《《移動終端雙系統(tǒng)產品安全評價規(guī)范》（2017RB013）-征求意見稿》由會員分享，可在線閱讀，更多相關《《移動終端雙系統(tǒng)產品安全評價規(guī)范》（2017RB013）-征求意見稿（23頁珍藏版）》請在裝配圖網上搜索。

ICS 點擊此處添加中國標準文獻分類號 RB 中華人民共和國認證認可行業(yè)標準 RB/T XXXXX—XXXX 移動終端雙系統(tǒng)安全評價規(guī)范 Security evaluation specifications for Dual-System of mobile terminal 點擊此處添加與國際標準一致性程度的標識 （本稿完成日期：2018.12.28） - XX - XX發(fā)布 XXXX - XX - XX實施 中華人民共和國國家市場監(jiān)督管理總局 國家認證認可監(jiān)督管理委員會發(fā)布 RB/T XXXXX—XXXX 目次 前言 2 1　范圍 3 2　規(guī)范性引用文件 3 3　術語、定義和縮略語 3 3.1　術語和定義 3 3.2　縮略語 3 4　評價過程 4 4.1　總體說明 4 4.2　評價的主要環(huán)節(jié) 4 4.3　結果判定 5 5　評價要求 5 5.1　總體說明 5 5.2　功能要求 5 5.3　安全要求 5 5.4　安全保障要求 7 6　評價方法 10 6.1　總體說明 10 6.2　功能檢測 10 6.3　安全檢測 13 6.4　安全保障要求評估 16 前言 本規(guī)范按照GB/T　1.1-2009的規(guī)則起草。 本規(guī)范由國家認證認可監(jiān)督管理委員會提出并歸口。 本規(guī)范起草單位： 本規(guī)范主要起草人： 移動終端雙系統(tǒng)安全評價規(guī)范 1　 范圍 本規(guī)范規(guī)定了移動終端雙系統(tǒng)的安全評價要求及評價方法。 本規(guī)范適用于第三方認證機構和檢測機構對移動終端雙系統(tǒng)的評價，移動終端雙系統(tǒng)的設計和實現也可參照。 2　 規(guī)范性引用文件 下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 GB/T 18336-2015 《信息技術 安全技術 信息技術安全評估準則》 GB/T 25069 信息安全技術 術語 3　 術語、定義和縮略語 3.1　 術語和定義 GB/T 18336-2015確立的以及下列術語和定義適用于本規(guī)范。 3.1.1　 移動智能終端（smart mobile terminal） 通過蜂窩移動網絡和無線網絡向用戶提供語音、消息、電子郵件、Web瀏覽等服務，集成顯示器、照相機、攝像機、音樂播放器、視頻播放器、定位導航等功能的個人手持通信設備，可以下載安裝應用軟件，是具備移動通信功能的終端設備。 3.1.2　 移動終端雙系統(tǒng)（dual-system of mobile terminal） 同時運行在移動智能終端的兩個并行的操作系統(tǒng)，系統(tǒng)間相互兼容，分別維護獨立的系統(tǒng)分區(qū)和硬件資源的訪問。 3.1.3　 工作系統(tǒng)（work system） 是指移動智能終端雙系統(tǒng)中的其中一個系統(tǒng)，專門用于用戶辦公，在該系統(tǒng)中能夠應用各種安全和數據隔離策略，保護該系統(tǒng)的安全及數據隔離。 3.1.4　 生活系統(tǒng)（life system） 是指移動智能終端雙系統(tǒng)中的另一個系統(tǒng)，專門用于用戶個人使用，是通用的移動智能終端系統(tǒng)。 3.2　 縮略語 以下縮略語適用于本文件 MDM Mobile Device Management 移動終端管理控制產品 4　 評價過程 4.1　 總體說明 認證機構在接收到認證申請資料并審查合格后安排實驗室進行檢測。認證機構收到檢測報告并審查合格后，組織現場核查。認證機構對文檔審核、檢測、現場核查結果進行綜合評價。評價的主要環(huán)節(jié) 4.2　 評價的主要環(huán)節(jié) 4.2.1　 文檔審核 認證機構對申請方提交的資料和文檔依據產品技術規(guī)范進行審核。文檔審核的項目、要求及方法在本規(guī)范中條款號的對應關系如下。 表1　 文檔審核 序號 項目 要求 方法 1 開發(fā) 5.4.1 6.4.1 2 指導性文檔 5.4.2 6.4.2 3 生命周期支持 5.4.3 6.4.3 4 測試 5.4.4 6.4.4 其中開發(fā)、生命周期等部分內容需要在現場核查環(huán)節(jié)進行驗證。 4.2.2　 檢測 檢測實驗室對申請方送樣的產品依據產品技術規(guī)范進行檢測。檢測的項目、要求及方法在本規(guī)范中條款號的對應關系如下。 表2　 檢測 序號 項目 要求 方法 1 功能要求 5.2 6.2 2 安全要求 5.3 6.3 4.2.3　 現場核查 認證機構指派檢查員對工廠的研發(fā)和生產環(huán)境進行檢查，檢查內容包括信息安全保證能力、工廠質量保證能力和產品一致性進行檢查?，F場核查的項目、要求及方法在本規(guī)范中條款號的對應關系如下。 表3　 現場核查 序號 項目 要求 方法 1 信息安全保證能力 開發(fā) 5.4.1 6.4.1 2 生命周期支持 5.4.3 6.4.3 3 工廠質量保證能力 職責和資源 5.5.1 現場驗證 4 認證產品一致性 5.5.2 5 認證產品外購部件或外包軟件模塊管理 5.5.3 6 產品一致性檢查 產品一致性 5.6 現場驗證 4.3　 結果判定 文檔審核、檢測、現場核查的所有項目均通過，總體結果判定為通過。 5　 評價要求 5.1　 總體說明 本規(guī)范包括對產品的功能要求、安全要求和保障要求。 本規(guī)范不對產品進行安全等級劃分。 5.2　 功能要求 5.2.1　 雙系統(tǒng)對等使用 產品應支持同時運行兩個系統(tǒng)，并且支持通過指紋、UI按鈕等方式實現系統(tǒng)的切換。 5.2.2　 雙系統(tǒng)獨立運行 產品應支持雙系統(tǒng)獨立運行，支持獨立設置解鎖方式，獨立恢復出廠設置，獨立添加/刪除應用，獨立擁有自己的系統(tǒng)資源等。 5.2.3　 數據隔離 產品應支持兩個系統(tǒng)間的數據隔離功能，如：多媒體數據、通話記錄、短信，文檔，其它應用數據等。 5.2.4　 應用隔離 產品應支持兩個系統(tǒng)間應用程序隔離功能，支持各自應用的運行，互不干擾。 5.2.5　 外設控制 產品應支持工作系統(tǒng)根據安全策略實現對外設的使用控制。 5.2.6　 網絡接入 產品應支持兩個系統(tǒng)分別接入網絡的功能，工作系統(tǒng)接入企業(yè)專網，生活系統(tǒng)接入公網，并且兩個系統(tǒng)不能通過更改APN實現公專網交叉訪問。 5.2.7　 后臺消息通知 產品應支持后臺系統(tǒng)發(fā)生的事件以通知的形式在前臺系統(tǒng)的通知欄顯示，但不顯示具體內容的功能。 5.3　 安全要求 5.3.1　 標識與鑒別 5.3.1.1　 用戶屬性定義 移動終端雙系統(tǒng)應維護每個用戶的安全屬性，屬性可包括：用戶標識、授權信息或用戶組信息、其他安全屬性等。 5.3.1.2　 任何動作前的用戶鑒別 移動終端雙系統(tǒng)應要求用戶在執(zhí)行與移動終端雙系統(tǒng)安全相關的任何其他操作之前，都已被成功鑒別。 5.3.1.3　 受保護的鑒別反饋 鑒別進行時，移動終端雙系統(tǒng)安全功能應以隱性的方式顯示鑒別數據輸入的反饋，不顯示字符本身。 5.3.1.4　 鑒別失敗處理 a) 移動終端雙系統(tǒng)應能檢測用戶的不成功的鑒別嘗試； b) 在達到或超過最大鑒別失敗嘗試次數閾值后，移動終端雙系統(tǒng)應采取措施阻止進一步的鑒別嘗試，直至滿足已定義的條件才允許進行重新鑒別； c) 應僅由授權用戶設置未成功鑒別嘗試次數閾值。 5.3.2　 安全審計 5.3.2.1　 審計數據產生 a) 移動終端雙系統(tǒng)如果支持以下事件，應能為其產生審計記錄： 1) 移動終端雙系統(tǒng)的啟動和關閉； 2) 移動終端雙系統(tǒng)應用的啟動和退出； 3) （如適用）對用戶鑒別的行為和鑒別失敗處理的行為； 4) 其他系統(tǒng)參數配置和管理安全功能行為的操作。 b) 移動終端雙系統(tǒng)應在每個審計記錄中至少記錄下列信息： 1) 事件發(fā)生的日期和時間； 2) 事件類型； 3) 事件主體身份標識； 4) 事件描述及結果。 5.3.3　 安全管理 5.3.3.1　 安全功能行為管理 移動終端雙系統(tǒng)應僅限于授權用戶對下述功能具有修改的能力。 a) 修改用戶認證方式； b) 其它安全功能行為的管理。 5.3.3.2　 安全屬性管理 移動終端雙系統(tǒng)應僅限于授權用戶對指定的安全屬性進行修改操作。 5.3.3.3　 TSF數據的管理 移動終端雙系統(tǒng)應僅允許授權用戶執(zhí)行下列操作： a) 修改用戶超時時間； b) 其他系統(tǒng)參數配置操作。 5.3.4　 TSF保護 5.3.4.1　 TSF原發(fā)會話終止 移動終端雙系統(tǒng)的安全功能應在達到一定的用戶不活動的時間間隔之后終止交互式會話。 5.3.4.2　 可靠的時間戳 移動終端雙系統(tǒng)的安全功能應能為自身的應用提供可靠的時間戳。 5.4　 安全保障要求 5.4.1　 開發(fā) 5.4.1.1　 安全架構描述 a) 開發(fā)者行為元素： 1) 開發(fā)者應設計并實現TOE，確保TSF的安全特性不可旁路； 2) 開發(fā)者應設計并實現TSF，以防止不可信主體的破壞； 3) 開發(fā)者應提供TSF安全架構的描述。 b) 內容和形式元素： 1) 安全架構的描述應與在TOE設計文檔中對SFR-執(zhí)行的抽象描述的級別一致； 2) 安全架構的描述應描述與安全功能要求一致的TSF安全域； 3) 安全架構的描述應描述TSF初始化過程為何是安全的； 4) 安全架構的描述應證實TSF可防止被破壞； 5) 安全架構的描述應證實TSF可防止SFR-執(zhí)行的功能被旁路。 5.4.1.2　 安全執(zhí)行功能規(guī)范 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供一個功能規(guī)范； 2) 開發(fā)者應提供功能規(guī)范到安全功能要求的追溯關系。 b) 內容和形式元素： 1) 功能規(guī)范應完整地描述TSF； 2) 功能規(guī)范應描述所有的TSFI的目的和使用方法； 3) 功能規(guī)范應識別和描述每個TSFI相關的所有參數； 4) 對于每個SFR-執(zhí)行TSFI，功能規(guī)范應描述TSFI相關的SFR-執(zhí)行行為； 5) 對于SFR-執(zhí)行TSFI，功能規(guī)范應描述由SFR-執(zhí)行行為相關處理而引起的直接錯誤消息； 6) 功能規(guī)范應證實安全功能要求到TSFI的追溯。 5.4.1.3　 基礎設計 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供TOE的設計； 2) 開發(fā)者應提供從功能規(guī)范的TSFI到TOE設計中獲取到的最低層分解的映射。 b) 內容和形式元素： 1) 設計應根據子系統(tǒng)描述TOE的結構； 2) 設計應標識TSF的所有子系統(tǒng)； 3) 設計應對每一個SFR-支撐或SFR-無關的TSF子系統(tǒng)的行為進行足夠詳細的描述，以確定它不是SFR-執(zhí)行； 4) 設計應概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； 5) 設計應描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； 6) 映射關系應證實TOE設計中描述的所有行為能夠映射到調用它的TSFI。 5.4.2　 指導性文檔 5.4.2.1　 操作用戶指南 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供操作用戶指南。 b) 內容和形式元素： 1) 操作用戶指南應對每一種用戶角色進行描述，在安全處理環(huán)境中應被控制的用戶可訪問的功能和特權，包含適當的警示信息； 2) 操作用戶指南應對每一種用戶角色進行描述，怎樣以安全的方式使用TOE提供的可用接口； 3) 操作用戶指南應對每一種用戶角色進行描述，可用功能和接口，尤其是受用戶控制的所有安全參數，適當時應指明安全值； 4) 操作用戶指南應對每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關的每一種安全相關事件，包括改變TSF所控制實體的安全特性； 5) 操作用戶指南應標識TOE運行的所有可能狀態(tài)（包括操作導致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關系和聯(lián)系； 6) 操作用戶指南應對每一種用戶角色進行描述，為了充分實現ST中描述的運行環(huán)境安全目的所必須執(zhí)行的安全策略； 7) 操作用戶指南應是明確和合理的。 5.4.2.2　 準備程序 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供TOE，包括它的準備程序。 b) 內容和形式元素： 1) 準備程序應描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； 2) 準備程序應描述安全安裝TOE以及安全準備與ST中描述的運行環(huán)境安全目的一致的運行環(huán)境必需的所有步驟。 5.4.3　 生命周期支持 5.4.3.1　 CM系統(tǒng)的使用 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供TOE及其參照號； 2) 開發(fā)者應提供CM文檔； 3) 開發(fā)者應使用CM系統(tǒng)。 b) 內容和形式元素： 1) 應給TOE標注唯一參照號； 2) CM文檔應描述用于唯一標識配置項的方法； 3) CM系統(tǒng)應唯一標識所有配置項。 5.4.3.2　 部分TOE CM覆蓋 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供TOE配置項列表。 b) 內容和形式元素： 1) 配置項列表應包括：TOE本身、安全保障要求的評估證據和TOE的組成部分； 2) 配置項列表應唯一標識配置項； 3) 對于每一個TSF相關的配置項，配置項列表應簡要說明該配置項的開發(fā)者。 5.4.3.3　 交付程序 a) 開發(fā)者行為元素： 1) 開發(fā)者應將把TOE或其部分交付給消費者的程序文檔化； 2) 開發(fā)者應使用交付程序。 b) 內容和形式元素： 1) 交付文檔應描述，在向消費者分發(fā)TOE版本時，用以維護安全性所必需的所有程序。 5.4.4　 測試 5.4.4.1　 覆蓋證據 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供測試覆蓋的證據。 b) 內容和形式元素： 1) 測試覆蓋的證據應表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對應性。 5.4.4.2　 功能測試 a) 開發(fā)者行為元素： 1) 開發(fā)者應測試TSF，并文檔化測試結果； 2) 開發(fā)者應提供測試文檔。 b) 內容和形式元素： 1) 測試文檔應包括測試計劃、預期的測試結果和實際的測試結果； 2) 測試計劃應標識要執(zhí)行的測試并描述執(zhí)行每個測試的方案，這些方案應包括對于其他測試結果的任何順序依賴性； 3) 預期的測試結果應指出測試成功執(zhí)行后的預期輸出； 4) 實際的測試結果應與預期的測試結果一致。 5.4.4.3　 獨立測試-抽樣 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供用于測試的TOE。 b) 內容和形式元素： 1) TOE應適合測試； 2) 開發(fā)者應提供一組與開發(fā)者TSF功能測試中同等的一系列資源。 5.4.5　 脆弱性評定 5.4.5.1　 脆弱性分析 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供用于測試的TOE。 b) 內容和形式元素： 1) TOE應適合測試。 6　 評價方法 6.1　 總體說明 評價方法與評價要求一一對應，它給出具體的方法來驗證移動終端雙系統(tǒng)是否滿足評價要求。評價過程分為檢測和評估，其中，檢測內容為功能要求及安全要求，評估內容為安全保障要求，評估的主要方式為文件審核和現場核查。 6.2　 功能檢測 6.2.1　 檢測環(huán)境與工具 a) 檢測環(huán)境圖 圖1　 功能檢測環(huán)境圖 6.2.2　 雙系統(tǒng)對等使用 a) 檢測要求 產品應支持同時運行兩個系統(tǒng)，并且支持通過指紋、UI按鈕等方式實現系統(tǒng)的切換。 b) 檢測方法 1) 審查產品說明文檔，分析產品有關雙系統(tǒng)對等使用的場景； 2) 驗證是否能夠啟動兩個系統(tǒng)，并且驗證是否能夠通過指紋、UI按鈕等方式實現兩個系統(tǒng)的切換。 c) 結果判定 1) 產品支持啟動兩個系統(tǒng)，并且能夠通過指紋、UI按鈕等方式實現兩個系統(tǒng)的切換。 1）項滿足的為“符合”；其他情況為“不符合”。 6.2.3　 雙系統(tǒng)獨立運行 a) 檢測要求 產品應支持雙系統(tǒng)獨立運行，支持獨立設置解鎖方式，獨立恢復出廠設置，獨立添加/刪除應用，獨立擁有自己的系統(tǒng)資源等。 b) 檢測方法 1) 檢查兩個系統(tǒng)是否獨立運行，并擁有各自的系統(tǒng)資源，如內存、存儲空間等； 2) 分別為兩個系統(tǒng)設置解鎖方式，檢查解鎖設置是否生效； 3) 審查產品有關恢復出廠設置有關說明，驗證是否能夠獨立對兩個系統(tǒng)執(zhí)行恢復出廠設置操作； 4) 分別為兩個系統(tǒng)安裝應用，檢查應用是否各自獨立運行，互不影響； 5) 分別刪除兩個系統(tǒng)中的應用，檢查是否不影響對方系統(tǒng)應用的正常運行。 c) 結果判定 1) 兩個系統(tǒng)獨立運行互不影響，擁有各自的系統(tǒng)資源，如內存、存儲空間等； 2) 能夠為兩個系統(tǒng)分別設置解鎖方式； 3) 能夠對兩個系統(tǒng)分別執(zhí)行恢復出廠設置操作； 4) 能夠為兩個系統(tǒng)分別安裝應用、刪除應用，不影響對方系統(tǒng)應用的運行。 1）-4）項均滿足的為“符合”；其他情況為“不符合”。 6.2.4　 數據隔離 a) 檢測要求 產品應支持兩個系統(tǒng)間的數據隔離功能，如：多媒體數據，文檔，其它應用數據等。 b) 檢測方法 1) 在工作系統(tǒng)中執(zhí)行新建文檔、錄制視頻、保存通訊錄等操作，檢查操作是否成功，切換到生活系統(tǒng)，檢查是否看不到工作系統(tǒng)中相關內容； 2) 在生活系統(tǒng)中執(zhí)行新建文檔、錄制視頻、保存通訊錄等操作，檢查操作是否成功，切換到工作系統(tǒng)，檢查是否看不到生活系統(tǒng)中相關內容。 c) 結果判定 1) 工作系統(tǒng)和生活系統(tǒng)間數據互相隔離，當前系統(tǒng)中看不到對方系統(tǒng)中的數據。 1）項滿足判定為符合，其他情況判定為不符合。 6.2.5　 應用隔離 a) 檢測要求 產品應支持兩個系統(tǒng)間應用程序隔離功能，支持各自應用的運行，互不干擾。 b) 檢測方法 1) 在兩個系統(tǒng)中分別安裝、卸載不同的應用，檢查兩個系統(tǒng)中的應用是否互不影響； 2) 在兩個系統(tǒng)中分別運行相同的應用，檢查是否能夠使用不同賬戶分別進行登錄，并且運行產生的數據不會在對方系統(tǒng)中保存。 c) 結果判定 1) 支持兩個系統(tǒng)間應用程序隔離功能，應用各自運行互不影響。 1）項滿足的為“符合”；其他情況為“不符合”。 6.2.6　 外設控制 a) 檢測要求 產品應支持兩個系統(tǒng)根據各自的策略實現對外設的使用控制。 b) 檢測方法 1) 審查產品說明文檔，分析產品對外設的使用進行控制的相關功能，如攝像頭、USB接口等； 2) 驗證對外設的使用是否符合系統(tǒng)各自的策略； 3) 分別修改系統(tǒng)策略后，驗證對外設的使用是否符合修改后的策略。 c) 結果判定 1) 產品支持兩個系統(tǒng)根據各自的策略對外設的使用進行控制，如攝像頭、USB接口等。 1）項滿足的為“符合”；其他情況為“不符合”。 6.2.7　 電話短信 a) 檢測要求 產品應支持撥打/接聽電話記錄和發(fā)送/接收短信內容僅存儲在當前系統(tǒng)中。 b) 檢測方法 1) 在當前系統(tǒng)中撥打/接聽電話，檢查撥打/接聽電話記錄是否僅存儲在當前系統(tǒng)中； 2) 在當前系統(tǒng)中發(fā)送/接收短信，檢查發(fā)送/接收短信內容是否僅存儲在當前系統(tǒng)中。 c) 結果判定 1) 撥打/接聽電話記錄和發(fā)送/接收短信內容僅存儲在當前系統(tǒng)中。 1）項滿足的為“符合”；其他情況為“不符合”。 6.2.8　 網絡接入 a) 檢測要求 產品應支持兩個系統(tǒng)分別接入網絡的功能，工作系統(tǒng)接入企業(yè)專網，生活系統(tǒng)接入公網，并且兩個系統(tǒng)不能通過更改APN實現公專網交叉訪問。 b) 檢測方法 1) 審查產品說明文檔，分析產品是否支持兩個系統(tǒng)分別接入網絡； 2) 驗證產品是否支持兩個系統(tǒng)分別接入網絡，并驗證接入是否有效； 3) 檢查兩個系統(tǒng)是否不能通過更改APN實現兩個系統(tǒng)的交叉訪問。 c) 結果判定 1) 產品支持兩個系統(tǒng)分別接入網絡； 2) 不能通過更改APN實現兩個系統(tǒng)網絡的交叉訪問。 1）-2）項均滿足的為“符合”；其他情況為“不符合”。 6.2.9　 后臺消息通知 a) 檢測要求 產品應支持后臺系統(tǒng)發(fā)生的事件以通知的形式在前臺系統(tǒng)的通知欄顯示，但不顯示具體內容的功能。 b) 檢測方法 1) 向后臺系統(tǒng)中發(fā)送消息，使后臺系統(tǒng)產生相應的事件，檢查該事件是否能夠在前臺系統(tǒng)通知欄進行顯示，并檢查是否不顯示事件的具體內容。 c) 結果判定 1) 后臺系統(tǒng)產生的事件能夠在前臺系統(tǒng)的通知欄中進行顯示，但不顯示事件的具體內容。 1）項滿足的為“符合”；其他情況為“不符合”。 6.3　 安全檢測 6.3.1　 檢測環(huán)境與工具 a) 檢測環(huán)境圖（同圖一） 6.3.2　 標識與鑒別 6.3.2.1　 用戶屬性定義 a) 檢測要求 移動終端雙系統(tǒng)應維護每個用戶的安全屬性，屬性可包括：用戶標識、授權信息或用戶組信息、其他安全屬性等。 b) 檢測方法 驗證產品是否能夠對用戶的安全屬性進行維護。 c) 結果判定 1) 產品能夠維護用戶的安全屬性。 1）項滿足為“符合”；其余情況為“不符合”。 6.3.2.2　 任何動作前的用戶鑒別 a) 檢測要求 移動終端雙系統(tǒng)應要求用戶在執(zhí)行與移動終端雙系統(tǒng)安全相關的任何操作之前，都已被成功鑒別。 b) 檢測方法 1) 查看用戶在未被成功鑒別前，是否被拒絕執(zhí)行任何安全相關的操作； 2) 查看產品是否拒絕錯誤的鑒別信息的用戶登錄； 3) 以正確的鑒別信息登錄并進行安全相關操作，驗證產品是否允許登錄，是否允許進行安全相關操作。 c) 結果判定 1) 用戶被成功鑒別前，不能執(zhí)行任何與安全相關的操作； 2) 輸入錯誤鑒別信息，產品不允許登錄； 3) 輸入正確的鑒別信息，能夠成功登錄，并能夠執(zhí)行安全相關操作。 1）-3）項均滿足的為“符合”；其他情況為“不符合”。 6.3.2.3　 受保護的鑒別反饋 a) 檢測要求 鑒別進行時，移動終端雙系統(tǒng)安全功能應以隱性的方式顯示鑒別數據輸入的反饋，不顯示字符本身。 b) 檢測方法 執(zhí)行用戶身份鑒別操作，輸入用戶鑒別數據，檢查移動終端雙系統(tǒng)給出的反饋信息是否不顯示字符本身。 c) 結果判定 1) 移動終端雙系統(tǒng)產品給出的反饋信息不顯示字符本身。 1）項滿足為“符合”；其余情況為“不符合”。 6.3.2.4　 鑒別失敗處理 a) 檢測要求 1) 移動終端雙系統(tǒng)應能檢測用戶的不成功的鑒別嘗試； 2) 在達到或超過最大鑒別失敗嘗試次數閾值后，移動終端雙系統(tǒng)應采取措施阻止進一步的鑒別嘗試，直至滿足已定義的條件才允許進行重新鑒別； 3) 應僅由授權用戶設置未成功鑒別嘗試次數閾值。 b) 檢測方法 1) 以錯誤的鑒別信息嘗試登錄移動終端雙系統(tǒng)，檢查是否被拒絕登錄系統(tǒng)； 2) 繼續(xù)進行一定次數的登錄嘗試，驗證在達到或超過允許的鑒別失敗嘗試次數后，系統(tǒng)是否自動鎖定； 3) 驗證在授權用戶解除或達到解鎖條件后，用戶是否可以重新進行鑒別操作； 4) 檢查未成功鑒別嘗試次數閾值是否僅由授權用戶設置。 c) 結果判定 1) 輸入錯誤的鑒別信息，用戶無法進入移動終端雙系統(tǒng)系統(tǒng)； 2) 在連續(xù)鑒別失敗嘗試次數達到或超過允許的鑒別失敗嘗試次數后，系統(tǒng)自動鎖定； 3) 在授權用戶解除或達到解鎖條件后，用戶可以重新進行鑒別操作； 4) 未成功鑒別嘗試次數閾值僅由授權用戶設置。 1）-4）項均滿足的為“符合”；其他情況為“不符合” 6.3.3　 安全審計 6.3.3.1　 審計數據產生 a) 檢測要求 1) 移動終端雙系統(tǒng)應能為如下支持的事件產生審計記錄： ¨ 移動終端雙系統(tǒng)的啟動和關閉； ¨ 移動終端雙系統(tǒng)應用的啟動和退出； ¨ （如適用）對用戶鑒別的行為和鑒別失敗處理的行為； ¨ 其他系統(tǒng)參數配置和管理安全功能行為的操作。 2) 移動終端雙系統(tǒng)應在每個審計記錄中至少記錄下列信息：事件發(fā)生的日期和時間、事件類型、事件主體身份標識、事件描述及結果。 b) 檢測方法 1) 分別執(zhí)行如下操作，查看審計記錄，驗證系統(tǒng)是否對如下操作產生了審計記錄： ¨ 移動終端雙系統(tǒng)的啟動和關閉； ¨ 移動終端雙系統(tǒng)應用的啟動和退出； ¨ （如適用）對用戶鑒別的行為和鑒別失敗處理的行為； ¨ 其他系統(tǒng)參數配置和管理安全功能行為的操作。 2) 查看審計記錄中是否包括事件發(fā)生的日期和時間、事件類型、事件主體身份標識、事件描述及結果。 c) 結果判定 1) 移動終端雙系統(tǒng)能夠為如下支持的事件生成審計記錄： ¨ 移動終端雙系統(tǒng)的啟動和關閉； ¨ 移動終端雙系統(tǒng)應用的啟動和退出； ¨ （如適用）對用戶鑒別的行為和鑒別失敗處理的行為； ¨ 其他系統(tǒng)參數配置和管理安全功能行為的操作。 2) 查看審計記錄中是否包括事件發(fā)生的日期和時間、事件類型、事件主體身份標識、事件描述及結果。 1）-2）項均滿足的為“符合”；其他情況為“不符合” 6.3.4　 安全管理 6.3.4.1　 安全功能行為的管理 a) 檢測要求 移動終端雙系統(tǒng)應僅限于授權用戶對下述功能具有修改的能力。 1) 修改用戶認證方式； 2) 其他安全功能行為的管理。 b) 檢測方法 1) 成功進入移動終端雙系統(tǒng)系統(tǒng)，嘗試執(zhí)行下述功能： ¨ 修改用戶認證方式； ¨ 其他安全功能行為的管理。 驗證是否只有授權信息驗證成功后才能夠執(zhí)行上述功能。 c) 結果判定 1) 僅允許授權用戶才能夠執(zhí)行上述功能。 1）項滿足為“符合”；其余情況為“不符合” 6.3.4.2　 安全屬性的管理 a) 檢測要求 移動終端雙系統(tǒng)應僅限于授權用戶對指定的安全屬性進行修改操作。 b) 檢測方法 成功進入移動終端雙系統(tǒng)系統(tǒng)，嘗試執(zhí)行對指定的安全屬性進行修改操作，檢查是否僅允許授權用戶能夠執(zhí)行相應操作。 c) 結果判定 1) 僅允許授權用戶才能對指定的安全屬性執(zhí)行修改操作。 1）項滿足為“符合”；其余情況為“不符合” 6.3.4.3　 TSF數據的管理 a) 檢測要求 移動終端雙系統(tǒng)應僅允許授權用戶執(zhí)行下列操作： 1) 修改用戶超時時間； 2) 其他系統(tǒng)參數配置操作。 b) 檢測方法 1) 成功進入移動終端雙系統(tǒng)系統(tǒng)，嘗試執(zhí)行下述操作： ¨ 修改用戶超時時間； ¨ 其他系統(tǒng)參數配置操作。 驗證是否只有授權信息驗證成功后才能夠執(zhí)行上述操作。 c) 結果判定 1) 僅允許授權用戶才能夠執(zhí)行上述操作。 1）項滿足為“符合”；其余情況為“不符合” 6.3.5　 TSF保護 6.3.5.1　 TSF原發(fā)會話終止 a) 檢測要求 移動終端雙系統(tǒng)的安全功能應在達到一定的用戶不活動的時間間隔之后終止交互式會話。 b) 檢測方法 成功進入移動終端雙系統(tǒng)系統(tǒng)，不進行任何操作，檢查在達到指定的用戶不活動時間間隔后，移動終端雙系統(tǒng)是否終止交互式會話，自動退出登錄。 c) 結果判定 1) 在達到設置的用戶不活動時間間隔后，移動終端雙系統(tǒng)終止交互式會話，自動退出登錄。 1）項滿足為“符合”；其余情況為“不符合”。 6.3.5.2　 可靠的時間戳 a) 檢測要求 移動終端雙系統(tǒng)的安全功能應能為自身的應用提供可靠的時間戳。 b) 檢測方法 1) 分析廠家文檔，檢查是否描述了可靠時間戳來源； 2) 以授權用戶身份分別執(zhí)行與時間戳相關的功能，分析其時間戳來源與文檔描述的時間戳來源是否一致。 c) 結果判定 1) 移動終端雙系統(tǒng)使用了可靠的時間戳。 1）項滿足為“符合”；其余情況為“不符合”。 6.4　 安全保障要求評估 6.4.1　 開發(fā) 6.4.1.1　 安全架構描述 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應設計并實現TOE，確保TSF的安全特性不可旁路； ¨ 開發(fā)者應設計并實現TSF，以防止不可信主體的破壞； ¨ 開發(fā)者應提供TSF安全架構的描述。 2) 內容和形式元素： ¨ 安全架構的描述應與在TOE設計文檔中對SFR-執(zhí)行的抽象描述的級別一致； ¨ 安全架構的描述應描述與安全功能要求一致的TSF安全域； ¨ 安全架構的描述應描述TSF初始化過程為何是安全的； ¨ 安全架構的描述應證實TSF可防止被破壞； ¨ 安全架構的描述應證實TSF可防止SFR-執(zhí)行的功能被旁路。 b) 評估方法 1) 評估者應確認提供的信息滿足證據的內容和形式的所有要求。 c) 結果判定 1) 開發(fā)者提供了TSF安全架構的描述； 2) 開發(fā)者提供的TSF安全架構的描述滿足證據的內容和形式的所有要求。 1）—2）項均滿足為“符合”，其他情況為“不符合”。 6.4.1.2　 安全執(zhí)行功能規(guī)范 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應提供一個功能規(guī)范； ¨ 開發(fā)者應提供功能規(guī)范到安全功能要求的追溯關系。 2) 內容和形式元素： ¨ 功能規(guī)范應完整地描述TSF； ¨ 功能規(guī)范應描述所有的TSFI的目的和使用方法； ¨ 功能規(guī)范應識別和描述每個TSFI相關的所有參數； ¨ 對于每個SFR-執(zhí)行TSFI，功能規(guī)范應描述TSFI相關的SFR-執(zhí)行行為； ¨ 對于SFR-執(zhí)行TSFI，功能規(guī)范應描述由SFR-執(zhí)行行為相關處理而引起的直接錯誤消息； ¨ 功能規(guī)范應證實安全功能要求到TSFI的追溯。 b) 評估方法 1) 評估者應確認所提供的信息滿足證據的內容和形式的所有要求； 2) 評估者應確定功能規(guī)范是安全功能要求的一個準確且完備的實例化。 c) 結果判定 1) 開發(fā)者提供了功能規(guī)范文檔； 2) 開發(fā)者提供的功能規(guī)范文檔滿足證據的內容和形式的所有要求； 3) 開發(fā)者提供的功能規(guī)范是安全功能要求的一個準確且完備的實例化。 1）—3）項均滿足的為“符合”；其他情況為“不符合”。 6.4.1.3　 基礎設計 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應提供TOE的設計； ¨ 開發(fā)者應提供從功能規(guī)范的TSFI到TOE設計中獲取到的最低層分解的映射。 2) 內容和形式元素： ¨ 設計應根據子系統(tǒng)描述TOE的結構； ¨ 設計應標識TSF的所有子系統(tǒng)； ¨ 設計應對每一個SFR-支撐或SFR-無關的TSF子系統(tǒng)的行為進行足夠詳細的描述，以確定它不是SFR-執(zhí)行； ¨ 設計應概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； ¨ 設計應描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； ¨ 映射關系應證實TOE設計中描述的所有行為能夠映射到調用它的TSFI。 b) 評估方法 1) 評估者應確認提供的信息滿足證據的內容與形式的所有要求； 2) 評估者應確定設計是所有安全功能要求的正確且完備的實例。 c) 結果判定 1) 開發(fā)者提供了TOE設計文檔； 2) 開發(fā)者提供的TOE設計文檔滿足證據的內容和形式的所有要求； 3) 開發(fā)者提供的設計是所有安全功能要求的正確且完備的實例。 1）—3）項均滿足的為“符合”；其他情況為“不符合”。 6.4.2　 指導性文檔 6.4.2.1　 操作用戶指南 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應提供操作用戶指南。 2) 內容和形式元素： ¨ 操作用戶指南應對每一種用戶角色進行描述，在安全處理環(huán)境中應被控制的用戶可訪問的功能和特權，包含適當的警示信息； ¨ 操作用戶指南應對每一種用戶角色進行描述，怎樣以安全的方式使用TOE提供的可用接口； ¨ 操作用戶指南應對每一種用戶角色進行描述，可用功能和接口，尤其是受用戶控制的所有安全參數，適當時應指明安全值； ¨ 操作用戶指南應對每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關的每一種安全相關事件，包括改變TSF所控制實體的安全特性； ¨ 操作用戶指南應標識TOE運行的所有可能狀態(tài)（包括操作導致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關系和聯(lián)系； ¨ 操作用戶指南應對每一種用戶角色進行描述，為了充分實現ST中描述的運行環(huán)境安全目的所必須執(zhí)行的安全策略； ¨ 操作用戶指南應是明確和合理的。 b) 評估方法 1) 評估者應確認所有提供的信息滿足證據的內容和形式的所有要求。 c) 結果判定 1) 開發(fā)者提供了操作用戶指南； 2) 開發(fā)者提供的操作用戶指南滿足證據的內容和形式的所有要求。 1）—2）項均滿足的為“符合”；其他情況為“不符合”。 6.4.2.2　 準備程序 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應提供TOE，包括它的準備程序。 2) 內容和形式元素： ¨ 準備程序應描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； ¨ 準備程序應描述安全安裝TOE以及安全準備與ST中描述的運行環(huán)境安全目的一致的運行環(huán)境必需的所有步驟。 b) 評估方法 1) 評估者應確認所提供的信息滿足證據的內容和形式的所有要求； 2) 評估者應運用準備程序確認TOE運行能被安全的準備。 c) 結果判定 1) 開發(fā)者提供了TOE以及它的準備程序； 2) 開發(fā)者提供的準備程序滿足證據的內容和形式的所有要求； 3) 運用準備程序能夠確認TOE運行能被安全的準備。 1）—3）項均滿足的為“符合”；其他情況為“不符合”。 6.4.3　 生命周期支持 6.4.3.1　 CM系統(tǒng)的使用 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應提供TOE及其參照號； ¨ 開發(fā)者應提供CM文檔； ¨ 開發(fā)者應使用CM系統(tǒng)。 2) 內容和形式元素： ¨ 應給TOE標注唯一參照號； ¨ CM文檔應描述用于唯一標識配置項的方法； ¨ CM系統(tǒng)應唯一標識所有配置項。 b) 評估方法 1) 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。 c) 結果判定 1) 開發(fā)者提供了TOE，并為其標注唯一參照號； 2) 開發(fā)者提供了配置管理文檔，且文檔滿足證據的內容和形式的所有要求； 3) 開發(fā)者使用了配置管理系統(tǒng)，且配置管理系統(tǒng)滿足證據的內容和形式的所有要求。 1）—3）項均滿足的為“符合”，其他情況為“不符合”。 6.4.3.2　 部分TOE CM覆蓋 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應提供TOE配置項列表。 2) 內容和形式元素： ¨ 配置項列表應包括：TOE本身、安全保障要求的評估證據和TOE的組成部分； ¨ 配置項列表應唯一標識配置項； ¨ 對于每一個TSF相關的配置項，配置項列表應簡要說明該配置項的開發(fā)者。 b) 評估方法 1) 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。 c) 結果判定 1) 開發(fā)者提供了產品配置項列表； 2) 開發(fā)者提供的產品配置項列表滿足證據的內容和形式的所有要求。 1）—2）項均滿足的為“符合”；其他情況為“不符合”。 6.4.3.3　 交付程序 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應將把TOE或其部分交付給消費者的程序文檔化； ¨ 開發(fā)者應使用交付程序。 2) 內容和形式元素： ¨ 交付文檔應描述，在向消費者分發(fā)TOE版本時，用以維護安全性所必需的所有程序。 b) 評估方法 1) 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。 c) 結果判定 1) 開發(fā)者提供了交付文檔； 2) 開發(fā)者提供的交付文檔和使用交付文檔的證據滿足證據的內容和形式的所有要求。 1）—2）項均滿足的為“符合”；其他情況為“不符合”。 6.4.4　 測試 6.4.4.1　 覆蓋證據 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應提供測試覆蓋的證據。 2) 內容和形式元素： ¨ 測試覆蓋的證據應表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對應性。 b) 評估方法 1) 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。 c) 結果判定 1) 開發(fā)者提供了測試覆蓋的相關證據； 2) 測試覆蓋的相關證據的內容滿足要求。 1）—2）項均滿足的為“符合”；其他情況為“不符合”。 6.4.4.2　 功能測試 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應測試TSF，并文檔化測試結果； ¨ 開發(fā)者應提供測試文檔。 2) 內容和形式元素： ¨ 測試文檔應包括測試計劃、預期的測試結果和實際的測試結果； ¨ 測試計劃應標識要執(zhí)行的測試并描述執(zhí)行每個測試的方案，這些方案應包括對于其他測試結果的任何順序依賴性； ¨ 預期的測試結果應指出測試成功執(zhí)行后的預期輸出； ¨ 實際的測試結果應與預期的測試結果一致。 b) 評估方法 1) 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。 c) 結果判定 1) 開發(fā)者提供了測試文檔； 2) 開發(fā)者提供的測試文檔的內容滿足證據的內容和形式的所有要求。 1）—2）項均滿足的為“符合”；其他情況為“不符合”。 6.4.4.3　 獨立測試-抽樣 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應提供用于測試的TOE。 2) 內容和形式元素： ¨ TOE應適合測試； ¨ 開發(fā)者應提供一組與開發(fā)者TSF功能測試中同等的一系列資源。 b) 評估方法 1) 評估者應確認所提供的信息滿足證據的內容和形式的所有要求； 2) 評估者應執(zhí)行測試文檔中的測試樣本，以驗證開發(fā)者的測試結果； 3) 評估者應測試TSF的一個子集以確認TSF按照規(guī)定運行。 c) 結果判定 1) 開發(fā)者提供的產品適合測試； 2) 開發(fā)者為產品測試提供了必要的資源； 3) 通過執(zhí)行測試文檔中的測試樣本，開發(fā)者測試文檔中的測試結果正確； 4) TSF能夠按照規(guī)定運行。 1）—4）項均滿足的為“符合”；其他情況為“不符合”。 6.4.5　 脆弱性評定 6.4.5.1　 脆弱性分析 a) 評估要求 1) 開發(fā)者行為元素： ¨ 開發(fā)者應提供用于測試的TOE。 2) 內容和形式元素： ¨ TOE應適合測試。 b) 評估方法 1) 評估者應確認所提供的信息滿足證據的內容和形式的所有要求； 2) 評估者應執(zhí)行公共領域的調查以標識TOE的潛在脆弱性； 3) 評估者應基于已標識的潛在脆弱性實施穿透性測試，判定TOE能抵抗具有基本攻擊潛力的攻擊者的攻擊。 c) 結果判定 1) 開發(fā)者提供了適合測試的產品； 2) 通過實施的穿透性測試確認TOE能夠抵抗具有基本攻擊潛力的攻擊者的攻擊。 1）—2）項均滿足的為“符合”；其他情況為“不符合”。 _________________________________ 22