品設計的測評方法如下：

a)測試方法：

核查開發者提供的產品設計證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)是否根據子系統描述了服務器結構，是否標識和描述了服務器安全功能的所有子系統；

2)是否描述了安全功能所有子系統的行為，以及相互作用關系；

3)提供的對應關系是否能夠證實安全子系統和安全功能接口的對應關系。

b)預期結果：

開發者提供的信息滿足5.2.1.3中所述要求。
c)結果判定：

6.3.2指導性文檔

6.3.2.1操作用戶指南

操作用戶指南的測評方法：

核查開發者提供的操作用戶指南證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

a)測評方法：

1)是否描述了用戶能夠訪問的功能和特權，包含適當的警示信息等；

2)是否描述了對預留的外部硬件接口說明，說明信息至少包括接口名稱、接口類型、功能等；

3)是否描述了服務器安全功能及接口的用戶操作方法，包括配置參數的安全值等；

4)是否標識和描述了服務器運行的所有可能狀態，包括操作導致的失敗或者操作性錯誤等；

5)是否描述了保障服務器運行環境安全要求必須執行的安全策略。

b)預期結果：

開發者提供的信息滿足5.2.2.1中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.2.2準備程序

準備程序的測評方法如下：

a)測評方法：

核查開發者提供的準備程序證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)是否描述了與開發者交付程序相一致的安全接收所交付服務器必需的所有步驟；

2)是否描述安全安裝服務器及其運行環境必需的所有步驟。

b)預期結果：

開發者提供的信息滿足5.2.2.2中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.3生命周期支持

6.3.3.1配置管理能力

配置管理能力的測評方法如下：

a)測評方法：

核查開發者提供的配置管理能力證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)是否為不同版本的服務器引導固件和帶外管理模塊固件提供了唯一的標識；

2)配置管理系統是否對所有的配置項進行唯一的標識，并對配置項進行維護；

3)配置管理文檔是否描述了對配置項進行唯一標識的方法；

4)是否能通過自動化配置管理系統支持服務器配置項的生成，是否僅通過自動化措施對配置項進行授權變更；

5)配置管理計劃是否描述了用來接受修改過的或新建的作為服務器組成部分的配置項的程序；

6)配置管理計劃是否描述了如何使用配置管理系統開發服務器，現場核查活動是否與計劃一致。

b)預期結果：

開發者提供的信息和現場活動證據內容滿足5.2.3.1中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.3.2配置管理范圍

配置管理范圍測評方法如下：

a)測試方法：

核查開發者提供的配置管理范圍證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)是否包括了服務器本身、服務器的組成部分和安全保障要求的評估證據；

2)是否對所有安全功能相關的配置項的開發者進行簡要說明。

b)預期結果：

開發者提供的信息滿足5.2.3.2中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.3.3交付程序

交付程序的測評方法如下：

a)測評方法：

核查開發者提供的交付程序證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)是否使用一定的交付程序交付服務器；

2)是否使用文檔描述交付過程，文檔中是否包含為維護服務器安全性所必需的所有程序。

b)預期結果：

開發者提供的信息和現場活動證據內容滿足5.2.3.3中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.3.4開發安全

開發安全的測評方法如下：

a)測評方法：

核查開發者提供的開發安全證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)開發安全文檔是否描述了在開發環境中，為保護系統設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施；

2)核查產品的開發環境，開發者是否使用了物理的、程序的、人員的和其他方面的安全措施保證產品設計和實現的保密性和完整性，這些安全措施是否得到了有效的執行。

b)預期結果：

開發者提供的信息和現場活動證據內容滿足5.2.3.4中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.3.5生命周期定義

生命周期定義的測評方法如下：

a)測評方法：

核查開發者提供的生命周期定義證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)是否使用生命周期模型對服務器的開發和維護進行了必要控制；

2)生命周期定義文檔是否描述了用于開發和維護服務器的模型。

b)預期結果：

開發者提供的信息應和現場活動證據內容滿足5.2.3.5中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.4測試

6.3.4.1測試覆蓋

測試覆蓋的測評方法如下：

a)測評方法：

核查開發者提供的測試覆蓋證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)核查開發者提供的測試覆蓋文檔，在測試覆蓋證據中，是否表明測試文檔中所標識的測試與功能規范中所描述的服務器的安全功能是對應的；

2)核查開發者提供的測試覆蓋分析結果，是否表明功能規范中的所有安全功能接口都進行了測試。

b)預期結果：

開發者提供的信息滿足5.2.4.1中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.4.2測試深度

測試深度的測評方法如下：

a)測評方法：

核查開發者提供的測試深度證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)核查開發者提供的測試深度分析，是否表明測試文檔中對安全功能的測試與服務器設計中的安全功能子系統的一致性；

2)是否能夠證實所有安全功能子系統已進行了測試。

b)預期結果：

開發者提供的信息滿足5.2.4.2中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.4.3功能測試

功能測試的測評方法如下：

a)測評方法：

核查開發者提供的功能測試證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)核查開發者提供的測試文檔，是否包括了測試計劃、預期測試結果和實際測試結果；

2)核查測試計劃是否標識了要執行的測試，是否描述了每個安全功能的測試方案以及測試方案對其他測試結果的依賴關系；

3)核查預期的測試結果是否表明了測試成功后的預期輸出；

4)核查實際的測試結果是否表明了每個被測試的安全功能能按照規定進行運作。

b)預期結果：

開發者提供的信息滿足5.2.4.3中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.4.4獨立測試

獨立測試的測評方法如下：

a)測評方法：

核查開發者提供的測試集合是否與其自測系統功能時使用的測試集合相一致，以用于安全功能的抽樣測試，并核查開發者提供的資源是否滿足內容形式的所有要求。

b)預期結果：

開發者提供的信息滿足5.2.4.4中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.4.5安全性測試

安全性測試的測評方法如下：

a)測試實施包括：

核查開發者提供的安全性測試證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)核查開發者是否使用文檔描述了服務器引導固件、帶外管理模塊固件安全性測試；

2)核查安全性測試文檔是否描述了針對已識別的嚴重安全缺陷列表及修復情況。

b)預期結果：

開發者提供的信息滿足5.2.4.5中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.5脆弱性評定

脆弱性評定的測評方法如下：

a)測評方法：

1)從攻擊者可能破壞安全策略的途徑出發，按照安全機制定義的安全強度級別對服務器潛在威脅進行脆弱性分析；

2)通過滲透測試判斷服務器是否能抵抗基本攻擊潛力的攻擊者的攻擊；

3)通過滲透測試判斷服務器是否能抵抗中等攻擊潛力的攻擊者的攻擊。

b)預期結果：

1)滲透測試結果應表明服務器能夠抵抗基本攻擊潛力的攻擊者的攻擊；

2)滲透測試結果應表明服務器能夠抵抗中等攻擊潛力的攻擊者的攻擊。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.3.6維護

維護的測評方法如下：

a)測評方法：

核查開發者提供的維護證據，并核查開發者提供的信息是否滿足證據的內容和形式的所有要求：

1)核查開發者提供的維護規范及維護過程證據，是否包含了服務器安全缺陷、漏洞應急響應相關的流程規范；

2)現場核查開發者發現服務器存在的安全缺陷、漏洞時，是否按照既定程序及時采取修復或替代方案等補救措施。

b)預期結果：

開發者提供的信息和現場活動證據內容滿足5.2.6中所述要求。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。