嵌入式可信計(jì)算技術(shù)要求及測(cè)評(píng)方法（征求意見(jiàn)稿）

1本文件規(guī)定了嵌入式系統(tǒng)可信計(jì)算技術(shù)的技術(shù)架構(gòu)要求、功能要求、性能要求和安全保障要求以及測(cè)試要求。本文件適用于規(guī)范可信計(jì)算技術(shù)在嵌入式領(lǐng)域的設(shè)計(jì)、開(kāi)發(fā)和測(cè)試。下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T29827信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)主板功能接口GB/T29828信息安全技術(shù)可信計(jì)算規(guī)范可信連接架構(gòu)GB/T29829信息安全技術(shù)可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范GB/T37935信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GB/T38638信息安全技術(shù)可信計(jì)算可信計(jì)算體系結(jié)構(gòu)GB/T40650信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊《GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)》和《GB/T18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型》界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.12輕量化環(huán)境度量LightweightEnvironmentalMeasuring依據(jù)防護(hù)策略和基準(zhǔn)值，周期性的對(duì)操作系統(tǒng)、業(yè)務(wù)運(yùn)行環(huán)境進(jìn)行主動(dòng)度量的方法。3.2系統(tǒng)行為度量SystemBehaviorMeasuring依據(jù)防護(hù)策略和基準(zhǔn)值，對(duì)操作系統(tǒng)行為進(jìn)行主動(dòng)度量的方法。3.3業(yè)務(wù)行為度量BusinessBehaviorMeasuring依據(jù)防護(hù)策略和基準(zhǔn)值，在特定的業(yè)務(wù)場(chǎng)景下，對(duì)關(guān)鍵業(yè)務(wù)行為軌跡進(jìn)行主動(dòng)度量的方法。3.4可信存儲(chǔ)TrustedStorage可信存儲(chǔ)是利用可信計(jì)算技術(shù)對(duì)數(shù)據(jù)、文件等存儲(chǔ)進(jìn)行保護(hù)的行為。3.5可信通信TrustedCommunication可信通信是網(wǎng)絡(luò)節(jié)點(diǎn)加入到可信網(wǎng)絡(luò)環(huán)境中，需進(jìn)行身份鑒別、完整性評(píng)估及加密通信的過(guò)程。下列縮略語(yǔ)適用于本文件。CPU：中央處理器（CentralProcessingUnit）I/O：輸入/輸出（Input/Output）TCM：可信密碼模塊（TrustedCryptographyModule）TPCM：可信平臺(tái)控制模塊（TrustedPlatformControlModule）TSB：可信軟件基（TrustedSoftwareBase）5.1總體架構(gòu)3圖1嵌入式系統(tǒng)可信計(jì)算架構(gòu)圖5.2架構(gòu)設(shè)計(jì)要求5.2.1架構(gòu)設(shè)計(jì)要求嵌入式系統(tǒng)可信計(jì)算技術(shù)架構(gòu)應(yīng)具備雙體系設(shè)計(jì)，具體技術(shù)要求如下：a）應(yīng)支持計(jì)算部件和防護(hù)部件的雙體系并行機(jī)制；b）應(yīng)具備統(tǒng)一管控的策略配置功能。5.2.2架構(gòu)組件要求嵌入式系統(tǒng)可信計(jì)算技術(shù)可基于應(yīng)用場(chǎng)景對(duì)功能組件進(jìn)行裁剪，具體要求如下：a）應(yīng)保留對(duì)防護(hù)部件進(jìn)行可信驗(yàn)證的相關(guān)功能組件；b）可對(duì)標(biāo)準(zhǔn)架構(gòu)中的功能組件進(jìn)行裁剪，必要時(shí)可對(duì)操作系統(tǒng)進(jìn)行整體裁剪；c）在保證TPCM功能的基礎(chǔ)上，可對(duì)TPCM的操作系統(tǒng)、管理功能模塊等進(jìn)行裁剪。6.1可信根功能要求a）應(yīng)具備密碼服務(wù)的功能；b）應(yīng)具備對(duì)被保護(hù)系統(tǒng)啟動(dòng)過(guò)程的度量能力，包括系統(tǒng)基本硬件配置的度量、系統(tǒng)固件的度量以及系統(tǒng)引導(dǎo)程序的度量等；4c）應(yīng)具備對(duì)系統(tǒng)啟動(dòng)過(guò)程的控制能力，當(dāng)系統(tǒng)處于不可信狀態(tài)時(shí)，可通過(guò)攔截和報(bào)警等方式實(shí)現(xiàn)控制動(dòng)作；d）可優(yōu)先于其他計(jì)算機(jī)關(guān)鍵部件啟動(dòng)；e）應(yīng)由自身物理特性提供可信保障。6.2主動(dòng)度量要求a）可信鏈傳遞應(yīng)在系統(tǒng)啟動(dòng)階段進(jìn)行，同時(shí)應(yīng)滿足隨可信鏈傳遞對(duì)系統(tǒng)控制權(quán)進(jìn)行同步傳遞；b）應(yīng)具備輕量化環(huán)境度量功能；c）應(yīng)具備系統(tǒng)行為度量功能；d）可具備業(yè)務(wù)行為度量功能；e）應(yīng)具備度量策略的可配置性，支持集中配置管控或預(yù)置于系統(tǒng)中。6.3安全審計(jì)要求a）應(yīng)提供對(duì)啟動(dòng)階段、運(yùn)行階段可信驗(yàn)證的結(jié)果生成審計(jì)日志的功能；b）應(yīng)能夠根據(jù)安全可信策略，對(duì)違反規(guī)則的事件進(jìn)行記錄，形成審計(jì)日志，通過(guò)加密數(shù)據(jù)通道傳送到管理中心；c）應(yīng)能夠?qū)χ匾挠脩粜袨楹桶踩录M(jìn)行審計(jì)；d）應(yīng)對(duì)審計(jì)日志進(jìn)行保護(hù)；e）可對(duì)審計(jì)日志進(jìn)行定期備份。6.4可信存儲(chǔ)要求a）應(yīng)保證存儲(chǔ)根密鑰存放在可信根內(nèi)部，外部無(wú)法獲??；b）應(yīng)保證對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)、密鑰等信息采用TPCM組件提供的密碼服務(wù)進(jìn)行加密處理。6.5可信恢復(fù)要求a）可提供對(duì)被保護(hù)系統(tǒng)可信恢復(fù)的功能；b）可提供在主動(dòng)度量發(fā)現(xiàn)固件被篡改時(shí)，對(duì)固件進(jìn)行恢復(fù)的功能；c）可提供在固件對(duì)操作系統(tǒng)進(jìn)行度量時(shí)，發(fā)現(xiàn)操作系統(tǒng)核心被篡改時(shí)，對(duì)操作系統(tǒng)核心進(jìn)行恢復(fù)的功能。6.6可信通信要求a）應(yīng)實(shí)現(xiàn)通信雙方的雙向身份鑒別功能；b）應(yīng)實(shí)現(xiàn)基于身份鑒別基礎(chǔ)上的會(huì)話密鑰協(xié)商功能。6.7可信更新要求a）應(yīng)提供對(duì)固件更新環(huán)境的可信驗(yàn)證功能；b）應(yīng)提供對(duì)更新固件本身的可信驗(yàn)證功能。6.8集中管控要求a）應(yīng)在可信連接的基礎(chǔ)上，建立一個(gè)加密的數(shù)據(jù)通道，用于設(shè)備與安全組件的遠(yuǎn)程管5b）應(yīng)能夠通過(guò)加密通道，進(jìn)行安全可信策略的下發(fā)、更新等操作；c）應(yīng)能夠根據(jù)安全可信策略，將審計(jì)數(shù)據(jù)、報(bào)警信息、日志數(shù)據(jù)通過(guò)加密通道傳輸?shù)竭h(yuǎn)程控制端；d）集中管控平臺(tái)涉及到跨系統(tǒng)之間通信時(shí)，應(yīng)部署訪問(wèn)控制設(shè)備、設(shè)置訪問(wèn)控制策略，并提供對(duì)非法訪問(wèn)的實(shí)時(shí)報(bào)警功能。7.1主動(dòng)度量性能要求a）應(yīng)滿足業(yè)務(wù)場(chǎng)景使用需求，增加的系統(tǒng)啟動(dòng)時(shí)間，對(duì)系統(tǒng)正常工作不造成影響；b）針對(duì)實(shí)時(shí)性要求高的場(chǎng)景，應(yīng)在啟動(dòng)階段完成主動(dòng)度量，可在運(yùn)行過(guò)程中不觸發(fā)主動(dòng)度量功能或加大主動(dòng)度量周期以減少對(duì)系統(tǒng)資源的占用（例如：主動(dòng)度量周期可設(shè)置為最小周期任務(wù)的5~10倍）。7.2可信通信性能要求a）可信通信會(huì)話建立時(shí)間、網(wǎng)絡(luò)數(shù)據(jù)傳輸延時(shí)等關(guān)鍵參數(shù)，應(yīng)滿足業(yè)務(wù)通信實(shí)時(shí)性要7.3安全審計(jì)性能要求a）本地存儲(chǔ)審計(jì)日志的能力應(yīng)大于6個(gè)月；b）遠(yuǎn)程服務(wù)器存儲(chǔ)審計(jì)日志的能力應(yīng)大于6個(gè)月。7.4可信存儲(chǔ)性能要求a）可信存儲(chǔ)過(guò)程中加解密對(duì)系統(tǒng)性能影響，應(yīng)滿足業(yè)務(wù)場(chǎng)景使用需求；b）可信存儲(chǔ)的數(shù)據(jù)加解密速率應(yīng)大于500KB/s。8.1配置管理在配置管理部分應(yīng)滿足以下要求：a)開(kāi)發(fā)者應(yīng)為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)；b)開(kāi)發(fā)者應(yīng)使用配置管理系統(tǒng)并提供配置管理文檔；c)配置管理文檔應(yīng)包括一個(gè)配置清單；d)配置清單應(yīng)唯一標(biāo)識(shí)組成產(chǎn)品的所有配置項(xiàng)；e)應(yīng)對(duì)配置項(xiàng)進(jìn)行描述，且描述對(duì)配置項(xiàng)給出唯一標(biāo)識(shí)的方法；f)應(yīng)提供所有的配置項(xiàng)得到有效維護(hù)的證據(jù)。8.2交付與運(yùn)行6在交付與運(yùn)行方面應(yīng)滿足以下要求：a)開(kāi)發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過(guò)程文檔化；b)交付文檔應(yīng)描述在給用戶方交付產(chǎn)品的各版本時(shí)，為維護(hù)安全所必需的所有程序；c)開(kāi)發(fā)者應(yīng)提供文檔說(shuō)明產(chǎn)品的安裝、生成和啟動(dòng)的過(guò)程；d)開(kāi)發(fā)者應(yīng)對(duì)固件升級(jí)的安全要求提供說(shuō)明文檔。8.3開(kāi)發(fā)功能規(guī)范開(kāi)發(fā)者應(yīng)提供一個(gè)功能規(guī)范，功能規(guī)范應(yīng)滿足以下要求：a)功能設(shè)計(jì)使用非形式化風(fēng)格來(lái)描述產(chǎn)品安全功能及其外部接口；b)功能設(shè)計(jì)是內(nèi)在一致的；c)描述所有外部接口的用途與使用方法，適當(dāng)時(shí)應(yīng)提供效果、例外情況和錯(cuò)誤消息的細(xì)節(jié)；d)功能設(shè)計(jì)應(yīng)完備地表示產(chǎn)品功能。e)功能設(shè)計(jì)應(yīng)按子系統(tǒng)描述安全功能的結(jié)構(gòu)。f)描述每個(gè)安全功能子系統(tǒng)所提供的安全功能性。g)標(biāo)識(shí)安全功能所要求的任何基礎(chǔ)性的硬件、固件或軟件，以及在這些硬件、固件或軟件中實(shí)現(xiàn)的支持性保護(hù)機(jī)制所提供功能的一個(gè)表示。h)標(biāo)識(shí)安全功能子系統(tǒng)的所有接口。i)標(biāo)識(shí)安全功能子系統(tǒng)的哪些接口是外部可見(jiàn)的。8.4指導(dǎo)性文檔開(kāi)發(fā)者應(yīng)提供管理員指南和用戶指南，應(yīng)說(shuō)明以下內(nèi)容：a)管理員指南中管理員可使用的管理功能和接口；b)管理員指南中怎樣安全地管理產(chǎn)品；c)管理員指南中在安全處理環(huán)境中應(yīng)被控制的功能和權(quán)限；d)管理員指南中所有對(duì)與產(chǎn)品的安全操作有關(guān)的用戶行為的假設(shè)；e)管理員指南中所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；f)管理員指南中每一種與管理功能有關(guān)的安全相關(guān)事件，包括對(duì)安全功能所控制實(shí)體的安全特性進(jìn)行的改變；g)管理員指南中所有與管理員有關(guān)的IT環(huán)境安全要求。h)用戶指南中產(chǎn)品的非管理員用戶可使用的安全功能和接口；i)用戶指南中產(chǎn)品提供給用戶的安全功能和接口的使用方法；j)用戶指南中用戶可獲取到安全處理環(huán)境所控制的所有功能和權(quán)限；k)用戶指南中產(chǎn)品安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；l)用戶指南中與用戶有關(guān)的IT環(huán)境的所有安全要求。8.5測(cè)試開(kāi)發(fā)者應(yīng)測(cè)試安全功能，測(cè)試應(yīng)滿足以下要求：a)應(yīng)提供測(cè)試覆蓋的證據(jù)。b)在測(cè)試覆蓋證據(jù)中，應(yīng)表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的產(chǎn)品的安全功能是對(duì)應(yīng)的。c)功能測(cè)試中，測(cè)試計(jì)劃應(yīng)標(biāo)識(shí)要測(cè)試的安全功能，并描述測(cè)試的目標(biāo)。7d)功能測(cè)試中，測(cè)試過(guò)程應(yīng)標(biāo)識(shí)要執(zhí)行的測(cè)試，并描述每個(gè)安全功能的測(cè)試概況，這些概況應(yīng)包括對(duì)于其他測(cè)試結(jié)果的順序依賴性。e)功能測(cè)試中，預(yù)期的測(cè)試結(jié)果應(yīng)表明測(cè)試成功后的預(yù)期輸出。f)功能測(cè)試中，實(shí)際測(cè)試結(jié)果應(yīng)表明每個(gè)被測(cè)試的安全功能能按照規(guī)定進(jìn)行運(yùn)作。g)應(yīng)提供適合測(cè)試的產(chǎn)品，提供的測(cè)試集合應(yīng)與其自測(cè)產(chǎn)品功能時(shí)使用的測(cè)試集合相一致。h)應(yīng)提供一組相當(dāng)?shù)馁Y源，用于安全功能的抽樣測(cè)試。8.6脆弱性評(píng)定開(kāi)發(fā)者應(yīng)對(duì)脆弱性進(jìn)行評(píng)定，應(yīng)滿足以下要求：a)應(yīng)對(duì)指導(dǎo)性文檔中所標(biāo)識(shí)的每個(gè)具有安全功能強(qiáng)度聲明的安全機(jī)制進(jìn)行安全功能強(qiáng)度分析，并說(shuō)明安全機(jī)制達(dá)到或超過(guò)定義的最低強(qiáng)度級(jí)別或特定功能強(qiáng)度度量。b)應(yīng)執(zhí)行脆弱性分析，并提供脆弱性分析文檔。c)應(yīng)從用戶可能破壞安全策略的明顯途徑出發(fā)，對(duì)產(chǎn)品的各種功能進(jìn)行分析并提供文檔。對(duì)被確定的脆弱性，開(kāi)發(fā)者應(yīng)明確記錄采取的措施。d)對(duì)每一條脆弱性，應(yīng)有證據(jù)顯示在使用產(chǎn)品的環(huán)境中，該脆弱性不能被利用。9.1嵌入式系統(tǒng)可信計(jì)算功能測(cè)試要求9.1.1可信根功能測(cè)試要求依據(jù)可信根功能要求對(duì)其進(jìn)行功能測(cè)試：a)現(xiàn)場(chǎng)核查可信根是否具備密碼服務(wù)功能；b)現(xiàn)場(chǎng)核查可信根是否具備對(duì)被保護(hù)系統(tǒng)啟動(dòng)過(guò)程的度量能力，包括系統(tǒng)基本硬件配置的度量、系統(tǒng)固件的度量以及系統(tǒng)引導(dǎo)程序的度量等；c)現(xiàn)場(chǎng)核查可信根是否具備對(duì)系統(tǒng)啟動(dòng)過(guò)程的控制能力，當(dāng)系統(tǒng)處于不可信狀態(tài)時(shí)，是否可通過(guò)攔截和和報(bào)警等方式實(shí)現(xiàn)控制動(dòng)作；d)現(xiàn)場(chǎng)核查可信根是否能夠優(yōu)先于其他計(jì)算機(jī)關(guān)鍵部件啟動(dòng)；e)現(xiàn)場(chǎng)核查可信根是否能夠由自身物理特性提供可信保障。9.1.2主動(dòng)度量功能測(cè)試要求依據(jù)主動(dòng)度量功能要求對(duì)其進(jìn)行功能測(cè)試：a)現(xiàn)場(chǎng)核查可信鏈傳遞是否能夠在系統(tǒng)啟動(dòng)階段進(jìn)行，同時(shí)應(yīng)滿足隨可信鏈傳遞對(duì)系統(tǒng)控制權(quán)進(jìn)行同步傳遞；b)現(xiàn)場(chǎng)核查是否具備輕量化環(huán)境度量功能；c)現(xiàn)場(chǎng)核查是否具備系統(tǒng)行為度量功能；d)現(xiàn)場(chǎng)核查是否具備業(yè)務(wù)行為度量功能；e)現(xiàn)場(chǎng)核查是否具備度量策略的可配置性，支持集中配置管控或預(yù)置于系統(tǒng)中。9.1.3安全審計(jì)功能測(cè)試要求8依據(jù)安全審計(jì)功能要求對(duì)其進(jìn)行功能測(cè)試：a)現(xiàn)場(chǎng)核查是否能夠提供對(duì)啟動(dòng)、運(yùn)行階段可信驗(yàn)證的結(jié)果生成審計(jì)日志的功能；b)現(xiàn)場(chǎng)核查是否能夠根據(jù)安全可信策略，對(duì)違反規(guī)則的事件進(jìn)行記錄，形成審計(jì)日志，通過(guò)加密數(shù)據(jù)通道傳送到管理中心；c)現(xiàn)場(chǎng)核查是否能夠?qū)χ匾挠脩粜袨楹桶踩录M(jìn)行審計(jì)；d)現(xiàn)場(chǎng)核查是否對(duì)審計(jì)日志進(jìn)行保護(hù)；e)現(xiàn)場(chǎng)核查是否能夠進(jìn)行定期備份。9.1.4可信存儲(chǔ)功能測(cè)試要求依據(jù)可信儲(chǔ)存功能要求對(duì)其進(jìn)行功能測(cè)試：a)現(xiàn)場(chǎng)核查可信儲(chǔ)存是否能夠保證存儲(chǔ)根密鑰存放在可信根內(nèi)部，外部無(wú)法獲??；b)現(xiàn)場(chǎng)核查可信儲(chǔ)存是否能夠保證對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)、密鑰等信息采用TPCM組件提供的密碼服務(wù)進(jìn)行加密處理。9.1.5可信恢復(fù)功能測(cè)試要求依據(jù)可信恢復(fù)功能要求對(duì)其進(jìn)行功能測(cè)試：a)現(xiàn)場(chǎng)核查是否能夠提供對(duì)被保護(hù)系統(tǒng)可信恢復(fù)的功能；b)現(xiàn)場(chǎng)核查在主動(dòng)度量發(fā)現(xiàn)固件被篡改時(shí)，是否能夠提供對(duì)固件進(jìn)行恢復(fù)的功能；c)現(xiàn)場(chǎng)核查在固件對(duì)操作系統(tǒng)進(jìn)行度量時(shí)，發(fā)現(xiàn)操作系統(tǒng)核心被篡改時(shí)，是否能夠提供對(duì)操作系統(tǒng)核心進(jìn)行恢復(fù)的功能。9.1.6可信通信功能測(cè)試要求依據(jù)可信通信功能要求對(duì)其進(jìn)行功能測(cè)試：a)現(xiàn)場(chǎng)核查可信通信是否能夠?qū)崿F(xiàn)通信雙方的雙向身份鑒別功能；b)現(xiàn)場(chǎng)核查可信通信是否能夠?qū)崿F(xiàn)基于身份鑒別基礎(chǔ)上的會(huì)話密鑰協(xié)商功能。9.1.7可信更新功能測(cè)試要求依據(jù)可信更新功能要求對(duì)其進(jìn)行功能測(cè)試：a)現(xiàn)場(chǎng)核查可信更新是否能夠提供對(duì)固件更新環(huán)境的可信驗(yàn)證功能；b)現(xiàn)場(chǎng)核查可信更新是否能夠提供對(duì)更新固件本身的可信驗(yàn)證功能。9.1.8集中管控功能測(cè)試要求依據(jù)集中管控功能要求對(duì)其進(jìn)行功能測(cè)試：a)現(xiàn)場(chǎng)核查在可信連接的基礎(chǔ)上，是否能夠建立一個(gè)加密的數(shù)據(jù)通道，用于設(shè)備與安全組件的遠(yuǎn)程管理；b)現(xiàn)場(chǎng)核查是否能夠通過(guò)加密通道，進(jìn)行遠(yuǎn)程的安全可信策略的下發(fā)、更新等操作；c)現(xiàn)場(chǎng)核查是否能夠根據(jù)安全可信策略，將審計(jì)數(shù)據(jù)、報(bào)警信息、日志數(shù)據(jù)通過(guò)加密通道，傳輸?shù)竭h(yuǎn)程控制端；d)現(xiàn)場(chǎng)核查是否能夠在集中管控平臺(tái)涉及到跨系統(tǒng)之間通信時(shí)，部署訪問(wèn)控制設(shè)備、設(shè)置訪問(wèn)控制策略，并提供對(duì)非法訪問(wèn)的實(shí)時(shí)報(bào)警功能。9.2嵌入式系統(tǒng)可信計(jì)算性能測(cè)試要求99.2.1主動(dòng)度量性能測(cè)試要求依據(jù)主動(dòng)度量性能要求對(duì)其進(jìn)行性能測(cè)試，嵌入式系統(tǒng)加入了主動(dòng)度量功能后：a)應(yīng)核查增加的系統(tǒng)啟動(dòng)時(shí)間是否滿足業(yè)務(wù)場(chǎng)景使用需求，是否對(duì)系統(tǒng)正常工作不造成影響；b)在針對(duì)實(shí)時(shí)性要求高的場(chǎng)景下，應(yīng)核查主動(dòng)度量是否在啟動(dòng)階段完成，是否在運(yùn)行過(guò)程中不觸發(fā)主動(dòng)度量功能；c)在針對(duì)實(shí)時(shí)性要求高的場(chǎng)景下，應(yīng)核查其是否能夠通過(guò)加大主動(dòng)度量周期以減少對(duì)系統(tǒng)資源的占用。9.2.2可信通信性能測(cè)試要求依據(jù)可信通信性能要求對(duì)其進(jìn)行性能測(cè)試，嵌入式系統(tǒng)加入了可信通信功能后：a)應(yīng)核查可信通信會(huì)話建立時(shí)間、網(wǎng)絡(luò)數(shù)據(jù)傳輸延時(shí)等關(guān)鍵參數(shù)是否滿足業(yè)務(wù)通信實(shí)時(shí)性要求。9.2.3安全審計(jì)性能測(cè)試要求依據(jù)安全審計(jì)性能要求對(duì)其進(jìn)行性能測(cè)試：a)應(yīng)核查本地存儲(chǔ)審計(jì)日志的能力是否大于6個(gè)月；b)應(yīng)核查遠(yuǎn)程服務(wù)器存儲(chǔ)審計(jì)日志的能力是否大于6個(gè)月。9.2.4可信存儲(chǔ)性能測(cè)試要求依據(jù)可信存儲(chǔ)性能要求對(duì)其進(jìn)行性能測(cè)試：a)應(yīng)核查可信存儲(chǔ)過(guò)程中加解密對(duì)系統(tǒng)性能影響，是否滿足業(yè)務(wù)場(chǎng)景的使用需求；b)應(yīng)核查可信存儲(chǔ)的數(shù)據(jù)加解密速率是否大于500KB/s。9.3嵌入式系統(tǒng)可信計(jì)算安全管理測(cè)試要求9.3.1配置管理a)應(yīng)核查產(chǎn)品的不同版本是否存在唯一的標(biāo)識(shí)；b)通過(guò)人員訪談和文檔查閱，核查開(kāi)發(fā)者是否使用配置管理系統(tǒng)并提供配置管理文檔；c)應(yīng)檢查該配置管理文檔是否包括配置清單；d)應(yīng)核查配置清單是否唯一標(biāo)識(shí)組成產(chǎn)品的所有配置項(xiàng)并對(duì)配置項(xiàng)進(jìn)行描述、是否對(duì)配置項(xiàng)給出唯一標(biāo)識(shí)的方法；e)應(yīng)核查配置管理文檔是否提供所有配置項(xiàng)得到有效維護(hù)的證據(jù)。9.3.2交付與運(yùn)行a)通過(guò)人員訪談和文檔查閱，核查開(kāi)發(fā)者是否使用一定的交付程序交付產(chǎn)品，并將交付過(guò)程文檔化；b)應(yīng)檢查該交付文檔是否描述在給用戶方交付產(chǎn)品的各版本時(shí)，為維護(hù)安全所必需的所有程序；c)通過(guò)人員訪談和文檔查閱，核查開(kāi)發(fā)者是否提供文檔說(shuō)明產(chǎn)品的安裝、生成和啟動(dòng)的過(guò)程；d)通過(guò)人員訪談和文檔查閱，核查開(kāi)發(fā)者是否對(duì)固件升級(jí)的安全要求提供說(shuō)明文檔。9.3.3開(kāi)發(fā)a)應(yīng)核查功能設(shè)計(jì)是否使用非形式化風(fēng)格來(lái)描述產(chǎn)品安全功能及其外部接口；b)應(yīng)核查功能設(shè)計(jì)是否是內(nèi)在一致的；c)應(yīng)核查是否描述所有外部接口的用途與使用方法，并在適當(dāng)時(shí)提供效果、例外情況和錯(cuò)誤消息的細(xì)節(jié)；d)應(yīng)核查功能設(shè)計(jì)是否完備地表示產(chǎn)品安全功能；e)應(yīng)核查是否按子系統(tǒng)描述安全功能的結(jié)構(gòu)；f)應(yīng)核查是否描述了每個(gè)安全功能子系統(tǒng)所提供的安全功能性；g)應(yīng)核查是否標(biāo)識(shí)安全功能所要求的任何基礎(chǔ)性的硬件、固件或軟件，以及在這些硬件、固件或軟件中實(shí)現(xiàn)的支持性保護(hù)機(jī)制所提供功能的一個(gè)表示；h)應(yīng)核查是否標(biāo)識(shí)安全功能子系統(tǒng)的所有接口；i)應(yīng)核查是否標(biāo)識(shí)了該系統(tǒng)的哪些接口是外部可見(jiàn)的。9.3.4指導(dǎo)性文檔應(yīng)核查該管理員指南是否說(shuō)明以下內(nèi)容：a)管理員可使用的管理功能和接口；b)怎樣安全地管理產(chǎn)品；c）在安全處理環(huán)境中應(yīng)被控制的功能和權(quán)限；d）所有對(duì)與產(chǎn)品的安全操作有關(guān)的用戶行為的假設(shè)；e）所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；f）每一種與管理功能有關(guān)的安全相關(guān)事件，包括對(duì)安全功能所控制實(shí)體的安全特性進(jìn)行的改變；g）所有與管理員有關(guān)的IT環(huán)境安全要求；h）非管理員用戶可使用的安全功能和接口；i）提供給用戶的安全功能和接口的使用方法；j）用戶可獲取但應(yīng)受安全處理環(huán)境所控制的所有功能和權(quán)限；k）產(chǎn)品安全操作中用戶所應(yīng)承擔(dān)的責(zé)任；l）與用戶有關(guān)的IT環(huán)境的所有安全需求。9.3.5測(cè)試應(yīng)檢查測(cè)試文檔是否包括以下內(nèi)容：a）通過(guò)人員訪談和文檔查閱，核查開(kāi)發(fā)者是否提供測(cè)試覆蓋的證據(jù)；b）應(yīng)核查在測(cè)試覆蓋證據(jù)中，是否表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的產(chǎn)品的安全功能是對(duì)應(yīng)的；c）應(yīng)核查在功能測(cè)試中，測(cè)試計(jì)劃是否標(biāo)識(shí)要測(cè)試的安全功能，并描述測(cè)試的目標(biāo)；d）測(cè)試過(guò)程應(yīng)標(biāo)識(shí)要執(zhí)行的測(cè)試，并描述每個(gè)安全功能的測(cè)試概況，這些概況應(yīng)包括對(duì)于其他測(cè)試結(jié)果的順序依賴性；e）預(yù)期的測(cè)試結(jié)果應(yīng)表明測(cè)試成功后的預(yù)期輸出；f）實(shí)際測(cè)試結(jié)果應(yīng)表明每個(gè)被測(cè)試的安全功能能按照規(guī)定進(jìn)行運(yùn)作；g）開(kāi)發(fā)者是否提供合適測(cè)試的產(chǎn)品，提供的測(cè)試集合是否與其自測(cè)產(chǎn)品功能是使用的測(cè)試集合相一致；h）開(kāi)發(fā)者是否提供一組用于安全功能抽樣測(cè)試的資源。9.3.6脆弱性評(píng)定a)通過(guò)人員訪談和文檔查閱，核實(shí)開(kāi)發(fā)者是否對(duì)指導(dǎo)性文檔中所標(biāo)識(shí)的每個(gè)具有安全功能強(qiáng)度聲明的安全機(jī)制進(jìn)行安全功能強(qiáng)度分析，并核查開(kāi)發(fā)者是否對(duì)安全機(jī)制達(dá)到或超過(guò)定義的最低強(qiáng)度級(jí)別或特定功能強(qiáng)度度量進(jìn)行說(shuō)明；b)應(yīng)核查開(kāi)發(fā)者是否執(zhí)行脆弱性分析，并提供脆弱性分析文檔；c)應(yīng)核查開(kāi)發(fā)者是否從用戶可能破壞安全策略的明顯途徑出發(fā)，對(duì)產(chǎn)品的各種功能進(jìn)行分析并提供文檔；d)對(duì)每一條脆弱性，應(yīng)核查是否有證據(jù)顯示在使用產(chǎn)品的環(huán)境中，該脆弱性不能被利A.1物聯(lián)網(wǎng)設(shè)備應(yīng)用場(chǎng)景圖A.1三態(tài)門(mén)控制電路TPCMSPIMaster和CPU都連接到BIOS，在使用的時(shí)候要進(jìn)行處理：1.在整個(gè)主板上電開(kāi)始，CPU的Reset被拉住使CPU有電但未開(kāi)始工作2.在上電開(kāi)始時(shí)刻，需TPCMSPIMaster與BIOS相連接，CPU和BIOS的連接是斷開(kāi)的3.TPCM主動(dòng)度量完成并與預(yù)期值一致后，需斷開(kāi)TPCMSPIMaster與BIOS的連接，此時(shí)CPU與BIOS進(jìn)行連接。4.TPCM的GPIO5釋放，與系統(tǒng)的Reset進(jìn)行邏輯與運(yùn)算后使CPU復(fù)位5.TPCM的reset需要>500usA.2充電設(shè)備應(yīng)用場(chǎng)景充電設(shè)備可信計(jì)算總體架構(gòu)示意如圖A.2所示。主要由硬件層結(jié)構(gòu)可信、系統(tǒng)層引導(dǎo)可信、應(yīng)用層軟件可信以及充電設(shè)備可信接入車聯(lián)網(wǎng)運(yùn)營(yíng)服務(wù)平臺(tái)四部分組成。硬件層結(jié)構(gòu)可信包括可信平臺(tái)控制模塊對(duì)充電設(shè)備的處理器的通信及復(fù)位控制和主動(dòng)完整性度量，作為信任起點(diǎn)和基礎(chǔ)硬件支撐平臺(tái)，支持可信平臺(tái)控制模塊完成系統(tǒng)層引導(dǎo)程序的主動(dòng)度量，支撐可信軟件基完成應(yīng)用層軟件可信度量和驗(yàn)證。硬件層結(jié)構(gòu)可信、系統(tǒng)層引導(dǎo)可信、應(yīng)用層軟件可信確保充電設(shè)備狀態(tài)安全可信的基礎(chǔ)上實(shí)現(xiàn)充電設(shè)備向車聯(lián)網(wǎng)運(yùn)營(yíng)服務(wù)平臺(tái)的可信接入。圖A.2充電設(shè)備可信計(jì)算系統(tǒng)架構(gòu)以帶有計(jì)費(fèi)控制單元（TCU）的電動(dòng)汽車充電樁為例，可信平臺(tái)控制模塊（TPCM）以模塊嵌入的方式融入TCU主板，TCU主板通過(guò)通信、電路等硬件設(shè)計(jì)或改造，支撐可信平臺(tái)控制模塊（TPCM）首先加電并實(shí)現(xiàn)對(duì)TCU的主控MCU進(jìn)行主動(dòng)控制，形成可信TCU的基礎(chǔ)硬件，嵌入式可信軟件基直接部署于可信TCU上，基于TPCM的支撐實(shí)現(xiàn)對(duì)計(jì)費(fèi)控制單元計(jì)算環(huán)境的安全可信保護(hù)。A.3可信工控防火墻應(yīng)用場(chǎng)景圖A.3可信防火墻雙體系架構(gòu)可信工控防火墻在嵌入式可信框架的基礎(chǔ)上，添加防火墻的驅(qū)動(dòng)和應(yīng)用層設(shè)計(jì)，從而實(shí)現(xiàn)了可信防火墻。其防護(hù)組件以及操作系統(tǒng)、硬件與可信組件的關(guān)系與嵌入式可信框架一致。防火墻應(yīng)用實(shí)現(xiàn)分為幾個(gè)組成部分：1）DPDK：驅(qū)動(dòng)層實(shí)現(xiàn)，繞開(kāi)操作系統(tǒng)內(nèi)核直接從網(wǎng)卡中獲取流量數(shù)據(jù)，以提高流量的抓取和處理速度。DPDK同時(shí)實(shí)現(xiàn)了多進(jìn)程的數(shù)據(jù)分發(fā)；2）DP子系統(tǒng)：數(shù)據(jù)面子系統(tǒng)，從控制面子系統(tǒng)接收配置，響應(yīng)控制面子系統(tǒng)的查詢。提供防火墻的各項(xiàng)安全功能：連接維護(hù)、路由轉(zhuǎn)發(fā)、策略設(shè)置、動(dòng)態(tài)包過(guò)濾、應(yīng)用防護(hù)等；3）CP子系統(tǒng)：控制面子系統(tǒng)，提供系統(tǒng)的基本運(yùn)行環(huán)境，從上層配置管理子系統(tǒng)接收配置，響應(yīng)配置管理子系統(tǒng)的配置查詢；同時(shí)，向數(shù)據(jù)面子系統(tǒng)下發(fā)配置，并接收數(shù)據(jù)面子系統(tǒng)上傳的運(yùn)行狀態(tài)和告警信息。4）配置管理子系統(tǒng)：包括WEB服務(wù)和GUI頁(yè)面。GUI為用戶提供基于WEB的界面，供用戶對(duì)設(shè)備進(jìn)行管理?？蓪?shí)現(xiàn)配置、修改設(shè)備的工作模式、接口的IP地址，增加、刪除、修改安全策略、地址轉(zhuǎn)換規(guī)則、靜態(tài)路由信息，顯示設(shè)備的連接狀態(tài)，CPU信息，版本號(hào)等。WEB服務(wù)為頁(yè)面提供API接口，實(shí)現(xiàn)路由管理、配置管理、策略管理、日志管理等功能。可信工控防火墻在實(shí)際場(chǎng)景中的應(yīng)用部署圖：圖A.