標(biāo)準(zhǔn)解讀

GB/T 18336.1-2001是一項(xiàng)中國國家標(biāo)準(zhǔn),全稱為《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第1部分:簡介和一般模型》。該標(biāo)準(zhǔn)是基于國際通用的CC(Common Criteria)標(biāo)準(zhǔn)框架定制,旨在為信息技術(shù)產(chǎn)品的安全評估提供一個統(tǒng)一的、可互認(rèn)的基礎(chǔ)框架。以下是該標(biāo)準(zhǔn)主要內(nèi)容的概述:

標(biāo)準(zhǔn)目的

本標(biāo)準(zhǔn)旨在為信息技術(shù)產(chǎn)品和服務(wù)的安全性評估建立一套全面、系統(tǒng)的方法論,確保不同國家和地區(qū)在進(jìn)行安全性認(rèn)證時有共同的語言和評估基準(zhǔn),促進(jìn)國際間的安全認(rèn)證互認(rèn)。

標(biāo)準(zhǔn)內(nèi)容概覽

  1. 簡介:首先對標(biāo)準(zhǔn)的背景、目的、適用范圍以及與其他部分的關(guān)系進(jìn)行了簡要說明。強(qiáng)調(diào)了信息技術(shù)安全性評估的重要性,以及該標(biāo)準(zhǔn)如何幫助實(shí)現(xiàn)這一目標(biāo)。

  2. 術(shù)語與定義:明確了在安全性評估過程中所使用的專業(yè)術(shù)語及其定義,為后續(xù)內(nèi)容的理解提供了基礎(chǔ)。

  3. 安全評估的基本概念:介紹了安全評估的基本原理,包括評估目標(biāo)、評估保證級別、保護(hù)輪廓(Protection Profile, PP)和安全目標(biāo)(Security Target, ST)等核心概念。這些概念構(gòu)成了評估框架的基石。

  4. 評估保證級別(EAL):詳細(xì)闡述了評估保證級別的概念,它是衡量安全產(chǎn)品或系統(tǒng)經(jīng)過評估后所能達(dá)到的安全可信度的一個尺度。EAL從低到高分為多個等級,每個等級對應(yīng)不同的評估深度和嚴(yán)格程度。

  5. 一般模型:提出了一個通用的安全評估模型,描述了評估過程的結(jié)構(gòu)化方法,包括安全功能要求、安全保證要求以及評估活動的組織和實(shí)施。這個模型為評估者提供了一套清晰的步驟指南,確保評估的系統(tǒng)性和一致性。

  6. 評估過程:概述了從準(zhǔn)備階段到最終報(bào)告發(fā)布的整個評估流程,涉及文檔審查、測試、現(xiàn)場審核等多個環(huán)節(jié)。強(qiáng)調(diào)了持續(xù)監(jiān)督和質(zhì)量控制的重要性。

應(yīng)用意義

該標(biāo)準(zhǔn)為政府機(jī)構(gòu)、企業(yè)及第三方評估實(shí)驗(yàn)室提供了統(tǒng)一的安全評估指導(dǎo)原則,有助于提高信息安全產(chǎn)品的可靠性和互操作性,同時便于用戶根據(jù)明確的安全需求選擇合適的產(chǎn)品和服務(wù)。通過遵循該標(biāo)準(zhǔn),可以有效提升信息系統(tǒng)的整體安全水平,增強(qiáng)公眾對信息技術(shù)產(chǎn)品的信任度。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 18336.1-2008
  • 2001-03-08 頒布
  • 2001-12-01 實(shí)施
?正版授權(quán)
GB/T 18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型_第1頁
GB/T 18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型_第2頁
GB/T 18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型_第3頁
GB/T 18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型_第4頁
GB/T 18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型_第5頁
已閱讀5頁,還剩31頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

免費(fèi)下載試讀頁

文檔簡介

ICS.35.040L70中華人民共和國國家標(biāo)準(zhǔn)GB/T18336.1-2001idtISO/IEC15408-1:1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型Informationtechnology--Securitytechniques-EvaluationcriteriaforITsecurityPart1:Introductionandgeneralmodel2001-03-08發(fā)布2001-12-01實(shí)施國家質(zhì)量技術(shù)監(jiān)督局發(fā)布

中華人民共和國國家標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型GB/T18336.1-2001中中國標(biāo)準(zhǔn)出版社出版發(fā)行北京西城區(qū)復(fù)興門外三里河北街16號郵政編碼:100045htp://電話:63787337637874472001年10月第一版2004年11月電子版制作書號:155066·1-17785版權(quán)專有侵權(quán)必究舉報(bào)電話:(010)68533533

GB/T18336.1-2001次前言ISO/IEC前言1范圍2引用標(biāo)準(zhǔn)3定義3.1通用縮略語3.2術(shù)語表的范圍3.3術(shù)語表…4概述4.1引言4.2CC的目標(biāo)讀者4.3評估上下文4.4CCC的文檔組織5-般模型·5.1安全上下文5.2CC方法5.3安全概念……5.4CC描述材料5.5評估類型………5.6保證的維護(hù)6通用準(zhǔn)則要求和評估結(jié)果·6.2PP(保護(hù)輪廊)和ST(安全目標(biāo))的要求6.3TOE內(nèi)的要求……6.4評評估結(jié)果的聲明……6.5TOE評估結(jié)果的應(yīng)用…………·附錄A(提示的附錄)通用準(zhǔn)則項(xiàng)目A1通用準(zhǔn)則項(xiàng)目的背景………A2通用準(zhǔn)則的開發(fā)A3通用準(zhǔn)則項(xiàng)目發(fā)起組織…附錄B(標(biāo)準(zhǔn)的附錄)保護(hù)輪廊規(guī)范B1B2保護(hù)輪席的內(nèi)容附錄C(標(biāo)準(zhǔn)的附錄)安全目標(biāo)規(guī)范CI

GB/T18336.1-2001C2安全目標(biāo)的內(nèi)容附錄D(提示的附錄))參考資料圖4.1評估上下文………圖5.1安全概念和關(guān)系圖5.2評估概念和關(guān)系圖5.3評估對象開發(fā)模型圖5.4「OE評估過程·圖5.5要求和規(guī)范的導(dǎo)出圖5.6要求的組織和結(jié)構(gòu)圖5.7安全要求的應(yīng)用圖6.1評估結(jié)果……….圖6.2TOE評估結(jié)果的應(yīng)用圖Bl保護(hù)輪席內(nèi)容……圖C1安全目標(biāo)內(nèi)容…………表4.1CC使用指南

GB/T18336.1-2001本標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC15408-1:1999《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)第1部分:簡介和一般模型》。本標(biāo)準(zhǔn)介紹了信息技術(shù)安全性評估的基本概念并給出了信息技術(shù)安全性評估的一般模型.并在附錄B和附錄C分別介紹了“保護(hù)輪鹿“和"安全目標(biāo)"GB/T18336在總標(biāo)題《信息技術(shù):安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》下.由以下幾個部分組成第1部分:簡介和一般模型第2部分:安全功能要求-第3部分:安全保證要求本標(biāo)準(zhǔn)的附錄八和附錄D是提示的附錄。本標(biāo)準(zhǔn)的附錄B和附錄C是標(biāo)準(zhǔn)的附錄。本標(biāo)準(zhǔn)由國家質(zhì)量技術(shù)監(jiān)督局提出本標(biāo)準(zhǔn)由全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會歸口。本標(biāo)準(zhǔn)由中國國家信息安全測評認(rèn)證中心、信息產(chǎn)業(yè)部電子第30研究所、國家信息中心、復(fù)旦大學(xué)負(fù)責(zé)起草本標(biāo)準(zhǔn)主要起草人:吳世忠、龔奇敏、陳曉樺、李守鵬、羅建中、方關(guān)寶、李鶴田、吳亞飛、雷利民、葉紅、吳承榮、黃元飛、任衛(wèi)紅、崔玉華。本標(biāo)準(zhǔn)委托中國國家信息安全測評認(rèn)證中心負(fù)責(zé)解釋

GB/T18336.1-2001ISO/IEC前言ISO(國際標(biāo)準(zhǔn)化組織)和IEC(國際電工委員會)形成了全世界標(biāo)準(zhǔn)化的專門體系。作為ISO或IEC成員的國家機(jī)構(gòu),通過相應(yīng)組織所建立的涉及技術(shù)活動特定領(lǐng)域的委員會參加國際標(biāo)準(zhǔn)的制定.ISO和IEC技術(shù)委員會在共同關(guān)心的領(lǐng)域里合作,其他與ISO和IEC有聯(lián)系的政府和非政府的國際組織也參加了該項(xiàng)工作。國際標(biāo)準(zhǔn)的起草符合ISO/IEC導(dǎo)則第3部分的原則。在信息技術(shù)領(lǐng)域,ISO和IEC已經(jīng)建立了一個聯(lián)合技術(shù)委員會-ISO/IECJTCl。聯(lián)合技術(shù)委員會采納的國際標(biāo)準(zhǔn)草案分發(fā)給國家機(jī)構(gòu)投票表決。作為國際標(biāo)準(zhǔn)公開發(fā)表·需要至少75%的國家機(jī)構(gòu)投贊成票。國際標(biāo)準(zhǔn)ISO/IEC15408-1是由聯(lián)合技術(shù)委員會ISO/IECJTCI(信息技術(shù))與通用準(zhǔn)則項(xiàng)目發(fā)起組織合作產(chǎn)生的。與ISO/IEC15408-1同樣的文本由通用準(zhǔn)則項(xiàng)目發(fā)起組織作為《信息技術(shù)安全性評估通用準(zhǔn)則》發(fā)表。有關(guān)通用準(zhǔn)則項(xiàng)目的更多信息和發(fā)起組織的聯(lián)系信息由ISO/IEC15408-1的附錄A提供。ISO/IEC15408在“信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則”的總標(biāo)題下,由以下幾部分組成:第1部分:簡介和一般模型第2部分:安全功能要求第3部分:安全保證要求附錄B和附錄C構(gòu)成ISO/IEC15408本部分的規(guī)范部分.附錄A和附錄D僅供參考。以下具有法律效力的提示已按要求放置在ISO/IEC15408的所有部分:在ISO/IEC15408-1附錄A中標(biāo)明的七個政府組織(總稱為通用準(zhǔn)則發(fā)起組織),作為《信息技術(shù)安全性評估通用準(zhǔn)則》第1至第3部分(稱為"CC")版權(quán)的共同所有者,在此特許ISO/IEC在開發(fā)ISO)IEC15408國際標(biāo)準(zhǔn)中,非排他性地使用CC。但是.通用準(zhǔn)則發(fā)起組織在他們認(rèn)為適當(dāng)時保留對CC的使用、拷貝、分發(fā)以及修改的權(quán)利。

中華人民共和國國家標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則GB/T18336.1-2001第1部分:簡介和-1一般模型idtIso/IEC15408-1:1999Informationtechnology--Securitytechniques-EvaluationcriteriaforITsecurity-Part1:lntroductionandgeneralmodel范圍GB/T18336定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則,由于歷史和連續(xù)性的原因,仍叫通用準(zhǔn)則(CC-CommonCriteria))。通過建立這樣的通用準(zhǔn)則庫,使信息技術(shù)安全評估的結(jié)果能被更多的人理解。針對在安全性評估過程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施,CC提供了一組通用要求,使各種獨(dú)立的安全評估結(jié)果具有可比性。評估過程為滿足這些要求的產(chǎn)品和系統(tǒng)的安全功能以及相應(yīng)的保證措施確定一個可信級別。評估結(jié)果可以幫助用戶確定信息技術(shù)產(chǎn)品和系統(tǒng)對他們的應(yīng)用而言是否足夠安全,以及在使用中隱藏的安全風(fēng)險是否可以容忍。CC可用于具有信息技術(shù)安全功能的產(chǎn)品和系統(tǒng)的開發(fā)與采購指南。在評估過程中.這樣的產(chǎn)品和系統(tǒng)被稱為評估對象(TOETargetofEvaluation),如:操作系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)、分布式系統(tǒng)以及應(yīng)用等。(C涉及信息保護(hù),以避免未經(jīng)授權(quán)的信息泄露、修改和無法使用,與此對應(yīng)的保護(hù)類型通常分別稱之為保密性、完整性和可用性。除上述三個方面外,CC還適用于信息安全的其他方面。CC重點(diǎn)考慮人為的信息威脅,無論其是否是惡意的。但CC也可用于非人為因素導(dǎo)致的威脅。此外.CC還可適用于其他信息技術(shù)領(lǐng)域·但對嚴(yán)格意義上信息技術(shù)安全之外的領(lǐng)域,CC不做承諾(C適用于硬件、固件和軟件實(shí)現(xiàn)的信息技術(shù)安全措施,當(dāng)一些特定的評估僅適用于某些實(shí)現(xiàn)方法時.這一點(diǎn)將在相關(guān)的準(zhǔn)則說明中注明。某些內(nèi)容因涉及特殊的專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù),不在CC的范圍內(nèi).例如:a)CC不包括那些與信息技術(shù)安全措施沒有直接關(guān)聯(lián)的屬于行政性管理安全措施的安全評估準(zhǔn)則。但是,應(yīng)該認(rèn)識到TOE安全的重要部分是通過諸如組織的、個人的、物理的、程序的監(jiān)控等行政性管理安全措施來實(shí)現(xiàn)的。當(dāng)行政性管理安全措施影響到信息技術(shù)安全措施對抗確定威脅的能力時,這類管理安全措施在TOE的運(yùn)行環(huán)境中被認(rèn)為是TOE安全使用的前提條件。b)對于信息技術(shù)安全性的物理方面(諸如電磁輻射控制)的評估,雖然CC的許多概念是適用的,但

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論