GB/T 18336.3-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第3部分：安全保證要求

ICS35.040L70中華人民共和國國家標(biāo)準(zhǔn)GB/T18336.3-2001idtISO/IEC15408-3：1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第3部分：安全保證要求InformationtechnologySecuritytechniquesEvaluationcriteriaforITsecurityPart3：Securityyassurancerequirements2001-03-08發(fā)布2001-12-01實施國家質(zhì)量技術(shù)監(jiān)督局發(fā)布

GB/T18336.3-2001前育ISO/IEC前言11.1、本標(biāo)準(zhǔn)的結(jié)構(gòu)·………1.2GB/T18336的保證范例2引用標(biāo)準(zhǔn)·…3安全保證要求3.13.2組件分類3.3保護輪魔（PP）和安全目標(biāo)（ST）評估準(zhǔn)則類的結(jié)構(gòu)3.4本標(biāo)準(zhǔn)中術(shù)語的應(yīng)用3.5保保證分類………··3.6保保證類和子類概況…3.7護分類?……………3.83保證維護類和子類概況·4保護輪廊與安全目標(biāo)評估準(zhǔn)則…·4.1概述……….4.2保保護輪廊準(zhǔn)則概述·4.3安全目標(biāo)準(zhǔn)則概述…5APE類：保護輪靡評估……5.1LTOE描述（APEDES)5.2安全環(huán)境(APE_ENV)5.3PP引言（APEINT）5.4安安全目的（APE?OBJ）……5.5TT安全要求（APEREQ）185.6明確陳述的IT安全要求(APE：SRE)206ASE類：安全目標(biāo)評估·…………·6.1TOE描述(ASE_DES)216.2安安全環(huán)境(ASEENV)226.3ST引言（ASEINT)226.4安全目的（ASEOBJ）……………23PP聲明（ASEPPC)6.523SIT安全要求（ASEREQ）6.6246.7明確陳述的IT安全要求（ASESRE)25TOE概要規(guī)范（ASETSS）6.826

GB/T18336.3-20017評估保證級217.1評估保證級(EAL）概述217.2評估保證級細(xì)節(jié)288保證類、子類和組件36ACM類：配置管理369.1CM自動化（ACMAUT）9.2CM能力（ACMCAP379.3CM范圍（ACMSCP）10ADO類：交付和運行………………1310.1交付（ADO_DEL）4310.2安裝、生成和啟動（ADOIGS）…11ADV類;開發(fā)………·11.1功能規(guī)范(ADVFSP）-·…………·…·高層設(shè)計（ADV11.2HLD）·…·57實現(xiàn)表示（ADV11.3IMP)11.4TSF內(nèi)部（ADVINT）56低層設(shè)計（ADV11.5LLD）表示對應(yīng)性(ADV_RCR）11.66111.7安全策略模型(ADV_SPM）…6212AGD類：指導(dǎo)性文檔S412.1管理員指南（AGDADM）12.2用戶指南（AGDUSR）6513ALC類：生命周期支持6613.1開發(fā)安全（ALCDVS）13.2缺陷糾正（ALCFIR）…………….613.3生命周期定義(ALC_LCD）13.4工具和技術(shù)(ALCTAT)14ATE類:測試·………………·…14.1覆蓋范圍(ATECOV)14.2深度（ATEDPT）…….14.3功能測試（ATEFUN）·14.4獨立性測試（ATEIND)15AVA類;脆弱性評定·……81隱蔽信道分析（AVA_CCA）…15.115.28315.3TOE安全功能強度（AVASOF）8615.4脆弱性分析（AVAVLA）16保證維護范例·……··9016.190116.2保證維護周期.·….…………··…·.9116.3保證維護的類和子類……·9.9AMA類：保證維護······179517.1保證維護計劃(AMAAAMP)

GB/T18336.3-200117.2TOE組件分類報告（AMACAT）17.3保證維護證據(jù)（AMAEVD）9A17.4安全影響分析（AMASIA）………………附錄A(提示的附錄）保證組件依賴關(guān)系的交叉引用附錄B(提示的附錄）EAL和保證組件的交叉引用圖3.1保證類/子類/組件/元素的層次圖3.2保證組件結(jié)構(gòu)·…………圖3.3EAL結(jié)構(gòu)圖3.4保證和保證級的關(guān)系圖3.5類分解圖的實例………….圖5.1保護輪廊評估類分解圖6.1安全日標(biāo)評估類分解圖9.1配置管理類分解圖10.1交付和運行類分解圖11.1開發(fā)類分解…………圖11.2TOE表示和要求之間的關(guān)系圖12.1指導(dǎo)性文檔類分解圖13.1生命周期支持類分解………56圖14.1測試類分解·……73圖15.1脆弱性評定類分解圖16.1保證維護周期例子圖16.2TOE接受方式例子圖16.3TOE監(jiān)視方式例子圖17.1保證維護類分解·表3.1保證子類細(xì)目分類和對應(yīng)關(guān)系表3.2保證維護類分解表4.1保護輪廊子類-僅用GB/T18336的要求保護輪廊子類表4.2GB/T18336擴展的要求…表4.3安全目標(biāo)子類僅用GB/T18336的要求安全目標(biāo)子類表4.4（B/T18336擴展的要求……………表7.1評估保證級匯總1表7.2評估保證級129表7.3評估保證級229表7.4評估保證級330表7.5評估保證級4表7.6評估保證級5表7.7評估保證級634表7.8評估保證級735表16.1保證維護的細(xì)分和對應(yīng)關(guān)系表A1保證組件的依賴關(guān)系102表A2AMA內(nèi)部依賴關(guān)系103表B1評估保證級匯總104

GB/T18336.3-2001前本標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC15408-3：1999《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)川第3部分：安全保證要求》本標(biāo)準(zhǔn)介紹了信息技術(shù)安全性評估的安全保證要求。GB/T18336在總標(biāo)題《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》下，由以下3個部分組第1部分：簡介和一般模型第2部分：安全功能要求-第3部分：安全保證要求本標(biāo)準(zhǔn)的附錄A和附錄B是提示的附錄、本標(biāo)準(zhǔn)由國家質(zhì)量技術(shù)監(jiān)督局提出。本標(biāo)準(zhǔn)由全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會歸口本標(biāo)準(zhǔn)由中國國家信息安全測評認(rèn)證中心、信息產(chǎn)業(yè)部電子第30研究所、國家信息中心、復(fù)旦大學(xué)負(fù)責(zé)起草。本標(biāo)準(zhǔn)主要起草人：吳世忠、吳承榮、龔奇敏、陳曉樺、李守鵬、方關(guān)寶、吳亞飛、雷利民、葉紅、李鶴田、黃元飛、任衛(wèi)紅。本標(biāo)準(zhǔn)委托中國國家信息安全測評認(rèn)證中心負(fù)責(zé)解釋。

GB/T18336.3-2001ISO/IEC前言ISO(國際標(biāo)準(zhǔn)化組織)和IC(國際電工委員會)形成了全世界標(biāo)準(zhǔn)化的專門體系。作為ISO或IEC成員的國家機構(gòu)，通過相應(yīng)組織所建立的涉及技術(shù)活動特定領(lǐng)域的委員會參加國際標(biāo)準(zhǔn)的制定。ISO和IEC技術(shù)委員會在共同關(guān)心的領(lǐng)域里合作，其他與ISO和IC聯(lián)盟的政府的和非政府的國際組織也參加了該項工作。國際標(biāo)準(zhǔn)的起草符合ISO/IEC導(dǎo)則第3部分的原則在信息技術(shù)領(lǐng)域,ISO和IEC已經(jīng)建立了一個聯(lián)合技術(shù)委員會-ISO/IECJTCI。聯(lián)合技術(shù)委員會采納的國際標(biāo)準(zhǔn)草案交付給國家機構(gòu)投票表決。作為國際標(biāo)準(zhǔn)公開發(fā)表，需要至少75%的國家機構(gòu)投贊成票。國際標(biāo)準(zhǔn)ISO/IEC15408-3是由聯(lián)合技術(shù)委員會ISO/IECJTC1(信息技術(shù))與通用準(zhǔn)則項目發(fā)起組織合作產(chǎn)生的。與ISO/IEC15408-3同樣的文本由通用準(zhǔn)則項目發(fā)起組織作為《信息技術(shù)安全性評估通用淮則》發(fā)表。有關(guān)通用準(zhǔn)則項目的史多信息和發(fā)起組織的聯(lián)系信息由ISO/IEC15408-1的附錄A提供。-安全技術(shù)-ISO/IEC15408在“信息技術(shù)--信息技術(shù)安全性評估準(zhǔn)則”的總標(biāo)題下,由以下幾部分組成：第1部分：簡介和一般模型第2部分：安全功能要求第3部分：安全保證要求附錄A和附錄B構(gòu)成ISO/IEC15408本部分的提示部分以下具有法律效力的提示已按要求放置在ISO/IEC15408的所有部分：在ISO/IEC15408-1附錄A中標(biāo)明的七個政府組織(總稱為通用準(zhǔn)則發(fā)起組織),作為《信息技術(shù)安全性評估通用準(zhǔn)則》第1至第3部分（稱為"CC")版權(quán)的共同所有者,在此特許ISO/IEC在開發(fā)1SO/IEC15408國際標(biāo)準(zhǔn)中,非排他性地使用CC。但是，通用準(zhǔn)則發(fā)起組織在他們認(rèn)為適當(dāng)時保留對CC的使用、烤貝、分發(fā)以及修改的權(quán)利。

中華人民共和國國家標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第3部分：安全保證要求GB/T18336:3-2001idtISO/IEC15408-3:1999Informationtechnology-Securitytechniques-EvaluationcriteriaforTTsecurity-Part3：Securityassurancereguirements范用本標(biāo)準(zhǔn)定義了保證要求。它包括衡量保證尺度的評估保證級（EAL）、組成保證級的每個保證組件以及PP和ST的評估準(zhǔn)則。1.1本標(biāo)準(zhǔn)的結(jié)構(gòu)第1章是本標(biāo)準(zhǔn)的引論和范例。第3章描述了保證類、子類、組件和評估保證級的表示結(jié)構(gòu)，以及它們之間的關(guān)系。同時還刻畫了第9章到第15章可找到的保證類和子類的特征。第4章、第5章和第6章先對PP和ST的評估準(zhǔn)則作簡要的介紹，然后對在評估中要用到的子類與組件做了詳盡的解釋。第7章是評估保證級（EAL）的詳盡定義第8章對保證類作了簡要的介紹,在隨后的第9章到第15章給出了這些類的詳盡定義。第16和第17章對保證維護的評估準(zhǔn)則做了簡要的介紹，其后給出了所用到的子類和組件的詳盡定義附錄A給出了保證組件之間依賴關(guān)系的概要附錄B給出了評估保證級(EAL)和保證組件之間的交叉引用。1.2！GB/T18336的保證范例本條旨在嘲述支撐本標(biāo)準(zhǔn)保證方法的基本原則。通過對本條的理解將使讀者了解隱含在本標(biāo)準(zhǔn)保證要求中的基本原理。1.2.1GB/T18336基本原則GB/T18336的基本原則,就是應(yīng)該消楚描述那些對安全和組織安全策略承諾所造成的威脅,并且提出足以達(dá)到所期望的安全目的的安全措施。進一步地說，就是應(yīng)采取一些措施以減少可能存在的脆弱性，減弱有意利用或者無意觸發(fā)(或利用)一個脆弱性的能力，以及減輕因利用一個脆弱性而導(dǎo)致的破壞程度。另外，還需要采納一定的措施，便于今后標(biāo)識一