脆弱性评估文档

GAT_390-2002_计算机信息系统安全等级保护通用技术要求

5.2.7.1 隐蔽信道分析

应确定并标识出TCB 中非预期的信号通道的存在性，及其潜在的容量。通道容量的估计是基于非形式化的工程度量和实际的测量。隐蔽信道分析所基于的假设可以包括处理器速度、系统或网络配置、内存大小和缓存大小等。

隐蔽信道分析是建立在TCB 的实现、管理员指南、用户指南以及完整定义的外部接口等基础上的。隐蔽信道分析可以是一般性的，也可以是系统化的，或者是严格的，其要求如下：a）一般性的隐蔽信道分析，应通过对隐蔽信道的非形式化搜索，标识出可标识的隐蔽信道，为此要求：

——对每个信息流控制策略都应搜索隐蔽信道，并提供隐蔽信道分析的文档；

——分析文档应标识出隐蔽信道并估计它们的容量；

——分析文档应描述用于确定隐蔽信道存在的过程，以及进行隐蔽信道分析所需要的信息；

——分析文档应描述隐蔽信道分析期间所作的全部假设；

——分析文档应当描述最坏的情况下对通道容量进行估计的方法；

——分析文档应当为每个可标识的隐蔽信道描述其最坏的利用情形。

b）系统化的隐蔽信道分析，应通过对隐蔽信道的系统化搜索，标识出可标识的隐蔽信道。为此，要求开发者以结构化、可重复的方式标识出隐蔽信道。除上述一般性隐蔽信道分析要求外，还要求分析文档提供证据证明用于标志隐蔽信道的方法是系统化的。

c）彻底的隐蔽信道分析，应通过对隐蔽信道的穷举搜索，标识出可标识的隐蔽信道。为此，要求开发者提供额外的证据，证明对隐蔽信道的所有可能的搜索方法都已执行。其具体要求与系统化隐蔽信道分析要求相同。

5.2.7.2 防止误用

应防止对TCB 以不安全的方式进行使用或配置而不为人们所察觉。为此，应使对TCB 的无法检测的不安全配置和安装，操作中人为的或其它错误造成的安全功能解除、无效或者无法激活，以及导致进入无法检测的不安全状态的风险达到最小。要求提供指导性文档，以防止提供冲突、误导、不完备或不合理的指南。指导性文档应满足以下要求：a）指南检查，要求指导性文档应：

——包括安装、生成和启动过程、非形式化功能设计、管理员指南和用户指南等；

——明确说明对TCB 的所有可能的操作方式（包括失败和操作失误后的操作）、它们的

后果，

以及对于保持安全操作的意义；

——是完备的、清晰的、一致的、合理的，应列出所有目标环境的假设，并列出所有外部安

全措施（包括外部过程的、物理的或人员的控制）的要求。

b）分析确认，在指南检查的基础上，应文档化指导性文档，并要求分析文档应阐明指导性文档是完备的。

c）对安全状态的检测和分析，在分析确认的基础上，还应进行独立测试，以确定管理员或用户在理解指导性文档的情况下能基本判断TCB 是否在不安全状态下配置或运行。

5.2.7.3 TCB 安全功能强度

应通过对安全机制的安全行为的合格性分析或统计的分析结果，以及为克服脆弱性所付出的努力得到TCB 安全功能强度的说明。为了对安全功能强度进行评估，应对安全目标中标识的每个具有TCB安全功能强度声明的安全机制进行TCB 安全功能强度的分析，证明该机制达到或超过安全目标要求所定义的最低强度，并证明该机制达到或超过安全目标要求所定义的特定功能强度。

5.2.7.4 脆弱性分析

应能够发现缺陷的威胁。这些缺陷会导致对资源的非授权访问，对TCB 安全功能的影响或改变，或者干涉其它授权用户的权限。根据不断增加的严格性，脆弱性分析分为：a）开发者脆弱性分析，应确定明显的安全脆弱性的存在，并确认在所期望的TCB 环境下所存在的脆弱性不会被利用。为此，应通过搜索用户能违反TSP 的明显途径，文档化TCB 明显的脆弱性分布。对所有已标识的脆弱性，文档应说明在所期望的IT 环境中无法利用这些脆弱性。

b）独立脆弱性分析，评估者通过独立穿透测试，确定TCB 可以抵御的低级攻击能力攻击者发起的穿透性攻击。为此，除满足开发者脆弱性分析要求外，还要求所提供的文档应当证明对于具有已标识脆弱性的TCB 可以抵御明显的穿透性攻击。评估者则应进一步实施独立的脆弱性分析，并在此基础上实施独立的穿透性测试，以确定在所期望环境下额外标识的脆弱性的可利用性。

c）中级抵抗力，在独立脆弱性分析的基础上，要求所提供的证据应说明对脆弱性的搜索是系统化的。评估者则应确定可以抵御中级攻击能力攻击者发起的对TCB 的穿透性攻击。

d）高级抵抗力，在中级抵抗力的基础上，要求所提供的分析文档应表明该分析完备地

表述了TCB的脆弱性。评估者则应确定可以抵御高级攻击能力攻击者发起的对TCB 的穿透性攻击。