標(biāo)準(zhǔn)解讀

GB/T 18336.1-2001是一項(xiàng)中國(guó)國(guó)家標(biāo)準(zhǔn),全稱為《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第1部分:簡(jiǎn)介和一般模型》。該標(biāo)準(zhǔn)是基于國(guó)際通用的CC(Common Criteria)標(biāo)準(zhǔn)框架定制,旨在為信息技術(shù)產(chǎn)品的安全評(píng)估提供一個(gè)統(tǒng)一的、可互認(rèn)的基礎(chǔ)框架。以下是該標(biāo)準(zhǔn)主要內(nèi)容的概述:

標(biāo)準(zhǔn)目的

本標(biāo)準(zhǔn)旨在為信息技術(shù)產(chǎn)品和服務(wù)的安全性評(píng)估建立一套全面、系統(tǒng)的方法論,確保不同國(guó)家和地區(qū)在進(jìn)行安全性認(rèn)證時(shí)有共同的語(yǔ)言和評(píng)估基準(zhǔn),促進(jìn)國(guó)際間的安全認(rèn)證互認(rèn)。

標(biāo)準(zhǔn)內(nèi)容概覽

  1. 簡(jiǎn)介:首先對(duì)標(biāo)準(zhǔn)的背景、目的、適用范圍以及與其他部分的關(guān)系進(jìn)行了簡(jiǎn)要說(shuō)明。強(qiáng)調(diào)了信息技術(shù)安全性評(píng)估的重要性,以及該標(biāo)準(zhǔn)如何幫助實(shí)現(xiàn)這一目標(biāo)。

  2. 術(shù)語(yǔ)與定義:明確了在安全性評(píng)估過(guò)程中所使用的專業(yè)術(shù)語(yǔ)及其定義,為后續(xù)內(nèi)容的理解提供了基礎(chǔ)。

  3. 安全評(píng)估的基本概念:介紹了安全評(píng)估的基本原理,包括評(píng)估目標(biāo)、評(píng)估保證級(jí)別、保護(hù)輪廓(Protection Profile, PP)和安全目標(biāo)(Security Target, ST)等核心概念。這些概念構(gòu)成了評(píng)估框架的基石。

  4. 評(píng)估保證級(jí)別(EAL):詳細(xì)闡述了評(píng)估保證級(jí)別的概念,它是衡量安全產(chǎn)品或系統(tǒng)經(jīng)過(guò)評(píng)估后所能達(dá)到的安全可信度的一個(gè)尺度。EAL從低到高分為多個(gè)等級(jí),每個(gè)等級(jí)對(duì)應(yīng)不同的評(píng)估深度和嚴(yán)格程度。

  5. 一般模型:提出了一個(gè)通用的安全評(píng)估模型,描述了評(píng)估過(guò)程的結(jié)構(gòu)化方法,包括安全功能要求、安全保證要求以及評(píng)估活動(dòng)的組織和實(shí)施。這個(gè)模型為評(píng)估者提供了一套清晰的步驟指南,確保評(píng)估的系統(tǒng)性和一致性。

  6. 評(píng)估過(guò)程:概述了從準(zhǔn)備階段到最終報(bào)告發(fā)布的整個(gè)評(píng)估流程,涉及文檔審查、測(cè)試、現(xiàn)場(chǎng)審核等多個(gè)環(huán)節(jié)。強(qiáng)調(diào)了持續(xù)監(jiān)督和質(zhì)量控制的重要性。

應(yīng)用意義

該標(biāo)準(zhǔn)為政府機(jī)構(gòu)、企業(yè)及第三方評(píng)估實(shí)驗(yàn)室提供了統(tǒng)一的安全評(píng)估指導(dǎo)原則,有助于提高信息安全產(chǎn)品的可靠性和互操作性,同時(shí)便于用戶根據(jù)明確的安全需求選擇合適的產(chǎn)品和服務(wù)。通過(guò)遵循該標(biāo)準(zhǔn),可以有效提升信息系統(tǒng)的整體安全水平,增強(qiáng)公眾對(duì)信息技術(shù)產(chǎn)品的信任度。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 18336.1-2008
  • 2001-03-08 頒布
  • 2001-12-01 實(shí)施
?正版授權(quán)
GB/T 18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型_第1頁(yè)
GB/T 18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型_第2頁(yè)
GB/T 18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型_第3頁(yè)
GB/T 18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型_第4頁(yè)
GB/T 18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型_第5頁(yè)

文檔簡(jiǎn)介

ICS.35.040L70中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T18336.1-2001idtISO/IEC15408-1:1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型Informationtechnology--Securitytechniques-EvaluationcriteriaforITsecurityPart1:Introductionandgeneralmodel2001-03-08發(fā)布2001-12-01實(shí)施國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型GB/T18336.1-2001中中國(guó)標(biāo)準(zhǔn)出版社出版發(fā)行北京西城區(qū)復(fù)興門(mén)外三里河北街16號(hào)郵政編碼:100045htp://電話:63787337637874472001年10月第一版2004年11月電子版制作書(shū)號(hào):155066·1-17785版權(quán)專有侵權(quán)必究舉報(bào)電話:(010)68533533

GB/T18336.1-2001次前言ISO/IEC前言1范圍2引用標(biāo)準(zhǔn)3定義3.1通用縮略語(yǔ)3.2術(shù)語(yǔ)表的范圍3.3術(shù)語(yǔ)表…4概述4.1引言4.2CC的目標(biāo)讀者4.3評(píng)估上下文4.4CCC的文檔組織5-般模型·5.1安全上下文5.2CC方法5.3安全概念……5.4CC描述材料5.5評(píng)估類型………5.6保證的維護(hù)6通用準(zhǔn)則要求和評(píng)估結(jié)果·6.2PP(保護(hù)輪廊)和ST(安全目標(biāo))的要求6.3TOE內(nèi)的要求……6.4評(píng)評(píng)估結(jié)果的聲明……6.5TOE評(píng)估結(jié)果的應(yīng)用…………·附錄A(提示的附錄)通用準(zhǔn)則項(xiàng)目A1通用準(zhǔn)則項(xiàng)目的背景………A2通用準(zhǔn)則的開(kāi)發(fā)A3通用準(zhǔn)則項(xiàng)目發(fā)起組織…附錄B(標(biāo)準(zhǔn)的附錄)保護(hù)輪廊規(guī)范B1B2保護(hù)輪席的內(nèi)容附錄C(標(biāo)準(zhǔn)的附錄)安全目標(biāo)規(guī)范CI

GB/T18336.1-2001C2安全目標(biāo)的內(nèi)容附錄D(提示的附錄))參考資料圖4.1評(píng)估上下文………圖5.1安全概念和關(guān)系圖5.2評(píng)估概念和關(guān)系圖5.3評(píng)估對(duì)象開(kāi)發(fā)模型圖5.4「OE評(píng)估過(guò)程·圖5.5要求和規(guī)范的導(dǎo)出圖5.6要求的組織和結(jié)構(gòu)圖5.7安全要求的應(yīng)用圖6.1評(píng)估結(jié)果……….圖6.2TOE評(píng)估結(jié)果的應(yīng)用圖Bl保護(hù)輪席內(nèi)容……圖C1安全目標(biāo)內(nèi)容…………表4.1CC使用指南

GB/T18336.1-2001本標(biāo)準(zhǔn)等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC15408-1:1999《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)第1部分:簡(jiǎn)介和一般模型》。本標(biāo)準(zhǔn)介紹了信息技術(shù)安全性評(píng)估的基本概念并給出了信息技術(shù)安全性評(píng)估的一般模型.并在附錄B和附錄C分別介紹了“保護(hù)輪鹿“和"安全目標(biāo)"GB/T18336在總標(biāo)題《信息技術(shù):安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》下.由以下幾個(gè)部分組成第1部分:簡(jiǎn)介和一般模型第2部分:安全功能要求-第3部分:安全保證要求本標(biāo)準(zhǔn)的附錄八和附錄D是提示的附錄。本標(biāo)準(zhǔn)的附錄B和附錄C是標(biāo)準(zhǔn)的附錄。本標(biāo)準(zhǔn)由國(guó)家質(zhì)量技術(shù)監(jiān)督局提出本標(biāo)準(zhǔn)由全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本標(biāo)準(zhǔn)由中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心、信息產(chǎn)業(yè)部電子第30研究所、國(guó)家信息中心、復(fù)旦大學(xué)負(fù)責(zé)起草本標(biāo)準(zhǔn)主要起草人:吳世忠、龔奇敏、陳曉樺、李守鵬、羅建中、方關(guān)寶、李鶴田、吳亞飛、雷利民、葉紅、吳承榮、黃元飛、任衛(wèi)紅、崔玉華。本標(biāo)準(zhǔn)委托中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心負(fù)責(zé)解釋

GB/T18336.1-2001ISO/IEC前言ISO(國(guó)際標(biāo)準(zhǔn)化組織)和IEC(國(guó)際電工委員會(huì))形成了全世界標(biāo)準(zhǔn)化的專門(mén)體系。作為ISO或IEC成員的國(guó)家機(jī)構(gòu),通過(guò)相應(yīng)組織所建立的涉及技術(shù)活動(dòng)特定領(lǐng)域的委員會(huì)參加國(guó)際標(biāo)準(zhǔn)的制定.ISO和IEC技術(shù)委員會(huì)在共同關(guān)心的領(lǐng)域里合作,其他與ISO和IEC有聯(lián)系的政府和非政府的國(guó)際組織也參加了該項(xiàng)工作。國(guó)際標(biāo)準(zhǔn)的起草符合ISO/IEC導(dǎo)則第3部分的原則。在信息技術(shù)領(lǐng)域,ISO和IEC已經(jīng)建立了一個(gè)聯(lián)合技術(shù)委員會(huì)-ISO/IECJTCl。聯(lián)合技術(shù)委員會(huì)采納的國(guó)際標(biāo)準(zhǔn)草案分發(fā)給國(guó)家機(jī)構(gòu)投票表決。作為國(guó)際標(biāo)準(zhǔn)公開(kāi)發(fā)表·需要至少75%的國(guó)家機(jī)構(gòu)投贊成票。國(guó)際標(biāo)準(zhǔn)ISO/IEC15408-1是由聯(lián)合技術(shù)委員會(huì)ISO/IECJTCI(信息技術(shù))與通用準(zhǔn)則項(xiàng)目發(fā)起組織合作產(chǎn)生的。與ISO/IEC15408-1同樣的文本由通用準(zhǔn)則項(xiàng)目發(fā)起組織作為《信息技術(shù)安全性評(píng)估通用準(zhǔn)則》發(fā)表。有關(guān)通用準(zhǔn)則項(xiàng)目的更多信息和發(fā)起組織的聯(lián)系信息由ISO/IEC15408-1的附錄A提供。ISO/IEC15408在“信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則”的總標(biāo)題下,由以下幾部分組成:第1部分:簡(jiǎn)介和一般模型第2部分:安全功能要求第3部分:安全保證要求附錄B和附錄C構(gòu)成ISO/IEC15408本部分的規(guī)范部分.附錄A和附錄D僅供參考。以下具有法律效力的提示已按要求放置在ISO/IEC15408的所有部分:在ISO/IEC15408-1附錄A中標(biāo)明的七個(gè)政府組織(總稱為通用準(zhǔn)則發(fā)起組織),作為《信息技術(shù)安全性評(píng)估通用準(zhǔn)則》第1至第3部分(稱為"CC")版權(quán)的共同所有者,在此特許ISO/IEC在開(kāi)發(fā)ISO)IEC15408國(guó)際標(biāo)準(zhǔn)中,非排他性地使用CC。但是.通用準(zhǔn)則發(fā)起組織在他們認(rèn)為適當(dāng)時(shí)保留對(duì)CC的使用、拷貝、分發(fā)以及修改的權(quán)利。

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則GB/T18336.1-2001第1部分:簡(jiǎn)介和-1一般模型idtIso/IEC15408-1:1999Informationtechnology--Securitytechniques-EvaluationcriteriaforITsecurity-Part1:lntroductionandgeneralmodel范圍GB/T18336定義了作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則,由于歷史和連續(xù)性的原因,仍叫通用準(zhǔn)則(CC-CommonCriteria))。通過(guò)建立這樣的通用準(zhǔn)則庫(kù),使信息技術(shù)安全評(píng)估的結(jié)果能被更多的人理解。針對(duì)在安全性評(píng)估過(guò)程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施,CC提供了一組通用要求,使各種獨(dú)立的安全評(píng)估結(jié)果具有可比性。評(píng)估過(guò)程為滿足這些要求的產(chǎn)品和系統(tǒng)的安全功能以及相應(yīng)的保證措施確定一個(gè)可信級(jí)別。評(píng)估結(jié)果可以幫助用戶確定信息技術(shù)產(chǎn)品和系統(tǒng)對(duì)他們的應(yīng)用而言是否足夠安全,以及在使用中隱藏的安全風(fēng)險(xiǎn)是否可以容忍。CC可用于具有信息技術(shù)安全功能的產(chǎn)品和系統(tǒng)的開(kāi)發(fā)與采購(gòu)指南。在評(píng)估過(guò)程中.這樣的產(chǎn)品和系統(tǒng)被稱為評(píng)估對(duì)象(TOETargetofEvaluation),如:操作系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)、分布式系統(tǒng)以及應(yīng)用等。(C涉及信息保護(hù),以避免未經(jīng)授權(quán)的信息泄露、修改和無(wú)法使用,與此對(duì)應(yīng)的保護(hù)類型通常分別稱之為保密性、完整性和可用性。除上述三個(gè)方面外,CC還適用于信息安全的其他方面。CC重點(diǎn)考慮人為的信息威脅,無(wú)論其是否是惡意的。但CC也可用于非人為因素導(dǎo)致的威脅。此外.CC還可適用于其他信息技術(shù)領(lǐng)域·但對(duì)嚴(yán)格意義上信息技術(shù)安全之外的領(lǐng)域,CC不做承諾(C適用于硬件、固件和軟件實(shí)現(xiàn)的信息技術(shù)安全措施,當(dāng)一些特定的評(píng)估僅適用于某些實(shí)現(xiàn)方法時(shí).這一點(diǎn)將在相關(guān)的準(zhǔn)則說(shuō)明中注明。某些內(nèi)容因涉及特殊的專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù),不在CC的范圍內(nèi).例如:a)CC不包括那些與信息技術(shù)安全措施沒(méi)有直接關(guān)聯(lián)的屬于行政性管理安全措施的安全評(píng)估準(zhǔn)則。但是,應(yīng)該認(rèn)識(shí)到TOE安全的重要部分是通過(guò)諸如組織的、個(gè)人的、物理的、程序的監(jiān)控等行政性管理安全措施來(lái)實(shí)現(xiàn)的。當(dāng)行政性管理安全措施影響到信息技術(shù)安全措施對(duì)抗確定威脅的能力時(shí),這類管理安全措施在TOE的運(yùn)行環(huán)境中被認(rèn)為是TOE安全使用的前提條件。b)對(duì)于信息技術(shù)安全性的物理方面(諸如電磁輻射控制)的評(píng)估,雖然CC的許多概念是適用的,但

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

最新文檔

評(píng)論

0/150

提交評(píng)論