安全保密产品检测申请书(2014-4-28)2.2

国家保密科技测评中心

产品检测申请书

申报单位（公章）：

产品名称：

规格型号：

申报日期：年月日

国家保密科技测评中心制

目录

1.声明 (4)

2.《申请书》填写要求 (5)

3.测评中心联系方式 (6)

4.申报单位承诺书 (7)

5.申报单位信息 (8)

5.1单位基本信息 (8)

5.2企业法人营业执照副本复印件 (8)

5.3单位简介 (8)

6.申报单位代理人 (10)

6.1委托书 (10)

6.2产品代理人简况 (10)

6.3产品主要技术负责人简况 (10)

7.产品信息 (11)

7.1产品基本情况 (11)

7.2检测类型 (11)

7.3产品类别 (12)

7.4产品主要开发人员列表 (15)

7.5产品送测清单 (16)

7.6送测产品实物照片 (16)

7.7知识产权情况说明 (16)

7.8特殊说明事项 (16)

7.9其他材料 (16)

8.技术文档 (17)

8.1产品安全目标文档 (17)

8.2配置管理 (22)

8.2.1配置管理能力 (22)

8.2.2配置管理范围 (22)

8.3交付和运行 (23)

8.3.1交付 (23)

8.3.2安装、生成和启动程序 (23)

8.4研制背景介绍文档 (23)

8.5功能规范文档 (23)

8.6高层设计文档 (24)

8.7指导性文档 (24)

8.8测试相关文档 (24)

8.8.1自测报告 (24)

8.8.2测试范围分析 (27)

8.8.3测试深度分析 (27)

8.9生命周期支持相关文档 (27)

8.10产品安全性分析文档 (28)

8.10.1误用分析 (28)

8.10.2安全功能强度分析 (28)

8.10.3脆弱性分析 (28)

8.11关键技术说明文档 (28)

8.12安全保密作用说明文档 (28)

9.附件清单 (29)

1.声明

申请方在正式填写本申请书前，须认真阅读并理解以下内容：

（1）申报单位应在提交产品样品前，严格进行产品自测，确保产品质量。凡产品样品在我中心检测期间因质量问题导致无法安装或工作的，计为一次不合格，由此带来的检测周期延长和检测费用增加等后果，由申报单位承担。

（2）申报单位应确保在本《申请书》、产品外观、包装及相关文档中产品名称、规格型号、申报单位等信息的唯一性和一致性，否则我中心不予受理。

（3）我中心不受理防计算机病毒类产品和密码类产品，请勿提交此两类产品申报材料。

（4）申报材料一律不予退回，请申报方自行留存副本。

（5）测评中心将首先对申报资料进行审查，审查通过后通知申报单位送测产品样品，请勿同时提交申报资料和产品样品。

（6）代理人及申报单位联系邮箱、电话等信息变更时，应及时书面通知我中心。因申报方变更联系信息后未及时告知我中心而导致产品检测终止，我中心概不负责。

（7）在检测过程中，由于产品设计缺陷而导致的产品损坏，我中心概不负责。

（8）申报单位应执对产品检测报告无异议的书面声明至我中心领取产品样品和检测证书；如对报告有关内容存在异议，申请方应在领取报告后7日内以书面形式提交至我中心，我中心将视情况予以处理，逾期不予受理。

2.《申请书》填写要求

（1）《申请书》内容要具体、真实、完整。

（2）若产品由多个单位共同研发，应在第5部分分别详细填写每个单位的信息。

（3）《申请书》应单独胶装成册；用户手册、管理员手册及其它文档可作为附件分别装订，在《申请书》正文有关章节进行引用，在《申请书》第9部分“附件清单”中列出名录并在每份文档封面左上角标注附件序号。

（4）《申请书》需签字盖章同时加盖骑缝章方可有效。

（5）《申请书》提交时应纸质一式两份，刻有《申请书》Word电子版文件和产品基本信息Excel表的光盘一式两张，盘面上标明申报单位名称、产品名称、产品规格型号和申报日期。无电子版的纸质材料，应扫描形成电子版文件，并刻录在光盘中。

3.测评中心联系方式

《申请书》等纸质材料和电子版文件不涉及国家秘密的可邮寄、快递或派人送达测评中心；涉及国家秘密的，必须按涉密文件传递的有关保密规定办理（如：机要交换或专人报送）。

收件人：国家保密科技测评中心产品检测受理室

地址：北京市海淀区交大东路甲56号

邮编：100044

联系电话：010-******** 55622681

投诉电话：010-********

传真：010-******** 55622680

网址：https://www.wendangku.net/doc/d04253847.html,

E-mail: nsstec@https://www.wendangku.net/doc/d04253847.html,

4.申报单位承诺书

承诺书

一、我单位郑重承诺严格保守产品检测活动中知悉的国家保密标准、测评方案和测试方法等国家秘密。

二、我单位郑重承诺已认真阅读并理解了本《申请书》中各项申报要求及相关说明。

三、我单位郑重承诺向国家保密科技测评中心提供不少于两台测试样机，若检测过程中因测试样机自身硬件/软件故障导致样机无法继续使用，我单位将在五个工作日内向国家保密科技测评中心提供同型号、同版本的测试样机，确保检测的顺利进行。

四、我单位郑重承诺送测样品和申请书完全一致，并已经过严格内部测试。

五、我单位郑重承诺产品通过国家保密科技测评中心检测后，我单位在涉密信息系统中销售的产品是通过检测且版本一致的产品。

六、我单位郑重承诺，自觉接受国家保密局、国家保密科技测评中心和社会监督，若违反以上承诺，愿接受相关处理。

法人签字：

单位公章：

年月日

5.申报单位信息

非企业法人应参照以下要求提供证明单位资质的有关信息和证明材料。

5.1单位基本信息

此页内容应与企业法人营业执照副本内容严格一致。

单位全称（中文）

单位全称（英文）

单位性质

业务范围

地址邮政编码

法定代表人姓名职务

法定代表人电话法人代表E-mail

电子邮箱

5.2企业法人营业执照副本复印件

应注明“与原件一致”字样，由法定代表人签字并加盖公司印章。若申报单位为股份制企业，应提供上市公司股票代码，股东名称及持股比例，注明是否有外商（包括港、澳、台）投资，法人签字后加盖公章。

5.3单位简介

应简要介绍单位的基本情况，包括成立背景、主体业务、企业规模、资质和专利、近三年的主要业绩、科研生产能力、质量管理、售

后服务和人员管理等。

6.申报单位代理人

6.1委托书

委托书

本单位申请到国家保密科技测评中心进行产品检测，有关检测事宜委托同志全权代理，请测评中心予以接洽。

法定代表人（签名）：

单位（公章）：

年月日

6.2产品代理人简况

姓名性别年龄现任职务

身份证号码（身份证复印件附后）

办公室电话传真

移动电话（重要）

通信地址邮政编码

电子邮箱（重要）

6.3产品主要技术负责人简况

姓名性别年龄现任职务

身份证号码（身份证复印件附后）

办公室电话传真

移动电话（重要）

通信地址邮政编码

电子邮箱（重要）

7.产品信息

7.1产品基本情况

产品名称（中文）：

产品版本：

产品型号（硬件产品）：

研发单位：

生产厂商：

商标：年销售量：

销售领域：政府部门□ 企事业单位□ 其他□

主要销售单位：

7.2检测类型

（1）检测类型说明

产品检测分为新产品初次检测、产品升级检测和证书延期检测三种类型，检测流程相同。

新产品初次检测：产品初次检测或产品证书已过期的检测。

产品升级检测：申报检测的产品已经具有本中心的检测证书，且证书在有效期内，因产品功能变化导致版本升级而申报的检测。

证书延期检测：申报检测的产品已经具有本中心的检测证书且证书在有效期内，产品功能未做变化而申报的检测。

若为产品升级检测或证书延期检测，则还应提供该产品通过本中心检测的证书和报告复印件；申请证书延期检测时新申报产品名称与规格型号应与原产品一致；申请产品升级检测时产品名称应与原产品一致，产品规格型号应有变化。

（2）本次样品检测的类型为（）

A.新产品初次检测

B. 产品升级检测

C.产品证书延期检测上次通过检测时的产品名称

上次通过检测时的单位名称

检测证书编号报告编号

7.3产品类别

请在下列选项中选择产品类别（三级分类）：

一级分类二级分类三级分类

代码名称代码名称代码名称

A 物理安全A1 环境安全

A101 区域防护

A102 灾难防范与恢复

A103 容灾恢复计划辅助支持A2 载体安全

A201 载体防盗

A202 载体管理

A203 载体销毁

A3 设备安全

A301 设备防盗

A302 设备防毁

A303 防线路截获

A304 抗电磁干扰

A305 电源保护

A0 物理安全其他

B 主机及其计

算环境安全

B1

计算环境防

护

B101 可信计算

B2 防恶意代码

B201 计算机病毒防治（暂不受理）

B202 特定代码防范

B3

操作系统安

全

B301 安全操作系统

B302 操作系统安全增强

B0 主机及其计算环境安全其他

C 网络通信安

全

C1 通信安全

C101 通信鉴别

C102 通信保密

C2 网络监测C201 网络入侵检测

C0 网络通信安全其他

D 边界安全D1 边界隔离

D101 安全隔离卡

D102 安全隔离与信息交换D2 入侵防范

D201 网络入侵防御

D202 网络恶意代码防范

D203 可用性防范（抗DoS）D3

边界访问控

制

D301 防火墙

D302 安全路由器

D303 安全交换机

D4

网络终端安

全

D401 终端接入控制

D0 边界安全其他

E 应用安全

E1 应用服务安全

E0 应用安全其他

F 数据安全F1

电磁泄漏防

护

F101 电磁屏蔽与抑源

F102 电磁泄漏干扰

F2 声泄漏防护F201 防声泄漏

F3 光泄漏防护F301 防光泄漏

F4

数据平台安

全

F401 安全数据库

F402 数据库安全增强

F5 备份与恢复F501 数据备份与恢复

F6 数据保护

F601 数据防篡改

F602 信息消除

F603 数据泄漏防护

F604 数据加密（暂不受理）

F605 密级标志

F7 密码支持

F701 密码设备（暂不受理）

F702 密钥管理（暂不受理）F0 数据安全其他

G 安全管理与

支持

G1 监控与审计

G101 安全审计

G102 安全监控

G2

应急响应支

持

G201 应急计划辅助软件

G202 应急设施

G3 安全保密支

持辅助

G301 安全资产管理

G4 身份鉴别

G401 电子信息鉴别

G402 生物信息鉴别G0 安全管理与支持其他

H 安全保密监

管

H1

系统检测评

估

H101 系统风险评估

H102 安全性检测分析

H2

保密技术检

查

H201 终端保密技术检查

H202 网络保密技术检查H3

保密核查取

证

H301 证据保全

H302 数据恢复

H303 证据分析

H0 安全保密监管其他

Z 其他

7.4产品主要开发人员列表

序号姓名性别年龄职称或职务专业工作岗位工作年限

7.5产品送测清单

应详细提供样品送测时的装箱清单，清单内容应包括软件、硬件、资料和其他相关附件的名称、数量和规格。

7.6送测产品实物照片

（1）应在此处嵌入*.jpeg格式的照片电子版文件，照片中产品上的徽标、名称、型号等应清晰。

（2）软件产品应提供CD盘盒封面与盘贴的电子数码照片（两张、彩色，照片应用图像处理软件将背景设为无色）。

（3）硬件产品应提供产品前面板、后面板及全景图的电子数码照片（各两张、彩色，照片应用图像处理软件将背景设为无色）；应提供开箱后的内部结构照片，该照片上应能看清产品内部结构布局和布线，核心芯片的型号应清晰（或者另附放大照片）。

7.7知识产权情况说明

应提供法人签字且单位盖章的知识产权情况说明。

7.8特殊说明事项

此部分用于对申请书中未涉及但有必要向检测机构进行说明的事项进行表述。

7.9其他材料

（1）如果申请检测的产品是在通用网络设备或自动办公化设备（如打印机、复印机、计算机、服务器、路由器、交换机等）基础上

进行安全保密增强，应提供该产品通过3C认证的相关资料（复印件）。

（2）如果申请检测的产品采用了加密算法，应提供该算法的密码主管部门的批文或商密科研、生产定点单位的相关密码产品授权证明（复印件）。

（3）其他测评机构出具的产品测试报告或证书（复印件）。

（4）申报单位认为有必要提供与产品相关的其他资料。

8.技术文档

8.1产品安全目标文档

应严格按如下格式和内容要求撰写产品安全目标文档。

1 引言

1.1 标识

产品名称和产品规格型号。

1.2 概述

概括介绍产品的类别、形态、主要组成、功能及应用环境。

1.3 研制标准

产品研制所依据的标准名称、版本号和出版日期。对于没有明确可依据标准的，也应明确表述未参考任何标准。

2 产品描述

2.1 产品类型

依据产品功能确定产品类型，如包过滤型防火墙产品、主机监控与审计产品，基于USB Key 终端安全登录的电子信息鉴别产品等。具体分类可参见本申请书“7.3产品类别”。

2.2 产品结构

描述构成产品的硬件、固件和软件的组件或模块。如产品由几个模块或子系统组成，每个模块或子系统的组成及其功能，产品各个模块或子系统对运行环境的要求等。

2.3 产品的范围和边界

对于产品边界的描述应说明哪些属于产品，哪些不属于产品，如产品的日志存储功能需要依靠第三方数据库的支持，但数据库本身不属于产品的范围。最好以图表加入描述语言的方式进行说明。

产品的边界描述应包括：

1) 物理范围和边界。详细介绍构成产品的硬件、软件和固件，以及具体的配置，如硬件产品服务器及其配置，软件光盘等。一般不属于产品物理范围的内容可能包括但不限于：系统运行所需的操作系统环境；数据库应用系统；底层系统提供的安全防护功能。

2) 逻辑范围和边界。描述产品负责提供的IT安全功能，如防火墙包括：安全审计、安全管理、身份鉴别与授权、信息流控制，NA T等。

2.4 应用环境

对产品的使用环境及在其中发挥的作用进行描述。

3 产品安全环境

3.1 假设

（1）对预期如何使用产品进行描述，如预期的应用方式、需要保护的资产及其潜在价值、以及使用产品可能存在的限制。

（2）对产品在物理、人员、连接性等使用环境方面的预期条件进行描述。

a) 物理方面，包括产品的物理位置或附加外围设施的预期条件，如假设管理员控制台需严格限制在某个特定物理环境方可使用；产品放在安全环境中、非授权人员不可进入等。

b) 人员方面，包括安全环境内的用户和产品管理员，或其他人员所作的预期条件，如假设普通用户仅具有确定的最小权限；管理员受过专业训练，政治可靠，技术能力可以胜任并且严格遵循规章制度。

c) 连接性方面，包括产品与产品之外的IT 产品或系统相连的预期条件，如假定产品不会连接任何不可信的网络。

假设示例如下：

名称描述

假设-时间底层操作系统提供的时间是正确的。

3.2 威胁

在所有预期条件均满足的条件下，列出所有与产品安全运行相关的威胁，对列出的每个威胁应单独标识并作出相应的解释说明。应通过威胁主体、攻击方式和被攻击的资产来描述。应描述威胁主体可能具有的专门技术、可用资源和动机等。应描述攻击方式可能具有的攻击方法、可利用的脆弱性和时机等。示例如下：

名称描述

威胁-非授权未授权人员可能会绕过身份鉴别使用产品。

3.3 组织安全策略

组织安全策略主要包括产品及其应用环境必须遵守的法律、法规、规定或指南。例如，组织安全策略可能要求口令生成和加密应符合国家政府制定的标准。示例如下：

名称描述

组织-角色产品必须具有系统管理员、安全保密员和安全审计员。

4 安全目的

4.1产品安全目的

产品采用各种技术措施来满足的产品安全目的，应对产品的每个安全目的进行详细解释，确定其作为产品安全目的的原因。示例如下：

名称描述

安全目的-管理产品应提供仅允许正确管理员进行管理的功能项。

安全目的-身份鉴别在用户使用产品前，产品应能对用户进行身份鉴别。

安全目的-授权在用户使用产品前，产品应能判定用户的授权是否正确且唯一。