標準解讀

GB/T 18336.3-2001 是一項中國國家標準,全稱為《信息技術 安全技術 信息技術安全性評估準則 第3部分:安全保證要求》。這份標準是基于國際通用的CC(Common Criteria)標準框架定制的,旨在為信息技術產(chǎn)品的安全評估提供一個統(tǒng)一的、可互認的基礎。重點在于規(guī)范如何對信息技術產(chǎn)品或系統(tǒng)進行安全性評估,確保其滿足既定的安全保證要求。

該標準的第三部分專注于“安全保證要求”,這部分內容詳細闡述了評估信息技術產(chǎn)品或系統(tǒng)時應遵循的安全性驗證方法和過程。它定義了一系列安全保證級別(EALs,Evaluation Assurance Levels),每個級別代表了不同的安全強度和評估深度,從EAL1到EAL7,級別越高,意味著產(chǎn)品經(jīng)過的評估越嚴格,提供的安全保障也更全面。

標準中具體涵蓋了以下幾個關鍵方面:

  1. 功能要求與安全目標:明確了產(chǎn)品需要實現(xiàn)的安全功能以及期望達到的安全目標,這是評估的基礎。

  2. 安全功能要求:詳細列出了實現(xiàn)特定安全保證級別所需具備的具體安全功能,如加密、訪問控制、審計等。

  3. 開發(fā)與生產(chǎn)過程保證:規(guī)定了產(chǎn)品開發(fā)、生產(chǎn)過程中的安全管理措施,確保安全特性在設計、實現(xiàn)、測試各階段得到正確實施。

  4. 生命周期保證:強調了產(chǎn)品整個生命周期中的安全性管理,包括維護、升級、廢棄等階段,確保長期的安全性。

  5. 配置管理與交付保證:要求對產(chǎn)品配置進行嚴格管理,并確保產(chǎn)品交付時符合安全配置要求,防止配置錯誤導致的安全漏洞。

  6. 文檔保證:強調了詳細的文檔記錄對于理解、操作和維護產(chǎn)品安全性的必要性,包括用戶手冊、安全配置指南等。

  7. 測試與評估保證:規(guī)定了對產(chǎn)品進行獨立測試和評估的方法,以驗證其是否滿足宣稱的安全保證水平。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 18336.3-2008
  • 2001-03-08 頒布
  • 2001-12-01 實施
?正版授權
GB/T 18336.3-2001信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求_第1頁
GB/T 18336.3-2001信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求_第2頁
GB/T 18336.3-2001信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求_第3頁
GB/T 18336.3-2001信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求_第4頁
GB/T 18336.3-2001信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求_第5頁
已閱讀5頁,還剩107頁未讀 繼續(xù)免費閱讀

下載本文檔

GB/T 18336.3-2001信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求-免費下載試讀頁

文檔簡介

ICS35.040L70中華人民共和國國家標準GB/T18336.3-2001idtISO/IEC15408-3:1999信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求InformationtechnologySecuritytechniquesEvaluationcriteriaforITsecurityPart3:Securityyassurancerequirements2001-03-08發(fā)布2001-12-01實施國家質量技術監(jiān)督局發(fā)布

GB/T18336.3-2001前育ISO/IEC前言11.1、本標準的結構·………1.2GB/T18336的保證范例2引用標準·…3安全保證要求3.13.2組件分類3.3保護輪魔(PP)和安全目標(ST)評估準則類的結構3.4本標準中術語的應用3.5保保證分類………··3.6保保證類和子類概況…3.7護分類?……………3.83保證維護類和子類概況·4保護輪廊與安全目標評估準則…·4.1概述……….4.2保保護輪廊準則概述·4.3安全目標準則概述…5APE類:保護輪靡評估……5.1LTOE描述(APEDES)5.2安全環(huán)境(APE_ENV)5.3PP引言(APEINT)5.4安安全目的(APE?OBJ)……5.5TT安全要求(APEREQ)185.6明確陳述的IT安全要求(APE:SRE)206ASE類:安全目標評估·…………·6.1TOE描述(ASE_DES)216.2安安全環(huán)境(ASEENV)226.3ST引言(ASEINT)226.4安全目的(ASEOBJ)……………23PP聲明(ASEPPC)6.523SIT安全要求(ASEREQ)6.6246.7明確陳述的IT安全要求(ASESRE)25TOE概要規(guī)范(ASETSS)6.826

GB/T18336.3-20017評估保證級217.1評估保證級(EAL)概述217.2評估保證級細節(jié)288保證類、子類和組件36ACM類:配置管理369.1CM自動化(ACMAUT)9.2CM能力(ACMCAP379.3CM范圍(ACMSCP)10ADO類:交付和運行………………1310.1交付(ADO_DEL)4310.2安裝、生成和啟動(ADOIGS)…11ADV類;開發(fā)………·11.1功能規(guī)范(ADVFSP)-·…………·…·高層設計(ADV11.2HLD)·…·57實現(xiàn)表示(ADV11.3IMP)11.4TSF內部(ADVINT)56低層設計(ADV11.5LLD)表示對應性(ADV_RCR)11.66111.7安全策略模型(ADV_SPM)…6212AGD類:指導性文檔S412.1管理員指南(AGDADM)12.2用戶指南(AGDUSR)6513ALC類:生命周期支持6613.1開發(fā)安全(ALCDVS)13.2缺陷糾正(ALCFIR)…………….613.3生命周期定義(ALC_LCD)13.4工具和技術(ALCTAT)14ATE類:測試·………………·…14.1覆蓋范圍(ATECOV)14.2深度(ATEDPT)…….14.3功能測試(ATEFUN)·14.4獨立性測試(ATEIND)15AVA類;脆弱性評定·……81隱蔽信道分析(AVA_CCA)…15.115.28315.3TOE安全功能強度(AVASOF)8615.4脆弱性分析(AVAVLA)16保證維護范例·……··9016.190116.2保證維護周期.·….…………··…·.9116.3保證維護的類和子類……·9.9AMA類:保證維護······179517.1保證維護計劃(AMAAAMP)

GB/T18336.3-200117.2TOE組件分類報告(AMACAT)17.3保證維護證據(jù)(AMAEVD)9A17.4安全影響分析(AMASIA)………………附錄A(提示的附錄)保證組件依賴關系的交叉引用附錄B(提示的附錄)EAL和保證組件的交叉引用圖3.1保證類/子類/組件/元素的層次圖3.2保證組件結構·…………圖3.3EAL結構圖3.4保證和保證級的關系圖3.5類分解圖的實例………….圖5.1保護輪廊評估類分解圖6.1安全日標評估類分解圖9.1配置管理類分解圖10.1交付和運行類分解圖11.1開發(fā)類分解…………圖11.2TOE表示和要求之間的關系圖12.1指導性文檔類分解圖13.1生命周期支持類分解………56圖14.1測試類分解·……73圖15.1脆弱性評定類分解圖16.1保證維護周期例子圖16.2TOE接受方式例子圖16.3TOE監(jiān)視方式例子圖17.1保證維護類分解·表3.1保證子類細目分類和對應關系表3.2保證維護類分解表4.1保護輪廊子類-僅用GB/T18336的要求保護輪廊子類表4.2GB/T18336擴展的要求…表4.3安全目標子類僅用GB/T18336的要求安全目標子類表4.4(B/T18336擴展的要求……………表7.1評估保證級匯總1表7.2評估保證級129表7.3評估保證級229表7.4評估保證級330表7.5評估保證級4表7.6評估保證級5表7.7評估保證級634表7.8評估保證級735表16.1保證維護的細分和對應關系表A1保證組件的依賴關系102表A2AMA內部依賴關系103表B1評估保證級匯總104

GB/T18336.3-2001前本標準等同采用國際標準ISO/IEC15408-3:1999《信息技術安全技術信息技術安全性評估準川第3部分:安全保證要求》本標準介紹了信息技術安全性評估的安全保證要求。GB/T18336在總標題《信息技術安全技術信息技術安全性評估準則》下,由以下3個部分組第1部分:簡介和一般模型第2部分:安全功能要求-第3部分:安全保證要求本標準的附錄A和附錄B是提示的附錄、本標準由國家質量技術監(jiān)督局提出。本標準由全國信息技術標準化技術委員會歸口本標準由中國國家信息安全測評認證中心、信息產(chǎn)業(yè)部電子第30研究所、國家信息中心、復旦大學負責起草。本標準主要起草人:吳世忠、吳承榮、龔奇敏、陳曉樺、李守鵬、方關寶、吳亞飛、雷利民、葉紅、李鶴田、黃元飛、任衛(wèi)紅。本標準委托中國國家信息安全測評認證中心負責解釋。

GB/T18336.3-2001ISO/IEC前言ISO(國際標準化組織)和IC(國際電工委員會)形成了全世界標準化的專門體系。作為ISO或IEC成員的國家機構,通過相應組織所建立的涉及技術活動特定領域的委員會參加國際標準的制定。ISO和IEC技術委員會在共同關心的領域里合作,其他與ISO和IC聯(lián)盟的政府的和非政府的國際組織也參加了該項工作。國際標準的起草符合ISO/IEC導則第3部分的原則在信息技術領域,ISO和IEC已經(jīng)建立了一個聯(lián)合技術委員會-ISO/IECJTCI。聯(lián)合技術委員會采納的國際標準草案交付給國家機構投票表決。作為國際標準公開發(fā)表,需要至少75%的國家機構投贊成票。國際標準ISO/IEC15408-3是由聯(lián)合技術委員會ISO/IECJTC1(信息技術)與通用準則項目發(fā)起組織合作產(chǎn)生的。與ISO/IEC15408-3同樣的文本由通用準則項目發(fā)起組織作為《信息技術安全性評估通用淮則》發(fā)表。有關通用準則項目的史多信息和發(fā)起組織的聯(lián)系信息由ISO/IEC15408-1的附錄A提供。-安全技術-ISO/IEC15408在“信息技術--信息技術安全性評估準則”的總標題下,由以下幾部分組成:第1部分:簡介和一般模型第2部分:安全功能要求第3部分:安全保證要求附錄A和附錄B構成ISO/IEC15408本部分的提示部分以下具有法律效力的提示已按要求放置在ISO/IEC15408的所有部分:在ISO/IEC15408-1附錄A中標明的七個政府組織(總稱為通用準則發(fā)起組織),作為《信息技術安全性評估通用準則》第1至第3部分(稱為"CC")版權的共同所有者,在此特許ISO/IEC在開發(fā)1SO/IEC15408國際標準中,非排他性地使用CC。但是,通用準則發(fā)起組織在他們認為適當時保留對CC的使用、烤貝、分發(fā)以及修改的權利。

中華人民共和國國家標準信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求GB/T18336:3-2001idtISO/IEC15408-3:1999Informationtechnology-Securitytechniques-EvaluationcriteriaforTTsecurity-Part3:Securityassurancereguirements范用本標準定義了保證要求。它包括衡量保證尺度的評估保證級(EAL)、組成保證級的每個保證組件以及PP和ST的評估準則。1.1本標準的結構第1章是本標準的引論和范例。第3章描述了保證類、子類、組件和評估保證級的表示結構,以及它們之間的關系。同時還刻畫了第9章到第15章可找到的保證類和子類的特征。第4章、第5章和第6章先對PP和ST的評估準則作簡要的介紹,然后對在評估中要用到的子類與組件做了詳盡的解釋。第7章是評估保證級(EAL)的詳盡定義第8章對保證類作了簡要的介紹,在隨后的第9章到第15章給出了這些類的詳盡定義。第16和第17章對保證維護的評估準則做了簡要的介紹,其后給出了所用到的子類和組件的詳盡定義附錄A給出了保證組件之間依賴關系的概要附錄B給出了評估保證級(EAL)和保證組件之間的交叉引用。1.2!GB/T18336的保證范例本條旨在嘲述支撐本標準保證方法的基本原則。通過對本條的理解將使讀者了解隱含在本標準保證要求中的基本原理。1.2.1GB/T18336基本原則GB/T18336的基本原則,就是應該消楚描述那些對安全和組織安全策略承諾所造成的威脅,并且提出足以達到所期望的安全目的的安全措施。進一步地說,就是應采取一些措施以減少可能存在的脆弱性,減弱有意利用或者無意觸發(fā)(或利用)一個脆弱性的能力,以及減輕因利用一個脆弱性而導致的破壞程度。另外,還需要采納一定的措施,便于今后標識一

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論