【国家标准(GB)】 信息技术 安全技术 信息技术安全性评估准则 第3部分: 安全保证要求

1CS35.040
中华人民共和国国家标准
GB/T18336.3-2008/ISO/IEC15408-3:2005代替GBT18336.3-2001
信息技术
安全技术
信息技术安全性评估准则
第3部分：安全保证要求
Information technology-Security techniques-Evaluation criteria for IT security-Part 3.Security assurance requirements(S0/1EC15408-3:2005.IDT
2008-06-26发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2008-11-01实施
1范围
规范性引用文件
术语、定义和缩略语
4.1本部分的结构
5GB/T18336保证范型
5.1GB/T18336基木原则
保证方法
5.3GB/T18336评估保证尺度
6安全保证要求
6.1结构
组件分类法
保护轮廓和安全月标评估准则类结构本部分中术语的用法
保证分类
保证类和族概况
保护轮廓与安全日标评估准则
保护轮廓准则概述
73安全口标准则概述·
8APE类：保护轮廓评估
TOE描述（APE_DES）
安全环境（APELENV
PP引（APEINT）
安全口的（APE_OBJ）
IT安全要求（APELREQ）
明确陈述的IT安全要求（APE_SRE）ASE类安全目标评估
TOE描述（ASE_DES)
安全环境（ASE_ENV)
ST 引言(ASE_INT)
安全国的（ASE_OBD
PP声明（ASE_PPC)
9.6:IT安全要求（ASE_REQ）
明确陈述的IT安全要求（ASE_SRI9.7
GB/T18336.3—2008/ISO/IEC15408-3:2005次
TTIKAONKAca
GB/T18336.32008/IS0/IEC15408-3.20059.8TOE概要舰范（ASE_TSS）
10评估保证级
10.评估保证级（FAL）概述
10.2评估保证级细节
10.3评估保证级门(FALI)
10.4评估保证级2(EAL.2)-
10.5评保证级3（EAL3）
10.6评估保证级4EAL4)
10.7评估保证级5（EAL5）
10.8评估保证级6（EA1.6）
评估保证级7（FAL7）-
保证类，族和组件
12ACM类：配置管理
功能测试
结构测试
系统地测试和检查·
-系统地设计、测试和复查
一半形式化设计和测试
一半形式化验证的设计和测试
形式化验证的设计和测试
12.1 CM自动化(ACMALT)
12. 2 CM能力(ACMLCAP)
12.3 CM 范围(ACM SCP)
13ADO类：交付和运行
13.1 交付(ADODEL)
13.2安装，生成和启动ADO_1GS)14ADV类：开发
14.1功能规范(ADV_FSP)
高层设计（ADVHID）
实现表示（ADV_IMP）
TSF内部(ADV_INT)
低层设计（ADVLLD)
14.6表示对应性（ADV_RCR）
14.7安全策略模型（ADV_SPM)
15AGD类：指导性文档
15.1（管理员指南（AGD_ADM）
15.2用户指南（AGD_USR）
16AIC类：生命周期支持
16.1开发安全（ALCDVS)
16.2缺陷纠正（ALC_FLR)
16.3生命周期定义（AIC_1CD)
16.4工具和技术(ALC_TAT）
17ATE炎测试
17.1测试覆盖（ATECOV)
17.2测试深度（ATE_DPT)
17.3功能测试（ATE_FUN)免费标准bzxz.net
17.4独立测试(ATEIND)
18AVA类：脆弱性评定
18.1隐蔽信道分析（AVA_CCA)
18.2误用（AVAMSU）
18.3TOE安全功能强度(AVA_SOF）184脆弱性分析（AVA_VLA）..
附录A（资料性附录）保证组件依赖关系的交叉引用附录B（资料性附录）EAI和保证组件的交义引用GB/T18336.3—2008/IS0/IEC15408-3.200591
HiikAoNikAca
GB/T18336.3-2008/IS0/IEC15408-3.2005前
GB/T18336在总标题《信息技术
安全技术
组成：
第1部分：简介和一般模型
一第2部分：安全功能要求
一第3部分：安全保证要求
本部分是GB/T18336的第3部分
信息技术安全性评估准则》下，由以下几个部分本部分等同采用国际标准IS0/1EC15408-3：2005《信息技术安全技术信息技术安全性评估准则第3部分：安全保障要求》，仅有编辑性修改。本部分代替GB/T18336.3--2001《信息技术安全技术信息技术安全性评估准则第3部分：安全保障要求》。
本部分与GB/T18336.3—2001的主要差异如下：1.删除了GB/T18336.3--2001的\ISO/IEC前言”2．增加了*引音\：
减少了“AMA：保证维护”类：
4.对GB/T18336.3-2001附录A中表A，1进行了调整本部分的附录A和附录B是资料性附录。本部分由全国信息安全标准化技术委员会提出和归口。本部分的主要起草单位：中国信息安全测评中心本部分主要起草人：吴世忠、李守鹏、王贵驷、黄元飞、陈晓桦、刘晖、刘春明、李斌、彭勇、付敏、刘楠、徐长醒、简余良、张利。
GB/T18336.3-2008/IS0/1EC15408-3:2005引言
本部分定义的安全保证组件是在一个保护轮廓（卫P）或安全日标（ST）中表述安全保证要求的基础这些要求建立了一种表述评估对象（TOF）保证要求的标准方法。本部分列出了一组保证组件，族和类。本部分还定义了PP和ST的评估准则，提出了定义关于TOE保证等级的预定义GB/T18336尺度的--些评估保证级别.称为“评估保证级”（EAL）。本部分的标读者主要有安全的IT系统和产品的客，开发者，评估者。GB/T18336.1第4章提供了美于（B/T18336目标读者的附加信息，以及月标读者组如何使用GB/I18336的附加信息。这些读者组可以如下方式使用本部分：a）客户，在选取组件来表述保证要求，以满足一个PP或ST提出的安全日的时，使用本部分。GB/T18336.1的5.4条提供了关于安全日的和安全要求之间关系的更多详细信息：h）开发者，在构造TOE时响应实际的或预测的客户安全要求，在解释保证要求陈述和确定TOE的保证方法时参考本部分：
C）评估者，在确定TOE的保证以及评估PP和ST时，使用本部分所定义的保证要求作为评估准则的强制性陈述。
iikAoNniKAca
1范围
GB/T18336.3—2008/IS0/IEC15408-3:2005信息技术安全技术
信息技术安全性评估准则
第3部分：安全保证要求
本部分定义了GB/T18336的保证要求，包括衡量保证尺度的评估保证级（EAL)、组成保证级的单个保证组件以及PP和ST的评估准则。2规范性引用文件
下列文件中的条款通过GB/工18336的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括期误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件.其最新版本适用于本部分。
GB/T18336.1一2008信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型（ISO/1EC15408-1:2005.IDT)GB/T18336.2一2008信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求（ISO/IEC15408-2.2005.IDT)3术语，定义和缩略语
G13/T18336.1中给出的术语，定义和缩略语适用于木部分。4概述
4.1本部分的结构
第5章描述厂在本部分的安全保证要求中使用的范型：第6章描述了保证类、族，纽件和评估保证级的表示结构，以及它们之间的关系，同时还刻画了第12章到第18章可找到的保证美和族的特征。第7章，第8章和第9章先对PP和ST的评估准则作简要的介绍，然后对评估中要用到的族与组件做了详尽的解释。
第10章给出了评估保证级（EAI,)的详尽定义。第11章对保证类作了简要的介绍，在随后第12章到第18章给出了这些类的详尽定义。附录A给出了保证红件之间依赖关系的汇总。附录B给出了评估保证级（EAL)和保证组件之问的交义引用5GB/T18336保证范型
本章旨在阐述支撑GB/T18336保证方法的基本原则。通过对本章的理解将使读者了解隐含在本部分保证要求中的基本原理。
5.1GB/T18336基本原则
GB/T18336的基本原则是安全威协和组织安全策略承诺应清楚明确地表述，以及所提出的安全措施经证实足以达到所期望的安全月的。GB/T18336.3-—2008/ISO/1EC15408-3.2005进一步地说，就是应采取一些措施减少可能存在的脆弱性，降低利用（即有意发掘或者无意触发）一个脆弱性的能力，以及减轻因一个脆弱性被利用而导致的破坏程度。另外，还应采取措施·促进后续的脆弱性标识，以及消除、减轻或通告一个已经被发摄或触发的脆弱性。5.2保证方法
GB/T18336的基本原则是基于对需要被信任的IT产品或系统的评估（主动调查）提供保证。评估是提供保证的传统手段，并且是以往的评估准则文档的基础。为与现行的方法保持一致，GB/T18336采用相同的基本原则。GB/T18336建议由专业的评估人员在不断强调范围，深度和严格性的基础上，衡量文档和已完成的产品或系统的有效性。GB/T18336不排也不评论用其他方法获得保证的有关优点。有关获得安全保证的其他方法还在研究当中，一且成熟的，可选择的方法产生，可以考虑把它们吸收到GB/T18336中因为GB/T18336的结构允诈将来引入更新的内容。5.2.1脆弱性的意义
假定存在威胁者，他们将积极寻求违反安全策略的可来之机，无论是为广非法获利还是出于善意，其行为都是不安全的。威胁者也可能偶然触发了脆弱性，造成对系统的伤害。由于需要处理敏感信息和充分可信产品或系统的可用性缺乏，I工失效将会导致很大的风险。因此·破坏IT安全性可能造成重天的损失。
通过脆弱性的有意利用或无意触发，破坏IT安全性的事件常发生在商用方面的IT应用过程中。应采取一定的措施防止在IT产品和系统中出现脆弱性。在可行的情况下·脆弱性应该被：a）消除一一应采取积极的措施发现并排除或者抑制所有可利用的脆弱性：b）最小化一一应采取积极的措施减少任何脆弱性利用造成的潜在影响，使残留的脆弱性达到一个可接受的程度：
C）监视一一应采取积极的措施确保任何利用残余脆弱性的企图都将被察觉，以便采取措施限制带来的损失
5.2.2脆弱性产生的原因
在下列过程中：由于失效可产生脆鸦性：a）要求一一产品或者系统可具有所有必需的功能和特征，也仍然可能包含脆弱性，致使产品或系统在安全性方面不适当或者不足：b）构造一一IT产品或系统不符合其规范，或者由于不良的构造标准或不正确的设计拱择而引入了脆弱性，
运行一IT产品或者系统已经正确构造，且符合正确的规范，但是在其运行过程中由于缺乏控制而引人了脆弱性。
5.2.3GB/T18336保证
保证是信任一个IT产品或系统符合其安全月的的基础。保证可从诸如未经证实的声明，先前相关经验或者特定经验等有关原始资料中导出。然而，GB/T18336通过主动调查来提供保证。主动调查就是对II产品或者系统进行评估，以确定其安全特性。5.2.4通过评估获得保证
评估是获取保证的传统手段，并且是GB/T18336方法的基础。评估技术包括们不限于以下这些：）分析并检查过程和步骤：
b）检查过程和步骤是否正在被使用：分析TOE各设计表示之间的一致性：c
d）对照要求，分析TOE的设计表示：e）验证证据：
1）分析指导性文档：
HTIKAoNiKAca
g）分析所开发的功能测试和所提供的结果；拍）独立的功能测试：
分析脆弱性（包括缺陷假设）：穿透性测试。
5.3GB/T18336评估保证尺度
GB/T18336.32008/IS0/IEC15408-3:2005GB/工18336的基本原则确信，更好的保证源于更大的评估努力，自标是运用最小的努力来获得必要的保证级。努力程度的增加基于：a）范围一因为包含了IT产品或者系统的更多部分，所以需要更大的努力；b）深度一因为要部署到更细层次上的设计和实现细节，所以需要更大的努力；）严格性一因为要以更结构化，更形式化的方式实施，所以需要更大的努力。6安全保证要求
6.1结构
以下条款描述了用于表示保证类族、组件和EAL的结构以及它们之间关系。图图示说明了本部分所定义的保证要求。注意，保证要求中最抽象的集合称作一个类。每一个类包含多个保证族，每一个族又包含多个保证组件，每一个组件同样又包含多个保证元素。类和族用于提供对保证要求进行分类的分类法，而组件用来规定PP/ST中的保证要求。6.1.1类结构
保证类的结构如图工所示。
6.1.1.1类名
每个保证类被分配了一个唯一的名字。名字表明该保证类所涵盖的主题还提供了保证类名的一个唯一缩写形式，这是引用保证类的主要手段。这里约定，采取“A”后跟两个与类名有关的学母来表示。
6.1.1.2类介绍
每个保证类有一段介绍，描述类的组成，并且包含涉及该类意图的支持性文字。6.1.1.3保证族
每个保证类至少包含一个保证族。保证族的结构将在以下的条款中介绍。6.1.2保证族结构
保证族的结构如图1所示
6.1.2.1族名
每个保证族被分配了一个唯一的名字。该名字提供了与保证族所涵盖主题相关的描述性信息。每个保证族归属于一个保证类，这个保证类也包括具有相同意图的其它保证族。保证族名也有一个唯一的缩写形式，这是引用保证族的主要手段。这里约定，其表示方法是所在类名的缩写，紧跟着一个下划线，然后再加上与族名有关的三个字丹。6.1.2.2自的
保证族的目的条款说明保证族的意图该条款描述了该保证族所要对付的目的，特别是那些与GB/T18336保证范型有关的日的。保证族的这部分描述是一般性描述。目的所需的任何特定细节都包含在详细的保证组件中。6.1.2.3组件分级
每个保证族包含一个或多个保证组件。保证族的这一条款主要描述可供使用的组件并且解释它们之间的差异一日确定该保证族对PP/ST保证要求而言是必需或是有用的，就要区分这些保证组件。这是组件分级的主要目的。
含有超过一个组件的保证族将被分级，并提供组件是如何分级的原理性解释。原理是按照范围，深度或严格性二方面来解释的。
GB/T18336.3-2008/IS0/IEC15408-3:2005本标准保证要求
类介绍
保证族
组件分级
应用注释
保证组祥
组件标识
应用注籍
依赖关系
保证元素
图1保证类/族/组件/元素的层次6.1.2.4应用注释
保证族的应用注释条款，如果有的话，包含该保证族的一些附加信息，这些信息府该是保证族用产（例如PP和ST的作者，IOE的设计者评估者等等）特别感兴趣的。这部分表述是非正式的，常包括关于使用限制的一些警告和特别需要注意的地方61.2.5保证组件
每个保证族至小有一个保证组件。保证组件的结构将在6.1.3条捕述riKAoNiKAca-
6.1.3保证组件结构
保证组件的结构如图2所示。
保证组件
组件标识
就用注释
保证元素
GB/T18336.3--2008/IS0/1EC15408-3.2005目的
依赖关系
图2保证组件结构
这里约定一个保证族内组件之简的关系用黑体灾出表尔要求是新的那此部分，增强或修改了三个分级体系内上一级组件的要求.用黑体突出表示。6.1.3.1组件标识
组件标识条款提供了识别分类，注册和引用一个组件所必要的描述信息。每个保证组件被分配了一个唯一的名字。该名字提供关于该保证组件所涵盖主题的描述性信息。每个保证组件均被放置在与其共享安全目的的保证族之内。也提供了保证组件名字的一个唯一缩写形式，这是引用保证组件的主要手段。这里约定，其形式为族名的缩写，后面加一个点，然后是一个数字，这个数字是根据组件在族内的顺序从1开始编号的。6.1.3.2目的
保证组件的目的条款，如果有的话，包含该特定保证组件的特殊自的。如果保证组件含有这一条款，将提出该组件的特定意图和目的的详尽解释。6.1.3.3应用注释
保证组件的应用注释条款如果有的话，包含一些附加的信息，以便于使用该组件。6.1.3.4依赖关系
当一个组件无法自我满足而依赖于另一个组件的存在时，依赖关系就出现在这些保证组件中。每一个保证组件提供了对其他保证组件的依赖关系的一个完整列表。某些组件可能列出“无依赖关系”，这表明没有确定的依赖关系。被依赖的组件也可能依赖于其他组件。依赖关系列表标识了所依赖的保证组件的最小集合。在依赖关系列表中，等级比该组件低的那些组件也可以用来满足依赖关系。在特殊情况下，所指示的依赖关系可能并不适用。PP/ST作者在提供为什么给定的依赖美系不适用的理由后。可以选择不满足依赖关系。6.1.3.5保证元素
为每一个保证组件提供了一组保证元素。一个保证元素就是一个女全要求，如果进一步细分的话这个安全要求不会产生有意义的评估结果。它是GB/T18336认可的最小的安全要求。每一个保证儿素都被确定为属于以下三组保证儿素中的一组：）开发者行为元素：应由开发者实施的活动。这组行为靠随后的一组元素中所引用的证据材料来进一步限制。开发者行为要求用元素号后附加一个字母“D\来标识。b）证据的内容和形式元素：所需证据，证据应证实什么和证据应表达哪些信息，以及认为合适时.TOE或该保证必须拥有的特殊特征。证据的内容和形式要求用元素号后附加字母“C”来表示。
GB/T18336.3—2008/IS0/IEC15408-3:2005C）评估者行为元素：应由评估者实施的活动。这组行为明确包含确认在“证据的内容和形式”元素中规定的要求是否都已满足，也包含开发者除已完成的动作之外还须实施的显式行为和分析。隐式评估者行为作为开发者行为素的结果，虽然没有被“证据的内容和形式”元素涵盖。也应当被实施。评估者行为要求用元素号后附加宇母“E”来表示。“开发者行为”和“证据的内容和形式”这两组元素定义了一些保证要求，在证实TOE安全功能巾的保证时，用于表示一个开发者职责。通过满足这些要求，开发者能够增加TOE满足一个PP或ST的功能和保证要求的信心。
“评估者行为”从评估的两个方面定义评估者的职责。一个方面是PP/ST的确认，依据第8章APE\保护轮廓评估”类和第9章ASE“安全日标评估”类：另一方面是验证TOE与其功能和保证要求的一致性。通过证实PP/ST是有效的并TOE满起这些要求，评估者可以提供一个确信IOE满足其安全目的的基础。
开发者行为元素，证据的内容和形式元素以及显式的评估者行为元索，确定了在验证TOE的ST所作安全声明时评估者应耗费的精力。6.1.4保证元素
每一个元素代表一个需要满足的要求。要求的陈述应当清晰，简洁且无歧义。因此，不能出现复杂句式，即每一可分离的要求将作为单独的元素来说明。元素在编写上，对于所使用的术语采用常见辞典上的意思，而不采用那些预先规定的术语作简略表述，因为那将导致要求不明确。因此，元素都表述为明确的要求，没有保留说法。6.1.5EAL结构
在本部分中定义的评估保证级（EAI）和相应的结构如图3所示。注意，图中显尔出保证组件的内容，意图是通过用GB/T18336中定义的实际组件把这些信息包含到一个EAL中。本标准保证级
评估保证级
EAL名称
应用注释
保证组件
组件标识
应用注释
依赖关系
保证元素
图3EAL.结构
TiiKAoNiKAca-
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。