数据库产品 CC 认证的最佳实践（三十八）《GBase 8t V8.5安全目标》之5.3.7 脆弱性评定（AVA 保证类）

字数 1525阅读 1470评论 0赞 1

（三十八）《GBase 8t V8.5安全目标》之5.3.7 脆弱性评定（AVA 保证类）

5.3.7 脆弱性评定（AVA 保证类）

5.3.7.1 分析的确认（AVA_MSU.2）

AVA_MSU.2.1d
开发者应提供指导性文档。

AVA_MSU.2.2d
开发者应文档化对指导性文档的分析。

AVA_MSU.2.1c
指导性文档应标识该评估对象所有可能的运行模式（包括失败或操作失误后的运行）及其后果，以及对保持安全运行的影响。

AVA_MSU.2.2c
指导性文档应是完备的、清晰的、一致的且合理的。

AVA_MSU.2.3c
指导性文档应列出关于预期环境的所有假设。

AVA_MSU.2.4c
指导性文档应列出对外部安全措施（包括外部程序的、物理的和人员的控制）的所有要求。

AVA_MSU.2.5c
分析文档应证实指导性文档是完备的。

AVA_MSU.2.1e
评估者应确认所提供的信息满足证据的内容与形式的所有要求。

AVA_MSU.2.2e
评估者应重复所有配置和安装程序，并选择性地重复其他程序，以确认只使用所提供的指导性文档就可以安全地配置和使用该评估对象。

AVA_MSU.2.3e
评估者应确定使用指导性文档能够检测所有不安全状态。

AVA_MSU.2.4e
评估者应确认分析文档说明为该评估对象的所有运行模式都提供了安全运行指南。

5.3.7.2 评估对象安全功能强度评估（AVA_SOF.1）

AVA_SOF.1.1d
对于该《安全目标》中标识的具有评估对象安全功能强度声明的每一安全机制，开发者都应执行对评估对象安全功能强度的分析。

AVA_SOF.1.1c
对于具有评估对象安全功能强度声明的每一安全机制，该评估对象安全功能强度分析应说明该机制都达到或超过《安全目标》中定义的最低强度级别。

AVA_SOF.1.2c
对于具有特定评估对象安全功能强度声明的每一安全机制，该评估对象安全功能强度分析都应说明该机制达到或超过《安全目标》中定义的特定功能强度度量。

AVA_SOF.1.1e
评估者应确认所提供的信息满足证据的内容与形式的所有要求。

AVA_SOF.1.2e
评估者应确认该强度声明是正确的。

5.3.7.3 独立的脆弱性分析（AVA_VLA.2）

AVA_VLA.2.1d
开发者应执行脆弱性分析。

AVA_VLA.2.2d
开发者应提供脆弱性分析文档。

AVA_VLA.2.1c
脆弱性分析文档应描述对评估对象可交付材料的分析，执行该分析是为了搜索用户可能违反评估对象安全策略的那些途径。

AVA_VLA.2.2c
脆弱性分析文档应描述对所标识的脆弱性的处置。

AVA_VLA.2.3c
针对所有已标识的脆弱性，脆弱性分析文档应说明在该评估对象的预期环境中该脆弱性不会被利用。

AVA_VLA.2.4c
脆弱性分析文档应证明带有已标识脆弱性的评估对象可以抵御明显的渗透攻击。

AVA_VLA.2.1e
评估者应确认所提供的信息满足证据的内容与形式的所有要求。

AVA_VLA.2.2e
在开发者脆弱性分析的基础上，评估者应实施渗透测试，以确保已处理了所标识的脆弱性。

AVA_VLA.2.3e
评估者应执行独立的脆弱性分析。

AVA_VLA.2.4e
基于独立的脆弱性分析，评估者应执行独立的渗透测试，以确定在预期环境中那些额外标识了的脆弱性的可利用性。

AVA_VLA.2.5e
评估者应确定该评估对象可以抵御拥有低攻击可能性的攻击者发起的渗透攻击。

著作权归作者所有

如果觉得我的文章对您有用，请点赞。您的支持将鼓励我继续创作！

Ctrl+Enter 发表

匿名评论

作者其他文章