GB Z 20283-2006 信息安全技术.保护轮廓和安全目标的产生指南.pdf

1、ICS 35.040 L 80 道国中华人民共和国国家标准化指导性技术文件G/Z 20283-2006 信息安全技术保护轮廓和安全目标的产生指南Information security technology-Guide for the production of Protection Profiles and Security Targets (ISO/IEC TR 15446: 2004 , Information technology一一Security techniques-Guide for the production of Protection Profiles and Secur

2、ity Targets, NEQ) 2006-05-31发布中华人民共和国国家质量监督检验检菇总局中国国家标准化管理委员会发布GB/Z 20283一2006目次前言.皿引言.凹1 范围2 规范性引用文件3 术语和定义4 PP和ST概述4. 1 简介4.2 PP和ST内容14.3 PP与ST的关系.4.4 PP或ST的目标读者.4.5 PP和ST的开发过程.4.6 PP族.4 5 PP和ST的描述部分.45. 1 简介45.2 PP和ST的描述部分.6 TOE安全环境6. 1 简介6.2 识别和确定假设.6 6.3 识别和确定威胁66.4 识别和确定组织安全策略97 安全目的107. 1 简介1

3、07.2 确定TOE安全目的7.3 确定环境安全目的128 安全要求138. 1 简介138.2 确定PP或ST中的安全功能要求148.3 确定PP或ST中的保证要求208.4 环境安全要求229 TOE概要规范9. 1 简介.9.2 确定IT安全功能.24 9.3 确定安全机制249.4 确定保证措施2410 PP声明2510. 1 简介.25 10.2 PP引用.10.3 PP裁剪.G/Z 20283-2006 10.4 PP附件2511 PP和ST基本原理2511. 1 简介2511. 2 PP和ST中的安全目的基本原理.11. 3 PP和ST中的安全要求的基本原理12 复合及部件TOE

4、的PP与ST.12. 1 简介12. 2 复合TOE 31 12. 3 部件TOE u u 功能和保证包M13. 1 背景3413.2 确定功能包3413.3 确定保证包附录A(资料性附录)指南核查表36儿1简介A.2 PP和ST简介MA.3 TOE描述MA.4 定义TOE安全环境mA.5 定义安全目的37A.6 确定IT安全要求.A.7 产生TOE概要规范MA.8 构建PP基本原理38A.9 构建ST基本原理 38 附录因资料性附录)防火墙PP与ST示例39且1PP与ST简介mB.2 TOE描述. . . . . . . . . 39 B.3 安全环境. . . . . . . . . .

5、. 39 B.4 安全目的 40 B.5 IT安全要求.40 B.6 TOE概要规范UB.7 PP声明uB.8 PP基本原理.42 且9ST基本原理. . . . . 43 附录C(资料性附录)数据库PP示例 u 巳1简介. 44 C.2 安全环境 44 C.3 安全目的 G C.4 IT安全要求G巳5PP基本原理. . . . . . . .,. .,. 46 参考文献. . 48 H GB/Z 20283-2006 目。昌本指导性技术文件与ISO/IECTR 15446: 2004(信息技术安全技术保护轮廓和安全目标产生指南的一致性程度为非等效。差异包括:a) 根据GB/T1. 1的要求对

6、第1章至第3章的内容重新作了编排;b) 规范性引用文件中将ISO/IEC15408: 1999改为GB/T18336-2001，并对指导性技术文件中引用的GB/T18336-2001的章条编号进行了一致性处理;c) 删除了ISO/IECTR 15446: 2004中的第5章，以及资料性附录B(一般事例)、附录C(密码功能说明)和附录F(可信第三方保护轮廓示例)。本指导性技术文件的附录A、附录B、附录C是资料性附录。本指导性技术文件由全国信息安全标准化技术委员会提出并归口。本指导性技术文件起草单位:中国信息安全产品测评认证中心。本指导性技术文件主要起草人:李守鹏、徐长醒、李红阳、刘威鹏、刘晖、付

7、敏、简余良、周瑾。mu G/Z 20283-2006 51 GB/T 18336-2001(信息技术安全技术信息技术安全性评估准则基于风险管理的思想，使用保护轮廓(ProtectionProfile, PP)和安全目标(SecurityTarget, ST)构成灵活科学的安全测评框架，已成为表述安全的事实上的国际语言。本指导性技术文件的目的是帮助开发者、使用者、测评者等更规范更详细地表述安全目标和安全要求。本指导性技术文件是GB/T183362001的辅助性指南文件，为保护轮廓或安全目标各部分内容的描述及其相互关系提供了技术指南。本指导性技术文件的使用者应该熟悉GB/T18336-2001 0

8、 本指导性技术文件不解决诸如PP注册以及PP中涉及知识产权保护的问题(如:专利)。N GB/ Z 20283-2006 信息安全技术保护轮廓和安全目标的产生指南1 范围本指导性技术文件描述保护轮廓CPP)和安全目标(ST)中的内容及其各部分内容之间的相互关系，并在附录中给出了若干实例，供感兴趣的读本指导性技术文件给出PP和ST并陈述了PP与ST之间的关系，以2 规范性引用文件期的引用文件，其随后所而，鼓励根据本指导性GB/ T 527 1. 8-.2/0 GB/ T 18336. 1 模型(idtISO/ IEC GB/ T 18336. 求(idtISO/ IEC 15 GB/ T 1833

9、6.军要求(idtISO/ IEC 3 术语和定义4 PP和ST概述4.1 简介4.2 PP和ST内窑GB/ T 18336. 1-2001的图B.1中描述了P:安全功能要录清单。GB/T18336. 1-2001的图C.1中描述了ST所要求的内容条目。表2是ST推荐结构的示例目录清单。PP和ST的读者应该很容易地找到所需要的内容在PP或ST中的位置。引言部分标识PP或ST和评估对象(TOE)(包括它的版本号)，并概要描述PP或SToPP概述可以被PP丈档的编目和注册引用。ST概述可以在公布的己评估的产品列表中被引用。这部分更详尽的讨论参见第5章。TOE描述提供TOE(或TOE类型)的一般信息

10、，并帮助理解TOE的安全要求和预期的使用方法。G/Z 20283-2006 ST的TOE描述应该包括TOE评估中所用的配置信息。这部分更详尽的讨论参见第5章。TOE安全环境定义TOE所处的环境，尤其是定义TOE预期的安全需求。安全环境详细描述用于定义安全需求的所有假设、预期使用的范围、要保护资产所面临的己知威胁(威胁与资产一起描述)以及TOE必须遵循的组织安全策略。这部分更详尽的讨论参见第6章。表1保护轮廓示例目录清单1 pp引言1. 1 标识1. 2 概述2 TOE描述TOE 安全环境3 3.1 假设3.2 威胁3.2 组织安全策略4 安全目的4.1 TOE安全目的4. 2 环境安全目的5

11、IT安全要求5.1 TOE安全功能要求5.2 TOE安全保证要求5. 3 信息技术(IT)环境安全要求6 pp应用注释7 基本原理7. 1 安全目的基本原理7.2 安全要求基本原理表2安全目标示例目录清单l ST引言1.3与GB/T183362001的一致性6 TOE概要规范6.1 TOE安全功能6.2 保证措施7 pp声明7.1 PP引用7.2 PP裁剪7.3 PP附加项8 基本原理8.3 TOE概要规范基本原理8.4 PP声明基本原理a PP应用注释不包括在安全目标中安全目的提供与安全需求对应的一致性声明，既有由TOE满足的安全目的，也有由TOE环境中IT的或非IT的措施满足的安全目的。这

12、部分更详尽的讨论参见本指导性技术文件第7章。IT安全要求定义了对TOE的安全功能要求、保证要求和IT环境中对TOE的所有软硬件或固件的要求，IT安全要求使用GB/T18336.2-2001和GB/T18336. 3-2001中的功能组件和保证组件来描述。这部分更详尽的讨论参见第8章。2 GB/Z 20283-2006 pp应用注释是pp中一个可选部分，它提供pp作者认为有用的附加的信息。值得注意的是，应用注释可能分布在pp的相关章节，而不是以单独的章节的形式出现。这部分更详尽的讨论参见第5章。TOE概要规范是ST的一部分，包括由TOE提供的用于满足特定安全功能要求的IT安全功能，以及所有声明满

13、足特定安全保证要求的保证措施。这部分更详尽的讨论参见第9章。pp声明是ST的可选部分，用于声明ST遵循和满足的所有pp，以及对pp内容的补充或裁减。这部分更详尽的讨论参见第10章。基本原理部分论证pp或ST规范的要求是完整且内聚的，并且满足ST的TOE能有效地满足安全需求，另外，IT安全功能措施和保证措施能有效地满足TOE安全要求。值得注意的是，基本原理可能分布在pp或ST的相关章节，而不以单独章节的形式出现。这部分更详尽的讨论参见第11章。注意:基本原理也能够作为一个单独的文档，参见GB/T18336. 1-2001的B.2.8o4.3 PP与ST的关系比较表l和表2的示例目录清单，可以明显

14、看出pp与ST之间有很多共同之处，特别是在TOE安全环境、安全目的和IT安全要求，以及基本原理中的相关部分。事实上，如果ST简单地声明与某一个pp相一致，而没有多余的功能和保证要求，那么ST中这些部分的内容可能与pp中的对应内容完全一样。在这种情况下，建议ST简单地引用pp内容，只对与pp不同的部分提供详细描述。ST中应该对下列pp中没有提到的各部分给出详细描述，以反映ST的特点，即说明TOE如何对确定的安全需求提供解决方案:a) TOE概要规范，包括IT安全功能、安全措施或技术以及保证强度;b) PP声明，论证与所引用PP的一致性;c) ST基本原理，阐明IT安全功能和保证强度足以满足IT安

15、全要求。4.4 PP或ST的目标读者编写PP或ST过程中，最具挑战的是如何表达，以使目标读者各得其所:a) 用户一用户(如高层设计者)需要了解遵循PP的TOE以安全方式提供哪些相关功能，对于成功的pp，用户应该是该pp的最大读者群;b) 开发者一一-开发者(包括ST的实现者)需要获得无歧义的安全需求定义，以便去构建符合PP的TOE;c) TOE使用者一一TOE使用者(包括安装者、管理员及维护者)需要获得相关的TOE安全环境的信息;d) 评估者一一-PP或ST评估者需要获得相关的证实PP或ST技术稳定性和有效性的信息。PP或ST的不同部分针对不同的读者，各部分要分别撰写。PP或ST引言、TOE描

16、述和TOE环境等部分主要针对用户，安全目的也主要针对用户。但是，TOE开发者也应该认真了解TOE安全环境和TOE安全目的的内容。PP中的IT安全要求部分主要针对TOE开发者，ST中的TOE概要规范部分也主要针对TOE的实现者。如果这些部分不是自包含的，那么就应当对相关的内容给出全面而准确的解释。例如，如果TOE概要规范的含义依赖于TOE安全技术要求，那么就应该明确说明它们的对应关系。一般PP并不直接告诉TOE使用者有关TOE的信息，但会以适当形式提供基本信息，并用交付和运行保证类(ADO类)的组件传递这样的信息。使用信息可能出现在PP的不同的地方，如:假设、环境目的或对环境要求的部分。评估者需

17、要熟悉PP或ST的所有部分。尽管PP或ST的所有用户对于基本原理都有兴趣，但该部分主要针对评估者，是通常的评估信息。4.5 PP和ST的开发过程在GB/T18336. 1-2001附录B和附录C以及GB/T18336. 3-2001的第3章到第5章中，关于PP和ST要求的陈述，就是建议PP与ST的开发应该按逻辑顺序以自上而下的方式进行，例如，PP3 GB/Z 20283-2006 的开发顺序可以是:a) 定义安全需求;b) 确认与安全需求对应的安全目的;c) 定义满足TOE安全目的的IT安全要求。不排除可能需要重复表述的情形。例如，定义安全要求时可能会突出表示所要满足的安全目的或安全需求;在验

18、证威胁、安全目的与安全要求和功能之间关系时可能有一定的重复;在描述pp或ST基本原理时，可能出现更多的重复。如果TOE是要满足什么要求，Il说，当没有特别声月它们的安全目的方安全功能要求(SFRHI保证要求，这种区别应d5 PP和ST的描述部分5.1 简介本章为pp和ST描述部分的构建提供指南，即:a) PP和ST的引言;b) PP或ST中的TOE描述;c) PP应用注释。5.2 PP和ST的描述部分5.2. 1 引言5.2. 1. 1 标识问对应的问题都被消除后，才能假定pp与ST、l信息，这就要求以文档形式记pp族中的pp包PP或ST标识部分应该能提供足够的信息，惟一地标识出PP或ST，用

19、于PP注册或公布己评估产4 GB/Z 20283-2006 品列表等目的，标识内容至少包括具有惟一版本的pp或ST名称，以及用于标识TOE的内容(例如，名称和版本号)0 PP或ST标识可能还包括下列信息:a) 关键词(例如，用来识别或检索在注册或产品列表中的安全功能和特征); b) 保证组件包例如，可能是某个评估保证级(EAL)的保证组件包。GB/ T 18336-2001中未严格规定将EAL放在哪一部分，本指导性技术文件建议将其放引言中，以便于国际互认。标识部分还需要包括用于开发PP或ST的GB/T18336-2001的版本信息，以便于版本控制，尽c) TOE 除非TO和操作环境的在PP中，

20、TOE描述对解，例如，不要描述5.2. 3 应用注释应用注释是PP安全要求一起描述。应同非f6 TOE安全环境6.1 简介、斗回爵因哥哥精SE部分还需要包括进PP或ST需要的，并与GB/T18336.1-2001中独用于PP编目和注册安全问题，以使目标用部分一致。是建议性的): 果包括TOE边界OEo ST则必.须提OE所提供的IT特本章指导说明PP或ST中有关TOE的安全环境。GB/T18336-2001对PP或ST中这一部分内容的要求参见GB/T18336 . 1-2001的B.2. 4和C.2. 4。在GB/T18336. 1-2001中它们的措辞相同，表明PP或ST的TOE安全环境部分

21、的预期内容差别不大。TOE安全环境的目的就是定义TOE预期被使用的环境范围和特征，以及预期使用时的方式，例如安全需求由TOE来处理。如图l所示。5 GB/Z 20283-2006 定义对资产的威胁安全需求固1安全需求的定义本章包括以下内容的讨论:a) 对TOE安全环境的假设，从而定义出安全需求的范围;b) 需要保护的资产，包括:IT环境或TOE本身典型的信息或资产，以及己知的威胁主体和对资产的威胁;c) 在处理安全需求时，必须遵循的所有组织安全策略或规则。pp或ST的后几部分说明TOE如何结合操作环境处理安全要求。因此要确保能够清楚明了地定义安全需求，否则可能导致pp或ST错误地处理安全需求。

22、在定义安全要求方面，pp或ST文本中一般原理部分的价值在于避免出现有关TOE怎样满足安全需求的讨论内容。这样可以帮助读者将注意力集中在安全需求的重要点上，有关安全需求如何被TOE满足的讨论最好留给IT安全要求来陈述。6.2 识别和确定假设GB/T 18336-2001要求pp或ST的TOE安全环境部分包括安全环境的假设或TOE的预期用法的清单。为编辑这样的清单，首先需要回答下面的问题:对于TOE安全环境和安全需求范围，应该做出什么假设?例如，可能需要给出几个假设来保证某个对资产的潜在威胁实际上是与TOE环境无关的。几种可能的假设类型有:a) 有关TOE预期用法的假设;b) TOE任一部分的环境

23、(例如，物理的)保护假设;c) 连通性假设，例如将防火墙配置在私网与公网的惟一网络连接点;d) 人员方面的假设，例如预期的用户权限类型，他们的一般责任以及假设给予这些用户的信任度等。那些对pp与ST内容有具体影响的其他假设也可能被包括在内，例如，导致选择某保证要求的假设。虽然GB/T18336-2001要求对已正式认定的假设必须表明受到安全目的的支持，尽管如此，在pp或ST的描述性或提示性文字中，仍然可能存在无法追溯到安全目的的一般假设。通常进行一次尝试不太可能完全识别出所有假设，而应该在pp或ST的整个开发过程中不断识别出更多的假设。特别是在构造pp或ST基本原理时，例如在阐明安全目的适于对

24、抗已知的威胁时，应该考虑假定是否包含在pp或ST的陈述中。在重复采取上述方法识别假设时，应该仔细考虑形成关于有效使用TOE安全功能的假设，它们可以作为非IT环境的安全要求(参见8.4.2)。它们更适合于作为人员的假设来陈述，例如，假设TOE具有一个或多个管理员，他们负责确保TOE安全功能的正确配置和正确使用。为方便引用，建议对每个假设进行惟一地标识和编号。6.3 识别和确定威胁6.3. 1 概述GB/T 18336一2001要求pp或ST包括所有对要保护资产的威胁的描述(参见GB/T18336. 1 6 GB/Z 20283-2006 2001的B.2.的，但GBjT18336-2001还指出

25、:如果安全目的仅源于组织安全策略，也就是安全需求完全由组织的安全策略和假设来定义，那么就可以忽略威胁陈述。例如，在国应招标书或投标邀请书的ST中给出的组织安全策略就属于这种情况。实际建议如下:在pp或ST中安全需求被陈述为威胁会比陈述为相应的组织安全策略要好，因为这有助于对安全需求的理解。另外，如果只使用组织安全策略陈述安全需求，那么可能出现不能及时更新当前威胁的风险。风险评估的重要意义在于正确地识别资产以及对于资产的威胁，不应该低估风险分析的重要性，如果风险分析做不好，那么:a) TOE可能会提供不充分的保护，那么组织的资产就会在不可接受的风险程度下遭受损失;b) 可能过高估计威胁，从而提高

26、了实现戚本及保证要求，并限制了潜在解决方案。GBjT 18336-2001没有提供风险分析的框架和组织规范，识别资产威胁的详细讨论也超出了本指导性技术文件的范围，这也是单位风险分析中最难的部分，为了保持本指导性技术文件内容的完整性，下面将陈述有关的一般性原理，另参见GBjT18336. 1一2001的第5章。有关这一主题的详细指南，读者可参考ISOjIECTR 13335等标准。6.3.2 识别威胁6.3.2.1 什么是威胁在GBjT18336.1-2001的5.1. 1中描述的威胁是指那些不希望发生的事件，可能由己知的威胁主体引起，而使资产面临风险。注意:对组织安全策略和假设的违背不应该算作

27、风险。要识别风险是什么，应该回答下列问题:a) 需要保护的资产是什么?b) 威胁主体是什么?c) 需要保护资产免于什么攻击方法或事件造成的损害?6.3.2.2 识别资产在GBjT18336. 12001中的3.3定义了资产，资产为由TOE策略保护的信息和资、掘。这样定义是因为它们对于拥有这些资产的个人或组织来说都具有某种内在价值，同样，对于那些试图损害这些资产的威胁主体来说，资产也具有价值，只是它们与资产所有者的兴趣和希望相反，例如造成资产机密性、完整性、可靠性、可鉴别性、可审计性或可用性的丧失。pp或ST作者所关心的资产可能是某组织的主要资产的某种表现，例如，资产的价值或组织的人员、用户或名

28、誉等。根据GBjT18336. 1-2001中5.1. 1给出的描述，应该使资产的所有者了解谁是保护配置TOE的IT系统内资产的责任人。实际上，主要资产的所有者可能有多人，他们并不是TOE以及TOE中所包含信息的所有者。在描述资产时，识别出这些主要所有者对读者是很有帮助的，例如:a) 在可信第三方系统中，在不同关键之处会有不同的所有者，即可信第三方系统用户也就是可信第三方系统所有者自己;b) 在医疗系统中，一般来说TOE信息的所有者不会只有一人，而是对此有利益的所有的人，因此，对该信息的使用和控制要有复杂的规则和细致的考虑。GBjT 18336. 12001中的5.1. 2指出资产一般以信息形

29、式通过IT系统储存、处理和传输，但应该强调资产也可能扩展到在IT环境内的TOE，如由防火墙或入侵检测系统保护的信息和资源的情形。GBjT 18336. 1-2001中的5.3.1建议已知的资产也可能包括那些不直接受控于安全要求的授权证书和IT工具。识别这些资产的过程可能成为识别保护重要资产所需措施的过程的一部分。尽管GBjT 18336-2001允许，但一般不建议将由TOE自身引人的信息资源或那些与主要资产无直接关系的信息和资源明确标识为资产。可能的原因是:a) 掩盖了TOE的主要目的(该目的用于保护主要的资产或该资产在IT环境中的其他表现形式); 7 GB/Z 20283-2006 b) 导

30、致在pp或ST的早期阶段引人实现细节，即己定义了安全需求的解决办法，使之出现在威胁和安全目的之中。6. 3.2.3 识别威胁主体如上所述，尽管在GB/T18336. 1-2001中的5.1. 1指出的安全区域中很大的注意力通常放在那些恶意的或与人类活动相关的威胁，但威胁主体既可能是人也可能不是人。为识别谁是威胁主体，需要考虑:a) 不论出于什么目的，通过损害资产可能获利的人;b) 能够损害资产的人，换句话说，就是能够访问处理资产的IT系统的人;c) 那些可能具有技术、机会、可用资源和动机的人或组织，其中可用资源可能是自动攻击或网络嗅探工具等。非人类威胁源也应该被考虑。非人类威胁源处可能导致资产

31、受损。6.3.2.4 识别攻击方法在确定要保护的资产和TOE环境的了解来确认攻内，pp与ST作者应、现的威胁的可能性。6.3.2.5 凤险分析风险分析方法险分析过程可能与策所需的保证级别a) 对资产受埔识b) 6. 3. 3 说明威胁识别出由TOE或环安全环境部分应该清晰简日a) 威胁主体(例如，TOEb) 受威胁控制的资产(例如，缸，c) 使用的攻击方法(例如，假冒的T陈述威胁的具体示例如下:攻击者可能通过假冒TOE的授权用户，未经授权地访问信息和资源。TOE的授权用户可能假冒其他TOE的授权用户，未经授权地访问信息和资源。有定义。风寸抗威胁的对如果将威胁描述与描述项的解释、资产受到的威胁范

32、围、以及威胁主体可能使用的攻击方法一起综合陈述，那么读者就比较容易理解威胁描述。例如，上面示例威胁中，处于风险中的资产是用户或假冒的用户有权访问或获取这些假冒的一系列的信息和资源。为有助于确保简明描述威胁，威胁描述应该尽可能独立，即:不同威胁之间应该尽可能不重叠。这8 GB/Z 20283-2006 样既有助于避免使pp或ST读者产生棍肴，也可以通过避免不必要的重复来简化pp或ST基本原理。如果以同样详细程度陈述所有威胁，那么威胁之间的重叠就易于避免。例如，如果特定攻击情节与在pp与ST的其他部分已陈述的一般威胁有关，那么就不要陈述这样的威胁，因为它描述的是己详细说明了的对特定资产的攻击方法。

33、每个威胁都应该单独标识以方便引用，可能的标识方式有:a) 对威胁连续编号(例如，编号为Tl、T2、T3等); b) 用简短而有意义的名称作为威胁的惟一标识。第一种方式的优点是，编号通常很短，并易于参考。第二种方式的优点是，使用名称作为单独标识，名称具有充分的含义井且容易记忆。然而，在使用第二种标识方式时，由于实际中限制名称中字符数困惑;b) 例如，如果威胁胁也可能导致资产TOE安全环境的剧迦T还应该注意到指导性技术文件TOE安全功能的口6. 3.4 完成威胁，述GB/ T 18336. 1 威胁。人们最感兴保证内容的完整性，因针对的目标是TOE是安全功能的旁路或篡求时，参见本些威胁，这些戚且此

34、，pp或ST作者有一定的自由度来决定它作意在押境穰亏了中处理，还是在由运行环境对抗的威胁陈述中处理。两种方法都可接受，因为假设和威胁都必须被映射到支持或处理它们的安全目的上。因此，应该主要基于最有助于读者了解安全需求的考虑，在两者之间做出选择。一般的选择规则是:特定攻击应该作为威胁来处理，而更一般形式的攻击最好作为假设来处理。无论采取什么方法，重要的是问题只能被陈述一次。6. 4 识别和确定组织安全策略GB/ T 18336. 1-2001的B.2.4要求TOE安全环境部分包括所有TOE必须遵循的组织安全策略(OSP)的描述，但GB/T18336-2001又指出:如果安全目的仅源于威胁，也就是

35、安全需求完全由戚GB/Z 20283-2006 胁来定义，那么，就可以忽略组织安全策略的陈述。正如本指导性技术文件6.3中指出的那样，pp与ST作者应该首先对照己存在的和相关的威胁，审查所有组织安全策略，然后再将策略写入pp与ST。GB/T 18336.1-2001的3.3将组织安全策略定义为:组织为保障其运转而规定的若干安全规则、程序、规范和指南。OSP可能需要由TOE或其环境或由两者一起实施。如果PP或ST指定OSP及威胁，那么就应该在TOE安全环境部分提供安全需求的简明陈述。如果只包括仅是以不同形式简单重述某个威胁的OSp，那么这就没有太多用处。通常这种情形仅出现在相关组织强制要求申明的

36、OSp，而该OSP是己存在的威胁的重新声明。例如，如果已经识别出威胁一-非授权者可能获得对TOE的逻辑访问，再给出如下陈述的OSP一一一必须在TOE访问被接纳之前鉴别TOE的合法用户，将不会赋予更多信息内容。这个OSP不仅以不同方式重述这个威胁，而且也重复了用于响应安全需求的安全目的的定义。如果只将问题陈述一次，那么PP或ST将更清晰易懂。一般的规则是:当TOE预期由特定组织或一类组织使用时，或当TOE需要实现一组明显不包含或仅隐含在威胁描述中的规则时，指定出OSP才是适当的。如:a) 标识所使用的信息流控制规则;b) 标识所使用的访问控制规则;c) 定义有关安全审计的组织策略;d) 组织强制

37、的解决技术，例如使用特别批准的密码算法，或与认定的指南相一致的密码算法。同威胁一样，应该惟一标识每个OSP以便于引用。7 安全目的7. 1 简介本章提供在PP或ST中识别和指定安全目的的指南，这方面要求参见GB/T18336. 1-2001的B.2.5和C.2.5的描述。GB/T 18336.3-2001的5.4指出:安全目的应该是对安全问题预期响应的简明陈述，换言之，在安全环境中已经陈述了安全需求，现在必须以安全目的的陈述形式明确地界定出:安全需求是由TOE还是由环境来满足或处理的。如图2所示:安全需求(, ( 威胁) ( 组略) C 假设) 二:二( ( m目的) C 环阳) ) 安全目的

38、8 I呐非IT由IT安全要求圄2安全目的的作用10 GB/Z 20283-2006 图2中明确标识出GB/T183362001要求的两种类型的安全目的，它们在pp或ST中是明确分开的:a) TOE的安全目的，由TOE实现的技术措施来满足;b) 环境的安全目的，既要由TOE环境实现的技术于段来满足，也要由非IT手段来满足(例如，使用程序性的管理或运行规定)。安全目的明确地划分出了在TOE安全环境的上下文中由TOE实现和不由TOE实现的部分。通过明确地区分由TOE或由环境满足安全需求的责任后，需要保护资产的风险能够被有效减小。另外，安全目的不仅划分了职责，而且划定了TOE的评估范围，这是由于TOE

39、的安全目的将导出由TOE实现的安全功能要求，以及TOE安全功能要求所需要的保证等级。7.2 确定TOE安全目的已知的TOE安全目的确定TOE在对抗威胁和支持OS巳方面负有什么责任。如图2所述，安全目的被认为可以为读者提供从己知的安全需求到安全IT要求之间的过搜或桥梁。为确定安全目的定义的详细程度，需要折中考虑以下两方面的要求:a) 安全目的应该能帮助读者理解由TOE处理的安全需求的范围，而不必深入到实现的细节，TOE安全目的最好独立于实现。因此，应该重点说明预计达到的结果而不是达到结果的方法;b) 应该确保已定义的安全目的不是对包含在威胁和OSP中内容的重述，或只是形式稍有差异的重述。实际上，

40、当构成安全目的和安全要求基本原理时，就可以检验出安全目的是否定位在合适的详细程度。如果基本原理的某一步骤太琐碎，而其他步又难于表达，那么安全目的可能太细节化或者太简要了，这依赖于具体的那个步骤是容易表达的。广义地讲，安全目的处理威胁的方法有以下三种类型:a) 预防性目的，预防将要发生的威胁或限制威胁实施的途径;b) 检测性目的，提供手段检测和监视与TOE安全操作相关的事件;c) 纠正性目的，要求TOE采取行动响应可能的安全违规或其他不希望的事件，从而保护或恢复TOE到安全状态，或限制危险的发生。预防性安全目的的例子如下，它确定出对TOE用户标识和鉴别的需求:TOE确保用户在获准访问TOE之前惟

41、地标识每个用户，用户所声称身份是经过鉴别的。访问控制和信息流控制类安全目的往往属预防性安全目的。在安全需求指出TOE应该执行多个访问控制或信息流控制策略的地方，建议为每个策略标识出不同的安全目的，这有助于简化安全要求基本原理。检测性安全目的的例子如下，它确定出TOE要提供掘发抗抵赖能力的需求:TOE应该提供办法使信息的接收者能够产生用于证明信息来源的证据。纠正性安全目的的例子如下，它确定出TOE响应己检测到的入侵的需求:根据对即将发生的安全违规事件的检测，采取适当步骤限制攻击，最小化对服务的破坏，服务是指为其他TOE用户提供的服务。如果可能，安全目的应该非形式化地量化所期望的最低有效性，这样就

42、可以将判断有效性级别的问题留在PP或ST基本原理中解决。量化的描述方法为:a) 按相对数值，比如环境条件或己有的状态;b) 按绝对数值。指定绝对数值当然是最精确的选择，但一般很难按有效性评定出绝对数值。如果在已知安全功能要求的情况下编写PP或ST，最好一开始就对每个PP或ST指定的主要安全功能要求组定义出一个安全目的，这种方法的好处是能够简化安全功能原理的构成，如果采用此方11 GB/ Z 20283-2006 法，仍可确保己定义的安全目的遵循本指南原则。应该特别注意，保证安全目的中没有包括不必要的实现细节。GB/ T 18336.1-2001的B.2.5要求TOE安全目的明确可追溯到相关威胁或OSp，因此需要保证:a) 需要确保每个己知的由TOE完全或部分对抗的威胁，至少被一个安全目的所覆