数据库产品 CC 认证的最佳实践（三十四）《GBase 8t V8.5安全目标》之5.3.3 开发（ADV 保证类）

（一）前言
（二）CC 通用准则概述
（三）CC 通用准则的演进
（四）CC 安全性评估
（五）安全功能组件
（六）安全保证组件
（七）评估保证级
（八）《安全目标》编写规范
（九）《GBase 8t V8.5安全目标》之目录
……

（三十四）《GBase 8t V8.5安全目标》之5.3.3 开发（ADV 保证类）

5.3.3 开发（ADV 保证类）

5.3.3.1 充分定义的外部接口（ADV_FSP.2）

ADV_FSP.2.1d
开发者应提供一个功能规范。

ADV_FSP.2.1c
功能规范应使用非形式化风格来描述该评估对象安全功能及其外部接口。

ADV_FSP.2.2c
功能规范应是内在一致的。

ADV_FSP.2.3c
功能规范应描述所有外部评估对象安全功能接口的用途和使用方法，提供所有影响、例外情况和错误消息的全部细节。

ADV_FSP.2.4c
功能规范应完备地表示该评估对象安全功能。

ADV_FSP.2.5c
功能规范应包括完备地描述该评估对象安全功能的基本原理。

ADV_FSP.2.1e
评估者应确认所提供的信息满足证据的内容与形式的所有要求。

ADV_FSP.2.2e
评估者应确定功能规范是该评估对象安全功能要求的一个准确且完备的实例化。

5.3.3.2 安全加强的高层设计（ADV_HLD.2）

ADV_HLD.2.1d
开发者应提供该评估对象安全功能的高层设计。

ADV_HLD.2.1c
高层设计的表示应是非形式化的。

ADV_HLD.2.2c
高层设计应是内在一致的。

ADV_HLD.2.3c
高层设计应按子系统来描述该评估对象安全功能的结构。

ADV_HLD.2.4c
高层设计应描述该评估对象安全功能每个子系统所提供的安全功能。

ADV_HLD.2.5c
高层设计应标识该评估对象安全功能所要求的任何底层硬件、固件和/或软件，通过这些硬件、固件或软件中实现的支持性保护机制来描述所提供的功能。

ADV_HLD.2.6c
高层设计应标识该评估对象安全功能子系统的所有接口。

ADV_HLD.2.7c
高层设计应标识该评估对象安全功能子系统的哪些接口是外部可见的。

ADV_HLD.2.8c
高层设计应描述该评估对象安全功能子系统的所有接口的用途和使用方法，酌情提供其影响、例外情况和错误消息的细节。

ADV_HLD.2.9c
高层设计应将该评估对象的强制执行评估对象安全策略与其他子系统分开描述。

ADV_HLD.2.1e
评估者应确认所提供的信息满足证据的内容与形式的所有要求。

ADV_HLD.2.2e
评估者应确定高层设计是该评估对象安全功能要求的一个准确且完备的实例化。

5.3.3.3 评估对象安全功能实现的子集（ADV_IMP.1）

ADV_IMP.1.1d
开发者应为选定的评估对象安全功能子集提供实现表示。

ADV_IMP.1.1c
实现表示应无歧义地定义该评估对象安全功能，达到无需更多的设计决策就能生成该评估对象安全功能的详细程度。

ADV_IMP.1.2c
实现表示应是内在一致的。

ADV_IMP.1.1e
评估者应确认所提供的信息满足证据的内容与形式的所有要求。

ADV_IMP.1.2e
评估者应确定所提供的最不抽象的评估对象安全功能表示是该评估对象安全功能要求的一个准确且完备的实例化。

5.3.3.4 描述性低层设计（ADV_LLD.1）

ADV_LLD.1.1d
开发者应提供该评估对象安全功能的低层设计。

ADV_LLD.1.1c
低层设计的表示应是非形式化的。

ADV_LLD.1.2c
低层设计应是内在一致的。

ADV_LLD.1.3c
低层设计应按模块来描述该评估对象安全功能。

ADV_LLD.1.4c
低层设计应描述每一个模块的用途。

ADV_LLD.1.5c
低层设计应根据所提供的安全功能性和与其他模块的依赖关系来定义各模块间的相互关系。

ADV_LLD.1.6c
低层设计应描述如何提供每一个强制执行的评估对象安全策略功能。

ADV_LLD.1.7c
低层设计应标识该评估对象安全功能模块的所有接口。

ADV_LLD.1.8c
低层设计应标识该评估对象安全功能的哪些接口是外部可见的。

ADV_LLD.1.9c
低层设计应描述该评估对象安全功能模块的所有接口的用途和使用方法，酌情提供其影响、例外情况和错误消息的细节。

ADV_LLD.1.10c
低层设计应把该评估对象分成强制执行的评估对象安全策略与其他模块。

ADV_LLD.1.1e
评估者应确认所提供的信息满足证据的内容与形式的所有要求。

ADV_LLD.1.2e
评估者应确定低层设计是该评估对象安全功能要求的一个准确且完备的实例化。

5.3.3.5 非形式化对应性证实（ADV_RCR.1）

ADV_RCR.1.1d
开发者应提供对所提供的评估对象安全功能表示的所有相邻对之间的对应性分析。

ADV_RCR.1.1c
对于所提供的评估对象安全功能表示的每一相邻对，分析应证实在较不抽象的评估对象安全功能表示中，正确且完备地细化了较为抽象的评估对象安全功能表示的所有相关安全功能。

ADV_RCR.1.1e
评估者应确认所提供的信息满足证据的内容与形式的所有要求。

5.3.3.6 非形式化评估对象安全策略模型（ADV_SPM.1）

ADV_SPM.1.1d
开发者应提供一个评估对象安全策略模型。

ADV_SPM.1.2d
开发者应证实功能规范与该评估对象安全策略模型之间的对应性。

ADV_SPM.1.1c
该评估对象安全策略模型应是非形式化的。

ADV_SPM.1.2c
该评估对象安全策略模型应描述所有能被模型化的评估对象安全策略的规则和特征。

ADV_SPM.1.3c
该评估对象安全策略模型应包括一个基本原理，证实该模型相对所有能被模型化的评估对象安全策略是一致的和完备的。

ADV_SPM.1.4c
评估对象安全策略模型与功能规范之间对应性的证实应说明：安全规范中的所有安全功能相对该评估对象安全策略模型都是一致的和完备的。

ADV_SPM.1.1e
评估者应确认所提供的信息满足证据的内容与形式的所有要求。