2022信息技術(shù)安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測試評價方法

信息安全技術(shù)

數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求

與測試評價方法

目次

目次.......................................................................................I

前言......................................................................................II

1范圍.....................................................................................1

2規(guī)范性引用文件..........................................................................1

3術(shù)語和定義..............................................................................1

4縮略語..................................................................................2

5總體描述................................................................................2

6安全技術(shù)要求............................................................................4

6.1安全功能要求........................................................................4

6.2自身安全要求.......................................................................6

6.3安全保障要求.......................................................................7

7測評方法...............................................................................10

7.1測試環(huán)境與工具....................................................................10

7.2安全功能要求測試..................................................................10

7.3自身安全測試......................................................................18

7.4安全保障評估方法..................................................................20

附錄A（規(guī)范性附錄）數(shù)據(jù)備份與恢復(fù)產(chǎn)品等級劃分....................................26

附錄B（資料性附錄）性能指標(biāo)與測試................................................28

信息安全技術(shù)

數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測試評價方法

1范圍

本標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)備份與恢復(fù)產(chǎn)品安全功能要求、自身安全要求、安全保障要求與測試評價方法。

本標(biāo)準(zhǔn)適用于對數(shù)據(jù)備份與恢復(fù)產(chǎn)品的研制、生產(chǎn)、測試和評價。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是

不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2010信息安全技術(shù)術(shù)語

GB/T18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分：簡介和一般模型

3術(shù)語和定義

GB/T18336.1-2015和GB/T25069-2010界定的以及下列術(shù)語和定義適用于本文件。

3.1

備份數(shù)據(jù)backupdata

存儲在（通?？梢苿拥模┓且资源鎯橘|(zhì)上某一時間點的數(shù)據(jù)集合。

3.2

備份backup

創(chuàng)建備份數(shù)據(jù)的過程。

3.3

數(shù)據(jù)恢復(fù)datarecovery

利用備份數(shù)據(jù)將目標(biāo)數(shù)據(jù)還原為某一備份時間點的內(nèi)容或狀態(tài)的過程。

3.4

快照snapshot

指定數(shù)據(jù)集合的一個完整可用的拷貝，其中包含數(shù)據(jù)在拷貝啟動時間點的映像。

3.5

備份對象backupobject

需要進(jìn)行備份的數(shù)據(jù)集合。

3.6

備份介質(zhì)backupmedia

存放備份數(shù)據(jù)的非易失性儲存物理載體。

3.7

備份系統(tǒng)backupsystem

實現(xiàn)數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)的相關(guān)軟件和硬件組成的系統(tǒng)。

3.8

備份服務(wù)器backupserver

數(shù)據(jù)備份與恢復(fù)產(chǎn)品中提供系統(tǒng)管理和控制服務(wù)的部分。

3.9

完全備份fuIIbackup

備份所有指定的數(shù)據(jù)對象的過程，不論這些數(shù)據(jù)自上次備份后是否被更改。完全備份是增量備份的基

礎(chǔ)。

3.10

增量備份incrementalbackup

僅備份自上次備份后更改過的數(shù)據(jù)對象。

3.11

差量備份differentialbackup

備份自上次完全備份后更改過的數(shù)據(jù)對象。

3.12

持續(xù)數(shù)據(jù)保護(hù)continuesdataprotection

可以實現(xiàn)持續(xù)捕捉或跟蹤目標(biāo)數(shù)據(jù)所發(fā)生的任何改變，并且能夠恢復(fù)到此前任意時間點的方法。

3.13

垃圾數(shù)據(jù)garbagedata

基于一定的備份與恢復(fù)策略，在備份過程中產(chǎn)生的對數(shù)據(jù)恢復(fù)無用的數(shù)據(jù)。

4縮略語

下列縮略語適用于本文件。

CDP：持續(xù)數(shù)據(jù)保護(hù)(ContinuesDataProtection)

5總體描述

數(shù)據(jù)備份與恢復(fù)產(chǎn)品是指實現(xiàn)和管理信息系統(tǒng)數(shù)據(jù)備份和恢復(fù)過程的產(chǎn)品，其產(chǎn)品邏輯結(jié)構(gòu)圖示例如

下如所示：

2

備份服務(wù)器

備份服務(wù)器

存儲服務(wù)器

（磁帶庫）

備份代理端

（Agent）

圖1數(shù)據(jù)備份與恢復(fù)產(chǎn)品典型邏輯結(jié)構(gòu)圖

備份服務(wù)器提供備份管理平臺，管理備份代理端、存儲服務(wù)器的接入，統(tǒng)一監(jiān)控和管理各客戶端資源的

備份、恢復(fù)和數(shù)據(jù)高可用等業(yè)務(wù)信息，并保存?zhèn)浞菁南嚓P(guān)信息。備份服務(wù)器是數(shù)據(jù)備份管理系統(tǒng)的核心模塊,

所有系統(tǒng)任務(wù)、用戶操作均由它統(tǒng)一調(diào)度執(zhí)行，包括作業(yè)調(diào)度下發(fā)、介質(zhì)讀寫管理等

存儲服務(wù)器負(fù)責(zé)接收和存儲備份數(shù)據(jù)（備份集、CDP數(shù)據(jù)等），通過快照等技術(shù)實現(xiàn)業(yè)務(wù)系統(tǒng)及數(shù)

據(jù)的存儲，從而實現(xiàn)對非結(jié)構(gòu)化數(shù)據(jù)、數(shù)據(jù)庫等不同類型數(shù)據(jù)的完全備份、增量備份、差量備份等備份方式。

備份代理端部署在客戶端服務(wù)器，用于對客戶端備份資源的整合，以便在連入備份服務(wù)器后，由備份

服務(wù)器進(jìn)行統(tǒng)一操作管理。備份代理是安裝在生產(chǎn)系統(tǒng)中提供備份數(shù)據(jù)抓取服務(wù)的客戶端代理。負(fù)責(zé)從目標(biāo)服

務(wù)器獲取數(shù)據(jù)，并進(jìn)行數(shù)據(jù)刪重和加密處理，然后傳輸至存儲服務(wù)器進(jìn)行存儲，并傳輸至備份服務(wù)器進(jìn)行備份

歸檔。

備份服務(wù)器（磁帶庫）提供磁帶歸檔，將存儲服務(wù)器中備份的數(shù)據(jù)歸檔至物理磁帶中，實現(xiàn)數(shù)據(jù)長期

保存，滿足法規(guī)要求、經(jīng)濟(jì)高效的歸檔需求。

數(shù)據(jù)備份與恢復(fù)產(chǎn)品安全技術(shù)要求分為安全功能要求、自身安全要求、安全保障要求三個大類。其

中，安全功能要求是對數(shù)據(jù)備份與恢復(fù)產(chǎn)品應(yīng)具備的通用功能提出具體要求，主要包括備份對象、備份方

式、備份模式、備份介質(zhì)、備份策略、恢復(fù)功能、平臺支持、系統(tǒng)管理、附加功能等；自身安全要求針對數(shù)

據(jù)備份與恢復(fù)產(chǎn)品的自身安全提出具體要求，主要包括身份鑒別、訪問控制、安全審計、數(shù)據(jù)保護(hù)、功能保護(hù)

等；安全保障要求針對數(shù)據(jù)備份與恢復(fù)產(chǎn)品的生命周期過程提出具體要求，主要包括開發(fā)、指導(dǎo)性文檔、生命周

期支持、測試、脆弱性評定等。

數(shù)據(jù)備份與恢復(fù)產(chǎn)品的安全等級分為基本級和增強(qiáng)級（加粗宋體字）。安全功能與自身安全的強(qiáng)弱、以

及安全保障要求的高低是等級劃分的具體依據(jù)，安全等級突出安全特性，具體安全技術(shù)要求的等級劃分詳見附

勤。

3

6安全技術(shù)要求

6.1安全功能要求

6.1.1備份對象支持

應(yīng)能對其聲明支持的備份對象、備份內(nèi)容進(jìn)行備份和恢復(fù)，常見的備份對象有數(shù)據(jù)庫、數(shù)據(jù)卷、文件、

操作系統(tǒng)等，常見的備份內(nèi)容有備份對象的數(shù)據(jù)、結(jié)構(gòu)等。

6.1.2運(yùn)行平臺支持

在產(chǎn)品聲明支持的操作系統(tǒng)平臺下，產(chǎn)品所有組件的所有功能應(yīng)能正常運(yùn)行。

6.1.3云環(huán)境適應(yīng)性（有則適用）

6.1.3.1云環(huán)境部署支持

應(yīng)支持部署于云環(huán)境，產(chǎn)品所有組件的所有功能應(yīng)能正常運(yùn)行。

6.1.3.2云環(huán)境備份支持

應(yīng)支持云環(huán)境中操作系統(tǒng)、文件、數(shù)據(jù)庫、虛擬機(jī)整機(jī)等備份對象的備份與恢復(fù)，支持基于云端存儲的

備份與恢復(fù)。

6.1.4備份方式支持

應(yīng)支持完全備份、增量備份、差量備份等備份方式。

6.1.5備份模式支持

應(yīng)支持網(wǎng)絡(luò)備份模式，能通過網(wǎng)絡(luò)備份和恢復(fù)數(shù)據(jù)。

6.1.6備份介質(zhì)支持

應(yīng)支持至少一種備份介質(zhì)，常見的備份介質(zhì)有磁盤、磁帶、光盤等。

6.1.7備份策略支持

6.1.7.1策略定制

應(yīng)能對備份對象、備份時間、備份方式、備份介質(zhì)等制定備份策略。

6.1.7.2策略管理

應(yīng)支持對備份策略進(jìn)行添加、刪除、修改、保存等操作。

6.1.7.3其它備份策略

應(yīng)至少支持一種其它備份策略，如有備份數(shù)據(jù)保存時間、備份作業(yè)循環(huán)、備份作業(yè)開始或結(jié)束條件、自定

義備份策略等。

6.1.8恢復(fù)功能支持

6.1.8.1恢復(fù)內(nèi)容選擇

應(yīng)能選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)，恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。

6.1.8.2恢復(fù)重定向

應(yīng)支持將備份數(shù)據(jù)恢復(fù)到與備份對象不同的主機(jī)或目錄中的功能。

6.1.8.3恢復(fù)時間點選擇

應(yīng)能選擇不同備份時間點的備份數(shù)據(jù)進(jìn)行恢復(fù)。

6.1.8.4恢復(fù)自動化

應(yīng)支持通過恢復(fù)過程自動執(zhí)行的方式，快速恢復(fù)備份數(shù)據(jù)。

6.1.8.5恢復(fù)缺失文件

應(yīng)支持標(biāo)識已缺失的備份對象的文件，并能夠?qū)σ讶笔У奈募M(jìn)行恢復(fù)。

6.1.9系統(tǒng)管理功能

6.1.9.1任務(wù)監(jiān)控告警

應(yīng)能監(jiān)控并記錄備份恢復(fù)任務(wù)的執(zhí)行情況，當(dāng)任務(wù)未成功執(zhí)行時，告警提示。

6.1.9.2備份存儲空間監(jiān)控告警

應(yīng)能監(jiān)控備份存儲空間使用情況，當(dāng)存儲空間已滿或達(dá)到閾值時，告警提示。

6.1.9.3報表功能

應(yīng)能提供作業(yè)狀態(tài)和設(shè)備狀態(tài)的報表。

6.1.9.4垃圾數(shù)據(jù)清理

應(yīng)支持清理備份恢復(fù)作業(yè)過程中產(chǎn)生的垃圾數(shù)據(jù)。

6.1.9.5磁帶管理（有則適用）

應(yīng)能對磁帶進(jìn)行管理，如磁帶出入庫、磁帶重用等。

6.1.10附加功能

6.1.10.1斷點續(xù)傳

應(yīng)支持?jǐn)帱c續(xù)傳功能，在異常狀態(tài)（如網(wǎng)絡(luò)故障）恢復(fù)后，被中斷的備份任務(wù)能自動從上次中斷的位

置起恢復(fù)作業(yè)或通過新任務(wù)恢復(fù)剩余作業(yè)。

6.1.10.2快照支持

應(yīng)支持快照技術(shù)，保證備份對象在備份時間點的數(shù)據(jù)一致性。

6.1.10.3緩存支持

應(yīng)為備份和恢復(fù)作業(yè)提供高速緩存支持，以提高備份和恢復(fù)作業(yè)的性能。

6.1.10.4壓縮傳輸

5

應(yīng)支持將備份數(shù)據(jù)壓縮傳輸。

6.1.10.5壓縮存儲

應(yīng)支持將備份數(shù)據(jù)壓縮存儲。

6.1.10.6重復(fù)數(shù)據(jù)刪除（有則適用）

應(yīng)支持重復(fù)數(shù)據(jù)刪除功能。

6.1,11持續(xù)數(shù)據(jù)保護(hù)CDP（有則適用）

6.1.11.1數(shù)據(jù)跟蹤捕獲

應(yīng)支持?jǐn)?shù)據(jù)跟蹤捕獲功能，能對備份對象數(shù)據(jù)的改變進(jìn)行連續(xù)的跟蹤和捕獲。

6.1.11.2任意時間點恢復(fù)

應(yīng)支持任意時間點恢復(fù)功能，管理員無需事先定義目標(biāo)恢復(fù)點，即可在任意時間點恢復(fù)目標(biāo)數(shù)據(jù)。

6.2自身安全要求

6.2.1身份鑒別

產(chǎn)品的身份鑒別功能要求包括但不限于：

a）應(yīng)對用戶身份進(jìn)行標(biāo)識和鑒別，用戶標(biāo)識應(yīng)具有唯一性；

b）應(yīng)對用戶身份鑒別信息進(jìn)行安全保護(hù)，保障用戶鑒別信息存儲和傳輸過程中的保密性；

c）應(yīng)提供登錄失敗處理功能，如限制連續(xù)的非授權(quán)登錄嘗試次數(shù)等相關(guān)措施；

d）應(yīng)提供登錄超時鎖定功能，當(dāng)?shù)卿涍B接超時自動退出：

e）在采用基于口令的身份鑒別時，要求對用戶設(shè)置的口令進(jìn)行復(fù)雜度檢查，確保用戶口令滿足一定

的復(fù)雜度要求；

f）當(dāng)產(chǎn)品中存在默認(rèn)口令時，應(yīng)在用戶首次登錄時提示用戶對默認(rèn)口令進(jìn)行修改；

g）應(yīng)對授權(quán)管理員選擇兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別。

h）超時退出和會話鎖定后，應(yīng)再次進(jìn)行身份鑒別才能夠重新管理備份系統(tǒng)。

6.2.2訪問控制

應(yīng)能對備份系統(tǒng)中與安全相關(guān)的所有操作設(shè)置訪問控制策略，例如，備份作業(yè)、日志訪問、策略管理、

備份數(shù)據(jù)訪問等。

6.2.3安全審計

產(chǎn)品的安全審計功能要求包括但不限于：

a）應(yīng)能對備份系統(tǒng)的身份鑒別、策略管理、備份作業(yè)、恢復(fù)作業(yè)等事件，以及管理員和用戶的各類

操作進(jìn)行審計；

b）審計記錄中應(yīng)至少包括事件發(fā)生的日期和時間、事件主/客體身份、事件內(nèi)容、事件的結(jié)果（如成

功或失?。┑葍?nèi)容，且易于閱讀；

c）產(chǎn)品應(yīng)保證只有授權(quán)管理員才能訪問相應(yīng)的審計記錄，應(yīng)保護(hù)存儲的審計記錄免遭未授權(quán)的刪除

和修改。

6.2.4數(shù)據(jù)保護(hù)

6

產(chǎn)品的數(shù)據(jù)保護(hù)功能要求包括但不限于：

a）應(yīng)能對數(shù)據(jù)在備份、恢復(fù)過程中的完整性進(jìn)行檢驗；

b）應(yīng)能在備份和恢復(fù)過程中利用編碼、協(xié)議等方式增加數(shù)據(jù)傳輸安全性；

c）應(yīng)能以非明文的方式將備份數(shù)據(jù)存儲于備份介質(zhì)上；

d）應(yīng)提供完整性校驗機(jī)制，保證備份數(shù)據(jù)完整性，一旦發(fā)現(xiàn)完整性破壞應(yīng)及時告警。

6.2.5功能保護(hù)

產(chǎn)品的功能保護(hù)包括但不限于：

a）應(yīng)監(jiān)控產(chǎn)品關(guān)鍵功能的運(yùn)行狀態(tài)，并對功能失效等異常狀態(tài)進(jìn)行提示或報警。

b）應(yīng)提供產(chǎn)品關(guān)鍵功能失效時的保護(hù)機(jī)制，如系統(tǒng)自動恢復(fù)、人工干預(yù)恢復(fù)。

6.3安全保障要求

6.3.1開發(fā)

6.3.1.1安全架構(gòu)

開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求:

a）與產(chǎn)品設(shè)計文檔中對安全功能實施抽象描述的級別一致；

b）描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

c）描述產(chǎn)品安全功能初始化過程為何是安全的；

d）證實產(chǎn)品安全功能能夠防止被破壞；

e）證實產(chǎn)品安全功能能夠防止安全特性被旁路。

6.3.1.2功能規(guī)范

開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求:

a）完全描述產(chǎn)品的安全功能；

b）描述所有安全功能接口的目的與使用方法；

c）標(biāo)識和描述每個安全功能接口相關(guān)的所有參數(shù)；

d）描述安全功能接口相關(guān)的安全功能實施行為；

e）描述由安全功能實施行為處理而引起的直接錯誤消息；

f）證實安全功能要求到安全功能接口的追溯；

g）描述安全功能實施過程中，與安全功能接口相關(guān)的所有行為；

h）描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。

6.3.1.3實現(xiàn)表示

開發(fā)者應(yīng)提供全部安全功能的實現(xiàn)表示，實現(xiàn)表示應(yīng)滿足以下要求：

a）提供產(chǎn)品設(shè)計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；

b）按詳細(xì)級別定義產(chǎn)品安全功能，詳細(xì)程度達(dá)到無須進(jìn)一步設(shè)計就能生成安全功能的程度:

c）以開發(fā)人員使用的形式提供。

6.3.1.4產(chǎn)品設(shè)計

開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求:

a）根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

b）標(biāo)識和描述產(chǎn)品安全功能的所有子系統(tǒng)；

7

C）描述安全功能所有子系統(tǒng)間的相互作用；

d）提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能接口；

e）根據(jù)模塊描述安全功能；

f）提供安全功能子系統(tǒng)到模塊間的映射關(guān)系；

g）描述所有安全功能實現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；

h）描述所有實現(xiàn)模塊的安全功能要求相關(guān)接口、其它接口的返回值、與其它模塊間的相互作用及

調(diào)用的接口；

i）描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其它模塊間的相互作用.

6.3.2指導(dǎo)性文檔

6.3.2.1操作用戶指南

開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對

每一種用戶角色的描述應(yīng)滿足以下要求：

a）描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?/p>

b）描述如何以安全的方式使用產(chǎn)品提供的可用接口；描述產(chǎn)品支持的存儲介質(zhì)及對存儲介質(zhì)的保護(hù);

c）描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時指明安全值；

d）明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制實

體的安全特性；

e）標(biāo)識產(chǎn)品運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），以及它們與維持安全

運(yùn)行之間的因果關(guān)系和聯(lián)系；

f）充分實現(xiàn)安全目的所必須執(zhí)行的安全策略。

6.3.2.2準(zhǔn)備程序

開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：

a）描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；

b）描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。

6.3.3生命周期支持

6.3.3.1配置管理能力

開發(fā)者的配置管理能力應(yīng)滿足以下要求：

a）為產(chǎn)品的不同版本提供唯一的標(biāo)識；

b）使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進(jìn)行維護(hù)，并唯一標(biāo)識配置項；

c）提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項的方法；

d）配置管理系統(tǒng)提供一種自動方式來支持產(chǎn)品的生成，通過該方式確保只能對產(chǎn)品的實現(xiàn)表示進(jìn)

行已授權(quán)的改變；

e）配置管理文檔包括一個配置管理計劃，配置管理計劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品。實

施的配置管理與配置管理計劃相一致；

f）配置管理計劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。

6.3.3.2配置管理范圍

開發(fā)者應(yīng)提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表應(yīng)包含以下內(nèi)容:

8

a）產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分；

b）實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。

6.3.3.3交付程序

開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，

交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。

6.3.3.4開發(fā)安全

開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計和實現(xiàn)的

保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。

6.3.3.5生命周期定義

開發(fā)者應(yīng)建立一個生命周期模型對產(chǎn)品的開發(fā)和維護(hù)進(jìn)行的必要控制，并提供生命周期定義文檔描

述用于開發(fā)和維護(hù)產(chǎn)品的模型。

6.3.3.6工具和技術(shù)

開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含義

和所有依賴于實現(xiàn)的選項的含義。

6.3.4測試

6.3.4.1測試覆蓋

開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)滿足以下要求：

a）表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應(yīng)性；

b）表明上述對應(yīng)性是完備的，并證實功能規(guī)范中的所有安全功能接口都進(jìn)行了測試。

6.3.4.2測試深度

開發(fā)者應(yīng)提供測試深度的分析。測試深度分析描述應(yīng)滿足以下要求：

a）證實測試文檔中的測試與產(chǎn)品設(shè)計中的安全功能子系統(tǒng)和實現(xiàn)模塊之間的一致性；

b）證實產(chǎn)品設(shè)計中的所有安全功能子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進(jìn)行過測試。

6.3.4.3功能測試

開發(fā)者應(yīng)測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：

a）測試計劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其它測試結(jié)果的任

何順序依賴性；

b）預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；

c）實際測試結(jié)果和預(yù)期的測試結(jié)果一致。

6.3.4.4獨立測試

開發(fā)者應(yīng)提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。

6.3.5脆弱性評定

基于已標(biāo)識的潛在脆弱性，產(chǎn)品能夠抵抗以下攻擊行為;

9

a）具有基本攻擊潛力的攻擊者的攻擊；

b）具有增強(qiáng)型基本攻擊潛力的攻擊者的攻擊。

7測評方法

測評方法包括針對基本級產(chǎn)品和增強(qiáng)級產(chǎn)品的安全功能要求、自身安全要求的測試和安全保障要求的

評估。有關(guān)性能指標(biāo)和測試方法參見附錄B。

7.1測試環(huán)境與工具

典型的數(shù)據(jù)備份與恢復(fù)產(chǎn)品測試環(huán)境如圖1所示：

圖2數(shù)據(jù)備份與恢復(fù)產(chǎn)品測試環(huán)境示意圖

7.2安全功能要求測試

7.2.1備份對象支持

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔配置備份對象、備份內(nèi)容及測試環(huán)境；

2）執(zhí)行備份操作，并確認(rèn)備份成功；

3）移除備份對象；

4）利用備份數(shù)據(jù)進(jìn)行恢復(fù)；

5）驗證恢復(fù)后的數(shù)據(jù)是否與備份對象一致且可用。

b）預(yù)期結(jié)果：

產(chǎn)品能對其聲明支持的備份對象、備份內(nèi)容進(jìn)行備份和恢復(fù)。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.2運(yùn)行平臺支持

10

本項測試評價方法如下：

a）測試方法：

1）在既定的操作系統(tǒng)平臺上部署產(chǎn)品；

2）配置能夠完成產(chǎn)品所有功能測試的環(huán)境；

3）對產(chǎn)品的所有功能進(jìn)行測試，驗證每個功能能否正常運(yùn)行。

b）預(yù)期結(jié)果：

既定操作系統(tǒng)平臺上產(chǎn)品所有組件的所有功能能正常運(yùn)行。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.3云環(huán)境適應(yīng)性（有則適用）

本項測試評價方法如下：

a）測試方法：

1）在云環(huán)境中（如云計算平臺）部署產(chǎn)品；

2）配置能夠完成產(chǎn)品所有功能測試的環(huán)境；

3）對產(chǎn)品的所有功能進(jìn)行測試，驗證每個功能能否正常運(yùn)行。

4）驗證產(chǎn)品是否能對云環(huán)境中操作系統(tǒng)、文件、數(shù)據(jù)庫、虛擬機(jī)整機(jī)、云端數(shù)據(jù)等備份對象進(jìn)

行備份與恢復(fù)。

b）預(yù)期結(jié)果：

在云環(huán)境中產(chǎn)品所有組件的所有功能能正常運(yùn)行.對所支持的備份對象均能進(jìn)行備份與恢復(fù)。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.4備份方式支持

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔配置備份對象、備份內(nèi)容及測試環(huán)境；

2）分別設(shè)置完全備份、增量備份和差量備份等備份方式；

3）對每種備份方式分別進(jìn)行驗證，是否能按預(yù)期的備份方式進(jìn)行備份；

4）對每種備份方式的備份數(shù)據(jù)分別進(jìn)行恢復(fù)，恢復(fù)后的數(shù)據(jù)是否與備份對象一致且可用。

b）預(yù)期結(jié)果：

產(chǎn)品支持完全備份、增量備份、差量備份等備份方式。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.5備份模式支持

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔配置備份對象、備份內(nèi)容；

2）設(shè)置網(wǎng)絡(luò)備份模式；

3）驗證產(chǎn)品是否能通過網(wǎng)絡(luò)備份數(shù)據(jù)；

4）驗證產(chǎn)品是否能通過網(wǎng)絡(luò)恢復(fù)數(shù)據(jù)，恢復(fù)后的數(shù)據(jù)是否與備份對象一致且可用。

b）預(yù)期結(jié)果:

11

產(chǎn)品支持網(wǎng)絡(luò)備份模式，能通過網(wǎng)絡(luò)備份和恢復(fù)數(shù)據(jù)。

C）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.6備份介質(zhì)支持

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔配置備份對象、備份內(nèi)容；

2）設(shè)置產(chǎn)品聲稱支持的介質(zhì)作為備份介質(zhì)；

3）驗證產(chǎn)品是否支持該備份介質(zhì)進(jìn)行備份；

4）驗證產(chǎn)品是否能從備份介質(zhì)中讀取數(shù)據(jù)進(jìn)行恢復(fù)，恢復(fù)后的數(shù)據(jù)是否與備份對象一致且可用。

b）預(yù)期結(jié)果：

產(chǎn)品聲稱支持的介質(zhì)能作為備份介質(zhì)正常工作.

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.7備份策略支持

7.2.7.1策略定制

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，對備份對象、備份時間、備份方式、備份介質(zhì)等配置相關(guān)策略。

2）執(zhí)行備份策略；

3）驗證產(chǎn)品備份策略的有效性。

b）預(yù)期結(jié)果：

產(chǎn)品能對備份對象、備份時間、備份方式、備份介質(zhì)等制定備份策略。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.7.2策略管理

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，配置相關(guān)策略.

2）分別對備份策略進(jìn)行添加、刪除、修改、保存等操作：

3）驗證對產(chǎn)品備份策略的管理操作的有效性。

b）預(yù)期結(jié)果：

產(chǎn)品支持對備份策略進(jìn)行添加、刪除、修改、保存等操作。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.7.3其它備份策略

本項測試評價方法如下:

12

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，配置相關(guān)策略，如指定備份數(shù)據(jù)保存時間、備份作業(yè)循環(huán)、備份

作業(yè)開始或結(jié)束條件、自定義備份策略等；

2）針對配置的策略，分別進(jìn)行相關(guān)操作或執(zhí)行相關(guān)任務(wù)；

3）驗證產(chǎn)品備份策略的有效性。

b）預(yù)期結(jié)果：

產(chǎn)品至少支持一種其它備份策略。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.8恢復(fù)功能支持

7.2.8.1恢復(fù)內(nèi)容選擇

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行恢復(fù)任務(wù)；

2）選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)；

3）驗證恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。

b）預(yù)期結(jié)果：

產(chǎn)品能選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)，恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.8.2恢復(fù)重定向

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行恢復(fù)任務(wù)；

2）選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)；

3）驗證恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。

b）預(yù)期結(jié)果：

產(chǎn)品能選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)，恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.8.3恢復(fù)時間點選擇

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行恢復(fù)任務(wù)；

2）選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)；

3）驗證恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。

b）預(yù)期結(jié)果：

產(chǎn)品能選擇不同備份時間點的備份數(shù)據(jù)進(jìn)行恢復(fù)。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.8.4恢復(fù)自動化

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行恢復(fù)任務(wù)；

2）啟用恢復(fù)自動化的相關(guān)功能選項；

3）按照恢復(fù)自動化的要求進(jìn)行恢復(fù)；

b）預(yù)期結(jié)果：

產(chǎn)品能通過恢復(fù)過程自動執(zhí)行的方式，快速恢復(fù)備份數(shù)據(jù)。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.8.5恢復(fù)缺失文件

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行恢復(fù)任務(wù)；

2）在對備份對象的數(shù)據(jù)完成備份后，刪除備份對象的部分或全部文件；

3）查看被刪除的文件是否被有效標(biāo)示；

4）選擇被刪除的文件進(jìn)行恢復(fù)；

5）驗證恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。

b）預(yù)期結(jié)果：

產(chǎn)品支持標(biāo)識出已缺失的備份文件，并能夠?qū)σ讶笔У膫浞菸募M(jìn)行恢復(fù)。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.9系統(tǒng)管理功能

7.2.9.1任務(wù)監(jiān)控告警

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行備份任務(wù)；

2）在備份任務(wù)執(zhí)行過程中，中斷備份任務(wù)使之未成功執(zhí)行；

3）驗證產(chǎn)品是否能監(jiān)控并記錄備份恢復(fù)任務(wù)的執(zhí)行情況，當(dāng)任務(wù)未成功執(zhí)行時，有告警提示。

b）預(yù)期結(jié)果：

產(chǎn)品能監(jiān)控并記錄備份恢復(fù)任務(wù)的執(zhí)行情況，當(dāng)任務(wù)未成功執(zhí)行時，告警提示。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.9.2備份存儲空間監(jiān)控告警

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行備份任務(wù)；

14

2）使備份存儲空間已滿或達(dá)到閾值；

3）驗證產(chǎn)品是否能監(jiān)控備份存儲空間使用情況，當(dāng)存儲空間已滿或達(dá)到閾值時，有告警提示.

b）預(yù)期結(jié)果：

產(chǎn)品能監(jiān)控備份存儲空間使用情況，當(dāng)存儲空間已滿或達(dá)到閾值時，告警提示。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.9.3報表功能

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行備份恢復(fù)任務(wù)；

2）驗證產(chǎn)品能否提供作業(yè)狀態(tài)和設(shè)備狀態(tài)的報表；

b）預(yù)期結(jié)果：

產(chǎn)品支持報表功能，能提供作業(yè)狀態(tài)和設(shè)備狀態(tài)的報表。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.9.4垃圾數(shù)據(jù)清理

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，多次執(zhí)行備份任務(wù)；

2）選擇全部或部分備份數(shù)據(jù)，多次執(zhí)行恢復(fù)任務(wù)；

3）系統(tǒng)自動或執(zhí)行垃圾數(shù)據(jù)清理功能；

4）驗證垃圾數(shù)據(jù)是否得到有效清理，不可恢復(fù)。

b）預(yù)期結(jié)果：

產(chǎn)品支持清理備份恢復(fù)作業(yè)過程中產(chǎn)生的垃圾數(shù)據(jù)。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.9.5磁帶管理（有則適用）

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，配置備份服務(wù)器和磁帶驅(qū)動器以提供使磁帶管理功能測試能夠正

常執(zhí)行的環(huán)境；

2）測試產(chǎn)品支持的磁帶管理功能；

3）驗證磁帶管理功能是否有效；

b）預(yù)期結(jié)果：

產(chǎn)品支持磁帶管理功能。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.10附加功能

7.2.10.1斷點續(xù)傳

15

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行備份任務(wù)；

2）斷開網(wǎng)絡(luò)連接或采取其它方式，使備份任務(wù)異常中斷；

3）恢復(fù)網(wǎng)絡(luò)連接或采取其它方式恢復(fù)正常工作狀態(tài)；

4）驗證產(chǎn)品被中斷的備份任務(wù)是否能自動從上次中斷的位置起恢復(fù)作業(yè)。

b）預(yù)期結(jié)果：

產(chǎn)品支持?jǐn)帱c續(xù)傳功能，在異常狀態(tài)恢復(fù)后（如網(wǎng)絡(luò)故障），被中斷的備份任務(wù)能自動從上次

中斷的位置起恢復(fù)作業(yè)。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.10.2快照支持

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)；

2）產(chǎn)品執(zhí)行快照的相關(guān)功能；

3）確保備份作業(yè)進(jìn)行的同時，備份對象的數(shù)據(jù)有變化；

4）驗證恢復(fù)后的數(shù)據(jù)與備份對象在備份啟動時間點時的數(shù)據(jù)是否一致且可用。

b）預(yù)期結(jié)果：

產(chǎn)品支持快照技術(shù)，能保證備份對象在備份時間點的數(shù)據(jù)一致性。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.10.3緩存支持

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份和恢復(fù)任務(wù)；

2）配置作為緩存的介質(zhì)，并啟用緩存功能；

3）驗證備份數(shù)據(jù)流是否先寫入作為緩存的介質(zhì)，再寫入備份介質(zhì)。

b）預(yù)期結(jié)果：

產(chǎn)品能為備份和恢復(fù)作業(yè)提供高速緩存支持。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.10.4壓縮傳輸

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)；

2）啟用壓縮傳輸功能；

3）驗證傳輸?shù)膫浞輸?shù)據(jù)是否經(jīng)過了壓縮。

b）預(yù)期結(jié)果：

產(chǎn)品支持壓縮傳輸功能。

16

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.10.5壓縮存儲

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)；

2）啟用壓縮存儲功能；

3）驗證存儲的備份數(shù)據(jù)是否經(jīng)過了壓縮。

b）預(yù)期結(jié)果：

產(chǎn)品支持壓縮存儲功能。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.10.6重復(fù)數(shù)據(jù)刪除（有則適用）

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)；

2）啟用重復(fù)數(shù)據(jù)刪除功能；

3）驗證產(chǎn)品是否正確執(zhí)行了重復(fù)數(shù)據(jù)刪除功能。

b）預(yù)期結(jié)果：

產(chǎn)品支持重復(fù)數(shù)據(jù)刪除功能。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.11持續(xù)數(shù)據(jù)保護(hù)CDP（有則適用）

7.2.11.1數(shù)據(jù)跟蹤捕獲

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)：

2）啟用數(shù)據(jù)跟蹤捕獲功能；

3）改變備份對象數(shù)據(jù)；

4）驗證產(chǎn)品是否能對備份對象數(shù)據(jù)的改變進(jìn)行連續(xù)的跟蹤和捕獲。

b）預(yù)期結(jié)果：

產(chǎn)品支持?jǐn)?shù)據(jù)跟蹤捕獲功能，能對備份對象數(shù)據(jù)的改變進(jìn)行連續(xù)的跟蹤和捕獲。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.11.2任意時間點恢復(fù)

本項測試評價方法如下：

a）測試方法：

1）按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)；

17

2）啟用任意時間點恢復(fù)功能；

3）選擇任意時間點進(jìn)行恢復(fù)；

4）驗證產(chǎn)品是否能在任意時間點恢復(fù)目標(biāo)數(shù)據(jù)。

b）預(yù)期結(jié)果：

產(chǎn)品支持任意時間點恢復(fù)功能，管理員無需事先定義目標(biāo)恢復(fù)點，即可在任意時間點恢復(fù)目標(biāo)數(shù)

據(jù)。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.3自身安全測試

7.3.1身份鑒別

身份鑒別的測試評價方法如下：

a）測試方法：

1）測試產(chǎn)品是否對其用戶進(jìn)行唯一性標(biāo)識，如不允許創(chuàng)建重名用戶；

2）測試產(chǎn)品對于用戶鑒別信息的存儲和傳輸過程中，采取何種措施對其保密性和完整性進(jìn)

行保護(hù)；

3）嘗試連續(xù)多次失敗登錄產(chǎn)品，觸發(fā)產(chǎn)品的登錄失敗處理功能，檢查產(chǎn)品采用何種機(jī)制防

止用戶進(jìn)一步進(jìn)行嘗試；

4）產(chǎn)品登錄后，在超時時間內(nèi)無任何操作，查看產(chǎn)品是否自動退出；

5）若產(chǎn)品采用口令鑒別機(jī)制，測試產(chǎn)品是否提供了口令復(fù)雜度校驗機(jī)制，是否不允許用戶

設(shè)置弱口令，如空口令、純數(shù)字等；

6）產(chǎn)品存在默認(rèn)口令時，檢查產(chǎn)品是否提示用戶對默認(rèn)口令進(jìn)行修改；

7）驗證產(chǎn)品超時退出和鎖定后是否需要再次進(jìn)行身份鑒別才能夠重新管理備份系統(tǒng)。

8）查看產(chǎn)品本地和遠(yuǎn)程管理是否支持雙因子身份鑒別；

b）預(yù)期結(jié)果：

1）產(chǎn)品確保在管理員進(jìn)行操作之前，對管理員、主機(jī)和用戶等進(jìn)行唯一的身份識別；

2）產(chǎn)品支持非明文的遠(yuǎn)程管理會話，明文的遠(yuǎn)程管理方式能夠關(guān)閉；

3）輸入錯誤口令達(dá)到設(shè)定的最大失敗次數(shù)后，產(chǎn)品終止可信主機(jī)或用戶建立會話的過程，

并對該失敗用戶做禁止訪問處理：

4）產(chǎn)品登錄后，在超時時間內(nèi)無任何操作，產(chǎn)品自動退出；

5）管理員需通過口令驗證等身份鑒別措施；并對口令強(qiáng)度具有要求；

6）產(chǎn)品存在默認(rèn)口令時，產(chǎn)品能夠提示用戶對默認(rèn)口令進(jìn)行修改；

7）產(chǎn)品需要再次進(jìn)行身份鑒別。

8）產(chǎn)品支持雙因子鑒別。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.3.2訪問控制

本項測試評價方法如下：

a）測試方法：

1）針對產(chǎn)品中與安全相關(guān)的操作設(shè)置訪問控制策略：

2）驗證已設(shè)置的訪問控制策略在進(jìn)行與安全相關(guān)的操作是否有效。

18

b）預(yù)期結(jié)果：

1）訪問控制策略設(shè)置成果；

2）在進(jìn)行與安全相關(guān)的操作時已設(shè)置的訪問控制策略有效。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.3.3安全審計

本項測試評價方法如下：

a）測試方法：

1）使用授權(quán)用戶登錄備份系統(tǒng)、進(jìn)行備份作業(yè)、恢復(fù)作業(yè)、策略管理等操作；

2）以授權(quán)管理員的身份查閱審計記錄，檢查是否對執(zhí)行的事件產(chǎn)生了審計記錄；

3）驗證審計記錄中是否包括事件發(fā)生的日期和時間、事件主體客體身份、事件內(nèi)容、事件的結(jié)

果等信息，且易于閱讀；

4）分別以授權(quán)用戶和非授權(quán)用戶身份訪問審計記錄；

5）分別以授權(quán)用戶和非授權(quán)用戶身份執(zhí)行審計記錄的管理操作，驗證產(chǎn)品是否僅允許授權(quán)用戶

執(zhí)行審計記錄的管理操作（如清空審計記錄），非授權(quán)用戶不能執(zhí)行審計記錄的管理操作；

6）查看產(chǎn)品是否能夠防止修改審計記錄的操作。

b）預(yù)期結(jié)果：

1）對于檢測方法1）中支持的事件，產(chǎn)品能產(chǎn)生相應(yīng)的審計記錄；

2）產(chǎn)品的每個審計記錄中均包含以下信息：事件發(fā)生的日期和時間、事件主體客體身份、事件

描述；

3）產(chǎn)品的每個審計記錄中均包含以下信息：事件發(fā)生的日期和時間、事件主體客體身份、事件

描述，且易于閱讀；

4）僅授權(quán)用戶能訪問審計記錄，非授權(quán)用戶不能訪問審計記錄；

5）僅授權(quán)用戶能執(zhí)行審計記錄的管理操作，非授權(quán)用戶不能執(zhí)行審計記錄的管理操作；

6）產(chǎn)品能夠防止修改審計記錄的操作。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.3.4數(shù)據(jù)保護(hù)

本項測試評價方法如下：

a）測試方法：

1）配置備份系統(tǒng)的數(shù)據(jù)完整性檢驗功能；

2）人為破壞備份數(shù)據(jù)的完整性；

3）驗證產(chǎn)品能否檢驗出備份數(shù)據(jù)的完整性已被破壞，并給出相應(yīng)的警示。

4）配置產(chǎn)品為基于網(wǎng)絡(luò)備份模式；

5）啟用安全傳輸功能；

6）執(zhí)行備份作業(yè)；

7）驗證備份數(shù)據(jù)在傳輸時的安全性。

8）啟用安全存儲功能；

9）執(zhí)行備份作業(yè)；

10）驗證備份數(shù)據(jù)是否是非明文的方式存儲于備份介質(zhì)上；

19

11）驗證非授權(quán)用戶嘗試修改備份數(shù)據(jù)，驗證是否提供完整性保護(hù)措施，并且是否能夠進(jìn)行報

警。

b）預(yù)期結(jié)果：

1）產(chǎn)品數(shù)據(jù)完整性校驗，能檢驗出備份數(shù)據(jù)的完整性已被破壞，并能給出相應(yīng)的警示。

2）產(chǎn)品能保證傳輸數(shù)據(jù)的安全性。

3）產(chǎn)品能保證存儲數(shù)據(jù)的安全性。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.3.5功能保護(hù)

a）測試方法：

1）在系統(tǒng)正常運(yùn)行的狀態(tài)下，人為使其部分功能失效，如恢復(fù)功能；

2）驗證產(chǎn)品能否提供對功能失效如恢復(fù)功能進(jìn)行提示或報警；

3）人為造成備份系統(tǒng)部分關(guān)鍵功能失效，如恢復(fù)功能；

4）驗證產(chǎn)品是否提供關(guān)鍵功能失效時的保護(hù)機(jī)制，如人工干預(yù)恢復(fù)。

b）預(yù)期結(jié)果：

1）能夠提供對其自身部分功能的失效進(jìn)行監(jiān)控。

2）具有關(guān)鍵功能失效時的相應(yīng)保護(hù)機(jī)制。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.4安全保障評估方法

7.4.1開發(fā)

7.4.1.1安全架構(gòu)

本項測試評價方法如下：

a）測試方法：

審查安全架構(gòu)文檔是否準(zhǔn)確描述如下內(nèi)容：

1）與產(chǎn)品設(shè)計文檔中對安全功能實施抽象描述的級別一致；

2）描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

3）描述產(chǎn)品安全功能初始化過程為何是安全的；

4）證實產(chǎn)品安全功能能夠防止被破壞；

5）證實產(chǎn)品安全功能能夠防止安全特性被旁路。

b）預(yù)期結(jié)果：

開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.4.1.2功能規(guī)范

本項測試評價方法如下：

a）測試方法：

審查功能規(guī)范文檔是否準(zhǔn)確描述如下內(nèi)容：

1）完全描述產(chǎn)品的安全功能；

20

2）描述所有安全功能接口的目的與使用方法；

3）標(biāo)識和描述每個安全功能接口相關(guān)的所有參數(shù)；

4）描述安全功能接口相關(guān)的安全功能實施行為；

5）描述由安全功能實施行為處理而引起的直接錯誤消息；

6）證實安全功能要求到安全功能接口的追溯；

7）描述安全功能實施過程中，與安全功能接口相關(guān)的所有行為；

8）描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。

b）預(yù)期結(jié)果：

開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.4.1.3實現(xiàn)表示

本項測試評價方法如下：

a）測試方法：

審查實現(xiàn)表示文檔是否準(zhǔn)確描述如下內(nèi)容：

1）以開發(fā)人員使用的形式提供產(chǎn)品設(shè)計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；

2）按詳細(xì)級別定義產(chǎn)品安全功能，詳細(xì)程度達(dá)到無須進(jìn)一步設(shè)計就能生成安全功能的程度。

b）預(yù)期結(jié)果：

開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合.

7.4.1.4產(chǎn)品設(shè)計

本項測試評價方法如下：

a）測試方法：

審查產(chǎn)品設(shè)計文檔是否準(zhǔn)確描述如下內(nèi)容：

1）根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

2）標(biāo)識和描述產(chǎn)品安全功能的所有子系統(tǒng)；

3）描述安全功能所有子系統(tǒng)間的相互作用；

4）提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能接口；

5）根據(jù)模塊描述安全功能；

6）提供安全功能子系統(tǒng)到模塊間的映射關(guān)系；

7）描述所有安全功能實現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；

8）描述所有實現(xiàn)模塊的安全功能要求相關(guān)接口、其它接口的返回值、與其它模塊間的相互作

用及調(diào)用的接口；

9）描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其它模塊間的相互作用。

b）預(yù)期結(jié)果：

開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。

c）結(jié)果判定：

實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.4.2指導(dǎo)性文檔

21

7.4.2.1操作用戶指南

本項測試評價方法如下：

a）測試方法：

審查操作用戶指南是否準(zhǔn)確描述如下內(nèi)容：

1）描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?/p>

2）描述如何以安全的方式使用產(chǎn)品提供的可用接口；描述產(chǎn)品支持的存儲介質(zhì)及對存儲介質(zhì)

的保護(hù)；

3）描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時指明安全值；

4）明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所

控制實體的安全特性；

5）標(biāo)識產(chǎn)品運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），以及它們與維持安全

運(yùn)行之間的因果關(guān)系和聯(lián)系；