SCD物理、逻辑和设备管理特性、具有PIN输入管理报文鉴别密钥生成传输和加载数字签名功能设备环境分类.pdfVIP

GB/T21079.2—XXXX

AA

附录A

（规范性）

SCD基本的物理、逻辑和设备管理特性

A.1概述

本附录的内容可用于任何安全设备的评估，在该设备的专有安全符合性检测清单评估前完成。

下列安全符合性检测清单都要求审计师用“符合（T）”“不符合（F）”和“不适用（N/A）”做

出详细说明。“不符合”标记不表明该项在实际中不可接受，需给出书面解释。对于被标注为“不适用”

的清单，也给出书面解释。

A.2设备特性

A.2.1物理安全性

A.2.1.1概述

所有SCD都需满足A.2.1.2一般安全性、A.2.1.5反攻击性（防篡改响应特性）和A.2.1.3防攻击性（防

篡改证据特性）的要求，但也有些设备需额外满足A2.1.4抗攻击特性（防篡改抵抗特性）。

A.2.1.2一般安全性

评估机构在进行安全评估时，应清楚地了解对设备进行物理和逻辑攻击的技术方法，攻击手段包括

但不限于：

——化学攻击（各种溶剂）；

——扫描攻击（电子显微镜扫描）；

——机械攻击（钻孔、切割、探针探查等）；

——温度攻击（高低温极限测试）；

——射线攻击（X射线）；

——通过隐蔽（侧）信道造成信息泄露（如通过电量消耗、计时等方式）；

——故障攻击。

一般安全性见表A.1。按照表A.1所示内容，给出相应结论，包括符合、不符合或不适用。

表A.1一般安全性

序号安全符合性声明符合不符合不适用

不能被通过监控（如：在有/无设备操作员情况下设备的电磁辐

A1

射）来获得个人识别码（PIN）、密钥或其他秘密信息。

设备通风口和其他入口应被定位和保护，使攻击者不能利用这

A2些入口来探测该设备的内容，如明文PIN、存取代码和密钥，

或者使设备的保护机制失灵。

A3所有敏感数据和密钥，包括剩余数据，都存储在安全模块中。

3

GB/T21079.2—XXXX

表A.1（续）

序号安全符合性声明符合不符合不适用

设备中的所有传输机制都要防止通过监控设备来获取未经许可

A4

的泄露信息。

当设备处于可操作状态时，任何通往设备内部电路的存取入口

A5

都应由一个或多个防撬装置或类似安全机制锁住。

A6设备设计应防止从商业上可得到的组件组装复制品。

若该设备生成随机数或伪随机数，那么数据的生成应遵循

A7

ISO/IEC18031的要求。

若该设备生成随机数或伪随机数，那么影响这些数据的输出应

A8是不可行的，如：通过改变设备所处环境条件，如重新启动或

重新设置设备，或者操作电源/电磁注入。

A.2.1.3防攻击性

防攻击性见表A.2。评估机构按照表A.2内容给出相应结论，包括符合、不符合或不适用。

表A.2防攻击性

序号安全符合性声明符合不符合不适用

设备应经过合理设计，使攻击者不能通过侵入设备而达到以下

目的：

——对设备软件或硬件进行添加、置换或修改（如