DOC《附件3》

2 2.安全性设计

2 3.安全性分析与评估

3 安全性需求分析 针对产品的应用领域和应用环境,从信息安全的角度分析应用面临的安全风险以及产品本身可能存在的安全威胁,提出产品安全性设计总体目标,满足GM/T 0008-2012《安全芯片密码检测准则》的安全等级,需要提供的密码功能以及安全防护要求等. 安全性设计 围绕上述安全性需求分析,从如下方面阐述产品安全性设计及其实现方式: (1)密码算法 包括使用密码算法种类、工作模式及其用途,各密码算法实现方式(软件、硬件、软硬结合等). (2)密钥管理 密钥管理体系或逻辑结构、密钥种类、密钥长度、用途及与对应密码算法的关系,可采取表格形式并附以文字说明;

各类密钥和关键敏感数据的生成、分发、使用、存储、备份、更换、销毁等全生命周期管理. 存储空间安全管理机制. (3)密码协议 针对通信保护、安全认证、密钥协商等密码协议,分别描述协议用途、安全目标、协议要素(包含协议主体、使用的算法和工作模式、密钥等)、协议流程、协议数据结构等. (4)角色及其管理策略 说明角色及其管理策略设计原则,描述定义的各类角色、权限定义、身份认证机制、系统服务访问控制策略等. 可无此部分内容. (5)软件安全 描述自主设计开发的软件安全性设计和完整性保护措施,以及使用的操作系统、数据库、防火墙、防病毒、入侵检测等第三方软件来源、版本号和安全增强措施. 可无此部分内容. (6)硬件安全 针对常见的各类物理攻击手段,实现的各类静态安全保护和运行时动态防护措施,包括上电、复位和运行中的硬件、密码算法、随机数自检方式和检查内容,掉电保护及电磁兼容性措施,以及防窥探、防拆卸、防解剖等物理防护措施. (7)应用安全 描述针对产品主要业务安全需求进行的硬件、业务流程、数据格式、使用方式等方面的安全性设计. 可无此部分内容. (8)运行安全 描述数据备份及恢复、服务连续性保障措施,本地或远程管理的安全措施;

以及产品运行环境的安全防护设计;

描述日志审计的设计策略,记录信息的主要类型和主要内容等. 可无此部分内容. (9)研发生产管理安全 描述产品的软硬件开发、测试、生产、制造环境,人员管理,制度建设、质量和服务保障等安全性相关措施. (10)其他安全性设计 应包括如下方面的安全设计,并详细描述: 防非侵入式攻击防护 计时攻击的防护 描述对密钥计算的时序攻击防护方案 SPA/DPA防护 分别描述对各密钥计算的SPA/DPA的防护方案 电磁分析攻击防护 描述对各密钥计算的电磁泄露的防护方案 故障攻击防护 描述各密码计算的故障攻击方案 其他针对密钥攻击的防护措施 固件安全设计 描述固件掩膜、存取控制方案、状态控制方案、固件对敏感数据保护方案、固件异常控制方案等. 版图保护 描述版图的保护措施,如钝化层、有源屏蔽、关键信号隐藏等,应同时提供各区域及防护措施的版图. 密钥及敏感信息的自毁 描述密钥及敏感信息的自毁触发条件、自毁方案等. 防侵入式攻击防护 描述针对各种侵入攻击的防护方案,包括对测试模式的防护、存储区的防护、总线物理探测防护等. 按照GM/T 0008-2012《安全芯片密码检测准则》安全等级第X级要求,应具有的其他安全性设计内容,如产品不涉及相关内容,可不予描述.如不描述,请注意编号连续. 安全性分析与评估 针对安全性需求分析,结合产品采取的安全性设计,分析产品达到的实际目标,并与预期的安全性设计总体目标进行评估. 用户手册 目录用户手册 描述产品满足的GM/T 0008-2012《安全芯片密码检测准则》安全等级,支持的密码算法、软硬件环境、具备功能、主要技术指标和操作指南,指导用户安装、使用产品.对于密码芯片,至少应该包括指令集定义、二次开发说明、管脚定义等内容. 用户手册中提及的密码算法、主要功能、密码部件应与前述技术工作总结报告和安全性设计报告内容一致.