【国家标准(GB)】 信息安全技术 保护轮廓和安全目标的产生指南

ICS 35.040
中华人民共和国国家标准化指导性技术文件GB/Z20283—2006
信息安全技术
保护轮廓和安全目标的产生指南Information security technologyGuide for the production of Protection Profiles and Security Targets(ISO/IECTR15446:2004,InformationtechnologySecurity techniques-Guide for the productionof Protection Profiles and Security Targets,NEQ)2006-05-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
070117000088
规范性引用文件
术语和定义
PP和 ST 概述
4.2PP和 ST 内容
4. 3PP 与 ST 的关系
4.4PP或ST的日标读者
4. 5 PP 和 ST 的开发过程
4.6 PP族-..
5 PP 和 ST 的描述部分
5.1简介
5.2PP和 ST的捕述部分...
6TOE安全环境
6.1简介免费标准bzxz.net
识别和确定假设
6.3认别和确定威胁
6.4识别和确定组织安全策略
安全的
简介…
7. 2 确定 TOF安全目的
7.3确定坏境安全的…
8安全要求
确定 PP 或 ST 中的安全功能要求确定 PP 或 ST 中的保证要求
环境安全要求·
9‘TOE概要规范
确定 IT 安全功能
确定安全机制
确定保证措施+
10PP声明，
FP引用·
PP裁剪
YY KAONr KAca-
GB/Z 20283--2006
GB/Z20283—2006
PP附件·
11PP 和 $T 基本原理·.
11.1简介
11.2PP利ST中的安全国的基本源理·11, 3PP和 ST 中的安全要求的基本原理I2复合及部件TOF的PP与ST
12.1简介
复台TOE
12.3部件TOE
13功能和保证包
13.1背景
13.2确定功能包
13.3确定保证包
附录A(资料性附录）指南核查表简介
PP 和 ST 简介
A, 3TOE 描述
A.1定义TOE安全环境….
A.5定义安全日的
A.6 确定 IT 安全要求
A.7产生 TOE概要规范
A.8构建 PP基本原理..
A.9构建ST基木原理
附录 B(资料性附录)
PP 与 ST 简介
TOE描述
安全环境
安全口的
IT安全要求
TOE概要规范
PP声明
PP塘木原理
ST基本原埋
附录 C(资料性附录)
安全环境
C.3安全日的
IT 安全要求
PP基本原理
参考文献
防火墙 PP 与 ST 示例
数据库PP示例
-YYKAoNnrKAca
GB/Z20283—2006
安全技术保护轮廊和安全标产生本指导性技术文件与ISO/TFCTR15446：2004信息技术指南》的一致性程度为非等效。差异包括：
根据GB/T 1.1的要求对第1章至第3章的内穿重新作了编排；as
规范性引用文件中将IS0/IEC15408：1999改为GB/T18336--2001.并对指导性技术文件4h)
引用的GB/T18336一2001的章条编号进行一致性处理；删除了1SO/IFCTR15446:2004中的第5章,以及资料性附录B(一般事例)、附录（密码功能说明)和附录F（可信第三方保护轮廓示例），本指导性技术文件的附录A、附录、附录C是资料性附录。本指导性技术文件由牟国信息安全标准化技术委员会提出并归口。本指导性技术文件起草单位：中国信息安全产品测评认证中心。本指导性技术文件主要起草人：李守鹏、徐长醒、李红阳、刘威鹏，刘晖、付敏、简余良、周。GB/20283—2006
GB/T18336一2001《信息技术安全技术信息技术安全性评估准则》基于风险管理的思想，使用保护轮廊（ProtectionProfile，PP）和安全目标（SecurityTarget.ST）构成灵活科学的安全测评架，已成为表述安全的事实上的国际语言：本指导性技术文性的月的是帮助开发者、使用者、测评者等更规范更详细地表述安全月标和安全要求。2001的助性指南文件，为保护轮廊或安全日标各部分内容本指导性技术文件是GB/T18336
的描述及其相互关系提供了技术指南。本指导性技术文件的使用者应该熟悉GB/T18336一2001本指导性技术文作不解决诺如PP注册以及PP中涉及知识产权保护的问题（如：专利）。1范围
信息安全技术
保护轮廓和安全自标的产生指南-YYKAONTKAca
GB/Z20283-—2006
本指导性技术文件描述保护轮廓（PP）和安全目标（ST）巾的内容及其各部分内容之间的相互美系，并在附录中给出了若十实例，供感兴趣的读者参考。本指导性技术文件给出PP和ST文挡内容的概述、示例口录清单和月标用户最关心的其他内容，并陈述了PP与ST之间的关系，以及PP和ST的开发编写过程，为使用者编写PP和ST提供指导。2规范性引用文件
下列文件中的有关条激延过不指导性技术文件的引用而成为本指导性技术文件的条款。凡注明口期的引用文件，其随后所有配修改单（不包括勘误的内容）或修订版均不适用于本指导性技术文件，然而，鼓励根据本指导性技术文件达成协议的各方研究是否河使用这些义件最新版本。凡是不注H期的引用文件，其最新版本适用
GB/T 527I.8
GB/T 18336.1
模型(idtISO/IEC
GB/T 18336.2
于本指导性技术文件。
信息技术
信息技术
1：1999)
信息技术
求(idtISO/IEC15408-21999)
第8部分：安全（idtISO/IEC2382-8：1998）安全技术信息技术安全性评估准则安全技术信息技术安全性评估准则GB/T 18336. 32001
信息技术安全技术
要求（idtIS0/IEC15408-3:1999)3术语和定义
GB/T 5271.8
信息技术安全性评估准则
第1部分：简介和一般
第2部分：安全功能要
第3部分：安全保证
2001GB/T18336.1——2001.GB/T18336.2—2001和GBT18336.3—2001确V的术语、定义和缩略语适用本指导性技术文件。4PP和ST概述
4.1简介
本章提供PP和ST的概述，总统它们的内容，并讨论两者之间的关系，以及文档开发的流程。参见GB/T 18336. 1-2001 的附录 B和附录 C4.2PP和ST内容
GB/T18336.12001的图B.1中描述了PP中所要求的内容条日。表1是PP推荐结构的示例月录清单：GB/T18336.1一2001的图C.1中描述了ST所要求的内容条日。表2是ST推存结构的小例日录清单，
PP和ST的读名应该很睿易地找到所需要的内容在PP或ST中的位置。引言部分标识PP或ST和评估对象（TOE)（包括它的版本号），并概要描述PP或STPP概述可以被PP文档的编目和注用引见。ST概述可以在公布的已评估的产品列表中被弓用。：这部分更详尽的讨论参见第5章，
TOE描述提供TOE（或TOE奖型）的般信息，并帮助理解TOE的安全要求和预期的使用方法。1
GB/Z20283—2006
ST的TOE描述应该包括 TOE评估中所用的配置信息：这部分更详尽的讨论参见第 5章，TOE安全环境定义TOE所处的环境，尤其是定义TOE预期的安全需求。安全环境详细描述用于定义安全需求的所有假设，预期使用的范围、要保护资产所面临的已知威胁（威胁与资产起描述)以及TO)F必须遵循的组织安全策略。这部分更详尽的讨论参见第6章，表 1 保护轮廓示例目录清单
1.1标识
1.2概述
TOE描述
TOE安全环境
3.1假设
3.2威胁
3, 2 纠织安全策略
安企月的
4.1、T()E安全月的
4.2环境安全目的
IT安全要求
5. 1 T()E 安全功能要求
5.2TO)F安全保证要求
5.3信息技术(IT)环境安全要求
PP 应用注释
基本原理
7.1安全日的基本原理
7.2安全要求基本原理
表 2 安全目标示例目录清单
ST引言
1.3与GB/T:8336—2001的致性
T()F概要规范
6.1T()E安全功能
6.2保证措施
PPA朗
7.2PP找剪
7.3FP附加项
基本原理
8. 8TOE概要坝范基本原理
8.1P明基本原通
FP 应用注释不包括在安个日标中安全口的提供与安全需求对应的一致性声明,既有山 T(OF满足的安全目的,也有出 TOF环境中IT的或非IT的措施满足的安全且的，这部分更详尽的讨论参见本指导性技术文件第7章。[F安全要求定义了对 TOE的安全功能要求、保证:要求和IT 环境中对TOE的所有软硬件或固件的要求,IT安全要求使用GB/T18336.22001和（1/ 18336,3一2001中的功能组件和保证组件来描述。这部分更详尽的讨论参见第8章。2
-rYYKAONTKAca
GB/Z20283—2006
PP应用注释是PP中一个可选部分，它提供PP作者认为有用的附加的信息。值得注意的是，应用注释可能分布在PP的相关章5，而不是以单独的章节的形式出现，这部分更详尽的讨论参见第5章。TOE概要规范是ST的一部分·包括用TOE提供的用于满定特定安全功能要求的IT安全功能，以及所有声明满足特定安全保证要求的保证措施。这部分更详尽的讨论参见第9章，PP声明是ST的可选部分，用丁明ST遵循和满足的所有PP，以及对PP内容的补充或裁减。这部分更详尽的讨论参见第10章，基本原理部分论证PP或ST规范的要求是完整且内聚的，并且满足ST的TOE能有效地满足安全需求，另外，IT安全功能措施和保证措施能有效地满足TC)F安全要求。值得注意的是，基本原理可能分布在PP或ST的相关章节，而不以单独章节的形式出现，这部分更详尽的讨论参见第II章，注意：基本原理也能够作为—-个单独的义档·参见GB/I18336.1—2001的3.2.8。4. 3 PP 与 ST的关系
比较表1和表2的示例月录清单，可以明显看出IP与ST之间有狠多共同之处，特别是在TOE安全环境、安全目的和IT安全要求，以及基不原理中的相关部分。事实上，如果ST简单地声明与某一个PP和一致，而没有多余的功能和保证要求，那么ST中这些部分的内容可能与PP中的对应内容完全一样。在这种情况下，建议ST简单地引用PP内容，只对与PP不同的部分提供详细描述。ST中应该对下列PP中没有提到的各部分给出详细描述,以反映ST的特点，即说明TOE如何对确定的安全需求提供解决方案：a）TOE概要规范，包括IT安全功能、安全措施或技术以及保证强度；b）PP声明，论证与所引用PP的一致性:；c）ST基本原埋，阐明IT安全功能和保证强度足以满足IT安全要求。4.4PP或ST的目标读者
编写PP或ST过程中，最具挑战的是如何表达，以使目标读者各得其所a）用F！…一用（如高层设诈者)需要了解遵循PP的TOF以安全方式提供哪些相关功能,对于戏功的 PP,用户应该是该[P的最大读者群；1）开发者一-开发者（包拓ST的实现者）需要获得无歧义的安个需求定义，以便去构建符合PP的TOF：
c）TOF使用者-·T()E使用各（包括安装者管理员及维护者）需要获得相关的TCE安全环境的信息；
d）评估者一—PP或ST评估者需要获得相关的证实PP或ST技术稳定性和有效性的信息PI或S的有同部分针对不同的读者，各部分要分别撰写PP或ST引言、TOE描述和TOE环境等部分主要针对用户，安全月的也主要针对用。但是，TOE开发者也应该认真了解TE安全环境和TOF.安全H的的内容。PP中的IT安全要求部分主要针对TOE开发者，ST中的TOE概要规范部分也主要针对TOE的实现者。如果这些部分不是自包含的，那么就应当对相关的内容给山全面而谁确的解释。例如，如果TOE概要规范的含义依赖于T()E安全技术费求.那么就应该明确说明它们的对应关系。-般PP并不自接告诉 T(OI使用者有关 TUE的倍息·但会以适当形式提供基本信息,并用交付和运行保证类（ADO类）的组件传递这样的信息，使用信息可能出现在PP的不同的地方，如：假设、环境目的或对环境要求的部分。
评估者需要熟悉PP或 ST的所有部分。尽管 PP或 ST的所有用\对于基本原理都有※趣,低该部分主要针对评估者，是通常的评估信息。4.5PP和 ST的开发过程
在GB/T18336.12001附录B和附录（:以及G3/118336.3-200|的第3章到第5章中，关于PP和ST要求的陈述，就是建议PP与ST的开发应该按逻辑顺序以“自上而下\的方式进行.例如，PT3
GB/7.20283—2006
的开发顺序可以是：
a）定义安全需求；
b）确认与安全需求对应的安全日的；）定义满是TOE安全月的的IT安全要求。不排除可能需要重复表述的情形。例如，定义安全要求时可能会突出衣示所要满足的安全口的或安全需求：在验证威胁、安全口的与安全要求和功能之问关系时可能有一定的重复：在描述PP或ST基本原理时，可能出现更多的重复。在基本原理中所有已知的、不合逻辑的、不一致的利不对应的问题都被消除后，才能假定PP与ST是完备的。
在多轮次的PP与ST的开发过程中，可能出现新的安全需求之外的信总，这就要求以文档形式记录所有改变，从而反映外部环境的变化情况，例如：a）识别出新的威胁
b）改变组织安个策略：
由于时间和资金的限制，希望由TOE担负或由TOE环境担负的责任划分发生变化：d）对于预期攻击潜力的改变将影响TOE的安全环境，如果TOE是己
发好的产品，PP或ST作者可能已经有安全功能要求的明确思考，知道TOE将要满足什么要求，那么女全需求和安全目的定义将不可避免地受到TOF己提供的安全解决方案的影响，此时PP与ST
开爱过程可能例外地以“自下而上”的方式进行。P
顾名思义，P族是组紧密相的PP，它通常面向于同类的产品和系统（例如，操作系统、防火墙等）.因此，开发单个PP能够作为开发PP族的部分。PP族可能面向于：针对同类型TOE的一系列有层次关系的PP。这单的层次美系是指，如果PP族中的PP包a
个PP的所有安全要求，那么这两个PP被认为有层次美系！括族中妥
组用于+IT系统上的不同组件的PP，例如智能卡PP族包括集成电路卡、芯片操作系统、应用智能卡读卡器等的PP。当一个PP族应用于个特定类型的TOE时，对于该族中不同成员应核有明显的区别。也就是说，当没有特别声明TOF安全环境时，TOF的安全需求应该有明显的区别，从而使得这些PP至少在它们的安全口的方面是个同的.这可以导致选择不同的IT安全要求。例如，两个PP可能具有相同的安全功能要求（SFR)组件但公全保证要求(SAR)组件不同，这可能由于增加了环境安全导致了较低的保证要求，这种区别应该反唤在案全口的中。当个PP族用于IT系统的不同组件时（在特定或假设的环境下）不同PP之间的关系应该被澄清。可以参见第12 章,该章巾将讨论为 IT系统组件定义 PT 的相关问题。5PP和ST的描述部分
5.1简介
本章为PP利ST描述部分的构建提供指南，即：a）PP和ST的引言：
b）PP或ST中的TOE描述：
c）PP应用注释。
5.2PP和ST的描述部分
5.2.1引言
5.2.1.1标识
PP或ST标识部分应该能提供足够的信息，惟地标识出PP或ST，用丁PP注册或公布口评估产4
-YYKAONTKAca
GB/Z20283—2006
品列表等目的，标识内容至少包括具有惟一版本的PP或ST名称，以及用于标识TOE的内容（例如，名称和版本号）。PP或ST标识可能还包括下列信息：a）关键词（例如用来识别或检案在注或品列表中的安全功能和特征）；b）保证组件包_例如，可能是某个评估保证级（EAL）的保证组件包。GB/T18336一2001中未严格规定将EAL放在哪一部分，本指导性技术文件建议将其放引言中，以便于国际互认。
标认部分还需要包括用丁开发PP或ST的GB/T18336一2001的版木信息.以便于版本控制，尽管GB/T18336一2001没有明确要求这样做同样，标识部分还需要包括进PP或ST需要的GB/T183362001新的解释或补充信息，CC一致性声明也因同样的理由可以置于引言中，以便于国际互认，并与GB/T18336.1-200】中的6.4规定相同，
5.2.1.2PP概述
00的要求，概述部分应该概要性描述PP或ST,可单独用于PP编口和注册根据GB/T18336
或发布已评估产品刻表中的ST。该部分应该包括PP或ST所解决的最+要的安全问题，以使口标用户可以判定该PP或ST是否是他感兴趣的。概要部分还应该与PP或ST的技术部分致。5.2.2TOE描述
TOE插述应该包括下列信息（前两种是（GB/T18336-
a）产品或系统类型：
b）TOF的分股功能：
2001要求的，而最后
种是建议性的)：
c）T(E过鼎对于PP是可选的）。除非TOE息得殊的安全产品，否则TOE功能部分仅对安全特征进行描述。如果包括TOF边界和操作环境的描述，那么TOE捕述就公更有用。在PP中，对于TOF边界的可选描述将告诉读者哪些属于TOE，哪些不属于TOE。ST则必须提供对于TOE边界定义，包括物理边界（硬件，软件组件和模块）和逻辑边界（山TOE所提供的IT特性和安全特性）。0
TOE描述对/OE的预期使用者应该易理解，并确保TOE安全功能的描述是清逝的，不致让人误解，例如，不要描述
OE赖期范用之外的安全特征或配置。5.2.3应用注释
应用注释是PP中的可选项，可以自成一节，也可以将特定注释内容分激到PP的和应部分，例如与安全要求一起描述。应用还释用米提供所有与构成、评估和使用TOE有关或有用的支持信息。应用注释的一个典型应用是提供如何在TOE上下文中解释特定安全要求的说明.或建议ST作者如何在ST中完成操作。如果应用注释被整合到整个TT中，建议清楚地标识出应用注释，以使读者能够清楚地知道它是说明性的文本，而不是SFR或SAR的细化。6TOE安全环境
6.1简介
本章指导说明PP或ST中有关TOE的安全环境，GB/T18336—2001对PP或ST中这一部分内容的要求参见GB/T18336.1--2001的B.2.4和C.2.4。在GB/T18336.1~2001中它们的措辞相同，表明PP或ST的TOE安全环境部分的预期内容差别不大。TOE安全环境的口的就足定义TOE颠期被使用的环境范用和特征，以及预期使用时的方式，例如安全需求由TOF来处理。如图！所示。GB/Z 20283—2006
有关环境的假设
对资产的感胁
纽织安全策略
本贪包括以下内容的讨论：
图1安全需求的定义
a）对TOE安全环境的假设，从而定义出“安全需求\的范围：安全需求
b）需要保拟的资产，包括：IT环境或TOE本身典型的信息或资产，以及已知的戚胁主体和对资\的贼胁；
c）在处理安全需求时，必须遵循的所有组织安全策略或规则。PP或ST的后几部分说明TOE如何结合操作环境处理安全要求，因此要确保能够清楚明广地定义安全需求，否则可能导致PP或ST错误地处理安全带求。在定义安全要求方而.PP或ST文本中一般原理部分的价值在于避免出现有关T(E怎样满足安全需求的讨论内容。这样可以帮助读者将注意力集中在安全需求的重要点上，有义安全需求如何被TOE满足的讨论最好留给IT安全要求米陈述。6.2识别和确定假设
GB/T18336一2001要求PP或ST的TOE安全环境部分包括安全环境的假设或TOF的预期用达的清单，为编辑这样的清单，首先需要回答下面的向题：对于TOE安全环境和安全需求池围，应该做出什么假设？例如，可能需要给出几个假设来保证某个对资产的潜在威胁实际上是与T)E环境无关的。几种可能的假设类型有：
a）有关 IE预期用法的假设；
b）T()E任一部分的环境（例如，物埋的)保护假设；连通性假设，例如将防火墙配置在秘网与公网的惟一网络连接点；d）人员方而的假设，例如预期的用户权限类型，他们的一般责任以及假设给予这些用户的信任度等。
邯些对PP与ST内容有具体影响的其他假设也可能被包括在内，例如，导致选择某保训要求的假设。虽然GI3/T18336一2001要求对已正式认定的假设必须表明受到安全月的的支持，尽管如此，在PP或ST的描述性或提示性文字中，仍然可能存在无汰追溯到安全日的的一般假设通常进行一次尝试不太叫能完全识别出所有假设，而应该在PP或ST的整个开发过程巾不断识别出更多的假设，特别是在构造PP或ST基本原理时，例如在阐明安个目的适于对抗已知的威胁时，应该考虑假定是否包含在 PP或 ST 的陈述中。在重复来取上述方法识别假设时，应该仔细考思形成关于有效使用T)E安全功能的\假设”，它们可以作为非11环境的安全要求（参见8.1.2）。它们更适合于作为“人员”的假设来陈述，例如，假设TOF具有一个或多个管理员，他们负责确保T(E安全功能的正确配置和止确使用。为方便引用·建议对每个假设进行惟一地标识和编号。6.3识别和确定威胁
6.3.1概述
GB/T183362001要求PP或ST包括所有对要保护资产的威的描述（参见G13/T18336.16
-rYYKAONTKAca
GB/Z.20283—2006
2001的B.2.4），但G13/18336一2001还指出：如果安全日的仅源于组安全策略，也就是*安全需求”完全由组织的安全策略和假设来定义，那么就可以忽略威胁陈述，例如，在凹应招标或投标邀请的ST中给出的组织安个策略就属丁这种情况。实际建议如下：在PP或ST中安全需求被陈述为“威胁“会比陈述为相成的“组织安全策略”要好，因为这有助于对安全需求的理解。另外，如果只使用组织安全策略陈述安全需求，那么可能出现不能及时更新当前威胁的风险。
风险评估的重要意义在于正确地识别资产以及对于资产的威胁，不应该低估风险分析的重要性，如果风险分析做不好，那么：
+）T()E可能会提供不充分的保扩，那么组织的资产就会在不可接受的风险程度下遭受损失；h）可能过高估计威胁，从而提高「实现本及保证:要求,并限制了潜在解决方案。GB/T18336—-2001没有提供风险分析的柜架和组织规范.识别资产威胁的详细讨论也超出了本指导性技术文件的范围、这也是单位风险分析中最难的部分，为广保持本指导性技术文件内的完整性，下面将陈述有关的般性原理，另参见GB/T18336.1--2001的第5章。有关这一主题的详细指南,读者叫参考 ISO/IEC TR 13335 等标准。6.3.2识别威胁
6. 3.2. 1什么是威胁
在GB/T18336.1一2001的5.1.1中捐述的威胁是指那些不希望发生的事竹，可能出已知的威肋十体引起，而使资产面临风险。注意：对组织安全策略和假设的违背不应该算作风险。要识别风险是什么，应该叫答下列问题：a）需要保护的资产是什么？
b）威胁主体是仆么？
c）需要保护资产免士什么攻击方法或事件造成的损害6.3.2.2识别资产
在G13/T18336.12001中的3.3定义了资产，资产为由TOF策略保护的信息和资源。这样定义是凶为它们对于拥有这些资产的个人或组织来说都具有某种内在价值，同样，对于那些试图损害这些资产的威胁主体来说，资户也具有价值，只是它们与资产所有者的兴趣和希望相反，例如造贼资产机密性。完整性、可靠性,可鉴别性、可审计性或可用性的爽失。FP或ST作者所美心的资产可能是某组织的主要资产的某种表现，例如，资产的价值或组织的人员、用户或名誉等，根据G3/T1833%.1一2001中5.1.1给出的描述，应该使资产的所有者了解谁是保护配置TOE的IT系统内资产的责任人。实际上，主要资产的所有者可能有多人，他们并不是TOE以TOE中所包含信息的所有者，在描述资产时，识别出这些主要所有者对读者是很有帮助的，例如：a）在可信第三方系统中，在不同关键之处会有不同的所有者，即可信第三方系统用户也就足可信第三方系统所有者白已；
）在医疗系统中，…求说1OF信息的所有者不会只有人，而是对此有利益的所有的人，因此，对该信息的使用利控制要有复杂的规则和细致的考患，GB/T 18336. 1一200[中的 5. 1.2指出资产一股以信息形式通过 IT 系统储存,处理和传输，但应该强调资产也可能扩展到在IT环境内的T()E，如由防火墙或入侵检测系统保护的信息和资源的情形。GB/T18336.1--2001中的5.3.1建议已知的资产也可能包括那些不直接受控于安全要求的授权证书和1T丁具。识别这些“资产”的过程可能成为识别保护重要资产所需措施的过程的部分。尽管GB/T183362001允许，们！般不建议将出T)F白身引人的信息资源或那些与主要资产无真接关系的信息和资源明确标识为资产。可能的原因是：a）掩盖广T()E的主要目的（该目的用于保护要的资产或该资产在IT环境中的其他表现形式：
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。