《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第1部分：簡(jiǎn)介和一般模型》編制說明

一、任務(wù)來源

根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2012年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，國(guó)家標(biāo)準(zhǔn)《信息

技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則》由中國(guó)信息安全測(cè)評(píng)中心負(fù)責(zé)主辦，標(biāo)準(zhǔn)計(jì)劃

號(hào)為20120542-T-469（全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2012年信息安全專項(xiàng)）。

二、編制原則

1)保持與國(guó)際接軌，在跟蹤分析和了解國(guó)際標(biāo)準(zhǔn)的發(fā)展情況下，積極采納國(guó)際上

先進(jìn)行的標(biāo)準(zhǔn)，吸收先進(jìn)的思想。

2)提高可讀性，在全面了解國(guó)際標(biāo)準(zhǔn)的精神基礎(chǔ)上，充分汲取我們對(duì)GB/T

18336-2008版的認(rèn)識(shí)，對(duì)專業(yè)技術(shù)概念進(jìn)行本地化。

3)充分考慮可操作性，對(duì)安全要素的定義賦值等，充分考慮在評(píng)估和開發(fā)過程中

的可操作性。

4)CC3.1的R1、R2和R3版分別于2006年9月、2007年9月和2009年7月，

2012年9月CCDB又發(fā)布了CC3.1R4，而ISO/IEC15408:2009采納的是CC3.1R3

版，鑒于GB/T18336是等同采用ISO的標(biāo)準(zhǔn)，為保持與國(guó)際標(biāo)準(zhǔn)同步，我們將

ISO/IEC15408:2009即CC3.1R3作為本次GB/T18336-201X的修訂版。

三、主要工作過程

1）2012年10月成立了《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則》標(biāo)準(zhǔn)編寫組。

2）2012年10月-2013年7月，參照ISO/IEC15408:2008對(duì)《信息技術(shù)安全技術(shù)

信息技術(shù)安全評(píng)估準(zhǔn)則》進(jìn)行修訂，并在征求了北大教授王立福的意見后形成《信息技

術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則》草案（第一稿）。

3）2013年8月8日，參加安標(biāo)委WG5工作組專家評(píng)審會(huì)，《信息技術(shù)安全技術(shù)信

息技術(shù)安全評(píng)估準(zhǔn)則》草案通過了評(píng)審。出席評(píng)審會(huì)的專家包括王立福（組長(zhǎng)）、曲成

義、趙戰(zhàn)生、肖京華、顧健，以及WG7秘書許玉娜。會(huì)后，根據(jù)評(píng)會(huì)專家意見進(jìn)行修改

（參見標(biāo)準(zhǔn)草案稿意見匯總處理表），形成并提交《信息技術(shù)安全技術(shù)信息技術(shù)安全

評(píng)估準(zhǔn)則》草案（第二稿）。

4)2013年8月12日至2013年8月18日,信安標(biāo)委WG5工作組組織各成員單位對(duì)

標(biāo)準(zhǔn)草案進(jìn)行了投票，2013年8月26日至8月30日，根據(jù)投票意見對(duì)標(biāo)準(zhǔn)草案進(jìn)行了

修訂，形成征求意見稿。

四、標(biāo)準(zhǔn)的主要內(nèi)容

GB/T18336《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則》（等同于

ISO/IEC15408）（通常也簡(jiǎn)稱通用準(zhǔn)則——CC）已于2001年3月正式頒布，并于2008

年發(fā)布了第二版。該標(biāo)準(zhǔn)是評(píng)估信息技術(shù)產(chǎn)品安全性的基礎(chǔ)準(zhǔn)則。ISO/IEC15408是國(guó)際

標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種評(píng)估準(zhǔn)則努力的結(jié)果。其發(fā)展的主要階段為：

1996年，六國(guó)七方（英國(guó)、加拿大、法國(guó)、德國(guó)、荷蘭、美國(guó)國(guó)家安全局和美國(guó)標(biāo)

準(zhǔn)技術(shù)研究所）公布《信息技術(shù)安全性通用評(píng)估準(zhǔn)則》（CC1.0版）；

1999年12月，ISO接受CC2.1為國(guó)際標(biāo)準(zhǔn)ISO/IEC15408：1999標(biāo)準(zhǔn)，并正式頒

布發(fā)行；

2005年10月，ISO通過CC2.3為國(guó)際標(biāo)準(zhǔn)ISO/IEC15408：2005標(biāo)準(zhǔn)，并正式頒

布發(fā)行；

2009年12月，ISO通過CC3.1為國(guó)際標(biāo)準(zhǔn)ISO/IEC15408：2009標(biāo)準(zhǔn)，并正式頒

布發(fā)行。

CC定義了作為評(píng)估信息技術(shù)產(chǎn)品安全性的基礎(chǔ)準(zhǔn)則，提出了目前國(guó)際上公認(rèn)的表述

信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品安全行為的功能要求以及解決如何

正確有效的實(shí)施這些功能的保證要求。功能和保證要求又以“類——族——組件”的結(jié)

構(gòu)表述，組件作為安全要求的最小構(gòu)件塊，可以用于“保護(hù)輪廓”、“安全目標(biāo)”和“包”

的構(gòu)建，例如由保證組件構(gòu)成典型的包——“評(píng)估保證級(jí)”。另外，功能組件還是連接

CC與傳統(tǒng)安全機(jī)制和服務(wù)的橋梁，以及解決CC同已有準(zhǔn)則如TCSEC、ITSEC的協(xié)調(diào)關(guān)系，

如功能組件構(gòu)成TCSEC的各級(jí)要求。

CC特點(diǎn)體現(xiàn)在其結(jié)構(gòu)的開放性、表達(dá)方式的通用性以及結(jié)構(gòu)和表達(dá)方式的內(nèi)在完備

性和實(shí)用性四個(gè)方面：

1.在結(jié)構(gòu)的開放性方面，CC提出的安全功能要求和安全保證要求都可以在具體的

“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展，如可以增加“備份和恢復(fù)”

方面的功能要求或一些環(huán)境安全要求。這種開放式的結(jié)構(gòu)更適應(yīng)信息技術(shù)和信

息安全技術(shù)的發(fā)展。

2.通用性的特點(diǎn)，即給出通用的表達(dá)方式。如果用戶、開發(fā)者、評(píng)估者、認(rèn)可者

等目標(biāo)讀者都使用CC的語(yǔ)言，互相之間就更容易理解溝通。如用戶使用CC的

語(yǔ)言表述自己的安全需求，開發(fā)者就可以針對(duì)性地描述產(chǎn)品的安全性，評(píng)估者

也更容易有效客觀地進(jìn)行評(píng)估，并確保評(píng)估結(jié)果對(duì)用戶而言更容易理解。這種

特點(diǎn)對(duì)規(guī)范實(shí)用方案的編寫和安全性測(cè)試評(píng)估都具有重要意義。這種特點(diǎn)也是

在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢(shì)下，進(jìn)行合格評(píng)定和評(píng)估結(jié)果國(guó)際

互認(rèn)的需要。

3.CC的這種結(jié)構(gòu)和表達(dá)方式具有內(nèi)在完備性和實(shí)用性的特點(diǎn)，具體體現(xiàn)在“保護(hù)

輪廓”和“安全目標(biāo)”的編制上?！氨Ｗo(hù)輪廓”主要用于表達(dá)一類產(chǎn)品的用戶

需求，在標(biāo)準(zhǔn)化體系中可以作為安全技術(shù)類標(biāo)準(zhǔn)對(duì)待。其內(nèi)容主要包括：對(duì)該

類產(chǎn)品的界定性描述，即確定需要保護(hù)的對(duì)象；確定安全環(huán)境，即指明安全問

題——需要保護(hù)的資產(chǎn)、已知的威脅、用戶的組織安全策略；產(chǎn)品的安全目的，

即對(duì)安全問題的相應(yīng)對(duì)策——技術(shù)性和非技術(shù)性措施；信息技術(shù)安全要求，包

7

括功能要求、保證要求和環(huán)境安全要求，這些要求通過滿足安全目的，進(jìn)一步

提出具體在技術(shù)上如何解決安全問題；基本原理，指明安全要求對(duì)安全目的、

安全目的對(duì)安全環(huán)境是充分且必要的；以及附加的補(bǔ)充說明信息。

4.“保護(hù)輪廓”編制，一方面解決了技術(shù)與真實(shí)客觀需求之間的內(nèi)在完備性；另

一方面用戶通過分析所需要的產(chǎn)品面臨的安全問題，明確所需的安全策略，進(jìn)

而確定應(yīng)采取的安全措施，包括技術(shù)和管理上的措施，這樣就有助于提高安全

保護(hù)的針對(duì)性、有效性?！鞍踩繕?biāo)”在“保護(hù)輪廓”的基礎(chǔ)上，通過將安全

要求進(jìn)一步針對(duì)性具體化，解決了要求的具體實(shí)現(xiàn)。常見的實(shí)用方案就可以當(dāng)

成“安全目標(biāo)”對(duì)待。通過“保護(hù)輪廓”和“安全目標(biāo)”這兩種結(jié)構(gòu)，就便于

將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測(cè)試、評(píng)估和信息系統(tǒng)

的集成、運(yùn)行、評(píng)估、管理中。

ISO/IEC15408將使各個(gè)獨(dú)立的安全評(píng)估其結(jié)果具有可比性。這通過在安全評(píng)估時(shí)，

提供一套針對(duì)信息技術(shù)（IT）產(chǎn)品安全功能及其保證措施的通用要求來實(shí)現(xiàn)。評(píng)估過程

建立一個(gè)信任級(jí)別，表明該產(chǎn)品的安全功能及其保證措施都滿足這些要求。評(píng)估結(jié)果可

以幫助用戶確定該IT產(chǎn)品對(duì)他們的預(yù)期應(yīng)用而言是否足夠安全及其使用帶來的固有安

全風(fēng)險(xiǎn)是否可容忍。

第1部分：簡(jiǎn)介和一般模型，它定義了IT安全性評(píng)估的一般概念和原理，并提出

了評(píng)估的一般模型。

第2部分：安全功能要求，建立一系列功能組件，作為表述TOE功能要求的標(biāo)準(zhǔn)方

法。第2部分列出了一系列功能組件、族和類。

第3部分：安全保證要求，建立一系列保證組件，作為表述TOE保證要求的標(biāo)準(zhǔn)方

法。

與GB/T18336-2008的主要差異：

1）GB/T18336.1-201X與GB/T18336.1-2008的主要差異如下：

1、GB/T18336.1-201X增加了“2規(guī)范性引用文件”；

2、GB/T18336.1-201X“3術(shù)語(yǔ)和定義”中增加了“3.2與ADV類相關(guān)的術(shù)語(yǔ)和定

義”、“3.3與AGD類相關(guān)的術(shù)語(yǔ)和定義”、“3.4與ALC類相關(guān)的術(shù)語(yǔ)和定義”、

“3.5與AVA類相關(guān)的術(shù)語(yǔ)和定義”、“3.6與ACO類相關(guān)的術(shù)語(yǔ)和定義”；

3、GB/T18336.1-201X“5概述”中增加了“5.1TOE”；

4、GB/T18336.1-201X中將本標(biāo)準(zhǔn)適用的“IT產(chǎn)品和系統(tǒng)”改為“IT產(chǎn)品”；

5、GB/T18336.1-2008中的“5.1安全相關(guān)要素”、“5.2GB/T18336方法”調(diào)整

為本部分的“6.2資產(chǎn)和對(duì)策”、“6.3評(píng)估”；

6、刪除了GB/T18336.1-2008的“5.3安全概念”；

7、GB/T18336.1-2008中的“5.4.1安全要求的表達(dá)”調(diào)整為本部分的“7剪裁安

全要求”；

8、刪除了GB/T18336.1-2008的“5.4.2評(píng)估類型”；

9、GB/T18336.1-201X增加了“8保護(hù)輪廓和包”；

7

10、GB/T18336.1-2008中的“6GB/T18336要求和評(píng)估結(jié)果”調(diào)整為本部分的

“9評(píng)估結(jié)果”；

11、GB/T18336.1-2008中的“附錄A保護(hù)輪廓規(guī)范”調(diào)整為本部分的“附錄B

保護(hù)輪廓規(guī)范”，并增加了“B.11低保障的保護(hù)輪廓”、“B.12在PP中引用

其他標(biāo)準(zhǔn)”；

12、GB/T18336.1-2008中的“附錄B安全目標(biāo)規(guī)范”調(diào)整為本部分的“附錄A

安全目標(biāo)規(guī)范”，并增加了“A.3使用ST”、“A.11ST可解答的問題”、“A.12

低保障安全目標(biāo)”、“A.13在ST中引用其他標(biāo)準(zhǔn)”；

13、GB/T18336.1-2008的參考文獻(xiàn)調(diào)整為本部分的“附錄E參考書目”。

2）GB/T18336.2-201X與GB/T18336.2-2008的主要差異如下：

1、GB/T18336.2-201X中將“保證”（assurance）改為“保障”；

2、GB/T18336.2-201X中將“輸出到TSF控制之外（FDP_ETC）”改為“從TOE輸

出（FDP_ETC）”；

3、GB/T18336.2-201X中將“從TSF控制之外輸入（FDP_ITC）”改為“從TOE之

外輸入（FDP_ITC）”；

4、刪除了GB/T18336.2-2008“FPT類：TSF保護(hù)”中的“底層抽象機(jī)測(cè)試（FPT_AMT）”、

“引用仲裁（FPT_RVM）”、“域分離（FPT_SEP）”；

5、GB/T18336.2-201X“FPT類：TSF保護(hù)”中增加了“外部實(shí)體測(cè)試（FPT_TEE）”；

6、GB/T18336.2-201X中將“會(huì)話鎖定（FTA_SSL）”改為“會(huì)話鎖定和終止

（FTA_SSL）”；

7、GB/T18336.2-201X中將“門限值”改為“臨界值”；

8、GB/T18336.2-201X中將“介導(dǎo)”改為“促成”。

3）GB/T18336.3-201X與GB/T18336.3-2008的主要差異如下：

1、GB/T18336.3-201X中將“保證”（assurance）改為“保障”；

2、GB/T18336.3-201X中將“6安全保證要求”改為“6安全保障組件”；

3、刪除了GB/T18336.3-2008中的“6.3保護(hù)輪廓和安全目標(biāo)評(píng)估準(zhǔn)則類結(jié)構(gòu)”、

“6.4本部分中術(shù)語(yǔ)的用法”、“6.5保證分類”、“6.6保證類和族概況”；

4、GB/T18336.3-2008中的“6.1.5EAL結(jié)構(gòu)”調(diào)整為本部分的“6.2評(píng)估保障級(jí)

結(jié)構(gòu)”；

5、GB/T18336.3-201X增加了“6.3組合保障包結(jié)構(gòu)”；

6、刪除了GB/T18336.3-2008中的“7保護(hù)輪廓與安全目標(biāo)評(píng)估準(zhǔn)則”、“11保

證類、族和組件”；

7、GB/T18336.3-201X增加了“8組合保障包”；

8、刪除了GB/T18336.3-2008中的“8.1TOE描述”；

9、GB/T18336.3-201X增加了“9.2一致性聲明”；

10、GB/T18336.3-2008中的“8.2安全環(huán)境”、“8.6明確陳述的IT安全要

求”改為本部分的“9.3安全問題定義”、“9.5擴(kuò)展組件定義”；

7

11、刪除了GB/T18336.3-2008中的“9.1TOE描述”、“9.5PP聲明”；

12、GB/T18336.3-201X增加了“10.2一致性聲明”；

13、GB/T18336.3-2008中的“9.2安全環(huán)境”、“9.7明確陳述的IT安全要

求”改為本部分的“10.3安全問題定義”、“10.5擴(kuò)展組件定義”；

14、刪除了GB/T18336.3-2008“ADV類：開發(fā)”中的“高層設(shè)計(jì)（ADV_HLD）”、

“低層設(shè)計(jì)(ADV_LLD)”、“表示對(duì)應(yīng)性(ADV_RCR)”；

15、GB/T18336.3-201X“ADV類：開發(fā)”中增加了“安全架構(gòu)（ADV_ARC）”、

“TOE設(shè)計(jì)（ADV_TDS）”；

16、GB/T18336.3-2008中AGD類的“管理員指南(AGD_ADM)”和“用戶指南

(AGD_USR)”調(diào)整為本部分的“操作用戶指南（AGD_OPE）”和“準(zhǔn)備程序

（AGD_PRE）”；

17、GB/T18336.3-2008中將ACM類的“CM能力(ACM_CAP)”、“CM范圍

(ACM_SCP)”，ADO類的“交付(ADO_DEL)”合到了ALC類中；

18、刪除了GB/T18336.3-2008“ACM類：配置管理”中的“CM自動(dòng)化（ACM_AUT）”；

19、刪除了GB/T18336.3-2008“ADO類：交付和運(yùn)行”中的“安裝、生成和啟

動(dòng)(ADO_IGS)”；

20、GB/T18336.3-2008中將“測(cè)試覆蓋(ATE_COV)”改為“覆蓋（ATE_COV）”，

將“測(cè)試深度(ATE_DPT)”改為“深度（ATE_DPT）”；

21、刪除了GB/T18336.3-2008“AVA類：脆弱性評(píng)定”中的“隱蔽信道分析

(AVA_CCA)”、“誤用(AVA_MSU)”、“TOE安全功能強(qiáng)度(AVASOF)”；

22、GB/T18336.3-2008中將“脆弱性分析(AVA_VLA)”改為“脆弱性分析

（AVA_VAN）”；

23、GB/T18336.3-201X增加了“16ACO類：組合”；

24、GB/T