【国家标准(GB)】 信息安全技术 网络和终端设备隔离部件测试评价方法

ICS35.040
中华人民共和国国家标准
GB/T20277—2006
信息安全技术
网络和终端设备隔离部件测试评价方法Information sccurity technology-Testing and evaluationtcchniques of separation components of network and tcrminal equipment070117000090
2006-05-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2006-12-01实施
GB/T 20277-2006
现范性叫用文件
术语和义
隔离部件分级测试评价方法
4.1物理晰开隔离部件
4.1.1测试评价环境
基本级要求
增强级要求
单向隔离部件：
测试评价环境镜：
基本级要求
增现级要求
协议隔离部作.
测试评价环境
·级·
第皱·
第-级·
4.4网问隔离部件
1，，1测试评价环境
1.4.2第一级…
1.1.3第.级·.
4.4.4第-级
鑫孝文
YY KAONr KAca-
本标滩由全国信息安全标准化技术委员会提出并归几。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。GB/T 20277—2006
本标谁主要起草人：朱建平、陆臻、沈亮，邱梓华、张奕，张笑笑、顾伟.沈涛、赵婷邹春明、颐健。GB/T20277--2006
-rYYKAoNrKAca
本标准用以指导测试评价者如何测试与评价隔离部件是否达到了相应的等级，主要从对隔离部件的安全保护等级进行划分的角度来说明其评价准则.以及各评价准则在不同安全级中具体实现上的异。
网络和终端设备隔离部件安全技术要求》所划分的本标推以GB/T20279—2006信息安全技术安全等级为基础，针对隔离部件的技术特点，对相应的测试评价方法做了详细捕述在本标滩文本中，加粗字体表示较高等级中新出现或增独的功能要求，1范围
信息安全技术
网络和终端设备隔离部件测试评价方法本标准规定了网络端设备隔离部件测试评价方法GB/T 20277—2006
本标准适用丁按照GB/T20279一2006的安全等级保护要求所开发的隔离部件的测试和评价，2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内客）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的晟新版本，凡是不注日期的引用文件，其最新版本适用于本标准，GB 17859—1999
GB/T 20271
GB/T 20279
3术语和定义
GB17859
计算机信息系统 安全保护等级划分准则2006
信息安全技术信息系统通用安全技术要求信息安全技术
网络和终端设备隔离部件安全技术要求999GB/T20271
2006和GB/T202792006确立的术计和定义适用于本标准。4隔离部件分级测试评价方法
4.1物理断开隔离部件
测试评价环境
物理断开隔高部件连接示意如图1所示，在安全域网络和安全域B网络环境内至少连人台测试用计算机
物理断开隔离部件一
计算机
图1物理断开隔离部件连接示意图全域B
GB/T 20277—2006
4. 1. 2 基本级要求
4. 1.2.1访问控制
4. 1. 2. 1. 1安金属性定义
评价内容：
GB/T 202792006 中 5. 1. 1. 1. 1 的内容。对开发者的要求：
-YYKAONTKAca
提供文档挡，说明对于信息存储与传输部件（主要是处于不同安全域的存储设备，网络接人设备），物理断开隔离部件是否为其设定了唯一的、为了执行安全功能策略所必需的安全属性，并且说明具体的内容。
测试评价方法：
测试产品是否设定了这些安全性，至少包括不同安全域网络切换方式、光驱和软驱等存储设备处在哪个安全区域、网络设备接人方式和其他在开发者文档中提及的安全属性。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.2.1.2属性修改
评价内容：
见G13/T 20279-2006 中 5. 1. 1. 1, 2 的内容。对开发者的要求：
提供属性修改的详细描述。
测试评价方法：
测试产品是否能够修改与安全相关属性的参数，至少包括安全域网络切换。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.2.1.3属性查询
评价内容：
见(3/T 20279200% 中 6. 1. 1. 1. 3的内容。对开发者的要求：
提供属性查询的详细描述。
测试评价方法：
翘试端设备用户是否能够进行安全属性的查询，至少包括对一个安全域网络状态进行查询。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.2.1.4访问授权与拒绝
评价内容：
见 13T 20279--2005 中 5. 1. 1. 1. 4的内容对开发者的要求；
提供访问授权与拒绝的详细描述。测试评价方法：
a）信息物理传导隔断测试：当物理断开隔离部件状态为安全域A网络状态时，尝试跟安全A网络和安全域B网络进行连接，测试产品是否保证跟安全域A网络主机可以互相访间，安全域B网络主机互相不可访间；当物理断开隔离部件状态为安全域B网络状态时，尝试眼安全域A网络和安全域B网络进行连接，测试产品是否保证跟安全域B网络主机可以互相访问，眼安金域A网络主机万相不可访问、信息物理存储隔断测试：测试对于断电后会逸失信息的部件，如内存、寄存器等暂存部件，是b
否在网络转换时作清零处理，防止遗留信息审网；对于断电后不会逸失信息的设备，如磁带机，硬盘等存储设备，安全域A网络与安全域B网络信息是否以不存储设备分开存储，比如硬GB/T 20277—2006
盘，物理断开隔离部件是否分别为安全域A网络与安全城B网络准备=-个独立的硬盘；对移动存储介质，如光盘、软盘，USB硬盘等，是否在网络转换前有干预提示或禁止在双网都能使用这些设备。
记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。4. 1.2.2配置管理
评价内容：
见 GB/T 20279—2006 中 5. 1. 1. 2 的内容测试评价方法：
评价者应审查开发者提供的配量管理支持文档是否完全符合以下要求：版本号，要求开发者所使用的版本号与所应表示的隔离部件样本应完全对应，没有歧义。a
b）配置项，要求配置项应有唯一的标识，从而对隔离部件的组成有更清楚的描述。这些描述与部分配暨管理自动化的要求相同。记录审查结果并对该结巢是否完全符合上述测试评价方法要求作出判断。4.1.2.3交付与运行
评价内容：
见GB/1 20279—2006 中 5.1.1, 3 的内容。测试评价方法：
评价者应审查开发者是否提供了文档说明隔离部件的安装、生成、启动和使用的过程。用户能够通过此文档了解安装、生成、启动和使用过程。记录事查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.2.4安全功能开发过程
4.1.2.4.1功能设计
评价内容：
见B/T20270—一20065.11.4.1的内容测试评价方法：
评价者应审查开发者所提供的信息是否满足如下要求：a）功能设计应当使用非形式化风格来描述隔离部件安全功能与其外部接口；b）功能设计应当是内在一致的，功能设计应当描述使用所有外部隔离部件安全功能接口的目的与方法，适当的时候，要提供结果影响倒外情说和错误信息的细节；d功能设计应当完整地表示隔离部件安全功熊，评价者应确认功能设计是否精确和完整地体现隔离部件安全功能要求。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.2.4.2表示对应性
评价内穿：
G13/120279--2005中5.1.1.4.2的内穿测试评价片法：
评价者应审查开发者是否在隔离部件安全功能表示的所有相邻对之间提供对应性分析。其中，隔离部件各种安全功能表示（如隔离部件功能设计，高层设计，低层设计、实现表示）之间的对应性是所提供的抽象隔离部件安全功能表示要求的精确而究整的示例。隔离部件安全功能在功能设计中进行细化，并且较为抽篆的隔离部件安全功能表示的所有相关安全功能部分，在较具体的隔离部件安全功能表示中进行细化。
记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。3
GB/T20277—2006
4.1.2.5指导性文档
4.1.2.5.1管理员指南
评价内容：
见GB/T202792006中5.1.1.5.1的内容。测试评价方法：
-YYKAONTKAca
评价者应审查开发者是否提供了供系统管理员使用的管理员指南，并且此管理员指南是否包括如下内容：
隔离部件可以使用的管理功能和接口，b)
怎样安全地管理隔离部件，bzxZ.net
在安全处理环境中应进行控制的功能和权限，c
所有对与隔离部件的安全操作有关的用户行为的假设；e)
所有受管理员控制的安全参数，如果可能，应指明安全值每一种与管理功能有关的安全相关事件，包括对安全功能所控制的实体的安全特性进行的f
改变；
所有与系统管理员有关的IT环境的安全要求g）
记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.2.5.2用户指南
评价内容：
见GB/T202
2006中5.1.1.5.2的内容
测试评价方法山
评价者应审查开发者是否提供了供系统用户使用的用户指南，并且此用户指南是否包括如下内容：隔离部件的非管理用户可使用的安全功能和接口：a)
隔离部件提供给用户的安全功能和接口的用法：b)
用户可获取但应受安全处理环境控制的所有功能和权限；c）
隔离部件安全操作中用户所应承担的职责；d)
e）与用户有关的环境的所有安全要求。记录审查结果并对该给果是否完全符合上述测试评价方法要求作出判断4.1.2.6测试
4.1.2.6.1范围
评价内容：
1.6.的内容。
见GB/T20279—2006巾5
测试评价方法：
评价者应审查开发者提供的测试覆盖分析结果，是否表明了测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.2.6.2功能测试
评价内容：
见GB/T20279—2006中5.1.1.6.2的内容测试评价方法：
a）评价开发者提供的测试文档，是否包括测试计划、测试规程、预期的测试结果和实际测试结果，b）评价测试计划是否标识了要测试的安全功能，是否描述了测试的目标；评价测试规程是否标识了要执行的测试，是否描述了每个安全功能的测试概况（这些概况包括c
对其他测试结果的顺序依赖性；4
d）评价期望的测试结果是否表明测试成功后的预期输出；e）评价实际测试结果是否表明每个被测试的安全功能能按照规定进行运作。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.2.7生命周期支持
评价内容：
见GB/T202792006中5.1.1.7的内容。测试评价方法：
评价者应审查开发者所提供的信息是否满足如下要求，GB/T202772006
a）开发人员的安全管理：开发人员的安全规章制度，开发人员的安全教育培训制度和记录；b）开发环境的安全管理：开发地点的出人口控制制度和记录，开发环境的温室度要求和记录，开发环境的防火防盗措施和国家有关部门的许可文件，开发环境中所使用安全产品必须采用符合国家有关规定的产品并提供相应证明材料：开发设备的安全管理：开发设备的安全管理制度，包括开发主机使用管理和记录，设备的购置、修理、处置的制度和记录，上网管理，计算机病毒管理和记录等，d）开发过程和成果的安全管理：对产品代码、文档、样机进行受控管理的制度和记录，若代码和文档进行如密保护必须采用符合国家有关规定的产品并提供相应证明材料。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断4.1.3增强级要求
4.1.3.1访问控制
4.1.3.1.1安全属性定义
评价内容：R
见GB/T 20@7
2006中5.1.2.1.1的内容。
对开发者的要求
提供文档，说明丁信息存储与传输部件（土要是处丁不同安全域的存储设备网络接人设备），物理断开隔离部件是否为其设定了唯一的、为了执行安全功能策略所必需的安全属性，并且说明具体的内容。
测试评价方法
测试产品是否设定这些安全属性，至少包括不同安全域网络切换方式，光驱和软驱等存储设备处在哪个安全区域、网络设备接人方式和其他在开发者文档中提及的安全属性记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，4.1.3.1.2属性修改
评价内容：
见GB/T20279—2006中5.1.2.1,2的内容。对开发者的要求：
提供属性修改的详细描述
测试评价方法：
测试产品是否能够修收与安全相关属性的参数，室少包括安全域网络切换记录测试结果并对该结果是否完个符合「述测试评价方法要求作出判断，4.1.3.1.3属性查询
评价内容：
见GB/T20279—2006中5.1.2.1.3的内容。对开发者的要求：
提供属性查询的详细描述。
GB/T 20277—2006
测试评价方法：
-YYKAONTKAca
测试端设备用户是否能够进行安全属性的查间，至少包括对一个安全域网络状态进行查简。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，4.1.3.1.4访问授权与拒绝
评价内容：
GB/T202792006中5.1.2.1.4的内容，对开发者的要求：
提供访问授权与拒绝的详细描述。测试评价方法：
a）信息物理传导隔断测试：当物理断元隔离部件状态为安全域A网络状态时，尝试跟安全域A网络和安全域B网络进行连接，测试产品是否保证跟安全域A网主机可以无和访问，跟安全域B网络主机五相不可访问：当物理断开隔离部件状态为安全域B网络状态时，尝试跟安全域A网络和安全域B网络进行连接，测试产品是否保证跟安全域B网络主机可以互相访问,跟安全城A网络士机与相不可访问；b）信息物理存储断测试测试对于断电后会逸失信息的部件，如内存，寄存器等暂存部件，是否在网络转换时作清零处理，防止遗留信息窜网：对于断电后不会逸失信息的设备，如磁带机，硬盘等存储设备、安全域A网络与安全域B网络信息是否以不同存储设备分开存储，比如硬盘，物理断开隔离部件是否分别为安全域A网络与安全域B网绛备--个独立的硬盘；对移动存诺介质，如光盘，软摄，七硬盘等，是否作网转换前有预提小或禁止在双网都能便用这些设备。
记录测试结果并对该结果是否完全符合「述测试评价方法要求作出判断。4.1.3.2不可旁路
评价内睿：
见G3/个20279—2006中5.1.2.2的内容。对开发者的要求；
提供文挡，说明物理断开隔离部件采用何种机制和措施，确保安全策略的不可旁踏性，即任何与安全有关的操作被允许执行之前，都必须通过安全策略的检查。文档应该分析并确认，物理断开隔离部件确实控制了端设备用户的每欢访问请求，不存在其他可能旁路物理断开隔离部件的途径。测试评价方法：
测试实际环境，并评价开发者提供实现此项功能的相应文档。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.3.3客体重用
评价内容：
(G3/T 20279—2006中5. 1. 2. 3的内容。对开发者的要求：
提供文档，说明在为所有安全填A网络或安全域B网络上的主机连接进行资源分配时，物理断开隔离部件安全功能采用何种方式保证不提供以前连接的任何信息内容。测试评价方法：
审查开发者提供的实现此项功能的相应文档，其中是否明确指出在为所有安全域A网络或安全域B网络上的主机连接进行资源分配时，物理断开隔离部件采用了某种方法清除以前连接的残余信息。记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。E
4.1.3.4配置管理
4.1.3.4.1配置管理能力
评价内容：
见GB/T20279--2006中5.1.2.4.1的内容。测试评价方法：
评价者应审查开发者所提供的信息是否满足如下要求：GB/T 20277--2006
a）开发者应使用配暨管理系统并提供配管理文档，以及为隔离部件产品的不同版本提供唯一的标识。
配置管理系统应对所有的配置项作出唯一的标识，并保证只有经过授权才能修改配置项。配置管理文档应包括配置清单，配暨管理计划。配置清单用来描述组成隔离部件的配置项；在c
配置管理计划中，应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。
配置管理文档还应描述对配置项给出唯一标识的方法，并提供所有的配置项得到有效地维护d)
的证据。
记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.3.4.2配置管理范围
评价内容：
见GB/T202792006中5.1.2.4.2的内容。测试评价方法：
评价者应审查开发者提供的配置管理支持文档是否完全符合以下要求：隔离部件配置管理范围，要求将隔离部件的实现表示、设计文档、测试文档、用户文档、管理员文档配置管理文档等置于配置管理之下，从而确保它们的修改是在一个正确授权的可控方式下进行的。为此要求：
a）开发者所提供的配置管理文档应展示配置管理系统至少能跟踪上述配置管理之下的内容：b）文档应描述配置管理系统是如何跟踪这些配置项的：c）文档还应提供足够的信息表明达到所有要求。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.3.5交与运行
4. 1.3.5.1交付
评价内容：
见 GB/T 20279—2006 中 5, 1, 2. 5. 1 的内穿。测试评价方法：
评价者应审查开发苦是否使用一定的交付程序交付物理断开隔离部件，并使用物理文档描述交付过程：并且评价者成事查开发者交付的文是否完全符台以下费求：在给用方交付隔离部件的各版本时，提供了为维护安全所需的所有程序。记录审查结果并划该结果是香完全符食上述测试评价潜要求作出判断。4.1.3.5.2安装生成
评价内容：
见 GB/T 20279—2006 中 5,1.2.5,2 的内,谢试评价方法：
评价者应审查开发者是否提供了文档说明隔离部件的安装、生,启动和使用的过程，用户能够通过此文档了解安装、生成、启动和使用过程。记录审查结果并对该结果是否完全符合上述測试评价方法要求作出判断。7
GB/T20277—2006
4.1.3.6安全功能开发过程
4.1.3.6.1功能设计
评价内容：
见GB/T20279—2006中5.1.2.6.1的内容。测试评价方法：
评价者应审查开发者所提供的信息是否满足如下要求：a）功能设计应当使用非形式化风格来描述隔离部件安全功能与其外部接；b）功能设计应当是内在一致的：-YYKAONTKAca
功能设计应当描述使用所有外部隔离部件安全功能接口的日的与方法，适当的时候，要提供结C
果影响例外情况和错误信息的细节：d）功能设计应当完整地表示隔离部作安全功能评价者应确认功能设计息否精确和完整地体现隔离部件安全功能要求。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断4.1.3.6.2高层设计
评价内容：
见GB/T20279—2006中5.1.2,6.2的内容测试评价方法：
评价者应审查开发者所提供的信息是否满足如下要求：a）高层设计应
买用非形式化的表示；
高层设计应肖是内在一致的；
隔离部件高层设计应当描述每一个隔离部件安全功能子系统所提供的安全功能，提供了适当c)
的体系结构来实现隔离部件安全功能要求；隔离部件的高层设计应当以子系统的观点来描述隔离部件安全功能的结构，定义所有子系统d)
之间的相互关系，并把这些相互关系适当地作为数据流、控制流等的外部接口来表示；高层设计应当标识隔离部件安全功能要求的任何基础性的硬件、固件和/或软件，并且通过支e
持这些硬件固件或软件所实现的保护机制，来提供隔离部件安全功能表示。记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断。4.1.3.6.3表示对应性
评价内容：
见GB/T20279—2006中
测试评价方法：
5.1.2.6.3的内容。
评价者应审查开发者是否在隔离部件安全功能表示的所有相邻对之问提供对应性分析，其中，隔离部件各种安全功能表示（如隔离部件功能设计、高层设计、低层设计、实现表示）之间的对应性是所提供的抽象隔离部件安全功能表示要求的精确而完整的示例。隔离部件安全功能在功能设计中进行细化，并且较为抽象的隔离部件安全功能表示的所有朴关安全功能部分，在较具体的隔离部件安全功能表示中进行细化，
记录审查结果并对该结果是否完全符合1述测试评价方法要求作出判断。4.1.3.7指导性文档
4.1.3.7.1管理员指南
评价内容：
见GB/T202792006中5.1.2.7.1的内容。测试评价方法：
评价者应中查开发者是否提供了供系统管理员使用的管理员指南，并且此管理员指南是否包括如下内容：
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。