TZTCIA 004-2023 可信計(jì)算辦公設(shè)備產(chǎn)品技術(shù)規(guī)范

ICS35.030CCSL80T/ZTCIA004—2023可信計(jì)算辦公設(shè)備產(chǎn)品技術(shù)規(guī)范Trustedcomputing-Technicalspecificationforofficedeviceproducts-12-10發(fā)布 --實(shí)施中關(guān)村可信計(jì)算產(chǎn)業(yè)聯(lián)盟??發(fā)布T/ZTCIA004T/ZTCIA004—2023PAGE\*ROMANPAGE\*ROMANIII目 次前言 III范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 2概述 2等級(jí)劃分 3基本級(jí)技術(shù)要求 4可信根技術(shù)要求 4可信功能技術(shù)要求 4靜態(tài)度量 4可信升級(jí) 4可信控制 4可信審計(jì) 4可信報(bào)告 4增強(qiáng)級(jí)技術(shù)要求 4可信根技術(shù)要求 5可信功能技術(shù)要求 5靜態(tài)度量 5動(dòng)態(tài)度量 5可信外接 5可信防護(hù) 5可信升級(jí) 5可信存儲(chǔ) 5可信控制 6可信審計(jì) 6可信報(bào)告 6基本級(jí)測(cè)評(píng)方法 6可信根測(cè)評(píng)方法 6可信功能測(cè)評(píng)方法 7靜態(tài)度量 7可信升級(jí) 8可信控制 8可信審計(jì) 9可信報(bào)告 9增強(qiáng)級(jí)測(cè)評(píng)方法 10可信根測(cè)評(píng)方法 10可信功能測(cè)評(píng)方法 11靜態(tài)度量 11動(dòng)態(tài)度量 12可信外接 12可信防護(hù) 13可信升級(jí) 14可信存儲(chǔ) 14可信控制 15可信審計(jì) 15可信報(bào)告 16前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本文件由中關(guān)村可信計(jì)算產(chǎn)業(yè)聯(lián)盟外設(shè)專委會(huì)提出。本文件由中關(guān)村可信計(jì)算產(chǎn)業(yè)聯(lián)盟歸口。本文件主要起草人：彭繼兵、余成柱、孫瑜、洪宇、劉盈、王昱波、何悅、樊迪、韓瑛華、潘澤、陳婷婷、許小青、高軍輝、楊香玉、路娜。T/ZTCIA004T/ZTCIA004—2023PAGEPAGE11可信計(jì)算辦公設(shè)備產(chǎn)品技術(shù)規(guī)范范圍本標(biāo)準(zhǔn)規(guī)定了辦公設(shè)備產(chǎn)品應(yīng)用可信計(jì)算技術(shù)的概述、技術(shù)要求和測(cè)評(píng)方法。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069-2010信息安全技術(shù)術(shù)語GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T29244-2012信息安全技術(shù)辦公設(shè)備基本安全要求GB/T29827-2013信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)主板功能接口GB/T29829-2013信息安全技術(shù)接口規(guī)范GB/T37935-2019信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GB/T38638-2020信息安全技術(shù)可信計(jì)算可信計(jì)算體系結(jié)構(gòu)GB/T40650-2021信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊GM/T0011-2012可信計(jì)算可信密碼支撐平臺(tái)功能與接口規(guī)范GM/T0012-2020可信計(jì)算可信密碼模塊接口規(guī)范T/ZTCIA001-2021可信計(jì)算產(chǎn)品技術(shù)規(guī)范術(shù)語和定義GB/T25069-2010、GB/T29827-2013、GB/T29829-2013和GB/T37935-2019界定的以及下列術(shù)語和定義適用于本文件。辦公設(shè)備officedevices用于產(chǎn)生或處理電子或其他媒體文件的設(shè)備。注：主要是指具有打印、掃描、傳真、復(fù)印中的一項(xiàng)或多項(xiàng)功能的設(shè)備產(chǎn)品。[來源：GB/T29244-2012，3.1]主控板maincontrolboard用于控制硬件資源和實(shí)現(xiàn)主要功能的電路板。注：是指辦公設(shè)備中集成主控芯片的電路板，主要負(fù)責(zé)數(shù)據(jù)解析、任務(wù)管理、圖像處理、影像數(shù)據(jù)獲取或輸出。子控板sub-board用于協(xié)助主控板實(shí)現(xiàn)特定功能的電路板。注：主要是指辦公設(shè)備中負(fù)責(zé)面板控制、耗材控制、引擎控制等一個(gè)或多個(gè)功能的電路板。主控芯片masterSoC注：CISCCDLSU、LPH、噴頭、針頭等類型。外接模塊externalmodules由外部接入，用于實(shí)現(xiàn)特定功能的獨(dú)立模塊。注：主要是指從外部接入辦公設(shè)備的U盤、指紋識(shí)別器、讀卡器等設(shè)備。固件firmware存儲(chǔ)在辦公設(shè)備內(nèi)非易失性存儲(chǔ)器中的二進(jìn)制文件。注：主要是指實(shí)現(xiàn)辦公設(shè)備接口通信、數(shù)據(jù)解析、打印語言解析、圖像處理等操作的程序。可信根rootoftrust可信根是可信計(jì)算平臺(tái)的信任源點(diǎn)，由TPCM和TCM組成。TPCM是可信平臺(tái)控制模塊，負(fù)責(zé)發(fā)起可信（非密碼相關(guān)[來源：T/ZTCIA001-2021，3.3]可信密碼模塊trustedcryptographymodule可信計(jì)算平臺(tái)的硬件模塊，為可信計(jì)算平臺(tái)提供密碼運(yùn)算功能，具有受保護(hù)的存儲(chǔ)空間。[來源：GM/T0012-2020，3.7]可信平臺(tái)控制模塊trustedplatformcontrolmodule一種集成在可信計(jì)算平臺(tái)中，用于建立和保障信任源點(diǎn)的硬件核心模塊，為可信計(jì)算平臺(tái)提供完整性度量、安全存儲(chǔ)、可信報(bào)告以及密碼服務(wù)等功能。[來源：GB/T29827-2013，3.20]可信軟件基trustedsoftwarebase為可信計(jì)算平臺(tái)的可信性提供支持的軟件元素的集合。[來源：GB/T37935-2019，3.3]用戶數(shù)據(jù)userdata[來源：GB/T29244-2012，3.10]縮略語下列縮略語適用于本文件。TPCM：可信平臺(tái)控制模塊（TrustedPlatformControlModule）TSB：可信軟件基（TrustedSoftwareBase）TCM：可信密碼模塊（TrustedCryptographyModule）EWS：嵌入式網(wǎng)絡(luò)服務(wù)（EmbeddedWebServer）CIS：接觸式圖像傳感器（ContactImageSensor）CCD：電荷耦合元件（ChargeCoupledDevice）LSU：激光掃描單元（LaserScanningUnit）LPH：LED(發(fā)光二極管)打印頭（LEDPrintHead）概述典型辦公設(shè)備產(chǎn)品可信計(jì)算邏輯組成框架如圖1所示：圖1 典型辦公設(shè)備產(chǎn)品可信計(jì)算邏輯組成框架辦公設(shè)備產(chǎn)品可信根是可信計(jì)算技術(shù)框架的核心，可信根應(yīng)具有獨(dú)立、隔離的安全運(yùn)行環(huán)境。可信根由TCMTPCM負(fù)責(zé)發(fā)起和執(zhí)行可信驗(yàn)證操作。可信日志管理模塊支持查看可信日志，并輸出可信報(bào)告。典型辦公設(shè)備產(chǎn)品業(yè)務(wù)可信控制框架如圖2圖2 典型辦公設(shè)備產(chǎn)品業(yè)務(wù)可信控制框架辦公設(shè)備產(chǎn)品應(yīng)由可信軟件基收集外接模塊和子控板的信息，并發(fā)送至可信根進(jìn)行驗(yàn)證。辦公設(shè)備產(chǎn)品進(jìn)行新版本固件更新時(shí)，應(yīng)由可信軟件基收集固件信息并發(fā)送給可信根進(jìn)行驗(yàn)證。等級(jí)劃分可信計(jì)算辦公設(shè)備產(chǎn)品分為基本級(jí)和增強(qiáng)級(jí)。GB/T22239-20196.1.4.57.1.4.6規(guī)定的要T/ZTCIA001-20216.1GB/T28448-20196.1.4.5和7.1.4.6規(guī)定的要求，并參照T/ZTCIA001-2021中7.1規(guī)定的要求制定。GB/T22239-20198.1.4.69.1.4.6規(guī)定的要求，并參照T/ZTCIA001-2021中6.2的要求制定，增強(qiáng)級(jí)測(cè)評(píng)方法遵守GB/T28448-2019中8.1.4.6和9.1.4.6規(guī)定的要求，并參照T/ZTCIA001-2021中7.2規(guī)定的要求制定。基本級(jí)技術(shù)要求可信計(jì)算辦公設(shè)備產(chǎn)品的基本級(jí)技術(shù)要求包括可信根技術(shù)要求和可信功能技術(shù)要求?？尚鸥夹g(shù)要求辦公設(shè)備產(chǎn)品的可信根應(yīng)：集成在主控板或主控芯片內(nèi)，且辦公設(shè)備產(chǎn)品在脫離可信根時(shí)無法運(yùn)行；先于主控芯片啟動(dòng)，并運(yùn)行獨(dú)立的安全防護(hù)子系統(tǒng)，且能直接訪問存儲(chǔ)辦公設(shè)備產(chǎn)品固件的存儲(chǔ)器。辦公設(shè)備產(chǎn)品的可信密碼模塊應(yīng)：使用國家密碼管理局認(rèn)證核準(zhǔn)的密碼技術(shù)進(jìn)行實(shí)現(xiàn)，并提供芯片資質(zhì)相關(guān)的符合性證明材料；以硬件形態(tài)實(shí)現(xiàn)，保證其密碼資源的隔離保障要求?？尚殴δ芗夹g(shù)要求可信功能技術(shù)要求包含靜態(tài)度量、可信升級(jí)、可信控制、可信審計(jì)、可信報(bào)告。靜態(tài)度量辦公設(shè)備產(chǎn)品應(yīng)：能夠在啟動(dòng)階段基于可信根對(duì)引導(dǎo)程序、操作系統(tǒng)內(nèi)核、應(yīng)用程序及重要配置參數(shù)進(jìn)行可信驗(yàn)證；能夠在應(yīng)用程序的初始化階段基于可信根對(duì)應(yīng)用程序的腳本、可執(zhí)行程序進(jìn)行白名單驗(yàn)證?？尚派?jí)辦公設(shè)備產(chǎn)品固件不應(yīng)包含已公開的中、高風(fēng)險(xiǎn)漏洞。可信控制可信審計(jì)辦公設(shè)備產(chǎn)品應(yīng)能夠?qū)Χ攘縿?dòng)作和結(jié)果生成可信審計(jì)記錄，可信審計(jì)記錄應(yīng)包括時(shí)間、度量方式、度量對(duì)象、度量值、驗(yàn)證結(jié)果等，并能夠?qū)尚艑徲?jì)記錄進(jìn)行完整性保護(hù)。[來源：T/ZTCIA001-2021，6.1.2.3]可信報(bào)告辦公設(shè)備產(chǎn)品應(yīng)：能夠生成可信報(bào)告，可信報(bào)告包含設(shè)備當(dāng)前的可信狀態(tài)，可信狀態(tài)依據(jù)靜態(tài)度量的結(jié)果生成；USB能夠?qū)λ鎯?chǔ)的可信報(bào)告進(jìn)行完整性保護(hù)；10,000EWS增強(qiáng)級(jí)技術(shù)要求可信計(jì)算辦公設(shè)備產(chǎn)品的增強(qiáng)級(jí)技術(shù)要求包括可信根技術(shù)要求和可信功能技術(shù)要求?？尚鸥夹g(shù)要求辦公設(shè)備產(chǎn)品的可信根應(yīng)：以硬件形態(tài)實(shí)現(xiàn)；集成在主控板或主控芯片內(nèi)，且辦公設(shè)備產(chǎn)品在脫離可信根時(shí)無法運(yùn)行；先于主控芯片啟動(dòng)，并運(yùn)行獨(dú)立的安全防護(hù)子系統(tǒng)，且能直接訪問存儲(chǔ)辦公設(shè)備產(chǎn)品固件的存儲(chǔ)器。辦公設(shè)備產(chǎn)品的可信密碼模塊應(yīng)：使用國家密碼管理局認(rèn)證核準(zhǔn)的密碼技術(shù)進(jìn)行實(shí)現(xiàn)，并提供芯片資質(zhì)相關(guān)的符合性證明材料；以硬件形態(tài)實(shí)現(xiàn)，保證其密碼資源的隔離保障要求。可信功能技術(shù)要求靜態(tài)度量辦公設(shè)備產(chǎn)品應(yīng)：能夠在啟動(dòng)階段基于可信根對(duì)引導(dǎo)程序、操作系統(tǒng)內(nèi)核、應(yīng)用程序及重要配置參數(shù)進(jìn)行可信驗(yàn)證；能夠在應(yīng)用程序的初始化階段基于可信根對(duì)應(yīng)用程序的腳本、可執(zhí)行程序進(jìn)行白名單驗(yàn)證。動(dòng)態(tài)度量[來源：T/ZTCIA001-2021，6.2.2.2]可信外接辦公設(shè)備產(chǎn)品應(yīng)：能夠基于可信根對(duì)接入的外接模塊和子控板進(jìn)行可信驗(yàn)證，當(dāng)檢測(cè)到可信性受到破壞時(shí)，對(duì)接入行為進(jìn)行阻止或報(bào)警，并生成審計(jì)記錄；能夠基于可信根對(duì)聯(lián)到互聯(lián)網(wǎng)的行為進(jìn)行檢查、限制和告警；能夠基于可信根在通信前采用密碼技術(shù)對(duì)通信的驅(qū)動(dòng)程序進(jìn)行可信驗(yàn)證。辦公設(shè)備產(chǎn)品：APAP如果支持遠(yuǎn)程訪問，應(yīng)基于可信根阻止通過遠(yuǎn)程控制協(xié)議訪問設(shè)備；如果支持共享協(xié)議，應(yīng)基于可信策略，由可信根阻止共享協(xié)議訪問設(shè)備?？尚欧雷o(hù)辦公設(shè)備產(chǎn)品應(yīng)能夠基于預(yù)定義的可信策略阻止：關(guān)鍵進(jìn)程被殺死；可信關(guān)鍵模塊被卸載；重要文件被篡改?？尚派?jí)辦公設(shè)備產(chǎn)品固件不應(yīng)包含已公開的中、高風(fēng)險(xiǎn)漏洞。可信存儲(chǔ)[來源：T/ZTCIA001-2021，6.2.2.7]辦公設(shè)備產(chǎn)品應(yīng)能夠基于可信根對(duì)預(yù)定義的策略配置中指定路徑的文件進(jìn)行加密存儲(chǔ)和實(shí)時(shí)監(jiān)控，當(dāng)檢測(cè)到非法進(jìn)程、軟件訪問被監(jiān)控文件時(shí)，應(yīng)能夠阻止其訪問并生成可信審計(jì)記錄?？尚趴刂瓶尚艑徲?jì)辦公設(shè)備產(chǎn)品應(yīng)：能夠?qū)Χ攘縿?dòng)作和結(jié)果生成可信審計(jì)記錄，可信審計(jì)記錄應(yīng)包括時(shí)間、度量方式、度量對(duì)象、度量值、驗(yàn)證結(jié)果等，并能夠?qū)尚艑徲?jì)記錄進(jìn)行完整性保護(hù)；[來源：T/ZTCIA001-2021，6.2.2.5]能夠?qū)Ξa(chǎn)品所具有的打印、復(fù)印、掃描、傳真、安全功能設(shè)置等功能進(jìn)行可信審計(jì)并生成審計(jì)記錄，審計(jì)記錄應(yīng)包括事件的時(shí)間、操作類型、操作結(jié)果、信息來源、作業(yè)份數(shù)、作業(yè)頁數(shù)、作業(yè)擁有者、作業(yè)狀態(tài)等信息；能夠保證系統(tǒng)范圍內(nèi)可信審計(jì)的時(shí)間由唯一確定的硬件時(shí)鐘產(chǎn)生，以保證各種數(shù)據(jù)的管理和分析在時(shí)間上的一致性?？尚艌?bào)告辦公設(shè)備產(chǎn)品應(yīng)：能夠生成可信報(bào)告，可信報(bào)告包含設(shè)備當(dāng)前的可信狀態(tài)，可信狀態(tài)依據(jù)靜態(tài)度量、動(dòng)態(tài)度量的結(jié)果生成；USB能夠?qū)λ鎯?chǔ)的可信報(bào)告進(jìn)行完整性保護(hù)；10,000EWS辦公設(shè)備產(chǎn)品的可信報(bào)告應(yīng)至少包含應(yīng)用程序的進(jìn)程、模塊、執(zhí)行代碼等信息的度量結(jié)果。基本級(jí)測(cè)評(píng)方法基本級(jí)測(cè)評(píng)方法中所使用的測(cè)試工具是指由辦公設(shè)備生產(chǎn)廠商提供可實(shí)現(xiàn)登錄到辦公設(shè)備產(chǎn)品主控板操作系統(tǒng)控制臺(tái)的硬件工具和配套軟件等?？尚庞?jì)算辦公設(shè)備產(chǎn)品的基本級(jí)測(cè)評(píng)方法包括可信根測(cè)評(píng)方法和可信功能測(cè)評(píng)方法?？尚鸥鶞y(cè)評(píng)方法可信計(jì)算辦公設(shè)備產(chǎn)品的基本級(jí)可信根測(cè)評(píng)方法的相關(guān)信息見表1。表1 可信根測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定可信根技術(shù)要求（可信平臺(tái)控制模塊）辦公設(shè)備產(chǎn)品的可信根應(yīng)集辦公設(shè)備產(chǎn)品在脫離可信根時(shí)無法運(yùn)行。拆開產(chǎn)品外蓋，核查主控板上是否有可信根；核查辦公設(shè)備產(chǎn)品可信根設(shè)計(jì)上是否能夠確保無法在脫離可信根時(shí)運(yùn)行；核查辦公設(shè)備產(chǎn)品是否無法正常啟動(dòng)。如果不符合本單元測(cè)評(píng)要求。測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定辦公設(shè)備產(chǎn)品的可信根應(yīng)先訪問存儲(chǔ)辦公設(shè)備產(chǎn)品固件的存儲(chǔ)器。在辦公設(shè)備產(chǎn)品啟動(dòng)階段，通過示波器連接主控芯片和TCM芯片的電源與復(fù)位信號(hào)，核查示波器波形時(shí)序是否是TCM芯片優(yōu)先于主控芯片啟動(dòng)；通過測(cè)試工具連接辦公設(shè)備產(chǎn)品控制終端，核查TCM芯片的日志是否先于主控芯片日志輸出；通過示波器連接TCM示波器的波形是否有訪問存儲(chǔ)器的時(shí)序。如果不符合本單元測(cè)評(píng)要求。可信根技術(shù)要求（可信密碼模塊）辦公設(shè)備產(chǎn)品的可信密碼模塊應(yīng)使用國家密碼管理局認(rèn)證核準(zhǔn)的密碼技術(shù)進(jìn)行實(shí)現(xiàn)，并提供芯片資質(zhì)相關(guān)的符合性證明材料。核查可信根中的可信密碼模塊是否具備國家密碼管理局頒發(fā)的商用密碼產(chǎn)品認(rèn)證證設(shè)計(jì)是否符合GM/T00110012、GM/T0013或GM/T0058核查商用密碼產(chǎn)品認(rèn)證證書中產(chǎn)品名稱/型號(hào)是否包含“可信計(jì)算密碼模塊”。則不符合本單元測(cè)評(píng)要求。辦公設(shè)備產(chǎn)品的可信密碼模密碼資源的隔離保障要求。核查辦公設(shè)備產(chǎn)品可信根模密碼資源是否有隔離保障的設(shè)計(jì)。則不符合本單元測(cè)評(píng)要求?？尚殴δ軠y(cè)評(píng)方法靜態(tài)度量可信計(jì)算辦公設(shè)備產(chǎn)品的基本級(jí)靜態(tài)度量測(cè)評(píng)方法的相關(guān)信息見表2。表2 靜態(tài)度量測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定靜態(tài)度量辦公設(shè)備產(chǎn)品應(yīng)能夠在啟動(dòng)階段基于可信根對(duì)引導(dǎo)程序、操作系統(tǒng)內(nèi)核、應(yīng)用程序及重要配置參數(shù)進(jìn)行可信驗(yàn)證。核查辦公設(shè)備產(chǎn)品靜態(tài)度在啟動(dòng)階段基于可信根對(duì)引程序及重要配置參數(shù)進(jìn)行可信驗(yàn)證；通過測(cè)試工具連接辦公設(shè)以通過控制終端輸出引導(dǎo)程及重要配置參數(shù)的可信驗(yàn)證時(shí)間、度量結(jié)果；核查辦公設(shè)備產(chǎn)品可信日如果不符合本單元測(cè)評(píng)要求。測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定參數(shù)進(jìn)行可信驗(yàn)證的記錄。辦公設(shè)備產(chǎn)品應(yīng)能夠在應(yīng)用程序的初始化階段基于可信程序進(jìn)行白名單驗(yàn)證。核查辦公設(shè)備產(chǎn)品可信日志是否有對(duì)主要應(yīng)用程序的動(dòng)態(tài)連接庫等進(jìn)行白名單驗(yàn)證的記錄；通過測(cè)試工具連接辦公設(shè)否可以對(duì)白名單內(nèi)容進(jìn)行加載或執(zhí)行；通過測(cè)試工具連接辦公設(shè)備產(chǎn)品控制終端，在產(chǎn)品中預(yù)置并執(zhí)行非白名單的應(yīng)用程并核查可信日志是否有非白名單應(yīng)用程序的阻止記錄。如果不符合本單元測(cè)評(píng)要求?？尚派?jí)可信計(jì)算辦公設(shè)備產(chǎn)品的基本級(jí)可信升級(jí)測(cè)評(píng)方法的相關(guān)信息見表3。表3 可信升級(jí)測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定可信升級(jí)辦公設(shè)備產(chǎn)品固件不應(yīng)包含已公開的中、高風(fēng)險(xiǎn)漏洞。將產(chǎn)品進(jìn)行固件升級(jí)，核查是否正常升級(jí)至待升級(jí)版本；對(duì)升級(jí)后的產(chǎn)品進(jìn)行漏洞在中、高風(fēng)險(xiǎn)漏洞。如果符合本單元測(cè)評(píng)要求。辦公設(shè)備產(chǎn)品應(yīng)能夠在固件升級(jí)時(shí)使用數(shù)字證書對(duì)升級(jí)文件進(jìn)行驗(yàn)簽，并且驗(yàn)簽所使用的數(shù)字證書應(yīng)存儲(chǔ)在可信根中。1）通過測(cè)試工具連接辦公設(shè)備產(chǎn)品控制終端，使用具有數(shù)字簽名的固件對(duì)產(chǎn)品進(jìn)行升級(jí)，核查TCM芯片日志是否包含基于數(shù)字證書驗(yàn)簽的記錄，核查可信日志是否有固件文件驗(yàn)簽成功發(fā)生的記錄；2）使用錯(cuò)誤簽名值的固件對(duì)產(chǎn)品進(jìn)行升級(jí)，核查固件是否志是否有固件文件驗(yàn)簽失敗的記錄；核查固件升級(jí)時(shí)是否有數(shù)字驗(yàn)簽的提示；通過測(cè)試工具連接辦公設(shè)以通過控制終端輸出驗(yàn)簽結(jié)果，且結(jié)果與第3）點(diǎn)提示內(nèi)容一致。如果不符合本單元測(cè)評(píng)要求。可信控制可信計(jì)算辦公設(shè)備產(chǎn)品的基本級(jí)可信控制測(cè)評(píng)方法的相關(guān)信息見表4。表4 可信控制測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定可信控制辦公設(shè)備產(chǎn)品應(yīng)能夠依據(jù)靜態(tài)度量、可信升級(jí)的驗(yàn)證結(jié)時(shí)進(jìn)行操作阻斷或報(bào)警。通過測(cè)試工具連接辦公設(shè)端嘗試非授權(quán)修改固件存儲(chǔ)啟動(dòng)過程是否被阻斷或產(chǎn)生報(bào)警信息；使用無數(shù)字簽名的固件對(duì)產(chǎn)品進(jìn)行升級(jí)，核查升級(jí)過程并核查可信審計(jì)記錄是否有可信升級(jí)失敗信息的記錄。如果符合本單元測(cè)評(píng)要求。可信審計(jì)可信計(jì)算辦公設(shè)備產(chǎn)品的基本級(jí)可信審計(jì)測(cè)評(píng)方法的相關(guān)信息見表5。表5 可信審計(jì)測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定可信審計(jì)辦公設(shè)備產(chǎn)品應(yīng)能夠?qū)Χ攘縿?dòng)作和結(jié)果生成可信審計(jì)記錄，可信審計(jì)記錄應(yīng)包括時(shí)可信審計(jì)記錄進(jìn)行完整性保護(hù)。在辦公設(shè)備產(chǎn)品內(nèi)更換非法固件并啟動(dòng)產(chǎn)品；通過測(cè)試工具連接控制終執(zhí)行非白名單的應(yīng)用程序；3）通過辦公設(shè)備產(chǎn)品驅(qū)動(dòng)軟件或嵌入式網(wǎng)頁查看可信日量值、驗(yàn)證結(jié)果等；4）核查辦公設(shè)備產(chǎn)品的可信審計(jì)是否采用商用密碼算法進(jìn)行完整性保護(hù)。如果符合本單元測(cè)評(píng)要求。可信報(bào)告可信計(jì)算辦公設(shè)備產(chǎn)品的基本級(jí)可信報(bào)告測(cè)評(píng)方法的相關(guān)信息見表6。表6 可信報(bào)告測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定可信報(bào)告辦公設(shè)備產(chǎn)品應(yīng)能夠生成可靜態(tài)度量的結(jié)果生成。核查辦公設(shè)備產(chǎn)品是否能夠通過辦公設(shè)備產(chǎn)品驅(qū)動(dòng)軟件生成可信報(bào)告；核查可信報(bào)告是否和辦公設(shè)備產(chǎn)品的當(dāng)前可信狀態(tài)一態(tài)度量的結(jié)果生成。如果符合本單元測(cè)評(píng)要求。辦公設(shè)備產(chǎn)品應(yīng)能夠通過USB或網(wǎng)絡(luò)連接的數(shù)據(jù)傳輸通道提供可信報(bào)告。將辦公設(shè)備產(chǎn)品通過USB或網(wǎng)線與PC主機(jī)連接并安裝辦公設(shè)備產(chǎn)品驅(qū)動(dòng)軟件；2）核查是否能夠通過辦公設(shè)備產(chǎn)品驅(qū)動(dòng)軟件查看可信報(bào)告。如果2）為肯定，則符合本單單元測(cè)評(píng)要求。測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定辦公設(shè)備產(chǎn)品應(yīng)能夠?qū)λ鎯?chǔ)的可信報(bào)告進(jìn)行完整性保護(hù)。核查辦公設(shè)備產(chǎn)品的可信報(bào)告是否采用商用密碼算法進(jìn)行完整性保護(hù)。則不符合本單元測(cè)評(píng)要求。辦公設(shè)備產(chǎn)品應(yīng)能夠保存不少于10,000超過報(bào)告條數(shù)上限時(shí)采用覆蓋舊報(bào)告方式滾動(dòng)存儲(chǔ)。10,000信報(bào)告是否能存儲(chǔ)不少于10,000告是否按時(shí)間順序由舊到新進(jìn)行覆蓋式寫入。則不符合本單元測(cè)評(píng)要求。辦公設(shè)備產(chǎn)品如具備網(wǎng)絡(luò)功能，應(yīng)能夠通過EWS訪問方式顯示可信報(bào)告。將具備網(wǎng)絡(luò)功能的辦公設(shè)備產(chǎn)品通過網(wǎng)線與PC主機(jī)連接；在PC主機(jī)上使用瀏覽器登錄辦公設(shè)備產(chǎn)品的嵌入式網(wǎng)頁，核查是否有可信報(bào)告內(nèi)容。如果2）為肯定，則符合本單本單元測(cè)評(píng)要求。增強(qiáng)級(jí)測(cè)評(píng)方法增強(qiáng)級(jí)測(cè)評(píng)方法中所使用的測(cè)試工具是指由辦公設(shè)備生產(chǎn)廠商提供可實(shí)現(xiàn)登錄到辦公設(shè)備產(chǎn)品主控板操作系統(tǒng)控制臺(tái)的硬件工具和配套軟件等?？尚庞?jì)算辦公設(shè)備產(chǎn)品的增強(qiáng)級(jí)測(cè)評(píng)方法包括可信根測(cè)評(píng)方法和可信功能測(cè)評(píng)方法?？尚鸥鶞y(cè)評(píng)方法可信計(jì)算辦公設(shè)備產(chǎn)品的增強(qiáng)級(jí)可信根測(cè)評(píng)方法的相關(guān)信息見表7。表7 可信根測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定可信根（可信平臺(tái)控制模塊）辦公設(shè)備產(chǎn)品的可信根應(yīng)以硬件形態(tài)實(shí)現(xiàn)。核查辦公設(shè)備產(chǎn)品可信根模備產(chǎn)品主控板上的可信根模硬件形態(tài)實(shí)現(xiàn)。則不符合本單元測(cè)評(píng)要求。辦公設(shè)備產(chǎn)品的可信根應(yīng)集辦公設(shè)備產(chǎn)品在脫離可信根時(shí)無法運(yùn)行。拆開產(chǎn)品外蓋，核查主控板上是否有可信根；核查辦公設(shè)備產(chǎn)品可信根設(shè)計(jì)上是否能夠確保無法在脫離可信根時(shí)運(yùn)行；去掉可信根模塊，核查辦公設(shè)備產(chǎn)品是否無法正常啟動(dòng)。如果不符合本單元測(cè)評(píng)要求。辦公設(shè)備產(chǎn)品的可信根應(yīng)先訪問存儲(chǔ)辦公設(shè)備產(chǎn)品固件的存儲(chǔ)器。在辦公設(shè)備產(chǎn)品啟動(dòng)階段，通過示波器連接主控芯片和TCM芯片的電源與復(fù)位信號(hào)，核查示波器波形時(shí)序是否是TCM芯片優(yōu)先于主控芯片啟動(dòng)；通過測(cè)試工具連接辦公設(shè)備產(chǎn)品控制終端，核查TCM芯片的日志是否先于主控芯片如果不符合本單元測(cè)評(píng)要求。測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定日志輸出；通過示波器連接TCM示波器的波形是否有訪問存儲(chǔ)器的時(shí)序?？尚鸥尚琶艽a模塊）辦公設(shè)備產(chǎn)品的可信密碼模塊應(yīng)使用國家密碼管理局認(rèn)證核準(zhǔn)的密碼技術(shù)進(jìn)行實(shí)現(xiàn)，并提供芯片資質(zhì)相關(guān)的符合性證明材料。核查可信根中的可信密碼模塊是否具備國家密碼管理局頒發(fā)的商用密碼產(chǎn)品認(rèn)證證設(shè)計(jì)是否符合GM/T00110012、GM/T0013或GM/T0058核查商用密碼產(chǎn)品認(rèn)證證書中產(chǎn)品名稱/型號(hào)是否包含“可信計(jì)算密碼模塊”。則不符合本單元測(cè)評(píng)要求。辦公設(shè)備產(chǎn)品的可信密碼模密碼資源的隔離保障要求。核查辦公設(shè)備產(chǎn)品可信根模密碼資源是否有隔離保障的設(shè)計(jì)。則不符合本單元測(cè)評(píng)要求。可信功能測(cè)評(píng)方法靜態(tài)度量可信計(jì)算辦公設(shè)備產(chǎn)品的增強(qiáng)級(jí)靜態(tài)度量測(cè)評(píng)方法的相關(guān)信息見表8。表8 靜態(tài)度量測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定靜態(tài)度量辦公設(shè)備產(chǎn)品應(yīng)能夠在啟動(dòng)階段基于可信根對(duì)引導(dǎo)程序、操作系統(tǒng)內(nèi)核、應(yīng)用程序及重要配置參數(shù)進(jìn)行可信驗(yàn)證。核查辦公設(shè)備產(chǎn)品靜態(tài)度在啟動(dòng)階段基于可信根對(duì)引程序及重要配置參數(shù)進(jìn)行可信驗(yàn)證；通過測(cè)試工具連接辦公設(shè)以通過控制終端輸出引導(dǎo)程及重要配置參數(shù)的可信驗(yàn)證時(shí)間、度量結(jié)果；核查辦公設(shè)備產(chǎn)品可信日參數(shù)進(jìn)行可信驗(yàn)證的記錄。如果不符合本單元測(cè)評(píng)要求。辦公設(shè)備產(chǎn)品應(yīng)能夠在應(yīng)用程序的初始化階段基于可信程序進(jìn)行白名單驗(yàn)證。核查辦公設(shè)備產(chǎn)品可信日志是否有對(duì)主要應(yīng)用程序的動(dòng)態(tài)連接庫等進(jìn)行白名單驗(yàn)證的記錄；通過測(cè)試工具連接辦公設(shè)如果不符合本單元測(cè)評(píng)要求。測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定否可以對(duì)白名單內(nèi)容進(jìn)行加載或執(zhí)行；3）通過測(cè)試工具連接辦公設(shè)備產(chǎn)品控制終端，在產(chǎn)品中預(yù)置并執(zhí)行非白名單的應(yīng)用程序，核查靜態(tài)度量是否能夠阻止非白名單應(yīng)用程序的執(zhí)行，并核查可信日志是否有非白名單應(yīng)用程序的阻止記錄。動(dòng)態(tài)度量可信計(jì)算辦公設(shè)備產(chǎn)品的增強(qiáng)級(jí)動(dòng)態(tài)度量測(cè)評(píng)方法的相關(guān)信息見表9。表9 動(dòng)態(tài)度量測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定動(dòng)態(tài)度量辦公設(shè)備產(chǎn)品應(yīng)能夠在應(yīng)用程序執(zhí)行自身業(yè)務(wù)功能的關(guān)鍵執(zhí)行環(huán)節(jié)，依據(jù)策略主動(dòng)截1）通過測(cè)試工具連接辦公設(shè)備產(chǎn)品控制終端，根據(jù)控制終端輸出的可信度量信息核查產(chǎn)品是否對(duì)系統(tǒng)調(diào)用表、內(nèi)核（包括加載的動(dòng)態(tài)庫函數(shù)、網(wǎng)絡(luò)地址族/協(xié)議族等關(guān)鍵數(shù)據(jù)進(jìn)行可信度量；2）通過控制終端輸出的動(dòng)態(tài)度量信息（包括時(shí)間、過程、結(jié)果等是否包含定時(shí)觸發(fā)和條件觸發(fā)兩種方式；3）核查動(dòng)態(tài)度量是否能夠生成重要環(huán)節(jié)的審計(jì)記錄。如果不符合本單元測(cè)評(píng)要求。可信外接可信計(jì)算辦公設(shè)備產(chǎn)品的增強(qiáng)級(jí)可信外接測(cè)評(píng)方法的相關(guān)信息見表10。表10 可信外接測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定可信外接辦公設(shè)備產(chǎn)品應(yīng)能夠基于可信根對(duì)接入的外接模塊和子計(jì)記錄。通過測(cè)試工具連接辦公設(shè)產(chǎn)品合法子控板和合法外接模塊分別接入產(chǎn)品，核查TCM芯片的日志是否包含可信驗(yàn)可信外接的記錄；將辦公設(shè)備產(chǎn)品子控板更換為非法子控板或?qū)⒎欠ㄍ饨幽K接入產(chǎn)品；啟動(dòng)辦公設(shè)備產(chǎn)品，核查啟動(dòng)過程是否被阻斷或產(chǎn)生報(bào)警信息；核查可信日志是否有可信如果不符合本單元測(cè)評(píng)要求。測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定外接失敗的記錄。辦公設(shè)備產(chǎn)品應(yīng)能夠基于可通過測(cè)試工具連接辦公設(shè)備信根對(duì)聯(lián)到互聯(lián)網(wǎng)的行為進(jìn)行檢查、限制和告警。品接入互聯(lián)網(wǎng)，核查TCM則不符合本單元測(cè)評(píng)要求。的日志是否包含阻止接入互板或指示燈提示非法接入互聯(lián)網(wǎng)的告警信息。辦公設(shè)備產(chǎn)品應(yīng)能夠基于可1）通過測(cè)試工具連接辦公設(shè)如果2）為肯定，則符合本單信根在通信前采用密碼技術(shù)PC對(duì)通信的驅(qū)動(dòng)程序進(jìn)行可信通過辦公設(shè)備產(chǎn)品驅(qū)動(dòng)下發(fā)本單元測(cè)評(píng)要求。驗(yàn)證。作業(yè)，使用抓包工具抓取數(shù)據(jù)；核查控制終端及TCM核查所抓取的數(shù)據(jù)是否符合辦公設(shè)備產(chǎn)品的可信外接設(shè)計(jì)文檔中的要求。辦公設(shè)備產(chǎn)品如果支持AP熱通過測(cè)試工具連接辦公設(shè)備AP接訪問辦公設(shè)備的AP熱點(diǎn)。式連接辦公設(shè)備產(chǎn)品，核查則不符合本單元測(cè)評(píng)要求。TCM芯片的日志是否包含阻止AP否無法接入成功。辦公設(shè)備產(chǎn)品如果支持遠(yuǎn)程通過測(cè)試工具連接辦公設(shè)備遠(yuǎn)程控制協(xié)議訪問設(shè)備。則不符合本單元測(cè)評(píng)要求。TCM芯片的日志是否包含阻止無法訪問設(shè)備。辦公設(shè)備產(chǎn)品如果支持共享通過測(cè)試工具連接辦公設(shè)備協(xié)議下發(fā)通信請(qǐng)求，核查TCM則不符合本單元測(cè)評(píng)要求。芯片的日志是否包含阻止共否無法訪問設(shè)備?？尚欧雷o(hù)可信計(jì)算辦公設(shè)備產(chǎn)品的增強(qiáng)級(jí)可信防護(hù)測(cè)評(píng)方法的相關(guān)信息見表11。表11 可信防護(hù)測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定可信防護(hù)辦公設(shè)備產(chǎn)品應(yīng)能夠基于預(yù)定義的可信策略阻止：關(guān)鍵進(jìn)程被殺死；c）重要文件被篡改。1）通過測(cè)試工具連接辦公設(shè)成功：對(duì)可信關(guān)鍵程序執(zhí)行殺死操作；對(duì)可信關(guān)鍵模塊實(shí)行卸載操作；對(duì)可信防護(hù)文件進(jìn)行篡改；如果符合本單元測(cè)評(píng)要求。測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定2）核查辦公設(shè)備產(chǎn)品可信日志是否有由控制終端執(zhí)行非法操作的記錄。可信升級(jí)可信計(jì)算辦公設(shè)備產(chǎn)品的增強(qiáng)級(jí)可信升級(jí)測(cè)評(píng)方法的相關(guān)信息見表12。表12 可信升級(jí)測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定可信升級(jí)辦公設(shè)備產(chǎn)品固件不應(yīng)包含已公開的中、高風(fēng)險(xiǎn)漏洞。將產(chǎn)品進(jìn)行固件升級(jí)，核查是否正常升級(jí)至待升級(jí)版本；對(duì)升級(jí)后的產(chǎn)品進(jìn)行漏洞在中、高風(fēng)險(xiǎn)漏洞。如果符合本單元測(cè)評(píng)要求。辦公設(shè)備產(chǎn)品應(yīng)能夠在固件升級(jí)時(shí)使用數(shù)字證書對(duì)升級(jí)用的數(shù)字證書應(yīng)存儲(chǔ)在可信根中。1）通過測(cè)試工具連接辦公設(shè)備產(chǎn)品控制終端，使用具有數(shù)字簽名的固件對(duì)產(chǎn)品進(jìn)行升級(jí)，核查TCM芯片日志是否包含基于數(shù)字證書驗(yàn)簽的記錄，核查可信日志是否有固件文件驗(yàn)簽成功發(fā)生的記錄；2）使用錯(cuò)誤簽名值的固件對(duì)產(chǎn)品進(jìn)行升級(jí)，核查固件是否志是否有固件文件驗(yàn)簽失敗的記錄；核查固件升級(jí)時(shí)是否有數(shù)字驗(yàn)簽的提示；通過測(cè)試工具連接辦公設(shè)以通過控制終端輸出驗(yàn)簽結(jié)果，且結(jié)果與第3）點(diǎn)提示內(nèi)容一致。如果不符合本單元測(cè)評(píng)要求。可信存儲(chǔ)可信計(jì)算辦公設(shè)備產(chǎn)品的增強(qiáng)級(jí)可信存儲(chǔ)測(cè)評(píng)方法的相關(guān)信息見表13。表13 可信存儲(chǔ)測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定可信存儲(chǔ)辦公設(shè)備產(chǎn)品可信根應(yīng)能夠提供安全隔離的內(nèi)部存儲(chǔ)空間用于對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行密封保護(hù)，密封保護(hù)機(jī)制應(yīng)支持基于口令、設(shè)備可信狀態(tài)、進(jìn)程身份等要素的訪問策略制定。核查辦公設(shè)備產(chǎn)品的可信有對(duì)可信根的內(nèi)部存儲(chǔ)空間進(jìn)行基于口令、設(shè)備可信狀略保護(hù)；通過測(cè)試工具連接辦公設(shè)以通過終端申請(qǐng)一塊可信存（例如passwd）如果符合本單元測(cè)評(píng)要求。測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定否能夠?qū)υ撽P(guān)鍵數(shù)據(jù)進(jìn)行讀取操作；核查在不可信狀態(tài)讀取操作。辦公設(shè)備產(chǎn)品應(yīng)能夠基于可信根對(duì)預(yù)定義的策略配置中指定路徑的文件進(jìn)行加密存進(jìn)程、軟件訪問被監(jiān)控文件可信審計(jì)記錄。通過測(cè)試工具連接辦公設(shè)的合法程序?qū)χ付窂降奈姆衲軌蜃柚瓜嚓P(guān)非法操作的行為；核查辦公設(shè)備產(chǎn)品可信日志是否有阻止對(duì)指定路徑文件的非法操作的記錄。如果符合單元測(cè)評(píng)要求?？尚趴刂瓶尚庞?jì)算辦公設(shè)備產(chǎn)品的增強(qiáng)級(jí)可信控制測(cè)評(píng)方法的相關(guān)信息見表14。表14 可信控制測(cè)評(píng)方法表測(cè)評(píng)項(xiàng)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施內(nèi)容單元判定可信控制辦公設(shè)備產(chǎn)品應(yīng)能夠依據(jù)靜通過測(cè)試工具連接辦