《信息技术安全技术信息技术安全评估准则》

7《信息技术安全技术信息技术安全评估准则》编制说明任务来源根据国家标准化管理委员会2012年下达的国家标准制修订计划，国家标准《信息技术安全技术信息技术安全评估准则》由中国信息安全测评中心负责主办，标准计划号为20120542-T-469（全国信息安全标准化技术委员会2012年信息安全专项）。编制原则保持与国际接轨，在跟踪分析和了解国际标准的发展情况下，积极采纳国际上先进行的标准，吸收先进的思想。提高可读性，在全面了解国际标准的精神基础上，充分汲取我们对GB/T18336-2008版的认识，对专业技术概念进行本地化。充分考虑可操作性，对安全要素的定义赋值等，充分考虑在评估和开发过程中的可操作性。CC3.1的R1、R2和R3版分别于2006年9月、2007年9月和2009年7月，2012年9月CCDB又发布了CC3.1R4，而ISO/IEC15408:2009采纳的是CC3.1R3版，鉴于GB/T18336是等同采用ISO的标准，为保持与国际标准同步，我们将ISO/IEC15408:2009即CC3.1R3作为本次GB/T18336-201X的修订版。主要工作过程1）2012年10月成立了《信息技术安全技术信息技术安全评估准则》标准编写组。2）2012年10月-2013年7月，参照ISO/IEC15408:2008对《信息技术安全技术信息技术安全评估准则》进行修订，并在征求了北大教授王立福的意见后形成《信息技术安全技术信息技术安全评估准则》草案（第一稿）。3）2013年8月8日，参加安标委WG5工作组专家评审会，《信息技术安全技术信息技术安全评估准则》草案通过了评审。出席评审会的专家包括王立福（组长）、曲成义、赵战生、肖京华、顾健，以及WG7秘书许玉娜。会后，根据评会专家意见进行修改（参见标准草案稿意见汇总处理表），形成并提交《信息技术安全技术信息技术安全评估准则》草案（第二稿）。4)2013年8月12日至2013年8月18日,信安标委WG5工作组组织各成员单位对标准草案进行了投票，2013年8月26日至8月30日，根据投票意见对标准草案进行了修订，形成征求意见稿。标准的主要内容GB/T18336《信息技术安全技术信息技术安全评估准则》（等同于ISO/IEC15408）（通常也简称通用准则——CC）已于2001年3月正式颁布，并于2008年发布了第二版。该标准是评估信息技术产品安全性的基础准则。ISO/IEC15408是国际标准化组织统一现有多种评估准则努力的结果。其发展的主要阶段为：1996年，六国七方（英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标准技术研究所）公布《信息技术安全性通用评估准则》（CC1.0版）；1999年12月，ISO接受CC2.1为国际标准ISO/IEC15408：1999标准，并正式颁布发行；2005年10月，ISO通过CC2.3为国际标准ISO/IEC15408：2005标准，并正式颁布发行；2009年12月，ISO通过CC3.1为国际标准ISO/IEC15408：2009标准，并正式颁布发行。CC定义了作为评估信息技术产品安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。功能和保证要求又以“类——族——组件”的结构表述，组件作为安全要求的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”的构建，例如由保证组件构成典型的包——“评估保证级”。另外，功能组件还是连接CC与传统安全机制和服务的桥梁，以及解决CC同已有准则如TCSEC、ITSEC的协调关系，如功能组件构成TCSEC的各级要求。CC特点体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性四个方面：在结构的开放性方面，CC提出的安全功能要求和安全保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展，如可以增加“备份和恢复”方面的功能要求或一些环境安全要求。这种开放式的结构更适应信息技术和信息安全技术的发展。通用性的特点，即给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者都使用CC的语言，互相之间就更容易理解沟通。如用户使用CC的语言表述自己的安全需求，开发者就可以针对性地描述产品的安全性，评估者也更容易有效客观地进行评估，并确保评估结果对用户而言更容易理解。这种特点对规范实用方案的编写和安全性测试评估都具有重要意义。这种特点也是在经济全球化发展、全球信息化发展的趋势下，进行合格评定和评估结果国际互认的需要。CC的这种结构和表达方式具有内在完备性和实用性的特点，具体体现在“保护轮廓”和“安全目标”的编制上。“保护轮廓”主要用于表达一类产品的用户需求，在标准化体系中可以作为安全技术类标准对待。其内容主要包括：对该类产品的界定性描述，即确定需要保护的对象；确定安全环境，即指明安全问题——需要保护的资产、已知的威胁、用户的组织安全策略；产品的安全目的，即对安全问题的相应对策——技术性和非技术性措施；信息技术安全要求，包括功能要求、保证要求和环境安全要求，这些要求通过满足安全目的，进一步提出具体在技术上如何解决安全问题；基本原理，指明安全要求对安全目的、安全目的对安全环境是充分且必要的；以及附加的补充说明信息。“保护轮廓”编制，一方面解决了技术与真实客观需求之间的内在完备性；另一方面用户通过分析所需要的产品面临的安全问题，明确所需的安全策略，进而确定应采取的安全措施，包括技术和管理上的措施，这样就有助于提高安全保护的针对性、有效性。“安全目标”在“保护轮廓”的基础上，通过将安全要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当成“安全目标”对待。通过“保护轮廓”和“安全目标”这两种结构，就便于将CC的安全性要求具体应用到IT产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。ISO/IEC15408将使各个独立的安全评估其结果具有可比性。这通过在安全评估时，提供一套针对信息技术（IT）产品安全功能及其保证措施的通用要求来实现。评估过程建立一个信任级别，表明该产品的安全功能及其保证措施都满足这些要求。评估结果可以帮助用户确定该IT产品对他们的预期应用而言是否足够安全及其使用带来的固有安全风险是否可容忍。第1部分：简介和一般模型，它定义了IT安全性评估的一般概念和原理，并提出了评估的一般模型。第2部分：安全功能要求，建立一系列功能组件，作为表述TOE功能要求的标准方法。第2部分列出了一系列功能组件、族和类。第3部分：安全保证要求，建立一系列保证组件，作为表述TOE保证要求的标准方法。与GB/T18336-2008的主要差异：1）GB/T18336.1-201X与GB/T18336.1-2008的主要差异如下：GB/T18336.1-201X增加了“2规范性引用文件”；GB/T18336.1-201X“3术语和定义”中增加了“3.2与ADV类相关的术语和定义”、“3.3与AGD类相关的术语和定义”、“3.4与ALC类相关的术语和定义”、“3.5与AVA类相关的术语和定义”、“3.6与ACO类相关的术语和定义”；GB/T18336.1-201X“5概述”中增加了“5.1TOE”；GB/T18336.1-201X中将本标准适用的“IT产品和系统”改为“IT产品”；GB/T18336.1-2008中的“5.1安全相关要素”、“5.2GB/T18336方法”调整为本部分的“6.2资产和对策”、“6.3评估”；删除了GB/T18336.1-2008的“5.3安全概念”；GB/T18336.1-2008中的“5.4.1安全要求的表达”调整为本部分的“7剪裁安全要求”；删除了GB/T18336.1-2008的“5.4.2评估类型”；GB/T18336.1-201X增加了“8保护轮廓和包”；GB/T18336.1-2008中的“6GB/T18336要求和评估结果”调整为本部分的“9评估结果”；GB/T18336.1-2008中的“附录A保护轮廓规范”调整为本部分的“附录B保护轮廓规范”，并增加了“B.11低保障的保护轮廓”、“B.12在PP中引用其他标准”；GB/T18336.1-2008中的“附录B安全目标规范”调整为本部分的“附录A安全目标规范”，并增加了“A.3使用ST”、“A.11ST可解答的问题”、“A.12低保障安全目标”、“A.13在ST中引用其他标准”；GB/T18336.1-2008的参考文献调整为本部分的“附录E参考书目”。2）GB/T18336.2-201X与GB/T18336.2-2008的主要差异如下：GB/T18336.2-201X中将“保证”（assurance）改为“保障”；GB/T18336.2-201X中将“输出到TSF控制之外（FDP_ETC）”改为“从TOE输出（FDP_ETC）”；GB/T18336.2-201X中将“从TSF控制之外输入（FDP_ITC）”改为“从TOE之外输入（FDP_ITC）”；删除了GB/T18336.2-2008“FPT类：TSF保护”中的“底层抽象机测试（FPT_AMT）”、“引用仲裁（FPT_RVM）”、“域分离（FPT_SEP）”；GB/T18336.2-201X“FPT类：TSF保护”中增加了“外部实体测试（FPT_TEE）”；GB/T18336.2-201X中将“会话锁定（FTA_SSL）”改为“会话锁定和终止（FTA_SSL）”；GB/T18336.2-201X中将“门限值”改为“临界值”；GB/T18336.2-201X中将“介导”改为“促成”。3）GB/T18336.3-201X与GB/T18336.3-2008的主要差异如下：GB/T18336.3-201X中将“保证”（assurance）改为“保障”；GB/T18336.3-201X中将“6安全保证要求”改为“6安全保障组件”；删除了GB/T18336.3-2008中的“6.3保护轮廓和安全目标评估准则类结构”、“6.4本部分中术语的用法”、“6.5保证分类”、“6.6保证类和族概况”；GB/T18336.3-2008中的“6.1.5EAL结构”调整为本部分的“6.2评估保障级结构”；GB/T18336.3-201X增加了“6.3组合保障包结构”；删除了GB/T18336.3-2008中的“7保护轮廓与安全目标评估准则”、“11保证类、族和组件”；GB/T18336.3-201X增加了“8组合保障包”；删除了GB/T18336.3-2008中的“8.1TOE描述”；GB/T18336.3-201X增加了“9.2一致性声明”；GB/T18336.3-2008中的“8.2安全环境”、“8.6明确陈述的IT安全要求”改为本部分的“9.3安全问题定义”、“9.5扩展组件定义”；删除了GB/T18336.3-2008中的“9.1TOE描述”、“9.5PP声明”；GB/T18336.3-201X增加了“10.2一致性声明”；GB/T18336.3-2008中的“9.2安全环境”、“9.7明确陈述的IT安全要求”改为本部分的“10.3安全问题定义”、“10.5扩展组件定义”；删除了GB/T18336.3-2008“ADV类：开发”中的“高层设计（ADV_HLD）”、“低层设计(ADV_LLD)”、“表示对应性(ADV_RCR)”；GB/T18336.3-201X“ADV类：开发”中增加了“安全架构（ADV_ARC）”、“TOE设计（ADV_TDS）”；GB/T18336.3-2008中AGD类的“管理员指南(AGD_ADM)”和“用户指南(AGD_USR)”调整为本部分的“操作用户指南（AGD_OPE）”和“准备程序（AGD_PRE）”；GB/T18336.3-2008中将ACM类的“CM能力(ACM_CAP)”、“CM范围(ACM_SCP)”，ADO类的“交付(ADO_DEL)”合到了ALC类中；删除了GB/T18336.3-2008“ACM类：配置管理”中的“CM自动化（ACM_AUT）”；删除了GB/T18336.3-2008“ADO类：交付和运行”中的“安装、生成和启动(ADO_IGS)”；GB/T18336.3-2008中将“测试覆盖(ATE_COV)”改为“覆盖（ATE_COV）”，将“测试深度(ATE_DPT)”改为“深度（ATE_DPT）”；删除了GB/T18336.3-2008“AVA类：脆弱性评定”中的“隐蔽信道分析(AVA_CCA)”、“误用(AVA_MSU)”、“TOE安全功能强度(AVASOF)”；GB/T18336.3-2008中将“脆弱性分析(AVA_VLA)”改为“脆弱性分析（AVA_VAN）”；GB/T18336.3-201X增加了“16ACO类：组合”；GB/