《《數(shù)據(jù)泄漏防護(hù)產(chǎn)品安全評(píng)價(jià)規(guī)范》（2017RB012）-征求意見稿》由會(huì)員分享，可在線閱讀，更多相關(guān)《《數(shù)據(jù)泄漏防護(hù)產(chǎn)品安全評(píng)價(jià)規(guī)范》（2017RB012）-征求意見稿（26頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

ICS 點(diǎn)擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號(hào) RB 中華人民共和國認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn) RB/T XXXXX—XXXX 數(shù)據(jù)泄露防護(hù)產(chǎn)品安全評(píng)價(jià)規(guī)范 Security evaluation specifications for data leakage prevention product 點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí) （征求意見稿） （本稿完成日期：2018.12.28） XXXX - XX - XX發(fā)布 XXXX - XX - XX實(shí)施 中華人民共和國國家市場(chǎng)監(jiān)督管理總局 國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)發(fā)布 RB/T XXXXX—XXXX 目次 前言 2 1　范圍 3 2　規(guī)范性引用文件 3 3　術(shù)語、定義和縮略語 3 3.1　術(shù)語和定義 3 3.2　縮略語 4 4　評(píng)價(jià)過程 4 4.1　總體說明 4 4.2　評(píng)價(jià)的主要環(huán)節(jié) 4 4.3　結(jié)果判定 5 5　評(píng)價(jià)要求 5 5.1　總體說明 5 5.2　功能要求 5 5.3　安全要求 6 5.4　安全保障要求 8 6　評(píng)價(jià)方法 10 6.1　總體說明 10 6.2　檢測(cè)環(huán)境與工具 10 6.3　功能檢測(cè)方法 11 6.4　安全要求檢測(cè)方法 13 6.5　安全保障要求評(píng)估方法 19 前言 本規(guī)范按照GB/T 1.1-2009的規(guī)則起草。 本規(guī)范由國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)提出并歸口。 本規(guī)范起草單位：中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心、北京億賽通科技發(fā)展有限責(zé)任公司、北京北信源軟件股份有限公司。 本規(guī)范主要起草人： 數(shù)據(jù)泄露防護(hù)產(chǎn)品安全評(píng)價(jià)規(guī)范 1　 范圍 本規(guī)范規(guī)定了數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全評(píng)價(jià)要求及評(píng)價(jià)方法。 本規(guī)范適用于第三方認(rèn)證機(jī)構(gòu)和檢測(cè)機(jī)構(gòu)對(duì)數(shù)據(jù)泄露防護(hù)產(chǎn)品的評(píng)價(jià)，數(shù)據(jù)泄露防護(hù)產(chǎn)品的設(shè)計(jì)和實(shí)現(xiàn)也可參照。 2　 規(guī)范性引用文件 下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 GB/T 18336-2015（所有部分） 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 GB/T 25069 信息安全技術(shù) 術(shù)語 3　 術(shù)語、定義和縮略語 3.1　 術(shù)語和定義 GB/T 18336-2015和GB/T 25069界定的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。 3.1.1　 數(shù)據(jù)泄露防護(hù)產(chǎn)品（data leakage prevention, DLP） 數(shù)據(jù)泄露防護(hù)產(chǎn)品是指以統(tǒng)一策略為基礎(chǔ)，采用深層內(nèi)容分析技術(shù)對(duì)數(shù)據(jù)的傳輸、存儲(chǔ)進(jìn)行即時(shí)的識(shí)別、監(jiān)控和防護(hù)的安全產(chǎn)品。 3.1.2　 確切數(shù)據(jù)匹配（exact data matching） 是指對(duì)于結(jié)構(gòu)化數(shù)據(jù)的數(shù)據(jù)組合進(jìn)行內(nèi)容識(shí)別的一種匹配技術(shù)，結(jié)構(gòu)化的數(shù)據(jù)比如數(shù)據(jù)庫中的數(shù)據(jù)或以表格形式存儲(chǔ)的數(shù)據(jù)。例如：查找“名字”、“身份證號(hào)”和“電話號(hào)碼”三項(xiàng)同時(shí)出現(xiàn)的情況，可能就是一條EDM匹配策略。 3.1.3　 電子公告板系統(tǒng)(Bulletin Board System) 一種電子信息服務(wù)系統(tǒng)。它向用戶提供了一塊公共電子白板，提供非常豐富的web訪問方式，每個(gè)用戶都可以在上面發(fā)布信息或提出看法。典型的應(yīng)用包括發(fā)文、即時(shí)消息、信件、Blog等。 3.1.4　 社會(huì)性網(wǎng)絡(luò)服務(wù)（Social Networking Services） 也叫“社交網(wǎng)站”或“社交網(wǎng)”，通常指基于分布式技術(shù)構(gòu)建的以個(gè)人為中心的服務(wù)。網(wǎng)絡(luò)中的個(gè)人用戶能夠通過該服務(wù)在網(wǎng)絡(luò)中共享他們的想法、圖片、文章、活動(dòng)、事件，滿足其參與、分享和互動(dòng)的真實(shí)需求，同時(shí)建立人與人之間的社交網(wǎng)絡(luò)或社交關(guān)系的連接。國內(nèi)主流SNS有人人網(wǎng)、QQ空間、開心網(wǎng)、豆瓣、天涯等。 3.1.5　 受控（Controlled） 本規(guī)范中特指授權(quán)用戶通過終端軟件注冊(cè)并使用的。 3.2　 縮略語 以下縮略語適用于本文件。 DLP Data Loss Prevention 數(shù)據(jù)泄露防護(hù) EDM Exact Data Matching 確切數(shù)據(jù)匹配 4　 評(píng)價(jià)過程 4.1　 總體說明 認(rèn)證機(jī)構(gòu)在接收到認(rèn)證申請(qǐng)資料并審查合格后安排實(shí)驗(yàn)室進(jìn)行檢測(cè)。認(rèn)證機(jī)構(gòu)收到檢測(cè)報(bào)告并審查合格后，組織現(xiàn)場(chǎng)核查。認(rèn)證機(jī)構(gòu)對(duì)文檔審核、檢測(cè)、現(xiàn)場(chǎng)核查結(jié)果進(jìn)行綜合評(píng)價(jià)。 4.2　 評(píng)價(jià)的主要環(huán)節(jié) 4.2.1　 文檔審核 認(rèn)證機(jī)構(gòu)對(duì)申請(qǐng)方提交的資料和文檔依據(jù)產(chǎn)品技術(shù)規(guī)范進(jìn)行審核。文檔審核的項(xiàng)目、要求及方法在本規(guī)范中條款號(hào)的對(duì)應(yīng)關(guān)系如下。 表1　 文檔審核對(duì)應(yīng)關(guān)系表 序號(hào) 項(xiàng)目 要求 方法 1 開發(fā) 5.4.1 6.5.1 2 指導(dǎo)性文檔 5.4.2 6.5.2 3 生命周期支持 5.4.3 6.5.3 4 測(cè)試 5.4.4 6.5.4 注：開發(fā)、生命周期等部分內(nèi)容需要在現(xiàn)場(chǎng)核查環(huán)節(jié)進(jìn)行驗(yàn)證。 4.2.2　 檢測(cè) 檢測(cè)實(shí)驗(yàn)室對(duì)申請(qǐng)方送樣的產(chǎn)品依據(jù)產(chǎn)品技術(shù)規(guī)范進(jìn)行檢測(cè)。檢測(cè)的項(xiàng)目、要求及方法在本規(guī)范中條款號(hào)的對(duì)應(yīng)關(guān)系如下。 表2　 檢測(cè)對(duì)應(yīng)關(guān)系表 序號(hào) 項(xiàng)目 要求 方法 1 功能要求 5.2 6.3 2 安全要求 5.3 6.4 4.2.3　 現(xiàn)場(chǎng)核查 認(rèn)證機(jī)構(gòu)指派檢查員對(duì)工廠的信息安全保障能力進(jìn)行檢查，檢查內(nèi)容涉及研發(fā)和生產(chǎn)環(huán)境?，F(xiàn)場(chǎng)核查的項(xiàng)目、要求及方法在本規(guī)范中條款號(hào)的對(duì)應(yīng)關(guān)系如下。 表3　 現(xiàn)場(chǎng)核查 序號(hào) 項(xiàng)目 要求 方法 1 信息安全保障能力 開發(fā) 5.4.1 6.5.1 2 生命周期支持 5.4.3 6.5.3 4.3　 結(jié)果判定 文檔審核、檢測(cè)、現(xiàn)場(chǎng)核查的所有項(xiàng)目均通過，總體結(jié)果判定為通過。 5　 評(píng)價(jià)要求 5.1　 總體說明 評(píng)價(jià)要求包括對(duì)產(chǎn)品的功能要求、安全要求和安全保障要求。 5.2　 功能要求 5.2.1　 數(shù)據(jù)泄露識(shí)別與告警 a) 產(chǎn)品應(yīng)能根據(jù)策略識(shí)別以下內(nèi)容中是否包含重要數(shù)據(jù)： 1) 壓縮的/未壓縮的非結(jié)構(gòu)化文檔，支持包括但不限于word、excel、pdf文檔格式； 2) 常用應(yīng)用協(xié)議，支持包括但不限于下列協(xié)議：SMTP、POP3/IMAP、HTTP、FTP； 3) 經(jīng)BBS、SNS發(fā)布的； 4) 數(shù)據(jù)庫中存儲(chǔ)的，支持包括但不限于下列數(shù)據(jù)庫：SQL Server、Oracle、MySQL； b) 產(chǎn)品應(yīng)支持被動(dòng)監(jiān)測(cè)或主動(dòng)掃描等多種數(shù)據(jù)識(shí)別方式； c) 當(dāng)識(shí)別到重要數(shù)據(jù)時(shí)，應(yīng)進(jìn)行包括但不限于下列行為：記錄告警日志、即時(shí)告警（彈窗等）、無明示告警、發(fā)送告警郵件、發(fā)送SMS消息。 5.2.2　 數(shù)據(jù)泄露防護(hù) 產(chǎn)品應(yīng)通過如下方式防止重要數(shù)據(jù)發(fā)生泄露： a) 禁用外設(shè)，如：光驅(qū)、打印機(jī)、網(wǎng)卡、無線網(wǎng)卡WIFI、串口、紅外設(shè)備、藍(lán)牙設(shè)備； b) 對(duì)重要數(shù)據(jù)內(nèi)容進(jìn)行替換、刪除等操作； c) 僅允許授權(quán)用戶能夠使用受控的移動(dòng)存儲(chǔ)設(shè)備； d) 中斷傳輸過程； e) 對(duì)于郵件方式，應(yīng)額外提供包括但不限于下列動(dòng)作：過濾敏感詞、剝離附件、增加刪除收件人、刪除收件人、正文替換、郵件轉(zhuǎn)發(fā)、郵件審批。 5.2.3　 統(tǒng)計(jì)報(bào)表 a) 產(chǎn)品應(yīng)支持對(duì)指定時(shí)間段內(nèi)產(chǎn)生的重要事件違規(guī)情況進(jìn)行統(tǒng)計(jì)及分析的能力，支持多種統(tǒng)計(jì)結(jié)果展現(xiàn)方式，如：列表、柱狀圖、折線圖或餅狀圖等。 b) 產(chǎn)品應(yīng)支持報(bào)表的導(dǎo)出功能。 5.2.4　 管理功能 a) 產(chǎn)品應(yīng)提供預(yù)定義的重要數(shù)據(jù)，并支持重要數(shù)據(jù)的自定義功能； b) 產(chǎn)品應(yīng)支持對(duì)重要數(shù)據(jù)泄露識(shí)別規(guī)則的設(shè)置功能，包括但不限于：關(guān)鍵字匹配、正則表達(dá)式、指紋、確切數(shù)據(jù)匹配、其他屬性。 c) 產(chǎn)品應(yīng)支持集中或分布式的管理方式。 5.3　 安全要求 5.3.1　 標(biāo)識(shí)與鑒別 5.3.1.1　 用戶屬性定義 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)維護(hù)每個(gè)用戶的安全屬性，屬性可包括：用戶標(biāo)識(shí)、授權(quán)信息或用戶組信息、其他安全屬性等。 5.3.1.2　 唯一性標(biāo)識(shí) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)保證任何用戶都具有全局唯一的標(biāo)識(shí)。 5.3.1.3　 鑒別的時(shí)機(jī) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)要求每個(gè)用戶在執(zhí)行與數(shù)據(jù)泄露防護(hù)產(chǎn)品安全相關(guān)的任何其他操作之前，都已被成功鑒別。 5.3.1.4　 鑒別失敗處理 a) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)能檢測(cè)用戶的不成功的鑒別嘗試； d) 在達(dá)到或超過最大連續(xù)鑒別失敗嘗試次數(shù)閾值后，數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)采取措施阻止進(jìn)一步的鑒別嘗試，直至滿足已定義的條件才允許進(jìn)行重新鑒別； e) 應(yīng)僅由授權(quán)管理員設(shè)置未成功鑒別嘗試次數(shù)閾值。 5.3.1.5　 受保護(hù)的鑒別反饋 鑒別進(jìn)行時(shí)，數(shù)據(jù)泄露防護(hù)產(chǎn)品安全功能應(yīng)僅向用戶提供非鑒別數(shù)據(jù)（如圓點(diǎn)、星號(hào)等）作為鑒別數(shù)據(jù)輸入的反饋。 5.3.2　 用戶數(shù)據(jù)保護(hù) 5.3.2.1　 基于屬性的訪問控制 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)支持基于用戶角色、IP等安全屬性實(shí)現(xiàn)訪問控制。 5.3.3　 安全審計(jì) 5.3.3.1　 審計(jì)數(shù)據(jù)產(chǎn)生 a) 數(shù)據(jù)泄露防護(hù)產(chǎn)品如果支持以下事件，應(yīng)能為其產(chǎn)生審計(jì)記錄： 1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品的啟動(dòng)和關(guān)閉； 2) 導(dǎo)出、另存和刪除審計(jì)日志； 3) 設(shè)置鑒別嘗試次數(shù)； 4) 鑒別機(jī)制的使用； 5) 用戶的創(chuàng)建、修改、刪除與授權(quán)； 6) 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 f) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)在每個(gè)審計(jì)記錄中至少記錄下列信息： 1) 事件發(fā)生的日期和時(shí)間； 2) 事件類型； 3) 事件主體身份標(biāo)識(shí)； 4) 事件描述及結(jié)果。 5.3.3.2　 審計(jì)數(shù)據(jù)查閱 a) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)為授權(quán)用戶提供讀取審計(jì)記錄的功能； b) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)以便于用戶理解的方式提供審計(jì)記錄。 5.3.3.3　 限制審計(jì)查閱 除明確允許讀訪問的用戶外，TSF應(yīng)禁止所有用戶對(duì)審計(jì)記錄的讀訪問。 5.3.3.4　 可選審計(jì)查閱 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)提供根據(jù)條件對(duì)審計(jì)數(shù)據(jù)進(jìn)行查詢或排序的功能。 5.3.3.5　 審計(jì)數(shù)據(jù)保護(hù) a) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)保護(hù)存儲(chǔ)的審計(jì)記錄免遭未授權(quán)的刪除； b) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)禁止對(duì)審計(jì)記錄的修改。 5.3.4　 安全管理 5.3.4.1　 安全功能行為管理 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅限于授權(quán)管理員對(duì)下述功能具有允許、禁止或修改的能力。 a) 審計(jì)功能的開關(guān)； b) 其它安全功能行為的管理。 5.3.4.2　 安全屬性管理 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅限于已標(biāo)識(shí)的授權(quán)角色能夠執(zhí)行如下屬性管理操作： a) 用戶的維護(hù)（如刪除、修改、添加等）； b) 鑒別數(shù)據(jù)的管理； c) 用戶與角色的維護(hù)； d) 其它安全屬性的管理操作。 5.3.4.3　 安全角色管理 a) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)能夠?qū)Π踩巧M(jìn)行維護(hù)，根據(jù)實(shí)際情況設(shè)置管理員、審計(jì)員和普通用戶角色； b) 應(yīng)將安全角色和權(quán)限進(jìn)行關(guān)聯(lián)，并禁止權(quán)限交叉。 5.3.4.4　 TSF數(shù)據(jù)的管理 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅允許授權(quán)管理員執(zhí)行下列操作： a) 設(shè)置鑒別嘗試次數(shù)和/或鑒別失敗事件中采取的動(dòng)作； b) 設(shè)置訪問控制屬性，如：IP地址； c) 其他系統(tǒng)參數(shù)配置操作，如：系統(tǒng)時(shí)間。 5.3.5　 TSF保護(hù) 5.3.5.1　 內(nèi)部TSF數(shù)據(jù)傳送的基本保護(hù) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)防止與管理員之間的安全功能數(shù)據(jù)在傳送過程中被泄漏。 5.3.5.2　 可靠的時(shí)間戳 數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全功能應(yīng)能為自身的應(yīng)用提供可靠的時(shí)間戳。 5.3.5.3　 TSF原發(fā)會(huì)話終止 數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全功能應(yīng)在達(dá)到一定的用戶不活動(dòng)的時(shí)間間隔之后終止一個(gè)交互式會(huì)話。 5.4　 安全保障要求 5.4.1　 開發(fā) 5.4.1.1　 安全架構(gòu)描述 開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TOE及其TSF，確保TSF的安全特性不可旁路、防止不可信主體破壞，提供的TSF安全架構(gòu)描述應(yīng)滿足如下要求： a) 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計(jì)文檔中對(duì)SFR-執(zhí)行的抽象描述的級(jí)別一致； g) 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域； h) 安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的； i) 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞； j) 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR-執(zhí)行的功能被旁路。 5.4.1.2　 安全執(zhí)行功能規(guī)范 開發(fā)者應(yīng)提供一個(gè)功能規(guī)范，并提供功能規(guī)范到安全功能要求的追溯關(guān)系，滿足如下要求： a) 功能規(guī)范應(yīng)完整地描述TSF； b) 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法； c) 功能規(guī)范應(yīng)識(shí)別和描述每個(gè)TSFI相關(guān)的所有參數(shù)； d) 對(duì)于每個(gè)SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為； e) 對(duì)于SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯(cuò)誤消息； f) 功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。 5.4.1.3　 基礎(chǔ)設(shè)計(jì) 開發(fā)者應(yīng)提供TOE的設(shè)計(jì)，并提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射，滿足如下要求： a) 設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)； b) 設(shè)計(jì)應(yīng)標(biāo)識(shí)TSF的所有子系統(tǒng)； c) 設(shè)計(jì)應(yīng)對(duì)每一個(gè)SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述，以確定它不是SFR-執(zhí)行； d) 設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； e) 設(shè)計(jì)應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； f) 映射關(guān)系應(yīng)證實(shí)TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。 5.4.2　 指導(dǎo)性文檔 5.4.2.1　 操作用戶指南 開發(fā)者應(yīng)提供操作用戶指南，其內(nèi)容應(yīng)滿足如下要求： a) 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ? b) 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，怎樣以安全的方式使用TOE提供的可用接口； c) 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)應(yīng)指明安全值； d) 操作用戶指南應(yīng)對(duì)每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實(shí)體的安全特性； e) 操作用戶指南應(yīng)標(biāo)識(shí)TOE運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤），它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系； f) 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的所必須執(zhí)行的安全策略； g) 操作用戶指南應(yīng)是明確和合理的。 5.4.2.2　 準(zhǔn)備程序 開發(fā)者應(yīng)提供TOE的準(zhǔn)備程序，其內(nèi)容應(yīng)滿足如下要求： a) 準(zhǔn)備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； b) 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境必需的所有步驟。 5.4.3　 生命周期支持 5.4.3.1　 CM系統(tǒng)的使用 開發(fā)者應(yīng)使用CM系統(tǒng)，并提供CM文檔，其內(nèi)容應(yīng)滿足如下要求： a) 應(yīng)給TOE標(biāo)注唯一參照號(hào)； b) CM文檔應(yīng)描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法； c) CM系統(tǒng)應(yīng)唯一標(biāo)識(shí)所有配置項(xiàng)。 5.4.3.2　 部分TOE CM覆蓋 開發(fā)者應(yīng)提供TOE配置項(xiàng)列表，其內(nèi)容應(yīng)滿足如下要求： a) 配置項(xiàng)列表應(yīng)包括：TOE本身、安全保障要求的評(píng)估證據(jù)和TOE的組成部分； b) 配置項(xiàng)列表應(yīng)唯一標(biāo)識(shí)配置項(xiàng)； c) 對(duì)于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡(jiǎn)要說明該配置項(xiàng)的開發(fā)者。 5.4.3.3　 交付程序 開發(fā)者應(yīng)將把TOE或其部分交付給消費(fèi)者的程序文檔化，交付文檔應(yīng)描述：在向消費(fèi)者分發(fā)TOE版本時(shí)，用以維護(hù)安全性所必需的所有程序。 5.4.4　 測(cè)試 5.4.4.1　 覆蓋證據(jù) 開發(fā)者應(yīng)提供測(cè)試覆蓋的證據(jù)，覆蓋證據(jù)應(yīng)表明測(cè)試文檔中的測(cè)試與功能規(guī)范中的TSF接口之間的對(duì)應(yīng)性。 5.4.4.2　 功能測(cè)試 開發(fā)者應(yīng)測(cè)試TSF，并文檔化測(cè)試結(jié)果，其內(nèi)容應(yīng)滿足如下要求： a) 測(cè)試文檔應(yīng)包括測(cè)試計(jì)劃、預(yù)期的測(cè)試結(jié)果和實(shí)際的測(cè)試結(jié)果； b) 測(cè)試計(jì)劃應(yīng)標(biāo)識(shí)要執(zhí)行的測(cè)試并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案應(yīng)包括對(duì)于其他測(cè)試結(jié)果的任何順序依賴性； c) 預(yù)期的測(cè)試結(jié)果應(yīng)指出測(cè)試成功執(zhí)行后的預(yù)期輸出； d) 實(shí)際的測(cè)試結(jié)果應(yīng)與預(yù)期的測(cè)試結(jié)果一致。 5.4.4.3　 獨(dú)立測(cè)試-抽樣 開發(fā)者應(yīng)提供用于測(cè)試的TOE，應(yīng)滿足如下要求： a) TOE應(yīng)適合測(cè)試； b) 開發(fā)者應(yīng)提供一組與開發(fā)者TSF功能測(cè)試中同等的一系列資源。 5.4.5　 脆弱性評(píng)定 5.4.5.1　 脆弱性分析 開發(fā)者應(yīng)提供適合用于執(zhí)行穿透性測(cè)試的TOE。 6　 評(píng)價(jià)方法 6.1　 總體說明 評(píng)價(jià)方法與評(píng)價(jià)要求一一對(duì)應(yīng)，它給出具體的方法來驗(yàn)證數(shù)據(jù)泄露防護(hù)產(chǎn)品是否滿足評(píng)價(jià)要求。評(píng)價(jià)過程分為檢測(cè)和評(píng)估，其中，檢測(cè)內(nèi)容為功能要求及安全要求，評(píng)估內(nèi)容為安全保障要求，評(píng)估的主要方式為文件審核和現(xiàn)場(chǎng)核查。 6.2　 檢測(cè)環(huán)境與工具 6.2.1　 檢測(cè)環(huán)境 檢測(cè)環(huán)境如圖1所示： 圖1　 功能及安全要求檢測(cè)環(huán)境圖 6.2.2　 檢測(cè)工具 檢測(cè)所需的檢測(cè)計(jì)算機(jī)、交換機(jī)、服務(wù)器、數(shù)據(jù)包截取工具等。 6.3　 功能檢測(cè)方法 6.3.1　 數(shù)據(jù)泄露識(shí)別與告警 a) 檢測(cè)要求 1) 產(chǎn)品應(yīng)能根據(jù)策略識(shí)別以下內(nèi)容中是否包含重要數(shù)據(jù)： · 壓縮的/未壓縮的非結(jié)構(gòu)化文檔，支持包括但不限于word、excel、pdf（圖片，音視頻？）文檔格式； · 常用應(yīng)用協(xié)議，支持包括但不限于下列協(xié)議：SMTP、POP3/IMAP、HTTP、FTP； · 經(jīng)BBS、SNS發(fā)布的； · 數(shù)據(jù)庫中存儲(chǔ)的，支持包括但不限于下列數(shù)據(jù)庫：SQL Server、Oracle、MySQL； 2) 產(chǎn)品應(yīng)支持被動(dòng)監(jiān)測(cè)和主動(dòng)掃描等多種數(shù)據(jù)識(shí)別方式； 3) 當(dāng)識(shí)別到重要數(shù)據(jù)時(shí)，應(yīng)進(jìn)行包括但不限于下列行為：記錄告警日志、即時(shí)告警（彈窗等）、無明示告警、發(fā)送告警郵件、發(fā)送SMS消息。 b) 檢測(cè)方法 1) 以授權(quán)管理員身份登錄產(chǎn)品，配置數(shù)據(jù)泄露識(shí)別策略，設(shè)置數(shù)據(jù)識(shí)別關(guān)鍵字； 2) 確認(rèn)產(chǎn)品支持的告警方式，并設(shè)置相應(yīng)的告警策略； 3) 在文件服務(wù)器上存儲(chǔ)包含重要數(shù)據(jù)的文檔，文檔類型包括Word、Excel、PPT、PDF； 4) 在文件服務(wù)器上存儲(chǔ)經(jīng)過壓縮及嵌套壓縮的包含關(guān)鍵字的文檔，壓縮格式包括RAR、ZIP； 5) 執(zhí)行重要數(shù)據(jù)掃描操作，檢查產(chǎn)品是否能夠識(shí)別； 6) 從測(cè)試機(jī)上，通過郵件、FTP、HTTP等方式直接傳輸或壓縮后傳輸包含重要數(shù)據(jù)的文檔，檢查產(chǎn)品是否能夠識(shí)別； 7) 從測(cè)試機(jī)上瀏覽帶有重要數(shù)據(jù)的頁面、發(fā)送帶有關(guān)鍵字的郵件，檢查產(chǎn)品是否能夠識(shí)別； 8) 從測(cè)試機(jī)上通過BBS、SNS發(fā)布帶有重要數(shù)據(jù)的信息，檢查產(chǎn)品是否能夠識(shí)別； 9) 在數(shù)據(jù)庫中存儲(chǔ)帶有重要數(shù)據(jù)的信息，執(zhí)行重要數(shù)據(jù)掃描操作，檢查產(chǎn)品是否能夠識(shí)別； 10) 確認(rèn)設(shè)置的告警策略是否生效。 c) 結(jié)果判定 1) 產(chǎn)品支持識(shí)別策略和識(shí)別關(guān)鍵字的設(shè)置； 2) 產(chǎn)品可以對(duì)告警方式進(jìn)行設(shè)置，應(yīng)至少支持評(píng)價(jià)要求中的一種或多種； 3) 產(chǎn)品能夠識(shí)別直接或經(jīng)過壓縮后存儲(chǔ)在文件服務(wù)器上的包含重要數(shù)據(jù)的文檔； 4) 產(chǎn)品能夠識(shí)別經(jīng)過HTTP、FTP、SMTP/IMAP4等協(xié)議發(fā)送的重要數(shù)據(jù)； 5) 產(chǎn)品能夠識(shí)別通過BBS、SNS發(fā)布的重要數(shù)據(jù)； 6) 產(chǎn)品能夠發(fā)現(xiàn)數(shù)據(jù)庫中存儲(chǔ)的重要數(shù)據(jù)； 7) 產(chǎn)品應(yīng)能根據(jù)設(shè)置的告警策略實(shí)施告警。 1）-7）項(xiàng)均滿足為“符合”，其他情況為“不符合”。 6.3.2　 數(shù)據(jù)泄露防護(hù) a) 檢測(cè)要求 產(chǎn)品應(yīng)通過如下方式防止重要數(shù)據(jù)發(fā)生泄露： 1) 禁用外設(shè)，如：光驅(qū)、打印機(jī)、網(wǎng)卡、無線網(wǎng)卡WIFI、串口、紅外設(shè)備、藍(lán)牙設(shè)備； 2) 對(duì)重要數(shù)據(jù)內(nèi)容進(jìn)行替換、刪除等操作； 3) 僅允許授權(quán)用戶能夠使用受控的移動(dòng)存儲(chǔ)設(shè)備； 4) 中斷傳輸過程； 5) 對(duì)于郵件方式，應(yīng)額外提供包括但不限于下列動(dòng)作：過濾重要詞、剝離附件、增加刪除收件人、刪除收件人、正文替換、郵件轉(zhuǎn)發(fā)、郵件審批。 b) 檢測(cè)方法 1) 以授權(quán)管理員登錄產(chǎn)品，檢查是否能夠配置相應(yīng)的外設(shè)管控策略，并檢查策略是否生效（外設(shè)如：如對(duì)光驅(qū)、打印機(jī)、網(wǎng)卡、無線網(wǎng)卡WIFI、串口、紅外設(shè)備、藍(lán)牙設(shè)備、USB存儲(chǔ)設(shè)備）； 2) 通過HTTP、FTP、郵件、BBS、SNS發(fā)送產(chǎn)品可以識(shí)別的帶有重要數(shù)據(jù)的信息，檢查是否可根據(jù)策略對(duì)重要數(shù)據(jù)進(jìn)行替換或刪除； 3) 通過HTTP、FTP、郵件、BBS、SNS發(fā)送產(chǎn)品可以識(shí)別的帶有重要數(shù)據(jù)的信息，檢查是否可根據(jù)策略進(jìn)行阻斷； 4) 在測(cè)試機(jī)上嘗試使用未經(jīng)注冊(cè)的移動(dòng)存儲(chǔ)設(shè)備，驗(yàn)證是否不能使用； 5) 在測(cè)試機(jī)上使用權(quán)限范圍外的經(jīng)過注冊(cè)的移動(dòng)存儲(chǔ)設(shè)備，驗(yàn)證是否不能使用； 6) 在測(cè)試機(jī)上使用授權(quán)范圍內(nèi)的經(jīng)過注冊(cè)的移動(dòng)鵆設(shè)備，驗(yàn)證是否可以正常使用； 7) 在測(cè)試機(jī)上，通過郵件客戶端發(fā)送帶有重要數(shù)據(jù)的郵件，驗(yàn)證產(chǎn)品是否能夠根據(jù)策略執(zhí)行相關(guān)操作。 c) 結(jié)果判定 1) 產(chǎn)品應(yīng)能有效實(shí)施對(duì)終端外設(shè)進(jìn)行管控； 2) 產(chǎn)品應(yīng)能根據(jù)策略替換或刪除發(fā)現(xiàn)的重要數(shù)據(jù)； 3) 產(chǎn)品應(yīng)能根據(jù)策略阻斷帶有重要數(shù)據(jù)的信息傳輸操作； 4) 僅經(jīng)過授權(quán)且注冊(cè)的移動(dòng)存儲(chǔ)設(shè)備才能在終端商使用。 1）-7）項(xiàng)均滿足為“符合”，其他情況為“不符合”。 6.3.3　 統(tǒng)計(jì)報(bào)表 a) 檢測(cè)要求 1) 產(chǎn)品應(yīng)支持對(duì)指定時(shí)間段內(nèi)產(chǎn)生的重要事件違規(guī)情況進(jìn)行統(tǒng)計(jì)及分析的能力，支持多種統(tǒng)計(jì)結(jié)果展現(xiàn)方式，如：列表、柱狀圖、折線圖或餅狀圖等。 2) 產(chǎn)品應(yīng)支持報(bào)表的導(dǎo)出功能。 b) 檢測(cè)方法 1) 以授權(quán)管理員身份登錄產(chǎn)品，檢查產(chǎn)品支持的統(tǒng)計(jì)分析圖表類型； 2) 執(zhí)行統(tǒng)計(jì)分析操作，檢查是否能夠生成相應(yīng)的統(tǒng)計(jì)分析報(bào)表。 c) 結(jié)果判定 1) 產(chǎn)品應(yīng)支持列表、柱狀圖、折線圖、餅狀圖中的一種或多種； 2) 產(chǎn)品應(yīng)能正確生成報(bào)表。 1）-2）項(xiàng)均滿足為“符合”，其他情況為“不符合”。 6.3.4　 管理功能 a) 檢測(cè)要求 1) 產(chǎn)品應(yīng)提供預(yù)定義的重要數(shù)據(jù)，并支持重要數(shù)據(jù)的自定義功能； 2) 產(chǎn)品應(yīng)支持對(duì)重要數(shù)據(jù)泄露識(shí)別規(guī)則的設(shè)置功能，包括但不限于：關(guān)鍵字匹配、正則表達(dá)式、指紋、屬性、確切數(shù)據(jù)匹配（EDM）等。 3) 產(chǎn)品應(yīng)支持集中或分布式的管理方式。 b) 檢測(cè)方法 1) 以授權(quán)管理員身份登錄，查看是否支持預(yù)定義的重要數(shù)據(jù)可直接用于規(guī)則添加； 2) 查看是否支持重要數(shù)據(jù)的自定義功能； 3) 查看產(chǎn)品支持的識(shí)別規(guī)則，并對(duì)匹配規(guī)則進(jìn)行設(shè)置； 4) 發(fā)送帶有重要數(shù)據(jù)的訪問，查看設(shè)置的規(guī)則是否生效； 5) 確認(rèn)產(chǎn)品支持的管理方式。 c) 結(jié)果判定 1) 產(chǎn)品應(yīng)有預(yù)定義的重要數(shù)據(jù)，并可自定義重要數(shù)據(jù)； 2) 產(chǎn)品應(yīng)能設(shè)置重要數(shù)據(jù)的匹配規(guī)則； 3) 產(chǎn)品設(shè)置的規(guī)則應(yīng)正確生效； 4) 產(chǎn)品應(yīng)支持分布式或集中式的管理。 1）-4）項(xiàng)均滿足為“符合”，其他情況為“不符合”。 6.4　 安全要求檢測(cè)方法 6.4.1　 標(biāo)識(shí)與鑒別 6.4.1.1　 用戶屬性定義 a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)維護(hù)每個(gè)用戶的安全屬性，屬性可包括：用戶標(biāo)識(shí)、授權(quán)信息或用戶組信息、其他安全屬性等。 b) 檢測(cè)方法 1) 查看產(chǎn)品是否為每一個(gè)用戶保存其安全屬性表，屬性可包括：用戶標(biāo)識(shí)、授權(quán)信息或用戶組信息、其他安全屬性等； 2) 以不同的授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，執(zhí)行其權(quán)限范圍內(nèi)的操作，檢查該用戶可執(zhí)行的操作與其安全屬性（如用戶標(biāo)識(shí)、授權(quán)信息等）的要求是否一致； 3) 修改用戶的部分安全屬性后，檢查該用戶可執(zhí)行的操作與其被修改后的安全屬性的要求是否一致。 c) 結(jié)果判定 1) 產(chǎn)品支持為每一個(gè)用戶定義及維護(hù)其安全屬性表； 2) 用戶可執(zhí)行的操作與其安全屬性（如用戶標(biāo)識(shí)、授權(quán)信息等）的要求一致； 3) 用戶可執(zhí)行的操作與其被修改后的安全屬性（如授權(quán)信息等）的要求一致。 1）—3）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.1.2　 唯一性標(biāo)識(shí) a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)保證任何用戶都具有全局唯一的標(biāo)識(shí)。 b) 檢測(cè)方法 1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，查看用戶信息； 2) 嘗試新建一個(gè)相同用戶標(biāo)識(shí)的用戶，檢查操作是否能夠成功。 c) 結(jié)果判定 1) 產(chǎn)品不能新建相同用戶標(biāo)識(shí)的用戶。 1）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.1.3　 鑒別的時(shí)機(jī) a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)要求每個(gè)用戶在執(zhí)行與數(shù)據(jù)泄露防護(hù)產(chǎn)品安全相關(guān)的任何其他操作之前，都已被成功鑒別。 b) 檢測(cè)方法 1) 查看用戶在未被成功鑒別前，是否被拒絕執(zhí)行任何安全相關(guān)的操作； 2) 查看產(chǎn)品是否拒絕錯(cuò)誤的鑒別信息的用戶登錄； 3) 以正確的鑒別信息登錄并進(jìn)行安全相關(guān)操作，驗(yàn)證產(chǎn)品是否允許登錄，是否允許進(jìn)行安全相關(guān)操作。 c) 結(jié)果判定 1) 用戶被成功鑒別前，不能執(zhí)行任何與安全相關(guān)的操作； 2) 輸入錯(cuò)誤鑒別信息，產(chǎn)品不允許登錄； 3) 輸入正確的鑒別信息，能夠成功登錄，并執(zhí)行安全相關(guān)操作。 1）—3）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.1.4　 鑒別失敗處理 a) 檢測(cè)要求 1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)能檢測(cè)用戶的不成功的鑒別嘗試； 2) 在達(dá)到或超過最大連續(xù)鑒別失敗嘗試次數(shù)閾值后，數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)采取措施阻止進(jìn)一步的鑒別嘗試，直至滿足已定義的條件才允許進(jìn)行重新鑒別； 3) 應(yīng)僅由授權(quán)管理員設(shè)置未成功鑒別嘗試次數(shù)閾值。 b) 檢測(cè)方法 1) 以錯(cuò)誤的鑒別信息嘗試登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，檢查是否被拒絕進(jìn)入系統(tǒng)； 2) 繼續(xù)進(jìn)行一定次數(shù)的登錄嘗試，驗(yàn)證在達(dá)到允許的鑒別失敗嘗試次數(shù)后，數(shù)據(jù)泄露防護(hù)產(chǎn)品是否使該用戶賬號(hào)或登錄點(diǎn)失效； 3) 查看達(dá)到數(shù)據(jù)泄露防護(hù)產(chǎn)品已定義的解鎖條件后，失效的用戶賬號(hào)或登錄點(diǎn)是否可以重新進(jìn)行鑒別操作； 4) 檢查未成功鑒別嘗試次數(shù)閾值是否僅由授權(quán)管理員設(shè)置。 c) 結(jié)果判定 1) 錯(cuò)誤口令的用戶登錄嘗試被拒絕； 2) 在連續(xù)登錄鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，用戶賬號(hào)或登錄點(diǎn)失效； 3) 達(dá)到解鎖條件后，失效的用戶賬號(hào)或登錄點(diǎn)能夠重新進(jìn)行鑒別操作； 4) 未成功鑒別嘗試次數(shù)閾值僅由授權(quán)管理員能夠進(jìn)行設(shè)置。 1）—4）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.1.5　 受保護(hù)的鑒別反饋 a) 檢測(cè)要求 鑒別進(jìn)行時(shí)，數(shù)據(jù)泄露防護(hù)產(chǎn)品安全功能應(yīng)僅向用戶提供非鑒別數(shù)據(jù)（如圓點(diǎn)、星號(hào)等）作為鑒別數(shù)據(jù)輸入的反饋。 b) 檢測(cè)方法 1) 執(zhí)行用戶登錄操作，輸入用戶鑒別數(shù)據(jù)，檢查數(shù)據(jù)泄露防護(hù)產(chǎn)品是否僅顯示用戶輸入的鑒別數(shù)據(jù)的字符數(shù)，但不顯示鑒別數(shù)據(jù)本身。 c) 結(jié)果判定 1) 鑒別數(shù)據(jù)輸入的反饋僅為用戶輸入的字符數(shù)，不顯示鑒別數(shù)據(jù)本身。 1）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.2　 用戶數(shù)據(jù)保護(hù) 6.4.2.1　 基于安全屬性的訪問控制 a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)支持基于用戶角色或IP等安全屬性實(shí)現(xiàn)訪問控制。 b) 檢測(cè)方法 1) 查看產(chǎn)品說明文檔有關(guān)訪問控制的相關(guān)描述，檢查是否支持基于用戶角色、IP等安全屬性的訪問控制； 2) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，驗(yàn)證設(shè)置的基于用戶角色、IP等安全屬性的訪問控制功能是否有效。 c) 結(jié)果判定 1) 能夠設(shè)置基于用戶角色或IP等安全屬性的訪問控制策略，并且有效。 1）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.3　 安全審計(jì) 6.4.3.1　 審計(jì)數(shù)據(jù)產(chǎn)生 a) 檢測(cè)要求 1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品如果支持以下事件，應(yīng)能為下述事件的發(fā)生產(chǎn)生審計(jì)記錄： ¨ 數(shù)據(jù)泄露防護(hù)產(chǎn)品的啟動(dòng)和關(guān)閉； ¨ 導(dǎo)出、另存和刪除審計(jì)日志； ¨ 設(shè)置鑒別嘗試次數(shù)； ¨ 設(shè)置審計(jì)跡門限值； ¨ 鑒別機(jī)制的使用； ¨ 用戶的創(chuàng)建、修改、刪除與授權(quán)； ¨ 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)在每個(gè)審計(jì)記錄中至少記錄下列信息： ¨ 事件發(fā)生的日期和時(shí)間； ¨ 事件類型； ¨ 事件主體身份標(biāo)識(shí)； ¨ 事件描述及結(jié)果。 b) 檢測(cè)方法 1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品執(zhí)行檢測(cè)要求1）中相關(guān)的操作，查看審計(jì)記錄，檢查系統(tǒng)是否對(duì)操作進(jìn)行了審計(jì)記錄； 2) 查看審計(jì)記錄內(nèi)容中是否包括事件發(fā)生的日期和時(shí)間、事件類型、主體身份標(biāo)識(shí)、事件描述及結(jié)果等信息。 c) 結(jié)果判定 1) 產(chǎn)品對(duì)支持的事件發(fā)生產(chǎn)生了審計(jì)記錄； 2) 審計(jì)記錄內(nèi)容中包括事件發(fā)生的日期和時(shí)間、事件類型、主體身份標(biāo)識(shí)、事件描述及結(jié)果等信息。 1）—2）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.3.2　 審計(jì)數(shù)據(jù)查閱 a) 檢測(cè)要求 1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)為授權(quán)用戶提供讀取審計(jì)記錄的功能； 2) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)以便于用戶理解的方式提供審計(jì)記錄。 b) 檢測(cè)方法 1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，查看系統(tǒng)是否為授權(quán)用戶提供讀取審計(jì)記錄的功能； 2) 查看審計(jì)記錄是否便于用戶理解。 c) 結(jié)果判定 1) 授權(quán)用戶能夠讀取審計(jì)記錄，審計(jì)記錄的內(nèi)容便于用戶理解。 1）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.3.3　 限制審計(jì)查閱 a) 檢測(cè)要求 除明確允許讀訪問的用戶外，TSF應(yīng)禁止所有用戶對(duì)審計(jì)記錄的讀訪問。 b) 檢測(cè)方法 1) 檢查授權(quán)用戶是否能夠讀取其權(quán)限范圍內(nèi)的審計(jì)信息； 2) 檢查非授權(quán)用戶是否不能讀取任何審計(jì)信息。 c) 結(jié)果判定 1) 授權(quán)用戶能夠讀取其權(quán)限范圍內(nèi)的審計(jì)信息； 2) 非授權(quán)用戶不能讀取任何審計(jì)信息。 1）-2）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.3.4　 可選審計(jì)查閱 a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)提供根據(jù)條件對(duì)審計(jì)數(shù)據(jù)進(jìn)行查詢或排序的功能。 b) 檢測(cè)方法 1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，以一定的條件對(duì)審計(jì)數(shù)據(jù)進(jìn)行查詢或排序操作，檢查查詢或排序結(jié)果是否正確。 c) 結(jié)果判定 1) 產(chǎn)品根據(jù)條件對(duì)審計(jì)數(shù)據(jù)進(jìn)行查詢或排序的結(jié)果正確。 1）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.3.5　 審計(jì)數(shù)據(jù)保護(hù) a) 檢測(cè)要求 1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)保護(hù)存儲(chǔ)的審計(jì)記錄免遭未授權(quán)的刪除； 2) 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)禁止對(duì)審計(jì)記錄的修改。 b) 檢測(cè)方法 1) 分別以授權(quán)用戶和非授權(quán)用戶身份執(zhí)行刪除審計(jì)記錄的操作，驗(yàn)證數(shù)據(jù)泄露防護(hù)產(chǎn)品是否僅允許授權(quán)用戶執(zhí)行刪除審計(jì)記錄的操作； 2) 查看數(shù)據(jù)泄露防護(hù)產(chǎn)品是否能夠防止修改審計(jì)記錄的操作。 c) 結(jié)果判定 1) 只有授權(quán)用戶才能夠刪除審計(jì)記錄； 2) 審計(jì)記錄不能修改。 1）—2）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.4　 安全管理 6.4.4.1　 安全功能行為管理 a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅限于授權(quán)管理員對(duì)下述功能具有允許、禁止或修改的能力。 1) 審計(jì)功能的開關(guān)； 2) 其它安全功能行為的管理。 b) 檢測(cè)方法 1) 分別以不同身份用戶登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，嘗試執(zhí)行下述功能： ¨ 審計(jì)功能的開啟和停用； ¨ 其他管理安全功能行為的功能； 驗(yàn)證是否只有授權(quán)用戶能夠執(zhí)行上述功能。 c) 結(jié)果判定 1) 只有授權(quán)用戶能夠執(zhí)行上述功能。 1）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.4.2　 安全屬性管理 a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅限于已標(biāo)識(shí)的授權(quán)角色能夠執(zhí)行如下屬性管理操作： 1) 用戶角色與權(quán)限的維護(hù)； 2) 其它安全屬性的管理操作。 b) 檢測(cè)方法 1) 分別以不同身份用戶登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，嘗試執(zhí)行如下屬性的管理操作： ¨ 用戶角色與權(quán)限的維護(hù)； ¨ 其它安全屬性的管理操作。 驗(yàn)證是否只有授權(quán)用戶能夠執(zhí)行上述操作。 c) 結(jié)果判定 1) 只有授權(quán)用戶能夠執(zhí)行上述管理操作。 1）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.4.3　 安全角色管理 a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)能夠?qū)Π踩巧M(jìn)行維護(hù)，并將用戶和角色進(jìn)行關(guān)聯(lián)。 b) 檢測(cè)方法 1) 查看授權(quán)用戶所能執(zhí)行的操作與其角色的授權(quán)操作是否一致； 2) 修改該用戶的角色為系統(tǒng)允許的其他角色后，查看用戶所能執(zhí)行的操作與修改后的角色的授權(quán)操作是否一致。 c) 結(jié)果判定 1) 系統(tǒng)可維護(hù)安全角色； 2) 系統(tǒng)能夠把用戶與角色進(jìn)行關(guān)聯(lián)。 1）—2）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.4.4　 TSF數(shù)據(jù)的管理 a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)僅允許授權(quán)管理員執(zhí)行下列操作： 1) 設(shè)置鑒別嘗試次數(shù)； 2) 設(shè)置審計(jì)跡門限值； 3) 設(shè)置會(huì)話超時(shí)時(shí)間； 4) 其他系統(tǒng)參數(shù)配置操作。 b) 檢測(cè)方法 1) 分別以不同身份用戶登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，嘗試執(zhí)行如下管理操作： ¨ 設(shè)置鑒別嘗試次數(shù)； ¨ 設(shè)置審計(jì)跡門限值； ¨ 設(shè)置會(huì)話超時(shí)時(shí)間； ¨ 其他系統(tǒng)參數(shù)配置操作。 驗(yàn)證是否只有授權(quán)用戶能夠執(zhí)行上述操作。 c) 結(jié)果判定 1) 只有授權(quán)用戶能夠執(zhí)行上述操作。 1）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.5　 TSF保護(hù) 6.4.5.1　 內(nèi)部TSF數(shù)據(jù)傳送的基本保護(hù) a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)防止與授權(quán)用戶之間的安全功能數(shù)據(jù)在傳送過程中被泄漏。 b) 檢測(cè)方法 1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，執(zhí)行修改系統(tǒng)配置、修改安全策略等操作，同時(shí)使用抓包工具截取數(shù)據(jù)進(jìn)行分析，查看數(shù)據(jù)是否不為明文。 c) 結(jié)果判定 1) 獲取的安全功能數(shù)據(jù)不為明文。 1）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.5.2　 可靠的時(shí)間戳 a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全功能應(yīng)能為自身的應(yīng)用提供可靠的時(shí)間戳。 b) 檢測(cè)方法 1) 查看產(chǎn)品說明文檔，檢查是否描述了可靠時(shí)間戳來源； 2) 以授權(quán)用戶身份分別執(zhí)行與時(shí)間戳相關(guān)的功能，分析其時(shí)間戳來源與文檔描述的時(shí)間戳來源是否一致。 c) 結(jié)果判定 1) 數(shù)據(jù)泄露防護(hù)產(chǎn)品使用了可靠的時(shí)間戳。 1）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.4.5.3　 TSF原發(fā)會(huì)話終止 a) 檢測(cè)要求 數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全功能應(yīng)在達(dá)到一定的用戶不活動(dòng)的時(shí)間間隔之后終止一個(gè)交互式會(huì)話。 b) 檢測(cè)方法 1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品后停止操作，檢查經(jīng)過一段時(shí)間間隔后，該用戶是否不能繼續(xù)執(zhí)行授權(quán)操作。 c) 結(jié)果判定 1) 在達(dá)到一定的用戶不活動(dòng)的時(shí)間間隔之后，數(shù)據(jù)泄露防護(hù)產(chǎn)品終止交互式會(huì)話，不能繼續(xù)執(zhí)行授權(quán)操作。 1）項(xiàng)滿足為“符合”，其他情況為“不符合”。 6.5　 安全保障要求評(píng)估方法 6.5.1　 開發(fā) 6.5.1.1　 安全架構(gòu)描述 a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TOE，確保TSF的安全特性不可旁路； ¨ 開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TSF，以防止不可信主體的破壞； ¨ 開發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。 2) 內(nèi)容和形式元素： ¨ 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計(jì)文檔中對(duì)SFR-執(zhí)行的抽象描述的級(jí)別一致； ¨ 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域； ¨ 安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的； ¨ 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞； ¨ 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR-執(zhí)行的功能被旁路。 b) 評(píng)估方法 評(píng)估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開發(fā)者提供了TSF安全架構(gòu)的描述； 2) 開發(fā)者提供的TSF安全架構(gòu)的描述滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足為“符合”，其他情況為“不符合”。 6.5.1.2　 安全執(zhí)行功能規(guī)范 a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)提供一個(gè)功能規(guī)范； ¨ 開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。 2) 內(nèi)容和形式元素： ¨ 功能規(guī)范應(yīng)完整地描述TSF； ¨ 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法； ¨ 功能規(guī)范應(yīng)識(shí)別和描述每個(gè)TSFI相關(guān)的所有參數(shù)； ¨ 對(duì)于每個(gè)SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為； ¨ 對(duì)于SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯(cuò)誤消息； ¨ 功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評(píng)估者應(yīng)確定功能規(guī)范是安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。 c) 結(jié)果判定 1) 開發(fā)者提供了功能規(guī)范文檔； 2) 開發(fā)者提供的功能規(guī)范文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開發(fā)者提供的功能規(guī)范是安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。 1）—3）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.5.1.3　 基礎(chǔ)設(shè)計(jì) a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)提供TOE的設(shè)計(jì)； ¨ 開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射。 2) 內(nèi)容和形式元素： ¨ 設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)； ¨ 設(shè)計(jì)應(yīng)標(biāo)識(shí)TSF的所有子系統(tǒng)； ¨ 設(shè)計(jì)應(yīng)對(duì)每一個(gè)SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述，以確定它不是SFR-執(zhí)行； ¨ 設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； ¨ 設(shè)計(jì)應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； ¨ 映射關(guān)系應(yīng)證實(shí)TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求； 2) 評(píng)估者應(yīng)確定設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。 c) 結(jié)果判定 1) 開發(fā)者提供了TOE設(shè)計(jì)文檔； 2) 開發(fā)者提供的TOE設(shè)計(jì)文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開發(fā)者提供的設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。 1）—3）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.5.2　 指導(dǎo)性文檔 6.5.2.1　 操作用戶指南 a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)提供操作用戶指南。 2) 內(nèi)容和形式元素： ¨ 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ? ¨ 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，怎樣以安全的方式使用TOE提供的可用接口； ¨ 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)應(yīng)指明安全值； ¨ 操作用戶指南應(yīng)對(duì)每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實(shí)體的安全特性； ¨ 操作用戶指南應(yīng)標(biāo)識(shí)TOE運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤），它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系； ¨ 操作用戶指南應(yīng)對(duì)每一種用戶角色進(jìn)行描述，為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的所必須執(zhí)行的安全策略； ¨ 操作用戶指南應(yīng)是明確和合理的。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所有提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開發(fā)者提供了操作用戶指南； 2) 開發(fā)者提供的操作用戶指南滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.5.2.2　 準(zhǔn)備程序 a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)提供TOE，包括它的準(zhǔn)備程序。 2) 內(nèi)容和形式元素： ¨ 準(zhǔn)備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； ¨ 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境必需的所有步驟。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評(píng)估者應(yīng)運(yùn)用準(zhǔn)備程序確認(rèn)TOE運(yùn)行能被安全的準(zhǔn)備。 c) 結(jié)果判定 1) 開發(fā)者提供了TOE以及它的準(zhǔn)備程序； 2) 開發(fā)者提供的準(zhǔn)備程序滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 運(yùn)用準(zhǔn)備程序能夠確認(rèn)TOE運(yùn)行能被安全的準(zhǔn)備。 1）—3）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.5.3　 生命周期支持 6.5.3.1　 CM系統(tǒng)的使用 a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)提供TOE及其參照號(hào)； ¨ 開發(fā)者應(yīng)提供CM文檔； ¨ 開發(fā)者應(yīng)使用CM系統(tǒng)。 2) 內(nèi)容和形式元素： ¨ 應(yīng)給TOE標(biāo)注唯一參照號(hào)； ¨ CM文檔應(yīng)描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法； ¨ CM系統(tǒng)應(yīng)唯一標(biāo)識(shí)所有配置項(xiàng)。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開發(fā)者提供了TOE，并為其標(biāo)注唯一參照號(hào)； 2) 開發(fā)者提供了配置管理文檔，且文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開發(fā)者使用了配置管理系統(tǒng)，且配置管理系統(tǒng)滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—3）項(xiàng)均滿足的為“符合”，其他情況為“不符合”。 6.5.3.2　 部分TOE CM覆蓋 a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)提供TOE配置項(xiàng)列表。 2) 內(nèi)容和形式元素： ¨ 配置項(xiàng)列表應(yīng)包括：TOE本身、安全保障要求的評(píng)估證據(jù)和TOE的組成部分； ¨ 配置項(xiàng)列表應(yīng)唯一標(biāo)識(shí)配置項(xiàng)； ¨ 對(duì)于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡(jiǎn)要說明該配置項(xiàng)的開發(fā)者。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開發(fā)者提供了產(chǎn)品配置項(xiàng)列表； 2) 開發(fā)者提供的產(chǎn)品配置項(xiàng)列表滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.5.3.3　 交付程序 a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)將把TOE或其部分交付給消費(fèi)者的程序文檔化； ¨ 開發(fā)者應(yīng)使用交付程序。 2) 內(nèi)容和形式元素： ¨ 交付文檔應(yīng)描述，在向消費(fèi)者分發(fā)TOE版本時(shí)，用以維護(hù)安全性所必需的所有程序。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開發(fā)者提供了交付文檔； 2) 開發(fā)者提供的交付文檔和使用交付文檔的證據(jù)滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.5.4　 測(cè)試 6.5.4.1　 覆蓋證據(jù) a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)提供測(cè)試覆蓋的證據(jù)。 2) 內(nèi)容和形式元素： ¨ 測(cè)試覆蓋的證據(jù)應(yīng)表明測(cè)試文檔中的測(cè)試與功能規(guī)范中的TSF接口之間的對(duì)應(yīng)性。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開發(fā)者提供了測(cè)試覆蓋的相關(guān)證據(jù)； 2) 測(cè)試覆蓋的相關(guān)證據(jù)的內(nèi)容滿足要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.5.4.2　 功能測(cè)試 a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)測(cè)試TSF，并文檔化測(cè)試結(jié)果； ¨ 開發(fā)者應(yīng)提供測(cè)試文檔。 2) 內(nèi)容和形式元素： ¨ 測(cè)試文檔應(yīng)包括測(cè)試計(jì)劃、預(yù)期的測(cè)試結(jié)果和實(shí)際的測(cè)試結(jié)果； ¨ 測(cè)試計(jì)劃應(yīng)標(biāo)識(shí)要執(zhí)行的測(cè)試并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案應(yīng)包括對(duì)于其他測(cè)試結(jié)果的任何順序依賴性； ¨ 預(yù)期的測(cè)試結(jié)果應(yīng)指出測(cè)試成功執(zhí)行后的預(yù)期輸出； ¨ 實(shí)際的測(cè)試結(jié)果應(yīng)與預(yù)期的測(cè)試結(jié)果一致。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開發(fā)者提供了測(cè)試文檔； 2) 開發(fā)者提供的測(cè)試文檔的內(nèi)容滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.5.4.3　 獨(dú)立測(cè)試-抽樣 a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)提供用于測(cè)試的TOE。 2) 內(nèi)容和形式元素： ¨ TOE應(yīng)適合測(cè)試； ¨ 開發(fā)者應(yīng)提供一組與開發(fā)者TSF功能測(cè)試中同等的一系列資源。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評(píng)估者應(yīng)執(zhí)行測(cè)試文檔中的測(cè)試樣本，以驗(yàn)證開發(fā)者的測(cè)試結(jié)果； 3) 評(píng)估者應(yīng)測(cè)試TSF的一個(gè)子集以確認(rèn)TSF按照規(guī)定運(yùn)行。 c) 結(jié)果判定 1) 開發(fā)者提供的產(chǎn)品適合測(cè)試； 2) 開發(fā)者為產(chǎn)品測(cè)試提供了必要的資源； 3) 通過執(zhí)行測(cè)試文檔中的測(cè)試樣本，開發(fā)者測(cè)試文檔中的測(cè)試結(jié)果正確； 4) TSF能夠按照規(guī)定運(yùn)行。 1）—4）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 6.5.5　 脆弱性評(píng)定 6.5.5.1　 脆弱性分析 a) 評(píng)估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應(yīng)提供用于測(cè)試的TOE。 2) 內(nèi)容和形式元素： ¨ TOE應(yīng)適合測(cè)試。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評(píng)估者應(yīng)執(zhí)行公共領(lǐng)域的調(diào)查以標(biāo)識(shí)TOE的潛在脆弱性； 3) 評(píng)估者應(yīng)基于已標(biāo)識(shí)的潛在脆弱性實(shí)施穿透性測(cè)試，判定TOE能抵抗具有基本攻擊潛力的攻擊者的攻擊。 c) 結(jié)果判定 1) 開發(fā)者提供了適合測(cè)試的產(chǎn)品； 2) 通過實(shí)施的穿透性測(cè)試確認(rèn)TOE能夠抵抗具有基本攻擊潛力的攻擊者的攻擊。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 _________________________________ 25