GB T 18336.1-2015 信息技术 安全技术 信息技术安全评估准则 第1部分 简介和一般模型.pdf

1、建ICS 35.040 L 80 和国国家标准圭K./、中华人民GB/T 18336. 1-20 15/ISO/IEC 15408-1: 2009 代替GB/T18336.1-2008 信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型Information technology-Security techni弓lIes一Evaluation criteria for IT security一-Part 1 : Introduction and general model 2016-01-01实施(ISO /IEC 15408-1: 2009 ,IDT) 2015-05-15发布发布

2、中华人民共和国国家质量监督检验检蛮总局中国国家标准化管理委员会孔JYTh也-、qymmE叫问jL.叫阳山APIK1e批SRh市协同GB/T 18336.1-2015/ISO/IEC 15408-1 :2009 目次前言. . . . . . . . . . . . . . . . . . 1 引言. . . . . . . . . .皿1 范围. 2 规范性引用文件-3 术语和定义. . 4缩略语. . . . . . . 15 5 概述. . . . . . . . . 16 5.1 综述. . . . . 16 5.2 TOE . . . . . . . . . . . . . 16 5.

3、3 目标读者. . . . . . . . . . . . . . . . . 17 5.4 不同部分. . . . . . . . . . . . . . . . . 18 5.5 评估背景. . . . . . . . . . . 19 6 一般模型. . . . . . . . . . . 19 6.1 简介. . . . . . . . . . . . . . . . . . . . . . . . 19 6.2 资产和对策. . . . . . . . . . . . . . 19 6.3 评估. . . . . . . . . 22 7剪裁安全要求. . . . . . . . .

4、 . . 23 7.1 操作. . . . . . . . . . . . . . . . . . . 23 7.2 组件间的依赖关系. . . . . . . . . . . . . . . . . . . . . . 24 7.3 扩展组件. . . . . . . . . . . . . . . . . . . . 25 8保护轮廓和包. . . . . . . . . . . . . . . . . . . . 25 8.1 引言. . . . . . . . . . . . . . . . . . . . . 25 8.2包. . . . . . . . . . . . . . .

5、. 25 8.3 保护轮廓. . . . . . . . . . . 26 8.4 使用保护轮廓和包. . . . . . 28 8.5 使用多个保护轮廓. . . . . . . . . . . . 28 9 评估结果. . . . . . . . . . 28 9.1 序言. . . . . . . . . . 28 9.2 PP评估结果. . . . . . . . . . 29 9.3 ST/TOE评估结果. . . . . . . . . . . . . 29 9.4 符合性声明. . . . . . . . . 29 9.5 使用ST/TOE评估结果. . . . . . 30 附

6、录A(资料性附录安全目标规范. . . . . . . . 31 附录B(资料性附录保护轮廓规范. . . . . . . . 44 附录C(资料性附录)操作指南. . . . . . 49 附录D(资料性附录)PP符合性. . . . . . 52 参考文献. . . . . . . . . . . 53 GB/T 18336.1-2015/ISO/IEC 15408-1 :2009 前-一一同GB/T 18336(信息技术安全技术信息技术安全评估准则分为以下3个部分z第1部分=筒介和一般模型s一-第2部分z安全功能组件E一一第3部分z安全保障组件。本部分为GB/T18336的第1部分。本部

7、分按照GB/T1.1-2009给出的规则起草。本部分代替GB/T18336.1-2008(信息技术安全技术信息技术安全评估准则第1部分z简介和一般模型。本部分与GB/T18336.1-2008的主要差异如下z一一增加了2规范性引用文件气一一3术语和定义中增加了3.2与开发(ADV)类相关的术语和定义气3.3与指导性文档(AGD)类相关的术语和定义、3.4与生命周期支持(ALC)类相关的术语和定义、3.5与脆弱性评定(AVA)类相关的术语和定义飞3.6与组合(ACO)类相关的术语和定义;一一5概述中增如了5.2TOE; 一一将GB/T18336适用的IT产品和系统改为IT产品气一一5.1安全相关

8、要素、5.2保证方法调整为本部分的6.2资产和对策、6.3评估;删除了GB/T18336.1-2008的5.3安全概念气一一5.4.1安全要求的表达调整为本部分的7剪裁安全要求气删除了GB/T18336.1-2008的5.4.2评估类型气一一增加了8保护轮廓和包F一一句GB/T 18336要求和评估结果调整为本部分的9评估结果飞一一附录A保护轮廓规范调整为本部分的附录B保护轮廓规范，并增加了B.ll低保障的保护轮廓、B.12在pp中引用其他标准;一一附录B安全目标规范调整为本部分的附录A安全目标规范，并增加了A.3使用ST、A.llST可解答的问题、A.12低保障安全目标、A.13在ST中引用

9、其他标准。本部分使用翻译法等同采用国际标准ISO/IEC15408-1 :2009信息技术安全技术信息技术安全评估准则第1部分E简介和一般模型。与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下z一-GB/T18336.2-2015信息技术安全技术信息技术安全评估准则第2部分E安全功能组件(lSO/IEC15408-2: 2008 , IDT) 一-GB/T18336.3-2015信息技术安全技术信息技术安全评估准则第3部分z安全保障组件(lSO/IEC15408-3: 2008 , IDT) 一一GB/T30270 信息技术安全技术信息技术安全性评估方法(GB/T30270-201

10、3 , ISO/IEC 18045: 2005 , IDT) 本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本部分起草单位z中国信息安全测评中心、信息产业信息安全测评中心、公安部第三研究所。本部分主要起草人z张聊斌、郭颖、石站松、毕海英、张宝峰、高金萍、王峰、杨永生、李国俊、董晶晶、GB/T 18336.1-2015/ISO/IEC 15408-1 :2009 谢蒂、王鸿娴、张怡、顾健、邱梓华、宋好好、陈班、杨元原、贾炜、王宇航、王亚捕。E 本部分所代替标准的历次版本发布情况z一一-GBjT18336.1-2001 一一-GBjT18336.1-2008 GB/T 18

11、336.1-2015/ISO/IEC 15408-1 :2009 引ISO/IEC 15408可让各个独立的安全评估结果之间具备可比性。为此，ISO/IEC15408针对安全评估中的信息技术(lT)产品的安全功能及其保障措施提供了一套通用要求。这些IT产品的实现形式可以是硬件、固件或软件。评估过程可为IT产品的安全功能及其保障措施满足这些要求的情况建立一个信任级别。评估结果可以帮助消费者确定该IT产品是否满足其安全要求。ISO/IEC 15408可为具有安全功能的IT产品的开发、评估以及采购过程提供指导。ISO/IEC 15408有很大的灵活性，以便可对范围广泛的IT产品的众多安全属性采用一系

12、列的评估方法。因此，用户需谨慎运用ISO/IEC15408，以避免误用此类灵活性。例如，若使用ISO/IEC15408 时采取了不合适的评估方法、选择了不相关的安全属性或针对的IT产品不恰当，都将导致无意义的评估结果。因此，IT产品经过评估的事实只有在提及选择了哪些安全属性，以及采用了何种评估方法的情况下才有意义。评估授权机构需要仔细地审查产品、安全属性及评估方法以确定对其评估是否可产生有意义的结论。另外，评估产品的购买方也需要仔细地考虑评估这种情况，以确定该产品是否有用，且能否满足其特定的环境和需要。ISO/IEC 15408致力于保护资产免遭未授权的泄漏、修改或丧失可用性。此类保护与三种安

13、全失效情况对应，通常分别称为机密性、完整性和可用性。此外，ISO/IEC 15408也适用于IT安全的其他方面。ISO/IEC15408可用于考虑人为的(无论恶意与否)以及非人为的因素导致的风险。另外，ISO/IEC 15408还可用于IT技术的其他领域，但对安全领域外的适用性不作申明。对某些问题，因涉及专业技术或对IT安全而言较为次要，因此不在ISO/IEC15408范围之内，例如za) ISO/IEC 15408不包括那些与IT安全措施没有直接关联的属于行政性管理安全措施的安全评估准则。但是，应该认识到TOE安全的某些重要组成部分可通过诸如组织的、人员的、物理的、程序的控制等行政性管理措施

14、来实现Fb) ISO/IEC 15408没有明确涵盖电磁辐射控制等IT安全中技术性物理方面的评估，虽然标准中的许多概念适用于该领域。换句话说，ISO/IEC15408只涉及TOE物理保护的某些方面;c) ISO/IEC 15408并不涉及评估方法，具体的评估方法在ISO/IEC18045中给出zd) ISO/IEC 15408不涉及评估管理机构使用本准则的管理和法律框架，但ISO/IEC15408也可被用于此框架下的评估ze) 评估结果用于产品认可的程序不属于ISO/IEC15408的范围。产品的认可是行政性的管理过程，据此准许IT产品在其整个运行环境中投入使用。评估侧重于产品的IT安全部分，

15、以及直接影响到IT单元安全使用的那些运行环境，因此，评估结果是认可过程的重要输人。但是，由于其他技术更适合于评估非IT相关属性以及其与IT安全部分的关系，认可者应针对这些情况分别制定不同的条款3f) ISO/IEC 15408不包括评价密码算法固有质量相关的标准条款。如果需要对嵌入TOE的密码算法的数学特性进行独立评估，则必须在使用ISO/IEC15408的评估体制中为相关评估制定专门条款。田皿GB/T 18336.1-2015/ISO/IEC 15408-1 :2009 1 范围信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型GB/T 18336的本部分建立了IT安全评估的一般概

16、念和原则，详细描述了ISO/IEC15408各部分给出的一般评估模型，该模型整体上可作为评估IT产品安全属性的基础。本部分给出了ISO/IEC15408的总体慨述。它描述了ISO/IEC15408的各部分内容;定义了在ISO/IEC 15048各部分将使用的术语及缩略语z建立了关于评估对象(TOE)的核心概念F论述了评估背景z并描述了评估准则针对的读者对象。此外，还介绍了IT产品评估所需的基本安全概念。本部分定义了裁剪ISO/IEC15408-2和ISO/IEC15408-3描述的功能和保障组件时可用的各种操作。本部分还详细说明了保护轮廓(PP)、安全要求包和符合性这些关键概念，并描述了评估产

17、生的结果和评估结论。ISO/IEC15408的本部分给出了规范安全目标。T)的指导方针并描述了贯穿整个模型的组件组织方法。关于评估方法的一般信息以及评估体制的范围将在IT安全评估方法论中给出。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。ISO/IEC 15408-2信息技术安全技术信息技术安全评估准则第2部分:安全功能组件(lnformation technology-Security techniques-Evaluation criteria for IT se

18、curity-Part 2:Security func tional components) ISO/IEC 15408-3信息技术安全技术信息技术安全评估准则第3部分z安全保障组件(lnformation technology-Security techniques-Evaluation criteria for IT security-Pai-t 3: Security as surance components) ISO/IEC 18045信息技术安全技术信息技术安全性评估方法(lnformationtechnology-Se curity techniques-Methodology

19、for IT security evaluation) 3 术语和定义下列术语和定义适用于本文件。注g本章只收录在ISO/IEC15408中有特殊用法的术语.在ISO月EC15408中使用的但本章没有收录的一些由通用术语组合成的复合词，将在使用它们的地方进行解释。3.1 常用术语和定义3.1.1 敌对行为adverse actions 由威胁主体对资产执行的行为。1 GB/T 18336.1-2015/ISO/IEC 15408-1 :2009 3.1.2 资产翩翩评估对象(TOE)所有者赋予了价值的实体。3.1.3 赋值assi伊ment对组件或要求中指定的参数进行具体说明。3.1 .4 保

20、障assurance TOE满足安全功能要求(SFR)的信任基础。3.1.5 攻击潜力attack potential 对攻击TOE所需耗费努力的度量，以攻击者的专业水平、耗费资源和攻击动机来表示。3.1.6 增强augmentation 向包中增加一个或多个要求。3.1.7 鉴别数据authentication data 用于验证用户所声称身份的信息。3.1.8 授权用户anthorized nser 根据安全功能要求可以执行某项操作的TOE用户。3.1.9 类CI幽S具有共同目的族的集合。3. 1. 10 连贯的coherent 有逻辑顺序、且含义清晰。注2对于文挡，本术语是指目标读者是否

21、易于理解文挡的文字内容和文档结构。3.1.11 完备的complete 一个实体的所有必要部分均已被提供的性质。注2对文档而言，指所有相关信息都已包含在该文档中，且足够详细，不需要在该抽象层次上再做进一步解释。3. 1. 12 组件component 体现安全要求的最小可选元素的集合.3. 1. 13 组合保障包composed assurance pack吨e从ISO/IEC15408-3抽取的要求所组成的保障包(由ACO组合类控制)，代表ISO/IEC15408预先定义的某一组合保障尺度上的一个点。3. 1. 14 确认confirm 声明通过独立地确定充分性，已对某事项进行了详细的审核。

22、注z所需要的严格程度依赖于事项的本质特征.这个术语仅用于评估者行为.2 G/T 18336.1-2015/ISO/IEC 15408-1 :2009 3.1.15 连通性connectivity TOE与其之外的IT实体进行交互的TOE属性。注g这包括在任何环攘或配置下，以任意距离，通过有线或无线方式进行的数据交换.3. 1. 16 一致的consistent 两个或者更多实体之间的关系不存在明显的矛盾。3.1.17 对抗(动词)coonter( verb) 应对攻击，以缓解特定威胁造成的影响，但未必消除。3. 1. 18 可论证的符合性demonstrable conformance 某个S

23、T和pp之间的关系，其中该ST提供了一种解决该pp中一般安全问题的解决方案。注:PP和ST在讨论不同的实体以及使用不同的概念等情况时，可以采用完全不同的论述方式。可论证的符合性也适用于描述一种已存在多个类似PP的TOE类型，因此允许ST作者申明同时符合这些PP.从而节省工作量.3.1.19 证实demonstrate 得出一个由分析获得的结论，它不如证明那样严格。3.1.20 侬赖关系dependency 组件之间的一种关系，如果一个基于依赖组件的要求包含在pp、ST或包中，那么一个基于被依黯组件的要求一般也应包含在pp、ST或包中。3.1.21 描述d臼cribe提供一个实体的具体细节。3.

24、1.22 确定determine 通过独立分析来肯定一个特定的结论，该分析以达成一个特定的结论为目的。注z本术语通常用于缺少前期分析的情况，意味着需要开展真正独立的分析。这与术语确认或验证不同，后者意味着前期已进行了分析，需要对这些分析进行审查.3.1.23 开发环境development environment 开发TOE的环境。3.1.24 元素element 一个安全需求的不可再分的陈述。3.1.25 确保ensure 保证在行为及其结果之间存在牢固的因果关系。注2当这个术语之前冠以帮助一词时，表明仅仅基于该行为仍无法完全确定结果。3.1.26 评估evaluation 依据定义的准则对

25、pp、ST或TOE进行的评价。3 GB/T 18336. 1-20 15/ISO/IEC 15408-1 :2009 3. 1.27 评估保障组evaluation assnrance level 从ISO/IEC15408-3中提取的一个保障要求的集合，它构成了一个保障包，代录了ISO/IEC15408 预定义的保障尺度中的一个点。3. 1.28 评估授权机构evaluation authority 为特定群体中的团体开展评估工作进行标准制定和质量监督的组织，该组织依据评估体制来实施ISO/IEC 15408。3.1.29 评估体制evaluation scheme 一种行政管理和监督管理框

26、架，在此框架下评估授权机构在特定群体中应用ISO/IEC15408。3. 1.30 彻底的exhaustive 一个条理清楚的方法所具有的特征，该方法按照明确的计划来执行分析或开展活动。注s在ISO/IEC15408中，该术语在谈及执行分析和其他活动时使用.它与系统性的有关，但更强，不仅表明根据明确的计划采取系统性的方法执行分析或活动，而且所遵循的计划足以保证所有可能的途径都经过了实践.3. 1.31 解释explain 对采取一系列行为的原因给出论据。注g这个术语不同于描述和证实。它的意图是回答为什么?，并未尝试辩论所采取的行为一定是最优的.3. 1.32 扩展extension 把不包括在

27、ISO/IEC15408-2中的功能要求或ISO/IEC15408-3中的保障要求增加到ST或pp中。3.1.33 外部实体external entity 在TOE边界之外可能与TOE交互的人或IT实体。注z外部实体也可以被称为用户.3.1.34 族family具有相似目标，但在侧重点或严格程度上不同的组件的集合。3. 1.35 形式化formal 以一种受限语法的语言表达，该语言建立公认的数学概念上，具有确定的语义。3. 1.36 指导性文档guidance documentation 描述交付、准备、运行、管理和/或使用TOE的文档。3.1.37 身份identity 在TOE中唯一标识实

28、体的表示比如一个用户、进程或磁盘)。注z这种表示的例子如g一个字符串.对于人类用户，这种表示可以是全名、缩写名或仍唯一的假名.3. 1.38 4 非形式化informal 采用自然语言表达。GB/T 18336. 1-2015月SO/IEC15408-1 :2009 3.1.39 TSF间传送inter TSF transfers 在TOE和其他可信IT产品的安全功能之间交换数据。3.1.40 内部通信信道intemal communication channel TOE各分离部分间的通信信道。3.1.41 TOE内部传送intemal TOE transfer 在TOE各分离部分之间交换数据

29、。3.1.42 内在一致的intemally consistent 一个实体的各个方面之间不存在明显的矛盾。注g对于文档来说，是指文挡内部没有发生相互矛盾的陈述。3.1.43 反复iteration 使用同一组件表达两个或多个要求。3.1 .44 论证j ustification 分析以得出一个结论。注论证比证实更严格。从需要非常仔细、全面地解释逻辑论证的每一步来说，这个术语要求十分严格，3.1.45 窑体object TOE中被动的实体，包含或接收信息，并由主体对其执行操作。3.1.46 操作(组件)operation(on a component) 一个组件的修改或重复。注2对组件允许的操

30、作有赋值、反复、细化和选择。3.1.47 操作窑体)operation (on an 0时缸。主体对客体执行的特定类型的行为。3.1 .48 运行环嚣。Iperationalenvironment 运行TOE的环境。3. 1.49 组织安全策略。咱anizationalsecurity polici囚一个组织的安全规则、规程或指南的集合。注z一个策略可能与一个具体的运行环境相关.3. 1.50 包pack唱e安全功能要求或安全保障要求的一个命名集合。注g例如EAL3是一个包。3. 1.51 保护轮廓prot配tionprofile; PP 针对一类TOE的、与实现无关的安全需求陈述。5 GB/

31、T 18336.1-2015/ISO/IEC 15408-1 :2009 3.1.52 保护轮廓评估prot配tionprofile evaluation 依据已定义的准则，对一个pp进行的评价。3.1.53 证明prove 通过数学意义上的形式化分析来说明对应关系。注2本术语在各个方面都是非常严格的.通常情况下，当期望以一种高度严格的方式说明两个TOE安全功能(TSF)表示之间的对应关系时，才使用证明这一术语。3.1.54 细化rermement 为组件添加细节。3.1.55 角色role 为了规定在一个用户和该TOE之间所允许的交互行为而预定义的规则集。3.1.56 秘密secret 为了

32、执行一个特定的安全功能策略(SF酌，必须仅由授权用户和/或TSF才可知晓的信息。3.1.57 安全状态s四urestate 一种状态，在该状态下，TSF数据一致，且TSF能继续正确执行SFR.3. 1.58 安全属性security altribute 主体、用户(包括外部IT产品)、客体、信息、会话和/或资源的特征，它用于定义SFR，且其值在执行SFR时使用。3. 1.59 安全功能策略S民町ityfunction policy; SFP 描述由TSF执行的特定安全行为的规则集，可表示为SFR的集合。3. 1.60 安全目的security objective 意在对抗特定的威胁、和/或满足

33、特定的组织安全策略和/或假设的一种陈述。3. 1.61 安全问题security problem 以一种正式的方式，定义TOE要处理的安全基本特征和范围的陈述。注2该陈述由以下部分组成z 要由TOE对抗的威胁z 要由TOE实施的组织安全策略(QSP), 支撑TOE及其运行环境的假设。3.1.62 安全要求security requirement 用标准化的语言陈述的要求，旨在达到TOE的安全目的。3.1.63 安全目标security target; ST 针对一个特定的已标识TOE，且与实现相关的安全需求陈述。6 GB/T 18336.1-2015/ISO/IEC 15408-1 :2009

34、 3. 1.64 选择selection 从组件内列表中指定一项或多项。3. 1.65 半形式化semiformal 采用具有确定语义井有严格语法的语言表达。3.1.66 详细说明specify 以严格精确的方式给出实体的特定细节。3.1.67 严格符合性strict conformance 一个pp和一个ST之间的一种层次关系，其中该pp中的所有要求也存在于该ST中。注2这种关系可以粗略地定义为ST应包含pp中所有的陈述，但也可以包含更多的内容飞严格符合性预期用于描述那些需要以单一方式遵守的严格要求。3.1.68 ST评估ST evaluation 依据已定义的准则，对一个ST进行的评价。3

35、.1.69 主体subj民tTOE中对客体执行操作的主动实体。3.1.70 评估对象ta电etof evaluation; TOE 软件、固件和/或硬件的集合，可能附带指南。3. 1.71 威胁主体threat agent 可以对资产施加不利行为的实体。3.1.72 TOE评估TOE evaluation 依据已定义的准则，对一个TOE进行的评价，3.1.73 TOE资源TOE r囚。町ceTOE中任何可用或可消糙的事物。3.1.74 TOE安全功能TOE security functionality 正确执行SFR所依赖的TOE的所有硬件、软件和固件的组合功能，3.1.75 追湖tra臼在两

36、个实体之间，执行一种最低严格程度的非形式化对应分析。3.1.76 TOE的外部传送transfers outside of the TOE 由TSF促成的、与不受TSF控制的实体的数据通信。3. 1.77 转化translation 用标准化语言描述安全要求的过程。7 GB/T 18336.1-2015/ISO/IEC 15408-1 :2009 注2在这种情况下，术语转化表示的不是字面意思，使用该术语也不意味着每个用标准化语言描述的SFR都能够回译为安全目的。3.1.78 可信信道trusted channel 一种通信手段，通过该手段，TSF同另一个可信IT产品能够在必要的信任基础上进行通

37、信。3. 1.79 可信IT产晶trusted IT product 不是该TOE的其他IT产品，它有与该TOE协调管理的安全功能要求，且假定其可正确执行自己的安全功能要求。注z一个可信IT产品例子，如一个经过独立评估后的产品.3.1.80 可信路径trusted pa也一种通信手段，通过该手段，用户和TSF能够在必要的信任基础上进行通信。3.1.81 TSF数据TSF data TOE执行其SFR所依赖的数据。3.1.82 TSF接口TSF interface 外部实体或在TOE中但在TSF之外的主体)向TSF提供数据、从TSF接收数据、并调用TSF服务的方法。3.1.83 用户数据user

38、 data 属于用户的、不影响TSF运行的数据。3.1.84 验证verify 通过严格细致地审查，独立地确定充分性。注z参见术语确认，本术语有更严格的含义。这个术语用于描述评估者行为的语境中，其中要求评估者独立工作.3.2 与开发(ADV)类相关的术语和定义注z下列术语用于软件内部结掏化要求.其中一些来自IEEEstd 61(.四-1990IEEE Std 610.12一1990.Standard glossary of software engineering生rminology.lnstituteof Electrical and Electronics Engineers. 3.2.1

39、 管理员administrator 就遵守由TSF实现的所有策略而言，在一定程度上可信的实体。注s并非所有pp或ST都对管理员设定相同的可信程度.通常假定管理员始终遵循TOE的ST中描述的策略.其中，有些策略可能与TOE的功能有关，另一些可能与运行环境有关。3.2.2 调用树call tr四以图表形式标识系统中的模块，并表明模块之间的相互调用关系。注s采自IEEEStd 610.12-1990. 3.2.3 8 内襄coh四ion模块强度单个软件模块所执行的诸任务之间的关联方式和程度。GB/T 18336.1-2015月SO/IEC15408-1 :2009 IEEE Std 610.12-1990J 注g内聚的类型包括偶然的、通信的、功能的、逻辑的、顺序的和暂时的，这些内聚类型在相关条目中描述.3.2.4 偶然内嚣coincidental cohesion 该类型模块执行的活动之间具有无关或关系松散的特征。IEEE Std 610.12-1990J 注s