GA/T 672-2006 信息安全技术 终端计算机系统安全等级评估准则

犐犆犛３５．０４０

犃９０

中华人民共和国公共安全行业标准

／—

犌犃犜６７２２００６

信息安全技术

终端计算机系统安全等级评估准则

ㅤㅤㅤㅤ

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狋犲犮犺狀狅犾狅—

狔犵狔

犈狏犪犾狌犪狋犻狅狀犮狉犻狋犲狉犻犪犳狅狉狋犲狉犿犻狀犪犾犮狅犿狌狋犲狉狊狊狋犲犿

狆狔

狅犳狊犲犮狌狉犻狋犮犾犪狊狊犻犳犻犲犱狉狅狋犲犮狋犻狅狀

狔狆

２００６１２２８发布２００７０２０１实施

中华人民共和国公安部发布

／—

犌犃犜６７２２００６

目次

前言Ⅰ

引言Ⅱ

１范围１

２规范性引用文件１

３术语、定义和缩略语１

３．１术语和定义１

３．２缩略语２

４信息安全技术终端计算机系统安全等级评估准则３

４．１第一级：用户自主保护级３

４．１．１安全功能要求３

４．１．２ＳＳＯＴＣＳ自身安全保护５

４．１．３ＳＳＯＴＣＳ设计和实现５

４．２第二级：系统审计保护级８

４．２．１安全功能要求８

４．２．２ＳＳＯＴＣＳ自身安全保护１４

４．２．３ＳＳＯＴＣＳ设计和实现１４

第三级：安全标记保护级ㅤㅤㅤㅤ

４．３１９

４．３．１安全功能要求１９

４．３．２ＳＳＯＴＣＳ自身安全保护２７

４．３．３ＳＳＯＴＣＳ设计和实现２７

参考文献３５

／—

犌犃犜６７２２００６

引言

本标准用以指导评估者如何评估各安全等级的终端计算机系统。

终端计算机系统在计算机信息系统中，承担着大量数据存储、处理、传输的工作，与用户有着最紧密

的联系。终端计算机系统的安全，对整个信息系统的安全，起着至关重要的作用。在各个安全等级的信

息系统中，终端计算机系统也应该达到相应的安全等级。

本标准依据《信息安全技术终端计算机系统安全等级技术要求》的相关要求，对第一、第二和第三

级的终端计算机系统提出了具体的评估方法，能够对终端计算机系统的测试、开发提供指导。

ㅤㅤㅤㅤ

Ⅱ

／—

犌犃犜６７２２００６

信息安全技术

终端计算机系统安全等级评估准则

１范围

本标准规定了终端计算机系统的评估方法。

本标准适用于按照／—《信息安全技术终端计算机系统安全等级技术要求》所开发

ＧＡＴ６７１２００６

的终端计算机系统的评估。

２规范性引用文件

下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所

有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研

究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

—计算机信息系统安全保护等级划分准则

ＧＢ１７８５９１９９９

／—信息安全技术信息系统通用安全技术要求

ＧＢＴ２０２７１２００６

／—信息安全技术操作系统安全技术要求

ＧＢＴ２０２７２２００６

／—信息安全技术终端计算机系统安全等级技术要求

ＧＡＴ６７１２００６

３术语、定义和缩略语

ㅤㅤㅤㅤ

３．１术语和定义

—、／—和／—确立的以及下列术语和定义适用于

ＧＢ１７８５９１９９９ＧＢＴ２０２７１２００６ＧＢＴ２０２７２２００６

本标准。

３．１．１

终端计算机系统狋犲狉犿犻狀犪犾犮狅犿狌狋犲狉狊狊狋犲犿

狆狔

一种个人使用的计算机系统，是信息系统的重要组成部分，为用户访问网络服务器提供支持。终端

计算机系统表现为桌面型计算机系统和膝上型计算机系统两种形态。终端计算机系统一般由硬件系

统、操作系统和应用系统（包括为用户访问网络服务器提供支持的工具软件和其他应用软件）等部分

组成。

３．１．２

可信狋狉狌狊狋犲犱

一种特性，具有该特性的实体总是以预期的行为和方式达到既定目的。

３．１．３

完整性度量（简称度量）犿犲犪狊狌狉犲犿犲狀狋狅犳犻狀狋犲狉犻狋

犵狔

一种使用密码学杂凑算法对实体计算其杂凑值的过程。

３．１．４

完整性基准值（简称基准值）犮狉犻狋犲狉犻犪狅犳犻狀狋犲狉犻狋犿犲犪狊狌狉犲犿犲狀狋

犵狔

实体在可信状态下度量得到的杂凑值，可用来作为完整性校验基准。

３．１．５

度量根狉狅狅狋狅犳狋狉狌狊狋犳狅狉犿犲犪狊狌狉犲犿犲狀狋

一个可信的实体，是终端计算机系统内进行可信度量的基点。

１

／—

犌犃犜６７２２００６

３．１．６

动态度量根犱狀犪犿犻犮狉狅狅狋狅犳狋狉狌狊狋犳狅狉犿犲犪狊狌狉犲犿犲狀狋

狔

度量根的一种，支持终端计算机系统对动态启动的程序模块进行实时可信度量。

３．１．７

存储根狉狅狅狋狅犳狋狉狌狊狋犳狅狉狊狋狅狉犪犲

犵

一个可信的实体，是终端计算机系统内进行可信存储的基点。

３．１．８

报告根狉狅狅狋狅犳狋狉狌狊狋犳狅狉狉犲狅狉狋犻狀

狆犵

一个可信的实体，是终端计算机系统内进行可信报告的基点。

３．１．９

可信根狋狉狌狊狋犲犱狉狅狅狋

度量根、存储根和报告根的集合，是保证终端计算机系统可信的基础。

３．１．１０

可信硬件模块狋狉狌狊狋犲犱犺犪狉犱狑犪狉犲犿狅犱狌犾犲

嵌入终端计算机硬件系统内的一个硬件模块。它应包含存储根、报告根，能独立提供密码学运算功

能，具有受保护的存储空间。

３．１．１１

信任链狋狉狌狊狋犲犱犮犺犪犻狀狊

一种在终端计算机系统启动过程中，基于完整性度量的方法确保终端计算机系统可信的技术。

３．１．１２

可信计算平台狋狉狌狊狋犲犱犮狅犿狌狋犻狀犾犪狋犳狅狉犿

狆犵狆

ㅤㅤㅤㅤ

是基于可信硬件模块或可信软件模块构建的计算平台，支持系统身份标识服务、密码学服务和信任

服务，并为系统提供信任链保护和运行安全保护。

３．１．１３

终端计算机系统安全子系统（）

狊犲犮狌狉犻狋狊狌犫狊狊狋犲犿狅犳狋犲狉犿犻狀犪犾犮狅犿狌狋犲狉狊狊狋犲犿犛犛犗犜犆犛

狔狔狆狔

终端计算机系统内安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。它

建立了一个基本的终端计算机系统安全保护环境，并提供终端计算机系统所要求的附加用户服务。终

端计算机系统安全子系统应从硬件系统、操作系统、应用系统和系统运行等方面对终端计算机系统进行

安全保护。

注：按照—对（可信计算基）的定义，（终端计算机系统安全子系统）就是终端计算机系

ＧＢ１７８５９１９９９ＴＣＢＳＳＯＴＣＳ

统的ＴＣＢ。

３．１．１４

犛犛犗犜犆犛安全功能犛犛犗犜犆犛狊犲犮狌狉犻狋犳狌狀犮狋犻狅狀

狔

正确实施ＳＳＯＴＣＳ安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成

一个安全功能模块。一个ＳＳＯＴＣＳ的所有安全功能模块共同组成该ＳＳＯＴＣＳ的安全功能。

３．１．１５

犛犛犗犜犆犛安全控制范围犛犛犗犜犆犛狊犮狅犲狅犳犮狅狀狋狉狅犾

狆

ＳＳＯＴＣＳ的操作所涉及的主体和客体。

３．１．１６

犛犛犗犜犆犛安全策略犛犛犗犜犆犛狊犲犮狌狉犻狋狅犾犻犮

狔狆狔

对ＳＳＯＴＣＳ中的资源进行管理、保护和分配的一组规则。一个ＳＳＯＴＣＳ中可以有一个或多个安全

策略。

３．２缩略语

下列缩略语适用于本标准：

２

／—

犌犃犜６７２２００６

ＳＳＯＴＣＳ终端计算机系统安全子系统ｓｅｃｕｒｉｔｓｕｂｓｓｔｅｍｏｆｔｅｒｍｉｎａｌｃｏｍｕｔｅｒｓｓｔｅｍ

ｙｙｐｙ

安全功能ＳＳＯＴＣＳ安全功能ＳＳＯＴＣＳｓｅｃｕｒｉｔｆｕｎｃｔｉｏｎ

ｙ

ＳＳＣＳＳＯＴＣＳ控制范围ＳＳＯＴＣＳｓｃｏｅｏｆｃｏｎｔｒｏｌ

ｐ

ＳＳＰＳＳＯＴＣＳ安全策略ＳＳＯＴＣＳｓｅｃｕｒｉｔｏｌｉｃ

ｙｐｙ

ＴＣＰ可信计算平台ｔｒｕｓｔｅｄｃｏｍｕｔｅｒｌａｔｆｏｒｍ

ｐｐ

４信息安全技术终端计算机系统安全等级评估准则

４．１第一级：用户自主保护级

４．１．１安全功能要求

４．１．１．１物理系统

４．１．１．１．１设备安全可用

评估内容：

见／—中的内容。

ＧＡＴ６７１２００６５．１．１．１．１

对开发者的要求：

开发者应提供文档，说明终端计算机系统的设备提供哪些基本的运行支持措施，提供哪些必要

的容错和故障恢复能力。

评估方法：

ａ）按照开发者提供的文档，逐项验证所提供的运行支持措施是否有效，能否支持终端计算机

系统的基本运行；

ｂ）按照开发者提供的文档，模拟出现一些故障事件（如：调电、硬件故障等），验证终端计算

机系统的容错和故障恢复能力是否有效。

ㅤㅤㅤㅤ

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．１．１．２设备防盗防毁

评估内容：

见／—中的内容。

ＧＡＴ６７１２００６５．１．１．１．２

对开发者的要求：

开发者应提供文档，说明终端计算机系统的设备具有哪些无法除去的标记。

评估方法：

按照开发者提供的文档，尝试使用各种方式除去设备中的标记，检测能否除去。

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．１．２可信计算平台

４．１．１．２．１密码支持

评估内容：

见／—中的内容。

ＧＡＴ６７１２００６５．１．１．３．１

对开发者的要求：

开发者应提供文档和相关证书，说明所使用的密码算法、相关的密码操作以及相关的密钥管理

措施，并证明所使用的密码算法已经通过国家密码管理部门的批准。

评估方法：

ａ）按照开发者提供的文档和相关证书，检测所使用的密码算法，是否已经通过国家密码管理

部门的批准；

ｂ）检测公钥密码算法、对称密码算法、杂凑算法和随机数生成器算法，是采用软件实现，还

是采用硬件实现。如果硬件支持插拔，将硬件拔出，检测能否进行相关密码操作；

）按照开发者提供的文档，检测所有密钥是否受存储根保护。

ｃ

３

／—

犌犃犜６７２２００６

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．１．２．２信任链

评估内容：

见／—中的内容。

ＧＡＴ６７１２００６５．１．１．３．２

对开发者的要求：

开发者应提供文档，说明终端计算机系统如何在系统启动过程中，对、、等部件

ＢＩＯＳＭＢＲＯＳ

进行完整性度量，并说明完整性度量值是否存储在一个受保护的区域中。

评估方法：

ａ）使用各种方法和工具，对ＢＩＯＳ进行修改，启动系统，检测系统能否检测出ＢＩＯＳ的完整性

被破坏；

ｂ）使用各种方法和工具，对ＭＢＲ进行修改，启动系统，检测系统能否检测出ＭＢＲ的完整性

被破坏；

）使用各种方法和工具，对进行修改，启动系统，检测系统能否检测出的完整性被

ｃＯＳＯＳ

破坏；

ｄ）使用各种方法和工具，对存储的完整性度量值进行篡改和破坏，检测系统能否保护完整

性度量值。

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．１．２．３运行时防护

评估内容：

见／—中的内容。

ＧＡＴ６７１２００６５．１．１．３．３

评估方法：

ㅤㅤㅤㅤ

ａ）在系统中植入一个测试用的恶意代码，并运行恶意代码；

ｂ）对文件系统和内存进行扫描，检测系统能否清除或隔离恶意代码；

）检测系统能否对恶意代码特征库进行及时更新。

ｃ

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．１．２．４系统安全性检测分析

评估内容：

见／—中的内容。

ＧＡＴ６７１２００６５．１．１．３．４

对开发者的要求：

开发者应提供文档，说明终端计算机是否经过操作系统安全性检测分析，并且提供相应的检测

分析报告。

评估方法：

ａ）按照开发者提供的文档，检测终端计算机是否经过操作系统安全性检测分析；

ｂ）根据相关的检测报告，判断检测方法是否科学，检测结果是否可信。

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．１．２．５备份与故障恢复

评估内容：

见／—中的内容。

ＧＡＴ６７１２００６５．１．１．３．５

评估方法：

ａ）以用户身份有选择地备份重要数据的功能，对数据进行修改，然后进行恢复，检测能否有

效恢复；

ｂ）对系统定时进行增量备份，对系统数据进行修改，然后进行恢复，检测能否有效恢复。

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４

／—

犌犃犜６７２２００６

／接口配置

４．１．１．２．６犐犗

评估内容：

见／—中的内容。

ＧＡＴ６７１２００６５．１．１．３．６

评估方法：

）以用户身份，在和操作系统中，分别启用串口、并口、、、网卡、硬盘，检测能

ａＢＩＯＳＰＣＩＵＳＢ

否正常使用；

）以用户身份，在和操作系统中，分别禁用串口、并口、、、网卡、硬盘，检测能

ｂＢＩＯＳＰＣＩＵＳＢ

否使用。

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．２犛犛犗犜犆犛自身安全保护

４．１．２．１可信根安全保护

评估内容：

见／—中）的内容。

ＧＡＴ６７１２００６５．１．２．１ａ

对开发者的要求：

开发者应提供文档，说明采取哪些保护措施，以防止存储根和报告根的泄漏和窜改，说明是否

对度量根采取物理保护措施。

评估方法：

ａ）以各种方法和工具，尝试读取、修改存储根和报告根，检测能否尝试成功；

ｂ）按照开发者提供的文档，检测是否对度量根采取物理保护措施，并且检测保护措施的有

效性。

ㅤㅤㅤㅤ

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３犛犛犗犜犆犛设计和实现

４．１．３．１配置管理

评估内容：

见／—中的内容。

ＧＢＴ２０２７１２００６６．１．５．１

评估方法：

评估者应审查开发者提供的配置管理支持文档是否完全符合以下要求：

开发者所使用的版本号与所应表示的终端计算机系统样本应完全对应，没有歧义。

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．２分发和操作

４．１．３．２．１分发

评估内容：

见／—中）的内容。

ＧＢＴ２０２７１２００６６．１．５．２ａ

评估方法：

ａ）评估者应审查开发者是否按分发过程的要求，编制分发文档；

ｂ）评估者应审查分发文档，是否描述给用户分发终端计算机系统时，用以维护安全所必须

的所有过程；

）评估者应审查是否按该过程进行分发。

ｃ

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．２．２操作

评估内容：

见／—中）的内容。

ＧＢＴ２０２７１２００６６．１．５．２ｂ

５

／—

犌犃犜６７２２００６

评估方法：

ａ）评估者应审查操作文档，是否说明了终端计算机系统的安装、生成、启动和使用的过程；

ｂ）用户应能通过此文档了解安装、生成、启动和使用过程。

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．３开发

４．１．３．３．１功能设计

评估内容：

见／—中）的内容。

ＧＢＴ２０２７１２００６６．１．５．３ａ

评估方法：

评估者应审查开发者所提供的信息是否满足如下要求：

ａ）功能设计应使用非形式化风格来描述终端计算机系统安全功能与其外部接口；

ｂ）功能设计应是内在一致的；

）功能设计应描述使用所有外部终端计算机系统安全功能接口的目的与方法，适当的时候，

ｃ

应提供结果影响例外情况和错误信息的细节。

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．３．２高层设计

评估内容：

见／—中）的内容。

ＧＢＴ２０２７１２００６６．１．５．３ｂ

评估方法：

评估者应审查开发者所提供的高层设计文档是否满足如下要求：

ａ）以子系统的观点、以非形式化的方法来一致性地描述终端计算机系统的体系结构；

ㅤㅤㅤㅤ

ｂ）描述每一个子系统所提供的安全功能及其相互关系；

）标识安全功能要求的任何基础性的硬件、固件和／或软件，并且通过这些硬件、固件和／或

ｃ

软件所实现的保护机制，来提供安全功能；

ｄ）标识安全功能子系统的所有接口，并标明安全功能子系统的哪些接口是外部可见的。

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．３．３低层设计

评估内容：

见／—中）的内容。

ＧＢＴ２０２７１２００６６．１．５．３ｃ

评估方法：

评估者应审查开发者所提供的低层设计文档是否满足如下要求：

ａ）低层设计的表示应是非形式化的，内在一致的，并以模块术语描述；

ｂ）描述每一个模块的目的；

）以所提供的安全功能和对其他模块的依赖性术语定义模块间的相互关系；

ｃ

ｄ）描述如何提供每一个安全策略功能的实施；

）标识终端计算机系统安全功能模块的所有接口，标识终端计算机系统安全功能模块的哪

ｅ

些接口是外部可见的，以及描述终端计算机系统安全功能模块所有接口的目的与方法，必

要时，应提供影响、例外情况和错误信息的细节；

）描述如何将终端计算机系统分离成安全策略实施模块和其他模块。

ｆ

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．３．４内部结构设计

评估内容：

见／—中）的内容。

ＧＢＴ２０２７１２００６６．１．５．３ｄ

６

／—

犌犃犜６７２２００６

评估方法：

评估者应审查开发者所提供的信息是否满足如下要求：

ａ）应以模块化方法设计和构建终端计算机系统安全功能，并避免设计模块之间出现不必要

的交互；

ｂ）标识终端计算机系统安全功能模块，并应描述每一个终端计算机系统安全功能模块的目

的、接口、参数和影响；

）描述终端计算机系统安全功能设计是如何使独立的模块间避免不必要的交互作用。

ｃ

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．３．５实现表示设计

评估内容：

见／—中）的内容。

ＧＢＴ２０２７１２００６６．１．５．３ｅ

评估方法：

评估者应审查开发者所提供的信息是否满足如下要求：

应无歧义地为选定的终端计算机系统安全功能子集定义一个详细级别的终端计算机系统安全

功能实现表示，并且实现表示应是内在一致的。

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．３．６对应性设计

评估内容：

见／—中）的内容。

ＧＢＴ２０２７１２００６６．１．５．３ｆ

评估方法：

评估者应审查开发者所提供的信息是否满足如下要求：

ㅤㅤㅤㅤ

应在所提供的终端计算机系统安全功能表示的所有相邻对之间提供其对应性分析，对每个相

邻对，应阐明较为抽象的终端计算机系统安全功能表示的所有相关安全功能在较不抽象的终端计

算机系统安全功能表示中得到正确而完备地细化。

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．４文档要求

４．１．３．４．１管理员指南

评估内容：

见／—中的内容。

ＧＢＴ２０２７１２００６６．１．５．４

评估方法：

评估者应审查开发者是否提供了供系统管理员使用的管理员指南，并且此管理员指南是否包

括如下内容：

ａ）终端计算机系统可以使用的管理功能和接口；

ｂ）怎样安全地管理终端计算机系统；

）在安全处理环境中应进行控制的功能和权限；

ｃ

ｄ）所有对与终端计算机系统的安全操作有关的用户行为的假设；

）所有受管理员控制的安全参数，如果可能，应指明安全值；

ｅ

）每一种与管理功能有关的安全相关事件，包括对安全功能所控制的实体的安全特性进行

ｆ

的改变；

）所有与系统管理员有关的环境的安全要求。

ＩＴ

ｇ

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．４．２用户指南

评估内容：

见／—中的内容。

ＧＢＴ２０２７１２００６６．１．５．４

７

／—

犌犃犜６７２２００６

评估方法：

评估者应审查开发者是否提供了供系统用户使用的用户指南，并且此用户指南是否包括如下

内容：

ａ）终端计算机系统的非管理用户可使用的安全功能和接口；

ｂ）终端计算机系统提供给用户的安全功能和接口的用法；

）用户可获取但应受安全处理环境控制的所有功能和权限；

ｃ

ｄ）终端计算机系统安全操作中用户所应承担的职责；

）与用户有关的环境的所有安全要求。

ｅＩＴ

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．５生存周期支持

评估内容：

见／—中的内容。

ＧＢＴ２０２７１２００６６．１．５．５

评估方法：

评估者应审查开发者所提供的信息是否满足如下要求：

开发者应建立用于开发和维护终端计算机系统的生存周期模型，对终端计算机系统开发和维

护提供必要的控制，并以文档形式描述用于开发和维护终端计算机系统的模型。

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．６测试

４．１．３．６．１功能测试

评估内容：

见／—中）的内容。

ＧＢＴ２０２７１２００６６．１．５．６ａ

ㅤㅤㅤㅤ

评估方法：

ａ）评价开发者提供的测试文档，是否包括测试计划、测试规程、预期的测试结果和实际测试

结果；

ｂ）评价测试计划是否标识了要测试的安全功能，是否描述了测试的目标；

）评价测试规程是否标识了要执行的测试，是否描述了每个安全功能的测试概况（这些概况

ｃ

包括对其他测试结果的顺序依赖性）；

ｄ）评价期望的测试结果是否表明测试成功后的预期输出；

）评价实际测试结果是否表明每个被测试的安全功能能按照规定进行运作。

ｅ

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．１．３．６．２独立性测试

评估内容：

见／—中）的内容。

ＧＢＴ２０２７１２００６６．１．５．６ｂ

评估方法：

ａ）开发者提供的测试文档，应表明安全功能是按规定运作的；

ｂ）开发者应提供与测试相适应的终端计算机系统。

记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。

４．２第二级：系统审计保护级

４．２．１安全功能要求

４．２．１．１物理系统

４．２．１．１．１设备安全可用

评估内容：

见／—中的内容。

ＧＡＴ６７１２００６５．２．１．１．１

８

／—

犌犃犜６７２２００６

对开发者的要求：

开发者应提供文档，说明终端计算机系统的设备提供哪些基本的运行支持措施，提供哪些必要

的容错和故障恢复能力。

评估方法：

ａ）按照开发者提供的文档，逐项验证所提供的运行支持措施是否有效，能否支持终端计算机

系统的基本运行；

ｂ）按照开发者提供的文档，模拟出现一些故障事件（如：调电、硬件故障等），验证终端计算

机系统的容错和故障恢复能力是否有效。

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４．２．１．１．２设备防盗防毁

评估内容：

见／—中的内容。

ＧＡＴ６７１２００６５．２．１．１．２

对开发者的要求：

开发者应提供文档，说明终端计算机系统的设备具有哪些无法除去的标记。

评估方法：

ａ）按照开发者提供的文档，尝试使用各种方式除去设备中的标记，检测能否除去；

ｂ）检测终端计算机系统的主机是否具有机箱封装保护，能否防止部件损害或被盗。

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４．２．１．２可信计算平台

４．２．１．２．１密码支持

评估内容：

ㅤㅤㅤㅤ

见／—中的内容。

ＧＡＴ６７１２００６５．２．１．３．１

对开发者的要求：

开发者应提供文档和相关证书，说明所使用的密码算法、相关的密码操作以及相关的密钥管理

措施，并证明所使用的密码算法已经通过国家密码管理部门的批准。

评估方法：

ａ）按照开发者提供的文档和相关证书，检测所使用的密码算法，是否已经通过国家密码管理

部门的批准；

ｂ）检测公钥密码算法、对称密码算法、杂凑算法和随机数生成器算法，是采用软件实现，还

是采用硬件实现。如果硬件支持插拔，将硬件拔出，检测能否进行相关密码操作；

）按照开发者提供的文档，检测所有密钥是否受存储根保护。

ｃ

记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。

４．２．１．２．２信任链

评估内容：

见