GB/T 18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T183361—2015/ISO/IEC15408-12009

.代替:

GB/T18336.1—2008

信息技術(shù)安全技術(shù)

信息技術(shù)安全評(píng)估準(zhǔn)則

第1部分簡(jiǎn)介和一般模型

:

Informationtechnology—Securitytechniques—

EvaluationcriteriaforITsecurity—

Part1Introductionandeneralmodel

:g

(ISO/IEC15408-1:2009,IDT)

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T183361—2015/ISO/IEC15408-12009

.:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………15

概述

5………………………16

綜述

5.1…………………16

5.2TOE………………16

目標(biāo)讀者

5.3……………17

不同部分

5.4……………18

評(píng)估背景

5.5……………19

一般模型

6…………………19

簡(jiǎn)介

6.1…………………19

資產(chǎn)和對(duì)策

6.2…………………………19

評(píng)估

6.3…………………22

剪裁安全要求

7……………23

操作

7.1…………………23

組件間的依賴(lài)關(guān)系

7.2…………………24

擴(kuò)展組件

7.3……………25

保護(hù)輪廓和包

8……………25

引言

8.1…………………25

包

8.2……………………25

保護(hù)輪廓

8.3……………26

使用保護(hù)輪廓和包

8.4…………………28

使用多個(gè)保護(hù)輪廓

8.5…………………28

評(píng)估結(jié)果

9…………………28

序言

9.1…………………28

評(píng)估結(jié)果

9.2PP………………………29

評(píng)估結(jié)果

9.3ST/TOE…………………29

符合性聲明

9.4…………………………29

使用評(píng)估結(jié)果

9.5ST/TOE…………30

附錄資料性附錄安全目標(biāo)規(guī)范

A()……………………31

附錄資料性附錄保護(hù)輪廓規(guī)范

B()……………………44

附錄資料性附錄操作指南

C()…………49

附錄資料性附錄符合性

D()PP………………………52

參考文獻(xiàn)

……………………53

GB/T183361—2015/ISO/IEC15408-12009

.:

前言

信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則分為以下個(gè)部分

GB/T18336《》3:

第部分簡(jiǎn)介和一般模型

———1:;

第部分安全功能組件

———2:;

第部分安全保障組件

———3:。

本部分為的第部分

GB/T183361。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分代替信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分簡(jiǎn)

GB/T18336.1—2008《1:

介和一般模型

》。

本部分與的主要差異如下

GB/T18336.1—2008:

增加了規(guī)范性引用文件

———“2”;

術(shù)語(yǔ)和定義中增加了與開(kāi)發(fā)類(lèi)相關(guān)的術(shù)語(yǔ)和定義與指導(dǎo)性文檔

———“3”“3.2(ADV)”、“3.3

類(lèi)相關(guān)的術(shù)語(yǔ)和定義與生命周期支持類(lèi)相關(guān)的術(shù)語(yǔ)和定義與

(AGD)”、“3.4(ALC)”、“3.5

脆弱性評(píng)定類(lèi)相關(guān)的術(shù)語(yǔ)和定義與組合類(lèi)相關(guān)的術(shù)語(yǔ)和定義

(AVA)”、“3.6(ACO)”;

概述中增加了

———“5”“5.2TOE”;

將適用的產(chǎn)品和系統(tǒng)改為產(chǎn)品

———GB/T18336“IT”“IT”;

安全相關(guān)要素保證方法調(diào)整為本部分的資產(chǎn)和對(duì)策評(píng)估

———“5.1”、“5.2”“6.2”、“6.3”;

刪除了的安全概念

———GB/T18336.1—2008“5.3”;

安全要求的表達(dá)調(diào)整為本部分的剪裁安全要求

———“5.4.1”“7”;

刪除了的評(píng)估類(lèi)型

———GB/T18336.1—2008“5.4.2”;

增加了保護(hù)輪廓和包

———“8”;

要求和評(píng)估結(jié)果調(diào)整為本部分的評(píng)估結(jié)果

———“6GB/T18336”“9”;

附錄保護(hù)輪廓規(guī)范調(diào)整為本部分的附錄保護(hù)輪廓規(guī)范并增加了低保障

———“A”“B”,“B.11

的保護(hù)輪廓在中引用其他標(biāo)準(zhǔn)

”、“B.12PP”;

附錄安全目標(biāo)規(guī)范調(diào)整為本部分的附錄安全目標(biāo)規(guī)范并增加了使用

———“B”“A”,“A.3

可解答的問(wèn)題低保障安全目標(biāo)在中引用其他

ST”、“A.11ST”、“A.12”、“A.13ST

標(biāo)準(zhǔn)

”。

本部分使用翻譯法等同采用國(guó)際標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息技術(shù)安

ISO/IEC15408-1:2009《

全評(píng)估準(zhǔn)則第部分簡(jiǎn)介和一般模型

1:》。

與本部分中規(guī)范性引用的國(guó)際文件有一致性對(duì)應(yīng)關(guān)系的我國(guó)文件如下

:

信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分安全功能

———GB/T18336.2—20152:

組件

(ISO/IEC15408-2:2008,IDT)

信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分安全保障

———GB/T18336.3—20153:

組件

(ISO/IEC15408-3:2008,IDT)

信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估方法

———GB/T30270(GB/T30270—2013,

ISO/IEC18045:2005,IDT)

本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本部分起草單位中國(guó)信息安全測(cè)評(píng)中心信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心公安部第三研究所

:、、。

本部分主要起草人張翀斌郭穎石竑松畢海英張寶峰高金萍王峰楊永生李國(guó)俊董晶晶

:、、、、、、、、、、

Ⅰ

GB/T183361—2015/ISO/IEC15408-12009

.:

謝蒂王鴻嫻張怡顧健邱梓華宋好好陳妍楊元原賈煒王宇航王亞楠

、、、、、、、、、、。

本部分所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況

:

———GB/T18336.1—2001

———GB/T18336.1—2008

Ⅱ

GB/T183361—2015/ISO/IEC15408-12009

.:

引言

可讓各個(gè)獨(dú)立的安全評(píng)估結(jié)果之間具備可比性為此針對(duì)安全

ISO/IEC15408。,ISO/IEC15408

評(píng)估中的信息技術(shù)產(chǎn)品的安全功能及其保障措施提供了一套通用要求這些產(chǎn)品的實(shí)現(xiàn)形式

(IT)。IT

可以是硬件固件或軟件

、。

評(píng)估過(guò)程可為產(chǎn)品的安全功能及其保障措施滿(mǎn)足這些要求的情況建立一個(gè)信任級(jí)別評(píng)估結(jié)

IT。

果可以幫助消費(fèi)者確定該產(chǎn)品是否滿(mǎn)足其安全要求

IT。

可為具有安全功能的產(chǎn)品的開(kāi)發(fā)評(píng)估以及采購(gòu)過(guò)程提供指導(dǎo)

ISO/IEC15408IT、。

有很大的靈活性以便可對(duì)范圍廣泛的產(chǎn)品的眾多安全屬性采用一系列的評(píng)估

ISO/IEC15408,IT

方法因此用戶(hù)需謹(jǐn)慎運(yùn)用以避免誤用此類(lèi)靈活性例如若使用

。,ISO/IEC15408,。,ISO/IEC15408

時(shí)采取了不合適的評(píng)估方法選擇了不相關(guān)的安全屬性或針對(duì)的產(chǎn)品不恰當(dāng)都將導(dǎo)致無(wú)意義的評(píng)

、IT,

估結(jié)果

。

因此產(chǎn)品經(jīng)過(guò)評(píng)估的事實(shí)只有在提及選擇了哪些安全屬性以及采用了何種評(píng)估方法的情況

,IT,

下才有意義評(píng)估授權(quán)機(jī)構(gòu)需要仔細(xì)地審查產(chǎn)品安全屬性及評(píng)估方法以確定對(duì)其評(píng)估是否可產(chǎn)生有

。、

意義的結(jié)論另外評(píng)估產(chǎn)品的購(gòu)買(mǎi)方也需要仔細(xì)地考慮評(píng)估這種情況以確定該產(chǎn)品是否有用且能

。,,,

否滿(mǎn)足其特定的環(huán)境和需要

。

致力于保護(hù)資產(chǎn)免遭未授權(quán)的泄漏修改或喪失可用性此類(lèi)保護(hù)與三種安全失

ISO/IEC15408、。

效情況對(duì)應(yīng)通常分別稱(chēng)為機(jī)密性完整性和可用性此外也適用于安全的其他方

,、。,ISO/IEC15408IT

面可用于考慮人為的無(wú)論惡意與否以及非人為的因素導(dǎo)致的風(fēng)險(xiǎn)另外

。ISO/IEC15408()。,

還可用于技術(shù)的其他領(lǐng)域但對(duì)安全領(lǐng)域外的適用性不作申明

ISO/IEC15408IT,。

對(duì)某些問(wèn)題因涉及專(zhuān)業(yè)技術(shù)或?qū)Π踩暂^為次要因此不在范圍之內(nèi)

,IT,ISO/IEC15408,

例如

:

不包括那些與安全措施沒(méi)有直接關(guān)聯(lián)的屬于行政性管理安全措施的安全

a)ISO/IEC15408IT

評(píng)估準(zhǔn)則但是應(yīng)該認(rèn)識(shí)到安全的某些重要組成部分可通過(guò)諸如組織的人員的物

。,TOE、、

理的程序的控制等行政性管理措施來(lái)實(shí)現(xiàn)

、;

沒(méi)有明確涵蓋電磁輻射控制等安全中技術(shù)性物理方面的評(píng)估雖然標(biāo)準(zhǔn)中

b)ISO/IEC15408IT,

的許多概念適用于該領(lǐng)域換句話(huà)說(shuō)只涉及物理保護(hù)的某些方面

。,ISO/IEC15408TOE;

并不涉及評(píng)估方法具體的評(píng)估方法在中給出

c)ISO/IEC15408,ISO/IEC18045;

不涉及評(píng)估管理機(jī)構(gòu)使用本準(zhǔn)則的管理和法律框架但也可

d)ISO/IEC15408,ISO/IEC15408

被用于此框架下的評(píng)估

;

評(píng)估結(jié)果用于產(chǎn)品認(rèn)可的程序不屬于的范圍產(chǎn)品的認(rèn)可是行政性的管理

e)ISO/IEC15408。

過(guò)程據(jù)此準(zhǔn)許產(chǎn)品在其整個(gè)運(yùn)行環(huán)境中投入使用評(píng)估側(cè)重于產(chǎn)品的安全部分以及

,IT。IT,

直接影響到單元安全使用的那些運(yùn)行環(huán)境因此評(píng)估結(jié)果是認(rèn)可過(guò)程的重要輸入但是

IT,,。,

由于其他技術(shù)更適合于評(píng)估非相關(guān)屬性以及其與安全部分的關(guān)系認(rèn)可者應(yīng)針對(duì)這些

ITIT,

情況分別制定不同的條款

;

不包括評(píng)價(jià)密碼算法固有質(zhì)量相關(guān)的標(biāo)準(zhǔn)條款如果需要對(duì)嵌入的密

f)ISO/IEC15408。TOE

碼算法的數(shù)學(xué)特性進(jìn)行獨(dú)立評(píng)估則必須在使用的評(píng)估體制中為相關(guān)評(píng)估制

,ISO/IEC15408

定專(zhuān)門(mén)條款

。

Ⅲ

GB/T183361—2015/ISO/IEC15408-12009

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全評(píng)估準(zhǔn)則

第1部分簡(jiǎn)介和一般模型

:

1范圍

的本部分建立了安全評(píng)估的一般概念和原則詳細(xì)描述了各部分

GB/T18336IT,ISO/IEC15408

給出的一般評(píng)估模型該模型整體上可作為評(píng)估產(chǎn)品安全屬性的基礎(chǔ)

,IT。

本部分給出了的總體概述它描述了的各部分內(nèi)容定義了在

ISO/IEC15408。ISO/IEC15408;

各部分將使用的術(shù)語(yǔ)及縮略語(yǔ)建立了關(guān)于評(píng)估對(duì)象的核心概念論述了評(píng)估

ISO/IEC15048;(TOE);

背景并描述了評(píng)估準(zhǔn)則針對(duì)的讀者對(duì)象此外還介紹了產(chǎn)品評(píng)估所需的基本安全概念

;。,IT。

本部分定義了裁剪和描述的功能和保障組件時(shí)可用的各種

ISO/IEC15408-2ISO/IEC15408-3

操作

。

本部分還詳細(xì)說(shuō)明了保護(hù)輪廓安全要求包和符合性這些關(guān)鍵概念并描述了評(píng)估產(chǎn)生的結(jié)

(PP)、,

果和評(píng)估結(jié)論的本部分給出了規(guī)范安全目