GA/T 988-2012
基本信息
标准号: GA/T 988-2012
中文名称:信息安全技术文件加密产品安全技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:275188
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 988-2012.Information security technology-Security technical requirements for file encryption products.
1范围
GA/T 988规定了文件加密产品的安全功能要求、自身安全功能要求、安全保证要求和等级划分要求。
GA/T 988适用于文件加密产品的设计、开发及检测
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8-2001信息技术 词汇第8部分:安全
GB 17859- -1999计算机信息系统 安全保护等级划分准则
GB/T 18336.3- -2008 信息技术安全技术信息技术安全性评估准则 第3部分:安全保证要求
3术语和定义
GB/T 5271.8-2001.GB 17859-1999和GB/T 18336. 3-2008界定的以及下列术语和定义适用于本文件。
3.1文件加密产品file encryption products
使用密码技术对指定文件进行保护的产品,其中密码技术应符合国家密码管理相关规定。
3.2密钥key
一串符号序列,实现控制密码变换操作(加密、解密)的关键信息或参数。
3.3密码算法cryptographic algorithm
在密钥控制下的-簇数学运算,规定了完成数据加解密的程序的- -系列规则,以实现明文和密文之间的相互变换。
4安全功 能要求
4.1加、解密 管理
4.1.1文件加 、解密
产品应实现下列加、解密功能:
1范围
GA/T 988规定了文件加密产品的安全功能要求、自身安全功能要求、安全保证要求和等级划分要求。
GA/T 988适用于文件加密产品的设计、开发及检测
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8-2001信息技术 词汇第8部分:安全
GB 17859- -1999计算机信息系统 安全保护等级划分准则
GB/T 18336.3- -2008 信息技术安全技术信息技术安全性评估准则 第3部分:安全保证要求
3术语和定义
GB/T 5271.8-2001.GB 17859-1999和GB/T 18336. 3-2008界定的以及下列术语和定义适用于本文件。
3.1文件加密产品file encryption products
使用密码技术对指定文件进行保护的产品,其中密码技术应符合国家密码管理相关规定。
3.2密钥key
一串符号序列,实现控制密码变换操作(加密、解密)的关键信息或参数。
3.3密码算法cryptographic algorithm
在密钥控制下的-簇数学运算,规定了完成数据加解密的程序的- -系列规则,以实现明文和密文之间的相互变换。
4安全功 能要求
4.1加、解密 管理
4.1.1文件加 、解密
产品应实现下列加、解密功能:
标准图片预览
标准内容
ICS35.240
中华人民共和国公共安全行业标准GA/T988—2012
信息安全技术
文件加密产品安全技术要求
Informatioa securitytechnology-Security technical requirements for file encryption products2012-04-25发布
中华人民共和国公安部
2012-04-25实施
GA/T 988--2012
2规范性引文件
3术语和定义
4安全功能要求
自身安全功能要求
安全保证要求
等级划分要求
本标准按照GB/T 1.1—2009给出的规则起草。本标准由公安部网络安全保卫局提出。育
本标由公安部信息系统安全标准化技术委员会归口。本标准起草单位:公安部计算机信息系统安全产品质量监容检验中心。GA/T 988—2012
木标主要起草人:俞优、顾建新.顾健、赵婷、陆臻、沈亮、吴其聪、李毅、张笑笑、马海燕、顾玮、明。
1范围
信息安全技术
文件加密产品安全技术要求
GA/T988—2D12
本标准规定了文件加密产品的安全功能要求、自身安全功能要求、安全保证要求和等级划分要求。本标推适用于文件加密产品的设计、开发及检。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修故单)适用于本文件。GB/T5271.8—2001信息技术词汇第8部分:安金GB17859-1999计算机信息系统安全保护等级划分准则GB/T18336.3一2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求
3术语和定义
GB/T5271.8—2001、GB17859—1999和GB/T18336.3—2008界定的以及下列术语和定义适用于本文件。
文件加密产品filecacryptionproducts使用密码技术对指定文件进行保护的产品,其中密码技术应符合国家密码管理相关规定。3.2
密钥key
一串符号序列,实现控制密码变换操作(加密、解密)的关键信息或参数。3.3
密码算法cryptographic algorithm在密钥控制下的一簇数学运算,规定了完成数据加解密的程序的一系列规则,以实现明文和密文之间的相互变换。
4安全功能要求
4.1加、解密管理
4.1.1文件加、解密
产品应实现下列加、解密功能:1
GA/T 988—2012
指定文件的加、解密:
批最文件的加、解密;
指定文件类型的自动加、解密。c)
4.1.2文件保护
产品应对加密文件进行下列保护:a)解密次数的限制;Www.bzxZ.net
b)解密后内容的复制、打印、截屏等限制。4.1.3加密文件密钥更新
产品应提供对于已加密文件的密钥更新功能,能够自动更换已加密文件的加密密钥。完整性校验
产品应能对加密文件数据的完性进行校验。4.1.5酱份与恢复
产品应提供对加密文件数据的备份与恢复功能。4.2密码技术应用
密码算法
产品提供的密码算法应符合国家密码管理的有关规定。4.2.2密码实现机制
对文件数据的加、解密运算应采用固件或硬件方式实现。4.2.3密钥安全
密钥要求
密钥应满足下列条件:
a)具备一定的随机性,
由随机数发生器产生:
c)在国家密码管理部门批准的密码设备内部产生。4.2.3.2密钥使用
密钥的使用应满足下列条件:
a)防止被非授权使用,
防止被泄露和替换。
4.2.3.3密钥备份与恢复
应具备安全可靠的密钥备份恢复机制,对密钥进行备份和恢复。2
5自身安全功能要求
5.1标识与鉴别
5.1.1用户标识
5. 1. 1. 1
属性定义
GA/T 983—2012
产品应为每个用户规定与之相关的安全属性,例如用户标识、鉴别信息、录属组、权限等。5.1.1.2屏性初始化
产品应提供使用默认值对创建的每个用户的属性进行初始化的能力。3唯一性标识
产品应为用预提供唯一标识,同时将用户的身份标识与该用户的所有可审计能力相关联。5.1.2身份鉴别
5.1.2.1基本鉴别
产品应在执行任何安全功能之前鉴别用户的身份。5.1.2.2鉴别数据保护
产品应保证鉴别数据不被未授权查阅或修改。5.1.2.3鉴别失败处理
当对用户鉴别失败的次数达到指定次数后,产品应能终止用户的访问。5.1.2.4超时锁定或注销
应有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下,终止会话,要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5.2集中安全管理
5.2.1集中管理
产品应能对客户端主机进行集中管理:a)提供安全策略的集中定制,并分发应用到相应的主机上;b)进行分组管理。
5.2.2客户端代理的自身保护功能产品应对客户端程序采联自身保护措施,防止非授权用户进行以下操作:a)终止代理程序运行;
b)取消代理程序在系统启动时自动加载:e)御裁、測除或修改代理程序。3
GA/T 988—2012
5.2.3安全功能管理
应允许授权替理员对产品进行以下管理:a)查看安全履性;
b)修改安全属性:
启动、关闭全部或部分安金功能;c)
制定和修改各种安全策略。
5.2.4安全角色管理
产品应能对管理员角色进行以下区分:a)具有至少两种不同权限的管理员角色,操作员,安全员、审计员等;b)应根据不同的功能模块,自定义各种不同权限角色,并可对管理员分配角色。5.2.5远程保密传输
产品应采取保密措施保组件间数据传输的安全。5.2.6可信管理地址
若控制台提供远程管理功能,应能对可远程管理的主机地址进行限制5.3审计日志
5.3.1审计日志生成
应对以下事件生成审计日志:
a)用户鉴别成功和失败:
b)对安全策略进行更政的操作;管理员的重要梁作,如增加,除管理员,存档、珊除、清空日志等,c
d)客户端代理的启动和关闭;
e)文件加、解密操作;
密钥备份与恢复。
产品应在每一个审计日志记录中记录事件发生的日期、时间、用户标识、事件描述和结果。若采用远程登录方式对产品逃行管理还应记录管理主机的地址。5.3.2审计日志保存
审计日志应能存储于永久性存储介质中。5.3.3审计日志管理
应提桃下列审计日志管理功能:a)只允许授权管理员访问审计日志;b)提供对审计日志的查询功能:授权管理员应能保存、删除和游空审计日志。c
6安全保证要求
6.1配置管理
6.1.1 配置管理能力
6.1.1.1版本号
开发者应为产品的不同版本提供推一的标识。6.1.1.2配置项
开发者应使用配置管理系统并提供配置管理文档。GA/T 988-—2012
配置管理文档挡应包括一个配置清单,配置单应唯一标识组成产品的所有配置项并对配置项进行描述,还应描述对配暨项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。6、1.1.3授权控制
开发者提供的配置管理文挡应包括一个配置管理计划,配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项。6.1.2配暨管理覆盖
配置管理范围至少应包括产品交付与运行文挡、开发文档、指导性文档、生命周期支持文挡,测试文档,脆弱性分析文档和配置管理文档,从面确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的。6.2交付与运行
6.2.1交付程序
开发者应使用一定的交付程序交付产品,并将交付过程文档化。交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序。6,2.2安装、生成和启动程序
并发者应提供文档说明产品的安装、生成和肩动的过程。6.3开发
5,3.1非形式化功能规范
并发者应提供一个功能规范使用非形式化风格来描述产品安全功能及其外部接口。功能规范应是内在一致的,应描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和错误息的细节,并完备地表示产品的功能。6.3.2高层设计
6.3.2.1描述性高层设计
开发者应提供产品安全功能的高层设计。5
GA/T 988--2012
高层设计应以非形式风格表述并且是内在一致的。为说明安全功能的结构,应将安全功能分解为各个安全功能子系统进行播述。对于每一个安全功能子系统,应描逆其提供的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的和方法。还应标识安全功能要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、件和软件实现的保护机制。6.3.2.2安全加强的高层设计
开发者应阐明如何将有助于产品安全功能的子系统和其他子系统分开,并适当提供安全功能子系统的作用例外情说和错误消息的纫节。6.3.3非形式化对应性证实
开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。对于产品安全功能表示的每个相邻对,分析应阐明:较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确且完备地细化。6.4指导性文档
6.4.1管理员指南
开发者应提供暂理员指南,管理员指南应与为评估而提供的其独所有文档保持一致。管遗员指南应说明以下内容:
a)管理员可使用的管理功能和接口;b)怎样安全地管理产品;:
c)在安全处理环境中应被控制的功能和权限所有对与产品的安全操作有关的用户行为的假设;d)
所有受管理员控制的安全参数,如果可能,应指明安全值;e
每一种与管理功能有关的安全相关等件,包括对安全功能所控制实体的安全特性进行的政变:名)所有与管理员有关的IT环境安全要求。6.4.2用户指南
开发者应提供用户指南,用户指南应与为评估面提供的其他所有文档保一致。用卢指南应说明以下内容:
a)产品的非誉理员用户可使用的安全功能和接口;b)产品提供给用户的安全功能和接口的使用方法;c)用户可获最但应登安全处理环境所控制的所有功能和权限:d)产品安全操作中用户所应承担的职资:e)与用户有关的 IT环境的所有安全要求。6.5生命周期支持
开发者应提供开发安全文档。
开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施,并应提供在产品的开发和维护过程中执行安全措施的证据。
6.6测试
6.6.1测试覆盖
6.6.1.1覆盖证据
并发者应提供测试覆盏的证据,GA/T 988—2012
在测试覆盏证据中,应表明测试文档中所标识的测试与功能规范中所播述的产品的安全功能是对应的。
6.6.1.2覆盖分析
开发老应提供测试覆盖的分析结果。说爱盖的分析结果应表明测试文档中所标识的测试与功能规范中所措述的产品的安全功能之间的对应性是完备的。
6.6.2测试深度
并发者应提供测试深度的分析。深度分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高层设计运行的。6.6.3功能测试
并发者应测试安全功能,将结果文档化并提供测试文挡。测试文档应包括以下内容:
a)测试计划,应标识要测试的安全功能,并描述测试的目标:b)测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他测试结果的顺序依赖性;
c)预期的测试,结果应表明浏试成功后的预期输出;d)实际测试结果,应表明每个被测试的安全功能能按照规定进行运作。6.6.4
独立测试
6.6. 4. 1—致性
开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致。6.6.4.2抽样
并发者应提供一组相当的资源,用于安全功能的抽样测试。6.7脆弱性分析保证
6.7.1指南审查
开发着应提供指南殊艾档。
在指南性文档中,应确定对产品的所有可能的操作方式(包括失败或失误后的操作)、它们的后果以及对于保持安全操作的意义,还应列出所有目标环境的假设以及所有外部安全措施(包括外部程序的、物理的或人员的控制)要求。
指南性文档应是完备的、消晰的、一致的、合理的。7
GA/T 988—2012
6.7.2安全功能强度评估
开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析,说明该安全机制达到或超过指导性文档中定义的最低强度级别和待定功能强度度量。6.7.3并发者脆弱性分析
开发者应执行脆弱性分析,并提供脆弱性分析文档。开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档。对被确定的脆弱性,开发者应明确记录采取的措施。对每一条脆弱性,应有证据显示在使用产品的环境中,该脆弱性不能被利用。在文挡中,还器证明经过标识脆弱性的产品可以抵明显的穿透性攻击。7等级划分要求
7.1概述
依据文件加密产品的开发、生产现状及实际应用情况,将文件加密产品的安全功能要求,自身安全功能要求和安全保证要求划分成三个等缴。7.2安全功能要求等级刻分
文件加密产品的安全功能要求等级划分如表1所示,表1文件加密产品安全功能要求等级划分表安全功能要求
文件加、解密
文件保护
加、解密替理
密码技术应用
加密文件密钥更新
完整性校验
备份与恢复
密码算法
密码实现机制
密钥要求
密销安全
密使用
密钥备份与恢复
7.3自身安全功能要求等级划分
第一级
4.2.3.1a)
4.2.3.2a)
第二级
4. 2. s. 1a)、4.2. 3. 1b)
第三级
文件加密产品的自身安全功能要求等级划分如表2所示。若产品只适用于单机,不支持集中管理功能,则5. 2 的要求不适用。
标识与整别
集中安全管理
巢中安全管理
审计百志
表2文件加密产品自身安全功能要求等级划分表自身安全功能要求
属性定义
用户标识
身份鉴别
属性韧始化
唯一性标识
基本鉴别
鉴别数据保护
鉴败处理
超时锁定或注销
桑中管理
容户端代理的自身保护功
安全功能管理
安全角色管理
运程保密传输
可信管理地址
审计月志生成
审计日志保存
审计日志管要
安全保证要求等级划分
第一级
5. 3. la) ~5. 3. 1c)
文件加密产品的安金保证要求等级划分如表3所示。第二级
5. 1. 2. 1
5. 3. 1a) ~~5. 3. 1e)
表3文件加密产品安全保证要求等级划分表安全保证娶求
配登管
配置管理
交付与
理雄力
版本号
配置项
授权控制
配置管理盖
交付程序
安装、生成和启动程序
非形式化功能规范
高层设计
描述性高层设计
安全加强的高层设计
非形式化对应性证实
第一级
第二级
6. 3. 2. 1
GA/T988—2012
第三级
第三级
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T988—2012
信息安全技术
文件加密产品安全技术要求
Informatioa securitytechnology-Security technical requirements for file encryption products2012-04-25发布
中华人民共和国公安部
2012-04-25实施
GA/T 988--2012
2规范性引文件
3术语和定义
4安全功能要求
自身安全功能要求
安全保证要求
等级划分要求
本标准按照GB/T 1.1—2009给出的规则起草。本标准由公安部网络安全保卫局提出。育
本标由公安部信息系统安全标准化技术委员会归口。本标准起草单位:公安部计算机信息系统安全产品质量监容检验中心。GA/T 988—2012
木标主要起草人:俞优、顾建新.顾健、赵婷、陆臻、沈亮、吴其聪、李毅、张笑笑、马海燕、顾玮、明。
1范围
信息安全技术
文件加密产品安全技术要求
GA/T988—2D12
本标准规定了文件加密产品的安全功能要求、自身安全功能要求、安全保证要求和等级划分要求。本标推适用于文件加密产品的设计、开发及检。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修故单)适用于本文件。GB/T5271.8—2001信息技术词汇第8部分:安金GB17859-1999计算机信息系统安全保护等级划分准则GB/T18336.3一2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求
3术语和定义
GB/T5271.8—2001、GB17859—1999和GB/T18336.3—2008界定的以及下列术语和定义适用于本文件。
文件加密产品filecacryptionproducts使用密码技术对指定文件进行保护的产品,其中密码技术应符合国家密码管理相关规定。3.2
密钥key
一串符号序列,实现控制密码变换操作(加密、解密)的关键信息或参数。3.3
密码算法cryptographic algorithm在密钥控制下的一簇数学运算,规定了完成数据加解密的程序的一系列规则,以实现明文和密文之间的相互变换。
4安全功能要求
4.1加、解密管理
4.1.1文件加、解密
产品应实现下列加、解密功能:1
GA/T 988—2012
指定文件的加、解密:
批最文件的加、解密;
指定文件类型的自动加、解密。c)
4.1.2文件保护
产品应对加密文件进行下列保护:a)解密次数的限制;Www.bzxZ.net
b)解密后内容的复制、打印、截屏等限制。4.1.3加密文件密钥更新
产品应提供对于已加密文件的密钥更新功能,能够自动更换已加密文件的加密密钥。完整性校验
产品应能对加密文件数据的完性进行校验。4.1.5酱份与恢复
产品应提供对加密文件数据的备份与恢复功能。4.2密码技术应用
密码算法
产品提供的密码算法应符合国家密码管理的有关规定。4.2.2密码实现机制
对文件数据的加、解密运算应采用固件或硬件方式实现。4.2.3密钥安全
密钥要求
密钥应满足下列条件:
a)具备一定的随机性,
由随机数发生器产生:
c)在国家密码管理部门批准的密码设备内部产生。4.2.3.2密钥使用
密钥的使用应满足下列条件:
a)防止被非授权使用,
防止被泄露和替换。
4.2.3.3密钥备份与恢复
应具备安全可靠的密钥备份恢复机制,对密钥进行备份和恢复。2
5自身安全功能要求
5.1标识与鉴别
5.1.1用户标识
5. 1. 1. 1
属性定义
GA/T 983—2012
产品应为每个用户规定与之相关的安全属性,例如用户标识、鉴别信息、录属组、权限等。5.1.1.2屏性初始化
产品应提供使用默认值对创建的每个用户的属性进行初始化的能力。3唯一性标识
产品应为用预提供唯一标识,同时将用户的身份标识与该用户的所有可审计能力相关联。5.1.2身份鉴别
5.1.2.1基本鉴别
产品应在执行任何安全功能之前鉴别用户的身份。5.1.2.2鉴别数据保护
产品应保证鉴别数据不被未授权查阅或修改。5.1.2.3鉴别失败处理
当对用户鉴别失败的次数达到指定次数后,产品应能终止用户的访问。5.1.2.4超时锁定或注销
应有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下,终止会话,要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5.2集中安全管理
5.2.1集中管理
产品应能对客户端主机进行集中管理:a)提供安全策略的集中定制,并分发应用到相应的主机上;b)进行分组管理。
5.2.2客户端代理的自身保护功能产品应对客户端程序采联自身保护措施,防止非授权用户进行以下操作:a)终止代理程序运行;
b)取消代理程序在系统启动时自动加载:e)御裁、測除或修改代理程序。3
GA/T 988—2012
5.2.3安全功能管理
应允许授权替理员对产品进行以下管理:a)查看安全履性;
b)修改安全属性:
启动、关闭全部或部分安金功能;c)
制定和修改各种安全策略。
5.2.4安全角色管理
产品应能对管理员角色进行以下区分:a)具有至少两种不同权限的管理员角色,操作员,安全员、审计员等;b)应根据不同的功能模块,自定义各种不同权限角色,并可对管理员分配角色。5.2.5远程保密传输
产品应采取保密措施保组件间数据传输的安全。5.2.6可信管理地址
若控制台提供远程管理功能,应能对可远程管理的主机地址进行限制5.3审计日志
5.3.1审计日志生成
应对以下事件生成审计日志:
a)用户鉴别成功和失败:
b)对安全策略进行更政的操作;管理员的重要梁作,如增加,除管理员,存档、珊除、清空日志等,c
d)客户端代理的启动和关闭;
e)文件加、解密操作;
密钥备份与恢复。
产品应在每一个审计日志记录中记录事件发生的日期、时间、用户标识、事件描述和结果。若采用远程登录方式对产品逃行管理还应记录管理主机的地址。5.3.2审计日志保存
审计日志应能存储于永久性存储介质中。5.3.3审计日志管理
应提桃下列审计日志管理功能:a)只允许授权管理员访问审计日志;b)提供对审计日志的查询功能:授权管理员应能保存、删除和游空审计日志。c
6安全保证要求
6.1配置管理
6.1.1 配置管理能力
6.1.1.1版本号
开发者应为产品的不同版本提供推一的标识。6.1.1.2配置项
开发者应使用配置管理系统并提供配置管理文档。GA/T 988-—2012
配置管理文档挡应包括一个配置清单,配置单应唯一标识组成产品的所有配置项并对配置项进行描述,还应描述对配暨项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。6、1.1.3授权控制
开发者提供的配置管理文挡应包括一个配置管理计划,配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项。6.1.2配暨管理覆盖
配置管理范围至少应包括产品交付与运行文挡、开发文档、指导性文档、生命周期支持文挡,测试文档,脆弱性分析文档和配置管理文档,从面确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的。6.2交付与运行
6.2.1交付程序
开发者应使用一定的交付程序交付产品,并将交付过程文档化。交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序。6,2.2安装、生成和启动程序
并发者应提供文档说明产品的安装、生成和肩动的过程。6.3开发
5,3.1非形式化功能规范
并发者应提供一个功能规范使用非形式化风格来描述产品安全功能及其外部接口。功能规范应是内在一致的,应描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和错误息的细节,并完备地表示产品的功能。6.3.2高层设计
6.3.2.1描述性高层设计
开发者应提供产品安全功能的高层设计。5
GA/T 988--2012
高层设计应以非形式风格表述并且是内在一致的。为说明安全功能的结构,应将安全功能分解为各个安全功能子系统进行播述。对于每一个安全功能子系统,应描逆其提供的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的和方法。还应标识安全功能要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、件和软件实现的保护机制。6.3.2.2安全加强的高层设计
开发者应阐明如何将有助于产品安全功能的子系统和其他子系统分开,并适当提供安全功能子系统的作用例外情说和错误消息的纫节。6.3.3非形式化对应性证实
开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。对于产品安全功能表示的每个相邻对,分析应阐明:较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确且完备地细化。6.4指导性文档
6.4.1管理员指南
开发者应提供暂理员指南,管理员指南应与为评估而提供的其独所有文档保持一致。管遗员指南应说明以下内容:
a)管理员可使用的管理功能和接口;b)怎样安全地管理产品;:
c)在安全处理环境中应被控制的功能和权限所有对与产品的安全操作有关的用户行为的假设;d)
所有受管理员控制的安全参数,如果可能,应指明安全值;e
每一种与管理功能有关的安全相关等件,包括对安全功能所控制实体的安全特性进行的政变:名)所有与管理员有关的IT环境安全要求。6.4.2用户指南
开发者应提供用户指南,用户指南应与为评估面提供的其他所有文档保一致。用卢指南应说明以下内容:
a)产品的非誉理员用户可使用的安全功能和接口;b)产品提供给用户的安全功能和接口的使用方法;c)用户可获最但应登安全处理环境所控制的所有功能和权限:d)产品安全操作中用户所应承担的职资:e)与用户有关的 IT环境的所有安全要求。6.5生命周期支持
开发者应提供开发安全文档。
开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施,并应提供在产品的开发和维护过程中执行安全措施的证据。
6.6测试
6.6.1测试覆盖
6.6.1.1覆盖证据
并发者应提供测试覆盏的证据,GA/T 988—2012
在测试覆盏证据中,应表明测试文档中所标识的测试与功能规范中所播述的产品的安全功能是对应的。
6.6.1.2覆盖分析
开发老应提供测试覆盖的分析结果。说爱盖的分析结果应表明测试文档中所标识的测试与功能规范中所措述的产品的安全功能之间的对应性是完备的。
6.6.2测试深度
并发者应提供测试深度的分析。深度分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高层设计运行的。6.6.3功能测试
并发者应测试安全功能,将结果文档化并提供测试文挡。测试文档应包括以下内容:
a)测试计划,应标识要测试的安全功能,并描述测试的目标:b)测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他测试结果的顺序依赖性;
c)预期的测试,结果应表明浏试成功后的预期输出;d)实际测试结果,应表明每个被测试的安全功能能按照规定进行运作。6.6.4
独立测试
6.6. 4. 1—致性
开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致。6.6.4.2抽样
并发者应提供一组相当的资源,用于安全功能的抽样测试。6.7脆弱性分析保证
6.7.1指南审查
开发着应提供指南殊艾档。
在指南性文档中,应确定对产品的所有可能的操作方式(包括失败或失误后的操作)、它们的后果以及对于保持安全操作的意义,还应列出所有目标环境的假设以及所有外部安全措施(包括外部程序的、物理的或人员的控制)要求。
指南性文档应是完备的、消晰的、一致的、合理的。7
GA/T 988—2012
6.7.2安全功能强度评估
开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析,说明该安全机制达到或超过指导性文档中定义的最低强度级别和待定功能强度度量。6.7.3并发者脆弱性分析
开发者应执行脆弱性分析,并提供脆弱性分析文档。开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档。对被确定的脆弱性,开发者应明确记录采取的措施。对每一条脆弱性,应有证据显示在使用产品的环境中,该脆弱性不能被利用。在文挡中,还器证明经过标识脆弱性的产品可以抵明显的穿透性攻击。7等级划分要求
7.1概述
依据文件加密产品的开发、生产现状及实际应用情况,将文件加密产品的安全功能要求,自身安全功能要求和安全保证要求划分成三个等缴。7.2安全功能要求等级刻分
文件加密产品的安全功能要求等级划分如表1所示,表1文件加密产品安全功能要求等级划分表安全功能要求
文件加、解密
文件保护
加、解密替理
密码技术应用
加密文件密钥更新
完整性校验
备份与恢复
密码算法
密码实现机制
密钥要求
密销安全
密使用
密钥备份与恢复
7.3自身安全功能要求等级划分
第一级
4.2.3.1a)
4.2.3.2a)
第二级
4. 2. s. 1a)、4.2. 3. 1b)
第三级
文件加密产品的自身安全功能要求等级划分如表2所示。若产品只适用于单机,不支持集中管理功能,则5. 2 的要求不适用。
标识与整别
集中安全管理
巢中安全管理
审计百志
表2文件加密产品自身安全功能要求等级划分表自身安全功能要求
属性定义
用户标识
身份鉴别
属性韧始化
唯一性标识
基本鉴别
鉴别数据保护
鉴败处理
超时锁定或注销
桑中管理
容户端代理的自身保护功
安全功能管理
安全角色管理
运程保密传输
可信管理地址
审计月志生成
审计日志保存
审计日志管要
安全保证要求等级划分
第一级
5. 3. la) ~5. 3. 1c)
文件加密产品的安金保证要求等级划分如表3所示。第二级
5. 1. 2. 1
5. 3. 1a) ~~5. 3. 1e)
表3文件加密产品安全保证要求等级划分表安全保证娶求
配登管
配置管理
交付与
理雄力
版本号
配置项
授权控制
配置管理盖
交付程序
安装、生成和启动程序
非形式化功能规范
高层设计
描述性高层设计
安全加强的高层设计
非形式化对应性证实
第一级
第二级
6. 3. 2. 1
GA/T988—2012
第三级
第三级
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。