信息安全技術(shù)-數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測試評價方法

GB/T29765—XXXX信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測試評價方法范圍本標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)備份與恢復(fù)產(chǎn)品安全功能要求、自身安全要求、安全保障要求與測試評價方法。本標(biāo)準(zhǔn)適用于對數(shù)據(jù)備份與恢復(fù)產(chǎn)品的研制、生產(chǎn)、測試和評價。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語GB/T18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分：簡介和一般模型術(shù)語和定義GB/T18336.1-2015和GB/T25069-2010界定的以及下列術(shù)語和定義適用于本文件。備份數(shù)據(jù)backupdata存儲在（通?？梢苿拥模┓且资源鎯橘|(zhì)上某一時間點的數(shù)據(jù)集合。備份backup創(chuàng)建備份數(shù)據(jù)的過程。數(shù)據(jù)恢復(fù)datarecovery利用備份數(shù)據(jù)將目標(biāo)數(shù)據(jù)還原為某一備份時間點的內(nèi)容或狀態(tài)的過程?？煺誷napshot指定數(shù)據(jù)集合的一個完整可用的拷貝，其中包含數(shù)據(jù)在拷貝啟動時間點的映像。備份對象backupobject需要進(jìn)行備份的數(shù)據(jù)集合。備份介質(zhì)backupmedia存放備份數(shù)據(jù)的非易失性儲存物理載體。備份系統(tǒng)backupsystem實現(xiàn)數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)的相關(guān)軟件和硬件組成的系統(tǒng)。備份服務(wù)器backupserver數(shù)據(jù)備份與恢復(fù)產(chǎn)品中提供系統(tǒng)管理和控制服務(wù)的部分。完全備份fullbackup備份所有指定的數(shù)據(jù)對象的過程，不論這些數(shù)據(jù)自上次備份后是否被更改。完全備份是增量備份的基礎(chǔ)。增量備份incrementalbackup僅備份自上次備份后更改過的數(shù)據(jù)對象。差量備份differentialbackup備份自上次完全備份后更改過的數(shù)據(jù)對象。持續(xù)數(shù)據(jù)保護(hù)continuesdataprotection可以實現(xiàn)持續(xù)捕捉或跟蹤目標(biāo)數(shù)據(jù)所發(fā)生的任何改變，并且能夠恢復(fù)到此前任意時間點的方法。垃圾數(shù)據(jù)garbagedata基于一定的備份與恢復(fù)策略，在備份過程中產(chǎn)生的對數(shù)據(jù)恢復(fù)無用的數(shù)據(jù)?？s略語下列縮略語適用于本文件。CDP：持續(xù)數(shù)據(jù)保護(hù)（ContinuesDataProtection)總體描述數(shù)據(jù)備份與恢復(fù)產(chǎn)品是指實現(xiàn)和管理信息系統(tǒng)數(shù)據(jù)備份和恢復(fù)過程的產(chǎn)品，其產(chǎn)品邏輯結(jié)構(gòu)圖示例如下如所示：數(shù)據(jù)備份與恢復(fù)產(chǎn)品典型邏輯結(jié)構(gòu)圖備份服務(wù)器提供備份管理平臺，管理備份代理端、存儲服務(wù)器的接入，統(tǒng)一監(jiān)控和管理各客戶端資源的備份、恢復(fù)和數(shù)據(jù)高可用等業(yè)務(wù)信息，并保存?zhèn)浞菁南嚓P(guān)信息。備份服務(wù)器是數(shù)據(jù)備份管理系統(tǒng)的核心模塊，所有系統(tǒng)任務(wù)、用戶操作均由它統(tǒng)一調(diào)度執(zhí)行，包括作業(yè)調(diào)度下發(fā)、介質(zhì)讀寫管理等存儲服務(wù)器負(fù)責(zé)接收和存儲備份數(shù)據(jù)（備份集、CDP數(shù)據(jù)等），通過快照等技術(shù)實現(xiàn)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)的存儲，從而實現(xiàn)對非結(jié)構(gòu)化數(shù)據(jù)、數(shù)據(jù)庫等不同類型數(shù)據(jù)的完全備份、增量備份、差量備份等備份方式。備份代理端部署在客戶端服務(wù)器，用于對客戶端備份資源的整合，以便在連入備份服務(wù)器后，由備份服務(wù)器進(jìn)行統(tǒng)一操作管理。備份代理是安裝在生產(chǎn)系統(tǒng)中提供備份數(shù)據(jù)抓取服務(wù)的客戶端代理。負(fù)責(zé)從目標(biāo)服務(wù)器獲取數(shù)據(jù)，并進(jìn)行數(shù)據(jù)刪重和加密處理，然后傳輸至存儲服務(wù)器進(jìn)行存儲，并傳輸至備份服務(wù)器進(jìn)行備份歸檔。備份服務(wù)器（磁帶庫）提供磁帶歸檔，將存儲服務(wù)器中備份的數(shù)據(jù)歸檔至物理磁帶中，實現(xiàn)數(shù)據(jù)長期保存，滿足法規(guī)要求、經(jīng)濟(jì)高效的歸檔需求。數(shù)據(jù)備份與恢復(fù)產(chǎn)品安全技術(shù)要求分為安全功能要求、自身安全要求、安全保障要求三個大類。其中，安全功能要求是對數(shù)據(jù)備份與恢復(fù)產(chǎn)品應(yīng)具備的通用功能提出具體要求，主要包括備份對象、備份方式、備份模式、備份介質(zhì)、備份策略、恢復(fù)功能、平臺支持、系統(tǒng)管理、附加功能等；自身安全要求針對數(shù)據(jù)備份與恢復(fù)產(chǎn)品的自身安全提出具體要求，主要包括身份鑒別、訪問控制、安全審計、數(shù)據(jù)保護(hù)、功能保護(hù)等；安全保障要求針對數(shù)據(jù)備份與恢復(fù)產(chǎn)品的生命周期過程提出具體要求，主要包括開發(fā)、指導(dǎo)性文檔、生命周期支持、測試、脆弱性評定等。數(shù)據(jù)備份與恢復(fù)產(chǎn)品的安全等級分為基本級和增強(qiáng)級（加粗宋體字）。安全功能與自身安全的強(qiáng)弱、以及安全保障要求的高低是等級劃分的具體依據(jù)，安全等級突出安全特性，具體安全技術(shù)要求的等級劃分詳見附錄A。安全技術(shù)要求安全功能要求備份對象支持應(yīng)能對其聲明支持的備份對象、備份內(nèi)容進(jìn)行備份和恢復(fù)，常見的備份對象有數(shù)據(jù)庫、數(shù)據(jù)卷、文件、操作系統(tǒng)等，常見的備份內(nèi)容有備份對象的數(shù)據(jù)、結(jié)構(gòu)等。運(yùn)行平臺支持在產(chǎn)品聲明支持的操作系統(tǒng)平臺下，產(chǎn)品所有組件的所有功能應(yīng)能正常運(yùn)行。云環(huán)境適應(yīng)性（有則適用）云環(huán)境部署支持應(yīng)支持部署于云環(huán)境，產(chǎn)品所有組件的所有功能應(yīng)能正常運(yùn)行。云環(huán)境備份支持應(yīng)支持云環(huán)境中操作系統(tǒng)、文件、數(shù)據(jù)庫、虛擬機(jī)整機(jī)等備份對象的備份與恢復(fù)，支持基于云端存儲的備份與恢復(fù)。備份方式支持應(yīng)支持完全備份、增量備份、差量備份等備份方式。備份模式支持應(yīng)支持網(wǎng)絡(luò)備份模式，能通過網(wǎng)絡(luò)備份和恢復(fù)數(shù)據(jù)。備份介質(zhì)支持應(yīng)支持至少一種備份介質(zhì)，常見的備份介質(zhì)有磁盤、磁帶、光盤等。備份策略支持策略定制應(yīng)能對備份對象、備份時間、備份方式、備份介質(zhì)等制定備份策略。策略管理應(yīng)支持對備份策略進(jìn)行添加、刪除、修改、保存等操作。其它備份策略應(yīng)至少支持一種其它備份策略，如有備份數(shù)據(jù)保存時間、備份作業(yè)循環(huán)、備份作業(yè)開始或結(jié)束條件、自定義備份策略等?；謴?fù)功能支持恢復(fù)內(nèi)容選擇應(yīng)能選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)，恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致?；謴?fù)重定向應(yīng)支持將備份數(shù)據(jù)恢復(fù)到與備份對象不同的主機(jī)或目錄中的功能?；謴?fù)時間點選擇應(yīng)能選擇不同備份時間點的備份數(shù)據(jù)進(jìn)行恢復(fù)。恢復(fù)自動化應(yīng)支持通過恢復(fù)過程自動執(zhí)行的方式，快速恢復(fù)備份數(shù)據(jù)?；謴?fù)缺失文件應(yīng)支持標(biāo)識已缺失的備份對象的文件，并能夠?qū)σ讶笔У奈募M(jìn)行恢復(fù)。系統(tǒng)管理功能任務(wù)監(jiān)控告警應(yīng)能監(jiān)控并記錄備份恢復(fù)任務(wù)的執(zhí)行情況，當(dāng)任務(wù)未成功執(zhí)行時，告警提示。備份存儲空間監(jiān)控告警應(yīng)能監(jiān)控備份存儲空間使用情況，當(dāng)存儲空間已滿或達(dá)到閾值時，告警提示。報表功能應(yīng)能提供作業(yè)狀態(tài)和設(shè)備狀態(tài)的報表。垃圾數(shù)據(jù)清理應(yīng)支持清理備份恢復(fù)作業(yè)過程中產(chǎn)生的垃圾數(shù)據(jù)。磁帶管理（有則適用）應(yīng)能對磁帶進(jìn)行管理，如磁帶出入庫、磁帶重用等。附加功能斷點續(xù)傳應(yīng)支持?jǐn)帱c續(xù)傳功能，在異常狀態(tài)（如網(wǎng)絡(luò)故障）恢復(fù)后，被中斷的備份任務(wù)能自動從上次中斷的位置起恢復(fù)作業(yè)或通過新任務(wù)恢復(fù)剩余作業(yè)?？煺罩С謶?yīng)支持快照技術(shù)，保證備份對象在備份時間點的數(shù)據(jù)一致性。緩存支持應(yīng)為備份和恢復(fù)作業(yè)提供高速緩存支持，以提高備份和恢復(fù)作業(yè)的性能。壓縮傳輸應(yīng)支持將備份數(shù)據(jù)壓縮傳輸。壓縮存儲應(yīng)支持將備份數(shù)據(jù)壓縮存儲。重復(fù)數(shù)據(jù)刪除（有則適用）應(yīng)支持重復(fù)數(shù)據(jù)刪除功能。持續(xù)數(shù)據(jù)保護(hù)CDP（有則適用）數(shù)據(jù)跟蹤捕獲應(yīng)支持?jǐn)?shù)據(jù)跟蹤捕獲功能，能對備份對象數(shù)據(jù)的改變進(jìn)行連續(xù)的跟蹤和捕獲。任意時間點恢復(fù)應(yīng)支持任意時間點恢復(fù)功能，管理員無需事先定義目標(biāo)恢復(fù)點，即可在任意時間點恢復(fù)目標(biāo)數(shù)據(jù)。自身安全要求身份鑒別產(chǎn)品的身份鑒別功能要求包括但不限于：應(yīng)對用戶身份進(jìn)行標(biāo)識和鑒別，用戶標(biāo)識應(yīng)具有唯一性；應(yīng)對用戶身份鑒別信息進(jìn)行安全保護(hù)，保障用戶鑒別信息存儲和傳輸過程中的保密性；應(yīng)提供登錄失敗處理功能，如限制連續(xù)的非授權(quán)登錄嘗試次數(shù)等相關(guān)措施；應(yīng)提供登錄超時鎖定功能，當(dāng)?shù)卿涍B接超時自動退出；在采用基于口令的身份鑒別時，要求對用戶設(shè)置的口令進(jìn)行復(fù)雜度檢查，確保用戶口令滿足一定的復(fù)雜度要求；當(dāng)產(chǎn)品中存在默認(rèn)口令時，應(yīng)在用戶首次登錄時提示用戶對默認(rèn)口令進(jìn)行修改；應(yīng)對授權(quán)管理員選擇兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別。超時退出和會話鎖定后，應(yīng)再次進(jìn)行身份鑒別才能夠重新管理備份系統(tǒng)。訪問控制應(yīng)能對備份系統(tǒng)中與安全相關(guān)的所有操作設(shè)置訪問控制策略，例如，備份作業(yè)、日志訪問、策略管理、備份數(shù)據(jù)訪問等。安全審計產(chǎn)品的安全審計功能要求包括但不限于：應(yīng)能對備份系統(tǒng)的身份鑒別、策略管理、備份作業(yè)、恢復(fù)作業(yè)等事件，以及管理員和用戶的各類操作進(jìn)行審計；審計記錄中應(yīng)至少包括事件發(fā)生的日期和時間、事件主/客體身份、事件內(nèi)容、事件的結(jié)果（如成功或失?。┑葍?nèi)容，且易于閱讀；產(chǎn)品應(yīng)保證只有授權(quán)管理員才能訪問相應(yīng)的審計記錄，應(yīng)保護(hù)存儲的審計記錄免遭未授權(quán)的刪除和修改。數(shù)據(jù)保護(hù)產(chǎn)品的數(shù)據(jù)保護(hù)功能要求包括但不限于：應(yīng)能對數(shù)據(jù)在備份、恢復(fù)過程中的完整性進(jìn)行檢驗；應(yīng)能在備份和恢復(fù)過程中利用編碼、協(xié)議等方式增加數(shù)據(jù)傳輸安全性；應(yīng)能以非明文的方式將備份數(shù)據(jù)存儲于備份介質(zhì)上；應(yīng)提供完整性校驗機(jī)制，保證備份數(shù)據(jù)完整性，一旦發(fā)現(xiàn)完整性破壞應(yīng)及時告警。功能保護(hù)產(chǎn)品的功能保護(hù)包括但不限于：應(yīng)監(jiān)控產(chǎn)品關(guān)鍵功能的運(yùn)行狀態(tài)，并對功能失效等異常狀態(tài)進(jìn)行提示或報警。應(yīng)提供產(chǎn)品關(guān)鍵功能失效時的保護(hù)機(jī)制，如系統(tǒng)自動恢復(fù)、人工干預(yù)恢復(fù)。安全保障要求開發(fā)安全架構(gòu)開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：與產(chǎn)品設(shè)計文檔中對安全功能實施抽象描述的級別一致；描述與安全功能要求一致的產(chǎn)品安全功能的安全域；描述產(chǎn)品安全功能初始化過程為何是安全的；證實產(chǎn)品安全功能能夠防止被破壞；證實產(chǎn)品安全功能能夠防止安全特性被旁路。功能規(guī)范開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：完全描述產(chǎn)品的安全功能；描述所有安全功能接口的目的與使用方法；標(biāo)識和描述每個安全功能接口相關(guān)的所有參數(shù)；描述安全功能接口相關(guān)的安全功能實施行為；描述由安全功能實施行為處理而引起的直接錯誤消息；證實安全功能要求到安全功能接口的追溯；描述安全功能實施過程中，與安全功能接口相關(guān)的所有行為；描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。實現(xiàn)表示開發(fā)者應(yīng)提供全部安全功能的實現(xiàn)表示，實現(xiàn)表示應(yīng)滿足以下要求：提供產(chǎn)品設(shè)計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；按詳細(xì)級別定義產(chǎn)品安全功能，詳細(xì)程度達(dá)到無須進(jìn)一步設(shè)計就能生成安全功能的程度；以開發(fā)人員使用的形式提供。產(chǎn)品設(shè)計開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求：根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；標(biāo)識和描述產(chǎn)品安全功能的所有子系統(tǒng)；描述安全功能所有子系統(tǒng)間的相互作用；提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能接口；根據(jù)模塊描述安全功能；提供安全功能子系統(tǒng)到模塊間的映射關(guān)系；描述所有安全功能實現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；描述所有實現(xiàn)模塊的安全功能要求相關(guān)接口、其它接口的返回值、與其它模塊間的相互作用及調(diào)用的接口；描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其它模塊間的相互作用。指導(dǎo)性文檔操作用戶指南開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應(yīng)滿足以下要求：描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；描述如何以安全的方式使用產(chǎn)品提供的可用接口；描述產(chǎn)品支持的存儲介質(zhì)及對存儲介質(zhì)的保護(hù)；描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時指明安全值；明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制實體的安全特性；標(biāo)識產(chǎn)品運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），以及它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系；充分實現(xiàn)安全目的所必須執(zhí)行的安全策略。準(zhǔn)備程序開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。生命周期支持配置管理能力開發(fā)者的配置管理能力應(yīng)滿足以下要求：為產(chǎn)品的不同版本提供唯一的標(biāo)識；使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進(jìn)行維護(hù)，并唯一標(biāo)識配置項；提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項的方法；配置管理系統(tǒng)提供一種自動方式來支持產(chǎn)品的生成，通過該方式確保只能對產(chǎn)品的實現(xiàn)表示進(jìn)行已授權(quán)的改變；配置管理文檔包括一個配置管理計劃，配置管理計劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品。實施的配置管理與配置管理計劃相一致；配置管理計劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。配置管理范圍開發(fā)者應(yīng)提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表應(yīng)包含以下內(nèi)容：產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分；實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。交付程序開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。開發(fā)安全開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計和實現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。生命周期定義開發(fā)者應(yīng)建立一個生命周期模型對產(chǎn)品的開發(fā)和維護(hù)進(jìn)行的必要控制，并提供生命周期定義文檔描述用于開發(fā)和維護(hù)產(chǎn)品的模型。工具和技術(shù)開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含義和所有依賴于實現(xiàn)的選項的含義。測試測試覆蓋開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)滿足以下要求：表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應(yīng)性；表明上述對應(yīng)性是完備的，并證實功能規(guī)范中的所有安全功能接口都進(jìn)行了測試。測試深度開發(fā)者應(yīng)提供測試深度的分析。測試深度分析描述應(yīng)滿足以下要求：證實測試文檔中的測試與產(chǎn)品設(shè)計中的安全功能子系統(tǒng)和實現(xiàn)模塊之間的一致性；證實產(chǎn)品設(shè)計中的所有安全功能子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進(jìn)行過測試。功能測試開發(fā)者應(yīng)測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：測試計劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其它測試結(jié)果的任何順序依賴性；預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；實際測試結(jié)果和預(yù)期的測試結(jié)果一致。獨立測試開發(fā)者應(yīng)提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。脆弱性評定基于已標(biāo)識的潛在脆弱性，產(chǎn)品能夠抵抗以下攻擊行為；具有基本攻擊潛力的攻擊者的攻擊；具有增強(qiáng)型基本攻擊潛力的攻擊者的攻擊。測評方法測評方法包括針對基本級產(chǎn)品和增強(qiáng)級產(chǎn)品的安全功能要求、自身安全要求的測試和安全保障要求的評估。有關(guān)性能指標(biāo)和測試方法參見附錄B。測試環(huán)境與工具典型的數(shù)據(jù)備份與恢復(fù)產(chǎn)品測試環(huán)境如圖1所示：數(shù)據(jù)備份與恢復(fù)產(chǎn)品測試環(huán)境示意圖安全功能要求測試備份對象支持本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔配置備份對象、備份內(nèi)容及測試環(huán)境；執(zhí)行備份操作，并確認(rèn)備份成功；移除備份對象；利用備份數(shù)據(jù)進(jìn)行恢復(fù)；驗證恢復(fù)后的數(shù)據(jù)是否與備份對象一致且可用。預(yù)期結(jié)果：產(chǎn)品能對其聲明支持的備份對象、備份內(nèi)容進(jìn)行備份和恢復(fù)。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。運(yùn)行平臺支持本項測試評價方法如下：測試方法：在既定的操作系統(tǒng)平臺上部署產(chǎn)品；配置能夠完成產(chǎn)品所有功能測試的環(huán)境；對產(chǎn)品的所有功能進(jìn)行測試，驗證每個功能能否正常運(yùn)行。預(yù)期結(jié)果：既定操作系統(tǒng)平臺上產(chǎn)品所有組件的所有功能能正常運(yùn)行。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。云環(huán)境適應(yīng)性（有則適用）本項測試評價方法如下：測試方法：在云環(huán)境中（如云計算平臺）部署產(chǎn)品；配置能夠完成產(chǎn)品所有功能測試的環(huán)境；對產(chǎn)品的所有功能進(jìn)行測試，驗證每個功能能否正常運(yùn)行。驗證產(chǎn)品是否能對云環(huán)境中操作系統(tǒng)、文件、數(shù)據(jù)庫、虛擬機(jī)整機(jī)、云端數(shù)據(jù)等備份對象進(jìn)行備份與恢復(fù)。預(yù)期結(jié)果：在云環(huán)境中產(chǎn)品所有組件的所有功能能正常運(yùn)行。對所支持的備份對象均能進(jìn)行備份與恢復(fù)。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。備份方式支持本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔配置備份對象、備份內(nèi)容及測試環(huán)境；分別設(shè)置完全備份、增量備份和差量備份等備份方式；對每種備份方式分別進(jìn)行驗證，是否能按預(yù)期的備份方式進(jìn)行備份；對每種備份方式的備份數(shù)據(jù)分別進(jìn)行恢復(fù)，恢復(fù)后的數(shù)據(jù)是否與備份對象一致且可用。預(yù)期結(jié)果：產(chǎn)品支持完全備份、增量備份、差量備份等備份方式。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。備份模式支持本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔配置備份對象、備份內(nèi)容；設(shè)置網(wǎng)絡(luò)備份模式；驗證產(chǎn)品是否能通過網(wǎng)絡(luò)備份數(shù)據(jù)；驗證產(chǎn)品是否能通過網(wǎng)絡(luò)恢復(fù)數(shù)據(jù)，恢復(fù)后的數(shù)據(jù)是否與備份對象一致且可用。預(yù)期結(jié)果：產(chǎn)品支持網(wǎng)絡(luò)備份模式，能通過網(wǎng)絡(luò)備份和恢復(fù)數(shù)據(jù)。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。備份介質(zhì)支持本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔配置備份對象、備份內(nèi)容；設(shè)置產(chǎn)品聲稱支持的介質(zhì)作為備份介質(zhì)；驗證產(chǎn)品是否支持該備份介質(zhì)進(jìn)行備份；驗證產(chǎn)品是否能從備份介質(zhì)中讀取數(shù)據(jù)進(jìn)行恢復(fù)，恢復(fù)后的數(shù)據(jù)是否與備份對象一致且可用。預(yù)期結(jié)果：產(chǎn)品聲稱支持的介質(zhì)能作為備份介質(zhì)正常工作。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。備份策略支持策略定制本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，對備份對象、備份時間、備份方式、備份介質(zhì)等配置相關(guān)策略。執(zhí)行備份策略；驗證產(chǎn)品備份策略的有效性。預(yù)期結(jié)果：產(chǎn)品能對備份對象、備份時間、備份方式、備份介質(zhì)等制定備份策略。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。策略管理本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，配置相關(guān)策略。分別對備份策略進(jìn)行添加、刪除、修改、保存等操作：驗證對產(chǎn)品備份策略的管理操作的有效性。預(yù)期結(jié)果：產(chǎn)品支持對備份策略進(jìn)行添加、刪除、修改、保存等操作。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。其它備份策略本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，配置相關(guān)策略，如指定備份數(shù)據(jù)保存時間、備份作業(yè)循環(huán)、備份作業(yè)開始或結(jié)束條件、自定義備份策略等；針對配置的策略，分別進(jìn)行相關(guān)操作或執(zhí)行相關(guān)任務(wù)；驗證產(chǎn)品備份策略的有效性。預(yù)期結(jié)果：產(chǎn)品至少支持一種其它備份策略。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。恢復(fù)功能支持恢復(fù)內(nèi)容選擇本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行恢復(fù)任務(wù)；選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)；驗證恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。預(yù)期結(jié)果：產(chǎn)品能選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)，恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。恢復(fù)重定向本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行恢復(fù)任務(wù)；選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)；驗證恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。預(yù)期結(jié)果：產(chǎn)品能選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)，恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合?；謴?fù)時間點選擇本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行恢復(fù)任務(wù)；選擇全部或部分備份數(shù)據(jù)進(jìn)行恢復(fù)；驗證恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。預(yù)期結(jié)果：產(chǎn)品能選擇不同備份時間點的備份數(shù)據(jù)進(jìn)行恢復(fù)。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。恢復(fù)自動化本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行恢復(fù)任務(wù)；啟用恢復(fù)自動化的相關(guān)功能選項；按照恢復(fù)自動化的要求進(jìn)行恢復(fù)；預(yù)期結(jié)果：產(chǎn)品能通過恢復(fù)過程自動執(zhí)行的方式，快速恢復(fù)備份數(shù)據(jù)。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。恢復(fù)缺失文件本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行恢復(fù)任務(wù)；在對備份對象的數(shù)據(jù)完成備份后，刪除備份對象的部分或全部文件；查看被刪除的文件是否被有效標(biāo)示；選擇被刪除的文件進(jìn)行恢復(fù)；驗證恢復(fù)后的數(shù)據(jù)應(yīng)與原數(shù)據(jù)一致。預(yù)期結(jié)果：產(chǎn)品支持標(biāo)識出已缺失的備份文件，并能夠?qū)σ讶笔У膫浞菸募M(jìn)行恢復(fù)。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。系統(tǒng)管理功能任務(wù)監(jiān)控告警本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行備份任務(wù)；在備份任務(wù)執(zhí)行過程中，中斷備份任務(wù)使之未成功執(zhí)行；驗證產(chǎn)品是否能監(jiān)控并記錄備份恢復(fù)任務(wù)的執(zhí)行情況，當(dāng)任務(wù)未成功執(zhí)行時，有告警提示。預(yù)期結(jié)果：產(chǎn)品能監(jiān)控并記錄備份恢復(fù)任務(wù)的執(zhí)行情況，當(dāng)任務(wù)未成功執(zhí)行時，告警提示。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。備份存儲空間監(jiān)控告警本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行備份任務(wù)；使備份存儲空間已滿或達(dá)到閾值；驗證產(chǎn)品是否能監(jiān)控備份存儲空間使用情況，當(dāng)存儲空間已滿或達(dá)到閾值時，有告警提示。預(yù)期結(jié)果：產(chǎn)品能監(jiān)控備份存儲空間使用情況，當(dāng)存儲空間已滿或達(dá)到閾值時，告警提示。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。報表功能本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行備份恢復(fù)任務(wù)；驗證產(chǎn)品能否提供作業(yè)狀態(tài)和設(shè)備狀態(tài)的報表；預(yù)期結(jié)果：產(chǎn)品支持報表功能，能提供作業(yè)狀態(tài)和設(shè)備狀態(tài)的報表。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。垃圾數(shù)據(jù)清理本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，多次執(zhí)行備份任務(wù)；選擇全部或部分備份數(shù)據(jù)，多次執(zhí)行恢復(fù)任務(wù)；系統(tǒng)自動或執(zhí)行垃圾數(shù)據(jù)清理功能；驗證垃圾數(shù)據(jù)是否得到有效清理，不可恢復(fù)。預(yù)期結(jié)果：產(chǎn)品支持清理備份恢復(fù)作業(yè)過程中產(chǎn)生的垃圾數(shù)據(jù)。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。磁帶管理（有則適用）本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，配置備份服務(wù)器和磁帶驅(qū)動器以提供使磁帶管理功能測試能夠正常執(zhí)行的環(huán)境；測試產(chǎn)品支持的磁帶管理功能；驗證磁帶管理功能是否有效；預(yù)期結(jié)果：產(chǎn)品支持磁帶管理功能。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。附加功能斷點續(xù)傳本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，執(zhí)行備份任務(wù)；斷開網(wǎng)絡(luò)連接或采取其它方式，使備份任務(wù)異常中斷；恢復(fù)網(wǎng)絡(luò)連接或采取其它方式恢復(fù)正常工作狀態(tài)；驗證產(chǎn)品被中斷的備份任務(wù)是否能自動從上次中斷的位置起恢復(fù)作業(yè)。預(yù)期結(jié)果：產(chǎn)品支持?jǐn)帱c續(xù)傳功能，在異常狀態(tài)恢復(fù)后（如網(wǎng)絡(luò)故障），被中斷的備份任務(wù)能自動從上次中斷的位置起恢復(fù)作業(yè)。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合?？煺罩С直卷棞y試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)；產(chǎn)品執(zhí)行快照的相關(guān)功能；確保備份作業(yè)進(jìn)行的同時，備份對象的數(shù)據(jù)有變化；驗證恢復(fù)后的數(shù)據(jù)與備份對象在備份啟動時間點時的數(shù)據(jù)是否一致且可用。預(yù)期結(jié)果：產(chǎn)品支持快照技術(shù)，能保證備份對象在備份時間點的數(shù)據(jù)一致性。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。緩存支持本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份和恢復(fù)任務(wù)；配置作為緩存的介質(zhì)，并啟用緩存功能；驗證備份數(shù)據(jù)流是否先寫入作為緩存的介質(zhì)，再寫入備份介質(zhì)。預(yù)期結(jié)果：產(chǎn)品能為備份和恢復(fù)作業(yè)提供高速緩存支持。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。壓縮傳輸本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)；啟用壓縮傳輸功能；驗證傳輸?shù)膫浞輸?shù)據(jù)是否經(jīng)過了壓縮。預(yù)期結(jié)果：產(chǎn)品支持壓縮傳輸功能。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。壓縮存儲本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)；啟用壓縮存儲功能；驗證存儲的備份數(shù)據(jù)是否經(jīng)過了壓縮。預(yù)期結(jié)果：產(chǎn)品支持壓縮存儲功能。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。重復(fù)數(shù)據(jù)刪除（有則適用）本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)；啟用重復(fù)數(shù)據(jù)刪除功能；驗證產(chǎn)品是否正確執(zhí)行了重復(fù)數(shù)據(jù)刪除功能。預(yù)期結(jié)果：產(chǎn)品支持重復(fù)數(shù)據(jù)刪除功能。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。持續(xù)數(shù)據(jù)保護(hù)CDP（有則適用）數(shù)據(jù)跟蹤捕獲本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)；啟用數(shù)據(jù)跟蹤捕獲功能；改變備份對象數(shù)據(jù)；驗證產(chǎn)品是否能對備份對象數(shù)據(jù)的改變進(jìn)行連續(xù)的跟蹤和捕獲。預(yù)期結(jié)果：產(chǎn)品支持?jǐn)?shù)據(jù)跟蹤捕獲功能，能對備份對象數(shù)據(jù)的改變進(jìn)行連續(xù)的跟蹤和捕獲。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。任意時間點恢復(fù)本項測試評價方法如下：測試方法：按產(chǎn)品提供的指導(dǎo)性文檔，配置執(zhí)行備份任務(wù)；啟用任意時間點恢復(fù)功能；選擇任意時間點進(jìn)行恢復(fù)；驗證產(chǎn)品是否能在任意時間點恢復(fù)目標(biāo)數(shù)據(jù)。預(yù)期結(jié)果：產(chǎn)品支持任意時間點恢復(fù)功能，管理員無需事先定義目標(biāo)恢復(fù)點，即可在任意時間點恢復(fù)目標(biāo)數(shù)據(jù)。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。自身安全測試身份鑒別身份鑒別的測試評價方法如下：測試方法：測試產(chǎn)品是否對其用戶進(jìn)行唯一性標(biāo)識，如不允許創(chuàng)建重名用戶；測試產(chǎn)品對于用戶鑒別信息的存儲和傳輸過程中，采取何種措施對其保密性和完整性進(jìn)行保護(hù)；嘗試連續(xù)多次失敗登錄產(chǎn)品，觸發(fā)產(chǎn)品的登錄失敗處理功能，檢查產(chǎn)品采用何種機(jī)制防止用戶進(jìn)一步進(jìn)行嘗試；產(chǎn)品登錄后，在超時時間內(nèi)無任何操作，查看產(chǎn)品是否自動退出；若產(chǎn)品采用口令鑒別機(jī)制，測試產(chǎn)品是否提供了口令復(fù)雜度校驗機(jī)制，是否不允許用戶設(shè)置弱口令，如空口令、純數(shù)字等；產(chǎn)品存在默認(rèn)口令時，檢查產(chǎn)品是否提示用戶對默認(rèn)口令進(jìn)行修改；驗證產(chǎn)品超時退出和鎖定后是否需要再次進(jìn)行身份鑒別才能夠重新管理備份系統(tǒng)。查看產(chǎn)品本地和遠(yuǎn)程管理是否支持雙因子身份鑒別；預(yù)期結(jié)果：產(chǎn)品確保在管理員進(jìn)行操作之前，對管理員、主機(jī)和用戶等進(jìn)行唯一的身份識別；產(chǎn)品支持非明文的遠(yuǎn)程管理會話，明文的遠(yuǎn)程管理方式能夠關(guān)閉；輸入錯誤口令達(dá)到設(shè)定的最大失敗次數(shù)后，產(chǎn)品終止可信主機(jī)或用戶建立會話的過程，并對該失敗用戶做禁止訪問處理；產(chǎn)品登錄后，在超時時間內(nèi)無任何操作，產(chǎn)品自動退出；管理員需通過口令驗證等身份鑒別措施；并對口令強(qiáng)度具有要求；產(chǎn)品存在默認(rèn)口令時，產(chǎn)品能夠提示用戶對默認(rèn)口令進(jìn)行修改；產(chǎn)品需要再次進(jìn)行身份鑒別。產(chǎn)品支持雙因子鑒別。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。訪問控制本項測試評價方法如下：測試方法：針對產(chǎn)品中與安全相關(guān)的操作設(shè)置訪問控制策略；驗證已設(shè)置的訪問控制策略在進(jìn)行與安全相關(guān)的操作是否有效。預(yù)期結(jié)果：訪問控制策略設(shè)置成果；在進(jìn)行與安全相關(guān)的操作時已設(shè)置的訪問控制策略有效。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。安全審計本項測試評價方法如下：測試方法：使用授權(quán)用戶登錄備份系統(tǒng)、進(jìn)行備份作業(yè)、恢復(fù)作業(yè)、策略管理等操作；以授權(quán)管理員的身份查閱審計記錄，檢查是否對執(zhí)行的事件產(chǎn)生了審計記錄；驗證審計記錄中是否包括事件發(fā)生的日期和時間、事件主體客體身份、事件內(nèi)容、事件的結(jié)果等信息，且易于閱讀；分別以授權(quán)用戶和非授權(quán)用戶身份訪問審計記錄；分別以授權(quán)用戶和非授權(quán)用戶身份執(zhí)行審計記錄的管理操作，驗證產(chǎn)品是否僅允許授權(quán)用戶執(zhí)行審計記錄的管理操作（如清空審計記錄），非授權(quán)用戶不能執(zhí)行審計記錄的管理操作；查看產(chǎn)品是否能夠防止修改審計記錄的操作。預(yù)期結(jié)果：對于檢測方法1）中支持的事件，產(chǎn)品能產(chǎn)生相應(yīng)的審計記錄；產(chǎn)品的每個審計記錄中均包含以下信息：事件發(fā)生的日期和時間、事件主體客體身份、事件描述；產(chǎn)品的每個審計記錄中均包含以下信息：事件發(fā)生的日期和時間、事件主體客體身份、事件描述，且易于閱讀；僅授權(quán)用戶能訪問審計記錄，非授權(quán)用戶不能訪問審計記錄；僅授權(quán)用戶能執(zhí)行審計記錄的管理操作，非授權(quán)用戶不能執(zhí)行審計記錄的管理操作；產(chǎn)品能夠防止修改審計記錄的操作。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。數(shù)據(jù)保護(hù)本項測試評價方法如下：測試方法：配置備份系統(tǒng)的數(shù)據(jù)完整性檢驗功能；人為破壞備份數(shù)據(jù)的完整性；驗證產(chǎn)品能否檢驗出備份數(shù)據(jù)的完整性已被破壞，并給出相應(yīng)的警示。配置產(chǎn)品為基于網(wǎng)絡(luò)備份模式；啟用安全傳輸功能；執(zhí)行備份作業(yè)；驗證備份數(shù)據(jù)在傳輸時的安全性。啟用安全存儲功能；執(zhí)行備份作業(yè)；驗證備份數(shù)據(jù)是否是非明文的方式存儲于備份介質(zhì)上；驗證非授權(quán)用戶嘗試修改備份數(shù)據(jù)，驗證是否提供完整性保護(hù)措施，并且是否能夠進(jìn)行報警。預(yù)期結(jié)果：產(chǎn)品數(shù)據(jù)完整性校驗，能檢驗出備份數(shù)據(jù)的完整性已被破壞，并能給出相應(yīng)的警示。產(chǎn)品能保證傳輸數(shù)據(jù)的安全性。產(chǎn)品能保證存儲數(shù)據(jù)的安全性。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。功能保護(hù)測試方法：在系統(tǒng)正常運(yùn)行的狀態(tài)下，人為使其部分功能失效，如恢復(fù)功能；驗證產(chǎn)品能否提供對功能失效如恢復(fù)功能進(jìn)行提示或報警；人為造成備份系統(tǒng)部分關(guān)鍵功能失效，如恢復(fù)功能；驗證產(chǎn)品是否提供關(guān)鍵功能失效時的保護(hù)機(jī)制，如人工干預(yù)恢復(fù)。預(yù)期結(jié)果：能夠提供對其自身部分功能的失效進(jìn)行監(jiān)控。具有關(guān)鍵功能失效時的相應(yīng)保護(hù)機(jī)制。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。安全保障評估方法開發(fā)安全架構(gòu)本項測試評價方法如下：測試方法：審查安全架構(gòu)文檔是否準(zhǔn)確描述如下內(nèi)容：與產(chǎn)品設(shè)計文檔中對安全功能實施抽象描述的級別一致；描述與安全功能要求一致的產(chǎn)品安全功能的安全域；描述產(chǎn)品安全功能初始化過程為何是安全的；證實產(chǎn)品安全功能能夠防止被破壞；證實產(chǎn)品安全功能能夠防止安全特性被旁路。預(yù)期結(jié)果：開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。功能規(guī)范本項測試評價方法如下：測試方法：審查功能規(guī)范文檔是否準(zhǔn)確描述如下內(nèi)容：完全描述產(chǎn)品的安全功能；描述所有安全功能接口的目的與使用方法；標(biāo)識和描述每個安全功能接口相關(guān)的所有參數(shù)；描述安全功能接口相關(guān)的安全功能實施行為；描述由安全功能實施行為處理而引起的直接錯誤消息；證實安全功能要求到安全功能接口的追溯；描述安全功能實施過程中，與安全功能接口相關(guān)的所有行為；描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。預(yù)期結(jié)果：開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。實現(xiàn)表示本項測試評價方法如下：測試方法：審查實現(xiàn)表示文檔是否準(zhǔn)確描述如下內(nèi)容：以開發(fā)人員使用的形式提供產(chǎn)品設(shè)計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；按詳細(xì)級別定義產(chǎn)品安全功能，詳細(xì)程度達(dá)到無須進(jìn)一步設(shè)計就能生成安全功能的程度。預(yù)期結(jié)果：開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。產(chǎn)品設(shè)計本項測試評價方法如下：測試方法：審查產(chǎn)品設(shè)計文檔是否準(zhǔn)確描述如下內(nèi)容：根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；標(biāo)識和描述產(chǎn)品安全功能的所有子系統(tǒng)；描述安全功能所有子系統(tǒng)間的相互作用；提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能接口；根據(jù)模塊描述安全功能；提供安全功能子系統(tǒng)到模塊間的映射關(guān)系；描述所有安全功能實現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；描述所有實現(xiàn)模塊的安全功能要求相關(guān)接口、其它接口的返回值、與其它模塊間的相互作用及調(diào)用的接口；描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其它模塊間的相互作用。預(yù)期結(jié)果：開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。指導(dǎo)性文檔操作用戶指南本項測試評價方法如下：測試方法：審查操作用戶指南是否準(zhǔn)確描述如下內(nèi)容：描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；描述如何以安全的方式使用產(chǎn)品提供的可用接口；描述產(chǎn)品支持的存儲介質(zhì)及對存儲介質(zhì)的保護(hù)；描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時指明安全值；明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制實體的安全特性；標(biāo)識產(chǎn)品運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），以及它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系；充分實現(xiàn)安全目的所必須執(zhí)行的安全策略。預(yù)期結(jié)果：開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。準(zhǔn)備程序本項測試評價方法如下：測試方法：審查準(zhǔn)備程序文檔是否準(zhǔn)確描述如下內(nèi)容：描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。預(yù)期結(jié)果：開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。生命周期支持配置管理能力本項測試評價方法如下：測試方法：檢查開發(fā)者提供的配置管理能力證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：審查開發(fā)者是否為不同版本的產(chǎn)品提供唯一的標(biāo)識；現(xiàn)場檢查配置管理系統(tǒng)是否對所有的配置項作出唯一的標(biāo)識，且配置管理系統(tǒng)是否對配置項進(jìn)行了維護(hù)；審查開發(fā)者提供的配置管理文檔，是否描述了對配置項進(jìn)行唯一標(biāo)識的方法；現(xiàn)場檢查是否能夠通過自動化配置管理系統(tǒng)支持產(chǎn)品的生成，確保只能對產(chǎn)品的實現(xiàn)表示進(jìn)行已授權(quán)的改變；審查配置管理計劃是否描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品，現(xiàn)場核查活動是否與計劃一致；審查配置管理計劃是否描述了用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。預(yù)期結(jié)果：開發(fā)者提供的文檔和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。配置管理范圍本項測試評價方法如下：測試方法：審查開發(fā)者提供的配置項列表；配置項列表是否描述了組成產(chǎn)品的全部配置項及相應(yīng)的開發(fā)者；審查開發(fā)者是否將實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)納入配置管理范圍，是否對安全缺陷進(jìn)行跟蹤。預(yù)期結(jié)果：開發(fā)者提供的文檔和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。交付程序本項測試評價方法如下：測試方法：現(xiàn)場檢查開發(fā)者是否使用一定的交付程序交付產(chǎn)品；審查開發(fā)者是否使用文檔描述交付過程，文檔中是否包含以下內(nèi)容：在給用戶方交付系統(tǒng)的各版本時，為維護(hù)安全所必需的所有程序。預(yù)期結(jié)果：開發(fā)者提供的文檔和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。開發(fā)安全本項測試評價方法如下：審查開發(fā)者提供的開發(fā)安全文檔，該文檔是否描述了在系統(tǒng)的開發(fā)環(huán)境中，為保護(hù)系統(tǒng)設(shè)計和實現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施；現(xiàn)場檢查產(chǎn)品的開發(fā)環(huán)境，開發(fā)者是否使用了物理的、程序的、人員的和其他方面的安全措施保證產(chǎn)品設(shè)計和實現(xiàn)的保密性和完整性，這些安全措施是否得到了有效的執(zhí)行。預(yù)期結(jié)果：開發(fā)者提供的文檔和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。生命周期定義本項測試評價方法如下：測試方法：開發(fā)者應(yīng)提供證據(jù)證明使用生命周期模型對產(chǎn)品的開發(fā)和維護(hù)進(jìn)行的必要控制，評價者應(yīng)對證據(jù)的內(nèi)容進(jìn)行審查；評價者應(yīng)審查開發(fā)者提供生命周期定義文檔是否描述了用于開發(fā)和維護(hù)產(chǎn)品的模型。預(yù)期結(jié)果：開發(fā)者提供的文檔和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。工具和技術(shù)本項測試評價方法如下：測試方法：評價者應(yīng)審查開發(fā)者所提供的開發(fā)安全文檔是否明確定義了用于開發(fā)產(chǎn)品的工具，并提供了開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含義和所有依賴于實現(xiàn)的選項的含義。預(yù)期結(jié)果：開發(fā)者提供的文檔和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試測試覆蓋本項測試評價方法如下：測試方法：審查開發(fā)者提供的測試覆蓋文檔，在測試覆蓋證據(jù)中，是否表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能是對應(yīng)的；審查開發(fā)者提供的測試覆蓋分析結(jié)果，是否表明功能規(guī)范中的所有安全功能接口都進(jìn)行了測試。預(yù)期結(jié)果：開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試深度本項測試評價方法如下：測試方法：審查開發(fā)者提供的測試深度分析，是否說明了測試文檔中所標(biāo)識的對安全功能的測試，并足以表明與產(chǎn)品設(shè)計中的安全功能子系統(tǒng)和實現(xiàn)模塊之間的一致性；是否能夠證實所有安全功能子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進(jìn)行過測試。預(yù)期結(jié)果：開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。功能測試本項測試評價方法如下：測試方法：審查開發(fā)者提供的測試文檔，是否包括測試計劃、預(yù)期的測試結(jié)果和實際測試結(jié)果；審查測試計劃是否標(biāo)識了要測試的安全功能，是否描述了每個安全功能的測試方案（包括對其它測試結(jié)果的順序依賴性）；審查期望的測試結(jié)果是否表明測試成功后的預(yù)期輸出；審查實際測試結(jié)果是否表明每個被測試的安全功能能按照規(guī)定進(jìn)行運(yùn)作。預(yù)期結(jié)果：開發(fā)者提供的文檔內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。獨立測試本項測試評價方法如下：測試方法：評價者應(yīng)審查開發(fā)者提供的測試資源；評價者應(yīng)審查開發(fā)者提供的測試集合是否與其自測系統(tǒng)功能時使用的測試集合相一致。預(yù)期結(jié)果：開發(fā)者提供的資源應(yīng)滿足上述要求。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。脆弱性評定本項測試評價方法如下：測試方法：從用戶可能破壞安全策略的明顯途徑出發(fā)，按照安全機(jī)制定義的安全強(qiáng)度級別，對產(chǎn)品進(jìn)行脆弱性分析。預(yù)期結(jié)果：滲透性測試結(jié)果應(yīng)表明產(chǎn)品能夠抵抗具有基本攻擊潛力的攻擊者的攻擊；滲透性測試結(jié)果應(yīng)表明產(chǎn)品能夠抵抗具有增強(qiáng)型基本攻擊潛力的攻擊者的攻擊。結(jié)果判定：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

（規(guī)范性附錄）數(shù)據(jù)備份與恢復(fù)產(chǎn)品等級劃分根據(jù)安全功能要求的不同，將數(shù)據(jù)備份與恢復(fù)產(chǎn)品劃分為兩個等級：基本級和增強(qiáng)級。產(chǎn)品等級劃分如表A.1所示。第6、7兩章對每一等級的具體要求分別進(jìn)行描述。其中“加粗宋體字”表示所描述的要求僅適用于增強(qiáng)級產(chǎn)品。表A.1數(shù)據(jù)備份與恢復(fù)產(chǎn)品等級劃分表安全技術(shù)要求基本級增強(qiáng)級安全功能要求備份對象支持6.1.16.1.1運(yùn)行平臺支持6.1.26.1.2云環(huán)境適應(yīng)性（有則適用）6.1.36.1.3備份方式支持6.1