GB/T 30270-2024网络安全技术信息技术安全评估方法

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T30270—2024/ISO/IEC180452022

:

代替GB/T30270—2013

网络安全技术

信息技术安全评估方法

Cybersecuritytechnology—MethodologyforITsecurityevaluation

ISO/IEC180452022Informationsecuritcbersecuritandrivacrotection—

(:,y,yypyp

EvaluationcriteriaforITsecurit—MethodoloforITsecuritevaluationIDT

ygyy,)

2024-04-25发布2024-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T30270—2024/ISO/IEC180452022

:

目次

前言

…………………………Ⅸ

引言

…………………………Ⅹ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………2

缩略语

4……………………4

行文方式

5…………………5

动词用法

6…………………5

总体评估指南

7……………5

和本文件结构间的关系

8ISO/IEC15408………………6

评估过程与相关任务

9……………………6

概述

9.1…………………6

评估过程概述

9.2………………………7

目的

9.2.1……………7

角色职责

9.2.2………………………7

角色关系

9.2.3………………………7

一般评估模型

9.2.4…………………7

评估者裁定

9.2.5……………………8

评估输入任务

9.3………………………9

目的

9.3.1……………9

应用注释

9.3.2………………………9

评估证据子任务的管理

9.3.3………………………9

评估子活动

9.4…………………………10

评估输出任务

9.5………………………10

目的

9.5.1……………10

评估输出管理

9.5.2…………………10

应用注释

9.5.3………………………10

编写子任务

9.5.4OR………………10

编写子任务

9.5.5ETR……………11

类评估

10APE:PP………………………18

概述

10.1………………18

已认证评估结果的复用

10.2PP……………………18

引言

10.3PP(APE_INT)……………18

评估子活动

10.3.1(APE_INT.1)…………………18

符合性声明

10.4(APE_CCL)…………19

评估子活动

10.4.1(APE_CCL.1)…………………19

Ⅰ

GB/T30270—2024/ISO/IEC180452022

:

安全问题定义

10.5(APE_SPD)………………………27

评估子活动

10.5.1(APE_SPD.1)…………………27

安全目的

10.6(APE_OBJ)……………28

评估子活动

10.6.1(APE_OBJ.1)…………………28

评估子活动

10.6.2(APE_OBJ.2)…………………29

扩展组件定义

10.7(APE_ECD)………………………31

评估子活动

10.7.1(APE_ECD.1)…………………31

安全要求

10.8(APE_REQ)……………34

评估子活动

10.8.1(APE_REQ.1)…………………34

评估子活动

10.8.2(APE_REQ.2)…………………38

类配置评估

11ACE:PP…………………42

概述

11.1………………42

模块引言

11.2PP-(ACE_INT)………………………43

评估子活动

11.2.1(ACE_INT.1)…………………43

模块符合性声明

11.3PP-(ACE_CCL)………………45

子活动评估

11.3.1(ACE_CCL.1)…………………45

模块安全问题定义

11.4PP-(ACE_SPD)……………48

评估子活动

11.4.1(ACE_SPD.1)…………………48

模块安全目的

11.5PP-(ACE_OBJ)…………………49

评估子活动

11.5.1(ACE_OBJ.1)…………………49

评估子活动

11.5.2(ACE_OBJ.2)…………………50

模块扩展组件定义

11.6PP-(ACE_ECD)……………52

评估子活动

11.6.1(ACE_ECD.1)…………………52

模块安全要求

11.7PP-(ACE_REQ)…………………55

评估子活动

11.7.1(ACE_REQ.1)…………………55

评估子活动

11.7.2(ACE_REQ.2)…………………59

模块的一致性

11.8PP-(ACE_MCO)…………………63

评估子活动

11.8.1(ACE_MCO.1)…………………63

配置的一致性

11.9PP-(ACE_CCO)…………………66

评估子活动

11.9.1(ACE_CCO.1)…………………66

类安全目标评估

12ASE:………………73

概述

12.1………………73

应用注释

12.2…………………………73

重用已认证的评估结果

12.2.1PP…………………73

引言

12.3ST(ASE_INT)……………73

评估子活动

12.3.1(ASE_INT.1)…………………73

符合性声明

12.4(ASE_CCL)…………76

评估子活动

12.4.1(ASE_CCL.1)…………………76

安全问题定义

12.5(ASE_SPD)………………………86

评估子活动

12.5.1(ASE_SPD.1)…………………86

安全目的

12.6(ASE_OBJ)……………87

评估子活动

12.6.1(ASE_OBJ.1)…………………87

Ⅱ

GB/T30270—2024/ISO/IEC180452022

:

评估子活动

12.6.2(ASE_OBJ.2)…………………88

扩展组件定义

12.7(ASE_ECD)………………………90

评估子活动

12.7.1(ASE_ECD.1)…………………90

安全要求

12.8(ASE_REQ)……………93

评估子活动

12.8.1(ASE_REQ.1)…………………93

评估子活动

12.8.2(ASE_REQ.2)…………………97

概要规范

12.9TOE(ASE_TSS)……………………102

评估子活动

12.9.1(ASE_TSS.1)…………………102

评估子活动

12.9.2(ASE_TSS.2)…………………102

复合产品安全目标一致性

12.10(ASE_COMP)……………………103

概述

12.10.1………………………103

评估子活动

12.10.2(ASE_COMP.1)……………104

类开发

13ADV:…………………………107

概述

13.1………………107

应用注释

13.2…………………………107

安全架构

13.3(ADV_ARC)…………108

评估子活动

13.3.1(ADV_ARC.1)………………108

功能规范

13.4(ADV_FSP)…………111

评估子活动

13.4.1(ADV_FSP.1)…………………111

评估子活动

13.4.2(ADV_FSP.2)…………………114

评估子活动

13.4.3(ADV_FSP.3)…………………117

评估子活动

13.4.4(ADV_FSP.4)…………………121

评估子活动

13.4.5(ADV_FSP.5)…………………125

评估子活动

13.4.6(ADV_FSP.6)…………………130

实现表示

13.5(ADV_IMP)…………130

评估子活动

13.5.1(ADV_IMP.1)………………130

评估子活动

13.5.2(ADV_IMP.2)………………132

内部

13.6TSF(ADV_INT)…………134

评估子活动

13.6.1(ADV_INT.1)…………………134

评估子活动

13.6.2(ADV_INT.2)…………………136

评估子活动

13.6.3(ADV_INT.3)…………………137

安全策略模型

13.7(ADV_SPM)……………………139

评估子活动

13.7.1(ADV_SPM.1)………………139

设计

13.8TOE(ADV_TDS)…………144

评估子活动

13.8.1(ADV_TDS.1)………………144

评估子活动

13.8.2(ADV_TDS.2)………………147

评估子活动

13.8.3(ADV_TDS.3)………………150

评估子活动

13.8.4(ADV_TDS.4)………………157

评估子活动

13.8.5(ADV_TDS.5)………………164

评估子活动

13.8.6(ADV_TDS.6)………………170

复合设计符合性

13.9(ADV_COMP)………………170

概述

13.9.1…………………………170

评估子活动

13.9.2(ADV_COMP.1)……………171

Ⅲ

GB/T30270—2024/ISO/IEC180452022

:

类指导性文档

14AGD:…………………172

概述

14.1………………172

应用注释

14.2…………………………173

操作用户指南

14.3(AGD_OPE)……………………173

评估子活动

14.3.1(AGD_OPE.1)………………173

准备程序

14.4(AGD_PRE)…………175

评估子活动

14.4.1(AGD_PRE.1)………………175

类生命周期支持

15ALC:………………177

概述

15.1………………177

能力

15.2CM(ALC_CMC)…………177

评估子活动

15.2.1(ALC_CMC.1)………………177

评估子活动

15.2.2(ALC_CMC.2)………………178

评估子活动

15.2.3(ALC_CMC.3)………………179

评估子活动

15.2.4(ALC_CMC.4)………………182

评估子活动

15.2.5(ALC_CMC.5)………………186

范围

15.3CM(ALC_CMS)…………192

评估子活动

15.3.1(ALC_CMS.1)………………192

评估子活动

15.3.2(ALC_CMS.2)………………193

评估子活动

15.3.3(ALC_CMS.3)………………193

评估子活动

15.3.4(ALC_CMS.4)………………194

评估子活动

15.3.5(ALC_CMS.5)………………195

交付

15.4(ALC_DEL)………………196

评估子活动

15.4.1(ALC_DEL.1)…………………196

开发安全

15.5(ALC_DVS)…………197

评估子活动

15.5.1(ALC_DVS.1)…………………197

评估子活动

15.5.2(ALC_DVS.2)…………………199

缺陷纠正

15.6(ALC_FLR)…………201

评估子活动

15.6.1(ALC_FLR.1)…………………201

评估子活动

15.6.2(ALC_FLR.2)…………………203

评估子活动

15.6.3(ALC_FLR.3)…………………206

生命周期定义

15.7(ALC_LCD)……………………210

评估子活动

15.7.1(ALC_LCD.1)…………………210

评估子活动

15.7.2(ALC_LCD.2)…………………211

开发构件

15.8TOE(ALC_TDA)……………………212

评估子活动

15.8.1(ALC_TDA.1)………………212

评估子活动

15.8.2(ALC_TDA.2)………………215

评估子活动

15.8.3(ALC_TDA.3)………………218

工具和技术

15.9(ALC_TAT)………………………221

评估子活动

15.9.1(ALC_TAT.1)………………221

评估子活动

15.9.2(ALC_TAT.2)………………223

评估子活动

15.9.3(ALC_TAT.3)………………225

复合部分集成及交付程序一致性核查

15.10(ALC_COMP)………227

Ⅳ

GB/T30270—2024/ISO/IEC180452022

:

概述

15.10.1………………………227

评估子活动

15.10.2(ALC_COMP.1)……………227

类测试

16ATE:…………………………229

概述

16.1………………229

应用注释

16.2…………………………229

了解的预期行为

16.2.1TOE……………………230

验证功能预期行为的测试与替代方法

16.2.2……………………230

验证测试的充分性

16.2.3…………230

覆盖

16.3(ATE_COV)………………231

评估子活动

16.3.1(ATE_COV.1)………………231

评估子活动

16.3.2(ATE_COV.2)………………231

评估子活动

16.3.3(ATE_COV.3)………………232

深度

16.4(ATE_DPT)………………234

评估子活动

16.4.1(ATE_DPT.1)………………234

评估子活动

16.4.2(ATE_DPT.2)………………236

评估子活动

16.4.3(ATE_DPT.3)………………238

评估子活动

16.4.4(ATE_DPT.4)………………240

功能测试

16.5(ATE_FUN)…………241

评估子活动

16.5.1(ATE_FUN.1)………………241

评估子活动

16.5.2(ATE_FUN.2)………………243

独立测试

16.6(ATE_IND)…………246

评估子活动

16.6.1(ATE_IND.1)…………………246

评估子活动

16.6.2(ATE_IND.2)…………………249

评估子活动

16.6.3(ATE_IND.3)…………………253

复合功能测试

16.7(ATE_COMP)…………………253

概述

16.7.1…………………………253

评估子活动

16.7.2(ATE_COMP.1)……………253

类脆弱性评定

17AVA:………………254

概述

17.1………………254

脆弱性分析

17.2(AVA_VAN)………………………254

评估子活动

17.2.1(AVA_VAN.1)………………254

评估子活动

17.2.2(AVA_VAN.2)………………258

评估子活动

17.2.3(AVA_VAN.3)………………263

评估子活动

17.2.4(AVA_VAN.4)………………269

评估子活动

17.2.5(AVA_VAN.5)………………274

复合脆弱性评定

17.3(AVA_COMP)………………280

概述

17.3.1…………………………280

评估子活动

17.3.2(AVA_COMP.1)……………280

类组合

18ACO:…………………………282

概述

18.1………………282

应用注释

18.2…………………………282

组合基本原理

18.3(ACO_COR)……………………283

Ⅴ

GB/T30270—2024/ISO/IEC180452022

:

评估子活动

18.3.1(ACO_COR.1)………………283

开发证据

18.4(ACO_DEV)…………287

评估子活动

18.4.1(ACO_DEV.1)………………287

评估子活动

18.4.2(ACO_DEV.2)………………288

评估子活动

18.4.3(ACO_DEV.3)………………289

依赖部件的依赖性

18.5(ACO_REL)………………291

评估子活动

18.5.1(ACO_REL.1)………………291

评估子活动

18.5.2(ACO_REL.2)………………293

组合测试

18.6TOE(ACO_CTT)…………………294

评估子活动

18.6.1(ACO_CTT.1)………………294

评估子活动

18.6.2(ACO_CTT.2)………………296

组合脆弱性分析

18.7(ACO_VUL)…………………299

评估子活动

18.7.1(ACO_VUL.1)………………299

评估子活动

18.7.2(ACO_VUL.2)………………