信息安全技術(shù) 信息系統(tǒng)保護輪廓和信息系統(tǒng)安全目標編制指南

1、信息安全技術(shù)信息系統(tǒng)保護輪廓和信息系統(tǒng)安全目標編制指南Information security technologyGuide for the production of information system protect profile and information system security target（報批稿）-發(fā)布-實施中中華華人人民民共共和和國國國國家家質(zhì)質(zhì)量量監(jiān)監(jiān)督督檢檢驗驗檢檢疫疫總總局局 中中 國國 國國 家家 標標 準準 化化 管管 理理 委委 員員 會會中中 華華 人人 民民 共共 和和 國國 國國 家家 標標 準準GB/T X X X 200Xeqv UN/EC

2、E/WP.4/R.1212 ICS 35.040L80目 次前 言.III引 言 .IV1 范圍.12 規(guī)范性引用文件.13 術(shù)語和定義.14 ISPP 和 ISST 概述 .14.1 ISPP 和 ISST 的用途.14.2 ISPP 和 ISST 的內(nèi)容.14.3 ISPP 和 ISST 的目標讀者.35 ISPP 和 ISST 的編制過程 .36 ISPP 和 ISST 的描述部分 .46.1 概述 .46.2 ISPP 和 ISST 標識.46.3 ISPP 和 ISST 概述.46.4 ISPP 應(yīng)用注解.47 信息系統(tǒng)描述.57.1 概述 .57.2 信息系統(tǒng)使命描述 .57.3

3、信息系統(tǒng)概要描述 .57.4 信息系統(tǒng)詳細描述 .58 安全保障需求.58.1 概述 .68.2 識別和說明假設(shè) .68.3 識別和說明威脅 .68.4 識別和確定組織安全策略 .108.5 明確安全保障需求定義 .109 安全保障目的.119.1 概述 .119.2 威脅、假設(shè)和組織安全策略的列表 .119.3 信息系統(tǒng)環(huán)境保障目的 .129.4 信息系統(tǒng)安全保障目的 .1210 安全保障要求.1210.1 概述 .1210.2 安全技術(shù)保障要求 .1410.3 安全管理保障要求 .1710.4 ISPP 或 ISST 中的安全工程保障要求.1811 信息系統(tǒng)概要規(guī)范.2011.1 概述 .

4、2011.2 信息系統(tǒng)概要規(guī)范概述 .2011.3 安全保障措施的選擇 .2112 ISPP 聲明 .2212.1 概述 .2212.2 ISPP 引用.2212.3 ISPP 裁剪.2212.4 ISPP 附加項.2213 符合性聲明.2213.1 概述 .2213.2 安全保障目的的符合性聲明 .2213.3 安全保障要求的符合性聲明 .24附錄 A（資料性附錄）從 GB/T 20274.2-2008 選取 STRS.27附錄 B（資料性附錄）從 GB/T 20274.3-2008 選取 SMRS .31附錄 C（資料性附錄）從 GB/T 20274.4-2008 選取 SERS.34參考

5、文獻.36前 言本指導(dǎo)性技術(shù)文件是GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評估框架的配套指南文件，為信息系統(tǒng)保護輪廓（Information System Protect ProfileISPP）和信息系統(tǒng)安全目標（Information System Security TargetISST）的編制提供指南。本指導(dǎo)性技術(shù)文件由全國信息安全標準化技術(shù)委員會提出并歸口。本指導(dǎo)性技術(shù)文件主要起草單位：中國信息安全測評中心。本指導(dǎo)性技術(shù)文件主要起草人：江常青、彭勇、張利、姚軼嶄、佟鑫、胡衛(wèi)華、江典盛、陸麗、付敏、周瑾、張怡、李國俊。引 言本指導(dǎo)性技術(shù)文件依據(jù)GB/T 20274信息安全技術(shù)

6、信息系統(tǒng)安全保障評估框架，為信息系統(tǒng)保護輪廓（ISPP）和信息系統(tǒng)安全目標（ISST）的編制提供指南。本指導(dǎo)性技術(shù)文件的使用者應(yīng)熟悉GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評估框架的4個組成部分。本指導(dǎo)性技術(shù)文件不解決諸如信息系統(tǒng)保護輪廓注冊和知識產(chǎn)權(quán)保護的問題（如：專利）。信息安全技術(shù)信息系統(tǒng)保護輪廓和信息系統(tǒng)安全目標編制指南1范圍本指導(dǎo)性技術(shù)文件描述信息系統(tǒng)保護輪廓（ISPP）和信息系統(tǒng)安全目標（ISST）的編制過程，為編寫ISPP和ISST提供指導(dǎo)，并在附錄中給出從GB/T 20274 中選取安全保障要求組件的列表，以供參考。2規(guī)范性引用文件本指導(dǎo)性技術(shù)文件的條款引用了下列文件

7、中的有關(guān)條款。凡注明日期或版次的引用文件，其后的任何修改（不包括勘誤的內(nèi)容）或修訂版本都不適用于本指導(dǎo)性技術(shù)文件。凡沒有注明日期或版次的引用文件，其最新版本適用于本指導(dǎo)性技術(shù)文件。GB/T 20274.1-2006 信息安全技術(shù) 信息系統(tǒng)安全保障評估框架 第1部分： 簡介和一般模型GB/T 20274.2-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評估框架 第2部分： 技術(shù)保障GB/T 20274.3-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評估框架 第3部分： 管理保障GB/T 20274.4-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評估框架 第4部分： 工程保障3術(shù)語和定義GB/T 2027

8、4.1-2006、GB/T 20274.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008中的術(shù)語、定義和縮略語適用于本指導(dǎo)性技術(shù)文件。4ISPP 和 ISST 概述 4.1ISPP 和 ISST 的用途GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評估框架的主要用途是表達信息系統(tǒng)的安全保障要求。信息系統(tǒng)有許多不同的種類，每個信息系統(tǒng)運行于特定的現(xiàn)實環(huán)境中，受到來自于組織內(nèi)部與外部環(huán)境的約束。因此對于不同的信息系統(tǒng)，通常有不同的安全保障要求。GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評估框架中用ISPP和ISST來表達某一類信息系統(tǒng)和某一個特定信息

9、系統(tǒng)的安全保障要求。信息系統(tǒng)的所有者運用ISPP來描述某一類信息系統(tǒng)標準化、結(jié)構(gòu)化和規(guī)范化的安全保障需求。信息系統(tǒng)的開發(fā)者依據(jù)ISPP針對特定的信息系統(tǒng)編制相應(yīng)的ISST，描述其特定用戶系統(tǒng)的安全保障需求以及對ISPP的滿足情況。4.2ISPP 和 ISST 的內(nèi)容GB/T 20274.1-2006的圖A.1中描述了ISPP中所要求的內(nèi)容條目。表1是本指導(dǎo)性技術(shù)文件推薦ISPP使用的樣本目錄清單結(jié)構(gòu)。GB/T 20274.1-2006的圖B.1中描述了ISST所要求的內(nèi)容條目。表2是本指導(dǎo)性技術(shù)文件推薦ISST使用的樣本目錄清單結(jié)構(gòu)。表 1 安全保護輪廓樣本目錄清單1ISPP 描述1.1 IS

10、PP標識1.2 ISPP概述2信息系統(tǒng)描述1.1使命描述1.2信息系統(tǒng)概要描述1.3信息系統(tǒng)詳細描述3安全保障需求3.1 假設(shè)3.2 威脅3.3 組織安全策略4安全保障目的4.1 信息系統(tǒng)安全技術(shù)保障目的4.2 信息系統(tǒng)安全管理保障目的4.3 信息系統(tǒng)安全工程保障目的5安全保障要求5.1 信息系統(tǒng)安全保障要求5.2 信息系統(tǒng)安全技術(shù)保障要求5.3 信息系統(tǒng)安全管理保障要求5.4 信息系統(tǒng)安全工程保障要求6ISPP應(yīng)用注解7符合性聲明7.1 安全目的符合性聲明7.2 安全要求符合性聲明表 2 安全目標樣本目錄清單1ISST 描述1.1 ISST標識1.2 ISST概述2信息系統(tǒng)描述1.1使命描述

11、1.2信息系統(tǒng)概要描述1.3信息系統(tǒng)詳細描述3安全保障需求3.1 假設(shè)3.2 威脅3.3 組織安全策略4安全保障目的4.1 信息系統(tǒng)安全技術(shù)保障目的4.2 信息系統(tǒng)安全管理保障目的4.3 信息系統(tǒng)安全工程保障目的5安全保障要求5.1 信息系統(tǒng)安全保障要求5.2 信息系統(tǒng)安全技術(shù)保障要求5.3 信息系統(tǒng)安全管理保障要求5.4 信息系統(tǒng)安全工程保障要求6信息系統(tǒng)概要規(guī)范6.1 信息系統(tǒng)安全保障要求6.2 信息系統(tǒng)安全技術(shù)保障6.3 信息系統(tǒng)安全管理保障6.4 信息系統(tǒng)安全工程保障7ISPP聲明7.1 ISPP引用7.2 ISPP剪裁7.3 ISPP附加項8符合性聲明8.1 安全目的符合性聲明8.2

12、 安全要求符合性聲明ISPP或ISST的描述部分標識了ISPP或ISST的信息系統(tǒng)，并概要描述了ISPP或ISST。ISPP概述可以被ISPP文檔的編目和注冊引用。信息系統(tǒng)描述提供了信息系統(tǒng)（或信息系統(tǒng)類型）的一般信息，幫助目標讀者理解信息系統(tǒng)的安全要求和信息系統(tǒng)的預(yù)期使用方法。ISST的信息系統(tǒng)描述應(yīng)該包括信息系統(tǒng)使命描述、信息系統(tǒng)概要描述和信息系統(tǒng)詳細描述。安全保障需求是信息系統(tǒng)所處環(huán)境的安全保障需求，即信息系統(tǒng)的預(yù)期使用方式、預(yù)期使用的環(huán)境范圍和特征。安全環(huán)境詳細描述了用于定義安全保障需求的假設(shè)、預(yù)期使用的范圍、資產(chǎn)所面臨的已知威脅以及信息系統(tǒng)必須遵從的組織安全策略。安全保障目的提供與安

13、全保障需求相對應(yīng)的一致性聲明。這部分的詳盡說明見本指導(dǎo)性技術(shù)文件第9章。安全保障要求包括信息系統(tǒng)的安全技術(shù)保障要求、安全管理保障要求和安全工程保障要求，分別使用GB/T 20274.2-2008、GB/T 20274.3-2008和GB/T 20274.4-2008中的功能組件和保證組件來描述。這部分的詳盡說明見本指導(dǎo)性技術(shù)文件第10章。ISPP應(yīng)用注解是ISPP的可選部分，它提供了ISPP有用的附加的信息。信息系統(tǒng)概要規(guī)范包括由信息系統(tǒng)提供的用于滿足特定安全保障要求的安全功能，以及所有聲明滿足特定安全保障要求的安全保障措施。這部分的詳盡說明見本指導(dǎo)性技術(shù)文件第11章。ISPP聲明是ISST的

14、可選部分，用于聲明ISST遵從和滿足的所有ISPP，以及對ISPP內(nèi)容的補充或裁減。這部分的詳盡說明見本指導(dǎo)性技術(shù)文件第12章。4.3ISPP 和 ISST 的目標讀者ISPP和ISST目標讀者可分為：a)用戶用戶需要了解遵從 ISPP 的信息系統(tǒng)應(yīng)該采取哪些安全保障措施；b)開發(fā)者開發(fā)者需要獲得清晰的安全保障要求，以便去構(gòu)建符合 ISPP 的信息系統(tǒng)；c)評估者ISPP 或 ISST 評估者需要獲得相關(guān)的證實 ISPP 或 ISST 技術(shù)正確性和有效性的信息。 ISPP或ISST的描述、信息系統(tǒng)描述、安全保障需求以及安全保障目的等部分主要針對用戶。同時，信息系統(tǒng)開發(fā)者也應(yīng)該認真了解安全保障需

15、求和安全保障目的。ISPP中的安全保障要求部分、ISST中的信息系統(tǒng)概要規(guī)范部分主要針對信息系統(tǒng)的開發(fā)者。ISPP或ISST主要針對評估者。5ISPP 和 ISST 的編制過程信息系統(tǒng)安全保障要求根本上來源于對信息系統(tǒng)的目的、環(huán)境及其本身的考慮。圖1闡明了ISPP和ISST的編制過程。在GB/T 20274.1-2006附錄A和附錄B中，要求ISPP與ISST的編制應(yīng)按邏輯順序以“自上而下”的方式進行。例如，ISPP的編制順序是：a)定義安全保障需求；b)確認與安全保障需求對應(yīng)的安全保障目的； c)定義滿足安全保障目的的安全保障要求。ISPP與ISST的編制可能需要多次迭代，從而反映信息系統(tǒng)內(nèi)

16、部或外部環(huán)境的產(chǎn)生的新需求。例如： a)出現(xiàn)新的威脅；b)組織安全策略發(fā)生變化；c)信息系統(tǒng)的使命發(fā)生變化。圖1 ISPP和ISST的產(chǎn)生過程6ISPP 和 ISST 的描述部分6.1概述 本章為規(guī)范ISPP和ISST的描述部分提供指南，即：a)ISPP 和 ISST 標識；b)ISPP 和 ISST 概述；c)ISPP 應(yīng)用注解。6.2ISPP 和 ISST 標識ISPP或ISST標識部分應(yīng)能提供足夠的信息，唯一標識出ISPP或ISST。ISPP或ISST標識部分至少包括具有唯一版本的ISPP或ISST名稱，以及用于標識信息系統(tǒng)的內(nèi)容（例如，信息系統(tǒng)的名稱和版本號）。標識部分還需包括用于編制

17、ISPP或ISST的GB/T 20274.1-2006的版本信息，以便于版本控制。 6.3ISPP 和 ISST 概述根據(jù)GB/T 20274.1-2006的要求，概述部分應(yīng)概要性描述ISPP或ISST。該部分應(yīng)包括ISPP或ISST所關(guān)注的、最主要的安全問題，作為編制者判斷ISPP或ISST是否適合的依據(jù)。6.4ISPP 應(yīng)用注解ISPP應(yīng)用注解是ISPP中的可選項，可以自成一節(jié)，也可以將特定注釋內(nèi)容分散到ISPP的相應(yīng)部分，例如與安全保障要求一起描述。ISPP應(yīng)用注釋的一個典型應(yīng)用是提供如何在信息系統(tǒng)上下文中解釋特定安全保障要求的說明，或ISST編制者的操作建議。如果ISPP應(yīng)用注解被整合

18、到整個ISPP中，建議清楚地標識出該應(yīng)用注解，以使讀者能夠清楚地知道它是說明性的文本。7信息系統(tǒng)描述7.1概述 本章為描述一個完整的信息系統(tǒng)提供指南。一個完整的信息系統(tǒng)描述應(yīng)包括信息系統(tǒng)使命描述、信息系統(tǒng)概要描述和信息系統(tǒng)詳細描述三部分。7.2信息系統(tǒng)使命描述信息系統(tǒng)使命，即從目的和意義對信息系統(tǒng)進行高層描述，它是信息系統(tǒng)根本和本質(zhì)的要求。7.3信息系統(tǒng)概要描述信息系統(tǒng)概要描述是對信息系統(tǒng)進行概括性說明和描述，內(nèi)容如下：a)信息系統(tǒng)：包括信息系統(tǒng)名稱、所屬的組織機構(gòu)及其地點和最終用戶及其地點等相關(guān)信息；b)信息系統(tǒng)環(huán)境：描述信息系統(tǒng)的運行、開發(fā)、集成和維護的環(huán)境；c)信息系統(tǒng)評估邊界和接口：描

19、述信息系統(tǒng)的邊界和相應(yīng)的外部接口，此描述建議采用圖表和文字相結(jié)合的方式，清晰地描述和界定信息系統(tǒng)部件和邊界；d)信息系統(tǒng)安全域：根據(jù)信息系統(tǒng)的重要性（描述信息系統(tǒng)的重要程度以及可接受的風險級別）、數(shù)據(jù)的分類和密級（描述信息系統(tǒng)所處理的數(shù)據(jù)類型和機密級別）、以及系統(tǒng)用戶（描述使用系統(tǒng)的用戶）等方面劃分系統(tǒng)的安全域。7.4信息系統(tǒng)詳細描述從管理體系、技術(shù)體系和業(yè)務(wù)體系分別對信息系統(tǒng)進行詳細描述。a)管理體系：在管理體系中，需要對信息系統(tǒng)現(xiàn)有的組織結(jié)構(gòu)、所使用的規(guī)章制度和所涉及的重要資產(chǎn)進行描述。組織機構(gòu)：描述同信息系統(tǒng)相關(guān)的管理/使用/開發(fā)/集成/支持等組織機構(gòu)，特別是與安全保障管理相關(guān)的組織機構(gòu)

20、的描述；規(guī)章制度：列出目前使用的、同信息系統(tǒng)管理相關(guān)的規(guī)章制度和相關(guān)； 資產(chǎn)：描述了信息系統(tǒng)的物理資產(chǎn)（信息系統(tǒng)中的各種硬件、軟件和物理設(shè)施）和信息資產(chǎn)（在信息系統(tǒng)計劃組織、開發(fā)采購、實施交付、運行維護和廢棄生命周期過程中產(chǎn)生的、有價值的信息以及信息系統(tǒng)所存儲、處理和傳輸?shù)母鞣N辦公、管理和業(yè)務(wù)等信息）。b)技術(shù)體系：技術(shù)體系是信息系統(tǒng)描述的核心，對信息系統(tǒng)的應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和技術(shù)標準進行描述。技術(shù)體系的描述為業(yè)務(wù)體系的描述提供支持。網(wǎng)絡(luò)基礎(chǔ)設(shè)施：描述信息系統(tǒng)的網(wǎng)絡(luò)層次等網(wǎng)絡(luò)體系結(jié)構(gòu)；應(yīng)用：描述信息系統(tǒng)應(yīng)用的技術(shù)架構(gòu)；技術(shù)標準：描述應(yīng)用所采用的技術(shù)標準。c)業(yè)務(wù)體系：基于技術(shù)體系，業(yè)務(wù)體系對組

21、織機構(gòu)的主要業(yè)務(wù)進行分類和描述，并通過業(yè)務(wù)流程和業(yè)務(wù)信息流來進一步解釋。主要業(yè)務(wù)：列出組織機構(gòu)的主要業(yè)務(wù)并進行描述；業(yè)務(wù)流程：基于組織機構(gòu)對主要業(yè)務(wù)的流程進行描述；業(yè)務(wù)信息流：描述主要業(yè)務(wù)的接口和相應(yīng)數(shù)據(jù)流，數(shù)據(jù)流描述應(yīng)包括數(shù)據(jù)的類型以及數(shù)據(jù)傳送的方式。8安全保障需求8.1概述 本章為定義在ISPP或ISST中描述信息系統(tǒng)的安全保障需求提供指南，這一部分內(nèi)容的要求見GB/T 20274.1-2006的附錄定義安全保障需求首先應(yīng)識別信息系統(tǒng)的安全環(huán)境，根據(jù)安全環(huán)境定義信息系統(tǒng)的安全保障需求。安全環(huán)境應(yīng)描述信息系統(tǒng)的預(yù)期使用方式以及使用的環(huán)境范圍和特征。安全環(huán)境描述應(yīng)包括假設(shè)、威脅和組織安全策略，

22、如圖2所示。圖2 定義安全保障需求的過程本節(jié)包括以下內(nèi)容： a)依據(jù)信息系統(tǒng)安全環(huán)境的假設(shè)，定義出“安全保障需求”的范圍； b)依據(jù)需要保護的系統(tǒng)資產(chǎn)，包括：信息系統(tǒng)環(huán)境或信息系統(tǒng)本身典型的資產(chǎn)，以及已知的威脅主體和對系統(tǒng)資產(chǎn)的威脅； c)在處理安全保障需求時，必須服從的所有組織安全策略。 8.2識別和說明假設(shè) GB/T 20274.1-2006要求ISPP或ISST的信息系統(tǒng)安全環(huán)境部分包括安全環(huán)境的假設(shè)或信息系統(tǒng)的預(yù)期用途。首先需要回答下面的問題：對于信息系統(tǒng)安全環(huán)境和安全保障需求范圍，應(yīng)做出什么假設(shè)？例如，可能需要給出幾個假設(shè)來保證某個系統(tǒng)的潛在威脅實際上是與信息系統(tǒng)環(huán)境無關(guān)的。常用的假

23、設(shè)類型：a)有關(guān)信息系統(tǒng)預(yù)期用途的假設(shè)； b)信息系統(tǒng)任一部分的環(huán)境（例如，物理的）保護假設(shè)；c)連通性假設(shè)，例如信息系統(tǒng)與其他系統(tǒng)之間的網(wǎng)絡(luò)連接點；d)人員方面的假設(shè)，例如預(yù)期的用戶權(quán)限類型，他們的一般責任以及假設(shè)給予這些用戶的信任度等。通常情況下，不太可能一次就完全識別出所有假設(shè)，而應(yīng)在ISPP或ISST的整個編制過程中不斷識別出更多的假設(shè)。特別是在編制ISPP或ISST符合性聲明時，例如在闡明安全保障目的適于對抗已知的威脅時，應(yīng)考慮該威脅是否包含在ISPP或ISST的陳述中。為方便引用，建議對每個假設(shè)設(shè)定唯一的名稱或編號進行標識。8.3識別和說明威脅8.3.1概述GB/T 20274.1

24、-2006要求ISPP或ISST包括所有對要保護資產(chǎn)的威脅的描述（見GB/T 20274.1-2006的附錄），但GB/T 20274.1-2006還指出：如果安全保障目的僅源于組織安全策略，也就是“安全保障需求”完全由組織的安全策略和假設(shè)來定義，那么就可以不需要進行威脅分析。例如，在回應(yīng)招標書或投標邀請書給出的組織安全策略就屬于這種情況。在ISPP或ISST中安全需求被陳述為“威脅”會比陳述為相應(yīng)的“組織安全策略”要好，因為這有助于對安全需求的理解。另外，如果只使用組織安全策略陳述安全需求，那么可能出現(xiàn)不能及時更新假設(shè)威脅組織安全策略安全保障需求定義當前威脅的風險。風險分析的重要意義在于正確

25、地識別資產(chǎn)以及對于資產(chǎn)的威脅，不應(yīng)低估風險分析的重要性。如果風險分析做不好，可能出現(xiàn)下列情況：a)信息系統(tǒng)可能會提供不充分的保護，那么組織的資產(chǎn)就可能面臨不可接受的風險；b)可能過高估計威脅，從而提高了實現(xiàn)成本及保障要求，并限制了潛在解決方案。GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評估框架沒有提供風險分析的框架和組織規(guī)范，識別資產(chǎn)威脅的詳細討論也超出了本指導(dǎo)性技術(shù)文件的范圍，為了保持本指導(dǎo)性技術(shù)文件內(nèi)容的完整性，下面將陳述有關(guān)的一般性原理，另參見GB/T 20274.1-2006的第5章。有關(guān)這一主題的詳細指南，讀者可參考GB/T 20984-2007 信息安全技術(shù) 信息安全風險評

26、估規(guī)范等標準。8.3.2識別威脅8.3.3什么是威脅威脅是指那些不希望發(fā)生的事件，可能由已知的威脅主體引起，而使資產(chǎn)面臨風險，注意：對組織安全策略和假設(shè)的違背不應(yīng)算作風險。要識別風險是什么，應(yīng)回答下列問題： a)需要保護的資產(chǎn)是什么？b)威脅主體是什么？c)需要保護資產(chǎn)免于什么攻擊方法或事件造成的損害？ 8.3.4識別資產(chǎn)在一個組織中，資產(chǎn)有多種表現(xiàn)形式，同樣的兩個資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同，而且對于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運行的系統(tǒng)數(shù)量可能更多。這時首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進行恰當?shù)姆诸悾缓髮Y產(chǎn)進行識別，以此為基礎(chǔ)進行下一步的風險評估。在實際工作中，具體的資產(chǎn)

27、分類方法可以根據(jù)具體的評估對象和要求，由評估者靈活把握。例如根據(jù)資產(chǎn)的表現(xiàn)形式進行分類，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類型，如表3所示（參見 GB/T 20984-2007 信息安全技術(shù) 信息安全風險評估規(guī)范）。識別資產(chǎn)的描述應(yīng)包括資產(chǎn)的價值、資產(chǎn)所有者、責任人等。表 3 資產(chǎn)分類8.3.5識別攻擊方法在確定要保護的資產(chǎn)和威脅主體之后，下一步就是識別可能導(dǎo)致資產(chǎn)受損的攻擊方法，應(yīng)基于對信息系統(tǒng)環(huán)境的了解來確認攻擊方法，如： 內(nèi)部人員攻擊； 被動攻擊； 主動攻擊； 物理臨近攻擊； 分發(fā)攻擊。各種攻擊方式具體解釋如下：a)內(nèi)部人員攻擊內(nèi)部人員威脅通常由內(nèi)部合法人員造成，他們具有對

28、信息系統(tǒng)的合法訪問權(quán)限。威脅分為惡意和非惡意兩種，即惡意攻擊和非惡意威脅。惡意攻擊是內(nèi)部人員出于各種目的，對所使用的信息系統(tǒng)實施攻擊。非惡意威脅是由于合法用戶的無意行為造成了對系統(tǒng)的攻擊，他們并非故意要破壞信息和系統(tǒng)，但由于誤操作、經(jīng)驗不足、培訓(xùn)不足而導(dǎo)致一些特殊的行為，對系統(tǒng)造成了無意的破壞。典型的內(nèi)部人員攻擊：1)惡意修改數(shù)據(jù)和安全機制配置參數(shù)；2)惡意建立未授權(quán)的網(wǎng)絡(luò)連接，如：撥號連接；3)惡意的物理損壞和破壞；4)無意的數(shù)據(jù)損壞和破壞，如：誤刪除。b)被動攻擊被動攻擊主要包括被動監(jiān)視開放的通信信道（如：無線電、衛(wèi)星、微波和公共通信網(wǎng)絡(luò)）上的傳送信息。被動攻擊主要是了解所傳送的信息，一般

29、不易被發(fā)現(xiàn)。典型例子如下：分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語句包、工具軟件、各種庫等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、小型機、服務(wù)器、工作站、臺式計算機、移動計算機等存儲設(shè)備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗

30、證等其他：打印機、復(fù)印機、掃描儀、傳真機等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS） ，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展的各類服務(wù)文檔紙質(zhì)的各種文件，如傳真、電報、財務(wù)報告、發(fā)展計劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機維護主管、網(wǎng)絡(luò)維護主管及應(yīng)用項目經(jīng)理等其他企業(yè)形象，客戶關(guān)系等1)監(jiān)視通信數(shù)據(jù)；2)解密加密不當?shù)耐ㄐ艛?shù)據(jù)；3)口令截獲；4)通信量分析。c)主動攻擊主動攻擊是攻擊者主動對信息系統(tǒng)實施攻擊，包括企圖避開安全保護，引入惡意代碼，以及破壞數(shù)據(jù)和系統(tǒng)的完整性。典型的例子有：1)修改傳輸中

31、的數(shù)據(jù)；2)重放所截獲的數(shù)據(jù)；3)插入數(shù)據(jù)；4)盜取合法建立的會話；5)偽裝；6)越權(quán)訪問；7)利用緩存區(qū)溢出（BOF）漏洞執(zhí)行代碼；8)插入和利用惡意代碼（如：特洛依木馬、后門、病毒等）；9)利用協(xié)議、軟件、系統(tǒng)故障和后門；10) 拒絕服務(wù)攻擊。d)鄰近攻擊（接近攻擊）此類攻擊的攻擊者試圖在地理上盡可能接近被攻擊的網(wǎng)絡(luò)、系統(tǒng)和設(shè)備，目的是修改、收集信息，或者破壞系統(tǒng)。這種接近可以是公開的和秘密進入的，也可以是兩種都有，典型案例有：1)修改數(shù)據(jù)；2)收集信息；3)偷竊；4)物理破壞。e)分發(fā)攻擊分發(fā)攻擊是指在系統(tǒng)軟件和硬件的開發(fā)、生產(chǎn)、運輸、安裝階段，攻擊者惡意修改設(shè)計、配置等行為。例如：1)

32、利用開發(fā)制造商的設(shè)備上修改軟硬件配置；2)在產(chǎn)品分發(fā)、安裝時修改軟硬件配置。8.3.6說明威脅識別出信息系統(tǒng)或環(huán)境所處理的威脅之后，下一步就是將它們列入ISPP或ISST中。如前所述，信息系統(tǒng)安全環(huán)境部分應(yīng)清晰簡明地陳述安全保障需求。 為了提供清晰的威脅說明，威脅說明應(yīng)包括以下細節(jié)： a)威脅主體（例如，信息系統(tǒng)的授權(quán)用戶）；b)受威脅控制的資產(chǎn)（例如，敏感數(shù)據(jù)）； c)使用的攻擊方法（例如，假冒的信息系統(tǒng)授權(quán)用戶）。陳述威脅的具體示例如下： 攻擊者可能通過假冒信息系統(tǒng)的授權(quán)用戶，未經(jīng)授權(quán)訪問信息或資源； 信息系統(tǒng)的授權(quán)用戶可能假冒其他信息系統(tǒng)的授權(quán)用戶，未經(jīng)授權(quán)地訪問信息或資源。如果將威脅描

33、述與描述項的解釋、資產(chǎn)受到的威脅范圍、以及威脅主體可能使用的攻擊方法一起綜合陳述，那么讀者就比較容易理解威脅描述。例如，上面陳述的威脅示例中，處于風險中的資產(chǎn)是用戶或假冒的用戶有權(quán)訪問或獲取這些假冒的一系列的信息和資源。 為有助于確保簡明描述威脅，威脅描述應(yīng)盡可能獨立，即：不同威脅之間應(yīng)盡可能不重疊。這樣既有助于避免使ISPP或ISST讀者產(chǎn)生混肴，也可以通過避免不必要的重復(fù)來簡化ISPP或ISST符合性聲明。 如果以同樣詳細程度陳述所有威脅，那么威脅之間的重疊就容易避免。例如，如果特定攻擊情節(jié)與在ISPP或ISST的其他部分陳述的一般威脅有關(guān)，那么就不要陳述這樣的威脅，因為它描述的是已詳細說

34、明了的對特定資產(chǎn)的攻擊方法。每個威脅都應(yīng)唯一標識以方便引用，標識方式有： a)采用連續(xù)的編號進行標識 （例如 T1、T2、T3 等）； b)采用簡短而有意義的名稱進行標識。第一種方法的優(yōu)點是，編號通常很短，并易于參考。第二種方法的優(yōu)點是，使用名稱作為標識，名稱具有充分的含義并且容易記憶。然而，在使用第二種標識方法時，由于實際中限制名稱中字符數(shù)量，并且名稱還要含義準確和易于記憶，因此，不可能在所有情況下都分配一個完整定義的標識。威脅描述不應(yīng)僅涉及那些直接危害被保護資產(chǎn)的事件，還應(yīng)要考慮對資產(chǎn)的間接威脅，即針對威脅的措施間接導(dǎo)致資產(chǎn)損失的攻擊，例如對信息系統(tǒng)安全功能的旁路或篡改攻擊。針對間接威脅，

35、要特別注意以下幾點： a)不要將間接威脅作為信息系統(tǒng)安全環(huán)境，否則會使讀者過早涉及信息系統(tǒng)的實現(xiàn)細節(jié)，從而產(chǎn)生困惑；b)不要將間接威脅納入已有的威脅范圍之內(nèi)。 例如，如果威脅X可能損害資產(chǎn)Y，則任何旁路對抗威脅X的措施也可能導(dǎo)致資產(chǎn)Y的損害。由于這種旁路威脅是一種已經(jīng)隱含在威脅X內(nèi)的攻擊方法，不應(yīng)再將它作為單獨的威脅陳述出來。 還應(yīng)注意到，當需要選擇GB/T 20274.1-2006中有依賴關(guān)系的組件形成安全保障要求時，必須考慮對信息系統(tǒng)安全措施的攻擊方法，比如旁路或篡改攻擊。任何對信息系統(tǒng)安全功能的可行攻擊都應(yīng)在信息系統(tǒng)評估期間被全部羅列出來。 8.4識別和確定組織安全策略GB/T 2027

36、4.1-2006的附錄要求信息系統(tǒng)安全環(huán)境部分包括信息系統(tǒng)必須服從的所有組織安全策略的描述，但GB/T 20274.1-2006又指出：如果安全保障目的僅源于威脅，也就是“安全保障需求”完全由威脅來定義，那么就可以忽略組織安全策略的陳述。組織安全策略是指組織機構(gòu)為保障其運轉(zhuǎn)而規(guī)定的若干安全規(guī)則、程序、規(guī)范和指南。組織安全策略可能需要由信息系統(tǒng)或其環(huán)境或由兩者一起實施。 如果ISPP或ISST指定了組織安全策略及威脅，那么就應(yīng)在信息系統(tǒng)安全環(huán)境部分給出安全保障需求的簡明陳述。僅以不同形式簡單重述某個威脅的組織安全策略，通常是無用的。該現(xiàn)象僅出現(xiàn)在組織強制要求對某個組織安全策略進行聲明的情況，實際

37、上這個組織安全策略是對一個已存在的威脅的重新聲明。例如，如果已經(jīng)識別出一個威脅“非授權(quán)者可能獲得對信息系統(tǒng)的邏輯訪問”，再給出如下陳述的組織安全策略“必須在信息系統(tǒng)訪問被接納之前鑒別信息系統(tǒng)的合法用戶”，并不會賦予更多信息。這個組織安全策略不僅以不同方式重述這個威脅，而且也重復(fù)了安全保障目的的定義。如果只陳述一次，ISPP或ISST將更清晰易懂。 一般的規(guī)則是：信息系統(tǒng)預(yù)期由特定組織或一類組織使用，或信息系統(tǒng)需要實現(xiàn)一組明顯不包含或僅隱含在威脅描述中的規(guī)則時，制定出組織安全策略才是適當?shù)?。例如：a)標識所使用的信息流控制規(guī)則； b)標識所使用的訪問控制規(guī)則； c)定義有關(guān)安全審計的組織策略；d

38、)強制性要求，例如使用特別批準的密碼算法，或使用與認定的指南相一致的密碼算法。應(yīng)唯一標識每個組織安全策略以便于引用。 8.5明確安全保障需求定義定義安全保障需求的最后一個階段是完成安全保障需求定義詳述，包括兩件工作： 準備假設(shè)、威脅、組織安全策略的列表； 執(zhí)行一致性和完整性檢查，確定安全保障需求。9安全保障目的9.1概述 本章提供在ISPP或ISST中識別和制定安全保障目的的指南，這方面要求見GB/T 20274.1-2006的附錄安全保障目的是對安全保障需求預(yù)期響應(yīng)的簡明陳述，換言之，如果在安全環(huán)境中已經(jīng)陳述了安全保障需求，那么就必須在安全保障目的的陳述中明確地界定出安全保障需求是由信息系統(tǒng)

39、還是由環(huán)境來滿足或?qū)崿F(xiàn)的。如圖3所示：圖3 安全保障目的的作用圖3中明確標識出GB/T 20274.1-2006要求的兩種類型的安全保障目的，它們在ISPP或ISST中是明確分開的： a)信息系統(tǒng)安全保障目的，由信息系統(tǒng)的安全保障措施來滿足；b)環(huán)境安全保障目的，由信息系統(tǒng)外部環(huán)境來滿足，例如國家或行業(yè)的政策與法律法規(guī)。信息系統(tǒng)的安全保障目的包括由信息系統(tǒng)安全保障控制措施和信息系統(tǒng)安全保障能力級別。信息系統(tǒng)安全保障目的基于下面一系列的步驟產(chǎn)生：a)安全保障目的要覆蓋所有威脅、組織安全策略和假設(shè)；b)識別信息系統(tǒng)安全保障目的；c)識別環(huán)境安全保障目的；d)關(guān)聯(lián)威脅、組織安全策略和假設(shè)的安全保障目

40、的的符合性聲明。9.2威脅、假設(shè)和組織安全策略的列表首先，從安全保障需求定義中裁減所有適用的威脅、組織安全策略和假設(shè)的列表。特別是由于假設(shè)不會產(chǎn)生安全保障目的的威脅，這些威脅應(yīng)被裁減。保留下的威脅、組織安全策略和假設(shè)應(yīng)按照以下類型區(qū)分： 與信息系統(tǒng)環(huán)境有關(guān)的； 與信息系統(tǒng)有關(guān)的。9.3信息系統(tǒng)環(huán)境保障目的環(huán)境安全保障目的使用唯一性標識以便于引用，采用的標識方法最好能區(qū)別環(huán)境安全保障目的和信息系統(tǒng)安全保障目的。如果采用序列編號，應(yīng)為兩類安全保障目的分別編號（如對環(huán)境安全保障目的使用OE1、OE2、OE3等）。9.4信息系統(tǒng)安全保障目的信息系統(tǒng)安全保障目的可進一步細分為安全技術(shù)保障目的、安全管理保

41、障目的和安全工程保障目的。安全技術(shù)保障目的，是從信息系統(tǒng)安全角度達到信息系統(tǒng)安全保障目標。可將安全技術(shù)保障目的進一步分解為對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的目的、對邊界安全的目的、對計算環(huán)境的目的和對支撐性安全基礎(chǔ)設(shè)施的目的以及端到端的安全技術(shù)保障目的。安全管理保障目的，是根據(jù)通過覆蓋信息系統(tǒng)生命周期的各階段的管理域來標準化建立完善的信息安全保障管理體系，從而在實現(xiàn)信息能夠充分共享的基礎(chǔ)上，同時保障信息和其他資產(chǎn)，保證業(yè)務(wù)的持續(xù)性并使業(yè)務(wù)的損失最小化?？蓪踩芾肀Ｕ夏康倪M一步分解為安全風險管理、安全策略管理和安全運行等。安全工程保障目的，是對信息系統(tǒng)工程過程進行標準化。依據(jù)信息系統(tǒng)的安全工程過程生命周期，可將

42、安全工程保障目的進一步分解為挖掘安全需求、定義安全保障要求、設(shè)計體系結(jié)構(gòu)、詳細安全設(shè)計、實現(xiàn)系統(tǒng)安全和有效性評估等。GB/T 20274.1-2006的附錄要求信息系統(tǒng)安全保障目的可明確映射到相關(guān)威脅或組織安全策略，因此需要確保：a)每個已知的、由信息系統(tǒng)完全或部分對抗的威脅，至少被一個安全保障目的所覆蓋； b)每個已知的、由信息系統(tǒng)完全或部分符合的組織安全策略，至少被一個安全保障目的所覆蓋。這一映射可以通過交叉引用或用表格形式提供。要求的信息在符合性聲明中提供。在安全保障目的部分提供映射對ISPP或ISST讀者來講更有幫助。描述遵從組織安全策略的安全保障目的時，引用組織安全策略比重述完整的實

43、現(xiàn)規(guī)則更適用。 唯一標識信息系統(tǒng)安全保障目的以便于引用，標識方法可采用序列編號（如O1、O2、O3等），也可采用簡短而有意義的名稱。10安全保障要求10.1概述 本章提供有關(guān)ISPP與ISST中的信息系統(tǒng)安全保障的編制指導(dǎo)，此指導(dǎo)不僅適用于信息系統(tǒng)安全保障要求而且適用于環(huán)境的安全保障要求。在ISPP與ISST中說明了下列類型的信息系統(tǒng)安全保障要求，如圖4所示： a)信息系統(tǒng)的安全保障技術(shù)要求（STR），標識出確保達到信息系統(tǒng)安全保障目的的安全技術(shù)保障要求； b)信息系統(tǒng)的安全保障管理要求（SMR），標識出確保達到信息系統(tǒng)安全保障目的的安全管理保障要求；c)信息系統(tǒng)的安全保障工程要求（SER），

44、標識出確保達到信息系統(tǒng)安全保障目的的安全工程保障要求；d)信息系統(tǒng)的環(huán)境安全保障要求（這些在 ISPP 或 ISST 是可選的）。 安全技術(shù)要求信息系統(tǒng)安全保障要求GB/T 20274.2-2008第 2 部分GB/T 20274.3-2008第 3 部分GB/T 20274.4-2008第 4 部分安全管理要求安全工程要求圖4 信息系統(tǒng)安全保障要求除信息系統(tǒng)安全技術(shù)、管理和工程要求組件外，對ISPP與ISST的信息系統(tǒng)安全保障要求部分需要說明信息系統(tǒng)安全技術(shù)強度的最低級別，并在相關(guān)地方對強度進行明確聲明（見GB/T 20274.1-2006的附錄圖4表明，信息系統(tǒng)安全保障要求的顯著特點是，盡

45、可能用GB/T 20274.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008中定義的保障組件來構(gòu)建。GB/T 20274.1-2006的意圖是確保安全保障要求以標準化的方式提出。使用GB/T 20274.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008表達信息系統(tǒng)安全保障要求更有利于ISPP與ISST之間的對比。 在有些情況下允許不用GB/T 20274.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008的組件來陳述安全保障要求，但這些要求必須是明確的、可評估的，并且采用與GB/T 202

46、74.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008相同的風格描述組件。GB/T 20274.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008允許STR、SMR和SER有一定程度的靈活性，允許通過實施一系列的操作以滿足相應(yīng)的安全保障要求。這些操作包括：賦值、反復(fù)、選擇和細化，用于特殊數(shù)據(jù)項的顯示和（或）修改。 在本指導(dǎo)性技術(shù)文件中，10.2提供了對GB/T 20274.2-2008技術(shù)組件進行操作的指導(dǎo)，10.3提供了對GB/T 20274.3-2008管理組件的操作指導(dǎo)，10.4提供了對GB/T 20274.4-200

47、8工程組件的操作指導(dǎo)。每個安全保障要求組件都有唯一的基于分類標準的參考名。例如：a)GB/T 20274.2-2008“F”表示它是技術(shù)（功能）組件；“AU”表示它屬于STR的安全審計類；“GEN”表示它屬于該類中安全審計數(shù)據(jù)產(chǎn)生子類； “1”表示它屬于該子類中審計數(shù)據(jù)產(chǎn)生組件； “2”表示它是該組件中的第二個元素。 b)GB/T 20274.3-2008 中的組件 MPS_SAT.2 具有如下含義：“M”表明它是管理組件；“PS”表明它屬于SMR的“人員安全”類；“SAT”表明它屬于“安全意識和培訓(xùn)”子類；“2”表明它屬于該子類中的“安全培訓(xùn)”組件。c)GB/T 20274.4-2008 中

48、的 PEN_SEE.2 具有如下含義：“P”表示它是工程組件；“EN”表示屬于SER的“工程過程”類；“SEE”表示它屬于該類中的“安全工程實施”子類；“2”表示它屬于該子類中的“系統(tǒng)試運行”組件。STR、SMR和SER的選擇以組件為單位。如果在ISPP與ISST中包括某個組件，則組件中所有已定義的元素都應(yīng)包括進來。要注意組件間有兩種關(guān)聯(lián)類型，它會影響信息系統(tǒng)安全保障要求的選擇：a)； b)已經(jīng)定義的組件可能與其他子類中的組件有依賴關(guān)系。例如，F(xiàn)AU_SAA.1（潛在侵害分析）依賴于 FAU_GEN.1（審計數(shù)據(jù)產(chǎn)生）。這些組件也必須包括在 ISPP 與 ISST 中，除非依賴性可以表明與威脅

49、和安全保障目的無關(guān)。10.2安全技術(shù)保障要求10.2.1安全技術(shù)保障要求的選擇 在定義了安全保障需求并以安全技術(shù)保障目的的形式對應(yīng)了這些需求之后，現(xiàn)在需要詳細闡述安全技術(shù)要求將如何滿足這些安全保障目的。首先，選擇一組適當?shù)腟TR組件，如果預(yù)先定義與信息系統(tǒng)的安全保障目的相關(guān)的技術(shù)組件包，將簡化STR的選擇過程。為ISPP或ISST選擇STR的過程分幾個階段，在選擇過程中要注意區(qū)別以下兩種類型的STR： a)主要的 STR，它直接滿足信息系統(tǒng)安全保障目的； b)支持性的 STR，它不直接滿足信息系統(tǒng)安全保障目的，但對主要的 STR 提供支持，從而間接支持相應(yīng)信息系統(tǒng)安全保障目的。 GB/T 20

50、274.1-2006沒有明確區(qū)別這兩種類型的STR，但其差別暗含在功能組件間的依賴性或STR間的相互支持中。因此，沒有必要在ISPP或ISST中明確區(qū)分這兩類STR，但在編寫安全保障目的符合性聲明時，認識到存在這兩類STR是非常有益的。在選擇STR時，首先識別出能夠滿足信息系統(tǒng)一個安全保障目的的一組主要的STR，再識別出一組完整的支持性STR。如前所述，所有STR（不論主要的或支持性的）應(yīng)該用適當?shù)腉B/T 20274.2-2008中的技術(shù)保障組件來表達。當從GB/T 20274.2-2008中選擇組件時，應(yīng)參考在GB/T 20274.2-2008的附錄中技術(shù)保障組件依賴關(guān)系表。 兩種類型ST

51、R之間的關(guān)系如圖5所示，注意這種關(guān)系與ISPP或ISST符合性聲明相關(guān)，要求表現(xiàn)STR之間的相互支持。它包含了對支持性STR提供支持的性質(zhì)的解釋，從而保證了信息系統(tǒng)安全技術(shù)保障目的得到滿足。圖5 主要的STRs和支持性的STRs的關(guān)系信息系統(tǒng)安全技術(shù)保障目的主要的 STRs支持性的 STRs直接滿足提供支持間接滿足識別完整的支持性STR的過程分3個階段：a)識別出所需的用于滿足（認為它適用的話）所有主要 STR 依賴性的 STR（像 GB/T 20274.2-2008 中定義相關(guān)技術(shù)組件一樣）。它包括本階段識別的支持性 STR 的所有依賴性； b)識別為確保達到信息系統(tǒng)安全保障目的補充 STR

52、。它包括用來抵抗組合攻擊的 STR；c)識別補充 STR 的支持性 STR（認為它適用的話），以滿足那些在 a）和 b）這兩個階段中選擇的 STR 的依賴關(guān)系。 支持性STR滿足GB/T 20274.2-2008中給出的依賴關(guān)系的識別過程，可能需要多次反復(fù)，例如： a)假設(shè) ISPP 或 ISST 要包括的安全保障目的要求信息系統(tǒng)在檢測到即將發(fā)生安全事故時做出響應(yīng)，這會導(dǎo)致將基于 FAU_ARP.1 組件（安全警告）作為主要 STR 包含進來； b)根據(jù) GB/T 20274.2-2008； c)，該組件也要作為支持性 STR 應(yīng)被包含進來； d)，該組件也要作為支持性 STR 應(yīng)被包含進來；

53、 e)FPT_STM.1 則不需要引入別的功能組件。GB/T 20274.1-2006允許部分有依賴關(guān)系產(chǎn)生的STR不滿足安全保障目的，但需要作者對此進行合理的解釋。依賴性應(yīng)以一致的方式被使用，例如，對于FAU_ARP.1而言，其一致性是由該組件的性質(zhì)決定的（即：FAU_ARP.1依賴于對可能發(fā)生的安全違規(guī)的預(yù)測，這種違規(guī)是用FAU_SA來定義的）。對另外一些組件來說，保證一致性可能比較困難。例如，對于組件FDP_ACC.1，ISPP或ISST將識別出與之相關(guān)的特殊“反復(fù)操作”，那么對每個訪問控制SFP，都需要滿足對FDP_ACF.1的依賴性。對額外的支持性STR的識別（例如在GB/T 202

54、74.2-2008中未被識別的依賴性）包括GB/T 20274.2-2008中未提及的STR的識別對支持達到信息系統(tǒng)安全保障目的是必須的。這類的STR一般通過減少攻擊者可利用的選擇或機會提供支持，或增加攻擊者要實現(xiàn)成功攻擊所需達到的專業(yè)知識水平或資源。應(yīng)根據(jù)安全保障需求和安全保障目的考慮下述問題：a)基于 GB/T 20274.2-2008 中同類相關(guān)組件的 STR。比如，如果包括組件 FAU_GEN.1（審計數(shù)據(jù)產(chǎn)生），那么就隱含著一個產(chǎn)生和維護存儲所產(chǎn)生數(shù)據(jù)（需要一個或多個來自 FAU_STG 子類的功能組件）的安全審計蹤跡的組件，以及利用工具審查所產(chǎn)生的審計數(shù)據(jù)（需要一個或多個來自 FA

55、U_SAR 子類的功能組件）的組件。或者將所產(chǎn)生的審計數(shù)據(jù)輸出到其他系統(tǒng)去審查；b)基于 FPT 類相關(guān)組件的 STR。這類 STR 一般保護其他 STR 所依賴的 TSF 或 TSF 數(shù)據(jù)的完整性和可用性。以 FPT_AMT.1（抽象機測試）和 FPT_SEP（域分離）子類的組件為例，當有確定的需求要保護 TSF 使之不出故障、不被中斷或不被（可能是惡意的）修改時，可能需要上述組件支持相應(yīng)的安全保障目的；c)基于 FMT 類相關(guān)組件的 STR。這些組件用于規(guī)定所有需要支持的安全管理 STR，以處理取消安全屬性的 FMT_REV.1 組件為例，在含有處理安全屬性（如訪問控制）的 STR 時，可

56、以考慮使用這類相關(guān)組件。應(yīng)根據(jù)安全保障目的選擇支持性的STR，尤其要考慮STR應(yīng)該是相互支持的、緊密結(jié)合的、有效的整體。構(gòu)建ISPP符合性聲明的過程會影響那些支持性STR的選擇，因為符合性聲明需要證明STR是相互支持的、完整的、有效的整體。強烈建議不要選取與安全保障目的無關(guān)的支持性STR，因為這樣會讓ISPP或ISST不易被接受，其原因是：a)STR 不適用某些信息系統(tǒng)；b)增加 STR 的數(shù)量會增加成本及對不必要需求的維護。如果ISPP以相關(guān)ISPP為基礎(chǔ)編寫，那么選擇STR的過程會大大簡化。相同的，如果ISST以相關(guān)ISST為基礎(chǔ)編寫，那么選擇STR的過程也會大大簡化。ISPP和ISST應(yīng)

57、包括不同的STR，并考慮信息系統(tǒng)中的安全環(huán)境和（或）安全保障目的之間的差異。10.2.2安全技術(shù)保障要求的操作根據(jù)GB/T 20274.2-2008，安全技術(shù)控制組件可以依據(jù)本指導(dǎo)性技術(shù)文件中定義的操作使用，也可以通過使用安全保障控制組件允許的操作，對安全技術(shù)控制組件進行裁剪，以滿足特定的安全策略或應(yīng)對特定的威脅。安全技術(shù)控制組件標識并定義了組件是否允許“賦值”、“選擇”和“細化”等操作，在哪些情況下可對組件使用這些操作，以及使用這些操作的結(jié)果。允許的操作如下所述：a)反復(fù)：采用不同的操作多次使用同一組件；b)賦值：對指定參數(shù)的詳述；c)選擇：對列表中的一個或多個元素的選擇；d)細化：對安全保

58、障要求組件增加細節(jié)，細化了可能接受的解決辦法，但不引入任何新的 STR的依賴性。10.2.3GB/T 20274.2-2008 中未包含的 STR 的說明如果ISPP或ISST增加GB/T 20274.2-2008中未定義的保障要求時，應(yīng)按GB/T 20274.2-2008中組件的表達模式構(gòu)建STR?？梢酝ㄟ^恰當應(yīng)用細化、賦值、選擇等操作構(gòu)建新的STR。一般情況下，建議ISPP中不要輕易添加保障組件，因為這樣會使安全保障要求的含義或意圖變得模糊，進而增加對其他不適于包括在ISPP中的組件的依賴性。使用GB/T 20274.2-2008保障組件的表達模式，構(gòu)建新的STR，具體表達模式如下： a)

59、使用與 GB/T 20274.2-2008 組件相同的抽象程度； b)使用與 GB/T 20274.2-2008 組件相似的風格和措辭；c)使用 GB/T 20274.2-2008 組件采用的拓撲和邏輯。新構(gòu)建的STR具有與類或子類中其他組件相似的性質(zhì)，使用整個類或子類通用概念的特定用詞，有助于減少對它的陌生感。 GB/T 20274.2-2008中的組件表現(xiàn)風格的獨特性包括： a)多數(shù)安全保障要求組件是以短語“TSF 將將”或“TSF 將能夠?qū)⒛軌颉遍_始的，后面跟著這樣的動詞：檢測、執(zhí)行、確保、限制、監(jiān)視、防止、保護、提供檢測、執(zhí)行、確保、限制、監(jiān)視、防止、保護、提供或限制限制；b)使用標準

60、術(shù)語，如：安全屬性安全屬性、授權(quán)管理員授權(quán)管理員等；c)每個元素往往各自獨立并無須引用以前元素即可理解。 d)每個安全保障要求必須是可評估的，即必須是可以判定它是否被信息系統(tǒng)實現(xiàn)。當形成符合上述風格的STR后，還應(yīng)考慮是否： a)允許 ISST 作者對該 STR 實施賦值或選擇操作； b)有依賴關(guān)系的其他 STR 必須包括在 ISPP 或 ISST 中；c)STR 描述應(yīng)審計的所有事件，以及應(yīng)記錄這些事件的那些信息；d)STR 有安全管理的含義，如依賴需要管理的安全屬性。如果構(gòu)建了一個比GB/T 20274.2-2008中已有的功能組件更好的STR，可以考慮在標準下一次修改時提交這個STR。