1、中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第 部分安全保证要求发布 实施国家质量技术监督局 发布前言本标准等同采用国际标准 信息技术安全技术信息技术安全性评估准则第部分 安全保证要求本标准介绍了信息技术安全性评估的安全保证要求在总标题 信息技术安全技术信息技术安全性评估准则下由以下 个部分组成第 部分简介和一般模型第 部分安全功能要求第 部分安全保证要求本标准的附录 和附录 是提示的附录本标准由国家质量技术监督局提出本标准由全国信息技术标准化技术委员会归口本标准由中国国家信息安全测评认证中心信息产业部电子第 研究所国家信息中心复旦大学负责起草本标准主要起草人吴世忠吴承荣龚奇敏
2、陈晓桦李守鹏方关宝吴亚飞雷利民叶红 李鹤田黄元飞 任卫红本标准委托中国国家信息安全测评认证中心负责解释前言国际标准化组织 和 国际电工委员会 形成了全世界标准化的专门体系 作为 或成员的国家机构通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定 和技术委员会在共同关心的领域里合作其他与 和 联盟的政府的和非政府的国际组织也参加了该项工作国际标准的起草符合 导则第 部分的原则在信息技术领域 和 已经建立了一个联合技术委员会 联合技术委员会采纳的国际标准草案交付给国家机构投票表决 作为国际标准公开发表需要至少 的国家机构投赞成票国际标准 是由联合技术委员会 信息技术与通用准则项目发
3、起组织合作产生的 与 同样的文本由通用准则项目发起组织作为信息技术安全性评估通用准则 发表 有关通用准则项目的更多信息和发起组织的联系信息由 的附录提供在信息技术 安全技术 信息技术安全性评估准则的总标题下由以下几部分组成第 部分 简介和一般模型第 部分 安全功能要求第 部分 安全保证要求附录 和附录 构成 本部分的提示部分以下具有法律效力的提示已按要求放置在 的所有部分在 附录 中标明的七个政府组织总称为通用准则发起组织 作为信息技术安全性评估通用准则第 至第 部分 称为 版权的共同所有者在此特许 在开发国际标准中非排他性地使用 但是通用准则发起组织在他们认为适当时保留对 的使用拷贝分发以及
4、修改的权利中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第 部分 安全保证要求国家质量技术监督局 批准 实施范围本标准定义了保证要求 它包括衡量保证尺度的评估保证级 组成保证级的每个保证组件以及 和 的评估准则本标准的结构第 章是本标准的引论和范例第 章描述了保证类子类 组件和评估保证级的表示结构 以及它们之间的关系 同时还刻画了第章到第 章可找到的保证类和子类的特征第 章第 章和第 章先对 和 的评估准则作简要的介绍 然后对在评估中要用到的子类与组件做了详尽的解释第 章是评估保证级 的详尽定义第 章对保证类作了简要的介绍 在随后的第 章到第 章给出了这些类的详尽定义第 和第 章
5、对保证维护的评估准则做了简要的介绍其后给出了所用到的子类和组件的详尽定义附录 给出了保证组件之间依赖关系的概要附录 给出了评估保证级 和保证组件之间的交叉引用的保证范例本条旨在阐述支撑本标准保证方法的基本原则 通过对本条的理解将使读者了解隐含在本标准保证要求中的基本原理基本原则的基本原则 就是应该清楚描述那些对安全和组织安全策略承诺所造成的威胁并且提出足以达到所期望的安全目的的安全措施进一步地说就是应采取一些措施以减少可能存在的脆弱性 减弱有意利用或者无意触发 或利用一个脆弱性的能力以及减轻因利用一个脆弱性而导致的破坏程度另外 还需要采纳一定的措施 便于今后标识一些脆弱性消除 减轻或通告一个已
6、经被利用或触发过的脆弱性保证方法的基本原则是为被信任的 产品或系统的评估积极的调查提供保证 评估是提供保证的传统方法 并且是 文档的基础 为了与现行的方法保持一致 采用相同的基本原则 建议由专业评估员在不断强调范围深度和严格性的基础上 衡量文档和已完成的 产品或系统的有效性不排斥也不评论用其他方法的获得保证的有关优点 有关获得安全保证的其他方法还在研究当中 一旦成熟的 可选择的方法产生可以考虑把它们吸收到 中因为的结构允许将来引入更新的内容脆弱性的意义假定存在积极寻求违反安全策略的可乘之机的威胁者 他们无论是为了非法获利还是出于别的意图 其行为都是不安全的 威胁者也可能偶然触发了脆弱性 造成对
7、系统的损害 由于处理敏感信息的需求与可用的足够可信产品或者系统缺乏之间的矛盾 一旦 失效 将会导致很大的风险 因此 破坏安全可能造成重大的损失破坏 安全的事件主要发生于应用 处理业务过程中 脆弱性被有意利用或无意地触发应该采取一定的措施防止在 产品和系统中出现脆弱性 在可行的情况下 脆弱性应该被消除 即应该采取积极的措施来发现除去或者消灭所有可利用的脆弱性最小化 即应该采取积极的措施减少任何可利用脆弱性的潜在影响 使残留的脆弱性达到一个可接受的程度监视 即应该采取积极的措施确保发现任何利用残余脆弱性的企图 以便采取及时限制破坏的措施脆弱性产生的原因以下的失败可导致脆弱性要求 即 产品或者系统具
8、有所有必要的功能和特性 但仍然可能包含着脆弱性 使得产品或系统在安全方面不合适或者无效构造 即 产品或系统不符合设计规范 或者由于低劣的构造标准或选择了不正确的系统设计而导致了脆弱性运行 即 产品或者系统被正确构造 且符合正确的规范 但是在其运行中由于不适当的控制而导致了脆弱性本标准的保证保证是 产品或系统符合其安全目的的信任基础 保证可从诸如未证实的声明 有关的先期经验或者特定经验等作参考的原始资料获得 然而 本标准通过积极的调查来提供保证 积极的调查就是对 产品或者系统进行评估以确定其安全特性通过评估获得保证评估是获取保证的传统手段并且是 方法的基础 评估技术包括但不限于以下这些分析并检查
9、过程和步骤检查过程和步骤是否被使用分析评估对象 设计表述之间的一致性针对要求分析评估对象 的设计表述验证证据分析指导性文档分析所开发的功能测试和所提供的结果独立的功能测试分析脆弱性 包括缺陷假设穿透性测试评估保证尺度的基本原则确信 更好的保证源于更大的评估努力 而目标却是运用最小的努力来获得必要的保证级 努力程度的增加基于范围 即指因为包含更多的 产品或者系统 所以需要更大的努力深度 即指因为要在更好的设计和实施细节这一层次上展开 所以需要更大的努力严格性 即指因为要以更结构化更形式化的方式应用 所以需要更大的努力引用标准下列标准所包括的条文通过在本标准中引用而构成为本标准的条文 本标准出版时
10、所示版本均为有效 所有标准都会被修订 使用本标准的各方应探讨使用下列标准最新版本的可能性信息技术安全技术信息技术安全性评估准则第部分简介和一般模型安全保证要求结构以下的章条描述了保证类子类组件和评估保证级 的结构以及它们之间的关系图 说明了本标准定义的保证要求 注意到保证要求中最抽象的集合称作一个类 每一个类包含多个保证子类每一个子类又包含多个保证组件 每一个组件同样又包含多个保证元素 类和子类提供对保证要求进行分类的分类法而组件用来指明 和 中的保证要求类结构保证类的结构如图 所示类名每一个保证类被指定一个唯一的名字 名字表明保证类涵盖的主题保证类名也具有唯一的简洁形式 这是引用保证类的主要
11、的方法 按惯例采取 后跟两个与类名有关的字母类介绍每一个保证类有一段介绍 描述类的组成并且包含了涉及该类意图的支持性文字保证子类每一个保证类包含至少一个保证子类 保证子类的结构将在下面的章条中介绍保证族结构保证族的结构如图 所示子类名每一个保证子类指定一个唯一的名字 该名字描述了与保证子类涵盖的主题相关的信息 每一个保证子类被置于一个保证类之内这个保证类也包括具有相同意图的其他保证子类保证子类名也有一个唯一的简洁形式 这是引用保证子类的主要方法 按惯例 其表示方法是所在类名的缩写 加下划线然后再加上与子类名有关的三个字母目的保证子类的目的部分说明保证子类的意图这部分描述了该保证子类所要表明的目
12、的特别是那些与 保证范例有关的目的 这个保证子类的描述是一般的描述 目的所要求的任何特定细节都应包含在该保证组件中组件分级每一个保证子类包含一个或多个保证组件 保证子类的这一部分主要描述可供使用的组件并且解释它们之间的差异 一旦确定该保证子类对 保证要求而言是必需或是有用的部分 就要区分这些保证组件这是组件分级的主要目的含有超过一个组件的保证子类将被分级并说明分级的理由 分级将依据范围深度或者严格性的原则进行应用注释如果有应用注释部分的话它将提供这个保证子类的附加信息而这些信息应该是保证子类用户例如 和 的作者 的设计者 评估者等等特别感兴趣的 它的表示是非形式化的 并且包括限制使用的警告和特
13、别要注意的地方保证组件每一个保证子类至少有一个保证组件 保证组件的结构将在下一条描述图 保证类 子类组件 元素的层次保证组件结构保证组件的结构如图 所示图 保证组件结构保证子类内组件之间的关系用粗体突出表示 那些新的要求 连同对同一级内前面组件的增强或修改部分 也用粗体突出表示 对于依赖关系也同样用粗体突出表示组件标识组件标识部分给出一些描述信息 这些信息对标识 分类 登记和引用一个组件是必须的每个保证组件指定唯一的一个名字 该名字提供关于该保证组件所涉及主题的描述性信息 每个保证组件均放置在与其共享安全目的的保证子类之内保证组件名字也给定了唯一的简洁形式这是引用保证组件的主要方法 按惯例 简
14、洁形式为子类名的缩写后面加一个点然后是数字符号 这个数字符号是根据组件在子类内的顺序从 开始编号的目的如果保证组件有目的部分那么它包含了特定保证组件的特定目的 在含有这部分信息的保证组件中 该信息详尽地解释了该组件的特定意图和目的应用注释如果保证组件有应用注释部分 则它包含了一些附加的信息以便于使用该组件依赖关系当一个组件无法自我满足而依赖于另一个组件时依赖关系就出现在这些保证组件中每一个保证组件都给出了一个完整的列表 表明了它与其他保证组件的依赖关系 一些组件可能无依赖关系 这表明它没有依赖于其他组件 被依赖的组件也可能依赖于其他组件依赖关系列表标识了所依赖的保证组件的最小集合 在依赖关系列
15、表中与另一组件同层次的组件也可以用来满足依赖关系在特殊情况下所表明的依赖关系可能并不适用 的作者可以提供为什么给定的依赖关系不适用的理由 并选择不去满足这种依赖关系保证元素每一个保证组件给出了一组保证元素 一个保证元素就是一个安全要求 如果进一步细分的话 这个安全要求不会产生有意义的评估结果 它是本标准中最小的安全要求每一个保证元素都被确定属于以下三组保证元素中的一组开发者行为元素即由开发者将实施的活动 这组行为靠下一组元素中引用的证据材料来证明是否合格 开发者行为要求用元素编号上附加一个字母 的方法来表示证据的内容和形式元素 即所要求的证据证据所显示的以及证据所表述的信息 证据的内容和形式要
16、求用元素编号上附加字母 的方法来表示评估者行为元素 即评估者实施的活动 这组行为隐含了对在前面两组元素中规定要求的证实并且隐含了除开发者实施的活动之外还须实施的行为或分析 评估者行为要求用元素号上附加字母的方法来表示开发者行为与证据内容和形式这两组元素定义了代表一个开发者职责的保证要求而该开发者的职责就是论证 的安全功能保证 通过满足这些要求开发者能够更加确信 满足 或 的功能和保证要求评估者行为从评估的两个方面明确了评估者的责任 一个方面是根据第 章和第 章中定义的和 来确认 另一方面是验证 与其功能和保证要求的一致性 通过证明 是有效的并且 满足这些要求 评估者可以提供一个信任的基础 确信
17、这个 满足其安全目的评估者行为元素结合了证据的内容和形式指明了在验证 的 中所作的安全声明时将要进行的评估活动保证元素每一个元素代表一个需要满足的要求 描述要求的语句应当清晰简洁且无歧义 因此不能出现复杂句式即每一可分离的要求将作为单独的元素来说明对于使用的术语元素采用常见辞典上的意思 而不采用那些预先规定的术语的缩写形式 因为那将导致隐含性要求 因此 元素都表述为明确的要求而不用保留术语与 第 部分不同之处在于 在本标准中没有与元素有关的赋值和选择操作 然而 本标准可能根据需要进行细化 操作结构图 说明了在本标准中定义的所有评估保证级 和相应的结构 注意图中显示出保证组件的内容的同时 还将通
18、过引用 中定义的实际组件来将该结构信息包含在一个评估保证级 中图 结构名称给每一评估保证级 指定唯一的名称 该名称提供关于评估保证级 意图的描述性信息评估保证级 名称有唯一的简洁形式这是引用评估保证级 的主要方法目的评估保证级 的目的部分表明了评估保证级 的意图应用注释如果评估保证级 有应用注释部分则它包含评估保证级 的使用者 如 和 的作者以该评估保证级 为目的的评估对象 的设计者评估者 特别感兴趣的信息 它的表示是非形式化的 并且包含了限制使用的警告和应特别注意的地方保证组件必须为每一个评估保证级 选择一组保证组件可以用以下方法得到一个比给定的评估保证级 所提供的保证具有更高级别的保证从其
19、他保证子类中选取额外的保证组件从相同的保证子类中用更高级别的保证组件替换该保证组件保证和保证级的关系图 说明了本标准定义的保证要求和保证级之间的关系 当保证组件进一步分解为保证元素时保证元素不能被保证级单独引用 注意图中的箭头表示从一个评估保证级 到其所在类中一个保证组件的引用组件分类本标准包含一些根据相关保证分组的子类和组件的类在每一个类的开始是一个图表 指出该类中的子类和子类中的组件在图 中所显示的类包含一个单一的子类 这个子类包含三个线性分级的组件 如组件 在特定行为特定证据以及在行为或证据的严格性等方面上比组件 要求得更多 在本标准中的保证子类都是线性分级的尽管 线性 对以后可能增加的
20、保证子类而言并不是的一个强制性的准则保护轮廓 和安全目标 评估准则类的结构保护轮廓 和安全目标 的评估要求被视为保证类 并且被表示为与其他保证类相似的结构 而这些结构将在下面进行描述 值得注意的是 相关的子类描述中没有组件分级这一部分 这是因为每一个子类仅仅有单一的组件没有分级的情况在本标准的第 章表 和 概述了组成 类和 类的子类以及两类的缩写有关 类中子类的叙述概要见 第 部分附录 的 到 有关 类中子类的叙述概要见 第 部分附录 的 到本标准中术语的应用以下是本标准需要准确使用的术语列表 它们并非对术语表的内容有任何扩充 因为它们只是一般词语它们的用法尽管被以下的定义所限制但仍然和词典中
21、的意思一致 然而这些术语曾作为本标准开发的指导因此有助于一般性的理解检查这个术语类似于 确认 或者 验证 但是并没有那么严格 这个术语要求评估者在经过一个粗略的分析 或者根本没有分析的情况下迅速作出决定连贯一个逻辑上有序的实体具有可辨别的意义 对于文档 这意味着既表示文档的实际文本又表示文档的结构 取决于它是否能为读者所理解图 保证和保证级的关系图 类分解图的实例完备提供一个实体所有必要的部分 用在文档中 这意味着该文档包含所有信息 其详细程度应达到一定的水平 在这个抽象程度的水平上不再需要进一步解释了确认这个术语用来表明某些事情需要在细节上进行复查并且需要对其充分性作出独立的判断 严格的程度
22、取决于主体本身的性质 这个术语仅适用于评估者行为一致这个术语描述两个或者更多实体之间的关系 表明这些实体之间没有明显的矛盾对抗这个术语主要表示一个安全对象对抗了一个特殊的威胁 但是不需要指出威胁最终被完全根除论证这个术语指一个可得出结论的分析 它不如 严格证明严格描述这个术语要求提供一个实体确定的特定细节决定这个术语要求作出独立的分析 以获得一个特定的结论 这个术语的用法不同于 确认或者 验证 因为后两者意味着分析已经完成而只需要复查而决定意味着通常在没有进行任何分析的情况下作出一个真正独立的分析确保这个术语意味着行为和结果之间有很强的因果关系 该术语典型的用法是把 帮助加在前面 表明它仅仅基
23、于行为而不是对结果的充分肯定彻底这个术语在本标准中表明实施分析或者其他行为 它与 系统的 有关但是相对更强一些 它表明不仅要根据一个明确的计划采取系统化的方法实施分析或其他行为 而且其后的计划应足以保证所有可能的方法都已被采纳了解释这个术语不同于 描述 和 论证 它旨在回答为什么 而并非试图争辩所采取行动的过程是最佳的内在一致实体的任何方面之间没有明显的矛盾 在文档中 这意味着没有自相矛盾的地方证明这个术语指用于得出结论的分析 但是比论证 更严格 这个术语要求在非常仔细和彻底地解释逻辑论点的每一个步时都需十分严格相互支持这个术语描述一组实体之间的相互关系表明实体占有的资源不与其他实体相冲突 甚
24、至可能辅助其他的实体完成任务它并不需要判断所有有关的独立实体是否直接支持所在组中的其他实体 而是一个更具一般意义的判断严格证明这指在数学意义上的一个形式化分析 它的各个方面完全都是严格的 典型地讲 严格证明 主要用于在高级别严格性的情况以显示两个 表示之间的对应关系规定这个术语的使用情况与 描述一样 但是倾向更严格和准确的含义 它十分类似于 定义追溯这个术语用来表明在具有最小级别严格性的两个实体之间所要求的一种非形式化的对应验证这个术语的用法类似于确认 但是有更严格的含义 当这个术语用于评估者行为时 表明要求评估者独立地作出努力保证分类保证类 子类和每一个保证子类的缩写在表 中进行说明表 保证
25、子类细目分类和对应关系保证类 保证子类 缩写名称类 配置管理自动化能力范围类 交付和运行交付安装生成和启动类 开发功能规范高层设计实现表示内部低层设计表示对应性安全策略模型类 指导性文档管理员指南用户指南类 生命周期支持开发安全缺陷纠正生命周期定义工具和技术类测试覆盖范围深度功能测试独立性测试类 脆弱性评定隐蔽信道分析误用安全功能强度脆弱性分析保证类和子类概况以下是对第 章至第 章的保证类和子类的概述 这些类和子类的概述是按第 章到第 章类和子类出现的顺序排列的类 配置管理配置管理 通过在细化和修改 及其他有关信息的过程中进行规范和控制确保 的完整性 配置管理 阻止对 进行非授权的修改 添加或
26、删除 这保证了用于评估的 和文档确是准备交付的 和文档自动化配置管理自动化对一些配置项的控制实现了一定程度的自动化能力配置管理能力定义了配置管理系统的一些特性范围配置管理范围指出了需要由配置管理系统控制的 项目类 交付和运行保证类 定义了有关安全交付安装运行 的措施 程序和标准的要求 以确保 提供的安全保护在传递安装 启动和运行时不会被削弱交付交付包含了将 传递给用户的过程中用以维护其安全性的程序既包含初始的交付 也包含后来的修改 它还包括了用来论证已交付的 真实性的特殊程序或操作 这些程序和措施是确保提供的安全保护没有在传递过程中被削弱的基础 尽管在评估一个 时并非总是能够决定其是否遵照了交
27、付要求但总是能够对开发者开发的将 交付给用户的程序进行评估安装 生成和启动安装 生成和启动需要管理员配置和激活 的拷贝以显示它与 的主拷贝有相同的保护特性 安装生成和启动程序需要确信管理员明白配置参数以及它们对 的影响类开发保证类 定义了 中从 概要规范到实际 的逐步细化的一系列要求 每一个产生结果的 表示都提供信息 以帮助评估者决定 的功能要求是否被满足了功能规范功能规范描述了 而且它一定是 安全功能要求的一个完整而准确的实例化 功能规范也详细描述了 的外部接口 的用户希望通过此接口同 交互信息高层设计高层设计是一个顶层的设计规范它将 功能规范细化成 的一些组成部分 高层设计指明了 的基础结
28、构和主要的硬件固件和软件元素实现表示实现表示是 具体的表示 它根据可用的源代码 硬件图详细表述了 的内部工作方式内部内部要求指明了 必需的内部结构低层设计低层设计是具体化的设计规范 它将高层设计细化成具体的一层 作为编程或硬件构造的基础表示对应性表示对应性论证了所有相邻的从 概要规范到所提供的具体 表示相邻对之间的映射关系 这些表示对包括安全策略模型安全策略模型是 安全策略的结构化描述 保证功能规范和 的安全策略相符合 并且最终和 的安全功能要求相符合 这是通过功能规范 安全策略模型和模型化的安全策略之间的对应来实现的类 指导性文档保证类 从开发者提供的可操作文档的易懂性覆盖范围和完整性等方面
29、定义了指导性要求该文档提供两种类型的信息一类是针对用户另一类针对管理员 这是 安全运行的一个重要因素管理员指南管理员指南的要求有助于 的管理员和操作员理解环境的限制 管理员指南是开发者可用的主要方法便于为 管理员提供如何安全地管理 和如何高效地利用 的优点和保护功能等详细准确的信息用户指南用户指南的要求有助于用户能够安全地运行 如必须清楚地解释和说明 或 所假设的使用限制 用户指南是开发者可用的主要方法 便于为 用户提供必要的背景知识以及如何正确使用 的保护功能这一特定信息 用户指南必须包含两方面的内容首先它必须解释那些用户可见的安全功能的目的以及如何使用它们 这样用户可以持续有效地保护他们的
30、信息 其次 它必须解释在维护 的安全时用户所起的作用类生命周期支持保证类 通过采用一个为 开发的所有步骤定义的生命周期模型 明确了保证要求 这个生命周期包括纠正缺陷的程序和策略 以及保护开发环境的工具 技术和安全措施的正确使用开发安全开发安全涉及在开发环境中使用的物理上的 程序上的 人员上的和其他方面的安全措施 它包括开发场所的物理安全和对开发人员的选择和雇用的控制缺陷纠正缺陷纠正确保开发者维护 时 将记录和纠正由 用户发现的缺陷 但是在评估 时无法判断将来是否仍遵从缺陷纠正的要求 因而有可能对开发者已有的用来跟踪 修补缺陷和交付补丁给用户的程序和策略进行评估生命周期定义生命周期定义表明开发者
31、用以制造 的工程实践包括在开发过程和运行维护要求中已明确的设想和活动 当安全分析和证据生成作为开发过程和运行维护活动中的一个完整的部分且按照正规的方式实施时 就将提高安全要求和 之间的对应性的信任度 本组件的目的不是规定任何特定的开发过程工具和技术工具和技术指出需要定义一些用于分析和实现 的开发工具 它包括与开发工具有关的要求以及依赖于这些所选择工具的 实现的要求类测试保证类 陈述了论证 满足 安全功能要求的测试要求覆盖范围覆盖范围涉及开发者针对 而进行功能测试的完整性 它描述了所要测试的 安全功能的范围深度深度涉及开发者测试 的详细程度 安全功能测试是根据从 表示的分析中得出的信息逐步增加其
32、深度而进行的测试功能测试功能测试表明 表现出满足 要求所需的特性 功能测试提供了 应满足所选功能组件最低要求的保证 然而功能测试并没有规定 不会超过最低的要求 这个子类的重点在于开发者自己进行的功能测试独立性测试独立性测试规定 的功能测试必须由一个除开发者之外的团体如第三方实施 这个子类通过引入非开发者所进行的测试来提高其使用价值类脆弱性评定保证类 定义了有关标识可利用的脆弱性的指导性要求 特别地它指出了在构造运行误用或错误配置 时引入的脆弱性隐蔽信道分析隐蔽信道分析主要用来发现和分析未预料到的一些通信信道这些通信信道可用来违背预期的误用误用分析将考察管理员或用户在理解指导性文档后 能确定 是
33、否以不安全的方式被配置和运行安全功能强度功能强度分析说明了以概率或排列机制 如 口令字或哈希函数实现的 安全功能 即使不会避开它使其无效或破坏它 仍然可用直接攻击的办法来击败它 对于每个功能强度可以要求一个级别或一个特殊的量度 实施功能强度分析的目的就是判断该功能是否满足或超出了这个要求 例如 对口令机制的功能强度分析可以通过说明口令空间有足够大来指出口令字功能满足强度要求脆弱性分析脆弱性分析包括标识在开发过程的不同细化步骤引入的潜在缺陷 它通过收集以下有关的必要信息来导出穿透性测试的定义 的完备性该 是否可以抵抗所有假设的威胁 所有安全功能之间的依赖关系 这些潜在的脆弱性将通过穿透性测试来评
34、估 以判断它们在实际应用中是否会被利用来削弱 的安全维护分类对保证维护的要求也视为一个保证类并且也用以上的类结构来定义这些保证维护子类和每个子类的缩写见表表 保证维护类分解保证类 保证子类 缩写保证维护保证维护计划组件分类报告保证维护证据安全影响分析保证维护类和子类概况下面概括第 章的保证类和子类 这些类和子类的概要的顺序同第 章出现的顺序相同类 保证维护保证类 的目的是维护保证级即当 或其环境发生改变时 可以继续满足它的安全目标 在这个类中的每个子类都标识了在成功地评估 之后开发者和评估者应实施的行为 虽然有些要求可能是在评估的时候已经进行了保证维护计划保证维护计划确定了开发者将实施的计划和
35、程序 其目的就是当 或其环境改变时可以确保评估过的 所建立的保证得到维护组件分类报告根据 组件 如 子系统 相对于安全的重要性 对 组件分类的报告提供了对它们进行分类的方法 这个分类将作为开发者进行安全影响分析的重点保证维护证据保证维护证据旨在寻求建立一种信任关系 以确保开发者将根据保证维护计划来维护安全影响分析安全影响分析旨在寻求建立一种信任关系 以确保 经过评估之后 开发者将分析所有的变化对 的安全影响来维护对 的保证保护轮廓与安全目标评估准则概述本章介绍 和 的评估准则 这些评估准则将在第 章 类保护轮廓评估 和第 章类安全目标评估 中进一步详细阐述这些准则在本标准中是首要的 因为 和
36、评估通常是在 评估之前进行的 它们在评定以及评估功能和保证要求时起着特殊的作用以便证明 和 对 评估来说是否是一个有意义的基础虽然这些评估准则与第 章至第 章的要求稍有差异 但它们却十分相似因为就 和评估而言开发者和评估者的行为是可以类比的类 类与 类不同 因为 类和 类的所有要求都要考虑单个 和 的评估而类的要求则涉及一个较为广泛的论题 但并非要对一个给定的 考虑所有的论题和 的评估准则的基础是 第 部分附录 和附录 所提供的信息 其中可以找到关于 和 类要求的有用的背景信息这在以下的章条中也有描述保护轮廓准则概述保护轮廓评估评估的目的是为了论证 是完备的一致的技术上是合理的 因此适合作为一
37、个或多个可评估 的要求陈述 这样的 符合注册的条件与安全目标评估准则的关系正如 第 部分附录 和附录 所描述的一样在通常的 和具有 特性的之间有着许多结构和内容上的相似之处 因此 评估准则包含的要求与 评估准则包含的要求之间有许多相似之处并且二者的表示方式也相似评估者任务仅仅基于 要求评估的评估者的任务评估者实施一个包含在 要求之内的 评估时应当使用表 列出的 类的要求表 保护轮廓子类 仅用 的要求类 子类 缩写类保护轮廓评估保护轮廓 描述保护轮廓 安全环境保护轮廓 引言保护轮廓 安全目的保护轮廓 安全要求扩展评估的评估者任务评估者实施一个包含 之外要求的 评估时 应当使用表 列出的 类的要求
38、安全目标准则概述安全目标评估评估的目的是为了论证 是完备的 一致的 在技术上是合理的因此适合作为相应 评估的基础表 保护轮廓子类 扩展的要求类 子类 缩写类保护轮廓评估保护轮廓 描述保护轮廓 安全环境保护轮廓 引言保护轮廓 安全目的保护轮廓 安全要求保护轮廓 明确陈述的 安全要求与本标准其他评估准则的关系评估 有两个明确的阶段 评估和相应的 评估 在本章和第 章将讨论 评估的要求 在第 章至第 章将讨论 评估的要求评估包括对 声明的评估 如果 没有声明与 的一致性 的 声明部分将包括这样一个陈述 没有声明与任何 的一致性评估者任务仅仅基于 要求评估的评估者任务评估者实施一个包含在 要求之内的
39、评估时应当使用表 列出的 类的要求表 安全目标子类 仅用 的要求类 子类 缩写类安全目标评估安全目标 描述安全目标安全环境安全目标 引言安全目标安全目的安全目标 声明安全目标 安全要求安全目标 概要规范扩展评估的评估者任务评估者实施一个包含 要求之外的 评估时应当使用表 列出的 类的要求表 安全目标子类 扩展的要求类 子类 缩写类安全目标评估安全目标 描述安全目标安全环境安全目标 引言安全目标安全目的安全目标 声明安全目标 安全要求安全目标 明确陈述的 安全要求安全目标 概要规范类保护轮廓评估评估的目的是论证 是完备的 一致的 技术上合理的 因此评估过的 适合作为 开发的基础 这样的 符合注册
40、的条件图 给出了这个类中的子类图 保护轮廓评估类分解描述目的描述有助于理解 安全要求 对 描述的评估需要说明它是连贯的 内在一致的并且与 的其他部分是一致的保护轮廓 描述 评估要求依赖关系保护轮廓 安全环境评估要求保护轮廓 引言评估要求保护轮廓 安全目的 评估要求保护轮廓 安全要求评估要求开发者行为元素的开发者应提供一份 描述以作为 的一部分证据的内容和形式元素描述应当尽量少地描述产品类型和 的一般 特性评估者行为元素评估者应确认所提供的信息都满足证据的内容和形式的所有要求评估者应确认 描述是连贯的是内在一致的评估者应确认 描述与 的其他部分是一致的安全环境目的为了确定 中的 安全要求是否充分
41、 对所有评估者而言 清楚明白地理解所要解决的安全问题是很重要的保护轮廓安全环境评估要求依赖关系无依赖关系开发者行为元素开发者应提供一份 安全环境的描述以作为 的一部分证据的内容和形式元素安全环境的陈述应当标识并且解释关于 预期用法和 使用环境的任何假设安全环境的陈述应当标识并且解释任何已知的或假定的对 及其环境保护的资产的威胁安全环境的陈述应当标识并解释 必须遵守的所有组织安全策略评估者行为元素评估者应确认所提供的信息都满足证据的内容和形式的所有要求评估者应确认 安全环境的陈述是连贯的是内在一致的引言目的引言包括文档管理和注册一个 所必需的综合信息 对 引言的评估需要论证 是已经正确标识的并且
42、它与 的其他所有部分是一致的保护轮廓 引言评估要求依赖关系保护轮廓 描述评估要求保护轮廓安全环境评估要求保护轮廓安全目的 评估要求保护轮廓 安全要求 评估要求开发者行为元素开发者应提供一份 引言以作为 的一部分证据的内容和形式元素引言应包含一个 标志 该标志提供标识分类 登记和交叉引用这个 所需要的标志性和描述性信息引言应包含一个 概述 以叙述的形式来概括该评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求评估者应确认 引言是连贯的并且内在一致的评估者应确认 引言与 的其他部分是一致的安全目的目的安全目的是对安全问题意向性反应的一段简明陈述 对安全目的的评估需要论证所述的目的
43、足以表述安全问题 安全目的分为 安全目的和环境安全目的 两者必须能追溯至已标识 可对抗的威胁或各自所需满足的策略和假设保护轮廓 安全目的评估要求依赖关系保护轮廓安全环境评估要求开发者行为元素开发者应提供一份安全目的的陈述以作为 的一部分开发者应提供安全目的的基本原理证据的内容和形式元素安全目的的陈述应当为 及其环境定义安全目的的安全目的应当能清楚地陈述 并且可以追溯至已标识的威胁的各个方面 这些威胁由 来对抗同时也可以追溯至 所满足的组织安全策略环境的安全目的应当清楚地陈述并且可以追溯至已标识的威胁的各方面 这些威胁并非由 完全对抗 同时也可以追溯至 未完全满足的组织安全策略和假设安全目的基本
44、原理应当论证所陈述的安全目的适合于对抗已标识的对安全性的威胁安全目的基本原理应当论证所述的安全目的适合于覆盖所有已标识的组织安全策略和假设评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求评估者应确认安全目的的陈述是完备的连贯的 是内在一致的安全要求目的有必要对一个 所选择的 安全要求以及在 中提出或引用的安全要求进行评估目的是确认它们是内在一致的 并且使得该 的开发符合其安全目的一致的 并不需要满足对应的 所描述的所有安全目的因为有些 可能依赖于一些特定的 安全要求而这些要求是由 环境所满足的 这种情况下必须清楚地依据 要求阐述和评估环境的 安全要求本子类提出了这样一个评估
45、要求 它允许评估者判断一个 是否适合作为一个可评估 的要求陈述 在对明确陈述的要求进行评估时必要的附加准则包含在 子类中应用注释术语 安全要求指的是 安全要求 有时还包括 环境的安全要求术语 安全要求指的是 安全功能要求或 安全保证要求在 组件中 适当的 一词用来表明在一定情况下特定的元素具有可选项 哪个选项可用取决于在 中给定的上下文环境 关于这方面的具体信息在 第 部分的附录 中有相应解释保护轮廓 安全要求评估要求依赖关系保护轮廓安全目的 评估要求开发者行为元素开发者应当提供一份 安全要求的陈述以作为 的一部分开发者应当提供安全要求的基本原理证据的内容和形式元素安全功能要求的陈述应当标识从
46、 第 部分功能要求组件中引用的 安全功能要求安全保证要求的陈述应当标识从本标准保证要求组件中引用的 安全保证要求安全保证要求的陈述应当包括一个在本标准中定义的评估保证级证据应当证明 安全保证要求的陈述是适当的如果适当的话 应当标识 环境的所有安全要求在 中应当标识所有 安全要求的已完成的操作在 中应当标识所有 安全要求的未完成的操作必须满足 中 安全要求之间的依赖关系证据应当证明为何一个未满足的依赖关系却是适当的应当包含一个关于 安全功能要求的最小功能强度级的陈述可适当选取基本级功能强度中级功能强度或高级功能强度中的一个如果一个明确的功能强度是适当的 应当标识任何特定的 安全功能要求和特定的量
47、度安全要求基本原理应当论证 的最小功能强度和任何明确的功能强度声明都是同 的安全目的一致的安全要求基本原理应当论证 安全要求可以满足安全目的安全要求基本原理应当论证 的安全要求集组成了相互支持并内在一致的一个整体评估者行为元素评估者应当确认所提供的信息符合证据的内容和形式的所有要求评估者应当确认 安全要求的陈述是完备的连贯的 是内在一致的明确陈述的 安全要求目的经过仔细考虑如果觉得 第 部分和本标准中没有一个要求组件适用于所有或部分的 安全要求 的作者可以陈述其他没有引用 的要求 应证明使用这种要求是适当的本子类提出这样一个评估要求 它允许评估者决定明确陈述的要求的表达是否清晰且没有歧义子类描
48、述了对从 中引用的要求的评估和对有效且明确陈述的安全要求的评估需要评估明确陈述的 的 安全要求 该要求是在一个 中出现或被引用的 以证明其表述是清楚的而且无歧义的应用注释形式化表示明确陈述的要求 其结构与已有的 组件和元素的结构类似 这意味着选择相似的标识方法 表示方式和详细程度用 要求作为一个模型 意味着这些要求可以被明确地标识 它们是自包含的每一个要求的应用都是切实可行的 且可为该特殊要求产生 遵从声明的有意义的评估结果术语 安全要求指的是 安全要求 有时还包括 环境的安全要求术语 安全要求指的是 安全功能要求或 安全保证要求保护轮廓 明确陈述的 安全要求 评估要求依赖关系保护轮廓 安全要
49、求评估要求开发者行为元素开发者应当提供一份 安全要求的陈述以作为 的一部分开发者应当提供安全要求的基本原理证据的内容和形式元素应当标识所有不引用 的明确陈述的 安全要求应当标识所有不引用 的明确陈述的对 环境的安全要求证据应当证明为何这些安全要求必须被明确陈述明确陈述的 安全要求应当以 的要求组件 子类和类作为表示模型明确陈述的 安全要求应当是可度量的 并且应陈述安全目的的评估要求 这样就可以决定而且系统地论证一个 是否遵从这些要求明确陈述的 安全要求其表达应当清楚而且无歧义安全要求基本原理应当论证保证要求是可行的而且适合于任何明确陈述的安全功能要求评估者行为元素评估者应当确认所提供的信息满足证据的内容和形式的所有要求评估者应当决定所有明确陈述的 安全要求的依赖关系都被标识了类 安全目标评估评估的目的是论证 是完备的 一致的在技术上合理的 因而适合作为相应的 评估的基础图 给出这个类中的子类图 安全目标评估类分解描述目的的描述有助于理解 的安全要求 对 描述的评估需要能够表明它是连贯的 内在一致的并且与 的其他部分是一致的安全目标 描述评估要求依赖关系安全
