信息技术安全评估包、保护轮廓、PP模块和配置的、安全目标和直接基本原理安全目标规范、PP配置符合性

1、（规范性）包的规范本附录的目标和结构本附录的目标是提供有关包的规范的更多信息。注：由于包不会被单独评估，因此GB/T 18336.3 没有定义包的评价准则。当一个包被纳入PP、PP-模块或ST中时，就要对该包进行隐形评估。包的族引言图 A.1 显示了包族的结构。对每一部分会在下文展开讨论。包族名称多个有关联目标的包构成包族。在这种情况下，包族名称是强制性的，且包族的发起者应尽量给包族分配一个唯一的名称。包族概述以包族形式呈现的包应包括对该族在较高层次上的概要描述。包族目的包族的目的体现该族的意图。包如下所述，包族中包含一个或多个包。同一个包族中不能同时包括安全保障要求包和安全功能要求包。包包的

2、强制性内容包的标识包的标识包括：包的名称。包的名称提供了关于包的目标的唯一描述性信息；包的版本信息；最后的更新日期；发起者;所使用的GB/T 18336系列标准的版本引用。包也可被赋予一个短名称。具有保障包或功能包的包族结构示例：评估保障级别1 也称为“EAL1”。注：对于在GB/T 18336-5中定义的包，以上 b) e) 条款的内容已经隐性包括在GB/T 18336-5的版本信息中。包的类型包被标识为以下类型之一：功能包；或者保障包。包的概述包中的内容包括高层次的概述和包的目标。应用注释应用注释是可选的，但下列情况除外：对于功能包，与包中包含的安全功能要求相关的任何额外审计和管理要求应在

3、应用注释部分说明；功能包可依赖于其他功能包。这种依赖关系应以文档形式记录在功能包中，也可在PP、PP-模块或ST中记录。功能包也可能指出某些有依赖关系的组件，这些依赖关系在该包内无法满足，但是预期可以被使用该包的另一个包、PP、PP-模块或ST所满足。示例一个包含加密协议（如TLS）规范的包，包中描述了较高级别的SFR组件，但密码学原语并不包含在包中。在这种情况下，功能包的应用注释部分可能会提供依赖组件的可选列表，并可包括更详细的信息，如针对相应SFR所需的选择/赋值操作。注：包的使用者包括PP、PP-模块、其他包和ST的作者、集成商和评估者。组件（SFR组件或SAR组件）组件部分给出了包中所

4、包含的安全要求。本部分还提供了对要求进行选择的基本原理。安全要求可以是基于选择的。见 8.2.4.2。可选的SFR(若需要，还包括配套的SPD元素和目的)也可以出现在功能包中。包的可选内容安全问题定义（功能包）保障包不应包含此部分。功能包可包含此部分。本部分可包括任意描述功能包所解决的安全问题的SPD元素。与可选SFR相关的SPD -元素可以在本部分中定义。应用注释应被用于标识出安全目的(如果适用)，以及与可选SPD元素相关联的SFR。安全目的（功能包）保障包不应包含此部分。功能包可包含此部分。在功能包用于PP/PP-模块/ST的直接基本原理的情况下，不应包括TOE的安全目的。功能包的安全目的

5、部分展示了派生自SPD的任何额外的TOE安全目的或TOE运行环境安全目的。如果适用，与可选SFR关联的TOE安全目的可以在本部分中定义。应用注释应被用于标识出与可选安全目的相关联的 SPD-元素和SFR。应用注释应用注释是包中的可选部分。见 A.3.1.4。应用注释部分可以包含包的使用者特别感兴趣的信息。应用注释的展现形式无固定的正式要求，例如可以覆盖有关使用限制的警告，或者是需要特别注意的领域。扩展组件定义一个包可能包含扩展组件。在这种情况下，包中包含提供扩展组件定义的部分。评估方法/活动包可以包括源自GB/T 30270的评估方法/活动。如果包含了评估方法/活动，则应在包的安全要求部分包含

6、一个或多个符合性声明。（见 9.4）。评估方法/活动可以在包文档中提供，也可以引用外部文档。（规范性）保护轮廓的规范本附录的目标和结构本附录的目标是总结PP的结构和预期内容。注1：本附录未定义对PP的评估要求。PP的评估标准在GB/T 18336.3中给出的APE类中。注2：本附录没有给出PP-配置和PP-模块规范的要求。这些可在附录 C中找到。本附录由以下主要部分组成：PP的规范在B.2章节对此进行了总结，包括：如何使用PP；如何不使用PP。PP应包含的内容在B.3章节对此进行了总结。在B.3.2至B.3.7中进行了更详细的描述，包括了PP的强制性内容、这些内容之间的相互关系，并给出了示例。

7、声明与标准的一致性在B.4章节描述了PP作者如何声明TOE需要满足某一特定的标准。直接基本原理保护轮廓直接基本原理保护轮廓将SPD中的威胁和OSP直接映射到SFR中，并可能映射到运行环境的安全目的。将在B.5中进行详细描述。PP的规范PP的使用方法PP通常是一种要求声明，是由用户社群、监管实体或一组开发人员定义的一组通用的安全要求集合。PP为消费者提供了一种参考该集合的方法，并引导未来根据这些要求进行评估。虽然并不排除其他的PP使用情景，但PP通常被用作：特定消费者或消费者群体的需求规范的一部分，这些消费者只考虑购买满足PP的特定类型的IT产品；来自特定监管实体的规章制度的一部分，该监管实体只

8、允许使用符合PP要求的特定类型的IT产品；解决由各类消费者提出的常见安全问题，通常由包括多个IT产品开发人员的小组定义，然后这些开发人员生产这种类型的IT产品，以满足他们共同市场的需求。不适用的情况在众多角色中，PP不适用的两个角色是：完整的规范；PP被设计为安全规范而不是通用规范。除非与安全相关，否则诸如互操作性、物理尺寸、重量、所需电压等属性不应成为PP的一部分。这意味着一般来说，PP是完整规范的一部分，但PP本身并不是一个完整的规范。单一产品的规范。与ST不同，PP用于描述特定类型的IT产品，而不是单个具体产品。当只描述单一产品时，最好使用ST来实现此目的。PP的强制性内容引言有两种类型

9、的PP。首先是“常规”PP，它是包含B.3.2至B.3.7中描述的全部内容的PP。其次，在某些情况下，PP作者可以编写一个直接基本原理PP，它与包含TOE安全目的的保护轮廓具有不同的内容。B.5中详细描述了直接基本原理保护轮廓以及因为什么原因和在什么情况下使用直接基本原理PP。本附录其他部分均假设PP具有完整的内容。图B.1显示了GB/T 18336.3中给出的PP的内容。图B.1也可以用作PP的结构概要，尽管也允许有其他结构。例如，如果安全要求基本基本原理内容特别多，可以将其包含在PP的附录中，而不是包含在安全要求的部分。PP的单独部分和这些部分的内容简要总结如下，并在B.3.2至B.3.7

10、中进行更详细的解释。保护轮廓的内容PP包含：PP介绍，包含了PP参考和TOE类型的叙述性描述；符合性声明，声明显示了：GB/T 18336系列标准相关部分的哪个版本可以适用；与GB/T 18336.2和GB/T 18336.3的符合性（符合或扩展）；此PP是否声明与其他任何PP和/或包相符合，且如果是这样，声明与哪些PP和/或包相符合，以及声明的符合性类型。符合性陈述，包含：对于源自GB/T 30270的任何评估方法/活动的引用；注1：任何评估方法/活动的细节都可以包括在PP中，或相关的支持文档中。当完全相符合时，PP的这一部分出现了允许附加陈述，表明PP和PP-模块可以与此PP联合使用。ST

11、和由此PP派生的其他PP所要求的一致性类型。安全问题定义，表明威胁、OSP和假设；安全目的，说明如何在运行环境的安全目的和TOE的可选安全目的之间划分安全问题的解决方案；扩展组件定义，可定义新组件（即不包含在GB/T 18336.2或GB/T 18336.3内的组件）。需要这些新组件来定义扩展功能要求和扩展保障要求；安全要求，将TOE的安全目的转化为标准化语言。这种标准化语言采用SFR的形式。此外，PP的这一部分定义了SAR。PP概述（APE_INT）引言PP简介在两个抽象层次上以叙述的方式描述了TOE：PP参考，为PP提供标识材料；TOE概述，简要描述TOE。PP参考一个PP包含一个明确的P

12、P参考，用于识别该特定的PP。典型的PP参考由标题、版本号、发起人和发布日期组成。注：这里要区分PP的发起人和PP的作者。典型的PP发起人如负责开发PP的实体，PP作者则是负责PP生产的实体。示例：PP参考的一个例子是“亚特兰蒂斯海军电缆电话加密器PP，版本2b，亚特兰蒂斯海军采购办公室，2020年4月1日”。参考应该是唯一的，这样就可以区分不同的PP和相同PP的不同版本。PP参考有助于索引和参考PP并将其纳入PP目录。PP概述引言PP概述针对的是某TOE类型的潜在消费者，他们正在寻找能够满足其安全要求规范的保护轮廓目录。PP概述也针对那些可以使用PP设计TOE或调整现有产品的开发人员。PP概

13、述的典型长度是几个段落。为此，PP概述简要描述TOE的使用及其主要安全属性，标明TOE类型，以及TOE可用的任何主要的非-TOE硬件/软件/固件。TOE类型的使用和主要安全属性对TOE类型的适用和主要安全属性的描述旨在从通用的层面，对TOE的能力和用途给出一个概念。本部分是为PP作者、TOE开发人员或潜在的TOE消费者编写的，使用TOE消费者能够理解的语言，从业务操作的角度描述TOE类型的使用和主要安全属性。示例：这方面的一个例子是“亚特兰蒂斯海军电缆电话加密器是一种加密设备，允许舰船之间通过亚特兰蒂斯海军电缆电话系统进行机密通信。为此，它可以支持至少1024个不同的用户，并支持至少500Mb

14、/s的加密速度。它允许船舶之间的双边通信和整个网络的广播。”TOE类型TOE概述标识了此PP所描述的TOE的产品类型，例如：防火墙、VPN-防火墙、智能卡、加密调制解调器、内联网、Web服务器、数据库和移动设备等。TOE类型定义通常包括TOE软件和硬件边界的描述。示例：此TOE类型描述示例取自安全IC保护轮廓：“评估对象（TOE）是一种安全集成电路（安全IC），它由处理单元、安全组件、I/O端口（接触式、非接触式、或USB、MMC等类接口）以及易失性和非易失性存储器（硬件）组成。如果IC制造商交付了专门为IC设计开发的专有软件，也可以被包含在TOE中。（.）在安全IC上运行的所有其他软件都称为

15、安全IC嵌入式软件，而不是TOE的一部分。”可用的非TOE硬件/软件/固件虽然一些TOE不依赖于其他IT，但许多TOE，尤其是软件TOE，依赖于其他额外的非TOE的硬件、软件和/或固件。在后一种情况下，需要在PP概述中标明这些非TOE的硬件/软件/固件。由于PP不是针对特定的具体产品而编写，因此在许多情况下，只能给出可用硬件/软件/固件的通用概念。在某一些情况下，可以提供更具体的信息。示例1：一个能够提供更具体信息的示例是，当已经明确知道使用什么平台时，针对一个特定的消费者而提供的需求规范。示例2：硬件/软件/固件标识的示例包括：无标识（对于完全独立的TOE而言）；具有双核2.10GHz或更快

16、处理器和4GB或更大的RAM的标准PC，运行Yaiza操作系统专业版，版本为53.0更新6b、c或7，或版本54.0；标准64位服务器，配备2xQuad-Core核心处理器，16G或更大的RAM，运行Yaiza操作系统，服务器版本7.0升级6d，显卡为WonderMagic 12.0，配备1.01 WM驱动程序集；CleverCard SB17067集成电路；CleverCard SB17067集成电路，运行QuickOS智能卡操作系统v12.0版本；使用FP9处理器的智能手机和平板电脑上的Yaiza mobile-OS 3.1.6。符合性声明和符合性陈述（APE_CCL）引言PP的符合性声明

17、部分描述了PP如何：说明GB/T 18336系列相关部分的适用版本；与GB/T 18336.2及GB/T 18336.3的符合性（即为符合的或扩展的）；声明与其他PP的符合性（如果有）；声明与包的符合性（如果有）；关于PP如何符合GB/T 18336系列标准的描述包括两个部分：所使用的GB/T 18336系列相关部分的版本以及PP是否包含扩展的安全要求（见10.3和D.3.6）。PP对其他PP的符合性声明描述意味着PP列出了满足所声明符合性的任何其他PP。还标识了所声明的符合性类型。对此的解释见10.3。PP对包的符合性声明描述意味着PP列出了满足所声明符合性的包。对此的解释见10.3。注1：

18、关于符合性声明在PP-模块中的使用，参见C.2.2.5。注2：关于符合性声明在直接基本原理PP中的使用，参见B.5.2。PP的符合性陈述部分描述了PP如何：参考源自GB/T 30270的任何评估方法和/或活动；可与其他PP和PP-模块一起在PP-配置中使用。在严格符合性的情况下，使用符合性陈述是必需的。在符合性陈述中，对评估方法/活动的参考意味着PP提供了对评估过程中使用的评估方法和/或活动的参考，而这里的评估过程是基于声明了与该PP相符的ST的。这些评估方法和活动可直接包含在PP中，也可在参考的支持文档中找到。不需要在PP中复制这些评估方法和活动的文本描述。见10.3。如果要使用源自GB/T

19、 30270的评估方法/评估活动来评估PP，则应在相关安全要求部分通过以下形式的描述加以标明：“本PP要求使用中定义的评估方法/评估活动。”在本描述形式中，将替换为相关评估方法和评估活动的位置标识。该参考可以是包含PP的文档，也可以是一个或多个单独的文档。注3：如13.5中所述，在某些情况下，评估方案并不总是批准使用特定的EM/EA。PP中的符合性类型说明了ST和/或其他PP应如何与该PP相符。PP作者选择是否需要满足“精确”、“严格”或“可论证”的符合性。精确符合性如果选择了精确符合性，PP作者应在适用的情况下在PP的符合性声明部分的允许附加声明中指定以下信息：基于此PP的ST使用的其他PP

20、，或与此PP共用在PP-配置中的其他PP。某PP模块，在该PP模块的基础PP模块中指定此PP，或该PP模块可能存在于也包括此PP的PP-配置中。注1：如果上述两个选项都没有，则ST仅能声明与PP精确符合。注2：一个PP不能声明与另一个PP精确符合。安全问题定义（APE_SPD）有关SPD的信息和要求，请参见7.1。包括威胁、假设和组织安全策略（OSP）。安全目的（APE_OBJ）有关安全目的的信息和要求，包括TOE安全目的和运行环境安全目的，请参见7.2。注：在直接基本原理的情况下，TOE安全目的不需包括在内。扩展组件定义（APE_ECD）在许多情况下，PP中的安全要求是基于GB/T 1833

21、6.2或GB/T 18336.3中给出的组件（见B.3.7）。然而，在某些情况下，PP中的要求可能不是基于GB/T 18336.2或GB/T 18336.3中的组件。在这种情况下，应定义新组件，即扩展组件，并在扩展组件定义部分提供定义。有关这方面的更多信息，请参见8.4。注：本节只包含扩展组件，而不包含基于扩展组件的扩展要求。扩展要求包括在B.3.7所述的安全要求一节中，并将其与基于GB/T 18336.2或GB/T 18336.3中给出的组件的要求采用相同的处理办法。安全要求（APE_REQ）引言安全要求包括两组要求：安全功能要求（SFR）：将TOE安全目的转换为标准化语言；安全保障要求（S

22、AR）：描述如何得到TOE符合SFR的保障。这两组将在7.3中讨论。在PP中包含要求对于和另一PP具有严格符合性的PP，应包括本PP中的所有要求，并可能在相符合的PP中包括附加要求。对于和另一PP具有可论证符合性的PP，应包括本PP中的所有要求，或在相符合的PP中提供解释如何满足这些要求的原理。对所有符合类型性（精确、严格和可论证），PP中可包括下列任意类型的需求：如果一个PP包含可选的要求，与之具有符合性的PP可实例化这些要求，确保包含与要求相关的任何必需的SPD元素。不管PP要求什么类型的符合性，都可以按照上述去做。省略可选SFR并不构成PP的“部分符合性”，因此是允许的。参考PP中的其他

23、标准在某些情况下，PP作者需要参考外部标准，例如特定的密码标准或协议。GB/T 18336系列允许以两种方式来完成上述目标：作为OSP（或其一部分）；示例1：政府出台了相关标准来定义应如何选择密码，这可以在PP中表示为OSP。这可能会生成环境目的（例如，如果TOE用户需要选择相应的密码），或者也可能生成TOE的安全目的，这时如果TOE生成了密码，也会相应生成适当的SFR（可能是FIA类）。在这两种情况下，PP作者遵循的基本原理都是需要使TOE安全目的和SFR适合于实现OSP。如果OSP是由SFR实现的，评估人员将检查这实际上是否合理（并可决定是否需要为此进一步查看标准），如下所述。作为一种技术

24、标准，用于细化某一组件或安全要求；示例2：FCS_CKM.1.1细化：“选择：TSF，TOE平台应根据指定的加密密钥生成算法生成非对称加密密钥选择：使用2048位或更大的加密密钥大小的RSA方案来满足以下条件：选择：FIPS PUB 186-4，“数字签名标准（DSS）”，附录B.3；ANSI X9.31-1998，第4.1节；使用符合以下条件的“NIST曲线”P-256、P-384和选择：P-521，无其他曲线的ECC方案：FIPS PUB 186-4，“数字签名标准（DSS）”，附录B.4；使用满足以下条件的2048位或更大的加密密钥大小的FFC方案：FIPS PUB 186-4，“数字签

25、名标准（DSS）”，附录B.1”。如果只需要参考标准的某一部分，应在SFR的细化中无歧义的明确说明该部分。注：PP作者需注意，在SFR中引用标准会给开发符合PP的TOE的开发人员带来很大的负担（取决于所需保障级别和标准的复杂性和内容的多少），在评估与参考标准的符合性时，更适合采用其他可选择的（非GB/T 18336相关的）方法。直接基本原理PP引言编写PP时应考虑到将以该PP为基础而编写的ST。如D.4所述，在某些情况下，需要编写一份支持直接基本原理ST规范的PP。直接基本原理PP的目的是将SPD、运行环境安全目的与SFR之间的间接程度降到最低。在某些情况下，可以省略TOE安全目的的定义。在这

26、种情况下，使用自然语言描述增强SFR，以及运行环境目的可以直接映射SPD。直接基本原理PP包括：PP介绍，包括PP参考和TOE概述；符合性声明；运行环境的安全目的；SFR和SAR（包括扩展组件定义）以及安全要求的基本原理（仅在依赖关系没有得到满足时）。直接基本原理PP的内容如图B.2所示。直接基本原理PP的内容直接基本原理PP的符合性声明（APE_CCL）一个直接基本原理PP只能声明对另一直接基本原理PP具有符合性。常规PP可以声明对另一直接基本原理PP的符合性。直接基本原理PP的安全目的（APE_OBJ）与包含TOE安全目的的PP相比，直接基本原理PP在安全目的方面有以下差异：不包括TOE的

27、安全目的。仍应描述运行环境的安全目的；只包括针对运行环境安全目的基本原理，因为在PP中没有TOE安全目的；直接原理PP的安全要求（APE_REQ）。应包括直接将SFR和运行环境的任何安全目的映射到SPD-元素的安全要求基本原理。建议将这部分安全要求基本原理直接置于SPD部分中的每个威胁、OSP和假设之下。与常规的PP一样，安全要求基本原理还需要证明任何未被满足的SFR依赖关系；基本原理的这一部分通常置于SFR定义之后。PP的可选内容PP可能包括源自GB/T 30270的评估方法/活动。与PP相关的评估方法/活动在PP的符合性声明部分中被参考。见10.3。如果PP作者决定在PP中包含任何评估方法

28、和/或活动，那么它们可以在一个（单独的）支撑文档中进行描述，或者在PP的安全要求部分与相关的安全要求一起描述。（规范性）PP-模块和PP-配置的规范本附录的目标和结构本附录的目的是总结PP-模块和PP-配置的结构和预期内容。注1：本附录没有定义PP-配置评估的要求。PP-配置评估准则在GB/T 18336.3中给出的ACE类中。PP-模块规范使用PP-模块PP-模块是一组满足特定消费者要求的用户或开发人员、监管机构、管理人员或任何其他实体的安全陈述。一个PP-模块补充了一个或多个PP，也可补充可选的其他PP-模块，这些PP-模块被称为此PP-模块的“基础PP-模块”，并允许消费者引用此陈述，方

29、便对其进行评估，以及与相符合的评估过的TOE进行比较。PP-模块只能在包含这个基础PP-模块的PP-配置中使用。注：基础PP是PP-模块所需要的PP。基础PP-模块是与其基础PP-模块一起被另一个PP-模块所需要的PP-模块。PP-模块的强制性内容引言 图C.1展示了PP-模块的内容。PP-模块的内容PP-模块的内容总结如下，并在C.2.2.2到C.2.3中详细解释。PP-模块包含：简介部分，用以标识PP-模块，标识其所基于的基础PP-模块，并提供其环境内TOE的描述，以满足基础PP-模块的描述；一致性基本原理，说明PP-模块及其基础PP-模块之间对应关系；符合性声明，关于GB/T 18336

30、系列标准的符合性声明陈述，及在精确符合的情况下允许的附加声明；安全问题定义，包含威胁、假设和OSP的定义；安全目的，根据TOE目的及其运行环境目的提出的安全问题解决方案；可选的扩展功能组件定义，其中引入了GB/T 18336.2中未包含的新功能组件；安全功能要求部分，包含TOE安全目的的标准化陈述；安全保障要求部分，除了在精确符合的情况下SAR继承自基础PP。PP-模块介绍PP-模块参考PP-模块介绍提供了一个清晰和无歧义的参考，从而允许对PP-模块进行标识。一个典型的参考包括PP-模块的标题、文档的版本、发起人和发布日期。PP-模块参考可用于在PP目录中为文档编制索引。基础PP-模块的标识P

31、P-模块的介绍标识了其基础PP-模块。标识是由一列参考组成。需要与一个基础PP-模块一起使用的一个PP-模块，例如B1 ., Bn，将提供以下形式的标识列表：B1.和.Bn，其中n1这组PP/PP-模块应该是封闭的，也就是说，对于任何PP-模块Bi，它自己的基础PP-模块应该属于集合B1 .Bn。注1：这意味着集合B1 ., Bn要么不包含任何PP-模块，要么包含至少一个只需要基础PP而不需要其他基础PP-模块的PP-模块。一个PP-模块可用其他基础PP-模块的集合做备选，例如S1 .Sk;在这种情况下，标识列表应指出：S1 或 Sk，其中k 1基础PP-模块的备选集合的标识展开形式是：（B1

32、.和. Bni） . 或 . （B1.和. Bnk）其中 k 1 且ni 1注2：一个声明了或操作列表的PP-模块等价于许多包含Si元素的PP-模块。也就是说，或操作列表是一种快捷方式用以避免针对不同的使用需要定义并维护相似的PP-模块。TOE概述如果确保PP-模块及其基础PP-模块之间的一致性，则PP-模块的TOE概述可以完成基础PP-模块的TOE概述；PP-模块的TOE类型可能与基础PP-模块的TOE类型相同，也可能引入满足PP-模块目标所需的特定特性；PP-模块可以在基础PP-模块所陈述的内容之外引入进一步的使用方法和主要安全特性；PP-模块可以对特定的非TOE硬件、软件和/或固件进行说

33、明，并要与基础PP-模块中的声明相符合。在PP-模块中，补充基础PP-模块的TOE概述的可能性与在PP或ST中补充他们声明相符合的另一PP的TOE概述的可能性具有相同的含义。当PP-模块中的TOE概述声明与基础PP-模块中的TOE概述相同时，即没有额外添加内容时，可通过参考给出。PP-模块可以提供与PP-模块尽可能多的特定TOE概述。一致性基本原理PP-模块应该提供一个与其基础PP-模块相关的一致性基本原理。如果PP-模块指明了备选的基础PP-模块集，则PP-模块应提供与备选的基础PP-模块数量相同的一致性基本原理。对每个基础PP-模块的一致性分析，应根据TOE类型、SPD、目的和SFR进行。

34、最后，目标是证明TOE能够满足基础PP-模块和PP-模块中提供的TOE类型描述，并满足PP-模块及其基础PP-模块中规定的所有SFR。一致性基本原理应证明在PP-模块及其基础PP-模块中定义的SPD、目的和SFR作为一个整体不会产生冲突矛盾。一致性基本原理可以使用SPD/目标/SFR之间的对应表以及文本论证。保障基本原理保障基本原理应证明从基础PP继承的SAR集合的适用性，与PP-模块中定义的SPD相一致，也就是说，保障要求和威胁模型并不矛盾。如果PP-模块没有从其基础PP继承其SAR集合，则保障基本原理应证明就PP-模块及其基础PP-模块的共有资产而言，PP-模块及其基础PP-模块中的保障要

35、求不存在相互矛盾的情况。符合性声明和符合性陈述引言所有PP-模块中都应包括每一PP-模块的这部分内容，并描述PP-模块如何符合：GB/T 18336.2，GB/T 18336.3，它们的各个版本，以及任何扩展安全要求的使用；功能和保障包。PP-模块不得声明对任何PP、其他PP-模块或PP-配置的符合性。PP-模块的符合性声明标识了所需的符合性类型。精确符合性从基本PP继承而来，要求所有基础PP-模块也都具有精确符合性。PP-模块的符合性声明还可以标识需要与之一起使用的任何评估方法和/或活动。如果要使用源自GB/T 30270的评估方法/评估活动来评估PP-模块，则应在相关的安全要求部分通过以下

36、形式的声明加以标识：“本PP-模块要求使用中定义的评估方法/评估活动。”其中由适用于PP-模块的评估方法和评估活动的位置的标识代替。该参考可能是指包含包的文档，也可能是指一份或多份单独的文档。注：评估方法/评估活动既可以包含在PP-模块本身中，也可以包含在描述它们的一个或多个单独的文件中。精确符合性在精确符合性的情况下，允许附加声明除了基础PP-模块的PP-模块集之外，还包括PP和PP-模块的标识，这些允许具有该PP-模块的PP-配置中使用。PP-配置中要求精确符合性的所有组件，在其符合性声明中也应要求精确符合性。注1：这帮助维持了精确符合性的概念，即PP-模块的作者可以控制哪些其他要求可以与

37、PP-模块中的要求相结合。图C.2显示了在精确符合性的情况下，符合性声明和符合性陈述是如何在精确符合性的单一保障下被继承的。精确符合性场景下继承的符合性声明和符合性陈述注2：在精确符合性的情况下，不允许在PP-配置中定义EM/EA（即使用的EM/EA只能在PP-配置中使用的PP和PP-模块中进行标识）。安全问题定义本节定义PP-模块需要解决的安全问题。它可以包含所有类型的SPD-元素，即假设、威胁和OSP。PP-模块定义了与基础PP-模块的安全问题以及在PP-模块简介中提供的TOE定义及其环境定义相关的安全问题。每个SPD元素可能来自基础PP-模块，也可能是全新的。要想“E”成为PP-模块的一

38、个SPD-元素，则以下情况之一需要成立：“E”属于已标明的基础PP-模块；对SPD元素的引用就足够了；“E”是对基础PP-模块的SPD元素的细化；“E”是一个新的SPD元素，与PP或其环境的附加属性有关。注1：细化的SPD元素可以作为新的SPD元素处理，而不会对SPD的含义产生任何影响。注2：PP-模块可以像ST那样引入超出了基础PP-模块范围的假设。安全目的本节定义了TOE和TOE运行环境的安全目的。PP-模块定义了与基础PP-模块的安全目的相关的新安全目的。每个安全目的可能来自一个基础PP-模块，也可能是全新的。要想“O”成为PP-模块的一个目标，则以下情况之一需要成立：“O”属于基础PP

39、-模块；仅引用安全目的就足够了；“O”是基础PP-模块安全目的的细化；“O”是PP-模块引入的新目的。注：细化后的目的可以作为新目的处理，对整个目的集的含义没有任何影响。只有当PP-模块涉及基础PP-模块范围以外的内容时，PP模块才可以为TOE的运行环境引入新目的。在PP-模块细化到TOE类型的情况下，一些基础PP-模块的环境安全目的可以成为PP-模块中TOE的安全目的。本节还定义了SPD和PP-模块的安全目的之间的基本原理，包括通过追溯PP-模块的SPD到其安全目的而建立的映射，以及证明追溯有效的论证，如7.2.5所述。此外，映射不仅要表明所有SPD元素都被覆盖，而且还必须表明不存在无用的安

40、全目的。还可能存在PP-模块的一些安全目的覆盖基础PP-模块中的SPD元素，但不属于PP-模块自身的SPD。此信息不是必需的，但可以在应用注释中提供。扩展功能组件定义本部分与B.3.6中规定的PP和ST扩展组件部分相同。安全要求安全要求包括两组要求：安全功能要求（SFR）；将TOE的安全目的转换为标准化语言；安全保障要求（SAR）。对于如何获取TOE符合SFR的保障的描述。这两组内容将在7.3中讨论。安全功能要求根据PP-模块中的TOE安全目的集和基础PP-模块的安全功能要求，定义TOE的安全功能要求。每个安全功能要求可能来自基础PP-模块，也可能是全新的。要想“R”成为PP-模块的安全功能要

41、求，以下情况之一成立：“R”属于基础PP-模块；对该要求的引用就足够了；“R”是基础PP-模块中SFR的细化；“R”是PP-模块引入的新要求。注：细化的要求可以作为新的要求处理，而不会对整个要求集的含义产生任何影响。本节还定义了PP-模块的SFR和TOE安全目的之间的基本原理，该基本原理内容包括追溯SFR到PP-模块的TOE目的而建立的映射，以及证明追溯是有效的论证，如7.2.5所述。此外，映射不仅应表明TOE的所有目的都已涵盖，而且还应表明没有无用的安全功能要求。PP-模块的SFR还可能包括基础PP-模块中不属于PP-模块自身的TOE安全目的。此信息不是必需的，但可以在应用注释中提供。PP-

42、模块可以定义并包括可选SFR（和任何必需的SPD元素），这一点与之前在B.3.7中为PP规定的类似。安全保障要求PP-模块定义了在包括此PP-模块的PP-配置中使用的一组SAR。C.2.2.4中描述的保障基本原理确保这组SAR与基础PP-模块保持一致性。使用单一保障的PP-模块从它的基础PP-模块继承SAR集合，包括任何保障包，如预定义的EAL。应能解决具有不同SAR的基础PP-模块的ANDed元素的问题，处理方法应与一个与所有这些PP相符合的PP的处理方法相同。直接基本原理PP-模块PP-模块的编写意图是，它们与同样使用直接基本原理的基础PP-模块中的组件一起使用。在这种情况下，TOE的安全

43、目的不包括在PP-模块中，而TOE的运行环境的安全目的可能包括在内。直接基本原理中PP-模块的内容如图C.3所示。直接基本原理PP-模块的内容包含来自基础PP-模块的SPD元素的指南为了限制PP-模块中包含的信息量，PP-模块作者应用了以下规则：设E、O和R分别属于PP/PP-模块Q的SPD、安全目的和SFR，R映射到O，O映射到E。设M是PP-模块，Q属于M的基础PP-模块。M必须满足以下条件：E，O，R，以及它们之间的映射，只有当这些元素中至少有一个链接到M中的新元素时，才应该属于M，即：或者M中存在新的SPD元素E，使O映射到E；或M中有一个新的目标O，使得O映射到E或R映射到O；或在M

44、中有一个新的要求R，使得R被映射到O。也就是说，一个PP-模块将不包含基础PP-模块已有的部分，除非它们被要求满足新的需求。在这里，细化的元素可以认为是新的元素。PP-模块的可选内容PP-模块可以选择性地包括源自GB/T 30270的评估方法/活动。与PP-模块相关的评估方法/活动在符合性声明部分中予以标明。详见11.2.3.3。如果PP-模块作者决定在PP-模块中包含任何评估方法和/或活动，那么这些方法/活动可能与相关安全要求一起在安全要求部分中提供，也可能在任何其他合适的部分或外部文件中提供。适用时，应用注释应与PP-模块中的特定要求相关联。PP-配置规范引言PP-配置的内容如下图C.4所

45、示，并在附录C.3.2至C.3.7中详细解释。PP-配置的内容PP-配置包含：PP-配置唯一标识的参考；标识组成PP-配置的PP和PP-模块的组件陈述，包括定义一组封闭组件所需的所有基础PP-模块；一份符合性声明，说明GB/T 18336系列标准相关部分的版本，对GB/T 18336.2和GB/T 18336.3的符合性声明，对保障包的符合性声明，以及一份符合性陈述，其中定义ST与本PP-配置的符合性是否必须是精确的、严格的、可论证的，或是从其组件集继承的严格的和可论证的组合，以及任何适用的评估方法/活动；TOE类型的描述；根据PP-配置组件定义的子TSF对TSF组织的描述；SAR陈述，详细描

46、述了适用于整个TOE的SAR集合。在多重保障的情况下，SAR陈述应包括应用于PP-配置组件中定义的子TSF的SAR集。SAR陈述还包括保障基本原理，以确保PP-配置及其组件之间的一致性。注：保障包可以是来自GB/T 18336.5的EAL。PP-配置的参考PP-配置参考提供了一个清晰和无歧义的标识，通常由标题、版本号、作者和发布日期组成。PP-配置参考可用于在目录中索引文档。组件陈述PP-配置组件陈述可以标识出组成PP-配置的PP和PP-模块。PP-配置组件陈述应包括相应PP-模块所需的基础PP-模块。如果PP-模块指定了备选的基础PP-模块，在PP-配置中只能引用其中的一个集合。注：PP-配

47、置不能直接声明与功能包的符合性，不管它们的组件是否声明了符合性。在多重保障的情况下，PP-配置组件陈述应根据PP-配置组件定义的子TSF提供TSF组织。TOE概述PP-配置的TOE概述应提供：PP-配置的TOE类型，被声称与PP-配置相符合的ST所适用；TOE的预期用途和主要安全属性；可用的非TOE硬件、软件和/或固件（如果适用）。一致性基本原理PP-配置应提供一致性基本原理，以确保组件组合的兼容性。一致性基本原理应证明TOE概述与PP-配置组件的TOE概述是一致的，并且这些组件中定义的SPD、安全目的和SFR的结合使用不会导致矛盾。一致性基本原理可以使用SPD/安全目的/SFR之间的对应表以

48、及文本论证。符合性声明和符合性陈述GB/T 18336系列的符合性声明适用于PP-配置的GB/T 18336系列相关部分的版本。符合性类型ST与PP-配置的符合性应是完全的或严格的或可论证的；如果PP-配置包含两种符合性类型的组件，则应该是精确的符合性和可论证的符合性的组合。任何声明与PP-配置相符合的ST都应符合PP-配置符合性声明中要求的符合性类型。保障包的符合性声明符合性声明可以包含一个保障包符合性声明，描述PP-配置对保障包的任何符合性。一个PP-配置中可以声明对多个包的符合性。评估方法/活动参考陈述PP-配置EM/EA的符合性陈述还可以标识需要使用的任何评估方法/活动。如果一个PP配

49、置是严格的或可论证的符合性类型（但不是精确符合性类型），则该PP配置可以进一步包括PP-配置组件中参考的评估方法/活动之外的评估方法/活动。精确符合性的附加要求如果PP-配置在其符合性陈述中选择了精确符合性作为其符合性类型，则：如果PP-配置中任何一个组件要求精确符合性，那么PP-配置中所有其他组件也需要精确符合性，并且在PP-配置的符合性陈述中需要明确精确符合性；PP-配置中的所有组件应允许PP-配置中的所有其他组件在PP-配置中各自符合性声明部分的允许附加声明中一起使用；注：PP-模块不需要在其允许附加声明中包含自己的基础PP-模块，因为它们已经被隐性允许。图C.5中提供了一个示例。适用于

50、PP-配置的EM/EA只能是PP-配置组件中包含的EM/EA;不允许额外的评估方法/活动，或是修改PP-配置组件的评估方法/活动。PP-配置和精确符合性示例：PP-配置在其符合性陈述中要求精确符合性，因为基本PP中都要求精确符合，因此被PP-模块继承。PP-模块X和Y都有一个相同的基础PP集：PP B和PP C，两者都要求精确符合性。以下陈述（如图所示）应该是真实的，这是一个可评估的PP-配置，具有“精确符合性”的符合性声明：PP-模块从它们的基础PP继承符合性陈述，所以它们的符合性陈述是精确符合性的类型；PP-配置需要精确符合性，因为PP-模块需要精确符合性；PP B应在其符合性陈述中表明，

51、它允许与PP C、PP-模块X和PP-模块Y一起使用；PP C应在其符合性陈述中表明，它允许与PP B、PP-模块X和PP-模块Y一起使用；PP-模块X应在其符合性陈述中表明，它允许与PP-模块Y一起使用；PP-模块Y应在其符合性陈述中表明，它允许与PP-模块X一起使用。SAR陈述PP-配置的SAR陈述规定了一组SAR，这些SAR适用于由声明与此PP-配置相符合的ST所规范的TOE评估。在多重保障的情况下，当PP-配置组件承载不同的SAR集时，PP-配置应定义适用于这些组件定义的每个子TSF的SAR集。应用于整个TOE的SAR集合称为全局保障包。在可论证的符合或严格的符合情况下，全局保障包是适

52、用于每个PP-配置组件的SAR公共子集的超集。在精确符合性类型的情况下，全局保障包是PP-配置组件的SAR的最小公共集;不允许进行增加。在PP-配置中，应用于每个子TSF的SAR集合要么与相应的PP-配置组件中定义的SAR集合相同，要么是该集合的。示例：一组SAR的一个例子是在GB/T 18336.5中预定义的EAL保障包。PP-配置应提供保障基本原理，以证明可应用的SAR集合与其组件中定义的SAR的一致性，特别是与公共资产相关的一致性。另外，当SAR在PP-配置级别被增强，或者额外的EM/EA在PP-配置级别被指定时，保障基本原理会就EM/EA在PP-配置组件中的处理进行讨论。注：PP-配置

53、的保障基本原理必须将PP-模块中给出的分析扩展到PP-配置的所有组件。这通常是通过展开PP-配置组件的SPD元素并分析适用于每个资产的SAR集合来完成的。（规范性）安全目标和直接基本原理安全目标规范本附录的目标和结构本附录的目标是总结 ST 的结构和预期内容。由于PP和ST有大量的重叠，本附录重点讨论PP和ST之间的差异。ST和PP之间的相同部分见附录B。注：本附录没有规定ST的评估要求。ST的评估准则在GB/T 18336.3的ASE类中可以找到。本附录由四个主要部分组成：如何使用 ST；D.2对这一部分进行了总结，其中描述了如何使用ST，以及能用ST回答的一些问题。ST应包含；具体在D.3

54、 中有详细说明。介绍了ST的必备内容、各内容之间的相互关系并提供了示例。声明对标准的符合性；D.5描述了ST作者如何声明TOE满足特定标准。直接基本原理ST。直接基本原理ST中，将SFR和可能的运行环境安全目的直接映射到 SPD-元素。D.4适用于直接基本原理ST。使用 ST如何使用 ST一个典型的 ST承担以下两个角色:评估之前及评估期间，ST 指出“要评估什么”。在这个角色中，ST 作为开发者和评估者就TOE准确的安全属性和评估范围达成一致的基础。技术正确性和完备性是这个角色的主要问题。D.3.2和D.3.5描述了在这一角色中如何使用 ST。评估完成后，ST 指出“评估了什么”。在这个角色

55、中，ST 作为开发者或TOE销售者和TOE潜在消费者之间达成一致的基础。ST以抽象的方式描述了TOE准确的安全属性，因为TOE已经通过了满足ST要求的评估，潜在消费者能够依赖于该描述。易用性和易理解性是这个角色的主要问题，D.2.3描述了在这一角色中如何使用ST。不使用ST的情况在众多的角色中，ST不适用的一个角色是：完整的规范：ST被设计成一个安全规范，而不是一个完整的规范。除非与安全相关，否则诸如互操作性、物理尺寸和重量、所需电压等属性不应成为 ST 的一部分。这意味着一般来说，ST是完整规范的一部分，但ST本身并不是一个完整的规范。ST可回答的问题评估完成后，ST 指明“评估了什么内容”

56、。在这个角色中，ST是TOE开发者或销售者与TOE潜在消费者之间达成协议的基础。因此，ST可以回答以下问题（以及更多问题）：鉴于现有的ST/TOE数量众多，我如何找到我需要的ST/TOE ?这个问题由TOE概述来解决，它给出了一个简短的(几段内容)TOE概述；这个TOE是否适合我现有的IT基础设施?TOE概述解决了这个问题，它标识了运行TOE所需的主要硬件/固件/软件元素；这个TOE是否适合我现有的运行环境?这个问题是由运行环境的安全目的来解决的，它标识出了TOE为了正常运行而对运行环境施加的所有约束；TOE有什么作用（感兴趣的读者）?这个问题由TOE概述来解决，它给出了一个简短的(几段内容)

57、TOE概述；TOE有什么作用（潜在消费者）?这个问题由TOE描述来解决，它给出了一个更加详细的(几页内容) TOE概述；TOE有什么作用（技术上）?TOE概要规范解决了这个问题，它提供了TOE使用机制的高层次描述；TOE有什么作用（专家）?SFR解决了这个问题，它提供了一个抽象的高度技术性的描述，TOE概要规范提供了附加的细节描述；TOE 是否解决了我的政府/组织定义的问题?如果您的政府/组织已经通过定义包和/或PP和/或PP-配置来实现这个解决方案，那么可以在ST的符合性声明部分找到答案，该部分列出了ST符合的所有包、PP和PP -配置；TOE 是否解决了我的安全问题（专家）?TOE 面临哪

58、些威胁？它执行哪些OSP？它对运行环境做了哪些假设？这些问题由SPD解决；我可以对TOE给予多少信任?这可以在安全要求部分的SAR中找到，该部分提供了用于评估TOE的保障要求，因此建立了对TOE正确性进行评估所能提供的信任度。ST 的强制性内容引言ST有两种类型。首先是“常规”ST，即包含D.3.3到D.3.7.2中描述的全部内容的ST。其次，在某些情况下，ST作者可能使用直接基本原理ST，其中没有说明TOE的安全目的。直接基本原理ST 以及使用它们的原因和环境在D.4中有详细描述，本附录的所有其他部分都假定 ST 具有完整的内容。图 D.1 显示了GB/T 18336.3中给出的ST的内容。

59、ST的内容图D.1也可以作为ST的结构轮廓，但也允许使用其他结构替代。例如，如果安全要求基本原理内容特别多，可以将其包含在ST的附录中，而不是包含在安全要求部分。ST的各部分以及其中的内容简要总结如下，并在D.3.3至D.3.7.2中进行了更详细的解释。ST 包含：ST介绍，包含三种不同抽象层面的TOE描述；符合性声明，声明ST与GB/T 18336.2和GB/T 18336.3相关版本的符合；声明ST是否符合任何PP、PP-配置和/或包；如果是，则需标识具体的PP、PP-配置和/或包、评估方法/活动、及声明的符合性类型；安全问题定义，包括威胁、OSP和假设；安全目的，描述安全问题的解决方案如

60、何通过TOE安全目的和TOE运行环境安全目的实现；扩展组件定义(可选)，其中可以定义新组件(即不包括在GB/T 18336.2或GB/T 18336.3中的组件)。需要这些新组件来定义扩展功能要求和扩展保障要求；安全要求，将TOE的安全目的转化为标准化语言。标准化语言采用 SFR的形式。此外，本节定义了SAR；TOE概要规范，表明如何在TOE中实现SFR。ST介绍(ASE_INT)引言ST的介绍在三个抽象层面上对TOE进行了叙述性描述：ST参考和TOE参考，提供了ST和对应TOE的标识；TOE概述，简要描述TOE；TOE描述，对TOE作更详细地描述。ST参考和TOE参考ST参考和TOE参考有助