1、ICS 35040L 80 镭雪,11华人民共和国国家标准GBT 1 83361-2008ISOIEC 1 54081:2005代替GBT 1833612001信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型2008-0626发布Information technology-Security techniques-Evaluation criteria for IT securityPart 1:Introduction and general model(IS0IEC 1 54081:2005,IDT)2008-1 1-01实施丰瞀鹞鬻瓣警糌瞥翼发布中国国家标准化管理委员会及1
2、11GBT 18336|-2008ISOIEC 15408-1:2005目 次前言g言-1范围-12术语和定义13缩略语74概j盎-741 g【言-7411 GBT 18336的目标读者742评估相关要素843本标准的组织95一般模型950 BI言-951安全相关要素9511一般安全相关要素9512信息技术安全相关要素一1152 GBT 18336方法11521 开发1l522 TOE评估-12523运行1353安全概念13531安全环境14532安全目的15533 IT安全要求15534 TOE概要规范15535 TOE实现1554 GBT 18336描述材料15541安全要求的表达1654
3、2评估类型196 GBT 18336要求和评估结果1961引言-1962 PP和ST中的要求20621 PP评估结果一2063 TOE内的要求20631 TOE评估结果2164一致性结果2165 TOE评估结果的应用21附录A(规范性附录)保护轮廓规范23A1概述-23TGBT 183361-2008ISOIEC 154081:2005A2保护轮廓的内容A21内容与形式A22 PP引言-A23 TOE描述A24 TOE安全环境A25安全目的-A26 IT安全要求A27应用注释A28基本原理附录B(规范性附录)安全目标规范B1概述B2安全目标的内容B21内容与形式B。22 ST引言B23 TOE
4、描述一B24 TOE安全环境B25安全目的B26 IT安全要求B27 TOE概要规范B28 PP声明B29应用注释B210基本原理参考文献2323242424242525252727272727272829293030313132GBT 183361-2008ISOIEC 154081:2005刖 昌GBT 18336在总标题信息技术 安全技术 信息技术安全性评估准则下,由以下几个部分组成:第1部分:简介和一般模型第2部分:安全功能要求第3部分:安全保证要求本部分是GBT 18336-2008的第1部分。本部分等同采用国际标准ISOIEC 154081:2005信息技术安全技术信息技术安全性评
5、估准则第1部分:简介和一般模型,仅有编辑性修改。本部分代替GBT 1833612001信息技术 安全技术信息技术安全性评估准则 第1部分:简介和一般模型。本部分与GBT 1833612001的主要差异如下:1)删除了GBT 1833612001的“ISOIEC前言”;2)GBT 183361 2008增加了“引言”;3)删除了GBT 183361 2001的附录A“通用准则项目”;4)GBT 183361 200l的附录D编为本部分的“参考文献”。本部分的附录A和附录B是规范性附录。本部分由全国信息安全标准化技术委员会提出和归口。本部分的主要起草单位:中国信息安全测评中心。本部分主要起草人:吴
6、世忠、陈晓桦、李守鹏、黄元飞、王贵驷、刘晖、刘春明、付敏、郭颖、刘楠。GBT 183361-2008ISO1EC 154081:2005引 言GBT 18336将使各个独立的安全评估结果具有可比性。这通过在安全评估时,提供一套针对信息技术(IT)产品和系统安全功能及其保证措施的通用要求来实现。评估过程建立一个信任级别,表明该产品或系统的安全功能及其保证措施都满足这些要求。评估结果可以帮助客户确定该IT产品或系统对他们的预期应用是否足够安全以及使用该IT产品或系统带来的固有安全风险是否可容忍。GBT 18336对开发具有IT安全功能的产品或系统以及采办具有此类功能的商用产品和系统都是一本有益的指
7、南。在评估时,此类IT产品或系统称评估对象(TOE)。例如,常见的TOE有操作系统、计算机网络、分布式系统、应用软件等。GBT 18336致力于保护信息免受未授权的泄漏、修改或无法使用,与此对应的保护类别通常分别称为保密性、完整性和可用性。此外,GBT 18336也适用于IT安全的其他方面。GBT 18336主要关注人为的安全威胁,无论其是否是恶意的,但也适用于非人为因素导致的威胁。另外,GBT 18336还可用于IT技术的其他方面,但就其安全领域外的能力本标准不作承诺。GBT 18336适用于在硬件、固件或软件中实现的IT安全措施。另外,某些特殊的评估手段可能只适用于某些特定的实现方法,这将
8、在相应的标准文本中指出。1范围GBT 183361-2008ISOIEC 154081:2005信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GBT 18336旨在作为评估信息技术产品和系统安全特性的基础准则。通过建立这样的通用准则库,信息技术安全性评估的结果才能被更多的人理解。某些内容因涉及专业技术或仅仅是IT安全的外围技术,因此不在GBT 18336范围之内。例如:a)GBT 18336不包括那些与IT安全措施没有直接关联的属于行政性管理安全措施的安全评估准则。但是,应该认识到TOE安全的某些重要组成部分通常可通过诸如组织的、人员的、物理的、程序的控制等行政性管理措施来实现
9、。在TOE的运行环境中,当行政性管理安全措施影响到IT安全措施对抗已确定威胁的能力时,则将其作为安全使用假设;b) GBT 18336没有明确涵盖电磁辐射控制等IT安全中技术性物理方面的评估,虽然标准中的许多概念适用于该领域。换句话说,GBT 18336只涉及到TOE物理保护的某些方面;c)GBT 18336并不专注于评估方法学,也不专注于评估管理机构使用本准则的管理和法律架构,但希望GBT 18336能在具有这样的框架和方法论的环境中用于评估;d)评估结果用于产品或系统认可的程序不属于GBT 18336的范围。产品或系统的认可是行政性的管理过程,据此准许IT产品或系统在其整个运行环境中投入使
10、用。评估侧重于产品或系统的IT安全部分,以及直接影响到IT单元安全使用的那些运行环境。因此,评估结果是认可过程的重要输入。但是,由于其他技术更适合于评价非IT相关系统或产品的安全特性以及其与IT安全部分的关系,认可者应针对这些情况分别制定不同的条款;e)GBT 18336不包括评价密码算法固有质量相关的标准条款。如果需要对嵌入TOE的密码算法的数学特性进行独立评价,则必须在使用GBT 18336的评估体制中为相关评价制定专门条款。本标准定义了两种结构以表述IT安全功能和保证要求。其中,保护轮廓(PP)允许创建一些普遍可重复使用的安全要求集合。PP可被目标客户用于规范和识别满足其需求的产品及其I
11、T安全特性。安全目标(sT)用于阐述安全要求和详细说明被评估产品或系统的安全功能,这些产品通常称为评估对象(TOE)。ST被评估者用来作为在GBT18336指导下进行评估活动的基础。2术语和定义21下列术语和定义适用于本标准。注:本章只收录在GBT 18336中有特殊用法的术语。在GBT 18336中使用的大多数术语,或根据普遍接受的词典定义,或根据普遍接受的GB或ISO安全术语定义,或根据熟知的安全性术语定义。在GBT 18336中使用的但本章没有收录的一些由通用术语组合成的复合词,将在使用它们的地方进行解释。在GBT 183362和GBT 183363的“范型”章条中也可以见到某些术语和概
12、念的解释。资产assets由TOE安全策略保护的信息或资源。GBT 183361-2008ISO1EC 15408-1:200522赋值assignment说明组件中已标识的参数。23保证assurance实体达到其安全性目的的信任基础。24攻击潜力attack potential成功实施一次攻击或将要发起一次攻击的潜在能力,用攻击者的专业水平、资源和动机来表示。25增强augmentation将GBT 183363规定的一个或多个保证组件加入到评估保证级(EAL)或保证包中。26鉴别数据authentication data用于验证用户所声称身份的信息。27授权用户aathorised us
13、er依据TSP可以执行某项操作的用户。28类class ,具有共同目的的族的集合。29组件component可包含在PP、ST或一个包中的最小可选元素集。210连通性connectivity允许与TOE之外的IT实体进行交互的TOE特性,包括在任何环境或配置下通过任意距离的有线或无线方式的数据交换。211依赖关系dependency要求之间的一种关系,一个要求要达到其目的必须依赖另一个要求的满足。212元素element一个不可再分的安全要求。213评估evaluation依据确定的准则,对PP、ST或TOE的评价。214评估保证级evaluation assurance level;EAL由
14、GBT 183363中保证组件构成的包,该包代表了GBT 18336预先定义的保证尺度上的某个位置。ZGBT 183361-2008ISOIEC 154081:2005215评估管理机构evaluation authority通过评估体制为特定团体贯彻实施GBT 18336的机构,此机构负责制定标准和监控团体内各部门所执行评估的质量。216评估体制 evaluation scheme一种行政管理和监督管理框架,在此框架下评估管理机构在特定团体中实施GBT 18336。217扩展extension把不包括在GBT 183362中的功能要求或GBT 183363中的保证要求增加到ST或PP中。21
15、8外部IT实体external IT entity在TOE之外与其交互的任何可信或不可信的IT产品或系统。219族family一组具有共同安全目的、但侧重点或严格程度可能不同的组件的集合。220形式化 formal基于公认的数学概念,采用具有确定语义并有严格语法的语言表达。221指导性文档guidance documentation指导TOE用户、管理者和集成者如何交付、安装、配置、操作、管理和使用TOE的文档。有关指导性文档的范围、主要内容等方面的要求常在PP或ST中定义。222人员用户human user与TOE交互的任何人员。223身份identity能唯一标识一个授权用户的表示法(比如
16、一个字符串),它可以是该用户的全名或缩写名,也可以是一个假名。224非形式化informal采用自然语言表达。225内部通信信道internal communication channelTOE各分离部分间的通信信道。226TOE内部传送 internal TOE transfer在TOE各分离部分之间交换数据。227TSF间传送inter-TSF transfer在TOE与其他可信IT产品的安全功能之间交换数据。3GBT 183361-2008IS0IEC 154081:2005228反复 iteration一个组件在不同操作中多次使用。229客体object在TSC中包含有或接收信息的并由
17、主体操作的一个实体。230组织安全策略organisational security policies一个组织为其运转而强制推行的一个或多个安全规则、程序、惯例和指南。231包package为满足一组确定的安全目的而组合在一起的,一组可重用的功能或保证组件(如,一个EAL)。232产品product一个IT软件、固件或硬件包,提供相关功能且可用于或组合到多种系统中。233保护轮廓protection profile;PP满足特定用户需求的、一类TOE的、一组与实现无关的安全要求。234基准监视器reference monitor执行TOE访问控制策略的一种抽象机的概念。235基准确认机制ref
18、erence validation mechanism具有以下特性的基准监视器概念的一种实现:防篡改、一直运行、简单到能对其进行彻底的分析和测试。236细化refinement为组件添加细节。237角色role一组预先确定的规则,规定在一个用户和TOE之间所允许的交互行为。238秘密secret为了执行一个特定的SFP,必须仅由授权用户或TSF才可知晓的信息。239安全属性security attribute用于执行TSP的,主体、用户、客体、信息或资源的特征。240安全功能security function;SF为执行TSP中一组密切相关的规则子集而必须依赖的TOE的一个或多个部分。241安
19、全功能策略security function policy;SFP由一个SF执行的安全策略。4GBT 183361-20081tgOIIEC 15408-1:2005242安全目的security objective意在对抗特定的威胁或满足特定的组织安全策略和假设的一种陈述。243安全目标security target;ST作为一个既定TOE的评估基础使用的一组安全要求和规范。244选择selection从组件内列项表中指定一项或多项。245半形式化semiformal采用具有确定语义并有严格语法的语言表达。246功能强度strength of function;SOFTOE安全功能的一种指标
20、,表示通过直接攻击其基础安全机制,破坏其预期安全行为所需要的最小代价。247基本级功能强度SOFbasic一种TOE功能强度级别,分析表明本级别安全功能足够对抗拥有低攻击潜力的攻击者对TOE安全的偶发攻击。248中级功能强度SOF-medium一种TOE功能强度级别,分析表明本级别安全功能足够对抗拥有中等攻击潜力的攻击者对TOE安全的直接或故意攻击。249高级功能强度SOFhigh一种TOE功能强度级别,分析表明本级别安全功能足够对抗拥有高等攻击潜力的攻击者对TOE安全的有计划、有组织攻击。250主体subject在TSC中实施操作的实体。251系统system具有特定用途和运行环境的专用IT
21、装置。252评估对象target of evaluation;ToE作为评估主体的IT产品或系统以及相关的指导性文档。253TOE资源TOE resourceTOE中任何可用或可消耗的东西。254TOE安全功能TOE security functions;TSF正确执行TSP所必须依赖的所有TOE硬件、软件和固件的集合。5GBT 183361-2008ISOIEC 15408-1:2005255TOE安全功能接口TOE security functions interface;TSFI一组交互式(人机接口)或编程(应用编程接口)接口,TSF通过这些接口访问、调配TOE资源,或者通过它们从TSF
22、中获取信息。256TOE安全策略TOE security policy;TSP规定在一个TOE中如何管理、保护和分配资产的一组规则。257TOE安全策略模型TOE security policy modelTOE所执行的安全策略的一种结构化表示。258TSF控制外传送transfers outside TSF control与不受TSF控制的实体交换数据。259可信信道trusted channel一种手段,通过该手段TSF能同远程可信IT产品进行所需信任的通信,从而支持TSP。260可信路径trusted path一种手段,通过该手段用户能同TSF进行所需信任的通信,从而支持TSP。261T
23、SF数据TSF data由TOE产生的或为TOE产生的数据,这些数据可能会影响TOE的运行。262TSF控制范围TSF scope of control;TSC服从TSP规则的,可与TOE交互或在TOE中发生的交互的集合。263用户user在TOE之外,与TOE交互的任何实体(人员用户或外部IT实体)。264用户数据user data由用户产生或为用户产生的数据,这些数据不影响TSF的运行。265规范性normative规范性文本“描述文档范围,并陈述规定”(Is0IEC导则第2部分)。除明确标明“资料性”外,GBT 18336的所有文本都是规范性的。任何与“满足要求”有关的文本都是规范性的。
24、266资料性informative资料性文本“提供额外的信息以帮助理解或使用文档”(IsOIEc导则第2部分)。资料性文本与“满足要求”无关。267应shall在规范性文本中,“应”指“为了遵守该文档,严格遵循某些要求,不允许有任何偏离”(IsOIEc导则第2部分)。6GBT 183361-2008ISOIEC 154081:2005268宜should在规范性文本中,“宜”指“在几个可能性中,某个可能性被认为是特别适当的,不提及也不排除其他可能性;或者某个动作是首选的但不是必需的”(Is0IEc导则第2部分)。GBT18336对“不是必需的”的解释是:对于其他可能的选择,需要给出为何不选择首
25、选项的理由。269可may在规范性文本中,“可”指“在文档限制范围内可允许的一连串行动”(ISOIEC导则第2部分)。270能can在规范性文本中,“能”指的是“可能性和能力的陈述,无论是材料的、物理的或逻辑的”(ISOIEC导则第2部分)。3缩略语以下缩略语在GBT 18336各部分中通用:EAL 评估保证级(Evaluation Assurance Level)IT 信息技术(Information Technology)PP 保护轮廓(Protection Profile)SF 安全功能 (Security Function)SFP 安全功能策略(Security Function Po
26、licy)SOF 功能强度(Strength of Function)ST 安全目标(Security Target)TOE 评估对象(Target of Evaluation)TSC TSF控制范围(TSF Scope of Contr01)TSF TOE安全功能 (TOE Security Functions)TSFI TSF接口(TSF Interface)TSP TOE安全策略(TOE Security Policy)4概述41引言本章介绍GBT 18336的一些主要概念,并给出了目标读者、评估相关要素以及文档的组织方式。IT产品或系统所拥有的信息是能使组织成功完成其使命的关键资源。此
27、外,人们也期望存放在IT产品或系统中的私人信息保持私密性,在其需要时可用,且不被未授权修改。当对信息进行正确控制,以确保它不受诸如不必要的或元保证的传播、更改或丢失等方面危害时,IT产品或系统需执行它们的功能。“IT安全”这个术语就是用于概括这些危害和类似危害的预防和缓解。许多IT客户缺乏相关的知识、经验和资源,用以判断其IT产品或系统的安全性是否恰当,并且他们并不希望仅仅依赖开发者的声明。因此,客户可选择定制一个对IT产品或系统安全性的分析(即一个安全评估)来增加他们对其安全措施的信心。GBT 18336能用于选择恰当的IT安全措施,并且它含有评估安全要求的标准。411 GBT 18336的
28、目标读者有三类最关心IT产品和系统安全性评估的人员:TOE客户、TOE开发者和TOE评估者。本标准在文本组织上已充分考虑了这三类人员的需求。认为他们都是GBT 18336的主要用户。正如下条文所述,这三类人员都能从标准中受益。4111客户客户选择IT安全要求来表达其组织的需求时,GBT 18336起着重要的技术支持作用。制定GBT 18336,就是确保评估能满足客户的需求,因为满足客户的需求是评估的根本目的和缘由。GBT 183361-200811SOIEC 15408-1:2005客户能使用评估结果来帮助决定一个已评估过的产品或系统是否满足他们的安全需求,这些安全需求通常是风险分析和策略导向
29、的结果。客户也可以用这些评估结果来比较不同的产品或系统,保证要求的分级表述就是为了满足这一需求。GBT 18336为客户,尤其是客户群和相关团体,提供一个独立于实现的结构,即保护轮廓(PP),以陈述他们对TOE中IT安全措施的特殊要求。4112开发者GBT 18336可为开发者在准备和协助评估其产品或系统,以及识别他们的每种产品或系统需要满足的安全要求时提供支持。在评估结果的互认协定配合下,相关评估方法将进一步允许GBT 18336支持除TOE开发者之外的其他人准备和协助评估开发者的一个TOE,也是完全可能的。依据规定的安全功能和保证都已通过了评估,GBT 18336结构能用于声称TOE满足其
30、既定的安全要求。每一个TOE的要求都包含在一个与实现相关的结构中,该结构称为安全目标(ST)。一个或多个PP可提供具有广泛客户基础的一些要求。GBT 18336描述了一些安全功能,可供开发者纳入TOE中。GBT 18336能用于确定责任和行为,以支持TOE评估所必要的证据。它也定义了证据的内容和表现形式。4113评估者GBT 18336可被评估者用来判定TOE与其安全要求是否一致。GBT 18336描述了一组由评估者施行的普遍行为以及执行这些行为所基于的安全功能。值得注意的是GBT 18336没有指定施行这些行为应遵守的程序。4114其他读者虽然,GBT 18336主要是为了规范和评估TOE的
31、IT安全特性,但它也可以供对IT安全有兴趣或有责任的所有各方参考。其他能够从GBT 18336所包含的信息中获益的群体有:a) 系统管理员和系统安全员,负责确定和处理组织的IT安全策略和要求;b) 内部和外部审计员,负责评定一个系统的安全性是否足够;c) 安全架构师和设计师,负责规范IT系统和产品的安全内容;d)认可者,负责认可一个IT系统在特定环境中的使用;e)评估发起者,负责申请和支持一个评估;f)评估管理机构,负责管理和监督IT安全性评估程序。42评估相关要素为了使评估结果具有更好的可比性,评估宜在一个权威的评估体制框架内执行,该体制框架负责设定标准、监控评估质量、掌管评估机构和评估者必
32、须遵守的规章制度。GBT 18336不对监管框架提出要求。但是,要达到评估结果相互认可的目标,不同评估管理机构的监管框架必须是一致性的。图1描述了构成评估相关要素的主要因素。8图1评估相关要素GBT 183361-2008IS01EC 15408-1:2005使用通用的评估方法学主要是确保评估结果的可重复性和客观性,但仅靠方法学本身不够充分。许多评估准则需要使用专家判断和一定的背景知识,而这些更难达到一致。为了提高评估所见的一致性,最终的评估结果应提交给一个认证过程。该认证过程是对评估结果的独立审查,并产生最终的证书或正式批文。该证书通常是公开的。要说明的是,认证过程是使得IT安全准则应用得到
33、更好一致性的一种手段。评估体制、方法学和认证过程由运行评估体制的评估管理机构负责,不属GBT 18336的范围。43本标准的组织GBT 18336提出了下列独立且又相互关联的部分。这些部分描述中所用的术语在第5章解释。a) 第1部分:简介和一般模型,是GBT 18336的介绍。它定义了IT安全性评估的一般概念和原理,并提出了评估的一般模型。第1部分也提出了若干结构,这些结构可用于表述IT安全目的,用于选择和定义IT安全要求,以及用于书写产品和系统的高层规范。另外,针对各种目标读者,描述了GBT 18336每一部分的有效性;b)第2部分:安全功能要求,规定了一系列功能组件,作为表述TOE功能要求
34、的标准方法。第2部分列出了一系列功能组件、族和类;c)第3部分:安全保证要求,规定了一系列保证组件,作为表述TOE保证要求的标准方法。第3部分列出了一系列保证组件、族和类。第3部分也定义了PP和ST的评估准则,并提出了一些评估保证级别,这些级别定义了划分TOE保证等级的预定义的GBT 18336尺度,通常称为评估保证级(EAL)。下表列出了三类主要目标读者如何关注GBT 18336的各个部分。表1 GBT 18336使用指南用户 开发者 评估者用于了解背景信息和供参考。 用于了解背景信息,供开发安全 用于了解背景信息和供参考。第1部分 要求和编写TOE安全规范对指导构建PP 指导构建PP和ST
35、参考在编制安全功能要求陈述时用 在解释功能要求陈述和绵制 在确定TOE是否有效地满足所第2部分 声称的安全功能时,用作评估准作指导和供参考 TOE功能规范时,供参考 则的强制性陈述在确定所需的保证级别时用作 在解释保证要求陈述和确定 在确定TOE保证以及评估PP第3部分 和ST时,用作评估准则的强制指导 TOE保证方法时,供参考性陈述5一般模型50引言本章提出了在整个GBT 18336都适用的一些一般概念,其中也包括使用这些概念的环境,以及使用这些概念的GBT 18336方法。GBT 183362和GBT 183363进一步展开这些概念的使用,并采用本标准描述的方法。本章假定读者已具备IT安全
36、的一些知识,并不打算作为该领域的辅导教材GBT 18336用一组安全概念和术语来讨论安全性。对这些概念和术语的理解是有效使用GBT 18336的前提条件。然而,这些概念本身又是相当通用的,我们无意将其限于GBT 18336适用的这类IT安全同题。51安全相关要素511一般安全相关要素安全涉及保护资产不受威胁,这些威胁可依据滥用被保护资产的可能性进行分类。应该考虑所有的威胁类型,但在安全领域内,与恶意的或其他人类活动相关的威胁应给予更多的重视。图2说明了高层次概念及其关系。GBT 183361-2006ISOIEC 154081:2005保护关注的资产是那些对资产赋予价值的所有者的责任。实际的或
37、假定的威胁者也可对资产赋予了一定的价值,并试图以危害资产所有者利益的方式滥用资产。所有者将会意识到这种威胁可能致使资产损坏,对所有者而言资产中的价值将会降低。安全特有的损坏一般包括但不限于:资产破坏性地泄漏给未授权的接收者(丧失保密性),资产由未授权地修改而损坏(丧失完整性),或资产的访问权被未授权地剥夺(丧失可用性)。资产的所有者将分析其资产和环境中可能存在的威胁,确定相关的风险。这种分析能有助于选择对策,以抑制风险并将其降低到一个可接受的水平。对策用以减少脆弱性并满足资产所有者的安全策略(直接或间接地为其他各方提供指导)。在对策使用后仍会有残留的脆弱性,这些脆弱性仍可被威胁者利用,从而造成
38、了资产的残余风险。资产所有者将寻求通过其他的限制措施来最小化这些残余风险。在资产所有者允许将其资产暴露给特定的威胁之前,所有者需要确信其对策足以应付资产面临的这些威胁。所有者自己可能没有能力对对策的所有方面加以判断,但可以寻求对对策进行评估。评估的输出是保证所达到程度的一个陈述,即相信对策能降低所保护资产的风险。该陈述还给这些对策赋予了一个保证级别,保证作为这些对策的特性,给出了信任这些对策正确操作的依据。此陈述还能被资产所有者用来决定是否接受将这些资产暴露给这些威胁所带来的风险。图3说明了这种关系。10图3评估概念及其关系GBT 183361-2008ISOIEC 154081:2005通常
39、,资产所有者应当对这些资产负责,并能够决定接受将这些资产暴露给这些威胁所带来的风险。这就要求评估所产生的陈述是可以可辩解的。因此,评估宜产生客观的、可重复的结论,该结论可作证据引用。512信息技术安全相关要素许多资产以信息的形态被IT产品或系统储存、处理和传送,以满足信息所有者规定的要求。信息所有者可要求严格控制对此类信息表示法(即数据)的任何传播和修改。他们可要求IT产品或系统实现某些特殊的IT安全控制,作为消除数据安全威胁而采用的全部安全对策的一部分。IT系统的获取和建造都是为了满足特定的要求,出于经济上的原因,可尽量使用现存的商用IT产品,如操作系统、通用应用程序组件和硬件平台。一个系统
40、可利用下层IT产品的功能来实现IT安全对策,并依赖于对IT产品安全功能的正确操作,所以IT产品评估也可以作为IT系统安全评估的一部分。当一个IT产品被合并到或准备被合并到多个IT系统时,独立评估该产品安全性,并建立一个已评估产品目录,这样做更有代价优势。这种评估的结果宜以支持产品合并到多个IT系统的方式表述,避免为检查产品的安全性进行不必要的重复工作。IT系统的认可者具有与信息所有者相当的权力,确定IT和非IT安全对策的组合是否为数据提供了足够的保护,并可决定是否允许该系统运行。认可者可以要求对IT对策进行评估,以确定IT对策是否提供了足够的保护,以及指定的对策是否被IT系统正确实现。这类评估
41、可以采取不同的形式,严格程度也可以不同,这取决于认可者所使用的规则。52 GBT 18336方法IT安全信任能通过开发、评估和操作过程中所采取的各种行为获得。521开发GBT 18336不强制要求任何特定的开发方法或生命周期模型。图4描述了安全要求和TOE之间关系的基本假设。该图提供讨论的基础,不应认为某一种方法(如瀑布法)比另一种方法(如原型法)更优越。图4 TOE开发模型重要的是,有效实施IT开发所需要遵守的安全要求,以满足客户的安全目的。除非在开发过程的开始阶段就确定合适的要求,否则再好的设计,结果最终产品也不能满足其目标客户的目的。11GBT 183361-2008ISOIEC 154
42、08-I:2005在安全目标中详细说明了将安全要求细化到一个TOE概要规范中的方法。每个低层次的细化代表具有更为详细的设计分解。最低的抽象表示是TOE实现本身。GBT 18336并不强制规定一套专有的设计表示方法。GBT 18336的要求是应有合适的设计表示方法,并以合适的粒度水平呈现,以说明何处要求:a)每个层次的细化是更高层次的一个完备实例化(即,在更高层次抽象定义的所有TOE安全功能、特性和行为都必须在低层次上明确呈现);b)每个层次的细化是更高层次的一个精确实例化(即,不存在低层次抽象定义的TOE安全功能、特性和行为不是高层次定义所需要的)。GBT 18336保证准则识别出了功能规范、高层设计、低层设计和实现的设计抽象层次。依据这些既定的保证级别,可要求开发者证明开发方法是如何满足GBT 18336保证要求的。522 TOE评估图5描述的TOE评估过程可能与开发过程同步进行,或随
