標(biāo)準(zhǔn)解讀

《GB/T 18336.1-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第1部分:簡介和一般模型》相比于其前身《GB/T 18336.1-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第1部分:簡介和一般模型》,主要在以下幾個(gè)方面進(jìn)行了更新與調(diào)整:

  1. 國際標(biāo)準(zhǔn)的接軌:2008版標(biāo)準(zhǔn)更緊密地遵循了國際通用的信息安全評估標(biāo)準(zhǔn)ISO/IEC 15408:2005,對原有內(nèi)容進(jìn)行了相應(yīng)的調(diào)整與補(bǔ)充,以適應(yīng)全球信息技術(shù)安全評估的發(fā)展趨勢和要求。

  2. 術(shù)語和定義的更新:為了更準(zhǔn)確地反映信息技術(shù)安全領(lǐng)域的最新概念和技術(shù)發(fā)展,2008版標(biāo)準(zhǔn)對一些關(guān)鍵術(shù)語和定義進(jìn)行了修訂或新增,提高了標(biāo)準(zhǔn)的準(zhǔn)確性和適用性。

  3. 評估方法的改進(jìn):標(biāo)準(zhǔn)進(jìn)一步細(xì)化和優(yōu)化了信息技術(shù)產(chǎn)品的安全性評估方法論,包括安全功能要求(SFR)、安全保證要求(SAR)等方面的評估細(xì)節(jié),增強(qiáng)了評估過程的系統(tǒng)性和科學(xué)性。

  4. 安全目標(biāo)的明確化:對安全目標(biāo)(ST)的制定提供了更為詳細(xì)和具體的指導(dǎo),幫助評估者更好地理解如何根據(jù)特定的保護(hù)輪廓(PP)和安全目標(biāo)來設(shè)計(jì)和實(shí)現(xiàn)安全產(chǎn)品或系統(tǒng)。

  5. 評估保證級別(EAL)的調(diào)整:雖然EAL的基本框架保持不變,但2008版標(biāo)準(zhǔn)對其內(nèi)涵進(jìn)行了細(xì)化和解釋上的澄清,確保不同級別的評估能夠更加精確地反映出被評估對象的安全能力。

  6. 加強(qiáng)了對隱私保護(hù)的關(guān)注:隨著信息技術(shù)應(yīng)用的廣泛,個(gè)人數(shù)據(jù)保護(hù)成為重要議題。新版標(biāo)準(zhǔn)在安全要求中增加了對隱私保護(hù)的考量,反映了信息安全領(lǐng)域的新需求。

  7. 文檔結(jié)構(gòu)和表述的優(yōu)化:為了提高標(biāo)準(zhǔn)的可讀性和實(shí)用性,2008版標(biāo)準(zhǔn)對文檔結(jié)構(gòu)進(jìn)行了調(diào)整,使得信息的組織更加邏輯清晰,表述也更加規(guī)范和易于理解。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 18336.1-2015
  • 2008-06-26 頒布
  • 2008-11-01 實(shí)施
?正版授權(quán)
GB/T 18336.1-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型_第1頁
GB/T 18336.1-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型_第2頁
GB/T 18336.1-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型_第3頁
GB/T 18336.1-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型_第4頁
GB/T 18336.1-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型_第5頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標(biāo)準(zhǔn)

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

代替GB/T18336.1—2001

信息技術(shù)安全技術(shù)

信息技術(shù)安全性評估準(zhǔn)則

第1部分:簡介和一般模型

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—

犈狏犪犾狌犪狋犻狅狀犮狉犻狋犲狉犻犪犳狅狉犐犜狊犲犮狌狉犻狋狔—

犘犪狉狋1:犐狀狋狉狅犱狌犮狋犻狅狀犪狀犱犵犲狀犲狉犪犾犿狅犱犲犾

(ISO/IEC154081:2005,IDT)

20080626發(fā)布20081101實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

4概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

4.1引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

4.1.1GB/T18336的目標(biāo)讀者!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

4.2評估相關(guān)要素!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

4.3本標(biāo)準(zhǔn)的組織!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5一般模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.0引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.1安全相關(guān)要素!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.1.1一般安全相關(guān)要素!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.1.2信息技術(shù)安全相關(guān)要素!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.2GB/T18336方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.2.1開發(fā)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.2.2TOE評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.2.3運(yùn)行!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

5.3安全概念!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

5.3.1安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

5.3.2安全目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.3.3IT安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.3.4TOE概要規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.3.5TOE實(shí)現(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.4GB/T18336描述材料!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.4.1安全要求的表達(dá)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

5.4.2評估類型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

6GB/T18336要求和評估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

6.1引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

6.2PP和ST中的要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

6.2.1PP評估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

6.3TOE內(nèi)的要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

6.3.1TOE評估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

6.4一致性結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

6.5TOE評估結(jié)果的應(yīng)用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

附錄A(規(guī)范性附錄)保護(hù)輪廓規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!23

A.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

A.2保護(hù)輪廓的內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

A.2.1內(nèi)容與形式!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

A.2.2PP引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

A.2.3TOE描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

A.2.4TOE安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

A.2.5安全目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

A.2.6IT安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

A.2.7應(yīng)用注釋!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

A.2.8基本原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

附錄B(規(guī)范性附錄)安全目標(biāo)規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2安全目標(biāo)的內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.1內(nèi)容與形式!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.2ST引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.3TOE描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.4TOE安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

B.2.5安全目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

B.2.6IT安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

B.2.7TOE概要規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

B.2.8PP聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

B.2.9應(yīng)用注釋!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

B.2.10基本原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

前言

GB/T18336在總標(biāo)題《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》下,由以下幾個(gè)部分

組成:

———第1部分:簡介和一般模型

———第2部分:安全功能要求

———第3部分:安全保證要求

本部分是GB/T18336—2008的第1部分。

本部分等同采用國際標(biāo)準(zhǔn)ISO/IEC154081:2005《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)

則第1部分:簡介和一般模型》,僅有編輯性修改。

本部分代替GB/T18336.1—2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:

簡介和一般模型》。

本部分與GB/T18336.1—2001的主要差異如下:

1)刪除了GB/T18336.1—2001的“ISO/IEC前言”;

2)GB/T18336.1—2008增加了“引言”;

3)刪除了GB/T18336.1—2001的附錄A“通用準(zhǔn)則項(xiàng)目”;

4)GB/T18336.1—2001的附錄D編為本部分的“參考文獻(xiàn)”。

本部分的附錄A和附錄B是規(guī)范性附錄。

本部分由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出和歸口。

本部分的主要起草單位:中國信息安全測評中心。

本部分主要起草人:吳世忠、陳曉樺、李守鵬、黃元飛、王貴駟、劉暉、劉春明、付敏、郭穎、劉楠。

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

引言

GB/T18336將使各個(gè)獨(dú)立的安全評估結(jié)果具有可比性。這通過在安全評估時(shí),提供一套針對信

息技術(shù)(IT)產(chǎn)品和系統(tǒng)安全功能及其保證措施的通用要求來實(shí)現(xiàn)。評估過程建立一個(gè)信任級別,表明

該產(chǎn)品或系統(tǒng)的安全功能及其保證措施都滿足這些要求。評估結(jié)果可以幫助客戶確定該IT產(chǎn)品或系

統(tǒng)對他們的預(yù)期應(yīng)用是否足夠安全以及使用該IT產(chǎn)品或系統(tǒng)帶來的固有安全風(fēng)險(xiǎn)是否可容忍。

GB/T18336對開發(fā)具有IT安全功能的產(chǎn)品或系統(tǒng)以及采辦具有此類功能的商用產(chǎn)品和系統(tǒng)都

是一本有益的指南。在評估時(shí),此類IT產(chǎn)品或系統(tǒng)稱評估對象(TOE)。例如,常見的TOE有操作系

統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)、分布式系統(tǒng)、應(yīng)用軟件等。

GB/T18336致力于保護(hù)信息免受未授權(quán)的泄漏、修改或無法使用,與此對應(yīng)的保護(hù)類別通常分別

稱為保密性、完整性和可用性。此外,GB/T18336也適用于IT安全的其他方面。GB/T18336主要關(guān)

注人為的安全威脅,無論其是否是惡意的,但也適用于非人為因素導(dǎo)致的威脅。另外,GB/T18336還

可用于IT技術(shù)的其他方面,但就其安全領(lǐng)域外的能力本標(biāo)準(zhǔn)不作承諾。

GB/T18336適用于在硬件、固件或軟件中實(shí)現(xiàn)的IT安全措施。另外,某些特殊的評估手段可能

只適用于某些特定的實(shí)現(xiàn)方法,這將在相應(yīng)的標(biāo)準(zhǔn)文本中指出。

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

信息技術(shù)安全技術(shù)

信息技術(shù)安全性評估準(zhǔn)則

第1部分:簡介和一般模型

1范圍

GB/T18336旨在作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則。通過建立這樣的通用準(zhǔn)則

庫,信息技術(shù)安全性評估的結(jié)果才能被更多的人理解。

某些內(nèi)容因涉及專業(yè)技術(shù)或僅僅是IT安全的外圍技術(shù),因此不在GB/T18336范圍之內(nèi)。例如:

a)GB/T18336不包括那些與IT安全措施沒有直接關(guān)聯(lián)的屬于行政性管理安全措施的安全評

估準(zhǔn)則。但是,應(yīng)該認(rèn)識到TOE安全的某些重要組成部分通??赏ㄟ^諸如組織的、人員的、

物理的、程序的控制等行政性管理措施來實(shí)現(xiàn)。在TOE的運(yùn)行環(huán)境中,當(dāng)行政性管理安全措

施影響到IT安全措施對抗已確定威脅的能力時(shí),則將其作為安全使用假設(shè);

b)GB/T18336沒有明確涵蓋電磁輻射控制等IT安全中技術(shù)性物理方面的評估,雖然標(biāo)準(zhǔn)中的

許多概念適用于該領(lǐng)域。換句話說,GB/T18336只涉及到TOE物理保護(hù)的某些方面;

c)GB/T18336并不專注于評估方法學(xué),也不專注于評估管理機(jī)構(gòu)使用本準(zhǔn)則的管理和法律架

構(gòu),但希望GB/T18336能在具有這樣的框架和方法論的環(huán)境中

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論