证书号.docx
《证书号.docx》由会员分享,可在线阅读,更多相关《证书号.docx(9页珍藏版)》请在冰豆网上搜索。
证书号
证书号:
国家信息安全测评认证
分级认证维持申请书
申请单位(公章):
产品名称:
获证版本及型号:
当前版本及型号:
填写日期:
中国信息安全产品测评认证中心
填写公告
1.本申请书适用于具备以下条件之一的获证产品:
1)获证产品三年有效期届满;
2)在证书有效期内,获证产品版本变更和/或质量保证体系发生重大变更的;
3)希望证书扩展到TOE同系列产品。
2.针对TOE的具体变化情况,必要时,认证中心可能需要获证厂商补充更为详细的资料,用于分级维持的测试工作。
3.对于通过了认证维持的产品,获证厂商将享受以下便利:
1)获得产品当前最新版本的证书;
2)在该产品出现其他同系列产品之后,可获得证书扩项。
4.若为版本升级而更换证书,申请时应提交本申请书的纸版和电子版(光盘)各一份。
并将原证书一并上交。
5.申请方在提交本申请时应一并交纳申请费2000元。
6.本申请书的质量直接影响认证维持的时间和费用。
7.未符合以上条件,不予以受理。
8.垂询电话:
68428899-8057、8059
地址:
北京市海淀区西三环北路27号北科大厦9层100089
目录
申请单位基本情况1
申请产品基本信息2
认证维持申请声明3
认证维持基本信息4
附件1安全目标5
附件2功能规范11
附件3高层设计12
附件4指导性文档13
附件5:
测试相关文档14
附件6:
脆弱性文档15
附件7:
变更说明16
申请单位基本情况
申请单位全称(中文):
申请单位全称(英文):
通讯地址:
邮编:
通讯地址(英文):
申请单位网址:
法定代表人姓名/职务:
手机:
长期联系人姓名:
职务:
联系方式:
电话
传真
手机
电子邮箱
工商登记注册号(附企业法人营业执照副本或上级主管部门批准成立文件复印件):
法人机构代码(附法人机构代码证副本复印件):
其他证明文件:
对本产品采用的加密方式和算法,请另附页说明。
并提供国家密码主管部门对算法的批文文号:
以及相应文件的复印件,另外商密科研、生产定点单位还应提供有关的授权证明(附复印件)。
本页要求的有关基本信息将作为证书确认内容,如有变更,请主动与我中心及时联系。
申请产品基本信息
产品名称(中文):
产品名称(英文):
型号及版本号:
使用商标:
产品形态:
软件□硬件□固件□
设计研发单位:
代码来源:
自主开发□改造□引进国外产品□
生产厂商:
应用领域:
政府部门□金融部门□企事业□其他□
产品价格:
该产品同系列其他产品有:
本页要求的有关基本信息将作为证书确认内容,如有变更,请主动与我中心及时联系。
认证维持申请声明
本单位申请维持国家信息安全认证,愿意遵守《中华人民共和国认证认可条例》及相关规章的规定,按照中国信息安全产品测评认证中心有关规定和程序,严格履行认证维持活动全过程中有关申请、评估、测试和审核等各项要求,保证申请资料中所有内容的真实性和准确性,接受证后监督和维持的结论。
无论本次认证维持的最终结果如何,有关认证维持的费用,均按要求及时缴纳。
特此声明
负责人(签字):
申请单位(公章):
年月日
认证维持基本信息
申请单位
产品名称及版本
证书编号
获证日期
依据标准
认证维持主要原因
认证到期□
获证产品版本升级□
将证书扩展到同种系列产品□
产品更名□
公司更名(含产权过户)□
其他□
当前产品相对于获证产品的主要变化
经办人签字
申请单位盖章
(如证书改由其他单位持有,请分别加盖公章)
备注
如果本产品还获得了其他机构颁发的证书,请在备注中列举说明并提供证书复印件。
附件1安全目标
说明:
申请者提供的文档《安全目标》(《安全目标》编写方法参见《PP和ST产生指南》)应包括如下内容:
1.1引言
1.1.1ST和TOE的标识
1)包括ST标识信息,如ST标题、版本号、出版日期和作者;
2)包括TOE标识信息,如TOE名称、TOE版本号;
3)包括开发此ST所依据的国家标准GB/T18336或PP的标识信息:
版本号,名称和出版日期。
1.1.2ST概述
ST概括介绍TOE的主要组成、功能、应用环境。
1.1.3一致性声明
列出TOE与国家标准GB/T18336和PP的符合性声明。
说明TOE安全功能强度等级:
基本级功能强度(SOF-basic)、中级功能强度(SOF-medium)、高级功能强度(SOF-high)。
1.2TOE描述
1.2.1产品类型
介绍TOE所属的产品类型,如防火墙、智能卡、加密调制解调器、Web服务器和企业内部网等。
1.2.2TOE结构
详细介绍TOE的组成,如TOE由几个模块或子系统组成,每个模块或子系统的组成及其功能和TOE
各个组成部分对运行环境的要求等。
1.2.3TOE的范围和边界
1)物理范围和边界,详细介绍构成TOE的硬件、软件和固件,并介绍TOE的配置;
2)逻辑范围和边界,描述TOE提供的IT安全特征。
1.2.4应用环境
描述TOE的使用环境及在其中发挥的作用。
1.3TOE安全环境
1.3.1假设
1)包括TOE预期使用方面的假设,如TOE预期应用、需要TOE保护的资产的潜在价值、以及使用
TOE可能存在的限制;
2)包括为保证TOE安全地行使功能,对TOE使用环境的物理、人员、连接性方面的假设:
a)物理方面,对TOE的物理位置或附加外围设施做的假设;
b)人员方面,对安全环境内的用户和TOE管理员,或其他人员所作的假设;
c)连接性方面,对TOE与TOE之外的IT产品或系统相连的假设。
3)列出上述所有的假设(对假设进行标识并作出相应的解释)。
1.3.2威胁
列出所有与TOE安全运行相关的威胁(对威胁进行标识并作出相应的解释)。
1.3.3组织安全策略
主要包括TOE及其应用环境必须遵守的法律、法规、规定或指南。
1.4安全目的
列出所有的安全目的:
TOE安全目的和环境安全目的,并对确定每个安全目的的理由作出详细地解释。
如这个安全目的能够对抗前文中所述的哪些威胁,满足了哪些组织安全策略或假设。
1.5IT安全要求
如果有对应的PP,这部分按照PP的相应部分来写,否则,按照下面的要求来提供IT安全要求。
详细描述TOE或其环境应满足的IT安全要求:
TOE安全要求和IT环境安全要求,最好参照国家标准GB/T18336第二部分或第三部分要求的表述方式。
TOE安全要求指的是为实现TOE安全目的而提出要求,TOE及其相关的支持性文档应满足的这些要求。
IT环境安全要求指的是为实现IT环境安全目的,必须通过其应用环境、而非TOE本身满足的要求。
1)TOE安全要求包括TOE安全功能要求和TOE安全保证要求。
a)TOE安全功能要求主要指的是从GB/T18336第二部分功能要求组件中抽取的那些功能要求,还可以有非GB/T18336第二部分功能要求组件中的功能要求;
b)TOE安全保证要求主要指的是从GB/T18336第三部分保证要求组件中抽取的那些保证要求,还可以有非GB/T18336第三部分保证要求组件中的保证要求。
2)IT环境安全要求应确定TOE的IT环境应满足的IT安全要求。
IT环境安全要求包含IT环境安全功能要求和IT环境安全保证要求。
例如,TOE为防火墙产品,它依赖底层操作系统,操作系统提供管理员的身份认证和审计数据的永久储存。
因此,IT环境安全要求应包含FAU类和FIA类(参见GB/T18336第二部分)的功能组件。
1.6TOE概要规范
TOE概要规范指的是TOE安全要求的具体实现,应详细描述符合TOE安全要求的TOE安全功能和保证措施。
1)TOE安全功能包含IT安全功能,并说明这些功能是如何满足TOE安全功能要求的。
可以通过功能和要求间双向映射的方式来表达。
2)TOE的保证措施应列出所有符合TOE安全要求的保证措施,并说明这些保证措施是如何满足TOE安全保证要求的。
可以通过保证措施和要求间双向映射的方式来表达。
1.7PP声明
如果在ST引言中声称符合一个或多个PP,本节应该介绍这些PP,还应说明为满足ST要求,对PP进行的裁剪和附加项。
1.8基本原理
1.8.1安全目的基本原理
阐明安全目的能够映射到TOE安全环境里的所有方面:
假设、威胁和组织安全策略:
1)这些安全目的符合了列出的所有假设和组织安全策略的要求,能够对抗列出的所有威胁;
2)所有安全目的都是必需的;
3)可以通过安全目的和TOE安全环境(假设、威胁和组织安全策略)间双向映射的方式来表达。
1.8.2安全要求基本原理
阐明TOE及其环境安全要求适于满足、并能够映射到安全目的:
1)TOE及其安全环境的功能和保证要求组件能够满足列出的所有安全目的;
2)所有TOE及其环境安全要求组件都是必需的;
3)可以通过TOE及其环境安全要求和安全目的间双向映射的方式来表达。
1.8.3TOE概要规范基本原理
说明TOE安全功能和保证措施适于满足TOE安全要求:
1)TOE安全功能能协同运作,满足TOE安全功能要求;
2)TOE功能强度声明是有效的;
3)TOE保证措施与保证要求相一致的声明是合理的。
1.8.4PP声明基本原理
解释ST安全目的和要求与所有声明一致的PP之间的区别。
没有区别,则无须说明。
附件2功能规范
说明:
描述TOE安全功能及其所有外部接口;
TOE安全功能描述应比ST中TOE概要规范的安全功能描述更详尽。
附件3高层设计
说明:
高层设计应满足所有的ST安全功能要求。
可以从TOE安全功能子系统的角度,对每个子系统的安全功能进行描述,并标识所有子系统接口和子系统外部可见接口。
如果TOE安全功能的实现依赖IT环境的安全要求,那么还要描述在底层硬件、固件、软件中实现的保护支持机制提供的功能。
附件4指导性文档
说明:
4.1用户指南
应详细说明TOE安全功能和接口及有关TOE安全使用方面的信息。
4.2管理员指南
应就管理员如何以安全方式管理TOE进行详细而全面地说明。
附件5:
测试相关文档
说明:
包括测试文档、测试范围分析和测试深度分析。
附件6:
脆弱性文档
说明:
包括TOE安全功能强度分析和脆弱性分析。
6.1TOE安全功能强度分析
对在ST中做出安全功能强度声明的安全功能进行分析。
6.2脆弱性分析
阐明经过在TOE所有有关领域(如所有提交评估的文档和TOE本身等)的查找,在预期使用环境中TOE是否存在明显可利用的脆弱性;如果有,应列出所有存在的明显脆弱性,并加以说明,如在预计的环境中是否有阻止利用明显脆弱性的措施。
附件7:
变更说明
说明:
如有产品变更详细说明变更部分。