脆弱性评估文档

GAT_390-2002^算机信息系统安全等级保护通用技术要求隐蔽信道分析应确定并标识出TCB中非预期的信号通道的存在性，及其潜在的容量。通道容量的估计是基于非形式化的工程度量和实际的测量。隐蔽信道分析所基于的假设可以包括处理器速度、系统或网络配置、内存大小和缓存大小等。隐蔽信道分析是建立在TCB的实现、管理员指南、用户指南以及完整定义的外部接口等基础上的。隐蔽信道分析可以是一般性的，也可以是系统化的，或者是严格的，其要求如下：一般性的隐蔽信道分析，应通过对隐蔽信道的非形式化搜索，标识出可标识的隐蔽信道，为此要求：——对每个信息流控制策略都应搜索隐蔽信道，并提供隐蔽信道分析的文档；——分析文档应标识出隐蔽信道并估计它们的容量；——分析文档应描述用于确定隐蔽信道存在的过程，以及进行隐蔽信道分析所需要的信息；——分析文档应描述隐蔽信道分析期间所作的全部假设；——分析文档应当描述最坏的情况下对通道容量进行估计的方法；——分析文档应当为每个可标识的隐蔽信道描述其最坏的利用情形。系统化的隐蔽信道分析，应通过对隐蔽信道的系统化搜索，标识出可标识的隐蔽信道。为此，要求开发者以结构化、可重复的方式标识出隐蔽信道。除上述一般性隐蔽信道分析要求外，还要求分析文档提供证据证明用于标志隐蔽信道的方法是系统化的。彻底的隐蔽信道分析，应通过对隐蔽信道的穷举搜索，标识出可标识的隐蔽信道。为此，要求开发者提供额外的证据，证明对隐蔽信道的所有可能的搜索方法都已执行。其具体要求与系统化隐蔽信道分析要求相同。防止误用应防止对TCB以不安全的方式进行使用或配置而不为人们所察觉。为此，应使对TCB的无法检测的不安全配置和安装，操作中人为的或其它错误造成的安全功能解除、无效或者无法激活，以及导致进入无法检测的不安全状态的风险达到最小。要求提供指导性文档，以防止提供冲突、误导、不完备或不合理的指南。指导性文档应满足以下要求：指南检查，要求指导性文档应：——包括安装、生成和启动过程、非形式化功能设计、管理员指南和用户指南等；——明确说明对TCB的所有可能的操作方式(包括失败和操作失误后的操作)、它们的后果，以及对于保持安全操作的意义；——是完备的、清晰的、一致的、合理的，应列出所有目标环境的假设，并列出所有外部安全措施(包括外部过程的、物理的或人员的控制)的要求。分析确认，在指南检查的基础上，应文档化指导性文档，并要求分析文档应阐明指导性文档是完备的。对安全状态的检测和分析，在分析确认的基础上，还应进行独立测试，以确定管理员或用户在理解指导性文档的情况下能基本判断TCB是否在不安全状态下配置或运行。TCB安全功能强度应通过对安全机制的安全行为的合格性分析或统计的分析结果，以及为克服脆弱性所付出的努力得到TCB安全功能强度的说明。为了对安全功能强度进行评估，应对安全目标中标识的每个具有TCB安全功能强度声明的安全机制进行 TCB安全功能强度的分析，证明该机制达到或超过安全目标要求所定义的最低强度，并证明该机制达到或超过安全目标要求所定义的特定功能强度。脆弱性分析应能够发现缺陷的威胁。这些缺陷会导致对资源的非授权访问， 对TCB安全功能的影响或改变，或者干涉其它授权用户的权限。根据不断增加的严格性，脆弱性分析分为：开发者脆弱性分析，应确定明显的安全脆弱性的存在，并确认在所期望的TCB环境下所存在的脆弱性不会被利用。为此，应通过搜索用户能违反TSP的明显途径，文档化TCB明显的脆弱性分布。对所有已标识的脆弱性，文档应说明在所期望的 IT环境中无法利用这些脆弱性。独立脆弱性分析，评估者通过独立穿透测试，确定TCB可以抵御的低级攻击能力攻击者发起的穿透性攻击。为此，除满足开发者脆弱性分析要求外，还要求所提供的文档应当证明对于具有已标识脆弱性的TCB可以抵御明显的穿透性攻击。评估者则应进一步实施独立的脆弱性分析，并在此基础上实施独立的穿透性测试，以确定在所期望环境下额外标识的脆弱性的可利用性。中级抵抗力，在独立脆弱性分析的基础上，要求所提供的证据应说明对脆弱性的搜索是系统化的。评估者则应确