《移动终端双系统产品安全评价规范》（2017RB013）-征求意见稿

ICS点击此处添加中国标准文献分类号RB中华人民共和国认证认可行业标准RB/T XXXXXXXXX移动终端双系统安全评价规范Security evaluation specifications for Dual-System of mobile terminal点击此处添加与国际标准一致性程度的标识（本稿完成日期：2018.12.28） - XX - XX发布XXXX - XX - XX实施中华人民共和国国家市场监督管理总局国家认证认可监督管理委员会发布RB/T XXXXXXXXX目次前言21范围32规范性引用文件33术语、定义和缩略语33.1术语和定义33.2缩略语34评价过程44.1总体说明44.2评价的主要环节44.3结果判定55评价要求55.1总体说明55.2功能要求55.3安全要求55.4安全保障要求76评价方法106.1总体说明106.2功能检测106.3安全检测136.4安全保障要求评估16前言本规范按照GB/T1.1-2009的规则起草。本规范由国家认证认可监督管理委员会提出并归口。本规范起草单位：本规范主要起草人：移动终端双系统安全评价规范1 范围本规范规定了移动终端双系统的安全评价要求及评价方法。本规范适用于第三方认证机构和检测机构对移动终端双系统的评价，移动终端双系统的设计和实现也可参照。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 18336-2015 信息技术 安全技术 信息技术安全评估准则GB/T 25069 信息安全技术 术语3 术语、定义和缩略语3.1 术语和定义GB/T 18336-2015确立的以及下列术语和定义适用于本规范。3.1.1 移动智能终端（smart mobile terminal）通过蜂窝移动网络和无线网络向用户提供语音、消息、电子邮件、Web浏览等服务，集成显示器、照相机、摄像机、音乐播放器、视频播放器、定位导航等功能的个人手持通信设备，可以下载安装应用软件，是具备移动通信功能的终端设备。3.1.2 移动终端双系统（dual-system of mobile terminal）同时运行在移动智能终端的两个并行的操作系统，系统间相互兼容，分别维护独立的系统分区和硬件资源的访问。3.1.3 工作系统（work system）是指移动智能终端双系统中的其中一个系统，专门用于用户办公，在该系统中能够应用各种安全和数据隔离策略，保护该系统的安全及数据隔离。3.1.4 生活系统（life system）是指移动智能终端双系统中的另一个系统，专门用于用户个人使用，是通用的移动智能终端系统。3.2 缩略语以下缩略语适用于本文件MDMMobile Device Management移动终端管理控制产品4 评价过程4.1 总体说明认证机构在接收到认证申请资料并审查合格后安排实验室进行检测。认证机构收到检测报告并审查合格后，组织现场核查。认证机构对文档审核、检测、现场核查结果进行综合评价。评价的主要环节4.2 评价的主要环节4.2.1 文档审核认证机构对申请方提交的资料和文档依据产品技术规范进行审核。文档审核的项目、要求及方法在本规范中条款号的对应关系如下。表1 文档审核序号项目要求方法1开发5.4.16.4.12指导性文档5.4.26.4.23生命周期支持5.4.36.4.34测试5.4.46.4.4其中开发、生命周期等部分内容需要在现场核查环节进行验证。4.2.2 检测检测实验室对申请方送样的产品依据产品技术规范进行检测。检测的项目、要求及方法在本规范中条款号的对应关系如下。表2 检测序号项目要求方法1功能要求5.26.22安全要求5.36.34.2.3 现场核查认证机构指派检查员对工厂的研发和生产环境进行检查，检查内容包括信息安全保证能力、工厂质量保证能力和产品一致性进行检查。现场核查的项目、要求及方法在本规范中条款号的对应关系如下。表3 现场核查序号项目要求方法1信息安全保证能力开发5.4.16.4.12生命周期支持5.4.36.4.33工厂质量保证能力职责和资源5.5.1现场验证4认证产品一致性5.5.25认证产品外购部件或外包软件模块管理5.5.36产品一致性检查产品一致性5.6现场验证4.3 结果判定文档审核、检测、现场核查的所有项目均通过，总体结果判定为通过。5 评价要求5.1 总体说明本规范包括对产品的功能要求、安全要求和保障要求。本规范不对产品进行安全等级划分。5.2 功能要求5.2.1 双系统对等使用产品应支持同时运行两个系统，并且支持通过指纹、UI按钮等方式实现系统的切换。5.2.2 双系统独立运行产品应支持双系统独立运行，支持独立设置解锁方式，独立恢复出厂设置，独立添加/删除应用，独立拥有自己的系统资源等。5.2.3 数据隔离产品应支持两个系统间的数据隔离功能，如：多媒体数据、通话记录、短信，文档，其它应用数据等。5.2.4 应用隔离产品应支持两个系统间应用程序隔离功能，支持各自应用的运行，互不干扰。5.2.5 外设控制产品应支持工作系统根据安全策略实现对外设的使用控制。5.2.6 网络接入产品应支持两个系统分别接入网络的功能，工作系统接入企业专网，生活系统接入公网，并且两个系统不能通过更改APN实现公专网交叉访问。5.2.7 后台消息通知产品应支持后台系统发生的事件以通知的形式在前台系统的通知栏显示，但不显示具体内容的功能。5.3 安全要求5.3.1 标识与鉴别5.3.1.1 用户属性定义移动终端双系统应维护每个用户的安全属性，属性可包括：用户标识、授权信息或用户组信息、其他安全属性等。5.3.1.2 任何动作前的用户鉴别移动终端双系统应要求用户在执行与移动终端双系统安全相关的任何其他操作之前，都已被成功鉴别。5.3.1.3 受保护的鉴别反馈鉴别进行时，移动终端双系统安全功能应以隐性的方式显示鉴别数据输入的反馈，不显示字符本身。5.3.1.4 鉴别失败处理a) 移动终端双系统应能检测用户的不成功的鉴别尝试；b) 在达到或超过最大鉴别失败尝试次数阈值后，移动终端双系统应采取措施阻止进一步的鉴别尝试，直至满足已定义的条件才允许进行重新鉴别；c) 应仅由授权用户设置未成功鉴别尝试次数阈值。5.3.2 安全审计5.3.2.1 审计数据产生a) 移动终端双系统如果支持以下事件，应能为其产生审计记录：1) 移动终端双系统的启动和关闭；2) 移动终端双系统应用的启动和退出；3) （如适用）对用户鉴别的行为和鉴别失败处理的行为；4) 其他系统参数配置和管理安全功能行为的操作。b) 移动终端双系统应在每个审计记录中至少记录下列信息：1) 事件发生的日期和时间；2) 事件类型；3) 事件主体身份标识；4) 事件描述及结果。5.3.3 安全管理5.3.3.1 安全功能行为管理移动终端双系统应仅限于授权用户对下述功能具有修改的能力。a) 修改用户认证方式；b) 其它安全功能行为的管理。5.3.3.2 安全属性管理移动终端双系统应仅限于授权用户对指定的安全属性进行修改操作。5.3.3.3 TSF数据的管理移动终端双系统应仅允许授权用户执行下列操作：a) 修改用户超时时间；b) 其他系统参数配置操作。5.3.4 TSF保护5.3.4.1 TSF原发会话终止移动终端双系统的安全功能应在达到一定的用户不活动的时间间隔之后终止交互式会话。5.3.4.2 可靠的时间戳移动终端双系统的安全功能应能为自身的应用提供可靠的时间戳。5.4 安全保障要求5.4.1 开发5.4.1.1 安全架构描述a) 开发者行为元素：1) 开发者应设计并实现TOE，确保TSF的安全特性不可旁路；2) 开发者应设计并实现TSF，以防止不可信主体的破坏；3) 开发者应提供TSF安全架构的描述。b) 内容和形式元素：1) 安全架构的描述应与在TOE设计文档中对SFR-执行的抽象描述的级别一致；2) 安全架构的描述应描述与安全功能要求一致的TSF安全域；3) 安全架构的描述应描述TSF初始化过程为何是安全的；4) 安全架构的描述应证实TSF可防止被破坏；5) 安全架构的描述应证实TSF可防止SFR-执行的功能被旁路。5.4.1.2 安全执行功能规范a) 开发者行为元素：1) 开发者应提供一个功能规范；2) 开发者应提供功能规范到安全功能要求的追溯关系。b) 内容和形式元素：1) 功能规范应完整地描述TSF；2) 功能规范应描述所有的TSFI的目的和使用方法；3) 功能规范应识别和描述每个TSFI相关的所有参数；4) 对于每个SFR-执行TSFI，功能规范应描述TSFI相关的SFR-执行行为；5) 对于SFR-执行TSFI，功能规范应描述由SFR-执行行为相关处理而引起的直接错误消息；6) 功能规范应证实安全功能要求到TSFI的追溯。5.4.1.3 基础设计a) 开发者行为元素：1) 开发者应提供TOE的设计；2) 开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射。b) 内容和形式元素：1) 设计应根据子系统描述TOE的结构；2) 设计应标识TSF的所有子系统；3) 设计应对每一个SFR-支撑或SFR-无关的TSF子系统的行为进行足够详细的描述，以确定它不是SFR-执行；4) 设计应概括SFR-执行子系统的SFR-执行行为；5) 设计应描述TSF的SFR-执行子系统间的互相作用和TSF的SFR-执行子系统与其他TSF子系统间的相互作用；6) 映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSFI。5.4.2 指导性文档5.4.2.1 操作用户指南a) 开发者行为元素：1) 开发者应提供操作用户指南。b) 内容和形式元素：1) 操作用户指南应对每一种用户角色进行描述，在安全处理环境中应被控制的用户可访问的功能和特权，包含适当的警示信息；2) 操作用户指南应对每一种用户角色进行描述，怎样以安全的方式使用TOE提供的可用接口；3) 操作用户指南应对每一种用户角色进行描述，可用功能和接口，尤其是受用户控制的所有安全参数，适当时应指明安全值；4) 操作用户指南应对每一种用户角色明确说明，与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变TSF所控制实体的安全特性；5) 操作用户指南应标识TOE运行的所有可能状态（包括操作导致的失败或者操作性错误），它们与维持安全运行之间的因果关系和联系；6) 操作用户指南应对每一种用户角色进行描述，为了充分实现ST中描述的运行环境安全目的所必须执行的安全策略；7) 操作用户指南应是明确和合理的。5.4.2.2 准备程序a) 开发者行为元素：1) 开发者应提供TOE，包括它的准备程序。b) 内容和形式元素：1) 准备程序应描述与开发者交付程序相一致的安全接收所交付TOE所必需的所有步骤；2) 准备程序应描述安全安装TOE以及安全准备与ST中描述的运行环境安全目的一致的运行环境必需的所有步骤。5.4.3 生命周期支持5.4.3.1 CM系统的使用a) 开发者行为元素：1) 开发者应提供TOE及其参照号；2) 开发者应提供CM文档；3) 开发者应使用CM系统。b) 内容和形式元素：1) 应给TOE标注唯一参照号；2) CM文档应描述用于唯一标识配置项的方法；3) CM系统应唯一标识所有配置项。5.4.3.2 部分TOE CM覆盖a) 开发者行为元素：1) 开发者应提供TOE配置项列表。b) 内容和形式元素：1) 配置项列表应包括：TOE本身、安全保障要求的评估证据和TOE的组成部分；2) 配置项列表应唯一标识配置项；3) 对于每一个TSF相关的配置项，配置项列表应简要说明该配置项的开发者。5.4.3.3 交付程序a) 开发者行为元素：1) 开发者应将把TOE或其部分交付给消费者的程序文档化；2) 开发者应使用交付程序。b) 内容和形式元素：1) 交付文档应描述，在向消费者分发TOE版本时，用以维护安全性所必需的所有程序。5.4.4 测试5.4.4.1 覆盖证据a) 开发者行为元素：1) 开发者应提供测试覆盖的证据。b) 内容和形式元素：1) 测试覆盖的证据应表明测试文档中的测试与功能规范中的TSF接口之间的对应性。5.4.4.2 功能测试a) 开发者行为元素：1) 开发者应测试TSF，并文档化测试结果；2) 开发者应提供测试文档。b) 内容和形式元素：1) 测试文档应包括测试计划、预期的测试结果和实际的测试结果；2) 测试计划应标识要执行的测试并描述执行每个测试的方案，这些方案应包括对于其他测试结果的任何顺序依赖性；3) 预期的测试结果应指出测试成功执行后的预期输出；4) 实际的测试结果应与预期的测试结果一致。5.4.4.3 独立测试-抽样a) 开发者行为元素：1) 开发者应提供用于测试的TOE。b) 内容和形式元素：1) TOE应适合测试；2) 开发者应提供一组与开发者TSF功能测试中同等的一系列资源。5.4.5 脆弱性评定5.4.5.1 脆弱性分析a) 开发者行为元素：1) 开发者应提供用于测试的TOE。b) 内容和形式元素：1) TOE应适合测试。6 评价方法6.1 总体说明评价方法与评价要求一一对应，它给出具体的方法来验证移动终端双系统是否满足评价要求。评价过程分为检测和评估，其中，检测内容为功能要求及安全要求，评估内容为安全保障要求，评估的主要方式为文件审核和现场核查。6.2 功能检测6.2.1 检测环境与工具a) 检测环境图图1 功能检测环境图6.2.2 双系统对等使用a) 检测要求产品应支持同时运行两个系统，并且支持通过指纹、UI按钮等方式实现系统的切换。b) 检测方法1) 审查产品说明文档，分析产品有关双系统对等使用的场景；2) 验证是否能够启动两个系统，并且验证是否能够通过指纹、UI按钮等方式实现两个系统的切换。c) 结果判定1) 产品支持启动两个系统，并且能够通过指纹、UI按钮等方式实现两个系统的切换。1）项满足的为“符合”；其他情况为“不符合”。6.2.3 双系统独立运行a) 检测要求产品应支持双系统独立运行，支持独立设置解锁方式，独立恢复出厂设置，独立添加/删除应用，独立拥有自己的系统资源等。b) 检测方法1) 检查两个系统是否独立运行，并拥有各自的系统资源，如内存、存储空间等；2) 分别为两个系统设置解锁方式，检查解锁设置是否生效；3) 审查产品有关恢复出厂设置有关说明，验证是否能够独立对两个系统执行恢复出厂设置操作；4) 分别为两个系统安装应用，检查应用是否各自独立运行，互不影响；5) 分别删除两个系统中的应用，检查是否不影响对方系统应用的正常运行。c) 结果判定1) 两个系统独立运行互不影响，拥有各自的系统资源，如内存、存储空间等；2) 能够为两个系统分别设置解锁方式；3) 能够对两个系统分别执行恢复出厂设置操作；4) 能够为两个系统分别安装应用、删除应用，不影响对方系统应用的运行。1）-4）项均满足的为“符合”；其他情况为“不符合”。6.2.4 数据隔离a) 检测要求产品应支持两个系统间的数据隔离功能，如：多媒体数据，文档，其它应用数据等。b) 检测方法1) 在工作系统中执行新建文档、录制视频、保存通讯录等操作，检查操作是否成功，切换到生活系统，检查是否看不到工作系统中相关内容；2) 在生活系统中执行新建文档、录制视频、保存通讯录等操作，检查操作是否成功，切换到工作系统，检查是否看不到生活系统中相关内容。c) 结果判定1) 工作系统和生活系统间数据互相隔离，当前系统中看不到对方系统中的数据。1）项满足判定为符合，其他情况判定为不符合。6.2.5 应用隔离a) 检测要求产品应支持两个系统间应用程序隔离功能，支持各自应用的运行，互不干扰。b) 检测方法1) 在两个系统中分别安装、卸载不同的应用，检查两个系统中的应用是否互不影响；2) 在两个系统中分别运行相同的应用，检查是否能够使用不同账户分别进行登录，并且运行产生的数据不会在对方系统中保存。c) 结果判定1) 支持两个系统间应用程序隔离功能，应用各自运行互不影响。1）项满足的为“符合”；其他情况为“不符合”。6.2.6 外设控制a) 检测要求产品应支持两个系统根据各自的策略实现对外设的使用控制。b) 检测方法1) 审查产品说明文档，分析产品对外设的使用进行控制的相关功能，如摄像头、USB接口等；2) 验证对外设的使用是否符合系统各自的策略；3) 分别修改系统策略后，验证对外设的使用是否符合修改后的策略。c) 结果判定1) 产品支持两个系统根据各自的策略对外设的使用进行控制，如摄像头、USB接口等。1）项满足的为“符合”；其他情况为“不符合”。6.2.7 电话短信a) 检测要求产品应支持拨打/接听电话记录和发送/接收短信内容仅存储在当前系统中。b) 检测方法1) 在当前系统中拨打/接听电话，检查拨打/接听电话记录是否仅存储在当前系统中；2) 在当前系统中发送/接收短信，检查发送/接收短信内容是否仅存储在当前系统中。c) 结果判定1) 拨打/接听电话记录和发送/接收短信内容仅存储在当前系统中。1）项满足的为“符合”；其他情况为“不符合”。6.2.8 网络接入a) 检测要求产品应支持两个系统分别接入网络的功能，工作系统接入企业专网，生活系统接入公网，并且两个系统不能通过更改APN实现公专网交叉访问。b) 检测方法1) 审查产品说明文档，分析产品是否支持两个系统分别接入网络；2) 验证产品是否支持两个系统分别接入网络，并验证接入是否有效；3) 检查两个系统是否不能通过更改APN实现两个系统的交叉访问。c) 结果判定1) 产品支持两个系统分别接入网络；2) 不能通过更改APN实现两个系统网络的交叉访问。1）-2）项均满足的为“符合”；其他情况为“不符合”。6.2.9 后台消息通知a) 检测要求产品应支持后台系统发生的事件以通知的形式在前台系统的通知栏显示，但不显示具体内容的功能。b) 检测方法1) 向后台系统中发送消息，使后台系统产生相应的事件，检查该事件是否能够在前台系统通知栏进行显示，并检查是否不显示事件的具体内容。c) 结果判定1) 后台系统产生的事件能够在前台系统的通知栏中进行显示，但不显示事件的具体内容。1）项满足的为“符合”；其他情况为“不符合”。6.3 安全检测6.3.1 检测环境与工具a) 检测环境图（同图一）6.3.2 标识与鉴别6.3.2.1 用户属性定义a) 检测要求移动终端双系统应维护每个用户的安全属性，属性可包括：用户标识、授权信息或用户组信息、其他安全属性等。b) 检测方法验证产品是否能够对用户的安全属性进行维护。c) 结果判定1) 产品能够维护用户的安全属性。1）项满足为“符合”；其余情况为“不符合”。6.3.2.2 任何动作前的用户鉴别a) 检测要求移动终端双系统应要求用户在执行与移动终端双系统安全相关的任何操作之前，都已被成功鉴别。b) 检测方法1) 查看用户在未被成功鉴别前，是否被拒绝执行任何安全相关的操作；2) 查看产品是否拒绝错误的鉴别信息的用户登录；3) 以正确的鉴别信息登录并进行安全相关操作，验证产品是否允许登录，是否允许进行安全相关操作。c) 结果判定1) 用户被成功鉴别前，不能执行任何与安全相关的操作；2) 输入错误鉴别信息，产品不允许登录；3) 输入正确的鉴别信息，能够成功登录，并能够执行安全相关操作。1）-3）项均满足的为“符合”；其他情况为“不符合”。6.3.2.3 受保护的鉴别反馈a) 检测要求鉴别进行时，移动终端双系统安全功能应以隐性的方式显示鉴别数据输入的反馈，不显示字符本身。b) 检测方法执行用户身份鉴别操作，输入用户鉴别数据，检查移动终端双系统给出的反馈信息是否不显示字符本身。c) 结果判定1) 移动终端双系统产品给出的反馈信息不显示字符本身。1）项满足为“符合”；其余情况为“不符合”。6.3.2.4 鉴别失败处理a) 检测要求1) 移动终端双系统应能检测用户的不成功的鉴别尝试；2) 在达到或超过最大鉴别失败尝试次数阈值后，移动终端双系统应采取措施阻止进一步的鉴别尝试，直至满足已定义的条件才允许进行重新鉴别；3) 应仅由授权用户设置未成功鉴别尝试次数阈值。b) 检测方法1) 以错误的鉴别信息尝试登录移动终端双系统，检查是否被拒绝登录系统；2) 继续进行一定次数的登录尝试，验证在达到或超过允许的鉴别失败尝试次数后，系统是否自动锁定；3) 验证在授权用户解除或达到解锁条件后，用户是否可以重新进行鉴别操作；4) 检查未成功鉴别尝试次数阈值是否仅由授权用户设置。c) 结果判定1) 输入错误的鉴别信息，用户无法进入移动终端双系统系统；2) 在连续鉴别失败尝试次数达到或超过允许的鉴别失败尝试次数后，系统自动锁定；3) 在授权用户解除或达到解锁条件后，用户可以重新进行鉴别操作；4) 未成功鉴别尝试次数阈值仅由授权用户设置。1）-4）项均满足的为“符合”；其他情况为“不符合”6.3.3 安全审计6.3.3.1 审计数据产生a) 检测要求1) 移动终端双系统应能为如下支持的事件产生审计记录： 移动终端双系统的启动和关闭； 移动终端双系统应用的启动和退出； （如适用）对用户鉴别的行为和鉴别失败处理的行为； 其他系统参数配置和管理安全功能行为的操作。2) 移动终端双系统应在每个审计记录中至少记录下列信息：事件发生的日期和时间、事件类型、事件主体身份标识、事件描述及结果。b) 检测方法1) 分别执行如下操作，查看审计记录，验证系统是否对如下操作产生了审计记录： 移动终端双系统的启动和关闭； 移动终端双系统应用的启动和退出； （如适用）对用户鉴别的行为和鉴别失败处理的行为； 其他系统参数配置和管理安全功能行为的操作。2) 查看审计记录中是否包括事件发生的日期和时间、事件类型、事件主体身份标识、事件描述及结果。c) 结果判定1) 移动终端双系统能够为如下支持的事件生成审计记录： 移动终端双系统的启动和关闭； 移动终端双系统应用的启动和退出； （如适用）对用户鉴别的行为和鉴别失败处理的行为； 其他系统参数配置和管理安全功能行为的操作。2) 查看审计记录中是否包括事件发生的日期和时间、事件类型、事件主体身份标识、事件描述及结果。1）-2）项均满足的为“符合”；其他情况为“不符合”6.3.4 安全管理6.3.4.1 安全功能行为的管理a) 检测要求移动终端双系统应仅限于授权用户对下述功能具有修改的能力。1) 修改用户认证方式；2) 其他安全功能行为的管理。b) 检测方法1) 成功进入移动终端双系统系统，尝试执行下述功能： 修改用户认证方式； 其他安全功能行为的管理。验证是否只有授权信息验证成功后才能够执行上述功能。c) 结果判定1) 仅允许授权用户才能够执行上述功能。1）项满足为“符合”；其余情况为“不符合”6.3.4.2 安全属性的管理a) 检测要求移动终端双系统应仅限于授权用户对指定的安全属性进行修改操作。b) 检测方法成功进入移动终端双系统系统，尝试执行对指定的安全属性进行修改操作，检查是否仅允许授权用户能够执行相应操作。c) 结果判定1) 仅允许授权用户才能对指定的安全属性执行修改操作。1）项满足为“符合”；其余情况为“不符合”6.3.4.3 TSF数据的管理a) 检测要求移动终端双系统应仅允许授权用户执行下列操作：1) 修改用户超时时间；2) 其他系统参数配置操作。b) 检测方法1) 成功进入移动终端双系统系统，尝试执行下述操作： 修改用户超时时间； 其他系统参数配置操作。验证是否只有授权信息验证成功后才能够执行上述操作。c) 结果判定1) 仅允许授权用户才能够执行上述操作。1）项满足为“符合”；其余情况为“不符合”6.3.5 TSF保护6.3.5.1 TSF原发会话终止a) 检测要求移动终端双系统的安全功能应在达到一定的用户不活动的时间间隔之后终止交互式会话。b) 检测方法成功进入移动终端双系统系统，不进行任何操作，检查在达到指定的用户不活动时间间隔后，移动终端双系统是否终止交互式会话，自动退出登录。c) 结果判定1) 在达到设置的用户不活动时间间隔后，移动终端双系统终止交互式会话，自动退出登录。1）项满足为“符合”；其余情况为“不符合”。6.3.5.2 可靠的时间戳a) 检测要求移动终端双系统的安全功能应能为自身的应用提供可靠的时间戳。b) 检测方法1) 分析厂家文档，检查是否描述了可靠时间戳来源；2) 以授权用户身份分别执行与时间戳相关的功能，分析其时间戳来源与文档描述的时间戳来源是否一致。c) 结果判定1) 移动终端双系统使用了可靠的时间戳。1）项满足为“符合”；其余情况为“不符合”。6.4 安全保障要求评估6.4.1 开发6.4.1.1 安全架构描述a) 评估要求1) 开发者行为元素： 开发者应设计并实现TOE，确保TSF的安全特性不可旁路； 开发者应设计并实现TSF，以防止不可信主体的破坏； 开发者应提供TSF安全架构的描述。2) 内容和形式元素： 安全架构的描述应与在TOE设计文档中对SFR-执行的抽象描述的级别一致； 安全架构的描述应描述与安全功能要求一致的TSF安全域； 安全架构的描述应描述TSF初始化过程为何是安全的； 安全架构的描述应证实TSF可防止被破坏； 安全架构的描述应证实TSF可防止SFR-执行的功能被旁路。b) 评估方法1) 评估者应确认提供的信息满足证据的内容和形式的所有要求。c) 结果判定1) 开发者提供了TSF安全架构的描述；2) 开发者提供的TSF安全架构的描述满足证据的内容和形式的所有要求。1）2）项均满足为“符合”，其他情况为“不符合”。6.4.1.2 安全执行功能规范a) 评估要求1) 开发者行为元素： 开发者应提供一个功能规范； 开发者应提供功能规范到安全功能要求的追溯关系。2) 内容和形式元素： 功能规范应完整地描述TSF； 功能规范应描述所有的TSFI的目的和使用方法； 功能规范应识别和描述每个TSFI相关的所有参数； 对于每个SFR-执行TSFI，功能规范应描述TSFI相关的SFR-执行行为； 对于SFR-执行TSFI，功能规范应描述由SFR-执行行为相关处理而引起的直接错误消息； 功能规范应证实安全功能要求到TSFI的追溯。b) 评估方法1) 评估者应确认所提供的信息满足证据的内容和形式的所有要求；2) 评估者应确定功能规范是安全功能要求的一个准确且完备的实例化。c) 结果判定1) 开发者提供了功能规范文档；2) 开发者提供的功能规范文档满足证据的内容和形式的所有要求；3) 开发者提供的功能规范是安全功能要求的一个准确且完备的实例化。1）3）项均满足的为“符合”；其他情况为“不符合”。6.4.1.3 基础设计a) 评估要求1) 开发者行为元素： 开发者应提供TOE的设计； 开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射。2) 内容和形式元素： 设计应根据子系统描述TOE的结构； 设计应标识TSF的所有子系统； 设计应对每一个SFR-支撑或SFR-无关的TSF子系统的行为进行足够详细的描述，以确定它不是SFR-执行； 设计应概括SFR-执行子系统的SFR-执行行为； 设计应描述TSF的SFR-执行子系统间的互相作用和TSF的SFR-执行子系统与其他TSF子系统间的相互作用； 映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSFI。b) 评估方法1) 评估者应确认提供的信息满足证据的内容与形式的所有要求；2) 评估者应确定设计是所有安全功能要求的正确且完备的实例。c) 结果判定1) 开发者提供了TOE设计文档；2) 开发者提供的TOE设计文档满足证据的内容和形式的所有要求；3) 开发者提供的设计是所有安全功能要求的正确且完备的实例。1）3）项均满足的为“符合”；其他情况为“不符合”。6.4.2 指导性文档6.4.2.1 操作用户指南a) 评估要求1) 开发者行为元素： 开发者应提供操作用户指南。2) 内容和形式元素： 操作用户指南应对每一种用户角色进行描述，在安全处理环境中应被控制的用户可访问的功能和特权，包含适当的警示信息； 操作用户指南应对每一种用户角色进行描述，怎样以安全的方式使用TOE提供的可用接口； 操作用户指南应对每一种用户角色进行描述，可用功能和接口，尤其是受用户控制的所有安全参数，适当时应指明安全值； 操作用户指南应对每一种用户角色明确说明，与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变TSF所控制实体的安全特性； 操作用户指南应标识TOE运行的所有可能状态（包括操作导致的失败或者操作性错误），它们与维持安全运行之间的因果关系和联系； 操作用户指南应对每一种用户角色进行描述，为了充分实现ST中描述的运行环境安全目的所必须执行的安全策略； 操作用户指南应是明确和合理的。b) 评估方法1) 评估者应确认所有提供的信息满足证据的内容和形式的所有要求。c) 结果判定1) 开发者提供了操作用户指南；2) 开发者提供的操作用户指南满足证据的内容和形式的所有要求。1）2）项均满足的为“符合”；其他情况为“不符合”。6.4.2.2 准备程序a) 评估要求1) 开发者行为元素： 开发者应提供TOE，包括它的准备程序。2) 内容和形式元素： 准备程序应描述与开发者交付程序相一致的安全接收所交付TOE所必需的所有步骤； 准备程序应描述安全安装TOE以及安全准备与ST中描述的运行环境安全目的一致的运行环境必需的所有步骤。b) 评估方法1) 评估者应确认所提供的信息满足证据的内容和形式的所有要求；2) 评估者应运用准备程序确认TOE运行能被安全的准备。c) 结果判定1) 开发者提供了TOE以及它的准备程序；2) 开发者提供的准备程序满足证据的内容和形式的所有要求；3) 运用准备程序能够确认TOE运行能被安全的准备。1）3）项均满足的为“符合”；其他情况为“不符合”。6.4.3 生命周期支持6.4.3.1 CM系统的使用a) 评估要求1) 开发者行为元素： 开发者应提供TOE及其参照号； 开发者应提供CM文档； 开发者应使用CM系统。2) 内容和形式元素： 应给TOE标注唯一参照号； CM文档应描述用于唯一标识配置项的方法； CM系统应唯一标识所有配置项。b) 评估方法1) 评估者应确认所提供的信息满足证据的内容和形式的所有要求。c) 结果判定1) 开发者提供了TOE，并为其标注唯一参照号；2) 开发者提供了配置管理文档，且文档满足证据的内容和形式的所有要求；3) 开发者使用了配置管理系统，且配置管理系统满足证据的内容和形式的所有要求。1）3）项均满足的为“符合”，其他情况为“不符合”。6.4.3.2 部分TOE CM覆盖a) 评估要求1) 开发者行为元素： 开发者应提供TOE配置项列表。2) 内容和形式元素： 配置项列表应包括：TOE本身、安全保障要求的评估证据和TOE的组成部分； 配置项列表应唯一标识配置项； 对于每一个TSF相关的配置项，配置项列表应简要说明该配置项的开发者。b) 评估方法1) 评估者应确认所提供的信息满足证据的内容和形式的所有要求。c) 结果判定1) 开发者提供了产品配置项列表；2) 开发者提供的产品配置项列表满足证据的内容和形式的所有要求。1）2）项均满足的为“符合”；其他情况为“不符合”。6.4.3.3 交付程序a) 评估要求1) 开发者行为元素： 开发者应将把TOE或其部分交付给消费者的程序文档化； 开发者应使用交付程序。2) 内容和形式元素： 交付文档应描述，在向消费者分发TOE版本时，用以维护安全性所必需的所有程序。b) 评估方法1) 评估者应确认所提供的信息满足证据的内容和形式的所有要求。c) 结果判定1) 开发者提供了交付文档；2) 开发者提供的交付文档和使用交付文档的证据满足证据的内容和形式的所有要求。1）2）项均满足的为“符合”；其他情况为“不符合”。6.4.4 测试6.4.4.1 覆盖证据a) 评估要求1) 开发者行为元素： 开发者应提供测试覆盖的证据。2) 内容和形式元素： 测试覆盖的证据应表明测试文档中的测试与功能规范中的TSF接口之间的对应性。b) 评估方法1) 评估者应确认所提供的信息满足证据的内容和形式的所有要求。c) 结果判定1) 开发者提供了测试覆盖的相关证据；2) 测试覆盖的相关证据的内容满足要求。1）2）项均满足的为“符合”；其他情况为“不符合”。6.4.4.2 功能测试a) 评估要求1) 开发者行为元素： 开发者应测试TSF，并文档化测试结果； 开发者应提供测试文档。2) 内容和形式元素： 测试文档应包括测试计划、预期的测试结果和实际的测试结果； 测试计划应标识要执行的测试并描述执行每个测试的方案，这些方案应包括对于其他测试结果的任何顺序依赖性； 预期的测试结果应指出测试成功执行后的预期输出； 实际的测试结果应与预期的测试结果一致。b) 评估方法1) 评估者应确认所提供的信息满足证据的内容和形式的所有要求。c) 结果判定1) 开发者提供了测试文档；2) 开发者提供的测试文档的内容满足证据的内容和形式的所有要求。1）2）项均满足的为“符合”；其他情况为“不符合”。6.4.4.3 独立测试-抽样a) 评估要求1) 开发者行为元素： 开发者应提供用于测试的TOE。2) 内容和形式元素： TOE应适合测试； 开发者应提供一组与开发者TSF功能测试中同等的一系列资源。b) 评估方法1) 评估者应确认所提供的信息满足证据的内容和形式的所有要求；2) 评估者应执行测试文档中的测试样本，以验证开发者的测试结果；3) 评估者应测试TSF的一个子集以确认TSF按照规定运行。c) 结果判定1) 开发者提供的产品适合测试；2) 开发者为产品测试提供了必要的资源；3) 通过执行测试文档中的测试样本，开发者测试文档中的测试结果正确；4) TSF能够按照规定运行。1）4）项均满足的为“符合”；其他情况为“不符合”。6.4.5 脆弱性评定6.4.5.1 脆弱性分析a) 评估要求1) 开发者行为元素： 开发者应提供用于测试的TOE。2) 内容和形式元素： TOE应适合测试。b) 评估方法1) 评估者应确认所提供的信息满足证据的内容和形式的所有要求；2) 评估者应执行公共领域的调查以标识TOE的潜在脆弱性；3) 评估者应基于已标识的潜在脆弱性实施穿透性测试，判定TOE能抵抗具有基本攻击潜力的攻击者的攻击。c) 结果判定1) 开发者提供了适合测试的产品；2) 通过实施的穿透性测试确认TOE能够抵抗具有基本攻击潜力的攻击者的攻击。1）2）项均满足的为“符合”；其他情况为“不符合”。_22