2022信息技術安全技術數(shù)據(jù)備份與恢復產品技術要求與測試評價方法

信息安全技術

數(shù)據(jù)備份與恢復產品技術要求

與測試評價方法

目次

目次.......................................................................................I

前言......................................................................................II

1范圍.....................................................................................1

2規(guī)范性引用文件..........................................................................1

3術語和定義..............................................................................1

4縮略語..................................................................................2

5總體描述................................................................................2

6安全技術要求............................................................................4

6.1安全功能要求........................................................................4

6.2自身安全要求.......................................................................6

6.3安全保障要求.......................................................................7

7測評方法...............................................................................10

7.1測試環(huán)境與工具....................................................................10

7.2安全功能要求測試..................................................................10

7.3自身安全測試......................................................................18

7.4安全保障評估方法..................................................................20

附錄A（規(guī)范性附錄）數(shù)據(jù)備份與恢復產品等級劃分....................................26

附錄B（資料性附錄）性能指標與測試................................................28

信息安全技術

數(shù)據(jù)備份與恢復產品技術要求與測試評價方法

1范圍

本標準規(guī)定了數(shù)據(jù)備份與恢復產品安全功能要求、自身安全要求、安全保障要求與測試評價方法。

本標準適用于對數(shù)據(jù)備份與恢復產品的研制、生產、測試和評價。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是

不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2010信息安全技術術語

GB/T18336.1-2015信息技術安全技術信息技術安全評估準則第1部分：簡介和一般模型

3術語和定義

GB/T18336.1-2015和GB/T25069-2010界定的以及下列術語和定義適用于本文件。

3.1

備份數(shù)據(jù)backupdata

存儲在（通常可移動的）非易失性存儲介質上某一時間點的數(shù)據(jù)集合。

3.2

備份backup

創(chuàng)建備份數(shù)據(jù)的過程。

3.3

數(shù)據(jù)恢復datarecovery

利用備份數(shù)據(jù)將目標數(shù)據(jù)還原為某一備份時間點的內容或狀態(tài)的過程。

3.4

快照snapshot

指定數(shù)據(jù)集合的一個完整可用的拷貝，其中包含數(shù)據(jù)在拷貝啟動時間點的映像。

3.5

備份對象backupobject

需要進行備份的數(shù)據(jù)集合。

3.6

備份介質backupmedia

存放備份數(shù)據(jù)的非易失性儲存物理載體。

3.7

備份系統(tǒng)backupsystem

實現(xiàn)數(shù)據(jù)備份與數(shù)據(jù)恢復的相關軟件和硬件組成的系統(tǒng)。

3.8

備份服務器backupserver

數(shù)據(jù)備份與恢復產品中提供系統(tǒng)管理和控制服務的部分。

3.9

完全備份fuIIbackup

備份所有指定的數(shù)據(jù)對象的過程，不論這些數(shù)據(jù)自上次備份后是否被更改。完全備份是增量備份的基

礎。

3.10

增量備份incrementalbackup

僅備份自上次備份后更改過的數(shù)據(jù)對象。

3.11

差量備份differentialbackup

備份自上次完全備份后更改過的數(shù)據(jù)對象。

3.12

持續(xù)數(shù)據(jù)保護continuesdataprotection

可以實現(xiàn)持續(xù)捕捉或跟蹤目標數(shù)據(jù)所發(fā)生的任何改變，并且能夠恢復到此前任意時間點的方法。

3.13

垃圾數(shù)據(jù)garbagedata

基于一定的備份與恢復策略，在備份過程中產生的對數(shù)據(jù)恢復無用的數(shù)據(jù)。

4縮略語

下列縮略語適用于本文件。

CDP：持續(xù)數(shù)據(jù)保護(ContinuesDataProtection)

5總體描述

數(shù)據(jù)備份與恢復產品是指實現(xiàn)和管理信息系統(tǒng)數(shù)據(jù)備份和恢復過程的產品，其產品邏輯結構圖示例如

下如所示：

2

備份服務器

備份服務器

存儲服務器

（磁帶庫）

備份代理端

（Agent）

圖1數(shù)據(jù)備份與恢復產品典型邏輯結構圖

備份服務器提供備份管理平臺，管理備份代理端、存儲服務器的接入，統(tǒng)一監(jiān)控和管理各客戶端資源的

備份、恢復和數(shù)據(jù)高可用等業(yè)務信息，并保存?zhèn)浞菁南嚓P信息。備份服務器是數(shù)據(jù)備份管理系統(tǒng)的核心模塊,

所有系統(tǒng)任務、用戶操作均由它統(tǒng)一調度執(zhí)行，包括作業(yè)調度下發(fā)、介質讀寫管理等

存儲服務器負責接收和存儲備份數(shù)據(jù)（備份集、CDP數(shù)據(jù)等），通過快照等技術實現(xiàn)業(yè)務系統(tǒng)及數(shù)

據(jù)的存儲，從而實現(xiàn)對非結構化數(shù)據(jù)、數(shù)據(jù)庫等不同類型數(shù)據(jù)的完全備份、增量備份、差量備份等備份方式。

備份代理端部署在客戶端服務器，用于對客戶端備份資源的整合，以便在連入備份服務器后，由備份

服務器進行統(tǒng)一操作管理。備份代理是安裝在生產系統(tǒng)中提供備份數(shù)據(jù)抓取服務的客戶端代理。負責從目標服

務器獲取數(shù)據(jù)，并進行數(shù)據(jù)刪重和加密處理，然后傳輸至存儲服務器進行存儲，并傳輸至備份服務器進行備份

歸檔。

備份服務器（磁帶庫）提供磁帶歸檔，將存儲服務器中備份的數(shù)據(jù)歸檔至物理磁帶中，實現(xiàn)數(shù)據(jù)長期

保存，滿足法規(guī)要求、經濟高效的歸檔需求。

數(shù)據(jù)備份與恢復產品安全技術要求分為安全功能要求、自身安全要求、安全保障要求三個大類。其

中，安全功能要求是對數(shù)據(jù)備份與恢復產品應具備的通用功能提出具體要求，主要包括備份對象、備份方

式、備份模式、備份介質、備份策略、恢復功能、平臺支持、系統(tǒng)管理、附加功能等；自身安全要求針對數(shù)

據(jù)備份與恢復產品的自身安全提出具體要求，主要包括身份鑒別、訪問控制、安全審計、數(shù)據(jù)保護、功能保護

等；安全保障要求針對數(shù)據(jù)備份與恢復產品的生命周期過程提出具體要求，主要包括開發(fā)、指導性文檔、生命周

期支持、測試、脆弱性評定等。

數(shù)據(jù)備份與恢復產品的安全等級分為基本級和增強級（加粗宋體字）。安全功能與自身安全的強弱、以

及安全保障要求的高低是等級劃分的具體依據(jù)，安全等級突出安全特性，具體安全技術要求的等級劃分詳見附

勤。

3

6安全技術要求

6.1安全功能要求

6.1.1備份對象支持

應能對其聲明支持的備份對象、備份內容進行備份和恢復，常見的備份對象有數(shù)據(jù)庫、數(shù)據(jù)卷、文件、

操作系統(tǒng)等，常見的備份內容有備份對象的數(shù)據(jù)、結構等。

6.1.2運行平臺支持

在產品聲明支持的操作系統(tǒng)平臺下，產品所有組件的所有功能應能正常運行。

6.1.3云環(huán)境適應性（有則適用）

6.1.3.1云環(huán)境部署支持

應支持部署于云環(huán)境，產品所有組件的所有功能應能正常運行。

6.1.3.2云環(huán)境備份支持

應支持云環(huán)境中操作系統(tǒng)、文件、數(shù)據(jù)庫、虛擬機整機等備份對象的備份與恢復，支持基于云端存儲的

備份與恢復。

6.1.4備份方式支持

應支持完全備份、增量備份、差量備份等備份方式。

6.1.5備份模式支持

應支持網絡備份模式，能通過網絡備份和恢復數(shù)據(jù)。

6.1.6備份介質支持

應支持至少一種備份介質，常見的備份介質有磁盤、磁帶、光盤等。

6.1.7備份策略支持

6.1.7.1策略定制

應能對備份對象、備份時間、備份方式、備份介質等制定備份策略。

6.1.7.2策略管理

應支持對備份策略進行添加、刪除、修改、保存等操作。

6.1.7.3其它備份策略

應至少支持一種其它備份策略，如有備份數(shù)據(jù)保存時間、備份作業(yè)循環(huán)、備份作業(yè)開始或結束條件、自定

義備份策略等。

6.1.8恢復功能支持

6.1.8.1恢復內容選擇

應能選擇全部或部分備份數(shù)據(jù)進行恢復，恢復后的數(shù)據(jù)應與原數(shù)據(jù)一致。

6.1.8.2恢復重定向

應支持將備份數(shù)據(jù)恢復到與備份對象不同的主機或目錄中的功能。

6.1.8.3恢復時間點選擇

應能選擇不同備份時間點的備份數(shù)據(jù)進行恢復。

6.1.8.4恢復自動化

應支持通過恢復過程自動執(zhí)行的方式，快速恢復備份數(shù)據(jù)。

6.1.8.5恢復缺失文件

應支持標識已缺失的備份對象的文件，并能夠對已缺失的文件進行恢復。

6.1.9系統(tǒng)管理功能

6.1.9.1任務監(jiān)控告警

應能監(jiān)控并記錄備份恢復任務的執(zhí)行情況，當任務未成功執(zhí)行時，告警提示。

6.1.9.2備份存儲空間監(jiān)控告警

應能監(jiān)控備份存儲空間使用情況，當存儲空間已滿或達到閾值時，告警提示。

6.1.9.3報表功能

應能提供作業(yè)狀態(tài)和設備狀態(tài)的報表。

6.1.9.4垃圾數(shù)據(jù)清理

應支持清理備份恢復作業(yè)過程中產生的垃圾數(shù)據(jù)。

6.1.9.5磁帶管理（有則適用）

應能對磁帶進行管理，如磁帶出入庫、磁帶重用等。

6.1.10附加功能

6.1.10.1斷點續(xù)傳

應支持斷點續(xù)傳功能，在異常狀態(tài)（如網絡故障）恢復后，被中斷的備份任務能自動從上次中斷的位

置起恢復作業(yè)或通過新任務恢復剩余作業(yè)。

6.1.10.2快照支持

應支持快照技術，保證備份對象在備份時間點的數(shù)據(jù)一致性。

6.1.10.3緩存支持

應為備份和恢復作業(yè)提供高速緩存支持，以提高備份和恢復作業(yè)的性能。

6.1.10.4壓縮傳輸

5

應支持將備份數(shù)據(jù)壓縮傳輸。

6.1.10.5壓縮存儲

應支持將備份數(shù)據(jù)壓縮存儲。

6.1.10.6重復數(shù)據(jù)刪除（有則適用）

應支持重復數(shù)據(jù)刪除功能。

6.1,11持續(xù)數(shù)據(jù)保護CDP（有則適用）

6.1.11.1數(shù)據(jù)跟蹤捕獲

應支持數(shù)據(jù)跟蹤捕獲功能，能對備份對象數(shù)據(jù)的改變進行連續(xù)的跟蹤和捕獲。

6.1.11.2任意時間點恢復

應支持任意時間點恢復功能，管理員無需事先定義目標恢復點，即可在任意時間點恢復目標數(shù)據(jù)。

6.2自身安全要求

6.2.1身份鑒別

產品的身份鑒別功能要求包括但不限于：

a）應對用戶身份進行標識和鑒別，用戶標識應具有唯一性；

b）應對用戶身份鑒別信息進行安全保護，保障用戶鑒別信息存儲和傳輸過程中的保密性；

c）應提供登錄失敗處理功能，如限制連續(xù)的非授權登錄嘗試次數(shù)等相關措施；

d）應提供登錄超時鎖定功能，當?shù)卿涍B接超時自動退出：

e）在采用基于口令的身份鑒別時，要求對用戶設置的口令進行復雜度檢查，確保用戶口令滿足一定

的復雜度要求；

f）當產品中存在默認口令時，應在用戶首次登錄時提示用戶對默認口令進行修改；

g）應對授權管理員選擇兩種或兩種以上組合的鑒別技術進行身份鑒別。

h）超時退出和會話鎖定后，應再次進行身份鑒別才能夠重新管理備份系統(tǒng)。

6.2.2訪問控制

應能對備份系統(tǒng)中與安全相關的所有操作設置訪問控制策略，例如，備份作業(yè)、日志訪問、策略管理、

備份數(shù)據(jù)訪問等。

6.2.3安全審計

產品的安全審計功能要求包括但不限于：

a）應能對備份系統(tǒng)的身份鑒別、策略管理、備份作業(yè)、恢復作業(yè)等事件，以及管理員和用戶的各類

操作進行審計；

b）審計記錄中應至少包括事件發(fā)生的日期和時間、事件主/客體身份、事件內容、事件的結果（如成

功或失?。┑葍热?，且易于閱讀；

c）產品應保證只有授權管理員才能訪問相應的審計記錄，應保護存儲的審計記錄免遭未授權的刪除

和修改。

6.2.4數(shù)據(jù)保護

6

產品的數(shù)據(jù)保護功能要求包括但不限于：

a）應能對數(shù)據(jù)在備份、恢復過程中的完整性進行檢驗；

b）應能在備份和恢復過程中利用編碼、協(xié)議等方式增加數(shù)據(jù)傳輸安全性；

c）應能以非明文的方式將備份數(shù)據(jù)存儲于備份介質上；

d）應提供完整性校驗機制，保證備份數(shù)據(jù)完整性，一旦發(fā)現(xiàn)完整性破壞應及時告警。

6.2.5功能保護

產品的功能保護包括但不限于：

a）應監(jiān)控產品關鍵功能的運行狀態(tài)，并對功能失效等異常狀態(tài)進行提示或報警。

b）應提供產品關鍵功能失效時的保護機制，如系統(tǒng)自動恢復、人工干預恢復。

6.3安全保障要求

6.3.1開發(fā)

6.3.1.1安全架構

開發(fā)者應提供產品安全功能的安全架構描述，安全架構描述應滿足以下要求:

a）與產品設計文檔中對安全功能實施抽象描述的級別一致；

b）描述與安全功能要求一致的產品安全功能的安全域；

c）描述產品安全功能初始化過程為何是安全的；

d）證實產品安全功能能夠防止被破壞；

e）證實產品安全功能能夠防止安全特性被旁路。

6.3.1.2功能規(guī)范

開發(fā)者應提供完備的功能規(guī)范說明，功能規(guī)范說明應滿足以下要求:

a）完全描述產品的安全功能；

b）描述所有安全功能接口的目的與使用方法；

c）標識和描述每個安全功能接口相關的所有參數(shù)；

d）描述安全功能接口相關的安全功能實施行為；

e）描述由安全功能實施行為處理而引起的直接錯誤消息；

f）證實安全功能要求到安全功能接口的追溯；

g）描述安全功能實施過程中，與安全功能接口相關的所有行為；

h）描述可能由安全功能接口的調用而引起的所有直接錯誤消息。

6.3.1.3實現(xiàn)表示

開發(fā)者應提供全部安全功能的實現(xiàn)表示，實現(xiàn)表示應滿足以下要求：

a）提供產品設計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；

b）按詳細級別定義產品安全功能，詳細程度達到無須進一步設計就能生成安全功能的程度:

c）以開發(fā)人員使用的形式提供。

6.3.1.4產品設計

開發(fā)者應提供產品設計文檔，產品設計文檔應滿足以下要求:

a）根據(jù)子系統(tǒng)描述產品結構；

b）標識和描述產品安全功能的所有子系統(tǒng)；

7

C）描述安全功能所有子系統(tǒng)間的相互作用；

d）提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能接口；

e）根據(jù)模塊描述安全功能；

f）提供安全功能子系統(tǒng)到模塊間的映射關系；

g）描述所有安全功能實現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；

h）描述所有實現(xiàn)模塊的安全功能要求相關接口、其它接口的返回值、與其它模塊間的相互作用及

調用的接口；

i）描述所有安全功能的支撐或相關模塊，包括其目的及與其它模塊間的相互作用.

6.3.2指導性文檔

6.3.2.1操作用戶指南

開發(fā)者應提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對

每一種用戶角色的描述應滿足以下要求：

a）描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權，包含適當?shù)木拘畔ⅲ?/p>

b）描述如何以安全的方式使用產品提供的可用接口；描述產品支持的存儲介質及對存儲介質的保護;

c）描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時指明安全值；

d）明確說明與需要執(zhí)行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能所控制實

體的安全特性；

e）標識產品運行的所有可能狀態(tài)（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全

運行之間的因果關系和聯(lián)系；

f）充分實現(xiàn)安全目的所必須執(zhí)行的安全策略。

6.3.2.2準備程序

開發(fā)者應提供產品及其準備程序，準備程序描述應滿足以下要求：

a）描述與開發(fā)者交付程序相一致的安全接收所交付產品必需的所有步驟；

b）描述安全安裝產品及其運行環(huán)境必需的所有步驟。

6.3.3生命周期支持

6.3.3.1配置管理能力

開發(fā)者的配置管理能力應滿足以下要求：

a）為產品的不同版本提供唯一的標識；

b）使用配置管理系統(tǒng)對組成產品的所有配置項進行維護，并唯一標識配置項；

c）提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法；

d）配置管理系統(tǒng)提供一種自動方式來支持產品的生成，通過該方式確保只能對產品的實現(xiàn)表示進

行已授權的改變；

e）配置管理文檔包括一個配置管理計劃，配置管理計劃描述如何使用配置管理系統(tǒng)開發(fā)產品。實

施的配置管理與配置管理計劃相一致；

f）配置管理計劃描述用來接受修改過的或新建的作為產品組成部分的配置項的程序。

6.3.3.2配置管理范圍

開發(fā)者應提供產品配置項列表，并說明配置項的開發(fā)者。配置項列表應包含以下內容:

8

a）產品、安全保障要求的評估證據(jù)和產品的組成部分；

b）實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。

6.3.3.3交付程序

開發(fā)者應使用一定的交付程序交付產品，并將交付過程文檔化。在給用戶方交付產品的各版本時，

交付文檔應描述為維護安全所必需的所有程序。

6.3.3.4開發(fā)安全

開發(fā)者應提供開發(fā)安全文檔。開發(fā)安全文檔應描述在產品的開發(fā)環(huán)境中，為保護產品設計和實現(xiàn)的

保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。

6.3.3.5生命周期定義

開發(fā)者應建立一個生命周期模型對產品的開發(fā)和維護進行的必要控制，并提供生命周期定義文檔描

述用于開發(fā)和維護產品的模型。

6.3.3.6工具和技術

開發(fā)者應明確定義用于開發(fā)產品的工具，并提供開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含義

和所有依賴于實現(xiàn)的選項的含義。

6.3.4測試

6.3.4.1測試覆蓋

開發(fā)者應提供測試覆蓋文檔，測試覆蓋描述應滿足以下要求：

a）表明測試文檔中所標識的測試與功能規(guī)范中所描述的產品的安全功能間的對應性；

b）表明上述對應性是完備的，并證實功能規(guī)范中的所有安全功能接口都進行了測試。

6.3.4.2測試深度

開發(fā)者應提供測試深度的分析。測試深度分析描述應滿足以下要求：

a）證實測試文檔中的測試與產品設計中的安全功能子系統(tǒng)和實現(xiàn)模塊之間的一致性；

b）證實產品設計中的所有安全功能子系統(tǒng)、實現(xiàn)模塊都已經進行過測試。

6.3.4.3功能測試

開發(fā)者應測試產品安全功能，將結果文檔化并提供測試文檔。測試文檔應包括以下內容：

a）測試計劃，標識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其它測試結果的任

何順序依賴性；

b）預期的測試結果，表明測試成功后的預期輸出；

c）實際測試結果和預期的測試結果一致。

6.3.4.4獨立測試

開發(fā)者應提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。

6.3.5脆弱性評定

基于已標識的潛在脆弱性，產品能夠抵抗以下攻擊行為;

9

a）具有基本攻擊潛力的攻擊者的攻擊；

b）具有增強型基本攻擊潛力的攻擊者的攻擊。

7測評方法

測評方法包括針對基本級產品和增強級產品的安全功能要求、自身安全要求的測試和安全保障要求的

評估。有關性能指標和測試方法參見附錄B。

7.1測試環(huán)境與工具

典型的數(shù)據(jù)備份與恢復產品測試環(huán)境如圖1所示：

圖2數(shù)據(jù)備份與恢復產品測試環(huán)境示意圖

7.2安全功能要求測試

7.2.1備份對象支持

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔配置備份對象、備份內容及測試環(huán)境；

2）執(zhí)行備份操作，并確認備份成功；

3）移除備份對象；

4）利用備份數(shù)據(jù)進行恢復；

5）驗證恢復后的數(shù)據(jù)是否與備份對象一致且可用。

b）預期結果：

產品能對其聲明支持的備份對象、備份內容進行備份和恢復。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.2運行平臺支持

10

本項測試評價方法如下：

a）測試方法：

1）在既定的操作系統(tǒng)平臺上部署產品；

2）配置能夠完成產品所有功能測試的環(huán)境；

3）對產品的所有功能進行測試，驗證每個功能能否正常運行。

b）預期結果：

既定操作系統(tǒng)平臺上產品所有組件的所有功能能正常運行。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.3云環(huán)境適應性（有則適用）

本項測試評價方法如下：

a）測試方法：

1）在云環(huán)境中（如云計算平臺）部署產品；

2）配置能夠完成產品所有功能測試的環(huán)境；

3）對產品的所有功能進行測試，驗證每個功能能否正常運行。

4）驗證產品是否能對云環(huán)境中操作系統(tǒng)、文件、數(shù)據(jù)庫、虛擬機整機、云端數(shù)據(jù)等備份對象進

行備份與恢復。

b）預期結果：

在云環(huán)境中產品所有組件的所有功能能正常運行.對所支持的備份對象均能進行備份與恢復。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.4備份方式支持

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔配置備份對象、備份內容及測試環(huán)境；

2）分別設置完全備份、增量備份和差量備份等備份方式；

3）對每種備份方式分別進行驗證，是否能按預期的備份方式進行備份；

4）對每種備份方式的備份數(shù)據(jù)分別進行恢復，恢復后的數(shù)據(jù)是否與備份對象一致且可用。

b）預期結果：

產品支持完全備份、增量備份、差量備份等備份方式。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.5備份模式支持

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔配置備份對象、備份內容；

2）設置網絡備份模式；

3）驗證產品是否能通過網絡備份數(shù)據(jù)；

4）驗證產品是否能通過網絡恢復數(shù)據(jù)，恢復后的數(shù)據(jù)是否與備份對象一致且可用。

b）預期結果:

11

產品支持網絡備份模式，能通過網絡備份和恢復數(shù)據(jù)。

C）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.6備份介質支持

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔配置備份對象、備份內容；

2）設置產品聲稱支持的介質作為備份介質；

3）驗證產品是否支持該備份介質進行備份；

4）驗證產品是否能從備份介質中讀取數(shù)據(jù)進行恢復，恢復后的數(shù)據(jù)是否與備份對象一致且可用。

b）預期結果：

產品聲稱支持的介質能作為備份介質正常工作.

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.7備份策略支持

7.2.7.1策略定制

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，對備份對象、備份時間、備份方式、備份介質等配置相關策略。

2）執(zhí)行備份策略；

3）驗證產品備份策略的有效性。

b）預期結果：

產品能對備份對象、備份時間、備份方式、備份介質等制定備份策略。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.7.2策略管理

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，配置相關策略.

2）分別對備份策略進行添加、刪除、修改、保存等操作：

3）驗證對產品備份策略的管理操作的有效性。

b）預期結果：

產品支持對備份策略進行添加、刪除、修改、保存等操作。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.7.3其它備份策略

本項測試評價方法如下:

12

a）測試方法：

1）按產品提供的指導性文檔，配置相關策略，如指定備份數(shù)據(jù)保存時間、備份作業(yè)循環(huán)、備份

作業(yè)開始或結束條件、自定義備份策略等；

2）針對配置的策略，分別進行相關操作或執(zhí)行相關任務；

3）驗證產品備份策略的有效性。

b）預期結果：

產品至少支持一種其它備份策略。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.8恢復功能支持

7.2.8.1恢復內容選擇

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，執(zhí)行恢復任務；

2）選擇全部或部分備份數(shù)據(jù)進行恢復；

3）驗證恢復后的數(shù)據(jù)應與原數(shù)據(jù)一致。

b）預期結果：

產品能選擇全部或部分備份數(shù)據(jù)進行恢復，恢復后的數(shù)據(jù)應與原數(shù)據(jù)一致。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.8.2恢復重定向

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，執(zhí)行恢復任務；

2）選擇全部或部分備份數(shù)據(jù)進行恢復；

3）驗證恢復后的數(shù)據(jù)應與原數(shù)據(jù)一致。

b）預期結果：

產品能選擇全部或部分備份數(shù)據(jù)進行恢復，恢復后的數(shù)據(jù)應與原數(shù)據(jù)一致。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.8.3恢復時間點選擇

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，執(zhí)行恢復任務；

2）選擇全部或部分備份數(shù)據(jù)進行恢復；

3）驗證恢復后的數(shù)據(jù)應與原數(shù)據(jù)一致。

b）預期結果：

產品能選擇不同備份時間點的備份數(shù)據(jù)進行恢復。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.8.4恢復自動化

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，執(zhí)行恢復任務；

2）啟用恢復自動化的相關功能選項；

3）按照恢復自動化的要求進行恢復；

b）預期結果：

產品能通過恢復過程自動執(zhí)行的方式，快速恢復備份數(shù)據(jù)。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.8.5恢復缺失文件

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，執(zhí)行恢復任務；

2）在對備份對象的數(shù)據(jù)完成備份后，刪除備份對象的部分或全部文件；

3）查看被刪除的文件是否被有效標示；

4）選擇被刪除的文件進行恢復；

5）驗證恢復后的數(shù)據(jù)應與原數(shù)據(jù)一致。

b）預期結果：

產品支持標識出已缺失的備份文件，并能夠對已缺失的備份文件進行恢復。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.9系統(tǒng)管理功能

7.2.9.1任務監(jiān)控告警

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，執(zhí)行備份任務；

2）在備份任務執(zhí)行過程中，中斷備份任務使之未成功執(zhí)行；

3）驗證產品是否能監(jiān)控并記錄備份恢復任務的執(zhí)行情況，當任務未成功執(zhí)行時，有告警提示。

b）預期結果：

產品能監(jiān)控并記錄備份恢復任務的執(zhí)行情況，當任務未成功執(zhí)行時，告警提示。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.9.2備份存儲空間監(jiān)控告警

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，執(zhí)行備份任務；

14

2）使備份存儲空間已滿或達到閾值；

3）驗證產品是否能監(jiān)控備份存儲空間使用情況，當存儲空間已滿或達到閾值時，有告警提示.

b）預期結果：

產品能監(jiān)控備份存儲空間使用情況，當存儲空間已滿或達到閾值時，告警提示。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.9.3報表功能

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，執(zhí)行備份恢復任務；

2）驗證產品能否提供作業(yè)狀態(tài)和設備狀態(tài)的報表；

b）預期結果：

產品支持報表功能，能提供作業(yè)狀態(tài)和設備狀態(tài)的報表。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.9.4垃圾數(shù)據(jù)清理

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，多次執(zhí)行備份任務；

2）選擇全部或部分備份數(shù)據(jù)，多次執(zhí)行恢復任務；

3）系統(tǒng)自動或執(zhí)行垃圾數(shù)據(jù)清理功能；

4）驗證垃圾數(shù)據(jù)是否得到有效清理，不可恢復。

b）預期結果：

產品支持清理備份恢復作業(yè)過程中產生的垃圾數(shù)據(jù)。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.9.5磁帶管理（有則適用）

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，配置備份服務器和磁帶驅動器以提供使磁帶管理功能測試能夠正

常執(zhí)行的環(huán)境；

2）測試產品支持的磁帶管理功能；

3）驗證磁帶管理功能是否有效；

b）預期結果：

產品支持磁帶管理功能。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.10附加功能

7.2.10.1斷點續(xù)傳

15

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，執(zhí)行備份任務；

2）斷開網絡連接或采取其它方式，使備份任務異常中斷；

3）恢復網絡連接或采取其它方式恢復正常工作狀態(tài)；

4）驗證產品被中斷的備份任務是否能自動從上次中斷的位置起恢復作業(yè)。

b）預期結果：

產品支持斷點續(xù)傳功能，在異常狀態(tài)恢復后（如網絡故障），被中斷的備份任務能自動從上次

中斷的位置起恢復作業(yè)。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.10.2快照支持

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，配置執(zhí)行備份任務；

2）產品執(zhí)行快照的相關功能；

3）確保備份作業(yè)進行的同時，備份對象的數(shù)據(jù)有變化；

4）驗證恢復后的數(shù)據(jù)與備份對象在備份啟動時間點時的數(shù)據(jù)是否一致且可用。

b）預期結果：

產品支持快照技術，能保證備份對象在備份時間點的數(shù)據(jù)一致性。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.10.3緩存支持

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，配置執(zhí)行備份和恢復任務；

2）配置作為緩存的介質，并啟用緩存功能；

3）驗證備份數(shù)據(jù)流是否先寫入作為緩存的介質，再寫入備份介質。

b）預期結果：

產品能為備份和恢復作業(yè)提供高速緩存支持。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.10.4壓縮傳輸

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，配置執(zhí)行備份任務；

2）啟用壓縮傳輸功能；

3）驗證傳輸?shù)膫浞輸?shù)據(jù)是否經過了壓縮。

b）預期結果：

產品支持壓縮傳輸功能。

16

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.10.5壓縮存儲

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，配置執(zhí)行備份任務；

2）啟用壓縮存儲功能；

3）驗證存儲的備份數(shù)據(jù)是否經過了壓縮。

b）預期結果：

產品支持壓縮存儲功能。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.10.6重復數(shù)據(jù)刪除（有則適用）

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，配置執(zhí)行備份任務；

2）啟用重復數(shù)據(jù)刪除功能；

3）驗證產品是否正確執(zhí)行了重復數(shù)據(jù)刪除功能。

b）預期結果：

產品支持重復數(shù)據(jù)刪除功能。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.11持續(xù)數(shù)據(jù)保護CDP（有則適用）

7.2.11.1數(shù)據(jù)跟蹤捕獲

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，配置執(zhí)行備份任務：

2）啟用數(shù)據(jù)跟蹤捕獲功能；

3）改變備份對象數(shù)據(jù)；

4）驗證產品是否能對備份對象數(shù)據(jù)的改變進行連續(xù)的跟蹤和捕獲。

b）預期結果：

產品支持數(shù)據(jù)跟蹤捕獲功能，能對備份對象數(shù)據(jù)的改變進行連續(xù)的跟蹤和捕獲。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.11.2任意時間點恢復

本項測試評價方法如下：

a）測試方法：

1）按產品提供的指導性文檔，配置執(zhí)行備份任務；

17

2）啟用任意時間點恢復功能；

3）選擇任意時間點進行恢復；

4）驗證產品是否能在任意時間點恢復目標數(shù)據(jù)。

b）預期結果：

產品支持任意時間點恢復功能，管理員無需事先定義目標恢復點，即可在任意時間點恢復目標數(shù)

據(jù)。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.3自身安全測試

7.3.1身份鑒別

身份鑒別的測試評價方法如下：

a）測試方法：

1）測試產品是否對其用戶進行唯一性標識，如不允許創(chuàng)建重名用戶；

2）測試產品對于用戶鑒別信息的存儲和傳輸過程中，采取何種措施對其保密性和完整性進

行保護；

3）嘗試連續(xù)多次失敗登錄產品，觸發(fā)產品的登錄失敗處理功能，檢查產品采用何種機制防

止用戶進一步進行嘗試；

4）產品登錄后，在超時時間內無任何操作，查看產品是否自動退出；

5）若產品采用口令鑒別機制，測試產品是否提供了口令復雜度校驗機制，是否不允許用戶

設置弱口令，如空口令、純數(shù)字等；

6）產品存在默認口令時，檢查產品是否提示用戶對默認口令進行修改；

7）驗證產品超時退出和鎖定后是否需要再次進行身份鑒別才能夠重新管理備份系統(tǒng)。

8）查看產品本地和遠程管理是否支持雙因子身份鑒別；

b）預期結果：

1）產品確保在管理員進行操作之前，對管理員、主機和用戶等進行唯一的身份識別；

2）產品支持非明文的遠程管理會話，明文的遠程管理方式能夠關閉；

3）輸入錯誤口令達到設定的最大失敗次數(shù)后，產品終止可信主機或用戶建立會話的過程，

并對該失敗用戶做禁止訪問處理：

4）產品登錄后，在超時時間內無任何操作，產品自動退出；

5）管理員需通過口令驗證等身份鑒別措施；并對口令強度具有要求；

6）產品存在默認口令時，產品能夠提示用戶對默認口令進行修改；

7）產品需要再次進行身份鑒別。

8）產品支持雙因子鑒別。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.3.2訪問控制

本項測試評價方法如下：

a）測試方法：

1）針對產品中與安全相關的操作設置訪問控制策略：

2）驗證已設置的訪問控制策略在進行與安全相關的操作是否有效。

18

b）預期結果：

1）訪問控制策略設置成果；

2）在進行與安全相關的操作時已設置的訪問控制策略有效。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.3.3安全審計

本項測試評價方法如下：

a）測試方法：

1）使用授權用戶登錄備份系統(tǒng)、進行備份作業(yè)、恢復作業(yè)、策略管理等操作；

2）以授權管理員的身份查閱審計記錄，檢查是否對執(zhí)行的事件產生了審計記錄；

3）驗證審計記錄中是否包括事件發(fā)生的日期和時間、事件主體客體身份、事件內容、事件的結

果等信息，且易于閱讀；

4）分別以授權用戶和非授權用戶身份訪問審計記錄；

5）分別以授權用戶和非授權用戶身份執(zhí)行審計記錄的管理操作，驗證產品是否僅允許授權用戶

執(zhí)行審計記錄的管理操作（如清空審計記錄），非授權用戶不能執(zhí)行審計記錄的管理操作；

6）查看產品是否能夠防止修改審計記錄的操作。

b）預期結果：

1）對于檢測方法1）中支持的事件，產品能產生相應的審計記錄；

2）產品的每個審計記錄中均包含以下信息：事件發(fā)生的日期和時間、事件主體客體身份、事件

描述；

3）產品的每個審計記錄中均包含以下信息：事件發(fā)生的日期和時間、事件主體客體身份、事件

描述，且易于閱讀；

4）僅授權用戶能訪問審計記錄，非授權用戶不能訪問審計記錄；

5）僅授權用戶能執(zhí)行審計記錄的管理操作，非授權用戶不能執(zhí)行審計記錄的管理操作；

6）產品能夠防止修改審計記錄的操作。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.3.4數(shù)據(jù)保護

本項測試評價方法如下：

a）測試方法：

1）配置備份系統(tǒng)的數(shù)據(jù)完整性檢驗功能；

2）人為破壞備份數(shù)據(jù)的完整性；

3）驗證產品能否檢驗出備份數(shù)據(jù)的完整性已被破壞，并給出相應的警示。

4）配置產品為基于網絡備份模式；

5）啟用安全傳輸功能；

6）執(zhí)行備份作業(yè)；

7）驗證備份數(shù)據(jù)在傳輸時的安全性。

8）啟用安全存儲功能；

9）執(zhí)行備份作業(yè)；

10）驗證備份數(shù)據(jù)是否是非明文的方式存儲于備份介質上；

19

11）驗證非授權用戶嘗試修改備份數(shù)據(jù)，驗證是否提供完整性保護措施，并且是否能夠進行報

警。

b）預期結果：

1）產品數(shù)據(jù)完整性校驗，能檢驗出備份數(shù)據(jù)的完整性已被破壞，并能給出相應的警示。

2）產品能保證傳輸數(shù)據(jù)的安全性。

3）產品能保證存儲數(shù)據(jù)的安全性。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.3.5功能保護

a）測試方法：

1）在系統(tǒng)正常運行的狀態(tài)下，人為使其部分功能失效，如恢復功能；

2）驗證產品能否提供對功能失效如恢復功能進行提示或報警；

3）人為造成備份系統(tǒng)部分關鍵功能失效，如恢復功能；

4）驗證產品是否提供關鍵功能失效時的保護機制，如人工干預恢復。

b）預期結果：

1）能夠提供對其自身部分功能的失效進行監(jiān)控。

2）具有關鍵功能失效時的相應保護機制。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.4安全保障評估方法

7.4.1開發(fā)

7.4.1.1安全架構

本項測試評價方法如下：

a）測試方法：

審查安全架構文檔是否準確描述如下內容：

1）與產品設計文檔中對安全功能實施抽象描述的級別一致；

2）描述與安全功能要求一致的產品安全功能的安全域；

3）描述產品安全功能初始化過程為何是安全的；

4）證實產品安全功能能夠防止被破壞；

5）證實產品安全功能能夠防止安全特性被旁路。

b）預期結果：

開發(fā)者提供的文檔內容應滿足上述要求。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.4.1.2功能規(guī)范

本項測試評價方法如下：

a）測試方法：

審查功能規(guī)范文檔是否準確描述如下內容：

1）完全描述產品的安全功能；

20

2）描述所有安全功能接口的目的與使用方法；

3）標識和描述每個安全功能接口相關的所有參數(shù)；

4）描述安全功能接口相關的安全功能實施行為；

5）描述由安全功能實施行為處理而引起的直接錯誤消息；

6）證實安全功能要求到安全功能接口的追溯；

7）描述安全功能實施過程中，與安全功能接口相關的所有行為；

8）描述可能由安全功能接口的調用而引起的所有直接錯誤消息。

b）預期結果：

開發(fā)者提供的文檔內容應滿足上述要求。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.4.1.3實現(xiàn)表示

本項測試評價方法如下：

a）測試方法：

審查實現(xiàn)表示文檔是否準確描述如下內容：

1）以開發(fā)人員使用的形式提供產品設計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；

2）按詳細級別定義產品安全功能，詳細程度達到無須進一步設計就能生成安全功能的程度。

b）預期結果：

開發(fā)者提供的文檔內容應滿足上述要求。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合.

7.4.1.4產品設計

本項測試評價方法如下：

a）測試方法：

審查產品設計文檔是否準確描述如下內容：

1）根據(jù)子系統(tǒng)描述產品結構；

2）標識和描述產品安全功能的所有子系統(tǒng)；

3）描述安全功能所有子系統(tǒng)間的相互作用；

4）提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能接口；

5）根據(jù)模塊描述安全功能；

6）提供安全功能子系統(tǒng)到模塊間的映射關系；

7）描述所有安全功能實現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；

8）描述所有實現(xiàn)模塊的安全功能要求相關接口、其它接口的返回值、與其它模塊間的相互作

用及調用的接口；

9）描述所有安全功能的支撐或相關模塊，包括其目的及與其它模塊間的相互作用。

b）預期結果：

開發(fā)者提供的文檔內容應滿足上述要求。

c）結果判定：

實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.4.2指導性文檔

21

7.4.2.1操作用戶指南

本項測試評價方法如下：

a）測試方法：

審查操作用戶指南是否準確描述如下內容：

1）描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權，包含適當?shù)木拘畔ⅲ?/p>

2）描述如何以安全的方式使用產品提供的可用接口；描述產品支持的存儲介質及對存儲介質

的保護；

3）描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時指明安全值；

4）明確說明與需要執(zhí)行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能所

控制實體的安全特性；

5）標識產品運行的所有可能狀態(tài)（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全

運行之間的因果關系和聯(lián)系；