1、GB/T 18336旨在作为评估信息技术产品和系统安全特性的基础准则。通过建立这样的通用准则库,信息技术安全行评估的结果才能被更多人理解。某些内容因涉及专业技术或仅仅是IT安全的外围技术,因此不在GB/T 18336范围之内。例如:a) GB/T 18336不包括那些与IT安全措施没有直接关联的属于行政管理安全措施的安全评估准则。但是应该认识到TOE安全的某些重要组成部分通常可通过诸如组织的、人员的、物理的、程序的控制等行政性管理措施来实现。在TOE的运行环境中,当行政管理安全措施影响到IT安全措施对抗已确定威胁的能力时,则将其作为安全使用假设;b) GB/T 18336没有明确涵盖电磁辐射控
2、制等IT安全中技术性物理方面的评估,虽然标准中的许多概念适用于该领域。换句话说,GB/T 18336只涉及到TOE物理保护的某些方面;c) GB/T 18336并不专注于评估方法学,也不专注于评估管理机构使用本准则的管理和法律架构,但希望GB/T18336能在具有这样的框架和方法论的环境中用于评估;d) 评估结果用于产品或系统认可的程序不属于GB/T 18336的范围。产品或系统的认证是行政性的管理过程,据此准许IT产品或系统在其整个运行环境中投入使用。评估侧重于产品或系统的IT安全部分,以及直接影响到IT单元安全使用的那些运行环境。因此,评估结果是认可过程的重要输入。但是,由于其他技术更适合
3、于评价非IT相关系统或产品的安全特性以及其与IT安全部分的关系,认可者应针对这些情况分别制定不同的条款;e) GB/T 18336不包括评价密码算法固有质量相关的标准条款。如果需要对嵌入TOE的密码算法的数学特性进行独立评价,则必须在使用GB/T 18336 的评估体制中为相关评价制定专门条款。本标准定义了两种结构以表述IT安全功能和保证要求。其中,保护轮廓(PP)允许创建一些普通可重复使用的安全要求集合。PP可被目标客户用于规范和识别满足其需求的产品及其IT安全特性。安全目标(ST)用于阐述安全要求和详细说明被评估产品或系统的安全功能,这些产品通常称为评估对象(TOE)。ST被评估者用来作为在GB/T 18336指导下进行评估活动的技术。