GB T 18336.3-2008 信息技术.安全技术.信息技术安全性评估准则.第3部分 安全保证要求.pdf

1、ICS 35040L 80 a雷中华人民共和国国家标准GBT 1 83363-2008ISOIEC 1 54083：2005代替C,BT 183363 2001信息技术 安全技术信息技术安全性评估准则200806-26发布第3部分：安全保证要求Information technology-Security techniques-Evaluation criteria for IT securityPart 3：Security assurance requirements(IS0IEC 154083：2005，IDT)20081 1-01实施车瞀鹊紫瓣警矬瞥星发布中国国家标准化管理委员会况11

2、1前言-引言- 1 范围-2规范性引用文件-3术语、定义和缩略语-4概述- 41本部分的结构-5 GBT 18336保证范型51 GBT 1 8336基本原则62保证方法- 53 GBT 18336评估保证尺度6安全保证要求61结构-62组件分类法63保护轮廓和安全目标评估准则类结构64本部分中术语的用法65保证分类66保证类和族概况-7保护轮廓与安全目标评估准则71概述72保护轮廓准则概述73安全目标准则概述8 APE类：保护轮廓评估81 TOE描述(APEDES)82安全环境(APEENV) 83 PP引言(APE_INT)- 84安全目的(APE-oBJ)85 IT安全要求(APEREQ

3、)86 明确陈述的IT安全要求(APESRE)9 ASE类：安全目标评估91 TOE描述(ASEDES)92安全环境(ASEENV)-93 ST引言(ASEINT)-94安全目的(ASEOBJ)95 PP声明(ASEPPC)96 IT安全要求(ASEREQ)97 明确陈述的IT安全要求(AsESRE)GBT 183363-2008ISOIEC 154083：2005目 次V，0000，加HHM坫船坞趵扒匏匏船船孔孙孙GBT 183363-2008ISOIEC 154083：200598 TOE概要规范(ASETSS)10评估保证级，-lo1评估保证级(EAL)概述-102评估保证级细节103评

4、估保证级1(EALl)功能测试lO4评估保证级2(EAL2)结构测试105评估保证级3(EAI，3)系统地测试和检查106评估保证级4(EAI。4)系统地设计、测试和复查lo7评估保证级5(EAI。5)半形式化设计和测试108评估保证级6(EA，5)一半形式化验证的设计和测试109 评估保证级7(EAL7)形式化验证的设计和测试1l保证类、族和组件12 ACM类：配置管理-121 CM自动化(ACMAUT) 122 CM能力(ACMCAP)123 CM范围(ACMSCP)-13 ADO类：交付和运行-131交付(ADODEI。)132安装、生成和启动(ADOIGS)14 ADV类：开发-141

5、功能规范(ADv-FSP)142高层设计(ADVHI，D)143实现表示(ADVjMP)144 TSF内部(ADv_rNT)-145低层设计(ADVLLD) -146表示对应性(ADVRCR)-147安全策略模型(AD址SPM)15 AGD类：指导性文档1 51管理员指南(AGDADM)152用户指南(AGD-USR)16 ALC类：生命周期支持1611621 63164l 71711721 731 7418开发安全(ALCDVS) -缺陷纠正(AI。cFI。R) 生命周期定义(AI。CI。CD)工具和技术(ALCTAT)ATE类：测试测试覆盖(ATECOV)测试深度(ATEDPT)功能测试(

6、ATEFUN)独立测试(ATEIND)AVA类：脆弱性评定 卯勰弘如趴弛船弘拍盯盯耵聃蛎“娟船曲旺弱弱孵盯姻n他船鸦弛巧鸺引跎雅弘黯181 隐蔽信道分析(AVACCA)-182误用(AVAMSU)183 TOE安全功能强度(AVASOF)184 脆弱性分析(AVAVLA)附录A(资料性附录) 保证组件依赖关系的交叉引用附录B(资料性附录) EAI。和保证组件的交叉引用-GBT 183363-2008ISOIEC 154083：200591939697102106GBT 183363-2008ISOIEC 154083：2005刖 昌GBT 18336在总标题信息技术安全技术信息技术安全性评估准

7、则下，由以下几个部分组成：第1部分：简介和一般模型第2部分：安全功能要求第3部分：安全保证要求本部分是GBT 18336的第3部分。本部分等同采用国际标准ISOIEC 15408 3：2005信息技术安全技术信息技术安全性评估准则第3部分：安全保障要求，仅有编辑性修改。本部分代替GBT 1833632001信息技术安全技术信息技术安全性评估准则 第3部分：安全保障要求。本部分与GBT 1833632001的主要差异如下：1 删除了GBT 183363 2001的“IsOIEc前言”；2 增加了“引言”；3 减少了“AMA：保证维护”类；4对GBT183363 2001附录A中表A1进行了调整。

8、本部分的附录A和附录B是资料性附录。本部分由全国信息安全标准化技术委员会提出和归口。本部分的主要起草单位：中国信息安全测评中心。本部分主要起草人：吴世忠、李守鹏、王贵驷、黄元飞、陈晓桦、刘晖、刘春明、李斌、彭勇、付敏、刘楠、徐长醒、简余良、张利。VGBT 18336320081SOIEC 15408-3：2005引 言本部分定义的安全保证组件是在一个保护轮廓(PP)或安全目标(sT)中表述安全保证要求的基础。这些要求建立了一种表述评估对象(TOE)保证要求的标准方法。本部分列出了一组保证组件、族和类。本部分还定义了PP和ST的评估准则，提出了定义关于TOE保证等级的预定义GBT 18336尺度

9、的一些评估保证级别，称为“评估保证级”(EAL)。本部分的目标读者主要有安全的IT系统和产品的客户、开发者、评估者。GBT 183361第4章提供了关于GBT 18336目标读者的附加信息，以及目标读者组如何使用GBT 18336的附加信息。这些读者组可以如下方式使用本部分：a)客户，在选取组件来表述保证要求，以满足一个PP或ST提出的安全目的时，使用本部分。GBT 183361的54条提供了关于安全目的和安全要求之间关系的更多详细信息；1)开发者，在构造TOE时响应实际的或预测的客户安全要求，在解释保证要求陈述和确定TOE的保证方法时参考本部分；c)评估者，在确定TOE的保证以及评估PP和S

10、T时，使用本部分所定义的保证要求作为评估准则的强制性陈述。GBT 183363-2008ISOIEC 15408-3：2005信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求1范围本部分定义了GBT 18336的保证要求，包括衡量保证尺度的评估保证级(EAL)、组成保证级的单个保证组件以及PP和ST的评估准则。2规范性引用文件下列文件中的条款通过GBT 18336的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本

11、适用于本部分。GBT 1833612008信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型(ISOIEC 1 5408 1：2005，IDT)GBT 183362 2008 信息技术 安全技术 信息技术安全性评估准则 第2部分：安全功能要求(ISOIEC 15408 2：2005，IDT)3术语、定义和缩略语GBT 183361中给出的术语、定义和缩略语适用于本部分。4概述41本部分的结构第5章描述了在本部分的安全保证要求中使用的范型。第6章描述了保证类、族、组件和评估保证级的表示结构，以及它们之间的关系。同时还刻画_第12章到第18章可找到的保证类和族的特征。第7章、第8章和第

12、9章先对PP和ST的评估准则作简要的介绍，然后对评估中要用到的族与组件做了详尽的解释。第10章给出了评估保证级(EAL)的详尽定义。第11章对保证类作了简要的介绍，在随后第12章到第18章给出了这些类的详尽定义。附录A给出了保证组件之间依赖关系的汇总。附录B给出了评估保证级(EAI，)和保证组件之间的交叉引用。5 GBT 18336保证范型本章旨在阐述支撑GBT 18336保证方法的基本原则。通过对本章的理解将使读者了解隐含在本部分保证要求中的基本原理。51 GBT 18336基本原则GBT 18336的基本原则是安全威胁和组织安全策略承诺应清楚明确地表述，以及所提出的安全措施经证实足以达到所

13、期望的安全目的。1GBT 1 83363-2008IS0IEC 1 5408-3：2005进一步地说，就是应采取一些措施减少可能存在的脆弱性，降低利用(即有意发掘或者无意触发)一个脆弱性的能力，以及减轻因一个脆弱性被利用而导致的破坏程度。另外，还应采取措旌，促进后续的脆弱性标识，以及消除、减轻或通告一个已经被发掘或触发的脆弱性。52保证方法GBT 18336的基本原则是基于对需要被信任的IT产品或系统的评估(主动调查)提供保证。评估是提供保证的传统手段，并且是以往的评估准则文档的基础。为了与现行的方法保持一致，GBT 18336采用相同的基本原则。GBT 18336建议由专业的评估人员在不断强

14、调范围、深度和严格性的基础上衡量文档和已完成的IT产品或系统的有效性。GBT 18336不排斥也不评论用其他方法获得保证的有关优点。有关获得安全保证的其他方法还在研究当中，一旦成熟的、可选择的方法产生，可以考虑把它们吸收到GBT 18336中，因为GBT 18336的结构允许将来引入更新的内容。521脆弱性的意义假定存在威胁者，他们将积极寻求违反安全策略的可乘之机，无论是为了非法获利还是出于善意，其行为都是不安全的。威胁者也可能偶然触发了脆弱性，造成对系统的伤害。由于需要处理敏感信息和充分可信产品或系统的可用性缺乏，IT失效将会导致很大的风险。因此，破坏IT安全性可能造成重大的损失。通过脆弱性

15、的有意利用或无意触发，破坏IT安全性的事件常发生在商用方面的IT应用过程中。应采取一定的措施防止在IT产品和系统中出现脆弱性。在可行的情况下，脆弱性应该被：a) 消除应采取积极的措施发现并排除或者抑制所有可利用的脆弱性；b)最小化应采取积极的措施减少任何脆弱性利用造成的潜在影响，使残留的脆弱性达到一个可接受的程度；c)监视应采取积极的措施确保任何利用残余脆弱性的企图都将被察觉，以便采取措施限制带来的损失。522脆弱性产生的原因在下列过程中，由于失效可产生脆弱性：a)要求IT产品或者系统可具有所有必需的功能和特征，也仍然可能包含脆弱性，致使产品或系统在安全性方面不适当或者不足；b)构造IT产品或

16、系统不符合其规范，或者由于不良的构造标准或不正确的设计抉择而引入了脆弱性；c)运行IT产品或者系统已经正确构造，且符合正确的规范，但是在其运行过程中由于缺乏控制而引入了脆弱性。523 GBT 18336保证保证是信任一个IT产品或系统符合其安全目的的基础。保证可从诸如未经证实的声明、先前相关经验或者特定经验等有关原始资料中导出。然而，GBT 18336通过主动调查来提供保证。主动调查就是对IT产品或者系统进行评估，以确定其安全特性。524通过评估获得保证评估是获取保证的传统手段，并且是GBT 18336方法的基础。评估技术包括但不限于以下这些：a) 分析并检查过程和步骤；b) 检查过程和步骤是

17、否正在被使用；c)分析TOE各设计表示之间的一致性；d)对照要求，分析TOE的设计表示；e)验证证据；f)分析指导性文档；，GBT 1 83363-2008ISOIEC 1 5408-3：2005g) 分析所开发的功能测试和所提供的结果；h)独立的功能测试；i) 分析脆弱性(包括缺陷假设)；j)穿透性测试。53 GBT 18336评估保证尺度GBT 18336的基本原则确信，更好的保证源于更大的评估努力，目标是运用最小的努力来获得必要的保证级。努力程度的增加基于：a) 范围因为包含了IT产品或者系统的更多部分，所以需要更大的努力；b) 深度因为要部署到更细层次上的设计和实现细节，所以需要更大的

18、努力；c)严格性因为要以更结构化、更形式化的方式实施，所以需要更大的努力。6安全保证要求61 结构以下条款描述了用于表示保证类、族、组件和EAI，的结构以及它们之间关系。图1图示说明了本部分所定义的保证要求。注意，保证要求中最抽象的集合称作一个类。每一个类包含多个保证族，每一个族又包含多个保证组件，每一个组件同样又包含多个保证元素。类和族用于提供对保证要求进行分类的分类法，而组件用来规定PPST中的保证要求。611类结构保证类的结构如图1所示。6111类名每个保证类被分配了一个唯一的名字。名字表明该保证类所涵盖的主题。还提供了保证类名的一个唯一缩写形式，这是引用保证类的主要手段。这里约定，采取

19、“A”后跟两个与类名有关的字母来表示。6112类介绍每个保证类有一段介绍，描述类的组成，并且包含涉及该类意图的支持性文字。 6113保证族每个保证类至少包含一个保证族。保证族的结构将在以下的条款中介绍。612保证族结构保证族的结构如图1所示。6121族名每个保证族被分配了一个唯一的名字。该名字提供了与保证族所涵盖主题相关的描述性信息。每个保证族归属于一个保证类，这个保证类也包括具有相同意图的其它保证族。保证族名也有一个唯一的缩写形式，这是引用保证族的主要手段。这里约定，其表示方法是所在类名的缩写，紧跟着一个下划线，然后再加上与族名有关的三个字母。6122目的保证族的目的条款说明保证族的意图。该

20、条款描述了该保证族所要对付的目的，特别是那些与GBT 18336保证范型有关的目的。保证族的这部分描述是一般性描述。目的所需的任何特定细节都包含在详细的保证组件中。6123组件分级每个保证族包含一个或多个保证组件。保证族的这一条款主要描述可供使用的组件并且解释它们之间的差异。一旦确定该保证族对PPST保证要求而言是必需或是有用的，就要区分这些保证组件，这是组件分级的主要目的。含有超过一个组件的保证族将被分级，并提供组件是如何分级的原理性解释。原理是按照范围、深度或严格性三方面来解释的。3GBT 183363-2008ISO1EC 154083：2005图1 保证类族组件元素的层次6124应用注

21、释保证族的应用注释条款，如果有的话，包含该保证族的一些附加信息，这些信息应该是保证族用户(例如PP和ST的作者、TOE的设计者、评估者等等)特别感兴趣的。这部分表述是非正式的，常包括关于使用限制的一些警告和特别需要注意的地方。6125保证组件每个保证族至少有一个保证组件。保证组件的结构将在613条描述。46，13保证组件结构保证组件的结构如图2所示。GBT 183363-2008ISOIEC 154083：2005图2保证组件结构这里约定，一个保证族内组件之间的关系用黑体突出表示。要求是新的那些部分，增强或修改了一个分级体系内上一级组件的要求，用黑体突出表示。6131组件标识组件标识条款提供了

22、识别、分类、注册和引用一个组件所必要的描述信息。每个保证组件被分配了一个唯一的名字。该名字提供关于该保证组件所涵盖主题的描述性信息。每个保证组件均被放置在与其共享安全目的的保证族之内。也提供了保证组件名字的一个唯一缩写形式，这是引用保证组件的主要手段。这里约定，其形式为族名的缩写，后面加一个点，然后是一个数字，这个数字是根据组件在族内的顺序从1开始编号的。6132目的保证组件的目的条款，如果有的话，包含该特定保证组件的特殊目的。如果保证组件含有这一条款，将提出该组件的特定意图和目的的详尽解释。6133应用注释保证组件的应用注释条款，如果有的话，包含一些附加的信息，以便于使用该组件。6134依赖

23、关系当一个组件无法自我满足而依赖于另一个组件的存在时，依赖关系就出现在这些保证组件中。每一个保证组件提供了对其他保证组件的依赖关系的一个完整列表。某些组件可能列出“无依赖关系”，这表明投有确定的依赖关系。被依赖的组件也可能依赖于其他组件。依赖关系列表标识了所依赖的保证组件的最小集合。在依赖关系列表中，等级比该组件低的那些组件也可以用来满足依赖关系。在特殊情况下，所指示的依赖关系可能并不适用。PPST作者在提供为什么给定的依赖关系不适用的理由后，可以选择不满足依赖关系。6135保证元素为每一个保证组件提供了一组保证元素。一个保证元素就是一个安全要求，如果进一步细分的话，这个安全要求不会产生有意义

24、的评估结果。它是GBT 18336认可的最小的安全要求。每一个保证元素都被确定为属于以下三组保证元素中的一组：a)开发者行为元素：应由开发者实施的活动。这组行为靠随后的一组元素中所引用的证据材料来进一步限制。开发者行为要求用元素号后附加一个字母“D”来标识。b) 证据的内容和形式元素：所需证据，证据应证实什么和证据应表达哪些信息，以及认为合适时，TOE或该保证必须拥有的特殊特征。证据的内容和形式要求用元素号后附加字母C来表示。5GBT 183363-2008ISOIEC 15408-3：2005c)评估者行为元素：应由评估者实施的活动。这组行为明确包含确认在“证据的内容和形式”元素中规定的要求

25、是否都已满足，也包含开发者除已完成的动作之外还须实施的显式行为和分析。隐式评估者行为作为开发者行为元素的结果，虽然没有被“证据的内容和形式”元素涵盖，也应当被实施。评估者行为要求用元素号后附加字母“E”来表示。“开发者行为”和“证据的内容和形式”这两组元素定义了一些保证要求，在证实TOE安全功能中的保证时，用于表示一个开发者职责。通过满足这些要求开发者能够增加TOE满足一个PP或ST的功能和保证要求的信心。“评估者行为”从评估的两个方面定义评估者的职责。一个方面是PPST的确认，依据第8章APE“保护轮廓评估”类和第9章ASE“安全目标评估”类；另一方面是验证TOE与其功能和保证要求的一致性。

26、通过证实PPST是有效的并且TOE满足这些要求，评估者可以提供一个确信TOE满足其安全目的的基础。开发者行为元素、证据的内容和形式元素以及显式的评估者行为元素，确定了在验证TOE的ST所作安全声明时评估者应耗费的精力。614保证元素每一个元素代表一个需要满足的要求。要求的陈述应当清晰、简洁且无歧义。因此，不能出现复杂句式，即每一可分离的要求将作为单独的元素来说明。元素在编写上，对于所使用的术语采用常见辞典上的意思，而不采用那些预先规定的术语作简略表述，因为那将导致要求不明确。因此，元素都表述为明确的要求，没有保留说法。615 EAL结构在本部分中定义的评估保证级(EAL)和相应的结构如图3所示

27、。注意，图中显示出保证组件的内容，意图是通过引用GBT 18336中定义的实际组件把这些信息包含到一个EAL中。图3 EAL结构GBT 183363-2008ISOIEC 154083：20056，151 EAL名称每个EAI，被分配了一个唯一的名称。该名称提供关于该EAL意图的描述性信息。也提供了EAL名称的一个唯一缩写形式，这是引用EAL的主要手段。6152目的EAL的目的条款提出EAI。的意图。6153应用注释EAI。的应用注释条款，如果有的话，包含EAL的使用者(如PP和ST作者、以该EAI，为目标的TOE的设计者、评估者)特别感兴趣的信息。这部分表述是非正式的，常包括关于使用限制的一

28、些警告和特别需要注意的地方。61531保证组件已为每一个EAL选择了一组保证组件。可以用以下方法，得到一个比给定的EAI。更高的保证级别：a)包含来自其它保证族的额外的保证组件；b)从相同的保证族中用更高级别的保证组件替换保证组件。6 154保证和保证级之间的关系图4说明了GBT 18336定义的保证要求和保证级之间的关系。当保证组件进一步分解为保证元素时，保证元素不能被保证级单独引用。注意，图中的箭头表示一个EAL对一个保证组件的引用。62组件分类法本部分包含一些族和组件的类，分类以相关保证为基础。在每一个类的开始是一个图表，指出该类中的族和族中的组件。在图5中，所显示的类包含一个单一的族。

29、这个族包含三个线性分级的组件(即组件2在特定行为、特定证据、行为或证据的严格性等方面上比组件1要求得更多)。在本部分中保证族都是线性分级的，尽管“线性”对以后可能增加的保证族而言，不是一个强制性标准。63保护轮廓和安全目标评估准则类结构保护轮廓和安全目标评估的要求被视为保证类一样处理，并且用其他保证类所使用的类似结构来表示，而这些结构将在下面进行描述。值得注意的差异是，相关的族描述中没有组件分级条款，这是因为每一个族仅仅有一个单一的组件，没有分级的情况。在本部分的第7章表2、表3、表4和表5概括了APE类和ASE类的组成族及其缩写。有关APE类中族的叙述性概述见GBT 183361附录A，而有

30、关ASE类中族的叙述性概述见GBT 183361附录B。64本部分中术语的用法以下是本部分需要准确使用的术语列表，它们并未包含在GBT 183361第2章的术语表，因为它们只是一般词语，它们的用法尽管被以下的解释所限制，但仍然和词典定义致。然而，这些术语的解释都曾作为本部分的开发指导并有助于一般性理解。641有条理的coherent一个实体是逻辑上有序的并且具有一个可辨别的含意。对于文档，这既处理实际的文本又处理文档的结构，取决于它是否能为目标读者所理解。642完备的complete一个实体的所有必需部分都已提供。在文档方面，这意味着所有相关信息都包含在该文档中，且其详细程度达到在此抽象程度上

31、不再需要进一步解释的水平。7GBT 183363-2008ISOIEC 15408-3：20058图4保证和保证级的关系图5类分解图的实例GBT 1 83363-2008ISOIEC 1 54083：2005643确认confirm这个术语用来表明某些事情需要在细节上进行复查，并且需要对其充分性作出独屯的判断。所需的严格程度取决于主题的性质。这个术语仅适用于评估者行为。644一致的consistent这个术语描述两个或者更多实体之间的关系，表明这些实体之间没有明显的矛盾。645对抗counter这个术语主要用在一个特殊威胁的影响被减轻但不必被根除的情况下。646证实demonstrate这个术

32、语指一个可得出结论的分析，它不如“证明”严格。647描述describe这个术语要求提供一个实体确定的特定细节。648决定determine这个术语要求作出一个独立的分析以获得一个特定的结论。这个术语的用法不同于“确认”或者“验证”，因为后两者意味着分析已经完成而只需要复查，而“决定”意味着通常在没有进行任何分析的情况下作出一个真正独立的分析。649确保ensure使用这个术语意味着行为和其结果之间有很强的因果关系。通常在陔术语前面加“帮助”一词，表明仅仅基于行为，结果不是完全可靠的。6410彻底的exhaustive在本部分中使用这个术语与分析或者其他活动的引导有关。它与“系统的”有关，但是

33、相对更强一些，它表明不仅要根据一个明确的计划，采取系统化的方法实施分析或其他活动，而且所依据的计划足以保证所有可能的途径都已被运用。6411解释explain这个术语不同于“描述”和“证实”，它旨在回答“为什么?”，而不试图争辩所采取的行动方式是必然最佳的。6 412内在一致的internally consistent一个实体的任何方面之间没有明显的矛盾。在文档方面，这意味着文档中的陈述不存在自相矛盾的地方。6413证明justification这个术语指一个可得出结论的分析，但是比“证实”更严格。这个术语在非常仔细和彻底地解释一个逻辑论点的每一步方面要求十分严格。9GBT 183363-20

34、081SO1EC 15408-3：20056414相互支持的mutually supportive这个术语描述一组实体之间的相互关系，表明实体占有的资源不与其他实体相冲突，甚至可能辅助其他实体完成其任务。并不需要判断每一个独立实体是否直接支持所在组中的其他实体，而是一个更具一般意义的判断。6415严格证明prove指在数学意义上的一个形式化分析。在各个方面都是非常严格的。典型地讲，“严格证明”主要用于期望在高严格程度上展示两个TSF表示之间的对应关系时。6416规定specify这个术语的使用情况与“描述”一样，但更严格和更准确。它十分类似于“定义”。6417追溯trace这个术语用来表明在两

35、个实体之间所要求的一种最低严格程度的非形式化对应。6418验证 verify这个术语的用法类似于“确认”，但是有更严格的含义。当这个术语用于评估者行为时，表明要求评估者独立地作出努力。65保证分类保证类、族和每一个保证族的缩写都在表1中列出。表1 保证族细目分类和对应关系保证类 保证族 缩写名cM自动化 ACMAUTACM类：配置管理 CM能力 ACMCAPCM范围 ACMSCP交付 AD(LDElADO类：交付和运行安装、生成和启动 ADO一】GS功能规范 AI)VFSP高层设计 ADVHI。D实现表示 ADVIMPADV类：开发 TSF内部 ADV INT低层设计 ADVLLD表示对应性

36、ADVRCR安全策略模型 ADVSPM管理员指南 AGDADMAGD类：指导性文档用户指南 AGD USR开发安全 ALC DVS缺陷纠正 ALC FLRAI。C类：生命周期支持生命周期定义 ALC LCD工具和技术 ALC TAT10表1(续)GBT 1 83363-2008ISOIEC 1 54083：2005保证类 保证族 缩写名测试覆盖 ATEC()V测试深度 ATE DPTATE类：测试功能测试 ATE FUN独立测试 ATE IND隐蔽信道分析 nfj4 fz4误用 AVA MSUAVA类：脆弱性评定TOE安全功能强度 AVA S()F脆弱性分析 14胡pz月66保证类和族概况以下

37、是对第12章至第18章以及第8章、第9章的保证类和族的概述。这些类和族的概述是按字母顺序排列的。661 ACM类：配置管理配置管理(Configuration Management，CM)，通过要求在TOE和其他相关信息的细化和修改过程中遵守规定和采取控制，帮助确保TOE的完整性得到保护。CM防止对TOE进行末授权地修改、添加或删除，从而保证用于评估的TOE和文档就是准备分发的那个TOE和文档。6611 CM自动化(ACMAUT)配置管理自动化建立用于控制配置项的自动化程度。6612 CM能力(ACMCAP)配置管理能力定义配置管理系统的一些特性。6613 CM范围(ACM SCP)配置管理范

38、围指出需要由配置管理系统控制的TOE项目。662 ADO类：交付和运行保证类ADO“交付和运行”定义有关安全交付、安装和操作使用TOE的措施、程序和标准的一些要求，确保TOE提供的安全保护在传递、安装、启动和运行时不会被削弱。6621 交付(ADO_DEL)“交付”涵盖将TOE传递给用户的过程中用以维护其安全性的程序，既包含发起交付时，也包含部分后来的修改。它还包括证实已交付TOE真实性必需的一些特殊程序或操作。这些程序和措施是确保TOE提供的安全保护没有在传递过程中被削弱的基础。尽管在评估一个TOE时，并非总是能够决定其是否遵照了交付要求，但对开发者开发的将TOE交付给用户的程序进行评估是可

39、能的。6622安装、生成和启动(ADO_IGS)“安装、生成和启动”要求由管理员配置并激活TOE拷贝，以表明它与TOE的主拷贝有相同的保护特性。安装、生成和启动程序提供管理员明白TOE配置参数以及它们可如何影响TSF的信心。663 ADV类：开发保证类ADV“开发”定义从ST中TOE概要规范到实际实现，逐步细化TSF的一些要求。每一个作为结果的TSF表示提供信息，帮助评估者决定TOE的功能要求是否已被满足。6631功能规范(ADV_FSP)“功能规范”描述TSF，并且一定是TOE安全功能要求的一个完备且正确的实例化。功能规范也详细描述TOE的外部接口。TOE的用户希望通过此接口同TSF交互。1

40、1GBT 183363-2008IS0IEC 154083：20056632高层设计(ADVHLD)“高层设计”是一个顶层设计规范，它将TSF功能规范细化成TSF的一些主要组成部分。高层设计识别TSF的基本结构和主要的硬件、固件和软件元素。6633实现表示(ADvjMP)“实现表示”是TSF的最低抽象表示。它根据可用的源代码、硬件图纸等，捕获TSF详细的内部工作方式。6634 TSF内部(ADv_JNT)“TSF内部”要求规定TSF必备的内部构造。6635低层设计(ADV_LLD)“低层设计”是一个详细的设计规范，它将高层设计细化成一定程度的细节，此细节可用作编程或硬件构造的基础。6636表示

41、对应性(ADV_RCR)“表示对应性”是所有可用TSF表示的相邻对之间映射关系的一个证实，包括从TOE概要规范一直到所提供的最低抽象的TSF表示。6637安全策略模型(ADV_sPM)“安全策略模型”是TSP安全策略的结构化表示，且用于提供功能规范符合TSP安全策略，并最终符合TOE安全功能要求的进一步的信心。这是通过功能规范、安全策略模型和安全策略之间一致性映射都模型化来实现的。664 AGD类：指导性文档保证类AGD“指导性文档”定义在开发者所提供操作文档的易懂性、覆盖范围和完备性方面有指导性的一些要求。该文档提供两种类型的信息，一类是针对用户，另一类针对管理员，是TOE安全运行的一个重要

42、因素。6641管理员指南(AGD_ADM)关于管理员指南的要求有助于确保环境限制都能被TOE的管理员和操作员所理解。管理员指南是开发者可用于向TOE管理员提供如何安全地管理TOE以及如何有效利用TSF特许操作和保护功能等方面详细的、正确的信息的主要手段。6642用户指南(AGD_USR)关于用户指南的要求有助于确保用户能够以安全的方式操作TOE(如，必须清楚地解释和举例说明PP或ST所假设的使用限制)。用户指南是开发者可用于向TOE用户提供如何正确使用TOE的保护功能的一些必要背景知识和特殊信息的主要手段。用户指南必须包含两方面内容：首先，必须解释用户可见的安全功能干些什么以及如何使用它们，这

43、样用户就能够持续有效地保护他们的信息；其次，需要解释在维护TOE的安全时用户所扮演的角色。665 ALC类：生命周期支持保证类AI。c“生命周期支持”，通过采用一个针对TOE开发的所有步骤而明确定义的生命周期模型，定义一些保证要求，包括缺陷纠正程序和策略、工具和技术的正确使用、用于保护开发环境的安全措施。6651 开发安全(ALcDVS)“开发安全”涵盖在开发环境中使用的物理的、程序的、人员的和其他方面的安全措施，包括开发场所的物理安全以及对开发人员的选择和雇用的控制。6652缺陷纠正(ALC_FLR)“缺陷纠正”确保在开发者对TOE提供支持时，将跟踪并纠正TOE用户所发现的缺陷。虽然在1 2

44、GBT 1 83363-2008ISOIEC 1 54083：2005TOE评估时，无法判断将来是否仍遵从缺陷纠正要求，但对开发者用于跟踪和修补缺陷以及分发补丁给用户的程序和策略进行评估是可做到的。6653生命周期定义(ALC_LCD)“生命周期定义”设定一些开发者用于生产TOE的工程实践，包括在开发过程和运行支持要求中已明确的事项和活动。当安全分析和证据的产生作为开发过程和运行支持活动的一个主要部分，都有规律地执行时，安全要求和TOE之间是一致的信心就将更强。本组件的目的不是规定任何特定的开发过程。6654工具和技术(ALC_TAT)“工具和技术”要求定义一些用于分析和实现TOE的开发工具。

45、它包括关于开发工具和随这些工具的选择而定的实现的一些要求。666 APE类：保护轮廓评估PP评估的目的是为了证实PP是完备的、一致的、技术合理的，因此适合用作一个或多个可评估TOE的要求陈述。这样一个PP就有资格加入到PP注册表中。667 ASE类：安全目标评估ST评估的目的是证实ST是完备的、一致的、技术合理的，因此适合用作相应TOE评估的基础。668 ATE类：测试保证类ATE“测试”说明证实TSF满足TOE安全功能要求的测试要求。6681 测试覆盖(ATE_COV)“测试覆盖”处理开发者对TOE执行的功能测试的完备性。它提出所要测试的TOE安全功能的范围。6682测试深度(ATE DPT)“测试深度”处理开发者测试TOE的详细程度。安全功能测试是根据从TSF表示的分析中所导出信息的深度不断增加而增加的。6683功能测试(ATEFUN)“功能测试”证实TSF展现的特性对满足ST要求是必要的。功能测试提供了TSF至少满足所选功能组件要求的保证。然而，功能测试并没有规定TSF只能干期望的事。本族侧重于开