标准解读

《GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证要求》相比于其前版《GB/T 18336.3-2001》,主要在以下几个方面进行了调整和更新:

  1. 与国际标准的接轨:2008版更紧密地遵循了国际通用标准ISO/IEC 15408的最新修订内容,确保了国内标准与国际标准的一致性,有助于提升我国信息技术产品在全球市场上的互认度。

  2. 安全保证框架的完善:新版标准对安全保证框架(Security Assurance Framework)进行了细化和优化,增加了新的安全保证组件和评估方法,为评估者提供了更为详细和系统的指导,以确保评估过程的全面性和深度。

  3. 评估保证级别(EAL)的调整:虽然EAL的总体架构保持不变,但2008版对各个评估保证级别的具体内容和要求进行了修订,以更好地反映技术进步和安全需求的变化。这包括对特定EAL级别的功能和测试要求进行更新,使其更加符合实际安全场景的需求。

  4. 术语和定义的更新:为了提高标准的清晰度和适用性,新版标准对一些关键术语和定义进行了修订或新增,以适应信息技术领域的发展和安全概念的演进。

  5. 增强的可操作性和实用性:2008版标准在表述上力求更加精确和明确,为实施安全性评估的机构和个人提供了更为具体的操作指南,便于理解和执行,提高了评估工作的效率和质量。

  6. 关注新兴技术和威胁:鉴于信息技术快速发展,新版本标准在一定程度上考虑了当时新兴的技术趋势和安全威胁,如网络服务、云计算的初步兴起,虽然这些内容可能不如后续版本详尽,但仍体现了标准对技术进步的响应。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替,建议下载现行标准GB/T 18336.3-2015
  • 2008-06-26 颁布
  • 2008-11-01 实施
©正版授权
GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求_第1页
GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求_第2页
GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求_第3页
GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求_第4页
GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求_第5页

文档简介

犐犆犛35.040

犔80

中华人民共和国国家标准

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

代替GB/T18336.3—2001

信息技术安全技术

信息技术安全性评估准则

第3部分:安全保证要求

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—

犈狏犪犾狌犪狋犻狅狀犮狉犻狋犲狉犻犪犳狅狉犐犜狊犲犮狌狉犻狋狔—

犘犪狉狋3:犛犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲狉犲狇狌犻狉犲犿犲狀狋狊

(ISO/IEC154083:2005,IDT)

20080626发布20081101实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3术语、定义和缩略语!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4.1本部分的结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5GB/T18336保证范型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5.1GB/T18336基本原则!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5.2保证方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.3GB/T18336评估保证尺度!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6安全保证要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.1结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.2组件分类法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.3保护轮廓和安全目标评估准则类结构!!!!!!!!!!!!!!!!!!!!!!!!7

6.4本部分中术语的用法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.5保证分类!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

6.6保证类和族概况!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7保护轮廓与安全目标评估准则!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.2保护轮廓准则概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3安全目标准则概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

8APE类:保护轮廓评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.1TOE描述(APE_DES)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.2安全环境(APE_ENV)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.3PP引言(APE_INT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.4安全目的(APE_OBJ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

8.5IT安全要求(APE_REQ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

8.6明确陈述的IT安全要求(APE_SRE)!!!!!!!!!!!!!!!!!!!!!!!20

9ASE类:安全目标评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

9.1TOE描述(ASE_DES)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

9.2安全环境(ASE_ENV)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

9.3ST引言(ASE_INT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

9.4安全目的(ASE_OBJ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

9.5PP声明(ASE_PPC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

9.6IT安全要求(ASE_REQ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

9.7明确陈述的IT安全要求(ASE_SRE)!!!!!!!!!!!!!!!!!!!!!!!!26

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

9.8TOE概要规范(ASE_TSS)!!!!!!!!!!!!!!!!!!!!!!!!!!!27

10评估保证级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

10.1评估保证级(EAL)概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

10.2评估保证级细节!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

10.3评估保证级1(EAL1)———功能测试!!!!!!!!!!!!!!!!!!!!!!!!30

10.4评估保证级2(EAL2)———结构测试!!!!!!!!!!!!!!!!!!!!!!!!30

10.5评估保证级3(EAL3)———系统地测试和检查!!!!!!!!!!!!!!!!!!!!31

10.6评估保证级4(EAL4)———系统地设计、测试和复查!!!!!!!!!!!!!!!!!32

10.7评估保证级5(EAL5)———半形式化设计和测试!!!!!!!!!!!!!!!!!!33

10.8评估保证级6(EAL6)———半形式化验证的设计和测试!!!!!!!!!!!!!!!34

10.9评估保证级7(EAL7)———形式化验证的设计和测试!!!!!!!!!!!!!!!!!36

11保证类、族和组件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

12ACM类:配置管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

12.1CM自动化(ACM_AUT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

12.2CM能力(ACM_CAP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

12.3CM范围(ACM_SCP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!45

13ADO类:交付和运行!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

13.1交付(ADO_DEL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

13.2安装、生成和启动(ADO_IGS)!!!!!!!!!!!!!!!!!!!!!!!!!!48

14ADV类:开发!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!49

14.1功能规范(ADV_FSP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!52

14.2高层设计(ADV_HLD)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

14.3实现表示(ADV_IMP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!59

14.4TSF内部(ADV_INT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!62

14.5低层设计(ADV_LLD)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!65

14.6表示对应性(ADV_RCR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!67

14.7安全策略模型(ADV_SPM)!!!!!!!!!!!!!!!!!!!!!!!!!!!69

15AGD类:指导性文档!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!71

15.1管理员指南(AGD_ADM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!72

15.2用户指南(AGD_USR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!73

16ALC类:生命周期支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!73

16.1开发安全(ALC_DVS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!74

16.2缺陷纠正(ALC_FLR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!75

16.3生命周期定义(ALC_LCD)!!!!!!!!!!!!!!!!!!!!!!!!!!!78

16.4工具和技术(ALC_TAT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!80

17ATE类:测试!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!81

17.1测试覆盖(ATE_COV)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!82

17.2测试深度(ATE_DPT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!84

17.3功能测试(ATE_FUN)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!86

17.4独立测试(ATE_IND)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!88

18AVA类:脆弱性评定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!90

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

18.1隐蔽信道分析(AVA_CCA)!!!!!!!!!!!!!!!!!!!!!!!!!!!91

18.2误用(AVA_MSU)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!93

18.3TOE安全功能强度(AVA_SOF)!!!!!!!!!!!!!!!!!!!!!!!!!96

18.4脆弱性分析(AVA_VLA)!!!!!!!!!!!!!!!!!!!!!!!!!!!!97

附录A(资料性附录)保证组件依赖关系的交叉引用!!!!!!!!!!!!!!!!!!102

附录B(资料性附录)EAL和保证组件的交叉引用!!!!!!!!!!!!!!!!!!!106

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

前言

GB/T18336在总标题《信息技术安全技术信息技术安全性评估准则》下,由以下几个部分

组成:

———第1部分:简介和一般模型

———第2部分:安全功能要求

———第3部分:安全保证要求

本部分是GB/T18336的第3部分。

本部分等同采用国际标准ISO/IEC154083:2005《信息技术安全技术信息技术安全性评估准

则第3部分:安全保障要求》,仅有编辑性修改。

本部分代替GB/T18336.3—2001《信息技术安全技术信息技术安全性评估准则第3部分:

安全保障要求》。

本部分与GB/T18336.3—2001的主要差异如下:

1.删除了GB/T18336.3—2001的“ISO/IEC前言”;

2.增加了“引言”;

3.减少了“AMA:保证维护”类;

4.对GB/T18336.3—2001附录A中表A.1进行了调整。

本部分的附录A和附录B是资料性附录。

本部分由全国信息安全标准化技术委员会提出和归口。

本部分的主要起草单位:中国信息安全测评中心。

本部分主要起草人:吴世忠、李守鹏、王贵驷、黄元飞、陈晓桦、刘晖、刘春明、李斌、彭勇、付敏、刘楠、

徐长醒、简余良、张利。

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

引言

本部分定义的安全保证组件是在一个保护轮廓(PP)或安全目标(ST)中表述安全保证要求的基础。

这些要求建立了一种表述评估对象(TOE)保证要求的标准方法。本部分列出了一组保证组件、族

和类。本部分还定义了PP和ST的评估准则,提出了定义关于TOE保证等级的预定义GB/T18336

尺度的一些评估保证级别,称为“评估保证级”(EAL)。

本部分的目标读者主要有安全的IT系统和产品的客户、开发者、评估者。GB/T18336.1第4章

提供了关于GB/T18336目标读者的附加信息,以及目标读者组如何使用GB/T18336的附加信息。

这些读者组可以如下方式使用本部分:

a)客户,在选取组件来表述保证要求,以满足一个PP或ST提出的安全目的时,使用本部分。

GB/T18336.1的5.4条提供了关于安全目的和安全要求之间关系的更多详细信息;

b)开发者,在构造TOE时响应实际的或预测的客户安全要求,在解释保证要求陈述和确定TOE

的保证方法时参考本部分;

c)评估者,在确定TOE的保证以及评

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论