国家保密科技测评中心
产品检测申请书
申报单位(公章): 产品名称: 规格型号: 申报日期: 年 月 日
国家保密科技测评中心制
安全保密产品检测申请书
目 录
1. 声明 ....................................................................................................... 4 2. 《申请书》填写要求 ........................................................................... 5 3. 测评中心联系方式 ............................................................................... 6 4. 申报单位承诺书 .................................................................................. 7 5. 申报单位信息 ...................................................................................... 8 5.1 5.2 5.3
单位基本信息 ................................................................................ 8 企业法人营业执照副本复印件 .................................................... 8 单位简介 ........................................................................................ 8
6. 申报单位代理人 ................................................................................ 10 6.1 6.2 6.3
委托书........................................................................................... 10 产品代理人简况 .......................................................................... 10 产品主要技术负责人简况 .......................................................... 10
7. 产品信息............................................................................................. 11 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8
产品基本情况 .............................................................................. 11 检测类型 ...................................................................................... 11 产品类别 ...................................................................................... 12 产品主要开发人员列表 .............................................................. 15 产品送测清单 .............................................................................. 16 送测产品实物照片 ...................................................................... 16 知识产权情况说明 ...................................................................... 16 特殊说明事项 .............................................................................. 16
第1页
安全保密产品检测申请书
7.9 其他材料 ...................................................................................... 16
8. 技术文档............................................................................................. 17 8.1 8.2
产品安全目标文档 ...................................................................... 17 配置管理 ...................................................................................... 22
8.2.1 配置管理能力 .............................................................................. 22 8.2.2 配置管理范围 .............................................................................. 22 8.3
交付和运行 .................................................................................. 23
8.3.1 交付 ............................................................................................... 23 8.3.2 安装、生成和启动程序 .............................................................. 23 8.4 8.5 8.6 8.7 8.8
研制背景介绍文档 ...................................................................... 23 功能规范文档 .............................................................................. 23 高层设计文档 .............................................................................. 24 指导性文档 .................................................................................. 24 测试相关文档 .............................................................................. 24
8.8.1 自测报告 ...................................................................................... 24 8.8.2 测试范围分析 .............................................................................. 27 8.8.3 测试深度分析 .............................................................................. 27 8.9 8.10
生命周期支持相关文档 .............................................................. 27 产品安全性分析文档 .................................................................. 28
8.10.1 误用分析 ...................................................................................... 28 8.10.2 安全功能强度分析 ...................................................................... 28 8.10.3 脆弱性分析 .................................................................................. 28
第2页
安全保密产品检测申请书
8.11 8.12
关键技术说明文档 ...................................................................... 28 安全保密作用说明文档 .............................................................. 28
9. 附件清单............................................................................................. 29
第3页
安全保密产品检测申请书
1. 声明
申请方在正式填写本申请书前,须认真阅读并理解以下内容: (1)申报单位应在提交产品样品前,严格进行产品自测,确保产品质量。凡产品样品在我中心检测期间因质量问题导致无法安装或工作的,计为一次不合格,由此带来的检测周期延长和检测费用增加等后果,由申报单位承担。
(2)申报单位应确保在本《申请书》、产品外观、包装及相关文档中产品名称、规格型号、申报单位等信息的唯一性和一致性,否则我中心不予受理。
(3)我中心不受理防计算机病毒类产品和密码类产品,请勿提交此两类产品申报材料。
(4)申报材料一律不予退回,请申报方自行留存副本。 (5)测评中心将首先对申报资料进行审查,审查通过后通知申报单位送测产品样品,请勿同时提交申报资料和产品样品。
(6)代理人及申报单位联系邮箱、电话等信息变更时,应及时书面通知我中心。因申报方变更联系信息后未及时告知我中心而导致产品检测终止,我中心概不负责。
(7)在检测过程中,由于产品设计缺陷而导致的产品损坏,我中心概不负责。
(8)申报单位应执对产品检测报告无异议的书面声明至我中心领取产品样品和检测证书;如对报告有关内容存在异议,申请方应在领取报告后7日内以书面形式提交至我中心,我中心将视情况予以处理,逾期不予受理。
第4页
安全保密产品检测申请书
2. 《申请书》填写要求
(1)《申请书》内容要具体、真实、完整。
(2)若产品由多个单位共同研发,应在第5部分分别详细填写每个单位的信息。
(3)《申请书》应单独胶装成册;用户手册、管理员手册及其它文档可作为附件分别装订,在《申请书》正文有关章节进行引用,在《申请书》第9部分“附件清单”中列出名录并在每份文档封面左上角标注附件序号。
(4)《申请书》需签字盖章同时加盖骑缝章方可有效。 (5)《申请书》提交时应纸质一式两份,刻有《申请书》Word电子版文件和产品基本信息Excel表的光盘一式两张,盘面上标明申报单位名称、产品名称、产品规格型号和申报日期。无电子版的纸质材料,应扫描形成电子版文件,并刻录在光盘中。
第5页
安全保密产品检测申请书
3. 测评中心联系方式
《申请书》等纸质材料和电子版文件不涉及国家秘密的可邮寄、快递或派人送达测评中心;涉及国家秘密的,必须按涉密文件传递的有关保密规定办理(如:机要交换或专人报送)。
收 件 人: 国家保密科技测评中心产品检测受理室
地 址: 邮 编:
联系电话: 投诉电话: 传 真: 网 址:
E-mail:
北京市海淀区交大东路甲56号 100044 010-55622680 55622681
010-55622681 010-55622681 55622680 www.nsstec.org.cn nsstec@126.com
第6页
安全保密产品检测申请书
4. 申报单位承诺书
承诺书
一、 我单位郑重承诺严格保守产品检测活动中知悉的国家保密标准、测评方案和测试方法等国家秘密。
二、 我单位郑重承诺已认真阅读并理解了本《申请书》中各项申报要求及相关说明。
三、 我单位郑重承诺向国家保密科技测评中心提供不少于两台测试样机,若检测过程中因测试样机自身硬件/软件故障导致样机无法继续使用,我单位将在五个工作日内向国家保密科技测评中心提供同型号、同版本的测试样机,确保检测的顺利进行。
四、 我单位郑重承诺送测样品和申请书完全一致,并已经过严格内部测试。
五、 我单位郑重承诺产品通过国家保密科技测评中心检测后,我单位在涉密信息系统中销售的产品是通过检测且版本一致的产品。
六、 我单位郑重承诺,自觉接受国家保密局、国家保密科技测评中心和社会监督,若违反以上承诺,愿接受相关处理。
法人签字: 单位公章:
年 月 日
第7页
安全保密产品检测申请书
5. 申报单位信息
非企业法人应参照以下要求提供证明单位资质的有关信息和证明材料。 5.1 单位基本信息
此页内容应与企业法人营业执照副本内容严格一致。
单位全称(中文) 单位全称(英文) 单 位 性 质 业 务 范 围 地 址 法定代表人姓名 法定代表人电话 电 子 邮 箱 邮政编码 职 务 法人代表E-mail 5.2 企业法人营业执照副本复印件
应注明“与原件一致”字样,由法定代表人签字并加盖公司印章。若申报单位为股份制企业,应提供上市公司股票代码,股东名称及持股比例,注明是否有外商(包括港、澳、台)投资,法人签字后加盖公章。 5.3 单位简介
应简要介绍单位的基本情况,包括成立背景、主体业务、企业规模、资质和专利、近三年的主要业绩、科研生产能力、质量管理、售
第8页
安全保密产品检测申请书
后服务和人员管理等。
第9页
安全保密产品检测申请书
6. 申报单位代理人
6.1 委托书
委托书
本单位申请到国家保密科技测评中心进行产品检测,有关检测事宜委托 同志全权代理,请测评中心予以接洽。
法定代表人(签 名):
单位 (公 章): 年 月 日
6.2 产品代理人简况
姓 名 性别 年龄 现任职务 传 真 邮政编码 身份证号码(身份证复印件附后) 办公室电话 移动电话(重要) 通信地址 电子邮箱(重要) 6.3 产品主要技术负责人简况
姓 名 性别 年龄 现任职务 传 真 邮政编码 身份证号码(身份证复印件附后) 办公室电话 移动电话(重要) 通信地址 电子邮箱(重要) 第10页
安全保密产品检测申请书
7. 产品信息
7.1 产品基本情况
产品名称(中文): 产品版本: 产品型号(硬件产品): 研发单位: 生产厂商: 商标: 年销售量: 销售领域:政府部门 □ 企事业单位 □ 其他 □ 主要销售单位:
7.2 检测类型
(1)检测类型说明
产品检测分为新产品初次检测、产品升级检测和证书延期检测三种类型,检测流程相同。
新产品初次检测:产品初次检测或产品证书已过期的检测。 产品升级检测:申报检测的产品已经具有本中心的检测证书,且证书在有效期内,因产品功能变化导致版本升级而申报的检测。
证书延期检测:申报检测的产品已经具有本中心的检测证书且证书在有效期内,产品功能未做变化而申报的检测。
若为产品升级检测或证书延期检测,则还应提供该产品通过本中心检测的证书和报告复印件;申请证书延期检测时新申报产品名称与规格型号应与原产品一致;申请产品升级检测时产品名称应与原产品一致,产品规格型号应有变化。
第11页
安全保密产品检测申请书
(2)本次样品检测的类型为( ) A.新产品初次检测 B. 产品升级检测
上次通过检测时的产品名称 上次通过检测时的单位名称 检测证书编号 C.产品证书延期检测
报告编号 7.3 产品类别
请在下列选项中选择产品类别(三级分类):
一级分类 代码 名称 代码 二级分类 名称 代码 A101 A1 环境安全 A102 A103 A201 A2 载体安全 A202 A203 A 物理安全 A301 A302 A3 设备安全 A303 A304 A305 A0 物理安全其他 设备防盗 设备防毁 防线路截获 抗电磁干扰 电源保护 三级分类 名称 区域防护 灾难防范与恢复 容灾恢复计划辅助支持 载体防盗 载体管理 载体销毁 第12页
安全保密产品检测申请书
一级分类 B1 二级分类 计算环境防B101 护 B201 B2 防恶意代码 B202 操作系统安全 B301 B302 三级分类 可信计算 计算机病毒防治(暂不受理) 特定代码防范 安全操作系统 操作系统安全增强 B 主机及其计算环境安全 B3 B0 主机及其计算环境安全其他 C101 通信鉴别 通信保密 网络入侵检测 C1 C 网络通信安全 通信安全 C102 C2 C0 网络监测 C201 网络通信安全其他 D101 安全隔离卡 安全隔离与信息交换 网络入侵防御 网络恶意代码防范 可用性防范(抗DoS) 防火墙 安全路由器 安全交换机 终端接入控制 D1 边界隔离 D102 D201 D2 入侵防范 D202 D203 D 边界安全 D3 D301 边界访问控D302 制 D303 D4 D0 网络终端安D401 全 边界安全其他 第13页
安全保密产品检测申请书
一级分类 E1 E 应用安全 E0 二级分类 应用服务安全 应用安全其他 电磁泄漏防护 声泄漏防护 光泄漏防护 数据平台安全 备份与恢复 F101 F102 F201 F301 F401 F402 F501 F601 F602 F6 数据保护 F603 F604 F605 F701 F7 密码支持 F702 F0 数据安全其他 G101 G1 监控与审计 G102 应急响应支持 G201 G202 三级分类 电磁屏蔽与抑源 电磁泄漏干扰 防声泄漏 防光泄漏 安全数据库 数据库安全增强 数据备份与恢复 数据防篡改 信息消除 数据泄漏防护 数据加密(暂不受理) 密级标志 密码设备(暂不受理) 密钥管理(暂不受理) F1 F2 F3 F4 F5 F 数据安全 安全审计 安全监控 应急计划辅助软件 应急设施 G 安全管理与支持 G2 第14页
安全保密产品检测申请书
一级分类 G3 二级分类 安全保密支G301 持辅助 G401 G4 身份鉴别 G402 G0 安全管理与支持其他 系统检测评估 H101 H102 H201 H202 H301 H3 保密核查取H302 证 H303 H0 安全保密监管其他 三级分类 安全资产管理 电子信息鉴别 生物信息鉴别 系统风险评估 安全性检测分析 终端保密技术检查 网络保密技术检查 证据保全 数据恢复 证据分析 H1 H2 H 安全保密监管 保密技术检查 Z 其他 7.4 产品主要开发人员列表
序号 姓名 性别 年龄 职称或职务 专业 工作岗位 工作年限
第15页
安全保密产品检测申请书
7.5 产品送测清单
应详细提供样品送测时的装箱清单,清单内容应包括软件、硬件、资料和其他相关附件的名称、数量和规格。 7.6 送测产品实物照片
(1)应在此处嵌入*.jpeg格式的照片电子版文件,照片中产品上的徽标、名称、型号等应清晰。
(2)软件产品应提供CD盘盒封面与盘贴的电子数码照片(两张、彩色,照片应用图像处理软件将背景设为无色)。
(3)硬件产品应提供产品前面板、后面板及全景图的电子数码照片(各两张、彩色,照片应用图像处理软件将背景设为无色);应提供开箱后的内部结构照片,该照片上应能看清产品内部结构布局和布线,核心芯片的型号应清晰(或者另附放大照片)。 7.7 知识产权情况说明
应提供法人签字且单位盖章的知识产权情况说明。 7.8 特殊说明事项
此部分用于对申请书中未涉及但有必要向检测机构进行说明的事项进行表述。 7.9 其他材料
(1)如果申请检测的产品是在通用网络设备或自动办公化设备(如打印机、复印机、计算机、服务器、路由器、交换机等)基础上进行安全保密增强,应提供该产品通过3C认证的相关资料(复印件)。
第16页
安全保密产品检测申请书
(2)如果申请检测的产品采用了加密算法,应提供该算法的密码主管部门的批文或商密科研、生产定点单位的相关密码产品授权证明(复印件)。
(3)其他测评机构出具的产品测试报告或证书(复印件)。 (4)申报单位认为有必要提供与产品相关的其他资料。
8. 技术文档
8.1 产品安全目标文档
应严格按如下格式和内容要求撰写产品安全目标文档。
第17页
安全保密产品检测申请书
1 引言 1.1 标识
产品名称和产品规格型号。 1.2 概述
概括介绍产品的类别、形态、主要组成、功能及应用环境。 1.3 研制标准
产品研制所依据的标准名称、版本号和出版日期。对于没有明确可依据标准的,也应明确表述未参考任何标准。 2 产品描述 2.1 产品类型
依据产品功能确定产品类型,如包过滤型防火墙产品、主机监控与审计产品,基于USB Key终端安全登录的电子信息鉴别产品等。具体分类可参见本申请书“7.3产品类别”。 2.2 产品结构
描述构成产品的硬件、固件和软件的组件或模块。如产品由几个模块或子系统组成,每个模块或子系统的组成及其功能,产品各个模块或子系统对运行环境的要求等。 2.3 产品的范围和边界
对于产品边界的描述应说明哪些属于产品,哪些不属于产品,如产品的日志存储功能需要依靠第三方数据库的支持,但数据库本身不属于产品的范围。最好以图表加入描述语言的方式进行说明。
产品的边界描述应包括:
1) 物理范围和边界。详细介绍构成产品的硬件、软件和固件,以及具体的配置,如硬件产品服务器及其配置,软件光盘等。一般不属于产品物理范围的内容可能包括但不限于:系统运行所需的操作系统环境; 数据库应用系统;底层系统提供的安全防护功能。
2) 逻辑范围和边界。描述产品负责提供的IT安全功能,如防火墙包括:安全审计、安全管理、身份鉴别与授权、信息流控制,NAT等。 2.4 应用环境
对产品的使用环境及在其中发挥的作用进行描述。 3 产品安全环境 3.1 假设
(1)对预期如何使用产品进行描述,如预期的应用方式、需要保护的资产及其潜在价值、以及使用产品可能存在的限制。
(2)对产品在物理、人员、连接性等使用环境方面的预期条件进行描述。
第18页
安全保密产品检测申请书
a) 物理方面,包括产品的物理位置或附加外围设施的预期条件,如假设管理员控制台需严格限制在某个特定物理环境方可使用;产品放在安全环境中、非授权人员不可进入等。 b) 人员方面,包括安全环境内的用户和产品管理员,或其他人员所作的预期条件,如假设普通用户仅具有确定的最小权限;管理员受过专业训练,政治可靠,技术能力可以胜任并且严格遵循规章制度。 c) 连接性方面,包括产品与产品之外的IT 产品或系统相连的预期条件,如假定产品不会连接任何不可信的网络。 假设示例如下: 名称 假设-时间 3.2 威胁 描述 底层操作系统提供的时间是正确的。 在所有预期条件均满足的条件下,列出所有与产品安全运行相关的威胁,对列出的每个威胁应单独标识并作出相应的解释说明。应通过威胁主体、攻击方式和被攻击的资产来描述。应描述威胁主体可能具有的专门技术、可用资源和动机等。应描述攻击方式可能具有的攻击方法、可利用的脆弱性和时机等。示例如下: 名称 威胁-非授权 3.3 组织安全策略 描述 未授权人员可能会绕过身份鉴别使用产品。 组织安全策略主要包括产品及其应用环境必须遵守的法律、法规、规定或指南。例如,组织安全策略可能要求口令生成和加密应符合国家政府制定的标准。示例如下: 名称 组织-角色 4 安全目的 4.1产品安全目的 描述 产品必须具有系统管理员、安全保密员和安全审计员。 产品采用各种技术措施来满足的产品安全目的,应对产品的每个安全目的进行详细解释,确定其作为产品安全目的的原因。示例如下: 名称 安全目的-管理 安全目的-身份鉴别 安全目的-授权 描述 产品应提供仅允许正确管理员进行管理的功能项。 在用户使用产品前,产品应能对用户进行身份鉴别。 在用户使用产品前,产品应能判定用户的授权是否正确且唯一。 第19页 安全保密产品检测申请书
4.2环境安全目的 列出非本产品IT手段来满足的安全目的,例如:使用程序性的管理或运行规定。应对确定为环境安全目的的理由作出详细解释。示例如下: 名称 安全目的-时间 5 IT安全要求 5.1产品安全要求 描述 底层操作系统提供的时间是正确的。 针对“4.1.产品安全目的”,从“1.3研制标准”中写明的产品标准中抽取出相应的参考要求,逐一列出每个安全目的对应的标准条款。 如果“1.3研制标准”中没有对应安全目的的标准条款,则应说明无对应条款,并补充提出相应要求。 5.2环境安全要求 针对“4.2.环境安全目的”从“1.3研制标准”中写明的产品标准中抽取出相应的参考要求,逐一列出每个安全目的对应的标准条款。 如果“1.3研制标准”中没有对应安全目的的标准条款,则应说明无对应条款,并补充提出相应要求。 6 产品概要规范 产品概要规范指的是“5.IT安全要求”的具体实现。本部分应对产品的具体功能实现进行描述。示例如下: 认证授权功能 通过安全保密管理员的认证必须具有如下条件: 1)管理员提供已注册的用户名,该用户名应在合法的用户列表中且未失效。 2)管理员提供正确的用户名口令(此处应解释口令身份鉴别的实现原理和保证口令自身安全的措施等)或正确的USB Key(此处应解释通过USB Key进行身份鉴别的实现原理和算法等,如果是其他厂家的USB Key,应补充说明该USB Key的情况)。 3)管理IP是经配置允许的。 4)管理员身份和权力处于有效期范围内。 5)具有管理员身份鉴别尝试措施。 如下策略可以加强管理员的身份认证和授权管理: 1) 用户名注册要求:用户名长度应为6-32位,复杂度至少包括数字和字母。 2) 口令要求:口令长度应为10-16位,复杂度至少包括数字和字母,但不可以包括TAB和CR。
第20页
安全保密产品检测申请书
3) 口令更换要求:必须要提供旧口令,修改后可以和原口令完全一样也可以完全不一样,进行修改自己的口令,安全保密管理员具有初始化口令的功能。 4) USB Key更换要求:...... 5) 身份鉴别和授权策略:...... 注:如果产品利用了概率和变换机制(如口令或散列函数)来实现安全功能。应提供这些安全功能的强度分析,确定并声明其为基本级功能强度(可以充分对抗低等攻击潜力者偶然的攻击)、中级功能强度(可以充分对抗中等攻击潜力者直接或故意发起的攻击)或高级功能强度(可以充分对抗高等攻击潜力者有周密计划或组织的攻击)。强度级别的选择基于与威胁相关的方面(持续时间、经验、对产品的了解、产品的访问方式、使用的设备等)。 7基本原理 7.1 安全目的基本原理 对“4.安全目的”中列出的所有安全目的的必要性进行论述,并说明这些安全目的如何能够对抗“3.2威胁”中列出的所有威胁、实现已标识的“3.3组织安全策略”并遵循规定的“3.1假设”。可通过安全目的和安全环境间双向映射的方式来表达。示例如下: 威胁和策略 威胁-非授权 解释: 产品安全目的 安全目的-管理、安全目的-身份鉴别、安全目的-授权 安全目的-管理,这一安全目的保证了只有授权的管理员可以使用相关管理功能,这个安全目的对应威胁-非授权。 安全目的-身份鉴别,这一安全目的保证只有通过身份鉴别的用户才能使用该产品,这个安全目的对应威胁-非授权。 安全目的-授权,这一安全目的保证用户在使用产品时的权力范围是有效的,这个安全目的对应威胁-非授权。 这三个安全目的完全可以对抗威胁-非授权,只有在安全目的-管理、安全目的-身份鉴别、安全目的-授权这三个安全目的同时满足时才会避免非授权的问题。 7.2安全要求基本原理 对“5.IT安全要求”中抽取的相应标准条款的必要性进行论述,并说明这些标准条款要求如何能够满足“4安全目的” 中列出的所有安全目的,可通过安全要求和安全目的间双向映射的方式来表达,并详细说明安全要求间的依赖关系。 7.3 产品概要规范基本原理 对“6产品概要规范”中列出的产品功能如何协同运作进行论述,并说明这些产品功能如何能够满足“5.IT安全要求”中列出的安全要求。可以通过产品功能和安全要求间双向映射的方式来表达。
第21页
安全保密产品检测申请书
8.2 配置管理 8.2.1 配置管理能力
应严格按如下内容撰写配置管理能力文档。
(1)产品的唯一标识,包括名称和规格型号等,所有文档中的标识都应一致。
(2)应具有产品配置管理系统。
(3)配置清单。应列出配置管理系统中所有与产品设计相关的配置项(如:需求分析、概要设计、详细设计、源代码、测试文档等)及与测试评估相关的配置项(如:安全目标、功能规范等),要唯一标识出每个配置项的版本信息(如名称、版本号等),并作出详尽解释。
(4)配置管理计划。应对如何使用配置管理系统进行描述(包括人员授权、配置项的修改、并发处理等),并同时提供使用过程中产生的审计记录信息,还应包括防止对配置项非授权访问的访问控制措施。
8.2.2 配置管理范围
配置管理范围文档应提供配置清单且包括如下内容: (1)完成测试评估所需的所有文档,如产品安全目标文档、功能规范等。
(2)在产品的整个生命周期中,产品的实现表示、设计、测试、测试工具、用户和管理员指南、配置管理相关文档及安全缺陷等。
第22页
安全保密产品检测申请书
(3)产品整个生命周期中标识、跟踪每个配置项的方法和程序。包括:配置项的标识、分配、替代方法、各个阶段的命名方式及阶段之间同一配置项的对应关系、配置项之间的关联性等。 8.3 交付和运行 8.3.1 交付
应详细描述产品交付过程中各阶段操作方式和具体要求,包括从生产环境到使用环境的整个交付过程的各个阶段,如开发环境到测试环境、公司内部到最终用户。应描述以下细节:
(1)用到的软件、硬件、固件和文档;
(2)为保证产品安全地提交给用户所需的所有交付程序,如产品包装、密封、紧压安全带、公共邮政服务和私人传递等过程。 8.3.2 安装、生成和启动程序
应描述所有安装、生成和启动步骤,也应描述异常处理、最小系统需求等。如果产品在已经运行的情况下交付,产品安装、生成和启动程序在“8.3.1交付”中进行描述,则本部分可不进行描述。 8.4 研制背景介绍文档
应详细列出产品的需求分析,描述产品具有的安全保密作用及特点,着重说明在涉密领域应用的充分性和必要性。 8.5 功能规范文档
应从以下方面进行详细描述: (1)产品功能。
第23页
安全保密产品检测申请书
(2)用户可见的接口,这些接口指可以被用户激活,从而调用安全功能及查看安全功能状态。
(3)外部接口的异常和出错信息及产品的处理方式。 (4)以表格的形式说明本部分中各个产品功能与《安全目标文档》中“6.产品概要规范”的对应关系。 8.6 高层设计文档
应从以下方面进行详细描述:
(1)产品设计目标、设计思想和产品总体方案。 (2)实现产品功能所需的硬件、固件和软件条件。 (3)说明哪些功能是由底层硬件、固件和软件实现的。 (4)将产品安全功能分解成多个子系统,可采用图形加描述性语言的方式进行解释说明。
(5)子系统间的接口及产品外部可见的子系统接口。 (6)子系统接口处的异常和出错信息。 (7)集成其它厂商产品或技术的情况。
(8)以表格的形式说明本部分中各个子系统与“8.5功能规范文档”中的安全功能的对应关系。 8.7 指导性文档
应提供《用户使用手册》、《管理员使用手册》和《研发(调试)人员使用手册》。 8.8 测试相关文档 8.8.1 自测报告
第24页
安全保密产品检测申请书
应参照如下格式要求提供全面覆盖产品所有功能、性能、产品外部接口、各子系统间接口的自测报告。若为延期产品或升级产品,自测报告后还应附对应表映射原国家保密科技测评中心报告的所有测试项目。
XXXX产品自测报告VX.X 目 录 1.概述 ................................................................................................................................................... 1 2.产品描述 ........................................................................................................................................... 1 3.检测环境 ........................................................................................................................................... 1 3.1 硬件条件 ....................................................................................................................................... 1 3.2 软件条件 ....................................................................................................................................... 1 3.3 产品检测环境示意图 ................................................................................................................... 1 4.检测要求和方法 ............................................................................................................................... 1 4.1 产品基本功能要求 ..................................................................................................................... 1 4.1.1 XXXXX ....................................................................................................................................... 1 4.1.2 XXXXXX .................................................................................................................................... 1 4.1.3 XXXXXX .................................................................................................................................... 1 4.1.4 XXXXXX .................................................................................................................................... 1 4.2 安全保密要求 ............................................................................................................................... 1 4.2.1身份鉴别 ..................................................................................................................................... 1 4.2.2管理员权限划分 ......................................................................................................................... 1 4.2.3安全审计 ..................................................................................................................................... 1 4.2.4其他要求 ..................................................................................................................................... 1 4.3性能要求 ........................................................................................................................................ 1 4.4其他要求 ...................................................................................................................................... 1 4.5保证要求 ........................................................................................................................................ 1 4.5.1文档完整性 ................................................................................................................................. 1 4.5.2安装与卸载 ................................................................................................................................. 1 4.5.3管理方式 ..................................................................................................................................... 1 4.5.4管理配置 ..................................................................................................................................... 1 4.5.5其他要求 ..................................................................................................................................... 1 5.参考文献 ........................................................................................................................................... 1 5.1文献1名称 .................................................................................................................................... 1 5.2文献2名称 .................................................................................................................................... 1
第25页
安全保密产品检测申请书
1.概述 要求:简要描述编制自测报告的基本思想、依据标准、主要内容、编制过程、参考的技术资料情况等。 2.产品描述 2.1 产品概况 XXX类产品是XXXXXXX(定性描述产品是什么)。 该类产品通常由A、B、C组成,A为硬件,安装在XXXX,用于XXXXX;B为软件,安装在XXXX,用于XXXXX;C为软件,安装在XXXX,用于XXXXX。 该类产品的主要功能包括:XXXXXXXXXXXXXXXXX 2.2 产品硬件 XXX CPU、XXX GB内存、XXXXX 2.3 产品软件 XXXX操作系统、XXXXXXXXX 3.检测环境 3.1 硬件条件 要求:应详细说明硬件设备的配置情况,使得在符合该硬件配置条件的情况下,能够复现检测结果。 3.2 软件条件 要求:应详细说明软件的配置情况,如软件的版本及补丁情况等,使得在符合该软件配置条件的情况下,能够复现检测结果。 3.3 产品检测环境示意图 4.检测要求和方法 4.1 产品基本功能要求 4.1.1 XXXXX 检测项目 检测要求 XXXXXXXXXXXXX XX XXXXXXXXXX 4.1.2 XXXXXX 4.1.3 XXXXXX 4.1.4 XXXXXX
第26页
检测步骤 1. XXXXXXXXXXXXXXXXXXX; 2. XXXXXXXXXXXXXXXXXXX。 1. XXXXXXXXXXXXXXXXXXX; 2. XXXXXXXXXXXXXXXXXXX。 检测结果 安全保密产品检测申请书
4.2 安全保密要求 4.2.1身份鉴别 4.2.2管理员权限划分 4.2.3安全审计 4.2.4其他要求 4.3性能要求 4.4其他要求 4.5保证要求 4.5.1文档完整性 4.5.2安装与卸载 4.5.3管理方式 4.5.4管理配置 4.5.5其他要求 5.参考文献 5.1文献1名称 XXXXXXXXXXXXXXXXXXXXXXXXX。 5.2文献2名称 XXXXXXXXXXXXXXXXXXXXXXXXXXX。 测试人员: 单位公章
年 月 日 8.8.2 测试范围分析
应以表格映射的形式说明测试文档中列出的测试项目与“8.5功能规范文档”中的所有产品功能、性能、外部接口是对应一致的。 8.8.3 测试深度分析
应以表格映射的形式说明测试文档中列出的测试与“8.6高层设计文档”中所有子系统和子系统接口是对应一致的。 8.9 生命周期支持相关文档
第27页
安全保密产品检测申请书
应描述开发环境中用于保护产品设计和实现过程中机密性与完整性的物理、过程和人员等方面的安全措施,提供主要材料来源及供货厂商,并提供实施过程中的文档证据(如机房刷卡记录等)。 8.10 产品安全性分析文档 8.10.1 误用分析
应确认“8.7指导性文档”标识了所有可能的产品操作方式,包括误操作和失败操作可能的影响;对所有用于产品安装和配置的必要操作进行描述;提供足够的信息确认用户能有效的管理和使用产品安全功能。 8.10.2 安全功能强度分析
应以定性或定量的形式描述产品中出现的概率或置换机制(如口令机制或生物识别机制),分析其强度是否与“安全目标文档”中的描述相一致。 8.10.3 脆弱性分析
应对产品进行分析,说明在预期使用环境中产品是否存在明显可被利用的脆弱性;如果有,应列出所有存在的明显脆弱性,并描述利用脆弱性对产品造成危害所需的时间、技术、攻击者对产品的了解程度、攻击者对产品的访问方式及使用的设备。 8.11 关键技术说明文档
应对产品设计和实现中主要的技术难点和解决办法进行描述。 8.12 安全保密作用说明文档
应对描述产品具有的安全保密作用及特点进行描述。
第28页
安全保密产品检测申请书
9. 附件清单
申报单位应根据自身产品情况准备申报资料附件并列出清单,以下清单仅供参考。 序号 附件1 附件2 附件3 附件4 附件5 附件6 附件7 附件8 附件9 附件10 附件11 附件12 附件13 附件14 附件15 文档名称 企业法人营业执照副本(复印件) 产品安全目标 配置管理文档 交付和运行文档 研制背景介绍文档 功能规范文档 高层设计文档 指导性文档 测试相关文档 生命周期支持相关文档 产品安全性分析文档 关键技术文档 3C认证相关资料(复印件) 密码产品授权证明(复印件) 版本号 其他测评机构出具的产品测试报告或 证书(复印件) 第29页
安全保密产品检测申请书
附件16 国家保密科技测评中心中心出具的产 品测试报告或证书(原件) 附件17
其他 第30页