【GB国家标准】 信息技术 安全技术 信息技术安全评估准则 第1部分：简介和一般模型

ICS 35.040
L 80
中华人民共和国国家标准
GB/T 18336.1—2015/IS0/IEC 15408-1:2009代替GB/T13335.12008
信息技术
安全技术
信息技术安全评估准则
第1部分：简介和一般模型
Information technology-Secarity technigues-Evaluation criteria for IT security-Part 1: Introduction and general mocei(ISO/IEC 15408-1:2009,IDT)
2015-05-15发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2016-01-01实施
GB/T 18336.12015/IS0/IEC 15408-1:2009前言
规范性引用文件
术语和定义
缩略语
TOE
目标读者
不同部分
评估背景
-般模型
资产和对策
评估·
7前裁安全要求·
组件间的依赖关系
扩组件·
保护轮廓和包
保护轮廊
使用保护轮廓和包
使用多个保护轮廓
9评估结果·
PP评估结果
9.3ST/TOE评估结果
9.4符合性声明
9.5使用ST/TOE评估结果
附录A（资料性附录）安全日标规范保护轮廊规范
附录B（资料性附录）
附录C(资料性附录）
操作指南
附录 D（资料性附录）
PP符合性
参考文献
GE,T 1833:.1--2015/1SO/JEC 15408-1:2009前言
GB/T18336《信息技术安全技术信息技术安全评估准则分为以下3个部分：-第1部分：简介和一般模型；
-第2部分：安全功能组件；
一- 第3部分;全保障组件。
本部分为GB/T18336的第【部分。本部分按照GB/T1.1—2009给出的规则起草。本部分代替CB/T18335.！2008信息技术安会技术信息术安全评信准则第1部分：简介和一殿模型》。
本部分与GB/T18336.1--2008的主要差异如下：…--增加了“2规范性引用文件”2与开发（ADV)类夫的术满和定义”、“3.3与措等些文档\3术和定义”中增如了“3.2
（AGD)类相关的术讲和定义”“3.4与坐命局期克持（A!C)类扫关约术语剂定义”“3.3脆弱性评定（AVA)类相关的术语和定义”“.6与汇全（CO类相关的语和定文”“5概述\中增加「*5.2TOE”：一--将GB/T183S6适月的\IT产品和系统”改为\IT产品”：“5.1安全相关要素”“5.2保证方法“谢整为本部台*3.资产利对常”、6.3评活”—删涂了GB/T18336.1—2008的5.3安全念\-一“5,4.1安金获求的表达\调整为本部分的“7剪裁安全系求\；——删除了GBT18336.1—20C8的\5.1.2评性型\增加！“8保整和包”；
“6GB/T 18336要求和评估结采”调整为本部分的\。当结案”；一“录A保护轮潮规范”调整为本部分的“录三保一轻至就产”并增丁“E.11摄保幕
的保护轮率”、“E.!2在PP中引用其他标照”；“附录B安全巨标规范”调整为本部分的“附录A宝全言标款范”并增了“3位司ST”“A.11ST #解等的间题”“A.12低保障安会后标”、“1.13相ST中号i周其他标”，
部分使用翻泽法等同采用国际标准IS0/1E15108·1，0信息技术安全花术信息技术安全评估准则第1部分：简介和一般模型》。与本部分中规范性引用的国际文件有一致性对应关系的我图文性如下：GB/T18336.2—2015信息技术安全技术信息技术安全评估准则第2部分：安全功能组件(ISO/IEC15408-2:2008.IDT)GB/T18336.3--2015倍息技术安全技术信息检术要全评估准则第3部分：安全保障组件（ISO/IEC15408-3:2008，IDT）GB/T30270信息技术安全技术信息提术安会性作方法（GB/T30270—2013，ISO/1EC 18045:2005.IDT)
本部分由全国信息安全标准化技术委员会（SA/TC260)凝出并归口。本部分起草单位：中国信息安全测评中心信息产业信息安全测评中心公安部第三研究所。本部分主要起草人：张融斌、郭额、石兹松、毕海英、张宝峰、音会萍、王峰、杨永生、李国俊.董品品、1
GB/T18336.1—2015/IS0/IEC15408-1:2009谢蒂、干鸿娴、张怡、顾健、邱梓华、宋好好、陈妍、杨元原、贾炜、王宇航、王亚楠。本部分所代替标准的历欲版本发布情况：GB/T18336.1—2001
-GB/T18336.1—2008
GB/T 18336.1—2015/IS0/IEC 15408-1:2009引
ISO/IEC15408可让各个独立的安全评估结果之间具备可比性，为此，ISO/IEC15408针对安全评估中的信息技术（IT）产品的安全功能及其保障措施提供了一套通用要求。这些IT产品的实现形式可以是硬件、固件或软件，
评低过程可为IT产品的安全功能及其保障措施满足这些要求的情况建立一个信任级别。评估缩果可以帮助消费者确定该IT产品是否满足其安全要求。ISO/IEC15408可为具有安全功能的IT产品的开发、评估以及采购过程提供指导，ISO/IEC15108有很天的灵活性，以便可对范国广泛的IT产品的众多安全属性采用一系列的评估法，因此，用片需薄慎运用ISO/IEC15408，以避免误用此类灵活性。例如，若使片1SO/IEC15408时采取了不合适的评估方法、选择了不相关的安全渴性或针对的IT产品不拾当，都将导致无意义的评翡蔡巢
阅比，I工产品经过评估的事实只有在提及选了哪些安全属性，以及采用了何种评估方法的情况下才有意义，评信授权机构需要细地审查产品、安全属性及评估方法以确定对其评估是否可产尘有意义的结论。另外，评低产品的购买方也需要存地考虑评估这种情况，以确定该产品是否有用，且能否满足芸特定的环境和需要，
IS0/I三C15438致力于保护资产免遭未授权的泄漏，修改或丧失可用性。此类保护与三种安全失效情沉对应.通常分别称为机密性、完整唑和可用性。比外，IS0/IEC15403也造用于I安全的其他方。ISC/IEC154C3可用于考虑人为的（无论恶意与否）以及非人为的因素号致的风险，另外，S9/IE1543还可用于IT技术的其他领域·低对安全领感外的适用性不作字期，对某些问题.困沙及专业技术或对IT安全而言轮为次要，因此不在IS0/1E15.108范国之内，例如：
1）I5/1EC15108不包括挪些与IT安全措施设有接关联的属于行政性誉班安全措施的安全评创准则。但是，应该认识到TOE安全的末些重要组成部分可通过诸如组织的、人员的、物玛的、程序的控制等行政性管现猎施来实现：5）130/1EC15408没有明确涵盖电磁罐射控制等IT安全中技术性物现方面的评估，虽然标准中的许多概念适用于该领域：换句话说，ISO/EC15408只涉及TOE物理保护的案些方面：c）ISO/IEC15408并不涉及评估方法·具体的评估方法在ISO/IEC18045中给出；d）1SO/IEC15408不涉及评估管理机构使用本推则的管理和法律框架，但ISO/IEC15408也可被用丁此椎架下的评估；
e）评估结果用于产品认可的程序不属于ISO/IEC15408的范围。产品的认可是行收性的管理过程·锯此准诈IT产品在其整个运行环境中投人使用。评估侧重于产品的IT安全部分，以及直接影响到IT单元安全使用的那些运行坏境，因此，评估结果是认可过程的重要输人。但是，由于其他技术更适合于评估非IT相关屑性以及其与IT安全部分的关系，认可者应针对这些情况分别制定不同的条款，
I）[S0/IEC15408不包括评价密码算法固有质量相关的标准条款，如果需要对嵌人TOE的密码算法的数学特性进行独立评估，则必须在使用ISO/IEC15408的评征体制巾为相关评估制定专门条款。
1范围
GB/T 18336.1—2C 15/IS0/LEC 15408-1:2C09信息技术安全技术
信息技术安全评估准购
第1部分：简介和般模型　
GB/T18336的本部分建立『IT安全评估的一般概念和原则，详细描述了ISO/IEC15408各部分给出的一殿评估模型，该模型整体」可作为评估IT产品安全属性的基，本部分给出了ISO/IEC15408的总体概述。它描述「IS0/EC15408的各部分内容；定义了在ISO/IEC15048各部分将使用的术语及缩略语；衰立了关于评估对象（TOE）的核心概念：论述了评估背景；并描述了评估准则针对的读者对象。此外，还介绍了IT产品评估所需的基本安全概念。本部分定义了裁剪ISO/IEC:154C8-2和ISO/IEC15408-3描述的功能和保障继件时可用的各种操作。
本部分还详细说明广保扩轮廓（PP）、安全要求包和符会性这些关键概念·并描述了评估产生的结累和评信结论，ISO/IEC154:8的本部分给山！了规范安全目标(ST)的搭导方会并捕述了贯穿整个模型的组件组织方法。关于评估方法的般落息以及评估体制的范国将在IT安全评估方法论中给出。2 规范性引用文件
下列文件对于本文件的应用是必不可少的。是注巨期的引用文件，仅完同期的版本活适用于本文件，凡是不注三期的引用文片,其最新版本(包插所有的改单)用于本文件。IS0IEC15408-2信息技术安全校术信息技术安全评估准照第2部分：安全功能组件（In-forration techrology--Security fechrigucs—Evaluation criteria lor IT secuzity -Part 2. Security func-tional coroorcrts)
IS0/IEC15108-3信息术安全技术信息投术安全评佑准则第3部分：安全保障组件（In-formaion technology---Sceurity techniques-Evaluation criteria for IT sccuzityPart 3:Security as-sirance cutiponents)
ISO/IEC18045信息技术安全技术信息技术安全性评估方法（Informationtechrology一Security techniqics-Methodology Ior IT security cvaluation)3术语和定义
下列术语和义适用于本文件。
注：本章只收录在IS()/IECI5408中有特殊用法的术语。在IS()/IEC15108中蚀用的但本章没有收录的-些由逝用术语组合成的复合闻，将在使用它们的地方进行解释。3.1常用术语和定义
3.1.1
敬对行为adverseactions
由威胁主体对资产执行的行为，1
GB/T18336.1—2015/ISO/IEC15408-1:20093.1.2
资产assets
评估对象(TOE)所有者赋予了价值的实体。3.1.3
赋值 assignument
对组件或要求中指定的参数进行具体说明。3.1.4
assurance
TOE满足安全功能要求（SFR)的信任基础。3.1.5
攻击潜力atack potential
对攻击TOE所需耗费努力的度量，以攻击者的专业水平，耗费资源和政击动机来表示。3.1.6
增强augmentation
向包中增加一个或多个要求。
3.1.7
鉴别数据 authentication data用于验证用户所声称身份的信息。3.1.8
授权用户authorized user
根据安全功能要求河以执行某项操作的TOE用户。3.1.9
类elass
其有共同目的族的集合。
3.1.10
连贯的
coherent
有逻辑顺序、且含义清晰。
注：对于文档，本术语是指目标读者是否易于理解文档的文字内睿和文档结构。3.1.11
完备的
complete
一个实体的所有必要部分均已被提供的性质。注：对文档而言，指所有相关信息都已包含在该文档中，且足够详细，不盂要在该抽象层欲上再做进一步解释。3.1.12
component
体现安全要求的最小可选元素的集合。3.1.13
组合保障包composed assurancepackage从ISO/IEC15408-3抽取的要求所组成的保障包（由ACO\组合”类控制），代表ISO/IEC15408预先定义的某一组合保障尺度上的一个点。3.1.14
确认confirm
声明通过独立地确定充分性，已对某事项进行了详细的审核。注：所需要的严格程度依赖于事项的本质特征。这个术语仅用于评估者行为。2
3.1.15
连通性
cmnetivis
TOE与其之外的实依逃行交互的TOE属性GB/T 18336.1-2015/IS0/IEC 15408-1-29C9注：这包括在任何环境或配置一，以任意距离，迎过有线或无线方式行的数据交换。3.1.16
一致的
consisient
两个或者更多实体之间的关差不夺在明显的矛后。3.1.17
对抗（动词）cuater(ar)
应对攻击以缓解特定惑协延戏的影响,但末必消臻，3.1.18
可论证的符合性dencxstratie cnnarmance某个ST和PP之阅的关示，芸中该ST提供厂一种解决该F?占一般安全问题的解决方案。注：PP和ST套讨论不同单法款及促量不同的猴念等情况时，可以采用完全不同的论述方式。可论证范符合性也适用于描述一转三三些多中心 FF的 TOE类型,医此无并 T作者审明同时豹合这些 PP,从而当察工作量。
3.1.te
证实dexuistrut
得出一个店分忘得前结诊·它不点“证明那差严格。3.1.29
依赖关系deperdency
组件之间约一存元示民共蓝于年赖组件的要求包合在I，ST包中，那么一个基于两依额组件的要求一般生应色合车法实三守3.1.21
猫运deserihe
提供一个实体的具然细
3.1.22
determtna
通过独立分析来背定一～持定的结范·液分以达成一个接定的结论为目的。注，本术语通常用于获学前新施肯说，意来普需要开展真正立的析。这与术语“确认”最验正“不可，店意咪着前期已进行！分，军莫对这些分祈避行作查。3.1.23
develnnnittrontrt
并发环境
开发 TOE的境。
3.1.24
元素element
…个安全需求的不可再分的陈这。3.1.25
确保ensure
保证在行为及其结累之间存在牢固的因栗关察。注：当这个术语之前元以“帮前”一询时明仅仅基于该行为仍无法完全确范结果，3.1.26
evaluation
依据定义的准则对FP、ST或TOE进行的评价。GB/T 18336.1—20 15/IS0/IEC 15408-1;20093.1.27
评估保障级evaluation assurancelevel从ISO/IEC15408-3中提取的一个保障要求的集合，它构成了一个保障包，代表了ISO/IEC15408预定义的保障尺度中的一个点
3.1.28
evaluation aothority
评估授权机构
为特定群体中的团体再展评估工作进行标准制定和质量监督的组织，该组织依据评估体制来实施ISO/IEC 15408.
3.1.29
评估体制 evaluation scheme
一种行政管理和监督暨理框架，在此框架下评估授权机构在特定群体中应用ISO/IEC15408。3.1.30
彻底的 exhaustive
一个条理消楚的方法所具有的特征，该方法按照明确的计划来执行分析或开展活动。注在 ISO/IEC 15408 中,该术语在该及执行分析和其他活动时使用。 它与“系统性的\有关,但更强,不仅表明根据明确的计划采取系统性的方法执行分析或活动,而且所遵循的计足以保证所有可能的途径都祭过了实戏。3.1.31
解释：explain
对采取一系列行为的原因给出论据。注：这个术语不同于“描述\和“证实”。它的意图是回答“为什么？”，并未尝试辩论所采取行为一定是最优的。3.1.32
extension
把不包括在 ISO/IEC 15408-2中的功能要求或 ISO/IEC 15408-3中的保障要求增加到 ST或PP.
3.1.33
外部实体external entity
在 TOE边界之外可能与 TOE交互的人或 IT 实体。注：外部实体也可以被称为用户。3.1.34
族family
具有相似目标，但在侧重点或严格程度上不同的组件的集合。3.1.35
形式化 formal
以一种受限语法的语言表达，该语言建立公认的数学概念上，具有确定的语义，3.1.36
指导性文档guidance docamentation描述交付、备、运行,管理和/或使用 TOE的文档。3.1.37
身份 identity
在TOE中唯一标识实体的表示(比如一个用户，进程或磁盘）。注：这种表示的例子如：一个字符串。对于人炎用户,这种表示可以是全名,缔写名或(仍唯一的)假名。3.1.38
非形式化informal
采用自然语言表达。
3.1.39
inter ISF iransfers
TSF间传送
GB/T 18336.1--2015/1S0/1EC 15408-1:2009在 TOE和其他可信IT产品的安全功能之间交嵌数据，3.1.40
内部通信信道internalcommunicalionchanneTOE各分离部分间的通信信道。
3.1.41
TOE 内部传送 internal TOE transfer在TOE备分离部分之间交换数据：3.1.42
内在一致的inieraially consistent一个实体的各个方面之间不存在明显的矛肩，注：对于文树来说,是指文档内部没有发生相互矛盾的陈述，3.1.43
反复 iteraticn
债用同一组件表这两个或多个要求。3.1.4-
论证jstiation
分析以得出一个经论，
法：“论证”比“证实”恶陷。从需要非带存班、全丽筝降些举论证的每一步来说，这个求是要款于分严轻，3.1.45
客证coi
T心E广破部能实象包会或接收信息并志主体态多的行操作，3.1.4
操作组）rerator(on a cumpaneai)个件药整放或重复。
注：对组法详的模军有试值、及复、细化南选泽，3.1.47
操军(客orzration(on an onject)主体对客体执行的持定类型的行为。3.1.48
aperitional environment
运行环境
运行TOE药环竞，
3.1.49
organizational security policies组织安全策略
一个组织的安全规测、规程或指南的集合。注：一个策略可能与一个具体的运行环境相关。3.1.50
包 package
安全功能要求或安全保障要求的一个命名集合。注：例如FAL足-个包。
3.1.51
保护轮廓
Froteclion profile;PP
针对一类TO的、与实现无关的安全需求陈遂，5
GB/T 18336.12015/1S0/IEC 15408-1.20093.1.52
保护轮廓评估
protectionprofileevaluation
依据已定义的推则,对一个PP进行的评价。3.1.53
证明prove
通过数学意义上的形式化分析来说明对应关系。注：本术语在各个方面都是非常严格的。通常情况下，当期望以一种高度严格的方式说明两个TOE安全功能(TSF)表示之间的对应关系时,才使用“证明”这一术诺。3.1.54
细化refinement
为组件添加细节。wwW.bzxz.Net
3.1.55
角色role
为了规定在一个用户和该TOE之间所允许的交互行为而预定义的规则集。3.1.56
秘密secret
为了执行一个特定的安全功能策略(SFP),必须仪由授权用户和/或TSF才可知晓的信息。3.1.57
安全状态 secure state
一种状态,在该状态下,TSF数据一致，且 TSF能继续正确执行 SFR。3.1.58
安全属性
security attribute
主体、用户（包括外部IT产品）、客体、信息、会话和/或资源的特征，它用于定义SFR，且其值在执行SFR时使用。
3.1.59
安全功能策略Security function policy;SFP述由TSF执行的特定安全行为的规则集，可表示为SFR的集合。3.1.60
secarity objective
安全目的
意在对抗特定的威胁、和/或满足特定的组织安全策略和/或假设的一种陈述。3.1.61
安全问题 security prohlem
以一种正式的方式，定义TOE要处理的安全基本特征和范围的陈述。注：该陈述由以下部分组成：
·要由TOE对抗的威胁；
，要由TUOE实施的组织安全策略（OSP)：支撑TOE及其运行环境的设。
3.1.62
安全要求security requirement用标准化的语言陈述的要求，旨在达到TOE的安全目的。3.1.63
安全目标security target;ST
针对一个特定的已标识TOE，且与实现相关的安全需求陈述。6
3.1.64
选择selection
从组件内列表中指定一项或多项，3.1.65
半形式化
：semiformal
采用具有确定语义并有严格语法的谱言表达。3.1.66
详细说明specify
以严格精确的方式给出实体的特定细节。3.1.67
严格符合性strict conformanctGB/T18336.1—2915/1S0/1EC15408-1:2009一个PP和一个 ST之闭的一种层次关系，其中该PP中的所有要求世存在于该ST中。注：这种关系可以粗略地定义为\ST应包含PP宁所有的陈述，但也可以包含更多的内容”。严格符合性预期川于插述那些需要以单一方式遵守的严格要求。3.1.68
ST评信STevaluation
依据已定义的准则,对一个ST进行的评价。3.1.69
三subiect
TOE中对客体执行操作的主动实法。3.1.70
评信对象argetofevaluation；ToE教所件和/或硬件的巢合，可能验带后离。3.1.71
蒙肱主体 threat agent
可以对资产施加不利行为的实体。3.1.72
TOEevaluation
TUE评估
依据已定义的准则,对一个 TOE进行的评价。3.1.73
TOE resourcc
TOE资源
TOE中任何可用或可消耗的事物，3.1.74
TOE安全功能TOE securityfunctionality正确执行SFR所依赖的TOE的所有硬件、软件和固作的组合功能。3.1.75
追溯trace
在两个实体之间，执行一种最低严格程度的非形式化对应分析。3.1.76
transfers wutside of the'oE
TOE的外部传送
由TSF促成的、与不受TSF控制的实体的数抵通信。3.1.77
translation
用标准化语言播述安全要求的过程。t-
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。