GA T 672-2006 信息安全技术.终端计算机系统安全等级评估准则.pdf

1、ICS 35.040 A 90 中华人民共和国公共安全行业标准GA/T 672-2006 信息安全技术终端计算机系统安全等级评估准则2006-12-28发布Information security technology一Evaluation criteria for terminal computer system of security classified protection 2007-02-01实施中华人民共和国公安部发布GAjT 672-2006 目次前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2、 . . . . . . . . . . . . . . I . 1 引言. . . . . . I I . . . . . . . . . . . . . . . . . . . . . . . II 1 范围2 规范性引用文件. 3 术语、定义和缩略语. . . . . . . 术语和定义3.1 3.2 缩略i吾2 终端计算机系统安全等级评估准则4 信息安全技术4. 1 4. 1. 1 4. 1. 2 第一级:用户自主保护级安全功能要求SSOTCS自身安全保护SSOTCS设计和实现. . . . . 4. 1. 3 4.2 第二级:系统审计保护级. . . . . . . . . . .

3、. . . . . 8 4. 2. 1 安全功能要求84. 2. 2 SSOTCS自身安全保护4. 2. 3 SSOTCS设计和实现4.3 第三级:安全栋记保护级安全功能要求. . . . . . . ., 14 . . . . . 14 . . . . 19 4. 3. 1 4.3. 2 4.3. 3 SSOTCS自身安全保护. . . . . . . . . . . . . . . . 27 SSOTCS设计和实现参考文献2 . 前言本标准由公安部信息系统安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心。GA/

4、T 672-2006 本标准主要起草人:邱梓华、顾健、景乾元、李毅、比亮、张奕、邹春明、马海燕、俞优。GA/T 672一200651 _._翩F司本标准用以指导评估者如何评估各安全等级的终端计算机系统。终端计算机系统在计算机信息系统中，承担着大量数据存储、处理、传输的工作，与用户有着最紧密的联系。终端计算机系统的安全，对整个信息系统的安全，起着至关重要的作用。在各个安全等级的信息系统中，终端计算机系统也应该达到相应的安全等级。本标准依据信息安全技术终端计算机系统安全等级技术要求的相关要求，对第一、第二和第三级的终端计算机系统提出了具体的评估方法，能够对终端计算机系统的测试、开发提供指导。E G

5、AjT 672-2006 信息安全技术终端计算机系统安全等级评估准则1 范围本标准规定了终端计算机系统的评估方法。本标准适用于按照GA/T671-2006(信息安全技术终端计算机系统安全等级技术要求所开发的终端计算机系统的评估。2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20271-2006 信息

6、安全技术信息系统通用安全技术要求GB/T 20272-2006 信息安全技术操作系统安全技术要求G:A/T 671-2006 信息安全技术终端计算机系统安全等级技术要求，3 术语、定义和缩略语3. 1 术语和定义GB 17859-1999、GB/T20271-2006和GB/T20272-2006确立的以及下列术语和定义适用于本标准。3. 1. 1 终端计算机系统terminal computer system 一种个人使用的计算机系统，是倍息系统的重要组成部分，为用户访问网络服务器提供支持。终端计算机系统表现为桌面型计算机系统和膝上型计算机系统两种形态。终端计算机系统一般由硬件系统、操作系统

7、和应用系统(包括为用户访问网络服务器提供支持的工具软件和其他应用软件等部分组成。3. 1. 2 可信trusted 一种特性，具有该特性的实体总是以预期的行为和方式达到既定目的。3. 1. 3 宪整性度量(简称度量)measurement of integrity 一种使用密码学杂凑算法对实体计算其杂凑值的过程。3.1.4 完整性基准值(简称基准值)criteria of integrity measurement 实体在可信状态下度量得到的杂凄值，可用来作为完整性校验基准。3. 1. 5 度量根root of trust for measurement 一个可信的实体，是终端计算机系统内进行

8、可信度量的基点。1 GA/T 672-2006 3. 1.6 动态度量根dynamic root of trust for measurement 度量根的一种，支持终端计算机系统对动态启动的程序模块进行实时可信度量。3. 1. 7 存储根root of trust for storage 一个可倍的实体，是终端计算机系统内进行可信存储的基点。3. 1. 8 报告根root of trust for reporting 一个可倍的实体，是终端计算机系统内进行可信报告的基点。3.1.9 可信根trusted root 度量根、存储根和报告根的3. 1. 10 可信硬件模块嵌入终端计算机硬能，具有

9、受保护的存3. 1. 11 信任链一种在终3. 1. 12 可信计算平是基于可信服务，并为系3. 1. 13 终端计算机终端计算机建立了一个基本端计算机系统安全保护。注:按照GB178 统的TCB.3. 1. 14 SSOTCS安全功能或可信软件模块构建保护和运行安全保护。正确实施SSOTCS安全一个安全功能模块。一个3. 1. 15 SSOTCS安全控制范围SSOTCS scope SSOTCS的操作所涉及的主体和客体。3. 1. 16 SSOTCS安全策略SSOTCS security policy 立提供密码学运算功的组合体。它用户服务。终计算机系统进行)就是终端计算机系一个安全策略的实

10、现，组成的安全功能。对SSOTCS中的资掘进行管理、保护和分配的一组规则。一个SSOTCS中可以有一个或多个安全策略。3.2 缩畸语下列缩略语适用于本标准:2 GA/T 672-2006 SSOTCS终端计算机系统安全子系统security subsystem of terminal computer system 安全功能SSOTCS安全功能SSOTCS security function SSC SSOTCS控制范围SSOTCS scope of control SSP SSOTCS安全策略SSOTCS security policy TCP 可信计算平台trusted computer

11、platform 4 信息安全技术终端计算机系统安全等级评估准则4. 1 第一级:用户自主保护级4. 1. 1 安全功能要求4. 1. 1. 1 物理系统4.1. 1.1. 1 设备安全可用评估内容:见GA/T671-20 对开发者的要求:开发者应提的容错和故评估方法:a)按系b)按4.1.1.1.2设评估内容:见对开发者的开发者评估方法:按照开记录测试结4.1.1.2 可信计算平4. 1. 1. 2. 1 密码支持评估内容:见GA/T671-2006 对开发者的要求:终端计算机系统的设备，提供哪些必要支持终端计算机，验证终端计算开发者应提供文档和相关证书，前脚酬怦辅相法、相关的密码操作以及相

12、关的密钥管理措施，并证明所使用的密码算法巳经通过国家密码管理部门的批准。评估方法za) 按照开发者提供的文档和相关证书，检测所使用的密码算法，是否已经通过国家密码管理部门的批准;b) 检测公钥密码算法、对称密码算法、杂凄算法和随机数生成器算法，是果用软件实现，还是采用硬件实现。如果硬件支持插拔，将硬件拔出，检测能否进行相关密码操作;c) 按照开发者提供的文档，检测所有密钥是否受存储根保护。3 GA/T 672-2006 记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.1.2.2 信任链评估内容:见GA/T671-2006中5.1. 1. 3. 2的内容。对开发者的要求:开发

13、者应提供文挡，说明终端计算机系统如何在系统启动过程中，对BIOS、MBR、OS等部件进行完整性度量，并说明完整性度量值是否存储在一个受保护的区域中。评估方法:a) 使用各种方法和工具，对BIOS进行修改，启动系统，检测系统能否检测出BIOS的完整性被破坏;b) 使用各种方法和工具，对MBR进行修改，启动系统，检测系统能否检测出MBR的完整性被破坏;c) 使用各种方法和工具，对OS进行修改，启动系统，检测系统能否检测出OS的完整性被破坏;d) 使用各种方法和工具，对存储的完整性度量值进行篡改和破坏，检测系统能否保护完整性度量值口记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1

14、.1. 2.3 运行时防护评估内容:见GA/T671-2006中5.1. 1. 3. 3的内容。评估方法:a) 在系统中植人一个测试用的恶意代码，并运行恶意代码:b) 对文件系统和内存进行扫描，检测系统能否清除或隔离恶意代码;c) 检测系统能否对恶意代码特征库进行及时更新。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4.1. 1. 2.4 系统安全性检测分析评估内容=见GA/T671一2006中5.1.1.3.4的内容。对开发者的要求:开发者应提供文档，说明终端计算机是否经过操作系统安全性检测分析，并且提供相应的检测分析报告。评估方法:a) 按照开发者提供的文挡，检测终端计算机

15、是否经过操作系统安全性检测分析;b) 根据相关的检测报告，判断检测方法是否科学，检测结果是否可信。记录测试结果井对该结果是否完全符合上述评估方法要求作出判断。4.1.1.2.5 备份与故障恢复评估内容z4 见GA/T671-2006中5.1. 1. 3. 5的内容。评估方法:a) 以用户身份有选择地备份重要数据的功能，对数据进行修改，然后进行恢复，检测能否有放恢复;b) 对系统定时进行增量备份，对系统数据进行修改，然后进行恢复，检测能否有效恢复。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。GA/T 672一一20064. 1. 1. 2. 6 1/0接口配置评估内容:见GA/T

16、671一2006中5.1. 1. 3. 6的内容。评估方法:a) 以用户身份，在BIOS和操作系统中，分别启用串口、井口、PCI、USB、网卡、硬盘，检测能否正常使用;b) 以用户身份，在BIOS和操作系统中，分别禁用串口、井口、PCI、USB、网卡、硬盘，检测能否使用。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 2 SSOTCS自身安全保护4. 1. 2. 1 可信根安全保护评估内容:见GA/T671-2006中5.1. 2. 1 a)的内容。对开发者的要求:开发者应提供文挡，说明采取哪些保护措施，以防止存储根和报告根的世漏和窜改，说明是否对度量根采取物理保护措施

17、。评估方法:a) 以各种方法和工具，尝试读取、修改存储根和报告根，检测能否尝试成功;b) 按照开发者提供的文挡，检测是否对度量根采取物理保护措施，并且检测保护措施的有效性。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3 SSOTCS设计和实现4.1.3.1 配置管理评估内容:见GB/T20271-2006中6.1. 5. 1的内容。评估方法:评估者应审查开发者提供的配置管理支持文档是否完全符合以下要求:开发者所使用的版本号与所应表示的终端计算机系统样本应完全对应，没有歧义。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.3.2 分发和操作4. 1

18、. 3. 2. 1 分发评估内容:民见GB/T20271-2006中6.1. 5. 2 a)的内容。评估方法:a) 评估者应审查开发者是否按分发过程的要求，编制分发文档;b) 评估者应审查分发文档，是否描述给用户分发终端计算机系统时，用以维护安全所必须的所有过程;c) 评估者应审查是否按该过程进行分发。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 2. 2 操作评估内容:见GB/T20271-2006中6.1.5.2灿的内容。5 GA/T 672-2006 评估方法ta) 评估者应审查操作文挡，是否说明了终端计算机系统的安装、生戚、启动和使用的过程;b) 用户应

19、能通过此文档了解安装、生戚、启动和使用过程。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 3 开发4. 1. 3. 3. 1 功能设计评估内容:见GB/T20271-2006中6.1. 5. 3 评估方法:评估者应审查开发者a) 功能设计应能与其外部接口;b) 功能设计。功能设计，的与方法，适当的时候，应提见评估方法:评估a) b) 软d)标记录审4. 1. 3. 3. 3 低层评估内容:见GB/T20 评估方法:评估者应审查开a) 低层设计的b) 描述每一个模块的要求:端计算机硬件、固件和/或见的。c) 以所提供的安全功能和对?韧勘蝉越斟矗藕揭刑嚼定义模块间的

20、相互关系;d) 描述如何提供每一个安全策略功能的实施;的标识终端计算机系统安全功能模块的所有接口，标识终端计算机系统安全功能模块的哪些接口是外部可见的，以及描述终端计算机系统安全功能模块所有接口的目的与方法，必要时，应提供影响、例外情况和错误信息的细节;f) 描述如何将终端计算机系统分离成安全策略实施模块和其他模块。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 3. 4 内部结构设计评估内容:见GB/T20271-2006中6.1. 5. 3 d)的内容。6 GA/T 672-2006 评估方法:评估者应审查开发者所提供的信息是否满足如下要求:a) 应以模块化方

21、法设计和构建终端计算机系统安全功能，并避免设计模块之间出现不必要的交互;b) 标识终端计算机系统安全功能模块，并应描述每一个终端计算机系统安全功能模块的目的、接口、参数和影响;c) 描述终端计算机系统安全功能设计是如何使独立的模块间避免不必要的交互作用。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 3. 5 实现表示设计d耀酣酣阳回酷踢胁评估内容:见GB/T20271-2 评估方法:评估者应审查应无歧义地功能实现表示，记录审4. 1. 3.4. 1 管理评估内容:见GB/T2 评估方法:之间提供关安全功终端计算机系统安全评估者应审查提鲁藏提供罐罐罐罐醋躏辗晦酶南

22、拼命且此管理员指南是否包括如下内容:a) 终端计算机系统b) 怎样安全地管理终c) 在安全处理环境中d) 所有对与终端计算机系统的安全操作有关的用户行为的假设;e) 所有受管理员控制的安全参数，如果可能，应指明安全值;f) 每一种与管理功能有关的安全相关事件，包括对安全功能所控制的实体的安全特性进行的改变;g) 所有与系统管理员有关的IT环境的安全要求。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 4. 2 用户指南评估内容:见GB/T20271-2006中6.1. 5. 4的内容。7 GA/T 672一2006评估方法:评估者应审查开发者是否提供了供系统用户使

23、用的用户指南，并且此用户指南是否包括如下内容:a) 终端计算机系统的非管理用户可使用的安全功能和接口;b) 终端计算机系统提供给用户的安全功能和接口的用法;c) 用户可获取但应受安全处理环境控制的所有功能和权限;d) 终端计算机系统安全操作中用户所应承担的职责;的与用户有关的IT环境的所有安全要求。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.3.5 生存周期支持评估内容:见GB/T20271-2006中6.1.5.5的内容。评估方法:评估者应审查开发者所提供的信息是否满足如下要求:开发者应建立用于开发和维护终端计算机系统的生存周期模型，对终端计算机系统开发和维护提供必要

24、的控制，并以文档形式描述用于开发和维护终端计算机系统的模型。记录审查结果井对该结果是否完全符合上述评估方法要求作出判断。4.1.3.6 测试4. 1. 3. 6. 1 功能测试评估内容:见GB/T20271-2006中6.1. 5. 6 a)的内容。评估方法ta) 评价开发者提供的测试文挡，是否包括测试计划、测试规程、预期的测试结果和实际测试结果;b) 评价测试计划是否标识了要测试的安全功能，是否描述了测试的目标;c) 评价测试规程是否标识了要执行的测试，是否描述了每个安全功能的测试概况(这些概况包括对其他测试结果的顺序依赖性); d) 评价期望的测试结果是否表明测试成功后的预期输出;的评价实

25、际测试结果是否表明每个被测试的安全功能能按照规定进行运作。记录审查结果并对该结果是否完全符合上述评估方法要求作出判晰。4.1.3.6.2 独立性测试评估内容:见GB/T20271-2006中6.1. 5. 6 b)的内容。评估方法:a) 开发者提供的测试丈档，应表明安全功能是按规定运作的;b) 开发者应提供与测试相适应的终端计算机系统。记录审查结果井对该结果是否完全符合上述评估方法要求作出判断。4.2 第二级z系统审计保护级4.2. 1 安全功能要求4. 2. 1. 1 物理系统4.2.1.1.1 设备安全可用评估内容:见GA/T671-2006中5.2.1.1.1的内容。B GA/T 672

26、-2006 对开发者的要求:开发者应提供文档，说明终端计算机系统的设备提供哪些基本的运行支持措施，提供哪些必要的容错和故障恢复能力。评估方法za) 按照开发者提供的文档，逐项验证所提供的运行支持措施是否有效，能否支持终端计算机系统的基本运行;b) 按照开发者提供的文档，模拟出现一些故障事件(如:调电、硬件故障等)，验证终端计算机系统的容错和故障恢复能力是否有效。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4.2.1. 1. 2 设备防盗防毁评估内容:见GA/T671-2006中5.2.1.1.2的内容。对开发者的要求:开发者应提供文档，说明终端计算机系统的设备具有哪些无法除去的

27、标记。评估方法:a) 按照开发者提供的文档，尝试使用各种方式除去设备中的标记，检测能否除去;b) 检测终端计算机系统的主机是否具有机箱封装保护，能否防止部件损害或被盗。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4.2. 1. 2 可信计算平台4. 2. 1. 2. 1 密码支持评估内容:见GA/T671-2006中5.2. 1. 3. 1的内容。对开发者的要求:开发者应提供文档和相关证书，说明所使用的密码算法、相关的密码操作以及相关的密钥管理措施，井证明所使用的密码算法已经通过国家密码管理部门的批准。评估方法za) 按照开发者提供的文档和相关证书，检测所使用的密码算法，是否已

28、经通过国家密码管理部门的批准;b) 检测公钥密码算法、对称密码算法、杂凑算法和随机数生成器算法，是采用软件实现，还是采用硬件实现。如果硬件支持插拔，将硬件拔出，检测能否进行相关密码操作;c) 按照开发者提供的文档，检测所有密钥是否受存储根保护。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 2. 1. 2. 2 信任链评估内容:见GA/T671-2006中5.2.1.3.2的内容。对开发者的要求:开发者应提供文档，说明终端计算机系统如何在系统启动过程中，对BIOS、MBR、OS等部件进行完整性度量，并说明完整性度量值是否存储在一个受保护的区域中。评估方法:a) 使用各种方法和

29、工具，对BIOS进行修改，启动系统，检测系统能否检测出BIOS的完整性被破坏;b) 使用各种方法和工具，对MBR进行修改，启动系统，检测系统能否检测出MBR的完整性i被破坏;9 GAjT 672-2006 。使用各种方法和工具，对08进行修改，启动系统，检测系统能否检测出08的完整性被破坏;d) 使用各种方法和工具，对存储的完整性度量值进行篡改和破坏，检测系统能否保护主整性度量值。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 2. 1. 2. 3 遐行时防护评估内容:见GA/T671-2006中5.2.1.3.3的内容。对开发者的要求:开发者应提供文档，说明终端计算评估方法

30、:a) 在系统中植人一个b) 对文件系统和c) 检测系统能d) IP过滤:测能否通讯，的网络g) 4. 2. 1. 2. 4 系统评估内容:见GA/T6 对开发者的要求:开发者应提供分析，并且提供相应的评估方法:A 相应的网格通讯，检，模拟相应的网络、TELNET、否拒绝访问;制访问网络，检访问网络，a)按照开发者提供电;检泪问快棋擂操作所全性检测分析、硬件系统安全性检测分析;b)根据相关的检测报告，判断商特制时孀结果是否可信。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 2. 1. 2. 5 信任服务评估内容:10 见GA/T671-2006中5.2.1.3.5的内容。对

31、开发者的要求:开发者应提供文档，说明如何在可信硬件模块中，专门设置受保护区域来存储所有完整性度量值。GA/T 672-2006 评估方法:a) 按照开发者提供的文挡，检测系统是否在可信硬件模块中，专门设置受保护区域存储所有完整性度量值;b) 尝出以各种方法篡改完整性度量值，检测能否防止篡改。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 2. 1. 2. 6 用户身份标识与鉴别评估内容:b) 一个新的同名用户，检测新d) 尝试以问、修巳)检测系统，g) h) 以试最酣睡酣噩噩瞄记录测4. 2. 1. 2. 7 自主访评估内容:见GA/T671 对开发者的要求:用户处复户名，口

32、令登录，在一会话的过程。分别以授权管止不被非授权地访测系统能否检测并t绝用户鉴别;试系统是终了进行登录尝的身份登测系统是否提供I!I 跑如进程)，检测I是否记录了用开发者应提供文翻翻面如终冉罐罐罐髓髓解制品体锥体，并说明白主访问控制的程围、策略和粒度。评估方法za) 根据开发者提供的文挡，防也接身份对客体添加满挥自主访问控制策略，策略为拒绝其他主体的访问;以其他主体身份访问|幢哺啻拥有B否访问成功;b) 以主体身份对客体添加一条自主访问控制策略，策略为允许指定主体的访问;以授权主体身份访问客体，检测能否访问成功;以非授权主体身份访问客体，检测能否访问成功。记录测试结果并对该结果是否完全符合上述

33、评估方法要求作出判断。4. 2. 1. 2. 8 数据保密性保护4. 2. 1. 2. 8. 1 数据存储保密性评估内容:凡GA/T671一2006中5.2. 1. 3. 8 a)的内容。11 GA/T 672-2006 对开发者的要求:开发者应提供文挡，说明如何基于存储根实现对数据的保密存储，描述是否支持在特定终端计算机系统的特定状态下解密。评估方法:a) 对测试数据进行加密，并以密钥的合法持有者身份进行解密，检测能否解密成功;b) 尝试以其他用户身份对数据进行解密，检测能否解密成功。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 2. 1. 2. 8. 2 数据传输保密性

34、评估内容:见GAjT671-2006中5.2. 1. 3. 8灿的内容。对开发者的要求:开发者应提供丈档，说明如何对传输的用户数据，进行保密性保护。评估方法:利用协议分析仪截取网结传输的用户数据，检测传输的用户数据是否按照开发者的设计进行保密性保护。记录测民结果并对该结果是否完全符合上述评估方法要求作出判断。4. 2. ,. 2. 9 数据完整性保护4. 2. ,. 2. 9. , 存储数据的完整性评估内容:见GAjT671-2006中5.2.1.3.9的内容。对开发者的要求:开发者应提供文档，说明对可信计算平台内部存储的数据，采取了哪些数据完整性保护措施。评估方法:a) 使用各种方法和工具，

35、对可信计算平台内部存储的数据，进行修改，检测系统能否检测出完整性错误，能否采取恢复措施;b) 对照原始数据和恢复后的数据，检测能否完全恢复全部数据。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 2. 1. 2. 9. 2 传输数据的完整性评估内容:12 见GAjT671-2006中5.Z. 1. 3. 9的内容。对开发者的要求:开发者应提供文档，说明对可信信息系统间传输的用户数据，采取了哪些数据完整性保护措施，选择哪种恢复措施:一一一由接收者SSOTCS借助于拥可信信息系统提供的信息;一一由接收者SSOTCS自己无须来自掘可借债息系统的任何帮助，来恢复被破坏的数据为原始的用

36、户数据。评估方法za) 使用各种方法和工具，对可信信息系统间传输的用户数据，进行篡改、删除、插入，检测系统能否检测出完整性错误;b) 按照开发者提供的文挡，检测能否对检测出的完整性错误进行恢复，并检测恢复措施的有效性。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。GA/T 672-2006 4.2. 1. 2. 9. 3 处理数据的完整性评估内容:见GA/T671-2006中5.2. 1. 3. 9的内容。对开发者的要求:开发者应提供文档，说明具体的回退措施。评估方法:a) 记录当前系统的各种状态;b) 进行一些操作，然后对这些操作进行回退，检测系统能否因退到以前的状态。记录测试

37、结果并对该结果是否完全符合上述评估方法要求作出判断。4.2.1.2.10 安全审计评估内容:见GA/T671-2006中5.2. 1. 3. 10的内容。评估方法:a) 查看系统的审计记录信息，检测是否有密码支持、身份标识与鉴别、自主访问控制、数据保密性保护、用户数据完整性保护、信任服务等功能相关操作的审计记录;b) 检测审计功能是否支持审计日志、实时报警生成和违例进程终止;c) 检测审计功能是否支持潜在侵害分析和基于异常检测;d) 以未授权用户身份，尝试查阅审计信息，检测系统是否拒绝未授权访问;e) 检测审计信息是否受到安全保护，尝试以未授权用户进行访问、修改和破坏审计信息，检测系统能否拒绝

38、未授权访问。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 2. 1. 2. 11 备份与故障恢复评估内容:见GA/T671-2006中5.2.1.3.11的内容。对开发者的要求:开发者应提供文档，说明对用户数据和局部系统，如何在备份、存储和恢复过程中进行安全保护。评估方法:a) 以用户身份有选择地备份重要数据的功能，对数据进行修改，然后进行恢复，检测能否有效恢复;b) 对系统定时进行增量备份，对系统数据进行修改，然后进行恢复，检测能否有效恢复;c) 对局部系统进行定期备份，对系统数据进行修改，然后进行恢复，检测能否有效恢复。记录测试结果并对该结果是否完全符合上述评估方法要求

39、作出判断。4.2.1.2. 12 1/0接口配置评估内容:见GA/T671一2006中5.2. 1. 3. 12的内容。评估方法:a) 以用户身份，在BIOS和操作系统中，分别启用串口、井口、PCI、USB、网卡、硬盘，检测能否正常使用;b) 以用户身份，在BIOS和操作系统中，分别禁用串口、井口、PCI、USB、网卡、硬盘，检测能否使用。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。13 GAjT 672一20064. 2. 2 SSOTCS自身安全保护4.2. 2. 1 可惜根安全保护评估内容:见GA/T671-2006中5.2.2.1a)的内容。对开发者的要求:开发者应提供

40、文档，说明存储根和报告根，是否设置在可信硬件模块内，是否对度量根采取物理保护措施。评估方法:a)按照开发者提供的文档融解都黯情陆歪设置在可信硬件模块内;b) 以各种方法和c) 按照开发者效性。4.2.3 4. 2. 3. 1 俨.果是否完全符合上述护见G评估方法:a) 系能否恢复到退出工、J10 系lJf能否恢复到退出见评估方法:评估者应开发者所记录审查4.2. 3. 1. 2 配置管理范围评估内容:见GB/T20271-2006中6.评估方法:终端计算机系统配置管理范围，要求将终端计算机系统的实现表示、设计文档、测试文档、用户文档、安全管理员文档、配置管理文档等置于配置管理之下，从而确保它们

41、的修改是在一个正确授权的可控方式下进行的。为此要求:a) 开发者所提供的配置管理文档应展示配置管理系统至少能跟踪上述配置管理之下的内容;b) 文档应描述配置管理系统是如何跟踪这些配置项的;c) 文档还应提供足够的信息表明达到所有要求。记录审查结果井对该结果是否完全符合上述评估方法要求作出判断。，没有歧义。14 GA/T 672-2006 4.2.3.2 分发和操作4. 2. 3. 2. 1 分发评估内容:见GB/T20271-2006中6.2. 5. 2 a)的内容。评估方法:a) 评估者应审查开发者是否按分发过程的要求，编制分发文档;b) 评估者应审查分发文档，是否描述给用户分发终端计算机系

42、统时，用以维护安全所必须的所有过程;c) 评估者应审查是否记录审查结果并对4.2.3.2.2 操作评估内容:见GB/T20 评估方法:d) 记录审查4.2.3.3.2 安全策略模型评估内容:见GB/T20271-2006中6.2. 5. 3 b 评估方法:评估者应审查开发者所提供的文档中，安全策略模型的相关内容，是否满足如下要求:a) SSP模型应是非形式化的，并描述所有可以模型化的SSP策略的规则与特征;b) SSP模型应包括一个基本原理，阐明该模型与所有可模型化的SSP策略是一致的、完备的;c) SSP模型和功能设计之间的对应性阐明应说明功能设计中的安全功能与SSP模型是一致的、完备的。记

43、录审查结果并对该结果是否完全符合上述评估方法要求作出判断。中6.2. 5. 2 b)的内容。a) 飞/-D 户自k够通过此文档进行见评估方法:评估a)功b)功c)功口国目的与方法，适当的时15 GAjT 672-2006 4.2.3.3.3 高层设计评估内容:见GB/T20271-2006中6.2. 5. 3 c)的内容。评估方法1评估者应审查开发者所提供的高层设计文档是否满足如下要求:a) 以子系统的观点、以非形式化的方法来一致性地描述终端计算机系统的体系结构;b) 描述每一个子系统所提供的安全功能及其相互关系;c) 标识安全功能要求的任何基础性的硬件、固件和/或软件，并且通过这些硬件、固件

44、和/或软件所实现的保护机制，来提供安全功能功能;d) 标识安全功能子系统的所有接口，并标明安全功能子系统的哪些接口是外部可见的。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.2.3.3.4 低层设计评估内容:见GB/T20271-2006中6.2. 5. 3 d)的内容。评估方法:评估者应审查开发者所提供的低层设计文档是否满足如下要求:a) 低层设计的表示应是非形式化的，内在一致的，并以模块术语描述;b) 描述每一个模块的目的;c) 以所提供的安全功能和对其他模块的依赖性术语定义模块间的相互关系;d) 描述如何提供每一个安全策略功能的实施;e) 标识终端计算机系统安全功能模块

45、的所有接口，标识终端计算机系统安全功能模块的哪些接口是外部可见的，以及描述终端计算机系统安全功能模块所有接口的目的与方法，必要时，应提供影响、例外情况和错误信息的细节;f) 描述如何将终端计算机系统分离成安全策略实施模块和其他模块。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.2.3.3.5 内部结构设计评估内容:见GB/T20271-2006中6.2.5.3的的内容。评估方法:评估者应审查开发者所提供的信息是否满足如下要求:a) 应以模块化方法设计和构建终端计算机系统安全功能，并避免设计模块之间出现不必要的交互;b) 标识终端计算机系统安全功能模块，并应描述每一个终端计算机

46、系统安全功能模块的目的、接口、参数和影响;c) 描述终端计算机系统安全功能设计是如何使独立的模块间避免不必要的交互作用;d) 在设计和构建安全功能时，应使安全功能局部的复杂度最小化，以加强访问控制策略;e) 标识安全功能模块，并应指明安全功能的哪些部分是加强安全策略的;f) 描述分层结构，并说明如何使交互作用最小化;g) 描述加安全策略的安全功能部分是如何被构建的，从而使其复杂性降低。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.2.3.3.6 实现表示评估内容:见GB/T20271-2006中6.2.5.3f)的内容。16 GA/T 672一2006评估方法:评估者应审查开

47、发者所提供的信息是否满足如下要求应无歧义地为选定的终端计算机系统安全功能子集定义一个详细级别的终端计算机系统安全功能实现表示，并且实现表示应当是内在一致的。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.2.3.3.7 对应性设计评估内容:见GB/T20271-2006中6.2. 5. 3 g)的内容。评估方法z评估者应审查开发者所提供的信息是否满足如下要求:应在所提供的终端计算机系统安全功能表示的所有相邻对之间提供其对应性分析，对每个相邻对，应当阐明较为抽象的终端计算机系统安全功能表示的所有相关安全功能在较不抽象的终端计算机系统安全功能表示中得到正确而完备地细化。记录审查结果

48、并对该结果是否完全符合上述评估方法要求作出判断。4.2.3.4 文档要求4. 2. 3. 4. 1 管理员指南评估内容z见GB/T20271-2006中6.2.5. 4的内容。评估方法: 评估者应审查开发者是否提供了供系统管理员使用的管理员指南，并且此管理员指南是否包括如下内容:a) 终端计算机系统可以使用的管理功能和接口;b) 怎样安全地管理终端计算机系统;。在安全处理环境中应进行控制的功能和权限;d) 所有对与终端计算机系统的安全操作有关的用户行为的假设;的所有受管理员控制的安全参数，如果可能，应指明安全值;f) 每一种与管理功能有关的安全相关事件，包括对安全功能所控制的实体的安全特性进行的改变;g) 所有与系统管理员有关的IT环境的安全要求。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 2. 3. 4. 2 用户指南评估内容:见GB/T20271-2006中6.2. 5. 4的内容。评估方法:评估者应审查开发者是否提供了供系统用户使用的用户指南，并且此用户指南是否包括如下内容:a) 终端计算机系统的非管理用户可使用的安全功能和接口;b) 终端计算机系统提供给用户的安全功能和接口的用法;。用户可获取但应受安全处理环境控制的所有功能和权限;d) 终端计算机系统安全操作中用户所应承担的职