1GB/TXXXXX—XXXX網(wǎng)絡(luò)安全技術(shù)嵌入式操作系統(tǒng)安全技術(shù)規(guī)范本文件規(guī)定了嵌入式操作系統(tǒng)的通用安全技術(shù)要求，并描述了相應(yīng)的測(cè)試評(píng)價(jià)方法。本文件適用于指導(dǎo)嵌入式操作系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試和應(yīng)用。本文件不包括部署在臺(tái)式機(jī)、筆記本電腦、工作站、服務(wù)器等上的操作系統(tǒng)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T18336（所有部分）網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則GB/T22033-2017信息技術(shù)嵌入式系統(tǒng)術(shù)語(yǔ)GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)3術(shù)語(yǔ)和定義GB/T18336、GB/T22033-2017和GB25069-2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1嵌入式系統(tǒng)embeddedsystem置入應(yīng)用對(duì)象內(nèi)部，提供信息處理或控制功能的專用計(jì)算系統(tǒng)。[來(lái)源：GB/T22033-2017，2.001，有修改]3.2嵌入式操作系統(tǒng)embeddedoperatingsystem滿足嵌入式系統(tǒng)應(yīng)用環(huán)境特殊要求的操作系統(tǒng)軟件。[來(lái)源：GB/T22033-2017，2.005]4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）MAC：介質(zhì)訪問(wèn)控制（MediaAccessControl）5概述嵌入式操作系統(tǒng)一般運(yùn)行于計(jì)算和存儲(chǔ)能力有特定要求的計(jì)算機(jī)系統(tǒng)或硬件設(shè)備上，具有專用性強(qiáng)、系統(tǒng)精簡(jiǎn)、實(shí)時(shí)性高、多任務(wù)等特點(diǎn)。嵌入式操作系統(tǒng)通常包括基礎(chǔ)功能和安全功能，基礎(chǔ)功能一般包括硬件管理模塊（驅(qū)動(dòng)、板級(jí)支持包）、計(jì)算模塊（任務(wù)管理、進(jìn)程管理）、存儲(chǔ)模塊、通信模塊、軟2GB/TXXXXX—XXXX件（系統(tǒng)軟件、應(yīng)用軟件）管理模塊、人機(jī)交互、用戶管理模塊等，安全功能一般包括網(wǎng)絡(luò)接入安全、通信安全、身份鑒別、訪問(wèn)控制等，嵌入式操作系統(tǒng)安全框架如圖1所示。嵌入式操作系統(tǒng)應(yīng)用廣泛，不同應(yīng)用場(chǎng)景功能需求差異較大，通過(guò)對(duì)嵌入式操作系統(tǒng)的裁剪與配置，實(shí)現(xiàn)不同功能組合，可滿足應(yīng)用場(chǎng)景多樣化的需求。圖1嵌入式操作系統(tǒng)安全框架嵌入式操作系統(tǒng)的安全技術(shù)要求分為安全功能要求和安全保障要求。安全功能要求包括網(wǎng)絡(luò)接入安全、通信安全、身份鑒別、訪問(wèn)控制、安全審計(jì)、安全隔離、內(nèi)存安全、客體重用、系統(tǒng)升級(jí)、應(yīng)用軟件安全、惡意代碼防范、安全啟動(dòng)、調(diào)試安全、數(shù)據(jù)安全、可靠性要求。安全保障要求包括開(kāi)發(fā)、指導(dǎo)性文檔、生命周期支持、測(cè)試和脆弱性評(píng)定。本文件安全技術(shù)要求分為基本級(jí)和增強(qiáng)級(jí)。嵌入式操作系統(tǒng)主流應(yīng)用場(chǎng)景面臨的安全威脅以及對(duì)應(yīng)可實(shí)現(xiàn)的安全功能和安全保障的強(qiáng)弱是等級(jí)劃分的依據(jù)，其中“宋體加粗”所描述的安全要求僅適用于增強(qiáng)級(jí)。嵌入式操作系統(tǒng)的主流應(yīng)用場(chǎng)景和安全技術(shù)要求及測(cè)試評(píng)價(jià)方法的等級(jí)劃分應(yīng)符合附錄A和B要求。6安全技術(shù)要求6.1安全功能要求6.1.1網(wǎng)絡(luò)接入安全6.1.1.1網(wǎng)絡(luò)接入鑒別系統(tǒng)應(yīng)支持網(wǎng)絡(luò)接入鑒別功能，具體要求如下：a）支持對(duì)終端設(shè)備進(jìn)行唯一網(wǎng)絡(luò)身份標(biāo)識(shí)的功能；b）支持對(duì)終端設(shè)備網(wǎng)絡(luò)接入的雙向身份鑒別機(jī)制。6.1.1.2網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)應(yīng)支持網(wǎng)絡(luò)訪問(wèn)控制功能，具體要求如下：a）遵循網(wǎng)絡(luò)端口最小化暴露原則，禁用業(yè)務(wù)需求以外的通信端口；b）支持設(shè)置網(wǎng)絡(luò)訪問(wèn)控制策略，防止非授權(quán)的網(wǎng)絡(luò)訪問(wèn)；c）支持對(duì)網(wǎng)絡(luò)流量進(jìn)行限制功能。6.1.2通信安全GB/TXXXXX—XXXX系統(tǒng)應(yīng)支持通信安全，具體要求如下：a）采用基于密碼技術(shù)的安全機(jī)制，保證控制指令、鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)等重要數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄裕籦）采用安全措施，如使用序列碼或時(shí)間戳等機(jī)制等，防止重放攻擊。6.1.3身份鑒別對(duì)于具有用戶登錄操作系統(tǒng)的場(chǎng)景，系統(tǒng)應(yīng)支持身份鑒別功能，具體要求如下：a）對(duì)用戶身份進(jìn)行標(biāo)識(shí)和鑒別，并確保標(biāo)識(shí)的唯一性；b）使用口令鑒別方式時(shí)，提供身份鑒別信息復(fù)雜度驗(yàn)證功能；c）提供登錄失敗處理功能，如采取限制連續(xù)登錄失敗的次數(shù)等措施；d）宜采用兩種或兩種以上的組合鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別。6.1.4訪問(wèn)控制系統(tǒng)應(yīng)支持訪問(wèn)控制功能，具體要求如下：a）在安全策略控制范圍內(nèi)，主體對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問(wèn)操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他主體；b）授權(quán)用戶或進(jìn)程完成任務(wù)所需的最小權(quán)限；c）控制范圍覆蓋所有主體、客體以及它們的操作；d）宜僅授權(quán)管理員能夠?qū)χ?、客體進(jìn)行安全標(biāo)記；e）宜根據(jù)安全標(biāo)記和強(qiáng)制訪問(wèn)控制策略，控制主體對(duì)客體的訪問(wèn)。6.1.5安全審計(jì)系統(tǒng)應(yīng)支持安全審計(jì)功能，具體要求如下：a）提供安全審計(jì)機(jī)制，記錄系統(tǒng)安全事件；b）對(duì)與嵌入式操作系統(tǒng)安全相關(guān)的以下事件進(jìn)行審計(jì)：1)用戶登錄和退出；2)增加、刪除、修改用戶賬號(hào)和口令；3)導(dǎo)入導(dǎo)出系統(tǒng)配置；4)修改系統(tǒng)關(guān)鍵配置；5)重啟和升級(jí)系統(tǒng)；6)修改系統(tǒng)時(shí)間；7)異常處理；8)非法安全操作（如賬戶鎖定、會(huì)話爆破等9)系統(tǒng)運(yùn)行時(shí)異常行為（如內(nèi)存篡改、非法提權(quán)）；10)其他系統(tǒng)安全事件。c）審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容；d）提供審計(jì)記錄查詢功能；e）提供審計(jì)記錄保護(hù)功能，避免未授權(quán)的修改、刪除或覆蓋。6.1.6安全隔離系統(tǒng)應(yīng)支持安全隔離，具體要求如下：a）支持操作系統(tǒng)程序與應(yīng)用程序的隔離；b）支持應(yīng)用程序之間的隔離；c）支持基于硬件的隔離機(jī)制；d）宜支持I/O設(shè)備的訪問(wèn)控制和隔離機(jī)制，防止非授權(quán)訪問(wèn)；GB/TXXXXX—XXXX4e）宜支持輕量級(jí)容器技術(shù)，實(shí)現(xiàn)應(yīng)用程序的運(yùn)行環(huán)境隔離。6.1.7內(nèi)存安全系統(tǒng)應(yīng)支持內(nèi)存安全，具體要求如下：a）支持進(jìn)程之間的內(nèi)存隔離；b）提供堆棧溢出檢測(cè)和保護(hù)機(jī)制，避免堆棧溢出后破壞系統(tǒng)其他內(nèi)存區(qū)域數(shù)據(jù)。6.1.8客體重用系統(tǒng)應(yīng)支持客體重用，具體要求如下：a）在主體活動(dòng)結(jié)束后，主體占用的存儲(chǔ)客體中的信息不能被另一個(gè)主體使用；b）對(duì)客體初始指定、分配或再分配一個(gè)主體之前，撤銷(xiāo)該客體所含信息的所有授權(quán)；c）當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體訪問(wèn)權(quán)時(shí)，當(dāng)前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。6.1.9系統(tǒng)升級(jí)系統(tǒng)應(yīng)支持更新升級(jí)功能，具體要求如下：a）支持操作系統(tǒng)更新升級(jí)機(jī)制，只有授權(quán)的操作系統(tǒng)版本才能更新；b）升級(jí)時(shí)，對(duì)更新文件的來(lái)源和完整性進(jìn)行校驗(yàn)；c）升級(jí)前后系統(tǒng)安全配置保持一致；d）在升級(jí)失敗時(shí)，支持版本回滾，并保證系統(tǒng)完整性，且配置與更新升級(jí)前或出廠時(shí)一致；e）采取安全措施，對(duì)超級(jí)用戶權(quán)限進(jìn)行管控，保證安全更新。6.1.10應(yīng)用軟件安全對(duì)于支持應(yīng)用軟件安裝的場(chǎng)景，系統(tǒng)應(yīng)支持應(yīng)用軟件安全，具體要求如下：a）對(duì)應(yīng)用軟件的安裝、卸載進(jìn)行以下安全規(guī)范：1)支持用戶對(duì)應(yīng)用軟件安裝的授權(quán)或禁止；2)支持應(yīng)用軟件白名單等安全標(biāo)識(shí)機(jī)制，并宜對(duì)標(biāo)識(shí)的應(yīng)用軟件納入到強(qiáng)制訪問(wèn)控制機(jī)制范圍；3)支持應(yīng)用軟件更新包來(lái)源真實(shí)性驗(yàn)證，更新前完整性校驗(yàn)；4)在應(yīng)用軟件卸載時(shí)刪除由其生成的資源文件、配置文件和用戶數(shù)據(jù)。b）支持用戶對(duì)應(yīng)用軟件使用的終端資源（包含通信資源和外設(shè)接口）和終端數(shù)據(jù)進(jìn)行確認(rèn)。6.1.11惡意代碼防范系統(tǒng)應(yīng)支持惡意代碼防范功能，具體要求如下：a）系統(tǒng)不應(yīng)存在已公布超過(guò)6個(gè)月的漏洞，或具備補(bǔ)救措施防范漏洞安全風(fēng)險(xiǎn)；b）系統(tǒng)支持安裝惡意代碼防護(hù)軟件，并定期進(jìn)行升級(jí)和更新。6.1.12安全啟動(dòng)系統(tǒng)應(yīng)支持安全啟動(dòng)機(jī)制，具體要求如下：a）操作系統(tǒng)啟動(dòng)時(shí)對(duì)操作系統(tǒng)內(nèi)核、可執(zhí)行程序等進(jìn)行完整性度量；b）對(duì)完整性度量基準(zhǔn)值進(jìn)行安全存儲(chǔ)，防止其被篡改；c）宜支持硬件可信根，并基于可信根實(shí)現(xiàn)系統(tǒng)的可信啟動(dòng)。6.1.13調(diào)試安全具體要求如下：a）設(shè)備出廠后應(yīng)禁用系統(tǒng)調(diào)試接口；b）系統(tǒng)應(yīng)采取安全措施，防止動(dòng)態(tài)加載或卸載內(nèi)核模塊。GB/TXXXXX—XXXX6.1.14數(shù)據(jù)安全6.1.14.1數(shù)據(jù)完整性系統(tǒng)應(yīng)支持?jǐn)?shù)據(jù)完整性功能，具體要求如下：a）對(duì)存儲(chǔ)的重要數(shù)據(jù)（如鑒別數(shù)據(jù)、密鑰數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)等）進(jìn)行完整性校驗(yàn)；b）在檢測(cè)到完整性錯(cuò)誤時(shí)采用必要的恢復(fù)措施。6.1.14.2數(shù)據(jù)可用性系統(tǒng)應(yīng)支持?jǐn)?shù)據(jù)可用性功能，具體要求如下：a）支持對(duì)重要數(shù)據(jù)（如保證系統(tǒng)正常運(yùn)行的基本數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)等）進(jìn)行備份；b）支持?jǐn)?shù)據(jù)丟失防護(hù)機(jī)制，檢測(cè)到系統(tǒng)存儲(chǔ)空間即將耗盡時(shí)，能夠采取必要的措施（如告警、開(kāi)辟臨時(shí)存儲(chǔ)區(qū)域等），防止數(shù)據(jù)丟失。6.1.14.3數(shù)據(jù)保密性系統(tǒng)應(yīng)支持?jǐn)?shù)據(jù)保密性功能，具體要求如下：a）對(duì)鑒別數(shù)據(jù)、密鑰數(shù)據(jù)、重要系統(tǒng)配置數(shù)據(jù)等進(jìn)行加密存儲(chǔ)保護(hù)；b）應(yīng)對(duì)重要業(yè)務(wù)數(shù)據(jù)進(jìn)行加密存儲(chǔ)保護(hù)。6.1.15可靠性要求6.1.15.1資源限制系統(tǒng)應(yīng)提供資源使用的檢測(cè)和控制機(jī)制，防止應(yīng)用程序因邏輯錯(cuò)誤或惡意行為無(wú)限制消耗資源。6.1.15.2失效保護(hù)系統(tǒng)應(yīng)能夠自檢出已定義的系統(tǒng)故障，并提供對(duì)應(yīng)的保護(hù)措施，避免系統(tǒng)因故障處于失效狀態(tài)。6.1.15.3可靠時(shí)鐘系統(tǒng)應(yīng)提供手工設(shè)定系統(tǒng)時(shí)鐘或遠(yuǎn)程時(shí)鐘服務(wù)自動(dòng)時(shí)鐘同步等系統(tǒng)時(shí)鐘設(shè)置功能。6.2安全保障要求6.2.1開(kāi)發(fā)6.2.1.1安全架構(gòu)開(kāi)發(fā)者應(yīng)提供嵌入式操作系統(tǒng)安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：a)與系統(tǒng)設(shè)計(jì)文檔中對(duì)安全功能實(shí)施抽象描述的級(jí)別一致；b)描述與安全功能要求一致的嵌入式操作系統(tǒng)安全功能的安全域；c)描述嵌入式操作系統(tǒng)安全功能初始化過(guò)程為何是安全的；d)證實(shí)嵌入式操作系統(tǒng)安全功能能夠防止被破壞；e)證實(shí)嵌入式操作系統(tǒng)安全功能能夠防止安全特性被旁路。6.2.1.2功能規(guī)范開(kāi)發(fā)者應(yīng)提供系統(tǒng)功能規(guī)范說(shuō)明，功能規(guī)范說(shuō)明應(yīng)滿足以下要求：a)描述嵌入式操作系統(tǒng)的安全功能；b)描述所有安全功能接口的目的與使用方法；c)標(biāo)識(shí)和描述每個(gè)安全功能接口相關(guān)的所有參數(shù)；d)描述安全功能接口相關(guān)的安全功能實(shí)施行為；e)描述由安全功能實(shí)施行為處理而引起的直接錯(cuò)誤消息；GB/TXXXXX—XXXX6f)證實(shí)安全功能要求到安全功能接口的追溯。6.2.1.3實(shí)現(xiàn)表示開(kāi)發(fā)者應(yīng)為全部安全功能提供實(shí)現(xiàn)表示，應(yīng)滿足以下要求：a)實(shí)現(xiàn)表示應(yīng)按詳細(xì)級(jí)別定義系統(tǒng)安全功能，且詳細(xì)程度達(dá)到無(wú)須進(jìn)一步設(shè)計(jì)就能生成系統(tǒng)安全功能的程度；b)實(shí)現(xiàn)表示應(yīng)以開(kāi)發(fā)人員使用的形式提供；c)設(shè)計(jì)描述與實(shí)現(xiàn)表示示例之間的映射應(yīng)能證明它們的一致性。6.2.1.4系統(tǒng)設(shè)計(jì)開(kāi)發(fā)者應(yīng)提供系統(tǒng)設(shè)計(jì)文檔，系統(tǒng)設(shè)計(jì)文檔應(yīng)滿足以下要求：a)根據(jù)子系統(tǒng)描述嵌入式操作系統(tǒng)結(jié)構(gòu)；b)根據(jù)模塊描述嵌入式操作系統(tǒng)安全功能；c)標(biāo)識(shí)和描述嵌入式操作系統(tǒng)安全功能的所有子系統(tǒng)；d)描述安全功能所有子系統(tǒng)間的相互作用；e)提供的映射關(guān)系能夠證實(shí)設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的安全功能接口；f)根據(jù)模塊描述安全功能；g)提供安全功能子系統(tǒng)到模塊間的映射關(guān)系；h)描述所有安全功能實(shí)現(xiàn)模塊，包括其目的及與其他模塊間的相互作用；i)描述所有實(shí)現(xiàn)模塊的安全功能要求相關(guān)接口、其他接口的返回值、與其他模塊間的相互作用及調(diào)用的接口；j)描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其他模塊間的相互作用。6.2.2指導(dǎo)性文檔6.2.2.1操作用戶指南開(kāi)發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評(píng)估而提供的其他所有文檔保持一致，對(duì)每一種用戶角色的描述應(yīng)滿足以下要求：a)描述在安全處理環(huán)境中被控制的用戶可訪問(wèn)的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；b)描述如何以安全的方式使用嵌入式操作系統(tǒng)提供的可用接口；c)描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)指明安全值；d)明確說(shuō)明與需要執(zhí)行的用戶可訪問(wèn)功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制實(shí)體的安全特性；e)標(biāo)識(shí)嵌入式操作系統(tǒng)運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤以及它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系；f)充分實(shí)現(xiàn)安全目的所必須執(zhí)行的安全策略。6.2.2.2準(zhǔn)備程序開(kāi)發(fā)者應(yīng)提供嵌入式操作系統(tǒng)及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：a)描述與開(kāi)發(fā)者交付程序相一致的安全接收所交付嵌入式操作系統(tǒng)必需的所有步驟；b)描述安全安裝嵌入式操作系統(tǒng)及其運(yùn)行環(huán)境必需的所有步驟。6.2.3生命周期支持6.2.3.1配置管理能力開(kāi)發(fā)者的配置管理能力應(yīng)滿足以下要求：a)為系統(tǒng)的不同版本提供唯一的標(biāo)識(shí)；GB/TXXXXX—XXXXb)使用配置管理系統(tǒng)對(duì)組成系統(tǒng)的所有配置項(xiàng)進(jìn)行維護(hù)，并唯一標(biāo)識(shí)配置項(xiàng)；c)提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法；d)配置管理系統(tǒng)提供一種自動(dòng)方式來(lái)支持系統(tǒng)的生產(chǎn)，通過(guò)該方式確保只能對(duì)系統(tǒng)的實(shí)現(xiàn)表示進(jìn)行已授權(quán)的改變；e)配置管理文檔包括一個(gè)配置管理計(jì)劃，配置管理計(jì)劃描述如何使用配置管理系統(tǒng)開(kāi)發(fā)系統(tǒng)；f)配置管理計(jì)劃描述用來(lái)接受修改過(guò)的或新建的作為系統(tǒng)組成部分的配置項(xiàng)的程序；g)實(shí)施的配置管理與配置管理計(jì)劃相一致。6.2.3.2配置管理范圍開(kāi)發(fā)者應(yīng)提供嵌入式操作系統(tǒng)配置項(xiàng)列表，配置項(xiàng)列表應(yīng)滿足以下要求：a)包括系統(tǒng)、安全保障要求的評(píng)估證據(jù)和系統(tǒng)的組成部分；b)實(shí)現(xiàn)表示、安全缺陷報(bào)告及其解決狀態(tài)；6.2.3.3交付程序開(kāi)發(fā)者應(yīng)使用一定的交付程序交付嵌入式操作系統(tǒng)，并將交付過(guò)程文檔化。在給用戶方交付嵌入式操作系統(tǒng)的各版本時(shí)，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。6.2.3.4開(kāi)發(fā)安全開(kāi)發(fā)者應(yīng)提供開(kāi)發(fā)安全文檔，開(kāi)發(fā)安全文檔應(yīng)描述在系統(tǒng)的開(kāi)發(fā)環(huán)境中，為保護(hù)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。6.2.3.5生命周期定義開(kāi)發(fā)者應(yīng)建立一個(gè)生命周期模型對(duì)系統(tǒng)的開(kāi)發(fā)和維護(hù)進(jìn)行的必要控制，并提供生命周期定義文檔描述用于開(kāi)發(fā)和維護(hù)系統(tǒng)的模型。6.2.3.6工具和技術(shù)開(kāi)發(fā)者應(yīng)明確定義用于開(kāi)發(fā)系統(tǒng)的工具，并提供開(kāi)發(fā)工具文檔無(wú)歧義地定義實(shí)現(xiàn)中每個(gè)語(yǔ)句的含義和所有依賴于實(shí)現(xiàn)的選項(xiàng)的含義。6.2.4測(cè)試6.2.4.1覆蓋證據(jù)開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋描述應(yīng)表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的嵌入式操作系統(tǒng)的安全功能間的對(duì)應(yīng)性。6.2.4.2覆蓋分析開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋描述應(yīng)滿足以下要求：a)表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的系統(tǒng)的安全功能接口間的對(duì)應(yīng)性；b)表明上述對(duì)應(yīng)性是完備的，并證實(shí)功能規(guī)范中的所有安全功能接口都進(jìn)行了測(cè)試。6.2.4.3深度分析開(kāi)發(fā)者應(yīng)提供測(cè)試深度分析，測(cè)試深度分析應(yīng)滿足以下要求：a)論證測(cè)試文檔中的測(cè)試與系統(tǒng)設(shè)計(jì)中的嵌入式操作系統(tǒng)安全功能子系統(tǒng)、安全功能要求-執(zhí)行模塊之間的一致性；b)論證系統(tǒng)設(shè)計(jì)中的所有嵌入式操作系統(tǒng)安全功能子系統(tǒng)都已經(jīng)進(jìn)行過(guò)測(cè)試；c)論證系統(tǒng)設(shè)計(jì)中的安全功能要求-執(zhí)行模塊都已經(jīng)進(jìn)行過(guò)測(cè)試。GB/TXXXXX—XXXX86.2.4.4功能測(cè)試開(kāi)發(fā)者應(yīng)測(cè)試嵌入式操作系統(tǒng)安全功能，將結(jié)果文檔化并提供測(cè)試文檔。測(cè)試文檔應(yīng)包括以下內(nèi)容：a)測(cè)試計(jì)劃，標(biāo)識(shí)要執(zhí)行的測(cè)試，并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案包括對(duì)于其它測(cè)試結(jié)果的任何順序依賴性；b)預(yù)期的測(cè)試結(jié)果，表明測(cè)試成功后的預(yù)期輸出；c)實(shí)際測(cè)試結(jié)果和預(yù)期的測(cè)試結(jié)果一致。6.2.4.5獨(dú)立測(cè)試開(kāi)發(fā)者應(yīng)提供一組與其自測(cè)安全功能時(shí)使用的同等資源，以用于安全功能的抽樣測(cè)試。6.2.5脆弱性評(píng)定6.2.5.1基本級(jí)脆弱性分析基于已標(biāo)識(shí)的潛在脆弱性，嵌入式操作系統(tǒng)能夠抵抗具有基本攻擊潛力攻擊者的攻擊。6.2.5.2增強(qiáng)級(jí)脆弱性分析基于已標(biāo)識(shí)的潛在脆弱性，嵌入式操作系統(tǒng)能夠抵抗具有增強(qiáng)型攻擊潛力攻擊者的攻擊。7測(cè)試評(píng)價(jià)方法7.1安全功能測(cè)試7.1.1網(wǎng)絡(luò)接入安全7.1.1.1網(wǎng)絡(luò)接入鑒別網(wǎng)絡(luò)接入鑒別的測(cè)試評(píng)價(jià)方法和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)查看終端設(shè)備是否具備網(wǎng)絡(luò)身份標(biāo)識(shí)，查看其標(biāo)識(shí)是否具有唯一性，系統(tǒng)是否支持終端設(shè)備的網(wǎng)絡(luò)身份標(biāo)識(shí)功能；2)將終端設(shè)備與網(wǎng)絡(luò)連接，抓包查看采用的身份鑒別機(jī)制，檢查終端設(shè)備嵌入式操作系統(tǒng)側(cè)是否支持使用基于標(biāo)識(shí)或密碼技術(shù)的鑒別技術(shù)對(duì)平臺(tái)側(cè)進(jìn)行鑒別，并確認(rèn)終端設(shè)備是否提供憑證才能成功接入平臺(tái)網(wǎng)絡(luò)。b）預(yù)期結(jié)果：1)支持對(duì)終端設(shè)備進(jìn)行網(wǎng)絡(luò)身份標(biāo)識(shí)功能，且其標(biāo)識(shí)唯一；2)支持對(duì)終端設(shè)備在網(wǎng)絡(luò)接入時(shí)的雙向身份鑒別機(jī)制。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.1.2網(wǎng)絡(luò)訪問(wèn)控制網(wǎng)絡(luò)訪問(wèn)控制的測(cè)試評(píng)價(jià)方法和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)查看系統(tǒng)設(shè)計(jì)文檔，是否明確支持網(wǎng)絡(luò)端口最小化暴露原則，端口掃描工具驗(yàn)證是否禁用閑置的通信或服務(wù)端口；2)查看系統(tǒng)設(shè)計(jì)文檔，是否實(shí)現(xiàn)了基于網(wǎng)絡(luò)訪問(wèn)控制策略的網(wǎng)絡(luò)訪問(wèn)控制機(jī)制，如基于IP地址、MAC地址、端口或協(xié)議相關(guān)策略，配置對(duì)應(yīng)的策略，逐一操作驗(yàn)證網(wǎng)絡(luò)訪問(wèn)控制功能是否有效，是否只有符合策略的進(jìn)程才能訪問(wèn)系統(tǒng)所在的終端設(shè)備以及是否只有符合GB/TXXXXX—XXXX策略的數(shù)據(jù)報(bào)文才能訪問(wèn)系統(tǒng)所在設(shè)備，并驗(yàn)證操作效果是否與設(shè)計(jì)要求保持一致；3)查看是否支持網(wǎng)絡(luò)流量限制的能力，如是否具備防御網(wǎng)絡(luò)流量攻擊能力。b）預(yù)期結(jié)果：1)文檔中明確了支持網(wǎng)絡(luò)端口最小化暴露原則，工具驗(yàn)證已禁用閑置通信或服務(wù)端口；2)支持基于IP地址、MAC地址、端口和協(xié)議等策略的網(wǎng)絡(luò)訪問(wèn)控制功能，可以針對(duì)IP地址、MAC地址、端口或協(xié)議等策略進(jìn)行配置；3)支持網(wǎng)絡(luò)流量限制的能力。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.2通信安全通信安全的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)查看系統(tǒng)設(shè)計(jì)等文檔，明確文檔是否對(duì)操作系統(tǒng)執(zhí)行控制指令、管理數(shù)據(jù)、隱私數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)等重要數(shù)據(jù)傳輸?shù)耐暾赃M(jìn)行了要求，同時(shí)利用抓包分析工具實(shí)施驗(yàn)證；2)查看系統(tǒng)設(shè)計(jì)等文檔，明確文檔是否對(duì)操作系統(tǒng)執(zhí)行控制指令、管理數(shù)據(jù)、隱私數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)等重要數(shù)據(jù)傳輸保密性進(jìn)行了要求，同時(shí)利用抓包分析工具實(shí)施驗(yàn)證；3)查看系統(tǒng)設(shè)計(jì)文檔，抓包工具驗(yàn)證查看操作系統(tǒng)在執(zhí)行數(shù)據(jù)傳輸時(shí)是否采用抗重放攻擊機(jī)制，如使用序列碼或時(shí)間戳等機(jī)制。b）預(yù)期結(jié)果：1)傳輸時(shí)，系統(tǒng)采取了基于密碼機(jī)制，對(duì)重要數(shù)據(jù)進(jìn)行了完整性和保密性保護(hù)，能夠防止攻擊者偽造、篡改信息；2)數(shù)據(jù)傳輸時(shí)采用了抗重放機(jī)制。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.3身份鑒別身份鑒別的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)對(duì)于具有登錄操作系統(tǒng)場(chǎng)景的終端設(shè)備，操作驗(yàn)證用戶進(jìn)行本地登錄鑒別，用戶身份是否進(jìn)行了標(biāo)識(shí)，并具有唯一性；2)使用口令鑒別方式時(shí)，檢查是否提供身份鑒別信息復(fù)雜度驗(yàn)證功能；3)查看系統(tǒng)設(shè)計(jì)文檔，是否對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)應(yīng)采取的措施來(lái)實(shí)現(xiàn)鑒別失敗的處理；4)操作驗(yàn)證是否采用口令、令牌、基于生物特征、數(shù)字證書(shū)以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別。b）預(yù)期結(jié)果：1)對(duì)用戶身份進(jìn)行了標(biāo)識(shí)和鑒別，能確保其在系統(tǒng)整個(gè)生存周期內(nèi)的唯一性；2)使用口令鑒別方式時(shí)，提供身份鑒別信息復(fù)雜度驗(yàn)證功能；3)在達(dá)到不成功的鑒別嘗試值時(shí)能采取措施來(lái)實(shí)現(xiàn)鑒別失敗的處理；4)在每次用戶登錄系統(tǒng)時(shí)，宜采用受安全管理中心控制的口令、令牌、基于生物特征、數(shù)字證書(shū)以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。GB/TXXXXX—XXXX7.1.4訪問(wèn)控制訪問(wèn)控制的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下a）測(cè)試評(píng)價(jià)方法：1)操作驗(yàn)證用戶對(duì)其創(chuàng)建的客體是否具有相應(yīng)的訪問(wèn)操作權(quán)限，是否能將這些權(quán)限的部分或全部授予其他用戶；2)查看系統(tǒng)設(shè)計(jì)文檔，并驗(yàn)證是否授權(quán)用戶或進(jìn)程完成任務(wù)所需的最小權(quán)限；3)操作驗(yàn)證控制范圍覆蓋所有主體、客體以及它們的操作；4)操作驗(yàn)證是否僅授權(quán)管理員能夠?qū)χ?、客體進(jìn)行安全標(biāo)記；5)查看系統(tǒng)設(shè)計(jì)文檔，并操作驗(yàn)證系統(tǒng)是否能夠根據(jù)安全標(biāo)記和強(qiáng)制訪問(wèn)控制規(guī)則，控制主體對(duì)確定客體的訪問(wèn)操作。b）預(yù)期結(jié)果：1)用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問(wèn)操作權(quán)限，能將這些權(quán)限的部分或全部授予其他用戶；2)授權(quán)用戶或進(jìn)程完成任務(wù)所需的最小權(quán)限；3)控制范圍覆蓋所有主體、客體以及它們的操作；4)宜僅允許授權(quán)管理員能夠?qū)χ鳌⒖腕w進(jìn)行安全標(biāo)記；5)宜根據(jù)安全標(biāo)記和強(qiáng)制訪問(wèn)控制規(guī)則，對(duì)確定主體訪問(wèn)客體的操作進(jìn)行控制。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.5安全審計(jì)安全審計(jì)的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下a）測(cè)試評(píng)價(jià)方法：1)查看驗(yàn)證是否能夠提供安全審計(jì)機(jī)制，記錄系統(tǒng)的相關(guān)安全事件。2)登錄系統(tǒng)，查看系統(tǒng)審計(jì)內(nèi)容是否包含以下審計(jì)日志：l用戶登錄和退出；l增加、刪除、修改用戶賬號(hào)和口令；l導(dǎo)入導(dǎo)出系統(tǒng)配置；l修改系統(tǒng)關(guān)鍵配置；l重啟和升級(jí)系統(tǒng)；l修改系統(tǒng)時(shí)間；l異常處理；l非法安全操作（如賬戶鎖定、會(huì)話爆破等）；l系統(tǒng)運(yùn)行時(shí)異常行為（如內(nèi)存篡改、非法提權(quán)l(xiāng)其他系統(tǒng)安全事件。3)查看驗(yàn)證審計(jì)記錄是否包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容；4)查看驗(yàn)證是否能夠提供審計(jì)記錄查詢；5)登錄系統(tǒng)驗(yàn)證審計(jì)記錄是否具有防篡改、破壞、覆蓋或非授權(quán)訪問(wèn)的機(jī)制，是否具有轉(zhuǎn)存審計(jì)記錄的功能等。b）預(yù)期結(jié)果：1)能夠提供安全審計(jì)機(jī)制，記錄系統(tǒng)的相關(guān)安全事件。2)能夠?qū)σ韵聦徲?jì)內(nèi)容進(jìn)行記錄：l用戶登錄和退出；l增加、刪除、修改用戶賬號(hào)和口令；GB/TXXXXX—XXXXl導(dǎo)入導(dǎo)出系統(tǒng)配置；l修改系統(tǒng)關(guān)鍵配置；l重啟和升級(jí)設(shè)備；l修改系統(tǒng)時(shí)間；l異常處理；l非法安全操作（如賬戶鎖定、會(huì)話爆破等）；l系統(tǒng)運(yùn)行時(shí)異常行為（如內(nèi)存篡改、非法提權(quán)l(xiāng)其他系統(tǒng)安全事件。3)審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容；4)能夠提供審計(jì)記錄查詢功能；5)系統(tǒng)審計(jì)具有防篡改、破壞、覆蓋或非授權(quán)訪問(wèn)的功能；c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.6安全隔離安全隔離的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下a）測(cè)試評(píng)價(jià)方法：1)查看系統(tǒng)設(shè)計(jì)文檔，明確是否明確相關(guān)隔離機(jī)制，并操作驗(yàn)證用戶態(tài)進(jìn)程是否可以對(duì)內(nèi)核態(tài)進(jìn)程所屬內(nèi)存空間進(jìn)行訪問(wèn)，查看訪問(wèn)失敗、成功情況；2)登錄系統(tǒng)命令行，驗(yàn)證在用戶模式下運(yùn)行的應(yīng)用進(jìn)程是否可以對(duì)其他用戶模式下的應(yīng)用進(jìn)程所屬存儲(chǔ)空間中的數(shù)據(jù)資源進(jìn)行讀、寫(xiě)等訪問(wèn)操作。3)查看系統(tǒng)說(shuō)明文檔，明確是否能夠提供基于硬件隔離機(jī)制，是否將系統(tǒng)分為可信域和非可信域，關(guān)鍵內(nèi)容是否運(yùn)行在可信域。4)查看系統(tǒng)說(shuō)明文檔，明確是否支持I/O設(shè)備訪問(wèn)控制和隔離機(jī)制，并使用工具操作驗(yàn)證。5)查看系統(tǒng)說(shuō)明文檔，明確是否支持輕量級(jí)容器技術(shù)，并配置容器環(huán)境，操作驗(yàn)證不同容器中應(yīng)用進(jìn)程間的讀寫(xiě)互操作；b）預(yù)期結(jié)果：1)能夠?qū)⒉僮飨到y(tǒng)程序與用戶程序進(jìn)行隔離；2)在用戶模式下運(yùn)行的應(yīng)用進(jìn)程能夠?qū)ζ渌脩裟Ｊ较碌膽?yīng)用進(jìn)程所屬存儲(chǔ)空間中的數(shù)據(jù)資源進(jìn)行讀、寫(xiě)等訪問(wèn)操作。3)能夠提供基于硬件隔離機(jī)制，系統(tǒng)分為可信域和非可信域，關(guān)鍵內(nèi)容運(yùn)行在可信域。4)能夠支持I/O設(shè)備訪問(wèn)控制和隔離機(jī)制。5)能否支持輕量級(jí)容器技術(shù)，禁止不同容器中應(yīng)用進(jìn)程間的讀寫(xiě)等訪問(wèn)操作；c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.7內(nèi)存安全內(nèi)存安全的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)查看系統(tǒng)設(shè)計(jì)文檔和查閱實(shí)現(xiàn)代碼，檢查是否為搭載支持虛擬內(nèi)存管理或內(nèi)存保護(hù)機(jī)制的處理器的系統(tǒng)，檢查系統(tǒng)是否利用這些硬件特性實(shí)現(xiàn)存儲(chǔ)空間的有效隔離與保護(hù)，驗(yàn)證系統(tǒng)是否針對(duì)用戶態(tài)進(jìn)程之間、用戶態(tài)進(jìn)程與內(nèi)核態(tài)進(jìn)程之間的內(nèi)存隔離；2)查看并驗(yàn)證是否支持堆棧溢出檢測(cè)和保護(hù)功能，登錄系統(tǒng)，使用命令查看程序的棧保護(hù)機(jī)制開(kāi)啟情況；GB/TXXXXX—XXXXb）預(yù)期結(jié)果：1)能夠支持進(jìn)程之間的內(nèi)存隔離；2)能夠支持內(nèi)存泄漏檢測(cè)和保護(hù)功能。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.8客體重用客體重用的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)登錄系統(tǒng)，使用命令查看是否具有針對(duì)不同主體存儲(chǔ)信息的保護(hù)機(jī)制，即一個(gè)主體在內(nèi)存中存儲(chǔ)的信息不能被另外一個(gè)主體所訪問(wèn)。2)查看系統(tǒng)設(shè)計(jì)文檔，明確客體被初次分配或再次分配前，該客體所含信息的所有授權(quán)是否被撤銷(xiāo)。3)查看系統(tǒng)設(shè)計(jì)文檔和翻閱實(shí)現(xiàn)代碼，是否對(duì)已釋放客體進(jìn)行殘余信息擦除。b）預(yù)期結(jié)果：1)登錄系統(tǒng)，使用命令查看是否具有對(duì)不同主體存儲(chǔ)信息的保護(hù)機(jī)制，即一個(gè)主體在內(nèi)存中存儲(chǔ)的信息不能被另外一個(gè)主體所訪問(wèn)。2)查看系統(tǒng)設(shè)計(jì)文檔，明確客體被初次分配或再次分配前，該客體所含信息的所有授權(quán)是否被撤銷(xiāo)。3)查看系統(tǒng)設(shè)計(jì)文檔和查看實(shí)現(xiàn)代碼，是否對(duì)已釋放客體進(jìn)行殘余信息擦除。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.9系統(tǒng)升級(jí)系統(tǒng)升級(jí)的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)查看系統(tǒng)設(shè)計(jì)文檔，明確是否支持操作系統(tǒng)的更新升級(jí)；配置環(huán)境，實(shí)施升級(jí)過(guò)程，驗(yàn)證未經(jīng)授權(quán)的操作系統(tǒng)版本能否進(jìn)行升級(jí)更新；2)查看系統(tǒng)設(shè)計(jì)文檔，明確是否支持檢驗(yàn)更新文件來(lái)源和完整性的功能；配置環(huán)境并實(shí)施升級(jí)，驗(yàn)證被破壞的更新文件能否進(jìn)行升級(jí)成功；3)配置環(huán)境并實(shí)施升級(jí)，并驗(yàn)證升級(jí)前后的系統(tǒng)安全配置是否保持一致；4)配置環(huán)境并實(shí)施升級(jí)，驗(yàn)證升級(jí)失敗時(shí)系統(tǒng)能否進(jìn)行回滾，并保持系統(tǒng)完整性，且安全配置與更新升級(jí)前或出廠時(shí)一致；5)查看驗(yàn)證是否具有至少一種安全機(jī)制，嚴(yán)格控制超級(jí)用戶權(quán)限，保證更新升級(jí)的時(shí)安全b）預(yù)期結(jié)果：1)能夠支持操作系統(tǒng)的更新升級(jí)，未經(jīng)授權(quán)的操作系統(tǒng)版本不能夠進(jìn)行升級(jí)更新；2)能夠支持檢驗(yàn)更新文件來(lái)源和完整性的功能，對(duì)于來(lái)源錯(cuò)誤或破壞的更新文件，文件的完整性和來(lái)源校驗(yàn)不通過(guò)，升級(jí)失?。?)實(shí)施升級(jí)前后的系統(tǒng)安全配置能夠保持一致；4)驗(yàn)證升級(jí)失敗時(shí)系統(tǒng)能夠進(jìn)行回滾保護(hù)，并保持系統(tǒng)完整性，且安全配置與更新升級(jí)前或出廠時(shí)一致；5)具有嚴(yán)格控制超級(jí)用戶權(quán)限、保證更新安全的機(jī)制。c）結(jié)果判定：GB/TXXXXX—XXXX實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.10應(yīng)用軟件安全應(yīng)用軟件安全的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)查看并驗(yàn)證對(duì)應(yīng)用軟件的安裝、卸載是否遵循以下安全規(guī)范：l支持用戶對(duì)應(yīng)用軟件安裝的授權(quán)或禁止；l支持應(yīng)用軟件白名單等安全標(biāo)識(shí)機(jī)制，若標(biāo)識(shí)的應(yīng)用軟件納入到強(qiáng)制訪問(wèn)控制機(jī)制范圍，則進(jìn)行強(qiáng)制訪問(wèn)控制機(jī)制驗(yàn)證；l支持應(yīng)用軟件更新包來(lái)源真實(shí)性驗(yàn)證，更新前完整性校驗(yàn)；l在應(yīng)用軟件卸載時(shí)刪除由其生成的資源文件、配置文件和用戶數(shù)據(jù)。2)查看并驗(yàn)證是否支持用戶對(duì)應(yīng)用軟件使用的終端資源（包含通信資源和外設(shè)接口）和終端數(shù)據(jù)進(jìn)行確認(rèn)；b）預(yù)期結(jié)果：1)能夠?qū)?yīng)用軟件的安裝、卸載進(jìn)行如下安全規(guī)范：l支持用戶對(duì)應(yīng)用軟件安裝的授權(quán)或禁止；l支持應(yīng)用軟件白名單等安全標(biāo)識(shí)機(jī)制；l支持應(yīng)用軟件更新包來(lái)源真實(shí)性驗(yàn)證，更新前完整性校驗(yàn)；l在應(yīng)用軟件卸載時(shí)刪除由其生成的資源文件、配置文件和用戶數(shù)據(jù)。2)能夠支持用戶對(duì)應(yīng)用軟件使用的終端資源（包含通信資源和外設(shè)接口）和終端數(shù)據(jù)進(jìn)行確認(rèn)；c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.11惡意代碼防范惡意代碼防范的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)使用漏洞掃描工具對(duì)系統(tǒng)進(jìn)行掃描，檢查是否不存在已公布超過(guò)6個(gè)月的漏洞，或具備補(bǔ)救措施防范漏洞安全風(fēng)險(xiǎn)；2)查看系統(tǒng)設(shè)計(jì)文檔，使用端口掃描工具對(duì)系統(tǒng)進(jìn)行掃描，檢查是否不存在未聲明的功能和訪問(wèn)接口；檢查系統(tǒng)是否關(guān)閉相關(guān)調(diào)試功能或接口，嘗試對(duì)內(nèi)核進(jìn)行編譯調(diào)試，是否禁用了對(duì)內(nèi)核調(diào)試的相關(guān)命令或功能等；3)查看系統(tǒng)設(shè)計(jì)文檔，明確是否支持安裝惡意代碼防護(hù)軟件等，并驗(yàn)證其有效性，檢查是否能夠定期進(jìn)行升級(jí)和更新。b）預(yù)期結(jié)果：1)系統(tǒng)不存在已公布的漏洞，或具備補(bǔ)救措施防范漏洞安全風(fēng)險(xiǎn)；2)系統(tǒng)不存在未聲明的功能和訪問(wèn)接口（含調(diào)試接口）；3)系統(tǒng)支持安裝惡意代碼防護(hù)軟件，并支持定期進(jìn)行升級(jí)和更新。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.12安全啟動(dòng)安全啟動(dòng)的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)查看系統(tǒng)設(shè)計(jì)文檔并驗(yàn)證在系統(tǒng)啟動(dòng)時(shí)是否具有對(duì)操作系統(tǒng)內(nèi)核進(jìn)行完整性度量的機(jī)制；GB/TXXXXX—XXXX2)查看系統(tǒng)設(shè)計(jì)文檔，是否在在可執(zhí)行程序啟動(dòng)時(shí)應(yīng)進(jìn)行完整性度量；3)查看系統(tǒng)設(shè)計(jì)文檔，完整性度量基準(zhǔn)值是否進(jìn)行了安全存儲(chǔ)；4)查看系統(tǒng)設(shè)計(jì)文檔并驗(yàn)證是否支持硬件可信根，并基于可信根實(shí)現(xiàn)可信驗(yàn)證機(jī)制。b）預(yù)期結(jié)果：1)具有對(duì)操作系統(tǒng)內(nèi)核、可執(zhí)行程序進(jìn)行完整性度量的機(jī)制；2)完整性度量基準(zhǔn)值進(jìn)行了安全存儲(chǔ)；3)宜支持硬件可信根，并基于可信根實(shí)現(xiàn)可信驗(yàn)證機(jī)制。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.13調(diào)試安全調(diào)試安全的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)查看系統(tǒng)設(shè)計(jì)文檔，查閱設(shè)備出廠后是否對(duì)調(diào)試接口禁用情況及措施進(jìn)行描述，使用端口掃描工具對(duì)系統(tǒng)進(jìn)行掃描，檢查是否存在調(diào)試接口（含遠(yuǎn)程檢查系統(tǒng)是否關(guān)閉相關(guān)調(diào)試功能或接口，嘗試對(duì)內(nèi)核進(jìn)行編譯調(diào)試，是否禁用了對(duì)內(nèi)核調(diào)試的相關(guān)命令或功能等；2)查看系統(tǒng)設(shè)計(jì)文檔，查閱系統(tǒng)是否對(duì)內(nèi)核調(diào)試情況及相關(guān)措施進(jìn)行描述，檢查系統(tǒng)是否關(guān)閉相關(guān)內(nèi)核調(diào)試功能或接口，是否禁用了對(duì)內(nèi)核調(diào)試的相關(guān)命令或功能等，是否可以防止內(nèi)核動(dòng)態(tài)加載或卸載模塊。b）預(yù)期結(jié)果：1)系統(tǒng)禁用了調(diào)試接口（含遠(yuǎn)程接口）；2)系統(tǒng)采取了相關(guān)安全措施，防止動(dòng)態(tài)加載或卸載內(nèi)核模塊。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.14數(shù)據(jù)安全7.1.14.1數(shù)據(jù)完整性數(shù)據(jù)完整性的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)查看系統(tǒng)設(shè)計(jì)文檔，是否支持對(duì)存儲(chǔ)的重要數(shù)據(jù)（如鑒別數(shù)據(jù)、密鑰數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)）進(jìn)行完整性校驗(yàn)，登錄系統(tǒng)并進(jìn)行驗(yàn)證。2)查看系統(tǒng)設(shè)計(jì)文檔，系統(tǒng)是否在檢測(cè)到完整性錯(cuò)誤時(shí)采用必要的恢復(fù)措施。b）預(yù)期結(jié)果：1)支持對(duì)存儲(chǔ)的重要數(shù)據(jù)進(jìn)行完整性校驗(yàn)。2)系統(tǒng)在檢測(cè)到完整性錯(cuò)誤時(shí)采用必要的恢復(fù)措施。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.14.2數(shù)據(jù)可用性數(shù)據(jù)可用性的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)查看文檔并驗(yàn)證系統(tǒng)是否能夠?qū)ο到y(tǒng)重要數(shù)據(jù)（如系統(tǒng)正常運(yùn)行的基本數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)）進(jìn)行備份和恢復(fù)。2)查看系統(tǒng)設(shè)計(jì)文檔，明確系統(tǒng)是否具有數(shù)據(jù)丟失防護(hù)機(jī)制，如：告警、開(kāi)辟臨時(shí)存儲(chǔ)區(qū)GB/TXXXXX—XXXX域等。b）預(yù)期結(jié)果：1)能夠?qū)ο到y(tǒng)重要數(shù)據(jù)進(jìn)行備份和恢復(fù)。2)具有數(shù)據(jù)丟失防護(hù)機(jī)制。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.14.3數(shù)據(jù)保密性數(shù)據(jù)保密性的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：1)查看系統(tǒng)設(shè)計(jì)文檔并驗(yàn)證，系統(tǒng)是否能夠?qū)﹁b別數(shù)據(jù)、密鑰數(shù)據(jù)、重要系統(tǒng)配置數(shù)據(jù)等敏感內(nèi)容進(jìn)行加密存儲(chǔ)。2)查看系統(tǒng)設(shè)計(jì)文檔并驗(yàn)證，系統(tǒng)是否能夠?qū)χ匾獦I(yè)務(wù)數(shù)據(jù)進(jìn)行加密存儲(chǔ)。b）預(yù)期結(jié)果：1)系統(tǒng)支持對(duì)鑒別數(shù)據(jù)、密鑰數(shù)據(jù)、重要配置數(shù)據(jù)等敏感內(nèi)容進(jìn)行加密存儲(chǔ)。2)系統(tǒng)支持對(duì)重要業(yè)務(wù)數(shù)據(jù)進(jìn)行加密存儲(chǔ)。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.15可靠性要求7.1.15.1資源限制資源限制的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：查看系統(tǒng)設(shè)計(jì)文檔，操作系統(tǒng)是否提供資源使用的檢測(cè)和控制機(jī)制，防止因應(yīng)用程序錯(cuò)誤或惡意行為無(wú)限制消耗資源。b）預(yù)期結(jié)果：操作系統(tǒng)能夠提供資源使用的檢測(cè)和控制機(jī)制，防止因應(yīng)用程序錯(cuò)誤或惡意行為無(wú)限制消耗資源。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.15.2失效保護(hù)失效保護(hù)的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：a）測(cè)試評(píng)價(jià)方法：查看系統(tǒng)設(shè)計(jì)文檔，操作系統(tǒng)是否具備失效保護(hù)功能，驗(yàn)證是否能夠自檢出已定義的系統(tǒng)故障，并按故障情況對(duì)應(yīng)的保護(hù)措施進(jìn)行處理，如系統(tǒng)支持維護(hù)模式或通過(guò)減低功能、性能等方式提供基本服務(wù)，在系統(tǒng)不能正常啟動(dòng)且安全功能失效情況下，可通過(guò)啟動(dòng)維護(hù)模式，進(jìn)行系統(tǒng)修復(fù)。b）預(yù)期結(jié)果：操作系統(tǒng)能夠自檢出已定義的系統(tǒng)故障，并按故障具體情況對(duì)應(yīng)的保護(hù)措施進(jìn)行處理。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.1.15.3可靠時(shí)鐘可靠時(shí)鐘的測(cè)試評(píng)價(jià)方法、預(yù)期結(jié)果和結(jié)果判定如下：GB/TXXXXX—XXXXa）測(cè)試評(píng)價(jià)方法：查看系統(tǒng)設(shè)計(jì)文檔，明確是否提供手工設(shè)定系統(tǒng)時(shí)鐘或與遠(yuǎn)程時(shí)鐘服務(wù)自動(dòng)時(shí)鐘同步，并登錄系統(tǒng)進(jìn)行驗(yàn)證。b）預(yù)期結(jié)果：能夠提供手工設(shè)定系統(tǒng)時(shí)鐘或與遠(yuǎn)程時(shí)鐘服務(wù)自動(dòng)時(shí)鐘同步。c）結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2安全保障評(píng)估7.2.1開(kāi)發(fā)7.2.1.1安全架構(gòu)安全架構(gòu)描述的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：審查安全架構(gòu)文檔是否準(zhǔn)確描述如下內(nèi)容：1）與系統(tǒng)設(shè)計(jì)文檔中對(duì)安全功能實(shí)施抽象描述的級(jí)別一致；2）描述與安全功能要求一致的嵌入式操作系統(tǒng)安全功能的安全域；3）描述嵌入式操作系統(tǒng)安全功能初始化過(guò)程為何是安全的；4）證實(shí)嵌入式操作系統(tǒng)安全功能能夠防止被破壞；5）證實(shí)嵌入式操作系統(tǒng)安全功能能夠防止安全特性被旁路。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.1.2功能規(guī)范安全執(zhí)行功能規(guī)范的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：審查功能規(guī)范文檔是否準(zhǔn)確描述如下內(nèi)容：1）完全描述嵌入式操作系統(tǒng)的安全功能；2）描述所有安全功能接口的目的與使用方法；3）標(biāo)識(shí)和描述每個(gè)安全功能接口相關(guān)的所有參數(shù)；4）描述安全功能接口相關(guān)的安全功能實(shí)施行為；5）描述由安全功能實(shí)施行為處理而引起的直接錯(cuò)誤消息；6）證實(shí)安全功能要求到安全功能接口的追溯。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.1.3實(shí)現(xiàn)表示實(shí)現(xiàn)表示的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：系統(tǒng)設(shè)計(jì)文檔是否準(zhǔn)確描述如下內(nèi)容：GB/TXXXXX—XXXX1）提供系統(tǒng)設(shè)計(jì)描述與實(shí)現(xiàn)表示實(shí)例之間的映射，并證明其一致性；2）按詳細(xì)級(jí)別定義系統(tǒng)安全功能，詳細(xì)程度達(dá)到無(wú)須進(jìn)一步設(shè)計(jì)就能生成安全功能的程度；3）以開(kāi)發(fā)人員使用的形式提供。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.1.4系統(tǒng)設(shè)計(jì)系統(tǒng)設(shè)計(jì)的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：審查系統(tǒng)設(shè)計(jì)文檔是否準(zhǔn)確描述如下內(nèi)容：1）根據(jù)子系統(tǒng)描述嵌入式操作系統(tǒng)結(jié)構(gòu)；2）根據(jù)模塊描述嵌入式操作系統(tǒng)安全功能；3）標(biāo)識(shí)和描述嵌入式操作系統(tǒng)安全功能的所有子系統(tǒng)；4）描述安全功能所有子系統(tǒng)間的相互作用；5）提供的映射關(guān)系能夠證實(shí)設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的安全功能接口；6）根據(jù)模塊描述安全功能；7）提供安全功能子系統(tǒng)到模塊間的映射關(guān)系；8）描述所有安全功能實(shí)現(xiàn)模塊，包括其目的及與其他模塊間的相互作用；9）描述所有實(shí)現(xiàn)模塊的安全功能要求相關(guān)接口、其他接口的返回值、與其他模塊間的相互作用及調(diào)用的接口；10）描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其他模塊間的相互作用。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.2指導(dǎo)性文檔7.2.2.1操作用戶指南操作用戶指南的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：審查操作用戶指南是否準(zhǔn)確描述如下內(nèi)容：1）描述在安全處理環(huán)境中被控制的用戶可訪問(wèn)的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?）描述如何以安全的方式使用嵌入式操作系統(tǒng)提供的可用接口；3）描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)指明安全值；4）明確說(shuō)明與需要執(zhí)行的用戶可訪問(wèn)功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制實(shí)體的安全特性；5）標(biāo)識(shí)嵌入式操作系統(tǒng)運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤），以及它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系；6）充分實(shí)現(xiàn)安全目的所必須執(zhí)行的安全策略。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：GB/TXXXXX—XXXX實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.2.2準(zhǔn)備程序準(zhǔn)備程序的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：審查準(zhǔn)備程序文檔是否準(zhǔn)確描述如下內(nèi)容：1）描述與開(kāi)發(fā)者交付程序相一致的安全接收所交付嵌入式操作系統(tǒng)必需的所有步驟；2）描述安全安裝嵌入式操作系統(tǒng)及其運(yùn)行環(huán)境必需的所有步驟。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.3生命周期支持7.2.3.1配置管理能力配置管理能力的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：1）審查開(kāi)發(fā)者是否為不同版本的嵌入式操作系統(tǒng)提供唯一的標(biāo)識(shí)；2）現(xiàn)場(chǎng)檢查配置管理系統(tǒng)是否對(duì)所有的配置項(xiàng)作出唯一的標(biāo)識(shí)，且配置管理系統(tǒng)是否對(duì)配置項(xiàng)進(jìn)行了維護(hù)；3）審查開(kāi)發(fā)者提供的配置管理文檔，是否描述了對(duì)配置項(xiàng)進(jìn)行唯一標(biāo)識(shí)的方法。4）配置管理系統(tǒng)是否提供一種自動(dòng)方式來(lái)支持系統(tǒng)的生成，通過(guò)該方式確保只能對(duì)系統(tǒng)的實(shí)現(xiàn)表示進(jìn)行已授權(quán)的改變；5）配置管理文檔是否包括一個(gè)配置管理計(jì)劃，配置管理計(jì)劃是否描述如何使用配置管理系統(tǒng)開(kāi)發(fā)系統(tǒng)。實(shí)施的配置管理與配置管理計(jì)劃是否相一致；6）配置管理計(jì)劃是否描述用來(lái)接受修改過(guò)的或新建的作為系統(tǒng)組成部分的配置項(xiàng)的程序。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.3.2配置管理范圍配置管理范圍的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：1)檢查系統(tǒng)提供者提供的配置項(xiàng)列表；2)配置項(xiàng)列表是否描述了組成系統(tǒng)的全部配置項(xiàng)及相應(yīng)的開(kāi)發(fā)者；3)檢查系統(tǒng)提供者是否將實(shí)現(xiàn)表示、安全缺陷報(bào)告及其解決狀態(tài)納入配置管理范圍，是否對(duì)安全缺陷進(jìn)行跟蹤。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.3.3交付程序交付程序的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：GB/TXXXXX—XXXXa)評(píng)估方法：1）現(xiàn)場(chǎng)檢查開(kāi)發(fā)者是否使用一定的交付程序交付嵌入式操作系統(tǒng)；2）審查開(kāi)發(fā)者是否使用文檔描述交付過(guò)程，文檔中是否包含以下內(nèi)容：在給用戶方交付系統(tǒng)的各版本時(shí)，為維護(hù)安全所必需的所有程序。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.3.4開(kāi)發(fā)安全開(kāi)發(fā)安全的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：審查開(kāi)發(fā)者是否使用文檔描述在系統(tǒng)的開(kāi)發(fā)環(huán)境中，為保護(hù)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.3.5生命周期定義生命周期定義的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：1）審查開(kāi)發(fā)者是否建立一個(gè)生命周期模型對(duì)系統(tǒng)的開(kāi)發(fā)和維護(hù)進(jìn)行的必要控制；2）審查開(kāi)發(fā)者是否提供生命周期定義文檔描述用于開(kāi)發(fā)和維護(hù)系統(tǒng)的模型。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.3.6工具和技術(shù)工具和技術(shù)的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：1）現(xiàn)場(chǎng)檢查開(kāi)發(fā)者是否明確定義用于開(kāi)發(fā)系統(tǒng)的工具2）審查開(kāi)發(fā)者是否提供開(kāi)發(fā)工具文檔，無(wú)歧義地定義實(shí)現(xiàn)中每個(gè)語(yǔ)句的含義和所有依賴于實(shí)現(xiàn)的選項(xiàng)的含義。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.4測(cè)試7.2.4.1覆蓋證據(jù)覆蓋證據(jù)的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：GB/TXXXXX—XXXX審查開(kāi)發(fā)者提供的測(cè)試覆蓋文檔，在測(cè)試覆蓋證據(jù)中，是否表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的嵌入式操作系統(tǒng)的安全功能間的對(duì)應(yīng)性；b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.4.2覆蓋分析覆蓋分析的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：1）審查開(kāi)發(fā)者提供的測(cè)試覆蓋文檔，在測(cè)試覆蓋證據(jù)中，是否表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的嵌入式操作系統(tǒng)的安全功能接口是對(duì)應(yīng)的；2）審查是否表明上述對(duì)應(yīng)性是完備的，并證實(shí)功能規(guī)范中的所有安全功能接口都進(jìn)行了測(cè)試。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.4.3深度分析深度分析的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：1）審查開(kāi)發(fā)者提供的測(cè)試深度分析文檔，在測(cè)試深度分析中，是否表明測(cè)試文檔中的測(cè)試與系統(tǒng)設(shè)計(jì)中的嵌入式操作系統(tǒng)安全功能子系統(tǒng)、安全功能要求-執(zhí)行模塊之間的一致性；2）審查是否表明系統(tǒng)設(shè)計(jì)中的所有嵌入式操作系統(tǒng)安全功能子系統(tǒng)都已經(jīng)進(jìn)行過(guò)測(cè)試。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.4.4功能測(cè)試功能測(cè)試的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：1）審查開(kāi)發(fā)者提供的測(cè)試文檔，是否包括測(cè)試計(jì)劃、預(yù)期的測(cè)試結(jié)果和實(shí)際測(cè)試結(jié)果；2）審查測(cè)試計(jì)劃是否標(biāo)識(shí)了要測(cè)試的安全功能，是否描述了每個(gè)安全功能的測(cè)試方案（包括對(duì)其它測(cè)試結(jié)果的順序依賴性）；3）審查期望的測(cè)試結(jié)果是否表明測(cè)試成功后的預(yù)期輸出；4）審查實(shí)際測(cè)試結(jié)果是否表明每個(gè)被測(cè)試的安全功能能按照規(guī)定進(jìn)行運(yùn)作。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.4.5獨(dú)立測(cè)試獨(dú)立測(cè)試的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：GB/TXXXXX—XXXX1）評(píng)價(jià)者應(yīng)審查開(kāi)發(fā)者提供的測(cè)試資源；2）評(píng)價(jià)者應(yīng)審查開(kāi)發(fā)者提供的測(cè)試集合是否與其自測(cè)系統(tǒng)功能時(shí)使用的測(cè)試集合相一致。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.5脆弱性評(píng)定7.2.5.1基本級(jí)脆弱性分析基本級(jí)脆弱性評(píng)定的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：從用戶可能破壞安全策略的明顯途徑出發(fā)，按照安全機(jī)制定義的安全強(qiáng)度級(jí)別，對(duì)嵌入式操作系統(tǒng)進(jìn)行脆弱性分析，能夠抵抗具有基本攻擊潛力攻擊者的攻擊。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。7.2.5.2增強(qiáng)級(jí)脆弱性分析增強(qiáng)級(jí)脆弱性評(píng)定的評(píng)估方法、預(yù)期結(jié)果和結(jié)果判定如下：a)評(píng)估方法：從用戶可能破壞安全策略的明顯途徑出發(fā)，按照安全機(jī)制定義的安全強(qiáng)度級(jí)別，對(duì)嵌入式操作系統(tǒng)進(jìn)行脆弱性分析，能夠抵抗具有增強(qiáng)型攻擊潛力攻擊者的攻擊。b)預(yù)期結(jié)果：開(kāi)發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：實(shí)際評(píng)估結(jié)果與預(yù)期結(jié)果一致則判定為“符合”，其他情況判定為“不符合”。GB/TXXXXX—XXXX（規(guī)范性）嵌入式操作系統(tǒng)主流應(yīng)用場(chǎng)景及安全技術(shù)要求等級(jí)劃分本附錄規(guī)定了工業(yè)控制、網(wǎng)絡(luò)通信、消費(fèi)物聯(lián)網(wǎng)、低空經(jīng)濟(jì)等嵌入式操作系統(tǒng)主流應(yīng)用場(chǎng)景及安全技術(shù)要求等級(jí)劃分，其他應(yīng)用場(chǎng)景參照使用。A.1工業(yè)控制場(chǎng)景表A.1列出了工業(yè)控制場(chǎng)景嵌入式操作系統(tǒng)安全技術(shù)要求的等級(jí)劃分。表A.1工業(yè)控制場(chǎng)景嵌入式操作系統(tǒng)安全技術(shù)要求等級(jí)劃分安全功能要求基本級(jí)增強(qiáng)級(jí)安全功能要求網(wǎng)絡(luò)接入安全網(wǎng)絡(luò)接入鑒別網(wǎng)絡(luò)訪問(wèn)控制6.1.1.2a）~b）通信安全身份鑒別6.1.3a）~b）訪問(wèn)控制6.1.4a）~c）安全審計(jì)6.1.5a）~d）安全隔離6.1.6a）~b）內(nèi)存安全客體重用————系統(tǒng)升級(jí)6.1.9a）~c）應(yīng)用軟件安全——惡意代碼防范安全啟動(dòng)——調(diào)試安全數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)可用性數(shù)據(jù)保密性可靠性要求資源限制失效保護(hù)可靠時(shí)鐘——安全保障要求開(kāi)發(fā)安全架構(gòu)6.2.1.1功能規(guī)范6.2.1.2實(shí)現(xiàn)表示——系統(tǒng)設(shè)計(jì)6.2.1.4a)～e)GB/TXXXXX—XXXX表A.1（續(xù)）安全功能要求基本級(jí)增強(qiáng)級(jí)指導(dǎo)性文檔操作用戶指南6.2.2.16.2.2.1準(zhǔn)備程序6.2.2.26.2.2.2生命周期支持配置管理能力6.2.3.1a）~c）6.2.3.1配置管理范圍6.2.3.2a）6.2.3.2交付程序6.2.3.36.2.3.3開(kāi)發(fā)安全——6.2.3.4生命周期定義——6.2.3.5工具和技術(shù)——6.2.3.6測(cè)試覆蓋證據(jù)6.2.4.16.2.4.1覆蓋分析——6.2.4.2深度分析——6.2.4.3功能測(cè)試6.2.4.46.2.4.4獨(dú)立測(cè)試6.2.4.56.2.4.5脆弱性評(píng)定基本級(jí)脆弱性分析6.2.5.1——增強(qiáng)級(jí)脆弱性分析——6.2.5.2GB/TXXXXX—XXXXA.2網(wǎng)絡(luò)通信場(chǎng)景表A.2列出了網(wǎng)絡(luò)通信場(chǎng)景嵌入式操作系統(tǒng)安全技術(shù)要求的等級(jí)劃分。表A.2網(wǎng)絡(luò)通信及安全設(shè)備嵌入式操作系統(tǒng)安全技術(shù)要求等級(jí)劃分安全功能要求基本級(jí)增強(qiáng)級(jí)安全功能要求網(wǎng)絡(luò)接入安全網(wǎng)絡(luò)接入鑒別網(wǎng)絡(luò)訪問(wèn)控制6.1.1.2a）~b）通信安全身份鑒別6.1.3a）~b）訪問(wèn)控制6.1.4a）~c）安全審計(jì)6.1.5a）~d）安全隔離6.1.6a）~b）內(nèi)存安全客體重用——系統(tǒng)升級(jí)6.1.9a）~c）應(yīng)用軟件安全————惡意代碼防范安全啟動(dòng)——調(diào)試安全數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)可用性數(shù)據(jù)保密性可靠性要求資源限制失效保護(hù)可靠時(shí)鐘——安全保障要求開(kāi)發(fā)安全架構(gòu)6.2.1.1功能規(guī)范6.2.1.2實(shí)現(xiàn)表示——系統(tǒng)設(shè)計(jì)6.2.1.4a)～e)指導(dǎo)性文檔操作用戶指南6.2.2.16.2.2.1準(zhǔn)備程序6.2.2.26.2.2.2生命周期支持配置管理能力6.2.3.1a）~c）6.2.3.1配置管理范圍6.2.3.2a）6.2.3.2交付程序6.2.3.36.2.3.3GB/TXXXXX—XXXX表A.2（續(xù)）安全功能要求基本級(jí)增強(qiáng)級(jí)安全保障要求生命周期支持開(kāi)發(fā)安全——6.2.3.4生命周期定義——6.2.3.5工具和技術(shù)——6.2.3.6測(cè)試覆蓋證據(jù)6.2.4.16.2.4.1覆蓋分析——6.2.4.2深度分析——6.2.4.3功能測(cè)試6.2.4.46.2.4.4獨(dú)立測(cè)試6.2.4.56.2.4.5脆弱性評(píng)定基本級(jí)脆弱性分析6.2.5.1——增強(qiáng)級(jí)脆弱性分析——6.2.5.2GB/TXXXXX—XXXXA.3消費(fèi)物聯(lián)網(wǎng)場(chǎng)景表A.3列出了消費(fèi)物聯(lián)網(wǎng)場(chǎng)景嵌入式操作系統(tǒng)安全技術(shù)要求的等級(jí)劃分。表A.3消費(fèi)物聯(lián)網(wǎng)場(chǎng)景嵌入式操作系統(tǒng)安全技術(shù)要求等級(jí)劃分安全功能要求基本級(jí)增強(qiáng)級(jí)安全功能要求網(wǎng)絡(luò)接入安全網(wǎng)絡(luò)接入鑒別網(wǎng)絡(luò)訪問(wèn)控制6.1.1.2a）~b）通信安全身份鑒別6.1.3a）~b）訪問(wèn)控制6.1.4a）~c）安全審計(jì)6.1.5a）~d）安全隔離6.1.6a）~b）內(nèi)存安全客體重用————系統(tǒng)升級(jí)6.1.9a）~c）應(yīng)用軟件安全——惡意代碼防范安全啟動(dòng)——調(diào)試安全數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)可用性數(shù)據(jù)保密性可靠性要求資源限制失效保護(hù)可靠時(shí)鐘——安全保障要求開(kāi)發(fā)安全架構(gòu)6.2.1.1功能規(guī)范6.2.1.2實(shí)現(xiàn)表示——系統(tǒng)設(shè)計(jì)6.2.1.4a)～e)指導(dǎo)性文檔操作用戶指南6.2.2.16.2.2.1準(zhǔn)備程序6.2.2.26.2.2.2生命周期支持配置管理能力6.2.3.1a）~c）6.2.3.1配置管理范圍6.2.3.2a）6.2.3.2交付程序6.2.3.36.2.3.3GB/TXXXXX—XXXX表A.3（續(xù)）安全功能要求基本級(jí)增強(qiáng)級(jí)安全保障要求生命周期支持開(kāi)發(fā)安全——6.2.3.4生命周期定義——6.2.3.5工具和技術(shù)——6.2.3.6測(cè)試覆蓋證據(jù)6.2.4.16.2.4.1覆蓋分析——6.2.4.2深度分析——6.2.4.3功能測(cè)試6.2.4.46.2.4.4獨(dú)立測(cè)試6.2.4.56.2.4.5脆弱性評(píng)定基本級(jí)脆弱性分析6.2.5.1——增強(qiáng)級(jí)脆弱性分析——6.2.5.2GB/TXXXXX—XXXXA.4低空經(jīng)濟(jì)場(chǎng)景表A.4列出了低空經(jīng)濟(jì)場(chǎng)景嵌入式操作系統(tǒng)安全技術(shù)要求的等級(jí)劃分。表A.4低空經(jīng)濟(jì)場(chǎng)景嵌入式操作系統(tǒng)安全技術(shù)要求等級(jí)劃分安全功能要求基本級(jí)增強(qiáng)級(jí)安全功能要求網(wǎng)絡(luò)接入安全網(wǎng)絡(luò)接入鑒別網(wǎng)絡(luò)訪問(wèn)控制6.1.1.2a）~b）通信安全身份鑒別6.1.3a）~b）訪問(wèn)控制6.1.4a）~c）安全審計(jì)6.1.5a）~d）安全隔離6.1.6a）~b）內(nèi)存安全客體重用————系統(tǒng)升級(jí)6.1.9a）~c）應(yīng)用軟件安全惡意代碼防范安全啟動(dòng)調(diào)試安全數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)可用性數(shù)據(jù)保密性可靠性要求資源限制失效保護(hù)可靠時(shí)鐘安全保障要求開(kāi)發(fā)安全架構(gòu)6.2.1.1功能規(guī)范6.2.1.2實(shí)現(xiàn)表示——系統(tǒng)設(shè)計(jì)6.2.1.4a)～e)指導(dǎo)性文檔操作用戶指南6.2.2.16.2.2.1準(zhǔn)備程序6.2.2.26.2.2.2生命周期支持配置管理能力6.2.3.1a）~c）6.2.3.1配置管理范圍6.2.3.2a）6.2.3.2交付程序6.2.3.36.2.3.3GB/TXXXXX—XXXX表A.4（續(xù)）安全功能要求基本級(jí)增強(qiáng)級(jí)生命周期支持開(kāi)發(fā)安全——6.2.3.4生命周期定義——6.2.3.5工具和技術(shù)——6.2.3.6測(cè)試覆蓋證據(jù)6.2.4.16.2.4.1覆蓋分析6.2.4.26.2.4.2深度分析——6.2.4.3功能測(cè)試6.2.4.46.2.4.4獨(dú)立測(cè)試6.2.4.56.2.4.5脆弱性評(píng)定基本級(jí)脆弱性分析6.2.5.1——增強(qiáng)級(jí)脆弱性分析——6.2.5.2GB/TXXXXX—XXXX（規(guī)范性）嵌入式操作系統(tǒng)主流應(yīng)用場(chǎng)景及測(cè)試評(píng)價(jià)方法等級(jí)劃分本附錄規(guī)定了工業(yè)控制、通信網(wǎng)絡(luò)、消費(fèi)物聯(lián)網(wǎng)、低空經(jīng)濟(jì)等嵌入式操作系統(tǒng)主流應(yīng)用場(chǎng)景及測(cè)試評(píng)價(jià)方法等級(jí)劃分，其他應(yīng)用場(chǎng)景參照使用。B.1工業(yè)控制場(chǎng)景表B.1列出了工業(yè)控制場(chǎng)景嵌入式操作系統(tǒng)測(cè)試評(píng)價(jià)方法的等級(jí)劃分。表B.1工業(yè)控制場(chǎng)景嵌入式操作系統(tǒng)測(cè)試評(píng)價(jià)方法等級(jí)劃分表安全功能要求基本級(jí)增強(qiáng)級(jí)安全功能要求網(wǎng)絡(luò)接入安全網(wǎng)絡(luò)接入認(rèn)證7.1.1.1a）中1）網(wǎng)絡(luò)訪問(wèn)控制7.1.1.2a）中1）~2）通信安全身份鑒別7.1.3a）中1）~2）訪問(wèn)控制7.1.4a）中1）~3）安全審計(jì)7.1.5a）中1）~4）安全隔離7.1.6a）中1）~2）內(nèi)存安全客體重用————系統(tǒng)升級(jí)7.1.9a）中1）~3）應(yīng)用軟件安全——7.1.10a）中1）惡意代碼防范7.1.11a）中1）~2）安全啟動(dòng)——調(diào)試安全7.1.13a）中1）數(shù)據(jù)安全數(shù)據(jù)完整性7.1.14.1a）中1）數(shù)據(jù)可用性7.1.14.2a）中1）數(shù)據(jù)保密性7.1.14.3a）中1）可靠性要求資源限制7.1.15.1失效保護(hù)7.1.15.27.1.15.2可靠時(shí)鐘——7.1.15.3安全保障要求開(kāi)發(fā)安全架構(gòu)功能規(guī)范實(shí)現(xiàn)表示——系統(tǒng)設(shè)計(jì)7.2.1.4a）中1）～5）指導(dǎo)性文檔操作用戶指南7.2.2.17.2.2.1GB/TXXXXX—XXXX表B.1（續(xù)）測(cè)試評(píng)價(jià)方法基本級(jí)增強(qiáng)級(jí)評(píng)估指導(dǎo)性文檔準(zhǔn)備程序7.2.2.27.2.2.2生命周期支持配置管理能力7.2.3.1a）中1）～3）7.2.3.1配置管理范圍7.2.3.2a）中1）～2）7.2.3.2交付程序7.2.3.37.2.3.3開(kāi)發(fā)安全——7.2.3.4生命周期定義——7.2.3.5工具和技術(shù)——7.2.3.6測(cè)試覆蓋證據(jù)7.2.4.17.2.4.1覆蓋分析——7.2.4.2深度分析——7.2.4.3功能測(cè)試7.2.4.47.2.4.4獨(dú)立測(cè)試7.2.4.57.2.4.5脆弱性評(píng)定基本級(jí)脆弱性分析7.2.5.1——增強(qiáng)級(jí)脆弱性分析——7.2.5.2GB/TXXXXX—XXXXB.2網(wǎng)絡(luò)通信場(chǎng)景表B.2列出了網(wǎng)絡(luò)通信場(chǎng)景嵌入式操作系統(tǒng)測(cè)試評(píng)價(jià)方法的等級(jí)劃分。表B.2網(wǎng)絡(luò)通信嵌入式操作系統(tǒng)測(cè)試評(píng)價(jià)方法等級(jí)劃分表安全功能要求基本級(jí)增強(qiáng)級(jí)安全功能要求網(wǎng)絡(luò)接入安全網(wǎng)絡(luò)接入認(rèn)證7.1.1.1a）中1）網(wǎng)絡(luò)訪問(wèn)控制7.1