《社会公共安全领域 智能联网安全认证实施要求》-征求意见稿2019-9-9版本

RB中华人民共和国认证认可行业标准RB/T xxxx - xxxx社会公共安全领域 智能联网产品网络安全认证实施要求（征求意见稿）The field of social and public security-Intelligent Networking Products for Network security Certification Implementation Requirements 20XX-XX-XX发布20XX-XX-XX实施中国国家认证认可监督管理委员会 发布目 次前 言11范围22规范性引用文件23术语和定义24缩略语35总则45.1认证机构45.2检测机构45.3送检样品45.4认证对象55.5认证方案56网络安全保障能力工厂检查技术要求56.1配置管理56.1.1 ALC_CMC 配置管理能力56.1.2 ALC_CMS 配置管理范围66.2 交付程序66.3 开发安全66.4 质量保证能力67型式试验技术要求67.1安全技术要求67.1.1标识和鉴别67.1.2 用户数据保护77.1.3 安全管理87.1.4 TOE访问97.1.5 TSF保护97.1.6 可信路径/信道107.1.7 安全审计107.2安全保障要求117.2.1开发117.2.2指导性文档127.2.3生命周期支持137.2.4测试137.2.5AVA_VAN 脆弱性分析148等级划分要求148.1概述148.2安全技术要求等级划分14参考文献1717前 言本标准按照GB/T1.1-2009给出的规则起草。本标准是属于产品认证实施要求。本标准根据智能联网产品生产和使用的现状，并参考了相关标准而制定。本标准由中国国家认证认可监督管理委员会提出并归口。本标准主要起草单位：公安部第三研究所、国家网络与信息系统安全产品质量监督检验中心、市场监管总局认证认可技术研究中心。本标准主要起草人：刘继顺、吴改云、李海鹏、鲍逸明、王茂华、陆曙蓉、吴海文、韩峰、杨元原、陆臻、张艳、张智强、胡津铭。社会公共安全领域智能联网产品网络安全认证实施要求1 范围本标准规定了社会公共安全领域智能联网产品网络安全认证实施要求。本标准适用于从事社会公共安全领域智能联网产品第三方测评机构对该类产品的检测与认证的实施要求，对于本标准提出的认证和检测的关键指标在产品设计、研发、生产、验收等环节可以参照使用。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T27000 合格评定 词汇和通用原则GB/T27067-2013 合格评定 产品认证基础和产品认证方案指南GB/T 27065 合格评定 产品、过程和服务认证机构要求GB/T18336.1-2015 信息技术 安全技术 信息技术安全评估准则 第1部分：简介和一般模型GB/T18336.2-2015 信息技术 安全技术 信息技术安全评估准则 第2部分：安全功能要求GB/T18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分：安全保障要求GB/T 5271.8-2001 信息系统 词汇 第8部分：安全GB/T 25069-2010 信息安全技术 术语JCTJ 005-2016 信息安全技术 通用渗透测试检测条件RB/T 001-2017 认证认可行业标准编写指南3 术语和定义GB/T27000、GB/T27065、GB/T 5271.82001、GB/T 25069-2010 和GB/T 18336.1-2015界定的及下列术语和定义适用于本标准。3.1 智能联网产品 Intelligent networking product利用网络技术实现管理和交互的具有智能计算处理能力的设备、器械或者机器。注：本标准涉及智能联网产品主要包括适用于实现信息采集、信息处理、信息传输、信息存储、信息服务、以及控制、执行的产品，社会公共安全领域智能联网产品主要包括具备联网功能的防盗报警、视频监控、出入口控制、实体防护、其他类智能联网产品等3.2 认证委托人 Certified client委托产品认证的组织注：该组织指依法在政府部门登记并领取营业执照的各类组织。包括具有法人资格的各类组织，以及合法成立、有一定的组织机构和财产，但又不具备法人资格的其他组织，如个人独资企业、合伙企业、合伙型联营企业，不具备法人资格的中外合作、经营企业、外资企业，法人依法设立并领取营业执照（商业注册证明 Registration License）的分支机构，以及个体工商户。3.3 生产者 Manufacturer 进行或控制产品设计、制造、评定、处置和存储等阶段，使其能对产品持续符合认证要求负责，并在这些方面承担全部责任的位于一个或多个固定地点的组织。3.4 生产企业 Production enterprises在政府部门核准登记的范围内从事认证产品的生产经营的场所。3.5 关键外购部件 Key purchasing component对智能联网产品的信息安全性能起关键作用的部件，一般通过采购获得，若有能力的也可以企业自制，如芯片、智能模块等。3.6 功能关键件 Function Command实现本标准信息安全功能要求的软件命令。3.7 授权管理员 Authorized administrator可管理产品的授权用户。3.8 安全状态 Security state一种状态，在该状态下，TSF数据一致，且TSF能正确执行SFR。3.9 安全属性 Security attribute主体、用户（包括外部IT产品）、客体、信息、会话和/或资源的特征，它用于定义SFR，且其值在执行SFR时使用。4 缩略语下列缩略语适用于本文件。TOE：评估对象（Target of Evaluation）TSF：TOE安全功能（TOE Security Functionality）SFP：安全功能策略（Security Function Policy）SFR：安全功能要求（Security Functional Requirement）5 总则5.1 认证机构从事智能联网产品网络安全认证的机构应当具备下列条件：（一）取得法人资格，并具备相应领域2年以上认证经历；（二）符合GB/T 27065的相关要求（三）注册资本不得少于人民币300万元；（四）具备能够公正、独立和有效的从事认证活动的技术和管理能力；（五）具备从事认证活动所需并且可以独立调配使用的检测资源，有10名以上相应领域的专职认证人员。5.2 检测机构 从事智能联网产品网络安全认证的机构应当具备下列条件 ：（一）在中华人民共和国境内注册成立（港澳台地区除外），有固定的场所和必要的设施；（二）由中国公民全额投资、中国法人全额投资或国家全额投资的企事业单位（港澳台地区除外）；（三）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（四）网络关键设备或网络安全专用产品的检验检测能力通过检验检测机构资质认定（CMA）；（五）具备检测标准研制能力，主持或参与至少2部网络关键设备或网络安全专用产品相关国家或行业 标准的制修订；（六）具备能够公正、独立和有效地从事申请认定的业务范围内的网络关键设备或网络安全专用产品检测活动的技术能力与管理能力，包括建立公正性和保密性管理制度，设立安全管理部门或岗位以及具有满足检测工作所需要的管理人员和专业技术人员等。5.3 送检样品 认证单元中只有一个覆盖型号的，送该型号的样品。多于一个覆盖型号的产品为同一认证单元委托认证时，按认证机构要求从中选取具有代表性的型号作为主检型号及差异检测型号。型式试验样品数量见表1，原则上由认证委托人按认证机构的要求选送，并对选送样品负责。现场抽样的样品应在生产企业内正常生产的合格产品中选取，抽样基数不低于表1样品数量的5倍。样品数量产品类别样品数量网络摄像机3台（套）网络视音频编解码设备2台（套）视频监控矩阵设备2台（套）视频监控存储设备2台（套）出入口（门禁）控制系统2套楼寓对讲系统2套停车场（库）安全管理系统1套人行出入口电控通道闸1套脉冲电子围栏2套张力式电子围栏2套泄漏电缆入侵探测装置2套入侵探测器3套防盗报警控制器2套汽车防盗报警系统2套电子防盗锁3套指纹防盗锁3套其他类智能联网产品2套5.4 认证对象5.4.1 认证委托人、生产者、生产企业等认证主体中至少有一方包含产品设计的职能，产品技术指标和功能应不低于本标准对应条款的要求；5.4.2产品设计结果应至少包括产品主要技术参数、主要功能、产品结构描述、物料清单、关键件、软件版本等技术文件；5.4.3 认证产品所用软件的应有效管理，确保软件源程序的保密性和软件使用客户的有效维护；5.5 认证方案5.5.1 智能联网产品网络安全认证的认证方案的选择应符合GB/T27067-2013第5章的要求。5.5.2 智能联网产品网络安全认证的认证方案的制定和实施应符合GB/T27067-2013第6章的要求。6 网络安全保障能力工厂检查技术要求6.1 配置管理6.1.1 ALC_CMC 配置管理能力开发者的配置管理能力应满足以下要求：a)为产品的不同版本提供唯一的标识；b)使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；c)提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；d)配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进行已授权的改变；e)配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。实施的配置管理与配置管理计划相一致；f)配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。6.1.2 ALC_CMS 配置管理范围开发者应能提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：a)产品、安全保障要求的评估证据和产品的组成部分；b)实现表示、安全缺陷报告及其解决状态。6.2 交付程序开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。6.3 开发安全开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。6.4 质量保证能力6.4.1 认证主体应能识别和信息安全相关的关键外购部件和功能关键件，上报认证机构，并获得认证机构的批准；6.4.2 认证主体应建立完整的一致性控制能力，一致性的保持至少从产品外观、产品标志标识、产品结构、关键外购部件及功能关键件等方面进行验证。7 型式试验技术要求7.1安全技术要求 7.1.1标识和鉴别a) FIA_AFL.1鉴别失败处理FIA_AFL.1.1TSF应检测当 赋值：一个正整数时，与赋值：鉴别事件列表相关的未成功鉴别尝试。FIA_AFL.1.2当达到或超过所定义的未成功鉴别尝试次数时，TSF应采取赋值：动作列表。b) FIA_ATD.1用户属性定义FIA_ATD.1.1TSF应维护属于单个用户和设备的下列安全属性列表：赋值：安全属性列表；7.1.1.1 FIA_SOS.1秘密的验证FIA_SOS.1.1TSF应提供一种机制以验证秘密满足赋值：口令复杂度要求。7.1.1.2 FIA_UAU.1鉴别的时机-AFIA_UAU.1.1在TOE的用户和其他设备被鉴别前，TSF应允许执行代表TOE用户和其他设备的赋值：由TSF促成的动作列表FIA_UAU.1.2在允许执行代表该TOE用户和其他设备的任何其他由TSF促成的动作前，TSF应要求赋值：每个TOE用户成功鉴别。7.1.1.3 FIA_UAU.1鉴别的时机-BFIA_UAU.1.1在TOE自身被鉴别前，TSF应允许执行代表TOE自身的赋值：由TSF促成的动作列表FIA_UAU.1.2在允许执行代表TOE自身的任何其他由TSF促成的动作前，TSF应要求赋值：TOE自身成功鉴别。7.1.1.4 FIA_UAU.5多重鉴别机制FIA_UAU.5.1 TSF应提供赋值：鉴别机制列表以支持用户鉴别。FIA_UAU.5.2 TSF应根据赋值：描述多重鉴别机制如何提供鉴别的规则鉴别任何用户所声称的身份。7.1.1.5 FIA_UID.1标识的时机FIA_UID.1.1在用户和TOE被识别之前，TSF应允许执行代表用户和TOE的赋值：a)为用户和TOE的标识建立一个连接FIA_UID1.2在允许执行代表该用户和TOE的任何其他TSF仲裁动作前，TSF应要求每个用户和TOE都已被成功标识。7.1.1.6 FIA_USB.1用户-主体绑定FIA_USB.1.1TSF应将下列用户安全属性与代表用户活动的主体相关联：赋值：用户身份，权限和角色；FIA_USB.1.2TSF应执行下列规则将用户安全属性与代表用户活动的主体初始关联赋值：如果一个对象或者系统权限已经通过角色被直接授予给该用户（并且之后没有被回收），那么该权限在用户会话开始时立即有效。FIA_USB.1.3TSF应执行下列规则来管理与代表用户活动的主体相关联的用户安全属性的改变：赋值：如果TSF范围内当前会话中用户的对象或系统权限被授予或回收，则该改变将应用于该用户的本地管理权限集，并在该会话中立即生效。7.1.2 用户数据保护7.1.2.1 FDP_ACC.1子集访问控制FDP_ACC.1.1TSF应对赋值：主体、客体及SFP所覆盖的主体和客体之间的操作列表执行赋值：访问控制SFP。7.1.2.2 FDP_ACF.1基于安全属性的访问控制FDP_ACF.1.1 TSF应基于 赋值：指定SFP控制下的主体和客体列表，以及每个SFP的相关安全属性或与SFP相关的已命名安全属性组对客体执行赋值：访问控制SFP。FDP_ACF.1.2 TSF应执行以下规则，以确定在受控主体与受控客体间的一个操作是否被允许：赋值在受控主体和受控客体之间，通过对受控客体采取受控操作来管理访问的一些规则。FDP_ACF.1.3 TSF应基于以下附加规则：赋值：基于安全属性的，明确授权主体访问客体的规则，明确授权主体访问客体。FDP_ACF.1.4 TSF应基于赋值：基于安全属性的，明确拒绝主体访问客体的规则明确主体访问客体。7.1.2.3 FDP_IFC.1 子集信息流控制FDP_IFC.1.1 TSF应对赋值：主体、信息及SFP所覆盖的导致受控信息流入、流出受控主体的操作列表执行赋值：信息流控制SFP7.1.2.4 FDP_IFF.1 简单安全属性FDP_IFF.1.1 TSF应基于下列类型主体和信息的安全属性：赋值：制定SFP控制下的主体和信息列表，以及每个对应的安全属性执行赋值：信息流控制SFP。FDP_IFF.1.2 如果支持下列规则：赋值：对每一个操作，必须在主体和信息的安全属性之间成立的基于安全属性的关系，TSF应允许信息在受控主体和受控信息之间经由受控操作流动。FDP_IFF.1.3 TSF应执行赋值：附加的信息流控制SFP规则。FDP_IFF1.4 TSF应根据下列规则：赋值：基于安全属性，明确批准信息流的规则明确批准一个信息流。FDP_IFF1.5 TSF应根据下列规则：赋值：基于安全属性，明确拒绝信息流的规则明确拒绝一个信息流。7.1.3 安全管理7.1.3.1 FMT_MTD.1TSF数据的管理FMT_MTD.1.1 TSF 应仅限于赋值：授权管理员能够对赋值：TSF数据列表 选择：改变默认值、查询、修改、删除、清除、赋值：其他操作。FMT_MTD.1.1 TSF 应仅限于用户能够对赋值：用户口令，赋值：动作列表。7.1.3.2 FMT_SMF.1管理功能规范FMT_SMF.1.1 TSF应能够执行如下安全管理功能赋值：管理功能列表。7.1.3.3 FMT_SMR.1安全角色FMT_SMR.1.1 TSF 应维护角色赋值：角色列表。FMT_SMR.1.2 TSF应能够把用户和角色关联起来。7.1.3.4 FMT_SAE.1 时限授权FMT_SAE.1.1 TSF应仅限于赋值：授权管理员能够为支持有效期的安全属性列表指定有效期。FMT_SAE.1.2 对于每个这样的安全属性，在超过指定的安全属性的有效期后，TSF应能够赋值：对每个安全属性将要采取的动作列表。7.1.4 TOE访问7.1.4.1 FTA_MCS.1多重并发会话的基本限定FTA_MCS.1.1 TSF应能限制属于同一用户的并发会话的最大数目。7.1.4.2 FTA_SSL.1 原发会话锁定FTA_SSL.1.1 TSF应在达到用户不活动的时间间隔后，通过以下方法锁定一个交互式会话：a) 清除或覆写显示设备，使当前内容不可读；b) 除了会话解锁活动之外，终止用户数据存取/显示设备的任何活动。7.1.4.3 FTA_TSE.1 TOE会话建立FTA_TSE.1.1TSF应能基于授权管理员能够明确设置的属性，包括用户标识、时间、日期、IP地址拒绝会话的建立。7.1.5 TSF保护7.1.5.1 FPT_TST.1 TSF测试FPT_TST.1.1 TSF应在初始化启动期间、授权管理员要求时、赋值：其他产生自检的条件时 运行一套自检程序以证实安全审计、身份鉴别、用户数据保护、赋值：TSF的组成部分能正确运行。FPT_TST.1.2 TSF应为授权用户提供验证选择：赋值：TSF的组成部分、TSF数据完整性的能力。FPT_TST.1.3 TSF应为授权用户提供验证所存储的TSF可执行代码完整性的能力。7.1.5.2 FPT_FLS.1失效即保持安全状态FPT_FLS.1 TSF在下列失效发生时应保持一种安全状态：赋值：TSF的失效类型列表。7.1.5.3 FPT_STM.1 可靠的时间戳FPT_STM.1.1 TSF应有能力提供可靠的时间戳。7.1.5.4 FPT_RCV.1 手工恢复FPT_RCV.1.1 当发生赋值：失效/服务中断列表后，TSF应进入一种维护模式，该模式提供将TOE返回到一个安全状态的能力。7.1.5.5 FPT_RPL.1 重放检测FPT_RPL.1.1 TSF应检测对以下实体的重放：消息、服务请求、服务应答、赋值：其他实体列表。FPT_RPL.1.2 检测到重放时，TSF应执行赋值：具体操作列表。7.1.5.6 FPT_TUD_EXT.1 可信更新-AFPT_TUD_EXT.1.1 TSF应具备接收TOE安全漏洞补丁的能力。7.1.5.7 FPT_TUD_EXT.1 可信更新-BFPT_TUD_EXT.1.5 在安装TOE更新文件前，TSF应使用数字签名机制对更新文件进行验证。7.1.5.8 FPT_BKP_EXT.1 备份和恢复FPT_BKP_ EXT.1.1 TSF应提供TOE安全相关配置参数的备份和恢复功能。7.1.5.9 FPT_CON_EXT.1 TSF数据机密性FPT_CON_EXT.1 TSF应提供机制保护赋值：TSF数据类型的机密性。7.1.6 可信路径/信道7.1.6.1 FTP_TRP.1可信路径FTP_TRP.1.1TSF应在它自己和选择：远程用户之间提供一条通信路径，此路径在逻辑上与其他通信路径截然不同，其末端具有保证的标识，并能保护通信数据免遭选择：泄露。FTP_TRP.1.2TSF应允许选择：远程用户经由可信路径发起通信。FTP_TRP.1.3对于选择：关键数据，TSF应要求使用可信路径。7.1.6.2 FTP_ITC.1 TSF间可信信道FTP_ITC.1.1 TSF应在它自己和另一个可信IT产品之间提供一条通信信道，此信道在逻辑上与其他通信信道截然不同，并对其端点进行了有保障的标识，且能保护信道中数据免遭修改或泄露。FTP_ITC.1.2 TSF应允许选择：另一个可信IT产品经由可信信道发其通信。FTP_ITC.1.3 对于赋值：关键数据，TSF应经由可信信道发起通信。7.1.7 安全审计7.1.7.1 FAU_GEN.1审计数据产生FAU_GEN.1.1 TSF应能为下述可审计事件产生审计记录：a)审计功能的开启和关闭；b)有关选择：选取一个：最小级、基本级、详细级、未规定审计级别的所有可审计事件；c)赋值：管理员、用户登录、操作，以及设备之间登录、操作等事件。FAU_GEN.1.2 TSF应在每个审计记录中至少记录下列信息：a)事件的日期和时间、事件类型、主体身份（如果适用）、事件的结果（成 功或失败）；b)对每种审计事件类型，基于PP/ST中功能组件的可审计事件定义，赋值：其他审计相关信息7.1.7.2 FAU_GEN.2用户身份关联FAU_GEN.2.1 TSF应能将每个可审计事件与引起该事件的用户身份相关联。7.1.7.3 FAU_SAR.1审计查阅FAU_SAR.1.1 TSF应为审计管理员提供从审计记录中读取所有审计信息的能力。FAU_SAR.1.2 TSF应以便于用户理解的方式提供审计记录。7.1.7.4 FAU_SAR.3可选审计查阅FAU_SAR.3.1TSF应根据审计数据字段的值提供对审计数据进行搜索、分类、排序的能力。7.1.7.5 FAU_STG.1受保护的审计迹存储FAU_STG.1.1 TSF应保护所存储的审计记录，以避免未授权的删除。FAU_STG.1.2 TSF应能防止对审计迹中所存审计记录的未授权修改。7.1.7.6 FAU_STG.4防止审计数据丢失FAU_STG.4.1如果审计迹已满，TSF应能涵盖所存储的最早的审计记录。7.1.7.7 FAU_SAA.3 简单攻击探测FAU_SAA.3.1 对预示可能违反SFR实施的下列特征事件赋值：系统事件的一个子集，TSF应能维护一个内部表示。FAU_SAA.3.2 TSF应能对照特征事件比对系统活动记录，系统活动可以通过检查赋值：用来确定系统活动的信息而辨明。FAU_SAA.3.2 当发现一个系统事件与一个预示可能潜在违反SFR实施的特征事件匹配时，TSF应能指出潜在违反SFR实施的事件即将发生并进行告警。7.1.7.8 FAU_ARP.1 安全告警FAU_ARP.1.1 当检测到潜在的安全侵害时，TSF应采取的赋值：动作列表。7.2安全保障要求 本章节中7.2.3.1ALC_CMC 配置管理能力、7.2.3.2ALC_CMS 配置管理范围、7.2.3.3ALC_DEL 交付程序、7.2.3.4ALC_DVS 开发安全为现场检查内容，其余开发、指导性文档、生命周期支持、测试、脆弱性分析为型式试验和认证申请形式化审核内容。7.2.1开发7.2.1.1ADV_ARC 安全架构开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a) 与产品设计文档中对安全功能实施抽象描述的级别一致；b) 描述与安全功能要求一致的产品安全功能的安全域；c) 描述产品安全功能初始化过程为何是安全的；d) 证实产品安全功能能够防止被破坏；e) 证实产品安全功能能够防止安全特性被旁路。7.2.1.2ADV_FSP 功能规范开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a)完全描述产品的安全功能；b)描述所有安全功能接口的目的与使用方法；c)标识和描述每个安全功能接口相关的所有参数；d)描述安全功能接口相关的安全功能实施行为；e)描述由安全功能实施行为处理而引起的直接错误消息；f)证实安全功能要求到安全功能接口的追溯；g)描述安全功能实施过程中，与安全功能接口相关的所有行为；h)描述可能由安全功能接口的调用而引起的所有直接错误消息。7.2.1.3ADV_IMP 实现表示开发者应提供全部安全功能的实现表示，实现表示应满足以下要求：a)提供产品设计描述与实现表示实例之间的映射，并证明其一致性；b)按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；c)以开发人员使用的形式提供。7.2.1.4ADV_TDS 产品设计开发者应提供产品设计文档，产品设计文档应满足以下要求：a) 根据子系统描述产品结构；b) 标识和描述产品安全功能的所有子系统；c) 描述安全功能所有子系统间的相互作用；d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；e) 根据模块描述安全功能；f) 提供安全功能子系统到模块间的映射关系； g) 描述所有安全功能实现模块，包括其目的及与其他模块间的相互作用；h) 描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口；i) 描述所有安全功能的支撑或相关模块，包括其目的及与其他模块间的相互作用。7.2.2指导性文档7.2.2.1AGD_OPE 操作用户指南开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：a) 描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b) 描述如何以安全的方式使用产品提供的可用接口；c) 描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；d) 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；e) 标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系；f) 充分实现安全目的所必须执行的安全策略。7.2.2.2AGD_PRE 准备程序开发者应提供产品及其准备程序，准备程序描述应满足以下要求：a) 描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b) 描述安全安装产品及其运行环境必需的所有步骤。7.2.3生命周期支持7.2.3.1ALC_CMC 配置管理能力开发者的配置管理能力应满足以下要求：a) 为产品的不同版本提供唯一的标识；b) 使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；c) 提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；d) 配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进行已授权的改变；e) 配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。实施的配置管理与配置管理计划相一致；f) 配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。7.2.3.2ALC_CMS 配置管理范围开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：a) 产品、安全保障要求的评估证据和产品的组成部分；b) 实现表示、安全缺陷报告及其解决状态。7.2.3.3ALC_DEL 交付程序开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。7.2.3.4ALC_DVS 开发安全开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。7.2.3.5ALC_LCD 生命周期定义开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档描述用于开发和维护产品的模型。7.2.3.6ALC_TAT 工具和技术开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。7.2.4测试7.2.4.1 ATE_COV 测试覆盖开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求：a) 表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性；b) 表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。7.2.4.2ATE_DPT 测试深度开发者应提供测试深度的分析。测试深度分析描述应满足以下要求：a) 证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性；b) 证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。7.2.4.3ATE_FUN 功能测试开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容：a) 测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果的任何顺序依赖性；b) 预期的测试结果，表明测试成功后的预期输出；c) 实际测试结果和预期的测试结果一致。7.2.4.4ATE_IND 独立测试开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。7.2.5AVA_VAN 脆弱性分析针对不同产品及其潜在脆弱性，应满足以下要求：a) 采用最小服务原则，禁止在产品中设置隐蔽接口或功能模块，禁止加载能够禁用或绕过安全机制的组件。8 等级划分要求8.1 概述产品的安全技术要求划分为基本级和增强级。8.2 安全技术要求等级划分8.2.1 安全功能要求等级划分产品的安全功能要求等级划分如表1所示。表1 安全功能要求等级划分表安全功能要求基本级增强级出处标识和鉴别FIA_AFL.1 鉴别失败处理5.1.15.1.1GB/T 18336.2 11.1.5FIA_ATD.1 用户属性定义5.1.25.1.2GB/T 18336.2 11.2.5FIA_SOS.1 秘密的验证5.1.35.1.3GB/T 18336.2 11.3.6FIA_UAU.1 鉴别的时机-A5.1.45.1.4GB/T 18336.2 11.4.15FIA_UAU.1 鉴别的时机-B5.1.5GB/T 18336.2 11.4.15FIA_UAU.5 多重鉴别机制5.1.6GB/T 18336.2 11.4.19FIA_UID.1 标识的时机5.1.75.1.7GB/T 18336.2 11.5.6FIA_USB.1 用户-主体绑定5.1.85.1.8GB/T 18336.2 11.6.5用户数据保护FDP_ACC.1 子集访问控制5.2.15.2.1GB/T 18336.2 10.1.5FDP_ACF.1 基于安全属性的访问控制5.2.25.2.2GB/T 18336.2 10.2.5FDP_IFC.1 子集信息流控制5.2.35.2.3GB/T 18336.2 10.5.5FDP_IFF.1 简单安全属性5.2.45.2.4GB/T 18336.2 10.6.8安全管理FMT_MTD.1 TSF数据的管理5.3.15.3.1GB/T 18336.2 12.3.9FMT_SMF.1 管理功能规范5.3.25.3.2GB/T 18336.2 12.6.5FMT_SMR.1 安全角色5.3.35.3.3GB/T 18336.2 12.7.9FMT_SAE.1 时限授权5.3.4GB/T 18336.2 12.5.5TOE访问FTA_MCS.1 多重并发会话的基本限定5.4.15.4.1GB/T 18336.2 16.2.6FTA_SSL.1 原发会话锁定5.4.2GB/T 18336.2 16.3.10FTA_TSE.1 TOE会话建立5.4.35.4.3GB/T 18336.2 16.6.5TSF保护FPT_TST.1 TSF测试5.5.1GB/T 18336.2 14.14.5FPT_FLS.1 失效即保持安全状态5.5.2GB/T 18336.2 14.1.5 FPT_STM.1 可靠的时间戳5.5.35.5.3GB/T 18336.2 14.10.5FPT_RCV.1 手工恢复5.5.4GB/T 18336.2 14.7.8FPT_RPL.1 重放检测5.5.5GB/T 18336.2 14.8.5FPT_TUD_EXT.1 可信更新-A5.5.65.5.6GB/T 18336.1 7.3 扩展组件定义FPT_TUD_EXT.1 可信更新-B5.5.7GB/T 18336.1 7.3 扩展组件定义FPT_BKP_EXT.1 备份和恢复5.5.85.5.8GB/T 18336.1 7.3 扩展组件定义FPT_CON_EXT.1 TSF数据机密性5.5.95.5.9GB/T 18336.1 7.3 扩展组件定义表1 安全功能要求等级划分表（续）安全功能要求基本级增强级出处可信路径/信道FTP_TRP.1 可信路径5.6.15.6.1GB/T 18336.2 17.2.5FTP_ITC.1 TSF间可信信道5.6.25.6.2GB/T 18336.2 17.1.5安全审计FAU_GEN.1 审计数据产生5.7.15.7.1GB/T 18336.2 7.2.5FAU_GEN.2 用户身份关联5.7.25.7.2GB/T 18336.2 7.2.6FAU_SAR.1 审计查阅5.7.35.7.3GB/T 18336.2 7.4.8FAU_SAR.3 可选审计查阅5.7.4GB/T 18336.2 7.4.10 FAU_STG.1 受保护的审计迹存储5.7.55.7.5GB/T 18336.2 7.6.10FAU_STG.4 防止审计数据丢失5.7.6GB/T 18336.2 7.6.13FSU_SAA.3 简单攻击探测5.7.7GB/T 18336.2 7.3.10FAU_ARP.1 安全告警5.7.8GB/T 18336.2 7.1.58.2.2 安全保障要求等级划分智能联网产品的安全保障要求等级划分如表2所示。表2 安全保障要求等级划分表安全保障要求基本级增强级出处开发ADV_ARC 安全架构6.1.16.1.1GB/T 18336.3 11.1ADV_FSP 功能规范6.1.2 a) f)6.1.2GB/T 18336.3 11.2ADV_IMP 实现表示6.1.3GB/T 18336.3 11.3ADV_TDS 产品设计6.1.4 a) d)6.1.4GB/T 18336.3 11.6指导性文档AGD_OPE 操作用户指南6.2.16.2.1GB/T 18336.3 12.1AGD_PRE 准备程序6.2.26.2.2GB/T 18336.3 12.2生命周期支持ALC_CMC 配置管理能力6.3.1 a) c)6.3.1GB/T 18336.3 13.1ALC_CMS 配置管理范围6.3.2 a) 6.3.2GB/T 18336.3 13.2ALC_DEL 交付程序6.3.36.3.3GB/T 18336.3 13.3ALC_DVS开发安全6.3.4GB/T 18336.3 13.4ALC_LCD 生命周期定义6.3.5GB/T 18336.3 13.6ALC_TAT 工具和技术6.3.6GB/T 18336.3 13.7测试ATE_COV 测试覆盖6.4.1 a)6.4.1GB/T 18336.3 14.1ATE_DPT 测试深度6.4.2GB/T 18336.3 14.2ATE_FUN 功能测试6.4.36.4.3GB/T 18336.3 14.3ATE_IND 独立测试6.4.46.4.4GB/T 18336.3 14.4AVA_VAN 脆弱性分析6.56.5 GB/T 18336.3 15.2参考文献1 GB/T27005 合格评定 管理体系的使用 原则和要求2 RB/T 119-2015 能源管理体系 机械制造企业认证要求3ISCCC-IR-027-2014 网络摄像机产品安全技术要求4ISCCC-IR-028-2014 电子防盗锁产品安全技术要求5ISCCC-IR-023-2014 RFID读写器产品安全技术要求6ISCCC-IR-024-2014 射频标签产品安全技术要求7ISCCC-IR-026-2014 射频遥控器产品安全技术要求 8ISCCC-IR-025-2014 条码阅读器产品安全技术要求9IEC 62443-3-3 Industrial communication networks Network and system security Part 3-3: System security requirements and security levels10GOST R 51558-2014俄罗斯联邦电视安防系统和设备的国家标准 系统和设备的分类、一般性技术要求、检测方法