GB/T 18336.3-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分：安全保證要求

ICS35.040L70中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T18336.3-2001idtISO/IEC15408-3：1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分：安全保證要求InformationtechnologySecuritytechniquesEvaluationcriteriaforITsecurityPart3：Securityyassurancerequirements2001-03-08發(fā)布2001-12-01實(shí)施國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布

GB/T18336.3-2001前育ISO/IEC前言11.1、本標(biāo)準(zhǔn)的結(jié)構(gòu)·………1.2GB/T18336的保證范例2引用標(biāo)準(zhǔn)·…3安全保證要求3.13.2組件分類(lèi)3.3保護(hù)輪魔（PP）和安全目標(biāo)（ST）評(píng)估準(zhǔn)則類(lèi)的結(jié)構(gòu)3.4本標(biāo)準(zhǔn)中術(shù)語(yǔ)的應(yīng)用3.5保保證分類(lèi)………··3.6保保證類(lèi)和子類(lèi)概況…3.7護(hù)分類(lèi)?……………3.83保證維護(hù)類(lèi)和子類(lèi)概況·4保護(hù)輪廊與安全目標(biāo)評(píng)估準(zhǔn)則…·4.1概述……….4.2保保護(hù)輪廊準(zhǔn)則概述·4.3安全目標(biāo)準(zhǔn)則概述…5APE類(lèi)：保護(hù)輪靡評(píng)估……5.1LTOE描述（APEDES)5.2安全環(huán)境(APE_ENV)5.3PP引言（APEINT）5.4安安全目的（APE?OBJ）……5.5TT安全要求（APEREQ）185.6明確陳述的IT安全要求(APE：SRE)206ASE類(lèi)：安全目標(biāo)評(píng)估·…………·6.1TOE描述(ASE_DES)216.2安安全環(huán)境(ASEENV)226.3ST引言（ASEINT)226.4安全目的（ASEOBJ）……………23PP聲明（ASEPPC)6.523SIT安全要求（ASEREQ）6.6246.7明確陳述的IT安全要求（ASESRE)25TOE概要規(guī)范（ASETSS）6.826

GB/T18336.3-20017評(píng)估保證級(jí)217.1評(píng)估保證級(jí)(EAL）概述217.2評(píng)估保證級(jí)細(xì)節(jié)288保證類(lèi)、子類(lèi)和組件36ACM類(lèi)：配置管理369.1CM自動(dòng)化（ACMAUT）9.2CM能力（ACMCAP379.3CM范圍（ACMSCP）10ADO類(lèi)：交付和運(yùn)行………………1310.1交付（ADO_DEL）4310.2安裝、生成和啟動(dòng)（ADOIGS）…11ADV類(lèi);開(kāi)發(fā)………·11.1功能規(guī)范(ADVFSP）-·…………·…·高層設(shè)計(jì)（ADV11.2HLD）·…·57實(shí)現(xiàn)表示（ADV11.3IMP)11.4TSF內(nèi)部（ADVINT）56低層設(shè)計(jì)（ADV11.5LLD）表示對(duì)應(yīng)性(ADV_RCR）11.66111.7安全策略模型(ADV_SPM）…6212AGD類(lèi)：指導(dǎo)性文檔S412.1管理員指南（AGDADM）12.2用戶(hù)指南（AGDUSR）6513ALC類(lèi)：生命周期支持6613.1開(kāi)發(fā)安全（ALCDVS）13.2缺陷糾正（ALCFIR）…………….613.3生命周期定義(ALC_LCD）13.4工具和技術(shù)(ALCTAT)14ATE類(lèi):測(cè)試·………………·…14.1覆蓋范圍(ATECOV)14.2深度（ATEDPT）…….14.3功能測(cè)試（ATEFUN）·14.4獨(dú)立性測(cè)試（ATEIND)15AVA類(lèi);脆弱性評(píng)定·……81隱蔽信道分析（AVA_CCA）…15.115.28315.3TOE安全功能強(qiáng)度（AVASOF）8615.4脆弱性分析（AVAVLA）16保證維護(hù)范例·……··9016.190116.2保證維護(hù)周期.·….…………··…·.9116.3保證維護(hù)的類(lèi)和子類(lèi)……·9.9AMA類(lèi)：保證維護(hù)······179517.1保證維護(hù)計(jì)劃(AMAAAMP)

GB/T18336.3-200117.2TOE組件分類(lèi)報(bào)告（AMACAT）17.3保證維護(hù)證據(jù)（AMAEVD）9A17.4安全影響分析（AMASIA）………………附錄A(提示的附錄）保證組件依賴(lài)關(guān)系的交叉引用附錄B(提示的附錄）EAL和保證組件的交叉引用圖3.1保證類(lèi)/子類(lèi)/組件/元素的層次圖3.2保證組件結(jié)構(gòu)·…………圖3.3EAL結(jié)構(gòu)圖3.4保證和保證級(jí)的關(guān)系圖3.5類(lèi)分解圖的實(shí)例………….圖5.1保護(hù)輪廊評(píng)估類(lèi)分解圖6.1安全日標(biāo)評(píng)估類(lèi)分解圖9.1配置管理類(lèi)分解圖10.1交付和運(yùn)行類(lèi)分解圖11.1開(kāi)發(fā)類(lèi)分解…………圖11.2TOE表示和要求之間的關(guān)系圖12.1指導(dǎo)性文檔類(lèi)分解圖13.1生命周期支持類(lèi)分解………56圖14.1測(cè)試類(lèi)分解·……73圖15.1脆弱性評(píng)定類(lèi)分解圖16.1保證維護(hù)周期例子圖16.2TOE接受方式例子圖16.3TOE監(jiān)視方式例子圖17.1保證維護(hù)類(lèi)分解·表3.1保證子類(lèi)細(xì)目分類(lèi)和對(duì)應(yīng)關(guān)系表3.2保證維護(hù)類(lèi)分解表4.1保護(hù)輪廊子類(lèi)-僅用GB/T18336的要求保護(hù)輪廊子類(lèi)表4.2GB/T18336擴(kuò)展的要求…表4.3安全目標(biāo)子類(lèi)僅用GB/T18336的要求安全目標(biāo)子類(lèi)表4.4（B/T18336擴(kuò)展的要求……………表7.1評(píng)估保證級(jí)匯總1表7.2評(píng)估保證級(jí)129表7.3評(píng)估保證級(jí)229表7.4評(píng)估保證級(jí)330表7.5評(píng)估保證級(jí)4表7.6評(píng)估保證級(jí)5表7.7評(píng)估保證級(jí)634表7.8評(píng)估保證級(jí)735表16.1保證維護(hù)的細(xì)分和對(duì)應(yīng)關(guān)系表A1保證組件的依賴(lài)關(guān)系102表A2AMA內(nèi)部依賴(lài)關(guān)系103表B1評(píng)估保證級(jí)匯總104

GB/T18336.3-2001前本標(biāo)準(zhǔn)等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC15408-3：1999《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)川第3部分：安全保證要求》本標(biāo)準(zhǔn)介紹了信息技術(shù)安全性評(píng)估的安全保證要求。GB/T18336在總標(biāo)題《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》下，由以下3個(gè)部分組第1部分：簡(jiǎn)介和一般模型第2部分：安全功能要求-第3部分：安全保證要求本標(biāo)準(zhǔn)的附錄A和附錄B是提示的附錄、本標(biāo)準(zhǔn)由國(guó)家質(zhì)量技術(shù)監(jiān)督局提出。本標(biāo)準(zhǔn)由全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口本標(biāo)準(zhǔn)由中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心、信息產(chǎn)業(yè)部電子第30研究所、國(guó)家信息中心、復(fù)旦大學(xué)負(fù)責(zé)起草。本標(biāo)準(zhǔn)主要起草人：吳世忠、吳承榮、龔奇敏、陳曉樺、李守鵬、方關(guān)寶、吳亞飛、雷利民、葉紅、李鶴田、黃元飛、任衛(wèi)紅。本標(biāo)準(zhǔn)委托中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心負(fù)責(zé)解釋。

GB/T18336.3-2001ISO/IEC前言ISO(國(guó)際標(biāo)準(zhǔn)化組織)和IC(國(guó)際電工委員會(huì))形成了全世界標(biāo)準(zhǔn)化的專(zhuān)門(mén)體系。作為ISO或IEC成員的國(guó)家機(jī)構(gòu)，通過(guò)相應(yīng)組織所建立的涉及技術(shù)活動(dòng)特定領(lǐng)域的委員會(huì)參加國(guó)際標(biāo)準(zhǔn)的制定。ISO和IEC技術(shù)委員會(huì)在共同關(guān)心的領(lǐng)域里合作，其他與ISO和IC聯(lián)盟的政府的和非政府的國(guó)際組織也參加了該項(xiàng)工作。國(guó)際標(biāo)準(zhǔn)的起草符合ISO/IEC導(dǎo)則第3部分的原則在信息技術(shù)領(lǐng)域,ISO和IEC已經(jīng)建立了一個(gè)聯(lián)合技術(shù)委員會(huì)-ISO/IECJTCI。聯(lián)合技術(shù)委員會(huì)采納的國(guó)際標(biāo)準(zhǔn)草案交付給國(guó)家機(jī)構(gòu)投票表決。作為國(guó)際標(biāo)準(zhǔn)公開(kāi)發(fā)表，需要至少75%的國(guó)家機(jī)構(gòu)投贊成票。國(guó)際標(biāo)準(zhǔn)ISO/IEC15408-3是由聯(lián)合技術(shù)委員會(huì)ISO/IECJTC1(信息技術(shù))與通用準(zhǔn)則項(xiàng)目發(fā)起組織合作產(chǎn)生的。與ISO/IEC15408-3同樣的文本由通用準(zhǔn)則項(xiàng)目發(fā)起組織作為《信息技術(shù)安全性評(píng)估通用淮則》發(fā)表。有關(guān)通用準(zhǔn)則項(xiàng)目的史多信息和發(fā)起組織的聯(lián)系信息由ISO/IEC15408-1的附錄A提供。-安全技術(shù)-ISO/IEC15408在“信息技術(shù)--信息技術(shù)安全性評(píng)估準(zhǔn)則”的總標(biāo)題下,由以下幾部分組成：第1部分：簡(jiǎn)介和一般模型第2部分：安全功能要求第3部分：安全保證要求附錄A和附錄B構(gòu)成ISO/IEC15408本部分的提示部分以下具有法律效力的提示已按要求放置在ISO/IEC15408的所有部分：在ISO/IEC15408-1附錄A中標(biāo)明的七個(gè)政府組織(總稱(chēng)為通用準(zhǔn)則發(fā)起組織),作為《信息技術(shù)安全性評(píng)估通用準(zhǔn)則》第1至第3部分（稱(chēng)為"CC")版權(quán)的共同所有者,在此特許ISO/IEC在開(kāi)發(fā)1SO/IEC15408國(guó)際標(biāo)準(zhǔn)中,非排他性地使用CC。但是，通用準(zhǔn)則發(fā)起組織在他們認(rèn)為適當(dāng)時(shí)保留對(duì)CC的使用、烤貝、分發(fā)以及修改的權(quán)利。

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分：安全保證要求GB/T18336:3-2001idtISO/IEC15408-3:1999Informationtechnology-Securitytechniques-EvaluationcriteriaforTTsecurity-Part3：Securityassurancereguirements范用本標(biāo)準(zhǔn)定義了保證要求。它包括衡量保證尺度的評(píng)估保證級(jí)（EAL）、組成保證級(jí)的每個(gè)保證組件以及PP和ST的評(píng)估準(zhǔn)則。1.1本標(biāo)準(zhǔn)的結(jié)構(gòu)第1章是本標(biāo)準(zhǔn)的引論和范例。第3章描述了保證類(lèi)、子類(lèi)、組件和評(píng)估保證級(jí)的表示結(jié)構(gòu)，以及它們之間的關(guān)系。同時(shí)還刻畫(huà)了第9章到第15章可找到的保證類(lèi)和子類(lèi)的特征。第4章、第5章和第6章先對(duì)PP和ST的評(píng)估準(zhǔn)則作簡(jiǎn)要的介紹，然后對(duì)在評(píng)估中要用到的子類(lèi)與組件做了詳盡的解釋。第7章是評(píng)估保證級(jí)（EAL）的詳盡定義第8章對(duì)保證類(lèi)作了簡(jiǎn)要的介紹,在隨后的第9章到第15章給出了這些類(lèi)的詳盡定義。第16和第17章對(duì)保證維護(hù)的評(píng)估準(zhǔn)則做了簡(jiǎn)要的介紹，其后給出了所用到的子類(lèi)和組件的詳盡定義附錄A給出了保證組件之間依賴(lài)關(guān)系的概要附錄B給出了評(píng)估保證級(jí)(EAL)和保證組件之間的交叉引用。1.2！GB/T18336的保證范例本條旨在嘲述支撐本標(biāo)準(zhǔn)保證方法的基本原則。通過(guò)對(duì)本條的理解將使讀者了解隱含在本標(biāo)準(zhǔn)保證要求中的基本原理。1.2.1GB/T18336基本原則GB/T18336的基本原則,就是應(yīng)該消楚描述那些對(duì)安全和組織安全策略承諾所造成的威脅,并且提出足以達(dá)到所期望的安全目的的安全措施。進(jìn)一步地說(shuō)，就是應(yīng)采取一些措施以減少可能存在的脆弱性，減弱有意利用或者無(wú)意觸發(fā)(或利用)一個(gè)脆弱性的能力，以及減輕因利用一個(gè)脆弱性而導(dǎo)致的破壞程度。另外，還需要采納一定的措施，便于今后標(biāo)識(shí)一