GB/T 18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分：簡介和一般模型

ICS.35.040L70中華人民共和國國家標(biāo)準(zhǔn)GB/T18336.1-2001idtISO/IEC15408-1:1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型Informationtechnology--Securitytechniques-EvaluationcriteriaforITsecurityPart1:Introductionandgeneralmodel2001-03-08發(fā)布2001-12-01實(shí)施國家質(zhì)量技術(shù)監(jiān)督局發(fā)布

中華人民共和國國家標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分：簡介和一般模型GB/T18336.1-2001中中國標(biāo)準(zhǔn)出版社出版發(fā)行北京西城區(qū)復(fù)興門外三里河北街16號郵政編碼：100045htp://電話：63787337637874472001年10月第一版2004年11月電子版制作書號：155066·1-17785版權(quán)專有侵權(quán)必究舉報(bào)電話：（010）68533533

GB/T18336.1-2001次前言ISO/IEC前言1范圍2引用標(biāo)準(zhǔn)3定義3.1通用縮略語3.2術(shù)語表的范圍3.3術(shù)語表…4概述4.1引言4.2CC的目標(biāo)讀者4.3評估上下文4.4CCC的文檔組織5-般模型·5.1安全上下文5.2CC方法5.3安全概念……5.4CC描述材料5.5評估類型………5.6保證的維護(hù)6通用準(zhǔn)則要求和評估結(jié)果·6.2PP(保護(hù)輪廊）和ST（安全目標(biāo)）的要求6.3TOE內(nèi)的要求……6.4評評估結(jié)果的聲明……6.5TOE評估結(jié)果的應(yīng)用…………·附錄A(提示的附錄）通用準(zhǔn)則項(xiàng)目A1通用準(zhǔn)則項(xiàng)目的背景………A2通用準(zhǔn)則的開發(fā)A3通用準(zhǔn)則項(xiàng)目發(fā)起組織…附錄B(標(biāo)準(zhǔn)的附錄）保護(hù)輪廊規(guī)范B1B2保護(hù)輪席的內(nèi)容附錄C(標(biāo)準(zhǔn)的附錄）安全目標(biāo)規(guī)范CI

GB/T18336.1-2001C2安全目標(biāo)的內(nèi)容附錄D(提示的附錄））參考資料圖4.1評估上下文………圖5.1安全概念和關(guān)系圖5.2評估概念和關(guān)系圖5.3評估對象開發(fā)模型圖5.4「OE評估過程·圖5.5要求和規(guī)范的導(dǎo)出圖5.6要求的組織和結(jié)構(gòu)圖5.7安全要求的應(yīng)用圖6.1評估結(jié)果……….圖6.2TOE評估結(jié)果的應(yīng)用圖Bl保護(hù)輪席內(nèi)容……圖C1安全目標(biāo)內(nèi)容…………表4.1CC使用指南

GB/T18336.1-2001本標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC15408-1:1999《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)第1部分：簡介和一般模型》。本標(biāo)準(zhǔn)介紹了信息技術(shù)安全性評估的基本概念并給出了信息技術(shù)安全性評估的一般模型.并在附錄B和附錄C分別介紹了“保護(hù)輪鹿“和"安全目標(biāo)"GB/T18336在總標(biāo)題《信息技術(shù)：安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》下.由以下幾個(gè)部分組成第1部分：簡介和一般模型第2部分：安全功能要求-第3部分：安全保證要求本標(biāo)準(zhǔn)的附錄八和附錄D是提示的附錄。本標(biāo)準(zhǔn)的附錄B和附錄C是標(biāo)準(zhǔn)的附錄。本標(biāo)準(zhǔn)由國家質(zhì)量技術(shù)監(jiān)督局提出本標(biāo)準(zhǔn)由全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會歸口。本標(biāo)準(zhǔn)由中國國家信息安全測評認(rèn)證中心、信息產(chǎn)業(yè)部電子第30研究所、國家信息中心、復(fù)旦大學(xué)負(fù)責(zé)起草本標(biāo)準(zhǔn)主要起草人：吳世忠、龔奇敏、陳曉樺、李守鵬、羅建中、方關(guān)寶、李鶴田、吳亞飛、雷利民、葉紅、吳承榮、黃元飛、任衛(wèi)紅、崔玉華。本標(biāo)準(zhǔn)委托中國國家信息安全測評認(rèn)證中心負(fù)責(zé)解釋

GB/T18336.1-2001ISO/IEC前言ISO(國際標(biāo)準(zhǔn)化組織)和IEC(國際電工委員會)形成了全世界標(biāo)準(zhǔn)化的專門體系。作為ISO或IEC成員的國家機(jī)構(gòu),通過相應(yīng)組織所建立的涉及技術(shù)活動特定領(lǐng)域的委員會參加國際標(biāo)準(zhǔn)的制定.ISO和IEC技術(shù)委員會在共同關(guān)心的領(lǐng)域里合作，其他與ISO和IEC有聯(lián)系的政府和非政府的國際組織也參加了該項(xiàng)工作。國際標(biāo)準(zhǔn)的起草符合ISO/IEC導(dǎo)則第3部分的原則。在信息技術(shù)領(lǐng)域,ISO和IEC已經(jīng)建立了一個(gè)聯(lián)合技術(shù)委員會-ISO/IECJTCl。聯(lián)合技術(shù)委員會采納的國際標(biāo)準(zhǔn)草案分發(fā)給國家機(jī)構(gòu)投票表決。作為國際標(biāo)準(zhǔn)公開發(fā)表·需要至少75%的國家機(jī)構(gòu)投贊成票。國際標(biāo)準(zhǔn)ISO/IEC15408-1是由聯(lián)合技術(shù)委員會ISO/IECJTCI(信息技術(shù))與通用準(zhǔn)則項(xiàng)目發(fā)起組織合作產(chǎn)生的。與ISO/IEC15408-1同樣的文本由通用準(zhǔn)則項(xiàng)目發(fā)起組織作為《信息技術(shù)安全性評估通用準(zhǔn)則》發(fā)表。有關(guān)通用準(zhǔn)則項(xiàng)目的更多信息和發(fā)起組織的聯(lián)系信息由ISO/IEC15408-1的附錄A提供。ISO/IEC15408在“信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則”的總標(biāo)題下，由以下幾部分組成：第1部分：簡介和一般模型第2部分：安全功能要求第3部分：安全保證要求附錄B和附錄C構(gòu)成ISO/IEC15408本部分的規(guī)范部分.附錄A和附錄D僅供參考。以下具有法律效力的提示已按要求放置在ISO/IEC15408的所有部分：在ISO/IEC15408-1附錄A中標(biāo)明的七個(gè)政府組織(總稱為通用準(zhǔn)則發(fā)起組織),作為《信息技術(shù)安全性評估通用準(zhǔn)則》第1至第3部分（稱為"CC")版權(quán)的共同所有者，在此特許ISO/IEC在開發(fā)ISO)IEC15408國際標(biāo)準(zhǔn)中,非排他性地使用CC。但是.通用準(zhǔn)則發(fā)起組織在他們認(rèn)為適當(dāng)時(shí)保留對CC的使用、拷貝、分發(fā)以及修改的權(quán)利。

中華人民共和國國家標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則GB/T18336.1-2001第1部分：簡介和-1一般模型idtIso/IEC15408-1:1999Informationtechnology--Securitytechniques-EvaluationcriteriaforITsecurity-Part1:lntroductionandgeneralmodel范圍GB/T18336定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則，由于歷史和連續(xù)性的原因，仍叫通用準(zhǔn)則（CC-CommonCriteria))。通過建立這樣的通用準(zhǔn)則庫，使信息技術(shù)安全評估的結(jié)果能被更多的人理解。針對在安全性評估過程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施,CC提供了一組通用要求，使各種獨(dú)立的安全評估結(jié)果具有可比性。評估過程為滿足這些要求的產(chǎn)品和系統(tǒng)的安全功能以及相應(yīng)的保證措施確定一個(gè)可信級別。評估結(jié)果可以幫助用戶確定信息技術(shù)產(chǎn)品和系統(tǒng)對他們的應(yīng)用而言是否足夠安全，以及在使用中隱藏的安全風(fēng)險(xiǎn)是否可以容忍。CC可用于具有信息技術(shù)安全功能的產(chǎn)品和系統(tǒng)的開發(fā)與采購指南。在評估過程中.這樣的產(chǎn)品和系統(tǒng)被稱為評估對象（TOETargetofEvaluation），如：操作系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)、分布式系統(tǒng)以及應(yīng)用等。（C涉及信息保護(hù)，以避免未經(jīng)授權(quán)的信息泄露、修改和無法使用,與此對應(yīng)的保護(hù)類型通常分別稱之為保密性、完整性和可用性。除上述三個(gè)方面外,CC還適用于信息安全的其他方面。CC重點(diǎn)考慮人為的信息威脅，無論其是否是惡意的。但CC也可用于非人為因素導(dǎo)致的威脅。此外.CC還可適用于其他信息技術(shù)領(lǐng)域·但對嚴(yán)格意義上信息技術(shù)安全之外的領(lǐng)域,CC不做承諾（C適用于硬件、固件和軟件實(shí)現(xiàn)的信息技術(shù)安全措施,當(dāng)一些特定的評估僅適用于某些實(shí)現(xiàn)方法時(shí).這一點(diǎn)將在相關(guān)的準(zhǔn)則說明中注明。某些內(nèi)容因涉及特殊的專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)，不在CC的范圍內(nèi).例如：a）CC不包括那些與信息技術(shù)安全措施沒有直接關(guān)聯(lián)的屬于行政性管理安全措施的安全評估準(zhǔn)則。但是，應(yīng)該認(rèn)識到TOE安全的重要部分是通過諸如組織的、個(gè)人的、物理的、程序的監(jiān)控等行政性管理安全措施來實(shí)現(xiàn)的。當(dāng)行政性管理安全措施影響到信息技術(shù)安全措施對抗確定威脅的能力時(shí),這類管理安全措施在TOE的運(yùn)行環(huán)境中被認(rèn)為是TOE安全使用的前提條件。b）對于信息技術(shù)安全性的物理方面(諸如電磁輻射控制)的評估，雖然CC的許多概念是適用的，但