標(biāo)準(zhǔn)解讀

《GB/T 18336.3-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第3部分:安全保證要求》相比于其前版《GB/T 18336.3-2001》,主要在以下幾個(gè)方面進(jìn)行了調(diào)整和更新:

  1. 與國(guó)際標(biāo)準(zhǔn)的接軌:2008版更緊密地遵循了國(guó)際通用標(biāo)準(zhǔn)ISO/IEC 15408的最新修訂內(nèi)容,確保了國(guó)內(nèi)標(biāo)準(zhǔn)與國(guó)際標(biāo)準(zhǔn)的一致性,有助于提升我國(guó)信息技術(shù)產(chǎn)品在全球市場(chǎng)上的互認(rèn)度。

  2. 安全保證框架的完善:新版標(biāo)準(zhǔn)對(duì)安全保證框架(Security Assurance Framework)進(jìn)行了細(xì)化和優(yōu)化,增加了新的安全保證組件和評(píng)估方法,為評(píng)估者提供了更為詳細(xì)和系統(tǒng)的指導(dǎo),以確保評(píng)估過(guò)程的全面性和深度。

  3. 評(píng)估保證級(jí)別(EAL)的調(diào)整:雖然EAL的總體架構(gòu)保持不變,但2008版對(duì)各個(gè)評(píng)估保證級(jí)別的具體內(nèi)容和要求進(jìn)行了修訂,以更好地反映技術(shù)進(jìn)步和安全需求的變化。這包括對(duì)特定EAL級(jí)別的功能和測(cè)試要求進(jìn)行更新,使其更加符合實(shí)際安全場(chǎng)景的需求。

  4. 術(shù)語(yǔ)和定義的更新:為了提高標(biāo)準(zhǔn)的清晰度和適用性,新版標(biāo)準(zhǔn)對(duì)一些關(guān)鍵術(shù)語(yǔ)和定義進(jìn)行了修訂或新增,以適應(yīng)信息技術(shù)領(lǐng)域的發(fā)展和安全概念的演進(jìn)。

  5. 增強(qiáng)的可操作性和實(shí)用性:2008版標(biāo)準(zhǔn)在表述上力求更加精確和明確,為實(shí)施安全性評(píng)估的機(jī)構(gòu)和個(gè)人提供了更為具體的操作指南,便于理解和執(zhí)行,提高了評(píng)估工作的效率和質(zhì)量。

  6. 關(guān)注新興技術(shù)和威脅:鑒于信息技術(shù)快速發(fā)展,新版本標(biāo)準(zhǔn)在一定程度上考慮了當(dāng)時(shí)新興的技術(shù)趨勢(shì)和安全威脅,如網(wǎng)絡(luò)服務(wù)、云計(jì)算的初步興起,雖然這些內(nèi)容可能不如后續(xù)版本詳盡,但仍體現(xiàn)了標(biāo)準(zhǔn)對(duì)技術(shù)進(jìn)步的響應(yīng)。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 18336.3-2015
  • 2008-06-26 頒布
  • 2008-11-01 實(shí)施
?正版授權(quán)
GB/T 18336.3-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分:安全保證要求_第1頁(yè)
GB/T 18336.3-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分:安全保證要求_第2頁(yè)
GB/T 18336.3-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分:安全保證要求_第3頁(yè)
GB/T 18336.3-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分:安全保證要求_第4頁(yè)
GB/T 18336.3-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分:安全保證要求_第5頁(yè)

文檔簡(jiǎn)介

犐犆犛35.040

犔80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

代替GB/T18336.3—2001

信息技術(shù)安全技術(shù)

信息技術(shù)安全性評(píng)估準(zhǔn)則

第3部分:安全保證要求

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—

犈狏犪犾狌犪狋犻狅狀犮狉犻狋犲狉犻犪犳狅狉犐犜狊犲犮狌狉犻狋狔—

犘犪狉狋3:犛犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲狉犲狇狌犻狉犲犿犲狀狋狊

(ISO/IEC154083:2005,IDT)

20080626發(fā)布20081101實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語(yǔ)、定義和縮略語(yǔ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4.1本部分的結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5GB/T18336保證范型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5.1GB/T18336基本原則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5.2保證方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.3GB/T18336評(píng)估保證尺度!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6安全保證要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.1結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.2組件分類法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.3保護(hù)輪廓和安全目標(biāo)評(píng)估準(zhǔn)則類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!7

6.4本部分中術(shù)語(yǔ)的用法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.5保證分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

6.6保證類和族概況!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7保護(hù)輪廓與安全目標(biāo)評(píng)估準(zhǔn)則!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.2保護(hù)輪廓準(zhǔn)則概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3安全目標(biāo)準(zhǔn)則概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

8APE類:保護(hù)輪廓評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.1TOE描述(APE_DES)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.2安全環(huán)境(APE_ENV)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.3PP引言(APE_INT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.4安全目的(APE_OBJ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

8.5IT安全要求(APE_REQ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

8.6明確陳述的IT安全要求(APE_SRE)!!!!!!!!!!!!!!!!!!!!!!!20

9ASE類:安全目標(biāo)評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

9.1TOE描述(ASE_DES)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

9.2安全環(huán)境(ASE_ENV)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

9.3ST引言(ASE_INT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

9.4安全目的(ASE_OBJ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

9.5PP聲明(ASE_PPC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

9.6IT安全要求(ASE_REQ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

9.7明確陳述的IT安全要求(ASE_SRE)!!!!!!!!!!!!!!!!!!!!!!!!26

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

9.8TOE概要規(guī)范(ASE_TSS)!!!!!!!!!!!!!!!!!!!!!!!!!!!27

10評(píng)估保證級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

10.1評(píng)估保證級(jí)(EAL)概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

10.2評(píng)估保證級(jí)細(xì)節(jié)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

10.3評(píng)估保證級(jí)1(EAL1)———功能測(cè)試!!!!!!!!!!!!!!!!!!!!!!!!30

10.4評(píng)估保證級(jí)2(EAL2)———結(jié)構(gòu)測(cè)試!!!!!!!!!!!!!!!!!!!!!!!!30

10.5評(píng)估保證級(jí)3(EAL3)———系統(tǒng)地測(cè)試和檢查!!!!!!!!!!!!!!!!!!!!31

10.6評(píng)估保證級(jí)4(EAL4)———系統(tǒng)地設(shè)計(jì)、測(cè)試和復(fù)查!!!!!!!!!!!!!!!!!32

10.7評(píng)估保證級(jí)5(EAL5)———半形式化設(shè)計(jì)和測(cè)試!!!!!!!!!!!!!!!!!!33

10.8評(píng)估保證級(jí)6(EAL6)———半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試!!!!!!!!!!!!!!!34

10.9評(píng)估保證級(jí)7(EAL7)———形式化驗(yàn)證的設(shè)計(jì)和測(cè)試!!!!!!!!!!!!!!!!!36

11保證類、族和組件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

12ACM類:配置管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

12.1CM自動(dòng)化(ACM_AUT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

12.2CM能力(ACM_CAP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

12.3CM范圍(ACM_SCP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!45

13ADO類:交付和運(yùn)行!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

13.1交付(ADO_DEL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

13.2安裝、生成和啟動(dòng)(ADO_IGS)!!!!!!!!!!!!!!!!!!!!!!!!!!48

14ADV類:開發(fā)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!49

14.1功能規(guī)范(ADV_FSP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!52

14.2高層設(shè)計(jì)(ADV_HLD)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

14.3實(shí)現(xiàn)表示(ADV_IMP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!59

14.4TSF內(nèi)部(ADV_INT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!62

14.5低層設(shè)計(jì)(ADV_LLD)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!65

14.6表示對(duì)應(yīng)性(ADV_RCR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!67

14.7安全策略模型(ADV_SPM)!!!!!!!!!!!!!!!!!!!!!!!!!!!69

15AGD類:指導(dǎo)性文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!71

15.1管理員指南(AGD_ADM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!72

15.2用戶指南(AGD_USR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!73

16ALC類:生命周期支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!73

16.1開發(fā)安全(ALC_DVS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!74

16.2缺陷糾正(ALC_FLR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!75

16.3生命周期定義(ALC_LCD)!!!!!!!!!!!!!!!!!!!!!!!!!!!78

16.4工具和技術(shù)(ALC_TAT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!80

17ATE類:測(cè)試!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!81

17.1測(cè)試覆蓋(ATE_COV)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!82

17.2測(cè)試深度(ATE_DPT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!84

17.3功能測(cè)試(ATE_FUN)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!86

17.4獨(dú)立測(cè)試(ATE_IND)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!88

18AVA類:脆弱性評(píng)定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!90

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

18.1隱蔽信道分析(AVA_CCA)!!!!!!!!!!!!!!!!!!!!!!!!!!!91

18.2誤用(AVA_MSU)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!93

18.3TOE安全功能強(qiáng)度(AVA_SOF)!!!!!!!!!!!!!!!!!!!!!!!!!96

18.4脆弱性分析(AVA_VLA)!!!!!!!!!!!!!!!!!!!!!!!!!!!!97

附錄A(資料性附錄)保證組件依賴關(guān)系的交叉引用!!!!!!!!!!!!!!!!!!102

附錄B(資料性附錄)EAL和保證組件的交叉引用!!!!!!!!!!!!!!!!!!!106

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

前言

GB/T18336在總標(biāo)題《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》下,由以下幾個(gè)部分

組成:

———第1部分:簡(jiǎn)介和一般模型

———第2部分:安全功能要求

———第3部分:安全保證要求

本部分是GB/T18336的第3部分。

本部分等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC154083:2005《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)

則第3部分:安全保障要求》,僅有編輯性修改。

本部分代替GB/T18336.3—2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分:

安全保障要求》。

本部分與GB/T18336.3—2001的主要差異如下:

1.刪除了GB/T18336.3—2001的“ISO/IEC前言”;

2.增加了“引言”;

3.減少了“AMA:保證維護(hù)”類;

4.對(duì)GB/T18336.3—2001附錄A中表A.1進(jìn)行了調(diào)整。

本部分的附錄A和附錄B是資料性附錄。

本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出和歸口。

本部分的主要起草單位:中國(guó)信息安全測(cè)評(píng)中心。

本部分主要起草人:吳世忠、李守鵬、王貴駟、黃元飛、陳曉樺、劉暉、劉春明、李斌、彭勇、付敏、劉楠、

徐長(zhǎng)醒、簡(jiǎn)余良、張利。

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

引言

本部分定義的安全保證組件是在一個(gè)保護(hù)輪廓(PP)或安全目標(biāo)(ST)中表述安全保證要求的基礎(chǔ)。

這些要求建立了一種表述評(píng)估對(duì)象(TOE)保證要求的標(biāo)準(zhǔn)方法。本部分列出了一組保證組件、族

和類。本部分還定義了PP和ST的評(píng)估準(zhǔn)則,提出了定義關(guān)于TOE保證等級(jí)的預(yù)定義GB/T18336

尺度的一些評(píng)估保證級(jí)別,稱為“評(píng)估保證級(jí)”(EAL)。

本部分的目標(biāo)讀者主要有安全的IT系統(tǒng)和產(chǎn)品的客戶、開發(fā)者、評(píng)估者。GB/T18336.1第4章

提供了關(guān)于GB/T18336目標(biāo)讀者的附加信息,以及目標(biāo)讀者組如何使用GB/T18336的附加信息。

這些讀者組可以如下方式使用本部分:

a)客戶,在選取組件來(lái)表述保證要求,以滿足一個(gè)PP或ST提出的安全目的時(shí),使用本部分。

GB/T18336.1的5.4條提供了關(guān)于安全目的和安全要求之間關(guān)系的更多詳細(xì)信息;

b)開發(fā)者,在構(gòu)造TOE時(shí)響應(yīng)實(shí)際的或預(yù)測(cè)的客戶安全要求,在解釋保證要求陳述和確定TOE

的保證方法時(shí)參考本部分;

c)評(píng)估者,在確定TOE的保證以及評(píng)

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論