信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測技術(shù)要求及測試評價方法

信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測技術(shù)要求及測試評價方法

1范圍

本標(biāo)準(zhǔn)規(guī)定了針對工業(yè)控制系統(tǒng)的漏洞檢測產(chǎn)品的技術(shù)要求和測試評價方法，包括安全功能要求、

自身安全要求和安全保證要求，以及相應(yīng)的測試評價方法。

本標(biāo)準(zhǔn)適用于工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品的設(shè)計、開發(fā)和測評。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2010信息安全技術(shù)術(shù)語

GB/T32919-2016信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

3術(shù)語和定義

3.1

漏洞vuInerabiIity

即脆弱性，資產(chǎn)中能被威脅所利用的弱點(diǎn)。

3.2

測試用例testcase

為某個特定目標(biāo)而編制的一組輸入、執(zhí)行條件以及預(yù)期結(jié)果，以核實(shí)是否滿足某個特定需求。

3.3

測試腳本testscript

測試用例的集合。

3.4

測試套件testsuite

測試腳本的集合。

3.5

直連directconnection

漏洞檢測系統(tǒng)與被測工業(yè)控制設(shè)備點(diǎn)對點(diǎn)連接，直接向被測工業(yè)控制設(shè)備發(fā)送測試報文。

3.6

代理proxy

漏洞檢測系統(tǒng)部署在測試儀和被測工業(yè)控制設(shè)備之間，目的是將測試儀發(fā)出的數(shù)據(jù)報文進(jìn)行變異后

發(fā)送給被測工業(yè)控制設(shè)備。

3.7

工業(yè)控制組態(tài)軟件industriaIcontrolconfigurationsoftware

在控制系統(tǒng)監(jiān)控層的軟件平臺和開發(fā)環(huán)境，使用靈活的組態(tài)方式，為用戶提供快速構(gòu)建工業(yè)控制系

統(tǒng)監(jiān)控功能的通用的軟件工具。

4縮略語

下列縮略語適用于本文件。

CVE通用漏洞披露CommonVulnerabilitiesandExposures

HTTP超文本傳輸協(xié)議HyperTextTransferProtocol

FTP文件傳輸協(xié)議FileTransferProtocol

IP互聯(lián)網(wǎng)協(xié)議InternetProtocol

TCP傳輸控制協(xié)議TransmissionControlProtocol

UDP用戶數(shù)據(jù)報協(xié)議UserDatagramProtocol

5概述

工業(yè)控制系統(tǒng)漏洞檢測的目的是檢查和分析系統(tǒng)的安全脆弱性，發(fā)現(xiàn)可能被入侵者利用的漏洞，并

提出一定的防范和補(bǔ)救措施建議。工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品應(yīng)用于工業(yè)控制環(huán)境，能夠?qū)I(yè)控制系

統(tǒng)、工業(yè)控制設(shè)備、工業(yè)控制網(wǎng)絡(luò)中的安全保護(hù)設(shè)備以及工業(yè)控制軟件等進(jìn)行自動檢測，能夠檢測出工

業(yè)控制網(wǎng)絡(luò)中存在的已知漏洞和潛在漏洞，能夠提高工業(yè)控制系統(tǒng)的安全性。

6工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品安全等級劃分

6.1基本級

本級規(guī)定了工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品的基本功能要求，通過一定的用戶標(biāo)識和鑒別來限制對產(chǎn)品

功能配置的使用和數(shù)據(jù)訪問的控制，使用戶具備自主安全保護(hù)的能力，保證漏洞檢測產(chǎn)品的正常運(yùn)行。

通過檢測信息的獲取，針對檢測結(jié)果提供基本的分析處理能力，并能生成報告，提出了基本的安全保證

要求內(nèi)容，以保證產(chǎn)品的正常使用。

6.2增強(qiáng)級

本級的工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品除具備上述基本級產(chǎn)品要求的全部功能以外，可以對管理員進(jìn)一

步劃分不同的安全管理角色，以細(xì)化對產(chǎn)品管理權(quán)限的控制，加入了審計功能，使得管理員的各項(xiàng)操作

行為都是可追蹤的。同時，還增加了支持行業(yè)專業(yè)協(xié)議和私有工業(yè)控制通信協(xié)議、異常報文檢測和處理、

測試用例編寫、測試用例推薦等內(nèi)容，使得產(chǎn)品具備的功能要求更加全面，使用更加方便，產(chǎn)品自身的

安全要求進(jìn)一步提高，產(chǎn)品的安全保證要求也更加系統(tǒng)化。

在增強(qiáng)級中新增的要求通過加粗字體標(biāo)識。

7工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品安全功能要求

7.1工業(yè)控制設(shè)備自動識別

檢測產(chǎn)品應(yīng)支持手動添加工業(yè)控制設(shè)備。

檢測產(chǎn)品應(yīng)能夠通過IP地址識別工業(yè)控制設(shè)備。

7.2工業(yè)控制設(shè)備端口掃描

檢測產(chǎn)品應(yīng)能掃描所有TCP端口，檢查其是否開啟。

檢測產(chǎn)品應(yīng)能掃描所有UDP端口，檢查其是否開啟。

對于已開啟的TCP、UDP端口，檢測產(chǎn)品應(yīng)能判斷出與之對應(yīng)的公開的工業(yè)控制通信協(xié)議。

7.3工業(yè)控制設(shè)備漏洞檢測

檢測產(chǎn)品應(yīng)能夠檢測使用（包括但不限于）以下協(xié)議的工業(yè)控制設(shè)備的安全問題：

a）工業(yè)以太網(wǎng)協(xié)議：Modbus/TCP協(xié)議、0PC協(xié)議、DNP3.0協(xié)議、IEO60875-5T04協(xié)議、IEO61850

MMS協(xié)議、SiemensS7Comm協(xié)議、PR0FINET協(xié)議、IEC-61850GOOSE協(xié)議、IEC-61850SV協(xié)

議、EtherNet/IP協(xié)議；

b）互聯(lián)網(wǎng)協(xié)議：HTTP協(xié)議、FTP協(xié)議、TELNET協(xié)議；

c）串口協(xié)議：ModbusRTU協(xié)議、IEC-60870-5-101協(xié)議；

d）私有協(xié)議（包括行業(yè)專業(yè)協(xié)議）；

注：本標(biāo)準(zhǔn)只收錄了廣泛使用的工業(yè)控制通信協(xié)議。由于工業(yè)控制設(shè)備的配置和管理可以使用互聯(lián)網(wǎng)協(xié)議，因此也

需要進(jìn)行相應(yīng)的測試。

檢測產(chǎn)品應(yīng)支持以下檢測模式中的一種：

a）檢測采用公開協(xié)議的工業(yè)控制設(shè)備的已知漏洞；

b）生成異常輸入并探測工業(yè)控制設(shè)備對異常輸入的響應(yīng)，從而發(fā)現(xiàn)潛在漏洞。

注：第2種檢測方式可能會影響工業(yè)控制設(shè)備的正常工作，在進(jìn)行在線檢測前應(yīng)明確提醒用戶。

7.4工業(yè)控制組態(tài)軟件漏洞檢測

檢測產(chǎn)品應(yīng)能夠檢測工業(yè)控制組態(tài)軟件（例如SIMATICWinCC>KingView等）的已知漏洞。

7.5工業(yè)控制設(shè)備操作系統(tǒng)檢測

檢測產(chǎn)品應(yīng)能檢測工業(yè)控制設(shè)備操作系統(tǒng)（如Vxworks、Windows、Linux等）的安全問題，檢測項(xiàng)

目應(yīng)包括（但不限于）：

a）操作系統(tǒng)類型和版本號識別；

b）操作系統(tǒng)登錄弱口令檢測；

c）操作系統(tǒng)已知安全漏洞檢測。

7.6工業(yè)控制實(shí)時/歷史數(shù)據(jù)庫漏洞檢測

檢測產(chǎn)品應(yīng)能夠檢測工業(yè)控制實(shí)時/歷史數(shù)據(jù)庫（例如PI、KingHistorian等）的已知漏洞。

7.7工業(yè)控制網(wǎng)絡(luò)設(shè)備漏洞檢測

檢測產(chǎn)品應(yīng)能夠檢測工業(yè)控制網(wǎng)絡(luò)設(shè)備（例如工業(yè)交換機(jī)等）的已知漏洞。

7.8檢測結(jié)果處理要求

7.8.1工業(yè)控制設(shè)備狀態(tài)監(jiān)控

檢測產(chǎn)品應(yīng)能夠?qū)崟r查看檢測進(jìn)度。

檢測產(chǎn)品應(yīng)能夠?qū)崟r查看測試用例的執(zhí)行步驟和每一步驟的結(jié)果。

檢測產(chǎn)品應(yīng)能夠監(jiān)測工業(yè)控制設(shè)備的實(shí)時響應(yīng)。

檢測任務(wù)應(yīng)可以隨時暫?；蛘呓K止。

當(dāng)工業(yè)控制設(shè)備不能對異常輸入做出正確響應(yīng)時，檢測產(chǎn)品應(yīng)能夠發(fā)現(xiàn)，并向用戶告警。

7.8.2檢測結(jié)果記錄

檢測結(jié)果應(yīng)能寫入結(jié)果數(shù)據(jù)庫。

檢測產(chǎn)品應(yīng)能記錄導(dǎo)致工業(yè)控制設(shè)備和系統(tǒng)異常的數(shù)據(jù)報文。

7.8.3檢測報告生成

檢測產(chǎn)品應(yīng)能根據(jù)檢測結(jié)果自動生成檢測報告。檢測報告應(yīng)包括以下內(nèi)容：

a）漏洞的名稱、CVE編號、發(fā)布日期等；

b）潛在的漏洞；

c）被測設(shè)備的危險等級評估，明確標(biāo)出掃描出的漏洞的危險等級；

注：被測設(shè)備的危險等級取決于掃描脆弱點(diǎn)的最高危險等級。危險等級的定義見附錄A。

d）檢測報告應(yīng)以通用文檔格式（例如DOC、TXT、RTF、PDF等）輸出。

報告內(nèi)容應(yīng)能根據(jù)用戶要求進(jìn)行定制。

7.9管理控制功能要求

7.9.1檢測參數(shù)設(shè)置

檢測產(chǎn)品應(yīng)能夠針對目標(biāo)工業(yè)控制設(shè)備和系統(tǒng)設(shè)置相應(yīng)的檢測參數(shù)（例如掃描地址范圍、端口范圍、

漏洞類型、測試報文、測試次數(shù)、測試時間間隔等）。

7.9.2計劃任務(wù)

檢測產(chǎn)品應(yīng)支持以下測試方式：

a）檢測產(chǎn)品應(yīng)能夠依據(jù)工業(yè)控制通信協(xié)議將測試用例進(jìn)行歸類：

b）檢測產(chǎn)品應(yīng)支持測試用例隨機(jī)組合；

c）檢測產(chǎn)品應(yīng)支持測試腳本隨機(jī)組合；

d）檢測產(chǎn)品應(yīng)支持測試用例編寫；

e）檢測產(chǎn)品應(yīng)根據(jù)設(shè)備類型向用戶推薦某（幾）類測試用例，以便更有針對性、更高效地發(fā)現(xiàn)

問題；

f）檢測產(chǎn)品應(yīng)能以任務(wù)方式進(jìn)行項(xiàng)目管理和定制檢測任務(wù)。

7.9.3設(shè)備信息庫管理

檢測產(chǎn)品應(yīng)內(nèi)置工業(yè)控制設(shè)備信息庫并允許更新。

7.9.4漏洞庫管理

檢測產(chǎn)品應(yīng)內(nèi)置漏洞管理庫。

檢測產(chǎn)品應(yīng)能更新漏洞庫，添加新發(fā)現(xiàn)的安全漏洞。

7.9.5測試用例庫管理

檢測產(chǎn)品應(yīng)內(nèi)置測試用例庫，包含測試用例和測試腳本，用于檢測已知漏洞和發(fā)現(xiàn)未知漏洞。

8工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品自身安全要求

8.1用戶管理與鑒別

8.1.1用戶管理

檢測產(chǎn)品應(yīng)可添加、刪除、激活、禁止用戶。

檢測產(chǎn)品應(yīng)為每個管理角色設(shè)定標(biāo)識、權(quán)限等安全屬性。

8.1.2用戶鑒別

檢測產(chǎn)品應(yīng)在執(zhí)行任何與安全功能相關(guān)的操作之前對用戶進(jìn)行鑒別。

8.1.3鑒別失敗處理

當(dāng)用戶鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，檢測產(chǎn)品應(yīng)阻止用戶進(jìn)一步的鑒別請求，并將有關(guān)信息

生成審計事件。

8.1.4超時設(shè)置

檢測產(chǎn)品應(yīng)具有登錄超時鎖定或注銷功能。

8.1.5遠(yuǎn)程管理

若檢測產(chǎn)品的控制臺提供遠(yuǎn)程管理功能，應(yīng)能夠?qū)蛇h(yuǎn)程管理的主機(jī)地址進(jìn)行限制。

8.2產(chǎn)品升級

8.2.1產(chǎn)品升級

產(chǎn)品應(yīng)具有升級的功能。

8.2.2升級包校驗(yàn)

產(chǎn)品應(yīng)確保升級時的安全，應(yīng)具有升級包校驗(yàn)機(jī)制，防止得到錯誤的或偽造的升級包。

8.3安全日志

8.3.1安全日志生成

檢測產(chǎn)品應(yīng)對相關(guān)安全事件生成安全日志，包括但不限于：

a）登錄成功和退出、登錄失?。?/p>

b）檢測產(chǎn)品重啟；

c）鑒別連續(xù)嘗試不成功的次數(shù)超出了設(shè)定的限值；

d）增加、刪除管理員角色和對管理員角色的屬性進(jìn)行修改的操作；

e）對審計記錄的備份和刪除；

f）產(chǎn)品升級；

g）檢測操作；

每一條安全日志應(yīng)包括事件發(fā)生的日期、時間、用戶標(biāo)識、事件類型、事件描述和結(jié)果。若采用遠(yuǎn)

程登錄方式對產(chǎn)品進(jìn)行管理還應(yīng)記錄管理主機(jī)的地址。

安全日志應(yīng)可以以通用格式（如Excel）導(dǎo)出。

8.3.2安全日志管理

檢測產(chǎn)品應(yīng)提供下列安全日志管理功能：

a）只允許授權(quán)管理員訪問安全日志；

b）提供對安全日志的查詢功能；

c）授權(quán)管理員應(yīng)能保存或刪除安全日志。

9安全保障要求

9.1配置管理

9.1.1配置管理能力

9.1.1.1版本號

開發(fā)者應(yīng)為產(chǎn)品的不同版本提供唯一的標(biāo)識。

9.1.1.2配置項(xiàng)

開發(fā)者應(yīng)使用配置管理系統(tǒng)并提供配置管理文檔。

配置管理文檔應(yīng)包括一個配置清單，配置清單應(yīng)唯一標(biāo)識組成產(chǎn)品的所有配置項(xiàng)并對配置項(xiàng)進(jìn)行描

述，還應(yīng)描述對配置項(xiàng)給出唯一標(biāo)識的方法，并提供所有的配置項(xiàng)得到有效維護(hù)的證據(jù)。

9.1.1.3授權(quán)控制

開發(fā)者提供的配置管理文檔應(yīng)包括一個配置管理計劃，配置管理計劃應(yīng)描述如何使用配置管理系

統(tǒng)。實(shí)施的配置管理應(yīng)與配置管理計劃相一致。

開發(fā)者應(yīng)提供所有的配置項(xiàng)得到有效維護(hù)的證據(jù)，并應(yīng)保證只有經(jīng)過授權(quán)才能修改配置項(xiàng)。

9.1.2配置管理覆蓋

配置管理范圍至少應(yīng)包括產(chǎn)品實(shí)現(xiàn)表示、設(shè)計文檔、測試文檔、指導(dǎo)性文檔、配置管理文檔，從

而確保它們的修改是在一個正確授權(quán)的可控方式下進(jìn)行的。

配置管理文檔至少應(yīng)能跟蹤上述內(nèi)容，并描述配置管理系統(tǒng)是如何跟蹤這些配置項(xiàng)的。

9.2交付與運(yùn)行

9.2.1交付程序

開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。

交付文檔應(yīng)描述在給用戶方交付產(chǎn)品的各版本時為維護(hù)安全所必需的所有程序。

9.2.2安裝、生成和啟動程序

開發(fā)者應(yīng)提供文檔說明產(chǎn)品的安裝、生成和啟動的過程。

9.3開發(fā)

9.3.1功能規(guī)范

9.3.1.1非形式化功能規(guī)范

開發(fā)者應(yīng)提供一個功能規(guī)范，功能規(guī)范應(yīng)滿足以下要求：

a）使用非形式化風(fēng)格來描述產(chǎn)品安全功能及其外部接口；

b）是內(nèi)在一致的；

c）描述所有外部接口的用途與使用方法，適當(dāng)時應(yīng)提供效果、例外情況和錯誤消息的細(xì)節(jié)；

d）完備地表示產(chǎn)品安全功能。

9.3.1.2高層設(shè)計

9.3.1.2.1描述性高層設(shè)計

開發(fā)者應(yīng)提供產(chǎn)品安全功能的高層設(shè)計，高層設(shè)計應(yīng)滿足以下要求：

a）表示應(yīng)是非形式化的；

b）是內(nèi)在一致的；

c）按子系統(tǒng)描述安全功能的結(jié)構(gòu)；

d）描述每個安全功能子系統(tǒng)所提供的安全功能性；

e）標(biāo)識安全功能所要求的任何基礎(chǔ)性的硬件、固件或軟件，以及在這些硬件、固件或軟件中實(shí)現(xiàn)

的支持性保護(hù)機(jī)制所提供功能的一個表示；

f）標(biāo)識安全功能子系統(tǒng)的所有接口；

g）標(biāo)識安全功能子系統(tǒng)的哪些接口是外部可見的。

9.3.1.2.2安全加強(qiáng)的高層設(shè)計

開發(fā)者提供的安全加強(qiáng)的高層設(shè)計應(yīng)滿足以下要求：

a）描述產(chǎn)品的功能子系統(tǒng)所有接口的用途與使用方法，適當(dāng)時應(yīng)提供效果、例外情況和錯誤消

息的細(xì)節(jié)；

b）把產(chǎn)品分成安全策略實(shí)施和其他子系統(tǒng)來描述。

9.4指導(dǎo)性文檔

9.4.1管理員指南

開發(fā)者應(yīng)提供管理員指南，管理員指南應(yīng)與為評估而提供的其他所有文檔保持一致。

管理員指南應(yīng)說明以下內(nèi)容：

a）管理員可使用的管理功能和接口；

b）怎樣安全地管理產(chǎn)品；

c）在安全處理環(huán)境中應(yīng)被控制的功能和權(quán)限；

d）所有對與產(chǎn)品的安全操作有關(guān)的用戶行為的假設(shè)；

e）所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；

f）每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制實(shí)體的安全特性進(jìn)行的改變;

g）所有與管理員有關(guān)的IT環(huán)境安全要求。

9.4.2用戶指南

開發(fā)者應(yīng)提供用戶指南，用戶指南應(yīng)與為評估而提供的其他所有文檔保持一致。

用戶指南應(yīng)說明以下內(nèi)容：

a）產(chǎn)品的非管理員用戶可使用的安全功能和接口；

b）產(chǎn)品提供給用戶的安全功能和接口的使用方法；

C）用戶可獲取但應(yīng)受安全處理環(huán)境所控制的所有功能和權(quán)限；

d）產(chǎn)品安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；

e）與用戶有關(guān)的IT環(huán)境的所有安全要求。

9.4.3生命周期支持

開發(fā)者應(yīng)提供開發(fā)安全文檔。

開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計和實(shí)現(xiàn)的保密性和完整性所必需的所

有物理的、程序的、人員的和其他方面的安全措施，并應(yīng)提供在產(chǎn)品的開發(fā)和維護(hù)過程中執(zhí)行安全措

施的證據(jù)。

9.5測試

9.5.1測試覆蓋

9.5.1.1覆蓋證據(jù)

開發(fā)者應(yīng)提供測試覆蓋的證據(jù)。

在測試覆蓋證據(jù)中，應(yīng)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能是對應(yīng)

的。

9.5.1.2覆蓋分析

開發(fā)者應(yīng)提供測試覆蓋的分析結(jié)果。

測試覆蓋的分析結(jié)果應(yīng)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能之間

的對應(yīng)性是完備的。

9.5.2測試深度

開發(fā)者應(yīng)提供測試深度的分析。

深度分析應(yīng)證實(shí)測試文檔中所標(biāo)識的測試足以證實(shí)該產(chǎn)品的功能是依照其高層設(shè)計運(yùn)行的。

9.5.3功能測試

開發(fā)者應(yīng)測試安全功能，將結(jié)果文檔化并提供測試文檔。

測試文檔應(yīng)包括以下內(nèi)容：

a）測試計劃，應(yīng)標(biāo)識要測試的安全功能，并描述測試的目標(biāo)；

b）測試過程，應(yīng)標(biāo)識要執(zhí)行的測試，并描述每個安全功能的測試概況，這些概況應(yīng)包括對于其他

測試結(jié)果的順序依賴性；

c）預(yù)期的測試結(jié)果，應(yīng)表明測試成功后的預(yù)期輸出；

d）實(shí)際測試結(jié)果，應(yīng)表明每個被測試的安全功能能按照規(guī)定進(jìn)行運(yùn)作。

9.5.4獨(dú)立測試

9.5.4.1一致性

開發(fā)者應(yīng)提供適合測試的產(chǎn)品，提供的測試集合應(yīng)與其自測產(chǎn)品功能時使用的測試集合相一致。

9.5.4.2抽樣

開發(fā)者應(yīng)提供一組相當(dāng)?shù)馁Y源，用于安全功能的抽樣測試。

9.6脆弱性分析保證

9.6.1指南審查

開發(fā)者應(yīng)提供指導(dǎo)性文檔，指導(dǎo)性文檔應(yīng)滿足以下要求：

a）標(biāo)識所有可能的產(chǎn)品運(yùn)行模式（包括失敗或操作失誤后的運(yùn)行）、它們的后果以及對于保持安

全運(yùn)行的意義；

b）是完備的、清晰的、一致的、合理的；

0列出關(guān)于預(yù)期使用環(huán)境的所有假設(shè)；

d）列出對外部安全措施（包括外部程序的、物理的或人員的控制）的所有要求。

9.6.2產(chǎn)品安全功能強(qiáng)度評估

開發(fā)者應(yīng)對指導(dǎo)性文檔中所標(biāo)識的每個具有安全功能強(qiáng)度聲明的安全機(jī)制進(jìn)行安全功能強(qiáng)度分析,

并說明安全機(jī)制達(dá)到或超過定義的最低強(qiáng)度級別或特定功能強(qiáng)度度量。

9.6.3開發(fā)者脆弱性分析

開發(fā)者應(yīng)執(zhí)行脆弱性分析，并提供脆弱性分析文檔。

開發(fā)者應(yīng)從用戶可能破壞安全策略的明顯途徑出發(fā)，對產(chǎn)品的各種功能進(jìn)行分析并提供文檔。對被

確定的脆弱性，開發(fā)者應(yīng)明確記錄采取的措施。

對每一條脆弱性，應(yīng)有證據(jù)顯示在使用產(chǎn)品的環(huán)境中，該脆弱性不能被利用。

開發(fā)者應(yīng)提供文檔證明經(jīng)過標(biāo)識脆弱性的產(chǎn)品可以抵御明顯的穿透性攻擊。

10測試環(huán)境

檢測產(chǎn)品應(yīng)支持直連方式和代理方式。漏洞檢測系統(tǒng)功能測試拓?fù)浣Y(jié)構(gòu)如圖1所示。在直連方式下，

漏洞檢測產(chǎn)品直接向工業(yè)控制設(shè)備發(fā)送測試報文。在代理方式下，漏洞檢測產(chǎn)品將測試儀發(fā)出的數(shù)據(jù)報

文加以變異后發(fā)送給工業(yè)控制設(shè)備。

直連方式代理方式

圖1漏洞檢測系統(tǒng)功能測試拓?fù)浣Y(jié)構(gòu)

11工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品安全功能測評

11.1工業(yè)控制設(shè)備自動識別

對工業(yè)控制設(shè)備自動識別的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）登錄控制臺界面；

2）輸入工業(yè)控制設(shè)備的IP地址；

3）輸入無效的IP地址。

b）預(yù)期結(jié)果：

1）能夠通過輸入IP地址來手動添加工業(yè)控制設(shè)備；

2）對于有效的IP地址，漏洞檢測產(chǎn)品能夠自動識別工業(yè)控制設(shè)備、正確顯示設(shè)備廠商名稱

和設(shè)備類型；

3）漏洞檢測產(chǎn)品無法識別無效的IP地址。

11.2工業(yè)控制設(shè)備端口掃描

對工業(yè)控制設(shè)備端口掃描的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）掃描工業(yè)控制設(shè)備的所有TCP端口；

2）掃描工業(yè)控制設(shè)備的所有UDP端口。

b）預(yù)期結(jié)果：

1）漏洞檢測產(chǎn)品能夠掃描所有TCP端口，檢查其是否開啟；

2）漏洞檢測產(chǎn)品能夠掃描所有UDP端口，檢查其是否開啟；

3）對于己周知的TCP、UDP端口，漏洞檢測產(chǎn)品能夠判斷出與之對應(yīng)的工業(yè)控制通信協(xié)議。

11.3工業(yè)控制設(shè)備漏洞檢測

11.3.1工業(yè)以太網(wǎng)協(xié)議漏洞檢測

工業(yè)以太網(wǎng)協(xié)議漏洞檢測的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）在直連方式下，漏洞檢測產(chǎn)品向工業(yè)控制設(shè)備發(fā)送包含已知漏洞的報文；

2）在代理方式下，漏洞檢測產(chǎn)品將測試儀發(fā)送的數(shù)據(jù)報文加以變異后發(fā)送給工業(yè)控制設(shè)備。

b）預(yù)期結(jié)果：

1）漏洞檢測產(chǎn)品能夠通過工業(yè)控制設(shè)備的響應(yīng)來發(fā)現(xiàn)工業(yè)控制設(shè)備是否存在的已知漏洞；

2）漏洞檢測產(chǎn)品能夠?qū)y試儀發(fā)出的數(shù)據(jù)報文加以變異后發(fā)送給工業(yè)控制設(shè)備：并探測工業(yè)

控制設(shè)備對異常報文的響應(yīng)。當(dāng)工業(yè)控制設(shè)備不能對異常報文做出正確響應(yīng)時，漏洞檢測

產(chǎn)品能夠發(fā)現(xiàn)。

11.3.2互聯(lián)網(wǎng)協(xié)議漏洞檢測

用于工業(yè)控制的互聯(lián)網(wǎng)協(xié)議漏洞檢測的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）在直連方式下，漏洞檢測產(chǎn)品向工業(yè)控制設(shè)備發(fā)送包含已知漏洞的報文；

2）在代理方式下，漏洞檢測產(chǎn)品將測試儀發(fā)送的數(shù)據(jù)報文加以變異后發(fā)送給工業(yè)控制設(shè)備。

b）預(yù)期結(jié)果：

1）漏洞檢測產(chǎn)品能夠通過工業(yè)控制設(shè)備的響應(yīng)來發(fā)現(xiàn)工業(yè)控制設(shè)備是否存在的已知漏洞；

2）漏洞檢測產(chǎn)品能夠?qū)y試儀發(fā)出的數(shù)據(jù)報文加以變異后發(fā)送給工業(yè)控制設(shè)備；并探測工業(yè)

控制設(shè)備對異常報文的響應(yīng)。當(dāng)工業(yè)控制設(shè)備不能對異常報文做出正確響應(yīng)時，漏洞檢測

產(chǎn)品能夠發(fā)現(xiàn)。

11.3.3串口協(xié)議漏洞檢測

用于工業(yè)控制的串口協(xié)議漏洞檢測的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）在直連方式下，漏洞檢測產(chǎn)品向工業(yè)控制設(shè)備發(fā)送包含已知漏洞的報文；

2）在代理方式下，漏洞檢測產(chǎn)品將測試儀發(fā)送的數(shù)據(jù)報文加以變異后發(fā)送給工業(yè)控制設(shè)備。

b）預(yù)期結(jié)果：

1）漏洞檢測產(chǎn)品能夠通過工業(yè)控制設(shè)備的響應(yīng)來發(fā)現(xiàn)工業(yè)控制設(shè)備是否存在的已知漏洞；

2）漏洞檢測產(chǎn)品能夠?qū)y試儀發(fā)出的數(shù)據(jù)報文加以變異后發(fā)送給工業(yè)控制設(shè)備；并探測工

業(yè)控制設(shè)備對異常報文的響應(yīng)。當(dāng)工業(yè)控制設(shè)備不能對異常報文做出正確響應(yīng)時，漏洞

檢測產(chǎn)品能夠發(fā)現(xiàn)。

11.3.4工業(yè)控制私有協(xié)議漏洞檢測

工業(yè)控制私有協(xié)議漏洞檢測的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

在代理方式下，漏洞檢測產(chǎn)品將測試儀發(fā)送的數(shù)據(jù)報文加以變異后發(fā)送給工業(yè)控制設(shè)備；

b）預(yù)期結(jié)果：

漏洞檢測產(chǎn)品能夠?qū)y試儀發(fā)出的數(shù)據(jù)報文加以變異后發(fā)送給工業(yè)控制設(shè)備；并探測工業(yè)控

制設(shè)備對異常輸入的響應(yīng)。當(dāng)工業(yè)控制設(shè)備不能對異常輸入做出正確響應(yīng)時，漏洞檢測產(chǎn)品

能夠發(fā)現(xiàn)。

11.4工業(yè)控制組態(tài)軟件漏洞檢測

工業(yè)控制組態(tài)軟件漏洞檢測的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

在直連方式下，在漏洞檢測產(chǎn)品上運(yùn)行針對工業(yè)控制組態(tài)軟件漏洞的測試用例。

b）預(yù)期結(jié)果：

漏洞檢測產(chǎn)品能夠掃描出工業(yè)控制設(shè)備存在的工業(yè)控制組態(tài)軟件漏洞。

11.5工業(yè)控制設(shè)備操作系統(tǒng)檢測

工業(yè)控制設(shè)備操作系統(tǒng)檢測的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）工業(yè)控制設(shè)備預(yù)置登錄弱口令，并開放被測端口；

2）在漏洞檢測產(chǎn)品上運(yùn)行操作系統(tǒng)登錄弱口令檢測；

3）在漏洞檢測產(chǎn)品上運(yùn)行操作系統(tǒng)安全漏洞檢測。

b）預(yù)期結(jié)果：

1）漏洞檢測產(chǎn)品能夠識別工業(yè)控制設(shè)備的操作系統(tǒng)類型和版本號；

2）漏洞檢測產(chǎn)品能夠檢測出登錄弱口令；

3）漏洞檢測產(chǎn)品能夠根據(jù)工業(yè)控制設(shè)備的操作系統(tǒng)類型運(yùn)行測試用例，并檢測出已知安全漏

洞.

11.6工業(yè)控制實(shí)時/歷史數(shù)據(jù)庫漏洞檢測

工業(yè)控制實(shí)時/歷史數(shù)據(jù)庫漏洞檢測的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

在直連方式下，漏洞檢測產(chǎn)品向工業(yè)控制實(shí)時/歷史數(shù)據(jù)庫服務(wù)器發(fā)送包含實(shí)時/歷史數(shù)據(jù)庫已

知漏洞的報文。

b）預(yù)期結(jié)果：

漏洞檢測產(chǎn)品能夠通過工業(yè)控制實(shí)時/歷史數(shù)據(jù)庫服務(wù)器的響應(yīng)來發(fā)現(xiàn)工業(yè)控制實(shí)時/歷史數(shù)

據(jù)庫是否存在的已知漏洞。

11.7工業(yè)控制網(wǎng)絡(luò)設(shè)備漏洞檢測

工業(yè)控制網(wǎng)絡(luò)設(shè)備漏洞檢測的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

在直連方式下，漏洞檢測產(chǎn)品向工業(yè)控制網(wǎng)絡(luò)設(shè)備發(fā)送包含已知漏洞的報文。

b）預(yù)期結(jié)果：

漏洞檢測產(chǎn)品能夠通過工業(yè)控制網(wǎng)絡(luò)設(shè)備的響應(yīng)來發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)設(shè)備是否存在的已知漏

洞。

11.8檢測結(jié)果處理

11.8.1工業(yè)控制設(shè)備狀態(tài)監(jiān)控

工業(yè)控制設(shè)備狀態(tài)監(jiān)控的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）登錄控制臺界面；

2）選定工業(yè)控制設(shè)備并運(yùn)行測試腳本；

3）暫?；蛘呓K止測試腳本。

b）預(yù)期結(jié)果：

1）能夠?qū)崟r查看檢測進(jìn)度；

2）能夠?qū)崟r查看檢測過程中執(zhí)行測試用例步驟和每一步驟的結(jié)果；

3）能夠監(jiān)測到工業(yè)控制設(shè)備的實(shí)時響應(yīng)；

4）可以隨時暫?；蛘呓K止測試；

5）當(dāng)工業(yè)控制設(shè)備不能對異常輸入做出正確響應(yīng)時，能夠發(fā)現(xiàn)并向用戶告警。

11.8.2檢測結(jié)果記錄

檢測結(jié)果記錄的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）登錄控制臺界面；

2）檢查是否具有記錄檢測結(jié)果的數(shù)據(jù)庫；

3）檢查是否可以記錄導(dǎo)致工業(yè)控制設(shè)備異常的非法輸入數(shù)據(jù)報文。

b）預(yù)期結(jié)果：

1）漏洞檢測產(chǎn)品具有記錄檢測結(jié)果的數(shù)據(jù)庫；

2）數(shù)據(jù)庫可以記錄導(dǎo)致工業(yè)控制設(shè)備異常的非法輸入數(shù)據(jù)報文。

11.8.3檢測報告生成

檢測報告生成的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）查看報告生成功能；

2）查看報告的生成方式；

3）查看生成報告的內(nèi)容；

4）查看是否可以指定報告內(nèi)容。

b）預(yù)期結(jié)果：

1）具有生成報告的功能；

2）提供默認(rèn)的模板以供快速生成報告；

3）生成的報告包含表格形式、柱狀圖、餅圖等，并可生成日報、周報等匯總報告；

4）生成的報告支持多種文檔格式（例如DOC、TXT、RTF、PDF等）；

5）生成的報告包括所有檢測出的漏洞的名稱、類型、CVE編號、漏洞發(fā)布日期等信息；

6）能夠在檢測報告生成頁面上添加新發(fā)現(xiàn)的漏洞；

7）生成的報告包括對被檢測設(shè)備的危險等級評估，掃描脆弱點(diǎn)按風(fēng)險嚴(yán)重程度分級，并明確

標(biāo)出；

8）可以指定報告內(nèi)容。

11.9管理控制功能

11.9.1檢測參數(shù)設(shè)置

檢測參數(shù)設(shè)置的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）登錄控制臺管理界面；

2）檢查是否可以設(shè)置檢測參數(shù)。

b）預(yù)期結(jié)果：

能夠設(shè)置檢測參數(shù)（例如掃描地址范圍、端口范圍、漏洞類型、測試報文、測試次數(shù)、測試時

間間隔等）。

11.9.2計劃任務(wù)

計劃任務(wù)的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）登錄控制臺管理界面；

2）檢查是否能夠依據(jù)工業(yè)控制通信協(xié)議將測試用例進(jìn)行歸類；

3）檢查是否支持測試用例隨機(jī)組合；

4）檢查是否支持測試腳本隨機(jī)組合；

5）檢查是否支持測試用例編寫；

6）選擇工業(yè)控制設(shè)備，檢查是否根據(jù)設(shè)備類型向用戶推薦某（幾）類測試用例;

7）檢查是否能夠以任務(wù)方式進(jìn)行項(xiàng)目管理和定制檢測任務(wù)。

b）預(yù)期結(jié)果：

1）能夠依據(jù)工業(yè)控制通信協(xié)議將測試用例進(jìn)行歸類；

2）支持測試用例隨機(jī)組合；

3）支持測試腳本隨機(jī)組合；

4）支持測試用例編寫；

5）能夠根據(jù)設(shè)備類型向用戶推薦某（幾）類測試用例；

6）能夠以任務(wù)方式進(jìn)行項(xiàng)目管理和定制檢測任務(wù)。

11.9.3設(shè)備信息庫管理

設(shè)備信息庫的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）登錄控制臺管理界面；

2）檢查是否具有工業(yè)控制設(shè)備信息庫；

3）檢查是否允許用戶自定義及增刪設(shè)備型號。

b）預(yù)期結(jié)果：

1）具有工業(yè)控制設(shè)備信息庫；

2）允許用戶自定義及增刪設(shè)備型號；

3）對于新增設(shè)備，可以添加設(shè)備特征信息。

11.9.4漏洞庫管理

漏洞庫管理的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）登錄控制臺管理界面；

2）檢查是否具漏洞管理庫；

3）檢查是否可以添加新的安全漏洞。

b）預(yù)期結(jié)果：

1）具有漏洞管理庫；

2）可以添加新的安全漏洞。

11.9.5測試用例庫管理

測試用例庫管理的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）登錄控制臺管理界面；

2）檢查是否具有測試用例庫。

b）預(yù)期結(jié)果：

1）具有測試用例庫；

2）庫中包含測試用例和測試腳本。

12工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品自身安全功能測評

12.1用戶管理與鑒別

12.1.1用戶管理

用戶管理的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）檢查漏洞檢測產(chǎn)品是否能夠設(shè)置不同的用戶角色；

2）增加用戶并設(shè)置安全屬性；

3）刪除用戶。

b）預(yù)期結(jié)果：

1）漏洞檢測產(chǎn)品能夠設(shè)置不同的用戶角色；

2）漏洞檢測產(chǎn)品能夠添加用戶并設(shè)置安全屬性；

3）漏洞檢測產(chǎn)品能夠刪除用戶。

12.1.2用戶鑒別

對用戶鑒別的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

登錄控制臺，檢查是否在執(zhí)行所有功能之前要求首先進(jìn)行身份鑒別。

b）預(yù)期結(jié)果：

1）在用戶執(zhí)行任何與安全功能相關(guān)的操作之前都應(yīng)對用戶進(jìn)行鑒別；

2）登錄之前允許做的操作，僅限于輸入登錄信息、查看登錄幫助等操作；

3）允許用戶在登錄后執(zhí)行與其安全功能相關(guān)的各類操作時，不再重復(fù)鑒別。

12.1.3鑒別失敗處理

對鑒別失敗的處理的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）檢查漏洞檢測產(chǎn)品的安全功能是否可定義用戶鑒別嘗試的最大允許失敗次數(shù)；

2）檢查漏洞檢測產(chǎn)品的安全功能是否可定義當(dāng)用戶鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，采取

相應(yīng)的措施、阻止用戶進(jìn)一步的鑒別請求；

3）嘗試多次失敗的用戶鑒別行為，檢查到達(dá)指定的鑒別失敗次數(shù)后，漏洞檢測產(chǎn)品是否采取

了相應(yīng)的措施，并生成了審計事件。

b）預(yù)期結(jié)果：

1）漏洞檢測產(chǎn)品具備定義用戶鑒別嘗試的最大允許失敗次數(shù)的功能；

2）當(dāng)用戶鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，漏洞檢測產(chǎn)品能夠鎖定該帳號，并將有關(guān)信息

生成審計事件；

3）最多失敗次數(shù)僅由授權(quán)用戶設(shè)定。

12.1.4超時設(shè)置

對超時設(shè)置的測試評價方法與預(yù)期結(jié)果如下:

a）測試評價方法：

1）檢查漏洞檢測產(chǎn)品是否具有用戶登錄超時重新鑒別功能；

2）設(shè)定用戶登錄超時重新鑒別的時間段，檢查登錄用戶在設(shè)定的時間段內(nèi)沒有任何操作

3）的情況下，漏洞檢測產(chǎn)品是否鎖定或終止了會話，用戶是否需要再次進(jìn)行身份鑒別才能

夠重新管理和使用漏洞檢測產(chǎn)品。

b）預(yù)期結(jié)果：

1）漏洞檢測產(chǎn)品具有登錄超時重新鑒別功能；

2）任何登錄用戶在設(shè)定的時間段內(nèi)沒有任何操作的情況下，應(yīng)被鎖定或終止了會話，管理

3）員需要再次進(jìn)行身份鑒別才能夠重新管理和使用漏洞檢測產(chǎn)品；

4）最大超時時間僅由授權(quán)管理員設(shè)定。

12.1.5遠(yuǎn)程管理

對控制臺鑒別的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）通過控制臺設(shè)置可以進(jìn)行遠(yuǎn)程管理的主機(jī)地址；

2）檢查是否在執(zhí)行所有功能之前要求首先進(jìn)行主機(jī)地址鑒別。

b）預(yù)期結(jié)果：

1）可以設(shè)置遠(yuǎn)程管理主機(jī)地址；

2）在通過遠(yuǎn)程主機(jī)進(jìn)行任何與安全功能相關(guān)的操作之前都應(yīng)進(jìn)行鑒別。

12.2產(chǎn)品升級

12.2.1產(chǎn)品升級

對漏洞檢測產(chǎn)品的產(chǎn)品升級功能的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）檢查產(chǎn)品的升級方式；

2）進(jìn)行產(chǎn)品升級。

b）預(yù)期結(jié)果：

1）可以升級產(chǎn)品；

2）升級的過程中被測設(shè)備可以正常工作；

3）升級后可以正常工作。

12.2.2升級包校驗(yàn)

對漏洞檢測產(chǎn)品的升級包較驗(yàn)功能的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

檢查產(chǎn)品是否具有升級包校驗(yàn)機(jī)制。

b）預(yù)期結(jié)果：

產(chǎn)品具有升級包校驗(yàn)機(jī)制。

12.3安全日志

12.3.1安全日志生成

a）測試評價方法：

1）結(jié)合開發(fā)者文檔，使用不同角色管理員模擬對漏洞檢測產(chǎn)品進(jìn)行訪問、運(yùn)行、修改、關(guān)閉

以及重復(fù)失敗嘗試等相關(guān)操作，檢查漏洞檢測產(chǎn)品提供了對哪些事件的審計；

2）審查安全日志的正確性。

b）預(yù)期結(jié)果：

1）漏洞檢測產(chǎn)品至少為下述可審計事件產(chǎn)生安全日志：用戶登錄、用戶退出、鑒別失敗、設(shè)

備重啟、安全配置更改等重大事件，產(chǎn)品升級時間和版本號等；

2）在每個安全日志中至少記錄如下信息：事件主體、事件類型、事件發(fā)生的日期、時間、源

地址，和事件描述等；

3）日志能夠以通用格式（如Excel）導(dǎo)出。

12.3.2安全日志管理

對受限的安全日志查閱的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）模擬授權(quán)與非授權(quán)管理員訪問安全日志，檢查是否僅允許授權(quán)管理員訪問安全日志；

2）檢查是否可以進(jìn)行日志查詢；

3）檢查是否可以修改日志。

b）預(yù)期結(jié)果：

1）除了具有明確的訪問權(quán)限的授權(quán)管理員之外，禁止所有其它用戶對安全日志的訪問；

2）提供日志查詢功能；

3）允許授權(quán)管理員保存或刪除安全日志。

13安全保障測評

13.1配置管理

13.1.1配置管理能力

13.1.1.1版本號

對版本號的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者提供的配置管理支持文件是否包含以下內(nèi)容：版本號，要求開發(fā)者所使用

的版本號與所應(yīng)表示的產(chǎn)品樣本完全對應(yīng)，沒有歧義。

b）預(yù)期結(jié)果：

審查記錄以及最后結(jié)果（符合/不符合），開發(fā)者應(yīng)提供唯一版本號。

13.1.1.2配置項(xiàng)

對配置項(xiàng)的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者所提供的信息是否滿足如下要求：

1）配置管理功能應(yīng)對所有的配置項(xiàng)定義唯一的標(biāo)識；

2）配置管理文檔應(yīng)包括配置清單、配置管理計劃。配置清單用來描述組成系統(tǒng)的配置項(xiàng)；

3）配置管理文檔還應(yīng)描述對配置項(xiàng)給出唯一標(biāo)識的方法。

b）預(yù)期結(jié)果：

審查記錄以及最后結(jié)果（符合/不符合），評價者審查內(nèi)容至少包括測試評價方法中的三方面。

13.1.1.3授權(quán)控制

對授權(quán)控制的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者所提供的信息是否滿足如下要求：

1）配置管理系統(tǒng)應(yīng)保證只有經(jīng)過授權(quán)才能修改配置項(xiàng)；

2）在配置管理計劃中，應(yīng)描述配置管理系統(tǒng)是如何使用的。實(shí)施的配置管理應(yīng)與配置管理計

劃相一致；

3）配置管理文檔還應(yīng)提供所有的配置項(xiàng)得到有效地維護(hù)的證據(jù)。

b）預(yù)期結(jié)果：

審查記錄以及最后結(jié)果（符合/不符合），評價者審查內(nèi)容至少包括測試評價方法中的三方面。

開發(fā)者提供的配置管理內(nèi)容應(yīng)完整。

13.1.2配置管理覆蓋

對配置管理覆蓋的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者提供的配置管理支持文件是否包含以下內(nèi)容：

1）產(chǎn)品配置管理范圍，要求將系統(tǒng)的交付與運(yùn)行文檔、開發(fā)文檔、指導(dǎo)性文檔、生命周期支

持文檔、測試文檔、脆弱性分析文檔和配置管理文檔等置于配置管理之下，從而確保它們

的修改是在一個正確授權(quán)的可控方式下進(jìn)行的。為此要求：

一開發(fā)者所提供的配置管理文檔應(yīng)展示配置管理系統(tǒng)至少能跟蹤上述配置管理之下的

內(nèi)容；

一一文檔應(yīng)描述配置管理系統(tǒng)是如何跟蹤這些配置項(xiàng)的；

——文檔還應(yīng)提供足夠的信息表明達(dá)到所有要求。

2）問題跟蹤配置管理范圍，除產(chǎn)品配置管理范圍描述的內(nèi)容外，要求特別強(qiáng)調(diào)對安全缺陷的

跟蹤。

b）預(yù)期結(jié)果：

審查記錄以及最后結(jié)果（符合/不符合）符合測試評價方法要求，評價者應(yīng)審查產(chǎn)品受控于配

置管理。

13.2交付與運(yùn)行

13.2.1交付程序

對交付程序的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者是否使用一定的交付程序交付系統(tǒng)，并使用文檔描述交付過程，并且評價

者應(yīng)審查開發(fā)者交付的文檔是否包含以下內(nèi)容：在給用戶方交付系統(tǒng)的各版本時，為維護(hù)安全

所必需的所有程序。

b）預(yù)期結(jié)果：

測試記錄以及最后結(jié)果（符合/不符合）應(yīng)符合測試評價方法要求，開發(fā)者應(yīng)提供完整的文檔

描述所有交付的過程（文檔和程序交付）。

13.2.2安裝、生成和啟動程序

對安裝、生成和啟動程序的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者是否提供了文檔說明系統(tǒng)的安裝、生成、啟動和使用的過程。用戶能夠通

過此文檔了解安裝、生成、啟動和使用過程。

b）預(yù)期結(jié)果：

審查記錄以及最后結(jié)果（符合/不符合）應(yīng)符合測試評價方法要求。

13.3開發(fā)

13.3.1非形式化功能規(guī)范

對非形式化功能規(guī)范的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者所提供的信息是否滿足如下要求：

1）功能設(shè)計應(yīng)當(dāng)使用非形式化風(fēng)格來描述產(chǎn)品安全功能與其外部接口；

2）功能設(shè)計應(yīng)當(dāng)是內(nèi)在一致的；

3）功能設(shè)計應(yīng)當(dāng)描述使用所有外部產(chǎn)品安全功能接口的目的與方法，適當(dāng)?shù)臅r候，要提供結(jié)

果影響例外情況和出錯信息的細(xì)節(jié)；

4）功能設(shè)計應(yīng)當(dāng)完整地表示產(chǎn)品安全功能。

評價者應(yīng)確認(rèn)功能設(shè)計是否是系統(tǒng)安全要求的精確和完整的示例。

b）預(yù)期結(jié)果：

審查記錄以及最后結(jié)果（符合/不符合），評價者審查內(nèi)容至少包括測試評價方法中的四個方

面。開發(fā)者提供的內(nèi)容應(yīng)精確和完整。

13.3.2高層設(shè)計

13.3.2.1描述性高層設(shè)計

對描述性高層設(shè)計的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者所提供的信息是否滿足如下要求：

1）表示應(yīng)是非形式化的；

2）是內(nèi)在一致的；

3）按子系統(tǒng)描述安全功能的結(jié)構(gòu)；

4）描述每個安全功能子系統(tǒng)所提供的安全功能性；

5）標(biāo)識安全功能所要求的任何基礎(chǔ)性的硬件、固件或軟件，以及在這些硬件、固件或軟件中

實(shí)現(xiàn)的支持性保護(hù)機(jī)制所提供功能的一個表示；

6）標(biāo)識安全功能子系統(tǒng)的所有接口；

7）標(biāo)識安全功能子系統(tǒng)的哪些接口是外部可見的。

b）預(yù)期結(jié)果：

審查記錄以及最后結(jié)果（符合/不符合），評價者審查內(nèi)容至少包括測試評價方法中的七個方

面。開發(fā)者提供的高層設(shè)計內(nèi)容應(yīng)精確和完整.

13.3.2.2安全加強(qiáng)的高層設(shè)計

對安全加強(qiáng)的高層設(shè)計的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者所提供的安全加強(qiáng)高層設(shè)計是否滿足如下要求：

1）描述系統(tǒng)的功能子系統(tǒng)所有接口的用途與使用方法，適當(dāng)時應(yīng)提供效果、例外情況和錯誤

消息的細(xì)節(jié)；

2）把系統(tǒng)分成安全策略實(shí)施和其它子系統(tǒng)來描述。

b）預(yù)期結(jié)果：

審查記錄以及最后結(jié)果（符合/不符合），評價者審查內(nèi)容至少包括測試評價方法中的兩個方

面。

13.4文檔要求

13.4.1管理員指南

對管理員指南的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者是否提供了供授權(quán)管理員使用的管理員指南，并且此管理員指南是否包括

如下內(nèi)容：

1）產(chǎn)品可以使用的管理功能和接口；

2）怎樣安全地管理產(chǎn)品；

3）在安全處理環(huán)境中應(yīng)進(jìn)行控制的功能和權(quán)限；

4）所有對與產(chǎn)品的安全操作有關(guān)的用戶行為的假設(shè)；

5）所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；

6）每一種與管理功能有關(guān)的安全相關(guān)事件,包括對安全功能所控制的實(shí)體的安全特性進(jìn)行的

改變；

7）所有與授權(quán)管理員有關(guān)的IT環(huán)境的安全要求。

b）預(yù)期結(jié)果：

測試記錄以及最后結(jié)果（符合/不符合）應(yīng)符合測試評價方法要求，評價者審查內(nèi)容至少包括

測試評價方法中的七方面。開發(fā)者提供的管理員指南應(yīng)完整。

13.4.2用戶指南

對用戶指南的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者是否提供了供系統(tǒng)用戶使用的用戶指南，并且此用戶指南是否包括如下內(nèi)

容：

1）產(chǎn)品的非管理用戶可使用的安全功能和接口；

2）產(chǎn)品提供給用戶的安全功能和接口的用法；

3）用戶可獲取但應(yīng)受安全處理環(huán)境控制的所有功能和權(quán)限；

4）產(chǎn)品安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；

5）與用戶有關(guān)的IT環(huán)境的所有安全要求。

b）預(yù)期結(jié)果：

測試記錄以及最后結(jié)果（符合/不符合）應(yīng)符合測試評價方法要求，評價者審查內(nèi)容至少包括

測試評價方法中的五方面。開發(fā)者提供的用戶指南應(yīng)完整。

13.4.3生命周期支持

對生命周期支持的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者所提供的開發(fā)安全文檔是否滿足如下要求：描述在系統(tǒng)的開發(fā)環(huán)境中，為

保護(hù)系統(tǒng)設(shè)計和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其它方面的安

全措施，并應(yīng)提供在系統(tǒng)的開發(fā)和維護(hù)過程中執(zhí)行安全措施的證據(jù)。

b）預(yù)期結(jié)果：

測試記錄以及最后結(jié)果（符合/不符合）應(yīng)符合測試評價方法要求，開發(fā)者提供的開發(fā)安全文

檔應(yīng)完整。

13.5測試

13.5.1測試覆蓋

13.5.1.1覆蓋證據(jù)

對覆蓋證據(jù)的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價者應(yīng)審查開發(fā)者提供的測試覆蓋證據(jù)，在測試覆蓋證據(jù)中，是否表明測試文檔中所標(biāo)識的

測試與功能規(guī)范中所描述的系統(tǒng)的安全功能是對應(yīng)的。

b）預(yù)期結(jié)果：

審查記錄以及最后結(jié)果（符合/不符合），開發(fā)者提供的測試覆蓋證據(jù)，應(yīng)表明測試文檔中所

標(biāo)識的測試與功能規(guī)范中所描述的系統(tǒng)的安全功能是對應(yīng)的。

13.5.1.2覆蓋分析

對覆蓋分析的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）評價者應(yīng)審查開發(fā)者提供的測試覆蓋分析結(jié)果，是否表明了測試文檔中所標(biāo)識的測試與安

全功能設(shè)計中所描述的安全功能是對應(yīng)的；

2）評價測試文檔中所標(biāo)識的測試，是否完整。

b）預(yù)期結(jié)果：

審查記錄以及最后結(jié)果（符合/不符合），開發(fā)者提供的測試文檔中所標(biāo)識的測試與安全功能

設(shè)計中所描述的安全功能應(yīng)對應(yīng)，并且標(biāo)識的測試應(yīng)覆蓋所有安全功能。

13.5.2測試深度

對測試深度的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

評價開發(fā)者提供的測試深度分析，是否說明了測試文檔中所標(biāo)識的對安全功能的測試，足以表

明該安全功能和高層設(shè)計是一致的。

b）預(yù)期結(jié)果：

測試記錄以及最后結(jié)果（符合/不符合）應(yīng)符合測試評價方法要求，評價者測試和審查與安全

功能相對應(yīng)的測試，這些測試應(yīng)能正確保證測試出的安全功能符合高層設(shè)計的要求。

13.5.3功能測試

對功能測試的測試評價方法與預(yù)期結(jié)果如下：

a）測試評價方法：

1）評價開發(fā)者提供的測試文檔，是否包括測試計劃、測試規(guī)程、預(yù)期的測試結(jié)果和實(shí)際測試

結(jié)果；

2）評價測試計劃是否標(biāo)識了要測試的安全功能，是否描述了測試的目標(biāo)；

3）評價測試規(guī)程是否標(biāo)識了要執(zhí)行的測試，是否描述了每個安全功能的測試概況（這些概況

包括對其它測試結(jié)果的順序依賴性）；

4）評價期望的測試結(jié)果是否表明測試成功后的預(yù)期輸出；

5）評價實(shí)際測試結(jié)果是否表明每個被測試的安全功能能按照規(guī)定進(jìn)行運(yùn)作。

b）預(yù)期結(jié)果：

測試記錄以及最后結(jié)果（符合/不符合）應(yīng)符合測試評價方法要求，評價者審查內(nèi)容至少包括

測試評價方法中的五方面。開發(fā)者提供的內(nèi)容應(yīng)完整。

13.5.4獨(dú)立測試

13.5,4.1一致性

對一致性的測試評價方法與預(yù)期結(jié)果