(高清版)GBT 28451-2023 信息安全技術(shù) 網(wǎng)絡(luò)入侵防御產(chǎn)品技術(shù)規(guī)范

代替GB/T28451—2012信息安全技術(shù)網(wǎng)絡(luò)入侵防御產(chǎn)品技術(shù)規(guī)范2023-05-23發(fā)布I 2規(guī)范性引用文件 l3術(shù)語和定義 14縮略語 25概述 26安全技術(shù)要求 36.1安全功能要求 36.2自身安全要求 56.3性能要求 66.4環(huán)境適應(yīng)性要求 76.5安全保障要求 87測評方法 7.1測評環(huán)境 7.2測評工具 7.3安全功能測評 7.4自身安全測評 7.5性能測評 7.6環(huán)境適應(yīng)性測評 7.7安全保障評估 8等級劃分要求 附錄A(規(guī)范性)網(wǎng)絡(luò)入侵防御產(chǎn)品等級劃分 A.1概述 A.2安全技術(shù)要求等級劃分 A.3測評方法等級劃分 Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T28451—2012《信息安全技術(shù)網(wǎng)絡(luò)型入侵防御產(chǎn)品技術(shù)要求和測試評價(jià)方法》,與GB/T28451—2012相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：b)增加了“攻擊數(shù)據(jù)留存”要求(見);d)增加了“日志外發(fā)”要求(見2);e)增加了“網(wǎng)絡(luò)層吞吐量”"混合應(yīng)用層吞吐量""TCP新建連接速率""TCP并發(fā)連接數(shù)"等性能要求的具體內(nèi)容(見6.3.1,6.3.2,6.3.3和6.3.4);f)增加了產(chǎn)品誤攔截率和漏攔截率的具體要求(見6.3.5、6.3.6,2012年版的7.4);g)增加了“環(huán)境適應(yīng)性要求”章節(jié)的內(nèi)容，其中主要是明確了產(chǎn)品對IPv6的支持能力，包括IPv6應(yīng)用環(huán)境適應(yīng)性、IPv6管理環(huán)境適應(yīng)性、雙協(xié)議棧，以及虛擬化支持能力(見6.4);h)刪除了“負(fù)載均衡”要求(見2012年版的.9);求”,“產(chǎn)品保證要求”更改為“安全保障要求”(見第6章，2012年版的7和8);j)更改了入侵防御產(chǎn)品的等級劃分，由“一級、二級和三級”修改為“基本級和增強(qiáng)級”(見附錄A,2012年版的7.1、7.2和7.3)。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：公安部第三研究所、西安交大捷普網(wǎng)絡(luò)科技有限公司、北京神州綠盟科技有限公司、深信服科技股份有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、藍(lán)盾信息安全技術(shù)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、上海市信息安全測評認(rèn)證中心、中國電力科學(xué)研究院有限公司、新華三技術(shù)有限公司、奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：——2012年首次發(fā)布為GB/T28451—2012;——本次為第一次修訂。1信息安全技術(shù)網(wǎng)絡(luò)入侵防御產(chǎn)品技術(shù)規(guī)范本文件規(guī)定了網(wǎng)絡(luò)入侵防御產(chǎn)品的安全技術(shù)要求和測評方法，并進(jìn)行了等級劃分。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范化引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于GB/T18336.3—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件GB/T25069信息安全技術(shù)術(shù)語GB/T30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南3術(shù)語和定義GB/T18336.3—2015和GB/T25069界定的以及下列術(shù)語和定義適用于本文件。以網(wǎng)橋或網(wǎng)關(guān)形式部署在網(wǎng)絡(luò)通路上，通過分析網(wǎng)絡(luò)流量發(fā)現(xiàn)具有入侵特征的網(wǎng)絡(luò)行為，在其傳入被保護(hù)網(wǎng)絡(luò)前進(jìn)行攔截的產(chǎn)品。攻擊者將攻擊數(shù)據(jù)隱藏在經(jīng)過分段或者分片的TCP報(bào)文或者IP報(bào)文中發(fā)出，用于躲避檢測的行為。攻擊者重寫已知攻擊數(shù)據(jù)、代碼，或者用其他代碼替代原有攻擊數(shù)據(jù)中的部分內(nèi)容，用于躲避檢測的行為。管理員administrator告警alert當(dāng)網(wǎng)絡(luò)入侵防御產(chǎn)品發(fā)現(xiàn)有入侵行為時(shí)，通過一定的技術(shù)手段主動(dòng)向管理員發(fā)出的警示類通知。2誤攔截falseblocking網(wǎng)絡(luò)入侵防御產(chǎn)品誤將正常流量識別為攻擊行為并進(jìn)行錯(cuò)誤攔截的行為。漏攔截skippedblocking網(wǎng)絡(luò)入侵防御產(chǎn)品無法正確識別出隱藏在網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)攻擊行為從而無法對其進(jìn)行有效攔截的行為。4縮略語下列縮略語適用于本文件。HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)IP:網(wǎng)際協(xié)議(InternetProtocol)POP3:郵局協(xié)議3(PostOfficeProtocol3)P2P:點(diǎn)對點(diǎn)(PeertoPeer)SMB:服務(wù)器信息塊(ServerMessageBlock)SMTP:簡單郵件傳輸協(xié)議(SimpleMailTransferProtocol)SNMP:簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)TCP:傳輸控制協(xié)議(TransmissionControlProtocol)UDP:用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol)5概述網(wǎng)絡(luò)入侵防御產(chǎn)品(以下簡稱“產(chǎn)品”)一般以硬件形式呈現(xiàn)，采用網(wǎng)橋或網(wǎng)關(guān)形式部署在網(wǎng)絡(luò)通路上，通過瀏覽器方式實(shí)現(xiàn)配置管理；有些產(chǎn)品是以分布式方式部署，通過特定的客戶端程序或者集中管理平臺(tái)進(jìn)行配置管理。該產(chǎn)品作用于受保護(hù)網(wǎng)絡(luò)邊界，是一款具備應(yīng)用安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。產(chǎn)品的安全技術(shù)要求分為安全功能要求、自身安全要求、性能要求、環(huán)境適應(yīng)性要求和安全保障要求五個(gè)大類。其中，安全功能要求對產(chǎn)品應(yīng)具備的基本安全功能提出了具體要求，包括入侵事件分析、入侵事件處理、入侵事件審計(jì)和管理控制四部分；自身安全要求針對產(chǎn)品的自身安全保護(hù)提出了具體的要求，包括身份標(biāo)識與鑒別、管理功能、管理方式、管理審計(jì)、存儲(chǔ)安全、傳輸安全和支撐系統(tǒng)安全等要求；性能要求針對產(chǎn)品應(yīng)具備的性能提出了具體要求，包括網(wǎng)絡(luò)層吞吐量、混合應(yīng)用層吞吐量、TCP新建連接速率、TCP并發(fā)連接數(shù)、誤攔截率和漏攔截率六個(gè)方面；環(huán)境適應(yīng)性要求提出產(chǎn)品支持在IPv6網(wǎng)絡(luò)環(huán)境下正常工作和管理的要求，以及虛擬化環(huán)境下的部署要求；安全保障要求針對產(chǎn)品的生命周期過程提出了具體要求，包括開發(fā)、指導(dǎo)性文檔、生命周期支持、測試和脆弱性評定。根據(jù)產(chǎn)品的安全技術(shù)要求，制定了對應(yīng)項(xiàng)目的測試評價(jià)方法。產(chǎn)品的等級分為基本級和增強(qiáng)級，安全功能與自身安全的強(qiáng)弱，以及安全保障要求的高低是等級劃分的依據(jù)，等級突出安全特性。注：文中“黑色加粗”字體表示增強(qiáng)級較基本級有所增加的內(nèi)容；對于不支持IPv6網(wǎng)絡(luò)環(huán)境或者虛擬化環(huán)境部署的虛擬化支持”不適用；對于不提供硬件形態(tài)的產(chǎn)品，“6.2.7支撐系統(tǒng)安全、36安全技術(shù)要求6.1安全功能要求6.1.1入侵事件分析產(chǎn)品應(yīng)具有實(shí)時(shí)收集進(jìn)出目標(biāo)網(wǎng)絡(luò)內(nèi)所有數(shù)據(jù)包的能力。產(chǎn)品應(yīng)具有對收集的數(shù)據(jù)包按不同協(xié)議進(jìn)行流量分析的能力。這里的流量分析包括網(wǎng)絡(luò)協(xié)議解析和網(wǎng)絡(luò)流量統(tǒng)計(jì)。產(chǎn)品應(yīng)能識別網(wǎng)絡(luò)流量中的入侵行為。這里的入侵行為應(yīng)包括流量監(jiān)聽與劫持攻擊、錯(cuò)誤及弱配產(chǎn)品應(yīng)對目標(biāo)網(wǎng)絡(luò)的全部流量或者某一特定協(xié)議、地址、端口中的流量進(jìn)行監(jiān)測。產(chǎn)品應(yīng)具備對異常流量進(jìn)行限流的功能。6.1.2入侵事件處理產(chǎn)品應(yīng)對識別的入侵行為進(jìn)行攔截，防止入侵行為危害目標(biāo)網(wǎng)絡(luò)。產(chǎn)品應(yīng)能發(fā)現(xiàn)并攔截經(jīng)躲避處理的攻擊行為，如IP報(bào)文碎片、TCP報(bào)文碎片、協(xié)議端口重定位、代碼變形等。產(chǎn)品應(yīng)在發(fā)現(xiàn)并攔截入侵行為時(shí)，采取指定的方式向管理員發(fā)出安全警告。產(chǎn)品的告警方式應(yīng)支持屏幕實(shí)時(shí)提示、電子郵件、聲音、短信、即時(shí)通信、SNMPTrap告警等一種或多種。產(chǎn)品應(yīng)具有對高頻度發(fā)生的相同或相似入侵事件進(jìn)行合并告警，避免出現(xiàn)告警風(fēng)暴。4GB/T28451—2023攔截能力調(diào)整產(chǎn)品應(yīng)支持人工調(diào)整或者自學(xué)習(xí)調(diào)整的方式，能對產(chǎn)品的攔截能力進(jìn)行合理調(diào)整。6.1.3入侵事件審計(jì)產(chǎn)品應(yīng)能對攔截的入侵行為生成入侵事件。產(chǎn)品應(yīng)能以審計(jì)日志方式記錄并保存攔截到的入侵事件。入侵事件日志的信息應(yīng)至少包含以下內(nèi)容：攻擊種類描述、事件名稱、事件發(fā)生日期時(shí)間、源IP地址、源端口、目的IP地址、目的端口、事件級別等。產(chǎn)品應(yīng)能生成入侵事件審計(jì)結(jié)果報(bào)表。產(chǎn)品應(yīng)支持按照管理員需求修改和定制報(bào)表內(nèi)容，并能按照DOC、PDF、XLS、WPS、UOF等中的一種或者多種文件格式輸出。攻擊數(shù)據(jù)留存產(chǎn)品在檢測到入侵行為時(shí)，應(yīng)能捕獲該入侵行為所對應(yīng)的原始攻擊報(bào)文并且以通用格式留存，便于對入侵行為進(jìn)行取證和溯源。6.1.4管理控制管理接口獨(dú)立產(chǎn)品應(yīng)具備獨(dú)立的管理網(wǎng)絡(luò)接口，以實(shí)現(xiàn)與業(yè)務(wù)網(wǎng)絡(luò)的隔離。產(chǎn)品應(yīng)提供產(chǎn)品管理配置界面。管理配置界面應(yīng)包含配置和管理產(chǎn)品所需的所有功能。入侵事件特征庫產(chǎn)品應(yīng)提供入侵事件特征庫，事件特征庫應(yīng)包括事件名稱、通用漏洞編號、詳細(xì)描述定義、處置建議等。事件級別產(chǎn)品應(yīng)按照入侵事件的嚴(yán)重程度對事件進(jìn)行分級，以使授權(quán)管理員能從大量的告警信息中捕捉到不同危險(xiǎn)級別的事件。策略配置產(chǎn)品應(yīng)提供對入侵防御策略、響應(yīng)措施進(jìn)行配置的功能。5GB/T28451—2023配置備份恢復(fù)產(chǎn)品應(yīng)具備對配置文件的備份恢復(fù)功能。產(chǎn)品應(yīng)具備更新、升級產(chǎn)品版本和事件特征庫的能力，并能通過完整性校驗(yàn)機(jī)制保證升級包的安全性。硬件失效處理產(chǎn)品應(yīng)提供硬件失效處理機(jī)制，當(dāng)設(shè)備硬件無法正常工作的時(shí)候，能保證網(wǎng)絡(luò)連通。事件規(guī)則自定義產(chǎn)品授權(quán)管理員能自定義攻擊事件防御規(guī)則，包括行為特征、協(xié)議或端口等。0第三方接口產(chǎn)品應(yīng)提供對外的第三方接口，以便與其他安全設(shè)備共享信息或規(guī)范化管理。產(chǎn)品應(yīng)支持主主或者主備等雙機(jī)冗余模式部署，以保障入侵防御功能的可靠性。產(chǎn)品應(yīng)至少采用一個(gè)標(biāo)準(zhǔn)的、開放的接口，能將自身日志信息或者攻擊事件記錄信息外發(fā)至指定系統(tǒng)，供其他系統(tǒng)進(jìn)一步進(jìn)行分析使用。6.2自身安全要求6.2.1身份標(biāo)識與鑒別產(chǎn)品的身份標(biāo)識與鑒別安全要求包括但不限于：a)對管理員身份進(jìn)行標(biāo)識和鑒別，身份標(biāo)識具有唯一性；b)在采用基于口令的身份鑒別時(shí)，能對用戶設(shè)置的口令進(jìn)行復(fù)雜度檢查，確保用戶口令滿足復(fù)雜度要求，如口令為數(shù)字、字母和特殊字符組合，口令長度不低于8位；c)采取安全措施對鑒別信息的存儲(chǔ)和傳輸進(jìn)行安全保護(hù)；d)具有登錄失敗處理功能，如限制連續(xù)非法登錄嘗試的次數(shù)等相關(guān)措施；e)具有登錄超時(shí)處理功能，當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出；f)當(dāng)產(chǎn)品存在默認(rèn)口令時(shí)，提示用戶對默認(rèn)口令進(jìn)行修改；g)支持采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。產(chǎn)品的管理功能包括但不限于：a)區(qū)分管理員角色，能設(shè)置不同管理員權(quán)限；b)授權(quán)管理員能實(shí)現(xiàn)對入侵防御策略的設(shè)置、配置的備份恢復(fù)、產(chǎn)品升級等運(yùn)維操作；6c)授權(quán)管理員能查閱入侵防御事件記錄、審計(jì)日志等；d)能設(shè)置NTP服務(wù)器，實(shí)現(xiàn)產(chǎn)品系統(tǒng)時(shí)間的同步。產(chǎn)品的管理方式安全要求包括但不限于：a)支持遠(yuǎn)程管理，并能限定進(jìn)行遠(yuǎn)程管理的IP地址；b)產(chǎn)品若支持分布式部署，應(yīng)提供集中管理功能，能通過管理中心實(shí)現(xiàn)對下屬設(shè)備運(yùn)行狀態(tài)的集中監(jiān)測、下發(fā)入侵防御策略、收集審計(jì)日志等。產(chǎn)品的管理審計(jì)安全要求包括但不限于：a)能對管理員身份鑒別成功和失敗、注銷、策略變更、用戶和權(quán)限管理、時(shí)間同步、入侵事件記錄的操作、存儲(chǔ)空間達(dá)到閾值告警等事件進(jìn)行記錄；b)審計(jì)日志包含：主體用戶所在主機(jī)IP地址、事件發(fā)生的日期時(shí)間、事件主體、事件描述、事件結(jié)果等；c)僅授權(quán)管理員能訪問審計(jì)日志。產(chǎn)品的存儲(chǔ)安全要求包括但不限于：a)將入侵事件記錄和自身審計(jì)日志存儲(chǔ)于掉電非易失性存儲(chǔ)介質(zhì)中；b)若提供入侵事件記錄和自身審計(jì)日志保存時(shí)限設(shè)置功能，設(shè)定值應(yīng)不小于6個(gè)月；c)能對自身審計(jì)日志進(jìn)行備份；d)非授權(quán)用戶不能刪除入侵事件記錄和自身審計(jì)日志；e)當(dāng)存儲(chǔ)空間不足時(shí)進(jìn)行告警，并能確保審計(jì)功能的正常運(yùn)行。產(chǎn)品若支持遠(yuǎn)程管理，應(yīng)對管理數(shù)據(jù)的遠(yuǎn)程傳輸進(jìn)行安全保護(hù)。6.2.7支撐系統(tǒng)安全產(chǎn)品的支撐系統(tǒng)安全要求包括但不限于：a)不提供多余的組件或網(wǎng)絡(luò)服務(wù)；b)重啟過程中，安全策略和日志信息不丟失；c)不含已知中危及以上風(fēng)險(xiǎn)漏洞。6.3性能要求6.3.1網(wǎng)絡(luò)層吞吐量產(chǎn)品的網(wǎng)絡(luò)層吞吐量視不同速率的產(chǎn)品有所不同，在開啟入侵防御功能滿足攻擊攔截能力的前提a)一對相應(yīng)速率的接口應(yīng)達(dá)到的雙向吞吐率指標(biāo)：對于1518byte長包，百兆產(chǎn)品不低于線速的85%,千兆和萬兆產(chǎn)品不小于線速的90%;b)針對高性能的萬兆產(chǎn)品，對于1518byte長包，整機(jī)吞吐量至少達(dá)到80Gbit/s。76.3.2混合應(yīng)用層吞吐量產(chǎn)品的應(yīng)用層吞吐量視不同速率的產(chǎn)品有所不同，在開啟入侵防御功能滿足攻擊攔截能力的前提a)百兆產(chǎn)品一對口混合應(yīng)用層吞吐量應(yīng)不小于80Mbit/s;b)千兆產(chǎn)品一對口混合應(yīng)用層吞吐量應(yīng)不小于800Mbit/s;c)萬兆產(chǎn)品一對口混合應(yīng)用層吞吐量應(yīng)不小于7500Mbit/s;d)針對高性能的萬兆產(chǎn)品，整機(jī)混合應(yīng)用層吞吐量至少達(dá)到20Gbit/s。6.3.3TCP新建連接速率產(chǎn)品的TCP新建連接速率視不同速率的產(chǎn)品有所不同，在開啟入侵防御功能滿足攻擊攔截能力的前提下，具體指標(biāo)要求如下：a)百兆產(chǎn)品一對口的TCP新建連接速率應(yīng)不小于1500個(gè)/s;b)千兆產(chǎn)品一對口的TCP新建連接速率應(yīng)不小于5000個(gè)/s;c)萬兆產(chǎn)品一對口的TCP新建連接速率應(yīng)不小于50000個(gè)/s;d)針對高性能的萬兆產(chǎn)品，整機(jī)TCP新建連接速率應(yīng)不小于250000個(gè)/s。產(chǎn)品的TCP并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，在開啟入侵防御功能滿足攻擊攔截能力的前提下，具體指標(biāo)要求如下：a)百兆產(chǎn)品一對口的并發(fā)連接數(shù)應(yīng)不小于50000個(gè)；b)千兆產(chǎn)品一對口的并發(fā)連接數(shù)應(yīng)不小于200000個(gè)；c)萬兆產(chǎn)品一對口的并發(fā)連接數(shù)應(yīng)不小于2000000個(gè)；d)針對高性能的萬兆產(chǎn)品，整機(jī)并發(fā)連接數(shù)不小于5000000個(gè)。在開啟入侵防御功能滿足攻擊攔截能力的前提下，產(chǎn)品對于正常流量的誤攔截率應(yīng)不超過5%。產(chǎn)品在不同比例的正常背景流量下，對于能攔截的入侵行為所出現(xiàn)的漏攔截率應(yīng)不超過15%。6.4環(huán)境適應(yīng)性要求產(chǎn)品若支持IPv6網(wǎng)絡(luò)環(huán)境，應(yīng)能在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作，實(shí)現(xiàn)在IPv6網(wǎng)絡(luò)環(huán)境下的入侵攻擊識別和攔截。產(chǎn)品若支持IPv6,應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下正常自身管理，實(shí)現(xiàn)對產(chǎn)品的管理操作。8產(chǎn)品若支持IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境，應(yīng)能在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下正常工作，實(shí)現(xiàn)在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下的入侵攻擊識別和攔截。對于虛擬化形態(tài)的產(chǎn)品，應(yīng)支持部署于虛擬化平臺(tái)并接受平臺(tái)統(tǒng)一管理，包括但不限于：a)支持部署于一種虛擬化平臺(tái)；b)結(jié)合虛擬化平臺(tái)實(shí)現(xiàn)產(chǎn)品資源彈性伸縮，根據(jù)虛擬化產(chǎn)品的負(fù)載情況動(dòng)態(tài)調(diào)整資源。6.5安全保障要求開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：a)與產(chǎn)品設(shè)計(jì)文檔中對安全功能的描述范圍相一致；b)充分描述產(chǎn)品采取的自我保護(hù)、不可旁路的安全機(jī)制。開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：a)清晰描述6.1、6.2中定義的安全功能；b)標(biāo)識和描述產(chǎn)品所有安全功能接口的目的、使用方法及相關(guān)參數(shù)；c)描述安全功能實(shí)施過程中，與安全功能接口相關(guān)的所有行為；d)描述可能由安全功能接口的調(diào)用而引起的所有直接錯(cuò)誤消息。開發(fā)者應(yīng)提供產(chǎn)品設(shè)計(jì)文檔，產(chǎn)品設(shè)計(jì)文檔應(yīng)滿足以下要求：a)通過子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)，標(biāo)識和描述產(chǎn)品安全功能的所有子系統(tǒng)，并描述子系統(tǒng)間的相互作用；b)提供子系統(tǒng)和安全功能接口間的對應(yīng)關(guān)系；c)通過實(shí)現(xiàn)模塊描述安全功能，標(biāo)識和描述實(shí)現(xiàn)模塊的目的、相關(guān)接口及返回值等，并描述實(shí)現(xiàn)模塊間的相互作用及調(diào)用的接口；d)提供實(shí)現(xiàn)模塊和子系統(tǒng)間的對應(yīng)關(guān)系。開發(fā)者應(yīng)提供產(chǎn)品安全功能的實(shí)現(xiàn)表示，實(shí)現(xiàn)表示應(yīng)滿足以下要求：a)詳細(xì)定義產(chǎn)品安全功能，包括軟件代碼、設(shè)計(jì)數(shù)據(jù)等實(shí)例；b)提供實(shí)現(xiàn)表示與產(chǎn)品設(shè)計(jì)描述間的對應(yīng)關(guān)系。6.5.2指導(dǎo)性文檔開發(fā)者應(yīng)提供明確和合理的操作用戶指南，對每一種用戶角色的描述應(yīng)滿足以下要求：9GB/T28451—2023a)描述用戶能訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；b)描述產(chǎn)品安全功能及接口的用戶操作方法，包括配置參數(shù)的安全值等；c)標(biāo)識和描述產(chǎn)品運(yùn)行的所有可能狀態(tài)，包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤；d)描述實(shí)現(xiàn)產(chǎn)品安全目的必需執(zhí)行的安全策略。開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；b)描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。6.5.3生命周期支持配置管理能力開發(fā)者的配置管理能力應(yīng)滿足以下要求：a)為產(chǎn)品的不同版本提供唯一的標(biāo)識；b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維護(hù)，并進(jìn)行唯一標(biāo)識；c)提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項(xiàng)的方法；d)配置管理系統(tǒng)提供自動(dòng)方式來支持產(chǎn)品的生成，通過自動(dòng)化措施確保配置項(xiàng)僅接受授權(quán)變更；e)配置管理文檔包括配置管理計(jì)劃，描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項(xiàng)的程序。配置管理計(jì)劃應(yīng)描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品，開發(fā)者實(shí)施的配置管理應(yīng)與配置管理計(jì)劃相一致。配置管理范圍開發(fā)者應(yīng)提供產(chǎn)品配置項(xiàng)列表，并說明配置項(xiàng)的開發(fā)者。配置項(xiàng)列表應(yīng)包含以下內(nèi)容：a)產(chǎn)品及其組成部分、安全保障要求的評估證據(jù)；b)實(shí)現(xiàn)表示、安全缺陷報(bào)告及其解決狀態(tài)。開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在向用戶方交付產(chǎn)品的各版本時(shí)，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。生命周期定義開發(fā)者應(yīng)建立一個(gè)生命周期模型對產(chǎn)品的開發(fā)和維護(hù)進(jìn)行必要控制，并提供生命周期定義文檔描述用于開發(fā)和維護(hù)產(chǎn)品的模型。開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實(shí)現(xiàn)中每個(gè)語句的含義和所有依賴于實(shí)現(xiàn)的選項(xiàng)的含義。開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)滿足以下要求：a)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應(yīng)性；b)表明上述對應(yīng)性是完備的，并證實(shí)功能規(guī)范中的所有安全功能接口都進(jìn)行了測試。開發(fā)者應(yīng)提供測試深度的分析，測試深度分析描述應(yīng)滿足以下要求：a)證實(shí)測試文檔中的測試與產(chǎn)品設(shè)計(jì)中的安全功能子系統(tǒng)和實(shí)現(xiàn)模塊之間的一致性；b)證實(shí)產(chǎn)品設(shè)計(jì)中的所有安全功能子系統(tǒng)、實(shí)現(xiàn)模塊都已經(jīng)進(jìn)行過測試。開發(fā)者應(yīng)測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：a)測試計(jì)劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個(gè)測試的方案，這些方案包括對于其他測試結(jié)果的任何順序依賴性；b)預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；c)實(shí)際測試結(jié)果和預(yù)期的測試結(jié)果的對比。開發(fā)者應(yīng)提供一組與其自測安全功能時(shí)使用的同等資源，以用于安全功能的抽樣測試?；谝褬?biāo)識的潛在脆弱性，產(chǎn)品能抵抗以下強(qiáng)度的攻擊：a)具有基本攻擊潛力的攻擊者的攻擊；b)具有中等攻擊潛力的攻擊者的攻擊。7測評方法7.1測評環(huán)境產(chǎn)品測評的典型網(wǎng)絡(luò)環(huán)境示意圖見圖1。入侵流量仿真設(shè)備管理控制臺(tái)入侵防御產(chǎn)品流量仿真設(shè)備圖1產(chǎn)品測評環(huán)境示意圖測試設(shè)備包括測試所需的入侵流量仿真設(shè)備、流量仿真設(shè)備以及產(chǎn)品管理控制臺(tái)等。其中，入侵流量仿真設(shè)備、流量仿真設(shè)備可為多臺(tái)模擬正常流量計(jì)算機(jī)、模擬攻擊源計(jì)算機(jī)和被攻擊計(jì)算機(jī)，也可以是專用測試設(shè)備。7.2測評工具可用的測評工具包括但不限于：專用的網(wǎng)絡(luò)性能分析儀、網(wǎng)絡(luò)數(shù)據(jù)包獲取軟件、掃描工具和攻擊工具等。7.3安全功能測評7.3.1入侵事件分析數(shù)據(jù)收集的測評方法如下。a)測試方法：根據(jù)產(chǎn)品說明文檔，將產(chǎn)品部署在測試網(wǎng)絡(luò)環(huán)境，檢查其是否能實(shí)時(shí)收集流入受保護(hù)網(wǎng)段內(nèi)的數(shù)據(jù)包。b)預(yù)期結(jié)果：1)產(chǎn)品能以網(wǎng)橋或網(wǎng)關(guān)方式接入網(wǎng)絡(luò)；2)產(chǎn)品能獲取足夠的網(wǎng)絡(luò)數(shù)據(jù)包以分析入侵事件。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。流量分析的測評方法如下。a)測試方法：1)使用流量仿真設(shè)備，準(zhǔn)備包括ARP、ICMP、HTTP、FTP、SNMP、TELNET、SMTP、POP3、NETBIOS、NFS、SMB、P2P等多種不同協(xié)議的流量作為測試流量；2)若產(chǎn)品聲明能支持IPv6協(xié)議的分析，則增加IPv6基礎(chǔ)協(xié)議，例如：ND等組成測試流量；3)發(fā)送測試流量，檢查產(chǎn)品是否能分析識別出具體的流量類型，并能對網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)。b)預(yù)期結(jié)果：1)產(chǎn)品能分析識別流量中包括的具體協(xié)議類型，并能對網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)。2)若產(chǎn)品聲明能支持IPv6協(xié)議的分析，則還能支持IPv6基礎(chǔ)協(xié)議的識別，例如：ND等。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。入侵發(fā)現(xiàn)的測評方法如下。a)測試方法：1)配置產(chǎn)品的入侵防御策略為最大策略集；2)模擬發(fā)送覆蓋流量監(jiān)聽與劫持攻擊、錯(cuò)誤及弱配置攻擊、脆弱性利用攻擊、木馬攻擊、拒絕服務(wù)攻擊等多種不同類型的攻擊事件，檢查是否能發(fā)現(xiàn)攻擊事件。b)預(yù)期結(jié)果：產(chǎn)品能發(fā)現(xiàn)所發(fā)送的各種類型入侵行為。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。流量監(jiān)測的測評方法如下。a)測試方法：1)開啟產(chǎn)品的流量監(jiān)測功能，定義流量事件，查看流量顯示界面；2)對某一服務(wù)發(fā)起大流量的訪問，如FTP方式下載文件；3)對特定的端口(如80端口)發(fā)起大流量訪問。b)預(yù)期結(jié)果：1)能顯示出各種流量信息，包括具體的協(xié)議、地址、端口等；2)能顯示出大流量的網(wǎng)絡(luò)訪問(如FTP流量、HTTP流量);3)列舉提供的流量監(jiān)測內(nèi)容。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。流量控制的測評方法如下。a)測試方法：1)開啟產(chǎn)品的異常流量控制功能，例如限制FTP下載流量；2)對某FTP服務(wù)發(fā)起大流量的訪問，如上傳或者下載文件。b)預(yù)期結(jié)果：針對指定異常流量，產(chǎn)品能實(shí)現(xiàn)流量限制。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.3.2入侵事件處理攔截能力的測評方法如下。a)測試方法：1)選擇具有不同特征的多個(gè)事件組成攻擊事件測試集，測試產(chǎn)品的防御能力。選取的事件應(yīng)包括：流量監(jiān)聽與劫持攻擊、錯(cuò)誤及弱配置攻擊、脆弱性利用攻擊、木馬攻擊、拒絕服務(wù)攻擊等多種不同類型的攻擊事件，以及其他具有代表性的網(wǎng)絡(luò)攻擊事件，模擬入侵攻擊行為；2)配置產(chǎn)品的入侵防御策略為最大策略集；3)發(fā)送攻擊事件測試集中的所有事件，記錄測試結(jié)果。b)預(yù)期結(jié)果：1)能對入侵行為進(jìn)行成功攔截，攔截率不低于攻擊事件測試集的30%;2)應(yīng)能記錄所攔截入侵的相應(yīng)攻擊行為。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。入侵躲避發(fā)現(xiàn)的測評方法如下。a)測試方法：1)配置產(chǎn)品的入侵防御策略為最大策略集；2)選取產(chǎn)品能正常攔截的多個(gè)網(wǎng)絡(luò)入侵行為(例如：不同類型的且較為常見的攻擊事件不少于100個(gè))組成入侵事件測試集；3)將所選定的入侵事件測試集進(jìn)行多種躲避變形(包括IP分片、TCP分段、協(xié)議端口重定位、代碼變形等)后再次發(fā)送，檢查并記錄產(chǎn)品的攔截情況。b)預(yù)期結(jié)果：1)記錄產(chǎn)品能正常攔截的常規(guī)攻擊事件為M個(gè)；2)分別記錄產(chǎn)品能攔截的經(jīng)過不同躲避方式變形后的攻擊事件為N?、N?、N?、N?個(gè)；3)分別計(jì)算產(chǎn)品的入侵躲避下降率[M-N,(x=1,2,3,4)]/M×100%。c)結(jié)果判定：若產(chǎn)品的入侵躲避下降率小于25%,則本項(xiàng)判為符合，否則判為不符合。安全告警的測評方法如下。a)測試方法：1)從已有的事件庫中選擇具有不同特征的多個(gè)事件，組成攻擊事件測試集；2)模擬入侵攻擊行為，觸發(fā)產(chǎn)品的安全事件，檢查產(chǎn)品是否能采取指定的方式向管理員發(fā)送攔截告警信息；3)查看告警事件的信息。b)預(yù)期結(jié)果：1)產(chǎn)品能按照指定方式向管理員發(fā)送并顯示告警信息；2)事件的詳細(xì)告警信息便于管理員理解。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。告警方式的測評方法如下。a)測試方法：1)根據(jù)產(chǎn)品說明文檔，檢查產(chǎn)品所支持的告警方式；2)依次選擇各種告警方式，檢查產(chǎn)品是否能按照指定的方法進(jìn)行告警；3)記錄并列出所支持的告警方式。b)預(yù)期結(jié)果：能采取屏幕實(shí)時(shí)提示、電子郵件、聲音、短信、即時(shí)通信、SNMPTrap告警等方式中的一種或多種。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。事件合并的測評方法如下。a)測試方法：1)設(shè)置事件合并的規(guī)則，將某些內(nèi)容進(jìn)行合并，如只顯示告警信息的事件名稱、發(fā)生的次數(shù)、源IP(目的是查看某一事件在這個(gè)IP上發(fā)生了多少次);2)連續(xù)觸發(fā)同一攻擊事件，查看事件記錄和告警信息的顯示情況，是否能將同一事件進(jìn)行合b)預(yù)期結(jié)果：產(chǎn)品能根據(jù)需要對同類攻擊事件和告警信息進(jìn)行合并。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。攔截能力調(diào)整的測評方法如下。a)測試方法：1)選擇具有不同特征的多個(gè)事件組成攻擊事件測試集，測試產(chǎn)品的攔截能力；2)人工調(diào)整產(chǎn)品的攔截精度，嘗試選擇更加嚴(yán)格或者寬松的策略，或者選擇某一個(gè)明確的誤報(bào)行為進(jìn)行攔截動(dòng)作的調(diào)整，例如：針對指定IP地址設(shè)置黑白名單的方式對策略進(jìn)行調(diào)整；3)若產(chǎn)品支持自學(xué)習(xí)功能，嘗試產(chǎn)品運(yùn)行一段時(shí)間；4)再次測試產(chǎn)品的攔截能力；5)檢查產(chǎn)品是否能根據(jù)調(diào)整結(jié)果增加或者減少攻擊事件的攔截?cái)?shù)量。b)預(yù)期結(jié)果：產(chǎn)品能根據(jù)人工調(diào)整或者自學(xué)習(xí)調(diào)整的方式，對產(chǎn)品的攔截能力和精度進(jìn)行合理調(diào)整。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.3.3入侵事件審計(jì)事件生成的測評方法如下。a)測試方法：1)登錄產(chǎn)品管理界面；2)在管理界面上檢查是否能清楚地展示產(chǎn)品的入侵?jǐn)r截情況。b)預(yù)期結(jié)果：1)具有查看入侵?jǐn)r截事件的顯示界面；2)界面具備明確的功能區(qū)域，能顯示產(chǎn)品所攔截事件的詳細(xì)信息。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。事件記錄的測評方法如下。a)測試方法：1)登錄產(chǎn)品管理界面；2)在管理界面上查看所記錄的攔截事件的詳細(xì)信息。b)預(yù)期結(jié)果：產(chǎn)品管理界面上顯示的攔截事件詳細(xì)信息包括攻擊種類描述、事件名稱、事件發(fā)生日期時(shí)間、c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。報(bào)表生成的測評方法如下。a)測試方法：1)查看報(bào)表生成功能，查看報(bào)表的生成方式；2)查看生成報(bào)表的內(nèi)容。b)預(yù)期結(jié)果：1)具有生成報(bào)表的功能；2)提供默認(rèn)的模板以供快速生成報(bào)表；上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。報(bào)表輸出的測評方法如下。a)測試方法：1)檢查管理員是否能按照用戶的要求修改和定制報(bào)表內(nèi)容；2)檢查產(chǎn)品支持的報(bào)表輸出格式。b)預(yù)期結(jié)果：1)產(chǎn)品支持按照管理員的要求修改和定制報(bào)表內(nèi)容；2)報(bào)表能輸出成方便用戶閱讀的格式，如DOC、PDF、XLS、WPS、UOF等。上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。攻擊數(shù)據(jù)留存的測評方法如下。a)測試方法：開啟產(chǎn)品攻擊數(shù)據(jù)留存功能，當(dāng)發(fā)生入侵行為時(shí)，檢查產(chǎn)品是否能將入侵行為的相關(guān)報(bào)文以一定的通用格式(例如PCAP包),存儲(chǔ)在設(shè)備本地或者指定位置。b)預(yù)期結(jié)果：產(chǎn)品在識別攻擊行為的同時(shí)，能將攻擊報(bào)文以PCAP包或者其他通用格式保存在設(shè)備本地或者指定位置。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。管理接口獨(dú)立的測評方法如下。a)測試方法：檢查產(chǎn)品是否配備了能進(jìn)行產(chǎn)品管理和網(wǎng)絡(luò)數(shù)據(jù)分析處理的不同物理接口。b)預(yù)期結(jié)果：產(chǎn)品的管理接口和網(wǎng)絡(luò)數(shù)據(jù)分析處理接口是不同的物理接口，且均能正常工作。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。管理界面的測評方法如下。a)測試方法：1)登錄控制臺(tái)管理界面；2)查看用戶界面的功能，包括管理配置、告警顯示等。b)預(yù)期結(jié)果：1)具備獨(dú)立的控制臺(tái)；2)具有配置和管理產(chǎn)品所有功能的管理界面和告警顯示界面，以及其他功能劃分清晰的不同區(qū)域。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。入侵事件特征庫的測評方法如下。a)測試方法：檢查產(chǎn)品是否具備入侵事件特征庫，其中對不同的入侵事件特征進(jìn)行了定義和描述。b)預(yù)期結(jié)果：1)產(chǎn)品對所有支持的入侵事件特征進(jìn)行命名，在詳細(xì)的定義中對入侵事件特征進(jìn)行了明確的特征定義和觸發(fā)機(jī)制的說明，并給出了合理的處置建議；2)能通過通用漏洞披露(CVE,CommonVulnerabilities&.Exposures)、常見缺陷列表(CWE,CommonWeaknessEnumeration)、中國國家信息安全漏洞庫(CNNVD,ChinaNationalVulnerabilityDatabaseofInformationSecurity)等漏洞體系關(guān)聯(lián)不同事件所對應(yīng)的漏洞編號；3)詳細(xì)描述為人理解，不產(chǎn)生歧義。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。事件級別的測評方法如下。a)測試方法：檢查入侵事件特征庫中是否對每個(gè)事件特征都有分級信息。b)預(yù)期結(jié)果：事件庫的所有事件特征都具有分級信息。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。策略配置的測評方法如下。a)測試方法：1)打開菜單，查看產(chǎn)品提供的默認(rèn)策略；2)查看是否能編輯或修改生成新的策略；3)查看是否能編輯或修改各策略的響應(yīng)措施。b)預(yù)期結(jié)果：1)產(chǎn)品提供默認(rèn)策略，并能直接應(yīng)用；2)授權(quán)用戶能編輯策略；3)授權(quán)用戶能編輯策略的不同響應(yīng)措施。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。配置備份恢復(fù)的測評方法如下。a)測試方法：1)嘗試對產(chǎn)品的配置文件進(jìn)行備份導(dǎo)出，再修改產(chǎn)品的任意配置參數(shù)；2)將備份導(dǎo)出的配置文件再次導(dǎo)入產(chǎn)品，檢查之前所修改的參數(shù)是否能恢復(fù)，驗(yàn)證產(chǎn)品的恢復(fù)功能是否正常。b)預(yù)期結(jié)果：產(chǎn)品能實(shí)現(xiàn)對自身配置文件的備份和恢復(fù)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。產(chǎn)品升級的測評方法如下。a)測試方法：1)檢查產(chǎn)品的軟件版本和入侵事件特征庫的升級方式；2)嘗試對產(chǎn)品軟件版本和入侵事件特征庫進(jìn)行升級，并驗(yàn)證升級效果；3)在執(zhí)行產(chǎn)品升級的過程中，抓包檢查是否采用了完整性校驗(yàn)措施來保證升級包的安全性。b)預(yù)期結(jié)果：1)產(chǎn)品程序版本和入侵事件特征庫能進(jìn)行手動(dòng)或自動(dòng)的在線升級；2)升級的過程中產(chǎn)品仍能正常攔截入侵事件；3)升級后，產(chǎn)品功能正常生效；4)產(chǎn)品在升級過程中，能通過完整性校驗(yàn)機(jī)制保證升級包的安全性。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。硬件失效處理硬件失效處理的測評方法如下。a)測試方法：檢查產(chǎn)品具備何種硬件失效處理機(jī)制。b)預(yù)期結(jié)果：當(dāng)產(chǎn)品硬件失效時(shí)，不影響網(wǎng)絡(luò)的正常連通。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。事件規(guī)則自定義事件自定義的測評方法如下。a)測試方法：1)查看產(chǎn)品設(shè)置，是否提供自定義事件功能，是否能基于產(chǎn)品默認(rèn)事件修改其特征信息、協(xié)議或者端口等信息，生成新的事件；2)嘗試自定義攻擊事件的特征信息、協(xié)議或者端口信息等內(nèi)容，生成新的入侵事件特征；3)按照新生成的入侵特征發(fā)送相應(yīng)的入侵事件，檢查產(chǎn)品能否攔截。b)預(yù)期結(jié)果：1)產(chǎn)品授權(quán)用戶能自定義事件，或者能基于產(chǎn)品默認(rèn)事件修改生成新的入侵事件；2)產(chǎn)品能檢測到新定義的事件并進(jìn)行攔截。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。第三方接口的測評方法如下。a)測試方法：1)檢查產(chǎn)品是否支持與其他安全設(shè)備的信息共享或者規(guī)范化管理；2)通過產(chǎn)品自己定義的對外開放接口，嘗試與其他安全設(shè)備進(jìn)行信息共享或規(guī)范化管理操作。b)預(yù)期結(jié)果：1)產(chǎn)品支持一個(gè)或多個(gè)信息共享或規(guī)范化管理接口協(xié)議，包括產(chǎn)品自定義的對外接口；2)產(chǎn)品支持與其他安全設(shè)備的共享信息或規(guī)范化管理。上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。雙機(jī)熱備的測評方法如下。a)測試方法：1)檢查產(chǎn)品是否具備雙機(jī)冗余部署的能力；2)部署雙機(jī)熱備的環(huán)境，關(guān)閉其中一臺(tái)設(shè)備，查看另一設(shè)備在網(wǎng)絡(luò)環(huán)境中是否能及時(shí)正常工作。b)預(yù)期結(jié)果：產(chǎn)品支持主主或者主備的方式部署，當(dāng)一臺(tái)設(shè)備出現(xiàn)宕機(jī)時(shí)，不影響網(wǎng)絡(luò)的連通和防御能力。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。日志外發(fā)的測評方法如下。a)測試方法：1)檢查產(chǎn)品是否具備日志外發(fā)功能；2)通過抓包工具獲取外發(fā)日志，檢查其數(shù)據(jù)格式是否屬于標(biāo)準(zhǔn)的開放格式，例如syslog;3)檢查其外發(fā)內(nèi)容是否包括產(chǎn)品日志信息或者攻擊事件記錄信息。b)預(yù)期結(jié)果：產(chǎn)品具備日志外發(fā)功能，能將產(chǎn)品日志信息或者攻擊事件記錄信息，按照標(biāo)準(zhǔn)的開放格式外發(fā)至其他系統(tǒng)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.4自身安全測評7.4.1身份標(biāo)識與鑒別身份識別與鑒別的測評方法如下。a)測試方法：1)測試產(chǎn)品是否對用戶身份進(jìn)行標(biāo)識和鑒別，身份標(biāo)識是否唯一，如不能創(chuàng)建重名用戶；2)若產(chǎn)品采用口令鑒別機(jī)制，測試產(chǎn)品是否能對用戶設(shè)置的口令進(jìn)行復(fù)雜度檢查，是否能設(shè)3)測試產(chǎn)品是否采取措施對鑒別信息的存儲(chǔ)和傳輸進(jìn)行安全保護(hù)；4)連續(xù)多次失敗登錄產(chǎn)品，觸發(fā)產(chǎn)品的登錄失敗處理功能，檢查產(chǎn)品采用何種機(jī)制防止用戶進(jìn)一步鑒別的嘗試；5)產(chǎn)品登錄后，在超時(shí)時(shí)間內(nèi)不做任何操作，查看產(chǎn)品是否自動(dòng)退出；6)產(chǎn)品存在默認(rèn)口令時(shí)，檢查產(chǎn)品是否提示用戶對默認(rèn)口令進(jìn)行修改；7)在對用戶進(jìn)行身份鑒別時(shí)，檢查產(chǎn)品是否采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)，檢查其中一種是否使用密碼技術(shù)來實(shí)現(xiàn)。b)預(yù)期結(jié)果：1)產(chǎn)品對用戶身份進(jìn)行標(biāo)識和鑒別，身份標(biāo)識具有唯一性；2)在采用基于口令的身份鑒別時(shí)，能對用戶設(shè)置的口令進(jìn)行復(fù)雜度檢查；3)采取安全措施對鑒別信息的存儲(chǔ)和傳輸進(jìn)行安全保護(hù)；4)具有登錄失敗處理功能，能防止用戶進(jìn)一步鑒別的嘗試；5)具有登錄超時(shí)處理功能，當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出；6)當(dāng)產(chǎn)品存在默認(rèn)口令時(shí)，提示用戶對默認(rèn)口令進(jìn)行修改；7)支持采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)使用密碼技術(shù)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。管理功能的測評方法如下。a)測試方法：1)檢測產(chǎn)品是否區(qū)分管理員角色，是否能設(shè)置用戶權(quán)限；2)以不同權(quán)限的授權(quán)管理員登錄產(chǎn)品管理界面，檢查相關(guān)管理員是否能實(shí)現(xiàn)對入侵防御策略的設(shè)置、配置的備份恢復(fù)、產(chǎn)品升級等運(yùn)維操作；3)檢查相關(guān)管理員是否能查閱入侵防御事件記錄、審計(jì)日志等；4)檢測產(chǎn)品是否能設(shè)置NTP服務(wù)器地址，并與之實(shí)現(xiàn)系統(tǒng)時(shí)間的同步。b)預(yù)期結(jié)果：1)產(chǎn)品區(qū)分用戶角色，能設(shè)置用戶權(quán)限；2)授權(quán)管理員能實(shí)現(xiàn)對入侵防御策略的設(shè)置、配置的備份恢復(fù)、產(chǎn)品升級等運(yùn)維操作；3)授權(quán)管理員能查閱入侵防御事件記錄、審計(jì)日志等；4)能與NTP服務(wù)器實(shí)現(xiàn)系統(tǒng)時(shí)間的同步。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。管理方式的測評方法如下。a)測試方法：1)檢測產(chǎn)品是否支持通過網(wǎng)絡(luò)接口進(jìn)行遠(yuǎn)程管理，是否能限定進(jìn)行遠(yuǎn)程管理的IP地址；2)產(chǎn)品若支持分布式部署，檢測是否支持集中管理，能通過審計(jì)中心實(shí)現(xiàn)對不同設(shè)備運(yùn)行狀態(tài)的監(jiān)測、向不同設(shè)備下發(fā)審計(jì)策略、收集不同設(shè)備生成的審計(jì)日志。b)預(yù)期結(jié)果：1)支持通過網(wǎng)絡(luò)接口進(jìn)行遠(yuǎn)程管理，并能限定進(jìn)行遠(yuǎn)程管理的IP地址；2)支持集中管理，能通過審計(jì)中心實(shí)現(xiàn)對不同設(shè)備運(yùn)行狀態(tài)的監(jiān)測、下發(fā)審計(jì)策略、收集審計(jì)日志。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。管理審計(jì)的測評方法如下。a)測試方法：1)在產(chǎn)品上產(chǎn)生鑒別成功和失敗、管理員注銷、審計(jì)策略變更、用戶和權(quán)限管理、時(shí)間同步、對入侵事件記錄進(jìn)行查詢刪除等操作、存儲(chǔ)空間達(dá)到閾值告警等事件，檢查是否能對上述操作行為生成對應(yīng)的審計(jì)日志；2)檢查產(chǎn)品的審計(jì)日志是否包含主體用戶所在主機(jī)IP地址、事件發(fā)生的日期時(shí)間、事件主3)檢查產(chǎn)品是否僅授權(quán)管理員能訪問審計(jì)日志。b)預(yù)期結(jié)果：1)能對用戶身份鑒別成功和失敗、用戶注銷、審計(jì)策略變更、用戶和權(quán)限管理、時(shí)間同步、入侵事件記錄的操作、存儲(chǔ)空間達(dá)到閾值告警等事件進(jìn)行記錄；2)審計(jì)日志記錄包含：主體用戶所在主機(jī)IP地址、事件發(fā)生的日期時(shí)間、事件主體、事件描3)僅授權(quán)管理員能訪問審計(jì)日志。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。存儲(chǔ)安全的測評方法如下。a)測試方法：1)關(guān)機(jī)后重啟產(chǎn)品，檢測審計(jì)記錄和自身審計(jì)日志是否未丟失；2)若提供審計(jì)記錄和自身審計(jì)日志保存時(shí)限設(shè)置功能，嘗試設(shè)定保存時(shí)限不小于6個(gè)月；3)嘗試將產(chǎn)品自身審計(jì)記錄進(jìn)行備份導(dǎo)出；4)以非授權(quán)用戶登錄產(chǎn)品，嘗試刪除審計(jì)記錄和自身審計(jì)日志；5)占用存儲(chǔ)空間達(dá)到閾值，檢測是否能告警，檢測存儲(chǔ)耗盡前審計(jì)功能是否正常運(yùn)行。b)預(yù)期結(jié)果：1)產(chǎn)品將審計(jì)記錄和自身審計(jì)日志存儲(chǔ)于掉電非易失性存儲(chǔ)介質(zhì)中；2)若提供審計(jì)記錄和自身審計(jì)日志保存時(shí)限設(shè)置功能，設(shè)定值應(yīng)不小于6個(gè)月；3)能將產(chǎn)品自身審計(jì)記錄備份導(dǎo)出；4)非授權(quán)用戶不支持刪除審計(jì)記錄和自身審計(jì)日志；5)當(dāng)存儲(chǔ)空間不足時(shí)進(jìn)行告警，能確保審計(jì)功能的正常運(yùn)行。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。傳輸安全的測評方法如下。a)測試方法：產(chǎn)品若支持遠(yuǎn)程管理，通過使用抓包分析工具進(jìn)行抓包并分析遠(yuǎn)程管理數(shù)據(jù)包，檢查產(chǎn)品是否采取措施對管理數(shù)據(jù)的傳輸進(jìn)行安全保護(hù)。b)預(yù)期結(jié)果：產(chǎn)品若支持遠(yuǎn)程管理，能采取措施對管理數(shù)據(jù)的傳輸進(jìn)行安全保護(hù)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.4.7支撐系統(tǒng)安全安全支撐系統(tǒng)的測評方法如下。a)測試方法：1)掃描產(chǎn)品開放的服務(wù)端口，查看產(chǎn)品文檔，檢查是否提供了多余的組件或網(wǎng)絡(luò)服務(wù)；2)重啟產(chǎn)品，檢查策略和數(shù)據(jù)是否丟失；3)對產(chǎn)品進(jìn)行安全性測試，檢查是否含有已知的中危及以上風(fēng)險(xiǎn)漏洞，漏洞級別分類方法按照GB/T30279—2020中的規(guī)定。b)預(yù)期結(jié)果：1)產(chǎn)品支撐系統(tǒng)不提供多余的組件或網(wǎng)絡(luò)服務(wù)；2)重啟過程中，安全策略和日志信息不丟失；3)不含已知中危及以上風(fēng)險(xiǎn)安全漏洞。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.5性能測評7.5.1網(wǎng)絡(luò)層吞吐量網(wǎng)絡(luò)層吞吐量的測評方法如下。a)測評方法：1)配置產(chǎn)品的入侵防御策略為最大策略集，在開啟產(chǎn)品入侵防御功能并確保其滿足攻擊攔截能力的前提下；2)使用性能測試儀連接產(chǎn)品的一對接口，測試產(chǎn)品一對相應(yīng)速率接口在不丟包情況下的雙向UDP協(xié)議(1518byte)數(shù)據(jù)的吞吐量；3)測試高性能萬兆產(chǎn)品在不丟包情況下，整機(jī)雙向UDP協(xié)議(1518byte)的吞吐量。b)預(yù)期結(jié)果：對于不同速率的產(chǎn)品，網(wǎng)絡(luò)層吞吐量應(yīng)不低于6.3.1的相應(yīng)要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。7.5.2混合應(yīng)用層吞吐量混合應(yīng)用層吞吐量的測評方法如下。a)測試方法：1)配置產(chǎn)品的入侵防御策略為最大策略集，在開啟產(chǎn)品入侵防御功能并確保其滿足攻擊攔截能力的前提下；2)使用性能測試儀構(gòu)造混合應(yīng)用層流量(流量參考模型如下：HTTPText,20%;HTTPAudio,10%;HTTPVideo,11%;P2P,12%;SMB,8%;SMTP,12%;POP3,12%;FTP,10%;SQL,5%),連接產(chǎn)品的一對接口，測試產(chǎn)品在誤攔截率不超過5%的情況下，雙向混合應(yīng)用層數(shù)據(jù)的吞吐量；3)測試高性能萬兆產(chǎn)品在誤攔截率不超過5%的情況下，整機(jī)雙向混合應(yīng)用層吞吐量。b)預(yù)期結(jié)果：對于不同速率的產(chǎn)品，混合應(yīng)用層吞吐量應(yīng)不低于6.3.2的相應(yīng)要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。TCP新建連接速率的測評方法如下。a)測試方法：1)配置產(chǎn)品的入侵防御策略為最大策略集，在開啟產(chǎn)品入侵防御功能并確保其滿足攻擊攔截能力的前提下；2)使用性能測試儀連接產(chǎn)品的一對接口，測試產(chǎn)品的TCP新建連接速率；3)測試高性能萬兆產(chǎn)品的整機(jī)TCP新建連接速率。b)預(yù)期結(jié)果對于不同速率的產(chǎn)品，TCP新建連接速率應(yīng)不低于6.3.3的相應(yīng)要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。TCP并發(fā)連接數(shù)的測評方法如下。a)測試方法：1)配置產(chǎn)品的入侵防御策略為最大策略集，在開啟產(chǎn)品入侵防御功能并確保其滿足攻擊攔截能力的前提下；2)使用性能測試儀連接產(chǎn)品的一對接口，測試產(chǎn)品的TCP并發(fā)連接數(shù)；3)測試高性能萬兆產(chǎn)品的整機(jī)TCP并發(fā)連接數(shù)。b)預(yù)期結(jié)果：對于不同速率的產(chǎn)品，TCP并發(fā)連接數(shù)應(yīng)不低于6.3.4的相應(yīng)要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。誤攔截率的測評方法如下。a)測評方法：1)配置產(chǎn)品的入侵防御策略為最大策略集，在開啟產(chǎn)品入侵防御功能并確保其滿足攻擊攔截能力的前提下；2)按照混合應(yīng)用層吞吐量測試值的80%作為正常流量，保持入侵防御產(chǎn)品持續(xù)運(yùn)行一段時(shí)間(例如：2h),記錄產(chǎn)品的誤截情況。b)預(yù)期結(jié)果對于每一種協(xié)議的誤攔截率應(yīng)不低于6.3.5的相應(yīng)要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。漏攔截率的測評方法如下。a)測試方法：1)配置產(chǎn)品的入侵防御策略為最大策略集，在開啟產(chǎn)品入侵防御功能并確保其滿足攻擊攔截能力的前提下；2)選取產(chǎn)品能正常攔截的多個(gè)網(wǎng)絡(luò)入侵行為(例如：不同類型的且較為常見的攻擊事件不少于100個(gè))組成入侵事件測試集；3)按照混合應(yīng)用層吞吐量測試值的80%、60%、40%和20%作為背景流量，混合選定的攻擊事件流量，測試入侵防御產(chǎn)品的漏截情況，計(jì)算在不同比例背景流量下的漏攔截率。b)預(yù)期結(jié)果：漏攔截率應(yīng)不低于6.3.6的相應(yīng)要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。7.6環(huán)境適應(yīng)性測評對支持純IPv6網(wǎng)絡(luò)環(huán)境的測評方法如下。a)測試方法：搭建純IPv6網(wǎng)絡(luò)環(huán)境，檢測產(chǎn)品是否能在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作。b)預(yù)期結(jié)果：產(chǎn)品能在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作，實(shí)現(xiàn)目標(biāo)網(wǎng)絡(luò)環(huán)境下的攻擊行為識別和攔截。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對IPv6網(wǎng)絡(luò)環(huán)境下自身管理的測評方法如下。a)測試方法：搭建IPv6網(wǎng)絡(luò)環(huán)境，檢測產(chǎn)品是否支持在IPv6網(wǎng)絡(luò)環(huán)境下進(jìn)行身份鑒別、安全審計(jì)、任務(wù)管理、策略配置等管理操作。b)預(yù)期結(jié)果：產(chǎn)品能在IPv6網(wǎng)絡(luò)環(huán)境下進(jìn)行身份鑒別、安全審計(jì)、任務(wù)管理、策略配置等管理操作。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對雙協(xié)議棧的測評方法如下。a)測試方法：搭建IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境，檢測產(chǎn)品是否能在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下正常工作。b)預(yù)期結(jié)果：產(chǎn)品能在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下正常工作，實(shí)現(xiàn)目標(biāo)網(wǎng)絡(luò)環(huán)境下的攻擊行為識別和攔截。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。虛擬化支持的測評方法如下。a)測試方法：1)分別嘗試在VMwareESXi、KVM、CitrixXenServer、Hyper-V等虛擬化平臺(tái)部署產(chǎn)品；2)增加網(wǎng)絡(luò)流量、網(wǎng)絡(luò)連接數(shù)等負(fù)載，驗(yàn)證虛擬化平臺(tái)是否能根據(jù)產(chǎn)品負(fù)載情況動(dòng)態(tài)調(diào)整虛擬化產(chǎn)品數(shù)量。b)預(yù)期結(jié)果：1)支持部署于虛擬化平臺(tái)中，支持VMwareESXi、KVM、CitrixXenServer或Hyper-V等虛擬化平臺(tái)中的一種；2)能在虛擬化平臺(tái)上實(shí)現(xiàn)彈性伸縮，根據(jù)虛擬化產(chǎn)品的負(fù)載情況動(dòng)態(tài)調(diào)整虛擬化產(chǎn)品數(shù)量。c)結(jié)果判定：實(shí)際結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。7.7安全保障評估安全架構(gòu)的評估方法如下。a)評估方法：檢查開發(fā)者提供的安全架構(gòu)證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所1)與產(chǎn)品設(shè)計(jì)文檔中對安全功能的描述范圍是否相一致；2)是否充分描述產(chǎn)品采取的自我保護(hù)、不可旁路的安全機(jī)制。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足中所述的要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。功能規(guī)范的評估方法如下。a)評估方法：檢查開發(fā)者提供的功能規(guī)范證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所1)是否清晰描述6.1、6.2中定義的產(chǎn)品安全功能；2)是否描述產(chǎn)品所有安全功能接口的目的、使用方法及相關(guān)參數(shù)；3)描述安全功能實(shí)施過程中，是否描述與安全功能接口相關(guān)的所有行為；4)是否描述可能由安全功能接口的調(diào)用而引起的所有直接錯(cuò)誤消息。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足中所述的要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。產(chǎn)品設(shè)計(jì)的評估方法如下。a)評估方法：檢查開發(fā)者提供的產(chǎn)品設(shè)計(jì)證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：1)是否根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)，是否標(biāo)識和描述產(chǎn)品安全功能的所有子系統(tǒng)，是否描述安全功能所有子系統(tǒng)間的相互作用；2)提供的對應(yīng)關(guān)系是否能證實(shí)設(shè)計(jì)中描述的所有行為映射到調(diào)用的安全功能接口；3)是否根據(jù)實(shí)現(xiàn)模塊描述安全功能，是否描述所有實(shí)現(xiàn)模塊的安全功能要求相關(guān)接口、接口的返回值、與其他模塊間的相互作用及調(diào)用的接口；4)是否提供實(shí)現(xiàn)模塊和子系統(tǒng)間的對應(yīng)關(guān)系。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足中所述的要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。實(shí)現(xiàn)表示的評估方法如下。a)評估方法：檢查開發(fā)者提供的實(shí)現(xiàn)表示證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：1)是否通過軟件代碼、設(shè)計(jì)數(shù)據(jù)等實(shí)例詳細(xì)定義產(chǎn)品安全功能；2)是否提供實(shí)現(xiàn)表示與產(chǎn)品設(shè)計(jì)描述間的對應(yīng)關(guān)系。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足中所述的要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。操作用戶指南的評估方法如下。a)評估方法：檢查開發(fā)者提供的操作用戶指南證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：1)是否描述用戶能訪問的功能和特權(quán)(包含適當(dāng)?shù)木拘畔?;2)是否描述如何以安全的方式使用產(chǎn)品提供的可用接口，是否描述產(chǎn)品安全功能及接口的用戶操作方法(包括配置參數(shù)的安全值);3)是否標(biāo)識和描述產(chǎn)品運(yùn)行的所有可能狀態(tài)，包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤；4)是否描述實(shí)現(xiàn)產(chǎn)品安全目的必需執(zhí)行的安全策略。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足中所述的要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。用準(zhǔn)備程序的評估方法如下。a)評估方法：檢查開發(fā)者提供的準(zhǔn)備程序證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：1)是否描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；2)是否描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足中所述的要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。7.7.3生命周期支持配置管理能力的評估方法如下。a)評估方法：檢查開發(fā)者提供的配置管理能力證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：1)檢查開發(fā)者是否為不同版本的產(chǎn)品提供唯一的標(biāo)識；2)現(xiàn)場檢查配置管理系統(tǒng)是否對所有的配置項(xiàng)作出唯一的標(biāo)識，且是否對配置項(xiàng)進(jìn)行了維護(hù)；3)檢查開發(fā)者提供的配置管理文檔，是否描述了對配置項(xiàng)進(jìn)行唯一標(biāo)識的方法；4)現(xiàn)場檢查是否能通過自動(dòng)化配置管理系統(tǒng)支持產(chǎn)品的生成，是否僅通過自動(dòng)化措施對配置項(xiàng)進(jìn)行授權(quán)變更；5)檢查配置管理計(jì)劃是否描述了用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項(xiàng)的程序；檢查配置管理計(jì)劃是否描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品，現(xiàn)場核查活動(dòng)是否與計(jì)劃一致。b)預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動(dòng)證據(jù)內(nèi)容應(yīng)滿足中所述的要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。配置管理范圍的評估方法如下。a)評估方法：檢查開發(fā)者提供的配置管理范圍證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：1)檢查開發(fā)者提供的配置項(xiàng)列表是否包含產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分及相應(yīng)的開發(fā)者；2)檢查開發(fā)者提供的配置項(xiàng)列表是否包含實(shí)現(xiàn)表示、安全缺陷報(bào)告、解決狀態(tài)及相應(yīng)的開發(fā)者。b)預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動(dòng)證據(jù)內(nèi)容應(yīng)滿足中所述的要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。交付程序的評估方法如下。a)評估方法：檢查開發(fā)者提供的交付程序證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：1)現(xiàn)場檢查開發(fā)者是否使用一定的交付程序交付產(chǎn)品；2)檢查開發(fā)者是否使用文檔描述交付過程，文檔中是否包含以下內(nèi)容：在向用戶方交付系統(tǒng)的各版本時(shí)，為維護(hù)安全所必需的所有程序。b)預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動(dòng)證據(jù)內(nèi)容應(yīng)滿足中所述的要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。開發(fā)安全的評估方法如下。a)評估方法：檢查開發(fā)者提供的開發(fā)安全證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：1)檢查開發(fā)者提供的開發(fā)安全文檔，該文檔是否描述在系統(tǒng)的開發(fā)環(huán)境中，為保護(hù)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施；2)現(xiàn)場檢查產(chǎn)品的開發(fā)環(huán)境，開發(fā)者是否使用了物理的、程序的、人員的和其他方面的安全措施保證產(chǎn)品設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性，這些安全措施是否得到了有效的執(zhí)行。b)預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動(dòng)證據(jù)內(nèi)容應(yīng)滿足中所述的要求。實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。生命周期定義的評估方法如下。a)評估方法：檢查開發(fā)者提供的生命周期定義證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：1)現(xiàn)場檢查開發(fā)者是否使用生命周期模型對產(chǎn)品的開發(fā)和維護(hù)進(jìn)行的必要控制；2)檢查開發(fā)者提供生命周期定義文檔是否描述了用于開發(fā)和維護(hù)產(chǎn)品的模型。b)預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動(dòng)證據(jù)內(nèi)容應(yīng)滿足中所述的要求。實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。工具和技術(shù)的評估方法如下。a)評估方法：檢查開發(fā)者提供的工具和技術(shù)證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：1)現(xiàn)場檢查開發(fā)者是否明確定義用于開發(fā)產(chǎn)品的工具；2)是否提供開發(fā)工具文檔無歧義地定義實(shí)現(xiàn)中每個(gè)語句的含義和所有依賴于實(shí)現(xiàn)的選項(xiàng)的b)預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動(dòng)證據(jù)內(nèi)容應(yīng)滿足中所述的要求。實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試覆蓋的評估方法如下。a)評估方法：檢查開發(fā)提供的測試覆蓋證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：1)檢查開發(fā)者提供的測試覆蓋文檔，在測試覆蓋證據(jù)中，是否表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能是對應(yīng)的；GB/T28451—20232)檢查開發(fā)者提供的測試覆蓋分析結(jié)果，是否表明功能規(guī)范中的所有安全功能接口都進(jìn)行了測試。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足中所述的要求。c)結(jié)果判定：實(shí)際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試深度的評估方法如下。a)評估方法：檢查開發(fā)者提供的測試深度證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：1)檢查開發(fā)者提供的測試深度分析，是否說明了測試文檔中所標(biāo)識的對安全功