认监委 发布《上网行为管理系统安全评价规范》(征求意见稿)
《上网行为管理系统安全评价规范》(征求意见稿)
前言
本标准按照GB/T 1.1-2009的规则起草。
本标准由国家认证认可监督管理委员会提出并归口;
本标准起草单位:中国信息安全认证中心,XXX,XXX 等;
本标准主要起草人:。
1 范围
本评价规范是国家实施信息技术产品信息安全认证的指导性技术规范之一。
本评价规范所指的上网行为管理产品是指能够对用户上网行为进行监测、控制和审计,从而实现对网络访问行为实施全面管理的产品。
本评价规范适用于第三方测评机构对上网行为管理产品的检测;上网行为管理产品的设计和实现也可参照使用。
2 规范性引用文件
下列标准所包含的条文,通过在本评价规范中引用而成为本评价规范的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本评价规范。
GB/T 18336-2008《信息技术 安全技术 信息技术安全性评估准则》
3 术语和定义
标准GB/T 18336-2008《信息技术 安全技术 信息技术安全性评估准则》中确立的术语和定义适用于本技术规范。
下列术语和定义适用于本技术规范。
3.1
实时监控
指利用设备对用户的上网行为进行在线、同步的监控。
3.2
网页过滤
指利用设备对用户访问的网页进行检测和控制。
3.3
应用控制
指利用设备识别并基于网络传输的协议和应用类别,对用户访问网络资源行为的监控。
3.4
内容过滤
对经过上网行为管理产品的网络内容进行监视,按照用户需求,甄别和滤除某些特定内容的信息在网络上进行传输。
3.5
授权管理员
具有上网行为管理权限的用户,负责对产品的系统配置、安全策略、审计日志等进行管理。
3.6
安全策略
有关管理、保护和发布敏感信息的法律、规定和实施细则。
4 符号和缩略语
FTP 文件传输协议 File Transfer Protocol
SMTP 简单邮件传输协议 Simple Mail Transfer Protocol
POP3 邮局协议版本3 Post Office Protocol - Version 3
HTTP 超文本传输协议 HTTP,HyperText Transfer Protocol
IP 网间互连协议 Internet Protocol
URL 统一资源定位符 Uniform / Universal Resource Locator
LDAP 轻量目录访问协议 Lightweight Directory Access Protocol
P2P 点对点技术 Peer-to-Peer
SSH 建立在应用层和传输层基础上的安全协议 Secure Shell
5 技术要求
5.1 总体说明
5.1.1 技术要求分类
本评价规范包括对产品的功能要求、性能要求、安全性要求和保证要求。
5.1.2 安全等级
本评价规范不对产品进行安全等级划分。产品的安全保证要求采用GB/T 18336.3-2008中有关EAL2级的要求。
5.2 功能要求
5.2.1 部署方式
应能提供串行接入和旁路监听的接入模式。串行接入模式下,应能够有效实施网页过滤、应用控制、带宽管理、内容过滤、实时监控、上网行为审计、上网用户管理等功能;旁路监听模式下,应能够有效实施实时监控、上网行为审计的功能。
5.2.2 网页过滤
a) 应配备一定规模的预定义网址数据库;
b) 网页过滤策略应包含基于IP地址、用户、组、时间段的访问控制;
c) 网页过滤策略应包含基于URL的访问控制;
d) 网页过滤策略应包含基于关键字的访问控制;
e) 产品应支持用户自定义的网页过滤策略,网页过滤策略可以是IP地址、用户、组、时间段、URL、关键字的部分或全部组合;
f) 应具备WEB访问失败后的提示功能。
5.2.3 应用控制
a) 应能正确识别当前主流网络应用,可包括标准应用协议、聊天软件、P2P、网络游戏、网络电视、炒股软件、流媒体、隐患服务等;
b) 应能基于IP地址、用户、组、时间段等条件控制当前主流网络应用。
5.2.4 带宽管理
应可基于IP地址、用户、组、时间段、应用协议等条件管理带宽(如限制、保障、设置优先级等)。
5.2.5 内容过滤
应能对以下网络行为进行内容过滤:
a) 邮件收发;
b) 网络聊天;
c) HTTP文件传输;
d) HTTPS加密网页访问;
e) FTP文件传输;
f) TELNET;
g) 表单提交;
h) 搜索引擎关键字;
i) 其他。
5.2.6 实时监控
应能实时地监控设备运行健康状况和当前网络活动。
5.2.7 上网行为审计
a) 应可基于IP地址、用户、组、时间段、协议类型、关键字、流量等条件审计上网行为;
b) 应能审计的上网行为范围可包括:网页访问URL信息、邮件收发、网络聊天、文件传输、表单提交、搜索引擎关键、访问其它网络应用等;
c) 应能记录并保存上网行为审计日志;
d) 应能针对上网行为审计日志进行条件查询;
e) 应能按条件生成统计分析报表;
f) 应只允许授权管理员对上网行为审计日志进行操作;
g) 应支持对上网行为审计日志导出。
5.2.8 上网用户管理
a) 产品应具备识别、认证上网用户的能力。产品应采用以下两种或两种以上方式对上网用户进行身份鉴别:
1) IP/MAC绑定;
2) 网关WEB认证;
3) AD域透明认证;
4) LDAP认证;
5) RADIUS认证;
6) POP3认证;
7) ESMTP认证;
8) SOCKS认证;
9) PPPoE认证账号识别;
10) 其他。
b) 应具备管理上网用户的能力。
5.2.9 产品升级
应支持自动联网升级或授权管理员手动升级。升级内容可包括软件系统和规则库等。
5.2.10 高可用性
应具备硬件Bypass或者软件Bypass功能,能够在断电、硬件故障等异常情况下保持网络连通。具备双机热备功能,当主机出现断电或其他故障时,备机应及时发现并接管主机进行工作。
5.3 性能要求
5.3.1 吞吐量
设备或系统的最大传送数据的速率应满足设计目标。
5.4 安全性要求
5.4.1 标识和鉴别
5.4.1.1 鉴别的时机
a) 在用户被鉴别之前,产品应只允许执行的代表用户的由产品安全策略所指定的安全功能介导动作;
b) 在允许代表该用户的任何其它安全功能介导动作执行之前,产品应要求每个用户都已被成功鉴别。
5.4.1.2 用户属性定义
应为每一个用户保存安全属性表,属性可包括:用户标识、授权信息或用户组信息、其他安全属性等。
5.4.1.3 鉴别失败处理
当用户鉴别失败达到指定次数后,产品应能够采取措施以阻止用户继续尝试鉴别,并将有关信息生成审计日志。
5.4.2 安全管理
5.4.2.1 安全角色
应设置多个角色,并可将用户和角色相关联。
5.4.2.2 安全功能行为的管理
应仅允许相应角色的授权用户对其功能进行激活、终止、修改等操作。
5.4.2.3 安全功能数据的管理
应仅允许相应角色的授权用户对其功能参数执行查询、创建、修改、删除等操作。
5.4.2.4 安全属性管理
应仅允许相应角色的授权用户对指定的安全属性执行查询、创建、修改、删除等操作。
5.4.3 安全审计
5.4.3.1 审计数据产生
a) 应能为下列重要操作生成审计日志:
1) 审计功能的启动、关闭;
2) 任何修改、破坏审计记录的尝试;
3) 所有对产品功能参数的修改(设置和更新);
4) 任何对身份鉴别机制的使用;
5) 用户的创建、修改或删除;
6) 导出审计记录的行为。
b) 审计日志的内容应至少包括事件发生时间、事件类型、主体身份标识、操作内容、事件结果。
5.4.3.2 审计查阅
a) 应为授权用户提供从审计记录中读取审计信息的能力;
b) 应以便于用户理解的方式提供审计记录。
5.4.3.3 可选审计查阅
应提供根据逻辑条件对审计数据进行查阅的功能。
5.4.3.4 受保护的审计迹存储
a) 应保护存储的审计记录免遭未授权的删除;
b) 应防止或检测对审计记录未授权的修改。
5.4.4 TSF保护
5.4.4.1 内部TSF数据传送的基本保护
应保护安全功能数据在产品不同部分间传送时不被泄漏。
5.4.4.2 可靠的时间戳
应能为自身的应用提供可靠的时间戳。
5.5 保证要求
5.5.1 配置管理
5.5.1.1 配置项
开发者应执行以下内容:
a) 开发者应为上网行为管理产品提供一个参照号;
b) 开发者应使用一个配置管理系统;
c) 开发者应提供配置管理文档。
开发者执行的内容应满足以下要求:
a) 上网行为管理产品参照号对上网行为管理产品的每一个版本应是唯一的;
b) 应该给上网行为管理产品标记上参照号;
c) 配置管理文档应包括一个配置清单;
d) 配置清单应唯一标识组成上网行为管理产品的所有配置项;
e) 配置清单应描述组成上网行为管理产品的配置项;
f) 配置管理文档应描述用于唯一标识上网行为管理产品所包含配置项的方法;
g) 配置管理系统应唯一标识上网行为管理产品所包含的所有的配置项。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
5.5.2 交付与运行
5.5.2.1 交付程序
开发者应执行以下内容:
a) 开发者应将把上网行为管理产品及其部分交付给用户的程序文档化;
b) 开发者应使用交付程序。
开发者执行的内容应满足以下要求:
交付文档应描述,在向用户方分发上网行为管理产品版本时,用以维护其安全性所必需的所有程序。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
5.5.2.2 安装、生成和启动程序
开发者应执行以下内容:
开发者应将上网行为管理产品安全地安装、生成和启动必需的程序文档化。
开发者执行的内容应满足以下要求:
安装、生成和启动文档应描述上网行为管理产品安全地安装、生成和启动所必需的所有步骤。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
5.5.3 开发
5.5.3.1 非形式化功能规范
开发者应提供以下文档:
开发者应提供一个功能规范。
开发者提供的文档应满足以下要求:
a) 功能规范应使用非形式化风格来描述上网行为管理产品安全功能与其外部接口;
b) 功能规范应当是内在一致的;
c) 功能规范应描述所有外部上网行为管理产品安全功能接口的用途与使用方法,适当时应提供效果、例外情况和错误消息的细节;
d) 功能规范应完备地表示上网行为管理产品安全功能。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
5.5.3.2 描述性高层设计
开发者应提供以下文档:
开发者应提供上网行为管理产品安全功能的高层设计。
开发者提供的文档应满足以下要求:
a) 高层设计的表示应是非形式化的;
b) 高层设计应是内在一致的;
c) 高层设计应按子系统描述上网行为管理产品安全功能的结构;
d) 高层设计应描述每个上网行为管理产品安全功能子系统所提供的安全功能性;
e) 高层设计应当标识上网行为管理产品安全功能要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现的支持性保护机制所提供功能的一个表示;
f) 高层设计应标识上网行为管理产品安全功能子系统的所有接口;
g) 高层设计应标识上网行为管理产品安全功能子系统的哪些接口是外部可见的。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
5.5.3.3 非形式化对应性证实
开发者应提供以下文档:
开发者应提供一个所提供上网行为管理产品安全功能表示的所有相邻对之间对应性的分析。
开发者提供的文档应满足以下要求:
对于所提供的上网行为管理产品安全功能表示(如上网行为管理产品功能规范、高层设计等)的每个相邻对,分析应证实,较为抽象的上网行为管理产品安全功能表示的所有相关安全功能都在较不抽象的安全功能表示中得到正确且完备地细化。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
5.5.4 指导性文档
5.5.4.1 管理员指南
开发者应提供以下文档:
开发者应提供针对系统管理员的管理员指南。
开发者提供的文档应满足以下要求:
a) 管理员指南应描述上网行为管理产品的管理员可使用的管理功能和接口;
b) 管理员指南应描述如何以安全的方式管理上网行为管理产品;
c) 管理员指南应包含一些关于安全处理环境中应被控制的功能和特权的警示信息;
d) 管理员指南应描述所有关于与上网行为管理产品运行有关的用户行为的假设;
e) 管理员指南应描述所有受管理员控制的安全参数,适当时应指明安全值;
f) 管理员指南应描述每一种与需要执行的管理功能有关的安全相关事件,包括改变上网行为管理产品安全功能所控制实体的安全特性;
g) 管理员指南应与供评估的所有其他文档一致;
h) 管理员指南应描述所有与管理员有关的IT环境安全要求。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
5.5.4.2 用户指南
开发者应提供以下文档:
开发者应提供用户指南。
开发者提供的文档应满足以下要求:
a) 用户指南应描述上网行为管理产品的非管理用户可使用的功能和接口;
b) 用户指南应描述上网行为管理产品所提供的用户可访问安全功能的使用;
c) 用户指南应包含一些关于安全处理环境中应被控制的用户可访问功能和特权的警示信息;
d) 用户指南应清晰地阐述上网行为管理产品安全运行所必需的所有用户职责,包括与上网行为管理产品安全环境陈述中可找到的与关于用户行为的假设有关的那些职责;
e) 用户指南应与供评估的所有其他文档保持一致;
f) 用户指南应描述所有与用户有关的IT环境安全要求。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
5.5.5 测试
5.5.5.1 覆盖证据
开发者应提供以下文档:
开发者应提供测试覆盖的证据。
开发者提供的文档应满足以下要求:
测试覆盖的证据中应说明测试文档中所标识的测试与功能规范中所描述的上网行为管理产品安全功能之间的对应性。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
5.5.5.2 功能测试
开发者应执行以下内容:
a) 开发者应测试上网行为管理产品安全功能,并文档化测试结果;
b) 开发者应提供测试文档。
开发者执行的内容应满足以下要求:
a) 测试文档应包括测试计划、测试程序描述、预期的测试结果和实际的测试结果;
b) 测试计划应标识要测试的安全功能,并描述要执行的测试的目标;
c) 测试程序描述应标识要执行的测试,应描述每个安全功能的测试脚本,这些脚本应包括对于其他测试结果的任何顺序依赖性;
d) 预期的测试结果应指出测试成功执行后的预期输出;
e) 开发者执行测试所得到的测试结果应证实每个被测试的安全性功能都按照规定运转。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
5.5.5.3 独立测试——抽样
开发者应执行以下内容:
开发者应提供用于测试的上网行为管理产品。
开发者执行的内容应满足以下要求:
a) 开发者提供的上网行为管理产品应适合测试;
b) 开发者应提供一组相当的资源,用于开发者的上网行为管理产品安全功能的功能测试。
评估者应执行以下内容:
a) 评估者应确认开发者所提供的信息应满足对开发者的要求;
b) 评估者应适当地测试上网行为管理产品安全功能的一个子集,以确认上网行为管理产品按照规定运行;
c) 评估者应执行测试文档中的一个测试样本,以验证开发者的测试结果。
5.5.6 脆弱性评定
5.5.6.1 TOE安全功能强度评估
开发者应执行以下内容:
开发者应对ST中所标识的每个具有上网行为管理产品安全功能强度声明的安全机制进行上网行为管理产品安全功能强度分析。
开发者执行的内容应满足以下要求:
a) 对于每个具有上网行为管理产品安全功能强度声明的安全机制,上网行为管理产品安全功能强度分析应说明该机制达到或超过PP/ST中定义的最低强度级别;
b) 对于每个具有上网行为管理产品安全功能强度声明的安全机制,上网行为管理产品安全功能强度分析应说明该机制达到或超过PP/ST中定义的特定功能强度度量。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
5.5.6.2 开发者脆弱性分析
开发者应执行以下内容:
a) 开发者应执行脆弱性分析;
b) 开发者应提供脆弱性分析文档。
开发者执行的内容应满足以下要求:
a) 脆弱性分析文档应描述为搜索用户能违反上网行为管理产品安全策略的明显方法而执行的上网行为管理产品可交付材料分析;
b) 脆弱性分析文档应描述对明显的脆弱性的处置;
c) 脆弱性分析文档应针对所有已标识的脆弱性,说明脆弱性不能在上网行为管理产品的预期使用环境中被利用。
评估者应执行以下内容:
a) 评估者应确认开发者所提供的信息应满足对开发者的要求;
b) 评估者应在开发者脆弱性分析的基础上实施穿透性测试,以确保明显的脆弱性都已被处理。
6 测评方法
6.1 总体说明
测评方法与技术要求一一对应,它给出具体的测评方法来验证上网行为管理产品是否满足技术要求。它由测试环境、测试工具、检测要求、检测方法和判定结果五个部分组成。
6.2 功能测试
6.2.1 测试环境与工具
a) 检测环境图
图1 上网行为管理产品检测环境图
b) 测试工具:
测试设备包括测试所需的交换机、路由器、WEB服务器、上网行为管理产品管理主机等。
6.2.2 功能要求
6.2.2.1 部署方式
a) 检测要求
应能提供串行接入和旁路监听的接入模式。串行接入模式下,应能够有效实施网页过滤、应用控制、带宽管理、内容过滤、实时监控、上网行为审计、上网用户管理等功能;旁路监听模式下,应能够有效实施实时监控、上网行为审计的功能。
b) 检测方法
产品以串接接入和旁路监听的模式接入到网络中,验证两种接入模式是否均有效:
串行接入模式下,查验产品是否能够有效实施网页过滤、应用控制、带宽管理、内容过滤、实时监控、上网行为审计、上网用户管理等功能;旁路监听模式下,查验产品是否能够有效实施实时监控、上网行为审计的功能。
c) 结果判定
若上述检测方法的检测结果为肯定,则为“符合”,否则为“不符合”。
6.2.2.2 网页过滤
a) 检测要求
1) 产品应配备一定规模的预定义网址数据库;
2) 网页过滤策略应包含基于IP地址、用户、组、时间段的访问控制;
3) 网页过滤策略应包含基于URL的访问控制;
4) 网页过滤策略应包含基于关键字的访问控制;
5) 产品应支持用户自定义的网页过滤策略,网页过滤策略可以是IP地址、用户、组、时间段、URL、关键字的部分或全部组合;
6) 产品应具备WEB访问失败后的提示功能。
b) 检测方法
1) 检查产品是否配备了一定规模的预定义网址数据库;
2) 配置基于IP地址、用户、组、时间段的网页过滤策略,产生相应的网络会话,验证网页过滤策略是否有效;
3) 配置基于URL的网页过滤策略,产生相应的网络会话,验证网页过滤策略是否有效;
4) 配置基于关键字的网页过滤策略,产生相应的网络会话,验证网页过滤策略是否有效;
5) 配置用户自定义的网页过滤策略,过滤条件可以是1)-4)过滤条件中的部分或全部组合,产生相应的网络会话,验证网页过滤策略是否有效;
6) 访问1)-5)配置中所禁止的网页,查看是否具备WEB访问失败后的提示功能。
c) 结果判定
若上述检测方法1)-6)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.2.2.3 应用控制
a) 检测要求
1) 产品应能正确识别当前主流网络应用,可包括标准应用协议、聊天软件、P2P、网络游戏、网络电视、炒股软件、流媒体、隐患服务等;
2) 产品应能基于IP地址、用户、组、时间段等条件控制当前主流网络应用。
b) 检测方法
1) 针对网络应用的IP地址、用户、组、时间段等条件,配置以下应用控制策略:
(1) 标准应用协议:HTTP(S)、SMTP、POP3、FTP、TELNET、SSH等;
(2) 聊天软件:QQ、MSN、Yahoo、Messenger、Skype等;
(3) P2P:BT、eMule/eDonkey、迅雷、Gnutella、PP点点通等;
(4) 网络游戏:联众世界、魔兽世界、梦幻西游、中国游戏中心、征途等;
(5) 网络电视:PPStream、PPLive、Sopcast、UUSee等;
(6) 炒股软件:大智慧、指南针、同花顺、证券之星等;
(7) 流媒体:RealMedia、WinMedia等;
(8) 隐患服务:Windows文件共享、VNC、MYSQL等。
2) 产生相应的应用会话,验证产品是否能正确识别并有效控制上述网络应用。
c) 结果判定
若产品能识别并控制检测方法1)中提到的至少6项应用,则为“符合”,否则为“不符合”。
6.2.2.4 带宽管理
a) 检测要求
产品可基于IP地址、用户、组、时间段、应用协议等条件管理带宽(如限制、保障、设置优先级等)。
b) 检测方法
按照检测要求配置带宽管理策略,产生相应的网络流量,验证带宽管理策略是否有效。
c) 结果判定
若上述检测方法的检测结果为肯定,则为“符合”,否则为“不符合”。
6.2.2.5 内容过滤
a) 检测要求
产品应能对以下网络行为进行内容过滤:
1) 邮件收发;
2) 网络聊天;
3) HTTP文件传输;
4) HTTPS加密网页访问;
5) FTP文件传输;
6) TELNET;
7) 表单提交;
8) 搜索引擎关键字;
9) 其他。
b) 检测方法
配置上述相关的内容过滤条件,产生相应的网络会话,验证内容过滤功能是否有效。
c) 结果判定
若产品能过滤检测要求中提到的至少6种网络行为,则为符合,少于6种为不符合。
6.2.2.6 实时监控
a) 检测要求
产品应能实时地监控设备运行健康状况和当前网络活动。
b) 检测方法
1) 查看系统资源健康状况,是否包含CPU、内存、硬盘等使用信息;
2) 查看当前在线用户列表,是否包含全部合法用户以及活跃用户;
3) 查看产品是否能监控当前网络实时流量以及一段时间内网络流量变化情况。
c) 结果判定
若上述检测方法1)-3)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.2.2.7 上网行为审计
a) 检测要求
1) 产品应可基于IP地址、用户、组、时间段、协议类型、关键字、流量等条件审计上网行为;
2) 产品能审计的上网行为范围可包括:网页访问URL信息、邮件收发、网络聊天、文件传输、表单提交、搜索引擎关键、访问其它网络应用等;
3) 产品应能记录并保存上网行为审计日志;
4) 产品应能针对上网行为审计日志进行条件查询;
5) 产品应能按条件生成统计分析报表;
6) 产品应只允许授权管理员对上网行为审计日志进行操作;
7) 产品应支持对上网行为审计日志导出。
b) 检测方法
1) 配置相关的上网行为审计条件,产生相应的网络会话,验证上网行为审计是否有效;
2) 验证产品是否能审计检测要求2)中的一种或多种上网行为;
3) 验证相应的上网行为审计日志的内容是否包括:日期、时间、IP地址、用户、组、协议类型、访问内容、流量等;
4) 验证产品是否能保存上网行为审计日志,不会因意外(如断电等)丢失上网行为审计日志数据;
5) 验证产品是否能按给定的查询条件对上网行为审计日志执行正确、有效的查询功能(查询条件可包括日期、时间、协议类型、IP地址、用户、组、协议类型、访问内容、流量等内容);
6) 验证产品是否能按条件生成统计分析报表;
7) 尝试以非授权管理员的身份访问上网行为审计日志,验证是否不可操作;
8) 以授权管理员身份登录,验证是否能执行日志查询和清空等操作;
9) 验证产品是否具备上网行为审计日志导出功能。
c) 结果判定
若上述检测方法1)–9)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.2.2.8 上网用户管理
a) 检测要求
1) 产品应具备识别、认证上网用户的能力。产品应采用以下两种或两种以上方式对上网用户进行身份鉴别:
1) IP/MAC绑定;
2) 网关WEB认证;
3) AD域透明认证;
4) LDAP认证;
5) RADIUS认证;
6) POP3认证;
7) ESMTP认证;
8) SOCKS认证;
9) PPPoE认证账号识别;
10) 其他。
2) 产品应具备管理上网用户的能力。
b) 检测方法
验证产品是否采用检测要求中,两种及两种以上方式对上网用户进行身份鉴别。
c) 结果判定
产品能够采用至少两种以上方式进行身份鉴别,则为“符合”,否则为“不符合”。
6.2.2.9 产品升级
a) 检测要求
产品应支持自动联网升级或授权管理员手动升级。升级内容可包括软件系统和规则库等。
b) 检测方法
验证产品是否支持自动联网升级或授权管理员手动升级。
c) 结果判定
若上述检测方法的检测结果为肯定,则为“符合”,否则为“不符合”。
6.2.2.10 高可用性
a) 检测要求
产品应具备硬件Bypass或者软件Bypass功能,能够在断电、硬件故障等异常情况下保持网络连通。具备双机热备功能,当主机出现断电或其他故障时,备机应及时发现并接管主机进行工作。
b) 检测方法
1) 审查产品说明书描述是否具备硬件Bypass或者软件Bypass功能;在产品运行过程中,切断产品电源,模拟断电等硬件故障,测试产品在断电状态下是否能够保持网络连通;
2) 上网行为管理产品如支持双机热备,可配置双机热备模式,并验证其功能实现。
c) 结果判定
若上述检测方法1)的检测结果为肯定,则为“符合”,否则为“不符合”。
6.3 性能测试
6.3.1 测试环境与工具
a) 测试环境图
图2 性能检测环境图
b) 测试工具:应用层性能测试设备
6.3.2 吞吐量
a) 测评要求
测试设备或系统在没有丢包情形下的最大传送数据的速率。
b) 测评方法
1) 在不开启应用规则策略的情况下,使用应用层测试设备进行吞吐量测试;
2) 在开启一条应用控制策略及一条网页过滤策略,并开启所有审计策略的情况下,使用应用层测试设备,进行吞吐量测试;
3) 测试过程中采用HTTP应用层协议、串行接入模式。
c) 结果判定
记录检测结果。
6.4 安全性测试
6.4.1 标识和鉴别
6.4.1.1 鉴别的时机
a) 检测要求
1) 在用户被鉴别之前,产品应只允许执行的代表用户的由产品安全策略所指定的安全功能介导动作;
2) 在允许代表该用户的任何其它安全功能介导动作执行之前,产品应要求每个用户都已被成功鉴别。
b) 检测方法
1) 在未登录的情况下,验证其是否不允许执行产品的配置功能和控制策略的设置功能;
2) 利用产品提供的管理方式登录产品的管理界面,验证在登录过程中产品是否要求用户输入鉴别数据(如口令等);
3) 在产品的登录界面中,以不正确的鉴别数据尝试登录产品的管理界面,验证登录是否失败;
4) 在产品的登录界面中,以正确的鉴别数据尝试登录产品的管理界面,验证登录是否成功。
c) 结果判定
若上述检测方法1)–4)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.4.1.2 用户属性定义
a) 检测要求
应为每一个用户保存安全属性表,属性可包括:用户标识、授权信息或用户组信息、其他安全属性等。
b) 检测方法
1) 查看产品是否为每一个用户保存其安全属性表,属性可包括:用户标识、授权信息或用户组信息、其他安全属性等;
2) 为产品建立管理员,验证其可执行的操作是否受限于其安全属性;
3) 修改管理员的安全属性,验证管理员可执行的操作是否符合相应的安全属性变更。
c) 结果判定
若上述检测方法1)–3)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.4.1.3 鉴别失败处理
a) 检测要求
当用户鉴别失败达到指定次数后,产品应能够采取措施以阻止用户继续尝试鉴别,并将有关信息生成审计日志。
b) 检测方法
尝试多次失败的用户鉴别行为,检查到达指定的鉴别失败次数后,产品是否采取了相应措施,并生成了审计日志。
c) 结果判定
若上述检测方法的检测结果为肯定,则为“符合”,否则为“不符合”。
6.4.2 安全管理
6.4.2.1 安全角色
a) 检测要求
产品应设置多个角色,并可将用户和角色相关联。
b) 检测方法
1) 检查产品是否允许定义多种角色的用户;
2) 验证用户可执行的操作是否符合其角色。
c) 结果判定
若上述检测方法1)-2)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.4.2.2 安全功能行为的管理
a) 检测要求
产品应仅允许相应角色的授权用户对其功能进行激活、终止、修改等操作。
b) 检测方法
1) 以授权管理员身份登录产品的管理界面,验证其是否可对产品功能进行激活、终止、修改等操作;
2) 尝试以非授权管理员身份登录产品的管理界面,验证其是否不可对产品功能进行激活、终止、修改等操作。
c) 结果判定
若上述检测方法1)-2)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.4.2.3 安全功能数据的管理
a) 检测要求
产品应仅允许相应角色的授权用户对其功能参数执行查询、创建、修改、删除等操作。
b) 检测方法
1) 以授权管理员身份登录产品的管理界面,验证其是否可对产品功能参数执行查询、创建、修改、删除等操作;
2) 尝试以非授权管理员身份登录产品的管理界面,验证其是否不可对产品功能参数执行查询、创建、修改、删除等操作。
c) 结果判定
若上述检测方法1)-2)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.4.2.4 安全属性管理
a) 检测要求
产品应仅允许相应角色的授权用户对指定的安全属性执行查询、创建、修改、删除等操作。
b) 检测方法
1) 以授权管理员身份登录产品的管理界面,验证其是否可对指定的安全属性执行查询、创建、修改、删除等操作;
2) 尝试以非授权管理员身份登录产品的管理界面,验证其是否不可对指定的安全属性执行查询、创建、修改、删除等操作。
c) 结果判定
若上述检测方法1)-2)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.4.3 安全审计
6.4.3.1 审计数据产生
a) 检测要求
1) 产品应能为下列重要操作生成审计日志:
(1) 审计功能的启动、关闭;
(2) 任何修改、破坏审计记录的尝试;
(3) 所有对产品功能参数的修改(设置和更新);
(4) 任何对身份鉴别机制的使用;
(5) 用户的创建、修改或删除;
(6) 导出审计记录的行为。
2) 审计日志的内容应至少包括事件发生时间、事件类型、主体身份标识、操作内容、事件结果。
b) 检测方法
1) 对产品执行检测要求1)中提及的操作;
2) 检查产品是否对步骤1)中的操作生成审计日志;
3) 检查审计日志的内容是否包括事件发生时间、事件类型、主体身份标识、操作内容、事件结果。
c) 结果判定
若上述检测方法2)-3)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.4.3.2 审计查阅
a) 检测要求
1) 产品应为授权用户提供从审计记录中读取审计信息的能力;
2) 产品应以便于用户理解的方式提供审计记录。
b) 检测方法
1) 以授权用户身份查阅审计记录,验证产品是否可提供审计信息;
2) 尝试以非授权的方式查阅审计记录,验证产品是否不提供审计信息;
3) 分析产品提供的审计记录是否以便于理解的方式表示。
c) 结果判定
若上述检测方法1)–3)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.4.3.3 可选审计查阅
a) 检测要求
产品应提供根据逻辑条件对审计数据进行查阅的功能。
b) 检测方法
验证产品是否可根据事件发生时间、事件类型、主体身份标识、操作内容等条件对审计数据进行查阅。
c) 结果判定
若上述检测方法的检测结果为肯定,则为“符合”,否则为“不符合”。
6.4.3.4 受保护的审计踪迹存储
a) 检测要求
1) 产品应保护存储的审计记录免遭未授权的删除;
2) 产品应防止或检测对审计记录未授权的修改。
b) 检测方法
1) 以未授权管理员身份尝试执行删除审计记录的操作,验证产品是否不允许执行删除审计记录的操作;
2) 以未授权管理员身份尝试执行修改审计记录的操作,验证产品是否能够防止或检测修改审计记录的操作。
c) 结果判定
若上述检测方法1)-2)的检测结果均为肯定,则为“符合”,否则为“不符合”。
6.4.4 TSF保护
6.4.4.1 内部TSF数据传送的基本保护
a) 检测要求
产品应保护安全功能数据在产品不同部分间传送时不被泄漏。
b) 检测方法
使用协议分析工具截取控制台与产品其它部分之间的通讯信息,检测是否对通讯信息进行了加密。
c) 结果判定
若上述检测方法的检测结果为肯定,则为“符合”,否则为“不符合”。
6.4.4.2 可靠的时间戳
a) 检测要求
产品应能为自身的应用提供可靠的时间戳。
b) 检测方法
1) 分析产品的哪些应用需要时间戳(例如安全属性到期、审计数据收集时间、安全审计策略下发时间);
2) 检查应用需要的时间戳来源(例如产品本身的系统时间、指定数据库等);
3) 分析产品是否能为应用提供可靠的时间戳(例如所有应用的时间戳来自产品本身的系统时间,且产品的系统时间仅能由产品的授权用户来设置或者产品的系统时间能够与时钟服务器同步)。
c) 结果判定
若上述检测方法3)的检测结果为肯定,则为“符合”,否则为“不符合”。
6.5 保证要求测试
6.5.1 配置管理
6.5.1.1 配置项
a) 检测要求
开发者应执行以下内容:
1) 开发者应为上网行为管理产品提供一个参照号;
2) 开发者应使用一个配置管理系统;
3) 开发者应提供配置管理文档。
开发者执行的内容应满足以下要求:
1) 上网行为管理产品参照号对上网行为管理产品的每一个版本应是唯一的;
2) 应该给上网行为管理产品标记上参照号;
3) 配置管理文档应包括一个配置清单;
4) 配置清单应唯一标识组成上网行为管理产品的所有配置项;
5) 配置清单应描述组成上网行为管理产品的配置项;
6) 配置管理文档应描述用于唯一标识上网行为管理产品所包含配置项的方法;
7) 配置管理系统应唯一标识上网行为管理产品所包含的所有的配置项。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
b) 检测方法
1) 检查上网行为管理产品参照号对上网行为管理产品的每一个版本是否是唯一的;
2) 检查上网行为管理产品上是否标记了参照号;
3) 检查开发者提供的配置管理文档是否包括配置清单;
4) 检查配置清单中是否唯一标识组成上网行为管理产品的所有配置项;
5) 检查配置清单中是否描述组成上网行为管理产品的配置项;
6) 检查配置管理文档是否包含对配置项给出唯一标识的方法的描述;
7) 检查产品是否使用了配置管理系统,并且检查配置管理系统是否对所有的配置项做出唯一的标识。
c) 结果判定
1) 开发者为上网行为管理产品提供了参照号,且参照号满足要求;
2) 开发者提供了配置管理文档,且文档满足要求;
3) 开发者使用了配置管理系统,且现场检查的配置项在配置管理系统中均做出唯一的标识。
1)-3)项均满足的为“符合”,其他情况为“不符合”。
6.5.2 交付与运行
6.5.2.1 交付程序
a) 检测要求
开发者应执行以下内容:
1) 开发者应将把TOE及其部分交付给用户的程序文档化;
2) 开发者应使用交付程序。
开发者执行的内容应满足以下要求:
交付文档应描述,在向用户方分发上网行为管理产品版本时,用以维护其安全性所必需的所有程序。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
b) 检测方法
1) 检查上网行为管理产品交付文档中是否包含了产品分发程序描述,分发程序是否提供了维护安全性所必需的程序;
2) 检查开发者是否提供了使用交付程序的证据。
c) 结果判定
1) 上网行为管理产品交付文档中包含了产品分发程序描述,分发程序提供了维护安全性所必需的程序;
2) 开发者提供了使用交付程序的证据。
1)-2)项均满足的为“符合”;其他情况为“不符合”。
6.5.2.2 安装、生成和启动程序
a) 检测要求
开发者应执行以下内容:
开发者应将TOE安全地安装、生成和启动必需的程序文档化。
开发者执行的内容应满足以下要求:
安装、生成和启动文档应描述上网行为管理产品安全地安装、生成和启动所必需的所有步骤。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
b) 检测方法
1) 检查开发者是否提供了安装、生成和启动产品所必需的程序文档;
2) 使用安装、生成和启动程序文档执行程序中规定的操作,检查操作能否正确完成。
c) 结果判定
1) 开发者提供了安装、生成和启动产品所必需的程序文档;
2) 按照安装、生成和启动相关程序文档能够正确完成相关操作。
1)-2)项均满足的为“符合”;其他情况为“不符合”。
6.5.3 开发
6.5.3.1 非形式化功能规范
a) 检测要求
开发者应提供以下文档:
开发者应提供一个功能规范。
开发者提供的文档应满足以下要求:
1) 功能规范应使用非形式化风格来描述上网行为管理产品安全功能与其外部接口;
2) 功能规范应当是内在一致的;
3) 功能规范应描述所有外部上网行为管理产品安全功能接口的用途与使用方法,适当时应提供效果、例外情况和错误消息的细节;
4) 功能规范应完备地表示上网行为管理产品安全功能。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
b) 检测方法
1) 检查功能规范是否以非形式化形式对上网行为管理产品的安全功能和外部接口进行描述;
2) 检查功能规范是否内在一致;
3) 检查功能规范是否对外部上网行为管理产品安全功能接口的用途与使用方法进行了描述,是否适当描述了效果、例外情况和错误消息的细节;
4) 检查功能规范是否完备地表示了上网行为管理产品的安全功能。
c) 结果判定
1) 开发者提供了功能规范文档;
2) 功能规范文档的内容满足要求。
1)-2)项均满足的为“符合”;其他情况为“不符合”。
6.5.3.2 描述性高层设计
a) 检测要求
开发者应提供以下文档:
开发者应提供上网行为管理产品安全功能的高层设计。
开发者提供的文档应满足以下要求:
1) 高层设计的表示应是非形式化的;
2) 高层设计应是内在一致的;
3) 高层设计应按子系统描述上网行为管理产品安全功能的结构;
4) 高层设计应描述每个上网行为管理产品安全功能子系统所提供的安全功能性;
5) 高层设计应当标识上网行为管理产品安全功能要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现的支持性保护机制所提供功能的一个表示;
6) 高层设计应标识上网行为管理产品安全功能子系统的所有接口;
7) 高层设计应标识上网行为管理产品安全功能子系统的哪些接口是外部可见的。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
b) 检测方法
1) 检查高层设计是否以非形式化的风格表示;
2) 检查高层设计是否内在一致的;
3) 检查高层设计是否按子系统描述上网行为管理产品安全功能的结构;
4) 检查高层设计是否描述了每个上网行为管理产品安全功能子系统所提供的安全功能性;
5) 检查高层设计是否标识了上网行为管理产品安全功能要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现的支持性保护机制所提供功能的一个表示;
6) 检查高层设计是否标识了上网行为管理产品安全功能子系统的所有接口;
7) 检查高层设计是否标识了上网行为管理产品安全功能子系统的哪些接口是外部可见的。
c) 结果判定
1) 开发者提供了高层设计文档;
2) 高层设计文档的内容满足要求。
1)-2)项均满足的为“符合”;其他情况为“不符合”。
6.5.3.3 非形式化对应性证实
a) 检测要求
开发者应提供以下文档:
开发者应提供一个所提供上网行为管理产品安全功能表示的所有相邻对之间对应性的分析。
开发者提供的文档应满足以下要求:
对于所提供的上网行为管理产品安全功能表示(如上网行为管理产品功能规范、高层设计等)的每个相邻对,分析应证实,较为抽象的上网行为管理产品安全功能表示的所有相关安全功能都在较不抽象的安全功能表示中得到正确且完备地细化。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
b) 检测方法
1) 检查对应性分析文档,检查上网行为管理产品的功能规范是否正确完备的表示了安全目标的概要规范中的安全功能;
2) 检查对应性分析文档,检查产品的高层设计是否正确完备的表示了功能规范。
c) 结果判定
1) 开发者提供了相关的对应性分析文档;
2) 对应性分析文档的内容满足要求。
1)-2)项均满足的为“符合”;其他情况为“不符合”。
6.5.4 指导性文档
6.5.4.1 管理员指南
a) 检测要求
开发者应提供以下文档:
开发者应提供针对系统管理员的管理员指南。
开发者提供的文档应满足以下要求:
1) 管理员指南应描述上网行为管理产品管理员可使用的管理功能和接口;
2) 管理员指南应描述如何以安全的方式管理上网行为管理产品;
3) 管理员指南应包含一些关于安全处理环境中应被控制的功能和特权的警示信息;
4) 管理员指南应描述所有关于与上网行为管理产品运行有关的用户行为的假设;
5) 管理员指南应描述所有受管理员控制的安全参数,适当时应指明安全值;
6) 管理员指南应描述每一种与需要执行的管理功能有关的安全相关事件,包括改变上网行为管理产品安全功能所控制实体的安全特性;
7) 管理员指南应与供评估的所有其他文档一致;
8) 管理员指南应描述所有与管理员有关的IT环境安全要求。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
b) 检测方法
1) 检查管理员指南是否描述了上网行为管理产品管理员可使用的管理功能和接口;
2) 检查管理员指南是否描述了如何以安全的方式管理上网行为管理产品;
3) 检查管理员指南是否包含了一些关于安全处理环境中应被控制的功能和特权的警示信息;
4) 检查管理员指南是否描述了所有关于与上网行为管理产品运行有关的用户行为的假设;
5) 检查管理员指南是否描述了所有受管理员控制的安全参数,适当时应指明安全值;
6) 检查管理员指南是否描述了每一种与需要执行的管理功能有关的安全相关事件,包括改变上网行为管理产品安全功能所控制实体的安全特性;
7) 检查管理员指南是否与供评估的所有其他文档一致;
8) 检查管理员指南是否描述了所有与管理员有关的IT环境安全要求。
c) 结果判定
1) 开发者提供了管理员指南文档;
2) 管理员指南文档的内容满足要求。
1)-2)项均满足的为“符合”;其他情况为“不符合”。
6.5.4.2 用户指南
a) 检测要求
开发者应提供以下文档:
开发者应提供用户指南。
开发者提供的文档应满足以下要求:
1) 用户指南应描述上网行为管理产品的非管理用户可使用的功能和接口;
2) 用户指南应描述上网行为管理产品所提供的用户可访问安全功能的使用;
3) 用户指南应包含一些关于安全处理环境中应被控制的用户可访问功能和特权的警示信息;
4) 用户指南应清晰地阐述上网行为管理产品安全运行所必需的所有用户职责,包括与上网行为管理产品安全环境陈述中可找到的与关于用户行为的假设有关的那些职责;
5) 用户指南应与供评估的所有其他文档保持一致;
6) 用户指南应描述所有与用户有关的IT环境安全要求。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
b) 检测方法
1) 检查用户指南是否描述了上网行为管理产品的非管理用户可使用的功能和接口;
2) 用户指南是否描述了上网行为管理产品所提供的用户可访问安全功能的使用;
3) 用户指南是否包含一些关于安全处理环境中应被控制的用户可访问功能和特权的警示信息;
4) 用户指南是否清晰地阐述了上网行为管理产品安全运行所必需的所有用户职责,包括与上网行为管理产品安全环境陈述中可找到的与关于用户行为的假设有关的那些职责;
5) 用户指南是否与供评估的所有其他文档保持一致;
6) 用户指南是否描述了所有与用户有关的IT环境安全要求。
c) 结果判定
1) 开发者提供了用户指南文档;
2) 用户指南文档的内容满足要求。
1)-2)项均满足的为“符合”;其他情况为“不符合”。
6.5.5 测试
6.5.5.1 覆盖证据
a) 检测要求
开发者应提供以下文档:
开发者应提供测试覆盖的证据。
开发者提供的文档应满足以下要求:
测试覆盖的证据中应说明测试文档中所标识的测试与功能规范中所描述的上网行为管理产品安全功能之间的对应性。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
b) 检测方法
检查相关测试覆盖的证据文档、测试文档和功能规范文档,确认测试覆盖的证据文档对测试文档中所标识的测试与功能规范中所描述的上网行为管理产品安全功能之间的对应性进行了描述,且描述内容准确。
c) 结果判定
1) 开发者提供了测试覆盖的相关证据;
2) 测试覆盖的相关证据的内容满足要求。
1)-2)项均满足的为“符合”;其他情况为“不符合”。
6.5.5.2 功能测试
a) 检测要求
开发者应执行以下内容:
1) 开发者应测试上网行为管理产品安全功能,并文档化测试结果;
2) 开发者应提供测试文档。
开发者执行的内容应满足以下要求:
1) 测试文档应包括测试计划、测试程序描述、预期的测试结果和实际的测试结果;
2) 测试计划应标识要测试的安全功能,并描述要执行的测试的目标;
3) 测试程序描述应标识要执行的测试,应描述每个安全功能的测试脚本,这些脚本应包括对于其他测试结果的任何顺序依赖性;
4) 预期的测试结果应指出测试成功执行后的预期输出;
5) 开发者执行测试所得到的测试结果应证实每个被测试的安全性功能都按照规定运转。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
b) 检测方法
1) 检查开发者提供的测试文档是否包括测试计划、测试程序描述、预期的测试结果和实际的测试结果;
2) 检查测试计划是否标识了要测试的安全功能,并描述了要执行的测试的目标;
3) 检查测试程序描述是否标识了要执行的测试,是否描述了每个安全功能的测试脚本,这些脚本是否包括了对于其他测试结果的任何顺序依赖性;
4) 检查预期的测试结果是否指出了测试成功执行后的预期输出;
5) 检查开发者执行测试所得到的测试结果是否证实了每个被测试的安全性功能都按照规定运转。
c) 结果判定
1) 开发者提供了测试文档;
2) 测试文档的内容满足要求。
1)-2)项均满足的为“符合”;其他情况为“不符合”。
6.5.5.3 独立测试——抽样
a) 检测要求
开发者应执行以下内容:
开发者应提供用于测试的上网行为管理产品。
开发者执行的内容应满足以下要求:
1) 开发者提供的上网行为管理产品应适合测试;
2) 开发者应提供一组相当的资源,用于开发者的上网行为管理产品安全功能的功能测试。
评估者应执行以下内容:
1) 评估者应确认开发者所提供的信息应满足对开发者的要求;
2) 评估者应适当地测试上网行为管理产品安全功能的一个子集,以确认上网行为管理产品按照规定运行;
3) 评估者应执行测试文档中的一个测试样本,以验证开发者的测试结果。
b) 检测方法
1) 检查开发者提供的上网行为管理产品是否适合测试;
2) 检查开发者是否为上网行为管理产品测试提供了必要的资源;
3) 适当地测试上网行为管理产品安全功能的一个子集,以确认上网行为管理产品按照规定运行;
4) 执行测试文档中的一个测试样本,检查测试结果是否与开发者的测试结果一致。
c) 结果判定
1) 开发者提供的上网行为管理产品适合测试;
2) 开发者为上网行为管理产品测试提供了必要的资源;
3) 通过对上网行为管理产品的测试,上网行为管理产品能够按照规定运行,测试结果与开发者的测试结果一致。
1)-3)项均满足的为“符合”;其他情况为“不符合”。
6.5.6 脆弱性评定
6.5.6.1 TOE安全功能强度评估
a) 检测要求
开发者应执行以下内容:
开发者应对ST中所标识的每个具有上网行为管理产品安全功能强度声明的安全机制进行上网行为管理产品安全功能强度分析。
开发者执行的内容应满足以下要求:
1) 对于每个具有上网行为管理产品安全功能强度声明的安全机制,上网行为管理产品安全功能强度分析应说明该机制达到或超过PP/ST中定义的最低强度级别;
2) 对于每个具有上网行为管理产品安全功能强度声明的安全机制,上网行为管理产品安全功能强度分析应说明该机制达到或超过PP/ST中定义的特定功能强度度量。
评估者应执行以下内容:
评估者应确认开发者所提供的信息应满足对开发者的要求。
b) 检测方法
1) 检查开发者提供的上网行为管理产品安全功能强度分析文档,查看对于每个具有上网行为管理产品安全功能强度声明的安全机制,是否说明了该机制达到或超过PP/ST中定义的最低强度级别;
2) 查看对于每个具有上网行为管理产品安全功能强度声明的安全机制,上网行为管理产品安全功能强度分析文档是否说明了该机制达到或超过PP/ST中定义的特定功能强度度量。
c) 结果判定
1) 开发者提供了功能强度分析文档;
2) 功能强度分析文档的内容满足要求。
1)-2)项均满足的为“符合”;其他情况为“不符合”。
6.5.6.2 开发者脆弱性分析
a) 检测要求
开发者应执行以下内容:
1) 开发者应执行脆弱性分析;
2) 开发者应提供脆弱性分析文档。
开发者执行的内容应满足以下要求:
1) 脆弱性分析文档应描述为搜索用户能违反上网行为管理产品安全策略的明显方法而执行的上网行为管理产品可交付材料分析;
2) 脆弱性分析文档应描述对明显的脆弱性的处置;
3) 脆弱性分析文档应针对所有已标识的脆弱性,说明脆弱性不能在上网行为管理产品的预期使用环境中被利用。
评估者应执行以下内容:
1) 评估者应确认开发者所提供的信息应满足对开发者的要求;
2) 评估者应在开发者脆弱性分析的基础上实施穿透性测试,以确保明显的脆弱性都已被处理。
b) 检测方法
1) 检查脆弱性分析文档是否描述了为搜索用户能违反上网行为管理产品安全策略的明显方法而执行的上网行为管理产品可交付材料分析;
2) 检查脆弱性分析文档是否描述了对明显的脆弱性的处置;
3) 检查脆弱性分析文档是否针对所有已标识的脆弱性,说明脆弱性不能在上网行为管理产品的预期使用环境中被利用;
4) 在开发者脆弱性分析的基础上实施穿透性测试,以确保是否明显的脆弱性都已被处理。
c) 结果判定
1) 开发者提供了脆弱性分析文档;
2) 脆弱性分析文档的内容满足要求;
3) 通过实施的穿透性测试确认明显的脆弱性都已被处理。
1)-3)项均满足的为“符合”;其他情况为“不符合”。